电子控制装置的制作方法

本发明涉及可以运用于汽车的电子控制装置。

背景技术：

随着近年来围绕汽车的环境进一步电子化，汽车的控制在根据来自市场的驾驶性、油耗及舒适性等等的要求而不断复杂化及进步，汽车内在的故障及不良情况的风险高涨。尤其是油耗，还存在obd(on-boarddiagnostics)法规的修改等的影响，存在使构成车辆的设备数增加、以能够更详细地检测是异常状态还是正常状态的方式对构成系统的各设备的诊断结果进行细分的变化。

设备诊断控制大部分是根据来自车速传感器、油压传感器等硬件的输入来判断行驶循环中的设备的状态是正常还是异常。

此处，在控制器单元中已搭载有作为诊断对象的设备的传感器的前提下，仅靠控制软件的开发便能实现诊断控制的部署。因此，诊断方法的细分仅靠软件的变更便能应对，控制开发时间的缩短也相对不难。

但是，诊断方法的细分还要合乎法规，并非一定限定于搭载有诊断对象设备的传感器的系统。如果是在未搭载有诊断对象设备的传感器的情况下，除了控制器单元的软件的变更以外，还需要硬件构成的变更。因此，在硬件方面，存在要搭载的传感器等的选定、评价试验等耗费庞大的开发工时这一情况。此外，在软件方面，须重新设计研究诊断控制的逻辑，从而存在控制开发时间的缩短变得极为困难这一情况。

另一方面，汽车用电子控制装置中安装有存储器备份功能，即，在任意时刻或自关停中将学习值、故障信息等信息电写入至能进行记录内容的擦除及写入的非易失性存储器。

但是，存储器备份例如存在因存储器元件的异常、电池电压的降低等而无法正常进行的情况。

专利文献1揭示了一种汽车用电子控制装置，其通过存储写入开始标识、写入完成标识等管理信息来一方面检测电池电压降低造成的存储器备份异常、另一方面尽可能有效利用正常的存储器区域。

现有技术文献

专利文献

专利文献1：日本专利特开2015-176177号公报

技术实现要素：

发明要解决的问题

然而，在专利文献1揭示的技术中，若从电池电压异常的观点来看，则异常的检测对象范围仅仅是行驶循环结束时的自关停中。因此，如果是在行驶循环中发生了电池的电压降低或断路等，则有无法正确地检测到异常的担忧。

此外，异常检测的输入信息仅仅是作为写入管理信息的写入开始标识和完成标识这1种管理信息。因此，如果在管理信息的存储区域内存储器元件(存储单元)发生故障而发生了存储器元件异常，则有可能引起误检测。

本发明正是鉴于上述情况而做成，其目的在于提供一种即便在未搭载有电池电压传感器的情况下也能在行驶循环中或自关停中检测电池异常的电子控制装置。

解决问题的技术手段

为了达成上述目的，本发明的第1形态的电子控制装置是具备包含多个存储区域的非易失性存储器的电子控制装置，所述存储区域具备：信息存储区域，其存储信息；以及管理信息存储区域，其存储表示信息向所述存储区域的写入状态的管理信息，所述非易失性存储器区别于所述存储区域而另行具备存储访问信息的管理信息访问标记存储区域，所述访问信息表示对所述管理信息的访问的有无。

