特許 7730301 電子制御システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2025-08-19

(45)【発行日】2025-08-27

(54)【発明の名称】電子制御システム

(51)【国際特許分類】

   H04L 43/0823 20220101AFI20250820BHJP

   H04L 41/06 20220101ALI20250820BHJP

【ＦＩ】

H04L43/0823

H04L41/06

【請求項の数】 6

(21)【出願番号】P 2022031175

(22)【出願日】2022-03-01

(65)【公開番号】P2023127404

(43)【公開日】2023-09-13

【審査請求日】2024-11-01

(73)【特許権者】

【識別番号】509186579

【氏名又は名称】Ａｓｔｅｍｏ株式会社

(74)【代理人】

【識別番号】110002572

【氏名又は名称】弁理士法人平木国際特許事務所

(72)【発明者】

【氏名】池田 康浩

(72)【発明者】

【氏名】新保 健一

(72)【発明者】

【氏名】植松 裕

(72)【発明者】

【氏名】鳥羽 忠信

(72)【発明者】

【氏名】坂本 英之

【審査官】宮島 郁美

(56)【参考文献】

【文献】特開２０１５－１１３００２（ＪＰ，Ａ）

【文献】特開２０２１－０６１５３８（ＪＰ，Ａ）

【文献】特開２０１８－０７９７２０（ＪＰ，Ａ）

【文献】特開２０１９－１２５８６７（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ１２／００－１３／１８，４１／００－６９／４０

(57)【特許請求の範囲】

【請求項1】

第一電子制御装置及び複数の第二電子制御装置を有する電子制御システムであって、
前記第一電子制御装置は、
前記複数の第二電子制御装置から出力された信号を受信し、
前記複数の第二電子制御装置から受信した信号を処理して処理データを生成し、
該生成した処理データを記憶部に上書き保存し、
少なくとも一つの前記第二電子制御装置との間に通信エラーが発生した場合に、該通信エラーの発生を検知した時点に前記記憶部に保存されていた、全ての前記第二電子制御装置から受信した信号から生成した前記処理データをエラー発生時データとして上書きせずに保存し、
前記複数の第二電子制御装置の各々は、
前記電子制御システムが搭載される車両の情報を取得し、
該情報を処理して処理信号を生成し、
前記通信エラーが発生した場合に、該通信エラーが発生した時点の前後所定時間内に生成した前記処理信号に関する情報を第三記憶部に保存する、
ことを特徴とする電子制御システム。

【請求項2】

請求項１に記載の電子制御システムであって、
前記エラー発生時データは、前記通信エラーの発生を検知した時点から所定の時間だけ遡った時点までの間に全ての前記第二電子制御装置から受信した信号から生成した前記処理データを含む、
ことを特徴とする電子制御システム。

【請求項3】

請求項１に記載の電子制御システムであって、
前記記憶部は、前記処理データを上書き保存する第一記憶部と、前記処理データを上書きせずに保存する第二記憶部を有し、
前記第一電子制御装置は、前記通信エラーの発生を検知したことに応じて、前記エラー発生時データを前記第一記憶部から前記第二記憶部に転送する、
ことを特徴とする電子制御システム。

【請求項4】

請求項１に記載の電子制御システムであって、
前記電子制御システムが搭載される車両の外部との間で通信可能な外部通信部をさらに有し、
前記外部通信部は、前記記憶部に保存された前記処理データを含む情報を前記車両の外部に対して送信する、
ことを特徴とする電子制御システム。

【請求項5】

請求項１に記載の電子制御システムであって、
前記複数の第二電子制御装置の各々は、前記情報を前記通信エラーが解消するまで前記第三記憶部に保存し、該通信エラーが解消した場合に、前記第三記憶部に保存していた前記情報を前記第一電子制御装置に送信する、
ことを特徴とする電子制御システム。

【請求項6】

請求項１に記載の電子制御システムであって、
前記複数の第二電子制御装置は、前記第一電子制御装置に、共通の通信経路を介して接続されているか、またはスイッチング回路を介して選択的に接続されている、
ことを特徴とする電子制御システム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、車両／診断データのメモリ格納方式を制御する電子制御システムに関する。

【背景技術】

【0002】

自動車の高性能化に伴い、各機能を発揮するための電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｉｃａｌ Ｃｏｎｔｒｏｌ Ｕｎｉｔ）の数も増加傾向にある。ＥＣＵの数が多いとＥＣＵ間のネットワーク構成が複雑になり、信号遅延等の問題が生じ得る。このような問題に対して、近年では、ＥＣＵを機能系統ごとにまとめて、それらを中央集中電子制御装置（セントラルＥＣＵ）によってまとめて制御するＺｏｎｅアーキテクチャ構成の導入が検討されている。また、自動運転化に伴い、車両／診断データは増加傾向にある。加えて、小型化・低コストの要求からセントラルＥＣＵ以外のＥＣＵ（以降、他ＥＣＵと記載）は内部メモリの増加を抑制するため、他ＥＣＵによって処理された各種データのセントラルＥＣＵによる管理・保存の需要が高まっている。

【0003】

上記のＺｏｎｅアーキテクチャ構成を採用した場合、他ＥＣＵからセントラルＥＣＵに集められる車両／診断データは他ＥＣＵを経由しない、つまり他ＥＣＵ内に保存されないため、例えば同一の機能系統上の少なくとも１つの他ＥＣＵとセントラルＥＣＵとの間で通信エラーが起こってしまうと、セントラルＥＣＵが管理・保存しているデータの更新タイミングが他ＥＣＵ間で異なってしまうおそれがある。つまり、通信エラーが起こった当該他ＥＣＵの車両／診断データは更新されないが、それ以外の他ＥＣＵの車両／診断データは更新される。すると、通信エラーが生じた時点における他ＥＣＵの車両／診断データは上書きされ、通信エラー発生時の車両全体の情報が得られない。これでは、セントラルＥＣＵで保存したデータを活用した要因分析が困難になってしまう。その中で、異常発生時のデータを確保する方法として、例えば特許文献１がある。

【0004】

特許文献１では、課題として、「異常発生時から記憶処理の実行までに車両状態の検出処理が何度か実行されたとしても、異常発生時における車両状態を確実に記憶する」ことが記載されている。そして、その解決手段として、「車両用異常状態記憶装置１０は、第１車両状態記憶処理部２３によって、車両状態検出処理部２１が各検出周期で検出する車両状態を、インデックス番号付与処理部２２が各車両状態に対応付けて付与したインデックス番号とともに第１記憶部１３に記憶し、異常判定処理部２４が車両状態に異常が発生したと判定した場合に、インデックス番号抽出処理部２５によって、その車両状態に対応するインデックス番号を抽出し、第２車両状態記憶処理部２６によって、検出周期よりも長い周期で設定された所定の記憶周期ごとに、インデックス番号抽出処理部２５が抽出したインデックス番号に対応する車両状態を第２記憶部１４に記憶する」ことが記載されている。

【先行技術文献】

【特許文献】

【0005】

【文献】特開２０１３－１４２６１７号公報

【発明の概要】

【発明が解決しようとする課題】

【0006】

しかしながら、特許文献１に記載の発明では、車両／診断データに対して常時インデックス付与処理を行うため、演算処理負荷が高くなってしまう。また、セントラルＥＣＵに複数ＥＣＵが接続された場合に、異常が発生した当該ＥＣＵの車両データしか第２記憶部に格納されず、異常が発生したＥＣＵ以外の車両データとの更新ミスマッチが起こり、セントラルＥＣＵ内に保存された車両データを使った要因分析時に各ＥＣＵの車両データがそろっておらず、分析が困難になることが課題であった。

【課題を解決するための手段】

【0007】

上記課題を解決するために、本発明に係る電子制御システムは、第一電子制御装置及び複数の第二電子制御装置を有し、第一電子制御装置は、複数の第二電子制御装置から出力された信号を受信し、該複数の第二電子制御装置から受信した信号を処理して処理データを生成し、該生成した処理データを記憶部に上書き保存し、少なくとも一つの第二電子制御装置との間に通信エラーが発生した場合に、該通信エラーの発生を検知した時点に記憶部に保存されていた、全ての第二電子制御装置から受信した信号から生成した処理データをエラー発生時データとして上書きせずに保存する。

【発明の効果】

【0008】

本発明によれば、通信エラー時／直前の各ＥＣＵの車両データがセントラルＥＣＵのストレージに保存することができるため、通信エラー発生時の車両全体の状態を把握し、要因分析ができる。
本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

【図面の簡単な説明】

【0009】

【図1】本発明の実施例１に係る電子制御システムの構成を示すブロック図。

【図2】本発明の実施例１に係る電子制御システムが行う処理を示すフロー図。

【図3】本発明の実施例２に係る電子制御システムの構成を示すブロック図。

【図4】本発明の実施例２に係る電子制御システムが行う処理を示すフロー図。

【図5】本発明の実施例３に係る電子制御システムの構成を示すブロック図。

【図6】本発明の実施例１に係る電子制御装置間の接続構成の一例を示す図。

【図7】本発明の実施例１に係る電子制御装置間の接続構成の他の例を示す図。

【発明を実施するための形態】

【0010】

以下、図面を参照して本電子制御システムとテスト方式に係る実施の形態を説明する。ただし、以下に示す実施形態はあくまでも例示に過ぎず、実施形態で明示しない種々の変形例や技術の適用を排除する意図はない。すなわち、本実施形態を、その趣旨を逸脱しない範囲で種々変形して実施することができる。又、各図は、図中に示す構成要素のみを備えるという趣旨ではなく、他の機能等を含むことができる。

【0011】

［実施例１］
図１は、実施例１に係る電子制御システム１の全体構成を示すブロック図である。車両に搭載される電子制御システム１は、第一電子制御装置（セントラルＥＣＵ１００）と、複数の第二電子制御装置（ＥＣＵ２１０及びＥＣＵ２２０）と、を有する。セントラルＥＣＵ１００は、送受信部１１０、エラー検知部１２０、信号処理部１３０、第一の記憶部（キャッシュ１４０）、データ転送指示部１５０、及び第二の記憶部（ストレージ１６０）を有する。ＥＣＵ２１０、２２０は、車両に搭載される各種の機器（例えば、カメラ、ＬｉＤＡＲ等のレーダーセンシング装置）であり、車両の制御状態や安全性に係る状態に関する情報を取得して、車両／診断データを生成する。なお、本実施例においてはＥＣＵが２台の場合を説明するが、ＥＣＵの台数は複数であればその数に限りはない。

【0012】

送受信部１１０は、ＥＣＵ２１０及びＥＣＵ２２０との間でデータの送受信を行う。エラー検知部１２０は、送受信部１１０とＥＣＵ２１０及びＥＣＵ２２０との間のデータの送受信に関して生じたエラーを検知する。なお、本実施例においてエラーは送受信部１１０とＥＣＵ２１０及びＥＣＵ２２０との間の通信が遮断された通信エラーであるものとする。信号処理部１３０は、送受信部１１０が受信した、ＥＣＵ２１０及びＥＣＵ２２０が処理した信号を処理して処理データを生成する。

【0013】

キャッシュ１４０及びストレージ１６０は、信号処理部１３０が生成した処理データを格納する。本実施例において、キャッシュ１４０の記憶容量はストレージ１６０の記憶容量よりも小さい。他の実施例においても同様である。また、本実施例においてストレージ１６０はセントラルＥＣＵ１００に内蔵されているが、セントラルＥＣＵ１００が搭載される車両内の別の領域に搭載されていてもよい。データ転送指示部１５０は、信号処理部１３０に対し、キャッシュ１４０に格納された処理データをストレージ１６０に転送するように指示する転送指示信号を送信する。そして、本実施例においては、詳しくは後述するがデータ転送指示部１５０はエラー検知部１２０からエラー検知信号を受信した際にデータ転送信号を信号処理部１３０に送信する。

【0014】

本実施例のように複数のＥＣＵ２１０、２２０をセントラルＥＣＵ１００と通信可能に接続することによって、複数のＥＣＵ２１０、２２０が有する不揮発性メモリにすべての車両／診断データを保存せず、セントラルＥＣＵ１００内で保存・管理を行うことが可能になる。なお、ＥＣＵ２１０、２２０は、揮発性メモリを有し、セントラルＥＣＵ１００に送信する前に全データを該メモリに格納してもよい。

【0015】

図２は、本実施例にかかる電子制御システムが行う処理を示すフロー図である。送受信部１１０がＥＣＵ２１０、２２０との間で通信を行っている間、エラー検知部１２０は、送受信部１１０とＥＣＵ２１０、２２０との間の通信にエラーが生じているか否か監視する（ステップＳ２０１）。エラー検知部１２０がエラーを検知しない場合（ステップＳ２０１で“Ｎｏ”）、ＥＣＵ２１０、２２０が処理した車両／診断データは、信号処理部１３０に転送され、信号処理部１３０により処理されて処理データが生成される（ステップＳ２０２）。生成された処理データはまず例えば揮発性メモリにより構成されるキャッシュ１４０に送信され、上書き保存される（ステップＳ２０３）。さらに、任意のタイミングでキャッシュ１４０に格納されたデータを例えば不揮発性メモリから構成されるストレージ１６０に転送して格納し、上書きせずに保存する（ステップＳ２０４）。以降はエラーが生じるまで上記フローを繰り返す。キャッシュ１４０に保存されるデータは上書き保存されるためそれまでの保存されていたデータは消去されてしまう。したがって、所定の時間毎に、キャッシュ１４０よりも大きい記憶容量を有するストレージ１６０に保存することによって、所定の時間毎の処理データを保存することが可能になる。

【0016】

エラー検知部１２０が通信エラーを検知した場合（ステップＳ２０１で“Ｙｅｓ”）、エラー検知部１２０はエラー検知したことを示すエラー検知信号を発行し、データ転送指示部１５０に送信する（ステップＳ２０５）。以下では例えばＥＣＵ２１０と送受信部１１０との間に通信エラーが生じたものとして説明する。エラー検知信号を受信したデータ転送指示部１５０は、キャッシュ１４０に格納されたデータをストレージ１６０に転送するように指示する転送指示信号を発行し、信号処理部１３０に送信する。

【0017】

そして、転送指示信号を受信した信号処理部１３０は、データ転送指示部１５０がエラー検知信号を受信した時点から所定の時間だけ遡った時点までの間にキャッシュ１４０に保存されていた、全てのＥＣＵ２１０、２２０が生成した車両／診断データに対応する処理データを、エラー発生時データとしてストレージ１６０に転送・格納する（ステップＳ２０７）。

【0018】

具体的には、例えば時刻Ｔにおいてデータ転送指示部１５０がエラー検知信号を受信した場合、信号処理部１３０は、時刻ＴからΔｔだけ遡った時刻Ｔ―Δｔまでの間にＥＣＵ２１０、２２０の各々から受信した信号を処理して生成した処理データについて、キャッシュ１４０からストレージ１６０に転送する。

【0019】

その後、通信エラーが解消したか否かを判断する（ステップＳ２０８）。通信エラーが解消した場合（ステップＳ２０８で“Ｙｅｓ”）、ステップＳ２０１に戻る。通信エラーが解消しない場合（ステップＳ２０８で“Ｎｏ”）、ステップＳ２０９に移行し、停車や縮退（自動運転レベルの引き下げ等）等の安全制御を行う。

【0020】

なお、本実施例においてエラーは通信エラーであるとして説明したが、これに限らず、信号異常やＥＣＵの故障であってもよい。また、エラー検知方法は多数あるが、例えば、ＣＲＣチェックやパケットロスカウンタによる判定などが考えられる。

【0021】

本実施例では、上記の構成により、電子制御システムにおいて通信エラーが発生した場合に、エラー時までにキャッシュメモリに格納された任意のデータをストレージに保存することができ、要因分析する際に車両全体の状態が把握できるため、要因分析が容易化できる。これは、車載システムの電子化が進み、複雑化する中で、通信エラーが発生した当該ＥＣＵの車両／診断データだけでは、要因分析が困難であるためである。例えば、通信エラーが生じたＥＣＵが各エリア／ゾーン（前方、後方、左側、右側）の管理を担っている場合に、各エリア／ゾーンの状況を把握した上で、車両制御の根拠や状況把握をする必要があるためである。また、ＥＣＵが各機能（自動運制御、運転支援制御、パワートレイン、車体制御など）を担う場合も同様である。

【0022】

上記について、本実施例に照らし合わせると、次のような問題を解決できる。すなわち、送受信部１１０との間の通信が遮断されているＥＣＵ２１０については、ＥＣＵ２１０が生成する車両／診断データについて時刻Ｔ以降は更新することができないが、送受信部１１０との間の通信が遮断されていないＥＣＵ２２０が生成する車両／診断データについては、時刻Ｔ以降もセントラルＥＣＵ１００に送信され続ける。そして、揮発性メモリであるキャッシュ１４０にはデータが上書き保存され続ける。すなわち、それまで保存していたデータは消去される。したがって、通信エラーがある程度の時間継続した場合、ＥＣＵ２１０と送受信部１１０との間の通信エラーが解消したとしても、時刻ＴにおいてＥＣＵ２２０が生成した車両／診断データは保存されておらず、時刻Ｔにどのような事象が発生してエラーが生じたのか等を分析することができない。

【0023】

しかし、本実施例によれば、時刻ＴにおいてＥＣＵ２１０、２２０が生成した車両／診断データはストレージ１６０に確実に格納される。したがって、ＥＣＵ２１０の通信エラーが解消した場合に、時刻Ｔにおける車両全体の状態を把握することが可能になり、ＥＣＵ２１０に生じた通信エラーの原因やそれに付随する問題の分析に役立てることが可能になる。

【0024】

なお、本実施例においては、ＥＣＵ２１０、２２０と送受信部１１０との間の通信は、それぞれ個別の経路（例えばＥｔｈｅｒｎｅｔやＣＡＮ、またはＳｅｒＤｅｓ）を介して行われていたが、接続方法はこれに限られない。具体的には、図６に示すようにＥＣＵ２１０、２２０が共有する通信バス７００によって送受信部１１０に接続されていてもよい。また、図７に示すように、スイッチング装置８００を介して接続するようにしてもよい。いずれの場合でも、通信経路構成を簡略化することが可能になり、また、例えば同一の機能系統に属するＥＣＵをまとめて共通のバスまたはスイッチング装置を介して送受信部１１０に接続することによって、よりデータの管理を容易に行うことが可能になる。

【0025】

［実施例２］
次に、実施例２に係る電子制御システムについて、図３及び図４を用いて説明する。図３は、本実施例にかかる電子制御システム１の構成の一例を示すブロック図である。本実施例におけるセントラルＥＣＵ１００の構成は実施例１と同様であり、説明を省略する。本実施例においては、セントラルＥＣＵ１００側のみではなく、ＥＣＵ２１０、２２０側でもキャッシュにデータを格納する点が実施例１と異なる。

【0026】

本実施例においてＥＣＵ２１０は、送受信部１１１、エラー検知部１２１、情報処理部１３１、第三記憶部（キャッシュ１４１）、及び情報取得部３００を有する。ＥＣＵ２２０についても同様の構成である。

【0027】

送受信部１１１は、セントラルＥＣＵ１００側の送受信部１１０との間で通信を行う。エラー検知部１２１は、送受信部１１０、１１１間で生じた通信エラーを検知した場合にエラー検知信号を発行し、情報処理部１３１に送信する。情報取得部３００は、カメラやレーダ等のセンシング素子であり、車両制御や安全性に関する情報を取得する。情報処理部１３１は、情報取得部３００が取得した情報を処理し、処理信号を生成する。

【0028】

本実施例においては、エラー検知部１２１が通信エラーを検知した場合に、情報処理部１３１に対してエラー検知信号を送信し、情報処理部１３１は、エラー検知信号の受信に従って、エラー検知部１２１が通信エラーを検知した時点の前後所定時間内に生成された処理信号に関する情報を、通信エラーが解消するまでキャッシュ１４１に格納・保存する。

【0029】

上記処理について図４のフローチャートを用いて説明する。送受信部１１１がセントラルＥＣＵ１００の送受信部１１０との間で通信を行っている間、エラー検知部１２１は、送受信部１１０、１１１間の通信にエラーが生じているか否か監視する（ステップＳ４０１）。エラー検知部１２１がエラーを検知していない場合（ステップＳ４０１で“Ｎｏ”）、情報処理部１３１は、情報取得部３００が取得した情報を処理して処理信号を生成する（ステップＳ４０２）。そして情報処理部１３１は、処理した信号を送受信部１１１に送信する（ステップＳ４０３）。以降はエラーが生じるまで上記フローを繰り返す。

【0030】

エラー検知部１２１が通信エラーを検知した場合（ステップＳ４０１で“Ｙｅｓ”）、エラー検知部１２１は通信エラーを検知したことを示すエラー検知信号を発行し、情報処理部１３１に送信する（ステップＳ４０４）。エラー検知信号を受信した情報処理部１３１は、エラー検知部１２１がエラーを検知した時点の前後所定時間内に生成した処理信号に関する情報を、通信エラーが解消するまでキャッシュ１４１に格納する（ステップＳ４０５）。

【0031】

その後、エラー検知部１２１は通信エラーが解消したか否かを監視する（ステップＳ４０６）。通信エラーが解消した場合（ステップＳ４０６で“Ｙｅｓ”）、情報処理部１３１は、キャッシュ１４１に格納していたデータを送受信部１１１に送信する。通信エラーが解消しない場合（ステップＳ４０６で“Ｎｏ”）、ステップＳ４０８に移行し、停車や縮退（自動運転レベルの引き下げ等）等の安全制御を行う。

【0032】

本実施例では、上記のような処理を行うことにより、実施例１の効果に加えて、セントラルＥＣＵ１００に送信できなかった、通信エラーが生じたＥＣＵが通信エラー発生後に生成したデータを、通信復帰後に送信可能になる。そのため、通信エラーが生じた時点前後に生成されたデータの連続性等を分析することにより詳細に要因分析が可能となり、メンテナンス容易化や設計へのフィードバックを実現することができる。なお、通信復帰時にＥＣＵ２１０からセントラルＥＣＵに送信されるキャッシュデータについてはタイムラグが生じている場合があるが、例えばタイムスタンプ等を用いて信号処理部１３０が同期処理を行うことにより調整することが可能である。

【0033】

なお、通信エラーが解消しなかったり、エラーを生じたＥＣＵが故障してしまったりしても、本実施例によれば、該ＥＣＵを取出しキャッシュからデータログを取得することで、通信エラー発生時の車両の状態を把握することが可能になる。

【0034】

［実施例３］
図５は、本発明の実施例３にかかる電子制御システム１の構成を示すブロック図である。本実施例が実施例１と異なる点は、セントラルＥＣＵ１００が搭載された車両４００の外部（管理センタやユーザ）６００と通信可能な外部通信部５００を有する点である。また、本実施例においては、外部通信部５００は信号処理部１３０と通信可能に構成されており、例えばセンタや携帯端末を有するユーザなどへ任意のタイミングで車両／診断データを転送する、もしくは、前記データを統合、加工したデータを送信することができる。

【0035】

上記の構成により、実施例１及び実施例２の効果に加えて、自動車の運用中におけるリアルタイムなセンタやドライバ通知が可能となり、安全制御や注意喚起、ログ取り、傾向分析などの高信頼なサービス提供が可能になる。

