用于汽车应用的功率和数据中心(PDC)的制作方法

本公开总体上涉及汽车电气/电子架构(e/ea)，并且具体涉及用于自主驾驶的e/ea。

背景技术：

汽车工程师协会(sae)国际已经概括出汽车自动驾驶的渐进式级别。这些级别包括：第0级：无自动化；第1级：要求驾驶员辅助；第2级：部分自动化选项可用；第3级：有条件的自动化；第4级：高度自动化；以及第5级：完全自动化。处于第3级和高于第3级的汽车要求故障-安全(fail-safe)或故障-操作(fail-operational)e/ea。

设计故障-安全或故障-操作e/ea的一种方式是通过使关键组件加倍而将冗余引入到e/ea中，这些关键组件诸如，电源、数据网络、控制器以及诊断设备。然而，当今许多高端汽车用于冗余组件的封装空间有限，使得关键组件的加倍不可行。关键组件的加倍还将增加汽车的重量并且增加线束的复杂度。

另一种解决方案是使常规汽车电气中心装配(例如，利用保险丝和继电器)有诊断设备，并将切换能力集成到车辆的每个功率和数据路径中。然而，此类设计将是不切实际且昂贵的。

技术实现要素：

所公开的pdc包括组合式数据集中器和功率分配器，其将可缩放且负担得起的网络/功率冗余递送到支持部分或完全自主车辆的汽车e/ea中。在一些实施例中，包括智能e/ea的车辆被划分成区域，其中，每个区域包括一个或多个pdc以及一个或多个传感器、致动器、控制器、扬声器、或耦合至它们的(多个)区域pdc并由这些区域pdc供电的其他设备。每个pdc收集并处理(或传递通过)来自其区域中的一个或多个传感器的原始的或预处理的传感器数据。传感器以成本高效的短程数据链路的方式将它们的数据提供给pdc。在一些实施例中，每个区域中的一个或多个致动器耦合至它们相应的区域pdc并且通过高速数据总线或数据链路从pdc接收它们的控制数据。

在一些实施例中，一种汽车电气和电子系统包括：多个计算平台，一起耦合在多环自愈(“self-healing”)网络中，其中，至少一个计算平台为车辆提供自主驾驶功能；多个pdc，耦合至多环自愈网络，这些pdc各自包括数据接口、功率接口和传感器接口，该传感器接口从一个或多个传感器接收传感器数据，数据接口将该传感器数据馈送到多环自愈网络中，并且功率接口向一个或多个传感器分配功率；以及多个功率供给环，各自耦合至不同的功率源或源系统，该多个功率环耦合至计算平台和pdc。

在一些实施例中，一种方法包括：通过车辆中所包括的pdc的功率接口向该车辆的一个或多个传感器分配功率；通过该pdc的传感器接口从一个或多个传感器接收传感器数据；由pdc的输出端口将该传感器数据馈送到多环数据网络中，该多环数据网络耦合至pdc并且耦合至至少一个计算平台，该至少一个计算平台为车辆提供自主驾驶功能；由该至少一个计算平台确定与车辆的自主驾驶相关联的至少一个操作，该至少一个操作至少部分地基于所接收的传感器数据而被确定；以及由该至少一个计算平台使得车辆执行与该车辆的自主驾驶相关联的至少一个操作。

在一些实施例中，一种pdc包括：传感器接口，包括冗余传感器数据端口；数据网络接口，包括冗余网络数据端口；处理器，耦合至传感器接口和数据网络接口，该数据处理器被配置成用于从冗余传感器数据端口接收传感器数据，被配置成用于处理该传感器数据并在冗余网络数据端口上输出经处理的传感器数据；以及功率开关，耦合至冗余网络功率供给轨、冗余传感器功率供给轨以及处理器，该处理器被配置成用于使得功率开关断开第一网络功率供给轨并连接第二网络功率供给轨。

在一些实施例中，一种汽车电气和电子系统包括第一pdc、第一计算平台和第一数据平台。第一pdc包括第一传感器接口和第一数据接口，第一传感器接口被配置成用于从一个或多个传感器接收传感器数据，第一数据接口被配置成用于传送该传感器数据。第一pdc经由第一路径连接至第一计算平台，该第一路径包括第一数据平台；第一pdc经由第二路径连接至第一计算平台，该第二路径不同于第一路径，该第二路径不包括第一数据平台；并且第一pdc的第一数据接口被配置成用于经由该第一路径和第二路径将传感器数据传送至第一计算平台。

所公开的pdc的一个或多个实施例提供了下列优势中的一个或多个优势。pdc减少了e/ea中的平均导线长度，这优化了线束的整体重量和电缆束直径。将较小的电子控制单元(ecu)集成为pdc减少了功率供给导线的数量、网络连接的数量以及所需要的封装空间。pdc降低了车辆的成本和重量。pdc允许车辆被划分成区域，以使得可以在这些区域中使用较小的线束(“成套线束(kit)”)以将负载、传感器和致动器连接至pdc。这些“成套线束”支持用于线束的自动化制造过程(与手工相反)，这满足国际标准化组织(iso)26262中所要求的可追踪性。因为pdc具有使用不同拓扑(并且在一些实施例中，还使用不同的物理层)的多个功率和网络连接，因此车辆e/ea的可靠性增加，由此对第3/4/5级车辆提供益处。

所公开的实现方式的细节在所附附图和以下描述中进行阐述。根据该描述、附图以及权利要求书，其他特征、对象和优势是显而易见的。

附图说明

图1a图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中进行数据分配的e/ea系统架构。

图1b图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中进行数据分配的e/ea系统架构。

图1c图示出根据一些实施例的用于在具有自主驾驶能力的、使用六个pdc的车辆中进行数据分配的e/ea系统架构。

图1d图示出根据一些实施例的用于在具有自主驾驶能力的、使用六个pdc的车辆中进行数据分配的e/ea系统架构。

图1e图示出根据一些实施例的用于图1d的e/ea系统架构的控制器局域网灵活数据(can-fd)回退和功率管理。

图1f图示出根据一些实施例的用于由图1d的e/ea系统架构使用的冗余传感器环形拓扑。

图1g图示出根据一些实施例的用于由图1d的e/ea系统架构使用的冗余服务环形拓扑。

图1h图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中进行数据分配的e/ea系统架构。

图2a图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中进行功率分配的汽车e/ea系统架构。

图2b图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中进行功率分配的汽车e/ea系统架构。

图2c图示出根据一些实施例的用于在具有自主驾驶能力的、使用六个pdc的车辆中进行功率分配的汽车e/ea系统架构。

图2d图示出根据一些实施例的用于在具有自主驾驶能力的、使用六个pdc的车辆中进行功率分配的汽车e/ea系统架构。

图2e图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中进行功率分配的汽车e/ea系统架构。

图3a图示出根据一些实施例的车辆在pdc故障之前的故障-安全操作。

图3b图示出根据一些实施例的车辆在pdc故障之后的故障-安全操作。

图3c图示出根据一些实施例的车辆在pdc故障之前的故障-安全操作。

图3d图示出根据一些实施例的车辆在pdc故障之后的故障-安全操作。

图3e图示出根据一些实施例的具有六个pdc的车辆在pdc故障之前的故障-安全操作。

图3f图示出根据一些实施例的具有六个pdc的车辆在pdc故障之后的故障-安全操作。

图4a图示出根据一些实施例的车辆在安全连接的网关(scgw)故障之前的故障-安全操作。

图4b图示出根据一些实施例的车辆在scgw故障之后的故障-安全操作。

图4c图示出根据一些实施例的车辆在scgw故障之前的故障-安全操作。

图4d图示出根据一些实施例的车辆在scgw故障之后的故障-安全操作。

图4e图示出根据一些实施例的具有六个pdc的车辆在pdc故障之前的故障-安全操作。

图4f图示出根据一些实施例的具有六个pdc的车辆在pdc故障之后的故障-安全操作。

图5a图示出根据一些实施例的车辆在自动化驾驶服务器(ads)故障之前的故障-安全操作。

图5b图示出根据一些实施例的车辆在ads故障之后的故障-安全操作。

图5c图示出根据一些实施例的车辆在ads故障之前的故障-安全操作。

图5d图示出根据一些实施例的车辆在ads故障之后的故障-安全操作。

图5e图示出根据一些实施例的具有六个pdc的车辆在pdc故障之前的故障-安全操作。

图5f图示出根据一些实施例的具有六个pdc的车辆在pdc故障之后的故障-安全操作。

图6a图示出根据一些实施例的车辆在功率供给故障之前的故障-安全操作。

图6b图示出根据一些实施例的车辆在功率供给故障之后的故障-安全操作。

图6c图示出根据一些实施例的车辆在功率供给故障之前的故障-安全操作。

图6d图示出根据一些实施例的车辆在功率供给故障之后的故障-安全操作。

图6e图示出根据一些实施例的具有六个pdc的车辆在pdc故障之前的故障-安全操作。

图6f图示出根据一些实施例的具有六个pdc的车辆在pdc故障之后的故障-安全操作。

图7是根据一些实施例的pdc架构的概念框图。

图8是根据一些实施例的pdc架构的概念框图，该pdc架构包括功率板和数据板。

图9是根据一些实施例的不具有pdcio芯片上系统(soc)的pdc架构的概念框图。

图10是图示出根据一些实施例的双环自愈网络拓扑在pdc出故障时的故障-安全操作的概念框图。

图11是图示出根据一些实施例在正常操作期间由pdc执行的过程的流程图。

图12是图示出根据一些实施例的用于由pdc监视数据网络故障的过程的流程图。

图13是图示出根据一些实施例的用于由pdc监视功率网络故障的过程的流程图。

图14a图示出根据一些实施例的开放汽车服务器联盟(opencarserveralliance；ocsa)服务器系统概念。

图14b是图示出根据一些实施例的ocsa服务器系统硬件(hw)的概念框图。

图14c是图示出根据一些实施例的ocsa服务器系统软件(sw)的概念框图。

图15是图示出根据一些实施例的用于建立从组件到计算平台的逻辑连接的过程的流程图。

图16a图示出根据一些实施例的将ads用作外围插接站的星状拓扑。

图16b图示出根据一些实施例的包括用于某些传感器的冗余数据链路的子集的星状拓扑。

图17是根据一些实施例的用于选择以星状拓扑配置的冗余传感器的子集的过程的流程图。

图18图示出根据一些实施例的计算机系统。

图19图示出根据一些实施例的e/ea系统架构，该e/ea系统架构利用开放服务器平台(osp)并提供具有故障操作设计的可缩放的拓扑。

图20进一步图示出根据实施例的图19中所示出的e/ea系统架构，其中，聚焦在实现特征增长和冗余的关键技术属性。

图21图示出根据实施例的osp系统架构。

图22图示出根据实施例的osp软件栈。

图23图示出根据实施例的pdc功能域。

图24图示出根据实施例的用于实现车辆寿命周期管理的osp混合的关键性。

图25图示出根据实施例的用于实现车辆寿命周期管理的osp功能安全认证。

图26是根据实施例的用于第2级车辆的替代的可缩放e/ea架构的数据网络视图。

图27是根据实施例的图26中所示出的替代的可缩放e/ea架构的功率网络视图。

图28是根据实施例的用于第3级车辆的替代的可缩放e/ea架构的数据网络视图。

图29是根据实施例的图28中所示出的替代的可缩放e/ea架构的功率网络视图。

在各种附图中使用的相同参考符号表示相同的要素。

具体实施方式

现在将详细参照在附图中图示出的实施例。在以下详细描述中，阐述了众多具体细节以便提供对各个所描述的实施例的透彻理解。然而，对本领域的普通技术人员将显而易见的是，无需这些具体细节就可实施所描述的各实施例。在其他实例中，并未对公知的方法、程序、组件、电路以及网络进行详细描述，以免不必要地使实施例的各方面含糊。

