車載控制裝置或車載控制系統的制作方法

本發明涉及一種車載用電子控制裝置。

背景技術：

車輛控制裝置的電子控制化的加速使得近年來的車輛在每1輛中搭載有大量電子控制裝置(參考專利文獻1等)。這些電子控制裝置的驅動電力供給自電池等電源。此外，在電源與電子控制裝置之間通常插入有電源繼電器作為驅動電力的供給/切斷單元。此外，在該電子控制裝置所控制的對象裝置中通常也插入有電源繼電器或者供給/切斷電源的電路。

在各電子控制裝置發生一些異常的情況下，必須朝安全方向對相應系統進行控制，通常是利用監視微型計算機或者自身的主微型計算機來檢測異常，并切斷對象裝置的電源繼電器或電源供給電路，由此轉移至故障保險狀態，這種技術已有揭示。

例如，在發動機的電子控制裝置中，進行節氣門控制/點火控制/燃料噴射控制的主微型計算機利用輸入系統/運算系統/輸出系統/存儲系統而分別進行自身是否正常的自診斷，而且通過將子微型計算機這樣的監視裝置安裝在同一電子控制裝置內來監視主微型計算機的功能故障，在檢測到故障的情況下，切斷該電子控制裝置所控制的電子節流閥的電源繼電器，并在硬件上切斷燃料噴射閥的輸出部。

通過設為這種構成，即便因主微型計算機異常而導致無法保證將控制對象轉移至故障保險狀態，也可通過子微型計算機這樣的監視裝置而可靠地轉移至故障保險，這種技術已為人所知。

此外，已知有如下技術：對與實現預先規定的功能的由LAN連接起來的多個電子控制裝置相連的電源繼電器設置進行統括控制的電子控制裝置，通過電源繼電器的狀態來檢測通信狀態的有無，從而判定電源繼電器是否故障(參考專利文獻2等)。

現有技術文獻

專利文獻

專利文獻1：日本專利特開2009-196453號公報

專利文獻2：日本專利特開2008-88885號公報

技術實現要素：

發明要解決的問題

然而，專利文獻1中所提出的方式的前提是在電子控制裝置內安裝有子微型計算機這樣的監視裝置，而若是新安裝監視裝置，則會導致電子控制裝置的成本提高。

此外，在電子控制裝置內未安裝有監視裝置的情況下，雖然有可能通過自診斷來檢測到功能故障，但微型計算機內的某些故障部位(例如運算部或輸出部)會導致無法轉移至故障保險狀態。

此外，有時因電子控制裝置的安裝面積等硬件的制約而導致無法安裝監視裝置，在該情況下也一樣，即便可通過自診斷來檢測到功能故障，某些故障部位也會導致無法保證能夠可靠地轉移至故障保險狀態。

關于專利文獻2，由于是通過與經由不同于作為故障檢測對象的繼電器的其他繼電器而與電源連接的車載電子設備的通信來進行檢測的方法，因此，除了監視裝置和對象繼電器所連接的電子控制裝置以外，還需要與用以進行比較的其他電源繼電器連接的電子控制裝置，從而導致總的系統成本上升。

此外，該文獻主要是著眼于異常檢測的方法，并未記載異常檢測后的系統方面的動作(故障保險處理)。

本發明是鑒于上述問題而成，其目的在于檢測車輛用自動變速器的電子控制裝置的電源切斷電路的故障，并提供如下技術：通過上位電子控制裝置來檢測異常，在判斷為異常的情況下，不依賴于車輛用自動變速器的電子控制裝置而安全地轉移至故障保險狀態。

解決問題的技術手段

為了達成上述目的，本發明的特征在于具有以下手段。

本發明的一形態的車輛用自動變速器的電子控制裝置(以下，稱為ATCU)的監視系統的特征在于，包括：上位電子控制裝置(以下，稱為監視裝置)，其作為檢測ATCU的異常的硬件而獨立；電力供給單元，其對ATCU及監視裝置供給驅動電力；電力供給單元，其通過從外部對監視裝置輸入的啟動用開關信號(以下，稱為IGNSW)，在IGNSW為有效電平的情況下，對監視裝置供給驅動電力；第1繼電器(以下，稱為IGN繼電器)，其裝入在電源供給單元與監視裝置之間，供給/切斷去往監視裝置的電力；第2繼電器(以下，稱為ATCU繼電器)，其由監視裝置判斷可否對ATCU供給驅動電力并控制電力的供給/切斷，設置在IGN繼電器的下游；以及通信線，其用以在ATCU和監視裝置中進行診斷，監視裝置在特定時刻對ATCU繼電器進行ON/OFF操作，并與該時刻同步地確認來自ATCU的通信中斷這一情況，由此確認ATCU繼電器的故障。

另一形態的監視裝置的特征在于，在IGNSW從低電平變為有效電平的情況下，在實施普通控制之前實施ATCU繼電器的故障診斷。

另一形態的監視裝置的特征在于，在IGNSW從低電平變為有效電平的情況下，實施該微型計算機的自診斷，只有在診斷結果正常的情況下才將ATCU繼電器設為ON而對ATCU供給電力。

另一形態的ATCU的特征在于，在啟動后，實施該微型計算機的自診斷，只有在診斷結果正常的情況下才使用所述通信線向所述上位控制裝置發送切斷電路診斷要求。

另一形態的監視裝置的特征在于，在使用通信線而從ATCU接收到切斷電路診斷要求的情況下，將ATCU繼電器控制為OFF而切斷對ATCU的供電。

另一形態的ATCU的特征在于，其對供電被切斷的ATCU將使用通信線的與監視裝置的通信中斷這一情況進行檢測。

另一形態的監視裝置的特征在于，在檢測到通信中斷的情況下，將ATCU的電源切斷電路診斷判斷為正常，相反，在盡管將ATCU繼電器控制為OFF、但與ATCU的通信仍然生效的情況下，將電源切斷電路診斷判斷為異常。

另一形態的ATCU的特征在于，在從監視裝置經由所述通信線而接收到電源切斷電路診斷異常的信息的情況下，轉移至故障保險狀態例如待機狀態，不進行車輛用自動變速器的控制即螺線管閥的液壓控制。

發明的效果

根據本發明，通過利用并不限于安裝在車輛用自動變速器的電子控制裝置(ATCU)中、而是安裝在近年來的大部分電子控制裝置中的CAN等網絡通信路徑，可將其他電子控制裝置當作ATCU的監視裝置，而且，監視側的其他電子控制裝置控制ATCU的電源繼電器。

通過設為上述系統構成，監視裝置在計劃好的時刻對ATCU繼電器進行OFF操作，通過該操作來確認來自ATCU的通信狀態，由此可檢測ATCU繼電器的ON/OFF故障。

此外，在監視裝置檢測到ATCU的異常的情況下，通過在監視側將ATCU的電源繼電器設為OFF，可停止ATCU的動作，從而可防止因ATCU失控而導致無法將電源繼電器設為OFF而帶來聯鎖等巨大損失。

此外，在ATCU繼電器固定在ON狀態的情況下，通過監視裝置向ATCU發送故障信息，ATCU自身可進行轉移至待機狀態等故障保險處理。

如上所述，通過將車輛中所安裝的其他電子控制裝置作為監視裝置，無須對ATCU自身安裝監視電路，有可降低系統成本的優點。

附圖說明

圖1為表示展示本發明的實施方式的監視系統的一例的圖。

圖2為表示初次啟動時的ELOP-ATCU間的監視步驟的流程圖。

圖3為表示普通動作時的ELOP-ATCU間的監視步驟的流程圖。

圖4為電源切斷電路診斷步驟的說明圖。

圖5為平常(初次啟動)時的電源切斷電路診斷時間圖。

圖6為SSOFF延遲中的恢復時的電源切斷電路診斷時間圖。

圖7為表示以往的ELOP-ATCU的關系的系統構成圖。

圖8為表示對于來自ELOP的問題數據的在ATCU中的回答數據的算出步驟的流程圖。

具體實施方式

下面，使用附圖，對本發明的實施例進行說明。

實施例1

使用圖1至3，對本發明的第一實施例進行說明。

圖1表示以控制車輛的自動變速器的變速器控制裝置(以下，稱為ATCU)1為監視對象的、本發明的一實施方式。作為監視對象，也可為對發動機、安全帶、馬達等搭載在車輛中的其他電氣安裝件進行控制的電子控制裝置。

圖1為以電動油泵控制裝置(以下，稱為ELOP)2為監視裝置的ATCU 1的監視系統的概略圖。包括：ATCU 1，其成為監視對象；ELOP 2，其作為硬件而獨立于ATCU 1，成為監視側；IGN繼電器3，其供給/切斷對ELOP 2的驅動電力；ATCU繼電器4，其由ELOP 2進行ON/OFF控制，對ATCU供給/切斷驅動電力；電源(電池，或者也可為未圖示的發電機)5，其對各電子控制裝置供給驅動電力；IGNSW 6，其通過來自駕駛員的操作而受到ON/OFF操作，控制是否對ELOP 2或各電子控制裝置供給驅動電力；以及螺線管閥7，其根據來自ATCU 1的指令來連接/斷開自動變速器的離合器。ATCU繼電器4具有可實現電流的供給/切斷的開關功能即可，可為通過接點移動來進行ON/OFF的機械式繼電器，也可為利用半導體開關元件的半導體繼電器。

ATCU 1包括：微型計算機8，其為進行對多個螺線管閥7的驅動量的算出以及輸出的切換的控制電路；電源供給電路9，其將來自電源5的供給電壓轉換為微型計算機8的驅動電壓而加以供給；通信I/F電路10，其用以與ELOP 2進行通信；以及驅動電路11，其將由微型計算機8算出的對螺線管閥7的驅動量轉換為電壓。

ELOP 2包括：微型計算機12，其為進行對油泵的驅動量的算出以及輸出的控制電路，所述油泵對自動變速器的液壓油進行加壓；電源供給電路14，其將來自電源5的供給電壓轉換為微型計算機12的驅動電壓而加以供給；通信I/F電路13，其用以與ATCU 1進行通信；以及ATCU繼電器控制電路15，其對ATCU繼電器4進行ON/OFF控制，從而控制供給至外部的電子控制裝置即ATCU的電力。作為ATCU繼電器控制電路15，圖1中圖示的是晶體管。在ATCU繼電器4的驅動所需的電壓為微型計算機12的輸出電壓便足夠的情況、或者將晶體管配備在ELOP 2外部的情況下，ELOP 2內并非必需晶體管。在該情況下，作為ATCU繼電器控制電路15，用以供微型計算機12驅動ATCU繼電器4的輸出信號線較為合適。

ATCU 1中所安裝的通信I/F電路10和驅動電路11直接連接有ATCU繼電器4的電源。此外，微型計算機8也隔著電源供給電路9而設置在ATCU繼電器4的下游。

在電源供給電路9上分別連接有不經由IGN繼電器3和ATCU繼電器4而供給來自電源5的電力的路徑、以及經由IGN繼電器3和ATCU繼電器4而供給來自電源5的電力的路徑。在由駕駛員將IGNSW 6設為ON而使得IGN繼電器3變為ON之后，通過ELOP 2將ATCU繼電器4設為ON，由此，得以從經由各種繼電器的路徑供給電力。其后，電源供給電路9對微型計算機8等電子元件供給規定的驅動電壓。微型計算機8接收來自電源供給電路9的驅動電壓，在規定的重置處理之后，開始螺線管閥7的控制。

當由駕駛員將IGNSW 6設為OFF時，IGN繼電器3變為OFF，從經由各種繼電器的路徑向電源供給電路9的電力供給被切斷。此處，電源供給電路9經過規定的自關斷延遲期間而轉移至自關斷期間，在有來自微型計算機8的指示之前，通過不經由各種繼電器而供給自電源5的電壓對微型計算機8供給驅動電壓。微型計算機8在自關斷期間內進行各種學習值的存儲等處理，并指示電源供給電路9停止供給驅動電壓，結束自關斷期間。

此處，自關斷延遲期間內為系統待機狀態，就ATCU而言，為不發揮任何功能的狀態。

再者，電源供給電路14也一樣，與兩種電源供給路徑連接。

上述中，圖1的監視系統在系統啟動時及穩態下檢測ATCU 1的異常，在異常時，監視裝置將ATCU繼電器4設為OFF，以此作為故障保險處理。

在圖7中說明以往的系統概略圖。不同于圖1，在以往的系統中，沒有ATCU繼電器4、ATCU繼電器控制電路15及其外圍電路。

下面，對本實施例中的ATCU 1的異常檢測處理的流程進行說明。圖2為表示系統啟動時的ATCU 1和ELOP 2的處理的流程的圖。

首先，當IGNSW 6變為ON狀態時，IGN繼電器3變為ON，對ELOP 2的電源供給電路14供給電力，微型計算機12啟動。

接著，啟動后的微型計算機12進行內部功能是否存在故障的自診斷(S21)。此處的診斷具體有ROM/RAM診斷以及寄存器診斷等。

在診斷NG的情況下，轉移至故障保險狀態(S22)。在診斷OK的情況下，由微型計算機12獲取IGNSW 6的電壓狀態(S23)。

接著，在IGNSW 6的獲取電壓為0V(OFF狀態)而ELOP 2是啟動的情況下，由于原本應該是沒有電源供給的，因此判斷為IGN繼電器3的ON故障(S24)，從而轉移至故障保險處理(S25)。

在診斷OK的情況下，將ATCU繼電器4操作為ON，啟動ATCU 1(S26)。

在ATCU 1啟動后，ATCU 1進行微型計算機8的內部功能是否存在故障的自診斷(S27)。此處的診斷具體有ROM/RAM診斷以及寄存器診斷等。

在診斷NG的情況下，轉移至故障保險狀態(S28)。在診斷OK的情況下，判斷ATCU監視系統正常，轉移至普通控制(S29)。

再者，本流程圖中的所謂故障保險控制，是指以如下方式進行控制：微型計算機12自身轉移至待機狀態或待重編程狀態，在IGNSW 6變為OFF之前不進行任何動作。

圖3為表示系統啟動后的普通控制時的ATCU 1和ELOP 2的處理的流程的圖。

ELOP 2使用通信手段(此處，作為例子，設為使用通信I/F電路10、13的CAN通信)從ATCU 1接收ATCU 1的自診斷結果(S31)。此處的所謂自診斷，不僅僅是ROM/RAM診斷以及寄存器診斷等微型計算機內部的功能診斷，還包括ATCU 1主體的功能故障診斷，是由ATCU 1自身進行的診斷。

ELOP 2根據來自ATCU 1的自診斷結果而進行OK/NG判斷(S32)，在診斷NG的情況下，ELOP 2轉移至故障保險控制，將ATCU繼電器4操作為OFF，切斷對ATCU 1的通電(S33)。在這種情況下，由于ATCU 1可判定自身的異常狀態，因此也能夠以可由ATCU 1自身而不是ELOP 2將ATCU繼電器4操作為OFF的方式進行接線。

在S32的診斷OK的情況下，ELOP 2通過CAN通信將用以檢測ATCU 1的微型計算機功能故障詳細而言為微型計算機的運算器的故障的問題數據發送至ATCU 1(S34)。

ATCU 1根據接收自ELOP 2的問題數據，使用微型計算機8的運算器來生成回答數據(S35)并答復ELOP 2(S36)。

ELOP 2根據接收自ATCU 1的回答數據進行OK/NG判斷(S37)，在診斷NG的情況下，ELOP 2轉移至故障保險控制，將ATCU繼電器4操作為OFF，切斷對ATCU 1的通電(S38)。

在診斷OK的情況下，判斷ATCU 1正常而繼續普通控制(S39)。通過以上診斷，ELOP 2可診斷ATCU 1自身無法判斷的異常狀態。

在本流程圖中，對ELOP 2通過問題數據與回答數據的交互來進行ATCU 1的監視的例子進行了說明，而作為其他監視方法，也可采用ELOP 2對經由CAN通信而定期從ATCU 1發送的信號進行監視這樣的看門狗計時器(ウォッチドッグタイマー)方式。

再者，本流程圖中的所謂故障保險控制，是指ELOP 2的微型計算機12操作ATCU繼電器控制電路15而將ATCU繼電器4控制為OFF。

通過實施以上診斷，即便在ATCU 1中未安裝有監視裝置的情況下，也可通過將由網絡連接起來的電子控制裝置作為監視裝置來檢測ATCU 1的微型計算機等的故障/功能故障。即，可提供一種可在不改變現有的電子控制裝置內的構成的情況下并且以最小的系統變更準確地檢測電子控制裝置的故障、并能夠可靠地轉移至故障保險狀態的監視系統。

此外，若為本發明的系統構成，則在因ATCU 1的微型計算機失控而導致即便將ATCU繼電器4設為OFF也無法使系統電源停止的情況下，也可通過在作為監視裝置的ELOP 2側將ATCU繼電器4設為OFF來停止ATCU 1的功能也就是螺線管閥7的動作/網絡通信，結果，自動變速器成為直連檔位下的行駛，因此可防止因ATCU 1的失控而導致無法將電源繼電器設為OFF而帶來聯鎖等巨大損失。

此外，通過將車輛中所安裝的其他電子控制裝置作為監視裝置，無須對ATCU 1自身安裝監視裝置，有可降低系統成本的優點。進而，在ATCU 1是與自動變速器一體安裝這樣的情況下，ATCU的尺寸和安裝面積有嚴格制約，根據本發明，該制約也可得到滿足。

以上，對本發明的一實施例構成進行了說明，但本發明并不限定于這種ATCU的監視系統，也可應用于具有如下功能的電子控制裝置：通過停止電子控制裝置的動作，朝對車輛而言安全的方向起作用。

實施例2

下面，使用圖4、5，對第二實施例進行說明。在本實施例中，對利用監視裝置的電源切斷電路的診斷方法進行說明。與實施例1一樣，能以圖1中說明過的系統構成進行動作，因此省略系統構成的說明。

首先，當IGNSW 6變為ON狀態時，IGN繼電器3變為ON，對ELOP 2的電源供給電路14供給電力，微型計算機12啟動。

接著，啟動后的微型計算機12進行內部功能是否存在故障的自診斷(S201)。此處的診斷具體有ROM/RAM診斷以及寄存器診斷等。在診斷NG的情況下，轉移至故障保險狀態(S202)。在診斷OK的情況下，由微型計算機12獲取IGNSW 6的電壓狀態(S203)。

此處，在IGNSW 6的獲取電壓為0V(OFF狀態)而ELOP 2是啟動的情況下，由于原本應該是沒有電源供給的，因此判斷為IGN繼電器3的ON故障(S204)，從而轉移至故障保險處理(S205)。

再者，此處的所謂故障保險控制，是指以如下方式進行控制：微型計算機12自身轉移至待機狀態或待重編程狀態，在IGNSW 6變為OFF之前不進行任何動作。

在診斷OK的情況下，將ATCU繼電器1操作為ON，啟動ATCU 1(S206)。

啟動后，ATCU 1進行微型計算機8的內部功能是否存在故障的自診斷(S207)。此處的診斷具體有ROM/RAM診斷以及寄存器診斷等。在診斷NG的情況下，轉移至故障保險狀態(S208)。在診斷OK的情況下，判斷ATCU系統正常，轉移至ATCU繼電器1的切斷電路診斷。

然后，ATCU 1對ELOP 2發送切斷電路診斷開始要求(S209)。ELOP 2在從ATCU 1接收到切斷電路診斷開始要求的情況下(S210)，發送診斷ATCU 1的微型計算機功能的問題(S211)。此處，ELOP 2將在從ATUC 1接收到誤回答時進行遞增計數的錯誤計數器設定為若再接收到1次誤回答便確定異常的閾值。

ATCU 1從ELOP 2接收問題(S212)并在微型計算機8中運算該問題，由此制作回答，但此處是故意制作誤回答(S213)。ATCU 1在制作誤回答后，將該誤回答答復ELOP 2(S214)。

接收到誤回答的ELOP 2(S215)使錯誤計數器進行遞增計數，由此確定異常，判斷ATCU發生了功能故障(S216)，從而切斷ATCU繼電器4(設為OFF)作為故障保險(S217)。

此處，圖8表示診斷ATCU 1的微型計算機功能的問題的制作方法的一例。

針對接收自ELOP的問題而進行被出題部診斷/控制部診斷，由此生成回答數據。

具體而言，首先，將來自ELOP的出題數據從8bit擴展至32bit，并進行是否得到了正常擴展的自診斷。

接著，對擴展數據進行比特反轉，根據該數據而依序執行基本指令診斷、算術運算、邏輯運算、處理控制、數據傳輸作為控制部診斷，并使用微型計算機的運算器中所使用的所有指令集，由此制作回答數據。

繼而，最后，將回答數據從32bit退回至8bit，結果，出題數據的反轉值成為回答數據。

通過切斷ATCU繼電器4，連接在該繼電器的下游的通信I/F電路10的電源被切斷，使得與ELOP 2之間的通信中斷，即，通信數據發生變化。

由于ELOP 2事先接收到了切斷電路診斷要求，因此判斷現階段為切斷電路診斷中，從而檢測來自ATCU 1的通信中斷(S218)。

此處，ATCU 1獲取經由IGN繼電器3和ATCU繼電器4而供給自電源5的電壓，在判斷已達到IGNSW 6的OFF閾值的情況下，轉移至通過不經由IGN繼電器3和ATCU繼電器4而供給自電源5的電壓進行動作的自關斷延遲處理(S219)。在盡管在S214中發送了誤回答但未下降到IGNSW 6的OFF閾值的時間持續了一定時間的情況下，判斷ATCU繼電器4固定在ON(S220)，轉移至故障保險處理(S221)。

再者，此處的所謂故障保險控制，是指以如下方式進行控制：微型計算機8自身轉移至待機狀態或待重編程狀態，在IGNSW 6變為OFF之前不進行任何動作。

ELOP 2在檢測到來自ATCU 1的通信中斷的情況下，判斷ATCU繼電器4的切斷功能的動作正常，將切斷電路診斷設為正常(S222)。

ELOP 2在判斷切斷電路診斷正常的情況下，再次將ATCU繼電器4設為ON(S223)而再啟動ATCU 1，轉移至普通控制(S224)。如此，若在ATCU 1的自關斷延遲處理中進行利用ELOP 2的電源切斷電路的診斷，則可通過在自關斷延遲處理中再次將ATCU繼電器4設為ON而在微型計算機8完全停止之前使得ATCU 1轉移至普通控制。因而，可在不使ATCU 1的微型計算機8完全停止的情況下實施利用ELOP 2的電源切斷電路的診斷。

然后，ELOP 2在檢測不到來自ATCU 1的通信中斷的情況下，判斷ATCU繼電器1固定在ON，將切斷電路診斷設為異常(S225)。

在判斷切斷電路診斷異常的情況下，ELOP 2將異常信息發送至ATCU 1(S226)，ATCU 1轉移至故障保險狀態。

再者，此處的所謂故障保險控制，是指以如下方式進行控制：微型計算機8自身轉移至待機狀態或待重編程狀態，在IGNSW 6變為OFF之前不進行任何動作。

圖6為表示對于切斷電路診斷后轉移至普通控制(定時處理)之后的驅動電源的低電壓的處理的時間圖。

當因IGNSW的振顫或者電源電壓的暫時性降低而導致IGN RLY變為OFF時，處于IGN RLY的下游的TCU RLY會大致同時變為OFF。

于是，由于ATCU的IGNSW電壓(VIGN)掉到了0V，因此ATCU轉移至自關斷延遲處理。

在該系統中，若將ELOP對電源電壓的耐性設計得較高，則ELOP會繼續進行普通處理(定時處理)而動作，只有ATCU的處理會停止。

此處，若在自關斷延遲期間內IGNSW的振顫或者電源電壓的狀態恢復正常，則ATCU進行重啟處理，可不進行自診斷處理(初始化處理)而恢復至定時處理。

通過設為上述那樣的構成，即便在車輛行駛中發生IGNSW的振顫或者電源電壓的暫時性降低，也可將ATCU系統停止的期間設計得最小。

如以上實施例中所說明，本發明的電子控制裝置的監視系統包括：監視裝置，其作為檢測監視對象的電子控制裝置的異常的硬件而獨立；電力供給單元，其對電子控制裝置及監視裝置供給驅動電力；電力供給單元，其通過從外部對監視裝置輸入的啟動用開關信號，在啟動用開關信號為有效電平的情況下，對監視裝置供給驅動電力；第1繼電器，其裝入在電源供給單元與監視裝置之間，供給/切斷去往監視裝置的電力；第2繼電器，其由監視裝置判斷可否對電子控制裝置供給驅動電力并控制電力的供給/切斷，設置在第1繼電器的下游；以及通信線，其用以進行利用電子控制裝置與監視裝置的通信的診斷。

進而，成為監視對象的電子控制裝置可包括：電源電路，在因來自監視裝置的啟動要求而使得第2繼電器變為導通狀態的情況下，輸出使微型計算機動作的電壓；微型計算機，其通過輸出自電源電路的電壓來進行動作；通信電路，其通過來自監視裝置的啟動要求信號而啟動；以及螺線管閥的驅動電路，其通過來自監視裝置的啟動要求信號而啟動。

進而，監視裝置可至少包括：電源電路，在啟動用開關信號為有效電平的情況下，輸出使監視裝置的微型計算機動作的電壓；微型計算機，其通過輸出自電源電路的電壓而進行動作；以及通信電路，其通過供給自電源電路的電力而啟動。

進而，監視裝置可在啟動用開關信號為有效電平的情況下使監視裝置的微型計算機動作，在啟動時及穩態下進行微型計算機的自診斷，在確認微型計算機的動作正常之后將第2繼電器設為導通。

進而，監視裝置可在啟動用開關信號為有效電平的情況下使監視電路的微型計算機動作，在啟動時及穩態下進行微型計算機的自診斷，在判斷所述微型計算機異常的情況下，通過通信電路向監視對象的控制裝置發送異常信息并將第2繼電器設為斷開。

進而，成為監視對象的電子控制裝置可在因來自監視裝置的啟動要求而使得第2繼電器變為ON的情況下使微型計算機動作，在啟動時進行微型計算機的自診斷，在判斷自身異常的情況下轉移至待機狀態，不進行車輛用自動變速器等的控制(螺線管閥的液壓控制等)。

進而，成為監視對象的電子控制裝置可在第2繼電器為導通狀態的情況下使微型計算機動作，在穩態下進行車輛用自動變速器等的控制(螺線管閥的液壓控制等)，而在穩態下還進行微型計算機的自診斷，在判斷自身異常的情況下，通過通信電路向監視裝置發送異常信息，其后，停止通信電路的輸出，其后，微型計算機轉移至待機狀態，不進行車輛用自動變速器等的控制。

進而，監視裝置可在穩態下將用以診斷微型計算機內的運算功能的問題數據經由通信電路發送至成為監視對象的電子控制裝置。

進而，成為監視對象的電子控制裝置可在穩態下接收發送自監視裝置的問題數據并執行預先嵌入在微型計算機內的程序，由此制作回答數據。

進而，成為監視對象的電子控制裝置可在穩態下通過通信電路將回答數據發送至監視裝置。

進而，監視裝置可接收來自成為監視對象的電子控制裝置的回答數據，根據回答數據來診斷成為監視對象的電子控制裝置的微型計算機內的運算功能是否正常。

進而，監視裝置可在判斷該診斷結果異常的情況下將第2繼電器控制為斷開。

進而，成為監視對象的電子控制裝置可設為如下構成：在第2繼電器已被控制為斷開的情況下，在供給至微型計算機的電力被切斷之前，可立即切斷對所述通信電路和螺線管閥的驅動電路的供電。

根據本發明，通過利用并不限于安裝在車輛用自動變速器的電子控制裝置(ATCU)中、而是安裝在近年來的大部分電子控制裝置中的CAN等網絡通信路徑，可將其他電子控制裝置當作ATCU的監視裝置。

進而，通過從監視側的電子控制裝置向成為監視對象的電子控制裝置發送診斷主微型計算機的功能的問題，成為監視對象的電子控制裝置算出針對該問題的回答并答復監視側的電子控制裝置，可檢測成為監視對象的電子控制裝置側的微型計算機故障。

此外，在監視側的電子控制裝置檢測到成為監視對象的電子控制裝置的異常的情況下，通過在監視側將成為監視對象的電子控制裝置的電源繼電器設為OFF，可停止成為監視對象的電子控制裝置的動作，在自動變速器控制的情況下，可停止螺線管閥的動作。結果，自動變速器成為直連檔位下的行駛，因此可防止因成為監視對象的電子控制裝置失控而導致無法將電源繼電器設為OFF而帶來聯鎖等巨大損失。

此外，在成為監視對象的電子控制裝置的電源繼電器固定為ON的情況下，通過監視裝置向成為監視對象的電子控制裝置發送故障信息，成為監視對象的電子控制裝置自身可進行轉移至待機狀態等故障保險處理。

此外，通過將車輛中所安裝的其他電子控制裝置作為監視裝置，無須對成為監視對象的電子控制裝置自身安裝監視裝置，有可降低系統成本的優點。

產業上的可利用性

根據本發明，即便在因電子控制裝置的安裝面積等硬件的制約而導致無法安裝切斷電路診斷裝置的情況下，只要具有某些通信手段，便可通過使上位的電子控制裝置實施電源繼電器的控制來輕易實現切斷電路診斷。此外，只要是具有如下功能的電子控制裝置，便可運用本發明，該功能為：在對象電子控制裝置的功能異常時，上位的電子控制裝置對電源繼電器進行切斷(OFF)控制，由此朝對車輛而言安全的方向起作用。

符號說明

1 ATCU

2 ELOP

4 ATCU繼電器

10 通信I/F電路

13 通信I/F電路

15 ATCU繼電器控制電路。