WO2023145490A1 - 運転システムの設計方法及び運転システム - Google Patents

運転システムの設計方法及び運転システム Download PDF

Info

Publication number
WO2023145490A1
WO2023145490A1 PCT/JP2023/000826 JP2023000826W WO2023145490A1 WO 2023145490 A1 WO2023145490 A1 WO 2023145490A1 JP 2023000826 W JP2023000826 W JP 2023000826W WO 2023145490 A1 WO2023145490 A1 WO 2023145490A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
recognition
subsystems
unit
subsystem
Prior art date
Application number
PCT/JP2023/000826
Other languages
English (en)
French (fr)
Inventor
厚志 馬場
徹也 東道
洋 桑島
Original Assignee
株式会社デンソー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社デンソー filed Critical 株式会社デンソー
Priority to JP2023576785A priority Critical patent/JPWO2023145490A5/ja
Publication of WO2023145490A1 publication Critical patent/WO2023145490A1/ja

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units, or advanced driver assistance systems for ensuring comfort, stability and safety or drive control systems for propelling or retarding the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/06Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/02Control of position or course in two dimensions
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Traffic Control Systems (AREA)

Abstract

複数のサブシステム(10a,20a,30a)を備え、各サブシステム(10a,20a,30a)が連携して自車両(1)の動的運転タスクを実現する運転システム(2)の設計方法は、仮設計された各サブシステム(10a,20a,30a)において発生する誤差を、それぞれ算出することと、運転システム(2)全体に許容される許容偏差を、各サブシステム(10a,20a,30a)に暫定的に割り当てることと、運転システム(2)を伝搬する誤差の評価に基づき、各サブシステム(10a,20a,30a)に割り当てられた偏差から各サブシステム(10a,20a,30a)にそれぞれ許容される許容誤差を特定することと、算出された誤差とこれに対応するサブシステム(10a,20a,30a)の許容誤差とを比較した結果に基づいて、各サブシステム(10a,20a,30a)への許容誤差の割り当てを調整することと、を含む。

