IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社日立製作所

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立製作所の特許一覧

<>
  • 特許-自律制御装置 図1
  • 特許-自律制御装置 図2
  • 特許-自律制御装置 図3
  • 特許-自律制御装置 図4
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-06
(45)【発行日】2024-12-16
(54)【発明の名称】自律制御装置
(51)【国際特許分類】
   G05B 13/04 20060101AFI20241209BHJP
【FI】
G05B13/04
【請求項の数】 2
(21)【出願番号】P 2021128468
(22)【出願日】2021-08-04
(65)【公開番号】P2023023186
(43)【公開日】2023-02-16
【審査請求日】2024-02-05
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110001829
【氏名又は名称】弁理士法人開知
(72)【発明者】
【氏名】西 昌能
【審査官】大古 健一
(56)【参考文献】
【文献】国際公開第2021/038826(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 1/00 - 7/04
G05B 11/00 -13/04
G05B 17/00 -17/02
G05B 21/00 -21/02
(57)【特許請求の範囲】
【請求項1】
オペレータが操作するオペレータ端末としての自律制御装置であって、
状態空間の凸閉領域分割による二値ベクタモデル構築機能を用いて凸閉領域間遷移による制御命令を実現する動作計画・制御系を有する他の自律制御装置に接続され、
前記オペレータが選択した観点で、二値ベクタを引数とする真偽判定式が真になる二値ベクタ集合と偽になる二値ベクタ集合を要素とする二値ベクタ集合モデルを構築し、前記二値ベクタ集合モデルを介して自律制御装置が解釈する物理動作空間の状態を前記二値ベクタ集合モデルによる遷移グラフの態様でオペレータに提示し、前記真偽判定式が真になる二値ベクタ集合を引数とする制御命令を前記他の自律制御装置に送信する事を特徴とする自律制御装置。
【請求項2】
請求項1に記載の自律制御装置において、
前記他の自律制御装置の前記動作計画・制御系が、指定した制御命令が実行可能であるか否かを判定し、実行不可能であると判定した場合には、オペレータに機能不整合例外を通知することを特徴とする自律制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自律制御装置に関する。
【背景技術】
【0002】
自律システムは、外界計測、判断、動作計画・制御系で構成されるが、高安全用途の自律システムにおいては、制御失敗時の過失についてオペレータが責任を問われる場合がある。
【0003】
最終的に制御失敗として解釈されるハザードは、外界計測系がセンサデバイスから受け取る外界状態の計測値自体のエラー、前記外界状態の計測値列を処理して動作環境モデルを構築する過程での設計不備、判断系における動作目標の選択ミス、安全制約と前記動作目標の競合を起源とした、動作計画・制御系における機能不整合エラー等、多様な原因の帰結として観測される。
【0004】
高安全用途の自律システムの場合、単一故障点(SPF:Single-point of Failure)を除去するために、類型化した単一故障モードに対して少なくともfail-safeまたはfail-operationalとする為に多重化設計がされている。しかしながら、モデル不完全性、特にモデル構造に関する都合の良い前提(時不変/不確定、線形、sparsity等)が成立しない場合の耐障害機能(model-repair)を有しておらず、ハザード発生リスクが潜在している。
【0005】
一方、何らかの異常検出通知を受け取ったオペレータが、時々刻々変化する外界状況から動作環境モデルを構築する過程で、大データ量の外界計測系データを解釈し、意図した通りに制御命令をタイムリーに設定するのは非常に困難である。これは、実際の動作は、物理値空間においてリアルタイムで進行する一方、異常検出結果の解釈と制御命令の決定は、動作環境モデルの形式で表現された論理データ空間で行われる、つまり、オペレータが解釈する挙動は論理データ空間内で進行する為である。
