WO2021024716A1

WO2021024716A1 - 車載中継装置、コンピュータプログラム及び故障判定方法

Info

Publication number: WO2021024716A1
Application number: PCT/JP2020/027409
Authority: WO
Inventors: 航二渡邉
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2019-08-02
Filing date: 2020-07-14
Publication date: 2021-02-11
Also published as: JP2021024404A

Abstract

被制御装置の故障の有無を判定することができる車載中継装置、コンピュータプログラム及び故障判定方法を提供する。　本実施の形態に係る車載中継装置は、制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信する中継処理部と、前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する判定部とを備える。前記判定部は、前記被制御装置へ入力したデータ、及び、当該データの入力に応じて前記被制御装置が出力したデータの対応関係に基づいて、前記被制御装置の故障の有無を判定してもよい。

Description

車載中継装置、コンピュータプログラム及び故障判定方法

　本開示は、車両に搭載された制御装置から被制御装置へのデータを中継すると共に、被制御装置の故障の有無を判定する車載中継装置、コンピュータプログラム及び故障判定方法に関する。

　近年、車両に搭載されるＥＣＵ（Electronic Control Unit）は増加する傾向にある。各ＥＣＵは、他のＥＣＵとの間で通信を行って情報を交換し、各々の処理を行っている。このため、車両内のＥＣＵの増加に伴って、ＥＣＵが通信を行うために設けられる車両内の通信線の量が増加し、車両の重量の増加及び車両内の通信線を配するスペースが減少している。

　特許文献１においては、車両内を複数の領域に分け、領域毎に複数の機能ＥＣＵを第１ネットワークにて中継ＥＣＵに接続し、複数の中継ＥＣＵを第２ネットワークにて接続した構成の車両制御システムが記載されている。

特開２０１５－６７１８７号公報

　車両に搭載される各種の装置については、故障又は異常等を速やかに検出して対応することが望まれる。

　本開示は、斯かる事情に鑑みてなされたものであって、その目的とするところは、被制御装置の故障の有無を判定することができる車載中継装置、コンピュータプログラム及び故障判定方法を提供することにある。

　本態様に係る車載中継装置は、制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信する中継処理部と、前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する判定部とを備える。

　本願は、このような特徴的な処理部を備える車載中継装置等の装置として実現することができるだけでなく、かかる特徴的な処理をステップとする通信方法として実現したり、かかるステップをコンピュータに実行させるためのコンピュータプログラムとして実現したりすることができる。これらの装置の一部又は全部を実現する半導体集積回路として実現したり、これらの装置を含むその他の装置又はシステムとして実現したりすることができる。

　上記によれば、被制御装置の故障の有無を判定することが可能となる。

本実施の形態に係る車載通信システムの概要を説明するための模式図である。本実施の形態に係る故障判定方法の概要を説明するための模式図である。本実施の形態に係る第２中継装置の構成を示すブロック図である。本実施の形態に係るＥＣＵの正常時における入出力の対応関係の一例を示す模式図である。本実施の形態に係る判定テーブルの一例を示す模式図である。本実施の形態に係る判定テーブルの一例を示す模式図である。本実施の形態に係る第２中継装置が行う故障判定処理の手順を示すフローチャートである。本実施の形態に係る第２中継装置が行うデータ判定処理の手順を示すフローチャートである。変形例に係るＥＣＵの正常時における入出力の対応関係の一例を示す模式図である。変形例に係る判定テーブルの一例を示す模式図である。変形例に係る判定テーブルの一例を示す模式図である。実施の形態２に係る第２中継装置の構成を示すブロック図である。実施の形態２に係るＥＣＵの正常時における入力データと電力量との対応関係の一例を示す模式図である。実施の形態２に係る判定テーブルの一例を示す模式図である。実施の形態２に係る判定テーブルの一例を示す模式図である。

［本開示の実施の形態の説明］
　最初に本開示の実施態様を列記して説明する。以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本態様に係る車載中継装置は、制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信する中継処理部と、前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する判定部とを備える。

　本態様にあっては、制御装置及び被制御装置の間のデータの入出力を車載中継装置が中継する。車載中継装置は、被制御装置に対するデータの入出力を監視し、被制御装置へ入力したデータと、これに応じた被制御装置の動作結果の対応関係に基づいて、被制御装置の故障の有無を判定する。これにより、被制御装置に対するデータの中継を行う車載中継装置において被制御装置の故障の有無を精度よく判定することが期待できる。

（２）前記判定部は、前記被制御装置へ入力したデータ、及び、当該データの入力に応じて前記被制御装置が出力したデータの対応関係に基づいて、前記被制御装置の故障の有無を判定することが好ましい。

　本態様にあっては、被制御装置への入力データと、これに応じて出力される被制御装置からの出力データとの対応関係に基づいて、車載中継装置が被制御装置の故障の有無を判定する。これにより車載中継装置は、被制御装置に対して入出力するデータの監視により故障の有無を判定することができる。

（３）前記被制御装置へ供給される電力量を検知する検知部を備え、前記判定部は、前記被制御装置へ入力したデータ、及び、当該データの入力に応じて前記被制御装置が動作した際に前記検知部が検知した電力量の対応関係に基づいて、前記被制御装置の故障の有無を判定することが好ましい。

　本態様にあっては、車載中継装置が被制御装置へ供給される電力量を検知し、被制御装置への入力データと、これに応じて被制御装置が動作した際の電力量との対応関係に基づいて、被制御装置の故障の有無を判定する。これにより、入力データに応じて動作した被制御装置にて過大な電力が消費されている場合又は電力消費量が過度に少ない場合等に、車載中継装置が被制御装置の故障の有無を判定することができる。

（４）本態様に係るコンピュータプログラムは、コンピュータに、制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信し、前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する処理を実行させる。

