CN112004730A - 车辆控制装置 - Google Patents
车辆控制装置 Download PDFInfo
- Publication number
- CN112004730A CN112004730A CN201980027667.1A CN201980027667A CN112004730A CN 112004730 A CN112004730 A CN 112004730A CN 201980027667 A CN201980027667 A CN 201980027667A CN 112004730 A CN112004730 A CN 112004730A
- Authority
- CN
- China
- Prior art keywords
- bus
- sub
- main
- unit
- operation amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Hardware Redundancy (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Small-Scale Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供车辆控制装置。多个控制执行部(50)与主总线以及子总线的任何一个都连接,具备执行部(534)和选择部(533)。执行部将来自与主总线(8)连接的主处理部(30)的主操作量以及来自与子总线(9)连接的子处理部(40)的子操作量的任意一个作为选择操作量,并根据选择操作量执行车辆控制。选择部在初始状态下将主操作量设定为选择操作量,在经由主总线进行的通信满足预先设定的切换条件的情况下,将选择操作量从主操作量切换为子操作量。
Description
相关申请的交叉引用
本国际申请主张于2018年4月25日在日本国专利厅申请的日本国专利申请第2018-084257号的优先权,并在此引用其全部内容。
技术领域
本公开涉及使自动驾驶控制的可靠性提高的技术。
背景技术
在下述专利文献1记载了在连接了具有运算与自动驾驶控制相关的操作量的功能的电子控制装置(以下,称为主ECU)与具有根据操作量执行控制的功能的多个电子控制装置(以下,称为ACT系统ECU)的车载网络中,使主ECU冗余化的技术。具体而言,设置具有与主ECU相同的功能的子ECU,主ECU以及子ECU都除了操作量的运算之外,还进行故障等的检测并经由共用的网络发送故障检测结果。ACT系统ECU根据经由网络从主ECU以及子ECU分别接收的故障检测结果,选择在主ECU生成的操作量以及在子ECU生成的操作量的任意一个来执行用于自动驾驶的控制。由此,即使在主ECU以及子ECU的任意一方的ECU产生故障,也能够使用在另一方的ECU运算出的操作量继续自动驾驶控制。
专利文献1:日本特开2017-196965号公报
然而,公开者详细研究的结果,在专利文献1所记载的以往技术中,发现了以下的课题。
即,在以往技术中,主ECU和子ECU与同一网络连接,所以设想子ECU占有网络而不能够使用的故障等。换句话说,有子ECU的动作给予主ECU的动作影响的可能性,所以子ECU的设计要求与主ECU同等的较高的安全基准。此外,在安全基准较高的情况下,除了对ECU要求较高的总线的故障检测率和较低的故障率之外,还要求在设计中创建许多的文档。另外,在以往技术中,在主ECU故障的情况下,ACT系统ECU能够通过从子ECU获取操作量来继续自动驾驶控制。但是,在网络故障的情况下,ACT系统ECU不能够从主ECU以及子ECU的任何一个获取操作量,所以不能够继续自动驾驶控制。
发明内容
本公开的一个方面在于提供能够降低自动驾驶控制中的冗余系统的设计负荷,并且使控制的可靠性提高的技术。
本公开的一方式的车辆控制装置具备主处理部、子处理部、主总线、子总线、以及多个控制执行部。
主处理部反复生成作为使用于自动驾驶的控制的控制数据的主操作量。子处理部反复生成作为使用于自动驾驶的控制的控制数据的子操作量。主总线与主处理部连接。子总线与子处理部连接。多个控制执行部与主总线以及子总线全都连接。
控制执行部具备执行部、和选择部。执行部将主操作量以及子操作量的任意一个操作量作为选择操作量,并根据选择操作量执行车辆控制。选择部在初始状态下将主操作量设定为选择操作量,在经由主总线进行的通信满足预先设定的切换条件的情况下,将选择操作量从主操作量切换为子操作量。
根据这样的构成,与主处理部所连接的主总线独立地设置与子处理部连接的子总线,所以子处理部的动作不会给予主处理部的动作影响。因此,子处理部与主处理部相比较,能够应该较低的安全基准进行设计,所以能够使子处理部、子总线相关的部分的设计简单化。另外,即使主总线故障也能够使用子总线继续自动驾驶控制,所以能够使控制的可靠性提高。
附图说明
图1是表示自动驾驶系统的构成的框图。
图2是经由主总线以及子总线发送接收的信息相关的说明图。
图3是主ECU以及子ECU中的总线判断处理的流程图。
图4是主ECU中的通知处理的流程图。
图5是子ECU中的通知处理的流程图。
图6是ACT系统ECU中的选择处理的流程图。
图7是HMI系统ECU中的报告处理的流程图。
图8是表示在主ECU检测到异常的情况下的动作的说明图。
图9是表示主总线故障的情况下、以及主ECU不能够经由主总线进行发送接收的情况下的动作的说明图。
图10是表示主ECU不能够经由主总线进行接收的情况下的动作的说明图。
图11是表示主ECU不能够经由主总线进行发送的情况下的动作的说明图。
图12是表示ACT系统ECU的一个不能够经由主总线进行接收的情况下的动作的说明图。
图13是表示ACT系统ECU的一个不能够经由主总线进行发送接收的情况下的动作的说明图。
图14是表示ACT系统ECU的一个不能够经由主总线进行发送的情况下的动作的说明图。
图15是表示在子ECU检测到异常的情况下的动作的说明图。
图16是表示在ACT系统ECU检测到子总线的异常的情况下的动作的说明图。
具体实施方式
以下,参照附图对本公开的实施方式进行说明。
[1.构成]
[1-1.概要]
图1所示的自动驾驶系统1安装于车辆,实现根据设定路径自动地进行行驶控制的自动驾驶。以下,将安装了自动驾驶系统1的车辆称为本车辆。
自动驾驶系统1具备信息获取部2、控制指示部3、控制对象部5、传感器总线7、主总线8、以及子总线9。
信息获取部2获取自动驾驶所需要的各种信息并供给至控制指示部3。信息获取部2具备车辆信息部21、周边信息部22、以及道路信息部23。
