JP2019509541A - 自律走行車両のための安全性アーキテクチャ - Google Patents

自律走行車両のための安全性アーキテクチャ Download PDF

Info

Publication number
JP2019509541A
JP2019509541A JP2018535143A JP2018535143A JP2019509541A JP 2019509541 A JP2019509541 A JP 2019509541A JP 2018535143 A JP2018535143 A JP 2018535143A JP 2018535143 A JP2018535143 A JP 2018535143A JP 2019509541 A JP2019509541 A JP 2019509541A
Authority
JP
Japan
Prior art keywords
data
primary
safety
trajectory
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018535143A
Other languages
English (en)
Inventor
フィリップ・クープマン
マイケル・ディ・ワグナー
ジャスティン・レイ
アーロン・ケイン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Carnegie Mellon University
Original Assignee
Carnegie Mellon University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=59790836&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2019509541(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Carnegie Mellon University filed Critical Carnegie Mellon University
Publication of JP2019509541A publication Critical patent/JP2019509541A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/0055Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot with safety arrangements
    • G05D1/0077Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01CMEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
    • G01C21/00Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
    • G01C21/20Instruments for performing navigational calculations
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/0088Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot characterized by the autonomous decision making process, e.g. artificial intelligence, predefined behaviours
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/02Control of position or course in two dimensions
    • G05D1/021Control of position or course in two dimensions specially adapted to land vehicles
    • G05D1/0268Control of position or course in two dimensions specially adapted to land vehicles using internal positioning means
    • G05D1/0274Control of position or course in two dimensions specially adapted to land vehicles using internal positioning means using mapping information stored in a memory device

Abstract

安全性アーキテクチャシステムが、一態様において、通常システム機能を実施するための1次データを発生する1次ユニットと、代替システム機能を実施するための2次データを発生する2次ユニットと、1次ユニットに接続された1次安全ゲートであって、1次データの有効性の判断に応答して1次データを1次出力として提供する1次安全ゲートと、2次ユニットに接続された2次安全ゲートであって、2次データの有効性の判断に応答して2次データを2次出力として提供する2次安全ゲートと、を備える第1ステージを含む。システムはまた、第1ステージの1次安全ゲートおよび2次安全ゲートの両方に接続された出力セレクタを含み、出力セレクタは、1次データおよび2次データの有効性の判断に応答してシステム出力を提供する。

Description

(関連出願の相互参照)
本願は、仮米国特許出願第62/387804号(2016年1月5日出願)について米国特許法119(e)条の下で優先権の利益を請求するものであり、その全体内容は参照によりここに組み込まれる。
(連邦政府による資金提供を受けた研究および開発に関する陳述)
本発明は、米国陸軍認可番号W900KK−1 l−C−0025の下で政府支援でなされている。政府は、本発明において一定の権利を有する。
無人車両ソフトウェアの複雑さは、今日利用可能なソフトウェア安全工学手法を凌ぐ。ソフトウェア安全基準は、ソフトウェアを作成して認証する場合に採用されるプロセスを規定する。必要であるが、現在の基準によって規定されたプロセスは、自動運転内の自律ソフトウェアの安全性を確保するのに充分でないことがある。幾つかの場合、進化した自律性の方法、例えば、機械学習などは、従来のソフトウェア検査方法を用いて容易に認証できない。その結果、独立した実行時不変モニタが、安全臨界性をアーキテクチャの小さいサブセットにファイアウォール設定するために使用され、資源集約的ソフトウェア安全工学手法を複雑な自律ソフトウェアから遠ざけて、かなりより簡単なモニタリングコンポーネントに集中させる。しかし今までは、こうした手法が遠隔制御または遠隔操作される無人車両に対して最も上手く展開されている。今まで、実行時不変モニタが、計画および制御などの自立機能によって課せられる安全性リスクを軽減するために、どのように最も有効に使用できるかが明らかでなかった。
本開示は、任意の自律アルゴリズムを、厳しい安全要求を維持するシステムに組み込んだ自律走行車両のためのアーキテクチャを記載する。このアーキテクチャにおいて、自律コンポーネントが任意に悪意でも故障することが許容されるとともに、より高い完全性(integrity)(例えば、より高い安全完全性レベル)の「安全ゲート」コンポーネントは、自律手法の必要性なしで構築でき、安全要求を維持する。アーキテクチャステージのセットが、安全な軌道をマッピング、計画、実行するための再利用可能なアーキテクチャパターンに基づいて作成される。各ステージは、1次「実行者(doer)/点検者(checker)」ペアと、1次ペアが失敗した場合に劣化した動作モードを提供する任意の2次「実行者/点検者」ペアとを含む。本開示において、「実行する」とは、自律制御を実施することを意味し、「点検する」とは、制御信号が実行するのに安全であることを確認することを意味する。もし上手く適用した場合、この実行者/点検者原理は、信頼できるシステムを構築するための安全基準による採用のための適切なオプションになり得る。
実行者/点検者アーキテクチャパターンを用いた既知のアーキテクチャにおいて、もし実行者が不正を行った場合、点検者は全体機能を停止し(両方のモジュール)、フェイルサイレントシステムが得られる(即ち、いずれかの故障が沈黙コンポーネントで生ずる。時には、フェイルストップまたはフェイルセーフとしても知られている)。これは、故障作動システム挙動を要求することが一般的である(例えば、たとえ自律故障があった場合でも、航空機は飛び続ける必要がある。)自律システムに課題を課すことがある。本開示で記載したアーキテクチャは、1つまたは潜在的に複数のコンポーネント故障にも関わらず、持続した動作を確保するマルチチャネル手法を使用することによって、この懸念事項に対処している。
一態様において、安全性アーキテクチャシステムが、
通常システム機能を実施するための1次データを発生する1次ユニットと、
代替システム機能を実施するための2次データを発生する2次ユニットと、
1次ユニットに接続された1次安全ゲートであって、1次データの有効性の判断に応答して1次データを1次出力として提供する1次安全ゲートと、
2次ユニットに接続された2次安全ゲートであって、2次データの有効性の判断に応答して2次データを2次出力として提供する2次安全ゲートと、を備える第1ステージを含む。
システムはまた、第1ステージの1次安全ゲートおよび2次安全ゲートの両方に接続された出力セレクタを含み、出力セレクタは、1次データおよび2次データの有効性の判断に応答してシステム出力を提供する。
本開示の実装は、下記特徴の1つ以上を含むことができる。1次安全ゲートは、2次安全ゲートによって提供される許容範囲(permissive envelope)に応答して、1次データの有効性を判断してもよい。システムは、第2ステージを備える1つ以上の追加のステージを含んでもよく、第2ステージの第1データ出力は、第1ステージの1次ユニットへの入力を提供し、第2ステージの第2データ出力は、第1ステージの2次ユニットへの入力を提供する。2次安全ゲートは、2次データが有効であるかを判断するために、2次データが予め定めた時間ウインドウ内に受信したかを判断してもよい。2次安全ゲートは、2次データの有効性の判断に応答して、2次データを保存するバッファを含んでもよい。2次ユニットは、2次データの無効性の判断に応答して、前回保存した2次データを2次出力として提供してもよい。システム出力は、車両を動作させるための制御データを含んでもよい。
他の態様において、方法が、1つ以上のプロセッサによって、通常システム機能を実施するための1次データを発生するステップと、
1つ以上のプロセッサによって、代替システム機能を実施するための2次データを発生するステップと、
1つ以上のプロセッサによって、1次データの有効性の判断に応答して1次データを第1ステージの1次出力として提供するステップと、
1つ以上のプロセッサによって、2次データの有効性の判断に応答して2次データを第1ステージの2次出力として提供するステップと、
1つ以上のプロセッサによって、1次データおよび2次データの有効性の判断に応答してシステム出力を提供するステップと、を含む。
本開示の実装は、下記特徴の1つ以上を含むことができる。1次データの有効性を判断することは、許容範囲に応答してもよい。1次データを発生することは、第2ステージの第1データ出力を介して1次入力を受信することを含んでもよく、2次データを発生することは、第2ステージの第2データ出力を介して2次入力を受信することを含んでもよい。2次データの有効性を判断することは、2次データが予め定めた時間ウインドウ内に発生したことを判断することを含んでもよい。該方法は、2次データの有効性の判断に応答して2次データを保存することを含んでもよい。該方法は、2次データの無効性の判断に応答して、前回保存した2次データを第1ステージの第2出力として提供することを含んでもよい。システム出力は、車両を動作させるための制御データを含んでもよい。
さらに他の態様において、システムが、
装置を第1場所から第2場所へ移動するための1次経路データを発生する1次計画者(planner)ユニットと、
1次経路データに従って、装置の移動中に1つ以上の悪条件の存在中に装置を移動するための安全化(safing)経路データを発生する安全化計画者ユニットと、
1次計画者ユニットから1次経路データを受信し、1次経路データが、安全な方法で1次経路データに従って装置の移動を提供するかを判断し、1次経路データが、安全な方法で1次経路データに従って装置の移動を提供するという判断に応答して、1次経路データを、検証した1次経路出力として提供する1次計画者安全ゲートと、
安全化計画者ユニットから安全化経路データを受信し、安全化経路データが1つ以上の悪条件を回避するように装置の移動を提供するかを判断し、安全化経路データが1つ以上の悪条件を回避するように装置の移動を提供するという判断に応答して、安全化経路データを、検証した安全化経路出力として提供する安全化計画者安全ゲートと、
検証した1次経路出力を受信し、検証した1次経路出力に基づいて、装置の現在通過点(waypoint)から1次軌道データを発生する1次軌道遂行者(executor)ユニットと、
検証した安全化経路出力を受信し、検証した安全化経路出力に基づいて、装置の現在通過点から安全化軌道データを発生する安全化軌道遂行者ユニットと、
1次軌道遂行者ユニットから1次軌道データを受信し、1次軌道データが装置の現在状態と一致するかを判断し、1次軌道データが装置の現在状態と一致するという判断に応答して、1次軌道データを、検証した1次軌道出力として提供する1次軌道安全ゲートと、
安全化軌道遂行者ユニットから安全化軌道データを受信し、安全化軌道データが装置の現在状態と一致するかを判断し、安全化軌道データが装置の現在状態と一致するという判断に応答して、安全化軌道データを、検証した安全化軌道出力として提供する安全化軌道安全ゲートと、
検証した1次軌道出力を受信するために1次軌道遂行者ユニットに接続され、検証した安全化軌道出力を受信するために安全化軌道遂行者ユニットに接続され、制御データを提供するためにコントローラに接続された優先度セレクタと、を含み、
優先度セレクタは、制御データとして、検証した1次軌道出力を受信した場合は検証した1次軌道出力、検証した安全化軌道出力だけを受信した場合は検証した安全化軌道出力、または、検証した1次軌道出力も検証した安全化軌道出力も受信しない場合は既定値(default)出力のうちの1つを提供する。
本開示の実装は、下記特徴の1つ以上を含むことができる。安全化軌道遂行者ユニットは、最小加速度、最大加速度、最小減速度、最大減速度、最小曲率変化率および最大曲率変化率を特定する許容範囲を発生してもよく、1次軌道安全ゲートは、1次軌道データが許容範囲によって特定される値の範囲内にあるかを判断して、1次軌道データが装置の現在状態と一致するかを判断してもよく、1次軌道データが許容範囲によって特定される値の範囲内にあるという判断に応答して、検証した1次軌道出力を提供してもよい。安全化軌道安全ゲートは、安全化軌道データが装置の現在状態と一致するかを判断するために、安全化軌道データが予め定めた時間ウインドウ内に受信したかを判断してもよい。安全化軌道安全ゲートは、安全化軌道データが装置の現在状態と一致するという判断に応答して、安全化軌道データを保存するバッファを含んでもよい。安全化軌道安全ゲートは、安全化軌道データが装置の現在状態と一致しないという判断に応答して、前回保存した安全化軌道データにアクセスしてもよく、前回保存した安全化軌道データが装置の現在状態と一致するかを判断してもよく、前回保存した安全化軌道データが装置の現在状態と一致するという判断に応答して、前回保存した安全化軌道データを、検証した安全化軌道出力として提供してもよい。装置は車両を含んでもよく、1つ以上の悪条件は、1次経路データに従って装置の移動を禁止する条件、または、達成できない1次経路データに従って装置の移動を行う車両のコンポーネントの故障、の少なくとも1つを含んでもよい。
前述の全てまたは一部が、1つ以上の非一時的機械可読なストレージ媒体に保存され、1つ以上の処理デバイスで実行可能である命令を含むコンピュータプログラム製品として実装してもよい。前述の全てまたは一部が、装置、方法または、1つ以上の処理デバイスおよび、記述した機能を実装する実行可能命令を保存するメモリを含んでもよい電子システムとして実装してもよい。
本明細書で記載した主題は、下記の潜在的な利点の1つ以上を実現するように実装できる。複雑な自律アルゴリズムと信頼できるソフトウェアシステムとの間の隙間は、自律コンポーネントを高い信頼性のフレームワークに統合できるようにすることによって橋渡しできる。こうしたフレームワークは、個々のコンポーネント、例えば、自律コンポーネントが任意に悪い方法で故障した場合(例えば、偶然の障害および個々のコンポーネントによる悪意的危険な挙動の両方)でも、安全システム動作を保証できる。さらに、個々のコンポーネントが故障した場合でも故障作動システムレベルの挙動を提供してもよく、あるいは、危険コンポーネントレベルの挙動に起因して停止する必要がある。異種機能モジュールが、共通モード故障の機会を減少させるように設けられてもよく、劣化モード挙動が、例えば、1次機能が故障した場合に安全化ミッションを実施するように設けられてもよい。
1つ以上の実装の詳細は、添付図面および下記説明において記述される。特定の実装が記載されるとともに、以下に図示し記載したものとは異なる動作およびコンポーネントを含む他の実装が存在する。他の特徴、目的および利点は、下記説明、図面および請求項から明らかになるであろう。
自律走行地上車両のための自律能力の極めて高いレベルのマルチステージ説明のフローチャートを示す。 安全重大(safety critical)基準に開発される完全機能自律ソフトウェアの必要性を回避するためのシステムのブロック図を示す。 グリッド式2値(binary)コストマップを示す。 安全自律アーキテクチャの2チャネルバージョンの一般化した例のブロック図を示す。 安全自律アーキテクチャのシステムインスタンス化の一例のブロック図を示す。 運動計画のための占有グリッドの一例の図を示す。 倒れる木に反応して運動計画のための占有グリッドの一例の図を示す。 自律装置安全性アーキテクチャシステムによって実施されるプロセスの一例のフローチャートを示す。
本開示は、任意に悪い故障モードを備えた自律コンポーネントを高い信頼性のフレームワークに統合できる汎用アーキテクチャを記載する。このアーキテクチャにおいて、「安全ゲート」コンポーネントが安全要求を維持するとともに、自律コンポーネントは故障するのが許容される。本開示は、自律走行地上車両(AGV)の文脈においてアーキテクチャを記載するとともに、アーキテクチャは、制限なしで、完全自律走行地上車両、半自律走行地上車両、飛行体、および完全または部分的自律性を備えた他のロボットシステムを含む、任意の自立システムでの応用のために多目的である。
一例として、図1は、AGVにおいて確実に実装すべき能力を極めて高いレベルで要約したフローチャート100である。102において、AGVは、周囲の世界のモデルを構築する。このモデルは、あるレベルにおいて、先導者車両、他のトラフィック、歩行者、道路上の物体などを含む安全性危険を検出するのに必要になる情報を記述している。モデルは、複数のセンサからのデータから構築してもよく、先行マップを使用してもよい。
104において、AGVは、安全要求を満たす世界を経由して軌道を計画する。これは、経路計画アルゴリズムを用いて達成してもよい。例えば、経路計画者が、障害物を回避し、安定性を維持する軌道を探索してもよい。106において、AGVは、この軌道を遂行する。これらの能力の各々が、AGVのソフトウェアアーキテクチャにおいて確実に実装すべきであり、その安全ケースでの要求によって支援すべきである。
自律挙動のこの分解は、センサ測定値をマップに融合させるモデル、これらのマップ上でゴールへの経路を見つける確率的ロードマップ計画者、経路を遂行する経路追跡アルゴリズムを含む複数のステージの1つにそれぞれ対処するアルゴリズムをもたらす。アーキテクチャは、制御出力での「簡単点検」を含むため、単一制御アルゴリズムの制限された範囲内で行われた場合、点検することはより簡単になる。こうして点検することは、自律システムの各ステージのための点検を作成することによって、より簡単にできる。
本開示は、下流ステージに送信される出力に関する保証を行うために、いずれかの処理ステージ内でインスタンス化できるアーキテクチャパターンを記載する。この部分(partem)は、自律機能の一般カテゴリーおよび他の類似のシステム構造および機能において適切であり、他のステージの動作を妨害することなく、異なる自律アルゴリズムを1つのステージに置換することを許容する。本アーキテクチャに係るシステムが、1つ以上のステージを有することができる。この部分の例として、本開示は、計画および遂行ステージにとって適切な手法を記載する。アーキテクチャパターンは、あまり信頼できないコンポーネント(例えば、既製のソフトウェアコンポーネント)およびより信頼できるコンポーネント(例えば、安全重大コンポーネント)の混合を有する非自律応用にさらに適用可能である。
信頼性パターンの適用
この手法は、証明された信頼性パターンを適用して、安全軌道を確実に計画し遂行することを含む。2つの異なるコンピュータ上で同じソフトウェアを実行させることによって冗長性を提供することは、ソフトウェア設計不良を軽減するのに有効でないことがある。理由は、ソフトウェアの両方のコピーが、同じソフトウェア欠陥から、こうした欠陥が活性化した場合、同時に故障するという予想があるためである。多様性ソフトウェア(マルチバージョンプログラミングとしても知られる)のこうした使用は、自律ソフトウェアの各コピーが安全重大であることを要求し、単一コピーと比べて、ソフトウェアを開発するコストを2倍(またはそれ以上)にする。自律ソフトウェアでは、必要な機能を備えた高い完全性のソフトウェアの1つのコピーを作成する方法が知られていないことがあり、こうした手法を実行不可能にすることがある。
図2は、安全重大基準に開発される完全機能自律ソフトウェアの必要性を回避するためのシステム200のブロック図を示す。図2に示すシステム200は、シンプレックス(Simplex)アーキテクチャとして知られている。シンプレックスアーキテクチャは、2つの区別できる制御コンポーネント、即ち、複合(Complex)サブシステム202および安全性サブシステム204を含む。複合サブシステム202は、充分なレベルの完全性に開発するのが困難である洗練された制御アルゴリズムでもよい。安全性サブシステム204は、複合サブシステム202と同様で簡素化された制御特徴を提供できるが、高い完全性実装を用いてそのようにできる。高い完全性実装はかなり簡単でもよく、従って複合実装よりもあまり最適化されていない。安全性サブシステム204は、もし複合サブシステム202が障害を受けた場合、信頼できるフォールバック能力でもよい。シンプレックスアーキテクチャにおいて、決定ロジックは、もしその出力が危険なシステム状態に導く場合、プラント206から複合サブシステム202を切断する責任がある。危険な条件が予測される場合、安全性サブシステム204は、事故を回避する制御に入る。
シンプレックスアーキテクチャを適正に実装することは、同じアーキテクチャに性能および信頼性の両方を提供でき、これはかなり有益である。名目上の性能は、複合高性能制御サブシステム202によって決定され、最悪ケースの性能は安全性サブシステム204によって境界付けされる。高コストの検証および確証の範囲は、安全性サブシステム204および決定ロジック208に注目され、これらは、もし適切に設計した場合、比較的簡単なコンポーネントである。しかしながら、これらの利益を達成することは、慎重な設計解析および要求への厳しい順守を必要とするであろう。シンプレックスアーキテクチャにおいて、2つの実行者(安全性サブシステム204、複合サブシステム202)および1つの点検者(決定ロジック208)が存在する。
シンプレックスアーキテクチャは、AGVのための信頼できる軌道計画および遂行でのある実用性を有する。AGVにおいて、複合サブシステム202は、従来のロボット経路計画アルゴリズムを使用できる。安全性サブシステム204は、安全停止制御サブシステム(例えば、制御された方法で車両を停車場まで運ぶ)にできる。しかしながら、設計課題は残る。
残る設計課題は、安全性サブシステム204の要求を満たす「安全性計画者」が、実行可能に実装できるかを判断することを含む。先導者(leader)/追従者(follower)車列計画者のための一例は、緊急操作ライブラリを使用し、安全軌道が常に利用可能であることを保証する計画システムを含む。
他の残りの設計課題は、安全性サブシステム204(例えば、決定ロジック208)を有効にする時期を決定できるロジックを設計することを含む。これは挑戦的であることがあり、理由は、複合サブシステム202によって保証される軌道の安全性を評価する能力を要求するためである。さらに、決定ロジック208は、高い完全性コンポーネントにすべきであり、これは、車両の安全性サブシステム制御を有効/無効にする能力を有するためである。
決定ロジック208は、複合サブシステム202によって作成される軌道を評価する「軌道評価」コンポーネントを含む。もし該コンポーネントが、ある軌道が危険であると判断した場合、それは複合サブシステム202の出力を禁止する。コンポーネントは、複合サブシステム202を安全ゲートアーキテクチャ内に包んで、こうした判断に対して沈黙して故障させる。こうしたコンポーネントを実装する実現可能性は、軌道評価アルゴリズムが、確証することが実現可能な方法で実装できるかを含む。これを行うには、評価が計画より簡単であるという概念が利用できる。経路計画は、車両の制御空間についての探索問題であり、これは大型になることがあり、実用的な解決法を見つけるために、複雑でランダム化したアルゴリズムを採用する必要がある。比較すると、この制御空間を通じて個々の経路の安全性を評価することは、(i)命令された軌道をグリッド式2値コストマップ(図3にマップ300として示す)において整列させ、(ii)コストマップセルを経由して経路(例えば、経路302)の横断をシミュレーションし、(iii)もしセルが横断不可能である場合(例えば、図3のマップ300の暗いセル304と交差する)、その経路を拒絶し、それ以外はそれを受け入れる、という比較的簡単な実行である。
この議論のため、この世界モデルは、全ての障害物を表現するのに充分な情報を含むことが想定される。モデル表現の一例がコストマップを含み、これは、車両の前方において空間の所定の個別のユニットを横断する「コスト」をコード化する規則的なグリッドである。簡単なコスト計量が、名目上の地面の上方にあるセル内の物体の高さでもよく、これは、路上ナビゲーションに関連しており、理由は、ほぼ平坦な道路表面が、物体高さを、横断可能性の直観的なコンポーネントにするためである。極めて複雑な表面を走行する場合、例えば、攻撃的なオフロードナビゲーションでは、「名目上の地面」の概念はあまり役に立たなくなり、車両運動のフォワードシミュレーションが、有効スロープなど、外見的に真直ぐな横断可能性特性を評価するために使用できる。しかしながら、緩いオンロード条件でも、センサ較正など、誤差源が簡単な横断可能性解析を混乱させることがある。
もし複合サブシステム202が沈黙して故障した場合(それが危険な軌道を発生した場合、複合サブシステム202を切断する決定ロジック208を介して)、決定ロジック208への要求は簡素化され、もしコマンドが複合サブシステム202から所定の時間ウインドウ以内に受信しない場合、安全性サブシステム204は車両の制御に入る。安全性計画者軌道を安全かつ停止状態で終端させることは、軌道が、制限された計画水平線内で発生することを確保できる。計画水平線を制限することによって、安全軌道発生がコンピュータ上で実現可能であり、車両にとって局所的な既知の構成空間(CSPACE)領域内に全体的に存在でき、センサ範囲を超えて障害物に遭遇する確率を排除するとともに、緊急軌道制御を実行する。安全性計画者軌道を停止状態で終端させることは、安全性操作を実行した後、車両が不可避の衝突状態(制御動作が将来に行われたとしても、衝突が生ずることになる状態)で終わる状況を回避することが必要になる。
例えば、安全性操作が、木を通って避けるように発生し、操作の最後に車両がその元の速度に戻ったと仮定する。安全性操作は木を上手く回避できたが、操作の最後の状態は、車両を、時間内に停止させて、操作が開始したときに車両の局所センサ半径の外側にあった岩を回避できなくする。ゼロ速度で終わらない軌道が、車両が以前に未知である岩と衝突することをもたらすことがある。
シンプレックスアーキテクチャにおいて、決定ロジック208は、少なくとも1つの故障作動コンポーネントを有し、理由は、複合サブシステム202は、最適化された挙動を提供するが、信頼できないためである。決定ロジック208は、動作を安全性サブシステム204に切り替えることをいつでも用意している。決定ロジック208は、安全性サブシステム204が危険であるかを検出できないため、安全性サブシステム204(「実行者」であって「点検者」ではない)は、高い完全性の故障作動であり、決定ロジック208は、「安全な」挙動を伴う故障作動またはフェイルセーフにでき、安全性サブシステム204への切替えをもたらす。これに対して本開示で記載したアーキテクチャは、実行者のいずれもが故障作動であることを要求せず、あるいは、実行者のいずれもが高い完全性であることを要求しない。
アーキテクチャ概略
本開示で記載した安全性アーキテクチャは、再利用可能な設計部分を含み、任意のロボットまたは他の自律または半自律システム、そして、高い信頼性および低い信頼性のコンポーネントの組立てとして構築する必要がある任意のシステムの安全制御のための基礎として機能できる。そのパターンは、とりわけ、いずれの故障作動コンポーネントブロックを必要とせず、いずれの高い完全性実行者自律性ブロックを必要とせず、故障作動システムレベル挙動を提供する。制御システム内の物体のクラス間での関係性を定義することによって、安全車両ナビゲーションの一般的問題、およびより大きな一般自律システムの文脈においてこれらの概念を実装するのに必要な情報要求および依存性が理解できる。この形式化された構造は、目前の問題のより大きな理解を促進するだけでなく、要求の一義的な通信、モジュール分割法(modularization)による改善された保全性などの利益をも提供する。
図4は、安全自律アーキテクチャ400の2チャネルバージョンの一般化した例を示すブロック図である。アーキテクチャ400の左側部分は、1次ユニット402と、1次安全ゲート404と、安全化ユニット406と、安全化安全ゲートおよびバッファ408とを含む。アーキテクチャ400の左側部分は、パイプライン式で1回以上繰り返してもよい。アーキテクチャ400の右側部分は、最終駆動解決手法のための任意の優先度セレクタ410を含む。
アーキテクチャ400は、システムのレイヤ(layers)を経由して共に連鎖した「1次」チャネルおよび「安全化」チャネルを含み、あるポイントまで、単一コマンド出力、例えば、モータ制御コマンドが提供される。優先度セレクタ410は、チャネル間を仲裁する。もし出力が1次チャネルおよび安全化チャネルから利用可能である場合、優先度セレクタ410は、1次チャネル出力を送信する。もし安全化チャネル出力だけが利用可能である場合、優先度セレクタ410は、安全化チャネル出力を送信する。いずれか他の場合、優先度セレクタ410は、車両を停車場まで運び、例えば、ブレーキを押してスロットルを切る、または航空機のパラシュートを展開する、ルーレベルバックアップ手段である運動停止(「MSTOP」)コマンドを送信する。
アーキテクチャ400の利益が、両方のチャネル(即ち、実行者)に出力を発生するために使用されるユニット402,406が低い完全性を有してもよいことから由来し、実際、それぞれ任意に故障することがある。もし未処理障害が、1次ユニット402または安全化ユニット406のいずれかに生じた場合、適切にインスタンス化されたアーキテクチャが作動的なままであり、安全性要求を満たすようになる。もし両方の1次ユニットおよび2次ユニットが故障した場合、システムは、安全なままであり、下流ステージは、システム回復(例えば、MSTOPを実行することによって)を実施する任務を負うようになる。これは、実行者ユニットから安全性を認証または完全に保証にする必要性を除去する。換言すると、1次ユニット402も安全化ユニット406も安全重大でなく、理由は、安全性が対応する点検者によって保証されるためである。しかしながら、もし1次ユニットまたは安全化ユニットが信頼できない場合、車両は、利用可能性問題に悩まされ、アーキテクチャ400は、車両を停車場まで運び、または、望ましいものより頻繁に安全化チャネルに切替えることによって性能を劣化させることに留意することが重要である。
アーキテクチャ400での2つの「安全ゲート」コンポーネント404,408は、1次ユニット402および安全化ユニット406の出力を点検し、もしこれらの出力が危険である場合、沈黙して故障する責任がある。これらは高い完全性のコンポーネントであるが、沈黙して故障してもよい。特定の応用のための安全ゲートのインスタンス化は、慎重な設計作業を要求することがあるが、しかしながら、最も予期されるケースでは、これは、1次ユニット402および安全化ユニット406を高いレベルの厳密さおよび完全性に開発するよりかなり少ない資源(特に検証および確証の観点で)を採用するようになる。こうしてこの手法は、実行者での完全性要求を緩和し、フェイルストップ点検者の使用を許容し、故障作動全体アーキテクチャを提供する。
アーキテクチャ400は、より厳しい要求を優先度セレクタ410に行う。優先度セレクタ410は、故障の存在中に動作を続けて、1次コマンドまたは安全化コマンドのいずれかを配給する必要がある。優先度セレクタ410は、この故障がMSTOPを起動している限り、沈黙して故障してもよい。このコンポーネントは、安全ゲートより簡単であり、要求される高いレベルの完全性を達成するために、その検証に多大な努力が消費できる。
幾つかの実装において、アーキテクチャ400は、時間起動(triggered)される。時間起動アーキテクチャにおいて、故障はタイムアウトにより検出される。下流コンポーネントは、ある複数のメッセージ期間を通過した「古い(stale)」値を使用することを許容されない(過渡的な故障に対して頑丈になる)。例外は、安全化計画をバッファに格納できる安全化安全ゲートおよびバッファ408であり、バッファ格納された計画を再点検して、これが全ての時間ステップで受入れ可能であることを見る。イベント起動手法も可能であり、これに限定されないが、イベントの周期的発生による時間起動手法をエミュレートするイベント起動手法を含む。
アーキテクチャ400の任意の第3チャネルが、オーバーレイ(overlay)ユニット412を含むオーバーレイと称され、他の機器を安全性アーキテクチャ400の中に組み込み可能である。これは、例えば、試験場所での人員の位置を報告する一時的な「地上検証データ(ground truth)」コンポーネントを含んでもよく、もしこれらが接近し過ぎる場合、アーキテクチャ400は車両を停止できる。これらのコンポーネントは、適切なセンサ、例えば、ラジオビーコンセンサを含んでもよい。それはまた、MSTOPコマンドを無線で送信する他の機器(おそらく一時的)を含んでもよい。
図5は、安全自律アーキテクチャのシステムインスタンス化500の一例を示すブロック図である。アーキテクチャは、2つの制御ステージ、即ち、計画ステージ504および軌道遂行ステージ506についてインスタンス化されている。これらの2つのステージの各々は、1次チャネルおよび安全化チャネルを含む。車両制御ステージ508において、優先度セレクタ410は、これらのチャネル間を切替える責任がある。アーキテクチャは、他の機器、例えば、計画者オーバーレイ534および軌道オーバーレイ536をアーキテクチャの中に組み込み可能にするオーバーレイチャネルを任意に含んでもよい。アーキテクチャはまた、計画ステージ504が動作するマップを発生する認知ステージ502への信頼性概念を含んでもよい。幾つかのAGV関連の実装において、コンポーネント間の通信は、文献(Quigley, Morgan, et al., "ROS: an open-source Robot Operating System," ICRA workshop on open source software, Vol. 3, No. 3.2, 2009)に記載されたようなロボットオペレーティングシステム(ROS)を用いて達成され、この文献の全体内容は参照によりここに組み込まれる。他の通信ネットワークは、コントローラエリアネットワーク(Controller Area Networks)(ISO 11898)、時間起動イーサネット(登録商標)(Time Triggered Ethernet)(SAE AS6802)、フレックスレイ(FlexRay)(ISO 17458)を含み、該アーキテクチャを応用の詳細で統合するために使用できる。
1次計画者
1次計画者512は、地上車両が通常動作条件下で追従する1次軌道を計画する。作成される各軌道は、衝突フリーであり、車両の運動学的境界内にある。この表現は、操縦、加速、ブレーキ操作、曲率に対する種々の現実的な制限に拡張可能であり、そのため表現されたフレームワークが、追加の動的複雑さとともに将来において評価できる。このアーキテクチャの幾つかのAGV関連の実装は、ロボットオペレーティングシステム(ROS)を使用するオープンモーションプランニングライブラリ(Open Motion Planning Library)(OMPL)を使用する。OMPLは、文献(Sucan et al, "The Open Motion Planning Library" (PDF), IEEE Robotics & Automation Magazine (December 2011))に記載されており、この文献の全体内容は参照によりここに組み込まれる。OMPLでは、RRT*が計画アルゴリズムとして使用される。RRT*は、文献(LaValle, Steven M., "Rapidly-exploring random trees: A new tool for path planning," Technical Report
(Computer Science Department, Iowa State University) (TR 98-11) (October 1998))に記載されており、この文献の全体内容は参照によりここに組み込まれる。1次計画者512は、認知ステージ502から占有グリッドを受信し、このグリッドマップを経由した経路を計画する。OMPLモーションプランニングも無人航空機応用のために動作可能である。
1次計画者での任意の故障の取扱い
1次計画者512の出力は、幾つかのAGV関連の実装において一連の通過点からなる軌道であり、1次計画者安全ゲート(PPSG)514によって点検される。PPSG514は、応用特定点検を用いて1次計画者512の出力が有効であるかを点検し、出力が、安全化計画者安全ゲート(SPSG)518によって提供される許容範囲(PE)内にあるかをさらに点検する。もし1次計画者512の出力がこれらの点検のいずれも失敗した場合、PPSG514は、単に出力を抑制する。アーキテクチャ定義に基づいて、これらの1次チャネル出力を抑制することによって後のステージが応答し、最終的に優先度セレクタ410は制御を安全化チャネルに切替える。
AGV実装における1次計画者
動作シナリオでのスタートおよびゴールの目的地は、ミッション(mission)記述によって定義されるとともに、幾つかのAGV関連の実装構成は、SE2状態空間でのゴールを定義し、これは、2D世界でのその(x,y)場所(占有グリッド、そしてその機首方位(Θ)によって特定される)に従って各可能な車両状態を表現する。AGV関連の実装での1次計画者512は、2つのポイント間で運動学的に実現可能な経路を発生し、経路は、車のような地上車両によって実際に現実的に追従できる。
いずれか発生した経路の運動学的に実現可能性は重大になることがあり、理由は、車両制御532からの最終出力が、幾何学的経路または軌道でなく、実際の地上車両に適用でき、それを解答軌道に追従させる一連の制御であるためである。この問題を解決するために、システム500は、問題を2つの別個の局面(phase)、即ち、軌道発生(車両によって追従される経路を作成する)および制御発生(車両に発生した軌道を追従させる一連の制御を発生する)に分割する。
軌道発生局面では、作成された経路は、衝突制約(占有グリッドによって課される)または運動学的制約(車両モデルによって課される)に違反することなく、車両をスタートからゴールに遷移させることが可能である。発生局面においてこれらの制約を検討することによって、制御は、車両について発生し、解答軌道に追従することが可能である。制御を発生するには、「デュビンの車(Dubin's car)」と称される状態空間実装が使用され、これは、車両が、路上車両にとって可能な道で移動できるようにする、車またはトラックの簡単な運動学的モデルである。このモデルは、車両の移動を3つの可能な道、即ち、右回り円弧、左周り円弧、直進に制限する。一連のこれらの運動基本命令(primitive)を用いて軌道を構築することによって、これらの制約を満たす経路と仮定すると(回転半径が物理的車両と一致すると想定する)、制御発生局面の際に軌道に追従する制御が発生する。占有グリッド式有効性点検者およびデュビン運動制約を用いてOMPLをインスタンス化することによって、実現可能であり、衝突フリーである軌道が発生できる。
図6は、OMPLを用いて、デュビンの車運動モデルで運動計画のための占有グリッド600の一例を示す図である。図6において、車両602が、その現在場所606から所望のゴール状態604に到達することを試みる。車両602は、障害物608を回避しながら、所望のゴール状態604に到達しようとする。障害物608の存在は、占有グリッド600の関連四角を「占有済」としてマーク付与し、車両602がこれらの四角を通過するのを防止している。図6に示すように、ゴール場所604が障害物608の右側により近くても、車両602は、障害物608において、右の代わりに左周りする。もし車両602が右に回ってから左周りしたとすると、間違いの方向に面し、ゴールによって記述された所望の機首方位を満たさない。障害物608において右に行った後に回転することは、最初に左に行くことよりコストが多くなるため、車両602は、左行きの軌道610を計画する。解答軌道610は、障害物608の占有四角に沿って近くにカットできず、理由は、車両602への回転半径の制限は、厳しすぎる円弧の構築を防止するためである。この回転半径は、設定可能なパラメータであるため、基本的な軌道発生方法は、変化する車両タイプを用いて検査できる。前述したように、OMPLプランニングライブラリは、運動計画を作成するために使用できる。OMPLは、特注の「有効性点検者」とともにOMPL計画者クラスを初期化するために使用できるデュビンの状態空間表現を含む。
安全化計画者
図5を再び参照して、既存の世界および車両状態を仮定すると、AGV関連の実装における安全化計画者516は、問題が発生した場合、車両が素早くかつ安全に停止できるように設計された実現可能な軌道を作成する。安全化計画者516は、車両のための緊急オプションを提供し、車両が該世界を通って移動し、動的または静的な障害物に遭遇すると、計画を継続的に再評価する。
安全化計画者における任意故障の取り扱い
上記要求は、安全化計画者516のために設計されるが、システムは、安全化計画者516に依存しないで、車両安全性を保証する。安全化計画者516は、1次計画者512のように、「任意故障」ブロックとしてマーク付与される。システムは、下記の特徴を用いてこれを達成する。
1.安全化計画者516の出力は、安全化計画者安全ゲート518によって評価され、これは、例えば、もし安全化計画が障害物と衝突する場合、その出力を抑制する。
2.安全化計画者516はまた、1次計画者512が出力し点検する(詳細には後述する)許容範囲(PE)を作成する。安全化計画者安全ゲート514はまた、この範囲自体が適切であるかを評価する。
3.1次計画者512が故障した後、安全化計画者516は制御に入るが、安全化計画者安全ゲート518は、安全化計画者516に車両を停車場に運ぶための、制限された時間ウインドウを付与する。該時間ウインドウが経過した後、安全化計画者安全ゲート518は、その出力を抑制する。1次チャネルまたは安全化チャネルのいずれかからの出力の欠如に応答して、優先度セレクタ410はMSTOPを起動する。
AVG実装における安全化計画者
1次計画者512に関して上述したように、地上車両がその所望の計画経路を達成することができない幾つかの悪い状況または条件が存在することがある。これは、無効ミッション仕様、計画経路を達成不能にするハードウェア故障、または種々の他の動的状況、例えば、元の計画で考慮されていない、障害物、交通遅延、工事遅延などに起因することがある。これらのイベント時に安全な車両運用を提供するには、システムは、車両をその現在の状態から、車両が停止する安全なゴール状態に仕向ける経路を作成するための別個の計画コンポーネント(例えば、安全化計画者516)を含む。車両を停車場に来させることによって、故障した車両は、無限の期間についてそのゴール状態に安全に留まる。航空機のための類似の運用が最近接着地エリアへの転用であろう。安全化計画者516のゴールは停車場に安全に来ることであるため、安全化計画者516は、安全な停止経路を見つけるために、複数の異なるゴール構成を検討する。安全化計画者516は、安全な停止経路を下記のように見つける。
1.最大ブレーキ操作を適用する軌道を計画し、車両を道路の側にある停車場に運ぶ。
2.もし車両が道路の側に沿って停止できない場合、元の軌道からの最大偏差量で安全なゴール状態を達成しようと試みる。
3.もし車両が安全軌道を達成できない場合、許容される機首方位偏差量を増加させ、再計画を試みる。
4.最大操縦角に到達するまで繰り返し、または安全軌道が発生されている。
安全化計画者516は、潜在的な故障のために常に準備すべきであるため、毎回、マップまたは車両状態情報が更新され、安全化計画者516は、安全停止軌道のための新しい探索を開始する。幾つかのAGV実装において、安全化計画者516は、ロボットオペレーティングシステム(ROS)を用いて再び達成される、固定された軌道セットに渡ってこの探索を実施する。安全化計画者516は、認知ステージ502から占有グリッドを受信し、このグリッドマップを経由して経路を計画する。もし安全化計画者516が新しい安全計画を発生できない場合、それは、システムに、最後に発生した安全軌道を開始するように信号を送る。理由は、緊急オプションなしで走行すること本質的に危険であるためである。
図7は、倒れる木に反応して運動計画のための占有グリッド700の一例を示す図である。図6での障害物608が大きな木であることを想定する。図6に示すように軌道610を生成した後、木は、意図した経路に倒れる。この変化は、図7のグリッド700に示すマップの状態を更新し、よって安全化計画者516(図5)を起動し、3つの緊急軌道(t0,t1,t2)を発生する。安全停止軌道t0は、障害物708と衝突しないため、軌道t0が選択され、直ぐに適用される。しかしながら、もし車両702が大きすぎて、軌道t0について計算した時間内に停止できない場合、軌道t2が障害物708によって無効にされ、よって検討されない。この状況において、車両702は、代わりに安全代替軌道t1を選択する。車両702は、既に左回りを開始していたためであり、右よりも左周りに、障害物708から遠いより鋭い回転を構築することが可能であろう。こうして地上車両702の状態の検討が、これらの安全経路の発生において重要になることがある。
許容範囲
図5を再び参照して、許容範囲PE1が、もし車両が1次計画者512の出力を実行するのを開始した場合、安全化計画者516の出力がなお達成可能であることを確認するために使用される。もし故障が発生した場合、システム500は1次出力から安全化出力に切替えるため、これは重要である。PE1は、安全計画とともに、安全化計画者516によって発生される。PE1の安全性は、安全化計画者安全ゲート518によって点検される。もしPE1この点検を通った場合、それは、1次計画者安全ゲート514に回される。1次計画者安全ゲート514は、PE1を、1次計画者512の出力を受理または拒絶するための基準の一部として使用する。許容範囲は、一般的およびAGV軌道−遂行ステージの例の特定の文脈の両方において、さらに後述する。
1次安全ゲート
図4を参照して、1次安全ゲート(PSG)404の目的は、1次ユニット402からの危険な入力を抑制することである。後述するように、1次ユニット402の出力は、固有の安全性のために点検され(例えば、図5のAGV計画ステージ504の文脈において、計画が障害物と衝突し、または動的制約に違反するか)、そして安全化ユニット406によって発生した許容範囲との適合性のために点検される。もしPSG404が1次ユニット402の出力を抑制する場合、時間起動された優先度セレクタ410は、安全化ユニット406からの出力を車両アクチュエータに送信することに切り替える。
図5を参照して、AGV計画ステージ504の文脈において、1次計画者安全ゲート514は、ロボットオペレーティングシステムでのノードとして実装され、これは、認知ステージ502から占有グリッド、そして1次計画者512の出力および許容範囲を受信する。1次計画者安全ゲート514は、1次計画者512の出力で特定された通過点を通って反復し、出力が車両をグリッド内の障害物と衝突させるか、またはそれが許容範囲に違反するかを判断する。
安全化安全ゲート
図4を参照して、安全化安全ゲート(SSG)408は、任意に故障することが許容される、安全化ユニット406の出力について類似の点検を実施する。もし安全化ユニット406の出力が障害物と衝突し、または動的制約に違反する場合、該出力は抑制される。SSG408は、これらの点検を通過する安全化ユニット406の最後出力を保持するバッファを維持する。もし到来する計画が安全である場合、SSG408は、到来する計画をバッファに書き込む。しかしもし到来する計画が安全でない場合、SSG408は、到来する計画を破棄し、バッファ保存された計画の実行を継続する。新しい安全な計画が安全化ユニット406から受信しない限り、SSG408は、その出力を時間ウインドウ内に抑制する。もしSSG408がその出力を抑制する場合、時間起動された優先度セレクタ410は、MSTOPを起動する。
図5を参照して、AGV計画ステージ504の文脈において、安全化計画者安全ゲート518は、ロボットオペレーティングシステムでのノードとして実装され、これは、認知ステージ502から占有グリッド、そして安全化計画者516の出力を受信する。安全化計画者安全ゲート518は、安全化計画者516の出力で特定された通過点を通って反復し、出力が車両をグリッド内の障害物と衝突させるかを判断する。
優先度セレクタ
図4を参照して、優先度セレクタ410が、典型的にはアーキテクチャの最終ステージにおいて、1次出力と安全化出力との間を選択する。例えば、優先度セレクタ410は、どの軌道コマンドを車両アクチュエータに送信するかを決定できる。優先度セレクタ410のロジックは、もし1次出力が抑制された場合、安全化出力が送信されるようにする。もし安全化出力が抑制された場合、MSTOPが起動される。優先度セレクタ410は、安全ゲート404,408が沈黙して故障することを想定する。
図5を参照して、AGVシステム実装の文脈において、優先度セレクタ530は、軌道遂行ステージ506の出力においてインスタンス化される。優先度セレクタ530は、ロボットオペレーティングシステム(ROS)でのノードとして実装され、軌道遂行ステージ506内の1次軌道遂行者安全ゲート524および安全化軌道遂行者安全ゲート528の両方の出力を受信する。優先度セレクタ530の出力は、車両速度および曲率コマンドを含み、これらは、車両コントローラ532として知られる他のROSノードによって、車両のブレーキ操作、操縦およびスロットルアクチュエータへのコマンドに翻訳される。
軌道遂行ステージ
通過点Pが、機首方位を備えた2次元位置、即ち、{x,y,Θ}である。軌道{V,C}が、時間起動された期間に基づいた暗黙持続時間(implicit duration)を備えた速度−曲率ペアである。現在のシステム状態(例えば、車両姿勢など)は、Sである。軌道遂行ステージ506では、許容範囲PE2は、安全化軌道を伴う加速度およびヨー角(yaw)についての範囲制限である。PE2は、最小加速度、最大加速度およびヨーレート{ΔVmin ,ΔVmax ,ΔCmin ,ΔCmax }のリストとして提供される。
1次軌道遂行者522および安全化軌道遂行者526は、1次軌道アルゴリズム(アルゴリズム1)ptaおよび安全化軌道アルゴリズム(アルゴリズム2)staをそれぞれ実行するノードである。これらは両方とも通過点Pおよび現在の車両状態Sを採用し、通過点の現在位置から軌道を出力する。
Figure 2019509541
Figure 2019509541
1次軌道遂行安全ゲート524は、アルゴリズム3を実行し、これは、現在状態および、安全化軌道遂行安全ゲート528によって生成されるPE2に対して1次軌道を点検する。もし軌道が現在状態およびPE2の限界に一致する場合、1次軌道は、1次軌道遂行安全ゲート524を通過する。
Figure 2019509541
安全化軌道遂行安全ゲート528は、アルゴリズム4を実行して、安全化軌道遂行者526からの軌道を点検し、新しい到来する安全化軌道または古いバッファ保存された安全化軌道のいずれかを通過させるノードである。安全化軌道遂行安全ゲート528はまた、PE2を生成し、これは1次軌道遂行安全ゲート524が使用し、1次軌道が現在の安全軌道と一致することを確保する。PE2は、現在の安全化軌道値および一定の回復可能性限界のセット{ΔVmin ,ΔVmax ,ΔCmin ,ΔCmax }に基づいて、許容される加速度および曲率変化の「範囲」を生成することによって発生する。
Figure 2019509541
一般化アルゴリズム
アルゴリズム1〜4は、軌道遂行の文脈というより一般化した方法で下記のように表現される。1次アルゴリズム(アルゴリズム5)は、ある出力Oを作成し、その詳細はレイヤ固有のものである。1次アルゴリズムの正しさについて要求はなく、それは任意の方法で故障してもよい。
Figure 2019509541
安全化アルゴリズム(アルゴリズム6)は、許容範囲Eとともにその自己の出力O について責任がある。
Figure 2019509541
1次安全ゲート(アルゴリズム7)は、2つの点検タイプについて責任がある。第1に、それは、アプリケーション固有の関数psg_checkを実行し、これは、現在のシステム状態Sを仮定すると、1次アルゴリズムの出力が受入れ可能であることを確保する。PSGはまた、1次アルゴリズムの出力が許容範囲内にあることを確保する責任がある。
Figure 2019509541
安全化安全ゲートは、アルゴリズム8に示され、これは、「安全化安全ゲート」のセクションで先に記載したバッファリングリジックを定義する。ssg_check(…)関数はまた、安全化軌道の年齢および許容範囲を点検し、もしこれらのいずれかが特定のタイムアウト期間より古い場合、ssg_check(…)は、偽(false)を戻す。
Figure 2019509541
AGV実装の安全ケースは、障害物マップと対照して衝突について車両軌道を評価する安全ゲートに基づいている。あるマップおよびある軌道を仮定して、安全ゲートは、所定の軌道が、所定のマップで安全または危険であるかを報告する。安全ゲートは、連続的な超越的動力学(transcendental dynamics)を用いて、適度に高い次元のマップと対照して適度に高い次元の軌道を点検する。軌道が、動力学方程式のセットに基づいて経路(一連の位置)に翻訳され、これらの位置は、マップと対照して点検され、軌道が安全かまたはそうでないかを決定する。本開示の目的のために安全軌道の定義は、動力学方程式を用いてマップ上の障害物と交差しないものである。安全ゲートは、該軌道に基づいて、位置を特定の精度および分解能まで計算し、これらの位置の1つが障害物と重なり合う場合に安全問題を報告する。
本開示で記載したシステムは、衝突を回避する全体アーキテクチャのハイブリッドモデルを含む。ハイブリッドシステムは、1次提供者の軌道または安全化軌道に追従し、安全遂行を提供する。アーキテクチャの安全ゲート「点検者」部分は、先行技術で知られているソフトウェア安全基準、例えば、ISO 26262,IEC 61508,MIL−STD 882E、他の関連基準に従うことによって、高い完全性コンポーネントとして作成してもよい。安全化計画が、要求された期間内に車両を停車場へ運ぶことを点検するために、タイムアウト機構が使用でき、理由は、安全化ユニットが任意に故障することがあるためである。
アーキテクチャはさらに、本発明において、より下位のステージからのフィードバックを必要とする1つ以上の特定のステージを含んでもよい。例えば、もし軌道遂行機能が故障した場合、計画ステージは通知される。さらに、記載した安全性アーキテクチャは、こうしたアーキテクチャにとって適切な異なるステージを含むが、多くのロボットアーキテクチャは、「検知する」、「思考する」、「行動する」をステージに分別し、安全性アーキテクチャは、類似の手法を採用する。
下記チャートは、システムの条件および挙動の例を一覧表にしており、これは車両が障害物と衝突しない要求を満たすことができる。
Figure 2019509541
図8は、自律装置安全性アーキテクチャシステムによって実施されるプロセス800の一例のフローチャートである。プロセス800は、1つ以上のコンピュータのシステムによって実施してもよい。プロセス800は、上述した詳細を含んでもよい。
システムは、計画した経路上で装置を移動させるための1次データを受信する(802)。システムは、1次ユニットから1次データを受信する1次安全ゲートを含んでもよい。システムはまた、計画した経路上での装置の移動の際、1つ以上の悪条件の存在中に装置を移動させるための2次データを受信する(804)。システムは、2次ユニットから2次データを受信する2次安全ゲートを含んでもよい。
システムは、1次データが、安全な方法で計画した経路上での装置の移動を提供するかを判断することによって、1次データを認証する(806)。1次安全ゲートは、この判断を行うアルゴリズムを実行してもよい。システムはまた、2次データが1つ以上の悪条件を回避するように装置の移動を提供するかを判断することによって、2次データを認証する(808)。2次安全ゲートは、この判断を行うアルゴリズムを実行してもよい。もしシステムが、2次データは1つ以上の悪条件を回避するように装置の移動を提供していないと判断した場合、システムは、1つ以上の悪条件の存在中に装置の移動のための前回保存したデータにアクセスし(810)、前回保存したデータが1つ以上の悪条件を回避するように装置の移動を提供するかを判断することによって、前回保存したデータを認証する(812)。
システムは、ロジックデータの評価に基づいて、1次データ、2次データ、前回保存したデータ、または既定値データを選択する(814)。システムは、ロジックデータを評価して選択を行う優先度セレクタを含んでもよい。ロジックデータは、どのデータが特定の条件下で選択されるかを定義する規則を特定する。1次データは、1次データが安全な方法で計画した経路上での装置の移動を提供するかを判断した後、選択される。2次データは、(i)1次データが安全な方法で計画した経路上での装置の移動を提供しないこと、および(ii)2次データが1つ以上の悪条件を回避するように装置の移動を提供することを判断した後、選択される。前回保存したデータは、(i)1次データが安全な方法で計画した経路上での装置の移動を提供しないこと、(ii)2次データが1つ以上の悪条件を回避するように装置の移動を提供しないこと、および(ii)前回保存したデータが1つ以上の悪条件を回避するように装置の移動を提供することを判断した後、選択される。既定値データは、装置によって実施される既定動作を特定する。既定値データは、(i)1次データが安全な方法で計画した経路上での装置の移動を提供しないこと、(ii)2次データが1つ以上の悪条件を回避するように装置の移動を提供しないこと、(iii)前回保存したデータが1つ以上の悪条件を回避するように装置の移動を提供しないことを判断した後、選択される。
システムは、選択された1次データ、2次データ、前回保存したデータ、または既定値データを、装置の移動を制御するコントローラに提供する(816)。
このアーキテクチャの使用は、故障作動自律システムの実装を簡素化し、達成可能にできる。1つ以上のバージョンの高い完全性の自律アルゴリズムを要求する代わりに、低い完全性の自律アルゴリズムが使用できる(例えば、「実行者」モジュールは、安全性を達成するために完全に作動する必要がない)。安全ゲート「点検者」モジュールは、各実行者/点検者ペアの故障沈黙挙動を確保するために使用される。安全ゲートは、高い完全性に開発する必要はなく、一般にはより簡単で、認証が困難である高度な自律アルゴリズムを最小化または排除し、これらを認証するのをより容易にする。さらに、点検者自体は、沈黙して故障できる。故障作動システム挙動は、各アーキテクチャステージにおいて故障沈黙実行者/点検者ペア化機能ブロックの2つ(またはそれ以上)の異なるセットを有することによって達成される。単一のコンポーネントが故障作動である必要がなく、点検者だけが高い完全性である必要がある。
実施形態は、デジタル電子回路、またはコンピュータハードウェア、ファームウェア、ソフトウェア、またはこれらの組合せで実装できる。装置が、プログラマブルプロセッサによる実行のために、機械可読記憶装置に有形的に具現化または格納されたコンピュータプログラム製品に実装でき、方法の動作は、入力データを操作して出力を生成することによって機能を実施する命令のプログラムを実行するプログラム可能なプロセッサによって実施できる。ここに記載された実施形態および本発明の他の実施形態は、データ記憶システム、少なくとも1つの入力装置、および少なくとも1つの出力装置からデータおよび命令を受信し、データ記憶システム、少なくとも1つの入力装置、および少なくとも1つの出力装置へデータおよび命令を送信するように接続された少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上で実行可能な1つ以上のコンピュータプログラムにおいて、好都合に実装できる。各コンピュータプログラムは、高水準の手続き型またはオブジェクト指向のプログラミング言語で、または必要に応じてアセンブリ言語または機械語で実装でき、いずれの場合も、言語は、コンパイルされた言語または解釈された言語でもよい。
コンピュータプログラムの実行に適したプロセッサは、一例として、汎用マイクロプロセッサおよび専用マイクロプロセッサの両方、および任意の種類のデジタルコンピュータのいずれか1つ以上のプロセッサを含む。一般に、プロセッサは、リードオンリメモリまたはランダムアクセスメモリまたはその両方から命令およびデータを受信する。コンピュータの必須要素は、命令を実行するためのプロセッサと、命令およびデータを記憶するための1つ以上のメモリデバイスである。一般に、コンピュータは、データを格納するための1つまたは複数の大容量記憶装置、例えば、磁気ディスク、光磁気ディスク、または光ディスクを含むか、そこからデータを受信するか、そこにデータを転送するか、またはその両方のために動作可能に接続される。コンピュータプログラム命令およびデータを具体化するためのコンピュータ可読媒体は、一例として、EPROM、EEPROM、およびフラッシュメモリデバイスなどの半導体メモリデバイス、磁気ディスク、例えば、内部ハードディスクまたはリムーバブルディスク、光磁気ディスク、およびCD−ROMディスクおよびDVD−ROMディスクを含む、すべての形態の不揮発性メモリを含む。プロセッサおよびメモリは、専用論理回路によって補完でき、あるいはそこに組み込むことができる。前述のいずれも、ASIC(特定用途向け集積回路)によって補完され、またはそこに組み込むことができる。
ユーザとの相互作用を提供するために、実施形態は、ユーザにデータを表示するためのディスプレイ装置、例えば、LCD(液晶ディスプレイ)モニタと、ユーザがコンピュータに入力を提供できるキーボードおよびポインティング装置、例えば、マウスまたはトラックボールを有するコンピュータ上で実装できる。他の種類の装置を使用して、ユーザとの相互作用を提供することもでき、例えば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック、例えば、視覚フィードバック、聴覚フィードバック、または触覚フィードバックでもよく、ユーザからの入力は、音響、音声または触覚入力を含む任意の形態で受信できる。
他の実施形態は、説明請求項の範囲および精神の範囲内である。さらに、ソフトウェアの性質上、上述した機能は、ソフトウェア、ハードウェア、ファームウェア、ハードワイヤリング、またはこれらの任意の組合せを使用して実装できる。機能を実装する特徴はまた、機能の一部が異なる物理的場所に実装されるように分散されることを含む、様々な位置に物理的に配置してもよい。ここでおよび本願全体を通じて用語「a」の使用は、限定的に使用されるものではなく、したがって、用語「a」について、複数の意味または「1つ以上の」意味を排除することを意味しない。さらに、仮特許出願に対して優先権が主張される範囲まで、仮特許出願は限定的ではなく、ここに記載された技術がどのように実装できるかの例を含むことを理解すべきである。
本発明の多数の例示的な実施形態が記載されている。それにもかかわらず、本発明の精神および範囲から逸脱することなく様々な変更が可能であることは当業者には理解されるであろう。

Claims (20)

  1. a)通常システム機能を実施するための1次データを発生する1次ユニットと、
    代替システム機能を実施するための2次データを発生する2次ユニットと、
    1次ユニットに接続された1次安全ゲートであって、1次データの有効性の判断に応答して1次データを1次出力として提供する1次安全ゲートと、
    2次ユニットに接続された2次安全ゲートであって、2次データの有効性の判断に応答して2次データを2次出力として提供する2次安全ゲートと、を備える第1ステージと、
    b)第1ステージの1次安全ゲートおよび2次安全ゲートの両方に接続された出力セレクタであって、1次データおよび2次データの有効性の判断に応答してシステム出力を提供する出力セレクタと、を含む安全性アーキテクチャシステム。
  2. 1次安全ゲートは、2次安全ゲートによって提供される許容範囲に応答して、1次データの有効性を判断する請求項1記載のシステム。
  3. 第2ステージを備える1つ以上の追加のステージをさらに含み、
    第2ステージの第1データ出力は、第1ステージの1次ユニットへの入力を提供し、
    第2ステージの第2データ出力は、第1ステージの2次ユニットへの入力を提供する請求項1記載のシステム。
  4. 2次安全ゲートは、2次データが有効であるかを判断するために、2次データが予め定めた時間ウインドウ内に受信したかを判断する請求項1記載のシステム。
  5. 2次安全ゲートは、2次データの有効性の判断に応答して、2次データを保存するバッファを含む請求項1記載のシステム。
  6. 2次データの無効性の判断に応答して、前回保存した2次データを2次出力として提供する請求項1記載のシステム。
  7. システム出力は、車両を動作させるための制御データを含む請求項1記載のシステム。
  8. 1つ以上のプロセッサによって、通常システム機能を実施するための1次データを発生するステップと、
    1つ以上のプロセッサによって、代替システム機能を実施するための2次データを発生するステップと、
    1つ以上のプロセッサによって、1次データの有効性の判断に応答して1次データを第1ステージの1次出力として提供するステップと、
    1つ以上のプロセッサによって、2次データの有効性の判断に応答して2次データを第1ステージの2次出力として提供するステップと、
    1つ以上のプロセッサによって、1次データおよび2次データの有効性の判断に応答してシステム出力を提供するステップと、を含む方法。
  9. 1次データの有効性を判断することは、許容範囲に応答する、請求項8記載の方法。
  10. 1次データを発生することは、第2ステージの第1データ出力を介して1次入力を受信することを含み、
    2次データを発生することは、第2ステージの第2データ出力を介して2次入力を受信することを含む、請求項8記載の方法。
  11. 2次データの有効性を判断することは、2次データが予め定めた時間ウインドウ内に発生したことを判断することを含む、請求項8記載の方法。
  12. 2次データの有効性の判断に応答して2次データを保存することをさらに含む、請求項8記載の方法。
  13. 2次データの無効性の判断に応答して、前回保存した2次データを第1ステージの第2出力として提供することをさらに含む、請求項8記載の方法。
  14. システム出力は、車両を動作させるための制御データを含む、請求項8記載の方法。
  15. 装置を第1場所から第2場所へ移動するための1次経路データを発生する1次計画者ユニットと、
    1次経路データに従って、装置の移動中に1つ以上の悪条件の存在中に装置を移動するための安全化経路データを発生する安全化計画者ユニットと、
    1次計画者ユニットから1次経路データを受信し、1次経路データが、安全な方法で1次経路データに従って装置の移動を提供するかを判断し、1次経路データが、安全な方法で1次経路データに従って装置の移動を提供するという判断に応答して、1次経路データを、検証した1次経路出力として提供する1次計画者安全ゲートと、
    安全化計画者ユニットから安全化経路データを受信し、安全化経路データが1つ以上の悪条件を回避するように装置の移動を提供するかを判断し、安全化経路データが1つ以上の悪条件を回避するように装置の移動を提供するという判断に応答して、安全化経路データを、検証した安全化経路出力として提供する安全化計画者安全ゲートと、
    検証した1次経路出力を受信し、検証した1次経路出力に基づいて、装置の現在通過点から1次軌道データを発生する1次軌道遂行者ユニットと、
    検証した安全化経路出力を受信し、検証した安全化経路出力に基づいて、装置の現在通過点から安全化軌道データを発生する安全化軌道遂行者ユニットと、
    1次軌道遂行者ユニットから1次軌道データを受信し、1次軌道データが装置の現在状態と一致するかを判断し、1次軌道データが装置の現在状態と一致するという判断に応答して、1次軌道データを、検証した1次軌道出力として提供する1次軌道安全ゲートと、
    安全化軌道遂行者ユニットから安全化軌道データを受信し、安全化軌道データが装置の現在状態と一致するかを判断し、安全化軌道データが装置の現在状態と一致するという判断に応答して、安全化軌道データを、検証した安全化軌道出力として提供する安全化軌道安全ゲートと、
    検証した1次軌道出力を受信するために1次軌道遂行者ユニットに接続され、検証した安全化軌道出力を受信するために安全化軌道遂行者ユニットに接続され、制御データを提供するためにコントローラに接続された優先度セレクタと、を含み、
    優先度セレクタは、制御データとして、検証した1次軌道出力を受信した場合は検証した1次軌道出力、検証した安全化軌道出力だけを受信した場合は検証した安全化軌道出力、または、検証した1次軌道出力も検証した安全化軌道出力も受信しない場合は既定値出力のうちの1つを提供する、システム。
  16. 安全化軌道遂行者ユニットは、最小加速度、最大加速度、最小減速度、最大減速度、最小曲率変化率および最大曲率変化率を特定する許容範囲を発生し、
    1次軌道安全ゲートは、1次軌道データが許容範囲によって特定される値の範囲内にあるかを判断して、1次軌道データが装置の現在状態と一致するかを判断し、1次軌道データが許容範囲によって特定される値の範囲内にあるという判断に応答して、検証した1次軌道出力を提供する、請求項15記載のシステム。
  17. 安全化軌道安全ゲートは、安全化軌道データが装置の現在状態と一致するかを判断するために、安全化軌道データが予め定めた時間ウインドウ内に受信したかを判断する、請求項15記載のシステム。
  18. 安全化軌道安全ゲートは、安全化軌道データが装置の現在状態と一致するという判断に応答して、安全化軌道データを保存するバッファを含む、請求項15記載のシステム。
  19. 安全化軌道安全ゲートは、安全化軌道データが装置の現在状態と一致しないという判断に応答して、前回保存した安全化軌道データにアクセスし、前回保存した安全化軌道データが装置の現在状態と一致するかを判断し、前回保存した安全化軌道データが装置の現在状態と一致するという判断に応答して、前回保存した安全化軌道データを、検証した安全化軌道出力として提供する、請求項15記載のシステム。
  20. 装置は車両を含み、
    1つ以上の悪条件は、1次経路データに従って装置の移動を禁止する条件、または、達成できない1次経路データに従って装置の移動を行う車両のコンポーネントの故障、の少なくとも1つを含む、請求項15記載のシステム。
JP2018535143A 2016-01-05 2017-01-05 自律走行車両のための安全性アーキテクチャ Pending JP2019509541A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662387804P 2016-01-05 2016-01-05
US62/387,804 2016-01-05
PCT/US2017/012321 WO2017155598A2 (en) 2016-01-05 2017-01-05 A safety architecture for autonomous vehicles

Publications (1)

Publication Number Publication Date
JP2019509541A true JP2019509541A (ja) 2019-04-04

Family

ID=59790836

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018535143A Pending JP2019509541A (ja) 2016-01-05 2017-01-05 自律走行車両のための安全性アーキテクチャ

Country Status (6)

Country Link
US (1) US10962972B2 (ja)
EP (1) EP3400676B1 (ja)
JP (1) JP2019509541A (ja)
CN (1) CN109417477B (ja)
ES (1) ES2800321T3 (ja)
WO (1) WO2017155598A2 (ja)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10962972B2 (en) 2016-01-05 2021-03-30 Carnegie Mellon University Safety architecture for autonomous vehicles
US10571908B2 (en) 2016-08-15 2020-02-25 Ford Global Technologies, Llc Autonomous vehicle failure mode management
US10611381B2 (en) * 2017-10-24 2020-04-07 Ford Global Technologies, Llc Decentralized minimum risk condition vehicle control
SG11202005025UA (en) * 2017-11-28 2020-06-29 Elta Systems Ltd Failure detection in an autonomous vehicle
US11150663B2 (en) 2018-01-26 2021-10-19 Nvidia Corporation Detection of hazardous driving using machine learning
US10726645B2 (en) 2018-02-16 2020-07-28 Ford Global Technologies, Llc Vehicle diagnostic operation
DE102018205242A1 (de) * 2018-04-09 2019-10-10 Bayerische Motoren Werke Aktiengesellschaft Bewegungsplanung mittels invariant sicherer Zustände eines Kraftfahrzeugs
US10990096B2 (en) * 2018-04-27 2021-04-27 Honda Motor Co., Ltd. Reinforcement learning on autonomous vehicles
EP3588226B1 (en) * 2018-06-29 2020-06-24 Zenuity AB Method and arrangement for generating control commands for an autonomous road vehicle
US20180348771A1 (en) * 2018-07-26 2018-12-06 GM Global Technology Operations LLC Stop contingency planning during autonomous vehicle operation
CN109255181B (zh) * 2018-09-07 2019-12-24 百度在线网络技术(北京)有限公司 一种基于多模型的障碍物分布仿真方法、装置以及终端
FR3086075B1 (fr) * 2018-09-19 2021-09-10 Transdev Group Systeme electronique de supervision d'un vehicule autonome, procede et programme d'ordinateur associes
DE102018222720B4 (de) * 2018-12-21 2022-01-05 Continental Teves Ag & Co. Ohg Überwachung von auf neuronalen Netzwerken basierten Fahrfunktionen
EP3712720B1 (de) * 2019-03-21 2021-10-27 Siemens Aktiengesellschaft Verfahren und vorrichtung zur ansteuerung einer technischen anlage mittels einer adaptiven simplex architektur
US11142212B2 (en) 2019-06-06 2021-10-12 Nxp B.V. Safety-aware comparator for redundant subsystems in autonomous vehicles
KR20210010761A (ko) 2019-07-19 2021-01-28 삼성전자주식회사 시스템 온 칩 및 그 동작 방법
US11378962B2 (en) * 2019-07-22 2022-07-05 Zoox, Inc. System and method for effecting a safety stop release in an autonomous vehicle
EP4003673A4 (en) * 2019-07-26 2023-08-23 Fort Robotics, Inc. SYSTEMS AND PROCEDURES FOR SAFETY-READY CONTROL
US11397434B2 (en) 2019-08-13 2022-07-26 Zoox, Inc. Consistency validation for vehicle trajectory selection
US11914368B2 (en) 2019-08-13 2024-02-27 Zoox, Inc. Modifying limits on vehicle dynamics for trajectories
JP2022544376A (ja) 2019-08-13 2022-10-18 ズークス インコーポレイテッド 軌道のためのビークルダイナミクスに対する制限の修正
US11458965B2 (en) 2019-08-13 2022-10-04 Zoox, Inc. Feasibility validation for vehicle trajectory selection
US11407409B2 (en) * 2019-08-13 2022-08-09 Zoox, Inc. System and method for trajectory validation
DE102020215778A1 (de) * 2020-12-14 2022-06-15 Continental Automotive Gmbh Verfahren zur Planung eines zumindest teilweise automatisierten Fahrvorgangs mittels eines Fahrassistenzsystems
US11451492B2 (en) * 2020-12-22 2022-09-20 Honeywell International Inc. Methods, systems, and apparatuses for enhanced parallelism of time-triggered ethernet traffic using interference-cognizant network scheduling
CN112947594B (zh) * 2021-04-07 2023-08-04 东北大学 一种面向无人机的航迹规划方法
US20230132512A1 (en) * 2021-10-29 2023-05-04 Zoox, Inc. Autonomous vehicle trajectory determination based on state transition model
DE102022203259A1 (de) 2022-04-01 2023-10-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Absichern von automatischen Fahrfunktionen eines Kraftfahrzeugs
DE102022203252A1 (de) 2022-04-01 2023-10-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Absichern des autonomen Fahrens eines Kraftfahrzeugs

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS4861886A (ja) * 1971-12-02 1973-08-29
US20050075784A1 (en) * 2003-10-07 2005-04-07 Gray Sarah Ann Modular path planner
JP2008052473A (ja) * 2006-08-24 2008-03-06 Nippon Telegr & Teleph Corp <Ntt> 水中ロボットの動作制御方法、装置、プログラム及びその記録媒体
US20080234861A1 (en) * 2004-01-16 2008-09-25 Abb Ab Control System, Method and Computer Program For Synchronizing Several Robots
US20090292422A1 (en) * 2008-05-20 2009-11-26 David Eiswerth Fail-safe apparatus and method for disposal of automobile pyrotechnic safety devices
JP2010274880A (ja) * 2009-06-01 2010-12-09 Nissan Motor Co Ltd 車両の走行制御装置および車両の走行制御方法
US20150280919A1 (en) * 2012-10-25 2015-10-01 Bae Systems Plc Control systems for unmanned vehicles
US20150360684A1 (en) * 2014-06-17 2015-12-17 Fuji Jukogyo Kabushiki Kaisha Travel control apparatus for vehicle
WO2017155598A2 (en) * 2016-01-05 2017-09-14 Philip Koopman A safety architecture for autonomous vehicles

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2162093B1 (ja) * 1971-12-02 1977-04-08 Hitachi Ltd
US5613162A (en) * 1995-01-04 1997-03-18 Ast Research, Inc. Method and apparatus for performing efficient direct memory access data transfers
US8140358B1 (en) * 1996-01-29 2012-03-20 Progressive Casualty Insurance Company Vehicle monitoring system
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system
ATE418718T1 (de) * 2001-03-16 2009-01-15 Haptica Ltd Fahrzeugführungsverfahren und -system
US7146260B2 (en) * 2001-04-24 2006-12-05 Medius, Inc. Method and apparatus for dynamic configuration of multiprocessor system
FR2883998A1 (fr) * 2005-04-05 2006-10-06 St Microelectronics Sa Coprocesseur securise comprenant un circuit de detection d'un evenement
BRPI0706613A2 (pt) 2006-01-17 2011-04-05 Gulfstream Aerospace Corp aparelho e método para controle de backup em um sistema de controle de vÈo distribuìdo
US8108092B2 (en) * 2006-07-14 2012-01-31 Irobot Corporation Autonomous behaviors for a remote vehicle
US8373581B2 (en) * 2007-06-19 2013-02-12 Magna Electronics, Inc. Mobile control node system and method for vehicles
CN101770221B (zh) * 2008-12-30 2012-01-04 中国科学院自动化研究所 基于现场总线的双臂巡线机器人控制系统
DE102010013349B4 (de) 2010-03-30 2013-06-13 Eads Deutschland Gmbh Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
DE102011117113A1 (de) 2011-10-27 2013-05-02 Diehl Bgt Defence Gmbh & Co. Kg Verfahren zum Betrieb einer Steuereinrichtung zum wenigstens teilweise autonomen Betrieb eines Fahrzeugs und Steuereinrichtung zur Durchführung solch eines Verfahrens
DE102012212304A1 (de) 2012-07-13 2014-01-16 Siemens Aktiengesellschaft Anordnung mit einem Mikroprozessorsystem
CN103888493B (zh) * 2012-12-20 2018-03-23 腾讯科技(深圳)有限公司 信息推送方法及装置
EP2787401B1 (en) 2013-04-04 2016-11-09 ABB Schweiz AG Method and apparatus for controlling a physical unit in an automation system
CN104035438A (zh) * 2013-11-14 2014-09-10 扬州西岐自动化科技有限公司 一种基于种群多样性的自适应多目标机器人避障算法
US9934377B2 (en) * 2015-11-20 2018-04-03 Atmel Corporation Input/output parameter selection

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS4861886A (ja) * 1971-12-02 1973-08-29
US20050075784A1 (en) * 2003-10-07 2005-04-07 Gray Sarah Ann Modular path planner
US20080234861A1 (en) * 2004-01-16 2008-09-25 Abb Ab Control System, Method and Computer Program For Synchronizing Several Robots
JP2008052473A (ja) * 2006-08-24 2008-03-06 Nippon Telegr & Teleph Corp <Ntt> 水中ロボットの動作制御方法、装置、プログラム及びその記録媒体
US20090292422A1 (en) * 2008-05-20 2009-11-26 David Eiswerth Fail-safe apparatus and method for disposal of automobile pyrotechnic safety devices
JP2010274880A (ja) * 2009-06-01 2010-12-09 Nissan Motor Co Ltd 車両の走行制御装置および車両の走行制御方法
US20150280919A1 (en) * 2012-10-25 2015-10-01 Bae Systems Plc Control systems for unmanned vehicles
US20150360684A1 (en) * 2014-06-17 2015-12-17 Fuji Jukogyo Kabushiki Kaisha Travel control apparatus for vehicle
WO2017155598A2 (en) * 2016-01-05 2017-09-14 Philip Koopman A safety architecture for autonomous vehicles

Also Published As

Publication number Publication date
US10962972B2 (en) 2021-03-30
WO2017155598A2 (en) 2017-09-14
EP3400676A2 (en) 2018-11-14
CN109417477A (zh) 2019-03-01
WO2017155598A3 (en) 2018-09-20
EP3400676B1 (en) 2020-04-01
US20190056735A1 (en) 2019-02-21
CN109417477B (zh) 2021-12-21
EP3400676A4 (en) 2019-03-13
ES2800321T3 (es) 2020-12-29

Similar Documents

Publication Publication Date Title
JP2019509541A (ja) 自律走行車両のための安全性アーキテクチャ
US10359772B2 (en) Fault-tolerant method and device for controlling an autonomous technical system through diversified trajectory planning
US9656387B2 (en) Human augmentation of robotic work
Heß et al. Formal verification of maneuver automata for parameterized motion primitives
US20230303095A1 (en) Autonomous vehicle safety platform system and method
JP2020534203A (ja) 複数の制御車線を用いた自律車両の耐障害制御
Hafner et al. Automated vehicle-to-vehicle collision avoidance at intersections
Lygeros et al. A fault tolerant control architecture for automated highway systems
Althoff et al. Online safety verification of trajectories for unmanned flight with offline computed robust invariant sets
US10571920B2 (en) Fault-tolerant method and device for controlling an autonomous technical system based on a consolidated model of the environment
Noh et al. Co‐pilot agent for vehicle/driver cooperative and autonomous driving
Krook et al. Design and formal verification of a safe stop supervisor for an automated vehicle
Stahl et al. Online verification concept for autonomous vehicles–illustrative study for a trajectory planning module
Chen et al. Verifiable control of robotic swarm from high-level specifications
JP6900981B2 (ja) 予見安全性を備える車両制御システム、および予見安全性を備える車両制御方法
Johnson et al. Experimental Evaluation and Formal Analysis of High‐Level Tasks with Dynamic Obstacle Anticipation on a Full‐Sized Autonomous Vehicle
Ji et al. Supervisory fault adaptive control of a mobile robot and its application in sensor-fault accommodation
Albore et al. Skill-based architecture development for online mission reconfiguration and failure management
Huang et al. Development and validation of an automated steering control system for bus revenue service
Li et al. Safe linear temporal logic motion planning in dynamic environments
Buerkle et al. Towards online environment model verification
Lyons et al. A software tool for the design of critical robot missions with performance guarantees
Schumann et al. Model-based system health management and contingency planning for autonomous UAS
Wongpiromsarn et al. Distributed mission and contingency management for the DARPA urban challenge
Lin et al. Safe and resilient practical waypoint-following for autonomous vehicles

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210525

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210914