JP6719433B2 - 移動体の制御システムおよび移動体の制御方法 - Google Patents

移動体の制御システムおよび移動体の制御方法 Download PDF

Info

Publication number
JP6719433B2
JP6719433B2 JP2017182193A JP2017182193A JP6719433B2 JP 6719433 B2 JP6719433 B2 JP 6719433B2 JP 2017182193 A JP2017182193 A JP 2017182193A JP 2017182193 A JP2017182193 A JP 2017182193A JP 6719433 B2 JP6719433 B2 JP 6719433B2
Authority
JP
Japan
Prior art keywords
control
function
information
controlled device
control information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017182193A
Other languages
English (en)
Other versions
JP2019055743A5 (ja
JP2019055743A (ja
Inventor
拓郎 森
拓郎 森
光博 木谷
光博 木谷
博史 峯
博史 峯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017182193A priority Critical patent/JP6719433B2/ja
Priority to EP18857452.9A priority patent/EP3564817B1/en
Priority to PCT/JP2018/019873 priority patent/WO2019058640A1/ja
Priority to US16/483,721 priority patent/US11192562B2/en
Publication of JP2019055743A publication Critical patent/JP2019055743A/ja
Publication of JP2019055743A5 publication Critical patent/JP2019055743A5/ja
Application granted granted Critical
Publication of JP6719433B2 publication Critical patent/JP6719433B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/04Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/18Conjoint control of vehicle sub-units of different type or different function including control of braking systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/20Conjoint control of vehicle sub-units of different type or different function including control of steering systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/18Propelling the vehicle
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/18Braking system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/20Steering systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2720/00Output or target parameters relating to overall vehicle dynamics
    • B60W2720/10Longitudinal speed
    • B60W2720/106Longitudinal acceleration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Human Computer Interaction (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Traffic Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Stored Programmes (AREA)
  • Hardware Redundancy (AREA)

Description

本発明は、移動体の制御システムおよび移動体の制御方法に関する。
近年、車両、建設機械、エレベータなどの産業機器では、産業機器を制御する制御システムに不具合が発生した場合の影響が深刻となることがある。そのため、この種の産業機器では、制御システムの一部の機能に不具合が発生した場合、他の機能で代替させることが考えられる。
このように、産業機器の制御システムにおいて、所定の機能を他の機能で代替させることができるようにしたものを、システムの多重化又は冗長化と言う。
このように多重化又は冗長化された制御システムに不具合が発生した場合、産業機器の制御を停止させることなく、所定の切り替え期間内にスムーズに代替機能に移行することが産業機器の安全性と、機能の品質の点から求められている。
特許文献1には、制御システムにおいて、代替機能への切り替えの際、制御の急激な変化を抑える技術が開示されている。
特開2017−33236号公報
しかしながら、特許文献1に開された制御システムでは、産業機器の動作状況や周囲環境により、所定の切り替え期間内にスムーズに代替機能へ切り替えができない場合や、代替機能に切り換えたことにより制御システムの計算機資源(CPU処理能力やメモリ容量)が不足した場合に、適切な制御を行えない。
したがって、本発明は、上記の課題に着目してなされたもので、産業機器の制御に用いられる制御システムの制御を適切に行うことを目的とする。
上記課題を解決するため、移動体の動作に用いられる被制御装置と、被制御装置の制御に用いられる複数の制御装置と、複数の制御装置とは異なる運動制御装置と、を有し、複数の制御装置は、被制御装置の制御内容を規定する制御情報を生成し、運動制御装置は、制御情報に基づいて、複数の制御装置の状態を判定する制御情報比較部と、制御情報比較部による判定結果に基づいて、複数の制御装置の制御内容を切り替える制御切替部と、を有し、制御情報比較部は、制御情報と、複数の制御装置による被制御装置の制御条件を規定する複数の制御条件情報と、に基づいて、複数の制御条件情報のうち何れの制御条件情報を適用するかを決定する構成とした。
本発明によれば、産業機器の制御に用いられる制御システムの制御を適切に行うことができる。
実施の形態にかかる制御システムの構成を示すブロック図である。 制御情報管理装置の構成を示すブロック図である。 判断装置の構成を示すブロック図である。 判断装置の構成を示すブロック図である。 制御条件情報の一例を説明するデータテーブルである。 装置情報の一例を説明するデータテーブルである。 観測情報の一例を説明するデータテーブルである。 制御情報の一例を説明する第1のデータテーブルである。 制御情報の一例を説明する第2のデータテーブルである。 制御情報の一例を説明する第3のデータテーブルである。 切換情報の一例を説明するデータテーブルである。 判断装置における切替処理のフローチャートの一例である。 制御情報管理装置における制御情報受信処理のフローチャートの一例である。 制御情報管理装置における制御条件適用処理のフローチャートの一例である。 制御システムの機能管理を行う際の管理画面の一例を説明する図である。 第2の実施の形態にかかる制御情報管理装置における制御の流れを説明するフローチャートである。 第3の実施の形態にかかる制御システムの構成のブロック図である。
初めに、以下で説明する実施の形態で使用する用語の意味を定義する。
以下の説明において、縮退とは、制御装置(実施の形態では、判断装置20)において、被制御装置30を制御するための基本的な機能よりも性能を落としたり、機能を制限して限定的ながら制御を続行すること、又は制御装置の所定の機能が使用できない場合、代替となる他の機能に切り替えること、又はその機能や構成を意味する。
正系とは、所定の被制御装置を、本来の制御装置の基本的な機能に基づいて制御すること、又はその機能、構成、経路を意味する。
副系とは、本の制御装置の基本的な機能でなく、基本的な機能よりも性能を落としたり、機能を制限した限定的な機能(縮退機能)に基づいて制御すること、又はその機能、構成、経路を意味する。
実装とは、制御装置で所定の機能を実現するための電気回路などのハードウエア、ソフトウェア(組み込みソフトウェア)、プログラム、その他の構成を意味する。
計算機資源とは、制御システム1や、制御システム1を構成する個々の装置(制御情報管理装置10や判断装置20など)のCPU消費量やメモリ容量などを意味する。
また、判断装置20は、移動体の制御システムの全体的な制御を行う、上位のECU(Electronic Control Unit)であり、制御情報管理装置10は、移動体の個々のアクチュエータなどを制御する、下位のECUである。
以下、本発明の実施の形態にかかる制御システム1を説明する。実施の形態では、制御システム1を、車両などの移動体の制御に用いられる制御システムに適用した場合を例示して説明する。
図1は、実施の形態にかかる制御システム1の構成を示すブロック図である。
図1に示すように、制御システム1は、制御情報管理装置10と、判断装置20と、被制御装置30とを有している。制御情報管理装置10は、ネットワーク回線90等を介して判断装置20及び被制御装置30と接続されている。
[制御情報管理装置]
図2は、制御情報管理装置10の構成を示すブロック図である。
図2に示すように、制御情報管理装置10は、制御情報入力部11と、制御情報比較部12と、制御切替部13と、制御情報出力部14と、制御情報データベース15と、補助制御情報データベース16とを有する。
また、制御情報管理装置10には、判断装置20による被制御装置30の制御内容を規定する制御条件情報81が予め設けられている。
ここで、前述した制御条件情報81を説明する。
図5は、制御条件情報81の一例を説明するデータテーブルである。
制御条件情報81は、複数のデータテーブル(実施の形態では、4つのデータテーブル)から構成されている。
図5に示すように、制御条件情報81は、判断条件名811と、機能名812と、機能を実現するための実装813と、制御(機能)の優先度814と、CPU消費量815と、メモリ消費量816と、実行条件817と、動作818とが関係づけられており、これらがデータテーブル状に形成されている。
実施の形態では、制御条件情報81は4個のデータテーブル(判断条件名811:PFm1、PFm2、PFs1、PFs2)から構成されている場合を例示して説明するが、制御条件情報81を構成するデータテーブルの数は、これに限定されるものではない。データテーブルの数は、1個でも良く、実施の形態のように2個以上の構成でも良い。
判断条件名811は、個々の制御条件情報81(データテーブル)の名称を表すものである。
機能名812は、個々の制御条件情報81(データテーブル)で実行する機能の名称を表すものである。例えば、機能名812が「F」である場合は、「車両を一定速度で直進」させる機能であることを表している。例えば、機能名812がその他の名称である場合、「車両をカーブに沿って曲げる」、「同一車線の先行車に対して、車線を変えて追い越す(例えば、図6に示す機能822の「G」)」など、それぞれ車両を運転する際に必要な各機能の名称を表している。
実装813は、機能を実現させる実装を表している。実施の形態では、実装813が「Fm1」又は「Fm2」である場合、「正系の制御により車両を一定速度で直進」するように動作させることを表している。一方、実施の形態では、実装813が「Fs1」又は「Fs2」である場合、「副系の制御により車両を一定速度で直進」するように動作させることを表している。
優先度814は、制御条件情報81(データテーブル)を実行する優先度を表している。実施の形態では、選択可能な実装813が、何れも正系の制御である優先度1の「Fm1」と、優先度2の「Fm2」であれば、「Fm1」を優先して実行することを表している。一方、選択可能な実装813が、何れも副系の制御である優先度1の「Fs1」と、優先度2の「Fs2」であれば、「Fs1」を優先して実行することを表している。
CPU消費量815は、所定の実装を実行した場合における、制御システム1のCPUの消費量(負荷)を表している。
実施の形態では、実装「Fm1」を実行した場合、CPUの消費量は「100」であることを表している。また、実装「Fm2」、「Fs1」、「Fs2」を実行した場合、それぞれのCPUの消費量は「50」、「80」、「30」であることを表している。
メモリ消費量816は、所定の実装を実行した場合における、制御システム1のメモリ消費量を表している。
実施の形態では、実装「Fm1」を実行した場合、メモリの消費量は「100」であることを表している。例えば、制御システム1の有する全体のメモリ容量が300である場合、メモリ容量200が残ることになる。また、実装「Fm2」、「Fs1」、「Fs2」を実行した場合、それぞれのメモリの消費量は「0」、「150」、「0」であることを表している。
実行条件817は、制御情報管理装置10が、所定の実装を実行するか否かを判定するための条件(実施の形態では、命令文)である。
実施の形態では、制御情報管理装置10が、実装「Fm1」を実行するか否かの判定条件として、「#1:現時点から50msまでの差分の平均値が〇〇以下」、「#2:現時点から100msまでの差分の平均値が△△以下」、「#3:障害発生から500msまでに#1と#2の条件が成立しない」という判定条件が設定されている。
