车载网关装置、其控制方法、连接装置及其连接控制方法

文档序号:7888989阅读:286来源:国知局
专利名称:车载网关装置、其控制方法、连接装置及其连接控制方法
技术领域
本发明涉及车载网关装置及其控制方法、使用它的数据传送方法,特别涉及在车辆的信息系统和控制系统上连接的网关装置中的信息系统和控制系统的联系的管理。
背景技术
近年来,对于汽车的提高安全性和降低环境负荷的要求变得更加强烈。与此相对,像历来那样仅在车辆控制系统中追加封闭的功能或者提闻性能的应对措施已经接近极限,需要与从车辆导航等的信息系统设备或者道路侧提供的信息联系的行驶控制,在 ITS (Intelligent Transportation System)领域中的成果变得重要。另外,通过通信计算机技术进行的的远程事故或者故障时的紧急支援服务或者防盗服务等也被实用化,其中车辆的信息系统和控制系统的联系也变得重要起来。车辆的控制系统和信息系统的可靠性的级别不同,在连接两者时进行充分的应对以使不损害车辆控制的安全性,这是十分重要的。关于这点,现有技术中,在特开 2000-349780号公报中公开了这样的装置准备指定了优先级的多个门,根据外部状况或者认证机构的信息判断通过哪个优先级的门,来进行访问控制。另外,在特开2000-057484 号公报中公开了分设行驶系统和非行驶系统的总线,用网关选择ITS信息进行输出的机制。另外,在为使用于发动机等的控制的控制信息流动而使用的控制系统网络中,在使来自外部装置例如车辆导航装置的信息流动时,使用网关装置。于是,为不对控制系统网络中的通信产生恶劣影,在美国公开专利 2003/0117298(特开2002-16614号)公报中记载的技术中,在作为发动机控制系统的网络的第一网络和作为车体控制系统的网络的第二网络之间配置网关装置,在使从第二网络向第一网络通过信息时,监视电源状态、发动机状态、制动器状态、行驶状态、搭载设备的故障状态等的车辆状态,根据该监视结果使该信息通过。

发明内容
但是,考虑到在车辆的信息系统或者控制系统中发生异常的场合两者不宜于联系。但是,在上述文献中,未言及关于异常时的监视方法以及访问控制方法。另外,车辆的使用期间通常设想为15年左右的长的期间,但是其间部件的硬件或者软件被更新为新的硬件或者软件的可能性很高。特别,以车辆导航为代表的信息系统部件产品的生命周期很短。因此,在考虑今后的车辆的信息系统和控制系统的联系方面,认为在联系时判断硬件 软件的版本不同等的适合性来进行访问控制是重要的。然而上述文献中未言及该点。本发明的目的是提供对应车辆的信息系统以及控制系统的状态或者结构的变化实现两者的联系的车载网关装置、其车辆、其控制方法以及用于它们的程序。另外,在美国公开专利2003/0117298(特开2002-16614号)公报中记载的技术中,在作为控制系统的网络的第一网络的状态不处于稳定状态的场合,不使从第二网络发送的信息通过第一网络而废弃,因此,防止了对于控制系统网络的恶劣影响。因此,例如在使用在作为信息系统的网络的第二网络上连接的设备发送的信息进行车辆的控制的场合,通过废弃从第二网络发送的信息,反而存在对于车辆的控制施加恶劣影响的可能性。因此本发明的目的是提供不给控制系统的网络施加恶劣影响、而向控制系统的网络供给来自控制系统的外部的装置的信息的网关装置。本发明的车载网关装置,优选是在车辆的信息系统网络和控制系统网络上连接的车载网关装置,其特征在于,具有负责对信息系统网络的消息收发的信息系统访问电路; 负责对控制系统网络的消息收发的控制系统访问电路;控制在信息系统访问电路和控制系统访问电路之间的数据流的访问控制电路;管理用于访问控制电路进行访问控制的策略的策略管理电路;通过信息系统访问电路监视信息系统的状态的信息系统监视电路;管理通过信息系统监视电路取得的信息的信息系统结构管理电路;通过控制系统访问电路监视控制系统的状态的控制系统监视电路;管理通过控制系统监视电路取得的信息的控制系统结构管理电路;和判断是否应该更新由策略管理电路管理的策略而更新策略的策略更新电路,所述访问控制电路具有下述的电路从所述信息系统访问电路取得来自所述信息系统网络的消息,从所述策略管理电路取得策略、根据该策略检查所述信息系统结构管理电路的信息、根据该策略检查所述控制系统结构管理电路的信息、判断可否访问、如果许可访问则判断要否变换消息、如果要变换则遵照所述访问变换规则变换发送消息,所述控制系统访问电路向所述控制系统网络发送消息、在所述可否访问判断中在不许可访问的场合执行在所述访问控制规则中指定的不许可访问时的对策。在一个优选的例子中,所述信息系统结构管理电路以及所述控制系统结构管理电路,具有包含存储信息系统的部件名和部件识别符和部件状态的第一存储电路、存储部件识别符的当前值和前一个过去值的第二存储电路、和把更新部件状态的时刻作为时间印记存储的第三存储电路的存储电路。另外理想的是,所述信息系统监视电路具有取得在所述信息系统网络上连接的车辆导航终端作为自诊断的结果保存的故障代码的电路、或者掌握车辆导航终端发出的消息的异常的电路。另外理想的是,所述信息系统监视电路具有从在所述控制系统网络内流动的消息取得电池电压的电路。另外理想的是,所述策略管理电路,作为访问控制规则,保存管理表示消息的发送目的地和内容的信息、指定用于许可消息的访问的条件的信息、和指定不许可访问的场合的对策的信息。另外理想的是,所述策略管理电路,作为访问变换规则,保存管理识别原来的消息的信息、判定在访问时是否进行变换的检查表、和用于变换消息的规则,在检查表中包含所述信息系统结构管理电路或者所述控制系统结构管理电路的内容。另外理想的是,所述策略更新电路具有确认所述信息系统结构管理电路以及所述控制系统结构管理电路后确认在所述部件识别符中是否无变化、如果有任何变化则向中心服务器询问有变化的构成部件的部件识别符、取得把部件识别符作为键取得的所述策略、用取得的新的策略更新所述策略管理电路的内容的电路。另外理想的是,所述策略更新电路具有从所述中心服务器取得推荐应对系统的信息、把推荐应对系统的信息和所述信息系统结构管理电路或者所述控制系统结构管理电路的至少任何一个比较、如果有差别则进行催促必要的系统更新的通知的电路。另外,本发明的车载网关装置的控制方法,是在在车辆的信息系统网络和控制系统网络上连接的车载网关装置中的控制方法,其特征在于,具有通过负责对信息系统网络的消息收发的信息系统访问电路监视信息系统的状态的信息系统监视步骤、管理通过信息系统监视取得的信息的信息系统管理步骤、通过负责对控制系统网络的消息收发的控制系统访问电路监视控制系统的状态的控制系统监视步骤、管理通过控制系统监视取得的信息的控制系统管理步骤、管理控制在信息系统访问电路和控制系统访问电路之间的数据流的访问控制电路用于进行访问控制的策略的策略管理步骤、和判断是否应该更新由策略管理所管理的策略而更新策略的策略更新步骤,其中,所述访问控制电路具有下述的电路从所述信息系统访问电路取得来自所述信息系统网络的消息,从所述策略管理电路取得策略、 根据该策略检查所述信息系统结构管理电路的信息、根据该策略检查所述控制系统结构管理电路的信息、判断可否访问、如果许可访问则判断要否变换消息、如果要变换则遵照所述访问变换规则变换发送消息,所述控制系统访问电路向所述控制系统网络发送消息、在所述可否访问判断中在不许可访问的场合执行在所述访问控制规则中指定的不许可访问时的对策。