【0036】

以上で説明した本発明の実施例によれば、以下の作用効果を奏する。
（１）本発明に係る電子制御システムは、第一電子制御装置及び複数の第二電子制御装置を有し、第一電子制御装置は、複数の第二電子制御装置から出力された信号を受信し、複数の第二電子制御装置から受信した信号を処理して処理データを生成し、生成した処理データを記憶部に上書き保存し、少なくとも一つの第二電子制御装置との間に通信エラーが発生した場合に、通信エラーの発生を検知した時点に記憶部に保存されていた、全ての第二電子制御装置から受信した信号から生成した処理データをエラー発生時データとして上書きせずに保存する。

【0037】

上記構成により、通信エラー時の各ＥＣＵの車両データがセントラルＥＣＵのストレージに保存することができるため、通信エラー時の車両全体の状態を把握し、要因分析ができる。

【0038】

（２）エラー発生時データは、通信エラーの発生を検知した時点から所定の時間だけ遡った時点までの間に全ての第二電子制御装置から受信した信号から生成した処理データを含む。これにより、通信エラーが生じる直前からデータの連続性等を分析することが可能になり、エラー要因の分析を容易化させることが可能になる。

【0039】

（３）記憶部は、処理データを上書き保存する第一記憶部と、処理データを上書きせずに保存する第二記憶部を有し、第一電子制御装置は、通信エラーの発生を検知したことに応じて、エラー発生時データを第一記憶部から第二記憶部に転送する。これにより、第一記憶部として、不揮発性のストレージメモリである第二記憶部よりも記憶容量の小さい揮発性のキャッシュメモリを採用することが可能になり、装置を小型化することが可能になる。

【0040】

（４）電子制御システムが搭載される車両の外部との間で通信可能な外部通信部をさらに有し、外部通信部は、記憶部に保存された処理データを含む情報を車両の外部に対して送信する。これにより、自動車の運用中におけるリアルタイムなセンタやドライバ通知が可能となり、安全制御や注意喚起、ログ取り、傾向分析などの高信頼なサービス提供が可能になる。

【0041】

（５）複数の第二電子制御装置の各々は、電子制御システムが搭載される車両の情報を取得し、情報を処理して処理信号を生成し、通信エラーが発生した場合に、該通信エラーが発生した時点の前後所定時間内に生成した処理信号に関する情報を第三記憶部に保存する。これにより、必要に応じて記憶部内のデータログを参照することで通信エラー発生後のデータについても取得することが可能になる。

【0042】

（６）複数の第二電子制御装置の各々は、情報を通信エラーが解消するまで第三記憶部に保存し、通信エラーが解消した場合に、第三記憶部に保存していた情報を第一電子制御装置に送信する。これにより、通信エラー時にセントラルＥＣＵに送信できなかった通信エラー発生直後のデータを、通信復帰後に送信可能になり、より詳細に要因分析が可能となり、メンテナンス容易化や設計へのフィードバックを実現することができる。

【0043】

（７）複数の第二電子制御装置は、第一電子制御装置に、共通の通信経路を介して接続されているか、またはスイッチング回路を介して選択的に接続されている。これにより、第二電子制御装置と第一電子制御装置との間の通信経路を簡略化することが可能になる。

【0044】

本発明は、技術的範囲は上記実施の形態に記載の範囲には限定されるものではなく、本発明の主要な特徴から逸脱することなく、様々な変形例が含まれる。そのため、前述の実施例は単なる例示に過ぎず、限定的に解釈してはならない。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能であって、すべて本発明の範囲内のものである。

【符号の説明】

【0045】

１ 電子制御システム、１００ セントラルＥＣＵ（第一電子制御装置）、１４０ キャッシュ（第一記憶部）、１４１ キャッシュ（第三記憶部）、１６０ ストレージ（第二記憶部）、２１０、２２０ ＥＣＵ（第二電子制御装置）、４００ 車両、５００ 外部通信部、６００ 外部、７００ 通信バス、８００ スイッチング装置

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】