控制车辆的操作的制作方法

已知提供一种自动车辆系统，其包括通过一条或多条通信总线连接在一起的多个电子控制单元。每个电子控制单元可以从一个或多个传感器接收信号，并且可以向一个或多个致动器提供驱动信号。电子控制单元和至少一个致动器的组合在本说明书中称为控制子系统。这种布置在附图的图1中示意性地示出，其描绘了自动车辆系统10。在所示的示例中，传感器12是观察车辆16前方和周围的高速公路的摄像机14以及监视车辆16前方的高速公路的雷达18。这些传感器12将信号馈送到自动驾驶子系统20中，自动驾驶子系统20输出用于其他子系统的控制信号，以使车辆16沿着高速公路安全地行驶。接收这些控制信号的图1的示例中的这些另外的子系统是转向子系统22，制动子系统24和引擎管理子系统26。

在使用中，自动驾驶子系统20产生控制信号，该控制信号被馈送到下游控制子系统22，24，26以控制车辆16的纵向和横向运动，从而远离人类驾驶员控制驾驶。这种自动模式可能始终是可操作的，驾驶员无法覆写，或者可能仅在部分时间运行以提供部分自动化。例如，可以允许自动操作模式在驾驶员介入之前持续有限的时间，或者仅在满足某些环境条件或车辆动态条件时可操作。例如，它可以仅在低于某个车辆速度或高于特定速度时操作，或者当车辆传感器12指示车辆16在多车道高速公路上或具有中央分隔屏障的高速公路上时操作。在仅提供部分自动化的情况下，可以控制车辆16的转向但不控制加速或制动，或者可以控制加速或制动但不控制转向。

在图2的示例中，从自动驾驶子系统20输出的车辆动态控制信号28在被馈送到下游子系统22,24,26之前通过车辆运动控制和稳定子系统30。车辆运动控制和稳定子系统30的功能是确保车辆16始终保持稳定，并且如果需要，这可以修改来自自动驾驶子系统20的控制信号。需要修改的示例可以是车辆16移动到低摩擦表面上的情况，使得需要额外的制动力来实现给定的减速率。

为了确保在发生故障的情况下自动车辆系统10能够保持安全和功能，(该故障影响馈送到每个下游子系统22,24,26的控制信号，这可能导致致动器的不正确操作并因此导致对车辆16的运动进行不正确的改变)，镜像每个子系统，以便存在内置的冗余。发送控制信号的通道是重复的，自动驾驶子系统20和车辆运动控制和稳定子系统30也是如此。图3示出了如果通过切换到备用子系统及其备用控制信号路径来适应系统的一部分(例如主要车辆运动控制和稳定子系统)中的故障。

在现有技术中，一旦检测到具有冗余的系统的一部分中的单个故障，车辆可以使用备用部件继续操作但是将被置于跛行回家模式中，其中车辆的性能受到限制。在跛行回家模式中，速度可以限制在低水平。在跛行回家模式的替代方案中，自主控制系统可以发出控制信号，该控制信号使车辆安全地直线停下或者如果可能的话通过在停止之前将车辆自主地移动到道路的一侧使车辆安全地停下。这被称为跛行回避(limp-aside)模式。

在跛行回家模式和跛行回避模式的情况下，如果在系统的备用部件中发生进一步的故障或从自动控制子系统或为其馈送的传感器输出的任何控制信号发生故障，则仍存在失去由人类驾驶员或自动或半自动驾驶系统对车辆的控制的风险。如果存在阻止控制信号到达子系统的故障(例如车辆通信总线上的故障)，则也存在风险。图4示出了车辆运动控制和稳定子系统及其冗余备份都存在故障的情况。在这种情况下，用于转向、制动和加速的下游子系统接收不可用的控制信号或不正确的控制信号，这将导致致动器的不正确操作和车辆的不正确运动。在图4所示的情况下，导致致动器的完全失控。

本发明的一个目的是提供一种方法和装置，该方法和装置在故障情况下改善先前自主控制系统中的一些限制。

根据第一方面，本发明提供了一种自动车辆控制系统的操作方法，该系统包括至少一个下游控制子系统，该下游控制子系统具有至少一个致动器，该致动器响应于从上游子系统接收的控制信号修改车辆的纵向或横向运动，该方法包括：