车辆信息部21从设置于本车辆的各种传感器收集信息,并生成表示本车辆的举动的车辆信息。也可以在车辆信息包含有本车辆的位置、速度、加速度、横摆率、以及转向角等。
周边信息部22基于来自设置于本车辆的前后左右的照相机的图像以及雷达传感器的检测结果,生成存在于本车辆的周边区域的包含其它车辆的各种物体相关的信息、在路面描绘的划分线、标志等相关的信息。此外,作为雷达传感器,例如能够使用毫米波雷达、激光雷达、超声波雷达等。
道路信息部23基于使用利用了VICS等路车间通信的系统等获取的信息、以及存储了自动驾驶用的高精度地图的地图数据库的信息中至少一方,获取包含行驶中的道路相关的限制信息的各种道路信息。此外,VICS是Vehicle Information and CommunicationSystem:车辆信息和通信系统的简称,是注册商标。另外,道路信息部23也可以使用周边信息部22根据在路面描绘的划分线、标志等检测结果识别出的信息。
控制指示部3具备主ECU30、和子ECU40。主ECU30以及子ECU40均与构成信息获取部2的各部21~23一起与传感器总线7连接。另外,主ECU30与主总线8连接,子ECU40与子总线9连接。主ECU30以及子ECU40均基于从信息获取部2获取的信息、和另外生成的用于自动驾驶的路径信息,生成安装于车辆的各种促动器的操作量。以下,将主ECU30生成的操作量称为主操作量。另外,将子ECU40生成的操作量称为子操作量。
控制对象部5具备多个ACT系统ECU50、和一个以上的HMI系统ECU60。ACT是促动器的省略,HMI是人机接口的省略。ACT系统ECU50以及HMI系统ECU60均与主总线8以及子总线9双方连接。
ACT系统ECU50根据从控制指示部3经由主总线8或者子总线9获取的控制数据亦即促动器的操作量,驱动分配给本ECU的促动器。在ACT系统ECU50存在驱动系统ECU50a、制动系统ECU50b、以及转向操纵系统ECU50c等种类。驱动系统ECU50a至少控制发动机的工作相关的促动器。制动系统ECU50b至少控制制动器的工作相关的促动器。转向操纵系统ECU50c至少控制转向的工作相关的促动器。ACT系统ECU50除了成为驱动对象的促动器不同并进行与驱动对象对应的控制以外,均相同地构成。
HMI系统ECU60监视主总线8以及子总线9的通信状态,并对本车辆的驾驶员执行与监视结果对应的报告。
此外,主ECU30相当于主处理部,子ECU40相当于子处理部,ACT系统ECU50相当于控制执行部,HMI系统ECU60相当于报告执行部。
[1-2.主总线/子总线]
使用图2对经由主总线8和子总线9发送接收的信息进行说明。
在主总线8中,发送接收主操作量、切换指示、以及主总线故障通知。
从主ECU30朝向ACT系统ECU50发送主操作量。作为主操作量列举示出在各ACT系统ECU50中使用的自动驾驶控制所需要的操作量。
从主ECU30朝向ACT系统ECU50和HMI系统ECU60发送切换指示。切换指示是表示是否需要将在ACT系统ECU50中使用的操作量从主操作量切换为子操作量的信息,具体而言表示“需要切换”或者“不需要切换”。
从ACT系统ECU50朝向主ECU30发送主总线故障通知。主总线故障通知是表示在ACT系统ECU50中判断主总线8的通信状态是否有异常的结果,即是否检测到主总线8的故障的信息,具体而言,表示“有故障”或者“没有故障”。
在子总线9中,发送接收子操作量、子系统状态、以及子总线故障通知。
从子ECU40朝向ACT系统ECU50发送子操作量。作为子操作量列举示出在各ACT系统ECU50中使用的自动驾驶所需要的子操作量。
从子ECU40朝向ACT系统ECU50和HMI系统ECU60发送子系统状态。子系统状态是表示在子ECU40中判断自身的动作状态以及子总线9的通信状态是否有异常的结果的信息,具体而言,表示“有异常”或者“没有异常”。
从ACT系统ECU50朝向子ECU40发送子总线故障通知。子总线故障通知是表示在ACT系统ECU50中判断子总线9的通信状态是否有异常的结果,即是否检测到子总线9的故障的信息,具体而言,表示“有故障”或者“没有故障”。
此外,对经由主总线8以及子总线9发送接收的上述的各信息附加每次发送则自加1的发送顺序信息、以及CRC等错误检测信息。
[1-3.ECU]
如图1所示,主ECU30具备传感器总线IF部31、主总线IF部32、以及主运算部33。子ECU40具备传感器总线IF部41、子总线IF部42、以及子运算部43。ACT系统ECU50具备主总线IF部51、子总线IF部52、以及ACT运算部53。HMI系统ECU60具备主总线IF部61、子总线IF部62、以及HMI运算部63。
传感器总线IF部31、41是进行经由传感器总线7的通信的通信电路。主总线IF部32、51、61是进行经由主总线8的通信的通信电路。子总线IF部42、52、62是进行经由子总线9的通信的通信电路。
主运算部33、子运算部43、ACT运算部53、以及HMI运算部63均具备具有CPU、和例如RAM或者ROM等半导体存储器(以下,称为存储器)的微型计算机。通过由CPU执行储存于非瞬态有形记录介质的程序实现各运算部33、43、53、63实现的各功能。在该例子中,存储器相当于储存程序的非瞬态有形记录介质。另外,通过执行该程序,执行与程序对应的方法。此外,各运算部33、43、53、63既可以分别具备一个微型计算机,也可以具备多个微型计算机。
实现各运算部33、43、53、63执行的各功能的方法并不限定于软件,也可以使用一个或者多个硬件实现其一部分或者全部的功能。例如,在通过作为硬件的电子电路实现上述功能的情况下,也可以通过数字电路,或者模拟电路,或者它们的组合实现该电子电路。
[2.处理]
[2-1.主运算部]
主运算部33具备操作量生成部331、动作判断部332、总线判断部333、以及指示通知部334,作为功能模块。此外,动作判断部332以及总线判断部333相当于主判断部。
操作量生成部331基于经由传感器总线IF部31从信息获取部2获取的信息反复生成主操作量。
动作判断部332判断主运算部33的动作是否有异常。具体而言,对于CPU例如也可以通过对使CPU进行双锁步等相同的运算的结果进行验算来判断异常的有无。对于存储器例如也可以通过在向存储器的访问时进行的错误检测,来判断异常的有无。
总线判断部333判断经由主总线8的通信状态的异常。
指示通知部334经由主总线8发送在操作量生成部331生成的主操作量,并且根据在动作判断部332和总线判断部333的判断结果,发送切换指示。
