车辆及自动驾驶域控制器控制方法、装置、设备、存储介质与流程

1.本技术涉及自动驾驶技术领域，具体地涉及一种车辆及自动驾驶域控制器关断路径和安全状态转移控制方法、装置、设备及存储介质。


背景技术：

2.随着汽车“新四化”(即电动化、智能化、网联化、共享化)的技术变革，为满足更高更集中的整车算力，同时提高可扩展性，减少线束资源，降低整车电子电气架构的复杂度，实现敏捷开发与迭代，汽车电子电气架构已从分布式架构进化到功能域架构，再演化到当前的整车集中式架构。基于这种高集中度的架构下，取而代之的是用更少的自动驾驶域控制器实现更多的整车功能，自动驾驶域控制器承担了自动驾驶所需要的数据处理运算力，包括但不限于毫米雷达、摄像头、激光雷达、gps、惯导等设备的数据处理，也承担了自动驾驶下底层核心数据、联网数据的安全。
3.例如，过去一套adas系统(advanceddrivingassistancesystem，高级驾驶辅助系统)，需要多个独立的ecu(enginecontrolunit，发动机控制单元)才能实现，包括泊车辅助ecu、后方碰撞预警ecu、前方碰撞预警ecu、全景环视ecu等；而现在一个adas自动驾驶域控制器就可以实现所有adas功能。因此，对于adas自动驾驶域控制器来说，传统ecu“单个mcu+电源管理芯片”的配置已经无法满足高算力、高性能的需求。
4.通常，自动驾驶域控制器的计算平台主板包含“性能核(单个或多个soc(即系统级芯片))+安全核(mcu微控制单元)+多级电源管理芯片”，如图1所示，mcu功能安全等级要求高，计算要求不强烈，mpu(微处理器和内存保护单元)允许功能安全等级低，但需承载高运算性能要求。基于这种配置，系统如何满足iso26262标准的asilb(汽车安全完整性等级b)及以上要求(包括定量和定性)，同时当发生电子电气失效时，系统如何在ftti(故障容错时间间隔)内采取合理的故障响应并进入安全状态，是一个亟待解决的问题，目前仍缺少成熟量产的方案。
5.本背景技术描述的内容仅为了便于了解本领域的相关技术，不视作对现有技术的承认。


技术实现要素：

6.基于此，本发明实施例意图提供一种车辆及自动驾驶域控制器控制方法、装置、设备及存储介质，以解决当发生电子电气失效事件时，在ftti内系统无法进入安全状态，导致基于多soc+mcu+电源管理芯片配置无法满足iso26262标准的asilb及以上要求的问题。
7.在第一方面，本发明实施例提供了一种自动驾驶域控制器控制方法，所述自动驾驶域控制器包括多个soc、mcu以及电源管理芯片，多个所述soc与外部传感器通讯连接，所述mcu与外部控制器通讯连接，多个所述soc还与所述mcu通讯连接，所述电源管理芯片为多个所述soc、mcu提供电源，所述控制方法包括：
8.监测多个所述soc、mcu以及电源管理芯片是否失效；
9.当所述mcu失效时，所述mcu关断其与外部控制器之间的通讯通道；
10.当所述soc失效时，失效soc和mcu降级或退出各自功能；
11.当所述电源管理芯片失效时，所述电源管理芯片关断，对多个所述soc、mcu不提供电源。
12.进一步地，监测所述soc或mcu是否失效的具体实现过程为：
13.接收所述soc或mcu发出的喂狗信号，当连续多个固定周期未接收到所述喂狗信号，或接收到的所述喂狗信号不正常时，向所述soc或mcu发送信号，所述soc或mcu失效。
14.进一步地，当连续3～5个固定周期未接收到所述喂狗信号时，所述soc或mcu失效。
15.进一步地，所述soc的数量为两个，两个soc分别为soc1和soc2。
16.进一步地，所述失效soc和mcu降级或退出各自功能的具体实现过程为：
17.当soc1和/或soc2失效时，soc1和/或soc2、mcu降级或退出各自功能；
18.其中，所述soc1的功能为处理第一传感器集合中各传感器采集的信息，得到第一信息；soc2的功能为处理第二传感器集合中各传感器采集的信息，得到第二信息，同时结合soc1和mcu的信息进行信息融合；所述mcu的功能为规划控制和决策。