　本態様にあっては、態様（１）と同様に、被制御装置の故障の有無を精度よく判定することが期待できる。

（５）本態様に係る故障判定方法は、制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信し、前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する。

［本開示の実施形態の詳細］
　本開示の実施形態に係る車載中継装置の具体例を、以下に図面を参照しつつ説明する。本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

＜システム概要＞
　図１は、本実施の形態に係る車載通信システムの概要を説明するための模式図である。本実施の形態に係る車載通信システムは、車両１に搭載された第１中継装置１０、複数の第２中継装置２０、無線通信装置３０及び複数のＥＣＵ４０を備えて構成されている。図１の上下方向が車両１の前後方向であり、図１の左右方向が車両１の左右方向である。車載通信システムに含まれる装置の数、通信線の数、装置の接続態様及びネットワークの構成等は、図示のものに限らない。

　本実施の形態に係る車載通信システムは、１つの第１中継装置１０に対して複数の第２中継装置２０及び１つの無線通信装置３０がそれぞれ通信線２を介して接続されたスター型のネットワーク構成が採用されたシステムである。本実施の形態においては、通信線２を介する第１中継装置１０と第２中継装置２０及び無線通信装置３０との間の通信は、イーサネット（登録商標）の通信規格に従って行われる。第１中継装置１０は、複数の第２中継装置２０及び無線通信装置の間のデータ送受信、即ち自身に接続された複数の通信線２の間のデータ送受信を中継する処理を行う。なお本実施の形態においては第１中継装置１０及び第２中継装置２０がイーサネットの通信規格に従って通信を行うものとするが、これに限るものではない。第１中継装置１０及び第２中継装置２０の通信は、例えばＣＡＮ（Controller Area Network）、ＣＡＮ－ＦＤ（CAN with Flexible Data-rate）又はＦｌｅｘＲａｙ等の種々の通信規格が採用され得る。

　本実施の形態に係る車載通信システムでは、第１中継装置１０が車両１の中央に搭載され、第２中継装置２０が車両１の右前部、右中央部、右後部、左前部、左中央部及び左後部の６ヵ所にそれぞれ搭載されている。各第２中継装置２０には、その近傍に配された一又は複数のＥＣＵ４０が通信線３を介して接続されている。即ち本実施の形態に係る車載通信システムでは、車両１における搭載位置に基づいて複数のＥＣＵ４０がグループ化され、グループ内の複数のＥＣＵ４０が１つの第２中継装置２０に接続されている。複数の第２中継装置２０は第１中継装置１０に接続され、グループ間の通信を第１中継装置１０が行う。なお複数のＥＣＵ４０のグループ分けは、車両１における搭載位置に限らず、例えば装置の機能毎又は通信速度毎等のように種々の条件に従って行われてよい。

　本実施の形態において第２中継装置２０と複数のＥＣＵ４０とは、共通の通信線３を介して接続され、バス型のネットワークを構成している。通信線３を介する第２中継装置２０及びＥＣＵ４０の間の通信は、ＣＡＮの通信規格に従って行われる。通信線３は、ＣＡＮバスと呼ばれ、数個から十数個程度のＥＣＵ４０が接続され得る。図１においては、車両１の右後部に搭載された第２中継装置２０にのみＥＣＵ４０が通信線３を介して接続された構成が図示されているが、これは図の簡略化を目的としたものである。実際には、他の第２中継装置２０にも一又は複数の通信線３が接続され、一又は複数のＥＣＵ４０が通信線３を介して接続される。なお本実施の形態においては第２中継装置２０及びＥＣＵ４０がＣＡＮの通信規格に従って通信を行うものとするが、これに限るものではない。第２中継装置２０及びＥＣＵ４０の通信は、例えばイーサネット、ＣＡＮ－ＦＤ又はＦｌｅｘＲａｙ等の種々の通信規格が採用され得る。

　本例では、右後部の第２中継装置２０には２つの通信線３が接続され、一方の通信線３には２つのＥＣＵ４０が接続され、他方の通信線３には１つのＥＣＵ４０が接続されている。この第２中継装置２０は、一方の通信線３に接続されたＥＣＵ４０が送信したデータを、他方の通信線３へ中継すると共に、通信線２へ中継する。第２中継装置２０は、例えば受信したデータに付された識別情報、いわゆるＣＡＮＩＤに基づいて、このデータの中継先を決定してもよい。この場合、第２中継装置２０は、データに付されるＣＡＮＩＤと、中継先の通信線とを対応付けたテーブル等の情報を予め記憶している。

　無線通信装置３０は、例えば携帯電話通信網又は無線ＬＡＮ（Local Area Network）等の無線ネットワークを利用した通信を行うことにより、車両１の外部に存在するサーバ装置５０との間でデータの送受信を行うことができる。上述のように無線通信装置３０は通信線２を介して第１中継装置１０に接続されており、第１中継装置１０は無線通信装置３０と第２中継装置２０との間でデータの送受信を中継する。これにより、車両１に搭載された各ＥＣＵ４０は、無線通信装置３０、第１中継装置１０及び第２中継装置２０を介して、車両１の外部のサーバ装置５０との間でデータの送受信を行うことができる。

　ＥＣＵ４０は、例えば車両１のエンジンの動作を制御するＥＣＵ、ドアのロック／アンロックを制御するＥＣＵ、ライトの点灯／消灯を制御するＥＣＵ、エアバッグの動作を制御するＥＣＵ、及び、ＡＢＳ（Antilock Brake System）の動作を制御するＥＣＵ等の種々のＥＣＵが含まれ得る。本実施の形態においては、車両１に搭載される種々の装置としてＥＣＵ４０を挙げるが、車載の装置はＥＣＵに限るものではなく、その他の種々の装置であってよい。

