車両監査装置およびそれを用いた車両制御システム
【課題】制御対象に対する機能ドメイン制御手段による挙動制御の正当性を正しく判定し、機能ドメイン制御手段の冗長系の複雑化を防止する車両監査装置およびそれを用いた車両制御システムを提供する。
【解決手段】イントラボックス100は、タイヤ70の挙動を制御するステアリング制御装置30およびブレーキ制御装置40とは独立して設置されている。イントラボックス100の挙動情報取得手段210は、各種センサの検出信号等から車両の実際の挙動情報を取得する。監査手段240は、車両の実挙動情報に基づいて、ステアリング制御装置30およびブレーキ制御装置40のタイヤ70に対する挙動制御の正当性を判定する。ステアリング制御装置30およびブレーキ制御装置40による挙動制御が異常の場合、監査手段240は、車両の挙動異常を解消するように、ステアリング制御装置30およびブレーキ制御装置40に対して挙動制御の指令値を出す。
【解決手段】イントラボックス100は、タイヤ70の挙動を制御するステアリング制御装置30およびブレーキ制御装置40とは独立して設置されている。イントラボックス100の挙動情報取得手段210は、各種センサの検出信号等から車両の実際の挙動情報を取得する。監査手段240は、車両の実挙動情報に基づいて、ステアリング制御装置30およびブレーキ制御装置40のタイヤ70に対する挙動制御の正当性を判定する。ステアリング制御装置30およびブレーキ制御装置40による挙動制御が異常の場合、監査手段240は、車両の挙動異常を解消するように、ステアリング制御装置30およびブレーキ制御装置40に対して挙動制御の指令値を出す。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両に搭載された制御対象に対する機能ドメイン制御手段による挙動制御の正当性を監査する車両監査装置およびそれを用いた車両制御システムに関する。
【背景技術】
【0002】
従来、車両に搭載された制御対象の挙動を、例えば駆動系、制動系等の機能ドメイン毎に制御する車両制御システムが知られている(例えば、特許文献1から4参照。)。
このような車両制御システムにおいては、制御対象、あるいは制御対象の挙動を制御する制御手段の異常を監視し、異常に対して適切な処理を実施する必要がある。
【0003】
例えば、特許文献2では、パワーステアリングの操舵アシスト制御手段のメイン制御手段とサブ制御手段とが互いの制御の異常を監視している。
特許文献3では、各制御手段が自身の異常を検出し、走行環境に応じたフェールセーフ処理を実施する。
【0004】
特許文献4では、車両の実際の加減速状態が運転者の意図したものであるかを制御手段が判定し、動力源に対してフェールセーフ処理を実施する。
【特許文献1】特開2006−297994号公報
【特許文献2】特開2004−122943号公報
【特許文献3】特開2006−290168号公報
【特許文献4】特開2005−291173号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、このように制御対象の挙動を制御する制御手段が互いに、または制御手段自身の異常を検出する構成では、制御手段が異常の場合に制御対象の異常を正しく検出できないという問題がある。
【0006】
また、制御手段の安全性を確保するために、制御手段自身が複雑な冗長系を保持する必要がある。
本発明は、上記問題を解決するためになされたものであり、制御対象に対する機能ドメイン制御手段による挙動制御の正当性を正しく判定し、機能ドメイン制御手段の冗長系の複雑化を防止する車両監査装置およびそれを用いた車両制御システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
請求項1から19に記載の発明によると、制御対象の挙動を機能ドメイン毎に制御する機能ドメイン制御手段とは独立して設けられた監査手段が、機能ドメイン制御手段による挙動制御の正当性を車両の挙動情報に基づいて監査する。
【0008】
ここで、監査手段が機能ドメイン制御手段とは独立して設けられているとは、機能ドメイン制御手段による挙動制御とは切り離され、機能ドメイン制御手段による挙動制御を監査する監査手段の監査機能が独立して設けられていることを表している。つまり、監査手段を構成するハードウェアとしての処理装置が、必ずしも機能ドメイン制御手段を構成する処理装置とは異なる別のものであることを表しているのではない。例えば、機能ドメイン制御手段および監査手段の少なくとも一部が、同じ処理装置により構成されてもよい。処理装置としては、例えば制御装置としてのCPU、記憶装置としてのROM、RAM等が考えられる。
【0009】
これにより、機能ドメイン制御手段ではなく、機能ドメイン制御手段とは独立した第三者としての監査手段が機能ドメイン制御手段による挙動制御の正当性をシステム全体の観点から判断するので、機能ドメイン制御手段による挙動制御の正当性、言い換えれば異常を正しく判定できる。これにより、挙動制御の異常状態に応じて退避走行等の適切なフェールセーフ処理を実施できる。
【0010】
また、例えば、複数の機能ドメイン制御手段が同じ制御対象の挙動を連携して制御する構成において、これら機能ドメイン制御手段においてそれぞれ挙動制御の正当性を判定する場合に比べ、機能ドメイン制御手段による挙動制御の監査機能を監査手段に集約して統合する方が、監査機能のハード量およびソフト量を低減できる。
【0011】
また、機能ドメイン制御手段による挙動制御の監査機能が機能ドメイン制御手段とは独立した監査手段に集約されるので、機能ドメイン制御手段の冗長系を複雑化することなく機能ドメイン制御手段による挙動制御の安全性を確保できる。これにより、機能ドメイン制御手段のハード量およびソフト量の増加を防止できる。
【0012】
請求項2に記載の発明によると、安全性要求の高い機能ドメイン制御手段と安全性要求の低い機能ドメイン制御手段とが共有する共有情報を記憶している記憶手段に対し、安全性要求の低い機能ドメイン制御手段からの共有情報の変更を情報保護手段が制限する。
【0013】
これにより、安全性要求の低い機能ドメイン制御手段から共有情報に対して想定外の変更がなされることを防止できる。
請求項3に記載の発明によると、安全性要求の高い機能ドメイン制御手段のうちの少なくとも一部が安全性要求の低い機能ドメイン制御手段から提供される情報に基づき挙動制御の制御パラメータを調整する。この場合、機能ドメイン制御手段が自身の異常を検出する従来の方式では、安全性要求の高い機能ドメイン制御手段の安全性を確保するために安全性要求の低い機能ドメイン制御手段の安全性を上げる必要がある。
【0014】
しかし、本発明では、監査手段が安全性要求の低い機能ドメイン制御手段による挙動制御の正当性を監査し安全性要求の低い機能ドメイン制御手段の冗長機能を果たすので、従来の安全性要求の低い機能ドメイン制御手段の冗長系を複雑化することなく機能ドメイン制御手段の安全性が上昇する。これにより、安全性要求の低い機能ドメイン制御手段のハード量およびソフト量を増加することなく、安全性要求の高い機能ドメイン制御手段の安全性を確保できる。
【0015】
請求項4に記載の発明によると、監査手段は、複数の機能ドメイン制御手段から一つの制御対象に実施される挙動制御の正当性を監査する。
これにより、一つの制御対象に対して複数の機能ドメイン制御手段が異なる制御パラメータで挙動制御を行う場合に、制御対象に対して相反する挙動制御が実施され挙動制御が衝突したことを容易に検出できる。そして、監査手段は挙動制御の衝突を解消するために適切な処理を機能ドメイン制御手段に指令できる。
【0016】
請求項5に記載の発明によると、車両に対して所定の挙動を要求する挙動要求に基づいて車両の挙動を挙動推定手段が推定し、車両の推定挙動と実挙動とを比較し車両挙動が異常であるかを挙動異常判定手段が判定する。
【0017】
これにより、車両の実挙動だけでは異常と判定できない場合にも、推定挙動と比較することにより想定外の車両の挙動異常を検出できる。ここで、挙動推定手段が推定する車両挙動は、挙動要求に基づいた正常または異常な車両挙動のいずれであってもよい。どちらの車両挙動を推定しても、実挙動と比較することにより車両挙動の異常を判定できる。
【0018】
請求項6に記載の発明によると、挙動推定手段は、車両に対する挙動要求に応じた車両挙動を物理モデルに基づいて推定する。これにより、挙動要求の値に関わらず挙動要求に基づいた車両挙動を同じ精度で推定できる。
【0019】
請求項7に記載の発明によると、挙動推定手段は、車両に対する挙動要求に応じた車両挙動を車両挙動の異常パターンのデータベースに基づいて推定する。データベースを参照するという簡単な作業により、車両挙動を容易に推定できる。
【0020】
請求項8に記載の発明によると、車両挙動が異常であると挙動異常判定手段が判定すると、車両挙動の異常を引き起こす可能性があると制御異常推定手段が推定した箇所の挙動制御を制御遮断手段が遮断する。
【0021】
これにより、車両の挙動異常を引き起こす可能性のある挙動制御を、挙動異常から大まかに推定した範囲で速やかに遮断できる。その結果、車両の挙動異常を引き起こす可能性のある機能ドメイン制御手段による挙動制御が他の正常な挙動制御に与える影響を速やかに排除できる。
【0022】
請求項9に記載の発明によると、車両挙動の異常を引き起こす可能性のある機能ドメイン制御手段による挙動制御の箇所を制御異常特定手段が制御異常推定手段よりもさらに詳細に特定する。そして、制御遮断手段は、制御異常特定手段が特定した箇所の挙動制御を遮断するとともに、制御異常推定手段の推定結果に基づいて遮断した箇所の挙動制御を復帰させる。
【0023】
これにより、車両の挙動異常を引き起こす挙動制御の範囲を極力狭め、正常範囲と異常範囲との境界を明確にする。その結果、メンテナンスする箇所を容易に特定できる。
また、正常な挙動制御の範囲が極力広くなるので、正常範囲の挙動制御を使用して適切なフェールセーフ処理を実施できる。
【0024】
請求項10に記載の発明によると、一つの前記制御対象の挙動を制御している複数の機能ドメイン制御手段による挙動制御のうちの一部が制御遮断手段により遮断された場合、他の機能ドメイン制御手段による挙動制御により制御対象の挙動を制御可能であれば、遮断された箇所の挙動制御を補う他の挙動制御の制御パラメータを制御パラメータ算出手段が算出する。ここで、一つの制御対象とは、1個の制御対象の場合もあるし、同種の複数の制御対象の場合もある。
【0025】
これにより、遮断されていない正常な挙動制御により極力適切なフェールセーフ処理を実施できる。
請求項11に記載の発明によると、挙動情報取得手段と監査手段とを一組として複数組が互いに離れて車両に設置される。
【0026】
これにより、例えば事故等により二組のうちの一方の監査機能が停止しても、正常な他方の組で監査機能を継続できる。
請求項12に記載の発明によると、挙動情報取得手段と監査手段とを一組とする複数組のうち少なくとも二組は、車両において冗長系を構成する異なる電源系から電力を供給され、車両において冗長系を構成する異なる通信系により通信する。
【0027】
これにより、一方の電源系または通信系に異常が発生しても、正常な他方の電源系または通信系を使用する挙動情報取得手段と監査手段との組により監査機能を継続できる。
請求項13に記載の発明によると、挙動情報取得手段と監査手段とを一組として複数組を備える場合、複数の監査手段のそれぞれは、自身を含む複数の監査手段の監査結果と、機能ドメイン制御手段による監査結果とから、他の監査手段および機能ドメイン制御手段の異常を多数決判定手段により判定する。
【0028】
これにより、機能ドメイン制御手段の異常だけでなく、監査手段の異常も判定できる。
ここで、例えば、クルーズコントロールをオンにした状態で濡れた路面を走行中にスリップしてフューエルカットされる場合など、制御対象に対する機能ドメイン制御手段による個々の挙動制御が正常であっても、車両の走行環境によって車両の挙動が一時的に異常になることがある。
【0029】
そこで請求項14に記載の発明によると、車両の挙動が異常であり、機能ドメイン制御手段による挙動制御が正常である場合、挙動制御調整手段が機能ドメイン制御手段に設定された挙動制御の優先順位に基づいて挙動制御の実施を調整し、車両の挙動異常を緩和する。
