JP2020097352A - 電子制御装置および車載システム - Google Patents

電子制御装置および車載システム Download PDF

Info

Publication number
JP2020097352A
JP2020097352A JP2018237081A JP2018237081A JP2020097352A JP 2020097352 A JP2020097352 A JP 2020097352A JP 2018237081 A JP2018237081 A JP 2018237081A JP 2018237081 A JP2018237081 A JP 2018237081A JP 2020097352 A JP2020097352 A JP 2020097352A
Authority
JP
Japan
Prior art keywords
vehicle
failure
electronic control
operation mode
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018237081A
Other languages
English (en)
Other versions
JP7111606B2 (ja
Inventor
博史 篠田
Hiroshi Shinoda
博史 篠田
坂本 英之
Hideyuki Sakamoto
英之 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2018237081A priority Critical patent/JP7111606B2/ja
Priority to US17/414,795 priority patent/US11787425B2/en
Priority to PCT/JP2019/045370 priority patent/WO2020129523A1/ja
Priority to CN201980082587.6A priority patent/CN113195330A/zh
Publication of JP2020097352A publication Critical patent/JP2020097352A/ja
Application granted granted Critical
Publication of JP7111606B2 publication Critical patent/JP7111606B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/035Bringing the control units into a predefined state, e.g. giving priority to particular actuators
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00186Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/0215Sensor drifts or sensor failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0297Control Giving priority to different actuators or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

【課題】自動運転ECUに障害が発生しても、自車両を安全な退避場所へ移動させる、高度な自動運転システムを低コストかつ高信頼に実現すること。【解決手段】自動運転ECU1は、複数のセンサ61からセンシングデータを受け取ることが可能な少なくとも二つのマイコン10、30と、複数のセンサ61又はマイコン10、30の故障を検知する故障検知部11、31と、通常動作モードと縮退動作モードとを選択するモード選択部33と、故障検知部31により検知された故障箇所、又はセンシングデータから算出した自車両の周辺状況に基づいてセンサ61を選択するセンサ選択部と、を備えている。少なくとも二つのマイコン10、30のいずれかは、縮退動作モードの場合に、センサ選択部により選択されたセンサ61から受け取るセンシングデータを用いて、アクチュエータを動作させる駆動信号を生成する。【選択図】図1