また、制御情報管理装置10が、実装「Fm2」を実行するか否かの判定条件として、「#1:現時点の差分の平均値が〇〇以下」、「#2:障害発生から500msまでに#1の条件が成立しない」という判定条件が設定されている。
また、制御情報管理装置10が、実装「Fs1」を実行するか否かの判定条件として、「#1:現時点から50msまでの差分の平均値が□□以下、かつ、現時点から150msまでの差分の平均値が■■以下」、「#2:障害発生から1000msまでに#1の条件が成立しない」という判定条件が設定されている。
また、制御情報管理装置10が、実装「Fs2」を実行するか否かの判定条件として、「#1:差分の平均値が■■以下」、「#2:障害発生から1000msまでに#1の条件が成立しない」という判定条件が設定されている。
動作818は、実行条件817が成立した場合に制御情報管理装置10が、判断装置20に行わせる動作を表している。
実施の形態では、「正系の制御を副系(縮退)の制御に切り替える」、「車両などの移動体を緊急停止する」、「副系(縮退)の制御を正系の制御に切り替える」などの態様がある。
前述した実施の形態では、制御システム1の計算機資源としてCPU消費量815とメモリ消費量816を例示して説明したが、計算機資源はこれに限定されるものではない。例えば、制御システム1の計算機資源として、制御システムの処理に関する様々な情報を含んでいてもよい。
また、前述した実施の形態では、実行条件817が成立した場合、判断装置20に行わせる動作818を規定した場合を例示して説明したが、これに限定されるものではなく、実行条件817が成立した場合に、被制御装置30や、制御システム1と関連する他の装置に行わせる動作であってもよい。
また、制御情報管理装置10には、判断装置20から所定の周期で、当該判断装置20の稼働状態等を示す装置情報82が入力されている。
ここで、装置情報82を説明する。
図6は、装置情報82の一例を説明するデータテーブルである。
図6に示すように、装置情報82は、装置情報82を送信した判断装置20の装置名821と、判断装置20が実行する機能を表す機能名822と、機能を実現させる実装名823と、当該判断装置20が正系か副系かを表す系名824と、当該判断装置20の稼働状態を表す状態825と、当該判断装置20から送信する制御情報80の格納先826とが関係づけられており、これらがデータテーブル状に形成されている。
装置名821は、何れの判断装置20から送信された装置情報82であるかを示すための装置名を示している。
機能名822は、判断装置20が実施する機能の名称を表している。実施の形態では、判断装置20Aと20Bの「機能F」は、「車両を一定速度で直進させる」機能であることを表している。また、判断装置20Xと20Yの「機能G」は、「同一車線の先行車に対して、車線を変えて追い越す」機能であることを表している。
実装名823は、前述した機能を実現させる実装名を表している。実施の形態では、判断装置20Aの実装は「機能Fm」であり、これは前述したように「正系の制御により、車両を一定速度で直進させる」機能を実現させる実装であることを表しいる。また、判断装置20Bの実装は「縮退機能Fs」であり、これは前述したように「副系の制御により、車両を一定速度で直進させる」機能を実現させる実装であることを表している。
また、判断装置20Xの実装「機能Gm」は、「正系の制御により、同一車線の先行車に対して、車線を変えて追い越す」機能を実現させる実装であることを表しており、判断装置20Yの実装「縮退機能Gs」は、「副系の制御により、同一車線の先行車に対して、車線を変えて追い越す」機能を実現させる実装であることを表している。
系名824は、判断装置20が「正系」か「副系」かを表している。実施の形態では、判断装置20Aと20Xは、正系の機能を有する装置であり、判断装置20Bと20Yは、副系の機能を有する装置であることを表している。
状態825は、判断装置20の状態を表している。実施の形態では、判断装置20Aと20Yは稼働中であることを示しており、判断装置20Bは停止していることを表しており、判断装置20Xは、一度、停止(遮断)された後、再起動中であることを表している。
制御情報格納先826は、判断装置20から送信された制御情報80を、制御情報管理装置10のどのデータベースに格納するかを指す情報である。実施の形態では、判断装置20Aと20Yから送信された制御情報80を、制御情報管理装置10の制御情報データベース15に格納し、判断装置20Bと20Xから送信された制御情報80を、補助制御情報データベース16に格納することを表している。
制御情報管理装置10は、判断装置20から直近に入力された装置情報82を参照する。なお、制御情報管理装置10は、過去に入力された複数の装置情報82を、所定の記憶装置に格納しておき、過去に入力された任意の時刻の装置情報82を参照できるように構成されていてもよい。
図2に戻って、制御情報入力部11には、判断装置20から送信された制御情報80(図8〜図10参照)が入力される。この制御情報入力部11は、入力された制御情報80を、装置情報82(前述した制御情報格納先826)に基づいて、制御情報データベース15又は補助制御情報データベース16の何れかに格納する。
制御情報比較部12は、制御情報データベース15及び補助制御情報データベース16に格納された制御情報80と、制御条件情報81とに基づいて、判断装置20の機能の切り替えを行うか否かを判断する。制御情報比較部12は、判断装置20の機能の切り替えを行うと判断した場合、制御情報データベース15又は補助制御情報データベース16に格納された制御情報80を更新する。そして、制御情報比較部12は、判断装置20に送信する制御内容を、制御切替部13に送信する。
制御切替部13は、制御情報比較部12から送信された制御内容に基づいて切替情報84を生成し、この切替情報84を判断装置20に送信する。
制御情報データベース15及び補助制御情報データベース16に格納された制御情報80は、制御情報出力部14に送信される。制御情報出力部14は、制御情報80を対応する何れかの被制御装置30に送信する。
また、制御情報管理装置10は、上記の構成の他、ネットワークインタフェース171と、メモリ172と、CPU(Central Processing Unit)173と、記憶装置174と、ユーザインタフェース175と、をさらに有している。
ネットワークインタフェース171は、ネットワーク回線90に接続されており、判断装置20及び被制御装置30との間で情報の送受信を行う。
メモリ172は、ROM(Read Only Memory)などの主記憶装置である。このメモリ172には、制御情報管理装置10を制御するための制御プログラム(図示せず)や、制御情報管理装置10の制御に使用される各種データ(パラメータ)が格納されている。
CPU173は、メモリ172に格納された制御プログラム(図示せず)を実行すると共に、必要に応じて各種データ(パラメータ)を読み出すことで、制御情報管理装置10の各機能を実現する。
記憶装置174は、ハードディスクドライブなどの補助記憶装置であり、この記憶装置174には、CPU173が実行するプログラムやCPU173が参照する各種データ(パラメータ)が格納されている。
[判断装置]
次に、判断装置20を説明する。
図3は、判断装置20の構成を示すブロック図である。
図4は、判断装置20Bの構成を示すブロック図である。
図3に示すように、実施の形態にかかる判断装置20は、判断装置20Aと判断装置20Bの2つの判断装置を有している。実施の形態では、判断装置20Aが正系の機能を有する判断装置であり、判断装置20Bは副系の機能を有する判断装置である。
[判断装置20A]
判断装置20Aは、観測情報83が入力される観測情報入力部21Aと、制御情報算出部22Aと、制御情報出力部23Aと、を有している。
ここで、観測情報83を説明する。
図7は、観測情報83の一例を説明するデータテーブルである。
観測情報83(図7参照)は、制御システム1の内部又は外部の計測装置等で生成される情報である。図7に示すように、実施の形態において、移動体が車両の場合、観測情報83は、測定時刻831と、測定したコンポーネント(測定装置)832と、測定した値833とが関連付けられており、これらがデータテーブル状に形成されている。
実施の形態では、コンポーネントとして、例えば、車両の速度を計測する速度計(図示せず)や、外気温度を計測する温度計(図示せず)がある。
なお、観測情報83は、測定時刻831により昇順や降順に並べられている必要はない。また、観測情報83は、同一の情報が重複して格納されていてもよく、同一の情報を異なる測定装置で測定した情報が複数含まれていてもよい。
図3に戻って、観測情報入力部21Aは、入力された観測情報83を、制御情報算出部22Aに送信する。
制御情報算出部22Aは、被制御装置30に実施させる機能を実現するための1つ以上の実装221A(実施の形態では、実装「機能Fm」:正系の制御より、車両を一定速度で直進させる機能)を有している。制御情報算出部22Aは、観測情報入力部21Aから送信された観測情報83と実装221Aに基づいて所定の制御処理を実行し、被制御装置30の制御に用いられる制御情報80を生成する。そして、制御情報算出部22Aは、生成した制御情報80を、制御情報出力部23Aに送信する。
ここで、制御情報算出部22Aで生成される制御情報80を説明する。
図8は、制御情報80の一例を説明する第1のデータテーブル80Aである。
