冗余系统的制作方法

1.本发明涉及一种搭载于可自主行驶的车辆上的冗余系统。


背景技术：

2.关于具备自动驾驶辅助系统的汽车，已知有用于所谓的“带条件的自动化”系统的体系结构(例如，专利文献1)。专利文献1中记载的体系结构具备：主计算机；在发生了与主计算机关联的故障的情况下代替主计算机而使用的备份计算机；以及对主计算机和备份计算机供电的主电源。另外，在专利文献1记载的体系结构中，设置有代替主电源而使用的备用电源，备用电源与主计算机和备用计算机连接。
3.现有技术文献
4.专利文献
5.专利文献1：日本特表2018－504309号公报
6.发明要解决的课题
7.在专利文献1记载的体系结构中，由于主计算机和备用计算机分别与主电源和备用电源这样的多个不同的电源连接，所以存在计算机和电源之间的连接关系变得复杂，系统的设计规模增大的问题。


技术实现要素：

8.本发明要解决的课题是提供一种能够缩小系统的设计规模的冗余系统。
9.本发明的冗余系统，是搭载于可自主行驶的车辆上，且至少具有第一电源系统和第二电源系统的冗余系统，具备驾驶控制用主控制装置和驾驶控制用副控制装置。驾驶控制用主控制装置执行用于使车辆自主地行驶的处理。驾驶控制用副控制装置在检测出与驾驶控制用主控制装置有关的异常的情况下，代替驾驶控制用主控制装置而被使用。驾驶控制用主控制装置与第一电源系统连接，不与第二电源系统连接，驾驶控制用副控制装置与第二电源系统连接，不与第一电源系统连接，由此解决上述课题。
10.发明效果
11.根据本发明，驾驶控制用主控制装置与第一电源系统连接，不与第二电源系统连接，驾驶控制用副控制装置与第二电源系统连接，不与第一电源系统连接，因此，能够简化控制装置与电源系统之间的连接关系，能够缩小系统的设计规模。
附图说明
12.图1是本实施方式的冗余系统的电源系统图。
13.图2是本实施方式的冗余系统的块图。
14.图3是表示在主控制系统中未发生异常时的动作的说明图。
15.图4是表示在驾驶控制用主ecu中发生了异常时的动作的说明图。
16.图5是表示在第一电源系统中发生了异常时的动作的说明图。
17.图6是表示在传感器中发生了异常时的动作的说明图。
具体实施方式
18.以下，根据附图说明本发明的实施方式。在以后的说明中，“第一”和“第二”这样的表述是以识别为目的的表述，并不是以包含“第一”的表述的名称的装置比包含“第二”的表述的名称的装置优先，相反地以包含“第二”的表述的装置比包含“第一”的表述的名称的装置优先等、以优劣的规定为目的的表述。
19.图1是搭载于电动汽车的本实施方式的冗余系统100的电源系统图。在本实施方式中，以将冗余系统100搭载于电动汽车的情况为例进行说明，但冗余系统100只要是搭载于车辆的系统即可，车辆的驱动源没有特别限定。例如，冗余系统100也可以搭载在混合动力汽车或汽油汽车上。
20.本实施方式的电动汽车具备自主行驶控制功能，能够以与驾驶辅助级别对应的自动驾驶模式行驶。驾驶辅助级别是表示驾驶辅助装置通过自主行驶控制功能对车辆的驾驶进行辅助时的介入程度的级别。驾驶辅助级别越高，则驾驶员对车辆驾驶的贡献度越低。具体而言，驾驶辅助级别能够使用基于美国汽车技术会(sae：society of automotive engineers)的sae j3016的定义等来进行设定。在本实施方式中，将驾驶辅助装置实现的驾驶辅助级别作为驾驶辅助级别3进行说明。在驾驶辅助级别3中，系统执行全部的驾驶任务，但驾驶员在有来自系统的请求的情况下，需要返回驾驶的控制，进行通过手动进行驾驶的准备。另外，在驾驶辅助级别3，即使在系统中发生了异常的情况下，也要求由未发生异常的剩余的系统继续进行自主行驶的冗余功能。作为具有冗余功能的系统(以下称为冗余系统)，例如可以列举完全冗余系统。在完全冗余系统中，车辆的自主行驶所需的装置，例如驾驶辅助装置、驱动控制装置以及传感器设置为通常用和备用。在完全冗余系统的情况下，由于搭载于车辆的装置数增加，所以对车辆的成本造成影响。另外，由于装置占有车辆内的空间的比例增加，因此对车辆内部的布局也产生影响。鉴于完全冗余系统中的上述问题，在本实施方式的冗余系统100中，通过以下说明的结构，能够不损害动作安全性能，降低成本，并且提高布局的自由度。
21.使用图1对电动汽车的电源系统进行说明。电动汽车具备驱动用蓄电池1作为驱动源。如图1所示，驱动用蓄电池1经由dcdc转换器2与第一电源系统3及第二电源系统4连接。
22.向dcdc转换器2输入驱动用蓄电池1的电压。dcdc转换器2是对驱动用蓄电池1的电压进行降压的转换器。由dcdc转换器2降压后的电压被输出到与第一电源系统3连接的第一蓄电池5和与第二电源系统4连接的第二蓄电池6。第一蓄电池5和第二蓄电池6由来自驱动用蓄电池1的电力充电。
23.本实施方式的冗余系统100具有第一电源系统3以及第二电源系统4。第一电源系统3和第二电源系统4分别是由互不相同的单一电源构成的电源系统。在以后的说明中，第一电源系统3的电压和第二电源系统4的电压作为同一电压进行说明，但第一电源系统3的电压和第二电源系统4的电压也可以是不同的电压。另外，冗余系统100具有的电源系统的数量至少有2个即可，冗余系统100除了第一电源系统3以及第二电源系统4之外，还可以具有其他的电源系统。
24.第一电源系统3是将第一蓄电池5作为电源而构成的电源系统。第一电源系统3与
第一蓄电池5和第一车载设备组8连接。第一车载设备组8与第一电源系统3连接，不与第二电源系统4连接。第一电源系统3包括连接第一蓄电池5和第一车载设备组8的配线(也称为第一电源系统的电源供给线)。
25.第一蓄电池5是向第一车载设备组8供给电力的蓄电池。作为第一蓄电池5，例如可以列举能够输出12v电压的铅蓄电池，但第一蓄电池5也可以是其他蓄电池。后面将描述第一车载设备组8。
26.第二电源系统4是将第二蓄电池6构成为电源的电源系统。第二电源系统4是与第一电源系统3不同的电源系统。第二电源系统4连接有第二蓄电池6和第二车载设备组9。第二车载设备组9与第二电源系统4连接，不与第一电源系统3连接。第二电源系统4包含连接第二蓄电池6和第二车载设备组9的配线(也称为第二电源系统的电源供给线)。
27.第二蓄电池6是向第二车载设备组9供给电力的蓄电池。作为第二蓄电池6，例如可以列举可输出12v电压的锂离子蓄电池，但第二蓄电池6也可以是其他蓄电池。后面将描述第二车载设备组9。
28.另外，在本实施方式中，第一电源系统3和第二电源系统4经由切换装置7连接。切换装置7是将第一电源系统3与第二电源系统4之间导通或切断的装置。切换装置7根据从后述的第一电源监控用ecu14或第二电源监控用ecu24输入的控制信号进行动作。切换装置7在输入了控制信号的情况下，使第一电源系统3与第二电源系统4之间断开。另一方面，切换装置7在未输入控制信号的情况下，使第一电源系统3与第二电源系统4之间导通。作为切换装置7，例如可以列举半导体开关。另外，切换装置7不限于半导体开关，只要是能够将第一电源系统3的电源供给线和第二电源系统4的电源供给线可电连接及切断的装置即可。
29.接着，使用图2说明冗余系统100的结构。图2是本实施方式的冗余系统100的块图。如图2所示，冗余系统100作为主控制系统具备：传感器10、驾驶控制用主ecu11、制动控制用主ecu12、操舵控制用主ecu13。ecu是electronic control unit(电子控制单元)的简称。在以下的说明中，将包含传感器10、驾驶控制用主ecu11、制动控制用主ecu12以及操舵控制用主ecu13的控制系统称为主控制系统进行说明。另外，构成主控制系统的ecu的数量没有限定，在主控制系统中也可以包含图2所示的ecu以外的ecu。
30.另外，冗余系统100具备驾驶控制用副ecu21、制动控制用副ecu22、操舵控制用副ecu23作为副控制系统。在以下的说明中，将包含驾驶控制用副ecu21、制动控制用副ecu22以及操舵控制用副ecu23的控制系统称为副控制系统进行说明。副控制系统至少包含驾驶控制用副ecu21。另外，构成副控制系统的ecu的数量没有限定，在副控制系统中也可以包含图2所示的ecu以外的ecu。
31.进而，冗余系统100具备：监控第一电源系统3的电压的第一电源监控用ecu14、和监控第二电源系统4的电压的第二电源监控用ecu24。此外，冗余系统100具备：传感器10、检测用ecu31以及选择用ecu32。
32.图2所示的各装置为了相互进行信息的发送接收，例如通过can(controller area network)等车载网络(以太网等)连接。另外，在冗余系统100中，车载网络的类别没有特别限定。另外，在图2中，用实线表示各装置的连接关系，但各装置在未用实线表示的部位也连接，可以相互发送接收信息。
33.传感器10是利用第二蓄电池6的电力进行动作，检测车辆的周围信息的传感器。构
成传感器10的传感器的类型及其个数没有特别限定。例如，传感器10可以由一个类型或多个类型传感器构成。另外，传感器10也可以由一个或多个的同一类型的传感器构成。进而，传感器10也可以由多个类型的多个传感器构成。在传感器10由多个类型传感器、同一类型的多个传感器或它们的组合构成的情况下，在以后的说明中，能够将“传感器10”置换为“传感器组10”。
34.在本实施方式中，传感器10包含：拍摄车辆前方的前方摄像机、通过电波检测从车辆到车辆前方的前行车辆或障碍物的距离的前方雷达、以及通过激光检测从车辆到车辆前方的前行车辆或障碍物的距离的前方激光雷达(lidar)中的至少任意一个。传感器10至少包含设置在车辆前方的上述传感器即可。例如，传感器10除了设置在车辆前方的传感器之外，还可以包含设置在车辆侧方的传感器(侧方摄像机、侧方雷达、侧方激光雷达)和设置在车辆后方的传感器(后方摄像机、后方雷达、后方激光雷达)。由传感器10检测出的车辆的周围信息包含车道边界线、道路形状等与道路有关的信息，信号、道路标识等与交通规则有关的信息、与前行车辆、对向车辆、自行车、行人等成为车辆行驶障碍的物体有关的信息。车辆的周围信息以规定的时间间隔输出到驾驶控制用主ecu11及驾驶控制用副ecu21。
35.图2所示的多个装置中具有ecu名称的装置由存储了用于执行各自的控制的程序的rom(read only memory)、存储在该rom中的cpu(central processing unit)、作为可访问的存储装置发挥功能的ram(random access memory)构成。各ecu是所谓的计算机，在以后的说明中，也可以将各ecu的名称中的“ecu”的部分替换为“控制装置”、“控制器”、“控制器单元”或“处理器”。以驾驶控制用主ecu11为例，“驾驶控制用主ecu11”这样的表述与“驾驶控制用主控制装置11”、“驾驶控制用主控制器11”、“驾驶控制用主控制单元11”或“驾驶控制用主处理器11”这样的表述同义。关于其他的ecu，由于与使用驾驶控制用主ecu11的说明相同，因此引用其说明。
36.驾驶控制用主ecu11是利用第一蓄电池5的电力进行动作，具有自主驾驶控制功能的主计算机。驾驶控制用主ecu11是驾驶自主行驶的车辆的主体。驾驶控制用主ecu11所具备的自主驾驶控制功能例如包含：控制转向装置以在车道中央附近行驶的车道中央维持功能；控制横向位置以在同一车道上行驶的车道保持功能；从行驶中的车道向其他车道移动的车道变更辅助功能；通过前方的其他车辆的横向(相邻车道)向前方移动的超越辅助功能；为了遵循到达目的地的路线而自主地变更车道的路线行驶辅助功能；以及将在同一车道上行驶于本车辆的前方的前行车辆与本车辆之间的车间距离维持在规定距离的同时进行行驶的前行车辆追随功能等。
37.向驾驶控制用主ecu11输入传感器10的检测结果。驾驶控制用主ecu11通过自主驾驶控制功能，基于传感器10的检测结果，执行用于使车辆沿着规定的目标轨迹行驶的处理。另外，规定的目标轨迹可以是由驾驶控制用主ecu11运算出的目标轨迹，也可以是由未图示的其他ecu运算出的目标轨迹。
38.例如，驾驶控制用主ecu11通过自主驾驶控制功能，基于传感器10的检测结果，运算车辆的横向位置，掌握车道与车道边界线的相对位置关系。车辆的横向位置是车辆相对于存在于车辆的左右的车道边界线的相对位置，是沿着与车辆的行进方向正交的方向的车辆的位置。驾驶控制用主ecu11基于车辆的横向位置，运算用于在同一车道上行驶的目标制动值及目标操舵值。同一车道意味着与车辆行驶中的车道相同。车道边界线是区分车辆行
驶的车道与该车道以外的边界。车道边界线的形态没有特别限定，车道边界线包含路面上的白线、护栏、路缘石以及中央隔离带。
39.另外，例如，驾驶控制用主ecu11通过自主驾驶控制功能，基于传感器10的检测结果，运算车辆的纵向位置，掌握车辆与前行车辆的相对位置关系。车辆的纵向位置是车辆相对于同一车道上的前行车辆的相对位置，是沿着车辆的行进方向的车辆的位置。驾驶控制用主ecu11基于车辆的纵向位置，运算用于将与前行车辆的车间距离维持为规定距离的目标制动值及目标操舵值。由主ecu11运算出的目标制动值和目标操舵值被输出到选择用ecu32。另外，在本实施方式中，前行车辆是指在同一车道上行驶于车辆的前方的车辆。
40.另外，驾驶控制用主ecu11具备用于存储驾驶控制用主ecu11的过去的运算结果的存储装置11a。关于使用存储在存储装置11a中的过去的运算结果的情况将在后面叙述。作为存储装置11a，可以列举作为易失性存储介质的ram、rom、hdd(hard disk drive)、作为非易失性存储介质的闪存(flash memory)等。存储装置11a的类别没有特别限定。驾驶控制用主ecu11将车辆的横向位置、车辆的纵向位置、目标制动值、目标操舵值等作为运算结果以规定的周期存储到存储装置11a中。
41.制动控制用主ecu12是利用第一蓄电池5的电力进行动作、并具有自主制动控制功能的主计算机。制动控制用主ecu12经由选择用ecu32从驾驶控制用主ecu11或驾驶控制用副ecu21输入目标制动值。制动控制用主ecu12通过基于目标制动值控制制动器促动器的动作来控制车辆的制动器。另外，制动控制用主ecu12也可以具备控制用于调整车辆的加减速以及车速的驱动机构的动作(在电动汽车的情况下是行驶用电动机的动作)的功能。
42.操舵控制用主ecu13是利用第二蓄电池6的电力进行动作、并具有自主操舵控制功能的主计算机。经由选择用ecu32，从驾驶控制用主ecu11或驾驶控制用副ecu21向操舵控制用主ecu13输入目标操舵值。操舵控制用主ecu13通过基于目标操舵值控制转向器促动器的动作来控制车辆的操舵。
43.第一电源监控用ecu14是用于监控对第一电源系统3供给电力的情况的计算机。具体而言，第一电源监控用ecu14基于与第一电源系统3连接的电压传感器(未图示)的检测结果，监控第一蓄电池5的输出电压。第一蓄电池5的输出电压是第一电源系统3的电源供给线的电压。
44.第一电源监控用ecu14在第一电源系统3的电源供给线的电压在规定的范围内的情况下，将表示第一电源系统3为正常的信号输出到驾驶控制用主ecu11及驾驶控制用副ecu21。另一方面，第一电源监控用ecu14在第一电源系统3的电源供给线的电压在规定的范围外的情况下，将表示在第一电源系统3中发生了异常的信号输出到驾驶控制用主ecu11、驾驶控制用副ecu21以及检测用ecu31。第一电源系统3的电源供给线的电压在规定的范围外的情况包含：与第一电源系统3连接的dcdc转换器2的输出端子或构成第一电源系统3的电源供给线的线束与地短路的情况(短路故障short fail)；dcdc转换器2的输出端子与第一电源系统3之间被电切断的情况(切断故障open fail)；以及dcdc转换器2的输出电压在规定的范围外的情况。另外，规定的范围是基于与第一蓄电池5的电压以及车辆的动作安全性相关的规定而设定的范围。
45.驾驶控制用副ecu21是利用第二蓄电池6的电力进行动作、并具有自主驾驶控制功能的副计算机。驾驶控制用副ecu21是在由检测用ecu31检测出与驾驶控制用主ecu11有关
的异常的情况下，代替驾驶控制用主ecu11而使用的备用ecu。驾驶控制用副ecu21在由检测用ecu31检测出与驾驶控制用主ecu11有关的异常的情况下，在从向驾驶员请求恢复驾驶控制起到驾驶员恢复驾驶控制为止的期间，代替驾驶控制用主ecu11而成为驾驶车辆的主体。驾驶控制用副ecu21所具备的自主驾驶控制功能可以与驾驶控制用主ecu11所具备的自主驾驶控制功能完全相同或同等程度，也可以是驾驶控制用主ecu11所具备的自主驾驶控制功能的一部分。另外，驾驶控制用主ecu11和驾驶控制用副ecu21相互不受影响地独立动作。
46.向驾驶控制用副ecu21输入传感器10的检测结果。驾驶控制用副ecu21基于传感器10的检测结果，执行用于使车辆自主地行驶的处理。例如，驾驶控制用副ecu21通过自主驾驶控制功能，在后述的检测用ecu31检测出与主控制系统有关的异常的前后，执行用于维持车辆与车道边界线的相对位置关系的处理。驾驶控制用副ecu21基于传感器10的检测结果，运算车辆的横向位置，掌握车辆与车道边界线的相对位置关系。驾驶控制用副ecu21基于车辆的横向位置，运算用于在同一车道上行驶的目标制动值及目标操舵值。
47.另外，例如，驾驶控制用副ecu21通过自主驾驶控制功能，在后述的检测用ecu31检测出与主控制系统有关的异常的前后，执行用于维持车辆与前行车辆的相对位置关系的处理。驾驶控制用副ecu21基于传感器10的检测结果，运算车辆的纵向位置，掌握车辆与前行车辆的相对位置关系。驾驶控制用副ecu21基于车辆的纵向位置，运算用于使与前行车辆的车间距离维持在规定距离的目标制动值及目标操舵值。由驾驶控制用副ecu21运算出的目标制动值及目标操舵值被输出到选择用ecu32。
48.制动控制用副ecu22是利用第二蓄电池6的电力进行动作、并具有自主制动控制功能的副计算机。制动控制用副ecu22是在由检测用ecu31检测出与制动控制用主ecu12有关的异常的情况下，代替制动控制用主ecu12而使用的备用ecu。
49.经由选择用ecu32，从驾驶控制用主ecu11或驾驶控制用副ecu21向制动控制用副ecu22输入目标制动值。制动控制用副ecu22通过自主制动控制功能，基于目标制动值来控制制动器促动器。优选制动控制用副ecu22所具备的自主制动控制功能与制动控制用主ecu12所具备的自主制动控制功能完全相同。
50.操舵控制用副ecu23是利用第一蓄电池5的电力进行动作、并具有自主操舵控制功能的副计算机。操舵控制用副ecu23是在由检测用ecu31检测出与操舵控制用主ecu13有关的异常的情况下，代替操舵控制用主ecu13而使用的备用ecu。
51.经由选择用ecu32，从驾驶控制用主ecu11或驾驶控制用副ecu21向操舵控制用副ecu23输入目标操舵值。操舵控制用副ecu23通过自主操舵控制功能，基于目标操舵值控制转向器促动器。优选操舵控制用副ecu23所具备的自主操舵控制功能与操舵控制用主ecu13所具备的自主操舵控制功能完全相同。
52.第二电源监控用ecu24是用于监控对第二电源系统4供给电力的情况的计算机。具体而言，第二电源监控用ecu24基于与第二电源系统4连接的电压传感器(未图示)的检测结果，监控第二蓄电池6的输出电压。第二蓄电池6的输出电压是第二电源系统4的电源供给线的电压。
53.第二电源监控用ecu24在第二电源系统4的电压在规定的范围内的情况下，将表示第二电源系统4为正常的信号输出到驾驶控制用主ecu11及驾驶控制用副ecu21。另一方面，第二电源监控用ecu24在第二电源系统4的电压在规定的范围外的情况下，将表示在第二电
源系统4中发生了异常的信号输出到驾驶控制用主ecu11、驾驶控制用副ecu21以及检测用ecu31。第二电源系统4的电压在规定范围外的情况的说明，相对于在第一电源监控用ecu14中说明的内容，能够将“第一电源系统3”置换为“第二电源系统4”，因此引用该说明。
54.检测用ecu31是利用第二蓄电池6的电力进行动作、并用于检测与主控制系统有关的异常的计算机。与主控制系统有关的异常包含：与传感器10有关的异常、与驾驶控制用主ecu11有关的异常、与制动控制用主ecu12有关的异常、以及与操舵控制用主ecu13有关的异常。
55.与传感器10有关的异常包含：传感器10的异常、与传感器10连接的车载网络的异常、以及第二电源系统4的异常。与驾驶控制用主ecu11有关的异常包含：驾驶控制用主ecu11的异常、与该ecu连接的车载网络的异常、以及第一电源系统3的异常。与制动控制用主ecu12有关的异常包含：制动控制用主ecu12的异常、与该ecu连接的车载网络的异常、以及第一电源系统3的异常。与操舵控制用主ecu13有关的异常包含：操舵控制用主ecu13的异常、与该ecu连接的车载网络的异常、以及第二电源系统4的异常。另外，车载网络的异常包含通信不良以及网络的物理性连接不良。
56.检测用ecu31根据来自驾驶控制用主ecu11的、表示驾驶控制用主ecu11、制动控制用主ecu12、以及操舵控制用主ecu13中的至少任意一个ecu的异常的信号或表示与这些ecu连接的车载网络的异常的信号判定为主控制系统发生了异常。另外，检测用ecu31在从第一电源监控用ecu14输入了表示第一电源系统3的异常的信号的情况下、或者从第二电源监控用ecu24输入了表示第二电源系统4的异常的信号的情况下，判定为主控制系统发生了异常。另外，检测用ecu31在从传感器10输入了表示传感器10的异常的信号或表示与传感器10连接的车载网络的异常的信号的情况下，判定为在主控制中发生了异常。检测用ecu31在判定为主控制系统发生了异常的情况下，向选择用ecu32输出表示难以或不能通过主控制系统继续进行车辆的驾驶控制的信号。另外，检测用ecu31向选择用ecu32输出选择用ecu32能够判别异常的类型的信号。
57.另一方面，检测用ecu31在未从驾驶控制用主ecu11、第一电源监控用ecu14、第二电源监控用ecu24及传感器10输入上述信号的情况下，判定为主控制系统未发生异常。
58.选择用ecu32是用于选择动作对象的ecu的计算机。另外，选择用ecu32是用于选择向动作对象的ecu传送的目标制动值及目标操舵值的计算机。选择用ecu32基于从检测用ecu31输入的信号，选择动作对象的制动控制用ecu，并选择动作对象的操舵控制用ecu。进而，选择用ecu32基于从检测用ecu31输入的信号，选择向动作对象的制动控制用ecu传送的目标制动值，并选择向动作对象的操舵控制用ecu传送的目标操舵值。另一方面，选择用ecu32在未从检测用ecu31输入信号的情况下，将由驾驶控制用主ecu11运算出的目标制动值传送给制动控制用主ecu12，将由驾驶控制用主ecu11运算出的目标操舵值传送给操舵控制用主ecu13。后面将描述选择用ecu32的动作。
59.接着，使用图3～图6，说明在主控制系统中未发生异常的情况下的冗余系统100的动作、和在主控制系统中发生了异常的情况下的冗余系统100的动作。在图3～图6中，对与图2所示的装置对应的装置标注与图2所示的符号相同的符号。
60.图3是表示在主控制系统中未发生异常的情况下的冗余系统100的动作的说明图。如图3所示，从传感器10向驾驶控制用主ecu11及驾驶控制用副ecu21输入周围信息。
61.驾驶控制用主ecu11基于传感器10的检测结果，运算车辆的横向位置和纵向位置，并基于运算出的车辆的横向位置和纵向位置，运算目标制动值和目标操舵值。另外，驾驶控制用主ecu11将运算结果存储到存储装置11a中。驾驶控制用主ecu11将目标制动值及目标操舵值输出到选择用ecu32。
62.驾驶控制用副ecu21基于传感器10的检测结果，运算车辆的横向位置和纵向位置，并基于运算出的车辆的横向位置和纵向位置，运算目标制动值和目标操舵值。驾驶控制用副ecu21将目标制动值和目标操舵值输出到选择用ecu32。
63.由于没有从检测用ecu31输出表示在主控制系统中发生了异常的信号，所以选择用ecu32将由驾驶控制用主ecu11运算出的目标制动值传送给制动控制用主ecu12，将由驾驶控制用主ecu11运算出的目标操舵值传送给操舵控制用主ecu13。制动控制用主ecu12基于输入的目标制动值来控制制动器促动器。另外，操舵控制用主ecu13基于输入的目标操舵值来控制转向器促动器。
64.图3所示的冗余系统100的动作每隔规定的周期而执行。由此，车辆能够沿着规定的目标轨迹自主地行驶，能够实现与驾驶辅助级别3对应的自动驾驶。
65.图4是说明在驾驶控制用主ecu11中发生了异常的情况下的冗余系统100的动作的说明图。在驾驶控制用主ecu11中发生了某种异常的情况下，驾驶控制用主ecu11通过自诊断功能，向检测用ecu31输出表示驾驶控制用主ecu11的异常的信号。检测用ecu31向选择用ecu32输出表示主控制系统中发生了异常的信号。此时，驾驶控制用主ecu11将在主控制系统中发生了异常的情况通知驾驶员，并且请求驾驶员恢复驾驶的控制(也称为接管请求)。例如，驾驶控制用主ecu11通过在仪表板的规定位置显示警告灯，对驾驶员进行接管请求。
66.驾驶控制用副ecu21基于传感器10的检测结果，运算车辆的横向位置和纵向位置，并基于运算出的车辆的横向位置和纵向位置，运算目标制动值和目标操舵值。驾驶控制用副ecu21将目标制动值和目标操舵值输出到选择用ecu32。由驾驶控制用副ecu21运算出的目标制动值及目标操舵值，是用于在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，使车辆不偏离车道的目标制动值及目标操舵值。另外，在同一车道上存在前行车辆的情况下，由驾驶控制用副ecu21运算出的目标制动值及目标操舵值，是用于在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，将车辆与前行车辆的车间距离维持在规定距离的目标制动值及目标操舵值。
67.选择用ecu32在从检测用ecu31输入的信号是表示驾驶控制用主ecu11的异常的信号的情况下，选择制动控制用主ecu12作为动作对象的制动控制用ecu，并且选择操舵控制用主ecu13作为动作对象的操舵控制用ecu。另外，选择用ecu32将由驾驶控制用副ecu21运算出的目标制动值传送给制动控制用主ecu12，并且将由驾驶控制用副ecu21运算出的目标操舵值传送给操舵控制用主ecu13。制动控制用主ecu12基于输入的目标制动值来控制制动器促动器。另外，操舵控制用主ecu13基于输入的目标操舵值来控制转向器促动器。
68.另外，图4所示的冗余系统100的动作不仅在驾驶控制用主ecu11中发生了异常的情况下使用，也可以在与驾驶控制用主ecu11连接的车载网络中发生了异常的情况下使用。该情况下，从驾驶控制用主ecu11向检测用ecu31输入表示在与驾驶控制用主ecu11连接的车载网络中发生了异常的信号。
69.图5是说明在第一电源系统3中发生了异常的情况下的冗余系统100的动作的说明
图。在第一电源系统3中发生了异常的情况下，以由第一蓄电池5的电力驱动的驾驶控制用主ecu11、制动控制用主ecu12以及操舵控制用副ecu23不能正常动作为例进行说明。即，在第一电源系统3中发生了异常的情况下，驾驶控制用主ecu11、制动控制用主ecu12以及操舵控制用副ecu23分别成为与发生了异常的情况相同的状态。
70.在第一电源系统3中发生了某种异常的情况下，第一电源监控用ecu14将表示第一电源系统3的异常的信号输出到检测用ecu31。检测用ecu31向选择用ecu32输出表示主控制系统发生了异常的信号。此时，代替驾驶控制用主ecu11，驾驶控制用副ecu21对驾驶员进行接管请求。另外，在驾驶控制用主ecu11能够动作的情况下，驾驶控制用主ecu11也可以对驾驶员进行接管请求。
71.另外，第一电源监控用ecu14在第一电源系统3中发生了异常的情况下，向切换装置7输出控制信号。切换装置7在从第一电源监控用ecu14输入了控制信号的情况下，使第一电源系统3与第二电源系统4之间切断。
72.当第一电源系统3与第二电源系统4之间被切换装置7切断时，则第一蓄电池5向第一车载设备组8供给与充电余量相应的电力，第二蓄电池6向第二车载设备组9供给与充电余量相应的电力。由此，从向驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，至少由第二车载装置组9继续车辆的驾驶控制。
73.驾驶控制用副ecu21的动作与图4所示的驾驶控制用副ecu21的动作相同，因此引用图4中的说明。
74.选择用ecu32在来自检测用ecu31的信号是表示第一电源系统3的异常的信号的情况下，选择制动控制用副ecu22作为动作对象的制动控制用ecu，并且选择操舵控制用主ecu13作为动作对象的操舵控制用ecu。另外，选择用ecu32将由驾驶控制用副ecu21运算出的目标制动值传送给制动控制用副ecu22，并且将由驾驶控制用副ecu21运算出的目标操舵值传送给操舵控制用主ecu13。制动控制用副ecu22基于输入的目标制动值来控制制动器促动器。另外，操舵控制用主ecu13基于输入的目标操舵值来控制转向器促动器。
75.图6是说明在传感器10中发生了异常时的冗余系统100的动作的说明图。在传感器10中发生了某种异常的情况下，传感器10将表示传感器10的异常的信号输出到检测用ecu31。检测用ecu31向选择用ecu32输出表示传感器10的异常的信号。此时，驾驶控制用主ecu11对驾驶员进行接管请求。
76.驾驶控制用主ecu11在传感器10中发生了异常的情况下，基于存储在存储装置11a中的过去的运算结果，运算车辆的横向位置和纵向位置。例如，驾驶控制用主ecu11通过将存储在存储装置11a中的车辆的横向位置和纵向位置按时间序列的顺序改变排列，来推定传感器10发生异常前的车道边界线相对于车辆的位置和前行车辆相对于车辆的位置。驾驶控制用主ecu11基于推定的车道边界线的位置和前行车辆的位置来运算目标制动值和目标操舵值。例如，由驾驶控制用副ecu21运算出的目标制动值，是用于在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间使车辆缓慢减速的目标制动值。驾驶控制用主ecu11向选择用ecu32输出目标制动值及目标操舵值。
77.选择用ecu32在来自检测用ecu31的信号是表示传感器10的异常的信号的情况下，选择制动控制用主ecu12作为动作对象的制动控制用ecu，并且选择操舵控制用主ecu13作为动作对象的操舵控制用ecu。另外，选择用ecu32将由驾驶控制用主ecu11运算出的目标制
动值传送给制动控制用主ecu12，并且将由驾驶控制用主ecu11运算出的目标操舵值传送给操舵控制用主ecu13。制动控制用主ecu12基于输入的目标制动值来控制制动器促动器。另外，操舵控制用主ecu13基于输入的目标操舵值来控制转向器促动器。
78.这样，在本实施方式的冗余系统100中，即使在主控制系统的传感器中发生了异常的情况下，也能够不使用传感器，在从对驾驶员进行接管请求后到驾驶员恢复驾驶控制为止的期间，继续车辆的自主行驶。即，在冗余系统100中，即使不设置备用的传感器，也能够维持与设置了备用的传感器的情况同等的动作安全性能。另外，在冗余系统100中，不需要用于设置备用传感器的空间，能够提高布局的自由度。另外，由于能够减少搭载在车辆上的装置数量，因此能够实现成本的降低。
79.如上所述，本实施方式的冗余系统100搭载于可自主行驶的车辆上，具有第一电源系统3和第二电源系统4。另外，冗余系统100具备：驾驶控制用主ecu11，其执行用于使车辆自主地行驶的处理；以及驾驶控制用副ecu21，其在检测出与驾驶控制用主ecu11有关的异常的情况下，代替驾驶控制用主ecu11而使用。在本实施方式中，驾驶控制用主ecu11与第一电源系统3连接，不与第二电源系统4连接，驾驶控制用副ecu21与第二电源系统4连接，不与第一电源系统3连接。驾驶控制用主ecu11及驾驶控制用副ecu21分别与作为单一的电源系统的第一电源系统3或第二电源系统4连接，因此能够简化驾驶控制用ecu与电源系统之间的连接关系，能够缩小系统的设计规模。
80.另外，本实施方式的冗余系统100具备传感器10，该传感器10检测车辆周围的信息，并将检测结果输出到驾驶控制用主ecu11及驾驶控制用副ecu21。传感器10与第二电源系统4连接，不与第一电源系统3连接。如使用图4和图5说明的那样，当主控制系统发生异常时，输入到制动控制用ecu的目标制动值有时需从由驾驶控制用主ecu11运算出的目标制动值切换为由驾驶控制用副ecu21运算出的目标制动值。输入到操舵控制用ecu的目标操舵值也同样。由驾驶控制用主ecu11运算出的车辆的横向位置和纵向位置与由驾驶控制用副ecu21运算出的车辆的横向位置和纵向位置有时不一定一致。在这样的情况下，由于在主控制系统发生异常的前后，车辆的横向位置及纵向位置产生误差，所以驾驶控制用副ecu21为了保持车辆的横向位置及纵向位置的连续性，需要基于传感器10的检测结果修正车辆的横向位置及纵向位置。在本实施方式中，由于传感器10与第二电源系统4连接，因此即使在第一电源系统3中发生了异常的情况下，驾驶控制用副ecu21也能够基于传感器10的检测结果修正车辆的横向位置及纵向位置。其结果是，在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，能够继续车道边界线与车辆的相对位置关系，因此能够防止车辆脱离车道。
81.进而，本实施方式的冗余系统100具备检测与主控制系统有关的异常的检测用ecu31。与主控制系统有关的异常包含：与驾驶控制用主ecu11有关的异常、与第一电源系统3有关的异常、与传感器10有关的异常中的至少任意一个。由此，在主控制系统中发生了某种异常的情况下，能够对驾驶员进行接管请求。
82.此外，在本实施方式中，传感器10检测车辆行驶的车道与该车道以外的边界即车道边界线，作为车辆的周围的信息。另外，驾驶控制用副ecu21在检测用ecu31检测出与主控制系统有关的异常的前后，执行用于维持车辆与车道边界线的相对位置关系的处理。由此，在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，车辆能够以不脱离车
道的方式行驶。
83.另外，在本实施方式中，传感器10检测在与车辆行驶的车道为同一车道上行驶于车辆前方的前行车辆，作为车辆的周围的信息。另外，驾驶控制用副ecu21在检测用ecu31检测出与主控制系统有关的异常的前后，执行用于维持车辆与前行车辆的相对位置关系的处理。由此，在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，车辆能够在维持与前行车辆的车间距离的同时进行行驶。
84.进而，在本实施方式中，驾驶控制用主ecu11具有存储驾驶控制用主ecu11的过去的运算结果的存储装置11a。驾驶控制用主ecu11在检测用ecu31检测出与传感器10有关的异常的情况下，基于存储在存储装置11a中的运算结果，运算车道上的车辆的位置。由此，即使在由于传感器10的异常而无法使用传感器10检测车道边界线的位置的情况下，在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，车辆也能够以不脱离车道的方式行驶。
85.此外，本实施方式的冗余系统100具备将第一电源系统3和第二电源系统4导通或切断的切换装置7。驾驶控制用副ecu21在检测用ecu31检测出第一电源系统3的异常的情况下，通过控制切换装置7来使所述第一电源系统与所述第二电源系统之间切断。由此，能够防止在第一电源系统3中发生的异常波及到第二电源系统4，在从对驾驶员进行接管请求后到驾驶员恢复驾驶的控制为止的期间，能够通过第二车载设备组9继续车辆的自主的行驶。
86.另外，本实施方式的冗余系统100具备：操舵控制用主ecu13，其基于驾驶控制用主ecu11的控制或从驾驶控制用副ecu21输入的目标操舵值，控制车辆的转向器；以及操舵控制用副ecu23，其在检测出与操舵控制用主ecu13有关的异常的情况下，代替操舵控制用主ecu13而使用。操舵控制用主ecu13与第二电源系统4连接，不与第一电源系统3连接，操舵控制用副ecu23与第一电源系统3连接，不与第二电源系统4连接。由此，即使在第一电源系统3中发生了异常的情况下，也可继续基于操舵控制用主ecu13的车辆的操舵控制。在第一电源系统3中发生了异常的前后，能够抑制操舵控制的冲击。
87.另外，以上说明的实施方式是为了容易理解本发明而记载的，并不是为了限定本发明而记载的。因此，上述实施方式所公开的各要素的主旨还包含属于本发明的技术范围的所有设计变更和等同物。
88.例如，在本实施方式中，对于第一电源监控用ecu14及第二电源监控用ecu24，作为检测第一电源系统3的异常或第二电源系统4的异常的装置进行了说明，但第一电源监控用ecu14及第二电源监控用ecu24也可以用于其他用途。
89.第一电源监控用ecu14也可以用于判定由驾驶控制用主ecu11进行的控制的开始。例如，在车辆的点火接通，且第一电源系统3的电压上升的情况下，驾驶控制用主ecu11也可以在第一电源监控用ecu14判定为对第一电源系统3供给电力的情况下，开始用于使车辆自主地行驶的处理。在该情况下，在车辆的点火接通后，从第一电源监控用ecu14向驾驶控制用主ecu11初次输入表示第一电源系统3正常的信号。由于驾驶控制用主ecu11能够在从第一蓄电池5供给了足够的电力的状态下开始处理，因此能够降低在点火接通后车辆的行为骤变的可能性。
90.另外，第一电源监控用ecu14及第二电源监控用ecu24也可以用于判定由驾驶控制用主ecu11进行的控制的结束。例如，在车辆的点火关闭，且第一电源系统3的电压及第二电
源系统4的电压下降的情况下，驾驶控制用主ecu11也可以执行用于使车辆自主行驶的处理，直至第一电源监控用ecu14判定为未向第一电源系统3供给电力、且第二电源监控用ecu24判定为未向第二电源系统4供给电力为止。在该情况下，在车辆的点火关闭后，从第一电源监控用ecu14向驾驶控制用主ecu11初次输入表示第一电源系统3的异常的信号，另外，从第二电源监控用ecu24初次输入表示第二电源系统4的异常的信号。驾驶控制用主ecu11能够继续进行处理，直至成为对第一电源系统3和第二电源系统4都不供给电力的状态。另外，即使在第一电源系统3中发生异常，也能够防止驾驶控制用主ecu11停止处理。
91.另外，例如，在本实施方式中，以将操舵控制用主ecu13设置在第二电源系统4侧，将操舵控制用副ecu23设置在第一电源系统3侧的冗余系统100的结构为例进行了说明，但冗余系统100也可以是将操舵控制用主ecu13设置在第一电源系统3侧，将操舵控制用副ecu23设置在第二电源系统4侧的结构。
92.另外，例如，在本实施方式中，以将冗余系统100搭载于能够实现驾驶辅助级别3的车辆上的情况为例进行了说明，但冗余系统100也可以搭载于能够实现驾驶辅助级别2的车辆上。例如，即使是搭载了驾驶员不接触转向器而车辆自主行驶的模式(也称为手离开模式)的驾驶辅助级别2的车辆，也能够得到与能够实现驾驶辅助级别3的车辆所得到的效果相同的效果。
93.另外，在本实施方式中，以在主控制系统中发生了异常的情况为例进行了说明，但对在副控制系统中发生了异常的情况进行说明。例如，即使在第二电源系统4中发生异常，第二车载设备组9不能正常动作的状态下，也能够通过冗余系统100的、驾驶控制用主ecu11、制动控制用主ecu12以及操舵控制用副ecu23，使车辆继续自主地行驶。在该情况下，与传感器10发生异常的情况的例子相同，驾驶控制用主ecu11不使用传感器10而推定车辆的横向位置和纵向位置。
94.另外，在本实施方式中，以使用存储在存储装置11a中的过去的运算结果来推定车辆的横向位置和纵向位置的结构为例进行了说明，但不限于此。例如，驾驶控制用主ecu11也可以基于当前的车轮速度或当前的横摆率来推定车辆的横向位置及纵向位置。另外，在推定车辆的横向位置和纵向位置时使用的信息不限于由驾驶控制用主ecu11运算出的过去的车辆的横向位置和纵向位置，也可以是由驾驶控制用主ecu11运算出的过去的车辆的目标制动值或目标操舵值。
95.符号说明
96.1：驱动用蓄电池
97.2：dcdc转换器
98.3：第一电源系统
99.4：第二电源系统
100.5：第一蓄电池
101.6：第二蓄电池
102.7：切换装置
103.8：第一车载设备组
104.11：驾驶控制用主ecu
105.12：制动控制用主ecu
106.14：第一电源监控用ecu
107.23：操舵控制用副ecu
108.9：第二车载设备组
109.10：传感器
110.13：操舵控制用主ecu
111.21：驾驶控制用副ecu
112.22：制动控制用副ecu
113.24：第二电源监控用ecu
114.31：检测用ecu
115.32：选择用ecu

技术特征：
1.一种冗余系统，搭载于可自主地行驶的车辆上，至少具有第一电源系统及与所述第一电源系统不同的第二电源系统，该冗余系统具备：驾驶控制用主控制装置，其执行用于使所述车辆自主地行驶的处理；驾驶控制用副控制装置，其在检测出与所述驾驶控制用主控制装置有关的异常的情况下，代替所述驾驶控制用主控制装置而被使用，所述驾驶控制用主控制装置与所述第一电源系统连接，不与所述第二电源系统连接，所述驾驶控制用副控制装置与所述第二电源系统连接，不与所述第一电源系统连接。2.如权利要求1所述的冗余系统，其中，具备传感器，其检测所述车辆周围的信息，并将检测结果输出到所述驾驶控制用主控制装置及所述驾驶控制用副控制装置，所述传感器与所述第二电源系统连接，不与所述第一电源系统连接。3.如权利要求2所述的冗余系统，其中，具备检测用控制装置，其检测与包含所述驾驶控制用主控制装置的主控制系统有关的异常，与所述主控制系统有关的异常包含：与所述驾驶控制用主控制装置有关的异常、所述第一电源系统的异常、以及与所述传感器有关的异常中的至少任意一个。4.如权利要求3所述的冗余系统，其中，所述传感器检测出所述车辆行驶的车道与所述车道以外的边界即车道边界线，作为所述车辆周围的信息，所述驾驶控制用副控制装置在所述检测用控制装置检测出与所述主控制系统有关的异常的前后，执行用于维持所述车辆与所述车道边界线的相对位置关系的处理。5.如权利要求3或4所述的冗余系统，其中，所述传感器检测出在与所述车辆行驶的车道为同一车道上行驶于所述车辆的前方的前行车辆，作为所述车辆周围的信息，所述驾驶控制用副控制装置在所述检测用控制装置检测出与所述主控制系统有关的异常的前后，执行用于维持所述车辆与所述前行车辆的相对位置关系的处理。6.如权利要求3～5中任一项所述的冗余系统，其中，所述驾驶控制用主控制装置具有存储所述驾驶控制用主控制装置的过去的运算结果的存储装置，所述驾驶控制用主控制装置在所述检测用控制装置检测出与所述传感器有关的异常的情况下，基于存储在所述存储装置中的所述运算结果，推定在所述车辆行驶的车道上的所述车辆的位置。7.如权利要求3～6中任一项所述的冗余系统，其中，具备对所述第一电源系统和所述第二电源系统进行导通或切断的切换装置，所述驾驶控制用副控制装置在所述检测用控制装置检测出所述第一电源系统的异常的情况下，通过控制所述切换装置使所述第一电源系统与所述第二电源系统之间切断。8.如权利要求1～7中任一项所述的冗余系统，其中，具备：操舵控制用主控制装置，其基于从所述驾驶控制用主控制装置或所述驾驶控制用副控制装置输入的目标操舵值，控制所述车辆的转向器；
操舵控制用副控制装置，其在检测出与所述操舵控制用主控制装置有关的异常的情况下，代替所述操舵控制用主控制装置而被使用，所述操舵控制用主控制装置与所述第二电源系统连接，不与所述第一电源系统连接，所述操舵控制用副控制装置与所述第一电源系统连接，不与所述第二电源系统连接。9.如权利要求1～8中任一项所述的冗余系统，其中，具备监控所述第一电源系统的状态的第一监控装置，所述驾驶控制用主控制装置在所述第一监控装置判定为向所述第一电源系统供给电力的情况下，开始用于使所述车辆自主行驶的所述处理。10.如权利要求9所述的冗余系统，其中，具备监控所述第二电源系统的状态的第二监控装置，所述驾驶控制用主控制装置执行用于使所述车辆自主地行驶的所述处理，直至所述第一监控装置判定为未向所述第一电源系统供给电力、且所述第二监控装置判定为未向所述第二电源系统供给电力为止。

技术总结
一种冗余系统，搭载于可自主地行驶的车辆上，至少具有第一电源系统(3)和与第一电源系统(3)不同的第二电源系统(4)，该冗余系统具备：驾驶控制用主控制装置(11)，其执行用于使车辆自主地行驶的处理；驾驶控制用副控制装置(21)，其在检测出与驾驶控制用主控制装置(11)有关的异常的情况下，代替驾驶控制用主控制装置(11)而被使用，驾驶控制用主控制装置(11)与第一电源系统(3)连接，不与第二电源系统(4)连接，驾驶控制用副控制装置(21)与第二电源系统(4)连接，不与第一电源系统(3)连接。不与第一电源系统(3)连接。不与第一电源系统(3)连接。


技术研发人员：早川泰久 武田文纪 网代圭悟
受保护的技术使用者：日产自动车株式会社
技术研发日：2020.12.04
技术公布日：2023/8/1