管理域部通过经由管理程序部的独立的虚拟网络(95)而与其他的电子控制单元ECU(B)(1)中的其他的管理域部(B)连接,该其他的电子控制单元ECU(B)(1)具有其他的管理域部(B)(10B)和代替基本域部的其他的基本域部(A)(50B)。管理域部在检测到基本域部的异常的情况下,停止基本域部的动作,使其他的电子控制单元ECU(B)(1)具有的其他的管理域部(B)(10B)开始其他的基本域部(A)(50B)的动作。基本域部(A)(50B)的动作。基本域部(A)(50B)的动作。
【技术实现步骤摘要】
【国外来华专利技术】电子控制单元和程序
[0001]本专利技术涉及搭载于车辆的电子控制单元。本专利技术涉及多个电子控制单元(ECU:Electric Control Unit)被网络连接的车载系统的可靠性。以下,电子控制单元表记为ECU。
技术介绍
[0002]以往的车载系统为ECU的故障做准备,基于ECU的故障概率将ECU的功能移动到其他的ECU中。由此,假设即便在ECU发生了故障的情况下,也能够由其他的ECU执行已经移动的功能,因此,能够防止功能停止的不良情况。(例如专利文献1)。
[0003]现有技术文献
[0004]专利文献
[0005]专利文献1:日本特开2018
‑
99972号公报
技术实现思路
[0006]专利技术要解决的问题
[0007]但是,以往的车载系统基于ECU的故障概率,将ECU的功能移动到其他的ECU。
[0008]因此,在故障概率低而判定为不发生故障的ECU中发生了故障的情况下,可能无法将发生了故障的ECU的功能移动到其他的ECU。此外,即便能够移动功能,在发生了故障的ECU与其他的ECU之间,用于移动功能的通信处理的负担也较大。
[0009]本专利技术的目的在于,提供一种在实际上发生了故障这样的异常时能够使车载系统顺利地持续必须的功能的车载系统。
[0010]用于解决问题的手段
[0011]本专利技术的电子控制单元搭载于车辆,
[0012]所述电子控制单元具备:
[0013]扩展域部,其基于第1操作系统进行动作,与车外网络连接,在发生异常时能够停止;
[0014]基本域部,其基于第2操作系统进行动作,与所述扩展域部连接,在发生异常时需要持续进行动作;
[0015]管理域部,其基于第3操作系统进行动作,在检测到所述扩展域部的所述异常的情况下,停止所述扩展域部的动作;
[0016]管理程序部,其使所述第1操作系统、所述第2操作系统以及所述第3操作系统进行动作,
[0017]所述管理域部通过经由所述管理程序部的独立的虚拟网络而与其他电子控制单元中的其他管理域部连接,该其他电子控制单元具有所述其他管理域部和代替所述基本域部的其他基本域部,所述管理域部在检测到所述基本域部的异常的情况下,停止所述基本域部的动作,使所述其他电子控制单元具有的所述其他管理域部开始所述其他基本域部的
动作。
[0018]专利技术的效果
[0019]本专利技术的电子控制单元具备管理域部。因此,根据本专利技术的电子控制单元,在实际上发生了故障这样的异常时,能够顺利地持续对车载系统来说必须的功能。
附图说明
[0020]图1是实施方式1的图且是车载系统100的硬件结构图。
[0021]图2是实施方式1的图且是车载系统100的软件结构图。
[0022]图3是实施方式1的图且是车载系统100的软件结构图。
[0023]图4是实施方式1的图且是示出车载系统100的动作的流程图。
[0024]图5是实施方式1的图且是示出车载系统100的动作的流程图。
[0025]图6是实施方式1的图且是示出感染域列表16A的图。
[0026]图7是实施方式1的图且是示出域结构信息140的图。
[0027]图8是实施方式2的图且是ECU(A)1的软件结构图。
[0028]图9是实施方式2的图且是示出车载系统100的动作的流程图。
[0029]图10是实施方式2的图且是示出车载系统100的动作的流程图。
具体实施方式
[0030]以下,使用附图对本专利技术的实施方式进行说明。另外,在各图中针对相同或相当的部分标注相同的标号。在实施方式的说明中,针对相同或相当的部分适当省略或简化说明。另外,在以下的说明中,应用程序表记为应用。
[0031](1)在以下的说明中,操作系统表记为OS。
[0032](2)在以下的说明中,I/O(Input/Output)装置表记为I/O。
[0033](3)在以下的说明中,车载系统100将网络攻击所引起的感染或故障作为异常而进行应对。在以下的说明中,异常是指ECU中的网络攻击所引起的感染或者ECU中的故障,但也可以是其他异常。
[0034]实施方式1.
