WO2020129523A1

WO2020129523A1 - 電子制御装置および車載システム

Info

Publication number: WO2020129523A1
Application number: PCT/JP2019/045370
Authority: WO
Inventors: 博史篠田; 坂本　英之
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2018-12-19
Filing date: 2019-11-20
Publication date: 2020-06-25
Also published as: CN113195330B; CN113195330A; US20220017107A1; JP7111606B2; US11787425B2; JP2020097352A

Abstract

自動運転ＥＣＵ１は、複数のセンサ６１からセンシングデータを受け取ることが可能な少なくとも二つのマイコン１０、３０と、複数のセンサ６１又はマイコン１０、３０の故障を検知する故障検知部１１、３１と、通常動作モードと縮退動作モードとを選択するモード選択部３３と、故障検知部３１により検知された故障箇所、又はセンシングデータから算出した自車両の周辺状況に基づいてセンサ６１を選択するセンサ選択部と、を備えている。少なくとも二つのマイコン１０、３０のいずれかは、縮退動作モードの場合に、センサ選択部により選択されたセンサ６１から受け取るセンシングデータを用いて、アクチュエータを動作させる駆動信号を生成する。

Description

電子制御装置および車載システム

　本発明は、電子制御装置および車載システムに関する。

　自動運転システムは、事故件数低減や渋滞解消等のさまざまな社会的課題を解決し得るシステムであり、世界的にその実用化に向けた取組みが年々活発化している。高レベルの自動運転システムには、自動運転を制御する上位の制御装置である自動運転ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ：電子制御装置）に障害が発生した場合、ドライバに操作を引き渡すまで、あるいは自車両が安全な場所に移動して停止するまでの期間、動作を継続することが求められる。

　特許文献１には、個々のコントローラの冗長度を必要以上に上げることなく、システム全体でエラーをバックアップすることにより、簡潔なＥＣＵの構成で、低コストで、高い信頼性とリアルタイム性と拡張性とを確保した車両制御装置が開示されている。

　具体的には、車両を制御するアクチュエータを作動させるアクチュエータコントローラが、上位コントローラが生成する制御目標値に異常が生じたときに、センサコントローラのセンサ値に基づいて制御目標値を生成する制御目標値生成手段を有し、前記制御目標値生成手段によって生成した制御目標値によってアクチュエータを制御するという、フェールオペレーショナルな車両制御システムが開示されている。なお、ここでのセンサ値とは、操舵角、ブレーキペダル位置、アクセルペダル位置などのドライバからの要求信号を指している。

特開２０１６－１９６２９５号公報

　自動運転ＥＣＵに障害が発生したときに一定期間の動作を継続するためには、例えば、システムの多重化や動作監視を用いた冗長化等が考えられる。しかし、自動運転ＥＣＵには、演算負荷が高く高性能な計算機が用いられることから、冗長化によるコスト増大は免れない。

　一方、特許文献１に開示された車両制御システムは、単純なシステム多重化に伴うコスト増大を回避したシステム構成である。しかし、この車両制御システムは、センシングによる車両制御を目的としており、自動運転システムに必要な自車両周辺の環境を認識するセンサを含んでいない。したがって、車両制御システムが自動運転システムに適用されても、装置自体に障害が発生したときに、自車両を安全な場所まで移動させる等の適切な措置を取ることができない。

　本発明は、上記の点に鑑みてなされたものであり、自動運転ＥＣＵに障害が発生しても、自車両を安全な退避場所へ移動させる、高度な自動運転システムを低コストかつ高信頼に実現することを目的とする。

　本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。

　本発明の代表的な実施の形態による電子制御装置は、複数のセンサからセンシングデータを受け取ることが可能な少なくとも二つのマイコンと、複数のセンサ又はマイコンの故障を検知する故障検知部と、故障検知部による検知結果に応じて、通常動作モードと縮退動作モードとを選択するモード選択部と、故障検知部により検知された故障箇所、又はセンシングデータから算出した自車両の周辺状況に基づいてセンサを選択するセンサ選択部と、を備えている。少なくとも二つのマイコンのいずれかは、縮退動作モードの場合に、センサ選択部により選択されたセンサから受け取るセンシングデータを用いて、アクチュエータを動作させる駆動信号を生成し、駆動信号をアクチュエータに送信する。

　本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。

　すなわち、本発明の代表的な実施の形態によれば、自動運転ＥＣＵに障害が発生しても、自車両を安全な退避場所へ移動させる、高度な自動運転システムを低コストかつ高信頼に実現することが可能となる。

本発明の実施の形態１に係る車載システムの構成の一例を示すブロック図である。自車両の縮退動作の一例を示す図である。縮退動作モード時における外界センサの切り換え動作の一例を示す図である。本発明の実施の形態２に係る車載システムの電源系統の一例を示す図である。本発明の実施の形態３に係る車載システムの構成の一例を示すブロック図である。本発明の実施の形態４に係る車載システムの構成の一例を示すブロック図である。

　以下の実施の形態において、便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらはお互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。

　また、以下の実施の形態において、要素の数等（個数、数値、量、範囲等を含む）に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でもよい。さらに、以下の実施の形態において、その構成要素（要素ステップ等も含む）は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。

　以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全ての図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。

　（実施の形態１）
　＜電子制御装置及び車載システムの構成＞
　本実施の形態に係る自動運転ＥＣＵ（電子制御装置）及び車載システムは、故障が発生した場合、動作モードを通常動作モードから縮退動作モードに切り換え、自車両を安全な退避場所まで移動させ、停止させる。

　図１は、本発明の実施の形態１に係る車載システムの構成の一例を示すブロック図である。車載システム１０１は、自動運転ＥＣＵ１、外界センサ群６０、アクチュエータ群８０を備えている。

　なお、図１では、各ブロック間で送受信されるデータ（例えば、センシングデータ、制御信号、駆動信号）がメイン情報として実線で示されており、後述するフュージョンＭＣＵ１０および制御ＭＣＵ２０、３０による故障検知に関するデータ（例えば、検知結果）が、監視情報として破線で示されている。これらのメイン情報及び監視情報については、後述の実施の形態における図４～６においても同様である。

　外界センサ群６０は、複数の外界センサ（センサ）６１（例えば６１ａ～６１ｄ等）を備えている。それぞれの外界センサ６１は、自車両の外界状況をセンシングデータとして取得し、取得したセンシングデータを自動運転ＥＣＵ１へ送信する機能ブロックである。外界センサ６１は、例えば、カメラ、レーダ、レーザレーダ等を備えている。外界センサ６１は、これらすべてを含んでもよいし、これらの一部のみを含んでもよい。

　外界センサ６１の検知可能範囲は、センサごとに異なり、例えば、自車両の前方、後方、側方、２００ｍを超える遠方、１０ｍ以下の極近傍等である。外界センサ６１のセンシングデータには、ランドマーク、自車両周辺の他車両、歩行者等の各障害物の位置情報等が含まれる。

　アクチュエータ群８０は、自車両を駆動する複数のアクチュエータ（図１では８１ａ～８３ａ、８１ｂ～８３ｂ等）を含む。アクチュエータは、例えば、エンジン、ブレーキ、ヨーレートを制御するパワーステアリング、これらを駆動させる機構等である。

　図１のアクチュエータ群８０は、例えば２つのアクチュエータ群からなる。図１の上段に示されるアクチュエータ８１ａ～８３ａ等は、第１のアクチュエータ群８０ａを構成し、図１の下段に示されるアクチュエータ８１ｂ～８３ｂ等は、第２のアクチュエータ群８０ｂを構成する。

　第１のアクチュエータ群８０ａ及び第２のアクチュエータ群８０ｂは、一対のアクチュエータ群となっている。例えば、アクチュエータ８１ａ、８１ｂは、同一の機能を有する一対のアクチュエータである。同様に、アクチュエータ８２ａ、８２ｂや、アクチュエータ８３ａ、８３ｂ等も、それぞれ同一の機能を有する一対のアクチュエータである。第１のアクチュエータ群８０ａの各アクチュエータは、後述する自動運転ＥＣＵ１の制御ＭＣＵ（第２の論理回路ユニット）２０により制御され、第２のアクチュエータ群８０ｂの各アクチュエータは、自動運転ＥＣＵ１の制御ＭＣＵ（マイコン、第２の論理回路ユニット）３０により制御される。このように、本実施の形態の車載システム１では、各機能のアクチュエータが二重化されている。

　＜＜自動運転ＥＣＵ１＞＞
　自動運転ＥＣＵ１は、自車両の自動運転に関わる処理を行う装置である。自動運転ＥＣＵ１は、図１に示すように、フュージョンＭＣＵ（マイコン、第１の論理回路ユニット）１０、制御ＭＣＵ２０、３０、メモリ４０を備えている。フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０は、ＣＰＵ(Central Processing Unit)、ＲＡＭ(Random Access Memory)等を備えている。フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０に含まれる各機能ブロックは、ハードウェア又はソフトウェアのみで実現されてもよいし、ハードウェア及びソフトウェアを組み合わせて実現されてもよい。フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０の構成については、後で詳しく説明する。なお、フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０には、図示しない通信器がそれぞれ設けられており、通信器を介してデータ等の送受信が行われる。通信器は、各マイコンの中に設けられてもよいし、マイコンの外に設けられてもよい。

　＜＜＜フュージョンＭＣＵ１０＞＞＞
　フュージョンＭＣＵ１０は、自動運転に関わる主要な演算を行うユニットである。通常動作モードでは、フュージョンＭＣＵ１０の演算結果に基づいて自車両の自動運転が行われる。フュージョンＭＣＵ１０は、後述する他の制御ＭＣＵ２０、３０よりも高負荷の演算を行う。このため、フュージョンＭＣＵ１０には、処理能力に優れた高性能のＣＰＵが搭載される。フュージョンＭＣＵ１０は、図１に示すように、故障検知部（第１の故障検知部）１１、センサフュージョン部１２、行動予測部１３、及び軌道計画部１４を備えている。

　センサフュージョン部１２は、複数の外界センサ６１のセンシングデータを取得し、取得したセンシングデータに基づいて自車両の周辺状況（第１の周辺状況）を抽出する。具体的に述べると、センサフュージョン部１２は、取得したセンシングデータから、他車両及び歩行者等の障害物や、ランドマークの位置を抽出する。センサフュージョン部１２は、ランドマークや障害物の位置と、地図情報とを照らし合わせることにより、ランドマーク、障害物、自車両の位置合わせを行う。このとき、センサフュージョン部１２は、ランドマークを基準とした相対位置を算出することにより、各障害物や自車両の位置合わせを行ってもよい。

　そして、センサフュージョン部１２は、位置合わせの結果に基づき、地図情報に自車両や障害物をプロットする。これにより、地図情報における自車両や障害物の位置が確定する。

　自車両や障害物の位置が確定すると、行動予測部１３は、自車両の周辺状況（例えば自車両や障害物の位置関係）に基づいて障害物の行動を予測し、障害物の行動に伴うリスク情報を含むダイナミック地図（第１のダイナミック地図）を構築する。ダイナミック地図には、所定時間（例えば１０秒）のリスク情報が含まれる。構築されたダイナミック地図は、メモリ４０に格納される。

　自動運転中、行動予測部１３は、ダイナミック地図を更新し、最新のダイナミック地図をメモリ４０に格納する。その際、メモリ４０は、最新のダイナミック地図を含めた複数のダイナミック地図を格納してもよい。

　軌道計画部１４は、ダイナミック地図及び予め設定された自車両の目的地に基づく運転計画（第１の運転計画）を作成する。軌道計画部１４は、生成した運転計画を制御ＭＣＵ２０、３０へ送信する。自車両の目的地は、例えば、カーナビゲーション装置等の上位装置において設定され、上位装置から自動運転ＥＣＵ１へ送信される。

　故障検知部１１は、外界センサ群６０に含まれるそれぞれの外界センサ６１(例えば６１ａ～６１ｄ等)の状態を検知し、故障の有無を診断する。また、故障検知部１１は、制御ＭＣＵ２０、３０の状態を検知し、故障の有無を診断する。故障検知部１１は、ウォッチドッグタイマを用いて故障診断を行ってもよいし、センシングデータの判定により故障診断を行ってもよい。故障検知部１１は、外界センサ６１、制御ＭＣＵ２０、３０の故障を検知すると、検知結果として故障検知信号を制御ＭＣＵ３０へ送信する。このとき、故障検知信号とともに、故障箇所を特定する情報が制御ＭＣＵ３０へ送信されてもよい。

　なお、フュージョンＭＣＵ１０は、各機能ブロックで実行される演算処理のうち、軽負荷の演算処理を制御ＭＣＵ２０、３０に行わせてもよい。これにより、フュージョンＭＣＵ１０の負荷が軽減される。

　＜＜＜制御ＭＣＵ２０＞＞＞
　制御ＭＣＵ２０、及び後述する制御ＭＣＵ３０は、アクチュエータ群８０に含まれる各アクチュエータを駆動する機能ブロックである。制御ＭＣＵ２０は、図１に示すように、故障検知部（第２の故障検知部）２１、車両制御部２２を備えている。

　故障検知部２１は、フュージョンＭＣＵ１０、制御ＭＣＵ（他の第２の論理回路ユニット）３０の状態を検知し、故障の有無を診断する。故障検知部２１は、フュージョンＭＣＵ１０、３０の故障を検知すると、故障検知信号を制御ＭＣＵ３０へ送信する。このとき、故障検知信号とともに、故障箇所を特定する情報が制御ＭＣＵ３０へ送信されてもよい。

　車両制御部２２は、通常動作モードのとき、フュージョンＭＣＵ１０から送信される運転計画に基づいて、第１のアクチュエータ群８０ａに含まれる各アクチュエータ（８１ａ～８３ａ等）を駆動する。車両制御部２２の動作については、後で詳しく説明する。

　＜＜＜制御ＭＣＵ３０＞＞＞
　制御ＭＣＵ３０は、図１に示すように、故障検知部（第２の故障検知部）３１、車両制御部３２、モード選択部３３、縮退演算部３４を備えている。故障検知部３１は、フュージョンＭＣＵ１０、制御ＭＣＵ２０の状態を検知し、故障の有無を診断する。また、故障検知部３１は、メモリ４０の状態を検知し、故障の有無を診断する。故障検知部３１は、フュージョンＭＣＵ１０、制御ＭＣＵ２０、外界センサ６１の故障を検知すると、故障検知信号をモード選択部３３へ送信する。このとき、故障検知信号とともに、故障箇所を特定する情報が制御ＭＣＵ３０へ送信されてもよい。本実施の形態では、フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０のそれぞれに故障検知部が設けられており、各所において複数の故障検知部による故障検知が行われる。

　モード選択部３３は、自動運転ＥＣＵ１の動作モードを切り換える機能ブロックである。例えば、モード選択部３３は、故障検出信号を受信すると、自動運転ＥＣＵ１の動作モードを通常動作モードから縮退動作モードに切り換える。モード選択部３３は、外界センサ群６０に含まれる複数の外界センサと接続されている。縮退動作モードでは、モード選択部３３は、複数ある外界センサから一部の外界センサのみを選択し、選択した外界センサのセンシングデータを取得し、縮退演算部３４へ送信する。言い換えると、モード選択部３３は、選択する外界センサを時系列で選択しながらセンシングデータを取得する。

　縮退演算部３４は、縮退動作モードのとき、自車両を現在地から安全な退避場所（安全位置）まで移動させる縮退動作に関わる演算処理を行う機能ブロックである。なお、縮退動作モードにおける処理については、後で詳しく説明する。

　車両制御部３２は、通常動作モードのとき、フュージョンＭＣＵ１０から送信される運転計画に基づいて、第２のアクチュエータ群８０ｂに含まれる各アクチュエータ（８１ｂ～８３ｂ等）を駆動する駆動信号を生成し、生成した駆動信号を各アクチュエータへ送信する。一方、縮退動作モードのとき、車両制御部３２は、縮退演算部３４から送信される運転計画（第２の運転計画）に基づいて、各アクチュエータ（８１ｂ～８３ｂ等）を駆動する駆動信号を生成し、生成した駆動信号を各アクチュエータへ送信する。。車両制御部２２の動作については、後で詳しく説明する。

　＜＜＜メモリ４０＞＞＞
　メモリ４０は、フュージョンＭＣＵ１０で構築された最新のダイナミック地図や、故障検知部１１、２１、３１による検知結果等の各種情報を格納する機能ブロックである。また、メモリ４０は、自動運転ＥＣＵ１の動作に必要なプログラム、テーブル、ファイル、設定情報等の各種情報を格納する。なお、メモリ４０は、縮退演算部３４により構築されるダイナミック地図（第２のダイナミック地図、詳しくは後述する）を格納してもよい。

　メモリ４０は、図１に示すように複数のメモリ（第１メモリ４１、第２メモリ４２）を備え、第１メモリ４１、第２メモリ４２は、同一の情報をそれぞれ格納する。このように、メモリ４０は、第１メモリ４１、第２メモリ４２により二重化されている。第１メモリ４１は、例えば、フュージョンＭＣＵ１０、制御ＭＣＵ２０に対応しており、第２メモリ４２は、制御ＭＣＵ３０に対応している。例えば、第１メモリ４１は、故障検知部１１、２１による検知結果を格納し、第２メモリ４２は、故障検知部３１による検知結果を格納する。

　なお、プログラム、テーブル、ファイル等の各種情報は、メモリ４０とは異なるハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置や、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に格納されてもよい。

　＜＜通常動作モード時の処理＞＞
　次に、通常動作モード時の処理について説明する。まず、自車両の搭乗者は、カーナビゲーション装置等の上位装置を操作し、自車両の目的地を設定する。その際、搭乗者は目的地と併せて経由地も設定してよい。設定された目的地や経由地は、自動運転ＥＣＵ１のフュージョンＭＣＵ１０に送信される。

　各外界センサ６１は、自車両周辺のセンシングを開始し、センシングデータをフュージョンＭＣＵ１０へ送信する。センサフュージョン部１２は、受信したセンシングデータに基づいて、自車両の周辺状況（例えば、他車両及び歩行者等の障害物や、ランドマークの位置）を抽出する。センサフュージョン部１２は、ランドマークや障害物の位置と、地図情報とを照らし合わせることにより、ランドマーク、障害物、自車両の位置合わせを行う。行動予測部１３は、自車両の周辺状況に基づいて障害物の行動を予測し、リスク情報を含むダイナミック地図を構築する。

　軌道計画部１４は、ダイナミック地図及び設定された目的地に基づいて自車両の運転計画を生成し、生成した運転計画を制御ＭＣＵ２０、３０へ送信する。また、軌道計画部１４は、生成した運転計画をメモリ４０に格納する。

　制御ＭＣＵ２０、３０の車両制御部２２、３２は、フュージョンＭＣＵ１０から送信された運転計画に基づき自動運転プロファイル（第１の自動運転プロファイル）を生成する。ここで生成される自動運転プロファイルには、軌道プロファイル、速度プロファイル、及び舵角プロファイルが含まれる。なお、自動運転プロファイルには、他のプロファイルが含まれてもよい。

　車両制御部２２、３２は、生成した自動運転プロファイルに基づきアクチュエータごとの指令値（第１の指令値）を生成し、生成した指令値を対応する各アクチュエータへ送信する。具体的に述べると、車両制御部２２は、第１のアクチュエータ群８０ａに含まれる各アクチュエータに対する指令値を生成し、生成した指令値を第１のアクチュエータ群８０ａのアクチュエータ８１ａ～８３ａ等へ送信する。これに対し、車両制御部３２は、第２のアクチュエータ群８０ｂに含まれる各アクチュエータに対する指令値を生成し、生成した指令値を第２のアクチュエータ群８０ｂのアクチュエータ８１ｂ～８３ｂ等へ送信する。各アクチュエータは、車両制御部２２、３２から送信される指令値に基づき駆動する。フュージョンＭＣＵ１０は、これらの処理を繰り返し行うことで自車両の自動運転を行う。

　＜＜縮退動作モード時の処理＞＞
　次に、縮退動作モードについて詳しく説明する。図２は、自車両の縮退動作の一例を示す図である。図２には、故障発生後、自車両Ｃが現在地から退避場所へ移動するまでの自車両の動きが示されている。現在地２０２ａにおいて故障が発生すると、自車両Ｃは、位置２０２ｂを経由して路肩の安全な退避場所２０２ｃへ移動し停車する。縮退動作モードでは、制御ＭＣＵ３０と接続された第２のアクチュエータ群８０ｂの各アクチュエータのみが駆動され、これらのアクチュエータにより、自車両は所定の退避場所まで移動する。

　フュージョンＭＣＵ１０の故障検知部１１が、外界センサ６１、又はモード選択部及び縮退演算部を備えていない制御ＭＣＵ２０の故障を検知した場合、制御ＭＣＵ２０の故障検知部２１が、フュージョンＭＣＵ１０の故障を検知した場合、制御ＭＣＵ３０の故障検知部３１が、フュージョンＭＣＵ１０、又はモード選択部及び縮退演算部を備えていない制御ＭＣＵ２０の故障を検知した場合、制御ＭＣＵ３０の故障検知部３１が、メモリ４０の故障を検知した場合、制御ＭＣＵ３０のモード選択部３３は、自動運転ＥＣＵ１の動作モードを通常動作モードから縮退動作モードへ切り換える。例えば、モード選択部３３は、フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０のいずれかから故障検知信号を受信すると故障が検知されたと診断し、動作モードを縮退動作モードへ切り換える。

　なお、モード選択部３３は、それぞれの故障検知部による検知結果の多数決により、通常動作モードと前記縮退動作モードとを選択してもよい。例えば、フュージョンＭＣＵ１０に対する故障検知を行う場合を例に挙げて説明する。故障検知部２１により故障が検知され、故障検知部２１により故障が検知されていない場合、故障検知と故障非検知とが同数となるので、モード選択部３３は、フュージョンＭＣＵ１０は故障していないとみなし、引き続き通常動作モードに設定する。

　一方、故障検知部２１、３１の双方により故障が検知された場合、故障検知の数が故障非検知の数より大きくなるので、モード選択部３３は、フュージョンＭＣＵ１０は故障したものとみなし、動作モードを縮退動作モードに切り換える。

　動作モードが縮退動作モードに切り換わると、制御ＭＣＵ３０は、フュージョンＭＣＵ１０、制御ＭＣＵ２０へ縮退動作通知を行い、動作モードが縮退動作モードに切り換わったことをフュージョンＭＣＵ１０、制御ＭＣＵ２０へ通知する。フュージョンＭＣＵ１０は、縮退動作通知により、運転計画の生成及び送信を停止し、制御ＭＣＵ２０、３０は、運転計画の受信を停止する。また、制御ＭＣＵ３０は、故障が検知されたフュージョンＭＣＵ１０（他のマイコン）の停止を指示する第１の制御信号を生成し、フュージョンＭＣＵ１０へ送信する。

　そして、自動運転に関わる演算処理は、フュージョンＭＣＵ１０から制御ＭＣＵ３０へ引き継がれる。縮退演算部３４は、メモリ４０へアクセスし、故障発生前、すなわち故障が発生したと診断される直前の最新の第１のダイナミック地図を読み出す。縮退演算部３４は、メモリ４０から読み出した最新の第１のダイナミック地図に基づいて現在地付近に自車両の退避場所を設定する。退避場所は、すでに述べたように、路肩等の安全な場所である。

　また、縮退演算部３４の処理と並行して、モード選択部３３は、外界センサ群６０の複数の外界センサから一部の外界センサを選択する。詳しく説明すると、モード選択部３３は、選択する外界センサを時系列で切り換えながらセンシングデータを取得する。縮退演算部３４は、モード選択部３３により選択された外界センサのセンシングデータに基づいて自車両の周辺状況（第２の周辺状況）を抽出する。

　図３は、縮退動作モード時における外界センサの切り換え動作の一例を示す図である。図３の横軸は時間軸であり、各時刻において選択される外界センサが時系列で示されている。図２に沿って説明すると、故障発生時、自車両Ｃは左車線を走行している。そこで、モード選択部３３は、例えば、右前方の近距離、正面の遠距離、左前方の近距離、正面の近距離をセンシングする外界センサ（１）～（４）を順次選択する。また、モード選択部３３は、これらの外界センサ（１）～（４）を繰り返し選択する。自車両Ｃが退避場所Ｐ３まで移動すると、縮退動作は完了し、モード選択部３３は、外界センサの選択を停止する。

　なお、外界センサ（１）～（４）の選択順序は、あくまで一例であり、この順序に限定されるものではない。また、選択される外界センサは、これらに限定されるものではなく、走行位置、自車両周辺の障害物の位置、退避場所等の各条件に応じて、自車両を退避場所へ移動させるために必要な外界センサが選択される。また、選択される外界センサの個数は、図３に示す４個に限定されるものではない。また、制御ＭＣＵ３０の処理能力に応じて、モード選択部３３は、複数の外界センサを同時に選択してもよい。

　縮退演算部３４は、最新の第１のダイナミック地図及び第２の周辺状況に基づくダイナミック地図（第２のダイナミック地図）を構築する。このダイナミック地図には、第１のダイナミック地図に含まれるリスク情報が引き継がれる。縮退演算部３４は、第２のダイナミック地図及び退避場所に基づく縮退動作用の運転計画（第２の運転計画）を作成し、作成した運転計画を車両制御部３２へ送信する。

　車両制御部３２は、縮退演算部３４から送信される運転計画に基づき、縮退動作用の自動運転プロファイル（第２の自動運転プロファイル）を生成する。ここで生成される自動運転プロファイルには、軌道プロファイル、速度プロファイル、及び舵角プロファイル等のプロファイルが含まれる。車両制御部３２は、生成した自動運転プロファイルに基づき、第２のアクチュエータ群８０ｂに含まれるアクチュエータに対する指令値（第２の指令値）を生成し、生成した指令値を各アクチュエータ８１ｂ～８３ｂ等へ送信する。制御ＭＣＵ３０は、これらの処理を繰り返し行うことで縮退動作モード時における自車両の自動運転を行う。

　一方、縮退動作モードでは、第１のアクチュエータ群８０ａのアクチュエータ８１ａ～８１ｃ等に対する制御は行われない。このため、縮退動作モードでは、一対のアクチュエータのうち一方のアクチュエータしか動作しないため、通常動作モードと比較してアクチュエータの出力が半減することとなる。

　ここで述べた縮退動作モードは、フュージョンＭＣＵ１０、制御ＭＣＵ２０や外界センサ６１が故障した場合のいずれについても適用される。ただし、外界センサが故障した場合、モード選択部３３は、故障した外界センサを選択対象から除外し、故障していない外界センサのみを選択対象とする。

　＜＜故障したデバイスの復旧処理＞＞
　次に、故障したデバイス（フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０等）の復旧処理について説明する。故障が検知されると、制御信号により動作が停止する。動作が停止したデバイスは、故障の検知結果に基づき、故障箇所を除外して再起動する。例えば、フュージョンＭＣＵ１０の特定の機能を実現する箇所が故障した場合、その部分を除外してフュージョンＭＣＵ１０は再起動される。再起動の際、例えば、制御ＭＣＵ３０は、起動を指示する制御信号を生成し、生成した制御信号をフュージョンＭＣＵ１０へ送信する。故障したデバイスの再起動は、故障箇所の重要性等に応じて、自動運転中に行われてもよいし、自車両が退避場所に停車してから行われてもよい。

　＜本実施の形態による主な効果＞
　本実施の形態によれば、動作モードが縮退動作モードに切り換わると、フュージョンＭＣＵ１０から制御ＭＣＵ３０へ自動運転に関わる演算処理が引き継がれる。制御ＭＣＵ３０は、縮退動作により、自車両Ｃを現在地２０２ａから退避場所２０２ｃへ移動させる。この構成によれば、自動運転ＥＣＵ１に故障が発生しても、自車両を安全な退避場所へ移動させ停止させることができる。また、この構成によれば、制御ＭＣＵ２０、３０には、フュージョンＭＣＵ１０より処理能力が低いＣＰＵを搭載することができる。これにより、高度な自動運転システムを低コストかつ高信頼に実現することが可能となる。

　また、本実施の形態によれば、縮退動作モード時、モード選択部３３は、選択する外界センサを時系列に切り換えながらセンシングデータを取得する。このように、選択する外界センサを時分割で切り換えることで、制御ＭＣＵ３０の処理能力が低くても、故障発生時において自車両周辺のセンシングを網羅的に行なうことができ、より安全に退避場所まで自車両を移動させることができる。

　また、本実施の形態によれば、モード選択部３３は、それぞれの故障検知部による検知結果の多数決により、通常動作モードと縮退動作モードとを選択する。この構成によれば、自動運転における故障箇所の重要性に応じて、動作モードの切り換え方法を自在に設定することが可能となる。

　また、本実施の形態によれば、縮退動作モード時、モード選択部３３は、走行位置や障害物の位置等、自車両の周辺状況に応じて適切な外界センサを選択する。この構成によれば、縮退動作時における自車両周辺のセンシングを効果的に行なうことができ、より安全に退避場所まで自車両を移動させることができる。

　また、本実施の形態によれば、メモリ４０は、故障発生直前の最新の第１のダイナミック地図や、故障の検知結果を格納する。この構成によれば、故障発生により、フュージョンＭＣＵ１０へのアクセスができなくなっても、縮退演算部３４は、故障発生前の最新の第１のダイナミック地図を取得することができる。これにより、縮退動作に関わる演算処理が確実に実行され、自動運転を継続して行うことが可能となる。

　また、本実施の形態によれば、メモリ４０は、同一の情報を格納する第１メモリ４１及び第２メモリ４２により二重化されている。この構成によれば、縮退演算部３４は、いずれかのメモリに故障が発生しても、最新の第１のダイナミック地図を確実に取得することができる。

　また、本実施の形態によれば、縮退動作モードに切り換わると、制御ＭＣＵ３０は、フュージョンＭＣＵ１０、制御ＭＣＵ２０の双方に対し縮退動作通知を行う。この構成によれば、フュージョンＭＣＵ１０が運転計画の生成、送信を停止できない場合、あるいは制御ＭＣＵ２０が運転計画の受信を停止できない場合にも、第１のアクチュエータ群８０ａの各アクチュエータの動作を確実に停止させることができる。これにより、縮退動作モード時における自車両の挙動を安定させることができる。

　また、本実施の形態によれば、フュージョンＭＣＵ１０、制御ＭＣＵ３０は、故障が検知された他のマイコンの起動／停止を指示する制御信号を生成し送信する。また、故障が検知されたマイコンは、検知結果に基づき、故障箇所を除外して再起動する。この構成によれば、故障が発生した箇所を自動運転制御から切り離すことができ、故障発生後の縮退動作を安全に行うことが可能となる。また、自動運転に支障を来さない範囲で、故障箇所を含むデバイスを使用することが可能となる。

　（実施の形態２）
　次に、実施の形態２について説明する。本実施の形態では、複数の電源系統を備えた自動運転ＥＣＵ及び車載システムについて説明する。図４は、本発明の実施の形態２に係る車載システムの電源系統の一例を示す図である。図４に示す車載システム１０１は、２つの電源系統Ｄ１、Ｄ２と接続されている。各電源系統Ｄ１、Ｄ２は、互いに異なる独立したバッテリ（図示は省略）と接続されている。

　電源系統Ｄ１は、外界センサ群６０の一部の外界センサ（例えば６１ａ～６１ｃ等）、フュージョンＭＣＵ１０、制御ＭＣＵ２０、メモリ４０の第１メモリ４１、及び第１のアクチュエータ群８０ａの各アクチュエータ（８１ａ～８３ａ等）へ電源を供給する。一方、電源系統Ｄ２は、外界センサ群６０の一部の外界センサ（例えば６１ｄ等）、制御ＭＣＵ３０、メモリ４０の第２メモリ４２、及び第１のアクチュエータ群８０ａの各アクチュエータ（８１ａ～８３ａ等）へ電源を供給する。

　故障検知部１１、２１は、制御ＭＣＵ３０に接続される電源系統Ｄ２の電源、通信器、第２メモリ４２の故障を検知する。そして、これらの故障の検知結果は第１メモリ４１に格納される。そして、フュージョンＭＣＵ１０は、故障が検知された他のマイコン（制御ＭＣＵ３０）に接続される電源、通信器、又はメモリの停止を指示する制御信号を生成し送信する。制御信号が受信したデバイスは、その動作を停止する。

　一方、故障検知部３１は、フュージョンＭＣＵ１０、制御ＭＣＵ２０に接続される電源系統Ｄ１の電源、通信器、第１メモリ４１の故障を検知する。そして、これらの故障の検知結果は第２メモリ４２に格納される。そして、制御ＭＣＵ３０は、故障が検知された他のマイコン（フュージョンＭＣＵ１０、制御ＭＣＵ２０）に接続される電源、通信器、又はメモリの停止を指示する制御信号を生成し送信する。制御信号が受信したデバイスは、その動作を停止する。

　動作が停止したデバイスは、実施の形態１で述べたように、故障の検知結果に基づき、故障箇所を除外して再起動する。故障したデバイスの再起動は、故障箇所の重要性等に応じて、自動運転中に行われてもよいし、自車両が退避場所に停車してから行われてもよい。

　フュージョンＭＣＵ１０及び縮退演算部３４を有する制御ＭＣＵ３０は、それぞれ異なる電源と接続されている。これにより、一方のバッテリに故障が発生しても、自動運転ＥＣＵ１の動作を継続させることが可能となる。

　なお、電源の故障検知は、各マイコンの動作状態を検知することでも可能であるし、電源そのものの電気的状態（例えば出力電流、出力電圧、内部抵抗）を監視することでも可能である。また、第１メモリ４１及び第２メモリ４２も、それぞれ異なる電源と接続されているので、一方のバッテリに故障が発生しても、第１のダイナミック地図を確実に格納することが可能となる。また、故障発生時においても、安全かつ低コストに、自動運転を継続させることが可能となる。

　なお、車載システム１０１は、３以上の電源系統と接続されてもよい。例えば、フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０がそれぞれ異なる電源系統と接続されてもよい。さらには、フュージョンＭＣＵ１０、制御ＭＣＵ２０、３０、第１メモリ４１、及び第２メモリ４２がそれぞれ異なる電源系統と接続されてもよい。これにより、故障発生時における安全性がより向上する。

　（実施の形態３）
　次に、実施の形態３について説明する。本実施の形態では、モード選択部及び縮退演算部を備えた制御ＭＣＵが複数設けられた自動運転ＥＣＵ及び車載システムについて説明する。

　図５は、本発明の実施の形態３に係る車載システムの構成の一例を示すブロック図である。図５に示す制御ＭＣＵ２０は、故障検知部２１、車両制御部２２に加え、モード選択部２３、縮退演算部２４を備えている。制御ＭＣＵ２０は、外界センサ群の各外界センサ６１と接続されている。モード選択部２３及び縮退演算部２４は、制御ＭＣＵ３０のモード選択部３３及び縮退演算部３４とそれぞれ同様の構成を有している。また、モード選択部２３及び縮退演算部２４の動作は、モード選択部３３及び縮退演算部３４とそれぞれ同様である。

　実施の形態３では、フュージョンＭＣＵ１０の故障検知部１１及び制御ＭＣＵ２０の故障検知部２１は、制御ＭＣＵ３０の故障検知も行う。制御ＭＣＵ３０の故障が検知されると、制御ＭＣＵ２０による縮退動作が実行される。この場合、第１のアクチュエータ群８０ａに含まれる各アクチュエータ（８１ａ～８３ａ等）が駆動され、自車両は、退避場所まで移動する。

　一方、制御ＭＣＵ２０、３０以外の構成要素に故障が発生した場合、制御ＭＣＵ２０、３０による縮退動作がそれぞれ実行される。この場合、すべてのアクチュエータが駆動されるので、出力を半減させることなく縮退動作が実行される。これにより、より確実に安全な退避場所まで自車両を移動させることが可能となる。

　また、本実施の形態においても、すでに述べた実施の形態２のように、車載システム１０１は、複数の電源系統と接続されてもよい。この場合、制御ＭＣＵ２０、３０は、それぞれ異なる電源系統と接続されていることが好ましい。これによれば、バッテリに故障が発生しても、制御ＭＣＵ２０、３０のいずれかには電源が供給されるので、確実に縮退動作が実行される。

　（実施の形態４）
　次に、実施の形態４について説明する。本実施の形態では、車両運動統合制御装置を備えた自動運転ＥＣＵ及び車載システムについて説明する。

　図６は、本発明の実施の形態４に係る車載システムの構成の一例を示すブロック図である。図４に示す車載システム１０１は、アクチュエータ群１８０及び車両運動統合制御装置（ＶＭＣ：Vehicle Motion Controller）１９０を備えている。

　アクチュエータ群１８０は、複数のアクチュエータ（例えば１８０ａ～１８０ｚ等）を有する。各アクチュエータ１８０ａ～１８０ｚは、車両運動統合制御装置１９０と接続されている。

　車両運動統合制御装置１９０は、制御ＭＣＵ２０、３０から送信される自動運転プロファイルに基づき、アクチュエータ（１８０ａ～１８０ｚ）を統合的に制御する機能ブロックである。

　車両運動統合制御装置１９０は、第１車両運動統合制御装置１９１及び第２車両運動統合制御装置１９２を有している。第１車両運動統合制御装置１９１及び第２車両運動統合制御装置１９２は、同様の機能を有している。言い換えれば、車両運動統合制御装置１９０は、第１車両運動統合制御装置１９１及び第２車両運動統合制御装置１９２により二重化されている。車両運動統合制御装置１９０は、３個以上のユニットで構成されてもよい。すなわち、車両運動統合制御装置１９０は、第３車両運動統合制御装置等を備えてもよい。

　車載システム１０１が複数の電源系統と接続されている場合、第１車両運動統合制御装置１９１及び第２車両運動統合制御装置１９２は、それぞれ異なる電源系統と接続されていることが好ましい。

　車両運動統合制御装置１９０では、通常は第１車両運動統合制御装置１９１が用いられ、第１車両運動統合制御装置１９１に故障が発生すると、第２車両運動統合制御装置１９２が用いられる。ただし、第２車両運動統合制御装置１９２が使用され、第２車両運動統合制御装置１９２に故障が発生したとき、第１車両運動統合制御装置１９１が使用されてもよい。

　制御ＭＣＵ３０の故障検知部３１は、車両運動統合制御装置１９０、及びアクチュエータ群１８０の各アクチュエータ１８０ａ～１８０ｚの故障検知を行う。

　次に、本実施の形態の車載システム１０１の動作について説明する。動作モードが通常動作モードのとき、制御ＭＣＵ２０、３０の車両制御部２２、３２は、フュージョンＭＣＵ１０から送信される運転計画に基づき自動運転プロファイル（第１の自動運転プロファイル）を生成し、生成した自動運転プロファイルを車両運動統合制御装置１９０へ送信する。車両運動統合制御装置１９０は、送信された自動運転プロファイルに基づき、各アクチュエータとの連携を考慮しつつ、アクチュエータ１８０ａ～１８０ｚごとの指令値（第３の指令値）を生成する。車両運動統合制御装置１９０は、生成した指令値を、対応するアクチュエータ１８０ａ～１８０ｚへ送信する。

　一方、車両運動統合制御装置１９０や各アクチュエータ１８０ａ～１８０ｚ等の故障が検出されると、動作モードが縮退動作モードに切り換わる。縮退動作モードのとき、制御ＭＣＵ３０の車両制御部３２は、縮退演算部３４において生成される運転計画（第２の運転計画）に基づき、自動運転プロファイル（第２の自動運転プロファイル）を生成し、生成した自動運転プロファイルを車両運動統合制御装置１９０へ送信する。車両運動統合制御装置１９０は、送信された自動運転プロファイルに基づき、各アクチュエータとの連携を考慮しつつ、アクチュエータ１８０ａ～１８０ｚごとに縮退動作用の指令値（第４の指令値）を生成する。車両運動統合制御装置１９０は、生成した指令値を、対応するアクチュエータ１８０ａ～１８０ｚへ送信する。

　このように、本実施の形態では、制御ＭＣＵ２０、３０では、自動運転プロファイルの生成までの処理が行われ、各アクチュエータへの指令値は、車両運動統合制御装置１９０で生成される。

　本実施の形態によれば、複数のアクチュエータが統合的に制御されるので、低速大舵角が必要な自動駐車から、レーンキープのような高速走行まで、あらゆるシーンでシームレスかつ快適な自動運転走行が実現される。

　アクチュエータに故障が発生した場合、モード選択部３３は、故障していないアクチュエータ１８０ａ～１８０ｚの中から、自車両が安全な退避場所まで移動するのに最低限必要なアクチュエータを選択し、選択したアクチュエータの情報を車両運動統合制御装置１９０へ送信する。車両運動統合制御装置１９０は、自動運転プロファイルに基づき、選択されたアクチュエータに対応する各指令値を生成する。なお、車両運動統合制御装置１９０に故障検知部が設けられてもよい。この場合、車両運動統合制御装置１９０は、制御ＭＣＵ３０と故障検知情報を共有してもよい。

　本実施の形態によれば、アクチュエータに故障が発生しても、車両運動統合制御装置１９０により残りのアクチュエータに対する統合制御により、自車両を安全な退避場所までよりスムースに移動させることが可能となる。

　本実施の形態においても、実施の形態３のように、制御ＭＣＵ２０にモード選択部２３及び縮退演算部２４が設けられてもよい。これにより、縮退動作に関わる演算を行う制御ＭＣＵが二重化される。また、この場合、制御ＭＣＵ２０、３０は、それぞれ異なる電源と接続されることが好ましい。

　なお、本発明は上記した実施の形態に限定されるものではなく、様々な変形例が含まれる。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加、削除、置換をすることが可能である。なお、図面に記載した各部材や相対的なサイズは、本発明を分かりやすく説明するため簡素化・理想化しており、実装上はより複雑な形状となる場合がある。

　自動運転ＥＣＵを構成する各部は、例えば集積回路等のハードウェアで構成されてもよい。また、自動運転ＥＣＵがＣＰＵやＲＡＭ等を備え、ＲＡＭに展開されたプログラムをＣＰＵが実行することにより、フュージョンＭＣＵ１０および制御ＭＣＵ２０、３０や車両運動統合制御装置１９０等が実現されてもよい。

　また、各図の制御線及び情報線は、説明上必要と考えられるものが主に示されており、すべての制御線や情報線が示されているとは限らない。実際には殆ど全ての構成要素が相互に接続されていると考えてもよい。

　以下に、好ましい形態について付記する。

　車載システムにおいて、故障検知部は、マイコンに接続される電源、通信器、又はメモリの故障を検知し、メモリは、電源、通信器、又はメモリの検知結果を格納する、車載システム。

　車載システムにおいて、マイコンは、故障が検知された他のマイコンの起動／停止を指示する第１の制御信号を生成し送信する、車載システム。

　車載システムにおいて、マイコンは、故障が検知された他のマイコンに接続される電源、通信器、又はメモリの起動／停止を指示する第２の制御信号を生成し送信する、車載システム。

　車載システムにおいて、故障が検知されたマイコンは、検知結果に基づき、故障個所を除外して再起動する、車載システム。

　車載システムにおいて、電子制御装置は、複数のメモリを備え、それぞれのメモリは、対応するマイコンの検知結果を格納し、それぞれのメモリの電源は、格納するマイコンと共通である、車載システム。

　１…自動運転ＥＣＵ（電子制御装置）、１０…フュージョンＭＣＵ（マイコン）、２０、３０…制御ＭＣＵ、１１、２１、３１…故障検知部、２２、３２…車両制御部、３３…モード選択部、３４…縮退演算部、４０…メモリ、４１…第１メモリ、４２…第２メモリ、６０…外界センサ群、６１…外界センサ（センサ）、８０、１８０…アクチュエータ群、８１ａ～８３ａ、８１ｂ～８３ｂ、１８０ａ～１８０ｚ…アクチュエータ、１０１…車載システム、１９０…車両運動統合制御装置、１９１…第１車両運動統合制御装置、１９２…第２車両運動統合制御装置

Claims

　複数のセンサからセンシングデータを受け取ることが可能な少なくとも二つのマイコンと、
　複数の前記センサ又は前記マイコンの故障を検知する故障検知部と、
　前記故障検知部による検知結果に応じて、通常動作モードと縮退動作モードとを選択するモード選択部と、
　前記故障検知部により検知された故障箇所、又は前記センシングデータから算出した自車両の周辺状況に基づいて前記センサを選択するセンサ選択部と、
　を備え、
　少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合に、前記センサ選択部により選択された前記センサから受け取る前記センシングデータを用いて、アクチュエータを動作させる駆動信号を生成し、前記駆動信号を前記アクチュエータに送信する、
　電子制御装置。
　請求項１に記載の電子制御装置において、
　少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合、時系列で前記センシングデータを受け取る、
　電子制御装置。
　請求項１に記載の電子制御装置において、
　前記縮退動作モードの場合、
　前記センサ選択部が、選択する前記センサを時系列で選択しながら、
　少なくとも二つの前記マイコンのいずれかは、前記駆動信号を生成し前記自車両を安全位置に停止させる、
　電子制御装置。
　請求項１に記載の電子制御装置において、
　複数の前記故障検知部を備え、
　前記モード選択部は、それぞれの前記故障検知部による前記検知結果の多数決により、前記通常動作モードと前記縮退動作モードとを選択する、
　電子制御装置。
　請求項１に記載の電子制御装置において、
　前記検知結果を格納するメモリを備えている、
　電子制御装置。
　請求項５に記載の電子制御装置において、
　前記故障検知部は、前記マイコンに接続される電源、通信器、又は前記メモリの故障を検知し、
　前記メモリは、前記電源、前記通信器、又は前記メモリの検知結果を格納する、
　電子制御装置。
　請求項１に記載の電子制御装置において、
　前記マイコンは、故障が検知された他の前記マイコンの起動／停止を指示する第１の制御信号を生成し送信する、
　電子制御装置。
　請求項６に記載の電子制御装置において、
　前記マイコンは、故障が検知された他の前記マイコンに接続される前記電源、前記通信器、又は前記メモリの起動／停止を指示する第２の制御信号を生成し送信する、
　電子制御装置。
　請求項７に記載の電子制御装置において、
　故障が検知された前記マイコンは、前記検知結果に基づき、故障個所を除外して再起動する、
　電子制御装置。
　請求項６に記載の電子制御装置において、
　複数の前記メモリを備え、
　それぞれの前記メモリは、対応する前記マイコンの前記検知結果を格納し、
　それぞれの前記メモリの電源は、格納する前記マイコンと共通である、
　電子制御装置。
　複数のセンサと、
　複数のアクチュエータと、
　電子制御装置と、
　を備えた車載システムであって、
　前記電子制御装置は、
　複数の前記センサからセンシングデータを受け取ることが可能な少なくとも二つのマイコンと、
　複数の前記センサ又は前記マイコンの故障を検知する故障検知部と、
　前記故障検知部による検知結果に応じて、通常動作モードと縮退動作モードとを選択するモード選択部と、
　前記故障検知部により検知された故障箇所、又は前記センシングデータから算出した自車両の周辺状況に基づいて前記センサを選択するセンサ選択部と、
　を備え、
　少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合に、前記センサ選択部により選択された前記センサから受け取る前記センシングデータを用いて、アクチュエータを動作させる駆動信号を生成し、前記駆動信号を前記アクチュエータに送信する、
　車載システム。
　請求項１１に記載の車載システムにおいて、
　少なくとも二つの前記マイコンのいずれかは、前記縮退動作モードの場合、時系列で前記センシングデータを受け取る、
　車載システム。
　請求項１１に記載の車載システムにおいて、
　前記縮退動作モードの場合、
　前記センサ選択部が、選択する前記センサを時系列で選択しながら、
　少なくとも二つの前記マイコンのいずれかは、前記駆動信号を生成し前記自車両を安全位置に停止させる、
　車載システム。
　請求項１１に記載の車載システムにおいて、
　前記電子制御装置は、複数の前記故障検知部を備え、
　前記モード選択部は、それぞれの前記故障検知部による前記検知結果の多数決により、前記通常動作モードと前記縮退動作モードとを選択する、
　車載システム。
　請求項１１に記載の車載システムにおいて、
　前記検知結果を格納するメモリを備えている、
　車載システム。