知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6802391
(24)【登録日】2020年11月30日
(45)【発行日】2020年12月16日
(54)【発明の名称】車両制御装置および電子制御システム
(51)【国際特許分類】
B60W 50/02 20120101AFI20201207BHJP
B60W 60/00 20200101ALI20201207BHJP
B60W 30/08 20120101ALI20201207BHJP
【FI】
B60W50/02
B60W60/00
B60W30/08
【請求項の数】12
【全頁数】18
(21)【出願番号】特願2019-562902(P2019-562902)
(86)(22)【出願日】2018年12月4日
(86)【国際出願番号】JP2018044483
(87)【国際公開番号】WO2019131002
(87)【国際公開日】20190704
【審査請求日】2020年1月31日
(31)【優先権主張番号】特願2017-248462(P2017-248462)
(32)【優先日】2017年12月25日
(33)【優先権主張国】JP
(73)【特許権者】
【識別番号】509186579
【氏名又は名称】日立オートモティブシステムズ株式会社
(74)【代理人】
【識別番号】110001829
【氏名又は名称】特許業務法人開知国際特許事務所
(72)【発明者】
【氏名】坂本 英之
(72)【発明者】
【氏名】鳥羽 忠信
(72)【発明者】
【氏名】中村 敏明
【審査官】
増子 真
(56)【参考文献】
【文献】
特開2003−115847(JP,A)
【文献】
特許第6189004(JP,B2)
【文献】
特開2017−222328(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60W 50/02
B60R 16/02
B60W 50/023
G05B 9/02
G06F 11/16 − 11/20
(57)【特許請求の範囲】
【請求項1】
車両の駆動装置に制御指令を生成する制御指令生成部と、
上記車両の外界情報を認識する外界認識部と、
上記制御指令生成部の動作を監視する監視部と、この監視部が上記制御指令生成部の異常を検出したときに、上記制御指令生成部をリセットするリセット生成部とを有する監視回路と、
上記車両の駆動装置に、上記制御指令生成部が生成する制御指令より縮退した制御指令を生成する縮退制御部と、
を備え、
上記監視部は、上記制御指令生成部に異常が発生してから第1の異常検出時間で上記制御指令生成部の異常を検出する第1の監視部と、上記制御指令生成部に異常が発生してから、上記第1の異常検出時間より長い第2の異常検出時間で上記制御指令生成部の異常を検出する第2の監視部とを有し、
上記監視回路は、上記外界認識部が認識した上記車両の外界情報に基いて、上記第1の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットするか、上記第2の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットするかを判断し、
上記第2の異常検出時間は、上記制御指令生成部に異常が発生した後、上記縮退制御部の制御移行が終了する時間以上に設定され、
上記外界認識部が認識した上記車両の外界情報により、上記縮退制御部が上記縮退制御指令を生成する必要があると判断した場合には、上記監視回路は、上記第2の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットすることを特徴とする車両制御装置。
上記車両の外界情報を認識する外界認識部と、
上記制御指令生成部の動作を監視する監視部と、この監視部が上記制御指令生成部の異常を検出したときに、上記制御指令生成部をリセットするリセット生成部とを有する監視回路と、
上記車両の駆動装置に、上記制御指令生成部が生成する制御指令より縮退した制御指令を生成する縮退制御部と、
を備え、
上記監視部は、上記制御指令生成部に異常が発生してから第1の異常検出時間で上記制御指令生成部の異常を検出する第1の監視部と、上記制御指令生成部に異常が発生してから、上記第1の異常検出時間より長い第2の異常検出時間で上記制御指令生成部の異常を検出する第2の監視部とを有し、
上記監視回路は、上記外界認識部が認識した上記車両の外界情報に基いて、上記第1の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットするか、上記第2の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットするかを判断し、
上記第2の異常検出時間は、上記制御指令生成部に異常が発生した後、上記縮退制御部の制御移行が終了する時間以上に設定され、
上記外界認識部が認識した上記車両の外界情報により、上記縮退制御部が上記縮退制御指令を生成する必要があると判断した場合には、上記監視回路は、上記第2の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットすることを特徴とする車両制御装置。
【請求項2】
請求項1に記載の車両制御装置において、
上記縮退制御部は、監視回路が有することを特徴とする車両制御装置。
上記縮退制御部は、監視回路が有することを特徴とする車両制御装置。
【請求項3】
請求項1または2に記載の車両制御装置において、
上記外界認識部は、上記車両がこの車両の周囲の物体と衝突可能性が高いか低いかを判断し、衝突可能性が低い判断した場合には、上記監視回路は、上記第1の監視部の異常検出結果に基づき上記制御指令生成部をリセット生成部によりリセットし、リセットした後に、上記制御指令生成部の制御指令生成動作を復帰させることを特徴とする車両制御装置。
上記外界認識部は、上記車両がこの車両の周囲の物体と衝突可能性が高いか低いかを判断し、衝突可能性が低い判断した場合には、上記監視回路は、上記第1の監視部の異常検出結果に基づき上記制御指令生成部をリセット生成部によりリセットし、リセットした後に、上記制御指令生成部の制御指令生成動作を復帰させることを特徴とする車両制御装置。
