WO2014034345A1

WO2014034345A1 - 車両制御システムおよび車両用電子制御装置

Info

Publication number: WO2014034345A1
Application number: PCT/JP2013/070411
Authority: WO
Inventors: 櫻井　康平; 正裕松原; 成沢　文雄; 敦寛大野
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2012-08-31
Filing date: 2013-07-29
Publication date: 2014-03-06
Also published as: EP2891581B1; JP5997980B2; EP2891581A1; JP2014046777A; EP2891581A4

Abstract

個々の電子制御装置（ＥＣＵ）を最適にスリープ／ウェイクアップさせることで消費電力を低減する車両制御システムにおいて、通信ネットワークやＥＣＵに障害が発生しても安全性を確保できる車両制御システムを提供する。通信ネットワーク２を介して情報をやり取りする複数のＥＣＵを備え、前記複数のＥＣＵがクラスタに分割された車両制御システム１において、スリープ／ウェイクアップ要求信号Ｓ１に基づいてスリープまたはウェイクアップするスリープ／ウェイクアップ移行部２３と、前記複数のＥＣＵ、あるいは、前記通信ネットワーク２のいずれかに異常が生じたときに、前記複数のＥＣＵのスリープ継続、または、スリープ移行を回避するスリープ回避部２４と、を備える。

Description

車両制御システムおよび車両用電子制御装置

　本発明は、通信ネットワークを備えた車両制御システムのフェールセーフ技術に関するものである。

　近年、自動車では燃費規制が強化され、エンジン等パワートレインの燃費向上だけでなく、電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）により車両を制御する車両制御システムにおいても消費電力低減が求められている。近年の自動車にはＥＣＵが数１０～１００個程度搭載されており、車両制御システムの消費電力は増大している。

　車両制御システムにおいて、ＥＣＵは通信ネットワークを介して相互に情報を交換しているが、消費電力を低減するために、自動車の運転状態に応じて、通信ネットワーク経由で個々のＥＣＵをきめ細かくスリープ／ウェイクアップさせるＰａｒｔｉａｌ　Ｎｅｔｗｏｒｋｉｎｇと呼ばれる技術が開示されている（非特許文献１）。これは、車両制御システムのＥＣＵをクラスタに分割し、スリープ／ウェイクアップを制御するＥＣＵが、車両の制御モードや車速などに応じてクラスタごとにスリープ／ウェイクアップ要求を送信するものである。

　また、同様に車両制御システムの消費電力を低減するための技術として、スリープ／ウェイクアップを制御するマスタＥＣＵを備え、当該マスタＥＣＵが各スレーブＥＣＵのスリープ可否を判断し、スリープ可能なスレーブＥＣＵにスリープ要求を送信する技術が特許文献１に開示されている。

　さらに、特許文献２には、あるＥＣＵに対して、他の全てのＥＣＵが、当該ＥＣＵをスリープ状態にすることを許可した場合にのみ、当該ＥＣＵは自身をスリープ状態に移行させる方法が開示されている。

特開平３－２５０４６号公報特開２００４－２５４０４３号公報

Partial Networking Deactivation of inactive ECUs: Appliance, Standardization and Validation, 15th International Congress on Electronic Systems for Motor Vehicles, pp.137-147, 2011.

　前述の車両制御システムでは、自動車の走行中にＥＣＵのスリープ／ウェイクアップ制御を行うため、通信ネットワークや各ＥＣＵの障害時にも車両制御システムをフェールセーフになるように動作させる必要がある。しかしながら、前述のいずれの従来技術においても、この点については言及されていない。

　フェールセーフを実現するためには、ある機能が必要な時に動作しない、すなわち、その機能を実行するＥＣＵがスリープ状態にあることを防止する必要がある。より具体的には、あるＥＣＵがウェイクアップしないことを防止すること、および、あるＥＣＵがスリープ要求なしにスリープすることの二つの事象を防止する必要がある。

　これに対して、非特許文献１や特許文献１では、スリープ／ウェイクアップを制御するＥＣＵや通信ネットワークに障害が起こり、スリープ／ウェイクアップ要求を送信できなくなった場合は、動作させる必要のあるＥＣＵをウェイクアップすることができなくなる。また、特許文献２では、他のＥＣＵからのスリープ許可に基づいてスリープに移行するように構成されているが、自ＥＣＵや通信ネットワークの障害により、スリープ許可が出ていないにもかかわらずスリープ可能と判断してしまう可能性がある。

　本発明は、以上のような課題に鑑みてなされたものであり、個々のＥＣＵを最適にスリープ／ウェイクアップさせることで消費電力を低減する車両制御システムにおいて、通信ネットワークやＥＣＵに障害が発生しても安全性を確保できる車両制御システムを提供することを目的としている。

　本発明に係る車両用電子制御装置は、通信ネットワークを介して他の電子制御装置と情報をやり取りする車両用電子制御装置において、前記車両用電子制御装置は、車両の動作状態に応じてスリープまたはウェイクアップを制御するスリープ／ウェイクアップ制御部を備える電子制御装置からのスリープ／ウェイクアップ要求信号に基づいて、スリープまたはウェイクアップするスリープ／ウェイクアップ移行部と、前記他の電子制御装置、あるいは、前記通信ネットワークのいずれかに異常が生じたときに、スリープ継続、または、スリープ移行を回避するスリープ回避部と、を備えることを特徴とする。
　また、本発明に係る車両制御システムは、前記車両用電子制御装置と、該車両用電子制御装置と通信ネットワークを介して情報をやり取りする他の電子制御装置とを含む複数の電子制御装置によって構成される。
　また、本発明に係る車両制御システムは、通信ネットワークを介して情報をやり取りする複数の電子制御装置（ＥＣＵ）を備え、前記複数のＥＣＵがクラスタに分割された車両制御システムであって、前記複数のＥＣＵの少なくとも一つは、車両の動作状態に応じて前記クラスタごとに前記複数のＥＣＵのスリープまたはウェイクアップを制御するスリープ／ウェイクアップ制御部を備え、前記複数のＥＣＵ各々は、前記スリープ／ウェイクアップ制御部からのスリープ／ウェイクアップ要求信号に基づいてスリープまたはウェイクアップするスリープ／ウェイクアップ移行部を備え、前記複数のＥＣＵ、あるいは、前記通信ネットワークのいずれかに異常が生じたときに、前記複数のＥＣＵのスリープ継続、または、スリープ移行を回避するスリープ回避部を備える。

　前記スリープ回避部は、前記複数のＥＣＵ、あるいは、前記通信ネットワークの異常により、前記複数のＥＣＵのいずれかがウェイクアップしないことを防止する、あるいは、前記スリープ／ウェイクアップ制御部からのスリープ要求なしに前記複数のＥＣＵのいずれかがスリープすることを防止する。

　前記複数のＥＣＵのいずれかがウェイクアップしないことを防止するために、前記スリープ回避部は、前記スリープ／ウェイクアップ制御部を備えるＥＣＵの状態を監視し、当該ＥＣＵ、または、前記通信ネットワークの異常時は、当該ＥＣＵのスリープ／ウェイクアップ制御を引き継ぎ、前記複数のＥＣＵに前記スリープ／ウェイクアップ要求信号を送信する。あるいは、スリープ／ウェイクアップ制御を引き継がずに、前記複数のＥＣＵにウェイクアップ要求信号を送信する。また、前記スリープ回避部は、当該スリープ回避部を備えるＥＣＵがウェイクアップ要求信号を受信し、前記スリープ／ウェイクアップ移行部によるウェイクアップが完了した後、当該ＥＣＵの属するクラスタのＥＣＵ間でウェイクアップ通知を相互に交換することで、当該クラスタ内のＥＣＵが正常にウェイクアップしたか否かを判定し、当該クラスタ内に正常にウェイクアップしていないＥＣＵが存在すると判定した場合は、ウェイクアップ要求信号を送信する。

　一方、前記スリープ／ウェイクアップ制御部からのスリープ要求なしに前記複数のＥＣＵのいずれかがスリープすることを防止するために、前記スリープ回避部は、前記スリープ／ウェイクアップ制御部が送信するスリープ要求信号の形態に応じて当該スリープ要求信号の妥当性を判定する。また、前記スリープ回避部は、当該スリープ回避部を備えるＥＣＵがスリープ要求信号を受信した時に、当該ＥＣＵの属するクラスタのＥＣＵ間でスリープ要求受信通知を相互に交換し、前記スリープ要求を受信したＥＣＵが所定数以上の場合は、スリープ移行を許可し、所定数に満たない場合は、スリープ移行を禁止する。さらに、前記スリープ回避部は、当該スリープ回避部を備えるＥＣＵが正常であることを示すアライブ信号を、当該ＥＣＵの属するクラスタのＥＣＵ間で相互に交換することで、当該ＥＣＵの属するクラスタのＥＣＵが正常か否かを判定し、正常でないＥＣＵが存在すると判定した場合は、ウェイクアップ要求信号を送信する。

　本発明の車両制御システムによれば、スリープ回避部を備えることで、通信ネットワークやＥＣＵの障害に起因する意図しないスリープ状態を回避することができ、車両制御システムの安全性を向上させることができる。

　より具体的には、スリープ回避部が、スリープ／ウェイクアップ制御部を備えたＥＣＵの状態を監視し、当該ＥＣＵの異常時はスリープ／ウェイクアップ制御部を引き継ぐことでＥＣＵがウェイクアップしないことを防止できる。スリープ／ウェイクアップ制御部を引き継がない場合は、単にウェイクアップ要求信号を送信することにより、スリープ／ウェイクアップ制御に必要な演算処理負荷やコストを不要にできる。また、ウェイクアップの完了を同一クラスタ内のＥＣＵで相互に確認し、ウェイクアップ未完了のＥＣＵがある場合は、ウェイクアップ要求信号を再送することにより、通信ネットワークの過渡故障等に起因するウェイクアップの失敗を回避することができる。

　さらに、スリープ回避部において、スリープ要求信号の妥当性を判定する、あるいは、同一クラスタ内のＥＣＵ同士でスリープ要求信号の受信を相互に確認し合うことで、通信ネットワークの過渡的な障害等により、ＥＣＵが誤ってスリープすることを避けることができる。万一、誤ってスリープした場合でも、自身が属するクラスタ内の他のＥＣＵからウェイクアップ要求信号を受信することで、短時間のうちに通常動作に復帰することができる。

本発明の実施形態に係る車両制御システムの全体構成スリープ／ウェイクアップ要求信号の実施形態実施例１に基づくＥＣＵの機能ブロック図実施例２に基づくＥＣＵの機能ブロック図実施例３に基づくＥＣＵの機能ブロック図実施例３に係る処理フロー図実施例４に基づくＥＣＵの機能ブロック図実施例５に基づくＥＣＵの機能ブロック図実施例５に係る処理フロー図実施例４，５に係る車両制御システムの全体構成実施例６に基づくＥＣＵの機能ブロック図実施例６に係る処理フロー図

　以下、図面に基づき、本発明の車両用電子制御装置および車両制御システムに係る実施形態について説明する。

　図１は、車両制御システムの全体構成を示している。電子制御システム１は、複数のＥＣＵ１、ＥＣＵ２、・・・ＥＣＵｎから構成され、これらのＥＣＵは通信ネットワーク２により接続されている。ＥＣＵ２からＥＣＵｎは、例えば機能ごとにクラスタ１からクラスタｊにグループ化されている。

　ＥＣＵ１は、車両の制御モードや車速などの情報に基づいて、ＥＣＵ２からＥＣＵｎをクラスタごとにスリープ／ウェイクアップさせるための演算を実行するスリープ／ウェイクアップ制御部１０、および、通信ネットワーク２とのインタフェースである送受信部１１を備える。スリープ／ウェイクアップ制御部１０は、演算に基づいた適切なタイミングでスリープ／ウェイクアップ要求信号Ｓ１を送受信部１１経由で通信ネットワーク２に送信する。

　スリープ／ウェイクアップ要求信号Ｓ１は、図２に示すように、例えば、スリープ要求信号は、通信フレーム中にクラスタ番号とスリープ要求有無を示すデータフィールドを設けることにより、ウェイクアップ要求信号は、クラスタごとに信号波形を所定の形（所定時間連続する電圧レベルＨｉｇｈ、Ｌｏｗの組み合わせがｎ回など）にしておくことにより生成することができる。

　ＥＣＵ２からＥＣＵｎは各々、送受信部ｉ１、スリープ／ウェイクアップ要求信号受信判定部ｉ２、スリープ／ウェイクアップ移行部ｉ３、スリープ回避部ｉ４を備える（ｉは２～ｎ）。図１ではＥＣＵ２のみ内部構成を示しているが、他のＥＣＵも同様な構成である。本明細書では、以降、代表してＥＣＵ２を例にとり、符号もＥＣＵ２のもの（ｉ＝２）を使用する。

　スリープ／ウェイクアップ要求信号受信判定部２２は、送受信部２１経由で受信したスリープ／ウェイクアップ要求信号Ｓ１が自分の属するクラスタに対するスリープ／ウェイクアップ要求であるかを判別し、これが自分の属するクラスタに対するものである場合は、スリープ／ウェイクアップ移行部２３に通知する。スリープ／ウェイクアップ移行部２３は、スリープ要求の場合は、クロック周波数を下げる、あるいは、バックアップ用のＲＡＭにだけ電源を供給する等の低消費電力モードにＥＣＵ２を遷移させ、ウェイクアップ要求の場合は、ＥＣＵ２を前記低消費電力モードのスリープ状態から通常状態に遷移させる。本実施形態の特徴は、さらにスリープ回避部２４を設けたことにある。スリープ回避部２４は、スリープ／ウェイクアップ要求信号受信判定部２２からのスリープ／ウェイクアップ要求信号受信通知や、通信ネットワーク２から受信した情報に基づいて、スリープ状態の維持、もしくは、スリープ状態への移行を回避する機能を備える。スリープ回避部２４の機能については、各実施例において詳述する。なお、図１のＥＣＵ２において、各機能ブロック間の信号のやり取りの一部については、実施形態によって、ある場合とない場合がある。

　次に、実施例１について説明する。実施例１に係る車両用電子制御装置では、スリープ回避部は、スリープ／ウェイクアップ制御部を備える電子制御装置の状態を監視し、当該電子制御装置、または、通信ネットワークの異常が生じたときは、当該電子制御装置のスリープ／ウェイクアップ制御を引き継ぎ、他の電子制御装置に前記スリープ／ウェイクアップ要求信号を送信する。

　図３に実施例１に基づくＥＣＵ２の機能ブロック図を示す。本実施例におけるスリープ回避部２４は、ＥＣＵ１監視部２４１とスリープ／ウェイクアップ制御部２４０から構成される。ＥＣＵ１監視部２４１は、スリープ／ウェイクアップ制御を実行するＥＣＵ（本実施例ではＥＣＵ１）の異常有無を監視する。ＥＣＵ１に異常が発生したと判断した場合は、スリープ／ウェイクアップ制御部２４０にＥＣＵ１監視結果Ｅ１としてＥＣＵ１異常を送信する。これにより、スリープ／ウェイクアップ制御部２４０は、ＥＣＵ１と同等のスリープ／ウェイクアップ制御を引継ぎ、システム内の他のＥＣＵにスリープ／ウェイクアップ要求信号Ｓ１を送信する。

　ＥＣＵ２のＥＣＵ１監視部２４１におけるＥＣＵ１の監視方法にはいくつかの方法が考えられる。ＥＣＵ１から定期的にシーケンシャル番号付きのアライブ信号を送信し、ＥＣＵ２でシーケンシャル番号が予め定めた通りに変化することを確認する、あるいは、ＥＣＵ２からＥＣＵ１に対して定期的にある問題を送り、ＥＣＵ１から所定の演算結果が返ってくることを確認するなどの方法により、ＥＣＵ１が正常であるか否かを判定することができる。また、本実施例では、ＥＣＵ１と同等のスリープ／ウェイクアップ制御部２４０を備えているため、所定のスリープ／ウェイクアップ信号が送信されているかを監視することもできる。さらに、車両制御システムがタイムトリガ型のシステムである場合、例えば通信ネットワーク２がタイムトリガ型のネットワークであるとき等は、ＥＣＵ１からのスリープ／ウェイクアップ信号の送信タイミングを設計時に決定することができるため、スリープ／ウェイクアップ制御部２４０を利用しなくてもスリープ／ウェイクアップ信号の受信タイミングが分かり、この情報を用いてＥＣＵ１を監視することができる。

　次に、実施例２について説明する。実施例２に係る車両用電子制御装置では、スリープ回避部は、スリープ／ウェイクアップ制御部を備える電子制御装置の状態を監視し、当該電子制御装置、または、通信ネットワークの異常が生じたときは、他の電子制御装置にウェイクアップ要求信号を送信する。

　図４に実施例２に基づくＥＣＵ２の機能ブロック図を示す。本実施例におけるスリープ回避部２４は、ＥＣＵ１監視部２４１とウェイクアップ要求信号生成部２４２を備えている。ＥＣＵ１監視部２４１の機能は前述の通りである。ウェイクアップ要求信号生成部２４２は、ＥＣＵ１監視部２４１からＥＣＵ１監視結果Ｅ１としてＥＣＵ１異常を受信した場合、システム内の全てのＥＣＵ、または、予め定めた安全性を確保するうえで必要なＥＣＵにウェイクアップ要求信号Ｓ２を送信する。

　実施例２は、実施例１のように、ＥＣＵ１と同等のスリープ／ウェイクアップ制御を引き継ぐわけではないため、スリープ／ウェイクアップ制御に必要な情報を入手し、これに基づいて演算する必要がない。これにより、ＥＣＵ２の演算処理負荷やコストを低減することができる。システム内の他のＥＣＵは、ウェイクアップ要求信号Ｓ２によりウェイクアップすることができ、ＥＣＵ１の異常発生後は、きめ細かなスリープ／ウェイクアップ制御はできなくなるものの、システムの安全性を確保することができる。

　実施例１，２においては、ＥＣＵ１を監視するＥＣＵはスリープ状態に移行することなく、システム動作中は常に通常状態である必要がある。これを実現する方法としては、ＥＣＵ２はどのクラスタにも属さず、システム動作中はＥＣＵ２をスリープさせない方法や、ＥＣＵ１監視部を備えるＥＣＵを複数設け、これらを異なるクラスタ内に配置することで、常にいずれかのＥＣＵ１監視部を備えるＥＣＵが通常状態にあるようにする方法などが考えられる。また、監視対象となる、スリープ／ウェイクアップ制御を実施するＥＣＵは、ＥＣＵ１に固定されなくともよい。例えば、スリープ／ウェイクアップ制御を実施するＥＣＵを切り替える必要がある場合は、併せて監視を行うＥＣＵも監視対象のＥＣＵを切り替えるようにすればよい。

　次に、実施例３について説明する。実施例３に係る車両用電子制御装置では、スリープ回避部は、ウェイクアップ要求信号を受信し、スリープ／ウェイクアップ移行部によるウェイクアップが完了した後、他の電子制御装置とウェイクアップ通知を交換することで、他の電子制御装置が正常にウェイクアップしたか否かを判定する。また、スリープ回避部は、ウェイクアップ要求信号を受信し、スリープ／ウェイクアップ移行部によるウェイクアップが完了した後、他の電子制御装置とウェイクアップ通知を交換し、正常にウェイクアップしていない電子制御装置が存在するとき、少なくとも当該電子制御装置にウェイクアップ要求信号を送信する。

　図５に実施例３に基づくＥＣＵ２の機能ブロック図を示す。本実施例におけるスリープ回避部２４は、ウェイクアップ通知生成部２４３、ウェイクアップ確認部２４４、ウェイクアップ要求信号生成部２４２を備える。本実施例のスリープ回避部２４の動作を図６の処理フロー図も用いて詳述する。なお、図６以降で示す処理フローはハードウェア、ソフトウェア、その両方のいずれで実現しても良い。

　スリープ／ウェイクアップ要求信号受信判定部２２からウェイクアップ要求信号受信通知を受け取ることで、スリープ回避部の処理が始まる。スリープ回避部が定期的にスリープ／ウェイクアップ要求信号受信判定部２２からのウェイクアップ要求信号受信通知が届いているかを確認し、届いていれば当該処理を開始するように構成することもできる。なお、当該処理の実行時には、ＥＣＵ２のウェイクアップ処理は完了しており、ＥＣＵ２は通常状態に遷移しているものとする。

　図６の処理フロー図において、スリープ回避部２４はまず、Ｓ１０で自身がウェイクアップしたことを自身が属するクラスタ内の他のＥＣＵに通知するために、ウェイクアップ通知生成部２４３でウェイクアップ通知Ｓ３を生成し、これを送信する。他のＥＣＵも同様な処理を実行するため、ウェイクアップ確認部２４４で、所定時間後に他のＥＣＵからのウェイクアップ通知Ｓ３の受信処理を行い（Ｓ１１）、自身が属するクラスタ内の全てのＥＣＵがウェイクアップしたか否かを確認する（Ｓ１２）。全てのＥＣＵのウェイクアップが完了していれば、システムは正常に動作できるため、本処理を終了する。

　Ｓ１２で全てのＥＣＵのウェイクアップが完了していない場合、すなわち一部のＥＣＵからウェイクアップ通知Ｓ３が受信できない場合は、これらのＥＣＵがノイズ等による通信ネットワーク２の過渡故障などのために、ＥＣＵ１からのウェイクアップ要求信号の受信に失敗している可能性があるため、ウェイクアップ要求信号生成部２４２で生成したウェイクアップ要求信号Ｓ２を送信する（Ｓ１３）。Ｓ１４で所定時間後にウェイクアップ未完了ＥＣＵからのウェイクアップ通知Ｓ３の受信処理を行い、Ｓ１５でこれが正常に受信できたか否かを確認する。受信できている場合、すなわちウェイクアップ未完了ＥＣＵのウェイクアップが完了したと判断できる場合は、本処理を終了する。受信できない場合は、そのＥＣＵに、例えば電源異常などの永久故障が発生し、ウェイクアップできない可能性があるため、Ｓ１６において、当該ＥＣＵの失陥を通知し、当該ＥＣＵなしの制御ができる場合はバックアップ処理を実行させるためのバックアップ処理要求通知を発行する。

　Ｓ１５がＮｏの場合、再びＳ１３に戻り、複数回ウェイクアップを試み、それでもウェイクアップできない場合にはじめてＳ１６に移行するような処理にしても良い。また、Ｓ１４以下の処理をＥＣＵ１で実行するように構成することもできる。

　本実施例によれば、ウェイクアップの完了を同一クラスタ内のＥＣＵで相互に、あるいはＥＣＵ１で確認し、ウェイクアップ未完了のＥＣＵがある場合は、ウェイクアップ要求信号を再送することにより、通信ネットワーク２の過渡故障等に起因するウェイクアップの失敗を回避することができ、車両制御システムの安全性を向上させることができる。

　次に、実施例４について説明する。実施例４に係る車両用電子制御装置では、スリープ回避部は、スリープ／ウェイクアップ制御部から送信されるスリープ要求信号を所定時間内に予め定めた回数受信したときに、スリープ／ウェイクアップ移行部へスリープ移行許可通知を出力する。

　図７に実施例４に基づくＥＣＵ２の機能ブロック図を示す。本実施例におけるスリープ回避部２４は、スリープ可否判定部２４５を備えている。スリープ可否判定部２４５は、スリープ／ウェイクアップ要求信号受信判定部２２からスリープ要求信号受信通知を受け取り、スリープ可否を判定した後、スリープ／ウェイクアップ移行部２３にスリープ可否判定結果Ｅ２を送信する。スリープ／ウェイクアップ移行部２３は、スリープ／ウェイクアップ要求信号受信判定部２２からスリープ要求信号受信通知を受信後も、スリープ可否判定部２４５からスリープ可否判定結果Ｅ２を受信するまではスリープ状態への移行を保留し、スリープ可否判定結果Ｅ２が可の場合にのみスリープ状態へ移行する。

　スリープ可否判定部２４５ではスリープ要求信号の妥当性の判定を行う。例えば、通信ネットワーク２の過渡故障などにより、ＥＣＵ１からスリープ要求信号が送られてきていないにもかかわらず、ＥＣＵ２でスリープ要求信号が届いたと誤認することを防止するために、ＥＣＵ１が複数回スリープ要求信号を送信するように構成することが考えられるが、この場合は、スリープ可否判定部２４５では所定時間内に予め定めた回数のスリープ要求信号を受信したか否かを判定する。また、別の妥当性判定の実施例としては、偽のスリープ要求信号が注入され、意図しないスリープ状態への移行が発生することを回避するために、スリープ要求信号を暗号化する、あるいは、予め定めた規則に従って変化する識別子をスリープ要求信号に付加するように構成することが考えられるが、この場合、スリープ可否判定部２４５は、スリープ要求信号の復号や、付加された識別子の確認を行うことでスリープ要求信号の真偽を判定する。

　次に、実施例５について説明する。実施例５に係る車両用電子制御装置では、スリープ回避部は、スリープ要求信号を受信したときに、他の電子制御装置とスリープ要求受信通知を交換することで、スリープ可否を判定する。また、スリープ回避部は、スリープ要求受信通知に基づき、前記スリープ要求信号を受信した電子制御装置が所定数以上の場合は、スリープ／ウェイクアップ移行部へスリープ移行許可通知を出力し、所定数に満たない場合は、前記スリープ／ウェイクアップ移行部へスリープ移行禁止通知を出力する。

　図８に実施例５に基づくＥＣＵ２の機能ブロック図を示す。本実施例におけるスリープ回避部２４は、スリープ要求受信通知生成部２４６、および、スリープ可否判定部２４５を備えている。本実施例は、前述のように、通信ネットワーク２の過渡故障などにより、ＥＣＵ１からスリープ要求信号が送られてきていないにもかかわらず、ＥＣＵ２でスリープ要求信号が届いたと誤認することを防止する方法の別の実施例である。本実施例のスリープ回避部２４の動作を図９の処理フロー図も用いて詳述する。

　スリープ／ウェイクアップ要求信号受信判定部２２からスリープ要求信号受信通知を受け取ることで、スリープ回避部の処理が始まる。スリープ回避部が定期的にスリープ／ウェイクアップ要求信号受信判定部２２からのスリープ要求信号受信通知が届いているかを確認し、届いていれば当該処理を開始するように構成することもできる。

　図９の処理フロー図において、スリープ回避部２４はまず、Ｓ２０で自身がスリープ要求信号を受信したことを自身が属するクラスタ内の他のＥＣＵに通知するために、スリープ要求受信通知生成部２４６でスリープ要求受信通知Ｓ４を生成し、これを送信する。他のＥＣＵも同様な処理を実行するため、スリープ可否判定部２４５で、所定時間後に他のＥＣＵからのスリープ要求受信通知Ｓ４の受信処理を行い（Ｓ２１）、自身が属するクラスタ内のＥＣＵのうち、所定数以上のＥＣＵがスリープ要求を受信したか否かを判定する（Ｓ２２）。スリープ要求を受信したＥＣＵが所定数以上の場合は、Ｓ２３でスリープ可否判定結果Ｅ２としてスリープ移行許可通知をスリープ／ウェイクアップ移行部２３に送信して本処理を終了する。スリープ要求を受信したＥＣＵが所定数に満たない場合は、Ｓ２４でスリープ移行禁止通知を送信して本処理を終了する。

　図１０を用いて実施例５に基づく適用例を説明する。図１０の車両制御システムは、ＥＣＵ１からＥＣＵ９の９台のＥＣＵを備えており、ＥＣＵ２からＥＣＵ５がクラスタ１に、ＥＣＵ６からＥＣＵ９がクラスタ２に属している。ＥＣＵ１はクラスタ２に対するスリープ要求信号Ｓ１を送信する。図１０において、スリープ要求信号Ｓ１は、クラスタ番号とスリープ要求有無を示すデータに加えて、前述のスリープ要求信号の真偽を判定するための識別子を備えている。スリープ要求有無ビットは１がスリープ要求ありとする。本適用例では、過渡的な通信障害等により、クラスタ１に属するＥＣＵ５が、このスリープ要求信号Ｓ１をクラスタ１に対するスリープ信号と誤認した場合を想定している。

　この場合、クラスタ２のＥＣＵは、図９の処理フローに従い、スリープ要求受信有無ビットを１にしたスリープ要求受信通知Ｓ４を送信し（スリープ要求受信有を１とする）、４台のＥＣＵともにスリープ要求受信有無ビットが１のため、スリープ状態への移行を許可する。一方、クラスタ１では、ＥＣＵ５だけがスリープ要求受信有無ビットを１にしたスリープ要求受信通知Ｓ４を送信するが、他の３台のＥＣＵは、スリープ要求信号を受信したという認識はないため、例えば周期処理の中でスリープ要求受信有無ビットが０のスリープ要求受信通知Ｓ４を送信する。したがって、例えば、４つのスリープ要求受信通知Ｓ４の多数決をとることで、スリープ要求信号が送信されていないことが判明し、スリープ状態への移行は禁止される。これにより、ＥＣＵ５は誤ってスリープすることを避けることができる。

　次に、実施例６について説明する。実施例６に係る車両用電子制御装置では、スリープ回避部は、正常であることを示すアライブ信号を他の電子制御装置と交換することで、他の電子制御装置が正常か否かを判定し、正常でない電子制御装置が存在すると判定した場合は、少なくとも当該電子制御装置へウェイクアップ要求信号を送信する。

　図１１に実施例６に基づくＥＣＵ２の機能ブロック図を示す。本実施例におけるスリープ回避部２４は、アライブ信号生成部２４７、アライブ信号確認部２４８、および、ウェイクアップ要求信号生成部２４２から構成される。本実施例のスリープ回避部２４の動作を図１２の処理フロー図も用いて詳述する。

　本実施例におけるスリープ回避処理は周期的に実行されるものとする。まず、Ｓ２５で自身が正常であることを自身が属するクラスタ内の他のＥＣＵに通知するために、アライブ信号生成部２４７でアライブ信号Ｓ５を生成し、これを送信する。他のＥＣＵも同様な処理を実行するため、アライブ信号確認部２４８で、所定時間後に他のＥＣＵからのアライブ信号Ｓ５の受信処理を行い（Ｓ２６）、自身が属するクラスタ内の全てのＥＣＵからアライブ信号Ｓ５が送信されている、すなわち、全てのＥＣＵが正常であるか否かを確認する（Ｓ２７）。全てのＥＣＵが正常であれば本処理を終了する。

　Ｓ２７で全てのＥＣＵが正常でない場合、すなわち一部のＥＣＵからアライブ信号Ｓ５が受信できない場合は、このＥＣＵのウェイクアップを試みるために、ウェイクアップ要求信号生成部２４２で生成したウェイクアップ要求信号Ｓ２を送信する（Ｓ１３）。Ｓ２８で所定時間後に当該ＥＣＵからのアライブ信号Ｓ５の受信処理を行い、Ｓ２９でこれが正常に受信できたか否かを確認する。受信できている場合、すなわち当該ＥＣＵのウェイクアップが完了し、通常動作に復帰したと判断できる場合は、本処理を終了する。受信できない場合は、当該ＥＣＵに、例えば電源異常などの永久故障が発生し、ウェイクアップできない可能性があるため、Ｓ１６において、当該ＥＣＵの失陥を通知し、当該ＥＣＵなしの制御ができる場合はバックアップ処理を実行させるためのバックアップ処理要求通知を発行する。

　実施例４から６によれば、スリープ可否判定部において、スリープ要求信号の妥当性を判定する、あるいは、同一クラスタ内のＥＣＵ同士でスリープ要求信号の受信を相互に確認し合うことで、通信ネットワーク２の過渡的な障害等により、ＥＣＵが誤ってスリープすることを避けることができる。万一、誤ってスリープした場合でも、自身が属するクラスタ内の他のＥＣＵからウェイクアップ要求信号を受信することで、短時間のうちに通常動作に復帰することができる。

　なお、以上述べた各実施例を適宜組み合わせることで、車両制御システムの安全性をより向上させることができるが、このような実施例も本発明の実施形態に含まれる。

　また、上記実施形態では、複数の電子制御装置がクラスタに分割され、クラスタごとに制御される車両制御システムを例に説明したが、これに限定されるものではなく、複数の電子制御装置をクラスタに分割されないものであってもよい。

１…車両制御システム、２…通信ネットワーク、１０…スリープ／ウェイクアップ制御部、１１…ＥＣＵ１の送受信部、２１…ＥＣＵ２の送受信部、２２…ＥＣＵ２のスリープ／ウェイクアップ要求信号受信判定部、２３…ＥＣＵ２のスリープ／ウェイクアップ移行部、２４…ＥＣＵ２のスリープ回避部、２４１…ＥＣＵ２のＥＣＵ１監視部、２４２…ＥＣＵ２のウェイクアップ要求信号生成部、２４３…ＥＣＵ２のウェイクアップ通知生成部、２４４…ＥＣＵ２のウェイクアップ確認部、２４５…ＥＣＵ２のスリープ可否判定部、２４６…ＥＣＵ２のスリープ要求受信通知生成部、２４７…ＥＣＵ２のアライブ信号生成部、２４８…ＥＣＵ２のアライブ信号確認部、Ｓ１…スリープ／ウェイクアップ要求信号、Ｓ２…ウェイクアップ要求信号、Ｓ３…ウェイクアップ通知、Ｓ４…スリープ要求受信通知、Ｓ５…アライブ信号、Ｅ１…ＥＣＵ１監視結果、Ｅ２…スリープ可否判定結果

Claims

　通信ネットワークを介して他の電子制御装置と情報をやり取りする車両用電子制御装置において、
　前記車両用電子制御装置は、車両の動作状態に応じてスリープまたはウェイクアップを制御するスリープ／ウェイクアップ制御部を備える電子制御装置からのスリープ／ウェイクアップ要求信号に基づいて、スリープまたはウェイクアップするスリープ／ウェイクアップ移行部と、前記他の電子制御装置、あるいは、前記通信ネットワークのいずれかに異常が生じたときに、スリープ継続、または、スリープ移行を回避するスリープ回避部と、を備えることを特徴とする車両用電子制御装置。
　請求項１に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記他の電子制御装置、あるいは、前記通信ネットワークの異常が発生したときに、ウェイクアップしないことを防止することを特徴とする車両用電子制御装置。
　請求項１に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記他の電子制御装置、あるいは、前記通信ネットワークの異常が発生したときに、前記スリープ／ウェイクアップ制御部からのスリープ要求なしにスリープすることを防止することを特徴とする車両用電子制御装置。
　請求項２に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記スリープ／ウェイクアップ制御部を備える電子制御装置の状態を監視し、当該電子制御装置、または、前記通信ネットワークの異常が生じたときは、当該電子制御装置のスリープ／ウェイクアップ制御を引き継ぎ、前記他の電子制御装置に前記スリープ／ウェイクアップ要求信号を送信することを特徴とする車両用電子制御装置。
　請求項２に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記スリープ／ウェイクアップ制御部を備える電子制御装置の状態を監視し、当該電子制御装置、または、前記通信ネットワークの異常が生じたときは、前記他の電子制御装置にウェイクアップ要求信号を送信することを特徴とする車両用電子制御装置。
　請求項２に記載の車両用電子制御装置において、
　前記スリープ回避部は、ウェイクアップ要求信号を受信し、前記スリープ／ウェイクアップ移行部によるウェイクアップが完了した後、前記他の電子制御装置とウェイクアップ通知を交換することで、前記他の電子制御装置が正常にウェイクアップしたか否かを判定することを特徴とする車両用電子制御装置。
　請求項２に記載の車両用電子制御装置において、
　前記スリープ回避部は、ウェイクアップ要求信号を受信し、前記スリープ／ウェイクアップ移行部によるウェイクアップが完了した後、前記他の電子制御装置とウェイクアップ通知を交換し、正常にウェイクアップしていない電子制御装置が存在するとき、少なくとも当該電子制御装置にウェイクアップ要求信号を送信することを特徴とする車両用電子制御装置。
　請求項３に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記スリープ／ウェイクアップ制御部から送信されるスリープ要求信号を所定時間内に予め定めた回数受信したときに、前記スリープ／ウェイクアップ移行部へスリープ移行許可通知を出力することを特徴とする車両用電子制御装置。
　請求項３に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記スリープ／ウェイクアップ制御部が暗号化したスリープ要求信号を復号した結果に基づき、前記スリープ／ウェイクアップ移行部へスリープ移行許可通知を出力することを特徴とする車両用電子制御装置。
　請求項３に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記スリープ／ウェイクアップ制御部が予め定めた規則に基づいてスリープ要求信号に付加した識別子を確認した結果に基づき、前記スリープ／ウェイクアップ移行部へスリープ移行許可通知を出力することを特徴とする車両用電子制御装置。
　請求項３に記載の車両用電子制御装置において、
　前記スリープ回避部は、スリープ要求信号を受信したときに、他の電子制御装置とスリープ要求受信通知を交換することで、スリープ可否を判定することを特徴とする車両用電子制御装置。
　請求項１１に記載の車両用電子制御装置において、
　前記スリープ回避部は、前記スリープ要求受信通知に基づき、前記スリープ要求信号を受信した電子制御装置が所定数以上の場合は、前記スリープ／ウェイクアップ移行部へスリープ移行許可通知を出力し、所定数に満たない場合は、前記スリープ／ウェイクアップ移行部へスリープ移行禁止通知を出力することを特徴とする車両用電子制御装置。
　請求項３に記載の車両用電子制御装置において、
　前記スリープ回避部は、正常であることを示すアライブ信号を他の電子制御装置と交換することで、他の電子制御装置が正常か否かを判定し、正常でない電子制御装置が存在すると判定した場合は、少なくとも当該電子制御装置へウェイクアップ要求信号を送信することを特徴とする車両用電子制御装置。
　請求項１に記載の車両用電子制御装置と、該車両用電子制御装置と通信ネットワークを介して情報をやり取りする他の電子制御装置とを含む複数の電子制御装置によって構成される車両制御システム。
　請求項１４に記載の車両制御システムにおいて、
　前記複数の電子制御装置は、クラスタに分割されており、
　各クラスタ内の電子制御装置の少なくとも一つは、前記スリープ／ウェイクアップ制御部を備え、
　各クラスタ内の各電子制御装置は、前記スリープ／ウェイクアップ移行部と、前記スリープ回避部と、を備えることを特徴とする車両制御システム。