驾驶功能安全架构及车辆的制作方法

1.本技术涉及车辆安全技术领域，特别涉及一种驾驶功能安全架构及车辆。


背景技术：

2.近年来，以驾驶员辅助技术为代表的新技术不断引入汽车领域，致使汽车内部电子控制单元(ecu)的数量和复杂度不断提升，处理电子控制单元可能发生的故障或失效的需求也随之增加。
3.相关技术中，大多采用失效运行架构，即增加一套冗余系统组成双通道系统，而每个通道系统都有诊断能力，当系统中某一个通道系统发生故障或失效，系统可以关闭异常通道，仅使用另一通道进行运行，但是在系统发生故障或是失效时无法探测到相关故障信息则无法针对故障进行具体的处理，一方面为后续维修带来了麻烦，浪费资源；另一方面复杂性高且可移植性较差，安全隐患较多。


技术实现要素：

4.本技术提供一种驾驶功能安全架构及车辆，以解决相关技术中当电子控制单元发生故障或失效时，无法保证系统能够及时进入冗余控制或是功能降级等可接受的安全状态，且无法保证系统具有可移植性，导致用户用车安全性不高，适用性较差等问题。
5.本技术第一方面实施例提供一种驾驶功能安全架构，包括：主传感器，用于感知车辆周围的第一感知信息；冗余传感器，用于感知车辆周围的第二感知信息；第一功能系统，用于根据所述第一感知信息生成第一控制信号；第二功能系统，用于根据所述第一感知信息生成第二控制信号，其中，所述第一功能系统与所述第二功能系统互为冗余；第三功能系统，用于根据所述第二感知信息生成第三控制信号，其中，所述第三功能系统与所述第一功能系统和所述第二功能系统的组合系统形成冗余；仲裁系统，用于在所述第一功能系统和/或所述第二功能系统正常时，根据所述第一控制信号或所述第二控制信号控制车辆执行第一驾驶功能，并控制所述第三功能系统禁止输出所述第三控制信号，否则控制所述第三功能系统输出第三控制信号，利用所述第三控制信号控制所述车辆执行第二驾驶功能。
6.根据上述技术手段，本技术实施例可以在第一功能系统和/或所述第二功能系统不正常时，控制第三功能系统输出第三控制信号，并利用其控制车辆执行第二驾驶功能，保证在功能系统发生故障或失效时，能够及时进行功能的冗余控制或降级控制，从而通过功能冗余以及功能降级冗余的双冗余系统保证驾驶功能的安全，使车辆在功能系统异常时依然可以处于安全状态下，避免车辆失控，提升车辆的安全性以及可靠性，同时保证了系统的可移植性，具有较强的适用性。
7.进一步地，第一至第三功能系统均包括：驾驶功能模块，所述驾驶功能模块中设置有驾驶功能算法，利用所述驾驶功能算法对传感器感知的感知信息进行决策和规划，得到控制信号；控制模块，用于根据所述控制信号控制所述车辆执行对应驾驶功能。
8.根据上述技术手段，本技术实施例中第一至第三功能系统均包括驾驶功能模块和
控制模块，而驾驶功能模块用于实现设定的智能驾驶功能，控制模块用于在智能驾驶模块中设置的智能功能算法点对传感器的感知信息进行决策规划后得到的控制信号去控制车辆执行对应驾驶功能，从而保证系统的正常运行及车辆的正常行驶。
9.进一步地，所述驾驶功能模块包括：感知子模块，用于获取传感器感知的感知信息；融合子模块，用于对所述感知信息进行信息融合，得到融合信息；决策规划子模块，用于对所述融合信息进行决策和规划，得到控制信号。
10.根据上述技术手段，本技术实施例中驾驶功能模块还包括感知子模块、融合子模块和决策规划子模块，而感知子模块主要用于获取传感器感知到的车辆周围的感知信息；融合子模块用于对感知信息进行信息融合；决策规划子模块用于对得到的融合信息进行决策规划得到控制信号，从而利用控制模块控制车辆执行对应驾驶功能，保证在车辆行驶过程中对车辆周围信息能够进行准确的判断，从而保证车辆的安全驾驶。
11.进一步地，所述第一功能系统与所述第二功能系统包括：监控模块，用于监控所述系统的实际运行状态，其中，所述实际运行状态包括正常状态和异常状态。
12.根据上述技术手段，本技术实施例中第一功能系统和第二功能系统还包括监控模块，用于监控系统的实际运行状态，并根据相应的实际运行状态进行下一步操作，并在运行状态异常时能够及时了解故障原因，并进行相应的冗余控制或功能降级等功能，使运行状态变为可接受的安全状态，保证车辆的安全行驶。
13.进一步地，所述监控模块部署于中间件层，其中，所述中间件层位于应用层和操作系统层之间。
14.进一步地，所述仲裁系统包括：仲裁模块，用于对所述第一功能系统、所述第二功能系统和所述第三功能系统的监控信息进行仲裁，确定控制所述车辆的功能系统；输出模块，根据输出所述仲裁模块的仲裁结果对应功能系统的控制信号。
15.根据上述技术手段，本技术实施例中仲裁系统包括仲裁模块和输出模块，仲裁模块主要是用于对第二功能系统和所述第三功能系统的监控信息进行仲裁，并确定控制车辆的功能系统发出仲裁结果以及控制信息；输出模块用于输出仲裁模块的仲裁结果对应的功能系统的控制信号，通过车辆对于获取的相关信息进行仲裁决策并输出控制信号控制执行对应的功能，保证车辆的安全行驶。
16.进一步地，所述第二功能系统与所述第一功能系统使用异构驾驶功能算法。
17.根据上述技术手段，本技术实施例第二功能系统与第一功能系统使用异构驾驶功能算法，能够非常高效的利用计算资源实现快速计算，可扩展性强，能够快速判断车辆的相关状况和信息，保证车辆的安全行驶。
18.进一步地，所述主传感器包括摄像头、毫米波雷达和激光雷达中的一个或多个。
19.进一步地，所述冗余传感器包括摄像头和毫米波雷达中的一个或多个。
20.本技术第二方面实施例提供一种车辆，包括如上述实施例所述的驾驶功能安全架构。
21.由此，本技术至少具有如下有益效果：
22.(1)本技术实施例可以在第一功能系统和/或所述第二功能系统不正常时，控制第三功能系统输出第三控制信号，并利用其控制车辆执行第二驾驶功能，保证在功能系统发生故障或失效时，能够及时进行功能的冗余控制或降级控制，从而通过功能冗余以及功能
降级冗余的双冗余系统保证驾驶功能的安全，使车辆在功能系统异常时依然可以处于安全状态下，避免车辆失控，提升车辆的安全性以及可靠性，同时保证了系统的可移植性，具有较强的适用性。
23.(2)本技术实施例中第一至第三功能系统均包括驾驶功能模块和控制模块，而驾驶功能模块用于实现设定的智能驾驶功能，控制模块用于在智能驾驶模块中设置的智能功能算法点对传感器的感知信息进行决策规划后得到的控制信号去控制车辆执行对应驾驶功能，从而保证系统的正常运行及车辆的正常行驶。
24.(3)本技术实施例中驾驶功能模块还包括感知子模块、融合子模块和决策规划子模块，而感知子模块主要用于获取传感器感知到的车辆周围的感知信息；融合子模块用于对感知信息进行信息融合；决策规划子模块用于对得到的融合信息进行决策规划得到控制信号，从而利用控制模块控制车辆执行对应驾驶功能，保证在车辆行驶过程中对车辆周围信息能够进行准确的判断，从而保证车辆的安全驾驶。
25.(4)本技术实施例中第一功能系统和第二功能系统还包括监控模块，用于监控系统的实际运行状态，并根据相应的实际运行状态进行下一步操作，并在运行状态异常时能够及时了解故障原因，并进行相应的冗余控制或功能降级等功能，使运行状态变为可接受的安全状态，保证车辆的安全行驶。
26.(5)本技术实施例中仲裁系统包括仲裁模块和输出模块，仲裁模块主要是用于对第二功能系统和所述第三功能系统的监控信息进行仲裁，并确定控制车辆的功能系统发出仲裁结果以及控制信息；输出模块用于输出仲裁模块的仲裁结果对应的功能系统的控制信号，通过车辆对于获取的相关信息进行仲裁决策并输出控制信号控制执行对应的功能，保证车辆的安全行驶。
27.(6)本技术实施例第二功能系统与第一功能系统使用异构驾驶功能算法，能够非常高效的利用计算资源实现快速计算，可扩展性强，能够快速判断车辆的相关状况和信息，保证车辆的安全行驶。
28.本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。
附图说明
29.本技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
30.图1为根据本技术实施例提供的一种驾驶功能安全架构的方框示意图；
31.图2为根据本技术实施例提供的监控模块部署图；
32.图3为根据本技术实施例提供的系统安全架构图。
具体实施方式
33.下面详细描述本技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本技术，而不能理解为对本技术的限制。
34.近年来，以驾驶员辅助技术为代表的新技术不断引入汽车领域，致使汽车内部电
子控制单元(ecu)的数量和复杂度不断提升，处理电子控制单元可能发生的故障或失效的需求也随之增加。
35.目前，大多数系统采用失效运行架构，即增加一套冗余系统，组成双通道系统，每个通道系统都有诊断能力，当系统中某一个通道系统发生故障或失效，系统可以关闭异常通道，仅使用另一通道进行运行。
36.相关技术(1)中，提供了一种实现l4级及以上自动驾驶符合功能安全要求的全冗余电子电器架构，做到了感知、控制、执行、通信和电源的全冗余，但该申请未阐述在车辆无法探测的故障或失效时的处理逻辑，也未涉及故障处理具体的实现方式，复杂性高且可移植性较差。