　図２は、本実施の形態に係る故障判定方法の概要を説明するための模式図である。図２には、図１に示した車載通信システムの一部分として、１つの第１中継装置１０と、１つの第２中継装置２０と、１つのＥＣＵ４０とを抜き出した構成を示してある。第１中継装置１０及び第２中継装置２０は通信線２を介して接続され、第２中継装置２０及びＥＣＵ４０は通信線３を介して接続されている。第２中継装置２０は、第１中継装置１０及びＥＣＵ４０の間でデータの送受信（入出力）を中継する。

　以下においては、第１中継装置１０を制御装置とみなし、ＥＣＵ４０を被制御装置とみなし、第１中継装置１０が制御に関する入力データをＥＣＵ４０へ与え、この入力データに応じて動作及び処理等を行った結果をＥＣＵ４０が出力データとして第１中継装置１０へ応答するものとして説明を行う。

　ただし実際には、第１中継装置１０がＥＣＵ４０を直接的に制御するのではなく、ＥＣＵ４０を制御する他の装置に対して第１中継装置１０がデータの中継を行っている。また実際には、ＥＣＵ４０が出力するデータは、第１中継装置１０に対する応答として送信されるもののみでなく、車両１に搭載された他のＥＣＵ４０等の装置に対して送信されるものも含まれる。即ち、ＥＣＵ４０に対してデータを入力する入力元の装置は車両１に搭載された種々の装置であってよく、同様にＥＣＵ４０がデータを出力する出力先の装置は車両１に搭載された種々の装置であってよい。更には、ＥＣＵ４０へデータを入力する入力元の装置と、このデータに応じてＥＣＵ４０が出力するデータの送信先の装置とは、異なる装置であってもよい。

　本実施の形態において第２中継装置２０は、第１中継装置１０及びＥＣＵ４０の間でこの入力データ及び出力データの中継を行うものとする。更に、本実施の形態に係る第２中継装置２０は、ＥＣＵ４０への入力データと、ＥＣＵ４０からの出力データとの関係に基づいて、ＥＣＵ４０の故障の有無を判定する処理を行う。

　本実施の形態において第２中継装置２０は、第１中継装置１０からＥＣＵ４０への入力データが正常値、異常値若しくはフェールセーフ値のいずれであるかを判定する。同様に第２中継装置２０は、ＥＣＵ４０から第１中継装置１０への出力データが正常値、異常値若しくはフェールセーフ値のいずれであるかを判定する。加えて、本実施の形態において入力データ及び出力データは所定周期で繰り返し第２中継装置２０へ与えられるものとする。第２中継装置２０は、入力データ及び出力データの所定周期に対して一定の猶予期間を加えたタイムアウト判定時間を用い、前回のデータの入出力からタイムアウト判定時間が経過しても次のデータの入出力がない場合、「データなし」の状態であるかを判定する。正常値はデータが定められた数値範囲内であること、異常値はこの数値範囲外であることを示す。フェールセーフ値は、入力データの送信元の装置が自身の異常等を検知した場合に送信する特定の値である。

　第２中継装置２０は、ＥＣＵ４０への入力データが正常値、異常値、フェールセーフ値又はデータなしのいずれであるかと、ＥＣＵ４０からの出力データが正常値、異常値、フェールセーフ値又はデータなしのいずれであるかとの対応関係に応じて、ＥＣＵ４０の故障の有無を判定する。第２中継装置２０は、これらの対応関係と、ＥＣＵ４０の故障の有無とが対応付けられた判定テーブルを予め記憶し、この判定テーブルを用いて故障の有無を判定する。

＜装置構成＞
　図３は、本実施の形態に係る第２中継装置２０の構成を示すブロック図である。本実施の形態に係る第２中継装置２０は、処理部（プロセッサ）２１、記憶部（ストレージ）２２、第１通信部（トランシーバ）２３、及び、２つの第２通信部（トランシーバ）２４を備えて構成されている。処理部２１は、例えばＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro-Processing Unit）等の演算処理装置を用いて構成されている。処理部２１は、記憶部２２に記憶されたプログラムを読み出して実行することにより、種々の処理を行うことができる。本実施の形態において処理部２１は、記憶部２２に記憶されたプログラム２２ａを読み出して実行することにより、通信線２，３の間のメッセージを中継する処理及びＥＣＵ４０の故障の有無を判定する処理等を行う。

　記憶部２２は、例えばフラッシュメモリ又はＥＥＰＲＯＭ（Electrically Erasable Programmable Read Only Memory）等の不揮発性のメモリ素子を用いて構成されている。記憶部２２は、処理部２１が実行する各種のプログラム、及び、処理部２１の処理に必要な各種のデータを記憶する。本実施の形態において記憶部２２は、処理部２１が実行するプログラム２２ａと、中継処理においてデータの中継先を決定するための中継テーブル２２ｂと、ＥＣＵ４０の故障判定を行うための判定テーブル２２ｃとを記憶している。

　プログラム２２ａは、例えば第２中継装置２０の製造段階において記憶部２２に書き込まれてもよく、例えば遠隔のサーバ装置などが配信するものを第２中継装置２０が通信にて取得してもよく、例えばメモリカード又は光ディスク等の記録媒体９９に記録されたプログラムを第２中継装置２０が読み出して記憶部２２に記憶してもよく、例えば記録媒体９９に記録されたものを書込装置が読み出して第２中継装置２０の記憶部２２に書き込んでもよい。プログラム２２ａは、ネットワークを介した配信の態様で提供されてもよく、記録媒体９９に記録された態様で提供されてもよい。

　中継テーブル２２ｂは、受信したデータの中継先を決定するために用いられるテーブルである。中継テーブル２２ｂには、例えばデータに付されるＣＡＮＩＤ等の識別情報と、中継先となる通信線２，３を識別する識別情報が対応付けて記憶されている。