【0006】
動作環境モデルを詳細・精密にして、多重化設計を目論む考え方もある。しかしながら、外界計測系が受け取るセンサデバイスからのデータ列の構成要素である最小データ単位での信頼性が担保されていない実際の状況において、動作環境モデルの精度を追求することには意味がない。動作環境モデルは、その定義域である状態値空間において、判断、動作計画・制御系が想定するべき、実際に到達しうる状態部分閉空間の有界性のみを保証できれば十分である。
【0007】
自律システムに係る従来技術として、例えば、特許文献1には、記憶装置に格納された動作制御論理に基づき、自システムの内部状態と、外界計測手段により取得される開放外部環境における外部要因に適応した動作を実現する動作制御論理を生成して駆動装置に対する開放外部環境における動作を指示する自律制御装置であって、前記自律制御装置は、前記外界計測手段から取得した外部要因と自システムの内部状態に対応した制約条件と、動作制御論理を逐次再構築する度に、自システムに求められている期待動作及び動作の健全性に関わる制約条件から、前記動作制御論理と制御論理を生成し、生成した当該動作制御論理と前記外界計測手段から取得した情報を前記記録装置に書き出し、前記制御論理に基づき自システムの動作を指示する自律動作制御装置と、前記自律動作制御装置により前記期待動作及び動作の健全性の判断結果を元に、自システムに求められている期待動作を指示する期待動作決定部を備える自律制御装置が開示されている。
【0008】
また、特許文献2には、アクションaによって状態sから状態s’へ変わる状態遷移確率P(s’|s,a)と、アクションaによって状態s’で観測値o’が観測されるときの観測値出力確率P(o’|s’,a)と、を予め記憶しておくPOMDP確率・報酬テーブル記憶部と、時刻をtとし、一つ前の状態の確率分布bt-1(s)を記憶する状態確率分布記憶部と、一つ前のアクションat-1を記憶するアクション記憶部と、前記アクション記憶部から一つ前のアクションat-1を取得し、一つ前のアクションat-1と現在の観測値ot’を用いて、前記POMDP確率・報酬テーブル記憶部を参照して、対応する状態遷移確率P(s’|s,a)と観測値出力確率P(o’|s’,a)を取得し、前記状態確率分布記憶部から一つ前の状態の確率分布bt-1(s)を取得し、現在の状態の確率分布bt(s’)を求める状態分布更新部と、アクションaの連続出現回数nをアクション継続長naとし、アクション継続長naの確率をアクション継続長確率Pa(n)として予め記憶しておくアクション継続長確率テーブル記憶部と、状態の確率分布を引数として各アクションに対するスコアを返す関数πを用いて、現在の状態の確率分布bt(s’)を引数として、各アクションに対するスコアを求め、一つ前のアクションと最もよいスコアに対応するアクションとが異なる場合には、最もよいスコアに対応するアクションをシステムがとるべきアクションとして決定し、行動制御の過程で更新される実時間アクション継続長を最小とし、一つ前のアクションと最もよいスコアに対応するアクションとが同じ場合には、最もよいスコアに対応するアクションの実時間アクション継続長に対応するアクション継続長確率を前記アクション継続長確率テーブル記憶部から受け取り、このアクション継続長確率から得られる値と一様乱数との大小関係に応じて、最もよいスコアに対応するアクションをシステムがとるべきアクションとして決定し実時間アクション継続長を1回分大きくするか、または、最もよいスコアに対応するアクションとは異なるアクションを、システムがとるべきアクションとして決定し、実時間アクション継続長を最小とするアクション決定部と、を備える、行動制御装置が開示されている。
【0009】
また、特許文献3には、入力によって内部状態が変化し、且つ、前記内部状態の変化に応じて入力に対する出力が変化するシステムを対象とし、前記システムの状態遷移規則に基づいて、前記システムが採り得る複数の状態値と各状態値間の遷移経路とを含む状態遷移モデルを構築する状態遷移モデル構築手段と、前記複数の状態値の中から所定の開始時条件を満たす初期状態値を設定する初期状態値設定手段と、前記複数の状態値の中から所定の終了時条件を満たす終状態値を設定する終状態値設定手段と、前記状態遷移モデルの中に、前記終状態値から前記初期状態値に到達する状態遷移経路が存在するか否かを判定する状態遷移経路有無判定手段とを備えるシステム解析装置が開示されている。