【0030】
これにより、車両を極力安全に走行させることができる。このような処理は、機能ドメイン制御手段とは独立した第三者としての監査手段が車両の挙動情報に基づいて機能ドメイン制御手段による挙動制御の正当性を監視しているからこそ可能である。
【0031】
請求項15に記載の発明によると、車両監査装置は、機能ドメイン制御手段に電力を供給する電源とは異なる電源から電力を供給される。
これにより、車両監査装置は、機能ドメイン制御手段に電力を供給する電源の動作不良の影響を受けることなく監査処理を実施できる。
【0032】
請求項16に記載の発明によると、車両監査装置のインタフェース手段は、機能ドメイン制御手段が接続する信号系とは異なる信号系と接続し、車両の挙動情報の少なくとも一部を挙動情報取得手段に供給する。
【0033】
これにより、監査手段は、機能ドメイン制御手段が接続する信号系の動作不良の影響を受けることなく、インタフェース手段を介して取得した挙動情報に基づいて監査処理を実施できる。
【0034】
請求項17に記載の発明によると、監査装置は、機能ドメイン制御手段を構成する処理装置とは異なる処理装置により構成されている。
これにより、監査手段は、機能ドメイン制御手段の処理装置の動作不良にかかわらず、例えば演算または情報の記憶、読み出しを実施できる。
【0035】
請求項18に記載の発明によると、監査手段が挙動情報に基づいて車両挙動量を推定するアルゴリズムは、機能ドメイン制御手段が制御対象に対する挙動制御量を算出するアルゴリズムと異なっている。
【0036】
これにより、監査手段または機能ドメイン制御手段においてソフトウェアによる制御異常が発生したときに、監査手段および機能ドメイン制御手段の両方で同じ原因でソフトウェアによる制御異常が発生することを防止できる。
【0037】
尚、本発明に備わる複数の手段の各機能は、構成自体で機能が特定されるハードウェア資源、プログラムにより機能が特定されるハードウェア資源、またはそれらの組み合わせにより実現される。また、これら複数の手段の各機能は、各々が物理的に互いに独立したハードウェア資源で実現されるものに限定されない。
【発明を実施するための最良の形態】
【0038】
以下、本発明の実施の形態を図に基づいて説明する。
[第1実施形態]
本発明の第1実施形態による車両監査装置を用いた車両制御システムを図1に示す。
【0039】
(車両制御システム10)
車両制御システム10は、電源制御装置(Battery ECU)20、ステアリング制御装置(Steering ECU)30、ブレーキ制御装置(Brake ECU)40、車体制御装置(Body ECU)50、ナビゲーション制御装置(Navigation ECU)60、イントラボックス(Intra Box)100等から構成されている。電源制御装置20、ステアリング制御装置30、ブレーキ制御装置40、車体制御装置50、ナビゲーション制御装置60は、それぞれ機能ドメインである電源制御、ステアリング制御、ブレーキ制御、車体制御、ナビゲーション制御毎に制御対象の挙動を制御する。
【0040】
電源制御装置20、ステアリング制御装置30、ブレーキ制御装置40、車体制御装置50、ナビゲーション制御装置60は、特許請求の範囲に記載した機能ドメイン制御手段に相当し、イントラボックス100は、特許請求の範囲に記載した車両監査装置に相当する。
【0041】
機能ドメイン制御手段のうち、例えばステアリング制御装置30およびブレーキ制御装置40は、高い安全性が要求される高安全性要求の装置である。車体制御装置50およびナビゲーション制御装置60はステアリング制御装置30およびブレーキ制御装置40よりも安全性の要求が低い低安全性要求の装置である。
【0042】
電源制御装置20は、ステアリング制御装置30、ブレーキ制御装置40およびイントラボックス100に電力を供給する電源を制御する。電源制御装置20による電源の制御とは、電源からの電力供給量、電源に蓄積する電力量、入出力時間特性の異なる電源が存在する場合には入出力時間特性に応じた電源の切り替え等である。車体制御装置50およびナビゲーション制御装置60への電力供給は、別の電源系の電源制御装置が制御する。
【0043】
本実施形態では、前述したように電源制御装置20を機能ドメイン制御手段として規定した。これに対し、電源制御装置20が単に供給電力を制御するだけならば、機能ドメイン制御手段に該当しないこともある。
【0044】
また、図1では、ステアリング制御装置30、ブレーキ制御装置40およびイントラボックス100に電力を供給する電源系は1系統であるが、2重系にしてもよい。2重系の場合、電源制御装置20も各電源系に設置される。この場合、車体制御装置50およびナビゲーション制御装置60は、2重系の一方の電源系から電力を供給されてもよいし、これとは別の他の電源系から電力を供給されてもよい。
【0045】
図1の構成に対し、図2の車両制御システム12のように、ステアリング制御装置30およびブレーキ制御装置40等の機能ドメイン制御手段に電力を供給する電源とは異なる電源80からイントラボックス100に電力を供給し、機能ドメイン制御手段に電力を供給する電源系と、イントラボックス100に電力を供給する電源系とを別系統にしてもよい。これにより、機能ドメイン制御手段の電源系に動作不良が生じても、イントラボックス100は監査処理を実施できる。
【0046】
また、電源80は、イントラボックス100の専用電源であってもよいし、機能ドメイン制御手段以外の他の装置に電力を供給する電源と共有であってもよい。電源80がイントラボックス100の専用電源である場合、電源80およびイントラボックス100で車両監査装置を構成してもよい。
【0047】
ステアリング制御装置30は、ステアリング操舵角度を検出する角度検出センサの検出信号に基づき、各タイヤ70の操舵角度を制御する。
ブレーキ制御装置40は、ブレーキペダルの踏込量を検出するセンサの検出信号に基づき、各タイヤ70の制動量を制御する。
【0048】
車体制御装置50は、車両のドア、空調等を制御する。ナビゲーション制御装置60は、例えば、GPS等の衛星測位システムおよび地図データに基づき、車両の目的地までの経路を探索し最適な経路を案内する。
【0049】
(イントラボックス100)
イントラボックス100は、インタフェース手段200、挙動情報取得手段210、情報保護手段220(図3参照)および監査手段240等から構成されている。インタフェース手段200、挙動情報取得手段210、情報保護手段220および監査手段240は、図示しないCPU、ROM、RAM、およびフラッシュメモリ等の書換可能な不揮発性メモリ等により構成されている。
【0050】
イントラボックス100を構成する上記CPU、ROM、RAM、およびフラッシュメモリ等のハードウェアとしての処理装置は、機能ドメイン制御手段とは異なる独立した処理装置で構成されている。
【0051】
これにより、機能ドメイン制御手段の処理装置に動作不良が生じても、イントラボックス100は、動作不良が生じている機能ドメイン制御手段の処理装置の影響を受けずに監査処理を実施できる。
【0052】
また、イントラボックス100が車両挙動量を推定するアルゴリズムと、機能ドメイン制御手段が制御対象に対する挙動制御量を算出するアルゴリズムとは異なっていることが望ましい。さらに、イントラボックス100と機能ドメイン制御手段とにおいて、アルゴリズムを開発するモデルツール、コンパイラ等のソフトウェア生成ツール、ソフトウェアから機械語に変換する自動コード生成ツール、設計者、および設計思想等のソフトウェア仕様およびソフトウェア開発環境がそれぞれ異なっていることが望ましい。
【0053】
これにより、イントラボックス100または機能ドメイン制御手段においてソフトウェアによる制御異常が発生したときに、イントラボックス100および機能ドメイン制御手段の両方で同じ原因でソフトウェアによる制御異常が発生することを防止できる。
【0054】
(インタフェース手段200)
インタフェース手段200は、イントラボックス100が機能ドメイン制御手段と通信する通信系のインタフェース手段(図1、2では図示していない。)とは別に設けられている。インタフェース手段200は、機能ドメイン制御手段が接続している信号系とは異なる信号系から各種センサの信号を入力する。これにより、機能ドメイン制御手段が接続する信号系の動作不良の影響を受けることなく、イントラボックス100は、インタフェース手段を介して各種センサの検出信号を入力することができる。
【0055】
インタフェース手段200が接続する信号系は、各種センサの検出信号を入力する信号系に限らず、例えば機能ドメイン制御手段が接続している通信系とは異なる通信系であってもよい。イントラボックス100は、機能ドメイン制御手段が接続している通信系とは異なる通信系を介して、機能ドメイン制御手段が接続している通信系の動作不良の影響を受けることなくデータの送受信を実施できる。
【0056】
イントラボックス100を以下の各手段として機能させる制御プログラムは、イントラボックス100のROM、フラッシュメモリ等の記憶手段に記憶されている。
(挙動情報取得手段210)
挙動情報取得手段210は、インタフェース手段200が入力した各種センサの検出信号等から車両の実際の挙動情報を取得する。
【0057】
(情報保護手段220)
図3に示すように、高安全性要求のステアリング制御装置30およびブレーキ制御装置40と低安全性要求の車体制御装置50とは共有メモリ230を参照可能である。
【0058】
しかし、低安全性要求の車体制御装置50が自由に共有メモリ230を参照し記憶されている共有情報を書き換えて変更すると、共有情報を利用するステアリング制御装置30およびブレーキ制御装置40の安全性を確保できないことがある。
【0059】
そこで、情報保護手段220は、低安全性要求の車体制御装置50に対し、共有メモリ230への読み出しは許可するが、書き込みは禁止する参照制限を設定する。この制限は、共有メモリ230の一部の記憶域に対してでもよいし、共有メモリ230の全記憶域に対してでもよい。これにより、低安全性要求の車体制御装置50と情報を共有する高安全性要求のステアリング制御装置30およびブレーキ制御装置40の安全性を確保できる。
【0060】
これに対し、例えば低安全性要求の車体制御装置50からの書き込みが許可されている記憶域において、車体制御装置50が書き込んだ情報を高安全性要求のステアリング制御装置30またはブレーキ制御装置40が読み出し、タイヤ70に対する挙動制御の制御パラメータを調整することがある。
【0061】
この場合、本実施形態では、監査手段240が低安全性要求の車体制御装置50による挙動制御の正当性を監査し車体制御装置50の冗長機能を果たすので、車体制御装置50の冗長系を複雑化することなく車体制御装置50の安全性が上昇している。これにより、車体制御装置50のハード量およびソフト量を増加することなく、高安全性要求のステアリング制御装置30およびブレーキ制御装置40の安全性を確保できる。
【0062】
(監査手段240)
監査手段240は、挙動情報取得手段210が取得した車両の挙動情報に基づいて、例えば機能ドメイン制御手段であるステアリング制御装置30およびブレーキ制御装置40のタイヤ70に対する挙動制御の正当性を判定する。監査手段240は、タイヤ70に対するステアリング制御装置30またはブレーキ制御装置40の挙動制御により車両の挙動が異常になったと判断すると、ステアリング制御装置30またはブレーキ制御装置40による挙動制御が正当ではなく異常であると判定する。そして監査手段240は、車両の挙動異常を解消するように、ステアリング制御装置30またはブレーキ制御装置40に対して挙動制御の指令値を出す。
【0063】
このように、個々の機能ドメイン制御手段ではなく、機能ドメイン制御手段とは独立した第三者としての監査手段240が機能ドメイン制御手段による挙動制御の正当性を判断するので、機能ドメイン制御手段による挙動制御の異常を正しく検出できる。これにより、挙動制御の異常状態に応じて適切なフェールセーフ処理を実施できる。
【0064】
また、機能ドメイン制御手段による挙動制御の監査機能を機能ドメイン制御手段とは独立した監査手段240に集約するので、従来の機能ドメイン制御手段の冗長系を複雑化することなく、機能ドメイン制御手段の安全性を確保できる。
