特許 7569864 第１のアクチュエータシステムと第２のアクチュエータシステムとを備えたシステムユニット

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-10-09

(45)【発行日】2024-10-18

(54)【発明の名称】第１のアクチュエータシステムと第２のアクチュエータシステムとを備えたシステムユニット

(51)【国際特許分類】

   B60W 10/20 20060101AFI20241010BHJP

   B60W 10/18 20120101ALI20241010BHJP

   B60T 17/22 20060101ALI20241010BHJP

   B60T 8/88 20060101ALI20241010BHJP

   B60W 50/035 20120101ALI20241010BHJP

   B60W 60/00 20200101ALI20241010BHJP

【ＦＩ】

B60W10/00 132

B60T17/22 Z

B60T8/88

B60W50/035

B60W10/20

B60W10/18

B60W60/00

【請求項の数】 10

(21)【出願番号】P 2022558486

(86)(22)【出願日】2021-03-17

(65)【公表番号】

(43)【公表日】2023-05-15

(86)【国際出願番号】 EP2021056844

(87)【国際公開番号】W WO2021204506

(87)【国際公開日】2021-10-14

【審査請求日】2022-09-27

(31)【優先権主張番号】102020204529.1

(32)【優先日】2020-04-08

(33)【優先権主張国・地域又は機関】DE

【前置審査】

(73)【特許権者】

【識別番号】591245473

【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング

【氏名又は名称原語表記】ＲＯＢＥＲＴ ＢＯＳＣＨ ＧＭＢＨ

(74)【代理人】

【識別番号】100177839

【弁理士】

【氏名又は名称】大場 玲児

(72)【発明者】

【氏名】ブーベック，サミュエル

【審査官】吉村 俊厚

(56)【参考文献】

【文献】特表２０１０－５３４５９１（ＪＰ，Ａ）

【文献】国際公開第２０１９／０８２６４７（ＷＯ，Ａ１）

【文献】国際公開第２０１９／２０６５０６（ＷＯ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｂ６０Ｗ １０／００ － ６０／００

Ｂ６０Ｔ ７／１２ － ８／１７６９

８／３２ － ８／９６

(57)【特許請求の範囲】

【請求項1】

少なくとも第１のアクチュエータシステム（１２０）と第２のアクチュエータシステム（１４０）とを備え、これらアクチュエータシステムがそれぞれ少なくとも補助作動モードと緊急作動モードとを有している、少なくとも部分的に自動化されたモバイルプラットフォームのためのシステムユニット（１００）において、
前記第１のアクチュエータシステム（１２０）と前記第２のアクチュエータシステム（１４０）とがそれぞれ、
前記第１のアクチュエータシステム（１２０）および前記第２のアクチュエータシステム（１４０）のいずれか一方のアクチュエータシステムでクリティカルエラーが識別される場合に前記一方のアクチュエータシステムが休止作動モードに変わるように、且つ
前記一方のアクチュエータシステムが前記休止作動モードに変わる場合に前記一方のアクチュエータシステムの機能性の少なくとも一部を実施するために、他方のアクチュエータシステムが前記補助作動モードに変わるように、且つ
前記補助作動モードにある前記他方のアクチュエータシステムでクリティカルエラーが識別される場合に前記他方のアクチュエータシステムが前記緊急作動モードに切換わるように、
設置され且つ連結されており、
前記第１のアクチュエータシステム（１２０）と前記第２のアクチュエータシステム（１４０）とがそれぞれ、車両の挙動を制御するために使用される目標値を受信するように、且つ前記緊急作動モードで、前記目標値が現時点で受信されるかどうかをチェックするように設置され且つ連結されており、
前記第１のアクチュエータシステム（１２０）と前記第２のアクチュエータシステム（１４０）とがそれぞれ、前記緊急作動モードで、受信した現時点での前記目標値で第１のアクションを実施するように設置され且つ連結され、前記第１のアクションが前記受信した現時点での目標値の値に依存して実施される、システムユニット（１００）。

【請求項2】

前記クリティカルエラーが、前記一方のアクチュエータシステム自体によって、および／または、前記他方のアクチュエータシステムによって、および／または、上位システムによって識別される、請求項１に記載のシステムユニット（１００）。

【請求項3】

前記第１のアクチュエータシステム（１２０）が電子ブレーキ倍力装置（ｅＢＫＶ）システムであり、前記第２のアクチュエータシステム（１４０）がモバイルプラットフォームの電子スタビリティプログラム（ＥＳＰ）システムであり、または、前記第１のアクチュエータシステム（１２０）がモバイルプラットフォームの第１のステアリングシステムであり、前記第２のアクチュエータシステム（１４０）がモバイルプラットフォームの第２のステアリングシステムであり、または、前記第１のアクチュエータシステム（１２０）がインテグレーテッドパワーブレーキシステムであり、前記第２のアクチュエータシステム（１４０）がモバイルプラットフォームの冗長ブレーキユニットである、請求項１または２に記載のシステムユニット（１００）。

