ホーム > 特許ランキング > 日立Astemo株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022188500
(43)【公開日】2022-12-21
(54)【発明の名称】車両制御装置および車両制御システム
(51)【国際特許分類】
B60W 50/035 20120101AFI20221214BHJP
B60W 60/00 20200101ALI20221214BHJP
G08G 1/16 20060101ALI20221214BHJP
【FI】
B60W50/035
B60W60/00
G08G1/16 C
【審査請求】未請求
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2021096584
(22)【出願日】2021-06-09
(71)【出願人】
【識別番号】509186579
【氏名又は名称】日立Astemo株式会社
(74)【代理人】
【識別番号】110002572
【氏名又は名称】弁理士法人平木国際特許事務所
(72)【発明者】
【氏名】ラトル スワラン シンガ
(72)【発明者】
【氏名】石郷岡 祐
(72)【発明者】
【氏名】坂本 英之
(72)【発明者】
【氏名】福田 毅
(72)【発明者】
【氏名】成沢 文雄
【テーマコード(参考)】
3D241
5H181
【Fターム(参考)】
3D241BA64
3D241BC01
3D241BC02
3D241CC01
3D241CC08
3D241CC17
3D241CD23
3D241CE05
5H181AA01
5H181AA06
5H181AA07
5H181AA25
5H181AA26
5H181AA27
5H181BB04
5H181CC03
5H181CC04
5H181CC14
5H181LL09
(57)【要約】 (修正有)
【課題】障害緩和においてシステムコストをより低減できる車両制御装置および車両制御システムを提供する。
【解決手段】マスターECUは、クライアントECUのいずれかの障害を検知した場合に、所定の障害時動作パターンに基づいて安全処理リストを生成して各前記クライアントECUに送信し、安全処理リストは、1つ以上の安全処理と、各安全処理に対応する実行開始期限とを含み、各クライアントECUは、安全処理リストを受信することに応じて、動作モードを通常モードから障害時動作モードに切り替えるとともに、各安全処理を、対応する実行開始期限までに実行開始し、障害時動作パターンは、各安全処理が、その安全処理を実行可能なメモリ容量を有するクライアントECUによって実行されるように構成され、障害時動作パターンは、同一の安全処理が複数のクライアントECUによっては実行されないように構成される。
【選択図】図6
【解決手段】マスターECUは、クライアントECUのいずれかの障害を検知した場合に、所定の障害時動作パターンに基づいて安全処理リストを生成して各前記クライアントECUに送信し、安全処理リストは、1つ以上の安全処理と、各安全処理に対応する実行開始期限とを含み、各クライアントECUは、安全処理リストを受信することに応じて、動作モードを通常モードから障害時動作モードに切り替えるとともに、各安全処理を、対応する実行開始期限までに実行開始し、障害時動作パターンは、各安全処理が、その安全処理を実行可能なメモリ容量を有するクライアントECUによって実行されるように構成され、障害時動作パターンは、同一の安全処理が複数のクライアントECUによっては実行されないように構成される。
【選択図】図6
【特許請求の範囲】
【請求項1】
マスターECUと、1つ以上のクライアントECUとを備える車両制御装置であって、
前記マスターECUは、前記クライアントECUのいずれかの障害を検知した場合に、所定の障害時動作パターンに基づいて安全処理リストを生成して各前記クライアントECUに送信し、前記安全処理リストは、1つ以上の安全処理と、各安全処理に対応する実行開始期限とを含み、
各前記クライアントECUは、前記安全処理リストを受信することに応じて、動作モードを通常モードから障害時動作モードに切り替えるとともに、各安全処理を、対応する実行開始期限までに実行開始し、
前記障害時動作パターンは、各安全処理が、その安全処理を実行可能なメモリ容量を有するクライアントECUによって実行されるように構成され、
前記障害時動作パターンは、同一の安全処理が複数のクライアントECUによっては実行されないように構成される、
車両制御装置。
前記マスターECUは、前記クライアントECUのいずれかの障害を検知した場合に、所定の障害時動作パターンに基づいて安全処理リストを生成して各前記クライアントECUに送信し、前記安全処理リストは、1つ以上の安全処理と、各安全処理に対応する実行開始期限とを含み、
各前記クライアントECUは、前記安全処理リストを受信することに応じて、動作モードを通常モードから障害時動作モードに切り替えるとともに、各安全処理を、対応する実行開始期限までに実行開始し、
前記障害時動作パターンは、各安全処理が、その安全処理を実行可能なメモリ容量を有するクライアントECUによって実行されるように構成され、
前記障害時動作パターンは、同一の安全処理が複数のクライアントECUによっては実行されないように構成される、
車両制御装置。
【請求項2】
各前記クライアントECUは、各安全処理について、その安全処理の実行を開始した後に、安全処理実行開始完了通知を前記マスターECUに送信し、
前記マスターECUは、すべての安全処理について対応する実行開始期限までに前記安全処理実行開始完了通知を受信した場合には、前記障害時動作モードにおける動作を継続し、いずれかの安全処理について対応する実行開始期限までに前記安全処理実行開始完了通知を受信しなかった場合には、動作モードを障害時安全モードに切り替える、
請求項1に記載の車両制御装置。
前記マスターECUは、すべての安全処理について対応する実行開始期限までに前記安全処理実行開始完了通知を受信した場合には、前記障害時動作モードにおける動作を継続し、いずれかの安全処理について対応する実行開始期限までに前記安全処理実行開始完了通知を受信しなかった場合には、動作モードを障害時安全モードに切り替える、
請求項1に記載の車両制御装置。
【請求項3】
前記マスターECUおよび各前記クライアントECUは、すべて同一のシステムズ・オン・ア・チップ式マイクロコンピュータによって構成される、請求項1に記載の車両制御装置。
【請求項4】
前記1つ以上のクライアントECUのうち少なくとも1つは、サブマスターECUであり、
前記サブマスターECUは、前記マスターECUの障害を検知した場合に、前記安全処理リストを生成して他の各クライアントECUに送信する、
請求項1に記載の車両制御装置。
前記サブマスターECUは、前記マスターECUの障害を検知した場合に、前記安全処理リストを生成して他の各クライアントECUに送信する、
請求項1に記載の車両制御装置。
【請求項5】
請求項1に記載の車両制御装置を複数備える、車両制御システム。
【請求項6】
前記マスターECUおよび前記クライアントECUの少なくとも1つは、車両サーバおよびゾーンゲートウェイとして機能する統合ECUである、
請求項1に記載の車両制御装置。
請求項1に記載の車両制御装置。
【請求項7】
前記車両制御装置は、複数の自動運転グレードに対応する、
請求項6に記載の車両制御装置。
請求項6に記載の車両制御装置。
【請求項8】
前記車両制御装置は、環境認知データを出力するスマートセンサに接続される、
請求項1に記載の車両制御装置。
請求項1に記載の車両制御装置。
【請求項9】
前記マスターECUおよび前記1つ以上のクライアントECUは、いずれも、すべての前記安全処理を実行可能であるように構成される、
請求項1に記載の車両制御装置。
請求項1に記載の車両制御装置。
【請求項10】
前記車両制御装置は、前記マスターECUおよび前記1つ以上のクライアントECUによって実行されるすべてのソフトウェアのバックアップを記憶する記憶装置を備える、
請求項1に記載の車両制御装置。
請求項1に記載の車両制御装置。
【請求項11】
前記車両制御装置は、前記マスターECUおよび前記1つ以上のクライアントECUによって実行されるすべてのソフトウェアについて、バイナリファイルのコピーを、前記マスターECUおよび前記1つ以上のクライアントECUのすべてからアクセス可能な記憶装置に記憶するか、または、前記マスターECUおよび前記1つ以上のクライアントECUのそれぞれの記憶装置に分散させて記憶する、
請求項1に記載の車両制御装置。
請求項1に記載の車両制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は車両制御装置および車両制御システムに関する。
【背景技術】
【0002】
車内E/E(電気電子)システムにおいて、車両サーバおよびゾーンゲートウェイを用いたアーキテクチャが公知である。このアーキテクチャにより、エンジン、シャーシ、車体、快適性、先進運転支援システム(ADAS)、自動運転(AD)、等をカバーする広範なアプリケーションが実行される。
【0003】
車両サーバおよびゾーンゲートウェイは、ECU(電子制御装置)を用いて構成される。ECUのいずれかが障害となった場合に、その障害ECUがそれまで実行していた機能を、別のECUが実行する場合がある。特許文献1には、このような技術の例が記載される。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】米国特許第9563523号明細書
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来の技術では、システムコストが高いという課題があった。
【0006】
たとえば特許文献1では、障害緩和のために主ユニット、副ユニットおよびバックアップユニットがすべて同一のハードウェア資源を備える必要があり、資源要求が最大となる。
【0007】
本発明はこのような課題を解決するためになされたものであり、障害緩和においてシステムコストをより低減できる技術を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明に係る車両制御装置は、
マスターECUと、1つ以上のクライアントECUとを備える車両制御装置であって、
前記マスターECUは、前記クライアントECUのいずれかの障害を検知した場合に、所定の障害時動作パターンに基づいて安全処理リストを生成して各前記クライアントECUに送信し、前記安全処理リストは、1つ以上の安全処理と、各安全処理に対応する実行開始期限とを含み、
各前記クライアントECUは、前記安全処理リストを受信することに応じて、動作モードを通常モードから障害時動作モードに切り替えるとともに、各安全処理を、対応する実行開始期限までに実行開始し、
前記障害時動作パターンは、各安全処理が、その安全処理を実行可能なメモリ容量を有するクライアントECUによって実行されるように構成され、
前記障害時動作パターンは、同一の安全処理が複数のクライアントECUによっては実行されないように構成される。
本発明に係る車両制御システムは、上述の車両制御装置を複数備える。
マスターECUと、1つ以上のクライアントECUとを備える車両制御装置であって、
前記マスターECUは、前記クライアントECUのいずれかの障害を検知した場合に、所定の障害時動作パターンに基づいて安全処理リストを生成して各前記クライアントECUに送信し、前記安全処理リストは、1つ以上の安全処理と、各安全処理に対応する実行開始期限とを含み、
各前記クライアントECUは、前記安全処理リストを受信することに応じて、動作モードを通常モードから障害時動作モードに切り替えるとともに、各安全処理を、対応する実行開始期限までに実行開始し、
前記障害時動作パターンは、各安全処理が、その安全処理を実行可能なメモリ容量を有するクライアントECUによって実行されるように構成され、
前記障害時動作パターンは、同一の安全処理が複数のクライアントECUによっては実行されないように構成される。
本発明に係る車両制御システムは、上述の車両制御装置を複数備える。
【発明の効果】
【0009】
本発明によれば、障害発生時のECU代替動作においてハードウェア資源の利用効率をより高くすることができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施例1に係る車両制御装置を含む自動運転支援システムに配置される様々なモジュールの例。
【図2】実施例1に係る車両制御装置において可能なアーキテクチャの例。
【図3】実施例1に係る障害時動作モードの例。
【図4】実施例1に係る車両制御装置の構成の例。
【図5】実施例1に係る車両制御装置の構成の例。
【図6】実施例1に係る車両制御装置の動作の例。
【図7】実施例1に係る車両制御装置の動作の例。
【図8】実施例1に係るフローチャートの例。
【図9】実施例1に係る車両制御装置の動作の例。
【図10】実施例1に係る障害時動作パターンの例。
【図11】実施例1に係るフローチャートの例。
【図12】実施例1に係るバックアップ記憶方式の例。
【発明を実施するための形態】
【0011】
以下、本発明の実施例を添付図面に基づいて説明する。以下は例示であり、本発明を限定するものではない。
【0012】
[実施例1]
図1は、本発明の実施例1に係る車両制御装置を含む自動運転支援システムに配置される様々なモジュールの例を示す。実施例1は、車両の自律運転機能を拡張するための、スマートインフラストラクチャ、コネクテッドサービス、クラウドベース自律運転アプリケーションを、車載型AD/ADASプログラムに統合することができる。
図1は、本発明の実施例1に係る車両制御装置を含む自動運転支援システムに配置される様々なモジュールの例を示す。実施例1は、車両の自律運転機能を拡張するための、スマートインフラストラクチャ、コネクテッドサービス、クラウドベース自律運転アプリケーションを、車載型AD/ADASプログラムに統合することができる。
【0013】
ADとはたとえば自動運転(Autonomous Driving)を意味し、ADASとはたとえば先進運転支援システム(Advanced Driver Assistance System)を意味する。本明細書において、プログラムとは、たとえばアプリケーションプログラムを意味するがこれに限らない。
【0014】
車載の電気電子(E/E)資源の最適な利用のために、および、安全な統合および車載型AD/ADAS拡張モード遷移のために、車両は車内のE/E資源およびネットワーク資源を実行または導出することができる。
【0015】
同様に、車両は、環境条件、環境認識アルゴリズム、最適スループット要件、等の動的動作運転設計ドメインの知識ベースを有してもよい。
【0016】
スマートインフラストラクチャ、コネクテッドサービス、クラウドベース自律運転アプリケーションの資源要件および資源可用性に基づき、実施例1に係る車両制御装置は、要求される資源を安全および最適スループットのために割り当てることができる。
【0017】
また、アプリケーション要件に基づき、アプリケーションデータのリルーティングおよびスケジューリングも実行される。
【0018】
自動運転車両は、車両制御システム(たとえばAD/ADASシステム)を用いて制御される。車両制御システムは、ゾーンベースまたはドメインベースのE/Eアーキテクチャにおいて構成される、複数の環境認識センサ、車両センサ、ローカリゼーションセンサ、アクチュエータ(ブレーキ、ステアリング、スロットル、パワートレイン等)、等を含む。
【0019】
車両制御システムは、互いに通信する複数のモジュールを含む。複数のモジュールを協働させることが有益である。また、各モジュールは、センサデータ、認識データ、計画データ、アプリケーション状態データ、等を要求する複数のプログラムを含む場合がある。モジュールまたはプログラムは、1つ以上の資源要件と、クリティカルな運転シナリオおよび車両制御システム状態における優先度とを有する場合がある。これらのタスクを協働させるには、利用可能な資源の状態に応じて、各タスク/サービスの優先度およびデッドラインを適応させることが有益である。
【0020】
たとえば、スマートインフラストラクチャまたは路側機クラウドベースリモートサーバと通信可能な車両が、車両制御を支援または完全にテイクオーバできるスマートハイウェイを走行している場合には、車両の自動運転機能を拡張することができる。
【0021】
クライアントアプリケーションの資源要件によっては、実施例1に係る機能ブロックは、安全なモード遷移のために、クライアントアプリケーションを車載型AD/ADASアプリケーションに統合することができる。
【0022】
たとえば、スマートハイウェイが、ハンズフリースーパークルーズおよび車線変更機能を提供可能なハイウェイパイロットラインアプリケーションを提供する場合がある。そのようなシナリオでは、車載側のハンズオン/オフACC(適応的クルーズ制御)(半自律運転車両)およびLKA(車線維持支援)は終了可能である。しかしながら、AEB(自動緊急ブレーキ)衝突回避アプリケーション等の安全クリティカルなアプリケーションは、クライアントアプリケーションと協働する必要がある。
【0023】
このクライアントアプリケーションと、車載型AD/ADAS安全アプリケーションとの組み合わせでは、リアルタイム/ソフトタイムの遅延制約が厳しくなる場合がある。そのようなシナリオでは、実施例1に係る車両制御装置は、アプリケーションデータのスケジューリングおよびリルーティングも行うことができる。
【0024】
別の例として、レーダー、LiDAR、カメラ、等を用いる車両検出は、それぞれ異なるネットワーク帯域幅要件を有する。デッドラインに対してレーダーのネットワーク帯域幅が要求するデータサイズは、カメラの場合に比較してはるかに小さい場合がある。車載型AD/ADASアプリケーションにスマートインフラストラクチャのクライアントアプリケーションを追加する場合には、AD/ADASアプリケーションを最小資源要件モードで実行することができる。
【0025】
同様に、自動停車および最適な電力利用も可能である。フェールオペレーショナルな車両制御システムを装備した高度な自動運転車両では、実施例1に係る車両制御装置は、スマートインフラストラクチャの自律運転能力を利用して、車内の電力消費を抑制することができる。
【0026】
実施例1に係る車両制御装置は、たとえば自動運転機能を有する自動車に搭載されるが、自動車に搭載されるものに限らない。他の例として、バス、トラック、建設機械、地上型ロボット、倉庫ロボット、飛行機、ヘリコプター、ボート、船舶、農場機械、サービスロボット、列車、ゴルフカート、等にも搭載可能である。
【0027】
図1は、実施例1に係る車両制御装置を含む自動運転支援システムに配置され得る様々なモジュールの例を示す。この自動運転支援システムは、車両制御装置(たとえば車載型コンピュータシステムを含む)と、車外のコンピュータとを含んで構成される。自動運転車両は、自動モード(通常モード)に設定することができ、安全ドライバーからの支援を得て、または支援なしで、所定の運転シナリオに沿って自動的に車両を運転することができる。
【0028】
車両制御装置は、環境認識センサシステム101と、環境認識システム102(運転シナリオに関する情報を収集する)と、計画システム103と、無線通信システム104と、物理ネットワーク通信システム105と、作用システム106と、車体・シャーシ制御システム107と、インフォテインメントシステム108と、ヒューマンマシンインタフェースシステム109と、ドライバー監視システム110と、車両制御システム111と、V2Xシステム112と、ドライバーインテンション113と、車両診断および機能不全監視システム114と、パワートレインシステム115とを含む。
【0029】
自動運転車両は、通常動作モードとして、手動モード、全自動モード、半自動モードのいずれかで走行可能である。車両は、図1のモジュールをすべて備える必要はなく、一部のモジュールが省略されていてもよい。
【0030】
自動運転車両は、さらに、エンジン、車輪、ハンドル(ステアリングホイール)、トランスミッション、等を備えてもよく、車両制御システムがこれらを制御してもよい。自動運転車両は、さらに、各モジュールが互いに通信することを可能にする物理ネットワーク(有線ネットワーク)または無線ネットワークを備えてもよい。ネットワークは冗長であってもよい。
【0031】
図2は、実施例1に係る車両制御装置において可能なアーキテクチャの例を示す。車両制御装置は、たとえばセンサ201と、ZCU(ゾーン制御装置)202と、DVCU203とを備える。センサ201はたとえばスマートセンサである。DVCU203は、たとえば車両サーバおよびゾーンゲートウェイとして機能する。ZCU202およびDVCU203は、いずれも1つ以上のECU(電子制御装置)を備える。
【0032】
低AD(自動運転)グレード(SAE規格L1~L2)では、単一のDVCU203のみが設けられる。中間ADグレード(SAE規格L2+~L3)では、2つのDVCU203が設けられる。高ADグレード(SAE規格L4~L5)では、3つのDVCU203が設けられる。また、複数のADグレードについて、同一のDVCU203を再利用することができる。すなわち、車両制御装置のADグレードを更新する際に、それまで使用していたDVCU203のハードウェアを継続して使用することができる。
【0033】
実施例1では、すべてのDVCU203のソフトウェア構成を同一とすることができる。すなわち、いずれかのDVCU203が実行するプログラムは、他のDVCU203いずれによっても実行することができる。ただし、1つのプログラムが同時に複数のDVCU203で実行される必要はない。
【0034】
このような構成によれば、各センサからの出力がいずれのDVCU203によっても処理可能となり、車両制御装置の可用性が高まる。
【0035】
1台の車両に、複数の車両制御装置が搭載されてもよい。これらの車両制御装置は、1つの車両制御システムを構成してもよい。その場合には、車両制御システムは、実施例1に係る車両制御装置を複数備える。たとえば、図1に示すモジュールがそれぞれ車両制御装置を構成し、すべてのモジュールが統合されて車両制御システムを構成してもよい。このようにすると、障害緩和の単位をより自由に設計することができる。
【0036】
図3は、実施例1に係る障害時動作モード(フェールオペレーショナルモード)の例を示す。図3(a)のシナリオでは、車両が通常動作モードで高速道路を走行している。走行中にエラー(たとえばECUの障害)が検出された場合に、車両が所定の安全停車位置に到着するまで、障害時動作モードにおいて運転が継続される。図3(b)のシナリオでは、自動停車動作の実行中にエラーが検出された場合に、車両が所定の安全停車位置に到着するまで、障害時動作モードにおいて運転が継続される。
【0037】
通常動作モードおよび障害時動作モードにおける車両制御装置(とくに各ECU)の具体的な動作は、当業者公知技術等に基づいて適宜設計可能である。
【0038】
これらの障害時動作モードにおいて、ECUの可用性が低いと、高レベルの自動運転が継続できなくなる可能性がある。このため、ECUの可用性を高め、障害緩和ができるようにすると好適である。
【0039】
図4は、実施例1に係る車両制御装置の構成の一例を示す。この構成は、複数のDVCUを備えるハイブリッドゾーンアーキテクチャの例である。車両制御装置は、第1DVCU401と、第2DVCU402と、第3DVCU403とを備える。各DVCUは1つ以上のECUを備える。
【0040】
ECUは公知のコンピュータとしてのハードウェア構成を有し、たとえば演算装置および記憶装置を備える。演算装置はたとえばプロセッサを含み、記憶装置はたとえば半導体メモリ装置等の記憶媒体を含む。記憶媒体の一部または全部が、過渡的でない(non-transitory)記憶媒体であってもよい。
【0041】
DVCUのうち1つはマスターECUを備え、他のDVCUはクライアントECUを備える(クライアントECUは合計で1つ以上である)。図4の例では、第2DVCU402がマスターECUを備え、障害時動作パターン404を記憶する。第1DVCU401はクライアントECUを備え、安全処理リスト405を記憶することができる。同様に、第3DVCU403はクライアントECUを備え、安全処理リスト406を記憶することができる。
【0042】
DVCUは、車両サーバおよびゾーンゲートウェイとして機能する統合ユニットであってもよい。すなわち、マスターECUおよびクライアントECUの少なくとも1つは、車両サーバおよびゾーンゲートウェイとして機能する統合ECUであってもよい。このようにすると、1つのDVCUで統合された車両E/Eアーキテクチャを実現することができる。
【0043】
また、車両制御装置は、複数の自動運転グレードに対応するよう構成されてもよい。たとえば、1つ以上のECUを再利用することにより、図2のように複数の自動運転グレードに対応することができる。このようにすると、車両制御装置の汎用性が高まる。
【0044】
クライアントECUのうち少なくとも1つ(この例では第1DVCU401のECU)は、サブマスターECUであってもよい。サブマスターECUは、マスターECUが障害となった場合に、マスターECUの動作を代替する。
【0045】
各DVCUの記憶装置は、図示しないプログラムを記憶してもよい。プロセッサがこのプログラムを実行することにより、ECUは本実施形態において説明される機能を実行してもよい。
【0046】
また、車両制御装置は、別のECU407を備え、センサ408に接続される。センサ408はたとえばスマートセンサである。また、センサ408は、たとえば環境認知データを出力する。このような構成によれば、車両制御装置は高度な環境認知処理が可能である。
【0047】
第1DVCU401、第2DVCU402、第3DVCU403およびECU407は、直接的に、または他のDVCUを介して、通信可能に接続される。
【0048】
図4の例では、各DVCU(マスターECUおよびクライアントECUを含む)は、すべて同一のシステムズ・オン・ア・チップ式マイクロコンピュータ409によって構成される。このようにするとシステム全体をコンパクトに構成することができるが、同一のシステムズ・オン・ア・チップ式マイクロコンピュータに構成しないことも可能である。
【0049】
また、各DVCUは、障害時アロケーションプログラムおよび/またはランタイム障害緩和プログラムを実行する。障害時アロケーションプログラムの詳細は図8に関連して後述する。ランタイム障害緩和プログラムの詳細は図11に関連して後述する。
【0050】
【0051】
図6は、実施例1に係る車両制御装置の動作の一例を示す。第1DVCU601、第2DVCU602、第3DVCU603、およびADAS604が設けられる。ADAS604もまたECUを備える。第1DVCU601、第2DVCU602、第3DVCU603、およびADAS604は、互いに通信可能である。第2DVCU602および第3DVCU603は、いずれも、パワートレインおよびシャーシ制御を担当してもよい。
【0052】
車両制御装置は、複数の安全処理(セーフティメカニズム)を実行する。安全処理は、たとえばAD/ADAS機能の一部を構成する。また、安全処理は車両を安全に走行させるための処理であり、ECUがプログラムを実行することによって安全処理が実行される。
【0053】
図6の例では、安全処理SM1およびSM2が実行される。安全処理SM1はたとえばセンサデータ融合処理(たとえば複数のセンサからの出力を取得して総合的な環境認知を行う処理)であり、安全処理SM2はたとえば軌跡処理(たとえばアクセル、ブレーキ、操舵等を制御する処理)である。安全処理の具体例は上述のものに限らない。
【0054】
図6(a)~(d)は、それぞれ異なる障害シナリオを示す。図6(a)のシナリオでは、通常時にはADAS604が安全処理SM1およびSM2の双方を実行する。ADAS604に障害が発生した場合には、マスターECUおよびクライアントECUの協働により、安全処理SM1は第2DVCU602に移転し、安全処理SM2は第3DVCU603に移転する。この際の具体的な各ECUの動作(移転先の決定方法を含む)は、図8および図11等に関連して後述する。
【0055】
図6(b)のシナリオでは、通常時には第2DVCUが安全処理SM1を実行し、第3DVCU603が安全処理SM2を実行する。第1DVCU601に障害が発生した場合、第1DVCU601では安全処理SM1およびSM2のいずれも実行されていないので、安全処理の移転は発生しない。
【0056】
図6(c)のシナリオでは、通常時には第2DVCUが安全処理SM1を実行し、第3DVCU603が安全処理SM2を実行する。第2DVCU602に障害が発生した場合には、マスターECUおよびクライアントECUの協働により、安全処理SM1はADAS604に移転する。安全処理SM2は移転しない。
【0057】
図6(d)のシナリオでは、通常時には第2DVCUが安全処理SM1を実行し、第3DVCU603が安全処理SM2を実行する。第3DVCU603に障害が発生した場合には、マスターECUおよびクライアントECUの協働により、安全処理SM2はADAS604に移転する。安全処理SM1は移転しない。
【0058】
図7は、実施例1に係る車両制御装置の動作の別の一例を示す。この例は純粋なゾーンアーキテクチャであり、車両制御装置は図6のADAS604を備えない。図7の例では、さらに安全処理SM3が実行される。安全処理SM3はたとえばACC(適応的クルーズ制御)処理である。
【0059】
図7(a)~(c)のシナリオにおいて、通常時には第2DVCUが安全処理SM1を実行し、第3DVCU603が安全処理SM2およびSM3を実行する。
【0060】
図7(a)のシナリオにおいて、第1DVCU601に障害が発生した場合、第1DVCU601では安全処理SM1~SM3のいずれも実行されていないので、安全処理の移転は発生しない。
【0061】
図7(b)のシナリオにおいて、第2DVCU602に障害が発生した場合には、マスターECUおよびクライアントECUの協働により、安全処理SM1は第1DVCU601に移転する。安全処理SM2およびSM3は移転しない。
【0062】
図7(c)のシナリオにおいて、第3DVCU603に障害が発生した場合には、マスターECUおよびクライアントECUの協働により、安全処理SM2は第1DVCU601に移転し、安全処理SM3は第2DVCU602に移転する。
【0063】
図6および図7に示すように、各ECUは、自身が通常実行する安全処理に限らず、他のECUが通常実行する安全処理も、実行可能である。とくに、マスターECUおよびクライアントECUのいずれもが、すべての安全処理を実行可能であるように構成すると、各ECUの汎用性が高まり好適である。なお、各安全処理は、状況に応じて分散実行することができ、1つのECUがすべての安全処理を同時に実行する必要はない。
【0064】
図8は、実施例1に係るフローチャートの一例を示す。このフローチャートは、障害時アロケーションプログラムの動作を説明する。このフローチャートは、マスターECUおよびクライアントECUが、それぞれ対応する障害時アロケーションモジュール(障害時アロケーションプログラム)を実行することにより実行される。
【0065】
マスターECUは、クライアントECUのいずれかの障害を検知することができる。マスターECUは、クライアントECUを監視し、クライアントECUのいずれかの障害を検知した場合に、未処理の障害時動作パターンがあるか否かを判定する(S1)。所定の障害時動作パターンの例は、図10等を用いて後述する。
【0066】
【0067】
未処理の障害時動作パターンがあれば(たとえばクライアントECUの障害が検知された直後)、マスターECUは、障害時動作パターンに基づいて安全処理リストを生成し、各クライアントECUに送信する(S2)。
【0068】
図10に、実施例1に係る障害時動作パターンの例を示す。図10(a)は障害時動作パターンを示し、障害となったECUを識別する情報と、当該ECUが障害となった場合の障害時動作モードを識別する情報と、当該ECUで実行されていた安全処理の移転先となる別のECUを識別する情報とを関連付ける。このような障害時動作パターンは、事前に(たとえば設計段階において)定義することができる。マスターECUの記憶装置は、この障害時動作パターンを記憶する。
【0069】
たとえば、ADを担当するクライアントECUが障害となった場合には、安全処理SM1は第1DVCUのクライアントECUに移転し、安全処理SM2は第2DVCUのクライアントECUに移転する。
【0070】
障害時動作パターンは、各安全処理が、その安全処理を実行可能なメモリ容量を有するクライアントECUによって実行されるように構成される。たとえば、設計段階において、各クライアントECUについて、そのクライアントECUが通常動作モードにおいて実行するすべてのソフトウェアに加え、同時に実行する可能性のある安全処理をすべて同時に実行した場合に、そのクライアントECUのメモリ容量が不足しないように、障害時動作パターンを設計することができる。
【0071】
また、障害時動作パターンは、同一の安全処理が複数のクライアントECUによっては実行されないように構成される。たとえば図10の例では、第1DVCUおよび第2DVCUに割り当てられる安全処理は互いに異なっている。とくに、同一の安全処理が複数のクライアントECUにアロケーションされないように、すなわち、同一の安全処理が複数のクライアントECUの記憶装置(たとえば主記憶装置)に同時には記憶されないようにすると、ハードウェア資源が低減でき好適である。
【0072】
図10(b)は実行開始期限を示し、各安全処理が移転先のクライアントECUにおいて実行開始されるまでの期限(実行開始期限)を表す。このような実行開始期限は、事前に(たとえば設計段階において)定義することができる。マスターECUの記憶装置は、この実行開始期限を記憶する。
【0073】
各クライアントECUに送信される安全処理リストは、各クライアントECUにおいて実行開始すべき1つ以上の安全処理と、各安全処理に対応する実行開始期限とを含む。たとえば、図10の例において、ADを担当するECUが障害となった場合には、第1DVCUのECUに対して、安全処理SM1の実行を開始すべきであるということと、その実行開始期限は100msであるということとを示す安全処理リストが送信される。同様に、第2DVCUのECUに対して、安全処理SM2の実行を開始すべきであるということと、その実行開始期限は100msであるということとを示す安全処理リストが送信される。
【0074】
実行開始期限の計測開始タイミングは適宜設計可能である。たとえば、マスターECUが障害を検知した時刻としてもよいし、マスターECUが安全処理リストを送信した時刻としてもよいし、他の時刻としてもよい。
【0075】
クライアントECUは、安全処理リストを受信することに応じて、動作モードを通常動作モードから障害時動作モード(たとえば図3に関連して説明したもの)に切り替える。なお、マスターECUも同様に、安全処理リストの送信に際して、動作モードを通常動作モードから障害時動作モードに切り替えてもよい。
【0076】
そして、クライアントECUは、安全処理リストに含まれる安全処理のうち、すでに実行中であるものを処理対象から除外する(S3)。「処理対象」とは、ここでは後述のS4およびS5の処理の対象となるものを意味する。このような除外により、安全処理の重複実行が防止され、低ハードウェア資源のECUを有効に利用することができる。
【0077】
次に、クライアントECUは、未実行の安全処理があるか否かを判定する(S4)。安全処理リストに含まれる安全処理がすべて実行開始済みであれば、処理はS1に戻る。
【0078】
未実行の安全処理があれば、クライアントECUはその安全処理の実行を開始する(S5)。この際、クライアントECUは、各安全処理を、対応する実行開始期限までに実行開始する。クライアントECUは、指示された安全処理のそれぞれについて、その安全処理の実行を開始した後に、その安全処理の実行開始が完了したことを示す通知(安全処理実行開始完了通知)を、マスターECUに送信してもよい。その後、処理はS1に戻る。
【0079】
図9は、図8のような処理によって実現される、実施例1に係る車両制御装置の動作の一例を示す。図9(a)は通常動作モードを示す。車両制御装置は第1DVCU901、第2DVCU902、第3DVCU903、ECU907、センサ908を備える。第2DVCU902はマスターECUを備え、障害時動作パターン904を記憶する。第1DVCU901および第3DVCU903はクライアントECUを備える。
【0080】
この例では、ECU907が障害となったとする。図9(b)は障害時動作モードを示す。第2DVCU902(厳密にはマスターECU)は、ECU907の障害を検知し、安全処理リスト905を第1DVCU901に送信し、安全処理リスト906を第3DVCU903に送信する。第1DVCU901は安全処理リスト905を記憶し、第3DVCU903は安全処理リスト906を記憶する。第1DVCU901および第3DVCU903は、それぞれ安全処理リスト905および906に従って安全処理を実行する。
【0081】
このように、実施例1に係る車両制御装置によれば、障害時動作パターンを適切に設計することにより、安全処理を各ECUのハードウェア資源に応じて移転させることができ、また、安全処理の重複が発生しないので、障害発生時のECU代替動作においてハードウェア資源の利用効率をより高くすることができる。
【0082】
なお、図8の処理は、マスターECUが障害となった場合には実行できない可能性がある。クライアントECUのいずれかがサブマスターECUである場合には、サブマスターECUがマスターECUに代わって図8の処理を実行するように構成してもよい。すなわち、サブマスターECUは、マスターECUの障害を検知した場合に、安全処理リストを生成して他の各クライアントECUに送信してもよい。このような構成によれば、マスターECUを含むすべてのECUの障害に対応することができる。
【0083】
図11は、実施例1に係るフローチャートの別の一例を示す。このフローチャートは、ランタイム障害緩和プログラムの動作を説明する。このフローチャートは、マスターECUおよびクライアントECUが、それぞれ対応する障害緩和モジュール(障害緩和プログラム)を実行することにより実行される。
【0084】
マスターECUは、クライアントECUの障害を検知したか否かを判定する(S11)。障害を検知していない場合、S11を繰り返す。障害を検知した場合に、障害となったクライアントECUに応じて障害時動作パターンを選択する(S12)。たとえば図10の例において、ADを担当するECUが障害となった場合には、障害時動作モード「1」に対応する障害時動作パターンが選択される。
【0085】
次に、マスターECUは、選択した障害時動作パターンに従って安全処理リストを作成し、各クライアントECUに送信する(S13)。この処理は、たとえば図8のS2と同様に行われる。次に、マスターECUは、動作モードを通常動作モードから障害時動作モードに切り替える(S14)。なお、クライアントECUも同様に、安全処理リストを受信することに応じて、運転動作モードを通常動作モードから障害時動作モードに切り替えてもよい。
【0086】
図11には示さないが、各クライアントECUは、図8のS3~S5の処理を実行することにより、安全処理の実行を開始し、安全処理実行開始完了通知をマスターECUに送信する。マスターECUは、各クライアントECUからの安全処理実行開始完了通知を待機し、これを受信する(S15)。
【0087】
マスターECUは、すべての安全処理について、対応する実行開始期限までに、安全処理実行開始完了通知を受信したか否かを判定する(S16)。すべての安全処理について、対応する実行開始期限までに、安全処理実行開始完了通知を受信した場合には、マスターECUは、障害時動作モードで動作を継続し(S17)、図11の処理を終了する。
【0088】
そうでない場合(すなわち、いずれかの安全処理について、対応する実行開始期限までに安全処理実行開始完了通知を受信しなかった場合。これは、いずれかの安全処理について、安全処理実行開始完了通知を受信しなかった場合、および、いずれかの安全処理について、安全処理実行開始完了通知の受信が、対応する実行開始期限を過ぎた場合を含む)には、車両制御装置の動作モードを障害時動作モードから障害時安全モード(フェールセーフモード)に切り替える(S18)。
【0089】
障害時安全モードの具体的な動作内容は、当業者が公知技術等に基づいて適宜設計可能であるが、たとえば、搭乗者に対する運転のテイクオーバ要請を行ってもよい。このようにすると、安全処理の実行開始が適切に行われなかった場合でも安全な対応をとることができる。
【0090】
図12は、実施例1に係るバックアップ記憶方式の例を示す。車両制御装置は、マスターECUおよびクライアントECUによって実行されるすべてのソフトウェア(各安全処理を含む)のバックアップを記憶する記憶装置を備えてもよい。
【0091】
図12(a)は集中方式を示す。車両制御装置は、記憶装置1203を備える。記憶装置1203は、マスターECU1201およびクライアントECU1202のすべてからアクセス可能である。記憶装置1203は、マスターECU1201およびクライアントECU1202によって実行されるすべてのソフトウェア(安全処理SM1およびSM2を含む)について、バイナリファイル(実行可能形式のファイル)のコピーを記憶する。
【0092】
図12(b)は分散方式を示す。車両制御装置は、マスターECU1201およびクライアントECU1202によって実行されるすべてのソフトウェアについて、バイナリファイルのコピーを、マスターECU1201およびクライアントECU1202のそれぞれの記憶装置(たとえば主記憶装置)に分散させて記憶する。この例では、通常時にはマスターECU1201は安全処理SM1を実行しており、障害時動作モードにおいてさらに安全処理SM2を実行することができる。
【符号の説明】
【0093】
101…環境認識センサシステム
102…環境認識システム
103…計画システム
104…無線通信システム
105…物理ネットワーク通信システム
106…作用システム
107…車体・シャーシ制御システム
108…インフォテインメントシステム
109…ヒューマンマシンインタフェースシステム
110…ドライバー監視システム
111…車両制御システム
112…V2Xシステム
113…ドライバーインテンション
114…機能不全監視システム
115…パワートレインシステム
201…センサ
202…ZCU
203…DVCU
401…第1DVCU
402…第2DVCU
403…第3DVCU
404…障害時動作パターン
405…安全処理リスト
406…安全処理リスト
407…ECU
408…センサ
409…システムズ・オン・ア・チップ式マイクロコンピュータ
601…第1DVCU
602…第2DVCU
603…第3DVCU
604…ADAS
901…第1DVCU
902…第2DVCU
903…第3DVCU
904…障害時動作パターン
905…安全処理リスト
906…安全処理リスト
907…ECU
908…センサ
SM1…安全処理
SM2…安全処理
SM3…安全処理
1201…マスターECU
1202…クライアントECU
1203…記憶装置
102…環境認識システム
103…計画システム
104…無線通信システム
105…物理ネットワーク通信システム
106…作用システム
107…車体・シャーシ制御システム
108…インフォテインメントシステム
109…ヒューマンマシンインタフェースシステム
110…ドライバー監視システム
111…車両制御システム
112…V2Xシステム
113…ドライバーインテンション
114…機能不全監視システム
115…パワートレインシステム
201…センサ
202…ZCU
203…DVCU
401…第1DVCU
402…第2DVCU
403…第3DVCU
404…障害時動作パターン
405…安全処理リスト
406…安全処理リスト
407…ECU
408…センサ
409…システムズ・オン・ア・チップ式マイクロコンピュータ
601…第1DVCU
602…第2DVCU
603…第3DVCU
604…ADAS
901…第1DVCU
902…第2DVCU
903…第3DVCU
904…障害時動作パターン
905…安全処理リスト
906…安全処理リスト
907…ECU
908…センサ
SM1…安全処理
SM2…安全処理
SM3…安全処理
1201…マスターECU
1202…クライアントECU
1203…記憶装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】