【請求項4】
請求項1または2に記載の車両制御装置において、
上記外界認識部は、上記車両がこの車両の周囲の物体と衝突可能性が高いか低いかを判断し、衝突可能性が高いと判断した場合には、上記監視回路は、上記第1の監視部の異常検出結果に基づき上記縮退制御部に制御指令生成部異常を通知し、上記第2の監視部の異常検出結果に基づき上記制御指令生成部をリセット生成部によりリセットすることを特徴とする車両制御装置。
上記外界認識部は、上記車両がこの車両の周囲の物体と衝突可能性が高いか低いかを判断し、衝突可能性が高いと判断した場合には、上記監視回路は、上記第1の監視部の異常検出結果に基づき上記縮退制御部に制御指令生成部異常を通知し、上記第2の監視部の異常検出結果に基づき上記制御指令生成部をリセット生成部によりリセットすることを特徴とする車両制御装置。
【請求項5】
請求項1から4のうちのいずれか一項に記載の車両制御装置において、
異常検出回数により設定される判定基準1と、この判定基準1より異常検出回数が大の判定基準2とが設定され、上記第1の異常検出時間を上記判定基準1に対応させ、上記第2の異常検出時間を上記判定基準2に対応させ、上記第1の異常検出時間と上記第2の異常検出時間とに時間差を持たせていることを特徴とする車両制御装置。
異常検出回数により設定される判定基準1と、この判定基準1より異常検出回数が大の判定基準2とが設定され、上記第1の異常検出時間を上記判定基準1に対応させ、上記第2の異常検出時間を上記判定基準2に対応させ、上記第1の異常検出時間と上記第2の異常検出時間とに時間差を持たせていることを特徴とする車両制御装置。
【請求項6】
請求項1から4のうちのいずれか一項に記載の車両制御装置において、
上記第1の監視部と上記第2の監視部とは、異常検出の判断基準が互いに異なることを特徴とする車両制御装置。
上記第1の監視部と上記第2の監視部とは、異常検出の判断基準が互いに異なることを特徴とする車両制御装置。
【請求項7】
請求項6に記載の車両制御装置において、
上記第2の監視部の異常検出の判断基準は、上記第1の監視部の異常検出の判断基準に比較して重度の異常に対するものであることを特徴とする車両制御装置。
上記第2の監視部の異常検出の判断基準は、上記第1の監視部の異常検出の判断基準に比較して重度の異常に対するものであることを特徴とする車両制御装置。
【請求項8】
請求項4に記載の車両制御装置において、
上記外界認識部は、上記車両の走行軌道を予測して生成し、生成した上記車両の走行軌道における衝突可能性を判断することを特著とする車両制御装置。
上記外界認識部は、上記車両の走行軌道を予測して生成し、生成した上記車両の走行軌道における衝突可能性を判断することを特著とする車両制御装置。
【請求項9】
請求項4に記載の車両制御装置において、
上記外界認識部は、上記車両から周囲の物体までの距離に応じて衝突可能性を判断することを特徴とする車両制御装置。
上記外界認識部は、上記車両から周囲の物体までの距離に応じて衝突可能性を判断することを特徴とする車両制御装置。
【請求項10】
請求項4に記載の車両制御装置において、
上記外界認識部は、上記車両が走行する走行道路の形状に応じて衝突可能性を判断することを特徴とする車両制御装置。
上記外界認識部は、上記車両が走行する走行道路の形状に応じて衝突可能性を判断することを特徴とする車両制御装置。
【請求項11】
請求項4に記載の車両制御装置において、
上記外界認識部は、上記車両の外界情報の量に応じて衝突可能性を判断することを特徴とする車両制御装置。
上記外界認識部は、上記車両の外界情報の量に応じて衝突可能性を判断することを特徴とする車両制御装置。
【請求項12】
外界認識部と、
駆動装置を駆動する第1制御部と、
上記外界認識部から情報が入力され、上記第1制御部へ制御指令を送信する第2制御部と、
上記第2制御部が異常を検知している場合に、制御移行されて縮退動作を上記第1制御部へ指令する第3制御部と、
を備え、
上記第2制御部は、上記外界認識部が外部の物体との衝突可能性が高い外界状況であると判断した場合に、上記第2制御部の異常を検知したときは、上記第3制御部へ制御移行した後に、上記第2制御部のリセットを実行し、
上記外界認識部が外部の物体との衝突可能性が低い外界状況であると判断した場合に、上記第2制御部の異常を検知したときは、上記第2制御部のリセットを実行した後に、制御指令動作を復帰することを特徴とする電子制御システム。
駆動装置を駆動する第1制御部と、
上記外界認識部から情報が入力され、上記第1制御部へ制御指令を送信する第2制御部と、
上記第2制御部が異常を検知している場合に、制御移行されて縮退動作を上記第1制御部へ指令する第3制御部と、
を備え、
上記第2制御部は、上記外界認識部が外部の物体との衝突可能性が高い外界状況であると判断した場合に、上記第2制御部の異常を検知したときは、上記第3制御部へ制御移行した後に、上記第2制御部のリセットを実行し、
上記外界認識部が外部の物体との衝突可能性が低い外界状況であると判断した場合に、上記第2制御部の異常を検知したときは、上記第2制御部のリセットを実行した後に、制御指令動作を復帰することを特徴とする電子制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動運転システムの車両制御装置および電子制御システムに関する。【背景技術】
【0002】
高度な自動運転システムの実現に向け、自動運転を制御する上位の制御装置であるECU(Electronic Control Unit)には、例えば自動運転制御のための演算を行う演算処理装置(マイコン)に障害が発生したような際においても、ドライバに運転操作を引き渡すまでの一定期間、動作を継続することが求められる。【0003】
特許文献1には、メイン制御装置のマイコンの動作が正常な状態であって、このマイコンの電源電圧が適正範囲から外れているときには、複数のサブ制御装置の制御機能を部分的に制限する車両の制御装置が開示されている。【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2015−93498号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
