JPWO2019176603A1 - 異常診断システム及び異常診断方法 - Google Patents

異常診断システム及び異常診断方法 Download PDF

Info

Publication number
JPWO2019176603A1
JPWO2019176603A1 JP2020506405A JP2020506405A JPWO2019176603A1 JP WO2019176603 A1 JPWO2019176603 A1 JP WO2019176603A1 JP 2020506405 A JP2020506405 A JP 2020506405A JP 2020506405 A JP2020506405 A JP 2020506405A JP WO2019176603 A1 JPWO2019176603 A1 JP WO2019176603A1
Authority
JP
Japan
Prior art keywords
risk
risk map
ecu
program
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020506405A
Other languages
English (en)
Other versions
JP6922072B2 (ja
Inventor
一 芹沢
一 芹沢
朋仁 蛯名
朋仁 蛯名
成沢 文雄
文雄 成沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Publication of JPWO2019176603A1 publication Critical patent/JPWO2019176603A1/ja
Application granted granted Critical
Publication of JP6922072B2 publication Critical patent/JP6922072B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0016Planning or execution of driving tasks specially adapted for safety of the vehicle or its occupants
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/02Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to ambient conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/0215Sensor drifts or sensor failures

Abstract

車両の自動運転の制御に関わる異常を容易且つ適切に診断できるようにする。車両制御システム(1000)において、車両の周囲の物体に関するセンサ情報に基づいて、車両の自動運転制御に用いるための車両の移動時のリスクに関するリスク情報を生成する複数のリスク情報生成部(リスクマップ作成プログラム112A,112Bを実行するCPU10A,10B)を備え、複数のリスク情報生成部により生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する診断部(診断(リスクマップ比較)プログラム113A,113Bを実行するCPU10A,10B)を備えるように構成する。

