知財求人 - 知財ポータルサイト「IP Force」
▶ ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6865572
(24)【登録日】2021年4月8日
(45)【発行日】2021年4月28日
(54)【発明の名称】自動車のリスクベースの制御
(51)【国際特許分類】
B60W 50/029 20120101AFI20210419BHJP
G05B 9/02 20060101ALI20210419BHJP
【FI】
B60W50/029
G05B9/02 E
【請求項の数】9
【外国語出願】
【全頁数】10
(21)【出願番号】特願2016-239012(P2016-239012)
(22)【出願日】2016年12月9日
(65)【公開番号】特開2017-105455(P2017-105455A)
(43)【公開日】2017年6月15日
【審査請求日】2019年8月28日
(31)【優先権主張番号】10 2015 224 696.5
(32)【優先日】2015年12月9日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】390023711
【氏名又は名称】ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100135633
【弁理士】
【氏名又は名称】二宮 浩康
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】クリストフ シュレーダー
(72)【発明者】
【氏名】オリヴァー ピンク
(72)【発明者】
【氏名】シュテファン ノアトブルフ
(72)【発明者】
【氏名】ウルフ ヴィルヘルム
【審査官】
平井 功
(56)【参考文献】
【文献】
特開2014−106854(JP,A)
【文献】
特開平9−66832(JP,A)
【文献】
特開2009−51430(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60W 10/00−10/30
B60W 30/00−60/00
G05B 9/00− 9/05
G08G 1/00−99/00
(57)【特許請求の範囲】
【請求項1】
複数の機能コンポーネント(125,130)を含んでいる高度自動化された走行機能を用いて、自動車(100)を制御する方法(200)において、
前記方法(200)は、以下のステップ、即ち、
−第1の機能コンポーネント(125,130)を使用して前記走行機能を実施するステップ(210)と;
−前記第1の機能コンポーネント(125,130)の挙動を仕様通りの挙動と比較するステップ(220)と;
−前記第1の機能コンポーネント(125,130)の挙動が前記仕様通りの挙動とは異なるか否かを特定するステップ(220)と;
−前記走行機能が前記第1の機能コンポーネント(125,130)を用いて更に実施された場合の第1の事故リスクを特定するステップ(220)と;
−前記走行機能が第2の機能コンポーネント(125,130)を用いて更に実施された場合の第2の事故リスクを特定するステップ(220)と;
−最も低い事故リスクが対応付けられている機能コンポーネント(125,130)を用いて前記走行機能を実施するステップ(225,210)と;
を備えており、
前記第1および第2の事故リスクを特定するステップ(220)では、特定された2つのリスクが相互に比較され、この際、前記第2の機能コンポーネント(125,130)に切り替えた場合の事故リスクが、前記第1の機能コンポーネント(125,130)を更に動作させた場合の事故リスクよりも低いか否かが特定され、前記第2の機能コンポーネント(125,130)に切り替えた場合の事故リスクは、切り替え自体に起因する事故リスクを含む、ことを特徴とする、方法(200)。
前記方法(200)は、以下のステップ、即ち、
−第1の機能コンポーネント(125,130)を使用して前記走行機能を実施するステップ(210)と;
−前記第1の機能コンポーネント(125,130)の挙動を仕様通りの挙動と比較するステップ(220)と;
−前記第1の機能コンポーネント(125,130)の挙動が前記仕様通りの挙動とは異なるか否かを特定するステップ(220)と;
−前記走行機能が前記第1の機能コンポーネント(125,130)を用いて更に実施された場合の第1の事故リスクを特定するステップ(220)と;
−前記走行機能が第2の機能コンポーネント(125,130)を用いて更に実施された場合の第2の事故リスクを特定するステップ(220)と;
−最も低い事故リスクが対応付けられている機能コンポーネント(125,130)を用いて前記走行機能を実施するステップ(225,210)と;
を備えており、
前記第1および第2の事故リスクを特定するステップ(220)では、特定された2つのリスクが相互に比較され、この際、前記第2の機能コンポーネント(125,130)に切り替えた場合の事故リスクが、前記第1の機能コンポーネント(125,130)を更に動作させた場合の事故リスクよりも低いか否かが特定され、前記第2の機能コンポーネント(125,130)に切り替えた場合の事故リスクは、切り替え自体に起因する事故リスクを含む、ことを特徴とする、方法(200)。
【請求項2】
前記機能コンポーネント(125,130)には、ハードウェア、ソフトウェア、又は、それらの組合せが含まれる、請求項1に記載の方法(200)。
【請求項3】
前記第1の機能コンポーネント(125,130)は、前記第2の機能コンポーネント(125,130)よりも機能的に複雑である、請求項1又は2に記載の方法(200)。
【請求項4】
前記事故リスクを、所定の閾値を上回る深刻度を有している事故について特定する、請求項1乃至3のいずれか1項に記載の方法(200)。
【請求項5】
複数の第2の機能コンポーネント(125,130)が設けられており、各第2の機能コンポーネント(125,130)に関して事故リスクを特定する、請求項1乃至4のいずれか1項に記載の方法(200)。
【請求項6】
実施された前記走行機能の前記事故リスクが所定の閾値を上回ると、運転者による前記走行機能の引き継ぎを開始する(220)、請求項1乃至5のいずれか1項に記載の方法(200)。
【請求項7】
コンピュータプログラムが処理装置(110)において実行される場合に、請求項1乃至6のいずれか1項に記載の方法(200)を実施するためのプログラムコード手段を含んでいることを特徴とする、コンピュータプログラム。
【請求項8】
高度自動化された走行機能を用いて自動車(100)を制御するための装置(110)において、
当該装置(110)は、請求項7に記載のコンピュータプログラムを実行するように構成されていることを特徴とする、装置(110)。
当該装置(110)は、請求項7に記載のコンピュータプログラムを実行するように構成されていることを特徴とする、装置(110)。
【請求項9】
請求項7に記載のコンピュータプログラムが記憶されている、コンピュータ可読データ担体。
【発明の詳細な説明】
【技術分野】
【0001】
高度自動化された走行機能によって、自動車を制御することができる。この機能は、自動車の運転者がその機能を持続的に監視する必要がなく、従って、フィードバックレベルとして提供されるものではなく又は制限的に提供されるものでしかない場合に、高度自動化されていると称される。例えば、運転者には15秒の引き継ぎ時間を保証することができ、運転者はその引き継ぎ時間を利用して、自動車に関する制御を高度自動化された走行機能から引き継ぐことができる。運転者は、自動車の走行中に、その走行以外のことに取り組むことができるようになり、又は、例えば眠ることも可能になる。
【背景技術】
【0002】
高度自動化された走行機能のコンポーネントが常に完全にエラーなく動作することは期待できない。通常の場合、走行機能はソフトウェアコンポーネント及び/又はハードウェアコンポーネントから構成されている。それらの各コンポーネントは故障する可能性がある。即ち、センサのようなハードウェアコンポーネントは、例えば、電気的なエラーを示す可能性があり、又は、ソフトウェアコンポーネントは、その仕様とは異なる動作をする可能性がある。しかしながら、システム全体は、いかなるときでも、それらの個々のエラーを伴っても常に確実な走行動作を維持できる状態になければならない。
【0003】
そのような誤動作のうちの幾つかは、動作中に診断することができ、また、エラー発生時には、第1の機能コンポーネントから、緊急モードを実現する第2の機能コンポーネントに切り替えることができる(フォールバック)。
【0004】