(a)向下游控制子系统实时传送来自上游的一个或多个控制信号，

(b)确定在下游控制子系统的上游发生了故障，该故障导致控制信号对下游控制系统是错误的，不可靠的或不可用的，并且

(c)此后使用下游子系统的响应行动规划，该行动规划定义在一段时间内下游子系统的至少一个致动器的操作顺序并且先前已存储在下游子系统可访问的存储器的本地区域中。

当发生故障时，本发明允许使用本地存储的响应规划来代替控制信号，这可以使车辆安全地停下。

确定故障已经发生的步骤(b)可以由下游子系统执行。

该方法可以包括步骤(d)：在车辆的正常操作期间实时更新存储的响应行动规划，或识别适当的先前存储的行动规划，或生成新的行动规划。该步骤可以以比步骤(a)更低的频率执行。通过实时更新，存储的规划将始终给出用于使车辆从其当前位置停止的最新和安全的规划，而不依赖于从上游控制子系统接收控制信号。能够根据条件定制规划并将其存储，以便在发生故障时始终可用的能力为一系列操作条件提供了高度安全性。

通过实时为子系统生成存储的响应行动规划并将其本地预先存储在子系统可访问的存储器中，可以在子系统的上游发生故障时根据行动规划操作执行器。由于它是实时更新的，因此规划将始终是在故障发生后要使用时的适当的规划。检查速率可以根据诸如车辆速度之类的参数而变化，较高速度被认为风险更大并且与较低速度相比需要更频繁的检查。检查率可根据其他参数而有所不同。另一方面，检查率可以是固定的，例如每秒一次。

该方法可以包括为子系统生成响应行动规划，该规划将使车辆执行安全操纵；通常通过在检测到故障后使车辆安全地停止来实现。

响应规划可以包括用于下游子系统的至少一个致动器的设定的行动顺序，以便在控制信号由于故障而停止接收或被视为不可靠之后安全地控制车辆，或者至少提供在没有其他信息的情况下被认为是安全的动作。

下游子系统可包括制动系统。子系统可包括转向系统。子系统可包括引擎管理系统。

该方法可以包括对多于一个系统执行步骤(a)至(c)。

步骤(a)可以连续地实时重复，因为该信息通常需要在子系统的操作期间定期更新。该步骤可以例如每n毫秒执行一次，其中n是大于1的整数值。

步骤(b)可以周期性地或间歇地重复，以保持监视已经发生的故障。它可以比步骤(a)较不频繁地执行。检查速率可以根据诸如车辆速度之类的参数而变化，较高速度被认为风险更大并且与较低速度相比需要更频繁的检查。检查率可根据其他参数而有所不同。另一方面，检查率可以是固定的，例如每秒一次。检查故障的速率不必与更新规划或生成新规划的速率相同，并且可以以更高或更低的速率执行。

可以仅在步骤(b)中检测到故障之后执行使用响应规划的步骤(c)。

更新存储的响应行动规划或生成新的行动规划的步骤可以实时重复执行，但仅在正常操作已经恢复或在故障之前执行。

这允许响应行动规划被“预先存储”，因此它始终是最新的并且准备好使用。

关于更新，我们指子系统可以随时访问适当的更新规划。更新频率将取决于系统可以处理从安装在车辆上的各种传感器接收的信息的频率。

在替代方案中，该方法可以包括仅在发生了将证明更新合理的重大事件时更新响应规划。例如，如果车辆沿着一条笔直的空旷公路沿直线行驶，则规划可能不会更新或仅缓慢更新。另一方面，如果车辆处于弯道或接近其他交通，则可以更频繁地更新。

该方法可以包括在确定已经发生故障之前根据由子系统接收的传送的控制信号操作一个或多个致动器。在确定故障之后，可以忽略这些控制信号。

该方法可以为每个子系统提供单独的规划。因此，制动系统的行动规划可以不同于转向系统，因为每个的致动器必须以不同的方式操作。但是，单独的规划应该共同制定一个使车辆安全停下来的响应规划。

或者，该方法可以包括为两个或更多子系统提供单个共享规划，其中每个系统响应单个共享规划的相关部分。

在包括制动电路的子系统的情况下，响应行动规划或共享响应行动规划的相关部分可以包括使制动器被应用以使车辆逐渐停止。

在包括转向系统的子系统的情况下，响应行动规划或共享响应行动规划的相关部分可以包括使转向以将车辆安全地移动到高速公路的一侧。

该方法可以包括通过使用模板并从一组预定义的响应行动规划模板中选择响应行动规划来为子系统或每个子系统或共享行动规划生成行动规划，从该组对模板的选择基于车辆的运动以及可选地从一个传感器获得的信息。当然，可以使用模板来实现本发明。