发明的效果

根据本发明，即便在未搭载有电池电压传感器的情况下也能在行驶循环中或自关停中检测电池异常。

附图说明

图1为表示实施方式的电子控制装置的硬件构成的框图。

图2为表示图1的闪存的数据结构的图。

图3为表示图2的第1存储区域用管理信息存储区域、第2存储区域用管理信息存储区域以及管理信息访问标记存储区域的构成的图。

图4为表示实施方式的电子控制装置的未发生电池断路异常时的故障信息写入处理的图。

图5为表示实施方式的电子控制装置的在行驶循环中发生了电池断路异常时的故障信息写入处理的图。

图6为表示实施方式的电子控制装置的在关停中发生了电池断路异常时的故障信息写入处理的图。

图7为表示实施方式的电子控制装置的行驶循环中的控制处理的流程图。

图8为表示实施方式的故障信息的写入开始标识写入处理的流程图。

图9为表示实施方式的故障信息的写入完成标识写入处理的流程图。

图10为表示实施方式的电子控制装置的电池断路异常判定处理的流程图。

图11为表示实施方式的电子控制装置中的管理信息判定处理的异常检测模式的图。

图12为表示实施方式的电子控制装置的在行驶循环中连续发生了电池断路异常时的故障信息写入处理的图。

具体实施方式

参考附图，对实施方式进行说明。再者，以下所说明的实施方式并不限定权利要求书的发明，此外，实施方式中说明的各要素及其所有组合未必是发明的解决手段所必需的。

图1为表示实施方式的电子控制装置的硬件构成的框图。

图1中，电子控制装置100中设置有处理器110、ram(randomaccessmemory)120以及闪存130。

处理器110、ram120以及闪存130经由总线140相互连接在一起。从电池150对电子控制装置100供给电源。

电子控制装置100例如是对发动机、自动变速器及燃料泵等进行电子控制的设备。处理器110是掌管整个电子控制装置100的动作控制的硬件，可使用cpu(centralprocessingunit)等。ram120为易失性存储器，可以设置供处理器110执行程序用的工作区。闪存130为闪速rom(readonlymemory)等即便切断电源供给数据也不会消失的非易失性半导体存储器。闪存130例如存储各种控制程序、学习值、obd功能得到的故障信息等。电子控制装置100可以通过来自车速传感器、油压传感器等硬件的输入来收集故障信息。

图2为表示图1的闪存的数据结构的图。

图2中，闪存130内设置有第1存储区域31及第2存储区域32作为存储学习值、故障信息等信息(以下称为故障信息)的多个存储区域。该存储区域能以闪存130的擦除单位进行设置。在闪存130为nand闪存的情况下，该存储区域能以块单位进行设置。再者，图2中展示的是存储故障信息的多个存储区域设置有2个的情况，但存储故障信息的多个存储区域也可有3个以上。

第1存储区域31内设置有故障信息存储区域131及第2存储区域用管理信息存储区域133。第2存储区域32内设置有故障信息存储区域132及第1存储区域用管理信息存储区域134。故障信息存储区域131及故障信息存储区域132存储故障信息。第2存储区域用管理信息存储区域133存储表示故障信息向第2存储区域32的写入状态的管理信息。第1存储区域用管理信息存储区域134存储表示故障信息向第1存储区域31的写入状态的管理信息。此时，第1存储区域31存储对应于第2存储区域32内保持的故障信息的管理信息，第2存储区域32存储对应于第1存储区域31内保持的故障信息的管理信息。即，第1存储区域31及第2存储区域32相互保持对方的管理信息。

此处，第1存储区域31的数据即便是擦除一部分，第1存储区域31内存储的整个数据也会被统一擦除。同样地，第2存储区域32的数据即便是擦除一部分，第2存储区域32内存储的整个数据也会被统一擦除。因此，通过由第1存储区域31及第2存储区域32相互保持对方的管理信息，即便在第1存储区域31及第2存储区域32中的任一存储区域的数据被擦除掉的情况下，也能将被擦除那一侧的存储区域的管理信息留在对方的存储区域内。

进而，闪存130内设置有存储访问信息的管理信息访问标记存储区域135，所述访问信息表示对第1存储区域31的管理信息以及第2存储区域32的管理信息的访问的有无。管理信息访问标记存储区域135区别于第1存储区域31及第2存储区域32而另行设置。管理信息访问标记存储区域135可以用于检测尽管访问了管理信息但没有正常写入管理信息的闪存元件异常时的电池断路。

图3为表示图2的第1存储区域用管理信息存储区域、第2存储区域用管理信息存储区域以及管理信息访问标记存储区域的构成的图。

图3中，第2存储区域用管理信息存储区域133保持第2存储区域用写入开始标识133a及第2存储区域用写入完成标识133b作为第2存储区域32的管理信息。第2存储区域用写入开始标识133a表示故障信息向第2存储区域32的写入开始。第2存储区域用写入完成标识133b表示故障信息向第2存储区域32的写入完成。关于第2存储区域用写入开始标识133a，可以设置n(n为正整数)个第2存储区域用写入开始标识ma1～man。关于第2存储区域用写入完成标识133b，可以设置n个第2存储区域用写入完成标识mb1～mbn。

第1存储区域用管理信息存储区域134保持第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b作为第1存储区域31的管理信息。第1存储区域用写入开始标识134a表示故障信息向第1存储区域31的写入开始。第1存储区域用写入完成标识134b表示故障信息向第1存储区域31的写入完成。关于第1存储区域用写入开始标识134a，可以设置n个第1存储区域用写入开始标识ka1～kan。关于第1存储区域用写入完成标识134b，可以设置n个第1存储区域用写入完成标识kb1～kbn。

管理信息访问标记存储区域135保持写入开始标识用访问标记135a及写入完成用访问标记135b作为对管理信息的访问信息。写入开始标识用访问标记135a表示对第1存储区域用写入开始标识134a的登记地址或者第2存储区域用写入开始标识133a的登记地址的访问的有无。写入完成用访问标记135b表示对第1存储区域用写入完成标识134b的登记地址或者第2存储区域用写入完成标识133b的登记地址的访问的有无。关于写入开始标识用访问标记135a，可以设置n个写入开始标识用访问标记fa1～fan。关于写入完成标识用访问标记135b，可以设置n个写入完成用访问标记fb1～fbn。

再者，在闪存130内确保有3个以上的存储区域的情况下，以具有所有存储区域的管理信息的方式在各存储区域的管理信息存储区域内储存有其他存储区域的管理信息即可。

在以如上方式构成的电子控制装置100中，处理器110可以按照实现os(operatingsystem)控制功能及appli(application)控制功能的控制程序来分别执行故障信息写入处理及故障信息读入处理。

图4为表示实施方式的电子控制装置的未发生电池断路异常时的故障信息写入处理的图。

图4中，在点火开关从off变成on时，故障信息存储区域131、132、第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135处于空白状态。并且，故障信息存储区域131及第2存储区域用管理信息存储区域133被选为可写入区域。

并且，以点火开关从off变成on这一情况为触发而开始行驶循环。此处，在行驶循环中及自关停中未发生电池断路的异常而正常地实施了存储器备份控制。

此时，在行驶循环中，处理器110向第1存储区域用管理信息存储区域134写入第1存储区域用写入开始标识134a。进而，处理器110认为该第1存储区域用管理信息存储区域134有了访问，从而将写入开始标识用访问标记135a写入至管理信息访问标记存储区域135。继而，逐次执行车辆控制所需的螺线管控制、can(controllerareanetwork)通信控制等。

接着，当在行驶循环中点火开关从on变为off时，处理器110执行自关停。在自关停中，为了结束本次行驶循环，处理器110擦除第1存储区域31作为向故障信息存储区域131写入故障信息的准备。在第1存储区域31的擦除中，整个第1存储区域31被擦除，因此，不仅是故障信息存储区域131被擦除，第2存储区域用管理信息存储区域133也被擦除。

当第1存储区域31的擦除完成时，处理器110将ram120内存储的故障信息写入至故障信息存储区域131。当故障信息的写入正常完成时，处理器110向第1存储区域用管理信息存储区域134写入第1存储区域用写入完成标识134b。进而，处理器110认为第1存储区域用管理信息存储区域134有了访问，从而将写入完成标识用访问标记135b写入至管理信息访问标记存储区域135。

此时，在第1存储区域31内，故障信息存储区域131存储有行驶循环中的故障信息，第2存储区域用管理信息存储区域133在故障信息的写入前被擦除，因此为空白状态。在第2存储区域32内，第1存储区域用管理信息存储区域134存储有第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b。因而，管理信息的存储状态如下：第1存储区域31的管理信息方面存储有第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b，第2存储区域32的管理信息方面第2存储区域用写入开始标识133a及第2存储区域用写入完成标识133b为空白。

在管理信息访问标记存储区域135内，管理信息访问标记存储区域135存储有写入开始标识用访问标记135a及写入完成标识用访问标记135b。因此，表明为了将第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b写入至第1存储区域用管理信息存储区域134而对第1存储区域用管理信息存储区域134有了访问。

当再次以点火开关从off变成on这一情况为触发而开始下一次行驶循环时，处理器110根据第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135的记录模式可以判断前一次行驶循环的故障信息的写入得到了正常执行、在行驶循环中及自关停中均未发生电池断路异常。

另一方面，发生了电池断路异常的情况下的闪存130的第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135的记录模式与未发生电池断路异常的情况下的闪存130的第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135的记录模式不一样。

下面，对在行驶循环中发生了电池断路异常的情况和在自关停中发生了电池断路异常的情况下各自的故障信息写入处理进行说明。

图5为表示实施方式的电子控制装置的在行驶循环中发生了电池断路异常时的故障信息写入处理的图。图5中以第1存储区域31的故障信息的写入正常完成、其后第2存储区域32的故障信息的写入失败的情况为例。

图5中，在点火开关从off变成on时，故障信息存储区域131存储有故障信息，第1存储区域用管理信息存储区域134存储有第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b。进而，故障信息存储区域132、第2存储区域用管理信息存储区域133以及管理信息访问标记存储区域135处于空白状态。并且，故障信息存储区域132及第1存储区域用管理信息存储区域134被选为可写入区域。

并且，以点火开关从off变成on这一情况为触发而开始行驶循环。在行驶循环中，处理器110向第2存储区域用管理信息存储区域133写入第2存储区域用写入开始标识133a。

进而，认为该第2存储区域用管理信息存储区域133有了访问，从而将写入开始标识用访问标记135a写入至管理信息访问标记存储区域135。继而，逐次执行车辆控制所需的螺线管控制、can通信控制等。

此处，当成为对电子控制装置100的电源供给源的电池150变为断路状态时，本次行驶循环不经由自关停处理便结束。因此，不再实施故障信息向故障信息存储区域132的写入、第2存储区域用写入完成标识133b向第2存储区域用管理信息存储区域133的写入、以及写入完成标识用访问标记135b向管理信息访问标记存储区域135的写入。

进而，由于第2存储区域32未经由自关停处理，因此第1存储区域用管理信息存储区域134不会从外部受到访问。因此，第1存储区域用管理信息存储区域134保持前一次行驶循环下的存储器备份时的管理信息的设定不变。

因而，第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135的记录模式与图4的未发生电池断路异常时不一样，第1存储区域31内仅存储有第2存储区域用写入开始标识133a，第2存储区域32内存储有第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b。

因此，当再次以点火开关从off变成on这一情况为触发而开始下一次行驶循环时，处理器110根据第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135的记录模式可以判断前一次行驶循环的故障信息的写入发生了异常、在行驶循环中发生了电池断路异常。

图6为表示实施方式的电子控制装置的在关停中发生了电池断路异常时的故障信息写入处理的图。图6中以第1存储区域31的故障信息的写入正常完成、其后第2存储区域32的故障信息的写入失败的情况为例。

图6中，在点火开关从off变成on时，故障信息存储区域131存储有故障信息，第1存储区域用管理信息存储区域134存储有第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b。进而，故障信息存储区域132、第2存储区域用管理信息存储区域133以及管理信息访问标记存储区域135处于空白状态。并且，故障信息存储区域132及第1存储区域用管理信息存储区域134被选为可写入区域。

并且，以点火开关从off变成on这一情况为触发而开始行驶循环。在行驶循环中，处理器110向第2存储区域用管理信息存储区域133写入第2存储区域用写入开始标识133a。

进而，处理器110认为该第2存储区域用管理信息存储区域133有了访问，从而将写入开始标识用访问标记135a写入至管理信息访问标记存储区域135。继而，逐次执行车辆控制所需的螺线管控制、can通信控制等。

接着，当在行驶循环中点火开关从on变为off时，处理器110执行自关停。在自关停中，为了结束本次行驶循环，处理器110擦除第2存储区域32作为向故障信息存储区域132写入故障信息的准备。在第2存储区域32的擦除中，整个第2存储区域32被擦除，因此，不仅是故障信息存储区域132被擦除，第1存储区域用管理信息存储区域134也被擦除。

此处，当成为对电子控制装置100的电源供给源的电池150变为断路状态时，不再实施第2存储区域用写入完成标识133b向第2存储区域用管理信息存储区域133的写入和写入完成标识用访问标记135b向管理信息访问标记存储区域135的写入。进而，关于第2存储区域32，第1存储区域用管理信息存储区域134因存储器擦除处理而受到访问，由于在存储器擦除中途发生了电池断路，因此存在存储数据成为不定数据的情况。

因而，在自关停中发生了电池断路异常时的第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135的记录模式与图5的在行驶循环中发生了电池断路异常时不一样，第2存储区域32中存储不是空白设定、第1存储区域用写入开始标识134a以及第1存储区域用写入完成标识134b中的任一方的不定数据。

