JP6987201B1 - Vehicle control device and vehicle control method - Google Patents

Vehicle control device and vehicle control method Download PDF

Info

Publication number
JP6987201B1
JP6987201B1 JP2020177280A JP2020177280A JP6987201B1 JP 6987201 B1 JP6987201 B1 JP 6987201B1 JP 2020177280 A JP2020177280 A JP 2020177280A JP 2020177280 A JP2020177280 A JP 2020177280A JP 6987201 B1 JP6987201 B1 JP 6987201B1
Authority
JP
Japan
Prior art keywords
unit
transmission
failure
calculation
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020177280A
Other languages
Japanese (ja)
Other versions
JP2022068538A (en
Inventor
恒毅 中村
篤志 吉川
徹 田仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2020177280A priority Critical patent/JP6987201B1/en
Application granted granted Critical
Publication of JP6987201B1 publication Critical patent/JP6987201B1/en
Publication of JP2022068538A publication Critical patent/JP2022068538A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

【課題】故障発生時において送信を切り替えるタイミングを適切化可能な技術を提供することを目的とする。【解決手段】車両制御装置は、AD制御及びADAS制御の少なくともいずれかを含む車両制御が可能である第1制御部と、第2システムに含まれ、車両制御が可能である第2制御部と、故障情報と送信情報とに基づいて、または、故障情報と送信情報と演算情報とに基づいて、第1システム送信から第2システム送信に切り替えるタイミングを変更する出力切替部とを備える。【選択図】図1PROBLEM TO BE SOLVED: To provide a technique capable of optimizing the timing of switching transmission when a failure occurs. A vehicle control device includes a first control unit capable of vehicle control including at least one of AD control and ADAS control, and a second control unit included in a second system and capable of vehicle control. It is provided with an output switching unit that changes the timing of switching from the first system transmission to the second system transmission based on the failure information and the transmission information, or based on the failure information, the transmission information, and the calculation information. [Selection diagram] Fig. 1

Description

本開示は、車両制御装置及び車両制御方法に関する。 The present disclosure relates to a vehicle control device and a vehicle control method.

近年、AD(Autonomous Driving)制御及びADAS(Advanced Driver Assistance System)制御などの車両制御を行うシステムについて様々な技術が提案されている。例えば、特許文献1には、2つのCPUで二重化した処理系において、どちらか一方のCPUが故障した際に、他方のCPUの送信(出力)を用いることで、一方の処理系が故障しても他方の処理系を用いて運行を継続できるというフェールセーフ化が図られた制御システムが提案されている。 In recent years, various technologies have been proposed for systems that control vehicles such as AD (Autonomous Driving) control and ADAS (Advanced Driver Assistance System) control. For example, in Patent Document 1, in a processing system duplicated by two CPUs, when one of the CPUs fails, the transmission (output) of the other CPU is used, so that one of the processing systems fails. However, a fail-safe control system has been proposed in which operation can be continued using the other processing system.

特許第6675487号公報Japanese Patent No. 6675487

特許文献1の制御システムでは、処理系を冗長化することによって、一方の処理系が故障した場合でも機能の継続が実現されている。しかしながら、当該制御システムでは、故障が発生すると、一方の処理系の送信から他方の処理系の送信に強制的に即座に切り替える。このため、適切に演算されたデータの送信途中であってもその送信を停止したり、切り替えが間に合わなかったりするため、アクチュエータ等の受信側でフェールが発生する場合があると考えられる。 In the control system of Patent Document 1, by making the processing system redundant, the continuation of the function is realized even if one of the processing systems fails. However, in the control system, when a failure occurs, the transmission of one processing system is forcibly and immediately switched to the transmission of the other processing system. For this reason, even during the transmission of appropriately calculated data, the transmission may be stopped or the switching may not be in time, so that a fail may occur on the receiving side of the actuator or the like.

そこで、本開示は、上記のような問題点を鑑みてなされたものであり、故障発生時において送信を切り替えるタイミングを適切化可能な技術を提供することを目的とする。 Therefore, the present disclosure has been made in view of the above-mentioned problems, and an object of the present disclosure is to provide a technique capable of optimizing the timing of switching transmission in the event of a failure.

本開示に係る車両制御装置は、第1システムに含まれ、AD(Autonomous Driving)制御及びADAS(Advanced Driver Assistance System)制御の少なくともいずれかを含む車両制御が可能である第1制御部と、第2システムに含まれ、前記車両制御が可能である第2制御部とを備え、前記第1制御部は、前記第1制御部の前記車両制御で用いられる指令値の演算処理を行う第1演算部と、前記第1演算部で得られる前記指令値の送信処理を行う第1通信処理部とを含み、前記第2制御部は、前記第2制御部の前記車両制御で用いられる指令値の演算処理を行う第2演算部と、前記第2演算部で得られる前記指令値の送信処理を行う第2通信処理部とを含み、前記第1システムの故障を検出する故障監視部と、前記第1システムの故障を示す故障情報と、前記第1通信処理部が送信処理中であるか否かを示す送信情報とに基づいて、または、前記故障情報と、前記送信情報と、前記第1演算部が演算処理中であるか否かを示す演算情報とに基づいて、前記第1システムの前記第1通信処理部を用いた前記指令値の送信である第1システム送信から、前記第2システムの前記第2通信処理部を用いた前記指令値の送信である第2システム送信に切り替えるタイミングを変更する出力切替部とをさらに備える。 The vehicle control device according to the present disclosure is included in the first system, and includes a first control unit capable of vehicle control including at least one of AD (Autonomous Driving) control and ADAS (Advanced Driver Assistance System) control, and a first control unit. The first control unit includes a second control unit included in the two systems and capable of controlling the vehicle, and the first control unit performs a first calculation process of a command value used in the vehicle control of the first control unit. The second control unit includes a unit and a first communication processing unit that performs transmission processing of the command value obtained by the first calculation unit, and the second control unit is a command value used in the vehicle control of the second control unit. A failure monitoring unit that detects a failure of the first system and includes a second calculation unit that performs arithmetic processing and a second communication processing unit that performs transmission processing of the command value obtained by the second calculation unit. Based on the failure information indicating the failure of the first system and the transmission information indicating whether or not the first communication processing unit is in the transmission process, or based on the failure information, the transmission information, and the first. From the first system transmission, which is the transmission of the command value using the first communication processing unit of the first system, based on the calculation information indicating whether or not the calculation unit is in the calculation process, the second system is transmitted. Further, an output switching unit for changing the timing of switching to the second system transmission, which is the transmission of the command value using the second communication processing unit of the system, is provided.

本開示によれば、第1システムの故障情報と、第1通信処理部の送信情報とに基づいて、第1システム送信から第2システム送信に切り替えるタイミングを変更する。このような構成によれば、故障発生時において送信を切り替えるタイミングを適切化することができる。 According to the present disclosure, the timing of switching from the first system transmission to the second system transmission is changed based on the failure information of the first system and the transmission information of the first communication processing unit. According to such a configuration, it is possible to optimize the timing of switching transmission when a failure occurs.

実施の形態1に係る車両制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the vehicle control device which concerns on Embodiment 1. FIG. 実施の形態1に係る車両制御装置の動作の概要を説明するための図である。It is a figure for demonstrating the outline of the operation of the vehicle control device which concerns on Embodiment 1. FIG. 実施の形態1に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on Embodiment 1. FIG. 実施の形態1に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on Embodiment 1. FIG. 変形例1−1に係る車両制御装置の動作の概要を説明するための図である。It is a figure for demonstrating the outline of the operation of the vehicle control device which concerns on modification 1-1. 変形例1−1に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-1. 変形例1−1に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-1. 変形例1−2に係る車両制御装置に関連する装置の動作の概要を説明するための図である。It is a figure for demonstrating the outline of the operation of the apparatus related to the vehicle control apparatus which concerns on modification 1-2. 変形例1−2に係る車両制御装置の動作の概要を説明するための図である。It is a figure for demonstrating the outline of the operation of the vehicle control device which concerns on modification 1-2. 変形例1−2に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-2. 変形例1−3に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-3. 変形例1−3に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-3. 変形例1−5に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-5. 変形例1−5に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-5. 変形例1−6に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 1-6. 実施の形態2に係る車両制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the vehicle control device which concerns on Embodiment 2. FIG. 実施の形態2に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on Embodiment 2. 実施の形態2に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on Embodiment 2. 変形例2−1に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 2-1. 変形例2−1に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 2-1. 変形例2−2に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 2-2. 変形例2−2に係る車両制御装置の動作を示すフローチャートである。It is a flowchart which shows the operation of the vehicle control device which concerns on modification 2-2.

<実施の形態1>
図1は、本実施の形態1に係る車両制御装置の構成を示すブロック図である。図1の車両制御装置は、ECU11を含む第1システムと、ECU21を含む第2システムとを備える。 <Embodiment 1>
FIG. 1 is a block diagram showing a configuration of a vehicle control device according to the first embodiment. The vehicle control device of FIG. 1 includes a first system including the ECU 11 and a second system including the ECU 21.

ECU11は、第1制御部であるCPU(Central Processing Unit)12と、第1故障監視部である故障監視部13と、通信回路14と、スイッチ15とを含む。ECU21は、第2制御部であるCPU22と、第2故障監視部である故障監視部23と、通信回路24とを含む。図1の車両制御装置では、CPU12及びCPU22の一方が故障した場合に他方を用いるフェールセーフ機能が実現さるように、ECU11及びECU21は互いに通信可能となっている。 The ECU 11 includes a CPU (Central Processing Unit) 12 which is a first control unit, a failure monitoring unit 13 which is a first failure monitoring unit, a communication circuit 14, and a switch 15. The ECU 21 includes a CPU 22 which is a second control unit, a failure monitoring unit 23 which is a second failure monitoring unit, and a communication circuit 24. In the vehicle control device of FIG. 1, the ECU 11 and the ECU 21 can communicate with each other so that a fail-safe function using the other when one of the CPU 12 and the CPU 22 fails is realized.

CPU12は、AD(Autonomous Driving)制御及びADAS(Advanced Driver Assistance System)制御の少なくともいずれかを含む車両制御が可能である。CPU22は、CPU12の車両制御と同様の車両制御が可能である。 The CPU 12 is capable of vehicle control including at least one of AD (Autonomous Driving) control and ADAS (Advanced Driver Assistance System) control. The CPU 22 can perform vehicle control similar to the vehicle control of the CPU 12.

ここで、SIP(戦略的イノベーション創造プログラム)自動走行システム研究開発計画(内閣府、2015年5月21日)には、自動車の自動運転の自動化レベル(自動運転レベル)について、次のように定義されている。 Here, the SIP (Strategic Innovation Creation Program) Automated Driving System Research and Development Plan (Cabinet Office, May 21, 2015) defines the automated driving level (automatic driving level) of automobiles as follows. Has been done.

レベル1:加速、操舵、制動のいずれかをシステムが行う状態
レベル2:加速、操舵、制動のうち複数の操作をシステムが行う状態
レベル3:加速、操舵、制動の全てをシステムが行い、システムが要請したときは運転者が対応する状態
レベル4:加速、操舵、制動の全てを運転者以外が行い、運転者が全く関与しない状態
なお、ここでいう「システム」とは、自動車が自律センサや通信等により得られる情報から道路環境などを判断し、自動車の加速、操舵、制動の全てまたは一部を行う仕組みを意味する。 Level 1: The system performs one of acceleration, steering, and braking Level 2: The system performs multiple operations of acceleration, steering, and braking Level 3: The system performs all of acceleration, steering, and braking, and the system When requested by the driver, the driver responds. Level 4: Acceleration, steering, and braking are all performed by a person other than the driver, and the driver is not involved at all. The "system" here means that the vehicle is an autonomous sensor. It means a mechanism that determines the road environment, etc. from information obtained by communication, etc., and performs all or part of acceleration, steering, and braking of the vehicle.

各レベルの定義から分かるように、自動車の運転権限は、レベル3以上ではシステム側にあり、レベル2以下では運転者側にある。レベル2以下の車両制御は、運転者の安全な運転を支援するものであり、「ADAS制御」と呼ばれる。ADAS制御よりもレベルが高い車両制御は、「AD制御」と呼ばれる。AD制御及びADAS制御は、例えば、自動ブレーキ制御、ACC(Adaptive Cruise Control)などの自動加減速制御、自動駐車制御、車線維持制御などを含む。 As can be seen from the definition of each level, the driving authority of the vehicle is on the system side at level 3 and above, and on the driver side at level 2 and below. Vehicle control of level 2 or lower supports the safe driving of the driver and is called "ADAS control". Vehicle control with a higher level than ADAS control is called "AD control". AD control and ADAS control include, for example, automatic brake control, automatic acceleration / deceleration control such as ACC (Adaptive Cruise Control), automatic parking control, lane keeping control, and the like.

以下の説明では、CPU12及びCPU22によって車両制御(AD制御、ADAS制御)が行われる車両を「自車両」と記すこともある。 In the following description, a vehicle whose vehicle control (AD control, ADAS control) is performed by the CPU 12 and the CPU 22 may be referred to as a "own vehicle".

CPU12は、第1演算部である演算部12aと、第1通信処理部である通信処理部12bとを含む。CPU22は、第2演算部である演算部22aと、第2通信処理部である通信処理部22bと、出力切替部22cとを含む。演算部12a,22aと、通信処理部12b,22bと、出力切替部22cとについては、後で詳細に説明する。 The CPU 12 includes a calculation unit 12a which is a first calculation unit and a communication processing unit 12b which is a first communication processing unit. The CPU 22 includes a calculation unit 22a which is a second calculation unit, a communication processing unit 22b which is a second communication processing unit, and an output switching unit 22c. The calculation units 12a and 22a, the communication processing units 12b and 22b, and the output switching unit 22c will be described in detail later.

故障監視部13は、第1システムの故障を検出する自己診断機能と、第1システムの動作と、第2システムの動作とを比較することで、第1システム及び第2システムのいずれかの故障を検出する相互診断機能とを有している。同様に、故障監視部23は、第2システムの故障を検出する自己診断機能と、第1システムの動作と、第2システムの動作とを比較することで、第1システム及び第2システムのいずれかの故障を検出する相互診断機能とを有している。 The failure monitoring unit 13 compares the self-diagnosis function for detecting the failure of the first system, the operation of the first system, and the operation of the second system with the failure of either the first system or the second system. It has a mutual diagnosis function to detect. Similarly, the failure monitoring unit 23 compares the self-diagnosis function for detecting the failure of the second system with the operation of the first system and the operation of the second system to determine which of the first system and the second system. It has a mutual diagnosis function to detect the failure.

自己診断は、例えば、いわゆるウォッチドッグタイマーを用いて実現される。相互診断は、例えば、第1システム及び第2システムのそれぞれにおいて、相互監視を目的とした同一のアプリ(プログラム)を実行して同一の演算を行い、両者の出力結果が一致するかどうかを確認することによって実現される。自己診断と相互診断とを行うことで、第1システム及び第2システムの故障状態の判定精度を高めることができる。 The self-diagnosis is realized by using, for example, a so-called watchdog timer. In the mutual diagnosis, for example, in each of the first system and the second system, the same application (program) for the purpose of mutual monitoring is executed to perform the same operation, and it is confirmed whether the output results of both are the same. It is realized by doing. By performing self-diagnosis and mutual diagnosis, it is possible to improve the accuracy of determining the failure state of the first system and the second system.