“一个或多个(oneormore)”包括：由一个元件执行的功能；由多于一个元件例如以分布式方式执行的功能；由一个元件执行的若干功能；由若干元件执行的若干功能；或上述的任何组合。

还将理解，虽然在一些实例中，术语第一、第二等在本文中用于描述各种要素，但这些要素不应受这些术语的限制。这些术语仅用于将一个要素与另一要素区别开来。例如，第一处理器可以被称为第二处理器，并且类似地，第二处理器可以被称为第一处理器，而不背离所描述的各实施例的范围。第一处理器和第二处理器两者都是处理器，但它们不是同一个处理器。

在对本文中所描述的各实施例的描述中使用的术语仅出于描述特定实施例的目的，而非旨在是限定性的。如在对所描述的各实施例和所附权利要求的描述中所使用，单数形式“一(a、an)”、和“该(the)”旨在也包括复数形式，除非上下文另外明确指出。还将理解的是，本文所使用的术语“和/或”是指并且包含相关联的所列项目中的任一个以及相关联的所列项目中的一个或更多个的所有可能的组合。将进一步理解的是，术语“包含(includes、including)”、“包括(comprises、comprising)当在本申请文件中使用时指明所陈述的特征、整数、步骤、操作、元件和/或组件的存在，但并不排除一个或多个其他特征、整数、步骤、操作、元件、组件和/或其群组的存在或添加。

如本文中所使用，取决于上下文，术语“如果(if)”任选地被解释为表示“当……时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，取决于上下文，短语“如果被确定”或“如果[所陈述的状况或事件]检测到”任选地被解释为意指“一旦确定”或“响应于确定”或者“一旦检测到[所陈述的状况或事件]”或“响应于检测到[所陈述的状况或事件]”。

概览

所公开的pdc是将可缩放且负担得起的网络/功率冗余递送到支持部分或完全自主车辆的汽车e/ea中的组合式数据集中器、路由器和功率分配器。pdc通过车辆网络、总线或数据链路与其他pdc和计算节点双向地通信。在一些实施例中，pdc包括被配置成用于分配功率并接收、处理和/或发送数字信号、模拟信号和/或数据的电路和/或一个或多个处理器。

在一些实施例中，包括智能e/ea的车辆被划分成区域(例如，被放置在车辆底盘的每个角落处)，其中，每个区域包括一个或多个pdc以及一个或多个传感器(例如，雷达、激光雷达(lidar)、立体声/单声道相机、声纳)，这些传感器耦合至它们的(多个)区域pdc并由它们的(多个)区域pdc供电。每个pdc收集并处理(或传递通过)来自其区域中的一个或多个传感器的原始或经预处理的传感器数据。传感器以成本高效的短程数据链路的方式将它们的数据提供给pdc，该成本高效的短程无线链路包括但不限于：控制器局域网(can)总线、can灵活数据速率(can-fd)总线、相机串行接口(csi)、以及低电压差分信令(lvds)。在一些实施例中，每个区域中的一个或多个致动器耦合至它们相应的区域pdc，并且通过高速数据总线或数据链路从pdc接收它们的控制数据。

在一些实施例中，每个区域的(多个)pdc将它们的所收集的传感器数据(例如，数据分组)馈送或传送到环形网络中。在一些实施例中，环形网络是多环(例如，双环)自愈数据网络。该环形网络包括pdc以及用于执行各种车辆功能的一个或多个计算平台(例如，用于提供自主驾驶功能的计算平台)。数据通信量可以在同一环或不同环上在不同的方向上行进。例如，数据分组能以顺时针方向绕第一环行进，并且以逆时针方向绕第二环行进，或者两个环能以相同的顺时针或逆时针方向传送。数据通信量可以是相同的数据(例如，冗余数据流量)，或者其可以是不同的数据通信量。在一些实施例中，可以将数据分组从一个pdc双向地发送至另一pdc，从一个计算平台双向地发送至另一计算平台，从pdc双向地发送至计算平台，并且从pdc双向地发送至传感器或任何其他设备。在一些实施例中，一个或多个pdc或计算平台可以通过环形网络向其他pdc和计算平台广播数据分组。

如本文中所使用，术语“自愈(self-healing)”意指多环数据网络可以自动地绕过环的出故障的部分以允许数据继续流动或被路由至其他pdc和计算平台，如参考图10更全面地描述。如本文中所使用，术语“故障”包括环降级到低于可接收水平，诸如，低于服务质量(qos)阈值方差。

如果pdc或环部分出故障，则起作用的pdc可以降低它们相应的输出数据帧速率，或者命令传感器降低输出数据帧速率以补偿例如较长数据路径造成的数据等待时间(latency)。在一些实施例中，链路降级由pdc检测。响应于该检测，pdc可以重传数据(例如，分组)和/或(例如，使用压缩)降低去往计算平台或遥控操作者的数据流的带宽和/或传送速率。如果pdc出故障，则如参考图10所描述，pdc可以在冗余环上发送数据。pdc还可以指令/请求耦合至该pdc或耦合至另一pdc的其他传感器降低它们相应的带宽和/或传送速率。在一些实施例中，传感器和pdc两者均可以降低带宽或传送速率以确保到计算平台的递送。

在一些实施例中，如果区域pdc出故障(例如，作为碰撞的结果，pdc被损坏)，则交叉式传感器(crossingsensor)为区域提供最低水平的传感器覆盖。如本文中所使用，“交叉式(crossing)”或“十字交叉式(crisscrossing)”传感器是指第一区域中的至少一个传感器到第二区域中的至少一个pdc的耦合以及第二区域中的至少一个传感器到第一区域中的至少一个pdc的耦合。通过交叉式传感器，车辆将在受损区域中具有允许车辆以降低的车辆功能性(例如，降低的车辆速度)为代价来执行安全模式操纵(例如，“跛行回家(limphome)”模式)的受限的传感器覆盖(例如，受限的雷达数据)。在随后的一些实施例中，包括激光雷达、相机、声纳等的各种类型的传感器可以“被十字交叉”。

在一些实施例中，使用冗余高速数据链路将pdc耦合至计算平台。例如，可以使用两个hdbaset数据链路将每个pdc耦合至邻居pdc和/或耦合至一个或多个计算平台。在此种配置中，单个hdbaset链路故障将不会导致传感器数据丢失。可以通过增加相机数据压缩或帧速率降低来补偿等待时间。在一些实施例中，can-fd链路可以被用作hdbaset的后备。在一些实施例中，使用单个hdbaset数据链路和单个以太网数据链路将计算平台耦合在一起。在此种配置中，所有hdbaset数据链路的故障可能导致功能故障而不会导致总体系统故障。在一些实施例中，在数个不同的物理层上使用不同协议来实现冗余。

在一些实施例中，pdc作为数据路由器来进行操作和/或执行处理。当作为路由器来进行操作时(例如，当处于故障模式时)，pdc将未处理的原始传感器数据传递至一个或多个计算平台和其他pdc。在一些实施例中，pdc通过在将传感器数据馈送至多环网络之前在pdc硬件中在本地使用各种过滤器、算法、变换和过程处理原始传感器数据来执行传感器数据融合和其他数据处理(例如，无损或有损数据压缩、数据格式化、以及数据变换)。在该实施例中，pdc本质上作为分布式计算节点来进行操作，并且提供用于融合数据的时钟。例如，pdc可以通过将立体相机输出数据和激光雷达输出数据融合来生成对象列表，并且随后通过环形网络将该对象列表发送至执行用于自主驾驶的感知功能的计算平台。这减少了计算平台上的负载，以使得计算平台可以执行其他功能。在一些实施例中，pdc包括数据接口中测量网络链路性能以检测任何qos降级的电路。

在一些实施例中，pdc在将原始或经处理的传感器数据传送至数据网络之前对该数据执行有损或无损数据压缩。如果正在为远程遥控操作应用传送数据，则有损压缩可能是期望的。pdc还可以将无损数据传送至车辆中的计算平台并同时将有损数据传送至遥控操作者。

在一些实施例中，pdc被配置成用于监视传感器漂移或其他传感器校准参数并发起对这些参数的重新校准。如果pdc检测到传感器漂移或偏移高于期望阈值，则pdc可以主动地决定不将来自受损的传感器的数据传送至环形网络。在一些实施例中，对传感器漂移或偏移的检测由pdc用来预测传感器故障，以使得可以由该pdc或车辆中的一个或多个计算平台采取主动步骤来防止传感器故障或在传感器故障之前发起变通(workaround)解决方案。

除了数据冗余之外，所公开的pdc的一些实施例还通过作为对区域中的一个或多个传感器和致动器的功率分配器来操作而向e/ea递送功率冗余。pdc可以耦合至一个或多个功率轨，每个功率轨具有其自身的备用电池。将功率分配从集中式功率源或供给系统(例如，车辆电气中心)移动至每个pdc允许将第一级功率电子装置(例如，过滤级)从传感器硬件移动到pdc硬件中，具有可以在e/ea中使用较不昂贵的传感器(由于更少的电子组件)的益处。另外，将电池耦合至pdc减少或消除了对电池上的保险丝的需要(这可能烧坏电池耦合至的环片段)，因为如参考图7-图9所描述，pdc将使用例如智能功率开关来处置短路保护。

在一些实施例中，e/ea包括向pdc和计算平台供给来自两个或更多个冗余功率源(例如，电池)或供给系统(例如，车辆电气中心)的功率的两个或更多个功率环。在随后的实施例中，每个pdc具有各自耦合至两个功率环中的一个功率环的两个功率输入端。功率输入端可以耦合(例如，电流连接(galvanicconnection))在pdc硬件之内，并且响应于功率源或供给系统中一者的故障而快速地相对于彼此隔离。在一些实施例中，pdc功率输入端可以使用包括诊断的切换路径来支持连接的传感器和致动器。例如，pdc可以包括智能切换设备，这些智能切换设备测量pdc的输入/输出电压和/或电流以及温度的改变速率，并且响应于这些改变而执行快速切换，以确保计算平台和pdc在功率源或供给系统故障的情况下接收功率。可以在连接至pdc的任何负载上使用智能切换，并且智能切换允许更小直径的电缆，因此节省车辆制造成本。智能切换还允许功率电缆更细并去除对保险丝盒的需要。

