KR101886910B1 - 멀티 레벨 차량 무결성 및 품질 제어 메커니즘 - Google Patents

멀티 레벨 차량 무결성 및 품질 제어 메커니즘 Download PDF

Info

Publication number
KR101886910B1
KR101886910B1 KR1020147022365A KR20147022365A KR101886910B1 KR 101886910 B1 KR101886910 B1 KR 101886910B1 KR 1020147022365 A KR1020147022365 A KR 1020147022365A KR 20147022365 A KR20147022365 A KR 20147022365A KR 101886910 B1 KR101886910 B1 KR 101886910B1
Authority
KR
South Korea
Prior art keywords
level
control
control circuit
actuator
driver
Prior art date
Application number
KR1020147022365A
Other languages
English (en)
Other versions
KR20140135703A (ko
Inventor
요한 오. 해지난더
스벤 이. 요한슨
피. 스테판 엘개포스
Original Assignee
이-에이에이엠 드라이브라인 시스템스 에이비
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이-에이에이엠 드라이브라인 시스템스 에이비 filed Critical 이-에이에이엠 드라이브라인 시스템스 에이비
Publication of KR20140135703A publication Critical patent/KR20140135703A/ko
Application granted granted Critical
Publication of KR101886910B1 publication Critical patent/KR101886910B1/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K28/00Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions
    • B60K28/02Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions responsive to conditions relating to the driver
    • B60K28/06Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions responsive to conditions relating to the driver responsive to incapacity of driver
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/08Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
    • B60W2040/0818Inactivity or incapacity of driver
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/08Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
    • B60W2040/0818Inactivity or incapacity of driver
    • B60W2040/0827Inactivity or incapacity of driver due to sleepiness
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/08Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
    • B60W2040/0818Inactivity or incapacity of driver
    • B60W2040/0836Inactivity or incapacity of driver due to alcohol
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2520/00Input parameters relating to overall vehicle dynamics
    • B60W2520/10Longitudinal speed
    • B60W2520/105Longitudinal acceleration
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2520/00Input parameters relating to overall vehicle dynamics
    • B60W2520/14Yaw
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2520/00Input parameters relating to overall vehicle dynamics
    • B60W2520/28Wheel speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/10Accelerator pedal position
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/12Brake pedal position
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/14Clutch pedal position
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/16Ratio selector position
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/26Incapacity

Abstract

자동차용 프로세서 구현 제어 시스템은 각각의 피제어 운동 방향별로 마스터 제어 기능을 배정한다. 각각의 마스터 제어 내에는 다층 제어 구조가 구현된다. 제어 레벨 0에서는, 피제어 운동 방향과 결부된 다수의 국부 액츄에이터가 무결성을 보장하도록 감시되지만 그 외에는 독자적으로 작동하도록 허용된다. 제어 레벨 1에서, 마스터 제어는 감독 역할을 수행하여 다수의 액츄에이터의 거동을 조직화한다. 레벨 2와 레벨 3에서, 마스터 제어는 운전자의 신뢰성을 평가하고 해당 신뢰성을 제어 방정식에 고려한다.

Description

멀티 레벨 차량 무결성 및 품질 제어 메커니즘{MULTI-LEVEL VEHICLE INTEGRITY AND QUALITY CONTROL MECHANISM}
본 개시는 일반적으로 차량 제어 시스템에 관한 것으로, 보다 상세하게는, 시스템의 무결성을 융통성 있게 향상시키고 운전자 신뢰성에 기초하여 상이한 차량 제어 거동을 가능하게 하는 멀티 레벨 구조(multi-level architecture)를 구현하는 컴퓨터 또는 프로세서 구현형 시스템에 관한 것이다.
오늘날의 차량은 공통적으로 각각 복수의 상이한 센서와 액츄에이터를 포함하는 다수의 국부 제어 시스템을 채택한다. 이들 국부 제어 시스템은 개별적으로 또는 서로 연계하여 차량의 거동을 제어한다. 예컨대, 차량 추진 시스템과 제동 시스템은 다양한 상황에 직면하여 차량 조종에 대한 정교한 제어를 달성하기 위해 연계하여 작동할 수 있다. 이들 국부 제어 시스템은 독립적으로 작동하거나 조합으로 작동할 수 있기 때문에 동일한 결과를 달성하는 많은 방식이 존재할 수 있다. 이런 이유로, 어떤 시점에서 어떤 제어가 차량 거동에 대해 최우선적인 책임을 지는지가 확실치 않은 경우가 종종 있을 수 있다.
시간을 두고 서서히 발전한, 이런 모호성에 대한 전통적인 해법은 단지 자동차 엔지니어가 따르는 설계 규칙의 모음집을 사용하는 것이다. 예컨대, 차량의 편요(yaw) 제어의 경우, 조향 시스템과 제동 시스템은 모두 차량의 편요 및 편요 변화에 영향을 미칠 수 있다. 이에 따라, 제동 시스템에 편요 제어의 주된 역할을 맡기고 조향 시스템은 부차적인 역할을 맡는 기준이 발전했다.
피제어 차량 거동에 역시 책임이 있는 타 시스템에 비해 상위의 역할을 한 제어 시스템에 부여하는 기준을 채택하는 것 자체는 잘못이 없다. 그러나, 차량이 보다 복잡해지고 있어서 과거의 고정된 규칙은 더 이상 최적이거나 적절한 것이 될 수 없다. 예컨대, 하이브리드 차량이 최근에 인기가 높아졌다. 이런 차량에는 다수의 추진 소스가 존재한다. 즉, 차륜은 내연 기관과 전기 모터 모두에 의해 구동될 수 있다. 몇몇 경우, 각각의 차륜은 고유의 전용 모터에 의해 독립적으로 구동될 수 있다. 따라서 어느 일정한 시점에 차량에 전달되는 토크는 내연 기관과 전기 모터 또는 모터들 모두에 의해 생성되는 복합적인 혼합물일 수 있다. 경직된 과거의 기준은 이런 상황을 다루기에는 대개 불충분하다.
더욱 곤란한 것은, 어느 시스템이 장악하고 있는지에 관한 모호성이 역학적으로 변화할 수 있다는 것이다. 주행 조건에 따라, 제어의 최적 할당은 어느 한 추진 시스템에서 타 시스템으로 전환될 수 있다. 따라서, 타 시스템 대신에 어느 한 시스템을 선택하는 이유가 상이한 주행 조건 하에서 변경될 수 있기 때문에, 단지 한 시스템이 타 시스템에 항상 우선해야 한다는 설계 규칙만으로 제어 체계를 구축하는 것은 적절하지 않을 수 있다. 따라서 바람직한 해법은 실제 차량의 작동 조건에 기초하여 제어 계층에 대한 지능적인 결정이 이루어지도록 하는 융통성 있는 제어를 구비하는 것이 될 것이다.
본 개시는 각각의 피제어 운동 자유도(예컨대 추진, 편요 등)에 마스터 제어기 역할을 배정하고, 무결성 수준 요건(예컨대 자동차 안전 무결성 수준-ASIL)을 완수하도록 구성되는 멀티 레벨 제어 전략에서 이를 수행하는 동시에 지금까지 가능하지 않았던 광범위한 차량 작동 및 운전자 신뢰성 상태를 다루는 제어 구조를 사용하여 위의 문제를 해결하는 컴퓨터 구현형 또는 프로세서 구현형 제어 시스템과 제어 방법을 제공한다. 이런 마스터 제어기 역할은 제어 대상 운동 자유도와 결부된 국부 제어 시스템에 제어 기능을 역학적으로 할당하는 감독 역할을 수행하는 컴퓨터 구현형 또는 프로세서 구현형 멀티 레벨 제어 시스템에 의해 시행된다. 마스터 제어기는 역학적 제어를 실현하기 위해 차량의 작동 조건과, 날씨 및 도로 상태와 같은 외부 주행 조건과, 운전자의 신뢰성 상태를 고려한다.
운전자 신뢰성과 관련하여, 운전자가 최적의 정신으로 기능할 수 없는 데에는 많은 생리적인 이유가 있다. 운전자는 주의가 산만하거나, 졸거나, 술에 취해 있거나 신체 질환이 있을 수 있어서, 비논리적인 동작을 수행하거나 아니면 무능력하게 될 수 있다. 개시된 멀티 레벨 제어 시스템은 이런 모든 경우를 다룬다.
추가적인 적용가능 분야는 본 명세서에 제공되는 설명을 통해 분명히 드러날 것이다. 본 요약부의 설명과 특정 예는 단지 예시를 위한 것으로, 본 개시의 범위를 제한하도록 의도되지 않았다.
본 명세서에서 설명하는 도면은 단지 선정된 실시예와 가능한 구현예의 일부를 예시하기 위한 것으로, 본 개시의 범위를 제한하도록 의도되지 않았다.
도 1은 예시적인 하이브리드 차량 구성으로 배열되는 내연 기관과 전기 모터를 모두 구비한 예시적인 차량을 도시한다.
도 2는 세 개의 층, 즉 외부 감시층, 감시층 및 적용층으로 다계층 개념을 예시하는 기능 구성도이다.
도 3은 다계층 제어 시스템을 구현하는 데 유용한 마이크로제어기를 묘사하는 전자 회로도이다.
도 4는 마이크로제어기를 작동시키기 위한 실행가능 언어가 피제어 차원별 별도의 마스터 제어 구조로 조직화될 수 있는 방식을 묘사하는 하이 레벨 제어 시스템 구조도이다.
도 5는 도 4의 마스터 제어 구조(이 경우에는 추진 마스터)가 서로 통신하고 서로를 제어하는 계층적 레벨로 기능상 세분화되는 방식을 묘사하는 보다 상세한 소프트웨어 구조도이다.
도 6은 신뢰 불가 운전자 상태의 존재를 판정하는 데 유용한 신경망이다.
도 7은 예시적인 실시예에 사용되는 멀티 레벨 제어 시스템을 묘사하는 구성도이다.
대응하는 참조 번호는 여러 도면 전반에 걸쳐 대응하는 부품을 가리킨다.
이하, 첨부도면을 참조하여 예시적인 실시예를 보다 상세히 설명한다.
도 1을 참조하면, 예시적인 차량(20)은 변속기(24)를 통해 차륜(26a)에 결합되는 내연 기관(22)과 변속기(30)를 통해 차륜(26b)에 결합되는 전기 모터(28)를 포함한다. 차량은 엔진(22)과 모터(28)를 제어하기 위한 별도의 엔진 제어 유닛(ECU)을 각각 구비한다. 이들은 32와 34로 도시되어 있다. 집합적으로, 엔진 ECU(32)와 모터 ECU(34)는 추진 제어 시스템(36)을 포함한다. 필요할 경우 차량은 모터 클러스터를 포함할 수 있는데, 용어 '클러스터'는 하나 이상의 토크 공급자로 정의되며, 토크 공급자는 연소 기관이나 전기 모터일 수 있지만 이에 한정되지는 않는다. 따라서, 차량은 예컨대 다수의 연소 기관을 포함하는 연소 기관 클러스터나, 다수의 전기 모터를 포함하는 전기 모터 클러스터나, 하나 이상의 연소 기관 및/또는 전기 모터 클러스터를 포함하는 조합형 클러스터를 채택할 수 있다.
차량은 차륜별 브레이크(38)를 포함하는 제동 시스템과, 전기 제어 신호를 브레이크(38)로 전송하여 해당 신호로 하여금 운전자가 브레이크 페달을 밟을 때, 그리고 특정한 차량 운동 제어 조건 하에서는 자동으로도 개별 브레이크나 브레이크 세트를 선별적으로 작동시키도록 하는 브레이크 ECU(40)를 추가로 포함한다.
본 개시에 따르면, 추진 제어 시스템(36)(엔진 ECU(32)와 모터 ECU(34))과 브레이크 ECU 자체는 이제 상세히 설명할 멀티 레벨 제어 시스템(42)에 의해 제어된다.
바람직한 멀티 레벨 제어 시스템(42)은 마이크로프로세서와 같은 적절한 프로세서에서 프로그램 언어(소프트웨어)를 실행함으로써 컴퓨터로 구현되거나 프로세서로 구현된다. 대량 생산시, 멀티 레벨 제어 시스템은 필요할 경우 주문형 집적 회로(ASIC)를 사용하여 구현될 수도 있다. 또한, 본 명세서에서 설명하는 실시예에는 전용 마이크로제어기(50)가 도시되어 있긴 하지만, 마이크로제어기(50)가 제공하는 기능을 차량 내부의 기존 프로세서를 사용하여 구현할 수 있음은 물론이다.
도 2는 바람직한 멀티 레벨 제어 시스템(42)의 소프트웨어 구조가 세 개의 소프트웨어층을 포함한다는 것을 보여준다. 본 개시에서, 용어 "층"과 "레벨"은 호환 사용이 불가능하다. 문맥상 다른 의미임이 명백하지 않는 한, 용어 "층"은 소프트웨어 구조, 즉 컴퓨터 또는 프로세서 언어가 구조적으로 조직화되는 방식을 가리킨다. 용어 "레벨"은 제어 구조, 즉 개시된 제어 시스템이 상이한 제어 정도 또는 수준을 갖는 상이한 제어 계획에 따라 상이한 차량 제어 시나리오를 다루는 방식을 가리킨다.
도 2에서, 세 개의 소프트웨어층은 50으로 개략적으로 표시된 마이크로제어기에서 주로 구현된다. 필요할 경우 하층의 감시 기능 중 몇몇은 52로 개략적으로 표시된 별도의 마이크로제어기 형태의 감시 모듈과 같은 예비(redundant) 하드웨어를 사용하여 구현될 수 있다.
소프트웨어 구조의 최하층은 외부 감시층(54)이다. 해당 층에는 마이크로제어기 메모리 시험 기능(56)과, 마이크로제어기(50)에서 실행되는 프로세스의 건강을 감시하기 위한 내부 시험을 수행하는 추가적인 명령 시험 기능(58)이 배정된다. 외부 감시층(54)은 또한 ADC 감시 기능(60)으로 지칭되는 코어 센서 감시 기능을 구현한다.
본질적으로, 차량 도처에 배치되는 복수의 센서는 차량의 통신 버스를 통해 정보를 전달하고, 신호는 마이크로제어기(50)의 ADC 감시 기능(60)에 의해 센서를 선별적으로 감시하는 멀티 레벨 제어 시스템(42)으로 공급된다. 통신 버스의 데이터도 후술하는 상위 소프트웨어층에 입력 신호(74)로서 공급된다. 적절한 통신 버스의 예로는 캔(CAN) 버스(계측 제어기 통신망 버스, CANbus로도 공지되어 있음)와, 플렉스레이(FlexRay), 린(LIN), 모스트(MOST), 이더넷(Ethernet) 등과 같은 통신 및 네트워킹 기술과 여타의 네트워킹 및 통신 기술이 있다.
감시 기능의 일환으로서, 외부 감시층(54)은 ADC 감시 기능(60)에 주기적으로 질의(정보 요청)를 발하고 그 후 응답을 수신하여 처리하는 저장된 명령 세트를 포함하는 질의-응답 통신 모듈(62)을 포함한다. 질의-응답 통신 모듈(62)의 일 목적은 멀티 레벨 제어 시스템(42)과 차량의 센서 및 액츄에이터 사이의 통신이 신뢰성 있게 유지되도록 보장하는 것이다. ADC 감시 기능(60)이 질의-응답 통신 모듈(62)의 문의에 대해 적절한 응답을 제공하지 못한다면 시스템의 무결성이 의심스러워지고, 그 결과 시정 조치 또는 정지 명령이 내려질 수 있다.
명령 시험 기능(58)이 질의-응답 통신 모듈(62)의 건강을 시험하기 위해 주기적으로 실행될 수 있도록 (도시된 바와 같이) 질의-응답 통신 모듈(62)은 명령 시험 기능(58)에도 연결된다.
질의-응답 통신 모듈(62)은 또한, 바람직하게는 별도의 마이크로제어기나 마이크로프로세서와 같은 예비 하드웨어에서 실행되는 감시 모듈(52)과 통신한다. 감시 모듈은 질의-응답 통신 모듈(62)로 건강 점검 메시지를 주기적으로 전송하는 워치독(watchdog) 회로로서 기능한다. 모듈(62)이 해당 메시지에 응답하지 않는다면, 감시 모듈(52)은 마이크로제어기(50)에 에러가 발생한 것으로 판단하고, 그 결과 감시 모듈(52)은 라인(64) 상의 인에이블 신호(enable signal)를 취소하여 출력 스테이지(66)를 디스에이블링하고(disable), 이로써 피제어 시스템(예컨대 엔진 ECU(32), 모터 ECU(34) 등)이 멀티 레벨 제어 시스템(42)으로부터의 신호에 의존하지 않고 독자적으로 작동할 수 있도록 한다.
멀티 레벨 제어 시스템(42)의 중간층은 감시층(70)이다. 감시층(70)은 일련의 시스템 감시 기능이 지속적으로 수행되도록 하는 기본 제어 루프를 작동시키는 프로그램 시퀀스 제어 모듈(72)을 포함한다. 감시층(70)의 건강을 보장하기 위해 프로그램 시퀀스 제어 모듈(72)은 질의-응답 통신 모듈(62)과 통신한다. 모듈(72)이 질의-응답 통신 모듈(62)의 문의에 제대로 응답하지 않는다면 상술한 바와 같이 라인(64) 상의 인에이블 신호가 취소된다.
감시층(70)의 핵심 기능은 지속적인 토크 감시 기능(75)이다. 토크 감시 기능은 통신 버스로부터 획득된 입력 신호(74)에 의해 판정되는 실제 추진 토크를, (적용층(80)에 의해 산출되는) 요청 추진 토크와 비교하여 큰 편차가 검출되는지를 판정한다. 실제 추진 토크와 요청 추진 토크 사이의 편차가 크다는 것은 멀티 레벨 제어 시스템(42)이 제대로 기능하고 있지 않다는 것을 의미할 수 있다. 이런 경우, 감시층(70)은 라인(76) 상의 인에이블 신호를 취소하여 출력 스테이지(66)를 디스에이블링하고 피제어 시스템(예컨대 엔진 ECU(32), 모터 ECU(34) 등)이 멀티 레벨 제어 시스템(42)으로부터의 신호에 의존하지 않고 독자적으로 작동할 수 있도록 한다.
멀티 레벨 제어 시스템의 상층은 적용층(80)이다. 이 층은 바람직하게는 차량 통신 버스를 통해 입력 신호(74)를 수신한다. 이는 두 가지의 핵심 기능, 즉 구성요소 감시 기능(82)과 구동 기능(84)을 제공한다. 적용층(80)은 라인(86) 상에서 출력 스테이지(66)로 제어 신호를 제공한다. 구성요소 감시 기능(82)을 활용하여, 적용층은 입력 신호(74)와 산출된 구동 기능(84)을 해석하여 출력 스테이지로 전송되는 제어 신호를 생성하고, 궁극적으로는 피제어 시스템 또는 시스템들과 연동하는 액츄에이터를 제어한다. 감시된 구성요소가 예컨대 현재 차량이 피시테일되고 있다(fishtailing)는 것을 나타낸다면, 제어 신호가 자동으로 생성되고 적절한 출력 스테이지로 전송되어 피제어 시스템이 자동으로 보정되도록 한다.
도 2에 도시된 구조는 안전하고 무결성이 보호되는 시스템을 달성하기 위해 외부 감시층(54), 감시층(70) 및 적용층(80)에 기능을 배분한다. 감시층(70)은 적용층(80)으로부터의 출력을 획득한다. 따라서, 적용층(80)이 요청 추진 토크를 산출할 경우, 감시층(70)은 적절치 못한 큰 편차가 존재하는지를 검출하기 위해 요청 추진 토크를 실제 추진 토크와 비교한다. 이런 경우, 감시층(70)은 라인(76) 상의 인에이블 신호를 취소함으로써 출력 스테이지(66)를 디스에이블링한다.