　判定テーブル２２ｃは、第２中継装置２０がＥＣＵ４０の故障の有無を判定する際に用いるテーブルである。判定テーブル２２ｃには、ＥＣＵ４０への入力データと、ＥＣＵからの出力データとの対応関係に対して、ＥＣＵ４０の故障の有無が定められたテーブルである。第２中継装置２０は、ＥＣＵ４０への入力データが正常値、異常値、フェールセーフ値又はデータなしのいずれであるかの判定結果と、ＥＣＵ４０からの出力データが正常値、異常値、フェールセーフ値又はデータなしのいずれであるかの判定結果とに基づいて判定テーブル２２ｃを参照することにより、このＥＣＵ４０が故障しているか否かを判定することができる。判定テーブル２２ｃの詳細については後述する。

　第１通信部２３は、通信線２が接続され、通信線２を介した第１中継装置１０との通信を行う。本実施の形態において第１通信部２３は、イーサネットの通信規格に従うデータの送受信を行う。第１通信部２３は、例えばイーサネットＰＨＹ（PHYsical layer）のＩＣ（Integrated Circuit）を用いて構成され得る。なお本実施の形態において第１通信部２３はイーサネットの通信規格に従って通信を行うものとするが、これに限るものではなく、例えばＣＡＮ、ＣＡＮ－ＦＤ又はＦｌｅｘＲａｙ等の通信規格に従って通信を行ってもよい。第１通信部２３は、処理部２１から与えられたデータを電気信号として通信線２へ出力することによりデータ送信を行う。第１通信部２３は、通信線２の電位をサンプリングして取得することにより、通信線２上の電気信号をデジタルデータに変換し、変換したデータを受信データとして処理部２１へ与える。

　本実施の形態に係る第２中継装置２０は、２つの第２通信部２４を備えている。各第２通信部２４は、通信線３が接続され、通信線３を介して一又は複数のＥＣＵ４０との通信を行う。本実施の形態において第２通信部２４は、ＣＡＮの通信規格に従うデータの送受信を行う。第２通信部２４は、例えばＣＡＮコントローラのＩＣを用いて構成され得る。なお本実施の形態において第２通信部２４はＣＡＮの通信規格に従って通信を行うものとするが、これに限るものではなく、例えばイーサネット、ＣＡＮ－ＦＤ又はＦｌｅｘＲａｙ等の通信規格に従って通信を行ってもよい。第２通信部２４は、処理部２１から与えられたデータを電気信号として通信線３へ出力することによりデータ送信を行う。第２通信部２４は、通信線３の電位をサンプリングして取得することにより、通信線３上の電気信号をデジタルデータに変換し、変換したデータを受信データとして処理部２１へ与える。第２通信部２４は、通信線３に対して複数の装置が同時的にデータを送信した場合に、いずれか１つの装置に送信権利を画定するためのアービトレーション処理を行う。

　本実施の形態に第２中継装置２０は、記憶部２２に記憶されたプログラム２２ａを処理部２１が読み出して実行することにより、中継処理部２１ａ、入力判定部２１ｂ、出力判定部２１ｃ、故障判定部２１ｄ及び故障通知部２１ｅ等が処理部２１にソフトウェア的な機能ブロックとして実現される。中継処理部２１ａは、第１通信部２３又は第２通信部２４のいずれかにて受信したデータを、別の第１通信部２３又は第２通信部２４から送信することで、データを中継する処理を行う。中継処理部２１ａは、受信したデータに付されたＣＡＮＩＤを取得して記憶部２２の中継テーブル２２ｂを参照し、中継テーブル２２ｂにてＣＡＮＩＤに対応付けられた送信先を調べる。中継処理部２１ａは、中継テーブル２２ｂにて指定された送信先の第１通信部２３又は第２通信部２４へデータを与え、第１通信部２３又は第２通信部２４にこのデータの送信を行わせる。

　入力判定部２１ｂは、故障判定の対象となるＥＣＵ４０に対して中継するデータ、即ちＥＣＵ４０への入力データが、正常値、異常値、フェールセーフ値又はデータなしのいずれであるかを判定する。入力判定部２１ｂは、ＥＣＵ４０へ中継するデータの値が特定の値であるか否かに基づいて、このデータがフェールセーフ値であるか否かを判定することができる。入力判定部２１ｂは、データの値が所定範囲内であるか否かに基づいて、このデータが正常値であるか異常値であるかを判定することができる。入力判定部２１ｂは、所定周期でＥＣＵ４０へ中継すべきデータが、所定周期に一定の待機時間を加えたタイムアウト判定時間内に第１中継装置１０から与えられたか否かに応じて、ＥＣＵ４０への入力データのあり又はなしを判定することができる。

　出力判定部２１ｃは、故障判定の対象となるＥＣＵ４０からのデータ、即ちＥＣＵ４０の出力データが、正常値、異常値、フェールセーフ値又はデータなしのいずれであるかを判定する。出力判定部２１ｃは、ＥＣＵ４０からのデータの値が特定の値であるか否かに基づいて、このデータがフェールセーフ値であるか否かを判定することができる。出力判定部２１ｃは、データの値が所定範囲内であるか否かに基づいて、このデータが正常値であるか異常値であるかを判定することができる。出力判定部２１ｃは、所定周期で出力されるべきデータが、所定周期に一定の待機時間を加えたタイムアウト判定時間内にＥＣＵ４０から与えられたか否かに応じて、ＥＣＵ４０からの出力データのあり又はなしを判定することができる。

　故障判定部２１ｄは、入力判定部２１ｂによる入力データの判定結果と、出力判定部２１ｃによる出力データの判定結果とに基づいて、記憶部２２に記憶された判定テーブル２２ｃを参照することにより、ＥＣＵ４０が故障しているか否かを判定する処理を行う。

