面向L3自动驾驶的冗余控制系统的制作方法

本发明涉及自动驾驶技术领域，具体涉及一种面向l3自动驾驶的冗余控制系统。

背景技术：

受益于多样化传感器技术、高性能计算平台技术、高安全性冗余底盘控制技术的快速进步，自动驾驶研究得到了快速发展，整车厂、零部件供应商、互联网企业和科研机构都推出了自动驾驶系统方案和样车。

在自动驾驶时，当出现故障时，非冗余系统容易导致车辆处于危险状态，危及驾驶员和他人生命，因此，对自动驾驶的冗余控制系统进行有效的控制，是非常重要的。

然而，目前并没有针对l3级自动驾驶必需的冗余控制方案进行探讨研究，即能够对控制系统单点失效进行有效探测，并保证进入故障可运行安全状态的技术方案。

技术实现要素：

针对上述技术问题，本发明的目的是提供一种面向l3自动驾驶的冗余控制系统，以解决目前自动驾驶系统出现单点失效时无法进入故障可运行状态的问题。

本发明采用的技术方案为：

本发明实施例提供了一种面向l3自动驾驶的冗余控制系统，包括：主控制器、备份控制器、转向冗余控制系统、制动冗余控制系统、主通信网络和备份通信网络，所述主控制器、所述备份控制器，所述主通信网络和所述备份通信网络构成上层控制系统；所述主控制器，用于执行l1～l3级别完整自动驾驶的控制，通过主通信网络和备份通信网络向所述转向冗余控制系统和制动冗余控制系统发送主横向控制指令和主纵向控制指令；所述备份控制器，与所述主控制器信息交互，用于在所述主控制器处于故障状态时，执行l1～l3级别部分自动驾驶的控制，包括：通过主通信网络和所述备份通信网络向所述转向冗余控制系统和所述制动冗余控制系统发送备份横向控制指令和备份纵向控制指令，实现驾驶降级和安全停车；所述转向冗余控制系统，包括两个结构相同的转向执行器，分别与所述主通信网络和所述备份通信网络连接，在两个转向执行器都处于正常状态时，基于接收的主横向控制指令或者备份横向控制指令，相互协作完成相应控制指令的转向操作；所述制动冗余控制系统，包括两个结构不相同的制动执行器，分别与所述主通信网络和所述备份通信网络连接，在两个制动执行器都处于正常状态时，基于接收的主纵向控制指令或者备份纵向控制指令，相互协作完成相应控制指令的制动操作。

可选地，所述主控制器在判定所述备份控制器处于故障状态时，执行如下操作：禁止进入自动驾驶模式；如果已经进入自动驾驶模式，则提示驾驶员接管驾驶或降级为基本型l2级辅助驾驶，如驾驶员不接管或不确认功能降级，则进入安全模式停车。

可选地，所述备份控制器在判定所述主控制器处于故障状态时，执行如下操作：禁止进入自动驾驶模式；如果已经进入自动驾驶模式，则提示驾驶员接管驾驶或降级为基本型l2级辅助驾驶，如驾驶员不接管或不确认功能降级，则进入安全模式停车。

可选地，所述备份控制器通过主通信网络向所述转向冗余控制系统和所述制动冗余控制系统发送备份横向控制指令和备份纵向控制指令，实现驾驶降级和安全停车，包括：在所述主控制器处于故障状态且驾驶员未接管时，向所述转向冗余控制系统和所述制动冗余控制系统发送备份横向控制指令和备份纵向控制指令完成预设时间的l3级别自动驾驶，并停止在安全区域；以及

在所述主控制器处于故障状态且驾驶员接管时，向所述转向冗余控制系统和所述制动冗余控制系统发送备份横向控制指令和备份纵向控制指令，实现l1～l2级别驾驶功能。

可选地，所述转向执行器包括第一转向执行器和第二转向执行器，所述第一转向执行器与所述主通信网络连接，所述第二转向执行器与所述备份通信网络连接，其中，在两个转向执行器都处于正常状态时，基于接收的主横向控制指令或者备份横向控制指令，相互协作完成相应控制指令的转向操作具体包括：

在所述上层控制系统处于正常状态时，在所述主通信网络传递的主横向控制指令和所述备份通信网络传递的主横向控制指令一致时，所述第一转向执行器和所述第二转向执行器相互协作执行响应于所述主横向控制指令的转向操作；

在所述主控制器处于故障状态时，在所述主通信网络传递的备份横向控制指令和所述备份通信网络传递的备份横向控制指令一致时，所述第一转向执行器和所述第二转向执行器相互协作执行响应于所述备份横向控制指令的转向操作；以及

在所述主通信网络和所述备份通信网络任一个处于故障状态时，所述第一转向执行器和所述第二转向执行器执行响应从处于正常状态的通信网络处接收的主横向控制指令的转向操作。

可选地，在两个转向执行器中的任一个处于故障状态时，处于正常状态的执行器基于接收的主横向控制指令或者备份横向控制指令，完成相应控制指令的转向操作。

可选地，所述制动执行器包括第一制动执行器和第二制动执行器，所述第一制动执行器与所述主通信网络连接，所述第二制动执行器与所述备份通信网络连接，其中，在两个制动执行器都处于正常状态时，基于接收的主纵向控制指令或者备份纵向控制指令，相互协作完成相应控制指令的制动操作具体包括：

在所述上层控制系统处于正常状态时，在所述主通信网络传递的主纵向控制指令和所述备份通信网络传递的主纵向控制指令一致时，所述第一制动执行器和所述第二制动执行器相互协作执行响应于所述主纵向控制指令的制动操作；

在所述主控制器处于故障状态时，在所述主通信网络传递的备份纵向控制指令和所述备份通信网络传递的备份纵向控制指令一致时，所述第一制动执行器和所述第二制动执行器相互协作执行响应于所述备份纵向控制指令的制动操作；以及

在所述主通信网络和所述备份通信网络任一个处于故障状态时，所述第一制动执行器和所述第二制动执行器执行响应从处于正常状态的通信网络处接收的主纵向控制指令的制动操作。

可选地，在两个制动执行器中的任一个处于故障状态时，处于正常状态的执行器基于接收的主纵向控制指令或者备份纵向控制指令，完成相应控制指令的制动操作。

可选地，还包括网关，所述网关连接所述备份控制器和所述备份通信网络，用于将所述备份控制器发送的指令发送给所述备份通信网络。

本发明实施例提供的面向l3自动驾驶的冗余控制系统，发送控制指令采用了主控制器和备份控制器，传递指令的网络采用了主通信网络和备份通信网络，以及执行指令的转向冗余控制系统和制动冗余控制系统也采用了两个具备独立执行的执行器，这样，使得在出现最严重的单点故障时，也能保证指令的传递和执行，从而保证行车安全。

附图说明

图1为本发明实施例提供的面向l3自动驾驶的冗余控制系统的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

图1为本发明实施例提供的面向l3自动驾驶的冗余控制系统的结构示意图。如图1所示，本发明实施例提供的面向l3自动驾驶的冗余控制系统，包括：主控制器1、备份控制器2、转向冗余控制系统3、制动冗余控制系统4、主通信网络5和备份通信网络6，主控制器1、备份控制器2、主通信网络5和备份通信网络6构成上层控制系统。其中，所述主控制器1，用于执行l1～l3级别完整自动驾驶的控制，通过主通信网络5和备份通信网络6向所述转向冗余控制系统3和制动冗余控制系统4发送主横向控制指令和主纵向控制指令；所述备份控制器2，与所述主控制器1信息交互，用于在所述主控制器1处于故障状态时，执行l1～l3级别部分自动驾驶的控制，包括：通过主通信网络5和备份通信网络6向所述转向冗余控制系统3和所述制动冗余控制系统4发送备份横向控制指令和备份纵向控制指令，实现驾驶降级和安全停车；所述转向冗余控制系统3，包括两个结构相同的转向执行器，分别与所述主通信网络5和所述备份通信网络6连接，在两个转向执行器都处于正常状态时，基于接收的主横向控制指令或者备份横向控制指令，相互协作完成相应控制指令的转向操作；所述制动冗余控制系统4，包括两个结构不相同的制动执行器，分别与所述主通信网络5和所述备份通信网络6连接，在两个制动执行器都处于正常状态时，基于接收的主纵向控制指令或者备份纵向控制指令，相互协作完成相应控制指令的制动操作。

在本发明实施例中，所述主控制器1连接所有智能驾驶需要的相关传感器，通过主通信网络和备份通信网络连接所有智能驾驶需要的相关执行器，在系统正常工作条件下进行感知融合、路径规划、决策控制，向转向冗余控制系统3和制动冗余控制系统4发送横向控制和纵向控制指令，完成横纵向综合控制，能够支持l1～l3完整自动驾驶功能，例如，l3级别自动驾驶的高速公路自动驾驶(hwp)功能、交通拥堵自动驾驶(tjp)功能、高速公路辅助驾驶(hwa)、交通拥堵辅助驾驶(tja)、自适应巡航(acc)等。主控制器1的内部由性能核soc和控制核mcu组成，具备强大和完整的计算能力，作为一个实施例，其可由2个eyeq4、1个s32v234和2个tc297组成。在传感和感知层面，主控制器连接前视摄像头、前视毫米波雷达、前角毫米波雷达、后角毫米波雷达、后视摄像头、前激光雷达、高精地图和定位传感器、环视和超声波系统等所有自动驾驶传感器，并进行最充分的传感融合、产生环境模型，作为一个实施例，其检测覆盖范围可达到前方200m、后方150m、侧后方100m、侧方5m以上的覆盖范围，且每个覆盖区域都包含至少两种及以上不同检测原理的传感器，且具备超视距先验感知能力；在规划决策层面，主控制器1可进行完整的路径规划能力，作为一个实施例，其可完成单车道自动驾驶、多车道自动驾驶等(自主换道和指令换道等)路径规划和避障能力；在控制层面，其通过主通信网络和备份通信网络向转向冗余控制系统3的两个执行器同时发送相同的转角和转矩控制指令，通过主通信网络和备份通信网络向制动冗余控制系统的两个执行器同时发送相同的加减速度指令。作为一个示例，主通信网络可为can网络，备份通信网络也为can网络，主控制器1符合功能安全asild等级。

在本发明实施例中，所述备份控制器2连接前向相关传感器，通过两条通信网络连接执行器，一条是主通信网络，另一条是由网关和备份通信网络构成的网络。网关分别连接备份控制器和备份通信网络，用于将备份控制器的执行转发给备份通信网络。在主控制器1失效时，进行感知融合、路径规划、决策控制，向转向冗余控制系统3和制动冗余控制系统4发送横向控制和纵向控制指令，完成横纵向综合控制，实现安全停车功能。在主控制器1未失效时，备份控制器2静默，在静默期间实时监测主控制器向总线发出的转向控制指令、制动控制指令和自身故障状态，为接管进行准备。在主控制器1失效时，负责控制指令的平滑切换，避免控制权过渡带来的冲击，避免引起舒适性下降。具体地，备份控制器2能够支持l1～l3部分自动驾驶功能，包括有限性能的高速公路辅助驾驶(hwa)、有限性能的交通拥堵辅助驾驶(tja)、有限性能的自适应巡航(acc)等。其内部包含具有一定计算性能的soc和mcu，作为一个实施例，其由1个eyeq3和1个tc234组成，是l2自动驾驶前视的成熟方案，具有较高的性价比和可靠性。在传感和感知层面，备份控制其不连接所有传感器，只连接驾驶强相关的前视传感器，作为一个实施例，备份控制器2连接前视摄像头和前视毫米波雷达，并进行传感融合、产生环境模型，作为一个实施例，其检测覆盖范围可达到前方150m以上的覆盖范围；在规划决策层面，备份控制器2具备有限性能的单车道自动驾驶的路径规划和避障能力，其可向转向冗余控制系统3发送转角和转矩控制指令，向制动冗余控制系统4发送加减速度指令。在本发明实施例中，备份控制器2的主要作用有两个：(1)在所述主控制器1处于故障状态且驾驶员未接管时，向所述转向冗余控制系统和所述制动冗余控制系统发送备份横向控制指令和备份纵向控制指令完成预设时间例如8～10s的l3级别自动驾驶，并停止在安全区域；(2)在所述主控制器1处于故障状态且驾驶员接管时，向所述转向冗余控制系统和所述制动冗余控制系统发送备份横向控制指令和备份纵向控制指令，实现降低性能的单车道自动驾驶(l1～l2级别)功能。其中，安全区域根据车辆所处情况不同有所区别，如果车辆不在最右侧行车道，安全区域为本车道前方最近直道区域；如果车辆在最右侧行车道且右侧有应急车道，安全区域为右侧车道；如果车辆在最右侧行车道且其右侧无应急车道，安全区域为本车道前方最近直道区域。在控制层面，备份控制器2向转向冗余控制系统3的两个转向执行器发送转角和转矩控制指令，向制动冗余控制系统的两个制动执行器发送加减速度指令；备份控制器2连接主通信网络(can网络1)和网关，符合功能安全asild等级。

主控制器1和备份控制器2通过一路私有can对对方进行监控，监控信号包括对方控制器的故障状态、转矩控制指令、转角控制指令、加速度控制指令、减速度控制指令等关键控制信号和状态信号。如果主控制器1发现备份控制器故障，则执行如下操作：不允许进入自动驾驶模式；如果已经进入自动驾驶模式，则提示驾驶员接管驾驶或降级为增强型l2级辅助驾驶，如驾驶员不接管或不确认功能降级，则进入安全模式停车。如果备份控制器2发现主控制器1故障，则执行如下操作：不允许进入自动驾驶模式；如果已经进入自动驾驶模式，则提示驾驶员接管驾驶或降级为基本型l2级辅助驾驶，如驾驶员不接管或不确认功能降级，则进入安全模式停车。此外，如果备份控制器2发现主控制器1故障，则进行控制权的切换，此时备份控制器负责确保控制指令的平滑切换，避免控制权过渡带来的冲击，避免引起舒适性下降