図9は、制御情報80の一例を説明する第2のデータテーブル80Bである。
図10は、制御情報80の一例を説明する第3のデータテーブル80Cである。
図8に示すように、制御情報80の第1のデータテーブル80Aは、被制御装置30を制御する時刻801A(現時点よりも将来の時刻)と、何れの被制御装置30を制御するのかを特定するコンポーネント(車両を動作させる装置:アクチュエータ)名802Aと、被制御装置30をどの程度制御するのかを規定する制御値803Aとが関係づけられており、これらがデータテーブル状に形成されている。
図9に示すように、制御情報80の第2のデータテーブル80Bは、現在時刻801Bと、制御情報算出部22Bによる制御情報80の算出が終了している時間802Bとが関係づけられており、これらがデータテーブル状に形成されている。
なお、制御情報算出部22Aによる制御情報80の算出が終了している時間802Bは、制御情報算出部22Aにより算出された制御値803Aが存在する時刻801Aのうち最も遅い時刻である。図9に示すように、実施の形態では、現在時刻は9時0分0秒であり、9時0分3秒までの3秒間分の制御情報80が制御情報算出部22Aにより算出されていることになる。
図10に示すように、制御情報80の第3のデータテーブル80Cは、被制御装置30の制御を行う判断装置名801Cと、制御機能名802Cとが関係づけられており、これらがデータテーブル状に形成されている。制御機能名802Cは、被制御装置30に所定の機能を実現するための実装の名称である。
図3に戻って、制御情報出力部23Aは、制御情報算出部22Aから制御情報80を受け取った後、この制御情報80を、制御情報管理装置10に送信する。
[判断装置20B]
図4に示すように、判断装置20Bは、観測情報入力部21Bと、制御情報算出部22Bと、制御情報出力部23Bと、監視部24と、切替情報入力部25と、切替情報データベース26と、を有している。
観測情報入力部21Bには、判断装置20Aの観測情報入力部21Aと同様に、制御システム1の内部又は外部の計測装置等で生成された観測情報83が入力される。観測情報入力部21Bは、入力された観測情報83を、制御情報算出部22Bに送信する。
制御情報算出部22Bは、被制御装置30に実施させる機能を実現するための1つ以上の実装221B(実施の形態では、実装「縮退機能Fs」:副系の制御により、車両を一定速度で直進させる機能)を有している。制御情報算出部22Bは、観測情報入力部21Bから送信された観測情報83と実装221Bに基づいて所定の制御処理を実行し、被制御装置30の制御に用いられる制御情報80を生成する。そして、制御情報算出部22Bは、生成した制御情報80を、制御情報出力部23Bに送信する。
制御情報出力部23Bは、制御情報算出部22Bから制御情報80を受け取った後、この制御情報80を、制御情報管理装置10に送信する(図3参照)。
監視部24は、判断装置20が有する1つ以上の判断装置(実施の形態では、判断装置20A)の可動状態を監視する。監視部24は、判断装置20Aの稼働状態の変化を検出した場合、切替情報データベース26に格納されている内容に基づいて、制御情報算出部22Bの制御内容を切り替える。
切替情報入力部25には、制御情報管理装置10から送信された切替情報84が入力される。切替情報入力部25は、入力された切替情報84の内容に基づいて、切替情報データベース26に格納されている内容を更新する。
ここで、制御情報管理装置10から送信された切替情報84を説明する。
図11は、切替情報84の一例を説明するデータテーブルである。
図11に示すように、切替情報84は、判断装置20の機能を切り替える実装名841(例えば、実装「機能Fm2」)と、判断装置20が実施する動作内容842(例えば、「停止」)とが関係づけられており、これらがデータテーブル状に形成されている。
実施の形態では、判断装置20は、切替情報84に基づいて、実装「機能Fm2」を実施している判断装置20Aの動作を「停止」する。
実施の形態では、切替情報84の動作内容842は「停止」とした場合を例示して説明したが、動作内容842は、機能の起動や停止だけではなく、動作中の機能に対するパラメータの一部変更や、所定の判断装置20の機能を実現する実装を、他の機能を実現する実装に変更する内容としてもよい。
次に、図4に戻って、判断装置20Bは、ネットワークインタフェース271と、メモリ272と、CPU273と、記憶装置274と、をさらに有している。
ネットワークインタフェース271は、ネットワーク回線90に接続されており、制御情報管理装置10との間で情報の送受信を行う。
メモリ272は、ROMなどの主記憶装置であり、このメモリ272には、判断装置20Bを制御するための制御プログラム(図示せず)や、判断装置20Bの制御に使用される各種データ(パラメータ)が格納されている。
CPU273は、メモリ272に格納された制御プログラム(図示せず)を実行すると共に、必要に応じて各種データ(パラメータ)を読み出すことで、判断装置20Bの各機能を実現する。
記憶装置274は、ハードディスクドライブなどの補助記憶装置であり、この記憶装置274には、CPU273が実行するプログラムやCPU273が参照する各種データ(パラメータ)が格納されている。
なお、前述した判断装置20Aも、図示しない同様のネットワークインタフェースと、メモリと、CPUと、記憶装置を有しているが、詳細な説明は省略する。
判断装置20A又は20Bで生成された制御情報80は、制御情報管理装置10を介して被制御装置30(図1参照)に送信され、被制御装置30は、この制御情報80に基づいて制御される。
[被制御装置]
図1に戻って、被制御装置30は、車両を構成する1つ以上の構成装置であり、この被制御装置30により車両が制御される。
例えば、被制御装置30は、車両の制御に用いられるステアリング、アクセル、ブレーキなどの装置(アクチュエータ)である。
[切替処理]
次に、判断装置20Bにおける切替処理を説明する。
図12は、判断装置20Bにおける切替処理のフローチャートの一例である。
実施の形態では、判断装置20Aは、正系(保持)の機能を有する装置であり、判断装置20Bは副系(縮退)の機能を有する装置である。そのため、副系(縮退)の機能を実施する判断装置20Bに、監視部24が設けられており、この監視部24が、正系(保持)の機能を有する判断装置20Aの稼働状態を所定の周期ごとに監視している。
図12に示すように、ステップS1001において、判断装置20BのCPU273は、監視部24が判断装置20Aの稼働状態の変化(機能停止などの障害)を検出したか否かを判定する。CPU273は、稼働状態の変化を検出したと判定した場合(ステップS1001:Yes)、ステップS1002に進み、検出していないと判定した場合(ステップS1001:No)、検出したと判定するまで判定処理(ステップS1001)を繰り返す。
ステップS1002において、CPU273は、所定の事前処理を実行した後、切替情報データベース26の内容について当該機能が実行中であると変更し、制御情報80の算出を開始する。
ステップS1003において、CPU273は、観測情報83に基づいて制御情報80の算出を実行する。
ステップS1004において、CPU273は、ステップS1003で算出した制御情報80を、所定のタイミングで制御情報管理装置10に送信する。
ステップS1005において、CPU273は、切替情報データベース26を参照し、当該機能が停止状態か否かを判定する。CPU273は、当該機能が停止状態であると判定した場合(ステップS1005:Yes)、ステップS1006に進み、停止状態でないと判定した場合(ステップS1005:No)、ステップS1003へ戻り、制御情報80の算出処理の実行(ステップS1003)、算出した制御情報80の送信処理(ステップS1004)、切替情報データベース26を参照して当該機能が停止状態か否かの判定処理(ステップS1005)を繰り返し、被制御装置30に当該機能を継続して実行させるように制御する。
ステップS1005において、CPU273は、当該機能が停止状態であると判定した場合(ステップS1005:Yes)、ステップS1006において、CPU273は、制御情報80の算出処理を終了する。
[制御情報受信処理]
次に、制御情報管理装置10における制御情報80の受信処理を説明する。
図13は、制御情報管理装置10における制御情報80の受信処理のフローチャートの一例である。
この処理は、制御情報管理装置10の制御情報入力部11が、判断装置20から送信された制御情報80を受信した場合に実行される。
ステップS1101において、制御情報管理装置10のCPU173は、制御情報入力部11に入力された制御情報80の第3のデータテーブル80C(図10参照)の判断装置名801Cと制御機能名802Cとに基づいて、装置情報82の対応する行を特定し、判断装置20の機能に関する情報を取得する。
実施の形態では、CPU173は、第3のデータテーブル80C(図10参照)の判断装置名801Cの「判断装置20A」、制御機能名802Cの「制御機能Fm」に基づいて、装置情報82の所定の行(#1)を特定し、現在稼働中の正系の機能による制御を行う装置であり、制御情報80の格納先が制御情報データベース15であるという情報を取得する。
ステップS1102において、CPU173は、取得した装置情報82に基づいて、動作している機能が正系であるか否かを判定し、正系であると判定した場合(ステップS1102:Yes)、ステップS1103に進み、正系でないと判定した場合(ステップS1102:No)、ステップS1110に進む。
ステップS1103において、CPU173は、判断装置20から受信した制御情報80に基づいて、正系の機能を有する判断装置20からの情報であるか否かを判定し、正系の機能を有する判断装置20からの情報であると判定した場合(ステップS1103:Yes)、ステップS1104に進み、判断装置20から受信した制御情報80を制御情報データベース15へ格納して処理を終了する。
なお、CPU173は、動作している機能が正系か副系かの判定を、制御情報80に含まれる判断装置20の情報に基づいて判定してもよく、正系と副系とで通信のネットワーク回線を分け、どちらのネットワーク回線から受信したかに基づいて判定してもよい。
CPU173は、制御情報80が正系の機能を有する判断装置20からの情報でないと判定した場合(ステップS1103:No)、ステップS1105に進み、制御情報80を補助制御情報データベース16へ格納する。
ステップS1106において、CPU173は、制御条件情報適用処理を実行し、その結果、制御条件情報81(実装)の切り替えが必要であるか否かを判定し、切り替えが必要であると判定した場合(ステップS1106:Yes)、ステップS1107に進み、制御条件情報81を、正系の機能で動作する制御条件情報81(実装)から副系の機能で動作する制御条件情報81(実装)に切り換える。
なお、制御条件情報適用処理(ステップS1106)については、後述する。
ステップS1108において、CPU173は、装置情報82の系名824を正系から副系に変更する。
ステップ1109において、CPU173は、不要となった補助制御情報データベース16の対応する所定の内容を開放して処理を終了する。
一方、ステップS1102において、CPU173は、装置情報82で規定される判断装置20の動作が正系でないと判定した場合(ステップS1102:No)、ステップS1110に進み、判断装置20で実際に動作している機能が正系か否かを判定する。
ステップS1110において、CPU173は、動作している機能が正系であると判定した場合(ステップS1110:Yes)、ステップS1111に進み、動作してる機能が正系でないと判定した場合(ステップS1110:No)、ステップS1104に進み、判断装置20から受信した制御情報80を制御情報データベース15へ格納して処理を終了する。
なお、CPU173は、動作している機能が正系か副系かの判定を、制御情報80に含まれる判断装置20の情報に基づいて判定してもよく、正系と副系とで通信のネットワーク回線を分け、どちらのネットワーク回線から受信したかに基づいて判定してもよい。
ステップS1111において、CPU173は、制御情報80を補助制御情報データベース16へ格納する。
ステップS1112において、CPU173は、制御条件情報適用処理を実行し、その結果、制御条件情報81(実装)の切り替えが必要であるか否かを判定し、切り替えが必要であると判定した場合(ステップS1112:Yes)、ステップS1113に進み、制御条件情報81を、副系の機能で動作する制御条件情報81(実装)から正系の機能で動作する制御条件情報81(実装)に切り換える。
なお、制御条件情報適用処理(ステップS1112)については、後述する。
ステップS1114において、CPU173は、装置情報82の系名824を副系から正系に変更する。
ステップ1115において、CPU173は、不要となった補助制御情報データベース16の対応する所定の内容を開放して処理を終了する。
[制御条件情報適用処理]
次に、前述した制御情報管理装置10における制御条件情報適用処理(ステップS1106、S1112)を説明する。
図14は、制御情報管理装置10における制御条件情報適用処理のフローチャートの一例である。
初めに、ステップS1201において、CPU173は、適用する制御条件情報81が決まっているか否かを判定し、決まっていると判定した場合(ステップS1201:Yes)、ステップS1206に進み、適用する制御条件情報81の実行条件817に従って制御を行い、所定の動作(図5の動作818)を取得する。
CPU173は、適用する制御条件情報81が決まっていないと判定した場合(ステップS1201:No)、ステップS1202に進み、制御システム1の計算機資源(CPU処理能力やメモリ容量)を算出する。
CPU173は、次に説明するステップS120の処理を、当該制御条件情報81で規定される機能の優先度814に基づいて、優先度の高い順から低い方へ順番に、全ての制御条件情報81の処理が終了するまで繰り返し行う。
ステップS1204において、CPU173は、制御条件情報81に基づく制御で必要な必要計算機資源が、ステップS1202で算出した計算機資源以下か否かを判定する。
CPU173は、制御条件情報81に基づく制御で必要な必要計算機資源が、ステップS1202で算出した計算機資源以下あると判定した場合(ステップS1204:Yes)、ステップS1205に進み、当該制御条件情報81を、制御に適用する制御条件情報に指定し、ステップS1206に進んで、適用する制御条件情報81の実行条件817に従って制御を行い、所定の動作(図5の動作818)を取得する。
CPU173は、制御条件情報81に基づく制御で必要な全ての必要計算機資源がステップS1202で算出した計算機資源を超えると判定した場合(ステップS1204:No)、ステップS1207に進み、適用可能な制御条件情報81が無いと判定し、異常処理制御を行う。
異常処理制御とは、例えば、制御システム1の異常状態を示すエラー出力を行い、車両を安全な場所で強制的に停止した後、終了する処理などである。
[機能管理画面]
次に、実施の形態にかかる制御システム1の機能管理を行う際の管理画面50を説明する。
図15は、制御システム1の機能管理を行う際の管理画面50の一例を説明する図である。
例えば、制御システム1の機能管理(機能設定)は、車両の工場出荷前に、当該工場内で行われる。
図15に示すように、制御システム1の管理画面50では、チェック欄51、機能52、実装53、優先度54、CPU消費量55、メモリ消費量56等の情報が表示されており、作業者は、これらの情報を見ながらどの機能を設定するかの選択ができるようになっている。
実施の形態では、作業者は、実装Fm1と、実装Fm2を選択しており、その時のCPU消費量の合計(150)と、メモリ消費量の合計(100)が、合計表示部57に表示されている。作業者は、車両のCPU性能やメモリ容量と、この合計表示部57に表示された数値を比較検討し、どの機能を車両へ実装するか決定する。
このようにすることで、作業者は、車両に設定する実装を、CPU消費量やメモリ消費量を視認しながら車両性能と比較検討し、効率よく迅速に行うことができる。
以上説明した通り、実施の形態では、
(1)車両(移動体)の動作に用いられる被制御装置30と、被制御装置30の制御に用いられる判断装置20(複数の制御装置)と、判断装置20とは異なる制御情報管理装置10(運動制御装置)と、を有し、判断装置20は、被制御装置30の制御内容を規定する制御情報80を生成し、制御情報管理装置10は、制御情報80に基づいて、判断装置20の稼働状態を判定する制御情報比較部12と、制御情報比較部12による判定結果に基づいて、判断装置20の制御を変更する制御切替部13と、を有し、制御情報比較部12は、制御情報80と、判断装置20による被制御装置30の制御条件を規定する複数の制御条件情報81(データテーブル)と、に基づいて、複数の制御条件情報81のうち何れの制御条件情報81を適用するかを決定する構成とした。
このように構成すると、制御情報比較部12は、制御情報80と複数の制御条件情報81に基づいて、当該複数の制御条件情報81のうち何れの制御条件情報を適用するかを決定する。よって、この制御条件情報81に基づいて、複数の判断装置20の機能の切り替えを適切に行うので、制御システム1の制御を適切に行うことができる。
(2)また、制御システム1の計算機資源(CPU処理能力やメモリ容量)を算出する計算機資源算出部(制御情報比較部12による計算機資源算出処理S1202の機能)を有し、制御条件情報81は、複数の判断装置20による被制御装置30の制御に必要な必要計算機資源(CPU消費量815及びメモリ消費量816)を有しており、制御情報比較部12は、制御情報80と、制御条件情報81の必要計算機資源(CPU消費量815及びメモリ消費量816)と、制御システム1の計算機資源とに基づいて、複数の制御条件情報81のうち何れの制御条件情報を適用するかを決定する構成とした。
このように構成すると、制御情報比較部12は、制御条件情報81の必要計算機資源(CPU消費量815及びメモリ消費量816)と、制御システム1の計算機資源とに基づいて、複数の制御条件情報81のうち何れの制御条件情報を適用するかを決定するので、制御システム1のCPU処理能力やメモリ容量を超えない範囲で、最適な制御条件情報81を決定することができる。よって、この制御条件情報81に基づく制御システム1の制御を適切に行うことができる。
(3)また、制御情報比較部12は、複数の制御条件情報81の何れも適用できないと判定した場合(制御情報比較部12における制御条件情報適用処理のステップS1204)、制御システム1が異常状態であると判断し、判断装置20による被制御装置30の制御を停止させる(制御情報比較部12における制御条件情報適用処理のステップS1207の異常処理制御を実行する)構成とした。