[0035]***结构的说明***
[0036]参照图1至图8对实施方式1的车载系统100进行说明。
[0037]图1是车载系统100的硬件结构图。车载系统100具备多个ECU。多个ECU搭载于车辆。ECU彼此经由车内网络81而连接。在图1中示出车载系统100具备4台ECU的结构。车载系统100具备的多个ECU也可以为2台、3台或者5台以上。以下,将4台ECU区分地表记为ECU(A)1、ECU(B)1、ECU(C)1及ECU(D)1。此外,各ECU经由车外网络88而与外部的系统连接。
[0038]ECU(A)1、ECU(B)1、ECU(C)1及ECU(D)1是相同的硬件结构。因此,ECU(A)1的说明也适合于ECU(B)1、ECU(C)1及ECU(D)1。在图1中示出ECU(A)1的硬件结构。参照ECU(A)1对ECU的硬件结构进行说明。ECU(A)1具备至少1个CPU(Central Processing Unit:中央处理单元)2A、ROM(Read Only Memory:只读存储器)3A、RAM(Random Access Memory:随机存取存储器)4A、周边控制器5A、I/O(Input/Output)装置6A、7A、8A、9A。CPU2A、ROM3A、RAM4A、周边控制器5A、I/O6A、I/O7A、I/O8A及I/O9A通过总线而连接。
[0039]ROM3A例如是Electrically Erasable Programmable ROM(EEPROM:可擦可编程只读存储器)或者闪存这样的非易失性存储器。ROM3A记录有实现ECU1所提供的功能的应用程序、OS的程序及数据。
[0040]RAM4A是易失性存储器,存储用于供CPU2进行处理的程序及数据。
[0041]周边控制器5A是中断控制器、定时器控制器或者DMA(Direct Memory Access:直接存储器存取)控制器这样的装置。
[0042]I/O6A、7A、8A、9A是General Purpose I/O(GPIO:通用I/O)、A/D转换电路、D/A转换电路、马达驱动电路、通信接口电路这样的电路。I/O6A与传感器61连接。I/O7A与致动器71连接。I/O8A与ECU(B)1的I/O8B、ECU(C)1的I/O8C、ECU(D)1的I/O8D连接。I/O9A与车外网络88连接。
[0043]CPU2A读出ROM3A和RAM4A所存储的程序,基于从传感器61读出的值来实施运算处理,重复进行致动器71的控制这样的处理。传感器61例如是水温传感器、节气门开度传感器。致动器71例如是喷射器和点火器。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种电子控制单元,其搭载于车辆,其中,所述电子控制单元具备:扩展域部,其基于第1操作系统进行动作,与车外网络连接,在发生异常时能够停止;基本域部,其基于第2操作系统进行动作,与所述扩展域部连接,在发生异常时需要持续进行动作;管理域部,其基于第3操作系统进行动作,在检测到所述扩展域部的所述异常的情况下,停止所述扩展域部的动作;管理程序部,其使所述第1操作系统、所述第2操作系统以及所述第3操作系统进行动作,所述管理域部通过经由所述管理程序部的独立的虚拟网络而与其他电子控制单元中的其他管理域部连接,该其他电子控制单元具有所述其他管理域部和代替所述基本域部的其他基本域部,所述管理域部在检测到所述基本域部的异常的情况下,停止所述基本域部的动作,使所述其他电子控制单元具有的所述其他管理域部开始所述其他基本域部的动作。2.根据权利要求1所述的电子控制单元,其中,所述管理域部在所述基本域部的所述异常消除了的情况下,重新起动所述基本域部。3.根据权利要求1或2所述的电子控制单元,其中,所述管理域部在与所述其他管理域部之间实施确认是否发生了故障的生存确认。4.根据权利要求1至3中的任意一项所述的电子控制单元,其中,所述管理域部通过与所述管理程序部之间的通信来检测所述异常。5.根据权利要求1至4中的任意一项所述的电子控制单元,其中,所述管理域部在所述扩展域部的所述异常消除了的情况下,重新起动所述扩展域部。6.根据权利要求1至5中的任意一...
【专利技术属性】
技术研发人员:片山吉章,高塚雄也,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。