【請求項4】

請求項１～３のいずれか一項に記載のシステムユニット（１００）を、少なくとも部分的に自動化されたモバイルプラットフォームの制御のために使用する方法。

【請求項5】

それぞれ補助作動モードと緊急作動モードとを有している第１のアクチュエータシステム（１２０）および第２のアクチュエータシステム（１４０）を備える少なくとも部分的に自動化されたモバイルプラットフォームのためのシステムユニット（１００）を装置によって制御する方法（２００）において、
前記第１のアクチュエータシステム（１２０）および前記第２のアクチュエータシステム（１４０）のいずれか一方のアクチュエータシステムにクリティカルエラーが識別される場合に前記一方のアクチュエータシステムを休止作動モードへ変えるステップ（Ｓ１）と、
前記一方のアクチュエータシステムが前記休止作動モードへ変わる場合に前記一方のアクチュエータシステムの機能性の少なくとも一部を実施するために、他方のアクチュエータシステム、を前記補助作動モードへ変えるステップ（Ｓ２）と、
前記補助作動モードにある前記他方のアクチュエータシステムを、このアクチュエータシステムにクリティカルエラーが識別される場合に（Ｓ３）、前記他方のアクチュエータシステムを前記緊急作動モードへ切換えるステップ（Ｓ４）と、
を含み、
前記緊急作動モードにある前記アクチュエータシステム（１２０，１４０）は、前記第１のアクチュエータシステム（１２０）および／または前記第２のアクチュエータシステム（１４０）に対する車両の挙動を制御するために使用される目標値が現時点で受信されるかどうかをチェックし（Ｓ５）、
前記緊急作動モードにある前記他方のアクチュエータシステムは、受信した現時点での前記目標値を備えていれば、前記受信した現時点での目標値の値で第１のアクション（Ｓ６）を実施する、方法（２００）。

【請求項6】

前記緊急作動モードにある前記他方のアクチュエータシステムの予め定義した特性曲線を用いて、および／または、前記緊急作動モードにある前記他方のアクチュエータシステムの予め定義した弁位置を用いて、前記緊急作動モードにある前記他方のアクチュエータシステム（１２０，１４０）は、前記受信した現時点での目標値の値で前記第１のアクションを実施する（Ｓ６）、請求項５に記載の方法（２００）。

【請求項7】

識別した前記クリティカルエラーおよび／もしくは前記休止作動モードおよび／もしくは前記補助作動モードおよび／もしくは前記緊急作動モードに基づいて、少なくとも部分的に自動化された車両を起動するための制御信号を提供し、並びに／または、識別した前記クリティカルエラーおよび／もしくは前記休止作動モードおよび／もしくは前記補助作動モードおよび／もしくは前記緊急作動モードに基づいて、車両乗員に警告するための警告信号を提供する、請求項５または６に記載の方法。

【請求項8】

請求項５～７のいずれか一項に記載の方法を実施するために設置されている装置。

【請求項9】

コンピュータによってコンピュータプログラムを実施する際に請求項５～７のいずれか一項に記載の方法をコンピュータに実施させる命令を含んでいる前記コンピュータプログラム。

【請求項10】

請求項９に記載の前記コンピュータプログラムが記憶されている機械読み取り可能な記憶媒体。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、少なくとも第１のアクチュエータシステムと第２のアクチュエータシステムとを備えて少なくとも部分的に自動化されたモバイルプラットフォームのためのシステムユニットに関するものである。

【背景技術】

【0002】

ドライバーアシストシステムは、今日の自動車では種々の特性レベルでますます普及している。ドライバーアシストシステムは部分的に自動化されて、または自動化されて車両の駆動、制御（たとえばステアリング）または信号化装置に介入し、或いは、適当な人・機械インターフェースを通じてドライバーに危険な状況直前に警告し、または、危険な状況の間支援する。

【0003】

このため、具体的には、現在の車両ブレーキシステムはたとえば標準的なＥＳＰ／ＡＢＳの形態の安定化機能以外にますます機能範囲が拡大し、ブレーキ操作時に電気機械式ブレーキ倍力装置（ｅＢＫＶ）を通じてブレーキペダルの操作の際のパワー支援によってドライバーをサポートしたり、或いは、液圧によるブレーキ圧をドライバーのアクティブな関与なしにアクティブに変調するためのシステムユニット（たとえばＥＳＰ，ｅＢＫＶ，ブーストユニットなど）によるサポート機能または部分サポート機能を有している。