这里,使用图3以及图4的流程图对主运算部33为了实现作为总线判断部333的功能而执行的总线判断处理、以及为了实现作为指示通知部334的功能而执行的通知处理进行说明。
每当经由主总线8接收主总线故障通知则执行总线判断处理。以下,将接收的总线故障通知仅称为接收通知。
如图3所示,主运算部33若开始总线判断处理,则首先在S110中,判断是否对主总线8已经判断为有异常。主运算部33在已经判断为有异常的情况下,使处理移至S160,在还未判断为有异常的情况下,使处理移至S120。
主运算部33在S120中,判断从接收通知的上一次的接收开始的经过时间是否在预先设定的规定时间内。规定时间是一定的时间,例如也可以设定为接收通知的正常时的平均的接收间隔的两倍左右。主运算部33在判断为经过时间超过规定时间的情况下,使处理移至S160,在判断为经过时间在规定时间内的情况下,使处理移至S130。
主运算部33在S130中,判断赋予给接收通知的顺序信息是否有异常。具体而言,通过与赋予给上一次的接收通知的顺序信息进行比较,在检测到顺序的更换、信息的缺失、同一信息的反复接收等的情况下判断为有异常。此外,按照接收通知的每个发送源独立地实施本步骤的判断。主运算部33对于来自属于控制对象部5的任意一个ECU的接收通知,在判断为顺序信息有异常的情况下,使处理移至S160,在判断为顺序信息没有异常的情况下,使处理移至S140。
主运算部33在S140中,判断在接收通知是否有符号错误。具体而言,使用赋予给接收通知的错误检测信息判断符号错误的有无。主运算部33在判断为在接收通知有符号错误的情况下,使处理移至S160,在判断为接收通知没有符号错误的情况下,使处理移至S150。
主运算部33在S150中,判断为主总线8的通信状态没有异常,并结束处理。
主运算部33在S160中,判断为主总线8的通信状态有异常,并结束处理。
此外,主总线8的通信状态是否有异常的判断结果例如存储于主运算部33具有的存储器。
接下来,每隔预先设定的一定周期反复执行通知处理。一定周期例如也可以设定为与主操作量的发送周期一致。
如图4所示,主运算部33若开始通知处理,在首先在S210中,判断在动作判断部332的判断结果是否为有异常。若判断结果为有异常则主运算部33使处理移至S260,若判断结果为没有异常则使处理移至S220。
主运算部33在S220中,判断在总线判断部333的判断结果是否为有异常。若判断结果为有异常则主运算部33使处理移至S260,若判断结果为没有异常则使处理移至S230。
主运算部33在S230中,判断是否经由主总线8接收了表示“有故障”的总线故障通知(以下,称为有故障通知)。主运算部33在接收到有故障通知的情况下,使处理移至S260,在未接收到有故障通知的情况下,使处理移至S240。
主运算部33在S240中,经由主总线8发送在操作量生成部331生成的操作量亦即主操作量。
主运算部33接着在S250中,经由主总线8发送表示“不需要切换”的切换指示,并结束处理。
主运算部33在S260中,经由主总线8发送表示“需要切换”的切换指示通知,并结束处理。
此外,在S210~S230的判断中进行肯定判断的条件相当于指示条件。
[2-2.子运算部]
如图1所示,子运算部43具备操作量生成部431、动作判断部432、总线判断部433、以及状态通知部434,作为功能模块。此外,动作判断部432和总线判断部433相当于子判断部。
操作量生成部431基于经由传感器总线IF部41从信息获取部2获取的信息反复生成子操作量。此外,既可以使用与主操作量相同的方法生成子操作量,也可以使用与主操作量不同的方法生成子操作量。例如,也可以使用运算量更少的简单的方法,或者降低精度的有效位数来生成子操作量。
动作判断部432判断子运算部43的动作是否有异常。具体而言,也可以使用与主运算部33的动作判断部332相同的方法。
总线判断部433判断经由子总线9的通信状态的异常。具体的判断的方法也可以使用与主运算部33的总线判断部333相同的方法。换句话说,子运算部43为了实现作为总线判断部433的功能而执行的总线判断处理的内容与主运算部33执行的总线判断处理相同。但是,在上述的S110~S260的说明中,主运算部33替换为子运算部43,主总线8替换为子总线9,主总线故障通知替换为子总线故障通知。
状态通知部434发送在操作量生成部431生成的子操作量,并且根据在动作判断部432的判断结果和在总线判断部433的判断结果,发送子状态。
这里,使用图5的流程图对子运算部43为了实现作为状态通知部434的功能而执行的通知处理进行说明。
每隔预先设定的一定周期反复执行通知处理。一定周期例如也可以设定为与子操作量的发送周期一致。
子运算部43若开始通知处理,则在S310中,判断在动作判断部432的判断结果是否为有异常。在S320中,判断在总线判断部433的判断结果是否为有异常。在S330中,判断是否经由子总线9接收了表示“有故障”的子总线故障通知(以下,成为有故障通知)。
子运算部43在S310或者S320判断为有异常的情况下,或者在S330判断为接收了有故障通知的情况下,使处理移至S360,在其以外的情况下,使处理移至S340。
子运算部43在S340中,经由子总线9发送在操作量生成部431生成的操作量亦即子操作量。
子运算部43接着在S350中,经由子总线9发送表示“没有异常”的子状态,并结束处理。
子运算部43在S360中,经由子总线9发送表示“有异常”的子状态,并结束处理。
[2-3.ACT运算部]
ACT运算部53具备主总线判断部531、子总线判断部532、选择部533、以及执行部534,作为功能模块。
主总线判断部531构成为与主ECU30的总线判断部333相同,子总线判断部532构成为与子ECU40的总线判断部433相同。
选择部533根据在主总线判断部531和子总线判断部532的判断结果等,发送总线故障通知,并且选择主操作量以及子操作量的任意一个作为选择操作量,供给至执行部534。此外,在出厂时、修理后等初始状态下,选择主操作量作为选择操作量。
执行部534根据从选择部533供给的选择操作量,执行促动器等的控制。
这里,使用图6的流程图对ACT运算部53为了实现作为选择部533的功能而执行的选择处理进行说明。
每隔预先设定的一定周期反复执行选择处理。
ACT运算部53若开始选择处理,则在S410中,判断在主总线判断部531的判断结果是否为有异常。ACT运算部53在判断结果为有异常的情况下,使处理移至S480,在判断结果为没有异常的情况下,使处理移至S420。
ACT运算部53在S420中,经由主总线8发送表示“没有故障”的主总线故障通知。
ACT运算部53接着在S430中,判断在子总线判断部532的判断结果是否为有异常。ACT运算部53在判断结果为有异常的情况下,使处理移至S440,在判断结果为没有异常的情况下,使处理移至S450。
ACT运算部53在S440中,经由子总线9发送表示“有故障”的子总线故障通知,并使处理进入S460。
ACT运算部53在S450中,经由子总线9发送表示“没有故障”的子总线故障通知,并使处理进入S460。
ACT运算部53在S460中,判断是否经由主总线8接收了表示“需要切换”的切换指示(以下,称为需要切换指示)。ACT运算部53在接收需要切换指示的情况下,使处理移至S500,在未接收需要切换指示的情况下,使处理移至S470。
ACT运算部53在S470中,选择主操作量作为供给至执行部534的操作量,并结束处理。
ACT运算部53在S480中,经由主总线8发送表示“有故障”的主总线故障通知。
ACT运算部53接着在S490中,经由子总线9发送表示“没有故障”的子总线故障通知,并使处理进入S500。
ACT运算部53在S500中,选择子操作量作为供给至执行部534的操作量,并结束处理。
此外,在S410的S110~S140以及S470的各判断中进行肯定判断的条件相当于切换条件。另外,S420、S420、S480相当于主故障通知部,S430~S450、S490相当于子故障通知部。
[2-4.HMI运算部]
HMI运算部63具备主总线判断部631、子总线判断部632、以及报告部633,作为功能模块。
主总线判断部631构成为与主ECU30的总线判断部333相同,子总线判断部632构成为与子ECU40的总线判断部433相同。
报告部633根据在主总线判断部631和子总线判断部632的判断结果等,执行对本车辆的驾驶员的报告。
这里,使用图7的流程图对HMI运算部63为了实现作为报告部633的功能而执行的报告处理进行说明。
每隔预先设定的一定周期反复执行报告处理。
HMI运算部63若开始报告处理,则在S610中,判断在主总线判断部631的判断结果是否有异常。HMI运算部63在判断结果为有异常的情况下,使处理移至S650,在判断结果为没有异常的情况下,使处理移至S620。
HMI运算部63在S620中,判断在子总线判断部632的判断结果是否为有异常。HMI运算部63在判断结果为有异常的情况下,使处理移至S650,在判断结果为没有异常的情况下,使处理移至S630。
HMI运算部63在S630中,判断是否经由主总线8接收了表示“需要切换”的切换指示(即,需要切换指示)。HMI运算部63在接收了需要切换指示的情况下,使处理移至S650,在未接收需要切换指示的情况下,使处理移至S640。
HMI运算部63在S640中,判断是否经由主总线8或者子总线9,接收了表示“有故障”的主总线故障通知或者子总线故障通知(以下,称为有故障通知)。HMI运算部63在接收了任意一个有故障通知的情况下,使处理移至S650,在未接收到任何的有故障通知的情况下,结束处理。
HMI运算部63在S650中,根据检测出的异常的形态,执行对驾驶员的报告,并结束处理。
作为对驾驶员的报告,具体而言,例如可以进行与异常位置一起示出产生了异常的报告。另外,也可以进行对驾驶员催促从自动驾驶向手动驾驶的切换的报告。
[3.动作例]
使用图8~图16对自动驾驶系统1的代表的动作例进行说明。
基本而言,主ECU30经由主总线8,反复发送主操作量和切换指示,子ECU40经由子总线9,反复发送子操作量和子状态。另外,ACT系统ECU50每当接收主操作量,则经由主总线8发送主总线故障通知,每当接收子操作量,则经由子总线9发送子总线故障通知。
在图8~图16中,对表示“不需要切换”的切换指示、表示“没有故障”的主总线故障通知以及子总线故障通知均省略记载。在以下的说明中,简短地将表示“需要切换”的切换指示记述为切换指示,将表示“有故障”的主总线故障通知以及子总线故障通知仅记述为主总线故障通知以及子总线故障通知。
图8示出在主ECU30中,在主运算部33的动作检测到异常的情况下的动作。
在主ECU30检测到异常之前,ACT系统ECU50根据经由主总线8获取的主操作量执行控制。若在主ECU30检测到异常,则主ECU30经由主总线8发送切换指示。
接收了切换指示的ACT系统ECU50进行将选择操作量从主操作量切换为子操作量的子操作量选择。以后,全部的ACT系统ECU50根据经由子总线9获取的子操作量执行控制。另外,接收了切换指示的HMI系统ECU50执行对驾驶员的报告。
图9示出在由于主总线8的故障而不能够进行经由主总线8的通信的情况下,或者在虽然主总线8正常,但主ECU30不能够经由主总线8进行发送接收的情况下的动作。
全部的ACT系统ECU50以及HMI系统ECU60均在经由主总线8的接收中断了规定时间以上的时刻,判断为主总线8的通信状态异常。换句话说,在全部的ACT系统ECU50以及HMI系统ECU60中,检测到主总线8的故障。此时,HMI系统ECU60执行对驾驶员的报告。全部的ACT系统ECU50通过进行子操作量选择,以后根据经由子总线9获取的子操作量执行控制。另外,全部的ACT系统ECU50分别经由主总线8发送主总线故障通知。但是,在该情况下,主ECU30不能够正常地接收这些通知。
由于经由主总线8的接收中断规定时间以上,主ECU30判断为主总线8的通信状态异常。换句话说,在主ECU30中,也检测到主总线8的故障,主ECU30经由主总线8发送切换指示。但是,在该情况下,全部的ACT系统ECU50以及HMI系统ECU60不能够正常地接收切换指示。
图10示出主总线8正常,但主ECU30不能够经由主总线8进行接收的情况下的动作。
全部的ACT系统ECU50能够正常地进行经由主总线8的接收,所以分别反复发送表示“没有故障”的主总线故障通知。但是,该情况下,主ECU30不能够正常地接收这些通知。
主ECU30由于经由主总线8的接收中断规定时间以上,而判断为主总线8的通信状态异常,并经由主总线8发送切换指示。
全部的ACT系统ECU50以及HMI系统ECU60由于接收切换指示,而执行子操作量选择以及对驾驶员的报告。以后,全部的ACT系统ECU50根据经由子总线9获取的子操作量执行控制。
图11示出虽然主总线8正常,但主ECU30不能够经由主总线8进行发送的情况下的动作。
全部的ACT系统ECU50以及HMI系统ECU60在经由主总线8的接收中断了规定时间以上的时刻,判断为主总线8的通信状态异常,执行子操作量选择以及对驾驶员的报告。以后,全部的ACT系统ECU50根据经由子总线9获取的子操作量执行控制。另外,全部的ACT系统ECU50分别经由主总线8发送主总线故障通知。
主ECU30由于接收主总线故障通知,而判断为主总线8的通信状态异常,并经由主总线8发送切换指示。但是,该情况下,全部的ACT系统EUC50以及HMI系统ECU60不能够正常地接收切换指示。
图12示出虽然主总线8正常,但作为ACT系统ECU50之一的驱动系统ECU50a不能够经由主总线8进行接收的情况下的动作。
驱动系统ECU50a由于经由主总线8的接收中断规定时间以上,而判断为主总线8的通信状态异常,执行子操作量选择,并经由主总线8发送主总线故障通知。
主ECU30若接收主总线故障通知,则判断为主总线8的通信状态有异常,而经由主总线8发送切换指示。
驱动系统ECU50a以外的ACT系统ECU50以及HMI系统ECU60由于接收切换指示,而执行子操作量选择以及对驾驶员的报告。以后,全部的ACT系统ECU50根据经由子总线9获取的子操作量执行控制。
图13示出虽然主总线8正常,但作为ACT系统ECU50之一的驱动系统ECU50a不能够经由主总线8进行发送接收的情况下的动作。
驱动系统ECU50a由于经由主总线8的接收中断规定时间以上,而判断为主总线8的通信状态异常,执行子操作量选择,并且经由主总线8发送主总线故障通知。但是,该情况下,主ECU30不能够正常地接收主总线故障通知。
主ECU30由于来自驱动系统ECU50a的接收中断规定时间以上,而判断为主总线8的通信状态异常,经由主总线8发送切换指示。
驱动系统ECU50a以外的ACT系统ECU50以及HMI系统ECU60都由于接收切换指示,而执行子操作量选择以及对驾驶员的报告。以后,全部的ACT系统ECU50根据经由子总线9获取的子操作量执行控制。
图14示出虽然主总线8正常,但作为ACT系统ECU50之一的驱动系统ECU50a不能够经由主总线8进行发送的情况下的动作。
驱动系统ECU50a与其它的ACT系统ECU50相同,发送表示“没有故障”的主总线故障通知。但是,该情况下,主ECU30不能够正常地接收来自驱动系统ECU50a的通知。
主ECU30由于来自驱动系统ECU50a的接收中断规定时间以上,而判断为主总线8的通信状态异常,并经由主总线8发送切换指示。
包含驱动系统ECU50a的全部的ACT系统ECU50以及HMI系统ECU60由于接收切换指示,而执行子操作量选择和对驾驶员的报告。以后,全部的ACT系统ECU50根据经由子总线9获取的子操作量执行控制。
图15示出在根据主操作量的控制的执行时,在子ECU40检测到子运算部43的动作异常的情况下的动作。
全部的ACT系统ECU50根据经由主总线8获取的主操作量执行控制。此时,若在子ECU40检测到异常,则子ECU40经由子总线9发送子状态。接收了子状态的HMI系统ECU60执行对驾驶员的报告。
此外,在子ECU40中,在经由子总线9的接收中断了规定时间以上的情况下,也成为与图15所示的动作相同的动作。
图16示出在根据主操作量的控制的执行时,在作为ACT系统ECU50之一的驱动系统ECU50a,在经由子总线9的通信状态检测到异常的情况下的动作。
全部的ACT系统ECU50根据经由主总线8获取的主操作量执行控制。
驱动系统ECU50a若由于某种理由,而经由子总线9的接收中断了规定时间以上,则经由子总线9发送子总线故障通知。
子ECU40若接收子总线故障通知,则经由子总线9发送子状态。接收了子状态的HMI系统ECU60执行对驾驶员的报告。
[4.效果]
根据以上详述的第一实施方式,起到以下的效果。
(1)在自动驾驶系统1中,与主ECU30所连接的主总线8独立地设置与子ECU40连接的子总线9,并且,经由主总线8进行从主操作量向子操作量的切换相关的信息的发送接收。因此,子ECU40的动作和子总线9的通信状态不会给予主ECU30的动作和主总线8的通信状态影响。其结果,根据自动驾驶系统1,子ECU40以及子总线9(以下,称为子系统)与主ECU30以及主总线8(以下,称为主系统)相比较,在设计中能够应用较低的安全基准,能够使子系统相关的部分的设计简单化。另外,主ECU30的故障时当然能够继续自动驾驶控制,在主总线8的故障时也能够使用子系统继续自动驾驶控制,所以能够使控制的可靠性提高。
(2)在自动驾驶系统1中,在一部分的ACT系统ECU50检测到经由主总线8的通信状态的异常的情况下,通过发送表示“需要切换”的切换指示,使全部的ACT系统ECU50选择子操作量。因此,即使在没有在主操作量与子操作量之间得到匹配的保证的情况下,全部的ACT系统ECU50也能够进行相互得到匹配的控制。
(3)在自动驾驶系统1中,在未检测到任何异常的情况下以及不需要切换操作量的选择的情况下,也一直发送表示其主旨的主总线故障通知、子总线故障通知、以及切换指示。因此,即使在由于主总线8以及子总线9的故障,而不能够发送接收这些通知本身的情况下,也能够根据这些通知的接收中断,而检测到通信状态的异常。
[5.安全基准]
通常时,在主系统(即,主总线8以及主ECU30)没有故障时,不使用利用子系统(即,子总线9以及子ECU40)发送接收的信息。因此,即使子系统有故障也不会立即变得危险,成为ISO26262中的潜在故障的处理。因此,即使自动驾驶系统1的整体要求最高的安全基准“ASIL D”,子ECU40的故障检测的设计、以及各ECU中的子总线9的故障检测的设计也都能够允许更低的安全基准“ASIL B”的设计。
但是,例如在假定不利用主总线8而利用子总线9从主ECU30发送切换指示构成的情况下,在产生子ECU40占有子总线9的情况时,有不能够发送切换指示的担心。因此,在子ECU40中也要求较高的安全基准。
另外,在子总线9有噪声的情况下,有发送错误的切换指示、及异常的子操作量的可能性。该情况下,在ACT系统ECU50,有执行从正常的主操作量向异常的子操作量的不希望的切换,而示出异常的车辆举动的可能性。因此,对ACT系统ECU50中的子总线9的故障检测也要求较高的安全基准。
并且,在假定利用子总线9从ACT系统ECU50发送主总线故障通知的构成的情况下,与在上述的子总线9有噪声的情况相同,有发送错误的主总线故障及异常的子操作量的可能性。该情况下,从接收了主总线故障的主ECU30发送切换指示,所以在全部的ACT系统ECU50中,有从正常的主操作量向异常的子操作量执行不希望的切换,而示出异常的车辆举动的可能性。因此,对ACT系统ECU50中的子总线9的故障检测也要求较高的安全基准。
换句话说,在自动驾驶系统1中,在主总线8进行从主操作量向子操作量的切换相关的信息的发送接收,所以子总线9的通信异常或者故障不会对使用主系统的通常时的控制带来影响。
此外,在自动驾驶系统1中,主ECU30的动作判断部332、总线判断部333以及主总线IF部32、和ACT系统ECU50的主总线判断部531以及主总线IF部51要求较高的安全基准亦即“ASIL D”。另外,子ECU40的动作判断部432、总线判断部433以及子总线IF部42、和ACT系统ECU50的子总线判断部532以及子总线IF部52允许较低的安全基准亦即“ASIL B”。
[6.其它的实施方式]
以上,对本公开的实施方式进行了说明,但本公开并不限定于上述的实施方式,能够进行各种变形来实施。
(a)在上述实施方式中,构成为不管异常的有无以及操作量切换的需要与否,而反复发送主总线故障通知、子总线故障通知、以及切换指示,但本公开并不限定于此。例如,也可以构成为仅在有异常的情况下,或者在需要操作量的切换的情况下,发送这些通知。
(b)在上述实施方式中,构成为ACT系统ECU50根据从主ECU30发送的切换指示,进行从主操作量向子操作量的切换,但本公开并不限定于此。例如,也可以构成为ACT系统ECU50根据其它的ACT系统ECU50发送的主总线故障通知进行切换。
(c)在上述实施方式中,通过独立的微型计算机实现主运算部33和子运算部43,但通过单一的微型计算机实现这些运算部。
(d)也可以通过多个构成要素实现上述实施方式中的一个构成要素具有的多个功能,或者通过多个构成要素实现一个构成要素具有的一个功能。另外,也可以通过一个构成要素实现多个构成要素具有的多个功能,或者通过一个构成要素实现由多个构成要素实现的一个功能。另外,也可以省略上述实施方式的构成的一部分。另外,也可以将上述实施方式的构成的至少一部分附加给或者置换为其它的上述实施方式的构成。
(e)除了上述的车辆控制装置(即,控制指示部3、控制对象部5、主总线8以及子总线9)之外,还能够以将该车辆控制装置作为构成要素的系统、用于使计算机作为构成该车辆控制装置的主处理部(即,主ECU30)、子处理部(即,子ECU40)、以及控制执行部(即,ACT系统ECU50以及HMI系统ECU60)的任意一个发挥作用的程序、记录了该程序的半导体存储器等非瞬态有形记录介质等各种方式实现本公开。
Claims (9)
1.一种车辆控制装置,具备:
主处理部(30),构成为反复生成主操作量,该主操作量是自动驾驶的控制所使用的控制数据;
子处理部(40),构成为反复生成子操作量,该子操作量是自动驾驶的控制所使用的控制数据;
主总线(8),与上述主处理部连接;
子总线(9),与上述子处理部连接;以及
多个控制执行部(50),与上述主总线以及上述子总线全都连接,
上述控制执行部具备:
执行部(534),构成为将上述主操作量以及上述子操作量的任意一个操作量作为选择操作量,并根据上述选择操作量执行车辆控制;以及
选择部(533:S410、S460、S470、S500),构成为在初始状态下将上述主操作量设定为上述选择操作量,在经由上述主总线进行的通信满足预先设定的切换条件的情况下,将上述选择操作量从上述主操作量切换为上述子操作量。
2.根据权利要求1所述的车辆控制装置,其中,
上述主处理部具备指示通知部(334),该指示通知部构成为在满足预先设定的指示条件的情况下,经由上述主总线发送切换指示,
上述控制执行部包含经由上述主总线接收上述切换指示,作为上述选择部所使用的上述切换条件之一。
3.根据权利要求2所述的车辆控制装置,其中,
上述主处理部还具备构成为对该主处理部的动作以及经由上述主总线的通信中的至少一方反复判断是否有异常的主判断部(332、333),并且包含在上述主判断部的判断结果为有异常,作为上述指示通知部所使用的上述指示条件之一。
4.根据权利要求2或者权利要求3所述的车辆控制装置,其中,
上述控制执行部还具备:
主总线判断部(531),构成为判断经由上述主总线的通信是否有异常;以及
主故障通知部(533:S410、S420、S480),构成为经由上述主总线发送总线故障通知,其中,该总线故障通知表示上述主总线判断部中的判断结果,
上述主处理部包含经由上述主总线接收的上述总线故障通知的接收中断一定时间以上、以及上述总线故障通知的内容为有异常中至少一方,作为上述指示通知部所使用的上述指示条件之一。
5.根据权利要求4所述的车辆控制装置,其中,
上述控制执行部包含通过上述主总线判断部判断为有异常,作为上述选择部所使用的上述切换条件之一。
6.根据权利要求4或者权利要求5所述的车辆控制装置,其中,
上述主总线判断部在上述控制数据的接收中断了一定时间以上的情况下,或者在上述控制数据的内容有错误的情况下,判断为有异常。
7.根据权利要求1~6中任意一项所述的车辆控制装置,其中,
上述子处理部具备:
子判断部(432、433),构成为对该子处理部的动作以及经由上述子总线的通信中的至少一方判断是否有异常;以及
状态通知部(434),构成为经由上述子总线发送表示上述子判断部中的判断结果的子状态。
8.根据权利要求7所述的车辆控制装置,其中,
上述控制执行部还具备:
子总线判断部(532),构成为判断经由上述子总线的通信是否有异常;以及
子故障通知部(532:S430~S450、S490),构成为经由上述子总线发送表示上述子总线判断部中的判断结果的总线故障通知,
上述子处理部的上述状态通知部根据经由上述子总线接收的上述总线故障通知判断异常的有无。
9.根据权利要求1~8中任意一项所述的车辆控制装置,其中,
还具备报告执行部(60),该报告执行部(60)构成为与上述主总线以及上述子总线连接,判断经由上述主总线以及上述子总线的通信是否有异常,并在上述主总线以及上述子总线的至少一方判断为有异常的情况下,进行对车辆的驾驶员的报告。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018084257A JP6981357B2 (ja) | 2018-04-25 | 2018-04-25 | 車両制御装置 |
| JP2018-084257 | 2018-04-25 | ||
| PCT/JP2019/016846 WO2019208442A1 (ja) | 2018-04-25 | 2019-04-19 | 車両制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112004730A true CN112004730A (zh) | 2020-11-27 |
| CN112004730B CN112004730B (zh) | 2023-08-22 |
Family
ID=68294295
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980027667.1A Active CN112004730B (zh) | 2018-04-25 | 2019-04-19 | 车辆控制装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210031792A1 (zh) |
| EP (1) | EP3786021A4 (zh) |
| JP (1) | JP6981357B2 (zh) |
| CN (1) | CN112004730B (zh) |
| WO (1) | WO2019208442A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114734979A (zh) * | 2022-05-10 | 2022-07-12 | 北京理工大学 | 一种智能网联混合动力车辆域控制系统及其控制方法 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021062081A (ja) * | 2019-10-15 | 2021-04-22 | 株式会社三洋物産 | 遊技機 |
| US20210122385A1 (en) * | 2019-10-28 | 2021-04-29 | Pony Ai Inc. | Systems and methods for emergency bus protection in an autonomous vehicle |
| JP7276122B2 (ja) * | 2019-12-26 | 2023-05-18 | トヨタ自動車株式会社 | 運転制御システム |
| KR20210138201A (ko) * | 2020-05-11 | 2021-11-19 | 현대자동차주식회사 | 자율 주행 제어 방법 및 장치 |
| JP6987201B1 (ja) * | 2020-10-22 | 2021-12-22 | 三菱電機株式会社 | 車両制御装置及び車両制御方法 |
| KR20220059579A (ko) * | 2020-11-03 | 2022-05-10 | 현대자동차주식회사 | 자율주행 차량의 통신 리던던시 시스템 |
| KR102365256B1 (ko) * | 2020-11-13 | 2022-02-22 | 주식회사 현대케피코 | 차량용 모터 제어 장치 및 그 제어방법 |
| DE112020007774T5 (de) * | 2020-11-16 | 2023-09-21 | Mitsubishi Electric Corporation | Fahrzeugsteuersystem |
| JP7435432B2 (ja) * | 2020-12-15 | 2024-02-21 | 株式会社豊田自動織機 | フォークリフト |
| JP7179047B2 (ja) | 2020-12-28 | 2022-11-28 | 本田技研工業株式会社 | 車両制御装置、車両制御方法、およびプログラム |
| WO2022208856A1 (ja) * | 2021-04-01 | 2022-10-06 | 日本電信電話株式会社 | 通信システム、切替装置、切替方法、及びプログラム |
| JP7213935B1 (ja) | 2021-10-19 | 2023-01-27 | 三菱電機株式会社 | 自動運転制御装置、及び、自動運転制御方法 |
| WO2024097967A1 (en) * | 2022-11-04 | 2024-05-10 | Tusimple, Inc. | Dual control systems and methods for operating an autonomous vehicle |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0597004A (ja) * | 1991-10-04 | 1993-04-20 | Nissan Motor Co Ltd | 複数コントロールユニツトを備える制御システム |
| DE10032179A1 (de) * | 2000-07-01 | 2002-01-17 | Daimler Chrysler Ag | Steuerungssystem für ein Fahrzeug und Verfahren zur Steuerung eines Fahrzeugs |
| JP2006051922A (ja) * | 2004-01-30 | 2006-02-23 | Hitachi Ltd | 車両制御装置 |
| CN105253076A (zh) * | 2014-07-11 | 2016-01-20 | 福特全球技术公司 | 车辆中的故障管理 |
| JP2017196965A (ja) * | 2016-04-26 | 2017-11-02 | 三菱電機株式会社 | 自動運転制御装置および自動運転制御方法 |
| CN107697068A (zh) * | 2016-08-08 | 2018-02-16 | 丰田自动车株式会社 | 车辆行驶控制装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4399987B2 (ja) * | 2001-01-25 | 2010-01-20 | 株式会社デンソー | 車両統合制御におけるフェイルセーフシステム |
| DE602005019499D1 (de) * | 2004-07-15 | 2010-04-08 | Hitachi Ltd | Fahrzeugsteuerungsystem |
| JP5252374B2 (ja) * | 2008-12-08 | 2013-07-31 | 株式会社デンソー | 車載通信ネットワークシステム |
| JP6258166B2 (ja) * | 2014-09-12 | 2018-01-10 | 日立オートモティブシステムズ株式会社 | 駆動装置の制御装置 |
| WO2017199967A1 (ja) * | 2016-05-18 | 2017-11-23 | ナブテスコオートモーティブ 株式会社 | 車両運転制御システム |
| JP6810579B2 (ja) | 2016-11-21 | 2021-01-06 | カヤバ システム マシナリー株式会社 | 免震用ダンパ |
-
2018
- 2018-04-25 JP JP2018084257A patent/JP6981357B2/ja active Active
-
2019
- 2019-04-19 EP EP19792065.5A patent/EP3786021A4/en active Pending
- 2019-04-19 CN CN201980027667.1A patent/CN112004730B/zh active Active
- 2019-04-19 WO PCT/JP2019/016846 patent/WO2019208442A1/ja unknown
-
2020
- 2020-10-21 US US17/076,028 patent/US20210031792A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0597004A (ja) * | 1991-10-04 | 1993-04-20 | Nissan Motor Co Ltd | 複数コントロールユニツトを備える制御システム |
| DE10032179A1 (de) * | 2000-07-01 | 2002-01-17 | Daimler Chrysler Ag | Steuerungssystem für ein Fahrzeug und Verfahren zur Steuerung eines Fahrzeugs |
| JP2006051922A (ja) * | 2004-01-30 | 2006-02-23 | Hitachi Ltd | 車両制御装置 |
| CN105253076A (zh) * | 2014-07-11 | 2016-01-20 | 福特全球技术公司 | 车辆中的故障管理 |
| JP2017196965A (ja) * | 2016-04-26 | 2017-11-02 | 三菱電機株式会社 | 自動運転制御装置および自動運転制御方法 |
| CN107697068A (zh) * | 2016-08-08 | 2018-02-16 | 丰田自动车株式会社 | 车辆行驶控制装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114734979A (zh) * | 2022-05-10 | 2022-07-12 | 北京理工大学 | 一种智能网联混合动力车辆域控制系统及其控制方法 |
| CN114734979B (zh) * | 2022-05-10 | 2024-04-26 | 北京理工大学 | 一种智能网联混合动力车辆域控制系统及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019189029A (ja) | 2019-10-31 |
| JP6981357B2 (ja) | 2021-12-15 |
| EP3786021A1 (en) | 2021-03-03 |
| WO2019208442A1 (ja) | 2019-10-31 |
| EP3786021A4 (en) | 2021-06-30 |
| CN112004730B (zh) | 2023-08-22 |
| US20210031792A1 (en) | 2021-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112004730B (zh) | 车辆控制装置 | |
| US11360864B2 (en) | Vehicle safety electronic control system | |
| WO2018198547A1 (ja) | 車両の電子制御装置 | |
| US9604585B2 (en) | Failure management in a vehicle | |
| CN110116752B (zh) | 基于冗余结构控制车辆的装置和方法 | |
| JP2019128639A (ja) | 電子制御装置 | |
| JP6865572B2 (ja) | 自動車のリスクベースの制御 | |
| CN110678375B (zh) | 车辆控制装置及车辆控制系统 | |
| KR20200022674A (ko) | 차량 고장 처리 제어 장치 및 그 방법 | |
| CN109017628B (zh) | 冗余通信系统的消息序列评估 | |
| JP2016060413A (ja) | 車両用電子制御装置及び制御方法 | |
| CN113474230A (zh) | 安全系统和用于运行安全系统的方法 | |
| CN112740121A (zh) | 用于车辆的控制架构 | |
| KR20190100482A (ko) | 주행 모드 전환 장치 및 방법 | |
| JP7163576B2 (ja) | 車両制御システムおよび車両制御装置 | |
| US20230192139A1 (en) | Method and system for addressing failure in an autonomous agent | |
| JP6441380B2 (ja) | 車載用変速機制御装置 | |
| CN113710558A (zh) | 车辆控制装置以及计算机程序 | |
| WO2023209820A1 (ja) | 車載電子装置 | |
| US20240140448A1 (en) | Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method | |
| CN115933504B (zh) | 行驶控制系统,行驶控制方法及装置 | |
| JP6732143B1 (ja) | 車両制御装置 | |
| JP7064305B2 (ja) | 電子制御装置 | |
| CN114407910A (zh) | 智能驾驶车辆的故障处理方法、装置、存储介质 | |
| CN115328080A (zh) | 故障检测方法、装置、车辆以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |