CN109709963B - 无人驾驶控制器及无人驾驶车辆 - Google Patents
无人驾驶控制器及无人驾驶车辆 Download PDFInfo
- Publication number
- CN109709963B CN109709963B CN201811646749.8A CN201811646749A CN109709963B CN 109709963 B CN109709963 B CN 109709963B CN 201811646749 A CN201811646749 A CN 201811646749A CN 109709963 B CN109709963 B CN 109709963B
- Authority
- CN
- China
- Prior art keywords
- power supply
- processor
- control unit
- safety
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 61
- 238000004891 communication Methods 0.000 claims description 45
- 238000001514 detection method Methods 0.000 claims description 29
- 238000005259 measurement Methods 0.000 claims description 22
- 230000002159 abnormal effect Effects 0.000 claims description 20
- 230000017525 heat dissipation Effects 0.000 claims description 17
- 230000002265 prevention Effects 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 83
- 230000006870 function Effects 0.000 description 17
- 230000000007 visual effect Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 11
- 239000003990 capacitor Substances 0.000 description 10
- 238000000034 method Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 5
- 238000005070 sampling Methods 0.000 description 5
- 230000001052 transient effect Effects 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 101100236764 Caenorhabditis elegans mcu-1 gene Proteins 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000007797 corrosion Effects 0.000 description 1
- 238000005260 corrosion Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000020169 heat generation Effects 0.000 description 1
- 238000009413 insulation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/28—Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0015—Planning or execution of driving tasks specially adapted for safety
- B60W60/0018—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
- B60W60/00188—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/03—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0015—Planning or execution of driving tasks specially adapted for safety
- B60W60/0018—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
- B60W60/00186—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0023—Planning or execution of driving tasks in response to energy consumption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/30—Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3055—Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3058—Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
- G06F11/3062—Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations where the monitored property is the power consumption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/34—Circuit design for reconfigurable circuits, e.g. field programmable gate arrays [FPGA] or programmable logic devices [PLD]
Abstract
本公开提供了一种无人驾驶控制器,包括:安全微控制单元和处理器模块,所述处理器模块与所述安全微控制单元连接;所述安全微控制单元用于对所述处理器模块进行运行状态监控。本公开还提供了无人驾驶车辆。
Description
技术领域
本公开实施例涉及无人驾驶技术领域,特别涉及无人驾驶控制器及无人驾驶车辆。
背景技术
目前,汽车工业领域中,无人驾驶技术越来越备受重视,在无人驾驶车辆中,无人驾驶控制器/系统通常具备环境感知、智能联网、路径规划和车辆控制等能力。但目前的无人驾驶控制器,对于其硬件的安全等级低且安全监控效果不佳,导致无人驾驶控制器的安全性和可靠性较低,难以满足国际功能安全标准ISO26262的高硬件安全要求。
发明内容
本公开实施例提供一种无人驾驶控制器及无人驾驶车辆。
第一方面,本公开实施例提供一种无人驾驶控制器,该无人驾驶控制器包括:安全微控制单元和处理器模块,所述处理器模块与所述安全微控制单元连接;
所述安全微控制单元用于对所述处理器模块进行运行状态监控。
在一些实施例中,所述处理器模块包括第一处理器和第二处理器,所述第一处理器和所述第二处理器分别与所述安全微控制单元连接;
所述安全微控制单元用于对所述第一处理器和所述第二处理器进行运行状态监控。
在一些实施例中,无人驾驶控制器还包括电源管理模块;
所述电源管理模块与所述安全微控制单元连接,用于对所述安全微控制单元进行运行状态监控;
所述安全微控制单元还用于对所述电源管理模块进行运行状态监控。
在一些实施例中,无人驾驶控制器还包括供电源和处理器供电子系统;
所述处理器供电子系统与所述供电源和所述处理器模块连接,用于基于所述供电源输出的供电电压向所述处理器模块提供工作电压;
所述安全微控制单元还与所述处理器供电子系统连接,用于对所述处理器供电子系统进行运行状态监控。
在一些实施例中,无人驾驶控制器还包括紧急应急供电子系统,所述紧急应急供电子系统与所述供电源和所述电源管理模块连接,所述供电源与所述电源管理模块连接;
所述紧急应急供电子系统用于在所述供电源出现故障时,基于预先存储的电量向所述电源管理模块提供供电电压;
所述电源管理模块还用于在所述供电源未出现故障时,基于所述供电源提供的供电电压向所述安全微控制单元提供工作电压;在所述供电源出现故障时,基于所述紧急应急供电子系统提供的供电电压向所述安全微控制单元提供工作电压;
所述安全微控制单元具体用于利用所述电源管理模块提供的工作电压监控所述第一处理器和所述第二处理器的运行状态,当监控到所述第一处理器或所述第二处理器的运行状态发生异常时,启动备用控制器。
在一些实施例中,所述供电源包括供电电源、主供电电路和备用供电电路,所述主供电电路的输入端和所述备用供电电路的输入端分别与所述供电电源连接,所述主供电电路的输出端连接至汇合节点,所述备用供电电路的输出端通过切换元件连接至所述汇合节点,所述汇合节点与所述处理器供电子系统和所述紧急应急供电子系统连接;