自動運転システムは、例えば、制御指令を出力する車両制御装置と、車両制御装置からの制御指令に基づいて、エンジン制御、ブレーキ制御、パワーステアリング制御などをそれぞれに実施する複数のアクチュエータ制御装置とで構成される。【0006】
ここで、自動運転システムにおいては、機能安全上から、例えば、マイコン内のプログラム暴走を監視するウォッチドックタイマ等、マイコンの動作について診断回路によって監視し、マイコンの異常を検知してフェール処理を実施することが望まれるが、マイコンの異常に対して一律にマイコンを停止(リセット)させるなどの処理を実施した場合、自動運転システムの機能が停止することになる。【0007】
しかし、自動運転システムの機能が突然停止すると、車両搭乗者が車両の運転を引き継ぐ必要があるが、車両搭乗者が運転を引き継ぐまでの時間が生じるため、車両システムによる制御補間が必要であり、そのための技術が要求される。【0008】
上記課題を解決する手段として、特許文献1では、マイコンの動作が正常な状態でマイコンの電源電圧が適正範囲から外れている場合の制御について記載があるが、マイコン過負荷などの要因によるマイコン自体の動作異常も考慮する必要があり、マイコンのリセット回避は困難である。【0009】
また、複数の駆動力源を調停するECUのマイコンが異常となったとき、それを、駆動源を制御するECUに適切に通知し、アイドリング走行や緊急停止等を行い、駆動力の異常の発生を防止することが考えられる。【0010】
しかし、マイコン異常時に外部の駆動動力源を制御するECUにマイコン異常を通知しても、自車両の外界の状況によっては、制御規模の大きさから適切な制御移行ができない懸念がある。【0011】
そこで、自動運転システムの動作制御を行う制御マイコンの動作に異常が検知された場合に、制御マイコンから縮退用の制御マイコンに制御を移行する方法が考えられる。【0012】
しかしながら、縮退用の制御マイコンが異常通知を受信後に制御を切り替えるための、制御の移行時間すなわち制御の空白区間を避けることは困難であり、その制御移行リスクを伴うことになる。【0013】
また、その制御移行リスクは自車周囲の物体との関係によっても異なるといった問題がある。【0014】
本発明は、上記問題点に鑑みなされたものであり、その目的は、制御装置における演算処理部に動作異常が発生した場合においても、縮退用の制御マイコンに安全に制御移行することができ、安全性の向上が可能な車両制御装置および電子制御システムを実現することである。【課題を解決するための手段】
【0015】
上記目的を達成するため、本発明は次のように構成される。【0016】
車両制御装置において、車両の駆動装置に制御指令を生成する制御指令生成部と、上記車両の外界情報を認識する外界認識部と、上記制御指令生成部の動作を監視する監視部と、この監視部が上記制御指令生成部の異常を検出したときに、上記制御指令生成部をリセットするリセット生成部とを有する監視回路と、上記車両の駆動装置に、上記制御指令生成部が生成する制御指令より縮退した制御指令を生成する縮退制御部と、を備え、上記監視部は、上記制御指令生成部に異常が発生してから第1の異常検出時間で上記制御指令生成部の異常を検出する第1の監視部と、上記制御指令生成部に異常が発生してから、上記第1の異常検出時間より長い第2の異常検出時間で上記制御指令生成部の異常を検出する第2の監視部とを有し、上記監視回路は、上記外界認識部が認識した上記車両の外界情報に基いて、上記第1の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットするか、上記第2の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットするかを判断し、上記第2の異常検出時間は、上記制御指令生成部に異常が発生した後、上記縮退制御部の制御移行が終了する時間以上に設定され、上記外界認識部が認識した上記車両の外界情報により、上記縮退制御部が上記縮退制御指令を生成する必要があると判断した場合には、上記監視回路は、上記第2の監視部の異常検出に従って上記リセット生成部により上記制御指令生成部をリセットする。 。
【0017】
また、電子制御システムにおいて、外界認識部と、駆動装置を駆動する第1制御部と、上記外界認識部から情報が入力され、上記第1制御部へ制御指令を送信する第2制御部と、上記第2制御部が異常を検知している場合に、制御移行されて縮退動作を上記第1制御部へ指令する第3制御部と、を備え、上記第2制御部は、上記外界認識部が外部の物体との衝突可能性が高い外界状況であると判断した場合に、上記第2制御部の異常を検知したときは、上記第3制御部へ制御移行した後に、上記第2制御部のリセットを実行し、上記外界認識部が外部の物体との衝突可能性が低い外界状況であると判断した場合に、上記第2制御部の異常を検知したときは、上記第2制御部のリセットを実行した後に、制御指令動作を復帰する。【発明の効果】
【0018】
本発明によれば、制御装置における演算処理部に動作異常が発生した場合においても、縮退用の制御マイコンに安全に制御移行することができ、安全性の向上が可能な車両制御装置および電子制御システムを実現することができる。【図面の簡単な説明】
【0019】
【図1】本発明が適用される車両に備えられる自動運転システムの概略構成図である。
【図2】本発明の実施例1における自律走行制御部(第1ECU)の内部構成を示す図である。
【図3】本発明の実施例1における縮退要求信号と制御マイコンのリセットタイミングの関係を示す表である。
【図4】本発明の実施例1における縮退動作を実行する場合の制御移行時タイムチャートである。
【図5】本発明の実施例1における自車の衝突ポテンシャルが低い場合の動作制御のタイミングチャートである。
【図6】本発明の実施例2における自律走行制御部(第1ECU)の内部構成を示す図である。
【図7】本発明の実施例3における異常検出クライテリアと検出時間の説明図である。
【図8】本発明の実施例4における自律走行制御部(第1ECU)の内部構成を示す図である。
【図9】本発明の実施例4における縮退要求信号と制御マイコンのリセットタイミングの関係を示す表である。
【図10】本発明の実施例5における電子制御システム(自律走行制御システム)の動作機能ブロック図である。
【図11】実施例5における故障発生時の動作タイミングチャートである。
【図12】本発明の実施例1〜5において外界状況により縮退要求信号をどのように設定するかについての説明図である
【発明を実施するための形態】
【0020】
以下、本発明の実施形態について添付図面を参照して説明する。【実施例】
【0021】
(自動運転システムの構成例)まず、本発明が適用される自動運転システム(車両制御システム)の構成について説明する。
【0022】
図1は、本発明が適用される車両に備えられる自動運転システムの概略構成図である。図1において、自動運転システムは、車両の外界状況を認識するための外界認識センサである、カメラ(第1センサ)1と、レーダ(第2センサ)2と、自車位置センサ(第3センサ)3と、自動運転を設定するための自動運転設定部4とを備える。【0023】
さらに、自動運転システムは、自律走行制御部(第1ECU)11(車両制御装置)と、縮退制御部(第2ECU)12と、ブレーキ制御部(第3ECU)13と、エンジン制御部(第4ECU)14と、パワーステアリング制御部(第5ECU)15とを備える。【0024】
なお、ブレーキ制御部13、エンジン制御部14、及びパワーステアリング制御部15は、車両の動作を制御する駆動装置制御部又はアクチュエータ制御部とすることができる。【0025】
カメラ1、レーダ2、自車位置センサ3、自律走行制御部11、縮退制御部12、ブレーキ制御部13、エンジン制御部14、パワーステアリング制御部15は、車載ネットワーク(例えば、CAN(Controller Area Network、コントローラエリアネットワーク)やEthernet(登録商標)等)によって相互に通信可能となるよう接続される。【0026】
縮退制御部12は、自律走行制御部11が失陥した際にバックアップとして適切な縮退制御を実行するように動作する制御装置であるが、自律走行制御部11が失陥した場合においても自律走行制御部11内に、縮退制御機能を持たせることで安全が担保できるのであれば、縮退制御部12は不要である。【0027】
ブレーキ制御部13は、車両のブレーキ制御(制動力制御)を行う制御装置であり、エンジン制御部14は、車両の駆動力を発生するエンジンを制御する制御装置である。また、パワーステアリング制御部15は、車両のパワーステアリングを制御する制御装置である。【0028】
自車位置センサ3は、GPS(Global Positioning System)などの測位用衛星からの電波を用いて、自車両の位置を取得する装置である。自車位置センサ3は、取得した自車位置情報を自律走行制御部11に出力する。なお、自車位置センサ3は、GPS以外の測位システムを用いて自車位置情報を取得しても良い。【0029】
また、自車位置センサ3内部には、自動運転で使用する地図データを保持するメモリを有しており、道路の道幅、車線数、勾配、カーブの曲率、交差点の形状、制限速度情報などの地図データが格納される。なお、地図データは自律走行制御部11内部に格納されていても良い。【0030】
自動運転設定部4は、自動運転時の目的地、ルート、走行速度などを設定する装置である。自動運転設定部4は、搭乗者が設定を行うための入力装置(図示せず)を有する。【0031】
この入力装置には、例えば、搭乗者が自動運転システムを起動するための開始スイッチを始め、ボタンやタッチパネルといった物理的な入力装置、カメラや赤外線を用いたジェスチャ入力装置、音声入力装置などが該当する。自動運転設定部4は、入力装置を介して搭乗者が入力した情報を自動走行制御部11に出力する。【0032】
ここで、自律走行制御部11が、自動運転設定部4により自動運転の要求を受け付けると、カメラ1、レーダ2、自車位置センサ3など外界の情報を基に車両が移動する軌道を算出し、自律走行制御部11は、前述したルート通りに車両を移動させるように、ブレーキや駆動力などの制御指令を、ブレーキ制御部13、エンジン制御部14、及びパワーステアリング制御部15に出力する。【0033】
ブレーキ制御部13、エンジン制御部14、パワーステアリング制御部15は、自律走行制御部11から自動走行制御の制御指令を受けて、各制御対象(アクチュエータ(駆動装置))に操作信号を出力する。【0034】
(実施例1)本発明の実施例1について以下に説明する。
【0035】
図2は、実施例1における自律走行制御部(第1ECU)11の内部構成を示す図である。【0036】
図2において、自律走行制御部11内の外界認識マイコン(外界認識部)10bが、第1センサ1、第2センサ2、又は第3センサ3等の外界センサからの情報に基づき、車両の外界情報を認識し、認識した車両外界情報に基づいて、制御マイコン11bがリセットした場合に自車の衝突ポテンシャルが高いと判断している状況とする。【0037】
この状況下で、監視回路11hが制御マイコン11bの動作異常を検出すると、縮退用制御マイコン(縮退用制御部)12bに制御移行した後に制御マイコン11bをリセットする例を以下に説明する。【0038】
ここで、制御マイコン11bは外部のアクチュエータ(駆動装置)制御部への制御指令を生成する制御指令生成部と定義する。【0039】
自動運転の走行制御装置である自律走行制御部11は、外界認識マイコン10bと制御マイコン11bの2つのマイコンを有している。外界認識マイコン10bは、通信回路10c(通信回路0)と通信回路10d(通信回路1)を備えている。また、制御マイコン11bは、通信回路11c(通信回路2)を備えている。【0040】
また、自律走行制御部11が失陥した際に自律走行制御部11に代わって動作する縮退制御部12には、縮退用制御マイコン12bと通信回路12c(通信回路3)を備えている。縮退用制御マイコン12bは、制御マイコン11bが生成する制御指令より、縮退した制御指令を生成する。【0041】
図2において、自律走行制御部11は外界認識マイコン10bと制御マイコン11bを備え、縮退制御部12は縮退用制御マイコン12bを備えているが、例えば、自律走行制御部11内に外界認識マイコン10b、制御マイコン11bと縮退用制御マイコン12bとを配置しても良い。【0042】
また、自律走行制御部11内に制御マイコン11bと縮退用制御マイコン12bとを有し、外界認識マイコン10bを自律走行制御部11以外の制御部に配置しても良い。【0043】