国際公開第002013060530号(WO 00 2013 060 530 A1)は、渋滞支援システムに関するものであり、その機能はACCシステム又は車線維持支援のような別のシステムによって監視される。所定のシステム境界を超えると、渋滞支援システムは自動的に停止される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】国際公開第002013060530号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明が基礎とする課題は、自動車の改善された制御を提供することである。本発明は、この課題を独立請求項に記載されている構成によって解決する。
【課題を解決するための手段】
【0007】
発明の開示本発明は、診断できないエラーも存在し、また、エラーの診断自体が、潜在的にエラーを含む特定を示すという認識を基礎としている。エラーが発生していることが識別されない場合には、第1の機能コンポーネントが、誤りのある仮定又は誤りのある測定値を使用して動作する可能性があり、このことは、自動車の事故リスクを高める可能性がある。他方では、客観的には決して存在していないエラーが発生していると特定されると、誤って第2の機能コンポーネントに切り替えられる可能性がある。第2の機能コンポーネントは、通常の場合、特定されたエラー状態との関係において表すことができるパラメータを使用しないので、総じて第2の機能コンポーネントは、通常の場合、第1の機能コンポーネントが実施する制御よりも劣った制御しか実施しない。この場合、事故リスクは同様に高まる可能性がある。
【0008】
従って、第1の機能コンポーネント及び第2の機能コンポーネントに関して、自動車の事故のその都度のリスクがどの程度大きいかを可能な限り継続的に特定すること、また相応に、対応付けられている事故リスクが最も低くなる機能コンポーネントを用いて、自動車の制御を更に実施することが提案される。特に、第1の機能コンポーネントが晒されているエラーが特定された際に、常に第2の機能コンポーネントに切り替えられるのではなく、リスク分析によって、第2の機能コンポーネントを用いた制御が事故リスクを実際に低下させることが証明された場合にのみ、第2の機能コンポーネントに切り替えられることが提案される。従って、第1の機能コンポーネントから第2の機能コンポーネントへの切り替えは、現在の走行状況に依存し、また場合によっては、エラー状態の評価にも依存する。
【0009】
自動車を制御するための高度自動化された走行機能は、複数の機能コンポーネントを含んでいる。自動車を制御するための方法は、第1の機能コンポーネントを使用して走行機能を実施するステップと、第1の機能コンポーネントの挙動を仕様通りの挙動と比較するステップと、第1の機能コンポーネントの挙動が仕様通りの挙動とは異なるか否かを特定するステップと、走行機能が第1の機能コンポーネントを用いて更に実施された場合の第1の事故リスクを特定するステップと、走行機能が第2の機能コンポーネントを用いて更に実施された場合の第2の事故リスクを特定するステップと、最も低い事故リスクが対応付けられている機能コンポーネントを用いて走行機能を実施するステップと、を備えている。
【0010】
これによって、エラー状態が誤りなく特定されなかった際に生じる事故リスクを低下させることができる。高度自動化された走行機能の実施を改善することができ、また、運転者への自動車に関する制御の引き継ぎの要求の頻度を低下させることができる。
【0011】
一般的に、機能コンポーネントに対して、所定の仕様が存在することが前提とされる。本明細書の範囲におけるエラーを、当業者はOOS(Out Of Specification)又はE/E(Electric/Electronic)エラーと称する。ハードウェアコンポーネントのE/Eエラーには、例えば、実施装置の故障又は2つのコンポーネント間の通信エラーが含まれると考えられる。ソフトウェアコンポーネントのE/Eエラーには、正確でない実行、プログラミングエラー又はバッファオーバーフローが含まれると考えられる。E/Eエラーは、少なくとも1つの機能コンポーネントが仕様通りの挙動を示さない場合に存在する。この際、不十分な仕様は、エラーとみなされる。
【0012】
E/Eエラーは、ISP(In Specification)エラー又は機能的な不備とは区別される。それらには、例えば、物体を例えば好適でない周囲条件に基づき完全には検出しないセンサ、実際に存在する状況が完全には再現されなくなるセンサデータのフュージョン、又は、物体の将来の移動状態を予測する際に完全な予測を行うことができない状況解釈の不十分な仕様が含まれる。