所述切换元件用于当所述主供电电路出现故障时,使所述备用供电电路与所述汇合节点导通。
在一些实施例中,所述安全微控制单元还连接至所述汇合节点,用于对所述汇合节点进行运行状态监控。
在一些实施例中,所述切换元件为第一二极管,所述备用供电电路的输出端连接至所述第一二极管的正极,所述第一二极管的负极连接至所述汇合节点。
在一些实施例中,所述主供电电路包括第一连接器、第一静电防护电路、第一中断检测电路和防反接保护电路,第一连接器的输入端与供电电源连接,第一静电防护电路和第一中断检测电路分别与第一连接器的输出端连接,防反接保护电路与第一静电防护电路连接,防反接保护电路还连接至汇合节点;
所述安全微控制单元还与所述第一中断检测电路连接,用于监控所述中断检测电路的运行状态。
在一些实施例中,备用供电电路包括第二连接器、第二静电防护电路和第二中断检测电路,第二连接器的输入端与供电电源连接,第二静电防护电路与第二连接器的输出端连接,第一二极管的正极与第二静电防护电路连接,第二中断检测电路与第一二极管的负极连接;
所述安全微控制单元还与所述第二中断检测电路连接,用于监控第二中断检测电路的运行状态。
在一些实施例中,所述供电源还包括电压滤波电路,所述电压滤波电路的输入端连接至所述汇合节点,所述电压滤波电路的输出端与所述处理器供电子系统、所述紧急应急供电子系统和所述电源管理模块连接。
在一些实施例中,所述电源管理模块上设置有安全通道信号源,所述安全通道信号源与所述安全微控制单元和外部备用控制器连接;
所述电源管理模块用于当监控出所述安全微控制单元出现安全故障时,触发所述安全通道信号源向所述外部备用控制器发出安全通道信号,以启动所述备用控制器;
所述安全微控制单元用于当监控出所述第一处理器或所述第二处理器出现安全故障时,触发所述安全通道信号源向所述外部备用控制器发出安全通道信号,以启动所述备用控制器。
在一些实施例中,所述电源管理模块为PMIC。
在一些实施例中,所述第一处理器和所述第二处理器均为FPGA。
第二方面,本公开实施例还提供一种无人驾驶车辆,无人驾驶车辆包括上述的无人驾驶控制器。
在一些实施例中,无人驾驶车辆还包括摄像模块、运动测量模块、以太网通信模块、CAN通信模块和散热模块,所述摄像模块、所述运动测量模块、所述以太网通信模块、所述CAN通信模块和所述散热模块分别与所述安全微控制单元连接;
所述安全微控制单元还用于对所述摄像模块、所述运动测量模块、所述以太网通信模块、所述CAN通信模块和所述散热模块进行运行状态监控。
在一些实施例中,无人驾驶车辆还包括车速信号采集电路、方向盘转角信号采集电路、刹车信号采集电路、档位信号采集电路,所述车速信号采集电路、所述方向盘转角信号采集电路、所述刹车信号采集电路和所述档位信号采集电路分别与所述安全微控制单元连接;
所述安全微控制单元还用于对所述车速信号采集电路、所述方向盘转角信号采集电路、所述刹车信号采集电路和所述档位信号采集电路进行运行状态监控。
本公开实施例提供的无人驾驶控制器及无人驾驶车辆,无人驾驶控制器包括:安全微控制单元和处理器模块,处理器模块与安全微控制单元连接;安全微控制单元用于对处理器模块进行运行状态监控。从而大大提高了无人驾驶控制器的安全性和可靠性。
附图说明
附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。通过参考附图对详细示例实施例进行描述,以上和其他特征和优点对本领域技术人员将变得更加显而易见,在附图中:
图1为本公开实施例提供的一种无人驾驶控制器的结构示意图;
图2为图1中供电源的一种具体实施方式的示意图。
具体实施方式
为使本领域的技术人员更好地理解本公开的技术方案,下面结合附图对本公开提供的无人驾驶控制器及无人驾驶车辆进行详细描述。
在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本公开透彻和完整,并将使本领域技术人员充分理解本公开的范围。
如本文所使用的,术语“和/或”包括一个或多个相关列举条目的任何和所有组合。
本文所使用的术语仅用于描述特定实施例,且不意欲限制本公开。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其他特征、整体、步骤、操作、元件、组件和/或其群组。
本文所述实施例可借助本公开的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。因此,实施例不限于附图中所示的实施例,而是包括基于制造工艺而形成的配置的修改。因此,附图中例示的区具有示意性属性,并且图中所示区的形状例示了元件的区的具体形状,但并不旨在是限制性的。
除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
图1为本公开实施例提供的一种无人驾驶控制器的结构示意图,如图1所示,该无人驾驶控制器(ACU)包括:安全微控制单元1、处理器模块M,处理器模块M与安全微控制单元1连接;安全微控制单元1用于对处理器模块M进行运行状态监控。
在一些实施例中,处理器模块M包括第一处理器2和第二处理器3,第一处理器2和第二处理器3分别与安全微控制单元1连接。安全微控制单元1具体用于对第一处理器2和第二处理器3进行运行状态监控。在一些实施例中,处理器模块M中处理器的数量还可以不仅限于两个,还可以包括其他数量个处理器,本公开实施例对此不作限定。
本公开实施例中,无人驾驶控制器ACU应用于无人驾驶车辆,其中,处理器模块4用于进行环境感知、智能联网、定位、路径规划和车辆运行控制等。例如,获取摄像模块的图像,通过深度学习算法识别图像中的人、自行车、车辆、交通灯、道路指示牌、道路等公路上能够碰到的目标或障碍物。在一些实施例中,第一处理器2和第二处理器3均为现场可编程门阵列(FPGA)。
在一些实施例中,安全微控制单元1包括SPI总线接口和多个GPIO接口,第一处理器2包括Init_done接口、Error flag接口、Status out接口、Reset接口、GPIO接口和SPI总线接口,其中,第一处理器2的Init_done接口、Error flag接口、Status out接口、Reset接口、GPIO接口分别与安全微控制单元1的多个GPIO接口对应连接,安全微控制单元1的SPI总线接口与第一处理器2的SPI总线接口对应连接。基于上述接口连接,本公开实施例中,第一处理器2能够实时将自身当前运行状态报告给安全微控制单元1,安全微控制单元1可以基于硬件和/或软件对第一处理器2的运行状态进行实时监控。例如,安全微控制单元1通过监控Init_done接口、Error flag接口、Status out接口对第一处理器2的初始化是否正常、上电过程是否正常、时序的状态是否正常进行监控;安全微控制单元1通过GPIO接口与第一处理器2同步时钟和任务时序,并监控第一处理器2的内部软件运行时序是否正常;安全微控制单元1通过SIP总线接口监控第一处理器2的内部配置寄存器的状态是否发生异常、内核电源的状态是否正常、内部软件安全监控是否报告故障、内存管理和时间管理以及时序管理的状态是否出现异常以及从摄像模块处采集的摄像数据是否异常。当安全微控制单元1监控出第一处理器2的运行状态出现异常情况时,安全微控制单元1可通过强制第一处理器2执行复位、中断、断电或者模式转换等动作,以使得第一处理器2恢复正常运行状态。从而提高了无人驾驶控制器的安全性和可靠性。当安全微控制单元1无法使得第一处理器2恢复正常运行状态时,安全微控制单元1将第一处理器2的故障上报至无人驾驶车辆中的备用控制器、声光报警器等,以触发备用控制器、声光报警器、EPS、安全备份系统等执行相应的处理/应急机制。
同理,安全微控制单元1与第二处理器3的具体连接关系连接参见前述安全微控制单元1与第一处理器2之间的具体连接关系,此处不再赘述。本公开实施例中,第二处理器3实时将自身当前运行状态报告给安全微控制单元1,安全微控制单元1可以基于硬件和/或软件对第二处理器3的运行状态进行实时监控。例如,安全微控制单元1通过监控Init_done接口、Error flag接口、Status out接口对第二处理器3的初始化是否正常、上电过程是否正常、时序的状态是否正常进行监控;安全微控制单元1通过GPIO接口与第二处理器3同步时钟和任务时序,并监控第二处理器3的内部软件运行时序是否正常;安全微控制单元1通过SIP总线接口监控第二处理器3的内部配置寄存器的状态是否发生异常、内核电源的状态是否正常、内部软件安全监控是否报告故障、内存管理和时间管理以及时序管理的状态是否出现异常以及从摄像模块处采集的摄像数据是否异常。当安全微控制单元1监控出第二处理器3的运行状态出现异常情况时,安全微控制单元1可通过强制第二处理器3执行复位、中断、断电或者模式转换等动作,以使得第二处理器3恢复正常运行状态。从而提高了无人驾驶控制器的安全性和可靠性。当安全微控制单元1无法使得第二处理器3恢复正常运行状态时,安全微控制单元1将第二处理器3的故障上报至无人驾驶车辆中的备用控制器、声光报警器等,以触发备用控制器、声光报警器、EPS、安全备份系统等执行相应的处理/应急机制。
本公开实施例中,安全微控制单元1独立于无人驾驶控制器的主CPU(第一处理器2和第二处理器3)之外运行,用于对第一处理器2和第二处理器3的运行状态实施安全监控,能够及时发现第一处理器2和第二处理器3的故障并处理,保护故障现场,大大提高了无人驾驶控制器的安全性和可靠性。在一些实施例中,安全微控制单元1可采用至少满足国际功能安全标准ISO26262定义的ASIL-D级别的功能安全要求的微控制单元(MCU),能够进一步增强了无人驾驶控制器的安全性和可靠性。
在一些实施例中,无人驾驶控制器ACU还包括电源管理模块4,电源管理模块4与安全微控制单元1连接,用于对安全微控制单元1进行运行状态监控,安全微控制单元1还用于对电源管理模块4进行运行状态监控。
在一些实施例中,电源管理模块4为电源管理集成电路(PMIC),具有ASIL-D级别的安全等级。其中,电源管理模块4包括ROT接口,安全微控制单元1包括POR接口,安全微控制单元1的POR接口与电源管理模块4的ROT接口连接。安全微控制单元1与电源管理模块4之间具备相互监控的能力,安全微控制单元1与电源管理模块4之间能够相互将自身运行状态实时报告给对方,双方能够基于硬件和/或软件相互实施安全监控。
例如,安全微控制单元1可以通过电源管理模块4的INT中断监控接口、ERR错误监控接口监控电源管理模块4的内部状态机(State Machine)运行是否正常,如静态模式是否被唤醒、输出电源是否出现精度不足或者是否出现过温过载;安全微控制单元1还可以SPI总线周期性监控电源管理模块4内部自身监控的寄存器数据,以得知电源管理模块4是否出现输出电压过压、电源抖动或者振铃现象等故障。
例如,电源管理模块4通过SPI总线监控安全微控制单元1,安全微控制单元1正常运行时,周期性通过SPI总线发送给电源管理模块4其当前的状态是否正常,当前的状态可以包含安全微控制单元1关键内部错误如任务调度超时或者线程进程延迟等;电源管理模块4通过看门狗(WD)接口监控安全微控制单元1,安全微控制单元1正常运行时,周期性向WD接口发送喂狗信号,当安全微控制单元1出现运行失控、软件跑飞或者超出要求的时间窗口未给PMIC喂狗信号时,电源管理模块4则可以认为安全微控制单元1出现严重错误。
当安全微控制单元1监控出电源管理模块4的运行状态出现异常情况时,安全微控制单元1可以通过复位等手段强制电源管理模块4恢复正常状态;当电源管理模块4监控出安全微控制单元1的运行状态出现异常情况时,电源管理模块4可以通过复位等手段强制安全微控制单元1恢复正常状态。从而提高了无人驾驶控制器的安全等级。当安全微控制单元1无法使得电源管理模块4恢复正常状态时,安全微控制单元1将电源管理模块4的故障上报至无人驾驶车辆中的备用控制器、声光报警器等,以触发备用控制器、声光报警器等执行相应的处理/应急机制;同理,当电源管理模块4无法使得安全微控制单元1恢复正常状态时,上报故障,以触发相应的处理/应急机制。
本公开实施例中,电源管理模块4和安全微控制单元1构成安全岛硬件监控系统,满足ASIL-D级别的安全等级,独立于无人驾驶控制器的主CPU之外运行,从而大大提高了无人驾驶控制器的安全性和可靠性。
本公开实施例中,无人驾驶控制器还包括供电源5和处理器供电子系统6。其中,处理器供电子系统6与供电源5和处理器模块M连接,用于基于供电源5输出的供电电压向处理器模块M提供工作电压。
具体地,供电源5的输出端与处理器供电子系统6连接,以向处理器供电子系统6提供供电电压(如12V电压)。处理器供电子系统6包括多个电压输出接口,多个电压输出接口分别通过对应的电阻与处理器模块M连接,用以向处理器模块M输出处理器模块M所需的工作电压,例如,多个电压输出接口分别可以输出0.85V、0.9V、1.0V、1.2V、1.8V和3.3V电压,图中仅示出了三个电压输出接口分别通过电阻R7、R8和R9与处理器模块M连接,且该三个电压输出接口输出0.85V、1.2V和1.2V电压的情况。具体而言,处理器供电子系统6用于基于供电源5输出的供电电压向第一处理器2和第二处理器3提供各自所需的工作电压。
本公开实施例中,供电源5输出的供电电压为12V,第一处理器2和第二处理器3的工作电压根据实际情况确定,例如,第一处理器2和第二处理器3的工作电压可以为1.2V。
在一些实施例中,处理器供电子系统6内置有状态机(StateMachine),处理器供电子系统6还包括两路看门狗输入接口(WDI),两路WDI接口分别连接第一处理器2的GPIO接口和第二处理器3的GPIO接口,用于对第一处理器2和第二处理器3进行看门狗监控,若监控出第一处理器2或者第二处理器3运行失控,第一处理器2或者第二处理器3在要求的时间内无法向处理器供电子系统6提供喂狗信号时,处理器供电子系统6可以通过重新给处理器上电的手段,使得第一处理器2或者第二处理器3恢复正常运行状态。
在一些实施例中,安全微控制单元1还与处理器供电子系统6连接,用于对处理器供电子系统6进行运行状态监控。具体地,处理器供电子系统6还包括INT接口、FSOB接口、PGOOD接口、PWRON接口、EWARN接口和I2C接口,安全微控制单元1的多个GPIO接口分别与处理器供电子系统6的INT接口、FSOB接口、PGOOD接口、PWRON接口、EWARN接口和I2C接口对应连接。此外,安全微控制单元1还包括多对差分ADC采样接口DIFF_ADC_P和DIFF_ADC_N,每对差分ADC采样接口DIFF_ADC_P和DIFF_ADC_N分别连接于处理器供电子系统6上每个电压输出接口对应的电阻两端。
其中,基于上述接口连接,处理器供电子系统6能够实时将自身当前运行状态报告给安全微控制单元1,安全微控制单元1可以基于硬件和/或软件对处理器供电子系统6的运行状态进行实时监控。
例如,安全微控制单元1通过监控PGOOD接口对处理器供电子系统6的上电时序是否正常。安全微控制单元1通过监控INT接口、PWRON接口和EWARN接口反馈的处理器供电子系统6内部不同配置的故障,如电源精度错误、上电时间不准确等故障。安全微控制单元1通过监控I2C接口、FSOB接口对处理器供电子系统6进行Spikes、过压、欠压等电压输出异常监控。安全微控制单元1通过差分ADC采样接口采集对应的电阻两端的差分电压并计算对应的电流值,如果该电流值出现过流、瞬态电流浪涌或瞬态电流供电不足等此类问题,将会导致处理器模块4瞬间出现损坏或瞬间停止工作或瞬间出现运算值严重错误,将影响无人驾驶控制器对车辆控制的安全性;因此,安全微控制单元1通过监控该电流值,以监控该电流值是否出现过流、瞬态电流浪涌或瞬态电流供电不足等问题,可以提高无人驾驶控制器的安全性和可靠性。
本公开实施例中,安全微控制单元1也可以通过I2C接口配置处理器供电子系统6的各个电压输出的输出时序,还可以通过I2C接口控制处理器供电子系统6的电源打开或关闭。当安全微控制单元1监控出处理器供电子系统6的运行状态出现异常情况时,安全微控制单元1可通过复位等手段强制处理器供电子系统6恢复正常状态。当处理器供电子系统6的故障无法排除时,安全微控制单元1可将处理器供电子系统6的故障上报至无人驾驶车辆中的备用控制器、声光报警器等,以触发备用控制器、声光报警器、EPS、安全备份系统等等执行相应的处理/应急机制。
在一些实施例中,无人驾驶控制器还包括紧急应急供电子系统7,紧急应急供电子系统7与供电源5和电源管理模块4连接,供电源5与电源管理模块4连接。
具体地,电源管理模块4包括VST接口,供电源5的输出端与电源管理模块4的VST接口连接,用于向电源管理模块4输出供电电压,例如12V电压。紧急应急供电子系统7与电源管理模块4的VST接口连接。
其中,紧急应急供电子系统7用于在供电源5出现故障(如中断故障)时,基于预先存储的电量向电源管理模块4提供工作电压,以使电源管理模块4能够继续维持正常工作状态。其中,预先存储的电量为在供电源5出现故障前,紧急应急供电子系统7基于供电源5输出的供电电压(例如12V)所存储的电量。本公开实施例中,预先存储的电量至少能够使得电源管理模块4保持独立运行能力(正常工作能力)500毫秒,从而使得电源管理模块4能够保护所监控的对象出现的故障现场。
本公开实施例中,电源管理模块4还用于在所述供电源5未出现故障时,基于所述供电源5提供的供电电压向所述安全微控制单元1提供工作电压;在所述供电源5出现故障时,基于所述紧急应急供电子系统7提供的供电电压向所述安全微控制单元1提供工作电压。例如,安全微控制单元1的工作电压为3.3V、5V。因此,在供电源5出现故障(如中断故障)时,安全微控制单元1仍能够依靠电源管理模块4提供的工作电压保持正常工作,从而使得安全微控制单元1能够保护所监控的对象出现的故障现场。
此种情况下,由于供电源5出现故障(如中断故障),因此第一处理器2和第二处理器3的运行状态将受到影响。此时,安全微控制单元1用于利用电源管理模块4提供的工作电压监控第一处理器2和第二处理器3的运行状态,当监控到第一处理器2或第二处理器3的运行状态发生异常时,启动备用控制器。其中,备用控制器至少具有无人驾驶控制器中第一处理器和第二处理器的功能,能够用于控制无人驾驶车辆的运行。当监控到第一处理器2或第二处理器3的运行状态发生异常时,启动备用控制器,以使备用控制器接手无人驾驶车辆的控制权。
在一些实施例中,紧急应急供电子系统包括充电管理电源芯片和电容,当电容基于供电源5提供的供电电压充满电后不再继续充电,也不对外放电,当供电源5出现中断故障时,电容对外放电,以向电源管理模块4提供至少500毫秒的应急延迟工作能力。
图2为图1中供电源5的一种具体实施方式的示意图,在一些实施例中,如图2所示,供电源5包括供电电源51、主供电电路和备用供电电路,主供电电路的输入端和备用供电电路的输入端分别与供电电源51连接,主供电电路的输出端连接至汇合节点O,备用供电电路的输出端通过切换元件52连接至汇合节点O,汇合节点O与处理器供电子系统6和紧急应急供电子系统7连接。
其中,供电电源51用于向主供电电路和备用供电电路输出供电电压,例如供电电压为12V。切换元件52用于当主供电电路出现故障(例如中断故障)时,使备用供电电路与汇合节点O导通。本公开实施例中,在正常工作状态下,供电电源51通过主供电电路输出供电电压,当主供电电路出现如中断等故障时,通过切换元件52导通备用供电电路与汇合节点O,以自动切换至通过备用供电电路供电的模式,此时,供电电源51通过备用供电电路输出供电电压。切换过程中,不会出现短暂的电压跌落,满足了异构冗余的设计。
本公开实施例中,如图2所示,切换元件52为第一二极管,备用供电电路的输出端连接至第一二极管的正极,第一二极管的负极连接至汇合节点O。在正常工作状态下,供电电源51同时向主供电电路和备用供电电路输出供电电压,因此,第一二极管52的两端电压相同,故而不会导通备用供电电路,备用供电电路,处于无电流功耗状态,从而使得供电电源51输出的供电电压仅通过主供电电路传输至汇合节点O。而当主供电电路发生如中断等故障时,汇合节点O即二极管的负极的电压将发生改变,导致第一二极管的两端存在压差,使得第一二极管导通,进而使得备用供电电路与汇合节点O导通。此时,供电电源51通过备用供电电路输出供电电压至汇合节点O。
在一些实施例中,如图2所示,主供电电路包括第一连接器53、第一静电防护电路54、第一中断检测电路55和防反接保护电路56。其中,第一连接器53的输入端与供电电源51连接,第一静电防护电路54和第一中断检测电路55分别与第一连接器53的输出端连接,防反接保护电路56与第一静电防护电路54连接,防反接保护电路56还连接至汇合节点O。
如图2所示,备用供电电路包括第二连接器57、第二静电防护电路58和第二中断检测电路59,切换元件52还可用作备用供电电路的防反接保护电路。其中,第二连接器57的输入端与供电电源51连接,第二静电防护电路58与第二连接器57的输出端连接,切换元件52(第一二极管)的正极与第二静电防护电路58连接,第二中断检测电路59与切换元件52(第一二极管)的负极连接。
在一些实施例中,主供电电路的第一连接器53的输入端和备用供电电路的第二连接器57的输入端分别还可以通过连接无人驾驶车辆上的供电线缆实现12V供电输出。
在一些实施例中,如图2所示,安全微控制单元1还与第一中断检测电路55连接,用于监控第一中断检测电路55的运行状态。具体地,第一中断检测电路55包括第三电阻R3、第四电阻R4和第四电容C4,其中,第三电阻R3的一端与第一连接器53的输出端连接,第三电阻R3另一端与第四电阻R4的一端、第四电容C4的一端和安全微控制单元1的ADC接口连接,第四电阻R4的另一端和第四电容C4的另一端分别接地。例如,安全微控制单元1可通过对第一中断检测电路55进行差分输入ADC检测,以监控其所在主供电电路的中断故障。
在一些实施例中,如图2所示,安全微控制单元1还与第二中断检测电路59连接,用于监控第二中断检测电路59的运行状态。具体地,第二中断检测电路59包括第一电阻R1、第二电阻R2和第三电容C3,其中,第一电阻R1的一端与第一二极管52的负极连接,第一电阻R1另一端与第二电阻R2的一端、第三电容C3的一端和安全微控制单元1的ADC接口连接,第二电阻R2的另一端和第三电容C3的另一端分别接地。例如,安全微控制单元1可通过对第二中断检测电路59进行差分输入ADC检测,以监控其所在备用供电电路的中断故障。
在一些实施例中,如图2所示,第一静电防护电路54包括第二二极管60和第五电阻R5,第二二极管60的第一端接地,第二二极管60的第二端与第一连接器53的输出端连接,第五电阻R5的一端与第一连接器53的输出端连接,第五电阻R5的另一端与防反接保护电路56连接。
在一些实施例中,如图2所示,第五电阻R5的两端还与第一电流监控器61连接,第一电流监控器61用于监控流经第五电阻R5的电流值。在一些实施例中,第一电流监控器61采用型号为INA226AQDGSRQ1的电流监控器。如图2所示,安全微控制单元1还与第一电流监控器61连接,用于对第一电流监控器61的运行状态进行监控,例如,通过第一电流监控器61监控第五电阻R5的电流值是否正常。具体地,如图2所示,安全微控制单元1的I2C接口与第一电流监控器61的I2C接口连接,安全微控制单元1的GPIO接口与第一电流监控器61的Alert接口连接。
在一些实施例中,如图2所示,防反接保护电路56包括PMOS管64和二极管控制器65。其中,PMOS管64的第一极与第五电阻R5的另一端连接,PMOS管64的第二极连接至汇合节点O,PMOS管64的控制器与二极管控制器65连接,二极管控制器65用于控制PMOS管64的导通和关闭。在一些实施例中,二极管控制器65采用型号为LM74610QDGKRQ1的二极管控制器。
在一些实施例中,如图2所示,第二静电防护电路58包括第三二极管62和第六电阻R6,第三二极管62的第一端接地,第三二极管62的第二端与第二连接器57的输出端连接,第六电阻R6的一端与第二连接器57的输出端连接,第六电阻R5的另一端与切换元件52的正极连接。
在一些实施例中,如图2所示,第六电阻R6的两端还与第二电流监控器63连接,第二电流监控器63用于监控流经第六电阻R6的电流值。在一些实施例中,第二电流监控器63采用型号为INA226AQDGSRQ1的电流监控器。如图2所示,安全微控制单元1还与第二电流监控器63连接,用于对第二电流监控器63的运行状态进行监控,例如,通过第二电流监控器63监控第六电阻R6的电流值是否正常。具体地,如图2所示,安全微控制单元1的I2C接口与第二电流监控器63的I2C接口连接,安全微控制单元1的GPIO接口与第二电流监控器63的Alert接口连接。
在一些实施例中,供电源5还包括电压滤波电路67,电压滤波电路67的输入端连接至汇合节点O,电压滤波电路69的输出端与处理器供电子系统6、紧急应急供电子系统7和电源管理模块4连接。换言之,汇合节点O通过电压滤波电路67与处理器供电子系统6、紧急应急供电子系统7和电源管理模块4连接。当经主供电电路或者备用供电电路输出的供电电压到达汇合节点O后,经电压滤波电路67传输至节点A,节点A与处理器供电子系统6、紧急应急供电子系统7和电源管理模块4连接。其中,电压滤波电路67用于对流经的电压进行滤波处理。
本公开实施例中,通过安全微控制单元1实时对供电源5多方位的运行状态监控,满足ASIL-D级别的功能安全要求。当监控出主、备用供电电路的运行状态中任一方出现故障时,可通过CAN通信总线将故障上报至安全备份系统,以启动相应备份安全机制运行,并能够及时反馈车主及时进行车辆故障维修。即使无人驾驶控制器整个系统瘫痪,仍然能够通过安全备份系统,对无人驾驶控制器的供电源5进行状态的判断,满足了系统外的决策监控要求。
在实际环境中,由于车辆行驶过程中,往往由于振动、雨雪天气等环境造成车内具有较高湿度,滨海城市具有较高盐度腐蚀、高低温,容易造成形变材料老化等,此种环境下,车辆中的12V供电(KL.30电)线缆与无人驾驶控制器的供电源的对外连接器容易造成:松动、锈蚀、绝缘阻抗增大、阻抗控制漂移等故障。针对上述故障,本公开实施例通过对现有无人驾驶控制器的供电源进行改进,本公开实施例中,供电源5采用双路冗余供电电路设计,安全微控制单元1具备实施监控诊断其故障的能力,从而能够从功能安全、汽车电子产品可靠性的角度上基本杜绝上述故障对无人驾驶控制器安全性的影响。
本公开实施例中,如图1所示,电源管理模块4上设置有安全通道信号源,安全通道信号源与安全微控制单元1和外部备用控制器8连接。
其中,电源管理模块4还用于当监控出安全微控制单元1出现安全故障时,触发安全通道信号源向外部备用控制器8发出安全通道信号,以启动备用控制器。当安全微控制单元1出现安全故障时,备用控制器可通过控制横向、纵向执行器(如:电子方向盘助力系统、发动机管理系统)控制车辆运行,使得车辆缓慢运行甚至停止运行。
安全微控制单元1用于当监控出第一处理器2或第二处理器3出现安全故障时,触发安全通道信号源向外部备用控制器8发出安全通道信号,以启动备用控制器8。当安全微控制单元1出现安全故障时,备用控制器8可通过控制横向、纵向执行器(如:电子方向盘助力系统、发动机管理系统)控制车辆运行,使得车辆缓慢运行甚至停止运行。
具体而言,安全通道信号源包括两个安全通道信号源SS1和SS2,安全通道信号源SS1用于发出安全通道信号A,安全通道信号源SS2用于发出安全通道信号B。当电源管理模块4监控出安全微控制单元1出现安全故障时,触发安全通道信号源SS1向外部备用控制器8发出安全通道信号A,以通知备用控制器8安全微控制单元1出现安全故障,在一定时间后,若安全微控制单元1仍无法自行排除故障或者电源管理模块4无法通过复位等手段排除其故障时,电源管理模块4触发安全通道信号源SS2向外部备用控制器8发出安全通道信号B,以启动备用控制器,接手无人驾驶车辆的控制权。其中,安全通道信号A可以为低电平信号,例如,0V,安全通道信号B可以为高电平信号,例如,3.3V。在一些实施例中,安全通道信号源SS2与备用控制器8之间还设置有集电极开路驱动电平转换电路N,用以将高电平信号3.3V转换成12V高电平信号,以启动备用控制器。
同理,当安全微控制单元1监控出第一处理器2或者第二处理器3出现安全故障时,触发安全通道信号源SS1向外部备用控制器8发出安全通道信号A,以通知备用控制器8第一处理器2或者第二处理器3出现安全故障,在一定时间后,若第一处理器2或者第二处理器3仍无法自行排除故障或者安全微控制单元1无法通过复位等手段排除其故障时,安全微控制单元1触发安全通道信号源SS2向外部备用控制器8发出安全通道信号B,以启动备用控制器,接手无人驾驶车辆的控制权。
在一些实施例中,安全微控制单元1还与外部声光报警器18连接,当电源管理模块4监控出安全微控制单元1出现安全故障时,或者当安全微控制单元1监控出第一处理器2或第二处理器3出现安全故障时,安全通道信号还用于触发外部声光报警器发出声光报警。具体地,安全微控制单元1通过GPIO接口与外部声光报警器18连接。在一些实施例中,外部声光报警器18可以为仪表声光报警器。
本公开实施例中,安全微控制单元1包括多个对外接口,多个对外接口分别用于连接摄像模块9、运动测量模块10、以太网通信模块11、CAN通信模块12、散热模块13、车速信号采集电路14、方向盘转角信号采集电路15、刹车信号采集电路16和档位信号采集电路17;其中,摄像模块9作为传感器,用于感知无人驾驶车辆周围的物体、环境,为处理器模块M提供图像原始数据,以作为处理器模块M深度学习算法的数据来源;运动测量模块10用于提供车辆姿态(如当前车辆翻滚、俯仰、横摆等)的数据,以告知当前车辆是在转弯、上坡等;以太网通信模块11用于提供无人驾驶控制器与车辆上的其他控制器(如TBOX控制器)的数据通信接口;CAN通信模块12用于提供无人驾驶控制器与车辆上其他控制器(如VCU、eps、ESP等控制器)进行车辆控制数据的交互接口,为无人驾驶控制器控制车辆提供控制媒介;散热模块13用于向无人驾驶控制器提供散热功能。
本公开实施例中,安全微控制单元1还用于对摄像模块9、运动测量模块10、以太网通信模块11、CAN通信模块12、散热模块13、车速信号采集电路14、方向盘转角信号采集电路15、刹车信号采集电路16和档位信号采集电路17进行运行状态监控。其中,安全微控制单元1还能够控制散热模块13的工作,以及控制摄像模块9的开关。当安全微控制单元1监控出各模块和采集电路出现如中断故障等异常情况时,可通过复位等手段强制各模块、采集电路恢复正常运行状态,若故障无法排除,则向备用控制器、声光报警器等上报故障,并触发相应的应急机制。
在一些实施例中,摄像模块9包括摄像头91、高边模拟开关芯片92和串行器93,安全微控制单元1通过高边模拟开关芯片92与摄像头91连接,第一处理器2通过串行器93与摄像头91连接,第二处理器3通过串行器93与摄像头91连接。在一些实施例中,摄像头91包括FPD-LINK-ⅡFAKARA芯片,高边模拟开关芯片92采用型号为TLE75080-ESD的高边模拟开关芯片,串行器93采用FPD-LINK-2串行器(Deserializer)。具体地,安全微控制单元1的SPI总线接口与高边模拟开关芯片92的SPI总线接口连接,安全微控制单元1的GPIO接口与高边模拟开关芯片92的INT接口连接,安全微控制单元1的GPIO接口高边模拟开关芯片92的IDLE接口连接。安全微控制单元1监控摄像头模块9的运行状态,例如,安全微控制单元1通过专用高边模拟开关芯片92监控摄像头FAKARA接口的电气状态是否正常,安全微控制单元1通过与该高边模拟开关芯片92的SPI总线接口连接,能够监控端口处是否出现开路、过流、地漂移、阻抗不稳定等故障,同时,安全微控制单元1还可以通过IDLE接口设置摄像头FAKARA接口为空闲工作模式。
在一些实施例中,CAN通信模块12端口有一颗专用的CAN总线接口芯片,该芯片包括RX接口、TX接口、STB接口和ERR接口,安全微控制单元1的CAN_RX接口与该芯片的RX接口连接,安全微控制单元1的CAN_TX接口与该芯片的TX接口连接,安全微控制单元1的GPIO接口与该芯片的STB接口连接,安全微控制单元1的GPIO接口与该芯片的ERR接口连接。该芯片的ERR接口能够告知安全微控制单元1该路CAN总线出现Dominant-clamping、Time out、过压、欠压、过温、冷启动异常等故障。在一些实施例中,CAN总线接口芯片采用型号为TJA1043的CAN总线接口芯片。
在一些实施例中,散热模块13包括风扇驱动芯片和风扇,风扇驱动芯片的IN接口与安全微控制单元1的GPIO接口连接,风扇驱动芯片的SPI总线接口与安全微控制单元1的SPI总线接口连接。安全微控制单元1通过SPI总线接口与风扇驱动芯片进行通信,能够知道风扇出现抖动、过流、开路、地漂移、短路、过流过压等故障。
在一些实施例中,运动测量模块10为惯性测量单元(IMU),其至少满足ASIL-B级别的安全等级。其中,运动测量模块10的SPI总线接口与安全微控制单元1的SPI总线接口连接,运动测量模块10的Alerm接口与安全微控制单元1的INT_GPIO接口连接,运动测量模块10的Reset接口与安全微控制单元1的GPIO接口连接。安全微控制单元1通过SPI总线接口监控运动测量模块10出现的严重故障,如过流、过温、陀螺仪损坏、三轴出现物理损坏等故障。为保证故障发出的快速性,运动测量模块10中可以通过Alerm接口以最快速度告知安全微控制单元1自己出现了故障。
在一些实施例中,安全微控制单元1通过SPI总线与以太网通信模块11连接,并可以通过SPI总线得知以太网通信模块11出现的延迟、丢包等故障。
在一些实施例中,安全微控制单元1可以通过CAN总线获取车速信号、方向盘转角信号、刹车信号和档位信号。
在一些实施例中,车速信号采集电路14与安全微控制单元1的PWM_PULSE IN接口连接,用于向安全微控制单元1发送其采集的车速信号;方向盘转角信号采集电路15与安全微控制单元1的PWM_PULSE IN接口连接,用于向安全微控制单元1发送其采集的方向盘转角信号;刹车信号采集电路16与安全微控制单元1的GPIO接口连接,用于向安全微控制单元1发送其采集的刹车信号;档位信号采集电路17与安全微控制单元1的GPIO接口连接,用于向安全微控制单元1发送其采集的档位信号。因此,安全微控制单元1通过GPIO或PWM接口可以监控车速信号采集电路14、方向盘转角信号采集电路15、刹车信号采集电路16和档位信号采集电路17输出的信号,如果任一采集电路输出的信号长时间出现中断,则安全微控制单元1的PWM或GPIO处将无信号输入,安全微控制单元1即得知该采集电路的运行状态出现异常。
本公开实施例中,安全微控制单元1基于所监控的各个对象的运行状态,将整个无人驾驶控制器的安全模式分为六个等级模式,该六个等级模式包括正常运行、性能损失、一般错误、严重错误、安全错误和安全故障,针对每个等级模式,可以设定相应的处理机制或者应急机制。例如,如前所述,当安全微控制单元1监控出第一处理器2或者第二处理器3出现安全故障时,启动备用控制器接手车辆的控制权。其中,安全故障可以理解为威胁到驾驶安全的系统异常故障且通过所有复位等手段仍无法将系统恢复正常运行的异常故障。
例如,无人驾驶控制器所有功能模块均正常工作,整个电路板全功耗运行,所有工作时钟频率为最高,所有任务管理、线程以及进程运行均无故障,内存监控没有问题,安全微控制单元1在所有监控的回路中均未发现异常,则认为整个无人驾驶控制器处于正常运行等级模式。
例如,处理器供电子系统6、第一处理器2或者第二处理器3出现一定量的发热情况,但未影响任何功能,此时安全微控制单元1可以将开启散热模块13散热;摄像头采集的数据出现图像质量下降,但不影响无人驾驶控制器的功能实现,但影响整体性能指标,比如反应速度;运动测量模块10出现车身姿态判断不够准确,如转弯角度达不到0.1°的精度,但可满足0.5°精度,仍可以满足无人驾驶控制器的需求;CAN总线通信出现极低比例的错误帧,但不影响通信功能的实现;车速信号采集电路14、方向盘转角信号采集电路15、刹车信号采集电路16、档位信号采集电路17处于性能损失状态时,安全微控制单元1不用做任何事情,只是需要将监控以上的信号的监控采样频率提高。当出现以上等情况时,则认为整个无人驾驶控制器处于性能损失等级模式,此时电源管理模块4不需做任何处理。
例如,处理器供电子系统6、第一处理器2或者第二处理器3出现一定量的发热情况,在极低频率情况下影响功能实现,此时安全微控制单元1将开启散热模块13散热,此时安全微控制单元1可以提高对第一处理器2或者第二处理器3的故障监控的采样频率,重点监控第一处理器2或者第二处理器3;摄像头采集的图像正常工作是反馈给第一处理器2或者第二处理器3的图像为30帧/秒,其中出现了较低比例的图像无法使用,如抖动、电磁兼容等情况引起此类错误,但仍不影响无人驾驶控制器的整体功能,可将这种出现故障的图像直接丢弃;运动测量模块10出现车身姿态判断不够准确,偶尔出现超过正常运行的限制数据,但是安全微控制单元1可通过软件算法将此类问题过滤;CAN总线通信出现极低比例的错误帧,但不影响通信功能实现;车速信号采集电路、方向盘转角信号采集电路、刹车信号采集电路、档位信号采集电路处于一般错误状态时,安全微控制单元1需要将此类故障记录,并记录发生时间存储在芯片内部的存储空间中。当出现以上等情况时,则认为整个无人驾驶控制器处于一般错误等级模式,此时电源管理模块4不需做任何处理。
例如,处理器供电子系统6、第一处理器2或者第二处理器3出现逻辑运算混乱、时序错误问题、图像数据流出现严重超时、或数据流时间出混乱,但仍未对ACU车辆控制的安全性造成影响;摄像头图像正常工作是反馈给第一处理器2或者第二处理器3的图像为30帧/秒,其中出现了较高比例的图像无法使用,如抖动、摄像头线缆出现接触不良、严重电磁兼容问题等情况引起此类错误,影响ACU整体功能,软件补偿方法已经无法解决;运动测量模块10出现车身姿态判断不够准确,持续超过正常运行的限制数据,安全微控制单元1无法通过软件算法将此类问题过滤,但仍未对ACU车辆控制的安全性造成影响;CAN总线通信出现较高比例的错误帧,影响通信功能实现,但仍未影响到安全CAN通信通道;但仍未对ACU车辆控制的安全性造成影响;车速信号采集电路、方向盘转角信号采集电路、刹车信号采集电路、档位信号采集电路处于严重错误状态时,安全微控制单元1需要将此类故障记录,并记录发生时间存储在芯片内部的存储空间中,并通过CAN总线上发送过来的相关数据与车速信号采集电路、方向盘转角信号采集电路、刹车信号采集电路、档位信号采集电路发送过来的数据进行相互校验,判断哪一路的数据出现了问题。当出现以上等情况时,则认为整个无人驾驶控制器处于严重错误等级模式,此时电源管理模块4不需做任何处理。
例如,处理器供电子系统6、第一处理器2或者第二处理器3出现逻辑运算混乱、时序错误问题、图像数据流出现严重超时或数据流时间出混乱,已经对ACU车辆控制的安全性造成影响;摄像头的图像正常工作是反馈给第一处理器2或者第二处理器3的图像为30帧/秒,其中出现了非常高比例的图像无法使用,如持续抖动、摄像头线缆出现严重接触不良、严重电磁兼容问题等情况引起此类错误,导致ACU大部分功能丢失,软件补偿方法已经无法解决;影响对前方车辆距离、相对速度判断、相对角度判断,影响车辆驾驶安全;运动测量模块10出现车身姿态判断不够准确,持续超过正常运行的限制数据,安全微控制单元1无法通过软件算法将此类问题过滤,已经对ACU车辆控制的安全性造成影响;CAN总线通信出现非常高比例的错误帧,影响通信功能实现,但仍未影响到安全CAN通信通道,已经对ACU车辆控制的安全性造成影响;车速信号采集电路、方向盘转角信号采集电路、刹车信号采集电路、档位信号采集电路处于安全错误状态时,安全微控制单元1需要将此类故障记录,并记录发生时间存储在芯片内部的存储空间中;由于故障已经比较严重,影响安全驾驶,直接丢弃出现问题的CAN总线通道,出现问题的CAN总线通道数据完全拒收。当出现以上等情况时,则认为整个无人驾驶控制器处于安全错误等级模式,此时电源管理模块4不需做任何处理,电源管理模块4和安全微控制单元1仍能够正常工作,安全通道信号仍未未被出发,此种错误安全微控制单元1可以触发控制车辆在设定时间的窗口内如10S内使车辆缓慢停下。
例如,处理器供电子系统6、第一处理器2或者第二处理器3出现逻辑运算混乱、时序错误问题、图像数据流出现严重超时或数据流时间出混乱,已经对ACU车辆控制的安全性造成严重影响;必须关闭第一处理器2或者第二处理器3的运行;摄像头完全损坏,影响对前方车辆距离、相对速度判断、相对角度判断,影响车辆驾驶安全;运动测量模块10的数据基本无法使用,影响驾驶安全;CAN总线通信出现大量的错误帧,影响通信功能实现,安全CAN通信通道也出现了错误帧或通信中断情况;车速信号采集电路、方向盘转角信号采集电路、刹车信号采集电路、档位信号采集电路处于安全故障状态时,完全丢失功能;电源管理模块4给安全微控制单元1的供电出现异常,如电源管理模块4给安全微控制单元1的3.3V、5V供电出现过压、欠压、短路或者关闭等情况,电源管理模块4给安全微控制单元1输出的INT中断监控接口或者ERR错误监控接口均被置位,说明电源管理模块4已经不可信任;安全微控制单元1出现异常,安全微控制单元1给电源管理模块4提供的看门狗喂狗信号超出窗口,电源管理模块4认为安全微控制单元1已经运行失控;安全微控制单元1或者安全微控制单元1已经出现了运行错误,安全通道信号被触发。当出现以上等情况时,则认为整个无人驾驶控制器处于安全故障等级模式,此种情况下,电源管理模块4内部的安全状态机会直接触发安全通道信号源SS1、SS2信号,告知备份控制器无人驾驶控制器已经完全失控,此时声光报警器被安全通道信号触发,无人驾驶控制器交出车辆的控制权限,车辆立即进入安全状态,将所有权限交给备份控制器,不需要无人驾驶控制器内部任何软件参与,车辆被备用控制器控制紧急停止运行。
本公开实施例所提供的无人驾驶控制器的技术方案中,无人驾驶控制器包括:安全微控制单元和处理器模块,处理器模块与安全微控制单元连接;安全微控制单元用于对处理器模块进行运行状态监控。从而大大提高了无人驾驶控制器的安全性和可靠性。
本公开实施例还提供了一种无人驾驶车辆,该无人驾驶车辆包括上述的无人驾驶控制器。
具体地,如图1所示,该无人驾驶车辆还包括备用控制器8、声光报警器18、摄像模块9、运动测量模块10、以太网通信模块11、CAN通信模块12、散热模块13、车速信号采集电路14、方向盘转角信号采集电路15、刹车信号采集电路16、档位信号采集电路17。其中,摄像模块9、运动测量模块10、以太网通信模块11、CAN通信模块12、散热模块13、车速信号采集电路14、方向盘转角信号采集电路15、刹车信号采集电路16、档位信号采集电路17分别与安全微控制单元1连接。安全微控制单元1用于对摄像模块9、运动测量模块10、以太网通信模块11、CAN通信模块12、散热模块13、车速信号采集电路14、方向盘转角信号采集电路15、刹车信号采集电路16、档位信号采集电路17进行运行状态监控。
此外,关于该无人驾驶控制器的描述可参见前述对无人驾驶控制器的描述,此处不再具体赘述。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本文已经公开了示例实施例,并且虽然采用了具体术语,但它们仅用于并仅应当被解释为一般说明性含义,并且不用于限制的目的。在一些实例中,对本领域技术人员显而易见的是,除非另外明确指出,否则可单独使用与特定实施例相结合描述的特征、特性和/或元素,或可与其他实施例相结合描述的特征、特性和/或元件组合使用。因此,本领域技术人员将理解,在不脱离由所附的权利要求阐明的本公开的范围的情况下,可进行各种形式和细节上的改变。
Claims (15)
1.一种无人驾驶控制器,包括:安全微控制单元和处理器模块,所述处理器模块与所述安全微控制单元连接;
所述安全微控制单元用于对所述处理器模块进行运行状态监控;
所述处理器模块包括电源管理模块;所述电源管理模块与所述安全微控制单元连接,用于对所述安全微控制单元进行运行状态监控;所述安全微控制单元还用于对所述电源管理模块进行运行状态监控;
其中,所述电源管理模块上设置有第一安全通道信号源和第二安全通道信号源;所述第一安全通道信号源与外部备用控制器直接连接;所述第二安全通道信号源通过集电极开路驱动电平转换电路与所述外部备用控制器连接;所述电源管理模块,用于在监控到所述安全微控制单元出现安全故障的情况下,触发所述第一安全通道信号源向所述外部备用控制器发出第一安全通道信号;其中,所述第一安全通道信号为低电平信号;以及还用于:在预定时长后,若所述安全微控制单元无法排除故障,则触发所述第二安全通道信号源向所述外部备用控制器发出第二安全通道信号,以启动外部备用控制器;其中,所述第二安全通道信号为高电平信号。
2.根据权利要求1所述的无人驾驶控制器,其中,所述处理器模块还包括第一处理器和第二处理器,所述第一处理器和所述第二处理器分别与所述安全微控制单元连接;
所述安全微控制单元用于对所述第一处理器和所述第二处理器进行运行状态监控。
3.根据权利要求2所述的无人驾驶控制器,其中,还包括供电源和处理器供电子系统;
所述处理器供电子系统与所述供电源和所述处理器模块连接,用于基于所述供电源输出的供电电压向所述处理器模块提供工作电压;
所述安全微控制单元还与所述处理器供电子系统连接,用于对所述处理器供电子系统进行运行状态监控。
4.根据权利要求3所述的无人驾驶控制器,其中,还包括紧急应急供电子系统,所述紧急应急供电子系统与所述供电源和所述电源管理模块连接,所述供电源与所述电源管理模块连接;
所述紧急应急供电子系统用于在所述供电源出现故障时,基于预先存储的电量向所述电源管理模块提供供电电压;
所述电源管理模块还用于在所述供电源未出现故障时,基于所述供电源提供的供电电压向所述安全微控制单元提供工作电压;在所述供电源出现故障时,基于所述紧急应急供电子系统提供的供电电压向所述安全微控制单元提供工作电压;
所述安全微控制单元具体用于利用所述电源管理模块提供的工作电压监控所述第一处理器和所述第二处理器的运行状态,当监控到所述第一处理器或所述第二处理器的运行状态发生异常时,启动备用控制器。
5.根据权利要求4所述的无人驾驶控制器,其中,所述供电源包括供电电源、主供电电路和备用供电电路,所述主供电电路的输入端和所述备用供电电路的输入端分别与所述供电电源连接,所述主供电电路的输出端连接至汇合节点,所述备用供电电路的输出端通过切换元件连接至所述汇合节点,所述汇合节点与所述处理器供电子系统和所述紧急应急供电子系统连接;
所述切换元件用于当所述主供电电路出现故障时,使所述备用供电电路与所述汇合节点导通。
6.根据权利要求5所述的无人驾驶控制器,其中,所述切换元件为第一二极管,所述备用供电电路的输出端连接至所述第一二极管的正极,所述第一二极管的负极连接至所述汇合节点。
7.根据权利要求6所述的无人驾驶控制器,其中,所述主供电电路包括第一连接器、第一静电防护电路、第一中断检测电路和防反接保护电路,第一连接器的输入端与供电电源连接,第一静电防护电路和第一中断检测电路分别与第一连接器的输出端连接,防反接保护电路与第一静电防护电路连接,防反接保护电路还连接至汇合节点;
所述安全微控制单元还与所述第一中断检测电路连接,用于监控所述中断检测电路的运行状态。
8.根据权利要求6所述的无人驾驶控制器,其中,备用供电电路包括第二连接器、第二静电防护电路和第二中断检测电路,第二连接器的输入端与供电电源连接,第二静电防护电路与第二连接器的输出端连接,第一二极管的正极与第二静电防护电路连接,第二中断检测电路与第一二极管的负极连接;
所述安全微控制单元还与所述第二中断检测电路连接,用于监控第二中断检测电路的运行状态。
9.根据权利要求6所述的无人驾驶控制器,其中,所述供电源还包括电压滤波电路,所述电压滤波电路的输入端连接至所述汇合节点,所述电压滤波电路的输出端与所述处理器供电子系统、所述紧急应急供电子系统和所述电源管理模块连接。
10.根据权利要求1所述的无人驾驶控制器,其中,所述电源管理模块上设置有安全通道信号源,所述第一安全通道信号源和所述第二安全通道信号源属于所述安全通道信号源;所述处理器模块还包括第一处理器和第二处理器,所述安全微控制单元和外部备用控制器连接;
所述安全微控制单元用于当监控出所述第一处理器或所述第二处理器出现安全故障时,触发所述安全通道信号源向所述外部备用控制器发出安全通道信号,以启动所述外部备用控制器。
11.根据权利要求1至10任一所述的无人驾驶控制器,其中,所述电源管理模块为PMIC。
12.根据权利要求2至10任一所述的无人驾驶控制器,其中,所述第一处理器和所述第二处理器均为FPGA。
13.一种无人驾驶车辆,包括权利要求1至12任一所述的无人驾驶控制器。
14.根据权利要求13所述的无人驾驶车辆,其中,还包括摄像模块、运动测量模块、以太网通信模块、CAN通信模块和散热模块,所述摄像模块、所述运动测量模块、所述以太网通信模块、所述CAN通信模块和所述散热模块分别与所述安全微控制单元连接;
所述安全微控制单元还用于对所述摄像模块、所述运动测量模块、所述以太网通信模块、所述CAN通信模块和所述散热模块进行运行状态监控。
15.根据权利要求13所述的无人驾驶车辆,其中,还包括车速信号采集电路、方向盘转角信号采集电路、刹车信号采集电路、档位信号采集电路,所述车速信号采集电路、所述方向盘转角信号采集电路、所述刹车信号采集电路和所述档位信号采集电路分别与所述安全微控制单元连接;
所述安全微控制单元还用于对所述车速信号采集电路、所述方向盘转角信号采集电路、所述刹车信号采集电路和所述档位信号采集电路进行运行状态监控。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811646749.8A CN109709963B (zh) | 2018-12-29 | 2018-12-29 | 无人驾驶控制器及无人驾驶车辆 |
| EP19219831.5A EP3674845B1 (en) | 2018-12-29 | 2019-12-27 | Controller for driverless vehicle, and driverless vehicle |
| US16/728,575 US20200207374A1 (en) | 2018-12-29 | 2019-12-27 | Controller for driverless vehicle, and driverless vehicle |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811646749.8A CN109709963B (zh) | 2018-12-29 | 2018-12-29 | 无人驾驶控制器及无人驾驶车辆 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109709963A CN109709963A (zh) | 2019-05-03 |
| CN109709963B true CN109709963B (zh) | 2022-05-13 |
Family
ID=66260293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811646749.8A Active CN109709963B (zh) | 2018-12-29 | 2018-12-29 | 无人驾驶控制器及无人驾驶车辆 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20200207374A1 (zh) |
| EP (1) | EP3674845B1 (zh) |
| CN (1) | CN109709963B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110053630B (zh) * | 2019-06-06 | 2021-09-03 | 百度在线网络技术(北京)有限公司 | 车辆控制方法及装置 |
| CN110276959A (zh) * | 2019-06-26 | 2019-09-24 | 奇瑞汽车股份有限公司 | 交通事故的处理方法、装置及存储介质 |
| CN110488808A (zh) * | 2019-07-12 | 2019-11-22 | 北京合众思壮科技股份有限公司 | 自动驾驶方法及智能控制天线 |
| CN110347081B (zh) * | 2019-07-15 | 2021-03-16 | 天津英创汇智汽车技术有限公司 | 车辆的电子控制装置、车辆和车辆行驶状态的控制方法 |
| CN110673584B (zh) * | 2019-10-14 | 2021-10-01 | 上海拿森汽车电子有限公司 | 一种电动助力刹车系统的可靠性检测方法及装置 |
| EP4045373A4 (en) * | 2019-10-16 | 2023-11-15 | LHP, Inc. | VEHICLE SECURITY MONITORING SYSTEM |
| DE102019215989A1 (de) * | 2019-10-17 | 2021-04-22 | Vitesco Technologies GmbH | Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems |
| CN110816495A (zh) * | 2019-11-09 | 2020-02-21 | 珠海骏驰科技有限公司 | 一种40码低速智能驾驶安全系统 |
| CN111127700A (zh) * | 2019-12-13 | 2020-05-08 | 苏州智加科技有限公司 | 一种自动驾驶汽车的系统指标监控系统 |
| US11726124B2 (en) * | 2019-12-26 | 2023-08-15 | Tusimple, Inc. | System-level malfunction indicator in autonomous vehicles |
| CN113574502A (zh) * | 2020-02-12 | 2021-10-29 | 深圳元戎启行科技有限公司 | 无人驾驶车辆操作系统的数据采集方法和装置 |
| CN110955571B (zh) * | 2020-02-20 | 2020-07-03 | 南京芯驰半导体科技有限公司 | 面向车规级芯片功能安全的故障管理系统 |
| CN111506067A (zh) * | 2020-04-20 | 2020-08-07 | 上海电子信息职业技术学院 | 智能模型车 |
| CN111605562A (zh) * | 2020-05-06 | 2020-09-01 | 东风汽车集团有限公司 | 智能驾驶车辆的安全控制系统及方法 |
| CN112787645B (zh) * | 2021-01-13 | 2023-05-02 | 拿森汽车科技(杭州)有限公司 | 一种复位控制电路及车辆 |
| JP7472817B2 (ja) * | 2021-02-12 | 2024-04-23 | 株式会社デンソー | データ処理システム |
| CN112977467B (zh) * | 2021-02-25 | 2022-09-23 | 沃行科技(南京)有限公司 | 一种车端无人化的远程故障复位方法 |
| CN113325827B (zh) * | 2021-06-09 | 2022-07-19 | 深圳朗道智通科技有限公司 | 一种具有主动保护功能的无人驾驶汽车看门狗系统 |
| CN114475477B (zh) * | 2022-01-19 | 2023-12-29 | 白犀牛智达(北京)科技有限公司 | 一种无人驾驶车及其低功耗上下电控制装置和方法 |
| CN114238997B (zh) * | 2022-02-23 | 2022-05-10 | 国汽智控(北京)科技有限公司 | 基于车辆应用权限的资源调用方法、装置和电子设备 |
| CN114604260A (zh) * | 2022-05-11 | 2022-06-10 | 青岛慧拓智能机器有限公司 | 用于无人车的域控制器及域控制装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105446851A (zh) * | 2014-09-27 | 2016-03-30 | 研祥智能科技股份有限公司 | 一种处理器监控方法和系统、用于监控处理器的mcu |
| CN106331975A (zh) * | 2016-08-18 | 2017-01-11 | 上海智臻智能网络科技股份有限公司 | 用于智能语音交互设备的故障检测方法、装置及系统 |
| CN106557145A (zh) * | 2015-09-25 | 2017-04-05 | 广达电脑股份有限公司 | 断电保护系统及其方法 |