【発明の概要】

【0004】

高度自動化運転および／または部分自動化運転および／または自律運転および／または部分自律運転のための将来のコントロールシステムは、特定の、場合によっては機能的な冗長性の微分動作を要求し、その結果エラーの場合には、少なくとも時間的に限定的に、たとえばブレーキコントロールシステムで「エラーオペレーショナル」システムを保証できて、少なくとも一時的に欠如しているドライバーによる交通状況の監視、一時的に欠如しているその時々の責任主権、または、ドライバーの完全な不在を潜在的に可能にする。

【0005】

たとえば、車両ブレーキシステムは、システム内に最初のエラーが発生した場合にすべてのブレーキ機能をブレーキシステムのサブユニットが受け持つように構成されていることができる。加えて、公知の自動運転機能に対しては、たとえばＳＡＥ Ｌｅｖｅｌ３およびそれ以下では車両操縦責任をドライバーに返すことができ、或いは、走行を予定よりも早く終了せざるを得ない。というのは、他の機能的なフォールバックシステムが設けられておらず、このようなブレーキシステムにおいて２回目のエラーが発生すると、車両の減速能力がもはや付与されなくなる可能性があるからである。これは、ドライバーが存在しないような走行モードでこのようなシステムが使用される場合に、或いは、このような走行モードでドライバーが介入できないような場合に、特に重要である。

【0006】

たとえば、ブレーキシステムは一次および二次のスタビリティアクチュエータ装置を有することができ、一次アクチュエータ装置はエラーのない状態で（メイン）スタビリティ機能を提供することができる。その際二次アクチュエータ装置は、典型的には、そのエラーのない状態である程度一次アクチュエータ装置の機能性を受け持つことができる。その際、二次アクチュエータ装置のこのような機能性はフォールバックシステムの必要な機能に限定されていてよく、或いは、一次スタビリティアクチュエータ装置の機能範囲すべてを含んでいてよい。たとえば、自律運転車両でのブレーキシステムは、すなわちｕｓｅ－ｃａｓｅ：自律運転ＳＡＥ Ｌｅｖｅｌ４のためのブレーキシステムは、一次および二次のブレーキユニットを有していてよい。ブレーキシステムの故障の場合には、一次ブレーキユニットは二次ブレーキユニットなしで機能範囲の全体を受け持つようにシフトすることができ、二次ブレーキユニットは一次ユニットの機能範囲の一部を有することができ、場合によっては複数の機能のうちのこの一部を受け持つことができる。

【0007】

一次アクチュエータ装置によって提供されるこのような機能性は、例を挙げると、たとえば電子スタビリティプログラム（ＥＳＰ）・逆送液圧装置による車輪ごとのアクティブおよびパッシブな圧力変調を含んでいてよく、二次アクチュエータ装置はたとえばシングルチャネル型のアクティブおよび／またはパッシブな圧力変調の機能性を含んでいてよく、この圧力変調は、たとえばファイルブーストユニットおよび／または電気機械式ブレーキ倍力装置によって実現されていてよい。

【0008】

ＳＡＥ Ｌｅｖｅｌ４の車両において、２つのブレーキユニットのうちの一方だけしか機能していないようなエラーケースでドライバーが安全に引き受けることは不可能であるので、このようなシステムは可能な限り信頼性をもって設計する必要がある。

【0009】

このようなシステムを更なるエラーに対し最適に反応するように設計することは、対応するエラーが組み合わさる可能性があることによって非常に複雑であり、故障しやすく、このような状況が起こる確率が非常に少ないので非経済的である。というのは、対応するエラー状況のためのシステムすべてのアクティブなコントローラが最適に反応するように設計されねばならないからである。すなわち、特にエラー信号または不正確な信号は捕捉できねばならず、しかもセンサおよびアクチュエータの必要なすべての信号は妥当性に関して監視されねばならない。しかしながら、これは、すでに検知されたエラーによってエラー検知機構の一部が機能しなくなるので、エラーを発見する確率が比較的少ないことを受け入れたうえで、開発コストの高いソフトウェアでしか可能でない。

【0010】

本発明の観点に対応して、前記の作用を少なくとも部分的に有する、独立請求項の構成によるシステムユニット、システムユニットの使用方法、システムユニットを制御する方法、装置およびコンピュータプログラム製品並びにコンピュータで読み取り可能な記憶媒体が記載される。有利な構成は従属請求項および以下の説明の対象である。

