WO2015068491A1

WO2015068491A1 - 車両の制御装置及びフェイルセーフ方法

Info

Publication number: WO2015068491A1
Application number: PCT/JP2014/075825
Authority: WO
Inventors: 博考天羽; 俊之山崎
Original assignee: Hitachi Automotive Systems Ltd
Current assignee: Hitachi Astemo Ltd
Priority date: 2013-11-08
Filing date: 2014-09-29
Publication date: 2015-05-14
Anticipated expiration: 2016-05-08
Also published as: JP6220232B2; JP2015093498A; US9701318B2; DE112014005130T5; US20150344039A1; CN105050859A; CN105050859B

Abstract

　本発明は、車両の制御装置及びフェイルセーフ方法に関する。制御装置は、メイン制御装置１１の演算処理装置１１ａの動作を監視する回路と、演算処理装置１１ａの電源電圧Ｖｃｃを監視する回路とを有し、演算処理装置１１ａの動作が正常な状態で電源電圧Ｖｃｃが異常に高くなったときに、メイン制御装置１１からの制御指令に基づき動作する複数のサブ制御装置１２，１３，１４，１５・・・の制御機能を部分的に停止する。これにより、演算処理装置１１ａの電源電圧Ｖｃｃが異常に高くなっても演算処理装置１１ａが正常に動作するときに、制御機能を極力継続させることができる。

Description

車両の制御装置及びフェイルセーフ方法

　本発明は、車両の制御装置及びフェイルセーフ方法に関し、詳しくは、演算処理装置の電源電圧が適正範囲から外れた場合の制御技術に関する。

　特許文献１には、マイコンの電源電圧をモニタして出力電圧低下を検出すると、前記マイコンをリセット状態に保持させると共に車載負荷の駆動を禁止する、車両用電子制御装置が開示されている。

特開２０１３－０１８３４３号公報

　車両安全の改善のために、車線逸脱警報や自動ブレーキなどの機能を有する先進運転支援システムＡＤＡＳ（ADVANCED DRIVER ASSISTANCE SYSTEMS）を車両に備える場合がある。
　前記ＡＤＡＳは、例えば、制御指令を出力するメイン制御装置と、メイン制御装置からの制御指令に基づいて車線逸脱警報や自動ブレーキなどをそれぞれに実施する複数のサブ制御装置とで構成される。

　ここで、ＡＤＡＳにおいては、機能安全上から、演算処理装置の電源電圧の低圧異常と共に高圧異常についても検知してフェイルセーフ処理を実施することが望まれるが、電源電圧の異常に対して一律に演算処理装置を停止させるなどの処理を実施した場合、ＡＤＡＳの全機能が停止することになる。
　しかし、ＡＤＡＳの制御機能に慣れた運転者が、ＡＤＡＳの機能停止に気付かずに運転を継続したり、ＡＤＡＳの機能停止の影響を十分に理解しないまま運転したりすると、操縦性の変化によって運転者が違和感を持つ可能性があった。

　本発明は上記問題点に鑑みなされたものであり、演算処理装置の電源電圧の異常に対して制御機能を極力継続させることができる車両の制御装置及びフェイルセーフ方法を提供することを目的とする。

　そのため、本願発明に係る車両の制御装置は、制御指令を出力するメイン制御装置と、前記制御指令に応じて制御対象を制御する複数のサブ制御装置とを含む車両の制御装置であって、前記メイン制御装置の演算処理装置の動作を監視する第１監視回路と、前記メイン制御装置の演算処理装置の電源電圧を監視する第２監視回路とを有し、前記第１監視回路により前記演算処理装置の動作が正常であることが検出され前記第２監視回路により前記電源電圧が適正範囲から外れていることが検出されているときに前記複数のサブ制御装置の制御機能の一部が停止するよう構成される。
　また、本願発明に係る車両の制御装置のフェイルセーフ方法は、制御指令を出力するメイン制御装置と、前記制御指令に応じて制御対象を制御する複数のサブ制御装置とを含む車両の制御装置のフェイルセーフ方法であって、前記メイン制御装置の演算処理装置の動作を監視するステップと、前記メイン制御装置の演算処理装置の電源電圧を監視するステップと、前記演算処理装置の動作が正常であって前記電源電圧が適正範囲から外れている場合に前記複数のサブ制御装置の制御機能の一部を停止させるステップと、を含む。