Description

運転システムの設計方法及び運転システム 関連出願の相互参照
 この出願は、2022年1月25日に日本に出願された特許出願第2022-9646号を基礎としており、基礎の出願の内容を、全体的に、参照により援用している。
 この明細書による開示は、移動体の運転システムを実現するための技術に関する。
 特許文献1に開示される運転システムの評価方法では、ゲーム環境において、人によって制御されるオブジェクトの挙動に応答した、自動走行のオブジェクトの挙動に基づいて、運転支援機能の評価が実施される。
特開2017-105453号公報
 しかしながら、運転システムは、複数のサブシステムを備えるように複雑化されている。このため、挙動に対する応答を評価する単純なテストでは、各サブシステムを含めた運転システムの妥当性の適切な確認において限界がある。このため、運転システムの設計を最適化し、高い妥当性をもつ運転システムを実現することは困難である。
 この明細書の開示による目的のひとつは、運転システムの妥当性を高める設計方法、又は高い妥当性をもつ運転システムを提供することにある。
 ここに開示された態様のひとつは、複数のサブシステムを備え、各サブシステムが連携して移動体の動的運転タスクを実現する運転システムの設計方法であって、
 仮設計された各サブシステムにおいて発生する誤差を、それぞれ算出することと、
 運転システム全体に許容される許容偏差を、各サブシステムに暫定的に割り当てることと、
 運転システムを伝搬する誤差の評価に基づき、各サブシステムに割り当てられた偏差から各サブシステムにそれぞれ許容される許容誤差を特定することと、
 算出された誤差とこれに対応するサブシステムの許容誤差とを比較した結果に基づいて、各サブシステムへの許容誤差の割り当てを調整することと、を含む。
 このような態様によると、各サブシステムへの許容誤差の割り当てが調整される。こうした調整では、仮設計された各サブシステムの誤差と、許容誤差との比較が用いられる。ここで、許容誤差の特定は、運転システム全体の許容誤差の各サブシステムへの暫定的に割り当てられた偏差と、運転システムを伝搬する誤差の評価によってなされる。運転システムを伝搬する誤差の評価が用いられる結果、各サブシステム間のインタラクションに基づく複合要因を、設計に反映することができる。故に、複数のサブシステムを備える運転システムの妥当性を高めることができる。
 ここに開示された態様の他のひとつは、複数のサブシステムを備え、各サブシステムが連携して移動体の動的運転タスクを実現する運転システムの設計方法であって、
 各サブシステム間の複合要因を評価するための、各サブシステム間に共通の尺度として、各サブシステムに信頼度を導入することと、
 運転システムの仕様に基づき、各サブシステムに信頼度を割り当てることと、
 各サブシステムにおいて発生し、運転システムを伝搬する誤差が、所定の信頼度以上の確率で許容誤差内に収まるように、各サブシステムの仕様を決定する。
 このような態様によると、各サブシステムの仕様の決定は、運転システムを伝搬する誤差が、所定の信頼度以上の確率で許容誤差内に収まるようになされる。すなわち、確率論に基づく評価を各サブシステムに適用する形態にて、共通の尺度として信頼度が導入される。このため、認識システム、判断システム及び制御システムがそれぞれ異なる機能を持っていても、これらのインタラクションによる複合要因を適切に設計に反映することができる。故に、複数のサブシステムを備える運転システムの妥当性を高めることができる。
 ここに開示された態様の他のひとつは、複数のサブシステムを備え、各サブシステムが連携して移動体の動的運転タスクを実現する運転システムであって、
 各サブシステム間での共通の尺度である信頼度の割り当てであって、割り当てカテゴリ毎に定められた、各サブシステムへの信頼度の割り当てを記憶している少なくとも1つの記憶媒体と、
 信頼度の割り当てに基づき、動的運転タスクを実現するための条件を変更することを実行するように構成されている少なくとも1つのプロセッサと、を備える。
 このような態様によると、動的運転タスクを実現するための条件は、記憶媒体に記憶された各サブシステムへの信頼度の割り当てに基づいて変更される。すなわち、各サブシステム間の共通の尺度である信頼度を用いたので、認識システム、判断システム及び制御システムがそれぞれ異なる機能を持っていても、割り当てカテゴリに応じて異なり得る各サブシステムへの負荷を考慮した条件の変更を実現できる。故に、複数のサブシステムを備える運転システムにおいて、高い妥当性を実現できる。
 なお、請求の範囲の括弧内の符号は、後述する実施形態の部分との対応関係を例示的に示すものであって、技術的範囲を限定することを意図するものではない。
運転システムの概略構成を示すブロック図である。 運転システムの技術レベルの構成を示すブロック図である。 運転システムの機能レベルの構成を示すブロック図である。 車両の制御状態空間を示す図である。 運転システムの因果ループを示すブロック図である。 内側ループを説明する図である。 外側ループを説明する図である。 第1の評価方法の概念に基づいた、安全性を維持できない領域を示す図である。 第1の評価方法を説明するフローチャートである。 第2の評価方法の概念に基づいた、安全性を維持できない領域を示す図である。 第2の評価方法を説明するフローチャートである。 第3の評価方法の概念に基づいた、安全性を維持できない領域を示す図である。 第3の評価方法を説明するフローチャートである。 信頼度に基づく評価方法を説明するフローチャートである。 評価装置及び設計装置を示すブロック図である。 誤差分布と信頼度の関係を示すグラフである。 第1の設計方法を説明するフローチャートである。 運転システムの因果ループを示すブロック図である。 内側ループを説明する図である。 外側ループを説明する図である。 車体安定化ループを説明する図である。 各種過誤を示す表である。 誤差に基づく評価方法を説明するフローチャートである。 第2の設計方法説明するフローチャートである。 運転システムの処理を説明するフローチャートである。 運転システムの機能レベルの構成を示すブロック図である。 運転システムの技術レベルの構成を示すブロック図である。 運転システムの処理を説明するフローチャートである。 運転システムの機能レベルの構成を示すブロック図である。 運転システムの技術レベルの構成を示すブロック図である。
 以下、複数の実施形態を図面に基づいて説明する。なお、各実施形態において対応する構成要素には同一の符号を付すことにより、重複する説明を省略する場合がある。各実施形態において構成の一部分のみを説明している場合、当該構成の他の部分については、先行して説明した他の実施形態の構成を適用することができる。また、各実施形態の説明において明示している構成の組み合わせばかりではなく、特に組み合わせに支障が生じなければ、明示していなくても複数の実施形態の構成同士を部分的に組み合せることができる。
 (第1実施形態)
 図1に示される第1実施形態の運転システム2は、移動体の運転に関する機能を実現する。運転システム2の一部又は全部は、移動体に搭載される。運転システム2が処理の対象とする移動体は、車両である。この車両は、自車両1と称することができ、ホスト移動体に相当する。自車両1は、直接的に又は通信インフラを介して間接的に、他車両と通信可能に構成されていてもよい。他車両は、ターゲット移動体に相当する。
 自車両1は、例えば自動車、又はトラック等の自動運転を実行可能な道路利用者(road user)である。運転は、全ての動的運転タスク(dynamic driving task:DDT)のうちドライバが行なう範囲などに応じて、レベル分けされる。自動運転レベルは、例えばSAE J3016に規定される。レベル0~2では、ドライバがDDTの一部又は全部を行なう。レベル0~2は、いわゆる手動運転に分類されてもよい。レベル0は、運転が自動化されていないことを示す。レベル1は、ドライバを運転システム2が支援することを示す。レベル2は、部分的に運転が自動化されたことを示す。
 レベル3以上では、エンゲージしている間、運転システム2がDDTの全部を行なう。レベル3~5は、いわゆる自動運転に分類されてもよい。レベル3以上の運転を実行可能な運転システム2は、自動運転システム(automated driving system)と称されてよい。レベル3は、条件付きで運転が自動化されたことを示す。レベル4は、高度に運転が自動化されたことを示す。レベル5は、完全に運転が自動化されたことを示す。
 また、レベル3以上の運転を実行不能で、レベル1及び2のうち少なくとも一方の運転を実行可能な運転システム2は、運転支援システムと称されてよい。以下では、特に実現可能な最大の自動運転レベルを特定する事情がない場合、自動運転システム又は運転支援システムを、単に運転システム2と表記して説明を続ける。
 <センス-プラン-アクトモデル>
 運転システム2のアーキテクチャは、効率的なSOTIF(safety of the intended functionality)プロセスを実現可能とするように選択される。例えば運転システム2のアーキテクチャは、センス-プラン-アクトモデル(sense-plan-act model)に基づいて構成されてもよい。センス-プラン-アクトモデルは、主要なシステムエレメントとして、センスエレメント、プランエレメント及びアクトエレメントを備える。センスエレメント、プランエレメント及びアクトエレメントは、互いに相互作用する。ここで、センスは認識(perception)、プランは判断(judgement)、アクトは制御(control)にそれぞれ読み替え可能であってよく、以下では、認識、判断、制御の語を主に用いて説明を続ける。
 図1に示すように、こうした運転システム2において車両レベルでは、車両レベル安全戦略(Vehical Level Safety Strategy:VLSS)に基づき、車両レベル機能3が実装される。機能レベル(換言すると機能的な見方)では、認識機能、判断機能及び制御機能が実装される。技術レベル(換言すると技術的な見方)では、認識機能に対応する複数のセンサ40、判断機能に対応する処理システム50、及び制御機能に対応する複数の運動アクチュエータ60が実装される。
 詳細に、複数のセンサ40、複数のセンサ40の検知情報を処理する処理システム、及び複数のセンサ40の情報に基づいて環境モデルを生成する処理システムを主体とし、認識機能を実現する機能ブロックである認識部10が運転システム2において構築されてよい。処理システムを主体として、判断機能を実現する機能ブロックである判断部20が運転システム2において構築されてよい。複数の運動アクチュエータ60、及び複数の運動アクチュエータ60の動作信号を出力する少なくとも1つの処理システムを主体として、制御機能を実現する機能ブロックである制御部30が運転システム2において構築されてよい。
 ここで認識部10は、判断部20及び制御部30に対して区別可能に設けられたサブシステムとしての認識システム10aの形態で実現されていてもよい。判断部20は、認識部10及び制御部30に対して区別可能に設けられたサブシステムとしての判断システム20aの形態で実現されていてもよい。制御部30は、認識部10及び判断部20に対して区別可能に設けられたサブシステムとしての制御システム30aの形態で実現されていてもよい。認識システム10a、判断システム20a及び制御システム30aは、相互に独立したコンポーネントを構成していてもよい。
 さらに、自車両1には、複数のHMI(Human Machine Interface)機器70が搭載されていてもよい。複数のHMI機器70のうち乗員による操作入力機能を実現する部分は、認識部10の一部であってもよい。複数のHMI機器70のうち情報提示機能を実現する部分は、制御部30の一部であってもよい。他方、HMI機器70が実現する機能は、認識機能、判断機能及び制御機能とは独立した機能に位置付けられてもよい。
 認識部10は、自車両1、他車両など道路利用者のローカリゼーションを含む、認識機能を司る。認識部10は、自車両1の外部環境EE、内部環境、車両状態、さらには運転システム2の状態を検知する。認識部10は、検知した情報を融合して、環境モデルを生成する。判断部20は、認識部10が生成した環境モデルにその目的と運転ポリシ(driving policy)を適用して、制御アクションを導出する。制御部30は、認識エレメントが導出した制御アクションを実行する。
 <技術レベルのシステム構成>
 図2を用いて、技術レベルにおける運転システム2の詳細構成の一例を説明する。技術レベルの構成とは、物理アーキテクチャを意味していてもよい。運転システム2は、複数のセンサ40、複数の運動アクチュエータ60、複数のHMI機器70、及び少なくとも1つの処理システム50等を備える。これらの構成要素は、無線接続及び有線接続の一方又は両方によって、相互に通信可能となっている。これらの構成要素は、例えばCAN(登録商標)等による車内ネットワークを通じて相互に通信可能となっていてもよい。
 複数のセンサ40は、1つ又は複数の外部環境センサ41を含む。複数のセンサ40には、1つ又は複数の内部環境センサ42、1つ又は複数の通信システム43及び地図DB(database)44のうち、少なくとも1種類が含まれていてもよい。センサ40が外部環境センサ41を示すように狭義に解される場合、内部環境センサ42、通信システム43及び地図DB44は、認識機能を技術レベルに対応するセンサ40とは別の構成要素として位置付けられてもよい。
 外部環境センサ41は、自車両1の外部環境EEに存在する物標を、検出してもよい。物標検出タイプの外部環境センサ41は、例えばカメラ、LiDAR(Light Detection and Ranging / Laser imaging Detection and Ranging)レーザレーダ、ミリ波レーダ、超音波ソナー等である。典型的に、自車両1の前方、側方及び後方の各方向を監視すべく、複数種類の外部環境センサ41が組み合わされて実装され得る。
 外部環境センサ41の搭載例として、自車両1の前方、前側方、側方、後側方及び後方の各方向をそれぞれ監視するように構成された複数のカメラ(例えば11のカメラ)が、自車両1に搭載されてもよい。
 他の搭載例として、自車両1の前方、側方及び後方をそれぞれ監視するように構成された複数のカメラ(例えば4のカメラ)と、自車両1の前方、前側方、側方及び後方をそれぞれ監視するように構成された複数のミリ波レーダ(例えば5のミリ波レーダ)と、自車両1の前方を監視するように構成されたLiDARとが、自車両1に搭載されてもよい。
 さらに外部環境センサ41は、自車両1の外部環境EEにおける大気の状態や天候の状態を、検出してもよい。状態検出タイプの外部環境センサ41は、例えば外気温センサ、温度センサ、雨滴センサ等である。
 内部環境センサ42は、自車両1の内部環境において車両運動に関する特定の物理量(以下、運動物理量)を、検出してもよい。運動物理量検出タイプの内部環境センサ42は、例えば速度センサ、加速度センサ、ジャイロセンサ等である。内部環境センサ42は、自車両1の内部環境における乗員の状態を、検出してもよい。乗員検出タイプの内部環境センサ42は、例えばアクチュエータセンサ、ドライバをモニタリングするセンサ及びそのシステム、生体センサ、着座センサ、及び車内機器センサ等である。ここで特にアクチュエータセンサとしては、自車両1の運動制御に関連する運動アクチュエータ60に対する乗員の操作状態を検出する、例えばアクセルセンサ、ブレーキセンサ、操舵センサ等である。
 通信システム43は、運転システム2において利用可能な通信データを、無線通信により取得する。通信システム43は、自車両1の外部環境EEに存在するGNSS(global navigation satellite system)の人工衛星から、測位信号を受信してもよい。通信システム43における測位タイプの通信機器は、例えばGNSS受信機等である。
 通信システム43は、自車両1の外部環境EEに存在するV2Xシステムとの間において、通信信号を送受信してもよい。通信システム43におけるV2Xタイプの通信機器は、例えばDSRC(dedicated short range communications)通信機、セルラV2X(C-V2X)通信機等である。自車両1の外部環境EEに存在するV2Xシステムとの通信としては、他車両の通信システムとの通信(V2V)、例えば信号機に設定された通信機等のインフラ設備との通信(V2I)、歩行者のモバイル端末との通信(V2P)、例えばクラウドサーバなどネットワークとの通信(V2N)が例として挙げられる。
 さらに通信システム43は、自車両1の内部環境、例えば車内に存在するスマートフォン等のモバイル端末との間において、通信信号を送受信してもよい。通信システム43における端末通信タイプの通信機器は、例えばブルートゥース(Bluetooth:登録商標)機器、Wi-Fi(登録商標)機器、赤外線通信機器等である。
 地図DB44は、運転システム2において利用可能な地図データを、記憶しているデータベースである。地図DB44は、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも1種類の非遷移的実体的記憶媒体(non-transitory tangible storage medium)を含んで構成される。地図DB44は、自車両1の目的地までの走行経路をナビゲートするナビゲーションユニットのデータベースを含んでいてもよい。地図DB44は、各車両から収集されたプローブデータ(probe data:PD)を用いて生成されたPD地図のデータベースを含んでいてもよい。地図DB44は、主に自動運転システムの用途で使用される高レベルの精度を有した高精度地図のデータベースを含んでいてもよい。地図DB44は、自動駐車又は駐車支援の用途で使用される詳細な駐車場情報、例えば駐車枠情報等を含む駐車場地図のデータベースを含んでいてもよい。
 運転システム2に好適な地図DB44は、例えばV2Xタイプの通信システム43を介した地図サーバとの通信等により、最新の地図データを取得して記憶する。地図データは、自車両1の外部環境EEを表すデータとして、2次元又は3次元にデータ化されている。地図データは、例えば道路構造の位置座標、形状、路面状態、及び標準的な走路のうち、少なくとも1種類を表した道路データを含んでいてもよい。地図データは、例えば道路に付属する道路標識、道路表示、区画線の、位置座標並びに形状等のうち、少なくとも1種類を表した標示データを含んでいてもよい。地図データに含まれる標示データは、物標のうち、例えば交通標識、矢印マーキング、車線マーキング、停止線、方向標識、ランドマークビーコン、ビジネス標識、道路のラインパターン変化等を表していてもよい。地図データは、例えば道路に面する建造物及び信号機の、位置座標並びに形状等のうち、少なくとも一種類を表した構造物データを含んでいてもよい。地図データに含まれる標示データは、物標のうち、例えば街灯、道路のエッジ、反射板、ポール等を表していてもよい。
 運動アクチュエータ60は、入力される制御信号に基づき、車両運動を制御可能である。駆動タイプの運動アクチュエータ60は、例えば内燃機関、駆動モータ等のうち少なくとも1種類を含むパワートレインである。制動タイプの運動アクチュエータ60は、例えばブレーキアクチュエータである。操舵タイプの運動アクチュエータ60は、例えばステアリングである。
 HMI機器70は、自車両1のドライバを含む乗員の意思又は意図を運転システム2に伝達するための、ドライバによる操作を入力可能な操作入力装置であってよい。操作入力タイプのHMI機器70は、例えばアクセルペダル、ブレーキペダル、シフトレバー、ステアリングホイール、ウインカレバー、機械式のスイッチ、ナビゲーションユニット等のタッチパネル等である。このうちアクセルペダルは、運動アクチュエータ60としてのパワートレインを制御する。ブレーキペダルは、運動アクチュエータ60としてのブレーキアクチュエータを制御する。ステアリングホイールは、運動アクチュエータ60としてのステアリングアクチュエータを制御する。
 HMI機器70は、自車両1のドライバを含む乗員へ向けて、視覚情報、聴覚情報、皮膚感覚情報などの情報を提示する情報提示装置であってよい。視覚情報提示タイプのHMI機器70は、例えばコンビネーションメータ、ナビゲーションユニット、CID(center information display)、HUD(head-up display)、イルミネーションユニット等である。聴覚情報提示タイプのHMI機器70は、例えばスピーカ、ブザー等である。皮膚感覚情報提示タイプのHMI機器70は、例えばステアリングホイールのバイブレーションユニット、運転席のバイブレーションユニット、ステアリングホイールの反力ユニット、アクセルペダルの反力ユニット、ブレーキペダルの反力ユニット、空調ユニット等である。
 また、HMI機器70は、通信システム43を通じてスマートフォン等のモバイル端末と相互に通信することにより、当該端末と連携したHMI機能を実現してもよい。例えば、スマートフォンから取得した情報をHMI機器70がドライバを含む乗員に提示してもよい。また例えば、スマートフォンへの操作入力がHMI機器70への操作入力の代替手段とされてもよい。
 処理システム50は、少なくとも1つ設けられている。例えば処理システム50は、認識機能に関する処理、判断機能に関する処理、及び制御機能に関する処理を統合的に実行する統合的な処理システムであってもよい。この場合に、統合的な処理システム50が、さらにHMI機器70に関する処理を実行してもよく、HMI専用の処理システムが、別途設けられていてもよい。例えばHMI専用の処理システムは、各HMI機器も関する処理を統合的に実行する統合コックピットシステムであってもよい。
 また例えば処理システム50は、認識機能に関する処理に対応した少なくとも1つの処理ユニット、判断機能に関する処理に対応した少なくとも1つの処理ユニット、及び制御機能に関する処理に対応した少なくとも1つの処理ユニットを、それぞれ有する構成であってもよい。
 処理システム50は、外部に対する通信インターフェースを有し、例えばLAN(Local Area Network)、ワイヤハーネス、内部バス、及び無線通信回路等のうち、少なくとも1種類を介して、センサ40、運動アクチュエータ60及びHMI機器70等のうち、処理システム50による処理に関連する少なくとも1種類の要素に対して接続される。
 処理システム50は、少なくとも1つの専用コンピュータ51を含んで構成される。処理システム50は、複数の専用コンピュータ51を組み合わせて、認識機能、判断機能、制御機能等の機能を実現してもよい。
 例えば処理システム50を構成する専用コンピュータ51は、自車両1の運転機能を統合する、統合ECUであってもよい。処理システム50を構成する専用コンピュータ51は、DDTを判断する判断ECUであってもよい。処理システム50を構成する専用コンピュータ51は、車両の運転を監視する、監視ECUであってもよい。処理システム50を構成する専用コンピュータ51は、車両の運転を評価する、評価ECUであってもよい。処理システム50を構成する専用コンピュータ51は、自車両1の走行経路をナビゲートする、ナビゲーションECUであってもよい。
 また、処理システム50を構成する専用コンピュータ51は、自車両1の位置を推定するロケータECUであってもよい。処理システム50を構成する専用コンピュータ51は、外部環境センサ41が検出した画像データを処理する画像処理ECUであってもよい。処理システム50を構成する専用コンピュータ51は、自車両1の運動アクチュエータ60を制御する、アクチュエータECUであってもよい。処理システム50を構成する専用コンピュータ51は、HMI機器70を統合的に制御するHCU(HMI Control Unit)であってもよい。処理システム50を構成する専用コンピュータ51は、例えば通信システム43を介して通信可能な外部センタ又はモバイル端末を構築する、少なくとも1つの外部コンピュータであってもよい。
 処理システム50を構成する専用コンピュータ51は、メモリ51a及びプロセッサ51bを、少なくとも1つずつ有している。メモリ51aは、プロセッサ51bにより読み取り可能なプログラム及びデータ等を非一時的に記憶する、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも1種類の非遷移的実体的記憶媒体であってよい。さらにメモリ51aとして、例えばRAM(Random Access Memory)等の書き換え可能な揮発性の記憶媒体が設けられていてもよい。プロセッサ51bは、例えばCPU(Central Processing Unit)、GPU(Graphics Processing Unit)、及びRISC(Reduced Instruction Set Computer)-CPU等のうち、少なくとも1種類をコアとして含む。
 処理システム50を構成する専用コンピュータ51は、メモリ、プロセッサ及びインターフェースを統合的に1つのチップで実現したSoC(System on a Chip)であってもよく、専用コンピュータの構成要素としてSoCを有していてもよい。
 さらに、処理システム50は、動的運転タスクを実行するためのデータベースを少なくとも1つ含んでいてもよい。データベースは、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも1種類の非遷移的実体的記憶媒体(non-transitory tangible storage medium)を含んで構成される。データベースは、後述するシナリオ構造をデータベース化したシナリオDB53であってもよい。
 また、処理システム50は、運転システム2の認識情報、判断情報及び制御情報のうち少なくとも1つを記録する記録装置55を、少なくとも1つ備えていてもよい。記録装置55は、少なくとも1つのメモリ55a、及びメモリ55aへデータを書き込むためのインターフェース55bを含んでいてよい。メモリ55aは、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも1種類の非遷移的実体的記憶媒体であってよい。
 メモリ55aのうち少なくとも1つは、容易に着脱不能かつ交換不能な形態にて基板に対して実装されていてもよく、この形態では例えばフラッシュメモリを用いたeMMC(embedded Multi Media Card)などが採用されてよい。メモリ55aのうち少なくとも1つは、記録装置55に対して着脱可能かつ交換可能な形態であってよく、この形態では例えばSDカードなどが採用されてよい。