因此，当再次以点火开关从off变成on这一情况为触发而开始下一次行驶循环时，处理器110根据第2存储区域用管理信息存储区域133、第1存储区域用管理信息存储区域134以及管理信息访问标记存储区域135的记录模式可以判断前一次行驶循环的故障信息的写入发生了异常、在自关停中发生了电池断路异常。

此处，如图5及图6所示，即便在行驶循环中及自关停中的任一情况下发生了电池断路异常时，管理信息访问标记存储区域135的存储内容也会是写入开始标识用访问标记135a为有、写入完成用访问标记135b为无。因此，即便在管理信息未正常写入至第1存储区域31及第2存储区域32的发生了元件异常的情况下，也可以通过参考管理信息访问标记存储区域135的存储内容来判定行驶循环中或自关停中是否发生了电池断路异常。因此，即便在未搭载有电池电压传感器的情况下，也能在不变更硬件构成、进而在软件开发上不耗费庞大的工时的情况下检测到行驶循环中或自关停中的电池异常。

下面，一边参考图7～图10的流程，一边对图1的电子控制装置100的详细处理进行说明。在该处理中，在行驶循环中进行向第2存储区域用管理信息存储区域133及第1存储区域用管理信息存储区域134的开始标识写入和完成标识写入、还有向管理信息访问标记存储区域135的各自的管理信息访问标记的写入。于是，通过在转变到下一次行驶循环的时刻诊断这3种管理信息，能够正确地检测到因电池电压降低或电池断路而导致所需电源未从电池150供给至电子控制装置100时的存储器备份异常。

图7为表示实施方式的电子控制装置的行驶循环中的控制处理的流程图。作为行驶循环中的控制处理，有开始标识写入、完成标识写入、以及各自的管理信息访问标记的写入。开始标识及完成标识可以采用规定的常数设定。该处理在行驶循环刚开始之后的reset处理后以最快的规定周期反复进行。

图7中，在步骤s1中监视供给至电子控制装置100的供给电压，根据供给电压的状态来切换行驶循环中的控制处理以及自关停中的控制处理。

即，在步骤s1中判断供给电压是否在关停阈值以下。

继而，在供给电压不在关停阈值以下的情况下，前进至行驶循环中的控制处理。作为行驶循环中的控制处理，判断供给电压是否在摇转阈值以上。继而，在供给电压在摇转阈值以上的情况下，判断未发生发动机起动时的摇转造成的电压降、对电子控制装置100的供给电压处于稳定的状态也就是说处于行驶循环中，前进至步骤s4。

在步骤s4中，判断开始标识写入是否未完成。继而，在开始标识写入未完成的情况下，在步骤s5中执行开始标识以及开始标识侧的管理信息访问标记的写入处理。接着，在步骤s6中，开始预先以规定周期的中断安排好的自动变速器控制等正常控制。

另一方面，在供给电压在关停阈值以下的情况下，前进至自关停中的控制处理。作为自关停中的控制处理，在步骤s2中更新自关停用的延时器。继而，在供给电压不在摇转阈值以上的情况下，在步骤s7中判断步骤s2中更新后的延时器的值是否不到规定值。继而，在延时器的值不到规定值的情况下，前进至步骤s6，开始正常控制。在延时器的值在规定值以上的情况下，使点火开关off，在步骤s8中停止行驶循环中实施的正常控制作为自关停中的控制处理。接着，在步骤s9中进行行驶循环中更新过的故障信息的备份。进而，在步骤s10中执行完成标识以及完成标识侧的管理信息访问标记的写入处理，在步骤s11中停止在自动变速器控制时进行动作的a/d转换器等硬件。

图8为表示实施方式的图7步骤s5的故障信息的写入开始标识写入处理的流程图。

图8中，为了避免在开始标识和管理信息访问标记的写入开始后的循环中再次在步骤s24～s29中进行开始标识的写入指示，在步骤s21中确认开始标识和管理信息访问标记的处理状态信息不是写入中。在处理状态信息为写入中的情况下，跳过步骤s24～s29，前进至步骤s30。

在处理状态信息不是写入中的情况下，在步骤s22中将开始标识和管理信息访问标记的处理状态信息设定为写入中。接着，在步骤s23中，判定通过reset时的存储器备份读入控制所生成的、本次行驶循环中的故障信息的可读入存储区域是第1存储区域31还是第2存储区域32。在可读入存储区域为第1存储区域31的情况下，在步骤s24中检索第1存储区域31内的第2存储区域用管理信息存储区域133的空闲区域作为故障信息向第2存储区域32的写入的准备。继而，在步骤s25中对空闲区域开始第2存储区域用写入开始标识133a的写入。