Description

本発明は、電子制御装置および車載システムに関する。
自動運転システムは、事故件数低減や渋滞解消等のさまざまな社会的課題を解決し得るシステムであり、世界的にその実用化に向けた取組みが年々活発化している。高レベルの自動運転システムには、自動運転を制御する上位の制御装置である自動運転ECU(Electronic Control Unit:電子制御装置)に障害が発生した場合、ドライバに操作を引き渡すまで、あるいは自車両が安全な場所に移動して停止するまでの期間、動作を継続することが求められる。
特許文献1には、個々のコントローラの冗長度を必要以上に上げることなく、システム全体でエラーをバックアップすることにより、簡潔なECUの構成で、低コストで、高い信頼性とリアルタイム性と拡張性とを確保した車両制御装置が開示されている。
具体的には、車両を制御するアクチュエータを作動させるアクチュエータコントローラが、上位コントローラが生成する制御目標値に異常が生じたときに、センサコントローラのセンサ値に基づいて制御目標値を生成する制御目標値生成手段を有し、前記制御目標値生成手段によって生成した制御目標値によってアクチュエータを制御するという、フェールオペレーショナルな車両制御システムが開示されている。なお、ここでのセンサ値とは、操舵角、ブレーキペダル位置、アクセルペダル位置などのドライバからの要求信号を指している。
特開2016−196295号公報
自動運転ECUに障害が発生したときに一定期間の動作を継続するためには、例えば、システムの多重化や動作監視を用いた冗長化等が考えられる。しかし、自動運転ECUには、演算負荷が高く高性能な計算機が用いられることから、冗長化によるコスト増大は免れない。
一方、特許文献1に開示された車両制御システムは、単純なシステム多重化に伴うコスト増大を回避したシステム構成である。しかし、この車両制御システムは、センシングによる車両制御を目的としており、自動運転システムに必要な自車両周辺の環境を認識するセンサを含んでいない。したがって、車両制御システムが自動運転システムに適用されても、装置自体に障害が発生したときに、自車両を安全な場所まで移動させる等の適切な措置を取ることができない。
本発明は、上記の点に鑑みてなされたものであり、自動運転ECUに障害が発生しても、自車両を安全な退避場所へ移動させる、高度な自動運転システムを低コストかつ高信頼に実現することを目的とする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
本発明の代表的な実施の形態による電子制御装置は、複数のセンサからセンシングデータを受け取ることが可能な少なくとも二つのマイコンと、複数のセンサ又はマイコンの故障を検知する故障検知部と、故障検知部による検知結果に応じて、通常動作モードと縮退動作モードとを選択するモード選択部と、故障検知部により検知された故障箇所、又はセンシングデータから算出した自車両の周辺状況に基づいてセンサを選択するセンサ選択部と、を備えている。少なくとも二つのマイコンのいずれかは、縮退動作モードの場合に、センサ選択部により選択されたセンサから受け取るセンシングデータを用いて、アクチュエータを動作させる駆動信号を生成し、駆動信号をアクチュエータに送信する。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
すなわち、本発明の代表的な実施の形態によれば、自動運転ECUに障害が発生しても、自車両を安全な退避場所へ移動させる、高度な自動運転システムを低コストかつ高信頼に実現することが可能となる。
本発明の実施の形態1に係る車載システムの構成の一例を示すブロック図である。 自車両の縮退動作の一例を示す図である。 縮退動作モード時における外界センサの切り換え動作の一例を示す図である。 本発明の実施の形態2に係る車載システムの電源系統の一例を示す図である。 本発明の実施の形態3に係る車載システムの構成の一例を示すブロック図である。 本発明の実施の形態4に係る車載システムの構成の一例を示すブロック図である。
以下の実施の形態において、便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらはお互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。
また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でもよい。さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全ての図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。
(実施の形態1)
<電子制御装置及び車載システムの構成>
本実施の形態に係る自動運転ECU(電子制御装置)及び車載システムは、故障が発生した場合、動作モードを通常動作モードから縮退動作モードに切り換え、自車両を安全な退避場所まで移動させ、停止させる。
図1は、本発明の実施の形態1に係る車載システムの構成の一例を示すブロック図である。車載システム101は、自動運転ECU1、外界センサ群60、アクチュエータ群80を備えている。
なお、図1では、各ブロック間で送受信されるデータ(例えば、センシングデータ、制御信号、駆動信号)がメイン情報として実線で示されており、後述するフュージョンMCU10および制御MCU20、30による故障検知に関するデータ(例えば、検知結果)が、監視情報として破線で示されている。これらのメイン情報及び監視情報については、後述の実施の形態における図4〜6においても同様である。
外界センサ群60は、複数の外界センサ(センサ)61(例えば61a〜61d等)を備えている。それぞれの外界センサ61は、自車両の外界状況をセンシングデータとして取得し、取得したセンシングデータを自動運転ECU1へ送信する機能ブロックである。外界センサ61は、例えば、カメラ、レーダ、レーザレーダ等を備えている。外界センサ61は、これらすべてを含んでもよいし、これらの一部のみを含んでもよい。
外界センサ61の検知可能範囲は、センサごとに異なり、例えば、自車両の前方、後方、側方、200mを超える遠方、10m以下の極近傍等である。外界センサ61のセンシングデータには、ランドマーク、自車両周辺の他車両、歩行者等の各障害物の位置情報等が含まれる。
アクチュエータ群80は、自車両を駆動する複数のアクチュエータ(図1では81a〜83a、81b〜83b等)を含む。アクチュエータは、例えば、エンジン、ブレーキ、ヨーレートを制御するパワーステアリング、これらを駆動させる機構等である。
図1のアクチュエータ群80は、例えば2つのアクチュエータ群からなる。図1の上段に示されるアクチュエータ81a〜83a等は、第1のアクチュエータ群80aを構成し、図1の下段に示されるアクチュエータ81b〜83b等は、第2のアクチュエータ群80bを構成する。
第1のアクチュエータ群80a及び第2のアクチュエータ群80bは、一対のアクチュエータ群となっている。例えば、アクチュエータ81a、81bは、同一の機能を有する一対のアクチュエータである。同様に、アクチュエータ82a、82bや、アクチュエータ83a、83b等も、それぞれ同一の機能を有する一対のアクチュエータである。第1のアクチュエータ群80aの各アクチュエータは、後述する自動運転ECU1の制御MCU(第2の論理回路ユニット)20により制御され、第2のアクチュエータ群80bの各アクチュエータは、自動運転ECU1の制御MCU(マイコン、第2の論理回路ユニット)30により制御される。このように、本実施の形態の車載システム1では、各機能のアクチュエータが二重化されている。
<<自動運転ECU1>>
自動運転ECU1は、自車両の自動運転に関わる処理を行う装置である。自動運転ECU1は、図1に示すように、フュージョンMCU(マイコン、第1の論理回路ユニット)10、制御MCU20、30、メモリ40を備えている。フュージョンMCU10、制御MCU20、30は、CPU(Central Processing Unit)、RAM(Random Access Memory)等を備えている。フュージョンMCU10、制御MCU20、30に含まれる各機能ブロックは、ハードウェア又はソフトウェアのみで実現されてもよいし、ハードウェア及びソフトウェアを組み合わせて実現されてもよい。フュージョンMCU10、制御MCU20、30の構成については、後で詳しく説明する。なお、フュージョンMCU10、制御MCU20、30には、図示しない通信器がそれぞれ設けられており、通信器を介してデータ等の送受信が行われる。通信器は、各マイコンの中に設けられてもよいし、マイコンの外に設けられてもよい。
<<<フュージョンMCU10>>>
フュージョンMCU10は、自動運転に関わる主要な演算を行うユニットである。通常動作モードでは、フュージョンMCU10の演算結果に基づいて自車両の自動運転が行われる。フュージョンMCU10は、後述する他の制御MCU20、30よりも高負荷の演算を行う。このため、フュージョンMCU10には、処理能力に優れた高性能のCPUが搭載される。フュージョンMCU10は、図1に示すように、故障検知部(第1の故障検知部)11、センサフュージョン部12、行動予測部13、及び軌道計画部14を備えている。
センサフュージョン部12は、複数の外界センサ61のセンシングデータを取得し、取得したセンシングデータに基づいて自車両の周辺状況(第1の周辺状況)を抽出する。具体的に述べると、センサフュージョン部12は、取得したセンシングデータから、他車両及び歩行者等の障害物や、ランドマークの位置を抽出する。センサフュージョン部12は、ランドマークや障害物の位置と、地図情報とを照らし合わせることにより、ランドマーク、障害物、自車両の位置合わせを行う。このとき、センサフュージョン部12は、ランドマークを基準とした相対位置を算出することにより、各障害物や自車両の位置合わせを行ってもよい。
そして、センサフュージョン部12は、位置合わせの結果に基づき、地図情報に自車両や障害物をプロットする。これにより、地図情報における自車両や障害物の位置が確定する。
自車両や障害物の位置が確定すると、行動予測部13は、自車両の周辺状況(例えば自車両や障害物の位置関係)に基づいて障害物の行動を予測し、障害物の行動に伴うリスク情報を含むダイナミック地図(第1のダイナミック地図)を構築する。ダイナミック地図には、所定時間(例えば10秒)のリスク情報が含まれる。構築されたダイナミック地図は、メモリ40に格納される。
自動運転中、行動予測部13は、ダイナミック地図を更新し、最新のダイナミック地図をメモリ40に格納する。その際、メモリ40は、最新のダイナミック地図を含めた複数のダイナミック地図を格納してもよい。
軌道計画部14は、ダイナミック地図及び予め設定された自車両の目的地に基づく運転計画(第1の運転計画)を作成する。軌道計画部14は、生成した運転計画を制御MCU20、30へ送信する。自車両の目的地は、例えば、カーナビゲーション装置等の上位装置において設定され、上位装置から自動運転ECU1へ送信される。
故障検知部11は、外界センサ群60に含まれるそれぞれの外界センサ61(例えば61a〜61d等)の状態を検知し、故障の有無を診断する。また、故障検知部11は、制御MCU20、30の状態を検知し、故障の有無を診断する。故障検知部11は、ウォッチドッグタイマを用いて故障診断を行ってもよいし、センシングデータの判定により故障診断を行ってもよい。故障検知部11は、外界センサ61、制御MCU20、30の故障を検知すると、検知結果として故障検知信号を制御MCU30へ送信する。このとき、故障検知信号とともに、故障箇所を特定する情報が制御MCU30へ送信されてもよい。
なお、フュージョンMCU10は、各機能ブロックで実行される演算処理のうち、軽負荷の演算処理を制御MCU20、30に行わせてもよい。これにより、フュージョンMCU10の負荷が軽減される。
<<<制御MCU20>>>
制御MCU20、及び後述する制御MCU30は、アクチュエータ群80に含まれる各アクチュエータを駆動する機能ブロックである。制御MCU20は、図1に示すように、故障検知部(第2の故障検知部)21、車両制御部22を備えている。
故障検知部21は、フュージョンMCU10、制御MCU(他の第2の論理回路ユニット)30の状態を検知し、故障の有無を診断する。故障検知部21は、フュージョンMCU10、30の故障を検知すると、故障検知信号を制御MCU30へ送信する。このとき、故障検知信号とともに、故障箇所を特定する情報が制御MCU30へ送信されてもよい。
車両制御部22は、通常動作モードのとき、フュージョンMCU10から送信される運転計画に基づいて、第1のアクチュエータ群80aに含まれる各アクチュエータ(81a〜83a等)を駆動する。車両制御部22の動作については、後で詳しく説明する。
<<<制御MCU30>>>
制御MCU30は、図1に示すように、故障検知部(第2の故障検知部)31、車両制御部32、モード選択部33、縮退演算部34を備えている。故障検知部31は、フュージョンMCU10、制御MCU20の状態を検知し、故障の有無を診断する。また、故障検知部31は、メモリ40の状態を検知し、故障の有無を診断する。故障検知部31は、フュージョンMCU10、制御MCU20、外界センサ61の故障を検知すると、故障検知信号をモード選択部33へ送信する。このとき、故障検知信号とともに、故障箇所を特定する情報が制御MCU30へ送信されてもよい。本実施の形態では、フュージョンMCU10、制御MCU20、30のそれぞれに故障検知部が設けられており、各所において複数の故障検知部による故障検知が行われる。
モード選択部33は、自動運転ECU1の動作モードを切り換える機能ブロックである。例えば、モード選択部33は、故障検出信号を受信すると、自動運転ECU1の動作モードを通常動作モードから縮退動作モードに切り換える。モード選択部33は、外界センサ群60に含まれる複数の外界センサと接続されている。縮退動作モードでは、モード選択部33は、複数ある外界センサから一部の外界センサのみを選択し、選択した外界センサのセンシングデータを取得し、縮退演算部34へ送信する。言い換えると、モード選択部33は、選択する外界センサを時系列で選択しながらセンシングデータを取得する。
縮退演算部34は、縮退動作モードのとき、自車両を現在地から安全な退避場所(安全位置)まで移動させる縮退動作に関わる演算処理を行う機能ブロックである。なお、縮退動作モードにおける処理については、後で詳しく説明する。
車両制御部32は、通常動作モードのとき、フュージョンMCU10から送信される運転計画に基づいて、第2のアクチュエータ群80bに含まれる各アクチュエータ(81b〜83b等)を駆動する駆動信号を生成し、生成した駆動信号を各アクチュエータへ送信する。一方、縮退動作モードのとき、車両制御部32は、縮退演算部34から送信される運転計画(第2の運転計画)に基づいて、各アクチュエータ(81b〜83b等)を駆動する駆動信号を生成し、生成した駆動信号を各アクチュエータへ送信する。。車両制御部22の動作については、後で詳しく説明する。
<<<メモリ40>>>
メモリ40は、フュージョンMCU10で構築された最新のダイナミック地図や、故障検知部11、21、31による検知結果等の各種情報を格納する機能ブロックである。また、メモリ40は、自動運転ECU1の動作に必要なプログラム、テーブル、ファイル、設定情報等の各種情報を格納する。なお、メモリ40は、縮退演算部34により構築されるダイナミック地図(第2のダイナミック地図、詳しくは後述する)を格納してもよい。
メモリ40は、図1に示すように複数のメモリ(第1メモリ41、第2メモリ42)を備え、第1メモリ41、第2メモリ42は、同一の情報をそれぞれ格納する。このように、メモリ40は、第1メモリ41、第2メモリ42により二重化されている。第1メモリ41は、例えば、フュージョンMCU10、制御MCU20に対応しており、第2メモリ42は、制御MCU30に対応している。例えば、第1メモリ41は、故障検知部11、21による検知結果を格納し、第2メモリ42は、故障検知部31による検知結果を格納する。
なお、プログラム、テーブル、ファイル等の各種情報は、メモリ40とは異なるハードディスク、SSD(Solid State Drive)等の記録装置や、ICカード、SDカード、DVD等の記録媒体に格納されてもよい。
<<通常動作モード時の処理>>
次に、通常動作モード時の処理について説明する。まず、自車両の搭乗者は、カーナビゲーション装置等の上位装置を操作し、自車両の目的地を設定する。その際、搭乗者は目的地と併せて経由地も設定してよい。設定された目的地や経由地は、自動運転ECU1のフュージョンMCU10に送信される。
各外界センサ61は、自車両周辺のセンシングを開始し、センシングデータをフュージョンMCU10へ送信する。センサフュージョン部12は、受信したセンシングデータに基づいて、自車両の周辺状況(例えば、他車両及び歩行者等の障害物や、ランドマークの位置)を抽出する。センサフュージョン部12は、ランドマークや障害物の位置と、地図情報とを照らし合わせることにより、ランドマーク、障害物、自車両の位置合わせを行う。行動予測部13は、自車両の周辺状況に基づいて障害物の行動を予測し、リスク情報を含むダイナミック地図を構築する。
軌道計画部14は、ダイナミック地図及び設定された目的地に基づいて自車両の運転計画を生成し、生成した運転計画を制御MCU20、30へ送信する。また、軌道計画部14は、生成した運転計画をメモリ40に格納する。
制御MCU20、30の車両制御部22、32は、フュージョンMCU10から送信された運転計画に基づき自動運転プロファイル(第1の自動運転プロファイル)を生成する。ここで生成される自動運転プロファイルには、軌道プロファイル、速度プロファイル、及び舵角プロファイルが含まれる。なお、自動運転プロファイルには、他のプロファイルが含まれてもよい。
車両制御部22、32は、生成した自動運転プロファイルに基づきアクチュエータごとの指令値(第1の指令値)を生成し、生成した指令値を対応する各アクチュエータへ送信する。具体的に述べると、車両制御部22は、第1のアクチュエータ群80aに含まれる各アクチュエータに対する指令値を生成し、生成した指令値を第1のアクチュエータ群80aのアクチュエータ81a〜83a等へ送信する。これに対し、車両制御部32は、第2のアクチュエータ群80bに含まれる各アクチュエータに対する指令値を生成し、生成した指令値を第2のアクチュエータ群80bのアクチュエータ81b〜83b等へ送信する。各アクチュエータは、車両制御部22、32から送信される指令値に基づき駆動する。フュージョンMCU10は、これらの処理を繰り返し行うことで自車両の自動運転を行う。
<<縮退動作モード時の処理>>
次に、縮退動作モードについて詳しく説明する。図2は、自車両の縮退動作の一例を示す図である。図2には、故障発生後、自車両Cが現在地から退避場所へ移動するまでの自車両の動きが示されている。現在地202aにおいて故障が発生すると、自車両Cは、位置202bを経由して路肩の安全な退避場所202cへ移動し停車する。縮退動作モードでは、制御MCU30と接続された第2のアクチュエータ群80bの各アクチュエータのみが駆動され、これらのアクチュエータにより、自車両は所定の退避場所まで移動する。
フュージョンMCU10の故障検知部11が、外界センサ61、又はモード選択部及び縮退演算部を備えていない制御MCU20の故障を検知した場合、制御MCU20の故障検知部21が、フュージョンMCU10の故障を検知した場合、制御MCU30の故障検知部31が、フュージョンMCU10、又はモード選択部及び縮退演算部を備えていない制御MCU20の故障を検知した場合、制御MCU30の故障検知部31が、メモリ40の故障を検知した場合、制御MCU30のモード選択部33は、自動運転ECU1の動作モードを通常動作モードから縮退動作モードへ切り換える。例えば、モード選択部33は、フュージョンMCU10、制御MCU20、30のいずれかから故障検知信号を受信すると故障が検知されたと診断し、動作モードを縮退動作モードへ切り換える。
なお、モード選択部33は、それぞれの故障検知部による検知結果の多数決により、通常動作モードと前記縮退動作モードとを選択してもよい。例えば、フュージョンMCU10に対する故障検知を行う場合を例に挙げて説明する。故障検知部21により故障が検知され、故障検知部21により故障が検知されていない場合、故障検知と故障非検知とが同数となるので、モード選択部33は、フュージョンMCU10は故障していないとみなし、引き続き通常動作モードに設定する。
一方、故障検知部21、31の双方により故障が検知された場合、故障検知の数が故障非検知の数より大きくなるので、モード選択部33は、フュージョンMCU10は故障したものとみなし、動作モードを縮退動作モードに切り換える。
動作モードが縮退動作モードに切り換わると、制御MCU30は、フュージョンMCU10、制御MCU20へ縮退動作通知を行い、動作モードが縮退動作モードに切り換わったことをフュージョンMCU10、制御MCU20へ通知する。フュージョンMCU10は、縮退動作通知により、運転計画の生成及び送信を停止し、制御MCU20、30は、運転計画の受信を停止する。また、制御MCU30は、故障が検知されたフュージョンMCU10(他のマイコン)の停止を指示する第1の制御信号を生成し、フュージョンMCU10へ送信する。
そして、自動運転に関わる演算処理は、フュージョンMCU10から制御MCU30へ引き継がれる。縮退演算部34は、メモリ40へアクセスし、故障発生前、すなわち故障が発生したと診断される直前の最新の第1のダイナミック地図を読み出す。縮退演算部34は、メモリ40から読み出した最新の第1のダイナミック地図に基づいて現在地付近に自車両の退避場所を設定する。退避場所は、すでに述べたように、路肩等の安全な場所である。
また、縮退演算部34の処理と並行して、モード選択部33は、外界センサ群60の複数の外界センサから一部の外界センサを選択する。詳しく説明すると、モード選択部33は、選択する外界センサを時系列で切り換えながらセンシングデータを取得する。縮退演算部34は、モード選択部33により選択された外界センサのセンシングデータに基づいて自車両の周辺状況(第2の周辺状況)を抽出する。
図3は、縮退動作モード時における外界センサの切り換え動作の一例を示す図である。図3の横軸は時間軸であり、各時刻において選択される外界センサが時系列で示されている。図2に沿って説明すると、故障発生時、自車両Cは左車線を走行している。そこで、モード選択部33は、例えば、右前方の近距離、正面の遠距離、左前方の近距離、正面の近距離をセンシングする外界センサ(1)〜(4)を順次選択する。また、モード選択部33は、これらの外界センサ(1)〜(4)を繰り返し選択する。自車両Cが退避場所P3まで移動すると、縮退動作は完了し、モード選択部33は、外界センサの選択を停止する。
なお、外界センサ(1)〜(4)の選択順序は、あくまで一例であり、この順序に限定されるものではない。また、選択される外界センサは、これらに限定されるものではなく、走行位置、自車両周辺の障害物の位置、退避場所等の各条件に応じて、自車両を退避場所へ移動させるために必要な外界センサが選択される。また、選択される外界センサの個数は、図3に示す4個に限定されるものではない。また、制御MCU30の処理能力に応じて、モード選択部33は、複数の外界センサを同時に選択してもよい。
縮退演算部34は、最新の第1のダイナミック地図及び第2の周辺状況に基づくダイナミック地図(第2のダイナミック地図)を構築する。このダイナミック地図には、第1のダイナミック地図に含まれるリスク情報が引き継がれる。縮退演算部34は、第2のダイナミック地図及び退避場所に基づく縮退動作用の運転計画(第2の運転計画)を作成し、作成した運転計画を車両制御部32へ送信する。
車両制御部32は、縮退演算部34から送信される運転計画に基づき、縮退動作用の自動運転プロファイル(第2の自動運転プロファイル)を生成する。ここで生成される自動運転プロファイルには、軌道プロファイル、速度プロファイル、及び舵角プロファイル等のプロファイルが含まれる。車両制御部32は、生成した自動運転プロファイルに基づき、第2のアクチュエータ群80bに含まれるアクチュエータに対する指令値(第2の指令値)を生成し、生成した指令値を各アクチュエータ81b〜83b等へ送信する。制御MCU30は、これらの処理を繰り返し行うことで縮退動作モード時における自車両の自動運転を行う。
一方、縮退動作モードでは、第1のアクチュエータ群80aのアクチュエータ81a〜81c等に対する制御は行われない。このため、縮退動作モードでは、一対のアクチュエータのうち一方のアクチュエータしか動作しないため、通常動作モードと比較してアクチュエータの出力が半減することとなる。
ここで述べた縮退動作モードは、フュージョンMCU10、制御MCU20や外界センサ61が故障した場合のいずれについても適用される。ただし、外界センサが故障した場合、モード選択部33は、故障した外界センサを選択対象から除外し、故障していない外界センサのみを選択対象とする。
<<故障したデバイスの復旧処理>>
次に、故障したデバイス(フュージョンMCU10、制御MCU20、30等)の復旧処理について説明する。故障が検知されると、制御信号により動作が停止する。動作が停止したデバイスは、故障の検知結果に基づき、故障箇所を除外して再起動する。例えば、フュージョンMCU10の特定の機能を実現する箇所が故障した場合、その部分を除外してフュージョンMCU10は再起動される。再起動の際、例えば、制御MCU30は、起動を指示する制御信号を生成し、生成した制御信号をフュージョンMCU10へ送信する。故障したデバイスの再起動は、故障箇所の重要性等に応じて、自動運転中に行われてもよいし、自車両が退避場所に停車してから行われてもよい。
<本実施の形態による主な効果>
本実施の形態によれば、動作モードが縮退動作モードに切り換わると、フュージョンMCU10から制御MCU30へ自動運転に関わる演算処理が引き継がれる。制御MCU30は、縮退動作により、自車両Cを現在地202aから退避場所202cへ移動させる。この構成によれば、自動運転ECU1に故障が発生しても、自車両を安全な退避場所へ移動させ停止させることができる。また、この構成によれば、制御MCU20、30には、フュージョンMCU10より処理能力が低いCPUを搭載することができる。これにより、高度な自動運転システムを低コストかつ高信頼に実現することが可能となる。
また、本実施の形態によれば、縮退動作モード時、モード選択部33は、選択する外界センサを時系列に切り換えながらセンシングデータを取得する。このように、選択する外界センサを時分割で切り換えることで、制御MCU30の処理能力が低くても、故障発生時において自車両周辺のセンシングを網羅的に行なうことができ、より安全に退避場所まで自車両を移動させることができる。
また、本実施の形態によれば、モード選択部33は、それぞれの故障検知部による検知結果の多数決により、通常動作モードと縮退動作モードとを選択する。この構成によれば、自動運転における故障箇所の重要性に応じて、動作モードの切り換え方法を自在に設定することが可能となる。
また、本実施の形態によれば、縮退動作モード時、モード選択部33は、走行位置や障害物の位置等、自車両の周辺状況に応じて適切な外界センサを選択する。この構成によれば、縮退動作時における自車両周辺のセンシングを効果的に行なうことができ、より安全に退避場所まで自車両を移動させることができる。
また、本実施の形態によれば、メモリ40は、故障発生直前の最新の第1のダイナミック地図や、故障の検知結果を格納する。この構成によれば、故障発生により、フュージョンMCU10へのアクセスができなくなっても、縮退演算部34は、故障発生前の最新の第1のダイナミック地図を取得することができる。これにより、縮退動作に関わる演算処理が確実に実行され、自動運転を継続して行うことが可能となる。
また、本実施の形態によれば、メモリ40は、同一の情報を格納する第1メモリ41及び第2メモリ42により二重化されている。この構成によれば、縮退演算部34は、いずれかのメモリに故障が発生しても、最新の第1のダイナミック地図を確実に取得することができる。
また、本実施の形態によれば、縮退動作モードに切り換わると、制御MCU30は、フュージョンMCU10、制御MCU20の双方に対し縮退動作通知を行う。この構成によれば、フュージョンMCU10が運転計画の生成、送信を停止できない場合、あるいは制御MCU20が運転計画の受信を停止できない場合にも、第1のアクチュエータ群80aの各アクチュエータの動作を確実に停止させることができる。これにより、縮退動作モード時における自車両の挙動を安定させることができる。
また、本実施の形態によれば、フュージョンMCU10、制御MCU30は、故障が検知された他のマイコンの起動/停止を指示する制御信号を生成し送信する。また、故障が検知されたマイコンは、検知結果に基づき、故障箇所を除外して再起動する。この構成によれば、故障が発生した箇所を自動運転制御から切り離すことができ、故障発生後の縮退動作を安全に行うことが可能となる。また、自動運転に支障を来さない範囲で、故障箇所を含むデバイスを使用することが可能となる。
(実施の形態2)
次に、実施の形態2について説明する。本実施の形態では、複数の電源系統を備えた自動運転ECU及び車載システムについて説明する。図4は、本発明の実施の形態2に係る車載システムの電源系統の一例を示す図である。図4に示す車載システム101は、2つの電源系統D1、D2と接続されている。各電源系統D1、D2は、互いに異なる独立したバッテリ(図示は省略)と接続されている。
電源系統D1は、外界センサ群60の一部の外界センサ(例えば61a〜61c等)、フュージョンMCU10、制御MCU20、メモリ40の第1メモリ41、及び第1のアクチュエータ群80aの各アクチュエータ(81a〜83a等)へ電源を供給する。一方、電源系統D2は、外界センサ群60の一部の外界センサ(例えば61d等)、制御MCU30、メモリ40の第2メモリ42、及び第1のアクチュエータ群80aの各アクチュエータ(81a〜83a等)へ電源を供給する。
故障検知部11、21は、制御MCU30に接続される電源系統D2の電源、通信器、第2メモリ42の故障を検知する。そして、これらの故障の検知結果は第1メモリ41に格納される。そして、フュージョンMCU10は、故障が検知された他のマイコン(制御MCU30)に接続される電源、通信器、又はメモリの停止を指示する制御信号を生成し送信する。制御信号が受信したデバイスは、その動作を停止する。
一方、故障検知部31は、フュージョンMCU10、制御MCU20に接続される電源系統D1の電源、通信器、第1メモリ41の故障を検知する。そして、これらの故障の検知結果は第2メモリ42に格納される。そして、制御MCU30は、故障が検知された他のマイコン(フュージョンMCU10、制御MCU20)に接続される電源、通信器、又はメモリの停止を指示する制御信号を生成し送信する。制御信号が受信したデバイスは、その動作を停止する。
動作が停止したデバイスは、実施の形態1で述べたように、故障の検知結果に基づき、故障箇所を除外して再起動する。故障したデバイスの再起動は、故障箇所の重要性等に応じて、自動運転中に行われてもよいし、自車両が退避場所に停車してから行われてもよい。
フュージョンMCU10及び縮退演算部34を有する制御MCU30は、それぞれ異なる電源と接続されている。これにより、一方のバッテリに故障が発生しても、自動運転ECU1の動作を継続させることが可能となる。
なお、電源の故障検知は、各マイコンの動作状態を検知することでも可能であるし、電源そのものの電気的状態(例えば出力電流、出力電圧、内部抵抗)を監視することでも可能である。また、第1メモリ41及び第2メモリ42も、それぞれ異なる電源と接続されているので、一方のバッテリに故障が発生しても、第1のダイナミック地図を確実に格納することが可能となる。また、故障発生時においても、安全かつ低コストに、自動運転を継続させることが可能となる。
なお、車載システム101は、3以上の電源系統と接続されてもよい。例えば、フュージョンMCU10、制御MCU20、30がそれぞれ異なる電源系統と接続されてもよい。さらには、フュージョンMCU10、制御MCU20、30、第1メモリ41、及び第2メモリ42がそれぞれ異なる電源系統と接続されてもよい。これにより、故障発生時における安全性がより向上する。
(実施の形態3)
次に、実施の形態3について説明する。本実施の形態では、モード選択部及び縮退演算部を備えた制御MCUが複数設けられた自動運転ECU及び車載システムについて説明する。
図5は、本発明の実施の形態3に係る車載システムの構成の一例を示すブロック図である。図5に示す制御MCU20は、故障検知部21、車両制御部22に加え、モード選択部23、縮退演算部24を備えている。制御MCU20は、外界センサ群の各外界センサ61と接続されている。モード選択部23及び縮退演算部24は、制御MCU30のモード選択部33及び縮退演算部34とそれぞれ同様の構成を有している。また、モード選択部23及び縮退演算部24の動作は、モード選択部33及び縮退演算部34とそれぞれ同様である。
実施の形態3では、フュージョンMCU10の故障検知部11及び制御MCU20の故障検知部21は、制御MCU30の故障検知も行う。制御MCU30の故障が検知されると、制御MCU20による縮退動作が実行される。この場合、第1のアクチュエータ群80aに含まれる各アクチュエータ(81a〜83a等)が駆動され、自車両は、退避場所まで移動する。
一方、制御MCU20、30以外の構成要素に故障が発生した場合、制御MCU20、30による縮退動作がそれぞれ実行される。この場合、すべてのアクチュエータが駆動されるので、出力を半減させることなく縮退動作が実行される。これにより、より確実に安全な退避場所まで自車両を移動させることが可能となる。
また、本実施の形態においても、すでに述べた実施の形態2のように、車載システム101は、複数の電源系統と接続されてもよい。この場合、制御MCU20、30は、それぞれ異なる電源系統と接続されていることが好ましい。これによれば、バッテリに故障が発生しても、制御MCU20、30のいずれかには電源が供給されるので、確実に縮退動作が実行される。
(実施の形態4)
次に、実施の形態4について説明する。本実施の形態では、車両運動統合制御装置を備えた自動運転ECU及び車載システムについて説明する。
図6は、本発明の実施の形態4に係る車載システムの構成の一例を示すブロック図である。図4に示す車載システム101は、アクチュエータ群180及び車両運動統合制御装置(VMC:Vehicle Motion Controller)190を備えている。
アクチュエータ群180は、複数のアクチュエータ(例えば180a〜180z等)を有する。各アクチュエータ180a〜180zは、車両運動統合制御装置190と接続されている。
車両運動統合制御装置190は、制御MCU20、30から送信される自動運転プロファイルに基づき、アクチュエータ(180a〜180z)を統合的に制御する機能ブロックである。
車両運動統合制御装置190は、第1車両運動統合制御装置191及び第2車両運動統合制御装置192を有している。第1車両運動統合制御装置191及び第2車両運動統合制御装置192は、同様の機能を有している。言い換えれば、車両運動統合制御装置190は、第1車両運動統合制御装置191及び第2車両運動統合制御装置192により二重化されている。車両運動統合制御装置190は、3個以上のユニットで構成されてもよい。すなわち、車両運動統合制御装置190は、第3車両運動統合制御装置等を備えてもよい。
車載システム101が複数の電源系統と接続されている場合、第1車両運動統合制御装置191及び第2車両運動統合制御装置192は、それぞれ異なる電源系統と接続されていることが好ましい。
車両運動統合制御装置190では、通常は第1車両運動統合制御装置191が用いられ、第1車両運動統合制御装置191に故障が発生すると、第2車両運動統合制御装置192が用いられる。ただし、第2車両運動統合制御装置192が使用され、第2車両運動統合制御装置192に故障が発生したとき、第1車両運動統合制御装置191が使用されてもよい。
制御MCU30の故障検知部31は、車両運動統合制御装置190、及びアクチュエータ群180の各アクチュエータ180a〜180zの故障検知を行う。
次に、本実施の形態の車載システム101の動作について説明する。動作モードが通常動作モードのとき、制御MCU20、30の車両制御部22、32は、フュージョンMCU10から送信される運転計画に基づき自動運転プロファイル(第1の自動運転プロファイル)を生成し、生成した自動運転プロファイルを車両運動統合制御装置190へ送信する。車両運動統合制御装置190は、送信された自動運転プロファイルに基づき、各アクチュエータとの連携を考慮しつつ、アクチュエータ180a〜180zごとの指令値(第3の指令値)を生成する。車両運動統合制御装置190は、生成した指令値を、対応するアクチュエータ180a〜180zへ送信する。
一方、車両運動統合制御装置190や各アクチュエータ180a〜180z等の故障が検出されると、動作モードが縮退動作モードに切り換わる。縮退動作モードのとき、制御MCU30の車両制御部32は、縮退演算部34において生成される運転計画(第2の運転計画)に基づき、自動運転プロファイル(第2の自動運転プロファイル)を生成し、生成した自動運転プロファイルを車両運動統合制御装置190へ送信する。車両運動統合制御装置190は、送信された自動運転プロファイルに基づき、各アクチュエータとの連携を考慮しつつ、アクチュエータ180a〜180zごとに縮退動作用の指令値(第4の指令値)を生成する。車両運動統合制御装置190は、生成した指令値を、対応するアクチュエータ180a〜180zへ送信する。
このように、本実施の形態では、制御MCU20、30では、自動運転プロファイルの生成までの処理が行われ、各アクチュエータへの指令値は、車両運動統合制御装置190で生成される。
本実施の形態によれば、複数のアクチュエータが統合的に制御されるので、低速大舵角が必要な自動駐車から、レーンキープのような高速走行まで、あらゆるシーンでシームレスかつ快適な自動運転走行が実現される。
アクチュエータに故障が発生した場合、モード選択部33は、故障していないアクチュエータ180a〜180zの中から、自車両が安全な退避場所まで移動するのに最低限必要なアクチュエータを選択し、選択したアクチュエータの情報を車両運動統合制御装置190へ送信する。車両運動統合制御装置190は、自動運転プロファイルに基づき、選択されたアクチュエータに対応する各指令値を生成する。なお、車両運動統合制御装置190に故障検知部が設けられてもよい。この場合、車両運動統合制御装置190は、制御MCU30と故障検知情報を共有してもよい。
本実施の形態によれば、アクチュエータに故障が発生しても、車両運動統合制御装置190により残りのアクチュエータに対する統合制御により、自車両を安全な退避場所までよりスムースに移動させることが可能となる。
本実施の形態においても、実施の形態3のように、制御MCU20にモード選択部23及び縮退演算部24が設けられてもよい。これにより、縮退動作に関わる演算を行う制御MCUが二重化される。また、この場合、制御MCU20、30は、それぞれ異なる電源と接続されることが好ましい。
なお、本発明は上記した実施の形態に限定されるものではなく、様々な変形例が含まれる。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加、削除、置換をすることが可能である。なお、図面に記載した各部材や相対的なサイズは、本発明を分かりやすく説明するため簡素化・理想化しており、実装上はより複雑な形状となる場合がある。
自動運転ECUを構成する各部は、例えば集積回路等のハードウェアで構成されてもよい。また、自動運転ECUがCPUやRAM等を備え、RAMに展開されたプログラムをCPUが実行することにより、フュージョンMCU10および制御MCU20、30や車両運動統合制御装置190等が実現されてもよい。
また、各図の制御線及び情報線は、説明上必要と考えられるものが主に示されており、すべての制御線や情報線が示されているとは限らない。実際には殆ど全ての構成要素が相互に接続されていると考えてもよい。
以下に、好ましい形態について付記する。
車載システムにおいて、故障検知部は、マイコンに接続される電源、通信器、又はメモリの故障を検知し、メモリは、電源、通信器、又はメモリの検知結果を格納する、車載システム。
車載システムにおいて、マイコンは、故障が検知された他のマイコンの起動/停止を指示する第1の制御信号を生成し送信する、車載システム。
車載システムにおいて、マイコンは、故障が検知された他のマイコンに接続される電源、通信器、又はメモリの起動/停止を指示する第2の制御信号を生成し送信する、車載システム。
車載システムにおいて、故障が検知されたマイコンは、検知結果に基づき、故障個所を除外して再起動する、車載システム。
車載システムにおいて、電子制御装置は、複数のメモリを備え、それぞれのメモリは、対応するマイコンの検知結果を格納し、それぞれのメモリの電源は、格納するマイコンと共通である、車載システム。
1…自動運転ECU(電子制御装置)、10…フュージョンMCU(マイコン)、20、30…制御MCU、11、21、31…故障検知部、22、32…車両制御部、33…モード選択部、34…縮退演算部、40…メモリ、41…第1メモリ、42…第2メモリ、60…外界センサ群、61…外界センサ(センサ)、80、180…アクチュエータ群、81a〜83a、81b〜83b、180a〜180z…アクチュエータ、101…車載システム、190…車両運動統合制御装置、191…第1車両運動統合制御装置、192…第2車両運動統合制御装置

Claims (15)

  1. 複数のセンサからセンシングデータを受け取ることが可能な少なくとも二つのマイコンと、
    複数の前記センサ又は前記マイコンの故障を検知する故障検知部と、
    前記故障検知部による検知結果に応じて、通常動作モードと縮退動作モードとを選択するモード選択部と、
    前記故障検知部により検知された故障箇所、又は前記センシングデータから算出した自車両の周辺状況に基づいて前記センサを選択するセンサ選択部と、
    を備え、
    少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合に、前記センサ選択部により選択された前記センサから受け取る前記センシングデータを用いて、アクチュエータを動作させる駆動信号を生成し、前記駆動信号を前記アクチュエータに送信する、
    電子制御装置。
  2. 請求項1に記載の電子制御装置において、
    少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合、時系列で前記センシングデータを受け取る、
    電子制御装置。
  3. 請求項1に記載の電子制御装置において、
    前記縮退動作モードの場合、
    前記センサ選択部が、選択する前記センサを時系列で選択しながら、
    少なくとも二つの前記マイコンのいずれかは、前記駆動信号を生成し前記自車両を安全位置に停止させる、
    電子制御装置。
  4. 請求項1に記載の電子制御装置において、
    複数の前記故障検知部を備え、
    前記モード選択部は、それぞれの前記故障検知部による前記検知結果の多数決により、前記通常動作モードと前記縮退動作モードとを選択する、
    電子制御装置。
  5. 請求項1に記載の電子制御装置において、
    前記検知結果を格納するメモリを備えている、
    電子制御装置。
  6. 請求項5に記載の電子制御装置において、
    前記故障検知部は、前記マイコンに接続される電源、通信器、又は前記メモリの故障を検知し、
    前記メモリは、前記電源、前記通信器、又は前記メモリの検知結果を格納する、
    電子制御装置。
  7. 請求項1に記載の電子制御装置において、
    前記マイコンは、故障が検知された他の前記マイコンの起動/停止を指示する第1の制御信号を生成し送信する、
    電子制御装置。
  8. 請求項6に記載の電子制御装置において、
    前記マイコンは、故障が検知された他の前記マイコンに接続される前記電源、前記通信器、又は前記メモリの起動/停止を指示する第2の制御信号を生成し送信する、
    電子制御装置。
  9. 請求項7に記載の電子制御装置において、
    故障が検知された前記マイコンは、前記検知結果に基づき、故障個所を除外して再起動する、
    電子制御装置。
  10. 請求項6に記載の電子制御装置において、
    複数の前記メモリを備え、
    それぞれの前記メモリは、対応する前記マイコンの前記検知結果を格納し、
    それぞれの前記メモリの電源は、格納する前記マイコンと共通である、
    電子制御装置。
  11. 複数のセンサと、
    複数のアクチュエータと、
    電子制御装置と、
    を備えた車載システムであって、
    前記電子制御装置は、
    複数の前記センサからセンシングデータを受け取ることが可能な少なくとも二つのマイコンと、
    複数の前記センサ又は前記マイコンの故障を検知する故障検知部と、
    前記故障検知部による検知結果に応じて、通常動作モードと縮退動作モードとを選択するモード選択部と、
    前記故障検知部により検知された故障箇所、又は前記センシングデータから算出した自車両の周辺状況に基づいて前記センサを選択するセンサ選択部と、
    を備え、
    少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合に、前記センサ選択部により選択された前記センサから受け取る前記センシングデータを用いて、アクチュエータを動作させる駆動信号を生成し、前記駆動信号を前記アクチュエータに送信する、
    車載システム。
  12. 請求項11に記載の車載システムにおいて、
    少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合、時系列で前記センシングデータを受け取る、
    車載システム。
  13. 請求項11に記載の車載システムにおいて、
    前記縮退動作モードの場合、
    前記センサ選択部が、選択する前記センサを時系列で選択しながら、
    少なくとも二つの前記マイコンのいずれかは、前記駆動信号を生成し前記自車両を安全位置に停止させる、
    車載システム。
  14. 請求項11に記載の車載システムにおいて、
    前記電子制御装置は、複数の前記故障検知部を備え、
    前記モード選択部は、それぞれの前記故障検知部による前記検知結果の多数決により、前記通常動作モードと前記縮退動作モードとを選択する、
    車載システム。
  15. 請求項11に記載の車載システムにおいて、
    前記検知結果を格納するメモリを備えている、
    車載システム。
JP2018237081A 2018-12-19 2018-12-19 電子制御装置および車載システム Active JP7111606B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2018237081A JP7111606B2 (ja) 2018-12-19 2018-12-19 電子制御装置および車載システム
US17/414,795 US11787425B2 (en) 2018-12-19 2019-11-20 Electronic control device and in-vehicle device
PCT/JP2019/045370 WO2020129523A1 (ja) 2018-12-19 2019-11-20 電子制御装置および車載システム
CN201980082587.6A CN113195330A (zh) 2018-12-19 2019-11-20 电子控制装置以及车载系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018237081A JP7111606B2 (ja) 2018-12-19 2018-12-19 電子制御装置および車載システム

Publications (2)

Publication Number Publication Date
JP2020097352A true JP2020097352A (ja) 2020-06-25
JP7111606B2 JP7111606B2 (ja) 2022-08-02

Family

ID=71101239

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018237081A Active JP7111606B2 (ja) 2018-12-19 2018-12-19 電子制御装置および車載システム

Country Status (4)

Country Link
US (1) US11787425B2 (ja)
JP (1) JP7111606B2 (ja)
CN (1) CN113195330A (ja)
WO (1) WO2020129523A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102365256B1 (ko) * 2020-11-13 2022-02-22 주식회사 현대케피코 차량용 모터 제어 장치 및 그 제어방법
WO2022118459A1 (ja) * 2020-12-04 2022-06-09 日産自動車株式会社 冗長システム
JP7472817B2 (ja) 2021-02-12 2024-04-23 株式会社デンソー データ処理システム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7259716B2 (ja) * 2019-11-28 2023-04-18 トヨタ自動車株式会社 車両制御システム及び車両制御方法
JP7331797B2 (ja) * 2020-07-08 2023-08-23 トヨタ自動車株式会社 車両制御装置
US20220363277A1 (en) * 2021-05-13 2022-11-17 Dana Belgium N.V. Driveline component control and fault diagnostics
CN114152272A (zh) * 2021-11-15 2022-03-08 国汽智控(北京)科技有限公司 故障检测方法、装置、车辆、可读存储介质和程序产品
US20230322241A1 (en) * 2022-04-06 2023-10-12 Ghost Autonomy Inc. Implementing degraded performance modes in an autonomous vehicle

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0553644A (ja) * 1991-08-23 1993-03-05 Daifuku Co Ltd 自走台車の衝突防止装置
US20040034810A1 (en) * 2002-05-29 2004-02-19 Hans Heckmann Method for mutual monitoring of components of a distributed computer system
JP2015532712A (ja) * 2012-08-25 2015-11-12 ヴァレオ・シャルター・ウント・ゼンゾーレン・ゲーエムベーハー 超音波センサの改善された作動方法、運転者支援装置および自動車
JP2018144720A (ja) * 2017-03-08 2018-09-20 三菱電機株式会社 車両退避装置および車両退避方法
JP2018158591A (ja) * 2017-03-21 2018-10-11 株式会社ケーヒン 車両用制御装置
WO2018220811A1 (ja) * 2017-06-02 2018-12-06 本田技研工業株式会社 車両制御システムおよび車両制御方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3272960B2 (ja) * 1996-08-19 2002-04-08 株式会社データ・テック ドライビングレコーダ及び車両の運行解析装置
DE10064673B4 (de) * 2000-12-22 2005-02-24 Renk Ag Fehlertolerante elektromechanische Stelleinrichtung
JP4399987B2 (ja) * 2001-01-25 2010-01-20 株式会社デンソー 車両統合制御におけるフェイルセーフシステム
JP4848027B2 (ja) 2004-01-30 2011-12-28 日立オートモティブシステムズ株式会社 車両制御装置
KR100747303B1 (ko) * 2005-11-11 2007-08-07 현대자동차주식회사 하이브리드 차량의 페일 세이프티 제어 시스템
JP4834428B2 (ja) * 2006-03-08 2011-12-14 本田技研工業株式会社 車両の制御装置
KR101470190B1 (ko) * 2013-07-09 2014-12-05 현대자동차주식회사 자율주행 시스템의 고장 처리 장치 및 그 방법
US9195232B1 (en) * 2014-02-05 2015-11-24 Google Inc. Methods and systems for compensating for common failures in fail operational systems
JP6307383B2 (ja) * 2014-08-07 2018-04-04 日立オートモティブシステムズ株式会社 行動計画装置
US9952948B2 (en) * 2016-03-23 2018-04-24 GM Global Technology Operations LLC Fault-tolerance pattern and switching protocol for multiple hot and cold standby redundancies
JP6611664B2 (ja) * 2016-04-26 2019-11-27 三菱電機株式会社 自動運転制御装置および自動運転制御方法
JP6683104B2 (ja) 2016-11-07 2020-04-15 株式会社デンソー 電子制御装置
CN110678375B (zh) 2017-06-05 2022-09-16 日立安斯泰莫株式会社 车辆控制装置及车辆控制系统
US20190041837A1 (en) * 2017-08-03 2019-02-07 GM Global Technology Operations LLC Redundant active control system coordination

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0553644A (ja) * 1991-08-23 1993-03-05 Daifuku Co Ltd 自走台車の衝突防止装置
US20040034810A1 (en) * 2002-05-29 2004-02-19 Hans Heckmann Method for mutual monitoring of components of a distributed computer system
JP2015532712A (ja) * 2012-08-25 2015-11-12 ヴァレオ・シャルター・ウント・ゼンゾーレン・ゲーエムベーハー 超音波センサの改善された作動方法、運転者支援装置および自動車
JP2018144720A (ja) * 2017-03-08 2018-09-20 三菱電機株式会社 車両退避装置および車両退避方法
JP2018158591A (ja) * 2017-03-21 2018-10-11 株式会社ケーヒン 車両用制御装置
WO2018220811A1 (ja) * 2017-06-02 2018-12-06 本田技研工業株式会社 車両制御システムおよび車両制御方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102365256B1 (ko) * 2020-11-13 2022-02-22 주식회사 현대케피코 차량용 모터 제어 장치 및 그 제어방법
WO2022118459A1 (ja) * 2020-12-04 2022-06-09 日産自動車株式会社 冗長システム
JP7472817B2 (ja) 2021-02-12 2024-04-23 株式会社デンソー データ処理システム

Also Published As

Publication number Publication date
JP7111606B2 (ja) 2022-08-02
US20220017107A1 (en) 2022-01-20
WO2020129523A1 (ja) 2020-06-25
CN113195330A (zh) 2021-07-30
US11787425B2 (en) 2023-10-17

Similar Documents

Publication Publication Date Title
JP7111606B2 (ja) 電子制御装置および車載システム
CN110077420B (zh) 一种自动驾驶控制系统和方法
JP7171708B2 (ja) 複数の制御車線を用いた自律車両の耐障害制御
JP6820981B2 (ja) 自動運転システム、車両制御方法及び装置
US20220080992A1 (en) Method of using a single controller (ecu) for a fault-tolerant/fail-operational self-driving system
CN107908186B (zh) 用于控制无人驾驶车辆运行的方法及系统
US11492009B2 (en) Vehicle control device
JP6611664B2 (ja) 自動運転制御装置および自動運転制御方法
US11472428B2 (en) Vehicle control system and control method
US20210031792A1 (en) Vehicle control device
JP6388871B2 (ja) ドライバー・アシスタント・アプリケーション用の方法
US11273842B2 (en) Control system and improved control method for the autonomous control of a motor vehicle
US9393967B2 (en) Method and device for operating a motor vehicle in an automated driving operation
WO2020066304A1 (ja) 車載電子制御システム
CN111439199A (zh) 报告装置
JP7198056B2 (ja) 車両制御装置及び車両制御方法
WO2019116871A1 (ja) 車両並びにその制御システム及び制御方法
CN109308066A (zh) 用于自动化车辆的传感器故障补偿系统
CN115042801A (zh) 一种智能巡航辅助冗余控制方法及系统
WO2021234947A1 (ja) 車両制御システム、車両統合制御装置、電子制御装置、ネットワーク通信装置、車両制御方法、および、車両制御プログラム
WO2023187979A1 (ja) 演算処理装置、演算処理方法
WO2023084581A1 (ja) 電子制御装置及び車両制御システム
US10773668B1 (en) Vehicle power network
JP7064305B2 (ja) 電子制御装置
WO2020116262A1 (ja) 車両制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210308

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220721

R150 Certificate of patent or registration of utility model

Ref document number: 7111606

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150