故障監視部13,23は、相互診断機能などによって、CPU12における複数種類の領域の故障を検出し、第1システムにおけるCPU12以外のハードウェア(H/W)の故障を検出する。複数種類の領域は、例えば、通信処理部12bの通信処理に関するメモリ領域などの通信領域、及び、演算部12aの演算処理に関するメモリ領域などの演算領域を含む。第1システムにおけるハードウェア(H/W)の故障は、例えば、電圧異常、通信回路のオープン及びショートを含む。H/Wの故障判定には、例えば、特許第4656421号に記載された、ショート故障及びオープン故障を判定する手法を用いてもよい。 The failure monitoring units 13 and 23 detect failures in a plurality of types of regions in the CPU 12 by a mutual diagnosis function or the like, and detect failures in hardware (H / W) other than the CPU 12 in the first system. The plurality of types of areas include, for example, a communication area such as a memory area related to the communication processing of the communication processing unit 12b, and a calculation area such as a memory area related to the calculation processing of the calculation unit 12a. Hardware (H / W) failures in the first system include, for example, voltage anomalies, communication circuit open and short circuits. For the H / W failure determination, for example, the method for determining a short failure and an open failure described in Japanese Patent No. 4656421 may be used.

同様に、故障監視部13,23は、相互診断機能などによって、CPU22における複数種類の領域の故障を検出し、第2システムにおけるCPU22以外のハードウェア(H/W)の故障を検出する。 Similarly, the failure monitoring units 13 and 23 detect failures in a plurality of types of regions in the CPU 22 by a mutual diagnosis function or the like, and detect failures in hardware (H / W) other than the CPU 22 in the second system.

故障監視部13,23は、以上の検出結果に基づいて、第1システムの故障を示す故障情報、CPU12,22における複数種類の領域の故障、ハードウェアの故障などを、出力切替部22cに出力する。 Based on the above detection results, the failure monitoring units 13 and 23 output failure information indicating a failure of the first system, failures of a plurality of types of areas in the CPUs 12 and 22, failures of hardware, and the like to the output switching unit 22c. do.

なお、故障監視部13,23による2重系システムの相互監視では、第1システム及び第2システムのどちらが壊れたか判定できない。そのため、3重系システムにして多数決をとってもよいし、後述するように第1システム及び第2システムの一方の判定を他方の判定よりも優先してもよい。また、2つの故障監視部(故障監視部13,23)の代わりに、故障監視部13,23の機能を有する1つの故障監視部が設けられてもよい。また、故障監視部13,23はECU11,21の外部に設けられてもよいし、CPU12,22内の機能として設けられてもよい。 In the mutual monitoring of the dual systems by the failure monitoring units 13 and 23, it is not possible to determine which of the first system and the second system is broken. Therefore, a majority vote may be taken in a triple system system, or the determination of one of the first system and the second system may be prioritized over the determination of the other, as will be described later. Further, instead of the two failure monitoring units (fault monitoring units 13, 23), one failure monitoring unit having the functions of the failure monitoring units 13 and 23 may be provided. Further, the failure monitoring units 13 and 23 may be provided outside the ECUs 11 and 21, or may be provided as a function inside the CPUs 12 and 22.

通信処理部12bは、第1システムにおいて車両制御(AD制御、ADAS制御)を行うのに必要な情報の送受信処理を行う。同様に、通信処理部22bは、第2システムにおいて車両制御(AD制御、ADAS制御)を行うのに必要な情報の送受信処理を行う。また、通信処理部12b,22bは、切り替えタイミングを判定するのに必要な情報の送受信処理を行う。 The communication processing unit 12b performs transmission / reception processing of information necessary for performing vehicle control (AD control, ADAS control) in the first system. Similarly, the communication processing unit 22b performs transmission / reception processing of information necessary for performing vehicle control (AD control, ADAS control) in the second system. Further, the communication processing units 12b and 22b perform transmission / reception processing of information necessary for determining the switching timing.

通信回路14は、通信処理部12bの送受信処理によってシステムと送受信を行い、通信回路24は、通信処理部22bの送受信処理によってシステムと送受信を行う。通信処理部12b,22bは例えばソフトウェアで実現され、通信回路14は例えばCAN(Controller Area Network)のICやハーネスを含む回路などのハードウェアで構成される。 The communication circuit 14 transmits / receives to / from the system by the transmission / reception processing of the communication processing unit 12b, and the communication circuit 24 transmits / receives to / from the system by the transmission / reception processing of the communication processing unit 22b. The communication processing units 12b and 22b are realized by software, for example, and the communication circuit 14 is composed of hardware such as a CAN (Controller Area Network) IC and a circuit including a harness.

通信処理部12b,22bは、外部装置から通信回路14,24を介して、例えば、自車両の周辺環境の状態を示す情報(周辺情報)を取得する。ここでいう外部装置は、例えば、GPS(Global Positioning System)装置、車載通信機、周辺センサ、ナビゲーションシステムなどを含む。GPS装置は、複数のGPS衛星からGPS信号を受信して、自車両の位置を測位する。車載通信機は、自車両と他車両との間の通信(車車間通信)や、自車両と路側機との間の通信(路車間通信)を行う。周辺センサは、ミリ波レーダーや超音波ソナーなどの距離感知センサであり、自車両の周囲に存在する他車両、歩行者、建物、障害物などの物体の位置を検出するとともに、検出された物体が移動体(他車両、歩行者等)であるときはその移動速度も検出する。周辺センサはこれらに限られず、自車両の周辺環境の状態を認識できるものであれば、他のセンサ(例えば、車載カメラなど)であってもよい。ナビゲーションシステムは、GPS装置が取得した自車両の位置情報と地図情報とを用いて、地図画面上に自車両の位置を表示したり、目的地までの経路を案内したりする。 The communication processing units 12b and 22b acquire, for example, information (peripheral information) indicating the state of the surrounding environment of the own vehicle from the external device via the communication circuits 14 and 24. The external device referred to here includes, for example, a GPS (Global Positioning System) device, an in-vehicle communication device, a peripheral sensor, a navigation system, and the like. The GPS device receives GPS signals from a plurality of GPS satellites and positions the own vehicle. The in-vehicle communication device performs communication between the own vehicle and another vehicle (vehicle-to-vehicle communication) and communication between the own vehicle and the roadside unit (road-to-vehicle communication). Peripheral sensors are distance sensing sensors such as millimeter-wave radar and ultrasonic sonar, which detect the position of other vehicles, pedestrians, buildings, obstacles, and other objects around the vehicle, as well as the detected objects. When is a moving object (other vehicle, pedestrian, etc.), its moving speed is also detected. The peripheral sensor is not limited to these, and may be another sensor (for example, an in-vehicle camera) as long as it can recognize the state of the surrounding environment of the own vehicle. The navigation system uses the position information and the map information of the own vehicle acquired by the GPS device to display the position of the own vehicle on the map screen and guide the route to the destination.

また、通信処理部12b,22bは、外部装置から通信回路14,24を介して、例えば、自車両の動作状態を示す情報(車両情報)を取得する。ここでいう外部装置は、例えば、舵角センサ、車速センサ、ウィンカーセンサ、ライトセンサなどを含む。舵角センサは、自車両のステアリング角を検出する。車速センサは、自車両の走行速度を検出する。ウィンカーセンサは、自車両の方向指示器の指示方向を検出する。ライトセンサは、自車両のライトのオン、オフを検出する。車両情報を検出するセンサはこれらに限られず、自車両の動作状態を認識できるものであれば、他のセンサ(例えば、ブレーキ、ギア、ワイパーなどの動作状態を検出するセンサなど)であってもよい。 Further, the communication processing units 12b and 22b acquire, for example, information (vehicle information) indicating the operating state of the own vehicle from the external device via the communication circuits 14 and 24. The external device referred to here includes, for example, a steering angle sensor, a vehicle speed sensor, a winker sensor, a light sensor, and the like. The steering angle sensor detects the steering angle of the own vehicle. The vehicle speed sensor detects the traveling speed of the own vehicle. The winker sensor detects the direction indicated by the direction indicator of the own vehicle. The light sensor detects whether the light of the own vehicle is on or off. The sensor that detects vehicle information is not limited to these, and any other sensor (for example, a sensor that detects the operating state of a brake, gear, wiper, etc.) can be used as long as it can recognize the operating state of the own vehicle. good.

また、通信処理部12b,22bは、外部装置から通信回路14,24を介して、例えば、自車両の運転者の状態を示す情報(運転者情報)を取得する。運転者の状態としては、例えば、眠気があるか、脇見運転をしていないか、冷静であるか(興奮していないか)、などである。運転者情報を取得する外部装置は、例えば、運転者を撮影する車内カメラと、当該車内カメラが撮影した画像の画像解析により、運転者の眼球や顔の動きを検出し、運転者の視線の方向、顔の向きなどから、運転者の状態を判定する判定装置とを含む。運転者情報を取得する外部装置はこれらに限られず、運転者の挙動を検出できれば、車内カメラの代わりに、他の取得装置(例えば、運転者の音声を取得する集音マイク、ハンドルに設けられた生体センサ、脳波センサなど)を用いてもよい。 Further, the communication processing units 12b and 22b acquire, for example, information (driver information) indicating the state of the driver of the own vehicle from the external device via the communication circuits 14 and 24. The driver's condition is, for example, drowsiness, not driving aside, or being calm (not excited). The external device that acquires the driver information detects the movement of the driver's eyeball and face by, for example, an in-vehicle camera that captures the driver and an image analysis of the image taken by the in-vehicle camera, and the driver's line of sight. It includes a determination device that determines the driver's condition from the direction, the direction of the face, and the like. External devices that acquire driver information are not limited to these, and if the behavior of the driver can be detected, other acquisition devices (for example, sound collecting microphones and steering wheels that acquire the driver's voice) are provided instead of the in-vehicle camera. A biological sensor, a brain wave sensor, etc.) may be used.

通信処理部12bは、後述する演算部12aで得られる演算結果である指令値の送信処理を行うことによって、通信回路14は指令値をシステム(例えばアクチュエータのシステム)へ送信する。同様に、通信処理部22bは、後述する演算部22aで得られる演算結果である指令値の送信処理を行うことによって、通信回路24は指令値をシステム(例えばアクチュエータのシステム)へ送信する。なお、アクチュエータは、例えばステアリング、スロットル、ブレーキ、シフト、ウィンカーなどのアクチュエータを含む。送信手段としては、例えば、演算結果を所定サンプリング毎にデータフレームに格納して送信するCAN通信が用いられてもよいし、Ethernet(登録商標)通信やSPI(Serial Peripheral Interface)通信が用いられてもよい。 The communication processing unit 12b transmits the command value to the system (for example, the system of the actuator) by performing the transmission processing of the command value which is the calculation result obtained by the calculation unit 12a described later. Similarly, the communication processing unit 22b transmits the command value to the system (for example, the system of the actuator) by performing the transmission processing of the command value which is the calculation result obtained by the calculation unit 22a described later. The actuator includes, for example, actuators such as steering, throttle, brake, shift, and winker. As the transmission means, for example, CAN communication in which the calculation result is stored in a data frame for each predetermined sampling and transmitted may be used, or Ethernet (registered trademark) communication or SPI (Serial Peripheral Interface) communication is used. May be good.

また、通信処理部12b,22bは、通信処理部12b,22bが送信処理中であるか否かを示す送信情報を、出力切替部22cに出力する。送信情報は、例えば、データフレームへの車両制御(AD制御,ADAS制御)の指令値の格納完了/未完了を示すフラグや、送信許可/不許可の状態を示すレジスタやメモリの値を含む。 Further, the communication processing units 12b and 22b output transmission information indicating whether or not the communication processing units 12b and 22b are in the transmission processing to the output switching unit 22c. The transmission information includes, for example, a flag indicating completion / incomplete storage of a command value of vehicle control (AD control, ADAS control) in a data frame, and a register or memory value indicating a transmission permission / disapproval state.

さらに、通信処理部12b,22bは、ある特定のデータフレームを送信したかどうかの情報を出力切替部22cに出力する。この情報は、例えば、最も送信優先度が高いデータフレームへの演算結果の格納/未格納を示すフラグや、ある特定のデータフレームの送信許可/不許可の状態を含む。送信情報などの通信手段には、通信処理部12b,22bと出力切替部22cの間の専用の通信が用いられてもよいし、CPU12とCPU22との間の汎用の通信が用いられてもよい。 Further, the communication processing units 12b and 22b output information as to whether or not a specific data frame has been transmitted to the output switching unit 22c. This information includes, for example, a flag indicating storage / non-storage of the operation result in the data frame having the highest transmission priority, and a transmission permission / non-permission state of a specific data frame. As the communication means such as transmission information, dedicated communication between the communication processing units 12b and 22b and the output switching unit 22c may be used, or general-purpose communication between the CPU 12 and the CPU 22 may be used. ..

演算部12aは、通信処理部12bで取得される周辺情報、車両情報、運転者情報の少なくとも1つに基づいて、CPU12の車両制御(AD制御、ADAS制御)に用いられるアクチュエータの指令値(制御指令値)の演算処理を行う。同様に、演算部22aは、通信処理部22bで取得される周辺情報、車両情報、運転者情報の少なくとも1つに基づいて、CPU22の車両制御(AD制御、ADAS制御)に用いられるアクチュエータの指令値(制御指令値)の演算処理を行う。 The calculation unit 12a is a command value (control) of an actuator used for vehicle control (AD control, ADAS control) of the CPU 12 based on at least one of peripheral information, vehicle information, and driver information acquired by the communication processing unit 12b. (Command value) is processed. Similarly, the calculation unit 22a is a command of an actuator used for vehicle control (AD control, ADAS control) of the CPU 22 based on at least one of peripheral information, vehicle information, and driver information acquired by the communication processing unit 22b. Performs arithmetic processing of the value (control command value).

また、演算部12aは、所定サンプリング毎またはイベント起動ごとに演算を行い、演算中か否かの状態を示す演算状態をメモリに記録する。そして、演算部12aは、演算部12aが演算処理中であるか否かを示す演算情報を出力切替部22cに出力する。同様に、演算部22aは、演算部22aが演算処理中であるか否かを示す演算情報を出力切替部22cに出力する。 Further, the calculation unit 12a performs a calculation every predetermined sampling or every event activation, and records a calculation state indicating whether or not the calculation is in progress in the memory. Then, the arithmetic unit 12a outputs arithmetic information indicating whether or not the arithmetic unit 12a is in the arithmetic processing to the output switching unit 22c. Similarly, the arithmetic unit 22a outputs arithmetic information indicating whether or not the arithmetic unit 22a is in the arithmetic processing to the output switching unit 22c.

出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、第1システム送信から第2システム送信に切り替えるタイミングを変更する。ここで、第1システム送信は、第1システムの通信処理部12bを用いた指令値の送信であり、第2システム送信は、第2システムの通信処理部22bを用いた指令値の送信である。以下、第1システム送信から第2システム送信に切り替えるタイミングを、「切り替えタイミング」と記すこともある。 The output switching unit 22c changes the timing of switching from the first system transmission to the second system transmission based on the failure information of the first system and the transmission information of the communication processing unit 12b. Here, the first system transmission is the transmission of the command value using the communication processing unit 12b of the first system, and the second system transmission is the transmission of the command value using the communication processing unit 22b of the second system. .. Hereinafter, the timing of switching from the first system transmission to the second system transmission may be referred to as "switching timing".

なお、本実施の形態1では、スイッチ15を介して通信回路14が制御されることにより第1システム送信が制御されるが、通信処理部12bが制御されることにより第1システム送信が制御されてもよい。また、本実施の形態1では、通信処理部22bが制御されることにより第2システム送信が制御されるが、図示しないスイッチを介して通信回路24が制御されることにより第2システム送信が制御されてもよい。また図1では、出力切替部22cはCPU22に設けられているが、故障監視部13,23はCPU22の外部、ひいてはECU21の外部に設けられてもよい。 In the first embodiment, the first system transmission is controlled by controlling the communication circuit 14 via the switch 15, but the first system transmission is controlled by controlling the communication processing unit 12b. You may. Further, in the first embodiment, the second system transmission is controlled by controlling the communication processing unit 22b, but the second system transmission is controlled by controlling the communication circuit 24 via a switch (not shown). May be done. Further, in FIG. 1, the output switching unit 22c is provided in the CPU 22, but the failure monitoring units 13 and 23 may be provided outside the CPU 22 and eventually outside the ECU 21.