外界認識マイコン10bには、通信回路10cを介して、外界センサである、カメラ1(第1センサ)、レーダ2(第2センサ)、および自車位置センサ3(第3センサ)からセンサ情報(外界認識情報)が伝達される。外界認識マイコン10bは伝達されたセンサ情報に基づいて外界の状況を認識し、自車両が移動する軌道情報を生成する。【0044】
このため、外界認識マイコン10bは軌道情報生成部と定義することができる。【0045】
外界認識マイコン10bは、軌道情報通信ライン10kを介し、生成した軌道情報を制御マイコン11bに送信する。制御マイコン11bは、通信回路11c(通信回路2)を介して、外部から、図示していない車輪速センサ、加速度センサ、ヨーレートセンサ等の外界認識センサの情報(これらの情報も外界認識情報に含まれる)を外部ECU(制御装置)から受信しており、それらの情報と外界認識マイコン10bが演算した軌道情報とに基づいて、ブレーキ制御部13(第3ECU)、エンジン制御部14(第4ECU)、パワーステアリング制御部15(第5ECU)に、それぞれのアクチュエータ制御指令を生成し送信する。【0046】
制御マイコン11bには、制御マイコン11bを監視する監視回路11hが接続されており、監視回路11hは、異常検出時間T1(第1異常検出時間)で制御マイコン11bの異常を検出する第1の監視部と、異常検出時間T1よりも検出時間が長い異常検出時間T2(第2異常検出時間)で制御マイコン11bを異常検出する第2の監視部とを備えている。【0047】
第1の監視部と第2の監視部とは、異常検出の判断基準が互いに異なるように構成されている。第1の監視部の異常検出の判断基準は軽度の異常に対するものであり、第2の監視部の異常検出の判断基準は第1の監視部の異常検出の判断基準に比較して重度の異常に対するものである。【0048】
第1の監視部は、制御マイコン11bのプログラム動作の正常性を判断するウォッチドックタイマ11i(WDT部)である。制御マイコン11bのパルス出力部11dより通信ライン11fを介して一定周期のHigh/Lowパルス信号が出力され、ウォッチドックタイマ11i(WDT部)でパルス出力部11dの正常性を判断する。【0049】
第2の監視部は、制御マイコン11bの演算部11eの正常性を判断する演算論理照合部11jである。監視回路11hと制御マイコン11bとの間で通信ライン11gを介した双方向通信により、定期的に演算論理照合部11jが質問信号(例えば、あるランダムな数値とその数値を使用した演算式)を制御マイコン11bの演算部11eに送信する。【0050】
そして、その質問信号に対応する演算部11eの回答信号が演算論理照合部11jで予め算出された期待値と照合され、制御マイコン11bの正常性を判断する。【0051】
第2の監視部は演算論理の照合であり、照合不一致の場合に異常カウンタをカウントアップする仕様とし、最終的に異常を判定するクライテリアを設定することにより異常検出時間を調整可能である。このようにして異常検出時間T1よりも長い異常検出時間T2を予め設定する。【0052】
第1の監視部と第2の監視部とを監視部と総称する。【0053】
なお、制御マイコン11bを監視する監視回路11hはロジック回路であり、外界認識マイコン10bに内蔵することも可能である。【0054】
一方、外界認識マイコン10bは、伝達されたセンサ情報に基づいて外界の状況を認識し、自車両が移動する軌道情報を生成するマイコンであり、定期的に周囲物体との衝突ポテンシャルを演算している。【0055】
外界認識マイコン10bは仮に制御マイコン11bに異常が発生して、制御マイコン11bがリセットされる場合に、自動運転制御を制御マイコン11bから縮退制御マイコン12bに移行する縮退要求信号10fを監視回路11hに出力する。【0056】
外界認識マイコン10bの縮退要求信号発生部10eから出力される縮退要求信号10fは、自車の突ポテンシャルが低い場合はLow出力で、衝突ポテンシャルが高い場合はHighにトグルする仕様である。【0057】
監視回路11hのリセット時期切り替え部11sには、第1の監視部であるWDT部11iと第2の監視部である演算論理照合部11jとの双方から制御マイコン11b異常検出信号が入力されている。そして、リセット時期切り替え部11sは、縮退要求信号10fにより、WDT部11i及び演算論理照合部11jのどちらからの信号で制御マイコン11bをリセットするかを決定する。【0058】
言い換えると、縮退要求信号10fにより異常検出時間T1でリセットするか異常検出時間T2でリセットするかが決定される。異常通知信号生成部11qは、リセット時期切り替え部11sから供給される信号に従って異常通知信号11uを外界認識マイコン10bに供給する。【0059】
図3は、本発明の実施例1における縮退要求信号10fと異常通知信号11u、制御マイコン11bのリセットタイミングを示す表である。【0060】
図3において、縮退要求信号10fがLowの場合は、制御マイコン11bに異常が検出されても異常検出信号11uは出力されず、制御マイコン11bは異常検出時間T1でリセットされる。一方、縮退要求信号10fがHighの場合は、制御マイコン11bに異常が検出されると異常通知信号11uが出力され、制御マイコン11bは異常検出時間T2でリセットされる。【0061】
図4は、本発明の実施例1における縮退動作を実行する場合の制御移行時タイムチャートである。【0062】
図4において、タイミング(t0)では、制御マイコン11bは外部のアクチュエータ制御部への制御指令を出力しており、縮退用制御マイコン12bはスタンバイ状態である。縮退要求信号はタイミング(t0)の時点ではLow出力だが、タイミング(t1)において衝突ポテンシャルが高まったことによりHighとなる。【0063】
この後のタイミング(t2)において制御マイコン11bに故障が発生した場合、故障発生から異常検出時間T1を経過した後のタイミング(t3)において異常通知信号(11u)がHighとなり(WDT部11iによる異常検出1)、外界認識マイコン10b、通信回路10d及び通信回路12cを介して縮退用制御マイコン12bに制御マイコン異常(制御指令生成部異常)が通知され、縮退用制御マイコン12bへの制御の移行が開始される。【0064】
制御移行期間T3を経過したタイミング(t4)にて縮退用制御マイコン12bの移行準備が終了し、故障発生から異常検出時間T2が経過したタイミング(t5)にて制御マイコン11bのリセットが実施される(演算論理照合部11jによる異常検出2)。【0065】
なお、タイミング(t2)のタイミングで発生する故障(パルス出力部11dの異常)が、過渡的な故障である場合は、第1の監視手段で異常判定されても、第2の監視手段はより深いレベルの異常判定(演算部11eが異常か否か)とすることで、異常判定されないシーンもあり、その場合には、タイミング(t5)で制御マイコン11bはリセットされず制御も継続することになる。【0066】
例えば、ノイズにより、パルス出力部11dに異常が発生したと判定されたとしても、演算部11eには異常が発生していないと判定される場合があり、そのときには、制御マイコン11bはリセット生成部11tからのリセット信号11rにより、リセットされることはなく、制御マイコン11bによる制御が継続される。【0067】
ノイズにより、パルス出力部11dは異常と判定することにより、縮退用制御マイコン12bは、制御移行動作を経て縮退制御を実行することになり、この縮退制御動作と制御マイコン11bによる制御とが並行して実行されてしまうことになる。【0068】
この場合、ブレーキ制御部3、エンジン制御部14及びパワーステアリング制御部15は、制御マイコン11bからの制御指令を優先するように予め定められている。これによって、制御マイコン11bによる制御が継続される。【0069】
以上のように、本発明の実施例1によれば、衝突ポテンシャルが高いシーンで制御マイコン11bに異常が検出された場合でも、制御の空白期間を生ずることなく、縮退用制御マイコン12bに安全に制御移行が可能となる。また、ノイズ発生等の過渡的な故障である場合には、制御は主縮退制御に移行されず、制御マイコン11bによる制御を継続することができるため安全性が確保される。【0070】
特に、上記異常検出時間T2を、異常検出時間T1と縮退制御マイコン12bの制御移行期間T3とを用いて、T2≧T1+T3の関係にて設定することにより、縮退制御動作が開始された後、制御マイコン11bによる制御動作をリセットすることにより、制御の空白期間を排除するができ、制御回路の信頼性が向上可能となる。【0071】
次に、実施例1において、自車の衝突ポテンシャルが低い場合の動作について説明する。【0072】
図5は、自車の衝突ポテンシャルが低い場合の動作制御のタイミングチャートである。【0073】
図5は、自律走行制御部11内の外界認識マイコン10bが、自車の衝突ポテンシャルが低いと判断している状況下で、監視回路11hが制御マイコン11bの動作異常を検出したときの動作制御を示している。この例の場合は、縮退用制御マイコン12bには制御移行せず、制御マイコン11bをリセットする例である。【0074】
図5において、タイミング(t0)では、制御マイコン11bは外部のアクチュエータ制御部への制御指令を出力しており、縮退用制御マイコン12bはスタンバイ状態である。衝突ポテンシャルが低く、縮退要求信号11uはLow出力となっているシーンにおいてタイミング(t2)で制御マイコン11bに故障が発生した場合、故障発生から異常検出時間T1を経過した後のタイミング(t3)において制御マイコン11bのリセットが実施される。この場合、縮退要求信号11uはLow出力であり、縮退制御用マイコン12bには制御移行せず、タイミング(t5)から一定時間経過後のタイミング(t6)にて制御マイコン11bはリセットから制御復帰させる。【0075】
つまり、監視回路11hは、第1の監視部の判断結果か、第2の監視部の判断結果のいずれかで、制御マイコン11bをリセットするかを、縮退要求信号10fがHighかLowかに従って判断している。【0076】
以上のように、衝突ポテンシャルが低いシーンで制御マイコン11bに異常が検出された場合は、制御マイコン11bを早期にリセットすることで時間経過後に自車の外界状況が変化しリスクが高まる前に制御復帰することができる(制御マイコン11b(制御指令生成部)の制御指令生成動作を復帰させることができる)。【0077】
従って、制御装置における演算処理部に動作異常が発生した場合においても、縮退用の制御マイコンに安全に制御移行することができ、安全性の向上が可能な車両制御装置を実現することができる。【0078】
(実施例2)次に、本発明の実施例2について説明する。
【0079】
図6は、実施例2における自律走行制御部(第1ECU)11の内部構成を示す図である。図6において、外界認識マイコン10bと制御マイコン11bに加え、縮退用制御マイコン12bを自律走行制御部11に配置する場合の例を示す。【0080】
縮退用制御マイコン12bならびに通信回路12c(通信回路3)は自律走行制御部11内に配置されている。実施例2は、実施例1とほぼ同一の構成だが、異常通知信号11uが自律走行制御部11内部で、外界認識マイコン10b及び縮退用制御マイコン12bに接続されている。【0081】
実施例2においても、実施例1と同様な効果が得られる他、異常検出信号11uの縮退用制御マイコン12bへの信号線の接続が容易となることから、異常発生時レイテンシが改善されるという効果がある。【0082】
(実施例3)次に、本発明の実施例3について説明する。
【0083】
実施例3は、自律走行制御部(第1ECU)11の内部構成は実施例1又は実施例2と同一であるが、監視回路11hで異常検出時間T1と異常検知時間T2を変更可能な例である。【0084】
図7は、実施例3における異常検出クライテリア(判定基準)と検出時間T1及びT2の設定説明図である。【0085】
図7は、横軸に制御マイコン11bの故障発生からの経過時間と、縦軸に異常カウンタを示している。【0086】
図7に示した例では、時間の経過に伴って、異常カウンタが増加する直線Lを定めておき、クライテリア1(判定基準1)及びクライテリア2(判定基準2)を調整し、クライテリア1と直線Lとが交差する点の時間を異常検出時間T1とし、クライテリア2と直線Lとが交差する点の時間を異常検出時間T2とする。ただし、クライテリア1よりクライテリア2を大とする。【0087】