　上記発明によると、演算処理装置の電源電圧が変動するときに、車両の安全性を確保しつつ車両の操縦性の変化を抑制することができる。

本発明の実施形態における車両の制御システムを示すブロック図である。本発明の実施形態において電源電圧の異常状態で停止させる制御機能の選択パターンを例示する図である。本発明の実施形態において電源電圧の異常状態で停止させる制御機能の選択パターンを例示する図である。

　以下に本発明の実施の形態を説明する。
　図１は、車両に備えられる制御系のシステム構成を例示する図である。
　図１の制御システムは、複数の電子制御装置（ＥＣＵ）１１，１２，１３，１４，１５・・・が、ＣＡＮ（Controller Area Network）よって相互に通信可能に接続される。

　複数の電子制御装置１１，１２，１３，１４，１５・・・のうちの第１電子制御装置１１は、先進運転支援システム（ADVANCED DRIVER ASSISTANCE SYSTEMS）ＡＤＡＳの制御装置である。
　また、第２電子制御装置１２、第３電子制御装置１３、第４電子制御装置１４、第５電子制御装置１５・・・は、ブレーキ制御を行う制御装置、車両の駆動力を発生するエンジンを制御する制御装置、車両の運転席に設けた表示装置を制御する制御装置、変速機を制御する制御装置などである。

　先進運転支援システムＡＤＡＳの制御装置である第１電子制御装置１１は、ＣＰＵ（演算処理装置、マイコン）１１ａ、バッテリ電圧監視回路１１ｂ、電源回路１１ｃ、電源電圧監視回路（第２監視回路）１１ｄ、ＣＰＵ監視回路（第１監視回路）１１ｅ、ＣＡＮ通信回路１１ｆなどを備える。
　バッテリ電圧監視回路１１ｂは、バッテリの電圧ＶＢをモニタした結果を、ＣＰＵ１１ａに出力する。
　電源回路１１ｃは、バッテリの電圧ＶＢをＣＰＵ１１ａの定格電源電圧にまで低下させてＣＰＵ１１ａの電源電圧Ｖｃｃとして出力する回路である。
　なお、バッテリの電圧ＶＢは例えば１２Ｖ程度であり、ＣＰＵ１１ａの定格電源電圧は例えば５Ｖ程度である。

　電源電圧監視回路１１ｄは、電源回路１１ｃが出力する電源電圧Ｖｃｃを監視し、電源電圧Ｖｃｃに異常が発生しているか否かを診断する。電源電圧監視回路１１ｄは、定格電圧よりも電源電圧Ｖｃｃが低くなる異常の有無、及び、定格電圧よりも電源電圧Ｖｃｃが高くなる異常の有無を診断し、監視結果を同じ第１電子制御装置１１に含まれるＣＰＵ１１ａ及び外部の電子制御装置である第２電子制御装置１２に出力する。
　つまり、電源電圧監視回路１１ｄは、電源電圧Ｖｃｃが適正範囲から外れているか否かを検出し、検出結果を第１電子制御装置１１のＣＰＵ１１ａ及び第２電子制御装置１２に出力する。ここで、電源電圧Ｖｃｃの適正範囲は、定格電圧を含む所定の電圧範囲である。
　なお、電源電圧監視回路１１ｄは、電源電圧Ｖｃｃが異常に低いことを検出したときにＣＰＵ１１ａをリセットする処理、つまり、ＣＰＵ１１ａにリセット信号を出力する処理を実施することができる。

　ＣＰＵ監視回路１１ｅは、例えば、ＣＰＵ１１ａが出力するプログラムラン信号などに基づきＣＰＵ１１ａの動作状態を監視する回路である。そして、ＣＰＵ監視回路１１ｅは、ＣＰＵ１１ａの動作に異常が発生すると、ＣＰＵ１１ａをリセットさせる処理、つまり、ＣＰＵ１１ａにリセット信号を出力する処理を実施する。
　ＣＡＮ通信回路１１ｆは、ＣＡＮを介して他の電子制御装置との間で通信を行うための回路である。

