CN108974015B - 用于具有有限可用性要求的故障下可操作功能的非对称系统架构 - Google Patents
用于具有有限可用性要求的故障下可操作功能的非对称系统架构 Download PDFInfo
- Publication number
- CN108974015B CN108974015B CN201810507024.4A CN201810507024A CN108974015B CN 108974015 B CN108974015 B CN 108974015B CN 201810507024 A CN201810507024 A CN 201810507024A CN 108974015 B CN108974015 B CN 108974015B
- Authority
- CN
- China
- Prior art keywords
- controller
- vehicle system
- vehicle
- fault
- primary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims abstract description 35
- 238000001514 detection method Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 5
- 230000000007 visual effect Effects 0.000 claims description 5
- 238000000034 method Methods 0.000 abstract description 17
- 238000004891 communication Methods 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000001755 vocal effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0286—Modifications to the monitored process, e.g. stopping operation or adapting control
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/08—Interaction between the driver and the control system
- B60W50/14—Means for informing the driver, warning the driver or prompting a driver intervention
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
- G05D1/0077—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Remote Sensing (AREA)
- Radar, Positioning & Navigation (AREA)
- Aviation & Aerospace Engineering (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Traffic Control Systems (AREA)
- Regulating Braking Force (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
Abstract
提供了具有非对称系统架构的车辆系统控制器和操作车辆系统控制器的方法。车辆系统控制器包括与车辆系统通信的主控制器和辅助控制器。两种控制器中的每一种包括含有软件应用程序的存储器单元和用于执行软件以生成用于车辆系统的命令的处理器。辅助控制器的存储器单元仅包含主控制器的存储单元中包含的全部软件应用程序的一个子集。该软件应用程序的子集仅用于操作车辆系统的预先识别的功能。车辆系统被配置为将来自主控制器的命令设为默认,但是如果主控制器变为故障无反应,则在预定时间长度内切换至来自辅助控制器的命令。
Description
技术领域
本公开涉及控制系统架构,更具体地,涉及具有故障下可操作功能的控制系统架构。
背景技术
已知现代车辆具有驾驶员辅助系统以提高乘员的舒适度和车辆性能。驾驶员辅助系统利用设计成用于操作各种车辆系统(例如HVAC系统、信息娱乐系统、导航系统和驱动控制系统)的车辆系统控制器。驱动控制系统包括转向控制、油门控制和制动控制,以部分或完全使车辆行驶自动化。
国际自动机工程师学会(SAE International)J3016标准提供了自动驾驶的常见分类和定义。SAE自动化驾驶级别从SAE 0级(无自动化)到SAE 5级(全自动化)。对于某些SAE自动驾驶级别,例如SAE 2级和3级(有条件的自动驾驶),期望驾驶员会对干预请求做出适当的响应。当车辆系统控制器检测到故障并提醒驾驶员手动控制车辆时,可能发生这种情况。警报可以是视觉警报,比如仪表盘中的警报灯,也可以是音频警报,比如通过车辆信息娱乐系统广播的口头警报,或是两者的组合。
设计成用于SAE 2级和3级车辆的车辆系统控制器利用故障下可操作系统架构,来确保在检测到故障后,车辆继续至少部分地自动操作达预定时间量。预定时间量应该是车辆系统控制器向人类驾驶员发出故障警报以及驾驶员手动控制车辆所需的时间。
具有故障下可操作系统架构的车辆系统控制器的示例包括具有相同硬件和软件的双重双工控制器。如果第一控制器中检测到故障,则第一控制器将故障无反应,这意味着第一控制器将不再发出命令并且变得无反应。辅助控制器(也称为备用控制器)将被激活,并且由第一控制器控制的所有车辆系统将切换成依赖备用控制器发出的指令。备用控制器可使整个车辆系统控制器在故障模式下保持运行。
具有故障下可操作架构的车辆系统控制器的另一个例子是三重模块化冗余控制系统,其需要执行相同功能的三个基本相同的控制器。表决器从所有三个控制器获得结果,并选择至少出现两次的结果。无论故障下可操作架构是使用双工控制器还是三重模块化冗余控制系统,正常运行的控制器(也称无故障控制器)都将继续运行,至少在有限的基础上运行。
用于具有双工控制器或三重模块化冗余控制系统的硬件和软件的这种冗余,导致了系统复杂性、车辆重量和成本低效率的增加。因此,尽管驾驶辅助系统的当前故障下可操作系统架构实现了其预期目的,但它们通常还是会导致系统资源(如CPU和内存)方面出现设计过度的系统。因此需要一种用于车辆系统控制器和方法的新型故障下可操作架构,以确保车辆系统控制器继续运行达预定时间量,从而使得一旦向驾驶员发出车辆系统控制器中故障的警报,驾驶员即做出响应。
发明内容
根据若干方面,公开了一种具有不对称系统架构的车辆系统控制器。该车辆系统控制器包括:主控制器,其具有包含主软件应用程序集的存储器单元以及配置为执行主软件应用程序集以生成主命令指令的处理器,其中主控制器被配置为如果检测到故障则自检故障并变为故障无反应;辅助控制器,其具有包含辅助软件应用程序集的存储器单元和配置为执行辅助软件应用程序集以生成辅助命令指令的处理器;以及具有预先识别的车辆功能的车辆系统,其中该车辆系统配置为在将主命令指令设为默认的同时接收主命令指令和辅助命令指令,并且如果主控制器变为故障无反应则切换到辅助命令指令。辅助软件应用程序集是主软件应用程序集的一个子集,用于车辆系统的预先识别的车辆功能的继续操作。
在本公开的一个附加方面中,车辆系统控制器配置为如果主控制器变为故障无反应则生成警报信号,并在下述两种情形中先发生的一种之后关闭正在运行的辅助控制器:(i)接收由警报信号生成的输入,或(ii)从主控制器变成故障无反应起经过预定时间量之后。
在本公开的另一方面中,辅助控制器配置为如果检测到故障则自检故障并变为故障无反应。车辆系统控制器进一步配置为如果辅助控制器故障无反应则发送警报信号,并在下述两种情形中先发生的一种之后关闭运行的主控制器:(i)接收由警报信号产生的输入,或(ii)从辅助控制器变成故障无反应起经过了预定时间量之后。
在本公开的另一方面中,车辆系统控制器进一步配置为如果主控制器和辅助控制器都变为故障无反应,则发送警报信号。
在本公开的另一方面中,警报信号激活视觉警报和音频警报中的至少一个以向人类驾驶员发出车辆系统控制器故障警报并且指示人类驾驶员手动控制车辆。
在本公开的另一方面中,主控制器的存储器单元包括软件应用程序的子集,其生成具有大于预定时间量的扩展时间值的输出。主控制器被配置为将扩展时间值输出传送给辅助控制器,辅助控制器进一步配置为将扩展时间值输出传送给车辆系统。
在本公开的另一方面中,辅助控制器系统的存储器不包含生成扩展时间值输出的软件应用程序的子集。
在本公开的另一方面中,主控制器和辅助控制器中的一个包括配置为检测错误的专用故障检测模块。
在本公开的另一方面中,主控制器的存储单元的存储容量大于辅助控制器的存储单元的存储容量。主控制器的处理器的处理能力大于辅助控制器的处理器的处理能力。
根据若干方面,公开了一种车辆系统控制器。车辆系统控制器包括:具有主软件应用程序集的存储器单元和配置为执行主软件应用程序集以生成主命令指令的处理器,其中主控制器配置为如果检测到故障则自检故障并变为故障无反应;以及具有预先识别的车辆功能的车辆系统,其中车辆系统配置为接收主指令并且包括:存储器单元,其包含用于预先识别的车辆功能的操作的主软件应用程序集的子集,以及执行软件应用程序子集的处理器。
在本公开的另一方面中,车辆系统被配置为检测主控制器何时变为失效无声,并执行主软件应用程序集的子集。
在本公开的另一方面中,车辆系统被配置成生成警报以向人类驾驶员发出故障通知并指示人类驾驶员手动控制车辆。
在本公开的另一方面中,车辆系统的处理器在下述两种情形中先发生的一种之后停止执行主软件应用程序集的子集:(i)接收由警报信号产生的输入,或(ii)从辅助控制器变成故障无反应起经过了预定时间量之后。
根据若干方面,公开了一种操作具有故障下可操作功能的车辆系统控制器的方法。该方法包括以下步骤:通过多个外部传感器收集关于车辆周围区域的数据;由主和辅助控制器同时处理所收集的数据以生成多个主命令指令和多个辅助命令指令,其中辅助命令指令仅包括为了车辆在至少部分的自主模式下的故障下可操作而预先识别的命令指令;以及通过车辆系统接收主命令指令和辅助命令指令,其中车辆系统将主命令指令设为默认,并且如果主命令变为无反应,则切换到辅助命令指令。
在本公开的另一方面中,该方法还包括以下步骤:由主控制器生成扩展时间值输出并将扩展时间值输出传送至辅助控制器,以及通过辅助控制器将扩展时间值输出中继到车辆系统。
在本公开的另一方面,该方法还包括以下步骤:由主控制器连续执行故障的自检。主控制器配置为如果在主控制器中检测到故障,则故障无反应。
在本公开的另一方面中,该方法还包括以下步骤:由辅助控制器连续执行故障自检。控制器配置为如果在辅助控制器中检测到故障,则故障无反应。
在本公开的另一方面中,该方法还包括以下步骤:如果主控制器和辅助控制器中的一个变为故障无反应,则由车辆系统控制器生成警报信号,以及在预定的时间长度后关闭主控制器和辅助控制器中的相应另一个。
在本公开的另一方面中,该方法还包括以下步骤:通过警报信号激活警报以通知人类驾驶员手动控制车辆并在下述两种情形中先发生的一种之后关闭主控制器和辅助控制器中的相应另一个:(i)接收由警报信号产生的人类输入,或(ii)在经过预定时间量之后。
根据本文提供的描述,其他应用领域将变得显而易见。应该理解的是,描述和具体示例仅用于说明的目的,而不意图限制本公开的范围。
附图说明
本节描述的附图仅用于说明的目的,并不意图以任何方式限制本公开的范围。
图1是根据第一示例性实施例的具有故障下可操作架构的车辆系统控制器的功能图;
图2是根据第二示例性实施例的具有故障下可操作架构的车辆系统控制器的功能图;
图3是根据第三示例性实施例的具有故障下可操作架构的车辆系统控制器的功能图;以及
图4是操作具有故障下可操作功能的车辆系统控制器的方法。
具体实施方式
下文描述本质上仅仅是示例性的,并非意图限制本公开、应用或用途。
参考附图,其中相同的附图标记在整个附图中尽可能地对应于相同或相似的部件,图1示出了用于陆基机动车辆(未示出)的具有故障下可操作架构的车辆系统控制器100的第一示例性实施例的功能图,该陆基机动车辆比如客车、卡车、运动型多用途车、厢式货车、房车或任何其他类型的陆基车辆。车辆系统控制器100包括主控制器102和辅助控制器104(也称备用控制器104),两者都与车辆外部传感器106、车辆状态传感器108、车辆接收器110和各种车辆系统112通信。车辆系统控制器100利用通信总线114或任何其他有线或无线网络用于在控制器102、104、各种车辆传感器106、108和接收器110以及各种车辆系统112之间进行通信。
车辆外部传感器106可以包括(但不限于)用于收集关于机动车辆周围的相邻区域的信息的图像捕获传感器、范围传感器和扫描激光器。车辆状态传感器108包括(但不限于)用于收集关于车辆当前状态的信息的速度传感器、加速度传感器、偏航角传感器、俯仰角传感器、转向角度传感器等。车辆接收器110还可以包括“车对一切事物”(V2X)接收器,用于接收“车对车”(V2V)通信、“车对基础设施”(V2I)通信、“车对行人”(V2P)通信、“车对设备”(V2D)通信和“车对电网”(V2G)通信中的至少一种通信。V2X通信可以包含关于超出车辆外部传感器106的检测范围的周围区域的信息。车辆接收器110还包括用于接收来自卫星的GPS信号的全球定位卫星(GPS)接收器,用于确定机动车辆的位置,还用于接收来自连接到诸如蜂窝网络的远程信息处理模块的任何其他信号。
主控制器和辅助控制器102、104被配置为处理由车辆外部传感器106、车辆状态传感器108和车辆接收器110收集的信息,以生成用于车辆系统112的命令指令。车辆系统112包括(但不限于)导航系统、转向控制系统、油门控制系统和制动控制系统,用于部分或完全自动化车辆驾驶。由控制器生成的指令包括用于车辆系统112的命令,以激活致动器(未示出),用于控制单个车辆系统112的特征和功能,包括为了在部分自主模式或玩全自主模式下故障下可操作车辆而预先识别的功能。车辆系统112包括处理器116和存储器单元118,或配置为执行从控制器102、104接收的指令以激活致动器的微处理器。
车辆系统控制器100配置有故障下可操作架构,使得当在主控制器或辅助控制器102、104中检测到故障或错误时,车辆系统112的预先识别的功能将继续运行达预定时间长度,在其同时,具有故障的控制器102、104变为故障无反应。预定时间长度应足够长以至少允许车辆系统控制器100或车辆系统112sc警报,以通知人类驾驶员控制器102、104发生故障,并且应足够人类驾驶员(或远程操作员)手动控制机动车辆而采取反应。车辆系统控制器100在下述两种情形中先发生的情形之后关闭:(i)驾驶员手动控制机动车辆,或(ii)经过了预定时间量之后。换句话说,车辆系统控制器100在检测到故障之后的有限时间段内对于预先识别的功能变为故障下可操作,然后在此后变为故障无反应。预先识别的功能包括(但不限于)前方物体检测、车道对中、转向控制、制动控制和油门控制。这些示例预先识别的功能应该保持运行,以便以至少部分的自主模式安全操作机动车辆。
在故障模式下,系统的操作仅限于全部功能的一个子集——例如,该子集对某些系统来说可以意味着系统能够将车辆保持在当前车道上并对车辆的前方的静态和动态物体做出反应,而在正常模式(即无任何故障)下所执行的完整功能集在2级或3级的操作范围内,可以调动更多的功能性,比如自动车道变换和车辆周围物体检测以及反应。
主控制器102包括主处理器120和主存储器单元122。主存储器单元122包括用于机动车辆的正常操作的数据和多个软件应用程序App(i)至App(n)(通常称为软件应用程序124)。主处理器120接收从各种传感器/接收器106、108、110收集的信息并执行软件应用程序124,以生成指令126(也称命令126或命令指令126),用于各种车辆系统112。软件应用程序124包括一般车辆操作软件,比如自动车厢气候控制、无线电音量控制、后部碰撞预警等。
然而,全体的软件应用程序App(i)至App(n)、软件应用程序124也包括预先识别的车辆操作软件(示出为124a、124b、124c和124d),用于控制各种车辆系统的预先识别的功能,用于使车辆能够以至少部分的自主模式安全地运行。这种预先识别的软件124a、124b、124c和124d的示例可以包括转向控制应用124a、油门控制应用124b、制动控制应用124c和预测的车辆轨迹应用124d。换句话说,预先识别的车辆操作软件124a、124b、124c和124d是存储在主控制器102的主存储器单元122中的全体软件应用程序App(i)至App(n)的子集。应该认识到,用于车辆的安全操作的预先识别的车辆功能的示例仅用于解释目的。实际的预先识别的车辆功能取决于车辆的类型并且具有车辆特异性。该子集还取决于自动化系统的自动化水平和操作设计领域(使用国际自动机工程师学会J3016标准中定义的术语)。还应该认识到,软件应用程序App(i)至App(n)的实际总数可以是数百或数千,而其中预先识别的软件应用程序的实际总数可能仅占一小部分的比例。
辅助控制器104包括辅助处理器128和辅助存储器单元130。辅助存储器单元130包括数据,以及与主控制器102的预先识别的操作软件124a、124b、124c和124d相同的预先识别的操作软件124a、124b、124c和124d。辅助处理器128接收从各种传感器/接收器106、108、110收集的信息并执行预先识别的操作软件应用程序124a、124b、124c和124d,以生成命令指令126,用于车辆系统,以便操作预先识别的功能使车辆以至少部分的自主模式安全操作。
与存储在主存储器单元122中的全体软件应用程序App(i)至App(n)相比,存储在辅助存储器单元130中用于执行预先识别的车辆功能的数据和软件应用程序的数量非常小,因为辅助存储器单元130仅包含预先识别的软件应用程序124a、124b、124c和124d,该软件应用程序124a、124b、124c和124d对于以至少部分的自动化模式的车辆的安全操作是优选的。预先识别的软件应用程序124a、124b、124c和124d仅是结合在主控制器102中的全体软件应用程序App(i)至App(n)的一小部分。由于预先识别的操作软件124a、124b、124c和124d仅是主控制器的全体操作软件应用程序App(i)至App(n)的子集,与主控制器102相比,可以在辅助控制器104中使用更小容量的辅助处理器128和存储器单元130。
主处理器120和辅助处理器128都被配置为监视相应控制器102、104的操作以检测相应控制器102、104中的故障或错误状态。替代地,主控制器102和辅助要控制器104每个都可以包括专用故障检测器模块132、134,用于监视各个控制器102、104的操作以代替依赖于各个处理器120、128。如果在主控制器102和辅助控制器104中的一个中检测到故障或错误,具有故障的控制器102、104通过停止处理来自车辆传感器/接收器106、108、110的信号而进入故障无反应模式,因而不再生成要传送给车辆系统112的指令126。无故障正常操作的控制器102、104向车辆的驾驶员发送警报,继续处理来自各种车辆传感器/接收器106、108、110的输入,并继续生成命令126以操作预先识别的车辆系统,直到下述两种情形中先发生的一种为止:经过了预定时间长度,或人类驾驶员采取了手动控制。无故障控制器102、104使得车辆系统控制器100能够针对有限的预先识别的功能和时间以故障下可操作模式进行操作。
车辆系统112同时从主控制器102和辅助控制器104接收指令,但通常将来自主控制器102的指令设为默认。如果在主控制器102中检测到错误或故障,则主控制器102将变为故障无反应并且生成警报。警报可以是视觉警报,例如组合仪表中的警告灯、仪表板上的显示监视器上的消息、或警报显示器上的通知,以通知驾驶员车辆系统控制器100中的故障。警报还可以是音频警报,例如在车辆信息娱乐系统上广播的警报铃声或口头警告。警报还可以是视觉警报和音频警报或触觉警报(例如座椅振动)的组合。车辆系统112将切换至来自辅助控制器104的命令,这将继续运行下去,直到下述两种情形中先发生的一种为止:已经过去预定时间量,或人类驾驶员手动控制了车辆。车辆系统控制器100可以通过人类驾驶员致动了按钮或触摸了屏幕以确认警报而检测人类驾驶员已经进行了手动控制,和/或通过检测诸如驾驶员的方向盘、制动踏板或油门踏板的移动等输入来检测人类驾驶员已经进行了手动控制。此时之后,辅助控制器104将关闭并且车辆默认进入全手动模式。
如果在辅助控制器104中检测到错误或故障,则辅助控制器104将变为故障无反应,并且将向人类驾驶员发出警报。预先识别的车辆系统112将继续把来自主控制器102的命令126设为默认,这将继续运行下去,直到下述两种情形中先发生的一种为止:已经过去预定时间量,或人类驾驶员手动控制了车辆。此时之后,主控制器102将关闭并且车辆默认进入全手动模式。在辅助控制器变为故障无反应时,如果需要,主控制器可以选择仅实施预先识别的软件应用程序124a、124b、124c和124d以释放处理器电源而用于其他应用程序。
只要车辆系统控制器100在正常操作模式下无误地操作,主控制器102就保持对车辆系统112的控制。仅当主控制器102在车辆系统控制器100中产生错误时才启用辅助控制器104。结果,辅助控制器104仅需要最小量的软件来维持被认为优于操作车辆系统112的特征的那些相应的预先识别的功能的有限操作。
此外,在预定时间之外,具有在扩展时间段内有效的输出的某些预先识别的功能,可以在正常的无故障运行中定期将其输出传送给辅助控制器;从而避免辅助控制器上的这些功能的重复。轨迹规划器功能,作为这种功能的示例,其周期性地生成用于车道对中和自适应巡航控制功能所遵循的短期轨迹(即,用于纵向和横向控制功能的参考路径)。该参考路径在超过预定时间的持续时间内有效,该预定时间的量级单位为秒。轨迹规划器不会重复,而是将其输出(参考路径)发送到辅助控制器,而纵向和横向控制功能将在辅助控制器上重复,因此是辅助控制器上重复的功能子集的一部分。
因此,在正常操作中,主控制器将这些输出传送到备份控制器,而不是在产生有效时间超过预定时间量的结果的备份控制器功能上进行重复。在主控制器发生故障的情况下,备份控制器在执行功能子集时使用最后已知的通信输出,该通信输出可能具有对输出的纠错。这限制了备份控制器中所需的系统资源数量。
图2示出了车辆系统控制器200的第二实施例。车辆系统控制器200的该实施例包括具有辅助存储器单元230的辅助控制器204,辅助存储器单元230包含的软件应用程序124d、124h比安全操作优选所需的要少。类似于图1中所示的车辆系统控制器100,主控制器102包括一般的和预先识别的软件应用程序App(i)至App(n)。主控制器102中的预先识别的软件应用程序124a、124b、124c和124d中的至少一个或多个124a、124b生成可在大于预定时间量长度内存活的扩展时间值输出136。换句话说,预先识别的软件应用程序的扩展时间值输出136具有大于预定时间量的扩展时间值。除了生成扩展时间值输出136的预先识别的软件应用程序124c、124d之外,辅助控制器存储器单元230包括用于车辆的安全操作的预先识别的软件应用程序。扩展时间值输出136的示例有车辆的预计轨迹、车道预测、车辆位置等。
扩展时间值输出136由主控制器102中的软件应用程序124c、124d生成,并传送给辅助控制器104。在主控制器102故障无反应的情况下,车辆系统112将切换至来自辅助控制器204的命令,辅助控制器204将由主控制器生成的最终扩展时间值输出136中继到车辆系统112,同时还执行存储在其存储器单元230中的预先识别的软件应用程序124a、124b。辅助控制器204将继续运行下去,直到下述两种情形中先发生的一种为止:已经过去预定时间量,或人类驾驶员手动控制了车辆。在辅助控制器204故障无反应的情况下,如在车辆系统控制器100的第一实施例中那样,预先识别的车辆系统112将继续把来自主控制器102的命令126设为默认。
辅助控制器204具有较少预识别的操作软件124c、12d的益处在于:处理器228和存储器单元230可能因为不需要存储和处理这个附加软件而得以缩小。如果主控制器102发生故障,则辅助控制器104保留由主控制器102传送给它的最终扩展时间值输出136,并且该扩展时间值输出136不需要再次更新,因为辅助要控制器204将在下述两种情形中先发生的一种之下关闭:过去了预定时间量,或当人类驾驶员采取了手动控制时。
图3示出了车辆系统控制器300的又一个实施例。类似于图1和图2中所示的实施例,主控制器102包括用于各种车辆系统112a、112b、112c和112d的一般的和预先识别的软件应用程序App(i)至App(n),其总体上示出为112。然而,不存在专用的辅助或备用控制器104、204。而是,预先识别的软件应用程序124被分配给各种车辆系统112中的本地处理器138a、138b、138c和138d或微控制器138a、138b、138c和138d。例如,生成转向命令的预先识别的软件应用程序124a被结合到转向控制系统的本地控制器中,并且示出制动控制的预先识别的软件应用程序124c被结合到制动系统的本地控制器中。
如果在主控制器102中检测到故障,则主控制器变为故障无反应。用于各种车辆系统的一个或多个本地处理器138a、138b、138c和138d或微控制器138a、138b、138c和138d生成向人类驾驶员发出的警报,并处理适用的传感器信息以继续操作预先识别的系统,直到下述两种情形中先发生的一种为止:继续操作达预定时间量,或人类驾驶员接手。
主控制器102和辅助控制器104的处理器120、128以及本地处理器138a、138b、138c和138d可以是任何常规处理器,诸如市售CPU、专用ASIC或其他基于硬件的处理器。主控制器102和辅助控制器104、204的存储器单元122、130和230可以是任何计算设备可读介质,比如硬盘、固态存储器、ROM、RAM、DVD或能够存储处理器可访问的信息的任何其他介质。应该意识到,主控制器和辅助控制器102、104、204中的每一个可以包括多于一个的处理器和存储器单元,并且多个处理器和存储器单元不必必须容纳在主控制器和辅助控制器的相应外壳内。
图4中示出了操作具有故障下可操作功能400的车辆系统控制器的方法。在框402中,车辆系统控制器从多个车辆传感器/接收器接收信息。
在框404中,主控制器处理来自各种传感器/接收器的信息以生成命令以操作一般的和预先识别的车辆系统,同时检查主控制器中的错误和故障。与此同时,在框406中,辅助控制器处理来自各种传感器/接收器的信息,以生成命令以仅操作所选择的预先识别的车辆系统,同时检查辅助控制器中的错误和故障。在框408中,主控制器将扩展时间值输出传送给辅助控制器。
在框410中,车辆系统接收来自主控制器和辅助控制器的命令,并将来自主控制器的命令设为默认。在框412中,车辆系统确定主控制器或辅助控制器中是否存在故障。在框414中,如果在主控制器或辅助控制器中未检测到故障,则车辆系统继续将来自主控制器的命令设为默认。
在框416中,如果在主控制器或辅助控制器中检测到故障,则故障的控制器变为故障无反应,并且车辆系统将无故障控制器的命令设为默认。在框418中,生成警报并向人类驾驶员发出关于系统中的故障的警报。
在框420中,无故障控制器将继续生成命令,直到下述两种情形中先发生的一种为止:经过了预定时间量,或人类驾驶员采取控制,在这之后,无故障控制器关闭。
具有如本文所述的故障下可操作架构的车辆系统控制器100、200、300的以上实施例用于陆上机动车辆。应该理解的是,故障下可操作架构可以应用于其他类型的交通工具,例如水车、飞行器、航天器以及利用车辆系统控制器来提升车辆操作的其他类型的车辆。
本公开的描述在本质上仅仅是示例性的,并且不偏离本公开的主旨的变型意图落在本公开的范围内。这样的变型不被认为是脱离本公开的精神和范围。
Claims (5)
1.一种具有不对称系统架构的车辆系统控制器,包括:
主控制器,其具有包含主软件应用程序集的存储器单元以及配置为执行所述主软件应用程序集以生成主命令指令的处理器,其中所述主控制器被配置为如果检测到故障则自检故障并变为故障无反应;
辅助控制器,其具有包含辅助软件应用程序集的存储器单元和配置为执行所述辅助软件应用程序集以生成辅助命令指令的处理器;以及
具有预先识别的车辆功能的车辆系统,其中所述车辆系统配置为在将所述主命令指令设为默认的同时接收所述主命令指令和辅助命令指令,并且如果所述主控制器变为故障无反应则切换到所述辅助命令指令;
其中所述辅助软件应用程序集是所述主软件应用程序集的一个子集,并用于所述车辆系统的所述预先识别的车辆功能的继续操作;
其中所述车辆系统控制器配置为如果所述主控制器变为故障无反应则生成警报信号,并在下述两种情形中先发生的一种之后关闭正在运行的所述辅助控制器:(i)接收由所述警报信号产生的输入,或(ii)从所述主控制器变成故障无反应起经过预定时间量之后;
其中所述辅助控制器配置为如果检测到故障则自检故障并变为故障无反应,所述车辆系统控制器进一步配置为如果辅助控制器故障无反应则发送警报信号,并在下述两种情形中先发生的一种之后关闭运行的所述主控制器:(i)接收由所述警报信号产生的输入,或(ii)从所述辅助控制器变成故障无反应起经过了预定时间量之后;
其中所述车辆系统控制器进一步配置为如果所述主控制器和所述辅助控制器都变为故障无反应,则发送警报信号;
其中所述警报信号激活视觉警报和音频警报中的至少一个以向人类驾驶员发出车辆系统控制器故障警报并且指示所述人类驾驶员手动控制所述车辆;
其中所述主控制器的所述存储器单元包括软件应用程序的子集,其生成具有大于所述预定时间量的扩展时间值的输出,所述主控制器被配置为将所述扩展时间值输出传送给所述辅助控制器,且所述辅助控制器进一步配置为将所述扩展时间值输出传送给所述车辆系统。
2.根据权利要求1所述的车辆系统控制器,其中所述辅助控制器系统的所述存储器单元不包含生成所述扩展时间值输出的软件应用程序的所述子集。
3.根据权利要求2所述的车辆系统控制器,其中所述主控制器和所述辅助控制器中的一个包括配置为检测错误的专用故障检测模块。
4.根据权利要求3所述的车辆系统控制器,其中所述主控制器的所述存储器单元的存储容量大于所述辅助控制器的所述存储器单元的存储容量。
5.根据权利要求3所述的车辆系统控制器,其中所述主控制器的所述处理器的处理能力大于所述辅助控制器的所述处理器的处理能力。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/611,371 US10459436B2 (en) | 2017-06-01 | 2017-06-01 | Asymmetric system architecture for fail-operational functions with limited availability requirements |
US15/611371 | 2017-06-01 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108974015A CN108974015A (zh) | 2018-12-11 |
CN108974015B true CN108974015B (zh) | 2021-07-23 |
Family
ID=64458310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810507024.4A Active CN108974015B (zh) | 2017-06-01 | 2018-05-24 | 用于具有有限可用性要求的故障下可操作功能的非对称系统架构 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10459436B2 (zh) |
CN (1) | CN108974015B (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018014890A1 (de) * | 2016-07-21 | 2018-01-25 | Continental Automotive Gmbh | Verfahren zum betrieb eines sicherheitskritischen steuergeräts für ein kraftfahrzeug sowie entsprechendes kraftfahrzeug |
DE102017100618A1 (de) * | 2017-01-13 | 2018-07-19 | HELLA GmbH & Co. KGaA | Kontrollsystem für ein Kraftfahrzeug, Kraftfahrzeug, Verfahren zur Kontrolle eines Kraftfahrzeugs, Computerprogrammprodukt und computerlesbares Medium |
JP6753388B2 (ja) * | 2017-11-13 | 2020-09-09 | 株式会社デンソー | 自動運転制御装置、車両の自動運転制御方法 |
DE102018220063A1 (de) * | 2018-11-22 | 2020-05-28 | Robert Bosch Gmbh | Betriebsverfahren für eine redundante Sensoranordnung eines Fahrzeugsystems und korrespondierende redundante Sensoranordnung |
CN109826715A (zh) * | 2019-01-28 | 2019-05-31 | 成都华气厚普电子技术有限公司 | 船用lng供气装置电控系统 |
CN111661062A (zh) * | 2019-03-05 | 2020-09-15 | 阿里巴巴集团控股有限公司 | 自动驾驶控制方法、装置及系统 |
US11550320B2 (en) * | 2019-03-18 | 2023-01-10 | Pony Ai Inc. | Vehicle redundant processing resource usage |
CN113825688B (zh) * | 2019-06-04 | 2024-09-06 | 沃尔沃卡车集团 | 自主车辆控制系统 |
US11318953B2 (en) * | 2019-09-26 | 2022-05-03 | GM Global Technology Operations LLC | Fault-tolerant embedded automotive applications through cloud computing |
US20210331740A1 (en) * | 2020-04-22 | 2021-10-28 | Steering Solutions Ip Holding Corporation | Systems and method for electronic power steering redundant bus communication |
CN111966535A (zh) * | 2020-08-25 | 2020-11-20 | 中国第一汽车股份有限公司 | 一种切换方法、装置、设备及存储介质 |
US11465636B2 (en) * | 2021-02-01 | 2022-10-11 | Ree Automotive Ltd. | Control systems for vehicle corner modules and methods of operation |
US11214271B1 (en) * | 2021-03-10 | 2022-01-04 | Aurora Operations, Inc. | Control system interface for autonomous vehicle |
US11807275B2 (en) | 2021-08-09 | 2023-11-07 | GM Global Technology Operations LLC | Method and process for degradation mitigation in automated driving |
CN113848950A (zh) * | 2021-10-21 | 2021-12-28 | 广州文远知行科技有限公司 | 一种控制器控制方法、装置、交通工具及存储介质 |
CN114701470A (zh) * | 2022-04-12 | 2022-07-05 | 福建盛海智能科技有限公司 | 一种无人驾驶车辆的双路线控制动系统及方法 |
DE102022112069A1 (de) * | 2022-05-13 | 2023-11-16 | Daimler Truck AG | Fahrzeug mit einer Fahrerkabine |
US20240124026A1 (en) * | 2022-10-17 | 2024-04-18 | Argo AI, LLC | Asymmetrical Autonomous Vehicle Computing Architecture |
CN115923686B (zh) * | 2022-12-17 | 2024-06-18 | 中国重汽集团济南动力有限公司 | 一种双机热备份整车控制系统、方法及新能源车 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101927764A (zh) * | 2010-08-19 | 2010-12-29 | 浙江吉利汽车研究院有限公司 | 混合动力汽车的双hcu整车控制系统 |
CN102897165A (zh) * | 2012-11-05 | 2013-01-30 | 北京经纬恒润科技有限公司 | 一种混合动力综合控制器 |
CN104049530A (zh) * | 2013-03-14 | 2014-09-17 | 通用汽车环球科技运作有限责任公司 | 容错控制系统 |
CN106054868A (zh) * | 2016-08-12 | 2016-10-26 | 北京车和家信息技术有限责任公司 | 整车控制器和车辆 |
CN205853917U (zh) * | 2016-07-29 | 2017-01-04 | 北京车和家信息技术有限责任公司 | 车辆的控制系统和车辆 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1616746B1 (en) * | 2004-07-15 | 2010-02-24 | Hitachi, Ltd. | Vehicle control system |
US8340793B2 (en) | 2009-10-09 | 2012-12-25 | Hamilton Sundstrand Corporation | Architecture using integrated backup control and protection hardware |
US8618922B2 (en) * | 2010-03-30 | 2013-12-31 | GM Global Technology Operations LLC | Method and system for ensuring operation of limited-ability autonomous driving vehicles |
US9195232B1 (en) | 2014-02-05 | 2015-11-24 | Google Inc. | Methods and systems for compensating for common failures in fail operational systems |
US9563523B2 (en) | 2015-04-16 | 2017-02-07 | GM Global Technology Operations LLC | Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems |
-
2017
- 2017-06-01 US US15/611,371 patent/US10459436B2/en active Active
-
2018
- 2018-05-24 CN CN201810507024.4A patent/CN108974015B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101927764A (zh) * | 2010-08-19 | 2010-12-29 | 浙江吉利汽车研究院有限公司 | 混合动力汽车的双hcu整车控制系统 |
CN102897165A (zh) * | 2012-11-05 | 2013-01-30 | 北京经纬恒润科技有限公司 | 一种混合动力综合控制器 |
CN104049530A (zh) * | 2013-03-14 | 2014-09-17 | 通用汽车环球科技运作有限责任公司 | 容错控制系统 |
CN205853917U (zh) * | 2016-07-29 | 2017-01-04 | 北京车和家信息技术有限责任公司 | 车辆的控制系统和车辆 |
CN106054868A (zh) * | 2016-08-12 | 2016-10-26 | 北京车和家信息技术有限责任公司 | 整车控制器和车辆 |
Also Published As
Publication number | Publication date |
---|---|
US10459436B2 (en) | 2019-10-29 |
US20180348754A1 (en) | 2018-12-06 |
CN108974015A (zh) | 2018-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108974015B (zh) | 用于具有有限可用性要求的故障下可操作功能的非对称系统架构 | |
US11492011B2 (en) | Autonomous driving control device and method for autonomous driving control of vehicles | |
US10332322B2 (en) | Systems and methods for vehicle-to-vehicle communication | |
EP3628559B1 (en) | Fault alarm method and device for automatic driving system | |
CN110077420B (zh) | 一种自动驾驶控制系统和方法 | |
EP3109119B1 (en) | Method and arrangement for allowing secondary tasks during semi-automated driving | |
US8452465B1 (en) | Systems and methods for ECU task reconfiguration | |
US20190382045A1 (en) | Method and device for the control of a safety-relevant process and transportation vehicle | |
US11975727B2 (en) | Autonomous vehicle control system | |
US20160031441A1 (en) | Self-explaining autonomous vehicle | |
US11173922B2 (en) | Vehicle control device and vehicle control system | |
CN112977386A (zh) | 用于处理自动驾驶车辆的制动故障的方法及其设备和系统 | |
CN109383518A (zh) | 冗余主动控制系统协调 | |
CN106054852A (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
US10394241B2 (en) | Multi-stage voting control | |
KR101914624B1 (ko) | 자율주행시스템의 사고 예방을 위한 프로세서 및 동작 방법 | |
CN107783530B (zh) | 基于软件代码迁移的失效可操作的系统设计模式 | |
CN110588669A (zh) | 用于在故障车辆中执行最小风险操纵的方法和控制单元 | |
CN113682321A (zh) | 用于在汽车电子系统中转移车辆控制权的方法和装置 | |
CN112550313A (zh) | 通过云计算的容错嵌入式汽车应用程序 | |
CN117585007A (zh) | 车辆控制装置和方法 | |
EP2776915B1 (en) | Determining the operating status of an electrical system having a system controller and an actuator controller | |
CN117585008A (zh) | 用于控制车辆的设备及方法 | |
US11325616B2 (en) | Driving assistance apparatus and vehicle | |
WO2024134749A1 (ja) | 車両制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |