JP6435351B2 - 自律動作検証装置および自律システム - Google Patents

自律動作検証装置および自律システム Download PDF

Info

Publication number
JP6435351B2
JP6435351B2 JP2016574564A JP2016574564A JP6435351B2 JP 6435351 B2 JP6435351 B2 JP 6435351B2 JP 2016574564 A JP2016574564 A JP 2016574564A JP 2016574564 A JP2016574564 A JP 2016574564A JP 6435351 B2 JP6435351 B2 JP 6435351B2
Authority
JP
Japan
Prior art keywords
satisfiability
hazard
safety
autonomous
constraint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016574564A
Other languages
English (en)
Other versions
JPWO2016129067A1 (ja
Inventor
昌能 西
昌能 西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JPWO2016129067A1 publication Critical patent/JPWO2016129067A1/ja
Application granted granted Critical
Publication of JP6435351B2 publication Critical patent/JP6435351B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0016Planning or execution of driving tasks specially adapted for safety of the vehicle or its occupants
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/08Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
    • B60W30/09Taking automatic action to avoid collision, e.g. braking and steering
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/08Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
    • B60W30/095Predicting travel path or likelihood of collision
    • B60W30/0956Predicting travel path or likelihood of collision the prediction being responsive to traffic or environmental parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0011Planning or execution of driving tasks involving control alternatives for a single driving scenario, e.g. planning several paths to avoid obstacles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0027Planning or execution of driving tasks using trajectory prediction for other traffic participants
    • B60W60/00272Planning or execution of driving tasks using trajectory prediction for other traffic participants relying on extrapolation of current movement
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0027Planning or execution of driving tasks using trajectory prediction for other traffic participants
    • B60W60/00274Planning or execution of driving tasks using trajectory prediction for other traffic participants considering possible movement changes
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • G08G1/165Anti-collision systems for passive traffic, e.g. including static obstacles, trees
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • G08G1/166Anti-collision systems for active traffic, e.g. moving vehicles, pedestrians, bikes

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Control Of Position, Course, Altitude, Or Attitude Of Moving Bodies (AREA)
  • Business, Economics & Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Traffic Control Systems (AREA)

Description

本発明は、開放環境で動作する自律システムの動作安全性を監視する自律動作検証装置及びそれを搭載した自律システムに関する。
従来から、操縦者の介在を必要とせず、動作環境の状況の計測手段を搭載し、内蔵のプログラムに従って自己動作を判断及び調整する自律機能を有するシステムに関する研究が行われてきた。しかし、長期にわたる技術開発にも関わらず、限定的な動作環境でしかこのようなシステムは導入されておらず、現在に到っている。
システムの導入を阻害する要因は、外界の認知、状況判断、システム制御のすべての処理工程が制御ソフトウェアで実装されるのに対して、既存の設計、検査及び認証の手続きが、このようなシステムを開放動作環境で動作させることを前提として、導入前に不具合を検出できるように作られていない点である。
その根源的要因は、システムの信頼性を定量的に示すために必要であるはずの、不具合を起こした時の状況が確実に、又は確率的に確からしく再現できるという暗黙の前提が、開放環境では成立しない点である。その為、実際に制御ソフトウェアで実装された機能が意図しない動作をした事が疑われる事案が生じた時点より、原因の調査及び対策が求められるにも関わらず、原因を一意に特定できないか、又は対策の有効性を示す事が難しくなる。この点が、偶発的故障や機械部品の経年劣化等に代表される現在のリコール要因とは根本的に異なる対処が求められる原因である。
一例として特許文献1において、自動運転機能を搭載した車両システムが周辺他車両との接触に起因したハザードの有無を判定する手法が開示されている。本文献では他車両の予測進路を用いて自車両の進路の安全性を判定する手法が開示されている。しかし、他車両の進路は、交通法規の制約を満たしながらも、元来ドライバの自由意思に基づき決定されるものであり、予測進路及びその算出手法を実装したソフトウェアの設計の妥当性及び安全性を保証する事は難しく、予測進路を逸脱する挙動をした為に、安全要件を満たせずにハザードが発生する余地を残す。
技術的観点に立つと、ハザードを招く要因が無い場合にはそれを証明する手段が欠けており、ハザードを招く要因が存在する場合にはその具体的な状況を再現する手段が欠けている。網羅性に欠ける既存のテスト手法では、このいずれの手段としても有用ではない。そのため、システムの信頼性を主張する際に用いる立証論拠として不十分である。
特開2012−226699 トヨタ自動車
自動運転システムに代表される完全ソフトウェア制御のシステムが、ハザードを含む、意図しない動作を招く根源要因は、車両に期待される動作と、車両に課された動作安全性とが両立できない状況に陥り、両者が充足不能になるためである。この根源要因を鑑みて、開放環境で動作するこのような自律システムの動作安全性を実現する仕組みが必要である。しかし、設計時に充足不能に陥る状況を網羅するのは困難であり、動作中に判定する必要がある。
第一の理由は、自車両の期待動作自体が前記動作安全性の充足可能性を損なうような状況に陥る場合を設計段階で想定して、対処法を個別に分類して対処法を網羅する事が困難であるためである。これまで、システム構成要素の不具合やシステムの動作自由度の制約に代表される内在的要因により前記期待動作が充足不能に陥る場合、および周辺他車両との接触回避機能に代表される車両の外在的要因により動作安全性が損なわれる場合は、それぞれ別種の設計課題として対処されてきた。しかし、設計時に網羅しきれなかった事例が存在する場合には、それを予見的に知ることが出来ず、実際にハザードを招いた時点で初めて、想定外のハザード要因として露呈する。そのため、期待動作と動作安全性を両立出来ない状況が起こりえるか否かを動作中に判定する仕組みが望まれる。
第二の理由は、前記動作安全性は、主として動作環境に存在する動体の自由意思に基づいて決定される挙動に依存するものであり、自システムは前記挙動を制御できず、高信頼に予測する事も原理的にはできない。そのため、動作中に観測された動作環境の情報を元に設定する必要がある。
ただし、前記挙動を制御・予測することは出来ないものの、近未来に実現しうる挙動の集合を限定する事は出来る。これは、自動車や歩行者に例示される動体には、物理的な動作自由度の限界と、通常時の動作自由度の基準を見出すことが出来る為である。そのため、前記動作安全性は、動作自由度に起因した制約条件を考慮しながら、動作環境の状況を計測したデータを用いて設定する必要がある。この仕組みが果たす役割は、本質的に予見的性質を有する。これは、ハザードの発生時点が近未来の時点であり、ハザード発生可能になると動作中に判定した時点で初めて特定されるものであり、また実際に前記ハザードを回避できない状況に到るまでの時間的猶予があり、更にハザード要因がそのハザードを招かないように推移する余地と、自システムが前記ハザード要因を回避するように対処する余地が残っている為である。
併せて、ソフトウェアで処理されている処理内容は外部から観測できず、また自律システムのハザード判断及び制御に関わる処理も同様に外部から観測不可能であり、この2点が第三者的立場からの検査及び認証を困難にしている。そこで、この予見的性質を動作中に活用出来るようにする為に、システムの運用者や第三者的立場にある検証担当者がこれらの情報を動作中に外部から観測する手段を備えながら、前記の仕組みを実現したい。
内部状態計測手段を通じて取得した自システムの内部状態を用いて、前記内部状態の値域を限定する動作時制約を設定し、外界計測手段を通じて取得した外界状態を用いて、前記外界状態の値域を限定する動作時前提条件を設定し、前記内部状態および前記外界状態の関係を制約する安全要件を設定し、設定された自システムの前記安全要件及び期待動作と、その期待動作を達成する事を目的として算出された計画動作をすべて限量子付き制約形式に変換し、充足可能性判定問題を動作中に解くことで、前記期待動作と前記安全要件が両立出来ずに充足不能に陥るか否かを判定する。判定内容は3つに分類される。
第一に、前記安全要件を満たしながら前記計画動作を実現する充足解の有無を判定し、存在すれば動作安全性が検証された事を通知し、存在しなければ、前記計画動作が実現不可能であるかまたはハザードを招く事を通知し、計画動作の修正を求める。
第二に、前記動作時前提条件の元で前記安全要件に違反するハザードを招くような外界状態の時系列遷移値の充足解の有無を判定し、存在すれば、得られたハザードを招く場合がある事を具体的な前記外界状態の時系列遷移の値と共に通知し、存在しなければ、前記計画動作に基づいて自システムを稼働させても動作安全性が保証される事を通知する。