例如，一个模板可以对应于使车辆以直线停止所需的动作，而另一个模板可以对应于使车辆在停止之前转向相邻线路所需的动作。

该方法可以包括将预定义的响应行动规划存储在每个子系统本地的存储器中，并且生成响应行动规划的步骤可以包括指示子系统选择适当的模板。

或者，为子系统生成响应行动规划的方法可以包括选择适当的响应规划模板并将所选择的响应行动规划发送到子系统以存储在本地存储器中。

为了获得最佳性能，可以实时更新响应行动规划以考虑一系列操作条件。例如，其可以更新以考虑车辆周围的其他车辆，使得所采取的路径和停止所花费的时间避免与其他车辆的碰撞。其可以更新以考虑当前的高速公路状况，例如绕着车辆行驶或接近的弯道转向。其可以更新以考虑车辆行驶的高速公路的类型，例如转向到确定高速公路具有硬肩的硬肩上。该信息可以从摄像机或雷达系统或从映射数据获得，并且更可能从这些类型的信号的融合获得。当然，自动驾驶系统将已经具备执行部分或全部功能的能力，因此具有确定哪个响应行动规划将为当前条件提供最佳、最安全的结果所需的所有信息和处理技术。

根据本发明的第二方面，一种自动车辆控制系统包括至少一个下游控制子系统，该下游控制子系统具有至少一个致动器，该致动器响应于从上游子系统接收的控制信号修改车辆的纵向或横向运动，控制系统包括：

(a)控制信号生成单元，其在正常操作中将控制信号实时发送到下游控制子系统，

(b)故障确定装置，其在使用中确定在子系统的上游发生了故障，该故障导致控制信号对下游控制子系统是错误的，不可靠的或不可用的，并且

(c)其中下游控制子系统是在确定故障根据下游控制子系统的响应行动规划操作子系统的至少一个致动器的情况下配置的，该下游控制子系统先前存储在下游子系统可访问的存储器的本地区域，并且在确定故障时，下游控制子系统被布置成根据响应行动规划控制至少一个致动器。

故障确定装置可以包括下游子系统的一部分，或者可以在本地提供给下游系统，使得它不与否则将代表共同的故障点的控制信号共享公共通信线路。在存在多个下游子系统的情况下，每个子系统可包括故障确定装置。

故障确定装置可包括信号处理电路。这可以包括信号处理器，存储器，由信号处理器执行的一组程序指令，以及用于接收控制信号的输入。

该系统可以包括响应行动规划生成装置，响应行动规划生成装置可以包括下游子系统的一部分。或者，响应行动规划生成装置可以位于子系统的上游，并且可以将生成的响应行动规划发送到子系统以存储在存储器的本地区域中。

该响应行动规划生成装置可包括信号处理器，存储器，由信号处理器执行的一组程序指令，以及用于接收控制信号的输入。可以与故障确定装置共享这些组件中的一个或多个。

存储响应行动规划的存储器的本地区域可以形成下游子系统的一部分。它可以位于由下游子系统的信号处理单元共享的电路板上。

关于生成，我们可能指创建新的响应行动规划，或更新现有规划或选择预先存储在存储器中的适当规划。

响应行动规划生成装置可以包括自动驾驶控制子系统的一部分，其进一步产生用于至少一个子系统的控制信号，特别是用于控制车辆的加速或减速和转向角，以便实现纵向和横向控制车辆。然而，如上所述，这可能需要从用于控制信号的通信线路分离到下游系统的单独通信线路，以避免可能导致失去对车辆的控制的风险的常见故障。

响应行为规划生成装置可以生成主响应行为规划，其确定使其停止的车辆的安全运动，并且可以将其提供给多个子系统中的每一个。或者，它可以仅提供每个子系统所需的主规划的部分。例如，主规划的制动部件可以传递到制动子系统，转向部件传递到转向子系统，

主响应行动规划生成装置可以通过修改或选择一系列预定义响应规划中的一个来生成响应规划。这些可包括停止前进计划和停止并移到一旁计划。

响应行动规划生成装置可以根据从装配到车辆的传感器接收的信号产生响应行动规划。这些可包括诸如gps位置传感器的位置传感器，至少捕获车辆前方的场景图像的摄像机以及扫描车辆前方的场景的雷达传感器。它还可以从各自的速度和偏航传感器接收速度信号和横摆力矩信号。它可以从加速度计接收信号。每个子系统可以在本地可访问的存储器区域中存储一组预定义的响应行动规划，并且生成装置可以周期性地向子系统发出信号，告知子系统从存储的组中选择哪个响应规划用作当前的响应行动规划。与每次生成新的响应规划或更新现有规划时向子系统发送完整的响应行动规划相比，这使用较少的带宽。

对于弹性，步骤(b)应该由下游子系统执行，因为这应该能够由其自己确定存在故障并使用预先存储的响应规划。一旦发生故障，就不能指示上游子系统，因为故障可能在其与上游子系统之间的通信中，因此这提供了针对故障的附加弹性。

下游子系统可包括制动子系统、转向子系统和控制引擎以及可选地车辆的变速箱(如果安装了)的引擎管理子系统，制动子系统包括至少一个制动致动器，转向子系统包括改变车辆的至少一个车轮的转向角的至少一个致动器。关于引擎我们可以指内燃机或电牵引电动机或两者的组合。我们可能指多个电力牵引电机。

现在将仅通过示例的方式参考附图描述一个实施例，其中：

图1是包括传感器和控制子系统的自动车辆系统的示意图；

图2是典型的现有技术车辆控制系统的示意图，其包括一些安全冗余；

图3是对应于图2的示意图，示出了单个故障的影响；

图4是对应于图2的示意图，示出了当发生两个故障时车辆的总控制损失；

图5是类似于图2的根据本发明的车辆控制系统的实施例的示意图；和

图6是包括图5的控制系统的车辆的概述；

图7是图6中所示车辆的子系统的详细视图；和

图8是车辆沿着繁忙的高速公路行驶的示例场景，其示出了将如何根据车辆相对于其他车辆的位置来选择用于响应行动计规划划的不同模板。

如图6所示，车辆控制系统100包括两个子系统，每个子系统包括信号处理单元(ecu)和至少一个致动器，其细节可以在图7中看到。

在图7中详细示出的第一子系统包括转向子系统102和包括电动马达的致动器104，该电动马达作用在转向柱或转向齿条上以控制车辆的车轮的角度。如图6所示，这通过皮带驱动器(未示出)将扭矩施加到转向齿条106，以转动四轮车辆110，特别是乘用车的两个前轮108。信号处理单元接收控制信号并在正常操作中响应这些控制信号驱动电动机。

第二子系统包括制动子系统112，并且致动器包括液压致动器，该液压致动器将压力施加到车辆110的一组制动器。例如，这可以将制动力施加到乘用车的所有四个车轮，如本领域已知的跨两个电路分开以回弹。在正常操作中，信号处理单元接收控制信号并调制(modulate)从液压致动器输出的压力，以响应这些控制信号。

尽管图7描绘了转向子系统，但显然包括ecu114，致动器104和存储器116的子系统的一般布置同样可以应用于任何类型的子系统。下面描述存储器116的操作。

两个子系统的上游是自动驾驶子系统118。该子系统从多个传感器120和其他子系统接收信息，并由此计算车辆110的所需纵向和横向运动，实际上独立于驾驶员或者与来自驾驶员的输入并排地驱动汽车。该示例中的传感器包括摄像机122和安装在车辆110前方并观察前方道路的雷达传感器124，以及gps位置传感器126。可以使用其他传感器，信号由自动驾驶子系统118一起处理。子系统118的输出是一组原始控制信号。这些控制信号实时传输，每10毫秒左右更新一次。

原始控制信号定义车辆110的期望运动，并且这些信号被馈送到运动控制子系统128。该子系统处理原始控制信号并产生特定的控制信号，该信号被馈送到两个下游子系统，即转向和制动子系统中的每一个。

自动驾驶子系统118还产生响应行动规划，该行动响应规划定义了车辆110的设定运动顺序，其将在故障的情况下执行，并将使车辆110执行诸如使车辆安全停下来的安全操纵。自动驾驶子系统118还更新该规划，每20毫秒左右生成新的规划，尽管根据操作条件，其可以比这较不经常地更新。为了生成响应行动规划，该实施例的系统将从存储的一组模板中选择适当的规划。

图8示出了两个简单的模板，一个用于使车辆110以直线停止，另一个使车辆110将车道改变为相邻车道或硬肩，然后停止。可以看出，根据车辆110的位置，可以清楚地选择两个模板中的哪一个用于安全停止。通过使用来自摄像机和雷达的信息，自动驾驶子系统118将使用最合适的模板实时生成规划。

生成的规划被馈送到运动控制子系统128，运动控制子系统128又为每个下游子系统计算响应行动规划。无论何时更新，这些响应行动规划都会发送到下游子系统。

如前所述，每个子系统还包括存储器116的区域，响应行动规划存储在该区域中，并且更新的响应行动规划每当被子系统接收到时存储在该区域中。

图5的车辆控制系统的操作方法可以如下。在正常操作期间，子系统根据从上游运动控制子系统128接收的控制信号操作致动器104。在故障的情况下，子系统将根据存储的响应行动规划操作致动器104。这将使车辆110能够安全地停下来。

在修改中，模板可以存储在每个子系统的本地存储器116中，并且自动驾驶子系统118可以简单地选择模板并通过运动控制子系统128向子系统发送识别从存储器116中选择哪个模板的指令而不是生成和更新动作规划。在希望通过车辆控制总线向子系统发送较少信息的情况下，这可能是有益的。