<動作>
図2は、本実施の形態1に係る車両制御装置の動作の概要を説明するための図である。出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したか否かを判定する。逆に言えば、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、通信処理部12bの送信処理完了から送信処理開始までの間に第1システムの故障が発生したか否かを判定する。 <Operation>
FIG. 2 is a diagram for explaining an outline of the operation of the vehicle control device according to the first embodiment. Based on the failure information of the first system and the transmission information of the communication processing unit 12b, the output switching unit 22c has a failure of the first system between the start of the transmission processing of the communication processing unit 12b and the completion of the transmission processing. Judge whether or not. Conversely, the output switching unit 22c is based on the failure information of the first system and the transmission information of the communication processing unit 12b, and the first system is between the completion of the transmission processing of the communication processing unit 12b and the start of the transmission processing. Judge whether or not a failure has occurred.

出力切替部22cは、図2(a)のように、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したと判定した場合には、当該送信処理後に第1システム送信を停止する。本実施の形態1では、出力切替部22cは、スイッチ15を介して通信回路14を制御することにより第1システム送信を停止するが、通信処理部12bを制御することにより第1システム送信を停止してもよい。 When the output switching unit 22c determines that a failure of the first system has occurred between the start of the transmission process of the communication processing unit 12b and the completion of the transmission process, as shown in FIG. 2A, after the transmission process. First system Stops transmission. In the first embodiment, the output switching unit 22c stops the first system transmission by controlling the communication circuit 14 via the switch 15, but stops the first system transmission by controlling the communication processing unit 12b. You may.

出力切替部22cは、図2(b)のように、通信処理部12bの送信処理完了から送信処理開始までの間に第1システムの故障が発生したと判定した場合には、当該判定直後に第1システム送信を停止する。 When the output switching unit 22c determines that a failure of the first system has occurred between the completion of the transmission processing of the communication processing unit 12b and the start of the transmission processing, as shown in FIG. 2B, immediately after the determination, the output switching unit 22c determines. First system Stops transmission.

図3は、本実施の形態1に係る第1システムの動作を示すフローチャートである。図3の動作は、第1システムの故障が故障監視部13で検出された場合に行われる。 FIG. 3 is a flowchart showing the operation of the first system according to the first embodiment. The operation of FIG. 3 is performed when a failure of the first system is detected by the failure monitoring unit 13.

まずステップS1にて、故障監視部13は、第1システムの故障情報を、故障監視部23を介して出力切替部22cに出力し、通信処理部12bは、通信処理部12bの送信情報を出力切替部22cに出力する。 First, in step S1, the failure monitoring unit 13 outputs the failure information of the first system to the output switching unit 22c via the failure monitoring unit 23, and the communication processing unit 12b outputs the transmission information of the communication processing unit 12b. Output to the switching unit 22c.

ステップS2にて、故障監視部13は、第1システム送信が停止したか否かを判定する。第1システム送信が停止したと判定された場合には処理がステップS4に進み、第1システム送信が停止したと判定されなかった場合には処理がステップS3に進む。なお、後者の場合は、故障監視部13が、第1システム送信が停止していないと判定した場合と、故障監視部13が、第1システム送信の停止を判定するための情報を取得できなかった場合とを含む。 In step S2, the failure monitoring unit 13 determines whether or not the first system transmission has stopped. If it is determined that the first system transmission has stopped, the process proceeds to step S4, and if it is not determined that the first system transmission has stopped, the process proceeds to step S3. In the latter case, the failure monitoring unit 13 cannot acquire the information for determining that the first system transmission is stopped and the failure monitoring unit 13 cannot acquire the information for determining the stop of the first system transmission. Including the case.

ステップS3にて、故障監視部13は、ステップS2の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS4に進み、タイムアウトしたと判定されなかった場合には処理がステップS2に戻る。なお、上記閾値を無限大に設定して、ステップS3からステップS4に処理が進まないようにしてもよい。 In step S3, the failure monitoring unit 13 determines whether or not the time elapsed since the determination in step S2 is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S4, and if it is not determined that the time-out has not occurred, the process returns to step S2. The threshold value may be set to infinity so that the process does not proceed from step S3 to step S4.

ステップS4にて、故障監視部13は、CPU12をリセットし、CPU12の復帰処理を行う。これにより、故障監視部13は、第1システム送信の停止を判定できない場合にタイムアウトする(ステップS3でYes)と、リセット(復帰処理)を行う。 In step S4, the failure monitoring unit 13 resets the CPU 12 and performs a recovery process of the CPU 12. As a result, the failure monitoring unit 13 times out when it cannot determine that the first system transmission is stopped (Yes in step S3), and resets (returns).

ステップS5にて、故障監視部13は、第1システムが正常に復帰したか否かを判定する。第1システムが正常に復帰したと判定された場合には図3の動作が終了し、第1システムが正常に復帰したと判定されなかった場合には図3の動作が再度行われる。 In step S5, the failure monitoring unit 13 determines whether or not the first system has returned to normal. If it is determined that the first system has returned to normal, the operation of FIG. 3 ends, and if it is not determined that the first system has returned to normal, the operation of FIG. 3 is performed again.

図4は、本実施の形態1に係る第2システムの動作を示すフローチャートである。図4の動作は、第1システムの故障が故障監視部13で検出された場合に行われる。 FIG. 4 is a flowchart showing the operation of the second system according to the first embodiment. The operation of FIG. 4 is performed when a failure of the first system is detected by the failure monitoring unit 13.

まずステップS11にて、故障監視部23は、第1システムの故障情報を故障監視部13から受けて出力切替部22cに出力する。 First, in step S11, the failure monitoring unit 23 receives the failure information of the first system from the failure monitoring unit 13 and outputs it to the output switching unit 22c.

ステップS12にて、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したか否かを判定する。通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したと判定された場合には処理がステップS13に進み、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS15に進む。なお、後者の場合は、出力切替部22cが、通信処理部12bの送信処理完了から送信処理開始からまでの間に第1システムの故障が発生したと判定した場合と、出力切替部22cが、送信情報を取得できなかった場合とを含む。 In step S12, the output switching unit 22c is based on the failure information of the first system and the transmission information of the communication processing unit 12b, during the period from the start of the transmission processing of the communication processing unit 12b to the completion of the transmission processing of the first system. Judge whether or not a failure has occurred. If it is determined that a failure of the first system has occurred between the start of the transmission process of the communication processing unit 12b and the completion of the transmission process, the process proceeds to step S13, and the transmission process is completed from the start of the transmission process of the communication processing unit 12b. If it is not determined that the failure of the first system has occurred in the meantime, the process proceeds to step S15. In the latter case, the output switching unit 22c determines that a failure of the first system has occurred between the completion of the transmission processing of the communication processing unit 12b and the start of the transmission processing, and the output switching unit 22c determines that a failure has occurred. Including the case where the transmission information could not be obtained.

ステップS13にて、出力切替部22cは、通信処理部12bの送信処理を含む第1システム送信が完了したか否かを判定する。この判定は、例えば、通信処理部12bから新しく出力された送信情報などに基づいて行われる。第1システム送信が完了したと判定された場合には処理がステップS15に進み、第1システム送信が完了したと判定されなかった場合には処理がステップS14に進む。なお、後者の場合は、出力切替部22cが、第1システム送信が完了していないと判定した場合と、出力切替部22cが、第1システム送信の完了を判定するための情報を取得できなかった場合とを含む。 In step S13, the output switching unit 22c determines whether or not the first system transmission including the transmission processing of the communication processing unit 12b is completed. This determination is made based on, for example, the transmission information newly output from the communication processing unit 12b. If it is determined that the first system transmission is completed, the process proceeds to step S15, and if it is not determined that the first system transmission is completed, the process proceeds to step S14. In the latter case, the output switching unit 22c cannot acquire the information for determining the completion of the first system transmission and the output switching unit 22c cannot acquire the information for determining the completion of the first system transmission. Including the case.

ステップS14にて、出力切替部22cは、ステップS13の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS15に進み、タイムアウトしたと判定されなかった場合には処理がステップS13に戻る。なお、上記閾値を無限大に設定して、ステップS14からステップS15に処理が進まないようにしてもよい。 In step S14, the output switching unit 22c determines whether or not the time elapsed since the determination in step S13 is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S15, and if it is not determined that the time-out has occurred, the process returns to step S13. The threshold value may be set to infinity so that the process does not proceed from step S14 to step S15.

ステップS15にて、出力切替部22cは、第1システム送信を停止する。 In step S15, the output switching unit 22c stops the first system transmission.

ステップS16にて、出力切替部22cは、第2システム送信を開始する。その後、図4の動作が終了する。なお、ステップS15の動作が行われた後に、図3のステップS2から動作が行われてもよい。 In step S16, the output switching unit 22c starts the second system transmission. After that, the operation of FIG. 4 ends. After the operation of step S15 is performed, the operation may be performed from step S2 of FIG.

<実施の形態1のまとめ>
以上のような本実施の形態1に係る車両制御装置(車両制御方法)では、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、第1システム送信から第2システム送信に切り替えるタイミングを変更する。このような構成によれば、図2(a)のような場合であっても、故障発生時において送信を切り替えるタイミングを適切化することができる。このため、アクチュエータ等の受信側でフェールが発生することを抑制することができ、スムーズな切り替えが期待できる。 <Summary of Embodiment 1>
In the vehicle control device (vehicle control method) according to the first embodiment as described above, the first system transmission to the second system transmission are based on the failure information of the first system and the transmission information of the communication processing unit 12b. Change the timing to switch to. According to such a configuration, even in the case of FIG. 2A, it is possible to optimize the timing of switching transmission when a failure occurs. Therefore, it is possible to suppress the occurrence of a fail on the receiving side of the actuator or the like, and smooth switching can be expected.

<変形例1−1>
実施の形態1では、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて切り替えタイミングを変更したが、これに限ったものではない。例えば、出力切替部22cは、演算部12aの演算情報を考慮して切り替えタイミングを変更してもよい。すなわち、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて切り替えタイミングを変更してもよい。 <Modification 1-1>
In the first embodiment, the output switching unit 22c changes the switching timing based on the failure information of the first system and the transmission information of the communication processing unit 12b, but the present invention is not limited to this. For example, the output switching unit 22c may change the switching timing in consideration of the calculation information of the calculation unit 12a. That is, the output switching unit 22c may change the switching timing based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a.

図5は、本変形例1−1に係る車両制御装置の動作の概要を説明するための図である。出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したか否かを判定する。逆に言えば、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、演算部12aの演算処理完了直後の通信処理部12bの送信処理完了から演算部12aの演算処理完了までの間に第1システムの故障が発生したか否かを判定する。 FIG. 5 is a diagram for explaining an outline of the operation of the vehicle control device according to the present modification 1-1. The output switching unit 22c is based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a, from the completion of the calculation processing of the calculation unit 12a to the communication processing immediately after the completion of the calculation processing. It is determined whether or not a failure of the first system has occurred until the transmission process of the unit 12b is completed. Conversely, the output switching unit 22c is based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a, and the communication processing immediately after the calculation processing of the calculation unit 12a is completed. It is determined whether or not a failure of the first system has occurred between the completion of the transmission processing of the unit 12b and the completion of the calculation processing of the calculation unit 12a.

出力切替部22cは、図5(a)のように、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定した場合には、当該送信処理後に第1システム送信を停止する。 As shown in FIG. 5A, the output switching unit 22c states that a failure of the first system occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing. If it is determined, the first system transmission is stopped after the transmission process.

出力切替部22cは、図5(b)のように、演算部12aの演算処理完了直後の通信処理部12bの送信処理完了から演算部12aの演算処理完了までの間に第1システムの故障が発生したと判定した場合には、当該判定直後に第1システム送信を停止する。 As shown in FIG. 5B, the output switching unit 22c has a failure of the first system between the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the calculation processing of the calculation unit 12a and the completion of the calculation processing of the calculation unit 12a. If it is determined that it has occurred, the first system transmission is stopped immediately after the determination.

図6は、本変形例1−1に係る第1システムの動作を示すフローチャートである。図6の動作は、図3の動作のステップS1をステップS1aに変更した動作と同様である。 FIG. 6 is a flowchart showing the operation of the first system according to the present modification 1-1. The operation of FIG. 6 is the same as the operation of changing step S1 of the operation of FIG. 3 to step S1a.

ステップS1aにて、故障監視部13は、第1システムの故障情報を出力切替部22cに出力し、通信処理部12bは、通信処理部12bの送信情報を出力切替部22cに出力する。また、演算部12aは、演算部12aの演算情報を出力切替部22cに出力する。 In step S1a, the failure monitoring unit 13 outputs the failure information of the first system to the output switching unit 22c, and the communication processing unit 12b outputs the transmission information of the communication processing unit 12b to the output switching unit 22c. Further, the calculation unit 12a outputs the calculation information of the calculation unit 12a to the output switching unit 22c.

図7は、本変形例1−1に係る第2システムの動作を示すフローチャートである。図7の動作は、図4の動作のステップS12をステップS12aに変更し、ステップS14のタイムアウトの判定を削除した動作と同様である。なお、図7ではバリエーションを示すためにステップS14を削除したが、もちろんステップS14は行われてもよく、このことは以下の説明においても同様である。 FIG. 7 is a flowchart showing the operation of the second system according to the present modification 1-1. The operation of FIG. 7 is the same as the operation of changing step S12 of the operation of FIG. 4 to step S12a and deleting the time-out determination of step S14. In FIG. 7, step S14 is deleted to show variations, but of course step S14 may be performed, and this also applies to the following description.

ステップS12aにて、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したか否かを判定する。 In step S12a, the output switching unit 22c processes the calculation from the completion of the calculation process of the calculation unit 12a based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a. It is determined whether or not a failure of the first system has occurred until the transmission processing of the communication processing unit 12b is completed immediately after the completion.

演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定された場合には処理がステップS13に進む。一方、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS15に進む。なお、後者の場合は、出力切替部22cが、演算部12aの演算処理完了直後の通信処理部12bの送信処理完了から演算部12aの演算処理完了までの間に第1システムの故障が発生した場合と、出力切替部22cが、送信情報または演算情報を取得できなかった場合とを含む。 If it is determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S13. On the other hand, if it is not determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S15. .. In the latter case, the output switching unit 22c has a failure of the first system between the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the calculation processing of the calculation unit 12a and the completion of the calculation processing of the calculation unit 12a. This includes a case and a case where the output switching unit 22c cannot acquire transmission information or calculation information.

ステップS13にて、出力切替部22cは、通信処理部12bの送信処理を含む第1システム送信が完了したか否かを判定する。第1システム送信が完了したと判定された場合には処理がステップS15に進み、第1システム送信が完了したと判定されなかった場合にはステップS13の処理が再度行われる。 In step S13, the output switching unit 22c determines whether or not the first system transmission including the transmission processing of the communication processing unit 12b is completed. If it is determined that the first system transmission is completed, the process proceeds to step S15, and if it is not determined that the first system transmission is completed, the process of step S13 is performed again.

以上のような本変形例1−1によれば、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて第1システム送信から第2システム送信に切り替えるタイミングを変更する。このような構成によれば、故障発生時において送信を切り替えるタイミングを適切化することができる。 According to the present modification 1-1 as described above, the first system transmission to the second system transmission are based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a. Change the timing to switch to. According to such a configuration, it is possible to optimize the timing of switching transmission when a failure occurs.

<変形例1−2>
変形例1−1では、出力切替部22cは、演算部12aの演算処理完了直後の通信処理部12bの送信処理完了から演算部12aの演算処理完了までの間に第1システムの故障が発生したと判定した場合には、当該判定直後に第1システム送信を停止した。この場合、図8に示すように、出力切替部22cは、第2システム送信への切り替え時間が間に合わず、アクチュエータ等の受信側でフェールが発生してしまうことも考えられる。 <Modification 1-2>
In the modification 1-1, the output switching unit 22c has a failure of the first system between the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the calculation processing of the calculation unit 12a and the completion of the calculation processing of the calculation unit 12a. When it was determined, the transmission of the first system was stopped immediately after the determination. In this case, as shown in FIG. 8, it is conceivable that the output switching unit 22c may not be able to switch to the second system transmission in time, and a fail may occur on the receiving side of the actuator or the like.

そこで、出力切替部22cは、図9に示すように、演算処理完了直後の送信処理完了から演算処理完了までの間に第1システムの故障が発生したと判定した場合でも、第1システム送信の実施中のデータが存在する場合には、当該第1システム送信の完了後に、その送信を停止してもよい。 Therefore, as shown in FIG. 9, the output switching unit 22c transmits the first system even if it is determined that a failure of the first system has occurred between the completion of the transmission process immediately after the completion of the calculation process and the completion of the calculation process. If there is data in progress, the transmission may be stopped after the transmission of the first system is completed.

本変形例1−2に係る第1システムの動作を示すフローチャートは、図6のフローチャートと同じである。図10は、本変形例1−2に係る第2システムの動作を示すフローチャートである。図10の動作は、図7の動作にステップS17及びステップS18を追加した動作と同様である。 The flowchart showing the operation of the first system according to the present modification 1-2 is the same as the flowchart of FIG. FIG. 10 is a flowchart showing the operation of the second system according to the present modification 1-2. The operation of FIG. 10 is the same as the operation of adding steps S17 and S18 to the operation of FIG.

図10ではステップS12aにて、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS17に進む。 In FIG. 10, when it is not determined in step S12a that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing. The process proceeds to step S17.

ステップS17にて、出力切替部22cは、第1システム送信が実施中であるか否か、つまり第1システム送信の実施中のデータが存在するか否かを判定する。この判定は、例えば、通信処理部12bから新しく出力された送信情報などに基づいて行われる。第1システム送信が実施中であると判定された場合には処理がステップS18に進み、第1システム送信が実施中でないと判定された場合には処理がステップS15に進む。 In step S17, the output switching unit 22c determines whether or not the first system transmission is being executed, that is, whether or not there is data during the execution of the first system transmission. This determination is made based on, for example, the transmission information newly output from the communication processing unit 12b. If it is determined that the first system transmission is being carried out, the process proceeds to step S18, and if it is determined that the first system transmission is not being carried out, the process proceeds to step S15.

ステップS18にて、出力切替部22cは、通信処理部12bの送信処理を含む第1システム送信が完了したか否かを判定する。第1システム送信が完了したと判定された場合には処理がステップS15に進み、第1システム送信が完了していないと判定された場合にはステップS18の処理が再度行われる。 In step S18, the output switching unit 22c determines whether or not the first system transmission including the transmission processing of the communication processing unit 12b is completed. If it is determined that the first system transmission is completed, the process proceeds to step S15, and if it is determined that the first system transmission is not completed, the process of step S18 is performed again.

以上のような本変形例1−2によれば、故障発生時において送信を切り替えるタイミングを適切化することができる。 According to the present modification 1-2 as described above, it is possible to optimize the timing of switching transmission when a failure occurs.

<変形例1−3>
出力切替部22cは、故障監視部13で故障が検出されたCPU12の領域の種類を考慮して切り替えタイミングを変更してもよい。つまり、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、故障が検出された領域の種類とに基づいて、切り替えタイミングを変更してもよい。または、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報と、故障が検出された領域の種類とに基づいて、切り替えタイミングを変更してもよい。以下では、後者について説明するが、前者の説明も以下の説明と概ね同じである。 <Modification 1-3>
The output switching unit 22c may change the switching timing in consideration of the type of the area of the CPU 12 in which the failure is detected by the failure monitoring unit 13. That is, the output switching unit 22c may change the switching timing based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the type of the region where the failure is detected. Alternatively, the output switching unit 22c changes the switching timing based on the failure information of the first system, the transmission information of the communication processing unit 12b, the calculation information of the calculation unit 12a, and the type of the region where the failure is detected. You may. The latter will be described below, but the former explanation is almost the same as the following explanation.

また、故障監視部13で通信領域の故障が検出されなかった場合には、出力切替部22cによって第1システム送信を停止するか否かが判定されてもよく、故障監視部13で通信領域の故障が検出された場合には、故障監視部13または出力切替部22cによって第1システム送信を停止するか否かが判定されてもよい。 Further, when the failure monitoring unit 13 does not detect a failure in the communication area, the output switching unit 22c may determine whether or not to stop the first system transmission, and the failure monitoring unit 13 may determine whether or not to stop the transmission in the communication area. When a failure is detected, the failure monitoring unit 13 or the output switching unit 22c may determine whether or not to stop the first system transmission.

図11は、本変形例1−3に係る第1システムの動作を示すフローチャートである。図11の動作は、図6の動作にステップS6、ステップS7及びステップS8を追加し、ステップS1aをステップS1bに変更した動作と同様である。 FIG. 11 is a flowchart showing the operation of the first system according to the present modification 1-3. The operation of FIG. 11 is the same as the operation of adding step S6, step S7, and step S8 to the operation of FIG. 6 and changing step S1a to step S1b.

まず、ステップS6にて、故障監視部13は、通信処理部12bの通信領域が故障したか否かを判定する。通信領域が故障したと判定された場合には処理がステップS7に進み、通信領域が故障していないと判定された場合には処理がステップS1bに進む。 First, in step S6, the failure monitoring unit 13 determines whether or not the communication area of the communication processing unit 12b has failed. If it is determined that the communication area has failed, the process proceeds to step S7, and if it is determined that the communication area has not failed, the process proceeds to step S1b.

ステップS1bにて、故障監視部13は、第1システムの故障情報と、故障が検出された領域の種類とを出力切替部22cに出力する。通信処理部12bは、通信処理部12bの送信情報を出力切替部22cに出力する。演算部12aは、演算部12aの演算情報を出力切替部22cに出力する。 In step S1b, the failure monitoring unit 13 outputs the failure information of the first system and the type of the region where the failure is detected to the output switching unit 22c. The communication processing unit 12b outputs the transmission information of the communication processing unit 12b to the output switching unit 22c. The calculation unit 12a outputs the calculation information of the calculation unit 12a to the output switching unit 22c.

ステップS7にて、故障監視部13は、故障監視部13が第1システムのハードウェアの電源オフ及びリセット並びにソフトウェアの送信処理停止を行うことによって第1システム送信を停止可能であるか否かを判定する。故障監視部13が第1システム送信を停止可能であると判定された場合には処理がステップS8に進み、故障監視部13が第1システム送信を停止可能でないと判定された場合には処理がステップS2に進む。 In step S7, the failure monitoring unit 13 determines whether or not the failure monitoring unit 13 can stop the transmission of the first system by turning off and resetting the hardware of the first system and stopping the transmission processing of the software. judge. If the failure monitoring unit 13 determines that the first system transmission can be stopped, the process proceeds to step S8, and if the failure monitoring unit 13 determines that the first system transmission cannot be stopped, the process proceeds. Proceed to step S2.

ステップS8にて、出力切替部22cではなく故障監視部13が、第1システム送信を停止する。その後、処理がステップS4に進む。 In step S8, the failure monitoring unit 13 instead of the output switching unit 22c stops the first system transmission. After that, the process proceeds to step S4.

図12は、本変形例1−3に係る第2システムの動作を示すフローチャートである。図12の動作は、図7の動作にステップS19、ステップS20及びステップS21を追加した動作と同様である。 FIG. 12 is a flowchart showing the operation of the second system according to the present modification 1-3. The operation of FIG. 12 is the same as the operation of adding step S19, step S20, and step S21 to the operation of FIG. 7.

ステップS11後のステップS19にて、出力切替部22cは、故障監視部13が第1システム送信を停止可能であるか否かを判定する。故障監視部13が第1システム送信を停止可能であると判定された場合には処理がステップS15に進み、故障監視部13が第1システム送信を停止可能でないと判定された場合には処理がステップS20に進む。 In step S19 after step S11, the output switching unit 22c determines whether or not the failure monitoring unit 13 can stop the first system transmission. If the failure monitoring unit 13 determines that the first system transmission can be stopped, the process proceeds to step S15, and if the failure monitoring unit 13 determines that the first system transmission cannot be stopped, the process proceeds. Proceed to step S20.

なお、ステップS19からステップS15に処理が進んだ場合には、第1システムによる第1システム送信の停止よりも前に、第2システムの出力切替部22cが第1システム送信を停止してしまう可能性がある。そこで、出力切替部22cは、CPU12の処理周期よりも十分遅いタイミングでスイッチ15を介して通信回路14をオフしてもよいし、通信処理部12bの出力が停止することを確認してからスイッチ15を介して通信回路14をオフしてもよい。 If the process proceeds from step S19 to step S15, the output switching unit 22c of the second system may stop the transmission of the first system before the transmission of the first system by the first system is stopped. There is sex. Therefore, the output switching unit 22c may turn off the communication circuit 14 via the switch 15 at a timing sufficiently later than the processing cycle of the CPU 12, or the switch after confirming that the output of the communication processing unit 12b is stopped. The communication circuit 14 may be turned off via 15.

ステップS20にて、出力切替部22cは、通信処理部12bの通信領域が故障したか否かを判定する。通信処理部12bの通信領域が故障したと判定された場合には処理がステップS15に進み、第1システム送信を停止する。通信処理部12bの通信領域が故障していないと判定された場合には処理がステップS21に進む。 In step S20, the output switching unit 22c determines whether or not the communication area of the communication processing unit 12b has failed. If it is determined that the communication area of the communication processing unit 12b has failed, the processing proceeds to step S15, and the first system transmission is stopped. If it is determined that the communication area of the communication processing unit 12b has not failed, the process proceeds to step S21.

ステップS21にて、出力切替部22cは、演算部12aの演算領域が故障したか否かを判定する。演算部12aの演算領域が故障したと判定された場合には処理がステップS13に進み、第1システム送信が完了した後に第1システム送信を停止する。演算部12aの演算領域が故障していないと判定された場合には処理がステップS12aに進む。 In step S21, the output switching unit 22c determines whether or not the calculation area of the calculation unit 12a has failed. If it is determined that the calculation area of the calculation unit 12a has failed, the process proceeds to step S13, and the first system transmission is stopped after the first system transmission is completed. If it is determined that the calculation area of the calculation unit 12a has not failed, the process proceeds to step S12a.

以上のような本変形例1−3によれば、故障箇所に合わせて第1システム送信を適切に停止することができるため、アクチュエータ等の受信側でフェールが発生することを抑制することができる。 According to the present modification 1-3 as described above, since the transmission of the first system can be appropriately stopped according to the failure location, it is possible to suppress the occurrence of a fail on the receiving side of the actuator or the like. ..

なお、出力切替部22cは、第1システムにおけるCPU12以外のH/Wの故障を考慮して切り替えタイミングを変更してもよい。例えば、ステップS21と同様に、H/Wが故障したと判定された場合には処理がステップS13に進み、H/Wが故障していないと判定された場合には処理がステップS12aに進むように、出力切替部22cが構成されてもよい。 The output switching unit 22c may change the switching timing in consideration of the failure of the H / W other than the CPU 12 in the first system. For example, as in step S21, if it is determined that the H / W has failed, the process proceeds to step S13, and if it is determined that the H / W has not failed, the process proceeds to step S12a. The output switching unit 22c may be configured.

<変形例1−4>
実施の形態1から変形例1−4までのステップS13の代わりに、出力切替部22cは、ある特定のデータフレームが第1システム送信によって送信されたか否かを判定してもよい。この判定は、例えば、最も送信優先度の高いデータフレームへの演算結果の格納/未格納を示すフラグや、ある特定のデータフレームの送信許可/不許可の状態を用いて判定されてもよい。 <Modification 1-4>
Instead of step S13 from the first embodiment to the modified example 1-4, the output switching unit 22c may determine whether or not a specific data frame has been transmitted by the first system transmission. This determination may be determined by using, for example, a flag indicating storage / non-storage of the operation result in the data frame having the highest transmission priority, or a state of permission / non-permission of transmission of a specific data frame.

<変形例1−5>
出力切替部22cは、第1システムが故障状態から正常状態へ復帰する場合、第2システム送信を停止した後に第1システム送信を行ってもよい。また、出力切替部22cは、第1システムの復帰情報と、通信処理部22bの送信情報とに基づいて、第2システム送信から第1システム送信に切り替えるタイミングを変更してもよい。または、出力切替部22cは、第1システムの復帰情報と、通信処理部22bの送信情報と、演算部22aの演算情報とに基づいて、第2システム送信から第1システム送信に切り替えるタイミングを変更してもよい。 <Modification 1-5>
When the first system returns from the failure state to the normal state, the output switching unit 22c may perform the first system transmission after stopping the second system transmission. Further, the output switching unit 22c may change the timing of switching from the second system transmission to the first system transmission based on the return information of the first system and the transmission information of the communication processing unit 22b. Alternatively, the output switching unit 22c changes the timing of switching from the second system transmission to the first system transmission based on the return information of the first system, the transmission information of the communication processing unit 22b, and the calculation information of the calculation unit 22a. You may.

図13は、本変形例1−5に係る第1システムの動作を示すフローチャートである。なお、図13の動作は、第1システムが正常に復帰した場合に行われる。 FIG. 13 is a flowchart showing the operation of the first system according to the present modification 1-5. The operation of FIG. 13 is performed when the first system returns to normal.

まずステップS31にて、故障監視部13は、第1システムの復帰情報を、故障監視部23を介して第2システムに出力する。 First, in step S31, the failure monitoring unit 13 outputs the return information of the first system to the second system via the failure monitoring unit 23.

ステップS32にて、演算部12aは、指令値などの演算を開始し、その演算結果を通信処理部12bに出力する。 In step S32, the calculation unit 12a starts a calculation such as a command value, and outputs the calculation result to the communication processing unit 12b.

ステップS33にて、CPU12は、第2システムから送信許可を受けたか否かを判定する。送信許可を受けたと判定した場合には処理がステップS34に進み、送信許可を受けなかったと判定した場合にはステップS33の処理が再度行われる。 In step S33, the CPU 12 determines whether or not transmission permission has been received from the second system. If it is determined that the transmission permission has been received, the process proceeds to step S34, and if it is determined that the transmission permission has not been received, the process of step S33 is performed again.

ステップS34にて、第1システムは、第1システム送信を開始する。その後、図13の動作が終了する。 In step S34, the first system starts the transmission of the first system. After that, the operation of FIG. 13 ends.

図14は、本変形例1−5に係る第2システムの動作を示すフローチャートである。なお、図14の動作は、第1システムが正常に復帰した場合に行われる。 FIG. 14 is a flowchart showing the operation of the second system according to the present modification 1-5. The operation of FIG. 14 is performed when the first system returns to normal.

まずステップS41にて、故障監視部23は、第1システムの復帰情報を故障監視部13から受けて出力切替部22cに出力する。 First, in step S41, the failure monitoring unit 23 receives the return information of the first system from the failure monitoring unit 13 and outputs it to the output switching unit 22c.

ステップS42にて、演算部22aは、演算部22aの演算情報を出力切替部22cに出力し、通信処理部22bは、通信処理部22bの送信情報を出力切替部22cに出力する。 In step S42, the calculation unit 22a outputs the calculation information of the calculation unit 22a to the output switching unit 22c, and the communication processing unit 22b outputs the transmission information of the communication processing unit 22b to the output switching unit 22c.

ステップS43にて、出力切替部22cは、第1システムの復帰情報と、通信処理部22bの送信情報と、演算部22aの演算情報とに基づいて、演算部22aの演算処理完了から当該演算処理完了直後の通信処理部22bの送信処理完了までの間に第1システムが復帰したか否かを判定する。 In step S43, the output switching unit 22c performs the arithmetic processing from the completion of the arithmetic processing of the arithmetic unit 22a based on the return information of the first system, the transmission information of the communication processing unit 22b, and the arithmetic information of the arithmetic unit 22a. It is determined whether or not the first system has been restored by the time the transmission processing of the communication processing unit 22b is completed immediately after the completion.

演算部22aの演算処理完了から当該演算処理完了直後の通信処理部22bの送信処理完了までの間に第1システムが復帰したと判定された場合には処理がステップS44に進む。一方、演算部22aの演算処理完了から当該演算処理完了直後の通信処理部22bの送信処理完了までの間に第1システムが復帰したと判定されなかった場合には処理がステップS45に進む。 If it is determined that the first system has been restored between the completion of the arithmetic processing of the arithmetic unit 22a and the completion of the transmission processing of the communication processing unit 22b immediately after the completion of the arithmetic processing, the processing proceeds to step S44. On the other hand, if it is not determined that the first system has been restored between the completion of the arithmetic processing of the arithmetic unit 22a and the completion of the transmission processing of the communication processing unit 22b immediately after the completion of the arithmetic processing, the processing proceeds to step S45.

ステップS44にて、出力切替部22cは、通信処理部22bの送信処理を含む第2システム送信が完了したか否かを判定する。第2システム送信が完了したと判定された場合には処理がステップS45に進み、第1システム送信が完了したと判定されなかった場合にはステップS44の処理が再度行われる。 In step S44, the output switching unit 22c determines whether or not the second system transmission including the transmission processing of the communication processing unit 22b is completed. If it is determined that the second system transmission is completed, the process proceeds to step S45, and if it is not determined that the first system transmission is completed, the process of step S44 is performed again.

ステップS45にて、出力切替部22cは、第2システム送信を停止する。 In step S45, the output switching unit 22c stops the second system transmission.

ステップS46にて、出力切替部22cは、送信許可を第1システムに出力する。これにより図13のステップS34にて第1システム送信が開始される。その後、図14の動作が終了する。なお、ステップS46の動作が行われた後に、図13のステップS33から動作が行われてもよい。 In step S46, the output switching unit 22c outputs the transmission permission to the first system. As a result, the first system transmission is started in step S34 of FIG. After that, the operation of FIG. 14 ends. After the operation of step S46 is performed, the operation may be performed from step S33 of FIG.

以上のような本変形例1−5によれば、第1システム送信を適切に開始することができる。 According to the present modification 1-5 as described above, the first system transmission can be appropriately started.

<変形例1−6>
第2システムの演算結果を送信可能な、第1システム及び第2システムの両方が正常である状態から、第2システムが故障した場合、つまりCPU22などが故障(冗長システムが崩壊)した場合を想定する。この場合、出力切替部22cが送信を切り替えずに、CPU12が縮退制御を行ってもよい。なお、縮退制御は、例えば、運転者にCPU22が故障したことを通知するとともに、運転手主体の自動運転レベルに引き下げること、及び、第1システムによって安全な車両をスペースに自動で停止する制御を行うことなどを含む。 <Modification example 1-6>
It is assumed that the second system fails, that is, the CPU 22 or the like fails (redundant system collapses) from the state where both the first system and the second system, which can transmit the calculation result of the second system, are normal. do. In this case, the CPU 12 may perform degenerate control without switching the transmission by the output switching unit 22c. The degenerate control is, for example, a control that notifies the driver that the CPU 22 has failed, lowers the level to the driver-centered automatic driving level, and automatically stops a safe vehicle in the space by the first system. Including what to do.

図15は、本変形例1−5に係る第1システム及び第2システムの動作を示すフローチャートである。図15の動作は、第2システムの故障が故障監視部23で検出された場合に行われる。 FIG. 15 is a flowchart showing the operation of the first system and the second system according to the present modification 1-5. The operation of FIG. 15 is performed when a failure of the second system is detected by the failure monitoring unit 23.

ステップS51にて、故障監視部23は、第2システムの故障情報を第1システムに送信する。 In step S51, the failure monitoring unit 23 transmits the failure information of the second system to the first system.

ステップS52にて、故障監視部23は、CPU22をリセットし、CPU22の復帰処理を行う。 In step S52, the failure monitoring unit 23 resets the CPU 22 and performs a recovery process of the CPU 22.

ステップS53にて、故障監視部13は、第2システムの故障情報を故障監視部23から受けてCPU12に出力する。 In step S53, the failure monitoring unit 13 receives the failure information of the second system from the failure monitoring unit 23 and outputs it to the CPU 12.

ステップS54にて、CPU12は縮退制御を行う。その後、図15の動作が終了する。 In step S54, the CPU 12 performs degeneration control. After that, the operation of FIG. 15 ends.

以上のような本変形例1−5によれば、第2システムが故障した場合に適切な車両制御を行うことができる。 According to the present modification 1-5 as described above, appropriate vehicle control can be performed when the second system fails.

<変形例1−7>
以上の説明では、故障監視部13と故障監視部23との両方が相互監視機能(比較機能)を有する構成としたが、その機能はそれらの片方のみに持たせてもよい。例えば、CPU22は、CPU12に比べて故障率が低い構成にし、故障監視部23のみに相互監視機能を持たせてもよい。 <Modification example 1-7>
In the above description, both the failure monitoring unit 13 and the failure monitoring unit 23 have a mutual monitoring function (comparison function), but the function may be provided to only one of them. For example, the CPU 22 may have a configuration in which the failure rate is lower than that of the CPU 12, and only the failure monitoring unit 23 may have a mutual monitoring function.

また以上の説明において、CPU22の故障監視部23は、CPU12の故障監視部13よりも故障率が低く、信頼性が高くなるように、故障監視部13,23は構成されてもよい。そして、その構成において、故障監視部23による故障診断の結果は、故障監視部13による故障診断の結果よりも優先度が高く設定されてもよい。つまり、故障監視部23による診断結果と故障監視部13による診断結果とが互いに異なる場合、故障監視部23の診断結果が優先されてもよい。例えば、CPU12の故障監視部13では故障が検出されていないが、CPU22の故障監視部23の相互監視機能によって故障が検出された場合には、CPU12側で故障が発生したものと判定されてもよい。 Further, in the above description, the failure monitoring unit 23 of the CPU 22 may be configured with the failure monitoring units 13 and 23 so that the failure rate is lower and the reliability is higher than the failure monitoring unit 13 of the CPU 12. In that configuration, the result of the failure diagnosis by the failure monitoring unit 23 may be set with a higher priority than the result of the failure diagnosis by the failure monitoring unit 13. That is, when the diagnosis result by the failure monitoring unit 23 and the diagnosis result by the failure monitoring unit 13 are different from each other, the diagnosis result of the failure monitoring unit 23 may be prioritized. For example, if a failure is not detected by the failure monitoring unit 13 of the CPU 12, but a failure is detected by the mutual monitoring function of the failure monitoring unit 23 of the CPU 22, even if it is determined that the failure has occurred on the CPU 12 side. good.

なお本変形例1−7の以上の構成では、故障監視部23及び故障監視部13の優先度は、それらの故障率に対応させて設定されたが、これに限ったものではない。例えば、ISO26262に規定されるASIL(Automotive Safety Integrity Level)に従い、ASILレベルの高い方に、高い優先度を持たせてもよい。また、第2システムは、予防安全システムであり、第1システムは、第2システムよりも自動化レベルが高い自動運転システムであってもよい。 In the above configurations of the present modification 1-7, the priority of the failure monitoring unit 23 and the failure monitoring unit 13 is set according to their failure rates, but the priority is not limited to this. For example, in accordance with the ASIL (Automotive Safety Integrity Level) defined in ISO 26262, the higher ASIL level may be given a higher priority. Further, the second system may be a preventive safety system, and the first system may be an automated driving system having a higher automation level than the second system.

<実施の形態2>
図16は、本実施の形態2に係る車両制御装置の構成を示すブロック図である。以下、本実施の形態2に係る構成要素のうち、上述の構成要素と同じまたは類似する構成要素については同じまたは類似する参照符号を付し、異なる構成要素について主に説明する。 <Embodiment 2>
FIG. 16 is a block diagram showing the configuration of the vehicle control device according to the second embodiment. Hereinafter, among the components according to the second embodiment, the same or similar components as those described above will be designated by the same or similar reference numerals, and different components will be mainly described.

本実施の形態2では、出力切替部は、第2システムに含まれる出力切替部22c(第2出力切替部)だけでなく、第1システムに含まれる出力切替部12c(第1出力切替部)を含む。そして変形例1−1と同様、出力切替部12c及び出力切替部22cのそれぞれは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、切り替えタイミングを変更する。また変形例1−3と同様、出力切替部12c及び出力切替部22cのそれぞれは、故障監視部13で故障が検出された領域の種類を考慮して切り替えタイミングを変更する。 In the second embodiment, the output switching unit includes not only the output switching unit 22c (second output switching unit) included in the second system but also the output switching unit 12c (first output switching unit) included in the first system. including. Then, as in the modification 1-1, each of the output switching unit 12c and the output switching unit 22c is based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a. Change the switching timing. Further, as in the modification 1-3, each of the output switching unit 12c and the output switching unit 22c changes the switching timing in consideration of the type of the region in which the failure is detected by the failure monitoring unit 13.

<動作>
図17は、本実施の形態2に係る第1システムの動作を示すフローチャートである。図17の動作は、第1システムの故障が故障監視部13で検出された場合に行われる。 <Operation>
FIG. 17 is a flowchart showing the operation of the first system according to the second embodiment. The operation of FIG. 17 is performed when a failure of the first system is detected by the failure monitoring unit 13.

まずステップS61にて、故障監視部13は、第1システムの故障情報と、故障が検出された領域の種類とを出力切替部12c,22cに出力する。通信処理部12bは、通信処理部12bの送信情報を出力切替部12c,22cに出力する。演算部12aは、演算部12aの演算情報を出力切替部12c,22cに出力する。 First, in step S61, the failure monitoring unit 13 outputs the failure information of the first system and the type of the region where the failure is detected to the output switching units 12c and 22c. The communication processing unit 12b outputs the transmission information of the communication processing unit 12b to the output switching units 12c and 22c. The calculation unit 12a outputs the calculation information of the calculation unit 12a to the output switching units 12c and 22c.

ステップS62にて、故障監視部13は、通信処理部12bの通信領域が故障したか否かを判定する。通信領域が故障したと判定された場合には処理がステップS63に進み、通信領域が故障していないと判定された場合には処理がステップS66に進む。 In step S62, the failure monitoring unit 13 determines whether or not the communication area of the communication processing unit 12b has failed. If it is determined that the communication area has failed, the process proceeds to step S63, and if it is determined that the communication area has not failed, the process proceeds to step S66.

ステップS63にて、故障監視部13は、故障監視部13が第1システムのハードウェアの電源オフ及びリセット並びにソフトウェアの送信処理停止を行うことによって第1システム送信を停止可能であるか否かを判定する。故障監視部13が第1システム送信を停止可能であると判定された場合には処理がステップS71に進み、故障監視部13が第1システム送信を停止可能でないと判定された場合には処理がステップS64に進む。なお、ステップS64に処理が進んだ場合には、後述する第2システムの動作(図18のステップS15)によって第1システム送信が停止される。 In step S63, the failure monitoring unit 13 determines whether or not the failure monitoring unit 13 can stop the transmission of the first system by turning off and resetting the hardware of the first system and stopping the transmission processing of the software. judge. If the failure monitoring unit 13 determines that the first system transmission can be stopped, the process proceeds to step S71, and if the failure monitoring unit 13 determines that the first system transmission cannot be stopped, the process proceeds. The process proceeds to step S64. When the process proceeds to step S64, the transmission of the first system is stopped by the operation of the second system (step S15 in FIG. 18) described later.

ステップS64にて、故障監視部13は、第1システム送信が停止したか否かを判定する。第1システム送信が停止したと判定された場合には処理がステップS72に進み、第1システム送信が停止したと判定されなかった場合には処理がステップS65に進む。 In step S64, the failure monitoring unit 13 determines whether or not the first system transmission has stopped. If it is determined that the first system transmission has stopped, the process proceeds to step S72, and if it is not determined that the first system transmission has stopped, the process proceeds to step S65.

ステップS65にて、故障監視部13は、ステップS64の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS72に進み、タイムアウトしたと判定されなかった場合には処理がステップS64に戻る。 In step S65, the failure monitoring unit 13 determines whether or not the time elapsed since the determination in step S64 is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S72, and if it is not determined that the time-out has not occurred, the process returns to step S64.

ステップS66にて、故障監視部13は、故障監視部13がCPU12を停止することにより第1システム送信を停止可能であるか否かを判定する。故障監視部13が第1システム送信を停止可能であると判定された場合には処理がステップS67に進み、故障監視部13が第1システム送信を停止可能でないと判定された場合には処理がステップS64に進む。なお、ステップS67に処理が進んだ場合には、以下で説明するように、出力切替部12cが、変形例1−3で出力切替部22cが行った図12のステップS21以降の処理の一部と同様の処理を行う。 In step S66, the failure monitoring unit 13 determines whether or not the failure monitoring unit 13 can stop the first system transmission by stopping the CPU 12. If the failure monitoring unit 13 determines that the first system transmission can be stopped, the process proceeds to step S67, and if the failure monitoring unit 13 determines that the first system transmission cannot be stopped, the process proceeds. The process proceeds to step S64. When the processing proceeds to step S67, as described below, the output switching unit 12c is a part of the processing after step S21 in FIG. 12 performed by the output switching unit 22c in the modification 1-3. Perform the same processing as.

ステップS67にて、出力切替部12cは、演算部12aの演算領域が故障したか否かを判定する。演算部12aの演算領域が故障したと判定された場合には処理がステップS69に進み、演算部12aの演算領域が故障していないと判定された場合には処理がステップS68に進む。 In step S67, the output switching unit 12c determines whether or not the calculation area of the calculation unit 12a has failed. If it is determined that the arithmetic area of the arithmetic unit 12a has failed, the process proceeds to step S69, and if it is determined that the arithmetic area of the arithmetic unit 12a has not failed, the process proceeds to step S68.

ステップS68にて、出力切替部12cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したか否かを判定する。 In step S68, the output switching unit 12c starts the arithmetic processing from the completion of the arithmetic processing of the arithmetic unit 12a based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the arithmetic information of the arithmetic unit 12a. It is determined whether or not a failure of the first system has occurred until the transmission processing of the communication processing unit 12b is completed immediately after the completion.

演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定された場合には処理がステップS69に進む。一方、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS71に進む。 If it is determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S69. On the other hand, if it is not determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S71. ..

ステップS69にて、出力切替部12cは、通信処理部12bの送信処理を含む第1システム送信が完了したか否かを判定する。この判定は、例えば、通信処理部12bから新しく出力された送信情報などに基づいて行われる。第1システム送信が完了したと判定された場合には処理がステップS71に進み、第1システム送信が完了したと判定されなかった場合には処理がステップS70に進む。 In step S69, the output switching unit 12c determines whether or not the first system transmission including the transmission processing of the communication processing unit 12b is completed. This determination is made based on, for example, the transmission information newly output from the communication processing unit 12b. If it is determined that the first system transmission is completed, the process proceeds to step S71, and if it is not determined that the first system transmission is completed, the process proceeds to step S70.

ステップS70にて、出力切替部12cは、ステップS69の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS72に進み、タイムアウトしたと判定されなかった場合には処理がステップS69に戻る。 In step S70, the output switching unit 12c determines whether or not the time elapsed since the determination in step S69 is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S72, and if it is not determined that the time-out has not occurred, the process returns to step S69.

ステップS71にて、出力切替部12cは、第1システム送信を停止する。 In step S71, the output switching unit 12c stops the first system transmission.

ステップS72にて、故障監視部13は、CPU12をリセットし、CPU12の復帰処理を行う。 In step S72, the failure monitoring unit 13 resets the CPU 12 and performs a recovery process of the CPU 12.

ステップS73にて、故障監視部13は、第1システムが正常に復帰したか否かを判定する。第1システムが正常に復帰したと判定された場合には図17の動作が終了し、第1システムが正常に復帰したと判定されなかった場合には図17の動作が再度行われる。 In step S73, the failure monitoring unit 13 determines whether or not the first system has returned to normal. If it is determined that the first system has returned to normal, the operation of FIG. 17 ends, and if it is not determined that the first system has returned to normal, the operation of FIG. 17 is performed again.

図18は、本実施の形態2に係る第2システムの動作を示すフローチャートである。図18の動作は、第1システムの故障が故障監視部13で検出された場合に行われる。図18の動作は、図12の動作に図4のステップS14を追加した動作と同様である。 FIG. 18 is a flowchart showing the operation of the second system according to the second embodiment. The operation of FIG. 18 is performed when a failure of the first system is detected by the failure monitoring unit 13. The operation of FIG. 18 is the same as the operation of adding step S14 of FIG. 4 to the operation of FIG.

ステップS13にて、出力切替部22cは、通信処理部12bの送信処理を含む第1システム送信が完了したか否かを判定する。第1システム送信が完了したと判定された場合には処理がステップS15に進み、第1システム送信が完了したと判定されなかった場合には処理がステップS14に進む。 In step S13, the output switching unit 22c determines whether or not the first system transmission including the transmission processing of the communication processing unit 12b is completed. If it is determined that the first system transmission is completed, the process proceeds to step S15, and if it is not determined that the first system transmission is completed, the process proceeds to step S14.

ステップS14にて、出力切替部22cは、ステップS13の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS15に進み、タイムアウトしたと判定されなかった場合には処理がステップS13に戻る。 In step S14, the output switching unit 22c determines whether or not the time elapsed since the determination in step S13 is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S15, and if it is not determined that the time-out has occurred, the process returns to step S13.

なお、ステップS15の動作が行われた後に、図17のステップS64から動作が行われてもよい。 After the operation of step S15 is performed, the operation may be performed from step S64 of FIG.

<動作の概要>
以上の図17及び図18の動作の概要について説明する。 <Outline of operation>
The outline of the operation of FIGS. 17 and 18 described above will be described.

故障監視部13で通信領域の故障が検出され、故障監視部13が第1システム送信を停止可能である場合(図17のステップS63でYes)に、故障監視部13は、第1システム送信を停止する(図17のステップS71)。 When the failure monitoring unit 13 detects a failure in the communication area and the failure monitoring unit 13 can stop the first system transmission (Yes in step S63 of FIG. 17), the failure monitoring unit 13 transmits the first system transmission. Stop (step S71 in FIG. 17).

故障監視部13で通信領域の故障が検出され、故障監視部13が第1システム送信を停止可能でない場合(図17のステップS63でNo、図18のステップS19でNo)を想定する。この場合に、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報と、故障監視部13で故障が検出された領域の種類とに基づいて、第1システム送信を停止する(図18のステップS20、ステップS21、ステップS12a、ステップS13、ステップS15)。 It is assumed that the failure monitoring unit 13 detects a failure in the communication area and the failure monitoring unit 13 cannot stop the transmission of the first system (No in step S63 in FIG. 17 and No in step S19 in FIG. 18). In this case, the output switching unit 22c determines the failure information of the first system, the transmission information of the communication processing unit 12b, the calculation information of the calculation unit 12a, and the type of the region where the failure is detected by the failure monitoring unit 13. Based on this, the first system transmission is stopped (step S20, step S21, step S12a, step S13, step S15 in FIG. 18).

故障監視部13で通信領域の故障が検出されずに演算領域の故障が検出された場合(図17のステップS67でYes)に、出力切替部12cは、通信処理部12bの送信処理後に第1システム送信を停止する(図17のステップS69、ステップS71)。 When the failure monitoring unit 13 does not detect the failure in the communication area and the failure in the calculation area is detected (Yes in step S67 in FIG. 17), the output switching unit 12c is the first after the transmission process of the communication processing unit 12b. The system transmission is stopped (step S69, step S71 in FIG. 17).

故障監視部13で通信領域の故障及び演算領域の故障のいずれも検出されず(図17のステップS67でNo)、かつ、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定した場合(図17のステップS68でYes)を想定する。この場合に、出力切替部12cは、通信処理部12bの送信処理後に第1システム送信を停止する(図17のステップS69、ステップS71)。 Neither the failure of the communication area nor the failure of the calculation area is detected by the failure monitoring unit 13 (No in step S67 in FIG. 17), and the communication processing unit 12b immediately after the calculation processing is completed in the calculation unit 12a. It is assumed that a failure of the first system has occurred before the transmission process is completed (Yes in step S68 in FIG. 17). In this case, the output switching unit 12c stops the first system transmission after the transmission processing of the communication processing unit 12b (step S69, step S71 in FIG. 17).

故障監視部13で通信領域の故障及び演算領域の故障のいずれも検出されず(図17のステップS67でNo)、かつ、演算部12aの演算処理完了直後の通信処理部12bの送信処理完了から演算部12aの演算処理完了までの間に第1システムの故障が発生したと判定した場合(図17のステップS68でNo)を想定する。この場合に、出力切替部12cは、当該判定直後に第1システム送信を停止する(ステップS71)。 Neither the failure of the communication area nor the failure of the calculation area is detected by the failure monitoring unit 13 (No in step S67 in FIG. 17), and from the completion of the transmission processing of the communication processing unit 12b immediately after the calculation processing of the calculation unit 12a is completed. It is assumed that a failure of the first system has occurred until the calculation process of the calculation unit 12a is completed (No in step S68 of FIG. 17). In this case, the output switching unit 12c stops the first system transmission immediately after the determination (step S71).

なお、出力切替部12cは、第1システムにおけるCPU12以外のH/Wの故障を考慮して切り替えタイミングを変更してもよい。例えば、ステップS67の代わりに、出力切替部12cは、第1システムにおけるCPU12以外のH/Wが故障しているか否かについての判定医を用いてもよい。 The output switching unit 12c may change the switching timing in consideration of the failure of the H / W other than the CPU 12 in the first system. For example, instead of step S67, the output switching unit 12c may use a determining doctor as to whether or not an H / W other than the CPU 12 in the first system is out of order.

<実施の形態2のまとめ>
以上のような本実施の形態2に係る車両制御装置では、出力切替部12c及び出力切替部22cのそれぞれは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、切り替えタイミングを変更する。このような構成によれば、出力切替部12c及び出力切替部22cのいずれかに故障が生じても、送信を適切に切り替えることができる。 <Summary of Embodiment 2>
In the vehicle control device according to the second embodiment as described above, each of the output switching unit 12c and the output switching unit 22c has the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation unit 12a. Change the switching timing based on the calculation information. According to such a configuration, even if any of the output switching unit 12c and the output switching unit 22c fails, the transmission can be appropriately switched.

<変形例2−1>
実施の形態2では、出力切替部12c及び出力切替部22cのそれぞれは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、切り替えタイミングを変更した。しかしこれに限ったものではなく、出力切替部12c及び出力切替部22cのそれぞれは、切り替えタイミングの変更に、演算部12aの演算情報を考慮しなくてもよい。つまり、出力切替部12c及び出力切替部22cのそれぞれは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、切り替えタイミングを変更してもよい。 <Modification 2-1>
In the second embodiment, each of the output switching unit 12c and the output switching unit 22c sets the switching timing based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a. changed. However, the present invention is not limited to this, and each of the output switching unit 12c and the output switching unit 22c does not have to consider the arithmetic information of the arithmetic unit 12a when changing the switching timing. That is, each of the output switching unit 12c and the output switching unit 22c may change the switching timing based on the failure information of the first system and the transmission information of the communication processing unit 12b.

また実施の形態2では、出力切替部12c及び出力切替部22cのそれぞれは、故障監視部13で故障が検出された領域の種類を考慮して切り替えタイミングを変更したが、考慮しなくてもよい。 Further, in the second embodiment, the output switching unit 12c and the output switching unit 22c each change the switching timing in consideration of the type of the region in which the failure is detected by the failure monitoring unit 13, but the switching timing may not be considered. ..

図19は、本変形例2−1に係る第1システムの動作を示すフローチャートである。図19の動作は、第1システムの故障が故障監視部13で検出された場合に行われる。 FIG. 19 is a flowchart showing the operation of the first system according to the present modification 2-1. The operation of FIG. 19 is performed when a failure of the first system is detected by the failure monitoring unit 13.

まずステップS81にて、故障監視部13は、第1システムの故障情報を、故障監視部23を介して出力切替部22cに出力し、通信処理部12bは、通信処理部12bの送信情報を出力切替部22cに出力する。 First, in step S81, the failure monitoring unit 13 outputs the failure information of the first system to the output switching unit 22c via the failure monitoring unit 23, and the communication processing unit 12b outputs the transmission information of the communication processing unit 12b. Output to the switching unit 22c.

ステップS82にて、故障監視部13は、故障監視部13が第1システムのハードウェアの電源オフ及びリセット並びにソフトウェアの送信処理停止を行うことによって第1システム送信を停止可能であるか否かを判定する。故障監視部13が第1システム送信を停止可能であると判定された場合には処理がステップS85に進み、故障監視部13が第1システム送信を停止可能でないと判定された場合には処理がステップS83に進む。 In step S82, the failure monitoring unit 13 determines whether or not the failure monitoring unit 13 can stop the transmission of the first system by turning off and resetting the hardware of the first system and stopping the transmission processing of the software. judge. If the failure monitoring unit 13 determines that the first system transmission can be stopped, the process proceeds to step S85, and if the failure monitoring unit 13 determines that the first system transmission cannot be stopped, the process proceeds. The process proceeds to step S83.

ステップS83にて、故障監視部13は、第1システム送信が停止したか否かを判定する。第1システム送信が停止したと判定された場合には処理がステップS89に進み、第1システム送信が停止したと判定されなかった場合には処理がステップS84に進む。 In step S83, the failure monitoring unit 13 determines whether or not the first system transmission has stopped. If it is determined that the first system transmission has stopped, the process proceeds to step S89, and if it is not determined that the first system transmission has stopped, the process proceeds to step S84.

ステップS84にて、故障監視部13は、ステップS83の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS89に進み、タイムアウトしたと判定されなかった場合には処理がステップS83に戻る。 In step S84, the failure monitoring unit 13 determines whether or not the time elapsed since the determination in step S83 is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S89, and if it is not determined that the time-out has not occurred, the process returns to step S83.

ステップS85にて、出力切替部12cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したか否かを判定する。通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したと判定された場合には処理がステップS86に進み、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS88に進む。 In step S85, the output switching unit 12c is based on the failure information of the first system and the transmission information of the communication processing unit 12b, during the period from the start of the transmission processing of the communication processing unit 12b to the completion of the transmission processing of the first system. Judge whether or not a failure has occurred. If it is determined that a failure of the first system has occurred between the start of the transmission process of the communication processing unit 12b and the completion of the transmission process, the process proceeds to step S86, and the transmission process is completed from the start of the transmission process of the communication processing unit 12b. If it is not determined that the failure of the first system has occurred in the meantime, the process proceeds to step S88.

ステップS86にて、出力切替部12cは、通信処理部12bの送信処理を含む第1システム送信が完了したか否かを判定する。この判定は、例えば、通信処理部12bから新しく出力された送信情報などに基づいて行われる。第1システム送信が完了したと判定された場合には処理がステップS88に進み、第1システム送信が完了したと判定されなかった場合には処理がステップS87に進む。 In step S86, the output switching unit 12c determines whether or not the first system transmission including the transmission processing of the communication processing unit 12b is completed. This determination is made based on, for example, the transmission information newly output from the communication processing unit 12b. If it is determined that the first system transmission is completed, the process proceeds to step S88, and if it is not determined that the first system transmission is completed, the process proceeds to step S87.

ステップS87にて、出力切替部12cは、ステップS86の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS89に進み、タイムアウトしたと判定されなかった場合には処理がステップS86に戻る。なお、ステップS87の閾値を無限大に設定して、ステップS87からステップS89に処理が進まないようにしてもよい。 In step S87, the output switching unit 12c determines whether or not the time elapsed since the determination in step S86 is performed is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S89, and if it is not determined that the time-out has not occurred, the process returns to step S86. The threshold value of step S87 may be set to infinity so that the process does not proceed from step S87 to step S89.

ステップS88にて、出力切替部12cは、第1システム送信を停止する。 In step S88, the output switching unit 12c stops the first system transmission.

ステップS89にて、故障監視部13は、CPU12をリセットし、CPU12の復帰処理を行う。 In step S89, the failure monitoring unit 13 resets the CPU 12 and performs a recovery process of the CPU 12.

ステップS90にて、故障監視部13は、第1システムが正常に復帰したか否かを判定する。第1システムが正常に復帰したと判定された場合には図19の動作が終了し、第1システムが正常に復帰したと判定されなかった場合には図19の動作が再度行われる。 In step S90, the failure monitoring unit 13 determines whether or not the first system has returned to normal. If it is determined that the first system has returned to normal, the operation of FIG. 19 ends, and if it is not determined that the first system has returned to normal, the operation of FIG. 19 is performed again.

図20は、本変形例2−1に係る第2システムの動作を示すフローチャートである。図20の動作は、第1システムの故障が故障監視部13で検出された場合に行われる。 FIG. 20 is a flowchart showing the operation of the second system according to the present modification 2-1. The operation of FIG. 20 is performed when a failure of the first system is detected by the failure monitoring unit 13.

まずステップS101にて、故障監視部23は、第1システムの故障情報を故障監視部13から受けて出力切替部22cに出力する。 First, in step S101, the failure monitoring unit 23 receives the failure information of the first system from the failure monitoring unit 13 and outputs it to the output switching unit 22c.

ステップS102にて、出力切替部22cは、故障監視部13が第1システム送信を停止可能であるか否かを判定する。故障監視部13が第1システム送信を停止可能であると判定された場合には処理がステップS106に進み、故障監視部13が第1システム送信を停止可能でないと判定された場合には処理がステップS103に進む。 In step S102, the output switching unit 22c determines whether or not the failure monitoring unit 13 can stop the first system transmission. If the failure monitoring unit 13 determines that the first system transmission can be stopped, the process proceeds to step S106, and if the failure monitoring unit 13 determines that the first system transmission cannot be stopped, the process proceeds. The process proceeds to step S103.

ステップS103にて、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したか否かを判定する。通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したと判定された場合には処理がステップS104に進み、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS106に進む。 In step S103, the output switching unit 22c is based on the failure information of the first system and the transmission information of the communication processing unit 12b, during the period from the start of the transmission processing of the communication processing unit 12b to the completion of the transmission processing of the first system. Judge whether or not a failure has occurred. If it is determined that a failure of the first system has occurred between the start of the transmission process of the communication processing unit 12b and the completion of the transmission process, the process proceeds to step S104, and the transmission process is completed from the start of the transmission process of the communication processing unit 12b. If it is not determined that the failure of the first system has occurred in the meantime, the process proceeds to step S106.

ステップS104にて、出力切替部22cは、通信処理部12bの送信処理を含む第1システム送信が完了したか否かを判定する。この判定は、例えば、通信処理部12bから新しく出力された送信情報などに基づいて行われる。第1システム送信が完了したと判定された場合には処理がステップS106に進み、第1システム送信が完了したと判定されなかった場合には処理がステップS105に進む。 In step S104, the output switching unit 22c determines whether or not the first system transmission including the transmission processing of the communication processing unit 12b is completed. This determination is made based on, for example, the transmission information newly output from the communication processing unit 12b. If it is determined that the first system transmission is completed, the process proceeds to step S106, and if it is not determined that the first system transmission is completed, the process proceeds to step S105.

ステップS105にて、出力切替部22cは、ステップS104の判定を行ってから経過した時間が予め定められた閾値以上であるか否か、つまりタイムアウトしたか否かを判定する。タイムアウトしたと判定された場合には処理がステップS106に進み、タイムアウトしたと判定されなかった場合には処理がステップS104に戻る。 In step S105, the output switching unit 22c determines whether or not the time elapsed after the determination in step S104 is equal to or greater than a predetermined threshold value, that is, whether or not a timeout has occurred. If it is determined that the time-out has occurred, the process proceeds to step S106, and if it is not determined that the time-out has not occurred, the process returns to step S104.

ステップS106にて、出力切替部22cは、第1システム送信を停止する。なお、ステップS102からステップS106に処理が進んだ場合には、第1システムによる第1システム送信の停止よりも前に、第2システムの出力切替部22cが第1システム送信を停止してしまう可能性がある。そこで、出力切替部22cは、CPU12の処理周期よりも十分遅いタイミングでスイッチ15を介して通信回路14をオフしてもよいし、通信処理部12bの出力が停止することを確認してからスイッチ15を介して通信回路14をオフしてもよい。 In step S106, the output switching unit 22c stops the first system transmission. If the process proceeds from step S102 to step S106, the output switching unit 22c of the second system may stop the transmission of the first system before the transmission of the first system by the first system is stopped. There is sex. Therefore, the output switching unit 22c may turn off the communication circuit 14 via the switch 15 at a timing sufficiently later than the processing cycle of the CPU 12, or the switch after confirming that the output of the communication processing unit 12b is stopped. The communication circuit 14 may be turned off via 15.

ステップS107にて、出力切替部22cは、第2システム送信を開始する。その後、図20の動作が終了する。なお、ステップS106の動作が行われた後に、図19のステップS83から動作が行われてもよい。 In step S107, the output switching unit 22c starts the second system transmission. After that, the operation of FIG. 20 ends. After the operation of step S106 is performed, the operation may be performed from step S83 of FIG.

<動作の概要>
以上の図19及び図20の動作の概要について説明する。 <Outline of operation>
The outline of the operation of FIGS. 19 and 20 will be described.

故障監視部13が第1システム送信を停止可能であり(図19のステップS82でYes)、かつ、通信処理部12bの送信処理開始から送信処理完了までの間に第1システムの故障が発生した場合(図19のステップS85でYes)を想定する。この場合に、出力切替部12cは、通信処理部12bの送信処理後に第1システム送信を停止する(図19のステップS86、ステップS88)。 The failure monitoring unit 13 can stop the transmission of the first system (Yes in step S82 of FIG. 19), and the failure of the first system occurred between the start of the transmission process and the completion of the transmission process of the communication processing unit 12b. Assume a case (Yes in step S85 of FIG. 19). In this case, the output switching unit 12c stops the first system transmission after the transmission processing of the communication processing unit 12b (step S86, step S88 in FIG. 19).

故障監視部13が第1システム送信を停止可能であり(図19のステップS82でYes)、かつ、通信処理部12bの送信処理完了から送信処理開始までの間に第1システムの故障が発生した場合(図19のステップS85でNo)を想定する。この場合に、出力切替部12cは、当該判定直後に第1システム送信を停止する(図19のステップS88)。 The failure monitoring unit 13 can stop the transmission of the first system (Yes in step S82 of FIG. 19), and a failure of the first system has occurred between the completion of the transmission processing of the communication processing unit 12b and the start of the transmission processing. A case (No in step S85 of FIG. 19) is assumed. In this case, the output switching unit 12c stops the first system transmission immediately after the determination (step S88 in FIG. 19).

送信情報を取得できずにタイムアウトした場合(図20のステップS105のYes)には、出力切替部22cは第1システム送信を停止する(図20のステップS106)。 When a time-out occurs because the transmission information cannot be acquired (Yes in step S105 of FIG. 20), the output switching unit 22c stops the first system transmission (step S106 of FIG. 20).

故障監視部13が第1システム送信を停止可能でない場合(図19のステップS82でNo、図20のステップS102でNo)を想定する。この場合に、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、第1システム送信を停止する(図20のステップS103、ステップS104、ステップS105、ステップS106)。 It is assumed that the failure monitoring unit 13 cannot stop the transmission of the first system (No in step S82 of FIG. 19 and No in step S102 of FIG. 20). In this case, the output switching unit 22c stops the transmission of the first system based on the failure information of the first system and the transmission information of the communication processing unit 12b (step S103, step S104, step S105, FIG. 20). Step S106).

故障監視部13が第1システム送信を停止可能である場合(図20のステップS102でYes)、好ましくは第1システムが第1システム送信を停止してから、出力切替部22cは、第1システム送信を停止する(図20のステップS106)。 When the failure monitoring unit 13 can stop the transmission of the first system (Yes in step S102 of FIG. 20), preferably after the first system stops the transmission of the first system, the output switching unit 22c is the first system. The transmission is stopped (step S106 in FIG. 20).

故障監視部13は、第1システム送信の停止後に、CPU12をリセットし、CPU12の復帰処理を行う(図19のステップS89)。また、故障監視部13は、第1システム送信の停止を判定できない場合にタイムアウトする(図19のステップS87でYes)と、リセット(復帰処理)を行う(図19のステップS89)。 After stopping the transmission of the first system, the failure monitoring unit 13 resets the CPU 12 and performs a recovery process of the CPU 12 (step S89 in FIG. 19). Further, the failure monitoring unit 13 times out when it cannot determine that the first system transmission is stopped (Yes in step S87 of FIG. 19), and resets (returns) (step S89 of FIG. 19).

<変形例2−2>
実施の形態2では、出力切替部12c及び出力切替部22cのそれぞれは、故障監視部13で故障が検出された領域の種類を考慮して切り替えタイミングを変更したが、考慮しなくてもよい。 <Modification 2-2>
In the second embodiment, the output switching unit 12c and the output switching unit 22c each change the switching timing in consideration of the type of the region in which the failure is detected by the failure monitoring unit 13, but the switching timing may not be considered.

図21は、本変形例2−2に係る第1システムの動作を示すフローチャートである。図21の動作は、図19の動作のステップS81及びステップS85を、ステップS81a及びステップS85aにそれぞれ変更した動作と同様である。 FIG. 21 is a flowchart showing the operation of the first system according to the present modification 2-2. The operation of FIG. 21 is the same as the operation in which step S81 and step S85 of the operation of FIG. 19 are changed to step S81a and step S85a, respectively.

ステップS81aにて、故障監視部13は、第1システムの故障情報を出力切替部22cに出力し、通信処理部12bは、通信処理部12bの送信情報を出力切替部22cに出力する。また、演算部12aは、演算部12aの演算情報を出力切替部22cに出力する。 In step S81a, the failure monitoring unit 13 outputs the failure information of the first system to the output switching unit 22c, and the communication processing unit 12b outputs the transmission information of the communication processing unit 12b to the output switching unit 22c. Further, the calculation unit 12a outputs the calculation information of the calculation unit 12a to the output switching unit 22c.

ステップS85aにて、出力切替部12cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したか否かを判定する。 In step S85a, the output switching unit 12c starts the arithmetic processing from the completion of the arithmetic processing of the arithmetic unit 12a based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the arithmetic information of the arithmetic unit 12a. It is determined whether or not a failure of the first system has occurred until the transmission processing of the communication processing unit 12b is completed immediately after the completion.

演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定された場合には処理がステップS86に進む。一方、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS88に進む。 If it is determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S86. On the other hand, if it is not determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S88. ..

図22は、本変形例2−2に係る第2システムの動作を示すフローチャートである。図22の動作は、図20の動作のステップS103を、ステップS103aに変更した動作と同様である。 FIG. 22 is a flowchart showing the operation of the second system according to the present modification 2-2. The operation of FIG. 22 is the same as the operation in which step S103 of the operation of FIG. 20 is changed to step S103a.

ステップS103aにて、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報と、演算部12aの演算情報とに基づいて、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したか否かを判定する。 In step S103a, the output switching unit 22c processes the calculation from the completion of the calculation process of the calculation unit 12a based on the failure information of the first system, the transmission information of the communication processing unit 12b, and the calculation information of the calculation unit 12a. It is determined whether or not a failure of the first system has occurred until the transmission processing of the communication processing unit 12b is completed immediately after the completion.

演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定された場合には処理がステップS104に進む。一方、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生したと判定されなかった場合には処理がステップS106に進む。 If it is determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S104. On the other hand, if it is not determined that a failure of the first system has occurred between the completion of the arithmetic processing of the arithmetic unit 12a and the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing, the processing proceeds to step S106. ..

<動作の概要>
以上の図21及び図22の動作の概要について説明する。 <Outline of operation>
The outline of the operation of FIGS. 21 and 22 described above will be described.

故障監視部13が第1システム送信を停止可能であり(図21のステップS82でYes)、かつ、演算部12aの演算処理完了から当該演算処理完了直後の通信処理部12bの送信処理完了までの間に第1システムの故障が発生した場合(図21のステップS85aでYes)を想定する。この場合に、出力切替部12cは、通信処理部12bの送信処理後に第1システム送信を停止する(図21のステップS86、ステップS88)。 The failure monitoring unit 13 can stop the transmission of the first system (Yes in step S82 of FIG. 21), and from the completion of the arithmetic processing of the arithmetic unit 12a to the completion of the transmission processing of the communication processing unit 12b immediately after the completion of the arithmetic processing. It is assumed that a failure of the first system occurs during that time (Yes in step S85a in FIG. 21). In this case, the output switching unit 12c stops the first system transmission after the transmission processing of the communication processing unit 12b (step S86, step S88 in FIG. 21).

故障監視部13が第1システム送信を停止可能であり(図21のステップS82でYes)、かつ、演算部12aの演算処理完了直後の通信処理部12bの送信処理完了から演算部12aの演算処理完了までの間に第1システムの故障が発生した場合(図21のステップS85aでNo)を想定する。この場合に、出力切替部12cは、当該判定直後に第1システム送信を停止する(図21のステップS88)。 The failure monitoring unit 13 can stop the transmission of the first system (Yes in step S82 of FIG. 21), and the operation processing of the calculation unit 12a is performed from the completion of the transmission processing of the communication processing unit 12b immediately after the calculation processing of the calculation unit 12a is completed. It is assumed that a failure of the first system occurs before the completion (No in step S85a of FIG. 21). In this case, the output switching unit 12c stops the first system transmission immediately after the determination (step S88 in FIG. 21).

送信情報を取得できずにタイムアウトした場合(図22のステップS105のYes)には、出力切替部22cは第1システム送信を停止する(図22のステップS106)。 If the transmission information cannot be acquired and a time-out occurs (Yes in step S105 in FIG. 22), the output switching unit 22c stops the first system transmission (step S106 in FIG. 22).

故障監視部13が第1システム送信を停止可能でない場合(図21のステップS82でNo、図22のステップS102でNo)を想定する。この場合に、出力切替部22cは、第1システムの故障情報と、通信処理部12bの送信情報とに基づいて、第1システム送信を停止する(図22のステップS103a、ステップS104、ステップS105、ステップS106)。 It is assumed that the failure monitoring unit 13 cannot stop the transmission of the first system (No in step S82 of FIG. 21 and No in step S102 of FIG. 22). In this case, the output switching unit 22c stops the transmission of the first system based on the failure information of the first system and the transmission information of the communication processing unit 12b (steps S103a, S104, and S105 in FIG. 22). Step S106).

故障監視部13が第1システム送信を停止可能である場合(図22のステップS102でYes)、好ましくは第1システムが第1システム送信を停止してから、出力切替部22cは、第1システム送信を停止する(図22のステップS106)。 When the failure monitoring unit 13 can stop the transmission of the first system (Yes in step S102 of FIG. 22), preferably, after the first system stops the transmission of the first system, the output switching unit 22c is the first system. The transmission is stopped (step S106 in FIG. 22).

故障監視部13は、第1システム送信の停止後に、CPU12をリセットし、CPU12の復帰処理を行う(図21のステップS89)。また、故障監視部13は、第1システム送信の停止を判定できない場合にタイムアウトする(図21のステップS87でYes)と、リセット(復帰処理)を行う(図21のステップS89)。 After stopping the transmission of the first system, the failure monitoring unit 13 resets the CPU 12 and performs a recovery process of the CPU 12 (step S89 in FIG. 21). Further, the failure monitoring unit 13 times out when it cannot determine that the first system transmission is stopped (Yes in step S87 of FIG. 21), and resets (returns) (step S89 of FIG. 21).

<その他>
以上で説明した車両制御装置は、CPU及びメモリなどのハードウェアと、車両制御装置の動作を制御するための制御プログラムなどのソフトウェアとが協働することによって実現されてもよいし、処理回路などの専用のハードウェアによって実現されてもよい。 <Others>
The vehicle control device described above may be realized by the cooperation of hardware such as a CPU and memory and software such as a control program for controlling the operation of the vehicle control device, or a processing circuit or the like. It may be realized by the dedicated hardware of.

なお、各実施の形態及び各変形例を自由に組み合わせたり、各実施の形態及び各変形例を適宜、変形、省略したりすることが可能である。 It is possible to freely combine each embodiment and each modification, and appropriately modify or omit each embodiment and each modification.

12,22 CPU、12a,22a 演算部、12b,22b 通信処理部、13,23 故障監視部、12c,22c 出力切替部。 12, 22 CPU, 12a, 22a calculation unit, 12b, 22b communication processing unit, 13,23 failure monitoring unit, 12c, 22c output switching unit.

Claims (13)

第1システムに含まれ、AD(Autonomous Driving)制御及びADAS(Advanced Driver Assistance System)制御の少なくともいずれかを含む車両制御が可能である第1制御部と、
第2システムに含まれ、前記車両制御が可能である第2制御部と
を備え、
前記第1制御部は、
前記第1制御部の前記車両制御で用いられる指令値の演算処理を行う第1演算部と、
前記第1演算部で得られる前記指令値の送信処理を行う第1通信処理部と
を含み、
前記第2制御部は、
前記第2制御部の前記車両制御で用いられる指令値の演算処理を行う第2演算部と、
前記第2演算部で得られる前記指令値の送信処理を行う第2通信処理部と
を含み、
前記第1システムの故障を検出する故障監視部と、
前記第1システムの故障を示す故障情報と、前記第1通信処理部が送信処理中であるか否かを示す送信情報とに基づいて、または、前記故障情報と、前記送信情報と、前記第1演算部が演算処理中であるか否かを示す演算情報とに基づいて、前記第1システムの前記第1通信処理部を用いた前記指令値の送信である第1システム送信から、前記第2システムの前記第2通信処理部を用いた前記指令値の送信である第2システム送信に切り替えるタイミングを変更する出力切替部と
をさらに備える、車両制御装置。 A first control unit included in the first system and capable of vehicle control including at least one of AD (Autonomous Driving) control and ADAS (Advanced Driver Assistance System) control.
A second control unit included in the second system and capable of controlling the vehicle is provided.
The first control unit is
The first calculation unit that performs calculation processing of the command value used in the vehicle control of the first control unit, and the first calculation unit.
Including a first communication processing unit that performs transmission processing of the command value obtained by the first calculation unit.
The second control unit
The second calculation unit that performs calculation processing of the command value used in the vehicle control of the second control unit, and the second calculation unit.
Including a second communication processing unit that performs transmission processing of the command value obtained by the second calculation unit.
The failure monitoring unit that detects the failure of the first system and
Based on the failure information indicating the failure of the first system and the transmission information indicating whether or not the first communication processing unit is in the transmission process, or based on the failure information, the transmission information, and the first. From the first system transmission, which is the transmission of the command value using the first communication processing unit of the first system, based on the calculation information indicating whether or not the first calculation unit is in the calculation process, the first system transmission. A vehicle control device further comprising an output switching unit for changing the timing of switching to the second system transmission, which is the transmission of the command value using the second communication processing unit of the system. 請求項1に記載の車両制御装置であって、
前記出力切替部は、
前記故障情報と前記送信情報とに基づいて、前記第1通信処理部の送信処理開始から送信処理完了までの間に前記第1システムの故障が発生したと判定した場合に、当該送信処理後に前記第1システム送信を停止し、
前記故障情報と前記送信情報とに基づいて、前記第1通信処理部の送信処理完了から送信処理開始までの間に前記第1システムの故障が発生したと判定した場合に、当該判定直後に前記第1システム送信を停止する、車両制御装置。 The vehicle control device according to claim 1.
The output switching unit is
When it is determined that a failure of the first system has occurred between the start of the transmission process and the completion of the transmission process of the first communication processing unit based on the failure information and the transmission information, the above-mentioned after the transmission process. Stop the first system transmission,
When it is determined that a failure of the first system has occurred between the completion of the transmission process and the start of the transmission process of the first communication processing unit based on the failure information and the transmission information, the above-mentioned immediately after the determination. First system A vehicle control device that stops transmission. 請求項1に記載の車両制御装置であって、
前記出力切替部は、
前記故障情報と前記送信情報と前記演算情報とに基づいて、前記第1演算部の演算処理完了から当該演算処理完了直後の前記第1通信処理部の送信処理完了までの間に前記第1システムの故障が発生したと判定した場合に、当該送信処理後に前記第1システム送信を停止し、
前記故障情報と前記送信情報と前記演算情報とに基づいて、前記第1演算部の演算処理完了直後の前記第1通信処理部の送信処理完了から前記第1演算部の演算処理完了までの間に前記第1システムの故障が発生したと判定した場合に、当該判定直後に前記第1システム送信を停止する、車両制御装置。 The vehicle control device according to claim 1.
The output switching unit is
Based on the failure information, the transmission information, and the calculation information, the first system is between the completion of the calculation process of the first calculation unit and the completion of the transmission processing of the first communication processing unit immediately after the completion of the calculation process. If it is determined that a failure has occurred, the first system transmission is stopped after the transmission process.
From the completion of the transmission processing of the first communication processing unit immediately after the completion of the calculation processing of the first calculation unit to the completion of the calculation processing of the first calculation unit based on the failure information, the transmission information, and the calculation information. A vehicle control device that stops transmission of the first system immediately after the determination when it is determined that a failure of the first system has occurred. 請求項1から請求項3のうちのいずれか1項に記載の車両制御装置であって、
前記故障監視部は、
前記第1制御部における複数種類の領域の故障をさらに検出し、
前記出力切替部は、
前記故障監視部で故障が検出された領域の種類を考慮して前記タイミングを変更する、車両制御装置。 The vehicle control device according to any one of claims 1 to 3.
The failure monitoring unit is
Further detecting failures in a plurality of types of regions in the first control unit,
The output switching unit is
A vehicle control device that changes the timing in consideration of the type of region in which a failure is detected by the failure monitoring unit. 請求項4に記載の車両制御装置であって、
前記複数種類の領域は、
前記第1通信処理部の通信処理に関する領域である通信領域、及び、前記第1演算部の演算処理に関する領域である演算領域の少なくともいずれか1つを含む、車両制御装置。 The vehicle control device according to claim 4.
The plurality of types of regions
A vehicle control device including at least one of a communication area which is an area related to communication processing of the first communication processing unit and a calculation area which is an area related to calculation processing of the first calculation unit. 請求項1から請求項5のうちのいずれか1項に記載の車両制御装置であって、
前記故障監視部は、
前記第1システムにおけるハードウェアの故障をさらに検出し、
前記出力切替部は、
前記ハードウェアの故障を考慮して前記タイミングを変更する、車両制御装置。 The vehicle control device according to any one of claims 1 to 5.
The failure monitoring unit is
Further detecting a hardware failure in the first system,
The output switching unit is
A vehicle control device that changes the timing in consideration of the hardware failure. 請求項1から請求項3のうちのいずれか1項に記載の車両制御装置であって、
前記故障監視部は、
前記第1システムに含まれる第1故障監視部を含み、かつ、前記第1通信処理部の通信処理に関する領域である通信領域の故障をさらに検出し、
前記故障監視部で前記通信領域の故障が検出されなかった場合には、前記出力切替部によって前記第1システム送信を停止するか否かが判定され、
前記故障監視部で前記通信領域の故障が検出された場合には、前記第1故障監視部または前記出力切替部によって前記第1システム送信を停止するか否かが判定される、車両制御装置。 The vehicle control device according to any one of claims 1 to 3.
The failure monitoring unit is
Further detecting a failure in the communication area including the first failure monitoring unit included in the first system and being the area related to the communication processing of the first communication processing unit.
When the failure monitoring unit does not detect a failure in the communication area, the output switching unit determines whether or not to stop the first system transmission.
A vehicle control device that determines whether or not to stop transmission of the first system by the first failure monitoring unit or the output switching unit when a failure in the communication area is detected by the failure monitoring unit. 請求項1から請求項7のうちのいずれか1項に記載の車両制御装置であって、
前記出力切替部は、
前記第1システムが故障状態から正常状態へ復帰する場合、前記第2システム送信を停止した後に前記第1システム送信を行う、車両制御装置。 The vehicle control device according to any one of claims 1 to 7.
The output switching unit is
A vehicle control device that performs transmission of the first system after stopping transmission of the second system when the first system returns from a failure state to a normal state. 請求項1から請求項8のうちのいずれか1項に記載の車両制御装置であって、
前記第2システムは、予防安全システムであり、
前記第1システムは、前記第2システムよりも自動化レベルが高い自動運転システムである、車両制御装置。 The vehicle control device according to any one of claims 1 to 8.
The second system is a preventive safety system.
The first system is a vehicle control device, which is an automated driving system having a higher automation level than the second system. 請求項1から請求項4のうちのいずれか1項に記載の車両制御装置であって、
前記出力切替部は、
前記第1システムに含まれる第1出力切替部と、
前記第2システムに含まれる第2出力切替部と
を含み、
前記第1出力切替部及び前記第2出力切替部のそれぞれは、
前記故障情報と前記送信情報とに基づいて、または、前記故障情報と前記送信情報と前記演算情報とに基づいて、前記タイミングを変更する、車両制御装置。 The vehicle control device according to any one of claims 1 to 4.
The output switching unit is
The first output switching unit included in the first system and
Including the second output switching unit included in the second system,
Each of the first output switching unit and the second output switching unit
A vehicle control device that changes the timing based on the failure information and the transmission information, or based on the failure information, the transmission information, and the calculation information. 請求項10に記載の車両制御装置であって、
前記故障監視部は、
前記第1制御部における複数種類の領域の故障をさらに検出し、
前記第1出力切替部及び前記第2出力切替部のそれぞれは、
前記故障監視部で故障が検出された領域の種類を考慮して前記タイミングを変更する、車両制御装置。 The vehicle control device according to claim 10.
The failure monitoring unit is
Further detecting failures in a plurality of types of regions in the first control unit,
Each of the first output switching unit and the second output switching unit
A vehicle control device that changes the timing in consideration of the type of region in which a failure is detected by the failure monitoring unit. 請求項11に記載の車両制御装置であって、
前記複数種類の領域は、
前記第1通信処理部の通信処理に関する領域である通信領域、及び、前記第1演算部の演算処理に関する領域である演算領域を含み、
前記故障監視部は、
前記第1システムに含まれる第1故障監視部を含み、
前記第1故障監視部は、
前記故障監視部で前記通信領域の故障が検出され、前記第1故障監視部が前記第1システム送信を停止可能である場合に、前記第1システム送信を停止し、
前記第2出力切替部は、
前記故障監視部で前記通信領域の故障が検出され、前記第1故障監視部が前記第1システム送信を停止可能でない場合に、前記故障情報と、前記送信情報と、前記演算情報と、前記故障監視部で故障が検出された領域の種類とに基づいて、前記第1システム送信を停止し、
前記第1出力切替部は、
前記故障監視部で前記通信領域の故障が検出されずに前記演算領域の故障が検出された場合に、前記第1通信処理部の送信処理後に前記第1システム送信を停止し、
前記故障監視部で前記通信領域の故障及び前記演算領域の故障のいずれも検出されず、かつ、前記故障情報と前記送信情報と前記演算情報とに基づいて、前記第1演算部の演算処理完了から当該演算処理完了直後の前記第1通信処理部の送信処理完了までの間に前記第1システムの故障が発生したと判定した場合に、当該送信処理後に前記第1システム送信を停止し、
前記故障監視部で前記通信領域の故障及び前記演算領域の故障のいずれも検出されず、かつ、前記故障情報と前記送信情報と前記演算情報とに基づいて、前記第1演算部の演算処理完了直後の前記第1通信処理部の送信処理完了から前記第1演算部の演算処理完了までの間に前記第1システムの故障が発生したと判定した場合に、当該判定直後に前記第1システム送信を停止する、車両制御装置。 The vehicle control device according to claim 11.
The plurality of types of regions
Includes a communication area that is an area related to communication processing of the first communication processing unit, and a calculation area that is an area related to calculation processing of the first calculation unit.
The failure monitoring unit is
Including the first failure monitoring unit included in the first system,
The first failure monitoring unit is
When the failure monitoring unit detects a failure in the communication area and the first failure monitoring unit can stop the first system transmission, the first system transmission is stopped.
The second output switching unit is
When the failure monitoring unit detects a failure in the communication area and the first failure monitoring unit cannot stop the transmission of the first system, the failure information, the transmission information, the calculation information, and the failure Based on the type of area in which the failure was detected by the monitoring unit, the first system transmission was stopped.
The first output switching unit is
When the failure monitoring unit does not detect the failure in the communication area and the failure in the calculation area is detected, the transmission of the first system is stopped after the transmission processing of the first communication processing unit.
Neither the failure of the communication area nor the failure of the calculation area is detected by the failure monitoring unit, and the calculation process of the first calculation unit is completed based on the failure information, the transmission information, and the calculation information. If it is determined that a failure of the first system has occurred between the time when the operation processing is completed and the transmission processing of the first communication processing unit is completed, the transmission of the first system is stopped after the transmission processing.
Neither the failure of the communication area nor the failure of the calculation area is detected by the failure monitoring unit, and the calculation process of the first calculation unit is completed based on the failure information, the transmission information, and the calculation information. When it is determined that a failure of the first system has occurred between the completion of the transmission processing of the first communication processing unit immediately after the completion of the calculation processing of the first calculation unit and the completion of the calculation processing of the first calculation unit, the first system transmission is performed immediately after the determination. To stop the vehicle control device. 車両制御装置を用いた車両制御方法であって、
前記車両制御装置は、
第1システムに含まれ、AD(Autonomous Driving)制御及びADAS(Advanced Driver Assistance System)制御の少なくともいずれかを含む車両制御が可能である第1制御部と、
第2システムに含まれ、前記車両制御が可能である第2制御部と
を備え、
前記第1制御部は、
前記第1制御部の前記車両制御で用いられる指令値の演算処理を行う第1演算部と、
前記第1演算部で得られる前記指令値の送信処理を行う第1通信処理部と
を含み、
前記第2制御部は、
前記第2制御部の前記車両制御で用いられる指令値の演算処理を行う第2演算部と、
前記第2演算部で得られる前記指令値の送信処理を行う第2通信処理部と
を含み、
前記車両制御方法は、
前記第1システムの故障を検出し、
前記第1システムの故障を示す故障情報と、前記第1通信処理部が送信処理中であるか否かを示す送信情報とに基づいて、または、前記故障情報と、前記送信情報と、前記第1演算部が演算処理中であるか否かを示す演算情報とに基づいて、前記第1システムの前記第1通信処理部を用いた前記指令値の送信である第1システム送信から、前記第2システムの前記第2通信処理部を用いた前記指令値の送信である第2システム送信に切り替えるタイミングを変更する、車両制御方法。 It is a vehicle control method using a vehicle control device.
The vehicle control device is
A first control unit included in the first system and capable of vehicle control including at least one of AD (Autonomous Driving) control and ADAS (Advanced Driver Assistance System) control.
A second control unit included in the second system and capable of controlling the vehicle is provided.
The first control unit is
The first calculation unit that performs calculation processing of the command value used in the vehicle control of the first control unit, and the first calculation unit.
Including a first communication processing unit that performs transmission processing of the command value obtained by the first calculation unit.
The second control unit
The second calculation unit that performs calculation processing of the command value used in the vehicle control of the second control unit, and the second calculation unit.
Including a second communication processing unit that performs transmission processing of the command value obtained by the second calculation unit.
The vehicle control method is
Detecting the failure of the first system,
Based on the failure information indicating the failure of the first system and the transmission information indicating whether or not the first communication processing unit is in the transmission process, or based on the failure information, the transmission information, and the first. From the first system transmission, which is the transmission of the command value using the first communication processing unit of the first system, based on the calculation information indicating whether or not the first calculation unit is in the calculation process, the first system transmission. A vehicle control method for changing the timing of switching to the second system transmission, which is the transmission of the command value using the second communication processing unit of the second system.
JP2020177280A 2020-10-22 2020-10-22 Vehicle control device and vehicle control method Active JP6987201B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020177280A JP6987201B1 (en) 2020-10-22 2020-10-22 Vehicle control device and vehicle control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020177280A JP6987201B1 (en) 2020-10-22 2020-10-22 Vehicle control device and vehicle control method

Publications (2)

Publication Number Publication Date
JP6987201B1 true JP6987201B1 (en) 2021-12-22
JP2022068538A JP2022068538A (en) 2022-05-10

Family

ID=79193230

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020177280A Active JP6987201B1 (en) 2020-10-22 2020-10-22 Vehicle control device and vehicle control method

Country Status (1)

Country Link
JP (1) JP6987201B1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0648224A (en) * 1992-07-31 1994-02-22 Toyota Motor Corp Communication line failure detection device between electronic controllers
US9199665B2 (en) * 2013-05-15 2015-12-01 Jtekt Corporation Electric power steering system
JP6981357B2 (en) * 2018-04-25 2021-12-15 株式会社デンソー Vehicle control device
EP3825197A4 (en) * 2018-07-16 2021-08-18 Nissan Motor Co., Ltd. Driving assistance vehicle control method and control system
JP2020156303A (en) * 2019-03-22 2020-09-24 株式会社豊田自動織機 Battery control apparatus

Also Published As

Publication number Publication date
JP2022068538A (en) 2022-05-10

Similar Documents

Publication Publication Date Title
JP6345199B2 (en) Automatic operation control device
US11724708B2 (en) Fail-safe handling system for autonomous driving vehicle
JP6381835B1 (en) Vehicle control device
CN112540592B (en) Autonomous driving vehicle with dual autonomous driving system for ensuring safety
JP6611664B2 (en) Automatic operation control device and automatic operation control method
JP2019185246A (en) Automatic driving control system
US11209819B2 (en) Vehicle driving control system
US11648940B2 (en) Vehicle driving control system
EP3805066A1 (en) Safe transition from autonomous-to-manual driving mode with assistance of autonomous driving system
WO2018225347A1 (en) Driving-obstacle detecting device and vehicle navigation system
JP7416144B2 (en) Operation takeover control device, method and program
CN113734193A (en) System and method for estimating take over time
KR101914624B1 (en) Processor for preventing accident of automatic driving system and method of the same
JP5233711B2 (en) Running state recording device
JP6861302B2 (en) Vehicle control device and electronic control system
CN111766866A (en) Information processing device and automatic travel control system including the same
JP6987201B1 (en) Vehicle control device and vehicle control method
KR20220060404A (en) Method and apparatus for generating test case for dynamic verification of autonomous driving system
US20230020415A1 (en) Vehicle control system, vehicle integrated control device, electronic control device, network communication device, vehicle control method and computer readable medium
JP2022543591A (en) Method and device for locating a vehicle within a surrounding area
CN116834744A (en) Computer-implemented method, electronic device, and machine-readable medium
US10293815B2 (en) Driver assistance system having controller and controlling method thereof
CN113548065A (en) Method and system for handover from ADS function to driver of vehicle
CN112810620A (en) Operational design domain validation covering adjacent lane relative speeds
WO2022030269A1 (en) Vehicular display control device, vehicular display control system, and vehicular display control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211102

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211130

R150 Certificate of patent or registration of utility model

Ref document number: 6987201

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350