JP6875240B2 - 移動体の制御システムおよび移動体の制御方法 - Google Patents

移動体の制御システムおよび移動体の制御方法 Download PDF

Info

Publication number
JP6875240B2
JP6875240B2 JP2017180904A JP2017180904A JP6875240B2 JP 6875240 B2 JP6875240 B2 JP 6875240B2 JP 2017180904 A JP2017180904 A JP 2017180904A JP 2017180904 A JP2017180904 A JP 2017180904A JP 6875240 B2 JP6875240 B2 JP 6875240B2
Authority
JP
Japan
Prior art keywords
control
control information
unit
information
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017180904A
Other languages
English (en)
Other versions
JP2019055673A (ja
Inventor
大塚敏史
成沢文雄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2017180904A priority Critical patent/JP6875240B2/ja
Priority to PCT/JP2018/032806 priority patent/WO2019058962A1/ja
Publication of JP2019055673A publication Critical patent/JP2019055673A/ja
Application granted granted Critical
Publication of JP6875240B2 publication Critical patent/JP6875240B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/18Propelling the vehicle
    • B60W30/182Selecting between different operative modes, e.g. comfort and performance modes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Quality & Reliability (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Hardware Redundancy (AREA)
  • Traffic Control Systems (AREA)

Description

本発明は、移動体の制御システムおよび移動体の制御方法に関する。
近年、車両、建設機械、エレベータなどの産業機器では、産業機器を制御する制御システムに不具合が発生した場合の影響が深刻となることがある。そのため、この種の産業機器では、制御システムの一部の機能に不具合が発生した場合、他の機能で代替させることが考えられる。
このように、産業機器の制御システムにおいて、所定の機能を他の機能で代替させることができるようにしたものを、システムの多重化又は冗長化と言う。
多重化又は冗長化された制御システムに不具合が発生した場合、または不具合が回復して正常機能に復帰する場合、正常機能と代替機能との相互の移行を、産業機器の制御を停止させることなく、所定の切り替え期間内にスムーズに行うことが産業機器の安全性と、機能の品質の点から求められている。
特許文献1には、車両の制御システムにおいて、故障を修復しシステムを正常な状態へと復元した際に発生する制御段差を緩和する技術が開示されている。
特開2017−33236号公報
ここで、近年、開発が進められている車両の自動運転技術では、将来の自車位置(軌道)の時系列情報(制御出力)が、正常機能と代替機能の2系統から出力される場合がある。また、この種の車両の制御システムでは、代替機能で用いられる将来の運動情報だけでなく、自動運転中に運転者が操作を行った場合(オーバーライドした場合)の操作情報や、より緊急性の高い車両の緊急情報なども出力される場合がある。
特許文献1に開示された技術は、正常機能と代替機能の各々から出力された情報を単純に比較するだけの技術であり、制御システムの一部に不具合が発生した場合、複数の機能から出力された複数の制御出力の中から、制御出力を適切に選択することはできない。
したがって、本発明は、上記の課題に着目してなされたもので、移動体の制御システムの一部に不具合が発生した場合に、複数の機能から出力された複数の制御出力の中から、制御出力を適切に選択できる制御システムを提供することを目的とする。
上記課題を解決するため、移動体の運動を通常制御するための第1制御情報を生成する第1の制御部と、移動体の運動を非通常制御するための第2制御情報を生成する第2の制御部と、第1制御情報と第2制御情報の何れか一方を出力する切替部とを有し、切替部は、第1制御情報と第2制御情報との差分が所定の閾値以下である場合、第2制御情報を出力する構成とした。
本発明によれば、移動体の制御システムの一部に不具合が発生した場合に、複数の機能から出力された複数の制御出力の中から、制御出力を適切に選択できる制御システムを提供することができる。
実施の形態にかかる制御システムの機能を説明するブロック図である。 制御システムを搭載した車両の構成を説明する概略図である。 制御システムの装置構成を説明するブロック図である。 制御装置(ECU)の内部構成の一例を説明するブロック図である。 プロセッサで動作するソフトウェアモジュールの構成を説明する図である。 制御システム全体の機能構成を説明する機能ブロック図である。 制御システムのECUの内部構成への機能配置の一例を説明する図である。 制御システムによる車両制御の一例を説明する図である。 切替部における制御情報切替処理のフローチャートである。 変形例にかかる制御システム全体の機能構成を説明する機能ブロック図である。 制御システムによる車両の制御方法の一例を説明する図である。 第2の実施の形態の制御システム全体の機能構成を説明するブロック図である。 再構成管理部の構成を説明するブロック部である。 再構成実行部の構成を説明するブロック図である。 第2の実施の形態の制御システムにおける、再構成処理のシーケンスを説明する図である。 第2の実施の形態の切替部における、制御情報切替処理のフローチャートである。 第3の実施の形態の制御システム全体の機能構成を説明するブロック図である。 第3の実施の形態の制御システムによる車両制御の一例を説明する図である。 第3の実施の形態の切替部の制御情報切替処理のフローチャートである。 第4の実施の形態の切替部のユーザ制御切り替え判定処理のフローチャートである。
[制御システム]
以下、本発明の実施の形態にかかる制御システム1を説明する。実施の形態では、制御システム1を、車両100などの移動体の制御に用いられる制御システムに適用した場合を例示して説明する。
図1は、実施の形態にかかる移動体の制御システム1(以下、単に制御システム1という)の機能を説明するブロック図である。
図1に示すように、制御システム1は、AD1―ECU2と、VMC―ECU3とを有しており、AD1−ECU2とVMC−ECU3とは、各々のネットワークリンクを接続するゲートウェイ(以下、GW(Gateway)97と言う)を介して接続されている。ここでADは、Automated Driving、又はAutonomous Drivingを想定して用いている。またVMCは、Vehicle Motion Contorolを想定して用いている。またECUは、Electronic Control Unitを想定して用いている。
実施の形態では、AD1−ECU2は、車両100の全体制御を行う上位の高機能ECUである。AD1−ECU2には、コーナライダ81、コーナレーダ82、フロントカメラ83、ソナー84などの車両100の周囲状況を検知する検知装置80が接続されている。AD1−ECU2は、この検知装置80による車両100の周囲状況の検知結果に基づいて、車両100の将来の位置情報(軌道)の生成(算出)を行う。実施の形態において、将来とは、現在時刻よりも先の時刻を意味する。
なお、検知装置80は、上記のほか、コーナライダ85、フロントレーダ86、360°カメラ87を有している。これらの検知装置80は、スイッチ(以下、SW88と言う)を介して、AD1−ECU2とVMC−ECU3(後述するCPU3B)に選択可能に接続されており、スイッチ88の切り換えにより、AD1−ECU2とVMC−ECU3の何れかまたは両方に接続される。
自動運転システムを搭載した車両100において、AD1−ECU2は、前述した検知装置80で検知した周囲状況と、車両100の将来の位置情報(軌道)とに基づいて、車両100を制御するための制御出力を生成する。AD1−ECU2は、生成した制御出力をVMC−ECU3に送信する。
VMC−ECU3は、車両100の運動に関与する駆動装置(例えば、エンジン、アクセル、ブレーキ、ステアリングなど)のアクチュエータを直接制御する下位の単機能ECUである。
VMC−ECU3は、ブレーキ91、ステアリング92、他のECU93、EMC94、ATCU95などの車両100の駆動装置90に、車載ネットワーク(Controller Area Network:以下、CAN99と言う)を介して接続されている。VMC−ECU3は、AD1−ECU2からの制御出力に基づいてこれらの駆動装置90を制御する。
なお、CAN99には、CANFD(CAN With Flexible Data−rate、Ethernet(登録商標)等の通信回線が含まれる。
VMC−ECU3は、CPU(Central Processing Unit)3Aと、このCPU3Aと並列に設けられたCPU3Bとの2個CPUを有するデュアルコアプロセッサである。実施の形態では、VMC−ECU3は、CPU3AとCPU3Bとを並列に有するデュアルコアプロセッサを例示して説明するが、これに限定されるものではない。例えば、VMC−ECU3は、4個のCPUを並列に有するクアッドコアプロセッサ、6個のCPUを並列に有するヘキサコアプロセッサ、それ以上のCPUを並列に有するマルチコアプロセッサであってもよい。
また、VMC−ECU3には、メモリ33が設けられている。メモリ33には、VMC−ECU3の制御に用いられる制御プログラム(図示せず)や、制御用の各種パラメータ(図示せず)が記憶されている。
CPU3Aは、車両100の運動に関与する駆動装置90(例えば、ブレーキ91、ステアリング92、アクセル(図示せず))などの制御を行う。CPU3Aは、GW97を介してAD1−ECU2に接続されている。CPU3Aは、CPU3Bと接続されており、CPU3Bとの間で、CPU3A又はCPU3Bで処理された各種情報の通信を相互に行う。
CPU3Bは、コーナライダ85、フロントレーダ86、360°カメラ87などの検知装置80に接続されており、これら検知装置80から周囲状況を取得する。CPU3Bは、検知装置80から取得した周囲状況をCPU3Aに送信する。
なお、CPU3AとCPU3Bとのうち、少なくとも何れか一方においては、当該CPU3A又はCPU3Bの機能を縮退させるための縮退モジュール96がインストールされ実行可能となる演算装置やメモリ等のリソースが準備されている。
ここで縮退とは、CPU3A又はCPU3Bにおいて、駆動装置90を制御するための基本的な機能(主機能)よりも性能を落としたり、主機能を制限して限定的ながら制御を続行すること、又はCPU3A又はCPU3Bの所定の機能が使用できない場合、代替となる他の機能に切り替えること、又はその機能や構成を意味する。
実施の形態では、この主機能による車両100の制御を通常制御、縮退機能による車両100の制御を非通常制御と言うこともある。
これにより、VMC−ECU3は、CPU3A又はCPU3Bの何れか一方で駆動装置90を制御する場合、他方のCPU3A又はCPU3Bの機能を、縮退モジュール96に基づいて縮退させることができる。よって、VMC−ECU3は、CPU3A又はCPU3Bの何れか一方は、ブレーキ91、ステアリング92などの駆動装置90を縮退機能により制御することができる。
GW97は、ネットワークリンク又は専用線を介してボディ971、HMI972、接続装置973、情報提供装置974に接続されている。
前述したVMC−ECU3のCPU3Aは、本発明の第1の制御部を構成し、CPU3Bは、本発明の第2の制御部を構成する。
次に、前述した制御システム1を搭載した車両100の構成を説明する。
図2は、制御システム1を搭載した車両100の構成を説明する概略図である。
図2に示すように、制御システム1は、車両100の内部に配置されている。車両100の内部には、AD1−ECU2やVMC−ECU3などの車両制御装置4と、通信装置5と、車両制御装置4と異なる又は同一のプロトコルを用いたネットワークにより構成される他の車両制御装置(ECU:図1のECU93に相当)6と、外部出力装置7と、入力装置8と、報知装置9と、検知装置80と、駆動装置90と、が接続されている。
通信装置5は、車両100内部に設けられた制御システム1と、車両100の外部機器(図示せず)との間で無線通信を可能とする装置である。通信装置5は、例えば、携帯電話の通信、無線LAN(Local Area Network)、WAN(Wide Area Network)、C2X(Car to X:車両と車両との通信又は車両と路上のインフラ機器との通信)等のプロトコルを使用した通信、又はGPS(Global Positioning System)を使用した通信を可能とする装置である。
通信装置5は、外部機器(図示せず)と無線通信を行い、車両100の周囲状況(例えば、路上インフラ設備に関する情報、他車の位置情報や速度情報、地図情報)を取得し、車両制御装置4(前述したAD1−ECU2)に周囲状況を送信する。この通信装置5による車両制御装置4への周囲状況の送信は、通信装置5に設けられた車両の自己診断機能用の診断端子(On−board diagnostics:OBD)、外部記憶媒体(例えば、USB(Universal Serial Bus)メモリ、SDメモリカード)端子を介して行われる。
外部出力装置7は、車両100の運動状態や周囲状況を運転者などに通知するための装置である。例えば、外部出力装置7は、取得した情報を映像や音などで出力する液晶ディスプレイ、警告灯、スピーカである。
入力装置8は、運転者が制御システム1に対して、車両100の運転に関する操作指示を行うための装置である。例えば、入力装置8は、ハンドル、フットペダル、各種操作ボタン、操作レバー、タッチパネル等である。
報知装置9は、制御システム1が、外界に対して車両100の運動状態を報知するための装置である。例えば、報知装置9は、ライト(ヘッドライト等)、ランプ(ブレーキランプ、テールランプ、フォグランプ、スモールランプ等の警告灯)、LED、スピーカ等である。
検知装置80は、車両100に設けられたセンサなどで検出された周囲状況を取得する装置である。例えば、検知装置80は、前述したように、車載カメラ、レーダ、ライダ(LIDAR)、ソナー(超音波センサ)などの外界センサ、及び制御システム1の状態(運動状態、位置情報、加速度、車輪の回転速度等)を認識する力学センサ等である。
駆動装置90は、制御システム1の制御に従い、車両100の運動を制御する機械及び電気装置の駆動を行うアクチュエータ等の駆動装置である。例えば、駆動装置90は、前述したように、エンジン、トランスミッション、ホイール、ブレーキ91、ステアリング92、アクセル等である。
次に、制御システム1の装置構成を説明する。
図3は、制御システム1の装置構成を説明するブロック図である。
図3に示すように、制御システム1では、車載ネットワークであるCAN99に、各々の検知装置80や駆動装置90などを制御する複数のVMC−ECU3(以下、単にECU3と表記する)が接続されている。
各々のECU3には、通信装置5や他の車両制御システム6や、各々の検知装置80、ブレーキ91等の駆動装置90(アクチュエータ)等が接続されている。
各々のECU3は、CAN99以外の他の車載ネットワーク(専用線含む)にも接続され、この他の車載ネットワークを介して駆動装置90等との間で情報の送受信を行う。
なお、前述したCAN99は、車両100の内部に配設された2つのバスに複数のECU3が接続されているバス型の場合を例示して説明したが、CAN99のネットワークトポロジは、これに限定されるものではない。例えば、複数のECU3が放射状に配置されるスター型や、リング状に配設されたバスに複数のECU3が接続されたリンク型、各々の型が混在し、複数のネットワークにより構成された混在型等であってもよい。
ECU3は、CAN99等の車載ネットワークを介して取得した検知装置80等の情報に基づいて、駆動装置90へ制御出力を送信し、内部状態の変更などの制御処理を行う。
[制御装置]
次に、ECU3(制御装置)の内部構成の一例を説明する。
図4は、ECU3の内部構成の一例を説明するブロック図である。
図4に示すように、ECU3は、プロセッサ31と、I/O(Input/Output)32と、タイマ33と、ROM(Read Only Memory)34と、RAM(Random Access Memory)35と、を有し、これらは、ECU3内部での通信に用いられる内部バス36で接続されている。
プロセッサ31は、キャッシュレジスタなどの記憶素子を有し、制御を実行するCPUなどの装置である。プロセッサ31は、前述したCPU3A、CPU3Bを構成する。
I/O32は、ECU3に接続された検知装置80又は駆動装置90との間で、CAN99や専用線(図示せず)を介して情報の送受信を行う装置である。
タイマ33は、プロセッサ31等が有するクロック機能(図示せず)を使用し、時間及び時刻の管理を行う装置である。
ROM34は、ECU3の制御を行うための制御プログラムや各種パラメータを記憶する不揮発性の記憶装置である。
RAM35は、ECU3の機能を実行するための各種プログラムや、プロセッサ等で処理された情報を一時的に記憶する揮発性の記憶装置である。
次に、前述したプロセッサ31で動作するソフトウェアモジュールの構成を説明する。
図5は、プロセッサ31で動作するソフトウェアモジュールの構成を説明する図である。
図5に示すように、プロセッサ31は、制御部311と、通信管理部312と、時間管理部313と、データテーブル314と、バッファ315とを有している。
制御部311は、プロセッサ31の全体的な制御を行う。具体的には、制御部311は、所定の制御プログラムを実行し、その制御プログラムに基づいて処理を行う。この制御部311の動作により、制御システム1の各機能の実行が行われる。
通信管理部312は、内部バス36を介して、I/O32に対して、情報の送受信の指示を行う。
時間管理部313は、タイマ33を管理し、時間や時刻に関する情報を取得すると共に、時間や時刻のカウントなどの制御を行う。
データテーブル314は、車両100の制御に必要な各種情報を記憶する。
バッファ315は、制御部311や時間管理部313で演算された情報を、一時的に記憶する。
前述した制御部311、通信管理部312、時間管理部313は、動作に必要な情報を、ROM34、RAM35から読み込み、又はこれらROM34やRAM35に書き込む動作を行う。
[制御システムの機能構成]
次に、制御システム1全体の機能構成を説明する。
図6は、制御システム1全体の機能構成を説明する機能ブロック図である。
図6に示すように、制御システム1は、統合認識部11と、自動運転制御部12と、ユーザ入力部13と、出力管理部14と、通知管理部15と、異常検出部16と、切替部17と、運動制御部18と、安全制御部19とを有している。
これら、統合認識部11と、自動運転制御部12と、ユーザ入力部13と、出力管理部14と、通知管理部15と、異常検出部16と、切替部17と、運動制御部18と、安全制御部19は、前述した何れかのECU3に配置されている。
統合認識部11は、複数の検知装置80や通信装置5に接続されており、これらの装置から周囲状況L1を取得する。統合認識部11は、取得した周囲状況L1を統合して外界認識マップL2を生成する。統合認識部11は、自動運転制御部12と接続されており、生成した外界認識マップL2を自動運転制御部12に送信する。
自動運転制御部12は、統合認識部11で生成された外界認識マップL2と、ユーザ入力部13を介して入力されたユーザ入力情報L3とに基づいて、自動運転制御情報L4(軌道等)を生成する。自動運転制御部12は、生成した自動運転制御情報L4を、出力管理部14、通知管理部15、異常検出部16、切替部17に出力する。
ユーザ入力部13は、入力装置8からのユーザ入力に基づいて、ユーザ入力情報L3を生成する。
出力管理部14は、外部出力装置7に接続されている。出力管理部14は、自動運転制御部12から受信した自動運転制御情報L4と、異常検出部16から受信した異常検出情報L5とに基づいて生成した出力情報L6を、外部出力装置7に出力する。
通知管理部15は、報知装置9及び通信装置5に接続されている。通知管理部15は、自動運転制御部12から受信した自動運転制御情報L4と、異常検出部16から受信した異常検出情報L5とに基づいて生成した報知情報L7を、報知装置9に出力する。
異常検出部16は、自動運転制御部12から取得した自動運転制御情報L4や、その他の装置から取得した制御情報(図示せず)に基づいて、制御システム1の異常を検出する。異常検出部16は、出力管理部14、通知管理部15、切替部17、安全制御部19に接続されており、これらの装置に異常検出情報L5を送信する。
切替部17は、異常検出部16、自動運転制御部12、ユーザ入力部13、安全制御部19、運動制御部18に接続されている。切替部17は、異常検出部16から取得した異常検出情報L5に基づいて、運動制御部18に対して出力する制御出力L10を、自動運転制御部12、ユーザ入力部13、安全制御部19の何れかから取得した情報に切り替える。
ここで、制御出力L10は、例えば、車両100の加速度やヨーレート等の運動制御パラメータの目標値、各駆動装置90への制御指令値、及びそれらの時系列での連続値である。
運動制御部18は、検知装置80及び駆動装置90に接続されており、切替部17から取得した制御出力L10と、検知装置80から取得した車両100の周囲状況L1と、駆動装置90から取得した当該駆動装置90の運転状況(応答)などに基づいて生成した駆動制御情報L9を、複数の駆動装置90に対して送信する。
安全制御部19は、異常検出部16、切替部17、検知装置80と接続されている。安全制御部19は、検知装置80から取得した周囲状況L1と、異常検出部16から取得した異常検出情報L5とに基づいて、車両100(制御システム1)の故障発生時等に安全運転制御情報L8を切替部17に出力する。
実施の形態では、安全制御部19は、縮退モジュール96(図1参照)を有し、縮退モジュール96の縮退機能により車両100の運動機能を縮退させることで、車両100を最低限の機能で運動させることができる。
よって、安全制御部19で生成された安全運転制御情報L8は、運動制御部18に縮退機能を発揮させるための制御情報である。
ここで、自動運転制御部12による車両100の運動制御を通常制御、安全制御部19による車両100の運動制御を非通常制御と言うこともある。
前述したように、切替部17から見て、自動運転制御部12(自動運転制御部12が配置されたECU3)と、安全制御部19(安全制御部19が配置されtあECU3)とは、並列に設けられている(図6参照)。
このため、制御システム1に何らかの故障が発生した場合、例えば、自動運転制御部12による通常制御から、安全制御部19による非通常制御(安全制御)に切り替える際、安全制御部19による非通常制御の準備が完了するまで、自動運転制御部12から出力された自動運転制御情報により継続して制御し、安全制御部19による非通常制御の準備が完了した段階で、安全制御部19による制御に移行することで、制御の切り替えをスムーズに行うことができる。
また、自動運転制御部12と安全制御部19とを並列に設けているので、それぞれの制御部で、車両100を適切に運動させるための機能を分担することで、所定の切り替え期間(例えば、500msec)以内に切り替えることができ、故障時の切り換えを迅速、かつ安全に行うことができる。
制御システム1には、通信装置5、検知装置80、駆動装置90、外部出力装置7、入力装置8又は報知装置9の一部又は全部が含まれる場合がある。また、運動制御部18、出力管理部14、通知管理部15を含むVMC−ECU3は、制御システム1の一部の機能を有する場合を例示して説明したが、全ての機能を有するものとしてもよい。
前述したように、制御システム1は、複数の機能から構成されており、図4に示すECU3の内部構成への機能配置は、複数のパターンが考えられる。