유사한 방식으로, 외부 감시층(54)은 상위 두 층의 성과를 획득하고, 마이크로제어기(50) 내부의 처리 에러나 타 시스템의 기능 에러가 검출될 경우 라인(64) 상의 인에이블 신호를 취소함으로써 출력 스테이지(66)를 디스에이블링한다.
바람직한 실시예에서, 본 계층화 다층 구조는 ISO 26262에 제시된 바와 같은 자동차 안전 무결성 수준(ASIL)을 지원하고 준수하도록 구성된다. 도시된 실시예에서, 적용층은 ASIL(ISO 26262)의 QM(B) 무결성 기준에 부합하도록 구성된다. 나머지 두 층은 ASIL(B) 기준을 충족하도록 구성된다.
이제, 도 3을 참조하면, 마이크로제어기(50)의 전자 회로의 세목이 도시되어 있다. 물론 도 3은 단지 마이크로제어기(50)의 기본 구성요소를 보여주기 위한 것이다. 특정 실시예에서는, 마이크로제어기가 다른 구성을 취할 수도 있다. 마이크로제어기(50)는 관련 시스템 클록(92)을 갖춘 프로세서 또는 마이크로프로세서(90)를 포함한다. 프로세서는 내부 버스 구조(94)를 통해 시스템 메모리(96)에 결합된다. 메모리(96)는 프로세서(90)가 본 출원에서 설명하는 기능을 구현하기 위해 작동하도록 하는 프로그램 언어를 저장하는 비휘발성 메모리와, 입력 및 출력 데이터와 중간 계산 결과를 저장하기 위해 프로세서(90)에 의해 사용되는 랜덤 액세스 메모리(RAM)를 둘 다 포함하도록 구현될 수 있다.
프로세서(90)는 차량 통신 버스(100)와 통신하는 입/출력 회로(98)에 결합된다. 통신 버스는 차량의 도처에 배치되는 센서(102)로부터의 신호를 수신하고, 피제어 기능과 결부된 액츄에이터(104)로 제어 신호를 발한다. 따라서, 도 3과 도 2를 비교하면, 입력 신호(74)(도 2)는 센서(102)(도 3)로부터 수신되고, 출력 스테이지(66)(도 2)는 궁극적으로 액츄에이터(104)(도 4)를 제어한다. 멀티 레벨 제어 시스템이 제어 레벨에 임의로 진입할 수 있도록 함으로써 외부 정보 또는 안내 소스에 의해 적어도 부분적으로 제어되도록 하는 선택적인 외부 입력부가 센서(102) 중에 포함될 수 있다.
본 바람직한 실시예의 멀티 레벨 제어 시스템(42)은 피제어 차원(dimension)별로 제어 기능을 할당한다. 보다 구체적으로, 제어 구조는 피제어 차원별로 마스터를 배정한다. 각각의 마스터는 차량의 도처에 분배되는 해당 차원의 개별 제어 시스템에 대한 제어를 행사한다. 따라서, 도 4에 도시된 바와 같이, 편요 마스터(110)는 국부 편요 제어부-A(112)와 국부 편요 제어부-B(114)에 대한 제어를 행사한다. 예로서, 국부 편요 제어부-A는 차량 제동 시스템이고, 국부 편요 제어부-B는 전기 모터 시스템 등일 수 있다. 두 개의 국부 편요 제어 시스템이 도시되어 있지만, 편요 마스터(110)가 편요 차원의 운동 변화에 영향을 미칠 수 있는 임의의 개수의 국부 제어 시스템에 대한 제어를 행사할 수 있음은 물론이다.
유사한 방식으로, 차량 운동 마스터(116)는 국부 추진 제어부(118, 120)와 차량에 대한 임의의 다른 국부 추진 제어부에 대한 제어를 행사한다. 추진과 편요가 현재 차량 제어를 위한 가장 인기있는 두 가지 차원이긴 하지만, 본 발명의 원리는 다른 차원(예컨대 좌우 요동 차원(roll dimension)과 상하 요동 차원(pitch dimension))으로 확장될 수 있다. 따라서, 예시 목적으로 도 4는 타 차원 제어부(124)에 대한 제어를 행사하는 "타" 차원 마스터(122)를 포함한다.
개별 마스터는 관련 국부 제어부에 대한 제어를 행사하기 위해 원래는 서로 독립적으로 기능한다. 그러나, 필요할 경우 시스템은 차원 전반에 걸쳐 기능을 통합할 수 있다. 따라서, 도 4에서는 편요 마스터(110), 차량 운동 마스터(116) 및 여타의 차원 마스터(122)가 선 126으로 개략적으로 도시된 바와 같이 상호 연결되어 필요에 따라 이들 마스터 사이의 통신이 가능해진다. 차량 운동 마스터(116)는 편요, 추진과 같은 운동 속성의 조합을 평가할 수 있다. 예컨대, 차량이 의도치 않은 거동(최대 토크)을 갖는 전기 모터의 뒤차축 통합부를 구비할 경우, 이는 편요와 종가속도와 같은 여러 운동 속성의 편차를 동시에 초래할 수 있다. 차량 운동 마스터는 제어를 실현하기 위해 속성 사이의 우선순위를 매긴다.
각각의 마스터는 멀티 레벨 제어 구조를 이루도록 구현된다. 예시 목적으로, 추진 마스터 구조가 도 5에 도시되어 있다. 동일한 멀티 레벨 마스터 구조가 타 마스터에도 사용될 수 있으며, 따라서 여기에는 도시되지 않았다.
도 5에 도시된 멀티 레벨 구조는 바람직하게는 기계적 시스템의 무결성과 운전자의 신뢰성에 따라 상이한 규칙이 시행되도록 하는 네 개의 레벨을 채택한다. 130으로 표기된 레벨 0은 전통적인 액츄에이터 감시 기능에 대응한다. 마이크로제어기(50)(미도시)는 액츄에이터(104)와 또한 선택적으로는 센서(102)로부터의 건강 지표를 감시하지만 해당 마스터와 연동하는 다수의 국부 제어 시스템 사이의 조정을 수행하지는 않는다. 따라서 시스템이 레벨 0에서 작동 중일 때, 국부 제어 메커니즘은 멀티 레벨 제어 시스템(42)으로부터 안내를 받지 않고 독자적으로 작동한다.
다음 상위 레벨은 132로 표기된 레벨 1이다. 시스템이 레벨 1에서 작동 중일 때 마이크로제어기(50)는 센서(102)를 감시하고 해당 마스터와 연동하는 국부 제어 시스템 사이의 제어를 조정한다. 레벨 1에서 작동할 때 제어 시스템은 운전자의 상태가 신뢰할 수 있다고 가정하고, 따라서 운전자의 조치와 상관이 있는 센서(102)로부터 수신된 어떤 입력도 신뢰를 받으며, 센서(102)로부터의 대응 입력 신호가 변경되지 않은 상태로 사용된다.
다음 상위 레벨은 134로 표기된 레벨 2이다. 시스템이 레벨 2에서 작동 중이라면, 운전자는 신뢰할 수 없다고 판정되었다. 이하, 신뢰할 수 없는 운전자의 상태를 검출하기 위한 기술을 검토한다. 운전자가 졸고 있거나, 술에 취해 있거나, 신체적 질환이 있거나, 비논리적인 조종을 행하거나, 의식을 잃었음이 검출된다면 운전자는 신뢰할 수 없다고 간주될 수 있다. 이런 상이한 신뢰 불가 상태는 상이한 신뢰 불가의 정도에 대응할 수 있다. 따라서 도시된 실시예는 부울(Boolean) 예-아니오 신뢰 불가 플래그를 설정하고 수치 레벨을 배정하여 시스템이 운전자의 신뢰 불가 레벨에 따라 상이하게 실행될 수 있도록 한다. 이와 관련하여, 운전자가 잠깐 존 상태는 운전자가 간질 발작을 일으키거나 의식을 잃은 상태와는 달리 취급되어야 함은 물론이다.