另外理想的是,在信息系统监视中,定期监视在信息系统网络上连接的设备有无故障和硬件、软件的版本,使用取得的信息向信息系统管理反映,在控制系统监视中,定期监视在控制系统网络上连接的设备有无故障和硬件、软件的版本,向控制系统管理反映取得的信息,在信息系统或者控制系统的构成设备中有变化的场合,在信息系统管理或者控制系统管理中检测该变化,从外部的服务器取得策略的更新内容来进行更新策略。根据本发明,通过定期地监视车辆的信息系统以及控制系统,在信息系统和控制系统联系中发生失配的场合,能够实施或者切断或者变换相互的访问的访问控制。由此能够无损车辆控制的安全性或者稳定性地实现信息系统和控制系统的联系。另外,根据本发明,能够提供不对控制系统的网络施加恶劣影响向控制系统的网络供给来自控制系统的网络的外部装置的信息的网关装置。


图I是表示一个实施例中的网关装置以及包含它的车载系统的结构的图。图2是表示用于网关装置和中心服务器的联系的全体系统的结构的图。图3是表不信息系统结构管理部106的表结构的图。图4是表示控制系统结构管理部108的表结构的图。
图5是用于更新信息系统结构管理部106的内容的处理流程图。图6是用于更新控制系统结构管理部108的内容的处理流程图。图7是表示策略管理部109的表结构的图。图8是在向控制系统LAN发送来自信息系统LAN的消息时执行的访问控制的处理流程图。图9是用于访问中心服务器更新策略的处理流程图。图10是表示中心服务器内的策略存储部的表结构的图。图11是表示在车辆导航终端上显示车辆系统的更新指导的画面例子的图。图12是表示车载网关装置的硬件结构的例子的图。图13是通过车载网关装置连接信息系统和控制系统的系统的全体结构图。图14是表示第二实施形态中的控制系统数据的消息格式的图。图15是表示第二实施形态中的信息系统数据的消息格式的图。图16是表示第二实施形态中的车载网关装置的硬件结构的图。图17是表示第二实施形态中的数据管理表的结构的图。图18是表示第二实施形态中的车辆状态管理表的结构的图。图19是第二实施形态中的网关装置的硬件结构图。图20是第二实施形态中的信息系统数据接收处理的处理流程图。图21是第二实施形态中的数据管理处理的处理流程图。图22是第二实施形态中的车辆状态管理处理的处理流程图。图23是第二实施形态中的信息发送判定处理的处理流程图。图24是模拟流过控制系统网络的数据帧量的图。图25是表示第三实施形态中的车辆状态管理表的结构的图。图26是第三实施形态中的信息发送判定处理的处理流程图。符号说明101 :网关装置,112 :信息系统LAN,113 :车辆导航终端,115 :车载摄像机,116 控制系统LAN,117 :电子控制装置(ECU), 201 :车辆,202 :公众通信网,203 :中心服务器, 1101 :车辆导航显示部,1102 :地图显示部,1103 :道路符号,1104 :车辆现在位置符号, 1107 :指导显示部
具体实施例方式下面根据附图,说明通过车载网关装置安全地连接车辆的信息系统和控制系统的实施例。图I表示网关装置以及包含它的车载系统的结构。网关装置101是在信息系统LAN112和控制系统LAN116之间连接的装置,居中调停在信息系统LANl 12上连接的设备113、114和在控制系统LANl 16上连接的设备117的联系。作为在信息系统LAN112上连接的车载信息系统终端的代表例,有车辆导航终端113、 处理·控制车载摄像机115的影像的摄像机控制终端114。作为LAN112,可以利用多媒体 CAN (Controller Area Network)或者 IEEE1394、USB 等。另一方面,作为在控制系统LAN116上连接的车载控制系统终端,有电子控制装置(Electronic Control Unit)。作为控制系统 LAN116,可以利用 CAN 或者 FlexRay。网关装置101构成为,具有负责对信息系统LAN112的消息收发的信息系统访问部102 ;负责对控制系统LAN116的消息收发的控制系统访问部104 ;控制在信息系统访问部102和控制系统访问部104之间的数据流的访问控制部103 ;管理用于访问控制的策略的策略管理部109 ;使用信息系统访问部102监视信息系统的状态的信息系统监视部105 ; 积蓄·管理通过信息系统监视部105取得的信息的信息系统结构管理部106 ;使用控制系统访问部103监视控制系统的状态的控制系统监视部107 ;积蓄·管理通过控制系统监视部105取得的信息的控制系统结构管理部106 ;和判断是否应该更新策略而使用外部通信部111更新策略的策略更新部110。这里,作为外部通信部111,设想使用便携电话网或者无线LAN的数据通信芯片或者卡。访问控制部103根据信息系统结构管理部106以及控制系统结构管理部108管理的车辆状态的信息进行访问控制的判断。另外,策略更新部110,根据在信息系统结构管理部 106以及控制系统结构管理部108中管理的信息判断要否进行策略更新。上述功能,通过在计算机中执行规定的程序实现。图12表示网关装置101的一个理想的硬件结构。网关装置101构成为,具有执行规定的程序的CPU1201、外附的闪存R0M1202、 RAM1203、用于在作为信息系统LANl 12的CAN上连接的CAN控制器1204a、用于在控制系统 LANl 16上连接的CAN控制器1204b、用于和外部进行无线通信的通信设备1205、和控制通过点火0N/0FF进行的电源供给以及停止的电源管理电路1206。这里,实现上述功能的程序在CPU1201内置的ROM、或者外附的闪存R0M1202中存储,在网关装置起动时从该ROM中读出由CPU1201执行。图2表示用于网关装置和中心服务器的联系的全体系统的结构。网关装置101通过公众通信网202和中心服务器203连接。中心服务器203具有存储规定信息系统以及控制系统的访问的策略的存储部205以及更新对于网关装置101的策略的策略更新应答部 204。当从在车辆201上搭载的网关装置101通过外部通信部111以及公众通信网202 对于中心服务器203进行策略更新的询问时,在中心服务器203中,策略更新应答部204接受该访问,从在策略存储部205中存储的策略中选择适当的策略,向网关装置101应答。图3表不信息系统结构管理部106的表结构。信息系统结构管理部106把关于信息系统LANl 12以及在信息系统LANl 12上连接的结构部件的信息做成列表进行管理。表存储并管理部件名301、硬识别符302、软识别符 303、状态304、时间印记305各结构要素。硬识别符302是用于唯一识别部件的硬件的ID, 软识别符303是表示编入硬件内的软件的版本的识别符。