【0011】

１つの観点によれば、少なくとも第１のアクチュエータシステムと第２のアクチュエータシステムとを備え、これらアクチュエータシステムがそれぞれ少なくとも補助作動モードと緊急作動モードとを有している、少なくとも部分的に自動化されたモバイルプラットフォームのためのシステムユニットが提案される。その際、第１のアクチュエータシステムと第２のアクチュエータシステムとはそれぞれ、特定のアクチュエータシステムでクリティカルエラーが識別される場合に休止作動モードに変わるように、設置され且つ連結されている。さらに、第１のアクチュエータシステムと第２のアクチュエータシステムとは、休止作動モードにある特定のアクチュエータシステムの機能性の少なくとも一部を実施するためにアクチュエータシステムの一方が休止作動モードに変わる場合に補助作動モードに変わるように、設置され且つ連結されている。さらに、第１のアクチュエータシステムと第２のアクチュエータシステムとは、補助作動モードにある特定のアクチュエータシステムでクリティカルエラーが識別される場合に緊急作動モードに切換わるように、設置され且つ連結されている。

【0012】

したがって、このシステムユニットにより、システムユニットの２番目のクリティカルエラーが発生する場合に初めて、すなわち補助作動モードで作動を存続している特定のアクチュエータシステムの最初のエラーが発生する場合に初めて作動する、緊急作動モードの形態の更なるセキュリティレベルが提供される。作動を存続しているアクチュエータシステムは、たとえば、補助作動モードでクリティカルエラーが発生するまで、アクチュエータシステムの補助作動モードにおいてシステムユニットに対し求められるあらゆる要求を満たすことができる。まだ作動しているアクチュエータシステムは、システムユニットの２番目のエラーの後、リスクを最小限にするための機能性をモバイルプラットフォームまたはモバイルプラットフォームの車両乗員に対して提供する必要がある。その際、この機能性は緊急作動モードに比べてかなり軽減した要求を有していてよい。

【0013】

たとえば、ブレーキシステムの形態のシステムユニットに対しては、２番目のエラーがまだ存続しているブレーキユニットを阻害する場合に初めて作動する更なるセキュリティレベルを提供できる。ブレーキシステムの、作動を存続しているブレーキユニットの形態で、補助作動モードにある特定のアクティブなアクチュエータシステムは、２番目のエラーまで、公知のブレーキシステムのフォールバックシステムに対するあらゆる要求を満たすことができる。ブレーキシステムの２番目のエラーの後、たとえば存続しているアクティブなブレーキユニットのような、ブレーキシステムのまだ存続しているアクティブなアクチュエータシステムにより、機能性を限定して、車両乗員に対するリスクを最小限にするための操縦を実施することができる。このような操縦に対しては、このようなブレーキシステムを備えているモバイルプラットフォームのスタビリティおよびダイナミックスに対してさらに強く限定した要求だけが適用される。

【0014】

したがって、このようなシステムユニットにより、最小限のセンサ装置、通信手段、アクチュエータでもってたとえば車両のようなモバイルプラットフォームを前述のエラー時に安全な状態へもたらすことができる、たとえばブレーキシステムのようなこの種のシステムユニットのための可能な限り強靭な作動モードを提供できる。

【0015】

よって、このようなシステムユニットが冗長ブレーキシステムの形態で実現されれば、高度自律運転のためのブレーキシステムを提供できる。

【0016】

したがって、このようにこのシステムユニットを用いると、（トータル）ロスのリスクを最小限に抑えることができ、しかも前述の形態で更なるセキュリティレベルをシステムユニットの両アクチュエータ内に実装することで、第３のアクチュエータシステムを使用する必要がない。この更なるセキュリティレベルは、第１のフォールバックシステムにおいてたとえばブレーキ機能を提供する特定のアクチュエータシステムに対してエラーがあるかどうかをも識別または検知する場合にこのアクチュエータシステム内でアクティブに切換えられる。

【0017】

したがって、前述したシステムユニットは、特定のアクチュエータシステムおよび／またはセンサ装置および／またはアクチュエータシステムの制御器間の通信のエラーにほとんど依存しない更なるセキュリティレベルを提供し、しかも（緊急）ブレーキを実施することができる。

【0018】

このため、特定のアクチュエータシステムは、最小限の機能性だけをダイレクトに起動させることができる制御機構を有している。ブレーキシステムの場合、これは、アクチュエータシステム内の増圧のために特定の位置へ切換えねばならない液圧弁であっても、モータ起動部であってもよい。このようなシステムユニットにより、高度自律運転のための冗長ブレーキシステムを提供できる。