19.进一步地，所述第一传感器集合包括前视摄像头、激光雷达、毫米波雷达；
20.所述第二传感器集合包括后视摄像头、环视摄像头、泊车摄像头以及惯导传感器。
21.在本发明实施例中，在第二方面，本发明实施例提供了一种自动驾驶域控制器控制装置，所述自动驾驶域控制器包括多个soc、mcu以及电源管理芯片，多个所述soc与外部传感器通讯连接，所述mcu与外部控制器通讯连接，多个所述soc还与所述mcu通讯连接，所述电源管理芯片为多个所述soc、mcu提供电源；所述控制装置包括：
22.失效监测单元，被配置为监测多个所述soc、mcu以及电源管理芯片是否失效；
23.所述mcu，被配置为当所述mcu失效时，关断mcu与外部控制器之间的通讯通道；以及当所述soc失效时，降级或退出mcu的功能；
24.每个所述soc，被配置为当所述soc失效时，降级或退出该soc的功能；
25.所述电源管理芯片，被配置为当所述电源管理芯片失效时，对多个所述soc、mcu不提供电源。
26.在第三方面，本发明实施例提供一种车辆，所述车辆上装配有如上所述的自动驾驶域控制器控制装置。
27.在第四方面，本发明实施例提供一种电子设备，包括：处理器和存储有计算机程序的存储器，所述处理器被配置为在运行计算机程序时执行任一本发明实施例的自动驾驶域控制器控制方法。
28.在第五方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，其中，所述程序被处理器执行时实现任一本发明实施例的自动驾驶域控制器控制方法。
29.本发明实施例中使用的自动驾驶域控制器控制方法中，自动驾驶域控制器采用多个soc+mcu+电源管理芯片的配置，当soc/mcu/电源管理芯片发生失效时，能够降级或退出功能/及时关闭自动驾驶域控制器给外部控制器(执行器)的通讯信号/停止供电，实现不同失效模式下各个ic的安全转移，使系统进入安全状态，能够满足iso26262标准的asilb及以上要求，提高了车辆自动驾驶的安全性。
30.本发明实施例的其他可选特征和技术效果一部分在下文描述，一部分可通过阅读
本文而明白。
附图说明
31.以下，结合附图来详细说明本发明的实施例，所示出的元件不受附图所显示的比例限制，附图中相同或相似的附图标记表示相同或类似的元件，其中：
32.图1示出了根据本发明背景技术的自动驾驶域控制器的系统架构图；
33.图2示出了根据本发明实施例的mcu/电源管理芯片失效时系统安全状态图；
34.图3示出了根据本发明实施例的soc失效时系统安全状态图；
35.图4示出了能实施根据本发明实施例的方法的电子设备的示例性结构示意图。
具体实施方式
36.为使本发明的目的、技术方案和优点更加清楚明白，下面结合具体实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。
37.在本文中使用的术语“包括”及其变形表示开放性包括，即“包括但不限于”。除非特别申明，术语“或”表示“和/或”。术语“基于”表示“至少部分地基于”。术语“一个示例实施例”和“一个实施例”表示“至少一个示例实施例”。术语“另一实施例”表示“至少一个另外的实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
38.传统的主流控制器采用“单mcu+电源管理芯片“配置已无法满足客户需求，因此，自动驾驶域控制器采用“多个soc+mcu+电源管理芯片”的配置逐步成为主流方案。但对于这种配置，adas系统或自动驾驶域控制器如何满足iso26262标准的asilb及以上要求，以及当发生电子电气失效时，adas系统或自动驾驶域控制器如何在ftti内实施合理的故障响应并进入安全状态，是一个亟待解决的问题。
39.基于此，本发明实施例提供一种自动驾驶域控制器1000控制方法，其中自动驾驶域控制器1000包括soc11001和soc21003、mcu1002以及电源管理芯片1004，soc11001和soc21003分别与外部传感器通讯连接，mcu1002与外部控制器通讯连接，soc21003还分别与soc11001、mcu1002通讯连接，电源管理芯片1004分别与soc11001和soc21003、mcu1002电连接，为soc11001和soc21003、mcu1002提供所需电源，具体架构如图1所示。本实施例中，电源管理芯片1004可以有多个。
40.本发明实施例提供的一种自动驾驶域控制器1000控制方法包括以下步骤：
41.步骤1：自动驾驶域控制器1000关键芯片的失效监测
42.利用失效监测单元监测soc11001和soc21003、mcu1002以及电源管理芯片1004是否失效。失效监测单元包括soc失效监测单元、mcu1002失效监测单元以及电源管理芯片1004失效监测单元。
43.失效监测单元内置低压电源和看门狗模块；被监测对象(例如soc11001/soc21003/mcu1002/电源管理芯片1004)通过spi总线在每个固定周期向对应的失效监测单元发送喂狗信号，如果多个固定周期未接收到被监测对象发出的喂狗信号，或者接收到的喂狗信号不正常，则失效监测单元向该被监测对象发送反馈信号，被监测对象接收到该反
馈信号，表明该被监测对象失效。其中，喂狗信号即表示被监测对象自身状态正常的信号。
44.本实施例中，如果连续3～5个固定周期未接收到被监测对象发出的喂狗信号时，则向该被监测对象发送反馈信号，该被监测对象失效。
45.步骤2：不同失效模式下的安全转移
46.mcu1002的功能是规划控制和决策，且仅mcu1002与外部控制器(或执行器)进行交互；soc11001的功能是处理第一传感器集合中各传感器采集的信息，得到第一信息；soc21003的功能为处理第二传感器集合中各传感器采集的信息，得到第二信息，同时结合soc11001和mcu1002的信息进行信息融合。
47.第一传感器集合中的传感器与第二传感器集合中的传感器可以是相同类型，也可以是不同类型。本实施例中，第一传感器集合中的传感器有前视摄像头、激光雷达以及毫米波雷达；第二传感器集合中的传感器有后视摄像头、环视摄像头、泊车摄像头以及惯导传感器。
48.当mcu1002失效时，所述mcu1002关断其与外部控制器之间的通讯通道，不再控制外部控制器执行动作，系统在ftti内进入安全状态，如图2所示。
49.在功能安全技术需求中，mcu1002、soc11001和soc21003的功能涉及到信息感知、融合的安全需求，因此当所述soc11001失效时，soc11001降级或退出soc11001的功能、mcu1002降级或退出mcu1002的功能；当所述soc21003失效时，soc21003降级或退出soc21003的功能、mcu1002降级或退出mcu1002的功能；当所述soc11001和soc21003失效时，soc11001降级或退出soc11001的功能、soc21003降级或退出soc21003的功能、mcu1002降级或退出mcu1002的功能，如图3所示。
50.当所述电源管理芯片1004失效时，所述电源管理芯片1004关断其输出(即电源管理芯片1004无动力输出)，对soc11001和soc21003、mcu1002不提供电源，系统进入安全状态，如图3所示。
51.本发明实施例中使用的自动驾驶域控制器1000控制方法中，自动驾驶域控制器1000采用多个soc+mcu1002+电源管理芯片1004的配置，当soc/mcu1002/电源管理芯片1004发生失效时，能够降级或退出功能/及时关闭自动驾驶域控制器1000给外部控制器(执行器)的通讯信号/停止供电，实现不同失效模式下各个ic的安全转移，进入安全状态，能够满足iso26262标准的asilb及以上要求，提高了车辆自动驾驶的安全性。
52.本发明实施例还提供一种自动驾驶域控制器1000控制装置，其中所述自动驾驶域控制器1000包括soc11001和soc21003、mcu1002以及电源管理芯片1004，soc11001和soc21003分别与外部传感器通讯连接，mcu1002与外部控制器通讯连接，soc21003还分别与soc11001、mcu1002通讯连接，电源管理芯片1004分别与soc11001和soc21003、mcu1002电连接，为soc11001和soc21003、mcu1002提供所需电源，具体架构如图1所示。所述控制装置包括：
53.失效监测单元，被配置为监测soc11001和soc21003、mcu1002以及电源管理芯片1004是否失效。
54.失效监测单元包括soc失效监测单元、mcu1002失效监测单元以及电源管理芯片1004失效监测单元。
55.失效监测单元内置低压电源和看门狗模块；被监测对象(例如soc11001/
soc21003/mcu1002/电源管理芯片1004)通过spi总线在每个固定周期向对应的失效监测单元发送喂狗信号，如果多个固定周期未接收到被监测对象发出的喂狗信号，或者接收到的喂狗信号不正常，则失效监测单元向该被监测对象发送反馈信号，被监测对象接收到该反馈信号，表明该被监测对象失效。其中，喂狗信号即表示被监测对象自身状态正常的信号。
56.本实施例中，如果连续3～5个固定周期未接收到被监测对象发出的喂狗信号时，则向该被监测对象发送反馈信号，该被监测对象失效。
57.所述mcu1002被配置为当所述mcu1002失效时，mcu1002关断mcu1002与外部控制器之间的通讯通道(如图2所示)；以及当所述soc11001和/或soc21003失效时，mcu1002降级或退出mcu1002的功能；其中mcu1002的功能是规划控制和决策。
58.所述soc11001被配置为当所述soc11001失效时，降级或退出soc11001的功能；其中soc11001的功能是处理第一传感器集合中各传感器采集的信息，得到第一信息。
59.所述soc21003被配置为当所述soc21003失效时，降级或退出soc21003的功能；其中soc21003的功能为处理第二传感器集合中各传感器采集的信息，得到第二信息，同时结合soc11001和mcu1002的信息进行信息融合。
60.所述电源管理芯片1004被配置为当所述电源管理芯片1004失效时，电源管理芯片1004关断其输出(即电源管理芯片1004无动力输出)，对soc11001和soc21003、mcu1002不提供电源，系统进入安全状态，如图3所示。
61.第一传感器集合中的传感器与第二传感器集合中的传感器可以是相同类型，也可以是不同类型。本实施例中，第一传感器集合中的传感器有前视摄像头、激光雷达以及毫米波雷达；第二传感器集合中的传感器有后视摄像头、环视摄像头、泊车摄像头以及惯导传感器。
62.本发明实施例中使用的自动驾驶域控制器1000控制装置中，自动驾驶域控制器1000采用多个soc+mcu1002+电源管理芯片1004的配置，当soc/mcu1002/电源管理芯片1004发生失效时，能够降级或退出功能/及时关闭自动驾驶域控制器1000给外部控制器(执行器)的通讯信号/停止供电，实现不同失效模式下各个ic的安全转移，进入安全状态，能够满足iso26262标准的asilb及以上要求，提高了车辆自动驾驶的安全性。
63.在一些实施例中，所述自动驾驶域控制器1000控制装置可以结合任一实施例的自动驾驶域控制器1000控制方法的方法特征，反之亦然，在此不赘述。
64.在本发明实施例中，提供一种车辆，所述车辆上装配有如上所述的自动驾驶域控制器1000控制装置。在一些实施例中车辆可以包括更多的模块或控制器，例如第一传感器集合、第二传感器集合、车身域控制器等等。
65.在本发明实施例中，提供一种电子设备，包括：处理器和存储有计算机程序的存储器，所述处理器被配置为在运行计算机程序时执行任一本发明实施例的自动驾驶域控制器1000控制方法的方法。
66.图4示出了一种可以实施本发明实施例的方法或实现本发明实施例的电子设备2000的示意图，在一些实施例中可以包括比图示更多或更少的电子设备。在一些实施例中，可以利用单个或多个电子设备实施。在一些实施例中，可以利用云端或分布式的电子设备实施。
67.如图4所示，电子设备2000包括处理器2001，其可以根据存储在只读存储器(rom)
2002中的程序和/或数据或者从存储部分2008加载到随机访问存储器(ram)2003中的程序和/或数据而执行各种适当的操作和处理。处理器2001可以是一个多核的处理器，也可以包含多个处理器。在一些实施例中，处理器2001可以包含一个通用的主处理器以及一个或多个特殊的协处理器，例如，中央处理器(cpu)、图形处理器(gpu)、神经网络处理器(npu)、数字信号处理器(dsp)等等。在ram2003中，还存储有电子设备2000操作所需的各种程序和数据。处理器2001、rom2002以及ram2003通过总线2004彼此相连。输入/输出(i/o)接口2005也连接至总线2004。
68.上述处理器与存储器共同用于执行存储在存储器中的程序，所述程序被计算机执行时能够实现上述各实施例描述的方法、步骤或功能。
69.以下部件连接至i/o接口2005：包括键盘、鼠标、触摸屏等的输入部分2006；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分2007；包括硬盘等的存储部分2008；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分2009。通信部分2009经由诸如因特网的网络执行通信处理。驱动器2010也根据需要连接至i/o接口2005。可拆卸介质2011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器2010上，以便于从其上读出的计算机程序根据需要被安装入存储部分2008。图4中仅示意性示出部分组件，并不意味着电子设备2000只包括图4所示组件。
70.上述实施例阐明的系统、装置、模块或单元，可以由计算机或其关联部件实现。计算机例如可以为移动终端、智能电话、个人计算机、膝上型计算机、车载人机交互设备、个人数字助理、媒体播放器、导航设备、游戏控制台、平板电脑、可穿戴设备、智能电视、物联网系统、智能家居、工业计算机、服务器或者其组合。
71.尽管未示出，在本发明实施例中，提供一种存储介质，所述存储介质存储有计算机程序，所述计算机程序配置成被运行时执行任一本发明实施例的基于文件差异的编译方法。
72.在本发明的实施例的存储介质包括永久性和非永久性、可移动和非可移动的可以由任何方法或技术来实现信息存储的物品。存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
73.在本发明的实施例的方法、程序、系统、装置等，可以在单个或多个连网的计算机中执行或实现，也可以在分布式计算环境中实践。在本说明书实施例中，在这些分布式计算环境中，可以由通过通信网络而被连接的远程处理设备来执行任务。
74.本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本领域技术人员可想到，上述实施例阐明的功能模块/单元或控制器以及相关方法步骤的实现，可以用软件、硬件和软/硬件结合的方式实现。
75.除非明确指出，根据本发明实施例记载的方法、程序的动作或步骤并不必须按照特定的顺序来执行并且仍然可以实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
76.在本文中，针对本发明的多个实施例进行了描述，但为简明起见，各实施例的描述并不是详尽的，各个实施例之间相同或相似的特征或部分可能会被省略。在本文中，“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”意指适用于根据本发明的至少一个实施例或示例中，而非所有实施例。上述术语并不必然意味着指代相同的实施例或示例。在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
77.已参考上述实施例具体示出并描述了本发明的示例性系统及方法，其仅为实施本系统及方法的最佳模式的示例。本领域的技术人员可以理解的是可以在实施本系统及/或方法时对这里描述的系统及方法的实施例做各种改变而不脱离界定在所附权利要求中的本发明的精神及范围。