状态304表示在部件中发生的故障内容在故障发生的场合存储故障代码(Diagnostic Trouble Code)。时间印记305保存更新状态304的信息时的最新的时间印记。图4表不控制系统结构管理部108的表结构。控制系统结构管理部108也和信息系统结构管理部106同样构成,管理的对象是控制系统LAN116以及在控制系统LAN116上连接的E⑶117。控制系统结构管理部108的表和信息系统结构管理部106的表同样,保存并管理部件名401、硬识别符402、软识别符403、状态404、以及时间印记405。下面参照图5说明用于更新信息系统结构管理部106的处理动作。首先,信息系统监视部105向信息系统访问部102请求对信息系统的询问访问(步骤501)。信息系统访问部102对于指定的部件进行诊断通信,执行为通过询问取得数据的通信(步骤502)。 作为使用CAN的诊断通信DiagOnCAN(Diagnostic On CAN)已经被标准化,在一般情况下都使用它。在使用DiagOnCAN进行询问通信的场合,例如使用指定ReadDataByLocalID服务 (服务ID $21)的本地ID(例如在取得硬/软识别符的场合为$11、在取得故障代码的场合为$12)对于相应的E⑶117进行询问通信。接着,向信息系统监视部105返回基于此的应答消息(步骤503),根据应答消息更新信息系统结构管理部106内的管理信息(步骤504)。在CAN的场合,在由于噪声等消息被破坏的场合有检测错误的功能,例如在车辆导航终端113发出的消息中发生错误的场合,通过用信息系统访问部102检测错误,信息系统监视部105接收检测到的错误的通知, 信息系统监视部105也能够更新状态304。此时,在通过DiagOnCAN的询问通信中取得的硬 /软识别符更新信息系统结构管理部106内的硬识别符302和软识别符303的各栏。如果在“此次”栏中记载的内容有变更,则把“此次”栏的内容复制到“上次”栏内,把“此次”栏更新为新数据。在取得故障代码的场合,把状态304栏更新为最新的故障代码,在时间印记 305中记录将此更新过的日期时间。图6表示用于更新控制系统监视部107的处理流程。该更新处理实质上和上述信息系统结构管理部106的更新处理相同。首先,控制系统监视部107向控制系统访问部104请求对控制系统的访问(步骤601)。通过控制系统访问部104对于指定的部件进行DiagOnCAN等的诊断通信(步骤602)。向控制系统监视部 107返回根据诊断通信的应答消息(步骤603),根据应答消息更新控制系统结构管理部108 内的管理信息(步骤604)。例如,控制系统监视部107在向ECU的询问的应答消息或者从 ECU定期发送的消息中包含关于电池电压的信息的场合,从消息中抽出相应信息,在图4的关于部件名401的“电池”的记录的状态404中输入“电压10V”那样的值进行更新。下面参照图7说明策略管理部109的结构。策略管理部109管理在访问控制部103中实施访问控制时作为基础的访问控制策略,通过(a)访问控制规则、(b)访问许可条件、(C)访问变换规则3个表构成。(a)访问控制规则是规则化并且开列在何时许可何种服务以及在不许可访问的场合应该怎样地应对的规则。在本实施形态中,作为访问控制规则,规定“CAN ID” “服务 ID” “参数” “访问许可条件” “不许可访问时的应对措施”。“CAN ID” “服务ID” “参数”是在对于通过DiagOnCAN进行的诊断通信进行访问控制的场合指定的值。在“CAN ID”中规定作为向成为询问目的地的E⑶117发送用所指定的CAN ID,在“服务ID”中规定以其条件许可的DiagOnCAN服务的ID (例如如果是ReadDataByLocalID则为$21)、应该用服务ID 的服务指定的参数(如果服务是ReadDataByLocalID则为应该指定的本地ID),在“访问许可条件”中,从(b)访问许可条件中指定相应于为许可DiagOnCAN通信的条件的条件的序号。也可以用“AND”或者“0R”连接多个条件作为复合条件规定。在“不许可访问时的应对措施”中规定不适合访问许可条件的场合的应对方法。例如规定“拒绝访问”或者“自己停止”(“自·停止”)这样的应对方法。
(b)访问许可条件的表,是开列了在(a)访问控制规则中用于许可访问的各个条件的表。在本实施形态中,作为访问许可条件,通过“部件” “硬识别符” “软识别符” “状态” 表示。和在信息系统结构管理部106以及控制系统结构管理部108中管理的信息的内容相同。例如,如果部件“ECU1”的硬识别符是“9876”、软识别符是“002”、状态是“无异常”是访问许可的一个条件,则将其向列表追加。像“控制系统LAN”或者“电池”那样没有硬/软识别符的部件,不需要指定硬/软识别符。根据上述的结构,能够根据设想动态变化的部件的版本更新或者对于车辆的状态变化进行适当的访问控制。例如,能够采取“在电池电压在规定值以下的场合不对ECU进行访问” “在检测到车辆导航的异常的场合切断来自车辆导航的要求”等的应对措施。(c)访问变换规则表,在向控制系统LANl 16转发来自信息系统LANl 12的消息的场合,或者反之,在向信息系统LAN112转发来自控制系统LAN116的消息的场合,规定关于如何变换消息的规则。在本实施形态中,在图7(c)中表示根据送达目的地的ECU117的硬/软识别符变换CAN ID发送来自信息系统LANl 12的消息的例子。在图7中,在来自信息系统LANl 12的消息的CAN ID是“10D”的场合,在部件名“E⑶I”的硬识别符是“9876”、软识别符是“005” 的场合,把CAN ID变换为“21A”的旨意作为规则规定。把成为判定是否要进行变换的条件的“部件名” “硬识别符” “软识别符”作为“检查表”规定。在本实施形态中仅表示出了 CAN ID的变换,但是也可以作为移动消息中的数据的位位置的规则来规定。例如,也可以把“把从第15到第16位的两位移动到第31到第32位的位置”作为规则规定。通过上述的结构有下面那样的优点。例如,在更新了车辆导航终端113的场合,也许有新的车辆导航终端113向控制系统发送针对新的控制系统开发的以往没有的消息的事态,但是即使在这样的场合,通过检测新旧的不符合,能够或者切断不适合没有被更新的已有控制系统的消息,或者将消息格式等的协议变换为面向旧控制系统,能够使其不对控制系统施加恶劣影响地进行管理。下面参照图8说明使用在策略管理部109中规定的策略进行访问控制的处理。最初,由信息系统访问部102接收来自信息系统LAN112的消息(步骤801)。其后,访问控制部103从策略管理部109取得策略(步骤802)。然后,根据与在图5(a)访问控制规则中规定的“访问许可条件”相应的图5(b)访问许可条件,检查信息系统结构管理部106的信息是否与在图5(b)访问许可条件中规定的“部件”“硬识别符”“软识别符”“状态”的值相应(步骤803)。