WO2015194407A1

WO2015194407A1 - 車載制御装置または車載制御システム

Info

Publication number: WO2015194407A1
Application number: PCT/JP2015/066433
Authority: WO
Inventors: 智大久保; 憲司舛田
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2014-06-18
Filing date: 2015-06-08
Publication date: 2015-12-23
Also published as: EP3159220B1; EP3159220A1; CN106414179A; US20170146118A1; JPWO2015194407A1; CN106414179B; US10221944B2; EP3159220A4; JP6364486B2

Abstract

　現在の電子制御装置内の構成を変えることなく、且つ、最小のシステム変更で車両用自動変速機の電子制御装置の電源リレーの機能故障を正確に検知し、且つ、確実にフェールセーフ状態に移行可能な電源遮断回路診断手法の提供。　車両用自動変速機の電子制御装置（ATCU）に実装されているCANなどのネットワーク通信路を利用することにより、他電子制御装置をATCUの監視装置とし、監視側である他電子制御装置がATCUの遮断回路を制御する。　監視側の他電子制御装置は、ATCUの遮断回路を一定期間遮断し、ATCUからの通信途絶を検知することで診断を行う。

Description

車載制御装置または車載制御システム

　本発明は、車載用の電子制御装置に関する。

　車両制御装置の電子制御化の加速により、昨今の車両には1台当り多数の電子制御装置が搭載されている（特許文献１等参照）。これらの電子制御装置は、バッテリ等の電源から駆動電力が供給されている。また、電源と電子制御装置との間には、通常、駆動電力の供給／遮断手段として電源リレーが挿入されている。また、該電子制御装置が制御する対象装置についても電源リレー、又は電源を供給／遮断する回路が一般的に挿入されている。

　各電子制御装置は、何らかの異常が発生した場合、該当システムを安全方向へ制御する必要があり、一般的には監視マイコンや自身のメインマイコンで異常を検知し、対象装置の電源リレー、又は電源供給回路を遮断することでフェールセーフ状態へ移行する技術が開示されている。

　例えば、エンジンの電子制御装置では、スロットル制御／点火制御／燃料噴射制御を行うメインマイコンは、自分自身が正常か否か、入力系／演算系／出力系／記憶系でそれぞれ自己診断を行っており、なおかつ、サブマイコンのような監視装置を同一電子制御装置内に実装することによりメインマイコンの機能故障を監視し、故障を検知した場合は、該電子制御装置が制御している電子スロットルバルブの電源リレーを遮断し、燃料噴射弁の出力部をハード的に遮断している。
このような構成とすることで、メインマイコン異常により制御対象をフェールセーフ状態へ移行できる保証がなくとも、サブマイコンのような監視装置により確実にフェールセーフへ移行できる技術が知られている。

　また、予め定められた機能を実現するLANで接続された複数の電子制御装置に繋がる電源リレーに対し、一括で制御する電子制御装置を設け、電源リレーの状態によって通信状態の有無を検出し、電源リレーが故障しているか否かを判定する技術が知られている（特許文献２等参照）。

特開２００９-１９６４５３号公報特開２００８-８８８８５号公報

　しかしながら、特許文献１で提案された方式では、電子制御装置内にサブマイコンのような監視装置を実装していることが前提となり、新たに実装するとなると電子制御装置のコストアップに繋がってしまう。

　また、電子制御装置内に監視装置が実装されていない場合、自己診断により機能故障を検出することが出来る可能性はあるが、マイコン内の故障部位（例えば、演算部や出力部）によってはフェールセーフ状態へ移行することができない。

　また、電子制御装置の実装面積などハードウェアの制約により監視装置を実装できない場合があり、この場合も自己診断により機能故障を検出することが出来ても、故障部位によっては、確実にフェールセーフ状態に移行できる保証はない。

　特許文献２については、故障検出対象であるリレーとは異なる、他のリレーを介して電源に接続されている車載電子機器との通信により検出する手法であるため、監視装置と対象リレーが繋がる電子制御装置の他に、比較する為の別の電源リレーに繋がる電子制御装置が必要となり、トータルのシステムコストは上昇する。
また、該文献には、異常検知の手法に主眼が置かれており、異常検知後のシステムとしての振る舞い（フェールセーフ処理）の記載が無い。

　本発明は、上記課題に鑑みてなされたものであり、その目的は、車両用自動変速機の電子制御装置の電源遮断回路の故障を検出することであり、上位電子制御装置により異常を検知し、異常と判断された場合は、車両用自動変速機の電子制御装置に依存せずに安全にフェールセーフ状態へ移行する技術の提供にある。

　上記目的を達成するため、本発明は以下の手段を有することを特徴とする。

　本発明の一態様に係る車両用自動変速機の電子制御装置（以下、ATCU）の監視システムは、ATCUの異常を検出するハードウェアとして独立した上位電子制御装置（以下、監視装置）と、ATCU及び監視装置に駆動電力を供給する電力供給手段と、監視装置に対し、外部から入力される起動用スイッチ信号（以下、IGNSW）により、IGNSWがアクティブレベルの場合に、監視装置に駆動電力を供給する電力供給手段と、電源供給手段と監視装置との間に入れられた、監視装置への電力を供給／遮断する第１リレー（以下、IGNリレー）と、ATCUに対し監視装置が駆動電力の供給の可否を判断し、電力の供給／遮断を制御するするIGNリレーの下流に設置された第２リレー（以下、ATCUリレー）と、ATCUと監視装置にお
いて、診断を行う為の通信ラインを備えており、監視装置は、特定のタイミングでATCUリレーをON／OFFし、そのタイミングと同期して、ATCUからの通信が途絶することを確認することでATCUリレーの故障を確認することを特徴としている。

　他の態様に係る監視装置は、IGNSWがローレベルからアクティブレベルへ変化した場合に、通常制御が実施される前にATCUリレーの故障診断を実施することを特徴としている。

　他の態様に係る監視装置は、IGNSWがローレベルからアクティブレベルへ変化した場合、該マイコンの自己診断を実施し、診断結果が正常の場合にのみ、ATCUリレーをONとしATCUに電力を供給すること、を特徴としている。

　他の態様に係るATCUは、起動された後、該マイコンの自己診断を実施し、診断結果が正常な場合にのみ、前記通信ラインを用いて前記上位制御装置へ遮断回路診断要求を送信することを特徴としている。

　他の態様に係る監視装置は、ATCUから通信ラインを用いて遮断回路診断要求を受信した場合、ATCUリレーをOFFに制御し、ATCUへの給電を遮断することを特徴としている。

　他の態様に係るATCUは、給電を遮断されたATCUが、通信ラインを用いた監視装置との通信を途絶したことを検出することを特徴としている。

　他の態様に係る監視装置は、通信が途絶したことを検知した場合は、ATCUの電源遮断回路診断を正常と判断し、逆に、ATCUリレーをOFFに制御したにも拘らず、ATCUとの通信が成立している場合は、電源遮断回路診断を異常と判断することを特徴としている。

　他の態様に係るATCUは、監視装置より電源遮断回路診断異常の情報を前記通信ラインより受信した場合、フェールセーフ状態、例えば、スタンバイ状態へ移行し、車両用自動変速機の制御、即ち、ソレノイドバルブの油圧制御を行わないことを特徴としている。

　本発明によれば、車両用自動変速機の電子制御装置（ATCU）に限らず、昨今の殆どの電子制御装置に実装されているCANなどのネットワーク通信路を利用することにより、他電子制御装置をATCUの監視装置と見立てることができ、尚且つ、監視側である他電子制御装置がATCUの電源リレーを制御する。

　上記のシステム構成とすることで、監視装置がATCUリレーを意図したタイミングでOFF操作し、この操作によりATCUからの通信状態を確認することにより、ATCUリレーのON/OFF故障を検知することが出来る。

　また、監視装置がATCUの異常を検知した場合、監視側でATCUの電源リレーをOFFすることでATCUの動作を停止することが可能であり、ATCU暴走により電源リレーをOFFすることができずインターロックなど、甚大な被害をもたらすことを防止することができる。

　また、ATCUリレーがON固着の場合には、監視装置がATCUへ故障情報を送信することで、ATCU自身でスタンバイ状態へ移行する等、フェールセーフ処理を行うことが出来る。

　上記より、車両に実装されている他電子制御装置を監視装置とすることで、ATCU自身へ監視回路を実装する必要がなく、システムコストを低減できる利点がある。

本発明の実施形態を示す監視システムの一例を示す図である。初回起動時のELOP－ATCU間の監視手順を示すフローチャートである。通常動作時のELOP－ATCU間の監視手順を示すフローチャートである。電源遮断回路診断手順の説明図である。通常（初回起動）時の電源遮断回路診断タイミングチャートである。 SSOFFディレイ中の復帰時の電源遮断回路診断タイミングチャートである。従来のELOP－ATCUの関係を示すシステム構成図である。 ELOPからの問題データに対する、ATCUでの回答データの算出手順を示すフローチャートである。

　以下、本発明の実施例を、図面を用いて説明する。

　図１から３を用いて本発明の第一の実施例について説明する。

　図１に車両の自動変速機を制御する変速機制御装置（以下、ATCUと称す）１を監視対象とした、本発明の一実施形態を示す。監視対象としては、エンジン、シートベルト、モータ等車両に搭載される他の電装品を制御する電子制御装置であってもよい。

　図１は電動オイルポンプ制御装置(以下、ELOPと称す)２を監視装置としたATCU１の監視システムの概略図である。監視対象となるATCU１、ＡＴＣＵ１とはハードウェアとして独立しており監視側となるELOP２、ELOP２への駆動電力を供給／遮断するIGNリレー３、ELOP２によりON／OFF制御されATCUへ駆動電力を供給／遮断するATCUリレー４、各電子制御装置へ駆動電力を供給する電源（バッテリ、または図示しない発電機であってもよい）５、運転者からの操作によりON／OFF操作されELOP２や各電子制御装置へ駆動電力を供給するか否かを制御するIGNSW６、ATCU１からの指令で自動変速機のクラッチを締結／開放するソレノイドバルブ７を備えている。ATCUリレー４は、電流の供給／遮断が可能なスイッチ機能を有すれば良く、接点移動によりＯＮ／ＯＦＦする機械式リレーであってもよいし、半導体スイッチング素子による半導体リレーであってもよい。

　ATＣＵ１は、複数のソレノイドバルブ７への駆動量の算出、及び出力の切り替えを行う制御回路であるマイコン８と、電源５からの供給電圧を、マイコン８の駆動電圧へ変換し供給する電源供給回路９と、ELOP２と通信を行うための通信I/F回路１０と、マイコン８で算出されたソレノイドバルブ７への駆動量を電圧に変換するドライバ回路１１を備えている。

　ELOP２は、自動変速機の作動油を加圧するオイルポンプへの駆動量の算出、及び出力を行う制御回路であるマイコン１２と、電源５からの供給電圧を、マイコン１２の駆動電圧へ変換し供給する電源供給回路１４と、ATCU１と通信を行うための通信I/F回路１３と、ATCUリレー４をON/OFF制御し、外部の電子制御装置であるATCUへの供給される電力を制御するATCUリレー制御回路１５を備えている。ATCUリレー制御回路１５として、図１ではトランジスタを図示している。ATCUリレー４の駆動に必要な電圧がマイコン１２の出力電圧で足りる場合や、トランジスタをELOP2外部に備える場合には、ELOP２内にトランジスタは必ずしも必要ではない。その場合、ATCUリレー制御回路１５としては、マイコン１２がATCUリレー４を駆動するための出力信号線が該当する。

　ATCU１に実装されている通信I/F回路１０とドライバ回路１１は、ATCUリレー４の電源が直接接続されている。また、マイコン８も電源供給回路９を介して、ATCUリレー４の下流に設けられている。

　電源供給回路９には、IGNリレー３やATCUリレー４を経由せずに電源５からの電力が供給される経路と、IGNリレー３やATCUリレー４を経由して電源５からの電力が供給される経路と、がそれぞれ接続されている。各種リレーを経由した経路からは、運転者によりIGNSW６がONされてIGNリレー３がONした後、ELOP２によりATCUリレー４がONされることで電力が供給される。その後、電源供給回路９はマイコン８等の電子部品に所定の駆動電圧を供給する。マイコン８は、電源供給回路９からの駆動電圧を受けて、所定のリセット処理の後ソレノイドバルブ７の制御を開始する。

　運転者によりIGNSW６がOFFされるとIGNリレー３がOFFされ、各種リレーを経由した経路から電源供給回路９への電力供給が遮断される。ここで電源供給回路９は所定のセルフシャットオフディレイ期間を経てセルフシャットオフ期間に移行し、各種リレーを経由せずに電源５から供給される電圧により、マイコン８からの指示があるまでマイコン８へ駆動電圧を供給する。マイコン８は、セルフシャットオフ期間中に各種学習値の記憶等の処理を行い、電源供給回路９へ駆動電圧供給の停止を指示し、セルフシャットオフ期間を終了する。

　ここで、セルフシャットディレイ期間中はシステム待機状態であり、ATCUとしては何も機能していない状態となる。

　なお、電源供給回路１４も同様に二種類の電源供給経路に接続されている。

　上記、図１の監視システムは、システム起動時、及び定常時にATCU１の異常を検知し、異常時には、フェールセーフ処理として、監視装置がATCUリレー４をOFFにする。

　図９に従来のシステム概略図を説明する。図１と異なり、従来システムでは、ＡＴＣＵリレー４、ATCUリレー制御回路１５、およびその周辺回路が存在しない。

　以降、本実施例におけるATCU１の異常検知処理の流れについて説明する。
図２は、システム起動時のATCU1とELOP２の処理の流れを示す図である。

　まず始めにIGNSW６がON状態になると、IGNリレー３がONになり、ELOP２の電源供給回路１４に電力が供給され、マイコン１２が起動する。

　次に、起動されたマイコン１２は内部機能に故障があるか否か自己診断を行う（Ｓ２１）。ここでの診断は、具体的にはROM／RAM診断、及びレジスタ診断などがある。

　診断NGの場合は、フェールセーフ状態へ移行する（Ｓ２２）。診断OKの場合は、マイコン１２でIGNSW６の電圧状態を取得する（Ｓ２３）。

　次に、IGNSW６の取得電圧が0V（OFF状態）で、ELOP６が起動している場合は、本来であれば電源が供給されていないはずであるので、IGNリレー３のON故障であると判断し（Ｓ２４）、フェールセーフ処理へ移行する（Ｓ２５）。
診断OKの場合は、ATCUリレー４をONに操作し、ATCU１を起動する（Ｓ２６）。

　ATCU１の起動後、ATCU１は、マイコン８の内部機能に故障があるか否か自己診断を行う（Ｓ２７）。ここでの診断は、具体的にはROM／RAM診断、及びレジスタ診断などがある。

　診断NGの場合は、フェールセーフ状態へ移行する（Ｓ２８）。診断OKの場合は、ATCU監視システムが正常と判断し、通常制御へ移行する
（Ｓ２９）。

　なお、本フローチャートにおけるフェールセーフ制御とは、マイコン１２自身でスタンバイ状態やリプログラミング待ち状態へ移行し、IGNSW６がOFFされるまで何も動作しないように制御することである。

　図３は、システム起動後の通常制御時のATCU1とELOP２の処理の流れを示す図である。

　ELOP２は、通信手段（ここでは例として、通信I/F回路１０，１３を用いたCAN通信とする）を用いて、ATCU１からATCU１の自己診断結果を受信する（Ｓ３１）。ここでの自己診断とは、ROM／RAM診断、及びレジスタ診断など、マイコン内部の機能診断だけでなく、ATCU１本体の機能故障も含まれ、ATCU1自身で行う診断である。

　ELOP２はATCU１からの自己診断結果からOK／NG判断を行い（Ｓ３２）、診断NGの場合、ELOP２はフェールセーフ制御へ移行し、ATCUリレー４をOFFに操作し、ATCU１への通電を遮断する（Ｓ３３）。このような場合、ATCU1は自身の異常状態を判定出来ているので、ELOP2ではなくATCU1自身でATCUリレー４をOFFに操作可能なように結線してもよい。

　Ｓ３２の診断がOKの場合、ELOP２はATCU１のマイコン機能故障、詳しくはマイコンの演算器の故障を検出するための問題データをCAN通信によりATCU１へ送信する（Ｓ３４）。

　ATCU１は、ELOP２から受信した問題データを基に、マイコン８の演算器を用いて回答データを生成し（Ｓ３５）、ELOP２へ返信する（Ｓ３６）。

　ELOP２は、ATCU１から受信した回答データよりOK／NG判断を行い（Ｓ３７）、診断NGの場合、ELOP２はフェールセーフ制御へ移行し、ATCUリレー４をOFFに操作し、ATCU１への通電を遮断する（Ｓ３８）。

　診断OKの場合、ATCU１は正常と判断し、通常制御を継続する（Ｓ３９）。以上の診断により、ELOP2はATCU1自身で判断出来ない異常状態を診断することができる。

　本フローチャートでは問題データと回答データのやり取りでELOP2がATCU1の監視を行う例を説明したが、他の監視方法として、ATCU1から定期的にCAN通信を介して送信される信号をELOP2が監視するような、ウォッチドッグタイマ方式を採用してもよい。

　なお、本フローチャートにおけるフェールセーフ制御とは、ELOP２のマイコン１２がATCUリレー制御回路１５を操作し、ATCUリレー４をOFFに制御することである。

　以上の診断を実施することにより、ATCU１に監視装置を実装していない場合でも、ネットワークで繋がっている電子制御装置を監視装置とすることで、ATCU１のマイコン等の故障／機能故障を検知することが出来る。すなわち、現在の電子制御装置内の構成を変えることなく、且つ、最小のシステム変更で電子制御装置の故障を正確に検知し、且つ、確実にフェールセーフ状態に移行可能な監視システムが提供できる。

　また、本発明のシステム構成であれば、ATCU１のマイコンが暴走により、ATCUリレー４をOFFにしてもシステム電源が停止できない場合にも、監視装置であるELOP２側でATCUリレー４をOFFすることでATCU１の機能、つまり、ソレノイドバルブ７の動作／ネットワーク通信を停止することが可能であり、結果、自動変速機は直結ギアでの走行となるため、ATCU１の暴走により電源リレーをOFFすることができずインターロックなど、甚大な被害をもたらすことを防止することができる。

　また、車両に実装されている他電子制御装置を監視装置とすることで、ATCU１自身へ監視装置を実装する必要がなく、システムコストを低減できる利点がある。さらに、ＡＴＣU1が自動変速機と一体的に実装されているような場合、ＡＴＣUのサイズや実装面積には厳しい制約があり、本発明によればその制約も満たすことができる。

　以上、本発明の一実施例構成について説明したが、本発明はこうしたATCUの監視システムとして限定されるものではなく、電子制御装置の動作を停止することにより、車両として安全方向に働くような機能を持った電子制御装置にも応用することが可能である。

　以降、図４、５を用いて第二の実施例について説明する。本実施例では、監視装置による電源遮断回路の診断手法について説明する。実施例１と同様、図１で説明したシステム構成で動作可能であるため、システム構成の説明は省略する。

　次に、起動されたマイコン１２は内部機能に故障があるか否か自己診断を行う（Ｓ２０１）。ここでの診断は、具体的にはROM／RAM診断、及びレジスタ診断などがある。診断NGの場合は、フェールセーフ状態へ移行する（Ｓ２０２）。診断OKの場合は、マイコン１２でIGNSW６の電圧状態を取得する（Ｓ２０３）。

　ここで、IGNSW６の取得電圧が0V（OFF状態）で、ELOP６が起動している場合は、本来であれば電源が供給されていないはずであるので、IGNリレー３のON故障であると判断し（Ｓ２０４）、フェールセーフ処理へ移行する（Ｓ２０５）。

　なお、ここでのフェールセーフ制御とは、マイコン１２自身でスタンバイ状態やリプログラミング待ち状態へ移行し、IGNSW６がOFFされるまで何も動作しないように制御することである。

　診断OKの場合は、ATCUリレー１をONに操作し、ＡＴＣＵ１を起動する（Ｓ２０６）。

　起動後、ＡＴＣＵ１は、マイコン８の内部機能に故障があるか否か自己診断を行う（Ｓ２０７）。ここでの診断は、具体的にはROM／RAM診断、及びレジスタ診断などがある。診断NGの場合は、フェールセーフ状態へ移行する（Ｓ２０８）。診断OKの場合は、ATCUシステムが正常と判断し、ATCUリレー１の遮断回路診断へ移行する。

　続いて、ＡＴＣＵ１は、ELOP２に対し、遮断回路診断開始要求を送信する（S２０９）。ELOP２は、ＡＴＣＵ１から遮断回路診断開始要求を受信した場合（S２１０）、ＡＴＣＵ１のマイコン機能を診断する問題の送信する（S２１１）。ここでELOP２は、ATUC４から誤回答を受信した際にカウントアップするエラーカウンタを、残り1回誤回答を受信したら異常確定となる閾値に設定する。

　ＡＴＣＵ１は、ELOP２から問題を受信し（S２１２）、この問題をマイコン８で演算することで回答を作成するが、ここでは故意に誤回答を作成する（S２１３）。ＡＴＣＵ１は誤回答作成後、この誤回答をELOP２へ返信する（S２１４）。

　誤回答を受信したELOP２は（S２１５）、エラーカウンタをカウントアップすることで異常確定となり、ATCUが機能故障していると判断し（S２１６）、フェールセーフとしてATCUリレー４を遮断（OFF）する（S２１７）。

　ここで、図８にATCU１のマイコン機能を診断する問題の作成方法の一例を示す。
ELOPから受信した問題に対し、被出題部診断／制御部診断を行うことで回答データを生成している。

　具体的には、まず始めにELOPからの出題データを8bitから32bitに拡張し、正常に拡張されているか自己診断を行う。

　次に、拡張データをビット反転し、このデータを基に制御部診断として、基本インストラクション診断、算術演算、論理演算、処理制御、データ転送の順に実行し、マイコンの演算器で使用されている命令セットを全て使用することで回答データを作成する。
そして最後に、回答データを32bitから8bitに戻すことで、結果として出題データの反転値が回答データとなるようにしている。

　ATCUリレー４が遮断されることで、該リレーの下流に接続されている通信I/F回路１０の電源が遮断され、ELOP２間との通信が途絶、すなわち通信データに変化が生じる。

　ELOP２は事前に遮断回路診断要求を受信しているため、現フェーズが遮断回路診断中と判断し、ＡＴＣＵ１からの通信途絶を検出する（S２１８）。

　ここで、ＡＴＣＵ１は、IGNリレー３やATCUリレー４を経由して電源５から供給される電圧を取得し、IGNSW ６のOFF閾値まで達していると判断した場合、IGNリレー３やATCUリレー４を経由せずに電源５から供給される電圧により動作するセルフシャットディレイ処理へ移行する（S２１９）。Ｓ２１４で誤回答を送信したにもかかわらずIGNSW６の OFF閾値まで下がらない時間が一定時間継続した場合には、ATCUリレー４がON固着していると判断し（S２２０）、フェールセーフ処理へ移行する（S２２１）。

　なお、ここでのフェールセーフ制御とは、マイコン８自身でスタンバイ状態やリプログラミング待ち状態へ移行し、IGNSW６がOFFされるまで何も動作しないように制御することである。

　ＥＬＯＰ２はATCU１からの通信途絶を検出した場合、ATCUリレー４の遮断機能が正常に動作していると判断し、遮断回路診断を正常とする（S２２２）。

　ELOP２は、遮断回路診断を正常と判断した場合、ATCUリレー４を再びONとし（S２２３）、ATCU１を再起動し通常制御へ移行する（S２２４）。このように、ＡＴＣＵ１のセルフシャットオフディレイ処理中にＥＬＯＰ２による電源遮断回路の診断を行えば、セルフシャットオフディレイ処理中に再度ＡＴＣUリレー４が再びＯＮされることで、マイコン８が完全に停止する前に、ＡＴＣＵ１は通常制御へ移行することができる。したがって、ＥＬＯＰ２による電源遮断回路の診断を、ＡＴＣＵ１のマイコン８を完全停止させることなく実施することができる。

　続いて、ＥＬＯＰ２は、ＡＴＣＵ１からの通信途絶を検出できない場合、ATCUリレー１がON固着していると判断し、遮断回路診断を異常とする（S２２５）。

　遮断回路診断異常と判断した場合、ELOP２は異常情報をＡＴＣＵ１へ送信し（S２２６）、ＡＴＣＵ１はフェールセーフ状態へ移行する。

　図６は、遮断回路診断後、通常制御（定時処理）に移行してからの駆動電源の低電圧に対する処理を表したタイミングチャートである。

　IGNSWのチャタリングや電源電圧の一時的な低下によりIGN RLYがOFFとなると、IGN RLYの下流にあるTCU RLYほぼ同時にOFFとなる。

　すると、ATCUのIGNSW電圧（VIGN）が0Vに落ちてしまうため、ATCUはセルフシャットオフディレイ処理へ移行する。

　このシステムにおいて、ELOPの電源電圧に対する耐性を高く設計すると、ELOPは通常処理（定時処理）が継続して動作しており、処理が停止しているのはATCUだけとなる。

　ここで、セルフシャットオフディレイ期間中にIGNSWのチャタリングや電源電圧の状態が正常に復帰すると、ATCUはリスタート処理となり、自己診断処理（初期化処理）を行わずして定時処理に復帰することができる。

　上記のような構成にすることで、車両走行中にIGNSWのチャタリングや電源電圧の一時的な低下が発生しても、ATCUシステムが停止している期間を最小で設計可能である。

　以上の実施例で説明したように本発明の電子制御装置の監視システムは、監視対象の電子制御装置の異常を検出するハードウェアとして独立した監視装置と、電子制御装置及び監視装置に駆動電力を供給する電力供給手段と、監視装置に対し、外部から入力される起動用スイッチ信号により、起動用スイッチ信号がアクティブレベルの場合に、監視装置に駆動電力を供給する電力供給手段と、電源供給手段と監視装置との間に入れられた、監視装置への電力を供給／遮断する第１リレーと、電子制御装置に対し監視装置が駆動電力の供給の可否を判断し、電力の供給／遮断を制御するする第１リレーの下流に設置された第２リレーと、電子制御装置と監視装置との通信による診断を行う為の通信ラインを備える。

　更に、監視対象となる電子制御装置は、監視装置からの起動要求により第２リレーがオン状態になった場合、マイコンを動作させる電圧を出力する電源回路と、電源回路から出力される電圧によって動作するマイコンと、監視装置からの起動要求信号により起動する通信回路と、監視装置からの起動要求信号により起動するソレノイドバルブの駆動回路を備えてよい。

　更に、監視装置は、起動用スイッチ信号がアクティブレベルの場合に、監視装置のマイコンを動作させる電圧を出力する電源回路と、電源回路から出力される電圧によって動作するマイコンと、電源回路から供給される電力により起動する通信回路を少なくとも備えてよい。

　更に、監視装置は、起動用スイッチ信号がアクティブレベルの場合に、監視装置のマイコンを動作させ、起動時、及び定常時においてマイコンの自己診断を行い、マイコンが正常に動作していることを確認してから第２リレーをオンにしてよい。

　更に、監視装置は、起動用スイッチ信号がアクティブレベルの場合に、監視回路のマイコンを動作させ、始動時、及び定常時においてマイコンの自己診断を行い、前記マイコンが異常と判断した場合は、通信回路により監視対象の制御装置へ異常情報を送信し第２リレーをオフしてよい。

　更に、監視対象となる電子制御装置は、監視装置からの起動要求により第２リレーがＯＮした場合、マイコンを動作させ、始動時においてマイコンの自己診断を行い、自身で異常と判断した場合は、スタンバイ状態へ移行し、車両用自動変速機等の制御（ソレノイドバルブの油圧制御等）を行わないようにしてよい。

　更に、監視対象となる電子制御装置は、第２リレーがオン状態の場合、マイコンを動作させ、定常時においては車両用自動変速機等の制御（ソレノイドバルブの油圧制御等）を行うが、定常時においてもマイコンの自己診断を行い、自身が異常と判断した場合は、監視装置へ通信回路により異常情報を送信し、その後、通信回路の出力を停止し、その後、マイコンはスタンバイ状態へ移行し、車両用自動変速機等の制御を行わないようにしてよい。

　更に、監視装置は、定常時監視対象となる電子制御装置に対し、マイコン内の演算機能を診断するための問題データを、通信回路を介して送信してよい。

　更に、監視対象となる電子制御装置は、定常時、監視装置から送信された問題データを受信し、マイコン内に予め組み込まれたプログラムを実行することにより回答データを作成してよい。

　更に、監視対象となる電子制御装置は、定常時、監視装置に対し回答データを、通信回路により送信してよい。

　更に、監視装置は、監視対象となる電子制御装置からの回答データを受信し、回答データから監視対象となる電子制御装置のマイコン内の演算機能が正常か否か診断してよい。

　更に、監視装置は、その診断結果が異常と判断した場合、第２リレーをオフに制御してよい。

　更に、監視対象となる電子制御装置は第２リレーをオフに制御された場合、マイコンへ供給される電力が遮断される前に、直ちに前記通信回路とソレノイドバルブの駆動回路への給電を遮断できる構成としてよい。

　本発明によれば、車両用自動変速機の電子制御装置（ATCU）に限らず、昨今の殆どの電子制御装置に実装されているCANなどのネットワーク通信路を利用することにより、他電子制御装置をATCUの監視装置と見立てることができる。

　更に、監視側の電子制御装置から監視対象となる電子制御装置へメインマイコンの機能を診断する問題を送信し、監視対象となる電子制御装置はその問題に対する回答を算出し、監視側の電子制御装置へ返信することにより、監視対象となる電子制御装置側のマイコン故障を検知することが出来る。

　また、監視側の電子制御装置が監視対象となる電子制御装置の異常を検知した場合、監視側で監視対象となる電子制御装置の電源リレーをOFFすることで監視対象となる電子制御装置の動作、自動変速機制御の場合はソレノイドバルブの動作を停止することが可能である。結果、自動変速機は直結ギアでの走行となるため、監視対象となる電子制御装置暴走により電源リレーをOFFすることができずインターロックなど、甚大な被害をもたらすことを防止することができる。

　また、監視対象となる電子制御装置の電源リレーがON固着の場合には、監視装置が監視対象となる電子制御装置へ故障情報を送信することで、監視対象となる電子制御装置自身でスタンバイ状態へ移行する等、フェールセーフ処理を行うことが出来る。

　また、車両に実装されている他電子制御装置を監視装置とすることで、監視対象となる電子制御装置自身へ監視装置を実装する必要がなく、システムコストを低減できる利点がある。

　本発明によれば、電子制御装置の実装面積などハードウェアの制約により遮断回路診断装置を実装できない場合でも、何らかの通信手段を持っていれば、上位の電子制御装置に電源リレーの制御を実施させることで、容易に遮断回路診断が実現可能となる。また、対象電子制御の機能異常時には、上位の電子制御装置が電源リレーを遮断（OFF）制御することで、車両として安全方向に働くような機能を持った電子制御装置であれば適用することができる。

１・・・ATCU、２・・・ELOP、４・・・ATＣUリレー、１０・・・通信Ｉ／Ｆ回路、１３
・・・通信Ｉ／Ｆ回路、１５・・・ATCUリレー制御回路

Claims

車載電源と、
複数の車載制御装置と、
前記車載電源から車載電装品への電力の供給と遮断とを切り替える第一のスイッチと、
前記複数の車載制御装置同士を接続する通信ネットワークと、を備えた車両に搭載され、前記第一のスイッチを経由して前記車載電源から電力供給を受ける車載制御装置において、
前記車載制御装置は、前記複数の車載制御装置中の他の制御装置に供給される電力の供給と遮断とを制御するための外部装置用電力制御回路を備え、
前記外部装置用電力制御回路は、前記車載電源から前記車載制御装置への電力供給経路に含まれず、かつ前記車載電源から前記他の制御装置への電力供給経路に設けられた第二のスイッチを制御し、
前記車載制御装置は、前記外部装置用電力制御回路により前記他の制御装置への電力を遮断したときの前記通信ネットワークを介した前記他の制御装置からの通信データの変化に基づき、前記外部装置用電力制御回路を用いた前記第二のスイッチの遮断動作の正常性を確認することを特徴とする車載制御装置。
前記車載制御装置は、外部から入力される起動用スイッチ信号がローレベルからアクティブレベルへ変化し、制御対象機器の制御が実施される前に前記第二のスイッチの正常性を確認することを特徴とする請求項１記載の車載制御装置。
前記車載制御装置は、外部から入力される起動用スイッチ信号がローレベルからアクティブレベルへ変化した場合に自己診断を実施し、診断結果が正常のときに、前記第二のスイッチを制御して前記他の制御装置に電力を供給することを特徴とする請求項１記載の車載制御装置。
前記車載制御装置は、前記他の制御装置からの要求に応じて前記第二のスイッチをOFFに制御することを特徴とする請求項１記載の車載制御装置。
車載電源と、
複数の車載制御装置と、
前記車載電源から車載電装品への電力の供給と遮断とを切り替える第一のスイッチと、
前記複数の制御装置同士を接続する通信ネットワークと、を備えた車両に搭載される車載制御装置において、
前記車載制御装置は、前記通信ネットワーク用の通信回路と、
車載機器を制御するための制御回路と、を備え、
前記通信回路と前記制御回路とは前記第一のスイッチよりも下流の第二のスイッチを経由して電力が供給され、
前記第二のスイッチは、前記通信回路を用いて前記車載制御装置が通信を行う他の制御装置により制御され、
前記車載制御装置は、前記第二のスイッチを経由して電力を供給された後自己診断を実施し、診断結果が正常なときに、前記通信回路を用いて前記他の制御装置へ前記第二のスイッチの正常性確認を要求することを特徴とする車載制御装置。
前記車両は、車輪に動力を伝達する際の変速比を切り替えるための変速機を備え、
前記車載制御装置は前記変速機を制御するための変速機制御装置であり、
前記変速機の筐体に一体的に実装されており、
前記第二のスイッチを経由して供給される電力が遮断されたときに前記変速機の変速比を所定の変速比に固定、または前記変速機の制御を中止することを特徴とする請求項５記載の車載制御装置。
前記車両は、車輪に動力を伝達する際の変速比を切り替えるための変速機を備え、
前記車載制御装置は前記変速機を制御するための変速機制御装置であり、
前記変速機の筐体に一体的に実装されており、
前記他の制御装置より前記第二のスイッチの異常情報を前記通信ネットワークを介して受信したときに、前記変速機の変速比を所定の変速比に固定、または前記変速機の制御を中止することを特徴とする請求項５記載の車載制御装置。
前記車載制御装置は、前記変速機のソレノイドバルブを駆動するための駆動回路と、
前記駆動回路への駆動信号を出力する制御回路と、を備え、
前記第二のスイッチがオフになったときに、前記制御回路へ供給される電力が遮断される前に、前記通信回路および前記駆動回路への給電を遮断することを特徴とする請求項６記載の車載制御装置。
車載電源と、
前記車載電源から車載電装品への電力の供給と遮断とを切り替える第一のスイッチと、
複数の制御装置を接続する通信ネットワークと、を備えた車両に搭載され、
前記第一のスイッチを経由して前記車載電源から電力供給を受ける第一の制御装置と、
前記第一の制御装置と前記通信ネットワークで接続された第二の制御装置と、を備えた車載制御システムにおいて、
前記第二の制御装置は、前記通信ネットワーク用の通信回路と、
車載機器を制御するための制御回路と、を備え、
前記通信回路と前記制御回路とは前記第一のスイッチよりも下流の第二のスイッチを経由して電力が供給され、
前記第一の制御装置は、前記第二のスイッチを制御するための外部装置用電力制御回路を備え、
前記外部装置用電力制御回路により前記第二の制御装置への電力を遮断したときの前記通信ネットワークを介した前記第二の制御装置からの通信データの変化に基づき、前記外部装置用電力制御回路を用いた前記第二のスイッチの遮断動作の正常性を確認することを特徴とする車載制御システム。
前記第一の制御装置は、前記第二の制御装置への電力を遮断した後、前記第二の制御装置のセルフシャットオフディレイ期間が終了する前に前記第二の制御装置からの通信データの変化を確認し、前記第二の制御装置への電力を回復することを特徴とする請求項１２記載の車載制御システム。
前記車載制御装置は、前記他の制御装置への電力を遮断した後、前記他の制御装置のセルフシャットオフディレイ期間が終了する前に前記他の制御装置からの通信データの変化を確認し、前記他の制御装置への電力を回復することを特徴とする請求項１記載の車載制御装置。
前記車載制御装置は、前記他の制御装置によって前記第二のスイッチがOFFされた後、前記第二のスイッチがONするまでの期間、セルフシャットオフディレイ期間を継続することを特徴とする請求項５記載の車載制御装置。