WO2019207905A1

WO2019207905A1 - 車載制御装置

Info

Publication number: WO2019207905A1
Application number: PCT/JP2019/004956
Authority: WO
Inventors: 啓人栗原; 文博大澤
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2018-04-26
Filing date: 2019-02-13
Publication date: 2019-10-31
Also published as: JP2021120234A

Abstract

マイコン内部のＲＯＭ故障をできる限り早期の段階で検出し、ＲＯＭが故障しているにも関わらず車両が走行し続けることにより意図しない挙動が発生するリスクを低減する。そのため、本発明に係る車載制御装置は、読取専用記憶装置に対して供給される電流を測定し、前記電流が判定閾値を超えている場合は、前記読取専用記憶装置が将来において故障する可能性があることを示す信号を出力する。

Description

車載制御装置

　本発明は、車両が搭載する機器を制御する車載制御装置に関する。

　車両が搭載している機器を制御する車載制御装置（Ｖｅｈｉｃｌｅ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）は、制御演算を実施するマイクロコンピュータ（以下、マイコンと称す）を備える。マイコンは一般的に、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などを備える。

　ＲＯＭは、ＣＰＵが制御演算において使用するデータを記憶する記憶装置である。ＲＯＭは、半導体製造工程において混入した異物により隣接するトランジスタや配線がショートすることや、長期使用によるトランジスタ劣化不良などが原因となって、車両制御装置の動作状態に依らずに故障する可能性がある。ＲＯＭの故障モードとしては例えば以下のものがある。これらの故障モードが１つでも発生した場合、故障したＲＯＭはＣＰＵが制御演算に使用するデータを正しく保持できない：
（故障その１）データを正しく保持できない；
（故障その２）データを書き込む時間・読み出す時間が長くなる。

　ＲＯＭが故障すると、ＲＯＭに対して書き込むデータとＲＯＭから読み出すデータがともに破損する可能性があるので、ＣＰＵが実行する制御演算において不具合が生じ、所望の制御演算を実施することが困難となる。したがって車載制御装置は一般に、ＲＯＭが故障しているか否かを診断する機能を備える。

　下記特許文献１は、ＲＯＭの故障を診断する手法を記載している。同文献は、『制御中のＲＯＭ／ＲＡＭ故障レジスタ故障を発見すべく常時故障診断を実施し、異常時にはアシスト動作を停止させることによりシステムが重大な故障モードに至ることを防止する制御用コンピュータを提供する。』ことを課題として、『ＲＯＭ領域は複数の所定数のバイトデータからなるセルから成り、制御対象に対して制御を行う通常制御期間と制御用コンピュータの故障診断を行う診断用期間から成るマシンサイクルで制御を行う制御手段と、診断用期間毎に複数のセルのうち一部のセルのデータの加算を行い、前回診断用期間に得られた一部のセルのデータの加算値に今回診断用期間に他の一部のセルのデータを加算し、ＲＯＭ領域の全てのセルについてのデータの加算値が得られたとき、加算値の合計と規定値とを比較する演算手段を備え、演算手段による加算値の合計と規定値との比較に基づいて故障検出を行う。』という技術を開示している（要約参照）。

特開２００４－１３３６３５号公報

　近年の車両の制御処理の複雑化／高度化により、ＲＯＭに記憶するデータ量は増加し、ＲＯＭの記憶領域を診断するために要する時間も増加している。したがって診断により故障を検出するまでの所要時間も長くなる傾向にある。ＲＯＭが故障すると、車両制御システムが重大な故障モードに至る可能性があるので、いかに早くＲＯＭ記憶領域の異常を検出できるかが重要である。

　上記特許文献１のＲＯＭ診断方法は、ＲＯＭの全記憶領域に対して常時チェックサム演算を実施し、故障を検出した場合には直ちにフェールセーフ処理を実行することが想定されていると考えられる。しかし、全記憶領域を診断してから再びその領域が診断されるまでの暫くの間は、その故障を検出することができない。

　上記特許文献１のＲＯＭ診断方法は、ＲＯＭを構成するトランジスタが完全に故障し、ＲＯＭがデータを正しく保持できず、ＣＰＵがＲＯＭにアクセスした際に誤ったデータを読み出してしまう場合は、ＲＯＭの故障を検知することができる。言い換えると、特許文献１のＲＯＭ故障診断方法は、ＲＯＭが完全に故障していなければ、故障を検出することが困難である。

　本発明は、上記のような課題に鑑みてなされたものであり、マイコン内部のＲＯＭ故障をできる限り早期の段階で検出し、ＲＯＭが故障しているにも関わらず車両が走行し続けることにより意図しない挙動が発生するリスクを低減することを目的とする。

　本発明に係る車載制御装置は、読取専用記憶装置に対して供給される電流を測定し、前記電流が判定閾値を超えている場合は、前記読取専用記憶装置が将来において故障する可能性があることを示す信号を出力する。

　本発明に係る車載制御装置によれば、現時点では読取専用記憶装置（ＲＯＭ）に対して正常にデータを読み書きできるものの、将来的に故障する可能性があるような場合において、その故障の予兆を早期の段階で検出することができる。