시스템이 레벨 2에서 작동 중이라면, 운전자는 신뢰할 수 없다고 간주되었지만 신뢰 불가의 정도는 미리 결정된 경고 임계값보다 작다. 이런 경우, 레벨 2 제어는 운전자의 조치와 상관이 있는 센서(102)로부터의 선택된 입력이 제어 알고리즘에 의해 변경되거나 무시되는 지원 모드로 작동한다. 레벨 2 제어 하에서는, 운전자의 입력이 여전히 사용되지만 운전자의 부주의나 양호하지 못한 반응 시간을 보상하기 위해 적절한 변경이 자동으로 행해진다.
136으로 표기된 레벨 3은 두 가지 경우, 즉 (1) 운전자가 신뢰할 수 없다고 간주되고 신뢰 불가의 정도가 미리 결정된 경고 임계값보다 커서 운전자의 입력을 절대로 신뢰해서는 안 된다는 것을 나타내는 상태와, (2) 시스템이 임의로 차량을 장악한 상태에 대응한다. 레벨 3에서 작동할 때, 제어 시스템은 선택된 센서 신호로부터의 운전자의 입력이 사용되지 않는다는 것을 제외하고는 레벨 2에서 사용되는 것과 동일한 제어 알고리즘을 적용하는 자율 모드로 작동한다. 이는 운전자 입력과 관련된 모든 신호가 무시된다는 것을 의미하는 것이 아니라 몇몇 신호가 해당 상황 하에서 적절한 방식으로 무시된다는 것을 의미한다. 예컨대, 레벨 3에서 작동할 때, 운전자가 의식이 없다고 평가된다면 시스템은 차량을 가속하기 위한 운전자의 신호를 무시할 수 있다. 그러나, 운전자가 의식을 잃기 전에 차량이 올바른 방향으로 조향되고 있었다는 전제 하에 조향 각도 신호는 여전히 활용될 수 있다. 대안으로서, 다른 차량이 레벨 3 차량을 제어하고 있거나(차량 대 차량 제어) 다른 외부 정보 또는 안내 소스가 장악하고 있는 경우와 같이 타 소스가 임의로 차량의 작동을 장악했기 때문에 차량이 레벨 3에서 작동 중일 수도 있다. 예컨대, 제어는 도로를 따라 배치되는 외부 소스에 의해 제공될 수 있다.
도 5에 도시된 바와 같이, 마스터 제어 구조는 레벨들 사이에 이루어지는 차량 안전 및 무결성 제어 메시지의 계층적 통신을 지원하도록 구조화된다. 따라서, 레벨 0과 레벨 1 사이, 레벨 1과 레벨 2 사이 및 레벨 2와 레벨 3 사이에서 양방향 통신이 이루어진다. 이 상호통신은 차량 안전 및 무결성 제어 메시지가 레벨들 사이에 소통되는 것을 지원한다. 상이한 추상화(abstraction) 수준에서 차량 안전 및 무결성에 대한 제어를 감시하고 실현하기 위해 상이한 레벨이 배정되는데, 레벨 0은 가장 기본적인 차량 관련 문제에 초점을 맞추고 레벨 1 내지 3은 순차적으로 보다 상위의 차량-인간 무결성 문제에 초점을 맞춘다.
레벨 0이 무결성 문제를 검출할 경우, 이는 레벨 1로 보고되고 레벨 1은 선택된 액츄에이터를 디스에이블링할 것인지 여부를 결정한다. 레벨 0과 레벨 1 사이의 통신이 상실될 경우, 레벨 0은 액츄에이터 정지 결정을 내리기 위해 독자적으로 작동하도록 구성된다. 레벨 0과 레벨 1은 상이한 종류의 정보를 토대로 작동한다는 점에서 차이가 있다. 레벨 0은 센서를 감시함으로써 관찰되는 고유 물리적 매개변수에 기초하여 무결성 결정을 내린다.
레벨 1은 레벨 0으로부터 수신된 고유 데이터에서 유래하는 산출된 매개변수에 기초하여 무결성 결정을 내린다. 따라서 레벨 1은 레벨 0보다 추상화 수준이 높은 물리적 값에 따라 작동한다. 예로서, 레벨 0은 내연기관과 전기 모터를 대상으로 각각 따로 실제 토크와 요청 토크가 허용가능하게 가까운 범위 내에 있는지를 감시할 수 있다. 즉, 내연 기관과 전기 모터는 별도의 시스템이기 때문에, 레벨 0에서 시스템은 각각의 무결성을 판정하기 위해 별도로 평가된다.
이와 달리, 레벨 1은 내연 기관과 전기 모터의 복합적 작동에 관한 무결성 결정을 내릴 수 있다. 따라서 레벨 1에서는 차량 전체(내연 기관 더하기 전기 모터)의 실제 토크가 산출되고, 해당 값은 차량 전체의 추진 무결성을 판정하기 위해 산출된 요청 토크와 비교된다.
레벨 2와 레벨 3은 레벨 1보다 상위이거나 보다 복잡한 추상화 수준에서 작동한다. 레벨 1이 차량 시스템의 무결성에 초점을 맞추는데 반해, 레벨 2와 레벨 3은 인적(human) 요소를 방정식에 도입한다. 따라서 레벨 2와 레벨 3은 복합적인 차량-인간 시스템과 관련한 무결성 문제에 초점을 맞춘다. 무결성 감시의 관점에서 볼 때 레벨 2와 레벨 3은 레벨 1의 연장인데, 레벨 2에서는 운전자 입력이 반드시 신뢰를 받는다고는 할 수 없고 레벨 3에서는 운전자 입력이 실제로 신뢰를 받지 못한다는 차이가 존재한다.
레벨 3은 레벨 2의 연장이다. 레벨 3의 무결성 메커니즘은 레벨 2와 동일한 방식으로 촉발된다. 레벨 2와 비교하여 레벨 3에서는 적정 안전 상태를 역학적으로 판별하고 다수의 시스템 외부 요인을 고려하여 이에 따라 액츄에이터를 제어함으로써 차량이 안전 상태를 달성하도록 자동으로 작동된다는 차이가 있다. 따라서 레벨 3에서 시스템의 무결성에 대한 제어는 운전자가 능동적 구성요소라기보다는 수동적 구성요소로서 제어 시스템의 일부라고 인정한다. 도시된 바와 같이, 필요할 경우 시스템은 센서(102) 중 하나를 통한, 예컨대 인증된 원격 제어에 의해 작동되는 스위치를 통한 외부 명령 신호를 통해 임의로 레벨 3에 진입하도록 제어될 수 있다. 레벨 3에 임의로 진입할 경우 차량은 외부의 정보 소스 또는 안내 소스에 의해 제어될 수 있다. 이런 기능은 용도가 다양하다. 예컨대, 차량은 도로의 소정 구간에 진입할 때 자동으로 제어될 수 있다. 마찬가지로, 트레일러 또는 연결된 일련의 트레일러는 세미트레일러 용례에서 트랙터에 부착될 때 운전석에서 자동으로 제어할 수 있다.
운전자의 신뢰성 평가
신뢰 불가한 운전자 상태를 나타내는 정보를 얻기 위해 사용될 수 있는 것으로, 운전자의 눈에 맞춰진 비디오카메라와 같은 특화된 센서가 있다. 이런 센서를 사용할 수 있긴 하지만, 신뢰 불가 운전자 상태는 통신 버스로부터 수신된 센서 데이터에 대한 훈련된 통계학적 모델 분석이나 신경망 분석을 사용하여 산출될 수도 있다. 신경망 실시예는 예시적인 신경망 구조가 150으로 표시된 도 6에 도시되어 있다.
도시된 바와 같이, 각각의 관련 통신 버스 데이터 신호가 복수의 입력 마디(input node)(152) 중 하나에 공급된다. 이들 입력 마디는 시냅스(선으로 표현됨)를 거쳐 중간 뉴런(154)에 결합되며, 중간 뉴런의 출력은 시냅스를 거쳐 추가 뉴런(156), 그리고 최종적으로는 신뢰 불가 운전자 상태의 존재를 표시하는 출력 신호를 공급하는 뉴런(158)으로 공급된다. 각각의 뉴런은 유입 시냅스로부터 수신된 입력을 복합 데이터로 통합하는 가산 함수(adder function)와 같은 결합 합수를 포함한다. 각각의 뉴런은 또한 해당 뉴런의 출력이 무엇일지를 판정하기 위해 복합 데이터 값을 시험하거나 처리하는 임계 활성 함수를 포함한다. 임계 활성 함수는 바람직하게는 단일 계단 함수나 시그모이드 함수(아날로그 거동이 바람직한 경우)와 같은 비선형 함수이다. 계단 함수가 사용된다면 뉴런은 복합 데이터 값이 미리 결정된 임계값을 초과할 경우 논리 1 출력을 생성할 것이다. 시그모이드 함수가 사용된다면 뉴런은 복합 데이터 값에 따라 달라지는 아날로그 출력 값을 생성할 것이다.
