WO2023210659A1

WO2023210659A1 - 時刻同期システム、時刻検証装置、及び時刻検証方法

Info

Publication number: WO2023210659A1
Application number: PCT/JP2023/016347
Authority: WO
Inventors: 安弘小谷; 孝夫長谷川
Original assignee: 株式会社デンソー
Priority date: 2022-04-28
Filing date: 2023-04-25
Publication date: 2023-11-02

Abstract

時刻検証装置は、検証実行部と結果送信部とを備える。検証実行部は、マスタ装置から受信するマスタ検証用情報、及び１つ以上のスレーブ装置のそれぞれから受信するスレーブ検証用情報に基づいて、スレーブ装置毎に、ローカル時間とグローバル時間との同期状態を検証するための検証情報を生成する。結果送信部は、検証実行部で生成された検証情報を、マスタ装置及び１つ以上のスレーブ装置のそれぞれに送信する。

Description

時刻同期システム、時刻検証装置、及び時刻検証方法

関連出願の相互参照

　本国際出願は、２０２２年４月２８日に日本国特許庁に出願された日本国特許出願第２０２２－０７４９７５号に基づく優先権を主張するものであり、日本国特許出願第２０２２－０７４９７５号の全内容を本国際出願に参照により援用する。

　本開示は、ネットワーク内の各ノードの時刻同期を検証する技術に関する。

　イーサネットを用いた時刻同期プロトコルとして、マスタノードが自身の時刻を時刻同期システム内のスレーブノードに配信することで、スレーブノードの時刻をマスタノードの時刻に同期させる技術が知られている。イーサネットは登録商標である。

　時刻同期システムでは、時刻情報の化けや改ざんによって、スレーブノードが意図しない時刻に同期する可能性がある。このような異常を検出するために、例えば、非特許文献１には、時刻同期メッセージを複数回受信した後にメッセージ内容から時刻同期ネットワークの状態を推定して異常を検出する技術が記載されている。

Avnu Automotive Technical Working Group、"Automotive Ethernet AVB Functional and Interoperability Specification Revision 1.6"、［online］、2019年11月7日、［令和4年4月20日検索］、インターネット＜URL：https://avnu.org/wp-content/uploads/2014/05/Auto-Ethernet-AVB-Func-Interop-spec_v1.6.pdf＞

　しかしながら、上記非特許文献１に記載された従来技術では、異常が発生した状態で送信される時刻同期メッセージを複数回受信しなければならず、異常が検出されるまでに時間を要するという問題が見出された。

　本開示の１つの局面は、時刻同期システムに属する各ノードの時刻同期の状態を速やかに検証する技術を提供する。

　本開示の一態様は、時刻同期システムであって、マスタ装置、１つ以上のスレーブ装置、及び時刻検証装置を備える。マスタ装置、１つ以上のスレーブ装置、時刻検証装置は、通信ネットワークを介して接続される。

　マスタ装置は、同期メッセージ送信部と、マスタ情報送信部と、を備える。同期メッセージ送信部は、１つ以上のスレーブ装置のそれぞれに対して、当該マスタ装置が有するクロックでカウントされるグローバル時間で示された送信時刻を含む同期メッセージを繰り返し送信するように構成される。マスタ情報送信部は、同期メッセージの送信時刻を含むマスタ検証用情報を時刻検証装置に送信するように構成される。

　スレーブ装置は、同期実行部と、スレーブ情報送信部と、を備える。同期実行部は、同期メッセージを受信することで得られる情報に基づいて、グローバル時間が示す時刻に、当該スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行うように構成される。スレーブ情報送信部は、同期実行部による時刻の同期に用いられた情報を含むスレーブ検証用情報を時刻検証装置に送信するように構成される。

　時刻検証装置は、検証実行部と、結果送信部と、を備える。検証実行部は、マスタ装置から受信するマスタ検証用情報、及び１つ以上のスレーブ装置のそれぞれから受信するスレーブ検証用情報に基づいて、スレーブ装置毎に、ローカル時間とグローバル時間との同期状態を検証するための検証情報を生成するように構成される。結果送信部は、検証実行部で生成された検証情報を、１つ以上のスレーブ装置のそれぞれに送信するように構成される。

　このような構成によれば、１つ以上のスレーブ装置は、グローバル時間に対する自装置が有するローカル時間の時刻同期の状態を、検証情報を用いて速やかに判定できる。

　本開示の一態様による時刻検証装置は、時刻同期システムにて用いられる。時刻同期システムは、通信ネットワークを介して接続されたマスタ装置、１つ以上のスレーブ装置、を備える。時刻同期システムは、マスタ装置が有するクロックでカウントされるグローバル時間が示す時刻に、スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行うように構成される。

　時刻検証装置は、検証実行部と、結果送信部と、を備える。検証実行部は、マスタ装置から受信するマスタ検証用情報、及び１つ以上のスレーブ装置のそれぞれから受信するスレーブ検証用情報に基づいて、スレーブ装置毎に、ローカル時間とグローバル時間との同期状態を検証するための検証情報を生成するように構成される。結果送信部は、検証実行部で生成された検証情報を、１つ以上のスレーブ装置のそれぞれに送信するように構成される。マスタ検証用情報は、グローバル時間で示された同期メッセージの送信時刻を含む。スレーブ検証用情報は、同期メッセージを受信することで得られ、時刻同期に用いられる情報を含む。

　このような構成によれば、時刻同期システムにおける時刻同期の検証を速やかに行うことができる。

　本開示の一態様による時刻検証方法は、時刻同期システムに適用される。時刻同期システムは、通信ネットワークを介して接続されたマスタ装置、１つ以上のスレーブ装置、及び時刻検証装置を備える。

　マスタ装置は、１つ以上のスレーブ装置のそれぞれに対して、当該マスタ装置が有するクロックでカウントされるグローバル時間で示された送信時刻を含む同期メッセージを繰り返し送信する。また、マスタ装置は、同期メッセージの送信時刻を含むマスタ検証用情報を時刻検証装置に送信する。

　スレーブ装置は、同期メッセージを受信することで得られる情報に基づいて、グローバル時間が示す時刻に、当該スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行う。また、スレーブ装置は、時刻同期に用いられた情報を含むスレーブ検証用情報を時刻検証装置に送信する。

　時刻検証装置は、マスタ装置から受信するマスタ検証用情報、及び１つ以上のスレーブ装置のそれぞれから受信するスレーブ検証用情報に基づいて、スレーブ装置毎に、ローカル時間とグローバル時間との同期状態を検証するための検証情報を生成する。また、時刻検証装置は、生成された検証情報を、１つ以上のスレーブ装置のそれぞれに送信する。

　このような方法によれば、時刻同期システムにおける時刻同期の検証を速やかに行うことができる。

時刻同期システムの構成を示すブロック図である。時刻同期及び時刻検証の概要を示すシーケンス図である。時刻同期の方法を示す説明図である。マスタＥＣＵが備えるＴＭＴＲテーブルの内容を示す一覧表である。ブリッジＥＣＵ及びスレーブＥＣＵが備えるＴＳＴＲテーブルの内容を示す一覧表である。時刻同期及び時刻検証に用いるパラメータの説明図である。ブリッジＥＣＵ及びスレーブＥＣＵが備えるＳＴＢＲテーブルの内容を示す一覧表である。時刻検証ＥＣＵが備えるＶＤテーブルの内容を示す一覧表である。マスタ時刻処理のフローチャートである。ブリッジ時刻処理のフローチャートである。スレーブ時刻処理のフローチャートである。時刻検証処理のフローチャートである。時刻検証処理の変形例のフローチャートである。時刻検証処理の変形例のフローチャートである。時刻同期システムの他の構成例を示すブロック図である。時刻同期システムの他の構成例を示すブロック図である。時刻同期及び時刻検証に使用されるメッセージに含まれる情報を示す説明図である。第１実施形態における検証確認処理のフローチャートである。第２実施形態における検証確認処理のフローチャートである。第３実施形態におけるマスタ時刻処理のフローチャートである。第３実施形態における成立判定処理のフローチャートである。

　以下、図面を参照しながら、本開示の実施形態を説明する。

　［１．第１実施形態］
　［１－１．構成］
　図１に示す時刻同期システム１は、車載機器による通信ネットワークであり、マスタ電子制御ユニット（以下、マスタＥＣＵ）１０と、ブリッジＥＣＵ２０と、複数のスレーブＥＣＵ３０と、時刻検証ＥＣＵ４０とを備える。ブリッジＥＣＵ２０はイーサネットスイッチやゲートウェイなどの中継装置を含む。

　時刻同期システム１は、外部診断ツール６０を接続するための外部機器インタフェース５０を備えてもよい。本実施形態では、外部機器インタフェース５０は、ブリッジＥＣＵ２０に接続される。外部機器インタフェース５０は、例えば、ＵＳＢコネクタを用いてもよい。

　マスタＥＣＵ１０、複数のスレーブＥＣＵ３０、時刻検証ＥＣＵ４０は、それぞれ個別の信号線を介してブリッジＥＣＵ２０に接続される。つまり、マスタＥＣＵ１０、複数のスレーブＥＣＵ３０、時刻検証ＥＣＵ４０は、ブリッジＥＣＵ２０を中心にしてスター状のネットワークを形成する。信号線を介した各ＥＣＵ１０～４０間の通信には、イーサネットの通信プロトコルが用いられる。イーサネットは登録商標である。なお、通信プロトコルはイーサネットに限定されず、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以下、ＣＡＮ）やＦｌｅｘＲａｙなどの通信プロトコルでもよい。ＣＡＮおよびＦｌｅｘＲａｙは登録商標である。

　時刻同期システム１では、マスタＥＣＵ１０で使用されるグローバル時間に、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０のそれぞれで使用されるローカル時間を同期させる時刻同期が行われる。時刻同期には、例えば、ＩＥＥＥ１５８８　Ｐｒｅｃｉｓｉｏｎ　Ｔｉｍｅ　Ｐｒｏｔｏｃｏｌ（以下、ＰＴＰ）が用いられてもよい。

　ブリッジＥＣＵ２０は、外部機器インタフェース５０に接続された外部診断ツール６０からの要求に応じて、時刻同期及び時刻検証のために各ＥＣＵ１０～４０間で送受信される情報を、外部診断ツール６０に提供する。

　マスタＥＣＵ１０は、ＣＰＵ１１及びＲＯＭ，ＲＡＭ等のメモリ１２を備えたマイクロコンピュータを中心に構成された電子制御装置である。マイクロコンピュータの各種機能は、ＣＰＵ１１が非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、ＲＯＭが、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。なお、ＣＰＵが実行する機能の一部又は全部を、一つあるいは複数のＩＣ等によりハードウェア的に構成してもよい。マスタＥＣＵ１０を構成するマイクロコンピュータの数は１つでも複数でもよい。ブリッジＥＣＵ２０、スレーブＥＣＵ３０、及び時刻検証ＥＣＵ４０も、マスタＥＣＵ１０と同様である。以下、マスタＥＣＵ１０、ブリッジＥＣＵ２０、スレーブＥＣＵ３０、及び時刻検証ＥＣＵ４０を総称する場合、各ＥＣＵ１０～４０と表記する。

　［１－２．時刻同期の概要］
　時刻同期システム１にて行われる時刻同期の概要について説明する。

　時刻同期の対象となる各ＥＣＵ１０～３０は、それぞれ独立に動作するローカルクロックを有する。

　マスタＥＣＵ１０では、マスタローカル時間とグローバル時間とが用いられる。マスタローカル時間及びグローバル時間は、いずれもマスタＥＣＵ１０が有するローカルクロックに従って時を刻む。マスタローカル時間は、マスタＥＣＵ１０における固有の時刻を示し、時間間隔の測定等に用いられる。グローバル時間は、マスタローカル時間とは異なる時刻を示してもよい。

　ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０では、それぞれ、スレーブローカル時間と同期ローカル時間とが用いられる。スレーブローカル時間及び同期ローカル時間は、いずれも各ＥＣＵ２０，３０が有するローカルクロックに従って時を刻む。スレーブローカル時間は、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０のそれぞれにおける固有の時刻を示し、時間間隔の測定等に用いられる。同期ローカル時間は、スレーブローカル時間とは異なった時刻を示してもよい。

　時刻同期は、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０のそれぞれにおいて、同期ローカル時間が示す時刻を、マスタＥＣＵ１０のグローバル時間が示す時刻に合わせることを意味する。各ＥＣＵ１０～３０にて実行される時刻を利用するアプリケーションは、グローバル時間又はグローバル時間に同期した同期ローカル時間が示す時刻を用いる。

　各ＥＣＵ１０～３０は、マスタＥＣＵ１０とブリッジＥＣＵ２０との間の伝送遅延時間（以下、ＭＢ遅延時間）、及び各スレーブＥＣＵ３０とブリッジＥＣＵ２０との間の伝送遅延時間（以下、ＳＢ遅延時間）に基づいて設定される遅延情報ＰＤを記憶する。遅延情報ＰＤは、出荷時等に測定される値（すなわち、固定値）であってもよいし、システム起動時等の決められたタイミングで、決められた手順に従って測定される値（すなわち、可変値）であってもよい。

　図２及び図１７に示すように、時刻同期では、第１同期メッセージＳＹ及び第２同期メッセージＦＵが用いられる。また、時刻検証では、マスタレコード通知メッセージＭＭ、ブリッジレコード通知メッセージＢＭ、スレーブレコード通知メッセージＳＭ、結果通知メッセージＶＭが用いられる。これらのメッセージＳＹ，ＦＵ，ＭＭ，ＢＭ，ＳＭ，ＶＭは、いずれも、ＴＣＰ／ＩＰモデルのアプリケーション層で扱われるメッセージであり、ＴＣＰ又はＵＤＰによって通信が行われる。

　マスタＥＣＵ１０は、ブリッジＥＣＵ２０に対して定期的に第１同期メッセージＳＹを送信する。また、マスタＥＣＵ１０は、第１同期メッセージＳＹに続けて、第２同期メッセージＦＵを送信する。第２同期メッセージＦＵには、フォローアップメッセージと呼ばれ、第１同期メッセージＳＹの送信時刻を、グローバル時間によりナノ秒単位で正確に表した時刻情報であるグローバル送信時刻ＯＴが付加される。

　なお、マスタＥＣＵ１０は、予め設定された第１送信条件が成立するタイミングで、第１同期メッセージＳＹを、ブリッジＥＣＵ２０に対して送信し、以後、定期的に第１同期メッセージＳＹを送信してもよい。第１送信条件には、マスタＥＣＵ１０の起動、またはマスタＥＣＵ１０の起動から所定時間経過が含まれてもよい。第１送信条件には、車両の電源、イグニッション（以下、ＩＧ）又はアクセサリ（以下、ＡＣＣ）のターンオン、並びに、電源、ＩＧ又はＡＣＣがターンオンしてから所定時間経過が含まれてもよい。更に、第１送信条件には、前述の第１送信条件に加えて、第１同期メッセージＳＹを受信するブリッジＥＣＵ２０及びスレーブＥＣＵ３０の起動をマスタＥＣＵ１０が確認することが含まれてもよい。

　マスタＥＣＵ１０は、ブリッジＥＣＵ２０及びスレーブＥＣＵ３０が起動しているか否かを、例えば、スレーブＥＣＵ３０からの所定フレームを、ブリッジＥＣＵを介して受信したか否かによって判定してもよい。なお、定期的に送信される第１同期メッセージＳＹの送信間隔は、永続的に一定である必要はなく、後述する時刻同期の検証結果に基づいて、マスタＥＣＵ１０が送信間隔を制御してもよい。

　ブリッジＥＣＵ２０は、第１同期メッセージＳＹを受信すると、複数のスレーブＥＣＵ３０のそれぞれに転送する。ここでは、スレーブＥＣＵ３０の数をｍ個とする。ブリッジＥＣＵ２０は、スレーブＥＣＵ３０に転送する第１同期メッセージＳＹ－１～ＳＹ－ｍに、滞留遅延時間ＣＦを付加する。滞留遅延時間ＣＦは、ブリッジＥＣＵ２０がマスタＥＣＵ１０から第１同期メッセージＳＹを受信してから、各スレーブＥＣＵ３０に対して第１同期メッセージＳＹ－１～ＳＹ－ｍを送信するまでに要する時間の測定値である。

　ブリッジＥＣＵ２０は、第２同期メッセージＦＵを受信すると、ｍ個のスレーブＥＣＵ３０のそれぞれに転送する。

　図６に示すように、ブリッジＥＣＵ２０及び各スレーブＥＣＵ３０は、第１同期メッセージＳＹを受信すると、受信時刻を表すタイムスタンプである第１ローカル受信時刻ＬＴ１を取得する。また、第２同期メッセージＦＵを受信すると、受信時刻を表すタイムスタンプである第２ローカル受信時刻ＬＴ２を取得する。第１ローカル受信時刻ＬＴ１及び第２ローカル受信時刻ＬＴ２は、いずれも、受信時刻を、スレーブローカル時間によりナノ秒単位で正確に表した時刻情報である。

　ブリッジＥＣＵ２０及び各スレーブＥＣＵ３０は、それぞれ、第１同期メッセージＳＹ及び第２同期メッセージＦＵを受信することによって得られる情報を用いて時刻同期を行う。

　図３に示すように、グローバル時間と同期スレーブ時間とは、使用するローカルクロックが異なるため、時刻を揃えて動作させても、時間の経過に従って時間偏差が増大する。そこで、時刻同期では、第１同期メッセージＳＹ及び第２同期メッセージＦＵを受信することで得られる情報に従って、参照グローバル時刻ＧＴ０と、レート補正値Ｒａｔｅとを算出し、（１）式に従って、同期ローカル時間が表す時刻ＳＬＴ（ｔ）を算出する。

　参照グローバル時刻ＧＴ０は、同期ローカル時間をグローバル時間に合わせたタイミングをグローバル時間で表した時刻であり、図３中では、グローバル時間と同期スレーブ時間とが一致している点の時刻である。

　レート補正値Ｒａｔｅは、グローバル時間が表す時刻と、同期スレーブ時間が表す時刻との偏差の単位時間当たりの増大量であり、図３中では、グローバル時間を表す線に対する同期スレーブ時間を表す線の傾きに相当する。

　ＬＴ（ｔ）は、スレーブローカル時間で表した現時刻であり、ＬＴ０は、参照グローバル時刻ＴＧ０をスレーブローカル時間で表した時刻である。

　［１－３．時刻検証の概要］
　時刻同期システム１にて行われる時刻検証の概要について説明する。

　時刻検証を行うために、各ＥＣＵ１０～３０は、時刻同期に関わる情報をテーブルに記録する。図２に示すように、マスタＥＣＵ１０は、第２同期メッセージＦＵの送信後に、テーブルに記録されている情報（以下、時刻レコード情報）を含むマスタレコード通知メッセージＭＭを、ブリッジＥＣＵ２０を介して時刻検証ＥＣＵ４０に送信する。ブリッジＥＣＵ２０は、第２同期メッセージＦＵの転送後に、時刻レコード情報を含むブリッジレコード通知メッセージＢＭを、時刻検証ＥＣＵ４０に送信する。各スレーブＥＣＵ３０は、第２同期メッセージＦＵの受信後に、時刻レコード情報を含むスレーブレコード通知メッセージＳＭ－１～ＳＭ－ｍを、ブリッジＥＣＵ２０を介して時刻検証ＥＣＵ４０に送信する。以下、スレーブレコード通知メッセージＳＭ－１～ＳＭ－ｍに区別をつけずに説明する場合はスレーブレコード通知メッセージＳＭと記載する。

　マスタＥＣＵ１０は、予め設定された第２送信条件が成立するタイミングで、マスタレコード通知メッセージＭＭを時刻検証ＥＣＵ４０にブリッジＥＣＵ２０を介して送信する。第２送信条件には、第２同期メッセージＦＵの送信から所定時間経過が含まれてもよいし、第２同期メッセージＦＵを複数回送信してから所定時間経過が含まれてもよい。更に、第２送信条件には、後述する特定の条件が含まれてもよい。

　また、ブリッジＥＣＵ２０は、予め設定された第３送信条件が成立するタイミングで、ブリッジレコード通知メッセージＢＭを時刻検証ＥＣＵ４０に送信する。第３送信条件には、第２同期メッセージＦＵの転送から所定時間経過が含まれてもよいし、第２同期メッセージＦＵを複数回転送してから所定時間経過が含まれてもよい。更に第３送信条件には、後述する特定の条件が含まれてもよい。

　また、スレーブＥＣＵ３０は、予め設定された第４送信条件が成立するタイミングで、スレーブレコード通知メッセージＳＭを時刻検証ＥＣＵ４０にブリッジＥＣＵ２０を介して送信する。第４送信条件には、第２同期メッセージＦＵの受信から所定時間経過が含まれてもよいし、第２同期メッセージＦＵを複数回受信してから所定時間経過が含まれてもよい。更に、第４送信条件には、後述する特定の条件が含まれてもよい。

　マスタレコード通知メッセージＭＭ、ブリッジレコード通知メッセージＢＭ及びスレーブレコード通知メッセージＳＭの送信タイミングについては、各ＥＣＵ１０～３０で揃える必要がある。例えば、マスタＥＣＵ１０が、第２同期メッセージＦＵを２回送信してから所定時間経過後に、マスタレコード通知メッセージＭＭを送信する場合を想定する。この場合、ブリッジＥＣＵ２０は、第２同期メッセージＦＵを全てのスレーブＥＣＵ３０に転送する転送処理を２回実施してから所定時間経過後に、ブリッジレコード通知メッセージＢＭを時刻検証ＥＣＵ４０に送信する必要がある。また、スレーブＥＣＵ３０は、第２同期メッセージＦＵを２回受信してから所定時間経過後にスレーブレコード通知メッセージＳＭを送信する必要がある。

　マスタＥＣＵ１０が、時刻同期の検証を要求する情報を付加した第１同期メッセージＳＹ又は第２同期メッセージＦＵを送信することで、各ＥＣＵ１０～３０が、マスタレコード通知メッセージＭＭ、ブリッジレコード通知メッセージＢＭ及びスレーブレコード通知メッセージＳＭの送信の要否を把握できるようにしてもよい。詳細については後述する。

　時刻検証ＥＣＵ４０は、各ＥＣＵ１０～３０から受信した時刻レコード情報を用いて時刻を検証する処理を行い、検証結果を含む結果通知メッセージＶＭを各ＥＣＵ１０～３０に送信する。具体的には、時刻検証ＥＣＵ４０がブリッジＥＣＵ２０に対して検証結果を含む結果通知メッセージＶＭを送信する。そして、当該結果通知メッセージＶＭを受信したブリッジＥＣＵ２０がマスタＥＣＵ１０及びスレーブＥＣＵ３０に結果通知メッセージＶＭ－０～ＶＭ－ｍを送信する。