 記録装置55は、認識情報、判断情報及び制御情報のうち、記録する情報を選択する機能を有していてもよい。この場合に記録装置55は、専用コンピュータ55cを有していてもよい。記録装置55に設けられたプロセッサは、RAM等に情報を一時的に記憶してもよい。プロセッサは、一時的に記憶された情報のうち記録する情報を選択し、選択された情報をメモリ51aへ保存してもよい。
 記録装置55は、認識システム10a、判断システム20a又は制御システム30aからのデータの書き込み命令に従って、メモリ55aへアクセスし、記録を実行してもよい。記録装置55は、車内ネットワークに流れる情報を判別し、記録装置55に設けられたプロセッサの判断により、メモリ55aへアクセスし、記録を実行してもよい。
 <機能レベルのシステム構成>
 次に、図3を用いて、機能レベルにおける運転システム2の詳細構成の一例を説明する。機能レベルの構成とは、論理アーキテクチャを意味していてもよい。認識部10は、認識機能をさらに分類したサブブロックとして、外部認識部11、自己位置認識部12、融合部13及び内部認識部14を備える。
 外部認識部11は、各外部環境センサ41が検出した検出データを個別に処理し、物標、他の道路利用者等の物体を認識する機能を実現する。検出データは、例えばミリ波レーダ、ソナー、LiDAR等から提供される検出データであってよい。外部認識部11は、外部環境データが検出した生データから、自車両1に対する物体の方向、大きさ及び距離を含む相対位置データを生成してもよい。
 また、検出データは、例えばカメラ、LiDAR等から提供される画像データであってよい。外部認識部11は、画像データを処理し、画像の画角内に映り込む物体を抽出する。物体の抽出には、自車両1に対する物体の方向、大きさ及び距離の推定が含まれてもよい。また物体の抽出には、例えばセマンティックセグメンテーション(semantic segmentation)を使用した物体のクラス分類が含まれてよい。
 自己位置認識部12は、自車両1のローカリゼーションを実施する。自己位置認識部12は、通信システム43(例えばGNSS受信機)から自車両1のグローバル位置データを取得する。加えて、自己位置認識部12は、外部認識部11において抽出された物標の位置情報及び融合部13において抽出された物標の位置情報のうち少なくとも1つを取得してもよい。また、自己位置認識部12は、地図DB44から地図情報を取得する。自己位置認識部12は、これらの情報を統合して、自車両1の地図上の位置を推定する。
 融合部13は、外部認識部11により処理された各外部環境センサ41の外部認識情報、自己位置認識部12により処理されたローカリゼーション情報、及びV2Xにより取得されたV2X情報を融合する。
 融合部13は、各外部環境センサ41により個別に認識された他の道路利用者等の物体情報を融合し、自車両1の周辺における物体の種類及び相対位置を特定する。融合部13は、各外部環境センサ41により個別に認識された道路の物標情報を融合し、自車両1の周辺における道路の静的構造を特定する。道路の静的構造には、例えばカーブ曲率、車線数、フリー空間等が含まれる。
 次に、融合部13は、自車両1の周辺における物体の種類、相対位置及び道路の静的構造、並びにローカリゼーション情報及びV2X情報を融合し、環境モデルを生成する。環境モデルは、判断部20に提供可能である。環境モデルは、外部環境EEのモデル化に特化した環境モデルであってよい。
 環境モデルは、取得する情報が拡張されることにより実現される、内部環境、車両状態、運転システム2の状態などの情報を融合した統合的な環境モデルであってもよい。例えば、融合部13は、道路交通法等の交通ルールを取得し、環境モデルに反映させてもよい。
 内部認識部14は、各内部環境センサ42が検出した検出データを処理し、車両状態を認識する機能を実現する。車両状態には、速度センサ、加速度センサ、ジャイロセンサ等により検出された自車両1の運動物理量の状態が含まれてもよい。また、車両状態には、ドライバを含む乗員の状態、運動アクチュエータ60に対するドライバの操作状態及びHMI機器70のスイッチ状態のうち少なくとも1つが含まれてもよい。
 判断部20は、判断機能をさらに分類したサブブロックとして、環境判断部21、運転計画部22及びモード管理部23を備える。
 環境判断部21は、融合部13により生成された環境モデル及び内部認識部14により認識された車両状態等を取得し、これらに基づき環境についての判断を実施する。具体的に、環境判断部21は、環境モデルを解釈し、自車両1が現在おかれている状況を推定してもよい。ここでの状況とは、運転状況(operational situation)であってもよい。環境判断部21は、環境モデルを解釈し、他の道路利用者等の物体の軌跡を予測してもよい。また、環境判断部21は、環境モデルを解釈し、潜在的な危険を予測してもよい。
 また、環境判断部21は、環境モデルを解釈し、自車両1が現在おかれているシナリオに関する判断を実施してもよい。シナリオに関する判断は、シナリオDB53に構築されたシナリオのカタログから、自車両1が現在おかれているシナリオを少なくとも1つ選択することであってもよい。シナリオに関する判断は、後述するシナリオカテゴリの判断であってもよい。
 さらに環境判断部21は、予測された物体の軌跡、予測された潜在的な危険、シナリオに関する判断のうちの少なくとも1つと、内部認識部14から提供された車両状態とに基づき、ドライバの意図を推定してもよい。
 運転計画部22は、自己位置認識部12による自車両1の地図上の位置の推定情報、環境判断部21による判断情報及びドライバ意図推定情報、及びモード管理部23による機能制約情報等のうち少なくとも1つに基づき、自車両1の運転を計画する。
 運転計画部22は、ルート計画機能、挙動計画機能及び軌道計画機能を実現する。ルート計画機能は、自車両1の地図上の位置の推定情報に基づき、目的地までのルート及び中距離での車線計画のうち少なくとも1つを計画する機能である。ルート計画機能は、中距離での車線計画に基づき、車線変更要求及び減速要求のうち少なくとも1つの要求を決定する機能を、さらに含んでいてもよい。ここで、ルート計画機能は、戦略的機能(Strategic Function)におけるミッション/ルート計画機能であってよく、ミッション計画及びルート計画を出力するものであってよい。
 挙動計画機能は、ルート計画機能により計画された目的地までのルート、中距離での車線計画、車線変更要求及び減速要求、環境判断部21による判断情報及びドライバ意図推定情報、並びにモード管理部23による機能制約情報のうち少なくとも1つに基づき、自車両1の挙動を計画する機能である。挙動計画機能は、自車両1の状態遷移に関する条件を生成する機能を含んでいてもよい。自車両1の状態遷移に関する条件は、トリガー条件(triggering condition)に対応していてもよい。挙動計画機能は、この条件に基づき、DDTを実現するアプリケーションの状態遷移、さらには運転行動の状態遷移を決定する機能を含んでいてもよい。挙動計画機能は、これらの状態遷移の情報に基づき、自車両1のパスに関する縦方向の制約、自車両1のパスに関する横方向の制約を決定する機能を含んでいてもよい。挙動計画機能は、DDT機能における戦術的挙動計画であってよく、戦術的挙動を出力するものであってよい。
 軌道計画機能は、環境判断部21による判断情報、自車両1のパスに関する縦方向の制約及び自車両1のパスに関する横方向の制約に基づき、自車両1の走行軌道を計画する機能である。軌道計画機能は、パスプランを生成する機能を含んでいてもよい。パスプランには、速度プランが含まれていてもよく、速度プランがパスプランとは独立したプランとして生成されてもよい。軌道計画機能は、複数のパスプランを生成し、複数のパスプランの中から最適なパスプランを選択する機能、あるいはパスプランを切り替える機能を含んでいてもよい。軌道計画機能は、生成されたパスプランのバックアップデータを生成する機能を、さらに含んでいてもよい。軌道計画機能は、DDT機能における軌道計画機能であってよく、軌道計画を出力するものであってよい。
 モード管理部23は、運転システム2を監視し、運転に関する機能の制約を設定する。モード管理部23は、運転システム2に関係するサブシステムの状態を監視し、運転システム2の不調を判定してもよい。モード管理部23は、内部認識部14により生成されたドライバの意図推定情報に基づき、ドライバの意図に基づくモードを判定してもよい。モード管理部23は、運転システム2の不調の判定結果、モードの判定結果、さらには内部認識部14による車両状態、センサ40から出力されたセンサ異常(又はセンサ故障)信号、運転計画部22によるアプリケーションの状態遷移情報及び軌道計画等のうち少なくとも1つに基づき、運転に関する機能の制約を設定してもよい。
 また、モード管理部23は、運転に関する機能の制約に加えて、自車両1のパスに関する縦方向の制約、自車両1のパスに関する横方向の制約を決定する機能を統括的に有していてもよい。この場合、運転計画部22は、モード管理部23が決定した制約に従って、挙動を計画し、軌道を計画する。
 制御部30は、制御機能をさらに分類したサブブロックとして、運動制御部31及びHMI出力部71を備える。運動制御部31は、運転計画部22から取得された軌道計画(例えばパスプラン及び速度プラン)に基づき、自車両1の運動を制御する。具体的に、運動制御部31は、軌道計画に応じたアクセル要求情報、シフト要求情報、ブレーキ要求情報及びステアリング要求情報を生成し、運動アクチュエータ60に対して出力する。
 ここで運動制御部31は、認識部10(特に内部認識部14)によって認識された車両状態、例えば自車両1の現在の速度、加速度及びヨーレートのうち少なくとも1つを、認識部10から直接的に取得して、自車両1の運動制御に反映させることができる。
 HMI出力部71は、環境判断部21による判断情報及びドライバ意図推定情報、運転計画部22によるアプリケーションの状態遷移情報及び軌道計画、モード管理部23による機能の制約情報等のうち少なくとも1つに基づき、HMIに関する情報を出力する。HMI出力部71は、車両インタラクションを管理してもよい。HMI出力部71は、車両インタラクションの管理状態に基づいて通知要求を生成し、HMI機器70のうち情報通知機能を制御してもよい。さらにHMI出力部71は、車両インタラクションの管理状態に基づいてワイパ、センサ洗浄装置、ヘッドライト及び空調装置の制御要求を生成し、これらの装置を制御してもよい。
 <シナリオ>
 動的運転タスクを実行するために、あるいは動的運転タスクを評価するために、シナリオベースアプローチ(scenario base approach)が採用されてもよい。前述のように、自動運転において動的運転タスクを実行するために必要なプロセスは、物理原則が異なる認識エレメントにおける外乱、判断エレメントにおける外乱及び制御エレメントにおける外乱に分類される。各エレメントにおいて処理結果に影響を及ぼす要因(root cause)は、シナリオ構造として構造化されている。
 認識エレメントにおける外乱は、認識外乱(perception disturbance)である。認識外乱は、センサ40及び自車両1の内部的要因又は外部的要因のために、認識部10が危険を正しく認識できない状態を示す外乱である。内部的要因は、例えば外部環境センサ41などのセンサの取付け又は製造上のばらつきに関連する不安定性、センサの方向を変更する不均一な荷重による車両の傾斜、車両の外部への部品取付けによるセンサの遮蔽等である。外部的要因は、例えばセンサの曇り、汚れ等である。認識外乱における物理原則は、各センサのセンサメカニズムに基づく。
 判断エレメントにおける外乱は、交通外乱(traffic disturbance)である。交通外乱は、道路の幾何学的形状、自車両1の挙動、及び周辺車両の位置及び挙動の組み合わせの結果として生じる危険性がある交通状況を示す外乱である。交通外乱における物理原則は、幾何学的視点と、道路利用者の動作に基づく。
 制御エレメントにおける外乱は、車両運動外乱(vehicle disturbance)である。車両運動外乱は、制御外乱と称されてもよい。車両運動外乱は、内部的要因又は外部的要因のために、車両が自らのダイナミクスを制御できない可能性がある状況を示す外乱である。内部的要因は、例えば車両の総重量、重量バランス等である。外部的要因は、例えば路面の不規則性、傾斜、風等である。車両運動外乱における物理原則は、タイヤ及び車体に入力される力学的な作用等に基づく。
 自動運転の動的運転タスクにおけるリスクとしての自車両1の他の道路利用者又は構造物との衝突に対応すべく、シナリオ構造のひとつとしての、交通外乱シナリオが体系化された交通外乱シナリオ体系が用いられる。交通外乱シナリオ体系に対して、合理的に予見可能な範囲又は合理的に予見可能な境界が定義され、回避可能な範囲又は回避可能な境界が定義され得る。
 回避可能な範囲又は回避可能な境界は、例えば、有能で注意深い人間ドライバ(competent and careful human driver)のパフォーマンスを定義し、モデル化することによって定義可能となる。有能で注意深い人間ドライバのパフォーマンスは、認識エレメント、判断エレメント及び制御エレメントの3要素において定義可能である。
 交通外乱シナリオは、例えばカットインシナリオ、カットアウトシナリオ、減速シナリオ等である。カットインシナリオは、自車両1の隣接車線を走行している他車両が自車両1の前方に合流するシナリオである。カットアウトシナリオは、自車両1の追従対象となっている先行の他車両が隣接車線へ車線変更するシナリオである。この場合、自車両1の前方に突然出現する落下物、渋滞末尾の停止車両等に対して、適切な応答(proper response)を実施することが求められる。減速シナリオは、自車両1の追従対象となっている先行の他車両が急減速するシナリオである。
 交通外乱シナリオは、道路の幾何学的形状、自車両1の動作、周辺の他車両の位置、及び周辺の他車両の動作の要素の異なる組み合わせを体系的に分析し、かつ分類することにより、生成されることが可能である。
 ここで、交通外乱シナリオの体系化の例として、高速道路における交通外乱シナリオの構造を説明する。道路形状は、本線、合流、分岐、及びランプの4つのカテゴリに分類される。自車両1の動作は、車線維持及び車線変更の2つのカテゴリに分類される。周辺の他車両の位置は、例えば自車両1の走行軌跡に侵入する可能性がある周辺8方向の隣接位置によって定義される。具体的に、8方向は、先行(Lead)、追従(Following)、右前方の並走(Parallel:Pr-f)、右側方の並走(Parallel:Pr-s)、右後方の並走(Parallel:Pr-r)、左前方の並走(Parallel:Pl-f)、左側方の並走(Parallel:Pl-s)、左後方の並走(Parallel:Pl-r)である。周辺の他車両の動作は、カットイン、カットアウト、加速、減速、及び同期の5つのカテゴリに分類される。減速には、停止が含まれていてもよい。
 周辺の他車両の位置と動作との組み合わせには、合理的に予見可能な障害を発生させる可能性がある組み合わせとない組み合わせとが存在する。例えば、カットインは、並走の6カテゴリにて発生可能性がある。カットアウトは、先行及び追従の2カテゴリにて発生可能性がある。加速は、追従、右後方の並走及び左後方の並走の3カテゴリにて発生可能性がある。減速は、先行、右前方の並走及び左前方の並走の3カテゴリにて発生可能性がある。同期は、右側方の並走及び左側方の並走の2カテゴリにて発生可能性がある。これにより、高速道路における交通外乱シナリオの構造は、40の可能な組み合わせを含むマトリックスで構成される。交通外乱シナリオの構造は、さらにオートバイ及び複数の車両のうち少なくとも1つを考慮することにより、複雑なシナリオを含むように拡張されてよい。
 次に、認識外乱シナリオ体系を説明する。認識外乱シナリオは、外部環境センサによるセンサ外乱シナリオに加え、死角シナリオ(遮蔽シナリオとも称する)及び通信外乱シナリオを含んでいてもよい。
 センサ外乱シナリオは、要因及びセンサメカニズムの要素の異なる組み合わせを体系的に分析し、分類することにより、生成されることが可能である。
 センサ外乱の要因のうちで、車両及びセンサに関連する要因は、自車両1、センサ及びセンサ前面の3つに分類される。自車両1の要因は、例えば車両姿勢変化である。センサの要因は、例えば搭載ばらつき、センサ本体の不調である。センサ前面の要因は、付着物、特性の変化であり、カメラの場合には映り込みも含まれる。これらの要因に対して、各外部環境センサ41特有のセンサメカニズムに応じた影響が認識外乱として想定され得る。
 センサ外乱の要因のうちで、外部環境に関連する要因は、周辺構造物、空間及び周辺移動物の3つに分類される。周辺構造物については、自車両1との位置関係に基づき、路面、路側構造物及び上方構造物の3つに分類される。路面の要因は、例えば形状、路面状態、材質である。路側構造物の要因は、例えば反射、遮蔽、背景である。上方構造物の要因は、例えば反射、遮蔽、背景である。空間の要因は、例えば空間障害物、空間中の電波及び光である。周辺移動物の要因は、例えば反射、遮蔽、背景である。これらの要因に対して、各外部環境センサ特有のセンサメカニズムに応じた影響が認識外乱として想定され得る。
 センサ外乱の要因のうちで、センサの認識対象に関連する要因は、走路、交通情報、路上障害物及び移動物の4つに大別される。
 走路は、走路表示する物体の構造に基づき、区画線、高さのある構造物及び道路端に分類される。道路端は、段差のない道路端及び段差のある道路端に分類される。区画線の要因は、例えば色、材質、形状、汚れ、掠れ、相対位置である。高さのある構造物の要因は、例えば色、材質、汚れ、相対位置である。段差のない道路端の要因は、例えば色、材質、汚れ、相対位置である。段差のある道路端の要因は、例えば色、材質、汚れ、相対位置である。これらの要因に対して、各外部環境センサ特有のセンサメカニズムに応じた影響が認識外乱として想定され得る。
 交通情報は、表示形態に基づき、信号、標識及び道路標示に分類される。信号の要因は、例えば色、材質、形状、光源、汚れ、相対位置である。標識の要因は、例えば色、材質、形状、光源、汚れ、相対位置である。路面標示の要因は、例えば色、材質、形状、汚れ、相対位置である。これらの要因に対して、各外部環境センサ41特有のセンサメカニズムに応じた影響が認識外乱として想定され得る。
 路上障害物は、動きの有無及び自車両1と衝突した場合の影響度の大きさに基づき、落下物、動物及び設置物に分類される。落下物の要因は、例えば色、材質、形状、大きさ、相対位置、挙動である。動物の要因は、例えば色、材質、形状、大きさ、相対位置、挙動である。設置物の要因は、例えば色、材質、形状、大きさ、汚れ、相対位置である。これらの要因に対して、各外部環境センサ41特有のセンサメカニズムに応じた影響が認識外乱として想定され得る。
 移動物は、交通参加者の種類に基づき、他車両、オートバイ、自転車及び歩行者に分類される。他車両の要因は、例えば色、材質、塗装、表面性状、付着物、形状、大きさ、相対位置、挙動である。オートバイの要因は、例えば色、材質、付着物、形状、大きさ、相対位置、挙動である。自転車の要因は、例えば色、材質、付着物、形状、大きさ、相対位置、挙動である。歩行者の要因は、例えば身につけたものの色及び材質、姿勢、形状、大きさ、相対位置、挙動である。これらの要因に対して、各外部環境センサ41特有のセンサメカニズムに応じた影響が認識外乱として想定され得る。
 認識外乱が生じるセンサメカニズムは、認識処理、その他に分類される。認識処理で生じる外乱は、認識対象物からの信号に関する外乱、認識対象物からの信号を阻害する外乱に分類される。認識対象物からの信号を阻害する外乱は、例えばノイズ、不要信号である。
 特にカメラの認識処理において、認識対象物の信号を特徴づける物理量は、例えば強度、方位、範囲、信号の変化、取得時刻である。ノイズ及び不要信号においては、低コントラストとなる場合と、ノイズ大となる場合とがある。
 特にLiDARの認識処理において、認識対象物の信号を特徴づける物理量は、例えばスキャンタイミング、強度、伝搬方向、速度である。ノイズ及び不要信号は、例えばDC的ノイズ、パルス状のノイズ、多重反射、認識対象物以外の物体からの反射又は屈折である。
 特にミリ波レーダでは、その他に分類される外乱として、センサの向きに起因する外乱がある。ミリ波レーダの認識処理において、認識対象物の信号を特徴づける物理量は、例えば周波数、位相、強度である。ノイズ及び不要信号は、例えば回路信号による小信号消失、不要信号の位相雑音成分又は電波干渉による信号の埋没、認識対象以外からの不要信号である。
 死角シナリオは、周辺の他車両、道路構造、道路形状の3つのカテゴリに分類される。周辺の他車両による死角シナリオにおいて、周辺の他車両は、さらに他の他車両にも影響を及ぼす死角を誘発することがある。このため、周辺の他車両の位置は、周辺8方向の隣接位置を拡張した、拡張定義に基づいてもよい。周辺の他車両による死角シナリオにおいて、発生し得る死角車両運動は、カットイン、カットアウト、加速、減速、及び同期に分類される。
 道路構造による死角シナリオは、道路構造物の位置、及び、自車両1と、死角に存在する他車両又は死角に想定される仮想の他車両との間の相対動作パターンを考慮して定義される。道路構造による死角シナリオは、外部障壁による死角シナリオ、内部障壁による死角シナリオに分類される。例えば外部障壁は、カーブに死角領域を発生させる。
 道路形状による死角シナリオは、縦断勾配シナリオ、隣接車線の勾配シナリオに分類される。縦断勾配シナリオは、自車両1の前方及び後方の一方又は両方に死角領域を発生させる。隣接車線の勾配シナリオは、合流路、分岐路等において、隣接車線との高低差により死角領域を発生させる。
 通信外乱シナリオは、センサ、環境及び送信機の3つのカテゴリに分類される。センサに関する通信外乱は、地図要因及びV2X要因に分類される。環境に関する通信外乱は、静的エンティティ、空間エンティティ及び動的エンティティに分類される。送信機に関する通信外乱は、他車両、インフラ設備、歩行者、サーバ及び衛星に分類される。
 次に、車両運動外乱シナリオ体系について説明する。車両運動外乱シナリオは、車体入力及びタイヤ入力の2つのカテゴリに分類される。車体入力は、車体に外力が作用し、縦方向、横方向及びヨー方向のうち少なくとも1方向の運動に影響を与える入力である。車体に影響を与える要素は、道路形状及び自然現象に分類される。道路形状は、例えば曲線部の片勾配、縦断勾配、曲率等である。自然現象は、例えば横風、追い風、向かい風等である。
 タイヤ入力は、タイヤ発生力を変動させ、縦方向、横方向、上下方向及びヨー方向のうち少なくとも1方向の運動に影響を与える入力である。タイヤに影響を与える要素は、路面状態及びタイヤ状態に分類される。
 路面状態は、例えば路面とタイヤ間の摩擦係数、タイヤへの外力等である。ここで、摩擦係数に影響する路面要因は、例えばウェット路、凍結路、積雪路、部分的な砂利、路面表示等に分類される。タイヤへの外力に影響する路面要因は、例えばポットホール、突起、段差、轍、繋ぎ目、グルービング等である。タイヤ状態は、例えばパンク、バースト、タイヤの摩耗等である。
 シナリオDB53は、機能シナリオ(functional scenario)、論理シナリオ(logical scenario)及び具体的シナリオ(concrete scenario)のうち、少なくとも1つを含んでいてもよい。機能シナリオは、最上位の定性的なシナリオ構造を定義する。論理シナリオは、構造化された機能シナリオに対して、定量的なパラメータ範囲を付与したシナリオである。具体化シナリオは、安全な状態と不安全な状態を区別する安全性判定の境界を定義する。
 不安全な状態は、例えば危険な状況(hazardous situation)である。また、安全な状態に対応する範囲は、安全な範囲と称されてよく、不安全な状態に対応する範囲は、不安全な範囲と称されてよい。さらに、シナリオにおいて自車両1の危険な挙動や、合理的に予見可能な誤用の防止、検出及び軽減の不能に寄与する条件は、トリガー条件であってよい。
 シナリオは、既知であるか、未知であるかに分類可能であり、また、危険か危険でないかに分類可能である。すなわちシナリオは、既知の危険なシナリオ、既知の危険でないシナリオ、未知の危険なシナリオ及び未知の危険でないシナリオに分類可能である。
 シナリオDB53は、前述のように運転システム2における環境に関する判断に使用されてもよいが、運転システム2の検証及び妥当性確認(verification and validation)に使用されてもよい。運転システム2の検証及び妥当性確認の方法は、運転システム2の評価方法と言い換えてもよい。
 <安心と安全>
 運転システム2は、状況を推定し、自車両1の挙動を制御する。運転システム2は、事故(accident)及び事故につながる危険な状況を極力回避し、安全な状況又は安全性を維持するように構成される。危険な状況は、自車両1の整備状態や運転システム2の故障の結果として引き起こされる場合がある。危険な状況は、また、他の道路利用者等の外部から引き起こされる場合がある。運転システム2は、他の道路利用者等の外部要因により、安全な状況が維持できなくなる事象に反応して(react)自車両1の挙動を変更することで安全性を維持するように構成される。
 運転システム2は、自車両1の挙動を安全な状態に安定させる制御性能を有する。安全な状態は、自車両1の挙動のみならず状況にも依存する。仮に自車両1の挙動を安全な状態に安定させる制御ができない場合には、運転システム2は、事故の危害又はリスクを最小限にするように振る舞う。ここで事故の危害とは、衝突が発生したときの交通参加者(道路利用者)に与える損害、又は損害の大きさを意味してもよい。リスクとは、危害の大きさ及び尤度に基づいてもよく、例えば危害の大きさと尤度との積であってもよい。
 事故の危害又はリスクを最小限にするような挙動又はその挙動を導出する最善の方法は、ベストエフォートと称されてもよい。ベストエフォートは、事故の重大度又はリスクを最小限にすることを自動運転システムが保証可能なベストエフォート(以下、最小リスクを保証可能なベストエフォート)を含んでいてもよい。保証可能なベストエフォートは、最小リスク操作(minimal risk manoeuvre:MRM)又はDDTフォールバックを意味してもよい。ベストエフォートは、事故の危害又はリスクを最小限にすることを保証できないが、制御可能な限りにおいて事故の重大度又はリスク軽減し、最小化することを試みるベストエフォート(以下、最小リスクを保証不能なベストエフォート)を含んでいてもよい。
 図4は、車両の制御状態を空間的に表す、制御状態空間SPを図示する。運転システム2は、安全性を確保可能なシステムの性能限界よりも、より安全側にマージンをとった範囲に、自車両1の挙動を安定させる制御性能を有してもよい。安全性を確保可能なシステムの性能限界は、安全な状態と不安全な状態との境界、すなわち安全な範囲と不安全な範囲との境界であってよい。運転システム2における運行設計領域(operational design domain:ODD)は、典型的には、性能限界範囲R2の範囲内に設定され、より好ましくは安定制御可能範囲R1の範囲外において設定される。
 性能限界よりも安全側にマージンをとった範囲は、安定的な(stable)範囲と称されてよい。安定的な範囲は、安定的な範囲において、運転システム2は、設計通りのノミナル動作で安全な状態を維持可能である。設計通りのノミナル動作で安全な状態を維持可能な状態は、安定的な状態と称されてよい。安定的な状態は、乗員等に対して、「いつもの安心」を与え得る。ここで、安定的な範囲は、安定的な制御が可能である安定制御可能範囲R1と称されてもよい。
 また、安定制御可能範囲R1の範囲外かつ性能限界範囲R2の範囲内では、運転システム2は、環境的な想定が成り立つことを前提に、安定的な状態に制御を戻すことが可能である。この環境的な想定は、例えば合理的に予見可能な想定であってよい。例えば、運転システム2は、合理的に予見可能な道路利用者等の挙動に反応して、自車両1の挙動を変更して危険な状況に陥ることを回避し、再び安定的な制御に戻すことが可能である。安定的な状態に制御を戻すことが可能な状態は、乗員等に対して、「もしもの安全」を与え得る。
 運転システム2において判断部20は、性能限界範囲R2の範囲内にて(換言すると性能限界範囲R2の範囲外となってしまう前に)、安定的な制御を継続するか、最小リスク条件(minimal risk condition:MRC)へ移行するかを判断してもよい。最小リスク条件は、フォールバック条件であってもよい。判断部20は、安定制御可能範囲R1の範囲外かつ性能限界範囲R2の範囲内にて、安定的な制御を継続するか、最小リスク条件へ移行するかを判断してもよい。最小リスク条件への移行とは、MRMの実行又はDDTフォールバックであってもよい。
 また例えば、レベル3の自動運転システムの自動運転を実行している場合において、判断部20は、ドライバへの権限移譲、例えば引き継ぎ(takeover)を実行してもよい。自動運転システムからドライバへ運転が引き継がれない場合に、MRM又はDDTフォールバックを実行する制御が採用されてもよい。
 判断部20は、環境判断部21によって推定された状況に基づき、運転行動の状態遷移を判断してもよい。運転行動の状態遷移とは、運転システム2により実現される自車両1の挙動に関しての遷移、例えば規則の一貫性及び予測可能性を維持した挙動と、他の道路利用者等の外部要因に応じた自車両1の反応挙動との間での遷移を意味していてもよい。すなわち、運転行動の状態遷移とは、行動(action)と反応(reaction)との間の遷移であってもよい。また、運転行動の状態遷移の判断とは、安定的な制御を継続するか、最小リスク条件へ移行するかの判断であってよい。安定的な制御は、自車両1の挙動にふらつき、急加速、急ブレーキ等が発生しないか、発生頻度が極めて低い状態を意味していてもよい。安定的な制御は、人間のドライバが自車両1の挙動について安定的である又は異常がないと認識するようなレベルの制御を意味していてもよい。
 環境判断部21が推定する状況、すなわち電子系が推定する状況は、実世界との差異を含み得る。したがって、運転システム2における性能限界は、実世界との差異の許容範囲に基づいて、設定されてよい。換言すると、性能限界範囲R2と安定制御可能範囲R1との間のマージンは、電子系が推定する状況と、実世界との差異に基づいて定義されてよい。ここで、電子系が推定する状況と実世界との差異は、外乱による影響又は誤差の一例であってよい。
 ここで、最小リスク条件への移行判断に用いた状況は、例えば電子系が推定した形式によって記録装置55に記録されてよい。MRM又はDDTフォールバックにおいて、例えばHMI機器70を通じた電子系とドライバとのインタラクションがある場合に、当該ドライバの操作が記録装置55に記録されてよい。
 <運転システムにおけるインタラクション>
 運転システム2のアーキテクチャは、抽象レイヤ及び物理インターフェースレイヤ(以下、物理IFレイヤ)と、実世界との関係によって表現可能である。ここで抽象レイヤ及び物理IFレイヤは、電子系によって構成されるレイヤを意味していてもよい。図5に示すように、認識部10、判断部20及び制御部30のインタラクションは、因果ループを示すブロック線図によって表現可能である。
 詳細に、実世界での自車両1は、外部環境EEへ影響を及ぼす。物理IFレイヤに属する認識部10は、自車両1及び外部環境EEを認識する。認識部10では、誤認識、観測ノイズ、認識外乱等よる誤差又は偏差が発生し得る。認識部10にて発生した誤差又は偏差は、抽象レイヤに属する判断部20へ影響を及ぼす。また、制御部30が運動アクチュエータ60の制御のために車両状態を取得することを前提として、認識部10にて発生した誤差又は偏差は、判断部20を経由せずに、物理IFレイヤに属する制御部30へ直接的に影響を及ぼす。判断部20では、判断ミス、交通外乱等が発生し得る。判断部20にて発生した誤差又は偏差は、物理IFレイヤに属する制御部30へ影響を及ぼす。制御部30によって自車両1の運動を制御する際には、車両運動外乱が発生する。そしてまた実世界での自車両1は、外部環境EEへ影響を及ぼし、認識部10は、自車両1及び外部環境EEを認識する。
 このように、運転システム2は、各レイヤ間を跨ぐような因果ループ構造を構成している。さらには、実世界、物理IFレイヤ及び抽象レイヤの間を往来するような因果ループ構造を構成している。認識部10、判断部20及び制御部30にて発生する誤差又は偏差は、因果ループに沿って伝搬し得る。
 因果ループは、オープンループ(開ループ)及びクローズドループ(閉ループ)に分類される。オープンループは、クローズドループの一部を取り出した、部分的なループともいえる。オープンループは、例えば認識部10と判断部20とで構成されるループ、判断部20と制御部30とで構成されるループ等である。
 クローズドループは、実世界と物理IFレイヤ及び抽象レイヤのうち少なくとも1つとの間を循環するように構成されたループである。クローズドループは、自車両1にて完結する内側ループIL、及び自車両1と外部環境EEとのインタラクションを含む外側ループELに分類される。
 内側ループILは、例えば図6においては、自車両1から認識部10及び制御部30を経由して自車両1に戻るループである。上述のように、認識部10から制御部30へ直接的に影響を及ぼすパラメータは、ひとつの前提においては、車速、加速度、ヨーレート等の車両状態であり、外部環境センサ41の認識結果を含まないため、内側ループILは、自車両1にて完結するループといえる。外側ループELは、例えば図7においては、自車両1から外部環境EE、認識部10、判断部20及び制御部30を経由して自車両1に戻るループである。
 <検証及び妥当性確認>
 運転システム2の検証及び妥当性確認は、次の機能及び能力のうち、少なくとも1つ、好ましくは全ての機能及び能力を評価対象とした評価を含んでよい。ここでの評価対象は、検証対象又は妥当性確認対象と称されてもよい。
 例えば認識部10に関連する評価対象は、センサ又は外部データソース(例えば地図データソース)の機能、環境をモデル化するセンサ処理アルゴリズムの機能、インフラ及び通信システムの信頼性である。
 例えば判断部20に関連する評価対象は、決定アルゴリズムの能力である。決定アルゴリズムの能力は、潜在的な機能不足の安全なハンドリングをする能力、及び環境モデル、運転ポリシ、現在の目的地等に従って適切な決定を下す能力等である。また例えば、判断部20に関連する評価対象は、意図された機能の危険な挙動による不合理なリスクが存在しないこと、ODDのユースケースを安全に処理するシステムの機能、ODD全体での運転ポリシの実行のロバスト性能、DDTフォールバックの適合性、最小リスク条件の適合性である。
 また例えば評価対象は、システム又は機能のロバスト性能である。システム又は機能のロバスト性能は、悪環境条件に対するシステムのロバスト性能、既知のトリガー条件に対するシステム動作の適切性、意図された機能の感度、様々なシナリオに対する監視能力等である。
 次に、運転システム2の評価方法について、図8~13を用いて、いくつかの例を具体的に説明する。ここでいう評価方法は、運転システム2の構成方法又は運転システム2の設計方法であってもよい。以下の図8,10,12において、各円A1,A2,A3は、認識部10、判断部20及び制御部30のそれぞれが要因となって安全性を維持できない領域を、仮想的かつ模式的に示している。
 第1の評価方法は、図8に示すように、認識部10、判断部20及び制御部30を、独立して評価する方法である。すなわち、第1の評価方法は、認識部10のノミナル性能と、判断部20のノミナル性能と、制御部30のノミナル性能とを、それぞれ個別に評価することを含む。個別に評価することとは、認識部10、判断部20及び制御部30の間で相互に異なる観点及び手段に基づいて評価することであってもよい。
 例えば、制御部30は、制御理論に基づいて評価されてよい。判断部20は、安全性を論証する論理モデルに基づいて評価されてよい。論理モデルは、RSS(Responsibility Sensitive Safety)モデル、SFF(Safety Force Field)モデル等であってもよい。
 認識部10は、認識失敗率に基づいて評価されてよい。例えば認識部10全体の認識結果が目標の認識失敗率以下となるか否かが、評価基準であってもよい。認識部10全体に対する目標の認識失敗率は、統計的に算出された人間のドライバによる衝突事故遭遇率よりも小さな値であってよい。目標の認識失敗率は、例えば当該事故遭遇率よりも2桁低い確率である10-9であってもよい。ここでいう認識失敗率は、100%失敗する場合1となるように規格化された値である。
 さらに、複数のセンサ40により複数のサブシステム(例えばカメラのサブシステム、カメラを除く外部環境センサ41のサブシステム及び地図のサブシステム)が構成されている場合に、複数のサブシステムの多数決で信頼度が確保されてよい。サブシステムの多数決を前提とする場合、それぞれのサブシステムに対する目標の認識失敗率は、認識部10全体の目標の認識失敗率よりも大きい値であってよい。それぞれのサブシステムに対する目標の認識失敗率は、例えば10-5であってもよい。第1の評価方法において、ポジティブリスクバランス(positive risk balance)に基づいて、目標となる値又は目標となる条件が設定されてよい。
 第1の評価方法の例を、図9のフローチャートを用いて説明する。S11~13の各ステップの実施主体は、例えば車両の製造者、車両の設計者、運転システム2の製造者、運転システム2の設計者、運転システム2を構成するサブシステムの製造者、当該サブシステムの設計者、これらの製造者又は設計者から委託を受けた者、運転システム2の試験機関又は認証機関等のうち少なくとも1主体である。評価がシミュレーションによって実施される場合においては、実質的な実施主体は、少なくとも1つのプロセッサであってもよい。S11~13の各ステップにおいて、実施主体は、互いに共通の主体であっても異なる主体であってもよい。
 S11では、認識部10のノミナル性能を評価する。S12では、判断部20のノミナル性能を評価する。S13では、制御部30のノミナル性能を評価する。S11~13の順序は、適宜変更することができ、また、同時に実施することができる。
 第2の評価方法は、図10に示すように、判断部20のノミナル性能を評価することと、認識部10の誤差及び制御部30の誤差のうち少なくとも1つを考慮して判断部20のロバスト性能を評価することと、を含む。この評価方法の前提として、認識部10のノミナル性能を評価することと、制御部30のノミナル性能を評価することとが、さらに含まれていてもよい。判断部20のノミナル性能は、上述の交通外乱シナリオに基づいて評価されてよい。
 判断部20のロバスト性能は、例えばセンサの誤差等、認識部10の誤差を表す物理ベースの誤差モデルを用いて誤差範囲が特定された交通外乱シナリオを検証することにより評価されてもよい。例えば、認識外乱が発生した環境条件下での交通外乱シナリオが評価される。これにより第2の評価方法は、図10に示される認識部10の円A1と判断部20の円A2とが重複する領域A12を、換言すると認識部10と判断部20との複合要因を、評価対象に含むことができる。認識部10と判断部20との複合要因の評価は、上述の因果ループにおける認識部10から判断部20へ直接的に向かうオープンループの評価によって実現されてもよい。
 判断部20のロバスト性能は、例えば車両運動の誤差等、制御部30の誤差を表す物理ベースの誤差モデルを用いて誤差範囲が特定された交通外乱シナリオを検証することにより評価されてもよい。例えば、車両運動外乱が発生した環境条件下での交通外乱シナリオが評価される。これにより、第2の評価方法は、図12に示される判断部20の円A2と制御部30の円A3とが重複する領域A23を、換言すると判断部20と制御部30との複合要因を、評価対象に含むことができる。判断部20と制御部30との複合要因の評価は、上述の因果ループにおける判断部20から制御部30へ直接的に向かうオープンループの評価によって実現されてもよい。
 第2の評価方法の例を、図11のフローチャートを用いて説明する。S21~24の実施主体は、例えば車両の製造者、車両の設計者、運転システム2の製造者、運転システム2の設計者、運転システム2を構成するサブシステムの製造者、当該サブシステムの設計者、これらの製造者又は設計者から委託を受けた者、運転システム2の試験機関又は認証機関等のうち少なくとも1主体である。評価がシミュレーションによって実施される場合においては、実質的な実施主体は、少なくとも1つのプロセッサであってもよい。S21~24の各ステップにおいて、実施主体は、互いに共通の主体であっても異なる主体であってもよい。
 S21では、認識部10のノミナル性能を評価する。S22では、制御部30のノミナル性能を評価する。S23では、判断部20のノミナル性能を評価する。S24では、認識部10の誤差及び制御部30の誤差を考慮して、判断部20のロバスト性能を評価する。S21~24の順序は、適宜変更することができ、また、同時に実施することができる。
 第3の評価方法は、図12に示すように、認識部10の円A1、判断部20の円A2及び制御部30の円A3のうち少なくとも2つが重複する領域A12,A23,A13,AAを、評価対象に含む。第3の評価方法は、まず、認識部10のノミナル性能と、判断部20のノミナル性能と、制御部30のノミナル性能とを、評価することを含む。ノミナル性能の評価には、第1の評価方法そのものが採用されてもよく、第1の評価方法の一部が採用されてもよい。一方、ノミナル性能の評価には、第1の評価方法とは全く異なる方法が採用されてもよい。
 さらに第3の評価方法は、認識部10のロバスト性能と、判断部20のロバスト性能と、制御部30のロバスト性能について、認識部10、判断部20及び制御部30のうち少なくとも2つが複合する複合要因を、重点的に評価することを含む。ここで、認識部10、判断部20及び制御部30のうち少なくとも2つの複合要因とは、認識部10と判断部20との複合要因、判断部20と制御部30との複合要因、認識部10と制御部30との複合要因、認識部10、判断部20及び制御部30の3つの複合要因である。
 複合要因を重点的に評価することは、認識部10、判断部20及び制御部30の間のインタラクションが比較的大きな特定の条件を例えばシナリオベースで抽出し、その特定の条件に対して、インタラクションが比較的小さな他の条件よりも詳細に評価することであってよい。詳細に評価することとは、特定の条件を他の条件よりも詳細化して評価すること及びテスト回数を増加させて評価することのうち、少なくとも1つを含んでいてよい。評価対象となる条件(例えば上述の特定の条件及び他の条件)は、トリガー条件を含んでいてもよい。ここでインタラクションの大きさは、上述の因果ループを用いて、特定されてもよい。
 上述のいくつかの評価方法は、評価対象を定義することと、評価対象の定義に基づいてテスト計画を設計することと、テスト計画を実行して既知又は未知の危険なシナリオによる不合理なリスクの不存在を示すことと、を含んでよい。テストは、物理テスト、及びシミュレーションテスト、及び物理テスト及びシミュレーションテストの組み合わせのいずれかであってよい。物理テストは、例えばフィールド実証テスト(Field Operational Test:FOT)であってよい。FOTにおける目標値は、FOTデータ等を用いて、テスト車両の所定の走行距離(例えば数万km)に対して許容される失敗回数といった形態で設定されてよい。
 第3の評価方法の例を、図13のフローチャートを用いて説明する。S31~34の実施主体は、例えば車両の製造者、車両の設計者、運転システム2の製造者、運転システム2の設計者、運転システム2を構成するサブシステムの製造者、当該サブシステムの設計者、これらの製造者又は設計者から委託を受けた者、運転システム2の試験機関又は認証機関等のうち少なくとも1主体である。評価がシミュレーションによって実施される場合においては、実質的な実施主体は、少なくとも1つのプロセッサであってもよい。S31~34の各ステップにおいて、実施主体は、互いに共通の主体であっても異なる主体であってもよい。
 S31では、認識部10のノミナル性能を評価する。S32では、判断部20のノミナル性能を評価する。S33では、制御部30のノミナル性能を評価する。S34では、ロバスト性能について、複合領域A12,A23,A13,AAを重点的に評価する。S31~34の順序は、適宜変更することができ、また、同時に実施することができる。
 <運転システムの評価戦略>
 運転システム2の評価戦略は、事前評価の戦略と事後評価の戦略とを含む。事前評価の戦略は、上述の第1の評価方法、第2の評価方法、第3の評価方法及びその他の評価方法等の複数の評価方法の中から、運転システム2の性能及び妥当性のうち少なくとも1つを高める最適な方法、又は担保する最適な方法を選択することを含んでいてもよい。
 事前評価の戦略は、第1の評価方法に示されるような、認識部10、判断部20及び制御部30のそれぞれを独立評価する戦略であってよい。この戦略は、ノミナル性能をオープンループで評価するアプローチによって実現可能である。
 また、事前評価の戦略は、第2の評価方法に示されるような、認識部10と判断部20との組み合わせによる複合要因及び判断部20と制御部30との組み合わせによる複合要因を重点的に評価する戦略であってよい。この戦略は、ロバスト性能をオープンループで評価するアプローチを含むことによって実現可能である。
 また、事前評価の戦略は、制御部30と認識部10との組み合わせによる複合要因及び認識部10、判断部20及び制御部30の組み合わせによる複合要因を重点的に評価する戦略であってよい。この戦略は、第3の評価方法の具体化において、ロバスト性能をクローズドループによって評価するアプローチを含むことによって実現可能である。より詳細に、制御部30と認識部10との組み合わせによる複合要因の評価は、自車両1で完結する内側ループILで評価することによって実現可能である。認識部10、判断部20及び制御部30の組み合わせによる複合要因の評価は、自車両1と外部環境EEとのインタラクションを含む外側ループELで評価することによって実現可能である。
 以下では、ロバスト性能をクローズドループによって評価する評価方法、この評価方法を用いた運転システム2の設計方法、さらにはこれらにより実現される運転システム2に関して、いくつかの具体例を、詳細に説明する。
 <信頼度の割り当て/許容誤差の割り当て>
 第1の設計方法は、各サブシステム(すなわち認識システム10a、判断システム20a、制御システム30a)の責任分担を考慮した設計方法であって、各サブシステムへの信頼度の割り当てに基づく設計方法である。複合要因を評価する場合、各サブシステム間にて統一的な指標が用いられることが好ましい。統一的な指標は、例えば信頼度である。
 そこで、この設計方法及び設計に用いる評価方法では、制御部30を評価する指標として、信頼度が新規に導入され得る。そして、運転システム2が信頼度(1-δ)以上の確率で許容誤差をε以下とするような、確率ロバスト制御の思想が導入される。この確率ロバスト制御の思想は、運転ポリシの一例であってよい。このように、信頼度と許容誤差との組み合わせによる評価を用いる場合には、認識部10、判断部20及び制御部30それぞれを伝搬する誤差の確率分布自体を計算する必要性が回避できる。したがって、評価における負荷を軽減できる。
 運転システム2の信頼度は、技術的又は社会的な根拠に基づいて設定されてよい。例えば、運転システム2の信頼度は、統計的に算出された人間のドライバによる衝突事故遭遇率以下の値とされてもよい。
 確率ロバスト制御において、信頼度は、誤差よりも快適性に与える影響が大きい。誤差は、信頼度よりも安全性に与える影響が大きい。信頼度と誤差とを分離して別々に評価することにより、運転システム2における快適性及び安全性は、最適化され得る。信頼度は、運転システム2に求められる安全性の仕様に基づき、各サブシステムに割り当てられる。したがって、信頼度の割り当てに基づく第1の設計方法は、運転システム2全体の仕様から各サブシステムの仕様へと落とし込みを図る、トップダウン型の設計方法であるといえる。
 運転システム2に求められる信頼度をそのまま各サブシステムの信頼度とした場合、各サブシステムに求められる性能は高くなる。そこで、各サブシステムへ運転システム2の信頼度を割り当てる、すなわち分散させることにより、各サブシステムに過剰な性能が要求されることを、回避することができる。
 ここで、第1の設計方法に用いられる評価方法の例を、図14のフローチャートを用いて説明する。S101~104の実施主体は、例えば車両の製造者、車両の設計者、運転システム2の製造者、運転システム2の設計者、運転システム2を構成するサブシステムの製造者、当該サブシステムの設計者、これらの製造者又は設計者から委託を受けた者、運転システム2の試験機関又は認証機関等のうち少なくとも1主体である。評価がシミュレーションによって実施される場合においては、実質的な実施主体は、例えば図15に示すような、評価装置81又は設計装置82であってもよい。S101~104の各ステップにおいて、実施主体は、互いに共通の主体であっても異なる主体であってもよい。
 評価装置81は、少なくとも1つのメモリ81a、少なくとも1つのプロセッサ81bを備え、少なくとも1つのプロセッサ81bがメモリ81aに記憶されたプログラムを実行することにより、評価機能を実現する。メモリ81aは、コンピュータ(ここでは例えばプロセッサ81bであってよい)により読み取り可能なプログラム及びデータ等を非一時的に記憶する、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも1種類の非遷移的実体的記憶媒体であってよい。プロセッサ81bは、例えばCPU(Central Processing Unit)、GPU(Graphics Processing Unit)、及びRISC(Reduced Instruction Set Computer)-CPU等のうち、少なくとも1種類をコアとして含む。さらに評価装置81は、運転システム2又はそのアーキテクチャを再現した装置外部に設けられた別のコンピュータと評価時において接続され、通信可能なインターフェースを備えていてもよい。また、評価装置81は、評価時のシミュレーションの前提を定義するために用いられるシナリオDB53を、さらに備えていてもよい。
 設計装置82は、少なくとも1つのメモリ82a、少なくとも1つのプロセッサ82bを備え、少なくとも1つのプロセッサ82bがメモリ82aに記憶されたプログラムを実行することにより、設計機能を実現する。メモリ82aは、コンピュータ(ここでは例えばプロセッサ82bであってよい)により読み取り可能なプログラム及びデータ等を非一時的に記憶する、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも1種類の非遷移的実体的記憶媒体であってよい。プロセッサ82bは、例えばCPU(Central Processing Unit)、GPU(Graphics Processing Unit)、及びRISC(Reduced Instruction Set Computer)-CPU等のうち、少なくとも1種類をコアとして含む。設計機能には、評価機能が含まれていてもよい。さらに設計装置82は、運転システム2のアーキテクチャを再現した装置外部に設けられた別のコンピュータと通信可能なインターフェースを備えていてもよい。また、設計装置82は、評価時のシミュレーションの前提を定義するために用いられるシナリオDB53を、さらに備えていてもよい。メモリ81a,82aは、装置81,82の外部において独立して設けられた、他のコンピュータから読み取り可能に構成された記憶媒体の態様にて実現されていてもよい。
 S101では、各サブシステムと実世界との間のインタラクションがループ構造としてモデル化される。評価対象となる運転システム2のアーキテクチャに基づき、例えば図5の抽象レイヤ、物理IFレイヤ及び実世界を跨ぐような因果ループがモデル化される。因果ループは、アーキテクチャの複雑性をより忠実に再現するように、より詳細にモデル化されてもよい(図18の例を参照)。
 これにより、少なくとも1つのクローズドループが特定される。例えば図6,7に示されるように、外側ループELと内側ループILの2つのクローズドループが特定される。S101の後、S102へ移る。
 S102では、各サブシステムに統一的な指標としての信頼度が導入される。S102の後、S103へ移る。