신경망의 핵심 특징은 각각의 시냅스가 예컨대 관련 가중치에 해당 시냅스에 대한 입력 값을 곱함으로써 입력 값에 적용되는 가중치(수치 가중)와 결부된다는 것이다. 이들 가중치는 신경망이 훈련됨에 따라 변화하게 된다. 풍부한 훈련 데이터를 제공함으로써, 개별 시냅스와 결부되는 가중치는 미지의 입력 데이터가 제공될 경우 신경망이 훈련을 통해 대비한 상태를 인식하도록 훈련이 될 때까지 연속적인 훈련 반복을 거쳐 조절된다.
훈련 전에 처음에는, 개별 시냅스와 결부된 모든 가중치는 랜덤 값과 같은 초기 값으로 설정된다. 이들 가중치는 차후 "훈련"이라고 공지되어 있는 학습 과정을 통해 변경된다. 바람직하게는, 훈련은 감독 방식으로 수행되는데, 여기서는 일종의 신뢰 불가 운전자의 예를 표현하는 감독 훈련 데이터로 이루어진 데이터 세트(160)가 한 번에 하나씩 신경망(150)에 공급되는 동시에 신뢰 불가 운전자 상태가 최종 뉴런(158)으로부터 출력될 때까지 개별 시냅스의 가중치를 반복적으로 조절하게 된다. 본 과정은 훈련 데이터의 나머지 예 각각에 대해서도 반복되어, 신경망이 각각의 감독 훈련 예를 신뢰 불가 운전자 상태라고 반복적으로 판별할 가능성을 최대화하도록 개별 시냅스의 가중치를 개선한다.
이런 훈련을 받은 신경망(150)은 시스템의 사용 중에 통신 버스로부터 입력부(152)로 공급되는 기지의 데이터를 토대로 작동할 수 있다. 입력 데이터 값에 의해 표현되는 상태가 학습된 신뢰 불가 운전자 상태에 대응할 때마다 출력 뉴런(158)은 양의(positive) 출력을 생성한다.
신경망(150)과 같은 훈련 모델을 사용하는 것의 일 편익은 상이한 훈련 데이터 세트가 상이한 부류의 신뢰 불가 운전자를 대상으로 공급될 수 있다는 것이다. 부류별로 별도의 신경망이 훈련될 수 있고, 이후 신경망 전부가 신뢰 불가 운전자 상태의 존재뿐만 아니라 해당 상태의 보다 구체적인 성질까지도 평가하기 위해 병행 사용된다. 따라서, 예컨대 한 세트의 감독 훈련 데이터는 졸고 있는 운전자를 표현할 수 있고, 다른 감독 훈련 데이터 세트는 술에 취한 운전자 등을 표현할 수 있다. 이런 식으로, 신경망 세트는 모두가 통신 버스로부터 수신되는 동일한 원(raw) 입력 데이터를 사용하여 각각의 상이한 신뢰 불가 운전자 상태를 인식하도록 훈련된다.
여기서는 신경망을 예로 제시하긴 했지만, 다른 유형의 인공 지능 시스템이 사용될 수도 있다. 따라서, 신경망(150)은 훈련된 통계학적 모델링 시스템이나 의사결정 트리 전문가 시스템 등으로 대체될 수 있다.
차량 운동(예컨대 추진) 마스터의 예
도 7은 도 1에 묘사된 하이브리드 차량의 추진 차원에 대한 제어를 행사하기 위해 사용되는 멀티 레벨 제어 시스템의 예를 제시한다. 각기 다른 다양한 입력 신호에 의존할 수 있지만, 예시적인 실시예는 170으로 표기된 제어 알고리즘에 의해 사용되는 입력 세트를 규정한다. 차량 운동 마스터(116)(도 4)는 이 입력 세트의 하위세트(172)를 운전자 상관 입력 신호, 즉 추진과 관련된 운전자 입력으로서 규정한다. 제2 하위세트(174)는 차량 상태 정보로서 규정되고 제3 하위세트(176)는 액츄에이터로부터의 상태 정보로서 규정된다.
이들 입력은 추진 마스터의 처리 알고리즘(178)에 의해 처리된다. 처리 알고리즘은 무결성 규칙 세트로 구현될 수 있는데, 각각의 규칙은 소정 상태의 존재를 점검한다. 예컨대, 도 7에 도시된 바와 같이, 규칙 1은 미리 결정된 가속도 'x'를 초과하는 가속도가 'y' msec를 초과하는 시간 동안 존재하는지를 시험한다. (프로그램 시퀀스 제어 모듈(72)(도 2)에 의해 제어되는 바와 같이) 처리 알고리즘은 각각의 무결성 규칙 세트 사이를 반복적으로 순환한다. 피시험 상태가 존재할 경우 메시지가 시정 조치 알고리즘(180)으로 전송된다.
시정 조치 알고리즘(180)은 다양한 입력부(170)의 포착 값을 제공하는 내장 데이터 값이나 이들 값이 저장되는 포인터를 포함할 수 있는 처리 알고리즘으로부터 전송된 메시지를 해석한다. 시정 조치 알고리즘(180)은 촉발 조건뿐만 아니라 운전자의 신뢰성 수준까지도 고려하여 어떤 시정 조치가 적절할지를 판정한다. 즉, 시정 조치 알고리즘(180)은 추진 마스터가 작동 중인 현재의 안전-무결성 레벨(레벨 0, 레벨 1, 레벨 2, 레벨 3)을 인지하고 있다. 시정 조치 알고리즘은 이런 상태 전부를 해석하고 취해야 할 시정 조치를 판정하여 각각의 국부 추진 제어부(도 4의 118, 120)에 응답 방식을 통보한다.
몇몇 경우, 시정 조치 알고리즘은 하나 이상의 추진 시스템이 정지되어야 한다고 판정한다. 따라서 시정 조치 알고리즘은 현 상황에서 가장 적절한 시스템 정지를 달성하기 위해 선택할 수 있는 내연 기관과 전기 모터 모두에 대한 소정의 정지 경로 세트를 포함한다. 물론, 시정 조치 알고리즘은 하나보다 많은 액츄에이터를 제어하고 액츄에이터별로 하나보다 많은 정지 경로를 구비한다는 것을 알 수 있다. 시정 조치 경로는 가능한 한 독립적이 되도록 구성된다. 이는 액츄에이터 중 몇몇이 자체로 제대로 기능할 수 없는 상황을 포함하는 다양한 상황에 반응하는 뛰어난 융통성을 시정 조치 알고리즘에 제공한다.
이상에서 미루어 볼 때, 멀티 레벨 제어 시스템이 많은 편익을 제공한다는 것을 알 수 있다. 제어 구조는 상이한 추상화 수준에 대해 다수의 정지 경로를 제공하여, 보다 우수한 총체적 제어를 제공하는 동시에 시스템의 무결성을 보장한다. 레벨 1의 차량 안전 및 무결성 메커니즘은 피제어 차량 운동에 영향을 미치는 모든 액츄에이터에 접근할 수 있다. 레벨 2와 레벨 3의 안전 및 무결성 메커니즘은 운전자가 제 기능을 못하거나 무능력하게 된 상황과 같이 오늘날의 차량에서는 다루어지고 있지 않은 상황을 다룬다. 멀티 레벨 제어 시스템 구조는 차량에 새로운 분석이 창출될 수 있도록 하여, 현존하는 메커니즘(레벨 0) 상의 기능상 안전 및 무결성 요건을 감소시킨다. 레벨 1 안전 및 무결성 메커니즘은 종래의 관행보다 큰 융통성을 제공한다. 예컨대, 레벨 1 안전 및 무결성 메커니즘은 종래의 방식대로 구현되는 레벨 0 안전 및 무결성 메커니즘이라면 액츄에이터의 정지를 요구하게 될 특정한 상황에서 액츄에이터가 계속해서 작동할 수 있도록 한다.
실시예에 대한 이상의 기술은 예시와 설명의 목적으로 제공되었다. 이는 완전성을 기하거나 본 개시를 제한하도록 의도되지 않았다. 특정 실시예의 개별 요소나 특징은 일반적으로 해당 특정 실시예에 제한되지 않고 해당되는 경우 호환가능하며, 명시적으로 도시되거나 기술되지 않더라도 선택된 실시예에 사용될 수 있다. 특정 실시예의 개별 요소나 특징은 다양한 방식으로 변경될 수도 있다. 이런 변형은 본 개시의 범위를 벗어난 것으로 간주되어서는 안 되며, 이런 모든 변경은 본 개시의 범위에 포함되도록 되어 있다.

Claims (28)

  1. 적어도 하나의 운동 방향으로 차량 운동의 변화를 초래하기 위해 복수의 센서와 액츄에이터를 구비한 자동차 내부의 적어도 하나의 운동 방향과 결부된 다수의 액츄에이터를 제어하기 위한 멀티 레벨 제어 회로로서, 센서 중 적어도 하나는 운전자에 의해 수행된 조치에 대응하는 운전자 상관 입력 신호를 제공하고, 상기 제어 회로는,
    상기 센서로부터의 입력 신호를 수신하기 위해 결합되고 상기 액츄에이터에 전기 제어 신호를 제공하고 상기 액츄에이터의 상태를 감시하기 위해 결합되며, 상기 하나의 운동 방향으로 차량 운동에 대한 제어의 멀티 레벨을 제공하도록 구성되는 마스터 제어 회로를 포함하고,
    멀티 레벨은
    a) 상기 액츄에이터의 무결성이 평가되는 액츄에이터 감시 레벨과,
    b) 운전자 상관 입력 신호를 포함하는, 상기 센서로부터의 입력 신호를 해석하고 상기 액츄에이터에 대한 감독 제어를 제공하는 제1 액츄에이터 제어 레벨과,
    c) 상기 입력 신호를 해석함으로써 운전자 신뢰성의 수준을 평가하고 운전자 신뢰성이 미리 결정된 수준 미만일 경우 제1 액츄에이터 제어 레벨에 의해 초래되는 것과 다른 방식으로 상기 액츄에이터에 대한 감독 제어를 제공하는 제2 액츄에이터 제어 레벨을 포함하는 제어 회로.
  2. 제1항에 있어서, 상기 멀티 레벨은,
    d) 적어도 하나의 운전자 상관 입력 신호가 무시되는 방식인, 제2 액츄에이터 제어 레벨에 의해 초래되는 것과는 다른 방식으로 상기 액츄에이터에 대한 감독 제어를 제공하는 제3 액츄에이터 제어 레벨을 추가로 포함하는 제어 회로.
  3. 제1항에 있어서, 상기 멀티 레벨은,
    d) 운전자 이외의 안내 소스에 기초하여 상기 액츄에이터에 대한 감독 제어를 제공하는 제3 액츄에이터 제어 레벨을 추가로 포함하는 제어 회로.
  4. 제1항에 있어서, 차량 운동은 복수의 상이한 방향으로 제어되고, 마스터 제어 회로는 상기 복수의 상이한 방향별로 상기 멀티 레벨의 제어를 제공하도록 구성되는 제어 회로.
  5. 제1항에 있어서, 차량 운동은 복수의 상이한 방향으로 제어되고, 마스터 제어 회로는 상기 복수의 상이한 방향별로 별도의 개별 마스터 제어 회로를 포함하는 제어 회로.
  6. 제5항에 있어서, 상기 개별 마스터 제어 회로는 서로 독립적으로 작동하는 제어 회로.
  7. 제1항에 있어서, 운전자 신뢰성을 평가하기 위한 적어도 하나의 센서를 추가로 포함하는 제어 회로.
  8. 제1항에 있어서, 운전자 신뢰성을 평가하기 위한 훈련된 통계학적 모델을 추가로 포함하는 제어 회로.
  9. 제8항에 있어서, 상기 훈련된 통계학적 모델은 신경망을 포함하는 제어 회로.
  10. 제1항에 있어서, 상기 마스터 제어 회로는 적어도 하나의 프로그램된 프로세서나 주문형 집적 회로를 포함하는 제어 회로.
  11. 제1항에 있어서, 상기 마스터 제어 회로는 층상 소프트웨어 구조에 따라 프로그램되는 적어도 하나의 프로세서를 포함하는 제어 회로.
  12. 제11항에 있어서, 차량은 적어도 하나의 엔진을 가지고, 층상 소프트웨어 구조는,
    (1) 상기 적어도 하나의 프로세서에서 실행되는 프로세스의 건강을 감시하는 하층과,
    (2) 엔진을 감시하는 중간층과,
    (3) 차량의 제어와 결부된 구동 기능을 감시하는 상층을 포함하는 제어 회로.
  13. 제12항에 있어서, 상기 하층에서 실행되는 프로세스의 건강을 평가하기 위해 하층과 통신하는 감시 모듈을 추가로 포함하는 제어 회로.
  14. 제12항에 있어서, 상기 적어도 하나의 프로세서는 상기 하층의 구현시, 상기 중간층에서 실행되는 소프트웨어에 질의를 제출하고, 수신되는 응답을 감시하여, 상기 중간층에서 실행되는 프로세스의 건강을 평가하는 제어 회로.
  15. 제12항에 있어서, 상기 상층은 차량 내부의 구성요소를 작동시키는 제어 신호를 제공하는 출력 스테이지 회로와 통신하는 제어 회로.
  16. 제12항에 있어서, 상기 하층과 중간층 중 적어도 하나는 차량 내부의 구성요소의 작동을 선별적으로 억제하기 위해 인에이블 신호를 제공하는 제어 회로.
  17. 제12항에 있어서, 상기 중간층은 토크 감시를 수행하는 제어 회로.
  18. 제12항에 있어서, 상기 중간층은 지속적인 토크 감시를 수행함으로써 실제 추진 토크가 상층에서 실행되는 프로세스를 통해 제공되는 요청 추진 토크와 비교되는 제어 회로.
  19. 제12항에 있어서, 상기 상층은 상기 복수의 센서와 액츄에이터의 무결성을 감시하는 프로세스를 추가로 포함하는 제어 회로.
  20. 제1항에 있어서, 상기 마스터 제어 회로는 다수의 액츄에이터가 마스터 제어 회로로부터의 신호에 의존하지 않고 독자적으로 작동할 수 있도록 선별적으로 디스에이블링될 수 있는 출력 스테이지 회로를 통해 상기 차량에 결합되는 제어 회로.
  21. 적어도 하나의 운동 방향으로 차량 운동의 변화를 초래하기 위해 복수의 센서와 액츄에이터를 구비한 자동차 내부의 적어도 하나의 운동 방향과 결부된 다수의 액츄에이터를 제어하는 방법으로서, 센서 중 적어도 하나는 운전자에 의해 수행되는 조치에 대응하는 운전자 상관 입력 신호를 제공하고, 상기 방법은,
    상기 액츄에이터로의 전기 제어 신호의 공급을 조정함으로써 상기 하나의 운동 방향으로 차량 운동에 대한 제어의 멀티 레벨을 제공하는 적어도 하나의 마스터 제어 회로를 사용하는 단계를 포함하여,
    (a) 제어의 멀티 레벨 중 제1 레벨에 있어서, 상기 액츄에이터의 무결성을 모니터하고,
    (b) 제어의 멀티 레벨 중 제2 레벨에 있어서, 운전자 상관 입력 신호를 포함하는 상기 센서로부터의 입력 신호를 해석하여 상기 액츄에이터에 대한 감독 제어를 제공하고, 그리고
    (c) 제어의 멀티 레벨 중 제3 레벨에 있어서, 상기 입력 신호를 해석함으로써 운전자 신뢰성을 평가하고, 운전자 신뢰성이 미리 결정된 수준 미만일 때 단계 (b)에서 제공되는 것과는 다른 방식으로 상기 액츄에이터에 대한 감독 제어를 제공하는, 방법.
  22. 제21항에 있어서,
    (d) 적어도 하나의 운전자 상관 입력 신호가 무시되는 방식인, 단계 (b)와 (c)에서 제공되는 것과는 다른 방식으로 상기 액츄에이터에 대한 감독 제어를 제공하도록,
    상기 적어도 하나의 마스터 제어 회로를 사용하는 단계를 추가로 포함하는 방법.
  23. 제21항에 있어서,
    (d) 운전자 이외의 안내 소스에 기초하여 상기 액츄에이터에 대한 감독 제어를 제공하도록,
    상기 적어도 하나의 마스터 제어 회로를 사용하는 단계를 추가로 포함하는 방법.
  24. 제21항에 있어서, 차량 운동은 복수의 상이한 방향으로 제어되고 단계 (a), (b) 및 (c)는 상기 복수의 상이한 방향별로 별도로 수행되는 방법.
  25. 제21항에 있어서, 운전자 신뢰성은 적어도 하나의 센서를 사용하여 판정되는 방법.
  26. 제21항에 있어서, 운전자 신뢰성은 훈련된 통계학적 모델을 사용하여 판정되는 방법.
  27. 제26항에 있어서, 통계학적 모델은 신경망을 포함하는 방법.
  28. 제21항에 있어서, (d) 차량 외부의 정보 소스에 기초하여 상기 액츄에이터에 대한 감독 제어를 제공하도록,
    상기 적어도 하나의 마스터 제어 회로를 사용하는 단계를 추가로 포함하는 방법.
KR1020147022365A 2012-03-14 2013-03-12 멀티 레벨 차량 무결성 및 품질 제어 메커니즘 KR101886910B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201261610639P 2012-03-14 2012-03-14
US61/610,639 2012-03-14
PCT/IB2013/000367 WO2013136156A1 (en) 2012-03-14 2013-03-12 Multi-level vehicle integrity and quality control mechanism

