La présente invention concerne le domaine des systèmes d'assistance à la conduite pour véhicules automobiles.

Les systèmes d'assistance à la conduite sont désormais largement répandus dans les véhicules automobiles récents et connaissent un développement rapide.

On connaît par exemple les régulateurs de vitesse adaptatifs, mieux connus sous l'acronyme anglais ACC (pour « Adaptive Cruise Control » ou « Autonomous Cruise Control »). Un tel mode d'assistance ajuste de manière automatique la vitesse afin de maintenir un intervalle de sécurité constant avec le véhicule précédant l'utilisateur à partir des informations recueillis sur ce véhicule (notamment la distance et la vitesse d'approche) à l'aide d'un ou plusieurs capteurs de type radar, lidar ou infrarouge.

On connaît également, notamment de la demande de brevet américaine US 2013/0096767, des systèmes dynamiques anti-franchissement involontaire de ligne. Ces derniers, désignés généralement sous les acronymes ALKA (pour « Active Lane Keep Assist »), LKAS (pour « Lane Keep Assistance System), ALA (pour « Active Lane Assist) ou encore ALC (pour « Active Lane Control ») détectent les lignes de marquages au sol à l'aide de capteurs et/ou de caméras optiques, et interviennent dynamiquement sur le véhicule lorsque ce dernier s'écarte de sa voie de circulation. Dans un tel cas de figure, le système d'assistance à la conduite va alors corriger automatiquement la direction du véhicule et/ou activer le freinage.

Les modes d'assistance à la conduite évoqués ci-avant sont activables chacun de manière indépendante par l'intermédiaire d'un bouton de commande dédié, situé par exemple sur le volant, sur un bras de commande sous-volant ou bien encore sur la planche de bord du véhicule.

Récemment, de nouveaux systèmes d'assistance à la conduite ont fait leur apparition dans les véhicules automobiles haut de gamme.

Tel est notamment le cas des assistants de conduite en embouteillage (plus connus sous l'acronyme anglais TJC pour « Traffic Jam Chauffeur ») destinés à soulager le conducteur dans des situations de trafic dense ou de bouchon (vitesse inférieure à 50/70 km/h) sur des routes à chaussées séparées (autoroutes et voies rapides). Ces derniers sont capables de réguler automatiquement la vitesse jusqu'à l'arrêt afin de maintenir une distance voulue avec le véhicule précédant tout en assurant le contrôle de la direction, de sorte que le conducteur peut lâcher le volant et les pédales pour vaquer à d'autres activités.

Le fonctionnement autonome d'un véhicule automobile est réglementé par des normes visant notamment à imposer un niveau de sécurité minimum à des fonctions du véhicule. Les niveaux de sécurité sont désignés ASIL pour Automotive Safety Integrity Level en langue anglaise. Les niveaux de sécurité sont notamment ASIL A, ASIL B, ASIL C, ASIL D, par ordre croissant de sécurité.

Le niveau de sécurité est attribué à partir de différents éléments, tels que, par exemple, l'occurrence d'une situation dangereuse, sa périodicité, les conséquences d'un dommage lié à une telle situation, la capacité à gérer la situation dangereuse, etc. Aussi, plus une fonction présente un niveau de sécurité élevé, par exemple un niveau ASIL D, plus la fonction sera complexe et coûteuse à mettre en œuvre afin de minimiser les risques. De manière générale, le fonctionnement autonome d'un véhicule - typiquement nécessite un niveau de sécurité ASIL D pour garantir une sécurité maximale des occupants du véhicule face à des situations dangereuses.

Ainsi un tel système doit être capable de continuer à fonctionner en présence d'un disfonctionnement, notamment du réseau de communication en les équipements jusqu'à une reprise en main du véhicule par le conducteur ou jusqu'à une mise en sécurité du véhicule.

On connaît par le document DE102015210531 un procédé de détection d'erreur de transmission dans un véhicule à moteur. Ce procédé permet de détecter des erreurs de type « babbling idiot ». Cependant rien n'est prévu pour maintenir le fonctionnement du véhicule lors d'une telle erreur, en particulier lorsque celui-ci met en œuvre un mode d'assistance autonome.

L'invention a donc pour but de remédier au problème précité en proposant un procédé et un dispositif d'assistance à la conduite permettant une reprise en mains sécurisée d'un véhicule lorsqu'une erreur de réseau, en particulier du type « babbling idiot », a été détectée.

Elle propose plus précisément à cet effet un procédé d'assistance à la conduite d'un véhicule comportant au moins un mode d'assistance, ledit procédé étant mis en œuvre par une unité de pilotage (30) d'un système d'assistance à la conduite, ladite unité de pilotage (30) étant connectée à un module d'actionnement (40), comportant une pluralité d'actionneurs aptes à contrôler des organes du véhicule, par l'intermédiaire d'un premier réseau (101 ) et d'un deuxième réseau (102), ledit procédé comportant une étape de :

- Réception (300) et traitement des données provenant du module d'actionnement par l'intermédiaire du premier réseau (101 ),

ledit procédé étant caractérisé en ce qu'il comporte, en réponse à une détection (301 ) d'un disfonctionnement sur le premier réseau (101 ), des étapes de :

- Déclenchement (302) d'une phase de reprise en main du véhicule par le conducteur

- Émission (303) d'une commande, à destination du module d'actionnement (40) pour commander la prise en compte de commandes provenant du deuxième réseau (102),

- Réception (304) et traitement des données provenant du module d'actionnement par l'intermédiaire du deuxième réseau (102).

L'utilisation d'un deuxième réseau, redondant le premier réseau, permet en cas de défaut du premier réseau, de laisser le temps au conducteur de reprendre en mains son véhicule. Le module de pilotage et le module d'actionnement continuent de communiquer via le deuxième réseau et ignorent les données circulant sur le premier réseau, ces données étant potentiellement altérées par le disfonctionnement. Selon une caractéristique de l'invention, le disfonctionnement détecté est du type « babillage idiot » dans lequel un calculateur connecté audit premier réseau émet arbitrairement des données sur ledit premier réseau, de sorte que son fonctionnement est perturbé voire bloqué. L'invention permet au véhicule de continuer de fonctionner en mode autonome lors de la phase de reprise en mains, même si l'un des réseaux présente un disfonctionnement de type « babillage idiot ».

Selon une caractéristique de l'invention, le module d'actionnement comporte une pluralité d'actionneurs aptes à contrôler au moins un des organes du véhicule suivant : la direction, l'accélération et le freinage.

Avantageusement, le procédé selon l'invention comporte en outre, en réponse à une détection d'un disfonctionnement sur le deuxième réseau, une étape de déclenchement d'une phase de reprise en main du véhicule par le conducteur. Lorsque c'est le deuxième réseau qui est atteint par un disfonctionnement, et que par conséquent le véhicule fonctionne encore parfaitement en mode nominale, la phase de reprise en main est quand même déclenchée car la redondance n'est plus correctement assurée.

Avantageusement, le mode d'assistance assure à la fois le contrôle du déplacement latéral et longitudinal du véhicule.

Avantageusement, la durée de la phase de reprise en main est comprise entre 5 et 10 secondes.

Avantageusement, que le premier réseau comporte une première passerelle, le module d'actionnement étant relié à la première passerelle par l'intermédiaire d'une première liaison, ladite première passerelle étant reliée au module de pilotage par l'intermédiaire d'une deuxième liaison.

Avantageusement, le deuxième réseau comporte une deuxième passerelle, le module d'actionnement étant relié à la deuxième passerelle par l'intermédiaire d'une troisième liaison, ladite deuxième passerelle étant reliée au module de pilotage par l'intermédiaire d'une quatrième liaison.

L'invention concerne aussi un système d'assistance à la conduite d'un véhicule comportant au moins un mode d'assistance, une unité de pilotage connectée à un module d'actionnement comportant une pluralité d'actionneurs aptes à contrôler des organes du véhicule, par l'intermédiaire d'un premier réseau et d'un deuxième réseau, ledit système comportant :

Des moyens de réception et traitement des données provenant du module d'actionnement par l'intermédiaire du premier réseau,

ledit système étant caractérisé en ce qu'il comporte en outre des moyens configurés pour, en réponse à une détection d'un disfonctionnement sur le premier réseau :

Déclencher une phase de reprise en main du véhicule par le conducteur du véhicule,

Réceptionner et traiter des données provenant du module d'actionnement par l'intermédiaire du deuxième réseau.

L'invention concerne aussi un véhicule caractérisé en ce qu'il comporte un système selon l'invention.

D'autres caractéristiques et avantages de l'invention apparaîtront à l'examen de la description détaillée ci-après, et des dessins annexés, sur lesquels:

- la figure 1 représente un diagramme fonctionnel d'un système automatisé d'assistance à la conduite pour véhicule ;

- la figure 2 illustre un exemple de réalisation d'un système selon l'invention ;

- la figure 3 montre un diagramme illustrant le procédé selon l'invention.

Les dessins annexés pourront non seulement servir à compléter l'invention, mais aussi contribuer à sa définition, le cas échéant.

Le véhicule met en œuvre au moins un mode d'assistance, par exemple pour la conduite en embouteillage, assurant à la fois le contrôle du déplacement latéral et longitudinal du véhicule dans des situations de trafic dense ou de bouchon (vitesse inférieure à une valeur seuil prédéterminée comprise par exemple entre 50 et 70 km/h) et sur des routes à chaussées séparées et dans lequel le conducteur n'est pas tenu de garder les yeux fixés sur la route et peut vaquer à d'autres occupations car le guidage peut être maintenu sur une période de quelques secondes (comprise par exemple entre 5 et 10 s) avant une reprise en main du véhicule par le conducteur.

En référence à la figure 1 , le système d'assistance automatisée à la conduite 1 comporte un module de surveillance du conducteur 10, un module d'évaluation du contexte de conduite 20, une unité de pilotage 30, un module d'actionnement des modes d'assistance à la conduite 40, ainsi qu'un module d'information et d'avertissement 50.

Le module de surveillance du conducteur 10 comprend par exemple un sous-module 1 1 de détection de la présence des mains du conducteur sur le volant 10, ainsi qu'un sous-module 12 de détection de celle de ses pieds sur les pédales d'accélération, de freinage et d'embrayage. Le module de surveillance du conducteur 10 peut également comporter une caméra pointée vers le visage du conducteur de façon déterminer son niveau d'attention et/ou la direction de son regard.

Le module d'évaluation du contexte de conduite 20 comprend une pluralité de capteur par exemple une caméra orientée vers l'avant du véhicule et délivrant des données permettant de déterminer le type de route empruntée (autoroute, voie rapide ou bien route secondaire) à partir de certains paramètres caractéristiques tels que la largeur de la voie, le marquage au sol (couleur, largeur et espacement des lignes) et la présence éventuelle d'une barrière ou d'un terre-plein central de séparation entre les deux sens de circulation. L'analyse des données fournies par ces capteurs permet en outre d'établir le niveau de fluidité du trafic routier.

Le module 20 comporte également une pluralité de capteurs mesurant certains paramètres internes de conduite tels que la vitesse instantanée du véhicule et l'angle de braquage du volant.

Les données recueillies par les deux modules de surveillance du conducteur 10 et d'évaluation du contexte de conduite 20 sont acheminés en temps réel vers l'unité de pilotage 30 à laquelle ces deux modules sont reliés.

L'unité de pilotage 30, comporte un calculateur 31 ainsi qu'un module de stockage 32 comprenant de la mémoire non volatile de type EEPROM ou FLASH et de la mémoire vive.

La mémoire non volatile stocke un processus d'assistance à la conduite du véhicule automobile dont l'organigramme est représenté sur la figure 3.

L'ensemble des informations contenues dans cette mémoire non volatile peut être mis à jour par des moyens de communication ou des moyens de lecture d'un support de données.

L'unité de pilotage 30 est reliée au module d'actionnement 40 auquel elle est apte à transmettre l'ordre d'activer ou de désactiver l'un des modes d'assistance à la conduite.

Le module d'actionnement 40 comporte une pluralité d'actionneurs aptes à contrôler certains organes du véhicule tels que la direction, l'accélération, le freinage et la boîte de vitesse pour assurer la mise en œuvre des différents modes d'assistance à la conduite dont est doté le véhicule.

La figure 2 montre une représentation schématique d'un système selon l'invention. Le système comporte un premier et un deuxième réseau.

L'unité de pilotage 30 est reliée au module d'actionnement 40 par l'intermédiaire d'un premier réseau, dit réseau nominal et par l'intermédiaire d'un second réseau dit réseau de secours. L'unité de pilotage 30 est par ailleurs reliée au module d'évaluation du contexte de conduite 20 qui comporte une pluralité de capteurs.

Différents types de réseau peuvent être utilisés pour connecter le module d'actionnement 40 au module de pilotage. On peut citer à titre d'exemple et de façon non exhaustive :

- CAN HS : réseau standard utilisé par tous les constructeurs automobiles. Ce réseau est construit avec une paire de fils torsadés non blindés et est utilisé principalement pour transmettre des paramètres avec des périodicités jusqu'à 10 ms de 8 octets par trame.

- CAN FD (pour Flexible Data) : Evolution du réseau précédent permettant d'atteindre les débits de données de 2Mb / s.

- Flexray 10 Mb/s Ce réseau est déterministe et peut être configuré en redondance afin d'augmenter le niveau de sécurité porté par la couche physique.

Le réseau nominal est utilisé lors d'un fonctionnement normal du véhicule. Autrement dit, le réseau nominal est le réseau utilisé par défaut si aucune panne n'est détectée sur un des équipements du réseau. Dans l'exemple chacun des actionneurs du module d'actionnement 40 est relié au module de pilotage par l'intermédiaire d'une liaison de type Flexray.

De façon avantageuse, chacun des actionneurs est relié à une première passerelle 101 .2 par l'intermédiaire d'une première liaison 101 .1 , ladite première passerelle 101 .2 étant reliée au module de pilotage 30 par l'intermédiaire d'une deuxième liaison 101 .3.

Le réseau de secours est notamment utilisé lorsqu'un disfonctionnement du réseau nominal est détecté. De façon avantageuse, le type de réseau utilisé pour le premier réseau est différent de celui utilisé pour le second réseau.

Cette caractéristique permet d'éviter des modes communs entre les deux réseaux. On rappelle que dans le domaine de l'ingénierie, un mode commun (ou common mode failure en anglais) désigne une pluralité de disfonctionnements dans un système, causé par un unique disfonctionnement.

Par exemple, si le premier réseau est de type Flexray, le deuxième réseau peut être de type CAN ou de type Ethernet ou bien une combinaison des deux.

De façon avantageuse, chacun des actionneurs est relié à une deuxième passerelle 102.2 par l'intermédiaire d'une troisième liaison 102.1 , ladite deuxième passerelle 102.2 étant reliée au module de pilotage 30 par l'intermédiaire d'une quatrième liaison 102.3.

La première 101 .2 et la deuxième 102.2 passerelles permettent de router les données échangées entre les équipements.

Si le premier 101 (resp. le deuxième 102) réseau est homogène, alors la première 101 .2 (resp. la deuxième 102.2) passerelle agit comme un routeur.

Par contre, si le premier 101 (resp. le deuxième 102) réseau est inhomogène, alors la première 101 .2 (resp. la deuxième 102.2) passerelle permet en outre de convertir les paquets circulant sur la première 101 .1 (resp. la troisième 102.1 ) liaison en des paquets circulant sur la deuxième 101 .3 (resp. la quatrième 102.3) liaison (et inversement).

Dans les types de réseaux décrits précédemment, un problème dit du « babillage idiot » (ou babbling idiot en anglais) expression qui signifie, qu'un terminal commence à émettre arbitrairement, même si un signal est déjà présent sur le réseau et que pour cela il perturbe voire bloque le réseau.

Ce type de problème est généralement dû à un disfonctionnement d'un nœud du réseau (un calculateur, une passerelle ou tout autre équipement connecté au réseau). Ce disfonctionnement peut être de nature matériel, par exemple un court-circuit au niveau du port de communication, ou de nature logiciel.

De façon avantageuse, les calculateurs du module d'actionnement ou de l'unité de pilotage émettent en permanence sur les deux réseaux 101 , 102.

Cette caractéristique permet de basculer facilement et rapidement du premier réseau vers le deuxième réseau lors d'une détection d'erreur.

En référence à la figure 3, le procédé comporte : une étape de réception 300 et traitement des données provenant du module d'actionnement 40 par l'intermédiaire du premier réseau 101 .

Cette étape correspond au fonctionnement normal (ou nominal) du système selon l'invention. Le module de pilotage 30 et le module d'actionnement 40 communiquent via le premier réseau 101 .

Le procédé comporte aussi une étape de détection 301 d'un disfonctionnement sur le premier réseau 101 . Comme expliqué précédemment, le disfonctionnement est en particulier un disfonctionnement de type « babillage idiot » dont des méthodes de détection sont connues de l'homme du métier.

En réponse à une telle détection, le procédé comporte en outre une étape de déclenchement 302 d'une phase de reprise en main du véhicule par le conducteur. La durée de la phase de reprise en main est avantageusement comprise entre 5 et 10 secondes, par exemple 10 secondes. Lorsque la redondance n'est plus assurée, le mode autonome doit être désactivé tout en permettant au conducteur de reprendre en main le véhicule de façon sécurisée.

Le module de pilotage 30 indique au module d'actionnement 40 que le deuxième réseau 102 doit être à présent utilisé pour transférer les données en redondance chaude. En réponse à cette étape de détection 301 , le procédé comporte en outre une étape de réception 304 et traitement des données provenant du module d'actionnement par l'intermédiaire du deuxième réseau 102. Le module de pilotage est en capacité à prendre en compte les données provenant du deuxième réseau 102 et non plus les données provenant du premier réseau 101 .

De façon avantageuse, le procédé d'assistance à la conduite selon l'invention comporte en outre, en réponse à une détection d'un disfonctionnement sur le deuxième réseau 102, une étape de déclenchement d'une phase de reprise en main par le conducteur du véhicule via des moyens d'alerte.

Comme indiqué plus haut, lorsque qu'il y a une défaillance sur les réseaux, le mode autonome doit être désactivé tout en permettant au conducteur de reprendre en main du véhicule de façon sécurisée. Le véhicule poursuit son fonctionnement nominal sur le premier réseau 102. Mais la phase de reprise en main est déclenchée. Ce qui aboutit à une désactivation du mode autonome soit par la reprise en main du client soit par un arrêt du véhicule dans la voie en cas de non reprise en main du client.