37.相关技术(2)中，提供了一种冗余的自动驾驶车辆的控制系统及控制方法，自动驾驶车辆的控制系统包括：第一车辆操控组件和第二车辆操控组件；第一自动驾驶系统和第二自动驾驶系统，第一自动驾驶系统对第一车辆操控组件和油门进行控制，第二自动驾驶系统对第二车辆操控组件和油门进行控制；当第一车辆操控组件和/或第一自动驾驶系统出现故障时，第一自动驾驶系统向第二自动驾驶系统发送故障码，第二自动驾驶系统根据故障码切换至工作状态，对第二车辆操控组件和油门进行控制；保证了车辆安全行驶，提高了自动驾驶过程中车辆和人员的安全性。但该申请只阐述了智能驾驶系统的控制系统部分，且可移植性较差。
38.由此，本技术实施例提供了一种用于车辆功能安全的安全架构及方法，当电子控制单元发生故障或失效时，保证系统能及时的进入冗余控制或功能降级等可接受的安全状态，且保证系统具有一定的可移植性。
39.下面参考附图描述本技术实施例的驾驶功能安全架构及车辆。具体而言，图1为本技术实施例所提供的一种驾驶功能安全架构的方框示意图。
40.如图1所示，该驾驶功能安全架构10包括：主传感器100、冗余传感器200、第一功能系统300、第二功能系统400、第三功能系统500和仲裁系统600。
41.其中，主传感器100用于感知车辆周围的第一感知信息；冗余传感器200用于感知车辆周围的第二感知信息；第一功能系统300用于根据第一感知信息生成第一控制信号；第二功能系统400用于根据第一感知信息生成第二控制信号，其中，第一功能系统300与第二功能系统400互为冗余；第三功能系统500用于根据第二感知信息生成第三控制信号，其中，第三功能系统500与第一功能系统300和第二功能系统400的组合系统形成冗余；仲裁系统600用于在第一功能系统300和/或第二功能系统400正常时，根据第一控制信号或第二控制信号控制车辆执行第一驾驶功能，并控制第三功能系统500禁止输出第三控制信号，否则控制第三功能系统500输出第三控制信号，利用第三控制信号控制车辆执行第二驾驶功能。
42.其中，第一功能系统300可以是主通道系统；第二功能系统400可以是冗余通道系统；第三功能系统可以是功能降级的功能降级通道系统，在此不做具体限定。
43.其中，第二功能系统400与第一功能系统300使用异构驾驶功能算法。
44.其中，主传感器100包括摄像头、毫米波雷达和激光雷达中的一个或多个。
45.其中，冗余传感器200包括摄像头和毫米波雷达中的一个或多个。
46.可以理解的是，本技术实施例可以在第一功能系统和/或所述第二功能系统不正常时，控制第三功能系统输出第三控制信号，并利用其控制车辆执行第二驾驶功能，保证在
功能系统发生故障或失效时，能够及时进行功能的冗余控制或降级控制，从而通过功能冗余以及功能降级冗余的双冗余系统保证驾驶功能的安全，使车辆在功能系统异常时依然可以处于安全状态下，避免车辆失控，提升车辆的安全性以及可靠性，同时保证了系统的可移植性，具有较强的适用性。
47.在本技术实施例中，第一至第三功能系统均包括：驾驶功能模块和控制模块。
48.其中，驾驶功能模块中设置有驾驶功能算法，利用驾驶功能算法对传感器感知的感知信息进行决策和规划，得到控制信号；控制模块用于根据控制信号控制车辆执行对应驾驶功能。
49.可以理解的是，本技术实施例中驾驶功能模块用于实现设定的智能驾驶功能，控制模块用于在智能驾驶模块中设置的智能功能算法点对传感器的感知信息进行决策规划后得到的控制信号去控制车辆执行对应驾驶功能，从而保证系统的正常运行及车辆的正常行驶。
50.在本技术实施例中，驾驶功能模块包括：感知子模块、融合子模块和决策规划子模块。
51.其中，感知子模块，用于获取传感器感知的感知信息；融合子模块，用于对感知信息进行信息融合，得到融合信息；决策规划子模块，用于对融合信息进行决策和规划，得到控制信号。
52.可以理解的是，本技术实施例中驾驶功能模块还包括感知子模块.融合子模块和决策规划子模块，而感知子模块主要用于获取传感器感知到的车辆周围的感知信息；融合子模块用于对感知信息进行信息融合；决策规划子模块用于对得到的融合信息进行决策规划得到控制信号，从而利用控制模块控制车辆执行对应驾驶功能，保证在车辆行驶过程中对车辆周围信息能够进行准确的判断，从而保证车辆的安全驾驶。
53.在本技术实施例中，第一功能系统300与第二功能系统400包括：监控模块。
54.其中，监控模块用于监控系统的实际运行状态，其中，实际运行状态包括正常状态和异常状态。
55.其中，监控模块部署于中间件层，其中，中间件层位于应用层和操作系统层之间。
56.可以理解的是，本技术实施例中第一功能系统和第二功能系统还包括监控模块，用于监控系统的实际运行状态，并根据相应的实际运行状态进行下一步操作，并在运行状态异常时能够及时了解故障原因，并进行相应的冗余控制或功能降级等功能，使运行状态变为可接受的安全状态，保证车辆的安全行驶。
57.在本技术实施例中，仲裁系统包括：仲裁模块和仲裁模块。
58.其中，仲裁模块用于对第一功能系统.第二功能系统和第三功能系统的监控信息进行仲裁，确定控制车辆的功能系统；输出模块用于根据输出仲裁模块的仲裁结果对应功能系统的控制信号。
59.可以理解的是，本技术实施例中仲裁系统包括仲裁模块和输出模块，仲裁模块主要是用于对第二功能系统和第三功能系统的监控信息进行仲裁，并确定控制车辆的功能系统发出仲裁结果以及控制信息；输出模块用于输出仲裁模块的仲裁结果对应的功能系统的控制信号，通过车辆对于获取的相关信息进行仲裁决策并输出控制信号控制执行对应的功能，保证车辆的安全行驶。
control unit，微控制单元)1、mcu2四个电子处理单元。其中，soc1中部署智能驾驶功能模块，监控模块；soc2中部署智能驾驶功能模块(异构算法)，监控模块；mcu1中部署降级的智能驾驶功能模块；mcu2中部署控制校验模块，控制输出模块。
71.主传感器、冗余传感器、soc1、以及mcu2组成主通道系统，实现智能驾驶功能除执行器以外全部功能；主传感器、冗余传感器、soc2、以及mcu2组成冗余通道系统，实现智能驾驶功能除执行器以外全部功能；冗余传感器、mcu1组成功能降级通道系统。
72.在具体实施过程中，将依照图3所描述的本技术实施例中系统安全架构在不同情况下的处理逻辑及流程方法，具体地：
73.当整个系统均无异常，即传感器，电子处理单元的软硬件，各通道系统的通信均无异常时，mcu2里的控制校验模块对soc1和soc2发来的控制信号及监控状态信号进行仲裁，传递soc1的控制信号到mcu2里的控制输出模块，并给mcu1里的控制模块发送智驾功能状态信号，mcu1不输出降级的智能驾驶功能控制信息。此处需要指出，mcu2的控制校验模块传递的控制信号在正常的情况下soc1和soc2均可，此处以soc1举例。
74.当主通道系统发生监控模块可探测到的故障或失效，或主通道系统的通信发生异常时，mcu2里的控制校验模块在收到soc1里监控模块发来的状态异常信号或对主通道系统的通信校验出现异常后，将舍弃主通道系统的控制信息，传递冗余通道系统的控制信号到mcu2里的控制输出模块，并发送智驾功能状态信号到mcu1里的控制模块，mcu1里控制模块不输出降级的智能驾驶功能控制信息。此处需要指出，异常通道系统发生相同类型的异常时，处理逻辑相同，即舍弃异常通道系统的控制信息，输出主通道系统的控制信息，主通道系统和异常通道系统互为冗余，此处以主通道系统为举例进行说明。
75.当主通道系统或冗余通道系统发生监控模块无法探测的故障或失效，或主传感器出现异常，导致mcu2里的控制校验模块发现主通道系统和冗余通道系统的控制信号不一致时，控制校验模块将同时舍弃主通道系统的控制信号和冗余通道系统的控制信号，并发送智能驾驶功能状态到mcu1里的控制模块，mcu1里的控制模块输出降级的智能驾驶功能控制信息，整个系统切换到智能驾驶功能降级状态。
76.本技术实施例还提供一种车辆，包括如上述实施例的驾驶功能安全架构。
77.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不是必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或n个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
78.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本技术的描述中，“n个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
79.本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介
质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
80.尽管上面已经示出和描述了本技术的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本技术的限制，本领域的普通技术人员在本技术的范围内可以对上述实施例进行变化、修改、替换和变型。