　故障通知部２１ｅは、故障判定部２１ｄによりＥＣＵ４０が故障していると判定された場合に、第１中継装置１０への通知を行うことができる。ＥＣＵ４０の故障の通知を受信した第１中継装置１０は、このＥＣＵ４０への入力データの送信元の装置に対して通知を送信することができる。更に、入力データの送信元の装置は、第１中継装置１０にて中継された通知を受信し、例えば通知内容の記録、故障が生じたＥＣＵ４０の停止制御、又は、詳細な故障内容の調査等の種々の処理を行うことができる。第１中継装置１０は、ＥＣＵ４０の故障を、無線通信装置３０を介して車両１の外部のサーバ装置５０へ通知してもよい。

＜故障判定処理＞
　図４は、本実施の形態に係るＥＣＵ４０の正常時における入出力の対応関係の一例を示す模式図である。本例においては、第２中継装置２０がＥＣＵ４０へ入力する入力データは、入力正常値１、入力正常値２、入力フェールセーフ値、入力異常値又は入力なしの５つに分類される。入力正常値１及び入力正常値２は、いずれも正常な値を持つ入力データであるが、その値の範囲が異なるものとする。入力フェールセーフ値は、入力データの送信元の装置の異常等に応じて送信されるデータであり、予め定められた特定値である。入力異常値は、上記の入力正常値１、入力正常値２及び入力フェールセーフ値以外の値である。入力なしは、所定周期で入力されるべき入力データについて、所定周期に一定の待機時間を加えたタイムアウト判定時間を過ぎても第２中継装置２０にて入力データが受信できない場合である。

　故障していない正常時のＥＣＵ４０は、入力正常値１に対して出力正常値１の出力データを出力し、入力正常値２に対して出力正常値２の出力データを出力する。入力フェールセーフ値、入力異常値及び入力なしに対して、正常時のＥＣＵ４０は、出力フェールセーフ値の出力データを出力する。出力正常値１及び出力正常値２は、いずれも正常な値を持つ出力データであるが、その値の範囲が異なるものとする。出力フェールセーフ値は、ＥＣＵ４０が自身の故障又は他の装置の異常等により正常値を出力することができない場合に出力するデータであり、予め定められた特定値である。ＥＣＵ４０の出力データには、ＥＣＵ４０の異常時に出力されるデータとして、出力異常値及び出力なしが含まれる。出力異常値は、上記の出力正常値１、出力正常値２及び出力フェールセーフ値以外の値である。出力なしは、所定周期で出力されるべき出力データについて、所定周期に一定の待機時間を加えたタイムアウト判定時間を過ぎてもＥＣＵ４０が出力データを出力しない場合である。

　図５及び図６は、本実施の形態に係る判定テーブル２２ｃの一例を示す模式図である。第２中継装置２０が記憶部２２に記憶している判定テーブル２２ｃは、ＥＣＵ４０への入力データと、ＥＣＵ４０からの出力データと、ＥＣＵ４０の故障の有無とが対応付けて記憶されたテーブルである。本例においては、入力データが入力正常値１であり、且つ、出力データが出力正常値１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力正常値１であり、且つ、出力データが出力正常値２、出力フェールセーフ値、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　本例においては、入力データが入力正常値２であり、且つ、出力データが出力正常値２である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力正常値２であり、且つ、出力データが出力正常値１、出力フェールセーフ値、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　本例においては、入力データが入力フェールセーフ値であり、且つ、出力データが出力フェールセーフ値である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力フェールセーフ値であり、且つ、出力データが出力正常値１、出力正常値２、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　本例においては、入力データが入力異常値であり、且つ、出力データが出力フェールセーフ値である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力異常値であり、且つ、出力データが出力正常値１、出力正常値２、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　本例においては、入力データが入力なしであり、且つ、出力データが出力フェールセーフ値である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力なしであり、且つ、出力データが出力正常値１、出力正常値２、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　第２中継装置２０は、第１中継装置１０から受信したＥＣＵ４０への入力データと、この入力データに応じてＥＣＵ４０が出力した出力データとを取得する。第２中継装置２０は、取得した入力データが入力正常値１、入力正常値２、入力フェールセーフ値、入力異常値又は入力なしのいずれであるかを判定する。同様に、第２中継装置２０は、取得した出力データが出力正常値１、出力正常値２、出力フェールセーフ値、出力異常値又は出力なしのいずれであるかを判定する。第２中継装置２０は、入力データ及び出力データの判定結果に基づいて判定テーブル２２ｃを参照し、ＥＣＵ４０の故障の有無を判定することができる。

　図７は、本実施の形態に係る第２中継装置２０が行う故障判定処理の手順を示すフローチャートである。本実施の形態に係る第２中継装置２０の処理部２１の入力判定部２１ｂは、判定対象のＥＣＵ４０に対して中継する入力データを取得する（ステップＳ１）。入力判定部２１ｂは、取得した入力データが入力正常値１、入力正常値２、入力フェールセーフ値、入力異常値又は入力なしのいずれであるかを判定する（ステップＳ２）。処理部２１の出力判定部２１ｃは、入力データに応じてＥＣＵ４０が出力する出力データを取得する（ステップＳ３）。出力判定部２１ｃは、取得した出力データが出力正常値１、出力正常値２、出力フェールセーフ値、出力異常値又は出力なしのいずれであるかを判定する（ステップＳ４）。

　入力データ及び出力データのそれぞれの判定を終えた後、処理部２１の故障判定部２１ｄは、記憶部２２に記憶している判定テーブル２２ｃを参照する（ステップＳ５）。故障判定部２１ｄは、ステップＳ２にて判定した入力データと、ステップＳ４にて判定した出力データとに対応する故障の有無を判定テーブル２２ｃから取得することにより、ＥＣＵ４０が故障しているか否かを判定する（ステップＳ６）。ＥＣＵ４０が故障していないと判定した場合（Ｓ６：ＮＯ）、処理部２１はステップＳ１へ処理を戻し、以降の入力データ及び出力データについて同様の処理を繰り返し行う。