【0019】

このように、一次ブレーキユニットと二次ブレーキユニットから成るたとえばブレーキシステムのようなこの種のシステムユニットにおいて２つのクリティカルエラーの発生または識別後も、システムユニットは自動的にオフされずに、たとえばさらに（緊急）ブレーキを実施するので、有利である。

【0020】

したがって、換言すれば、最初のクリティカルエラーが発生した場合、一次ブレーキユニットは二次ブレーキユニットなしで全機能範囲を実行でき、或いは、二次ブレーキユニットは一次ユニットの機能範囲の一部を受け持つことができる。このように、システムユニットの２番目のエラーがまだ存続しているブレーキユニットを阻害する場合に初めて作動する更なるセキュリティレベルが提供される。存続しているブレーキユニットは、たとえばブレーキシステム内に２番目のエラーが発生するまで、公知のブレーキシステムのフォールバックシステムに対するすべての要求を満たすことができる。この付加的なフォールバックシステムによって、２つのブレーキユニットのうちの一方だけが機能しているような状況で、付加的な安全性を提供することができる。その際、それぞれのアクチュエータシステムは、それぞれ他のアクチュエータシステムの機能性の少なくとも一部を付加的に実施するために設置されていてよい。

【0021】

１つの観点によれば、第１のアクチュエータシステムと第２のアクチュエータシステムとはそれぞれ、目標値を受信して、緊急作動モードで目標値が現時点で受信されるかどうかをチェックするように設置され且つ連結されていることが提案される。

【0022】

このような目標値は、当該目標値をコントロール回路内または対応的に特性曲線内に設定するために、それぞれのアクチュエータシステムに予め与えられてよい。エラー時には、目標値を与えているセンサとの通信が妨害されていることがあるので、緊急作動モードにおいて、目標値の受信という形態のこのような通信が損なわれていないかどうかをチェックすることができる。このとき、緊急作動モードにおける特定のアクチュエータシステムのその後の挙動は、目標値に依存して行うことができる。

【0023】

１つの観点によれば、第１のアクチュエータシステムと第２のアクチュエータシステムとはそれぞれ、緊急作動モードで、受信した現時点での目標値で第１のアクションを実施するように、および／または、受信した現時点での目標値なしで第２のアクションを実施するように設置され且つ連結され、この場合第１のアクションは受信した現時点での目標値の値に依存して実施されることが提案される。

【0024】

このような目標値は、たとえばバスシステムを介して、目標値を与えているシステムおよび／またはセンサから特定のアクチュエータシステムへ伝達することができる。システムユニットは、たとえば緊急作動モードでこの伝達または通信をチェックして、このような目標値を、たとえば少なくとも部分的に自動化されたモバイルプラットフォームのバーチャルドライバーのブレーキ力という形態で実行できるかどうかを判断できるように設置されていてよい。第１のアクションは、たとえば、目標値の値に対応して実行されるアクションであってよく、そして第２のアクションは、たとえば予め確定されているアクションであってよい。ブレーキシステムに対しては、第１のアクションは予め設定されているブレーキ力または対応的に予め設定されている制動経過を持ったブレーキングに対応していてよく、そして第２のアクションは予め設定されている緊急ブレーキングであってよい。その際、第１のアクションはコントロール回路を用いて、および／または、特性曲線による制御を用いて実行してよい。

【0025】

この緊急作動モードで場合によっては監視されない内部信号および外部信号へのシステムユニットの依存性をできるだけ少なくするため、緊急作動モードでのアクチュエータシステムの起動は、特性曲線に基づいてコントロールしてよく、および／または、フルコントロールで制御してよい。

【0026】

目標値を与えるシステムとの通信の機能性をこのようにチェックすることは、それぞれの時点でその時点での目標値を特定のアクチュエータシステムに伝達すれば、ポジティブに評価することができる。

【0027】

たとえば、第２のアクションにおいて、たとえば部分的に自動化された車両のようなモバイルプラットフォームは、たとえばブレーキングによって安全な状態へもたらすことができる。

【0028】

１つの観点によれば、クリティカルエラーは、特定のアクチュエータシステム自体によって、および／または、アクチュエータシステムのそれぞれ他のアクチュエータシステムによって、および／または、上位システムによって識別されることが提案される。

【0029】

もし特定のアクチュエータシステムのクリティカルエラーが存在することが上位システムによって識別されれば、さらに、更なる量と依存性とを他のシステムを用いて考慮することができる。もし特定のアクチュエータシステムがクリティカルエラー自体を識別するならば、より大きな独立性と、これに対応して特に外部エラーに対するより少ない脆弱性とを達成できる。

【0030】

１つの観点によれば、第１のアクチュエータシステムは電子ブレーキ倍力装置（ｅＢＫＶ）システムであり、第２のアクチュエータシステムはモバイルプラットフォームの電子スタビリティプログラム（ＥＳＰ）システムであり、または、第１のアクチュエータシステムはモバイルプラットフォームの第１のステアリングシステムであり、第２のアクチュエータシステムはモバイルプラットフォームの第２のステアリングシステムであり、または、第１のアクチュエータシステムはインテグレーテッドパワーブレーキシステム（ＩＰＢ）であり、第２のアクチュエータシステムはモバイルプラットフォームの冗長ブレーキユニット（ＲＢＵ）であることが提案される。

【0031】

その際、第２のステアリングシステムは、第１のステアリングシステムに対する冗長システムとして構成されていてよい。

【0032】

その際、インテグレーテッドパワーブレーキシステム（ＩＰＢ）は、冗長ブレーキユニット（ＲＢＵ）とともに冗長ブレーキシステムコンビネーションであり、電子ブレーキ倍力装置（ｅＢＫＶ）システムと自動運転のための電子スタビリティプログラム（ＥＳＰ）システムとから成るシステムの代替手段である。

【0033】

その際、インテグレーテッドパワーブレーキシステム（ＩＰＢ）は、１つのアクチュエータシステムによる、すなわち換言すればワンボックスブレーキシステムによるｅＢＫＶおよびＥＳＰの課題を受け持つ。冗長ブレーキユニット（ＲＢＵ）は、もっぱらインテグレーテッドパワーブレーキシステム（ＩＰＢ）のエラー時にブレーキ増圧の機能および安定化を受け持ち、そうでないときは完全にパッシブである。

【0034】

システムユニットに対応してブレーキシステムを構成することにより、結果的にブレーキシステムの安全性を提供できる。

【0035】

上述したシステムユニットを、少なくとも部分的に自動化されたモバイルプラットフォームの制御のために使用する方法が提案される。

【0036】

前述したシステムユニットの上述した付加的な安全性により、少なくとも部分的に自動化されたモバイルプラットフォームに対し、対応する安全性が結果として生じる。

【0037】

第１のアクチュエータシステムおよび第２のアクチュエータシステムを備える少なくとも部分的に自動化されたモバイルプラットフォームのためのシステムユニットを制御する方法が提案され、この場合第１のアクチュエータシステムおよび第２のアクチュエータシステムはそれぞれ補助作動モードと緊急作動モードとを有し、この方法は以下のステップを有している。第１のステップで、特定のアクチュエータシステムにクリティカルエラーが識別される場合に前記特定のアクチュエータシステムを休止作動モードへ変える。更なるステップで、休止作動モードにある前記特定のアクチュエータシステムの機能性の少なくとも一部を実施するために、アクチュエータシステムの一方が休止作動モードへ変わる場合に、前記特定のアクチュエータシステムを補助作動モードへ変える。更なるステップで、補助作動モードにある前記特定のアクチュエータシステムを、このアクチュエータシステムにクリティカルエラーが識別される場合に、緊急作動モードへ切換える。

【0038】

本発明の明細書全体において、一連の方法ステップは、この方法を容易に理解できるように提示されている。しかし当業者は、これら方法ステップの多くが他の順番でも実施できて、同一の結果または対応する結果になることを認識するであろう。この意味で、これら方法ステップの順番は適当に変えてよい。いくつかの構成要件は、可読性を改善するため、または、関連をより明確にするため、代用語を含んでいるが、しかしこれは特定の構成要件が存在することを意味するものではない。

【0039】

システムユニットの上述の利点は、ここで述べているシステムユニットを制御するための方法に対し対応的に得られるものであり、また方法のこれ以外の観点に対しても得られるものである。

【0040】

１つの観点によれば、システムユニットを制御するための方法において、アクチュエータシステムは、緊急作動モードにおいて、第１のアクチュエータシステムおよび／または第２のアクチュエータシステムに対する目標値が現時点で受信されるかどうかをチェックすることが提案される。このような目標値は、当該目標値をコントロール回路内または対応的に特性曲線内で設定するために、それぞれのアクチュエータシステムに予め付与することができる。エラー時には、目標値を与えるセンサとの通信が妨害されていることがあるので、緊急作動モードで、目標値の受信という形態のこのような通信が損なわれていないかどうかをチェックすることができる。このとき、緊急作動モードにおける特定のアクチュエータシステムのその後の挙動は、目標値に依存して行うことができる。

【0041】

１つの観点によれば、システムユニットを制御するための方法において、アクチュエータシステムは、緊急作動モードにおいて、受信した現時点での目標値を備えていれば、受信した現時点での目標値の値で第１のアクションを実施し、および／または、受信した現時点での目標値がなければ、第２のアクションを実施することが提案される。

【0042】

１つの観点によれば、システムユニットを制御するための方法において、緊急作動モードにあるアクチュエータシステムの予め定義した、たとえばモータ電流のための特性曲線を用いて、および／または、緊急作動モードにあるアクチュエータシステムの予め定義した弁位置（弁切換えパターンに対応）のための特性曲線を用いて、緊急作動モードにあるアクチュエータシステムは、受信した現時点での目標値の値で第１のアクションを実施することが提案される。

【0043】

これにより、システムユニットを制御するための方法を第１のアクションのために可能な限り強靭に且つ複雑性を少なくして構成することができる。

【0044】

システムユニットを制御するための方法の、識別したクリティカルエラーおよび／もしくは休止作動モードおよび／もしくは補助作動モードおよび／もしくは緊急作動モードに基づいて、少なくとも部分的に自動化された車両を起動するための制御信号を提供し、並びに／または、識別したクリティカルエラーおよび／もしくは休止作動モードおよび／もしくは補助作動モードおよび／もしくは緊急作動モードに基づいて、車両乗員に警告するための警告信号を提供する方法が提案される。

【0045】

「に基づいて」という概念は、制御信号を、システムユニットを制御するための方法の、識別したクリティカルエラーおよび／または休止作動モードおよび／または補助作動モードおよび／または緊急作動モードに基づいて提供するという構成要件に関連して、広範囲に理解すべきである。システムユニットを制御するための方法の、識別したクリティカルエラーおよび／または休止作動モードおよび／または補助作動モードおよび／または緊急作動モードは、１つの制御信号のいかなる特定または算出に対しても考慮されると理解すべきであり、この場合このことは、制御信号をこのように特定するためにさらに別の入力量をも考慮することを除外するものではない。

【0046】

適当に制限される補助作動モードまたは緊急作動モードのような作動モードでは、たとえば十分な減速のような適当な機能性を常に保証できるとは限らないので、上位のユニット、または、バーチャルドライバーおよび／もしくはリアルドライバーのようなステアリング手段には、このような限定を介して情報提供することができる。これにより、上位ユニットから、たとえばモータ制御、パーキングブレーキのような二次アクチュエータシステムによるブレーキングの補助、または、衝突回避のためのステアリング介入のような更なる機能性を呼び出すことができる。

【0047】

上述の方法を実施するために設置されている装置が提案される。このような装置を用いると、対応する方法を種々のシステムに容易に組み込むことができる。

【0048】

コンピュータによってコンピュータプログラムを実施する際に、上述の方法をコンピュータに実施させる命令を含んでいるコンピュータプログラムが提案される。このようなコンピュータプログラムは、上述の方法を種々のシステムで使用することを可能にさせる。

【0049】

上述のコンピュータプログラムが記憶されている機械読み取り可能な記憶媒体が提案される。このような機械読み取り可能な記憶媒体により、上述のコンピュータプログラムは可搬である。

【0050】

モバイルプラットフォームとは、少なくとも部分的に自動化された、可動性があるシステム、および／または、車両のドライバーアシストシステムであると理解してよい。一例を挙げると、少なくとも部分的に自動化された車両またはドライバーアシストシステムを備えた車両であってよい。すなわち、これに関連していえば、少なくとも部分的に自動化されたシステムには、少なくとも部分的に自動化された機能性に関するモバイルプラットフォームが含まれるが、しかしモバイルプラットフォームにはドライバーアシストシステムを含んだ車両および他のモバイルマシーンも含まれる。モバイルプラットフォームの他の例は、複数のセンサを備えたドライバーアシストシステム、たとえばロボット吸塵機もしくは芝刈り機のようなモバイルマルチセンサロボット、マルチセンサ監視システム、製造機、パーソナルアシスタント、または、アクセスコントロールシステムであってよい。これらシステムのいずれも、完全にまたは部分的に自動化されたシステムであってよい。

【0051】

補足して指摘しておくと、「含む」とは他の構成要素を除外するものではなく、「１つ」とは複数を除外するものではない。さらに指摘しておくと、上記複数の実施形態のうちの１つの実施形態を参照することで説明した構成要件は、上述した他の実施形態の他の構成要件との組み合わせでも使用できる。請求の範囲の中の参照符号は限定と見なすべきでない。

【0052】

本発明のいくつかの実施形態が図１ないし図２に図示されており、以下でより詳細に説明する。

【図面の簡単な説明】

【0053】

【図1】電気機械式ブレーキ倍力装置と電子スタビリティプログラムシステムとを備えたブレーキシステムの概略図である。

【図2】第１のアクチュエータシステムと第２のアクチュエータシステムとを備えている少なくとも部分的に自動化されたモバイルプラットフォームのためのシステムユニットを制御する方法のフローチャートである。

【発明を実施するための形態】

【0054】

図１はブレーキシステム１００の冗長型実施形態の概略を示したもので、ブレーキシステムは、少なくとも、たとえばファイルブーストユニットまたは電気機械式ブレーキ倍力装置のようなシングルチャネルでアクティブな、および、場合によってはパッシブな圧力変調のための可能性を備えた電気機械式ブレーキ倍力装置１２０の形態の第１のアクチュエータシステム１２０と、たとえばＥＳＰ逆送液圧装置を用いて車輪ごとにアクティブな、および、パッシブな圧力変調を行うための電子スタビリティプログラムシステム１４０の形態の第２のアクチュエータシステム１４０とを備え、これらのアクチュエータシステムは結合部１４５を介して液圧連結されている。その際、電子スタビリティプログラムシステム１４０は他の液圧結合部１６５を介して車両のタイヤのブレーキシステム１６０と連結されている。その際、第１のアクチュエータシステム１２０と第２のアクチュエータシステム１４０とは信号的におよび／または電気的にも連結されていてよい。

【0055】

図２は、第１のアクチュエータシステム１２０と第２のアクチュエータシステム１４０とを備えた少なくとも部分的に自動化されたモバイルプラットフォームのためのシステムユニット１００を制御する方法２００のフローチャートを概略的に示したもので、この場合第１のアクチュエータシステム１２０と第２のアクチュエータシステム１４０とはそれぞれ補助作動モードと緊急作動モードとを有している。

【0056】

第１のステップＳ１で、第１または第２のアクチュエータシステム１２０においてクリティカルエラーを識別し、エラーに該当する特定のアクチュエータシステム１２０，１４０は休止作動モードに変わる。

【0057】

更なるステップＳ２で、エラーに該当していない特定のアクチュエータシステムは、エラーに該当していて休止作動モードにある特定のアクチュエータシステムの機能の少なくとも一部を実施するために、補助作動モードに変わる。

【0058】

更なるステップＳ３で、補助作動モードにある特定のアクチュエータシステムにおいてクリティカルエラーが識別されるかどうかを決定する。

【0059】

更なるステップＳ４で、補助作動モードにある特定のアクチュエータシステムにおいてクリティカルエラーが識別される場合には、このアクチュエータシステムは緊急作動モードに切換わるＳ４ａ。このため、ブレーキシステムにおいては、複数の弁を増圧位置へ切換えることができるＳ４ｂ。

【0060】

更なるステップＳ５で、緊急作動モードにある特定のアクチュエータシステムは、第１のアクチュエータシステム１２０および／または第２のアクチュエータシステム１４０に対する目標値が現時点で受信されるかどうか、または、目標値を付与するシステムもしくはセンサとのバス通信が可能であるかどうかをチェックする。

【0061】

ステップＳ５での結果に依存して、受信した現時点での目標値が存在する場合には、緊急作動モードにあるアクチュエータシステムは、現時点で受信した目標値の値を伴う第１のアクションＳ６を実施し、たとえば特性曲線をベースにしたアクチュエータシステム・モータの起動を介して、たとえば目標値の値での制動を実施する。

【0062】

択一的に、受信した現時点での目標値が存在しなければ、事故リスクを最小限に抑えるため、たとえば車両の緊急停止のような第２のアクションＳ７を実施する（ブラインドストップ）。

【符号の説明】

【0063】

１００ システムユニット
１２０ 第１のアクチュエータシステム
１４０ 第２のアクチュエータシステム
２００ システムユニットを制御する方法
Ｓ１ クリティカルエラーを識別し、特定のアクチュエータシステムを休止作動モードに変える。
Ｓ２ 特定のアクチュエータシステムを補助作動モードに変える。
Ｓ３ 補助作動モードにある特定のアクチュエータシステムにおいてクリティカルエラーを識別する。
Ｓ４ａ 補助作動モードにある特定のアクチュエータシステムを緊急作動モードに切換える。
Ｓ４ｂ 複数の弁を増圧位置へ切換える。
Ｓ５ 緊急作動モードにある特定のアクチュエータシステムを目標値の受信またはバス通信の点でチェックする。
Ｓ６ 第１のアクション
Ｓ７ 第２のアクション

【図1】

【図2】