【0065】
監査手段240は、図1に示すように、一つの制御対象である各タイヤ70の挙動を制御する複数の機能ドメイン制御手段であるステアリング制御装置30およびブレーキ制御装置40による挙動制御の正当性を監査することにより、ステアリング制御装置30とブレーキ制御装置40とがタイヤ70に対して相反する挙動制御を実施したことを容易に検出できる。その結果、タイヤ70に対するステアリング制御装置30およびブレーキ制御装置40の挙動制御を調整し、車両の挙動異常を低減できる。
【0066】
また監査手段240は、一つの制御対象の挙動を制御する一つの機能ドメイン制御手段による挙動制御の正当性を監査してもよい。
(挙動異常判定、異常制御箇所遮断)
次に、車両挙動に基づいて機能ドメイン制御手段による挙動制御の正当性を判定し、挙動制御の異常箇所を遮断する監査手段240の各手段として、挙動要求取得手段250、挙動推定手段252、実挙動検出手段254、挙動異常判定手段256、制御異常推定手段260、制御異常特定手段262、制御遮断手段264について図4に基づいて説明する。
【0067】
(挙動要求取得手段250)
挙動要求取得手段250は、運転者によるステアリング、アクセルペダル、ブレーキペダル等の操作、あるいはクルーズコントロール等の操作装置からの指示に基づき、車両に対する挙動要求を取得する。
【0068】
(挙動推定手段252)
挙動推定手段252は、挙動要求取得手段250が取得した車両に対する挙動要求に基づいて車両の挙動を推定する。挙動推定手段252は、例えば、以下のいずれかの方法で車両挙動を推定する。
【0069】
(1)物理モデル
挙動推定手段252は、挙動要求取得手段250が取得した車両の挙動要求を入力値として、予め設定している車両の物理モデルから車両の正常挙動を推定する。
【0070】
挙動推定手段252は、物理モデルから推定挙動を取得することにより、挙動要求の値に関わらず挙動要求に基づいた車両挙動を同じ精度で推定できる。
(2)データベース
挙動推定手段252は、シミュレーション等により、車両の挙動要求に対する車両挙動の異常パターンを予めデータベースとして記憶手段に記憶しておく。そして、挙動推定手段252は、挙動要求を入力値としてデータベースを参照し、車両の異常パターンの推定挙動を取得する。挙動要求の入力値がデータベースを参照するための参照キーと一致しない場合には、挙動要求の入力値を中間値とする例えば2個の参照キーにより推定挙動値を取得し、取得した推定挙動値の平均値を挙動要求の入力値に対する推定挙動とする。
【0071】
挙動推定手段252は、データベースを参照するという簡単な作業により、車両挙動を容易に推定できる。
データベースに記憶する車両挙動のパターンとして、異常パターンではなく正常パターンを記憶してもよい。
【0072】
(実挙動検出手段254)
実挙動検出手段254は、各種センサの検出信号から、車両の実際の挙動を検出する。
(挙動異常判定手段256)
挙動異常判定手段256は、挙動推定手段252が推定した車両の正常な推定挙動または異常な推定挙動と、実挙動検出手段254が検出した車両の実挙動とを比較する。正常な推定挙動の場合には、推定挙動に対して実挙動の挙動方向、挙動量が異常であれば車両挙動が異常であると判定する。異常な推定挙動の場合には、推定挙動と実挙動とが一致していれば車両挙動が異常であると判定する。車両挙動が異常であれば、挙動の異常な制御対象の挙動を制御した機能ドメイン制御手段による挙動制御が異常であると判断できる。
【0073】
(制御異常推定手段260)
制御異常推定手段260は、物理モデルまたはデータベースから推定した推定挙動と実挙動とを比較し、挙動異常判定手段256が車両挙動の異常であると判定すると、車両挙動の異常を引き起こした可能性のある機能ドメイン制御手段による挙動制御を推定挙動と実挙動との差から推定する。例えば図4では、制御異常推定手段260は、上位400および下位402、404のうち上位400側の挙動制御を異常箇所として推定する。
【0074】
(制御異常特定手段262)
制御異常特定手段262は、挙動異常判定手段256が車両挙動の異常であると判定すると、機能ドメイン制御手段から、制御対象に対する挙動制御値、それに対する制御対象の挙動値等を取得する。制御異常特定手段262は、制御対象に対する挙動制御値と、それに対する制御対象の挙動値とを、挙動異常判定手段256の判定結果に関わらず常時取得してもよい。
【0075】
そして、制御異常特定手段262は、制御対象に対する挙動制御値と、それに対する制御対象の挙動値とを比較し、車両挙動の異常を引き起こした可能性のある機能ドメイン制御手段による挙動制御の箇所を制御異常推定手段260よりもさらに絞り込んで特定する。例えば図4では、制御異常特定手段262は、上位400よりも下位402、404に絞り込んで挙動制御の異常箇所を特定する。
【0076】
(制御遮断手段264)
制御遮断手段264は、車両挙動に異常が発生すると、まず、制御異常推定手段260が大まかに推定した機能ドメイン制御手段の異常箇所(図4の上位400)の挙動制御を遮断する。これにより、車両挙動の異常を引き起こした挙動制御が他の正常な挙動制御に与える影響を速やかに排除できる。
【0077】
さらに、制御遮断手段264は、制御異常特定手段262が特定した箇所(図4の下位402、404)の挙動制御を遮断するとともに、制御異常推定手段260の推定結果に基づいて遮断した箇所(図4の上位400)の挙動制御を復帰させる。
【0078】
これにより、制御遮断手段264は、車両挙動の異常を引き起こす挙動制御の範囲を極力狭め、正常範囲と異常範囲との境界を明確にする。その結果、メンテナンスする箇所を容易に特定できる。
【0079】
また、正常な挙動制御の範囲が極力広くなるので、正常範囲の挙動制御を使用して適切なフェールセーフ処理を実施できる。
また監査手段240は、車両挙動の異常を引き起こす箇所の機能ドメイン制御手段による挙動制御を単に遮断するだけでなく、図5に示す制御可能判定手段270、制御パラメータ算出手段272により、遮断した箇所の挙動制御を正常な挙動制御で補う処理を実施することが望ましい。
【0080】
(制御可能判定手段270)
ステアリング制御装置30およびブレーキ制御装置40のように、一つの制御対象であるタイヤ70の挙動を複数の機能ドメイン制御手段が制御している場合、制御可能判定手段270は、制御遮断手段264により遮断された箇所の機能ドメイン制御手段による挙動制御を他の正常な機能ドメイン制御手段による挙動制御で補えるかを判定する。
【0081】
(制御パラメータ算出手段272)
制御可能判定手段270が遮断された箇所の機能ドメイン制御手段による挙動制御を他の正常な機能ドメイン制御手段による挙動制御で補えると判定すると、制御パラメータ算出手段272は、遮断された箇所の機能ドメイン制御手段による挙動制御を補うために、正常な機能ドメイン制御手段が制御対象の挙動を制御する制御パラメータを算出する。これにより、挙動制御可能な範囲で極力適切な退避走行等のフェールセーフ処理を実施できる。
【0082】
(車両挙動異常で機能ドメイン制御手段正常)
図6に示すように、監査手段240は、挙動制御調整手段280を設けていることが望ましい。この場合、複数の機能ドメイン制御手段による挙動制御には、挙動制御の実施順序または挙動制御の制御量等の優先順位が予め設定されている。
【0083】
(挙動制御調整手段280)
挙動制御調整手段280は、車両の挙動が異常であり、機能ドメイン制御手段による挙動制御が正常である場合、予め機能ドメイン制御手段に設定された挙動制御の優先順位に基づいて挙動制御の実施を調整し、車両の挙動異常を緩和する。
【0084】
これにより、例えばクルーズコントロールをオンにした状態で濡れた路面を走行中にスリップしてフューエルカットされる場合など、制御対象に対する機能ドメイン制御手段による個々の挙動制御が正常であっても、車両の走行環境によって車両挙動が一時的に異常になることがある場合に、車両を極力安全に走行させることができる。
【0085】
(監査処理ルーチン)
次に、イントラボックス100による監査処理ルーチンのうち、異常箇所推定ルーチン、異常箇所特定ルーチン、制御パラメータ合成ルーチン、優先制御ルーチンについて、制御対象をタイヤとして図7から図10に基づいて説明する。各ルーチンにおいて「S」はステップを表している。
【0086】
(異常箇所推定ルーチン)
図7に示す異常箇所推定ルーチンは常時実行される。S500においてイントラボックス100は、前述した車両の物理モデルまたは車両挙動のデータベースから、タイヤ70の挙動要求を入力値としてタイヤの推定挙動を取得する。
【0087】
S502においてイントラボックス100は、タイヤ70の推定挙動と、センサの検出信号から取得したタイヤ70の実挙動とを比較する。正常であれば、イントラボックス100はS500に処理を戻す。
【0088】
異常であれば、S504においてイントラボックス100は、タイヤ70の挙動異常を引き起こしたステアリング制御装置30またはブレーキ制御装置40による挙動制御の異常箇所を推定する。
【0089】
そして、S506においてイントラボックス100は、S504で推定した箇所(例えば、図4の上位400)の挙動制御を遮断し、正常であると推定した挙動制御により適切なフェールセーフ処理をステアリング制御装置30およびブレーキ制御装置40に指令する。
【0090】
(異常箇所特定ルーチン)
図8に示す異常箇所特定ルーチンは、図7の異常箇所推定ルーチンと並行して常時実行されるか、あるいは図7の異常箇所推定ルーチンのS502において異常であると判定された場合に実行される。
【0091】
S510においてイントラボックス100は、タイヤ70に対するステアリング制御装置30およびブレーキ制御装置40による挙動制御の指令値と、センサの検出信号から検出した実際のタイヤ70の挙動値とを取得する。
【0092】
S512においてイントラボックス100は、タイヤ70に対する挙動制御の指令値と実際の挙動値とを比較し、その差からタイヤの挙動が異常であるかを判定する。正常であれば、イントラボックス100はS510に処理を戻す。
【0093】
タイヤの挙動が異常であれば、S514においてイントラボックス100は、挙動制御の指令値と実際の挙動値との差に基づいて、ステアリング制御装置30またはブレーキ制御装置40による挙動制御の異常箇所を異常箇所推定ルーチンよりも絞り込んで特定する。
【0094】
S516においてイントラボックス100は、S514で特定した箇所(例えば、図4の下位402、404)の挙動制御を遮断するとともに、異常箇所推定ルーチンで遮断した箇所(例えば、図4の上位400)の挙動制御の遮断を解除する。そして、正常であると特定した挙動制御により適切なフェールセーフ処理をステアリング制御装置30およびブレーキ制御装置40に指令する。
【0095】
(制御パラメータ合成ルーチン)
図9に4個のタイヤの一部の挙動が異常である場合の挙動制御の制御パラメータ合成ルーチンについて説明する。図9の制御パラメータ合成ルーチンは、タイヤ70の挙動異常が発生した場合に実行される。
【0096】
タイヤ70のいずれかに挙動異常が発生すると、S520においてイントラボックス100は、挙動異常が発生したタイヤ70に対するステアリング制御装置30およびブレーキ制御装置40の異常箇所の挙動制御を遮断した残りの挙動制御の制御ベクトル(制御パラメータ)を合成する。
【0097】
S522においてイントラボックス100は、挙動異常が発生していないタイヤ70に対する挙動制御の制御ベクトルと、S520で合成した挙動異常が発生しているタイヤ70に対する制御ベクトルとを合成する。
【0098】
S524においてイントラボックス100は、S522で合成した4個のタイヤに対する制御ベクトルの合成値に基づき、正常な3個のタイヤ70に対する挙動制御が異常な1個のタイヤ70に対する挙動制御を補い4個のタイヤ70を安全に操舵および制動して車両が安全に走行できるように、各タイヤ70に対する制御パラメータを算出する。
【0099】
ステアリング制御装置30およびブレーキ制御装置40は、イントラボックス100が算出した制御パラメータに基づいてタイヤ70の挙動を制御する。
(優先制御ルーチン)
図10に、車両挙動は異常であるが各機能ドメイン制御手段による挙動制御は正常である場合の、物理モデルやデータベースでは想定していない異常に対する優先制御ルーチンについて説明する。機能ドメイン制御手段による挙動制御には、予め実行順序または制御量について優先順位が設定されている。図10に示す優先制御ルーチンは常時実行される。
【0100】
S530においてイントラボックス100は、タイヤ70に対するステアリング制御装置30およびブレーキ制御装置40による挙動制御の指令値と、センサの検出信号から検出した実際のタイヤ70の挙動値とを取得する。
【0101】
S532においてイントラボックス100は、タイヤ70に対する挙動制御の指令値から車両挙動を推定する。
S534においてイントラボックス100は、タイヤ70に対する挙動制御の指令値と実際の挙動値とを比較し、その差からタイヤの挙動が異常であるかを判定する。正常であれば、イントラボックス100はS530に処理を戻す。
【0102】
タイヤ70の挙動が異常であれば、S536においてイントラボックス100は、タイヤ70に対する挙動制御が正常であるか異常であるかを判定する。
挙動制御が異常であるためにタイヤ70の挙動が異常であれば、S538においてイントラボックス100は、例えば異常箇所の挙動制御を遮断し、正常箇所の挙動制御により退避走行等のフェールセーフ処理を実施する。
【0103】
タイヤ70に対する挙動制御が正常であるにも関わらずタイヤ70の挙動が異常である場合、イントラボックス100は、想定外の異常が発生していると判断する。そしてイントラボックス100は、S540において車両を安全走行させるために予め設定されている優先順位を判定する。
【0104】
そして、S542においてイントラボックス100は、優先順位に基づいてタイヤ70に対するステアリング制御装置30およびブレーキ制御装置40による挙動制御を調整し、車両の挙動異常を緩和する。これにより、車両を極力安全に走行させることができる。
【0105】
[第2実施形態]
本発明の第2実施形態による車両監査装置を用いた車両制御システムを図11に示す。第2実施形態の車両制御システム14では、1個のイントラボックスではなく、複数のイントラボックス290、300で車両監査装置を構成している。
【0106】
図11では、2個のイントラボックス290、300が互いに離れて車両に設置されている。イントラボックス290は車両の前方に設置され、主に車両の前方の制御対象の挙動を制御する。イントラボックス300は車両の後方に設置され、主に車両の後方の制御対象の挙動を制御する。イントラボックス290、300は、それぞれ監査手段292、302、挙動情報取得手段294、304、多数決判定手段296、306等により構成されている。
【0107】
これにより、事故等で一方のイントラボックスが破損して作動不能になっても、正常な他方のイントラボックスにより機能ドメイン制御手段による挙動制御の正当性を監査できる。
【0108】
イントラボックス290、300は、それぞれ異なる電源系である電源310、312から電力を供給される。また、イントラボックス290、300、ならびに機能ドメイン制御手段330、332はそれぞれ通信手段としての異なる通信系320、322に接続している。イントラボックス290、300は、異なる通信系320、322により、他方のイントラボックスおよび通信系320、322に接続している機能ドメイン制御手段330、332と通信する。尚、機能ドメイン制御手段330、332の安全性要求が低い場合には、機能ドメイン制御手段330、332は通信系320、322のいずれか一方に接続してもよい。
【0109】
これにより、冗長系を構成する電源310、312、通信系320、322の一方の系が作動不能になっても、正常な他方の系でイントラボックスは監査処理を実施できる。
多数決判定手段296、306は、2個のイントラボックス290、300の監査手段292、302による監査結果と、少なくとも1個の機能ドメイン制御手段による監査結果とから、自身のイントラボックス290、300の監査手段292、302および機能ドメイン制御手段の制御の正当性を多数決で判定する。これにより、機能ドメイン制御手段の異常だけでなく、監査手段の異常も判定できる。
【0110】
[他の実施形態]
上記実施形態では、機能ドメイン制御手段を複数設置した車両制御システムについて説明した。これに対し、機能ドメイン制御手段が一つだけの車両制御システムであってもよい。このシステム構成においても、機能ドメイン制御手段が複数の場合と同じイントラボックスを使用し、監査処理を実施できる。
【0111】
上記実施形態では、イントラボックスと機能ドメイン制御手段とが異なる処理装置で構成されている例について説明した。これに対し、機能ドメイン制御手段およびイントラボックスの監査手段の少なくとも一部が、同じ処理装置により構成されてもよい。この場合にも、機能ドメイン制御手段による挙動制御を監査する監査手段の監査機能は、機能ドメイン制御手段による挙動制御とは切り離され、独立して設けられている。
【0112】
このように、本発明は、上記実施形態に限定されるものではなく、その要旨を逸脱しない範囲で種々の実施形態に適用可能である。
【図面の簡単な説明】
【0113】
【図1】第1実施形態による車両制御システムを示すブロック図。
【図2】イントラボックスに電源を供給する他の形態を示すブロック図。
【図3】情報保護手段を示すブロック図。
【図4】挙動異常判定手段、制御遮断手段を示すブロック図。
【図5】制御パラメータ算出手段を示すブロック図。
【図6】挙動制御調整手段を示すブロック図。
【図7】挙動制御の異常箇所の推定ルーチンを示すフローチャート。
【図8】挙動制御の異常箇所の特定ルーチンを示すフローチャート。
【図9】制御パラメータの合成ルーチンを示すフローチャート。
【図10】優先順位に基づいた挙動制御の優先制御ルーチンを示すフローチャート。
【図11】第2実施形態による車両制御システムを示すブロック図。
【符号の説明】
【0114】
10、12、14:車両制御システム、20:電源制御装置、30:ステアリング制御装置(機能ドメイン制御手段)、40:ブレーキ制御装置(機能ドメイン制御手段)、50:車体制御装置(機能ドメイン制御手段)、60:ナビゲーション制御装置(機能ドメイン制御手段)、100、290、300:イントラボックス(車両監査装置)、200:インタフェース手段、210、294、304:挙動情報取得手段、220情報保護手段、230:共有メモリ、240、292、302:監査手段、250:挙動要求取得手段、252:挙動推定手段、254:実挙動検出手段、256:挙動異常判定手段、260:制御異常推定手段、262:制御異常特定手段、264:制御遮断手段、270:制御可能判定手段、272:制御パラメータ算出手段、280:挙動制御調整手段、296、306:多数決判定手段、310、312:電源(電源系)、320、322:通信系、330、332:機能ドメイン制御手段
【技術分野】
【0001】
本発明は、車両に搭載された制御対象に対する機能ドメイン制御手段による挙動制御の正当性を監査する車両監査装置およびそれを用いた車両制御システムに関する。
【背景技術】
【0002】
従来、車両に搭載された制御対象の挙動を、例えば駆動系、制動系等の機能ドメイン毎に制御する車両制御システムが知られている(例えば、特許文献1から4参照。)。
このような車両制御システムにおいては、制御対象、あるいは制御対象の挙動を制御する制御手段の異常を監視し、異常に対して適切な処理を実施する必要がある。
【0003】
例えば、特許文献2では、パワーステアリングの操舵アシスト制御手段のメイン制御手段とサブ制御手段とが互いの制御の異常を監視している。
特許文献3では、各制御手段が自身の異常を検出し、走行環境に応じたフェールセーフ処理を実施する。
【0004】
特許文献4では、車両の実際の加減速状態が運転者の意図したものであるかを制御手段が判定し、動力源に対してフェールセーフ処理を実施する。
【特許文献1】特開2006−297994号公報
【特許文献2】特開2004−122943号公報
【特許文献3】特開2006−290168号公報
【特許文献4】特開2005−291173号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、このように制御対象の挙動を制御する制御手段が互いに、または制御手段自身の異常を検出する構成では、制御手段が異常の場合に制御対象の異常を正しく検出できないという問題がある。
【0006】
また、制御手段の安全性を確保するために、制御手段自身が複雑な冗長系を保持する必要がある。
本発明は、上記問題を解決するためになされたものであり、制御対象に対する機能ドメイン制御手段による挙動制御の正当性を正しく判定し、機能ドメイン制御手段の冗長系の複雑化を防止する車両監査装置およびそれを用いた車両制御システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
請求項1から19に記載の発明によると、制御対象の挙動を機能ドメイン毎に制御する機能ドメイン制御手段とは独立して設けられた監査手段が、機能ドメイン制御手段による挙動制御の正当性を車両の挙動情報に基づいて監査する。
【0008】
ここで、監査手段が機能ドメイン制御手段とは独立して設けられているとは、機能ドメイン制御手段による挙動制御とは切り離され、機能ドメイン制御手段による挙動制御を監査する監査手段の監査機能が独立して設けられていることを表している。つまり、監査手段を構成するハードウェアとしての処理装置が、必ずしも機能ドメイン制御手段を構成する処理装置とは異なる別のものであることを表しているのではない。例えば、機能ドメイン制御手段および監査手段の少なくとも一部が、同じ処理装置により構成されてもよい。処理装置としては、例えば制御装置としてのCPU、記憶装置としてのROM、RAM等が考えられる。
【0009】
これにより、機能ドメイン制御手段ではなく、機能ドメイン制御手段とは独立した第三者としての監査手段が機能ドメイン制御手段による挙動制御の正当性をシステム全体の観点から判断するので、機能ドメイン制御手段による挙動制御の正当性、言い換えれば異常を正しく判定できる。これにより、挙動制御の異常状態に応じて退避走行等の適切なフェールセーフ処理を実施できる。
【0010】
また、例えば、複数の機能ドメイン制御手段が同じ制御対象の挙動を連携して制御する構成において、これら機能ドメイン制御手段においてそれぞれ挙動制御の正当性を判定する場合に比べ、機能ドメイン制御手段による挙動制御の監査機能を監査手段に集約して統合する方が、監査機能のハード量およびソフト量を低減できる。
【0011】
また、機能ドメイン制御手段による挙動制御の監査機能が機能ドメイン制御手段とは独立した監査手段に集約されるので、機能ドメイン制御手段の冗長系を複雑化することなく機能ドメイン制御手段による挙動制御の安全性を確保できる。これにより、機能ドメイン制御手段のハード量およびソフト量の増加を防止できる。
【0012】
請求項2に記載の発明によると、安全性要求の高い機能ドメイン制御手段と安全性要求の低い機能ドメイン制御手段とが共有する共有情報を記憶している記憶手段に対し、安全性要求の低い機能ドメイン制御手段からの共有情報の変更を情報保護手段が制限する。
【0013】
これにより、安全性要求の低い機能ドメイン制御手段から共有情報に対して想定外の変更がなされることを防止できる。
請求項3に記載の発明によると、安全性要求の高い機能ドメイン制御手段のうちの少なくとも一部が安全性要求の低い機能ドメイン制御手段から提供される情報に基づき挙動制御の制御パラメータを調整する。この場合、機能ドメイン制御手段が自身の異常を検出する従来の方式では、安全性要求の高い機能ドメイン制御手段の安全性を確保するために安全性要求の低い機能ドメイン制御手段の安全性を上げる必要がある。
【0014】
しかし、本発明では、監査手段が安全性要求の低い機能ドメイン制御手段による挙動制御の正当性を監査し安全性要求の低い機能ドメイン制御手段の冗長機能を果たすので、従来の安全性要求の低い機能ドメイン制御手段の冗長系を複雑化することなく機能ドメイン制御手段の安全性が上昇する。これにより、安全性要求の低い機能ドメイン制御手段のハード量およびソフト量を増加することなく、安全性要求の高い機能ドメイン制御手段の安全性を確保できる。
【0015】
請求項4に記載の発明によると、監査手段は、複数の機能ドメイン制御手段から一つの制御対象に実施される挙動制御の正当性を監査する。
これにより、一つの制御対象に対して複数の機能ドメイン制御手段が異なる制御パラメータで挙動制御を行う場合に、制御対象に対して相反する挙動制御が実施され挙動制御が衝突したことを容易に検出できる。そして、監査手段は挙動制御の衝突を解消するために適切な処理を機能ドメイン制御手段に指令できる。
【0016】
請求項5に記載の発明によると、車両に対して所定の挙動を要求する挙動要求に基づいて車両の挙動を挙動推定手段が推定し、車両の推定挙動と実挙動とを比較し車両挙動が異常であるかを挙動異常判定手段が判定する。
【0017】
これにより、車両の実挙動だけでは異常と判定できない場合にも、推定挙動と比較することにより想定外の車両の挙動異常を検出できる。ここで、挙動推定手段が推定する車両挙動は、挙動要求に基づいた正常または異常な車両挙動のいずれであってもよい。どちらの車両挙動を推定しても、実挙動と比較することにより車両挙動の異常を判定できる。
【0018】
請求項6に記載の発明によると、挙動推定手段は、車両に対する挙動要求に応じた車両挙動を物理モデルに基づいて推定する。これにより、挙動要求の値に関わらず挙動要求に基づいた車両挙動を同じ精度で推定できる。
【0019】
請求項7に記載の発明によると、挙動推定手段は、車両に対する挙動要求に応じた車両挙動を車両挙動の異常パターンのデータベースに基づいて推定する。データベースを参照するという簡単な作業により、車両挙動を容易に推定できる。
【0020】
請求項8に記載の発明によると、車両挙動が異常であると挙動異常判定手段が判定すると、車両挙動の異常を引き起こす可能性があると制御異常推定手段が推定した箇所の挙動制御を制御遮断手段が遮断する。
【0021】
これにより、車両の挙動異常を引き起こす可能性のある挙動制御を、挙動異常から大まかに推定した範囲で速やかに遮断できる。その結果、車両の挙動異常を引き起こす可能性のある機能ドメイン制御手段による挙動制御が他の正常な挙動制御に与える影響を速やかに排除できる。
【0022】
請求項9に記載の発明によると、車両挙動の異常を引き起こす可能性のある機能ドメイン制御手段による挙動制御の箇所を制御異常特定手段が制御異常推定手段よりもさらに詳細に特定する。そして、制御遮断手段は、制御異常特定手段が特定した箇所の挙動制御を遮断するとともに、制御異常推定手段の推定結果に基づいて遮断した箇所の挙動制御を復帰させる。
【0023】
これにより、車両の挙動異常を引き起こす挙動制御の範囲を極力狭め、正常範囲と異常範囲との境界を明確にする。その結果、メンテナンスする箇所を容易に特定できる。
また、正常な挙動制御の範囲が極力広くなるので、正常範囲の挙動制御を使用して適切なフェールセーフ処理を実施できる。
【0024】
請求項10に記載の発明によると、一つの前記制御対象の挙動を制御している複数の機能ドメイン制御手段による挙動制御のうちの一部が制御遮断手段により遮断された場合、他の機能ドメイン制御手段による挙動制御により制御対象の挙動を制御可能であれば、遮断された箇所の挙動制御を補う他の挙動制御の制御パラメータを制御パラメータ算出手段が算出する。ここで、一つの制御対象とは、1個の制御対象の場合もあるし、同種の複数の制御対象の場合もある。
【0025】
これにより、遮断されていない正常な挙動制御により極力適切なフェールセーフ処理を実施できる。
請求項11に記載の発明によると、挙動情報取得手段と監査手段とを一組として複数組が互いに離れて車両に設置される。
【0026】
これにより、例えば事故等により二組のうちの一方の監査機能が停止しても、正常な他方の組で監査機能を継続できる。
請求項12に記載の発明によると、挙動情報取得手段と監査手段とを一組とする複数組のうち少なくとも二組は、車両において冗長系を構成する異なる電源系から電力を供給され、車両において冗長系を構成する異なる通信系により通信する。
【0027】
これにより、一方の電源系または通信系に異常が発生しても、正常な他方の電源系または通信系を使用する挙動情報取得手段と監査手段との組により監査機能を継続できる。
請求項13に記載の発明によると、挙動情報取得手段と監査手段とを一組として複数組を備える場合、複数の監査手段のそれぞれは、自身を含む複数の監査手段の監査結果と、機能ドメイン制御手段による監査結果とから、他の監査手段および機能ドメイン制御手段の異常を多数決判定手段により判定する。
【0028】
これにより、機能ドメイン制御手段の異常だけでなく、監査手段の異常も判定できる。
ここで、例えば、クルーズコントロールをオンにした状態で濡れた路面を走行中にスリップしてフューエルカットされる場合など、制御対象に対する機能ドメイン制御手段による個々の挙動制御が正常であっても、車両の走行環境によって車両の挙動が一時的に異常になることがある。
【0029】
そこで請求項14に記載の発明によると、車両の挙動が異常であり、機能ドメイン制御手段による挙動制御が正常である場合、挙動制御調整手段が機能ドメイン制御手段に設定された挙動制御の優先順位に基づいて挙動制御の実施を調整し、車両の挙動異常を緩和する。
【0030】
これにより、車両を極力安全に走行させることができる。このような処理は、機能ドメイン制御手段とは独立した第三者としての監査手段が車両の挙動情報に基づいて機能ドメイン制御手段による挙動制御の正当性を監視しているからこそ可能である。
【0031】
請求項15に記載の発明によると、車両監査装置は、機能ドメイン制御手段に電力を供給する電源とは異なる電源から電力を供給される。
これにより、車両監査装置は、機能ドメイン制御手段に電力を供給する電源の動作不良の影響を受けることなく監査処理を実施できる。
【0032】
請求項16に記載の発明によると、車両監査装置のインタフェース手段は、機能ドメイン制御手段が接続する信号系とは異なる信号系と接続し、車両の挙動情報の少なくとも一部を挙動情報取得手段に供給する。
【0033】
これにより、監査手段は、機能ドメイン制御手段が接続する信号系の動作不良の影響を受けることなく、インタフェース手段を介して取得した挙動情報に基づいて監査処理を実施できる。
【0034】
請求項17に記載の発明によると、監査装置は、機能ドメイン制御手段を構成する処理装置とは異なる処理装置により構成されている。
これにより、監査手段は、機能ドメイン制御手段の処理装置の動作不良にかかわらず、例えば演算または情報の記憶、読み出しを実施できる。
【0035】
請求項18に記載の発明によると、監査手段が挙動情報に基づいて車両挙動量を推定するアルゴリズムは、機能ドメイン制御手段が制御対象に対する挙動制御量を算出するアルゴリズムと異なっている。
【0036】
これにより、監査手段または機能ドメイン制御手段においてソフトウェアによる制御異常が発生したときに、監査手段および機能ドメイン制御手段の両方で同じ原因でソフトウェアによる制御異常が発生することを防止できる。
【0037】
尚、本発明に備わる複数の手段の各機能は、構成自体で機能が特定されるハードウェア資源、プログラムにより機能が特定されるハードウェア資源、またはそれらの組み合わせにより実現される。また、これら複数の手段の各機能は、各々が物理的に互いに独立したハードウェア資源で実現されるものに限定されない。
【発明を実施するための最良の形態】
【0038】
以下、本発明の実施の形態を図に基づいて説明する。
[第1実施形態]
本発明の第1実施形態による車両監査装置を用いた車両制御システムを図1に示す。
【0039】
(車両制御システム10)
車両制御システム10は、電源制御装置(Battery ECU)20、ステアリング制御装置(Steering ECU)30、ブレーキ制御装置(Brake ECU)40、車体制御装置(Body ECU)50、ナビゲーション制御装置(Navigation ECU)60、イントラボックス(Intra Box)100等から構成されている。電源制御装置20、ステアリング制御装置30、ブレーキ制御装置40、車体制御装置50、ナビゲーション制御装置60は、それぞれ機能ドメインである電源制御、ステアリング制御、ブレーキ制御、車体制御、ナビゲーション制御毎に制御対象の挙動を制御する。
【0040】
電源制御装置20、ステアリング制御装置30、ブレーキ制御装置40、車体制御装置50、ナビゲーション制御装置60は、特許請求の範囲に記載した機能ドメイン制御手段に相当し、イントラボックス100は、特許請求の範囲に記載した車両監査装置に相当する。
【0041】
機能ドメイン制御手段のうち、例えばステアリング制御装置30およびブレーキ制御装置40は、高い安全性が要求される高安全性要求の装置である。車体制御装置50およびナビゲーション制御装置60はステアリング制御装置30およびブレーキ制御装置40よりも安全性の要求が低い低安全性要求の装置である。
【0042】
電源制御装置20は、ステアリング制御装置30、ブレーキ制御装置40およびイントラボックス100に電力を供給する電源を制御する。電源制御装置20による電源の制御とは、電源からの電力供給量、電源に蓄積する電力量、入出力時間特性の異なる電源が存在する場合には入出力時間特性に応じた電源の切り替え等である。車体制御装置50およびナビゲーション制御装置60への電力供給は、別の電源系の電源制御装置が制御する。
【0043】
本実施形態では、前述したように電源制御装置20を機能ドメイン制御手段として規定した。これに対し、電源制御装置20が単に供給電力を制御するだけならば、機能ドメイン制御手段に該当しないこともある。
【0044】
また、図1では、ステアリング制御装置30、ブレーキ制御装置40およびイントラボックス100に電力を供給する電源系は1系統であるが、2重系にしてもよい。2重系の場合、電源制御装置20も各電源系に設置される。この場合、車体制御装置50およびナビゲーション制御装置60は、2重系の一方の電源系から電力を供給されてもよいし、これとは別の他の電源系から電力を供給されてもよい。
【0045】
図1の構成に対し、図2の車両制御システム12のように、ステアリング制御装置30およびブレーキ制御装置40等の機能ドメイン制御手段に電力を供給する電源とは異なる電源80からイントラボックス100に電力を供給し、機能ドメイン制御手段に電力を供給する電源系と、イントラボックス100に電力を供給する電源系とを別系統にしてもよい。これにより、機能ドメイン制御手段の電源系に動作不良が生じても、イントラボックス100は監査処理を実施できる。
【0046】
また、電源80は、イントラボックス100の専用電源であってもよいし、機能ドメイン制御手段以外の他の装置に電力を供給する電源と共有であってもよい。電源80がイントラボックス100の専用電源である場合、電源80およびイントラボックス100で車両監査装置を構成してもよい。
【0047】
ステアリング制御装置30は、ステアリング操舵角度を検出する角度検出センサの検出信号に基づき、各タイヤ70の操舵角度を制御する。
ブレーキ制御装置40は、ブレーキペダルの踏込量を検出するセンサの検出信号に基づき、各タイヤ70の制動量を制御する。
【0048】
車体制御装置50は、車両のドア、空調等を制御する。ナビゲーション制御装置60は、例えば、GPS等の衛星測位システムおよび地図データに基づき、車両の目的地までの経路を探索し最適な経路を案内する。
【0049】
(イントラボックス100)
イントラボックス100は、インタフェース手段200、挙動情報取得手段210、情報保護手段220(図3参照)および監査手段240等から構成されている。インタフェース手段200、挙動情報取得手段210、情報保護手段220および監査手段240は、図示しないCPU、ROM、RAM、およびフラッシュメモリ等の書換可能な不揮発性メモリ等により構成されている。
【0050】
イントラボックス100を構成する上記CPU、ROM、RAM、およびフラッシュメモリ等のハードウェアとしての処理装置は、機能ドメイン制御手段とは異なる独立した処理装置で構成されている。
【0051】
これにより、機能ドメイン制御手段の処理装置に動作不良が生じても、イントラボックス100は、動作不良が生じている機能ドメイン制御手段の処理装置の影響を受けずに監査処理を実施できる。
【0052】
また、イントラボックス100が車両挙動量を推定するアルゴリズムと、機能ドメイン制御手段が制御対象に対する挙動制御量を算出するアルゴリズムとは異なっていることが望ましい。さらに、イントラボックス100と機能ドメイン制御手段とにおいて、アルゴリズムを開発するモデルツール、コンパイラ等のソフトウェア生成ツール、ソフトウェアから機械語に変換する自動コード生成ツール、設計者、および設計思想等のソフトウェア仕様およびソフトウェア開発環境がそれぞれ異なっていることが望ましい。
【0053】
これにより、イントラボックス100または機能ドメイン制御手段においてソフトウェアによる制御異常が発生したときに、イントラボックス100および機能ドメイン制御手段の両方で同じ原因でソフトウェアによる制御異常が発生することを防止できる。
【0054】
(インタフェース手段200)
インタフェース手段200は、イントラボックス100が機能ドメイン制御手段と通信する通信系のインタフェース手段(図1、2では図示していない。)とは別に設けられている。インタフェース手段200は、機能ドメイン制御手段が接続している信号系とは異なる信号系から各種センサの信号を入力する。これにより、機能ドメイン制御手段が接続する信号系の動作不良の影響を受けることなく、イントラボックス100は、インタフェース手段を介して各種センサの検出信号を入力することができる。
【0055】
インタフェース手段200が接続する信号系は、各種センサの検出信号を入力する信号系に限らず、例えば機能ドメイン制御手段が接続している通信系とは異なる通信系であってもよい。イントラボックス100は、機能ドメイン制御手段が接続している通信系とは異なる通信系を介して、機能ドメイン制御手段が接続している通信系の動作不良の影響を受けることなくデータの送受信を実施できる。
【0056】
イントラボックス100を以下の各手段として機能させる制御プログラムは、イントラボックス100のROM、フラッシュメモリ等の記憶手段に記憶されている。
(挙動情報取得手段210)
挙動情報取得手段210は、インタフェース手段200が入力した各種センサの検出信号等から車両の実際の挙動情報を取得する。
【0057】
(情報保護手段220)
図3に示すように、高安全性要求のステアリング制御装置30およびブレーキ制御装置40と低安全性要求の車体制御装置50とは共有メモリ230を参照可能である。
【0058】
しかし、低安全性要求の車体制御装置50が自由に共有メモリ230を参照し記憶されている共有情報を書き換えて変更すると、共有情報を利用するステアリング制御装置30およびブレーキ制御装置40の安全性を確保できないことがある。
【0059】
そこで、情報保護手段220は、低安全性要求の車体制御装置50に対し、共有メモリ230への読み出しは許可するが、書き込みは禁止する参照制限を設定する。この制限は、共有メモリ230の一部の記憶域に対してでもよいし、共有メモリ230の全記憶域に対してでもよい。これにより、低安全性要求の車体制御装置50と情報を共有する高安全性要求のステアリング制御装置30およびブレーキ制御装置40の安全性を確保できる。
【0060】
これに対し、例えば低安全性要求の車体制御装置50からの書き込みが許可されている記憶域において、車体制御装置50が書き込んだ情報を高安全性要求のステアリング制御装置30またはブレーキ制御装置40が読み出し、タイヤ70に対する挙動制御の制御パラメータを調整することがある。
【0061】
この場合、本実施形態では、監査手段240が低安全性要求の車体制御装置50による挙動制御の正当性を監査し車体制御装置50の冗長機能を果たすので、車体制御装置50の冗長系を複雑化することなく車体制御装置50の安全性が上昇している。これにより、車体制御装置50のハード量およびソフト量を増加することなく、高安全性要求のステアリング制御装置30およびブレーキ制御装置40の安全性を確保できる。
【0062】
(監査手段240)
監査手段240は、挙動情報取得手段210が取得した車両の挙動情報に基づいて、例えば機能ドメイン制御手段であるステアリング制御装置30およびブレーキ制御装置40のタイヤ70に対する挙動制御の正当性を判定する。監査手段240は、タイヤ70に対するステアリング制御装置30またはブレーキ制御装置40の挙動制御により車両の挙動が異常になったと判断すると、ステアリング制御装置30またはブレーキ制御装置40による挙動制御が正当ではなく異常であると判定する。そして監査手段240は、車両の挙動異常を解消するように、ステアリング制御装置30またはブレーキ制御装置40に対して挙動制御の指令値を出す。
【0063】
このように、個々の機能ドメイン制御手段ではなく、機能ドメイン制御手段とは独立した第三者としての監査手段240が機能ドメイン制御手段による挙動制御の正当性を判断するので、機能ドメイン制御手段による挙動制御の異常を正しく検出できる。これにより、挙動制御の異常状態に応じて適切なフェールセーフ処理を実施できる。
【0064】
また、機能ドメイン制御手段による挙動制御の監査機能を機能ドメイン制御手段とは独立した監査手段240に集約するので、従来の機能ドメイン制御手段の冗長系を複雑化することなく、機能ドメイン制御手段の安全性を確保できる。
【0065】
監査手段240は、図1に示すように、一つの制御対象である各タイヤ70の挙動を制御する複数の機能ドメイン制御手段であるステアリング制御装置30およびブレーキ制御装置40による挙動制御の正当性を監査することにより、ステアリング制御装置30とブレーキ制御装置40とがタイヤ70に対して相反する挙動制御を実施したことを容易に検出できる。その結果、タイヤ70に対するステアリング制御装置30およびブレーキ制御装置40の挙動制御を調整し、車両の挙動異常を低減できる。
【0066】
また監査手段240は、一つの制御対象の挙動を制御する一つの機能ドメイン制御手段による挙動制御の正当性を監査してもよい。
(挙動異常判定、異常制御箇所遮断)
次に、車両挙動に基づいて機能ドメイン制御手段による挙動制御の正当性を判定し、挙動制御の異常箇所を遮断する監査手段240の各手段として、挙動要求取得手段250、挙動推定手段252、実挙動検出手段254、挙動異常判定手段256、制御異常推定手段260、制御異常特定手段262、制御遮断手段264について図4に基づいて説明する。
【0067】
(挙動要求取得手段250)
挙動要求取得手段250は、運転者によるステアリング、アクセルペダル、ブレーキペダル等の操作、あるいはクルーズコントロール等の操作装置からの指示に基づき、車両に対する挙動要求を取得する。
【0068】
(挙動推定手段252)
挙動推定手段252は、挙動要求取得手段250が取得した車両に対する挙動要求に基づいて車両の挙動を推定する。挙動推定手段252は、例えば、以下のいずれかの方法で車両挙動を推定する。
【0069】
(1)物理モデル
挙動推定手段252は、挙動要求取得手段250が取得した車両の挙動要求を入力値として、予め設定している車両の物理モデルから車両の正常挙動を推定する。
【0070】
挙動推定手段252は、物理モデルから推定挙動を取得することにより、挙動要求の値に関わらず挙動要求に基づいた車両挙動を同じ精度で推定できる。
(2)データベース
挙動推定手段252は、シミュレーション等により、車両の挙動要求に対する車両挙動の異常パターンを予めデータベースとして記憶手段に記憶しておく。そして、挙動推定手段252は、挙動要求を入力値としてデータベースを参照し、車両の異常パターンの推定挙動を取得する。挙動要求の入力値がデータベースを参照するための参照キーと一致しない場合には、挙動要求の入力値を中間値とする例えば2個の参照キーにより推定挙動値を取得し、取得した推定挙動値の平均値を挙動要求の入力値に対する推定挙動とする。
【0071】
挙動推定手段252は、データベースを参照するという簡単な作業により、車両挙動を容易に推定できる。
データベースに記憶する車両挙動のパターンとして、異常パターンではなく正常パターンを記憶してもよい。
【0072】
(実挙動検出手段254)
実挙動検出手段254は、各種センサの検出信号から、車両の実際の挙動を検出する。
(挙動異常判定手段256)
挙動異常判定手段256は、挙動推定手段252が推定した車両の正常な推定挙動または異常な推定挙動と、実挙動検出手段254が検出した車両の実挙動とを比較する。正常な推定挙動の場合には、推定挙動に対して実挙動の挙動方向、挙動量が異常であれば車両挙動が異常であると判定する。異常な推定挙動の場合には、推定挙動と実挙動とが一致していれば車両挙動が異常であると判定する。車両挙動が異常であれば、挙動の異常な制御対象の挙動を制御した機能ドメイン制御手段による挙動制御が異常であると判断できる。
【0073】
(制御異常推定手段260)
制御異常推定手段260は、物理モデルまたはデータベースから推定した推定挙動と実挙動とを比較し、挙動異常判定手段256が車両挙動の異常であると判定すると、車両挙動の異常を引き起こした可能性のある機能ドメイン制御手段による挙動制御を推定挙動と実挙動との差から推定する。例えば図4では、制御異常推定手段260は、上位400および下位402、404のうち上位400側の挙動制御を異常箇所として推定する。
【0074】
(制御異常特定手段262)
制御異常特定手段262は、挙動異常判定手段256が車両挙動の異常であると判定すると、機能ドメイン制御手段から、制御対象に対する挙動制御値、それに対する制御対象の挙動値等を取得する。制御異常特定手段262は、制御対象に対する挙動制御値と、それに対する制御対象の挙動値とを、挙動異常判定手段256の判定結果に関わらず常時取得してもよい。
【0075】
そして、制御異常特定手段262は、制御対象に対する挙動制御値と、それに対する制御対象の挙動値とを比較し、車両挙動の異常を引き起こした可能性のある機能ドメイン制御手段による挙動制御の箇所を制御異常推定手段260よりもさらに絞り込んで特定する。例えば図4では、制御異常特定手段262は、上位400よりも下位402、404に絞り込んで挙動制御の異常箇所を特定する。
【0076】
(制御遮断手段264)
制御遮断手段264は、車両挙動に異常が発生すると、まず、制御異常推定手段260が大まかに推定した機能ドメイン制御手段の異常箇所(図4の上位400)の挙動制御を遮断する。これにより、車両挙動の異常を引き起こした挙動制御が他の正常な挙動制御に与える影響を速やかに排除できる。
【0077】
さらに、制御遮断手段264は、制御異常特定手段262が特定した箇所(図4の下位402、404)の挙動制御を遮断するとともに、制御異常推定手段260の推定結果に基づいて遮断した箇所(図4の上位400)の挙動制御を復帰させる。
【0078】
これにより、制御遮断手段264は、車両挙動の異常を引き起こす挙動制御の範囲を極力狭め、正常範囲と異常範囲との境界を明確にする。その結果、メンテナンスする箇所を容易に特定できる。
【0079】
また、正常な挙動制御の範囲が極力広くなるので、正常範囲の挙動制御を使用して適切なフェールセーフ処理を実施できる。
また監査手段240は、車両挙動の異常を引き起こす箇所の機能ドメイン制御手段による挙動制御を単に遮断するだけでなく、図5に示す制御可能判定手段270、制御パラメータ算出手段272により、遮断した箇所の挙動制御を正常な挙動制御で補う処理を実施することが望ましい。
【0080】
(制御可能判定手段270)
ステアリング制御装置30およびブレーキ制御装置40のように、一つの制御対象であるタイヤ70の挙動を複数の機能ドメイン制御手段が制御している場合、制御可能判定手段270は、制御遮断手段264により遮断された箇所の機能ドメイン制御手段による挙動制御を他の正常な機能ドメイン制御手段による挙動制御で補えるかを判定する。
【0081】
(制御パラメータ算出手段272)
制御可能判定手段270が遮断された箇所の機能ドメイン制御手段による挙動制御を他の正常な機能ドメイン制御手段による挙動制御で補えると判定すると、制御パラメータ算出手段272は、遮断された箇所の機能ドメイン制御手段による挙動制御を補うために、正常な機能ドメイン制御手段が制御対象の挙動を制御する制御パラメータを算出する。これにより、挙動制御可能な範囲で極力適切な退避走行等のフェールセーフ処理を実施できる。
【0082】
(車両挙動異常で機能ドメイン制御手段正常)
図6に示すように、監査手段240は、挙動制御調整手段280を設けていることが望ましい。この場合、複数の機能ドメイン制御手段による挙動制御には、挙動制御の実施順序または挙動制御の制御量等の優先順位が予め設定されている。
【0083】
(挙動制御調整手段280)
挙動制御調整手段280は、車両の挙動が異常であり、機能ドメイン制御手段による挙動制御が正常である場合、予め機能ドメイン制御手段に設定された挙動制御の優先順位に基づいて挙動制御の実施を調整し、車両の挙動異常を緩和する。
【0084】
これにより、例えばクルーズコントロールをオンにした状態で濡れた路面を走行中にスリップしてフューエルカットされる場合など、制御対象に対する機能ドメイン制御手段による個々の挙動制御が正常であっても、車両の走行環境によって車両挙動が一時的に異常になることがある場合に、車両を極力安全に走行させることができる。
【0085】
(監査処理ルーチン)
次に、イントラボックス100による監査処理ルーチンのうち、異常箇所推定ルーチン、異常箇所特定ルーチン、制御パラメータ合成ルーチン、優先制御ルーチンについて、制御対象をタイヤとして図7から図10に基づいて説明する。各ルーチンにおいて「S」はステップを表している。
【0086】
(異常箇所推定ルーチン)
図7に示す異常箇所推定ルーチンは常時実行される。S500においてイントラボックス100は、前述した車両の物理モデルまたは車両挙動のデータベースから、タイヤ70の挙動要求を入力値としてタイヤの推定挙動を取得する。
【0087】
S502においてイントラボックス100は、タイヤ70の推定挙動と、センサの検出信号から取得したタイヤ70の実挙動とを比較する。正常であれば、イントラボックス100はS500に処理を戻す。
【0088】
異常であれば、S504においてイントラボックス100は、タイヤ70の挙動異常を引き起こしたステアリング制御装置30またはブレーキ制御装置40による挙動制御の異常箇所を推定する。
【0089】
そして、S506においてイントラボックス100は、S504で推定した箇所(例えば、図4の上位400)の挙動制御を遮断し、正常であると推定した挙動制御により適切なフェールセーフ処理をステアリング制御装置30およびブレーキ制御装置40に指令する。
【0090】
(異常箇所特定ルーチン)
図8に示す異常箇所特定ルーチンは、図7の異常箇所推定ルーチンと並行して常時実行されるか、あるいは図7の異常箇所推定ルーチンのS502において異常であると判定された場合に実行される。
【0091】
S510においてイントラボックス100は、タイヤ70に対するステアリング制御装置30およびブレーキ制御装置40による挙動制御の指令値と、センサの検出信号から検出した実際のタイヤ70の挙動値とを取得する。
【0092】
S512においてイントラボックス100は、タイヤ70に対する挙動制御の指令値と実際の挙動値とを比較し、その差からタイヤの挙動が異常であるかを判定する。正常であれば、イントラボックス100はS510に処理を戻す。
【0093】
タイヤの挙動が異常であれば、S514においてイントラボックス100は、挙動制御の指令値と実際の挙動値との差に基づいて、ステアリング制御装置30またはブレーキ制御装置40による挙動制御の異常箇所を異常箇所推定ルーチンよりも絞り込んで特定する。
【0094】
S516においてイントラボックス100は、S514で特定した箇所(例えば、図4の下位402、404)の挙動制御を遮断するとともに、異常箇所推定ルーチンで遮断した箇所(例えば、図4の上位400)の挙動制御の遮断を解除する。そして、正常であると特定した挙動制御により適切なフェールセーフ処理をステアリング制御装置30およびブレーキ制御装置40に指令する。
【0095】
(制御パラメータ合成ルーチン)
図9に4個のタイヤの一部の挙動が異常である場合の挙動制御の制御パラメータ合成ルーチンについて説明する。図9の制御パラメータ合成ルーチンは、タイヤ70の挙動異常が発生した場合に実行される。
【0096】
タイヤ70のいずれかに挙動異常が発生すると、S520においてイントラボックス100は、挙動異常が発生したタイヤ70に対するステアリング制御装置30およびブレーキ制御装置40の異常箇所の挙動制御を遮断した残りの挙動制御の制御ベクトル(制御パラメータ)を合成する。
【0097】
S522においてイントラボックス100は、挙動異常が発生していないタイヤ70に対する挙動制御の制御ベクトルと、S520で合成した挙動異常が発生しているタイヤ70に対する制御ベクトルとを合成する。
【0098】
S524においてイントラボックス100は、S522で合成した4個のタイヤに対する制御ベクトルの合成値に基づき、正常な3個のタイヤ70に対する挙動制御が異常な1個のタイヤ70に対する挙動制御を補い4個のタイヤ70を安全に操舵および制動して車両が安全に走行できるように、各タイヤ70に対する制御パラメータを算出する。
【0099】
ステアリング制御装置30およびブレーキ制御装置40は、イントラボックス100が算出した制御パラメータに基づいてタイヤ70の挙動を制御する。
(優先制御ルーチン)
図10に、車両挙動は異常であるが各機能ドメイン制御手段による挙動制御は正常である場合の、物理モデルやデータベースでは想定していない異常に対する優先制御ルーチンについて説明する。機能ドメイン制御手段による挙動制御には、予め実行順序または制御量について優先順位が設定されている。図10に示す優先制御ルーチンは常時実行される。
【0100】
S530においてイントラボックス100は、タイヤ70に対するステアリング制御装置30およびブレーキ制御装置40による挙動制御の指令値と、センサの検出信号から検出した実際のタイヤ70の挙動値とを取得する。
【0101】
S532においてイントラボックス100は、タイヤ70に対する挙動制御の指令値から車両挙動を推定する。
S534においてイントラボックス100は、タイヤ70に対する挙動制御の指令値と実際の挙動値とを比較し、その差からタイヤの挙動が異常であるかを判定する。正常であれば、イントラボックス100はS530に処理を戻す。
【0102】
タイヤ70の挙動が異常であれば、S536においてイントラボックス100は、タイヤ70に対する挙動制御が正常であるか異常であるかを判定する。
挙動制御が異常であるためにタイヤ70の挙動が異常であれば、S538においてイントラボックス100は、例えば異常箇所の挙動制御を遮断し、正常箇所の挙動制御により退避走行等のフェールセーフ処理を実施する。
【0103】
タイヤ70に対する挙動制御が正常であるにも関わらずタイヤ70の挙動が異常である場合、イントラボックス100は、想定外の異常が発生していると判断する。そしてイントラボックス100は、S540において車両を安全走行させるために予め設定されている優先順位を判定する。
【0104】
そして、S542においてイントラボックス100は、優先順位に基づいてタイヤ70に対するステアリング制御装置30およびブレーキ制御装置40による挙動制御を調整し、車両の挙動異常を緩和する。これにより、車両を極力安全に走行させることができる。
【0105】
[第2実施形態]
本発明の第2実施形態による車両監査装置を用いた車両制御システムを図11に示す。第2実施形態の車両制御システム14では、1個のイントラボックスではなく、複数のイントラボックス290、300で車両監査装置を構成している。
【0106】
図11では、2個のイントラボックス290、300が互いに離れて車両に設置されている。イントラボックス290は車両の前方に設置され、主に車両の前方の制御対象の挙動を制御する。イントラボックス300は車両の後方に設置され、主に車両の後方の制御対象の挙動を制御する。イントラボックス290、300は、それぞれ監査手段292、302、挙動情報取得手段294、304、多数決判定手段296、306等により構成されている。
【0107】
これにより、事故等で一方のイントラボックスが破損して作動不能になっても、正常な他方のイントラボックスにより機能ドメイン制御手段による挙動制御の正当性を監査できる。
【0108】
イントラボックス290、300は、それぞれ異なる電源系である電源310、312から電力を供給される。また、イントラボックス290、300、ならびに機能ドメイン制御手段330、332はそれぞれ通信手段としての異なる通信系320、322に接続している。イントラボックス290、300は、異なる通信系320、322により、他方のイントラボックスおよび通信系320、322に接続している機能ドメイン制御手段330、332と通信する。尚、機能ドメイン制御手段330、332の安全性要求が低い場合には、機能ドメイン制御手段330、332は通信系320、322のいずれか一方に接続してもよい。
【0109】
これにより、冗長系を構成する電源310、312、通信系320、322の一方の系が作動不能になっても、正常な他方の系でイントラボックスは監査処理を実施できる。
多数決判定手段296、306は、2個のイントラボックス290、300の監査手段292、302による監査結果と、少なくとも1個の機能ドメイン制御手段による監査結果とから、自身のイントラボックス290、300の監査手段292、302および機能ドメイン制御手段の制御の正当性を多数決で判定する。これにより、機能ドメイン制御手段の異常だけでなく、監査手段の異常も判定できる。
【0110】
[他の実施形態]
上記実施形態では、機能ドメイン制御手段を複数設置した車両制御システムについて説明した。これに対し、機能ドメイン制御手段が一つだけの車両制御システムであってもよい。このシステム構成においても、機能ドメイン制御手段が複数の場合と同じイントラボックスを使用し、監査処理を実施できる。
【0111】
上記実施形態では、イントラボックスと機能ドメイン制御手段とが異なる処理装置で構成されている例について説明した。これに対し、機能ドメイン制御手段およびイントラボックスの監査手段の少なくとも一部が、同じ処理装置により構成されてもよい。この場合にも、機能ドメイン制御手段による挙動制御を監査する監査手段の監査機能は、機能ドメイン制御手段による挙動制御とは切り離され、独立して設けられている。
【0112】
このように、本発明は、上記実施形態に限定されるものではなく、その要旨を逸脱しない範囲で種々の実施形態に適用可能である。
【図面の簡単な説明】
【0113】
【図1】第1実施形態による車両制御システムを示すブロック図。
【図2】イントラボックスに電源を供給する他の形態を示すブロック図。
【図3】情報保護手段を示すブロック図。
【図4】挙動異常判定手段、制御遮断手段を示すブロック図。
【図5】制御パラメータ算出手段を示すブロック図。
【図6】挙動制御調整手段を示すブロック図。
【図7】挙動制御の異常箇所の推定ルーチンを示すフローチャート。
【図8】挙動制御の異常箇所の特定ルーチンを示すフローチャート。
【図9】制御パラメータの合成ルーチンを示すフローチャート。
【図10】優先順位に基づいた挙動制御の優先制御ルーチンを示すフローチャート。
【図11】第2実施形態による車両制御システムを示すブロック図。
【符号の説明】
【0114】
10、12、14:車両制御システム、20:電源制御装置、30:ステアリング制御装置(機能ドメイン制御手段)、40:ブレーキ制御装置(機能ドメイン制御手段)、50:車体制御装置(機能ドメイン制御手段)、60:ナビゲーション制御装置(機能ドメイン制御手段)、100、290、300:イントラボックス(車両監査装置)、200:インタフェース手段、210、294、304:挙動情報取得手段、220情報保護手段、230:共有メモリ、240、292、302:監査手段、250:挙動要求取得手段、252:挙動推定手段、254:実挙動検出手段、256:挙動異常判定手段、260:制御異常推定手段、262:制御異常特定手段、264:制御遮断手段、270:制御可能判定手段、272:制御パラメータ算出手段、280:挙動制御調整手段、296、306:多数決判定手段、310、312:電源(電源系)、320、322:通信系、330、332:機能ドメイン制御手段
【特許請求の範囲】
【請求項1】
車両の挙動情報を取得する挙動情報取得手段と、
車両に搭載された制御対象の挙動を機能ドメイン毎に制御する機能ドメイン制御手段とは独立して設けられ、前記制御対象に対する前記機能ドメイン制御手段による挙動制御の正当性を前記挙動情報に基づいて監査する監査手段と、
を備えることを特徴とする車両監査装置。
【請求項2】
安全性要求の高い前記機能ドメイン制御手段と安全性要求の低い前記機能ドメイン制御手段とが共有する共有情報を記憶している記憶手段に対し、安全性要求の低い前記機能ドメイン制御手段からの変更を制限する情報保護手段を備えることを特徴とする請求項1に記載の車両監査装置。
【請求項3】
安全性要求の高い前記機能ドメイン制御手段のうちの少なくとも一部は、安全性要求の低い前記機能ドメイン制御手段から提供される情報に基づき前記挙動制御の制御パラメータを調整することを特徴とする請求項1または2に記載の車両監査装置。
【請求項4】
前記監査手段は、複数の前記機能ドメイン制御手段から一つの前記制御対象に実施される前記挙動制御の正当性を監査することを特徴とする請求項1から3のいずれか一項に記載の車両監査装置。
【請求項5】
前記監査手段は、
車両に対して所定の挙動を要求する挙動要求情報を取得する挙動要求取得手段と、
前記挙動要求に基づいて車両の挙動を推定する挙動推定手段と、
車両の実際の実挙動を検出する実挙動検出手段と、
前記挙動推定手段が推定する車両の推定挙動と前記実挙動とを比較し車両挙動が異常であるかを判定する挙動異常判定手段と、
を有することを特徴とする請求項1から4のいずれか一項に記載の車両監査装置。
【請求項6】
前記挙動推定手段は、車両の物理モデルに基づいて車両の挙動を推定することを特徴とする請求項5に記載の車両監査装置。
【請求項7】
前記挙動推定手段は、車両挙動の異常パターンのデータベースに基づいて車両の挙動を推定することを特徴とする請求項5に記載の車両監査装置。
【請求項8】
前記監査手段は、前記車両挙動が異常であると前記挙動異常判定手段が判定すると前記車両挙動の異常を引き起こす可能性のある箇所の前記機能ドメイン制御手段による前記挙動制御を推定する制御異常推定手段と、前記制御異常推定手段が推定した箇所の前記挙動制御を遮断する制御遮断手段と、を有することを特徴とする請求項5から7のいずれか一項に記載の車両監査装置。
【請求項9】
前記監査手段は、前記車両挙動の異常を引き起こす可能性のある前記機能ドメイン制御手段による前記挙動制御の箇所を前記制御異常推定手段よりもさらに詳細に特定する制御異常特定手段を有し、
前記制御遮断手段は、前記制御異常特定手段が特定した箇所の前記挙動制御を遮断するとともに、前記制御異常推定手段の推定結果に基づいて遮断した箇所の前記挙動制御を復帰させることを特徴とする請求項8に記載の車両監査装置。
【請求項10】
前記監査手段は、一つの前記制御対象の挙動を制御している複数の前記機能ドメイン制御手段の前記挙動制御のうちの一部が前記制御遮断手段により遮断された場合、他の前記機能ドメイン制御手段の前記挙動制御により前記制御対象の挙動を制御可能かを判定する制御可能判定手段と、他の前記機能ドメイン制御手段の前記挙動制御により前記制御対象の挙動を制御可能であると前記制御可能判定手段が判定すると、遮断された箇所の前記挙動制御を補う他の前記挙動制御の制御パラメータを算出する制御パラメータ算出手段と、を有することを特徴とする請求項8または9に記載の車両監査装置。
【請求項11】
前記挙動情報取得手段と前記監査手段とを一組として複数組を備え、各組が互いに離れて車両に設置されることを特徴とする請求項1から10のいずれか一項に記載の車両監査装置。
【請求項12】
前記複数組のうち少なくとも二組は、車両において冗長系を構成する異なる電源系から電力を供給され、車両において冗長系を構成する異なる通信系により通信することを特徴とする請求項11に記載の車両監査装置。
【請求項13】
複数の前記監査手段のそれぞれは、自身を含む複数の前記監査手段の監査結果と、前記機能ドメイン制御手段による監査結果とから、他の前記監査手段および前記機能ドメイン制御手段の異常を判定する多数決判定手段を有することを特徴とする請求項11または12に記載の車両監査装置。
【請求項14】
前記監査手段は、前記車両の挙動が異常であり、前記機能ドメイン制御手段による前記挙動制御が正常である場合、前記機能ドメイン制御手段に設定された前記挙動制御の優先順位に基づいて前記挙動制御の実施を調整し、車両の挙動異常を緩和する挙動制御調整手段を有することを特徴とする請求項1から13のいずれか一項に記載の車両監査装置。
【請求項15】
前記機能ドメイン制御手段に電力を供給する電源とは異なる電源から電力を供給されることを特徴とする請求項1から14のいずれか一項に記載の車両監査装置。
【請求項16】
前記機能ドメイン制御手段が接続する信号系とは異なる信号系と接続し、少なくとも前記挙動情報の一部を前記挙動情報取得手段に供給するインタフェース手段をさらに備えることを特徴とする請求項1から15のいずれか一項に記載の車両監査装置。
【請求項17】
前記監査手段は、前記機能ドメイン制御手段を構成する処理装置とは異なる処理装置により構成されていることを特徴とする請求項1から16のいずれか一項に記載の車両監査装置。
【請求項18】
前記監査手段が前記挙動情報に基づいて車両挙動量を推定するアルゴリズムは、前記機能ドメイン制御手段が前記制御対象に対する挙動制御量を算出するアルゴリズムと異なっていることを特徴とする請求項1から17のいずれか一項に記載の車両監査装置。
【請求項19】
車両に搭載された制御対象の挙動を機能ドメイン毎に制御する機能ドメイン制御手段と、
請求項1から18のいずれか一項に記載の車両監査装置と、
を備えることを特徴とする車両制御システム。
【請求項1】
車両の挙動情報を取得する挙動情報取得手段と、
車両に搭載された制御対象の挙動を機能ドメイン毎に制御する機能ドメイン制御手段とは独立して設けられ、前記制御対象に対する前記機能ドメイン制御手段による挙動制御の正当性を前記挙動情報に基づいて監査する監査手段と、
を備えることを特徴とする車両監査装置。
【請求項2】
安全性要求の高い前記機能ドメイン制御手段と安全性要求の低い前記機能ドメイン制御手段とが共有する共有情報を記憶している記憶手段に対し、安全性要求の低い前記機能ドメイン制御手段からの変更を制限する情報保護手段を備えることを特徴とする請求項1に記載の車両監査装置。
【請求項3】
安全性要求の高い前記機能ドメイン制御手段のうちの少なくとも一部は、安全性要求の低い前記機能ドメイン制御手段から提供される情報に基づき前記挙動制御の制御パラメータを調整することを特徴とする請求項1または2に記載の車両監査装置。
【請求項4】
前記監査手段は、複数の前記機能ドメイン制御手段から一つの前記制御対象に実施される前記挙動制御の正当性を監査することを特徴とする請求項1から3のいずれか一項に記載の車両監査装置。
【請求項5】
前記監査手段は、
車両に対して所定の挙動を要求する挙動要求情報を取得する挙動要求取得手段と、
前記挙動要求に基づいて車両の挙動を推定する挙動推定手段と、
車両の実際の実挙動を検出する実挙動検出手段と、
前記挙動推定手段が推定する車両の推定挙動と前記実挙動とを比較し車両挙動が異常であるかを判定する挙動異常判定手段と、
を有することを特徴とする請求項1から4のいずれか一項に記載の車両監査装置。
【請求項6】
前記挙動推定手段は、車両の物理モデルに基づいて車両の挙動を推定することを特徴とする請求項5に記載の車両監査装置。
【請求項7】
前記挙動推定手段は、車両挙動の異常パターンのデータベースに基づいて車両の挙動を推定することを特徴とする請求項5に記載の車両監査装置。
【請求項8】
前記監査手段は、前記車両挙動が異常であると前記挙動異常判定手段が判定すると前記車両挙動の異常を引き起こす可能性のある箇所の前記機能ドメイン制御手段による前記挙動制御を推定する制御異常推定手段と、前記制御異常推定手段が推定した箇所の前記挙動制御を遮断する制御遮断手段と、を有することを特徴とする請求項5から7のいずれか一項に記載の車両監査装置。
【請求項9】
前記監査手段は、前記車両挙動の異常を引き起こす可能性のある前記機能ドメイン制御手段による前記挙動制御の箇所を前記制御異常推定手段よりもさらに詳細に特定する制御異常特定手段を有し、
前記制御遮断手段は、前記制御異常特定手段が特定した箇所の前記挙動制御を遮断するとともに、前記制御異常推定手段の推定結果に基づいて遮断した箇所の前記挙動制御を復帰させることを特徴とする請求項8に記載の車両監査装置。
【請求項10】
前記監査手段は、一つの前記制御対象の挙動を制御している複数の前記機能ドメイン制御手段の前記挙動制御のうちの一部が前記制御遮断手段により遮断された場合、他の前記機能ドメイン制御手段の前記挙動制御により前記制御対象の挙動を制御可能かを判定する制御可能判定手段と、他の前記機能ドメイン制御手段の前記挙動制御により前記制御対象の挙動を制御可能であると前記制御可能判定手段が判定すると、遮断された箇所の前記挙動制御を補う他の前記挙動制御の制御パラメータを算出する制御パラメータ算出手段と、を有することを特徴とする請求項8または9に記載の車両監査装置。
【請求項11】
前記挙動情報取得手段と前記監査手段とを一組として複数組を備え、各組が互いに離れて車両に設置されることを特徴とする請求項1から10のいずれか一項に記載の車両監査装置。
【請求項12】
前記複数組のうち少なくとも二組は、車両において冗長系を構成する異なる電源系から電力を供給され、車両において冗長系を構成する異なる通信系により通信することを特徴とする請求項11に記載の車両監査装置。
【請求項13】
複数の前記監査手段のそれぞれは、自身を含む複数の前記監査手段の監査結果と、前記機能ドメイン制御手段による監査結果とから、他の前記監査手段および前記機能ドメイン制御手段の異常を判定する多数決判定手段を有することを特徴とする請求項11または12に記載の車両監査装置。
【請求項14】
前記監査手段は、前記車両の挙動が異常であり、前記機能ドメイン制御手段による前記挙動制御が正常である場合、前記機能ドメイン制御手段に設定された前記挙動制御の優先順位に基づいて前記挙動制御の実施を調整し、車両の挙動異常を緩和する挙動制御調整手段を有することを特徴とする請求項1から13のいずれか一項に記載の車両監査装置。
【請求項15】
前記機能ドメイン制御手段に電力を供給する電源とは異なる電源から電力を供給されることを特徴とする請求項1から14のいずれか一項に記載の車両監査装置。
【請求項16】
前記機能ドメイン制御手段が接続する信号系とは異なる信号系と接続し、少なくとも前記挙動情報の一部を前記挙動情報取得手段に供給するインタフェース手段をさらに備えることを特徴とする請求項1から15のいずれか一項に記載の車両監査装置。
【請求項17】
前記監査手段は、前記機能ドメイン制御手段を構成する処理装置とは異なる処理装置により構成されていることを特徴とする請求項1から16のいずれか一項に記載の車両監査装置。
【請求項18】
前記監査手段が前記挙動情報に基づいて車両挙動量を推定するアルゴリズムは、前記機能ドメイン制御手段が前記制御対象に対する挙動制御量を算出するアルゴリズムと異なっていることを特徴とする請求項1から17のいずれか一項に記載の車両監査装置。
【請求項19】
車両に搭載された制御対象の挙動を機能ドメイン毎に制御する機能ドメイン制御手段と、
請求項1から18のいずれか一項に記載の車両監査装置と、
を備えることを特徴とする車両制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−149208(P2009−149208A)
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願番号】特願2007−329106(P2007−329106)
【出願日】平成19年12月20日(2007.12.20)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願日】平成19年12月20日(2007.12.20)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
[ Back to top ]