JP2022124258A - 車載型コンピュータシステムおよび自動運転支援システム - Google Patents

車載型コンピュータシステムおよび自動運転支援システム Download PDF

Info

Publication number
JP2022124258A
JP2022124258A JP2021021914A JP2021021914A JP2022124258A JP 2022124258 A JP2022124258 A JP 2022124258A JP 2021021914 A JP2021021914 A JP 2021021914A JP 2021021914 A JP2021021914 A JP 2021021914A JP 2022124258 A JP2022124258 A JP 2022124258A
Authority
JP
Japan
Prior art keywords
vehicle
ecu
computer system
program
update program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021021914A
Other languages
English (en)
Other versions
JP7495890B2 (ja
Inventor
スワラン シンガ ラトル
Swarn Singh Rathour
祐 石郷岡
Hiroshi Ishigooka
敏史 大塚
Toshifumi Otsuka
英之 坂本
Hideyuki Sakamoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2021021914A priority Critical patent/JP7495890B2/ja
Priority claimed from JP2021021914A external-priority patent/JP7495890B2/ja
Priority to PCT/JP2021/033760 priority patent/WO2022172498A1/ja
Priority to CN202180090860.7A priority patent/CN116762058A/zh
Priority to DE112021006067.8T priority patent/DE112021006067T5/de
Publication of JP2022124258A publication Critical patent/JP2022124258A/ja
Application granted granted Critical
Publication of JP7495890B2 publication Critical patent/JP7495890B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Traffic Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】車載型コンピュータシステムのプログラム更新によって新たな機能を追加できる技術を提供する。【解決手段】車載型コンピュータシステムは複数のECUを備える。各ECUは通信バスを介して少なくとも1つの他のECUと通信可能である。車載型コンピュータシステムは、ECUについて、ECU状態を測定する測定手段と、ECU状態と、通信バスの接続構成とに基づき、車両状態を推定する推定手段と、更新プログラムと、更新プログラムの実行条件とを取得する、管理手段と、を備える。管理手段は、車両状態と、実行条件とに基づいて、更新プログラムを実行すべき第1ECUを選択する。第1ECUは、更新プログラムを実行する。管理手段は、更新プログラムの出力遅延制約が満たされているか否かを判定する。管理手段は、更新プログラムに対して冗長な冗長プログラムの実行を終了させる。【選択図】図9

Description

本発明は、車載型コンピュータシステムおよび自動運転支援システムに関する。
車載型コンピュータシステムにおいて、OTA(Over The Air)技術等を用いて電子制御装置の更新またはアップグレードを行うことが可能である。
たとえば特許文献1には、車両用プログラム書換えシステムが記載されている。特許文献1に記載される構成では、センター装置は、複数の更新対象装置の更新データ、対象装置ID及び対象装置のプログラム格納メモリが1面か複数面かを示し、対象装置の更新及びロールバックの際に参照されるメモリ構成と更新データを読み出すためのアドレスとに基づき、対象装置に対するID、メモリ構成及びアドレスを予め定められた所定のデータ構造に合わせて生成された諸元データと更新データとを含む配信パッケージを記憶し、車両側システムからの通知に応じてそれを車両側システムへ配信する。車両側システムは、受信した配信パッケージを参照して車両の走行中にメモリへの書込みが可能か否か判断し、対象装置のプログラム更新を制御し、途中でキャンセルがあるとメモリ構成に基づきロールバックを制御する。
特開2020-027669号公報
しかしながら、従来の技術では、車載型コンピュータシステムのプログラム更新によって新たな機能を追加することが困難であるという課題があった。
特許文献1の構成では、車載の中央ユニットおよび分散ユニットが新たな機能を統合するようには設計されておらず、また、スマートインフラストラクチャに基づく自動運転(AD)または先進運転支援システム(ADAS)アプリケーションを統合するようにも設計されていない。特許文献1の構成は、ファームウェアまたはバージョン更新を扱うのみであり、機能を更新することはできない。このため、特許文献1の構成では、プログラム更新によって新たな機能を追加することができない。
本発明はこのような課題を解決するためになされたものであり、車載型コンピュータシステムのプログラム更新によって新たな機能を追加できる技術を提供することを目的とする。
本発明に係る車載型コンピュータシステムの一例は、
車外のコンピュータと通信可能な、車載型コンピュータシステムであって、
前記車載型コンピュータシステムは複数のECUを備え、各ECUは通信バスを介して少なくとも1つの他のECUと通信可能であり、
前記車載型コンピュータシステムは、
前記ECUについて、ECU状態を測定する測定手段と、
前記ECU状態と、前記通信バスの接続構成とに基づき、車両状態を推定する推定手段と、
更新プログラムと、前記更新プログラムの実行条件とを取得する、管理手段と、
を備え、
前記管理手段は、前記車両状態と、前記実行条件とに基づいて、前記更新プログラムを実行すべき第1ECUを選択し、
前記第1ECUは、前記更新プログラムを実行し、
前記管理手段は、前記更新プログラムの出力遅延制約が満たされているか否かを判定し、
前記管理手段は、前記更新プログラムに対して冗長な冗長プログラムの実行を終了させる。
本発明に係る自動運転支援システムの一例は、上述の車載型コンピュータシステムと、前記車外のコンピュータとを備える。
本発明に係る車載型コンピュータシステムおよび自動運転支援システムによれば、車載型コンピュータシステムのプログラム更新によって新たな機能を追加することができる。
本発明の実施例1に係る車載型コンピュータシステムを含む自動運転支援システムに配置される様々なモジュールの例。 実施例1に係る車載型コンピュータシステムを含む自動運転環境の例。 実施例1に係る車載型コンピュータシステムに新たな機能を追加する動作の概念図。 実施例1に係る車載型コンピュータシステムに用いられるセンサの例。 実施例1に係る車載型コンピュータシステムのアーキテクチャの例。 実施例1に係る車載型コンピュータシステムの機能ブロック構成の例。 実施例1に係る車載型コンピュータシステムにおいて、複数のECUに対するプログラムの配置例。 実施例1における車載型コンピュータシステムの動作例を示すフローチャートの一部。 実施例1における車載型コンピュータシステムの動作例を示すフローチャートの一部。 実施例1における車載型コンピュータシステムに新たな機能が追加される動作例。 実施例1における車載型コンピュータシステムにおいて用いられる情報の例。 実施例1における管理手段DRIMと実行手段DRICとの関係の例。
以下、本発明の実施例を添付図面に基づいて説明する。以下は例示であり、本発明を限定するものではない。
実施例1.
図1は、本発明の実施例1に係る車載型コンピュータシステムを含む自動運転支援システムに配置される様々なモジュールの例を示す。実施例1は、車両の自律運転機能を拡張するための、スマートインフラストラクチャ、コネクテッドサービス、クラウドベース自律運転アプリケーションを、車載型AD/ADASプログラムに統合することができる。
ADとはたとえば自動運転(Autonomous Driving)を意味し、ADASとはたとえば先進運転支援システム(Advanced Driver Assistance System)を意味する。本明細書において、プログラムとは、たとえばアプリケーションプログラムを意味するがこれに限らない。
車載の電気電子(EE)資源の最適な利用のために、および、安全な統合および車載型AD/ADAS拡張モード遷移のために、車両は車内のEE資源およびネットワーク資源を実行または導出することができる。
同様に、車両は、環境条件、環境認識アルゴリズム、最適スループット要件、等の動的動作運転設計ドメインの知識ベースを有してもよい。
スマートインフラストラクチャ、コネクテッドサービス、クラウドベース自律運転アプリケーションの資源要件および資源可用性に基づき、実施例1に係る車載型コンピュータシステムは、要求される資源を安全および最適スループットのために割り当てることができる。
また、アプリケーション要件に基づき、アプリケーションデータのリルーティングおよびスケジューリングも実行される。
自動運転車両は、車両制御システム(たとえばAD/ADASシステム)を用いて制御される。車両制御システムは、ゾーンベースまたはドメインベースのEEアーキテクチャにおいて構成される、複数の環境認識センサ、車両センサ、ローカリゼーションセンサ、アクチュエータ(ブレーキ、ステアリング、スロットル、パワートレイン等)、等を含む。
車両制御システムは、互いに通信する複数のモジュールを含む。複数のモジュールを協働させることが有益である。また、各モジュールは、センサデータ、認識データ、計画データ、アプリケーション状態データ、等を要求する複数のプログラムを含む場合がある。モジュールまたはプログラムは、1つ以上の資源要件と、クリティカルな運転シナリオおよび車両制御システム状態における優先度とを有する場合がある。これらのタスクを協働させるには、利用可能な資源の状態に応じて、各タスク/サービスの優先度およびデッドラインを適応させることが有益である。
たとえば、スマートインフラストラクチャまたは路側機クラウドベースリモートサーバと通信可能な車両が、車両制御を支援または完全にテイクオーバできるスマートハイウェイを走行している場合には、車両の自動運転機能を拡張することができる。
クライアントアプリケーションの資源要件によっては、実施例1に係る機能ブロックは、安全なモード遷移のために、クライアントアプリケーションを車載型AD/ADASアプリケーションに統合することができる。
たとえば、スマートハイウェイが、ハンズフリースーパークルーズおよび車線変更機能を提供可能なハイウェイパイロットラインアプリケーションを提供する場合がある。そのようなシナリオでは、車載側のハンズオン/オフACC(適応的クルーズ制御)(半自律運転車両)およびLKA(車線維持支援)は終了可能である。しかしながら、AEB(自動緊急ブレーキ)衝突回避アプリケーション等の安全クリティカルなアプリケーションは、クライアントアプリケーションと協働する必要がある。