　第２電子制御装置１２は、ＣＰＵ１２ａ、バッテリ電圧監視回路１２ｂ、ＣＡＮ通信回路１２ｃなどを含む。第２電子制御装置１２のＣＰＵ１２ａには、第１電子制御装置１１の電源電圧監視回路１１ｄから電源電圧Ｖｃｃの異常診断信号が入力される。
　第２電子制御装置１２、第３電子制御装置１３、第４電子制御装置１４、第５電子制御装置１５・・・は、第１電子制御装置１１からＡＤＡＳ用の制御指令を受けて、各制御対象に操作信号を出力する。
　つまり、第１電子制御装置１１は、制御指令を出力するメイン制御装置であり、第２電子制御装置１２、第３電子制御装置１３、第４電子制御装置１４、第５電子制御装置１５・・・は、第１電子制御装置１１からの制御指令に応じて制御対象を制御するサブ制御装置である。

　ＡＤＡＳの機能は、例えば、走行関連、警告関連、安全関連、機能安全関連などに種別することができる。
　走行関連の機能として、本実施例のＡＤＡＳは、例えば、車速及び前走車との距離を自動的に制御する定速走行・車間距離制御（Adaptive Cruise Control）ＡＣＣや、ブレーキや駆動力を制御して車両の横滑りを軽減するビークル・ダイナミクス・コントロール（Vehicle Dynamics Control）ＶＤＣなどの機能を備える。

　また、警告関連の機能として、本実施例のＡＤＡＳは、例えば、前走車と衝突の惧れがある場合に運転者に表示や音で警報する前方衝突警報（Forward Collision Warning）ＦＣＷや、車両が車線からはみ出した場合に運転者に表示や音で警告する車線逸脱警報（Lane Departure Warning）ＬＤＷなどの機能を備える。

　また、安全関連の機能として、本実施例のＡＤＡＳは、例えば、近接車に対して運転者がレーンチェンジを開始すると表示と音で警告し、隣接レーンの車両に近づかないようにヨーモーメントを発生させるサイド・コリジョン・プリベンション（ＳＣＰ）や、後退時に後方の車両を検知するとブレーキを作動させるバックアップ・コリジョン・プリベンション（ＢＣＰ）などの機能を備える。
　更に、機能安全関連の機能として、本実施例のＡＤＡＳは、例えば、前方の車両などと衝突の惧れがある場合にブレーキを自動的に作動させる衝突回避ブレーキ（Forward Collision Avoidance Assist）ＦＣＡなどの機能を備える。

　そして、第１電子制御装置１１は、前述したＡＤＡＳの各機能を実現するために、ブレーキや駆動力などの制御指令を第２電子制御装置１２、第３電子制御装置１３、第４電子制御装置１４、第５電子制御装置１５・・・に出力する。
　なお、ＡＤＡＳの機能は上述したものに限定されず、公知の種々の運転支援機能を適宜採用することができ、また、ＡＤＡＳの機能として、走行関連、警告関連、安全関連、機能安全関連の全てを備える構成に限定するものでもない。

　上記構成の車両の制御システムにおいて、第１電子制御装置１１のＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高くなっても、第１電子制御装置１１のＣＰＵ１１ａが正常に動作している場合、第１電子制御装置１１は、ＡＤＡＳとしての機能のうちの少なくとも一部を継続させ、他の機能を停止させるフェイルセーフ処理を行う。
　これにより、第１電子制御装置１１のＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高くなったときに、第１電子制御装置１１によって誤って車両が制御されることを抑制しつつ、ＡＤＡＳ機能を極力継続させて車両の操縦性の変化を抑制する。

　ここで、電源電圧Ｖｃｃが異常に高くなっているか否かを示す信号は、電源電圧監視回路１１ｄから第１電子制御装置１１のＣＰＵ１１ａ及び第２電子制御装置１２のＣＰＵ１２ａに出力される。そして、第２電子制御装置１２は、電源電圧Ｖｃｃが異常に高くなっていることを検知したか否かを示す信号を、ＣＡＮを介して第１電子制御装置１１に出力する。
　そして、第１電子制御装置１１は、ＣＰＵ１１ａが正常に動作している場合に、自己のＣＰＵ１１ａと第２電子制御装置１２のＣＰＵ１２ａとの少なくとも一方が、電源電圧Ｖｃｃが異常に高くなっていることを検知していれば、ＡＤＡＳの一部の機能を停止させるフェイルセーフ処理を行う。

