車両用制御装置
【課題】車両の異常に際して、適切なフェイルセーフ制御を設定する。
【解決手段】車両10は、車両10の診断機能によって異常が検出されるか、または使用者によって通報スイッチ19が操作されると、異常の発生と、車両10の位置とをサービスセンタ40に通報する。サービスセンタ40には、異常の種別と、車両の位置とに関連付けて、フェイルセーフ制御と、使用者に対する指示とが記録されている。サービスセンタ40の制御装置42は、車両10から送信された異常の種別と、車両10の位置とに基づいて、それらに適したフェイルセーフ制御と指示とを検索する。フェイルセーフ制御と指示とは、サービスセンタ40から車両10に送信され、車両10の機器11−19によって実行される。これにより、車両10の位置に応じた適切なフェイルセーフ制御が提供され、使用者には適切な指示が与えられる。
【解決手段】車両10は、車両10の診断機能によって異常が検出されるか、または使用者によって通報スイッチ19が操作されると、異常の発生と、車両10の位置とをサービスセンタ40に通報する。サービスセンタ40には、異常の種別と、車両の位置とに関連付けて、フェイルセーフ制御と、使用者に対する指示とが記録されている。サービスセンタ40の制御装置42は、車両10から送信された異常の種別と、車両10の位置とに基づいて、それらに適したフェイルセーフ制御と指示とを検索する。フェイルセーフ制御と指示とは、サービスセンタ40から車両10に送信され、車両10の機器11−19によって実行される。これにより、車両10の位置に応じた適切なフェイルセーフ制御が提供され、使用者には適切な指示が与えられる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両の異常時にフェイルセーフを図る車両用制御装置に関する。
【背景技術】
【0002】
従来、車両に異常が発生した場合にフェイルセーフを図る制御装置が知られている。例えば、特許文献1に記載の装置は、車両の異常を検出した際に燃料カット制御を実行し、車両を強制的に停止させている。このように、車両に異常が発生した場合に、車両がより安全な状態になるように、車両に搭載された制御装置がフェイルセーフ制御を実行する装置が知られている。
【0003】
また、特許文献2に記載の装置は、車両の異常が検出された場合に、インターネットを通じてサービスセンタに情報を送信し、サービスセンタから車両の使用者に適切な処置方法を指示している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平4−189629号公報
【特許文献2】特開2002−123881号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1の技術では、車両の異常が検出された時のフェイルセーフ制御は車両内に搭載された制御装置があらかじめ組み込まれた制御を実行することにより、車両を安全側に制御している。そこでは、車両が故障した時に最も安全と思われる代表的な車両状態となるようにフェイルセーフ制御が設定されている。例えば、エンジン停止、エンジン回転数制限等である。
【0006】
また、特許文献2の技術では、車両の故障情報に応じた処置方法がサービスセンタから使用者に指示される。しかし、この技術においても、車両が故障した時に最も安全と思われる代表的な車両状態となるようにフェイルセーフ制御が設定されている。
【0007】
このように、従来技術では、高速道路、踏切、市街地、郊外、坂道といった車両の走行位置に応じた適切なフェイルセーフ制御を設定することができない。
【0008】
また、従来技術では、車両の使用者による誤操作がある場合には、機器は正常に機能しているため、異常を検出することができない。このため、誤操作のような特殊な操作状態の下では、そのような操作状態に応じた適切なフェイルセーフ制御を設定することができない。
【0009】
本発明は上記問題点に鑑みてなされたものであり、その目的は、車両の異常に際して、適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。
【0010】
本発明の他の目的は、車両の走行位置に応じて適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。
【0011】
本発明のさらに他の目的は、車両の使用者による誤操作の下においても、適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。
【0012】
本発明のさらに他の目的は、車両の使用者による誤操作も含めた車両の異常に際して、フェイルセーフ制御によって車両を遠隔的に制御することを可能とするとともに、そのような遠隔的な制御における高い信頼性を提供することができる車両用制御装置を提供することである。
【課題を解決するための手段】
【0013】
本発明は上記目的を達成するために以下の技術的手段を採用する。
【0014】
請求項1に記載の発明は、車両における異常の種別および車両の状態に基づいて、車両の状態に応じて異なるフェイルセーフ制御と車両の使用者に対する指示とを設定する設定手段(161−170、181−187)と、車両においてフェイルセーフ制御を実行する実行手段(171)と、指示を使用者に通知する通知手段(171)とを備えることを特徴とする。
【0015】
この構成によると、車両における異常に対策するためのフェイルセーフ制御が設定される。しかも、そのフェイルセーフ制御は、車両の状態に応じて異なるものが設定される。そして、このフェイルセーフ制御が車両において実行される。このため、車両の状態に応じた適切なフェイルセーフ制御を提供することができる。また、車両における異常に対策するための車両の使用者に対する指示が設定される。しかも、この指示は、車両の状態に応じて異なるものが設定される。そして、この指示が車両において使用者に通知される。このため、車両の状態に応じた適切な指示を使用者に与えることができる。
【0016】
請求項2に記載の発明は、車両の状態には、車両の位置が含まれていることを特徴とする。この構成によると、フェイルセーフ制御は、車両の位置に応じて異なるものが設定される。このため、車両の位置に応じた適切なフェイルセーフ制御を提供することができる。また、指示は、車両の位置に応じて異なるものが設定される。このため、車両の位置に応じた適切な指示を使用者に与えることができる。
【0017】
請求項3に記載の発明は、車両は、車両の位置を示すデータを提供するナビゲーション装置(16)を備えることを特徴とする。この構成によると、車両に搭載されたナビゲーション装置によって車両の位置を示すデータを提供することができる。
【0018】
請求項4に記載の発明は、設定手段(161−170、181−187)は、車両に設けられ、車両の異常を検出する異常検出手段(162−164)と、車両に設けられ、車両の状態を検出する状態検出手段(161)と、車両に設けられ、異常の種別と、車両の状態とを送信する異常送信手段(165、169)と、車両と通信回線を介して接続されたサービスセンタに設けられ、異常の種別と、車両の状態とを受信する異常受信手段(181、185)と、サービスセンタに設けられ、複数の異常の種別と、複数の車両の状態とに関連付けて、複数のフェイルセーフ制御と、複数の指示とを記録したデータベース(44)と、異常受信手段によって受信された異常の種別と車両の状態とに基づいて、データベースを検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段(186)と、抽出手段により抽出されたフェイルセーフ制御と指示とを車両に送信する制御送信手段(187)と、車両に設けられ、フェイルセーフ制御と指示とを受信する制御受信手段(170)とを備えることを特徴とする。この構成によると、車両と、サービスセンタとによって設定手段を提供することができる。
【0019】
請求項5に記載の発明は、実行手段は、車両の整備作業のために予め用意された制御コマンドによってフェイルセーフ制御を実行することを特徴とする。この構成によると、車両の整備作業のために予め用意された制御コマンドを利用してフェイルセーフ制御を実行することができる。このため、既存の装置、および既存のソフトウエアを流用して実行手段を提供することができる。
【0020】
請求項6に記載の発明は、異常検出手段は、車両の整備作業のために予め用意された診断コマンドによって車両の異常を検出することを特徴とする。この構成によると、車両の整備作業のために予め用意された診断コマンドを利用して車両の異常を検出することができる。このため、既存の装置、および既存のソフトウエアを流用して異常検出手段を提供することができる。
【0021】
請求項7に記載の発明は、異常検出手段は、車両の使用者からの要請を入力する入力手段(17、19)を備えることを特徴とする。この構成によると、車両の使用者が車両の異常を感知した場合にも、フェイルセーフ制御を設定することができる。このため、車両の異常が使用者の誤操作に起因しており、車載の機器には異常が生じていない場合でも、フェイルセーフ制御を設定することができる。入力手段は、異常を感知した使用者が操作する通報スイッチ、または、異常を感知した使用者が通報を要請する音声入力装置などのインターフェース装置によって提供することができる。
【0022】
請求項8に記載の発明は、状態検出手段は、車両に設けられたLANに流れるデータから車両の状態を取得することを特徴とする。この構成によると、車載のLAN上のデータから車両の状態を取得することができる。このため、既存の装置、および既存のソフトウエアを流用して状態検出手段を提供することができる。
【0023】
請求項9に記載の発明は、さらに、サービスセンタに設けられ、車両が正規の車両であることを判定する車両判定手段(182−183)と、車両に設けられ、サービスセンタが正規のサービスセンタであることを判定するサービスセンタ判定手段(167、168)とを備え、正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、実行手段と通知手段とが機能することを特徴とする。この構成によると、不正なアクセスによるサービスセンタの利用、および不正なアクセスによるフェイルセーフ制御の実行を回避することができる。
【0024】
請求項10に記載の発明は、車両判定手段(182−183)とサービスセンタ判定手段(167、168)とは、車両に搭載された盗難防止装置(12)が提供する認証機能によって提供されていることを特徴とする。この構成によると、車載の盗難防止装置が提供する認証機能によって不正なアクセスを阻止することができる。このため、既存の装置、および既存のソフトウエアを流用して車両判定手段とサービスセンタ判定手段とを提供することができる。
【0025】
請求項11に記載の発明は、さらに、車両の異常が検出されないとき、フェイルセーフ制御による車両に搭載された機器の駆動を制限する制限手段を備え、実行手段は、制限手段による制限を解除して、フェイルセーフ制御を実行することを特徴とする。この構成によると、車両の異常が検出されないとき、すなわち正常時には、車載機器は、フェイルセーフ制御による特殊な動作をしないように、その駆動が制限手段によって制限される。実行手段は、車両の異常時には、その異常状態から脱出するために、またはその異常状態を緩和するために、制限手段による制限を敢えて解除して、車載機器をフェイルセーフ制御によって駆動する。
【0026】
なお、特許請求の範囲および上記手段の項に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。
【図面の簡単な説明】
【0027】
【図1】本発明を適用した第1実施形態に係る車両用制御装置を示すブロック図である。
【図2】第1実施形態の作動を示すフローチャートである。
【発明を実施するための形態】
【0028】
以下に、図面を参照しながら本発明を実施するための複数の形態を説明する。各形態において先行する形態で説明した事項に対応する部分には同一の参照符号を付して重複する説明を省略する場合がある。各形態において構成の一部のみを説明している場合は、構成の他の部分については先行して説明した他の形態を適用することができる。各実施形態で具体的に組合せが可能であることを明示している部分同士の組合せばかりではなく、特に組合せに支障が生じなければ、明示してなくとも実施形態同士を部分的に組み合せることも可能である。
【0029】
(第1実施形態)
図1は、本発明を適用した第1実施形態に係る車両用の遠隔操作システムを構成する車両用制御装置1を示すブロック図である。
【0030】
車両用制御装置1は、車両10に搭載された電子制御装置(ECU:Electronic Control Unit)と、地上に定置されたサービスセンタ40に設置された制御装置とによって構築されている。車載の制御装置とサービスセンタの制御装置とは、広域ネットワーク30などの通信手段によって互いに通信可能に接続され、一体的な車両用制御装置1を構築している。
【0031】
車両用制御装置1は、車両10に搭載された車載機器11−19を備える。車両10は、エンジンのみを動力源とする車両、モータのみを動力源とする車両、またはモータとエンジンとを動力源とする車両である。
【0032】
車両10は、車載のLAN11を備える。複数の車載機器12−19は、LAN11を介して、互いにデータ通信可能に構成されている。LAN11は、例えば、LIN(LocalInterconnect Network)、またはCAN(Controller Area Network)と呼ばれるネットワークによって提供することができる。
【0033】
車両10は、盗難防止ECU12を備える。盗難防止ECU12は、車両10と関連付けられたカギ、ICカードなどの携帯可能な記憶装置に記憶された暗号化された識別信号(IDともいう)に基づいて、車両10の使用可否を判断する。この盗難防止ECU12は、識別信号に基づく認証が成立の場合に、車両10を使用可能な状態におく。この盗難防止ECU12は、識別信号に基づく認証が不成立の場合に、車両を走行不能な状態におく。よって、盗難防止ECU12は、いわゆるイモビライザとしても機能する。盗難防止ECU12は、イモビライザとしての高度な暗号化機能、認証機能を有している。また、盗難防止ECU12は、車両を不正に移動させようとする行為を検出すると、警報音の出力などの盗難対策処理を実行する警報装置としても機能する。
【0034】
車両10は、フェイルセーフ制御の対象となる複数の機器13−15を備える。フェイルセーフ制御の対象となる機器には、車両10の走行に関連する機器が含まれる。例えば、フェイルセーフ制御の対象となる機器には、車両10の走行用の動力源を制御するための制御装置であるエンジンECU13を含むことができる。また、フェイルセーフ制御の対象となる機器には、車両10の走行用の動力の伝達を制御するための制御装置である変速機ECU14を含むことができる。また、フェイルセーフ制御の対象となる機器には、車両10のブレーキ力を制御するための制御装置であるブレーキECU15を含むことができる。また、さらに、フェイルセーフ制御の対象となる機器には、定速走行を制御するためのECUなど車両10の走行に関連する複数の機器を含むことができる。
【0035】
車両10は、エンジンECU13を備える。エンジンECU12は、車両10に搭載されたエンジン(内燃機関)を制御する。エンジンECU13は、例えば、エンジンへ供給される燃料噴射量、およびエンジンの点火時期を制御する。さらに、エンジンECU13は、フェイルセーフ制御を実行することによって、エンジンの出力を徐々に低下させるなど、車両10を安全側に制御することができる。
【0036】
車両10は、変速機ECU14を備える。変速機ECU14は、車両10の変速機を制御する。変速機は、車両10の動力源としてのモータおよび/またはエンジンと駆動輪との間に設けられている。変速機ECU14は、例えば、動力源から駆動輪への駆動力の伝達を断続するように変速機を制御する。また、変速機ECU14は、例えば、変速機における減速率を制御する。変速機ECU14は、フェイルセーフ制御を実行することによって、変速機による動力伝達を徐々に低下させるなど、車両10を安全側に制御することができる。
【0037】
車両10は、ブレーキECU15を備える。ブレーキECU15は、車両10のブレーキ装置を制御する。ブレーキECU15には、例えば、加速度センサと、車輪速センサとの信号が入力される。加速度センサは、車両10の車体の加速度を検出する。車輪速センサは、車輪の回転速度を検出する。車両10は、複数の車輪のそれぞれに対応するように、複数の車輪速センサを備える。ブレーキECU15は、フェイルセーフ制御を実行することによって、ブレーキ力を徐々に増加させるなど、車両10を安全側に制御することができる。
【0038】
車両10は、ナビECU16を備える。ナビECU16は、車両10の走行位置を地図上に表示するナビゲーション装置である。ナビECU16は、入出力装置17と通信端末18とを備える。入出力装置17は、ユーザインターフェース機器であって、例えば、ディスプレイ装置と、このディスプレイ装置に設けられたタッチパネルを含むスイッチ群と、音声入出力装置とを備えることができる。通信端末18は、無線などの通信回線を利用して、広域ネットワーク30を経由するデータ通信を提供する。通信端末18は、LAN11にも接続されている。これにより、複数の車載機器12−19と広域ネットワーク30との間のデータ通信が可能とされている。
【0039】
車両10は、車両10の運転者を含む使用者によって操作される通報スイッチ19を備える。通報スイッチ19は、車両10の使用者が、自ら感知した車両10の異常をサービスセンタに通報することを望む意思を入力するために設けられている。さらに、入出力装置17の音声入出力装置も、使用者の音声による通報要請を入力する手段として機能する。
【0040】
車両10に搭載された複数の機器11−19は、車両の整備作業のために使用されるサービスツールであるダイアグ端末機20と接続可能に構成されている。ダイアグ端末機20は、複数の機器11−19の状態を診断する診断装置である。ダイアグ端末機20は、例えば、修理工場などに置かれている。ダイアグ端末機20は、必要があるときにだけ、LAN11に接続され、車両10に搭載された機器のように動作する。
【0041】
ダイアグ端末機20は、複数の車載機器11−19の作動状態を診断するための複数の診断指令信号(以下、診断コマンドという)を出力することができる。機器11−19は、診断コマンドが示す自己診断を実行し、その診断結果を返信するように構成されている。これにより、ダイアグ端末機20には、診断結果が集められる。
【0042】
また、ダイアグ端末機20は、複数の車載機器11−19を強制的に所定の作動状態にさせるための複数の制御指令信号(以下、制御コマンドという)を出力することができる。ダイアグ端末機20からの制御コマンドを受信した機器11−19は、制御コマンドが示す作動状態に強制的に移行する。このような制御コマンドは、機器11−19の機能を検査し、整備するために利用される。このような目的を達成するために、機器11−19は、その機器に設けられた制限に優越して制御コマンドを実行するように構成されている。具体的には、機器11−19に特定の作動状態に移行するための制限が設けられていても、制御コマンドを受信した場合には、そのような制限に優越して、またはそのような制限を無視して、制御コマンドが示す特定の作動状態に移行するように、機器11−19は構成されている。
【0043】
この実施形態では、ナビECU16は、フェイルセーフ制御に関連する制御処理を実行する制御装置としても機能する。ナビECU16は、ダイアグ端末機20のために用意された診断コマンドを複数の機器11−19に出力することができるように構成されている。これにより、ナビECU16は、複数の機器11−19に対して自己診断による異常の検出を指示することができる。車両10の各部における異常の発生は、複数の機器11−19のそれぞれにおいて検出される。異常の発生は、通報スイッチ19によって検出される場合もある。また、異常の発生は、音声入出力装置への使用者の音声入力によって検出される場合もある。異常の発生は、LAN11を経由してナビECU16に通報される。ナビECU16は、車両10における異常の重要度を評価して、通報が必要なほどに重要度が高い異常をサービスセンタ40に通報する。
【0044】
また、ナビECU16は、サービスセンタ40から送信されてきたフェイルセーフ制御を複数の機器12−19に指示する。フェイルセーフ制御は、車両10の修理または調整のために各ECU毎に用意されているコマンドを利用して実行することができる。このようなコマンドは、制御コマンド、または強制駆動コマンドとも呼ばれる。例えば、所定のアクチュエータを所定の状態に駆動するコマンドや、エンジンのアイドル回転数を所定の回転数に制御するコマンドが用意されている。フェイルセーフ制御は、このような制御コマンドを流用して実行することができる。
【0045】
ナビECU16は、ダイアグ端末機20のために用意された制御コマンドを複数の機器11−19に出力することができるように構成されている。これにより、ナビECU16は、複数の機器11−19に対して制御コマンドによる強制的な制御、すなわちフェイルセーフ制御を指示することができる。フェイルセーフ制御においてダイアグ端末機20のために用意された制御コマンドを利用することにより、フェイルセーフ制御のためだけに新設するプログラム量を抑制することができる。この結果、複数の機器12−19のそれぞれにおいてフェイルセーフ制御が実行される。
【0046】
さらに、ナビECU16は、サービスセンタ40から送信されてきた指示を車両10の使用者に対して通知する。例えば、サービスセンタ40から送信されてきたメッセージを入出力装置17のディスプレイ装置に表示する。例えば、メッセージには、車両10の望ましい操作が含まれる。また、サービスセンタ40から送信されてきたメッセージを、音声入出力装置により音声として使用者に通知する場合もある。
【0047】
車両用制御装置1は、サービスセンタ40に設けられた機器41−44を備える。サービスセンタ40は、複数の車両10に共通の設備として設置されている。サービスセンタ40には、通信端末41が設けられている。通信端末41は、無線などの通信回線を利用して、広域ネットワーク30を経由するデータ通信を提供する。
【0048】
サービスセンタ40には、フェイルセーフ制御を設定するための制御装置42が設けられている。通信端末41は、制御装置42にも接続されている。これにより、制御装置42と広域ネットワーク30との間のデータ通信が可能とされている。この結果、制御装置42と、車載の複数の機器11−19とは、互いにデータ通信が可能に構成されている。
【0049】
サービスセンタ40には、車両用制御装置1によるサービスの提供対象となる車両10を識別するための識別情報を記録した車両データベース(VHDB)43が設けられている。VHDB43は、制御装置42において、異常を通報し、フェイルセーフ制御の設定を求めてきた車両10がサービスの提供対象であるか否かを判定するための認証処理を実行するときに利用される。
【0050】
サービスセンタ40には、車両10において実行されるべき複数のフェイルセーフ制御を記録したフェイルセーフ制御データベース(FSDB)44が設けられている。FSDB44には、車両10に生じることがある複数の異常の種別と、車両10の位置を含む車両10に生じることがある複数の車両の状態と、複数のフェイルセーフ制御と、使用者に対する複数の指示とが関連付けられて記録されている。フェイルセーフ制御と、指示とは、異常の種別と、車両10の位置とに基づいて検索可能に記録されている。FSDB44に記録されたフェイルセーフ制御と指示とは、異常の種別ごとに異なる場合がある。例えば、車両10の速度が上昇しないという異常に対するフェイルセーフ制御と、車両10の速度が低下しないという異常に対するフェイルセーフ制御とは、異なる場合がある。
【0051】
さらに、この実施形態では、FSDB44に記録されたフェイルセーフ制御と指示とは、異常の種別が同じであっても、車両10の位置に対応して異なる場合がある。例えば、車両10の速度が上昇しないという異常に対するフェイルセーフ制御と指示とは、車両10が駐車場にある場合と、踏切にある場合とで異なる。例えば、車両10が駐車場にある場合には、車両10を停車状態に維持して専門家による修理を待つためのフェイルセーフ制御と指示とが記録されている。また、車両10が踏切にある場合には、車両10を踏切から脱出させるためのフェイルセーフ制御と指示とが記録されている。
【0052】
このようなFSDB44の記録は、以下のようなフェイルセーフ制御と指示との具体例において利用される。第1の例は、踏切において車両10のエンジンが停止した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を直結状態に制御する。例えば、自動変速機は、ロックアップモードに制御される。さらに、サービスセンタ40からのフェイルセーフ制御により、エンジンECU13は、スタータモータの駆動を許容する。例えば、エンジンECU13は、ブレーキ非操作時にスタータモータの駆動を禁止する制限制御を解除する。これにより、車両10は、エンジンが停止していても、スタータモータによって移動可能な状態に設定される。さらに、サービスセンタ40から送信される指示には、運転者に対するメッセージが含められる。このメッセージには、スタータモータを作動させ、車両10を移動させる方法が含まれる。このメッセージは、ナビECU16によって入出力装置17のディスプレイ装置に表示される。第2の例は、駐車場において車両10のエンジンが停止した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、動力伝達を遮断するように自動変速機を制御する。これにより、車両10は、駐車場に止まったままとなる。さらに、サービスセンタ40から送信される指示には、運転者に対するメッセージが含まれる。このメッセージには、修理業者などの専門家を呼ぶことを勧めるアドバイスが含まれる。このメッセージは、ナビECU16によって入出力装置17のディスプレイ装置に表示される。
【0053】
また、別の例においては、車両10の速度が低下しないという異常に対するフェイルセーフ制御と指示とは、車両10が市街地道路にある場合と、高速道路にある場合とで異なる。例えば、車両10が市街地道路にある場合には、車両10を徐々に減速させ停車させるためのフェイルセーフ制御と指示とが記録されている。また、車両10が高速道路にある場合には、車両10を徐々に減速させるが、サービスエリアなどの駐車可能な場所までの走行を許容するためのフェイルセーフ制御と指示とが記録されている。
【0054】
このようなFSDB44の記録は、以下のようなフェイルセーフ制御と指示との具体例において利用される。第3の例は、高速道路において、エンジンの吸気絞り弁が開状態のまま故障した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を低速走行の減速比に固定する。例えば、自動変速機は、ローレンジに固定される。さらに、エンジンECU13は、エンジンの燃料カット回転数を通常値より低い回転数に設定する。これにより、吸気絞り弁が全開であっても、エンジンの回転数は比較的低い回転数に制限される。この結果、車両10は低速で走行が可能な状態に制御される。この状態は、最も近いサービスエリアまで維持される。第4の例は、市街地道路において、エンジンの吸気絞り弁が開状態のまま故障した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を低速走行の減速比に固定する。例えば、自動変速機は、ローレンジに固定される。さらに、エンジンECU13は、エンジンの燃料カット回転数を徐々に低下させる。これにより、吸気絞り弁が全開であっても、エンジンの回転数は徐々に低下する。このときのエンジン回転数の低下は、数10メートルだけ車両10を走行させることができるように設定される。この結果、運転者は、車両10を市街地道路の路肩まで移動させることができる。車両10は、やがてゆっくりと停車する。
【0055】
また、別の例として、高速道路において異常が通報された場合と、市街地道路で異常が通報された場合とを考えることができる。高速道路において異常が通報された場合には、エンジンの燃料カット回転数を徐々に第1速度で低下させるようにフェイルセーフ制御が設定される。これにより、運転者は、高速道路における速い交通の流れを顕著に妨げることなく、車両10を徐々に減速させ、路肩などの安全な場所へ移動することが可能となる。一方、市街地道路において異常が通報された場合には、エンジンの燃料カット回転数を徐々に第2速度で低下させるようにフェイルセーフ制御が設定される。第2速度は、第1速度より速い。これにより、運転者は、市街地道路における比較的ゆっくりとした交通の流れを妨げることなく、車両10を徐々に減速させ、路肩などの安全な場所へ移動することが可能となる。
【0056】
制御装置42は、認証処理を実行する認証手段として機能する。認証処理は、VHDB43に記録された識別情報と、車両10から送信されてくる識別情報とに基づいて実行される。認証処理では、異常を通報することによってフェイルセーフ制御の設定を求めてきた車両10がサービスの提供対象として登録された正規の車両10であるか否かが判定される。
【0057】
制御装置42は、フェイルセーフ制御と指示とを設定する設定処理を実行する設定手段として機能する。設定処理は、車両10が送信されてくるデータと、FSDB44の記録内容とに基づいて実行される。設定処理では、車両10異常状態と車両10の位置とに基づいて、FSDB44の内容が検索され、上記異常状態と位置とに適合するフェイルセーフ制御と指示とが抽出され、それらが車両10に送信される。
【0058】
車両10およびサービスセンタ40に設けられた制御装置は、コンピュータによって読み取り可能な記憶媒体を備えるマイクロコンピュータによって提供される。記憶媒体は、コンピュータによって読み取り可能なプログラムを格納している。記憶媒体は、メモリによって提供されうる。プログラムは、制御装置によって実行されることによって、制御装置をこの明細書に記載される装置として機能させ、この明細書に記載される制御方法を実行するように制御装置を機能させる。制御装置が提供する手段は、所定の機能を達成する機能的ブロック、またはモジュールとも呼ぶことができる。
【0059】
図2は、第1実施形態の作動を示すフローチャートである。図中には、車両10において実行される制御処理160と、サービスセンタ40において実行される制御処理180とが図示されている。制御処置160と制御処理180とは、その全体によって、車両10の異常に対策するためのフェイルセーフ制御を設定するための処理を示している。また、制御処置160と制御処理180とは、その全体によって、車両10を遠隔的に制御する遠隔制御手段を構成している。
【0060】
制御処理160は、車両10が運行状態にあるときに繰り返して実行される。制御処理160は、ナビECU16によって実行される。制御処理160は、エンジンECU13などの他のECUにおいても実行可能である。
【0061】
ステップ161では、車両10の状態を示すデータが検出され、蓄積される。これにより、車両10の状態の変化を示す履歴データが構成される。履歴データは、車両10の異常の種別を示すデータとして利用される。ステップ161は、車両10に設けられ、車両10の状態を検出する状態検出手段を提供する。ここでは、車両10に設けられたLAN11に流れるデータから車両の状態を取得する。この構成によると、車載のLAN11上のデータから車両10の状態を取得することができる。このため、既存の装置、および既存のソフトウエアを流用して状態検出手段を提供することができる。
【0062】
ステップ162では、車両10の異常状態が検出される。ここで、異常状態には、車載の機器11−19による自己診断処理によって検出される異常と、車両10に搭乗している使用者が感知した異常とが含まれている。自己診断によって検出された異常は、LAN11を経由してナビECU16に入力される。ステップ162は、車両10に設けられ、車両10の異常を検出する異常検出手段を提供する。ここでは、車両の整備作業のために予め用意された診断コマンドによって車両の異常を検出する。車両の整備作業のために予め用意された診断コマンドを利用して、車両の異常を検出することができる。このため、既存の装置、および既存のソフトウエアを流用して異常検出手段を提供することができる。
【0063】
使用者が感知した異常は、使用者が通報スイッチ19を操作することによって、または使用者が通報を求める音声を入出力装置17に入力することによって、ナビECU16に入力される。ステップ162によって提供される異常検出手段は、車両10の使用者からの要請を入力する入力手段を提供している。この構成によると、車両10の使用者が車両の異常を感知した場合にも、異常を通報し、フェイルセーフ制御の設定を求めることができる。このため、車両10の異常が使用者の誤操作に起因しており、車載の機器には異常が生じていない場合でも、フェイルセーフ制御を設定することができる。入力手段は、異常を感知した使用者が操作する通報スイッチ、または、異常を感知した使用者が通報を要請する音声入力装置などのインターフェース装置によって提供することができる。
【0064】
ここでは、例えば、以下に列挙するような故障を含む異常が検出される。例えば、エンジンの吸気絞り弁の故障が検出される。また、それによる車両の停止が検出される。また、所定期間以上にわたるエンジン回転数の過剰が検出される。さらに、使用者からの通報要請も車両10の異常として検出される。
【0065】
ステップ163では、異常状態の重要度が評価される。ここでは、サービスセンタ40への通報が必要な異常か否かが判定される。自己診断によって検出された異常は、重要度に応じて、通報対象となる場合と、通報対象とならない場合とがある。例えば、車両10が移動不可であるとき、車両10が停止不可であるとき、車両10が意図しない挙動を示すときには、通報に値する高い重要度として評価される。一方、通報スイッチ19が操作された場合には、高い重要度と評価することによって必ず通報対象となる。
【0066】
ステップ164では、重要度に応じて通報が必要か否かが判定される。通報が不要の場合には、ステップ161へ戻る。通報が必要である場合、ステップ165へ進む。
【0067】
ステップ165では、車両10からサービスセンタ40へ異常の発生が通報される。このとき、車両10の識別情報も送信される。
【0068】
ステップ181では、サービスセンタ40において車両10からの通報が受信される。ステップ182では、車両10がサービスの提供対象として登録された車両であるか否かを判定するための認証処理が実行される。ステップ183では、認証が成立したか否かが判定される。車両10が正規の車両である場合、認証が成立する。認証が不成立の場合、処理はステップ181に戻る。ステップ165、181、182、183の処理は、サービスセンタ40において車両10を認証するための第1認証手段を提供する。ステップ183において認証が成立した場合、ステップ184へ進む。
【0069】
ステップ184では、サービスセンタ40を識別するための識別信号(センタID)をサービスセンタ40から車両10に送信する。ステップ166では、車両10においてセンタIDが受信される。ステップ167では、センタ40が正規のサービスセンタ40であるか否かを判定するための認証処理が実行される。ステップ168では、認証が成立したか否かが判定される。サービスセンタ40が正規の機関である場合、認証が成立する。認証が不成立の場合、ステップ161へ戻る。ステップ184、166、167、168の処理は、車両10においてサービスセンタ40を認証するための第2認証手段を提供する。第2認証手段は、正規ではない何者かによって不適切なフェイルセーフ制御、および/または指示が設定されることを阻止する。ステップ168において認証が成立した場合、ステップ169へ進む。
【0070】
この実施形態では、ステップ182−183は、サービスセンタ40に設けられ、車両10が正規の車両であることを判定する車両判定手段を提供する。ステップ167−168は、車両10に設けられ、サービスセンタ40が正規のサービスセンタであることを判定するサービスセンタ判定手段を提供する。これらの手段において正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、後続の実行手段と通知手段とが機能する。この構成によると、不正なアクセスによるサービスセンタの利用、および不正なアクセスによるフェイルセーフ制御の実行を回避することができる。
【0071】
車両判定手段と、サービスセンタ判定手段とは、高度のセキュリティを実現する認証手法によって提供される。車両判定手段と、サービスセンタ判定手段とは、暗号化された通信によって提供される。さらに、車両判定手段と、サービスセンタ判定手段とは、車両10に搭載された盗難防止ECU12が提供するイモビライザの暗号演算と同じアルゴリズム、すなわち認証機能を利用して提供される。これにより、通報が正規のものであることと、フェイルセーフ制御による強制的な制御が正規のものであることとを確認する。この構成によると、車載の盗難防止装置(盗難防止ECU12)が提供する認証機能によって不正なアクセスを阻止することができる。このため、既存の装置、および既存のソフトウエアを流用して車両判定手段とサービスセンタ判定手段とを提供することができる。この結果、車載の認証機能を利用して、正規のフェイルセーフ制御だけを実行することができる。
【0072】
ステップ169では、車両10からサービスセンタ40へ車両10の状態を示すデータを送信する。このデータには、少なくとも、車両10の異常の種別を示すデータと、車両10の位置を示すデータとが含まれている。車両10の位置は、ナビゲーション装置を構成するナビECU16内において得られ、提供されたデータである。このデータには、ステップ161で蓄積された履歴データを含むことができる。さらに、このデータには、ステップ162において異常が検出された後の車両10の状態を示すデータを含むことができる。このような、異常の前後における車両10の状態を示すデータは、異常の種別を細分化するために貢献する。ステップ165とステップ169とは、車両10に設けられ、車両10の異常の種別と、車両10の状態とを送信する異常送信手段を提供する。
【0073】
より具体的には、ステップ169で送信されるデータには、以下に列挙するデータを含むことができる。(1)異常前後の車両情報。(2)各ECUの故障情報。(3)エンジンの回転数。(4)車速。(5)ギアポジション。(6)車両10の位置。これらのデータは、ダイアグ端末機20のために用意された診断コマンドを使用して取得される。また、これらのデータは、LAN11上のデータから取得される。
【0074】
ステップ185では、サービスセンタ40において、車両10の状態を示すデータが受信される。ステップ181とステップ185とは、車両10と通信回線を介して接続されたサービスセンタ40に設けられ、車両10の異常の種別と、車両10の状態とを受信する異常受信手段を提供する。
【0075】
ステップ186では、制御装置42がFSDB44から適切なフェイルセーフ制御(FS制御)と指示とを検索する。ステップ186は、異常受信手段によって受信された異常の種別と車両10の状態とに基づいて、データベース44を検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段を提供する。
【0076】
ステップ187では、サービスセンタ40から車両10へフェイルセーフ制御と指示とが送信される。ステップ187は、抽出手段により抽出されたフェイルセーフ制御と指示とを車両10に送信する制御送信手段を提供する。ステップ170では、車両10において、フェイルセーフ制御と指示とが受信される。ステップ170は、車両10に設けられ、フェイルセーフ制御と指示とを受信する制御受信手段を提供する。ここでは、ナビECU16によってフェイルセーフ制御と指示とが受信される。
【0077】
ステップ161−170、およびステップ181−187は、車両10における異常の種別および車両10の状態に基づいて、車両10の状態に応じて異なるフェイルセーフ制御と車両10の使用者に対する指示とを設定する設定手段を提供する。この実施形態によると、車両10における異常に対策するためのフェイルセーフ制御が設定される。しかも、そのフェイルセーフ制御は、車両10の状態、例えば車両10の位置に応じて異なるものが設定される。また、車両10における異常に対策するための、車両10の使用者に対する指示が設定される。しかも、この指示は、車両10の状態、例えば車両10の位置に応じて異なるものが設定される。
【0078】
ステップ171では、車両10において、フェイルセーフ制御と指示とが実行される。ここでは、ナビECU16から、複数の機器11−19のうちの対象機器へフェイルセーフ制御が指示され、その機器においてフェイルセーフ制御が実行される。ここでは、例えば、エンジンECU13においてフェイルセーフ制御が実行される場合がある。また、ナビECU16それ自身によってフェイルセーフ制御が実行される場合もある。
【0079】
ステップ171は、フェイルセーフ制御を実行する実行手段を提供する。これにより、車両10の状態、例えば車両10の位置に応じた適切なフェイルセーフ制御を提供することができる。ここでは、車両の整備作業のために予め用意された強制駆動コマンド(制御コマンド)によってフェイルセーフ制御を実行する。この構成によると、車両の整備作業のために予め用意された制御コマンドを利用してフェイルセーフ制御を実行することができる。このため、既存の装置、および既存のソフトウエアを流用して実行手段を提供することができる。フェイルセーフ制御においては、正常なECUに対して、それに属するアクチュエータを駆動するための強制駆動コマンドが送信される。
【0080】
ここで、複数のECU12−16を含む車載の機器11−19は、車両10の異常が検出されないときにそれら機器を作動させる制御手段を提供している。さらに、それらの制御手段は、車両10の異常が検出されないときに、フェイルセーフ制御による車両に搭載された機器の駆動を制限する制限手段を提供する。例えば、制限手段は、ブレーキを操作することなくスタータモータを駆動することを制限(禁止)している。しかし、ステップ171によって提供される実行手段は、制限手段による制限を解除して、フェイルセーフ制御を実行する。この構成によると、車両10の異常が検出されないとき、すなわち正常時には、車載機器11−19は、フェイルセーフ制御による特殊な動作をしないように、その駆動が制限手段によって制限される。実行手段は、車両10の異常時には、その異常状態から脱出するために、またはその異常状態を緩和するために、制限手段による制限を敢えて解除して、車載機器11−19をフェイルセーフ制御によって駆動する。
【0081】
さらに、ステップ171では、ナビECU16の入出力装置17によって指示を使用者に通知する。例えば、指示はディスプレイ装置に表示される。また、指示は、音声発生装置によって音声として出力される。ステップ171は、車両10において指示を使用者に通知する通知手段を提供する。これにより、車両10の状態、例えば車両10の位置に応じた適切な指示を使用者に与えることができる。
【0082】
ステップ172では、車両10から、サービスセンタ40へフェイルセーフ制御の結果が送信される。例えば、フェイルセーフ制御の対象となった機器からナビECU16に結果が送信され、さらにナビECU16からサービスセンタ40の制御装置42に結果が送信される。ステップ173では、フェイルセーフ制御による処置が完了したか否かが判定される。フェイルセーフ制御が完了した場合、一連の処理を終了する。一方、フェイルセーフ制御が完了していない場合、ステップ171へ戻り、フェイルセーフ制御を継続する。
【0083】
ステップ188では、サービスセンタ40においてフェイルセーフ制御の結果が受信される。ステップ189では、フェイルセーフ制御による処置が完了したか否かが判定される。フェイルセーフ制御が完了した場合、一連の処理を終了する。一方、フェイルセーフ制御が完了していない場合、ステップ188へ戻り、フェイルセーフ制御の完了を待つ。
【0084】
この実施形態によると、車両10のナビゲーションシステムのインターフェイスを利用して、異常の通報と、異常に対する対策の指示とを含むコミュニケーションが、車両10の使用者とサービスセンタ40との間で可能となる。車両10が異常状態となった場合、使用者が慌ててしまい適切な対処ができない可能性がある。しかし、この実施形態によると、サービスセンタ40における設定によって適切なフェイルセーフ制御が強制的に実行される。さらに、車両10の使用者に対しても、サービスセンタ40からの指示による支援が提供されるから、適切な処置が可能となる。
【0085】
また、この実施形態では、なりすましなどの不正な行為による不具合を防止するために、車両10とサービスセンタ40との両方において相互の認証処理が実行される。このため、不正なフェイルセーフ制御を阻止することができる。また、車両10に搭載されたイモビライザの暗号演算と同じアルゴリズムを使って認証処理を実行することができる。
【0086】
また、異常の検出、およびフェイルセーフ制御のために、ダイアグ端末機20のために用意されたコマンドを利用しているから、既存の車両制御ソフトウエアに大きな変更を行わなくてもアクチュエータの駆動などが可能である。
【0087】
(他の実施形態)
以上、本発明の好ましい実施形態について説明したが、本発明は上述した実施形態に何ら制限されることなく、本発明の主旨を逸脱しない範囲において種々変形して実施することが可能である。上記実施形態の構造は、あくまで例示であって、本発明の範囲はこれらの記載の範囲に限定されるものではない。本発明の範囲は、特許請求の範囲の記載によって示され、さらに特許請求の範囲の記載と均等の意味及び範囲内での全ての変更を含むものである。
【0088】
例えば、制御装置が提供する手段と機能は、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組合せによって提供することができる。例えば、制御装置をアナログ回路によって構成してもよい。
【符号の説明】
【0089】
1 車両用制御装置、10 車両、11 LAN、12 盗難防止ECU、13 エンジンECU。14 変速機ECU、15 ブレーキECU、16 ナビECU、17 入出力装置、18 通信端末。19 通報スイッチ、20 ダイアグ端末機、30 広域ネットワーク、40 サービスセンタ、41 通信端末、42 制御装置、43 車両データベース(VHDB)、44 フェイルセーフ制御データベース(FSDB)。
【技術分野】
【0001】
本発明は、車両の異常時にフェイルセーフを図る車両用制御装置に関する。
【背景技術】
【0002】
従来、車両に異常が発生した場合にフェイルセーフを図る制御装置が知られている。例えば、特許文献1に記載の装置は、車両の異常を検出した際に燃料カット制御を実行し、車両を強制的に停止させている。このように、車両に異常が発生した場合に、車両がより安全な状態になるように、車両に搭載された制御装置がフェイルセーフ制御を実行する装置が知られている。
【0003】
また、特許文献2に記載の装置は、車両の異常が検出された場合に、インターネットを通じてサービスセンタに情報を送信し、サービスセンタから車両の使用者に適切な処置方法を指示している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平4−189629号公報
【特許文献2】特開2002−123881号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1の技術では、車両の異常が検出された時のフェイルセーフ制御は車両内に搭載された制御装置があらかじめ組み込まれた制御を実行することにより、車両を安全側に制御している。そこでは、車両が故障した時に最も安全と思われる代表的な車両状態となるようにフェイルセーフ制御が設定されている。例えば、エンジン停止、エンジン回転数制限等である。
【0006】
また、特許文献2の技術では、車両の故障情報に応じた処置方法がサービスセンタから使用者に指示される。しかし、この技術においても、車両が故障した時に最も安全と思われる代表的な車両状態となるようにフェイルセーフ制御が設定されている。
【0007】
このように、従来技術では、高速道路、踏切、市街地、郊外、坂道といった車両の走行位置に応じた適切なフェイルセーフ制御を設定することができない。
【0008】
また、従来技術では、車両の使用者による誤操作がある場合には、機器は正常に機能しているため、異常を検出することができない。このため、誤操作のような特殊な操作状態の下では、そのような操作状態に応じた適切なフェイルセーフ制御を設定することができない。
【0009】
本発明は上記問題点に鑑みてなされたものであり、その目的は、車両の異常に際して、適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。
【0010】
本発明の他の目的は、車両の走行位置に応じて適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。
【0011】
本発明のさらに他の目的は、車両の使用者による誤操作の下においても、適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。
【0012】
本発明のさらに他の目的は、車両の使用者による誤操作も含めた車両の異常に際して、フェイルセーフ制御によって車両を遠隔的に制御することを可能とするとともに、そのような遠隔的な制御における高い信頼性を提供することができる車両用制御装置を提供することである。
【課題を解決するための手段】
【0013】
本発明は上記目的を達成するために以下の技術的手段を採用する。
【0014】
請求項1に記載の発明は、車両における異常の種別および車両の状態に基づいて、車両の状態に応じて異なるフェイルセーフ制御と車両の使用者に対する指示とを設定する設定手段(161−170、181−187)と、車両においてフェイルセーフ制御を実行する実行手段(171)と、指示を使用者に通知する通知手段(171)とを備えることを特徴とする。
【0015】
この構成によると、車両における異常に対策するためのフェイルセーフ制御が設定される。しかも、そのフェイルセーフ制御は、車両の状態に応じて異なるものが設定される。そして、このフェイルセーフ制御が車両において実行される。このため、車両の状態に応じた適切なフェイルセーフ制御を提供することができる。また、車両における異常に対策するための車両の使用者に対する指示が設定される。しかも、この指示は、車両の状態に応じて異なるものが設定される。そして、この指示が車両において使用者に通知される。このため、車両の状態に応じた適切な指示を使用者に与えることができる。
【0016】
請求項2に記載の発明は、車両の状態には、車両の位置が含まれていることを特徴とする。この構成によると、フェイルセーフ制御は、車両の位置に応じて異なるものが設定される。このため、車両の位置に応じた適切なフェイルセーフ制御を提供することができる。また、指示は、車両の位置に応じて異なるものが設定される。このため、車両の位置に応じた適切な指示を使用者に与えることができる。
【0017】
請求項3に記載の発明は、車両は、車両の位置を示すデータを提供するナビゲーション装置(16)を備えることを特徴とする。この構成によると、車両に搭載されたナビゲーション装置によって車両の位置を示すデータを提供することができる。
【0018】
請求項4に記載の発明は、設定手段(161−170、181−187)は、車両に設けられ、車両の異常を検出する異常検出手段(162−164)と、車両に設けられ、車両の状態を検出する状態検出手段(161)と、車両に設けられ、異常の種別と、車両の状態とを送信する異常送信手段(165、169)と、車両と通信回線を介して接続されたサービスセンタに設けられ、異常の種別と、車両の状態とを受信する異常受信手段(181、185)と、サービスセンタに設けられ、複数の異常の種別と、複数の車両の状態とに関連付けて、複数のフェイルセーフ制御と、複数の指示とを記録したデータベース(44)と、異常受信手段によって受信された異常の種別と車両の状態とに基づいて、データベースを検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段(186)と、抽出手段により抽出されたフェイルセーフ制御と指示とを車両に送信する制御送信手段(187)と、車両に設けられ、フェイルセーフ制御と指示とを受信する制御受信手段(170)とを備えることを特徴とする。この構成によると、車両と、サービスセンタとによって設定手段を提供することができる。
【0019】
請求項5に記載の発明は、実行手段は、車両の整備作業のために予め用意された制御コマンドによってフェイルセーフ制御を実行することを特徴とする。この構成によると、車両の整備作業のために予め用意された制御コマンドを利用してフェイルセーフ制御を実行することができる。このため、既存の装置、および既存のソフトウエアを流用して実行手段を提供することができる。
【0020】
請求項6に記載の発明は、異常検出手段は、車両の整備作業のために予め用意された診断コマンドによって車両の異常を検出することを特徴とする。この構成によると、車両の整備作業のために予め用意された診断コマンドを利用して車両の異常を検出することができる。このため、既存の装置、および既存のソフトウエアを流用して異常検出手段を提供することができる。
【0021】
請求項7に記載の発明は、異常検出手段は、車両の使用者からの要請を入力する入力手段(17、19)を備えることを特徴とする。この構成によると、車両の使用者が車両の異常を感知した場合にも、フェイルセーフ制御を設定することができる。このため、車両の異常が使用者の誤操作に起因しており、車載の機器には異常が生じていない場合でも、フェイルセーフ制御を設定することができる。入力手段は、異常を感知した使用者が操作する通報スイッチ、または、異常を感知した使用者が通報を要請する音声入力装置などのインターフェース装置によって提供することができる。
【0022】
請求項8に記載の発明は、状態検出手段は、車両に設けられたLANに流れるデータから車両の状態を取得することを特徴とする。この構成によると、車載のLAN上のデータから車両の状態を取得することができる。このため、既存の装置、および既存のソフトウエアを流用して状態検出手段を提供することができる。
【0023】
請求項9に記載の発明は、さらに、サービスセンタに設けられ、車両が正規の車両であることを判定する車両判定手段(182−183)と、車両に設けられ、サービスセンタが正規のサービスセンタであることを判定するサービスセンタ判定手段(167、168)とを備え、正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、実行手段と通知手段とが機能することを特徴とする。この構成によると、不正なアクセスによるサービスセンタの利用、および不正なアクセスによるフェイルセーフ制御の実行を回避することができる。
【0024】
請求項10に記載の発明は、車両判定手段(182−183)とサービスセンタ判定手段(167、168)とは、車両に搭載された盗難防止装置(12)が提供する認証機能によって提供されていることを特徴とする。この構成によると、車載の盗難防止装置が提供する認証機能によって不正なアクセスを阻止することができる。このため、既存の装置、および既存のソフトウエアを流用して車両判定手段とサービスセンタ判定手段とを提供することができる。
【0025】
請求項11に記載の発明は、さらに、車両の異常が検出されないとき、フェイルセーフ制御による車両に搭載された機器の駆動を制限する制限手段を備え、実行手段は、制限手段による制限を解除して、フェイルセーフ制御を実行することを特徴とする。この構成によると、車両の異常が検出されないとき、すなわち正常時には、車載機器は、フェイルセーフ制御による特殊な動作をしないように、その駆動が制限手段によって制限される。実行手段は、車両の異常時には、その異常状態から脱出するために、またはその異常状態を緩和するために、制限手段による制限を敢えて解除して、車載機器をフェイルセーフ制御によって駆動する。
【0026】
なお、特許請求の範囲および上記手段の項に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。
【図面の簡単な説明】
【0027】
【図1】本発明を適用した第1実施形態に係る車両用制御装置を示すブロック図である。
【図2】第1実施形態の作動を示すフローチャートである。
【発明を実施するための形態】
【0028】
以下に、図面を参照しながら本発明を実施するための複数の形態を説明する。各形態において先行する形態で説明した事項に対応する部分には同一の参照符号を付して重複する説明を省略する場合がある。各形態において構成の一部のみを説明している場合は、構成の他の部分については先行して説明した他の形態を適用することができる。各実施形態で具体的に組合せが可能であることを明示している部分同士の組合せばかりではなく、特に組合せに支障が生じなければ、明示してなくとも実施形態同士を部分的に組み合せることも可能である。
【0029】
(第1実施形態)
図1は、本発明を適用した第1実施形態に係る車両用の遠隔操作システムを構成する車両用制御装置1を示すブロック図である。
【0030】
車両用制御装置1は、車両10に搭載された電子制御装置(ECU:Electronic Control Unit)と、地上に定置されたサービスセンタ40に設置された制御装置とによって構築されている。車載の制御装置とサービスセンタの制御装置とは、広域ネットワーク30などの通信手段によって互いに通信可能に接続され、一体的な車両用制御装置1を構築している。
【0031】
車両用制御装置1は、車両10に搭載された車載機器11−19を備える。車両10は、エンジンのみを動力源とする車両、モータのみを動力源とする車両、またはモータとエンジンとを動力源とする車両である。
【0032】
車両10は、車載のLAN11を備える。複数の車載機器12−19は、LAN11を介して、互いにデータ通信可能に構成されている。LAN11は、例えば、LIN(LocalInterconnect Network)、またはCAN(Controller Area Network)と呼ばれるネットワークによって提供することができる。
【0033】
車両10は、盗難防止ECU12を備える。盗難防止ECU12は、車両10と関連付けられたカギ、ICカードなどの携帯可能な記憶装置に記憶された暗号化された識別信号(IDともいう)に基づいて、車両10の使用可否を判断する。この盗難防止ECU12は、識別信号に基づく認証が成立の場合に、車両10を使用可能な状態におく。この盗難防止ECU12は、識別信号に基づく認証が不成立の場合に、車両を走行不能な状態におく。よって、盗難防止ECU12は、いわゆるイモビライザとしても機能する。盗難防止ECU12は、イモビライザとしての高度な暗号化機能、認証機能を有している。また、盗難防止ECU12は、車両を不正に移動させようとする行為を検出すると、警報音の出力などの盗難対策処理を実行する警報装置としても機能する。
【0034】
車両10は、フェイルセーフ制御の対象となる複数の機器13−15を備える。フェイルセーフ制御の対象となる機器には、車両10の走行に関連する機器が含まれる。例えば、フェイルセーフ制御の対象となる機器には、車両10の走行用の動力源を制御するための制御装置であるエンジンECU13を含むことができる。また、フェイルセーフ制御の対象となる機器には、車両10の走行用の動力の伝達を制御するための制御装置である変速機ECU14を含むことができる。また、フェイルセーフ制御の対象となる機器には、車両10のブレーキ力を制御するための制御装置であるブレーキECU15を含むことができる。また、さらに、フェイルセーフ制御の対象となる機器には、定速走行を制御するためのECUなど車両10の走行に関連する複数の機器を含むことができる。
【0035】
車両10は、エンジンECU13を備える。エンジンECU12は、車両10に搭載されたエンジン(内燃機関)を制御する。エンジンECU13は、例えば、エンジンへ供給される燃料噴射量、およびエンジンの点火時期を制御する。さらに、エンジンECU13は、フェイルセーフ制御を実行することによって、エンジンの出力を徐々に低下させるなど、車両10を安全側に制御することができる。
【0036】
車両10は、変速機ECU14を備える。変速機ECU14は、車両10の変速機を制御する。変速機は、車両10の動力源としてのモータおよび/またはエンジンと駆動輪との間に設けられている。変速機ECU14は、例えば、動力源から駆動輪への駆動力の伝達を断続するように変速機を制御する。また、変速機ECU14は、例えば、変速機における減速率を制御する。変速機ECU14は、フェイルセーフ制御を実行することによって、変速機による動力伝達を徐々に低下させるなど、車両10を安全側に制御することができる。
【0037】
車両10は、ブレーキECU15を備える。ブレーキECU15は、車両10のブレーキ装置を制御する。ブレーキECU15には、例えば、加速度センサと、車輪速センサとの信号が入力される。加速度センサは、車両10の車体の加速度を検出する。車輪速センサは、車輪の回転速度を検出する。車両10は、複数の車輪のそれぞれに対応するように、複数の車輪速センサを備える。ブレーキECU15は、フェイルセーフ制御を実行することによって、ブレーキ力を徐々に増加させるなど、車両10を安全側に制御することができる。
【0038】
車両10は、ナビECU16を備える。ナビECU16は、車両10の走行位置を地図上に表示するナビゲーション装置である。ナビECU16は、入出力装置17と通信端末18とを備える。入出力装置17は、ユーザインターフェース機器であって、例えば、ディスプレイ装置と、このディスプレイ装置に設けられたタッチパネルを含むスイッチ群と、音声入出力装置とを備えることができる。通信端末18は、無線などの通信回線を利用して、広域ネットワーク30を経由するデータ通信を提供する。通信端末18は、LAN11にも接続されている。これにより、複数の車載機器12−19と広域ネットワーク30との間のデータ通信が可能とされている。
【0039】
車両10は、車両10の運転者を含む使用者によって操作される通報スイッチ19を備える。通報スイッチ19は、車両10の使用者が、自ら感知した車両10の異常をサービスセンタに通報することを望む意思を入力するために設けられている。さらに、入出力装置17の音声入出力装置も、使用者の音声による通報要請を入力する手段として機能する。
【0040】
車両10に搭載された複数の機器11−19は、車両の整備作業のために使用されるサービスツールであるダイアグ端末機20と接続可能に構成されている。ダイアグ端末機20は、複数の機器11−19の状態を診断する診断装置である。ダイアグ端末機20は、例えば、修理工場などに置かれている。ダイアグ端末機20は、必要があるときにだけ、LAN11に接続され、車両10に搭載された機器のように動作する。
【0041】
ダイアグ端末機20は、複数の車載機器11−19の作動状態を診断するための複数の診断指令信号(以下、診断コマンドという)を出力することができる。機器11−19は、診断コマンドが示す自己診断を実行し、その診断結果を返信するように構成されている。これにより、ダイアグ端末機20には、診断結果が集められる。
【0042】
また、ダイアグ端末機20は、複数の車載機器11−19を強制的に所定の作動状態にさせるための複数の制御指令信号(以下、制御コマンドという)を出力することができる。ダイアグ端末機20からの制御コマンドを受信した機器11−19は、制御コマンドが示す作動状態に強制的に移行する。このような制御コマンドは、機器11−19の機能を検査し、整備するために利用される。このような目的を達成するために、機器11−19は、その機器に設けられた制限に優越して制御コマンドを実行するように構成されている。具体的には、機器11−19に特定の作動状態に移行するための制限が設けられていても、制御コマンドを受信した場合には、そのような制限に優越して、またはそのような制限を無視して、制御コマンドが示す特定の作動状態に移行するように、機器11−19は構成されている。
【0043】
この実施形態では、ナビECU16は、フェイルセーフ制御に関連する制御処理を実行する制御装置としても機能する。ナビECU16は、ダイアグ端末機20のために用意された診断コマンドを複数の機器11−19に出力することができるように構成されている。これにより、ナビECU16は、複数の機器11−19に対して自己診断による異常の検出を指示することができる。車両10の各部における異常の発生は、複数の機器11−19のそれぞれにおいて検出される。異常の発生は、通報スイッチ19によって検出される場合もある。また、異常の発生は、音声入出力装置への使用者の音声入力によって検出される場合もある。異常の発生は、LAN11を経由してナビECU16に通報される。ナビECU16は、車両10における異常の重要度を評価して、通報が必要なほどに重要度が高い異常をサービスセンタ40に通報する。
【0044】
また、ナビECU16は、サービスセンタ40から送信されてきたフェイルセーフ制御を複数の機器12−19に指示する。フェイルセーフ制御は、車両10の修理または調整のために各ECU毎に用意されているコマンドを利用して実行することができる。このようなコマンドは、制御コマンド、または強制駆動コマンドとも呼ばれる。例えば、所定のアクチュエータを所定の状態に駆動するコマンドや、エンジンのアイドル回転数を所定の回転数に制御するコマンドが用意されている。フェイルセーフ制御は、このような制御コマンドを流用して実行することができる。
【0045】
ナビECU16は、ダイアグ端末機20のために用意された制御コマンドを複数の機器11−19に出力することができるように構成されている。これにより、ナビECU16は、複数の機器11−19に対して制御コマンドによる強制的な制御、すなわちフェイルセーフ制御を指示することができる。フェイルセーフ制御においてダイアグ端末機20のために用意された制御コマンドを利用することにより、フェイルセーフ制御のためだけに新設するプログラム量を抑制することができる。この結果、複数の機器12−19のそれぞれにおいてフェイルセーフ制御が実行される。
【0046】
さらに、ナビECU16は、サービスセンタ40から送信されてきた指示を車両10の使用者に対して通知する。例えば、サービスセンタ40から送信されてきたメッセージを入出力装置17のディスプレイ装置に表示する。例えば、メッセージには、車両10の望ましい操作が含まれる。また、サービスセンタ40から送信されてきたメッセージを、音声入出力装置により音声として使用者に通知する場合もある。
【0047】
車両用制御装置1は、サービスセンタ40に設けられた機器41−44を備える。サービスセンタ40は、複数の車両10に共通の設備として設置されている。サービスセンタ40には、通信端末41が設けられている。通信端末41は、無線などの通信回線を利用して、広域ネットワーク30を経由するデータ通信を提供する。
【0048】
サービスセンタ40には、フェイルセーフ制御を設定するための制御装置42が設けられている。通信端末41は、制御装置42にも接続されている。これにより、制御装置42と広域ネットワーク30との間のデータ通信が可能とされている。この結果、制御装置42と、車載の複数の機器11−19とは、互いにデータ通信が可能に構成されている。
【0049】
サービスセンタ40には、車両用制御装置1によるサービスの提供対象となる車両10を識別するための識別情報を記録した車両データベース(VHDB)43が設けられている。VHDB43は、制御装置42において、異常を通報し、フェイルセーフ制御の設定を求めてきた車両10がサービスの提供対象であるか否かを判定するための認証処理を実行するときに利用される。
【0050】
サービスセンタ40には、車両10において実行されるべき複数のフェイルセーフ制御を記録したフェイルセーフ制御データベース(FSDB)44が設けられている。FSDB44には、車両10に生じることがある複数の異常の種別と、車両10の位置を含む車両10に生じることがある複数の車両の状態と、複数のフェイルセーフ制御と、使用者に対する複数の指示とが関連付けられて記録されている。フェイルセーフ制御と、指示とは、異常の種別と、車両10の位置とに基づいて検索可能に記録されている。FSDB44に記録されたフェイルセーフ制御と指示とは、異常の種別ごとに異なる場合がある。例えば、車両10の速度が上昇しないという異常に対するフェイルセーフ制御と、車両10の速度が低下しないという異常に対するフェイルセーフ制御とは、異なる場合がある。
【0051】
さらに、この実施形態では、FSDB44に記録されたフェイルセーフ制御と指示とは、異常の種別が同じであっても、車両10の位置に対応して異なる場合がある。例えば、車両10の速度が上昇しないという異常に対するフェイルセーフ制御と指示とは、車両10が駐車場にある場合と、踏切にある場合とで異なる。例えば、車両10が駐車場にある場合には、車両10を停車状態に維持して専門家による修理を待つためのフェイルセーフ制御と指示とが記録されている。また、車両10が踏切にある場合には、車両10を踏切から脱出させるためのフェイルセーフ制御と指示とが記録されている。
【0052】
このようなFSDB44の記録は、以下のようなフェイルセーフ制御と指示との具体例において利用される。第1の例は、踏切において車両10のエンジンが停止した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を直結状態に制御する。例えば、自動変速機は、ロックアップモードに制御される。さらに、サービスセンタ40からのフェイルセーフ制御により、エンジンECU13は、スタータモータの駆動を許容する。例えば、エンジンECU13は、ブレーキ非操作時にスタータモータの駆動を禁止する制限制御を解除する。これにより、車両10は、エンジンが停止していても、スタータモータによって移動可能な状態に設定される。さらに、サービスセンタ40から送信される指示には、運転者に対するメッセージが含められる。このメッセージには、スタータモータを作動させ、車両10を移動させる方法が含まれる。このメッセージは、ナビECU16によって入出力装置17のディスプレイ装置に表示される。第2の例は、駐車場において車両10のエンジンが停止した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、動力伝達を遮断するように自動変速機を制御する。これにより、車両10は、駐車場に止まったままとなる。さらに、サービスセンタ40から送信される指示には、運転者に対するメッセージが含まれる。このメッセージには、修理業者などの専門家を呼ぶことを勧めるアドバイスが含まれる。このメッセージは、ナビECU16によって入出力装置17のディスプレイ装置に表示される。
【0053】
また、別の例においては、車両10の速度が低下しないという異常に対するフェイルセーフ制御と指示とは、車両10が市街地道路にある場合と、高速道路にある場合とで異なる。例えば、車両10が市街地道路にある場合には、車両10を徐々に減速させ停車させるためのフェイルセーフ制御と指示とが記録されている。また、車両10が高速道路にある場合には、車両10を徐々に減速させるが、サービスエリアなどの駐車可能な場所までの走行を許容するためのフェイルセーフ制御と指示とが記録されている。
【0054】
このようなFSDB44の記録は、以下のようなフェイルセーフ制御と指示との具体例において利用される。第3の例は、高速道路において、エンジンの吸気絞り弁が開状態のまま故障した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を低速走行の減速比に固定する。例えば、自動変速機は、ローレンジに固定される。さらに、エンジンECU13は、エンジンの燃料カット回転数を通常値より低い回転数に設定する。これにより、吸気絞り弁が全開であっても、エンジンの回転数は比較的低い回転数に制限される。この結果、車両10は低速で走行が可能な状態に制御される。この状態は、最も近いサービスエリアまで維持される。第4の例は、市街地道路において、エンジンの吸気絞り弁が開状態のまま故障した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を低速走行の減速比に固定する。例えば、自動変速機は、ローレンジに固定される。さらに、エンジンECU13は、エンジンの燃料カット回転数を徐々に低下させる。これにより、吸気絞り弁が全開であっても、エンジンの回転数は徐々に低下する。このときのエンジン回転数の低下は、数10メートルだけ車両10を走行させることができるように設定される。この結果、運転者は、車両10を市街地道路の路肩まで移動させることができる。車両10は、やがてゆっくりと停車する。
【0055】
また、別の例として、高速道路において異常が通報された場合と、市街地道路で異常が通報された場合とを考えることができる。高速道路において異常が通報された場合には、エンジンの燃料カット回転数を徐々に第1速度で低下させるようにフェイルセーフ制御が設定される。これにより、運転者は、高速道路における速い交通の流れを顕著に妨げることなく、車両10を徐々に減速させ、路肩などの安全な場所へ移動することが可能となる。一方、市街地道路において異常が通報された場合には、エンジンの燃料カット回転数を徐々に第2速度で低下させるようにフェイルセーフ制御が設定される。第2速度は、第1速度より速い。これにより、運転者は、市街地道路における比較的ゆっくりとした交通の流れを妨げることなく、車両10を徐々に減速させ、路肩などの安全な場所へ移動することが可能となる。
【0056】
制御装置42は、認証処理を実行する認証手段として機能する。認証処理は、VHDB43に記録された識別情報と、車両10から送信されてくる識別情報とに基づいて実行される。認証処理では、異常を通報することによってフェイルセーフ制御の設定を求めてきた車両10がサービスの提供対象として登録された正規の車両10であるか否かが判定される。
【0057】
制御装置42は、フェイルセーフ制御と指示とを設定する設定処理を実行する設定手段として機能する。設定処理は、車両10が送信されてくるデータと、FSDB44の記録内容とに基づいて実行される。設定処理では、車両10異常状態と車両10の位置とに基づいて、FSDB44の内容が検索され、上記異常状態と位置とに適合するフェイルセーフ制御と指示とが抽出され、それらが車両10に送信される。
【0058】
車両10およびサービスセンタ40に設けられた制御装置は、コンピュータによって読み取り可能な記憶媒体を備えるマイクロコンピュータによって提供される。記憶媒体は、コンピュータによって読み取り可能なプログラムを格納している。記憶媒体は、メモリによって提供されうる。プログラムは、制御装置によって実行されることによって、制御装置をこの明細書に記載される装置として機能させ、この明細書に記載される制御方法を実行するように制御装置を機能させる。制御装置が提供する手段は、所定の機能を達成する機能的ブロック、またはモジュールとも呼ぶことができる。
【0059】
図2は、第1実施形態の作動を示すフローチャートである。図中には、車両10において実行される制御処理160と、サービスセンタ40において実行される制御処理180とが図示されている。制御処置160と制御処理180とは、その全体によって、車両10の異常に対策するためのフェイルセーフ制御を設定するための処理を示している。また、制御処置160と制御処理180とは、その全体によって、車両10を遠隔的に制御する遠隔制御手段を構成している。
【0060】
制御処理160は、車両10が運行状態にあるときに繰り返して実行される。制御処理160は、ナビECU16によって実行される。制御処理160は、エンジンECU13などの他のECUにおいても実行可能である。
【0061】
ステップ161では、車両10の状態を示すデータが検出され、蓄積される。これにより、車両10の状態の変化を示す履歴データが構成される。履歴データは、車両10の異常の種別を示すデータとして利用される。ステップ161は、車両10に設けられ、車両10の状態を検出する状態検出手段を提供する。ここでは、車両10に設けられたLAN11に流れるデータから車両の状態を取得する。この構成によると、車載のLAN11上のデータから車両10の状態を取得することができる。このため、既存の装置、および既存のソフトウエアを流用して状態検出手段を提供することができる。
【0062】
ステップ162では、車両10の異常状態が検出される。ここで、異常状態には、車載の機器11−19による自己診断処理によって検出される異常と、車両10に搭乗している使用者が感知した異常とが含まれている。自己診断によって検出された異常は、LAN11を経由してナビECU16に入力される。ステップ162は、車両10に設けられ、車両10の異常を検出する異常検出手段を提供する。ここでは、車両の整備作業のために予め用意された診断コマンドによって車両の異常を検出する。車両の整備作業のために予め用意された診断コマンドを利用して、車両の異常を検出することができる。このため、既存の装置、および既存のソフトウエアを流用して異常検出手段を提供することができる。
【0063】
使用者が感知した異常は、使用者が通報スイッチ19を操作することによって、または使用者が通報を求める音声を入出力装置17に入力することによって、ナビECU16に入力される。ステップ162によって提供される異常検出手段は、車両10の使用者からの要請を入力する入力手段を提供している。この構成によると、車両10の使用者が車両の異常を感知した場合にも、異常を通報し、フェイルセーフ制御の設定を求めることができる。このため、車両10の異常が使用者の誤操作に起因しており、車載の機器には異常が生じていない場合でも、フェイルセーフ制御を設定することができる。入力手段は、異常を感知した使用者が操作する通報スイッチ、または、異常を感知した使用者が通報を要請する音声入力装置などのインターフェース装置によって提供することができる。
【0064】
ここでは、例えば、以下に列挙するような故障を含む異常が検出される。例えば、エンジンの吸気絞り弁の故障が検出される。また、それによる車両の停止が検出される。また、所定期間以上にわたるエンジン回転数の過剰が検出される。さらに、使用者からの通報要請も車両10の異常として検出される。
【0065】
ステップ163では、異常状態の重要度が評価される。ここでは、サービスセンタ40への通報が必要な異常か否かが判定される。自己診断によって検出された異常は、重要度に応じて、通報対象となる場合と、通報対象とならない場合とがある。例えば、車両10が移動不可であるとき、車両10が停止不可であるとき、車両10が意図しない挙動を示すときには、通報に値する高い重要度として評価される。一方、通報スイッチ19が操作された場合には、高い重要度と評価することによって必ず通報対象となる。
【0066】
ステップ164では、重要度に応じて通報が必要か否かが判定される。通報が不要の場合には、ステップ161へ戻る。通報が必要である場合、ステップ165へ進む。
【0067】
ステップ165では、車両10からサービスセンタ40へ異常の発生が通報される。このとき、車両10の識別情報も送信される。
【0068】
ステップ181では、サービスセンタ40において車両10からの通報が受信される。ステップ182では、車両10がサービスの提供対象として登録された車両であるか否かを判定するための認証処理が実行される。ステップ183では、認証が成立したか否かが判定される。車両10が正規の車両である場合、認証が成立する。認証が不成立の場合、処理はステップ181に戻る。ステップ165、181、182、183の処理は、サービスセンタ40において車両10を認証するための第1認証手段を提供する。ステップ183において認証が成立した場合、ステップ184へ進む。
【0069】
ステップ184では、サービスセンタ40を識別するための識別信号(センタID)をサービスセンタ40から車両10に送信する。ステップ166では、車両10においてセンタIDが受信される。ステップ167では、センタ40が正規のサービスセンタ40であるか否かを判定するための認証処理が実行される。ステップ168では、認証が成立したか否かが判定される。サービスセンタ40が正規の機関である場合、認証が成立する。認証が不成立の場合、ステップ161へ戻る。ステップ184、166、167、168の処理は、車両10においてサービスセンタ40を認証するための第2認証手段を提供する。第2認証手段は、正規ではない何者かによって不適切なフェイルセーフ制御、および/または指示が設定されることを阻止する。ステップ168において認証が成立した場合、ステップ169へ進む。
【0070】
この実施形態では、ステップ182−183は、サービスセンタ40に設けられ、車両10が正規の車両であることを判定する車両判定手段を提供する。ステップ167−168は、車両10に設けられ、サービスセンタ40が正規のサービスセンタであることを判定するサービスセンタ判定手段を提供する。これらの手段において正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、後続の実行手段と通知手段とが機能する。この構成によると、不正なアクセスによるサービスセンタの利用、および不正なアクセスによるフェイルセーフ制御の実行を回避することができる。
【0071】
車両判定手段と、サービスセンタ判定手段とは、高度のセキュリティを実現する認証手法によって提供される。車両判定手段と、サービスセンタ判定手段とは、暗号化された通信によって提供される。さらに、車両判定手段と、サービスセンタ判定手段とは、車両10に搭載された盗難防止ECU12が提供するイモビライザの暗号演算と同じアルゴリズム、すなわち認証機能を利用して提供される。これにより、通報が正規のものであることと、フェイルセーフ制御による強制的な制御が正規のものであることとを確認する。この構成によると、車載の盗難防止装置(盗難防止ECU12)が提供する認証機能によって不正なアクセスを阻止することができる。このため、既存の装置、および既存のソフトウエアを流用して車両判定手段とサービスセンタ判定手段とを提供することができる。この結果、車載の認証機能を利用して、正規のフェイルセーフ制御だけを実行することができる。
【0072】
ステップ169では、車両10からサービスセンタ40へ車両10の状態を示すデータを送信する。このデータには、少なくとも、車両10の異常の種別を示すデータと、車両10の位置を示すデータとが含まれている。車両10の位置は、ナビゲーション装置を構成するナビECU16内において得られ、提供されたデータである。このデータには、ステップ161で蓄積された履歴データを含むことができる。さらに、このデータには、ステップ162において異常が検出された後の車両10の状態を示すデータを含むことができる。このような、異常の前後における車両10の状態を示すデータは、異常の種別を細分化するために貢献する。ステップ165とステップ169とは、車両10に設けられ、車両10の異常の種別と、車両10の状態とを送信する異常送信手段を提供する。
【0073】
より具体的には、ステップ169で送信されるデータには、以下に列挙するデータを含むことができる。(1)異常前後の車両情報。(2)各ECUの故障情報。(3)エンジンの回転数。(4)車速。(5)ギアポジション。(6)車両10の位置。これらのデータは、ダイアグ端末機20のために用意された診断コマンドを使用して取得される。また、これらのデータは、LAN11上のデータから取得される。
【0074】
ステップ185では、サービスセンタ40において、車両10の状態を示すデータが受信される。ステップ181とステップ185とは、車両10と通信回線を介して接続されたサービスセンタ40に設けられ、車両10の異常の種別と、車両10の状態とを受信する異常受信手段を提供する。
【0075】
ステップ186では、制御装置42がFSDB44から適切なフェイルセーフ制御(FS制御)と指示とを検索する。ステップ186は、異常受信手段によって受信された異常の種別と車両10の状態とに基づいて、データベース44を検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段を提供する。
【0076】
ステップ187では、サービスセンタ40から車両10へフェイルセーフ制御と指示とが送信される。ステップ187は、抽出手段により抽出されたフェイルセーフ制御と指示とを車両10に送信する制御送信手段を提供する。ステップ170では、車両10において、フェイルセーフ制御と指示とが受信される。ステップ170は、車両10に設けられ、フェイルセーフ制御と指示とを受信する制御受信手段を提供する。ここでは、ナビECU16によってフェイルセーフ制御と指示とが受信される。
【0077】
ステップ161−170、およびステップ181−187は、車両10における異常の種別および車両10の状態に基づいて、車両10の状態に応じて異なるフェイルセーフ制御と車両10の使用者に対する指示とを設定する設定手段を提供する。この実施形態によると、車両10における異常に対策するためのフェイルセーフ制御が設定される。しかも、そのフェイルセーフ制御は、車両10の状態、例えば車両10の位置に応じて異なるものが設定される。また、車両10における異常に対策するための、車両10の使用者に対する指示が設定される。しかも、この指示は、車両10の状態、例えば車両10の位置に応じて異なるものが設定される。
【0078】
ステップ171では、車両10において、フェイルセーフ制御と指示とが実行される。ここでは、ナビECU16から、複数の機器11−19のうちの対象機器へフェイルセーフ制御が指示され、その機器においてフェイルセーフ制御が実行される。ここでは、例えば、エンジンECU13においてフェイルセーフ制御が実行される場合がある。また、ナビECU16それ自身によってフェイルセーフ制御が実行される場合もある。
【0079】
ステップ171は、フェイルセーフ制御を実行する実行手段を提供する。これにより、車両10の状態、例えば車両10の位置に応じた適切なフェイルセーフ制御を提供することができる。ここでは、車両の整備作業のために予め用意された強制駆動コマンド(制御コマンド)によってフェイルセーフ制御を実行する。この構成によると、車両の整備作業のために予め用意された制御コマンドを利用してフェイルセーフ制御を実行することができる。このため、既存の装置、および既存のソフトウエアを流用して実行手段を提供することができる。フェイルセーフ制御においては、正常なECUに対して、それに属するアクチュエータを駆動するための強制駆動コマンドが送信される。
【0080】
ここで、複数のECU12−16を含む車載の機器11−19は、車両10の異常が検出されないときにそれら機器を作動させる制御手段を提供している。さらに、それらの制御手段は、車両10の異常が検出されないときに、フェイルセーフ制御による車両に搭載された機器の駆動を制限する制限手段を提供する。例えば、制限手段は、ブレーキを操作することなくスタータモータを駆動することを制限(禁止)している。しかし、ステップ171によって提供される実行手段は、制限手段による制限を解除して、フェイルセーフ制御を実行する。この構成によると、車両10の異常が検出されないとき、すなわち正常時には、車載機器11−19は、フェイルセーフ制御による特殊な動作をしないように、その駆動が制限手段によって制限される。実行手段は、車両10の異常時には、その異常状態から脱出するために、またはその異常状態を緩和するために、制限手段による制限を敢えて解除して、車載機器11−19をフェイルセーフ制御によって駆動する。
【0081】
さらに、ステップ171では、ナビECU16の入出力装置17によって指示を使用者に通知する。例えば、指示はディスプレイ装置に表示される。また、指示は、音声発生装置によって音声として出力される。ステップ171は、車両10において指示を使用者に通知する通知手段を提供する。これにより、車両10の状態、例えば車両10の位置に応じた適切な指示を使用者に与えることができる。
【0082】
ステップ172では、車両10から、サービスセンタ40へフェイルセーフ制御の結果が送信される。例えば、フェイルセーフ制御の対象となった機器からナビECU16に結果が送信され、さらにナビECU16からサービスセンタ40の制御装置42に結果が送信される。ステップ173では、フェイルセーフ制御による処置が完了したか否かが判定される。フェイルセーフ制御が完了した場合、一連の処理を終了する。一方、フェイルセーフ制御が完了していない場合、ステップ171へ戻り、フェイルセーフ制御を継続する。
【0083】
ステップ188では、サービスセンタ40においてフェイルセーフ制御の結果が受信される。ステップ189では、フェイルセーフ制御による処置が完了したか否かが判定される。フェイルセーフ制御が完了した場合、一連の処理を終了する。一方、フェイルセーフ制御が完了していない場合、ステップ188へ戻り、フェイルセーフ制御の完了を待つ。
【0084】
この実施形態によると、車両10のナビゲーションシステムのインターフェイスを利用して、異常の通報と、異常に対する対策の指示とを含むコミュニケーションが、車両10の使用者とサービスセンタ40との間で可能となる。車両10が異常状態となった場合、使用者が慌ててしまい適切な対処ができない可能性がある。しかし、この実施形態によると、サービスセンタ40における設定によって適切なフェイルセーフ制御が強制的に実行される。さらに、車両10の使用者に対しても、サービスセンタ40からの指示による支援が提供されるから、適切な処置が可能となる。
【0085】
また、この実施形態では、なりすましなどの不正な行為による不具合を防止するために、車両10とサービスセンタ40との両方において相互の認証処理が実行される。このため、不正なフェイルセーフ制御を阻止することができる。また、車両10に搭載されたイモビライザの暗号演算と同じアルゴリズムを使って認証処理を実行することができる。
【0086】
また、異常の検出、およびフェイルセーフ制御のために、ダイアグ端末機20のために用意されたコマンドを利用しているから、既存の車両制御ソフトウエアに大きな変更を行わなくてもアクチュエータの駆動などが可能である。
【0087】
(他の実施形態)
以上、本発明の好ましい実施形態について説明したが、本発明は上述した実施形態に何ら制限されることなく、本発明の主旨を逸脱しない範囲において種々変形して実施することが可能である。上記実施形態の構造は、あくまで例示であって、本発明の範囲はこれらの記載の範囲に限定されるものではない。本発明の範囲は、特許請求の範囲の記載によって示され、さらに特許請求の範囲の記載と均等の意味及び範囲内での全ての変更を含むものである。
【0088】
例えば、制御装置が提供する手段と機能は、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組合せによって提供することができる。例えば、制御装置をアナログ回路によって構成してもよい。
【符号の説明】
【0089】
1 車両用制御装置、10 車両、11 LAN、12 盗難防止ECU、13 エンジンECU。14 変速機ECU、15 ブレーキECU、16 ナビECU、17 入出力装置、18 通信端末。19 通報スイッチ、20 ダイアグ端末機、30 広域ネットワーク、40 サービスセンタ、41 通信端末、42 制御装置、43 車両データベース(VHDB)、44 フェイルセーフ制御データベース(FSDB)。
【特許請求の範囲】
【請求項1】
車両における異常の種別および前記車両の状態に基づいて、前記車両の状態に応じて異なるフェイルセーフ制御と前記車両の使用者に対する指示とを設定する設定手段(161−170、181−187)と、
前記車両において前記フェイルセーフ制御を実行する実行手段(171)と、
前記指示を使用者に通知する通知手段(171)とを備えることを特徴とする車両用制御装置。
【請求項2】
前記車両の状態には、前記車両の位置が含まれていることを特徴とする請求項1に記載の車両用制御装置。
【請求項3】
前記車両は、前記車両の位置を示すデータを提供するナビゲーション装置(16)を備えることを特徴とする請求項2に記載の車両用制御装置。
【請求項4】
前記設定手段(161−170、181−187)は、
前記車両に設けられ、前記車両の異常を検出する異常検出手段(162−164)と、
前記車両に設けられ、前記車両の状態を検出する状態検出手段(161)と、
前記車両に設けられ、前記異常の種別と、前記車両の状態とを送信する異常送信手段(165、169)と、
前記車両と通信回線を介して接続されたサービスセンタに設けられ、前記異常の種別と、前記車両の状態とを受信する異常受信手段(181、185)と、
前記サービスセンタに設けられ、複数の異常の種別と、複数の車両の状態とに関連付けて、複数のフェイルセーフ制御と複数の指示とを記録したデータベース(44)と、
前記異常受信手段によって受信された前記異常の種別と前記車両の状態とに基づいて、前記データベースを検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段(186)と、
前記抽出手段により抽出された前記フェイルセーフ制御と前記指示とを前記車両に送信する制御送信手段(187)と、
前記車両に設けられ、前記フェイルセーフ制御と前記指示とを受信する制御受信手段(170)とを備えることを特徴とする請求項3に記載の車両用制御装置。
【請求項5】
前記実行手段は、前記車両の整備作業のために予め用意された制御コマンドによって前記フェイルセーフ制御を実行することを特徴とする請求項4に記載の車両用制御装置。
【請求項6】
前記異常検出手段は、前記車両の整備作業のために予め用意された診断コマンドによって前記車両の異常を検出することを特徴とする請求項4または請求項5に記載の車両用制御装置。
【請求項7】
前記異常検出手段は、前記車両の使用者からの要請を入力する入力手段(17、19)を備えることを特徴とする請求項4から請求項6のいずれかに記載の車両用制御装置。
【請求項8】
前記状態検出手段は、前記車両に設けられたLANに流れるデータから前記車両の状態を取得することを特徴とする請求項4から請求項7のいずれかに記載の車両用制御装置。
【請求項9】
さらに、
前記サービスセンタに設けられ、前記車両が正規の車両であることを判定する車両判定手段(182−183)と、
前記車両に設けられ、前記サービスセンタが正規のサービスセンタであることを判定するサービスセンタ判定手段(167、168)とを備え、
正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、前記実行手段と前記通知手段とが機能することを特徴とする請求項4から請求項8のいずれかに記載の車両用制御装置。
【請求項10】
前記車両判定手段(182−183)と前記サービスセンタ判定手段(167、168)とは、前記車両に搭載された盗難防止装置(12)が提供する認証機能によって提供されていることを特徴とする請求項9に記載の車両用制御装置。
【請求項11】
さらに、前記車両の異常が検出されないとき、前記フェイルセーフ制御による前記車両に搭載された機器の駆動を制限する制限手段を備え、
前記実行手段は、前記制限手段による制限を解除して、前記フェイルセーフ制御を実行することを特徴とする請求項1から請求項10のいずれかに記載の車両用制御装置。
【請求項1】
車両における異常の種別および前記車両の状態に基づいて、前記車両の状態に応じて異なるフェイルセーフ制御と前記車両の使用者に対する指示とを設定する設定手段(161−170、181−187)と、
前記車両において前記フェイルセーフ制御を実行する実行手段(171)と、
前記指示を使用者に通知する通知手段(171)とを備えることを特徴とする車両用制御装置。
【請求項2】
前記車両の状態には、前記車両の位置が含まれていることを特徴とする請求項1に記載の車両用制御装置。
【請求項3】
前記車両は、前記車両の位置を示すデータを提供するナビゲーション装置(16)を備えることを特徴とする請求項2に記載の車両用制御装置。
【請求項4】
前記設定手段(161−170、181−187)は、
前記車両に設けられ、前記車両の異常を検出する異常検出手段(162−164)と、
前記車両に設けられ、前記車両の状態を検出する状態検出手段(161)と、
前記車両に設けられ、前記異常の種別と、前記車両の状態とを送信する異常送信手段(165、169)と、
前記車両と通信回線を介して接続されたサービスセンタに設けられ、前記異常の種別と、前記車両の状態とを受信する異常受信手段(181、185)と、
前記サービスセンタに設けられ、複数の異常の種別と、複数の車両の状態とに関連付けて、複数のフェイルセーフ制御と複数の指示とを記録したデータベース(44)と、
前記異常受信手段によって受信された前記異常の種別と前記車両の状態とに基づいて、前記データベースを検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段(186)と、
前記抽出手段により抽出された前記フェイルセーフ制御と前記指示とを前記車両に送信する制御送信手段(187)と、
前記車両に設けられ、前記フェイルセーフ制御と前記指示とを受信する制御受信手段(170)とを備えることを特徴とする請求項3に記載の車両用制御装置。
【請求項5】
前記実行手段は、前記車両の整備作業のために予め用意された制御コマンドによって前記フェイルセーフ制御を実行することを特徴とする請求項4に記載の車両用制御装置。
【請求項6】
前記異常検出手段は、前記車両の整備作業のために予め用意された診断コマンドによって前記車両の異常を検出することを特徴とする請求項4または請求項5に記載の車両用制御装置。
【請求項7】
前記異常検出手段は、前記車両の使用者からの要請を入力する入力手段(17、19)を備えることを特徴とする請求項4から請求項6のいずれかに記載の車両用制御装置。
【請求項8】
前記状態検出手段は、前記車両に設けられたLANに流れるデータから前記車両の状態を取得することを特徴とする請求項4から請求項7のいずれかに記載の車両用制御装置。
【請求項9】
さらに、
前記サービスセンタに設けられ、前記車両が正規の車両であることを判定する車両判定手段(182−183)と、
前記車両に設けられ、前記サービスセンタが正規のサービスセンタであることを判定するサービスセンタ判定手段(167、168)とを備え、
正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、前記実行手段と前記通知手段とが機能することを特徴とする請求項4から請求項8のいずれかに記載の車両用制御装置。
【請求項10】
前記車両判定手段(182−183)と前記サービスセンタ判定手段(167、168)とは、前記車両に搭載された盗難防止装置(12)が提供する認証機能によって提供されていることを特徴とする請求項9に記載の車両用制御装置。
【請求項11】
さらに、前記車両の異常が検出されないとき、前記フェイルセーフ制御による前記車両に搭載された機器の駆動を制限する制限手段を備え、
前記実行手段は、前記制限手段による制限を解除して、前記フェイルセーフ制御を実行することを特徴とする請求項1から請求項10のいずれかに記載の車両用制御装置。
【図1】
【図2】
【図2】
【公開番号】特開2012−220286(P2012−220286A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2011−84844(P2011−84844)
【出願日】平成23年4月6日(2011.4.6)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願日】平成23年4月6日(2011.4.6)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
[ Back to top ]