このように構成すると、制御情報比較部12により、車両の被制御装置30の強制的な停止に伴って、異常処理制御(ステップS1207)により車両は、安全な場所で強制的に停止することとなる。よって、判断装置20による被制御装置30の何れの制御も行えない危険状態の保持を回避し、車両を安全に停止することができる。
(4)また、判断装置20および制御情報管理装置10は、車両に設けられており、被制御装置30は、車両の動作に用いられるステアリング、アクセル又はブレーキを制御するアクチュエータである構成とした。
車両などの移動体では、車両の位置が刻々と変化する。そのため、車両(被制御装置30)を制御する判断装置20に不具合があった場合、判断装置20の迅速な切り替えが特に求められる。
実施の形態の制御システム1を車両に適用すると、車両を制御する判断装置20の切り替えが適切に行われ、運転者の安心と安全を確保することができる。
なお、制御情報管理装置10の一部の構成が、判断装置20に設けられていてもよい。
例えば、図1において、制御情報管理装置10の制御情報比較部12と、制御切替部13とが、判断装置20に設けられていると共に、制御情報比較部12の処理で用いられる制御条件情報81が判断装置20に予め設けられていてもよい。この場合、装置情報82は、制御情報管理装置10に入力されるのではなく、判断装置20内に格納しておくことができる(図1の一点鎖線参照)。
このようにすると、より高性能な上位の制御装置(判断装置20)で、制御情報比較部12、制御切替部13の演算処理を行うことができるので、より迅速で正確な制御を行うことができる。また、下位の制御装置(制御情報管理装置10)は、情報の入出力部とデータベースのみとなるので、より簡単で安価なECUを用いることができ、制御システム全体をより効率化することができる。
[第2の実施の形態]
次に、第2の実施の形態にかかる制御情報管理装置10Aの制御の流れを説明する。
図16は、第2の実施の形態にかかる制御情報管理装置10Aの制御の流れを説明するフローチャートである。
この第2の実施の形態にかかる制御情報管理装置10Aは、所定の先行機能を現在実行中であって、次に、先行機能よりも実行の優先度が高い後行機能を実行予定であり、当該後行機能を実行すると、後行機能の実行に必要な必要計算機資源が、制御システムの計算機資源を超える場合、先行機能を縮退機能に移行させることで必要計算機資源が減り、後行機能が実行可能である場合には、先行機能を縮退機能に移行させて後行機能を実行するところが前述した実施の形態と異なるところである。
ステップS1301において、CPU173は、制御条件情報81に基づく制御で必要な必要計算機資源(CPU消費量やメモリ消費量)を算出する。
ステップS1302において、CPU173は、制御システム1の計算機資源(CPU処理能力やメモリ容量)が、ステップS1301で算出した必要計算機資源に対して不足しているか否かを判定し、不足していないと判定した場合(ステップS1302:No)、本処理を終了し、当該制御条件情報81による制御を継続する。
CPU173は、制御システム1の計算機資源(CPU処理能力やメモリ容量)が、ステップS1301で算出した計算機資源に対して不足していると判定した場合(ステップS1302:Yes)、ステップS1303に進み、正系の判断装置20Aの実装を縮退させることで、副系の判断装置20Bの実装による機能を実施可能であるか否か(調整可能か否か)を判定する。
ステップS1303において、CPU173は、調整可能であると判定した場合(ステップS1303:Yes)、ステップS1304において、判断装置20Aによる実装を縮退させる処理を行い、処理を終了する。
ステップS1303において、CPU173は、調整可能でないと判定した場合(ステップS1303:No)、ステップS1305において、副系の判断装置20Bの実装による機能が重要か否かの判定を行い、重要であると判定した場合(ステップS1305:Yes)、何れの処理も行えないため、車両の安全を確保した状態で停止させて、処理を終了する。
ステップS1305において、CPU173は、判断装置20Bの実装による機能が重要でないと判定した場合(ステップS1305:No)、そのまま優先度の低い判断装置20Aの実装による機能を実施し、処理を終了する。
以上説明した通り、第2の実施の形態では、
(5)複数の判断装置20は、被制御装置30を所定の態様で制御する第1機能(例えば、図5の制御条件情報81の最上段から2段目のデータテーブルの実装813)を有する判断装置20Aと、被制御装置30を、判断装置20Aの第1機能(実装813)よりも高い優先度(図5の制御条件情報81の優先度814)で制御する第2機能(例えば、図5の制御条件情報81の最上段のデータテーブルの実装813)を有する判断装置20Bと、を有し、制御情報比較部12は、実装813に基づく判断装置20Aによる被制御装置30の制御の実行中に、実装813に基づく判断装置20Bによる被制御装置30の制御が実行予定であって、判断装置20Bによる被制御装置30の制御に必要な必要計算機資源が、制御システム1の計算機資源を超える場合、判断装置20Aの第1機能(図5の最上段から2段目のデータテーブルの実装813)を縮退機能に移行することで、判断装置20Bによる被制御装置30の制御で必要な計算機資源が、制御システム1の計算機資源以下になる場合、判断装置20Aの第1機能を縮退機能に移行させる構成とした。
このように構成すると、優先度の低い判断装置20Aによる被制御装置30の制御が実行中であっても、判断装置20Aの機能を縮退機能に移行させることで、優先度の高い判断装置20Bによる被制御装置30の制御に必要な必要計算機資源が、制御システム1の計算機資源以下となる場合、優先度の高い判断装置20Bによる被制御装置30の制御を優先するので、判断装置20による被制御装置30の制御をより適切に行うことができる。
[第3の実施の形態]
次に、第3の実施の形態にかかる制御システム1Aを説明する。
図17は、第3の実施の形態にかかる制御システム1Aの構成のブロック図である。
制御システム1Aは、クラウドコンピューティング(以下、クラウドと言う)を一部利用して構成されている点が、制御システム1の全ての構成要素が車両に設けられていた前述した実施の形態と異なる。
図17に示すように、制御システム1Aでは、正系の機能を有する判断装置20Aが、クラウド上に設けられており、副系の機能を有する判断装置20Bは、車両に設けられている。
制御システム1Aは、クラウドアクセス装置40を有しており、車両の判断装置20Bは、このクラウドアクセス装置40及びネットワーク回線90を介して、クラウド上の判断装置20Aと情報の送受信を行うことができるようになっている。
具体的には、制御情報80、観測情報83、切替情報84が、クラウドアクセス装置40を介して、車両の判断装置20Bとクラウド上の判断装置20Aとの間で情報通信が行われる。
(6)以上説明した通り、第3の実施の形態では、
判断装置20または制御情報管理装置10のうち、何れか一方は移動体(車両)とは異なる装置(サーバ)に設けられており、判断装置20と制御情報管理装置10は、クラウドコンピューティングのネットワーク回線90で接続されている構成とした。
このように構成すると、車両の制御システムを簡略化することができ、車両の製造コストを抑えることができる。さらに、また判断装置20の数が増えても車両の運動制御に影響を与えないので、判断装置20Aを複数設けることができる。これにより、制御システムの冗長化をより確実に行える。
また、車両を出荷した後でも、クラウド上の判断装置20Aの仕様(機能やパラメータ)を変更することが可能である。
以上、本発明の実施の形態の一例を説明したが、本発明は、前述した実施の形態を全て組み合わせてもよく、何れか2つ以上の実施の形態を任意に組み合わせても好適である。
また、前述した実施の形態では、制御システム1を車両に適用した場合を例示して説明したが、車両に限定されるものではなく、前述した制御システム1は、例えば、建設機械、エスカレータ、エレベータ、鉄道、船舶、航空機、ドローンなどの移動体全般に好適に適用することができる。
また、本発明は、前述した実施の形態の全ての構成を備えているものに限定されるものではなく、前述した実施の形態の構成の一部を、他の実施の形態の構成に置き換えてもよく、また、前述した実施の形態の構成を、他の実施の形態の構成に置き換えてもよい。
また、前述した実施の形態の一部の構成について、他の実施の形態の構成に追加、削除、置換をしてもよい。
1:制御システム
10:制御情報管理装置
11:制御情報入力部
12:制御情報比較部
13:制御切替部
14:制御情報出力部
15:制御情報データベース
16:補助制御情報データベース
171:ネットワークインタフェース
172:メモリ
173:CPU
174:記憶装置
175:ユーザインタフェース
20、20A,20B:判断装置
21A、21B:観測情報入力部
22A、22B:制御情報算出部
23A、23B:制御情報出力部
24:監視部
25:切替情報入力部
26:切替情報データベース
271:ネットワークインタフェース
272:メモリ
273:CPU
274:記憶装置
30:被制御装置
80:制御情報
81:制御条件情報
82:装置情報
83:観測情報
84:切替情報
90:ネットワーク回線

Claims (11)

  1. 移動体の動作に用いられる被制御装置と、
    前記被制御装置の制御に用いられる複数の制御装置と、
    前記複数の制御装置とは異なる運動制御装置と、を有し、
    前記複数の制御装置は、
    前記被制御装置の制御内容を規定する制御情報を生成し、
    前記運動制御装置は、
    前記制御情報に基づいて、前記複数の制御装置の状態を判定する制御情報比較部と、
    前記制御情報比較部による判定結果に基づいて、前記複数の制御装置の制御内容を切り替える制御切替部と、を有し、
    前記制御情報比較部は、前記制御情報と、前記複数の制御装置による前記被制御装置の制御条件を規定する複数の制御条件情報と、に基づいて、前記複数の制御条件情報のうち何れの制御条件情報を適用するかを決定する移動体の制御システム。
  2. 前記制御システムの計算機資源を算出する計算機資源算出部を有し、
    前記制御条件情報は、前記制御装置による前記被制御装置の制御に必要な必要計算機資源を有しており、
    前記制御情報比較部は、前記制御情報と、前記必要計算機資源と、前記計算機資源とに基づいて、前記複数の制御条件情報のうち何れの制御条件情報を適用するかを決定する請求項1に記載の移動体の制御システム。
  3. 前記複数の制御装置は、
    前記被制御装置を所定の態様で制御する第1機能を有する第1の制御装置と、
    前記被制御装置を、前記第1の制御装置の前記第1機能よりも高い優先度で制御する第2機能を有する第2の制御装置と、を有し、
    前記制御情報比較部は、
    前記第1機能に基づく前記第1の制御装置による前記被制御装置の制御の実行中に、前記第2機能に基づく前記第2の制御装置による前記被制御装置の制御が実行予定であって、前記第2の制御装置による前記被制御装置の制御に必要な必要計算機資源が、前記制御システムの前記計算機資源を超える場合、
    前記第1の制御装置の前記第1機能を縮退機能に移行させることで、前記第2の制御装置による前記被制御装置の制御で必要な計算機資源が、前記制御システムの前記計算機資源以下になる場合、
    前記第1の制御装置の前記第1機能を縮退機能に移行させる請求項2に記載の移動体の制御システム。
  4. 前記制御情報比較部は、
    前記複数の制御条件情報の何れも適用できないと判定した場合、前記制御システムが異常状態であると判断し、前記被制御装置を異常処理制御により制御する請求項3に記載の移動体の制御システム。
  5. 移動体の動作に用いられる被制御装置と、
    前記被制御装置の制御に用いられる複数の制御装置と、を有し、
    前記複数の制御装置は、
    前記被制御装置の制御内容を規定する制御情報を生成し、
    前記制御情報に基づいて、前記複数の制御装置の状態を判定する制御情報比較部と、
    前記制御情報比較部による判定結果に基づいて、前記複数の制御装置の制御内容を切り替える制御切替部と、を有し、
    前記制御情報比較部は、前記制御情報と、前記制御装置による前記被制御装置の制御条件を規定する複数の制御条件情報と、に基づいて、前記複数の制御条件情報のうち何れの制御条件情報を適用するかを決定する移動体の制御システム。
  6. 前記制御装置および前記運動制御装置は、車両に設けられており、
    前記被制御装置は、車両の動作に用いられるステアリング、アクセル又はブレーキを制御するアクチュエータである請求項1に記載の移動体の制御システム。
  7. 前記制御装置または前記運動制御装置のうち、何れか一方は前記移動体とは異なる装置に設けられており、前記制御装置と前記運動制御装置は、クラウドコンピューティングのコンピュータネットワークで接続されている請求項1に記載の移動体の制御システム。
  8. 移動体の動作に用いられる被制御装置と、前記被制御装置の制御に用いられる複数の制御装置と、を有する制御システムにおける移動体の制御方法であって
    前記被制御装置の制御内容を規定する制御情報を生成するステップと、
    前記制御情報と、前記複数の制御装置による前記被制御装置の制御条件を規定する複数の制御条件情報と、に基づいて、前記複数の制御条件情報のうち何れの制御条件情報を適用するかを決定するステップと、を有する移動体の制御方法。
  9. 前記制御システムの計算機資源を算出するステップと、
    前記制御装置による前記被制御装置の制御に必要な必要計算機資源を取得するステップと、を有しており、
    前記複数の制御条件情報のうち何れの制御条件情報を適用するかを決定するステップは、前記制御情報と、前記必要計算機資源と、前記計算機資源とに基づいて、前記複数の制御条件情報のうち何れの制御条件情報を適用するかを決定する請求項8に記載の移動体の制御方法。
  10. 前記複数の制御装置は、
    前記被制御装置を所定の態様で制御する第1機能を有する第1の制御装置と、
    前記被制御装置を、前記第1の制御装置の前記第1機能よりも高い優先度で制御する第2機能を有する第2の制御装置と、を有し、
    前記第2機能に基づく前記第2の制御装置による前記被制御装置の制御に必要な必要計算機資源が、前記制御システムの前記計算機資源を超えるか否かを判定するステップと、
    実行中の前記第1の制御装置の前記第1機能を縮退機能に移行させることで、前記第2機能に基づく前記第2の制御装置による前記被制御装置の制御で必要な計算機資源が、前記制御システムの前記計算機資源以下になるか否かを判定するステップと、を有し、
    前記第1の制御装置の前記第1機能を縮退機能に移行させることで、前記第2機能に基づく前記第2の制御装置による前記被制御装置の制御で必要な計算機資源が、前記制御システムの前記計算機資源以下になると判定した場合、前記第1の制御装置の前記第1機能を縮退機能に移行するステップを有する請求項9に記載の移動体の制御方法。
  11. 前記複数の制御条件情報の何れも適用できないと判定した場合、前記制御システムが異常状態であると判断し、前記制御装置を異常処理制御により制御するステップを有する請求項8に記載の移動体の制御方法。
JP2017182193A 2017-09-22 2017-09-22 移動体の制御システムおよび移動体の制御方法 Expired - Fee Related JP6719433B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017182193A JP6719433B2 (ja) 2017-09-22 2017-09-22 移動体の制御システムおよび移動体の制御方法
EP18857452.9A EP3564817B1 (en) 2017-09-22 2018-05-23 Mobile body control system and mobile body control method
PCT/JP2018/019873 WO2019058640A1 (ja) 2017-09-22 2018-05-23 移動体の制御システムおよび移動体の制御方法
US16/483,721 US11192562B2 (en) 2017-09-22 2018-05-23 Moving object control system and moving object control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017182193A JP6719433B2 (ja) 2017-09-22 2017-09-22 移動体の制御システムおよび移動体の制御方法

Publications (3)

Publication Number Publication Date
JP2019055743A JP2019055743A (ja) 2019-04-11
JP2019055743A5 JP2019055743A5 (ja) 2020-04-16
JP6719433B2 true JP6719433B2 (ja) 2020-07-08

Family

ID=65810716

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017182193A Expired - Fee Related JP6719433B2 (ja) 2017-09-22 2017-09-22 移動体の制御システムおよび移動体の制御方法

Country Status (4)

Country Link
US (1) US11192562B2 (ja)
EP (1) EP3564817B1 (ja)
JP (1) JP6719433B2 (ja)
WO (1) WO2019058640A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6719433B2 (ja) * 2017-09-22 2020-07-08 株式会社日立製作所 移動体の制御システムおよび移動体の制御方法
EP4009121B1 (de) * 2020-12-07 2024-04-03 TTTech Auto AG Verfahren zur steuerung einer technischen vorrichtung
CN114384793B (zh) * 2022-03-24 2022-06-07 成都万创科技股份有限公司 一种多智能设备的监控系统及其控制方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8359112B2 (en) * 2006-01-13 2013-01-22 Emerson Process Management Power & Water Solutions, Inc. Method for redundant controller synchronization for bump-less failover during normal and program mismatch conditions
US8535133B2 (en) * 2009-11-16 2013-09-17 Broadcom Corporation Video game with controller sensing player inappropriate activity
US9110838B2 (en) * 2013-07-31 2015-08-18 Honeywell International Inc. Apparatus and method for synchronizing dynamic process data across redundant input/output modules
JP2017033236A (ja) * 2015-07-31 2017-02-09 日立オートモティブシステムズ株式会社 車両制御装置
DE112017006451B4 (de) * 2017-01-24 2020-07-16 Mitsubishi Electric Corporation Gemeinsam genutzte Backup-Einheit und Steuersystem
JP6465319B2 (ja) * 2017-03-31 2019-02-06 株式会社Subaru 車両の走行制御装置
JP6719433B2 (ja) * 2017-09-22 2020-07-08 株式会社日立製作所 移動体の制御システムおよび移動体の制御方法

Also Published As

Publication number Publication date
EP3564817B1 (en) 2022-03-02
EP3564817A1 (en) 2019-11-06
US11192562B2 (en) 2021-12-07
WO2019058640A1 (ja) 2019-03-28
EP3564817A4 (en) 2021-01-20
JP2019055743A (ja) 2019-04-11
US20200023857A1 (en) 2020-01-23

Similar Documents

Publication Publication Date Title
JP6719433B2 (ja) 移動体の制御システムおよび移動体の制御方法
CN109855646B (zh) 分布集中式自动驾驶系统和方法
US20210031792A1 (en) Vehicle control device
JP6245616B2 (ja) 制御システム及び方法
JP2019055743A5 (ja)
JP6021120B2 (ja) データをストリーム処理する方法、並びに、そのコンピュータ・システム及びコンピュータ・システム用プログラム
US10437242B2 (en) Vehicle remote operation system
US9540117B2 (en) Failure analysis system
US20120254399A1 (en) Computing-device management device, computing-device management method, and computing-device management program
US20140142750A1 (en) Device and method for dynamic reconfiguration of robot components
JP5822125B2 (ja) サービス連携装置、サービス連携方法およびサービス連携プログラム
EP3483753A1 (en) Method for analyzing a physical system architecture of a safety-critical system
CN110958965A (zh) 用于机动车的控制系统、机动车、用于控制机动车的方法、计算机程序产品和计算机可读介质
JP6895719B2 (ja) 車両制御装置
JP2016066139A (ja) 車両制御装置
WO2019244269A1 (ja) 自動運転支援システム及びその動作方法
US20220027166A1 (en) Information processing device, moving object, and information processing method
US8843218B2 (en) Method and system for limited time fault tolerant control of actuators based on pre-computed values
CN113419829B (zh) 作业调度方法、装置、调度平台及存储介质
JP2015161956A (ja) メンテナンス管理装置
US11847012B2 (en) Method and apparatus to provide an improved fail-safe system for critical and non-critical workloads of a computer-assisted or autonomous driving vehicle
JP6773782B2 (ja) 制御装置
WO2014188764A1 (ja) 機能安全制御装置
CN112636881B (zh) 一种信号切换方法、装置及车辆
US10871759B2 (en) Machining time prediction device for predicting an execution time for tool change

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200303

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200303

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200526

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200616

R150 Certificate of patent or registration of utility model

Ref document number: 6719433

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees