JP6865572B2

JP6865572B2 - 自動車のリスクベースの制御

Info

Publication number: JP6865572B2
Application number: JP2016239012A
Authority: JP
Inventors: シュレーダークリストフ; ピンクオリヴァー; ノアトブルフシュテファン; ヴィルヘルムウルフ
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2015-12-09
Filing date: 2016-12-09
Publication date: 2021-04-28
Anticipated expiration: 2036-12-09
Also published as: CN106965805A; US20170169628A1; DE102015224696A1; JP2017105455A; US10249108B2; CN106965805B

Description

高度自動化された走行機能によって、自動車を制御することができる。この機能は、自動車の運転者がその機能を持続的に監視する必要がなく、従って、フィードバックレベルとして提供されるものではなく又は制限的に提供されるものでしかない場合に、高度自動化されていると称される。例えば、運転者には１５秒の引き継ぎ時間を保証することができ、運転者はその引き継ぎ時間を利用して、自動車に関する制御を高度自動化された走行機能から引き継ぐことができる。運転者は、自動車の走行中に、その走行以外のことに取り組むことができるようになり、又は、例えば眠ることも可能になる。

高度自動化された走行機能のコンポーネントが常に完全にエラーなく動作することは期待できない。通常の場合、走行機能はソフトウェアコンポーネント及び／又はハードウェアコンポーネントから構成されている。それらの各コンポーネントは故障する可能性がある。即ち、センサのようなハードウェアコンポーネントは、例えば、電気的なエラーを示す可能性があり、又は、ソフトウェアコンポーネントは、その仕様とは異なる動作をする可能性がある。しかしながら、システム全体は、いかなるときでも、それらの個々のエラーを伴っても常に確実な走行動作を維持できる状態になければならない。

そのような誤動作のうちの幾つかは、動作中に診断することができ、また、エラー発生時には、第１の機能コンポーネントから、緊急モードを実現する第２の機能コンポーネントに切り替えることができる（フォールバック）。

国際公開第００２０１３０６０５３０号（WO 00 2013 060 530 A1）は、渋滞支援システムに関するものであり、その機能はＡＣＣシステム又は車線維持支援のような別のシステムによって監視される。所定のシステム境界を超えると、渋滞支援システムは自動的に停止される。

国際公開第００２０１３０６０５３０号

本発明が基礎とする課題は、自動車の改善された制御を提供することである。本発明は、この課題を独立請求項に記載されている構成によって解決する。

発明の開示
本発明は、診断できないエラーも存在し、また、エラーの診断自体が、潜在的にエラーを含む特定を示すという認識を基礎としている。エラーが発生していることが識別されない場合には、第１の機能コンポーネントが、誤りのある仮定又は誤りのある測定値を使用して動作する可能性があり、このことは、自動車の事故リスクを高める可能性がある。他方では、客観的には決して存在していないエラーが発生していると特定されると、誤って第２の機能コンポーネントに切り替えられる可能性がある。第２の機能コンポーネントは、通常の場合、特定されたエラー状態との関係において表すことができるパラメータを使用しないので、総じて第２の機能コンポーネントは、通常の場合、第１の機能コンポーネントが実施する制御よりも劣った制御しか実施しない。この場合、事故リスクは同様に高まる可能性がある。

従って、第１の機能コンポーネント及び第２の機能コンポーネントに関して、自動車の事故のその都度のリスクがどの程度大きいかを可能な限り継続的に特定すること、また相応に、対応付けられている事故リスクが最も低くなる機能コンポーネントを用いて、自動車の制御を更に実施することが提案される。特に、第１の機能コンポーネントが晒されているエラーが特定された際に、常に第２の機能コンポーネントに切り替えられるのではなく、リスク分析によって、第２の機能コンポーネントを用いた制御が事故リスクを実際に低下させることが証明された場合にのみ、第２の機能コンポーネントに切り替えられることが提案される。従って、第１の機能コンポーネントから第２の機能コンポーネントへの切り替えは、現在の走行状況に依存し、また場合によっては、エラー状態の評価にも依存する。

自動車を制御するための高度自動化された走行機能は、複数の機能コンポーネントを含んでいる。自動車を制御するための方法は、第１の機能コンポーネントを使用して走行機能を実施するステップと、第１の機能コンポーネントの挙動を仕様通りの挙動と比較するステップと、第１の機能コンポーネントの挙動が仕様通りの挙動とは異なるか否かを特定するステップと、走行機能が第１の機能コンポーネントを用いて更に実施された場合の第１の事故リスクを特定するステップと、走行機能が第２の機能コンポーネントを用いて更に実施された場合の第２の事故リスクを特定するステップと、最も低い事故リスクが対応付けられている機能コンポーネントを用いて走行機能を実施するステップと、を備えている。

これによって、エラー状態が誤りなく特定されなかった際に生じる事故リスクを低下させることができる。高度自動化された走行機能の実施を改善することができ、また、運転者への自動車に関する制御の引き継ぎの要求の頻度を低下させることができる。

一般的に、機能コンポーネントに対して、所定の仕様が存在することが前提とされる。本明細書の範囲におけるエラーを、当業者はＯＯＳ（Out Of Specification）又はＥ／Ｅ（Electric/Electronic）エラーと称する。ハードウェアコンポーネントのＥ／Ｅエラーには、例えば、実施装置の故障又は２つのコンポーネント間の通信エラーが含まれると考えられる。ソフトウェアコンポーネントのＥ／Ｅエラーには、正確でない実行、プログラミングエラー又はバッファオーバーフローが含まれると考えられる。Ｅ／Ｅエラーは、少なくとも１つの機能コンポーネントが仕様通りの挙動を示さない場合に存在する。この際、不十分な仕様は、エラーとみなされる。

Ｅ／Ｅエラーは、ＩＳＰ（In Specification）エラー又は機能的な不備とは区別される。それらには、例えば、物体を例えば好適でない周囲条件に基づき完全には検出しないセンサ、実際に存在する状況が完全には再現されなくなるセンサデータのフュージョン、又は、物体の将来の移動状態を予測する際に完全な予測を行うことができない状況解釈の不十分な仕様が含まれる。

通常モードを実現する各第１の機能コンポーネントに対しては、通常の場合、緊急モードを実現する第２の機能コンポーネントが設けられなければならない。第２の機能コンポーネント又は第２の機能コンポーネントへの切り替えは、通常の場合、ＩＳＰエラーとＯＯＳエラーとを区別しない。しかしながら、通常の場合、第２の機能コンポーネントの動作のために、少なくとも１つのＥ／Ｅコンポーネントを使用することはできないので、第２の機能コンポーネントがその仕様通りに動作する場合には、第２の機能コンポーネントの性能は第１の機能コンポーネントの性能よりも劣ることになる。

機能コンポーネントは、ハードウェア、ソフトウェア又はそれらの組合せを含み得る。特に、高度自動化された走行機能を実現するために、多数の機能コンポーネントを設けることができる。機能コンポーネント自体が、複数の機能コンポーネントを含むことができ、その場合、第１の機能コンポーネント及び第２の機能コンポーネントを、１つ又は複数のサブ機能コンポーネントに分割することができる。例えば、プロセッサは、第１の機能コンポーネント及び第２の機能コンポーネントの実施装置を基礎としていると考えられる。

第１の機能コンポーネントは、第２の機能コンポーネントよりも複雑であってよい。低減された複雑性によって、第２の機能コンポーネントの実施の確実性を高めることができる。

事故リスクを、所定の閾値を上回る深刻度を有している事故について特定することができる。換言すれば、閾値を上回る深刻度を有している事故リスクのみを考察することができる。事故リスクが閾値を下回る場合には、各機能コンポーネントの正確な機能を前提とすることができる。自動車、乗員又は自動車外の物体において見込まれる損傷に基づき、深刻度を特定することができる。

複数の第２の機能コンポーネントを設けることができ、また各第２の機能コンポーネントに関して事故リスクを特定することができる。複数ある第２の機能コンポーネントのうちの１つの事故リスクが第１の機能コンポーネントの事故リスクを下回る場合、有利には、高度自動化された走行機能が、その第２の機能コンポーネントにおいて更に実施される。

第１の機能コンポーネントの事故リスクが第２の機能コンポーネントの事故リスクを下回った場合には、第２の機能コンポーネントから第１の機能コンポーネントへの切り替えを実施することも可能である。

実施された走行機能の事故リスクが所定の閾値を上回ると、運転者による走行機能の引き継ぎを開始することができる。最も低いリスクで動作可能な機能コンポーネントを用いた自動車の制御に並行して、自動車の更に改善された制御を提供するために、運転者に警報を発することができる。即ち、エラーの発生時の自動車の高度自動化された誘導を、僅かな程度に限定することができる。

コンピュータプログラム製品は、そのコンピュータプログラム製品が処理装置において実行されるか、又は、コンピュータ可読データ担体に記憶されている場合に、上述の方法を実施するためのプログラムコード手段を含んでいる。

高度自動化された走行機能は、上述の方法を実施するように構成されている。

添付の複数の図面を参照しながら、本発明をより詳細に説明する。

高度自動化された走行機能を備えている自動車を示す。図１の自動車を制御するための方法のフローチャートを示す。図１の自動車の高度自動化された誘導の際の種々の危険を示す。

図１には、自動車１００を制御するためのシステム１０５を備えている自動車１００が示されている。システム１０５は、高度自動化された走行機能を実施するように、特に自動車１００の長手方向又は横方向の制御を実施するように構成されている。このために、システム１０５は、１つ又は複数のセンサ１１５と接続されている処理装置１１０を含んでいる。センサ１１５を用いて、例えば外部の物体１２０を検出するために、自動車１００の周囲を走査することができる。処理装置１１０は、自動車１００の走行パラメータ又は走行状態を特定するために、自動車１００に搭載されている別のシステムと接続することもでき、又は、そのような別のシステムを組み込むこともできる。

高度自動化された走行機能は、少なくとも、第１の機能コンポーネント１２５及び第２の機能コンポーネント１３０によって実現されており、それらの機能コンポーネントは、より容易に理解されるように処理装置１１０内に示されている。各機能コンポーネント１２５，１３０は、それぞれ、ハードウェアコンポーネント、例えば通信インタフェース、実施装置又はセンサ１１５、ソフトウェアコンポーネント、例えば機能ブロック、又は、それらの組合せを含み得る。通常の場合、多数の機能コンポーネント１２５，１３０がシステム１０５内に設けられており、その場合、高度自動化された走行機能を実現するために、それらの機能コンポーネント１２５，１３０を相互に接続することができる。この実施例において、第１の機能コンポーネント１２５は通常機能を実現し、また、第２の機能コンポーネント１３０は緊急機能を実現する。主機能は通常の場合、緊急機能よりも複雑に構成されている。例えば、緊急機能を、低減された数のソフトウェア又は複雑度が低減されたアルゴリズムによって動作させることができる。この例では、２つの機能は、自動車１００と物体１２０との衝突を、自動車１００の長手方向又は横方向の制御に影響を及ぼすことによって回避することを目的としている。

１つの例において、第１の機能コンポーネント１２５は、ハードウェアとソフトウェアの組合せを含んでおり、また、自動車１００に対して相対的な物体１２０の移動を特定するように構成されている。ここで、ハードウェアは、機能コンポーネント、例えば超音波センサ１１５、給電線、通信インタフェース及び処理装置１１０を含み得る。ソフトウェアは、センサ１１５のドライバを含むことがあり、また、サンプリングされたデータから移動データを漸次的に抽出する１つ又は複数の機能ブロックを含み得る。ここで、移動の妥当性を、例えば自動車１００の移動情報に基づき検査することができ、その際、歩行者と他の自動車とを区別する、物体１２０に関するモデルを使用することができる。第２の機能コンポーネント１３０は、同一のハードウェアを使用することができるが、しかしながら、ソフトウェアについては、簡略化されたアプローチが前提とされる。例えば、単に一般的な物体１２０だけを全体として、その移動の妥当性を別の情報に基づき検査しないようにするか、又は、歩行者であるか若しくは自動車であるかを区別しないようにすることができる。

監視装置１３５は、第１の機能コンポーネント１２５の挙動を、ここではデータベースを表す記号によって描画されている所定の仕様１４０と比較する。監視コンポーネント１３５を、処理装置１１０に組み込むように形成することもでき、また特に、監視装置１３５自体を、１つ又は複数の機能コンポーネント１２５，１３０によって実現することができる。例えば、仕様１４０を形式的な記述の形態又はロジックの形態で設定することができる。監視装置１３５は、処理装置１１０の入力及び出力を仕様１４０と比較することができる。機能コンポーネント１２５，１３０の個々の機能ブロック又はサブコンポーネントの中間結果又は入力若しくは出力も仕様１４０と比較することができる。

第１の機能コンポーネント１２５が仕様１４０に即した挙動を示さないことを監視装置１３５が特定すると、監視装置１３５は、第１の機能コンポーネント１２５を停止し、第２の機能コンポーネント１３０を起動することができる。このために、監視装置１３５は、特に、信号を処理装置１１０に供給することができる。

更に、監視装置１３５は、自動車１００の運転者に対して、その自動車１００に関する制御の引き継ぎを要求するために、出力装置を用いて、光学的、音響的又は触覚的な信号を運転者に出力することができる。この引き継ぎに関して、運転者に所定の最小時間を許可することができる。

監視装置１３５が、第１の機能コンポーネント１２５の挙動は仕様１４０と異なることを確認した際に、監視装置１３５が、無条件に第２の機能コンポーネント１３０への切り替えを行うのではなく、先ず、第２の機能コンポーネント１３０を用いた、自動化された走行機能の実施が、第１の機能コンポーネント１２５を用いた更なる実施よりも事故リスクが低いか否かを検査することが提案される。有利には、事故の危険が低い場合にのみ、第１の機能コンポーネント１２５から第２の機能コンポーネント１３０への切り替えが行われる。これによって、第２の機能コンポーネント１３０への切り替えを最小限にすることができ、且つ、自動車１００の事故リスクを低下させることができる。

図２には、図１の自動車１００を制御するための方法２００のフローチャートが示されている。方法２００は、ステップ２０５で開始され、このステップ２０５においては、第１の機能コンポーネント１２５が、高度自動化された走行機能を実現する際に用いられるべき機能コンポーネントとして選択される。ステップ２１０においては、高度自動化された走行機能が、選択された機能コンポーネント１２５，１３０を用いて実施される。

例えば、これに並行して又は周期的に、ステップ２１５においては、選択された機能コンポーネント１２５，１３０又は高度自動化された走行機能の挙動が仕様１４０の設定に対応するか否かが検査される。対応する場合には、方法２００はステップ２１０に戻り、方法２００を改めて実施することができる。これに対して、サンプリングされた挙動が仕様１４０から外れていることが特定された場合、エラー状態に基づき、自動車１００に関する事故の危険が高まっていると考えられる。

この場合、ステップ２２０においては、第１の機能コンポーネント１２５を用いて高度自動化された走行機能を更に実施した場合の自動車１００に関する第１の事故リスクと、第２の機能コンポーネント１３０を用いて高度自動化された走行機能を実施した場合の第２の事故リスクと、が特定される。別の実施の形態においては、第１の事故リスクを、既に事前に、例えばステップ２１５の枠内で特定することも可能である。それら２つの事故リスクを、事故の所定の深刻度に関して特定することができるので、例えば、人間は負傷しないと見込まれる軽微なものでしかない事故は、甘受することができる。

特定された２つのリスクは相互に比較され、また、第２の機能コンポーネント１３０に切り替えた場合の事故リスクは実際に、第１の機能コンポーネント１２５を更に動作させた場合の事故リスクよりも低いか否かが特定される。１つの実施の形態においては、機能コンポーネント１２５，１３０を用いて高度自動化された走行機能を実施した場合の事故リスクのみが考察され、また１つの別の実施の形態においては、付加的に、切り替え自体がある程度の事故リスクに起因している可能性があることが考慮される。例えば、第２の機能コンポーネント１３０は、過去の期間のデータを考察することができる。切り替え時には、その時点に関してそれらのデータは、差し当たり存在しないと考えられる。従って、第２の機能コンポーネント１３０の性能は差し当たり縮小すると考えられ、その結果、事故リスクが増大する虞がある。第２の機能コンポーネント１３０がより長く稼働している場合には、そのような付加的なリスクはもはや存在しないと考えられる。

機能コンポーネント１２５，１３０の切り替えによって自動車の事故リスクを低下できることが特定された場合には、ステップ２２５において、第２の機能コンポーネントを、高度自動化された走行機能を実現する際に用いられるべき機能コンポーネントとして選択することができる。付加的に、運転者に切り替えを通知するために、又は、自動車１００に関する制御の引き継ぎを要求するために、信号を自動車１００の運転者に出力することができる。続いて、方法はステップ２１０に戻り、方法を改めて実施することができる。

第２の機能コンポーネント１３０から第１の機能コンポーネント１２５への再度の切り替えを、同様に行うことができる。別の実施の形態においては、第２の機能コンポーネント１３０に関して、ステップ２１５を省略することも可能であり、その場合、再度の切り替えは、第２の機能コンポーネント１３０が仕様１４０から外れた挙動を示したときにだけ検査されるのではなく、永続的に検査される。

図３には、高度自動化された走行機能での運転時の回避された事故及び回避されなかった事故のグラフ３００が示されている。第１の領域３０５は、特定されたＥ／Ｅエラー（ＯＯＳエラー）をグラフィック表示している。第１の領域３０５の部分領域である第２の領域３１０は、識別されていないＥ／Ｅエラーを表している。第２の領域３１０の部分領域である第３の領域３１５は、仕様１４０内のシステム動作を表している。

自動車を事故なく制御することは、第３の領域３１５において行われる。何故ならば、この第３の領域３１５では、システム１０５又は自動車１００が仕様１４０に設定されている通りの挙動を示すからである。グラフ上は、第２の領域３１０から第３の領域３１５を差し引いた集合に相当する第１の差領域３２０は、識別されていないＥ／Ｅエラーに起因する事故を表している。第１の領域３０５から第２の領域３１０を差し引いたものに相当する第２の差領域３２５は、検出されたＥ／Ｅエラーに基づき回避された事故を表している。

Claims

複数の機能コンポーネント（１２５，１３０）を含んでいる高度自動化された走行機能を用いて、自動車（１００）を制御する方法（２００）において、
前記方法（２００）は、以下のステップ、即ち、
−第１の機能コンポーネント（１２５，１３０）を使用して前記走行機能を実施するステップ（２１０）と；
−前記第１の機能コンポーネント（１２５，１３０）の挙動を仕様通りの挙動と比較するステップ（２２０）と；
−前記第１の機能コンポーネント（１２５，１３０）の挙動が前記仕様通りの挙動とは異なるか否かを特定するステップ（２２０）と；
−前記走行機能が前記第１の機能コンポーネント（１２５，１３０）を用いて更に実施された場合の第１の事故リスクを特定するステップ（２２０）と；
−前記走行機能が第２の機能コンポーネント（１２５，１３０）を用いて更に実施された場合の第２の事故リスクを特定するステップ（２２０）と；
−最も低い事故リスクが対応付けられている機能コンポーネント（１２５，１３０）を用いて前記走行機能を実施するステップ（２２５，２１０）と；
を備えており、
前記第１および第２の事故リスクを特定するステップ（２２０）では、特定された２つのリスクが相互に比較され、この際、前記第２の機能コンポーネント（１２５，１３０）に切り替えた場合の事故リスクが、前記第１の機能コンポーネント（１２５，１３０）を更に動作させた場合の事故リスクよりも低いか否かが特定され、前記第２の機能コンポーネント（１２５，１３０）に切り替えた場合の事故リスクは、切り替え自体に起因する事故リスクを含む、ことを特徴とする、方法（２００）。
前記機能コンポーネント（１２５，１３０）には、ハードウェア、ソフトウェア、又は、それらの組合せが含まれる、請求項１に記載の方法（２００）。
前記第１の機能コンポーネント（１２５，１３０）は、前記第２の機能コンポーネント（１２５，１３０）よりも機能的に複雑である、請求項１又は２に記載の方法（２００）。
前記事故リスクを、所定の閾値を上回る深刻度を有している事故について特定する、請求項１乃至３のいずれか１項に記載の方法（２００）。
複数の第２の機能コンポーネント（１２５，１３０）が設けられており、各第２の機能コンポーネント（１２５，１３０）に関して事故リスクを特定する、請求項１乃至４のいずれか１項に記載の方法（２００）。
実施された前記走行機能の前記事故リスクが所定の閾値を上回ると、運転者による前記走行機能の引き継ぎを開始する（２２０）、請求項１乃至５のいずれか１項に記載の方法（２００）。
コンピュータプログラムが処理装置（１１０）において実行される場合に、請求項１乃至６のいずれか１項に記載の方法（２００）を実施するためのプログラムコード手段を含んでいることを特徴とする、コンピュータプログラム。
高度自動化された走行機能を用いて自動車（１００）を制御するための装置（１１０）において、
当該装置（１１０）は、請求項７に記載のコンピュータプログラムを実行するように構成されていることを特徴とする、装置（１１０）。
請求項７に記載のコンピュータプログラムが記憶されている、コンピュータ可読データ担体。