在本发明实施例中，转向冗余控制系统可由两个具有独立执行转向功能的执行器组成，可通过判断主控制器1和备份控制器2的故障信号状态来决定响应的对象，包括第一转向执行器和第二转向执行器，所述第一转向执行器与所述主通信网络连接，所述第二转向执行器与所述备份通信网络连接，并且第一转向执行器与第二转向执行器之间可通过私有can进行信息交互。这两个转向执行器的具体操作为：(1)在所述主通信网络传递的主横向控制指令和所述备份通信网络传递的主横向控制指令一致时，所述第一转向执行器和所述第二转向执行器相互协作执行响应于所述主横向控制指令的转向操作，也就是说，在上层控制系统处于正常状态时，第一转向执行器和第二转向执行器将接收的主横向控制指令进行相互校验，在校验一致时，表征通过主通信网络和备份通信网络接收的指令是一致的，这时，转向冗余控制系统通过两个转向控制器来同时完成转向操作，在一个示例中，每个转向执行器各自可执行主横向控制指令对应的一半的转向操作，即输出指令对应转向力的一半。(2)在所述主控制器1处于故障状态时，在所述主通信网络5传递的备份横向控制指令和所述备份通信网络6传递的备份横向控制指令一致时，所述第一转向执行器和所述第二转向执行器相互协作执行响应于所述备份横向控制指令的转向操作，即，在主控制器1处于故障状态而上层控制系统其他成员处于正常状态时，第一转向执行器和第二转向执行器可通过响应备份控制器2的备份横向控制指令来执行转向操作。(3)在所述主通信网络5和所述备份通信网络6任一个处于故障状态时，所述第一转向执行器和所述第二转向执行器执行响应从处于正常状态的通信网络处接收的主横向控制指令的转向操作，这样能够使得即使一个通信网络出现故障，也能接收到指令，完成转向操作。此外，在两个转向执行器中的任一个处于故障状态时，处于正常状态的执行器基于接收的主横向控制指令或者备份横向控制指令，完成相应控制指令的转向操作，即，在其中一个转向执行器出现故障时，将由另一个转向执行器执行转向操作，该正常的转向执行器会将从两个通信网络接收的指令进行比对，在比对一致时，执行与协作时相同的转向操作，即独立完成转向操作。在本发明的一个示例中，每个转向执行器独立工作时，可独立完成50％的转向力。作为一个实施例，转向冗余控制系统的两个执行器的组成可为两个完全同构的eps，例如，第一转向执行器可为eps1，第二转向执行器可为eps2，它们具备对故障的分级降级策略，作为一个实施例，它们在最严重的单点故障发生的时候，转向力也可支持最大能力的50％输出，除了极端的紧急转向避让工况之外，均可满足l1-l3自动驾驶系统对转向能力的需求，符合ece-r79的要求。

此外，转向冗余控制系统在响应不同的对象过程中，指令切换过程的平顺性由上层控制系统保证，即上层控制系统在切换的过程中不会产生转向控制指令的阶跃，保证车辆舒适性。并且，转向冗余控制系统会向上层系统反馈当前起作用的转向执行器(eps1+eps2，eps1，eps2)和响应的上层系统的控制器(主控制器，备份控制器)。

在本发明实施例中，制动冗余控制系统4由两个异构执行器组成，可通过判断主控制器1和备份控制器2的故障信号状态来决定响应的对象，包括第一制动执行器和第二制动执行器，所述第一制动执行器与所述主通信网络连接，所述第二制动执行器与所述备份通信网络连接，并且第一制动执行器与第二制动执行器之间可通过私有can进行信息交互。这两个制动执行器的具体操作为：(1)在所述主通信网络传递的主纵向控制指令和所述备份通信网络传递的主纵向控制指令一致时，所述第一制动执行器和所述第二制动执行器相互协作执行响应于所述主纵向控制指令的制动操作，也就是说，在上层控制系统处于正常状态时，第一制动执行器和第二制动执行器将接收的主纵向控制指令进行相互校验，在校验一致时，表征通过主通信网络和备份通信网络接收的指令是一致的，这时，制动冗余控制系统通过两个制动控制器来同时完成制动操作，在一个示例中，在第一制动执行器和第二制动执行器都处于正常状态时，第一制动执行器可作为制动控制器，用于控制第二制动执行器执行制动操作。(2)在所述主控制器1处于故障状态时，在所述主通信网络5传递的备份纵向控制指令和所述备份通信网络6传递的备份纵向控制指令一致时，所述第一制动执行器和所述第二制动执行器相互协作执行响应于所述备份纵向控制指令的制动操作，即，在主控制器1处于故障状态而上层控制系统其他成员处于正常状态时，第一制动执行器和第二制动执行器可通过响应备份控制器2的备份纵向控制指令来执行制动操作。(3)在所述主通信网络5和所述备份通信网络6任一个处于故障状态时，所述第一制动执行器和所述第二制动执行器执行响应从处于正常状态的通信网络处接收的主纵向控制指令的制动操作，这样能够使得即使一个通信网络出现故障，也能接收到指令，完成制动操作。此外，在两个制动执行器中的任一个处于故障状态时，处于正常状态的执行器基于接收的主纵向控制指令或者备份纵向控制指令，完成相应控制指令的制动操作，即，在其中一个制动执行器出现故障时，将由另一个制动执行器执行制动操作，该正常的制动执行器会将从两个通信网络接收的指令进行比对，在比对一致时，执行与协作时相同的制动操作，即独立完成制动操作。作为一个实施例，制动冗余控制系统4的两个执行器的组成可为esc+ebooster，例如，第一制动执行器为esc，第二制动执行器为ebooster。制动冗余控制系统4具备对故障的分级降级策略，作为一个实施例，在第二制动执行器ebooster失效的时候，制动冗余控制系统4依靠第一制动执行器esc可以支持加速和减速控制，支持车辆稳定性控制，最大减速度和响应时间性能下降30％，可支持l2基本驾驶辅助功能和减速停车至安全区域；在第一制动执行器esc失效的时候，制动系统依靠第二制动执行器ebooster可以支持减速控制，可支持减速停车至安全区域，最大减速度和响应时间性能下降30％，可支持减速停车至安全区域，符合ece-r13等法规需求。此外，制动冗余控制系统在响应不同的对象过程中，指令切换过程的平顺性由上层控制系统保证，即上层控制系统在切换的过程中不会产生制动控制指令的阶跃，保证车辆舒适性。并且，制动冗余控制系统反馈当前起作用的制动执行器(esc+ibooster，esc，ibooster)和响应的上层系统控制器(主控制器，备份控制器)。

在本发明实施例中，主通信网络5连接的对象主要包括主控制器、备份控制器、网关、转向冗余控制系统、制动冗余控制系统等控制器，主要涵盖自动驾驶域和底盘控制域，同时，主通信网络连接驱动系统域、舒适系统域等所有自动驾驶功能所需相关控制器。作为一个实施例，主通信网络选用目前使用广泛且安全系数较高的can网络。系统具备计数器、校验和、循环冗余校验、总线节点故障检测、总线关闭检测等安全机制，支持整个控制系统达成asild等级。在系统正常工作时承担主控制单元和转向冗余控制单元、制动冗余控制单元之间的信息通信工作，其传递信息为支持l1-l3完整自动驾驶功能的全部信号，包括所有与驾驶安全性、平顺性、舒适性有关的状态信号、控制指令等。

在本发明实施例中，备份通信网络6连接的对象主要包括主控制器、备份控制器、网关、转向冗余控制系统、制动冗余控制系统等控制器，仅涵盖自动驾驶域和底盘控制域，不连接驱动域和舒适域，不具备加速控制功能。作为一个实施例，备份通信网络选用目前使用广泛且安全系数较高的can网络。系统具备计数器、校验和、循环冗余校验、总线节点故障检测、总线关闭检测等安全机制，支持整个控制系统达成asild等级。在主通信网络故障条件下进行控制器间信息的交互，其传递信息为支持l3级别自动驾驶的最小信号集合，部分非安全相关的舒适性相关的信号，出于总线负载率的角度，不再发送。在主控制单元和主通信网络正常工作时，备份通信网络同样发送信号和指令，用于转向系统和制动系统进行校验。

综上，本发明实施例提供的面向l3自动驾驶的冗余控制系统，由于发送指令的控制器采用了主控制器和备份控制器，传递指令的网络采用了主通信网络和备份通信网络，以及执行指令的转向冗余控制系统和制动冗余控制系统也采用了两个具备独立执行的执行器，这样，使得在出现最严重的单点故障时，也能保证指令的传递和执行，从而保证行车安全。此外，由于备份控制器的功能小于主控制器的功能，备份通信网络连接的对象和传送的指令小于主通信网络连接的对象和传送的指令，能够在确保行车安全的前提，使得系统最优化配置，减少了系统成本。

以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。