【0013】
通常モードを実現する各第1の機能コンポーネントに対しては、通常の場合、緊急モードを実現する第2の機能コンポーネントが設けられなければならない。第2の機能コンポーネント又は第2の機能コンポーネントへの切り替えは、通常の場合、ISPエラーとOOSエラーとを区別しない。しかしながら、通常の場合、第2の機能コンポーネントの動作のために、少なくとも1つのE/Eコンポーネントを使用することはできないので、第2の機能コンポーネントがその仕様通りに動作する場合には、第2の機能コンポーネントの性能は第1の機能コンポーネントの性能よりも劣ることになる。
【0014】
機能コンポーネントは、ハードウェア、ソフトウェア又はそれらの組合せを含み得る。特に、高度自動化された走行機能を実現するために、多数の機能コンポーネントを設けることができる。機能コンポーネント自体が、複数の機能コンポーネントを含むことができ、その場合、第1の機能コンポーネント及び第2の機能コンポーネントを、1つ又は複数のサブ機能コンポーネントに分割することができる。例えば、プロセッサは、第1の機能コンポーネント及び第2の機能コンポーネントの実施装置を基礎としていると考えられる。
【0015】
第1の機能コンポーネントは、第2の機能コンポーネントよりも複雑であってよい。低減された複雑性によって、第2の機能コンポーネントの実施の確実性を高めることができる。
【0016】
事故リスクを、所定の閾値を上回る深刻度を有している事故について特定することができる。換言すれば、閾値を上回る深刻度を有している事故リスクのみを考察することができる。事故リスクが閾値を下回る場合には、各機能コンポーネントの正確な機能を前提とすることができる。自動車、乗員又は自動車外の物体において見込まれる損傷に基づき、深刻度を特定することができる。
【0017】
複数の第2の機能コンポーネントを設けることができ、また各第2の機能コンポーネントに関して事故リスクを特定することができる。複数ある第2の機能コンポーネントのうちの1つの事故リスクが第1の機能コンポーネントの事故リスクを下回る場合、有利には、高度自動化された走行機能が、その第2の機能コンポーネントにおいて更に実施される。
【0018】
第1の機能コンポーネントの事故リスクが第2の機能コンポーネントの事故リスクを下回った場合には、第2の機能コンポーネントから第1の機能コンポーネントへの切り替えを実施することも可能である。
【0019】
実施された走行機能の事故リスクが所定の閾値を上回ると、運転者による走行機能の引き継ぎを開始することができる。最も低いリスクで動作可能な機能コンポーネントを用いた自動車の制御に並行して、自動車の更に改善された制御を提供するために、運転者に警報を発することができる。即ち、エラーの発生時の自動車の高度自動化された誘導を、僅かな程度に限定することができる。
【0020】
コンピュータプログラム製品は、そのコンピュータプログラム製品が処理装置において実行されるか、又は、コンピュータ可読データ担体に記憶されている場合に、上述の方法を実施するためのプログラムコード手段を含んでいる。
【0021】
高度自動化された走行機能は、上述の方法を実施するように構成されている。
【0022】
添付の複数の図面を参照しながら、本発明をより詳細に説明する。
【発明を実施するための形態】
【0024】
図1には、自動車100を制御するためのシステム105を備えている自動車100が示されている。システム105は、高度自動化された走行機能を実施するように、特に自動車100の長手方向又は横方向の制御を実施するように構成されている。このために、システム105は、1つ又は複数のセンサ115と接続されている処理装置110を含んでいる。センサ115を用いて、例えば外部の物体120を検出するために、自動車100の周囲を走査することができる。処理装置110は、自動車100の走行パラメータ又は走行状態を特定するために、自動車100に搭載されている別のシステムと接続することもでき、又は、そのような別のシステムを組み込むこともできる。
【0025】
高度自動化された走行機能は、少なくとも、第1の機能コンポーネント125及び第2の機能コンポーネント130によって実現されており、それらの機能コンポーネントは、より容易に理解されるように処理装置110内に示されている。各機能コンポーネント125,130は、それぞれ、ハードウェアコンポーネント、例えば通信インタフェース、実施装置又はセンサ115、ソフトウェアコンポーネント、例えば機能ブロック、又は、それらの組合せを含み得る。通常の場合、多数の機能コンポーネント125,130がシステム105内に設けられており、その場合、高度自動化された走行機能を実現するために、それらの機能コンポーネント125,130を相互に接続することができる。この実施例において、第1の機能コンポーネント125は通常機能を実現し、また、第2の機能コンポーネント130は緊急機能を実現する。主機能は通常の場合、緊急機能よりも複雑に構成されている。例えば、緊急機能を、低減された数のソフトウェア又は複雑度が低減されたアルゴリズムによって動作させることができる。この例では、2つの機能は、自動車100と物体120との衝突を、自動車100の長手方向又は横方向の制御に影響を及ぼすことによって回避することを目的としている。
【0026】
1つの例において、第1の機能コンポーネント125は、ハードウェアとソフトウェアの組合せを含んでおり、また、自動車100に対して相対的な物体120の移動を特定するように構成されている。ここで、ハードウェアは、機能コンポーネント、例えば超音波センサ115、給電線、通信インタフェース及び処理装置110を含み得る。ソフトウェアは、センサ115のドライバを含むことがあり、また、サンプリングされたデータから移動データを漸次的に抽出する1つ又は複数の機能ブロックを含み得る。ここで、移動の妥当性を、例えば自動車100の移動情報に基づき検査することができ、その際、歩行者と他の自動車とを区別する、物体120に関するモデルを使用することができる。第2の機能コンポーネント130は、同一のハードウェアを使用することができるが、しかしながら、ソフトウェアについては、簡略化されたアプローチが前提とされる。例えば、単に一般的な物体120だけを全体として、その移動の妥当性を別の情報に基づき検査しないようにするか、又は、歩行者であるか若しくは自動車であるかを区別しないようにすることができる。
【0027】
監視装置135は、第1の機能コンポーネント125の挙動を、ここではデータベースを表す記号によって描画されている所定の仕様140と比較する。監視コンポーネント135を、処理装置110に組み込むように形成することもでき、また特に、監視装置135自体を、1つ又は複数の機能コンポーネント125,130によって実現することができる。例えば、仕様140を形式的な記述の形態又はロジックの形態で設定することができる。監視装置135は、処理装置110の入力及び出力を仕様140と比較することができる。機能コンポーネント125,130の個々の機能ブロック又はサブコンポーネントの中間結果又は入力若しくは出力も仕様140と比較することができる。
【0028】
第1の機能コンポーネント125が仕様140に即した挙動を示さないことを監視装置135が特定すると、監視装置135は、第1の機能コンポーネント125を停止し、第2の機能コンポーネント130を起動することができる。このために、監視装置135は、特に、信号を処理装置110に供給することができる。
【0029】
更に、監視装置135は、自動車100の運転者に対して、その自動車100に関する制御の引き継ぎを要求するために、出力装置を用いて、光学的、音響的又は触覚的な信号を運転者に出力することができる。この引き継ぎに関して、運転者に所定の最小時間を許可することができる。
【0030】
監視装置135が、第1の機能コンポーネント125の挙動は仕様140と異なることを確認した際に、監視装置135が、無条件に第2の機能コンポーネント130への切り替えを行うのではなく、先ず、第2の機能コンポーネント130を用いた、自動化された走行機能の実施が、第1の機能コンポーネント125を用いた更なる実施よりも事故リスクが低いか否かを検査することが提案される。有利には、事故の危険が低い場合にのみ、第1の機能コンポーネント125から第2の機能コンポーネント130への切り替えが行われる。これによって、第2の機能コンポーネント130への切り替えを最小限にすることができ、且つ、自動車100の事故リスクを低下させることができる。
【0031】
図2には、図1の自動車100を制御するための方法200のフローチャートが示されている。方法200は、ステップ205で開始され、このステップ205においては、第1の機能コンポーネント125が、高度自動化された走行機能を実現する際に用いられるべき機能コンポーネントとして選択される。ステップ210においては、高度自動化された走行機能が、選択された機能コンポーネント125,130を用いて実施される。
【0032】
例えば、これに並行して又は周期的に、ステップ215においては、選択された機能コンポーネント125,130又は高度自動化された走行機能の挙動が仕様140の設定に対応するか否かが検査される。対応する場合には、方法200はステップ210に戻り、方法200を改めて実施することができる。これに対して、サンプリングされた挙動が仕様140から外れていることが特定された場合、エラー状態に基づき、自動車100に関する事故の危険が高まっていると考えられる。
【0033】
この場合、ステップ220においては、第1の機能コンポーネント125を用いて高度自動化された走行機能を更に実施した場合の自動車100に関する第1の事故リスクと、第2の機能コンポーネント130を用いて高度自動化された走行機能を実施した場合の第2の事故リスクと、が特定される。別の実施の形態においては、第1の事故リスクを、既に事前に、例えばステップ215の枠内で特定することも可能である。それら2つの事故リスクを、事故の所定の深刻度に関して特定することができるので、例えば、人間は負傷しないと見込まれる軽微なものでしかない事故は、甘受することができる。
【0034】
特定された2つのリスクは相互に比較され、また、第2の機能コンポーネント130に切り替えた場合の事故リスクは実際に、第1の機能コンポーネント125を更に動作させた場合の事故リスクよりも低いか否かが特定される。1つの実施の形態においては、機能コンポーネント125,130を用いて高度自動化された走行機能を実施した場合の事故リスクのみが考察され、また1つの別の実施の形態においては、付加的に、切り替え自体がある程度の事故リスクに起因している可能性があることが考慮される。例えば、第2の機能コンポーネント130は、過去の期間のデータを考察することができる。切り替え時には、その時点に関してそれらのデータは、差し当たり存在しないと考えられる。従って、第2の機能コンポーネント130の性能は差し当たり縮小すると考えられ、その結果、事故リスクが増大する虞がある。第2の機能コンポーネント130がより長く稼働している場合には、そのような付加的なリスクはもはや存在しないと考えられる。
【0035】
機能コンポーネント125,130の切り替えによって自動車の事故リスクを低下できることが特定された場合には、ステップ225において、第2の機能コンポーネントを、高度自動化された走行機能を実現する際に用いられるべき機能コンポーネントとして選択することができる。付加的に、運転者に切り替えを通知するために、又は、自動車100に関する制御の引き継ぎを要求するために、信号を自動車100の運転者に出力することができる。続いて、方法はステップ210に戻り、方法を改めて実施することができる。
【0036】
第2の機能コンポーネント130から第1の機能コンポーネント125への再度の切り替えを、同様に行うことができる。別の実施の形態においては、第2の機能コンポーネント130に関して、ステップ215を省略することも可能であり、その場合、再度の切り替えは、第2の機能コンポーネント130が仕様140から外れた挙動を示したときにだけ検査されるのではなく、永続的に検査される。
【0037】
図3には、高度自動化された走行機能での運転時の回避された事故及び回避されなかった事故のグラフ300が示されている。第1の領域305は、特定されたE/Eエラー(OOSエラー)をグラフィック表示している。第1の領域305の部分領域である第2の領域310は、識別されていないE/Eエラーを表している。第2の領域310の部分領域である第3の領域315は、仕様140内のシステム動作を表している。
【0038】
自動車を事故なく制御することは、第3の領域315において行われる。何故ならば、この第3の領域315では、システム105又は自動車100が仕様140に設定されている通りの挙動を示すからである。グラフ上は、第2の領域310から第3の領域315を差し引いた集合に相当する第1の差領域320は、識別されていないE/Eエラーに起因する事故を表している。第1の領域305から第2の領域310を差し引いたものに相当する第2の差領域325は、検出されたE/Eエラーに基づき回避された事故を表している。