このように、異常を検知する度にカウントアップする異常カウンタ値に対し、異常判定のためのクライテリア1とクライテリア2を設定することで異常検出時間T1と異常検出時間T2を設定可能である。つまり、異常検知回数によって、クライテリア1とクライテリア2を設定し、クライテリア1よりクライテリア2の方が異常検知回数を大とする。そして、異常検出時間T1をクライテリア1に対応させ、異常検出時間T2をクライテリア2に対応させて設定することにより、異常時間検出時間T2が異常検出時間T1より長くなるように時間差を設定する。【0088】
上記異常検出時間T2を、異常検出時間T1と縮退制御マイコン12bの制御移行期間T3を用いて、T2≧T1+T3の関係にて設定することにより、制御マイコン11bリセットによる制御の空白期間を排除することで、制御回路の信頼性が向上可能となる。【0089】
実施例3においても、実施例1及び実施例2と同様な効果を得ることができる他、適用される車両等に合わせて異常検出時間T1、T2を設定可能であり、適用される車両等に応じた適切な縮退動作移行制御を行うことができる。【0090】
(実施例4)次に、本発明の実施例4について説明する。実施例4は、二つの監視回路と論理ゲートを用いた構成例である。【0091】
図8は、実施例4における自律走行制御部(第1ECU)11の内部構成を示す図である。【0092】
図8において、制御マイコン11bには、制御マイコン11bを監視する監視回路11i(第1の監視部)と、監視回路11j(第2の監視部)とが接続されている。実施例1と同様に、監視回路11iは制御マイコン11bのプログラム動作の正常性を判断するウォッチドッグタイマであり、監視回路11jは制御マイコン11bの演算部11eの正常性を判断する演算論理照合部であり、それぞれ異なる監視手段を備える。【0093】
上記監視回路11i(第1の監視部)と監視回路11j(第2の監視部)の正常性判断結果は、それぞれ信号11kと信号11mとして、ANDゲート11pの入力端子とORゲート11wの入力端子にそれぞれ接続される。【0094】
ORゲート11wのゲート出力は、監視回路11iと監視回路11jとのいずれかの監視回路にて異常検出された場合に反応し、異常通知信号11uが外界認識マイコン10bに通知される。【0095】
一方で、ANDゲート11pの出力信号11vは、監視回路11iと監視回路11jの双方の監視回路にて異常検出された場合に反応し、より確実な異常検知が可能となっている。【0096】
従って、ORゲート11wのゲート出力とANDゲート11pの出力では反応するタイミングが異なるため、実施例1と同様に異常検出時間T1と異常検出時間T2を生成することが可能である。【0097】
また、外界認識マイコン10bは実施例1と同様に、制御マイコン11bに異常が発生して制御マイコン11bをリセットする場合に、自動運転制御を制御マイコン11bから縮退制御マイコン12bに移行するかの縮退要求信号10fをリセット時期切り替え回路11sに出力する。【0098】
図9は、実施例4における縮退要求信号10fと制御マイコン11bのリセットタイミングを示す表である。【0099】
図9において、縮退要求信号10fがLowの場合は、リセット時期切り替え回路11sは信号11u側に接続され、制御マイコン11bに異常が検出されると異常検出時間T1で制御マイコン11bをリセットする。【0100】
縮退要求信号10fがLowの場合は、制御マイコン11bに異常が検出されても外界認識マイコン10bから縮退制御部12に対して異常検出信号は出力しないため制御移行はせず、制御マイコン11bはリセット後に制御復帰する。【0101】
一方、縮退要求信号10fがHighの場合は、リセット時期切り替え回路11sは信号11v側に接続され、制御マイコン11bに異常が検出されると異常検出時間T2で、制御マイコン11bをリセットする。縮退要求信号10fがHighの場合は、制御マイコン11bに異常が検出されると信号11uがトグルしたことで外界認識マイコン10bから縮退制御部12に対して異常検出信号を出力し、制御マイコン11bは異常検出時間T2でリセットされる。【0102】
以上のように、実施例4によれば、実施例1と同様に、衝突ポテンシャルが高いシーンで制御マイコン11bに異常が検出された場合でも縮退用制御マイコン12bに安全に制御移行が可能となる。また、過渡的な故障である場合には、制御は移行されず継続するため安全性が確保される。【0103】
(実施例5)次に、本発明の実施例5について説明する。
【0104】
上述した例は、本発明を自動車に適用した場合の例であるが、本発明は自動車に限らず、移動体であれば、二輪車、工場用の荷物運搬車、走行ロボット等にも適用可能である。【0105】
実施例5は、種々の移動体に適用可能な電子制御システムの例である。【0106】
図10は、実施例5の電子制御システム(自律走行制御システム)の動作機能ブロック図である。【0107】
図10において、電子制御システムは、外界認識部20bと、アクチュエータ(駆動装置)24を駆動する第1制御部23と、外界認識部20bから情報が入力され、第1制御部23へ制御指令を送信する第2制御部21bと、第2制御部21bが異常を検知している場合に、制御移行されて縮退動作を第1制御部23に指令する第3制御部22とを備えている。【0108】
第2制御部21bは、外界認識部20が外部の物体との衝突ポテンシャルが高い外界状況であると判断した場合に、第2制御部21b自身の異常を検知したときは、第3制御部22bへ制御移行した後に、第2制御部21b自身のリセットを実行する。【0109】
また、第2制御部21bは、外界認識部20が外部の物体との衝突ポテンシャルが低い外界状況であると判断した場合に、第2制御部21b自身の異常を検知したときは、即時に第2制御部21b自身のリセットを実行して、その後、制御指令動作を復帰する。第3制御部22bは、第2制御部21bから異常信号が供給されると、縮退時の制御指令を第1制御部23に出力する。【0110】
図11は、実施例5における故障発生時の動作タイミングチャートである。【0111】
図11において、衝突ポテンシャルが高い外界状況について説明する。時点(t0)では、故障が発生しておらず、第2制御部21bは、第1制御部23に制御指令を出力し、第3制御部22bは、スタンバイ状態となっている。【0112】
時点(t2)にて故障が発生すると、時点(t3)にて異常が検出され(異常検出1)、第3制御部22bは、第2制御部21bからの異常信号に従って、縮退制御への移行を開始する。この異常検出1は、上述した実施例1〜4と同様な第1の監視部により判断されるプログラム動作の異常性の検出である。【0113】
そして、時点(t4)にて第3制御部22bの縮退制御移行が終了すると、第3制御部22bは、縮退時の制御指令を第1制御部23に出力する。その後、時点(t5)にて異常が検出され(異常検出2)、第2制御部21bは、第2制御部21b自身をリセットする。【0114】
この異常検出2は、上述した実施例1〜4と同様な第2の監視部により判断される演算部の異常性の検出である。【0115】
次に、図11において、衝突ポテンシャルが低い外界状況について説明する。時点(t0)では、故障が発生しておらず、第2制御部21bは、第1制御部23に制御指令を出力し、第3制御部22bは、スタンバイ状態となっている。【0116】
時点(t2)にて故障が発生すると、時点(t3)にて異常が検出され(異常検出1)、第2制御部21bか自身をリセットする。異常検出1は、上述した実施例1〜4と同様な第1の監視部により判断されるプログラム動作の異常性の検出である。【0117】
そして、時点(t5)にて異常が検出されるが(異常検出2)、第2制御部21bは、リセット状態を維持する。【0118】
この異常検出2は、上述した実施例1〜4と同様な第2の監視部により判断される演算部の異常性の検出である。【0119】
その後、第2制御部21bは制御を復帰する。【0120】
第3制御部22bは、衝突ポテンシャルが低い外界状況では、スタンバイ状態を維持している。【0121】
以上のように、本発明の実施例5によれば、衝突ポテンシャルが高いシーンで第2制御部21bに異常が検出された場合でも、制御の空白期間を生ずることなく、第3制御部22bに安全に制御移行が可能となり、制御の空白期間を排除するができ、制御回路の信頼性が向上可能となる。【0122】
また、衝突ポテンシャルが低いシーンで第2制御部21bに異常が検出された場合は、第2制御部21bを早期にリセットすることで時間経過後に自車の外界状況が変化しリスクが高まる前に制御復帰することができる。【0123】
従って、制御装置における演算処理部に動作異常が発生した場合においても、縮退用の制御マイコンに安全に制御移行することができ、安全性の向上が可能な電子制御システムを実現することができる。【0124】
次に、上記実施例1〜5において、外界状況により、縮退要求信号をどのように設定するかについて説明する。【0125】
図12は、外界状況と縮退要求信号との関係を示す表である。図12を参照して、外界状況、外界情報量による制御マイコン11bのリセットタイミングの切り替えについて説明する。【0126】
図12において、外界状況として走行道が直線かつ周囲物体との距離が遠く、また外界の情量が少ない場合は、外界認識マイコン10bは、自車両と周囲物体との衝突ポテンシャル(衝突可能性)は低いと判断することができると考えられるため、縮退要求はせず(縮退要求信号10fはLow出力として)、異常検出時間T1にて制御マイコン11bをリセットする。【0127】
外界認識マイコン10bは定期的に自車の走行する軌道を予測して生成している。そして、生成した自車の走行軌道における衝突ポテンシャルを判断している。走行道が直線の場合には、制御中であっても制御マイコン11bがリセットした場合の制御の空白区間でも軌道自体はほぼ変わらないと考え、衝突ポテンシャルは低いと推定可能(判断可能)である。【0128】
つまり、自車が走行すると予測した走行道路の形状に応じて衝突可能性を判断することができる。【0129】
一方、外界状況として走行道がカーブの場合、自車両の周囲物体との距離が近い場合、また外界の情報の量が多い場合は、自車との衝突ポテンシャルは高いことが考えられるため、縮退要求を行う(縮退要求信号はHigh出力する)。異常検出時間T1にて縮退制御マイコン12bに制御マイコン11bの異常を通知することで縮退制御への移行準備を開始し、移行準備が完了後の異常検出時間T2で制御マイコン11bをリセットする。【0130】
つまり、自車が走行する外界の情報の量に応じて衝突可能性を判断することができる。【0131】
以上のように、外界状況に応じて縮退要求信号を切り替えるように構成すれば、衝突ポテンシャルが低いシーンで制御マイコン11bに異常が検出された場合は制御マイコン11bを早期にリセットすることで時間経過後に自車の外界状況が変化しリスクが高まる前に制御復帰できる。【0132】
また、衝突ポテンシャルが高いシーンで制御マイコン11bに異常が検出された場合は、縮退用制御マイコン12bに早期に移行準備を開始させ、移行準備が完了後の異常検出時間T2で制御マイコン11bをリセットすることで制御の空白区間を排除し、安全性の高い制御移行が可能となる。【0133】
なお、図12に示した各判断基準において、走行道の形状のみ、周囲物体との距離のみ、又は外界情報量のみにより、自車両との衝突可能性を判断することもできる。【符号の説明】
【0134】
1・・・カメラ、 2・・・レーダ、 3・・・自車位置センサ、 4・・・自動運転設定部、 11・・・自律走行制御部、 12・・・縮退制御部、 13・・・ブレーキ制御部、 14・・・エンジン制御部、 15・・・パワーステアリング制御部、 10b・・・外界認識マイコン、 10c、10d、11c、12c・・・通信回路、 10f・・・縮退要求信号、 10k・・・軌道情報送信ライン、 11b・・・制御マイコン、 12b・・・縮退用制御マイコン、 11h・・・監視回路、 11i・・・WDT部、 11j・・・演算論理照合部、 11p・・・ANDゲート、 11q・・・異常通知信号生成部、 11r・・・リセット信号、 11s・・・リセット時期切り替え回路、 11t・・・リセット生成部、 11u・・・異常通知信号、 11w・・・ORゲート、 20b・・・外界認識部、 21b・・・第2制御部、 22b・・・第3制御部、 23・・・第1制御部、 24・・・アクチュエータ