図7に示すように、実施の形態では、複数のECU3に、制御システム1の各機能がそれぞれ分けて設けられている。実施の形態では、ECU3に設けられている場合の一例として、統合認識部11と自動運転制御部12、異常検出部16と安全制御部19、切替部17と運動制御部18、ユーザ入力部13と出力管理部14、通知管理部15、がそれぞれ並列の設けられた別々のECU3に配置されている。
なお、前述した制御システム1の機能配置の例は、これに限定されず、所定の機能を別のECUに配置してもよい。
[制御システムによる車両制御]
次に、制御システム1による車両100の制御の一例を説明する。
図8は、制御システム1による車両100の制御の一例を説明する図である。
図8に示すように、以下の説明では、自車(車両100)の制御システム1(自動運転制御部12)は、片側2車線の道路において、自車(車両100)が左車線を走行しており、前方に先行車101がいるため右車線から追い越すように自車の軌道801(自動運転制御情報L4)を生成した場合の自車の運動制御を例示して説明する。
自動運転制御部12の主機能により生成されたこの軌道801は、自車が安全に走行可能(例えば、他車両や障害物に衝突する可能性が低い状態)である安全性制約、自車が実現可能な加速度、減速度、ヨーレート等の運動制約を満たしているものとする。
図8に示すように、自動運転制御部12が生成した軌道801において、時刻t0(現在の時刻)における自車の位置が(X0、Y0)、t1における自車の位置が(X1、Y1)、t2における自車の位置が(X2、Y2)であるとする。また、軌道801では、以降も位置情報(例えば、t3(x3、Y3)〜tn(Xn、Yn))が同様に生成されているものとする。
自動運転制御部12では、軌道801に沿って自車が移動するように、現在の自車の運動状態(現在の速度、現在の加速度、現在のヨーレート)等を取得するすると共に、取得した運動状態に基づいて、自車の目標速度、目標加速度、目標ヨーレート等を算出する。
自動運転制御部12では、目標速度等を達成するために、エンジントルクの出力を増加させる、ブレーキを制御して制動力を増加させる、ステアリングを転舵させる、また、各車輪が不均等になるように車輪ごとに制動、加速を行う。
なお、自動運転制御部12が生成する情報が、自車の軌道801ではなく、駆動装置90の制御値である場合、この制御値を用いて駆動装置90の制御を行うことで、目標の運動制御を行うことができる。
[異常検出部における異常検出方法]
次に、異常検出部16における異常検出方法を説明する。
実施の形態では、「異常」とは、制御システム1のハードウェアの故障やソフトウェアの不具合、想定外の入力等を原因として発生する通常時想定している状態と異なる状態を言う。
制御システム1の各構装置は、車載ネットワーク(CAN99)又は専用線等の通信を介して通信を行っている。よって、制御システム1では、通常の異常では、通信が行えない(通信処理がエラー応答、信号線の電位が異常)、通信の信号値の異常等が発生する。これらの通信異常は、電気回路での異常検出(電位検出等)、定期的な生存確認(ハートビートの送受信によるエラー検出)、巡回冗長検査(Cyclic Redundancy Check:CRC)等の異常検出符号によるエラー検出を行うことにより検出可能である。
また、CPUなどの演算装置の故障については、同じ演算を行った結果の検算(演算結果の比較)により異常検出可能であり、メモリの故障については、ROMやRAMにアクセスした場合の誤り検出等により検出可能である。
ソフトウェアの不具合については、同じ演算を行った結果の検算の比較以外にも、出力結果が所定の範囲以外(閾値以上又は閾値以下)であることにより検出することが可能である。
これらの異常については、永続的に発生する永続故障と、過渡的に発生する過渡故障とがある。例えば、出力値が不安定に変位しながら発生する場合には、過渡故障である可能性が高く、出力値が0(ゼロ)や1の値に固定されている場合には、永続故障の可能性が高いと判定できる。
制御システム1の異常検出部16は、これらの異常情報を受信することにより制御システム1の異常を検出する。また、他の装置が異常を検出し、他の装置からの異常情報を異常検出部16が受信することにより異常の検知を行ってもよい。
例えば、自動運転制御部12は、検知装置80、通信装置5、統合認識部11、及びそれらの間の通信の何れかの部分で異常が発生していることを自動運転制御情報L4に付加して送信し、異常検出部16は、この異常情報を検出することで、制御システム1の異常を検出する。
切替部17は、異常検出部16による異常検出結果(異常検出情報L5の受信)に基づいて、後述する制御情報切替処理を実行する。
[切替部における制御情報切替処理]
次に、切替部17における制御情報切替処理を説明する。
図9は、切替部17における制御情報切替処理のフローチャートである。
異常検出部16により異常の検出がされた場合、切替部17は、以下の制御信号切替処理を実行する。
初めに、ステップS101において、切替部17は、自動運転制御部12から取得した自動運転制御情報L4(第1制御の出力)と、安全制御部19から取得した安全運転制御情報L8(第2制御の出力)とを、時系列で比較する。
ステップS102において、切替部17は、自動運転制御情報L4(第1制御の出力)と安全運転制御情報L8(第2制御の出力)とを比較した結果、差分dが所定の規定値(所定の閾値dth)以下でないと判定した場合(ステップS102:No)、ステップS103に進み、自動運転制御情報L4(第1制御の出力)を運動制御部18に出力する。
よって、自動運転制御情報L4と安全運転制御情報L8との差分dが所定の閾値dthよりも大きい場合(d>dth)、切替部17は、車両100の自動運転制御情報L4に基づく制御から安全運転制御情報L8に基づく制御に切り替えると、制御の切り替え時の衝撃(制御段差)が大きくなる結果、運転者の違和感が大きくなると判断し、そのまま自動運転制御情報L4に基づく制御を行うことで、制御情報の切り替えによる運転者の違和感を少なくし、車両100を安心、安全に運転することができる。
一方、切替部17は、自動運転制御情報L4(第1制御の出力)と安全運転制御情報L8(第2制御の出力)とを比較した結果、差分dが所定の規定値(所定の閾値dth)以下であると判定した場合(ステップS102:Yes)、ステップS104に進み、安全運転制御情報L8(第2制御の出力)を運動制御部18に出力する。
よって、自動運転制御情報L4と安全運転制御情報L8との差分dが所定の閾値dth以下の場合(d≦dth)、切替部17は、車両100の自動運転制御情報L4に基づく制御から安全運転制御情報L8に基づく制御に切り替えても、運転者に対する切り替え時の違和感が少ないと判断し、安全運転制御情報L8に基づく制御に切り替えることで、縮退機能による運動制御により車両100の安全性を確保しつつ、運転者に違和感を与えない車両100の運動制御を行うことができる。
ここで、自動運転制御部12では、異常検出部16による異常検出後も、自動運転制御情報L4による制御から安全運転制御情報L8による制御への切り替えが完了するまでの一定時間は、自動運転制御部12で生成した自動運転制御情報L4による制御を継続する必要があるため、異常が発生していないと検証済みの自動運転制御情報L4を所定時間分保持し、一定時間出力を行う。
前述した実施の形態では、自動運転制御情報L4を、自動運転制御部12が保持する場合を例示して説明したが、これに限定されるものではなく、自動運転制御情報L4を、自動運転制御部12以外の装置が保持する構成としてもよい。
以下、自動運転制御情報L4を、自動運転制御部12以外の制御情報保持部40が保持するようにした制御システム1Aを説明する。
[制御情報保持部]
図10は、変形例にかかる制御システム1A全体の機能構成を説明する機能ブロック図である。
制御システム1Aの制御情報保持部40は、切替部17に接続されている。制御情報保持部40は、切替部17を介して、自動運転制御部12で生成した自動運転制御情報L4を所定時間分取得すると共に、その所定時間分の自動運転制御情報L4を保持する。
具体的には、制御情報保持部40は、制御システム1A等に何らかの異常が発生した場合、車両100の安全な走行を最低限保証可能であると検証された自動運転制御情報L4を、所定時間分保持しておき、異常が発生した時に、保持していた自動運転制御情報L4(以下、保持制御情報L11と言う)を切替部17に出力する。
これにより、切替部17は、異常検出部16により制御システム1Aに異常が発生したことが検出された場合、制御情報保持部40に保持された保持制御情報L11を運動制御部18に出力することで、運動制御部18では、この保持制御情報L11に基づく車両100(駆動装置90)の制御を行うことができる。よって、車両100は、安全走行が最低限保証された保持制御情報L11に基づく運動制御が行われるので、異常発生時でも安全に走行することができる。
ここで、制御情報保持部40で保持する保持制御情報L11は、自動運転制御部12で生成された一定時刻先(将来)までの自動運転制御情報であり、例えば、現在の車線に沿う走行、車線に沿って走行しつつ緩やかに減速、路肩に退避して停止等の制御を車両100に行わせるための情報などである。
前述したように、自動運転制御部12以外の制御情報保持部40が、保持制御情報L11(自動運転制御情報L4)を保持する場合、図9で説明した制御情報切替処理において、制御情報保持部40から出力された保持制御情報L11を第1制御の出力、安全制御部19から出力された安全運転制御情報L8を第2制御の出力として処理を行う。
このように構成すると、自動運転制御部12及びその出力経路に何らかの障害が発生した場合でも、車両100は、制御情報保持部40から出力された保持制御情報L11に基づく主機能により、所定の軌道801に沿った自動走行が可能となり、また、安全制御部19から出力された安全運転制御情報L8に基づく縮退機能により、最低限の運動により所定の軌道801に沿った自動走行が可能となる。
なお、制御情報保持部40は、安全制御部19で生成された安全運転制御情報L8を保持してもよく、保持制御情報L11と、安全運転制御情報L8のうち、何れか一方又は両方を保持するようにしてもよい。
このように構成すると、安全制御部19を配置したECU3で何らかの不具合が発生した場合、制御情報保持部40で保持していた安全運転制御情報L8を用いて、車両100の運動を安全に制御することができる。
[制御出力の比較方法]
次に、制御情報保持部40を有する制御システム1Aによる車両100の制御方法の一例を説明する。
図11は、制御システム1Aによる車両100の制御方法の一例を説明する図である。
図11において、第1制御の出力(例えば、保持制御情報L11)に基づく主機能の軌道が軌道1001であり、第2制御の出力(例えば、安全運転制御情報L8)に基づく縮退機能の軌道が軌道1002である。主機能に基づく軌道1001と縮退機能に基づく軌道1002の何れも、時系列の一定時刻先(将来)までの自車(車両100)の位置情報を有している。
実施の形態では、時刻t0は現在の時刻を表しており、現在の時刻t0から一定時刻先までの時刻t1、t2における保持制御情報L11に基づく位置と、安全運転制御情報L8に基づく位置は、それぞれ(xa0、ya0)と(xb0、yb0)、(xa1、ya1)と(xb1、yb1)、(xa2、ya2)と(xb2、yb2)となる。
現在の時刻t0において、(xa0、ya0)と(xb0、yb0)とは等しくなる。そして、時刻t1の時に、自車が、位置(xa1、ya1)、(xb1、yb1)にそれぞれ移動したとすると、この場合の位置の差分dは、以下の数式1で表すことができる。
Figure 0006875240
例えば、切替部17では、数式1による算出結果から、時刻t1における保持制御情報L11に基づく位置(xa1、ya1)と、安全運転制御情報L8に基づく位置(xb1、yb1)との差分が、一定の閾値dth(例えば、0.5m)以上になると判断した場合、保持制御情報L11から安全運転制御情報L8への切り替えに伴う自車の運動制御が大きくなると判断し、安全運転制御情報L8(第2制御の出力)による制御に切り替えず、保持制御情報L11(第1制御の出力)による制御を行う。
つまり、差分dが所定の閾値dthよりも大きい場合、制御システム1に何らかの異常があった場合でも、車両100は、安全運転制御情報L8(縮退機能)に基づく軌道1002には進まず、保持制御情報L11(主機能)に基づく軌道1001を走行することとなる。
そして、所定の周期で、差分dと所定の閾値dthとの比較を行い、差分dが閾値dth以下となった時点で、安全運転制御情報L8(縮退機能)に基づく軌道1002に進むこととなる。実施の形態では、車両100が、主機能に基づく軌道1001に進み、右車線に入った後、差分dが閾値dth以下になった時点で、縮退機能に基づく軌道1002で走行する(例えば、右車線に沿って走行しつつ緩やかに減速するなど)。
前述した実施の形態では、時刻t1における絶対距離での比較を行ったが、例えばx軸(車両100の進行方向)またはy軸方向(車両100の進行方向と直交方向)の位置関係のみで判断してもよい。例えば車両100のx軸方向の位置のみで判定することで、車両100の車線上の位置が異なる場合にのみ出力値が乖離すると判定することができる。また、車両100のy軸方向の位置のみで判定することにより、加減速度が大きく異なる場合にのみ制御出力値が乖離すると判定することができる。
また、前述した実施の形態では、制御システム1(1A)では、切替部17が、車両100の位置情報による差分dにより制御出力の切り替え判定を行う場合を例示して説明したが、これに限定されるものではなく、例えば、切替部17は、速度情報、加速度情報に基づいて判定してもよい。それぞれの情報を比較することで、例えば、速度情報が大きく乖離する場合にのみ第1制御の出力(自動運転制御情報L4又は保持制御情報L11)を使用することで、大きな速度変化(縦方向、横方向、または回転方向)が発生することを抑制することができる。同様に、加速度情報が大きく乖離する場合にのみ第1制御の出力(自動運転制御情報L4又は保持制御情報L11)を使用することで、大きな加速度変化(縦方向、横方向、または絶対値)が発生することを抑制することができる。
前述した制御システム1(1A)において、車両100の速度や加速度に基づいて比較判定する場合、それぞれのX成分、Y成分、または角速度方向の符号が異なる場合を閾値としても良い。速度や加速度のX成分、Y成分、または角速度方向の符号が異なる場合、一般的に車両100の運動制御が大きく異なることを意味し、これを判定として用いることは有効であり、また判定が容易となる。
制御システム1(1A)において、前述した以外の閾値の設定方法としては、例えば、車両100の速度変化がそれぞれで大きく、車両100の運動制御が不安定(例えば、スピン、スリップ)となることが想定される運動の限界値を閾値として設定してもよい。これにより、車両100の運動制御の安全性を確実に確保することができる。
また、切替部17の出力方式として、ここではスイッチの様に切り替える方式について説明したが、例えば、時刻情報に合わせて徐々に出力を切り替えてもよい。例えば、第1制御の出力(自動運転制御情報L4又は保持制御情報L11)から第2制御の出力(安全運転制御情報L8)へ切り替える際に、切り替えが終了する途中では中間値(平均値等)を出力し、その後、第2制御の出力へ切り替える。このようにすることにより、制御出力の切替時の大きな変動を抑制させることが可能となる。
また、それぞれの時刻情報は、厳密に一致している必要は無く、例えば、時刻t0とt1の中間の値は平均を取る(例えば、(xa0+xa1)/2)など補正して比較してもよい。これにより生成した時刻情報にずれや軌道情報に不足があった場合でも、適切に判定を行うことができる。
また、第1制御の出力が、例えば、保持制御情報L11である場合、時系列で保持制御情報L11と第2制御の出力(安全運転制御情報L8)との比較を行った結果、車両100の位置や速度などの差分が、保持している保持制御情報L11の期間内で所定値以下とならないと判断された場合には、保持制御情報L11の範囲内で、差分が最小値となった時点で制御出力の切り替え(安全運転制御情報L8への切り替え)を行う。これにより、制御システム1Aでは、保持制御情報L11の範囲内で最も運動制御への影響が小さくなる時点での制御出力の切り替えが可能となり、運転者の違和感を極力少なくすることができる。
また、前述した異常検出部16による異常検出の結果、異常検出部16が、当該異常が過渡的なものであると判定した場合、過渡的な異常から復帰すると予想される時間(例えば、部分的な再起動の所用時間)以内であれば、前述した制御出力の判定方法による判定の結果、差分が所定値以下であった場合でも、切り替えを実施せず第1制御の出力(自動運転制御情報L4又は保持制御情報L11)に基づいて処理を継続してもよい。これにより、過渡的な異常の場合の不要な切り替えを防ぐことができる。
また、さらに過渡的な異常等により、第2制御の出力(安全運転制御情報L8)に切り替えた後に、元の第1制御の出力(自動運転制御情報L4又は保持制御情報L11)へ再度切り替える場合、前述と同様の制御出力の判定方法による判定を行って元の制御出力に切り替えることにより、同様に過渡的な第2制御の出力(安全運転制御情報L8)から第1制御の出力(自動運転制御情報L4又は保持制御情報L11)に切り替える際の運動制御の安定性を確保することができる。
また、前述した実施の形態では、制御システム1(1A)において、安全制御部19が1つの場合を例示して説明したが、多重系などで安全制御部19を並列に複数有していてもよい。例えば、制御システムでは、安全制御部19Aと安全制御部19Bの2個の安全制御部を有し、主機能に障害が発生した場合は、優先度に従い安全制御部19Aを使用し、安全制御部19Aにも異常が発生した場合には安全制御部19Bにさらに切り替えることにより信頼性を向上させることができる。
このように構成すると、例えば、第1制御の出力と、第2制御の出力である安全制御部19Aの制御出力(安全運転制御情報L8A)について、前述した制御出力の比較方法で判定を行った結果、差分が所定値以下とならなかった場合、次に、第1制御の出力と、第2制御の出力である安全制御部19Bの制御出力(安全運転制御情報L8B)について、前述した制御出力の比較方法で判定を行った結果、差分が所定値以下となった場合、当該制御出力を使用することができる。
これにより、安全を考慮して多重系とした複数の制御出力の中から、より運動制御の差分が小さく、運動制御の観点で安全性が高い出力を選択することも可能となる。
よって、自動運転の制御出力を切り替える際に、自動運転制御情報による運動制御の結果が時系列で大きく変動する場合の出力を抑制し、運動制御等の観点から安全に、縮退系等の異なる制御出力へ切り替えることができる。
以上説明した通り、実施の形態では、
(1)車両100(移動体)の運動を通常制御するための自動運転制御情報L4(第1制御情報)を生成する自動運転制御部12(第1の制御部)と、車両100の運動を非通常制御するための安全運転制御情報L8(第2制御情報)を生成する安全制御部19(第2の制御部)と、自動運転制御情報L4と安全運転制御情報L8の何れか一方を出力する切替部17とを有し、切替部17は、自動運転制御情報L4と安全運転制御情報L8との差分dが所定の閾値dth以下である場合(d≦dth)、安全運転制御情報L8を出力する構成とした。
このように構成すると、切替部17は、自動運転制御情報L4と安全運転制御情報L8との差分dが十分に小さい場合に、非通常制御のための安全運転制御情報L8を出力する。よって、例えば、切替部17は、車両100の制御システム1の一部に不具合が発生した場合に、複数の機能(自動運転制御部12、安全制御部19)から出力された複数の制御出力(自動運転制御情報L4、安全運転制御情報L8)の中から、より安全性が保たれる制御出力を選択できる。
また、切替部17は、自動運転制御情報L4と安全運転制御情報L8との差分dが十分に小さい場合に、安全運転制御情報L8を出力するので、車両100の運動を安全運転制御情報L8に基づいて制御しても、運転者に切り替え時の衝撃等の違和感を与えず、安心、安全に車両100の運動を制御できる。
(2)また、自動運転制御情報L4と安全運転制御情報L8は、経時的な時刻情報(例えば、t0、t1、t2、・・・、tn)を含み、切替部17は、同じ時刻情報(例えば、t1)における自動運転制御情報L4と安全運転制御情報L8との差分d(例えば、距離、速度、加速度、ヨーレート等の差分)が所定の閾値dth以下である場合(d≦dth)、安全運転制御情報L8を出力する構成とした。
このように構成すると、切替部17は、同じ時刻における自動運転制御情報L4と安全運転制御情報L8との差分に基づいて判断することで、同じ基準で判断でき、自動運転制御情報L4と安全運転制御情報L8のどちらを出力するかの判断を適切に行うことができる。
(3)また、切替部17による差分dとの判断に用いる閾値dthは、差分dの符号の逆転(プラス、マイナス)、又は車両100の運動の限界値(例えば、車両100がスピン、スリップしてしまう運動の限界値)である構成とした。
このように構成すると、閾値dthを差分dの符号の逆転や、車両100の運動の限界値としても、切替部17による自動運転制御情報L4と安全運転制御情報L8との差分dと閾値dthとの比較を適切に行うことができる結果、車両100の運動の安全性を維持しつつ、運転者への切り替え時の衝撃等の違和感を少なくすることができる。
(4)また、切替部17は、経時的に取得された差分dの全てが所定の閾値dth以下でない場合、差分dが最も小さくなる時刻情報以降では、安全運転制御情報L8を出力する構成とした。
このように構成すると、切替部17は、差分dが所定の閾値dth以下とならない場合でも、差分dが最小となる時点で、安全運転制御情報L8を出力するので、運転者の切り替え時の違和感を最小限に抑えつつ、安全運転制御情報L8に基づく車両100の安全運転を確実に行うことができる。
(5)また、車両100の運動を制御するための安全運転制御情報L8B(第3制御情報)を生成する安全制御部19B(第3に制御部)を有し、切替部17は、保持制御情報L11(第1制御情報)と安全運転制御情報L8A(第2制御情報)との差分と、保持制御情報L11(第1制御情報)と安全運転制御情報L8B(第3制御情報)との差分とを比較し、保持制御情報L11との差分がより小さくなる方の安全運転制御情報L8Aまたは安全運転制御情報8Bを出力する構成とした。
このように構成すると、安全制御部19(所定の制御部)を多重化した場合、最も、差分の小さくなる安全制御部19の制御出力に基づいて、車両100の運動制御を行うことができる。よって、制御部を多重化して安全性を向上させつつ、制御の切り替え時の衝撃(切替段差)をより少なくすることができる結果、運転者への違和感もより少なくすることができる。
[第2の実施の形態]
前述した実施の形態では、制御システム1(1A)は、運動制御部18への制御出力を自動運転制御部12又は安全制御部19で生成する場合を例示して説明したが、制御出力の生成はこれに限定されるものではない。例えば、何れかの制御部の車両100を主機能で運動させる本来の制御プログラムを、縮退機能で運動させる代替プログラムに置き替えても(再配置しても)よい。
以下の第2の実施の形態では、安全制御部19が有する制御プログラムを、代替プログラムで置き替える(再配置する)場合を例示して説明する。この場合、安全制御部19では、置き替えられた代替プログラムに従って、車両100を縮退機能で運動させる制御出力を生成する。
図12は、第2の実施の形態にかかる制御システム1B全体の機能構成を説明するブロック図である。
図13は、再構成管理部41の機能構成を説明するブロック図である。
図14は、再構成実行部42の機能構成を説明するブロック図である。
図12に示すように、制御システム1Bでは、前述した実施の形態の制御システム1Aの構成に加えて、再構成管理部41と再構成実行部42とを有し、再構成実行部42が、制御システム1Bの故障発生時に制御プログラムを代替プログラムに置き替える(再構成)する点が、前述した実施の形態の制御システム1Aと異なる。
第2の実施の形態では、再構成された代替プログラムに基づく、縮退機能での車両100の運動制御が、非通常制御に相当する。
実施の形態では、再構成管理部41と再構成実行部42とは、それぞれ異なるECU3(図7参照)に配置されている。例えば、再構成管理部41は、統合認識部11と自動運転制御部12と同じECU3に配置されており(図7参照)、再構成実行部42は、切替部17と運動制御部18と同じECU3に配置されている(図7参照)。
これにより、例えば、自動運転制御部12が配置されているECU3に何らかの故障が発生した場合、再構成管理部41が、再構成実行部42の配置されているECU3に代替プログラムを配置することで、故障の発生していないECU3(再構成実行部42の配置されたECU3)において、再構成実行部42による代替プログラムの実行が可能となる。
再構成管理部41は、異常検出部16に接続されており、異常検出部16で検出された異常検出情報L5に基づいて、代替プログラム(縮退機能を実現するプログラム)を準備する。