同样,根据图5(b)访问许可条件,检查控制系统结构管理部108 的信息是否与在图5(b)访问许可条件中规定的“部件” “硬识别符” “软识别符” “状态”的值相应(步骤804)。接着确认在步骤803或者804中检查的可否访问判断(步骤805)。如果其结果是许可访问,则通过分别比较在图7 (c)访问变换规则中规定的“ CANID ”和发送消息的CAN ID 以及在图7(c)访问变换规则的“检查表”中规定的“部件” “硬识别符” “软识别符”和信息系统结构管理部106或者控制系统结构管理部108的内容,判断要否变换(步骤806)。其结果,如果需要变换,则遵照访问变换规则变换向控制系统的发送消息(步骤807)。然后, 控制系统访问部104向控制系统LANl 16发送消息(步骤808),结束处理。另一方面,当在上述步骤806中的判断的结果判断为不要变换时,转移到步骤808,向控制系统LAN116发送消息。另外在步骤805中的判断的结果判断为不许可访问的场合,遵照图7(a)访问控制规则的“不许可访问时的应对措施”,实施在规则中规定的内容 (步骤809)。根据上述的处理,例如即使在从最新的车辆导航终端113以旧的E⑶117不支持的新的方式尝试访问的场合,通过或者切断访问,或者变换为旧的ECU117支持的访问形式, 能够抑制对控制系统施加恶劣影响的的可能性。下面参照图9说明对应信息系统或者控制系统的结构变化更新用策略管理部109 管理的策略的处理。首先,策略更新部110确认信息系统结构管理部106,并确认硬识别符/软识别符的内容在此次和上次是否无变化(步骤901)。然后判定是否有变化(步骤902),在有变化的场合,向中心服务器203的策略更新应答部204询问有变化的结构部件的硬识别符/软识别符(步骤905)。另一方面,在没有变化的场合,确认控制系统结构管理部108,并确认硬识别符/ 软识别符的内容在此次和上次是否无变化(步骤903)。然后判定是否有变化(步骤904), 如果有变化则向步骤905转移。如果没有变化则判断不需要策略更新,结束。当在步骤905向中心服务器203询问时,把发送的硬识别符/软识别符作为检索关键字从策略存储部205取得相应策略,策略更新部110接收该策略(步骤906)。这里,在图10中表示策略存储部205的表结构。在策略存储部205中把硬识别符、软识别符和策略以及推荐应对系统作为组进行管理。这里策略的内容成为图7中表示的(a)访问控制规则、(b)访问许可条件、(C)访问变换规则的各内容,但是作为管理方法, 也可以仅摘录与指定的硬识别符/软识别符关联的地方。所谓推荐应对系统,是与部件的更新对应为接收最新的服务推荐的系统结构,具体说,表示联系的对方(如果是和控制系统联系则为ECU117)的硬识别符/软识别符。其后,策略更新部110用最新策略更新策略管理部109的内容(步骤907)。然后, 比较推荐应对系统和控制系统信息管理部108,如果有差别则向车辆导航终端113通知显示催促必要的系统更新(在ECU117的更新的场合重新编程)的消息(步骤908)。这里,在图11中表示在车辆导航终端113上显示消息的画面例子。在车辆导航终端113上的车辆导航显示部1101上,在地图显示部1102中显示道路符号1103或者车辆现在位置符号等。在这之外,在指导显示部1105上显示“请通过在最近的销售商处维护车辆利用最新的车辆导航协调控制功能”那样的催促系统更新的消息。如上述,根据本实施例,在更换更新车辆的信息系统、控制系统的硬件、软件的场合,也能够使策略追随车辆的变化,能够适当地继续管理信息系统和控制系统的联系。下面说明第二、第三实施形态。图13是车载网络10130的概略图。如图示,车载网络10130具有控制系统网络10111、信息系统网络10121、和车载网关装置10100。此外,在本申请中,所谓控制系统网络10111指连接发动机控制器的网络,或者车辆速度信号流动的网络。一般,在该网络上流动的信息的更新周期为I毫秒 400毫秒左右。
所谓信息系统网络10121指连接车辆导航装置的网络,或者地图数据信息流动的网络,一般,在该网络上流动的信息的更新周期在400毫秒以上。如图示,在控制系统网络10111上,例如连接有控制车辆的变速机的 AT (Automatic Transmission)控制装置 10112、控制门锁等车身系统的 BCM(Body Control Module) 10113、进行发动机的转速的控制等的EQJ(Engine Control Unit) 10114等的电子控制装置和车载网关装置10100,通过这些装置构筑控制系统10110。然后,通过控制系统网络10111连接的各装置能够互相进行控制数据的收发。例如AT控制装置10112,当从车载网关装置10100接收关于右左转弯的控制数据时,对应控制数据切换变速机。另外同样,BCM 10113当从车载网关装置10100接收关于打开门锁的控制数据时打开门锁。所谓控制系统网络10111,例如是遵照CAN(ControllerArea Network) >LIN(Local Interconnect Network)、或者 FlexRay 等的规格的网络。在控制系统网络10111上流动的控制系统数据10220具有图14所示那样的数据格式。例如,控制系统数据10220包含表示该控制系统数据10220的种类的数据识别符 10801、表示该控制系统数据10220的控制内容的控制要求10802而构成。返回图13,在信息系统网络10121上例如连接有信息系统终端10122和无线通信装置10123,通过这些装置构筑信息系统10120。信息系统终端10122例如是车辆导航装置,车辆导航装置能够把右左转弯等的路线引导信息通过车载网关装置10100向控制系统10110发送。另外,在无线通信装置10123在服务器装置10124上连接时,通过利用便携电话网等的无线公众网,车辆导航装置能够通过无线通信装置10123从服务器装置10124接收必要的地图的数据等。另外,在服务器装置10124上搭载有车辆诊断程序,也可以要求从所述程序给控制系统10110提供诊断所必要的信息。在这一场合,来自服务器装置10124的要求,因为不需要通过信息系统终端10122,所以也能够直接向车载网关装置10100发送。信息系统网络10121 例如是遵照 CAN、IEEE1394、MOST (Media-Oriented Systems Transport)等的规格的网络。另外,无线通信装置10123也可以连接信息系统终端10122。 在该场合,信息系统网络10121因为不需要构成网络,所以也可以作成利用USB (Universal Serial Bus)等的串行连接。在信息系统网络10121上流动的信息系统数据10210具有图15中所示那样的数据格式。例如,信息系统数据10210包含表示数据的种类的数据识别符10701、表示信息系统数据10210的控制内容的控制要求10702、表示信息系统数据10210为有效的时间的有效时间10703、指定车载网关装置10100向控制系统10110发送信息系统数据10210的次数的发送次数10704而构成。在上述信息系统数据10210中,数据识别符10701用于识别数据的种类。后述的控制系统10110内的电子控制装置有时根据该数据识别符10701判定发送的数据的内容。控制要求10702表示向信息系统10120要求控制系统10110的控制内容,例如表示“前面Ikm处左转弯” “打开门锁”这样具体的控制要求。有效时间10703表示在车载网关装置10100中保存的时间,例如指定与使发生控制要求10702的信息系统终端10122上的软件指定的数据更新时间对应的时间。亦即关于每隔I秒被更新的关于行驶路线的信息等,有效时间通常是到下次更新信息的一秒期间。例如所谓数据的有效时间,是通过在信息系统终端10122上等运行的软件设定的该数据的更新时间。例如,在从车辆导航装置发送“前面Ikm处左转弯”等伴随位置的控制要求的场合,通常该信息仅在某种程度的时间内有效。如果位置信息以一秒的间隔更新,则在该控制要求的有效时间内设定为1000毫秒,这样来通过车辆导航装置上的软件来设定。发送次数10704是在有效时间10703的时间内发送控制要求10702的次数,根据控制要求10702的重要性、控制系统网络10111的网络负荷率等,由信息系统终端10122上运行的软件预先指定。图16是车载网关装置10100的概略图。车载网关装置10100具有第一通信部10250、第二通信部10251、存储部10252、和控制部10253。第一通信部10250是确立和控制系统网络10111的连接、实现进行通信控制的功能的单元。第二通信部10251是确立和信息系统网络10121的连接、实现进行通信控制的功能的单元。存储部10252具有数据管理信息存储区域10310、和车辆状态管理信息存储区域
10320。在数据管理信息存储区域10310中,存储通过车载网关装置10100从信息系统网络10121向控制系统网络10111发送的数据和管理该数据的信息。例如,在数据管理信息存储区域10310中,信息系统数据10210的数据识别符 10701和控制要求10702作为从信息系统网络10121向控制系统网络10111发送的数据被存储。另外例如,在数据管理信息存储区域10310中,作为管理从信息系统网络10121向控制系统网络10111发送的数据的信息,存储图17所示那样的数据管理表10311。如图示,数据管理表10311具有优先级字段10312、定时器值字段10313、发送次数字段10314、识别符字段10315、和数据指针字段10316,对于从信息系统网络10121发送来的数据的每一件保存一个记录。在优先级字段10312中,存储确定发送在各记录中管理的数据的优先级的信息。 如后述,优先级按用定时器值除发送次数所得的值从小到大的顺序升高。另外,对于用定时器值除发送次数所得的值相同的,例如,按照进入数据管理表10311的记录项的顺序优先级升闻。在定时器值字段10313中,存储确定在每一记录中保存的数据的期限的信息。此外,定时器值字段10313的初始值是在信息系统数据10210中包含的有效时间10703,存储从该有效时间10703在数据管理表10311的每一更新周期减去该周期的期间的值。在发送次数字段10314中存储确定向控制系统网络10111发送在各个记录中管理的数据的次数的信息。此外,发送次数字段10314的初始值是信息系统数据10210的发送次数10704,每次对于控制系统网络10111发送该记录时从该发送次数10704中把次数减
在识别符字段10315中存储用于识别在各个记录中管理的数据的识别信息(ID)。 此外,识别符字段10315的初始值是在信息系统数据10210中包含的数据识别符10701。在数据指针字段10316中存储确定在各个记录中管理的数据的存储位置(地址) 的信息。在图17中,作为优先级最高的数据,记载有保存有效时间100毫秒、发送次数一次、将用#10识别的控制要求存储在H’ FFFF4000的地址中的信息的记录。它表示这是在 100毫秒以内必须至少一次发送用#10识别的控制要求的记录。返回图16,在车辆状态管理信息存储区域10320中存储管理控制系统网络10111 的通信状况的信息。例如,在车辆状态管理信息存储区域10320中,存储图18所示那样的车辆管理表
10321。如图示,车辆管理表10321具有项目字段10322和状态字段10323。项目字段10322存储确定在各个记录中管理的控制系统网络10111的通信状况的信息。这里,在本实施形态中,存储有网络负荷率以及电压的记录,但是不限于这样的形态。在状态字段10323中,在各个记录中存储网络负荷率或者电压值。这里,在控制系统网络10111上连接的多个设备,因为通常以一定间隔发送控制数据,所以可以认为控制系统网络10111在通常状态下以特定的时间间隔通信一定数量的控制数据。与此相对,在特定的时间间隔中的数据数量比通常状态多的场合,车辆的控制需要较多的数据,在这样的状态时,当向控制系统网络10111发送来自信息系统10120的数据时,给车辆的控制施加恶劣影响的可能性高。因此,在本实施形态中,预先决定在通常状态下在特定的时间间隔中流过控制系统网络10111的数据数量,把这样的数据数量和实际流过控制系统网络的数据数量的比例作为网络负荷率计算出来,存储在车辆管理表10323中。另外,可以认为给电子控制装置施加的电压值或者来自车辆的电池装置的输出电压值也表示车辆状态。一般,当在控制系统网络10111上连接的装置上施加的电压变得不稳定时,在控制系统网络10111上容易产生噪声信号。亦即在电压不稳定的场合,当车载网关装置10100向控制系统网络10111发送从信息系统网络10121发送的数据时,能够成为在控制系统网络10111上发生大量错误帧的重要原因。因此在本实施形态中,取得给在控制系统网络上连接的装置上施加的电压或者来自车辆电池装置的输出电压,将结果存储在车辆状态管理表10320中。在图18中,例如表示网络负荷率是54%、电子控制装置的电压是11. 8V这样的状态。控制部10253具有信息系统数据接收部10201、数据管理部10202、车辆状态管理部10203、和发送判定部10204。信息系统数据接收部10201,通过第二通信部10251接收来自信息系统网络10121 的信息系统数据,向数据管理部10202交付。数据管理部10202,以包含由信息系统接收部10201交付的对于控制系统网络 10111的控制信息的信息系统数据10210为基础,在数据管理表10311中作为记录登记。进而,数据管理部10202,周期性地遵照已登记的记录的发送次数10314或者有效时间10315进行废弃·更新。车辆状态管理部10203,当通过第一通信部10250接收流过控制系统网络10111的控制系统数据10220时,从接收到的控制系统数据10220计算出表示车辆状态的信息,在车辆状态管理表10321中写入信息。发送判定部10204,周期性地读入车辆状态管理表10321,确认各项目是否在规定的阈值的范围内,如果在该范围内,则判定为可以对控制系统网络10111发送已在数据管理表10311中登记的记录。