第三に、前記動作時前提条件の元で任意に取りうる前記外界状態にも関わらず、前記安全要件を充足するような代替計画動作の有無を判定し、存在すれば、前記安全要件を満たすことを前記代替計画動作と共に通知し、存在しなければ、回避不能なハザード要因がある事を通知する。必要に応じて前記代替計画動作で上書きして、動作安全性を回復する。
以上の充足可能性の判定に用いるデータ、つまり動作中に生成された前記の全通知情報とその前後での計測情報を記録装置に保存し、時刻がそろったデータのセットを順次再生することを通じて、前記自律システムの運用者は、異常発生前後の状況を再現し、異常原因を追跡出来るようにする。
同様に、動作中に前記判断及び制御に関わる処理結果を提示装置に出力することで、前記自律システムの運用者は動作中に、検出された前記ハザード要因への予見的対処が出来るようになる。
開放環境で動作する自律システムの動作安全性を実現する仕組みを提供する。特に、動作中にハザード要因の有無を網羅的に探索する為、無ければ動作安全性を保証出来て、あれば自システムの動作を修正することでハザード要因を解消するように対処することで動作安全性を回復出来る。
実際にハザードを招いてしまった場合には、第三者が検証可能な形でその状況を再現し、根源要因を追跡出来るようになる。
さらに、システムの動作中に前記ハザード要因の判断および動作安全性の回復過程を観測できるようになり、動作中であってもシステムの運用者がハザード発生可能性に関する予見的情報を元に予見的対処策を講じられるようになる。
また、観測性を高める事により、周囲動体が自システムの動作意図を観測し、算出された自システムの代替計画動作を参照しながら、ハザードを招く事が出来ると判定された周囲動体に、ハザード回避を促す事ができるようになる。
自律動作検証装置 充足可能性判定部の機能及び入出力情報 各種変数値の定義 自律動作検証装置への入力情報一覧 制約形式変換部が出力する限量記号付き制約形式 ハザード要因及び回避を要する状況 制約形式変換部が生成する限量記号付き制約形式の例 充足可能性判定部に渡す限量記号付き制約形式の例 充足可能性判定部に渡す限量記号付き制約形式の例 充足可能性判定部の処理 記録装置への格納情報一覧 自律動作検証装置を備えた自律システム 提示装置及び記録装置を備えた自律システム 提示装置の処理フロー 提示装置の表示画面の構成
(実施例1)
以下、本発明を用いた自律動作検証装置の第一実施例について説明する。
図1は自律動作検証装置03の構成を示す。内部状態計測手段021は、自律動作検証装置03を搭載した自システムの内部状態(例えば加速度、速度、座標位置、姿勢角、姿勢角速度等)を逐次更新するものである。
動作時制約022は、自システムの設計制約等に起因した、内部状態が取りうる値域を与えるものであり、例えば制御入力値及びその時間微分量の上下限制約等が挙げられる。
外界状態計測手段023は、自システムの動作環境を特徴づける状態量を取得するものである。例えば、動的要素、特に周辺の動体の座標位置、速度、加速度、姿勢角度等が考えられ、さらに自システムが接地している場合には地形の形状や周辺の設置物等が含まれる。
動作時前提条件024は、外界状態の内、近未来に起こりうる状態遷移を限定するものであり、すべての動的要素に関して短期的な挙動を予測しやすくするための慣習的に成立する状態遷移を限定する条件(通常時前提条件)と、物理的な限界その他の高い確からしさで成立する条件(最悪時前提条件)が見出される。
期待動作025は、自システムが実行するべき動作を指示するものであり、安全要件026は、その実行過程で充足するべき要件を指定する制約である。計画動作034は、自律動作検証装置03とは異なる手段を用いて算出されたものであって、動作時制約022、動作時前提条件024、期待動作025と安全要件026のいずれかまたはすべてを満たすように設計されたと期待されるものである。
制約形式変換部031は、以上の入力情報を受け取り、充足可能性判定部032が機械的に処理可能な形式に変換する。本実施例では、自システムの動作計画を題材として扱うが、一般的に限量子付き制約形式を構築する事が出来て、充足可能性を判定出来る事が知られている。
必要に応じて限量記号を消去し、限量記号を含まない充足可能性判定問題に機械的に書き換える手法(quantifier elimination)が知られている。この変換をした方が短時間で判定出来る為、前記充足可能性判定部はこのような処理を内部に備えるものを用いる。
充足可能性判定の結果通知する情報036として、本実施例では4つを挙げる。
第一に計画動作の安全性の通知、第二に、前記動作時前提条件024を逸脱するという意味で危険動作をする対象の通知、第三にハザード要因の発生有無の通知、第四にハザード要因回避動作の有無の通知である。
充足可能性判定部032には、判定過程で用いたデータ及び通知情報036を格納する記録装置04を接続しておく。
図2は、充足可能性判定部の機能及び入出力情報を整理したものである。
入力情報は、限量記号付き制約形式であり、変数一覧V1〜Vn、これら変数の具体値に対して真又は偽を与える二値関数F、およびこれら変数に対して設定した限量記号(quantifier)で構成される。限量記号はFORALLまたはEXISTSのいずれかであり、前記二値関数の一部に記述された範囲で任意の値をとる場合、またはその範囲で一つ以上の充足解が存在するような場合を表現する。
この入力情報を元に、充足解(SATisfiable)があるか、または充足解が無い(UNSATisfiable)場合のいずれかを判定し、充足解がある場合に、前記変数に対する具体的な割り当て値を算出して、適当な出力フォーマットに解釈した後、出力情報として通知する。充足不能である場合とは、入力された制約形式の一覧の部分集合であって、互いに競合してすべてを充足できないような制約形式のリストが存在する事に相当する。これらは、UNSATISFIABLE COREと呼称されており、充足可能性判定をする過程で算出する手法が知られている。
前記限量記号を含む制約形式は、限量記号の引数が離散値である場合には、quantifier eliminationという手法を用いて限量記号を含まない制約形式に機械的に書き換える事が出来る事が知られている。また、限量記号の引数が連続値である場合にも、機械的に補助変数を追加して、線形計画法または非線形計画法のソルバが処理出来るような形に変換する手法が知られている。
限量記号FORALLを消去する一般的な手法は背理法であり、限量記号EXISTSを用いた形式に機械的に書き換えられて、充足可能性を判定する問題に帰着される。例えば、引数となる変数が所定の範囲の任意の値に対して充足解があるという条件は、所定の範囲内で充足解が無くなるような割り当て値は一つもない(UNSATisfiable)という制約形式に論理反転させて充足解の有無を判定して解けばよい。よって、本実施例で用いる充足可能性判定部は、入力情報の充足可能性を直接判定する代わりに、事前に限量記号を含まない形式に書き換えて、充足解を探索する機能を内部に有するものを用いて良い。
更に、二値関数Fは、別の複数の二値関数を論理和または論理積で連結したものであってよい。論理和及び論理積の任意の組み合わせで組み立てられた一般の二値関数は、機械的な変換を経て、CNF(Conjunctive Normal Form)形式、つまり論理積で連結した制約形式の論理和の形、に還元される事が知られている。
一般に、CNF形式に変換しさえすれば、充足可能性を高速に判定する多くの数理的手法を適用出来るようになる。一例として、論理和で分割された個々の部分制約形式であって、論理積で連結されたこの部分制約形式を構成する二値関数群毎に充足可能性を評価する等の計算機実装などで対処するか、または充足可能性判定に用いるソルバ自体が、論理和で連結された制約形式を一括して評価する方法も開発されており、離散値の場合はSMTソルバ(Satisfiability Modulo Theory)、連続値の場合はMINLPソルバ(Mixed Integer Nonlinear Programming)を用いる方法等が挙げられる。
図3は、複数の周囲動体が移動する開放動作環境にある自律システムの状況図を表す。本状況図では、すれ違うように移動する自転車に対して、自システムが正面から接近する場合を考える。
本例では、接触しないという強い安全要件、およびいずれの周囲動体にも正の相対速度で接触しにいかないという弱い安全要件の二つを用いる。弱い安全要件は、周囲動体が自システムに接触しにくる場合を許容する事を意味する。
平面を移動する事を強いられ、多数の周囲動体で混雑する動作環境では、強い安全要件が充足不能に陥る場合が必ず存在するが、弱い安全要件は、自システムが適切に動きさえすれば常に成立させられる可能性が高い安全要件であることに留意されたい。本実施例では一貫して、弱い安全要件を用いる。
周囲動体には、動作環境において慣例的に満たされている動作自由度、および物理的な限界から導かれる動作自由度の二つが見出される。それぞれの動作自由度に対応する制約形式を、通常時前提条件、及び最悪時前提条件と呼称する。
図3では、図示の都合により、過去の移動軌跡を線形外挿する等の手法で算出した軌跡をR0、通常時前提条件を満たす範囲で実現可能な任意の動作自由度の下で、検証期間とする所定時間以内に、所定の安全要件に違反する形でハザードを招く事が出来る軌跡の集合をR1,最悪時前提条件を満たす範囲で実現可能な任意の動作自由度の下で、所定時間以内に、所定の安全要件に違反する形でハザードを招く事が出来る軌跡の集合をR2とする。
この軌跡集合は、周囲動体が所定の前提条件下で所定時間以内に到達可能な領域とは違い、所定の安全要件に違反する軌跡の集合である為、自システムの状態、周囲動体の動作自由度や動作環境の状況により随時変形するという意味で不定形である。その為、一般的な形態を算出する事は難しいものの、少なくとも、R2の部分集合がR1,R1の一部である具体的な軌跡がR0となる包含関係が成立する。また、実際に周囲動体がとる軌跡は、周囲動体の自由意思で決まるものであり、予想軌跡から乖離する可能性も、軌跡集合R1から逸脱する可能性もあるが、軌跡集合R2を逸脱しない事は保証されるとする。
この保証が成立する限りは、最悪時前提条件に相当する動作自由度を満たす範囲で周囲動体が任意の挙動をしても安全要件に違反出来ない状況にある場合、自転車はハザードを起こす事が出来ず、よって本質的に安全であると保証される。例えば、左方から接近する自動車と自システムの計画軌道との間には十分に距離があり、前述した保証が成立する限り、自システムの計画軌道は本質的に安全である。
一方、この手法では予想軌跡R0または軌跡集合R1を用いた判定結果の正しさは保証されない。実際、図3で示される自システムは、予想軌跡R0と軌跡集合R1とは交差出来ず、通常時前提条件が成立する限りにおいて、接近する自転車と安全にすれ違うような計画軌道を描いていると判定される。しかし、自転車は、通常時前提条件とは無関係に、自由意思に基づいて将来軌道を決めており、自システムは、自転車の移動意図を知ることはできない。その為、自転車の動作自由度の範囲で、通常時前提条件を満たさないが最悪時前提条件を満たす範囲、つまり軌跡集合R2&!R1に属する動作をした場合にはハザードを招く動作が出来る状況にある。
その為、自システムは、通常時前提条件下で、実際にハザードを招く動作が実現可能となった時点より、最悪時前提条件下で、弱い安全要件に違反しない代替計画軌道の有無を判定する必要がある。この代替計画軌道が存在する限りにおいて、前記計画軌道に従って進む事もできて、また算出された代替計画軌道に切り替えて、前記のハザードを招く動作が出来ないという意味で本質的に安全な状況に回復することもできる。
この状況において、課された安全要件を検証する問題に本発明を適用する。
自律動作検証装置03は、後述の図8に示す通り、計画動作の安全性、動作時前提条件の成立確認、通常時前提条件下でのハザード発生可能性の判定、および最悪時前提条件でのハザード回避可能性を判定して、判定結果を通知する。
図4では、本問題に用いる変数の一覧を示す。特に、内部状態計測手段021を通じて取得した、自システムの内部状態値、自システムの動的状態を制御する動作制御命令値、周囲動体を含む動作環境を対象とした外界状態計測手段023を通じて取得した外界状態値、および前記周囲動体が取りうる動作自由度をモデル化する為に導入した仮想的な変数値である、周囲動体の動作制御命令値を用いる。
図5および図6では、制約形式変換部031に渡す各種入力情報の一覧を示す。図7は、前記入力情報を元に制約形式変換部031が出力する限量記号付き制約形式を表す。限量記号や各種二値関数は問題ごとに定義されるものであり、図7の出力形式は本状況図に即して設定した一例に過ぎない事に留意されたい。
図6に示した個々の制約形式を概説する。
自システムの動作時制約は、主として動的挙動を制御するための動作制御命令値をはじめとする、設計した通りの挙動をシステムが実現出来る仕様規定範囲から導かれるものである。上下限の値域、動作制御命令値の時間差分の上下限値域、及びシステムの動特性に起因した内部状態値の遷移に関する制約を例示した。
周囲動体の通常時前提条件は、自システムの動作時制約と同種であるが、仕様規定範囲よりも狭い制約条件であり、通常動作時に慣例的に満たされている、周囲動体の動作自由度を指定するものである。
一方、最悪時前提条件が前記自システムの動作時制約に相当し、機構的に実現可能な動作自由度の限界を指定するものである。
この二つの前提条件は、ハザード発生に関するリスクを判定する上で、異なる役割を果たす。つまり、周囲動体が通常時前提条件でハザード発生可能になるか否かを判定することでハザード発生のリスクを予見的に評価し、併せて最悪時前提条件下での代替計画軌道を用いて、本質的に安全な状況を回復することで対策する。
計画動作は、一例として自システムの内部状態値列の内、空間座標成分だけを指定する場合には、軌道と見做される点列情報を用いる。軌道からの乖離が所定上限未満となるような制約条件を用いる。
期待動作に相当する制約形式は、前記計画動作を実行した末に充足するべき条件にあたる。慣例的には、自システムが移動体である事が多く、期待動作として、目標領域への到達を支持するものが多い為、便宜上、自システムの内部状態値のみを引数に用いている。期待動作自体が、外界に適応して動作するたぐいのものである場合には、外界状態値と内部状態値を併用して記述すればよい。
安全要件に相当する制約形式は、内部状態値および外界状態値を併用したものになる。前述の強い安全要件の場合には、空間座標の相対的な関係だけで決まる制約条件式を用いればよい。
図7は、制約形式変換部が出力する限量記号付き制約形式の一形態である。判定項目ごとに、具体的な限量記号付き制約形式の例を示す。以上の判定問題を連結した一連の処理フローを図9に示す。
各判定項目の評価を開始する前に、入力情報である各種制約形式の妥当性を検証しておく必要がある。これは第一には、自律動作検証装置以外のモジュールに不具合があり、その影響が伝搬した結果、不正なデータが自律動作検証装置に供給されて誤判定をしてしまう事態への対策である。
入力情報として、動作時制約、通常時及び最悪時前提条件及びその整合性、計画動作、安全要件、および期待動作それぞれ単体の制約形式として、充足解があることを判定する。
充足解が無い場合には、不正な入力情報で合った事を通知する。これら事前処理をした後で、引き続く各種判定処理を開始する。
計画動作の安全性は、自システムの動作時制約の元で、指定された計画動作と期待動作と安全要件を満たすような動作制御命令値列の有無を判定する限量記号付き制約形式の充足可能性判定問題を解けばよい。
充足解が存在すれば計画動作の安全性が検証され、実際に充足解である動作制御命令値列を用いれば良い。逆に充足解が存在しないと判定された場合は、計画動作自体が前記動作時制約の下で、実現不可能であるか安全要件に違反するか、又は期待動作を達成できないかのいずれかである。充足可能性判定部に渡したすべての制約形式の一覧の内、UNSAT Coreに相当するような両立不能な制約形式が存在して、これを解析することで、前記計画動作の安全性を損なう原因を一意に特定出来る。
動作時前提条件の成立確認をする場合には、評価対象とする周囲動体の空間座標値列、つまり軌跡等に代表される外界状態値列を取り出し、所定の通常動作時前提条件下で、前記外界状態値列を実現するような動作制御命令値列の有無を判定する限量記号付き制約形式の充足可能性判定問題を解けばよい。
充足解が存在する場合には、前記評価対象の周囲動体は、通常時動作前提条件に相当する動作自由度の元で動作している事が検証された。
充足解が存在しない場合には、前記評価対象の周囲動体は、通常時動作前提条件に相当する動作自由度を逸脱し、最悪時前提条件に相当する動作自由度の元で動作をしている事を意味する。この判定結果を得た時点より、ハザード回避可能性を判定する処理を開始するのが望ましい。
引き続き、通常時前提条件と最悪時前提条件の整合性を確認する場合も、同様に限量記号付き制約形式の充足可能性判定問題に帰着される。これは、両制約条件が、図3で示した軌跡集合R1およびR2のような包含関係になっていない不正な条件が指定されている場合を検出する為に用いるものである。最悪時前提条件を満たすが通常時前提条件を満たさないような、周囲動体の動作制御命令値列が一つも存在しない(UNSATisfiable)であるか否かを判定すればよい。
充足解が存在しない場合には、両前提条件は整合している事が検証された。
一方、充足解が存在する場合には、具体的な割り当て値となる動作命令値列が、所望の不整合を招く解となっている。
ハザード発生可能性を判定する問題は、通常時前提条件下で任意に取りうる、選択した周囲動体の動作制御命令値列の内、自システムの動作制約、自システムの計画動作、自システムの期待動作に関する制約条件を満たしながら、所定の安全要件、望ましくは強い安全要件、を満たさないような充足解の有無を判定する問題を解けばよい。
充足解が存在する場合には、安全要件を満たさないという意味でハザードを招く動作を前記周囲動体が取ることが出来る事を意味する。この時、具体的な割り当て値から前記周囲動体の動作制御命令値列を取り出して実際にそれを設定することで算出される外界状態値列を復元する等して、ハザードに到る具体的な時系列の遷移過程を得る。
充足解が存在しない場合には、通常時前提条件が成立する限り、周囲動体はハザードを招く動作を出来ず、計画動作は安全である事が検証された。
ハザード回避可能性を判定する問題は、最悪時前提条件化で任意に取りうる、選択した周囲動体の動作制御命令値にも関わらず、自システムの期待動作と弱い安全要件を満たし、かつ自システムの動作時制約を満たすような動作制御命令値列が存在するか否かを判定する問題を解けば良い。
充足解が存在する場合には、周囲動体が、最悪時前提条件が満たされる範囲で任意の動作をしても、算出された代替計画軌道を用いれば、安全要件違反に相当するハザードを招かない事が検証された。充足解から、自システムの動作制御眼いれ値列を取り出して制御入力値列として用いて、代替計画動作を実現すればよい。
充足解が存在しない場合には、安全要件に違反する不都合な動作をとり、ハザードを招くことができる周囲動体がある事を意味する。この場合には、ハザードに到る時系列の外界状態値列を通知する。
各判定過程で用いるデータ及び通知情報を図10のフォーマットに合わせた上で、すべて記録装置04に格納し、登録時点、登録期限を有効データとして登録する。
ここで、すべての判定結果は、時系列で変化する外界状態や内部状態の計測値を前提としたものであり、自システムが動作する過程でこれらのデータが更新されていく為、それぞれの格納データには有効期間を設定する必要があることに留意されたい。よって、記録装置に格納されたデータの内、有効期限を超えたデータをすべて無効にして登録情報を削除して、一連の処理を終了する。
(実施例2)
図11は、図1で開示した自律動作検証装置を備えた自律制御装置及び自律システムの構成例を示す。自律システムの典型的な構成は、内部状態計測手段021、外界状態計測手段022、自律制御装置03、駆動装置028のハードウェアで構成されるものである。
自律制御装置02には、期待動作025、および安全要件026を入力して、動作計画手段033が検証前計画動作034を算出する。自律動作検証装置を備えない自律システムは、前記検証前計画動作が正しい事を暗黙のうちに前提として検証済み計画動作035と見做したうえで、そのまま制御装置036に出力するものである。
一方、自律動作検証装置03を搭載した自律制御装置02は、検証前計画動作034が不正であって制御装置036にそのまま出力されてしまうことで引き起こされるハザードを回避するための安全機構の役割を果たす。典型的な構成例は、前記検証前計画動作034を受け取り、各種判定項目を評価した上で、通知情報036を動作計画手段に返すものである。
動作計画手段033は、通知情報を元に、ハザード要因があれば再度、検証前計画動作034を再度演算するか、またはハザード要因を回避する代替計画動作で上書きして、検証済み計画動作035とする。
(実施例3)
図12は、図1で開示した自律動作検証装置02を備えた自律制御装置02及び自律システム01であって、自律動作検証装置03の内部で行われる判定処理フロー及び通知情報を、図13に示される処理フローに従い、図14に示される外観の提示装置等に出力する構成例を示す。
提示装置は、図13に示される通り、動作時制約の不正通知、周囲動体の通常時前提条件の不正通知、通常時前提条件および最悪時前提条件の不整合の通知、安全要件の不正通知、期待動作の不正通知を受信した場合には、システム異常ランプ0271を点灯させる処理を実行する。
指定された計画動作の不正通知、または計画動作の異常通知を受信した場合には動作計画手段以上のランプ0272を点灯させ、必要に応じて自律制御装置02が異常時停止処理をしても良い。
通常時前提条件に違反している周囲動体の通知を受信した場合には、提示装置内の表示画面0273に、危険動作の可能性がある動体として強調表示する。
ハザードを招く事が出来ると判定された周囲動体の情報とハザードに到る時系列の外界状態値列の通知を受信した場合には、ハザードを招く前記周囲動体の状態値列Zの空間座標成分を取り出して連結した危険軌跡データを、提示装置内の表示画面0273に表示する。
最後に、周囲動体によるハザードを回避する代替計画動作の有無の判定結果の通知を参照する。
代替計画動作が無い場合には、回避不能のハザードを招く周囲動体を特定して、ハザードを招く周囲動体の状態値列の空間座標成分を取り出して連結した危険軌跡データを、提示装置内の表示画面0273に表示する。
逆に代替計画動作がある場合には、充足解の一部を成す内部状態値列の空間座標成分を取り出して連結した回避軌跡データを、提示装置内の表示画面0273に表示する。
提示装置の第一の意義は、完全にソフトウェアで処理される自律システムの動作安全性を保証する過程で、本発明で開示した自律動作検証装置内部のハザードリスク判断と自システムの制御に関わる演算過程を外部、特に自律システムの検証、認証担当者が観測可能な形にすることにある。
また、提示装置の第二の意義は、自システムが決定可能な範囲では期待動作を充足できないような動作状況にある場合に、周囲動体との意思疎通を通じた解決をする機能を実現する手段を提供する事にある。
周囲動体は自由意思で移動意図や将来軌道を決めており、自システムがその移動意図を知ることもできないことは既に述べた。しかし、そもそも、周囲動体からも、自システムの移動意図や将来軌道を観察することができない。この為、多数の周囲動体が存在する混雑状況では、自システムが制御可能な範囲だけに限定して、整合的に、自システムの期待動作を満たすような計画動作を算出する事が難しく、デッドロックを招くような状況が実際に存在する。そのような状況において、自システムの円滑な動作を阻害すると自律動作検証装置が見なしているハザード判定結果の具体的な通知情報を提示装置に出力し、周囲動体がその通知に基づいて回避動作をとることを促すか、又は交通規則として制定することで、そのような状況を解決出来る。
図14に示した提示装置は、主として前記第二の意義を果たすべく構成されたものであって、図9で通知した情報を用いて、図14に示した処理フローを経て周囲動体に対して提示する画面を示したものである。提示装置027には、システム異常ランプ0271及び動作計画手段異常のランプ0272は、自システムが正しい動作を出来ない可能性がある事を外部に示す為に有用であり、表示画面0273にて通常時前提条件に違反すると判定された、危険動作の可能性があると判定した周囲動体の情報と、ハザードを招く具体的な軌跡、これを元にして、自システムが実行しようとしている代替計画動作を出力する。
本発明は、公道を含む開放環境において動作する完全自律走行車、及び搭乗者の待機位置に向かう無人タクシーや無人レンタカーサービスに利用できる。また、周囲の走行車に接触せずに一定速度で走行するオートクルーズ機能や衝突回避機能を有する自動車に利用できる。また、鉱山、深地下、海底に代表される遠隔地において通信経路を通じて制御する作業機械であって、作業上の安全性に関する制約を満たすように自律的に判断して動作するものに利用できる。
01 自律システム
02 自律制御装置
021 内部状態計測手段
022 外界状態計測手段
023 動作時制約
024 動作時前提条件
025 期待動作
026 安全要件
027 提示装置
0271 システム異常ランプ
0272 動作計画手段以上のランプ
0273 検証に用いる有効データの表示画面
028 駆動装置
03 自律動作検証装置
031 制約形式変換部
032 充足可能性判定部
033 動作計画手段
034 検証前計画動作
035 検証済み計画動作
036 制御装置
04 記録装置

Claims (7)

  1. 自車の内部状態を計測する内部状態計測手段と、
    外界状態を計測する手段と、
    前記内部状態が所定の時点までに取りうる値域を限定する動作時制約を設定する動作時制約設定手段と、
    外界計測手段を用いて取得した外界状態を用いて、前記外界状態が所定の時点までにとりうる値域を限定する動作時前提条件を設定する手段と、
    前記内部状態および前記外界状態の関係を制約する安全要件を設定する手段と、
    が実行するべき動作を指示する期待動作を設定する期待動作設定手段と、
    前記期待動作を達成する事を目的とする計画動作を算出する計画動作算出手段と、
    前記動作時制約と前記動作時前提条件と前記安全要件と前記期待動作と前記計画動作をすべて限量子付き制約形式に変換する制約形式変換部と、
    前記限量子付き制約形式の充足解の有無を判定する充足可能性判定手段と、を有し、
    前記充足可能性判定手段は、自車が前記計画動作に基づき動作している時に前記限量子付き制約形式の充足可能性判定解を解く自律システム。
  2. 前記充足可能性判定手段は、
    前記期待動作と前記安全要件の充足解の有無を判定する実現可能性判定機能と、
    前記外界状態と前記動作時前提条件の充足解の有無を判定して、前記動作時前提条件に違反する危険動作をする対象を特定するハザード要因特定機能と、
    前記動作時前提条件の元で前記安全要件に違反する前記外部状態の時系列値の有無を判定するハザード発生可能性判定機能と、
    前記動作時前提条件の元で前記安全要件を充足する代替計画動作の有無を判定するハザード回避可能性判定機能と、
    を有する請求項1に記載の自律システム。
  3. 前記充足可能性判定手段は、
    前記実現可能性判定機能の結果に基づく計画動作の安全性と、
    前記ハザード要因特定機能の結果に基づく危険動作をする対象と、
    前記ハザード発生可能性判定機能の結果に基づくハザード要因と、
    前記ハザード回避可能性判定機能の結果に基づく代替計画動作と、を前記計画動作算出手段に通知する請求項2に記載の自律システム。
  4. 前記充足可能性判定手段は、
    前記限量子付き制約形式のデータを受け取る毎に、受け取ったデータにより前記各種機能により判定した結果のデータを、そのデータの登録時点及び有効期限と併せて記録手段に出力する請求項3に記載の自律システム。
  5. 前記計画動作算出手段は、
    充足可能性判定手段から前記代替計画動作を得た場合には、前記計画動作を前記代替計画動作に置換して、前記安全要件を充足する回復機能を有する事を特徴とする請求項4に記載の自律システム。
  6. 乗員への提示手段を有し、
    前記充足可能性判定手段は、前記安全性と、前記危険動作をする対象と、前記ハザード要因と、前記代替計画と、を前記提示手段に通知し、
    前記提示手段は、
    前記計画動作の安全性がない場合、異常ランプを点灯する機能と、
    前記危険動作をする対象を強調表示する機能と、
    代替計画動作を表示する機能と、
    を備える事を特徴とする請求項4に記載の自律システム。
  7. 自車の内部状態値が所定の時点までに取りうる値域を限定する動作時制約と、計測された外界状態が所定の時点までにとりうる値域を限定する動作時前提条件情報と、前記内部状態および前記外界状態の関係を制約する安全要件情報と、自車が実行するべき動作を指示する期待動作と、前記期待動作を達成する事を目的とする計画動作情報とが入力され、前記入力されたすべてを限量子付き制約形式に変換する制約形式変換部と、
    前記限量子付き制約形式の充足解の有無を判定する充足可能性判定部と、を有し、
    前記充足可能性判定部は、自車が前記計画動作に基づき動作している時に前記限量子付き制約形式の充足可能性判定解を解く自律動作検証装置。
JP2016574564A 2015-02-12 2015-02-12 自律動作検証装置および自律システム Expired - Fee Related JP6435351B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2015/053724 WO2016129067A1 (ja) 2015-02-12 2015-02-12 自律動作検証装置および自律システム

Publications (2)

Publication Number Publication Date
JPWO2016129067A1 JPWO2016129067A1 (ja) 2017-10-26
JP6435351B2 true JP6435351B2 (ja) 2018-12-05

Family

ID=56615380

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016574564A Expired - Fee Related JP6435351B2 (ja) 2015-02-12 2015-02-12 自律動作検証装置および自律システム

Country Status (3)

Country Link
US (1) US10459446B2 (ja)
JP (1) JP6435351B2 (ja)
WO (1) WO2016129067A1 (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10640111B1 (en) 2016-09-07 2020-05-05 Waymo Llc Speed planning for autonomous vehicles
WO2018051399A1 (ja) * 2016-09-13 2018-03-22 株式会社日立情報通信エンジニアリング 状態予測装置及び状態予測方法
MX2019009397A (es) 2017-02-10 2019-12-05 Nissan North America Inc Gestion operacional de vehiculo autonomo que incluye operar una instancia de modelo de proceso de decision de markov parcialmente observable.
RU2734732C1 (ru) 2017-02-10 2020-10-22 Ниссан Норт Америка, Инк. Отслеживание блокировки сети движения при оперативном управлении автономным транспортным средством
JP6638695B2 (ja) * 2017-05-18 2020-01-29 トヨタ自動車株式会社 自動運転システム
US11210744B2 (en) * 2017-08-16 2021-12-28 Mobileye Vision Technologies Ltd. Navigation based on liability constraints
WO2019089015A1 (en) 2017-10-31 2019-05-09 Nissan North America, Inc. Autonomous vehicle operation with explicit occlusion reasoning
WO2019088989A1 (en) 2017-10-31 2019-05-09 Nissan North America, Inc. Reinforcement and model learning for vehicle operation
US10627825B2 (en) 2017-11-22 2020-04-21 Waymo Llc Using discomfort for speed planning in autonomous vehicles
US10967861B2 (en) 2018-11-13 2021-04-06 Waymo Llc Using discomfort for speed planning in responding to tailgating vehicles for autonomous vehicles
US11084504B2 (en) 2017-11-30 2021-08-10 Nissan North America, Inc. Autonomous vehicle operational management scenarios
WO2020204871A1 (en) 2017-12-22 2020-10-08 Nissan North America, Inc. Shared autonomous vehicle operational management
EP3759563B1 (en) * 2018-02-26 2023-11-22 Nissan North America, Inc. Centralized shared autonomous vehicle operational management
US11120688B2 (en) 2018-06-29 2021-09-14 Nissan North America, Inc. Orientation-adjust actions for autonomous vehicle operational management
US11783701B2 (en) * 2019-01-31 2023-10-10 Nec Corporation Communication control apparatus, communication system, communication control method, and non-transitory computer-readable medium
GB202215836D0 (en) * 2019-05-07 2022-12-07 Motional Ad Llc Systems and methods for planning and updating a vehicle's trajectory
JP2022537798A (ja) * 2019-05-08 2022-08-30 ボルボトラックコーポレーション 車両制御指令が将来の車両安全マニューバを除外するかどうかを判断するための方法
US11899454B2 (en) 2019-11-26 2024-02-13 Nissan North America, Inc. Objective-based reasoning in autonomous vehicle decision-making
US11635758B2 (en) 2019-11-26 2023-04-25 Nissan North America, Inc. Risk aware executor with action set recommendations
US11613269B2 (en) 2019-12-23 2023-03-28 Nissan North America, Inc. Learning safety and human-centered constraints in autonomous vehicles
US11300957B2 (en) 2019-12-26 2022-04-12 Nissan North America, Inc. Multiple objective explanation and control interface design
US11577746B2 (en) 2020-01-31 2023-02-14 Nissan North America, Inc. Explainability of autonomous vehicle decision making
US11714971B2 (en) 2020-01-31 2023-08-01 Nissan North America, Inc. Explainability of autonomous vehicle decision making
US11782438B2 (en) 2020-03-17 2023-10-10 Nissan North America, Inc. Apparatus and method for post-processing a decision-making model of an autonomous vehicle using multivariate data
CN113810354B (zh) * 2020-09-08 2022-06-14 北京航空航天大学 用于自治系统的数据认证方法及装置
EP4027204A1 (en) * 2021-01-07 2022-07-13 TUV SUD Hong Kong Limited System and method for modelling and assessing risks

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7295925B2 (en) * 1997-10-22 2007-11-13 Intelligent Technologies International, Inc. Accident avoidance systems and methods
JP5159369B2 (ja) * 2008-02-29 2013-03-06 三菱電機株式会社 複数ロボットによる探索監視方法
JP2012226699A (ja) * 2011-04-22 2012-11-15 Toyota Motor Corp 進路評価装置
US9983553B2 (en) * 2013-03-11 2018-05-29 Hitachi, Ltd. Autonomous control device

Also Published As

Publication number Publication date
US10459446B2 (en) 2019-10-29
US20180032079A1 (en) 2018-02-01
WO2016129067A1 (ja) 2016-08-18
JPWO2016129067A1 (ja) 2017-10-26

Similar Documents

Publication Publication Date Title
JP6435351B2 (ja) 自律動作検証装置および自律システム
Khastgir et al. Systems approach to creating test scenarios for automated driving systems
Webb et al. Waymo's safety methodologies and safety readiness determinations
Könighofer et al. Shield synthesis
JP6381678B2 (ja) 車両の、少なくとも半自動化された走行機能を果たすシステムを監視するための方法、装置、監視システムおよびコンピュータプログラム
Takács et al. Assessment and standardization of autonomous vehicles
Zhao et al. Formal certification methods for automated vehicle safety assessment
Majzik et al. Towards system-level testing with coverage guarantees for autonomous vehicles
Feth et al. A conceptual safety supervisor definition and evaluation framework for autonomous systems
Bohrer et al. A formal safety net for waypoint-following in ground robots
KR102122795B1 (ko) 자율주행차 알고리즘 테스트 방법
Juez et al. Safety assessment of automated vehicle functions by simulation-based fault injection
Serban et al. Tactical Safety Reasoning-A Case for Autonomous Vehicles
Birchler et al. Cost-effective simulation-based test selection in self-driving cars software
Chen et al. Identifying accident causes of driver-vehicle interactions using system theoretic process analysis (stpa)
Czarnecki Software engineering for automated vehicles: Addressing the needs of cars that run on software and data
Rueß et al. Safe AI--How is this Possible?
Wehner et al. Development of driver assistance systems using virtual hardware-in-the-loop
Oakes et al. Machine learning-based fault injection for hazard analysis and risk assessment
Minnerup et al. Testing autonomous driving systems against sensor and actuator error combinations
US20230027577A1 (en) Safe Path Planning Method for Mechatronic Systems
Mauritz Engineering of safe autonomous vehicles through seamless integration of system development and system operation
Marko et al. Challenges of engineering safe and secure highly automated vehicles
Aniculaesei et al. Connected dependability cage approach for safe automated driving
James Elizebeth et al. Comparison of FTA and Stpa approaches: a brake-by-wire case study

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180606

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181030

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181112

R150 Certificate of patent or registration of utility model

Ref document number: 6435351

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees