▶ ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-07
(45)【発行日】2023-12-15
(54)【発明の名称】安全なテレオペレート運転のためのシステム
(51)【国際特許分類】
G08G 1/09 20060101AFI20231208BHJP
G05D 1/00 20060101ALI20231208BHJP
B60W 60/00 20200101ALI20231208BHJP
【FI】
G08G1/09 F
G05D1/00 B
G08G1/09 V
B60W60/00
【請求項の数】
10
(21)【出願番号】P 2021558890
(86)(22)【出願日】2020-01-23
(65)【公表番号】
(43)【公表日】2022-06-01
(86)【国際出願番号】 EP2020051610
(87)【国際公開番号】W WO2020200535
(87)【国際公開日】2020-10-08
【審査請求日】2021-10-01
(31)【優先権主張番号】102019204941.9
(32)【優先日】2019-04-05
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】591245473
【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100161908
【弁理士】
【氏名又は名称】藤木 依子
(72)【発明者】
【氏名】ゲラルディ,アレクサンダー
(72)【発明者】
【氏名】ベナム,ベザド
(72)【発明者】
【氏名】ブランク,フレデリク
(72)【発明者】
【氏名】エッカート,クルト
(72)【発明者】
【氏名】バロセック,エリック
(72)【発明者】
【氏名】ボルター,ヤン
(72)【発明者】
【氏名】シュバルトマン,イェンス
(72)【発明者】
【氏名】フレス,カール・テオ
【審査官】増子 真
(56)【参考文献】
【文献】特開2018-062223(JP,A)
【文献】特開2017-058837(JP,A)
【文献】特開2018-142265(JP,A)
【文献】米国特許出願公開第2014/0207535(US,A1)
【文献】特開2018-170990(JP,A)
【文献】特開2017-138924(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G08G 1/00 - 99/00
B60W 10/00 - 10/30
B60W 30/00 - 60/00
G05D 1/00 - 1/12
H03J 9/00 - 9/06
H04Q 9/00 - 9/16
(57)【特許請求の範囲】
【請求項1】
テレオペレート運転のためのシステム(10)であって、- 前記システム(10)が、車両(20)、バックエンド(80)、および遠隔操作機器(90)を含むこと、
- 前記車両(20)、前記バックエンド(80)、および前記遠隔操作機器(90)が、移動無線ネットワーク(60)を介して交換し合うために適応されていること、ならびに
- 前記車両(20)が、安全性に関するコンポーネント(40)を含むこと、
を特徴とし、
前記コンポーネント(40)が、
前記遠隔操作機器(90)への引渡し前のシステムチェックであって、未定義の状況であるか判断する第1の手段(44)と、
前記車両(20)を遠隔操作するオペレータであって前記車両(20)へのアクセス権限を有するオペレータのリストおよび各オペレータの権限を参照する認証マネージャ(45)と、
前記オペレータに対し前記車両の進行状況を更新する運転タスク実行制御ユニット(49)と、を備える、システム(10)。
【請求項2】
- 前記コンポーネント(40)が、通信プロトコル監視器(41)、システム適合性チェッカー(52)、および運転タスクチェッカー(46)を含むことを特徴とする請求項1に記載のシステム(10)。
【請求項3】
前記コンポーネント(40)が、- 前記引渡し後のシステムチェックのための第2の手段(47)、
- 診断管理のための手段(50)、
- アクティブ化マネージャ(42)、
- 発進コマンド発信器(48)、
- データレコーダ(51)、または
- サービス品質計算器(43)、
の少なくとも1つをさらに含むことを特徴とする請求項2に記載のシステム(10)。
【請求項4】
- 前記サービス品質計算器(43)が、前記移動無線ネットワーク(60)のサービス品質をチェックするために適応されていること、および- 前記サービス品質計算器(43)がさらに、前記チェックされたサービス品質を前記安全性にとって重要なコンポーネント(40)に伝えるために適応されていること
を特徴とする請求項3に記載のシステム(10)。
【請求項5】
前記車両(20)が、- 周囲捕捉のための手段(21)、
- 車両室内捕捉のための手段(22)、
- 車両移動制御のための手段(23)、
- 自律走行機能および運転者支援システム機能(24)、
- システム状態マネージャ(25)、
- 前記移動無線ネットワーク(60)との接続のためのテレマティクスユニット(26)、
- 診断情報管理のための手段(27)、
- 車内の人間-機械インターフェイス(28)、
- 受動的安全機構(29)、または
- 車体制御のための手段(30)
の少なくとも1つを備えていることを特徴とする請求項2から4のいずれか一項に記載のシステム(10)。
【請求項6】
- 前記通信プロトコル監視器(41)が、前記移動無線ネットワーク(60)を介した前記交換の際の通信エラーを認識するために適応されていること、および- 前記通信プロトコル監視器(41)がさらに、前記認識された通信エラーを前記システム状態マネージャ(25)に通知するために適応されていること
を特徴とする請求項5に記載のシステム(10)。
【請求項7】
前記通信エラーの前記認識が、以下の原因または影響、すなわち- 情報の繰り返し、
- 情報の喪失、
- 情報の遅延、
- 情報の挿入、
- 情報の権限のないもしくは欠陥のあるアドレッシング、
- 情報の欠陥のあるシーケンス、
- 情報の改ざん、
- 1つの送信器から複数の受信器に送信された非対称な情報、
- 部分量だけが規定された受信器によって受信された1つの送信器からの1つの情報、または
- 通信チャネルへのアクセスの遮断
の少なくとも1つに基づいて行われることを特徴とする請求項6に記載のシステム(10)。
【請求項8】
前記バックエンド(80)が、- 権限制御プログラム(81)、
- データメモリ(82)、
- 地図サービス(83)、または
- パスプランニングのための手段(84)
の少なくとも1つを含むことを特徴とする請求項1から7のいずれか一項に記載のシステム(10)。
【請求項9】
前記遠隔操作機器(90)が、- 視界の外の前記車両(20)を操作するための第1のオペレータインターフェイス(91)、および
- 視界の中の前記車両(20)を操作するための第2のオペレータインターフェイス(92)
の少なくとも1つを含むことを特徴とする請求項1から8のいずれか一項に記載のシステム(10)。
【請求項10】
- 前記システム(10)がインフラコンポーネント(70)をさらに含むこと、および- 前記インフラコンポーネント(70)がインテリジェント駐車インフラ(71)を含むこと
を特徴とする請求項1から9のいずれか一項に記載のシステム(10)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、テレオペレート運転(teleoperated driving:ToD)のためのシステムに関する。
【背景技術】
【0002】
現況技術による部分自律型車両は、車両操縦インターフェイス(「運転席」)と、運転に長けており、かつ車両操縦の権限をもつ車両乗員としての人物とを前提条件とし、この人物が、必要の際には操縦を引き継ぐことができる。数多くの研究プロジェクトの対象はいわゆるテレオペレート運転であり、このテレオペレート運転では、挑戦的なシナリオ、例えば農道を経由する迂回、代替的および突飛なルートなどを克服する運転の際に、車両は遠隔制御によって補助され得る。すなわち、運転タスクが、指令センターにいる外部の操作者、いわゆるオペレータによって一時的に完全に引き継がれ得る。このために、車両と指令センターまたはその運用者とが、低いレイテンシおよび高いデータレートの移動無線ネットワークによって相互に接続されている。
【0003】
米国特許第9,494,935(B2)号は、自律型乗用車を遠隔操作するためのコンピュータ装置、システム、および方法を開示している。自律型車両が、例えば道路工事または障害物のような予期しない、自律操作に不向きな周囲環境に遭遇すると、車両センサは、車両および予期しない周囲環境についての、画像、レーダデータ、およびライダデータなどを含むデータを捕捉し得る。捕捉されたデータは遠隔の操作者に送信され得る。遠隔の操作者は、車両を手動で遠隔操作できる、すなわち自律型車両に、様々な車両システムによって実行されるべき指示を与え得る。遠隔の操作者に送られる捕捉データは、帯域幅を節減するため、例えば捕捉データの限定的な部分量を送信することによって最適化され得る。
【0004】
米国特許第9,767,369(B2)号による車両は、車両の周囲の1つまたは複数の画像を受信できる。この車両は周囲地図も取得できる。車両は、画像内の少なくとも1つの特徴を地図内の1つまたは複数の特徴とマッチングすることもできる。車両は、1つまたは複数の画像内の特定の領域を識別することもでき、この特定の領域は、1つまたは複数の特徴に対して閾間隔(Schwellenabstand)内に存在する、地図の一部分に相当する。車両は、画像の領域内の、所与の領域より少量の細部を記録するために、1つまたは複数の画像を圧縮することもできる。車両は、圧縮した画像を遠隔のシステムにも提供でき、それに応じて遠隔のシステムからの動作指示を受信できる。
【0005】
米国特許第9,465,388(B1)号によるシステムおよび方法は、動作中の車両の信頼度が低い場合に、自律型車両が遠隔の操作者の助けを要求することを可能にする。1つの例示的な方法は、第1の自律モードでの自律型車両の動作を含む。この方法は、第1の自律モードでの自律動作の信頼度レベルが閾値レベルより低い状況の識別も含み得る。この方法は、遠隔のアシスタントへの補助の問合せの送信をさらに含むことができ、この問合せには、自律型車両の周囲の一部を表すセンサデータが内包されている。この方法はそれに加え、遠隔のアシスタントからの応答の受信を含むことができ、この応答は、第2の自律動作モードを提示している。この方法は、自律型車両が遠隔のアシスタントの応答による第2の自律動作方式で動作するようにすることもできる。
【0006】
米国特許第9,720,410(B2)号は、所定の状況での自律型車両のためのさらなる遠隔補助方法を開示している。
【発明の概要】
【0007】
本発明は、請求項1による安全なテレオペレート運転のためのシステムを提供する。
これに関し、本発明によるアプローチは、自動化された車両が自力で解決できず、かつその状況またはシステムの不足を克服してシステム全体を安全な状態にもっていくために人間の介入が必要な状況が存在するという知見に基づいている。この介入は、本発明によれば遠隔から行われ、したがって必ずしも車両内に運転者がいる必要はない。
これに関し、本発明によるアプローチは、自動化された車両が自力で解決できず、かつその状況またはシステムの不足を克服してシステム全体を安全な状態にもっていくために人間の介入が必要な状況が存在するという知見に基づいている。この介入は、本発明によれば遠隔から行われ、したがって必ずしも車両内に運転者がいる必要はない。
【0008】
このために提案しているアプローチの1つの利点は、部分または完全自動化された車両をコントロールセンターにいるオペレータにより(機能的に)安全に遠隔制御するためのシステムのコンポーネントのアーキテクチャおよびインテグレーションを提供することにある。これは、テレオペレート運転のためのセーフティクリティカルなシステムコンポーネントの規定と、相応のシステム挙動を達成するための動作的に安全なおよび情報的に安全な(safe and secure)システムインテグレーションの説明によって達成され得る。
【0009】
従属請求項に記載した措置により、独立請求項に提示した基本的思想の有利な変形形態および改善形態が可能である。したがって、遠隔認識および遠隔制御のタスクを可能にするまたは改善するための追加的な任意選択のコンポーネントが設けられ得る。このようにして、走行動作の遠隔認識(remote sensing)および遠隔制御(remote control)を、移動通信接続および様々な動作モードの特性を考慮して機能的に安全に実施するための、すべての重要なシステムコンポーネントが集積されている、テレオペレート運転のためのシステムおよび帰属のシステムアーキテクチャが提供される。
【0010】
本発明の例示的実施形態を図面に示しており、かつ以下の説明においてより詳しく解説する。
【図面の簡単な説明】
【0011】
【図1】一実施形態によるシステムのブロック図である。
【発明を実施するための形態】
【0012】
図は、ToD車両(20)と、例えば第5世代(5G)の移動無線ネットワーク(60)と、バックエンド(80)と、遠隔操作機器(90)と、インフラコンポーネント(70)と、それぞれ内包されている非常に重要なコンポーネントとを高い抽象度で示している。周囲捕捉(remote sensing)のためのコンポーネント(21)は、ToD車両(20)の周囲に関するすべての情報を、例えばレーダセンサ、カメラセンサ、超音波センサ、ライダセンサ、回転数センサ、慣性ナビゲーションシステム(inertial measurement unit:IMU)、およびクラッシュ検出器を使って収集する。車両室内捕捉(vehicle interior sensing)のためのコンポーネント(22)は、運転者および乗客を監視するための、車両(20)内のすべてのセンサ、例えば運転者活動センサ(driver activity sensor)および着座情報(seat occupation Information)を利用する。車両移動制御(vehicle motion control)のためのコンポーネント(23)は、車両移動および車両安定性を担っている。
【0013】
さらに、自律走行機能(autonomous driving:AD)および運転者支援システム機能(advanced driver assistance Systems:ADAS)に言及しなければならない。相応のコンポーネント(24)は、例えば知覚(perception)、状況分析(Situation analysis)、機能挙動(function behavior)、反応マネージャ(reaction manager)、および予測(prediction)に関する。
【0014】
すべてのシステム状態は、システム状態マネージャ(25)内で処理される。この場合、2つの動作モードが考察される。
1.オペレータが自動化された車両(20)を直接的に目視せずに操縦または運転し、したがって車両情報および車両周囲がオペレータに伝送および表示されなければならない遠隔操作、ならびに
2.オペレータが自動化された車両(20)を直接的に目視して操縦または運転し、したがってオペレータが車両ステータスおよび周囲を直接的にコントロールできる遠隔操作。
1.オペレータが自動化された車両(20)を直接的に目視せずに操縦または運転し、したがって車両情報および車両周囲がオペレータに伝送および表示されなければならない遠隔操作、ならびに
2.オペレータが自動化された車両(20)を直接的に目視して操縦または運転し、したがってオペレータが車両ステータスおよび周囲を直接的にコントロールできる遠隔操作。
【0015】
テレマティクスユニット(Connectivity control unit:CCU 26)は、5G移動無線ネットワーク(60)を介した通信のための、システム(10)のインターフェイスである。診断情報管理のためのコンポーネント(27)は、一般的なシステム診断を担当しており、車内の人間-機械インターフェイス(human-machine interface:HMI 28)は、車両(20)の運転者または同乗者に対するインターフェイスである。
【0016】
受動的安全性(passive safety)のための機構(29)は、例えばエアバッグ、いわゆるプリクラッシュ認識およびイベントデータレコーダ(event data recorder)を含んでいる。車体制御(body control)のためのコンポーネント(30)は、電流供給、車両(20)内の通信、車両エントリーシステム、および照明システムを担っている。その他の安全性にとって重要なコンポーネント(40)は、テレオペレート運転の安全性にとって重要なすべての目標を担っている。
【0017】
これに関し、システム(10)の処理方式は、以下の安全目標を顧慮している。
1.両サイド(送信器、受信器)での通信エラーを認識し、設定された許容時間tc内にシステム(10)を安全な状態にもっていくこと、
2.すべてのシステム要素の適合性を認識し、許容時間t0内にシステム(10)を安全な状態にもっていくこと、
3.システム(10)への権限のないアクセスを認識し、許容時間ts内にシステム(10)を安全な状態にもっていくこと、
4.安全なToD機能に対してクラッシュ、プリクラッシュ、またはその他の重要なデータを認識し、要求に応じてコントロール室に送信すること、
5.車両(20)の近傍(例えば任意の角度で最大50cmの間隔をあけた)および車両(20)の下にあるオブジェクトを捕捉し、これらのオブジェクトをオペレータに通知すること、ならびに
6.システム境界を捕捉し、システム境界侵犯の際に設定時間tb内に反応すること。
1.両サイド(送信器、受信器)での通信エラーを認識し、設定された許容時間tc内にシステム(10)を安全な状態にもっていくこと、
2.すべてのシステム要素の適合性を認識し、許容時間t0内にシステム(10)を安全な状態にもっていくこと、
3.システム(10)への権限のないアクセスを認識し、許容時間ts内にシステム(10)を安全な状態にもっていくこと、
4.安全なToD機能に対してクラッシュ、プリクラッシュ、またはその他の重要なデータを認識し、要求に応じてコントロール室に送信すること、
5.車両(20)の近傍(例えば任意の角度で最大50cmの間隔をあけた)および車両(20)の下にあるオブジェクトを捕捉し、これらのオブジェクトをオペレータに通知すること、ならびに
6.システム境界を捕捉し、システム境界侵犯の際に設定時間tb内に反応すること。
【0018】
これらの安全目標を達成するために様々な安全コンポーネントが用いられる。安全目標1を達成するために、例えば通信プロトコル監視器(41)が5G通信線を、通信エラーの上記すべての観点で監視し(ISO 26262-6、D.2.4を参照)、かつエラーを必要に応じてシステム状態マネージャ(25)に通知する。
【0019】
安全目標6を達成するために、遠隔操作機器(90)およびオペレータへの引渡し前のシステムチェックのためのコンポーネント(44)が用いられる。未定義の状況の場合には引渡しは行われない。オペレータから自動化された車両(20)への引渡し後のシステム境界のチェックは、自動化された車両(20)がその通常の運転タスクを実行し得るかどうかという疑問を解明するための相応のコンポーネント(47)によって行われる。
【0020】
同様に安全目標6を達成するために、以下の診断管理(50)が用いられる。すなわちToD診断(SAE J3016による自律段階2~5に関する)が、ToD機能のアクティブ化前に作動される。この診断は、比較的狭い意味でのToD機能性(センサ可用性、ブレーキなど)のチェックだけでなく、可能なToD制御(マヌーバ、パスプランニング、挙動プランニング、速度、方向転換、バック走行など)の確定を含む。ToD機能のアクティブ化が不可能である場合、自動車工場または自動車メーカにコンタクトをとることが望ましい。
【0021】
同様に安全目標6を達成するために、最後にアクティブ化マネージャ(42)が設けられている。ここではすべての重要かつ可用な安全関連パラメータ、例えばユーザによって知覚されるサービス品質(perceived quality of Service:pQoS)およびアクティブ化経路の複雑さが、車両(20)内の安全コンポーネントの複雑さを軽減するために使用されることが望ましい。
【0022】
安全目標3を達成するために、認証マネージャ(45)が用いられる。これに関し、完全な安全チェーンの認証は以下の視点を考慮する。
・ 車両(20)へのアクセス権限のあるオペレータのリスト、
・ 正規のソフトウェアおよびハードウェアの可用性、
・ オペレータの権限、
・ コントロール室、
・ バックエンド(80)、ならびに
・ 通信チャネルおよびサーバ(別のサーバまたはチャネルへの迂回は回避されるべきである)。
・ 車両(20)へのアクセス権限のあるオペレータのリスト、
・ 正規のソフトウェアおよびハードウェアの可用性、
・ オペレータの権限、
・ コントロール室、
・ バックエンド(80)、ならびに
・ 通信チャネルおよびサーバ(別のサーバまたはチャネルへの迂回は回避されるべきである)。
【0023】
安全目標5を達成するために、発進コマンド発信器(48)が用いられる。この点で、車両(20)は違反の際に移動してはいけないので、自動化された車両(20)の発進(drive away)をチェックし、それについてオペレータに通知することができる。考慮されるのは、とりわけ、下回りの車両監視、50cmの隙間をあけたランダムな車両監視、局地的な気象条件(温度、凍結した道路などに関する)のチェック、および可用なセンサ性能(センサの視認性、盲目性など)である。
【0024】
安全目標4を達成するために、ToDデータレコーダ(51)が用いられる。すなわち、すべてのToDに重要なデータ、例えば引渡しのタイムスタンプ、オペレータID、オペレータの運転スタイル、適用された通信チャネル、権限情報、および万一のクラッシュが、このコンポーネントによりローカルで記録され、かつ要求に応じてサーバへ伝送される。
【0025】
安全目標1を達成するために、受信されたネットワークQoS値がサービス品質計算器(43)によってチェックされ、帰属の安全コンポーネントへ転送され得る。運転タスクチェッカー(46)には、オペレータによって要求された運転タスクが実行可能かどうか、ならびにToD機能およびAD機能に関する安全目標に反しないかどうかのチェックが課されており、その一方で運転タスク実行制御ユニット(49)は、運転タスクの監視および操作者への進行状況の更新を保証している。エラーの場合にはオペレータがシステム(10)を制御し得る。
【0026】
最後に、安全目標2を達成するために、システム適合性チェッカー(52)が用いられる。ここでは、ToD機能のアクティブ化前およびその実行中の、自動化された車両(20)内、バックエンド(80)内のハードウェアおよびソフトウェアと、コントロール室と、通信チャネル上で実行されるプロトコルとの適合性のチェックが考えられ得る。
【0027】
代替的な1つの処理方式によれば、ISO 26262、ISO 25119、またはDIN EN 16590に準拠する危険分析およびリスク評価(hazard analysis and risk assessment:HARA)に基づいて、上記の安全目標が異なる評価を受け得る。したがって本発明によるシステム(10)に関しては、最も高い、機能性全体のために定義された自動車技術安全要求段階(automotive safety integrity level:ASIL)を規準とする。
【図1】