Publications (2)

Publication Number Publication Date
KR20140135703A KR20140135703A (ko) 2014-11-26
KR101886910B1 true KR101886910B1 (ko) 2018-08-08

Family

ID=48182932

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147022365A KR101886910B1 (ko) 2012-03-14 2013-03-12 멀티 레벨 차량 무결성 및 품질 제어 메커니즘

Country Status (5)

Country Link
US (1) US9457815B2 (ko)
KR (1) KR101886910B1 (ko)
CN (1) CN103998315B (ko)
DE (1) DE112013001449T5 (ko)
WO (1) WO2013136156A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220043858A (ko) * 2020-09-29 2022-04-05 비테스코 테크놀로지스 게엠베하 임베디드 시스템 내에서 신호 무결성의 사용

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014209489A1 (de) * 2014-05-20 2015-11-26 Robert Bosch Gmbh Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug
CN105313880B (zh) * 2014-08-05 2020-08-11 罗伯特·博世有限公司 具有至少两个驱动执行器和提高的失效安全性的机动车
US9536411B2 (en) 2014-08-07 2017-01-03 Toyota Motor Engineering & Manufacturing North America, Inc. Biometric monitoring and alerting for a vehicle
KR102137213B1 (ko) 2015-11-16 2020-08-13 삼성전자 주식회사 자율 주행을 위한 모델 학습 장치 및 방법과 자율 주행 장치
JP6508137B2 (ja) * 2016-06-24 2019-05-08 トヨタ自動車株式会社 車両走行制御装置
US10650621B1 (en) 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
US10435072B2 (en) * 2017-03-17 2019-10-08 Ford Global Technologies, Llc Road camber compensation
US10442433B2 (en) * 2017-05-24 2019-10-15 GM Global Technology Operations LLC Systems and methods for overriding vehicle limitation system
DE102019203251B3 (de) * 2019-03-11 2020-06-18 Volkswagen Aktiengesellschaft Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten
AU2020278596A1 (en) * 2019-05-17 2022-01-06 Moter Technologies, Inc. Systems and method for calculating liability of a driver of a vehicle
CN110341723B (zh) * 2019-06-27 2021-12-03 东软睿驰汽车技术(沈阳)有限公司 一种车辆控制方法、装置及系统
DE102019214161A1 (de) * 2019-09-17 2021-03-18 Robert Bosch Gmbh Verfahren und Vorrichtung zum Automatisieren einer Fahrfunktion

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005041308A (ja) 2003-07-25 2005-02-17 Fuji Heavy Ind Ltd 車両用走行支援装置
JP2006142994A (ja) 2004-11-19 2006-06-08 Denso Corp 車両用ネットワークシステムおよび電子制御装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3956693B2 (ja) * 2001-12-27 2007-08-08 トヨタ自動車株式会社 統合型車両運動制御装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005041308A (ja) 2003-07-25 2005-02-17 Fuji Heavy Ind Ltd 車両用走行支援装置
JP2006142994A (ja) 2004-11-19 2006-06-08 Denso Corp 車両用ネットワークシステムおよび電子制御装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220043858A (ko) * 2020-09-29 2022-04-05 비테스코 테크놀로지스 게엠베하 임베디드 시스템 내에서 신호 무결성의 사용
KR102534450B1 (ko) * 2020-09-29 2023-05-18 비테스코 테크놀로지스 게엠베하 임베디드 시스템 내에서 신호 무결성의 사용

Also Published As

Publication number Publication date
US20150025748A1 (en) 2015-01-22
WO2013136156A1 (en) 2013-09-19
CN103998315A (zh) 2014-08-20
CN103998315B (zh) 2017-02-22
KR20140135703A (ko) 2014-11-26
US9457815B2 (en) 2016-10-04
DE112013001449T5 (de) 2015-01-22

Similar Documents

Publication Publication Date Title
KR101886910B1 (ko) 멀티 레벨 차량 무결성 및 품질 제어 메커니즘
Gordon et al. Integrated control methodologies for road vehicles
US20210326692A1 (en) Ann training through processing power of parked vehicles
US9606538B2 (en) Device and method for the autonomous control of motor vehicles
US9361575B2 (en) Method of programming a neural network computer
Kissai et al. Review of integrated vehicle dynamics control architectures
Bergmiller Towards functional safety in drive-by-wire vehicles
JPH0221058A (ja) 車両の変速制御装置
WO2021129156A1 (zh) 智能汽车的控制方法、装置和控制系统
CN110785742A (zh) 用以依赖于状态信号驱控车辆模块的设备和方法
JP7421544B2 (ja) ニューラルネットワークに基づいている走行機能の監視
JP2020524352A (ja) 車両モジュールを制御する装置および方法
CN108569268B (zh) 车辆防碰撞参数标定方法和装置、车辆控制器、存储介质
JP7318475B2 (ja) 運転者状態判定装置
JP7346981B2 (ja) 車両制御システム
CN113928328A (zh) 受损驾驶辅助
Selvaraj et al. An ML-aided reinforcement learning approach for challenging vehicle maneuvers
US20190382006A1 (en) Situation-dependent decision-making for vehicles
US20230192139A1 (en) Method and system for addressing failure in an autonomous agent
US11738804B2 (en) Training a vehicle to accommodate a driver
Pasquier et al. Learning to drive the human way: A step towards intelligent vehicles
JP2021020652A (ja) 車両制御システム
JP7357537B2 (ja) 制御装置、制御装置の制御方法、プログラム、情報処理サーバ、情報処理方法、並びに制御システム
Nine et al. Perception through Image Processing Applications for Situation Awareness
Otsuka et al. A safety concept based on a safety sustainer for highly automated driving systems

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant