WO2019176603A1

WO2019176603A1 - 異常診断システム及び異常診断方法

Info

Publication number: WO2019176603A1
Application number: PCT/JP2019/008271
Authority: WO
Inventors: 一芹沢; 朋仁蛯名; 成沢　文雄
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2018-03-13
Filing date: 2019-03-04
Publication date: 2019-09-19
Also published as: EP3766753A1; EP3766753B1; US20210070321A1; JPWO2019176603A1; JP6922072B2; EP3766753A4

Abstract

車両の自動運転の制御に関わる異常を容易且つ適切に診断できるようにする。車両制御システム（１０００）において、車両の周囲の物体に関するセンサ情報に基づいて、車両の自動運転制御に用いるための車両の移動時のリスクに関するリスク情報を生成する複数のリスク情報生成部（リスクマップ作成プログラム１１２Ａ，１１２Ｂを実行するＣＰＵ１０Ａ，１０Ｂ）を備え、複数のリスク情報生成部により生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する診断部（診断（リスクマップ比較）プログラム１１３Ａ，１１３Ｂを実行するＣＰＵ１０Ａ，１０Ｂ）を備えるように構成する。

Description

異常診断システム及び異常診断方法

　本発明は、車両の自動運転の制御に関わる異常を診断する異常診断システム等に関する。

　近年、車両の自動運転を行うために自動運転用ＥＣＵ（電子制御装置）が開発されている。自動運転用ＥＣＵの異常を診断する診断方法としては、例えば、特許文献１に記載された方法がある。特許文献１に記載された方法では、メインＥＣＵと、サブＥＣＵとに演算部と故障検出部とを備え、演算部が算出した操作量の結果を故障検出部が監視する。そして、演算結果の操作量の変化量を故障検出部が監視し、変化量があらかじめ定めた範囲を超えた時に、ＥＣＵの故障と判断している。また、メインＥＣＵと、サブＥＣＵとの操作量の演算結果が不一致となったときに故障と判断している。

　一方、自動運転用ＥＣＵに関する技術としては、操舵角などの演算を行う前に、自車が通行すべき軌道を決定するためにリスクマップを生成する方法が知られている。リスクマップは、例えば、自車が進みうる各地点と、自車がその地点に存在した際のリスクを数値化したリスクレベルとを対応づけて平面上に表したマップのことをいう。

特開２０１７－１９６９６５号公報

　自動運転の制御は複雑度を増しており、単純な操作量の変化だけでは自動運転用ＥＣＵの制御の異常と判断がつかない場合がある。例えば、自車が片側二車線の路肩側を走行中に、路肩に駐停車した別の車両をよける際を想定すると、中央線側に多少はみ出すだけで回避できると考えられる。車両が通り得る軌道としては、中央線側の車線に車線変更する軌道や、車線変更しないではみ出して回避する軌道が考えられる。また、中央線側の車線に車線変更するとした場合にあっても、車線変更を行うタイミングが複数あり、複数の軌道が考えられる。この場合においては、操作量が変化したとしても、異常ではない。

　このように、自動運転用ＥＣＵの制御が異常であるか否かを判定することは困難である。ここで、自動運転用ＥＣＵの制御の異常は、ＥＣＵ自体に起因する異常、ＥＣＵの処理に起因する異常、ＥＣＵに入力されるデータに起因する異常等を含む。

　本発明は、上記事情に鑑みなされたものであり、その目的は、車両の自動運転の制御に関わる異常を容易且つ適切に診断することのできる技術を提供することにある。

　上記目的を達成するため、一観点に係る異常診断システムは、車両の周囲の物体に関するセンサ情報に基づいて、車両の自動運転制御に用いるための車両の移動時のリスクに関するリスク情報を生成するリスク情報生成部を備える異常診断システムであって、リスク情報検出部を複数備え、複数のリスク情報生成部により生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する診断部を備える。

　本発明によれば、車両の自動運転の制御に関わる異常を容易且つ適切に診断することのできる技術を提供することにある。

図１は、第１実施形態に係る車両制御システムの全体構成図である。図２は、第１実施形態に係る車両制御システムにおける機能構成図である。図３は、第１実施形態に係る診断処理のフローチャートである。図４は、第１実施形態に係る自車の進行方向の状況を示す図である。図５は、第１実施形態に係るリスクマップ及びリスクの見逃しを説明する図である。図６は、第１実施形態の変形例に係る診断処理のフローチャートである。図７は、第２実施形態に係る車両制御システムの全体構成図である。図８は、第２実施形態に係るリスクマップ抽出処理のフローチャートである。図９は、第２実施形態に係る診断処理のフローチャートである。図１０は、第３実施形態に係る車両制御システムの全体構成図である。図１１は、第３実施形態に係るリスクマップ抽出処理のフローチャートである。図１２は、第３実施形態に係る診断処理のフローチャートである。図１３、第４実施形態に係る車両制御システムの全体構成図である。図１４は、第４実施形態に係る車両制御システムにおける機能構成図である。図１５は、第４実施形態に係る見逃しリスクリスト及び異常のあるＥＣＵの決定方法を説明する図である。図１６は、第４実施形態に係る診断処理のフローチャートである。図１７は、第５実施形態に係る車両制御システムにおける機能構成図である。図１８は、第５実施形態に係る車両制御システムにおける第１のシステム構成図である。図１９は、第５実施形態に係る車両制御システムにおける第２のシステム構成図である。図２０、第６実施形態に係る車両制御システムの全体構成図である。図２１は、第６実施形態に係る車両制御システムにおける機能構成図である。図２２、第７実施形態に係る車両制御システムの全体構成図である。図２３は、第７実施形態に係る車両制御システムにおける機能構成図である。図２４は、第７実施形態に係る診断処理のフローチャートである。

　いくつかの実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。

　また、以下の説明では、「プログラム」を動作主体として処理を説明する場合があるが、プログラムは、プロセッサ（例えばＣＰＵ（Central　Processing　Unit））によって実行されることで、定められた処理を、適宜に記憶資源（例えばメモリ）及び／又は通信インターフェース装置（例えばポート）を用いながら行うため、処理の主体がプロセッサとされても良い。プログラムを動作主体として説明された処理は、プロセッサを含む装置が行う処理としてもよい。また、プロセッサが行う処理の一部又は全部を行う専用のハードウェア回路を含んでもよい。コンピュータプログラムは、プログラムソースから装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバ、又は、計算機が読み取り可能な非一時的記録メディアであってもよい。

　まず、第１実施形態について説明する。

　図１は、第１実施形態に係る車両制御システムの全体構成図である。

　異常診断システムの一例としての車両制御システム１０００は、自動車等の車両に搭載されるシステムであって、各種センサ１２と、各種アクチュエータ１３と、複数のＥＣＵ（電子制御装置）１Ａ，１Ｂと、リセット調停回路１５とを備える。ＥＣＵ１Ａと、ＥＣＵ１Ｂとは、車載ネットワーク１４を介して通信可能に接続されている。車載ネットワーク１４は、Ｅｔｈｅｒｎｅｔ（登録商標）、ＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ－Ｒａｔｅ）等の任意の通信ネットワークでよい。

　各ＥＣＵ（１Ａ，１Ｂ）には、各種センサ１２と、各種アクチュエータ１３と、リセット調停回路１５とが接続されている。

　各種センサ１２は、レーダー、カメラ、ＧＰＳセンサなどの車両の周辺環境の情報を取り込むための１以上のセンサを含む。また、各種センサ１２は、地図情報を取り込むためのセンサ、車速や操舵角など自車両の情報を取り込むためのセンサを含んでもよい。各種センサ１２は、検出したセンサ情報をＥＣＵ（１Ａ，１Ｂ）に出力する。各種センサ１２においては、全てのセンサ情報について、共通のセンサからＥＣＵ１ＡとＥＣＵ１Ｂとにセンサ情報を出力するようにしてもよく、全てのセンサ情報について、同一の機能を有する異なる個体のセンサからＥＣＵ１ＡとＥＣＵ１Ｂとのそれぞれにセンサ情報を出力するようにしてもよく、また、センサ情報のうちの一部のセンサ情報のみについて、同一の機能を有する異なる個体のセンサからＥＣＵ１ＡとＥＣＵ１Ｂとのそれぞれにセンサ情報を出力し、残りのセンサ情報については共通のセンサからＥＣＵ１ＡとＥＣＵ１Ｂとにセンサ情報を出力するようにしてもよい。

　各種アクチュエータ１３は、車両の走行を操作するためのアクセル、ブレーキ、ステアリング等を操作するための１以上のアクチュエータを含む。各種アクチュエータ１３は、ＥＣＵ１Ａ又はＥＣＵ１Ｂから入力される制御情報に基づいて、車両の走行を制御する。

　ＥＣＵ１Ａ（１Ｂ）は、ＣＰＵ１０Ａ（１０Ｂ）と、メモリ１１Ａ（１１Ｂ）とを含む。ＣＰＵ１０Ａ（１０Ｂ）は、メモリ１１Ａ（１１Ｂ）に格納されているプログラムに従って各種処理を実行する。メモリ１１Ａ（１１Ｂ）は、例えば、ＲＡＭ（ＲＡＮＤＯＭ　ＡＣＣＥＳＳ　ＭＥＭＯＲＹ）であり、ＣＰＵ１０Ａ（１０Ｂ）で実行されるプログラムや、必要な情報を記憶する。

　メモリ１１Ａ（１１Ｂ）は、物体認識・動き予測プログラム１１１Ａ（１１１Ｂ）、リスクマップ作成プログラム１１２Ａ（１１２Ｂ）、診断（リスクマップ比較）プログラム１１３Ａ（１１３Ｂ）、軌道生成・車両制御プログラム１１４Ａ（１１４Ｂ）、及び他系リセットプログラム１１５Ａ（１１５Ｂ）、リスクマップ１１６Ａ（１１６Ｂ）を記憶する。各プログラムの機能については、後述する。

　なお、以降の説明では、便宜的にプログラムを動作主体として説明することもあるが、実際の実行主体は、プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）である。

　なお、ＥＣＵ１Ａと、ＥＣＵ１Ｂとの各構成は、同一の構成であっても、同様な構成であってもよい。

　リスクマップ（１１６Ａ，１１６Ｂ）は、リスク情報の一例であり、自車両（自車という）が進みうる各地点（例えば、前進時における自車の前方の各地点）と、自車がその地点に存在したとした際におけるリスクを数値化した値（リスクレベル）とを対応付けて平面上に表したマップである。

　リセット調停回路１５は、各ＥＣＵ（１Ａ，１Ｂ）からリセット要求（リセット信号）を受け付け、他方のＥＣＵ（他系）にリセットをかける処理を行う。リセット調停回路１５は、一方（例えば、ＥＣＵ１Ａ）からのリセット要求を受け付けてから、他方（例えば、ＥＣＵ１Ｂ）に対してリセットをかけるまでの間に、他方（すなわち、ＥＣＵ１Ｂ）からリセット要求を受け取った場合には、所定の優先順位に従って、どちらかのＥＣＵにリセットをかけるか決定し、決定したＥＣＵに対してリセットをかける。

　次に、車両制御システム１０００における機能構成図を説明する。

　図２は、第１実施形態に係る車両制御システムにおける機能構成図である。図２は、機能構成をＤａｔａ　Ｆｌｏｗ　Ｄｉａｇｒａｍ形式で記載している。

　物体認識・動き予測プログラム（１１１Ａ，１１１Ｂ）（実際には、物体認識・動き予測プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部）は、各種センサ１２からのセンサ入力（センサ情報）を受け付け、先行車などの外界の対象物を認識し、その対象物の動きを予測して物体情報として出力する。

　リスクマップ作成プログラム（１１２Ａ，１１２Ｂ）（実際には、リスクマップ作成プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部：リスク情報生成部の一例）は、物体認識・動き予測プログラム（１１１Ａ，１１１Ｂ）により出力された物体情報を入力として、リスクマップ（１１６Ａ，１１６Ｂ）を作成し、自身が所属するＥＣＵ（自ＥＣＵ）の診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）にリスクマップを出力するとともに、他方のＥＣＵの診断（リスクマップ比較）プログラム（１１３Ｂ，１１３Ａ）にリスクマップを出力する。例えば、リスクマップ作成プログラム１１２Ａを実行するＣＰＵ１０Ａにより構成される機能部が第１のリスク情報生成部であり、リスクマップ作成プログラム１１２Ｂを実行するＣＰＵ１０Ｂにより構成される機能部が第２のリスク情報生成部である。

　診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）（実際には、診断（リスクマップ比較）プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部：診断部の一例）は、他ＥＣＵに対して車載ネットワーク１４を介して他ＥＣＵで作成されたリスクマップの送信を要求するリスクマップ送信要求を送信する。また、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）は、他ＥＣＵから車載ネットワーク１４を介してリスクマップ送信要求を受信した場合には、自ＥＣＵ（１０Ａ）のリスクマップをリスクマップ送信要求元の他ＥＣＵ（１０Ｂ）に送信する。また、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）は、自ＥＣＵのリスクマップ作成プログラム（１１２Ａ，１１２Ｂ）が出力したリスクマップと、他方のＥＣＵの診断（リスクマップ比較）プログラム（１１３Ｂ，１１３Ａ）から取得したリスクマップとを比較し、リスクマップに異常があるか否か（例えば、リスクの見逃しがないか否か）を診断し、異常がある場合（ここでは、リスクの見逃しがある場合）には、他ＥＣＵ（他系）の異常に対する対処処理（異常対処処理：例えば、他系のＥＣＵをリセットする処理）が必要があることを示すリセット要を、他系リセットプログラム（１１５Ａ，１１５Ｂ）に出力する。

　軌道生成・車両制御プログラム（１１４Ａ，１１４Ｂ）（実際には、軌道生成・車両制御プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部）は、自ＥＣＵのリスクマップ作成プログラム（１１２Ａ、１１２Ｂ）により出力されたリスクマップから自車の軌道を生成し、生成した軌道上を自車が走行するように各種アクチュエータ１３を制御するための制御情報を生成して、出力する。

　他系リセットプログラム（１１５Ａ，１１５Ｂ）（実際には、他系リセットプログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部：異常対処処理部の一例）は、診断（リスクマップ比較）プログラム（１１３Ａ、１１３Ｂ）から出力されたリセット要を受け取った場合には、リセット調停回路１５に他ＥＣＵをリセットするためのリセット信号を出力する。

　なお、物体認識・動き予測プログラム（１１１Ａ，１１１Ｂ）、リスクマップ作成プログラム（１１２Ａ，１１２Ｂ）、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）、軌道生成・車両制御プログラム（１１４Ａ，１１４Ｂ）、及び他系リセットプログラム（１１５Ａ,１１５Ｂ）の各プログラムについては、ＥＣＵ１１ＡとＥＣＵ１１Ｂとですべて同一のコードのプログラムとしてもよく、また、少なくともいずれか１つを機能は同じであるが、構成が異なるプログラムとしてもよい。例えば、機能が同じで構成が異なるプログラムとしては、例えば、プログラムが学習を行うことにより構成されるプログラムであれば、異なるデータを用いて学習させたプログラムとしてもよく、また、それぞれについて別のベンダにより作成されたプログラムとしてもよい。このように、ＥＣＵ間で、機能が同じであるが構成が異なるプログラムを用いることにより、一方のプログラムでの不具合を、他方のプログラムでカバーすることができ、全体としての信頼性を向上することができる。

　次に、診断処理について説明する。

　図３は、第１実施形態に係る診断処理のフローチャートである。

　診断処理は、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）をＣＰＵ（１０Ａ，１０Ｂ）が実行することにより実行される。診断処理は、例えば、異常が発生してもその対応が問題とならない時間（比較的短い時間）を周期として実行される。以下においては、ＥＣＵ１Ａの診断（リスクマップ比較）プログラム１１３Ａの処理を中心に説明するが、ＥＣＵ１Ｂの診断（リスクマップ比較）プログラム１１３Ｂの処理も同様である。

　診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵ（ＥＣＵ１Ｂ）との間で、リスクマップを送受信する（ステップＳ１０１）。本実施形態では、診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ｂに対して車載ネットワーク１４を介してリスクマップ送信要求を送信する。この結果、ＥＣＵ１Ｂの診断（リスクマップ比較）プログラム１１３Ｂは、車載ネットワーク１４を介して、ＥＣＵ１Ｂで作成されたリスクマップを診断（リスクマップ比較）プログラム１１３Ａに送信する。これにより、診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵ（ＥＣＵ１Ｂ）が作成したリスクマップを比較用リスクマップとして取得することとなる。なお、本実施形態の変形例として、診断（リスクマップ比較）プログラム１１３Ｂとは別に、リスクマップ送信要求に従ってリスクマップを送信する、リスクマップ送信プログラムを設ける構成でも良い。この構成では、診断（リスクマップ比較）プログラム１１３Ａと診断（リスクマップ比較）プログラム１１３Ｂとが、ステップＳ１０１において互いに待ち合わせを行う必要がなくなる。

　次いで、診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ａで生成されたリスクマップと、取得したＥＣＵ１Ｂで生成されたリスクマップとを比較し、ＥＣＵ１Ｂで作成されたリスクマップにリスクの見逃しがあるか否かを検出する（ステップＳ１０２）。ここで、リスクの見逃しとは、一のリスクマップにはリスクとして存在している（又はリスクが高い）とされているが、他のリスクマップにはリスクが存在しない（又は、リスクが低い）とされていることをいう。

　この結果、リスクの見逃しがあると検出した場合（ステップＳ１０３：Ｙ）には、診断（リスクマップ比較）プログラム１１３Ａは、比較対象である他ＥＣＵ（ここでは、ＥＣＵ１Ｂ）をリセット対象に設定したリセット要を生成し（ステップＳ１０５）、他系リセットプログラム１１５Ａを起動してリセット要を渡し（ステップＳ１０６）、処理を終了する。ここで、起動された他系リセットプログラム１１５Ａは、リセット要に基づいて、他ＥＣＵをリセット対象としたリセット信号をリセット調停回路１５に送信する。この結果、リセット信号を受け取ったリセット調停回路１５は、受信したリセット信号に基づいて、ＥＣＵをリセットする処理を実行する。

　一方、リスクの見逃しがないと判定した場合（ステップＳ１０３：Ｎ）には、診断（リスクマップ比較）プログラム１１３Ａは、処理を終了する。

　次に、診断処理におけるステップＳ１０２のリスクマップの比較について説明する。

　図４は、第１実施形態に係る自車の進行方向の状況を示す図である。

　ここで、自車４０１は、図４に示すように、路肩４０２と中央線４０３とで区切られた右カーブに進入しようとしており、自車４０１の前には、先行車４０４が走行している。

　次に、自車が図４に示す状況にある場合を例にリスクマップ及びリスクマップの比較について説明する。

　図５は、第１実施形態に係るリスクマップ及びリスクの見逃しを説明する図である。図５において、リスクマップ１１６Ａは、図４に示す状況においてＥＣＵ１Ａにより生成されたリスクマップの一例を示し、リスクマップ１１６Ｂは、図４に示す状況においてＥＣＵ１Ｂにより生成されたリスクマップの一例を示す。

　図５に示すリスクマップ１１６Ａ、１１６Ｂにおいては、各マス目が図４のそれぞれの位置に対応し、そのマス目には、その位置に自車４０１が進入したとした場合のリスクレベルが設定される。本実施形態では、リスクレベルは、０（最小）～９（最大）の値となっている。なお、図５においては、リスクレベルが０については、記載を省略して空欄としている。

　リスクマップ１１６Ａにおいては、路肩４０２の外（図面左上側）の位置は、走行不可のためリスクレベル９と設定され、中央線４０３から外（図面右下側）の位置にはリスクレベル８～９と設定されている。また、先行車４０４が減速した場合に自車４０１に接触するリスクがあるため、先行車４０４の位置およびその周辺の位置は、リスクレベル３～６に設定されている。なお、各位置のリスクレベルの設定は、リスクマップ作成プログラム１１２Ａによって行われている。

　一方、リスクマップ１１６Ｂにおいては、先行車４０４の位置およびその周辺の位置がリスクレベル０となっている（点線にかかるマス目の部分）。ここで、リスクマップ１１６Ａと１１６Ｂとは、正常であれば、同一又はほぼ同一となっているはずであるが、何らかの異常が発生した場合には、異なった状態となる。

　図５に示すリスクマップ１１６Ａとリスクマップ１１６Ｂとがある場合には、診断（リスクマップ比較）プログラム１１３Ａは、リスクマップの比較によって、リスクマップ１１６Ｂは、点線にかかるマス目のリスクを見逃していると判定する。すなわち、診断（リスクマップ比較）プログラム１１３Ａを実行するＣＰＵ１０Ａは、ＥＣＵ１Ｂで生成されたリスクマップ１１６Ｂに異常が発生していると診断する。なお、この場合においては、リスクマップ１１６Ｂの生成に関与した各要素の何れか（例えば、ＥＣＵ１Ｂにセンサ情報を入力したセンサや、物体認識・動き予測プログラム１１１Ｂ、リスクマップ生成プログラム１１２Ｂ、又はＥＣＵ１Ｂ自体）の異常が発生していることがわかり、このままでは、適切な自動制御が行われない可能性がある。なお、リスクを見逃しているか否かの判定は、例えば、同じ位置を示すマス目の一方のリスクレベルが０であり、他方のリスクレベルが０ではない場合にリスクを見逃していると判定してもよい。

　上記した診断処理によると、ステップＳ１０２でリスクの見逃しが検出されて、他ＥＣＵが作成したリスクマップにリスクの見逃しがあった場合には、ステップＳ１０５、及びＳ１０６でリスクを見逃した他ＥＣＵにリセットをかけることができる。これにより、リスクを見逃したリスクマップを適切に検出でき、このリスクマップに基づいた車両制御が行われることを適切に防止することができ、運転制御における安全性を高めることができる。

　上記第１実施形態において、以下のような変形例が考えられる。

　例えば、上記実施形態においては、ステップＳ１０２において、２枚のリスクマップを比較する際に、同一の位置に対応する一方のリスクマップのマス目の値が０であって、他のリスクマップのマス目の値が０と異なるかを比較することにより、リスクの見逃しがあったか否かを判定するようにしていたが、例えば、あらかじめ定めた閾値よりもリスクレベルが高い領域をリスクありとし、その閾値と同一又は異なる値の閾値よりもリスクレベルが低い領域をリスクなしとし、一方のリスクマップにおいてリスクありとなっている位置が、他方のリスクマップにおいてリスクなしとなっている場合に、リスクの見落としがあったと判定してもよい。このような判定を行うようにすると、ノイズによるリスクレベルの誤検出に起因して他方に見逃しありとしてしまう判定誤りを回避することができる。

　また、上記した図３に示す診断処理に代えて、以下に示す診断処理を実行するようにしてもよい。

　図６は、第１実施形態の変形例に係る診断処理のフローチャートである。なお、図６においては、図３の診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。

　図６に示す変形例に係る診断処理においては、ステップＳ１０３がＮの次にステップＳ１０９を含み、ステップＳ１０３のＹと、ステップＳ１０５との間に、ステップＳ１０７及びステップＳ１０８を含む。

　ステップＳ１０３で見逃しありと判定された場合（ステップＳ１０３：Ｙ）には、診断（リスクマップ比較）プログラム１１３Ａは、所定の時点から見逃しありと判定された回数（判定回数）をカウントアップ（１加算）し（ステップＳ１０７）、判定回数が一定回数以上であるか否かを判定する（ステップＳ１０８）。この結果、判定回数が一定回数以上でない場合（ステップＳ１０８：Ｎ）には、診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵをリセットする後続の処理（ステップＳ１０５，Ｓ１０６）を実行せずに処理を終了する。

　一方、判定回数が一定回数以上である場合（ステップＳ１０８：Ｙ）には、診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵをリセットする後続の処理（ステップＳ１０５，Ｓ１０６）を実行する。なお、見逃しありと判定されなかった場合（ステップＳ１０３：Ｎ）には、異常がなかったことを意味するので、診断（リスクマップ比較）プログラム１１３Ａは、判定回数を０にクリアし（ステップＳ１０９）、処理を終了する。

　この処理を実行することにより、ＥＣＵ間のリスクを検出するタイミングの軽微なずれに起因するリスクの見逃しに対する誤判定を回避することができる。

　なお、本実施形態においては、物体認識・動き予測プログラム（１１１Ａ、１１１Ｂ）をそれぞれ１つのプログラムとして、リスクマップ作成プログラム（１１２Ａ、１１２Ｂ）を実行するＥＣＵ（１Ａ、１Ｂ）内で実行するとしているが、本発明はこれに限られず、例えば、物体認識・動き予測プログラム（１１１Ａ、１１１Ｂ）を複数のプログラムに分割してもよく、また、別のＥＣＵや、複数のＥＣＵで実行するようにしてもよい。また、軌道生成・車両制御プログラム（１１４Ａ、１１４Ｂ）についても同様に、複数のプログラムに分割してもよく、また、別のＥＣＵや、複数のＥＣＵで実行するようにしてもよい。

　次に、第２実施形態について説明する。

　図７は、第２実施形態に係る車両制御システムの全体構成図である。

　第２実施形態に係る車両制御システム１００１は、第１実施形態に係る車両制御システム１０００に対して、メモリ（１１Ａ，１１Ｂ）がさらに送信用リスクマップ（１１７Ａ、１１７Ｂ：部分リスクマップの一例）、リスクマップ比較条件（静的）（１１８Ａ、１１８Ｂ）、及びリスクマップ抽出プログラム（１１９Ａ、１１９Ｂ）を格納するようにした車両制御システムである。ここで、リスクマップ抽出プログラム（１１９Ａ、１１９Ｂ）をＣＰＵ（１０Ａ，１０Ｂ）が実行することにより構成される機能部が、抽出部の一例である。

　送信用リスクマップ（１１７Ａ、１１７Ｂ）は、他ＥＣＵからのリスクマップ送信要求に従って送信するリスクマップであり、リスクマップ（１１６Ａ、１１６Ｂ）から抽出された一部の情報（リスクマップの一部の座標に対する、座標と、その座標に対応するリスクレベルとの組の集合）である。

　リスクマップ比較条件（静的）（１１８Ａ、１１８Ｂ）は、リスクマップ（１１６Ａ、１１６Ｂ）から送信用リスクマップ（１１７Ａ、１１７Ｂ）を抽出する条件である。リスクマップ比較条件（静的）（１１７Ａ、１１７Ｂ）は、例えば、リスクレベルが一定の閾値以上であること（高リスク条件）、自車の位置からの距離が一定以下であること（近い順条件）、前後左右の位置に対してリスクレベルが高いこと（近傍比較条件）のいずれか１つ以上としてもよい。また、送信用リスクマップとして抽出される位置として、高リスク条件に該当する位置と、近い順条件に該当する位置とのそれぞれのリスクレベルにそれぞれ重みをかけて各位置毎に加算し、加算した結果が上位Ｎ個（Ｎは、任意の整数）に属する位置としてもよい。

　図８は、第２実施形態に係るリスクマップ抽出処理のフローチャートである。

　リスクマップ抽出処理は、リスクマップ抽出プログラム（１１９Ａ、１１９Ｂ）をＣＰＵ（１０Ａ，１０Ｂ）が実行することにより実行される。リスクマップ抽出処理は、例えば、診断処理を実行する前に実行される。以下においては、ＥＣＵ１Ａのリスクマップ抽出プログラム１１９Ａの処理について説明するが、ＥＣＵ１Ｂのリスクマップ抽出プログラム１１９Ｂの処理も同様である。

　リスクマップ抽出プログラム１１９Ａは、リスクマップ（１１６Ａ、１１６Ｂ）を参照し、リスクマップ比較条件（１１７Ａ、１１７Ｂ）に合致する情報を抽出し（ステップＳ２０１）、抽出した情報を送信用リスクマップ（１１８Ａ、１１８Ｂ）に出力する（ステップＳ２０２）。

　次に、診断処理について説明する。

　図９は、第２実施形態に係る診断処理のフローチャートである。なお、図９においては、第１実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。

　診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵ（ＥＣＵ１Ｂ）の送信用リスクマップ１１７Ｂを比較対象のリスクマップとして送受信する（ステップＳ３０１）。本実施形態では、診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ｂに対して車載ネットワーク１４を介してリスクマップ送信要求を送信する。この結果、ＥＣＵ１Ｂの診断（リスクマップ比較）プログラム１１３Ｂは、車載ネットワーク１４を介して、ＥＣＵ１Ｂで作成された送信用リスクマップ１１７Ｂを診断（リスクマップ比較）プログラム１１３Ａに送信することとなる。ここで、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）をＣＰＵ（１０Ａ，１０Ｂ）が実行することにより構成される機能部が、送信部の一例である。

　次いで、診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ａで生成された送信用リスクマップ１１７Ａと、取得したＥＣＵ１Ｂで生成された送信用リスクマップ１１７Ｂとを比較し、ＥＣＵ１Ｂで作成された送信用リスクマップにリスクの見逃しがあるか否かを検出する（ステップＳ３０２）。以降の処理は、第１実施形態に係る診断処理と同様である。

　上記診断処理によると、リスクマップ１１６Ｂよりもデータ量が少ない送信用リスクマップ１１７Ｂを車載ネットワーク１４を介して送信するので、通信時間を短縮することができるとともに、車載ネットワーク１４に対する負荷を軽減することができる。また、ステップＳ３０２のリスクマップの比較処理においては、比較する位置が少なくて済むので、処理時間を短縮でき、ＥＣＵにおける処理負荷を軽減できる。

　次に、第３実施形態について説明する。

　図１０は、第３実施形態に係る車両制御システムの全体構成図である。

　第３実施形態に係る車両制御システム１００２は、第２実施形態に係る車両制御システム１００１に対して、リスクマップ比較条件（静的）（１１８Ａ，１１８Ｂ）に代えて、リスクマップ比較条件（静的・動的）（１４０Ａ，１４０Ｂ）を備え、送信用リスクマップ（１１７Ａ，１１７Ｂ）に代えて、送信用リスクマップ（履歴付き）（１４１Ａ，１４１Ｂ）を備え、リスクマップ抽出プログラム（１１９Ａ，１１９Ｂ）に代えてリスクマップ抽出プログラム（１４２Ａ，１４２Ｂ）を備えるようにした車両制御システムである。

　リスクマップ比較条件（静的・動的）（１４０Ａ，１４０Ｂ）は、リスクマップ（１１６Ａ，１１６Ｂ）から送信用リスクマップ（履歴付き）（１４１Ａ，１４２Ｂ）を抽出する条件である。リスクマップ比較条件（静的・動的）（１４０Ａ，１４０Ｂ）は、静的な条件として、リスクマップ比較条件（静的）（１１８Ａ，１１８Ｂ）と同じ条件を含み、更にリスクマップ比較条件（動的）を含む。

　リスクマップ比較条件（動的）は、リスクマップ比較条件（静的）で検出された結果の履歴に基づいて適用する条件であり、接近速度（対応するリスクの移動速度）が一定以上であること、出現の新しさがあること（直近の一定回数以下の抽出では検出されていないこと）等がある。

　図１１は、第３実施形態に係るリスクマップ抽出処理のフローチャートである。

　リスクマップ抽出処理は、リスクマップ抽出プログラム（１４２Ａ，１４２Ｂ）をＣＰＵ（１０Ａ，１０Ｂ）が実行することにより実行される。リスクマップ抽出処理は、例えば、診断処理を実行する前に実行される。

　リスクマップ抽出プログラム１４２Ａは、リスクマップ（１１６Ａ，１１６Ｂ）を参照し、リスクマップ比較条件（動的・静的）（１４０Ａ，１４０Ｂ）の静的条件に従って、該当する各座標の情報を抽出し、その後、静的条件により抽出された各座標の情報の履歴に対して、動的条件に従って、該当する各座標の情報を抽出し（ステップＳ２１１）、動的条件により抽出された情報の履歴と、動的条件により抽出された情報を送信用リスクマップ（履歴付）（１４１Ａ，１４１Ｂ）に出力する（ステップＳ２１２）。

　このリスクマップ抽出処理によると、より重要度の高いと考えられる座標に絞った送信用リスクマップを作成でき、送信用リスクマップのデータ量をより低減することができる。

　次に、診断処理について説明する。

　図１２は、第３実施形態に係る診断処理のフローチャートである。なお、図１２においては、第１実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。

　診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵ（ＥＣＵ１Ｂ）の送信用リスクマップ（履歴付）１４１Ｂのうちの動的条件により検出された送信用リスクマップを比較対象のリスクマップとして送受信する（ステップＳ３５１）。本実施形態では、診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ｂに対して車載ネットワーク１４を介してリスクマップ送信要求を送信する。この結果、ＥＣＵ１Ｂの診断（リスクマップ比較）プログラム１１３Ｂは、車載ネットワーク１４を介して、ＥＣＵ１Ｂで作成された送信用リスクマップ（履歴付）１４１Ｂの動的条件により検出された送信用リスクマップを診断（リスクマップ比較）プログラム１１３Ａに送信することとなる。

　次いで、診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ａで生成された送信用リスクマップ（履歴付）１４１Ａのうちの動的条件により検出された送信用リスクマップと、取得したＥＣＵ１Ｂで生成された送信用リスクマップ（履歴付）１４１Ｂのうちの動的条件により検出された送信用リスクマップとを比較し、ＥＣＵ１Ｂで作成された送信用リスクマップ（履歴付）１４１Ｂの送信用リスクマップにリスクの見逃しがあるか否かを判定する（ステップＳ３５２）。以降の処理は、第１実施形態に係る診断処理と同様である。

　上記診断処理によると、送信用リスクマップ１１７Ｂよりもデータ量が少ない送信用リスクマップ（履歴付）１４１Ｂのうちの動的条件により検出された送信用リスクマップを、車載ネットワーク１４を介して送信するので、通信時間を短縮することができるとともに、車載ネットワーク１４に対する負荷を軽減することができる。また、ステップＳ３５２のリスクマップの比較処理においては、比較する位置が少なくて済むので、処理時間を短縮でき、処理負荷を軽減できる。

　次に、第４実施形態について説明する。

　図１３は、第４実施形態に係る車両制御システムの全体構成図である。

　第４実施形態に係る車両制御システム１００３は、第１実施形態に係る車両制御システム１０００に対して、更にＥＣＵ１Ｃを備えるようにするとともに、各ＥＣＵ（１Ａ，１Ｂ，１Ｃ）のメモリ（１１Ａ，１１Ｂ，１１Ｃ）に、見逃しリスクリスト（１４３Ａ，１４３Ｂ，１４３Ｃ）をさらに格納させるようにし、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ，１１３Ｃ）の処理を変更した車両制御システムである。

　ＥＣＵ１Ｃは、ＥＣＵ１Ａと同様な構成となっている。なお、以下は、第１実施形態に係る車両制御システム１０００と異なる点を中心に説明する。

　図１４は、第４実施形態に係る車両制御システムにおける機能構成図である。

　第４実施形態に係る車両制御システム１００３の機能構成は、第１実施形態に係る車両制御システム１０００の機能構成に対して、ＥＣＵ１Ａと同様な構成のＥＣＵ１Ｃの構成をさらに備えた機能構成となっている。なお、車両制御システム１００３においては、ＥＣＵ１Ａのリスクマップ作成プログラム１１２Ａで作成されたリスクマップ１１６Ａは、ＥＣＵ１Ｂの診断（リスクマップ比較）プログラム１１３Ｂに送信され、ＥＣＵ１Ｂのリスクマップ作成プログラム１１２Ｂで作成されたリスクマップ１１６Ｂは、ＥＣＵ１Ｃの診断（リスクマップ比較）プログラム１１３Ｃに送信され、ＥＣＵ１Ｃのリスクマップ作成プログラム１１２Ｃで作成されたリスクマップ１１６Ｃは、ＥＣＵ１Ａの診断（リスクマップ比較）プログラム１１３Ａに送信される。

　次に、見逃しリスクリストと、異常のあるＥＣＵの決定方法を説明する。

　図１５は、第４実施形態に係る見逃しリスクリスト及び異常のあるＥＣＵの決定方法を説明する図である。

　見逃しリスクリスト１４３Ａ，１４３Ｂ，１４３Ｃは、それぞれ図１５に示す１つの行に対応し、診断したＥＣＵの情報と、比較元のリスクマップを示す情報と、比較対象のリスクマップを示す情報と、見逃しの判定結果との情報を含む。

　ここで、ＥＣＵ１Ａの診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ａと、ＥＣＵ１Ｃのリスクマップとを比較して見逃しがあるか否かを判定する。また、ＥＣＵ１Ａの診断（リスクマップ比較）プログラム１１３Ａは、他のＥＣＵ１Ｂ，ＥＣＵ１Ｃから見逃しリスクの判定結果である見逃しリスクリストを取得する。次いで、ＥＣＵ１Ａの診断（リスクマップ比較）プログラム１１３Ａは、自身の判定結果と、他のＥＣＵ１Ｂ，ＥＣＵ１Ｃからの見逃しリスクリストとに基づいて、異常のあるＥＣＵ（リセット対象のＥＣＵ）を決定する。

　例えば、図１５に示すように、ＥＣＵ１Ａのみが比較対象のＥＣＵ（ＥＣＵ１Ｃ）に見逃しがあると判定し、他のＥＣＵ１Ｂ，ＥＣＵ１Ｃが、比較対象のＥＣＵに見逃しがないと判定した場合には、ＥＣＵ１Ａの診断（リスクマップ比較）プログラム１１３Ａは、自身の判定結果と、他のＥＣＵ１Ｂ，ＥＣＵ１Ｃからの見逃しリスクリストとに基づいて、ＥＣＵ１Ａのみが見逃しありと判定しており、少数派となるＥＣＵ１Ａが異常であると判別でき、ＥＣＵ１Ｂの診断（リスクマップ比較）プログラム１１３Ｂは、自身の判定結果と、他のＥＣＵ１Ａ，ＥＣＵ１Ｃからの見逃しリスクリストと、に基づいて、ＥＣＵ１Ａのみが見逃しありと判定しており、少数派となるＥＣＵ１Ａが異常であると判別でき、ＥＣＵ１Ｃの診断（リスクマップ比較）プログラム１１３Ｃは、自身の判定結果と、他のＥＣＵ１Ａ，ＥＣＵ１Ｂからの見逃しリスクリストとに基づいて、ＥＣＵ１Ａのみが見逃しありと判定しており、少数派となるＥＣＵ１Ａが異常であると判別できる。なお、ＥＣＵの数が４つ以上の場合には、他ＥＣＵの見逃しリスクリストを取得し、自分の判定結果と、他ＥＣＵの見逃しリスクリストとに基づいて、見逃しありと報告したＥＣＵが一定数以下の場合に、見逃しありと報告したこれらのＥＣＵをリセット対象としてもよい。

　次に、診断処理について説明する。

　図１６は、第４実施形態に係る診断処理のフローチャートである。なお、図１６においては、第１実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。また、図１６は、ＥＣＵ１Ａの処理について説明するが、ＥＣＵ１Ｂ，ＥＣＵ１Ｃにおいても同様な処理が実行される。

　診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵ（ＥＣＵ１Ｂ）のリスクリストを取得する（ステップＳ３１２）。本実施形態では、診断（リスクマップ比較）プログラム１１３Ａは、他ＥＣＵ（ＥＣＵ１Ｂ，ＥＣＵ１Ｃ）に対して車載ネットワーク１４を介して見逃しリスクリスト送信要求を送信する。この結果、他ＥＣＵの診断（リスクマップ比較）プログラム（１１３Ｂ，１１３Ｃ）は、車載ネットワーク１４を介して、ＥＣＵ（１Ｂ，１Ｃ）で作成された見逃しリスクリストを送信することとなる。

　次いで、診断（リスクマップ比較）プログラム１１３Ａは、ＥＣＵ１Ａで生成されたリスクマップ１１６Ａと、取得したＥＣＵ１Ｃで生成されたリスクマップ１１６Ｃとを比較し、ＥＣＵ１Ｃで作成されたリスクマップ１１６Ｃにリスクの見逃しがあるか否かを検出し、この検出結果と、取得した見逃しリスクリストとの内容を参照し、リスクの見逃しがあるＥＣＵを検出する（ステップＳ３１３）。

　ステップＳ１０３でリスクの見逃しありと判定された場合（Ｓ１０３：Ｙ）には、診断（リスクマップ比較）プログラム１１３Ａは、自ＥＣＵが過検出（リスクの見逃しありとの判定が少数派）であるか否か判定し（ステップＳ３１５）、自ＥＣＵが過検出であると判定した場合（ステップＳ３１５：Ｙ）には、他ＥＣＵをリセット対象とせずに処理を終了する一方、自ＥＣＵが過検出でない場合（ステップＳ３１５：Ｎ）には、処理をステップＳ１０５に進めて、リスクの見逃しをした他ＥＣＵのリセットを進める。

　一方、ステップＳ１０３でリスクの見逃しありではないと判定された場合（Ｓ１０３：Ｎ）には、診断（リスクマップ比較）プログラム１１３Ａは、過検出（リスクの見逃しありとの判定が少数派）の他ＥＣＵがあるか否かを判定し（ステップＳ３１４）、過検出の他ＥＣＵがあると判定した場合（ステップＳ３１４：Ｙ）には、診断（リスクマップ比較）プログラム１１３Ａは、過検出の他ＥＣＵをリセット対象に設定したリセット要を生成し（ステップＳ３１６）、処理をステップＳ１０６に進める一方、過検出の他ＥＣＵがないと判定した場合（ステップＳ３１４：Ｎ）には、他ＥＣＵをリセット対象とせずに処理を終了する。

　この診断処理によると、複数のＥＣＵの内の過検出を行ったリスクマップ作成プログラムを有するＥＣＵがリセット対象となる。

　次に、第５実施形態について説明する。

　図１７は、第５実施形態に係る車両制御システムの全体構成図である。

　第５実施形態に係る車両制御システム１００４は、第１実施形態に係る車両制御システム１０００における２つのＥＣＵ１Ａ、１Ｂで実行されていた機能を一つのＥＣＵ１Ａで実現するようにした車両制御システムである。すなわち、ＥＣＵ１Ａのメモリ１１Ａは、物体認識・動き予測プログラム１１１Ａ，１１１Ｂ、リスクマップ作成プログラム１１２Ａ，１１２Ｂ、診断（リスクマップ比較）プログラム１１３Ａ，１１３Ｂ、軌道生成・車両制御プログラム１１４Ａ，１１４Ｂ、及び他系リセットプログラム１１５Ａ，１１５Ｂ、リスクマップ１１６Ａ，１１６Ｂを記憶する。本実施形態の他系リセットプログラム１１５Ａ，１１５Ｂは、診断（リスクマップ比較）プログラム（１１３Ａ、１１３Ｂ）から出力されたリセット要を受け取った場合には、リセット調停回路１５に他系の各プログラムをリセットするためのリセット信号を出力する。また、リセット調停回路１５は、リセット信号に従って、他系の各プログラムをリセット（再起動）させる制御を行う。

　次に、車両制御システム１００４におけるシステム構成図について説明する。

　図１８は、第５実施形態に係る車両制御システムにおける第１のシステム構成図である。図１９は、第５実施形態に係る車両制御システムにおける第２のシステム構成図である。

　車両制御システム１００４は、図１８に示すようにＣＰＵ１０Ａ上でＯＳ１２０Ａが動作し、ＯＳ１２０Ａ上において、物体認識・動き予測プログラム１１１Ａ、リスクマップ作成プログラム１１２Ａ、診断（リスクマップ比較）プログラム１１３Ａ、軌道生成・車両制御プログラム１１４Ａ、及び他系リセットプログラム１１５Ａのアプリケーションが動作する第１の制御系を構成するとともに、物体認識・動き予測プログラム１１１Ｂ、リスクマップ作成プログラム１１２Ｂ、診断（リスクマップ比較）プログラム１１３Ｂ、軌道生成・車両制御プログラム１１４Ｂ、及び他系リセットプログラム１１５Ｂのアプリケーションが動作する第２の制御系を構成するシステム構成とすることができる。

　また、車両制御システム１００４は、図１９に示すようにＣＰＵ１０Ａ上で、仮想計算機を実現可能にするハイパバイザ１２１Ａが動作して、ハイパバイザ１２１Ａ上に仮想ＣＰＵ１２２Ａ、１２２Ｂを構築し、仮想ＣＰＵ１２２Ａ上で、ＯＳ１２３Ａを動作させ、ＯＳ１２３Ａ上において、物体認識・動き予測プログラム１１１Ａ、リスクマップ作成プログラム１１２Ａ、診断（リスクマップ比較）プログラム１１３Ａ、軌道生成・車両制御プログラム１１４Ａ、及び他系リセットプログラム１１５Ａのアプリケーションが動作することにより、第１の制御系を構成とともに、仮想ＣＰＵ１２２Ｂ上で、ＯＳ１２３Ｂを動作させ、ＯＳ１２３Ｂ上において、物体認識・動き予測プログラム１１１Ｂ、リスクマップ作成プログラム１１２Ｂ、診断（リスクマップ比較）プログラム１１３Ｂ、軌道生成・車両制御プログラム１１４Ｂ、及び他系リセットプログラム１１５Ｂのアプリケーションが動作することにより、第２の制御系を構成するシステム構成とすることもできる。

　本実施形態にかかる車両制御システム１００４によると、一つのＥＣＵ上で動作する複数の系の一方に異常（例えば、リスクの見落とし）が発生したことを適切に検出ができ、その系に対して適切にリセットを行うことができる。

　次に、第６実施形態について説明する。

　図２０は、第６実施形態に係る車両制御システムの全体構成図である。

　第６実施形態に係る車両制御システム１００５は、第１実施形態に係る車両制御システム１０００に対して、メモリ（１１Ａ，１１Ｂ：疑似センサ情報記憶部の一例）がさらに疑似センサ入力（１４３Ａ，１４３Ｂ：疑似センサ情報）を格納するようにし、この疑似センサ入力を用いて、物体認識・動き予測プログラム（１１１Ａ，１１１Ｂ）等のプログラムが処理を実行するようにした車両制御システムである。なお、本実施形態では、疑似センサ入力を用いた診断処理は、例えば、車両の始動時や、車両の停車時に実行される。

　疑似センサ入力（１４３Ａ、１４３Ｂ）は、車両が或る状況にある際に各種センサ１２から入力されると想定される疑似的なセンサ入力（センサ情報）である。

　図２１は、第６実施形態に係る車両制御システムにおける機能構成図である。図２１は、機能構成をＤａｔａ　Ｆｌｏｗ　Ｄｉａｇｒａｍ形式で記載している。

　物体認識・動き予測プログラム（１１１Ａ，１１１Ｂ）（実際には、物体認識・動き予測プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部）は、疑似センサ入力を用いた診断処理を実行する時においては、メモリ（１１Ａ，１１Ｂ）の疑似センサ入力を受け付け、疑似センサが示す状況における先行車などの外界の対象物を認識し、その対象物の動きを予測して物体情報として出力する。

　リスクマップ作成プログラム（１１２Ａ、１１２Ｂ）（実際には、リスクマップ作成プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部）は、物体認識・動き予測プログラム（１１１Ａ，１１１Ｂ）により出力された物体情報を入力として、リスクマップ（１１６Ａ，１１６Ｂ）を作成し、自身が所属するＥＣＵ（自ＥＣＵ）の診断（リスクマップ比較）プログラム（１１３Ａ、１１３Ｂ）にリスクマップを出力するとともに、他方のＥＣＵの診断（リスクマップ比較）プログラム（１１３Ｂ，１１３Ａ）にリスクマップを出力する。

　診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）（実際には、診断（リスクマップ比較）プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部）は、他ＥＣＵに対して車載ネットワーク１４を介して他ＥＣＵで作成されたリスクマップの送信を要求するリスクマップ送信要求を送信する。また、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）は、他ＥＣＵから車載ネットワーク１４を介してリスクマップ送信要求を受信した場合には、自ＥＣＵ（１０Ａ）のリスクマップをリスクマップ送信要求元の他ＥＣＵ（１０Ｂ）に送信する。また、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）は、自ＥＣＵの診断（リスクマップ比較）プログラムが出力した疑似センサ入力に基づくリスクマップと、他方のＥＣＵの診断（リスクマップ比較）プログラムから取得した疑似センサ入力に基づくリスクマップとを比較し、リスクの見逃しがないか否かを検出し、リスクの見逃しがある場合には、他ＥＣＵ（他系）をリセットする必要があることを示すリセット要を、他系リセットプログラム（１１５Ａ,１１５Ｂ）に出力する。

　本実施形態に係る車両制御システム１００５によると、車両の始動時や、車両の停車時等に適切にリスクマップの異常を検出することができる。また、疑似センサ入力に基づいてリスクマップを作成するので、各種センサ１２における異常の影響を受けることがない。

　次に、第７実施形態について説明する。

　図２２は、第７実施形態に係る車両制御システムの全体構成図である。

　第７実施形態に係る車両制御システム１００６は、第６実施形態に係る車両制御システム１００５に対して、メモリ（１１Ａ，１１Ｂ）がさらに比較用リスクマップ（１４４Ａ、１４４Ｂ）を格納するようにし、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）は、比較用リスクマップを用いて診断を行うようにした車両制御システムである。

　比較用リスクマップ（１４４Ａ、１４４Ｂ）は、疑似センサ入力があった場合に作成されるべきリスクマップである。

　図２３は、第７実施形態に係る車両制御システムにおける機能構成図である。図２３は、機能構成をＤａｔａ　Ｆｌｏｗ　Ｄｉａｇｒａｍ形式で記載している。

　リスクマップ作成プログラム（１１２Ａ，１１２Ｂ）（実際には、リスクマップ作成プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部）は、物体認識・動き予測プログラム（１１１Ａ，１１１Ｂ）により出力された物体情報を入力として、リスクマップ（１１６Ａ，１１６Ｂ）を作成し、他方のＥＣＵの診断（リスクマップ比較）プログラム（１１３Ｂ，１１３Ａ）にリスクマップを出力する。

　診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）（実際には、診断（リスクマップ比較）プログラムを実行するＣＰＵ（１０Ａ，１０Ｂ）により構成される機能部）は、他ＥＣＵに対して車載ネットワーク１４を介して他ＥＣＵで作成されたリスクマップの送信を要求するリスクマップ送信要求を送信する。また、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）は、他ＥＣＵから車載ネットワーク１４を介してリスクマップ送信要求を受信した場合には、自ＥＣＵ（１０Ａ）のリスクマップをリスクマップ送信要求元の他ＥＣＵ（１０Ｂ）に送信する。また、診断（リスクマップ比較）プログラム（１１３Ａ，１１３Ｂ）は、メモリ（１１Ａ，１１Ｂ）の比較用リスクマップ（１４４Ａ，１４４Ｂ）と、他方のＥＣＵの診断（リスクマップ比較）プログラム（１１３Ｂ、１１３Ａ）から取得した疑似センサ入力に基づくリスクマップとを比較し、リスクの見逃しがないか否かを検出し、リスクの見逃しがある場合には、他ＥＣＵ（他系）をリセットする必要があることを示すリセット要を、他系リセットプログラム（１１５Ａ,１１５Ｂ）に出力する。

　次に、診断処理について説明する。

　図２４は、第７実施形態に係る診断処理のフローチャートである。なお、図２４においては、第１実施形態に係る診断処理と同様な部分については、同一の符号を付し、重複する説明を省略する。

　診断（リスクマップ比較）プログラム１１３Ａは、メモリ１１Ａの比較用リスクマップ１４４Ａと、取得したＥＣＵ１Ｂで生成されたリスクマップ１１６Ｂとを比較し、ＥＣＵ１Ｂで作成されたリスクマップにリスクの見逃しがあるか否かを検出する（ステップＳ３２１）。以降の処理は、第１実施形態に係る診断処理と同様である。

　上記診断処理によると、予め記憶されている疑似センサ入力に対応する正確な比較用リスクマップと、他のＥＣＵから取得されたリスクマップとを比較するようにしているので、リスクマップの異常の検出の信頼性を高くすることができる。

　なお、本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で、適宜変形して実施することが可能である。

　例えば、上記いずれか複数の実施形態を組み合わせるようにしてもよい。例えば、第６実施形態又は第７実施形態においては、作成したリスクマップを他のＥＣＵに送信するようにしていたが、例えば、第２実施形態又は第３実施形態で示したように、送信用リスクマップを送信するようにしてもよい。

　また、上記実施形態では、異常対処処理として、ＥＣＵをリセットする処理としていたが、本発明はこれに限られず、例えば、ＥＣＵの動作を停止させるようにしてもよい。

　また、上記実施形態において、ＣＰＵが行っていた処理の一部又は全部を、専用のハードウェア回路で行うようにしてもよい。また、上記実施形態におけるプログラムは、プログラムソースからインストールされてよい。プログラムソースは、プログラム配布サーバ又は記憶メディア（例えば可搬型の記憶メディア）であってもよい。

　１０００，１００１，１００２，１００３，１００４，１００５，１００６…車両制御システム、１Ａ，１Ｂ，１Ｃ…ＥＣＵ、１０Ａ，１０Ｂ，１０Ｃ…ＣＰＵ、１１Ａ，１１Ｂ，１１Ｃ…メモリ、１１２Ａ，１１２Ｂ，１１２Ｃ…リスクマップ作成プログラム、１１３Ａ，１１３Ｂ，１１３Ｃ…診断（リスクマップ比較）プログラム、１１５Ａ，１１５Ｂ，１１５Ｃ…他系リセットプログラム、１１９Ａ，１１９Ｂ…リスクマップ抽出プログラム

Claims

　車両の周囲の物体に関するセンサ情報に基づいて、前記車両の自動運転制御に用いるための前記車両の移動時のリスクに関するリスク情報を生成するリスク情報生成部を備える異常診断システムであって、
　前記リスク情報検出部を複数備え、
　複数の前記リスク情報生成部により生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する診断部を備える
異常診断システム。
　前記リスク情報生成部は、前記リスク情報として、前記車両の周囲における複数の位置と、各位置におけるリスクレベルとの対応関係を含むリスクマップを生成する
請求項１に記載の異常診断システム。
　複数の前記リスク情報生成部のそれぞれに対応して設けられた前記診断部を複数備え、
　複数の前記リスク情報生成部のそれぞれに対応して設けられ、対応する前記リスク情報生成部により生成されたリスクマップの一部である部分リスクマップを抽出する複数の抽出部と、
　複数の前記抽出部のそれぞれに対応して設けられ、対応する抽出部により抽出された前記部分リスクマップを、他のリスク情報生成部に対応する前記診断部に送信する複数の送信部と、をさらに有し、
　それぞれの前記診断部は、前記送信部から送信された前記部分リスクマップと、対応する前記リスク情報生成部により生成された前記リスクマップに対応する部分リスクマップとを比較することにより、リスクマップの異常を診断する
請求項２に記載の異常診断システム。
　前記抽出部は、前記リスクマップから所定の条件を満たす一部の位置を特定し、前記特定した位置と、その位置におけるリスクレベルとを含む部分リスクマップを抽出する
請求項３に記載の異常診断システム。
　複数の前記リスク情報生成部のうちの第１のリスク情報生成部と、第２のリスク情報生成部とは、個体の異なる同種のセンサによって検出された情報が含まれるセンサ情報に基づいて、前記リスク情報を生成する
請求項１から請求項４のいずれか一項に記載の異常診断システム。
　前記診断部は、含まれるリスクが少ないリスク情報について、異常が発生していると診断する
請求項１から請求項５のいずれか一項に記載の異常診断システム。
　前記診断部により異常が発生していると診断された前記リスク情報を生成した前記リスク情報検出部に対して、異常に対処する所定の処理を実行する異常対処処理部をさらに有する
請求項１から請求項６のいずれか一項に記載の異常診断システム。
　前記異常診断システムは、
　複数の電子制御装置を備え、
　複数の前記リスク情報検出部は、異なる前記電子制御装置に備えられている
請求項１から請求項７のいずれか一項に記載の異常診断システム。
　前記センサ情報として、前記車両の周囲の物体が所定の状態にある場合においてセンサから出力されると想定されるセンサ情報である疑似センサ情報を記憶する疑似センサ情報記憶部をさらに備え、
　それぞれの前記リスク情報生成部は、前記疑似センサ情報に基づいて、前記リスク情報を生成し、
　前記診断部は、前記疑似センサ情報に基づいて生成された前記リスク情報に基づいて、前記リスク情報の異常を診断する
請求項１から請求項８のいずれか一項に記載の異常診断システム。
　車両の周囲の物体に関するセンサ情報に基づいて、前記車両の自動運転制御に用いるための前記車両の移動時のリスクに関するリスク情報を生成する異常診断システムによる異常診断方法であって、
　前記センサ情報に基づいて、複数のリスク情報を生成し、
　生成された複数のリスク情報に基づいて、生成されたリスク情報に異常が発生しているか否かを診断する
異常診断方法。