　ＥＣＵ４０が故障していると判定した場合（Ｓ６：ＹＥＳ）、処理部２１の故障通知部２１ｅは、ＥＣＵ４０が故障している旨を第１中継装置１０等へ通知する（ステップＳ７）。処理部２１は、ＥＣＵ４０の故障に関する情報を記憶部２２に記憶する（ステップＳ８）。処理部２１は、故障したと判定した装置を遮断する処理を行い（ステップＳ９）、処理を終了する。例えば第２中継装置２０は、故障したと判定したＥＣＵ４０の動作を停止させることで、ＥＣＵ４０を車両１内のネットワークから遮断することができる。本フローチャートのステップＳ７～Ｓ９は、必ずしも行われる必要はない。

　図８は、本実施の形態に係る第２中継装置２０が行うデータ判定処理の手順を示すフローチャートである。このデータ判定処理は、図７に示した故障判定処理のステップＳ２及びＳ４において、入力データ及び出力データに対してそれぞれ行われる処理である。ただし本フローチャートでは、データの正常値について、入力正常値１，２及び出力正常値１，２の判別は省略している。

　本実施の形態に係る第２中継装置２０の処理部２１は、ＥＣＵ４０への入力データ又はＥＣＵ４０からの出力データの有無を判定する（ステップＳ２１）。データがない場合（Ｓ２１：ＮＯ）、処理部２１は、前回のデータ取得から所定のタイムアウト判定時間が経過したか否かを判定する（ステップＳ２２）。タイムアウト判定時間が経過した場合（Ｓ２２：ＹＥＳ）、処理部２１は、ＥＣＵ４０への入力データ又はＥＣＵ４０からの出力データについて、データなしと判定し（ステップＳ２３）、処理を終了する。タイムアウト判定時間が経過していない場合（Ｓ２２：ＮＯ）、処理部２１は、ステップＳ２１へ処理を戻す。

　データがある場合（Ｓ２１：ＹＥＳ）、処理部２１は、このデータに含まれる値を取得し（ステップＳ２４）、取得した値が特定の値であるか否かを判定する（ステップＳ２５）。データが特定の値である場合（Ｓ２５：ＹＥＳ）、処理部２１は、ＥＣＵ４０への入力データ又はＥＣＵ４０からの出力データについて、フェールセーフ値と判定し（ステップＳ２６）、処理を終了する。

　データの値が特定の値ではない場合（Ｓ２５：ＮＯ）、処理部２１は、データの値が所定範囲内であるか否かを判定する（ステップＳ２７）。値が所定範囲内である場合（Ｓ２７：ＹＥＳ）、処理部２１は、ＥＣＵ４０への入力データ又はＥＣＵ４０からの出力データについて、正常値と判定し（ステップＳ２８）、処理を終了する。値が所定範囲内でない場合（Ｓ２７：ＮＯ）、処理部２１は、ＥＣＵ４０への入力データ又はＥＣＵ４０からの出力データについて、異常値と判定し（ステップＳ２９）、処理を終了する。

＜まとめ＞
　本実施の形態に係る車載通信システムでは、第１中継装置１０及びＥＣＵ４０の間のデータの入出力を第２中継装置２０が中継する。第２中継装置２０は、ＥＣＵ４０への入力データと、これに応じたＥＣＵ４０の挙動を示す出力データとの対応関係に基づいて、ＥＣＵ４０の故障の有無を判定する。これにより第２中継装置２０は、ＥＣＵ４０に対するデータの入出力を監視することで、ＥＣＵ４０の故障の有無を精度よく判定することが期待できる。

　本実施の形態に係る車載通信システムでは、ＥＣＵ４０に対して入出力されるデータが正常値、異常値、フェールセーフ値又はデータなしのいずれであるかが判定される。第２中継装置２０は、ＥＣＵ４０への入力データが正常値、異常値、フェールセーフ値又はデータなしのいずれであるかと、ＥＣＵ４０からの出力データが正常値、異常値、フェールセーフ値又はデータなしのいずれであるかとの対応関係に応じて故障の有無が定められた判定テーブル２２ｃを用いて、ＥＣＵ４０の故障の有無を判定する。これにより第２中継装置２０は、ＥＣＵ４０への入力データがいずれの値であるかの判定結果と、ＥＣＵ４０からの出力データがいずれの値であるかの判定結果との組み合わせにより、判定テーブル２２ｃを参照して容易にＥＣＵ４０の故障の有無を判定することができる。

　本実施の形態においては、ＥＣＵ４０に対する入出力データを正常値、異常値、フェールセーフ値又はデータなしの４種に分類して故障を判定しているが、データの分類はこの４種に限るものではなく、更に別種の値に分類してもよい。入出力データの分類数は３種以下であってもよい。入出力データの分類に対する名称は正常値、異常値、フェールセーフ値又はデータなしである必要はない。例えば入出力データの分類を区別するために２ビットのデータが割り当てられ、入出力データを４種に分類可能である場合、この４種の全てが正常値として扱われてもよい。このような場合、例えば４種の分類に対して正常値又は異常値等の名称が付されていなくてよく、例えば４種の分類の１つが実質的にフェールセーフ値に相当するものであってもよい。

　本実施の形態においては、正常値について正常値１及び正常値２の２種に分類したが、これに限るものではなく、１種のみ又は３種以上に分類してもよい。本実施の形態においては、入力データ及び出力データにフェールセーフ値を含むが、これに限るものではない。図５及び図６に示した判定テーブル２２ｃにおける入力データ及び出力データの対応関係に対するＥＣＵ４０の故障の有無は一例であって、これに限るものではない。

（変形例）
　変形例に係る車載通信システムでは、ＥＣＵ４０がフェールセーフ機能により特定値をフェールセーフ値として出力するのではなく、正常値とみなされる値をフェールセーフ値として出力する。図９は、変形例に係るＥＣＵ４０の正常時における入出力の対応関係の一例を示す模式図である。変形例においては、第２中継装置２０がＥＣＵ４０へ入力する入力データは、入力正常値１、入力正常値２、入力フェールセーフ値、入力異常値又は入力なしの５つに分類される。これに対して、変形例に係るＥＣＵ４０は、入力正常値１に対して出力正常値１の出力データを出力し、入力正常値２に対して出力正常値２の出力データを出力する。なおＥＣＵ４０は、出力正常値１に含まれる一又は複数の値を、フェールセーフ値として用いる。ＥＣＵ４０は、入力フェールセーフ値、入力異常値及び入力なしに対して出力正常値１を出力する。出力正常値１及び２は、いずれも正常な値を持つ出力データであるが、その値の範囲が異なるものとする。

　図１０及び図１１は、変形例に係る判定テーブル２２ｃの一例を示す模式図である。変形例においては、入力データが入力正常値１であり、且つ、出力データが出力正常値１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力正常値１であり、且つ、出力データが出力正常値２、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　変形例においては、入力データが入力正常値２であり、且つ、出力データが出力正常値２である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力正常値２であり、且つ、出力データが出力正常値１、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　変形例においては、入力データが入力フェールセーフ値であり、且つ、出力データが出力正常値１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力フェールセーフ値であり、且つ、出力データが出力正常値２、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　変形例においては、入力データが入力異常値であり、且つ、出力データが出力正常値１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力異常値であり、且つ、出力データが出力正常値２、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　変形例においては、入力データが入力なしであり、且つ、出力データが出力正常値１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力なしであり、且つ、出力データが出力正常値２、出力異常値又は出力なしである場合、ＥＣＵ４０は故障ありとされる。

　変形例に係る第２中継装置２０は、第１中継装置１０から受信したＥＣＵ４０への入力データと、この入力データに応じてＥＣＵ４０が出力した出力データとを取得する。第２中継装置２０は、取得した入力データが入力正常値１、入力正常値２、入力フェールセーフ値、入力異常値又は入力なしのいずれであるかを判定する。第２中継装置２０は、取得した出力データが出力正常値１、出力正常値２、出力異常値又は出力なしのいずれであるかを判定する。第２中継装置２０は、入力データ及び出力データの判定結果に基づいて判定テーブル２２ｃを参照し、ＥＣＵ４０の故障の有無を判定することができる。

　変形例においては入力データに入力フェールセーフ値を含むが、入力データについても入力フェールセーフ値を含まなくてもよい。図１０及び図１１に示した判定テーブル２２ｃにおける入力データ及び出力データの対応関係に対するＥＣＵ４０の故障の有無は一例であって、これに限るものではない。

＜実施の形態２＞
　図１２は、実施の形態２に係る第２中継装置２０の構成を示すブロック図である。実施の形態２に係る第２中継装置２０は、ＥＣＵ４０に対する電力供給の制御を行う機能を備えている。このため、実施の形態２に係る第２中継装置２０は、電力供給部２５を更に備えている。電力供給部２５は、例えば車両１のバッテリ（又はバッテリからの電力を第２中継装置２０へ供給する他の装置）と電力線４を介して接続されると共に、第２中継装置２０に通信線３を介して接続されたＥＣＵ４０と電力線５を介して接続されている。電力供給部２５は、バッテリから供給される電力を第２中継装置２０の各部へ供給すると共に、電力線４を介してＥＣＵ４０へ電力を供給する。電力供給部２５は、処理部２１からの制御命令等に従って、ＥＣＵ４０に対する電力の供給及び非供給を切り替えることができる。電力供給部２５は、ＥＣＵ４０へ供給する電力の電力量を検知し、検知した電力量を処理部２１へ通知する。

　実施の形態２に係る第２中継装置２０は、ＥＣＵ４０への入力データと、これに応じて動作した際のＥＣＵ４０への供給電力量との対応関係に基づいて、ＥＣＵ４０の故障の有無を判定する。このため、実施の形態２に係る第２中継装置２０は、出力判定部２１ｃに代えて、電力判定部２１ｆが処理部２１に設けられている。電力判定部２１ｆは、電力供給部２５が検知したＥＣＵ４０への供給電力量について、正常電力量、異常電力量又は電力供給なしのいずれであるかを判定する。故障判定部２１ｄは、入力判定部２１ｂの判定結果と、電力判定部２１ｆの判定結果とに基づいて記憶部２２の判定テーブル２２ｃを参照し、ＥＣＵ４０の故障の有無を判定する。

　図１３は、実施の形態２に係るＥＣＵ４０の正常時における入力データと電力量との対応関係の一例を示す模式図である。本例においては、第２中継装置２０がＥＣＵ４０へ入力する入力データは、入力正常値１、入力正常値２、入力フェールセーフ値、入力異常値又は入力なしの５つに分類される。正常時のＥＣＵ４０へは、入力正常値１に対して正常電力量１の電力が供給され、入力正常値２に対して正常電力量２の電力が供給される。ＥＣＵ４０へは、入力フェールセーフ値、入力異常値及び入力なしに対して正常電力量１の電力が供給される。正常電力量１は、電力供給量が極めて少ない状態であり、ＥＣＵ４０が動作していない状態、いわゆるスリープモード又はスタンバイモード等の状態での電力供給量（スリープ値）である。正常電力量２は、ＥＣＵ４０が動作している状態で取り得る正常な電力供給量である。またＥＣＵ４０への電力量には、ＥＣＵ４０の異常時に供給される電力量として、異常電力量が含まれる。異常電力量は、正常電力量１，２の範囲に含まれない電力量である。

　図１４及び図１５は、実施の形態２に係る判定テーブル２２ｃの一例を示す模式図である。実施の形態２に係る第２中継装置２０が記憶部２２に記憶している判定テーブル２２ｃは、ＥＣＵ４０への入力データと、ＥＣＵ４０へ供給される電力量と、ＥＣＵ４０の故障の有無とが対応付けて記憶されたテーブルである。本例においては、入力データが入力正常値１であり、且つ、電力量が正常電力量１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力正常値１であり、且つ、電力量が正常電力量２又は異常電力量である場合、ＥＣＵ４０は故障ありとされる。

　実施の形態２においては、入力データが入力正常値２であり、且つ、電力量が正常電力量２である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力正常値２であり、且つ、電力量が正常電力量１又は異常電力量である場合、ＥＣＵ４０は故障ありとされる。

　実施の形態２においては、入力データが入力フェールセーフ値であり、且つ、電力量が正常電力量１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力フェールセーフ値であり、且つ、電力量が正常電力量２又は異常電力量である場合、ＥＣＵ４０は故障ありとされる。

　実施の形態２においては、入力データが入力異常値であり、且つ、電力量が正常電力量１値である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力異常値であり、且つ、電力量が正常電力量２又は異常電力量である場合、ＥＣＵ４０は故障ありとされる。

　実施の形態２においては、入力データが入力なしであり、且つ、電力量が正常電力量１である場合に、ＥＣＵ４０は正常である（故障していない）。これに対して、入力データが入力なしであり、且つ、電力量が正常電力量２又は異常電力量である場合、ＥＣＵ４０は故障ありとされる。

　実施の形態２に係る第２中継装置２０は、第１中継装置１０から受信したＥＣＵ４０への入力データと、この入力データに応じてＥＣＵ４０が動作した際に供給される電力量とを取得する。第２中継装置２０は、取得した入力データが入力正常値１、入力正常値２、入力フェールセーフ値、入力異常値又は入力なしのいずれであるかを判定する。第２中継装置２０は、取得した電力量が正常電力量１、正常電力量２又は異常電力量のいずれであるかを判定する。第２中継装置２０は、入力データ及び電力量の判定結果に基づいて判定テーブル２２ｃを参照し、ＥＣＵ４０の故障の有無を判定することができる。

　以上の構成の実施の形態２に係る車載通信システムでは、第２中継装置２０がＥＣＵ４０へ供給される電力量を検知し、ＥＣＵ４０への入力データと、これに応じてＥＣＵ４０が動作した際の電力量との対応関係に基づいて、ＥＣＵ４０の故障の有無を判定する。これにより、入力データに応じて動作したＥＣＵ４０にて過大な電力が消費されている場合又は電力消費が過度に少ない場合等に、第２中継装置２０がＥＣＵ４０の故障の有無を判定することができる。

　実施の形態２においては、入力データに入力フェールセーフ値を含むが、入力データに入力フェールセーフ値を含まなくてもよい。図１４及び図１５に示した判定テーブル２２ｃにおける入力データ及び電力量の対応関係に対するＥＣＵ４０の故障の有無は一例であって、これに限るものではない。

　実施の形態２に係る車載通信システムのその他の構成は、実施の形態１に係る車載通信システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。

　車載通信システムにおける各装置は、マイクロプロセッサ、ＲＯＭ及びＲＡＭ等を含んで構成されるコンピュータを備える。マイクロプロセッサ等の演算処理部は、図７及び図８に示すような、シーケンス図又はフローチャートの各ステップの一部又は全部を含むコンピュータプログラムを、ＲＯＭ、ＲＡＭ等の記憶部からそれぞれ読み出して実行してよい。これら複数の装置のコンピュータプログラムは、それぞれ、外部のサーバ装置等からインストールすることができる。これら複数の装置のコンピュータプログラムは、それぞれ、ＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、半導体メモリ等の記録媒体に格納された状態で流通する。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本開示の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　１　車両
　２　通信線
　３　通信線
　４　電力線
　５　電力線
　１０　第１中継装置（制御装置）
　２０　第２中継装置（車載中継装置）
　２１　処理部
　２１ａ　中継処理部
　２１ｂ　入力判定部
　２１ｃ　出力判定部
　２１ｄ　故障判定部（判定部）
　２１ｅ　故障通知部
　２１ｆ　電力判定部（検知部）
　２２　記憶部
　２２ａ　プログラム
　２２ｂ　中継テーブル
　２２ｃ　判定テーブル
　２３　第１通信部
　２４　第２通信部
　２５　電力供給部
　３０　無線通信装置
　４０　ＥＣＵ（被制御装置）
　５０　サーバ装置
　９９　記録媒体

Claims

　制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信する中継処理部と、
　前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する判定部と
　を備える車載中継装置。
　前記判定部は、前記被制御装置へ入力したデータ、及び、当該データの入力に応じて前記被制御装置が出力したデータの対応関係に基づいて、前記被制御装置の故障の有無を判定する、請求項１に記載の車載中継装置。
　前記被制御装置へ供給される電力量を検知する検知部を備え、
　前記判定部は、前記被制御装置へ入力したデータ、及び、当該データの入力に応じて前記被制御装置が動作した際に前記検知部が検知した電力量の対応関係に基づいて、前記被制御装置の故障の有無を判定する、請求項１又は請求項２に記載の車載中継装置。
　コンピュータに、
　制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信し、
　前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する
　処理を実行させる、コンピュータプログラム。
　制御装置から受信したデータを被制御装置へ入力し、且つ、前記被制御装置が出力したデータを前記制御装置又は他の被制御装置へ送信し、
　前記被制御装置へ入力したデータ、及び、当該データの入力に応じた前記被制御装置の動作結果の対応関係に基づいて、前記被制御装置の故障の有無を判定する
　故障判定方法。