在一些实施例中，控制单个车辆功能(例如，电动升降门、电驱动拖车挂钩、电动遮阳板)或多个车辆功能(例如，前照灯或后照灯控制、座椅控制、拖车模块)的小型电子控制单元(ecu)可以被集成在pdc硬件中。例如，区域中由pdc控制和供给并且不必满足iso26262要求(例如，舒适功能)的负载、传感器和致动器可以由pdc硬件和软件供给。将小型ecu功能嵌入到pdc硬件中的益处包括：每辆车的总ecu较少，并且pdc与负载、传感器和致动器之间的线束较小。通过自动化制造可以更经济地生产较小的线束。

系统架构

图1a图示出根据某个实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中进行数据分配的e/ea系统架构100a。e/ea系统架构100a可以被集成到各种类型的车辆中。如本文中所定义，“车辆”包括但不限于：燃料动力型、电动型、混合动力型客车、卡车、公共汽车、出租车、两轮或三轮车辆(例如，摩托车、atv)、建筑或农业装备(例如，水泥卡车、自卸卡车、拖拉机、犁、收割机、谷物卡车)、军用车辆(例如，战斗坦克、步兵战车、装甲运兵车、无人作战车辆、装甲战斗支援车辆等)、海洋船只(例如，船只、潜水艇、气垫船)、自动化递送机器人和无人机。

在所示出的实施例中，e/ea系统架构100a包括自动化驾驶服务器(ads)101、连接的服务器平台(csp)102、安全连接的网关(scgw)103、推进和底盘服务器(pcs)104、pdc105a-105d、雷达106a-106h、激光雷达107a-107e、以及相机108a-108h(例如，立体或单色相机)。ads101、csp102、scgw103和pcs104还共同被称为“计算平台”。

ads101包括用于执行数个自主驾驶任务的硬件和软件，这些自主驾驶任务包括但不限于：路线规划、轨迹规划和验证、感知处理、决策逻辑、实现控制法则、定位、交叉路口处置、针对规划的行为推断、横向/纵向控制、计算现实世界/环境模型、以及传感器数据融合。

csp102是包括用于运行各种应用的硬件和软件的可缩放的汽车服务器平台，这些应用诸如，高级驾驶员辅助系统(adas)应用、信息娱乐应用、用户应用(例如，或应用)、视频分发、ip路由、微服务、针对规划的行为推断、以及人机接口(hmi)管理。

scgw103包括用于安全地管理云以及与各种数据服务的对等连接性的硬件和软件，这些数据服务包括但不限于：空中(ota)软件更新服务、遥控操作者/远程控制服务、数据分析服务、地图数据库服务、定位服务、娱乐服务、安全性服务、以及原始设备制造商(oem)服务。scgw103还安全地管理与其他车辆、城市基础设施(例如，停车灯)、路边信标、家庭网络等的对等连接性。

pcs104包括用于控制诸如加速、制动和转向之类的车辆驾驶功能的硬件和软件。

如参考图10更完整地描述，计算平台101-104以双环自愈网络拓扑来耦合。该双环网络拓扑为第3/4/5级自主驾驶提供所要求的数据冗余。计算平台、pdc和传感器之间的数据链路由图1a中示出的图例指示。在一些实施例中，如先前所描述，pdc105a-105d也通过执行例如数据压缩、传感器数据融合以及小型ecu功能作为分布式计算节点来进行操作。

在一些实施例中，计算平台101-104和pdc105a-105d通过第一组冗余数据链路(例如，8gbit/shdbaset、10gbit/s以太网)耦合在一起。计算平台101-103通过第二组数据链路(例如，1gbit/s以太网)耦合在一起。在一些实施例中，雷达106a-106h通过can-fd总线耦合至它们相应的区域pdc105a-105d。激光雷达传感器107a-107e通过1gbit/s以太网耦合至它们相应的区域pdc105a-105d。相机108a、108b、108c、108g、108h通过csi总线耦合至它们相应的区域pdc105a-105d。

在一些实施例中，面向前方的相机108d和108f通过低电压差分信令(lvds)直接耦合至ads101，并且前面向前方的相机108e也通过lvds直接耦合至计算平台103。在其中面向前方的相机直接连接至ads101的环故障中，面向前方的相机108d、108f保持可操作。替代地，当面向前方的相机108d、108f附连至pdc时，部分环故障可能取决于故障的性质但是不一定由于冗余环形拓扑而导致受限的覆盖。例如，全环故障使附连至环的所有传感器而不是直接附连至ads101的那些传感器不可用。这也可以是针对其中一些相机直接附连至ads101因此至少一些传感器覆盖保持(例如，使用面向前方的相机108d、108f)的全环故障的故障-安全方式，这能够允许车辆执行安全停止。

车辆可以被划分成n个区域，其中，每个区域包括耦合至覆盖该区域的一个或多个传感器的一个或多个pdc。在所示出的实施例中，车辆100a被划分为六个区域：右前部、左前部、右后部、左后部、左侧部和右侧部。在所示出的实施例中，通过“交叉式传感器”，在车辆的前部和后部提供附加冗余。例如，左后部区域中的雷达106a耦合至右后部区域中的pdc105d，并且右后部区域中的雷达106g耦合至左后部区域中的pdc105a。类似地，在车辆的前部，左前部区域中的雷达106c耦合至右前部区域中的pdc105c，并且右前部区域中的雷达106e耦合至左前部区域中的pdc105b。

e/ea100a通过使用包括pdc和计算平台的双环自愈网络拓扑来提供负担得起的网络冗余。在传感器与pdc之间使用成本高效的短程数据线。如果一个pdc由于车辆碰撞或其他灾难性事故而出故障，则前部/后部雷达传感器的交叉提供最小雷达覆盖。pdc可以通过执行传感器数据融合和/或数据压缩(例如，对相机数据的无损或有损压缩)而作为分布式计算节点来进行操作。冗余数据链路被设置在从每个pdc到邻居pdc和/或计算平台，因此防止导致传感器数据丢失的单个链路故障(例如，由于车辆碰撞、短路或其他灾难性事故)。在故障-安全操作的情况下，增加的数据压缩或帧速率较小可以被用来增加网络带宽和传送速率。在单个pdc故障的情况下，can-fd总线可以被用来将起作用的pdc与scgw103耦合。可以利用诸如hdbaset和以太网数据链路之类的冗余高速数据总线将计算平台耦合在一起，由此防止故障导致总体系统故障的所有hdbaset链路或以太网链路故障。

图1b图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc的车辆中的进行数据分配的e/ea系统架构100b。在该实施例中，传感器通过冗余传感器环耦合至计算平台和pdc，并且计算平台通过冗余计算环彼此耦合。在车辆的左侧部和右侧部上分别存在附加的相机108i和108k。在车辆的后部和前部处还分别存在附加的相机108l、108j。注意，相机108a、108g已经朝向车辆的前部被移动成接近驾驶员和乘客门。而且，声纳109a-109c耦合至pdc105b，声纳109d-109f耦合至pdc105c，声纳109g-109i耦合至pdc105d，并且声纳109j-109l耦合至pdc105a。在一些实施例中，pdc105a-105d使用局部互连网络(lin)总线来耦合它们相应的声纳中的每个声纳。lin总线处置低端多路复用通信的连接，而can-fd总线用于要求快速且高效的连接的高端操作，诸如，错误处置。

相较于e/ea系统架构100a，相机108d耦合至pdc105b而不是ads101，并且相机108e耦合至ads101而不是scgw103。相机108d-108f可以具有不同的视场以及具有不同分辨率(例如，不同的像素数量)的传感器，诸如，100°/1.7mp、120°/7.4mp和28°/7.4mp。相较于e/ea系统架构100a，pcs104通过冗余计算环而耦合至另一平台ads101、csp102和scgw103而不是耦合至pdc105b、105c，并且雷达106h耦合至pdc105a而不是耦合至pdc105d。传感器、pdc和计算平台之间的冗余数据链路由图1b上的图例指示。

图1c图示出根据一些实施例的用于在具有自主驾驶能力的、使用六个pdc的车辆中进行数据分配的e/ea系统架构100c。如e/ea100a中所示地将四个pdc105a-105d放置在车辆底盘的每个角落中优化了电子装置成本，但是由于传感器数据路径中的一些传感器数据路径的长度而潜在地不允许自动化的线束制造。e/ea系统架构100c在车辆的左侧部和右侧部上包括附加的pdc105e、105f。添加两个附加的pdc105e、105f允许自动化的线束生产，并通过具有更少的由于pdc故障造成的传感器丢失来改进功能安全性。一般而言，任何数量的pdc可以被包括在e/ea系统架构中，以根据优化焦点来对e/ea进行缩放。在一些实施例中，目标车辆的类别/尺寸与传感器以及电气负载的可能数量一起可以限定要包括在e/ea中的pdc的最佳数量。

e/ea系统架构100c包括与e/ea系统架构100b中的传感器相同数量和类型的传感器，但是用于某些传感器的数据链路由于附加的pdc105e、105f而被缩短。例如，雷达106b和相机108i、108a现在耦合至pdc105e而不是耦合至pdc105a、105b，并且雷达106f和相机108k、108g现在耦合至pdc105f而不是耦合至pdc105c、105d。pdc105e通过冗余计算环进一步耦合至计算平台csp102、scgw103和pdc105b并且耦合至面向前方的相机108d和108e。pdc105f进一步耦合至csp102、pdc105c以及面向前方的相机108f。

图1d图示出根据一些实施例的用于在具有自主驾驶能力的、使用六个pdc的车辆中进行数据分配的e/ea系统架构100d。在该实施例中，pdc105a-105f耦合在传感器环中，并且ads101、csp102、scgw103a和pcs104一起耦合到服务器环中。该e/ea通过包括六个音频扬声器111a-111f以及耦合至csp102的一个或多个显示器而区别于先前所描述的架构，这些音频扬声器111a-111f耦合至pdc105a-105f以用于接收音频数据。虽然扬声器111a-111f在该实施例中被示出为主动式的，但是在另一实施例中，扬声器111a-111f可以是被动式扬声器，其中，在pdc105a-105f中包括放大电路，以减少由主动式扬声器电路生成的热。

e/ea系统架构100d中还包括远程收发器单元(rtu)110以及用于各种无线通信技术的天线，该rtu110包括一个或多个无线收发器芯片和支持电路，各种无线通信技术包括但不限于：蓝牙、车对车(car2car)、wifi、5g、全球导航卫星系统(gnss)(例如，gps)、fm立体声、卫星无线电、以及任何其他通信硬件。在一些实施例中，天线可以是单向的、全向的、多输入多输出(mimo)、天线阵列、或任何其他类型的天线。在一些实施例中，天线可以是可配置的且可转向的。rtu110通过两个或更多个数据链路耦合至scgw102以实现冗余。

图1e图示出根据一些实施例的用于图1d的e/ea系统架构100d的can-fd回退和功率管理。在ads101和csp102出故障的情况下，can-fd总线将使pdc105a-105f与scgw103耦合在一起。该配置将允许通过rtu110将信息(例如，传感器数据)传输至远程遥控操作者。该配置还允许pdc105a-105f向它们对应的传感器分配功率，以确保车辆的所有区域上的传感器覆盖。

图1f图示出根据一些实施例的用于图1d的e/ea系统架构100d的冗余传感器环形拓扑。在该实施例中，在传感器环中包括六个pdc105a-105f、ads101、csp102以及scgw103。冗余桥接器将pdc105b耦合至pdc105c。

图1g图示出根据一些实施例的用于图1d的e/ea系统架构100d的冗余服务环形拓扑。如所示，在该服务器环中，ads101、csp102、scgw103和pcs104耦合在一起，以用于传感器环出故障的情况下的冗余。

图1h图示出根据一些实施例的用于在具有自主驾驶能力的、使用四个pdc105a-105d的车辆中进行数据分配的e/ea系统架构100h。e/ea100h类似于e/ea100d，但是缺少左侧部pdc105e和右侧部pdc105f以及音频扩音器111b、111e。音频扩音器111c和激光雷达106b串联地耦合至pdc105b，并且音频扩音器111d和激光雷达106f串联地耦合至pdc105c。

图2a图示出用于在具有自主驾驶能力的、使用四个pdc的车辆中进行功率分配的汽车e/ea系统架构100a的实施例。除了图1a中示出的计算平台、传感器和pdc之外，图2a还示出了冗余电气中心和功率分配(ecpd)201a、201b以及冗余功率供给202a、202b(例如，电池)。冗余ecpd201a、201b提供高电压电路的安全功率分配并管理电池功率。如图2a中所示，ecpd201a将经过滤的12伏供给分配给csp102和scgw103，并将稳定的电压(例如，5v)供给分配给面向前方的相机108d、108e和108f。如图2a中所示，ecpd201a、201b，功率供给202a、202b，pdc105a-105d以及ads101耦合至冗余功率供给环(例如，12v)。

pdc105a-105d将功率(例如，稳定的5v供给)分配给它们相应的区域传感器中的每个区域传感器和交叉式传感器。例如，pdc105a向它的相应区域传感器(传感器107a、108a、108h)和交叉式传感器(传感器106g)提供功率，pdc105b向它的相应区域传感器(传感器107b、107c、108b)和交叉式传感器(传感器106e)提供功率，pdc105c向它的相应区域传感器(传感器106d、107d、108c)和交叉式传感器(传感器106c)提供功率，并且pdc105d向它的相应区域传感器(传感器106h、107d、108d)和交叉式传感器(传感器106a)提供功率。

以上在图1a和图2a中描述的e/ea100a通过使用冗余功率环以及车辆电气中心和pdc的混合式方式提供了负担得起的功率冗余。冗余功率供给(例如，12v电池)对pdc和计算平台供电。传感器被供给有稳定的且经过滤的功率供给(例如，5v)。没有传感器或计算平台由于单个功率供给故障而丢失。

图2b图示出用于在具有自主驾驶能力的、使用四个pdc的车辆中进行功率分配的汽车e/ea系统架构100b的实施例。在该实施例中，相较于图2a中的e/ea100a的实施例，ecpd201a已被移除，并且ecpd201b耦合至12伏的功率供给环、相机108i和pdc105b。pdc105a-105d各自耦合至两个冗余功率环，并将功率(例如，12v供给)分配给它们相应的区域传感器中的每个区域传感器和交叉式传感器。在一些实施例中，pdc105a-105f使用同轴电缆供电(powerovercoax；poc)来对它们的区域传感器(例如，相机)中的至少一些供电。例如，pdc105a使用poc对相机108a和相机108l供电。相机108b、108d、108i由pdc105b使用poc来供电，并且相机108e、108f由ads101供电。pdc105a-105f向计算平台101-104供给经过滤的12v供给。功率供给202a、202b分别直接耦合至pdc105b、105d。

图2c图示出用于在具有自主驾驶能力的、使用六个pdc105a-105f的车辆中进行功率分配的汽车e/ea系统架构100c的实施例。图2c示出ecpd201b和冗余功率供给202a、202b(例如，电池)。pdc105a-105f将功率(例如，12v供给)分配给它们相应的区域传感器中的每个区域传感器和交叉式传感器。pdc105e、105f和计算平台101-104全部耦合至第一12v经过滤的功率环。pdc105a-105f耦合至第二12v功率环。pdc105a-105f将功率(例如，12v供给)分配给它们相应的区域传感器中的每个区域传感器和交叉式传感器。在一些实施例中，pdc105a-105f使用poc来对它们的区域传感器(例如，相机)中的至少一些供电。相机108d、108e由pdc105e供电，并且相机108f由pdc105f供电。

图2d图示出用于在具有自主驾驶能力的、使用六个pdc的车辆中进行功率分配的汽车e/ea系统架构100d的实施例。每个pdc105a-105f专用于车辆的区域，并且将来自功率供给202a、202b的功率分配给它们相应的区域传感器。注意，rtu110由scgw103供电。还注意，在右前部区域与左前部区域之间以及右后部区域与左后部区域之间使用经交叉的传感器来确保在区域中的pdc出故障的情况下这些区域具有至少最小的雷达覆盖。

图2e图示出用于在具有自主驾驶能力的、使用四个pdc的车辆中进行功率分配的汽车e/ea系统架构100e的实施例。每个pdc105a-105d专用于车辆的区域，并且将来自功率供给202a、202b的功率分配给它们相应的区域传感器。注意，rtu110由scgw103供电。还注意，在右前部区域与左前部区域之间以及右后部区域与左后部区域之间使用经交叉的传感器来确保在区域中的pdc出故障的情况下这些区域具有至少最小的雷达覆盖。

根据一些实施例，图3a图示出车辆在pdc105b故障之前的故障-安全操作，并且图3b图示出车辆在pdc105b故障之后的故障-安全操作。注意，由于pdc105b的故障(由大“x”指示)，相机108b和激光雷达107b、107c被禁用(例如，由于数据链路、功率或两者的丢失)，但是雷达106c由于其与pdc105c的耦合而仍然是活跃的。因此，在pdc105b故障之后，左前部区域仍然具有雷达覆盖。注意，pcs104仍从pdc105c接收传感器数据，允许驾驶系统仍然起作用。虽然激光雷达107c被禁用，但车辆的前部区域仍然由相机106d覆盖。

根据一些实施例，图3c图示出车辆在pdc105b故障之前的故障-安全操作，并且图3d图示出车辆在pdc105b故障之后的故障-安全操作。虽然耦合至pdc105b的传感器不再可用(例如，由于丢失的数据链路、功率或两者)，但e/ea补偿pdc105b的完全损失。例如，由耦合至pdc105c的雷达106c在受损区域中提供最小雷达覆盖。

根据一些实施例，图3e图示出具有六个pdc的车辆在pdc故障之前的故障-安全操作，并且图3f图示出具有六个pdc的车辆在pdc故障之后的故障-安全操作。虽然耦合至pdc105b的传感器不再可用(例如，由于丢失的数据链路、功率或两者)，但e/ea补偿pdc105b的完全损失。例如，由耦合至pdc105c的雷达106c在受损区域中提供最小雷达覆盖。

根据一些实施例，图4a图示出车辆在scgw103故障之前的故障-安全操作，并且图4b图示出车辆在scgw103故障之后的故障-安全操作。注意，由于scgw103故障(由大“x”指示)，雷达106b、106d和相机108e被禁用(例如，由于丢失的数据链路、功率或两者)。虽然相机108e被禁用，但相机108d、108f仍然操作以覆盖车辆的前部区域。虽然雷达106b、106d被禁用，但相机108a、108b、108c和108e由于它们在车辆上的位置和相机指向的方向而仍然操作以覆盖右侧部区域和左侧部区域。

在一些实施例中，相机传感器108a、108b、108c和108e可以使它们相应的视场被它们相应的pdc调整(例如，加宽)，以进一步补偿雷达106b、106f的损失。计算平台101、102和104仍从pdc105a-105c接收传感器数据，从而允许关键车辆驾驶系统仍然起作用。从scgw103到pdc105a-105d的所有can-fd连接均被禁用，但以hdbaset数据链路来代替。

根据一些实施例，图4c图示出车辆在scgw103故障之前的故障-安全操作，并且图4d图示出车辆在scgw103故障之后的故障-安全操作。e/ea将在没有scgw103的情况下工作。虽然从scgw103到pdc105a-105f的can连接缺失，但是can通信量可能在hdbaset上进行。因为scgw103不直接耦合至任何传感器，因此所有的传感器仍然可用，并且可以在传感器环上将它们的数据发送至计算平台和其他pdc。

根据一些实施例，图4e图示出具有六个pdc的车辆在计算平台(例如，103)故障之前的故障-安全操作，并且图4f图示出具有六个pdc的车辆在计算平台故障之后的故障-安全操作。虽然到rtru110的连接伴随scgw103故障而丢失，但pdc105a-105f、ads101、csp102和pcs104可以在没有scgw103的情况下继续彼此通信。

根据一些实施例，图5a图示出车辆在ads101故障之前的故障-安全操作，并且图5b图示出车辆在ads101故障之后的故障-安全操作。注意，由于ads101的故障(由大“x”指示)，来自csp102的应急轨迹和驾驶控制在“跛行回家”模式下(例如，通过遥控操作者的远程控制或辅助被使用。虽然面向前方的相机108d、108e被禁用，但相机108仍是操作的。所有其他传感器对csp102保持可用。

根据一些实施例，图5c图示出车辆在ads101故障之前的故障-安全操作，并且图5d图示出车辆在ads101故障之后的故障-安全操作。e/ea能够补偿ads101的完全损失。来自csp102的应急轨迹和驾驶控制在“跛行回家”模式下被使用。仅两个面向前方的相机是不可用的。所有其他传感器仍然对csp102可用。在一些实施例中，csp102可以提供所存储并周期性地被更新的最新的最佳轨迹。

根据一些实施例，图5e图示出具有六个pdc的车辆在计算平台(例如，101)故障之前的故障-安全操作，并且图5f图示出具有六个pdc的车辆在计算平台故障之后的故障-安全操作。e/ea能够补偿ads101的完全损失。来自csp102的应急轨迹和驾驶控制在“跛行回家”模式下被使用。仅两个面向前方的相机是不可用的。所有其他传感器仍然对csp102可用。rtu110也保持操作，并且可以被用来与远程遥控操作者进行通信，该远程遥控操作者可以辅助“跛行回家”模式下的车辆。

根据一些实施例，图6a图示出车辆在功率供给202a故障之前的故障-安全操作，并且图6b图示出车辆在功率供给202a故障之后的故障-安全操作。注意，由于功率供给202a的故障(由大“x”指示)，冗余功率环形拓扑使用功率供给202b来供给pdc105a-105d和计算平台101-104。没有传感器或计算平台因为功率供给202a的故障而被禁用。

根据一些实施例，图6c图示出车辆在功率供给202a故障之前的故障-安全操作，并且图6d图示出车辆在功率供给202a故障之后的故障-安全操作。e/ea能够补偿功率供给202a的完全损失。环形拓扑从第二功率供给202b供给所有pdc。在功率故障之后，所有传感器和计算平台均可用。在一些实施例中，在功率故障(例如，短路)的情况下，连接至功率供给202b的环的一个或多个区段可能不得不被降低至较低的电压。

根据一些实施例，图6e图示出具有六个pdc的车辆在功率供给(例如，202a)故障之前的故障-安全操作，并且图6f图示出具有六个pdc的车辆在功率供给故障之后的故障-安全操作。e/ea能够补偿功率供给202a的完全损失。环形拓扑从第二功率供给202b供给所有pdc。在功率故障之后，所有传感器和计算平台均可用。在一些实施例中，在功率故障(例如，短路)的情况下，连接至功率供给202b的环的一个或多个区段可能不得不被降低至较低的电压。

pdc架构

图7是根据一些实施例的pdc架构700的概念框图。pdc架构700包括三个集成电路芯片：pdciosoc701、pdc数据soc702以及智能5v功率开关(sps)703。sps703包括用于耦合至12v功率环的功率输入端705a、705b以及用于向相机、雷达和激光雷达供给稳定且经过滤的电压(例如，5v)的冗余功率输出端709。

pdciosoc701包括用于与雷达进行通信的雷达端口708a以及用于与scgw102进行通信的scgw端口708b。在所示出的实施例中，雷达端口708a各自耦合至3mbit/s双can-fd总线，并且scgw端口708b耦合至3mbit/s单can-fd总线。

pdc数据soc702包括接口704a、704b，这些接口704a、704b被配置成耦合至hdbaset4gbit/se1x非屏蔽双胶线(utp)高速总线。在一些实施例中，接口704a、704b是被编程有用于实现各种物理(phy)层的逻辑的现场可编程门阵列(fpga)，包括但不限于：hdbaset、数字硬件设备接口(dhdi)、外围组件互连快速(pcie)、以及va6000。利用在针对高达15米(50英尺)的单根utp电缆上的原生联网能力，va6000实现对多媒体内容的对称隧穿(tunneling)。va6000可以被用作同时在单根电缆上或在菊式链拓扑中运行的若干个应用的点对点隧穿解决方案，并且适于在汽车信息娱乐网络中使用。pcie是高速串行计算机扩展总线标准。hdbaset是针对单根长距离电缆上的超高清视频和音频传送、以太网、控制以及通用串行总线的标准。

pdc数据soc702还包括相机端口706a、706b以及激光雷达端口707a、707b。相机端口706a、706b被配置成耦合至相机数据总线(例如，1gbit/scsi)，并且激光雷达端口707a、707b被配置成耦合至以太网(例如，1gbit/s以太网)。

在操作时，pdciosoc701通过第一串行通信接口(例如，互集成电路(i2c)控制信号)向sps703发送控制信号，并且pdc数据soc702通过第二串行通信接口(例如，1gbit/s串行千兆媒体独立(sgmi)接口)向pdiosoc701发送控制信号。

图8是根据一些实施例的pdc架构800的概念框图，该pdc架构800包括功率板801和数据板802。pdc架构800类似于pdc架构700，但是包括4端口pcie开关804和智能开关803a-803c。pcie开关804向hdbaset数据fpga704a、704b提供分插(add-drop)复用(adm)和连接性。在短路或环中的其他功率故障事件的情况下，智能开关803a保护703，并且智能开关803b、803c使功率环断开连接。

图9是根据一些实施例的不具有pdciosoc701的pdc架构900的概念框图。pdc架构900将pdciosoc701和hdbaset接口(fpga)的功能集成到pdc数据soc702中，由此将芯片组从3个芯片减少到2个芯片并消除对单独的数据板和功率板的需要。

参考图7-图9描述的pdc架构可以被包括在单个壳体或多个壳体中。例如，第一壳体可以包括数据处理电路和软件，并且物理地分开的第二壳体可以包括功率分配电路。

图10是图示出根据一些实施例的双环自愈网络拓扑在pdc出故障时的故障-安全操作的概念框图。在所示出的实施例中，双环自愈网络1000包括计算平台1001(例如，ads101)、计算平台1003(例如，csp102)、pdc11002a(区域a)、pdc21002b(区域b)、以及传感器1004a-1004f。在该实施例中，存在两个区域a和b。传感器1004a-1004c和pdc11002a服务区域a，并且传感器1004d-1004f和pdc21002b服务区域b。数据链路1005a-1005c包括第一数据环，并且数据链路1006a-1006c包括第二数据环。根据如图10中所图示的元件的取向，数据顺时针流过数据链路1005a-1005c，并且逆时针流过数据链路1006a-1006f。

假定pdc11002a出故障(由大“x”指示)，则计算平台1001和pdc21002b中的电路(例如，智能切换电路)将自动地发起“自愈”过程，该“自愈”过程与数据链路1005b、1005c、1006a、1006b形成如点1007a、1007b处所示的新环。相应地，如果pdc11002a(或数据链路1005a、1006c)出故障，则双环自愈网络1000自动地形成新环，以使得计算平台1001、计算平台1003和pdc21002b可以通过该新环继续向彼此传输数据，同时车辆转变为安全模式并减慢该车辆的速度。在新环被形成之后，在一些实施例中，起作用的pdc21002b减慢它的帧速率并命令传感器1004d-1104f减慢它们的帧速率，以补偿由pdc21002b与计算节点1001之间增加的距离导致的数据等待时间。

在一些实施例中，汽车电气和电子系统(例如，100a)包括第一pdc(例如，105a、105b、105c、105d、105e、105f、1002a或1002b)、第一计算平台(例如，101、102、103、104、1001或1003)以及第一数据平台(例如，101、102、103、104、1001、1003、105a、105b、105c、105d、105e、105f、1002a或1002b)。在一些实施例中，第一pdc包括被配置成用于处理数据(例如，接收数据，传送数据和/或执行计算)并分配功率的电路和/或一个或多个处理器。在一些实施例中，第一计算平台包括主要处理器数据并执行计算以供进行自主驾驶的电路和/或一个或多个处理器。在一些实施例中，第一计算平台不向其他系统组件分配功率。在一些实施例中，第一数据平台是第二pdc(例如，105a、105b、105c、105d、105e或105f)或者第二计算平台(例如，101、102、103或104)。

第一pdc经由两个不同的路径连接至第一计算平台，这两个不同的路径包括第一路径(例如，图1b中传感器环的按顺时针从pdc105b到ads101的部分)和第二路径(例如，图1b中传感器环的按逆时针从pdc105b到ads101的部分)，第一路径包括第一数据平台(例如，105c或scgw103)，第二路径不包括第一数据平台(例如，105c或scgw103)。

在一些实施例中，第一pdc连接至第一计算平台，而不利用中间pdc或计算平台。在一些实施例中，第一pdc经由一个或多个其他pdc或计算平台连接至第一计算平台。在一些实施例中，路径是系统中两点(例如，第一pdc与第一计算平台)之间连续的通信链路，其中，该通信链路包括这两点之间的任何系统组件(电缆连线、pdc、计算平台等)。

第一pdc包括被配置成用于从一个或多个传感器(例如，107a、108a、108h、106g)接收传感器数据的第一传感器接口(例如，701、708a、706a、706b、707a、707b)以及被配置成用于传送该传感器数据的第一数据接口(例如，702、704a、704b)。在一些实施例中，第一数据接口包括多个输出端口(例如，704a和704b连接至网络环的不同路径)。

第一pdc的第一数据接口被配置成用于经由第一路径和第二路径将传感器数据传送至第一计算平台(例如，第一数据接口提供到第一pdc与第一计算平台之间的通信链路的连接)。在一些实施例中，第一pdc的第一数据接口被配置成用于经由第一路径而将传感器数据传送至第一计算平台，同时经由第二路径将传感器数据传送至第一计算平台。在一些实施例中，第一pdc的第一数据接口被配置成用于一次仅经由一个路径地将传感器数据传送至第一计算平台(例如，第一pdc可以经由任一路径将传感器数据传送至第一计算平台)。

在一些实施例中，第一pdc被配置成用于：根据第一路径不具有故障(例如，第一路径正以阈值水平或高于阈值水平进行操作)的判定而经由第一路径将传感器数据传送至第一计算平台；以及根据第二路径具有故障(例如，第二路径被降级到低于阈值水平)的判定而经由第二路径将传感器数据传送至第一计算平台。

在一些实施例中，第一路径、第二路径、第一pdc、以及第一计算平台形成第一环形网络(例如，100a(图1a)、100b(图1b)、100c(图1c)、100d(图1d)、100f(图1f)或100h(图1h))，该第一环形网络被配置成用于传送传感器数据。例如，在第一环形网络中，第一路径的第一端(例如，第一pdc)是第二路径的第二端，并且第一路径的第二端(例如，第一计算平台)是第二路径的第一端(例如，第一路径在第二路径开始处结束，并且第二路径在第一路径开始处结束；第一和第二路径在相同的第一位置处开始并在相同的第二位置处结束)。在一些实施例中，路径的开始和结束是可互换的(例如，相应地，第一路径的第一端可以被称为第一路径的开始或结束，并且第一路径的第二端可以被称为第一路径的结束或开始)。

在一些实施例中，系统包括第二pdc，该第二pdc被包括在第一路径或第二路径中(例如，第二pdc在第二路径中而不在第一路径中，或者在第一路径中而不在第二路径中)。在一些实施例中，系统包括第一传感器(例如，106a-106h、107a-107e、108a-108f或1004a-1004f)和第二传感器。第一传感器连接至第一pdc，并且第二传感器连接至第二pdc。从第一传感器到第一pdc的物理距离小于从第一传感器到第二pdc的物理距离(例如，第一传感器处于车辆的第一区域中，第一pdc处于该车辆的第一区域中，并且第二pdc处于该车辆的第二区域中)。从第二传感器到第一pdc的物理距离小于从第二传感器到第二pdc的物理距离(例如，第二传感器与第一传感器处于同一区域中；第二传感器是十字交叉的(耦合至不同区域中的pdc))。在一些实施例中，第一传感器连接至第一pdc，而不利用中间pdc或计算平台。在一些实施例中，第二传感器连接至第二pdc，而不利用中间pdc或计算平台。

在一些实施例中，第一pdc连接至第二pdc，而不利用中间pdc或计算平台(参见例如图1f中冗余桥接器连接的105b和105c)。在一些实施例中，第一计算平台被配置成用于：根据第一pdc正在起作用(例如，第一pdc正以阈值水平或高于阈值水平进行操作；第一pdc不处于故障状态)的判定而经由第一pdc接收功率；以及根据第一pdc不是正在起作用(例如，第一pdc不是正在操作或正以低于阈值水平进行操作；第一pdc处于故障状态)的判定而经由第二pdc接收功率。在一些实施例中，系统被配置成用于：根据第一pdc正在起作用的判定而经由该第一pdc向第一计算平台提供功率；以及根据第一pdc不是正在起作用的判定而经由第二pdc向第一计算平台提供功率。

在一些实施例中，系统包括第二计算平台和第三计算平台，并且系统被配置成使得第一计算平台经由包括第三计算平台(例如，101)的第三路径(图1b中计算环的按逆时针从102到103的部分)连接至第二计算平台并使第一计算平台经由第四路径(例如，图1b中计算环按顺时针从102到103的部分)连接至第二计算平台，该第四路径不同于第三路径，该第四路径不包括第三计算平台(例如，101)。在一些实施例中，第二计算平台是第一数据平台。

在一些实施例中，第三路径、第四路径、第一计算平台、第二计算平台以及第三计算平台形成第二环形网络(例如，图1b中的计算环或图1g中的服务器环)。在一些实施例中，第三路径不包括第一pdc并且第四路径不包括第一pdc(例如，服务器环不包括pdc)。

在一些实施例中，系统包括第一功率供给环(例如，图2a-图2e中的功率环)以及连接至该第一功率供给环的第一功率源(例如，201a、201b、202a或202b)，第一功率供给环包括第一pdc。第一计算设备耦合至第一功率供给环。在一些实施例中，第一功率源被分接(tap)到功率供给环(例如，图2a中的202a)中或被连接至第一pdc(例如，图2b中的202a)。在一些实施例中，第一计算设备被分接到功率供给环(例如，被分接到功率供给环中的元件中的一个元件，诸如，图2a中的102或图2b中的104)，或者第一计算设备是功率供给环的部分(诸如，图2a中的104)。

在一些实施例中，系统包括耦合至第一功率供给环的第二功率源。在一些实施例中，第一pdc被配置成用于：根据第一功率源正在起作用(例如，第一功率源正以阈值水平或高于阈值水平进行操作；第一功率源不处于故障状态)的判定而从该第一功率源接收功率；以及根据第一功率源不是正在起作用(例如，第一功率源不是正在操作或正以低于阈值水平进行操作；第一功率源处于故障状态)的判定而从第二功率源接收功率。在一些实施例中，第一计算平台被配置成用于：根据第一功率源正在起作用(例如，第一功率源正以阈值水平或高于阈值水平进行操作；第一功率源不处于故障状态)的判定而从该第一功率源(例如，经由第一pdc)接收功率；以及根据第一功率源不是正在起作用(例如，第一功率源不是正在操作或正以低于阈值水平进行操作；第一功率源处于故障状态)的判定而从第二功率源(例如，经由第二pdc)接收功率。在一些实施例中，系统被配置成用于：根据第一功率源正在起作用的判定而将功率从该第一功率源提供到第一计算平台；以及根据第一功率源不是正在起作用的判定而将功率从第二功率源(例如，经由第二pdc)提供到第一计算平台。

pdc过程

图11是图示出根据一些实施例在正常操作期间由pdc执行的过程1100的流程图。过程1100可以由参考图7-图10所描述的pdc架构实现。过程1100开始于通过pdc的传感器接口从一个或多个传感器接收传感器数据(1101)。在一些实施例中，pdc的数据输入端口和数据输出端口耦合至两个或更多个冗余自愈数据环。

过程1100通过以下步骤继续进行：通过pdc的输出端口将传感器数据传送到耦合至该pdc并且耦合至至少一个计算平台的环形网络(例如，多环自愈网络)(1102)。在一些实施例中，多个pdc被分派用于覆盖车辆的区域。每个pdc充当用于其区域中的传感器的数据集中器和路由器。pdc收集原始的或经预处理的传感器数据并将该数据传送至环形网络。在一些实施例中，pdc在将原始传感器数据传送到环形网络或执行传感器融合之前对该数据进行压缩。

过程1100通过以下步骤继续进行：由至少一个计算平台至少部分地基于所接收的传感器数据来确定至少一个自主驾驶操作(1103)。在一些实施例中，计算平台是包括用于执行数个自主驾驶任务的硬件和软件的自动化驾驶服务器(例如，ads101)，这些自主驾驶任务包括但不限于：路线规划、轨迹规划和验证、感知处理、决策逻辑、实现控制法则、定位、交叉路口处置、行为规划、横向/纵向控制、计算现实世界/环境模型、以及传感器数据融合。

过程1100通过以下步骤继续进行：由至少一个计算平台使车辆执行至少一个自主驾驶操作(1104)。例如，ads101可以生成到目的地的路线或者计算在对象地图上检测到的对象周围的操纵。

图12是图示出根据一些实施例的由pdc执行的用于监视车辆中的数据网络的过程1200的流程图。过程1200可以由参考图7-图10所描述的pdc架构实现。

过程1200开始于监视车辆中的数据网络(1201)。过程通过以下步骤继续进行：判定在数据网络中是否存在故障(1202)。根据判定了在数据网络中存在故障，使得(多个)pdc如参考图3a-图3f、图4a-图4f、图5a-图5f以及图10所描述地对数据网络进行重新配置(1203)。

图13是图示出根据一些实施例的由pdc执行的用于监视车辆中的功率网络的过程的流程图。过程1300可以由参考图7-图10所描述的pdc架构实现。

过程1300开始于监视车辆中的功率网络(1301)。过程1300通过以下步骤继续进行：判定在功率网络中是否存在故障(1302)。根据判定了在该功率网络中存在故障，使得(多个)pdc如参考图6a-图6f所描述地对功率网络进行重新配置(1303)。

使用透明组件数据链路的实施例

图14a图示出根据一些实施例的开放汽车服务器联盟(ocsa)服务器系统概念。ocsa服务器系统概念将帮助汽车产业使软件和硬件更新被测试并被部署在未来车辆中的方式标准化。

可以在现场更新自主车辆以使车辆保持最新状态。在现有系统中，硬件仅在存在与为该硬件分配的空间以及到车辆e/ea的现有接口兼容的新版本的硬件的情况下可以被更新。ocsa服务器系统概念通过使用pdc从物理i/o抽象出i/o功能(例如，i/o虚拟化)以实现服务器更新来解决该问题。在一些实施例中，ocsa提供至少下列优势：1)i/o配置不随服务器组件的更新而改变；2)新的服务器硬件在新的车辆中和在传统应用中无缝地适配；以及3)更新可以在车辆生产期间在任何时刻完成；不需要型号年份同步。

参考图14a，汽车产业中现有的硬件/软件商业模型要求软件仅在目标系统(例如，特定的车型和制造)上被开发并仅与其他应用一起被测试。在该模型下，软件或硬件的任何小的改变都要求新的测试运行。使用ocsa概念，在基于计算机的参考系统上执行软件开发，在该基于计算机的参考系统中，应用软件与目标硬件无关并且可在计算机系统(例如，个人计算机)上被开发。另外，对应用软件的测试可以在与任何其他应用无关的参考环境中执行。ocsa使得能够找到对车辆的标准化计算功率的来源。与ocsa兼容的设备在各种车辆中均适配并且可在任何时刻被改变。软件可以在没有改变并且无需专用认定的情况下被重用。ocsa减少了在车辆中部署最新近计算设备所要求的工程。

在一些实施例中，ocsa服务器平台：1)从硬件抽象出软件，以使软件的重用和可移植性最大化(未来敏感和反向兼容)；2)通过并行地开发软件和硬件来降低复杂度；3)使用具有内置安全性机制的基于云的ota平台来配置、供应并更新软件；以及4)随灵活的服务器架构来缩放软件和硬件，其中，计算块的数量和尺寸变化。

例如，ocsa硬件平台可以是允许soc的数量和尺寸被缩放的可缩放的汽车服务器硬件平台。可以使用高速数据链路(例如，pci-e或雷电(thunderbolt)3)来连接soc。可以将hdbaset和以太网链路用于输入(例如，相机)和输出(例如，显示器)。可以使用8gbit/s-10gbit/shdbaset或以太网来连接到ads。另外，1gbit/s和100mbit/s以太网端口的数量是可缩放的。

ocsa软件平台包括：具有服务os(域0)的管理程序，针对其他虚拟机对硬件进行抽象；域1中的灵活hmi管理器，处置灵活数量的屏幕和图块；任选的分区，可以处理应用和服务；微服务平台，运行经容器化的软件并且还在运行时期间进行部署；greengrass^tm核，用于运行针对iot连接的web服务(aws)λ功能；固定数量的虚拟机(vm)，具有可以在运行时之前被部署的微服务vm和greengrass核以及灵活数量的vm。

图14b是图示出根据一些实施例的ocsa服务器系统硬件的概念框图。在该实施例中，车辆组件数据链路被实现为使用hdbaset或任何其他pcie物理连接的透明的pcie接口1400(例如，pcie开关)。每个车辆组件在pdcsoc中具有该组件连接到的数据端点。

在所示出的实施例中，硬件组件包括相机数据解码器、显示和图像处理单元(gpu)soc、ai加速器soc、sdn路由器soc、安全处理器(asild)、hdbasetpcie芯片1、hdbasetpcie芯片2、hdbaset芯片3以及hdbasetpcie芯片4。同样耦合至pcie接口1400的是ads101以及主机cpusoc_1、主机cpusoc_2……主机cpusoc_n。主机cpu使用高速cpu到cpu链路来彼此通信。hdbaset芯片1和2以及hdbaset芯片3和4分别向主机cpusoc和pdcio处理程序提供针对传感器环和服务器环的单个/冗余接口。sdn路由器soc照顾所有的网络连接和系统健康。低等待时间hdbaset直接pcie链路将pdc耦合至其他服务设备。pdc中的虚拟驱动器提供统一的传感器视图。

soc从组件接收数据，并且可以或可以不执行数据处理/变换算法(例如，数据尺寸的压缩、雷达传感器计算算法等)。要求来自组件的数据的每个车辆计算平台在从pdcsoc到计算平台的基于pcie的组件数据链路内建立透明链路。计算平台为每个透明组件数据链路启动驱动器，并且组件对于计算平台就像逻辑设备。在该实施例中，pdc作为至计算平台的组件中枢(例如，类似于至移动设备的插接站)进行操作。pdcsoc使用pcie机制(例如，i/o虚拟化)将经处理的和未经处理的组件数据(例如，传感器数据)传输到一个或多个车辆计算平台的一个或多个物理位置。pdcsoc主控用于组件数据的逻辑设备，并且允许对组件数据的访问，并且还使用逻辑传感器驱动器实现针对整个组件的控制和系统诊断。

在一些实施例中，pdc和计算平台使得到多个组件的多个组件数据链路能够将数据从这些组件传输到多个计算平台。pcie通过从一个数据源多播到多个pcie设备来实现该特征。数据不需要使用同一组件数据链路被传输若干次。相反，数据在组件处被复制，其为组件与计算平台之间的第一连接，由此节省组件数据链路上的数据带宽。数据可以在不同的pdc或计算平台处被复制若干次。但仅一个计算平台可以执行对组件的控制。所有其他的计算平台能够以不变的形式接收组件数据。

pdc还可以主控多个组件数据驱动器，以利用不同的数据处理/变换算法或使用组件数据链路环结构内的不同路线将数据从一个组件传输到多个计算平台。通过pcie核子系统执行pcie枚举，该pcie核子系统搜索总线，基于端点设备的标识符(id)来应用修改(如果必要)，并且随后在其发现函数中加载具有匹配的id的驱动器。在一些实施例中，使用总线填充(bus-padding)，并且为具有不中断情况下的“热插拔”的潜在的未来设备保留pcie总线数量和存储器片段，使得系统高度地可缩放。

图14c是图示出根据一些实施例的ocsa服务器系统软件的概念框图。在一些实施例中，由管理程序将每个soc设备上的多个软件域分开。在一些实施例中，管理程序是在计算机软件、固件或硬件中实现的vm监视器(vmm)并运行vm。管理程序向访客操作系统呈现虚拟操作平台，并且管理访客操作系统的执行。各种操作系统的多个实例可共享经虚拟化的硬件资源，这些操作系统包括但不限于：和这些实例可以全部在单个soc上运行。

如图14c所示，osca硬件供应商提供完全抽象化的硬件和分别在虚拟机vm0、vm1上实现的灵活的hmi管理器。osca软件供应商在基于计算机的参考系统上开发它们的软件。例如，应用管理器在虚拟机vm2上运行并支持数个软件应用(例如，应用)。微服务管理器在虚拟机vm3上运行并且支持数个微服务。虚拟机vm4支持web服务(aws)λ功能。虚拟机vm5支持信息娱乐和导航应用。虚拟机vm6支持仪器集群应用(例如，使用qnx、完整性、安全linux)。虚拟机vm7支持adas应用。awsgreengrass是将aws云能力扩展到本地设备的软件，使得那些设备收集并分析更靠近于信息源的数据同时还在本地网络上安全地彼此通信是可能的。使用awsgreengrass的开发人员可以在云中创作无服务器代码(awsλ功能)，并且随后将代码部署到设备以用于对应用程序进行本地执行。

图15是图示出根据一些实施例的用于连接从组件(例如，耦合至pdc的传感器)到计算平台(例如，ads服务器101)的逻辑连接的过程1500的流程图。过程1500开始于在pdc与一个或多个计算平台之间建立透明组件数据链路(1501)。过程1500通过以下步骤继续进行：为该透明组件数据链路启动驱动器(1502)。例如，该驱动器可由一个或多个计算平台启动。过程1500通过以下步骤继续进行：经由该透明组件数据链路将组件数据传输到一个或计算平台或者从一个或多个计算平台传输组件数据(1503)。

图16a图示出根据一些实施例的将ads用作外围插接站的星状拓扑。在所示出的拓扑中，每一个传感器以“轮辐式(hubandspoke)”配置从ads发散。所示出的拓扑是不包括冗余的第4/5级传感器配置。该星状拓扑在很大程度上是不灵活的，因为它不允许数据在不导致显著开销的情况下超出自动化驾驶而重定用途(repurpose)。能以几种方式使此类星状拓扑冗余。在一些实施例中，星状拓扑的每一个组件都是冗余的，这意指该拓扑将包括向每个传感器供给的冗余功率和数据以及冗余计算，这将导致高成本的系统。如参考图16b所描述，一些实施例包括依赖于实现冗余的传感器的不同子集的一个或多个冗余子集。

图16b图示出根据一些实施例的包括用于传感器的冗余数据链路的第一子集的星状拓扑。该实施例对于自动驾驶计算(子集)具有比先前描述的基于pdc的拓扑更低的冗余级别。图16b中所示出的星状拓扑提供第一级数据冗余，该第一级数据冗余使用在故障情况下可用的传感器的第一子集。注意，在图16中仅示出数据冗余，并且实际系统还将默认第一级功率冗余，该第一级功率冗余使用第一组功率组件。另外，可以存在第二级冗余，该第二级冗余在传感器的第一子集中的传感器出故障时使用传感器的第二(可能减少的)子集。虽然减少数量的传感器将降低自主车辆的功能性，但车辆仍将具有提供至少“跛行”回家功能或“跛行”至安全功能的能力。

图17是根据一些实施例的用于选择以星状拓扑配置的冗余传感器的子集的过程1700。过程1700开始于检测车辆的汽车e/ea系统中的故障(1701)，其中，系统以星状拓扑进行配置；并且随后，根据对故障的检测，过程1700通过以下步骤继续进行：为系统选择冗余级别，该选择包括选择星状拓扑中冗余传感器的子集以供在对车辆进行操作时使用(1702)。

示例计算机系统

图18图示出计算机系统1800(例如，pdc(或pdc的部分)或者计算平台(或计算平台的部分))。在一些实施例中，计算机系统1800是专用计算设备。该专用计算设备被硬连线，以执行以上所描述的技术(例如，过程1100、1200、1300、1500和/或1700中的操作中的一些或全部或者实现以上所描述的其他技术的操作)，或者该专用计算设备包括被永久地编程为执行这些技术的数字电子设备(诸如，一个或多个专用集成电路(asic)或现场可编程门阵列(fgpa))，或者该专用计算设备可包括被编程为用于按照固件、存储器、其他存储或其组合中的编程指令来执行这些技术的一个或多个通用硬件处理器。此类专用计算设备还可将定制的硬连线逻辑、asic或fpga与定制的编程进行组合，以实现这些技术。在一些实施例中，专用计算设备是台式计算机系统、便携式计算机系统、手持式设备、网络设备或包含用于实现这些技术的硬连线和/或程序逻辑的任何其他设备。

在一些实施例中，计算机系统1800包括总线1802或用于传送信息的其他通信机制以及与总线1802耦合并且用于处理信息的硬件处理器1804。硬件处理器1804例如是通用微处理器。计算机系统1800还包括主存储器1806(诸如，随机存取存储器(ram)或其他动态存储设备)，该主存储器耦合至总线1802，用于存储将要由处理器1804执行的信息和指令。在一些实施例中，主存储器1806被用来在对将由处理器1804执行的指令的执行期间存储临时变量或其他中间信息。此类指令在被存储在对于处理器1804可访问的非暂态存储介质中时将计算机系统1800呈现为被定制成用于执行这些指令中指定的操作的专用机器。

在一些实施例中，计算机系统1800进一步包括耦合至总线1802并且用于存储用于处理器1804的静态信息和指令的只读存储器(rom)1808或其他静态存储设备。提供存储设备1810，并且该存储设备1810耦合至1802以用于存储信息和指令，该存储设备1810诸如，磁盘、光盘、固态驱动器、或三维交叉点存储器。

在一些实施例中，计算机系统1800经由总线1802耦合至显示器1812以供向计算机用户显示信息，该显示器1812诸如，阴极射线管(crt)、液晶显示器(lcd)、等离子体显示器、发光二极管(led)显示器、或有机发光二极管(oled)显示器。包括字母数字及其他键的输入设备1814耦合至总线1802，以供将信息和命令选择传送至处理器1804。另一类型的用户输入设备是光标控制器1816，诸如，鼠标、轨迹球、启用触摸的显示器或光标方向键，该光标控制器1816用于将方向信息和命令选择传送至处理器1804，并用于控制显示器1812上的光标移动。该输入设备典型地具有两个轴(第一轴(例如，x轴)和第二轴(例如，y轴))上的两个自由度，这允许设备指定平面中的位置。

根据一些实施例，本文中的技术由计算机系统1800响应于处理器1804执行主存储器1806中所包含的一条或多条指令的一个或多个序列而执行。此类指令从另一存储介质(诸如，存储设备1810)被读取到主存储器1806中。对主存储器1806中所包含的指令序列的执行使得处理器1804执行本文中所描述的过程步骤。在一些实施例中，硬连线的电路被用来代替软件指令，或者与软件指令组合使用。

本文中所使用的术语“存储介质”是指存储使得机器以特定方式进行操作的数据和/或指令的任何非暂态介质。此类存储介质包括非易失性介质和/或易失性介质。非易失性介质包括例如，光盘、磁盘、固态驱动器或三维交叉点存储器，诸如存储设备1810。易失性介质包括动态存储器，诸如主存储器1806。常见形式的存储介质包括例如，软盘、柔性盘、硬盘、固态驱动器、磁带或任何其他磁数据存储介质、cd-rom、任何其他光学数据存储介质、具有孔图案的任何物理介质、ram、prom和eprom、闪存-eprom、nv-ram、或任何其他存储芯片或盒式存储器。

存储介质区别于传输介质(例如，暂态计算机可读介质)但可与传输介质结合使用。传输介质参与在存储介质之间传输信息。例如，传输介质包括同轴电缆、铜导线和光纤，包括含总线1802的导线。传输介质还可以采取声波或光波的形式，诸如那些在无线电波和红外数据通信期间生成的波。

在一些实施例中，各种形式的介质涉及将一条或多条指令的一个或多个序列携带至处理器1804以供执行。例如，指令最初被携带在远程计算机的磁盘或固态驱动器上。远程计算机将这些指令加载到其动态存储器中并使用调制解调器通过电话线发送这些指令。计算机系统1800本地的调制解调器在电话线上接收数据，并使用红外发射器将该数据转换为红外信号。红外检测器接收红外信号中携带的数据，并且适当的电路将该数据放置在总线1802上。总线1802将数据携带至主存储器1806，处理器1804从该主存储器1806检取指令并执行这些指令。由主存储器1806接收的指令可在由处理器1804执行之前或之后任选地被存储在存储设备1810上。

计算机系统1800还包括耦合至总线1802的通信接口1818。通信接口1818提供到网络链路1820的双向数据通信耦合，该网络链路1820连接至本地网络1822。例如，通信接口1818是集成服务数字网络(isdn)卡、电缆调制解调器、卫星调制解调器、或用于提供到对应类型的电话线的数据通信连接的调制解调器。作为另一示例，通信接口1818是用于提供到兼容的lan的数据通信连接的局域网(lan)卡。在一些实施例中，还实现了无线链路。在一些此类实施例中，通信接口1818发送和接收携带表示各种类型的信息的数字数据流的电信号、电磁信号或光信号。

网络链路1820典型地提供通过一个或多个网络到其他数据设备的数据通信。例如，网络链路1820提供通过本地网络1822到主机计算机1824或到由互联网服务提供商(isp)1826运营的云数据中心或装备的连接。isp1826进而通过世界范围的分组数据通信网络(现在通常被称为“因特网”1828)提供数据通信服务。本地网络1822和因特网1828两者均使用携带数字数据流的电信号、电磁信号或光信号。通过各种网络的信号以及网络链路1820上和通过通信接口1818的信号是示例形式的传输介质，这些信号携带去往和来自计算机系统1800的数字数据。在实施例中，网络1820包含以上所描述的云202或云202的部分。

计算机系统1800通过(多个)网络、网络链路1820和通信接口1818发送消息并接收包括程序代码的数据。在一些实施例中，计算机系统1800接收代码以供处理。所接收的代码在其被接收时由处理器1804执行，和/或被存储在存储设备1810和/或其他非易失性存储中以供稍后执行。

图19图示出根据实施例的e/ea系统架构，该e/ea系统架构利用开放服务器平台(osp)并提供具有故障操作设计的可缩放的拓扑。e/a架构将硬件创新周期与软件创新周期分开，以使得硬件可由独立于软件而被开发和交付，允许现有软件被移动至新的硬件而无需修改，提供高效的计算资源共享以实现安全关键的工作负荷和非安全关键的工作负荷在同一机器上的共存，并且提供具有3层故障操作设计的负担得起的冗余，其仅复制对于安全故障操作绝对必要的那些组件。e/ea架构将常规的分布式单片嵌入式软件/硬件方法替代为模块化、开放式和集中式智能车辆架构。

e/ea架构的优势是将软件从硬件解耦，这允许硬件和软件独立的寿命周期，并还为动态特征集和计算需求提供灵活性，因此改善可缩放性。另一优势是使用pdc将i/o从提供io集中的计算资源分离，这实现了负担得起的冗余。另一优势是使用提供通用平台的中央计算集群，该通用平台具有标准化接口和连接的安全网关。另一优势是统一的功率和数据骨干，该统一的功率和数据骨干经由双环形拓扑为冗余网络提供模块化和汽车线束技术和设计。另一优势是将pdc用作“通用插接站”并将pdc用于传感器和区域合并。

参考图19，e/ea架构包括覆盖车辆中的不同区域的6个pdc。每个pdc充当用于区域中的传感器的插接站。pdc通过传感器环并通过单个接口与ospadas/ad服务器通信。传感器环使用冗余的8gbit/spci快速或10gbit/s以太网来实现。ospadas/ad与scgwospad/ux和pcc一起耦合在自愈服务器环中。服务器器环也使用冗余的8gbit/spci快速或10gbit/s以太网来实现。rtu处置外部通信并接收音频和软件更新。如参考图24和图25所描述，由rtu接收的软件更新被路由至scgw并被存储在中央车辆存储(cvs)单元中。音频(例如，卫星无线电)由rtu发送至pdc，在pdc处，该音频可以被分配给其他组件，包括cvs单元。在实施例中，每个pdc包括音频电子设备(例如，音频放大器、警告音调发生器、低等待时间声音、音频客户端、avb从设备)并且耦合至一个或多个扬声器以递送音频。

图20进一步图示出根据实施例的图19中所示出的e/ea系统架构，其中，聚焦在实现特征增长和冗余的关键技术属性。这些关键属性包括：标准化系统抽象概念和接口、具有区域控制的多个i/o集中、到ad服务器的单个接口、实现osp的集中式通用计算集群、递送功率供给冗余的功率环形拓扑、提供冗余数据网络的对称的自愈数据环形拓扑、整体功能安全方式、快速响应、快速唤醒特征以及用于具有安全特征(例如，实现“防火墙”、“沙箱”或“代理”服务器)以防卫对车辆的恶意攻击的外部通信(软件更新、音频、v2x通信、wifi、gps等)的scgw。

图21图示出根据实施例的osp系统架构。osp系统架构以低开销提供冗余的网络连接。osp传感器接口是基于pcie的，其使用hdbaset作为物理层。传感器表现为由pdc中的驱动器软件启用的pcie组件并且对于osp是原生的。osp架构为从源cpu到ospcpu的传感器数据提供低开销/延迟。传感器可用于两个冗余服务器设备，无需任何硬件开销。在pdc之间连接错误的情况下，经由dhd链路在环形结构中对传感器数据进行路由。

图22图示出根据实施例的osp软件栈。车辆上所安装的osp软件栈提供“轮上数据中心”。安全关键的应用与非安全关键的应用在不同的域中进行操作。安全关键的应用(例如，与adas、oem安全相关的应用)通过安全中间件与较低的栈层进行通信。非安全关键的应用(例如，信息娱乐、用户体验、hmi管理器和其他应用)通过管理程序与较低的栈层进行通信。操作系统(o/s)(例如，linux)包括安全动态分区。还示出了提供saas、paas和iaas服务的基于云的平台，包括用于软件更新和数字孪生的ota，这参考图24和图25进行描述。

osp对于oem和其他第三方应用是高度地可缩放的。管理程序和安全动态分区管理同一硬件上的安全域和非安全域。共享底层计算资源允许硅优化，从而降低成本和能耗，“即插即用”驱动器使添加新的边缘设备毫不费力。

图23图示出根据实施例的pdc功能域。在实施例中，pdc能力被分成两个功能域：车身控制和移动。这两个功能域之间定义的区别是控制它们的方式。车身控制功能由scgw通过can-fd连接集中式控制。移动功能由osp经由传感器环来控制。osp和scgw进而通过服务器环被链接。多个pdc经由传感器环被链接至osp。每个pdc具有它自身单独的到scgw的can-fd连接。

车辆寿命周期管理

图24图示出根据实施例的用于实现车辆寿命周期管理的osp混合关键性。图24中示出的开放服务器软件架构实现车辆寿命周期管理。使用安全动态硬件分区层来共享用于功能安全相关的软件的硬件。使用安全中间件从硬件抽象出功能安全相关的软件。使用具有抽象和hmi域的开源管理程序来抽象其他软件和硬件。

图25图示出根据实施例的用于实现车辆生命周期管理的osp功能安全认证。利用该架构，硬件和机器中间件由经认证的测试例进行认证，应用在代码级并通过经测试的参考进行认证，并且机器资源清单自动地生成并进行认证。

更具体地，硬件和中间件与应用软件分开进行开发，并且利用经认证的测试套件进行测试和认证。应用软件与目标硬件分开进行开发，并且在模拟环境中进行测试。在代码级并通过参考环境完成认证。对所要求的应用软件的软件集成由云应用(虚拟孪生)在“行末(endofline)”完成。软件应用由虚拟孪生应用调度，该虚拟孪生应用对于每个完整的车辆均具有实例。每个ecu(如pdc、osp或其他ecu)由虚拟孪生应用分开进行配置。每个ecu要求资源清单，该资源清单包括时间触发表，以在正确的时间点并以正确的顺序在多核环境中运行软件线程。资源清单也被用来管理其他资源，诸如，存储器、网络吞吐量、中断率等。资源清单在整个ecu中可用，以便在没有干扰的情况下运行所有应用。资源清单逐ecu地由云应用进行测试和认证。

用于一个车辆行中的所有可能的ecu的所有可能的软件应用都被编程到cvs单元，该cvs单元连接至车辆的scgw单元。scgw接收针对车辆中的所有ecu的软件内容列表以及经认证的资源清单。scgw将软件应用与资源清单一起传输至ecu。scgw首先将cvs单元上的软件应用与云应用同步，以获得cvs单元上的最新版本。在ecu的此种初始sw编程之后，车辆准备好使用并且将执行自测试以证明这些ecu已经被正确地编程。

可以在车辆中的每一个ecu上在软件组件级别完成现场软件更新。虚拟孪生应用通过首先生成并认证新的资源清单来为ecu调度新的应用。虚拟孪生应用随后首先将新的应用与资源清单一起传输至车辆中的cvs单元。scgw在ecu上交换应用并更新资源清单。该过程确保在更新之后针对ecu的认证保持有效。

替代的第2级和第3级e/ea架构

图26是根据实施例的用于第2级车辆的替代的可缩放e/ea架构的数据网络视图。e/ea架构包括连接6个pdc的传感器环以及连接ospux/adas服务器、pcc和scgw的服务器环。e/ea架构还包括用于存储的cvs单元和用于外部通信的rtu。车辆的前部和后部处的四个pdc各自耦合至三个超声传感器并耦合至音频扬声器。左前部的pdc耦合至面向前方的雷达。右前部的pdc耦合至面向前方的相机。车辆的右侧部和左侧部上的pdc各自耦合至相机。ospux/adas服务器耦合至一个或多个输出设备(例如，显示器)。scgw耦合至rtu和cvs单元。在实施例中，服务器环使用1gbit/s以太网来实现，并且传感器环使用4gbit/spcie来实现。数据网络中的冗余通过pdc与scgw之间的can-fd链路实现。

图27是根据实施例的用于图26中所示出的替代的可缩放e/ea架构的功率网络视图。六个pdc耦合至12v供给环。ospux/adas服务器、scgw、pcc以及cvs单元耦合至经过滤的12v供给环。传感器通过5v供给耦合至pdc。相机使用同轴电缆供电(poc)从它们相应的pdc接收功率。电池耦合至左前部的pdc。

图28是根据实施例的用于第3级车辆的替代的可缩放e/ea架构的数据网络视图。e/ea架构包括连接6个pdc的传感器环以及连接ospux/adas服务器、ospad/ux服务器、pcc和scgw的服务器环。e/ea架构还包括用于存储的cvs单元和用于外部通信的rtu。车辆的前部和后部处的四个pdc各自耦合至三个超声传感器并耦合至音频扬声器。左前部的pdc耦合至面向前方的雷达和指向车辆的左后部的相机。右前部的pdc耦合至指向车辆的右后部的相机并且耦合至激光雷达传感器。车辆的右侧部和左侧部上的pdc各自耦合至多个相机。ospad/ux服务器耦合至一个或多个输出设备(例如，显示器)。scgw耦合至rtu和cvs单元。在实施例中，服务器环使用1gbit/s以太网来实现，并且传感器环使用4gbit/spcie来实现。数据网络冗余通过pdc与scgw之间的can-fd链路实现。

图29是根据实施例的用于图28中所示出的替代的可缩放e/ea架构的功率网络视图。六个pdc耦合至12v供给环。ospux/adas服务器和ospad/ux服务器、scgw、pcc以及cvs单元耦合至经过滤的12v供给环。传感器通过5v供给耦合至pdc。相机使用poc从它们相应的pdc接收功率。激光雷达传感器由左前部的pdc使用经过滤的12v供给来供电。电池耦合至左前部的pdc。

虽然该文档包含许多具体实施细节，但是这些实施细节不应被解释为对可能要求保护的范围的限制，而是作为可对特定实施例特定的特征的描述。在说明书中在单独的实施例的上下文中所描述的某些特征还可以组合地实施在单个实施例中。相反，在单一实施例的上下文中描述的各个特征也可以被单独地或以任何合适的子组合的方式实施在多个实施例中。此外，虽然诸特征在上文中可能被描述为以某些组合的方式起作用且甚至最初是如此要求保护的，但来自要求保护的组合的一个或多个特征在一些情形中可从该组合被删去，且所要求保护的组合可以针对子组合、或子组合的变体。

虽然在附图中以特定次序描绘了逻辑流程或操作(例如，过程1100、1200、1300、1500和/或1700中的操作)，但这不应被理解成要求此类操作以所示出的特定次序或以顺序次序执行，或者所有图示出的操作被执行或者其他操作可以不被执行以实现期望的结果。分开地图示的操作任选地被组合在单个操作中，并且被图示为单个操作的特征任选地作为分开的操作执行。此外，过程可以被组合，以使得过程的一个或多个操作被包括在另一过程或另外多个过程中。在某些情况下，多任务处理和并行处理可能是有利的。而且，以上所描述的实施例中的各种软件组件的分离不应被理解成在所有实施例中都要求这种分离，并且应理解的是，所描述的软件组件一般可以一起被集成在单个软件程序或多个软件程序中。