WO2022254784A1

WO2022254784A1 - 電子制御システムおよび車両通信停止機能の故障検知方法

Info

Publication number: WO2022254784A1
Application number: PCT/JP2022/004182
Authority: WO
Inventors: 恵史塩見
Original assignee: 日立Astemo株式会社
Priority date: 2021-05-31
Filing date: 2022-02-03
Publication date: 2022-12-08
Also published as: JPWO2022254784A1; DE112022001868T5

Abstract

メインマイコンと、前記メインマイコンとデータを通信するマイコン間通信部を有するサブマイコンと、前記メインマイコンに接続され、他の電子制御システムとデータを通信する車両通信送受信機と、を備え、前記サブマイコンは、前記車両通信送受信機から前記他の電子制御システムへの通信を遮断する指令を前記車両通信送受信機に対して発信する車両通信送受信機ＯＮ／ＯＦＦ指令部を有し、前記サブマイコンは、前記車両通信送受信機ＯＮ／ＯＦＦ指令部が前記他の電子制御システムとの通信を遮断する指令を前記車両通信送受信機に対して発信した場合に、前記メインマイコンに対して、前記メインマイコン内の異常または前記メインマイコンから前記サブマイコンへのデータの通信の異常を通知する異常通知を発信し、前記メインマイコンは、前記車両通信送受信機を介して、前記異常通知を前記他の電子制御システムへ伝達することを特徴とする。

Description

電子制御システムおよび車両通信停止機能の故障検知方法

　本発明は、電子制御システムの構成とその制御に係り、特に、高信頼性が要求される車両制御システムに適用して有効な技術に関する。

　自動車において電子制御装置（ＥＣＵ：Electronic Control Unit）は安全運転を行うために必要不可欠な存在となっている。そのため、自動車に搭載される車両制御システムの開発においては、ＩＳＯ２６２６２にて機能安全について規定されており、その適用が求められている。その中でも、故障に関する規定があり、単一故障で安全目標を侵害するシングルポイントフォールト及び二重故障で検知もドライバーが認識もできないレイテントフォールトにおいて、その検出率の目標値が定められている。

　したがって、機能安全の適用のためには、より多くの単一故障及び二重故障を検出できる安全機構の実装が必要となる。特にレイテントフォールトのような二重故障の検出は、ＩＳＯ２６２６２から規定された概念であるため、従来では問題にならなかった故障への対処が求められる。

　従来の車両制御システムには、例えば特許文献１に記載されるように、メインマイコンとサブマイコンとメインマイコンから他の車両制御ＥＣＵに接続された単一の車両通信送受信機を備えていて、両マイコン相互に他方の制御信号を監視し、サブマイコンがメインマイコンの異常を検出した場合、サブマイコンが車両通信送受信機を停止させるものが知られている。この従来例の方法により、単一の車両通信送受信機を備えるのみで、回路構成の複雑化なしに誤った制御情報の送信を停止させることが可能である。

特開２００４－１２２９４２号公報

　しかしながら、上述の従来例ではレイテントフォールトを考慮すると、誤った制御情報の送信を停止できない場合があることが問題となる。

　サブマイコンが車両通信送受信機を停止できない故障が発生した後に、サブマイコンがメインマイコンの制御信号の異常を検出した場合、メインマイコンが故障した状態で他のコントロールユニットと通信を行うため、誤った制御情報を送信する可能性がある。

　この二重故障を検知するためには、サブマイコン側にも車両通信送受信機を備え、サブマイコン側から直接メインマイコンの異常を通知することが必要である。この場合、車両通信送受信機の追加及びハーネスやコネクタの追加が必要となり、回路構成の複雑化及びコスト高になるという問題点がある。

　そこで、本発明の目的は、回路構成の複雑化及びそれに伴うコスト増を抑制しつつ、二重故障時の他のコントロールユニットに対する異常通知機能を担保可能な信頼性の高い電子制御システム及びそれを用いた車両通信停止機能の故障検知方法を提供することにある。

　上記課題を解決するために、本発明は、メインマイコンと、前記メインマイコンとデータを通信するマイコン間通信部を有するサブマイコンと、前記メインマイコンに接続され、他の電子制御システムとデータを通信する車両通信送受信機と、を備え、前記サブマイコンは、前記車両通信送受信機から前記他の電子制御システムへの通信を遮断する指令を前記車両通信送受信機に対して発信する車両通信送受信機ＯＮ／ＯＦＦ指令部を有し、前記サブマイコンは、前記車両通信送受信機ＯＮ／ＯＦＦ指令部が前記他の電子制御システムとの通信を遮断する指令を前記車両通信送受信機に対して発信した場合に、前記メインマイコンに対して、前記メインマイコン内の異常または前記メインマイコンから前記サブマイコンへのデータの通信の異常を通知する異常通知を発信し、前記メインマイコンは、前記車両通信送受信機を介して、前記異常通知を前記他の電子制御システムへ伝達することを特徴とする。

　また、本発明は、他の電子制御システムとデータを通信する通信機能を備えた電子制御システムの車両通信停止機能の故障検知方法であって、サブマイコンが、他の電子制御システムとの通信を遮断する指令を発信した場合に、メインマイコンに対して、前記メインマイコン内の異常または前記メインマイコンから前記サブマイコンへのデータの通信の異常を通知する異常通知を発信し、前記メインマイコンは、前記異常通知を前記他の電子制御システムへ伝達することを特徴とする。

　本発明によれば、回路構成の複雑化及びそれに伴うコスト増を抑制しつつ、二重故障時の他のコントロールユニットに対する異常通知機能を担保可能な信頼性の高い電子制御システム及びそれを用いた車両通信停止機能の故障検知方法を実現することができる。

　上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

本発明の実施例１に係る車両制御システムの概略構成を示す図である。本発明の実施例１に係る車両通信停止機能の故障検知方法を示すフローチャートである。本発明の実施例２に係る車両制御システムの概略構成を示す図である。本発明の実施例３に係る車両制御システムの概略構成を示す図である。本発明の実施例４に係る車両制御システムの概略構成を示す図である。本発明の実施例５に係る車両制御システムの概略構成を示す図である。

　以下、図面を用いて本発明の実施例を説明する。なお、各図面において同一の構成については同一の符号を付し、重複する部分についてはその詳細な説明は省略する。

　また、本明細書において、「車両通信」とは、同一車両内での複数の電子制御システム間の通信（車両内のネットワーク）を想定しているが、本発明はこれに限定されるものではなく、例えば、他の車両に搭載された電子制御システムとの通信（車車間通信）や道路上に設置された路側機等との通信（路車間通信）にも適用可能である。

　図１及び図２を参照して、本発明の実施例１の電子制御システム及びそれを用いた車両通信停止機能の故障検知方法について説明する。図１は、本実施例の車両制御システムの概略構成を示す図である。図２は、図１の車両制御システムによる車両通信停止機能の故障検知方法を示すフローチャートである。

　図１に示すように、本実施例に係る車両制御システム１０１は、車両通信から情報の受信及び車両制御指令を演算して送信するメインマイコン１０２と、車両制御に必要な情報の演算を行いメインマイコン１０２へ送信するサブマイコン１０３と、メインマイコン１０２と接続され、車両通信線１０５を通じて他の車両制御ＥＣＵ１０６と制御指令及び車両情報の送受信を行う車両通信送受信機１０４を備えている。

　メインマイコン１０２は、データ送受信を行うメインマイコン側車両通信Ｉ／Ｏ２０１と、車両通信とマイコン間通信の情報を処理する第一処理部２０２と、サブマイコン１０３が検出したメインマイコン送信データ異常通知を受信し、車両通信に送信する処理を行う第二処理部２０３と、サブマイコン１０３と通信を行うメインマイコンデータ送信線１０７及びサブマイコンデータ送信線１０８が接続されたメインマイコン側マイコン間通信Ｉ／Ｏ２０４を備えている。

　第一処理部２０２は、車両通信線１０５から得た速度やギヤなどの車両情報と、サブマイコン１０３から得た演算結果をもとに車両制御の指令を演算する。

　第二処理部２０３は、メインマイコン１０２が異常を検出した場合、またはサブマイコン１０３が検出した異常の情報がメインマイコン１０２に送信された場合、メインマイコン１０２を安全状態へ移行させ、他の車両制御ＥＣＵ１０６に異常を通知する。

　サブマイコン１０３は、メインマイコン１０２と通信を行うメインマイコンデータ送信線１０７及びサブマイコンデータ送信線１０８が接続されたサブマイコン側マイコン間通信Ｉ／Ｏ３０１と、メインマイコン１０２が送信したデータが異常であった場合に異常判定するメインマイコン送信データ監視部３０２と、車両通信送受信機１０４を停止させる車両通信送受信機ＯＮ／ＯＦＦ指令部３０３と、メインマイコン送信データ監視部３０２の異常判定を、第一異常通知送信線１０９を通じて、メインマイコン１０２に通知するメインマイコン送信データ異常通知送信部３０４を備えている。

　メインマイコン送信データ監視部３０２は、サブマイコン側マイコン間通信Ｉ／Ｏ３０１から受信したデータが固着する、または、想定されないデータを受信した場合に異常と判定する。

　車両通信送受信機ＯＮ／ＯＦＦ指令部３０３は、メインマイコン送信データ監視部３０２が異常判定した場合、車両通信送受信機１０４をＯＦＦする指令を送る。

　車両通信送受信機１０４は、車両通信の送受信を行う車両通信送受信機Ｉ／Ｏ４０１と、車両通信送受信機Ｉ／Ｏ４０１のアウトプットのＯＮ／ＯＦＦを切り替える車両通信送受信機ＯＮ／ＯＦＦ切替部４０２を備えている。

　車両通信送受信機ＯＮ／ＯＦＦ切替部４０２は、車両通信送受信機ＯＮ／ＯＦＦ指令部３０３と接続され、上述したような異常が発生した場合、車両通信送受信機ＯＮ／ＯＦＦ指令部３０３のＯＦＦ指令によって、メインマイコン１０２の指令が他の車両制御ＥＣＵ１０６へ通知されないようにする。

　図２を用いて、図１の車両制御システム１０１による故障検知の仕組みを説明する。

　メインマイコン１０２の故障により、メインマイコン１０２からサブマイコン１０３へ送信されるデータが異常となり、メインマイコン送信データ監視部３０２が異常検出した場合（ステップＳ１）、故障したメインマイコン１０２から誤った制御指令が他の車両制御ＥＣＵ１０６へ送信されないように、サブマイコン１０３が車両通信送受信機１０４を停止させる（ステップＳ２）。その直後に無条件でメインマイコン送信データ異常通知送信部３０４から異常通知を第二処理部２０３に通知する。

　通常時は、車両通信送受信機１０４を停止できるため（ステップＳ３でＹＥＳと判定）、車両制御システム１０１からの通信が停止したことを他の車両制御ＥＣＵ１０６が検出することで、運転支援機能を停止させる、メータに異常を表示させ、ドライバーに通知するといった安全状態への移行が可能となる（ステップＳ４）。

　サブマイコン１０３は、その直後に無条件でメインマイコン送信データ異常通知送信部３０４から異常通知を第二処理部２０３に通知するが（ステップＳ５）、車両通信送受信機１０４が停止しているので、この異常通知は他の車両制御ＥＣＵ１０６に対して通知されることはない（ステップＳ６）。

　一方で車両通信送受信機１０４をＯＦＦできない故障が発生した場合（ステップＳ３でＮＯと判定）、車両制御システム１０１は通常通り動作が可能だが、本実施例（図１）の構成では故障検知できない。

　その状態でメインマイコン１０２からサブマイコン１０３へ送信されるデータ異常が発生した場合、車両通信送受信機１０４を停止できないが、メインマイコン送信データ異常通知送信部３０４が、第一異常通知送信線１０９を通じて、マイコン間通信とは独立した第二処理部２０３が故障通知を処理できるので（ステップＳ７）、他の車両制御ＥＣＵ１０６へ故障通知を送ることができる（ステップＳ８）。故障通知を送ることができれば、車両通信送受信機１０４がＯＦＦできる場合と同様に安全状態へ移行することが可能となる。

　本実施例において、車両通信をＯＦＦできなくなる故障発生後に起きる二重故障で検出できる対象は、メインマイコンデータ送信線１０７及びポートの故障によるデータ固着と第一処理部２０２が故障したことによるデータ送信の停止、または第一処理部２０２のデータが正常条件外のデータであった場合等である。

　以上説明したように、本実施例の電子制御システム（車両制御システム１０１）は、メインマイコン１０２と、メインマイコン１０２とデータを通信するマイコン間通信部を有するサブマイコン１０３と、メインマイコン１０２に接続され、他の電子制御システム（他の車両制御ＥＣＵ１０６）とデータを通信する車両通信送受信機１０４を備え、サブマイコン１０３は、車両通信送受信機１０４から他の電子制御システム（他の車両制御ＥＣＵ１０６）への通信を遮断する指令を車両通信送受信機１０４に対して発信する車両通信送受信機ＯＮ／ＯＦＦ指令部３０３を有し、サブマイコン１０３は、車両通信送受信機ＯＮ／ＯＦＦ指令部３０３が他の電子制御システム（他の車両制御ＥＣＵ１０６）との通信を遮断する指令を車両通信送受信機１０４に対して発信した場合に、メインマイコン１０２に対して、メインマイコン１０２内の異常またはメインマイコン１０２からサブマイコン１０３へのデータの通信の異常を通知する異常通知を発信し、メインマイコン１０２は、車両通信送受信機１０４を介して、異常通知を他の電子制御システム（他の車両制御ＥＣＵ１０６）へ伝達する。

　サブマイコン１０３のマイコン間通信部は、サブマイコン側マイコン間通信Ｉ／Ｏ３０１、メインマイコン送信データ監視部３０２、メインマイコン送信データ異常通知送信部３０４、第一異常通知送信線１０９等を含んで構成される。

　また、サブマイコン１０３のマイコン間通信部は、メインマイコン１０２から特定の条件外のデータを受信した場合に異常判定し、異常判定があった場合、車両通信送受信機ＯＮ／ＯＦＦ指令部３０３は、車両通信送受信機１０４から他の電子制御システム（他の車両制御ＥＣＵ１０６）への通信を遮断する指令を車両通信送受信機１０４に対して発信する。

　本実施例によれば、車両制御システム１０１内部だけで故障検知が可能であるため、回路構成の複雑化及びそれに伴うコスト増を抑制しつつ、故障検知できる条件を増やすことができる。

　図３を参照して、本発明の実施例２の電子制御システム及びそれを用いた車両通信停止機能の故障検知方法について説明する。図３は、本実施例の車両制御システムの概略構成を示す図である。実施例１と同じ部分は説明を省略する。

　本実施例において、メインマイコン１０２は、第二処理部２０３を備えておらず、第一処理部２０２が車両通信とマイコン間通信の情報の処理と、サブマイコン１０３が検出したメインマイコン送信データ異常通知を受信し、車両通信に送信する処理を両方行う。

　本実施例において、車両通信送受信機１０４を停止できる場合は、実施例１と同じ動作となる。一方で車両通信送受信機１０４をＯＦＦできない故障が発生した状態で、メインマイコン１０２からサブマイコン１０３へ送信されるデータに異常が発生した場合は、サブマイコン１０３が車両通信送受信機１０４の停止指令を送った後、サブマイコンデータ送信線１０８からメインマイコン送信データ異常通知が第一処理部２０２に送信され、他の車両制御ＥＣＵ１０６へ故障通知を送ることができる。

　本実施例は、実施例１（図１）と比較して安価なメインマイコン１０２を使用して、実施例１と同様の効果を得ることができる。

　しかし、マイコン間通信の処理とメインマイコン送信データ異常通知を受信し、車両通信に送信する処理を一つの処理部で行うため、メインマイコン１０２内部の故障の場合、メインマイコン送信データ異常通知を処理できなくなる。

　よって、車両通信をＯＦＦできなくなる故障発生後に起きる二重故障で検出できる対象は、メインマイコンデータ送信線１０７及びポートの故障によるデータ固着のみとなる。

　図４を参照して、本発明の実施例３の電子制御システム及びそれを用いた車両通信停止機能の故障検知方法について説明する。図４は、本実施例の車両制御システムの概略構成を示す図である。実施例１、実施例２と同じ部分は説明を省略する。

　本実施例において、メインマイコン１０２は、サブマイコン１０３が検出したメインマイコン送信データ異常通知を受信し、車両通信に送信する処理を行う処理部として、第二処理部２０３と第三処理部２０５を備えている。

　メインマイコン送信データ異常通知送信部３０４は、第一異常通知送信線１０９により第二処理部２０３と接続され、第二異常通知送信線１１０により第三処理部２０５と接続される。

　本実施例において、車両通信送受信機１０４を停止できる場合は、実施例１と同じ動作となる。一方で車両通信送受信機１０４をＯＦＦできない故障が発生した状態で、メインマイコン１０２からサブマイコン１０３へ送信されるデータに異常が発生した場合は、サブマイコン１０３が車両通信送受信機１０４の停止指令を送った後、第一異常通知送信線１０９と第二異常通知送信線１１０を通して、第二処理部２０３と第三処理部２０５の両方に、メインマイコン送信データ異常通知が送信され、他の車両制御ＥＣＵ１０６へ故障通知を送ることができる。

　本実施例によれば、車両通信とマイコン間通信の情報の処理とは独立した処理部すべてにメインマイコン送信データ異常通知を行うため、メインマイコン送信データ異常通知を行った処理部のうち一つでも正常に動作すれば、他の車両制御ＥＣＵ１０６へ故障通知を送ることができる。

　よって、実施例１と比べて、車両通信をＯＦＦできなくなる故障発生後に起きる二重故障で検出できる対象をさらに増やすことができる。

　図５を参照して、本発明の実施例４の電子制御システム及びそれを用いた車両通信停止機能の故障検知方法について説明する。図５は、本実施例の車両制御システムの概略構成を示す図である。実施例１から実施例３と同じ部分は説明を省略する。

　本実施例において、メインマイコン１０２は、車両通信とマイコン間通信の情報の処理を行う第一処理部２０２、第二処理部２０３、第三処理部２０５を有し、それぞれの処理部が独立して車両通信の送受信ができる。

　本実施例において、車両通信送受信機１０４を停止できる場合は、実施例１と同じ動作となる。一方で車両通信送受信機１０４をＯＦＦできない故障が発生した状態で、メインマイコン１０２からサブマイコン１０３へ送信されるデータに異常が発生した場合は、サブマイコン１０３が車両通信送受信機１０４の停止指令を送った後、サブマイコンデータ送信線１０８を通じて、第一処理部２０２、第二処理部２０３、第三処理部２０５すべてにメインマイコン送信データ異常通知が送信される。

　メインマイコン送信データ異常通知は、第一処理部２０２、第二処理部２０３、第三処理部２０５それぞれで処理されて、他の車両制御ＥＣＵ１０６へ故障通知を送ることができる。

　本実施例では、マイコン間通信の情報の処理と独立した処理部を持たないが、複数の処理部でマイコン間通信の情報の処理を行っている。メインマイコン１０２からサブマイコン１０３へ送信されるデータに異常が発生したときに、複数の処理部のうち一つでも正常に動作していれば、他の車両制御ＥＣＵ１０６へ故障通知を送ることができる。

　よって、車両通信をＯＦＦできなくなる故障発生後に起きる二重故障で検出できる対象は、メインマイコンデータ送信線１０７及びポートの故障によるデータ固着と、第一処理部２０２、第二処理部２０３、第三処理部２０５すべてに影響するメインマイコン１０２内部故障以外が対象となる。

　図６を参照して、本発明の実施例５の電子制御システム及びそれを用いた車両通信停止機能の故障検知方法について説明する。図６は、本実施例の車両制御システムの概略構成を示す図である。実施例１から実施例４と同じ部分は説明を省略する。

　本実施例は、実施例４（図５）の構成に、第一異常通知送信線１０９、第二異常通知送信線１１０、第三異常通知送信線１１１を加えている。

　メインマイコン送信データ異常通知送信部３０４から、第一異常通知送信線１０９は第一処理部２０２へ、第二異常通知送信線１１０は第二処理部２０３へ、第三異常通知送信線１１１は第三処理部２０５へそれぞれ接続される。

　本実施例において、車両通信送受信機１０４を停止できる場合は、実施例１と同じ動作となる。一方で車両通信送受信機１０４をＯＦＦできない故障が発生した状態で、メインマイコン１０２からサブマイコン１０３へ送信されるデータに異常が発生した場合は、第一異常通知送信線１０９、第二異常通知送信線１１０、第三異常通知送信線１１１を通じて、メインマイコン送信データ異常通知が送信される。その後の処理は実施例４と同様である。

　本実施例では、メインマイコン送信データ異常通知を専用の異常通知送信線を用いて、第一処理部２０２、第二処理部２０３、第三処理部２０５それぞれに送信している。

　実施例４では、マイコン間通信を用いてメインマイコン送信データ異常通知を送信しているため、メインマイコン１０２からサブマイコン１０３へ送信されるデータ異常がマイコン間通信機能そのものの故障が要因であった場合、メインマイコン送信データ異常通知ができなくなる。

　本実施例では、マイコン間通信機能そのものが故障した場合、専用の第一異常通知送信線１０９、第二異常通知送信線１１０、第三異常通知送信線１１１を通じてメインマイコン送信データ異常を通知できるので、実施例４に比べて、車両通信をＯＦＦできなくなる故障発生後に起きる二重故障で検出できる対象をさらに増やすことができる。

　一方で、メインマイコン１０２とサブマイコン１０３の駆動電源電圧が異なる場合、第一異常通知送信線１０９、第二異常通知送信線１１０、第三異常通知送信線１１１を追加する時に、電圧変換回路が必要になり、実施例４と比べてコスト増となる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　１０１…車両制御システム、１０２…メインマイコン、１０３…サブマイコン、１０４…車両通信送受信機、１０５…車両通信線、１０６…他の車両制御ＥＣＵ、１０７…メインマイコンデータ送信線、１０８…サブマイコンデータ送信線、１０９…第一異常通知送信線、１１０…第二異常通知送信線、１１１…第三異常通知送信線、２０１…メインマイコン側車両通信Ｉ／Ｏ、２０２…第一処理部、２０３…第二処理部、２０４…メインマイコン側マイコン間通信Ｉ／Ｏ、２０５…第三処理部、３０１…サブマイコン側マイコン間通信Ｉ／Ｏ、３０２…メインマイコン送信データ監視部、３０３…車両通信送受信機ＯＮ／ＯＦＦ指令部、３０４…メインマイコン送信データ異常通知送信部、４０１…車両通信送受信機Ｉ／Ｏ、４０２…車両通信送受信機ＯＮ／ＯＦＦ切替部。

Claims

　メインマイコンと、
　前記メインマイコンとデータを通信するマイコン間通信部を有するサブマイコンと、
　前記メインマイコンに接続され、他の電子制御システムとデータを通信する車両通信送受信機と、を備え、
　前記サブマイコンは、前記車両通信送受信機から前記他の電子制御システムへの通信を遮断する指令を前記車両通信送受信機に対して発信する車両通信送受信機ＯＮ／ＯＦＦ指令部を有し、
　前記サブマイコンは、前記車両通信送受信機ＯＮ／ＯＦＦ指令部が前記他の電子制御システムとの通信を遮断する指令を前記車両通信送受信機に対して発信した場合に、前記メインマイコンに対して、前記メインマイコン内の異常または前記メインマイコンから前記サブマイコンへのデータの通信の異常を通知する異常通知を発信し、
　前記メインマイコンは、前記車両通信送受信機を介して、前記異常通知を前記他の電子制御システムへ伝達する電子制御システム。
　請求項１に記載の電子制御システムであって、
　前記マイコン間通信部は、前記メインマイコンから特定の条件外のデータを受信した場合に異常判定し、
　異常判定があった場合、前記車両通信送受信機ＯＮ／ＯＦＦ指令部は、前記車両通信送受信機から前記他の電子制御システムへの通信を遮断する指令を前記車両通信送受信機に対して発信する電子制御システム。
　請求項１に記載の電子制御システムであって、
　前記メインマイコンは、前記サブマイコンとの通信を処理する第一処理部と、
　前記異常通知を受信し、前記車両通信送受信機へ異常通知を発信する第二処理部と、を有する電子制御システム。
　請求項１に記載の電子制御システムであって、
　前記メインマイコンは、前記サブマイコンとの通信の処理と、前記異常通知を受信し、前記車両通信送受信機へ異常通知の発信を行う処理部を有する電子制御システム。
　請求項１に記載の電子制御システムであって、
　前記メインマイコンは、前記サブマイコンとの通信を処理する第一処理部と、
　前記異常通知を受信し、前記車両通信送受信機へ異常通知の発信を行う複数の処理部と、を有する電子制御システム。
　請求項１に記載の電子制御システムであって、
　前記メインマイコンは、前記サブマイコンとの通信を処理する複数の処理部を有し、
　前記複数の処理部の各々は、前記メインマイコン内の異常または前記メインマイコンから前記サブマイコンへのデータの通信の異常を通知する異常通知を受信し、前記車両通信送受信機へ異常通知の発信を行う電子制御システム。
　請求項１に記載の電子制御システムであって、
　前記マイコン間通信部は、前記メインマイコンが送信したデータが異常であった場合に異常判定するメインマイコン送信データ監視部と、
　前記メインマイコン送信データ監視部の異常判定を前記メインマイコンに通知するメインマイコン送信データ異常通知送信部と、を有する電子制御システム。
　請求項７に記載の電子制御システムであって、
　前記マイコン間通信部は、前記サブマイコンから前記メインマイコンへデータを伝達する異常通知送信線を有し、
　前記メインマイコン送信データ監視部が、前記メインマイコンが送信したデータが異常であると判定した場合、当該異常通知を前記異常通知送信線を介して前記サブマイコンから前記メインマイコンへ伝達する電子制御システム。
　他の電子制御システムとデータを通信する通信機能を備えた電子制御システムの車両通信停止機能の故障検知方法であって、
　サブマイコンが、他の電子制御システムとの通信を遮断する指令を発信した場合に、メインマイコンに対して、前記メインマイコン内の異常または前記メインマイコンから前記サブマイコンへのデータの通信の異常を通知する異常通知を発信し、
　前記メインマイコンは、前記異常通知を前記他の電子制御システムへ伝達する車両通信停止機能の故障検知方法。
　請求項９に記載の車両通信停止機能の故障検知方法であって、
　前記サブマイコンは、前記メインマイコンから特定の条件外のデータを受信した場合に異常判定し、
　異常判定があった場合、前記サブマイコンは、前記電子制御システムから前記他の電子制御システムへの通信を遮断する指令を発信する車両通信停止機能の故障検知方法。