WO2021060546A1

WO2021060546A1 - 電子制御装置

Info

Publication number: WO2021060546A1
Application number: PCT/JP2020/036483
Authority: WO
Inventors: 智弘瀧澤; 明角
Original assignee: 株式会社デンソー
Priority date: 2019-09-27
Filing date: 2020-09-25
Publication date: 2021-04-01
Also published as: JP2021057938A; JP7063312B2; CN114450197B; US11897342B2; CN114450197A; US20220219543A1

Abstract

第１制御部（５７）は、第１給電経路（５１）から給電されることにより起動して起動状態になる。第２制御部（６７）は、第１給電経路（５１）とは別の第２給電経路（６１）から給電される。第１給電経路（５１）には、電源スイッチ（５２）が設けられている。電源スイッチ（５２）は、所定のスイッチ指令が接続指令（Ｃ）の状態では、ＯＮになって第１給電経路（５１）を通電可能にし、スイッチ指令が遮断指令の状態では、ＯＦＦになって第１給電経路（５１）を通電不能にする。第１制御部（５７）は、自身が起動状態であるか停止状態であるかを示す起動信号（α）を発信する。第２制御部（６７）は、スイッチ指令が接続指令（Ｃ）の状態において起動信号（α）が停止状態を示すことを条件に、又はスイッチ指令が遮断指令の状態において起動信号（α）が起動状態を示すことを条件に、電源スイッチ（５２）を異常と判定する。

Description

電子制御装置

関連出願の相互参照

　本出願は、２０１９年９月２７日に出願された日本出願番号２０１９－１７６６３０号に基づくもので、ここにその記載内容を援用する。

　本開示は、車両に搭載されている電気機器等を制御する車両用の電子制御装置に関する。

　車両には、通常、種々の電気機器が搭載されると共に、それらを制御する種々の電子制御装置（ＥＣＵ）が搭載されている。そして、電子制御装置の中には、例えば次の特許文献１のもののように、複数のマイコンを有するものがある。

特開２０１９－００４６８２号公報

　車両用の電子制御装置の中には、例えば、電池監視システムの一部を構成する電池ＥＣＵ等、車両の主電源スイッチをＯＦＦにしている主電源ＯＦＦ状態においても、必要に応じて動作できるように、起動を完全には停止せずに省電力状態等で起動を維持（スリープ）した方が好ましいものがある。しかしながら、主電源ＯＦＦ状態においても電子制御装置の起動を完全には停止せずにスリープ状態にした場合、車両が消費する暗電流が大きくなってしまう。

　その対策として、次の対策が考えられる。すなわち、電子制御装置内に、例えばメインのマイコン等である第１制御部と、サブのマイコン等である第２制御部とを設けると共に、第１制御部には電源スイッチを設ける。そして、主電源ＯＦＦ状態の間は、第１制御部の電源スイッチをＯＦＦにし、第２制御部のみをスリープさせておく。そして、電子制御装置外からの信号等に応じて第２制御部がスリープ状態から目覚めて、第１制御部の電源スイッチをＯＮにする。

　しかし、この構成では、第１制御部の電源スイッチにＯＦＦ固着故障が生じた場合、主電源ＯＮ状態において、第１制御部に対して給電不能に陥ってしまう。また、第１制御部の電源スイッチにＯＮ固着故障が生じた場合、主電源ＯＦＦ状態において、本来起動を停止すべき第１制御部が起動を維持（スリープ等）して暗電流が流れ続けることにより、バッテリ上り等が生じるおそれがある。

　本開示は、上記事情に鑑みてなされたものであり、第１制御部の電源スイッチに異常が発生した場合において、当該異常を発見して、当該異常に対処し易くすることを、主たる目的とする。

　本開示の制御システムは、第１制御部と第２制御部とを有する。前記第１制御部は、所定の第１給電経路から給電されることにより起動して起動状態になり、車両に搭載されている所定の電子機器を制御する。前記第２制御部は、前記第１給電経路とは別の第２給電経路から給電される。

　前記給電経路には、所定の電源スイッチが設けられている。前記電源スイッチは、所定のスイッチ指令が所定の接続指令の状態では、ＯＮになって前記第１給電経路を通電可能にし、前記スイッチ指令が所定の遮断指令の状態では、ＯＦＦになって前記第１給電経路を通電不能にする。

　前記第１制御部は、自身が前記起動状態であるか前記起動を停止した停止状態であるかを示す状態信号を発信する。前記第２制御部は、前記スイッチ指令が前記接続指令のときに前記状態信号が前記停止状態を示すことを条件に前記電源スイッチを異常と判定するＯＦＦ固着診断、及び前記スイッチ指令が前記遮断指令のときに前記状態信号が前記起動状態を示すことを条件に前記電源スイッチを異常と判定するＯＮ固着診断、のうちの少なくともいずれか一方を行う。

　本開示によれば、次の効果が得られる。スイッチ指令が接続指令であるにも関わらず状態信号が停止状態を示す場合には、電源スイッチがＯＦＦ固着故障している可能性が高い。また、スイッチ指令が遮断指令であるにも関わらず状態信号が起動状態を示す場合には、電源スイッチがＯＮ固着故障している可能性が高い。

　その点、第２制御部は、スイッチ指令が接続指令のときに状態信号が停止状態を示すことを条件に、又はスイッチ指令が遮断指令のときに状態信号が起動状態を示すことを条件に、電源スイッチを異常と判定する。そのため、スイッチ指令と状態信号とを利用して、電源スイッチの異常を発見できる。

　そして、当該異常を発見した場合には、例えば、その異常を運転手等に通知したり、第１給電経路以外の経路から第１制御部に給電したり、電源スイッチ以外の手段で第１給電経路を遮断したりする等の、何らかの処置を講じ易くなる。そのため、当該異常に対処し易くなる。

　本開示についての上記目的およびその他の目的、特徴や利点は、添付の図面を参照しながら下記の詳細な記述により、より明確になる。その図面は、
図１は、第１実施形態の電子制御装置及びその周辺を示す回路図であり、図２は、電源制御を示すフローチャートであり、図３は、電源制御を示すタイムチャートであり、図４は、第２実施形態の電子制御装置を示す回路図であり、図５は、電源制御を示すフローチャートであり、図６は、電源制御を示すタイムチャートであり、図７は、第３実施形態のスイッチ診断を示すフローチャートであり、図８は、電源制御を示すタイムチャートであり、図９は、電源制御を示すタイムチャートであり、図１０は、第４実施形態の電源制御を示すフローチャートであり、図１１は、電源制御を示すタイムチャートであり、図１２は、第５実施形態の電子制御装置を示す回路図であり、図１３は、電源制御を示すフローチャートであり、図１４は、電源制御を示すタイムチャートであり、図１５は、第６実施形態の電源制御を示すフローチャートである。

　次に本開示の実施形態について図面を参照しつつ説明する。ただし、本開示は、実施形態に限定されるものではなく、開示の趣旨を逸脱しない範囲で適宜変更して実施できる。

　［第１実施形態］
　図１は、第１実施形態の車載回路を示す回路図である。車両には、組電池１０及び補機バッテリ３０が搭載されると共に、組電池１０を監視する電池監視システム８０が搭載されている。

　組電池１０は、例えばリチウム電池であり、直列に接続された複数のセル電池１５からなる。以下では、その複数のセル電池１５をグループ分けした各グループを、「電池群１４」という。

　組電池１０は、例えばモータのインバータ等の負荷に、所定の給電経路を介して接続されている。その給電経路には、コンタクタ１７，１８が設けられている。そのコンタクタ１７，１８がＯＮになると、組電池１０から負荷へ給電可能になり、コンタクタ１７，１８がＯＦＦになると、組電池１０から負荷へ給電不能になる。

　電池監視システム８０は、複数の監視装置２０と電池ＥＣＵ４０とを有する。その電池ＥＣＵ４０が、本開示でいう「電子制御装置」に相当する。監視装置２０は、電池群１４毎に設置されており、自身に対応する電池群１４の両端、及びその電池群１４を構成するセル電池１５どうしの各間に導線により接続されている。そして、各セル電池１５の電圧を検出する。また、監視装置２０は、電池ＥＣＵ４０から送信される均等化指令に基づいて、各セル電池１５の電圧を均等化する均等化処理を開始する。補機バッテリ３０は、例えば鉛電池であり、電池ＥＣＵ４０等に給電する。

　電池ＥＣＵ４０は、第１制御部５７と第２制御部６７とを有する。第１制御部５７には、補機バッテリ３０の電力が第１給電経路５１から給電される。その第１給電経路５１には、電源スイッチ５２と第１電源回路５６とが設けられている。その第１電源回路５６は、補機バッテリ３０から供給される例えば１２Ｖの電圧を例えば５Ｖに変圧する。

　電源スイッチ５２は、所定のスイッチ駆動部５３により制御される。スイッチ駆動部５３は、第１制御部５７及び第２制御部６７から送信される接続指令Ｃに基づいて、電源スイッチ５２を制御する。

　詳しくは、スイッチ駆動部５３は、接続指令ＣがＯＮの状態では、電源スイッチ５２をＯＮにして第１給電経路５１を通電可能に接続する。他方、スイッチ駆動部５３は、接続指令ＣがＯＦＦの状態では、電源スイッチ５２をＯＦＦにして第１給電経路５１を通電不能にする。よって、本実施形態では、接続指令Ｃが「ＯＮ」であることが、電源スイッチ５２に対する「スイッチ指令」が「接続指令」であることを意味し、接続指令Ｃが「ＯＦＦ」であることが、「スイッチ指令」が「遮断指令」であることを意味する。

　より具体的には、上記の接続指令Ｃ及び後述するその他の指令（Ｒ，Ｄ）及び信号（α，β）において、指令又は信号が「ＯＮ」とは、例えば、指令又は信号の電圧レベルが所定閾値よりも高い「Ｈｉｇｈ」レベルであることとすることができる。そして、指令又は信号が「ＯＦＦ」とは、例えば、指令又は信号の電圧レベルが所定閾値よりも低い「Ｌｏｗ」レベルであることとすることができる。

　第１制御部５７は、マイコン等であって、各監視装置２０に通信線２５を介して通信可能に接続されている。第１制御部５７は、第１給電経路５１から給電されることにより起動して起動状態になる。第１制御部５７は、起動状態では、各監視装置２０から各セル電池１５の電圧に関する情報であるセル電圧情報を取得すると共に、必要に応じて監視装置２０に上記の均等化指令を送信する。

　第１制御部５７の電源スイッチ５２をＯＦＦからＯＮにする際には、まず、第２制御部６７がスイッチ駆動部５３に対する接続指令Ｃの送信を開始し、それにより起動した第１制御部５７が、自己保持のために自らもスイッチ駆動部５３に対する接続指令Ｃの送信を開始する。これにより、接続指令Ｃの冗長構成が確立され、第２制御部６７の接続指令Ｃの故障等による第１制御部５７の電源失陥等を防止できる。電源スイッチ５２をＯＮからＯＦＦにする際には、まず、第１制御部５７が接続指令ＣをＯＦＦにし、その後、第２制御部６７が後述する電源スイッチ診断Ｘ３の中で接続指令ＣをＯＦＦにする。

　第１制御部５７は、自身が起動状態であるか起動を停止した停止状態であるかを示す状態信号として、自身が起動状態である場合には、所定の起動信号αを第２制御部６７に送信する。すなわち、本実施形態では、起動信号αが「ＯＮ」である場合、第１制御部５７が「起動状態」であることを示し、起動信号αが「ＯＦＦ」である場合、第１制御部５７が「停止状態」であることを示す。

　第２制御部６７には、第１給電経路５１とは別の第２給電経路６１から、補機バッテリ３０の電力が給電される。その第２給電経路６１には、第２電源回路６６が設けられている。その第２電源回路６６は、補機バッテリ３０から供給される例えば１２Ｖの電圧を例えば５Ｖに変圧する。

　第２制御部６７は、第１制御部５７とは別のマイコン等であって、車両の主電源スイッチ（図示略）がＯＦＦにされている主電源ＯＦＦ状態においても、起動を完全には停止せず、省電力状態で起動を維持（スリープ）する。そして、ドライバが車両の主電源スイッチをＯＮにしたことや、車両の上位ＥＣＵ（図示略）からの指令や、車両に接続された外部機器（図示略）からの指令等に応じて、スリープ状態から目覚める。そして、接続指令Ｃをスイッチ駆動部５３に送信して、第１制御部５７の電源スイッチ５２をＯＮにする。

　第２制御部６７は、接続指令Ｃ及び起動信号αに基づいて、電源スイッチ５２が異常か否かの電源スイッチ診断Ｘ３を行う。具体的には、その電源スイッチ診断Ｘ３では、接続指令ＣがＯＮであるにも関わらず起動信号αがＯＦＦであることを条件に、電源スイッチ５２を異常と判定するＯＮ固着診断を行う。

　図２は、その電源スイッチ診断Ｘ３を含む電源制御を示すフローチャートである。まず、第２制御部６７が、電源スイッチ診断Ｘ３を開始すべき診断開始タイミングであるか否かを判定する（Ｓ１１０）。具体的には、例えば、車両の主電源スイッチがＯＮからＯＦＦにされた直後のタイミング、すなわち車両の起動が停止されるタイミングにおいて、コンタクタ１７，１８がＯＮからＯＦＦになった後のタイミングを、診断開始タイミングとすることができる。また例えば、車両の主電源スイッチがＯＮからＯＦＦにされた直後のタイミングにおいて、第１制御部５７がセル電圧情報を所定の不揮発性メモリに保存し終わった後のタイミングを、診断開始タイミングとすることができる。この場合には、電源スイッチ診断Ｘ３において、電源スイッチ５２をＯＦＦにしても、セル電圧情報が失われてしまうおそれがない。

　また例えば、車両の主電源スイッチがＯＮからＯＦＦにされた直後のタイミングにおいて、第１制御部５７が均等化指令を送信し終わった後のタイミングを、診断開始タイミングとすることができる。この場合、診断開始タイミングは、均等化処理が完了する前のタイミングであり、第２制御部６７は、均等化処理の実施と並行して電源スイッチ診断Ｘ３を行うことが好ましい。なぜなら、監視装置２０は、均等化指令を切っ掛けに均等化処理を開始するにすぎず、その後は第１制御部５７が監視装置２０を制御し続けなくても、監視装置２０は自身で均等化処理を進めて完了させる。そのため、均等化指令を送信した直後に、電源スイッチ診断Ｘ３において電源スイッチ５２をＯＦＦにして、第１制御部５７を停止状態にしても特に問題はない。そして、このように、均等化処理と電源スイッチ診断Ｘ３とを並行して行うことにより、それら両方が完了するまでの時間を短縮できる。

　Ｓ１１０で、診断開始タイミングではないと判定した場合（Ｓ１１０：ＮＯ）、Ｓ１１０の判定を繰り返す。他方、Ｓ１１０で、診断開始タイミングであると判定した場合（Ｓ１１０：ＹＥＳ）、接続指令ＣをＯＮからＯＦＦにする（Ｓ１２０）。これにより、電源スイッチ５２等が正常なら、起動信号αがＯＮからＯＦＦに推移する。

　その状態において、起動信号αがＯＮか否かを、すなわち異常か否かを判定する（Ｓ１３０）。起動信号αをＯＦＦと判定した場合（Ｓ１３０：ＮＯ）、電源スイッチ５２を正常と判定して（Ｓ１４０）、電源制御を終了する。他方、Ｓ１３０で、起動信号αをＯＮと判定した場合（Ｓ１３０：ＹＥＳ）、電源スイッチ５２がＯＮ固着故障している可能性が高いので、電源スイッチ５２を異常と判定して（Ｓ１５０）、電源制御を終了する。

　図３（ａ）は、電源スイッチ５２が正常の場合における、電源制御での各値の推移を示すタイムチャートである。所定の第１タイミングｔ１において、車両の電源がＯＮからＯＦＦになる。その後に電源スイッチ診断Ｘ３が開始され、所定の第２タイミングｔ２において、接続指令ＣがＯＮからＯＦＦに切り替えられる（Ｓ１２０）。それにより、第２タイミングｔ２から所定の停止応答時間Ｓｒ（例えば１００ｍｓ）経過後の第３タイミングｔ３において、第１制御部５７が起動を停止して起動信号αがＯＮからＯＦＦになる。そして、第３タイミングｔ３から所定の停止確認時間Ｓｃ（例えば５０ｍｓ）経過後の所定のタイミングｔｎに、起動信号αがＯＦＦになったと確認されたこと（Ｓ１３０：ＮＯ）に基づいて、電源スイッチ５２が正常と判定され（Ｓ１４０）、正常確定フラグがＯＮになる。

　図３（ｂ）は、電源スイッチ５２がＯＮ固着故障している場合における、電源制御での各値の推移を示すタイムチャートである。所定の第１タイミングｔ１において、車両の電源がＯＮからＯＦＦになる。その後に電源スイッチ診断Ｘ３が開始され、所定の第２タイミングｔ２において、接続指令ＣがＯＮからＯＦＦに切り替えられる（Ｓ１２０）。しかし、電源スイッチ５２はＯＮ固着故障しているのでＯＦＦにはならず、ＯＮのままである。そのため、第１制御部５７は起動を続けて起動信号αはＯＮのままである。そして、第２タイミングｔ２から所定の停止待ち時間Ｓｗ（例えば２００ｍｓ）経過後の所定のタイミングｔｆに、起動信号αがＯＮのままでＯＦＦに遷移しないこと（Ｓ１３０：ＹＥＳ）に基づいて、電源スイッチ５２が異常と判定され（Ｓ１５０）、異常確定フラグがＯＮになる。