如果某一个项目不在规定的阈值范围内,该周期不进行发送。然后,发送判定部10204,在判断为可以发送的场合,取出在数据管理表10311 中登记的记录中优先级最高的记录,取得用该记录的识别符字段10315和数据指针字段10316表示的存储器地址中的数据,遵照图14中表示的格式整形,组装控制系统数据 10220,通过第一通信接口 10101向控制系统网络10111发送。在发送后,对于已发送的记录,减去在数据管理表10311中登记的发送次数字段10314后进行更新。此外,数据管理部10202、车辆状态管理部10203、和发送判定部,以各自独立的周期反复实施处理。车载网关装置10100,如图19所示,可由具有作为运算装置的CPU (Central Processing Unit) 1021、作为主存储装置的 RAM (Random Access Memory) 1022、存储程序或数据的ROM (Read Only Memory) 1023、连接它们的总线1032、能够通过控制系统网络10111 进行信息的收发的作为接口的第一通信接口 10101、和能够通过信息系统网络10121进行信息的收发的作为接口的第二通信接口 10103的所谓的计算机构成。上述的信息系统数据接收部10201、数据管理部10202、车辆状态管理部10203、和发送判定部10204,通过执行CPU1021在RAM1022中展开的命令代码实现其运算处理。此外,在RAM1022中展开的命令代码,可以存储在R0M1023中,或者也可以通过第二通信接口 10103从在信息系统网络10121上连接的装置中取得。RAM1022不仅具有记录进行命令代码的展开的区域,而且还有记录数据管理表 10311和车辆状态管理表10321的区域。R0M1023是在车辆中使用的通常的ROM装置,预先记录网关装置的软件、软件所需要的数据的初始值、和其他不需要改写的数据等。第一通信部10250可通过第一通信接口 10101实现,第二通信部10251可通过第二通信接口 10103实现。通过这些硬件装置和各功能部的动作,能够实现车载网关装置10100从信息系统 10120接收数据,如果控制系统10110的状态是稳定状态,则将所述数据向控制系统10110 发送后等待再发送,如果不是稳定状态则等待发送这样的功能。下面使用图20 图23说明第二实施形态中的车载网关装置10100的动作。接着,在图20中表示出上述的信息系统数据接收部10201的详细的处理流程。首先,信息系统数据接收部10201,从第二通信接口 10103接收包含对于控制系统网络10111的控制信息的信息系统数据10210 (STEP10301)。接着,信息系统数据接收部10201,在数据管理表10311中登记接收到的包含对于控制系统网络10111的控制信息的信息系统数据10210。具体说,信息系统数据接收部 10201在RAM1022上的缓冲存储区域(未图示)中存储接收到的包含对于控制系统网络10111的控制信息的信息系统数据10210装控制要求10702,在RAM1022上的数据管理表 10311的数据指针字段10316中存储表示已存储的缓冲存储区域的地址的指针。进而,通过信息系统数据接收部10201在数据管理表10311的识别符字段10315中存储在包含对于控制系统网络10111的控制信息的信息系统数据10210中包含的数据识别符10701,在定时器值字段10313中存储有效时间10703,以及在发送次数字段10314中存储发送次数10704, 来进行登记(STEP10302)。接着,在图21中表示对于通过信息系统数据接收部10201已登记的数据管理表 10310的记录进行管理的数据管理部10202的处理流程。首先,数据管理部10202,通过来自规定的定时器装置的定时器信息判定是否开始自处理(STEP10401)。这里,希望数据管理部10202开始处理的周期,例如是I毫秒周期等的高速周期。数据管理部10202,在从上次的处理时未经过周期的场合,结束数据管理部 10202的处理。在STEP10401中判定的结果,在已经过了周期的场合,数据管理部10202对于在数据管理表10311中登记的全部记录,将定时器值字段10313减去周期的时间更新记录 (STEP10402)。接着,数据管理部10202,抽出删除的记录。具体说,数据管理部10202,对于在数据管理表10311中登记的全部记录,判定是否存在定时器值字段10313或者发送次数字段 10314成为O以下的记录(STEP10403)。数据管理部10202,在STEP10403的判定的结果,如果存在相应的记录则从数据管理表10310中删除该记录(STEP10404)。接着,按照优先级顺序重新排列在数据管理表10311中登记的全部记录。具体说,对于在数据管理表10311中登记的全部记录,以用定时器值字段10313除发送次数字段10314的结果小的顺序判定为是优先级高的记录,以优先级高的顺序进行数据管理表 10311的记录的重新排列,在优先级字段10312中记录优先级的优先顺序(STEP10405)。此外,在STEP10405中,在存在在用定时器值字段10313除发送次数字段10314的结果值相同的记录的场合,数据管理部10202,遵照在数据管理表10311中登记的时间序列的顺序决定顺序。以上是数据管理部10202的详细的处理流程。接着,图22表示和数据管理部10202并行实施的车辆状态管理部10203的处理流程。车辆状态管理部10203,测量控制系统网络10111的状态,使用测量到的信息计算用于测定控制系统网络10111的稳定度的信息,加以记录。具体说,车辆状态管理部10203从控制系统网络10111通过第一通信接口 10101 接收控制系统数据10220 (STEP10501)。车辆状态管理部10203,从在STEP10501接收到的控制系统数据10220取得与车辆状态管理表10321的项目字段10322 —致的信息,以取得该项目的数据的结果为基础,在车辆状态管理表10321的状态字段10323中登记(STEP10502)。这里,所谓车辆状态,例如指通过控制系统网络10111的网络平均负荷率或者在电子控制装置上施加的电压值等的项目表示的控制系统的状态。一般,在控制系统10110中,因为在控制系统网络10111上连接的多个电子控制装置以一定间隔发送控制数据,所以网络平均负荷率恒定地变化。反之,在网络平均负荷率的变化不恒定的场合,可以认为在电子控制装置内控制周期发生了延迟。当以这样的定时车载网关装置10100向控制系统网络10111发送控制系统数据10220时,可以认为会成为使电子控制装置的控制周期进一步发生延迟的重要原因。因此,车辆状态管理部10203收集为判定网络负荷率是否被收纳在恒定的范围内所需要的网络负荷率,在车辆状态管理表10320内登记。例如,也可以在STEP10502取得网络负荷率的场合,车辆状态管理部10203测量在 R0M1023内记录的规定的时间内车辆状态管理部10203接收到的控制数据的数,用预先决定的在R0M1023内记录的规定的控制数据的设想接收数除,计算网络平均负荷率。在该网络平均负荷率中,例如考虑将5台电子控制装置A、B、C、D、E(未图示)连接在控制系统网络10111上的控制系统。装置A以50毫秒周期向控制系统网络10111发送控制数据,装置B以100毫秒周期向控制系统网络10111发送控制数据,装置C以150毫秒周期向控制系统网络10111发送控制数据,装置D以200毫秒周期向控制系统网络10111 发送控制数据,装置E以300毫秒周期向控制系统网络10111发送控制数据。此时,在规定的300毫秒期间车载网关装置10100从控制系统网络10111接收的数据数是13个。在 R0M1023内预先登记有设想接收数13,车辆状态管理部10203,在规定的300毫秒期间接收到13个数据的场合,计算出网络负荷率为100%。另一方面,在电子控制装置A发生不合适的情况的场合等,在一定时间不从电子控制装置A发送控制数据的场合,在规定的300毫秒期间车载网关装置10100接收的数据数成为7个,和规定的13个不一致。在该场合,车辆状态管理部10203用设想接收数13除作为接收到的数据数7,计算出网络负荷率为54%。另外,在电子控制装置上施加的电压值,或者来自车辆的电池装置的输出电压值也表示车辆状态。一般,在电子控制装置上施加的电压变得不稳定时,在控制系统网络 10111上容易发生噪声信号。亦即在电压不稳定的场合,当车载网关装置10100向控制系统网络10111发送控制系统数据10220时,会成为在控制系统网络10111上发生大量错误帧的重要原因。因此,车辆状态管理部10203取得在电子控制装置上施加的电压值或者来自车辆的电池装置的输出电压值,在车辆状态管理表10321中登记结果。在STEP10502中,电压的取得,例如基于从与低电压对应的电子控制装置发送的电压信息来进行。以上是车辆状态管理部10203的处理流程。图23表示发送判定部10204的处理流程。发送判定部10204进行定期地以优先级顺序向控制系统网络10111发送在数据管理表10310中记录的记录的处理。具体说,首先,发送判定部10204根据来自规定的定时器装置的信息判定是否开始自处理(STEP10601)。这里,希望发送判定部10204开始处理的周期是与在控制系统网络10111上连接的电子控制装置的周期中的最短的周期相同的值,但是与此不同的值也可以。这是为了避免由于从车载网关装置10100发送过剩量的控制系统数据10220而增大控制系统网络 10111的负荷率,同时也是为避免对于在控制系统网络10111上连接的电子控制装置的多余的负荷。例如,在各电子控制装置中发送周期是10毫秒的装置是具有最短周期的装置的场合,把10毫秒作为开始发送判定部10204的处理的周期设定。
发送判定部10204,在从上次的处理起未经过周期的场合,结束发送判定部10204 的处理。接着,在STEP10602判定的结果,在从上次的处理起经过了周期的场合,发送判定部10204确认是否在数据管理表10310中登记有记录。在未登记有记录的场合,发送判定部10204就那样结束处理(STEP10602)。在登记有记录的场合,发送判定部10204把在数据管理表10310中优先级最高的数据读出到RAM1022上的变数区域(STEP10603)。接着,发送判定部10204,根据在车辆状态管理表10321中登记的状态字段10323 和在R0M1023或者RAM1022上保存的规定的阈值,判定控制系统10110是否处于稳定的状态,如果处于稳定的状态则判定为是可以向控制系统网络10111发送在上述STEP10603取出的记录的状态(STEP10604)。这里,上述的、控制系统网络10111是否是稳定的状态,通过控制系统网络10111 的网络负荷率、以及在电子控制装置上施加的电压是否被收纳在预先登记的规定的范围内来判定。亦即,如果对于全部项目都被收纳在规定的范围内,则判定为控制系统处于稳定的状态。接着,在STEP10604的实施的结果,如果控制系统10110处于稳定的状态,则发送判定部10204从在STEP10603取出的记录中,把识别符10315作为数据识别符10801、把通过数据指针10316表示的地址上的数据作为控制要求10802,构成控制系统数据10220,并通过第一通信接口 10101向控制系统网络10111发送(STEP10605)。接着,发送判定部10204,把在数据管理表10311内登记的该记录的发送次数减I 进行更新,结束处理(STEP10606)。以上是发送判定部10204的处理流程。以上是作为连接装置的网关装置的第二实施形态。根据上述第二实施形态,车载网关装置10100从在控制系统网络10111上流动的控制系统数据10220中判定控制系统10110的状态,能够仅在控制系统10110的状态是稳定状态的场合才向控制系统网络10111发送来自信息系统10120的控制系统数据10220。 因此,车载网关装置10100能够不对控制系统10110施加恶劣影响而向各电子控制装置发送控制系统数据10220。另外,即使在因为控制系统10110是不稳定状态不能发送的场合, 车辆网关装置10100在该数据有效的期间也不废弃数据而加以保存,能够在下次发送周期中再次尝试数据发送。因此,能够安全地中继从信息系统10120对于控制系统10110发送的信息系统数据10210,能够减小诱发控制系统10110变得不稳定的可能性。另外,在第二实施形态中,发送判定部10204在STEP10604根据车辆状态管理表 10321的值是否被收纳在预先登记的规定的范围内来判定可否发送,但是不限于此。例如,即使在车辆状态管理表10321的值未被收纳在预先登记的规定的范围内的场合,在满足特定的条件的场合也可以例外地发送控制系统数据10220。所谓特定的条件,例如是指紧接在控制系统网络10111上连接的全部电子控制装置同时发送控制数据之后。因为一般在那样的场合网络的负荷成为最小。把在第二实施形态的例子中举出的例子再次作为例子,使用图24说明其原理。
图24是进行以50毫秒单位计数流过控制系统网络10111的每个发送源装置(A E)的数据帧的数的模拟的图表。该图表的X轴表示时间(毫秒),Y轴表示数据帧的数 (个)。这里,上述的电子控制装置A、B、C、D、E的各发送周期的最小公倍数是600毫秒。 亦即在600毫秒内有一次全部电子控制装置发送数据的定时。紧接这之后,可以预测网络的负荷成为最小。例如,如图25所示,作为模拟值,周期内的550毫秒 600毫秒期间等,在车载网关装置10100能够从控制系统网络10111接收5个数据的场合(电子控制装置A E各个各发送一个数据帧的场合),到具有第二小的周期的装置B下次发送数据,亦即在601 毫秒 650毫秒期间,可以保证控制系统网络10111的负荷成为最小。根据以上的原理,在STEP10604中,也可以构成为在特定的条件,亦即在紧接在控制系统网络10111上连接的全部电子控制装置同时发送控制数据之后的周期可以发送。另外,在第二实施形态中,发送判定部10204在STEP10603把优先级字段10312的最高的记录作为发送对象读出,但是不限于此。例如,也可以按照优先级字段10312的顺序读出多个记录,发送多个控制系统数据 10220。但是,在汇总发送多个记录的场合,当未预先决定该最大发送记录数时,由于汇总发送大量的记录,担心控制系统网络10111的网络流量变得过多,控制系统10110变得不稳定。使用图25以下说明具有解决该问题的结构的第三实施形态。在第三实施形态中,基本的结构和第二实施形态相同,但是作为车载网关装置 10100的功能部的车辆状态管理部10203和发送判定部10204的处理内容不同。另外,在 R0M1022上的车辆状态管理表10320中,如图25所示,作为新的记录,存在项目字段10322 是“数据发送量”的记录10330,这点也不同。下面使用图25、26说明第三实施形态中的车辆状态管理部10203和发送判定部 10204的动作。车辆状态管理部10203,在其STEP10502中,在网络负荷率和电压之外,计数流过控制系统网络10111的数据数。把计数的结果在图25中表示的记录10330的状态10323 栏内记录。如图26所示,发送判定部10204,在STEP10602的结果是YES的场合,判定从在存储部10252中存储的规定的阈值(未图示),减去作为该计数的数据数的记录10330的状态字段10323栏的值的差是否比O大(STEP107031)。在STEP107031的结果,差比O大的场合,将该差决定为要发送的记录数,把该记录数数量的记录从数据管理表10310按照优先级顺序读出到存储部10252上的变数区域。在差是O或者是负数的场合,结束发送判定处理(STEP107032)。发送判定部10204,在STEP107051,从该差数数量的变数区域分别构成控制系统数据10220,通过第一通信接口 10101向控制系统网络10111发送两个控制系统数据 10220。例如,在规定的期间(300毫秒期间)内在控制系统网络10111上总计流过13个数据帧的控制系统网络10111中,将上述规定的阈值在R0M1023中设定为15加以存储。然后,车载网关装置10100起动,在车辆状态管理部10203计数控制系统网络10111的规定的期间(300毫秒期间)的数据帧数的结果,累积有13个数据帧流过的场合,车辆状态管理部 10203,在车辆状态管理表10320的记录10330的状态栏中存储“13”。发送判定部10204, 在其STEP107031中,把和作为规定的阈值15的差的(+) 2个计算为可发送的记录数进行, 接着在STEP107031把两个记录读出到变数区域。发送判定部10204,如果在步骤STEP10604判定处于可向控制系统网络10111发送的状态,则在STEP107051从该两个记录分别构成控制系统数据10220,通过第一通信接口 10101向控制系统网络10111发送两个控制系统数据10220。通过以上的第三实施形态,能够从车载网关装置10100向控制系统网络10111发送多个,与第二实施形态比较提高了发送性能,同时能够防止控制系统10110变得不稳定。此外,通过上述第二实施形态、及其变形例、和第三实施形态表示的车载网关装置,不仅可以作为装置做成交易对象,此外,也可以作为装备车载网关装置的车辆做成交易对象。以上是本发明的实施形态。
权利要求
1.一种连接装置,其用于在控制系统的网络上连接该网络的外部的装置,其特征在于, 具有存储从所述外部的装置向所述控制系统发送的数据的存储电路和控制电路, 所述控制电路进行下述处理判定所述控制系统是否稳定的处理;以及在判定为所述控制系统稳定时,向所述控制系统发送在所述存储电路中存储的数据的处理。
2.根据权利要求I所述的连接装置,其特征在于,所述控制电路,在所述网络的网络负荷率在规定的范围内的场合,判定为所述控制系统稳定。
3.根据权利要求I所述的连接装置,其特征在于,所述控制电路,在供给所述控制系统的电压值在规定的范围内的场合,判定为所述控制系统稳定。
4.根据权利要求I所述的连接装置,其特征在于,所述控制电路,以预定的周期判定所述控制系统是否稳定,在一个周期中的流过所述网络的数据量超过规定的阈值的场合,在该一个周期的下一周期中判定为所述控制系统稳定。
5.根据权利要求I所述的连接装置,其特征在于,在所述存储电路中,存储有从所述外部的装置向所述控制系统发送的数据和发送该数据的发送次数,所述控制电路,以预定的周期判定所述控制系统是否稳定,在每次进行该判定结果的所述发送的处理时减去所述发送次数。
6.根据权利要求5所述的连接装置,其特征在于,所述控制电路,在所述发送次数变成为O的场合,从所述存储电路中删除所述发送次数变成为O的数据。
7.根据权利要求I所述的连接装置,其特征在于,在所述存储电路中,存储有从所述外部的装置向所述控制系统发送的数据和确定该数据的有效期间的信息,所述控制电路,以预定的周期判定所述控制系统是否稳定,在每次进行该判定时从所述有效期间减去所述周期的期间。
8.根据权利要求7所述的连接装置,其特征在于,所述控制电路,在所述有效期间到期的场合,从所述存储电路中删除所述有效期间到期的数据。
9.根据权利要求I所述的连接装置,其特征在于,在所述存储电路中,存储有从所述外部的装置向所述控制系统发送的数据和确定该数据的优先级的信息,所述控制电路,在判定为所述控制系统稳定时,从所述优先级高的数据按顺序向所述控制系统发送在所述存储电路中存储的数据。
10.根据权利要求9所述的连接装置,其特征在于,使所述优先级从如下的数据起优先级按顺序升高,上述的数据是把从所述外部的装置向所述控制系统发送的数据的有效期间除以发送次数所得的数值小的数据。
11.一种连接控制方法,其用于在具有存储电路和控制电路的连接装置中、在控制系统的网络上连接该网络的外部的装置,其特征在于,进行下述过程在存储电路中存储从所述外部的装置向所述控制系统发送的数据的过程;所述控制电路判定所述控制系统是否稳定的过程;以及所述控制电路,在判定为所述控制系统稳定时,向所述控制系统发送在所述存储电路中存储的数据的过程。
全文摘要
本发明提供一种车载网关装置、其控制方法、连接装置及其连接控制方法。在车辆的信息系统网络和控制系统网络上连接的车载网关装置中,具有控制在信息系统访问部和控制系统访问部之间的数据流的访问控制部;管理用于控制访问控制部进行访问的策略的策略管理部;通过信息系统访问部监视信息系统的状态的信息系统监视部;通过控制系统访问部监视控制系统的状态的控制系统监视部;和判断是否应该更新由策略管理部管理的策略而更新策略的策略更新部。
文档编号H04L12/24GK102594594SQ201210027370
公开日2012年7月18日 申请日期2008年2月4日 优先权日2007年2月7日
发明者加藤博光, 安藤英里子, 志村明俊, 相薗岳生 申请人:株式会社日立制作所
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1