 S103では、各サブシステムにおいて発生する誤差を特定する。例えば図5に示されるように、認識部10において誤認識により発生する誤差、判断部20において判断ミスにより発生する誤差、制御部30において車両運動外乱により発生する誤差が特定される。これらの誤差は、後述するように定量的な過誤に基づく誤差と、定性的な過誤に基づく誤差とを含んでいてよい。これらの誤差は、上述のシナリオベースアプローチに基づき、各シナリオに対して個別に特定されてもよい。これらの誤差は、ODDとの関係に基づき、特定されてもよい。
 また、図16に示すように、これらの誤差には、誤差分布を表す確率密度関数において、信頼度に相当する確率1-δとなる誤差の境界値εが設定されてもよい。S103の後、S104へ移る。
 S104では、S102にて導入された信頼度に基づいて、S101にて特定されたクローズドループを評価する。複数のクローズドループが特定された場合、その全てのクローズドループに対して評価が実施されてもよい。一方、複合要因としての影響度が少ない一部のクローズドループの評価は、省略されてもよい。
 信頼度に基づくクローズドループの評価は、例えば、確率ロバスト制御に基づいて、クローズドループを伝搬する誤差を評価することである。すなわち、クローズドループに従って伝搬する誤差が所定の信頼度以上の確率で許容誤差内に収まることが評価され得る。この評価は、後述する数式1~4を用いて評価されてもよい。S104を以て一連の評価を終了する。なお、S101~103の順序は、適宜変更することができ、また、同時に実施することができる。
 次に、第1の設計方法の例を、図17のフローチャートを用いて説明する。S111~114の実施主体は、例えば車両の製造者、車両の設計者、運転システム2の製造者、運転システム2の設計者、運転システム2を構成するサブシステムの製造者、当該サブシステムの設計者、これらの製造者又は設計者から委託を受けた者等であってよい。実施主体は、設計装置82であってもよい。S111~114の各ステップにおいて、実施主体は、互いに共通の主体であっても異なる主体であってもよい。
 S111では、運転システム2の全体仕様が決定される。ここでの全体仕様とは、運転システム2を構成する構成要素による、運転システム2全体のアーキテクチャを含んでよい。全体仕様には、サブシステムの構成要素の詳細仕様、例えばカメラの詳細仕様などは、含まなくてよい。S111の後、S112へ移る。
 S112では、S111にて決定された運転システム2の全体仕様に基づき、認識システム10a、判断システム20a及び制御システム30aの各サブシステムにそれぞれ信頼度が割り当てられる。信頼度は、ODD、シナリオ等に依存せず一律の固定値として割り当てられてもよい。この割り当ては、静的な割り当てと称されてもよい。
 一方で、ODD、シナリオ等の割り当てカテゴリ毎に、個別の値が割り当てられてもよい。この割り当ては、動的な割り当てと称されてもよい。例えば認識外乱シナリオにおいて認識システム10aへ過剰な信頼度を求めると、外部環境センサ41に極端に高い性能が仕様として要求され、運転システム2のコストアップへ繋がってしまう。このため、認識外乱シナリオにおいては、認識システム10aの信頼度を低下させ、その分、判断システム20a及び制御システム30aの信頼度を向上させるような割り当てがなされてもよい。
 割り当てカテゴリは、さらに細分化されてよい。例えば認識外乱シナリオのうち通信外乱シナリオにおいては、地図DB44の情報が最新の情報に更新できない場合がある。この場合に、地図DB44へ過剰な信頼度を求めることは困難である。したがって、地図DB44に割り当てる信頼度を低下させ、例えばカメラ等の他の外部環境センサ41、又は判断システム20a及び制御システム30a等に割り当てる信頼度を向上させるように、割り当てが変更されてもよい。S112の後、S113へ移る。
 S113では、S112にて割り当てられた信頼度に基づき、各サブシステムに許容される誤差分布ないし許容誤差が算出される。この誤差分布ないし許容誤差の算出においては、S101~104に示されたクローズドループの評価方法を用いればよい。S113の後、S114へ移る。
 S114では、S113にて算出された誤差分布ないし許容誤差に基づいて、各サブシステムの仕様がそれぞれ決定される。すなわち、各サブシステムに許容される誤差分布ないし許容誤差を達成するように、各サブシステムが設計されることとなる。S114を以て一連の処理を終了する。
 第2の設計方法は、運転システム2の感度を用いた設計方法であって、各サブシステムへの許容誤差の割り当てに基づく設計方法である。この設計方法は、例えば図5,14に示される因果ループ構造において、伝搬する誤差を評価することを含む。
 例えば図18の因果ループ構造は、図5の因果ループ構造をより具体化したものである。図18における自己位置推定ブロック10yは、認識部10のうち自己位置認識部12及び内部認識部14に対応する。物体認識/走路認識ブロック10xは、認識部10のうち外部認識部11及び融合部13に対応する。行動計画/軌道生成ブロック20xは、判断部20に対応する。位置制御/姿勢制御ブロック30xは、制御部30のうち運動制御部31に対応する。
 この因果ループ構造においても、クローズドループのうち自車両1にて完結する内側ループILと、自車両1と外部環境EEとのインタラクションとを含む外側ループELとが存在する。図19に示す内側ループILは、自車両1から自己位置推定ブロック10y及び位置制御/姿勢制御ブロック30xを経由して、自車両1へ戻るループである。図20に示す外側ループELは、自車両1から外部環境EE、物体認識/走路認識ブロック10x、行動計画/軌道生成ブロック20x及び位置制御/姿勢制御ブロック30xを経由して自車両1へ戻るループである。
 さらに図21に示すように、実際の車両には、自車両1の車体、又は自車両1の車体と制御部30との間で発生するクローズドループ(以下、車体安定化ループSLと称する)が存在する。車体安定化ループSLは、例えばパワートレインにおけるモータ制御、サスペンション制御などによる車体の安定化によって実現され得る。
 図18に示すように、因果ループでは各種の過誤が入力され得る。物体認識/走路認識ブロック10xでは、誤認識に分類される過誤が発生し得る。自己位置推定ブロック10yでは、観測ノイズに分類される過誤が発生し得る。行動計画/軌道生成ブロック20xでは、判断ミスに分類される過誤が発生し得る。位置制御/姿勢制御ブロック30xでは、車両運動外乱に分類される過誤が発生し得る。なお、誤認識及び観測ノイズは、上述の認識外乱に置換されてもよい。判断ミスは、上述の交通外乱に置換されてもよい。
 図22に示すように、誤認識の対象は、例えば物体認識及び走路認識である。誤認識における定量的な過誤は、例えば物体位置の誤差、速度の誤差である。誤認識における定性的な過誤は、例えば未検知、誤検知、解釈ミスである。観測ノイズの対象は、例えば自己位置推定である。観測ノイズにおける定量的な過誤は、例えば自己位置の誤差、姿勢の誤差である。
 判断ミスの対象は、行動計画及び軌道生成である。判断ミスにおける定量的な過誤は、例えば目標軌道の誤差である。判断ミスにおける定性的な過誤は、例えばシナリオの選択ミス、モードの選択ミスである。
 車両運動外乱の対象は、位置制御及び姿勢制御である。車両運動外乱における定量的な過誤は、例えば制御入力の誤差である。
 定量的な過誤は、物理量に相当する数値によって、そのまま誤差として表現することができる。さらに定量的な過誤は、当該誤差が許容誤差内に収まる確率によって評価することができる。ここでいう確率は、信頼度に相当する。
 他方、定性的な過誤は、正しいか間違っているか(True or False,T/F)あるいは、1か0かという離散的な値によって、誤差として表現することができる。このように表現された誤差は、各事象を統計的に集めて処理することで、結果的に、そのまま信頼度を意味することとなる。なお、観測ノイズにおける定性的な過誤及び車両運動外乱における定性的な過誤は、考慮しなくてもよい。仮に、未知の定性的な過誤が発見された場合には、当該過誤は、他の定性的な過誤と同様に、信頼度を用いて評価することができる。
 ここで、各サブシステムを線形化できる前提として、各種誤差に対する感度を、感度関数及び相補感度関数を用いて考える。例えば図18に示すように、因果ループでの各ブロックにおける目標値から出力への伝達関数は、それぞれ、自車両1においてP、外部環境EEにおいてE、自己位置推定ブロック10yにおいてL、物体認識/走路認識ブロック10xにおいてS、行動計画/軌道生成ブロック20xにおいてD、位置制御/姿勢制御ブロック30xにおいてKであるとする。
 なお、以下において、誤差は、過誤を数値化した値を意味するものとして使用し、偏差は、誤差により運転システム2において現出する、目標値と出力値との差を意味するものとして使用する。
 ただし、文脈において誤差と偏差の使い分けがなされていない場合には、誤差は、過誤を数値化した値と、過誤を数値化した値により運転システム2において現出する、目標値と出力値との差とを含む概念を示していてもよい。
 車両運動外乱による誤差をdとすると、それによる目標値に対する偏差は、以下の数式1のように表現できる。
Figure JPOXMLDOC01-appb-M000001
  ここで車両運動外乱については、上述の車体安定化ループSLに基づき、認識部10、判断部20及び制御部30のうち制御部30が主に対応する。したがって、車両運動外乱による偏差は、運転システム2のロバスト性能よりも、実質的に制御部30のノミナル性能に影響することになる。
 誤認識による誤差をmとすると、それによる目標値に対する偏差は、以下の数式2のように表現できる。
Figure JPOXMLDOC01-appb-M000002
  観測ノイズによる誤差をnとすると、それによる目標値に対する偏差は、以下の数式3のように表現できる。
Figure JPOXMLDOC01-appb-M000003
  判断ミスによる誤差をjとすると、それによる目標値に対する偏差は、以下の数式4のように表現できる。
Figure JPOXMLDOC01-appb-M000004
  誤認識による偏差、観測ノイズによる偏差及び判断ミスによる偏差は、因果ループによって発生源のサブシステムから他のサブシステムへと伝搬し得る。したがって、誤認識による偏差、観測ノイズによる偏差及び判断ミスによる偏差は、運転システム2のロバスト性能に影響することになる。
 外部環境EEの伝達関数Eは、行動計画の伝達関数Dとの組み合わせに基づき、設定されてもよい。例えば、上述の交通外乱シナリオにおいて、自車両1のある行動(action)又は反応(reaction)と、他の道路利用者等の外部要因とのインタラクションを関数化することが、実質的に外部環境EEの伝達関数Eの設定に相当していてもよい。
 また、外部環境EEの伝達関数Eは、他の道路利用者等の外部要因が、例えば安全関連モデル(safety-related models)に習い、合理的に予見可能な想定に基づく行動又は反応をする前提に従って、設定されてもよい。
 一方で、外部環境EEの伝達関数Eと、行動計画の伝達関数Dとを、個別に独立した関数として設定するとよい。
 各サブシステムにて仕様上又は技術上発生し得る誤差が存在する。これらの誤差d,m,n,jが、運転システム2全体に許容される許容偏差e_maxが定まった場合に、各サブシステムに割り当てられた偏差から数式1~4によって算出された最大の許容誤差d_max、m_max、n_max、j_maxを超えないように、再度割り当てが調整されることとなる。したがって、誤差の割り当てに基づく第2の設計方法は、各サブシステムの仕様後、運転システム2全体の仕様の調整を図る、ボトムアップ型の設計方法であるといえる。
 ここで、第1の設計方法に用いられる評価方法の例を、図23のフローチャートを用いて説明する。S121~124の実施主体は、例えば車両の製造者、車両の設計者、運転システム2の製造者、運転システム2の設計者、運転システム2を構成するサブシステムの製造者、当該サブシステムの設計者、これらの製造者又は設計者から委託を受けた者、運転システム2の試験機関又は認証機関等のうち少なくとも1主体である。評価がシミュレーションによって実施される場合においては、実質的な実施主体は、例えば図15に示すような、評価装置81又は設計装置82であってもよい。S121~124の各ステップにおいて、実施主体は、互いに共通の主体であっても異なる主体であってもよい。
 S121では、S101と同様の方法により、各サブシステムと実世界との間のインタラクションがループ構造としてモデル化される。これにより、少なくとも1つのクローズドループが特定される。S121の後、S122へ移る。
 S122では、運転システム全体に許容される許容偏差e_maxを特定する。S122の後、S123へ移る。
 S123では、各サブシステムに対応して発生する誤差を特定する。ここでの誤差の特定方法は、評価の意図及び目的によって異なる部分がある。例えば、現在のサブシステムの仕様又は性能において運転システム2に発生する偏差を評価したい場合には、現在のサブシステムの仕様又は性能に基づいて誤差が設定される。
 S124では、S122にて特定された許容偏差e_maxに基づいて、S121にて特定されたクローズドループを評価する。複数のクローズドループが特定された場合、その全てのクローズドループに対して評価が実施されてもよい。一方、複合要因としての影響度が少ない一部のクローズドループの評価は、省略されてもよい。S124を以て一連の評価を終了する。なお、S121~123の順序は、適宜変更することができ、また、同時に実施することができる。
 次に、第2の設計方法の例を、図24のフローチャートを用いて説明する。S131~136の実施主体は、例えば車両の製造者、車両の設計者、運転システム2の製造者、運転システム2の設計者、運転システム2を構成するサブシステムの製造者、当該サブシステムの設計者、これらの製造者又は設計者から委託を受けた者等であってよい。実質的な実施主体は、設計装置82であってもよい。S131~136の各ステップにおいて、実施主体は、互いに共通の主体であっても異なる主体であってもよい。
 S131では、各サブシステムが仮設計される。仮設計された各サブシステムにおいて、それぞれの性能に基づいた誤差が特定される。S131の後、S132へ移る。
 S132では、運転システム2全体が許容する許容偏差を特定する。この許容偏差は、運転システム2全体の仕様に基づいて決定され得る。例えば、許容偏差は、ポジティブリスクバランスから、安全なマージンを逆算して決定されてもよい。S132の後、S133へ移る。
 S133では、運転システム2全体の許容偏差に基づき、各サブシステムに許容される偏差が暫定的に割り当てられる。ここで暫定的な割り当ては、各サブシステムへの均等な割り当てであってよい。均等な割り当てとは、運転システム2全体の許容偏差のうち、実質的に1/3(33%)を認識システム10aが受け持ち、実質的に1/3(33%)を判断システム20aが受け持ち、実質的に1/3(33%)を制御システム30aが受け持つ割り当てである。図17に示すような、認識システム10aを物体認識/走路認識ブロック10xと自己位置推定ブロック10yとに分割して考える場合では、認識システム10aが受け持つ偏差を、さらに物体認識/走路認識ブロック10xと自己位置推定ブロック10yとに振り分けてよい。
 経験的にある程度適切な割り当てが判明している場合には、経験的に得られた割り当てが、暫定的に用いられてよい。S133の後、S134へ移る。
 S134では、クローズドループを伝搬する誤差を数式化した数式1~4をそれぞれ逆算することによって、各サブシステムに許容される偏差から、各サブシステムに求められる最大の許容誤差d_max、m_max、n_max、j_maxを算出することができる。S134の後、S135へ移る。
 S135では、S131にて特定された各サブシステムの誤差d,m,n,jが、そのサブシステムに暫定的に割り当てられた最大の許容誤差d_max、m_max、n_max、j_maxに収まるか否かが、各サブシステムそれぞれについて、判定される。すべてのサブシステムについて、肯定判定が下されると、各システムの許容誤差の割り当てを確定し、一連の処理を終了する。少なくとも1つのサブシステムについて、否定判定が下されると、S136へ移る。
 S136では、各サブシステムへの割り当てが調整される。すなわち、S135にて誤差が許容誤差を超えたサブシステムへの割り当てを増大し、誤差が許容誤差に収まったサブシステムへの割り当てを減少させるように、調整が実施される。
 例えば、S132にて各サブシステムに暫定的に均等な割り当てが行われた場合を考える。S135にて、認識システム10aの誤差が認識システム10aに暫定的に割り当てられた許容誤差に収まると判定され、制御システム30aの誤差が制御システム30aに暫定的に割り当てられた許容誤差に収まると判定されたとする。一方、S135にて、判断システム20aの誤差が判断システム20aに暫定的に割り当てられた許容誤差を超えたと判定されたとする。この場合には、認識システム10aへの割り当てを例えば20%に減少させ、判断システム20aへの割り当てを例えば60%に増大させ、制御システム30aへの割り当てを例えば20%に減少させるような、調整が実施されてよい。S136の後、S134に戻る。
 S134~136の調整を繰り返すことにより、全てのサブシステムで発生する誤差d,m,n,jが許容誤差d_max、m_max、n_max、j_max内に収まる割り当ての解が見つかれば、その時点で各サブシステムの許容誤差の割り当てが確定できる。一方で、全てのサブシステムで発生する誤差d,m,n,jが許容誤差d_max、m_max、n_max、j_max内に収まる割り当ての解が見つからない場合には、少なくとも1つのサブシステムの仕様を見直す必要がある。すなわち、発生する誤差を減少させるように、サブシステムの性能をより高い性能に見直す必要がある。
 第1の設計方法と第2の設計方法とは、選択的に実施されてもよい。一方で、第1の設計方法と第2の設計方法とが組み合わせて実施されると、より妥当性の高い運転システム2を設計することができる。例えば第2の設計方法を用いて許容誤差の割り当てを実施した後、第1の設計方法を用いて信頼度の割り当てを実施することにより、許容誤差及び信頼度の両方が最適化された運転システム2を設計してもよい。例えば第1の設計方法を用いて信頼度の割り当てを実施した後、第2の設計方法を用いて許容誤差の割り当てを実施することにより、許容誤差及び信頼度の両方が最適化された運転システム2を設計してもよい。
 <複合要因の評価により実現される運転システム>
 以上説明した設計方法によって設計された運転システム2であって、特に割り当てられた信頼度を用いた処理方法を実行する運転システム2について、説明する。
 運転システム2は、設計時に決定された、割り当てカテゴリ毎の動的な信頼度の割り当てを記憶している。信頼度の割り当てを記憶した記憶媒体(例えば非遷移的実体的記憶媒体)は、1つでも複数でもよい。記憶媒体は、処理システム50の専用コンピュータ51が備えるメモリ51aであってもよく、シナリオDB53であってもよく、記録装置55のメモリ55aであってもよい。
 運転システム2は、割り当てカテゴリ毎の信頼度の割り当てを参照して、運転動的タスクを実行するための条件を変更する。割り当てカテゴリは、例えばODDのユースケース、シナリオ等の種類に基づいて設定されている。換言すると、自車両1の走行中、運転システム2における信頼度の割り当ては、実質的に、自車両1が現在おかれている状況に応じて、動的に変化することとなる。
 例えば運転システム2は、ODD、シナリオ等に応じて、運転システム2が備えるどの構成要素を主軸において動的運転タスクを実現するかを決定してもよい。すなわち、運転システム2は、ODD、シナリオ等に応じて、動的運転タスクを実現するために主軸となる構成要素の組み合わせを柔軟に切り替えてもよい。主軸となる構成要素には、認識システム10aを実現する複数のセンサ40のうち、一部のセンサ40が選択されてよい。ここでいう組み合わせとは、例えばカメラ、地図及び制御の組み合わせ、ミリ波レーダ、地図及び制御の組み合わせ、カメラ、ミリ波レーダ及び制御の組み合わせ等である。
 また例えば運転システム2は、ODD、シナリオ等に応じて割り当てられている信頼度についての、認識システム10aの信頼度と制御システム30aの信頼度との積の値に基づいて、慎重な制御アクションを計画するか否かを判断してもよい。運転システム2は、積の値が予め設定された設定値よりも小さくなった場合に、慎重な制御アクションを計画することを判断してもよい。この設定値は、安定制御可能範囲R1及び性能限界範囲R2のうち少なくとも1つに応じて設定されてよい。
 動的運転タスクを実行するための条件は、環境判断部21が環境を判断するための条件を含んでいてよい。環境判断部21は、シナリオを選択し、当該シナリオに対応する信頼度の割り当てを参照する。そして、環境判断部21は、当該信頼度を考慮して、環境モデルを解釈してもよい。例えば、通信外乱シナリオが選択された場合に、このシナリオに対応して認識システム10aに割り当てられた信頼度を達成する環境モデルの解釈をするために、環境判断部21は、地図及びV2Xで取得された情報の寄与度を低下させた前提での環境モデルの解釈を実行することにより、認識システム10a全体としての信頼度を確保してもよい。
 動的運転タスクを実行するための条件は、運転計画部22が挙動計画及び軌道計画を決定するための条件を含んでいてよい。環境判断部21により選択されたシナリオに応じた信頼度の割り当てを考慮して、運転計画部22が挙動計画及び軌道計画を決定してもよい。例えば、認識システム10aの信頼度及び制御システム30aの信頼度が低いことに起因して、判断システム20aに高い信頼度が要求されている場合に、運転計画部22は、通常のプランよりも慎重な制御アクションを計画してもよい。慎重な制御アクションには、縮退行動への移行、MRMの実行、DDTフォールバックへの移行等が含まれていてもよい。
 動的運転タスクを実行するための条件は、モード管理部23が管理するモード及び設定する制約のうち、少なくとも1つを決定するための条件を含んでいてよい。環境判断部21により選択されたシナリオに応じた信頼度の割り当てを考慮して、モード管理部23は、機能的制約を設定してもよい。例えば、認識システム10aの信頼度及び制御システム30aの信頼度が低いことに起因して、判断システム20aに高い信頼度が要求されている場合に、モード管理部23は、運転計画部22が計画する挙動計画及び軌道計画における、速度の上限、加速度の上限等の制約を設定してもよい。
 動的運転タスクを実行するための条件は、トリガー条件、最小リスク条件、フォールバック条件等の条件であってもよい。また、動的運転タスクを実行するための条件の変更は、条件式自体の変更であってもよく、条件式に入力する数値の変更であってもよい。
 以下、図25のフローチャートを用いて、運転システム2の動作フローのうち、動的運転タスクを実現するための条件の変更に関する処理の一例を説明する。ステップS141~144に示される一連の処理は、運転システム2により、所定時間毎、又は所定のトリガーに基づき、繰り返し実行される。
 S141では、環境判断部21が、自車両1が現在おかれている状況に基づき、シナリオを選択する。S141の後、S142へ移る。
 S142では、環境判断部21、運転計画部22及びモード管理部23のうち少なくとも1つの実行主体が、S141で選択されたシナリオを取得し、信頼度の割り当てを記憶した記憶媒体から、シナリオに対応した信頼度の割り当てを取得する。S142の処理後、S143へ移る。
 S143では、S142の実行主体が、取得した信頼度の割り当てに基づき、動的運転タスクを実現するための条件を変更する。S143の処理後、S144へ移る。
 S144では、運転計画部22が、条件又は条件に応じて演算処理を実行した結果に基づき、制御アクションを導出する。S144を以て一連の処理を終了する。
 S141~144の処理に用いられたシナリオは、ODDに置き換えられてもよく、シナリオとODDとの組み合わせに置き換えられてもよい。
 <作用効果>
 以上説明した第1実施形態の作用効果を以下に説明する。
 第1実施形態によると、各サブシステムへの許容誤差の割り当てが調整される。こうした調整では、仮設計された各サブシステムの誤差と、許容誤差との比較が用いられる。ここで、許容誤差の特定は、運転システム2全体の許容誤差の各サブシステムへの暫定的に割り当てられた偏差と、運転システム2を伝搬する誤差の評価によってなされる。運転システム2を伝搬する誤差の評価が用いられる結果、各サブシステム間のインタラクションに基づく複合要因を、設計に反映することができる。故に、複数のサブシステムを備える運転システム2の妥当性を高めることができる。
 また、第1実施形態によると、各サブシステムの仕様の決定は、運転システム2を伝搬する誤差が、所定の信頼度以上の確率で許容誤差内に収まるようになされる。すなわち、確率論に基づく評価を各サブシステムに適用する形態にて、共通の尺度として信頼度が導入される。このため、認識システム10a、判断システム20a及び制御システム30aがそれぞれ異なる機能を持っていても、これらのインタラクションによる複合要因を適切に設計に反映することができる。故に、複数のサブシステムを備える運転システム2の妥当性を高めることができる。さらには、各サブシステムの相互補完により運転システム2の動作の継続性を高めるシステム構成を実現することが容易に可能となる。
 また、第1実施形態によると、運転システム2を伝搬する誤差は、各サブシステムと実世界との間のインタラクションをループ構造としてモデル化したクローズドループに従って、評価される。クローズドループによって、各サブシステムにおいて発生される誤差は、各サブシステム間の伝搬をシミュレート可能な形態で表現され得るので、各サブシステム間の複合要因を容易に確認することができる。故に、複数のサブシステムを備える運転システム2の妥当性は、適切に確認可能となる。
 また、第1実施形態によると、クローズドループは、実世界における自車両1と、認識システム10aと、制御システム30aとを循環する、自車両1内にて完結する内側ループILを含む。このような内側ループILを評価することにより、判断システム20aに関連する評価だけでは検出できなかった誤差の伝搬を確認可能となる。
