JP6698320B2 - 処理装置および車両制御システム - Google Patents

処理装置および車両制御システム Download PDF

Info

Publication number
JP6698320B2
JP6698320B2 JP2015223583A JP2015223583A JP6698320B2 JP 6698320 B2 JP6698320 B2 JP 6698320B2 JP 2015223583 A JP2015223583 A JP 2015223583A JP 2015223583 A JP2015223583 A JP 2015223583A JP 6698320 B2 JP6698320 B2 JP 6698320B2
Authority
JP
Japan
Prior art keywords
control
program
unit
alternative program
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015223583A
Other languages
English (en)
Other versions
JP2017092835A (ja
JP2017092835A5 (ja
Inventor
敏史 大塚
敏史 大塚
櫻井 康平
康平 櫻井
祐 石郷岡
祐 石郷岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2015223583A priority Critical patent/JP6698320B2/ja
Priority to CN201680053689.1A priority patent/CN108351822A/zh
Priority to EP16866089.2A priority patent/EP3379417B1/en
Priority to US15/761,962 priority patent/US10946867B2/en
Priority to PCT/JP2016/081194 priority patent/WO2017086087A1/ja
Publication of JP2017092835A publication Critical patent/JP2017092835A/ja
Publication of JP2017092835A5 publication Critical patent/JP2017092835A5/ja
Application granted granted Critical
Publication of JP6698320B2 publication Critical patent/JP6698320B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0781Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0297Control Giving priority to different actuators or systems

Description

本発明は、処理装置および車両制御システムに関する。
本技術分野の背景技術として、特開2010−285001号公報(特許文献1)がある。この公報には、「特定のECUに依存することなくECUの故障に対応可能な電子制御システム及び機能代行方法を提供すること。」ことを目的とし、解決手段として、「第1の電子制御ユニット1と1以上の第2の電子制御ユニットA、Bがネットワーク20を介して接続された電子制御システム100において、第1の電子制御ユニットは、自己機能の故障を検出する故障検出手段36と、故障した故障機能の代行を第2の電子制御ユニットに要求する代行要求手段35と、を有し、第2の電子制御ユニットは、故障機能の代替が可能か否かを判定する判定手段42と、代行が可能と判定した場合、前記故障機能を代行する代行手段41、43と、を有する、ことを特徴とする。」と記載されている。
また別の背景技術として、特開2014−49013号公報(特許文献2)がある。この公報には、「運複数のプロセッサを備えた自動車用電子制御システムにおいて、あるプロセッサに異常が発生しても、そこに割り付けられた機能を保障する。」ことを課題とし、解決手段として、「プロセッサA及びBを備えた電子制御システムにおいて、プロセッサAが独占使用するメモリAのROMにプログラムA及びその機能の一部を実現するRAMプログラムAを格納する一方、プロセッサBが独占使用するメモリBのROMにプログラムB及びその機能の一部を実現するRAMプログラムBを格納する。そして、電子制御システムの起動時に、プロセッサAのRAMプログラムAをプロセッサBのRAMに転送して展開すると共に、プロセッサBのRAMプログラムBをプロセッサAのRAMに転送して展開する。その後、プロセッサA及びBの一方に異常が発生すると、他のプロセッサがRAMプログラムを実行し、異常が発生したプロセッサに割り付けられていた機能を代行する。」と記載されている。
特開2010−285001号公報 特開2014−49013号公報
上記背景技術では故障を想定した機能の再構成について記載されており、代替プログラム(機能の代替、または縮退機能の実行を行うプログラム)を故障していないECUに配置し、機能を代替させる例について記載されている。
しかし、近年検討されている自動運転システムのように、機能の連続的な動作が要求されるシステムにおいては、特許文献1に記載されている故障発生後の書き換えや、特許文献2に記載されている起動前の診断では、走行状態での機能の代替について即座に実行困難である。そのため、自動運転機能の突然の停止による安全性の低下を防ぐという課題がある。
また別の観点では、自動運転システムなど機能が多様化しており、それに伴い故障時の安全制御の方式も多様化している。故障時の状況に応じた最適な安全制御の実現も課題となる。
本発明は、車両制御システムの機能再構成を高速に実現可能とするシステムを提供する。
本発明は、少なくとも一つの処理装置と接続される処理装置であって、前記一つの処理装置が該一つの処理装置に搭載される制御プログラムに基づいて制御動作を実行する期間中に、前記制御プログラムを代替する代替プログラムを取得する。
本発明によれば、車両制御システムの機能再構成を高速に実現可能となる。
本発明の第1の実施例における車両制御システムのシーケンス図である。 システムの例である。 車両制御システム構成の例である。 コントローラの構成例である。 コントローラのソフトウェアモジュール構成の例である。 車両制御システムの構成例である。 車両制御システム機能の配置例である。 再構成管理部と再構成実行部の機能例である。 再構成実行時のメモリマップの例である。 再構成時の画面表示の例である。 故障発生時におけるシステム制御フローの例である。 故障時に配置完了していない場合の車両制御システムのシーケンス図である。 本発明の第2の実施例にかかる車両制御システム構成の例である。 本発明の第2の実施例にかかる車両制御システム機能の配置例である。 本発明の第2の実施例にかかる故障発生時のシステム制御フローの例である。 本発明の第2の実施例にかかる車両制御システムのシーケンス図である。
以下、本発明に好適な実施形態の例(実施例)を説明する。本実施例は、主には車両システムにおける車両制御システム、および車両制御装置について説明しており、車両システムにおける実施に好適であるが、車両システム以外への適用を妨げるものではない。
<車両制御システムの構成>
図2は本実施例の車両制御システムおよび車両制御装置を有する車両システムの概要である。1は自動車など内部に車両制御システムを有する車両システムを示している。2は例えば車載ネットワーク(CAN:Controller Area Network、CANFD:CAN with Flexible Data−rate、Ethernet(登録商標)、等)とコントローラ(ECU:Electronic Control Unit等)により構成される車両制御システムを示している。3は、車両システム1の外部と無線通信(例えば携帯電話の通信、無線LAN、WAN、C2X(Car to X:車両対車両または車両対インフラ通信)等のプロトコルを使用した通信、またはGPS:Global Positioning Systemを用いた通信)を行い、外界(インフラ、他車、地図)の情報または自車に関する情報を取得・送信などの無線通信を実施、または診断端子(OBD)やEthernet端子、外部記録媒体(例えばUSBメモリ、SDカード、等)端子などを有し、車両制御システム2と通信を実施する通信装置を示している。4は、例えば2と異なる、または同一のプロトコルを用いたネットワークにより構成される車両制御システムを示している。5は、車両制御システム2の制御に従い、車両運動を制御する機械および電気装置(例えばエンジン、トランスミッション、ホイール、ブレーキ、操舵装置等)の駆動を行うアクチュエータ等の駆動装置を示している。6は、外界から入力される情報を取得し、後述する外界認識情報を生成するための情報を出力する、カメラ、レーダ、LIDAR、超音波センサなどの外界センサ、および、車両システム1の状態(運動状態、位置情報、加速度、車輪速度等)を認識する力学系センサにより構成される認識装置を示している。7は、ネットワークシステムに有線または無線で接続され、ネットワークシステムから送出されるデータを受信し、メッセージ情報(例えば映像、音)など必要な情報を表示または出力する、液晶ディスプレイ、警告灯、スピーカなどの出力装置を示している。8は、ユーザが車両制御システム2に対して、操作の意図や指示を入力する入力信号を生成するための、例えばステアリング、ペダル、ボタン、レバー、タッチパネル、等の入力装置を示している。9は、車両システム1が外界に対して、車両の状態等を通知するための、ランプ、LED、スピーカ等の通知装置、を示している。
車両制御システム2は、その他の車両制御システム4、無線通信部3、駆動装置5、認識装置6、出力装置7、入力装置8、通知装置9などと接続され、それぞれ情報の送受信を行う。
図3は、車両制御システム2のH/W(Hardware)構成例を示している。301は車載ネットワーク上のネットワーク装置を接続するネットワークリンクであり、例えばCANバスなどのネットワークリンク、302はネットワークリンク301および駆動装置5や認識装置6や301以外のネットワークリンク(専用線含む)に接続され、駆動装置5や認識装置6の制御および情報取得、ネットワークとのデータ送受信を行うECU(Electronic Control Unit:電子制御ユニット)、303は複数のネットワークリンク301を接続し、それぞれのネットワークリンクとデータの送受信を行うゲートウェイ(以下GW)、を示している。
ネットワークトポロジの例は、図3に示す2つのバスに複数のECUが接続されているバス型の例以外にも、複数のECUが直接GWに接続されるスター型や、ECUが一連のリンクにリング状に接続されているリンク型、それぞれの型が混在し複数のネットワークにより構成される混在型、等がある。GW303とECU302については、それぞれGW機能を有するECU、またはECUの機能を有するGWと、がある。
ECU302はネットワークから受信したデータをもとに、駆動装置5への制御信号の出力、認識装置6からの情報の取得、ネットワークへの制御信号および情報の出力、内部状態の変更、などの制御処理を行う。
