JP2021020648A - 車両制御システム - Google Patents

車両制御システム Download PDF

Info

Publication number
JP2021020648A
JP2021020648A JP2019140230A JP2019140230A JP2021020648A JP 2021020648 A JP2021020648 A JP 2021020648A JP 2019140230 A JP2019140230 A JP 2019140230A JP 2019140230 A JP2019140230 A JP 2019140230A JP 2021020648 A JP2021020648 A JP 2021020648A
Authority
JP
Japan
Prior art keywords
unit
control
control unit
vehicle
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019140230A
Other languages
English (en)
Inventor
芳正 黒川
Yoshimasa Kurokawa
芳正 黒川
山下 哲弘
Tetsuhiro Yamashita
哲弘 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mazda Motor Corp
Original Assignee
Mazda Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mazda Motor Corp filed Critical Mazda Motor Corp
Priority to JP2019140230A priority Critical patent/JP2021020648A/ja
Priority to US17/630,927 priority patent/US20220281466A1/en
Priority to CN202080055556.4A priority patent/CN114269619B/zh
Priority to EP20846403.2A priority patent/EP4005891B1/en
Priority to PCT/JP2020/028502 priority patent/WO2021020293A1/ja
Publication of JP2021020648A publication Critical patent/JP2021020648A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

【課題】フェールオペレーショナル機能の継続性を向上させる。【解決手段】第1制御部(300)は、複数の演算部(30)と診断部(40)とを有する。第2制御部(400)は、第1制御部(300)とアクチュエータ(100)との間の信号経路に設けられ、出力部(50)を有する。複数の演算部(30)の各々は、アクチュエータ(100)の制御のための第1制御信号を出力部(50)に供給する。診断部(40)は、複数の演算部(30)の各々における異常の診断を行う。出力部(50)は、複数の演算部(30)の各々から供給される第1制御信号と、診断部(40)による複数の演算部(30)の各々の診断結果とに基づいて、アクチュエータ(100)の制御のための第2制御信号を出力する。【選択図】図3