 また、第1実施形態によると、クローズドループは、実世界における自車両1と、実世界における外部環境EEと、認識システム10aと、判断システム20aと、制御システム30aとを循環する、自車両1と外部環境EEとのインタラクションを評価対象とする外側ループELを含む。このような外側ループELを評価することにより、認識システム10a、判断システム20a及び制御システム30aの三者の複合要因をより適切に確認することができる。
 また、第1実施形態によると、動的運転タスクを実現するための条件は、メモリ51a、シナリオDB53、メモリ55a等の記憶媒体に記憶された各サブシステムへの信頼度の割り当てに基づいて変更される。すなわち、各サブシステム間の共通の尺度である信頼度を用いたので、認識システム10a、判断システム20a及び制御システム30aがそれぞれ異なる機能を持っていても、割り当てカテゴリに応じて異なり得る各サブシステムへの負荷を考慮した条件の変更を実現できる。故に、複数のサブシステムを備える運転システム2において、高い妥当性を実現できる。
 また、第1実施形態によると、自車両1が現在おかれているシナリオが選択される。さらに、動的運転タスクを実現するための条件を変更することにおいて、シナリオに対応して定められた信頼度の割り当てを参照し、認識システム10aの信頼度と制御システム30aの信頼度との積の値に基づいて、縮退行動に遷移するか否かが判断される。故に、認識システム10a及び制御システム30aのうち一方の信頼度が低かったとしても、他方の信頼度が高い場合には、縮退行動への遷移を回避し、適当な運転行動を継続することができる。したがって、運転システム2において柔軟性の高い対応を実現できる。
 また、第1実施形態によると、各サブシステムと実世界とのインタラクションがループ構造としてモデル化される。こうして特定されたクローズドループによって、各サブシステムにおいて発生される誤差は、各サブシステム間の伝搬をシミュレート可能な形態で表現される。クローズドループに従って伝搬する誤差を評価することにより、各サブシステム間の複合要因を確認することができる。故に、複数のサブシステムを備える運転システム2の妥当性は、適切に確認可能となる。
 また、第1実施形態によると、各サブシステムと実世界とのインタラクションがループ構造としてモデル化される。こうして特定されたクローズドループの評価は、各サブシステム間での共通の尺度である信頼度に基づく。共通の尺度として信頼度を導入したので、認識システム10a、判断システム20a及び制御システム30aがそれぞれ異なる機能を持っていても、これらのインタラクションによる複合要因を確認することができる。故に、複数のサブシステムを備える運転システム2の妥当性は、適切に確認可能となる。
 また、第1実施形態によると、クローズドループに従って伝搬する誤差が所定の信頼度以上の確率で許容誤差内に収まることが評価される。確率論に基づく評価を各サブシステムに適用することで、運転システム2の妥当性を適切に確認可能となる。さらには、各サブシステムの相互補完により運転システム2の動作の継続性を高めるシステム構成を実現することが容易に可能となる。
 また、第1実施形態によると、クローズドループは、実世界における自車両1と、認識システム10aと、制御システム30aとを循環する、自車両1内にて完結する内側ループILを含む。このような内側ループILを評価することにより、判断システム20aに関連する評価だけでは検出できなかった誤差の伝搬を確認可能となる。
 また、第1実施形態によると、クローズドループは、実世界における自車両1と、実世界における外部環境EEと、認識システム10aと、判断システム20aと、制御システム30aとを循環する、自車両1と外部環境EEとのインタラクションを評価対象とする外側ループELを含む。このような外側ループELを評価することにより、認識システム10a、判断システム20a及び制御システム30aの三者の複合要因をより適切に確認することができる。
 (第2実施形態)
 図26,27に示すように、第2実施形態は第1実施形態の変形例である。第2実施形態について、第1実施形態とは異なる点を中心に説明する。
 図26に示すように、第2実施形態の運転システム202は、機能レベルにおいて、判断部220を監視する監視部221をさらに備えていてもよい。換言すると、判断システム220aを監視するサブシステムとして、監視システム221aが設けられていてもよい。一方で、監視部221ないし監視システム221aは、判断部220ないし判断システム220aに含まれる、判断部220ないし判断システム220aの一部に位置付けられていてもよい。
 図27に示すように、運転システム202は、技術レベルにおいて、監視機能を実現するための専用コンピュータ252をさらに備える。専用コンピュータ252は、判断機能を実現する処理システム250において、専用コンピュータ51と同一の基板上に構成され、オンボードで相互に通信可能となっていてもよい。一方、専用コンピュータ252は、判断機能を実現する処理システム250とは別に設けられた監視ECUの形態で実装されていてもよい。専用コンピュータ252は、例えばRSSモデル等の安全関連モデルを実現したRSSシステムであってもよい。
 専用コンピュータ252は、メモリ252a及びプロセッサ252bを、少なくとも1つずつ有している。メモリ252aは、プロセッサ252bにより読み取り可能なプログラム及びデータ等を非一時的に記憶する、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも1種類の非遷移的実体的記憶媒体であってよい。さらにメモリ252aとして、例えばRAM(Random Access Memory)等の書き換え可能な揮発性の記憶媒体が設けられていてもよい。プロセッサ252bは、例えばCPU(Central Processing Unit)、GPU(Graphics Processing Unit)、及びRISC(Reduced Instruction Set Computer)-CPU等のうち、少なくとも1種類をコアとして含む。
 専用コンピュータ252は、メモリ、プロセッサ及びインターフェースを統合的に1つのチップで実現したSoC(System on a Chip)であってもよく、専用コンピュータの構成要素としてSoCを有していてもよい。
 監視部221は、認識部10から、環境モデル、車両状態等の情報を取得し、自車両1と他の道路利用者との間に生ずるリスク及び判断部220の判断ミスによるリスクのうち、少なくとも1つを監視する。監視部221は、例えば安全エンベロープ(safety envelope)を設定する。監視部221は、自車両1及び判断部220により導出される制御アクションのうち少なくとも1つにおける、安全エンベロープの違反を検出する。
 安全エンベロープは、安全関連モデルに基づく想定に従って、設定されてよい。安全関連モデルに基づく想定は、他の道路利用者に関する合理的に予見可能な想定であってよい。こうした想定は、例えばRSSモデルにおいては、他の道路利用者の合理的に最悪の場合の想定であって、最小の安全な縦方向の距離及び最小の安全な横方向の距離が計算されることであってよい。こうした想定は、認識部10、判断部220又は監視部221によって選択されたシナリオに基づいて、設定されてよい。安全エンベロープは、自車両1の周囲に境界を定義してもよい。安全エンベロープは、他の道路利用者の運動学的特性、交通ルール、地域等に基づき、設定されてよい。
 監視部221は、安全エンベロープの違反が検出された場合に、判断部220が導出した制御アクションを変更してもよい。ここでの制御アクションの変更は、適切な応答に相当していてもよく、最小リスク条件への移行に相当していてもよく、DDTフォールバックに相当していてもよい。
 監視部221は、安全エンベロープの違反が検出された場合に、判断部220が導出した制御アクションを却下してもよい。この場合に、監視部221は、判断部220に対して制約を設定してもよい。制御アクションが却下された場合に、判断部220は、設定された制約に基づき、再び制御アクションを導出してもよい。
 監視部221が監視に用いる安全関連モデルないし数理モデルは、判断部220での判断ミスにおける定量的な過誤及び定性的な過誤を無効化可能であってよい。安全関連モデルないし数理モデルは、判断部220での判断ミスにおける定量的な過誤及び定性的な過誤による誤差を、強制的に許容範囲内に修正可能であってよい。
 すなわち、監視部221の搭載によって、判断ミスによる誤差jを実質的に0とみなすことが可能となる。一方で、車両運動外乱による誤差d、誤認識による誤差m、及び観測ノイズによる誤差nは残存し、これらの誤差はクローズドループに従って伝搬する。
 故に、監視部221の監視機能を含む運転システム202においても、サブシステム間の複合要因に対する検証及び妥当性確認は有効である。運転システム202に対しても、第1実施形態の評価方法及び設計方法を適用するとよい。また、第1実施形態と同様に、判断部220又は監視部221は、信頼度の割り当てに基づき、動的運転タスクを実現するための条件を変更することも可能である。
 以下、図28のフローチャートを用いて、運転システム202の動作フローのうち、監視システム221aによる監視機能に関する処理の一例を説明する。ステップS201~206に示される一連の処理は、運転システム202により、所定時間毎、又は所定のトリガーに基づき、繰り返し実行される。
 S201では、自車両1が現在おかれているシナリオが選択される。S201の後、S202へ移る。
 S202では、S201にて選択されたシナリオに基づいて、他の道路利用者の動きが、合理的かつ予見可能な範囲で想定される。S202の後、S203へ移る。
 S203では、S202の想定及び数理モデルに基づき、安全エンベロープが設定される。ここでの数理モデルは、判断機能での判断ミスにおける定量的な過誤及び定性的な過誤を無効化する数理モデル、又は判断機能での判断ミスにおける定量的な過誤及び定性的な過誤による誤差を、強制的に許容範囲内に修正する数理モデルである。S203の処理後、S204へ移る。
 S204では、環境モデル等の情報を用いて、安全エンベロープの違反の検出が実行される。すなわち、違反が発生したか否かが判定される。S204にて否定判定が下された場合、S205へ移る。S205にて肯定判定が下された場合、S206へ移る。
 S205では、判断機能が導出した制御アクションが採用される。S205を以て一連の処理を終了する。
 S206では、判断機能が導出した制御アクションが変更又は却下される。S206を以て一連の処理を終了する。
 (第3実施形態)
 図29に示すように、第3実施形態は第1実施形態の変形例である。第2実施形態について、第1実施形態とは異なる点を中心に説明する。
 第3実施形態の運転システム302では、認識部10と制御部30との間にて、直接的な情報の入出力は行われない。すなわち認識部10が出力する情報は、判断部20を経由して制御部30に入力される。例えば内部認識部14によって認識された車両状態、例えば自車両1の現在の速度、加速度及びヨーレートのうち少なくとも1つは、環境判断部321及び運転計画部322を経由して、又はモード管理部323及び運転計画部322を経由して、そのまま運動制御部31へ受け渡される。
 すなわち、環境判断部321及び運転計画部322もしくはモード管理部323及び運転計画部322は、内部認識部14から取得した一部の情報を加工した上で軌道計画等の形態で運動制御部31へ出力すると共に、内部認識部14から取得した他の一部の情報を、未加工の情報として運動制御部31へ出力する機能を有する。
 したがって、図5に示される因果ループの物理IFレイヤにおける認識部10と制御部30とのインタラクションは、実質的に実現されている。
 (第4実施形態)
 図30に示すように、第4実施形態は第1実施形態の変形例である。第2実施形態について、第1実施形態とは異なる点を中心に説明する。
 第4実施形態の運転システム402は、レベル2までの運転支援を実現した、ドメイン型アーキテクチャが採用された構成である。図30に基づき、技術レベルにおける運転システム402の詳細構成の一例を説明する。
 運転システム402は、第1実施形態と同様に、複数のセンサ41,42、複数の運動アクチュエータ60、複数のHMI機器70、及複数の処理システム等を備える。各処理システムは、それぞれの機能ドメイン毎に処理機能を集約したドメインコントローラである。ドメインコントローラは、第1実施形態の処理システム又はECUと同様の構成であってよい。例えば運転システム402は、処理システムとして、ADASドメインコントローラ451、パワートレインドメインコントローラ452、コックピットドメインコントローラ453、コネクティビティドメインコントローラ454等を備える。
 ADASドメインコントローラ451は、ADAS(Advanced Driver-Assistance Systems)に関係する機能を集約する。ADASドメインコントローラ451は、認識機能の一部、判断機能の一部及び制御機能の一部を、複合的に実現してよい。ADASドメインコントローラ451が実現する認識機能の一部は、例えば第1実施形態の融合部13に相当する機能又はこれを簡略化した機能であってよい。ADASドメインコントローラ451が実現する判断機能の一部は、例えば第1実施形態の環境判断部21及び運転計画部22に相当する機能又はこれを簡略化した機能であってよい。ADASドメインコントローラ451が実現する制御機能の一部は、例えば第1実施形態の運動制御部31に相当する機能のうち、運動アクチュエータ60への要求情報を生成する機能であってよい。
 具体的に、ADASドメインコントローラ451が実現する機能は、白線に沿って自車両1を走行させる車線維持支援機能、自車両1よりも前方に位置する先行他車両に所定の車間距離を空けて追走する車間距離維持機能等の、危険でないシナリオにおいて走行支援する機能である。また、ADASドメインコントローラ451が実現する機能は、他の道路利用者又は障害物と衝突しそうな場合にブレーキをかける衝突被害軽減ブレーキ機能、他の道路利用者又は障害物と衝突しそうな場合に操舵で衝突を回避する自動操舵回避機能等の、危険なシナリオにおいて適切な応答を実現する機能である。
 パワートレインドメインコントローラ452は、パワートレインの制御に関係する機能を集約する。パワートレインドメインコントローラ452は、認識機能の少なくとも一部及び制御機能の少なくとも一部を、複合的に実現してよい。パワートレインドメインコントローラ452が実現する認識機能の一部は、例えば第1実施形態の内部認識部14に相当する機能のうち、運動アクチュエータ60に対するドライバの操作状態を認識する機能であってよい。パワートレインドメインコントローラ452が実現する制御機能の一部は、例えば第1実施形態の運動制御部31に相当する機能のうち、運動アクチュエータ60を制御する機能であってよい。
 コックピットドメインコントローラ453は、コックピットに関係する機能を集約する。コックピットドメインコントローラ453は、認識機能の少なくとも一部及び制御機能の少なくとも一部を、複合的に実現していてもよい。コックピットドメインコントローラ453が実現する認識機能の一部は、例えば第1実施形態の内部認識部14のうち、HMI機器70のスイッチ状態を認識する機能であってよい。コックピットドメインコントローラ453が実現する制御機能の一部は、例えば第1実施形態のHMI出力部71に相当する機能であってよい。
 コネクティビティドメインコントローラ454は、コネクティビディに関係する機能を集約する。コネクティビティドメインコントローラ454は、認識機能の少なくとも一部を、複合的に実現してよい。コネクティビティドメインコントローラ454が実現する認識機能の一部は、通信システム43から取得した自車両1のグローバル位置データ、V2X情報等を、例えばADASドメインコントローラ451が使用可能な形式に整理及び変換する機能であってよい。
 このような第4実施形態においても、機能レベルでは、各ドメインコントローラ451,452,453,454を含む運転システム402の機能を、認識部10、判断部20及び制御部30に対応付けることが可能である。したがって、第1実施形態と同様の因果ループ構造を用いた評価が可能である。
 (他の実施形態)
 以上、複数の実施形態について説明したが、本開示は、それらの実施形態に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において種々の実施形態及び組み合わせに適用することができる。
 運転システム2は、車両以外の各種移動体に適用可能である。移動体は、例えば船舶、航空機、ドローン、建設機械、農業機械等である。
 本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサを構成する専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の装置及びその手法は、専用ハードウエア論理回路により、実現されてもよい。もしくは、本開示に記載の装置及びその手法は、コンピュータプログラムを実行するプロセッサと一つ以上のハードウエア論理回路との組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
 (用語の説明)
 本開示に関連する用語について以下に説明する。この説明は、本開示の実施形態に含まれる。
 道路利用者(road user)は、歩道及びその他の隣接するスペースを含む道路を利用する人であってよい。道路利用者は、ある場所から別の場所へ移動する目的で、アクティブな道路上に、又は隣接している道路利用者であってよい。
 動的運転タスク(dynamic driving task:DDT)は、交通において車両を操作するためのリアルタイムの操作機能及び戦術機能であってよい。
 自動運転システム(automated driving system)は、特定の運行設計領域に限定されているかどうかに関係なく、持続的に全体のDDTを実行することが可能なひとまとめのハードウェア及びソフトウェアであってよい。
 SOTIF(safety of the intended functionality)は、意図された機能又はその実装の機能不十分性に起因する不当なリスクの不在であってよい。
 運転ポリシ(driving policy)は、車両レベルにおける制御行動を定義する戦略及び規則であってよい。
 車両運動は、物理量(例えば速度、加速度)の側面で捉えた車両状態とそのダイナミクスであってよい。
 状況は、システムの挙動に影響を与え得る要因であってよい。状況、交通状況、天候、自車両の挙動を含んでいてよい。
 状況の推定は、センサから得られる状況から、状況を表すパラメータ群を電子系で再構成することであってよい。
 シナリオは、アクション及びイベントの影響を受けた特定の状況での目標及び値を含む、一連のシーン内のいくつかのシーン間の時間的関係の描写であってよい。シナリオは、特定の運転タスクを実行するプロセスにおける、主体となる車両、その全ての外部環境及びそれらのインタラクションを統合する連続した時系列の活動の描写であってよい。
 自車両の挙動は、車両運動を交通状況で解釈したものであってよい。
 トリガー条件(triggering condition)は、後続のシステムの反応であって、危険な挙動、合理的に予見可能な間接的な誤用を防止、検出及び軽減できないことに寄与する反応のきっかけとして機能するシナリオの特定の条件であってよい。
 適切な応答(proper response)は、他の道路利用者が合理的に予見可能な挙動についての想定に従って行動しているときに危険な状況を解決するアクションであってよい。
 危険な状況(hazardous situation)は、予防アクションが取られない限り、DDTに存在するリスクの増加のレベルを表すシナリオであってよい。
 安全な状況は、システムが安全を確保できる性能限界の範囲内にある状況であってよい。なお、安全な状況は、性能限界の定義により、設計上の概念となることに注意する必要がある。
 最小リスク操作(minimal risk manoeuvre:MRM)は、ノミナルと最小リスク条件との間で車両を移行する(自動)運転システムの機能であってよい。
 DDTフォールバックは、障害又は機能不十分性の検出後、もしくは潜在的に危険な挙動の検出の際に、DDT又は最小リスク条件への移行を実行するための、ドライバ又は自動システムによる応答であってよい。
 性能限界は、システムが目的を達成できる設計上の限界値であってよい。性能限界は、複数のパラメータに対して設定できる。
 運行設計領域(operational design domain:ODD)は、与えられた(自動)運転システムが機能するように設計された特定の条件であってよい。運行設計領域は、与えられた(自動)運転システム又は特徴が機能するように特別に設計された動作条件であって、環境、地理、及び時刻の制限、及び/又は特定の交通又は道路の特徴の必要な存否が含まれるが、これらに限定されない動作条件であってよい。
 (安定)制御可能範囲は、システムが目的を継続できる設計上の値の範囲であってよい。(安定)制御可能範囲は、複数のパラメータに対して設定できる。
 最小リスク条件(minimal risk condition)は、与えられたトリップを完了できない場合のリスクを軽減するための車両の条件であってよい。最小リスク条件は、与えられたトリップを完了できない場合に、衝突のリスクを軽減するために、最小リスク操作を実行した後の車両をユーザ又は自動運転システムがもたらす条件であってよい。
 引き継ぎ(takeover)は、自動運転システムとドライバとの間の運転タスクの移譲であってよい。
 不合理なリスクは、妥当な社会的道徳的概念に従って、特定の状況で許容できないと判断されたリスクであってよい。
 安全関連モデル(safety-related models)は、他の道路利用者の合理的に予見可能な挙動についての想定に基づく、運転行動の安全関連の様相の表現であってよい。安全関連モデルは、オンボード又はオフボードの安全確認装置又は安全解析装置、数理モデル、より概念的なルールのセット、シナリオベースの挙動のセット、又はこれらの組み合わせであってもよい。
 安全エンベロープ(safety envelope)は、許容可能なリスクのレベル内で操作を維持するために、(自動)運転システムが制約又は制御の対象として動作するように設計されている制限と条件のセットであってよい。安全エンベロープは、運転ポリシが準拠できる全ての原則に対応するために使用できる一般的な概念であってよく、この概念によれば、(自動)運転システムにより動作する自車両は、その周囲に1つ又は複数の境界を持つことができる。
 (付言)
 本開示には、以上の実施形態に基づく以下の技術的特徴も含まれる。
 <技術的特徴1>
 認識システム、判断システム及び制御システムをサブシステムとして備える、移動体の運転システムの評価方法であって、
 認識システムのノミナル性能を評価することと、
 判断システムのノミナル性能を評価することと、
 制御システムのノミナル性能を評価すること、を含む、評価方法。
 <技術的特徴2>
 認識システム、判断システム及び制御システムをサブシステムとして備える、移動体の運転システムの評価方法であって、
 判断システムのノミナル性能を評価することと、
 認識システムの誤差及び制御システムの誤差のうち少なくとも1つを考慮して判断システムのロバスト性能を評価することと、を含む、評価方法。
 <技術的特徴3>
 認識システム、判断システム及び制御システムをサブシステムとして備える、移動体の運転システムの評価方法であって、
 認識システムのノミナル性能、判断システムのノミナル性能及び制御システムのノミナル性能を、それぞれ独立して評価することと、
 認識システムと判断システムとの複合要因、判断システムと制御システムとの複合要因及び認識システムと制御システムとの複合要因を評価対象に含むように、運転システム全体のロバスト性能を評価することと、を含む、評価方法。
 <技術的特徴4>
 認識システム、判断システム及び制御システムをサブシステムとして備える、移動体の運転システムであって、
 各サブシステムと実世界との間のインタラクションを示すループであって、実世界における移動体と、認識システムと制御システムとを循環する、移動体内にて完結する第1のクローズドループと、
 各サブシステムと実世界との間のインタラクションを示すループであって、実世界における移動体と、実世界における外部環境と、認識システムと、判断システムと、制御システムとを循環する、移動体と外部環境とのインタラクションを含む第2のクローズドループと、を構成し、
 第1のクローズドループ及び第2のクローズドループを伝搬する誤差が所定の許容誤差内に収まるように構成されている、運転システム。
 <技術的特徴5>
 認識システム、判断システム及び制御システムをサブシステムとして備える、移動体の運転システムであって、
 各サブシステムと実世界との間のインタラクションを示すループであって、実世界における移動体と、認識システムと制御システムとを循環する、移動体内にて完結する第1のクローズドループと、
 各サブシステムと実世界との間のインタラクションを示すループであって、実世界における移動体と、実世界における外部環境と、認識システムと、判断システムと、制御システムとを循環する、移動体と外部環境とのインタラクションを含む第2のクローズドループと、を構成し、
 第1のクローズドループ及び第2のクローズドループを伝搬する誤差が所定の信頼度以上の確率で、所定の許容誤差内に収まるように構成されている、運転システム。
 <技術的特徴6>
 少なくとも1つのプロセッサを含み、移動体の運転における判断機能を監視する監視システムであって、
 プロセッサは、
 判断機能での判断ミスにおける定量的な過誤及び定性的な過誤を無効化する数理モデルに基づき、安全エンベロープの違反を検出することと、
 安全エンベロープの違反が検出された場合に、判断機能により導出された制御アクションを変更又は却下することと、を実行するように構成される、監視システム。
 <技術的特徴7>
 少なくとも1つのプロセッサを含み、移動体の運転における判断機能を監視する監視システムであって、
 プロセッサは、
 判断機能での判断ミスにおける定量的な過誤及び定性的な過誤による誤差を、強制的に許容範囲内に修正する数理モデルに基づき、安全エンベロープの違反を検出することと、
 安全エンベロープの違反が検出された場合に、判断機能により導出された制御アクションを変更又は却下することと、を実行するように構成される、監視システム。

Claims (8)

  1.  複数のサブシステム(10a,20a,220a,221a,30a)を備え、各前記サブシステムが連携して移動体(1)の動的運転タスクを実現する運転システム(2,202,302,402)の設計方法であって、
     仮設計された各前記サブシステムにおいて発生する誤差を、それぞれ算出することと、
     前記運転システム全体に許容される許容偏差を、各前記サブシステムに暫定的に割り当てることと、
     前記運転システムを伝搬する誤差の評価に基づき、各前記サブシステムに割り当てられた偏差から各前記サブシステムにそれぞれ許容される許容誤差を特定することと、
     算出された誤差とこれに対応する前記サブシステムの許容誤差とを比較した結果に基づいて、各前記サブシステムへの許容誤差の割り当てを調整することと、を含む、設計方法。
  2.  複数のサブシステム(10a,20a,220a,221a,30a)を備え、各前記サブシステムが連携して移動体(1)の動的運転タスクを実現する運転システム(2,202,302,402)の設計方法であって、
     各前記サブシステム間の複合要因を評価するための、各前記サブシステム間に共通の尺度として、各前記サブシステムに信頼度を導入することと、
     前記運転システムの仕様に基づき、各サブシステムに信頼度を割り当てることと、
     各前記サブシステムにおいて発生し、前記運転システムを伝搬する誤差が、所定の信頼度以上の確率で許容誤差内に収まるように、各前記サブシステムの仕様を決定することと、を含む、設計方法。
  3.  前記運転システムを伝搬する誤差は、各前記サブシステムと実世界との間のインタラクションをループ構造としてモデル化したクローズドループ(IL,EL,SL)に従って、評価される、請求項1又は2に記載の設計方法。
  4.  前記複数のサブシステムは、認識システム(10a)と、判断システム(20a,220a)と、制御システム(30a)とを含む、請求項3に記載の設計方法。
  5.  前記クローズドループは、前記実世界における前記移動体と、前記認識システムと、前記制御システムとを循環する、前記移動体内にて完結するループ(IL)を含む、請求項4に記載の設計方法。
  6.  前記クローズドループは、前記実世界における前記移動体と、前記実世界における外部環境(EE)と、前記認識システムと、前記判断システムと、前記制御システムとを循環する、前記移動体と前記外部環境とのインタラクションを評価対象とするループ(EL)を含む、請求項4又は5に記載の設計方法。
  7.  複数のサブシステム(10a,20a,220a,221a,30a)を備え、各前記サブシステムが連携して移動体(1)の動的運転タスクを実現する運転システムであって、
     各前記サブシステム間での共通の尺度である信頼度の割り当てであって、割り当てカテゴリ毎に定められた、各前記サブシステムへの前記信頼度の割り当てを記憶している少なくとも1つの記憶媒体(51a,53,55a)と、
     前記信頼度の割り当てに基づき、前記動的運転タスクを実現するための条件を変更することを実行するように構成されている少なくとも1つのプロセッサ(51b)と、を備える、運転システム。
  8.  前記複数のサブシステムは、認識システム(10a)と、判断システム(20a,220a)と、制御システム(30a)とを含み、
     前記記憶媒体は、シナリオのカタログを構築したシナリオデータベース(53)を含み、
     前記プロセッサは、前記移動体が現在おかれている前記シナリオを選択することと、をさらに実行するように構成され、前記条件を変更することにおいて、前記シナリオに対応して定められた前記信頼度の割り当てを参照し、前記認識システムの信頼度と前記制御システムの信頼度との積の値に基づいて、縮退行動に遷移するか否かを判断する、請求項7に記載の運転システム。
PCT/JP2023/000826 2022-01-25 2023-01-13 運転システムの設計方法及び運転システム WO2023145490A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023576785A JPWO2023145490A5 (ja) 2023-01-13 運転システムの設計方法、設計プログラム及び運転システム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022009646 2022-01-25
JP2022-009646 2022-01-25

Publications (1)

Publication Number Publication Date
WO2023145490A1 true WO2023145490A1 (ja) 2023-08-03

Family

ID=87471319

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2023/000826 WO2023145490A1 (ja) 2022-01-25 2023-01-13 運転システムの設計方法及び運転システム

Country Status (1)

Country Link
WO (1) WO2023145490A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116913132A (zh) * 2023-09-12 2023-10-20 武汉理工大学 基于域集中式架构的前向碰撞预警系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005518992A (ja) * 2002-03-01 2005-06-30 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング システムにおける安全性を判定し,かつその安全性を得るための装置,方法および対応するコンピュータプログラム
JP2015051761A (ja) * 2013-09-09 2015-03-19 ホンダ リサーチ インスティテュート ヨーロッパ ゲーエムベーハーHonda Research Institute Europe GmbH アクティブ車両制御のための運転支援技術
US20150175070A1 (en) * 2013-12-20 2015-06-25 Ford Global Technologies, Llc Affective user interface in an autonomous vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005518992A (ja) * 2002-03-01 2005-06-30 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング システムにおける安全性を判定し,かつその安全性を得るための装置,方法および対応するコンピュータプログラム
JP2015051761A (ja) * 2013-09-09 2015-03-19 ホンダ リサーチ インスティテュート ヨーロッパ ゲーエムベーハーHonda Research Institute Europe GmbH アクティブ車両制御のための運転支援技術
US20150175070A1 (en) * 2013-12-20 2015-06-25 Ford Global Technologies, Llc Affective user interface in an autonomous vehicle

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116913132A (zh) * 2023-09-12 2023-10-20 武汉理工大学 基于域集中式架构的前向碰撞预警系统
CN116913132B (zh) * 2023-09-12 2024-01-09 武汉理工大学 基于域集中式架构的前向碰撞预警系统

Also Published As

Publication number Publication date
JPWO2023145490A1 (ja) 2023-08-03

Similar Documents

Publication Publication Date Title
CN103158705B (zh) 用于控制本车的方法和系统
US20190235521A1 (en) System and method for end-to-end autonomous vehicle validation
US11242040B2 (en) Emergency braking for autonomous vehicles
EP3659002B1 (en) Vehicle interface for autonomous vehicle
JP2023533507A (ja) 人間の運転振る舞いに基づいて軌跡プランナを最適化するシステム及び方法
US11834071B2 (en) System to achieve algorithm safety in heterogeneous compute platform
WO2023145490A1 (ja) 運転システムの設計方法及び運転システム
WO2023145491A1 (ja) 運転システムの評価方法及び記憶媒体
CN116872921A (zh) 一种车辆规避风险方法、系统、车辆及存储介质
US20230256999A1 (en) Simulation of imminent crash to minimize damage involving an autonomous vehicle
WO2023120505A1 (ja) 方法、処理システム及び記録装置
WO2022168672A1 (ja) 処理装置、処理方法、処理プログラム、処理システム
WO2022168671A1 (ja) 処理装置、処理方法、処理プログラム、処理システム
JP7428272B2 (ja) 処理方法、処理システム、処理プログラム、処理装置
WO2023228781A1 (ja) 処理システム及び情報提示装置
WO2023189680A1 (ja) 処理方法、運転システム、処理装置、処理プログラム
WO2024043011A1 (ja) 車両予測機能の検証
WO2022202002A1 (ja) 処理方法、処理システム、処理プログラム
WO2022202001A1 (ja) 処理方法、処理システム、処理プログラム
JP7364111B2 (ja) 処理方法、処理システム、処理プログラム
US20230243952A1 (en) Unified radar perception architecture
EP4202476A1 (en) Anomaly prioritization using dual-mode adaptive radar
JP7428273B2 (ja) 処理方法、処理システム、処理プログラム、記憶媒体、処理装置
US20230204738A1 (en) Emulation of a lidar sensor using historical data collected by a lidar having different intrinsic attributes
US20230280457A1 (en) Radar detector with velocity profiling

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23746704

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2023576785

Country of ref document: JP