このクライアントアプリケーションと、車載型AD/ADAS安全アプリケーションとの組み合わせでは、リアルタイム/ソフトタイムの遅延制約が厳しくなる場合がある。そのようなシナリオでは、実施例1に係る車載型コンピュータシステムは、アプリケーションデータのスケジューリングおよびリルーティングも行うことができる。
別の例として、レーダー、LiDAR、カメラ、等を用いる車両検出は、それぞれ異なるネットワーク帯域幅要件を有する。デッドラインに対してレーダーのネットワーク帯域幅が要求するデータサイズは、カメラの場合に比較してはるかに小さい場合がある。車載型AD/ADASアプリケーションにスマートインフラストラクチャのクライアントアプリケーションを追加する場合には、AD/ADASアプリケーションを最小資源要件モードで実行することができる。
同様に、自動駐車および最適な電力利用も可能である。フェールオペレーショナルな車両制御システムを装備した高度な自動運転車両では、実施例1に係る車載型コンピュータシステムは、スマートインフラストラクチャの自律運転能力を利用して、車内の電力消費を抑制することができる。
実施例1に係る車載型コンピュータシステムは、たとえば自動運転機能を有する自動車に搭載されるが、「車載型」とは移動可能な装置に搭載されることを意味し、とくに自動車に搭載されるものに限らない。他の例として、バス、トラック、建設機械、地上型ロボット、倉庫ロボット、飛行機、ヘリコプター、ボート、船舶、農場機械、サービスロボット、列車、ゴルフカート、等にも搭載可能である。
図1は、実施例1に係る車載型コンピュータシステムを含む自動運転支援システムに配置され得る様々なモジュールの例を示す。この自動運転支援システムは、車載型コンピュータシステムと、車外のコンピュータとを含んで構成される。自動運転車両は、自動モードに設定することができ、安全ドライバーからの支援を得て、または支援なしで、所定の運転シナリオに沿って自動的に車両を運転することができる。
車載型コンピュータシステムは、環境認識センサシステム101と、環境認識システム102(運転シナリオに関する情報を収集する)と、計画システム103と、無線通信システム104と、物理ネットワーク通信システム105と、作用システム106と、車体・シャーシ制御システム107と、インフォテインメントシステム108と、ヒューマンマシンインタフェースシステム109と、ドライバー監視システム110と、車両制御システム111と、V2Xシステム112と、ドライバーインテンション113と、車両診断および機能不全監視システム114と、パワートレインシステム115とを含む。
自動運転車両は、手動モード、全自動モード、半自動モードのいずれかで走行可能である。車両は、図1のモジュールをすべて備える必要はなく、一部のモジュールが省略されていてもよい。
自動運転車両は、さらに、エンジン、車輪、ハンドル(ステアリングホイール)、トランスミッション、等を備えてもよく、車両制御システムがこれらを制御してもよい。自動運転車両は、さらに、各モジュールが互いに通信することを可能にする物理ネットワーク(有線ネットワーク)または無線ネットワークを備えてもよい。ネットワークは冗長であってもよい。
図2は、実施例1に係る車載型コンピュータシステムを含む自動運転環境の例を示す。この例はスマートハイウェイに関連する。スマートハイウェイは、路側機201および208と、スマートインフラストラクチャ203および206とを備え、運転シナリオを監視することができる。
スマートインフラストラクチャ203および206は、クラウドサーバ207と通信することができる。スマートインフラストラクチャ203および206は、認識センサにより取得された運転シナリオ情報を処理することができる。クラウドサーバ207は、スマートハイウェイ運転シナリオを処理して、車両202、204、205および209の安全なナビゲーションに必要な運転挙動を導出する。
スマートインフラストラクチャ203および206は、各車両およびクラウドサーバ207と、直接的に、または路側機を介して、通信可能である。各車両は、全自動または半自動運転が可能であり、また、路側機、スマートインフラストラクチャおよび他の車両との通信が可能である。各車両は、安全な走行のために、運転シナリオ認識および運転挙動情報を用いることができる。自動運転環境は、さらに、路面211(厳密には路面に関して配置されるコンピュータであり、道路に埋め込まれていてもよい。以下「路面」について同じ)および人工衛星212を含む。
実施例1に係る車載型コンピュータシステムは、たとえばこれらの車両202、204、205および209に搭載することができる。車載型コンピュータシステムは、車外のコンピュータと通信可能である。車外のコンピュータの例として、路側機201および208、スマートインフラストラクチャ203および206、クラウドサーバ207、路面211、人工衛星212、等が挙げられる。
図3は、実施例1に係るAD/ADAS対応車両に新たな機能を追加する動作の概念図である。車両307~309に、実施例1に係る車載型コンピュータシステムが搭載されている。車両307~309は、SAE規格L1~L2+に適合し、自律運転機能を有する低コストエントリ車両またはミッドレンジ車両である。
車両307~309は、スマートハイウェイを安全にナビゲートするのに必要な運転挙動を提供できるスマートハイウェイを走行している。この場合には、車外のコンピュータ(たとえば路側機301、スマートインフラストラクチャ302および303、路面304、クラウドサーバ305、人工衛星306、等)と通信することにより、車両307~309をSAE規格L2+~L5に拡張することができる。
このような動作は、アプリケーションインテグレータ310によって実現することができる。アプリケーションインテグレータ310は、車載型コンピュータシステム上で動作することができ、スマートハイウェイによって提供される自律運転アプリケーションを、車載型コンピュータシステムに統合して、車載型コンピュータシステムの能力を拡張することができる。
図4は、実施例1に係る車載型コンピュータシステムに用いられるセンサの例を示す。車載型コンピュータシステムは、様々なセンサ403~408を備えることができる。各センサは、車載型コンピュータシステムの、規格L1(401)および規格L2(402)様々な機能に必要な情報を提供する。なお、各規格の略語の説明は409に示す。
自律運転能力を拡張すると、AD/ADASアプリケーションの資源コストは増大する。実施例1によれば、スマートインフラストラクチャ、クラウドサーバ、コネクテッドサービス、等を用いて、SAE規格L1の能力を拡張することができる。
図5は、実施例1に係る車載型コンピュータシステムのアーキテクチャの例を示す。自動運転レベルが規格L1およびL2の場合には、安全性は「フェールセーフ」であり、アーキテクチャは規格1oo1Dである。自動運転レベルが規格L3~L5の場合には、安全性は「フェールオペレーショナル」であり、アーキテクチャは規格1oo2Dである。
自動運転のレベルが向上すると、計算コストは増大する。実施例1に係る車載型コンピュータシステムは、SAE規格のAD/ADASレベルをすべてカバー可能である。車載型コンピュータシステムは、スマートインフラストラクチャ、クラウドサーバ、自律運転アプリケーション、等を利用して、車両の自律運転能力拡張のために、運転シナリオ認識および運転挙動能力を利用することができる。
図6は、実施例1に係る車載型コンピュータシステムの機能ブロック構成の例である。車両602は、クラウドサーバ601および路側機603等と通信可能である。車両602に搭載される車載型コンピュータシステム604は、オンボード装置605と、環境センサ606(カメラ、レーダー、LiDAR、ソナー等)と、車両センサ607(GNSS、IMU、オドメトリ等)と、AD/ADASアプリケーション608と、監視手段609と、パワートレインアプリケーション610と、車体制御アプリケーション611と、シャーシ制御アプリケーション612と、アクチュエータ613(ブレーキ、スロットル、操舵、等)と、インフォテインメント手段614と、地図手段615(環境位置手段等)とを備える。
車載型コンピュータシステム604は、様々な車内EE環境において構成可能である。たとえば、統合ドメインアーキテクチャ、ハイブリッドゾーン・ドメインアーキテクチャ、ゾーンアーキテクチャ、等が可能である。
図7は、実施例1に係る車載型コンピュータシステムにおいて、複数のECUに対するプログラムの配置例である。車載型コンピュータシステムは、ECU1~ECU5(701~705)を備える。各ECUは、通信バス706~710を介して、少なくとも1つの他のECUと通信可能である。
とくに図示しないが、各ECUはプロセッサおよび記憶手段を備える。プロセッサは演算手段として機能し、プログラムを実行することができる。記憶手段はプログラムを記憶してもよい。プロセッサがこのプログラムを実行することにより、ECUは以下に説明する様々な手段として機能し、これによって、車載型コンピュータシステムは本実施例において説明される機能を実現する。
車載型コンピュータシステムは、ECUについてECU状態を測定する測定手段VLASE(Vehicle Local Area State Estimator)を備える。測定手段VLASEは、たとえばECUが所定のVLASEプログラムを実行することによって実現される。図7の例では、測定手段VLASEはECU1、ECU2、ECU4、ECU5に配置されている。
ECU状態は、当該ECUにおいて実行中のプログラムを示す情報を含む。たとえば、ECU1は認識プログラムを実行し、ECU2は計画プログラムを実行し、ECU3はマスターECUであり、ECU4はアクチュエータ制御プログラムを実行し、ECU5は表示プログラムを実行する。
また、ECU状態は、当該ECUにおけるプロセッサ負荷、メモリ使用量、および通信バス使用量を含んでもよい。
車載型コンピュータシステムは、車両状態を推定する推定手段VASEMを備える。図7の例では、推定手段VASEMはECU3(704)に配置されている。
推定手段VASEM(Vehicle Architecture State Estimator Master)は、ECU状態と、通信バスの接続構成とに基づき、車両状態を推定する。車両状態は、たとえばECU状態および通信バスの接続構成を組み合わせた情報である。図7の例では、推定手段VASEMはECU4に配置されている。
なお、ECU3(704)にも測定手段VLASEが配置されてもよい。または、推定手段VASEMが測定手段VLASEの機能を備えてもよい。
通信バスの接続構成は、各通信バスがどのECUとどのECUとを接続しているかを示す情報を含む。たとえば、ECU1とECU2とは通信バス1(708)を介して接続されている。ECU2とECU3とは通信バス3(710)を介して接続されている。ECU1とECU3とは通信バス2(707)を介して接続されている。ECU2とECU4とは通信バス4(709)を介して接続されている。ECU3とECU5とは通信バス5(706)を介して接続されている。
また、たとえば、ECU1とECU4とは直接的に通信バスによっては接続されておらず、通信バス1、ECU2、通信バス4を介する必要がある。このような通信バスの接続構成を表す情報は、推定手段VASEMが測定等により能動的に生成してもよいし、事前に各ECUの記憶手段に記憶されていてもよい。
車載型コンピュータシステムは、管理手段DRIM(Dynamic Reconfiguration Indicator Master)を備える。図7の例では、管理手段DRIMはECU3(704)に配置されている。管理手段DRIMは、更新プログラムと、更新プログラムの実行条件とを取得する。実行条件の具体例は、図10に関連して後述する。
車載型コンピュータシステムは、実行手段DRIC(Dynamic Reconfiguration Indicator Client)を備える。図7の例では、実行手段DRICはECU1、ECU2、ECU4、ECU5に配置されている。実行手段DRICは、ECUに特定のプログラムを実行させ、または終了させる。たとえばECU2の実行手段DRICは、ECU2に計画プログラムを実行させる。実行手段DRICは、プログラムのインストールと呼ばれる処理を行うものであってもよい。
なお、ECU3(704)にも実行手段DRICが配置されていてもよい。または、管理手段DRIMが実行手段DRICの機能を備えていてもよい。
図8Aおよび図8Bは、実施例1における車載型コンピュータシステムの動作例を示すフローチャートである。まず管理手段DRIMは、更新プログラムおよびその実行条件を取得する(ステップ801)。更新プログラムおよびその実行条件は、任意の経路で取得することができるが、たとえば事前にいずれかのECUの記憶手段に記憶しておいてもよいし、車外のコンピュータから取得してもよい。
次に、測定手段VLASEが、各ECUについてECU状態を測定する(ステップ802)。測定手段VLASEは、測定したECU状態を、推定手段VASEMに送信する。上述のように、ECU状態は、当該ECUにおいて実行中のプログラムを示す情報を含むことができ、また、当該ECUにおけるプロセッサ負荷、メモリ使用量、および通信バス使用量、等を含むことができる。
次に、推定手段VASEMは、車両状態を推定し(ステップ803)、管理手段DRIMに車両状態を通知する。
次に、管理手段DRIMは、更新プログラムに割り当てる資源を決定する(ステップ804)。資源は、たとえばプロセッサ負荷、メモリ使用量および通信バス使用量を含む。割り当てる資源の決定方法は、当業者が適宜設計可能である。たとえば更新プログラムに関連付けて必要な資源の量を示す情報を取得してもよい。また、車載型コンピュータシステムにおいて利用可能な資源に応じて、割り当てる資源の量を変化させてもよい。
次に、管理手段DRIMは、更新プログラムの実行開始(またはインストール)と、冗長プログラムの実行終了とに必要な時間を決定する(ステップ805)。冗長プログラムとは、更新プログラムに対して冗長なプログラムを意味する。たとえば、ある更新プログラムが、計画プログラムの機能をすべて含んでいる場合には、計画プログラムは、その更新プログラムに対する冗長プログラムとなる。
ある更新プログラムについて、どのプログラムが冗長プログラムとなるかの決定方法は、当業者が適宜設計可能である。たとえば各プログラムにIDを付与しておき、あらかじめ更新プログラムに冗長プログラムのIDを関連付けておいてもよい。その場合には、ステップ801において更新プログラムとともに冗長プログラムのIDを取得することによって、冗長プログラムを特定することができる。または、車載型コンピュータシステムは、更新プログラムと同一種類のデータ(たとえば同一の表示装置に対するデータ)を出力するプログラムを、冗長プログラムであると決定してもよい。
また、実行開始および実行終了に必要な時間の決定方法は、当業者が適宜設計可能である。たとえば各プログラムのサイズに応じて決定してもよいし、各プログラムに当該時間を関連付けて事前に記憶手段に記憶しておいてもよい。さらに、他に様々な情報に基づいて計算または修正されてもよい。
次に、管理手段DRIMは、更新プログラムの実行開始および冗長プログラムの実行終了に必要な時間が、所定の安全基準を満たすか否かを判定する(ステップ806)。たとえば、所定の基準時間以内に完了するか否かを判定する。更新プログラムの実行開始処理中および冗長プログラムの実行終了処理中には、各プログラムの機能が発揮されない期間が存在するため、この期間が車両の安全な制御に影響を及ぼすか否かを判断することが有益である。
ステップ806の安全基準は、固定であってもよいし、各プログラムに関連付けられた基準であってもよいし、他の条件に応じて変化する基準であってもよい。たとえばその時点の車速に応じて基準が変化してもよい。たとえば、停車中または低速走行時(駐車動作の実行中等)には、各プログラムの機能が発揮されない期間が多少長くとも安全に影響を及ぼさないと考えられるので、基準時間を初期値より長くすることができるが、高速走行時(高速道路の走行中等)には各プログラムの機能が発揮されない期間が長くなると安全に影響するため、短時間で処理を完了する必要があり、したがって基準時間は初期値より短くなる。
ステップ806において、必要な時間が安全基準を満たす場合には、車載型コンピュータシステムはプログラムの更新を行う(ステップ807)。たとえば、管理手段DRIMが、車両状態と、更新プログラムの実行条件とに基づいて、更新プログラムを実行すべきECU(第1ECU。以下、「ターゲットECU」という)を選択する。そして、選択されたターゲットECUに、更新プログラムおよび更新要求を送信する。これらを受信したターゲットECUは、実行手段DRICの機能により更新プログラムの実行を開始する。
また、管理手段DRIMは、冗長プログラムの実行を終了させる。すなわち、冗長プログラムを実行しているECU(ターゲットECUまたは他のECU)に、当該冗長プログラムの終了要求を送信する。終了要求を受信したECUは、実行手段DRICの機能により冗長プログラムの実行を終了する。これによって、不要な資源の消費が抑制される。ここで、実行手段DRICは、当該冗長プログラムの実行を後に再開させるために必要な情報(プログラムIDまたはプログラムコード等)を記憶してもよい。
次に、測定手段VLASEは、ステップ807における実行手段DRICの処理後のECU状態を測定し、推定手段VASEMに送信する(ステップ808)。
次に、推定手段VASEMは、更新されたECU状態等に基づいて車両状態を推定し、管理手段DRIMに車両状態を通知する(ステップ809)。
次に、管理手段DRIMは、更新プログラムの出力遅延制約が満たされているか否かを判定する(ステップ810)。出力遅延制約および判定処理の具体例は、図10に関連して後述する。
ステップ810において、更新プログラムの出力遅延制約が満たされている場合には、ターゲットECUは更新プログラムの実行を継続し、これによって、車載型コンピュータシステムは新たなADASモードで動作する(ステップ811)。
ステップ811の後、実行手段DRIC(ターゲットECUに限らない)は、管理手段DRIMを監視し、管理手段DRIMの障害を検出した場合に、冗長プログラム(すなわち、管理手段DRIMがステップ807において実行を終了させたプログラム)を再度実行させる(ステップ813)。このようにすると、障害となった管理手段DRIMが不正に終了させた冗長プログラムの実行を再開することができる。なお、冗長プログラムを実行するECUの選択方法は、当業者が適宜設計可能であるが、たとえば当該冗長プログラムを最後に実行していたECUとすることができる。
一方、ステップ810において、更新プログラムの出力遅延制約が満たされていない場合には、車載型コンピュータシステムは所定の安全処理を実行する。本実施例では、安全ADASモードで動作する(ステップ812)。安全ADASモードの具体的内容は、当業者が適宜設計可能である。たとえば、自動運転中の車速の最大値を、通常時の最大値よりも小さい値に制限し、これによって、出力遅延制約が満たされない場合でも安全な運転ができるように車両を制御する。
ステップ813において冗長プログラムが再度実行開始された後、または、ステップ812の後には、車載型コンピュータシステムは以前の状態に復帰する(ステップ814)。ここで、復帰すべき状態(バックアップまたはチェックポイント)の決定方法および復帰のための具体的処理は、当業者が適宜設計することができる。たとえば、冗長プログラムおよび他のアプリケーションプログラムを回復または再インストールし、システムの再起動を行うことができる。
上述のステップ806(図8A)において、更新プログラムの実行開始および冗長プログラムの実行終了に必要な時間が、所定の安全基準を満たさない場合には、車載型コンピュータシステムは、車両を安全に停車させることが可能か否かを判定する(ステップ815)。この判定の具体的な内容は、公知の自動運転技術等に基づき、当業者が適宜設計可能である。たとえば、車両が走行している道路、周囲の状況、車速、等に基づいて判定することができる。
車両を安全に停車させることが可能な場合には、車載型コンピュータシステムは、車両を安全に停車させた後に、図8Bのステップ807~814の処理を実行する。一方、車両を安全に停車させることが可能でない場合には、車載型コンピュータシステムは安全ADASモードで動作するか、または、その時点のAD/ADASモードで継続的に動作する(ステップ816)。この場合には、更新プログラムは実行されない。
図9および図10を用いて、更新プログラムおよび冗長プログラムに関する判定処理の例を説明する。図9は、実施例1における車載型コンピュータシステムに新たな機能が追加される動作例である。図10は、実施例1における車載型コンピュータシステムにおいて用いられる情報の例を示す。
図9に示すように、ECU2(903)が計画プログラムを実行している。ここで、計画プログラムの機能を含む、より高度なクライアントアプリケーションが車載型コンピュータシステムに入力された場合を想定する。このクライアントアプリケーションは更新プログラムであり、計画プログラムはクライアントアプリケーションに対する冗長プログラムとなる。すなわち、図示のように、クライアントアプリケーションをONとし、計画プログラムがOFFとすることを試みる。
図10に示すように、クライアントアプリケーションに関する入出力制約1001が予め定義されている。入出力制約1001は、実行条件の少なくとも一部を表し、入力遅延制約および出力遅延制約を含む。入力遅延制約は、たとえばデータサイズおよび最大許容遅延を含む。図10の例では、入力遅延制約は、1Mバイトのサイズの画像(たとえばカメラからの生画像)が、生成後(たとえばカメラからの出力後)、50ms以内に、クライアントアプリケーションに入力されなければならない、というものである。
出力遅延制約は、たとえばデータサイズおよび最大許容出力周期を含む。図10の例では、出力遅延制約は、2種類の制御情報(制御情報AおよびB)について、それぞれ10バイトのサイズのデータが、クライアントアプリケーションから50ms以内の周期で出力されなければならない、というものである。
ステップ807におけるターゲットECUの選択処理の具体例を、以下に説明する。本例において、ステップ807では、更新プログラムの実行条件および通信バスの接続構成を用いてターゲットECUを選択する。更新プログラムの実行条件は、たとえば入力遅延制約を含む(さらに出力遅延制約を含んでもよい)。
通信バスの接続構成は、たとえば入力遅延表1002によって表される。入力遅延表1002において、最上行は、カメラ画像(ECU1において生成される)に関する入力遅延を表す。各列は、ECU1から各ECUまでの入力遅延を表す。
ECU1からECU1までの入力遅延は、同一ECUであるため0である。これは50ms以内であるため、ECU1でクライアントアプリケーションを実行すると入力遅延制約が満たされる。このため、ECU1はターゲットECUとすることができる。
ECU1からECU2までの入力遅延は、通信バス1(CAN)を経由する場合には10sである。これは50msを超えるため、ECU2でクライアントアプリケーションを実行する場合に、通信バス1経由で通信を行うと入力遅延制約が満たされない。一方、ECU1からECU2までの入力遅延は、通信バス2(イーサネット(登録商標))および通信バス3(イーサネット)を経由する場合には20msである。これは50ms以内であるため、ECU2でクライアントアプリケーションを実行する場合に、通信バス2および3経由で通信を行うと入力遅延制約が満たされる。このため、ECU2は、特定の通信ルートを用いる場合に限り、ターゲットECUとすることができる。
他のECUに係る入力遅延についても同様であるため説明を省略するが、ECU3およびECU5は、特定の通信ルートを用いる場合に限りターゲットECUとすることができ、ECU4はいずれの通信ルートでも入力遅延制約が満たされないためターゲットECUとすることができない。このような判定処理により、適切なターゲットECUおよび通信ルートの選択が可能になる。
なお、通信ルートを限定する場合の具体的処理は、当業者が適宜設計することができる。たとえば、管理手段DRIMは各ECUに対してクライアントアプリケーションの情報の伝送ルートを通知し、各ECUはこれに従って情報の送受信を行う。
この例のように、複数のECUをターゲットECUとすることができる場合には、どのECUをターゲットとして選択するかの判定基準として、ECU状態を用いてもよい。たとえば、各ECUについて、プロセッサ負荷、メモリ使用量、および通信バス使用量に基づいて総合負荷を算出し、この総合負荷が最も低いECUをターゲットECUとして選択してもよい。総合負荷を算出する方法(関数等)は、当業者が適宜設計可能である。たとえばプロセッサ負荷、メモリ使用量、および通信バス使用量にそれぞれ重みを乗算したものの総和を総合負荷としてもよい。このような判定処理により、適切なターゲットECUの選択が可能になる。
入力遅延表1002は、たとえば通信時間表1003に基づいて生成することができる。通信時間表は、データサイズごとに、各通信バスを介する通信処理に要する時間を表す。または、入力遅延表1002は、事前に作成され記憶されていてもよい。または、入力遅延表1002は、更新プログラムに関連付けて取得されてもよい。
制御設計1004は、クライアントアプリケーションの入出力の概要を示す。認識プログラムがカメラ画像を生成し、カメラ画像がクライアントアプリケーションに入力され、クライアントアプリケーションはカメラ画像に基づいて出力情報を生成し、この出力情報が操作プログラムおよび表示プログラムに入力される。
出力判定例1005は、ECU2をターゲットECUとした場合の出力遅延制約の達成状況(ステップ801において、管理手段DRIMによって測定される)を示す。この例では、制御情報AおよびB双方がECU2から50msの周期で出力されている。周期がいずれも50ms以内であるため、出力遅延制約は満たされていると判定される。
なお、出力判定例1006は、ECU2をターゲットECUとした場合の、ECU3における出力遅延の状況を示す。ECU3では操作プログラムが実行されており、制御情報Aは不要であり、制御情報Bの出力周期は100msである。
同様に、出力判定例1007は、ECU2をターゲットECUとした場合の、ECU5における出力遅延の状況を示す。ECU3では表示プログラムが実行されており、制御情報Aの出力周期は10.2sであり、制御情報Aは不要である。
図11は、実施例1における管理手段DRIMと実行手段DRICとの関係の例を示す。管理手段DRIMは、更新プログラムをRAM(ランダムアクセスメモリ)に記憶する。また、管理手段DRIMは、所定の周期で、ハートビート信号を各実行手段DRIC(より具体的には、各実行手段DRICを実現している各ECU)に送信する。
各実行手段DRICは、ハートビート信号の欠如に基づき、管理手段DRIMの障害を検出する。ここで「ハートビート信号の欠如」とは、たとえばハートビート信号が所定のタイミングで受信されないこと、または、あるハートビート信号を受信してから次のハートビート信号を受信するまでの時間が所定の閾値を超えたことを意味する。
各実行手段DRICは、管理手段DRIMの障害を検出した場合に、検出以降に管理手段DRIMから受信した信号を無視する。また、各実行手段DRICは、管理手段DRIMの障害を検知した場合に、他の実行手段DRICに障害情報を送信する。各実行手段DRICは、障害情報を受信した場合に、受信以降に管理手段DRIMから受信した信号を無視する。このようにすると、管理手段DRIMに障害が発生した場合に、それ以降に送信される誤った制御情報による車載型コンピュータシステムの誤動作が抑制される。
なお、図10の例において、出力遅延制約は出力周期を表すが、変形例として、許容遅延を表してもよい。たとえば、図10の例では、出力遅延制約は、2種類の制御情報(制御情報AおよびB)について、それぞれ10バイトのサイズのデータが、クライアントアプリケーションから50ms以内に出力されなければならない、というものであってもよい。
以上説明するように、実施例1に係る車載型コンピュータシステム、および、これを含む自動運転支援システムによれば、車載型コンピュータシステムのプログラム更新によって新たな機能を追加することができる。
上記は例であり、当業者は添付の特許請求の範囲から逸脱することなく適切な変形を加えることができる。
101…環境認識センサシステム
102…環境認識システム
103…計画システム
104…無線通信システム
105…物理ネットワーク通信システム
106…作用システム
107…車体・シャーシ制御システム
108…インフォテインメントシステム
109…ヒューマンマシンインタフェースシステム
110…ドライバー監視システム
111…車両制御システム
112…V2Xシステム
113…ドライバーインテンション
114…機能不全監視システム
115…パワートレインシステム
201,208…路側機(車外のコンピュータ)
202,204,205,209…車両
203,206…スマートインフラストラクチャ(車外のコンピュータ)
207…クラウドサーバ(車外のコンピュータ)
211…路面(車外のコンピュータ)
212…人工衛星(車外のコンピュータ)
301…路側機(車外のコンピュータ)
302,303…スマートインフラストラクチャ(車外のコンピュータ)
304…路面(車外のコンピュータ)
305…クラウドサーバ(車外のコンピュータ)
306…人工衛星(車外のコンピュータ)
307~309…車両
310…アプリケーションインテグレータ
401…規格L1
402…規格L2
403~408…センサ
409…略語
601…クラウドサーバ
602…車両
603…路側機
604…車載型コンピュータシステム
605…オンボード装置
606…環境センサ
607…車両センサ
608…AD/ADASアプリケーション
609…監視手段
610…パワートレインアプリケーション
611…車体制御アプリケーション
612…シャーシ制御アプリケーション
613…アクチュエータ
614…インフォテインメント手段
615…地図手段
701~705 ECU
706~710…通信バス
901,903,904,909,911 ECU
905~908,910…通信バス
1001…入出力制約(入力遅延制約および出力遅延制約)
1002…入力遅延表
1003…通信時間表
1004…制御設計
1005~1007…出力判定例
DRIC…実行手段
DRIM…管理手段
VASEM…推定手段
VLASE…測定手段

Claims (10)

  1. 車外のコンピュータと通信可能な、車載型コンピュータシステムであって、
    前記車載型コンピュータシステムは複数のECUを備え、各ECUは通信バスを介して少なくとも1つの他のECUと通信可能であり、
    前記車載型コンピュータシステムは、
    前記ECUについて、ECU状態を測定する測定手段と、
    前記ECU状態と、前記通信バスの接続構成とに基づき、車両状態を推定する推定手段と、
    更新プログラムと、前記更新プログラムの実行条件とを取得する、管理手段と、
    を備え、
    前記管理手段は、前記車両状態と、前記実行条件とに基づいて、前記更新プログラムを実行すべき第1ECUを選択し、
    前記第1ECUは、前記更新プログラムを実行し、
    前記管理手段は、前記更新プログラムの出力遅延制約が満たされているか否かを判定し、
    前記管理手段は、前記更新プログラムに対して冗長な冗長プログラムの実行を終了させる、
    車載型コンピュータシステム。
  2. 前記ECUは、前記管理手段の障害を検出した場合に、前記管理手段が実行を終了させた前記冗長プログラムを実行させる、請求項1に記載の車載型コンピュータシステム。
  3. 前記管理手段は、前記更新プログラムをRAMに記憶し、ハートビート信号を各前記ECUに送信し、
    各前記ECUは、前記ハートビート信号の欠如に基づき、前記管理手段の障害を検出し、
    各前記ECUは、前記障害を検出した場合に、検出以降に前記管理手段から受信した信号を無視し、
    各前記ECUは、前記障害を検知した場合に、他の前記ECUに障害情報を送信し、
    各前記ECUは、前記障害情報を受信した場合に、受信以降に前記管理手段から受信した信号を無視する、
    請求項1に記載の車載型コンピュータシステム。
  4. 前記ECU状態は、当該ECUにおいて実行中のプログラムを示す情報を含む、請求項1に記載の車載型コンピュータシステム。
  5. 前記ECU状態は、当該ECUにおけるプロセッサ負荷、メモリ使用量、および通信バス使用量を含む、請求項1に記載の車載型コンピュータシステム。
  6. 前記更新プログラムの前記実行条件は、前記更新プログラムの入力遅延制約を含む、請求項1に記載の車載型コンピュータシステム。
  7. 前記更新プログラムの前記出力遅延制約が満たされていない場合に、前記車載型コンピュータシステムは所定の安全処理を実行する、請求項1に記載の車載型コンピュータシステム。
  8. 前記管理手段は、前記更新プログラムの実行開始および前記冗長プログラムの実行終了に必要な時間が、所定の安全基準を満たすか否かを判定する、請求項1に記載の車載型コンピュータシステム。
  9. 前記安全基準は車速に応じて変化する、請求項8に記載の車載型コンピュータシステム。
  10. 請求項1に記載の車載型コンピュータシステムと、前記車外のコンピュータとを備える、自動運転支援システム。
JP2021021914A 2021-02-15 2021-02-15 車載型コンピュータシステムおよび自動運転支援システム Active JP7495890B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2021021914A JP7495890B2 (ja) 2021-02-15 車載型コンピュータシステムおよび自動運転支援システム
PCT/JP2021/033760 WO2022172498A1 (ja) 2021-02-15 2021-09-14 車載型コンピュータシステムおよび自動運転支援システム
CN202180090860.7A CN116762058A (zh) 2021-02-15 2021-09-14 车载型计算机系统和自动驾驶辅助系统
DE112021006067.8T DE112021006067T5 (de) 2021-02-15 2021-09-14 Bordcomputersystem und assistenzsystem für autonomes fahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021021914A JP7495890B2 (ja) 2021-02-15 車載型コンピュータシステムおよび自動運転支援システム

Publications (2)

Publication Number Publication Date
JP2022124258A true JP2022124258A (ja) 2022-08-25
JP7495890B2 JP7495890B2 (ja) 2024-06-05

Family

ID=

Also Published As

Publication number Publication date
DE112021006067T5 (de) 2023-09-07
CN116762058A (zh) 2023-09-15
WO2022172498A1 (ja) 2022-08-18

Similar Documents

Publication Publication Date Title
CN109421630B (zh) 用于监测自主车辆的健康的控制器架构
CN110058588B (zh) 一种自动驾驶系统升级的方法、自动驾驶系统及车载设备
CN110069064B (zh) 一种自动驾驶系统升级的方法、自动驾驶系统及车载设备
WO2017064944A1 (ja) 自動運転システム、自動運転制御方法、データecuおよび自動運転ecu
CN111008121A (zh) 车辆软件检查
US20210237750A1 (en) System for controlling a self-driving vehicle
JP6918873B2 (ja) 車両運行状態監視方法、装置、及び機器
CN114162068B (zh) 车辆智能驾驶功能的管理方法、装置以及车辆
US20210188294A1 (en) Method for dynamic context-based distribution of software in a vehicle control system, and a control system
US11318953B2 (en) Fault-tolerant embedded automotive applications through cloud computing
WO2022172498A1 (ja) 車載型コンピュータシステムおよび自動運転支援システム
US20230394443A1 (en) Vehicle management system
JP7495890B2 (ja) 車載型コンピュータシステムおよび自動運転支援システム
JP5387152B2 (ja) 車両走行制御装置
JP7450982B2 (ja) インテリジェントコネクテッドビークル用の制御システム及び制御方法
JP6421403B1 (ja) 車載計算装置、車両およびシステム
WO2022259655A1 (ja) 車両制御装置および車両制御システム
WO2021256014A1 (ja) 車両制御システム
US11987266B2 (en) Distributed processing of vehicle sensor data
US11604679B2 (en) Dynamic workload shifting within a connected vehicle
US20230267770A1 (en) Vehicle and autonomous driving kit
US20230143376A1 (en) Vehicle platform and vehicle control interface box
WO2018127394A1 (en) Scalable control system for a motor vehicle
WO2024043011A1 (ja) 車両予測機能の検証
US20240119765A1 (en) Log management apparatus, log management method, and non-transitory computer readable recording medium

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20220606

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230518

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240521

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240524