Description

ここに開示する技術は、車両制御システムに関する。
特許文献1には、車両制御システムが開示されている。この車両制御システムは、センサと、センサの信号に基づいて操作量指令値を演算する指令コントローラと、指令コントローラからの操作量指令値に基づいてアクチュエータを制御するアクチュエータ駆動コントローラとを備える。センサ、指令コントローラ、アクチュエータ駆動コントローラの少なくとも2つは、自己の故障を検出する故障検出部を有する。
特開2016−196295号公報
特許文献1のような車両制御システムにおいて、指令コントローラに複数の制御系統を設けることで、フェールオペレーショナル機能を実装させることが考えられる。このように、指令コントローラに複数の制御系統を設けることにより、複数の制御系統の1つに異常が発生したとしても、残りの制御系統によりアクチュエータの制御を継続させることができる。
しかしながら、指令コントローラとアクチュエータ駆動コントローラとの間の信号経路が1つしかない場合、その信号経路において通信異常(例えば通信途絶)が発生すると、指令コントローラにおける複数の制御系統に異常がない場合であっても、アクチュエータの制御を継続させることができなくなる。このように、フェールオペレーショナル機能を継続させることが困難である。
ここに開示する技術は、かかる点に鑑みてなされたものであり、その目的とするところは、フェールオペレーショナル機能の継続性を向上させることにある。
ここに開示する技術は、車両に設けられるアクチュエータを制御する車両制御システムに関し、この車両制御システムは、複数の演算部と診断部とを有する第1制御部と、前記第1制御部と前記アクチュエータとの間の信号経路に設けられ、出力部を有する第2制御部とを備える。前記複数の演算部の各々は、前記アクチュエータの制御のための第1制御信号を前記出力部に供給する。前記診断部は、前記複数の演算部の各々における異常の診断を行う。前記出力部は、前記複数の演算部の各々から供給される第1制御信号と、前記診断部による前記複数の演算部の各々の診断結果とに基づいて、前記アクチュエータの制御のための第2制御信号を出力する。
前記の構成では、複数の第1制御信号を第1制御部から第2制御部に供給し、第2制御部において複数の第1制御信号と複数の演算部の診断結果とに基づいて第2制御信号を出力する。これにより、複数の演算部の1つに異常が発生したとしても、残りの第1制御信号(異常なしの第1制御信号)を第2制御部に供給することができるので、アクチュエータの制御を継続させることができる。このように、フェールオペレーショナル機能を実現することができる。
また、複数の第1制御信号を第1制御部から第2制御部に供給することにより、単一の第1制御信号を第1制御部から第2制御部に供給する場合よりも、第1制御部と第2制御部との間の通信異常(例えば通信途絶)に対する抗堪性を強化することができる。すなわち、第1制御部と第2制御部との間の通信異常によりアクチュエータの制御を継続することができなくなるという事態を発生させにくくすることができる。これにより、フェールオペレーショナル機能の継続性を向上させることができる。
また、前記車両制御システムにおいて、前記出力部は、前記複数の演算部の各々に異常がない場合に、該複数の演算部の各々から供給される第1制御信号のうち信頼度が最も高い第1制御信号を前記第2制御信号として出力するように構成されてもよい。
前記の構成では、複数の演算部の各々から供給される第1制御信号のうち信頼度が最も高い第1制御信号を第2制御信号として出力することにより、アクチュエータの制御の信頼性を良好な状態に維持することができる。
また、前記車両制御システムにおいて、前記出力部は、前記複数の演算部の各々に異常がない場合に、該複数の演算部の各々から供給される第1制御信号のうち伝送速度が最も速い第1制御信号を前記第2制御信号として出力するように構成されてもよい。
前記の構成では、複数の演算部の各々から供給される第1制御信号のうち伝送速度が最も速い第1制御信号を第2制御信号として出力することにより、アクチュエータの制御の応答性を良好な状態に維持することができる。
また、前記車両制御システムにおいて、前記出力部は、前記複数の演算部の各々に異常がない場合に、該複数の演算部の各々から供給される第1制御信号のうち前記車両のシーンに応じた第1制御信号を前記第2制御信号として出力するように構成されてもよい。
前記の構成では、複数の演算部の各々から供給される第1制御信号のうち車両のシーンに応じた第1制御信号を第2制御信号として出力することにより、車両のシーンに応じてアクチュエータの制御を適切に行うことができる。
ここに開示する技術によれば、フェールオペレーショナル機能の継続性を向上させることができる。
実施形態の車両制御システムの構成を例示するブロック図である。 車両制御システムにおける信号経路を例示する模式図である。 車両制御システムの要部を例示するブロック図である。 車両制御システムの比較例の要部を例示するブロック図である。 実施形態の変形例の車両制御システムの要部を例示するブロック図である。
以下、実施の形態を図面を参照して詳しく説明する。なお、図中同一または相当部分には同一の符号を付しその説明は繰り返さない。
(実施形態)
図1および図2は、車両制御システム10の構成を例示する。この車両制御システム10は、車両11(具体的には自動四輪車)に設けられる。この車両11は、マニュアル運転とアシスト運転と自動運転とに切り換え可能である。マニュアル運転は、ドライバの操作(例えばアクセルの操作など)に応じて走行する運転である。アシスト運転は、ドライバの操作を支援して走行する運転である。自動運転は、ドライバの操作なしに走行する運転である。車両制御システム10は、自動運転およびアシスト運転において、車両11に設けられた複数のアクチュエータ100を制御することで車両11の動作を制御する。
なお、この車両11では、駆動制御、制動制御、操舵制御において、電気的に制御を行うバイワイヤ方式が採用される。具体的には、アクセルペダルの操作、ブレーキペダルの操作、ステアリングホイールの操作が後述する各種センサにより検出され、各種センサの出力に基づいて生成された制御信号によりアクチュエータ100(駆動制御、制動制御、操舵制御に関連するアクチュエータ100)が制御されて駆動制御、制動制御、操舵制御が行われる。
〔アクチュエータ〕
複数のアクチュエータ100は、車両11に設けられた複数の車載デバイス(図示を省略)をそれぞれ作動させる。この複数のアクチュエータ100には、車両11の基本動作(例えば駆動や制動や操舵など)に関連する車載デバイスを作動させるアクチュエータ100だけでなく、車両11の基本動作に関連しない車載デバイス(いわゆるボディ系デバイス)を作動させるアクチュエータ100も含まれる。車載デバイスの例としては、エンジン、トランスミッション、電動ブレーキ、電動パワーステアリング、ブレーキランプ、前照灯、電動ミラー、オーディオなどが挙げられる。図1および図2の例では、アクチュエータ100の例として、電動パワーステアリング装置のアクチュエータ101と、電動ブレーキのアクチュエータ102,103,111,112と、ブレーキランプのアクチュエータ104,113と、前照灯のアクチュエータ105,114と、電動ミラーのアクチュエータ107,115が図示されている。
〔車両制御システムの構成〕
車両制御システム10は、複数のセンサ200と、通信部210と、演算装置15とを備える。
〔センサ〕
複数のセンサ200の各々は、複数のアクチュエータ100の制御に用いられる各種情報を検出する。図1の例では、センサ200の例として、複数のカメラ201と、複数のレーダ202と、位置センサ203と、車両状態センサ204と、乗員状態センサ205と、操舵角センサ206と、ブレーキセンサ207と、アクセルセンサ208とが例示されている。
〈カメラ(撮像部)〉
複数のカメラ201は、互いに同様の構成を有する。カメラ201は、車両11の外部環境を撮像することで、車両11の外部環境を示す画像データを取得する。カメラ201により得られた画像データは、演算装置15(具体的には後述するセントラル制御部300、以下同様)に送信される。なお、カメラ201は、車両11の外部環境を撮像する撮像部の一例である。
この例では、カメラ201は、広角レンズを有する単眼カメラであり、複数のカメラ201による車両11の外部環境の撮像範囲が車両11の周囲の全周に渡るように、複数のカメラ201が車両11に配置されている。例えば、カメラ201は、CCD(Charge Coupled Device)やCMOS(Complementary metal-oxide-semiconductor)などの固体撮像素子を用いて構成される。なお、カメラ201は、通常のレンズを有する単眼カメラであってもよいし、ステレオカメラであってもよい。
〈レーダ(検出部)〉
複数のレーダ202は、互いに同様の構成を有する。レーダ202は、車両11の外部環境を検出する。具体的には、レーダ202は、車両11の外部環境へ向けて電波を送信して車両11の外部環境からの反射波を受信することで車両11の外部環境を検出する。レーダ202の検出結果は、演算装置15に送信される。なお、レーダ202は、車両11の外部環境を検出する検出部の一例である。検出部は、車両11の外部環境へ向けて探知波を送信して車両11の外部環境からの反射波を受信することで、車両11の外部環境を検出する。
この例では、複数のレーダ202による車両11の外部環境の検出範囲が車両11の周囲の全周に渡るように、複数のレーダ202が車両11に配置されている。例えば、レーダ202は、ミリ波を送信するミリ波レーダであってもよいし、レーザ光を送信するライダ(Light Detection and Ranging)であってもよいし、赤外線を送信する赤外線レーダであってもよいし、超音波を送信する超音波センサであってもよい。
〈位置センサ〉
位置センサ203は、車両11の位置(例えば緯度および経度)を検出する。例えば、位置センサ203は、全地球測位システムからのGPS情報を受信し、GPS情報に基づいて車両11の位置を検出する。位置センサ203により検出された車両11の位置は、演算装置15に送信される。
〈車両状態センサ〉
車両状態センサ204は、車両11の状態(例えば速度や加速度やヨーレートなど)を検出する。例えば、車両状態センサ204は、車両11の速度を検出する車速センサ、車両11の加速度を検出する加速度センサ、車両11のヨーレートを検出するヨーレートセンサなどを含む。車両状態センサ204により検出された車両11の状態は、演算装置15に送信される。
〈乗員状態センサ〉
乗員状態センサ205は、車両11に搭乗する乗員の状態(例えばドライバの健康状態や感情や身体挙動など)を検出する。例えば、乗員状態センサ205は、乗員を撮像する車内カメラ、乗員の生体情報を検出する生体情報センサなどを含む。乗員状態センサ205により検出された乗員の状態は、演算装置15に送信される。
〈運転操作センサ〉
操舵角センサ206とブレーキセンサ207とアクセルセンサ208は、車両11に加えられる運転操作を検出する運転操作センサの一例である。操舵角センサ206は、車両11のハンドルの操舵角を検出する。ブレーキセンサ207は、車両11のブレーキの操作量を検出する。アクセルセンサ208は、車両11のアクセルの操作量を検出する。運転操作センサにより検出された運転操作は、演算装置15に送信される。
〔通信部〕
通信部210は、車両11の外部に設けられた外部装置との間で通信を行う。例えば、通信部210は、車両11の周囲に位置する他車両(図示を省略)からの通信情報、ナビゲーションシステム(図示を省略)からの交通情報などを受信する。通信部210により受信された情報は、演算装置15に送信される。
〔演算装置〕
演算装置15は、車両11に設けられた複数のセンサ200の出力および車外から送信された情報などに基づいて、複数のアクチュエータ100の動作を制御する。例えば、演算装置15は、車両11が走行すべき経路である目標経路を決定し、目標経路を走行するために必要となる車両11の運動である目標運動を決定し、車両11の運動が目標運動となるように、複数のアクチュエータ100の動作を制御する。
具体的には、演算装置15は、セントラル制御部300と、複数のゾーン制御部400とを備える。この例では、演算装置15は、1つのセントラル制御部300と、2つのゾーン制御部401,402と、9つのゾーン制御部501〜505,511〜514とを備える。また、セントラル制御部300および複数のゾーン制御部400の各々は、1つまたは複数のプロセッサ、1つまたは複数のプロセッサを動作させるためのプログラムやデータを記憶する1つまたは複数のメモリなどを有する電子制御ユニット(ECU)により構成される。
〈セントラル制御部およびゾーン制御部の接続〉
図1および図2の例では、セントラル制御部300には、2つのゾーン制御部401,402が接続される。図2に示すように、ゾーン制御部401は、車両11の右側の中央部に配置され、ゾーン制御部402は、車両11の左側の中央部に配置される。ゾーン制御部401には、5つのゾーン制御部501〜505と、電動ミラーのアクチュエータ107とが接続される。5つのゾーン制御部501〜505には、5つのアクチュエータ101〜105がそれぞれ接続される。ゾーン制御部402には、4つのゾーン制御部511〜514と、電動ミラーのアクチュエータ115とが接続される。4つのゾーン制御部511〜514には、4つのアクチュエータ111〜114がそれぞれ接続される。
また、図1および図2の例では、セントラル制御部300とゾーン制御部400とを接続する信号線と、2つのゾーン制御部400を接続する信号線は、Ethernet(登録商標)の通信ケーブルであり、セントラル制御部300とアクチュエータ100とを接続する信号線と、ゾーン制御部400とアクチュエータ100とを接続する信号線は、CAN(Controller Area Network)の通信ケーブルである。また、ゾーン制御部501〜505,511〜514の各々は、Ethernet(登録商標)とCANとの間のプロトコル変換を行う機能を有する。
〈セントラル制御部(第1制御部)〉
セントラル制御部300は、車両11に設けられた複数のセンサ200の出力および車外から送信された情報を受け、複数のアクチュエータ100の制御のための複数の制御信号を生成する。そして、セントラル制御部300は、複数の制御信号を出力する。セントラル制御部300は、第1制御部の一例である。
例えば、セントラル制御部300は、アシスト運転において、カメラ201およびレーダ202の出力に基づいて車両11の外部環境を認識し、その認識された車両11の外部環境に基づいて1つまたは複数の候補経路を生成する。候補経路は、車両11が走行可能な経路であり、目標経路の候補である。
また、セントラル制御部300は、車両状態センサ204の出力に基づいて車両11の挙動(例えば速度や加速度やヨーレートなど)を認識する。例えば、セントラル制御部300は、深層学習により生成された学習モデルを用いて車両状態センサ204の出力から車両11の挙動を認識する。
また、セントラル制御部300は、乗員状態センサ205の出力に基づいて乗員の挙動(例えばドライバの健康状態や感情や身体挙動など)を認識する。例えば、セントラル制御部300は、深層学習により生成された学習モデルを用いて乗員状態センサ205の出力から乗員(特にドライバ)の挙動を認識する。
また、セントラル制御部300は、操舵角センサ206とブレーキセンサ207とアクセルセンサ208の各々の出力に基づいて車両11に加えられた運転操作を認識する。
次に、セントラル制御部300は、上記の認識された車両11の挙動と乗員の挙動と車両11に加えられた運転操作とに基づいて、上記の生成された1つまたは複数の候補経路の中から目標経路となる候補経路を選択する。例えば、セントラル制御部300は、複数の候補経路のうちドライバが最も快適であると感じる候補経路を選択する。そして、セントラル制御部300は、目標経路として選択された候補経路に基づいて目標運動を決定する。
次に、セントラル制御部300は、上記の決定された目標運動に基づいて、目標運動を達成するための制御信号を生成する。例えば、セントラル制御部300は、目標運動を達成するための駆動力と制動力と操舵量である目標駆動力と目標制動力と目標操舵量をそれぞれ導出する。そして、セントラル制御部300は、目標駆動力を示す駆動制御信号と、目標制動力を示す制動制御信号と、目標操舵量を示す操舵制御信号を生成する。そして、セントラル制御部300は、制御信号を出力する。
〈ゾーン制御部(第2制御部)〉
複数のゾーン制御部400の各々は、車両11の所定のゾーンに設けられる。また、複数のゾーン制御部400の各々は、セントラル制御部300と複数のアクチュエータ100の各々との間の信号経路に設けられる。具体的には、セントラル制御部300と1つのアクチュエータ100との間の信号経路には、1つ以上のゾーン制御部400が設けられる。例えば、図1および図2の例では、セントラル制御部300と電動パワーステアリングのアクチュエータ101との間の信号経路には、2つのゾーン制御部401,501が設けられる。そして、複数のゾーン制御部400の各々は、信号の中継を行う。このような構成により、セントラル制御部300から出力された制御信号は、1つ以上のゾーン制御部400を経由してアクチュエータ100に供給され、アクチュエータ100の動作が制御される。
例えば、セントラル制御部300とエンジンおよびトランスミッションのアクチュエータ(図示を省略)との間の信号経路に設けられたゾーン制御部400(図示を省略)は、セントラル制御部300から出力された駆動制御信号を、エンジンおよびトランスミッションのアクチュエータに中継する。エンジンおよびトランスミッションのアクチュエータは、駆動制御信号に示された目標駆動力に基づいてエンジンおよびトランスミッションを作動させる。これにより、車両11の駆動力が目標駆動力となるように制御される。
また、セントラル制御部300と電動ブレーキのアクチュエータ102との間の信号経路に設けられたゾーン制御部401,502は、セントラル制御部300から出力された制動制御信号をアクチュエータ102に中継する。アクチュエータ102は、制動制御信号に示された目標制動力に基づいて電動ブレーキを作動させる。これにより、電動ブレーキの制動力が目標制動力となるように制御される。
また、セントラル制御部300と電動パワーステアリングのアクチュエータ101との間の信号経路に設けられたゾーン制御部401,501は、セントラル制御部300から出力された操舵制御信号をアクチュエータ101に中継する。アクチュエータ101は、操舵制御信号に示された目標操舵量に基づいて電動パワーステアリングを作動させる。これにより、車両11の操舵量が目標操舵量となるように制御される。
〔セントラル制御部およびゾーン制御部の詳細〕
次に、図3を参照して、セントラル制御部300およびゾーン制御部400の詳細について説明する。以下では、セントラル制御部300と1つのゾーン制御部400との組合せを例に挙げて説明する。
〈信号線〉
図3に示すように、車両制御システム10は、セントラル制御部300(第1制御部)とゾーン制御部400(第2制御部)とを接続する複数の信号線600を備える。この例では、車両制御システム10の演算装置15は、2つの信号線600を備える。また、この例では、信号線600は、Ethernet(登録商標)の通信ケーブルである。
〈セントラル制御部(第1制御部)〉
セントラル制御部300は、複数の信号線600を通じて複数の第1制御信号をゾーン制御部400に供給する。また、セントラル制御部300は、複数の第1制御信号の各々における異常の診断(この例では異常の有無の診断)を行う。この例では、セントラル制御部300は、2つの信号線600を通じて2つの第1制御信号を出力する。また、この例では、セントラル制御部300による複数の第1制御信号の各々の診断結果は、複数の信号線600を通じてゾーン制御部400に送信される。
複数の第1制御信号の各々は、アクチュエータ100の制御のための信号である。具体的には、複数の第1制御信号の各々は、アクチュエータ100の目標出力(例えば目標制御量)を示す。目標出力の具体例としては、目標駆動力、目標制動力、目標操舵量などが挙げられる。また、複数の第1制御信号の各々に示される目標出力は、互いに同種であるが、その目標出力の導出に用いられる情報(センサ200により検出される情報など)および目標出力の導出処理の内容(計算式など)のうち少なくとも1つが互いに異なる。例えば、2つの第1制御信号のうち1つの制御信号は、操舵角センサ206により検出された車両11のハンドルの操舵角に基づいて導出された目標操舵量を示し、もう1つの制御信号は、レゾルバ(図示を省略)により検出された電動パワーステアリングの電動モータ(図示を省略)の回転角に基づいて導出された目標操舵量を示す。
図3に示すように、セントラル制御部300は、複数の演算部30と診断部40とを有する。この例では、セントラル制御部300は、2つの演算部30(具体的には第1演算部31と第2演算部32)を有する。
《演算部》
複数の演算部30の各々は、第1制御信号をゾーン制御部400(具体的には後述する出力部50)に供給する。具体的には、複数の演算部30の各々は、センサ200により検出される情報などに基づいてアクチュエータ100の目標出力を求め、その求められたアクチュエータ100の目標出力を示す第1制御信号を出力する。
複数の演算部30の各々において求められる目標出力は、互いに同種であるが、その演算部30において目標出力の導出に用いられる情報(センサ200により検出される情報など)および演算部30における目標出力の導出処理の内容(計算式など)のうち少なくとも1つが互いに異なる。例えば、第1演算部31は、操舵角センサ206により検出された情報に基づいて目標操舵量を求め、第2演算部32は、レゾルバ(図示を省略)により検出された情報に基づいて目標操舵量を求める。
なお、セントラル制御部300において、複数の演算部30の出力端は、複数の信号線600の一端とそれぞれ電気的に接続される。具体的には、この例では、セントラル制御部300は、2つの演算部30にそれぞれ対応する2つのコネクタ30aを有する。2つの演算部30の出力端は、2つの内部配線30bにより2つのコネクタ30aとそれぞれ電気的に接続される。2つのコネクタ30aには、2つの信号線600の一端がそれぞれ接続される。例えば、複数の演算部30の各々は、予め定められた演算を行う演算コア(プロセッサ)により構成される。
《診断部》
診断部40は、複数の演算部30の各々における異常の診断(この例では異常の有無の診断)を行う。例えば、診断部40は、BIST(Built-In Self Test)により演算部30の異常の有無を診断する。なお、診断部40は、他の周知の診断技術を用いて演算部30の異常の診断をしてもよい。
この例では、診断部40は、2つの演算部30にそれぞれ対応する2つの診断部(第1診断部41と第2診断部42)により構成される。第1診断部41は、第1演算部31の異常の診断を行う。第2診断部42は、第2演算部32の異常の診断を行う。例えば、第1診断部41および第2診断部42の各々は、予め定められた演算を行う演算コア(プロセッサ)により構成される。また、この例では、診断部40による複数の演算部30の診断結果は、複数の信号線600を通じてゾーン制御部400に送信される。
〈ゾーン制御部(第2制御部)〉
ゾーン制御部400は、セントラル制御部300とアクチュエータ100との間の信号経路に設けられる。そして、ゾーン制御部400は、セントラル制御部300から複数の信号線600を通じて供給された複数の第1制御信号と、セントラル制御部300による複数の第1制御信号の各々の診断結果とに基づいて、第2制御信号を出力する。
第2制御信号は、アクチュエータ100の制御のための信号である。具体的には、第2制御信号は、アクチュエータ100の目標出力(例えば目標制御量)を示す信号である。なお、この例では、第2制御信号に示される目標出力は、複数の第1制御部の各々に示される目標出力と同種である。例えば、複数の第1制御部の各々に示される目標出力が目標操舵量である場合、第2制御信号に示される目標出力も目標操舵量である。
例えば、複数の第1制御信号の各々に異常がない場合、ゾーン制御部400は、複数の第1制御信号の中から予め定められた第1制御信号を選択し、その選択された第1制御信号を第2制御信号として出力する。複数の第1制御信号のうち1つ以上の第1制御信号に異常がないが残りの第1制御信号に異常がある場合、ゾーン制御部400は、異常なしの1つ以上の第1制御信号の中から予め定められた第1制御信号を選択し、その選択された第1制御信号を第2制御信号として出力する。複数の第1制御信号の各々に異常がある場合、ゾーン制御部400は、予め定められた固定信号(固定値)を第2制御信号として出力する。
この例では、ゾーン制御部400は、セントラル制御部300から2つの信号線600を通じて供給された2つの第1制御信号と、セントラル制御部300による2つの第1制御信号の各々の診断結果とに基づいて、1つの第2制御信号を出力する。
図3に示すように、ゾーン制御部400は、出力部50を有する。この例では、ゾーン制御部400は、出力部50の他に、入出力制御部61と、診断部62と、出力部63とを有する。
《出力部》
出力部50は、複数の演算部30の各々から供給される第1制御信号と、診断部40による複数の演算部30の各々の診断結果とに基づいて、第2制御信号を出力する。
例えば、複数の演算部30の各々に異常がない場合、出力部50は、複数の第1制御信号の中から予め定められた第1制御信号を選択し、その選択された第1制御信号を第2制御信号として出力する。複数の演算部30のうち1つ以上の演算部30に異常がないが残りの演算部30に異常がある場合、出力部50は、複数の演算部30のうち異常なしの1つ以上の演算部30から供給される第1制御信号の中から予め定められた第1制御信号を選択し、その選択された第1制御信号を第2制御信号として出力する。複数の演算部30の各々に異常がある場合、出力部50は、予め定められた固定信号(固定値)を第2制御信号として出力する。
