ホーム > 特許ランキング > GATIK AI INC.
知財求人 - 知財ポータルサイト「IP Force」
特表2025-501476自律エージェントにおける障害に対処するための方法およびシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-01-22
(54)【発明の名称】自律エージェントにおける障害に対処するための方法およびシステム
(51)【国際特許分類】
B60W 50/035 20120101AFI20250115BHJP
B60W 50/023 20120101ALI20250115BHJP
B60W 60/00 20200101ALI20250115BHJP
B60W 50/02 20120101ALI20250115BHJP
G08G 1/16 20060101ALI20250115BHJP
【FI】
B60W50/035
B60W50/023
B60W60/00
B60W50/02
G08G1/16 C
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024534535
(86)(22)【出願日】2022-12-15
(85)【翻訳文提出日】2024-08-07
(86)【国際出願番号】 US2022053004
(87)【国際公開番号】W WO2023114396
(87)【国際公開日】2023-06-22
(31)【優先権主張番号】63/290,407
(32)【優先日】2021-12-16
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】522470965
【氏名又は名称】ガティック エーアイ インコーポレイテッド
【氏名又は名称原語表記】GATIK AI INC.
(74)【代理人】
【識別番号】110001302
【氏名又は名称】弁理士法人北青山インターナショナル
(72)【発明者】
【氏名】クマヴァット,アペクシャ
(72)【発明者】
【氏名】マクリーン,ブライアン
(72)【発明者】
【氏名】ラム,シッダールト
(72)【発明者】
【氏名】ナラン,アルジュン
(72)【発明者】
【氏名】ナラン,ゴータム
【テーマコード(参考)】
3D241
5H181
【Fターム(参考)】
3D241BA62
3D241BA63
3D241BA64
3D241BA65
3D241BB72
3D241BB80
3D241CD21
3D241CD24
3D241DC25Z
3D241DC33Z
3D241DC51Z
3D241DC57Z
5H181AA01
5H181BB04
5H181CC04
5H181CC14
5H181LL01
5H181LL02
5H181LL04
5H181LL09
(57)【要約】
自律エージェントにおける障害に対処するためのシステムが、運転サブシステムと、制御サブシステムと、中央コンピューティングサブシステムと、自律車両(AV)センサーサブシステムとを含む。本システムは、随意に、電力サブシステム、車両シャーシサブシステム、通信サブシステム、分散コンピューティングおよび/または処理サブシステム、補助センサーサブシステム、ならびに/あるいは任意の他の構成要素をさらに含むことができる。障害に対処するための方法が、障害を検出し、それに応答することと、車両を動作させることとのいずれかまたはすべてを含むことができる。追加または代替として、方法200が、任意の他のプロセスを含むことができる。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
自律車両のターゲットにされる障害管理のためのシステムであって、前記システムは、● サブシステムの第1のセットであって、
● 前記自律車両に関連する環境情報を検出するように構成されたセンサーのセットを備える環境センサーサブシステムと、
● コンピュータのセットを備える高レベルコンピューティングサブシステムであって、コンピュータの前記セットが、前記環境情報を処理することと、障害の第1のセットを検出することと、障害の前記第1のセットに応答して障害応答の第1のセットを実装することとを行うように構成された、高レベルコンピューティングサブシステムと、
● 前記高レベルコンピューティングサブシステムからドライブバイワイヤサブシステムに情報を提供するように構成された制御サブシステムであって、
・ 複数のコントローラを備えるコントローラの第1のセットと、
・ コントローラの前記第1のセットとは別個および別のコントローラの第2のセットであって、コントローラの前記第2のセットの各々が、コントローラの前記第1のセットの各々に対するより高いハードウェア性能およびより低い計算性能に関連する、コントローラの第2のセットと
を備える、制御サブシステムと、
● アクチュエータのセットを備える前記ドライブバイワイヤサブシステムと、
● シャーシサブシステムと、
● 前記環境センサーサブシステム、前記ドライブバイワイヤサブシステム、前記制御サブシステム、または車両シャーシサブシステムのうちの少なくとも1つ内に配置された低レベル処理サブシステムのセットであって、低レベル処理サブシステムの前記セットが、障害の第2のセットを検出することと、障害の前記第2のセットに応答して障害応答の第2のセットを実装することとを行うように構成された、低レベル処理サブシステムのセットと
を備える、サブシステムの第1のセットと、
● 通信サブシステムを備えるサブシステムの第2のセットであって、前記通信サブシステムが、サブシステムの前記第1のセットのうちのサブシステム間の通信を可能にするように構成された、サブシステムの第2のセットと
を備える、システム。
【請求項2】
障害の前記第1のセットが、障害の前記第2のセットとは別個および別である、請求項1に記載のシステム。
【請求項3】
障害の前記第1のセットの少なくとも部分が、前記環境センサーサブシステムのセンサーの前記セットにおいて収集された前記環境情報に関連する不確実性値のセットに基づいて検出される、請求項2に記載のシステム。
【請求項4】
障害応答の前記第1のセットが、障害応答の前記第2のセットとは別個および別である、請求項2に記載のシステム。
【請求項5】
障害応答の前記第1のセットの少なくとも部分が、最小リスク条件に従って前記自律車両をナビゲートすることを含む、請求項4に記載のシステム。
【請求項6】
障害応答の前記第1のセットの少なくとも部分は、アクションをトリガする前に、前記自律車両が移動を完了するまで待つことを含む、請求項4に記載のシステム。
【請求項7】
障害応答の前記第2のセットの少なくとも部分が、前記ドライブバイワイヤサブシステムのアクチュエータの前記セットのうちの1つのアクティブ化を含み、アクチュエータの前記セットのうちの前記1つが、前に非アクティブであった、請求項4に記載のシステム。
【請求項8】
障害応答の前記第2のセットの少なくとも部分が、前記高レベルコンピューティングサブシステムからの承認なしに開始され得る、請求項4に記載のシステム。
【請求項9】
障害応答の前記第2のセットの前記少なくとも部分が、あらかじめ決定されたしきい値を上回るクリティカリティ値を有する障害に関連する、請求項8に記載のシステム。
【請求項10】
障害応答の前記第2のセットの少なくとも第2の部分が、実装より前にサブシステムの前記第1のセットの少なくとも部分からのコンセンサスを必要とする、請求項8に記載のシステム。
【請求項11】
サブシステムの前記第1のセットの前記部分が、障害応答の前記第2のセットの前記第2の部分の各々に関連する障害の障害タイプに基づいてあらかじめ決定される、請求項10に記載のシステム。
【請求項12】
障害応答の前記第2のセットの各々が、障害の前記第2のセットのうちの関連する障害から前記障害応答への、あらかじめ決定されたマッピングの第1のセットのうちのあらかじめ決定されたマッピングに基づいて決定される、請求項1に記載のシステム。
【請求項13】
障害応答の前記第1のセットの各々が、障害の前記第1のセットのうちの関連する障害から前記障害応答への、あらかじめ決定されたマッピングの第2のセットのうちのあらかじめ決定されたマッピングに基づいて決定される、請求項12に記載のシステム。
【請求項14】
あらかじめ決定されたマッピングの前記第1のセットおよびあらかじめ決定されたマッピングの前記第2のセットの各々が、ハードコーディングされる、請求項13に記載のシステム。
【請求項15】
あらかじめ決定されたマッピングの前記第1のセットおよびあらかじめ決定されたマッピングの前記第2のセットの各々が、前記自律車両に関連する固定ルート使用事例に基づいて、可能にされ、決定される、請求項13に記載のシステム。
【請求項16】
コントローラの前記第2のセットが、コントローラの前記第1のセットの各々によって作り出された出力のセットを監視するように構成され、コントローラの前記第2のセットが、出力の前記セットにおける不整合を検出したことに応答して、障害応答の前記第2のセットのうちの障害応答をトリガするように構成された、請求項1に記載のシステム。
【請求項17】
自律車両のターゲットにされる障害管理のための方法であって、前記方法は、● コンピュータのセットを備える高レベルコンピューティングサブシステムにより、障害の第1のセットについてチェックすることであって、コンピュータの前記セットが、前記自律車両の環境センサーサブシステムからの環境情報を処理するように構成された、障害の第1のセットについてチェックすることと、
● 前記自律車両のサブシステムのセットのうちの少なくとも1つ内に配置された分散処理サブシステムのセットにより、障害の第2のセットについてチェックすることであって、サブシステムの前記セットが、
● 前記環境センサーサブシステムと、
● 制御サブシステムと、
● アクチュエータのセットを備えるドライブバイワイヤサブシステムと、
● 車両シャーシサブシステムと
を備える、障害の第2のセットについてチェックすることと、
● 障害の前記第1のセットのうちの1つまたは複数を検出したことに応答して、前記高レベルコンピューティングサブシステムにおいて障害応答の第1のセットのうちの1つをトリガすることと、
● 障害の前記第2のセットのうちの1つまたは複数を検出したことに応答して、障害応答の第2のセットのうちの1つをトリガすることであって、障害応答の前記第2のセットのうちの少なくとも部分が、前記高レベルコンピューティングサブシステムからの確認の不在下で実装される、障害応答の第2のセットのうちの1つをトリガすることと
を含む、方法。
【請求項18】
前記方法が、固定ルートに沿って前記自律車両の動作中に連続的に実施される、請求項17に記載の方法。
【請求項19】
分散処理サブシステムの前記セットの各々が、前記高レベルコンピューティングサブシステムのコンピュータに対するより低い計算性能能力に関連する、請求項17に記載の方法。
【請求項20】
前記制御サブシステムは、● 複数のコントローラを備えるコントローラの第1のセットと、
● コントローラの前記第1のセットとは別個および別のコントローラの第2のセットであって、コントローラの前記第2のセットの各々が、コントローラの前記第1のセットの各々に対するより高いハードウェア性能およびより低い計算性能に関連する、コントローラの第2のセットと
を備える、請求項17に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、その全体がこの参照により組み込まれる、2021年12月16日に出願された米国仮出願第63/290,407号の利益を主張する。
本出願は、その全体がこの参照により組み込まれる、2021年12月16日に出願された米国仮出願第63/290,407号の利益を主張する。
【0002】
本発明は、一般に自律車両分野に関し、より詳細には、自律車両分野において自律エージェントにおける障害に対処するための新しく有用なシステムおよび方法に関する。
【図面の簡単な説明】
【0003】
【発明を実施するための形態】
【0004】
本発明の好ましい実施形態の以下の説明は、本発明をこれらの好ましい実施形態に限定することを意図するものではなく、むしろ、当業者が本発明を製作および使用することを可能にすることを意図するものである。
【0005】
1. 概要
図1に示されているように、自律エージェントにおける障害に対処するためのシステム100が、運転サブシステム110と、制御サブシステム120と、中央コンピューティングサブシステム130と、自律車両(AV)センサーサブシステム140とを含む。システム100は、随意に、電力サブシステム150、通信サブシステム160、車両シャーシサブシステム170、分散処理および/またはコンピューティングサブシステム、補助センサーサブシステム、ならびに/あるいは任意の他の構成要素を含むことができる。追加または代替として、システム100は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号に記載されている構成要素のいずれかまたはすべてを含み、および/またはそれらとインターフェースすることができる。
図1に示されているように、自律エージェントにおける障害に対処するためのシステム100が、運転サブシステム110と、制御サブシステム120と、中央コンピューティングサブシステム130と、自律車両(AV)センサーサブシステム140とを含む。システム100は、随意に、電力サブシステム150、通信サブシステム160、車両シャーシサブシステム170、分散処理および/またはコンピューティングサブシステム、補助センサーサブシステム、ならびに/あるいは任意の他の構成要素を含むことができる。追加または代替として、システム100は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号に記載されている構成要素のいずれかまたはすべてを含み、および/またはそれらとインターフェースすることができる。
【0006】
図2に示されているように、障害に対処するための方法200が、障害を検出し、それに応答することS100と、車両を動作させることS200とのいずれかまたはすべてを含むことができる。追加または代替として、方法200は、任意の他のプロセスを含むことができる。さらに追加または代替として、方法200は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号のいずれかまたはすべてに記載されている方法、プロセス、実施形態、および/または例のいずれかまたはすべてを含み、および/またはそれらとインターフェースすることができる。方法200は、上記で説明されたシステムおよび/または任意の他の好適なシステムにより、実施され得る。
【0007】
2. 利益
自律エージェントにおける障害に対処するためのシステムおよび方法が、現在のシステムおよび方法に勝るいくつかの利益を与えることができる。
自律エージェントにおける障害に対処するためのシステムおよび方法が、現在のシステムおよび方法に勝るいくつかの利益を与えることができる。
【0008】
第1の変形形態では、本技術は、自律車両が、その車両のハードウェアおよびソフトウェアサブシステムについての多層冗長アーキテクチャを通して、安全であり、特定の障害を最適にターゲットにしたやり方で、フェイルオペレーショナル(fail-operational)であることを可能にすることの利益を与える。
【0009】
さらに、システムのサブシステム内のおよび/またはサブシステム全体にわたる、(たとえば、様々なコンピュートの、様々な能力および/または機能の、など)分散コンピューティングおよび/またはシャーディングされた(sharded)コンピューティングが、この利益および/または任意の他の利益を与えることにさらに寄与することができる。例では、たとえば、システムのいずれかまたはすべてのサブシステムは、関連する(たとえば、指定された)コンピューティング能力(たとえば、1つまたは複数のプロセッサ、埋込みコントローラ/コンピュータなどによる低レベルコンピューティング)を有し、それにより、サブシステム内の個々のサブシステムおよび/または個々の構成要素が、障害を検出する(たとえば、自律的に検出する、独立して検出する、など)ことおよび査定すること、ならびに(たとえば、高レベルコンピュータからの確認なしに、高レベルコンピュータからの確認時に、など)サブシステム固有の障害応答を実装することを可能にする。これは、異なる重大度の障害および/または異なる原因およびソースから生じた障害が、関連のあるサブシステムによって最適に扱われることを可能にし、それにより、時間、計算リソースを節約し、また、最も関連のある障害応答が開始されることを可能にすることができる。特定の例では、たとえば、データのシャーディング(たとえば、分散すること、区分すること、など)が、全体的なコンピュートネットワークにわたるデータをデータシャード(shard)に分けるように機能し、これは、データの処理が、低レイテンシで容易にスケーラブルであることを可能にする。
【0010】
第1の変形形態の追加または代替の、第2の変形形態では、本技術は、ハードウェアとソフトウェアの両方で様々な冗長を実装するアーキテクチャ(これらの複数のタイプおよびソースの冗長は、本明細書では、等価的に多層アーキテクチャと呼ばれる)を通して可能にされるように、車両の車内の人間オペレータ(および/または車両からリモートにある遠隔オペレータ)に依拠することなしに自律的に車両を、ロバストに、確実に、および安全に動作させることの利益を与える。特定の例では、(たとえば、ハードウェア構成要素の、ソフトウェアシステムの、など)障害の場合、障害の重大度が、査定され、その障害に照らして、名目上のまたは劣化した機能を実施することが可能であるサブシステムまたはモジュールを導入することによって扱われ得る。
【0011】
追加または代替として、本技術は、(たとえば、フェイルオペレーショナルアクションがトリガされた後に、フェイルオペレーショナルアクションが実行されている間に、など)フェイルオペレーショナル挙動をフェイルセーフ挙動に動的にエスカレートすること、(たとえば、フェイルセーフアクションがトリガされた後に、フェイルセーフアクションが実行されている間に、など)フェイルセーフ挙動をフェイルオペレーショナル挙動に動的にデエスカレートする(de-escalate)こと、および/または別段に、車両の応答/挙動を動的に調整することのいずれかまたはすべてを、(たとえば、新しい情報、変更された状況などに応答して)可能にすることの利益を与えることができる。
【0012】
さらに、ターゲットにされる障害応答のロバストネス、信頼性、および迅速な実装が、固定ルートおよび/または別段に、車両の使用事例に関連する限定された運行設計領域(ODD:operational design domain)を通して、可能にされ得る。特定の例では、たとえば、車両の固定ルート使用事例は、障害が、正確に、ならびに高いレベルの精度および特異性で検出されることを可能にし、これは、それにより、まさにターゲットにされる障害固有の応答が確実に選択され、開始されることを可能にする。特定の例では、たとえば、障害応答はプログラムされる(たとえば、ハードコーディングされる、明示的にプログラムされる、など)
【0013】
上記で説明された変形形態の追加または代替の、第3の変形形態では、本技術は、様々な入力が競合しないように、様々なサブシステムと各サブシステム内の様々な冗長構成要素との間でインテリジェントに調停することの利益を与える。特定の例では、障害を査定し、それに応答することは、複数のサブシステム上で起こり、したがって、特定の障害に応じた様々なフォールバックおよび/またはフェイルセーフ応答を実装するために、適切な/最適な論理が使用され得る。これは、すべての場合において、過度に保守的なフォールバックおよび/またはフェイルセーフ挙動を必要とせず、むしろ、特定の障害シナリオについて最も適切および最適である挙動が選択されることを可能にするように機能することができる。
【0014】
上記で説明された変形形態の追加または代替の、第4の変形形態では、本技術は、特定のタイプの車両に関連する空間制約内で機能することの利益を与える。特定の例では、本システムは、十分な冗長を実行するためのすべてのハードウェア構成要素を単に複製するために利用可能な空間を有しないことがある、乗用車と、クラス3~7の商業トラックなどのセミトラックとの間のサイズの車両内に組み込まれることが可能である。追加または代替として、本システムおよび/または方法は、ソフトウェアのみを通して冗長を扱うこととハードウェアのみを通して冗長を扱うこととの間のトレードオフを実装することの利益を与える。
【0015】
追加または代替として、本システムおよび方法は、任意の他の利益を与えることができる。
【0016】
3. システム100
図1に示されているように、自律エージェントにおける障害に対処するためのシステム100が、(本明細書では、等価的に作動サブシステムと呼ばれる)運転サブシステム110と、制御サブシステム120と、コンピューティングサブシステム130と、自律車両(AV)センサーサブシステム140とを含む。システム100は、随意に、電力サブシステム150、通信サブシステム160、車両シャーシサブシステム170、分散コンピューティングおよび/または処理サブシステム、補助センサーサブシステム、ならびに/あるいは任意の他の構成要素をさらに含むことができる。追加または代替として、システム100は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号に記載されている構成要素のいずれかまたはすべてを含み、および/またはそれらとインターフェースすることができる。
図1に示されているように、自律エージェントにおける障害に対処するためのシステム100が、(本明細書では、等価的に作動サブシステムと呼ばれる)運転サブシステム110と、制御サブシステム120と、コンピューティングサブシステム130と、自律車両(AV)センサーサブシステム140とを含む。システム100は、随意に、電力サブシステム150、通信サブシステム160、車両シャーシサブシステム170、分散コンピューティングおよび/または処理サブシステム、補助センサーサブシステム、ならびに/あるいは任意の他の構成要素をさらに含むことができる。追加または代替として、システム100は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号に記載されている構成要素のいずれかまたはすべてを含み、および/またはそれらとインターフェースすることができる。
【0017】
システム100は、自律エージェントの確実な、ロバストな、および/または安全な動作を容易にするために、本明細書では、等価的に多層冗長と呼ばれる冗長(たとえば、ハードウェア冗長、ソフトウェア冗長など)の多数のタイプおよびロケーション、ならびに障害管理の多数のタイプおよび層を達成するように機能する。この冗長によって扱われ得る(本明細書では、等価的に故障(fault)、エラー、障害に対する故障発生度(susceptibility)などと呼ばれる)障害のタイプの例は、限定はしないが、ハードウェア障害(たとえば、電気障害、センサー障害、アクチュエータ障害、コントローラ障害など)、ソフトウェアおよび/または論理および/またはアルゴリズム障害(たとえば、論理決定/実行障害、アルゴリズム決定/実行障害、機能実行障害、コード実行障害など)、ハードウェアおよびソフトウェア障害、ならびに/あるいは他の障害のいずれかまたはすべてを含むことができる。障害は、追加または代替として、車両の環境において未知のものに遭遇したときなどの、障害に対する車両の故障発生度を指すことができる。特定の例では、たとえば、障害に対する車両の故障発生度は、限定はしないが、その全体がこの参照により本明細書に組み込まれる、2020年12月18日に出願された米国出願第17/127,599号に記載されているもののいずれかまたはすべてなど、(たとえば、センサーサブシステムにおいて収集されたデータに対する)不確実性推定プロセスおよび/または分布外検出に従って決定される。
【0018】
システムは、好ましくは、少なくとも(最低でも)システム要素の共有および分散アーキテクチャによって管理される少なくとも冗長を含むが、追加または代替として、システム構成要素の動作の方法内の冗長、および/または任意の他の冗長を含むことができる。好ましい変形形態では、たとえば、多層冗長は、限定はしないが、運転サブシステムの冗長アクチュエータ(たとえば、ドライブバイワイヤ[DBW]サブシステム)、運転サブシステムにおける冗長センサー、自律車両(AV)センサーサブシステムにおける重複する視野(FOV)センサー、独立およびマルチモーダルAV検知、冗長および/または独立コンピューティングデバイス、冗長および/または独立通信ネットワーク、複数の電源、ならびに/あるいは任意の他の冗長のいずれかまたはすべて内になど、システムのサブシステム内におよびサブシステムにわたって実装される。これらの冗長構成要素は、好ましくは、その後、任意のサブシステムおよび/または構成要素障害が、道路上の車両または他のものに対する最小リスクで許容され得ることを保証するように機能する論理シナリオを決定および/または実装する方法で、実装される。追加または代替として、多層冗長アーキテクチャが、(1つまたは複数の)任意の他の好適なやり方で実装され得る。
【0019】
好ましい変形形態では、冗長は、重複電源、重複アクチュエータ、重複センサー、任意の組合せ、および/または任意の他の重複構成要素など、物理的要素をアーキテクチャに導入することによって達成される。これは、様々な論理シナリオと組み合わせられて、任意のサブシステムまたは構成要素障害が、障害が発生した場所に応じた、関連する論理を伴ってハードウェアのインテリジェントな選択的実装を通して許容され得ることを保証する。
【0020】
特定の例では、たとえば、冗長は、電力における冗長(たとえば、DBWサブシステムにおける電力)、作動における冗長(たとえば、DBWサブシステムの機械式、油圧式、および電気的アクチュエータ)、プログラム実行における冗長(たとえば、冗長コントローラ、冗長ソフトウェアなど)、通信における冗長(たとえば、冗長通信バス、冗長イーサネットソース/スイッチなど)、センサー視野(FOV)およびマルチモーダルAV検知における冗長(たとえば、冗長ライダー、冗長カメラ、冗長レーダーなど)、AVコンピュートにおける冗長、MRCを実行することにおける冗長、セーフティクリティカルソフトウェアプロセスのための比較および/または投票における冗長経路、ソフトウェア設計における多様な冗長、データの冗長ストレージ、複数の通信ネットワークチャネル(たとえば、リモートオペレータに対するものを含む)、複数のセンサーモダリティ(たとえば、高精度GPSとともに車両の周りの360度カバレージを提供するライダーおよびカメラおよびレーダー)、ならびに/あるいは任意の他の冗長のいずれかまたはすべてを通して達成され得る。
【0021】
システム100は、さらに好ましくは、車両が、人間オペレータ(たとえば、車内の人間オペレータ)への依拠なしに(たとえば、障害のタイプに応じた、劣化した能力で)動作することができるように、自律エージェントが、フェイルオペレーショナル状態で動作することを可能にするように機能する。追加または代替として、システム100は、人間オペレータ(たとえば、車内の人間オペレータ、リモート遠隔オペレータなど)とともに、(システムが低減機能を伴うセーフ動作モードに入る)フェイルセーフ状態で、(システムが障害の後に劣化モードに入る)フェイルソフト状態で動作し、および/または別段に好適に動作することができる。
【0022】
変形形態の好ましいセットでは、たとえば、システムおよび/または関連する方法は、先行的に(proactively)と、反応的にの両方で安全であるフェイルセーフ原理で設計される。たとえば、システムは、好ましくは、障害の存在下で、自己補正および自己回復するソフトウェアおよびハードウェアで構成され、これは、最適な(たとえば、グレースフルな、他の車両に対する最小の妨害を伴って、など)障害挙動を遂行するために、先行的に障害を検出し、(たとえば、コード実行、論理、ハードウェアリセットなどにおける)自己補正をトリガする、車両のためのアクティブな動的復元機構を可能にする。
【0023】
先行的安全(proactive safety)は、本明細書では、好ましくは、システムがそれの障害を自己認識し(たとえば、自己診断することが可能であり)、そのような障害を、グレースフルに、安全に、および効率的に扱う準備ができている(たとえば、常に、低レイテンシ様式で、より高いレベルのシステムの関与を必要とすることなしに、など)ことを指す。カスタムティア化診断システムが、たとえば、ハードウェア問題、ソフトウェア問題、および/または車両プラットフォーム問題(または問題についての可能性)を先行的に検出する、内蔵自己テストおよび内蔵能力(たとえば、サブシステム内の低レベル分散コンピューティングを通した、サブシステムの低レベルコンピューティングと通信している高レベルコンピューティング能力を通した、など)とともに使用され得る。これは、システムレベルおよび/またはサブシステムレベルおよび/または構成要素レベルでのフェイルセーフ冗長を保証し、ならびに車両の全体的な安全システムの有効性を強化する。さらに、(たとえば、バックアップセーフティドライバから、リモートオペレータから、など)アクティブな人間介入がない場合でも、システムの障害応答を継続的に改善するために、記録が維持され(たとえば、動的に維持され)得、すべてのエラー(たとえば、クリティカルエラー、中程度のエラー、低重大度エラーなど)が、車両の検証テスト、動作、および/またはフィールド配備から報告される。
【0024】
反応的安全(reactive safety)は、本明細書では、好ましくは、(たとえば、知覚センサーに関連する不確実性による、他の道路利用者の挙動に基づく、など)他の道路利用者との車両の潜在的衝突など、クリティカル障害につながることがある、そのシステム自体に無関係のファクタに応答するシステムの(および/または方法の)能力(たとえば、障害に対する車両の故障発生度を特徴づけること)を指す。そのような潜在的障害の潜在的重大度に基づいて、車両の、危害の可能性(たとえば、衝突のリスク)を最小限に抑える、適切な最小リスク条件(MRC)または他の障害応答(たとえば、新しい軌道)が選択され得る。
【0025】
先行的および反応的障害は、随意に、システムおよび/または方法において、システム、サブシステムおよび/または個々の構成要素の任意の部分において発生した障害が、適切な障害応答(たとえば、MRCの選択および実施)で考慮され得るように、共通の共有障害アーキテクチャに関して系統的に特徴づけられ得る。代替的に、これらの異なるタイプの障害は、別様に特徴づけられ、および/または別段に好適に検出および応答され得る。
【0026】
システムは、さらに好ましくは、障害が、(たとえば、サブシステムの間の分散コンピューティングを通して、サブシステム内のおよび/またはそれらの間の投票および調停を通して、など)システムのいずれかまたはすべてのサブシステムによって検出および/または応答され得るように、(たとえば、以下の方法200の実装形態において説明されるように)システムのいずれかまたはすべてのサブシステムの間で分散される障害管理アーキテクチャとして機能し、および/またはそれを定義する。
【0027】
システムは、好ましくは、(本明細書では、等価的に、自律エージェントおよび/またはエゴエージェントと呼ばれる)自律車両とインターフェースする(たとえば、自律エージェント内に組み込まれる)が、追加または代替として、任意の他の好適なロボットシステムまたは他のサブシステムとインターフェースすることができる。変形形態の好ましいセットでは、自律車両はトラックであり、さらに好ましくは、クラス3~7の間の商業トラックであるが、追加または代替として、(1つまたは複数の)任意の他の車両を含むことができる。特定の例では、自律車両は、商品の配送(たとえば、企業間[B2B]配送、小売センターおよび/または流通センターおよび/または倉庫間の配送など)のために使用されるクラス3~7のトラックである。追加または代替として、自律車両は、任意の好適な機能(たとえば、乗客を輸送すること、ライドシェアリングなど)のために使用され得る。
【0028】
自律車両は、好ましくは、固定ルート使用事例とともに使用されるが、追加または代替として、非固定ルート使用事例において使用され得る。
【0029】
変形形態の好ましいセットでは、たとえば、自律車両は、目的地間で商品を配送するために自律車両を使用するものなど、近距離ロジスティックス適用例に関連する使用のために構成される。自律車両は、好ましくは、固定ルートのセットに従ってこれらの配送を実施するが、追加または代替として、動的ルートに従い、および/または別段に動作され得る。特定の例では、たとえば、自律車両は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号のいずれかまたはすべてに記載されている使用事例のいずれかまたはすべてに従って使用され得る。
【0030】
例では、たとえば、自律車両が動作する領域が意図的に限定され、それにより、システムおよび方法に関連する検証およびトレーニングが、この制約された領域により、(たとえば、従来の自律車両に対して指数関数的に)低減されることを可能にする。また、障害につながる未知のものまたは「エッジケース」の確率が、他の従来のシステムおよび方法に対して実質的に低減され得、ならびに/あるいは、そのような未知のものおよび/またはエッジケースが識別され得る信頼性が、実質的に増加され得る。固定ルート上で繰り返し運転することは、たとえば、本技術が、これらのルートに対して高度に最適化されることを可能にし、それにより、配備される自律車両が、特定の障害に対する検出および応答を正常に最適化する、いくつかの妥当性確認および検証段階を通ることを可能にすることができる。
【0031】
追加または代替として、システムは、別段に機能し、および/または別段に好適に構成され得る。
【0032】
3.1. システム-運転サブシステム110
システム100は、通常動作中に、およびさらに好ましくは、(たとえば、以下で説明されるような)フェイルオペレーショナルおよび/またはフェイルセーフ状態中に、車両の動きを制御するように機能する運転サブシステム110を含み、および/またはそれとインターフェースする。たとえば、名目上、障害の不在下で、自律エージェントは、運転サブシステム110を通して車両の動きを制御する。しかしながら、いくつかの障害の存在下で、冗長は、著しくより少ない計算オーバーヘッドを有する特定の、等級をつけられていない(ungraded)動き制御アクションについて、運転サブシステムをバイパスすることによって達成され得る。追加または代替として、車両の動き/運動のいずれかまたはすべてが、運転サブシステムの不在下で、任意の他のサブシステムにより、および/またはサブシステムの任意の組合せにより制御され得る。
システム100は、通常動作中に、およびさらに好ましくは、(たとえば、以下で説明されるような)フェイルオペレーショナルおよび/またはフェイルセーフ状態中に、車両の動きを制御するように機能する運転サブシステム110を含み、および/またはそれとインターフェースする。たとえば、名目上、障害の不在下で、自律エージェントは、運転サブシステム110を通して車両の動きを制御する。しかしながら、いくつかの障害の存在下で、冗長は、著しくより少ない計算オーバーヘッドを有する特定の、等級をつけられていない(ungraded)動き制御アクションについて、運転サブシステムをバイパスすることによって達成され得る。追加または代替として、車両の動き/運動のいずれかまたはすべてが、運転サブシステムの不在下で、任意の他のサブシステムにより、および/またはサブシステムの任意の組合せにより制御され得る。
【0033】
運転サブシステムは、さらに好ましくは、限定はしないが、運転サブシステムの構成要素(たとえば、車両の制動構成要素、車両のスロットル構成要素、車両のステアリング構成要素、車両のシフティング構成要素など)に関連するものなど、障害タイプの少なくともサブセットを検出(たとえば、以下で説明されるような低レベルコンピューティング構成要素により自己検出)し、自己補正する(たとえば、自己回復する、自己リセットするなど)ように機能する。追加または代替として、運転サブシステムは、任意の他の障害タイプおよび/またはイベントを検出するように機能することができる。
【0034】
運転サブシステムは、またさらに好ましくは、運転サブシステムによって検出された障害および/または1つまたは複数の他のサブシステムによって検出され、運転サブシステムの構成要素に関与する障害など、(たとえば、運転サブシステムによって扱われるようにハードコーディングされた)検出された障害に応答して、(たとえば、運転サブシステムの構成要素に関連する)障害応答および/または任意の他のアクションを開始する(たとえば、トリガする、実装する、など)ように機能する。
【0035】
追加または代替として、運転サブシステムは、任意の他の好適な機能を実施することができる。
【0036】
運転サブシステムは、好ましくは、ドライブバイワイヤ(DBW)構成要素を実装する、ドライブバイワイヤインフラストラクチャの形態のものである。代替の変形形態は、追加または代替として、ケーブルバイワイヤインフラストラクチャならびに/あるいは運転サブシステムの任意の他のタイプまたは運転サブシステムのタイプの組合せを含むことができる。
【0037】
運転サブシステムは、随意に、(たとえば、以下で説明されるような)運転サブシステムが高レベルコンピューティングサブシステムからコマンドを受信したとき、運転サブシステムが車両動きを実行する自律動作モード、運転サブシステムがドライバ入力をアクチュエータに中継するためのゲートウェイとして働く手動動作モード(たとえば、人間動作モード、遠隔操作モードなど)、および/または任意の他の動作モードなど、動作モードのセットにおいて動作可能であり得る。代替的に、ドライブバイワイヤサブシステムは、これらのモードのサブセットのみにおいて、および/または任意の他のモードにおいて動作可能であり得る。
【0038】
運転サブシステムは、好ましくは、(たとえば、以下で説明されるような)(たとえば、アクチュエータヘルスを検出するための、アクチュエータ出力を検出するための、アクチュエータ入力を検知するための、など)関連する低レベルコンピューティング構成要素および/または診断センサーとともに、以下で説明されるサブシステムに組み込まれるアクチュエータのセットを含むが、追加または代替として、任意の他の構成要素を含むことができる。
【0039】
運転サブシステムは、好ましくは、自律および/または手動動作モード中に車両をステアリングする(ターンさせる)ように機能する、(たとえば、図3に示されているような)ステアリングサブシステムを含む。追加または代替として、作動サブシステムは、ステアバイワイヤサブシステムなしであり得る。
【0040】
ステアリングサブシステムは、好ましくは、ステアバイワイヤ(SBW)サブシステムであるが、追加または代替として、ステアバイケーブルサブシステムおよび/または任意の他のサブシステムを含むことができる。
【0041】
(本明細書では、等価的に、ステアサブシステムと呼ばれる)ステアリングサブシステムは、好ましくは、アクチュエータのセット、さらに好ましくは、車両の1つまたは複数のステアリング構成要素(たとえば、ステアリングコラム)を回転させるように機能するモーターのセット(たとえば、電動パワーアシストステアリング[EPAS]モーター)など、(たとえば、同じタイプの、異なるタイプの、油圧式および電気的、など)アクチュエータの冗長セットを含むが、追加または代替として、任意の他のアクチュエータおよび/またはアクチュエータのタイプを含むことができる。
【0042】
ステアリングアクチュエータは、好ましくは、処理および/またはコンピューティング能力(たとえば、以下で説明されるような、埋込みコントローラ/コンピュータなどの低レベルプロセッサ/コンピュータを通した、など)を含み、および/またはそれらとインターフェースし、それにより、アクチュエータが、内蔵投票および調停機能を通してなど、障害を検出し、および/またはそれに応答することを可能にし、内蔵投票および調停機能は、フェイルオペレーショナルアーキテクチャをサポートし、ならびに、システムを無効にし、および/または別段にシステムに影響を及ぼすことがある障害(たとえば、任意の単一ポイント障害)のリスクを除去するおよび/または最小限に抑えるように機能することができる。ステアリングサブシステムは、さらに好ましくは、通信サブシステム、さらに好ましくは冗長通信サブシステム(たとえば、冗長通信ネットワーク、冗長コントローラエリアネットワーク[CAN]ネットワークなど)を含み、および/またはそれらとインターフェースし、その通信サブシステムは、コマンドが、ステアリングアクチュエータに通信される(また、たとえば、ステアリングアクチュエータからフィードバックを受信し、互いと通信する、など)ことを可能にすることと、ならびに、ステアリング情報が、システムのいずれかまたはすべての他のサブシステムおよび/または構成要素に通信されることを可能にすることとを行うように機能する。ステアリングサブシステムは、さらに好ましくは、(たとえば、通信バス[たとえば、CANバス]のうちの1つに障害がある場合でも)連続電力がステアリングサブシステムに提供されることを保証するように機能する、冗長電源とインターフェースする。ステアリングサブシステムは、随意に、複数ポイント障害の場合、車両がセーフティオペレータによってステアリングされることを可能にする、機械的バックアップモードを実装することができる。追加または代替として、ステアリングサブシステムは、機械的バックアップモードの不在下で実装され得、および/または任意の他のモードにおいて動作可能であり得、および/または任意の他の構成要素を含むことができる。
【0043】
運転サブシステムは、さらに好ましくは、自律および/または手動動作モードにおいて車両を停止させるために、ロードホイールにおいて制動力を加えるように機能する、(本明細書では、等価的に、ブレーキサブシステムと呼ばれる)制動サブシステムを含む。追加または代替として、運転サブシステムは、制動サブシステムなしであり、および/または別段に構成され得る。
【0044】
制動サブシステムは、好ましくは、ブレーキバイワイヤ(BBW)サブシステムであるが、追加または代替として、ブレーキバイケーブルサブシステムおよび/または任意の他のサブシステムを含むことができる。
【0045】
制動サブシステムは、好ましくは、制動アクチュエータ(たとえば、電空アクチュエータ、油圧式アクチュエータ、エンジンアクチュエータ、ブレーキアクチュエータ、EPBアクチュエータなど)のセット、さらに好ましくは、冗長通信サブシステム(たとえば、上記で説明された冗長通信ネットワーク)上で通信する(たとえば、同じタイプの、異なるタイプの、など)制動アクチュエータの冗長セットを含む。制動アクチュエータは、好ましくは、処理および/またはコンピューティング能力(たとえば、以下で説明されるような、埋込みコントローラ/コンピュータなどの低レベルプロセッサ/コンピュータを通した、など)を含み、および/またはそれらとインターフェースし、それにより、アクチュエータが、内蔵投票および調停機能を通してなど、障害を検出し、および/またはそれに応答することを可能にし、内蔵投票および調停機能は、フェイルオペレーショナルアーキテクチャをサポートし、ならびに、システムを無効にし、および/または別段にシステムに影響を及ぼすことがある障害(たとえば、任意の単一ポイント障害)のリスクを除去するおよび/または最小限に抑えるように機能することができる。いくつかの変形形態では、油圧および/または空気圧を保持するブレーキ「ライン」は、単一のブレーキラインにおける障害が制動の完全な喪失につながらないように、ラインを互いから隔離するだけでなく、ロードホイールへの圧力を分散させる遮断バルブを伴って設計される。制動バルブが、好ましくは、フェイルオープンするように設計され、圧力損失(および/または任意の他の関連のある障害)を検出すると、バルブが瞬時に開き、車両を即時停止に至らせるための高い制動力を加える。追加または代替として、ブレーキが、別段に構成され得る。制動サブシステムは、さらに好ましくは、(たとえば、通信バスのうちの1つに障害がある場合でも)連続電力がステアリングサブシステムに提供されることを保証するように機能する、冗長電源とインターフェースする。制動サブシステムは、随意に、複数ポイント障害の場合、(本明細書では、等価的に、電気的パークブレーキと呼ばれる)電動パーキングブレーキ(EPB)を通して、制動に遷移することができる。制動サブシステムは、随意におよび/またはさらに、適切なトランスミッションギアの選択を通してエンジン制動を利用することができる。障害の場合、エンジン制動と電動パーキングブレーキ(EPB)の組合せが、冗長制動作動を提供することができる。追加または代替として、制動サブシステムは、任意の他の構成要素を含み、および/または別段に動作することができる。
【0046】
運転サブシステムは、さらに好ましくは、自律および/または手動動作モードにおいて車両の縦方向動きを制御するように機能する、スロットリングサブシステムを含む。追加または代替として、スロットリングサブシステムは、車両の他の動きを制御し、および/または別段に好適に構成され得る。
【0047】
スロットリングサブシステムは、好ましくは、スロットルバイワイヤ(TBW)サブシステムであるが、追加または代替として、スロットバイケーブルサブシステムおよび/または任意の他のサブシステムを含むことができる。
【0048】
(本明細書では、等価的に、スロットルサブシステムと呼ばれる)スロットリングサブシステムは、好ましくは、適切な(たとえば、最適な)加速トルク要求を送ることによって、車両の縦方向動きを制御するアクチュエータ(たとえば、電気的アクチュエータ)のセットを含む。スロットルサブシステムは、好ましくは、(たとえば、以下で説明されるような)センサーの冗長セット、および高い性能(たとえば、高い信頼性)に関連するエンジン制御モジュール(ECM)とインターフェースするが、追加または代替として、任意の他の構成要素(たとえば、冗長通信バス、冗長電源など)とインターフェースすることができる。
【0049】
スロットリングサブシステムは、好ましくは、冗長通信サブシステム(たとえば、上記で説明された冗長通信ネットワーク)上で通信する。スロットルアクチュエータは、好ましくは、処理および/またはコンピューティング能力(たとえば、以下で説明されるような、埋込みコントローラ/コンピュータなどの低レベルプロセッサ/コンピュータを通した、など)を含み、および/またはそれらとインターフェースし、それにより、アクチュエータが、内蔵投票および調停機能を通してなど、障害を検出し、および/またはそれに応答することを可能にし、内蔵投票および調停機能は、フェイルオペレーショナルアーキテクチャをサポートし、ならびに、システムを無効にし、および/または別段にシステムに影響を及ぼすことがある障害(たとえば、任意の単一ポイント障害)のリスクを除去するおよび/または最小限に抑えるように機能することができる。スロットリングサブシステムは、さらに好ましくは、(たとえば、通信バスのうちの1つに障害がある場合でも)連続電力がスロットルアクチュエータに提供されることを保証するように機能する、冗長電源とインターフェースする。
【0050】
追加または代替として、スロットリングサブシステムは、別段に好適に構成され得る。
【0051】
運転サブシステムは、さらに好ましくは、自律車両が、駐車され、前方に運転され、後方に運転され、低ギアで運転され、および/または別段に運転され得るように、自律車両のギア選択を容易にするように機能する、(本明細書では、等価的に、シフトサブシステムと呼ばれる)シフティングサブシステムを含む。追加または代替として、運転サブシステムは、シフティングサブシステムなしであり、および/または別段に好適に構成され得る。
【0052】
シフティングサブシステムは、好ましくは、シフトバイワイヤ(ShBW)サブシステムであるが、追加または代替として、シフトバイケーブルサブシステムおよび/または任意の他のサブシステムを含むことができる。
【0053】
シフティングサブシステムは、好ましくは、自律および/または手動動作モードにおいてトランスミッション上でギアをシフトする、冗長トランスミッションアクチュエータに結合された(本明細書では、等価的に、シフトコントローラと呼ばれる)冗長トランスミッションコントローラを含む。
【0054】
シフトコントローラは、好ましくは、処理および/またはコンピューティング能力(たとえば、以下で説明されるような、埋込みコントローラ/コンピュータなどの低レベルプロセッサ/コンピュータを通した、など)を含み、および/またはそれらとインターフェースし、それにより、シフティングサブシステムが、内蔵投票および調停機能を通してなど、障害を検出し、それに応答することを可能にし、内蔵投票および調停機能は、フェイルオペレーショナルアーキテクチャをサポートし、ならびに、システムを無効にし、および/または別段にシステムに影響を及ぼすことがある障害(たとえば、任意の単一ポイント障害)のリスクを除去するおよび/または最小限に抑えるように機能することができる。
【0055】
シフティングサブシステムは、さらに好ましくは、(たとえば、通信バスのうちの1つに障害がある場合でも)連続電力がシフティングサブシステムに提供されることを保証するように機能する、冗長電源とインターフェースする。随意に、トランスミッションシフタは、複数ポイント障害の場合、手動でオーバーライドされ得る。追加または代替として、シフティングサブシステムは、任意の他の構成要素を含み、および/または別段に動作することができる。
【0056】
ステアリング、制動、スロットリング、およびシフティングサブシステムのいずれかまたはすべては、好ましくは、(たとえば、通信サブシステムを介して、直接電気的通信および/または機械的通信を介して、など)互いと通信している。代替的に、サブシステムは、互いとの通信なしであり得る。運転サブシステムは、さらに好ましくは、(たとえば、以下で説明されるように)障害が、複数のサブシステムおよび/または複数の構成要素によって、通信および/または集合的に検出および/または応答され得るように、(たとえば、通信ネットワークを介した)任意の他のサブシステムとの通信のために構成される。好ましい変形形態では、複数の通信モード(たとえば、CAN、イーサネットなど)が利用可能であり、障害の場合、冗長を提供するために切替え可能であることを保証することによって、通信サブシステム自体が、冗長に対処する。これらは、好ましくは、物理的に頑丈な構成要素を含み、高い安全性能(たとえば、より強い、破損に対してより耐性がある、より高い温度および/または物理的摂動に耐えることが可能である、など)を与える自動車グレード通信(automotive grade communication)(たとえば、自動車イーサネット)であるが、追加または代替として、任意の他の構成要素を含み、および/またはそれらとインターフェースすることができる。
【0057】
運転サブシステム(および/またはシステムの任意の他の構成要素)は、さらに好ましくは、補助センサーサブシステムを含み、および/またはそれとインターフェースし、補助センサーサブシステムは、センサー(たとえば、診断センサー、ヘルスセンサー、ヘルス監視センサーなど)のセット、さらに好ましくは、センサーの冗長セット(たとえば、異なるタイプのセンサー、同じタイプのセンサーなど)を含み、それらは、ステアリングサブシステム、制動サブシステム、スロットリングサブシステム、シフティングサブシステムおよび/または運転サブシステムの任意の他の構成要素のいずれかまたはすべての構成要素を監視するように(たとえば、障害を検出するように、特定のタイプの障害を検出するように、など)機能する。センサーサブシステムは、さらに好ましくは、アクチュエータのセットからシステムの他の構成要素にフィードバックを提供するように機能する。好ましい変形形態では、たとえば、センサー値は、それらの値が評価され(たとえば、互いと比較される、予想される値と比較される、など)、および/または使用され得るように、制御サブシステムに(たとえば、以下で説明される制御サブシステムの1つまたは複数のコントローラに)送られる。これらの値は、追加または代替として、障害が発生したかどうか、および、随意に、どの構成要素(たとえば、どのアクチュエータ)が障害のソースであるかを決定するために、(たとえば、コントローラによって、低レベルコンピューティング構成要素によって、高レベルコンピューティングサブシステムによって、など)使用され得る。運転サブシステム入力/出力(I/O)および測定された推定値(たとえば、ステアリング角度、ブレーキまたはスロットル割合など)が、さらに好ましくは、妥当性、合理性、レイテンシ/通信診断、クロスセンサーチェック、出力監視、運動学的に実現可能なI/O、信号有効性、コマンド対応答診断、および/または任意の他のファクタについて評価される。低レベル制御におけるこのデューディリジェンスは、障害のまれな発生のうちの最もまれなもののみが運転サブシステムから起こり得ることと、これらのまれな障害は、トリアージすることおよびそれらの根本原因を識別することが著しくより容易であることとを保証することができる。追加または代替として、センサーサブシステムは、任意の他の機能を実施することができる。
【0058】
各アクチュエータに関連するセンサーは、同等である、異なる、または任意の組合せであるのいずれかまたはすべてであり得る。
【0059】
変形形態の好ましいセットでは、運転サブシステムセンサーは、各機能(たとえば、ステアリング、制動、スロットリング、およびシフティング)について冗長であり、ステアリング角度位置、スロットルパーセントトルク、適用されたブレーキペダル割合、および現在のギアなど、各アクチュエータの位置を測定および報告する。このフィードバックは、次いで、随意に、通信サブシステム(たとえば、冗長通信ネットワーク)を通して、他のサブシステムに送信され、障害を検出するために運転サブシステムによって使用され、および/または別段に、障害を検出し、それに応答するために、システムの任意の部分によって使用され得る。たとえば、これらのセンサーによって提供された情報に基づいて、運転サブシステムと、したがってAVシステムとが、プランナーによって設定された軌道が維持されているかどうか(および/または障害または潜在的障害が発生したかどうか)を知ることができる。
【0060】
追加または代替として、運転サブシステムは、任意の他の構成要素を含むことができる。
【0061】
3.2. システム-制御サブシステム120
システム100は、車両をどのように作動させるべきかに関するディシジョンメーキング(decision-making)(たとえば、コマンドを決定すること、およびコマンドをアクチュエータに送信すること)を実施するように機能する、制御サブシステム120を含む。制御サブシステムは、さらに、アクチュエータにおいて何らかの障害がある場合、制御サブシステムが、バックアップアクチュエータ(たとえば、電気的SBWアクチュエータに障害がある場合にトリガされる油圧式SBWアクチュエータ)の利用をトリガすることができるように、運転サブシステムにおけるアクチュエータのいずれかまたはすべてのヘルスを決定するように機能することができる。追加または代替として、運転サブシステムは、単独でこの利用をトリガすることができる。さらに追加または代替として、制御サブシステムは、任意の他のサブシステムと組み合わせて使用され、および/または任意の他の好適な目的のために使用され得る。
システム100は、車両をどのように作動させるべきかに関するディシジョンメーキング(decision-making)(たとえば、コマンドを決定すること、およびコマンドをアクチュエータに送信すること)を実施するように機能する、制御サブシステム120を含む。制御サブシステムは、さらに、アクチュエータにおいて何らかの障害がある場合、制御サブシステムが、バックアップアクチュエータ(たとえば、電気的SBWアクチュエータに障害がある場合にトリガされる油圧式SBWアクチュエータ)の利用をトリガすることができるように、運転サブシステムにおけるアクチュエータのいずれかまたはすべてのヘルスを決定するように機能することができる。追加または代替として、運転サブシステムは、単独でこの利用をトリガすることができる。さらに追加または代替として、制御サブシステムは、任意の他のサブシステムと組み合わせて使用され、および/または任意の他の好適な目的のために使用され得る。
【0062】
好ましい変形形態では、制御サブシステム入力/出力(I/O)および測定された推定値(たとえば、トランスミッション制御範囲)が、妥当性、合理性、レイテンシ/通信診断、クロスセンサーチェック、出力監視、運動学的に実現可能なI/O、信号有効性、コマンド対応答診断、および/または任意の他の特徴のいずれかまたはすべてについて評価され得、このデューディリジェンスは、障害のまれな発生のうちの最もまれなもののみが制御サブシステムから起こり得ることと、これらのまれな障害は、トリアージすることおよびそれらの根本原因が識別されることが著しくより容易であることとを保証するように機能することができる。
【0063】
追加または代替として、制御サブシステムは、別段に構成され得る。
【0064】
制御サブシステム120は、好ましくは、コンピューティングサブシステム130と通信しており、随意に、運転サブシステム110、任意の他のサブシステム、および/またはすべてのサブシステムなど、任意の他のサブシステムと(たとえば、通信サブシステムを介して)通信している。制御サブシステム120は、さらに、(1つまたは複数の)サブシステムのアクチュエータまたは他の構成要素(たとえば、運転サブシステムのアクチュエータ)のいずれかまたはすべてに関連するコントローラ(たとえば、低レベルコントローラ、埋込みコントローラなど)を通してなど、システムの任意の数のサブシステムの間で分散され得る。
【0065】
制御サブシステムは、好ましくは、1つまたは複数のコントローラのセットを含む。コントローラのセットは、好ましくは、電子制御ユニット(ECU)を含むが、追加または代替として、限定はしないが、エンジン制御モジュール(ECM)、パワートレイン制御モジュール(PCM)、トランスミッション制御モジュール(TCM)、ブレーキ制御モジュール(BCM)、中央制御モジュール(CCM)、中央タイミングモジュール(CTM)、汎用電子モジュール(GEM)、ボディ制御モジュール、サスペンション制御モジュール、および/または任意の他のタイプのコントローラなど、任意の他のコントローラ(たとえば、マイクロコントローラ、2位置コントローラ、比例コントローラ、積分コントローラ、微分コントローラなど)を含むことができる。
【0066】
コントローラは、同じ種類/タイプであり、異なる種類/タイプであり、同じ性能パラメータに関連し、異なる性能パラメータに関連し得、および/またはコントローラの任意の組合せを含むことができる。追加または代替として、制御サブシステムは、任意の他の構成要素(たとえば、コントローラヘルスを検出/決定するように構成された診断センサーなど)を含むことができる。コントローラは、好ましくは、車両ネットワーク内に物理的に組み込まれるが、追加または代替として、別段に配置/構成され得る。
【0067】
制御サブシステムは、好ましくは、(たとえば、1つのコントローラに障害がある場合)冗長を提供すること、異なるコントローラによって受信されたおよび/または異なるコントローラにおいて作り出された値の比較および/またはチェックを可能にすること、および/または、任意の他の機能を実施することを行うように機能することができる、複数のコントローラを含む。(たとえば、図4に示されているような、図5に示されているような、など)変形形態の好ましいセットでは、制御サブシステムは、冗長コントローラを含み、冗長コントローラは、1つまたは複数のコントローラのうちの第1のセット(たとえば、第1のECU)と、1つまたは複数のコントローラのうちの第2のセット(たとえば、第2のECU)とを含む。第1のコントローラおよび第2のコントローラは、好ましくは同じタイプのものであるが、代替的に異なるタイプのものであり得る。追加または代替として、制御サブシステムは、2つ以上のコントローラ、単一のコントローラ、および/または任意の他の構成要素を含むことができる。
【0068】
例のセットでは、たとえば、コントローラの第1のセットおよび第2のセットは、(たとえば、ウォッチドッグ(watchdog)コントローラに対する)比較的高いレベルのコンピューティング能力で構成されたECUを含む。
【0069】
いくつかの変形形態では、たとえば、制御サブシステムは、同じタイプの3つ以上の冗長コントローラ(たとえば、3つの冗長コントローラ、4つの冗長コントローラなど)を含む。
【0070】
いくつかの変形形態では、たとえば、制御サブシステムは、同じタイプの複数のコントローラと、次いで、異なるタイプの1つまたは複数のコントローラ(たとえば、以下で説明されるようなウォッチドッグコントローラ)とを含む。
【0071】
コントローラのいずれかまたはすべては、随意に、コントローラが情報を計算し、情報を分析し、情報を比較し、および/または別段に、障害に対する検出および/または応答を支援することができるように、処理および/またはコンピューティング能力を含み、および/またはそれらとインターフェースすることができる。いくつかの変形形態では、たとえば、コントローラのいずれかまたはすべては、評価のための内蔵車両ダイナミクスモデルを含む。各コントローラは、さらに好ましくは、フェイルオペレーショナルアーキテクチャをサポートし、全体的なシステム機能を無効にする障害(たとえば、単一ポイント障害、複数ポイント障害、コントローラにおいて生じる障害、制御サブシステムの外で生じる障害)のリスクを除去するための、内蔵投票および調停機能を有する。
【0072】
コントローラは、好ましくは、(たとえば、通信バスに障害がある場合でも)連続電力を保証するように機能する、冗長電源とインターフェースする。追加または代替として、DBWコントローラは、任意の他の構成要素を含み、および/またはそれらとインターフェースすることができる。
【0073】
制御サブシステムは、随意に、(本明細書では、等価的に、ウォッチドッグコントローラと呼ばれる)監視コントローラをさらに含むことができ、これは、制御サブシステムの他のコントローラ(たとえば、上記で説明たされたコントローラの第1のセット、上記で説明されたコントローラの第2のセットなど)において受信される入力(および/またはそれらの他のコントローラによって作り出される出力)を監視するように機能する。たとえば、他のコントローラが異なる情報を受信および/または提供している(たとえば、異なる制御コマンドをウォッチドッグコントローラに与えている)場合、ウォッチドッグコントローラは、車両のための適切なアクション(たとえば、停止する、MRCを実行する、など)を決定および/またはトリガすることができる。ウォッチドッグコントローラは、追加または代替として、中央コンピューティングサブシステムからの情報を他のコントローラに受け渡し、および/または任意の他の機能を実施するように機能することができる。
【0074】
ウォッチドッグコントローラは、好ましくは、他のコントローラに対して、異なるタイプのものであり、ならびに/あるいは異なる性能パラメータおよび/またはハードウェアパラメータに関連する。好ましい変形形態では、たとえば、ウォッチドッグコントローラは、他のコントローラに対して、物理的により頑丈であり、より高い安全性能(たとえば、ASIL-D格付け、自動車グレード、セーフティクリティカル、より強い、破損に対してより耐性がある、より高い温度および/または物理的摂動に耐えることが可能である、など)のものであり、および/または計算量的にあまり高性能でなく(たとえば、より少ない処理が可能、計算エラーに対してより耐性がある、など)、これは、ウォッチドッグコントローラに障害がある見込みを最小限に抑え、制御サブシステムにおいて単一のウォッチドッグコントローラがあることを可能にし、および/または別段に任意の他の利益を与えることができる。
【0075】
特定の例では、たとえば、ウォッチドッグコントローラは、制御サブシステムの他のコントローラに対するより低いおよび/またはより限定された計算能力(たとえば、情報を受け渡すこと、他のコントローラからの出力を比較することなど)を伴う、セーフティクリティカル、自動車グレード(たとえば、自動車用安全度水準[ASIL]格付け、ASIL-D格付けなど)コントローラ(たとえば、ECU)である。
【0076】
代替的に、ウォッチドッグコントローラは、他のコントローラと同じタイプおよび/または能力のものであり、他のコントローラよりも高いインテリジェンスを有し、および/または別段に構成され得る。
【0077】
ウォッチドッグコントローラを含む変形形態では、制御サブシステムは、好ましくは、単一のウォッチドッグコントローラを含むが、複数のウォッチドッグコントローラをさらに含むことができる。
【0078】
(たとえば、図4に示されているような)第1の変形形態では、高い信頼性および利用可能性(たとえば、確実な通信、最小処理タスクなど)を伴うウォッチドッグコントローラ(たとえば、セーフティクリティカル、ASIL D格付けECU、自動車グレードECUなど)が、他のECUに対する別個のECUとして実装され、故障監視、故障管理、診断、フォールバックアクション(MRC)を実行すること、および安全な状態までAVの動作を保証することなど、セーフティクリティカル機能を実施するように機能する。ウォッチドッグECUは、さらに、連続的に最小リスク操作および/または他の障害応答を計画し、また、サイバーセキュリティーアクティビティを実施することによって攻撃を妨害することができる。センサー入力から、車両による制御の実行までの一連のイベント全体が、好ましくは、ウォッチドッグの監視制御下にある。障害/故障の重大度レベルに基づいて、それらは、それに応じてウォッチドッグコントローラに提起され得、そこで、その監視アルゴリズムが、自律車両によってとられるべき是正アクションの方針を判定する。連続電力を保証するために、冗長電源が必要に応じて実装され得る。
【0079】
追加または代替として、これらの機能のいずれかまたはすべては、他のコントローラによって、中央コンピューティングサブシステムによって実施され、および/または別段に実施され得る。
【0080】
(たとえば、図4に示されているような)例のセットでは、ウォッチドッグコントローラは、中央コンピューティングサブシステムからの情報を他のコントローラに受け渡すことと、他のコントローラにおいて受信されている入力を監視すること(たとえば、他のコントローラに送られている入力において不整合(mismatch)がある場合、障害が存在することを検出すること)と、他のコントローラによって作り出される出力を監視すること(たとえば、コントローラによって作り出されている出力において不整合がある場合、障害が存在することを検出すること)と、制御コマンドを運転サブシステムに受け渡す際にどのコントローラを使用すべきかを選択することとを行うように機能し、および/または別段に好適に使用され得る。ウォッチドッグコントローラが、(たとえば、障害により)使用され得ない場合、他のコントローラが、(たとえば、障害応答をトリガすることに加えて、障害応答を開始する代わりに、など)中央コンピューティングサブシステムから直接、情報を受信することができる。追加または代替として、他のコントローラは、常に中央コンピューティングサブシステムから情報を受信することができ、および/または別段に好適に使用され得る。
【0081】
代替的に、制御サブシステムは、ウォッチドッグコントローラの不在下で実装され得る。
【0082】
(たとえば、図5に示されているような)第2の変形形態では、追加の監視ハードウェア(たとえば、ウォッチドッグコントローラ)を使用せずに故障診断および調停挙動を可能にする、複数のコントローラ(たとえば、コントローラの第1のセットおよびコントローラの第2のセット)と複数のコンピュータとの間のアーキテクチャが作成される。このアーキテクチャは、各コントローラが、コンピュータからのそれ自体の出力および/または入力を(1つまたは複数の)他のコントローラ(たとえば、2つのコントローラのサブセットにおけるペアにされた構成要素)と比較することによって、冗長を与える。効果的に、各コントローラは、それのパートナーに関する、および異なる機能の近隣のコントローラに関するチェックを提供する。したがって、障害の任意の単一ポイントが診断可能であり、冗長的にカバーされる。出力一貫性をチェックするために、たとえば、各コントローラは、それの出力を(1つまたは複数の)他のコントローラの出力と比較して、コマンドのタイミングおよび値が整合し、および/または別段にあらかじめ決定された境界内にあることを確かめる。出力または入力が整合しない場合、各コントローラは、障害応答(たとえば、定義された最小リスク条件(MRC)、あらかじめ決定された障害応答など)を制定することが可能である。したがって、好ましくは、1つの構成要素のみが、障害応答をトリガするために必要とされる。コントローラは、随意に、高レベルコンピューティングサブシステムからの確認および/または開始を必要とすることなしに、障害応答をトリガすることができる。追加または代替として、高レベルコンピューティングサブシステムは、障害応答をトリガすることができ、および/または、コントローラは、別段に好適に構成され得る。
【0083】
(たとえば、図5に示されているような)例のセットでは、たとえば、コントローラの第1のセットが、複数のコンピュータのセットの各々から情報を受信することが可能であり、コントローラの第2のセットも、複数のコンピュータのセットの各々から情報を受信することが可能であり、コントローラの第1のセットは、それが受信した情報を、コントローラの第2のセットが受信した情報と比較することができ、それにより、(たとえば、異なるコントローラがコンピュータから異なる情報を受信した場合)コンピュータのうちの1つによる障害が検出されること、および/または(たとえば、異なるコントローラがコンピュータから同じ情報を受信したが、異なる出力を作り出した場合)コントローラのうちの1つによる障害が検出されることを可能にする。
【0084】
追加または代替として、制御サブシステム120は、任意の他の構成要素を含み、および/または別段に好適に構成され得る。
【0085】
3.3. システム-中央コンピューティングサブシステム130
システム100は、好ましくは、(本明細書では、等価的に、自律車両(AV)コンピューティングサブシステム、高レベルコンピューティングサブシステム、および/または中央コンピューティングサブシステムと呼ばれる)中央コンピューティングサブシステム130を含み、これは、自律車両のディシジョンメーキングおよび動作(たとえば、知覚タスク、予測タスク、経路計画、軌道を生成すること、など)のためのコンピューティングを実施するように機能する。AVコンピューティングサブシステムは、さらに好ましくは、車両に関連する障害の少なくとも部分および/または(たとえば、環境条件による)障害に対する車両の故障発生度を検出するように機能する。さらに、AVコンピューティングサブシステムは、検出された障害に関連する障害応答(たとえば、相応の障害応答、最適な障害応答など)を決定(たとえば、選択)し、それらを開始するように機能することができる。
システム100は、好ましくは、(本明細書では、等価的に、自律車両(AV)コンピューティングサブシステム、高レベルコンピューティングサブシステム、および/または中央コンピューティングサブシステムと呼ばれる)中央コンピューティングサブシステム130を含み、これは、自律車両のディシジョンメーキングおよび動作(たとえば、知覚タスク、予測タスク、経路計画、軌道を生成すること、など)のためのコンピューティングを実施するように機能する。AVコンピューティングサブシステムは、さらに好ましくは、車両に関連する障害の少なくとも部分および/または(たとえば、環境条件による)障害に対する車両の故障発生度を検出するように機能する。さらに、AVコンピューティングサブシステムは、検出された障害に関連する障害応答(たとえば、相応の障害応答、最適な障害応答など)を決定(たとえば、選択)し、それらを開始するように機能することができる。
【0086】
追加または代替として、AVコンピューティングサブシステムは、任意の他の好適な機能を実施することができる。
【0087】
AVコンピューティングサブシステムは、好ましくは、検出のために高レベルコンピューティング(たとえば、トレーニングされたモデルのセットによる評価、高度なコンピュートアルゴリズムによる処理など)を必要とする、AVセンサーサブシステムから生じた障害および/または障害に対する故障発生度ならびに/あるいは任意の他の障害など、車両に関連する高レベル障害を(たとえば、個々に、集合的に他のサブシステムを伴って、など)検出し、および/またはそれらに応答するように構成される。追加または代替として、AVコンピューティングサブシステムは、高クリティカリティ障害、中程度のクリティカリティ障害、低クリティカリティ障害、直接介入を必要とする障害、中間介入を必要としない障害(たとえば、障害のさらなる監視を可能にする、人間オペレータとの通信および/または車両の再ルーティングなど、より高性能の障害応答を可能にする、など)、および/あるいは任意の他の障害または障害の組合せを検出し、および/またはそれらに応答するように構成され得る。
【0088】
システム(たとえば、中央コンピューティングサブシステム、中央コンピューティングサブシステム、および集合的にサブシステムなど)にわたって流れるデータが、好ましくは、分散され、および/またはシャーディングされる。このデータ分散/区分の結果は、データがスケーラブルであり、低レイテンシを有し、しかも、動作タスクに関する独立ディシジョンメーキングを可能にするためにサブシステムにわたって分散された十分な情報があることである。データのタイプは、様々なコンピュート、様々なセンサー、通信スイッチ、ならびに/またはサブシステム全体にわたって分散された他の能力および機能からのものを含む。さらに、この情報はまた、センサー入力から制御の実行までの一連のイベント全体を含むことができる。追加または代替として、任意の他のデータが、AVコンピューティングサブシステムにおいて受信され、および/またはそれによって処理され得る。
【0089】
さらに、AVコンピューティングサブシステムは、サブシステムが障害応答をトリガすることを可能にする許可を提供するように機能することができる。
【0090】
AVコンピューティングサブシステムは、さらに好ましくは、限定はしないが、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、および2020年12月18日に出願された米国出願第17/127,599号のいずれかまたはすべてに記載されているもののいずれかまたはすべてなど、車両の動作に関連する通常のルーチンディシジョンメーキング(たとえば、アクション選択、軌道生成など)を実施するように構成される。
【0091】
AVコンピューティングサブシステムは、好ましくは、(たとえば、図6に示されているような)少なくとも制御サブシステム120およびAVセンサーサブシステム140と(たとえば、通信サブシステムを介して)通信しているが、追加または代替として、1つまたは複数のサブシステムとの通信なしであり、任意の他の構成要素(たとえば、いずれかのまたはすべての他のサブシステム)と通信しており、および/または別段にシステムの他の部分と通信可能であり得る。
【0092】
さらに、AVコンピューティングサブシステムは、制御サブシステムのいずれかまたはすべてのコントローラ、コントローラの部分、コントローラの特定のサブセット(たとえば、ウォッチドッグコントローラ)と通信していることがあり、コントローラと通信していないことがあり、および/あるいはコントローラの任意の組合せと通信していることがある。
【0093】
AVコンピューティングサブシステムは、好ましくは、2つのコンピュータのセット、ただし随意に3つ以上または2つ未満など、複数のコンピューティングデバイスのセットを含む。それらのコンピューティングデバイスは、好ましくは、動作において冗長であり、同じタイプ、異なるタイプ、または任意の組合せのものであり得る。
【0094】
変形形態の好ましいセットでは、たとえば、コンピューティングサブシステムは、動作において冗長であり、各々、AVセンサーサブシステムからのデータを処理する、複数のコンピュータを含む。コンピュータは、世界を知覚し、満たすべき運転サブシステムについてのアクチュエータ制御メッセージを発行するために、シャーディング/分散様式で感覚情報(データ)を処理する。情報/データシャーディングでは、知覚、予測、軌道計画、および制御など、AV機能が、随意に、各コンピュータによって独立して、または、フェイルオペレーショナルアーキテクチャをサポートするために組み込まれた投票および調停機能の助けをかりて同期して、扱われ得る。連続電力を保証するために、好ましくは、冗長電源が使用される。
【0095】
追加または代替として、コンピューティングデバイスが、別段に構成され得る。
【0096】
さらに追加または代替として、AVコンピューティングサブシステムは、単一のコンピュータ、異なるタイプおよび/または機能のコンピュータ、ならびに/あるいは任意の他のコンピューティングデバイスを含むことができる。
【0097】
システムは、随意に、AVセンサー、コンピューティングサブシステム、および/または任意の他の構成要素の間の高速データ転送が可能である、高い信頼性、高い利用可能性のスイッチなど、スイッチのセット(たとえば、イーサネットスイッチ)をさらに含み、および/またはそれらとインターフェースすることができる。各スイッチは、好ましくは、それ自体の内蔵診断能力を有するが、追加または代替として、別段に構成され得る。
【0098】
変形形態のセットでは、スイッチのセットは、内蔵の、フェイルオペレーショナル能力を有し、冗長アーキテクチャを形成する、自動車グレード、スイッチオンチップ(SOC)ネットワーキングスイッチを含む。連続電力を保証するために、随意に、冗長電源が使用される。
【0099】
追加または代替として、コンピューティングサブシステム130は、任意の他の構成要素を含み、および/またはそれらとインターフェースすることができる。
【0100】
3.4 システム-AVセンサーサブシステム140
システム100は、車両の環境に関連する情報を受信するように機能する、AVセンサーサブシステム140を含み、AVセンサーサブシステム140は、さらに、(たとえば、自律車両ディシジョンメーキングのためになど)コンピューティングサブシステム130による処理、(たとえば、コンピューティングサブシステムによる、他のサブシステムによる、など)障害のセットの検出および/または(たとえば、適切なMRCがトリガされ得るような)潜在的障害の検出、自律車両の通常動作(たとえば、ルートに沿ったナビゲーション、アクション選択、軌道生成など)、ならびに/あるいは任意の他の目的のいずれかまたはすべてのために使用され得る。
システム100は、車両の環境に関連する情報を受信するように機能する、AVセンサーサブシステム140を含み、AVセンサーサブシステム140は、さらに、(たとえば、自律車両ディシジョンメーキングのためになど)コンピューティングサブシステム130による処理、(たとえば、コンピューティングサブシステムによる、他のサブシステムによる、など)障害のセットの検出および/または(たとえば、適切なMRCがトリガされ得るような)潜在的障害の検出、自律車両の通常動作(たとえば、ルートに沿ったナビゲーション、アクション選択、軌道生成など)、ならびに/あるいは任意の他の目的のいずれかまたはすべてのために使用され得る。
【0101】
AVセンサーサブシステムは、好ましくは、(たとえば、通信サブシステムを介して)コンピューティングサブシステム130と通信しているが、追加または代替として、システムの任意の他の構成要素(たとえば、いずれかまたはすべての他のサブシステム)と通信していることがある。
【0102】
AVセンサーサブシステムは、好ましくは、限定はしないが、他の物体(たとえば、他の車両、道路標識、歩行者、静的物体、動的物体など)の存在および/または近接度、車両の環境における物体の(1つまたは複数の)タイプ(たとえば、車両対歩行者対無生物物体など)、車両の環境の他の特徴(たとえば、道路特徴、道路形状、道路タイプ、車線ラインロケーションおよび/またはタイプなど)、ならびに/あるいは任意の他の情報など、自律車両に関連する環境情報を収集するように構成されたセンサーのセットを含む。
【0103】
好ましい変形態では、たとえば、AVセンサーサブシステムは、自律車両の(本明細書では、等価的に、知覚サブシステムと呼ばれる)知覚モジュールの一部であり、および/またはその知覚モジュールを定義する。
【0104】
AVセンサーサブシステムのセンサーは、限定はしないが、カメラ(たとえば、視覚範囲、マルチスペクトル、ハイパースペクトル、IR、立体視など)、光検出および測距(ライダー)センサー、無線検出および測距(レーダー)センサー、配向センサー(たとえば、加速度計、ジャイロスコープ、高度計)、音響センサー(たとえば、マイクロフォン)、光センサー(たとえば、フォトダイオードなど)、温度センサー、圧力センサー、フローセンサー、振動センサー、近接度センサー、化学センサー、電磁センサー、力センサー、OBDポートまたは他の相手先商標製造会社(OEM)システムと通信しているセンサー、テレマティックセンサー、ならびに/または(1つまたは複数の)任意の他のタイプのセンサーのいずれかまたはすべてを含むことができる。
【0105】
変形形態の好ましいセットでは、AVセンサーサブシステム140は、(たとえば、同じタイプの、同じ検知領域を伴う、など)冗長であるか、または視野(FOV)の観点から少なくとも部分的に冗長である(たとえば、部分的に重複するFOVを有する)、センサーの第1のサブセットとセンサーの第2のサブセットとを含む。さらに好ましくは、マルチモーダルセンサー(たとえば、複数のタイプのセンサー)の使用を通して、いずれか1つのセンサータイプに対する依存性が低減される。データシャーディング/分散は、車両の周りすべて(冗長FOVカバレージ)のAVセンサーデータの同じ品質が常にシステム全体にわたって利用可能であることを保証することができる。この情報は、センサー入力から制御の実行までの一連のイベント全体を含む。特定の例では、最低でも、何らかの障害状況下で、センサーの各セットが、最小リスク操作を実行し、車両を安全な状態に至らせるために十分な情報を提供する。連続電力を保証するために、好ましくは、冗長電源が使用される。追加または代替として、センサーが、別段に構成され得る。
【0106】
すべてのセンサーに障害がある場合、コンピューティングサブシステム130は、好ましくは、それに応じてディシジョンメーキング(たとえば、センサーデータなしに実装され得るあらかじめ決定された障害応答を実行すること)を実施するように構成される。
【0107】
3.5. システム-電力サブシステム150
システム100は、随意に、限定はしないが、サブシステム110、120、130、140、160、170内の構成要素、および/または任意の他の構成要素のいずれかまたはすべてなど、システム100のいずれかまたはすべての構成要素に電力を提供するように機能する、電力サブシステム150を含み、および/またはそれとインターフェースすることができる。
システム100は、随意に、限定はしないが、サブシステム110、120、130、140、160、170内の構成要素、および/または任意の他の構成要素のいずれかまたはすべてなど、システム100のいずれかまたはすべての構成要素に電力を提供するように機能する、電力サブシステム150を含み、および/またはそれとインターフェースすることができる。
【0108】
電力サブシステム150は、好ましくは、それが電力供給するように動作可能である、システムのすべての構成要素(たとえば、すべてのハードウェア構成要素、すべての電子構成要素など)と通信している(たとえば、電気的にそれらに接続される、ワイヤード接続でそれらに接続される、それらに電力供給するように動作可能である、など)。追加または代替として、電力サブシステムは、任意の他の構成要素と通信していることがある。
【0109】
電力サブシステム150は、好ましくは、電源(たとえば、複数の電源、異なるタイプの電源、複数のバッテリーなど)における冗長、電力サブシステムと他の構成要素との間の電気的接続における冗長、任意の組合せなど、電力サブシステムの少なくともハードウェア構成要素を通した冗長、および/または任意の他の冗長を実装する。追加または代替として、電力サブシステムは、セーフティクリティカル機能(たとえば、パワーネット)のための安全な電気アーキテクチャを実装することができ、ソフトウェアモジュールおよび/またはハードウェア構成要素間のインテリジェントな切替え、電気的構成要素の診断、ならびに/あるいは任意の他の測度が、車両のためのフェイルオペレーショナル電力を達成するために使用され得る。追加または代替として、電力サブシステムは、ソフトウェア冗長および/または任意の他の冗長を実装する構成要素を実装し、および/またはインターフェースすることができる。
【0110】
各電源は、好ましくは、1つまたは複数のタイプの障害応答が実行され得るように(たとえば、すべての電力が失われる前に、障害応答を実行する構成要素が電力を失うことなしに、など)、システムの関連する構成要素に電力供給するための適した電力容量、および十分な追加の電力容量(たとえば、電力バックアップ)を有する。追加または代替として、電源は、任意の他の電力容量に関連し得る。
【0111】
電力サブシステムのある部分から別の部分に(たとえば、ある電気バスから別のバスに)電源を変更する切替え機構が、好ましくは、実装され、これは、高い信頼性および利用可能性の利益を与える。追加または代替として、(1つまたは複数の)電源は、別段に構成され、任意の他のサブシステムの切替え機構に関連し、および/または別段に構成され得る。
【0112】
変形形態の好ましいセットでは、電力サブシステム150は、少なくとも1次電源と2次電源とを含む複数の電源を含み、これらは、少なくとも、運転サブシステムおよび制御サブシステム、ならびに、随意に、システム100の任意の他の構成要素に電力供給するように機能する。
【0113】
第1の特定の例では、複数の電源(たとえば、第1の電源および第2の電源)は、同じタイプのもの(たとえば、同じタイプのバッテリー、充電式バッテリー、非充電式バッテリーなど)であり、および/または同じ性能パラメータに関連する。第2の特定の例では、複数の電源(たとえば、第1の電源および第2の電源)は、異なるタイプのものであり、および/または異なる性能パラメータに関連する。
【0114】
追加または代替として、電力サブシステムは、別段に好適に構成され、および/または任意の他の好適な機能を実施することができる。
【0115】
3.6. システム-通信サブシステム160
システム100は、随意に、システム100の構成要素のいずれかまたはすべての間の、通信、およびさらに好ましくは、冗長通信を確立するように機能する、通信サブシステム160を含み、および/またはそれとインターフェースすることができる。
システム100は、随意に、システム100の構成要素のいずれかまたはすべての間の、通信、およびさらに好ましくは、冗長通信を確立するように機能する、通信サブシステム160を含み、および/またはそれとインターフェースすることができる。
【0116】
したがって、通信サブシステム160は、好ましくは、システムのサブシステムの少なくとも部分(たとえば、これらのサブシステムのすべての構成要素、これらのサブシステムの通信構成要素など)と通信しており(たとえば、通信能力をそれらに提供するように動作可能であり)、および/またはそれらの間で分散され、さらに好ましくは、システムのすべてのサブシステムと通信しており、および/またはそれらの間で分散される。
【0117】
通信サブシステムは、さらに好ましくは、システムのサブシステム、サブシステム内の構成要素(たとえば、運転サブシステムの構成要素間)、および/またはシステムの任意の他の部分の、いずれかまたはすべて間の、および/またはそれらの間の通信(たとえば、情報交換)を可能にする(たとえば、確立する)。
【0118】
通信サブシステムは、追加または代替として、他のサブシステムの構成要素間の通信スイッチの存在下でなど、システムのサブシステムおよび/または構成要素の間で分散され得る。
【0119】
通信サブシステムは、自動車イーサネット、コントローラエリアネットワーク(CAN)、ローカル相互接続ネットワーク(LIN)、任意の他のネットワークタイプ、および/またはネットワークの任意の組合せなど、任意の好適なネットワークタイプ(たとえば、ネットワークプロトコル)のものであり得る。
【0120】
変形形態の好ましいセットでは、通信サブシステムは、同時にイーサネット上でコンピューティングサブシステムを組み込むながら、運転サブシステムおよび/または車両の他のサブシステムの異なるCANネットワークをブリッジするCANゲートウェイモジュールを含む。連続電力を保証するために、冗長電源が使用され得る。
【0121】
追加または代替として、通信サブシステム160は、別段に構成され得る。
【0122】
3.7. システム-車両シャーシサブシステム170
システム100は、随意に、車両をサポートすることと、車両の操作を可能にすることとを行うように機能する、車両シャーシサブシステム170を含み、および/またはそれとインターフェースすることができる。追加または代替として、車両シャーシサブシステム170は、(たとえば、車両シャーシ構成要素に関与する、運転サブシステム構成要素に関与する、任意の他の構成要素に関与する、など)障害を識別し、および/またはそれらに応答するように機能することができ、ならびに/あるいは任意の他の好適な機能を実施することができる。
システム100は、随意に、車両をサポートすることと、車両の操作を可能にすることとを行うように機能する、車両シャーシサブシステム170を含み、および/またはそれとインターフェースすることができる。追加または代替として、車両シャーシサブシステム170は、(たとえば、車両シャーシ構成要素に関与する、運転サブシステム構成要素に関与する、任意の他の構成要素に関与する、など)障害を識別し、および/またはそれらに応答するように機能することができ、ならびに/あるいは任意の他の好適な機能を実施することができる。
【0123】
車両シャーシサブシステム170は、好ましくは、(たとえば、通信サブシステムを介して)運転サブシステムと通信しており、随意に、追加または代替として、任意の他のサブシステムおよび/または構成要素と通信している。
【0124】
変形形態の好ましいセットでは、車両シャーシサブシステム170は、1つまたは複数の緊急パーキングブレーキアクチュエータ、1つまたは複数のパワートレイントランスミッションシフトアクチュエータ、1つまたは複数のアンチロックブレーキングシステム(ABS)トラクション制御および/または安定性制御、1つまたは複数の先進運転支援システム(ADAS)、ならびに/あるいは任意の他の構成要素のいずれかまたはすべてを含み、および/またはそれらとインターフェースする。
【0125】
車両シャーシサブシステムは、追加または代替として、(たとえば、障害検出のための、投票および調停のための、など)(たとえば、以下で説明されるような)任意の数の分散コンピューティングシステム、補助センサー(たとえば、障害検出における使用のための診断センサー)、および/または任意の他の構成要素を含み、および/またはそれらとインターフェースすることができる。
【0126】
3.8. システム-分散処理および/またはコンピューティングサブシステム
システム100は、随意に、分散処理および/またはコンピューティングサブシステムを含むことができ、これは、障害が、システムの多数の(たとえば、いずれかの、すべての、一部の、など)サブシステムおよび/または前記サブシステムのいずれかの構成要素によって検出され、および、随意に、応答されることを可能にするように機能する。これは、分散障害管理のためのシステムを構成し、それにより、障害応答が、ターゲットにされ、必要な場合に迅速に開始され、および/または別段に最適に実装されることを可能にすることができる。
システム100は、随意に、分散処理および/またはコンピューティングサブシステムを含むことができ、これは、障害が、システムの多数の(たとえば、いずれかの、すべての、一部の、など)サブシステムおよび/または前記サブシステムのいずれかの構成要素によって検出され、および、随意に、応答されることを可能にするように機能する。これは、分散障害管理のためのシステムを構成し、それにより、障害応答が、ターゲットにされ、必要な場合に迅速に開始され、および/または別段に最適に実装されることを可能にすることができる。
【0127】
分散処理および/またはコンピューティングサブシステムは、好ましくは、運転サブシステムの構成要素(たとえば、ステアリング、制動、スロットル、およびシフティングサブシステムの各々に結合された、埋込みコントローラ/コンピュータ)、シャーシサブシステムの構成要素、制御サブシステムの構成要素、AVセンサーサブシステムの構成要素、通信サブシステムの構成要素、および/または任意の他のサブシステム、サブシステムの部分、ならびに/あるいは任意の組合せなど、システムの1つまたは複数のサブシステム内の構成要素において配置される。
【0128】
好ましい変形形態では、たとえば、中央コンピューティングサブシステムにわたって流れるデータは、分散され、および/またはシャーディングされる。このデータ分散/区分の結果は、データおよび/またはデータ処理がスケーラブルであり、低レイテンシを有し、しかも、動作タスクに関する独立ディシジョンメーキングを可能にするためにサブシステムにわたって分散された十分な情報があることである。情報/データのタイプは、様々なコンピューティングサブシステム、様々なセンサー、通信スイッチ、ならびに/またはサブシステム全体にわたって分散された他の能力および機能からのものを含むことができる。さらに、この情報はまた、センサー入力から制御の実行までの一連のイベント全体を含むことができる。
【0129】
特定の例のセットでは、たとえば、このサブシステムは、サブシステムの構成要素(たとえば、アクチュエータ)内に組み込まれた埋込みコンピュータ(たとえば、ECU)を含む。
【0130】
分散処理および/またはコンピューティングサブシステムは、好ましくは、中央コンピューティングサブシステムに対するより低いレベルの(たとえば、より低い計算能力を有する、より少ない動作範囲/責任を有する、より少ない計算責任を有する、など)プロセッサおよび/またはコンピュータを含むが、追加または代替として、同じタイプのコンピュータおよび/またはプロセッサ、ならびに/あるいはコンピュータおよび/またはプロセッサの任意の組合せを含むことができる。プロセッサおよび/またはコンピュータは、好ましくは、(たとえば、それぞれの構成要素に関連する診断補助センサーからのデータに基づいて)それらのそれぞれのサブシステムおよび/または構成要素に関連する障害を検出するように構成されるが、追加または代替として、障害応答を開始すること、(たとえば、図7に示されているように、障害応答の選択および/または開始および/または承認において、他のサブシステムを伴って、など)投票および/または調停に参加すること、他のサブシステム(たとえば、中央コンピューティングサブシステム)にデータを送信すること、および/または任意の他の機能に参加することを行うように機能することができる。
【0131】
分散処理および/またはコンピューティングサブシステムは、好ましくは、中央コンピューティングシステムと通信しており、ここで、中央コンピューティングサブシステムは、これらのより低いレベルのコンピュータからの処理されたデータを使用して、システム全体にわたって何が起こっているかの理解を獲得する(たとえば、システム全体にわたって何が起こっているかを監視する)。さらに、中央コンピューティングサブシステムは、随意に、これらの分散コンピュータからの情報を集約し、および/または別段にそれを処理し、ならびに、エラーおよび/または異常が検出された場合、応答を開始することができる。
【0132】
分散処理および/またはコンピューティングサブシステムは、随意に、追加または代替として、中央コンピューティングサブシステムからコマンドおよび/または他の情報(たとえば、障害応答を開始するための承認)を受信することができる。分散コンピュータおよび/またはプロセッサは、さらに好ましくは、いくつかの障害(たとえば、高クリティカリティ障害、そのサブシステムのみに関連のある障害、そのサブシステムに最も関連のある障害など)が、低レイテンシでおよび/または適時に開始され得るように、障害応答のサブセット(たとえば、関連する構成要素に固有の障害応答のあらかじめ決定されたサブセット)を、(たとえば、1つまたは複数の他のサブシステムからの承認なしに)それら自体でトリガするように構成される。
【0133】
追加または代替として、分散処理および/またはコンピューティングサブシステムは、任意の他の構成要素を含み、および/または別段に好適に構成され得る。
【0134】
3.9 システム-補助センサーサブシステム
システムは、随意に、システムのいずれかまたはすべての構成要素によるエラーおよび/または異常を検出するように機能する、補助センサーサブシステムを含み、および/またはそれとインターフェースすることができる。補助センサーサブシステムのセンサーは、好ましくは、システムのサブシステムのいずれかまたはすべての間で分散されるが、追加または代替として、別段に配置され得る。
システムは、随意に、システムのいずれかまたはすべての構成要素によるエラーおよび/または異常を検出するように機能する、補助センサーサブシステムを含み、および/またはそれとインターフェースすることができる。補助センサーサブシステムのセンサーは、好ましくは、システムのサブシステムのいずれかまたはすべての間で分散されるが、追加または代替として、別段に配置され得る。
【0135】
補助センサーは、好ましくは、出力値と所望の値との間で不整合が発生した場合(および/または出力値があらかじめ決定された範囲の外にある場合)、障害が検出され得るように、(たとえば、運転サブシステムの)1つまたは複数のアクチュエータにおいて受信される入力、および/またはそれらにおいて作り出される出力を検出するセンサーなど、診断および/またはヘルス監視センサーを含む。したがって、(たとえば、分散プロセッサおよび/またはコンピュータと組み合わせた)補助センサーは、個々のサブシステムが、障害を識別し、それに応答することを可能にするように機能することができる。追加または代替として、補助センサーは、任意の他のセンサーを含むことができる。
【0136】
追加または代替として、センサーサブシステムは、任意の他センサーを含むことができる。
【0137】
4. 方法200
図2に示されているように、方法200が、障害を検出し、それに応答することS100と、車両を動作させることS200とのいずれかまたはすべてを含むことができる。追加または代替として、方法200は、任意の他のプロセスを含むことができる。さらに追加または代替として、方法200は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号のいずれかまたはすべてに記載されている方法、プロセス、実施形態、および/または例のいずれかまたはすべてを含み、および/またはそれらとインターフェースすることができる。
図2に示されているように、方法200が、障害を検出し、それに応答することS100と、車両を動作させることS200とのいずれかまたはすべてを含むことができる。追加または代替として、方法200は、任意の他のプロセスを含むことができる。さらに追加または代替として、方法200は、その各々の全体がこの参照により本明細書に組み込まれる、2021年12月9日に出願された米国出願第17/116,810号、2020年12月17日に出願された米国出願第17/125,668号、2020年12月18日に出願された米国出願第17/127,599号、2022年10月7日に出願された米国出願第17/962,459号、および2022年12月6日に出願された米国出願第18/075,778号のいずれかまたはすべてに記載されている方法、プロセス、実施形態、および/または例のいずれかまたはすべてを含み、および/またはそれらとインターフェースすることができる。
【0138】
方法200は、好ましくは、上記で説明されたシステム100に従って実施されるが、追加または代替として、(1つまたは複数の)任意の他の好適なシステムにより実施され得る。
【0139】
方法200は、(たとえば、上記で説明されたような)システムの構成要素のいずれかまたはすべてに対して発生し、および/またはそれらに影響を及ぼし得る障害を検出し、それに最適に応答するように機能する。高度に冗長なシステムの場合でも、AVシステムの性能を低減する、発生し得るいくつかの障害がある。そのような場合、車両は、AVシステムが安全な状態に達するように、車両が、障害の重大度レベルおよび/またはタイプおよび/またはソースに基づいて、最も適切な応答アクションをとることを可能にする、フェイルセーフまたはフェイルオペレーショナル様式で最適に動作され得る。安全な状態は、本明細書では、車両が、それ自体および他の道路利用者に対する最小(および/または最小限に抑えられた)リスクの状態にある、低減動作モードを指す。この応答アクションは、好ましくは、特定の障害に応じた(本明細書では、等価的に、動き制御サブシステムおよび/または動き制御システムと呼ばれる)DBWサブシステムによって達成され得る操作またはアクションにリンクされる。追加または代替として、すべての条件下で、安全な状態が保証され得るように、最小リスク条件(MRC)が実行され得る。システムの個々の要素にわたるオンラインおよびオフライン診断ならびにティア化故障管理システムは、たとえば、MRC冗長が実装され得るいくつかのやり方である。
【0140】
追加または代替として、方法200は、任意の他の機能を実施することができる。
【0141】
4.1 方法-障害を検出し、それに応答することS100
方法200は、障害を検出し、それに応答することS100を含むことができ、これは、障害に関連するタイプおよび/または特徴に基づいて、障害および最適な応答について車両を監視するように機能する。これは、目的地のほうへの車両の進行を維持すること、車両の最高フェイルオペレーショナルステータスを維持すること、車両に関連する安全基準を維持および/または超えること、ならびに/あるいは任意の他の機能のいずれかまたはすべてを可能にするように機能することができる。
方法200は、障害を検出し、それに応答することS100を含むことができ、これは、障害に関連するタイプおよび/または特徴に基づいて、障害および最適な応答について車両を監視するように機能する。これは、目的地のほうへの車両の進行を維持すること、車両の最高フェイルオペレーショナルステータスを維持すること、車両に関連する安全基準を維持および/または超えること、ならびに/あるいは任意の他の機能のいずれかまたはすべてを可能にするように機能することができる。
【0142】
障害は、好ましくは、車両の動作中に(たとえば、あらかじめ決定された頻度において)連続的にチェックされるが、追加または代替として、代替の間隔において検出され得る。
【0143】
障害は、好ましくは、(たとえば、並行して、優先度付けに従って連続して、分散コンピューティングにより、など)複数のサブシステムおいてチェックされるが、追加または代替として、任意の他のサブシステムによりチェックされ得る。
【0144】
好ましい変形形態では、S100は、障害管理のための共有および分散配置/アーキテクチャを利用することによって、個々のサブシステムに負担をかけすぎることを防ぐように機能する。
【0145】
S100は、障害を検出することS110、障害を特徴づけることS120(たとえば、障害分析プロセスを実施すること、障害の特定の構成要素/ソースを識別すること、バックアップハードウェアがあるかどうかを識別することなど)、障害に基づいてアクションをトリガすることS130(たとえば、バックアップハードウェアをトリガ/アクティブ化すること、フェイルオペレーショナルステータスにおいて車両を最適に動作させるための論理を決定および/または選択すること)、障害応答(たとえば、MRC、さらなる監視、使用すべき冗長構成要素の選択など)を選択および/または実装すること、ならびに/あるいは任意の他のプロセスのいずれかまたはすべてを含むことができる。
【0146】
S110において検出される障害タイプは、好ましくは(たとえば、重大度、タイプ、クリティカリティなどの変域に沿って)微妙な違いがあり、多数であり、各障害タイプは、特有の応答、重複する応答、および/または任意の他の好適な応答を有することができる。
【0147】
そのような場合、(1つまたは複数の)AVコンピュータは、随意に、(たとえば、分散コンピュータによる障害応答の開始より前に、分散コンピュータによる障害応答の開始の後に、分散コンピュータによる障害応答の開始なしに、など)検出された障害に気づかされ得、AVコンピュータは、随意に、アクション(たとえば、サブコンピュータによるアクションに加えてさらなるアクション、サブコンピュータによってとられるアクションの代わりのアクション、より高性能の最小リスク条件の実行など)をとることができる。代替的に、(1つまたは複数の)分散コンピュータは、(たとえば、高クリティカリティ障害の場合、レイテンシが非常に重要である緊急の場合、など)それら自体でアクションをとり、効果的に(1つまたは複数の)AVコンピュータを迂回することができる。
【0148】
障害検出の他の例は、限定はしないが、個々の構成要素の障害、集合的な構成要素の障害、AVセンサーデータが分布外であることの検出(たとえば、範囲外、あらかじめ決定された限度の外、あらかじめ決定された許容できる限界の外、許容できるレイテンシの外など)、車両の環境が未知のものおよび/または危険であることの検出、ならびに/あるいは任意の他の障害を含むことができる。
【0149】
障害応答は、(たとえば、単一のサブシステムおよび/または構成要素によって)個々に開始される、(たとえば、複数のサブシステムからの投票および/または調停および/または承認を通して、AVコンピューティングサブシステムからの承認を通して、など)集合的に開始される、および/または別段に開始される、のいずれかまたはすべてであり得る。
【0150】
障害応答およびそれがどのように開始されるかを決定すること(たとえば、選択すること)は、好ましくは、障害タイプ、どの構成要素が障害に関連するかおよび/または障害によって影響を及ぼされるか、障害の重大度および/またはクリティカリティ、ならびに/あるいは任意の他の特徴および/または特徴の組合せなど、障害に関連する特徴に基づいて決定される。
【0151】
たとえば、検出された障害のクリティカリティに応じて、応答の異なるティアおよび/またはタイプがトリガされ得る。極度のクリティカル障害(たとえば、ブレーキが動かなくなる)では、サブシステムは、好ましくは、低レイテンシ様式で働き、システムの他の部分からの承認なしに(および/またはそれより前に)車両を停止に至らせることができる。障害がクリティカルでないおよび/または中程度にクリティカルである場合、障害を最初に検出したサブシステムが、AVコンピューティングサブシステムなどの他のサブシステムに情報を送り、AVコンピューティングサブシステムが、次のステップ(たとえば、障害を監視し続ける、高性能のMRCを実装する、など)を決定することを可能にすることができる。
【0152】
クリティカリティの追加または代替として、障害に影響を及ぼされる構成要素および/またはサブシステムの数が、障害応答を決定および/または開始する際に考慮に入れられ得、(たとえば、運転サブシステムは、運転サブシステムにのみ影響を及ぼす障害について、障害応答をただ決定および開始することができる、AVコンピューティングサブシステムは、多数のサブシステムに影響を及ぼす障害について、障害応答を決定および開始することができる、サブシステムは、多数のサブシステムに影響を及ぼす障害について、投票および/または調停および/またはコンセンサスプロセスを通してなど、障害応答を集合的に決定および/または開始することができる、など)ならびに/あるいは、サブシステムは、別段に、障害に応答してアクションを決定および/またはトリガする際に、一緒におよび/または独立して機能することができる。
【0153】
障害応答は、好ましくは、あらかじめ決定され(たとえば、ハードコーディングされ)、したがって、どの構成要素がアクションをとるか、どんな障害タイプにおいて構成要素がアクションをとるか、どのサブシステムがアクションを実装する際に承認を提供する必要があるか、および/またはアクション実装の任意の他の部分を決定することがあらかじめ決定される。これは、たとえば、車両に関連する限定された領域(たとえば、固定ルート使用事例)を通して可能にされ得る。
【0154】
追加または代替として、応答のいずれかまたはすべては、(たとえば、トレーニングされたモデルおよび/またはアルゴリズムで)動的に決定され得る。
【0155】
障害応答の例は、限定はしないが、システム内および/またはシステム外で送信される(たとえば、リモートオペレータへの)警告、別の構成要素の選択および/またはアクティブ化(たとえば、冗長構成要素の実装など)、(たとえば、リモートオペレータへの、人間オペレータへの、など)通知の送信、MRC(たとえば、新しい軌道、停止する、減速など)の実装、(たとえば、さらなる情報が受信されるまで、障害に関連する信頼性値があらかじめ決定されたしきい値を超えるまで、コンセンサスが最小数のサブシステムの間で達されるまで、車両が移動を完了するまで、など)待つおよび/または何も行わないこと、ならびに/あるいは任意の他の応答のいずれかまたはすべてを含むことができる。好ましい変形形態では、たとえば、障害応答は、すべてが車両が停止することを生じるとは限らないように、微妙な違いがあり、固有のものであり、それにより、過度に保守的な、禁止的な、および/または別段に望ましくない運転挙動を防ぐ。
【0156】
変形形態の第1のセットでは、いくつかの障害について、サブシステムの少なくとも部分(たとえば、障害タイプに基づくあらかじめ決定されたサブシステム、すべてのサブシステムなど)が障害応答の開始に関して同意することを必要とされ、それにより、いずれか1つのサブシステムが(たとえば、必要とされない場合)障害応答を早期におよび/または誤って開始するのを防ぐ。
【0157】
第1の変形形態の追加または代替の、変形形態の第2のセットでは、単一のサブシステム(たとえば、障害を最初に検出したサブシステム、障害に関与する構成要素を含むサブシステムなど)が、(たとえば、高クリティカリティ障害について、直接介入を必要とすることをあらかじめ決定された障害について、など)障害応答を選択および開始することができる。
【0158】
上記のものの追加または代替の、変形形態の第3のセットでは、障害を検出したサブシステムが、(たとえば、障害タイプに基づいて決定されるように)サブシステム受信側の特定のセットに接触し、サブシステム受信側のセットは、障害応答を集合的に決定および/または開始する。特定の例では、たとえば、ステアリングサブシステムが障害を経験する(たとえば、止まる)場合、制動およびスロットルサブシステムは、(たとえば、あらかじめ決定されたMRCに従って)車両を動作させるように、集合的に、一緒に機能する。
【0159】
上記のものの追加または代替の、変形形態の第4のセットでは、少なくともいくつかの障害タイプについて、単一のサブシステムが、(たとえば、どれが障害のソースに[たとえば、物理的に、電気的に、など]最も近いかに基づいて、どのサブシステムが他のサブシステムに対して最も大きい効果を有するかに基づいて、どのサブシステムが他のサブシステムに対して最も小さい効果および/または最も小さいカスケード効果を有するかに基づいて、など)アクションをとることを担当する。例の第1のセットでは、サブシステムは、(たとえば、AVコンピューティングサブシステム、制御サブシステムなど)特定のサブシステムからの確認/承認の後にであるが、アクションをとることを担当する。例の第2のセットでは、サブシステムは、(たとえば、高クリティカリティエラーの場合、高重大度エラーの場合、低重大度エラーの場合、など)承認を必要とすることなしに、アクションをとることを担当する。
【0160】
追加または代替として、S100は、任意の他の好適なプロセスを含むことができる。
【0161】
4.2 方法-車両を動作させることS200
方法200は、車両を動作させることS200を含むことができ、これは、S100において決定された障害に従って、車両を最適に動作させるように機能する。追加または代替として、S200は、障害の不在下で車両を動作させること(たとえば、S200は、S100より前に、S100の不在下でなど、実施される)および/または任意の他の機能を実施することを行うように機能することができる。
方法200は、車両を動作させることS200を含むことができ、これは、S100において決定された障害に従って、車両を最適に動作させるように機能する。追加または代替として、S200は、障害の不在下で車両を動作させること(たとえば、S200は、S100より前に、S100の不在下でなど、実施される)および/または任意の他の機能を実施することを行うように機能することができる。
【0162】
S200は、好ましくは、(たとえば、フェイルオペレーショナルステータスにおいて)S100において決定された障害応答(たとえば、AV論理)に従って、車両を動作させることを含むが、追加または代替として、フェイルセーフステータスにおいて車両を動作させること、検出される障害の不在下で車両を動作させること、および/または別段に車両を動作させることを含むことができる。
【0163】
5. 変形形態
好ましい変形形態では、方法200は、車両および/または車両のサブシステムのいずれかに関連するエラーまたは潜在的リスクを検出することと、車両のコンピューティングおよび/または処理サブシステム(たとえば、分散コンピューティング/処理サブシステム、中央コンピューティングサブシステムなど)のいずれかまたはすべてを介して、エラーまたは潜在的リスクを査定することと、エラーまたは潜在的リスクのカテゴリー分類(たとえば、分類、重大度など)を決定することと、カテゴリー分類に基づいて、好適な(たとえば、あらかじめ決定された)アクションをトリガすることとを含む。
好ましい変形形態では、方法200は、車両および/または車両のサブシステムのいずれかに関連するエラーまたは潜在的リスクを検出することと、車両のコンピューティングおよび/または処理サブシステム(たとえば、分散コンピューティング/処理サブシステム、中央コンピューティングサブシステムなど)のいずれかまたはすべてを介して、エラーまたは潜在的リスクを査定することと、エラーまたは潜在的リスクのカテゴリー分類(たとえば、分類、重大度など)を決定することと、カテゴリー分類に基づいて、好適な(たとえば、あらかじめ決定された)アクションをトリガすることとを含む。
【0164】
例の第1のセットでは、方法200は、エラーまたは潜在的リスクを高重大度のものである(たとえば、あらかじめ決定されたしきい値を上回る重大度を有する)として分類することと、あらかじめ決定されたフェイルセーフアクション(たとえば、車両を即時停止まで導く最小リスク操作)を開始することとを含む。
【0165】
特定の具体例では、追加情報が収集されたとき、方法200は、(たとえば、エラーの算出された重大度の減少により、車両の環境が変化したとき潜在的リスクが除去されることにより、など)(たとえば、フェイルオペレーショナルアクションへの)フェイルセーフアクションのデエスカレーションが、車両に好適であると動的に決定することを含むことができる。例示的な例では、たとえば、障害が時間t=0において検出され、これは、車両がフェイルセーフ挙動(たとえば、車両が運転し、道路の側部に駐車する最小リスク操作の開始)を選択およびトリガすることにつながり、車両は、(たとえば、人間入力なしに、遠隔オペレータ入力により、など)障害の根本原因に対処し、それを矯正することを試み(たとえば、どのアクチュエータが使用されるかを切り替える、知覚情報をさらに処理するなど)、車両は、障害に関連するサブシステムのリセット、(たとえば、車両の環境が変化したとき)故障の自然解消、システムの構成要素の内蔵自己テストおよび/または自己診断、ならびに/あるいは任意の他のアクションのいずれかまたはすべてによりなど、故障を正常に矯正し、車両は、故障のこの矯正を検出したことに応答して、異なるアクション(たとえば、あらかじめ決定されたアクション)がトリガされ得る(たとえば、車両に関連する拠点に運転する)、フェイルオペレーショナル(たとえば、劣化した能力)状態を開始する。
【0166】
例の第2のセットでは、方法200は、エラーまたは潜在的リスクを中程度および/または(たとえば、1つまたは複数のあらかじめ決定されたしきい値を下回る重大度を有する)低重大度のものであるとして分類することと、応答してあらかじめ決定されたフェイルオペレーショナルアクション(たとえば、バックアップアクチュエータに切り替えること)を開始することとを含む。
【0167】
特定の具体例では、追加情報が収集されたとき、方法200は、(たとえば、エラーの算出された重大度の増加により、車両の環境が変化したとき潜在的リスクの重大度がエスカレートすることにより、など)(たとえば、フェイルセーフアクションへの)フェイルオペレーショナル挙動のエスカレーションが、車両に好適であると動的に決定することを含むことができる。例示的な例では、たとえば、車両が時間t=0において障害を検出し、これは、車両がフェイルオペレーショナル挙動(たとえば、1つまたは複数のバックアップ構成要素の利用により、および/または1つまたは複数の構成要素なしになど、劣化モードで、ルートに沿って動作を続けること)を選択およびトリガすることにつながり、車両は、(たとえば、人間入力なしに、遠隔オペレータ入力により、など)障害の根本原因に対処し、それを矯正することを試み(たとえば、どのアクチュエータが使用されるかを切り替える、知覚情報をさらに処理するなど)、車両は、故障を矯正することに成功せず、障害が是正不可能であると決定し、障害応答のエスカレーションのほうへの進行を開始し、車両は、フェイルセーフアクション(たとえば、道路の側部において安全停止すること)へのエスカレーションを開始する。
【0168】
追加または代替として、方法200は、別段に好適に実施され得る。
【0169】
追加または代替として、方法200は、任意の他の好適なプロセスを含むことができる。
【0170】
簡潔のために省略されるが、好ましい実施形態は、様々なシステム構成要素および様々な方法プロセスのあらゆる組合せおよび置換を含み、方法プロセスは、任意の好適な順序で、連続的にまたはコンカレントに実施され得る。
【0171】
システムおよび/または方法の実施形態は、様々なシステム構成要素および様々な方法プロセスのあらゆる組合せおよび置換を含むことができ、本明細書で説明される方法および/またはプロセスの1つまたは複数の実例は、本明細書で説明されるシステム、要素、および/またはエンティティの1つまたは複数の実例によってならびに/あるいはそれを使用して、非同期的に(たとえば、連続的に)、同時期に(たとえば、コンカレントに、並列になど)、または任意の他の好適な順序で実施され得る。以下のシステムおよび/または方法の構成要素および/またはプロセスが、その各々の全体がこの参照により組み込まれる上述の出願において開示されるシステムおよび/または方法の全部または一部分とともに、それに加えて、それの代わりに、または別段にそれと一体化されて使用され得る。
【0172】
追加または代替の実施形態は、コンピュータ可読命令を記憶する、非一時的コンピュータ可読媒体において上記の方法および/または処理モジュールを実装する。命令は、コンピュータ可読媒体および/または処理システムと一体化されたコンピュータ実行可能構成要素によって実行され得る。コンピュータ可読媒体は、RAM、ROM、フラッシュメモリ、EEPROM、光学デバイス(CDまたはDVD)、ハードドライブ、フロッピードライブ、非一時的コンピュータ可読媒体、または任意の好適なデバイスなど、任意の好適なコンピュータ可読媒体を含み得る。コンピュータ実行可能構成要素は、CPU、GPU、TPU、マイクロプロセッサ、またはASICなど、非一時的コンピュータ可読媒体に接続された(たとえば、1つまたは複数のコロケートされたまたは分散された、リモートまたはローカルのプロセッサを含む)コンピューティングシステムおよび/または処理システムを含むことができるが、命令は、代替または追加として、任意の好適な専用ハードウェアデバイスによって実行され得る。
【0173】
当業者が、前の詳細な説明から、ならびに図および特許請求の範囲から認識するように、以下の特許請求の範囲において定義される本発明の範囲から逸脱することなく本発明の好ましい実施形態に対して修正および変更が行われ得る。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【国際調査報告】