実施形態１に係る車載制御装置１００の構成図である。ＲＯＭ１１３が将来的に故障する可能性（故障ポテンシャル）があるか否かを判定する手順を説明するフローチャートである。ＲＯＭ１１３に対する故障診断の手順を説明するフローチャートである。車両走行中におけるＲＯＭの故障可能性評価とＲＯＭ診断に関するタイミングチャートである。実施形態２に係る車載制御装置１００の構成図である。ＲＯＭ１１３のブロック構成図である。ＲＯＭ１１３が有する記憶領域のアドレスマップの１例である。実施形態２におけるＲＯＭ１１３に対する故障診断の手順を説明するフローチャートである。

＜実施の形態１＞
　図１は、本発明の実施形態１に係る車載制御装置１００の構成図である。車載制御装置１００は、車両が搭載する車載機器（例えば、自動変速機、エンジンなど）を電子的に制御する車載電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）である。車載制御装置１００は、メインマイクロコンピュータ（以下、メインマイコンと称す）１１０、サブマイクロコンピュータ（以下、サブマイコンと称す）１２０、メイン電源ＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）１３０、サブ電源ＩＣ１４０、電流測定回路１５０を備える。

　メインマイコン１１０は、車両が搭載する車載機器を制御するマイクロコンピュータである。メインマイコン１１０は、例えばアクチュエータ２３０を制御することによって車載機器を制御する。また、表示装置２４０を介してメッセージを表示することができる。
メッセージは、例えば文字や画像などのメッセージ、ランプ点灯による通知など、任意の形態のものを用いることができる。

　メインマイコン１１０は、ＣＰＵ１１１、ＲＡＭ１１２、ＲＯＭ１１３を備える。ＣＰＵ１１１は、車載機器を制御するために必要な制御演算を実施する演算装置（演算回路）である。ＲＯＭ１１３は、ＣＰＵ１１１が実行するプログラム（例えば、後述の図２、図３、図８が記述しているフローチャートを実装したプログラム）などを格納する。ＲＡＭ１１２は、ＣＰＵ１１１が使用するデータを一時的に格納する。

　サブマイコン１２０は、メインマイコン１１０と同様の構成を備えるマイクロコンピュータであり、その説明は省略する。サブマイコン１２０は、メインマイコン１１０からのリクエストにしたがって、ＲＯＭ１１３が正常であるか否かを診断し、その診断の結果をメインマイコン１１０に対して通知する。

　車載制御装置１００は、車両が搭載するバッテリ２２０から電力の供給を受ける。メイン電源ＩＣ（メイン電源回路）１３０は、バッテリ２２０から受け取った電力ＶＢを降圧または昇降圧した上で、メインマイコン１１０に対して供給する。サブ電源ＩＣ（サブ電源回路）１４０も同様に、バッテリ２２０から受け取った電力を降圧または昇降圧した上で、サブマイコン１２０に対して供給する。

　メイン電源ＩＣ１３０は、ＣＰＵ１１１、ＲＡＭ１１２、ＲＯＭ１１３のそれぞれに対して個別に電力（ＶＢ１、ＶＢ２、ＶＢ３）を供給するように、内部的に電源回路が３つに切り分けられている。すなわち、メイン電源ＩＣ１３０は、ＣＰＵ１１１に対して第１電圧ＶＢ１を出力する第１電源回路ＶＧ１、ＲＡＭ１１２に対して第２電圧ＶＢ２を出力する第２電源回路ＶＧ２、ＲＯＭ１１３に対して第３電圧ＶＢ３を出力する第３電源回路ＶＧ３を備える。これは、ＲＯＭ１１３に対して供給する駆動電流がＣＰＵ１１１の駆動電流の変動やＲＯＭ１１３の駆動電流の変動によって受ける影響を抑制するためである。

　第１電源回路ＶＧ１が出力する第１電圧ＶＢ１は、電源配線（電源パス）Ｌ１を介してＣＰＵ１１１へ供給される。第２電源回路ＶＧ２が出力する第２電圧ＶＢ２は、電源配線（電源パス）Ｌ２を介してＲＡＭ１１２へ供給される。第３電源回路ＶＧ３が出力する第３電圧ＶＢ３は、電源配線（電源パス）Ｌ３を介してＲＯＭ１１３へ供給される。

　電流測定回路１５０は、メイン電源ＩＣ１３０からＲＯＭ１１３に対して供給される駆動電流の値を測定し、その測定結果をサブマイコン１２０に対して出力する。サブマイコン１２０はその測定結果を用いて後述する手順によりＲＯＭ１１３を診断する。ここでいう駆動電流とは、ＲＯＭ１１３が格納しているデータをＣＰＵ１１１が読み取るためにＲＯＭ１１３に対して供給する読取電流である。ＲＯＭ１１３が劣化するのにともなって駆動電流は増加するので、駆動電流の増分に基づきＲＯＭ１１３が将来故障する可能性を予測することができる。

　電流測定回路１５０の回路構成として種々のものを採用できることは、当業者には容易に理解されるであろう。測定結果は、アナログ信号としてサブマイコン１２０へ出力してもよいし、デジタル信号としてサブマイコン１２０へ出力してもよい。測定結果をデジタル信号として出力する場合、電流測定回路１５０はアナログ・デジタル変換回路ＡＤＣを含むように構成される。一方、測定結果をアナログ信号として出力する場合、サブマイコン１２０はアナログ・デジタル変換回路ＡＤＣを含むように構成される。測定結果をデジタル信号として出力する場合の方が、アナログ信号として出力する場合と比較して、車載制御装置１００内で発生する電源などのノイズに対する影響に強い。

　車両の運転者がイグニッションキーをＯＮ／ＯＦＦすると、これにともなって電源信号２１０が生成される。車載制御装置１００は、電源信号２１０にしたがってスタートアップ／シャットダウンする。メイン電源ＩＣ１３０とサブ電源ＩＣ１４０は、これにともなって各マイコン１１０、１２０に対して電力を供給し、または遮断する。

　本実施形態１において、車載制御装置１００は、ＲＯＭ１１３の駆動電流が製造時から所定閾値以上大きくなったとき、ＲＯＭ１１３が将来的に故障する可能性があると判定する。したがって車載制御装置１００は、ＲＯＭ１１３の製造時における駆動電流の値をあらかじめ記憶しておき、これをＲＯＭ１１３の診断において用いる。製造時の駆動電流値は、例えばいずれかのマイコンが備えるＲＯＭなどの記憶装置に格納することができる。
車載制御装置１００の製造時に代えて、メインマイコン１１０の製造時における駆動電流値を格納してもよい。以下の説明においては、ＲＯＭ１１３が製造時駆動電流１１３１を格納しているものとする。

　電流測定回路１５０が測定する駆動電流の測定結果は、メインマイコン１１０の温度に応じて変動する。この変動は、電流測定回路１５０が備える温度測定抵抗などの素子が有する温度特性に起因するものと、メインマイコン１１０自身の温度特性などその他回路の温度特性に起因するものとがある。そこで本実施形態１においては、電流測定回路１５０が測定する駆動電流値がメインマイコン１１０の温度に応じてどのように変動するかを、温度特性データ１１３２としてあらかじめ記述しておく。以下の説明においては、ＲＯＭ１１３が温度特性データ１１３２を格納しているものとする。温度特性データ１１３２を用いた具体的処理については後述する。

　図２は、ＲＯＭ１１３が将来的に故障する可能性（故障ポテンシャル）があるか否かを判定する手順を説明するフローチャートである。図２においては、メインマイコン１１０が備えるＲＯＭ１１３をサブマイコン１２０が診断する手順を説明するが、サブマイコン１２０が備えるＲＯＭをメインマイコン１１０が診断する場合も、同様の手順を用いることができる。以下図２の各ステップについて説明する。

（図２：ステップＳ１０１）
　サブマイコン１２０は、車載制御装置１００の製造時における駆動電流値を読み出す。
メインマイコン１１０が同値を保持しておき、読み出した値をサブマイコン１２０に対して通知してもよい。

（図２：ステップＳ１０２）
　メインマイコン１１０は、メインマイコン１１０に内蔵されている温度センサ１６０を用いて、メインマイコン１１０の温度を測定する。車載制御装置１００に搭載されている温度センサ（図示せず）を使用してもよい。温度測定結果に代えて、外界の温度状態や車載制御装置１００の運転時間を用いた推定温度値を使用してもよい。

（図２：ステップＳ１０３）
　メインマイコン１１０は、ステップＳ１０４で取得したメインマイコン１１０の温度を用いて温度特性データ１１３２を参照することにより、メインマイコン１１０の温度に対応する駆動電流測定結果の変動分を取得する。駆動電流の測定結果が閾値を超えているとしても、その超過分が温度特性によって生じたのであれば、ＲＯＭ１１３は必ずしも劣化しているわけではない。したがって本ステップにおいて、温度特性データ１１３２に基づき温度に起因する変動分をあらかじめ把握しておくこととした。

（図２：ステップＳ１０４）
　メインマイコン１１０は、ステップＳ１０３において温度特性データ１１３２から取得した、メインマイコン１１０の温度に起因する駆動電流測定結果の変動分を、サブマイコン１２０に対して通知する。

（図２：ステップＳ１０５）
　サブマイコン１２０は、電流測定回路１５０から駆動電流の測定結果を取得する。

（図２：ステップＳ１０６）
　サブマイコン１２０は、ステップＳ１０４において取得した、メインマイコン１１０の温度に起因する駆動電流測定結果の変動分にしたがって、判定閾値を調整する。例えばステップＳ１０７において用いる判定閾値が１．５ｍＡであり、温度に起因する変動分が＋０．５ｍＡである場合、判定閾値を２．０ｍＡに調整する。判定閾値はメインマイコン１１０またはサブマイコン１２０いずれかのＲＯＭに格納しておいてもよいし、本フローチャートを実装するプログラム内部に記述しておいてもよい。

（図２：ステップＳ１０７～Ｓ１０９）
　サブマイコン１２０は、ステップＳ１０５において取得した駆動電流値と、ステップＳ１０１において取得した製造時の駆動電流値との間の差分が、調整後の判定閾値を超えているか否かを判定する（Ｓ１０７）。超えていない場合はＲＯＭ１１３が正常である旨の診断結果を出力する（Ｓ１０８）。超えている場合は、ＲＯＭ１１３が現時点においては完全には故障していないが将来故障する可能性がある旨の診断結果を出力する（Ｓ１０９）。現在の駆動電流が製造時の駆動電流よりも小さい場合は、ＲＯＭ１１３が正常であるとみなす。

（図２：ステップＳ１０７：数値例）
　例えば製造時における駆動電流が２５ｍＡであり、現在の駆動電流値が２６．５ｍＡである場合、現在の駆動電流値は製造時よりも１．５ｍＡ増えているので、ＲＯＭ１１３が劣化している可能性が考えられる。ただしこの増分１．５ｍＡは調整後の判定閾値の範囲内であるので、この場合は故障可能性なしと判定することになる。

（図２：ステップＳ１０７：補足）
　ＲＡＭ１１２が格納しているデータは常に変動しているので、ＲＡＭ１１２が故障する可能性を判定するためには、ＲＡＭ１１２上のデータを書き換えたときの挙動がどのように変動するかなどのように、データ書換をともなう診断が必要である。これに対してＲＯＭ１１３が格納しているデータは変動しないので、読取電流が製造時からどの程度増加したかに基づき故障可能性を診断できると考えられる。本ステップはこの特性に着目したものである。

　図３は、ＲＯＭ１１３に対する故障診断の手順を説明するフローチャートである。本フローチャートは、図２で説明した将来の故障可能性についての診断とは別に、例えば車載制御装置１００が起動している（すなわち車載制御装置１００に対して電力が供給されている）期間において所定時間間隔で周期的に実施されるものである。ここではメインマイコン１１０がＲＯＭ１１３の故障を診断する手順を説明するが、サブマイコン１２０も同様の手順を用いることができる。以下図３の各ステップについて説明する。

（図３：ステップＳ２０１～Ｓ２０２）
　メインマイコン１１０は、図２のフローチャートにしたがって、ＲＯＭ１１３が将来故障する可能性があるか否かを診断する（Ｓ２０１）。故障可能性ありと診断した場合はステップＳ２０３へ進み、なしと診断した場合はステップＳ２０５へスキップする（Ｓ２０２）。

（図３：ステップＳ２０１：補足）
　本ステップは、車載制御装置１００が起動した以降の期間において所定周期ごとに実施することに加えて、車載制御装置１００が起動するときの初期化処理のなかで実施することもできる。すなわち、車載制御装置１００が起動してから制御演算を開始するまでの間に実施することもできる。

（図３：ステップＳ２０３）
　メインマイコン１１０は、表示装置２４０上に警告灯を表示することにより、ドライバーに対して車載制御装置１００の異常を知らせる。より具体的に、ＲＯＭ１１３／メインマイコン１１０が将来的に故障する可能性がある旨を通知してもよい。その他適当なメッセージを通知してもよい。警告を表示することにより、唐突な車両挙動変化が発生する前に、ドライバーは車両を修理場に移送することができる。

（図３：ステップＳ２０４）
　メインマイコン１１０は、ステップＳ２０５で実施するＲＯＭ診断の優先順位を高くする。例えばステップＳ２０５を実施する周期を短くする、１回の診断において診断する記憶領域のサイズを増やす、などによってＲＯＭ診断の優先順位を高くすることができる。
その他適当な方法によって優先順位を高くしてもよい。ＲＯＭ１１３が故障する可能性があるとき、診断優先度を高くすることにより、故障が発生したとき速やかにこれを検出することができる。

（図３：ステップＳ２０５）
　メインマイコン１１０は、ＲＯＭ１１３に対して診断を実施する。診断手法としては、チェックサム演算やパリティ演算などのように、ＲＯＭ１１３内のデータ誤りを検出することができる任意の手法を用いればよい。

（図３：ステップＳ２０６～Ｓ２０８）
　メインマイコン１１０は、ステップＳ２０５で実施したＲＯＭ診断の結果が正常か否かを判定する（Ｓ２０６）。ＲＯＭ診断結果が正常の場合は、通常制御を実施する（Ｓ２０７）。異常の場合は、フェールセーフ動作に移行する（Ｓ２０８）。フェールセーフ動作の例としては以下のようなものがある。たとえば自動変速機の制御装置のＣＰＵが故障した場合、自動変速機の変速制御を実現するアクチュエータが正しく動作せず、意図しない変速が発生することを防止するため、アクチュエータを固定させて変速比を一定に維持させる。フェールセーフ動作に移行することにより、車両システムが重大な故障モードに至ることを防止することができる。

　図４は、車両走行中におけるＲＯＭの故障可能性評価とＲＯＭ診断に関するタイミングチャートである。車載制御装置１００が起動している期間（例えば車両が走行しているとき）において、メインマイコン１１０とサブマイコン１２０は図２と図３のフローチャートにしたがって、ＲＯＭの故障ポテンシャル評価及びＲＯＭ診断を一定の周期毎に実施する。図２の故障可能性診断と図３の故障診断は、必ずしも同じ周期や同じタイミングで実施する必要はない。例えば故障可能性診断は故障診断よりも長い周期で実施することができる。図４はその前提で記載している。

（図４：ステップＳ３０１）
　メインマイコン１１０は、図２のフローチャートにしたがって、ＲＯＭ１１３の故障可能性を診断する。故障可能性があると判定した場合、例えばＲＯＭ診断の実行周期を短くすることにより、ＲＯＭ診断の優先順位を高くする（Ｓ２０４に相当する処理）。さらに表示装置２４０に警告灯を表示する（Ｓ２０３に相当する処理）。

（図４：ステップＳ３０２）
　メインマイコン１１０は、ステップＳ３０１以前よりも短い周期でＲＯＭ診断を実施する。ＲＯＭ診断において異常があると判断した場合、車載制御装置１００はフェールセーフ動作に移行する。

＜実施の形態１：まとめ＞
　本実施形態１に係る車載制御装置１００は、車両が搭載している機器を制御する車載制御装置（１００）であって、機器を制御するための制御演算を実施する演算装置（ＣＰＵ１１１）、演算装置（ＣＰＵ１１１）が使用するデータを記憶する第１読取専用記憶装置（ＲＯＭ１１３、１１４）、第１読取専用記憶装置（ＲＯＭ１１３、１１４）に対して供給される電流を測定する電流測定回路（１５０、１５１）、を備え、演算装置（ＣＰＵ１１１）は、電流測定回路（１５０、１５１）が測定した電流が第１判定閾値を超えている場合は、第１読取専用記憶装置（ＲＯＭ１１３、１１４）が将来において故障する可能性があるか否かを判定するとともに、その判定結果を示す信号を出力する。これにより、第１読取専用記憶装置（ＲＯＭ１１３、１１４）が突然故障して車両が急峻な挙動変動を起こすような不具合を抑制することができる。

　第１読取専用記憶装置（ＲＯＭ１１３、１１４）は、電流測定回路（１５０、１５１）による電流の測定結果が車載制御装置（１００）の温度に応じてどのように変動するかを表す温度特性を記述した温度特性データ（１１３２）を格納しており、演算装置（ＣＰＵ１１１）は、車載制御装置（１００）の温度を用いて温度特性データ（１１３２）を参照することにより、電流の測定結果が車載制御装置（１００）の温度に応じて変動した変動分を取得し、演算装置（ＣＰＵ１１１）は、その変動分にしたがって第１判定閾値を調整した上で、故障可能性があるか否かを判定する。これにより、温度特性にしたがって電流の測定結果が変動する場合であっても、第１読取専用記憶装置（ＲＯＭ１１３、１１４）の故障可能性を正確に診断することができる。

　演算装置（ＣＰＵ１１１）は、車載制御装置（１００）に対して電力が供給され始めてから、制御演算を開始するまでの間に、故障可能性を判定する。これにより、制御演算を開始するまでの間に、第１読取専用記憶装置（１１３、１１４）の安全性を確認し、その結果に応じて制御演算を実施することができる。

　演算装置（ＣＰＵ１１１）は、車載制御装置（１００）が起動している期間において、第１読取専用記憶装置（１１３、１１４）の部分記憶領域に対する故障診断を、間欠的に繰り返して実施し、演算装置（ＣＰＵ１１１）は、故障診断よりも長い周期で、故障可能性があるか否かの判定を間欠的に繰り返し実施する。これにより、故障診断の実施を阻害することなく故障可能性を判定するとともに、故障可能性があると判定した場合は故障診断をより短い周期で実施して故障を早期の段階で検出することができる。

　車載制御装置（１００）はさらに、演算装置（ＣＰＵ１１１）に対して電力を供給する第１電源回路（ＶＧ１）と、第１読取専用記憶装置（１１３、１１４）に対して電力を供給する第２電源回路（ＶＧ３）とを備え、電流測定回路（１５０、１５１）は、第２電源回路（ＶＧ３）が第１読取専用記憶装置（ＲＯＭ１１３、１１４）に対して出力する電流を測定する。これにより、電流同士の干渉を抑制して駆動電流の変動を抑制することができる。

　演算装置（ＣＰＵ１１１）は、電流測定回路（１５０、１５１）が測定した電流が第１判定閾値を超えている間は、超えていない場合よりも、故障診断を実施する周期を短くする。これにより、故障が発生したとき早期の段階で検出することができる。

　演算装置（ＣＰＵ１１１）は、電流測定回路（１５０、１５１）が測定した電流が第１判定閾値を超えたときは、車両の運転者に対して警告を通知する信号を出力する。これにより運転者は、唐突な車両挙動変化が発生する前に、車両を修理場に移送することができる。

　第１読取専用記憶装置（ＲＯＭ１１３、１１４）は、車載制御装置（１００）の製造時点または演算装置（ＣＰＵ１１１）の製造時点において第１読取専用記憶装置（ＲＯＭ１１３、１１４）に対して供給される読取電流（１１３１）を記憶しており、演算装置（ＣＰＵ１１１）は、第１読取専用記憶装置（ＲＯＭ１１３、１１４）が記憶している読取電流（１１３１）よりも電流測定回路（１５０、１５１）が測定した電流のほうが大きく、かつ第１読取専用記憶装置（ＲＯＭ１１３、１１４）が記憶している読取電流（１１３１）と、電流測定回路（１５０、１５１）が測定した電流との間の差分が第２判定閾値を超えたときは、第１読取専用記憶装置（ＲＯＭ１１３、１１４）が将来において故障する可能性があることを示す信号を出力する。これにより、車載制御装置（１００）の製造バラツキによる測定誤差の影響を抑制することができる。

　電流は、演算装置（ＣＰＵ１１１）が第１読取専用記憶装置（ＲＯＭ１１３、１１４）により記憶されるデータを読み取るために供給される。すなわち、電流測定回路（１５０、１５１）によって第１読取専用記憶装置（ＲＯＭ１１３、１１４）の読取電流を測定することにより、その読取電流の増分にしたがって、ＲＯＭが将来故障する可能性を予測することができる。

＜実施の形態２＞
　図５は、本発明の実施形態２に係る車載制御装置１００の構成図である。本実施形態２において、ＲＯＭ１１３は、ＲＯＭ（ＢＬ１：ＢＬＯＣＫ１）１１４とＲＯＭ（ＢＬ２：ＢＬＯＣＫ２）１１５に分かれて構成されている。ＲＯＭが２つのブロックに分かれて構成されていることに起因する差異点以外は実施形態１と同様であるので以下では主に差異点について説明する。

　第３電源回路ＶＧ３は、電源配線（電源パス）Ｌ３を介してＲＯＭ１１４に対して電力を供給する。メイン電源ＩＣ１３０はさらに第４電源回路ＶＧ４を備え、第４電源回路ＶＧ４は電源配線（電源パス）Ｌ４を介してＲＯＭ１１５に対して電力を供給する。電流測定回路１５０は、第３電源回路ＶＧ３からＲＯＭ１１４に対して供給される駆動電流を測定する電流測定回路１５１と、第４電源回路ＶＧ４からＲＯＭ１１５に対して供給される駆動電流を測定する電流測定回路１５２とを有する。

　図６は、ＲＯＭ１１３のブロック構成図である。ＲＯＭ（ＢＬ１）１１４は、ＢＬＯＣＫ１０～ＢＬＯＣＫ１Ｘによって構成され、ＲＯＭ（ＢＬ２）１１５は、ＢＬＯＣＫ２０～ＢＬＯＣＫ２Ｘによって構成される。ＢＬＯＣＫ１内の駆動電源ラインは共有され、ＢＬＯＣＫ２内の駆動電源ラインも共有されている。

　図７は、ＲＯＭ１１３が有する記憶領域のアドレスマップの１例である。ＲＯＭ１１４が将来故障する可能性があるとき、ＲＯＭ１１４が格納している制御プログラムを正しく実行できない可能性がある。そこで本実施形態２において、ＲＯＭ１１５は、ＲＯＭ１１４が将来故障する可能性があるときＲＯＭ１１４が格納している制御プログラムに代えて実行すべき代替制御プログラムを格納することとした。ＢＬＯＣＫ１０～ＢＬＯＣＫ１Ｘは、メインマイコン１１０の制御処理Ａ～Ｘを実装したプログラムをそれぞれ格納している。ＢＬＯＣＫ２０～ＢＬＯＣＫ２Ｘは、制御Ａ～Ｘの代替処理を実装したプログラムを格納している。

　図８は、本実施形態２におけるＲＯＭ１１３に対する故障診断の手順を説明するフローチャートである。本フローチャートは図３と同様に例えば所定時間間隔で周期的に実施されるものである。ここではメインマイコン１１０がＲＯＭ１１３の故障を診断する手順を説明するが、サブマイコン１２０も同様の手順を用いることができる。以下図８の各ステップについて説明する。

（図８：ステップＳ４０１）
　メインマイコン１１０は、図２のフローチャートにしたがって、ＲＯＭ１１４が将来故障する可能性があるか否かを診断する（Ｓ４０１）。同様にＲＯＭ１１５が将来故障する可能性があるか否かを診断する（Ｓ４０２）。ＲＯＭ１１４に対する故障可能性診断において用いる判定閾値と、ＲＯＭ１１５に対する故障可能性診断において用いる判定閾値とは、同じでもよいし異なっていてもよい。すなわちＲＯＭ１１４とＲＯＭ１１５の仕様や重要度などに応じて適宜定めればよい。

（図８：ステップＳ４０３～Ｓ４０４）
　ステップＳ４０１において、ＲＯＭ１１４が正常であると診断された場合はステップＳ４０４へ進み、故障可能性ありと診断された場合はステップＳ４０６へ進む（Ｓ４０３）。ステップＳ４０２において、ＲＯＭ１１５が正常であると診断された場合はステップＳ４０９へ進み、故障可能性ありと診断された場合はステップＳ４０５へ進む（Ｓ４０４）。

（図８：ステップＳ４０５）
　メインマイコン１１０は、ＲＯＭ１１５が格納している代替処理が使用不可である旨のフラグ等を、例えばＲＡＭ１１２などの記憶装置に格納する。

（図８：ステップＳ４０６）
　メインマイコン１１０は、ＲＯＭ１１５が格納している代替制御プログラムが使用可能か否かを判定する。代替制御処理が使用可能である場合はステップＳ４０７に進む。代替制御処理が使用不可能である場合はステップＳ４１０に進む。代替制御処理が使用可能であるか否かは、ステップＳ４０５の結果に基づき判定することができる。

（図８：ステップＳ４０７）
　ＲＯＭ１１５が正常であると診断された場合はステップＳ４０８へ進み、故障可能性ありと診断された場合はステップＳ４１０へ進む。

（図８：ステップＳ４０８）
　メインマイコン１１０は、制御演算のために実行するプログラムを、ＲＯＭ１１４が格納している制御プログラムから、ＲＯＭ１１５が格納している代替制御プログラムに切り替える。

（図８：ステップＳ４０９～Ｓ４１１）
　メインマイコン１１０は、制御処理または代替制御処理のいずれかが利用可能である場合は、通常制御動作を実施する（Ｓ４０９）。いずれも利用できない場合は、表示装置２４０に警告灯を表示し（Ｓ４１０）、フェールセーフ動作に移行する（Ｓ４１１）。

＜実施の形態２：まとめ＞
　本実施形態２に係る車載制御装置（１００）はさらに、演算装置（ＣＰＵ１１１）が使用するデータを記憶する第２読取専用記憶装置（ＲＯＭ１１５）を備え、第２読取専用記憶装置（ＲＯＭ１１５）は、演算装置（ＣＰＵ１１１）が制御演算に代えて実行する代替制御演算を実装した代替制御プログラムを格納しており、演算装置（ＣＰＵ１１１）は、電流測定回路（１５１）が測定した電流が第３判定閾値を超えている場合は、制御演算に代えて代替制御演算を実行する。これにより、第１読取専用記憶装置（ＲＯＭ１１４）が将来故障する可能性がある場合は、代替制御プログラムにより安全に制御を実施することができる。

　車載制御装置（１００）はさらに、第２読取専用記憶装置（ＲＯＭ１１５）に対して電力を供給する第３電源回路（ＶＧ４）を備え、電流測定回路（１５２）は、第３電源回路（ＶＧ４）が第２読取専用記憶装置（ＲＯＭ１１５）に対して出力する第２電流を測定し、演算装置（ＣＰＵ１１１）は、電流測定回路（１５２）が測定した第２電流が第３判定閾値を超えている場合は、第２読取専用記憶装置（ＲＯＭ１１５）が将来において故障する可能性があることを示す信号を出力し、演算装置（ＣＰＵ１１１）は、第１読取専用記憶装置（ＲＯＭ１１１４）と第２読取専用記憶装置（ＲＯＭ１１５）がともに将来において故障する可能性があると判定した場合は、制御演算と代替制御演算に代えてフェールセーフ動作を実施する。これにより、代替制御プログラムを用いて車両の安全性を高めることに加えて、代替制御プログラムが正常動作しない可能性がある場合であっても一定の安全性を確保することができる。

＜本発明の変形例について＞
　本発明は上記実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換える事が可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について他の構成の追加・削除・置換をすることができる。

　実施形態２において、ＲＯＭ１１４が将来故障する可能性があるとき、代替制御を実施することを説明した。これに加えて、実施形態１で説明したように、故障する可能性があるＲＯＭに対する診断の優先度を上げてもよい。例えばＳ４０５、Ｓ４０６、またはＳ４１０において、将来故障する可能性があると診断されたＲＯＭに対する診断優先度を上げてもよい。

　以上の実施形態において、製造時の駆動電流と現在の駆動電流との間の差分を判定閾値と比較する例を説明したが、これに代えて現在の駆動電流を判定閾値と比較してもよい。
この場合は判定閾値のなかに、製造時の駆動電流に対応する値を埋め込んでおくことにより、同様の効果を発揮することができる。すなわち、現在の駆動電流と判定閾値と比較するのか、それとも製造時の駆動電流と現在の駆動電流との間の差分を判定閾値と比較するのかは、閾値をどのように構成するかの違いに過ぎず、実質的な処理は同様である。

１００：車載制御装置
１１０：メインマイコン
１１１：ＣＰＵ
１１２：ＲＡＭ
１１３：ＲＯＭ
１１４：ＲＯＭ（ＢＬ１）
１１５：ＲＯＭ（ＢＬ２）
１２０：サブマイコン
１３０：メイン電源ＩＣ
１４０：サブ電源ＩＣ
１５０：電流測定回路
１５１：電流測定回路（ＢＬ１）
１５２：電流測定回路（ＢＬ２）
１６０：温度センサ
２１０：電源信号
２２０：バッテリ
２３０：アクチュエータ
２４０：表示装置

Claims

　車両が搭載している機器を制御する車載制御装置であって、
　前記機器を制御するための制御演算を実施する演算装置、
　前記演算装置が使用するデータを記憶する第１読取専用記憶装置、
　前記第１読取専用記憶装置に対して供給される電流を測定する電流測定回路、
　を備え、
　前記演算装置は、前記電流測定回路が測定した前記電流が第１判定閾値を超えている場合は、前記第１読取専用記憶装置が将来において故障する可能性があるか否かを判定するとともに、その判定結果を示す信号を出力する
　ことを特徴とする車載制御装置。
　前記第１読取専用記憶装置は、前記電流測定回路による前記電流の測定結果が前記車載制御装置の温度に応じてどのように変動するかを表す温度特性を記述した温度特性データを格納しており、
　前記演算装置は、前記車載制御装置の温度を用いて前記温度特性データを参照することにより、前記電流の測定結果が前記車載制御装置の温度に応じて変動した変動分を取得し、
　前記演算装置は、前記変動分にしたがって前記第１判定閾値を調整した上で、前記可能性があるか否かを判定する
　ことを特徴とする請求項１記載の車載制御装置。
　前記演算装置は、前記車載制御装置に対して電力が供給され始めてから、前記制御演算を開始するまでの間に、前記可能性を判定する
　ことを特徴とする請求項１記載の車載制御装置。
　前記演算装置は、前記車載制御装置が起動している期間において、前記第１読取専用記憶装置の部分記憶領域に対する故障診断を、間欠的に繰り返して実施し、
　前記演算装置は、前記故障診断よりも長い周期で、前記可能性があるか否かの判定を間欠的に繰り返し実施する
　ことを特徴とする請求項１記載の車載制御装置。
　前記車載制御装置はさらに、前記演算装置に対して電力を供給する第１電源回路と、前記第１読取専用記憶装置に対して電力を供給する第２電源回路とを備え、
　前記電流測定回路は、前記第２電源回路が前記第１読取専用記憶装置に対して出力する前記電流を測定する
　ことを特徴とする請求項１記載の車載制御装置。
　前記演算装置は、前記電流測定回路が測定した前記電流が前記第１判定閾値を超えている間は、超えていない場合よりも、前記故障診断を実施する周期を短くする
　ことを特徴とする請求項４記載の車載制御装置。
　前記演算装置は、前記電流測定回路が測定した前記電流が前記第１判定閾値を超えたときは、前記車両の運転者に対して警告を通知する信号を出力する
　ことを特徴とする請求項１記載の車載制御装置。
　前記第１読取専用記憶装置は、前記車載制御装置の製造時点または前記演算装置の製造時点において前記第１読取専用記憶装置に対して供給される読取電流を記憶しており、
　前記演算装置は、前記第１読取専用記憶装置が記憶している読取電流よりも前記電流測定回路が測定した電流のほうが大きく、かつ前記第１読取専用記憶装置が記憶している読取電流と、前記電流測定回路が測定した電流との間の差分が第２判定閾値を超えたときは、前記第１読取専用記憶装置が将来において故障する可能性があることを示す信号を出力する
　ことを特徴とする請求項１記載の車載制御装置。
　前記電流は、前記演算装置が前記第１読取専用記憶装置により記憶されるデータを読み取るために供給される
　ことを特徴とする請求項１記載の車載制御装置。
　前記車載制御装置はさらに、前記演算装置が使用するデータを記憶する第２読取専用記憶装置を備え、
　前記第２読取専用記憶装置は、前記演算装置が前記制御演算に代えて実行する代替制御演算を実装した代替制御プログラムを格納しており、
　前記演算装置は、前記電流測定回路が測定した前記電流が第３判定閾値を超えている場合は、前記制御演算に代えて前記代替制御演算を実行する
　ことを特徴とする請求項１記載の車載制御装置。
　前記車載制御装置はさらに、前記第２読取専用記憶装置に対して電力を供給する第３電源回路を備え、
　前記電流測定回路は、前記第３電源回路が前記第２読取専用記憶装置に対して出力する第２電流を測定し、
　前記演算装置は、前記電流測定回路が測定した前記第２電流が前記第３判定閾値を超えている場合は、前記第２読取専用記憶装置が将来において故障する可能性があることを示す信号を出力し、
　前記演算装置は、前記第１読取専用記憶装置と前記第２読取専用記憶装置がともに将来において故障する可能性があると判定した場合は、前記制御演算と前記代替制御演算に代えてフェールセーフ動作を実施する
　ことを特徴とする請求項１０記載の車載制御装置。