なお、ゾーン制御部400において、出力部50の複数の入力端は、複数の信号線600の他端とそれぞれ電気的に接続される。具体的には、この例では、ゾーン制御部400は、出力部50の2つの入力端にそれぞれ対応する2つのコネクタ40aを有する。出力部50の2つの入力端は、2つの内部配線40bにより2つのコネクタ40aとそれぞれ電気的に接続される。2つのコネクタ40aには、2つの信号線600の他端がそれぞれ接続される。例えば、出力部50は、予め定められた演算を行う演算コア(プロセッサ)により構成される。
この例では、セントラル制御部300に設けられた2つの演算部30(第1演算部31と第2演算部32)および診断部40と、ゾーン制御部400に設けられた出力部50とにより、1oo2D(1 out of 2 channelwith Diagnostics)の安全アーキテクチャ70が構成される。この安全アーキテクチャ70は、フェールオペレーショナル(制御継続型)である。
《入出力制御部と診断部と出力部》
入出力制御部61は、出力部50から出力された第2制御信号に対して予め定められた入出力処理(例えばプロトコル変換など)を行う。そして、入出力制御部61は、入出力処理が施された第2制御信号を出力部50に供給する。診断部62は、入出力制御部61における異常の診断を行う。出力部63は、診断部62による入出力制御部61の診断結果に基づいて、入出力制御部61から供給された第2制御信号を出力する第1状態と、予め定められた出力信号(固定値)を出力する第2状態とに切り換えられる。具体的には、出力部63は、入出力制御部61に異常がない場合に第1状態に設定され、入出力制御部61に異常がある場合に第2状態に設定される。例えば、入出力制御部61と診断部62と出力部63の各々は、予め定められた演算を行う演算コア(プロセッサ)により構成される。
この例では、入出力制御部61と診断部62と出力部63とにより、1oo1D(1 out of 1 channel with Diagnostics)の安全アーキテクチャ80が構成される。この安全アーキテクチャ80は、フェールセーフ(制御停止型)である。
〔比較例〕
図4は、車両制御システム10の比較例の要部を例示する。以下では、車両制御システム10の比較例を「車両制御システム90」と記載する。なお、以下では、便宜上、車両制御システム90の構成部品の説明に、車両制御システム10の構成部品と同一の符号を用いている。
図4に示すように、車両制御システム90では、複数の演算部30と診断部40と出力部50とがセントラル制御部300に設けられる。そして、セントラル制御部300とゾーン制御部400とが単一の信号線600により接続される。具体的には、セントラル制御部300では、出力部50の出力端は、内部配線30bによりコネクタ30aと電気的に接続される。コネクタ30aには、信号線600の一端が接続される。ゾーン制御部400では、入出力制御部61の入力端は、内部配線40bによりコネクタ40aと電気的に接続される。コネクタ40aには、信号線600の他端が接続される。
図4に示した車両制御システム90では、セントラル制御部300とゾーン制御部400との間の信号経路が1つしかないので、その信号経路において通信異常(例えば通信途絶)が発生すると、セントラル制御部300における複数の制御系統(具体的には演算部30から供給される第1制御信号)に異常がない場合であっても、アクチュエータ100の制御を継続させることができなくなる。このように、車両制御システム90では、フェールオペレーショナル機能を継続させることが困難である。
〔実施形態の効果〕
この実施形態による車両制御システム10では、複数の第1制御信号をセントラル制御部300(第1制御部)から複数の信号線600を通じてゾーン制御部400(第2制御部)に供給し、ゾーン制御部400において複数の第1制御信号と複数の第1制御信号の診断結果(具体的には複数の演算部30の診断結果)とに基づいて第2制御信号を出力する。これにより、複数の第1制御信号の1つ(具体的には複数の演算部30の1つ)に異常が発生したとしても、残りの第1制御信号(異常なしの第1制御信号)をゾーン制御部400に供給することができるので、アクチュエータ100の制御を継続させることができる。このように、フェールオペレーショナル機能を実現することができる。
また、この実施形態による車両制御システム10では、複数の信号線600を通じて複数の第1制御信号をセントラル制御部300からゾーン制御部400に供給することにより、単一の信号線を通じて単一の第1制御信号をセントラル制御部300からゾーン制御部400に供給する場合よりも、セントラル制御部300とゾーン制御部400との間の通信異常(例えば通信途絶)に対する抗堪性を強化することができる。すなわち、セントラル制御部300とゾーン制御部400との間の通信異常によりアクチュエータ100の制御を継続することができなくなるという事態を発生させにくくすることができる。これにより、フェールオペレーショナル機能の継続性を向上させることができる。
(実施形態の変形例)
図5に示すように、セントラル制御部300は、3つの第1制御信号を出力するように構成されてもよい。図5の例では、車両制御システム10には、セントラル制御部300とゾーン制御部400とを接続する3つの信号線600が設けられる。
図5の例では、セントラル制御部300は、3つの演算部30(具体的には第1演算部31と第2演算部32と第3演算部33)を有する。診断部40は、3つの演算部30にそれぞれ対応する3つの診断部(具体的には第1診断部41と第2診断部42と第3診断部43)により構成される。
また、図5の例では、ゾーン制御部400(具体的には出力部50)は、セントラル制御部300から3つの信号線600を通じて供給された3つの第1制御信号と、セントラル制御部300(具体的には診断部40)による3つの第1制御信号(具体的には演算部30)の各々の診断結果とに基づいて、1つの第2制御信号を出力する。
なお、図5の例では、セントラル制御部300に設けられた3つの演算部30(第1演算部31と第2演算部32と第3演算部33)および診断部40と、ゾーン制御部400に設けられた出力部50とにより、1oo3D(1 out of 3 channelwith Diagnostics)の安全アーキテクチャ70が構成される。
また、セントラル制御部300は、4つ以上の第1制御信号を出力するように構成されてもよい。この場合、セントラル制御部300は、4つ以上の演算部30を有し、診断部40は、4つ以上の診断部により構成されてもよい。また、車両制御システム10には、セントラル制御部300とゾーン制御部400とを接続する4つ以上の信号線600が設けられ、ゾーン制御部400(出力部50)は、セントラル制御部300から4つ以上の信号線600を通じて供給された4つ以上の第1制御信号と、セントラル制御部300による4つ以上の第1制御信号の各々の診断結果とに基づいて、1つの第2制御信号を出力する。
また、セントラル制御部300がM個(Mは2以上の整数)の第1制御信号を出力するように構成される場合、ゾーン制御部400(出力部50)は、M個の第1制御信号の各々に異常がない場合にN個(NはMよりも小さい整数)の第2制御信号を出力するように構成されてもよい。例えば、セントラル制御部300に設けられたM個の演算部30と診断部40と、ゾーン制御部400に設けられた出力部50とにより、MooND(M out of N channelwith Diagnostics)の安全アーキテクチャ70が構成されてもよい。
(信号線の変形例1)
なお、セントラル制御部300(第1制御部)とゾーン制御部400(第2制御部)とを接続する複数の信号線600のうち少なくとも2つの信号線600は、互いに異なる種類の耐性を有することが好ましい。
以上のように、複数の信号線600のうち少なくとも2つの信号線600が互いに異なる種類の耐性を有することにより、複数の信号線600がすべて同一の耐性を有する場合よりも、セントラル制御部300とゾーン制御部400との間の通信異常に対する抗堪性を強化することができる。これにより、フェールオペレーショナル機能の継続性を向上させることができる。
例えば、複数の信号線600に、振動や衝撃などの機械的な外力に対する耐性(機械的耐性)を有する信号線600が含まれているが、ノイズなどの電気的な外力に対する耐性(電気的耐性)を有する信号線600が含まれていない場合、電気的な外力により複数の信号線600の全てに通信異常が発生するおそれがある。一方、複数の信号線600に、機械的耐性を有する信号線600だけでなく、電気的耐性を有する信号線600も含まれている場合、電気的な外力により複数の信号線600の全てに通信異常が発生するという事態を発生させにくくすることができる。
(信号線の変形例2)
また、セントラル制御部300(第1制御部)とゾーン制御部400(第2制御部)とを接続する複数の信号線600のうち少なくとも2つの信号線600は、互いに種別が異なることが好ましい。この信号線600の種別の例としては、信号線600の径、信号線600を構成する材料、信号線600の構造などが挙げられる。
以上のように、複数の信号線600のうち少なくとも2つの信号線600の種別を互いに異ならすことにより、これらの2つの信号線600に互いに異なる種類の耐性を持たせることができる。これにより、複数の信号線600がすべて同一の耐性を有する場合よりも、セントラル制御部300とゾーン制御部400との間の通信異常に対する抗堪性を強化することができるので、フェールオペレーショナル機能の継続性を向上させることができる。
例えば、一方の信号線600の径を他方の信号線600の径よりも大きくすることにより、一方の信号線600の機械的耐性を他方の信号線600の機械的耐性よりも強くすることができる。また、一方の信号線600を構成する材料の強度を他方の信号線600を構成する材料の強度よりも高くすることにより、一方の信号線600の機械的耐性を他方の信号線600の機械的耐性よりも強くすることができる。また、一方の信号線600の構造を多層の絶縁被膜を有する構造とし、他方の信号線600の構造を単層の絶縁被膜を有する構造とすることにより、一方の信号線600の電気的耐性を他方の信号線600の電気的耐性よりも強くすることができる。
(信号線の変形例3)
また、セントラル制御部300(第1制御部)とゾーン制御部400(第2制御部)とを接続する複数の信号線600のうち少なくとも2つの信号線600は、互いに離間していることが好ましい。
以上のように、複数の信号線600のうち少なくとも2つの信号線600を互いに離間させることにより、外力(特に機械的な外力)により複数の信号線600の全てに通信異常(特に断線による通信途絶)が発生するリスクを低減することができる。これにより、フェールオペレーショナル機能の継続性を向上させることができる。
例えば、1つの信号線600がセントラル制御部300から車両11の右側を経由してゾーン制御部400に到達する一方で、もう1つの信号線600がセントラル制御部300から車両11の左側を経由してゾーン制御部400に到達するようにしてもよい。
(出力部の変形例1)
なお、出力部50(ゾーン制御部400)は、複数の演算部30(第1制御信号)の各々に異常がない場合に、複数の演算部30の各々から供給される第1制御信号(すなわち複数の第1制御信号)のうち信頼度が最も高い第1制御信号を第2制御信号として出力するように構成されてもよい。例えば、ゾーン制御部400は、複数の第1制御信号の各々の信頼度を示す信頼度情報(情報テーブル)を記憶する。具体的には、ゾーン制御部400には、信頼度情報を記憶する記憶部(図示を省略)が設けられる。そして、出力部50(ゾーン制御部400)は、記憶部に記憶された信頼度情報を参照して、複数の第1制御信号の中から信頼度が最も高い第1制御信号を選出し、その選出された第1制御信号を第2制御信号として出力する。
以上のように、複数の演算部30の各々から供給される第1制御信号のうち信頼度が最も高い第1制御信号を第2制御信号として出力することにより、アクチュエータ100の制御の信頼性を良好な状態に維持することができる。
なお、出力部50(ゾーン制御部400)は、2つ以上の演算部30(第1制御信号)に異常がない場合に、その2つ以上の演算部30の各々から供給される第1制御信号(合計で2つ以上の第1制御信号)のうち信頼度が最も高い第1制御信号を第2制御信号として出力するように構成されてもよい。
また、出力部50(ゾーン制御部400)は、異常なしの2つ以上の第1制御信号の各々に示された目標出力にその第1制御信号の信頼度に応じた重みを付けて目標出力の重み付け平均を行うように構成されてもよい。なお、第1制御信号の信頼度が高くなるに連れて、その第1制御信号に付される重みが大きくなる。そして、出力部50(ゾーン制御部400)は、その重み付け平均の結果を第2制御信号として出力するように構成されてもよい。
(出力部の変形例2)
また、出力部50(ゾーン制御部400)は、複数の演算部30(第1制御信号)の各々に異常がない場合に、複数の演算部30の各々から供給される第1制御信号(すなわち複数の第1制御信号)のうち伝送速度が最も速い第1制御信号を第2制御信号として出力するように構成されてもよい。例えば、ゾーン制御部400は、複数の第1制御信号の各々の伝送速度を示す伝送速度情報(情報テーブル)を記憶する。具体的には、ゾーン制御部400には、伝送速度情報を記憶する記憶部(図示を省略)が設けられる。そして、出力部50(ゾーン制御部400)は、記憶部に記憶された伝送速度情報を参照して、複数の第1制御信号の中から伝送速度が最も速い第1制御信号を選出し、その選出された第1制御信号を第2制御信号として出力する。
以上のように、複数の演算部30の各々から供給される第1制御信号のうち伝送速度が最も速い第1制御信号を第2制御信号として出力することにより、アクチュエータ100の制御の応答性を良好な状態に維持することができる。
なお、出力部50(ゾーン制御部400)は、2つ以上の演算部30(第1制御信号)に異常がない場合に、その2つ以上の演算部30の各々から供給される第1制御信号(合計で2つ以上の第1制御信号)のうち伝送速度が最も速い第1制御信号を第2制御信号として出力するように構成されてもよい。
また、出力部50(ゾーン制御部400)は、異常なしの2つ以上の第1制御信号の各々に示された目標出力にその第1制御信号の伝送速度に応じた重みを付けて目標出力の重み付け平均を行うように構成されてもよい。なお、第1制御信号の伝送速度が速くなるに連れて、その第1制御信号に付される重みが大きくなる。そして、出力部50(ゾーン制御部400)は、その重み付け平均の結果を第2制御信号として出力するように構成されてもよい。
(出力部の変形例3)
また、出力部50(ゾーン制御部400)は、複数の演算部30(第1制御信号)の各々に異常がない場合に、複数の演算部30の各々から供給される第1制御信号(すなわち複数の第1制御信号)のうち車両11のシーンに応じた第1制御信号を第2制御信号として出力するように構成されてもよい。例えば、ゾーン制御部400は、車両11のシーンの各々において選出されるべき第1制御信号を示すシーン情報(情報テーブル)を記憶する。具体的には、ゾーン制御部400には、シーン情報を記憶する記憶部(図示を省略)が設けられる。そして、出力部50(ゾーン制御部400)は、記憶部に記憶されたシーン情報を参照して、複数の第1制御信号の中から車両11のシーンに対応する第1制御信号を選出し、その選出された第1制御信号を第2制御信号として出力する。
なお、車両11のシーンの具体例としては、車両11が日中に走行するというシーン、車両11が夜間に走行するというシーン、車両11が低速で走行するというシーン、車両11が高速で走行するというシーン、車両11が前方の他車両に追従するというシーン、車両が車庫入れを行うというシーン、これらのシーンの組合せなどが挙げられる。これらのシーンは、センサ200により検出された情報、センサ200により検出された情報から認識される車両11の外部環境などから推定可能である。
以上のように、複数の演算部30の各々から供給される第1制御信号のうち車両11のシーンに応じた第1制御信号を第2制御信号として出力することにより、車両11のシーンに応じてアクチュエータ100の制御を適切に行うことができる。
(その他の実施形態)
以上の説明では、セントラル制御部300(具体的には診断部40)が複数の第1制御信号(具体的には演算部30)の各々の異常の有無を診断する場合を例に挙げたが、これに限定されない。例えば、セントラル制御部300(診断部40)は、複数の第1制御信号(演算部30)の各々における信頼度(異常のレベルの一例)を診断するように構成されてもよい。この場合、ゾーン制御部400(具体的には出力部50)は、複数の第1制御信号(具体的には演算部30)のうち診断部40により診断された信頼度が予め定められた正常信頼度を下回る第1制御信号(演算部30)を「異常ありの第1制御信号(演算部30)」とし、診断部40により診断された信頼度が正常信頼度を下回らない第1制御信号(演算部30)を「異常なしの第1制御信号(演算部30)」とするように構成されてもよい。
また、以上の実施形態を適宜組み合わせて実施してもよい。以上の実施形態は、本質的に好ましい例示であって、この発明、その適用物、あるいはその用途の範囲を制限することを意図するものではない。
以上説明したように、ここに開示する技術は、車両制御システムとして有用である。
10 車両制御システム
11 車両
15 演算装置
100 アクチュエータ
200 センサ
300 セントラル制御部(第1制御部)
400 ゾーン制御部(第2制御部)
30 演算部
31 第1演算部
32 第2演算部
33 第3演算部
40 診断部
41 第1診断部
42 第2診断部
43 第3診断部
50 出力部
61 入出力制御部
62 診断部
63 出力部
70 安全アーキテクチャ
80 安全アーキテクチャ

Claims (4)

  1. 車両に設けられるアクチュエータを制御する車両制御システムであって、
    複数の演算部と診断部とを有する第1制御部と、
    前記第1制御部と前記アクチュエータとの間の信号経路に設けられ、出力部を有する第2制御部とを備え、
    前記複数の演算部の各々は、前記アクチュエータの制御のための第1制御信号を前記出力部に供給し、
    前記診断部は、前記複数の演算部の各々における異常の診断を行い、
    前記出力部は、前記複数の演算部の各々から供給される第1制御信号と、前記診断部による前記複数の演算部の各々の診断結果とに基づいて、前記アクチュエータの制御のための第2制御信号を出力する
    ことを特徴とする車両制御システム。
  2. 請求項1において、
    前記出力部は、前記複数の演算部の各々に異常がない場合に、該複数の演算部の各々から供給される第1制御信号のうち信頼度が最も高い第1制御信号を前記第2制御信号として出力する
    ことを特徴とする車両制御システム。
  3. 請求項1において、
    前記出力部は、前記複数の演算部の各々に異常がない場合に、該複数の演算部の各々から供給される第1制御信号のうち伝送速度が最も速い第1制御信号を前記第2制御信号として出力する
    ことを特徴とする車両制御システム。
  4. 請求項1において、
    前記出力部は、前記複数の演算部の各々に異常がない場合に、該複数の演算部の各々から供給される第1制御信号のうち前記車両のシーンに応じた第1制御信号を前記第2制御信号として出力する
    ことを特徴とする車両制御システム。
JP2019140230A 2019-07-30 2019-07-30 車両制御システム Pending JP2021020648A (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2019140230A JP2021020648A (ja) 2019-07-30 2019-07-30 車両制御システム
US17/630,927 US20220281466A1 (en) 2019-07-30 2020-07-22 Vehicle control system
CN202080055556.4A CN114269619B (zh) 2019-07-30 2020-07-22 车辆控制系统
EP20846403.2A EP4005891B1 (en) 2019-07-30 2020-07-22 Vehicle control system
PCT/JP2020/028502 WO2021020293A1 (ja) 2019-07-30 2020-07-22 車両制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019140230A JP2021020648A (ja) 2019-07-30 2019-07-30 車両制御システム

Publications (1)

Publication Number Publication Date
JP2021020648A true JP2021020648A (ja) 2021-02-18

Family

ID=74230310

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019140230A Pending JP2021020648A (ja) 2019-07-30 2019-07-30 車両制御システム

Country Status (5)

Country Link
US (1) US20220281466A1 (ja)
EP (1) EP4005891B1 (ja)
JP (1) JP2021020648A (ja)
CN (1) CN114269619B (ja)
WO (1) WO2021020293A1 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130060526A1 (en) * 2010-03-30 2013-03-07 Eads Deutschland Gmbh Computer System and Method for Comparing Output Signals
US20140229064A1 (en) * 2013-02-12 2014-08-14 Paravan Gmbh Circuit for controlling an acceleration, braking and steering system of a vehicle
US20140351658A1 (en) * 2013-05-22 2014-11-27 GM Global Technology Operations LLC Redundant computing architecture
JP2016133962A (ja) * 2015-01-19 2016-07-25 株式会社デンソー センサ装置及びセンサシステム
JP2017196965A (ja) * 2016-04-26 2017-11-02 三菱電機株式会社 自動運転制御装置および自動運転制御方法
WO2018221136A1 (ja) * 2017-05-29 2018-12-06 三菱電機株式会社 異常判定装置、異常判定方法及び異常判定プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4848027B2 (ja) 2004-01-30 2011-12-28 日立オートモティブシステムズ株式会社 車両制御装置
US7173344B2 (en) * 2004-04-19 2007-02-06 Tai-Her Yang Series & parallel combined dual power drive system
CA2630199A1 (en) * 2008-05-01 2009-11-01 Multimatic Inc. Vehicle auxiliary hydraulic system
DE102017210955A1 (de) * 2017-06-28 2019-01-17 Volkswagen Aktiengesellschaft Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum auflösen einer redundanz von zwei oder mehr redundanten modulen

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130060526A1 (en) * 2010-03-30 2013-03-07 Eads Deutschland Gmbh Computer System and Method for Comparing Output Signals
US20140229064A1 (en) * 2013-02-12 2014-08-14 Paravan Gmbh Circuit for controlling an acceleration, braking and steering system of a vehicle
US20140351658A1 (en) * 2013-05-22 2014-11-27 GM Global Technology Operations LLC Redundant computing architecture
JP2016133962A (ja) * 2015-01-19 2016-07-25 株式会社デンソー センサ装置及びセンサシステム
JP2017196965A (ja) * 2016-04-26 2017-11-02 三菱電機株式会社 自動運転制御装置および自動運転制御方法
WO2018221136A1 (ja) * 2017-05-29 2018-12-06 三菱電機株式会社 異常判定装置、異常判定方法及び異常判定プログラム

Also Published As

Publication number Publication date
CN114269619B (zh) 2023-12-08
EP4005891A1 (en) 2022-06-01
CN114269619A (zh) 2022-04-01
EP4005891B1 (en) 2023-10-11
US20220281466A1 (en) 2022-09-08
EP4005891A4 (en) 2022-08-24
WO2021020293A1 (ja) 2021-02-04

Similar Documents

Publication Publication Date Title
CN118062035A (zh) 用于自主车辆的冗余硬件系统
WO2021020230A1 (ja) 車両制御システム
CN114174123B (zh) 车辆控制系统
WO2021020286A1 (ja) 車両制御システム
WO2021020294A1 (ja) 車両制御システム
WO2021039626A1 (ja) 車載ネットワークシステム
WO2021020293A1 (ja) 車両制御システム
WO2021020172A1 (ja) 車両制御システム
JP6918080B2 (ja) 車載ネットワークシステム
WO2021039643A1 (ja) 中央演算装置
CN113711543B (zh) 车载网络系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220517

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230522

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230926