図13に示すように、再構成管理部41は、制御状態監視部411と、制御状態判定部412と、情報通知部413と、代替プログラム取得部414と、代替プログラム送信部415と、異常時制御決定部416とを有している。
制御状態監視部411は、自動運転制御部12等から現在の車両100の制御状態を取得し、取得した車両100の制御状態を制御状態判定部412に送信する。
制御状態判定部412は、制御状態監視部411から取得した車両100の制御状態に基づいて、何れの制御部(ECU3)にどの代替プログラムを配置するかという再構成の方針を決定する。
情報通知部413は、制御状態判定部412で決定された再構成に関する情報を、出力管理部14又は通知管理部15の何れか一方又は両方に通知する。
代替プログラム取得部414は、代替プログラムを再構成管理部41が配置された何れかのECU3、又はCAN99等の車載ネットワークや通信装置5等を介し、異なる場所の記憶領域(クラウドネットワーク、ROM、HDD、RAMなど)から取得する。
代替プログラム送信部415は、代替プログラム取得部414で取得した代替プログラムを、再構成実行部42に送信する。
異常時制御決定部416は、制御システム1Bに何らかの異常が発生した場合、制御出力を後述する異常時制御決定方法に従い決定する。
次に、図14に示すように、再構成実行部42は、代替プログラム受信部421と、代替プログラム配置部422と、配置完了通知部423と、再構成指示受信部424と、代替プログラム実行部425とを有する。
代替プログラム受信部421は、再構成管理部41の代替プログラム送信部415から送信された代替プログラムを受信する。
代替プログラム配置部422は、受信した代替プログラムを、再構成実行部42が配置された何れかのECU3の所定の記憶領域(ROM、RAMなど)に配置する。
配置完了通知部423は、代替プログラム配置部422による代替プログラムの所定の記憶領域への配置が完了したことを、再構成管理部41に通知する。
再構成指示受信部424は、再構成管理部41から代替プログラムの受信指示又は実行指示を受け付ける。
代替プログラム実行部425は、所定の記憶領域に配置された代替プログラムを実行する。
前述した再構成管理部41及び再構成実行部42の内部の各部はそれぞれに通信を行い、必要な情報や指示をやり取りする。また再構成管理部41と再構成実行部42の機能分担については、前述した実施の形態に限ることはなく、例えば、代替プログラムの取得は再構成管理部41でなく再構成実行部42が直接実行してもよい。その場合、再構成管理部41による代替プログラムの送受信処理が不要となり、処理負荷を低減できる。
[車両制御状態]
次に、車両制御状態について説明する。
車両制御状態とは、車両100の制御システム1Bの制御の状態を示す。例えば、自動運転状態のON/OFF(OFFでは運転者が操作し、システムがアシストを行う、もしくはシステムは制御を行わない)、一般道または高速道を走行、自動駐車中のON/OFF、走行速度(低速、中速、高速)、運転者の状態(運転操作可能または困難)、天候など自動運転が困難な状況(強雨、霧、逆光、地図に無い道等)、などを表す。
制御システム1Bでは、これら車両制御状態に応じて、代替機能が必要なECU3、または機能代替が可能なECU3が変更となる。例えば、自動駐車を行っていない場合には、自動駐車がその機能を実現するために必要となるCPU、ROM、RAM等のリソースが一時的に不要となり、その領域に代替プログラムを配置しておく。また、他の例では、一般道を自動運転中では使用しない統合認識部11や自動運転制御部12のリソースに配置をしておく。
車両制御状態及び/又は要求安全レベルに応じて前記代替プログラムや配置ECUを変更することにより、車両制御状態に合わせた最適な代替制御を実行することができる。
[再構成処理シーケンス]
次に、前述した第2の実施の形態における制御システム1Bにおける、再構成処理のシーケンスを説明する。
図15は、前述した第2の実施の形態における制御システム1Bにおける、再構成処理のシーケンスを説明する図である。
第2の実施の形態では、ECU3A(例えば、図1に示すCPU3Aに相当)が、代替プログラムによる再構成指示を行う再構成管理部41と、故障が発生する制御部(例:自動運転制御部12)とを有する場合を例示して説明する。
また、ECU3B(例えば、図1に示すCPU3Bに相当)は、再構成管理部41で再構成された代替プログラムを実行する再構成実行部42を有し、代替制御を実施するECU3B、ECU3Cが通常時にECU3Aから制御を受けている場合を例示して説明する。
通常時の車両100の走行において、ECU3Aは、通常制御を実行するための制御出力をECU3Cに対して出力する(S1301)。またECU3Bも通常時にECU3Cに対して通常制御を実行するための制御出力を出力している(S1302)。
その後、車両100が走行を続け、車両制御状態が変更になるなど代替プログラムが変更となった場合、ここではECU3Aの自動運転制御部12がそれを判断し、再構成管理部41に対して、車両制御状態の変更を通知する(S1303)。
ECU3Aにおいて、通知を受けた再構成管理部41は、代替プログラムを自ら取得する。又は、再構成管理部41は、何れかの他のECU3B、3C又はストレージ(HDD等)に対して、代替プログラムを出力するように指示を行う(S1304)。
この場合、再構成管理部41による代替プログラムの取得先は、車両100の制御システム1B内部の何れかのECU、もしくはストレージ(HDD等)、又は通信装置5やGW97を介して制御システム1Bの外部装置から取得する。もしくはECU3A内など、機能代行を依頼するECUにあらかじめ保持しておく。
代替プログラムを取得した(S1305)ECU3Aは、故障時に機能代行を行うECU3Bに、再構成管理部41が取得した代替プログラムを送信する(S1306)。代替プログラムを受信したECU3Bは、再構成実行部42により代替プログラムを配置する。また、ECU3Bは、全ての代替プログラムを受信および配置が完了した時点で配置完了の通知を行う(S1307)。ECU3Aは、再構成の管理を行いながら、通常時の制御を継続して実施する(S1308)。
その後、ECU3Aで故障が発生した場合(S1309)、例えば、制御システム1の異常検出部16により当該故障を検出し、ECU3Bに対して故障発生の通知を行う。又は、ECU3Bは通信が途絶したことを契機として、異常を検出する(S1310)。
故障を認識したECU3Bは、再構成実行部42で保持していた代替プログラムの実行を開始する(S1311)。その時点で制御を引き継ぎ、ECU3BからECU3Cに対して代替プログラムに基づく制御(非通常制御)を実施する(S1312)。このようにして機能の代替を実施する。
一方、故障が発生する前に車両制御状態が変更になった場合(S1313)、前記と同様に再構成管理部41が自動運転制御部12などから通知を受け、ECU3Bに対して代替プログラムが不要である情報を含む状態変更通知を行う(S1314)。
ECU3Bは、状態変更通知を受けたことを契機として、再構成実行部42で保持していた代替プログラムを破棄する(S1315)。その後、必要に応じてECU3Bは、通常の制御プログラムに基づく通常時の制御を実施する(S1316)。
このようにして車両制御状態に応じて代替処理用の代替プログラムをあらかじめECU3Bに配置し、故障が発生した場合には代替プログラムに切り替える。
これら再構成については、例えば安全制御部19の再構成について実施される。これにより、例えば、図9の切替部17による制御フローにおいて、第1制御の出力を自動運転制御情報L4、第2制御の出力を再構成した安全制御部19の安全運転制御情報L8とすることにより、自動運転制御情報L1から安全制御部19の安全運転制御情報L8への切り替えについて、運動情報の差分が小さくなる時点で切り替え、安全性を向上させることができる。
[切替部における制御情報切替処理]
次に、第2の実施の形態の切替部17の制御情報切替処理を説明する。
図16は、第2の実施の形態の切替部17の制御情報切替処理のフローチャートである。
第2の実施の形態の切替部17の制御情報切替処理では、再構成が完了したか否かを判定する再構成完了判定処理(ステップS1401)を有している点が、前述した制御情報切替処理(図6参照)と主に異なる点である。
ステップS1401において、制御システム1Bの切替部17は、異常検出部16から異常検出の通知を取得した後、再構成(再構成管理部41による代替プログラムの置き替え)が完了しているか否かを判定し、再構成が完了していないと判定した場合(ステップS1401:No)、ステップS1405に進み、再構成した制御出力を使用することができないため、制御情報保持部40から取得した保持制御情報L11を、運動制御部18に出力する。
切替部17は、再構成が完了しいると判定した場合(ステップS1401:Yes)、ステップS1402に進み、再構成実行部42から取得した再構成した制御出力と、制御情報保持部40から取得した保持制御情報L11との比較を行い、ステップS1403において、比較結果の差分dが所定の規定値(閾値dth)以下か否かの判定を行う。
切替部17は、差分dが所定の閾値dth以下であると判定した場合(ステップS1403:Yes)、ステップS1404に進み、再構成された制御出力(車両100の運動を縮退機能で制御するための安全運転制御情報L8)を運動制御部18に出力し、差分dが所定の閾値dth以下でないと判定した場合(ステップS1403:No)、ステップS1405に進み、保持制御情報L11を、運動制御部18に出力する。
以上説明した通り、第2の実施の形態では、
(5)車両100の運動を制御するための代替プログラムを有する再構成管理部41と、再構成実行部42(再構成管理部41と再構成実行部42とを合わせて、本発明の再構成部を構成する)とを有し、安全制御部19は、主機能を発揮する制御プログラムに代えて、再構成実行部42が有する代替プログラムに基づいて、車両100を制御する構成とした。
このように構成すると、安全制御部19は、通常の主機能を発揮する制御プログラムに代えて、縮退機能を発揮する代替プログラムで車両100を制御することができるので、自動運転制御部12に何らかの不具合(故障)が発生した場合でも、代替プログラムに基づいて、車両100の安全制御を適切に行うことができる。
(6)また、切替部17は、安全制御部19が、通常の主機能を発揮する制御プログラムに代えて、代替プログラムを用いて安全制御情報L8(制御出力)を生成する準備が完了していない場合、制御情報保持部40で保持された保持制御情報L11を出力する構成とした。
このように構成すると、切替部17は、代替プログラムによる制御の準備が完了する前であっても、車両100の制御を停止することなく、適切に行うことができる。
[第3の実施の形態]
なお、前述した制御システムにおいて、車両100が緊急状態か否かを判定し、その判定結果に基づいて、切替部17による制御情報切替処理を実行してもよい。
次に、第3の実施の形態にかかる制御システム1Cを説明する。
図17は、第3の実施の形態にかかる制御システム1C全体の機能構成を説明するブロック図である。
図18は、第3の実施の形態の制御システム1Cによる車両制御の一例を説明する図である。
制御システム1Cでは、前述した制御システム1Bの構成に加え、車両100の緊急状態を判定する緊急制御部43をさらに有している点が、前述した制御システム1Bと異なる。
緊急制御部43は、複数の検知装置80に接続されており、この検知装置80で検知した車両100の周囲状況L1に基づいて、車両100が緊急状態であるか否かの判定を行う。そして、緊急制御部43は、緊急状態であると判定した場合、車両100の緊急状態を回避するための緊急制御情報L12(例えば、車両100を路肩に寄せながら減速して、路肩で停止させる制御情報)を、切替部17に出力する。
実施の形態では、緊急制御部43は、360°カメラ87やソナー84等で検知した車両100の周囲状況L1から相対情報を取得し、この相対情報に基づいて車両100が緊急状態か否かを判定する。
ここで、相対情報とは、外界認識情報のうち、特に検知装置80から取得可能な情報であり、周辺オブジェクトと自車両との相対位置および相対速度、相対加速度、およびそれら値から演算可能な値の何れかの情報の組み合わせである。
相対情報の例を図18に示す。ここでは、検知装置80により先行車101を認識している例を示している。
図18の(a)では、前方に先行車101が存在しており、相対位置として距離をla、自車(車両100)の水平右方向を0度とした角度をθa、相対速度をdvaとする。
相対速度は、自車(車両100)と先行車101(オブジェクト)が近づく、又は離れる速度を示している。図18の(a)では、自車(車両100)から先行車101への方向と双方の進行方向が同一のため、先行車101と自車の速度の差分で表せる。
図18の(b)では、自車から先行車101への方向と双方の進行方向が同一で無い場合、それぞれの速度を自車から先行車101への方向の直線に射影し、差分を計算することにより、相対速度dvbを求めることができる。ここでは、相対速度が正の場合には自車から先行車101が遠ざかっていることを示し、負の場合には自車に先行車101が近づいていることを示す。図示しないが、相対加速度については相対速度の時間変化であるため、観測した速度の変化から計算することができる。
相対位置の表現方法は、相対距離と角度の他に、自車を原点とした座標系で表してもよい。例えば、図18において、自車を原点とし、自車の前後方向をy座標かつ前方を正、左右方向をx座標かつ右を正とし、(rxa、rxy)で表すことができる。
[緊急制御]
次に、相対情報に基づく緊急制御の一例を説明する。
制御システム1Cの緊急制御部43は、検知装置80から取得する自車(車両100)の状態に基づいて駆動制御情報を作成する。
図18に示すように、自車(車両100)の前方にオブジェクト(先行車101)が存在し、相対情報における相対位置(距離)が一定値を下回った場合には自車に対して減速する制御を行う。そのため、緊急制御部43は、相対情報及び検知装置80から取得した自車の状態を判定し、減速を行うための駆動制御情報を切替部17に対して出力する。
また、自車と先行車101との相対位置が一定値を上回る場合には、同様にして自車に対して加速の制御を行うための駆動制御情報を出力する。このように、緊急制御部23は、前方の先行車101に対して相対位置が一定量を上回る又は一定量を下回ることの無いように、加速又は減速の制御を行う。
自車の後方に先行車101が存在している場合にも同様に、緊急制御部43は、相対位置が一定量を上回る、又は一定量を下回ることの無いように制御を行う。
また、相対位置のみでなく、相対速度および相対加速度に基づき判定を行ってもよい。例えば、前方に先行車101が存在しており、相対位置が同様でも相対速度又は相対加速度により自車に接近する可能性が高い場合には減速の制御を行う。
上記判断のためのリスク値の計算式は、リスク値をR、相対距離をdl、相対速度をdv、相対加速度をda、として以下の数式2で表せる。ここでA、B、Cは定数である。
Figure 0006875240
リスク値Rを用いた計算でも相対位置による判定と同様に、リスク値Rが一定量を上回ることの無いように加速又は減速の制御を行う。このように相対速度と相対加速度を用いて判定を行うことにより、同一相対位置でもよりリスクが高い状況(先行車101が自車に接近等)を発生することを抑制し、安全を確保することができる。前述した緊急制御部23による判定及び加減速の制御により、相対情報に基づいた制御が可能となる。
また、前後に同時に他車両が存在する場合には、相対位置が近い方から離れるように制御を行う。例えば、前方の他車両の方が近接している場合には減速、または後方の他車両の方が近接している場合には加速の制御を行う。
また、前後方向のみでなく、左右方向についても、相対位置から認識し、他車両が存在していない方向に操舵を行い、例えば、前後方向への衝突を回避する制御を行う。そのための目標ヨーレートについても上記駆動制御情報を含み、緊急制御部43が切替部17に対して出力を行う。
<緊急制御を含む切替部の制御情報切替処理>
次に、第3の実施の形態の切替部17の制御情報切替処理を説明する。
図19は、第3の実施の形態の切替部17の制御情報切替処理のフローチャートである。
ステップS1701において、制御システム1Cの切替部17は、緊急制御部43からの緊急制御情報L12(制御出力)を受信したか否かを判定し、緊急制御部43からの緊急制御情報L12を受信したと判定した場合(ステップS1701:Yes)、ステップS1706に進み、緊急制御部43から受信した緊急制御情報L12を、運動制御部18に出力する。
切替部17は、受信した制御出力が、緊急制御部43からの緊急制御情報L12でないと判定した場合には(ステップS1701:No)、ステップS1702に進み、以下第1の実施例の場合と同様に、第1の制御出力と、第2の制御出力を比較する。
そして、ステップS1703において、切替部17は、ステップS1702での比較の結果の差分dが、所定の規定値(閾値dth)以下か否かを判定し、所定の規定値(閾値dth)以下であると判定した場合(ステップS1703:Yes)、ステップS1705に進み、第2制御の出力(例えば、安全運転制御情報L8)を、運動制御部18に出力する。
一方、切替部17は、差分dが所定の規定値(閾値dth)以下でないと判定した場合(ステップS1703:No)、そのままでは、制御の切り替え時の衝撃が大きくなり、制御の切り替えができないので、ステップS1704に進み、第1制御の出力(例えば、保持制御情報L11)を、運動制御部18に出力する。
このように、制御出力の切り替え時に運動制御の出力を比較して判定する場合でも、周囲の状況が変更になったなど緊急性の高い処理が必要な場合には優先して制御を実施することができる。
なお、前述した実施の形態では、安全制御部19と緊急制御部43を異なる機能ブロックとした場合を例示して説明したが、これらを同じ機能ブロックとし、例えば、安全制御部19の制御出力に、緊急制御である旨の情報を追加しても良い。このように構成すると、機能ブロックの削減と、判定の容易化が可能となる。
以上説明した通り、第3の実施の形態では、
(7)車両100の緊急制御を行う緊急制御部43を有し、切替部17は、緊急制御部43で生成された緊急制御情報L12を取得した場合、自動運転制御部12で生成された自動運転制御情報L4、安全制御部19で生成された安全運転制御情報L8、又は制御情報保持部40で保持された保持制御情報L11に代えて、緊急制御情報L12を優先的に出力する構成とした。
このように構成すると、切替部17は、車両100が緊急状態となった場合、他の制御情報に代えて、車両100の緊急状態を回避するための緊急制御情報L12を出力するので、この緊急制御情報L12に基づいて、車両100の緊急状態の回避を迅速かつ確実に行うことができる。
[第4の実施の形態]
次に、前述した実施の形態の自動運転制御情報に基づく制御、または相対情報に基づく制御から、ユーザによる制御について切り替える(オーバーライドする)場合の一例を説明する。
この第4の実施の形態にかかるユーザ入力部13は、ユーザの運転操作の開始動作(例えばペダルを踏む、ステアリングを操作する、自動運転終了のボタンを押す、等)を、入力装置8を介して検出し、切替部17に通知する。切替部17は、ユーザの運転操作の開始動作の通知を受け、後述するユーザ制御切り替え判定処理を行う。
[ユーザ制御切り替え判定処理]
次に、第4の実施の形態の切替部17のユーザ制御切り替え判定処理を説明する。
図20は、第4の実施の形態の切替部17のユーザ制御切り替え判定処理のフローチャートである。
ステップS1801において、切替部17は、前述した第1の実施の形態の切替部17での制御情報切替処理(ステップS101)と同様に、制御システムによる制御出力(例えば、保持制御情報L11)と、ユーザ操作による制御出力(例えば、ユーザ操作入力)を比較する。
実施の形態では、制御システムによる制御出力が第1制御の出力に相当し、ユーザ操作による制御出力が第2制御の出力に相当する。
ステップS1802において、切替部17は、ステップS1801での比較の結果の差分dが、所定の規定値(閾値dth)以下であるか否かを判定し、所定の規定値(閾値dth)以下であると判定した場合(ステップS1802:Yes)、制御を安全に切り替えられるため、ステップS1804に進み、ユーザ操作による制御出力を、運動制御部18に出力する。
一方、切替部17は、ステップS1801での比較の結果の差分dが、所定の規定値(閾値dth)以下でないと判定した場合(ステップS1802:No)、そのままでは、制御の切り替え時の衝撃が大きくなる結果、制御を安全に切り替えられないため、ステップS1803に進み、ユーザ操作に切り替えず、そのまま制御システムによる制御出力を、運動制御部18に出力する。
前述したように、ユーザ操作の入力があり制御を切り替える場合、車両100の制御システムによる時系列の操作と、ユーザ操作の入力で運動制御の大幅な違いがあった場合には制御を切り替えないため、不安全な運動制御状態を避け、安全に制御を切り替えることが可能となる。
また、前述した第4の実施の形態の制御システムにおいても、第3の実施の形態の制御システムと同様に、緊急制御の入力があった場合には、図19に示す通り、第1制御の出力又は第2制御の出力より優先的に緊急制御の出力を優先して実施する。このように構成すると、危険な状況に対しては第1制御の出力又はユーザ操作より優先して緊急制御を実施することが可能となる。
前述したように、車両100の制御システム1において、自動運転の制御出力を切り替える際に、自動運転制御情報による運動制御の結果が時系列で大きく変動する場合の出力を抑制し、運動制御等の観点から安全に、縮退系等の異なる制御出力へ切り替えることが可能となる。
特に、保持制御情報L11から安全運転制御情報L8の出力に切り替える際に、時系列で比較し、安全に制御を切り替えることができる。
また、安全制御出力が再構成された制御出力の場合でも安全に制御を切り替えることができる。
また、安全制御出力として緊急制御の出力があった場合には、緊急制御の出力に対応し、周囲の環境の変化に合わせて安全に制御を切り替えることができる。
さらに、運転者の操作入力があった場合でも、故障の発生時など、運動制御が安定している範囲での切り替えを行うことができる。
以上説明した通り、第4の実施の形態では、
(8)安全運転制御情報L8は、ユーザ操作による操作制御情報である構成とした。
このように構成すると、切替部17は、自動運転制御情報L4に基づく車両100の自動運転中に、ユーザ操作による操作制御情報を受信した場合(オーバーライドした場合)、自動運転制御情報L4とユーザ操作による操作制御情報との差分dが所定の閾値dth以下である場合には、ユーザ操作による操作制御情報を出力するので、オーバーライド時のユーザ操作への切り替えを、スムーズに行うことができる。
以上、本発明の実施の形態の一例を説明したが、本発明は、前述した実施の形態を全て組み合わせてもよく、何れか2つ以上の実施の形態を任意に組み合わせても好適である。
また、前述した実施の形態では、制御システム1を車両100に適用した場合を例示して説明したが、車両100に限定されるものではなく、前述した制御システム1は、例えば、建設機械、エスカレータ、エレベータ、鉄道、船舶、航空機、ドローンなどの移動体全般に好適に適用することができる。
特に、有人の移動体(例えば、建設機械、エスカレータ、エレベータ、鉄道、船舶、航空機)の場合には、制御の切り替え時の衝撃が大きくなる場合には、制御の切り替えを行わず、規定値以下となる場合にのみ、制御の切り替えをおこなうようにしたので、運転者や乗員の制御切り替え時の違和感を小さくすることができ、安心、安全に運転することができる。
また、本発明は、前述した実施の形態の全ての構成を備えているものに限定されるものではなく、前述した実施の形態の構成の一部を、他の実施の形態の構成に置き換えてもよく、また、前述した実施の形態の構成を、他の実施の形態の構成に置き換えてもよい。
また、前述した実施の形態の一部の構成について、他の実施の形態の構成に追加、削除、置換をしてもよい。
1:制御システム
11:統合認識部
12:自動運転制御部
13:ユーザ入力部
14:出力管理部
15:通知管理部
16:異常検出部
17:切替部
18:運動制御部
19:安全制御部
2:AD1−ECU
3:VMC−ECU
31:CPU
32:CPU
33:メモリ
4:GW
40:制御情報保持部
41:再構成管理部
42:再構成実行部
43:緊急制御部
5:通信装置
6:他の車両制御システム
7:外部出力装置
8:入力装置
9:報知装置
80:検知装置
81、85:コーナライダ
82:コーナレーダ
83:フロントカメラ
84:ソナー
86:フロントレーダ
87:360°カメラ
90:駆動装置
91:ブレーキ
92:ステアリング
93:ECU
94:EMC
95:ATCU
971:ボディ
972:HMI
973:接続装置
974:情報提供装置

Claims (9)

  1. 移動体の運動を通常制御するための第1制御情報を生成する第1の制御部と、
    前記移動体の運動を非通常制御するための第2制御情報を生成する第2の制御部と、
    前記第1制御情報と前記第2制御情報の何れか一方を出力する切替部とを有し、
    前記第1制御情報と前記第2制御情報は、経時的な時刻情報を含み、
    前記切替部は、
    同じ時刻情報における前記第1制御情報と前記第2制御情報との差分が所定の閾値以下である場合、前記第2制御情報を出力し、経時的に取得された前記差分の全てが前記所定の閾値以下でない場合、前記差分が最も小さくなる時刻情報以降では、前記第2制御情報を出力する移動体の制御システム。
  2. 前記移動体の運動を制御するための代替プログラムを有する再構成部を有し、
    前記第1の制御部と前記第2の制御部とのうち、少なくとも何れか一方は、前記第1の制御部と前記第2の制御部を制御する主機能プログラムに代えて、前記再構成部が有する前記代替プログラムを用いて前記移動体を制御する請求項に記載の移動体の制御システム。
  3. 前記第1の制御部で生成された前記第1制御情報と前記第2の制御部で生成された第2制御情報とのうち、少なくとも何れか一方の制御情報を保持する制御情報保持部を有し、
    前記切替部は、
    前記制御情報保持部で保持された制御情報と、前記代替プログラムに基づいて、前記第1の制御部と前記第2の制御部との少なくとも何れか一方で生成された制御情報との差分が所定の閾値以下である場合、前記代替プログラムに基づいて生成された制御情報を出力する請求項に記載の移動体の制御システム。
  4. 前記切替部は、前記第1の制御部と前記第2の制御部とのうち、少なくとも何れか一方が、前記主機能プログラムに代えて、前記代替プログラムを用いて前記制御情報を生成する準備が完了していない場合、前記制御情報保持部で保持された制御情報を出力する請求項に記載の移動体の制御システム。
  5. 前記移動体の緊急制御を行う緊急制御部を有し、
    前記切替部は、前記緊急制御部で生成された緊急制御情報を取得した場合、前記第1の制御部で生成された第1制御情報、前記第2の制御部で生成された第2制御情報、または前記制御情報保持部で保持された制御情報に代えて、前記緊急制御情報を優先的に出力する請求項に記載の移動体の制御システム。
  6. 前記切替部による差分との判断に用いる前記閾値は、前記移動体の運動制御が不安定となることが想定される運動の限界値である請求項に記載の移動体の制御システム。
  7. 前記移動体の運動を制御するための第3制御情報を生成する第3の制御部を有し、
    前記切替部は、
    前記第1制御情報と前記第2制御情報との差分と、前記第1制御情報と前記第3制御情報との差分とを比較し、
    前記第1制御情報との差分がより小さくなる方の前記第2制御情報または前記第3制御情報を出力する請求項に記載の移動体の制御システム。
  8. 前記第2制御情報は、ユーザ操作による操作制御情報である請求項1に記載の移動体の制御システム。
  9. 経時的な時刻情報を含んでいて移動体の運動を通常制御するための第1制御情報と、経時的な時刻情報を含んでいて前記移動体の運動を非通常制御するための第2制御情報とを取得する制御情報取得ステップと、
    同時刻における前記第1制御情報と前記第2制御情報との差分を算出する差分算出ステップと、
    前記第1制御情報と前記第2制御情報との差分が所定の閾値以下である場合、前記第2制御情報を出力し、経時的に取得された前記差分の全てが前記所定の閾値以下でない場合、前記差分が最も小さくなる時刻情報以降では、前記第2制御情報を出力する制御情報出力ステップとを有する移動体の制御方法。
JP2017180904A 2017-09-21 2017-09-21 移動体の制御システムおよび移動体の制御方法 Active JP6875240B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017180904A JP6875240B2 (ja) 2017-09-21 2017-09-21 移動体の制御システムおよび移動体の制御方法
PCT/JP2018/032806 WO2019058962A1 (ja) 2017-09-21 2018-09-05 移動体の制御システムおよび移動体の制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017180904A JP6875240B2 (ja) 2017-09-21 2017-09-21 移動体の制御システムおよび移動体の制御方法

Publications (2)

Publication Number Publication Date
JP2019055673A JP2019055673A (ja) 2019-04-11
JP6875240B2 true JP6875240B2 (ja) 2021-05-19

Family

ID=65809714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017180904A Active JP6875240B2 (ja) 2017-09-21 2017-09-21 移動体の制御システムおよび移動体の制御方法

Country Status (2)

Country Link
JP (1) JP6875240B2 (ja)
WO (1) WO2019058962A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112334377B (zh) * 2018-07-03 2023-02-14 三菱电机株式会社 车辆控制装置
JP7057328B2 (ja) * 2019-08-28 2022-04-19 本田技研工業株式会社 車両制御装置、及び車両制御方法
JP6982108B2 (ja) * 2020-01-30 2021-12-17 本田技研工業株式会社 車両制御装置、車両制御方法およびプログラム
JP2023028829A (ja) * 2021-08-20 2023-03-03 株式会社日立製作所 制御装置、制御装置の制御方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4399987B2 (ja) * 2001-01-25 2010-01-20 株式会社デンソー 車両統合制御におけるフェイルセーフシステム
JP5625801B2 (ja) * 2010-11-22 2014-11-19 トヨタ自動車株式会社 車両挙動制御装置
JP5988560B2 (ja) * 2011-09-27 2016-09-07 本田技研工業株式会社 車体挙動安定化装置
JP5569626B1 (ja) * 2013-06-17 2014-08-13 日本精工株式会社 モータ制御装置、これを使用した電動パワーステアリング装置及び車両
JP2016037149A (ja) * 2014-08-07 2016-03-22 日立オートモティブシステムズ株式会社 車両制御システム、およびこれを備えた行動計画システム
JP2017119505A (ja) * 2015-12-25 2017-07-06 株式会社デンソー 車両制御装置

Also Published As

Publication number Publication date
JP2019055673A (ja) 2019-04-11
WO2019058962A1 (ja) 2019-03-28

Similar Documents

Publication Publication Date Title
US10946867B2 (en) Processing device and vehicle control system
JP6875240B2 (ja) 移動体の制御システムおよび移動体の制御方法
US11644831B2 (en) Multi-stage operation of autonomous vehicles
US11634149B2 (en) Method of using a single controller (ECU) for a fault-tolerant/fail-operational self-driving system
JP7171708B2 (ja) 複数の制御車線を用いた自律車両の耐障害制御
US20200017114A1 (en) Independent safety monitoring of an automated driving system
KR101470190B1 (ko) 자율주행 시스템의 고장 처리 장치 및 그 방법
US11724708B2 (en) Fail-safe handling system for autonomous driving vehicle
WO2020066304A1 (ja) 車載電子制御システム
CN110481565A (zh) 自动驾驶车辆的控制方法和自动驾驶车辆的控制装置
US10571910B2 (en) Vehicle control device
US11396301B2 (en) Vehicle control apparatus, vehicle control method, and non-transitory computer-readable storage medium storing program
US20220308577A1 (en) Virtual towing device, system, and method
JP6861302B2 (ja) 車両制御装置および電子制御システム
WO2020158342A1 (ja) 車両制御装置および車両制御システム
WO2023201563A1 (zh) 一种控制方法、装置和交通工具
WO2022080018A1 (ja) 自律走行制御システム
Bijlsma et al. In-vehicle architectures for truck platooning: The challenges to reach SAE automation level 3
WO2023004759A1 (zh) 故障检测方法、故障检测装置、服务器和车辆
US20240149911A1 (en) Dual control systems and methods for operating an autonomous vehicle
WO2020044891A1 (ja) 車両制御装置及び車両制御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200609

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200804

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201008

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210413

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210422

R150 Certificate of patent or registration of utility model

Ref document number: 6875240

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250