　［１－４．時刻レコード情報］
　［１－４－１．ＴＭＴＲテーブル］
　マスタＥＣＵ１０が、時刻レコード情報を記録するＴｉｍｅｓｙｎｃ　Ｍａｓｔｅｒ　Ｔｉｍｉｎｇ　Ｒｅｃｏｒｄ（以下、ＴＭＴＲ）テーブルについて説明する。

　図４に示すように、ＴＭＴＲテーブルは、シーケンス識別子ＳＩＤと、送信元ポート識別子ＰＩＤと、ローカル送信時刻ＭＬＴと、グローバル送信時刻ＯＴとが記録される。

　シーケンス識別子ＳＩＤは、マスタＥＣＵ１０が、時刻同期用メッセージの送信に用いるシーケンスの識別子であり、マスタＥＣＵ１０が第１同期メッセージＳＹを送信する毎に１つずつ値が増加する。

　送信元ポート識別子ＰＩＤは、マスタＥＣＵ１０が、時刻同期用メッセージの送信に用いるポートの識別子であり、固定値が用いられる。

　ローカル送信時刻ＭＬＴは、第１同期メッセージＳＹの送信時刻を表すタイムスタンプであり、マスタローカル時間によって表される時刻情報である。

　グローバル送信時刻ＯＴは、第１同期メッセージＳＹの送信時刻を表すタイムスタンプであり、グローバル時間によって表される時刻情報である。グローバル送信時刻ＯＴは、マスタローカル時間をグローバル時間に変換する式を用いて、ローカル送信時刻ＭＬＴに基づいて算出される。

　［１－４－２．ＴＳＴＲテーブル］
　ブリッジＥＣＵ２０及び各スレーブＥＣＵ３０が、時刻レコード情報を記録するＴｉｍｅｓｙｎｃ　Ｓｌａｖｅ　Ｔｉｍｉｎｇ　Ｒｅｃｏｒｄ（以下、ＴＳＴＲ）テーブルについて説明する。

　図５に示すように、ＴＳＴＲテーブルは、シーケンス識別子ＳＩＤと、送信元ポート識別子ＰＩＤと、第１ローカル受信時刻ＬＴ１と、グローバル送信時刻ＯＴと、滞留遅延時間ＣＦと、伝送遅延時間ＰＤと、第２ローカル受信時刻ＬＴ２と、参照グローバル時刻ＧＴ０とが記録される。

　シーケンス識別子ＳＩＤ、送信元ポート識別子ＰＩＤ、及び遅延滞留時間ＣＦは、受信した第１同期メッセージＳＹから抽出される情報である。

　図６に示すように、第１ローカル受信時刻ＬＴ１は、第１同期メッセージＳＹの受信時刻を表すタイムスタンプであり、スレーブローカル時間で表される時刻情報である。

　第１ローカル受信時刻ＬＴ２は、第２同期メッセージＦＵの受信時刻を表すタイムスタンプであり、スレーブローカル時間で表される時刻情報である。

　グローバル送信時刻ＯＴは、受信した第２同期メッセージＦＵから抽出される情報である。

　伝送遅延時間ＰＤは、別途実行される測定によって得られた値である。但し、ブリッジＥＣＵ２０では、伝送遅延時間ＰＤは、マスタＥＣＵ１０とブリッジＥＣＵ２０との間の伝送遅延時間であるＭＢ遅延時間が用いられる。スレーブＥＣＵ３０では、伝送遅延時間ＰＤは、ブリッジＥＣＵ２０と当該スレーブＥＣＵ３０との間の伝送遅延時間であるＳＢ遅延時間と、ＭＢ遅延時間との合計値が用いられる。

　参照グローバル時刻ＧＴ０は、第２同期メッセージＦＵの受信タイミングを参照点として、参照点のグローバル時間を（２）式を用いて算出した時刻情報である。なお、パラメータに付属する（ｎ）は、ｎ番目のシーケンスで得られる値であることを示す。

　［１－４－３．ＳＴＢＲテーブル］
　ブリッジＥＣＵ２０及び各スレーブＥＣＵ３０が、ＴＳＴＲテーブルの記録内容から算出する情報等を記録するＳｙｎｃｈｒｏｎｉｚｅｄ　Ｔｉｍｅ　Ｂａｓｅ　Ｒｅｃｏｒｄ（以下、ＳＴＢＲ）テーブルについて説明する。

　図７に示すように、ＳＴＢＲテーブルは、ドメイン識別子ＤＩＤと、クロック周波数Ｈｗｆと、クロック分周数Ｈｗｐと、参照グローバル時刻ＧＴ０と、時刻同期ステータスＴＢＳと、ローカル時刻ＬＴ２ｎと、クロック偏差値ＲＤと、同期前の参照同期ローカル時刻ＳＬＴ０と、全経路遅延ＰＤＬとが記録される。

　ドメイン識別子ＤＩＤは、時刻同期システム１のネットワーク構造に従って付与される識別子であり固定値が用いられる。

　クロック周波数Ｈｗｆは、ローカルクロックの周波数であり、固定値が用いられる。

　クロック分周数Ｈｗｐは、スレーブローカル時間の単位時間を生成するのに必要な、ローカルクロックの分周数であり、固定値が用いられる。

　参照グローバル時刻ＧＴ０は、ＴＳＴＲテーブルに記録されたものと同じである。但し、参照グローバル時刻ＧＴ０は、秒単位で表される上位３２ビットをＧＴ０ｓ、ナノ秒単位で表される下位３２ビットをＧＴ０ｎとして、二つに分けて記録される。

　ローカル時刻ＬＴ２ｎは、第２ローカル受信時刻ＬＴ２のうち、ナノ秒単位で表される下位３２ビットである。

　参照同期ローカル時刻ＳＬＴ０は、参照点での同期ローカル時刻ＳＬＴを（３）式を用いて算した時刻情報である。参照点では、同期ローカル時刻ＳＬＴは、グローバル時刻ＧＴに同期されるが、参照同期ローカル時刻ＳＬＴ０（ｎ）は同期化前の値であり、参照同期化ローカル時刻ＳＬＴ（ｎ－１）は、同期化後の値である。以下の（５）（６）式でも同様である。

　参照同期ローカル時刻ＳＬＴ０は、参照グローバル時刻ＴＧ０と同様に、秒単位で表される上位３２ビットをＳＬＴ０ｓ、ナノ秒単位で表される下位３２ビットをＳＬＴ０ｎとして、二つに分けて記録される。

　クロック偏差ＲＤは、（４）式で表される。クロック偏差ＲＤは、（５）式で表される時間偏差ＴＤを変形することで得られる。時間偏差ＴＤは、前回のシーケンスにおける参照点から今回のシーケンスにおける参照点までに生じたグローバル時間と同期ローカル時間との時間差である。（４）式で表されるクロック偏差ＲＤは、（５）式の右辺を、（５）式の右辺第２項（すなわち、参照点間の時間を同期ローカル時間で表した時間間隔）で除してＰＰＭ単位に変換した値である。つまり、Ｒａｔｅは、時刻同期で説明した（１）式で用いられるレート補正値であり、（６）式で表される。つまり、レート補正値Ｒａｔｅは、（５）式の右辺第１項（すなわち、参照点間の時間をグローバル時間で表した時間間隔）を、（５）式の右辺第２項で除した値である。

　全経路遅延ＰＤＬは、マスタＥＣＵ１０でメッセージが送信されてから、ブリッジＥＣＵ２０又はスレーブＥＣＵ３０でメッセージが受信されるまでに要する遅延の合計であり、（７）式で表される。

　時刻同期ステータスＴＢＳには、タイムアウトフラグ、同期履歴フラグ、進み判定フラグ、遅れ判定フラグが含まれる。タイムアウトフラグは、第１同期メッセージＳＹの受信間隔が、許容時間以内空いた場合にオン設定されるフラグである。同期履歴フラグは、第１同期メッセージＳＹ等を受信することによって、グローバル時間に同期したことがある場合にオン設定されるフラグである。

　進み判定フラグは、（８）式で算出される時刻オフセットＯＦ（ｎ）が、時間閾値ＴＨに対して、ＯＦ（ｎ）＜－ＴＨである場合、すなわち、グローバル時間に対する同期化ローカル時間の進み具合が許容値を超えている場合にオン設定されるフラグである。なお、ＧＴ０は、（２）式に従って算出され、ＳＬＴ０は、（３）式に従って算出された値を用いる。

　遅れ判定フラグは、時刻オフセットＯＦ（ｎ）が、時間閾値ＴＨに対してＴＤ（ｎ）＞ＴＨである場合、すなわち、グローバル時間に対する同期化ローカル時間の遅れ具合が、許容値を超えている場合にオン設定されるフラグである。

　なお、進み判定フラグ及び遅れ判定フラグは、（５）式で算出される時間偏差ＴＤ（ｎ）やレート補正値Ｒａｔｅに基づいて設定されてもよい。

　［１－４－４．ＶＤテーブル］
　時刻検証ＥＣＵ４０が、検証結果を記録するＶａｌｉｄａｔｅ　ｄａｔａ（以下、ＶＤ）テーブルについて説明する。ＶＤテーブルは、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０のそれぞれに対して個別に生成される。

　図８に示すように、ＶＤテーブルは、時刻オフセットＯＦ、クロック偏差ＲＤ、滞留遅延時間ＣＦ、伝送遅延時間ＰＤ、スレーブ内遅延時間ＳＤＬ、第１同期メッセージ受信間隔ＳＹｉｎｔ、スレーブステータスＳＳが含まれる。

　以下では、マスタレコード通知メッセージＭＭに含まれる時刻レコード情報を、マスタレコード情報、ブリッジレコード通知メッセージＢＭ及びスレーブレコード通知メッセージＳＭに含まれる時刻レコード情報をスレーブレコード情報という。

　時刻オフセットＯＦは、（８）式に従って算出される。但し、ＧＴ０は、今回のシーケンスで取得されたマスタレコード情報に含まれるＯＴと、今回のシーケンスで取得されたスレーブレコード情報に含まれるＣＦ，ＰＤ，ＲＤ，ＬＴ１，ＬＴ２を用いて、（９）式に従って算出される。但し、Ｒａｔｅは、ＲＤを用いて（１０）式に従って算出される。

　ＳＬＴ０は、前回のシーケンスで取得されたスレーブレコード情報に含まれるＳＬＴ０，ＬＴ２と、今回のシーケンスで取得したスレーブレコード情報に含まれるＲＤ，ＬＴ２を用いて、（１１）式に従って算出される。但し、Ｒａｔｅは、ＲＤを用いて（１０）式に従って算出される。

　時間偏差ＴＤは、（９）（１１）式を用いて、今回のシーケンスで算出されたＧＴ０、ＳＬＴ０と、前回のシーケンスで算出されたＧＴ０，ＳＬＴ０とを用いて、（１２）式に従って算出される。

　滞留遅延時間ＣＦ、伝送遅延時間ＰＤは、今回のシーケンスで取得されたスレーブレコード情報に含まれるＣＦ，ＰＤが記録される。

　スレーブ内遅延ＳＤＬは、今回のシーケンスで取得されたスレーブレコード情報に含まれるＬＴ１，ＬＴ２を用いて（１３）式に従って算出される。

　メッセージ受信間隔ＳＹｉｎｔは、今回のシーケンスで取得されたスレーブレコード情報に含まれるＬＴ１、前記のシーケンスで取得されたスレーブレコード情報に含まれるＬＴ１を用いて（１４）式に従って算出される。

　なお、メッセージ受信間隔ＳＹｉｎｔは、過去複数回のシーケンスで算出された受信間隔の平均値であってもよい。

　スレーブステータスＳＳは、ブリッジＥＣＵ２０及びスレーブＥＣＵのそれぞれで判定される時刻同期ステータスＴＢＳと同様であり、レコード情報に含まれる情報を用いて時刻同期ステータスＴＢＳの場合と同様の判定処理を実行した結果が記録される。

　図１７に示すように、ＴＭＴＲテーブルに記録された時刻レコード情報は、マスタレコード通知メッセージＭＭによって、マスタＥＣＵ１０から時刻検証ＥＣＵ４０に送信される。ＴＳＴＲテーブル及びＳＴＢＲテーブルに記録された時刻レコード情報は、ブリッジレコード通知メッセージＢＭ又はスレーブレコード通知メッセージＳＭによって、ブリッジＥＣＵ２０又はスレーブＥＣＵから時刻検証ＥＣＵ４０に送信される。ＶＤテーブルに記録された検証結果は、結果通知メッセージＶＭによって、時刻検証ＥＣＵ４０から各ＥＣＵ１０～３０に送信される。

　［１－５．処理］
　［１－５－１．マスタＥＣＵ］
　マスタＥＣＵ１０が、時刻同期及び時刻検証のために実行するマスタ時刻処理を、図９のフローチャートを用いて説明する。

　マスタ時刻処理は、システムが起動すると繰り返し実行される。

　ステップ（以下、Ｓ）１１０では、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信タイミングであるか否かを判定し、送信タイミングであれば、処理をＳ１２０に移行し、送信タイミングでなければ、同ステップを繰り返すことで待機する。この第１同期メッセージＳＹの送信タイミングについては、後述する検証結果に基づいて、マスタＥＣＵ１０が制御してもよい。

　Ｓ１２０では、マスタＥＣＵ１０は、第１同期メッセージＳＹを生成して送信する。第１同期メッセージＳＹには、シーケンスＩＤ、送信元ポートＩＤが含まれる。シーケンスＩＤは、第１同期メッセージＳＹを送信する毎に値がインクリメントされる。

　続くＳ１３０では、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信時刻をマスタローカル時間で表したローカル送信時刻ＭＬＴを取得する。また、マスタＥＣＵ１０は、取得したローカル送信時刻ＭＬＴを、第１同期メッセージＳＹに書き込まれるシーケンス識別子ＳＩＤ及び送信元ポート識別子ＰＩＤと共に、ＴＭＴＲテーブルに記録する。

　続くＳ１４０では、マスタＥＣＵ１０は、ローカル送信時刻ＭＬＴをグローバル時間で表したグローバル送信時刻ＯＴに変換して、ＴＭＴＲテーブルに記録する。

　続くＳ１５０では、マスタＥＣＵ１０は、第２同期メッセージＦＵを生成して送信する。第２同期メッセージＦＵには、グローバル送信時刻ＯＴが含まれる。

　続くＳ１６０では、マスタＥＣＵ１０は、マスタレコード通知メッセージＭＭを生成して、時刻検証ＥＣＵ４０に送信する。マスタレコード通知メッセージＭＭは、ＴＭＴＲテーブルに記録された全ての情報を時刻レコード情報として含んでもよい。

　続くＳ１７０では、マスタＥＣＵ１０は、検証確認処理を実行して、マスタ時刻処理を終了する。

　ここで、マスタＥＣＵ１０が、Ｓ１７０にて実行する検証確認処理を、図１８のフローチャートを用いて説明する。

　検証確認処理が開始されると、Ｓ２１０にて、マスタＥＣＵ１０は、結果通知メッセージＶＭを受信したか否かを判定し、受信していれば処理をＳ２３０に移行し、受信していなければ処理をＳ２２０に移行する。

　Ｓ２２０では、マスタＥＣＵ１０は、マスタレコード通知メッセージＭＭを送信してから返信許容時間が経過したか否かを判定し、経過していなければ処理をＳ２１０に戻し、経過していれば、処理をＳ２４０に移行する。

　Ｓ２３０では、マスタＥＣＵ１０は、結果通知メッセージＶＭの内容を確認し、同期状態が正常であるか否かを判定し、正常であれば処理を終了し、異常があれば処理をＳ２４０に移行する。結果通知メッセージＶＭは、時刻検証ＥＣＵ４０によりＶＤテーブルに記録された全ての情報を含んでもよい。

　Ｓ２４０では、マスタＥＣＵ１０は、異常に対処する処理を行って、処理を終了する。異常に対処する処理として、例えば、第１同期メッセージＳＹ、第２同期メッセージＦＵ、マスタレコード通知メッセージＭＭの送信を停止してもよい。

　［１－５－２．ブリッジＥＣＵ］
　ブリッジＥＣＵ２０が、時刻同期及び時刻検証のために実行するブリッジ時刻処理を、図１０のフローチャートを用いて説明する。

　ブリッジ時刻処理は、システムが起動すると繰り返し実行される。

　Ｓ３１０では、ブリッジＥＣＵ２０は、第１同期メッセージＳＹを受信したか否かを判定し、受信していれば処理をＳ３３０に移行し、受信していなければ処理をＳ３２０に移行する。

　Ｓ３２０では、ブリッジＥＣＵ２０は、第１同期メッセージＳＹの前回の受信から許容上限時間を経過したか否かを判定し、許容上限時間を経過していれば処理をＳ４５０に移行し、許容上限時間を経過していなければ処理をＳ３１０に戻す。

　Ｓ３３０では、ブリッジＥＣＵ２０は、第１同期メッセージＳＹの受信時刻をスレーブローカル時間で表した第１ローカル受信時刻ＬＴ１を取得する。また、ブリッジＥＣＵ２０は、取得した第１ローカル受信時刻ＬＴ１を、第１同期メッセージＳＹから抽出したシーケンス識別子ＳＩＤ及び送信元ポート識別子ＰＩＤと共に、ＴＳＴＲテーブルに記録する。

　続くＳ３４０では、ブリッジＥＣＵ２０は、当該ブリッジＥＣＵ２０での第１同期メッセージＳＹの滞留遅延時間ＣＦを計測し、計測した滞留遅延時間ＣＦを第１同期メッセージＳＹに付与して、各スレーブＥＣＵ３０に転送する。また、ブリッジＥＣＵ２０は、滞留遅延時間ＣＦをＴＳＴＲテーブルに記録する。

　続くＳ３５０では、ブリッジＥＣＵ２０は、第２同期メッセージＦＵを受信したか否かを判定し、受信していれば処理をＳ３７０に移行し、受信していなければ処理をＳ３６０に移行する。

　Ｓ３６０では、ブリッジＥＣＵ２０は、第１同期メッセージＳＹを受信してから許容待機時間が経過したか否かを判定し、許容待機時間が経過していれば処理をＳ４５０に移行し、許容待機時間を経過していなければ処理をＳ３５０に戻す。

　Ｓ３７０では、ブリッジＥＣＵ２０は、第２同期メッセージＦＵの受信時刻をスレーブローカル時間で表した第２ローカル受信時刻ＬＴ２を取得する。また、ブリッジＥＣＵ２０は、取得した第２ローカル受信時刻ＬＴ２を、第２同期メッセージＦＵから抽出したグローバル送信時刻ＯＴと共に、ＴＳＴＲテーブルに記録する。

　続くＳ３８０では、ブリッジＥＣＵ２０は、第２同期メッセージＦＵを各スレーブＥＣＵ３０に転送する。

　続くＳ３９０では、ブリッジＥＣＵ２０は、ＴＳＴＲテーブルに記録された内容に基づき、時刻同期及びＳＴＢＲテーブルへの記録を実行する。ブリッジＥＣＵ２０は、（１）式による同期ローカル時間の算出に用いる、参照グローバル時刻ＧＴ０及びレート補正値Ｒａｔｅを更新することで時刻同期を行う。また、ブリッジＥＣＵ２０は、参照グローバル時刻ＧＴ０、参照同期ローカル時刻ＳＬＴ０、参照点のスレーブローカル時刻ＬＴ２ｎ、クロック偏差ＲＤ、全経路遅延ＰＤＬを算出すると共に、時刻同期ステータスＴＢＳを判定して、算出結果及び判定結果をＳＴＢＲテーブルに記録する。

　続くＳ４００では、ブリッジＥＣＵ２０は、ブリッジレコード通知メッセージＢＭを生成して、時刻検証ＥＣＵ４０に送信する。ブリッジレコード通知メッセージＢＭは、ＴＳＴＲテーブル及びＳＴＢＲテーブルに記録されたすべての情報を、時刻レコード情報として含んでもよい。

　続くＳ４１０では、ブリッジＥＣＵ２０は、結果通知メッセージＶＭを受信したか否かを判定し、受信していれば処理をＳ４３０に移行し、受信していなければ処理をＳ４２０に移行する。結果通知メッセージＶＭは、時刻検証ＥＣＵ４０によりＶＤテーブルに記録された全ての情報を含んでもよい。

　Ｓ４２０では、ブリッジＥＣＵ２０は、ブリッジレコード通知メッセージＢＭを送信してから返信許容時間が経過したか否かを判定し、経過していなければ処理をＳ４１０に戻し、経過していれば、処理をＳ４４０に移行する。

　Ｓ４３０では、ブリッジＥＣＵ２０は、結果通知メッセージＶＭの内容を確認し、同期状態が正常であるか否かを判定し、同期状態が正常であれば処理を終了し、同期状態が異常であれば処理をＳ４４０に移行する。

　Ｓ４４０では、ブリッジＥＣＵ２０は、時刻同期の異常に対処する処理を実行して、処理を終了する。異常に対処する処理として、例えば、時刻同期に関する処理を停止してもよい。

　Ｓ４５０では、ブリッジＥＣＵ２０は、マスタＥＣＵ１０に異常があると判定し、マスタＥＣＵ１０の代わりに、第１同期メッセージＳＹ及び第２同期メッセージＦＵの送信を行う代行処理を実行する。代行処理では、ブリッジＥＣＵ２０が有する同期ローカル時間をグローバル時間とみなして、マスタＥＣＵ１０でのメイン時刻処理と同様の処理を実行する。

　［１－５－３．スレーブＥＣＵ］
　スレーブＥＣＵ３０が、時刻同期及び時刻検証のために実行するスレーブ時刻処理を、図１１のフローチャートを用いて説明する。

　スレーブ時刻処理は、システムが起動すると繰り返し実行される。

　スレーブ時刻処理は、ブリッジ時刻処理から、Ｓ３２０、Ｓ３４０、Ｓ３６０、Ｓ３８０、Ｓ４５０が省略されている。

　なお、Ｓ３１０では、スレーブＥＣＵ３０は、第１同期メッセージＳＹを受信していない場合、同ステップを繰り返すことで待機する。スレーブＥＣＵ３０は、第１同期メッセージＳＹを受信した場合は処理をＳ３３０に移行する。Ｓ３３０の処理内容は前述のブリッジ時刻処理のＳ３３０と同様である。スレーブＥＣＵ３０は、Ｓ３３０の処理を実行後、処理をＳ３５０に移行する。

　Ｓ３５０では、スレーブＥＣＵ３０は、第２同期メッセージＦＵを受信していない場合、同ステップを繰り返すことで待機する。スレーブＥＣＵ３０は、第２同期メッセージＦＵを受信した場合、処理をＳ３７０に移行する。Ｓ３７０の処理内容は前述のブリッジ時刻処理のＳ３３０と同様である。スレーブＥＣＵ３０は、Ｓ３７０の処理を実行後、処理をＳ３９０に移行する。Ｓ３９０の処理内容は前述のブリッジ時刻処理のＳ３９０と同様である。スレーブＥＣＵ３０は、Ｓ３９０の処理を実行後、処理をＳ４００に移行する。

　Ｓ４００では、スレーブＥＣＵ３０は、ブリッジレコード通知メッセージＢＭではなく、スレーブレコード通知メッセージＳＭを送信する。ただし、スレーブレコード通知メッセージＳＭの内容は、ブリッジレコード通知メッセージＢＭと同様である。Ｓ４００より後のステップであるＳ４１０、Ｓ４２０、Ｓ４３０及びＳ４４０の処理内容は前述のブリッジ時刻処理のＳ４１０、Ｓ４２０、Ｓ４３０及びＳ４４０と同様である。

　［１－５－４．時刻検証ＥＣＵ］
　時刻検証ＥＣＵが実行する時刻検証処理について、図１２のフローチャートを用いて説明する。

　Ｓ５１０では、時刻検証ＥＣＵ４０は、マスタレコード通知メッセージＭＭを受信したか否かを判定し、受信していれば処理をＳ５２０に移行し、受信していなければ同ステップを繰り返すことで待機する。

　Ｓ５２０では、時刻検証ＥＣＵ４０は、ブリッジレコード通知メッセージＢＭ又はスレーブレコード通知メッセージＳＭを受信したか否かを判定し、受信していれば処理をＳ５３０に移行し、受信していなければ、同ステップを繰り返すことで待機する。

　Ｓ５３０では、時刻検証ＥＣＵ４０は、受信したブリッジレコード通知メッセージＢＭ又はスレーブレコード通知メッセージＳＭの送信元を検証対象ＥＣＵとして、検証対象ＥＣＵの時刻検証を実行し、検証結果をＶＤテーブルに記録する。つまり、マスタＥＣＵ１０から取得されるグローバル送信時刻ＯＴと、検証対象となる各ＥＣＵ２０～３０から取得される時刻レコード種情報とに基づき、グローバル時間に対する各ＥＣＵ２０～３０の同期ローカル時間の同期状態を検証する。

　続くＳ５４０では、時刻検証ＥＣＵ４０は、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０のすべてについて時刻検証を終了したか否かを判定し、終了していれば処理をＳ５５０に移行し、終了していなければ処理をＳ５２０に戻す。

　Ｓ５５０では、時刻検証ＥＣＵは、結果通知メッセージＶＭを生成、送信して処理を終了する。結果通知メッセージＶＭは、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０のそれぞれについて用意されたＶＲテーブルに記録されたすべての情報が含まれてもよい。

　なお、ブリッジＥＣＵ２０は、時刻検証ＥＣＵ４０から受信した結果通知メッセージＶＭを、マスタＥＣＵ１０及び複数のスレーブＥＣＵ３０のそれぞれに転送する。

　［１－６．異常時動作例］
　ブリッジＥＣＵ２０は、通常時には、許容上限時間内の間隔で、第１同期メッセージＳＹを繰り返し受信する。しかし、許容上限時間を超えて第１同期メッセージＳＹを受信できなかった場合（すなわち、Ｓ３２０－ＹＥＳの場合）は、マスタＥＣＵ１０に異常が生じているとみなして、マスタ代行処理を実行する。マスタ代行処理は、マスタＥＣＵ１０の代わりに、ブリッジＥＣＵ２０が、第１同期メッセージＳＹ及び第２同期メッセージＦＵを送信する処理である。なお、許容上限時間は、マスタＥＣＵ１０の送信タイミングの制御に基づいて変更されてもよい。

　また、ブリッジＥＣＵ２０は、第１同期メッセージＳＹの受信後、許容待機時間内に第２同期メッセージＦＵを受信できなかった場合（すなわち、Ｓ３６０－ＮＯの場合）も、マスタＥＣＵ１０に異常が生じたと判定して、マスタ代行処理を実行する。

　ブリッジＥＣＵ２０がマスタ代行処理を実行することにより、マスタＥＣＵ１０に異常が生じた場合でも、時刻同期を必要とする処理を継続することが可能となる。

　時刻検証ＥＣＵ４０は、マスタレコード通知メッセージＭＭを受信できなかった場合は、ブリッジレコード通知メッセージＢＭ及びスレーブレコード通知メッセージＳＭを受信しても、時刻検証を行うことができないため、結果通知メッセージＶＭを送信しない。

　また、レコード通知メッセージＭＭ，ＢＭ，ＳＭを送信した各ＥＣＵ１０～３０は、返信許容時間を結果しても結果通知メッセージＶＭを受信できない場合、何らかの異常が生じていることを認識でき、異常に対処することが可能となる。

　また、結果通知メッセージＶＭを受信した各ＥＣＵ１０～３０は、結果通知メッセージＶＭに示された検証結果の内容から、時刻同期の状態を確認でき、時刻同期の状態に異常がある場合は、その異常に対処することが可能となる。

　［１－７．効果］
　以上詳述した第１実施形態によれば、以下の効果を奏する。

　（１ａ）時刻同期システム１では、各ＥＣＵ１０～３０が持つ時刻レコード情報を、時刻検証ＥＣＵ４０に送信する。時刻検証ＥＣＵ４０は、マスタＥＣＵ１０から受信した時刻レコード情報と、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０のそれぞれから受信した時刻レコード情報とに基づいて、時刻同期に関する検証情報を算出する。時刻検証ＥＣＵ４０は、算出された時刻同期に関する情報を結果通知メッセージＶＭによって、各ＥＣＵ１０～３０に送信する。各ＥＣＵ１０～３０は、結果通知メッセージＶＭに示された情報と、ＥＣＵ１０～３０のそれぞれで算出される時刻同期に関する情報とを比較することで、各ＥＣＵ１０～３０は、時刻同期の状態を速やかに判定できる。

　［１－８．用語の対応］
　第１実施形態において、マスタＥＣＵ１０が本開示におけるマスタ装置に相当し、ブリッジＥＣＵ２０及び複数のスレーブＥＣＵ３０が本開示におけるスレーブ装置に相当し、時刻検証ＥＣＵ４０が本開示における時刻検証装置に相当する。ＴＭＴＲテーブルに記録されマスタレコード通知メッセージＭＭで送信される時刻レコード情報が本開示におけるマスタ検証用情報に相当する。ＴＳＴＲテーブル及びＳＴＢＲテーブルに記録され、ブリッジレコード通知メッセージＢＭ及びスレーブレコード通知メッセージＳＭで送信される時刻レコード情報がスレーブ検証用情報に相当する。ＶＤテーブルに記録され結果通知メッセージＶＭで送信される情報が検証情報に相当する。Ｓ１２０，Ｓ１５０が本開示における同期メッセージ送信部に相当し、Ｓ１６０が本開示におけるマスタ情報送信部に相当する。Ｓ３９０が本開示における同期実行部に相当し、Ｓ４００が本開示におけるスレーブ情報送信部に相当する。Ｓ５３０が本開示における検証実行部に相当し、Ｓ５５０が本開示における結果送信部に相当する。図１８のＳ２３０、並びに図１０及び図１１のＳ４３０が本開示における異常判定部に相当する。

　［２．第２実施形態］
　［２－１．第１実施形態との相違点］
　第２実施形態は、基本的な構成は第１実施形態と同様であるため、相違点について以下に説明する。なお、第１実施形態と同じ符号は、同一の構成を示すものであって、先行する説明を参照する。

　前述した第１実施形態では、マスタＥＣＵ１０がブリッジＥＣＵ２０に対して定期的に第１同期メッセージＳＹを送信するように構成されている。第２実施形態では、時刻同期の検証結果に基づいて、第１同期メッセージＳＹの送信間隔を変更することで送信タイミングを変化させる点で、第１実施形態と相違する。

　第２実施形態は、マスタ時刻処理のＳ１７０にて実行される、検証確認処理の内容が一部異なる以外は、第１実施形態と同様である。

　［２－２．処理］
　第２実施形態のマスタＥＣＵ１０が実行する検証確認処理について、図１９のフローチャートを用いて説明する。なお、Ｓ２１０～Ｓ２３０の処理は、第１実施形態の場合と同様である。

　但し、マスタＥＣＵ１０は、Ｓ２３０にて肯定判定した場合は、処理をＳ２５０に移行する。また、マスタＥＣＵ１０は、Ｓ２２０にて肯定判定した場合、又はＳ２３０にて否定判定した場合は、処理をＳ２８０に移行する。

　Ｓ２５０では、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信間隔が上限値未満であるか否かを判定し、送信間隔が上限値未満であれば、処理をＳ２６０に移行し、送信間隔が所定値以上であれば、検証確認処理を終了する。

　Ｓ２６０では、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信間隔を変更するための制御を行う。具体的には現在の第１同期メッセージＳＹの送信間隔より送信間隔が長くなるように変更を行う。

　続くＳ２７０では、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信間隔を変更した旨をブリッジＥＣＵ２０に通知して、検証確認処理を終了する。

　Ｓ２８０では、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信間隔を、初期化する。具体的には、選択可能な送信間隔の設定値の中で、最も短い値である初期値に設定する。

　続くＳ２９０では、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信間隔を初期値に戻したことを、ブリッジＥＣＵ２０に通知して、検証確認処理を終了する。なお、Ｓ２８０及びＳ２９０の処理は、図１８のＳ２４０に示された異常対処処理の一例である。

　先のＳ２６０において、マスタＥＣＵ１０は、第１同期メッセージＳＹの送信間隔を、例えば、Ｓ２６０が実行される毎に、送信間隔の現在値に所定値を加算することで変更してもよい。また、Ｓ２６０では、マスタＥＣＵ１０は、先のＳ２３０にて検証結果が正常であると連続して判定された回数（以下、正常回数）カウントし、正常回数に対して予め対応づけられた送信間隔に変更してもよい。具体的には、例えば、検証結果の正常回数が５回、１５回及び３０回になった際に第１同期メッセージＳＹの送信間隔を変更してもよい。この場合、検証結果の正常回数が３０回以上の場合における送信間隔は、検証結果の正常回数が１５～２９回の場合における送信間隔より長く設定される。また、検証結果の正常回数が１５～２９回の場合における送信間隔は検証結果の正常回数が５～１４回の送信間隔より長く設定される。検証結果の正常回数が５～１４回の場合における送信間隔は検証結果の正常回数が０～４回の場合における送信間隔（すなわち、初期値）より長く設定される。第１同期メッセージＳＹの送信間隔を変更する際の閾値となる正常回数は上記の５回、１５回及び３０回に限定されることはない。また、第１同期メッセージＳＹの送信間隔の長さは、上記のように４パターンに限定されることはない。正常回数に応じて第１同期メッセージＳＹの送信間隔を変更する場合、Ｓ２８０で第１同期メッセージＳＹの送信間隔が初期化される毎に、正常回数も０にリセットする。

　［２－３．効果］
　以上詳述した第２実施形態によれば、前述した第１実施形態の効果（１ａ）を奏し、さらに、以下の効果を奏する。

　（２ａ）本実施形態によれば、時刻検証の検証結果に従って、同期状態の異常が検出された場合には、速やかに異常に対処する処理を実行し、同期状態が正常である状態が長く続くほど、第１同期メッセージＳＹの送信間隔を長くしている。従って、同期状態の異常（すなわち、時刻のずれ）に速やかに対処できると共に、同期状態に応じて時刻同期の検証を実行する頻度が最適化されるため、時刻同期の検証に要する処理負荷及び通信負荷を抑制することができる。

　［２－４．用語の対応］
　第２実施形態において、Ｓ２３０が本開示における同期状態判定部に相当し、Ｓ２５０～Ｓ２６０が本開示における送信間隔制御部に相当する。

　［３．第３実施形態］
　［３－１．第１実施形態との相違点］
　第２実施形態は、基本的な構成は第１実施形態と同様であるため、相違点について以下に説明する。なお、第１実施形態と同じ符号は、同一の構成を示すものであって、先行する説明を参照する。

　前述した第１実施形態では、マスタＥＣＵ１０は、ブリッジＥＣＵ２０に対して第１同期メッセージＳＹ及び第２同期メッセージＦＵを送信する毎に、マスタレコード通知メッセージＭＭを送信するように構成されている。第３実施形態では、予め設定されたレコード送信条件が成立した場合に、マスタレコード通知メッセージＭＭを送信する点で、第１実施形態と相違する。

　第３実施形態は、マスタ時刻処理の内容が一部異なる以外は、第１実施形態と同様である。

　［３－２．処理］
　第３実施形態のマスタＥＣＵ１０が実行するマスタ時刻処理について、図２０のフローチャートを用いて説明する。なお、Ｓ１２５，Ｓ１５２，Ｓ１５４，Ｓ１５６，Ｓ１６５が追加されている以外は、第１実施形態の場合と同様である。

　すなわち、マスタＥＣＵ１０は、Ｓ１２０にて第１同期メッセージＳＹを送信すると、続くＳ１２５では、第１同期メッセージＳＹの送信回数をカウントする第１カウンタＣ１を１増加させて、処理をＳ１３０に進める。

　マスタＥＣＵ１０は、Ｓ１５０にて第２同期メッセージＦＵを送信すると、続くＳ１５２では、第２同期メッセージＦＵの送信回数をカウントする第２カウンタＣ２を１増加させる。

　続くＳ１５４では、マスタＥＣＵ１０は、レコード送信条件が成立しているか否かを判定する成立判定処理を実行する。

　続くＳ１５６では、マスタＥＣＵ１０は、成立判定処理の結果、レコード送信条件が成立していると判定されたか否かを判定し、成立していると判定されていれば、処理をＳ１６０に移行し、成立していないと判定されていれば、マスタ時刻処理を終了する。

　マスタＥＣＵは、Ｓ１６０にて、マスタレコード通知メッセージＭＭを送信すると、続くＳ１６５では、マスタレコード通知メッセージＭＭの送信回数をカウントする第３カウンタＣ３を１増加させて、処理をＳ１７０に進める。

　次に、マスタＥＣＵ１０が、Ｓ１５４で実行する成立判定処理について、図２１のフローチャートを用いて説明する。

　成立判定処理が開始されると、マスタＥＣＵ１０は、Ｓ６１０にて、第３カウンタＣ３が、第１閾値ＴＨ１未満であるか否かを判定し、第１閾値所定値ＴＨ１未満であれば、処理をＳ６２０に移行し、第１閾値ＴＨ１以上であれば、処理をＳ６３０に移行する。

　Ｓ６２０では、マスタＥＣＵ１０は、第１カウンタＣ１又は第２カウンタＣ２が第２閾値ＴＨ２以上であるか否かを判定し、第２閾値ＴＨ２以上であれば処理をＳ６４０に移行し、第２閾値ＴＨ２未満であれば成立判定処理を終了する。

　Ｓ６３０では、マスタＥＣＵ１０は、第１カウンタＣ１又は第２カウンタＣ２が第３閾値ＴＨ３以上であるか否かを判定し、第３閾値ＴＨ３以上であれば処理をＳ６４０に移行し、第３閾値ＴＨ３未満であれば成立判定処理を終了する。

　Ｓ６４０では、マスタＥＣＵ１０は、レコード送信条件が成立したと判定する。

　続くＳ６５０では、マスタＥＣＵ１０は、第１カウンタＣ１及び第２カウンタＣ２を０に初期化して、成立判定処理を終了する。

　すなわち、マスタＥＣＵ１０は、マスタレコード通知メッセージＭＭの送信回数がＴＨ１回未満の間、第１同期メッセージＳＹ又は第２同期メッセージＦＵをＴＨ２回送信する毎に、マスタレコード通知メッセージＭＭを１回送信する。マスタＥＣＵ１０は、マスタレコード通知メッセージＭＭの送信回数がＴＨ１回に達した以降は、第１同期メッセージＳＹ又は第２同期メッセージＦＵをＴＨ３回送信する毎に、マスタレコード通知メッセージＭＭを１回送信する。

　例えばＴＨ２＜ＴＨ３である場合、システム起動後は、相対的に高い頻度で時刻検証が実施され、マスタレコード通知メッセージＭＭの送信回数がＴＨ１に達した以降は、相対的に低い頻度で時刻検証が実施されることになる。

　ここでは、成立判定処理が、マスタＥＣＵ１０にて実行される場合について説明したが、成立判定処理は、ブリッジＥＣＵ２０やスレーブＥＣＵ３０に対して同様に適用されてもよい。但し、この場合、ブリッジＥＣＵ２０は、第１同期メッセージＳＹ又は第２同期メッセージＦＵの転送回数、及びブリッジレコード通知メッセージＢＭの送信回数に従って、ブリッジレコード通知メッセージＢＭの送信タイミングを変更するように構成される。また、スレーブＥＣＵ３０は、第１同期メッセージＳＹ又は第２同期メッセージＦＵの受信回数、及びスレーブレコード通知メッセージＳＭの送信回数に従って、スレーブレコード通知メッセージＳＭの送信タイミングを変更するように構成される。

　また、上述の成立判定処理では、Ｓ６１０で第３カウンタＣ３が、第１閾値ＴＨ１未満であるか否かを判定することでマスタレコード通知メッセージＭＭの送信間隔を２段階に制御したが、これに限定されることはない。例えば、Ｓ６１０での判定を複数段にするここと、すなわち、第３カウンタＣ３を複数の異なる閾値と比較することで、マスタレコード通知メッセージＭＭの送信間隔を３以上の段階に制御してもよい。

　［３－３．効果］
　以上詳述した第３実施形態によれば、前述した第１実施形態の効果（１ａ）を奏し、さらに、以下の効果を奏する。

　（３ａ）本実施形態では、レコード送信条件が成立した場合に、マスタレコード通知メッセージＭＭを送信することで、マスタレコード通知メッセージＭＭの送信間隔、ひいては時刻検証処理を実行する頻度を制御している。従って、第２同期メッセージＦＵを送信する毎にマスタレコード通知メッセージＭＭを送信する場合と比較して、時刻同期の検証に要する処理負荷を軽減することができる。

　（３ｂ）本実施形態では、マスタレコード通知メッセージＭＭの送信回数によって、レコード送信条件を制御している。従って、例えば、システム起動後、動作が安定するまでの間は、比較的高頻度で時刻検証処理を実行し、動作が安定すると時刻検証処理の実行頻度を低下させる等、時刻同期の検証頻度を適切に制御することができる。

　［３－４．変形例］
　第３実施形態では、第１カウンタＣ１及び第２カウンタＣ２をいずれも備えているが、第１カウンタＣ１及び第２カウンタＣ２のうちいずれか一つを備えていてもよい。

　第３実施形態では、マスタＥＣＵ１０は、マスタレコード通知メッセージＭＭの送信回数（すなわち、第３カウンタＣ３）によって、マスタレコード通知メッセージＭＭの送信頻度を変化させるように構成されている。マスタＥＣＵ１０は、マスタレコード通知メッセージＭＭの送信回数に関わらず、常に、第１同期メッセージＳＹ又は第２同期メッセージＦＵを複数回（例えば、２回）送信する毎に、マスタレコード通知メッセージＭＭを送信するようにしてもよい。この場合、図２１に示す成立判定処理において、Ｓ６１０及びＳ６３０の処理を省略すればよい。

　第３実施形態では、レコード送信条件が成立した場合に、マスタレコード通知メッセージＭＭを送信するように構成されている。反対に、通常時は、マスタレコード通知メッセージＭＭを一定の検証実施タイミングで送信し、レコード停止条件が成立した場合に、マスタレコード通知メッセージＭＭの送信を停止するように構成されてもよい。この場合、例えば、送信停止の効果を、レコード停止条件が成立した検証実施タイミングに限定し、次の検証実施タイミングでは、マスタレコード通知メッセージＭＭの送信を再開してもよい。

　第３実施形態では、マスタＥＣＵ１０は、第１同期メッセージＳＹ、第２同期メッセージＦＵ、及びマスタレコード通知メッセージＭＭの送信回数に従って、時刻同期の検証を実施するタイミングを制御している。マスタＥＣＵ１０は、第１同期メッセージＳＹ又は第２同期メッセージＦＵに、時刻同期の検証を実施することを要求する検証要求情報を付加することによって、時刻同期の検証を実施するタイミングを制御してもよい。具体的には、マスタＥＣＵ１０は、検証要求情報を付加した第１同期メッセージＳＹ又は第２同期メッセージＦＵを送信した場合に、レコード送信条件が成立したと判定して、マスタレコード通知メッセージＭＭを送信してもよい。また、ブリッジＥＣＵ２０やスレーブＥＣＵ３０は、検証要求情報が付加された第１同期メッセージＳＹ又は第２同期メッセージＦＵを受信した場合に、ブリッジレコード通知メッセージＢＭ及びスレーブレコード通知メッセージＳＭを送信してもよい。なお、第１同期メッセージＳＹ又は第２同期メッセージＦＵに１ビットのフィールド（以下、時刻同期検証用フィールド）を設け、「１」の場合に時刻同期の検証を実施することを要求しているとしてもよい。また、第１同期メッセージＳＹ又は第２同期メッセージＦＵに時刻同期検証用フィールドが存在しない場合、又は、時刻同期検証フィールドが「０」の場合は時刻同期の検証を実施することを要求していないとしてもよい。

　第３実施形態では、マスタＥＣＵ１０は、レコード送信条件の成立を、第１同期メッセージＳＹ又は第２同期メッセージＦＵの送信回数と第２閾値ＴＨ２又は第３閾値ＴＨ３との比較で判定している。マスタＥＣＵ１０は、以下に列挙する特定条件が成立する場合に、レコード送信条件が成立したと判定してもよい。

　＜特定条件＞
・車速が所定値（例えば、５ｋｍ／ｈ）以上であることを検知した場合。
・ＥＣＵ１０～３０のいずれかに外部装置（例えば、診断ツールやリプロツールなど）が接続されたことを検出した場合。
・スレーブＥＣＵ３０としての自動運転を含めた運転支援を行なう運転支援系ＥＣＵにおいて、運転支援機能や自動運転機能（例えば、アダプティブクルーズコントロール及びレーンキープアシストシステムなど）がオンになっていることを検出した場合。
・特定のデータ（例えば、車両機能の更新データや時刻同期の検証を行うこと示す情報を含むデータ）を受信したことを検出した場合。

　なお、特定条件の判定に関わる各情報は、情報を収集するセンサ等からマスタＥＣＵ１０が直接的に受信してもよいし、センサ等からの情報を収集するスレーブＥＣＵ３０からブリッジＥＣＵ２０を介してマスタＥＣＵ１０が間接的に受信してもよい。特定条件の判定に関わる情報には、例えば、車速、外部装置の接続状態、運転支援機能や自動運転機能の作動状態、及び特定のデータ等が含まれてもよい。

　このような特定条件を用いることで、時刻同期の検証頻度を、より適切に制御することができ、各ＥＣＵ１０～４０での処理負荷、各ＥＣＵ１０～４０間での通信負荷を抑制することができる。

　［３－５．用語の対応］
　第３実施形態において、Ｓ１５４が本開示における成立判定部に相当し、Ｓ６１０～Ｓ６２０が本開示における指定回数変更部に相当する。レコード送信条件が本開示における検証用情報送信条件に相当し、第２閾値ＴＨ２及び第３閾値ＴＨ３が本開示における指定回数に相当する。

　［４．他の実施形態］
　以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。

　（４ａ）上述の実施形態では、時刻検証ＥＣＵ４０は、検証結果の内容に関わらず結果通知メッセージＶＭを返信するように構成されているが、検証結果から時刻同期の異常が検出された場合は、結果通知メッセージＶＭを送信しないように構成されてもよい。この場合、時刻検証処理は、図１３のフローチャートに示すように変更してもよい。以下では、図１２のフローチャートとの相違点について説明する。

　すなわち、Ｓ５４０で肯定判定された場合、Ｓ５４２では、時刻検証ＥＣＵ４０は、検証結果から時刻同期の状態が正常であるか否かを判定する。時刻検証ＥＣＵ４０は、時刻同期の状態が正常であると判定した場合は、処理をＳ５５０に移行して、結果通知メッセージＶＭを送信して処理を終了する。時刻検証ＥＣＵ４０は、時刻同期の状態に異常があると判定した場合は、結果通知メッセージＶＭを送信することなく処理を終了する。

　各ＥＣＵ１０～３０は、レコード通知メッセージＭＭ，ＢＭ，ＳＭの送信後、応答許容時間内に結果通知メッセージＶＭの返信がなければ、時刻同期の状態に異常があると判定して、異常に対処する処理を実行できる。なお、図１３のＳ５４２が本開示における送信禁止部に相当する。

　（４ｂ）上述の実施形態では、時刻検証ＥＣＵ４０は、結果通知メッセージＶＭによって、ＶＲテーブルに記録された情報を検証結果として送付しているが、更に、時刻同期の継続又は停止を要求する要求フラグを付加してもよい。この場合、時刻検証処理は、図１４に示すフローチャートのように変更してもよい。以下では、図１２のフローチャートとの相違点について説明する。

　すなわち、Ｓ５４０にて肯定判定された場合、Ｓ５４２では、時刻検証ＥＣＵ４０は、検証結果から時刻同期の状態が正常であるか否かを判定し、正常である場合は処理をＳ５４４に移行し、異常がある場合は処理をＳ５４６に移行する。

　Ｓ５４４では、時刻検証ＥＣＵ４０は、結果通知メッセージＶＭに時刻同期の継続を示す要求フラグを付加して、処理をＳ５５０に進める。

　Ｓ５４６では、時刻検証ＥＣＵ４０は、結果通知メッセージＶＭに時刻同期の停止を示す要求フラグを付加して、処理を５５０に進める。

　各ＥＣＵ１０～３０は、結果通知メッセージＶＭに付加された要求フラグに従って、時刻同期の継続又は停止を行う。なお、図１４のＳ５４２～Ｓ５４６が本開示の情報付加部に相当する。

　（４ｃ）上述の実施形態では、各ＥＣＵ２０～３０の検証結果を含む結果通知メッセージＶＭをブロードキャストで一斉に送信しているが、各ＥＣＵ１０～３０に対して個別に送信してもよい。結果通知メッセージＶＭを個別に送信する場合は、送信先となるＥＣＵに関する検証結果のみを送信してもよい。

　（４ｄ）上述の実施形態では、外部診断ツール６０を接続する外部機器インタフェース５０が、ブリッジＥＣＵ２０に接続されているが、外部機器インタフェース５０は、マスタＥＣＵ１０又は時刻検証ＥＣＵ４０に接続されてもよい。また、外部診断ツール６０は、無線の通信ＩＦを介して、マスタＥＣＵ１０、ブリッジＥＣＵ２０、時刻検証ＥＣＵ４０のいずれかに接続されるように構成されてもよい。

　（４ｅ）上述の実施形態では、時刻検証ＥＣＵ４０が独立したＥＣＵとして構成されているが、時刻検証ＥＣＵ４０としての機能を、図１５に示すように、ブリッジＥＣＵ２０ａが備えたり、図１６に示すように、マスタＥＣＵ１０ａが備えたりしてもよい。

　（４ｆ）上述の実施形態では、同期ローカル時間をグローバル時間に合わせる参照点として、第２同期メッセージＦＵの受信タイミングを用いているが、参照点は任意に設定してもよい。

　（４ｇ）本開示に記載の各ＥＣＵ１０～４０及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の各ＥＣＵ１０～４０及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の各ＥＣＵ１０～４０及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されてもよい。各ＥＣＵ１０～４０に含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、一つあるいは複数のハードウェアを用いて実現されてもよい。

　（４ｈ）上記実施形態における１つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、１つの構成要素が有する１つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、１つの構成要素によって実現したり、複数の構成要素によって実現される１つの機能を、１つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加又は置換してもよい。

　（４ｉ）上述した時刻同期システム１、時刻検証装置４０の他、当該時刻検証装置４０としてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実体的記録媒体、時刻検証方法など、種々の形態で本開示を実現することもできる。

　［５．本明細書が開示する技術思想］
　［項目１］
　通信ネットワークを介して接続されたマスタ装置（１０）、１つ以上のスレーブ装置、（２０，３０）及び時刻検証装置（４０）を備え、
　前記マスタ装置は、
　前記１つ以上のスレーブ装置のそれぞれに対して、当該マスタ装置が有するクロックでカウントされるグローバル時間で示された送信時刻を含む同期メッセージを繰り返し送信するように構成された同期メッセージ送信部（Ｓ１２０，Ｓ１５０）と、
　前記同期メッセージの送信時刻を含むマスタ検証用情報を前記時刻検証装置に送信するように構成されたマスタ情報送信部（Ｓ１６０）と、
　を備え、
　前記スレーブ装置は、
　前記同期メッセージを受信することで得られる情報に基づいて、前記グローバル時間が示す時刻に、当該スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行うように構成されたように構成された同期実行部（Ｓ３９０）と、
　前記同期実行部による時刻の同期に用いられた情報を含むスレーブ検証用情報を前記時刻検証装置に送信するように構成されたスレーブ情報送信部（Ｓ４００）と、
　を備え、
　前記時刻検証装置は、
　前記マスタ装置から受信する前記マスタ検証用情報、及び前記１つ以上のスレーブ装置のそれぞれから受信する前記スレーブ検証用情報に基づいて、前記スレーブ装置毎に、前記ローカル時間と前記グローバル時間との同期状態を検証するための検証情報を生成する
ように構成された検証実行部（Ｓ５３０）と、
　前記検証実行部で生成された前記検証情報を、前記１つ以上のスレーブ装置のそれぞれに送信するように構成された結果送信部（Ｓ５５０）と、
　を備える時刻同期システム。

　［項目２］
　項目１に記載の時刻同期システムであって、
　前記時刻検証装置は、
　前記検証情報に基づいて前記同期状態の異常が検出された場合、前記結果送信部による前記検証情報の送信を禁止するように構成された送信禁止部（Ｓ５４２）を更に備え、
　前記マスタ装置及び前記スレーブ装置は、
　前記マスタ検証用情報又は前記スレーブ検証用情報の送信後、許容時間内に検証情報を受信しない場合、前記同期状態の異常があると判定するように構成された異常判定部（Ｓ２２０，Ｓ４２０）を更に備える
　時刻同期システム。

　［項目３］
　項目１に記載の時刻同期システムであって、
　前記時刻検証装置は、前記検証情報に基づいて前記時刻同期の状態が正常であるか否かを判定し、判定結果を示す付加情報を前記検証情報に付加する情報付加部（Ｓ５４２～Ｓ５４６）を更に備え、
　前記マスタ装置及び前記スレーブ装置は、前記付加情報に従って、前記時刻同期を継続又は停止するように構成された
　時刻同期システム。

　［項目４］
　項目１から項目３までのいずれか１項に記載の時刻同期システムであって、
　前記時刻検証装置での検証結果を読み取る外部診断ツール（６０）が着脱される外部機器インタフェース（５０）を更に備える
　時刻同期システム。

　［項目５］
　項目１から項目４までのいずれか１項に記載の時刻同期システムであって、
　前記１つ以上のスレーブ装置は、複数のスレーブ装置であり、
　前記複数のスレーブ装置の一つを、ブリッジ装置として、
　前記ブリッジ装置以外の他のスレーブ装置及び前記マスタ装置は、前記ブリッジ装置を介して相互に接続された
　時刻同期システム。

　［項目６］
　項目５に記載の時刻同期システムであって
　前記時刻検証装置は、前記マスタ装置及び前記ブリッジ装置のいずれかと一体に構成された
　時刻同期システム。

　［項目７］
　項目１から項目６のいずれか１項に記載の時刻同期システムであって、
　前記検証実行部は、前記検証情報として、時刻合わせを行った参照点での時刻を前記グローバル時間で示した参照グローバル時刻と、前記ローカル時間で示した参照ローカル時刻との差分を表す時間オフセット、及び前記参照点間の時間長を前記グローバル時間で示した値と、前記ローカル時間で示した値との差である時間偏差のうち、少なくとも一つを算出する
　時刻同期システム。

　［項目８］
　項目１から項目７までのいずれか１項に記載の時刻同期システムであって、
　前記マスタ装置は、
　前記時刻検証装置から受信する前記検証情報に従って、前記同期状態が正常であるか否かを判定するように構成された同期状態判定部（Ｓ２３０）と、
　前記同期状態判定部での判定結果に従い、前記同期状態が正常である状態の回数に応じて、前記同期メッセージ送信部による前記同期メッセージの送信間隔を変更するように構成された送信間隔制御部（Ｓ２５０～Ｓ２６０）と、
　を更に備える
時刻同期システム。

　［項目９］
　項目８に記載の時刻同期システムであって、
　送信間隔制御部は、前記同期状態判定部での判定結果に従い、前記同期状態が正常である状態が継続するほど、前記同期メッセージ送信部による前記同期メッセージの送信間隔が長くなるように、該送信間隔を変更するように構成される
　時刻同期システム。

　［項目１０］
　項目１から項目９までのいずれか１項に記載の時刻同期システムであって、
　前記マスタ情報送信部は、前記同期メッセージが１回又は複数回送信される毎に、前記マスタ検証用情報を送信するように構成された、
　時刻同期システム。

　［項目１１］
　項目１から項目９までのいずれか１項に記載の時刻同期システムであって、
　前記マスタ情報送信部は、前記同期メッセージに時刻同期の検証を実施することを要求する情報を含めた場合に、前記マスタ検証用情報を送信するように構成された、
　時刻同期システム。

　［項目１２］
　項目１から項目１１までのいずれか１項に記載の時刻同期システムであって、
　前記マスタ装置は、
　予め設定された検証用情報送信条件が成立したか否かを判定するように構成された成立判定部（Ｓ１５４）を備え、
　前記マスタ情報送信部は、前記成立判定部にて、前記検証用情報送信条件が成立したと判定された場合に、前記マスタ検証用情報を送信するように構成された
　時刻同期システム。

　［項目１３］
　項目１２に記載の時刻同期システムであって、
　前記成立判定部は、前記同期メッセージが指定回数送信される毎に、前記検証用情報送信条件が成立したと判定するように構成された
　時刻同期システム。

　［項目１４］
　項目１３に記載の時刻同期システムであって、
　前記マスタ装置は、
　前記マスタ検証用情報の送信回数が大きくなるほど、前記指定回数が増大するように、該指定回数を変更するように構成された指定回数変更部（Ｓ６１０～Ｓ６２０）を更に備える
　時刻同期システム。