接着，在步骤s26中，认为第1存储区域31内的第2存储区域用管理信息存储区域133内记录的第2存储区域用写入开始标识133a的区域有了访问，从而进行写入开始标识用访问标记135a向管理信息访问标记存储区域135的写入指示。

另一方面，在步骤s23中判定可读入存储区域为第2存储区域32的情况下，在步骤s27中检索第2存储区域32内的第1存储区域用管理信息存储区域134的空闲区域作为故障信息向第1存储区域31的写入的准备。继而，在步骤s28中对空闲区域开始第1存储区域用写入开始标识134a的写入。

接着，在步骤s29中，认为第2存储区域32内的第1存储区域用管理信息存储区域134内记录的第1存储区域用写入开始标识134a的区域有了访问，从而进行写入开始标识用访问标记135a向管理信息访问标记存储区域135的写入指示。

此处，在可读入区域侧的管理信息中写入开始标识是为了防止如下情况：即便在可写入区域侧的管理信息中记录开始标识，在自关停中的故障信息写入时也会擦除管理信息，导致在下一次行驶循环开始时无法进行管理信息的判定。

当通过以上步骤完成了开始标识和开始标识侧的管理信息访问标记的写入指示时，在步骤s30中确认向闪存130的写入是否已完成。若写入正常完成，则在步骤s31中进行开始标识和管理信息访问标记的处理状态信息的更新。

关于写入完成标识写入处理，以表示存储器备份已正常完成这一情况的信息的形式在自关停中的故障信息的写入控制后执行。此时，根据当前的行驶循环中的故障信息的可读入存储区域来决定写入完成标识的区域。

图9为表示实施方式的图7步骤s10的故障信息的写入完成标识写入处理的流程图。

图9中，在步骤s41中读出当前的第2存储区域用写入开始标识133a或第1存储区域用写入开始标识134a和写入开始标识用访问标记135a的处理状态信息，判断第2存储区域用写入开始标识133a或第1存储区域用写入开始标识134a和写入开始标识用访问标记135a的写入是否已完成。在写入未完成的情况下，跳过步骤s42～s48，结束处理。

在写入完成的情况下，在步骤s42中判定当前的行驶循环中的故障信息的可读入存储区域是第1存储区域31还是第2存储区域32。在可读入存储区域为第1存储区域31的情况下，实施了故障信息的写入的存储区域为第2存储区域32。因此，在步骤s43中检索第1存储区域31内确保的第2存储区域用管理信息存储区域133的空闲区域。继而，在步骤s44中在空闲区域内进行第2存储区域用写入完成标识133b的写入。

接着，在步骤s45中，认为第1存储区域31内的第2存储区域用管理信息存储区域133内记录的第2存储区域用写入完成标识133b的区域有了访问，从而进行写入完成标识用访问标记135b向管理信息访问标记存储区域135的写入指示。

另一方面，在步骤s42中判定可读入存储区域为第1存储区域31的情况下，实施了故障信息的写入的存储区域为第1存储区域31。因此，在步骤s46中检索第2存储区域32内确保的第1存储区域用管理信息存储区域134的空闲区域。继而，在步骤s47中在空闲区域内进行第1存储区域用写入完成标识134b的写入。

接着，在步骤s48中，认为第2存储区域32内的第1存储区域用管理信息存储区域134内记录的第1存储区域用写入完成标识134b的区域有了访问，从而进行写入完成标识用访问标记135b向管理信息访问标记存储区域135的写入指示。

图10为表示实施方式的电子控制装置的电池断路异常判定处理的流程图。电池断路异常判定处理在行驶循环发生了转变的时刻加以执行，根据下一次行驶循环开始时间点上的开始标识、完成标识以及管理信息访问标记的存储模式来诊断前一次行驶循环的存储器备份控制时有无电池断路异常。

图10中，在步骤s51中判定本次行驶循环中的故障信息的可读入存储区域是第1存储区域31还是第2存储区域32。在可读入存储区域为第1存储区域31的情况下，在步骤s52中，在可读入块侧检索第1存储区域31内确保的第2存储区域32用的管理信息即第2存储区域用写入开始标识133a及第2存储区域用写入完成标识133b并在可写入块侧检索第2存储区域32内确保的第1存储区域31用的管理信息即第1存储区域用写入开始标识134a及第2存储区域用写入完成标识134b，而且检索可读入块侧的写入开始标识用访问标记135a及写入完成标识用访问标记135b。

另一方面，在步骤s51中判定可读入存储区域为第2存储区域32的情况下，在步骤s53中，在可读入块侧检索第2存储区域32内确保的第1存储区域31用的管理信息即第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b并在可写入块侧检索第1存储区域31内确保的第2存储区域32用的管理信息即第2存储区域用写入开始标识133a及第2存储区域用写入完成标识133b，而且检索可读入块侧的写入开始标识用访问标记135a及写入完成标识用访问标记135b。

当在步骤s52或步骤s53中完成了开始标识及完成标识和管理信息访问标记的检索时，在步骤s54中检查开始标识及完成标识和管理信息访问标记所展示的异常检测模式。

图11为表示实施方式的电子控制装置中的管理信息判定处理的异常检测模式的图。

图11中，根据故障信息的可读入区域的管理信息、故障信息的可写入区域的管理信息以及管理信息访问标记这合计3个要素将异常检测模式分类为以下6种。此时，能以如下方式设定利用存储器备份控制的电池断路的异常的检测内容。

在模式1、2中，根据管理信息访问标记的开始标识侧有访问、管理信息访问标记的完成标识侧无访问这一结果，设想未经由自关停处理、未执行存储器备份控制这一情况。因而，在当前的行驶循环时，故障信息的可读入区域没有从前一次行驶循环发生转变。结果，根据故障信息的可读入区域的管理信息的存储模式，怀疑电池断路异常造成的存储器备份异常和可读入存储区域侧的存储器元件异常。进而，通过确认故障信息的可写入区域侧的管理信息，该异常状态可以像以下那样进一步细分。

如果是在行驶循环中发生了电池断路的情况下，故障信息的可写入区域侧的管理信息不会从外部受到访问。也就是说，作为设想的异常检测模式，认为是存储有初始状态的空白设定或者前一次行驶循环时存储器备份控制正常完成时的管理信息的状态(开始标识或完成标识)。

另一方面，在自关停中发生了电池断路的情况下，故障信息的可写入区域侧的管理信息在存储器备份时的存储器擦除过程中会受到访问。也就是说，作为设想的异常检测模式，由于在存储器擦除中发生电池断路，因此与行驶循环中的异常检测模式不一样，可以认为存储的是不定设定(不是空白、开始标识及完成标识的值)。

因此，在模式1下，可以检测到同时发生了行驶循环中的电池断路和存储器元件异常。在模式2下，可以检测到同时发生了自关停中的电池断路和存储器元件异常。

在模式3、4下，与模式1、2时一样，根据管理信息访问标记的开始标识侧有访问、管理信息访问标记的完成标识侧无访问这一结果，设想未经由自关停处理、未执行存储器备份控制这一情况。因而，在当前的行驶循环时，故障信息的可读入区域没有从前一次行驶循环发生转变。此时，故障信息的可读入区域的管理信息的存储模式在模式3、4与模式1、2下是不一样的。结果，根据故障信息的可读入区域的管理信息的存储模式，怀疑电池断路异常造成的存储器备份异常。进而，通过确认故障信息的可写入区域侧的管理信息，可以细分为是行驶循环中的电池断路异常还是自关停中的电池断路异常。

在模式5下，根据管理信息访问标记的开始标识侧有访问、管理信息访问标记的完成标识侧有访问这一结果，设想自关停处理完成、执行了存储器备份控制这一情况。此时，在当前的行驶循环时，由于故障信息的存储得到了更新，因此故障信息的可读入区域从前一次行驶循环发生了转变。结果，可读入存储区域内确保的管理信息在存储器备份控制的过程中被擦除而变为空白设定，根据管理信息访问标记的内容，可写入区域内的管理信息应当变为开始标识和完成标识的设定，但根据管理信息的存储模式，怀疑可写入存储区域侧的存储器元件异常。但是，存储器元件异常不是电池断路的观点而是存储器备份异常的观点下的异常，所以此处不实施存储器元件异常检测。

在模式6下，与模式5一样，可读入存储区域内记录的管理信息为空白设定。关于可写入存储区域内记录的管理信息，根据管理信息访问标记的内容，开始标识和完成标识得到了正常记录。因此，根据3种管理信息的记录模式，可以认为存储器备份控制正常完成，从而可以看作未发生行驶循环中的电池断路。

图10中，当在步骤s54中完成了异常检测模式的检查时，在步骤s55中判断异常检测模式对应于模式1～6中的哪一种。在异常检测模式为模式1、2的情况下，前进至步骤s56，在异常检测模式为模式3、4的情况下，前进至步骤s57，在异常检测模式为模式5的情况下，前进至步骤s58，在异常检测模式为模式6的情况下，前进至步骤s59。继而，在步骤s56～步骤s58中根据异常检测模式来进行各自的异常计数器的更新。

在步骤s59中，由于在步骤s54中确认了第1存储区域31及第2存储区域32的妥当性、存储器备份是正常完成的，因此实施管理信息的访问标记的擦除以便下一次行驶循环时的电池断路异常诊断使用。

此处，对于步骤s54中检查得到的异常检测模式中的模式1～5，认为存储器备份控制是异常结束的，在下一次行驶循环时不实施故障信息的可读入区域的切换。因此，如图12所示，对第1存储区域31的管理信息、第2存储区域32的管理信息以及管理信息访问标记累积异常的模式的开始标识、完成标识的组合和管理信息访问标记的有无。若此时的累积值变为规定值以上，则可以确定在前一次行驶循环中发生了何种电池断路异常。

图12为表示实施方式的电子控制装置的在行驶循环中连续发生了电池断路异常时的故障信息写入处理的图。

图12中，在前一次行驶循环中发生了电池断路异常。并且，在本次行驶循环中点火开关从off变成on时，故障信息存储区域131存储有故障信息，第2存储区域用管理信息存储区域133存储有第2存储区域用写入开始标识133a，第1存储区域用管理信息存储区域134存储有第1存储区域用写入开始标识134a及第1存储区域用写入完成标识134b，管理信息访问标记存储区域135存储有写入开始标识用访问标记135a。并且，故障信息存储区域132及第1存储区域用管理信息存储区域134被选为可写入区域。

并且，以点火开关从off变成on这一情况为触发而开始本次行驶循环。在本次行驶循环中，处理器110向第2存储区域用管理信息存储区域133写入第2个第2存储区域用写入开始标识133a。进而，认为该第2存储区域用管理信息存储区域133有了访问，从而向管理信息访问标记存储区域135写入第2个写入开始标识用访问标记135a。继而，逐次进行车辆控制所需的螺线管控制、can通信控制等。

此处，当成为对电子控制装置100的电源供给源的电池150再次变为断路状态时，本次行驶循环不经由自关停处理便结束。因此，不再实施故障信息向故障信息存储区域132的写入、第2存储区域用写入完成标识133b向第2存储区域用管理信息存储区域133的写入、以及写入完成标识用访问标记135b向管理信息访问标记存储区域135的写入。

进而，由于第2存储区域32未经由自关停处理，因此第1存储区域用管理信息存储区域134不会从外部受到访问。因此，第1存储区域用管理信息存储区域134保持前一次行驶循环下的存储器备份时的管理信息的设定不变。

因而，第2存储区域用管理信息存储区域133及管理信息访问标记存储区域135的记录模式与图5的发生了第1次电池断路异常时不一样，第2存储区域用管理信息存储区域133内存储有2个第2存储区域用写入开始标识133a，管理信息访问标记存储区域135内存储有2个写入开始标识用访问标记135a。

因此，在图10的步骤s60中，将在步骤s56～s58中更新后的异常计数器次数与预先设定的规定值进行比较。在异常计数器次数不到规定值的情况下，结束处理。在异常计数器次数达到了规定值以上的情况下，判断异常检测模式对应于模式1～6中的哪一种。在异常检测模式为模式1、3的情况下，设定相应的异常标记(电池断路时刻为行驶循环中)。在异常检测模式为模式2、4的情况下，设定相应的异常标记(电池断路时刻为关停中)。在异常检测模式为其他模式的情况下，结束处理。

符号说明

100…汽车用电子控制装置，110…cpu，120…ram，130…闪存，131、132…故障信息存储区域，133…第2存储区域用管理信息存储区域，134…第1存储区域用管理信息存储区域，135…管理信息访问标记存储区域，140…总线。