Description

本発明は、車両の自動運転の制御に関わる異常を診断する異常診断システム等に関する。
近年、車両の自動運転を行うために自動運転用ECU(電子制御装置)が開発されている。自動運転用ECUの異常を診断する診断方法としては、例えば、特許文献1に記載された方法がある。特許文献1に記載された方法では、メインECUと、サブECUとに演算部と故障検出部とを備え、演算部が算出した操作量の結果を故障検出部が監視する。そして、演算結果の操作量の変化量を故障検出部が監視し、変化量があらかじめ定めた範囲を超えた時に、ECUの故障と判断している。また、メインECUと、サブECUとの操作量の演算結果が不一致となったときに故障と判断している。
一方、自動運転用ECUに関する技術としては、操舵角などの演算を行う前に、自車が通行すべき軌道を決定するためにリスクマップを生成する方法が知られている。リスクマップは、例えば、自車が進みうる各地点と、自車がその地点に存在した際のリスクを数値化したリスクレベルとを対応づけて平面上に表したマップのことをいう。
特開2017−196965号公報
自動運転の制御は複雑度を増しており、単純な操作量の変化だけでは自動運転用ECUの制御の異常と判断がつかない場合がある。例えば、自車が片側二車線の路肩側を走行中に、路肩に駐停車した別の車両をよける際を想定すると、中央線側に多少はみ出すだけで回避できると考えられる。車両が通り得る軌道としては、中央線側の車線に車線変更する軌道や、車線変更しないではみ出して回避する軌道が考えられる。また、中央線側の車線に車線変更するとした場合にあっても、車線変更を行うタイミングが複数あり、複数の軌道が考えられる。この場合においては、操作量が変化したとしても、異常ではない。
このように、自動運転用ECUの制御が異常であるか否かを判定することは困難である。ここで、自動運転用ECUの制御の異常は、ECU自体に起因する異常、ECUの処理に起因する異常、ECUに入力されるデータに起因する異常等を含む。
本発明は、上記事情に鑑みなされたものであり、その目的は、車両の自動運転の制御に関わる異常を容易且つ適切に診断することのできる技術を提供することにある。
上記目的を達成するため、一観点に係る異常診断システムは、車両の周囲の物体に関するセンサ情報に基づいて、車両の自動運転制御に用いるための車両の移動時のリスクに関するリスク情報を生成するリスク情報生成部を備える異常診断システムであって、リスク情報検出部を複数備え、複数のリスク情報生成部により生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する診断部を備える。
本発明によれば、車両の自動運転の制御に関わる異常を容易且つ適切に診断することのできる技術を提供することにある。
図1は、第1実施形態に係る車両制御システムの全体構成図である。 図2は、第1実施形態に係る車両制御システムにおける機能構成図である。 図3は、第1実施形態に係る診断処理のフローチャートである。 図4は、第1実施形態に係る自車の進行方向の状況を示す図である。 図5は、第1実施形態に係るリスクマップ及びリスクの見逃しを説明する図である。 図6は、第1実施形態の変形例に係る診断処理のフローチャートである。 図7は、第2実施形態に係る車両制御システムの全体構成図である。 図8は、第2実施形態に係るリスクマップ抽出処理のフローチャートである。 図9は、第2実施形態に係る診断処理のフローチャートである。 図10は、第3実施形態に係る車両制御システムの全体構成図である。 図11は、第3実施形態に係るリスクマップ抽出処理のフローチャートである。 図12は、第3実施形態に係る診断処理のフローチャートである。 図13、第4実施形態に係る車両制御システムの全体構成図である。 図14は、第4実施形態に係る車両制御システムにおける機能構成図である。 図15は、第4実施形態に係る見逃しリスクリスト及び異常のあるECUの決定方法を説明する図である。 図16は、第4実施形態に係る診断処理のフローチャートである。 図17は、第5実施形態に係る車両制御システムにおける機能構成図である。 図18は、第5実施形態に係る車両制御システムにおける第1のシステム構成図である。 図19は、第5実施形態に係る車両制御システムにおける第2のシステム構成図である。 図20、第6実施形態に係る車両制御システムの全体構成図である。 図21は、第6実施形態に係る車両制御システムにおける機能構成図である。 図22、第7実施形態に係る車両制御システムの全体構成図である。 図23は、第7実施形態に係る車両制御システムにおける機能構成図である。 図24は、第7実施形態に係る診断処理のフローチャートである。
いくつかの実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。
また、以下の説明では、「プログラム」を動作主体として処理を説明する場合があるが、プログラムは、プロセッサ(例えばCPU(Central Processing Unit))によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)及び/又は通信インターフェース装置(例えばポート)を用いながら行うため、処理の主体がプロセッサとされても良い。プログラムを動作主体として説明された処理は、プロセッサを含む装置が行う処理としてもよい。また、プロセッサが行う処理の一部又は全部を行う専用のハードウェア回路を含んでもよい。コンピュータプログラムは、プログラムソースから装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバ、又は、計算機が読み取り可能な非一時的記録メディアであってもよい。
まず、第1実施形態について説明する。
図1は、第1実施形態に係る車両制御システムの全体構成図である。
異常診断システムの一例としての車両制御システム1000は、自動車等の車両に搭載されるシステムであって、各種センサ12と、各種アクチュエータ13と、複数のECU(電子制御装置)1A,1Bと、リセット調停回路15とを備える。ECU1Aと、ECU1Bとは、車載ネットワーク14を介して通信可能に接続されている。車載ネットワーク14は、Ethernet(登録商標)、CAN−FD(CAN with Flexible Data−Rate)等の任意の通信ネットワークでよい。
各ECU(1A,1B)には、各種センサ12と、各種アクチュエータ13と、リセット調停回路15とが接続されている。
各種センサ12は、レーダー、カメラ、GPSセンサなどの車両の周辺環境の情報を取り込むための1以上のセンサを含む。また、各種センサ12は、地図情報を取り込むためのセンサ、車速や操舵角など自車両の情報を取り込むためのセンサを含んでもよい。各種センサ12は、検出したセンサ情報をECU(1A,1B)に出力する。各種センサ12においては、全てのセンサ情報について、共通のセンサからECU1AとECU1Bとにセンサ情報を出力するようにしてもよく、全てのセンサ情報について、同一の機能を有する異なる個体のセンサからECU1AとECU1Bとのそれぞれにセンサ情報を出力するようにしてもよく、また、センサ情報のうちの一部のセンサ情報のみについて、同一の機能を有する異なる個体のセンサからECU1AとECU1Bとのそれぞれにセンサ情報を出力し、残りのセンサ情報については共通のセンサからECU1AとECU1Bとにセンサ情報を出力するようにしてもよい。
各種アクチュエータ13は、車両の走行を操作するためのアクセル、ブレーキ、ステアリング等を操作するための1以上のアクチュエータを含む。各種アクチュエータ13は、ECU1A又はECU1Bから入力される制御情報に基づいて、車両の走行を制御する。
ECU1A(1B)は、CPU10A(10B)と、メモリ11A(11B)とを含む。CPU10A(10B)は、メモリ11A(11B)に格納されているプログラムに従って各種処理を実行する。メモリ11A(11B)は、例えば、RAM(RANDOM ACCESS MEMORY)であり、CPU10A(10B)で実行されるプログラムや、必要な情報を記憶する。
メモリ11A(11B)は、物体認識・動き予測プログラム111A(111B)、リスクマップ作成プログラム112A(112B)、診断(リスクマップ比較)プログラム113A(113B)、軌道生成・車両制御プログラム114A(114B)、及び他系リセットプログラム115A(115B)、リスクマップ116A(116B)を記憶する。各プログラムの機能については、後述する。
なお、以降の説明では、便宜的にプログラムを動作主体として説明することもあるが、実際の実行主体は、プログラムを実行するCPU(10A,10B)である。
なお、ECU1Aと、ECU1Bとの各構成は、同一の構成であっても、同様な構成であってもよい。
リスクマップ(116A,116B)は、リスク情報の一例であり、自車両(自車という)が進みうる各地点(例えば、前進時における自車の前方の各地点)と、自車がその地点に存在したとした際におけるリスクを数値化した値(リスクレベル)とを対応付けて平面上に表したマップである。
リセット調停回路15は、各ECU(1A,1B)からリセット要求(リセット信号)を受け付け、他方のECU(他系)にリセットをかける処理を行う。リセット調停回路15は、一方(例えば、ECU1A)からのリセット要求を受け付けてから、他方(例えば、ECU1B)に対してリセットをかけるまでの間に、他方(すなわち、ECU1B)からリセット要求を受け取った場合には、所定の優先順位に従って、どちらかのECUにリセットをかけるか決定し、決定したECUに対してリセットをかける。
次に、車両制御システム1000における機能構成図を説明する。
図2は、第1実施形態に係る車両制御システムにおける機能構成図である。図2は、機能構成をData Flow Diagram形式で記載している。
物体認識・動き予測プログラム(111A,111B)(実際には、物体認識・動き予測プログラムを実行するCPU(10A,10B)により構成される機能部)は、各種センサ12からのセンサ入力(センサ情報)を受け付け、先行車などの外界の対象物を認識し、その対象物の動きを予測して物体情報として出力する。
リスクマップ作成プログラム(112A,112B)(実際には、リスクマップ作成プログラムを実行するCPU(10A,10B)により構成される機能部:リスク情報生成部の一例)は、物体認識・動き予測プログラム(111A,111B)により出力された物体情報を入力として、リスクマップ(116A,116B)を作成し、自身が所属するECU(自ECU)の診断(リスクマップ比較)プログラム(113A,113B)にリスクマップを出力するとともに、他方のECUの診断(リスクマップ比較)プログラム(113B,113A)にリスクマップを出力する。例えば、リスクマップ作成プログラム112Aを実行するCPU10Aにより構成される機能部が第1のリスク情報生成部であり、リスクマップ作成プログラム112Bを実行するCPU10Bにより構成される機能部が第2のリスク情報生成部である。
診断(リスクマップ比較)プログラム(113A,113B)(実際には、診断(リスクマップ比較)プログラムを実行するCPU(10A,10B)により構成される機能部:診断部の一例)は、他ECUに対して車載ネットワーク14を介して他ECUで作成されたリスクマップの送信を要求するリスクマップ送信要求を送信する。また、診断(リスクマップ比較)プログラム(113A,113B)は、他ECUから車載ネットワーク14を介してリスクマップ送信要求を受信した場合には、自ECU(10A)のリスクマップをリスクマップ送信要求元の他ECU(10B)に送信する。また、診断(リスクマップ比較)プログラム(113A,113B)は、自ECUのリスクマップ作成プログラム(112A,112B)が出力したリスクマップと、他方のECUの診断(リスクマップ比較)プログラム(113B,113A)から取得したリスクマップとを比較し、リスクマップに異常があるか否か(例えば、リスクの見逃しがないか否か)を診断し、異常がある場合(ここでは、リスクの見逃しがある場合)には、他ECU(他系)の異常に対する対処処理(異常対処処理:例えば、他系のECUをリセットする処理)が必要があることを示すリセット要を、他系リセットプログラム(115A,115B)に出力する。
軌道生成・車両制御プログラム(114A,114B)(実際には、軌道生成・車両制御プログラムを実行するCPU(10A,10B)により構成される機能部)は、自ECUのリスクマップ作成プログラム(112A、112B)により出力されたリスクマップから自車の軌道を生成し、生成した軌道上を自車が走行するように各種アクチュエータ13を制御するための制御情報を生成して、出力する。
他系リセットプログラム(115A,115B)(実際には、他系リセットプログラムを実行するCPU(10A,10B)により構成される機能部:異常対処処理部の一例)は、診断(リスクマップ比較)プログラム(113A、113B)から出力されたリセット要を受け取った場合には、リセット調停回路15に他ECUをリセットするためのリセット信号を出力する。
なお、物体認識・動き予測プログラム(111A,111B)、リスクマップ作成プログラム(112A,112B)、診断(リスクマップ比較)プログラム(113A,113B)、軌道生成・車両制御プログラム(114A,114B)、及び他系リセットプログラム(115A,115B)の各プログラムについては、ECU11AとECU11Bとですべて同一のコードのプログラムとしてもよく、また、少なくともいずれか1つを機能は同じであるが、構成が異なるプログラムとしてもよい。例えば、機能が同じで構成が異なるプログラムとしては、例えば、プログラムが学習を行うことにより構成されるプログラムであれば、異なるデータを用いて学習させたプログラムとしてもよく、また、それぞれについて別のベンダにより作成されたプログラムとしてもよい。このように、ECU間で、機能が同じであるが構成が異なるプログラムを用いることにより、一方のプログラムでの不具合を、他方のプログラムでカバーすることができ、全体としての信頼性を向上することができる。
次に、診断処理について説明する。
図3は、第1実施形態に係る診断処理のフローチャートである。
診断処理は、診断(リスクマップ比較)プログラム(113A,113B)をCPU(10A,10B)が実行することにより実行される。診断処理は、例えば、異常が発生してもその対応が問題とならない時間(比較的短い時間)を周期として実行される。以下においては、ECU1Aの診断(リスクマップ比較)プログラム113Aの処理を中心に説明するが、ECU1Bの診断(リスクマップ比較)プログラム113Bの処理も同様である。
診断(リスクマップ比較)プログラム113Aは、他ECU(ECU1B)との間で、リスクマップを送受信する(ステップS101)。本実施形態では、診断(リスクマップ比較)プログラム113Aは、ECU1Bに対して車載ネットワーク14を介してリスクマップ送信要求を送信する。この結果、ECU1Bの診断(リスクマップ比較)プログラム113Bは、車載ネットワーク14を介して、ECU1Bで作成されたリスクマップを診断(リスクマップ比較)プログラム113Aに送信する。これにより、診断(リスクマップ比較)プログラム113Aは、他ECU(ECU1B)が作成したリスクマップを比較用リスクマップとして取得することとなる。なお、本実施形態の変形例として、診断(リスクマップ比較)プログラム113Bとは別に、リスクマップ送信要求に従ってリスクマップを送信する、リスクマップ送信プログラムを設ける構成でも良い。この構成では、診断(リスクマップ比較)プログラム113Aと診断(リスクマップ比較)プログラム113Bとが、ステップS101において互いに待ち合わせを行う必要がなくなる。
次いで、診断(リスクマップ比較)プログラム113Aは、ECU1Aで生成されたリスクマップと、取得したECU1Bで生成されたリスクマップとを比較し、ECU1Bで作成されたリスクマップにリスクの見逃しがあるか否かを検出する(ステップS102)。ここで、リスクの見逃しとは、一のリスクマップにはリスクとして存在している(又はリスクが高い)とされているが、他のリスクマップにはリスクが存在しない(又は、リスクが低い)とされていることをいう。
この結果、リスクの見逃しがあると検出した場合(ステップS103:Y)には、診断(リスクマップ比較)プログラム113Aは、比較対象である他ECU(ここでは、ECU1B)をリセット対象に設定したリセット要を生成し(ステップS105)、他系リセットプログラム115Aを起動してリセット要を渡し(ステップS106)、処理を終了する。ここで、起動された他系リセットプログラム115Aは、リセット要に基づいて、他ECUをリセット対象としたリセット信号をリセット調停回路15に送信する。この結果、リセット信号を受け取ったリセット調停回路15は、受信したリセット信号に基づいて、ECUをリセットする処理を実行する。
一方、リスクの見逃しがないと判定した場合(ステップS103:N)には、診断(リスクマップ比較)プログラム113Aは、処理を終了する。
次に、診断処理におけるステップS102のリスクマップの比較について説明する。
図4は、第1実施形態に係る自車の進行方向の状況を示す図である。
ここで、自車401は、図4に示すように、路肩402と中央線403とで区切られた右カーブに進入しようとしており、自車401の前には、先行車404が走行している。
次に、自車が図4に示す状況にある場合を例にリスクマップ及びリスクマップの比較について説明する。
図5は、第1実施形態に係るリスクマップ及びリスクの見逃しを説明する図である。図5において、リスクマップ116Aは、図4に示す状況においてECU1Aにより生成されたリスクマップの一例を示し、リスクマップ116Bは、図4に示す状況においてECU1Bにより生成されたリスクマップの一例を示す。
図5に示すリスクマップ116A、116Bにおいては、各マス目が図4のそれぞれの位置に対応し、そのマス目には、その位置に自車401が進入したとした場合のリスクレベルが設定される。本実施形態では、リスクレベルは、0(最小)〜9(最大)の値となっている。なお、図5においては、リスクレベルが0については、記載を省略して空欄としている。
リスクマップ116Aにおいては、路肩402の外(図面左上側)の位置は、走行不可のためリスクレベル9と設定され、中央線403から外(図面右下側)の位置にはリスクレベル8〜9と設定されている。また、先行車404が減速した場合に自車401に接触するリスクがあるため、先行車404の位置およびその周辺の位置は、リスクレベル3〜6に設定されている。なお、各位置のリスクレベルの設定は、リスクマップ作成プログラム112Aによって行われている。
一方、リスクマップ116Bにおいては、先行車404の位置およびその周辺の位置がリスクレベル0となっている(点線にかかるマス目の部分)。ここで、リスクマップ116Aと116Bとは、正常であれば、同一又はほぼ同一となっているはずであるが、何らかの異常が発生した場合には、異なった状態となる。
図5に示すリスクマップ116Aとリスクマップ116Bとがある場合には、診断(リスクマップ比較)プログラム113Aは、リスクマップの比較によって、リスクマップ116Bは、点線にかかるマス目のリスクを見逃していると判定する。すなわち、診断(リスクマップ比較)プログラム113Aを実行するCPU10Aは、ECU1Bで生成されたリスクマップ116Bに異常が発生していると診断する。なお、この場合においては、リスクマップ116Bの生成に関与した各要素の何れか(例えば、ECU1Bにセンサ情報を入力したセンサや、物体認識・動き予測プログラム111B、リスクマップ生成プログラム112B、又はECU1B自体)の異常が発生していることがわかり、このままでは、適切な自動制御が行われない可能性がある。なお、リスクを見逃しているか否かの判定は、例えば、同じ位置を示すマス目の一方のリスクレベルが0であり、他方のリスクレベルが0ではない場合にリスクを見逃していると判定してもよい。
上記した診断処理によると、ステップS102でリスクの見逃しが検出されて、他ECUが作成したリスクマップにリスクの見逃しがあった場合には、ステップS105、及びS106でリスクを見逃した他ECUにリセットをかけることができる。これにより、リスクを見逃したリスクマップを適切に検出でき、このリスクマップに基づいた車両制御が行われることを適切に防止することができ、運転制御における安全性を高めることができる。
上記第1実施形態において、以下のような変形例が考えられる。
例えば、上記実施形態においては、ステップS102において、2枚のリスクマップを比較する際に、同一の位置に対応する一方のリスクマップのマス目の値が0であって、他のリスクマップのマス目の値が0と異なるかを比較することにより、リスクの見逃しがあったか否かを判定するようにしていたが、例えば、あらかじめ定めた閾値よりもリスクレベルが高い領域をリスクありとし、その閾値と同一又は異なる値の閾値よりもリスクレベルが低い領域をリスクなしとし、一方のリスクマップにおいてリスクありとなっている位置が、他方のリスクマップにおいてリスクなしとなっている場合に、リスクの見落としがあったと判定してもよい。このような判定を行うようにすると、ノイズによるリスクレベルの誤検出に起因して他方に見逃しありとしてしまう判定誤りを回避することができる。
また、上記した図3に示す診断処理に代えて、以下に示す診断処理を実行するようにしてもよい。
図6は、第1実施形態の変形例に係る診断処理のフローチャートである。なお、図6においては、図3の診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。
図6に示す変形例に係る診断処理においては、ステップS103がNの次にステップS109を含み、ステップS103のYと、ステップS105との間に、ステップS107及びステップS108を含む。
ステップS103で見逃しありと判定された場合(ステップS103:Y)には、診断(リスクマップ比較)プログラム113Aは、所定の時点から見逃しありと判定された回数(判定回数)をカウントアップ(1加算)し(ステップS107)、判定回数が一定回数以上であるか否かを判定する(ステップS108)。この結果、判定回数が一定回数以上でない場合(ステップS108:N)には、診断(リスクマップ比較)プログラム113Aは、他ECUをリセットする後続の処理(ステップS105,S106)を実行せずに処理を終了する。
一方、判定回数が一定回数以上である場合(ステップS108:Y)には、診断(リスクマップ比較)プログラム113Aは、他ECUをリセットする後続の処理(ステップS105,S106)を実行する。なお、見逃しありと判定されなかった場合(ステップS103:N)には、異常がなかったことを意味するので、診断(リスクマップ比較)プログラム113Aは、判定回数を0にクリアし(ステップS109)、処理を終了する。
この処理を実行することにより、ECU間のリスクを検出するタイミングの軽微なずれに起因するリスクの見逃しに対する誤判定を回避することができる。
なお、本実施形態においては、物体認識・動き予測プログラム(111A、111B)をそれぞれ1つのプログラムとして、リスクマップ作成プログラム(112A、112B)を実行するECU(1A、1B)内で実行するとしているが、本発明はこれに限られず、例えば、物体認識・動き予測プログラム(111A、111B)を複数のプログラムに分割してもよく、また、別のECUや、複数のECUで実行するようにしてもよい。また、軌道生成・車両制御プログラム(114A、114B)についても同様に、複数のプログラムに分割してもよく、また、別のECUや、複数のECUで実行するようにしてもよい。
次に、第2実施形態について説明する。
図7は、第2実施形態に係る車両制御システムの全体構成図である。
第2実施形態に係る車両制御システム1001は、第1実施形態に係る車両制御システム1000に対して、メモリ(11A,11B)がさらに送信用リスクマップ(117A、117B:部分リスクマップの一例)、リスクマップ比較条件(静的)(118A、118B)、及びリスクマップ抽出プログラム(119A、119B)を格納するようにした車両制御システムである。ここで、リスクマップ抽出プログラム(119A、119B)をCPU(10A,10B)が実行することにより構成される機能部が、抽出部の一例である。
送信用リスクマップ(117A、117B)は、他ECUからのリスクマップ送信要求に従って送信するリスクマップであり、リスクマップ(116A、116B)から抽出された一部の情報(リスクマップの一部の座標に対する、座標と、その座標に対応するリスクレベルとの組の集合)である。
リスクマップ比較条件(静的)(118A、118B)は、リスクマップ(116A、116B)から送信用リスクマップ(117A、117B)を抽出する条件である。リスクマップ比較条件(静的)(117A、117B)は、例えば、リスクレベルが一定の閾値以上であること(高リスク条件)、自車の位置からの距離が一定以下であること(近い順条件)、前後左右の位置に対してリスクレベルが高いこと(近傍比較条件)のいずれか1つ以上としてもよい。また、送信用リスクマップとして抽出される位置として、高リスク条件に該当する位置と、近い順条件に該当する位置とのそれぞれのリスクレベルにそれぞれ重みをかけて各位置毎に加算し、加算した結果が上位N個(Nは、任意の整数)に属する位置としてもよい。
図8は、第2実施形態に係るリスクマップ抽出処理のフローチャートである。
リスクマップ抽出処理は、リスクマップ抽出プログラム(119A、119B)をCPU(10A,10B)が実行することにより実行される。リスクマップ抽出処理は、例えば、診断処理を実行する前に実行される。以下においては、ECU1Aのリスクマップ抽出プログラム119Aの処理について説明するが、ECU1Bのリスクマップ抽出プログラム119Bの処理も同様である。
リスクマップ抽出プログラム119Aは、リスクマップ(116A、116B)を参照し、リスクマップ比較条件(117A、117B)に合致する情報を抽出し(ステップS201)、抽出した情報を送信用リスクマップ(118A、118B)に出力する(ステップS202)。
次に、診断処理について説明する。
図9は、第2実施形態に係る診断処理のフローチャートである。なお、図9においては、第1実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。
診断(リスクマップ比較)プログラム113Aは、他ECU(ECU1B)の送信用リスクマップ117Bを比較対象のリスクマップとして送受信する(ステップS301)。本実施形態では、診断(リスクマップ比較)プログラム113Aは、ECU1Bに対して車載ネットワーク14を介してリスクマップ送信要求を送信する。この結果、ECU1Bの診断(リスクマップ比較)プログラム113Bは、車載ネットワーク14を介して、ECU1Bで作成された送信用リスクマップ117Bを診断(リスクマップ比較)プログラム113Aに送信することとなる。ここで、診断(リスクマップ比較)プログラム(113A,113B)をCPU(10A,10B)が実行することにより構成される機能部が、送信部の一例である。
次いで、診断(リスクマップ比較)プログラム113Aは、ECU1Aで生成された送信用リスクマップ117Aと、取得したECU1Bで生成された送信用リスクマップ117Bとを比較し、ECU1Bで作成された送信用リスクマップにリスクの見逃しがあるか否かを検出する(ステップS302)。以降の処理は、第1実施形態に係る診断処理と同様である。
上記診断処理によると、リスクマップ116Bよりもデータ量が少ない送信用リスクマップ117Bを車載ネットワーク14を介して送信するので、通信時間を短縮することができるとともに、車載ネットワーク14に対する負荷を軽減することができる。また、ステップS302のリスクマップの比較処理においては、比較する位置が少なくて済むので、処理時間を短縮でき、ECUにおける処理負荷を軽減できる。
次に、第3実施形態について説明する。
図10は、第3実施形態に係る車両制御システムの全体構成図である。
第3実施形態に係る車両制御システム1002は、第2実施形態に係る車両制御システム1001に対して、リスクマップ比較条件(静的)(118A,118B)に代えて、リスクマップ比較条件(静的・動的)(140A,140B)を備え、送信用リスクマップ(117A,117B)に代えて、送信用リスクマップ(履歴付き)(141A,141B)を備え、リスクマップ抽出プログラム(119A,119B)に代えてリスクマップ抽出プログラム(142A,142B)を備えるようにした車両制御システムである。
リスクマップ比較条件(静的・動的)(140A,140B)は、リスクマップ(116A,116B)から送信用リスクマップ(履歴付き)(141A,142B)を抽出する条件である。リスクマップ比較条件(静的・動的)(140A,140B)は、静的な条件として、リスクマップ比較条件(静的)(118A,118B)と同じ条件を含み、更にリスクマップ比較条件(動的)を含む。
リスクマップ比較条件(動的)は、リスクマップ比較条件(静的)で検出された結果の履歴に基づいて適用する条件であり、接近速度(対応するリスクの移動速度)が一定以上であること、出現の新しさがあること(直近の一定回数以下の抽出では検出されていないこと)等がある。
図11は、第3実施形態に係るリスクマップ抽出処理のフローチャートである。
リスクマップ抽出処理は、リスクマップ抽出プログラム(142A,142B)をCPU(10A,10B)が実行することにより実行される。リスクマップ抽出処理は、例えば、診断処理を実行する前に実行される。
リスクマップ抽出プログラム142Aは、リスクマップ(116A,116B)を参照し、リスクマップ比較条件(動的・静的)(140A,140B)の静的条件に従って、該当する各座標の情報を抽出し、その後、静的条件により抽出された各座標の情報の履歴に対して、動的条件に従って、該当する各座標の情報を抽出し(ステップS211)、動的条件により抽出された情報の履歴と、動的条件により抽出された情報を送信用リスクマップ(履歴付)(141A,141B)に出力する(ステップS212)。
このリスクマップ抽出処理によると、より重要度の高いと考えられる座標に絞った送信用リスクマップを作成でき、送信用リスクマップのデータ量をより低減することができる。
次に、診断処理について説明する。
図12は、第3実施形態に係る診断処理のフローチャートである。なお、図12においては、第1実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。
診断(リスクマップ比較)プログラム113Aは、他ECU(ECU1B)の送信用リスクマップ(履歴付)141Bのうちの動的条件により検出された送信用リスクマップを比較対象のリスクマップとして送受信する(ステップS351)。本実施形態では、診断(リスクマップ比較)プログラム113Aは、ECU1Bに対して車載ネットワーク14を介してリスクマップ送信要求を送信する。この結果、ECU1Bの診断(リスクマップ比較)プログラム113Bは、車載ネットワーク14を介して、ECU1Bで作成された送信用リスクマップ(履歴付)141Bの動的条件により検出された送信用リスクマップを診断(リスクマップ比較)プログラム113Aに送信することとなる。
次いで、診断(リスクマップ比較)プログラム113Aは、ECU1Aで生成された送信用リスクマップ(履歴付)141Aのうちの動的条件により検出された送信用リスクマップと、取得したECU1Bで生成された送信用リスクマップ(履歴付)141Bのうちの動的条件により検出された送信用リスクマップとを比較し、ECU1Bで作成された送信用リスクマップ(履歴付)141Bの送信用リスクマップにリスクの見逃しがあるか否かを判定する(ステップS352)。以降の処理は、第1実施形態に係る診断処理と同様である。
上記診断処理によると、送信用リスクマップ117Bよりもデータ量が少ない送信用リスクマップ(履歴付)141Bのうちの動的条件により検出された送信用リスクマップを、車載ネットワーク14を介して送信するので、通信時間を短縮することができるとともに、車載ネットワーク14に対する負荷を軽減することができる。また、ステップS352のリスクマップの比較処理においては、比較する位置が少なくて済むので、処理時間を短縮でき、処理負荷を軽減できる。
次に、第4実施形態について説明する。
図13は、第4実施形態に係る車両制御システムの全体構成図である。
第4実施形態に係る車両制御システム1003は、第1実施形態に係る車両制御システム1000に対して、更にECU1Cを備えるようにするとともに、各ECU(1A,1B,1C)のメモリ(11A,11B,11C)に、見逃しリスクリスト(143A,143B,143C)をさらに格納させるようにし、診断(リスクマップ比較)プログラム(113A,113B,113C)の処理を変更した車両制御システムである。
ECU1Cは、ECU1Aと同様な構成となっている。なお、以下は、第1実施形態に係る車両制御システム1000と異なる点を中心に説明する。
図14は、第4実施形態に係る車両制御システムにおける機能構成図である。
第4実施形態に係る車両制御システム1003の機能構成は、第1実施形態に係る車両制御システム1000の機能構成に対して、ECU1Aと同様な構成のECU1Cの構成をさらに備えた機能構成となっている。なお、車両制御システム1003においては、ECU1Aのリスクマップ作成プログラム112Aで作成されたリスクマップ116Aは、ECU1Bの診断(リスクマップ比較)プログラム113Bに送信され、ECU1Bのリスクマップ作成プログラム112Bで作成されたリスクマップ116Bは、ECU1Cの診断(リスクマップ比較)プログラム113Cに送信され、ECU1Cのリスクマップ作成プログラム112Cで作成されたリスクマップ116Cは、ECU1Aの診断(リスクマップ比較)プログラム113Aに送信される。
次に、見逃しリスクリストと、異常のあるECUの決定方法を説明する。
図15は、第4実施形態に係る見逃しリスクリスト及び異常のあるECUの決定方法を説明する図である。
見逃しリスクリスト143A,143B,143Cは、それぞれ図15に示す1つの行に対応し、診断したECUの情報と、比較元のリスクマップを示す情報と、比較対象のリスクマップを示す情報と、見逃しの判定結果との情報を含む。
ここで、ECU1Aの診断(リスクマップ比較)プログラム113Aは、ECU1Aと、ECU1Cのリスクマップとを比較して見逃しがあるか否かを判定する。また、ECU1Aの診断(リスクマップ比較)プログラム113Aは、他のECU1B,ECU1Cから見逃しリスクの判定結果である見逃しリスクリストを取得する。次いで、ECU1Aの診断(リスクマップ比較)プログラム113Aは、自身の判定結果と、他のECU1B,ECU1Cからの見逃しリスクリストとに基づいて、異常のあるECU(リセット対象のECU)を決定する。
例えば、図15に示すように、ECU1Aのみが比較対象のECU(ECU1C)に見逃しがあると判定し、他のECU1B,ECU1Cが、比較対象のECUに見逃しがないと判定した場合には、ECU1Aの診断(リスクマップ比較)プログラム113Aは、自身の判定結果と、他のECU1B,ECU1Cからの見逃しリスクリストとに基づいて、ECU1Aのみが見逃しありと判定しており、少数派となるECU1Aが異常であると判別でき、ECU1Bの診断(リスクマップ比較)プログラム113Bは、自身の判定結果と、他のECU1A,ECU1Cからの見逃しリスクリストと、に基づいて、ECU1Aのみが見逃しありと判定しており、少数派となるECU1Aが異常であると判別でき、ECU1Cの診断(リスクマップ比較)プログラム113Cは、自身の判定結果と、他のECU1A,ECU1Bからの見逃しリスクリストとに基づいて、ECU1Aのみが見逃しありと判定しており、少数派となるECU1Aが異常であると判別できる。なお、ECUの数が4つ以上の場合には、他ECUの見逃しリスクリストを取得し、自分の判定結果と、他ECUの見逃しリスクリストとに基づいて、見逃しありと報告したECUが一定数以下の場合に、見逃しありと報告したこれらのECUをリセット対象としてもよい。
次に、診断処理について説明する。
図16は、第4実施形態に係る診断処理のフローチャートである。なお、図16においては、第1実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。また、図16は、ECU1Aの処理について説明するが、ECU1B,ECU1Cにおいても同様な処理が実行される。
診断(リスクマップ比較)プログラム113Aは、他ECU(ECU1B)のリスクリストを取得する(ステップS312)。本実施形態では、診断(リスクマップ比較)プログラム113Aは、他ECU(ECU1B,ECU1C)に対して車載ネットワーク14を介して見逃しリスクリスト送信要求を送信する。この結果、他ECUの診断(リスクマップ比較)プログラム(113B,113C)は、車載ネットワーク14を介して、ECU(1B,1C)で作成された見逃しリスクリストを送信することとなる。
次いで、診断(リスクマップ比較)プログラム113Aは、ECU1Aで生成されたリスクマップ116Aと、取得したECU1Cで生成されたリスクマップ116Cとを比較し、ECU1Cで作成されたリスクマップ116Cにリスクの見逃しがあるか否かを検出し、この検出結果と、取得した見逃しリスクリストとの内容を参照し、リスクの見逃しがあるECUを検出する(ステップS313)。
ステップS103でリスクの見逃しありと判定された場合(S103:Y)には、診断(リスクマップ比較)プログラム113Aは、自ECUが過検出(リスクの見逃しありとの判定が少数派)であるか否か判定し(ステップS315)、自ECUが過検出であると判定した場合(ステップS315:Y)には、他ECUをリセット対象とせずに処理を終了する一方、自ECUが過検出でない場合(ステップS315:N)には、処理をステップS105に進めて、リスクの見逃しをした他ECUのリセットを進める。
一方、ステップS103でリスクの見逃しありではないと判定された場合(S103:N)には、診断(リスクマップ比較)プログラム113Aは、過検出(リスクの見逃しありとの判定が少数派)の他ECUがあるか否かを判定し(ステップS314)、過検出の他ECUがあると判定した場合(ステップS314:Y)には、診断(リスクマップ比較)プログラム113Aは、過検出の他ECUをリセット対象に設定したリセット要を生成し(ステップS316)、処理をステップS106に進める一方、過検出の他ECUがないと判定した場合(ステップS314:N)には、他ECUをリセット対象とせずに処理を終了する。
この診断処理によると、複数のECUの内の過検出を行ったリスクマップ作成プログラムを有するECUがリセット対象となる。
次に、第5実施形態について説明する。
図17は、第5実施形態に係る車両制御システムの全体構成図である。
第5実施形態に係る車両制御システム1004は、第1実施形態に係る車両制御システム1000における2つのECU1A、1Bで実行されていた機能を一つのECU1Aで実現するようにした車両制御システムである。すなわち、ECU1Aのメモリ11Aは、物体認識・動き予測プログラム111A,111B、リスクマップ作成プログラム112A,112B、診断(リスクマップ比較)プログラム113A,113B、軌道生成・車両制御プログラム114A,114B、及び他系リセットプログラム115A,115B、リスクマップ116A,116Bを記憶する。本実施形態の他系リセットプログラム115A,115Bは、診断(リスクマップ比較)プログラム(113A、113B)から出力されたリセット要を受け取った場合には、リセット調停回路15に他系の各プログラムをリセットするためのリセット信号を出力する。また、リセット調停回路15は、リセット信号に従って、他系の各プログラムをリセット(再起動)させる制御を行う。
次に、車両制御システム1004におけるシステム構成図について説明する。