【先行技術文献】
【特許文献】
【0010】
【文献】国際公開第2014/141351号
【文献】特開2012-190062号公報
【文献】特開2017-174471号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
上記特許文献1に記載の従来技術においては、内部状態における閉領域を定義して、閉領域の重なりで分割された部分閉領域間を遷移して動作制御を行う際、生成された制御論理を、遠隔操縦者に提示し、健全動作を実現するように処理を代行させている。また、閉領域の内外を分離基準として、システム制御観点での意味付けをしていて、各閉領域に一位に論理アドレスを割り付ける抽象化方法を用いている。
【0012】
しかしながら、定義された閉領域の数Mに対して、最高で2^M個に重複なく分解された状態部分閉空間が存在する。従って、開示の通り部分閉領域間の遷移列として制御論理を表現するアプローチは計算複雑性とデータ表現量の、少なくとも多項式的、最悪で指数的増大を引き起こす実装上の課題を残す。
【0013】
個々の閉領域の定義自体はオペレータが解釈可能であったとしても、その組み合わせにより断片化された状態部分空間とそれに隣接する状態部分空間の間の遷移一つ一つに意味を見出すのは難しい。
【0014】
上記特許文献2に記載の従来技術においては、ユーザーのアクションによって状態が変わる状態遷移確率に基づき、自動的にシステムの行動を決定するシステムが開示されているが、それ自身が動作環境内で移動するわけではなく、動作環境モデルは、外界計測系が収集したデータを未定変数に割り付ける自動制御系であり、内部にモデル構築機能を備えるわけではなく、動的な環境でもない為、そのような機能を必要としていない。
【0015】
上記特許文献3に記載の従来技術においては、特許文献1で言及された、断片化された状態部分空間群の間での遷移列の内、ハザード条件を満たす状態遷移列の有無を探索する問題に帰着させて、オペレータにとって意味のある情報を算出する考え方が示唆されている。しかし、提示の状態遷移グラフと対応付けられた、自律システムが実際に動作する物理値空間における部分閉空間との対応付け方に関する言及はなく、また前記の指数関数的な状態部分空間数の増加という問題に対処する閉領域分割の方法も開示されていない。
【0016】
オペレータが、大容量かつリアルタイムで更新される動作環境モデルのデータ構造を直接目視して、適切なタイミングで制御命令を設定するのは困難である。その理由としてはいくつかの課題が存在するが、例えば、数理的な計算複雑性の問題がある。自律システムの動作を変える状態変数を増やして精密、複雑化させていき、高いd次元空間の動作環境モデルを構築してしまうと、モデルを表現するデータ量D_size[byte]が次元dに対して少なくとも多項式的polynomial(d)、最悪で指数関数的exp(d)に増えてしまう。自律システムの動作計画系が、前記の巨大な動作環境モデルを用いて動作時に制御演算をする際の実時間制約を満たせなくなるという派生的な課題もある。
【0017】
上記特許文献1に例示されるように、閉領域の重複を許す形で物理値空間を分割すると、閉領域の断片化を招き、同様の数理的な計算複雑性の課題がある。個々の閉領域の内外判定結果を束ねて、論理アドレスと呼称するM個のBoolean値に抽象化できても、一つの閉領域を追加するだけで、断片化された閉領域数が少なくとも多項式的に増加してしまう。閉領域の詳細化により、論理アドレス長Mが増えると、前記論理アドレスは高速で変化し、更に制御命令のデバッグが困難になる。
【0018】
本発明は上記に鑑みてなされたものであり、動作環境モデルの高次元構造を維持しながら実時間での制御ができる自律制御装置を提供することを目的とする。
【課題を解決するための手段】
【0019】
本願は上記課題を解決する手段を複数含んでいるが、その一例を挙げるならば、オペレータが操作するオペレータ端末としての自律制御装置であって、状態空間の凸閉領域分割による二値ベクタモデル構築機能を用いて凸閉領域間遷移による制御命令を実現する動作計画・制御系を有する他の自律制御装置に接続され、二値ベクタを引数とする真偽判定式が真になる二値ベクタ集合と偽になる二値ベクタ集合を要素とする二値ベクタ集合モデルを構築し、前記二値ベクタモデルを介して自律制御装置が解釈する物理動作空間の状態をオペレータに提示し、前記二値ベクタ集合を引数とする制御命令を前記他の自律制御装置に送信するものとする。
【発明の効果】
【0020】
本発明によれば、自律システムの動作環境における状況を特徴づける状態値が連続的に変化するのを目視する代わりに、システム観点で定義した分離境界の内外判定による二値ベクタ型のラベル値(=論理アドレス)空間に写像することにより、自律システム自体は、動作環境モデルの高次元構造を維持しながら実時間での制御を行うことができる。
【図面の簡単な説明】
【0021】
図1】自律制御システムの全体構成を模式的に示す図である。
図2】外界計測系、動作判断系および動作計画・制御系の処理を実行する自律制御装置の処理サイクルを示す図である。
図3】二値ベクタモデルの一例を模式的に示す図である。
図4】公道上を自律移動体が走行する場合の物理値空間に対する二値ベクタモデルの構築例を示す図である。
【発明を実施するための形態】
【0022】
以下、本発明の実施の形態を図1図4を参照しつつ説明する。
【0023】
本実施の形態においては、自律制御システムが直接物理値空間を参照し、物理値空間内で起こっている事象に基づいて自律制御を行う場合を考える。
【0024】
図1は、本実施の形態に係る自律制御システムの全体構成を模式的に示す図である。また、図2は、自律制御システムを構成する自律制御装置のうち、外界計測系、動作判断系および動作計画・制御系の処理を実行する自律制御装置の処理サイクルを示す図である。
【0025】
図1において、自律制御システムは、外界計測系、動作判断系および動作計画・制御系の処理を実行する第一の自律制御装置101と、オペレータの操作端末としての第二の自律制御装置102とが接続されて構成されている。
【0026】
図1及び図2に示すように、第一の自律制御装置101は、二値ベクタモデルの構築を主とする外界計測系の処理(ステップS001)を行う外界計測処理部201と、制御命令を解釈してラベル値L1を付与する動作判断系の処理(ステップS002)を行う動作判断処理部202と、二値ベクタモデルを参照して隣接凸閉領域列を算出して具体的な動作計画を行う動作計画・制御系の処理(ステップS003)を行う動作計画制御処理部203とを有している。
【0027】
外界計測処理部201は、外界計測系の処理(ステップS001)において、センサデバイス群から外界計測データを取得し、凸閉領域分割により二値ベクタモデルを構築し、各凸閉領域の特性に対応した二値ベクタ型のラベルを付与する。
【0028】
図3は、二値ベクタモデルの一例を模式的に示す図である。
【0029】
図3に示す二値ベクタモデルは、例えば、物理値空間を水平面に投射した状態空間、すなわち、d=2次元の状態空間内に占有物の有無等を示す15個データ点群を配置して、各データ点とその近傍の点を等分割する分離半平面を境界面とする凸閉領域に機械的に空間分割することで得られる。データ点の次元dが2の場合はボロノイ分割と呼ばれており、この処理は任意の次元dに関して機械的に実行することができる。なお、図3においては、図示の都合からデータ点の次元d=2としたが、実際の物理値空間を考える場合には、データ点に時間の成分を付与しなければならない。
【0030】
図3においては、各データ点には3ビットの二値ベクタ型のラベルを付与した。
【0031】
ラベル値の第0成分L0は、外界計測処理部201での外界計測系の処理(ステップS001)により設定する。ラベル値において、第0成分L0=0は、物理値空間で占有物がない空白な凸閉領域であることを示し、第0成分L0=1は、物理値空間で占有物がある凸閉領域であることを示す。
【0032】
また、ラベル値の第1成分L1は、動作判断処理部202での動作判断系の処理(ステップS002)により設定する。ラベル値において、第1成分L1=0は、設計時点で決めたルールに基づき安全とみなされる凸閉領域であることを示し、第1成分L1=1は、設計時点で決めたルールによると不安全とみなされる凸閉領域であることを示す。
【0033】
また、ラベル値の第2成分L2は、動作計画制御処理部203での動作計画・制御系の処理(ステップS003)により設定する。ラベル値において、第2成分L2=0は、遷移可能とみなされる凸閉領域であることを示し、第2成分L2=1は、遷移対象から除外するべきであるとされる凸閉領域であることを示す。
【0034】
以上において、少なくともラベル値が第0成分L0=1の凸閉領域は、ラベル値が第1成分L1=1になる等の関係があるが、ラベル値を付与する基準と主体が異なり、ラベル値を付与する対象とするデータ点は動的であるのに留意されたい。動作計画・制御系は、ラベル値が第1成分L1=0の凸閉領域群のみを取り出して動的安全制約として用いる。この例でも、開放環境で動作する自律システムの安全制約は、自由意思で動作する周囲動体を特徴づける外部環境状態を引数とする時変かつ高次元の関数である。
【0035】
動作判断系の処理(ステップS002)では、安全制約により決定される到達可能凸閉領域群を選定し、制御命令が指し示す制御目標状態を内包する凸閉領域を指定する。
【0036】
動作計画・制御系の処理(ステップS003)では、制御命令を満たす凸閉領域列を算出する。図3の二値ベクタモデルでは、現在状態を表現するデータ点を内包する凸閉領域VD(15)から、動作目標として設定したデータ点を内包する凸閉領域VD(14)に到達可能な隣接凸閉領域列を探索し、そのような隣接凸閉領域列が存在する場合には、実行可能な制御命令であると機械的に判定される。逆に、動作目標を含む凸閉領域VD(2)に設定した場合には、ラベル値が第1成分L1=1の凸閉領域によって凸閉領域VD(15)と凸閉領域VD(2)を分断するので、制御命令が実行不能であると判定される。この場合には、機能不整合例外を通知する。
【0037】
通常の自律システムの場合は、オペレータが適宜制御命令を指定して、制御命令が実現不可能である場合には機能不整合例外の通知を受け取る。
【0038】
実際に隣接凸閉領域列が存在する場合には、隣接凸閉領域対毎に、物理値空間での具体的な遷移を実現する駆動系への制御命令列に変換する。以上の一連の処理を反復する。
【0039】
開放環境で動作する自律移動体の動作計画をする際に、動的安全制約として有責な衝突条件を回避する設定をする。衝突を一例とするハザードは、時間的・空間的閉領域に関する自システムと周囲動体の競合として形式化される。自律システムは周囲動体を制御できず、近未来の移動意図は有界であるが可計測でも可観測でないので、自システムはそれに適応して排他制御の条件を充足し続けなければならない。
【0040】
動作判断系の処理(ステップS002)は、排他制御に資するようにラベル値の第1成分L1を設定する。しかし、競合を回避する為の排他制御が不完全であると、ハザードは回避できてもデッドロックしてしまう。これを検出するのは動作計画・制御系の処理(ステップS003)である。自システムの現在の状態の二値ベクタ表現を計算して、充足不能に陥った制御目標または安全制約の該当二値ラベル値を特定して、機械的に競合とデッドロックを検出することで、機能不整合例外として通知できる。
【0041】
図3に例示した二値ベクタモデルでは、3ビットの二値ベクタ型ラベルを用いた。この場合、システム機能の観点と動作安全性の観点で区別をするべき基準に対応してビット長は増加し、また、二値ベクタモデルを詳細化するほど二値ベクタ値自体が短時間で変動するため、個々の二値ベクタ間の遷移の意味をオペレータが正しく理解することが困難になる。しかしながら、二値ベクタ型ラベルを用いた二値ベクタモデルを採用することにより、個々のトラブルにおいて着目するべきラベル値成分は少ない。
【0042】
図1及び図2において、動作計画・制御系の処理(ステップS003)で機能不整合例外が発生した場合、オペレータは例外処理呼び出しを受け取る。この場合、まず自律システムが物理値空間において静的に安全な状態にあり続けるか否か確認しなければならない。これはラベル値の第1成分L1を参照すればよく、他のラベル値は捨象してよい。
【0043】
ラベル値に対する二値判断結果がTrueである場合には、オペレータは十分な検討時間をかけて制御目標の再設定をすればよいが、Falseである場合には即座に安全制約違反に対処しなければならない。このように対処方針を短時間で切り分けられることが重要であり、本実施の形態においては、オペレータによる操作端末としての第二の自律制御装置102が行う。より具体的には、第二の自律制御装置102の二値ベクタアドレス集合間遷移グラフの構築処理部における、二値ベクタアドレス群に対する閉領域分割の処理(ステップS004)がこの処理に該当する。
【0044】
二値ベクタアドレス集合間遷移グラフの構築処理部では、オペレータが選択した観点で二値ベクタアドレスの集合を適宜定義する新たな分離基準を、二値ベクタアドレス空間内で再定義する。この例では、ラベル値が第1成分L1=0となる二値ベクタアドレス集合の内外判定をして、二値ベクタアドレス集合モデル104(二値ベクタ集合モデル)を得る。
【0045】
オペレータは、直接的に二値ベクタモデル103を目視する代わりに、二値ベクタアドレス集合間遷移グラフの構築処理部の処理(捨てプS004)を経て得られる二値ベクタアドレス集合モデル104を参照して状況を把握し、制御命令を再指定する。二値ベクタ集合を要素とする論理アドレスは、元の二値ベクタアドレスに比べて十分に短くなるため、オペレータが重視する着眼点に資する状況が提示される。
【0046】
制御目標自体の再設定もデータ点を二値ベクタモデルの対象とするデータ点群に追加すればよく、凸閉領域分割を経て、その近傍を含む凸閉領域を制御目標として設定できる。
【0047】
オペレータが機能不整合例外を通知された後、オペレータの判断で対処する状況の例は、特にラベル値の設定不備を訂正する場合がある。
【0048】
例えば、公道上を自律移動体(自律走行制御を行う自動車など)が走行する場合を考える。図4は、この場合の物理値空間に対する二値ベクタモデルの構築例を示す図である。
【0049】
図4においては、一時点における自律移動体400の周囲空間について本実施の形態の概念を適用して二値ベクタモデルを構築し、各凸閉領域に図3に示した二値ベクタモデルと同様のラベル付けを行った場合を例示している。
【0050】
例えば、公道上を走行する自律移動体400が、動作環境モデルの構築に際し、踏破可能な路上障害物を前にして停止してしまった場合、その路上障害物近傍の凸閉領域にラベル付けをする外界計測系の処理(ステップS001)の不具合が考えられる。ここで言及されたラベル値は、当該凸閉領域に、自システムが侵入可能領域であるか否かを区分するものである。
【0051】
しかし、オペレータが二値ベクタモデル103だけを参照してもデバッグすら容易ではなく、また直接物理値空間を参照する場合には大容量の通信と、外界計測系の処理(ステップS001)とは別種の可視化処理とが発生する。
【0052】
オペレータが、まず、第一に確認できるのは、機能不整合例外で停止したことであり、その原因が、路上障害物との空間競合であるのか、別の要因であるのかを確認するまでに要する作業をして、ラベル値を設定する画像認識部分の誤認であると判断し、路上障害物近傍の凸閉領域を侵入可能とするようにラベル値を上書きして、機能不整合例外が起こらなくなることを確認し、動作継続を指令する。オペレータは、ラベル値の上書きがハザードを引き起こさないことに対する責任を負っているが、二値ベクタモデルにまで簡略化してしまえば、適切なラベル値を選択したことを容易に確認できる制御インターフェースを提供することができる。
【0053】
以上のように構成した本実施の形態における効果についてまとめる。
【0054】
自律制御系において、オペレータが、大容量かつリアルタイムで更新される動作環境モデルのデータ構造を直接目視して、適切なタイミングで制御命令を設定するのは非常に困難である。これには、三つの根本的な課題が関係しており、本実施の形態においては、これらの課題を解決することができる。
【0055】
第一の課題としては、オペレータが、大容量かつリアルタイムで更新される動作環境モデルのデータ構造を直接目視して、適切なタイミングで制御命令を設定することの困難性がある。
【0056】
この困難性の理由はいくつか存在するが、例えば、数理的な計算複雑性の問題である。自律システムの動作を変える状態変数を増やして精密、複雑化させていき、高いd次元空間の動作環境モデルを構築してしまうと、モデルを表現するデータ量D_size[byte]が次元dに対して少なくとも多項式的polynomial(d)、最悪で指数関数的exp(d)に増えてしまう。自律システムの動作計画系が、巨大な動作環境モデルを用いて動作時に制御演算をする際の実時間制約を満たせなくなるという派生的な課題もある。例えば、従来技術のように、閉領域の重複を許す形で物理値空間を分割すると、閉領域の断片化を招き、同様の数理的な計算複雑性の課題がある。個々の閉領域の内外判定結果を束ねて、論理アドレスと呼称するM個のBoolean値に抽象化できても、一つの閉領域を追加するだけで、断片化された閉領域数が少なくとも多項式的に増加してしまう。閉領域の詳細化により、論理アドレス長Mが増えると、論理アドレスは高速で変化し、更に制御命令のデバッグが困難になる。
【0057】
これに対して本実施の形態においては、データ点群を入力として、各データ点とその近傍の点を等分割する分離半平面を境界面とする凸閉領域に機械的に空間分割するアルゴリズムと、各データ点にTrueまたはFalseの二値を要素とする二値ベクタ値のラベルを割り当てて凸閉領域内のデータ点の集合を特徴づけるデータ構造を用いる。このとき、閉領域の重複関係による空間分割手法の代わりに用いるこのデータ構造を二値ベクタモデルと呼称する。
【0058】
数学的には、互いに重複しない凸閉領域に上記の条件を満たすように機械的に分割するアルゴリズムが知られていて、二次元の場合にはボロノイ分割として知られている。実際、2次元空間内での2点の中点に分離半平面を設置して、その前後で空間を分割していくものである。個々の点と隣接する点に配置した分離半平面の内外判定で二値化することにより、個々の点と分離半平面の内部にある凸閉領域とを対応付けることができる。隣接する凸閉領域は、分離半平面のみを共有するが、互いに重複しない。この凸閉領域分割方法は任意の次元に拡張できる。
【0059】
すなわち、本実施の形態においては、自律システムの動作環境における状況を特徴づける状態値が連続的に変化するのを目視する代わりに、システム観点で定義した分離境界の内外判定による二値ベクタ型のラベル値(=論理アドレス)空間に写像することにより、自律システム自体は、動作環境モデルの高次元構造を維持しながら実時間での制御を行うことができる。
【0060】
また、第二の課題としては、この動作環境モデルの複雑化大規模化自体が、オペレータによる動作環境を把握して、それに適応して動作するはずの自律システムの制御プログラム内部の不具合を特定するのを困難にするという認知限界がある。
【0061】
実際にシステムレベルで顕在化するトラブルに関与するのは、制御プログラムの不具合のごく一部であるが、不具合でない箇所を除外して、不具合個所の候補を限定し、最終的に不具合個所を特定するまでに要する時間が長い。これは、動作環境モデルのデータ構造の個々の要素と、物理空間内で起こっている事象の対応関係が、システム安全性の観点で把握しようとする普通のオペレータにとっては全く自明でないからである。
【0062】
また、外界計測系は大量のデータを受け取るが、センサデバイス一つ一つから送られてくる最小データ単位では信頼性を保証出来ず、互いのセンサデバイスのエラーを相補的に検出、訂正してデータ整合性を維持することになる。このため、動作環境モデルと外部状態の精度が不十分なままに留まり、有界性しか担保できないことも、設計時点では除外しきれない不具合の要因になる。
【0063】
デバッグや不具合発生時には、オペレータまたは設計者は結局、動作時のログを用いて、最小データ単位でのエラー処理の妥当性を確認しなければならない。しかし、センサデバイスからのすべてのデータを保存する程度に大容量、低遅延の記録装置は配置しにくいため、不具合の再現が出来ず、デバッグ自体が困難になる。従って、システム安全性の観点で必要な情報の捨象なく、データ量自体を低減できる動作環境モデルのデータ構造が必要である。
【0064】
これに対して本実施の形態においては、物理値空間内で起こっている事象を表現するデータ表現が長大になる点と、それを引数とする複雑で高次元の動作環境モデルを援用した判断基準の分離境界が理解困難である点についての代替策を提供する。すなわち、二値ベクタモデルを用いることで、二値ベクタの構成要素であるTrue・False値の判定基準を定義する分離境界の内外判定に二値化される点を利用する。
【0065】
各データ点を含む凸閉領域の分離境界面が、その判断基準の境界に対応付けられるようになる。システム観点で意味のある分離境界のみを抽出すれば、不要な低次元化に起因したモデルエラーを引き起こず、高次元な動作環境モデルの分離境界を、高次元のまま扱えるようになる。
【0066】
個々の凸閉領域毎に、隣接点との同族性、異質性を二値判定する基準だけを元に二値ベクタをラベルとして付与すればよい。分離境界が不完全であった場合に、データ点を追加して凸閉領域分割を精緻化できる為、高次元のモデルを表現するデータ量の増加を引き起こさない。これは、Mビットのラベルがあっても、凸閉領域の数は、データ点N個のままにとどめることができるためである。
【0067】
すなわち、本実施の形態においては、自律システム全般のオペレータ用制御インターフェースを提供することにより、自律システムのオペレータは、二値ベクタモデルを介して動作環境とそのシステム観点での意味を把握できるようになる。オペレータの関心に即した、意図しない挙動の監視・発見と機能不整合等の例外処理への短時間対応が可能となる。
【0068】
第三の課題としては、状況把握が不完全なオペレータが、トラブルに陥った自律システムの対処を試みて制御命令を修正した場合、その効果の推定とその妥当性の動作時検証に関わる計算複雑性が増えるか、または決定不能になり、オペレータによる短時間での対応を困難にするという意味での制御責任の課題がある。
【0069】
一人のオペレータは多数の自律システムを担当できるようにする為に、監視の容易化、不具合対応時間の縮減を可能にする設計になっていることが望まれる。
【0070】
オペレータは多様な不具合に対処しなければならない。自律システム固有の設計不良の一例は、機能不整合例外である。機能不整合例外は、開放空間で動作する自律システム特有の故障モードであり、定義した2つの閉領域がそれぞれ制御目標と安全制約を表現したものであった場合に、二つの閉領域が重複する部分閉領域に、現在状態値が含まれない状況で発生する。オペレータが自律システムの動作計画系に介入せずに動作を継続すると、制御目標の違反が制御不能状態として観測され、安全制約の違反に対処しなければ実際にハザードを引き起こす。
【0071】
この機能不整合例外が発生した場合には、オペレータは、個々の閉領域を特徴づける要素を理解し、制御目標をエンコードした閉領域と安全制約をエンコードした閉領域の表層的な競合を検出した後に、短時間で根源的な競合要因を特定して、競合を解消する正しい修正制御命令を出さなければならないが、これが困難になる。
【0072】
これに対して本実施の形態においては、二値ベクタモデルを介して、物理値空間を二値ベクタアドレスに写像する機能自体を備えた自律システムに対して制御インターフェースを提供することで対処する。
【0073】
二値ベクタモデルを構築すれば、オペレータは、自律システムが動作する物理値空間でのセンサデータが示す値を直接目視する代わりに、システム観点で意味がある分離境界の内外を基準として二値化した状態値を見ればよくなる。
【0074】
二値ベクタの構成要素は多数あるが、データ点群の同族性、異質性をシステム観点で意味付けすることで決まる。従って自律システムの不具合に際し、着目するべき成分はそのごく一部である。
【0075】
オペレータは、システムが静的に安全な状態にあるのか、ハザードを引き起こす過程にあるのか即座に判断しなければならないが、それに関連する二値ベクタ成分がおよそ4ビットを超えると非常に難しい。実際、ラベル値が4ビットの場合、少なくとも2^4ビット=16の隣接点を区別する分離境界を参照しなければならない。
【0076】
その代わりに、オペレータが興味のある観点で二値ベクタラベル値を二値に分割する情報捨象手段を用いればよい。これは、すべての凸閉領域群を二つの凸閉領域群に分類して、その分離境界を新たに定義することを意味する。
【0077】
すなわち、本実施の形態においては、設計時における、物理・論理統合系の設計、テスト、検証が容易になる。また、通常運用時は、二値ベクタ空間での制御命令の設定形式を提供し、自律システムの動作計画過程の監視手段として用いることができる。
【0078】
<付記>
なお、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲内の様々な変形例や組み合わせが含まれる。また、本発明は、上記の実施の形態で説明した全ての構成を備えるものに限定されず、その構成の一部を削除したものも含まれる。また、上記の各構成、機能等は、それらの一部又は全部を、例えば集積回路で設計する等により実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。
【符号の説明】
【0079】
101…第一の自律制御装置、102…第二の自律制御装置、103…二値ベクタモデル、104…二値ベクタアドレス集合モデル、201…外界計測処理部、202…動作判断処理部、203…動作計画制御処理部、400…自律移動体
図1
図2
図3
図4
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.