図4は、本発明にかかるネットワーク装置であるECU302またはGW303の内部構成の一例である。401はキャッシュやレジスタなどの記憶素子を持ち、制御を実行するCPUなどのプロセッサ、402はネットワークリンク301またはネットワークや専用線で接続された駆動装置5または/および認識装置6に対してデータの送受信を行うI/O(Input/Output)、403は図示しないクロックなどを使用し、時間および時刻の管理を行うタイマ、404はプログラムおよび不揮発性のデータを保存するROM(Read Only Memory)、405はプログラムおよび揮発性のデータを保存するRAM(Random Access Memory)、406はECU内部での通信に用いられる内部バス、を示している。
次にプロセッサ401で動作するソフトウェアモジュールの構成について図5に示す。502は、通信I/F402の動作および状態を管理し、内部バス406を介し通信I/F402に指示を行う通信管理部、503は、タイマ403を管理し、時間に関する情報取得や制御を行う時間管理部、501は通信I/F402から取得したデータの解析や、ソフトウェアモジュール全体の制御を行う制御部、504は車両制御に必要な情報を保持するデータテーブル、505は一時的にデータを保持するバッファ、を表している。
これら図5の構成についてはプロセッサ401上の動作概念を示したものであり、動作時に必要な情報はROM404およびRAM405から適宜取得、またはROM404およびRAM405に適宜書き込み、を行い動作する。
後述する車両制御システムの各機能は、制御部501にて実行される。
<車両制御システムの機能構成例>
車両制御システムの機能構成例について図6に示す。601は本発明にかかる車両制御システム全体を示している。602は複数の認識装置6および通信装置3から出力される外界認識情報を統合した外界認識マップを作成する統合認識部を示している。603は統合認識部602により生成された前記外界認識マップおよびユーザ入力部604から入力されたユーザ入力により、自動運転制御情報(軌道等)の生成および出力を示している。出力管理部605への出力指示、および通知管理部606への通知指示を行う自動運転制御部を示している。604は入力装置8からの入力に従い、ユーザの指示情報を生成するユーザ入力部を示している。605は自動運転制御部603および異常検出部607の出力に応じ出力装置7への出力指示を行う出力管理部を示している。606は自動運転制御部603および異常検出部607の出力に応じ通知装置9への通知指示を行う通知管理部を示している。607は自動運転制御部603からの自動運転制御情報等の通知または図示していない各部からの通知により異常を検出する異常検出部を示している。608は、異常検出部607の異常検出結果等により、運動制御部609に対する出力を自動運転制御部603からの入力またはユーザ入力部604からの入力に切替える切替部を示している。609は、切替部608からの軌道情報または運動制御情報、認識装置6から取得する車両システム1の状態、および駆動装置5からの応答、に従い複数の駆動装置5に対して制御を行う運動制御部を示している。610は、自動運転制御部603からの情報および異常検出部607からの通知を受け、代替プログラムの取得、代替プログラムおよび指示を各部に出力、ユーザまたは外部への出力を出力管理部605と通知管理部606に出力する再構成管理部を示している。611は、前記再構成管理部610の指示または代替プログラムを受信して代替プログラムの配置や実行、配置完了の通知を行う再構成実行部を示している。
運動制御情報とは、例えば加速度やヨーレート等の運動制御パラメータの目標値や、各駆動装置5への制御指令値、およびそれらの時系列での連続値を示している。
車両制御システムには、通信装置3、駆動装置5、認識装置6、出力装置7、入力装置8、通知装置9の一部またはすべてが含まれる場合もある。また車両制御装置は、前記車両制御システムにおける一部またはすべての機能を有する装置を指す。
車両制御システム601は複数の機能から構成されており、図3に示すH/Wへの機能配置は複数のパターンが存在する。配置の一例について図7に示す。機能の配置はこれに限らず、それぞれの機能は記載と別のECUに配置されていても良い。
<再構成管理部の構成>
再構成管理部610および再構成実行部611の詳細な構成について図8に示す。再構成管理部610は、下記の各部により構成されている。801は自動運転制御部603等から現在の車両制御状態を受信する制御状態監視部、802は現在の車両制御状態を判定し、いずれのECUにどの代替プログラムを配置するかという再構成の方針を決定する制御状態判定部、803は再構成に関する情報を出力管理部605または通知管理部606に通知する情報通知部、804は、代替プログラムを再構成管理部が配置されたECU、またはネットワークリンク301や通信装置3等を介し異なる場所の記憶領域(クラウド、ROM、HDD、RAM等)から取得する代替プログラム取得部、805は、代替プログラムを送信する代替プログラム送信部、806は、異常時の制御を後述する異常時制御決定方法に従い決定する異常時制御決定部、を表している。
再構成実行部611は、下記の各部により構成されている。810は、再構成管理部610等により送信される代替プログラムを受信する代替プログラム受信部を示している。811は、前記受信した代替プログラムを記憶領域(ROM、RAM等)に配置する代替プログラム配置部を示している。812は、代替プログラムの記憶領域への配置が完了したことを再構成管理部610等に通知する配置完了通知部を示している。813は、再構成管理部からの代替プログラム受信指示または代替プログラムの実行指示を受ける再構成指示受信部を示している。814は、記憶領域に配置した代替プログラムを実行する代替プログラム実行部を示している。
これら再構成管理部610と再構成実行部611の内部の各部はそれぞれに通信を行い、必要な情報や指示をやり取りする。また再構成管理部610と再構成実行部611の機能分担についてはこの例に因らず、例えば代替プログラムの取得は再構成管理部610でなく再構成実行部611が直接実行しても良い。その場合には再構成管理部610による代替プログラムの送受信処理が不要となり、処理負荷が低減される。
また再構成管理部610と再構成実行部611については、システムの中で複数存在することが可能である。例えばあるECU_Aの機能代替を、ECU_BだけでなくECU_C、ECU_Dも実行するように再構成実行部611をそれぞれに複数配置することも可能であり、同時にECU_Bの機能代替をECU_Cが行うことも可能である。このようにすることにより、一つのECUの機能代替を複数のECUが実施し、また複数のECUの機能代替を同時に行うことが可能となる。
またそれら管理を、ECU_Eが1か所で集中的に行うことも、ECU_EとECU_Fが分散して管理することも可能である。これにより、再構成管理の一部機能が故障してもその他のECUが補うことができ、より安全性を高めることが可能である。
<異常検出>
異常の検出方法について説明する。異常とは、ハードウェア故障やソフトウェアの不具合、想定外の入力等を原因として発生する通常時想定している状態と異なる状態を示している。車両制御システム2の各部は、ネットワークまたは専用線等の通信経路を介して通信を行っており、通信の異常については、通信が行えない(通信処理がエラー応答、信号線の電位が異常)、通信の信号値が異常、等が発生する。これら通信の異常について、電気回路での異常検出(電位検出等)、定期的な生存確認(ハートビート)、CRC等の誤り検出符号のエラー検出、することにより、通信の異常が検出可能である。
また演算装置の故障については、同じ演算を行った結果の検算(演算結果の比較)により異常検出可能であり、メモリの故障については前記RAMやROMにアクセスした場合の誤り検出等により検出可能である。
またソフトウェアの不具合については、前記同じ演算を行った結果の比較以外にも、出力結果の範囲異常により検出することも可能である。
これら異常を異常検出部607は自ら検出、または各部からの異常を検出した通知を受信することにより異常を検出する。例えば自動運転制御部603は、認識装置6、通信装置3、統合認識部602、およびそれらの間の通信のいずれかの部分で異常が発生していることを自動運転制御情報に情報として付与して送信し、異常検出部607は前記情報を受信し異常発生を検出する。異常を検出した結果により後述する代替プログラムの実行などの異常時制御を実施する。
また異常検出部607は、出力管理部605または/および通知管理部606に対して異常を検知したことを通知する。これにより、出力管理部605または/および通知管理部606は後述する車両状態のユーザへの出力または/および車外への通知を実施する。
<再構成処理シーケンス>
本実施例にかかる再構成処理の処理シーケンスについて図1を用いて説明する。ここではECU_Aが再構成管理部610を有し再構成指示を行い、かつ故障が発生する制御(例:自動運転制御部)を有する例を表している。ECU_Bは再構成実行部611を有し、代替制御を実施するECU、ECU_Cが通常時にECU_Aから制御を受けている例を示している。
通常時にECU_Aは、制御信号をECU_Cに対して出力する(S101)。またECU_Bも通常時にECU_Cに制御信号を出力しているとする(S102)。その後走行を続けた結果、後述する車両制御状態が変更になった場合、ここではECU_Aの自動運転制御部603がそれを判断し、再構成管理部610に車両制御状態の変更を通知する(S103)。前期通知を受けた再構成管理部610は、代替プログラムを自ら取得する。またはいずれかのECUまたストレージに出力するように指示を行う(S104)。この場合の代替プログラムの取得先は、車両システム内部のいずれかのECU、もしくはストレージ(HDD等)、または通信装置3やGWを解して車両システム外部から取得する。もしくはECU_A内など、機能代行を依頼するECUにあらかじめ保持しておく。代替プログラムを取得した(S105)ECU_Aは、故障時に機能代行を行うECU_Bに前記代替プログラムを送信する(S106)前記代替プログラムを受信したECU_Bは、後述する図9の例の様に代替プログラムを配置する。またすべてのプログラムを受信および配置が完了した時点で配置完了通知を行う(S107)。再構成の管理を行いながら、ECU_Aは通常時の制御を継続して実施する(S108)。
その後故障が発生した場合には(S109)、例えばECU_A内の異常検出部607が検出し、ECU_Bへ故障発生の通知を行う。またはECU_Bは通信が途絶したことにより異常を検出する(S110)。前記故障を認識したECU_Bは、保持していた代替プログラムの実行を開始する(S111)。その時点で制御を引き継ぎ、ECU_BからECU_Cに対して代替での制御を実施する(S112)。このようにして機能の代替を実施する。
一方、故障が発生する前に車両制御状態が変更になった場合には(S113)、前記と同様に再構成管理部610が自動運転制御部603などから通知を受け、ECU_Bに対して前記代替プログラムが不要である情報を含む状態変更通知を行う(S114)。前記状態変更通知を受け、ECU_Bは保持していた代替プログラムを破棄する(S115)。その後必要に応じてECU_Bは通常時の制御を実施する(S116)。
このようにして車両制御状態に応じて代替処理用のプログラムをあらかじめECUに配置し、故障が発生した場合には即座に代替プログラムに切り替え、安全性と利便性を確保する。
ここではECU_Bが通常時にも制御を行っている例について示したが、通常時は制御を行わず、故障発生時のみ制御を行うECUであっても良い。その場合にはS114での状態変更通知を受けてプログラムを破棄する必要が無くなり、再度のプログラム配置が不要となる。
また、機能代替するECUをここではECU_Bのみとしている例を示したが、他のECUにも同時に同様のシーケンスにより代替プログラムを実行させてもよい。これにより故障発生時のバックアップを二重以上で実施可能であり信頼度を上げる他、ネットワークが断線した場合に別経路で制御を継続させることも可能となる。また複数のECUでの代替プログラムでそれぞれ独立した制御を行うことにより、負荷を低減することも可能となる。
また代替プログラムは、車両制御状態に合わせて変更可能である。例えば高い安全性が要求される状況(高速走行、高速道走行、密度の高い一般道走行、地図が無い状態での自動走行、ユーザが非覚醒状態)ではより高度(データ量が多い等)な代替プログラムを使用しかつ高い安全度(ASIL等)を実現可能なECUに配置する。高い安全性が要求されない状況(低速走行、駐車場内、ユーザが監視中等)では、簡易な代替プログラムを必要な安全度を実現可能なECUに配置するように、再構成管理部がS105にてプログラムを取得して必要なECUへの再構成指示を行う。このようにすることにより制御状態に合わせて適切な代替プログラムを実行することが可能となる。
また代替プログラムの送信については、制御情報の通信と同時に発生するため、通信の優先度を下げることが望ましい。これにより既存の制御情報の通信を大きく妨げることなく再構成情報の送信が可能となる。また優先度については下げるだけでなく、それ以外のリアルタイム性を有しない通信(例えば制御に用いない音声・メッセージ用信号、優先度の低いエアコン、メータ等信号)よりは高い優先度を設定することが望ましい。これにより、再構成を比較的早く完了させることが可能になり、結果として安全性を高めることが可能となる。
<再構成時のECU内処理>
図9に再構成処理を行っている際の、上記例におけるECU_B内での処理概要およびメモリイメージを示す。(a)は通常時のROMおよびRAMの状態を示している。ROMには制御プログラムが格納されており、CPUにより前記制御プログラムが実行される。RAMには通常時使用するMAINデータ、および特定制御状態では使用しないSUBデータが格納されている例を示している。
図9(b)はS107でのメモリイメージを示している。現在の制御状態では使用していないSubデータの領域に対し、代替プログラムを配置する。ここで代替プログラムはリロケータブルモジュールであり、自己の領域および予約され確保されたRAMの領域外にアクセスしない形式であることが望ましい。これによりECU_Bが本来使用するデータへの不正なアクセスを防ぐことが可能となる。
図9(c)はS111での制御の切り替えについて示しており、ROM内の制御プログラムの一部から、代替プログラムを実行するように切り替えを行う。これにより代替プログラムの実行が可能となる。
図9(d)はS115でのメモリイメージを示しており、制御状態が変わり、代替プログラムを配置していた領域について、内部フラグ等で確保していた領域を解放し、未使用状態とすることを示している。
図9(e)はS116において、本来ECU_Bが使用していたRAMのデータ(Subデータ)を再び格納している例を示している。
このように制御状態に応じて未使用の領域に予め代替プログラムを格納しておくことにより、故障発生時の早期な切り替えが可能となる。
ここでは制御状態により変更となるRAM領域への代替プログラムの格納例を示しているが、本来使用していないRAMの領域やROMの領域を使用しても良い。そのようにすることにより、S115でのプログラム破棄および同様の制御状態でのS107でのプログラム配置が不要となり、制御状態が変更となっても再度の代替プログラム送信が不要となる。
<車両制御状態>
車両制御状態とは、車両システムの制御の状態を示す。例として、自動運転状態のON/OFF(OFFではドライバが操作し、システムがアシストを行う、もしくはシステムは制御を行わない)、一般道または高速道を走行、自動駐車中のON/OFF、走行速度(低速、中速、高速)、ドライバの状態(運転操作可能または困難)、天候など自動運転が困難な状況(強雨、霧、逆光、地図に無い道等)、等を表す。
これら車両制御状態に応じて、代替機能が必要なECU、または機能代替が可能なECUが変更となる。例えば自動駐車を行っていない場合には、自動駐車がその機能を実現するために必要となるCPU、ROM、RAM等のリソースが一時的に不要となり、その領域に代替プログラムを配置しておく。また別の例では一般道を自動運転中では使用しない統合認識部や自動運転制御部のリソースに配置をしておく。
車両制御状態および/または要求安全レベルに応じて前記代替プログラムや配置ECUを変更することにより、車両制御状態に合わせた最適な代替制御を実行することが可能となる。
<車両状態のユーザへの出力・車外への通知>
車両制御システム2は、現在の車両の状態について、出力装置7を介してユーザに、または車両の外部に対して通知装置9または通信装置3を介して出力する。例えば車両システム1のいずれかの部分に異常が発生した場合に、出力装置7を介してユーザに対して警告等の点灯、もしくは音による警告を実施する。または通知装置9または通信装置3を介して車両外部に、ランプによる警告状態の出力や、スピーカによる警告音、異常に関する情報等の出力等を実施する。
上記異常検出手段により異常が検出された場合には、ユーザに対して異常が発生したことを、警告等や音で通知し、さらに異常の内容(異常が発生した各部、通信経路)についても出力装置7が有するディスプレイや警告灯で表示するなどを行う。これにより発生した異常をユーザが認識し、操作の引き継ぎを行うことが可能となる。
また車外への通知についても同様に、異常が発生したことと、異常が発生した範囲、または軌道の方向等を通知装置9または通信装置3を介して通知する。このようにすることにより、後続車などが、異常が発生した車両システム2の行動を予測可能となり、衝突などを回避することが可能となる。
出力装置7への表示例について図10に示す。ここでは1000が表示画面全体、1001がメッセージ例を示している。メッセージの内容については、再構成管理部610または異常検出部607から受信した、現在実行している代替プログラムの概要の名称、故障箇所(ECU、またはその中のマイコン、RAM、ROM、異常箇所)、使用不能箇所(同左)、前記故障および使用不能箇所から使用不能となる機能表示する。使用不能箇所とは、前記直接故障した箇所だけでは無く、例えば故障個所を経由した通信が不可能になるなどで使用できなくなる箇所を示している。これにより、ユーザは現在の車両制御システム2の状態を判断し、故障に応じた操作や、使用不能である機能を使わない計画、修理等の対応が可能となり、システムの利便性・安全性を向上させることが可能となる。
<ユーザ引き継ぎ制御>
自動運転制御情報に基づく制御、または相対情報に基づく制御から、ユーザによる制御について切り替える例を説明する。ユーザ入力部604は入力装置8を介したユーザの運転操作開始動作(例えばペダルを踏む、ステアを操作する、自動運転終了のボタンを押す、等)を検出し、切替部608に通知する。切替部608は、ユーザの運転操作開始動作の通知を受け、自動運転制御情報および相対情報に基づく制御を中止し、ユーザの運転操作に切り替える。このようにして、自動運転制御および相対情報に基づく制御からユーザの運転操作に切り替えを実施する。
<異常時制御決定方法>
図11に代替プログラムの配置状態に応じた制御フローを、その際の動作シーケンス図を図12に示す。ここではECU_Bへの代替プログラムの配置が完了しておらず、S107での配置完了通知が未だ通知されていないものとする。
再構成管理部610の故障発生時の制御フローは、まず代替プログラムの配置が完了しているかについて、現在の車両制御状態における前記配置完了通知の受信済みを確認する。配置完了済みである場合には(S1103のyes)、配置完了している代替プログラムを実行するように再構成実行部611に指示を行う(S1103)。配置が完了していない場合には(S1103のno)、固定の代替プログラムを実行するように、再構成実行部611、または再構成実行部を有せず固定の代替プログラムを実行可能なECUに指示を行う。
シーケンスの例についても図12を用いて説明する。配置が完了していない状態で故障が発生した場合(S1200)、ECU_Aは故障発生を検出後、ECU_Cに固定での代替プログラムの実行を指示し(S1201)、前記指示を受けたECU_Cは、予め保有している代替プログラムを実行する(S1202)。
このようにすることにより、代替プログラムの配置が未完了である場合でも、固定での異なる代替プログラムを実行することにより、最低限の安全性を確保することが可能となる。 固定での代替プログラムの実行については、ECU_C以外のECU_Dが実行しても良い。ECU_Dが実行することにより、ECU_Cは不要なプログラムの実行が不要となり、安全に制御プログラムを実行することが可能となる。またECU_Cが代替プログラムを実行することにより、ネットワーク等の障害が発生した場合でも安全に代替プログラムを実行可能となる。
本実施例における車両制御システム2の構成例を図13に示す。本実施例においては、認識装置6から出力される情報を基に、後述する相対情報を作成する相対情報認識部612、相対情報および認識装置6から出力される情報から運動制御情報を作成する相対情報制御部613、自動運転制御情報を保持しておき、必要に応じて出力を行う自動運転制御情報保持部614を追加している。
相対情報とは、前記外界認識情報のうち、特に認識装置6から取得可能な情報であり、周辺オブジェクトと自車両との相対位置および相対速度、相対加速度、およびそれら値から演算可能な値、のいずれかの情報の組み合わせである。
また、運動制御情報とは、例えば加速度やヨーレート等の運動制御パラメータの目標値や、各駆動装置5への制御指令値、およびそれらの時系列での連続値を示している。
出力管理部605および通知管理部606は前記相対情報制御部613の出力を受け、出力指示および通知指示を行い、異常検出部607は相対情報認識部612からの情報を基に異常検出を行い、切替部608は、異常検出部607の異常検出結果を基に、運動制御部609に対する出力を自動運転制御部603からの入力またはユーザ入力部604、相対情報制御部608、自動運転制御情報保持部614からの入力を切替える構成としている。
本実施例におけるH/Wへの機能配置例を図14に示す。機能の配置はこれに限らず、それぞれの機能は記載と別のECUに配置されていても良い。例えば統合認識部602、自動運転制御部603と、相対情報認識部612、相対情報制御部613を別のECU、またはマイコンに機能を配置することにより、H/W故障による共通原因故障のリスクからそれぞれの機能を守り、高信頼化を実現することが可能となる。
自動運転制御部603は、統合認識部602から出力された周辺認識の結果を基に、自動運転制御情報を作成する。自動運転制御情報の例としては軌道がある。軌道は、車両システムが安全に走行可能(例:他の障害物に衝突する可能性が低い)である安全性制約、車両システムが実現可能な加速度・減速度、ヨーレート、などの運動制約、を満たすように生成する。
軌道とは、例えば一定時間間隔ごとの自車位置の座標の集合により表わされる。また別の例では、一定時間間隔ごとの運動制御値(目標加速度・ヨーレート)の集合、一定時間間隔ごとの自車両のベクトル値(方向・速度)、一定距離を進むための時間間隔、等で表すことが可能である。
このように、車両が移動する方向、運動制約、安全性制約を基に軌道を作成し、生成された軌道を基に、自動運転制御部603は運動制御部612に切替部608を介して軌道情報を送信し、運動制御部612は前記軌道情報を基に駆動装置5を制御し、車両システムを制御する。
<自動運転制御情報に基づく制御>
運動制御部609は、切替部608が出力した自動運転制御情報または運動制御情報を実現するように駆動装置5の制御を行う。
自動運転制御情報による制御は、例えば自動運転制御情報が軌道である場合、前記軌道に追従可能なように、認識装置6から取得した車両システム1のシステム状態(現在速度、加速度、ヨーレート等)を反映し、車両システム1の目標速度およびヨーレート等を算出する。これら目標速度およびヨーレートを実現するため、それぞれ必要な駆動装置5の制御を行う。これにより目標である軌道に追従可能な車両制御を実現する。
また、運動制御情報による制御を実現するためには、目標の速度を実現するために、エンジントルクの出力を増加させる、減速を行うためにブレーキを制御する、目標ヨーレートを実現するためにステアを転舵させる、または車輪速が不均等になるように車輪個別に制動・加速の制御を行う。また運動制御情報が駆動装置5の制御値である場合には、前記制御値を用いて駆動装置5の制御を行う。このようにして目標の運動制御を実現する。
<自動運転制御情報の保持>
自動運転制御情報保持部614は、異常が発生した場合に最低限安全を確保可能な自動運転制御情報(例えば、自動運転制御部603により計算された一定時間先までの自動運転制御情報、車線に沿って走行、車線に沿って走行して緩やかな減速、路肩へ退避して停止、等。以下保持制御情報)を予め演算された結果を保持しておき、異常発生時に保持していた保持制御情報に切り替えるためのものである。
自動運転制御部603は演算した保持制御情報を自動運転制御情報保持部614に送信する。前記送信の際に、異常検出部607は保持制御情報についても異常の有無を検出する。
切替部608は、自動運転制御部603、相対情報制御部613、自動運転制御情報保持部614からの制御情報を切り替えて運動制御部609に出力する。
このようにすることにより、自動運転制御情報で異常が発生した場合にも、一定時間は保持していた安全を維持可能かつ異常が検出されていない保持制御情報で制御を行うことが可能となり、なおかつその後相対情報で異常が検出された場合に、安全に相対情報による制御に切り替えることが可能となる。
<相対情報に基づく制御>
相対情報に基づく制御例について説明する。相対情報制御部613は、相対情報認識部612が出力する相対情報および認識装置6から取得する自車の状態に基づいて運動制御情報を作成する。
前方にオブジェクト(車両)が存在している場合の例について説明する。前方に車両が存在し、相対情報における相対位置(距離)が一定値を下回った場合には自車両に対して減速の制御を行う。そのために、相対情報制御部613は前記相対情報および認識装置6から取得する自車の状態を判定し、減速を行うための運動制御情報を切替部608に対して出力する。また逆に相対位置が一定値を上回る場合には、同様にして自車両に対して加速の制御を行うための運動制御情報を出力する。このようにして前方車両に対して相対位置が一定量を上回るまたは一定量を下回ることの無いように、加速・減速の制御を行う。後方にオブジェクトが存在している場合にも同様に、相対位置が一定量を上回る、一定量を下回ることの無いように制御を行う。これら判定および加減速の制御により、相対情報に基づいた制御が可能となる。
また、前後方向のみでなく、左右方向についても、相対位置から認識し、オブジェクトが存在していない方向に操舵を行い、例えば前後方向への衝突を回避する制御を行う。そのための目標ヨーレートについても上記運動制御情報に含み、相対情報制御部613が切替部608に対して出力を行う。
<安全維持制御状態における再構成処理>
これら保持制御情報または相対情報に基づく制御(以下安全維持制御)を実施する場合の故障時の再構成管理部のシステム制御フローについて図15に示す。
まず故障発生を検出後、再構成管理部610は、代替プログラムの配置が完了しているかについて、現在の車両制御状態における前記配置完了通知を受信済みを確認する。配置完了済みである場合には(S1501のyes)、配置完了している代替プログラムを実行するように再構成実行部611に指示を行う(S1505)。配置が完了していない場合には(S1501のno)、前記安全維持制御を実施する。これにより一定時間の処理を行った後、再度代替プログラムの配置が完了しているかを確認する(S1503)。その後配置完了済みである場合には(S1501のyes)、配置完了している代替プログラムを実行するように再構成実行部611に指示を行う(S1505)。配置が完了していない場合には(S1501のno)固定の代替プログラムを実行するように、再構成実行部611に指示を行う。このようにして代替プログラムの配置が完了していない場合でも、安全機能維持により安全性を確保し、その後配置が完了した場合には代替プログラムを実行し、完了しない場合には固定プログラムを実行する。このようにして代替プログラムが実行される機会を増加させ、安全性を向上する。
ここでS1502で安全維持制御を実行している間も、代替プログラムの送信および配置を実行しているが、その間に配置を高速に終了させるため、代替プログラムの通信の優先度を上げ、配置を高速化しても良い。また通信の帯域についても、故障発生により使用していない通信帯域があるため、その帯域を使用するようにしてもよい。これらにより安全維持制御を実行している間に配置がより早く完了するようになり、配置した代替プログラムでの実行する可能性を高めることが可能となる。
また、S1502で安全維持制御を実行中に配置が完了した場合には、配置完了通知を受けた時点で配置した代替プログラムの実行に切り替えても良い。これにより安全維持制御の実行時間をより短くすることが可能になる。
また、再構成管理部610が、現在実行可能な代替プログラムより、安全維持制御の方がより安全性を高められると判定した場合には、安全維持制御を配置した代替プログラムの実行よりも優先しても良い。その場合にはS1501が不要となる。またこれにより、より安全性を高める制御が可能になる。
また、代替プログラムの配置の開始は、故障が発生した後で安全維持制御を実施しながら実行を行っても良い。シーケンス図の例について図16に示す。ここでは故障発生後(S109)、ECU_Aが機能維持制御を実施指示し(S1601)、その間に代替プログラムの配置(S104からS107)を行う。その後、安全維持制御が終了したタイミングまたは代替プログラムが配置完了したタイミングで、代替プログラムの実行を行う(S1602)このようにすることにより、車両制御状態だけでなく、故障状態に応じた代替プログラムの配置が可能となり、さらに故障が発生していない状況での代替プログラムの配置が不要となり、前記配置処理および通信処理の負荷を低減することが可能となる。
以上説明した実施例によれば、車両制御情報が切り替わった時点で再構成のための代替プログラムを予め配置し、故障が発生した場合に前記代替プログラムの制御に切り替えることにより、再構成が完了するまでの時間を短縮し、かつ代替プログラムの内容を可変とすることが可能となる。これにより、システムの利便性や安全性、可用性を向上させることが可能となる。
特に代替プログラムの内容および配置先(ECU)を車両制御状態により変更可能とすることにより、車両制御状態に合わせた安全制御の実現や、車両制御システムのリソースの最適な使用も可能となる。
また代替プログラムの配置が完了していない場合に固定での代替プログラムを実行することにより、最低限の安全確保が可能となる。
また別の実施例では、自動運転制御状態において故障が発生した場合に、安全維持制御を行いその間に代替プログラムの配置を行うことにより、より安全性や利便性を向上させることが可能となる。
特に故障発生後に、例えば安全維持制御を行いながら、代替プログラムの送信の優先度を上げることにより、より安全に制御状態に合わせた代替プログラムの実行を行うことが可能となる。
さらに故障発生後に、安全維持制御を実行して代替プログラムの配置を行うことにより、
故障状態に応じた代替プログラムの配置が可能となり、安全性や利便性のさらなる向上や、さらに故障が発生していない状況での代替プログラムの配置が不要となり、前記配置処理および通信処理の負荷を低減することが可能となる。
1 車両システム
2 車両制御システム
3 通信装置
4 車両制御システム
5 駆動装置
6 認識装置
7 出力装置
8 入力装置
9 通知装置
301 ネットワークリンク
302 ECU
303 GW
401 プロセッサ
402 I/O
403 タイマ
404 ROM
405 RAM
406 内部バス
501 制御部
502 通信管理部
503 時間管理部
504 データテーブル
505 バッファ
601 車両制御システム
602 統合認識部
603 自動運転制御部
604 ユーザ入力部
605 出力管理部
606 通知管理部
607 異常検出部
608 切替部
609 運動制御部
610 再構成管理部
611 再構成実行部
612 相対情報認識部
613 相対情報制御部
614 自動運転制御情報保持部
801 制御状態監視部
802 制御状態判定部
803 情報通知部
804 代替プログラム取得部
805 代替プログラム送信部
806 異常時制御決定部
810 代替プログラム受信部
811 代替プログラム配置部
812 配置完了通知部
813 再構成指示受信部
814 代替プログラム実行部
1000 ユーザ通知画面

Claims (7)

  1. 少なくとも第一の処理装置と接続される第二の処理装置であって、
    前記第一の処理装置が前記第一の処理装置に搭載される制御プログラムに基づいて制御動作を実行する期間中に、前記第二の処理装置は、前記第一の処理装置から前記制御プログラムを代替する代替プログラムを取得し、
    前記代替プログラムは、前記第一の処理装置が故障した際に、前記第二の処理装置が代替動作を行うためのプログラムであり、前記第一の処理装置から前記第二の処理装置への前記代替プログラムの送信は、リアルタイム性を要する通常の制御情報の通信指令より低い優先度で実行される処理装置。
    処理装置。
  2. 請求項1に記載の処理装置において、
    前記代替プログラムは、車両制御状態に応じて決定される処理装置。
  3. 請求項1に記載の処理装置において、
    前記第二の処理装置は、前記第一の処理装置から代替プログラムの実行を指示された場合に、前記代替プログラムの配置が完了している場合には前記配置された代替プログラムを実行し、配置が完了していない場合には前記配置を行っている代替プログラムとは異なるプログラムを実行することを特徴とする処理装置。
  4. 請求項1に記載の処理装置において、
    前記第二の処理装置は、安全維持制御を行った後に代替プログラムの取得を行うことを特徴とする処理装置。
  5. 請求項1に記載の処理装置において、
    前記第一の処理装置は、前記第の処理装置、及第三の処理装置に接続され、
    前記第二の処理装置は前記制御動作を実行する期間中に、前記代替プログラムを前記第三の処理装置に送信する処理装置。
  6. 請求項に記載の処理装置において、
    前記第一の処理装置の故障発生後の代替プログラムの送信は、リアルタイム性を要する通常の制御情報の通信指令時よりも高い優先度を割り当てることを特徴とする処理装置。
  7. 請求項1に記載の処理装置と通信を行う車載制御システムであり、
    第三の処理装置を備え、
    前記第二の処理装置が前記制御動作を実行する期間に、前記代替プログラムを前記第三の処理装置が取得する車載制御システム。
JP2015223583A 2015-11-16 2015-11-16 処理装置および車両制御システム Active JP6698320B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015223583A JP6698320B2 (ja) 2015-11-16 2015-11-16 処理装置および車両制御システム
CN201680053689.1A CN108351822A (zh) 2015-11-16 2016-10-21 处理装置及车辆控制系统
EP16866089.2A EP3379417B1 (en) 2015-11-16 2016-10-21 Processing device and vehicle control system
US15/761,962 US10946867B2 (en) 2015-11-16 2016-10-21 Processing device and vehicle control system
PCT/JP2016/081194 WO2017086087A1 (ja) 2015-11-16 2016-10-21 処理装置および車両制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015223583A JP6698320B2 (ja) 2015-11-16 2015-11-16 処理装置および車両制御システム

Publications (3)

Publication Number Publication Date
JP2017092835A JP2017092835A (ja) 2017-05-25
JP2017092835A5 JP2017092835A5 (ja) 2019-03-07
JP6698320B2 true JP6698320B2 (ja) 2020-05-27

Family

ID=58718827

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015223583A Active JP6698320B2 (ja) 2015-11-16 2015-11-16 処理装置および車両制御システム

Country Status (5)

Country Link
US (1) US10946867B2 (ja)
EP (1) EP3379417B1 (ja)
JP (1) JP6698320B2 (ja)
CN (1) CN108351822A (ja)
WO (1) WO2017086087A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11492009B2 (en) * 2017-06-08 2022-11-08 Mitsubishi Electric Corporation Vehicle control device
US11366443B2 (en) 2017-06-15 2022-06-21 Hitachi, Ltd. Controller
US10402192B2 (en) * 2017-07-25 2019-09-03 Aurora Labs Ltd. Constructing software delta updates for vehicle ECU software and abnormality detection based on toolchain
JP6808595B2 (ja) * 2017-09-01 2021-01-06 クラリオン株式会社 車載装置、インシデント監視方法
KR102001914B1 (ko) * 2017-09-07 2019-07-19 엘지전자 주식회사 차량 av시스템의 오류 검출 ic
US11003153B2 (en) * 2017-11-17 2021-05-11 Intel Corporation Safety operation configuration for computer assisted vehicle
JP6604661B2 (ja) * 2017-11-21 2019-11-13 三菱電機株式会社 車両制御装置
DE102018002156A1 (de) * 2018-03-16 2019-09-19 Trw Automotive Gmbh Ein verbessertes Steuerungssystem und ein verbessertes Steuerungsverfahren für das autonome Steuern eines Kraftfahrzeugs
EP3587194B1 (en) * 2018-06-29 2022-08-03 Aptiv Technologies Limited Power and data center (pdc) for automotive applications
JP7193289B2 (ja) * 2018-09-28 2022-12-20 日立Astemo株式会社 車載電子制御システム
WO2020148870A1 (ja) * 2019-01-17 2020-07-23 三菱電機株式会社 代替制御装置、代替制御方法、代替制御プログラム及びフェールオペレーショナルシステム
CN109887125B (zh) * 2019-02-02 2021-12-14 北京主线科技有限公司 故障检测方法及装置
JP7243392B2 (ja) 2019-03-29 2023-03-22 マツダ株式会社 車両走行制御装置
JP7449650B2 (ja) * 2019-05-23 2024-03-14 株式会社デンソー 車両用装置
JP7247770B2 (ja) * 2019-06-11 2023-03-29 株式会社デンソー 車両用制御システム
JP7363118B2 (ja) * 2019-06-14 2023-10-18 マツダ株式会社 外部環境認識装置
JP6779354B1 (ja) * 2019-10-30 2020-11-04 三菱電機株式会社 制御通信システム
JP7053695B2 (ja) * 2020-02-14 2022-04-12 本田技研工業株式会社 車両制御装置および車両
JP6991294B1 (ja) * 2020-10-09 2022-01-12 三菱電機株式会社 制御装置
JP7405067B2 (ja) * 2020-12-11 2023-12-26 トヨタ自動車株式会社 車両の制御装置、及び車両の制御方法
KR102592102B1 (ko) * 2021-08-17 2023-10-23 한국자동차연구원 자율주행 제어권 전환에 대한 준비도 판단 장치 및 그 방법
JP2023028829A (ja) * 2021-08-20 2023-03-03 株式会社日立製作所 制御装置、制御装置の制御方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5957985A (en) * 1996-12-16 1999-09-28 Microsoft Corporation Fault-resilient automobile control system
JP4399987B2 (ja) * 2001-01-25 2010-01-20 株式会社デンソー 車両統合制御におけるフェイルセーフシステム
US7146260B2 (en) * 2001-04-24 2006-12-05 Medius, Inc. Method and apparatus for dynamic configuration of multiprocessor system
JP3928505B2 (ja) * 2002-07-05 2007-06-13 株式会社デンソー 車両用通信システム
EP2177413B1 (en) * 2004-07-15 2015-02-25 Hitachi, Ltd. Vehicle control system
JP2007034359A (ja) 2005-07-22 2007-02-08 Hitachi Ltd 分散制御装置
JP5060225B2 (ja) * 2007-09-13 2012-10-31 株式会社トヨタIt開発センター 分散処理システム
JP5507046B2 (ja) * 2007-12-27 2014-05-28 株式会社インテック サービス提供システム
JP5099222B2 (ja) * 2008-05-30 2012-12-19 富士通株式会社 情報処理装置、転送回路及び情報処理装置のエラー制御方法
JP2010285001A (ja) 2009-06-09 2010-12-24 Toyota Motor Corp 電子制御システム、機能代行方法
JP5036780B2 (ja) * 2009-10-06 2012-09-26 トヨタ自動車株式会社 車両の制御装置
DE102012201185A1 (de) * 2012-01-27 2013-08-01 Siemens Aktiengesellschaft Verfahren zum Betreiben mindestens zweier Datenverarbeitungseinheiten mit hoher Verfügbarkeit, insbesondere in einem Fahrzeug, und Vorrichtung zum Betreiben einer Maschine
JP6129499B2 (ja) 2012-09-03 2017-05-17 日立オートモティブシステムズ株式会社 自動車用電子制御システム
JP2014182571A (ja) 2013-03-19 2014-09-29 Denso Corp 車載電子制御装置のプログラム書換システム及び車載中継装置

Also Published As

Publication number Publication date
EP3379417B1 (en) 2020-10-21
EP3379417A4 (en) 2019-09-11
US10946867B2 (en) 2021-03-16
US20180281816A1 (en) 2018-10-04
WO2017086087A1 (ja) 2017-05-26
CN108351822A (zh) 2018-07-31
JP2017092835A (ja) 2017-05-25
EP3379417A1 (en) 2018-09-26

Similar Documents

Publication Publication Date Title
JP6698320B2 (ja) 処理装置および車両制御システム
JP6870039B2 (ja) 自動運転車両の制御方法、自動運転車両の制御装置及びコンピュータ読み取り可能な記憶媒体
JP6729739B2 (ja) 車両のadas機能の選択的な遠隔制御
WO2017038289A1 (ja) 車両制御装置および車両制御システム
WO2016021340A1 (ja) 車両制御システム、およびこれを備えた行動計画システム
CN112429012B (zh) 汽车电控系统、自动驾驶控制方法及汽车
JP6651914B2 (ja) 遠隔操作システム
US11449060B2 (en) Vehicle, apparatus for controlling same, and control method therefor
US20170316691A1 (en) System and method for detecting and communicating slipping of non-connected vehicles
CN112540592A (zh) 用于确保安全的具有双自主驾驶系统的自主驾驶车辆
JP7236310B2 (ja) 経路設定装置、経路設定方法及びプログラム
KR101802858B1 (ko) 자동차용 통합데이터 처리 제어 시스템 및 방법
JP6875240B2 (ja) 移動体の制御システムおよび移動体の制御方法
WO2020158342A1 (ja) 車両制御装置および車両制御システム
JP6989347B2 (ja) 車両状態判定装置、車両状態判定システム、車両状態判定方法、及び、車両状態判定プログラム
JP2019059477A (ja) 車両制御システム、およびこれを備えた行動計画システム
JP7256867B2 (ja) 制御装置、制御方法及びプログラム
WO2021199345A1 (ja) 車両管制システム、装置、方法、及びコンピュータ可読媒体
JP2022065804A (ja) 自律走行制御システム
JP2023506869A (ja) インテリジェントコネクテッドビークル用の制御システム及び制御方法
WO2020044891A1 (ja) 車両制御装置及び車両制御システム
JP2020154631A (ja) 遠隔制御装置及び自動運転システム
WO2024090195A1 (ja) 情報処理システム、通信方法、及び、移動体
CN113615256B (zh) 控制装置、控制方法以及存储介质
JP2023138422A (ja) 情報プロンプトシステム及び方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151118

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170119

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170125

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200428

R150 Certificate of patent or registration of utility model

Ref document number: 6698320

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250