WO2014027558A1

WO2014027558A1 - 車両制御装置および車両制御システム

Info

Publication number: WO2014027558A1
Application number: PCT/JP2013/070269
Authority: WO
Inventors: 統宙月舘; 祐石郷岡; 成沢　文雄; 渉永浦; 英寿小倉
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2012-08-14
Filing date: 2013-07-26
Publication date: 2014-02-20
Also published as: EP2886397A1; EP2886397A4; JP5836222B2; EP2886397B1; JP2014037197A

Abstract

車両制御システムを構成する各車両制御装置における通信の診断設定が送信側と受信側でそれぞれ正しく設定されているかをチェックする。　本発明による車両制御装置は、通信データに関する第１の診断設定情報を格納する記憶部と、第１の診断設定情報に基づいて第１の診断設定情報送信用データを生成する診断設定情報送信用データ生成部と、ネットワークを介して他の車両制御装置へ第１の診断設定情報送信用データを送信する送信処理部と、ネットワークを介して他の車両制御装置から送信される第２の診断設定情報送信用データを取得する受信処理部と、第２の診断設定情報送信用データから通信データに関する第２の診断設定情報を抽出し、第１の診断設定情報と第２の設定診断情報とを比較し、この比較結果に基づく診断設定確認結果を記憶部に保存する診断設定確認処理を実行する診断設定確認部と、を備える。

Description

車両制御装置および車両制御システム

　本発明は車両制御装置と、この車両制御装置が複数備えられた車両制御システムに関するものである。

近年の多くの車両制御システムは、電子化された車両制御装置であるＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と、複数のＥＣＵ間の通信を可能にする車載ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）から構成されており、この車載ＬＡＮの一つとして、広く利用されているネットワークに、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）がある。

　車両制御システムは環境負荷の低減や安全要求に伴い、システムの高機能化、機能の分散化、複雑化が進んでいる。その結果、ＥＣＵのソフトウェアアーキテクチャの標準化、安全装置の電子制御化とその安全性確保の仕組みの重要性が増大している。例えば、カーメーカは分散させた機能毎に専用のＥＣＵを用意するため、一つの車両制御システムに複数のＥＣＵが混在する。標準化された車両制御装置のソフトウェアアーキテクチャを導入することにより、仕様の異なるＥＣＵを組合せて車両制御システムを構築することを容易にしている。

　また、安全装置の電子制御化にともない機能安全の仕組みが車両制御システムに導入されてきている。ここで、機能安全とは電気・電子システムに不具合が生じたときにシステムが安全側に遷移することで安全を確保する考えである。

　車両制御装置間の通信の安全性はソフトウェアによる診断により確保することができる。しかし、一般的に車両制御システムでは、車種、製品の仕向地、ユーザが自動車を購入する際の機能選択などに応じてシステムの構成が異なるため、診断機能の設定に用いられるソフトウェアも同時に変更される。そのため、通信の安全を確保するには通信の診断設定が送信側と受信側でそれぞれ正しく設定されている事をチェックする仕組みが必要となる。特許文献１では、自己に書き込まれたプログラム及び他の各マイコンに書き込まれたプログラム相互の関係が該当車種に整合したものか否かをチェックする通信機能を有する車載用制御装置が開示されている。この制御装置によれば、万が一整合しないプログラムが書き込まれてしまった場合にも、整合しないプログラムを検出することができる。

特開平５－１１８２４８号公報

　特許文献１に記載の制御装置は、各マイコンに書き込まれたプログラム相互の関係が車種に整合したものか否かをチェックするものであり、各マイコン間で行われる通信の診断設定に関するチェックを行うものではない。そのため、車両制御システムを構成する各車両制御装置における通信の診断設定が送信側と受信側でそれぞれ正しく設定されているかをチェックすることはできない。

　請求項１に記載の発明は、ネットワークを介して接続された他の車両制御装置との間で通信データを送受信する車両制御装置であって、記通信データに関する第１の診断設定情報を格納する記憶部と、第１の診断設定情報に基づいて第１の診断設定情報送信用データを生成する診断設定情報送信用データ生成部と、ネットワークを介して他の車両制御装置へ第１の診断設定情報送信用データを送信する送信処理部と、ネットワークを介して他の車両制御装置から送信される第２の診断設定情報送信用データを取得する受信処理部と、第２の診断設定情報送信用データから通信データに関する第２の診断設定情報を抽出し、第１の診断設定情報と第２の診断設定情報とを比較し、この比較結果に基づく診断設定確認結果を記憶部に保存する診断設定確認処理を実行する診断設定確認部と、を備えることを特徴とする車両制御装置である。

　本発明によれば、車両制御システムを構成する各車両制御装置における通信の診断設定が送信側と受信側でそれぞれ正しく設定されているかをチェックすることができる。

本発明による車両制御システムの実施形態例の全体構成概略図である。ブレーキ支援装置ＥＣＵ１１の構成図である。メータＥＣＵ１３の構成図である。テーブルサイズ管理テーブル１１１２００１０の例を示す図である。送信データ管理テーブル１１１２００２０の例を示す図である。受信データ管理テーブル１１１２００３０の例を示す図である。診断設定確認用データ管理テーブル１１１２００４０の例を示す図である。診断設定情報関連フラグ管理テーブル１１１２００６０の例を示す図である。診断設定情報格納順管理テーブル１１１２００７０の例を示す図である。カウンタ前回値管理テーブル１１１２００８０の例を示す図である。診断設定情報（送信処理）管理テーブル１１１２００９０の例を示す図である。診断設定情報（受信処理）管理テーブル１１１２０１００の例を示す図である。診断設定情報送信判定基準管理テーブル１１１２０１１０の例を示す図である。診断設定確認結果格納テーブル１１１４００１０の例を示す図である。キーオン回数管理テーブル１１１４００２０の例を示す図である。診断設定情報送信用データ１４００１０の構成例を示す図である。診断設定確認結果要求データ１４００２０の構成例を示す図である。診断設定確認結果送信用データ１４００３０の構成例を示す図である。診断設定異常通知データ１４００４０の構成例を示す図である。メータＥＣＵ１３用の受信データ管理テーブル１３０７００１０の例を示す図である。警告灯点灯フラグ管理テーブル１３０７００２０の例を示す図である。診断設定情報送信実行部１１０４の動作フローを示す図である。診断設定情報送信タイミング調整部１１０６の動作フローを示す図である。診断設定情報送信用データ生成部１１０７の動作フローを示す図である。診断設定情報送信用データ１４００１０を送信する際の送信処理部１１１０の動作フローを示す図である。診断設定情報受信実行部１１０５の動作フローを示す図である。受信処理部１１１１の動作フローを示す図である。図２７に示す受信処理部１１１１の動作フローのステップＳ１１１１０００で実施するＣＡＮ受信処理の動作フローを示す図である。診断設定確認部１１０８の動作フローを示す図である。診断設定確認結果送信用データ生成部１１０９の動作フローを示す図である。診断設定確認結果送信用データ１４００３０の送信や、診断設定の異常通知を行う際の送信処理部１１１０の動作フローを示す図である。異常通知情報受信実行部１３０４の動作フローを示す図である。受信処理部１３０６の動作フローを示す図である。図３３に示す受信処理部１３０６の動作フローのステップＳ１３０６０００で実施するＣＡＮ受信処理の動作フローを示す図である。警告灯点灯判定部１３０５の動作フローを示す図である。診断設定情報確認結果解析ツール２が出力する画面表示例を示す図である。

　図１は本発明による車両制御装置を複数備えた車両制御システムの実施形態例の全体構成概略図である。車両制御システム１は、本発明に係る車両制御装置の１つである、ブレーキ支援装置を制御するブレーキ支援装置ＥＣＵ１１を備える。ブレーキ支援装置ＥＣＵ１１はＣＡＮ１４に接続され、ＣＡＮ１４を介して通信相手である他の車載制御装置との間で、互いの通信データに対する診断設定情報を交換する。そして、自身に設定されている診断設定情報と、他の車載制御装置から取得した診断設定情報とを比較し、その比較結果に基づいて、自身の通信データに対する診断設定が送信側と受信側でそれぞれ正しく行われているかを確認する。また、本発明に係るもう１つの車両制御装置であるメータＥＣＵ１３はＣＡＮ１４に接続され、他ＥＣＵの診断設定異常通知データを受信すると、警告灯を点灯させドライバーに車両制御システム１の異常を通知する。診断設定確認結果解析ツール２はＣＡＮ１４に接続することで、各車両制御装置が記録している診断設定の確認結果をＣＡＮ１４を介して取得する。取得結果はユーザが希望する任意の構成で診断設定確認結果解析ツール２の出力画面に表示することができる。

　なお、上記のブレーキ支援装置ＥＣＵ１１およびメータＥＣＵ１３以外にも、ブレーキ装置ＥＣＵ１２を始めとする様々な車両制御装置が車両に搭載されている。たとえば、車両を駆動するエンジンを制御するＥＣＵや、車両を駆動するモータを制御するＥＣＵ、車両全体を制御する最上位のＥＣＵである車両ＥＣＵなどが、車両に搭載される車両制御装置として考えられる。しかし、ここでは上記の２つのＥＣＵを例に説明し、他のＥＣＵについては説明を省略する。これらのＥＣＵは、運転者のキーオン動作により車両のエンジンあるいは車両駆動モータの駆動装置が始動され、車両制御システム１に電源が供給されることで動作を開始する。したがって、このキーオン動作によるエンジン始動あるいは車両駆動モータの駆動装置の始動に応じて、これらのＥＣＵは動作を開始する。以下に説明する本発明による診断設定の確認動作は、これらのＥＣＵの動作開始と同時に実行されてもよいし、またこれらのＥＣＵが接続されたＣＡＮ１４経由で上位の車両ＥＣＵの指令に基づいてキーオン時に実行されてもよい。いずれにしても、本発明による診断設定の確認動作は、車両においてキーオン時に実行されることが望ましい。

　また、上記の診断設定情報は、各ＥＣＵの通信データに対して記録されるものである。これは後述のように、各ＥＣＵの送信データおよび受信データの各々について通信時にどのような診断を行うかを表したものであり、様々な構成が可能である。本発明は、この診断設定情報を用いることで、通信の診断設定が送信側と受信側でそれぞれ正しく設定されているかの確認を複数のＥＣＵ間でネットワークを介して行うシステムを提供することが目的である。

　また、本発明においては、上記の複数の車両制御装置（ＥＣＵ）は通信の診断設定の確認に関して基本的に共通の構成を有している。以下で説明する実施形態例では、診断設定確認結果解析ツール２が診断設定確認結果の送信を要求し、これに対応して上記の車両制御装置が診断設定確認結果をＣＡＮ１４経由で送信し、診断設定確認結果解析ツール２がこれを受信する。しかしながら、本発明は、この実施形態例に限定されない。たとえば、１つの車両制御装置が他の車両制御装置での診断結果を要求してこれを受信し確認することで、複数の車両制御装置が互いに動作を監視し合い、通信の診断設定に関する不具合を検出するようにしてもよい。

　図２は、本発明に関わるブレーキ支援装置ＥＣＵ１１の構成図である。ブレーキ支援装置ＥＣＵ１１は演算装置（ＣＰＵ）１１０１、メモリ１１０２、バックアップメモリ１１１３、入出力回路１１１７およびＣＡＮコントローラ１１１８を備え、ＣＡＮ１４、レゾルバ１１１５、ブレーキ支援装置用モータ１１１６に接続されている。

　演算装置１１０１は、メモリ１１０２が格納している下記の各プログラムを実行するプロセッサ（ＣＰＵ：Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。各プログラムを実行することにより、演算装置１１０１は、診断設定情報送信実行部１１０４、診断設定情報受信実行部１１０５、診断設定情報送信タイミング調整部１１０６、診断設定情報送信用データ生成部１１０７、診断設定確認部１１０８、診断設定確認結果送信用データ生成部１１０９、送信処理部１１１０、受信処理部１１１１の各構成要素として機能することができる。同等の機能を、回路デバイスなどのハードウェアを用いて構成することもできる。

　メモリ１１０２はプログラム領域１１０３とデータ記憶領域１１１２を有する。プログラム領域１１０３は、演算装置１１０１によって実現される上記の各構成要素にそれぞれ対応する診断設定情報送信実行プログラム１１０４１、診断設定情報受信実行プログラム１１０５１、診断設定情報送信タイミング調整プログラム１１０６１、診断設定情報送信用データ生成プログラム１１０７１、診断設定確認プログラム１１０８１、診断設定確認結果送信用データ生成プログラム１１０９１、送信処理プログラム１１１０１、受信処理プログラム１１１１１を格納する。

　データ記憶領域１１１２は、後述の図４で説明するテーブルサイズ管理テーブル１１１２００１０、図５の送信データ管理テーブル１１１２００２０、図６の受信データ管理テーブル１１１２００３０、図７の診断設定確認用データ管理テーブル１１１２００４０、図８の診断設定情報関連フラグ管理テーブル１１１２００６０、図９の診断設定情報格納順管理テーブル１１１２００７０、図１０のカウンタ前回値管理テーブル１１１２００８０、図１１の診断設定（送信処理）管理テーブル１１１２００９０、図１２の診断設定（受信処理）管理テーブル１１１２０１００、図１３の診断設定情報送信判定基準管理テーブル１１１２０１１０を格納する。バックアップメモリ１１１３はデータ記憶領域１１１４を格納する。データ記憶領域１１１４は後述の図１４で説明する診断設定確認結果格納テーブル１１１４００１０、図１５のキーオン回数管理テーブル１１１４００２０を格納する。

　入出力回路１１１７は、演算装置１１０１、メモリ１１０２およびバックアップメモリ１１１３と、レゾルバ１１１５、ブレーキ支援装置用モータ１１１６およびＣＡＮコントローラ１１１８との間で信号を入出力するためのインタフェース処理を行う。ＣＡＮコントローラ１１１８は信号入出力回路１１１９を内蔵しており、ブレーキ支援装置ＥＣＵ１１とＣＡＮ１４との間でのデータの通信処理を受け持つ。この通信データには、後述の図５で説明する送信データ管理テーブル１１１２００２０に示す各送信データ、図６の受信データ管理テーブル１１１２００３０に示す各受信データが含まれる。また、図１６で説明する診断設定情報送信データ１４００１０、図１７の診断設定確認結果送信要求データ１４００２０、後述の図１８で説明する診断設定確認結果送信データ１２００３０、図１９の診断設定異常通知データ１４００４０も含まれる。

　本発明による車両制御装置ではこのブレーキ支援装置ＥＣＵ１１の構成を、たとえば自動車向けの機能安全規格であるＩＳＯ２６２６２に規定されている安全度水準の規格であるＡＳＩＬ（Ａｕｔｏｍｏｔｉｖｅ　Ｓａｆｅｔｙ　Ｉｎｔｅｇｒｉｔｙ　Ｌｅｖｅｌ）の最上位レベルであるＡＳＩＬ＿Ｄに準拠した代表的な機能安全対応ＥＣＵアーキテクチャとして説明する。なお、ブレーキ装置ＥＣＵ１２や他のＥＣＵもブレーキ支援装置ＥＣＵ１１と同様のアーキテクチャをそれぞれ備えているが、それぞれのＥＣＵの内部構成（プログラム構成）や、それぞれに接続されるセンサおよび制御対象機器の構成は異なっていてよい。例えば、ブレーキ支援装置ＥＣＵ１１では、これに接続されるセンサはレゾルバ１１１５であり、制御対象機器としてのアクチュエータはブレーキ支援装置用モータ１１１６であるが、ブレーキ装置ＥＣＵ１２では、センサは加速度センサ１２０１であり、制御対象機器としてのアクチュエータは横滑り防止用モータ１２０２である。

　図３は、本発明に関わるメータＥＣＵ１３の構成図である。メータＥＣＵ１３は演算装置（ＣＰＵ）１３０１、メモリ１３０２、入出力回路１３０９およびＣＡＮコントローラ１３１０を備え、ＣＡＮ１４、警告灯１３０８に接続されている。

　演算装置１３０１は、メモリ１３０２が格納している下記の各プログラムを実行するプロセッサ（ＣＰＵ：Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。各プログラムを実行することにより、演算装置１３０１は、異常通知情報受信実行部１３０４、警告灯点灯制御部１３０５、受信処理部１３０６の各構成要素として機能することができる。同等の機能を、回路デバイスなどのハードウェアを用いて構成することもできる。

　メモリ１３０２はプログラム領域１３０３とデータ記憶領域１３０７を有する。プログラム領域１３０３は、異常通知情報受信実行プログラム１３０４１、警告灯点灯制御プログラム１３０５１、受信処理プログラム１３０６１を格納する。データ記憶領域１３０７は図２０で説明（後述）するメータＥＣＵ１３用の受信データ管理テーブル１３０７００１０、図２１の警告灯点灯フラグ管理テーブル１３０７００２０を格納する。

　入出力回路１３０９は、演算装置１３０１およびメモリ１３０２と、警告灯１３０８およびＣＡＮコントローラ１３１０との間で信号を入出力するためのインタフェース処理を行う。ＣＡＮコントローラ１３１０は信号入出力回路１３１１を内蔵しており、メータＥＣＵ１３とＣＡＮ１４との間でのデータの通信処理を受け持つ。

　本発明による車両制御装置の実施形態例では、このメータＥＣＵ１３およびこれに接続される機器の構成を図３の例で説明を行うが、構成はこれに限らない。例えば、メータＥＣＵ１３の診断設定情報を、他車両制御装置間で交換し、診断設定情報の異常を検出しても構わない。　

　ブレーキ支援装置ＥＣＵ１１のデータ記憶領域１１１２に格納されるテーブルは以下のように構成されている。

　図４は、テーブルサイズ管理テーブル１１１２００１０の例を示す図である。テーブルサイズ管理テーブル１１１２００１０は、プログラム処理を容易とするための、後述の種々のテーブルが有するレコード数（テーブルサイズ）を保持するテーブルであり、名称フィールド１１１２００１１、総数フィールド１１１２００１２を有する。このテーブルには、図５の送信データ管理テーブル１１１２００２０のレコード数（ＩＤ数）を表す送信データ管理ＩＤ数１１１２００１３、図６の受信データ管理テーブル１１１２００３０のレコード数（ＩＤ数）を表す受信データ管理ＩＤ数１１１２００１４、図１１の診断設定情報（送信処理）管理テーブル１１１２００９０における診断処理のレコード数を表す送信データ診断処理数１１１２００１５、図１２の診断設定情報（受信処理）管理テーブル１１１２０１００における診断処理のレコード数を表す受信データ診断処理数１１１２００１６、図１６の診断設定情報送信用データ１４００１０における診断設定情報の格納数を表す診断設定情報格納数１１１２００１７、図１４の診断設定確認結果格納テーブル１１１４００１０のレコード数を表す診断設定確認結果記録数１１１２００１８が記録されている。説明の都合上、本実施形態例では各テーブルのテーブルサイズを参照するために、図４に示すテーブルサイズ管理テーブル１１１２００１０を用いるが、このテーブルの構成は図４に示すものに限らない。

　図５は、送信データ管理テーブル１１１２００２０の例を示す図である。送信データ管理テーブル１１１２００２０は、ブレーキ支援装置ＥＣＵ１１が送信する各送信データのＣＡＮ＿ＩＤとその安全度水準を管理するテーブルであり、送信データ管理ＩＤフィールド１１１２００２１、データ名フィールド１１１２００２２、ＣＡＮ＿ＩＤフィールド１１１２００２３、安全度水準フィールド１１１２００２４を有する。ここでは、ブレーキ支援装置ＥＣＵ１１からの送信データとして重要な、ブレーキ支援装置用モータ１１１６の回転数を表す回転数データおよびレゾルバ１１１５によるレゾルバデータのみを例示したが、これに限られるものではない。

　データ名フィールド１１１２００２２は、各送信データのデータ名を保持する。ＣＡＮ＿ＩＤフィールド１１１２００２３は、各送信データのＣＡＮ＿ＩＤを保持する。安全度水準フィールド１１１２００２４は、各送信データに割り付けられた安全度水準をＡ、Ｂ、Ｃ、Ｄの４段階で表現する。安全度水準が最も低い場合「Ａ」を保持し、最も安全度水準が高い場合「Ｄ」を保持する。ここで安全度水準が高いとは、安全度水準を割り付けられたデータの値が異常な値を示す確率が高い、または当該データの異常時にシステムに対する影響が大きいことを意味する。

　各送信データに対する安全度水準の設定は、たとえば前述のＡＳＩＬに準拠して行われる。ただし、安全度水準の設定は、ＡＳＩＬ以外に準拠しても構わない。なお、この安全度水準の設定は、ＡＳＩＬなどの安全度水準規格の変更や、通信データの変更等により更新可能としてもよい。新たに安全度水準を設定する場合は、たとえば診断設定確認結果解析ツール２が安全度水準を改訂した診断設定情報をＣＡＮ１４経由で送信してよい。これを受信した車両制御装置で安全度水準を書き換えて、改訂された安全度水準に基づいて通信データに対する診断設定の確認が行われる。

　図６は、受信データ管理テーブル１１１２００３０の例を示す図である。受信データ管理テーブル１１１２００３０は、ブレーキ支援装置ＥＣＵ１１が受信する各受信データのＣＡＮ＿ＩＤとその安全度水準を管理するテーブルであり、受信データ管理ＩＤフィールド１１１２００３１、データ名フィールド１１１２００３２、ＣＡＮ＿ＩＤフィールド１１１２００３３、安全度水準フィールド１１１２００３４を有する。ここでは、ブレーキ支援装置の受信データとして重要な加速度データと車速データのみを例示したが、これに限られるものではない。

　データ名フィールド１１１２００３２は、各受信データのデータ名を保持する。ＣＡＮ＿ＩＤフィールド１１１２００３３は、各受信データのＣＡＮ＿ＩＤを保持する。

　安全度水準フィールド１１１２００３４は、各受信データに割り付けられた安全度水準をＡ、Ｂ、Ｃ、Ｄの４段階で表現する。安全度水準が最も低い場合「Ａ」を保持し、最も安全度水準が高い場合「Ｄ」を保持する。ここで安全度水準が高いとは、前述の図５の送信データ管理テーブル１１１２００２０の場合と同様に、安全度水準を割り付けられたデータの値が異常な値を示す確率が高い、または当該データの異常時にシステムに対する影響が大きいことを意味する。

図７は、診断設定確認用データ管理テーブル１１１２００４０の例を示す図である。診断設定確認用データ管理テーブル１１１２００４０は、ブレーキ支援装置ＥＣＵ１１が他の車両制御装置と診断設定情報を交換したり、診断設定確認結果解析ツール２やメータＥＣＵ１３へ診断設定確認結果を通知したりするために、ブレーキ支援装置ＥＣＵ１１とＣＡＮ１４の間で入出力される診断設定確認用データに割り付けられるＣＡＮ＿ＩＤとその安全度水準を管理するテーブルであり、データ名フィールド１１１２００４１、ＣＡＮ＿ＩＤフィールド１１１２００４２、安全度水準フィールド１１１２００４３を有する。

　データ名フィールド１１１２００４１は、ブレーキ支援装置ＥＣＵ１１とＣＡＮ１４との間で入出力される各診断設定確認用データのデータ名を保持する。この診断設定確認用データには、ＣＡＮ１４に接続された他の車両制御装置にブレーキ支援装置ＥＣＵ１１の診断設定情報を送信するための診断設定情報送信用データ１４００１０、診断設定確認結果解析ツール２がブレーキ支援装置ＥＣＵ１１に対して診断設定確認結果の送信を要求するための診断設定確認結果要求データ１４００２０、ブレーキ支援装置ＥＣＵ１１が診断設定確認結果解析ツール２に診断設定確認結果を送信するための診断設定確認結果送信用データ１４００３０、ブレーキ支援装置ＥＣＵ１１がメータＥＣＵ１３に自身の診断設定に異常があったことを通知するための診断設定異常通知データ１４００４０が含まれる。なお、これらのデータの詳細については、後で図１６、１７、１８および１９を用いて説明する。

　ＣＡＮ＿ＩＤフィールド１１１２００４２は、上記の各診断設定確認用データのＣＡＮ＿ＩＤを保持する。

　安全度水準フィールド１１１２００４３は、各診断設定確認用データに割り付けられた安全度水準をＡ、Ｂ、Ｃ、Ｄの４段階で表現する。安全度水準が最も低い場合「Ａ」を保持し、最も安全度水準が高い場合「Ｄ」を保持する。ここで安全度水準が高いとは、前述のように、安全度水準を割りけられたデータの値が異常な値を示す確率が高い、または当該データの異常時にシステムに対する影響が大きいことを意味する。

　図８は、診断設定情報関連フラグ管理テーブル１１１２００６０の例を示す図である。診断設定情報関連フラグ管理テーブル１１１２００６０は、ブレーキ支援装置ＥＣＵ１１と、ＣＡＮ１４を介して接続された他の車両制御装置や診断設定確認結果解析ツール２との間でのデータの送受信に関する要求を管理するテーブルであり、診断設定情報送信要求フラグフィールド１１１２００６１、診断設定情報受信フラグフィールド１１１２００６２、診断設定確認結果送信要求フラグフィールド１１１２００６３、診断設定異常通知フラグフィールド１１１２００６４を有する。

　診断設定情報送信要求フラグフィールド１１１２００６１は、他の車両制御装置からブレーキ支援装置ＥＣＵ１１に対する診断設定情報の送信要求の有無を判断するためのフラグを格納する部分である。ここには、他の車両制御装置から診断設定情報の送信要求が無ければ「０」、送信の要求があれば「１」が保持される。診断設定情報受信フラグフィールド１１１２００６２は、他の車両制御装置から診断設定情報を受信したことを判断するためのフラグを格納する部分である。ここには、ＣＡＮ１４に接続された他の車両制御装置から診断設定情報を受信していなければ「０」、受信していれば「１」が保持される。

　診断設定確認結果送信要求フラグフィールド１１１２００６３は、診断設定確認結果解析ツール２から診断設定確認結果の送信要求の有無を判断するためのフラグを格納する部分である。ここには、診断設定確認結果解析ツール２から診断設定確認結果の送信の要求が無ければ「０」、送信の要求があれば「１」が保持される。診断設定異常通知フラグフィールド１１１２００６４は、ＣＡＮ１４を介して接続されたメータＥＣＵ１３にブレーキ支援装置ＥＣＵ１１自身の診断設定の異常を通知するか否かを判断するためのフラグを格納する部分である。ここには、診断設定の異常を通知しない場合は「０」、通知する場合は「１」が保持される。

　図９は、診断設定情報格納順管理テーブル１１１２００７０の例を示す図である。診断設定情報格納順管理テーブル１１１２００７０は、図５の送信データ管理テーブル１１１２００２０および図６の受信データ管理テーブル１１１２００３０において示されたブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定情報の格納順を管理するテーブルであり、診断設定情報格納順ＩＤフィールド１１１２００７１、ＣＡＮ＿ＩＤフィールド１１１２００７２、送信／受信診断情報判定フラグフィールド１１１２００７３を有する。

　診断設定情報格納順ＩＤフィールド１１１２００７１は、各通信データの診断設定情報を格納する際の識別子である診断設定情報格納順ＩＤを保持する。ＣＡＮ＿ＩＤフィールド１１１２００７２は、各通信データのＣＡＮ＿ＩＤを保持する。送信／受信診断情報判定フラグフィールド１１１２００７３は、各通信データが送信データと受信データのいずれであるかを判断するためのフラグを格納する部分である。ここには、ブレーキ支援装置ＥＣＵ１１から他の車両制御装置への送信データであれば「１」が保持され、他の車両制御装置からブレーキ支援装置ＥＣＵ１１への受信データであれば「０」が保持される。

　図１０は、カウンタ前回値管理テーブル１１１２００８０の例を示す図である。カウンタ前回値管理テーブル１１１２００８０は、カウンタの前回値を管理するテーブルであり、カウンタ名フィールド１１１２００８１、カウンタ値フィールド１１１２０８２、を有する。

　カウンタ名フィールド１１１２００８１は、ブレーキ支援装置ＥＣＵ１１が前回値を保持するカウンタの名称である。カウンタ値フィールド１１１２０８２は、ブレーキ支援装置ＥＣＵ１１が保持するカウンタの値である。ここでは、後述の図２４のフローチャートにおいて用いられるカウンタｊの前回値が記録されている。

　図１１は、診断設定情報（送信処理）管理テーブル１１１２００９０の例を示す図である。診断設定情報(送信処理)管理テーブル１１１２００９０は、図５の送信データ管理テーブル１１１２００２０に示したブレーキ支援装置ＥＣＵ１１からの各送信データに対して適用する診断設定の組合せを管理するテーブルであり、ＣＡＮ＿ＩＤフィールド１１１２００９１、未送信診断実行フラグフィールド１１１２００９２、パリティコード付加フラグフィールド１１１２００９３、ＣＲＣコード付加フラグフィールド１１１２００９４、メッセージカウンタ付加フラグフィールド１１１２００９５を有する。

　ＣＡＮ＿ＩＤフィールド１１１２００９１は、ブレーキ支援装置ＥＣＵ１１からの各送信データに対してそれぞれ固有に定められたＣＡＮ１４内でのデータの識別子であるＣＡＮ＿ＩＤを保持する。このＣＡＮ＿ＩＤフィールド１１１２００９１に格納される各送信データのＣＡＮ＿ＩＤは、図５の送信データ管理テーブル１１１２００２０においてＣＡＮ＿ＩＤフィールド１１１２００２３に格納されているものと同一である。

　未送信診断実行フラグフィールド１１１２００９２は、各送信データに対して未送信診断の実行を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。本診断を行わない送信データの場合、当該送信データに対応する部分には「０」が保持され、本診断を適用する送信データの場合は「１」が保持される。

　パリティコード付加フラグフィールド１１１２００９３は、各送信データに対してパリティコード付加を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。パリティ付加を行わない送信データの場合、当該送信データに対応する部分には「０」が保持され、パリティ付加を行う送信データの場合は「１」が保持される。

　ＣＲＣコード付加フラグフィールド１１１２００９４は、各送信データに対してＣＲＣコードの付加を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。ＣＲＣコード付加を行わない送信データの場合、当該送信データに対応するフィールドには「０」が保持され、ＣＲＣコード付加を実施する送信データの場合は「１」が保持される。

　メッセージカウンタ付加フラグフィールド１１１２００９５は、各送信データに対してメッセージカウンタ付加を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。メッセージカウンタ付加を行わない送信データの場合、当該送信データに対応するフィールドには「０」が保持され、メッセージカウンタ付加を行う場合は「１」が保持される。

　ここで、診断設定情報(送信処理)管理テーブル１１１２００９０は、送信データに適用する代表的な通信の診断方式である未送信診断、パリティコード付加、ＣＲＣコード付加、メッセージカウンタ付加の実施を判定するフィールドを有しているが、送信データに適用する診断の種類はこれらに限らない。

　図１２は、診断設定情報(受信処理)管理テーブル１１１２０１００の例を示す図である。診断設定情報(受信処理)管理テーブル１１１２０１００は、図６の受信データ管理テーブル１１１２００３０に示したブレーキ支援装置ＥＣＵ１１が受信する各受信データに対して適用する診断設定の組合せを管理するテーブルであり、ＣＡＮ＿ＩＤフィールド１１１２０１０１、未受信診断実行フラグフィールド１１１２０１０２、パリティチェック診断フラグフィールド１１１２０１０３、ＣＲＣチェック診断フラグフィールド１１１２０１０４、メッセージカウンタ診断フラグフィールド１１１２０１０５を有する。

　ＣＡＮ＿ＩＤフィールド１１１２０１０１は、ブレーキ支援装置ＥＣＵ１１の各受信データに対してそれぞれ固有に定められたＣＡＮ１４内でのデータの識別子であるＣＡＮ＿ＩＤを保持する。このＣＡＮ＿ＩＤフィールド１１１２０１０１に格納される各受信データのＣＡＮ＿ＩＤは、図６の受信データ管理テーブル１１１２００３０においてＣＡＮ＿ＩＤフィールド１１１２００３３に格納されているものと同一である。

　未受信診断実行フラグフィールド１１１２０１０２は、各受信データに対して未受信診断の実行を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。本診断を適用しない受信データの場合、当該受信データに対応する部分には「０」が保持され、本診断を適用する受信データの場合は「１」が保持される。

　パリティチェック診断フラグフィールド１１１２０１０３は、各受信データに対してパリティチェック診断を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。本診断を適用しない受信データの場合、当該受信データに対応する部分には「０」が保持され、本診断を適用する受信データの場合は「１」が保持される。

　ＣＲＣチェック診断フラグフィールド１１１２０１０４は、各受信データに対してＣＲＣチェック診断を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。本診断を適用しない受信データの場合、当該受信データに対応する部分には「０」が保持され、本診断を適用する受信データの場合は「１」が保持される。

　メッセージカウンタ診断フラグフィールド１１１２０１０５は、各受信データに対してメッセージカウンタ診断を適用するか否かの判断に用いるためのフラグをそれぞれ格納する部分である。本診断を適用しない受信データの場合、当該受信データに対応する部分には「０」が保持され、本診断を適用する受信データの場合は「１」が保持される。

　ここで、診断設定情報(受信処理)管理テーブル１１１２０１００は、受信データに適用する診断方式として、代表的な通信の診断方式である未送信診断、パリティチェック診断、ＣＲＣチェック診断、メッセージカウンタ診断の実施を判定するフィールドを有しているが、受信データに適用する診断の種類はこれらに限らない。

　図１３は、診断設定情報送信判定基準管理テーブル１１１２０１１０の例を示す図である。診断設定情報送信判定基準管理テーブル１１１２０１１０は、ブレーキ支援装置ＥＣＵ１１が他の車両制御装置に対して送信する診断設定情報を選別する際の判定基準を管理するテーブルであり、送信判定安全度水準フィールド１１１２０１１１を有する。送信判定安全度水準フィールド１１１２０１１１は、ブレーキ支援装置ＥＣＵ１１において送信対象とする診断設定情報の判定基準としての安全度水準を保持する。前述のように、安全度水準とは通信データごとにＡ、Ｂ、Ｃ、Ｄの４段階で表現され、安全度水準が最も低い通信データに対しては「Ａ」が割り当てられ、最も安全度水準が高い通信データに対しては「Ｄ」が割り当てられる。ここで安全度水準が高いデータとは、当該データの値が異常な値を示す確率が高い、または当該データの異常時にシステムに対する影響が大きいことを意味する。ここで、診断設定情報送信判定基準管理テーブル１１１２０１１０では、診断設定情報に対する送信の判定基準を安全度水準であるＡＳＩＬに準拠したものとしているが、判定基準はＡＳＩＬに限らない。

　図１４は、診断設定確認結果格納テーブル１１１４００１０の例を示す図である。診断設定確認結果格納テーブル１１１４００１０は、ブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定の確認結果を格納するテーブルであり、キーオン回数フィールド１１１４００１１、設定確認結果格納順ＩＤフィールド１１１４００１２、ＣＡＮ＿ＩＤフィールド１１１４００１３、安全度水準フィールド１１１４０１４、送信／受信判定フラグフィールド１１１４００１５、診断設定確認結果フィールド１１１４００１６を有する。

　キーオン回数フィールド１１１４００１１は、車両制御システム１が搭載された車がキーオンした回数を示す。設定確認結果格納順ＩＤフィールド１１１４００１２は、ブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定の確認結果が格納されている順序を判別するための識別子を保持する。ＣＡＮ＿ＩＤフィールド１１１４００１３は、各通信データのＣＡＮ＿ＩＤを保持する。安全度水準フィールド１１１４０１４は、各通信データに割り付けられた安全度水準をＡＳＩＬに準拠して表示するフィールドである。ここでは安全度水準はＡＳＩＬに準拠しているが、ＡＳＩＬ以外の安全度水準に準拠し表現しても構わない。

　送信／受信判定フラグフィールド１１１４００１５は、テーブルの当該部分に格納されている確認結果が受信データの診断設定確認結果なのか送信データの診断設定確認結果なのかの判別に用いるためのフラグを格納する。受信データに対する診断設定の確認結果であれば「０」を、送信データに対する診断設定の確認結果であれば「１」を保持する。

　診断設定確認結果フィールド１１１４００１６は、テーブルの当該部分に対応する通信データに対する診断設定の確認結果を保持する。当該通信データに対する診断設定が送信側と受信側とで一致している場合、すなわち、ブレーキ支援装置ＥＣＵ１１における当該通信データの診断設定と、そのデータの受信先または送信元である他の車両制御装置における診断設定とが一致している場合は「０」を保持し、一致していなければ「１」を保持する。

　図１５は、キーオン回数管理テーブル１１１４００２０の例を示す図である。キーオン回数管理テーブル１１１４００２０は、車両制御システム１が搭載された車両がキーオンした回数を保持するテーブルであり、キーオン回数フィールド１１１４００２１を備える。

　以上が本発明による車両制御装置の実施形態例のブレーキ支援装置ＥＣＵ１１の記憶領域１１１２に格納されるテーブルである。

　ブレーキ支援装置ＥＣＵ１１がＣＡＮ１４を介して送信、受信するデータの構成を以下に説明する。

　図１６は、図７の診断設定確認用データ管理テーブル１１１２００４０に示した診断設定情報送信用データ１４００１０の構成例を示した図である。診断設定情報送信用データ１４００１０は、ＣＡＮ１４を介してブレーキ支援装置ＥＣＵ１１から他の車両制御装置へ送信する診断設定情報を格納するために、ＣＡＮ＿ＩＤフィールド１４００１１、診断設定情報格納領域１フィールド１４００１２、診断設定情報格納領域２フィールド１４００１３、診断設定情報格納領域３フィールド１４００１４、診断設定情報格納領域４フィールド１４００１５で構成される。

　ＣＡＮ＿ＩＤフィールド１４００１１は、診断設定情報送信用データ１４００１０に対して固有の識別子として設定されているＣＡＮ＿ＩＤを保持する。ここには、図７における診断設定情報送信用データ１４００１０のＣＡＮ＿ＩＤと同一の値、すなわち「１００」が保持される。診断設定情報格納領域１フィールド１４００１２、診断設定情報格納領域２フィールド１４００１３、診断設定情報格納領域３フィールド１４００１４、診断情報格納領域４フィールド１４００１５の構成は共通である。

　診断設定情報格納領域１フィールド１４００１２は、たとえば図１６下側に示すように、ＣＡＮ＿ＩＤフィールド１４１０１１、送信／受信判定フラグフィールド１４１０１２、診新設定情報フィールド１４１０１３で構成される。

　ＣＡＮ＿ＩＤフィールド１４１０１１は、診断設定情報格納領域１フィールド１４００１２に格納されている診断設定情報が対応する通信データのＣＡＮ＿ＩＤを表す。送信／受信診断情報判定フラグフィールド１４１０１２は、当該診断設定情報が、受信データに対する診断設定情報なのか送信データに対する診断設定情報なのかを判別するためのフラグを表す。ここでは、受信データに対する診断設定情報であれば「０」を、送信データに対する診断設定情報であれば「１」を保持する。診新設定情報フィールド１４１０１３は、当該診断設定情報が表す診断設定の組み合わせの情報を格納するフィールドである。ここには、図１１の診断設定情報（送信処理）管理テーブル１１１２００９０または図１２の診断設定情報（受信処理）管理テーブル１１１２０１００のうち、当該診断設定情報に対応する部分の内容が格納される。

　なお、診断設定情報フィールド１４１０１３の詳細な構成は、診断設定情報（送信処理）管理テーブル１１１２００９０（図１１参照）の未送信診断実行フラグ１１１２００９２～メッセージカウンタ付加フラグ１１１２００９５、あるいは診断設定情報（受信処理）管理テーブル１１１２０１００（図１２参照）の未受信診断実行フラグ１１１２０１０２～メッセージカウンタ診断フラグ１１１２０１０５と同じデータ構造となっている。すなわち診断設定情報フィールド１４１０１３の４ビットのデータは、診断設定情報（送信処理）管理テーブル１１１２００９０あるいは診断設定情報（受信処理）管理テーブル１１１２０１００のこれらの４ビット分のデータに対応している。

　上記のようなブレーキ支援装置ＥＣＵ１１の通信データに関する診断設定情報送信用データ１４００１０が、ブレーキ支援装置ＥＣＵ１１からＣＡＮ１４を介して接続された他の車両制御装置へと送信される。また、これと同様に、他の車両制御装置からブレーキ支援装置ＥＣＵ１１へも、当該車両制御装置の通信データに関する診断設定情報送信用データが送信される。このようにして、複数の車両制御装置の間で、それぞれの通信データに関する診断設定情報送信用データが互いに交換される。

　図１７は、図７の診断設定確認用データ管理テーブル１１１２００４０に示した診断設定確認結果要求データ１４００２０の構成例を示した図である。診断設定確認結果要求データ１４００２０は、診断設定確認結果解析ツール２がブレーキ支援装置ＥＣＵ１１に対して診断設定確認結果の送信を要求するためのデータ構成として、ＣＡＮ＿ＩＤフィールド１４００２１、要求対象ＣＡＮ＿ＩＤフィールド１４００２２を備える。

　なお、図１７に示した診断設定確認結果要求データ１４００２０は、通常ＣＡＮ１４に接続された診断設定確認結果解析ツール２から送信される。これを複数の車両制御装置が受信することで、それぞれの通信データに対する診断設定の確認結果が複数の車両制御装置から診断設定確認結果解析ツール２に送信される。しかしながら、この診断設定確認結果要求データ１４００２０は、必要に応じＣＡＮ１４に接続されている上位制御装置（不図示）あるいは、ＣＡＮ１４に接続された複数の車両制御装置の１つから、他の車両制御装置に送信されてもよい。すなわち、ＣＡＮ１４に接続された１つの車両制御装置から送信された診断設定確認結果要求データ１４００２０に応じて、他の車両制御装置が診断設定の確認結果を返信するようにしてもよい。

　ＣＡＮ＿ＩＤフィールド１４００２１は、診断設定確認結果要求データ１４００２０に対して固有の識別子として設定されているＣＡＮ＿ＩＤを保持する。ここには、図７における診断設定確認結果要求データ１４００２０のＣＡＮ＿ＩＤと同一の値、すなわち「１０１」が保持される。要求対象ＣＡＮ＿ＩＤフィールド１４００２２は、診断設定の確認結果を要求する対象の通信データのＣＡＮ＿ＩＤを保持する。

　図１８は、図７の診断設定確認用データ管理テーブル１１１２００４０に示した診断設定確認結果送信用データ１４００３０の構成例を示した図である。診断設定確認結果送信用データ１４００３０は、ブレーキ支援装置ＥＣＵ１１における各通信データに対する診断設定の確認結果を診断設定情報確認結果解析ツール２へ送信するためのデータ構成として、ＣＡＮ＿ＩＤフィールド１４００３１、診断設定確認結果格納領域１フィールド１４００３２、診断設定確認結果格納領域２フィールド１４００３３、診断設定確認結果格納領域３フィールド１４００３４、診断設定確認結果格納領域４フィールド１４００３５を備える。

　ＣＡＮ＿ＩＤフィールド１４００３１は、診断設定確認結果送信用データ１４００３０に対して固有の識別子として設定されているＣＡＮ＿ＩＤを保持する。ここには、図７における診断設定確認結果送信用データ１４００３０のＣＡＮ＿ＩＤと同一の値、すなわち「１０２」が保持される。診断設定確認結果格納領域１フィールド１４００３２、診断設定確認結果格納領域２フィールド１４００３３、診断設定確認結果格納領域３フィールド１４００３４、診断設定確認結果格納領域４フィールド１４００３５の構成は共通である。

　診断設定確認結果格納領域１フィールド１４００３２は、たとえば図１８下側に示すように、ＣＡＮ＿ＩＤフィールド１４１０３１、キーオン回数フィールド１４１０３２、安全度水準フィールド１４１０３３、送信／受信判定フラグフィールド１４１０３４、診断設定確認結果フィールド１４１０３５で構成される。

　ＣＡＮ＿ＩＤフィールド１４１０３１は、診断設定確認結果格納領域１フィールド１４００３２に格納されている診断設定の確認結果が対応する通信データのＣＡＮ＿ＩＤを表す。キーオン回数フィールド１４１０３２は、当該確認結果が得られたときの車のキーオン回数を示す。安全度水準フィールド１４１０３３は、当該通信データに割り付けられた安全度水準を示す。送信／受信判定フラグフィールド１４１０３４は、当該確認結果が、受信データに対する診断設定の確認結果なのか送信データに対する診断設定の確認結果なのかを判別するためのフラグを表す。ここでは、受信データに対する診断設定の確認結果であれば「０」を、送信データに対する診断設定の確認結果であれば「１」を保持する。診断設定確認結果フィールド１４１０３５は、診断設定の確認結果を格納するフィールドである。ここには、図１４の診断設定確認結果格納テーブル１１１４００１０のうち、当該診断設定の確認結果に対応する部分の内容が格納される。すなわち、送信側と受信側とで診断設定が一致していれば「０」を、一致していなければ「１」を保持する。

　図１９は、図７の診断設定確認用データ管理テーブル１１１２００４０に示した診断設定異常通知データ１４００４０の構成例を示す図である。診断設定異常通知データ１４００４０は、ブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定での異常の有無をメータＥＣＵ１３に通知するためのデータ構成として、ＣＡＮ＿ＩＤフィールド１４００４１、データフィールド１４００４２を備える。

　ＣＡＮ＿ＩＤフィールド１４００４１は、診断設定異常通知データ１４００４０に対して固有の識別子として設定されているＣＡＮ＿ＩＤを保持する。ここには、図７における診断設定異常通知データ１４００４０のＣＡＮ＿ＩＤと同一の値、すなわち「１０３」が保持される。データフィールド１４００４２には、所定のデータ、たとえばブレーキ支援装置ＥＣＵ１１に割り当てられた固有の機器ＩＤなどが格納されている。なお、ここに格納するデータはこれに限らない。

　上記の診断設定異常通知データ１４００４０は、メータＥＣＵ１３や診断設定情報確認結果解析ツール２、および上位のＥＣＵである車両ＥＣＵ（不図示）などによって受信され、異常がある場合はこれに対応した処理が実施される。

　以上が本発明による車両制御装置の実施形態例のブレーキ支援装置ＥＣＵがＣＡＮ１４を介して送信、受信するデータの構成である。

　以下に、メータＥＣＵ１３のデータ記憶領域１３０７に格納される各種テーブルについて説明する。

　図２０は、メータＥＣＵ１３用の受信データ管理テーブル１３０７００１０の例を示す図である。この受信データ管理テーブル１３０７００１０は、メータＥＣＵ１３がＣＡＮ１４を介して他の車両制御装置から受信するデータのＣＡＮ＿ＩＤとその安全度水準を管理するテーブルであり、名称フィールド１３０７００１１とＣＡＮ＿ＩＤフィールド１３０７００１２、安全度水準フィールド１３０７００１３を備える。

　名称フィールド１３０７００１１は、メータＥＣＵ１３が受信するデータ名を保持する。ここでは、メータＥＣＵ１３の受信データとして、ブレーキ支援装置ＥＣＵ１１からメータＥＣＵ１３へ送信される図７、図１９に示した診断設定異常通知データ１４００４０のみを例示したが、これに限られるものではない。ＣＡＮ＿ＩＤフィールド１３０７００１２は、メータＥＣＵ１３がＣＡＮ１４を介して他の車両制御装置から受信するデータのＣＡＮ＿ＩＤを保持する。ここには図７、図１９に示した診断設定異常通知データ１４００４０のＣＡＮ＿ＩＤ、すなわち「１０３」が保持される。安全度水準フィールド１３０７００１３は、受信データに割り付けられた安全度水準をたとえばＡＳＩＬに準拠して表示するフィールドである。ただし、安全度水準の表示は、ＡＳＩＬ以外に準拠して表現しても構わない。

　図２１は、警告灯点灯フラグ管理テーブル１３０７００２０の例を示す図である。警告灯点灯フラグ管理テーブル１３０７００２はメータＥＣＵ１３が警告灯１３０８を点灯するか否かを判断するためのフラグを保持するテーブルであり、警告灯点灯フラグフィールド１３０７００２１を備える。ブレーキ支援装置ＥＣＵ１１や他の車両制御装置から図２０の診断設定異常通知データ１４００４０が送信異常がない場合「０」を保持し、他の車両制御装置の診断設定情報に異常が検出された場合「１」を保持し警告灯点灯フラグを点灯する。

　以上のテーブルが本発明による車両制御装置の実施形態例のモニタＥＣＵ１３の記憶領域１３０９に格納される。

　これよりブレーキ支援装置ＥＣＵ１１のプログラム領域１１０３に格納されているプログラムの動作フローについて説明する。

　図２２は、図２に示した診断設定情報送信実行部１１０４の動作フローである。この動作フローでは、図２に記載されている診断設定情報送信実行プログラム１１０４１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が診断設定情報送信実行部１１０４として機能する。以下、図２２の各ステップについて説明する。

（図２２：ステップ１１０４０００）
　診断設定情報送信実行部１１０４は、後述の図２３で説明する診断設定情報送信タイミング調整部１１０６の動作フローを呼ぶ。これにより、診断設定情報の送信タイミングを調整する。

（図２２：ステップ１１０４００１）
　診断設定情報送信実行部１１０４は、後述の図２４で説明する診断設定情報送信用データ生成部１１０７の動作フローを呼ぶ。これにより、ブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定情報を他の車両制御装置へ送信するための診断設定情報送信用データを生成する。

（図２２：ステップ１１０４００２）
　診断設定情報送信実行部１１０４は、後述の図２５で説明する送信処理部１１１０の動作フローを呼ぶ。これにより、ステップ１１０４００１で生成した診断設定情報送信用データを他の車両制御装置へ送信できる。

　以上により、通信データに適用される診断設定が送信側と受信側で一致しているか否かを確認するための診断設定情報をブレーキ支援装置ＥＣＵ１１から他の車両制御装置に送信できる。

　図２３は診断設定情報送信タイミング調整部１１０６（図２参照）の動作フローである。この動作フローでは、図２に記載されている診断設定情報送信タイミング調整プログラム１１０６１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が診断設定情報送信タイミング調整部１１０６として機能する。以下、図２３の各ステップについて説明する。

（図２３：ステップ１１０６０００）
　診断設定情報送信タイミング調整部１１０６は、エンジン始動直後であるか否かを判定し、エンジン始動直後であればステップ１１０６００１に進み、エンジン始動直後でなければ図２３の動作フローを終了する。なお、電気自動車やハイブリッド電気自動車のようにモータで駆動される車両の場合は、エンジンではなく、車両を駆動するモータの駆動システムが起動されたか否かを判定することが好ましい。

（図２３：ステップ１１０６００１）
　診断設定情報送信タイミング調整部１１０６は、キーオン回数管理テーブル１１１４００２０（図１５参照）のキーオン回数フィールド１１１４００２１に記録されているキーオン回数が、図４のテーブルサイズ管理テーブル１１１２００１０に記録されている診断設定確認結果記録数１１１２００１８を超えているか否かを判定する。キーオン回数が診断設定確認結果記録数１１１２００１８を超えていればステップ１１０６００２へ進み、超えていなければ１１０６００３へ進む。

（図２３：ステップ１１０６００２）
　診断設定情報送信タイミング調整部１１０６は、キーオン回数管理テーブル１１１４００２０のキーオン回数フィールド１１１４００２１に０を代入し、キーオン回数をクリアする。

（図２３：ステップ１１０６００３）
　診断設定情報送信タイミング調整部１１０６は、診断設定情報関連フラグ管理テーブル１１１２００６０（図８参照）のすべてのフラグと、カウンタ前回値管理テーブル１１１２００８０（図１０参照）のカウンタ値に０をそれぞれ代入し、これらのテーブルをクリアする。

（図２３：ステップ１１０６００４）
　診断設定情報送信タイミング調整部１１０６は、キーオン回数管理テーブル１１１４００２０（図１５参照）のキーオン回数フィールド１１１４００２１に記録されているキーオン回数に１を加える。これにより、キーオン動作に応じてエンジンまたはモータ駆動システムが起動されることで車両制御システム１の動作が開始されると、それに応じてキーオン回数がカウントされる。

（図２３：ステップ１１０６００５）
　診断設定情報送信タイミング調整部１１０６は、図８の診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定情報送信要求フラグフィールド１１１２００６１に記録されているフラグ値に１を代入する。

　以上により、診断設定情報の送信タイミングを調整出来る。説明の都合上、診断設定情報送信タイミング調整部１１０６は、エンジン始動後に診断設定情報送信要求フラグフィールド１１１２００６１に１を代入することで診断設定情報が送信されるようにしているが、診断設定情報を送信するタイミングはこれに限らない。例えば、一定周期毎に診断設定情報送信要求フラグフィールド１１１２００６１に１を代入し、診断設定情報が送信されるようにしても構わない。

　図２４は診断設定情報送信用データ生成部１１０７（図２参照）の動作フローである。この動作フローでは、図２に記載されている診断設定情報送信用データ生成プログラム１１０７１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が診断設定情報送信用データ生成部１１０７として機能する。以下、図２４の各ステップについて説明する。

（図２４：ステップ１１０８０００）
　診断設定情報送信用データ生成部１１０７は、診断設定情報関連フラグ管理テーブル１１１２００６０（図８参照）の診断設定情報送信要求フラグフィールド１１１２００６１に記録されているフラグが１と一致するか否かを判定する。このフラグが１と一致するならばステップ１１０８００１へ進む。一致しなければ図２４の動作フローを終了する。

（図２４：ステップ１１０８００１）
　診断設定情報送信用データ生成部１１０７は、カウンタｉに０を代入する。

（図２４：ステップ１１０８００２）
　診断設定情報送信用データ生成部１１０７は、カウンタｊに、カウンタ前回値管理テーブル１１１２００８０（図１０参照）のカウンタ値フィールド１１１２０８２に記録されている前回値を代入する。

（図２４：ステップ１１０８００３）
　診断設定情報送信用データ生成部１１０７は、カウンタｉに１を加える。

（図２４：ステップ１１０８００４）
　診断設定情報送信用データ生成部１１０７は、カウンタｉがテーブルサイズ管理テーブル１１１２００１０（図４参照）に格納されている診断設定情報格納数１１１００１７の値、すなわち４を超えているかを判定する。カウンタｉが診断設定情報格納数１１１２００１７を超えている場合、ステップ１１０８００５に進み、超えていない場合はステップ１１０８００６に進む。

（図２４：ステップ１１０８００５）
　診断設定情報送信用データ生成部１１０７は、図１０のカウンタ前回値管理テーブル１１１２００８０のカウンタ値フィールド１１１２０８２に現在のカウンタｊの値を記録することで、カウンタｊの前回値を更新する。その後ステップ１１０８０１２に進む。

（図２４：ステップ１１０８００６）
　診断設定情報送信用データ生成部１１０７は、カウンタｊに１を加える。

（図２４：ステップ１１０８００７）
　診断設定情報送信用データ生成部１１０７は、カウンタｊが、図４のテーブルサイズ管理テーブル１１１２００１０に格納されている送信データ管理ＩＤ数１１１２００１３と受信データ管理ＩＤ数１１１２００１４を合計した値、すなわち４を超えているかを判定する。カウンタｊが送信データ管理ＩＤ数１１１２００１３と受信データ管理ＩＤ数１１１２００１４の合計値を超えている場合はステップ１１０８００９に進み、超えていない場合はステップ１１０８０１０に進む。

（図２４：ステップ１１０８００９）
　診断設定情報送信用データ生成部１１０７は、カウンタｊに０を代入する。

（図２４：ステップ１１０８０１０）
　診断設定情報送信用データ生成部１１０７は、図９の診断設定情報格納順管理テーブル１１１２００７０において、診断設定情報格納順ＩＤフィールド１１１２００７１に記録されている診断設定情報格納順ＩＤの値が現在のカウンタｊの値と等しい通信データのＣＡＮ＿ＩＤを特定し、このＣＡＮ＿ＩＤが割り当てられた通信データに設定されている安全度水準が、診断設定情報送信判定基準管理テーブル１１１２０１１０（図１３参照）の送信判定安全度水準フィールド１１１２０１１１に判定基準として記録されている安全度水準を超えているか否かを判定する。超えている場合はステップ１１０８０１１に進み、超えていない場合はステップ１１０８００６に進む。これにより、各通信データに対して予め設定された安全度水準に基づいて、診断設定情報送信用データの生成に用いる診断設定情報を選別する。

（図２４：ステップ１１０８０１１）
　診断設定情報送信用データ生成部１１０７は、図９の診断設定情報格納順管理テーブル１１１２００７０において診断設定情報格納順ＩＤフィールド１１１２００７１に記録されている診断設定情報格納順ＩＤの値が現在のカウンタｊの値と同じであるＣＡＮ＿ＩＤについて、そのＣＡＮ＿ＩＤが割り当てられた通信データ、すなわちステップ１１０８０１０で安全度水準の判定対象とした通信データの診断設定情報を、図１６の診断設定情報送信用データ１４００１０における診断設定情報格納領域のいずれかに格納する。ここでは、診断設定情報格納領域１フィールド１４００１２～診断設定情報格納領域４フィールド１４００１５のうちで最も先頭側に位置する未格納のものに、当該通信データの診断設定情報を格納する。さらにこのとき、当該通信データのＣＡＮ＿ＩＤと、当該通信データが送信データと受信データのいずれであるかを示す送信／受信判定フラグとを、図１６に示すデータ構成で格納する。こうして各通信データの診断設定情報を順次格納することで、図１６のような診断設定情報送信用データ１４００１０が生成される。その後ステップ１１０８００３に進む。

（図２４：ステップ１１０８０１２）
　診断設定情報送信用データ生成部１１０７は、以上説明したように生成された診断設定情報送信用データ１４００１０を、たとえばデータ記憶領域１１１２（図２参照）に設けた送信バッファ（不図示）に格納する。

　以上により、診断設定情報送信用データ生成部１１０７は、図１６に示したような診断設定情報送信用データ１４００１０を生成できる。

　図２５は、図２４の動作フローで生成された診断設定情報送信用データ１４００１０を送信する際の送信処理部１１１０の動作フローである。この動作フローでは、図２に記載されている送信処理プログラム１１１０１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が送信処理部１１１０として機能する。以下、図２５の各ステップについて説明する。

（図２５：ステップ１１１０００１）
　送信処理部１１１０は、図８に示した診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定情報送信要求フラグフィールド１１１２００６１に記録されているフラグが１であるか否かを判定する。このフラグが１であればステップ１１１０００１へ進み、１でなければ図２５の動作フローを終了する。

（図２５：ステップ１１１０００１）
　送信処理部１１１０は、図２４のステップ１１０８０１２で送信バッファに格納した診断設定情報送信用データ１４００１０を、ＣＡＮコントローラ１１１８のメールボックス（不図示）に保存する。これにより、図２４の動作フローで生成された診断設定情報送信用データ１４００１０が、ＣＡＮコントローラ１１１８からＣＡＮ１４を介して他の車両制御装置へと送信されるようになる。

（図２５：ステップ１１１０００２）
　送信処理部１１１０は、図８の診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定情報送信要求フラグフィールド１１１２００６１に、０を代入する。

　以上により、送信処理部１１１０は診断設定情報をＣＡＮ１４を介して通信相手である他の車両制御装置に送信できる。

　図２６は診断設定情報受信実行部１１０５（図２参照）の動作フローである。この動作フローでは、図２に記載されている診断設定情報受信実行プログラム１１０５１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が診断設定情報受信実行部１１０５として機能する。以下、図２６の各ステップについて説明する。

（図２６：ステップ１１０５０００）
　診断設定情報受信実行部１１０５は、後述の図２７で説明する受信処理部１１１１の動作フローを呼ぶ。これにより、他の車両制御装置から送信された診断設定情報を取得する。また、診断結果解析ツール２から送信された診断設定確認結果要求データを受信する。

（図２６：ステップ１１０５００１）
　診断設定情報受信実行部１１０５は、後述の図２９で説明する診断設定確認部１１０８の動作フローを呼ぶ。これにより、ステップ１１０５０００で取得した他の車両制御装置の診断設定情報と、ブレーキ支援装置ＥＣＵ１１の診断設定情報とを比較し、ブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定の内容が送信側と受信側で一致しているか否かを確認できる。

（図２６：ステップ１１０５００２）
　診断設定情報受信実行部１１０５は、後述の図３０で説明する診断設定確認結果送信用データ生成部１１０９の動作フローを呼ぶ。これにより、ステップ１１０５０１の診断設定の確認結果を診断設定情報確認結果解析ツール２へ送信するための診断設定確認結果送信用データを生成する。

（図２６：ステップ１１０５００３）
　診断設定情報受信実行部１１０５は、後述の図３１で説明する送信処理部１１１０の動作フローを呼ぶ。これにより、ステップ１１０５００２で生成した診断設定確認結果送信用データを診断設定情報確認結果解析ツール２へ送信できる。また、診断設定に異常がある場合は、その異常をメータＥＣＵ１３に通知できる。

　以上により、他の車両制御装置から送信された診断設定情報を受信し、その診断設定情報を用いて、送信側と受信側で診断設定の内容が一致しているか確認できる。また、診断設定確認結果解析ツール２からの診断設定確認結果要求データを受信し、これに応じて診断設定確認結果送信用データを診断設定確認結果解析ツール２へ返信できる。

　図２７は受信処理部１１１１（図２参照）の動作フローである。この動作フローでは、図２に記載されている受信処理プログラム１１１１１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が受信処理部１１１１として機能する。以下、図２７の各ステップについて説明する。

（図２７：ステップ１１１１０００）
　受信処理部１１１１は、後述の図２８で説明するＣＡＮ受信処理の動作フローを呼び、これを実行することで、ＣＡＮ１４を介して他の車両制御装置や診断設定確認結果解析ツール２から送信されたデータを受信する。

（図２７：ステップ１１１１００１）
　受信処理部１１１１は、ステップ１１１１０００で受信データが得られたか否かを判定する。受信データがあればステップ１１１１００２へ進む。受信データがなければ図２７の動作フローを終了する。

（図２７：ステップ１１１１００２）
　受信処理部１１１１は、受信したデータが診断設定確認結果解析ツール２から送信された図１７に示すような診断設定確認結果要求データ１４００２０であるか否かを判定する。診断設定確認結果要求データ１４００２０であればステップ１１１１００３へ進み、診断設定確認結果要求データ１４００２０でなければステップ１１１１００４へ進む。

（図２７：ステップ１１１１００３）
　受信処理部１１１１は、受信した診断設定確認結果要求データ１４００２０の要求対象ＣＡＮ＿ＩＤフィールド１４００２２に格納されているＣＡＮ＿ＩＤの値と、図９の診断設定情報格納順管理テーブル１１１２００７０においてＣＡＮ＿ＩＤフィールド１１１２００７２に格納されている各通信データのＣＡＮ＿ＩＤのいずれか１つとが一致するか否かを判定する。一致するＣＡＮ＿ＩＤがある場合はステップ１１１１００４へ進み、ない場合はステップ１１１１００５へ進む。

（図２７：ステップ１１１１００４）
　受信処理部１１１１は、診断設定情報関連フラグ管理テーブル１１１２００６０（図８参照）の診断設定確認結果送信要求フラグフィールド１１１２００６３に記録されているフラグ値に１を代入する。

（図２７：ステップ１１１１００５）
　受信処理部１１１１は、受信したデータが他の車両制御装置から送信された診断設定情報送信用データであるか否かを判定する。診断設定情報送信用データであればステップ１１１１００６へ進み、診断設定情報送信用データでなければ図２７の動作フローを終了する。なお、他の車両制御装置から送信される診断設定情報送信用データは、図１６に示したブレーキ支援装置ＥＣＵ１１の診断設定情報送信用データ１４００１０と同様のデータ構成を有しており、他の車両制御装置の通信データに対する診断設定情報が格納されている。ここで、ブレーキ支援装置ＥＣＵ１１からの送信データは、受信側の車両制御装置では受信データとして扱われる。そのため、当該車両制御装置から送信される診断設定情報送信用データには、ブレーキ支援装置ＥＣＵ１１の送信データの診断設定情報に対応する診断設定情報が、受信データの診断設定情報として格納されている。また、ブレーキ支援装置ＥＣＵ１１の受信データは、送信側の車両制御装置では送信データとして扱われる。そのため、当該車両制御装置から送信される診断設定情報送信用データには、ブレーキ支援装置ＥＣＵ１１の受信データの診断設定情報に対応する診断設定情報が、送信データの診断設定情報として格納されている。

（図２７：ステップ１１１１００６）
　受信処理部１１１１は、図８の診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定情報受信フラグフィールド１１１２００６２に記録されているフラグ値に１を代入する。

　以上により、受信処理部１１１１は他の車両制御装置からの診断設定情報を受信できる。また、診断設定確認結果解析ツール２からの診断設定確認結果の送信要求を取得できる。

　図２８は、上記ステップ１１１１０００で呼び出されて実行されるＣＡＮ受信処理の動作フローである。以下、図２８の各ステップについて説明する。

（図２８：ステップ１１１１１００）
　受信処理部１１１１は、ＣＡＮ１４を介して受信したデータをＣＡＮコントローラ１１１８のメールボックス（不図示）から読みだす。このデータは、他の車両制御装置から送信された診断設定情報送信用データ、または診断設定確認結果解析ツール２から送信された診断設定確認結果要求データ１４００２０である。

（図２８：ステップ１１１１１０１）
　受信処理部１１１１は、ステップ１１１１１００で読みだしたデータをデータ記憶領域１１１２の受信バッファ（不図示）に格納する。

　以上により、他の車両制御装置から送信された診断設定情報送信用データや、診断設定確認結果解析ツール２から送信された診断設定確認結果要求データ１４００２０を、ＣＡＮ１４を介して受信できる。

　図２９は診断設定確認部１１０８（図２参照）の動作フローである。この動作フローでは、図２に記載されている診断設定確認プログラム１１０８１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が診断設定確認部１１０８として機能する。以下、図２９の各ステップについて説明する。

（図２９：ステップ１１０９０００）
　診断設定確認部１１０８は、診断設定情報関連フラグ管理テーブル１１１２００６０（図８参照）の診断設定情報受信フラグフィールド１１１２００６２に記録されているフラグが１であるか否かを判定する。このフラグが１であればステップ１１０９００１へ進む。1でなければ図２９の動作フローを終了する。

（図２９：ステップ１１０９００１）
　診断設定確認部１１０８は、カウンタｉに０を代入する。なお、このカウンタｉは、図２４の動作フローで用いたのとは別のものである。

（図２９：ステップ１１０９００２）
　診断設定確認部１１０８は、カウンタｉに１を加える

（図２９：ステップ１１０９００３）
　診断設定確認部１１０８は、カウンタｉの値がテーブルサイズ管理テーブル１１１２００１０（図４参照）に格納されている診断設定情報格納数１１１２００１７の値、すなわち４を超えているか否かを判定する。カウンタｉが診断設定情報格納数１１１２００１７を超えていれば図２９の動作フローを終了し、超えていなければステップ１１０９００４へ進む。

（図２９：ステップ１１０９００４）
　診断設定確認部１１０８は、図２８のステップ１１１１１０１で受信バッファに格納された他の車両制御装置の診断設定情報送信用データから、カウンタiの値と等しい番号の診断設定情報格納領域（図１６の診断設定情報格納領域１～４）に格納されている各データを抽出する。すなわち、ＣＡＮ＿ＩＤフィールド１４１０１１に格納されているＣＡＮ＿ＩＤの値と、送信／受信情報判定フラグフィールド１４１０１２に格納されている送信／受信情報判定フラグの値と、診断設定情報フィールド１４１０１３に格納されている診断設定情報の値とを、他の車両制御装置からの診断設定情報送信用データにおいて参照し、これらの値を取得する。なお、ここで参照される他の車両制御装置からの診断設定情報送信用データは、前述のように、図１６に示したブレーキ支援装置ＥＣＵ１１の診断設定情報送信用データ１４００１０と同様のデータ構成を有している。

（図２９：ステップ１１０９００５）
診断設定確認部１１０８は、上記のステップ１１０９００４で取得した送信／受信情報判定フラグの値が１であるか否かを判定する。このフラグが１である場合、すなわち当該診断設定情報が他の車両制御装置の送信データに対して設定されているものである場合は、ステップ１１０９００７へ進む。一方、このフラグが１でなく０である場合、すなわち当該診断設定情報が他の車両制御装置の受信データに対して設定されているものである場合は、ステップ１１０９００６へ進む。

（図２９：ステップ１１０９００６）
　診断設定確認部１１０８は、上記ステップ１１０９００４で取得した診断設定情報の値と、診断設定情報（送信処理）管理テーブル１１１２００９０（図１１参照）で、上記のステップ１１０９００４で取得したＣＡＮ＿ＩＤが割り当てられた送信データに対する診断設定情報（未送信診断実行フラグフィールド１１１２００９２～メッセージカウンタ付加フラグフィールド１１１２００９５に格納されている各データ値）とを比較する。

（図２９：ステップ１１０９００７）
　診断設定確認部１１０８は、上記ステップ１１０９００４で取得した診断設定情報の値と、診断設定情報（受信処理）管理テーブル１１１２０１００（図１２参照）で、上記のステップ１１０９００４で取得したＣＡＮ＿ＩＤが割り当てられた受信データに対する診断設定情報（未受信診断実行フラグフィールド１１１２０１０２～メッセージカウンタ診断フラグフィールド１１１２０１０５に格納されている各データ値）とを比較する。

（図２９：ステップ１１０９００８）
　診断設定確認部１１０８は、診断設定確認結果格納テーブル１１１４００１０（図１４参照）に、現在のキーオン回数時の判定結果を記録する。ここでは、現在のキーオン回数に対応する部分の送信／受信判定フラグフィールド１１１４００１５に対して、上記ステップ１１０９００６を実行した場合、すなわち他の車両制御装置から取得した診断設定情報を送信データの診断設定情報と比較した場合は「１」を記録し、上記ステップ１１０９００７を実行した場合、すなわち他の車両制御装置から取得した診断設定情報を受信データの診断設定情報と比較した場合は「０」を記録する。また、上記ステップ１１０９００６または１１０９００７で診断設定情報の比較結果が一致であった場合は「０」を、不一致であった場合は「１」を、現在のキーオン回数に対応する部分の診断設定確認結果フィールド１１１４００１６に記録する。

（図２９：ステップ１１０９００９）
　診断設定確認部１１０８は、上記ステップ１１０９００６または１１０９００７での比較結果に基づいて、通信データの診断設定における異常の有無を判定する。通信データの診断設定に異常があった場合、すなわち、ステップ１１０９００６または１１０９００７での診断設定の比較結果が不一致であり、ステップ１１０９００８で診断設定確認結果フィールド１１１４００１６に「１」が記録された場合は、ステップ１１０９０１０に進む。一方、通信データの診断設定に異常がなかった場合、すなわち、ステップ１１０９００６または１１０９００７での診断設定の比較結果が一致であり、ステップ１１０９００８で診断設定確認結果フィールド１１１４００１６に「０」が記録された場合は、ステップ１１０９００２に進む。

（図２９：ステップ１１０９０１０）
　診断設定確認部１１０８は、図８の診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定異常通知フラグフィールド１１１２００６４に記録されているフラグ値に１を代入する。その後ステップ１１０９００２に進む。

　以上により、ブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定の内容が送信側と受信側で一致しているか否かを確認できる。また、一致していない場合には、異常ありと判定して診断設定異常通知フラグフィールド１１１２００６４に１を代入し、診断設定の異常が通知されるようにすることができる。

　図３０は診断設定確認結果送信用データ生成部１１０９の動作フローである。この動作フローでは、図２に記載されている診断設定確認結果送信用データ生成プログラム１１０９１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が診断設定確認結果送信用データ生成部１１０９として機能する。以下、図３０の各ステップについて説明する。

（図３０：ステップ１１０８１００）
　診断設定確認結果送信用データ生成部１１０９は、診断設定情報関連フラグ管理テーブル１１１２００６０（図８参照）の診断設定確認結果送信要求フラグフィールド１１１２００６３に記録されているフラグが１と一致するか否かを判定する。このフラグが１と一致するならばステップ１１０８１０１へ進む。一致しなければ図３０の動作フローを終了する。

（図３０：ステップ１１０８１０１）
　診断設定確認結果送信用データ生成部１１０９は、カウンタｉに０を代入する。なお、このカウンタｉは、図２４、２９の動作フローでそれぞれ用いたのとは別のものである。

（図３０：ステップ１１０８１０２）
　診断設定確認結果送信用データ生成部１１０９は、カウンタｉに１を加える。

（図３０：ステップ１１０８１０３）
　診断設定確認結果送信用データ生成部１１０９は、カウンタｉの値が図４のテーブルサイズ管理テーブル１１１２００１０に格納されている診断設定確認結果記録数１１１２００１８の値、すなわち４を超えているかを判定する。ｉが診断設定確認結果記録数１１１２００１８の値を超えている場合はステップ１１０８１０５に進み、超えていない場合はステップ１１０８１０４に進む。

（図３０：ステップ１１０８１０４）
　診断設定確認結果送信用データ生成部１１０９は、図１４の診断設定確認結果格納テーブル１１１４００１０においてキーオン回数フィールド１１１４００１１に記録されているキーオン回数の値が現在のカウンタｉの値と同じであり、かつ、図２８のステップ１１１１１０１で受信バッファに格納された診断設定確認結果解析ツール２からの診断設定確認結果要求データ１４００２０（図１７参照）において要求対象ＣＡＮ＿ＩＤフィールド１４００２２に格納されているＣＡＮ＿ＩＤの値に対応する通信データの診断設定確認結果を、図１８の診断設定確認結果送信用データ１４００３０における診断設定確認結果格納領域のいずれかに格納する。ここでは、診断設定確認結果格納領域１フィールド１４００３２～診断設定確認結果格納領域４フィールド１４００３５のうちで最も先頭側に位置する未格納のものに、当該通信データの診断設定確認結果を格納する。さらにこのとき、当該通信データのＣＡＮ＿ＩＤと、キーオン回数と、安全度水準と、当該通信データが送信データと受信データのいずれであるかを示す送信／受信判定フラグとを、図１８に示すデータ構成で格納する。こうして要求対象とされた通信データの診断設定の確認結果を順次格納することで、図１８のような診断設定確認結果送信用データ１４００３０が生成される。その後ステップ１１０８１０２に進む。

（図３０：ステップ１１０８１０５）
　診断設定確認結果送信用データ生成部１１０９は、以上説明したように生成された診断設定確認結果送信用データ１４００３０を、たとえばデータ記憶領域１１１２（図２参照）に設けた送信バッファ（不図示）に格納する。

　以上により、診断設定確認結果送信用データ生成部１１０９は、図１８に示したような診断設定確認結果送信用データ１４００３０を生成できる。

　図３１は、図３０の動作フローで生成された診断設定確認結果送信用データ１４００３０の送信や、診断設定の異常通知を行う際の送信処理部１１１０の動作フローである。この動作フローでは、図２に記載されている送信処理プログラム１１１０１が演算装置１１０１により呼ばれて実行されることで、演算装置１１０１が送信処理部１１１０として機能する。以下、図３１の各ステップについて説明する。

（図３１：ステップ１１１０００３）
　送信処理部１１１０は、図８に示した診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定確認結果送信要求フラグフィールド１１１２００６３に記録されているフラグが１であるか否かを判定する。このフラグが１ならばステップ１１１００００４に進み、１でなければステップ１１１００００７に進む。

（図３１：ステップ１１１００４）
　送信処理部１１１０は、図３０のステップ１１０８１０５で送信バッファに格納した診断設定確認結果送信用データ１４００３０を、ＣＡＮコントローラ１１１８のメールボックス（不図示）に保存する。これにより、図３０の動作フローで生成された診断設定確認結果送信用データ１４００３０が、ＣＡＮコントローラ１１１８からＣＡＮ１４を介して診断設定情報確認結果解析ツール２へと送信されるようになる。

（図３１：ステップ１１１０００５）
　送信処理部１１１０は、図８の診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定確認結果送信要求フラグフィールド１１１２００６３に、０を代入する。

（図３１：ステップ１１１０００７）
　送信処理部１１１０は、図８に示した診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定異常通知フラグフィールド１１１２００６４に記録されているフラグが１であるか否かを判定する。このフラグが１ならばステップ１１１００００８に進み、１でなければ図３１の動作フローを終了する。

（図３１：ステップ１１１０００８）
　送信処理部１１１０は、図１９に示したような診断設定異常通知データ１４００４０を、ＣＡＮコントローラ１１１８のメールボックス（不図示）に保存する。これにより、診断設定異常通知データ１４００４０が、ＣＡＮコントローラ１１１８からＣＡＮ１４を介してメータＥＣＵ１３へと送信されるようになる。

（図３１：ステップ１１１０００９）
　送信処理部１１１０は、図８の診断設定情報関連フラグ管理テーブル１１１２００６０の診断設定異常通知フラグフィールド１１１２００６４に、０を代入する。

　以上により、送信処理部１１１０は診断設定の確認結果をＣＡＮ１４を介して診断設定情報確認結果解析ツール２やメータＥＣＵ１３に送信できる。

　以上がブレーキ支援装置ＥＣＵ１１のプログラム領域１１０３に格納されているプログラムの動作フローである。

　これよりメータＥＣＵ１３のプログラム領域１３０３に格納されているプログラムの動作フローについて説明する。

　図３２は、図３に示した異常通知情報受信実行部１３０４の動作フローである。この動作フローでは、図３に記載されている異常通知情報受信実行プログラム１３０４１が演算装置１３０１により呼ばれて実行されることで、演算装置１３０１が異常通知情報受信実行部１３０４として機能する。以下、図３２の各ステップについて説明する。

（図３２：ステップ１３０４０００）
　異常通知情報受信実行部１３０４は、後述の図３３で説明する受信処理部１３０６の動作フローを呼ぶ。これにより、ブレーキ支援装置ＥＣＵ１１から送信された異常通知情報を取得する。

（図３２：ステップ１３０４００１）
　異常通知情報受信実行部１３０４は、後述の図３５で説明する警告灯点灯制御部１３０５の動作フローを呼ぶ。これにより、メータＥＣＵ１３が運転手に対して警告を促すために行う警告灯１３０８の点灯の要否を判定できる。

　以上により、ブレーキ支援装置ＥＣＵ１１から送信された異常通知情報を受信し、警告灯１３０８の点灯要否を判定できる。

　図３３は受信処理部１３０６の動作フローである。この動作フローでは、図２に記載されている受信処理プログラム１３０６１が演算装置１３０１により呼ばれて実行されることで、演算装置１３０１が受信処理部１３０６として機能する。以下、図３３の各ステップについて説明する。

（図３３：ステップ１３０６０００）
　受信処理部１３０６は、後述の図３４で説明するＣＡＮ受信処理の動作フローを呼び、これを実行することで、ＣＡＮ１４を介してブレーキ支援装置ＥＣＵ１１から送信されたデータを受信する。

（図３３：ステップ１３０６００１）
　受信処理部１３０６は、ステップ１３０６００１で受信データが得られたか否かを判定する。受信データがあればステップ１３０６００２へ進む。受信データがなければ図３３の動作フローを終了する。

（図３３：ステップ１３０６００２）
　受信処理部１３０６は、受信したデータがブレーキ支援装置ＥＣＵ１１から送信された図１９に示すような診断設定異常通知データ１４００４０であるか否かを判定する。診断設定異常通知データ１４００４０であればステップ１３０６００３へ進み、受信したデータが診断設定異常通知データ１４００４０でなければ図３３の動作フローを終了する。

（図３３：ステップ１３０６００３）
　受信処理部１３０６は、警告灯点灯フラグ管理テーブル１３０７００２０（図２１参照）の警告灯点灯フラグフィールド１３０７０２１に１を代入する。

　以上により、受信処理部１３０６はブレーキ支援装置ＥＣＵ１１からの診断設定異常の通知を受けることができる。

　図３４は、上記ステップ１３０６０００で呼び出されて実行されるＣＡＮ受信処理の動作フローである。以下、図３４の各ステップについて説明する。

（図３４：ステップ１３０６１００）
　受信処理部１３０６は、ＣＡＮ１４を介して受信したデータをＣＡＮコントローラ１３１０のメールボックス（不図示）から読みだす。このデータは、ブレーキ支援装置ＥＣＵ１１から送信された診断設定異常通知データ１４００４０である。

（図３４：ステップ１３０６１０１）
　受信処理部１３０６は、ステップ１３０６１００で読みだしたデータをデータ記憶領域１３０７のバッファ（不図示）に格納する。

　以上により、ブレーキ支援装置ＥＣＵ１１から送信された診断設定異常通知データ１４００４０を、ＣＡＮ１４を介して受信できる

　図３５は警告灯点灯制御部１３０５の動作フローである。この動作フローでは、図２に記載されている警告灯点灯制御プログラム１３０５１が演算装置１３０１により呼ばれて実行されることで、演算装置１３０１が警告灯点灯制御部１３０５として機能する。以下、図３５の各ステップについて説明する。

（図３５：ステップ１３０５０００）
　警告灯点灯制御部１３０５は、警告灯フラグ管理テーブル１３０７００２０（図２１参照）の警告灯点灯フラグフィールド１３０７００２１に記録されているフラグが１であるか否かを判定する。このフラグが１であればステップ１３０５００１へ進み、１でなければ図３５の動作フローを終了する。

（図３５：ステップ１３０５００１）
　警告灯点灯制御部１３０５は、メータＥＣＵ１３に接続されている警告灯１３０８を点灯する。

　以上により、メータＥＣＵ１３は他の車両制御装置の診断設定異常を検知し、警告灯１３０８を点灯してドライバーに警告を促すことができる。

　以上がメータＥＣＵ１３のプログラム領域１３０３に格納されているプログラムの動作フローである。

　図３６は診断設定確認結果解析ツール２の解析結果表示画面２０１０の例である。診断設定確認結果解析ツール２は、ブレーキ支援装置ＥＣＵ１１から受信した図１８の診断設定確認結果用データ１４００３０に基づいて、ブレーキ支援装置ＥＣＵ１１の各通信データに対する診断設定の確認結果を、図３６に示すようにテーブル形式で画面表示する。この解析結果表示画面２０１０には、解析結果表示テーブル２０２０が表示される。解析結果表示テーブル２０２０は診断設定の確認結果を表すテーブルであり、キーオン回数フィールド２０２１、設定確認結果格納ＩＤフィールド２０２２、ＣＡＮ＿ＩＤフィールド２０２３、安全度水準フィールド２０２４、送信／受信判定フラグフィールド２０１５、診断設定確認結果フィールド２０２６を有する。

　キーオン回数フィールド２０２１は、診断設定を比較した時のキーオン回数を示す。設定確認結果格納ＩＤフィールド２０２２は、ブレーキ支援装置ＥＣＵ１１が診断設定の確認結果を格納する通信データの順序を判別する識別子を格納する。ＣＡＮ＿ＩＤフィールド２０２３は、診断設定の確認結果がどのデータに対するものであるかを識別するためのデータの識別子としてのＣＡＮ＿ＩＤを格納する。安全度水準フィールド２０２４は、通信データに割り付けられた安全度水準をＡＳＩＬで表示するフィールドである。ここでは安全度水準をＡＳＩLで表現しているがこれに限らない。

　送信／受信判定フラグフィールド２０２５は、診断設定確認結果が受信データに対する診断設定の確認結果なのか、送信データに対する診断設定の確認結果なのかを判別するためのフラグを格納する。受信データに対する診断設定の確認結果であれば「０」を、送信データに対する診断設定の確認結果であれば「１」を保持する。診断設定確認結果フィールド２０２６は、ブレーキ支援装置ＥＣＵ１１が管理する通信データの診断設定が、そのデータの通信相手である他の車両制御装置との間で一致したか否かを判定した結果を保持する。ここには、診断設定が他の車両制御装置と一致していれば「０」、一致していなければ「１」が保持される。

　ここで、診断設定確認結果解析ツール２が診断設定の確認結果を表示する方法はこれに限らない。例えば、診断設定確認結果が異常を示す「１」であるもののみを表示しても構わない。

　以上のように、本発明による車両制御装置の一例であるブレーキ支援装置ＥＣＵ１１によれば、ネットワークを介して送受信される診断設定情報を用いて、他の車両制御装置との間で通信データに対する診断機能の設定の一致不一致を検出することができる。また、ブレーキ支援装置ＥＣＵ１１の診断設定異常をメータＥＣＵ１３へネットワークを介して通知することで、ドライバーに対して警告を促す警告灯１３０８を点灯させる事ができる。さらに、ネットワークに接続される診断設定確認結果解析ツール２は診断設定の確認結果をネットワークから取得できる。ただし、診断設定情報が通信相手と一致しないことを検出するための実施例はこれに限らない。例えば、診断設定情報の確認とその新診断設定確認結果情報を記録するためにＥＣＵを新たにＣＡＮ１４に接続しても構わない。

　以上の説明は本発明の車両制御装置の実施形態および変形実施の例であり、本発明はこれらの実施形態や変形実施例に限定されない。当業者であれば、本発明の特徴を損なわずに様々な変形実施が可能である。

　　　１...車両制御システム
　　　２...診断設定確認結果解析ツール
　　１１...ブレーキ支援装置ＥＣＵ
　　１２...ブレーキＥＣＵ
　　１３...メータＥＣＵ
　　１４...ＣＡＮ
１１０１...演算装置
１１０２...メモリ
１１０３...プログラム領域
１１０４...診断設定情報送信実行部
１１０５...診断設定情報受信実行部
１１０６...診断設定情報送信タイミング調整部
１１０７... 診断設定情報送信用データ生成部
１１０８...診断設定確認部
１１０９...診断設定確認結果送信用データ生成部
１１１０...送信処理部
１１１１...受信処理部
１１１２...データ記憶領域（テーブル）
１１１３...バックアップメモリ
１１１４... データ記憶領域（テーブル）
１１１５...レゾルバ
１１１６...ブレーキ支援装置用モータ
１１１７...入出力回路
１１１８...ＣＡＮコントローラ
１１１９...信号入出力回路
１２０１...加速度センサ
１２０２...横滑り防止用モータ
１３０１...演算装置
１３０２...メモリ
１３０３...プログラム領域
１３０４...異常通知情報受信実行部
１３０５...警告灯点灯制御部
１３０６...受信処理部
１３０７...データ記憶領域
１３０８...警告灯
１３０９...入出力回路
１３１０...ＣＡＮコントローラ
１３１１...信号入出力回路

Claims

　ネットワークを介して接続された他の車両制御装置との間で通信データを送受信する車両制御装置であって、
　前記通信データに関する第１の診断設定情報を格納する記憶部と、
　前記第１の診断設定情報に基づいて第１の診断設定情報送信用データを生成する診断設定情報送信用データ生成部と、
　前記ネットワークを介して前記他の車両制御装置へ前記第１の診断設定情報送信用データを送信する送信処理部と、
　前記ネットワークを介して前記他の車両制御装置から送信される第２の診断設定情報送信用データを取得する受信処理部と、
　前記第２の診断設定情報送信用データから前記通信データに関する第２の診断設定情報を抽出し、前記第１の診断設定情報と前記第２の診断設定情報とを比較し、この比較結果に基づく診断設定確認結果を前記記憶部に保存する診断設定確認処理を実行する診断設定確認部と、
を備えることを特徴とする車両制御装置。
　請求項１に記載の車両制御装置において、
　前記診断設定確認部は、前記車両制御装置が搭載された車両の始動の度に、前記診断設定確認処理を実行することを特徴とする車両制御装置。
　請求項１に記載の車両制御装置において、
　前記第１の診断設定情報送信用データは、前記通信データの識別子と、前記通信データが送信データと受信データのいずれであるかを表すフラグと、前記第１の診断設定情報が表す診断設定の組み合わせの情報と、を含むことを特徴とする車両制御装置。
　請求項１に記載の車両制御装置において、
　前記ネットワークに接続された診断設定確認結果解析ツールから送信される前記診断設定確認結果の送信要求に応じて、前記診断設定確認結果に基づく診断設定確認結果送信用データを生成する診断設定確認結果送信用データ生成部をさらに備え、
　前記送信処理部は、前記ネットワークを介して前記診断設定確認結果送信用データを前記診断設定確認結果解析ツールに送信することを特徴とする車両制御装置。
　請求項４に記載の車両制御装置において、
　前記診断設定確認結果の送信要求は、前記通信データの識別子を含むことを特徴とする車両制御装置。
　請求項４に記載の車両制御装置において、
　前記診断設定確認結果送信用データは、前記通信データの識別子と、診断時のキーオン回数と、前記通信データの安全度水準と、前記通信データが送信データと受信データのいずれであるかを表すフラグと、前記診断設定確認結果と、を含むことを特徴とする車両制御装置。
　請求項１に記載の車両制御装置において、
　前記診断設定情報送信用データ生成部は、前記通信データに対して予め設定された安全度水準に基づいて、前記第1の診断設定情報送信用データの生成に用いる前記第１の診断設定情報を選別することを特徴とする車両制御装置。
　請求項１に記載の車両制御装置において、
　前記診断設定情報送信用データ生成部により前記第１の診断設定情報送信用データを生成するタイミングと、前記送信処理部により前記第１の診断設定情報送信用データを送信するタイミングとを調整する診断設定情報送信タイミング調整部をさらに備えることを特徴とする車両制御装置。
　請求項１に記載の車両制御装置を複数備えた車両制御システムであって、
　各車両制御装置は、
　前記送信処理部により、自身の通信データに関する前記第１の診断設定情報送信用データを他の車両制御装置へそれぞれ送信し、
　前記受信処理部により、他の車両制御装置から送信される前記第２の診断設定情報送信用データをそれぞれ取得し、
　前記診断設定確認部により前記診断設定確認処理をそれぞれ実行することを特徴とする車両制御システム。
　請求項９に記載の車両制御システムにおいて、
　前記ネットワークに診断設定確認結果解析ツールが接続され、
　各車両制御装置は、前記診断設定確認結果解析ツールから送信される前記診断設定確認結果の送信要求に応じて、前記診断設定確認結果に基づく診断設定確認結果送信用データをそれぞれ生成して前記診断設定確認結果解析ツールへ送信することを特徴とする車両制御システム。
　請求項９に記載の車両制御システムにおいて、
　各車両制御装置は、前記診断設定確認結果において自身の通信データに関する診断設定の異常を検出した場合、前記ネットワークおよび警告灯に接続された警告灯制御装置に、診断設定異常を通知し、
　前記診断設定異常の通知を受けると、前記警告灯制御装置は、前記警告灯を点灯することを特徴とする車両制御システム。
　請求項１０に記載の車両制御システムにおいて、
　前記診断設定確認結果送信用データは、前記通信データの識別子と、診断時のキーオン回数と、前記通信データの安全度水準と、前記通信データが送信データと受信データのいずれであるかを表すフラグと、前記診断設定確認結果と、を含み、
　前記診断設定確認結果解析ツールは、前記診断設定確認結果送信用データを受信すると、前記キーオン回数と、前記通信データの識別子と、前記通信データの安全度水準と、前記フラグと、前記診断設定確認結果と、を表示することを特徴とする車両制御システム。
　請求項９に記載の車両制御システムにおいて、
　各車両制御装置は、車両のエンジンまたはモータ駆動システムの起動に応じてキーオン回数をカウントし、前記キーオン回数ごとに前記診断設定確認結果を前記記憶部に保存することを特徴とする車両制御システム。
　請求項１２に記載の車両制御システムにおいて、
　前記通信データの安全度水準は、前記診断設定確認結果解析ツールから送信される情報に基づいて設定可能であることを特徴とする車両制御システム。