　ＣＡＮを介して接続される複数の電子制御装置１１，１２，１３，１４，１５・・・は、ＣＡＮを介して他の電子制御装置から送られる信号に基づき他の電子制御装置の異常の有無を診断する機能を有する。そして、電子制御装置１１，１２，１３，１４，１５・・・は、受け取った診断結果に基づき自己の制御動作をフェイルセーフモードに切り替えたり、診断結果を他の電子制御装置に送信したり、他の電子制御装置からの診断結果に基づき自己の制御動作をフェイルセーフモードに切り替えたりする機能を備える。
　なお、第１電子制御装置１１のＣＰＵ１１ａの電源電圧Ｖｃｃの異常を診断する監視回路を、第１電子制御装置１１以外の電子制御装置に設けたり、いずれの電子制御装置にも含まれない単体のユニットとして設けたりすることができる。

　図２は、第１電子制御装置１１のＣＰＵ１１ａが正常に動作していて、ＣＰＵ１１ａの電源電圧Ｖｃｃの異常（特に、電源電圧Ｖｃｃが高い異常）が診断されたときに、ＡＤＡＳの各機能のうちで停止させる機能と継続させる機能との選択パターンを例示する。
　パターン１は、第１電子制御装置１１及び第２電子制御装置１２が、ＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高い状態を検知していない場合である。

　この場合、ＣＰＵ１１ａが正常動作していてかつ電源電圧Ｖｃｃも正常であるので、第１電子制御装置１１は、ＡＤＡＳとしての機能を実現するための制御指令を正しく出力することができ、ＡＤＡＳの各機能を停止させる処理は不要である。
　そこで、パターン１の場合は、第１電子制御装置１１は、ＡＤＡＳとしての各機能を実現するための制御指令の出力を通常に実施する。

　パターン２は、第２電子制御装置１２が第１電子制御装置１１のＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高い状態を検知していて、第１電子制御装置１１が自己のＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高い状態を検知していない場合である。
　この場合、実際に電源電圧Ｖｃｃが異常に高い状態であるのに、係る異常を第１電子制御装置１１のＣＰＵ１１ａが認識できていない可能性があり、ＣＰＵ１１ａについての自己診断結果は正常であっても、第１電子制御装置１１が誤った制御指令を出力する可能性がある。

　そこで、パターン２の場合、第１電子制御装置１１は、車両の制動力や駆動トルクを自動制御することで車両の走行を自動的に変化させるＡＤＡＳの機能である走行関連の機能、安全関連の機能、機能安全関連の機能を停止する一方で、運転者に警告を行うものの車両の走行を直接には変化させることのない警告関連の機能は継続させる。
　なお、ＡＤＡＳの機能の停止には、第１電子制御装置１１からの制御指令の出力を停止することの他、電子制御装置１２，１３，１４，１５・・・が、第１電子制御装置１１からの制御指令に基づく操作量出力を停止することなどが含まれる。つまり、結果的にＡＤＡＳの機能に基づくアクチュエータの操作が停止されることになる処理がＡＤＡＳの機能の停止処理である。

　これにより、第１電子制御装置１１が誤った制御指令を設定することがあったとしても、車両の走行が誤って自動制御されることを抑制できる。また、警告関連の機能については継続されてＡＤＡＳの全機能が停止することがなく、ＡＤＡＳの全機能を停止させる場合に比べ操縦性の変化を抑制することができる。
　電源電圧Ｖｃｃが異常に低い状態になった場合には、ＣＰＵ１１ａをリセットすることでＡＤＡＳの全機能を停止させるが、電源電圧Ｖｃｃが異常に高い状態になった場合にもＣＰＵ１１ａをリセットする構成とした場合、ＡＤＡＳの全機能が停止されることになる。

　しかし、ＣＰＵ１１ａは、定格電圧よりも電源電圧Ｖｃｃが低くなった場合には動作が不安定となるのに対し、電源電圧Ｖｃｃが定格電圧よりも高くなった場合にはある程度正常動作を保つことができる。
　一方、ＡＤＡＳの制御機能に慣れた運転者が、ＡＤＡＳの機能停止に気付かずに運転を継続したり、ＡＤＡＳの機能停止の影響を十分に理解しないまま運転したりすると、車両の操縦性の変化によって違和感を持つ場合がある。

　そこで、電源電圧Ｖｃｃが異常に高くなったとしても第１電子制御装置１１（ＣＰＵ１１ａ）が正常に動作している間は、ＡＤＡＳ機能のうち動作が不安定になったとしても操縦性への影響が比較的小さい機能を継続させることで、操縦性が変化することを抑制する。
　なお、パターン２の場合であって、走行関連、安全関連、機能安全関連の各機能を停止させる場合、第１電子制御装置１１は、車両の運転者にＡＤＡＳの一部機能が停止していること、つまり、走行関連の機能、安全関連の機能、機能安全関連の機能が停止していることを、音や表示によって警告することができる。

　パターン３は、第１電子制御装置１１がＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高い状態を検知していて、第２電子制御装置１２が第１電子制御装置１１のＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高い状態を検知していない場合である。
　この場合、ＣＰＵ１１ａが正常であるとの診断がＣＰＵ監視回路１１ｅによってなされていても、電源電圧Ｖｃｃが異常に高いことで、第１電子制御装置１１が誤った制御指令を出力する可能性がある。
　しかし、実際に電源電圧Ｖｃｃが異常に高い状態であった場合、第１電子制御装置１１は係る異常を認識できていることになり、第１電子制御装置１１が電圧の異常を認識できていないパターン２の場合に比べて、第１電子制御装置１１の動作の信頼性はより高くなる。

　そこで、パターン３の場合、第１電子制御装置１１は、走行関連の機能、機能安全関連の機能を停止させる一方で、警告関連の機能、安全関連の機能を継続させるようにする。
　走行関連の機能、機能安全関連の機能が誤った制御指令に基づき実施された場合、前走車との距離を不適切に変化させるなどの可能性があるのに対し、警告関連の機能は、誤った制御指令に基づき実施されても直接車両の走行に影響せず、また、安全関連の機能が誤った制御指令に基づき実施されても車両走行が安全側に導かれることになる。

　つまり、パターン２の場合よりも第１電子制御装置１１のＣＰＵ１１ａが正しい制御指令を発する可能性が高いパターン３の場合には、ＡＤＡＳの機能のうちで継続させる機能を増大させ、電源電圧Ｖｃｃが異常に高くなったときの操縦性の変化を抑制する。更に、警告関連の機能と安全関連の機能とを継続させる設定とすることで、第１電子制御装置１１の動作が不安定になっても車両の安全性への影響を抑制できる。

　また、パターン３の場合、実際に電源電圧Ｖｃｃが異常に高くなっているのに、第２電子制御装置１２が係る電圧異常を正しく認識できていない可能性があり、この場合、第２電子制御装置１２が誤動作する可能性がある。
　そこで、パターン３の場合、第１電子制御装置１１は、第３電子制御装置１３、第４電子制御装置１４、第５電子制御装置１５・・・に対し、第２電子制御装置１２の異常発生を知らせる信号を出力し、第３電子制御装置１３、第４電子制御装置１４、第５電子制御装置１５・・・における第２電子制御装置１２からの信号に基づく動作などを停止させるようにする。

　なお、パターン３の場合、第１電子制御装置１１は、第２電子制御装置１２の異常発生を知らせる信号を他の電子制御装置に出力する処理と共に、又は、異常発生を知らせる信号を出力する処理に代えて、第２電子制御装置１２が制御するアクチュエータの電源リレーをオフする処理などを実施することができる。

　パターン４は、第１電子制御装置１１及び第２電子制御装置１２が、共にＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高い状態を検知している場合である。
　この場合、パターン３と同様に、ＣＰＵ監視回路１１ｅによるＣＰＵ１１ａの診断結果が正常であっても、電圧異常によって第１電子制御装置１１が誤った制御指令を出力する可能性があるので、走行関連の機能、機能安全関連の機能を停止させる一方で、警告関連の機能、安全関連の機能を継続させるようにする。

　但し、第２電子制御装置１２も電源電圧Ｖｃｃが異常に高いことを検知していて、第２電子制御装置１２は正常に動作している可能性が高いので、パターン３とは異なり、第１電子制御装置１１は、第２電子制御装置１２の異常発生を知らせる信号を出力する処理を実施しない。
　電源電圧Ｖｃｃが異常に高くなったときに、ＡＤＡＳの機能のうちで停止させる機能と継続させる機能との選択パターンは、図２に例示したパターンに限定されるものではなく、車両の安全性や操作性などを考慮して適宜設定することができる。

　図３は、選択パターンの別の例を示すものであり、図２に示した選択パターンに比べ、電圧異常が発生したときに継続させるＡＤＡＳ機能をより少なく限定した例を示す。
　図３に示す選択パターンでは、第１電子制御装置１１及び第２電子制御装置１２が共に電圧異常を検知していないパターン１の場合、図２に例示した選択パターンと同様に、第１電子制御装置１１によるＡＤＡＳ機能を全て通常通りに実施させる。

　一方、第２電子制御装置１２が第１電子制御装置１１のＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高いことを検知していて、第１電子制御装置１１がＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高いことを検知していないパターン２の場合、図２に示した例では警告関連の機能を継続させるが、図３に示す例では、警告関連の機能を含むＡＤＡＳ機能の全てを停止させることで、警告動作を含めてＡＤＡＳ機能が誤動作することを抑制する。
　また、第１電子制御装置１１がＣＰＵ１１ａの電源電圧Ｖｃｃの異常を検知しているパターン３又はパターン４において、図２に示した例では、警告関連の機能と安全関連の機能とを継続させる構成としたが、図３に示す例では、警告関連の機能のみを継続させ、走行関連の機能、安全関連の機能、機能安全関連の機能を停止させる。

　これにより、電源電圧Ｖｃｃが異常に高くなっていても第１電子制御装置１１のＣＰＵ１１ａが正常動作していれば、警告関連の機能は継続されることになり、警告関連の機能によって車両の安全性に寄与できる。

　以上、好ましい実施形態を参照して本発明の内容を具体的に説明したが、本発明の基本的技術思想及び教示に基づいて、当業者であれば種々の変形態様を採り得ることは自明である。
　例えば、第１電子制御装置１１は、ＡＤＡＳの制御装置に限定されるものではなく、複数種の制御機能を備える第１電子制御装置１１において、ＣＰＵ１１ａの電源電圧Ｖｃｃが異常に高くなったときに、複数種の制御機能のうちの一部を継続させ、残りの機能を停止させる構成とすることができる。
　この場合、継続させる機能は、ＣＰＵの動作が不安定になった場合でも車両の安全性への影響が比較的小さい機能であり、逆に、停止させる機能は、ＣＰＵの動作が不安定になることで車両の安全性に大きな影響を与える可能性がある機能である。

　また、第１電子制御装置１１のＣＰＵ１１ａの電源電圧Ｖｃｃの監視を、第１電子制御装置１１と第２電子制御装置１２との双方で行う構成に限定されず、第１電子制御装置１１と他の電子制御装置とのいずれか一方で電源電圧Ｖｃｃの監視を行う構成とすることができる。

　また、ＡＤＡＳ機能のうちで継続させる機能と停止させる機能とを、走行関連の機能、安全関連の機能、機能安全関連の機能、警告関連の機能の４つの種別単位で選択する構成に限定されず、例えば、警告関連の機能や安全関連の機能に含まれる複数種の機能について継続させる機能と停止させる機能とを選択する設定とすることができる。

　１１…第１電子制御装置（メイン制御装置）、１１ａ…ＣＰＵ（演算処理装置）、１１ｂ…バッテリ電圧監視回路、１１ｃ…電源回路、１１ｄ…電源電圧監視回路（第２監視回路）、１１ｅ…ＣＰＵ監視回路（第１監視回路）、１１ｆ…ＣＡＮ通信回路、１２…第２電子制御装置（サブ制御装置）

Claims

　制御指令を出力するメイン制御装置と、前記制御指令に応じて制御対象を制御する複数のサブ制御装置とを含む車両の制御装置であって、
　前記メイン制御装置の演算処理装置の動作を監視する第１監視回路と、前記メイン制御装置の演算処理装置の電源電圧を監視する第２監視回路とを有し、
　前記第１監視回路により前記演算処理装置の動作が正常であることが検出され前記第２監視回路により前記電源電圧が適正範囲から外れていることが検出されているときに前記複数のサブ制御装置の制御機能の一部が停止するよう構成された、車両の制御装置。
　前記メイン制御装置は、前記複数のサブ制御装置に出力する制御指令により、前記複数のサブ制御装置の制御機能の一部を停止させる、請求項１記載の車両の制御装置。
　前記制御機能の一部停止は、前記複数のサブ制御装置のうちの一部のサブ制御装置による制御機能の停止である、請求項１記載の車両の制御装置。
　前記メイン制御装置は、前記複数のサブ制御装置それぞれの制御機能の種別に基づき、制御機能を停止させるサブ制御装置と制御機能を継続させるサブ制御装置とを選定する、請求項３記載の車両の制御装置。
　前記第１監視回路により前記演算処理装置の動作が正常であることが検出され前記第２監視回路により前記電源電圧が適正範囲から高圧側に外れていることが検出されているときに前記複数のサブ制御装置の制御機能の一部が停止するよう構成された、請求項１記載の車両の制御装置。
　前記第２監視回路は、前記メイン制御装置、及び、前記複数のサブ制御装置のうちの少なくとも１つにそれぞれ備えられる、請求項１記載の車両の制御装置。
　前記メイン制御装置に備えられた前記第２監視回路の監視結果と前記サブ制御装置に備えられた前記第２監視回路の監視結果との組み合わせに応じて前記複数のサブ制御装置の制御機能のうちの停止させる一部の制御機能が変更されるよう構成された、請求項１記載の車両の制御装置。
　前記メイン制御装置に備えられた前記第２監視回路は前記電源電圧が適正範囲内であることを検出し前記複数のサブ制御装置のうちの少なくとも１つに備えられた前記第２監視回路は前記電源電圧が適正範囲から外れていることを検出している場合、前記メイン制御装置に備えられた前記第２監視回路は前記電源電圧が適正範囲から外れていることを検出し前記複数のサブ制御装置のうちの少なくとも１つに備えられた前記第２監視回路は前記電源電圧が適正範囲内であることを検出している場合に比べて、前記複数のサブ制御装置の制御機能のうちの停止させる制御機能が多くなるよう構成された、請求項７記載の車両の制御装置。
　前記メイン制御装置に備えられた前記第２監視回路は前記電源電圧が適正範囲から外れていることを検出し、前記複数のサブ制御装置のうちの少なくとも１つに備えられた前記第２監視回路は前記電源電圧が適正範囲内であることを検出している場合、前記メイン制御装置は、前記第２監視回路を備えた前記サブ制御装置の異常を知らせる信号を、前記第２監視回路を備えない前記サブ制御装置に出力する、請求項６記載の車両の制御装置。
　前記メイン制御装置及び前記複数のサブ制御装置は車両の運転支援システムを構成し、前記サブ制御装置のうちの少なくとも１つは運転者に警告を発する機能を有し、
　前記第１監視回路により前記演算処理装置の動作が正常であることが検出され前記第２監視回路により前記電源電圧が適正範囲から高圧側に外れていることが検出されている場合に前記複数のサブ制御装置の制御機能のうちの前記警告機能を継続し他の制御機能を停止する、請求項１記載の車両の制御装置。
　前記メイン制御装置に備えられた前記第２監視回路は、前記電源電圧が適正範囲から低圧側に外れている場合に前記演算処理装置をリセットする、請求項６記載の車両の制御装置。
　制御指令を出力するメイン制御装置と、前記制御指令に応じて制御対象を制御する複数のサブ制御装置とを含む車両の制御装置のフェイルセーフ方法であって、
　前記メイン制御装置の演算処理装置の動作を監視するステップと、
　前記メイン制御装置の演算処理装置の電源電圧を監視するステップと、
　前記演算処理装置の動作が正常であって前記電源電圧が適正範囲から外れている場合に前記複数のサブ制御装置の制御機能の一部を停止させるステップと、
　を含む、車両の制御装置のフェイルセーフ方法。
　前記制御機能の一部を停止させるステップは、
　前記演算処理装置の動作が正常であって前記電源電圧が適正範囲から高圧側に外れている場合に前記複数のサブ制御装置の制御機能の一部を停止させる、請求項１２記載の車両の制御装置のフェイルセーフ方法。
　前記電源電圧を監視するステップは、
　前記メイン制御装置が前記電源電圧を監視するステップと、
　前記複数のサブ制御装置のうちの少なくとも１つが前記電源電圧を監視するステップと、
　を含み、
　前記制御機能の一部を停止させるステップは、
　前記メイン制御装置における前記電源電圧の監視結果と前記サブ制御装置における前記電源電圧の監視結果との組み合わせに応じて前記複数のサブ制御装置の制御機能のうち停止させる制御機能を変更するステップを含む、
　請求項１２記載の車両の制御装置のフェイルセーフ方法。
　前記停止させる制御機能を変更するステップは、
　前記メイン制御装置において前記電源電圧が適正範囲内であることが検出され前記サブ制御装置において前記電源電圧が適正範囲から外れていることを検出されている場合、前記メイン制御装置において前記電源電圧が適正範囲から外れていることが検出され前記サブ制御装置において前記電源電圧が適正範囲内であることが検出されている場合に比べて、停止させる制御機能を多くするステップを含む、
　請求項１４記載の車両の制御装置のフェイルセーフ方法。