図18は、第5実施形態に係る車両制御システムにおける第1のシステム構成図である。図19は、第5実施形態に係る車両制御システムにおける第2のシステム構成図である。
車両制御システム1004は、図18に示すようにCPU10A上でOS120Aが動作し、OS120A上において、物体認識・動き予測プログラム111A、リスクマップ作成プログラム112A、診断(リスクマップ比較)プログラム113A、軌道生成・車両制御プログラム114A、及び他系リセットプログラム115Aのアプリケーションが動作する第1の制御系を構成するとともに、物体認識・動き予測プログラム111B、リスクマップ作成プログラム112B、診断(リスクマップ比較)プログラム113B、軌道生成・車両制御プログラム114B、及び他系リセットプログラム115Bのアプリケーションが動作する第2の制御系を構成するシステム構成とすることができる。
また、車両制御システム1004は、図19に示すようにCPU10A上で、仮想計算機を実現可能にするハイパバイザ121Aが動作して、ハイパバイザ121A上に仮想CPU122A、122Bを構築し、仮想CPU122A上で、OS123Aを動作させ、OS123A上において、物体認識・動き予測プログラム111A、リスクマップ作成プログラム112A、診断(リスクマップ比較)プログラム113A、軌道生成・車両制御プログラム114A、及び他系リセットプログラム115Aのアプリケーションが動作することにより、第1の制御系を構成とともに、仮想CPU122B上で、OS123Bを動作させ、OS123B上において、物体認識・動き予測プログラム111B、リスクマップ作成プログラム112B、診断(リスクマップ比較)プログラム113B、軌道生成・車両制御プログラム114B、及び他系リセットプログラム115Bのアプリケーションが動作することにより、第2の制御系を構成するシステム構成とすることもできる。
本実施形態にかかる車両制御システム1004によると、一つのECU上で動作する複数の系の一方に異常(例えば、リスクの見落とし)が発生したことを適切に検出ができ、その系に対して適切にリセットを行うことができる。
次に、第6実施形態について説明する。
図20は、第6実施形態に係る車両制御システムの全体構成図である。
第6実施形態に係る車両制御システム1005は、第1実施形態に係る車両制御システム1000に対して、メモリ(11A,11B:疑似センサ情報記憶部の一例)がさらに疑似センサ入力(143A,143B:疑似センサ情報)を格納するようにし、この疑似センサ入力を用いて、物体認識・動き予測プログラム(111A,111B)等のプログラムが処理を実行するようにした車両制御システムである。なお、本実施形態では、疑似センサ入力を用いた診断処理は、例えば、車両の始動時や、車両の停車時に実行される。
疑似センサ入力(143A、143B)は、車両が或る状況にある際に各種センサ12から入力されると想定される疑似的なセンサ入力(センサ情報)である。
図21は、第6実施形態に係る車両制御システムにおける機能構成図である。図21は、機能構成をData Flow Diagram形式で記載している。
物体認識・動き予測プログラム(111A,111B)(実際には、物体認識・動き予測プログラムを実行するCPU(10A,10B)により構成される機能部)は、疑似センサ入力を用いた診断処理を実行する時においては、メモリ(11A,11B)の疑似センサ入力を受け付け、疑似センサが示す状況における先行車などの外界の対象物を認識し、その対象物の動きを予測して物体情報として出力する。
リスクマップ作成プログラム(112A、112B)(実際には、リスクマップ作成プログラムを実行するCPU(10A,10B)により構成される機能部)は、物体認識・動き予測プログラム(111A,111B)により出力された物体情報を入力として、リスクマップ(116A,116B)を作成し、自身が所属するECU(自ECU)の診断(リスクマップ比較)プログラム(113A、113B)にリスクマップを出力するとともに、他方のECUの診断(リスクマップ比較)プログラム(113B,113A)にリスクマップを出力する。
診断(リスクマップ比較)プログラム(113A,113B)(実際には、診断(リスクマップ比較)プログラムを実行するCPU(10A,10B)により構成される機能部)は、他ECUに対して車載ネットワーク14を介して他ECUで作成されたリスクマップの送信を要求するリスクマップ送信要求を送信する。また、診断(リスクマップ比較)プログラム(113A,113B)は、他ECUから車載ネットワーク14を介してリスクマップ送信要求を受信した場合には、自ECU(10A)のリスクマップをリスクマップ送信要求元の他ECU(10B)に送信する。また、診断(リスクマップ比較)プログラム(113A,113B)は、自ECUの診断(リスクマップ比較)プログラムが出力した疑似センサ入力に基づくリスクマップと、他方のECUの診断(リスクマップ比較)プログラムから取得した疑似センサ入力に基づくリスクマップとを比較し、リスクの見逃しがないか否かを検出し、リスクの見逃しがある場合には、他ECU(他系)をリセットする必要があることを示すリセット要を、他系リセットプログラム(115A,115B)に出力する。
本実施形態に係る車両制御システム1005によると、車両の始動時や、車両の停車時等に適切にリスクマップの異常を検出することができる。また、疑似センサ入力に基づいてリスクマップを作成するので、各種センサ12における異常の影響を受けることがない。
次に、第7実施形態について説明する。
図22は、第7実施形態に係る車両制御システムの全体構成図である。
第7実施形態に係る車両制御システム1006は、第6実施形態に係る車両制御システム1005に対して、メモリ(11A,11B)がさらに比較用リスクマップ(144A、144B)を格納するようにし、診断(リスクマップ比較)プログラム(113A,113B)は、比較用リスクマップを用いて診断を行うようにした車両制御システムである。
比較用リスクマップ(144A、144B)は、疑似センサ入力があった場合に作成されるべきリスクマップである。
図23は、第7実施形態に係る車両制御システムにおける機能構成図である。図23は、機能構成をData Flow Diagram形式で記載している。
リスクマップ作成プログラム(112A,112B)(実際には、リスクマップ作成プログラムを実行するCPU(10A,10B)により構成される機能部)は、物体認識・動き予測プログラム(111A,111B)により出力された物体情報を入力として、リスクマップ(116A,116B)を作成し、他方のECUの診断(リスクマップ比較)プログラム(113B,113A)にリスクマップを出力する。
診断(リスクマップ比較)プログラム(113A,113B)(実際には、診断(リスクマップ比較)プログラムを実行するCPU(10A,10B)により構成される機能部)は、他ECUに対して車載ネットワーク14を介して他ECUで作成されたリスクマップの送信を要求するリスクマップ送信要求を送信する。また、診断(リスクマップ比較)プログラム(113A,113B)は、他ECUから車載ネットワーク14を介してリスクマップ送信要求を受信した場合には、自ECU(10A)のリスクマップをリスクマップ送信要求元の他ECU(10B)に送信する。また、診断(リスクマップ比較)プログラム(113A,113B)は、メモリ(11A,11B)の比較用リスクマップ(144A,144B)と、他方のECUの診断(リスクマップ比較)プログラム(113B、113A)から取得した疑似センサ入力に基づくリスクマップとを比較し、リスクの見逃しがないか否かを検出し、リスクの見逃しがある場合には、他ECU(他系)をリセットする必要があることを示すリセット要を、他系リセットプログラム(115A,115B)に出力する。
次に、診断処理について説明する。
図24は、第7実施形態に係る診断処理のフローチャートである。なお、図24においては、第1実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。
診断(リスクマップ比較)プログラム113Aは、メモリ11Aの比較用リスクマップ144Aと、取得したECU1Bで生成されたリスクマップ116Bとを比較し、ECU1Bで作成されたリスクマップにリスクの見逃しがあるか否かを検出する(ステップS321)。以降の処理は、第1実施形態に係る診断処理と同様である。
上記診断処理によると、予め記憶されている疑似センサ入力に対応する正確な比較用リスクマップと、他のECUから取得されたリスクマップとを比較するようにしているので、リスクマップの異常の検出の信頼性を高くすることができる。
なお、本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で、適宜変形して実施することが可能である。
例えば、上記いずれか複数の実施形態を組み合わせるようにしてもよい。例えば、第6実施形態又は第7実施形態においては、作成したリスクマップを他のECUに送信するようにしていたが、例えば、第2実施形態又は第3実施形態で示したように、送信用リスクマップを送信するようにしてもよい。
また、上記実施形態では、異常対処処理として、ECUをリセットする処理としていたが、本発明はこれに限られず、例えば、ECUの動作を停止させるようにしてもよい。
また、上記実施形態において、CPUが行っていた処理の一部又は全部を、専用のハードウェア回路で行うようにしてもよい。また、上記実施形態におけるプログラムは、プログラムソースからインストールされてよい。プログラムソースは、プログラム配布サーバ又は記憶メディア(例えば可搬型の記憶メディア)であってもよい。
1000,1001,1002,1003,1004,1005,1006…車両制御システム、1A,1B,1C…ECU、10A,10B,10C…CPU、11A,11B,11C…メモリ、112A,112B,112C…リスクマップ作成プログラム、113A,113B,113C…診断(リスクマップ比較)プログラム、115A,115B,115C…他系リセットプログラム、119A,119B…リスクマップ抽出プログラム

Claims (10)

  1. 車両の周囲の物体に関するセンサ情報に基づいて、前記車両の自動運転制御に用いるための前記車両の移動時のリスクに関するリスク情報を生成するリスク情報生成部を備える異常診断システムであって、
    前記リスク情報検出部を複数備え、
    複数の前記リスク情報生成部により生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する診断部を備える
    異常診断システム。
  2. 前記リスク情報生成部は、前記リスク情報として、前記車両の周囲における複数の位置と、各位置におけるリスクレベルとの対応関係を含むリスクマップを生成する
    請求項1に記載の異常診断システム。
  3. 複数の前記リスク情報生成部のそれぞれに対応して設けられた前記診断部を複数備え、
    複数の前記リスク情報生成部のそれぞれに対応して設けられ、対応する前記リスク情報生成部により生成されたリスクマップの一部である部分リスクマップを抽出する複数の抽出部と、
    複数の前記抽出部のそれぞれに対応して設けられ、対応する抽出部により抽出された前記部分リスクマップを、他のリスク情報生成部に対応する前記診断部に送信する複数の送信部と、をさらに有し、
    それぞれの前記診断部は、前記送信部から送信された前記部分リスクマップと、対応する前記リスク情報生成部により生成された前記リスクマップに対応する部分リスクマップとを比較することにより、リスクマップの異常を診断する
    請求項2に記載の異常診断システム。
  4. 前記抽出部は、前記リスクマップから所定の条件を満たす一部の位置を特定し、前記特定した位置と、その位置におけるリスクレベルとを含む部分リスクマップを抽出する
    請求項3に記載の異常診断システム。
  5. 複数の前記リスク情報生成部のうちの第1のリスク情報生成部と、第2のリスク情報生成部とは、個体の異なる同種のセンサによって検出された情報が含まれるセンサ情報に基づいて、前記リスク情報を生成する
    請求項1から請求項4のいずれか一項に記載の異常診断システム。
  6. 前記診断部は、含まれるリスクが少ないリスク情報について、異常が発生していると診断する
    請求項1から請求項5のいずれか一項に記載の異常診断システム。
  7. 前記診断部により異常が発生していると診断された前記リスク情報を生成した前記リスク情報検出部に対して、異常に対処する所定の処理を実行する異常対処処理部をさらに有する
    請求項1から請求項6のいずれか一項に記載の異常診断システム。
  8. 前記異常診断システムは、
    複数の電子制御装置を備え、
    複数の前記リスク情報検出部は、異なる前記電子制御装置に備えられている
    請求項1から請求項7のいずれか一項に記載の異常診断システム。
  9. 前記センサ情報として、前記車両の周囲の物体が所定の状態にある場合においてセンサから出力されると想定されるセンサ情報である疑似センサ情報を記憶する疑似センサ情報記憶部をさらに備え、
    それぞれの前記リスク情報生成部は、前記疑似センサ情報に基づいて、前記リスク情報を生成し、
    前記診断部は、前記疑似センサ情報に基づいて生成された前記リスク情報に基づいて、前記リスク情報の異常を診断する
    請求項1から請求項8のいずれか一項に記載の異常診断システム。
  10. 車両の周囲の物体に関するセンサ情報に基づいて、前記車両の自動運転制御に用いるための前記車両の移動時のリスクに関するリスク情報を生成する異常診断システムによる異常診断方法であって、
    前記センサ情報に基づいて、複数のリスク情報を生成し、
    生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する
    異常診断方法。
JP2020506405A 2018-03-13 2019-03-04 異常診断システム及び異常診断方法 Active JP6922072B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018045736 2018-03-13
JP2018045736 2018-03-13
PCT/JP2019/008271 WO2019176603A1 (ja) 2018-03-13 2019-03-04 異常診断システム及び異常診断方法

Publications (2)

Publication Number Publication Date
JPWO2019176603A1 true JPWO2019176603A1 (ja) 2020-12-17
JP6922072B2 JP6922072B2 (ja) 2021-08-18

Family

ID=67906991

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020506405A Active JP6922072B2 (ja) 2018-03-13 2019-03-04 異常診断システム及び異常診断方法

Country Status (4)

Country Link
US (1) US20210070321A1 (ja)
EP (1) EP3766753B1 (ja)
JP (1) JP6922072B2 (ja)
WO (1) WO2019176603A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11538287B2 (en) * 2019-09-20 2022-12-27 Sonatus, Inc. System, method, and apparatus for managing vehicle data collection
JP2022548324A (ja) * 2019-09-20 2022-11-17 ソナタス インコーポレイテッド 車両外通信制御のためのシステム、方法、及び装置
US20230158975A1 (en) * 2020-03-06 2023-05-25 Sonatus, Inc. System, method, and apparatus for managing vehicle automation
US11772583B2 (en) 2020-03-06 2023-10-03 Sonatus, Inc. System, method, and apparatus for managing vehicle automation
KR20220027404A (ko) * 2020-08-27 2022-03-08 주식회사 만도모빌리티솔루션즈 Mcu 고장 검출 장치 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008225786A (ja) * 2007-03-12 2008-09-25 Toyota Motor Corp 道路状況検出システム
JP2016038689A (ja) * 2014-08-07 2016-03-22 日立オートモティブシステムズ株式会社 行動計画装置
JP2017224237A (ja) * 2016-06-17 2017-12-21 日立オートモティブシステムズ株式会社 周辺環境認識装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3577765B2 (ja) * 1995-02-15 2004-10-13 日産自動車株式会社 車両盗難防止装置の検査装置
JP4887980B2 (ja) * 2005-11-09 2012-02-29 日産自動車株式会社 車両用運転操作補助装置および車両用運転操作補助装置を備えた車両
DE102011108292A1 (de) * 2011-07-21 2012-04-05 Daimler Ag Verfahren zum Betrieb einer Fahrerassistenzvorrichtung
DE102012201653A1 (de) * 2012-02-03 2013-08-08 Bayerische Motoren Werke Aktiengesellschaft Schaltungsanordnung in einem elektronischen Steuergerät eines Kraftfahrzeuges zur Erkennung von Fehlern
DE102015201569A1 (de) * 2015-01-29 2016-08-04 Continental Teves Ag & Co. Ohg Fahrzeugsteuervorrichtung und verfahren
JP6803657B2 (ja) * 2015-08-31 2020-12-23 日立オートモティブシステムズ株式会社 車両制御装置および車両制御システム
JP6611664B2 (ja) 2016-04-26 2019-11-27 三菱電機株式会社 自動運転制御装置および自動運転制御方法
DE102016210984A1 (de) * 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
DE102017010716A1 (de) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008225786A (ja) * 2007-03-12 2008-09-25 Toyota Motor Corp 道路状況検出システム
JP2016038689A (ja) * 2014-08-07 2016-03-22 日立オートモティブシステムズ株式会社 行動計画装置
JP2017224237A (ja) * 2016-06-17 2017-12-21 日立オートモティブシステムズ株式会社 周辺環境認識装置

Also Published As

Publication number Publication date
WO2019176603A1 (ja) 2019-09-19
EP3766753A1 (en) 2021-01-20
EP3766753B1 (en) 2023-07-12
US20210070321A1 (en) 2021-03-11
JP6922072B2 (ja) 2021-08-18
EP3766753A4 (en) 2021-12-08

Similar Documents

Publication Publication Date Title
JP6922072B2 (ja) 異常診断システム及び異常診断方法
US11691638B2 (en) Determination of reliability of vehicle control commands using a voting mechanism
JP2022534739A (ja) 画像誤分類のためのセーフティモニタ
US8527139B1 (en) Security systems and methods with random and multiple change-response testing
CN102609342B (zh) 使用时间标记事件诊断硬件和软件故障的方法和系统
US20210146939A1 (en) Device and method for controlling a vehicle module
JPWO2019131002A1 (ja) 車両制御装置および電子制御システム
US10384689B2 (en) Method for operating a control unit
KR102529916B1 (ko) 가상머신 기반 차량 제어 검증 시스템 및 방법
JP2019128639A (ja) 電子制御装置
Stocco et al. Confidence‐driven weighted retraining for predicting safety‐critical failures in autonomous driving systems
Heckemann et al. Safe automotive software
CN113195330A (zh) 电子控制装置以及车载系统
US20220121213A1 (en) Hybrid planning method in autonomous vehicle and system thereof
CN112506690A (zh) 控制处理器的方法及装置
CN105868060B (zh) 用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元
Pimentel et al. Characterizing the safety of self-driving vehicles: A fault containment protocol for functionality involving vehicle detection
CN111897304A (zh) 用于机器系统中实时诊断和故障监视的方法、设备和系统
JPWO2019131003A1 (ja) 車両制御装置および電子制御システム
CN107038095A (zh) 用于冗余地处理数据的方法
EP4109816B1 (en) Context-based response to attacks against autonomous systems
CN115712517A (zh) 一种神经网络处理器的故障处理方法及装置
EP3153970A1 (en) A vehicle safety electronic control system
US11577753B2 (en) Safety architecture for control of autonomous vehicle
US20230401140A1 (en) Method for carrying out data processing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210406

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210602

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210629

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210728

R150 Certificate of patent or registration of utility model

Ref document number: 6922072

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150