　本実施形態によれば、次の効果が得られる。接続指令ＣがＯＦＦであるにも関わらず起動信号αがＯＮである場合には、電源スイッチ５２がＯＮ固着故障している可能性が高い。その点、本実施形態では、接続指令ＣがＯＦＦ（Ｓ１２０）のときに起動信号αがＯＮであること（Ｓ１３０：ＹＥＳ）を条件に、電源スイッチ５２を異常と判定する（Ｓ１５０）。そのため、電源スイッチ５２にＯＮ固着故障が生じている場合には、その異常を検出することができる。

　そのため、例えば、その異常を運転手に通知したり、電源スイッチ５２以外の遮断手段により第１給電経路５１を遮断したり、電源スイッチ５２以外の停止手段により第１制御部５７を停止させたりすることにより、その異常に対処することができる。そのため、電源スイッチ５２がＯＮ固着故障した場合において、第１制御部５７に暗電流が流れ続けるのを回避し易くなる。

　また、電池監視システム８０は、主電源ＯＦＦ状態においても、必要に応じて第１制御部５７の電源スイッチ５２をＯＮにできるように、省電力状態で起動を維持（スリープ）する第２制御部６７を有する。その第２制御部６７を用いて、電源スイッチ診断Ｘ３を実施している。そのため、電源スイッチ診断Ｘ３の実施するために、新たに別のマイコン等のハードを追加する必要はなく、電源スイッチ診断Ｘ３といったソフトの追加だけで、電源スイッチ５２の異常を発見できるようにすることができる。

　［第２実施形態］
　次に、第２実施形態について説明する。以下の実施形態においては、それ以前の実施形態のものと同一の又は対応する部材等については同一の符号を付する。本実施形態については、第１実施形態をベースに、これと異なる点を中心に説明する。

　図４は、本実施形態の電池ＥＣＵ４０を示す回路図である。電池ＥＣＵ４０は、電源スイッチ５２とは別に、第１制御部５７を停止可能な停止部５８を有する。停止部５８は、第２制御部６７から送信される所定の停止指令Ｒに基づいて、制御される。

　詳しくは、停止部５８は、停止指令ＲがＯＮの状態では、たとえ電源スイッチ５２がＯＮの状態であっても、所定の停止駆動を行うことにより第１制御部５７を停止状態に維持する。他方、停止部５８は、停止指令ＲがＯＦＦの状態では、当該停止駆動を解除する。よって、本実施形態では、停止指令Ｒが「ＯＮ」であることが、停止部５８に対する「停止部指令」が、停止駆動を行うことを指令する「停止指令」であり、停止指令Ｒが「ＯＦＦ」であることが、「停止部指令」が、停止駆動の解除を指令する「解除指令」であることを意味する。

　その停止指令Ｒは、通常はＯＦＦであり、電源スイッチ診断Ｘ３において電源スイッチ５２が異常と判定されたことを条件に、ＯＮになる。それにより、主電源ＯＦＦ状態の間、停止指令ＲをＯＮに維持する電源スイッチ異常対処Ｙ３が開始される。

　図５は、本実施形態の電源制御を示すフローチャートである。このフローチャートは、第１実施形態のフローチャート（図２）と比較して、Ｓ１６０を有する点で相違している。すなわち、電源スイッチ診断Ｘ３において電源スイッチ５２を異常と判定した場合（Ｓ１５０）、停止指令ＲをＯＮにする（Ｓ１６０）。これにより、第１制御部５７が停止部５８の停止駆動により停止状態になり、電源スイッチ異常対処Ｙ３が開始される。

　図６（ａ）は、電源スイッチ５２が正常の場合における、電源制御での各値の推移を示すタイムチャートである。停止指令Ｒは、異常確定フラグがＯＦＦになるとＯＦＦとし、異常確定フラグがＯＮになるとＯＮとする。よって、このように電源スイッチ５２が正常の場合は、異常確定フラグはＯＦＦのままであるため、停止指令ＲもＯＦＦのままである。

　図６（ｂ）は、電源スイッチ５２がＯＮ固着故障している場合における、電源制御での各値の推移を示すタイムチャートである。この場合、所定のタイミングｔｆで異常確定フラグがＯＦＦからＯＮになる（Ｓ１５０）のに連動して、停止指令ＲもＯＦＦからＯＮになる（Ｓ１６０）。それにより、第１制御部５７が停止部５８により停止されて停止状態になる。それにより、起動信号αがＯＮからＯＦＦになると共に、電源スイッチ異常対処Ｙ３が開始される。

　本実施形態によれば、第２制御部６７は、電源スイッチ診断Ｘ３において電源スイッチ５２を異常（ＯＮ固着）と判定したこと（Ｓ１５０：ＹＥＳ）を条件に、主電源ＯＦＦ状態の間、停止指令ＲをＯＮに維持する電源スイッチ異常対処Ｙ３を行う（Ｓ１６０）。そのため、電源スイッチ５２のＯＮ固着故障により第１制御部５７に暗電流が流れ続けるのを回避できる。

　［第３実施形態］
　次に、第３実施形態について説明する。本実施形態については、第２実施形態をベースに、これと異なる点を中心に説明する。

　図７は、本実施形態の電源制御を示すフローチャートである。第２実施形態のフローチャート（図６）と比較して、電源スイッチ診断Ｘ３を行う前に、起動信号αが正常か否かの信号診断Ｘ２を行う点で相違する。

　信号診断Ｘ２では、Ｓ１１０で診断開始タイミングであると判定した（Ｓ１１０：ＹＥＳ）後に、接続指令ＣがＯＮの状態において、停止指令ＲがＯＦＦの状態で起動信号αがＯＮか否かを、すなわち正常か否かを判定する（Ｓ１１１）。起動信号αをＯＦＦと判定した場合（Ｓ１１１：ＮＯ）、停止機能がＯＮ固着故障しているか、起動信号αがＯＦＦ固着故障している高い。そのため、起動信号αを正常と判定することはできず、停止機能又は起動信号αが異常であると判定する（Ｓ１１４）。そのため、そのまま電源スイッチ診断Ｘ３を行うことなく、接続指令ＣをＯＦＦにして（Ｓ１２４）、電源制御を終了する。

　他方、Ｓ１１１で、起動信号αをＯＮと判定した場合、停止指令ＲをＯＦＦからＯＮにする（Ｓ１１２）。それにより、停止機能及び起動信号α等が正常なら、第１制御部５７が起動を停止して、起動信号αがＯＮからＯＦＦに遷移する。その状態において、起動信号αがＯＦＦか否か、すなわち正常か否かを判定する（Ｓ１１３）。起動信号αをＯＮと判定した場合（Ｓ１１３：ＮＯ）、停止機能がＯＦＦ固着故障しているか、起動信号αがＯＮ固着故障している可能性が高い。そのため、起動信号αを正常と判定することはできず、停止機能又は起動信号αが異常であると判定する（Ｓ１１４）。そのため、そのまま電源スイッチ診断Ｘ３を行うことなく、停止指令ＲをＯＮからＯＦＦに戻すと共に接続指令ＣをＯＮからＯＦＦにして（Ｓ１２４）、電源制御を終了する。

　他方、Ｓ１１３で起動信号αをＯＦＦと判定した場合（Ｓ１１３：ＹＥＳ）、停止機能及び起動信号αのいずれも正常と判定して（Ｓ１１５）、電源スイッチ診断Ｘ３を行う。

　その電源スイッチ診断Ｘ３では、まず、接続指令ＣをＯＮからＯＦＦにしてから（Ｓ１２０）、停止指令ＲをＯＮからＯＦＦにする（Ｓ１２５）。それにより、電源スイッチ５２等が正常なら、先に接続指令ＣをＯＦＦにしたので、停止指令ＲをＯＦＦにしても、第１制御部５７は起動せず、起動信号αはＯＦＦのままである。その状態において、起動信号αがＯＮか否かを、すなわち異常か否かを判定する（Ｓ１３０）。起動信号αをＯＦＦと判定した場合（Ｓ１３０：ＮＯ）、電源スイッチ５２を正常と判定して（Ｓ１４０）、電源制御を終了する。他方、Ｓ１３０で、起動信号αをＯＮと判定した場合（Ｓ１３０：ＹＥＳ）、電源スイッチ５２がＯＮ固着故障している可能性が高いので、電源スイッチ５２を異常と判定して（Ｓ１５０）、Ｓ１６０に進む。Ｓ１６０以降は、第２実施形態と同様である。

　図８は、起動信号αがＯＮ固着故障している場合における、電源制御での各値の推移を示すタイムチャートである。所定の第１タイミングＴ１において、車両の電源がＯＮからＯＦＦになる。その後に、信号診断Ｘ２が開始され、所定の第２タイミングＴ２において、停止指令ＲがＯＦＦからＯＮに切り替えられる（Ｓ１１２）。それにより、第１制御部５７の起動が停止部５８により停止される。しかし、起動信号αはＯＮ固着故障しているので、起動信号αはＯＮのままである。

　そして、第２タイミングＴ２から所定の停止待ち時間ｓｗ（例えば５ｍｓ）経過後の第３タイミングｔ３において、起動信号αがＯＮのままでＯＦＦに推移しないこと（Ｓ１１３：ＮＯ）に基づいて、停止機能又は起動信号αが異常と判定され（Ｓ１１４）、信号等異常確定フラグがＯＮになる。その後の所定のタイミングＴｘにおいて、電源スイッチ診断Ｘ３を行うことなく、停止指令ＲがＯＮからＯＦＦに戻されると共に接続指令ＣがＯＮからＯＦＦに切り替えられる（Ｓ１２４）。

　図９（ａ）は、停止機能及び起動信号αのいずれもが正常であり、且つ電源スイッチ５２が正常である場合における、電源制御での各値の推移を示すタイムチャートである。所定の第１タイミングＴ１において、車両の電源がＯＮからＯＦＦになる。その後に、信号診断Ｘ２が開始され、所定の第２タイミングＴ２において、停止指令ＲがＯＦＦからＯＮに切り替えられる（Ｓ１１２）。それにより、第１制御部５７の起動が停止部５８により停止され、第２タイミングＴ２から若干の停止応答時間ｓｒ（例えば１ｍｓ未満）経過後に起動信号αがＯＮからＯＦＦに遷移する。

　第２タイミングＴ２から所定の停止確認時間ｓｃ（例えば５ｍｓ）経過後の第３タイミングＴ３において、起動信号αがＯＮからＯＦＦに遷移したことが確認されたこと（Ｓ１１３：ＹＥＳ）に基づいて、停止機能及び起動信号αのいずれも正常と判定され、信号等正常確定フラグがＯＮになる（Ｓ１１５）。

　その後、電源スイッチ診断Ｘ３が開始され、所定の第４タイミングＴ４において、接続指令ＣがＯＮからＯＦＦに切り替えられる（Ｓ１２０）と共に、停止指令ＲがＯＮからＯＦＦに切り替えられる（Ｓ１２５）。このとき、電源スイッチ５２は、正常なので、接続指令ＣがＯＦＦに切り替えられることによりＯＦＦになる。そのため、停止指令ＲがＯＦＦに切り替えられても、第１制御部５７は起動せず、起動信号αはＯＦＦのままである。そして、第４タイミングＴ４から所定の起動待ち時間Ａｗ（例えば１０ｍｓ）経過後の所定のタイミングＴｎに、起動信号αがＯＦＦのままでＯＮに遷移しないこと（Ｓ１３０：ＮＯ）に基づいて、電源スイッチ５２が正常と判定され（Ｓ１４０）、スイッチ正常確定フラグがＯＮになる。

　図９（ｂ）は、停止機能及び起動信号αのいずれも正常であり、且つ電源スイッチ５２がＯＮ固着故障している場合における、電源制御での各値の推移を示すタイムチャートである。第３タイミングＴ３までは、上記の図９（ａ）の場合と同様である。

　第３タイミングＴ３の後に、電源スイッチ診断Ｘ３が開始され、所定の第４タイミングＴ４において、接続指令ＣがＯＮからＯＦＦに切り替えられる（Ｓ１２０）と共に、停止指令ＲがＯＮからＯＦＦに切り替えられる（Ｓ１２５）。このとき、電源スイッチ５２は、ＯＮ固着故障しているので、接続指令ＣがＯＦＦに切り替えられてもＯＮのままである。そのため、停止指令ＲがＯＦＦに切り替えられると、第１制御部５７は起動して、起動信号αがＯＦＦからＯＮに遷移する。そして、第４タイミングＴ４から所定の起動確認時間Ａｃ（例えば１０ｍｓ）経過後の所定のタイミングＴｆに、起動信号αがＯＮになったことが確認されたこと（Ｓ１３０：ＹＥＳ）に基づいて、電源スイッチ５２が異常と判定され（Ｓ１５０）、スイッチ異常確定フラグがＯＦＦからＯＮになる。それにより、停止指令ＲがＯＦＦからＯＮになり、第１制御部５７の起動が停止部５８により停止される（Ｓ１６０）。それにより、起動信号αがＯＮからＯＦＦに遷移すると共に、電源スイッチ異常対処Ｙ３が開始される。

　本実施形態によれば、次の効果が得られる。接続指令ＣがＯＮの状態において、停止指令ＲがＯＦＦなのに起動信号αがＯＮではなくＯＦＦである場合、停止機能がＯＮ固着故障しているか、起動信号αがＯＦＦ固着故障している可能性が高い。その点、信号診断Ｘ２では、接続指令ＣがＯＮの状態において、停止指令ＲがＯＦＦのときに起動信号αがＯＮであること（Ｓ１１１：ＮＯ）を条件の１つに、起動信号αを正常と判定する（Ｓ１１５）。そのため、起動信号αがＯＦＦ固着故障している可能性がある場合に、起動信号αを正常と判定しないことができる。

　また、接続指令ＣがＯＮの状態において、停止指令ＲがＯＮなのに起動信号αがＯＦＦではなくＯＮである場合、停止機能がＯＦＦ固着故障しているか、起動信号αがＯＮ固着故障している可能性が高い。その点、信号診断Ｘ２では、接続指令ＣがＯＮの状態において、停止指令ＲがＯＮのときに起動信号αがＯＦＦであること（Ｓ１１３：ＮＯ）を条件の１つに、起動信号αを正常と判定する（Ｓ１１５）。そのため、起動信号αがＯＮ固着故障している可能性がある場合に、起動信号αを正常と判定しないことができる。

　そして、本実施形態では、起動信号αを正常と判定したこと（Ｓ１１５）を条件に、電源スイッチ診断Ｘ３を行う、すなわち、電源スイッチ５２を異常と判定（Ｓ１５０）可能にする。よって、起動信号αを正常と判定できない場合（Ｓ１１４）には、電源スイッチ５２を異常と判定（Ｓ１５０）しない。そのため、起動信号αの異常により電源スイッチ５２を異常と誤判定するのを回避できる。

　また、電源スイッチ診断Ｘ３では、信号診断Ｘ２により停止指令ＲをＯＮにして停止駆動を行った状態から、接続指令ＣをＯＦＦにして（Ｓ１２０）から停止指令ＲをＯＦＦにして（Ｓ１２５）、その後に起動信号αがＯＮになったこと（Ｓ１３０：ＹＥＳ）を条件に、電源スイッチ５２を異常と判定する（Ｓ１５０）。そのため、信号診断Ｘ２を行った後の停止指令ＲがＯＮの状態から、スムーズに電源スイッチ診断Ｘ３を開始することができる。

　［第４実施形態］
　次に、第４実施形態について説明する。本実施形態については、第３実施形態をベースに、これと異なる点を中心に説明する。

　図１０は、本実施形態の電源制御を示すフローチャートである。本実施形態は、第３実施形態（図７）と比較して、電源スイッチ診断Ｘ３が、Ｓ１２３、Ｓ１３１～Ｓ１３４を有する点で相違している。具体的には、次のとおりである。

　電源スイッチ診断Ｘ３では、Ｓ１２０で接続指令ＣをＯＮからＯＦＦにした後、Ｓ１２３に進む。そのＳ１２３では、接続指令ＣがＯＮからＯＦＦになってから所定の電圧低下待ち時間Ｖｗを経過したか否かを判定する。その電圧低下待ち時間Ｖｗは、電源スイッチ５２がＯＮ固着故障していない場合において、接続指令ＣをＯＦＦにしてからの、停止指令ＲをＯＦＦにしても第１制御部５７が起動することがなくなるまでの時間以上の時間である。

　Ｓ１２３で、電圧低下待ち時間Ｖｗを経過していないと判定した場合（Ｓ１２３：ＮＯ）、Ｓ１２３を繰り返す。他方、Ｓ１２３で、電圧低下待ち時間Ｖｗを経過したと判定した場合（Ｓ１２３：ＹＥＳ）、次のＳ１２５に進む。Ｓ１２５，Ｓ１３０については、第３実施形態と同様である。よって、Ｓ１３０では、起動信号αがＯＦＦになるべき状態において、起動信号αがＯＮであるか否かを、すなわち異常か否かを判定する。

　Ｓ１３０において、起動信号αをＯＦＦと判定した場合（Ｓ１３０：ＮＯ）、起動信号αを正常とは直ちに判定せずに、Ｓ１３１に進む。そのＳ１３１では、Ｓ１２５で停止指令ＲをＯＮからＯＦＦにしてから、所定の起動待ち時間Ａｗを経過したか否かを判定する。その起動待ち時間Ａｗは、電源スイッチ５２がＯＮ固着故障している場合において、停止指令ＲをＯＦＦにして停止駆動を解除してから、起動信号αがＯＮになるまでの時間以上の時間である。

　Ｓ１３１で起動待ち時間Ａｗを経過していないと判定した場合（Ｓ１３１：ＮＯ）、Ｓ１３０に戻って、起動信号αがＯＮであるか否かを再度判定する。他方、Ｓ１３１で、起動待ち時間Ａｗを経過したと判定した場合（Ｓ１３１：ＹＥＳ）、Ｓ１４０に進んで、電源スイッチ５２を正常と判定する。それ以降については、第３実施形態と同様である。

　他方、Ｓ１３０で、起動信号αがＯＦＦになるべき状態において、起動信号αがＯＮになったと判定した場合（Ｓ１３０：ＹＥＳ）、Ｓ１３２に進む。そのＳ１３２では、異常カウンタをアップする。具体的には、異常カウンタの初期値は「０」であり、例えば異常カウンタが「０」の場合は、これを「１」にし、例えば異常カウンタが「１」の場合は、これを「２」にする。次に、Ｓ１３３において、異常カウンタが所定の閾値（例えば「３」）以上であるか否かを判定する。異常カウンタが閾値以上でないと判定した場合（Ｓ１３３：ＮＯ）、停止指令ＲをＯＦＦからＯＮに戻して（Ｓ１３４）、Ｓ１２５に戻る。他方、Ｓ１３３で、異常カウンタが閾値以上であると判定した場合（Ｓ１３３：ＹＥＳ）、Ｓ１５０に進んで、電源スイッチ５２を異常と判定する。それ以降については、第３実施形態と同様である。

　図１１（ａ）は、停止機能及び起動信号αが正常であり、且つ電源スイッチ５２が正常の場合における、電源制御での各値の推移を示すタイムチャートである。第４タイミングＴ４までは、第３実施形態（図９（ａ））と同様である。

　第４タイミングＴ４において接続指令ＣがＯＮからＯＦＦになってから（Ｓ１２０）、上記の電圧低下待ち時間Ｖｗ（例えば１００ｍｓ）経過後の第５タイミングＴ５において、停止指令ＲがＯＮからＯＦＦに切り替えられる（Ｓ１２５）。このとき、上記の電圧低下待ち時間Ｖｗの経過後なので、既に第１制御部５７に印加される電圧は十分に低下している。よって、このように停止指令ＲがＯＦＦなって停止駆動が解除されても、第１制御部５７は起動しない。そして、第５タイミングＴ５から上記の起動待ち時間Ａｗ（例えば５０ｍｓ）経過後の所定のタイミングＴｎに、起動信号αがＯＦＦのままでＯＮに遷移しないこと（Ｓ１３０：ＮＯ）に基づいて、電源スイッチ５２が正常と判定されて（Ｓ１４０）、スイッチ正常確定フラグがＯＮになる。

　図１１（ｂ）は、停止機能及び起動信号αが正常であり、且つ電源スイッチ５２がＯＮ固着故障している場合における、電源制御での各値の推移を示すタイムチャートである。第５タイミングＴ５までは、上記の図１１（ａ）と同様である。

　第５タイミングＴ５において、停止指令ＲがＯＮからＯＦＦに切り替えられる（Ｓ１２５）。このとき、電源スイッチ５２はＯＮ固着故障しているので、停止指令ＲがＯＦＦなって停止駆動が解除されると、第５タイミングＴ５から若干の起動応答時間Ａｒ（例えば１ｍｓ未満）経過後に、第１制御部５７が起動して起動信号αがＯＦＦからＯＮになる。

　その第５タイミングＴ５から所定の起動確認時間Ａｃ経過後の第６タイミングＴ６に、起動信号αがＯＮになったことが確認されたこと（Ｓ１３０：ＹＥＳ）に基づいて、異常カウンタが「０」から「１」になる（Ｓ１３２）。そして、停止指令ＲがＯＦＦからＯＮに戻される（Ｓ１３４）ことにより、第１制御部５７が起動を停止して起動信号αがＯＮからＯＦＦに戻る。

　第７タイミングＴ７、第８タイミングＴ８においては、第５タイミングＴ５、第６タイミングＴ６と同様の動作を繰り返す。それにより、異常カウンタが「１」から「２」になる（Ｓ１３２）。

　第９タイミングＴ９においては、第７タイミングＴ７と同様の動作を繰り返す。その後の所定のタイミングＴｆにおいては、第８タイミングＴ８と同様の動作を繰り返すことにより異常カウンタが「２」から「３」になる（Ｓ１３２）。それにより、異常カウンタが閾値に達する。それにより、電源スイッチ５２が異常と判定されて（Ｓ１５０）、スイッチ異常確定フラグがＯＦＦからＯＮになる。それにより、停止指令ＲがＯＦＦからＯＮに切り替えられる（Ｓ１６０）。それにより、第１制御部５７が起動を停止して、起動信号αがＯＮからＯＦＦになると共に、電源スイッチ異常対処Ｙ３が開始される。

　本実施形態によれば、次の効果が得られる。電源スイッチ５２をＯＦＦにしても（Ｓ１２０）、第１制御部５７への印加電圧が直ぐには低下しない場合、その電圧低下前に停止指令ＲをＯＦＦにして（Ｓ１２５）停止駆動を解除すると、第１制御部５７が起動して起動信号αがＯＮになってしまう（Ｓ１３０：ＹＥＳ）。それに基づいて電源スイッチ５２を異常（ＯＮ固着）と判定（Ｓ１５０）すれば、電源スイッチ５２が正常でも異常と誤判定することになる。

　その点、電源スイッチ診断Ｘ３では、接続指令ＣをＯＦＦにした（Ｓ１２０）状態から、所定の電圧低下待ち時間Ｖｗ経過（Ｓ１２３：ＹＥＳ）した後に、停止指令ＲをＯＦＦにして（Ｓ１２５）停止駆動を解除して、起動信号αがＯＮになったこと（Ｓ１３０：ＹＥＳ）を条件に、電源スイッチ５２を異常と判定する（Ｓ１５０）。その電圧低下待ち時間Ｖｗは、電源スイッチ５２がＯＮ固着故障していない場合において、接続指令ＣをＯＦＦにして（Ｓ１２０）からの、停止指令ＲをＯＦＦにしても第１制御部５７が起動することがなくなるまでの時間以上の時間である。このように電圧低下待ち時間Ｖｗを充分に確保することにより、第１制御部５７への印加電圧が直ぐには低下しない場合にも、それにより第１制御部５７が起動して電源スイッチ５２が異常（ＯＮ固着）と誤判定される（Ｓ１５０）のが、回避される。

　また、次の効果が得られる。電源スイッチ５２がＯＮ固着故障している場合において、停止指令ＲをＯＦＦにして（Ｓ１２５）停止駆動を解除しても、第１制御部５７が起動するまでにタイムラグがある場合、第１制御部５７は直ぐには起動しない。その起動前において、起動信号αがＯＦＦであること（Ｓ１３０：ＮＯ）に基づいて、電源スイッチ５２を正常（ＯＮ固着なし）と判定（Ｓ１４０）すれば、電源スイッチ５２がＯＮ固着故障していても正常と誤判定することになる。

　その点、電源スイッチ診断Ｘ３では、停止指令ＲをＯＦＦにして（Ｓ１２５）停止駆動を解除してから、所定の起動待ち時間Ａｗ経過前（Ｓ１３１：ＮＯ）に、起動信号αがＯＮになったこと（Ｓ１３０：ＹＥＳ）を条件に、電源スイッチ５２を異常と判定する（Ｓ１５０）。その起動待ち時間Ａｗは、電源スイッチ５２がＯＮ固着故障している場合において、停止指令ＲをＯＦＦにして（Ｓ１２５）停止駆動を解除してから、起動信号αがＯＮになるまでの時間以上の時間である。このように起動待ち時間Ａｗを充分に確保することにより、第１制御部５７が直ぐには起動しない場合にも、それにより電源スイッチ５２が正常（ＯＮ固着なし）と誤判定される（Ｓ１４０）のが、回避される。

　また、次の効果が得られる。電源スイッチ診断Ｘ３において、もし仮に、起動信号αがＯＮになってから起動信号αがＯＮになったと確認する（Ｓ１３０：ＹＥＳ）までの起動確認時間Ａｃを長くすれば、その間に、ＯＮ固着故障により起動した第１制御部５７が意図しない動作を開始してしまうおそれがある。他方、起動確認時間Ａｃを短くすれば、ノイズ等により、実際は第１制御部５７が起動していないのに起動したと誤判定して、電源スイッチ診断Ｘ３において電源スイッチ５２を異常と誤判定する（Ｓ１５０）リスクが高まってしまう。

　その点、電源スイッチ診断Ｘ３では、接続指令ＣがＯＦＦ（Ｓ１２０）の状態において、停止指令ＲがＯＮ（Ｓ１１２，Ｓ１３４）の停止駆動を行っている状態から、停止指令ＲをＯＦＦにして（Ｓ１２５）停止駆動を解除し、その後に起動信号αがＯＮになったこと（Ｓ１３０：ＹＥＳ）を１のセットとして、そのセットを複数回繰り返したこと（Ｓ１３３：ＹＥＳ）を条件に、電源スイッチ５２を異常と判定する（Ｓ１５０）。そのため、各セットでの起動確認時間Ａｃを短くしても、そのセットを複数回繰り返すことにより電源スイッチ診断Ｘ３の精度を確保することができる。そのため、電源スイッチ診断Ｘ３の精度を確保しつつ、第１制御部５７が意図しない動作を開始するリスクを抑えることができる。

　［第５実施形態］
　次に、第５実施形態について説明する。本実施形態については、第４実施形態をベースに、これと異なる点を中心に説明する。

　図１２は、本実施形態の電池ＥＣＵ４０を示す回路図である。電池ＥＣＵ４０は、さらに、第３給電経路７１と、その第３給電経路７１に設けられた給電スイッチ７２及び第３電源回路７６と、給電スイッチ７２を駆動するスイッチ駆動部７３とを有する。第３給電経路７１は、補機バッテリ３０の電力を第１制御部５７及び第２制御部６７の所定部分に給電する。

　給電スイッチ７２は、所定のスイッチ駆動部７３により制御される。スイッチ駆動部７３は、第１制御部５７又は第２制御部６７から送信される給電指令Ｄに基づいて、給電スイッチ７２を制御する。

　詳しくは、スイッチ駆動部７３は、給電指令ＤがＯＮの状態では、給電スイッチ７２をＯＮにして第３給電経路７１を通電可能に接続する。他方、スイッチ駆動部７３は、給電指令ＤがＯＦＦの状態では、給電スイッチ７２をＯＦＦにして第３給電経路７１を通電不能にする。よって、本実施形態では、給電指令Ｄが「ＯＮ」であることが、給電スイッチ７２に対する「給電スイッチ指令」が「給電指令」であることを意味し、給電指令Ｄが「ＯＦＦ」であることが、「給電スイッチ指令」が「切断指令」であることを意味する。

　主電源ＯＮ状態では、基本的には、第１制御部５７及び第２制御部６７の双方から給電指令Ｄがスイッチ駆動部７３に送信されることにより、給電指令Ｄの冗長構成が確立される。ただし、車両の主電源スイッチがＯＮからＯＦＦになった際には、まず、第１制御部５７が給電指令ＤをＯＦＦにし、その後、第２制御部６７が後述する給電スイッチ診断Ｘ１の中で給電指令ＤをＯＦＦにする。

　第３電源回路７６は、例えば基準電圧回路であって、補機バッテリ３０から供給される例えば約１２Ｖの電源電圧を、補機バッテリ３０の電圧変化や温度等のばらつきによらずに略一定に精度よく、例えば５Ｖに変圧する。そのため、第１制御部５７及び第２制御部６７を起動状態にする電力が供給される部分には、第１給電経路５１から給電される一方、第１制御部５７及び第２制御部６７における高い電圧精度が要求される部位（例えば基準電圧入力ポート）には、第３給電経路７１から給電されるように配線されている。

　給電指令Ｄは、接続指令ＣがＯＮになるタイミングでのみＯＮになる。よって、電源スイッチ５２及び給電スイッチ７２の正常時には、電源スイッチ５２及び給電スイッチ７２のうち、給電スイッチ７２のみがＯＮになることはない。よって、正常時には、第１制御部５７の所定部分にのみ第３給電経路７１から給電されるといったことにはならない。

　第３電源回路７６は、第３給電経路７１から所定電圧が出力されている出力状態であるか否かを示す給電状態信号として、上記の出力状態である場合には、所定の出力信号βを第１制御部５７及び第２制御部６７に送信する。すなわち、本実施形態では、出力信号βが「ＯＮ」である場合、上記の「出力状態」であることを示し、出力信号βが「ＯＦＦ」である場合、上記の出力状態ではない「非出力状態」であることを示す。

　具体的には、第３電源回路７６は、自己診断を行い、自身が出力する電圧が上記の所定電圧以上である場合には、出力信号βをＯＮにし、自身が出力する電圧が上記の所定電圧未満である場合には、出力信号βをＯＦＦにする。

　第２制御部６７は、信号診断Ｘ２及び電源スイッチ診断Ｘ３を行う前に、給電指令Ｄ及び出力信号βに基づいて、給電スイッチ７２がＯＮ固着故障しているか否かの給電スイッチ診断Ｘ１を行う。

　図１３は、本実施形態の電源制御を示すフローチャートである。第４実施形態（図９）と比較して、信号診断Ｘ２を行う前に、すなわち、Ｓ１１０とＳ１１１との間に、給電スイッチ診断Ｘ１を行う点で相違している。

　具体的には、Ｓ１１０で診断開始タイミングであると判定した場合（Ｓ１１０：ＹＥＳ）、給電指令ＤをＯＮからＯＦＦにする（Ｓ１１０２）。これにより、給電スイッチ７２等が正常なら、給電スイッチ７２がＯＮからＯＦＦになり出力信号βがＯＮからＯＦＦになる。その状態において、出力信号βがＯＦＦか否かを、すなわち正常か否かを判定する（Ｓ１１０３）。

　Ｓ１１０３で、出力信号βをＯＦＦと判定した場合（Ｓ１１０３：ＹＥＳ）、給電スイッチ７２を正常と判定して（Ｓ１１０４）、次のＳ１１１に進む。以後は、第４実施形態（図１０）の場合と同様である。

　他方、Ｓ１１０３で、出力信号βをＯＮと判定した場合（Ｓ１１０３：ＮＯ）、給電スイッチ７２をＯＮ固着故障と判定する（Ｓ１１０５）。そのため、電源スイッチ診断Ｘ３は行わず、接続指令ＣをＯＮの状態に維持したまま、停止指令ＲをＯＦＦからＯＮにする。これにより、主電源ＯＦＦ状態の間、接続指令ＣをＯＮに維持し且つ停止指令ＲをＯＮに維持する給電スイッチ異常対処Ｙ１を開始する。そして、電源制御を終了する。

　なお、フローチャートでは、給電スイッチ診断Ｘ１で、給電スイッチ７２をＯＮ固着故障と判定した場合（Ｓ１１０５）、信号診断Ｘ２及び電源スイッチ診断Ｘ３の両方をスキップしている。しかし、信号診断Ｘ２については、この場合、その診断結果を電源スイッチ診断Ｘ３で利用することはないが、停止機能及び起動信号αの正常を確認する目的で行ってもよい。また同目的で、本電源制御とは別に信号診断Ｘ２を行ってもよい。

　なお、上記のＳ１１０３では、出力信号βがＯＦＦであることを所定の２回のタイミングで確認したことを条件に、出力信号βをＯＦＦと判定する（Ｓ１１０３：ＹＥＳ）。また、Ｓ１１０３では、所定の停止待ち時間ＳＷの間、出力信号βがＯＮのままであることを条件に、出力信号βをＯＮと判定する（Ｓ１１０３：ＹＥＳ）。

　図１４（ａ）は、給電スイッチ７２が正常である場合における、電源制御での各値の推移を示すタイムチャートである。所定の第１タイミングＴ１において、車両の電源がＯＮからＯＦＦになる。その後に、給電スイッチ診断Ｘ１が開始され、所定のタイミングＴｐにおいて、給電指令ＤがＯＮからＯＦＦに切り替えられる（Ｓ１１０２）。そこから、経過時間を示す異常タイマが増加を開始する。

　そして、給電指令ＤがＯＦＦになったタイミングＴｑから所定の停止応答時間ＳＲ経過後の所定のタイミングＴｑに、給電スイッチ７２がＯＮからＯＦＦになり、出力信号βがＯＮからＯＦＦになる。それにより、異常タイマがリセットされて「０」になると共に、正常カウンタが「０」から「１」にカウントアップされる。その出力信号βがＯＦＦになったタイミングＴｑから所定の停止確認時間ＳＣ経過後の所定のタイミングＴｒに、出力信号βがＯＦＦのままでＯＮに推移しないことに基づいて、正常カウンタが「１」から「２」にカウントアップされる。それにより正常カウンタが閾値に達する。それにより、給電スイッチ７２が正常と判定され（Ｓ１１０４）、正常確定フラッグがＯＮになる。

　以降は、停止機能又は起動信号αが異常の場合は、第３実施形態の図８における第２タイミングＴ２以降と同様である。また、停止機能及び起動信号αが正常で且つ電源スイッチ５２が正常の場合は、第４実施形態の図１１（ａ）における第２タイミングＴ２以降と同様である。また、停止機能及び起動信号αが正常で且つ電源スイッチ５２が異常の場合は、第４実施形態の図１１（ｂ）における第２タイミングＴ２以降と同様である。

　図１４（ｂ）は、給電スイッチ７２がＯＮ固着故障している場合における、電源制御での各値の推移を示すタイムチャートである。所定のタイミングＴｐまでは、図１４（ａ）と同様である。その所定のタイミングＴｐにおいて、給電指令ＤがＯＮからＯＦＦに切り替えられる（Ｓ１１０２）と共に、そこから、経過時間を示す異常タイマが増加を開始する。

　ここで、給電スイッチ７２は、ＯＮ固着故障しているので、給電指令ＤがＯＦＦに切り替えられてもＯＦＦにはならず、ＯＮのままである。そのため、出力信号βもＯＮのままである。それにより、異常タイマはリセットされることなく増加していく。そして、給電指令ＤがＯＦＦになったタイミングＴｐから所定の停止待ち時間ＳＷ経過後の所定のタイミングＴｓにおいて、異常タイマが閾値に達すると、給電スイッチ７２がＯＮ固着故障と判定され（Ｓ１１０５）、給電スイッチ７２の異常確定フラグがＯＮになる。それにより、その後の所定のタイミングＴｆにおいて、停止指令ＲがＯＦＦからＯＮに切り替えられて（Ｓ１６０）、給電スイッチ異常対処Ｙ１が開始される。

　本実施形態によれば、次の効果が得られる。給電スイッチ７２がＯＮ固着故障した状態で、もし仮に電源スイッチ５２をＯＦＦにすれば、給電スイッチ７２のＯＮ固着故障により第１制御部５７の所定部位にだけ給電されることになる。それにより、第１制御部５７に耐圧破壊等の所定の不具合が生じるおそれがある。

　その点、給電スイッチ診断Ｘ１において、給電スイッチ７２をＯＮ固着故障と判定したこと（Ｓ１１０５：ＹＥＳ）を条件に、主電源ＯＦＦ状態の間、接続指令ＣをＯＮに維持し且つ停止指令ＲをＯＮに維持する給電スイッチ異常対処Ｙ１を行う（Ｓ１６０）。そのため、このように接続指令ＣをＯＮに維持することにより、第１制御部５７の所定部位にだけ給電されるのを回避できる。さらに、このように停止指令ＲをＯＮに維持することにより、第１制御部５７を停止状態に維持して、第１制御部５７に暗電流が流れるのも回避できる。

　また、次に示す効果が得られる。給電スイッチ７２がＯＮ固着故障している場合、電源スイッチ５２が異常であっても、電源スイッチ異常対処Ｙ３ではなく、給電スイッチ異常対処Ｙ１等の処理を実行する必要がある。よって、電源スイッチ５２が異常か否かを判定しても無駄になる。その点、本実施形態では、給電スイッチ診断Ｘ１において、給電スイッチ７２をＯＮ固着故障していないと判定したことを条件に、電源スイッチ診断Ｘ３を行い、電源スイッチ５２が異常か否かを判定する。よって、給電スイッチ７２をＯＮ固着故障と判定した場合には、電源スイッチ５２が異常か否かを判定しない。そのため、給電スイッチ７２がＯＮ固着故障しており、電源スイッチ５２が異常か否かに関係なく給電スイッチ異常対処Ｙ１を実行する場合に、電源スイッチ５２が異常か否かを判定する無駄を省くことができる。

　また、本実施形態では、給電指令ＤがＯＦＦ（Ｓ１１０２）のときに出力信号βがＯＮであること（Ｓ１１０３：ＮＯ）を条件に、給電スイッチ７２をＯＮ固着故障と判定する（Ｓ１１０５）。そのため、給電スイッチ７２のＯＮ固着故障をシンプルな手法で発見できる。

　［第６実施形態］
　次に、第６実施形態について説明する。本実施形態については、第１実施形態をベースに、これと異なる点を中心に説明する。

　図１５は、本実施形態の電源制御を示すフローチャートである。Ｓ１１０とＳ１２０との間にＳ１１７を有する点で、第１実施形態（図２）と相違する。具体的には、Ｓ１１０で診断開始タイミングであると判定された場合、Ｓ１１７に進み、接続指令ＣがＯＮの状態において、起動信号αがＯＮか否かを、すなわち正常か否かを判定する。起動信号αをＯＦＦと判定した場合（Ｓ１１７：ＮＯ）、電源スイッチ５２がＯＦＦ固着故障している可能性が高いので、Ｓ１５０に進み、電源スイッチ５２を異常と判定する。他方、Ｓ１１７で起動信号αをＯＮと判定した場合、Ｓ１２０に進む。Ｓ１２０以降は第１実施形態と同様である。

　本実施形態によれば、電源スイッチ５２がＯＮ固着故障している場合のみならず、電源スイッチ５２がＯＦＦ固着故障している場合にも、電源スイッチ５２を異常と判定できる。よって、本実施形態では、ＯＮ固着診断とＯＦＦ固着診断との両方を実施できる。

　［他の実施形態］
　以上の実施形態は、次のように変更して実施できる。例えば、各実施形態の電池ＥＣＵ４０の構成を、電池ＥＣＵ４０以外の車両用の電子制御装置に採用してもよい。また例えば、第１制御部５７及び第２制御部６７の双方が、接続指令Ｃをスイッチ駆動部５３に送信するのに代えて、第２制御部６７のみが接続指令Ｃをスイッチ駆動部５３に送信するようにしてもよい。

　また例えば、各実施形態において、電源スイッチ５２に対する「スイッチ指令」として、電源スイッチ５２のＯＮを指令する接続指令Ｃの代わりに、電源スイッチ５２のＯＦＦを指令する遮断指令が、発信されるようにしてもよい。そして、遮断指令が「ＯＦＦ」であることが、「スイッチ指令」が「接続指令」であることを意味し、遮断指令が「ＯＮ」であることが、「スイッチ指令」が「遮断指令」であることを意味するようにしてもよい。

　これと同様に、各実施形態において、「状態信号」として「起動信号α」の代わりに、第１制御部５７が停止状態であることを示す「停止信号」が発信されるようにしてもよい。また、第２～第５実施形態において、「停止部指令」として「停止指令Ｒ」の代わりに、停止駆動の解除を指示する「解除指令」が発信されるようにしてもよい。また、第５実施形態において、「給電スイッチ指令」として「給電指令Ｄ」の代わりに、給電スイッチ７２のＯＦＦを指示する「切断指令」が発信されるようにしてもよい。また、第５実施形態において、「給電状態信号」として「出力信号β」の代わりに、第３給電経路７１が上記の非出力状態であることを示す「非出力信号」が発信されるようにしてもよい。

　また例えば、各実施形態において、指令又は信号が「ＯＮ」とは、指令又は信号の電圧レベルが「Ｈｉｇｈ」レベルであることとするのに代えて、指令又は信号の電圧レベルが「Ｈｉｇｈ」レベルと「Ｌｏｗ」レベルとを交互に繰り返すこととしてもよい。すなわち、指令又は信号をパルス等にしてもよい。

　また例えば、各実施形態において、車両の主電源スイッチがＯＮからＯＦＦにされる毎回のタイミング毎に、各実施形態の電源制御を行うのに代えて、主電源スイッチがＯＮからＯＦＦにされる毎回のタイミングのうちの一方の１回置き毎に各実施形態の電源制御を行い、他方の１回置き毎に信号診断Ｘ２のみを行うようにしてもよい。

　また、その場合の第３～第５実施形態の電源制御において、信号診断Ｘ２を行ってから電源スイッチ診断Ｘ３を行うのに代えて、電源スイッチ診断Ｘ３を行ってから信号診断Ｘ２を行うようにしてもよい。この場合、例えば、電源スイッチ診断Ｘ３において電源スイッチ５２を異常と仮判定したことを条件に、信号診断Ｘ２を行うようにすることができる。そして、例えば、信号診断Ｘ２において起動信号αを正常と判定できない場合には、電源スイッチ診断Ｘ３において、電源スイッチ５２が異常であるとの本判定をしないようにすることができる。

　また例えば、第４実施形態での電圧低下待ち時間Ｖｗは、例えば１００ｍｓであるが、むろん、これを変更してもよい。ただし、電圧低下待ち時間Ｖｗは、応答（電圧低下）可能な最短時間概算から、１ｍｓ以上であることが好ましく、応答可能な最長時間概算から、３０ｍｓ以上であることがより好ましく、その他の不確定要素を考慮して、１００ｍｓ以上であることがさらに好ましい。また、電圧低下待ち時間Ｖｗは、電源スイッチ診断Ｘ３を速やかに行うことができるように、長すぎないこと（例えば１０００ｍｓ以下）が好ましい。

　また例えば、第４実施形態での起動待ち時間Ａｗは、例えば５０ｍｓであるが、むろん、これを変更してもよい。ただし、起動待ち時間Ａｗは、応答（起動）可能な最短時間概算から、１ｍｓ以上であることが好ましく、応答可能な最長時間概算から、２０ｍｓ以上であることがより好ましく、その他の不確定要素を考慮して、５０ｍｓ以上であることがさらに好ましい。また、起動待ち時間Ａｗは、電源スイッチ診断Ｘ３を速やかに行うことができるように、長すぎないこと（例えば１０００ｍｓ以下）が好ましい。

　本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。

Claims

　所定の第１給電経路（５１）から給電されることにより起動して起動状態になり、車両に搭載されている所定の電子機器（２０）を制御する第１制御部（５７）と、
　前記第１給電経路とは別の第２給電経路（６１）から給電される第２制御部（６７）と、を有し、
　前記第１給電経路には、所定の電源スイッチ（５２）が設けられ、前記電源スイッチは、所定のスイッチ指令が所定の接続指令（Ｃ）の状態では、ＯＮになって前記第１給電経路を通電可能にし、前記スイッチ指令が所定の遮断指令の状態では、ＯＦＦになって前記第１給電経路を通電不能にするものであり、
　前記第１制御部は、自身が前記起動状態であるか前記起動を停止した停止状態であるかを示す状態信号（α）を発信するものであり、
　前記第２制御部は、前記スイッチ指令が前記接続指令のときに前記状態信号が前記停止状態を示すことを条件に前記電源スイッチを異常と判定するＯＦＦ固着診断、及び前記スイッチ指令が前記遮断指令のときに前記状態信号が前記起動状態を示すことを条件に前記電源スイッチを異常と判定するＯＮ固着診断、のうちの少なくともいずれか一方を行う、
　電子制御装置（４０）。
　前記電源スイッチとは別に、前記第１制御部の起動を停止可能な停止部（５８）を有し、
　前記第２制御部は、少なくとも前記ＯＮ固着診断を行うものであり、前記第２制御部は、前記電源スイッチを異常と判定したことを条件に、前記車両の主電源スイッチがＯＦＦにされている主電源ＯＦＦ状態の間、前記停止部により前記第１制御部の起動を停止させる、
　請求項１に記載の電子制御装置。
　前記第２制御部は、所定の信号正常条件を満たすことを条件に、前記状態信号を正常と判定するものであり、前記第２制御部は、前記状態信号を正常と判定したことを条件に、前記電源スイッチを異常と判定可能にする、請求項１又は２に記載の電子制御装置。
　前記電源スイッチとは別に、前記第１制御部の起動を停止可能な停止部（５８）を有し、
　前記信号正常条件は、前記スイッチ指令が前記接続指令の状態において、前記停止部が前記第１制御部を停止させていないときに、前記状態信号が前記起動状態を示すことを含む、請求項３に記載の電子制御装置。
　前記電源スイッチとは別に、前記第１制御部の起動を停止可能な停止部（５８）を有し、
　前記信号正常条件は、前記スイッチ指令が前記接続指令の状態において、前記停止部が前記第１制御部を停止させているときに、前記状態信号が前記停止状態を示すことを含む、請求項３又は４に記載の電子制御装置。
　前記電源スイッチとは別に、前記第１制御部の起動を停止可能な停止部（５８）を有し、
　前記第２制御部は、少なくとも前記ＯＮ固着診断を行うものであり、
　前記第２制御部は、前記停止部により前記第１制御部の起動を停止させると共に、前記スイッチ指令を前記遮断指令にし、前記遮断指令にしてから所定の第１時間（Ｖｗ）経過した後に、前記停止部による前記第１制御部の停止を解除するものであり、
　前記第２制御部は、前記停止部による停止の解除から所定の第２時間（Ａｗ）経過前に、前記状態信号が前記起動状態を示したことを条件に、前記電源スイッチを異常と判定する、
　請求項１～５のいずれか１項に記載の電子制御装置。
　前記第１時間は、前記電源スイッチがＯＮ固着故障していない場合において、前記スイッチ指令を前記遮断指令にしてからの、前記停止部による前記第１制御部の起動の停止を解除しても前記第１制御部が起動することがなくなるまでの時間以上の時間である、請求項６に記載の電子制御装置。
　前記第２時間は、前記電源スイッチがＯＮ固着故障している場合において、前記停止部による停止を解除してから、前記状態信号が前記起動状態を示すようになるまでの時間以上の時間である、請求項６又は７に記載の電子制御装置。
　前記第２制御部は、前記スイッチ指令が前記遮断指令の状態において、前記停止部により前記第１制御部を停止させている状態から前記停止部による停止を解除し、その後に前記状態信号が前記起動状態を示したことを１のセットとして、前記セットを複数回繰り返したことを条件に、前記電源スイッチを異常と判定する、請求項６～８のいずれか１項に記載の電子制御装置。
　前記電源スイッチとは別に、前記第１制御部の起動を停止可能な停止部（５８）を有すると共に、前記第１制御部の所定部位に給電する第３給電経路（７１）と、を有し、
　前記第３給電経路には、給電スイッチ（７２）が設けられ、
　前記第２制御部は、所定条件を満たすことを条件に前記給電スイッチをＯＮ固着故障と判定するものであり、
　前記第２制御部は、前記給電スイッチをＯＮ固着故障と判定したことを条件に、前記車両の主電源スイッチがＯＦＦにされている主電源ＯＦＦ状態の間、前記スイッチ指令を前記接続指令に維持し且つ前記停止部により前記第１制御部の駆動を停止させる、
　請求項１～９のいずれか１項に記載の電子制御装置。
　前記第１制御部の所定部位に給電する第３給電経路（７１）を有し、
　前記第３給電経路には、給電スイッチ（７２）が設けられ、
　前記第２制御部は、所定条件を満たすことを条件に前記給電スイッチをＯＮ固着故障と判定するものであり、前記第２制御部は、前記給電スイッチをＯＮ固着故障していないと判定したことを条件に、前記電源スイッチが異常か否かの判定を行う、
　請求項１～９のいずれか１項に記載の電子制御装置。
　前記給電スイッチは、所定の給電スイッチ指令が所定の給電指令（Ｄ）の状態では、ＯＮになって前記第３給電経路を通電可能にし、前記給電スイッチ指令が所定の切断指令の状態では、ＯＦＦになって前記第３給電経路を通電不能にするものであり、
　所定の信号発信部（７６）を有し、前記信号発信部は、前記第３給電経路から所定の電圧が出力されている出力状態であるか否かを示す給電状態信号（β）を発信するものであり、
　前記第２制御部は、前記給電スイッチ指令が前記切断指令のときに前記給電状態信号が前記出力状態を示すことを条件に、前記給電スイッチをＯＮ固着故障と判定する、請求項１０又は１１に記載の電子制御装置。
　前記車両には、直列に接続された複数のセル電池（１５）を有する組電池（１０）が搭載されており、
　前記所定の電子機器は、複数の前記セル電池をグループ分けした電池群（１４）毎に設置されている監視装置（２０）であり、前記監視装置は、前記セル電池の電圧に関する情報であるセル電圧情報を前記第１制御部に送信するものであり、
　前記電源スイッチが異常か否かの診断が開始される診断開始タイミングは、前記車両の起動が停止されるタイミングにおいて、前記第１制御部が前記セル電圧情報を所定の不揮発性メモリに保存し終わった後のタイミングである、請求項１～１２のいずれか１項に記載の電子制御装置。
　前記車両には、直列に接続された複数のセル電池（１５）を有する組電池（１０）が搭載されており、
　前記所定の電子機器は、複数の前記セル電池をグループ分けした電池群（１４）毎に設置されている監視装置（２０）であり、前記監視装置は、前記第１制御部から送信される均等化指令に基づいて、各前記セル電池の電圧の均等化を開始するものであり、
　前記電源スイッチが異常か否かの診断が開始される診断開始タイミングは、前記車両の起動が停止されるタイミングにおいて、前記第１制御部が前記均等化指令を送信し終わった後のタイミングである、請求項１～１３のいずれか１項に記載の電子制御装置。
　前記診断開始タイミングは、前記監視装置による前記均等化が完了する前のタイミングであり、前記第２制御部は、前記監視装置による前記均等化の実施と並行して、前記電源スイッチが異常か否かの診断を行う、請求項１４に記載の電子制御装置。