　［項目１５］
　項目１２から項目１４までのいずれか１項に記載の時刻同期システムであって、
　前記成立判定部は、車速が所定値以上であること、当該時刻同期システムに外部装置が接続されていること、自動運転を含む運転支援に関わる機能が作動状態であること、及び前記同期メッセージに前記同期状態の検証を要求する情報が付加されていることのうち、少なくとも一つを用いて、前記検証用情報送信条件が成立しているか否かを判定するように構成された、
　時刻同期システム。

　［項目１６］
　時刻検証装置であって、
　通信ネットワークを介して接続されたマスタ装置（１０）、１つ以上のスレーブ装置、（２０，３０）を備え、前記マスタ装置が有するクロックでカウントされるグローバル時間が示す時刻に、前記スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行うように構成された時刻同期システムにて用いられ、
　前記マスタ装置から受信するマスタ検証用情報、及び前記１つ以上のスレーブ装置のそれぞれから受信するスレーブ検証用情報に基づいて、前記スレーブ装置毎に、前記ローカル時間と前記グローバル時間との同期状態を検証するための検証情報を生成するように構成された検証実行部（Ｓ５３０）と、
　前記検証実行部で生成された前記検証情報を、前記１つ以上のスレーブ装置のそれぞれに送信するように構成された結果送信部（Ｓ５５０）と、
　を備え、
　前記マスタ検証用情報は、前記グローバル時間で示された同期メッセージの送信時刻を含み、
　前記スレーブ検証用情報は、前記同期メッセージを受信することで得られ、前記時刻同期に用いられる情報を含む、
　時刻検証装置。

　［項目１７］
　通信ネットワークを介して接続されたマスタ装置（１０）、１つ以上のスレーブ装置、（２０，３０）及び時刻検証装置（４０）を備える時刻同期システムにおける時刻検証方法であって、
　前記マスタ装置は、
　前記１つ以上のスレーブ装置のそれぞれに対して、当該マスタ装置が有するクロックでカウントされるグローバル時間で示された送信時刻を含む同期メッセージを繰り返し送信し（Ｓ１２０，Ｓ１５０）、
　前記同期メッセージの送信時刻を含むマスタ検証用情報を前記時刻検証装置に送信し（Ｓ１６０）、
　前記スレーブ装置は、
　前記同期メッセージを受信することで得られる情報に基づいて、前記グローバル時間が示す時刻に、当該スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行い（Ｓ３９０）、
　前記時刻同期に用いられた情報を含むスレーブ検証用情報を前記時刻検証装置に送信し（Ｓ４００）、
　前記時刻検証装置は、
　前記マスタ装置から受信する前記マスタ検証用情報、及び前記１つ以上のスレーブ装置のそれぞれから受信する前記スレーブ検証用情報に基づいて、前記スレーブ装置毎に、前記ローカル時間と前記グローバル時間との同期状態を検証するための検証情報を生成し（Ｓ５３０）、
　生成された前記検証情報を、前記１つ以上のスレーブ装置のそれぞれに送信する（Ｓ５５０）、
　時刻検証方法。

Claims

　通信ネットワークを介して接続されたマスタ装置（１０）、１つ以上のスレーブ装置、（２０，３０）及び時刻検証装置（４０）を備え、
　前記マスタ装置は、
　前記１つ以上のスレーブ装置のそれぞれに対して、当該マスタ装置が有するクロックでカウントされるグローバル時間で示された送信時刻を含む同期メッセージを繰り返し送信するように構成された同期メッセージ送信部（Ｓ１２０，Ｓ１５０）と、
　前記同期メッセージの送信時刻を含むマスタ検証用情報を前記時刻検証装置に送信するように構成されたマスタ情報送信部（Ｓ１６０）と、
　を備え、
　前記スレーブ装置は、
　前記同期メッセージを受信することで得られる情報に基づいて、前記グローバル時間が示す時刻に、当該スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行うように構成されたように構成された同期実行部（Ｓ３９０）と、
　前記同期実行部による時刻の同期に用いられた情報を含むスレーブ検証用情報を前記時刻検証装置に送信するように構成されたスレーブ情報送信部（Ｓ４００）と、
　を備え、
　前記時刻検証装置は、
　前記マスタ装置から受信する前記マスタ検証用情報、及び前記１つ以上のスレーブ装置のそれぞれから受信する前記スレーブ検証用情報に基づいて、前記スレーブ装置毎に、前記ローカル時間と前記グローバル時間との同期状態を検証するための検証情報を生成するように構成された検証実行部（Ｓ５３０）と、
　前記検証実行部で生成された前記検証情報を、前記マスタ装置及び前記１つ以上のスレーブ装置のそれぞれに送信するように構成された結果送信部（Ｓ５５０）と、
　を備える時刻同期システム。
　請求項１に記載の時刻同期システムであって、
　前記時刻検証装置は、
　前記検証情報に基づいて前記同期状態の異常が検出された場合、前記結果送信部による前記検証情報の送信を禁止するように構成された送信禁止部（Ｓ５４２）を更に備え、
　前記マスタ装置及び前記スレーブ装置は、
　前記マスタ検証用情報又は前記スレーブ検証用情報の送信後、許容時間内に前記検証情報を受信しない場合、前記同期状態の異常があると判定するように構成された異常判定部（Ｓ２２０，Ｓ４２０）を更に備える
　時刻同期システム。
　請求項１に記載の時刻同期システムであって、
　前記時刻検証装置は、前記検証情報に基づいて前記時刻同期の状態が正常であるか否かを判定し、判定結果を示す付加情報を前記検証情報に付加する情報付加部（Ｓ５４２～Ｓ５４６）を更に備え、
　前記マスタ装置及び前記スレーブ装置は、前記付加情報に従って、前記時刻同期を継続又は停止するように構成された
　時刻同期システム。
　請求項１から請求項３までのいずれか１項に記載の時刻同期システムであって、
　前記時刻検証装置での検証結果を読み取る外部診断ツール（６０）が着脱される外部機器インタフェース（５０）を更に備える
　時刻同期システム。
　請求項１から請求項３までのいずれか１項に記載の時刻同期システムであって、
　前記１つ以上のスレーブ装置は、複数のスレーブ装置であり、
　前記複数のスレーブ装置の一つを、ブリッジ装置として、
　前記ブリッジ装置以外の他のスレーブ装置及び前記マスタ装置は、前記ブリッジ装置を介して相互に接続された
　時刻同期システム。
　請求項５に記載の時刻同期システムであって
　前記時刻検証装置は、前記マスタ装置及び前記ブリッジ装置のいずれかと一体に構成された
　時刻同期システム。
　請求項１から請求項３のいずれか１項に記載の時刻同期システムであって、
　前記検証実行部は、前記検証情報として、時刻合わせを行った参照点での時刻を前記グローバル時間で示した参照グローバル時刻と、前記ローカル時間で示した参照ローカル時刻との差分を表す時間オフセット、及び前記参照点間の時間長を前記グローバル時間で示した値と、前記ローカル時間で示した値との差である時間偏差のうち、少なくとも一つを算出する
　時刻同期システム。
　請求項１に記載の時刻同期システムであって、
　前記マスタ装置は、
　前記時刻検証装置から受信する前記検証情報に従って、前記同期状態が正常であるか否かを判定するように構成された同期状態判定部（Ｓ２３０）と、
　前記同期状態判定部での判定結果に従い、前記同期状態が正常である状態の回数に応じて、前記同期メッセージ送信部による前記同期メッセージの送信間隔を変更するように構成された送信間隔制御部（Ｓ２５０～Ｓ２６０）と、
　を更に備える
　時刻同期システム。
　請求項１に記載の時刻同期システムであって、
　前記マスタ情報送信部は、前記同期メッセージが１回又は複数回送信される毎に、前記マスタ検証用情報を送信するように構成された、
　時刻同期システム。
　請求項１に記載の時刻同期システムであって、
　前記マスタ装置は、
　予め設定された検証用情報送信条件が成立したか否かを判定するように構成された成立判定部（Ｓ１５４）を備え、
　前記マスタ情報送信部は、前記成立判定部にて、前記検証用情報送信条件が成立したと判定された場合に、前記マスタ検証用情報を送信するように構成された
　時刻同期システム。
　請求項１０に記載の時刻同期システムであって、
　前記成立判定部は、前記同期メッセージが指定回数送信される毎に、前記検証用情報送信条件が成立したと判定するように構成された
　時刻同期システム。
　請求項１１に記載の時刻同期システムであって、
　前記マスタ装置は、
　前記マスタ検証用情報の送信回数が大きくなるほど、前記指定回数が増大するように、該指定回数を変更するように構成された指定回数変更部（Ｓ６１０～Ｓ６２０）を更に備える
　時刻同期システム。
　請求項１０に記載の時刻同期システムであって、
　前記成立判定部は、車速が所定値以上であること、当該時刻同期システムに外部装置が接続されていること、自動運転を含む運転支援に関わる機能が作動状態であること、及び前記同期メッセージに前記同期状態の検証を要求する情報が付加されていることのうち、少なくとも一つを用いて、前記検証用情報送信条件が成立しているか否かを判定するように構成された、
　時刻同期システム。
　時刻検証装置であって、
　通信ネットワークを介して接続されたマスタ装置（１０）、１つ以上のスレーブ装置、（２０，３０）を備え、前記マスタ装置が有するクロックでカウントされるグローバル時間が示す時刻に、前記スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行うように構成された時刻同期システムにて用いられ、
　前記マスタ装置から受信するマスタ検証用情報、及び前記１つ以上のスレーブ装置のそれぞれから受信するスレーブ検証用情報に基づいて、前記スレーブ装置毎に、前記ローカル時間と前記グローバル時間との同期状態を検証するための検証情報を生成するように構成された検証実行部（Ｓ５３０）と、
　前記検証実行部で生成された前記検証情報を、前記１つ以上のスレーブ装置のそれぞれに送信するように構成された結果送信部（Ｓ５５０）と、
　を備え、
　前記マスタ検証用情報は、前記グローバル時間で示された同期メッセージの送信時刻を含み、
　前記スレーブ検証用情報は、前記同期メッセージを受信することで得られ、前記時刻同期に用いられる情報を含む、
　時刻検証装置。
　通信ネットワークを介して接続されたマスタ装置（１０）、１つ以上のスレーブ装置、（２０，３０）及び時刻検証装置（４０）を備える時刻同期システムにおける時刻検証方法であって、
　前記マスタ装置は、
　前記１つ以上のスレーブ装置のそれぞれに対して、当該マスタ装置が有するクロックでカウントされるグローバル時間で示された送信時刻を含む同期メッセージを繰り返し送信し（Ｓ１２０，Ｓ１５０）、
　前記同期メッセージの送信時刻を含むマスタ検証用情報を前記時刻検証装置に送信し（Ｓ１６０）、
　前記スレーブ装置は、
　前記同期メッセージを受信することで得られる情報に基づいて、前記グローバル時間が示す時刻に、当該スレーブ装置が有するクロックでカウントされるローカル時間が示す時刻を同期させる時刻同期を行い（Ｓ３９０）、
　前記時刻同期に用いられた情報を含むスレーブ検証用情報を前記時刻検証装置に送信し（Ｓ４００）、
　前記時刻検証装置は、
　前記マスタ装置から受信する前記マスタ検証用情報、及び前記１つ以上のスレーブ装置のそれぞれから受信する前記スレーブ検証用情報に基づいて、前記スレーブ装置毎に、前記ローカル時間と前記グローバル時間との同期状態を検証するための検証情報を生成し（Ｓ５３０）、
　生成された前記検証情報を、前記１つ以上のスレーブ装置のそれぞれに送信する（Ｓ５５０）、
　時刻検証方法。