WO2019208442A1

WO2019208442A1 - 車両制御装置

Info

Publication number: WO2019208442A1
Application number: PCT/JP2019/016846
Authority: WO
Inventors: 高輔長谷川
Original assignee: 株式会社デンソー
Priority date: 2018-04-25
Filing date: 2019-04-19
Publication date: 2019-10-31
Also published as: US20210031792A1; CN112004730A; CN112004730B; JP2019189029A; EP3786021A1; EP3786021A4; JP6981357B2

Abstract

複数の制御実行部（５０）は、メインバスおよびサブバスのいずれにも接続され、実行部（５３４）と、選択部（５３３）と、を備える。実行部は、メインバス（８）に接続されたメイン処理部（３０）からのメイン操作量およびサブバス（９）に接続されたサブ処理部（４０）からのサブ操作量のいずれかを選択操作量として、選択操作量に従って車両制御を実行する。選択部は、初期状態ではメイン操作量を選択操作量に設定し、メインバスを介して行われる通信が予め設定された切替条件を満たす場合に、選択操作量をメイン操作量からサブ操作量に切り替える。

Description

車両制御装置

関連出願の相互参照

　本国際出願は、２０１８年４月２５日に日本国特許庁に出願された日本国特許出願第２０１８－０８４２５７号に基づく優先権を主張するものであり、日本国特許出願第２０１８－０８４２５７号の全内容を本国際出願に参照により援用する。

　本開示は、自動運転制御の信頼性を向上させる技術に関する。

　下記特許文献１には、自動運転制御に関する操作量を演算する機能を有する電子制御装置（以下、メインＥＣＵ）と、操作量に従って制御を実行する機能を有する複数の電子制御装置（以下、ＡＣＴ系ＥＣＵ）とが接続された車載ネットワークにおいて、メインＥＣＵを冗長化する技術が記載されている。具体的には、メインＥＣＵと同様の機能を有するサブＥＣＵを設け、メインＥＣＵおよびサブＥＣＵのいずれもが、操作量の演算の他に、故障等の検出を行って故障検出結果を共通のネットワークを介して送信する。ＡＣＴ系ＥＣＵは、ネットワークを介してメインＥＣＵおよびサブＥＣＵのそれぞれから受信する故障検出結果に従って、メインＥＣＵにて生成された操作量およびサブＥＣＵにて生成された操作量のいずれかを選択して自動運転のための制御を実行する。これにより、メインＥＣＵおよびサブＥＣＵのいずれか一方のＥＣＵに故障が発生しても、他方のＥＣＵにて演算された操作量を用いて自動運転制御の継続が可能となる。

特開２０１７－１９６９６５号公報

　しかしながら、開示者の詳細な検討の結果、特許文献１に記載の従来技術では、以下の課題が見出された。

　即ち、従来技術では、メインＥＣＵとサブＥＣＵとは、同一のネットワークに接続されているため、サブＥＣＵがネットワークを占有して使えなくしてしまう故障等が想定される。つまり、サブＥＣＵの動作がメインＥＣＵの動作に影響を与える可能性があるため、サブＥＣＵの設計には、メインＥＣＵと同等の高い安全基準が求められる。なお、安全基準が高い場合、ＥＣＵに、高いバスの故障検出率と低い故障率とが要求される他、設計において多くのドキュメントを作成することが要求される。また、従来技術では、メインＥＣＵが故障した場合、ＡＣＴ系ＥＣＵは、サブＥＣＵから操作量を取得することで自動運転制御を継続することができる。しかし、ネットワークが故障した場合、ＡＣＴ系ＥＣＵは、メインＥＣＵおよびサブＥＣＵのいずれからも操作量を取得できないため、自動運転制御を継続することができなかった。

　本開示の１つの局面は、自動運転制御における冗長系の設計負荷を軽減しつつ、制御の信頼性を向上させる技術を提供することにある。

　本開示の一態様による車両制御装置は、メイン処理部と、サブ処理部と、メインバスと、サブバスと、複数の制御実行部と、を備える。

　メイン処理部は、自動運転の制御に使用する制御データであるメイン操作量を繰り返し生成する。サブ処理部は、自動運転の制御に使用する制御データであるサブ操作量を繰り返し生成する。メインバスは、メイン処理部に接続される。サブバスは、サブ処理部に接続される。複数の制御実行部は、メインバスおよびサブバスのいずれにも接続される。

　制御実行部は、実行部と、選択部と、を備える。実行部は、メイン操作量およびサブ操作量のいずれかを選択操作量として、選択操作量に従って車両制御を実行する。選択部は、初期状態ではメイン操作量を選択操作量に設定し、メインバスを介して行われる通信が予め設定された切替条件を満たす場合に、選択操作量をメイン操作量からサブ操作量に切り替える。

　このような構成によれば、メイン処理部に接続されるメインバスとは別に、サブ処理部に接続されるサブバスが設けられているため、サブ処理部の動作がメイン処理部の動作に影響を与えることがない。このため、サブ処理部は、メイン処理部と比較して、低い安全基準を適用して設計できるため、サブ処理部やサブバスに関わる部分の設計を簡略化できる。また、メインバスが故障してもサブバスを用いて自動運転制御を継続できるため、制御の信頼性を向上させることができる。

自動運転システムの構成を示すブロック図である。メインバスおよびサブバスを介して送受信される情報に関する説明図である。メインＥＣＵおよびサブＥＣＵにおけるバス判断処理のフローチャートである。メインＥＣＵにおける通知処理のフローチャートである。サブＥＣＵにおける通知処理のフローチャートである。ＡＣＴ系ＥＣＵにおける選択処理のフローチャートである。ＨＭＩ系ＥＣＵにおける報知処理のフローチャートである。メインＥＣＵにて異常が検出された場合の動作を示す説明図である。メインバスが故障した場合、およびメインＥＣＵがメインバスを介して送受信不能である場合の動作を示す説明図である。メインＥＣＵがメインバスを介して受信不能である場合の動作を示す説明図である。メインＥＣＵがメインバスを介して送信不能である場合の動作を示す説明図である。ＡＣＴ系ＥＣＵの一つがメインバスを介して受信不能である場合の動作を示す説明図である。ＡＣＴ系ＥＣＵの一つがメインバスを介して送受信不能である場合の動作を示す説明図である。ＡＣＴ系ＥＣＵの一つがメインバスを介して送信不能である場合の動作を示す説明図である。サブＥＣＵにて異常が検出された場合の動作を示す説明図である。ＡＣＴ系ＥＣＵにてサブバスの異常が検出された場合の動作を示す説明図である。

　以下、図面を参照しながら、本開示の実施形態を説明する。

　［１．構成］
　［１－１．概要］
　図１に示す自動運転システム１は、車両に搭載され、設定経路に従って自動で走行制御を行う自動運転を実現する。以下では、自動運転システム１を搭載した車両を自車両といる。

　自動運転システム１は、情報取得部２と、制御指示部３と、制御対象部５と、センサバス７と、メインバス８と、サブバス９と、を備える。

　情報取得部２は、自動運転に必要な様々な情報を取得して制御指示部３に供給する。情報取得部２は、車両情報部２１と、周辺情報部２２と、道路情報部２３と、を備える。

　車両情報部２１は、自車両に設けられた各種センサから情報を収集して、自車両の挙動を表す車両情報を生成する。車両情報には、自車両の位置、速度、加速度、ヨーレート、および舵角等が含まれてもよい。

　周辺情報部２２は、自車両の前後左右に設置されたカメラからの画像およびレーダセンサからの検出結果に基づき、自車両の周辺領域に存在する他車両を含む各種物体に関する情報や路面に描かれた区画線や標識等に関する情報を生成する。なお、レーダセンサとしては、例えば、ミリ波レーダやレーザレーダ、超音波レーダ等を用いることができる。

　道路情報部２３は、ＶＩＣＳ等の路車間通信を利用したシステム等を用いて取得される情報、および自動運転用の高精度地図が記憶された地図データベースの情報のうち少なくとも一方に基づき、走行中の道路に関する規制情報を含んだ各種道路情報を取得する。なお、ＶＩＣＳとは、Vehicle Information and Communication Systemの略称であり、登録商標である。また、道路情報部２３は、周辺情報部２２による路面に描かれた区画線や標識等の検出結果から認識される情報を用いてもよい。

　制御指示部３は、メインＥＣＵ３０と、サブＥＣＵ４０とを備える。メインＥＣＵ３０およびサブＥＣＵ４０は、いずれも、情報取得部２を構成する各部２１～２３と共にセンサバス７に接続される。また、メインＥＣＵ３０は、メインバス８に接続され、サブＥＣＵ４０は、サブバス９に接続される。メインＥＣＵ３０およびサブＥＣＵ４０は、いずれも情報取得部２から取得される情報と、別途生成される自動運転のための経路情報とに基づいて、車両に搭載された様々なアクチュエータの操作量を生成する。以下では、メインＥＣＵ３０が生成する操作量をメイン操作量という。また、サブＥＣＵ４０が生成する操作量をサブ操作量という。

　制御対象部５は、複数のＡＣＴ系ＥＣＵ５０と、一つ以上のＨＭＩ系ＥＣＵ６０とを備える。ＡＣＴは、アクチュエータの略であり、ＨＭＩは、ヒューマン・マシン・インタフェースの略である。ＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０は、いずれも、メインバス８およびサブバス９の両方に接続される。

　ＡＣＴ系ＥＣＵ５０は、制御指示部３からメインバス８またはサブバス９を介して取得される制御データであるアクチュエータの操作量に従って、自ＥＣＵに割り当てられたアクチュエータを駆動する。ＡＣＴ系ＥＣＵ５０には、駆動系ＥＣＵ５０ａ、制動系ＥＣＵ５０ｂ、および操舵系ＥＣＵ５０ｃ等の種類が存在する。駆動系ＥＣＵ５０ａは、少なくともエンジンの作動に関わるアクチュエータを制御する。制動系ＥＣＵ５０ｂは、少なくともブレーキの作動に関わるアクチュエータを制御する。操舵系ＥＣＵ５０ｃは、少なくともステアリングの作動に関わるアクチュエータを制御する。ＡＣＴ系ＥＣＵ５０は、駆動対象となるアクチュエータが異なり駆動対象に応じた制御を行う以外は、いずれも同様に構成される。

　ＨＭＩ系ＥＣＵ６０は、メインバス８およびサブバス９の通信状態を監視し、自車両のドライバーに対して監視結果に応じた報知を実行する。

　なお、メインＥＣＵ３０がメイン処理部、サブＥＣＵ４０がサブ処理部、ＡＣＴ系ＥＣＵ５０が制御実行部、ＨＭＩ系ＥＣＵ６０が報知実行部に相当する。

　［１－２．メインバス／サブバス］
　メインバス８とサブバス９とを介して送受信される情報を、図２を用いて説明する。

　メインバス８では、メイン操作量と、切替指示と、メインバス故障通知とが送受信される。

　メイン操作量は、メインＥＣＵ３０からＡＣＴ系ＥＣＵ５０に向けて送信される。メイン操作量には、ＡＣＴ系ＥＣＵ５０のそれぞれにて使用される自動運転制御に必要な操作量が列挙して示される。

　切替指示は、メインＥＣＵ３０からＡＣＴ系ＥＣＵ５０と、ＨＭＩ系ＥＣＵ６０とに向けて送信される。切替指示は、ＡＣＴ系ＥＣＵ５０において使用する操作量を、メイン操作量からサブ操作量へ切り替えることが必要であるか否かを示す情報であり、具体的には、「切替必要」または「切替不要」が示される。

　メインバス故障通知は、ＡＣＴ系ＥＣＵ５０からメインＥＣＵ３０に向けて送信される。メインバス故障通知は、ＡＣＴ系ＥＣＵ５０においてメインバス８の通信状態に異常があるか否かを判断した結果、即ちメインバス８の故障を検出したか否かを表す情報であり、具体的には、「故障あり」または「故障なし」が示される。

　サブバス９では、サブ操作量と、サブ系状態と、サブバス故障通知とが送受信される。

　サブ操作量は、サブＥＣＵ４０からＡＣＴ系ＥＣＵ５０に向けて送信される。サブ操作量には、ＡＣＴ系ＥＣＵ５０のそれぞれにて使用される自動運転に必要なサブ操作量が列挙して示される。

　サブ系状態は、サブＥＣＵ４０から、ＡＣＴ系ＥＣＵ５０とＨＭＩ系ＥＣＵ６０とに向けて送信される。サブ系状態は、サブＥＣＵ４０にて、自身の動作状態およびサブバス９の通信状態に異常があるか否かを判断した結果を表す情報であり、具体的には、「異常あり」または「異常なし」が示される。

　サブバス故障通知は、ＡＣＴ系ＥＣＵ５０からサブＥＣＵ４０に向けて送信される。サブバス故障通知は、ＡＣＴ系ＥＣＵ５０においてサブバス９の通信状態に異常があるか否かを判断した結果、即ち、サブバス９の故障を検出したか否かを表す情報であり、具体的には、「故障あり」または「故障なし」が示される。

　なお、メインバス８およびサブバス９を介して送受信される上述した各情報には、送信される毎にインクリメントされる送信順情報、およびＣＲＣ等の誤り検出情報が付加される。

　［１－３．ＥＣＵ］
　図１に示すように、メインＥＣＵ３０は、センサバスＩＦ部３１と、メインバスＩＦ部３２と、メイン演算部３３とを備える。サブＥＣＵ４０は、センサバスＩＦ部４１と、サブバスＩＦ部４２と、サブ演算部４３とを備える。ＡＣＴ系ＥＣＵ５０は、メインバスＩＦ部５１と、サブバスＩＦ部５２と、ＡＣＴ演算部５３とを備える。ＨＭＩ系ＥＣＵ６０は、メインバスＩＦ部６１と、サブバスＩＦ部６２と、ＨＭＩ演算部６３とを備える。

　センサバスＩＦ部３１，４１は、センサバス７を介した通信を行う通信回路である。メインバスＩＦ部３２，５１，６１は、メインバス８を介した通信を行う通信回路である。サブバスＩＦ部４２，５２，６２は、サブバス９を介した通信を行う通信回路である。

　メイン演算部３３、サブ演算部４３、ＡＣＴ演算部５３、およびＨＭＩ演算部６３は、いずれも、ＣＰＵと、例えば、ＲＡＭまたはＲＯＭ等の半導体メモリ（以下、メモリ）と、を有するマイクロコンピュータを備える。各演算部３３，４３，５３，６３が実現する各機能は、ＣＰＵが非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、メモリが、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムが実行されることで、プログラムに対応する方法が実行される。なお、各演算部３３，４３，５３，６３は、それぞれが１つのマイクロコンピュータを備えてもよいし、複数のマイクロコンピュータを備えてもよい。

　各演算部３３，４３，５３，６３が実行する各機能を実現する手法はソフトウェアに限るものではなく、その一部または全部の機能は、一つあるいは複数のハードウェアを用いて実現されてもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は、デジタル回路、またはアナログ回路、あるいはこれらの組合せによって実現されてもよい。

　［２．処理］
　［２－１．メイン演算部］
　メイン演算部３３は、機能ブロックとして、操作量生成部３３１と、動作判断部３３２と、バス判断部３３３と、指示通知部３３４と、を備える。なお、動作判断部３３２およびバス判断部３３３がメイン判断部に相当する。

　操作量生成部３３１は、センサバスＩＦ部３１を介して情報取得部２から取得した情報に基づいてメイン操作量を繰り返し生成する。

　動作判断部３３２は、メイン演算部３３の動作に異常があるか否かを判断する。具体的には、ＣＰＵについては、例えば、デュアルロックステップ等、ＣＰＵに同じ演算を行わせた結果を検算することで異常の有無を判断してもよい。メモリについては、例えば、メモリへのアクセス時に行われる誤り検出によって、異常の有無を判断してもよい。

　バス判断部３３３は、メインバス８を介した通信状態の異常を判断する。

　指示通知部３３４は、操作量生成部３３１で生成されたメイン操作量を、メインバス８を介して送信すると共に、動作判断部３３２とバス判断部３３３とでの判断結果に従って、切替指示を送信する。

　ここで、メイン演算部３３が、バス判断部３３３としての機能を実現するために実行するバス判断処理、および指示通知部３３４としての機能を実現するために実行する通知処理について、図３および図４のフローチャートを用いて説明する。

　バス判断処理は、メインバス８を介してメインバス故障通知を受信する毎に実行される。以下、受信したバス故障通知を、単に受信通知という。

　図３に示すように、メイン演算部３３は、バス判断処理が開始されると、まず、Ｓ１１０では、メインバス８について既に異常ありと判断されているか否かを判断する。メイン演算部３３は、既に異常ありと判断されている場合は、Ｓ１６０に処理を移行し、未だ異常ありと判断されていない場合は、Ｓ１２０に処理を移行する。

　メイン演算部３３は、Ｓ１２０では、受信通知の前回の受信からの経過時間が、予め設定された規定時間内であるか否かを判断する。規定時間は、一定の時間であり、例えば、受信通知の正常時における平均的な受信間隔の２倍程度に設定されてもよい。メイン演算部３３は、経過時間が規定時間を超えていると判断した場合は、Ｓ１６０に処理を移行し、経過時間が規定時間内であると判断した場合は、Ｓ１３０に処理を移行する。

　メイン演算部３３は、Ｓ１３０では、受信通知に付与されている順序情報に異常があるか否かを判断する。具体的には、前回の受信通知に付与された順序情報と比較することで、順番の入れ替わり、情報の欠落、同一情報の反復受信等が検出された場合に異常があると判断する。なお、本ステップの判断は、受信通知の送信元毎に個別に実施する。メイン演算部３３は、制御対象部５に属するいずれかのＥＣＵからの受信通知について、順序情報に異常があると判断した場合は、Ｓ１６０に処理を移行し、順序情報に異常がないと判断した場合は、Ｓ１４０に処理を移行する。

　メイン演算部３３は、Ｓ１４０では、受信通知に符号誤りがあるか否かを判断する。具体的には、受信通知に付与されている誤り検出情報を用いて符号誤りの有無を判断する。メイン演算部３３は、受信通知に符号誤りがあると判断した場合は、Ｓ１６０に処理を移行し、受信通知に符号誤りはないと判断した場合は、Ｓ１５０に処理を移行する。

　メイン演算部３３は、Ｓ１５０では、メインバス８の通信状態に異常はないと判断して、処理を終了する。

　メイン演算部３３は、Ｓ１６０では、メインバス８の通信状態に異常があると判断して、処理を終了する。

　なお、メインバス８の通信状態に異常があるか否かの判断結果は、例えば、メイン演算部３３が有するメモリに記憶される。

　次に、通知処理は、予め設定された一定周期毎に繰り返し実行される。一定周期は、例えば、メイン操作量の送信周期と一致するように設定されてもよい。

　図４に示すように、メイン演算部３３は、通知処理が開始されると、まず、Ｓ２１０では、動作判断部３３２での判断結果が異常ありであるか否かを判断する。メイン演算部３３は、判断結果が異常ありであればＳ２６０に処理を移行し、判断結果が異常なしであればＳ２２０に処理を移行する。

　メイン演算部３３は、Ｓ２２０では、バス判断部３３３での判断結果が異常ありであるか否かを判断する。メイン演算部３３は、判断結果が異常ありであればＳ２６０に処理を移行し、判断結果が異常なしであればＳ２３０に処理を移行する。

　メイン演算部３３は、Ｓ２３０では、メインバス８を介して「故障あり」と示されたバス故障通知（以下、故障あり通知）を受信したか否かを判断する。メイン演算部３３は、故障あり通知を受信している場合は、Ｓ２６０に処理を移行し、故障あり通知を受信していない場合は、Ｓ２４０に処理を移行する。

　メイン演算部３３は、Ｓ２４０では、操作量生成部３３１で生成された操作量であるメイン操作量を、メインバス８を介して送信する。

　メイン演算部３３は、続くＳ２５０では、「切替不要」と示された切替指示を、メインバス８を介して送信して、処理を終了する。

　メイン演算部３３は、Ｓ２６０では、「切替必要」と示された切替指示通知を、メインバス８を介して送信して、処理を終了する。

　なお、Ｓ２１０～Ｓ２３０の判断にて肯定判断される条件が指示条件に相当する。

　［２－２．サブ演算部］
　サブ演算部４３は、図１に示すように、機能ブロックとして、操作量生成部４３１と、動作判断部４３２と、バス判断部４３３と、状態通知部４３４と、を備える。なお、動作判断部４３２とバス判断部４３３とがサブ判断部に相当する。

　操作量生成部４３１は、センサバスＩＦ部４１を介して情報取得部２から取得した情報に基づいてサブ操作量を繰り返し生成する。なお、サブ操作量はメイン操作量と同様の手法を用いて生成されてもよいし、メイン操作量とは異なる手法を用いて生成されてもよい。例えば、サブ操作量は、より演算量の少ない簡易な手法を用いたり、精度の有効桁数を落としたりして生成してもよい。

　動作判断部４３２は、サブ演算部４３の動作に異常があるか否かを判断する。具体的には、メイン演算部３３の動作判断部３３２と同様の手法を用いてもよい。

　バス判断部４３３は、サブバス９を介した通信状態の異常を判断する。具体的な判断の手法は、メイン演算部３３のバス判断部３３３と同様の手法を用いてもよい。つまり、サブ演算部４３が、バス判断部４３３としての機能を実現するために実行するバス判断処理の内容は、メイン演算部３３が実行するバス判断処理と同様である。但し、上述のＳ１１０～Ｓ２６０の説明において、メイン演算部３３はサブ演算部４３に、メインバス８はサブバス９に、メインバス故障通知はサブバス故障通知に読み替えるものとする。

　状態通知部４３４は、操作量生成部４３１で生成されたサブ操作量を送信すると共に、動作判断部４３２での判断結果とバス判断部４３３での判断結果とに従って、サブ状態を送信する。

　ここで、サブ演算部４３が、状態通知部４３４としての機能を実現するために実行する通知処理について、図５のフローチャートを用いて説明する。

　通知処理は、予め設定された一定周期毎に繰り返し実行される。一定周期は、例えば、サブ操作量の送信周期と一致するように設定されてもよい。

　サブ演算部４３は、通知処理が開始されると、Ｓ３１０では、動作判断部４３２での判断結果が異常ありであるか否かを判断する。Ｓ３２０では、バス判断部４３３での判断結果が異常ありであるか否かを判断する。Ｓ３３０では、サブバス９を介して「故障あり」と示されたサブバス故障通知（以下、故障あり通知）を受信したか否かを判断する。

　サブ演算部４３は、Ｓ３１０またはＳ３２０にて異常ありと判断した場合、あるいはＳ３３０にて故障あり通知を受信したと判断した場合は、Ｓ３６０に処理を移行し、それ以外の場合は、Ｓ３４０に処理を移行する。

　サブ演算部４３は、Ｓ３４０では、操作量生成部４３１で生成された操作量であるサブ操作量を、サブバス９を介して送信する。

　サブ演算部４３は、続くＳ３５０では、「異常なし」と示されたサブ状態を、サブバス９を介して送信して、処理を終了する。

　サブ演算部４３は、Ｓ３６０では、「異常あり」と示されたサブ状態を、サブバス９を介して送信して、処理を終了する。

　［２－３．ＡＣＴ演算部］
　ＡＣＴ演算部５３は、機能ブロックとして、メインバス判断部５３１と、サブバス判断部５３２と、選択部５３３と、実行部５３４と、を備える。

　メインバス判断部５３１は、メインＥＣＵ３０のバス判断部３３３と同様に構成され、サブバス判断部５３２は、サブＥＣＵ４０のバス判断部４３３と同様に構成される。

　選択部５３３は、メインバス判断部５３１とサブバス判断部５３２とでの判断結果等に従って、バス故障通知を送信すると共に、メイン操作量およびサブ操作量のいずれかを選択操作量として選択し、実行部５３４に供給する。なお、出荷時や修理後等の初期状態では、選択操作量として、メイン操作量が選択される。

　実行部５３４は、選択部５３３から供給される選択操作量に従って、アクチュエータ等の制御を実行する。

　ここで、ＡＣＴ演算部５３が、選択部５３３としての機能を実現するために実行する選択処理について、図６のフローチャートを用いて説明する。

　選択処理は、予め設定された一定周期毎に繰り返し実行される。

　ＡＣＴ演算部５３は、選択処理が開始されると、Ｓ４１０では、メインバス判断部５３１での判断結果が異常ありであるか否かを判断する。ＡＣＴ演算部５３は、判断結果が異常ありである場合、Ｓ４８０に処理を移行し、判断結果が異常なしである場合、Ｓ４２０に処理を移行する。

　ＡＣＴ演算部５３は、Ｓ４２０では、「故障なし」と示されたメインバス故障通知を、メインバス８を介して送信する。

　ＡＣＴ演算部５３は、続くＳ４３０では、サブバス判断部５３２での判断結果が異常ありであるか否かを判断する。ＡＣＴ演算部５３は、判断結果が異常ありである場合、Ｓ４４０に処理を移行し、判断結果が異常なしである場合、Ｓ４５０に処理を移行する。

　ＡＣＴ演算部５３は、Ｓ４４０では、「故障あり」と示されたサブバス故障通知を、サブバス９を介して送信し、Ｓ４６０に処理を進める。

　ＡＣＴ演算部５３は、Ｓ４５０では、「故障なし」と示されたサブバス故障通知を、サブバス９を介して送信し、Ｓ４６０に処理を進める。

　ＡＣＴ演算部５３は、Ｓ４６０では、メインバス８を介して「切替必要」と示された切替指示（以下、要切替指示）を受信したか否かを判断する。ＡＣＴ演算部５３は、要切替指示を受信している場合、Ｓ５００に処理を移行し、要切替指示を受信していない場合、Ｓ４７０に処理を移行する。

　ＡＣＴ演算部５３は、Ｓ４７０では、実行部５３４に供給する操作量として、メイン操作量を選択して、処理を終了する。

　ＡＣＴ演算部５３は、Ｓ４８０では、「故障あり」と示されたメインバス故障通知を、メインバス８を介して送信する。

　ＡＣＴ演算部５３は、続くＳ４９０では、「故障なし」と示されたサブバス故障通知を、サブバス９を介して送信して、Ｓ５００に処理を進める。

　ＡＣＴ演算部５３は、Ｓ５００では、実行部５３４に供給する操作量として、サブ操作量を選択して、処理を終了する。

　なお、Ｓ４１０に係るＳ１１０～Ｓ１４０およびＳ４７０での各判断にて肯定判断される条件が切替条件に相当する。また、Ｓ４２０、Ｓ４２０、Ｓ４８０がメイン故障通知部に相当し、Ｓ４３０～Ｓ４５０、Ｓ４９０がサブ故障通知部に相当する。

　［２－４．ＨＭＩ演算部］
　ＨＭＩ演算部６３は、機能ブロックとして、メインバス判断部６３１と、サブバス判断部６３２と、報知部６３３と、を備える。

　メインバス判断部６３１は、メインＥＣＵ３０のバス判断部３３３と同様に構成され、サブバス判断部６３２は、サブＥＣＵ４０のバス判断部４３３と同様に構成される。

　報知部６３３は、メインバス判断部６３１とサブバス判断部６３２とでの判断結果等に従って、自車両のドライバーに対する報知を実行する。

　ここで、ＨＭＩ演算部６３が、報知部６３３としての機能を実現するために実行する報知処理について、図７のフローチャートを用いて説明する。

　報知処理は、予め設定された一定周期毎に繰り返し実行される。

　ＨＭＩ演算部６３は、報知処理が開始されると、Ｓ６１０では、メインバス判断部６３１での判断結果が異常ありであるか否かを判断する。ＨＭＩ演算部６３は、判断結果が異常ありである場合、Ｓ６５０に処理を移行し、判断結果が異常なしである場合、Ｓ６２０に処理を移行する。

　ＨＭＩ演算部６３は、Ｓ６２０では、サブバス判断部６３２での判断結果が異常ありであるか否かを判断する。ＨＭＩ演算部６３は、判断結果が異常ありである場合、Ｓ６５０に処理を移行し、判断結果が異常なしである場合、Ｓ６３０に処理を移行する。

　ＨＭＩ演算部６３は、Ｓ６３０では、メインバス８を介して、「切替必要」と示された切替指示（即ち、要切替指示）を受信したか否かを判断する。ＨＭＩ演算部６３は、要切替指示を受信している場合、Ｓ６５０に処理を移行し、要切替指示を受信していない場合、Ｓ６４０に処理を移行する。

　ＨＭＩ演算部６３は、Ｓ６４０では、メインバス８またはサブバス９を介して、「故障あり」と示されたメインバス故障通知またはサブバス故障通知（以下、故障あり通知）を受信したか否かを判断する。ＨＭＩ演算部６３は、いずれかの故障あり通知を受信している場合、Ｓ６５０に処理を移行し、いずれの故障あり通知も受信していない場合、処理を終了する。

　ＨＭＩ演算部６３は、Ｓ６５０では、検出された異常の形態に応じて、ドライバーに対する報知を実行して、処理を終了する。

　ドライバーに対する報知として、具体的には、例えば、異常が生じたことを異常箇所と共に示す報知を行ってもよい。また、自動運転から手動運転への切替をドライバーに促す報知を行ってもよい。

　［３．動作例］
　自動運転システム１の代表的な動作例を、図８～図１６を用いて説明する。

　基本的に、メインＥＣＵ３０は、メインバス８を介して、メイン操作量と切替指示とを繰り返し送信し、サブＥＣＵ４０は、サブバス９を介して、サブ操作量とサブ状態とを繰り返し送信する。また、ＡＣＴ系ＥＣＵ５０は、メイン操作量を受信する毎に、メインバス８を介してメインバス故障通知を送信し、サブ操作量を受信する毎に、サブバス９を介してサブバス故障通知を送信する。

　図８～図１６では、「切替不要」と示された切替指示、「故障なし」と示されたメインバス故障通知およびサブバス故障通知については、いずれも記載を省略する。以下の説明では、「切替必要」と示された切替指示を、短に切替指示と記述し、「故障あり」と示されたメインバス故障通知およびサブバス故障通知を、単にメインバス故障通知およびサブバス故障通知と記述する。

　図８は、メインＥＣＵ３０にて、メイン演算部３３の動作に異常が検出された場合の動作を示す。

　メインＥＣＵ３０にて異常が検出される前は、ＡＣＴ系ＥＣＵ５０は、メインバス８を介して取得されるメイン操作量に従って制御を実行する。メインＥＣＵ３０にて異常が検出されると、メインＥＣＵ３０は、メインバス８を介して切替指示を送信する。

　切替指示を受信したＡＣＴ系ＥＣＵ５０は、選択操作量をメイン操作量からサブ操作量に切り替えるサブ操作量選択を行なう。以後、全てのＡＣＴ系ＥＣＵ５０は、サブバス９を介して取得されるサブ操作量に従って制御を実行する。また、切替指示を受信したＨＭＩ系ＥＣＵ５０は、ドライバーに対する報知を実行する。

　図９は、メインバス８の故障によりメインバス８を介した通信が不能になった場合、または、メインバス８は正常であるが、メインＥＣＵ３０がメインバス８を介して送受信不能になった場合の動作を示す。

　全てのＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０はいずれも、メインバス８を介した受信が、規定時間以上途絶えた時点で、メインバス８の通信状態が異常であると判断する。つまり、全てのＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０にて、メインバス８の故障が検出される。このとき、ＨＭＩ系ＥＣＵ６０は、ドライバーに対する報知を実行する。全てのＡＣＴ系ＥＣＵ５０は、サブ操作量選択を行うことで、以後、サブバス９を介して取得されるサブ操作量に従って制御を実行する。また、全てのＡＣＴ系ＥＣＵ５０は、それぞれ、メインバス８を介してメインバス故障通知を送信する。但し、この場合、メインＥＣＵ３０は、これらの通知を正常に受信できない。

　メインＥＣＵ３０は、メインバス８を介した受信が規定時間以上途絶えることで、メインバス８の通信状態が異常であると判断する。つまり、メインＥＣＵ３０でも、メインバス８の故障が検出され、メインＥＣＵ３０は、メインバス８を介して切替指示を送信する。但し、この場合、全てのＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０は、切替指示を正常に受信できない。

　図１０は、メインバス８は正常であるが、メインＥＣＵ３０がメインバス８を介して受信不能になった場合の動作を示す。

　全てのＡＣＴ系ＥＣＵ５０は、メインバス８を介した受信を正常に行うことができるため、それぞれ、「故障なし」を示したメインバス故障通知を繰り返し送信する。但し、この場合、メインＥＣＵ３０は、これらの通知を正常に受信できない。

　メインＥＣＵ３０は、メインバス８を介した受信が規定時間以上途絶えることで、メインバス８の通信状態が異常であると判断し、メインバス８を介して切替指示を送信する。

　全てのＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０は、切替指示を受信することで、サブ操作量選択およびドライバーへの報知を実行する。以後、全てのＡＣＴ系ＥＣＵ５０が、サブバス９を介して取得されるサブ操作量に従って制御を実行する。

　図１１は、メインバス８は正常であるが、メインＥＣＵ３０がメインバス８を介して送信不能になった場合の動作を示す。

　全てのＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０は、メインバス８を介した受信が、規定時間以上途絶えた時点で、メインバス８の通信状態が異常であると判断し、サブ操作量選択およびドライバーへの報知を実行する。以後、全てのＡＣＴ系ＥＣＵ５０が、サブバス９を介して取得されるサブ操作量に従って制御を実行する。また、全てのＡＣＴ系ＥＣＵ５０は、それぞれ、メインバス８を介してメインバス故障通知を送信する。

　メインＥＣＵ３０は、メインバス故障通知を受信するとこで、メインバス８の通信状態が異常であると判断し、メインバス８を介して切替指示を送信する。但し、この場合、全てのＡＣＴ系ＥＵＣ５０およびＨＭＩ系ＥＣＵ６０は、切替指示を正常に受信できない。

　図１２は、メインバス８は正常であるが、ＡＣＴ系ＥＣＵ５０の一つである駆動系ＥＣＵ５０ａがメインバス８を介して受信不能になった場合の動作を示す。

　駆動系ＥＣＵ５０ａは、メインバス８を介した受信が規定時間以上途絶えることで、メインバス８の通信状態が異常であると判断し、サブ操作量選択を実行すると共に、メインバス８を介してメインバス故障通知を送信する。

　メインＥＣＵ３０は、メインバス故障通知を受信すると、メインバス８の通信状態に異常があると判断し、メインバス８を介して切替指示を送信する。

　駆動系ＥＣＵ５０ａ以外のＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０は、切替指示を受信することで、サブ操作量選択およびドライバーへの報知を実行する。以後、全てのＡＣＴ系ＥＣＵ５０が、サブバス９を介して取得されるサブ操作量に従って制御を実行する。

　図１３は、メインバス８は正常であるが、ＡＣＴ系ＥＣＵ５０の一つである駆動系ＥＣＵ５０ａがメインバス８を介して送受信不能になった場合の動作を示す。

　駆動系ＥＣＵ５０ａは、メインバス８を介した受信が規定時間以上途絶えることで、メインバス８の通信状態が異常であると判断し、サブ操作量選択を実行すると共に、メインバス８を介してメインバス故障通知を送信する。但し、この場合は、メインＥＣＵ３０は、メインバス故障通知を正常に受信できない。

　メインＥＣＵ３０は、駆動系ＥＣＵ５０ａからの受信が規定時間以上途絶えることで、メインバス８の通信状態が異常であると判断し、メインバス８を介して切替指示を送信する。

　駆動系ＥＣＵ５０ａ以外のＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０はいずれも、切替指示を受信することで、サブ操作量選択およびドライバーへの報知を実行する。以後、全てのＡＣＴ系ＥＣＵ５０が、サブバス９を介して取得されるサブ操作量に従って制御を実行する。

　図１４は、メインバス８は正常であるが、ＡＣＴ系ＥＣＵ５０の一つである駆動系ＥＣＵ５０ａがメインバス８を介して送信不能になった場合の動作を示す。

　駆動系ＥＣＵ５０ａは、他のＡＣＴ系ＥＣＵ５０と同様に、「故障なし」を示したメインバス故障通知を送信する。但し、この場合、メインＥＣＵ３０は、駆動系ＥＣＵ５０ａからの通知を正常に受信できない。

　駆動系ＥＣＵ５０ａを含む全てのＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０は、切替指示を受信することで、サブ操作量選択とドライバーへの報知とを実行する。以後、全てのＡＣＴ系ＥＣＵ５０が、サブバス９を介して取得されるサブ操作量に従って制御を実行する。

　図１５は、メイン操作量に従った制御の実行時に、サブＥＣＵ４０にてサブ演算部４３の動作異常が検出された場合の動作を示す。

　全てのＡＣＴ系ＥＣＵ５０は、メインバス８を介して取得されるメイン操作量に従って制御を実行する。このとき、サブＥＣＵ４０にて異常が検出されると、サブＥＣＵ４０は、サブバス９を介してサブ状態を送信する。サブ状態を受信したＨＭＩ系ＥＣＵ６０は、ドライバーに対する報知を実行する。

　なお、サブＥＣＵ４０にて、サブバス９を介した受信が規定時間以上途絶えた場合も、図１５に示したものと、同様の動作となる。

　図１６は、メイン操作量に従った制御の実行時に、ＡＣＴ系ＥＣＵ５０の一つである駆動系ＥＣＵ５０ａにて、サブバス９を介した通信状態に異常が検出された場合の動作を示す。

　全てのＡＣＴ系ＥＣＵ５０は、メインバス８を介して取得されるメイン操作量に従って制御を実行する。

　駆動系ＥＣＵ５０ａは、何等かの理由で、サブバス９を介した受信が規定時間以上途絶えると、サブバス９を介してサブバス故障通知を送信する。

　サブＥＣＵ４０は、サブバス故障通知を受信すると、サブバス９を介してサブ状態を送信する。サブ状態を受信したＨＭＩ系ＥＣＵ６０は、ドライバーに対する報知を実行する。

　［４．効果］
　以上詳述した第１実施形態によれば、以下の効果を奏する。

　（１）自動運転システム１では、メインＥＣＵ３０に接続されるメインバス８とは別に、サブＥＣＵ４０に接続されるサブバス９が設けられ、しかも、メイン操作量からサブ操作量への切り替えに関わる情報の送受信を、メインバス８を介して行う。このため、サブＥＣＵ４０の動作とサブバス９の通信状態とが、メインＥＣＵ３０の動作とメインバス８の通信状態とに影響を与えることがない。その結果、自動運転システム１によれば、サブＥＣＵ４０およびサブバス９（以下、サブ系）は、メインＥＣＵ３０およびメインバス８（以下、メイン系）と比較して、設計において低い安全基準を適用でき、サブ系に関わる部分の設計を簡略化できる。また、メインＥＣＵ３０の故障時はもちろん、メインバス８の故障時にも、サブ系を用いて自動運転制御を継続できるため、制御の信頼性を向上させることができる。

　（２）自動運転システム１では、メインバス８を介した通信状態の異常が、一部のＡＣＴ系ＥＣＵ５０で検出された場合に、「切替必要」が示された切替指示を送信することで、全てのＡＣＴ系ＥＣＵ５０にサブ操作量を選択させる。このため、メイン操作量とサブ操作量との間で整合がとれている保証がない場合であっても、全てのＡＣＴ系ＥＣＵ５０は、互いに整合のとれた制御を行うことができる。

　（３）自動運転システム１では、何等かの異常が検出されていない場合および操作量の選択を切り替える必要がない場合でも、その旨を示すメインバス故障通知、サブバス故障通知、および切替指示が、常時送信される。このため、メインバス８およびサブバス９の故障によって、これらの通知自体を送受信できない場合であっても、これらの通知の受信が途絶することから、通信状態の異常を検出できる。

　［５．安全基準について］
　サブ系（即ち、サブバス９およびサブＥＣＵ４０）を用いて送受信される情報は、通常時、メイン系（即ち、メインバス８およびメインＥＣＵ３０）に故障がないときには、使用されない。このため、サブ系に故障があったとしても即座に危険にはならず、ＩＳＯ２６２６２におけるレイテントフォールトの扱いとなる。従って、自動運転システム１の全体に、最も高い安全基準「ＡＳＩＬ　Ｄ」が要求されるとしても、サブＥＣＵ４０の故障検出の設計、および各ＥＣＵにおけるサブバス９の故障検出の設計については、いずれも、より低い安全基準「ＡＳＩＬ　Ｂ」での設計が許容される。

　但し、例えば、メインＥＣＵ３０から切替指示をメインバス８ではなくサブバス９で送信する構成を仮定した場合、サブＥＣＵ４０がサブバス９を占有する事態が生じたときに、切替指示を送信できなくなるおそれがある。このため、サブＥＣＵ４０においても高い安全基準が要求される。

　また、サブバス９にノイズがのった場合、誤った切替指示、かつ異常なサブ操作量が送信される可能性がある。この場合、ＡＣＴ系ＥＣＵ５０にて、正常なメイン操作量から異常なサブ操作量への意図しない切り替えが実行され、異常な車両挙動を示す可能性がある。従って、ＡＣＴ系ＥＣＵ５０におけるサブバス９の故障検出に対しても高い安全基準が要求される。

　更に、ＡＣＴ系ＥＣＵ５０からメインバス故障通知をサブバス９で送信する構成を仮定した場合、上述のサブバス９にノイズがのった場合と同様に、誤ったメインバス故障かつ異常なサブ操作量が送信される可能性がある。この場合、メインバス故障を受信したメインＥＣＵ３０から切替指示が送信されることで、全てのＡＣＴ系ＥＣＵ５０にて、正常なメイン操作量から異常なサブ操作量へ意図しない切り替えが実行され、異常な車両挙動を示す可能性がある。従って、ＡＣＴ系ＥＣＵ５０におけるサブバス９の故障検出に対しても高い安全基準が要求される。

　つまり、自動運転システム１では、メイン操作量からサブ操作量への切り替えに関わる情報の送受信を、メインバス８にて行っているため、サブバス９での通信異常または故障が、メイン系を用いた通常時の制御に影響を与えることがない。

　なお、自動運転システム１では、メインＥＣＵ３０の動作判断部３３２、バス判断部３３３およびメインバスＩＦ部３２と、ＡＣＴ系ＥＣＵ５０のメインバス判断部５３１およびメインバスＩＦ部５１とは、高い安全基準である「ＡＳＩＬ　Ｄ」が要求される。また、サブＥＣＵ４０の動作判断部４３２、バス判断部４３３およびサブバスＩＦ部４２と、ＡＣＴ系ＥＣＵ５０のサブバス判断部５３２およびサブバスＩＦ部５２とは、低い安全基準である「ＡＳＩＬ　Ｂ」が許容される。

　［６．他の実施形態］
　以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。

　（ａ）上記実施形態では、異常の有無および操作量切替の要不要に関わらず、メインバス故障通知と、サブバス故障通知と、切替指示とを、繰り返し送信するように構成されているが、本開示は、これに限定されるものではない。例えば、異常がある場合、または操作量の切替が必要であり場合にのみ、これらの通知を送信するように構成されてもよい。

　（ｂ）上記実施形態では、メインＥＣＵ３０から送信される切替指示に従って、ＡＣＴ系ＥＣＵ５０は、メイン操作量からサブ操作量への切替を行うように構成されているが、本開示は、これに限定されるものではない。例えば、ＡＣＴ系ＥＣＵ５０は、他のＡＣＴ系ＥＣＵ５０が送信したメインバス故障通知に従って切替を行うように構成されてもよい。

　（ｃ）上記実施形態では、メイン演算部３３とサブ演算部４３とが、別々のマイクロコンピュータによって実現されているが、これらは単一のマイクロコンピュータによって実現されてもよい。

　（ｄ）上記実施形態における１つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、１つの構成要素が有する１つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、１つの構成要素によって実現したり、複数の構成要素によって実現される１つの機能を、１つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加または置換してもよい。

　（ｅ）上述した車両制御装置（即ち、制御指示部３、制御対象部５、メインバス８およびサブバス９）の他、当該車両制御装置を構成要素とするシステム、当該車両制御装置を構成するメイン処理部（即ち、メインＥＣＵ３０）、サブ処理部（即ち、サブＥＣＵ４０）、および制御実行部（即ち、ＡＣＴ系ＥＣＵ５０およびＨＭＩ系ＥＣＵ６０）のいずれかとしてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実態的記録媒体など、種々の形態で本開示を実現することもできる。

Claims

　自動運転の制御に使用する制御データであるメイン操作量を繰り返し生成するように構成されたメイン処理部（３０）と、
　自動運転の制御に使用する制御データであるサブ操作量を繰り返し生成するように構成されたサブ処理部（４０）と、
　前記メイン処理部に接続されるメインバス（８）と、
　前記サブ処理部に接続されるサブバス（９）と、
　前記メインバスおよび前記サブバスのいずれにも接続される複数の制御実行部（５０）と、
　を備え、
　前記制御実行部は、
　前記メイン操作量および前記サブ操作量のいずれかを選択操作量として、前記選択操作量に従って車両制御を実行するように構成された実行部（５３４）と、
　初期状態では前記メイン操作量を前記選択操作量に設定し、前記メインバスを介して行われる通信が予め設定された切替条件を満たす場合に、前記選択操作量を前記メイン操作量から前記サブ操作量に切り替えるように構成された選択部（５３３：Ｓ４１０、Ｓ４６０、Ｓ４７０、Ｓ５００）と、
　を備える車両制御装置。
　請求項１に記載の車両制御装置であって、
　前記メイン処理部は、予め設定された指示条件を満たす場合に、前記メインバスを介して切替指示を送信するように構成された指示通知部（３３４）を備え、
　前記制御実行部は、前記選択部で使用される前記切替条件の一つとして、前記メインバスを介して前記切替指示を受信することを含む
　車両制御装置。
　請求項２に記載の車両制御装置であって、
　前記メイン処理部は、当該メイン処理部の動作および前記メインバスを介した通信のうち少なくとも一方について異常があるか否かを繰り返し判断するように構成されたメイン判断部（３３２，３３３）を更に備えると共に、前記指示通知部で使用される前記指示条件の一つとして、前記メイン判断部での判断結果が異常ありであることを含む
　車両制御装置。
　請求項２または請求項３に記載の車両制御装置であって、
　前記制御実行部は、
　前記メインバスを介した通信に異常があるか否かを判断するように構成されたメインバス判断部（５３１）と、
　前記メインバス判断部での判断結果を表すバス故障通知を、前記メインバスを介して送信するように構成されたメイン故障通知部（５３３：Ｓ４１０、Ｓ４２０、Ｓ４８０）と、を更に備え、
　前記メイン処理部は、前記指示通知部で使用される前記指示条件の一つとして、前記メインバスを介して受信する前記バス故障通知の受信が一定時間以上途絶えること、および前記バス故障通知の内容が異常ありであることのうち少なくとも一方を含む
　車両制御装置。
　請求項４に記載の車両制御装置であって、
　前記制御実行部は、前記選択部で使用される前記切替条件の一つとして、前記メインバス判断部により異常ありと判断されることを含む
　車両制御装置。
　請求項４または請求項５に記載の車両制御装置であって、
　前記メインバス判断部は、前記制御データの受信が一定時間以上途絶えた場合、または前記制御データの内容に誤りがある場合に、異常ありと判断する
　車両制御装置。
　請求項１から請求項６までのいずれか１項に記載の車両制御装置であって、
　前記サブ処理部は、
　当該サブ処理部の動作および前記サブバスを介した通信のうち少なくとも一方について異常があるか否かを判断するように構成されたサブ判断部（４３２，４３３）と、
　前記サブ判断部での判断結果を表すサブ状態を、前記サブバスを介して送信するように構成された状態通知部（４３４）と、
　を備える、車両制御装置。
　請求項７に記載の車両制御装置であって、
　前記制御実行部は、
　前記サブバスを介した通信に異常があるか否かを判断するように構成されたサブバス判断部（５３２）と、
　前記サブバス判断部での判断結果を表すバス故障通知を、前記サブバスを介して送信するように構成されたサブ故障通知部（５３２：Ｓ４３０～Ｓ４５０、Ｓ４９０）と、を更に備え、
　前記サブ処理部の前記状態通知部は、前記サブバスを介して受信する前記バス故障通知により異常の有無を判断する
　車両制御装置。
　請求項１から請求項８までのいずれか１項に記載の車両制御装置であって、
　前記メインバスおよび前記サブバスに接続され、前記メインバスおよび前記サブバスを介した通信に異常があるか否かを判断し、前記メインバスおよび前記サブバスの少なくとも一方にて異常ありと判断された場合に、車両のドライバーに対する報知を行うように構成された報知実行部（６０）を更に備える
　車両制御装置。