| CN106933690A (zh) * | 2017-02-27 | 2017-07-07 | 北京博纳电气股份有限公司 | 一种基于mcu的硬件看门狗实现方法 |
| CN107908186A (zh) * | 2017-11-07 | 2018-04-13 | 驭势科技(北京)有限公司 | 用于控制无人驾驶车辆运行的方法及系统 |
| CN207382046U (zh) * | 2017-10-11 | 2018-05-18 | 利德世普科技有限公司 | 一种基站供电系统的自动化切换装置 |
| CN207389116U (zh) * | 2017-10-30 | 2018-05-22 | 长兴智创长青环保科技有限公司 | 一种无人驾驶汽车运行状态监控及预警装置 |
| CN108205279A (zh) * | 2017-12-08 | 2018-06-26 | 联创汽车电子有限公司 | 异构多芯片智能驾驶控制器 |
| CN108845577A (zh) * | 2018-07-13 | 2018-11-20 | 武汉超控科技有限公司 | 一种嵌入式自动驾驶控制器及其安全监控方法 |
| CN109032823A (zh) * | 2018-05-30 | 2018-12-18 | 出门问问信息科技有限公司 | 一种语音模块异常自恢复的方法及装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5696679A (en) * | 1995-06-09 | 1997-12-09 | Ford Global Technologies, Inc. | Integrated electronic control of pawl-gear park function of an automatic transmission |
| DE10163655A1 (de) * | 2001-12-21 | 2003-07-03 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs |
| DE102008001145A1 (de) * | 2008-04-14 | 2009-10-15 | Robert Bosch Gmbh | Notenergieversorgungsvorrichtung für ein Hybridfahrzeug |
| KR102207324B1 (ko) * | 2014-08-04 | 2021-01-27 | 현대모비스 주식회사 | 무선 전력전송 장치의 인터페이스 |
| CN204631501U (zh) * | 2015-04-01 | 2015-09-09 | 天津易众腾动力技术有限公司 | 基于双mpu的整车控制器 |
| CN106154894A (zh) * | 2015-04-01 | 2016-11-23 | 天津易众腾动力技术有限公司 | 基于双mpu的整车控制器及其安全监控方法 |
| EP3153970A1 (en) * | 2015-10-06 | 2017-04-12 | Autoliv Development AB | A vehicle safety electronic control system |
| DE102016220197A1 (de) * | 2016-10-17 | 2018-04-19 | Robert Bosch Gmbh | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug |
| JP6441505B2 (ja) * | 2016-10-31 | 2018-12-19 | 新電元工業株式会社 | 制御装置、および、制御装置の制御方法 |
| CN206264816U (zh) * | 2016-11-25 | 2017-06-20 | 浙江吉利控股集团有限公司 | 一种电动汽车电机控制器 |
| US10737737B2 (en) * | 2017-05-31 | 2020-08-11 | Zoox, Inc. | Vehicle with interchangeable drive modules |
| US10671067B2 (en) * | 2018-01-15 | 2020-06-02 | Qualcomm Incorporated | Managing limited safe mode operations of a robotic vehicle |
-
2018
- 2018-12-29 CN CN201811646749.8A patent/CN109709963B/zh active Active
-
2019
- 2019-12-27 US US16/728,575 patent/US20200207374A1/en active Pending
- 2019-12-27 EP EP19219831.5A patent/EP3674845B1/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105446851A (zh) * | 2014-09-27 | 2016-03-30 | 研祥智能科技股份有限公司 | 一种处理器监控方法和系统、用于监控处理器的mcu |
| CN106557145A (zh) * | 2015-09-25 | 2017-04-05 | 广达电脑股份有限公司 | 断电保护系统及其方法 |
| CN106331975A (zh) * | 2016-08-18 | 2017-01-11 | 上海智臻智能网络科技股份有限公司 | 用于智能语音交互设备的故障检测方法、装置及系统 |
| CN106933690A (zh) * | 2017-02-27 | 2017-07-07 | 北京博纳电气股份有限公司 | 一种基于mcu的硬件看门狗实现方法 |
| CN207382046U (zh) * | 2017-10-11 | 2018-05-18 | 利德世普科技有限公司 | 一种基站供电系统的自动化切换装置 |
| CN207389116U (zh) * | 2017-10-30 | 2018-05-22 | 长兴智创长青环保科技有限公司 | 一种无人驾驶汽车运行状态监控及预警装置 |
| CN107908186A (zh) * | 2017-11-07 | 2018-04-13 | 驭势科技(北京)有限公司 | 用于控制无人驾驶车辆运行的方法及系统 |
| CN108205279A (zh) * | 2017-12-08 | 2018-06-26 | 联创汽车电子有限公司 | 异构多芯片智能驾驶控制器 |
| CN109032823A (zh) * | 2018-05-30 | 2018-12-18 | 出门问问信息科技有限公司 | 一种语音模块异常自恢复的方法及装置 |
| CN108845577A (zh) * | 2018-07-13 | 2018-11-20 | 武汉超控科技有限公司 | 一种嵌入式自动驾驶控制器及其安全监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200207374A1 (en) | 2020-07-02 |
| EP3674845A1 (en) | 2020-07-01 |
| EP3674845B1 (en) | 2022-05-04 |
| CN109709963A (zh) | 2019-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109709963B (zh) | 无人驾驶控制器及无人驾驶车辆 | |
| US7907378B2 (en) | Automatic detection of a CMOS device in latch-up and cycling of power thereto | |
| US9372774B2 (en) | Redundant computing architecture | |
| JP7227844B2 (ja) | バッテリ監視装置及び電動車両の制御装置 | |
| CN1728044A (zh) | 一种自动掉电重启装置 | |
| EP3290256B1 (en) | Overcurrent detection device, energy storage apparatus, and current detection method | |
| CN107482590B (zh) | 一种igbt模块的驱动与故障保护电路 | |
| CN104734580A (zh) | 无刷电机的双余度控制系统及方法 | |
| WO2018016225A1 (ja) | 車載制御装置 | |
| CN111063290A (zh) | 一种驱动电路及驱动方法、显示面板 | |
| CN107433977B (zh) | 具有看门狗监控功能的电动助力转向系统及其控制方法 | |
| JP6983991B2 (ja) | 電池制御装置 | |
| JP2013200714A (ja) | 監視装置および車載型電子制御装置 | |
| WO2021223437A1 (zh) | 电调装置及无人飞行器 | |
| CN220323755U (zh) | 一种适用于高海拔无人驾驶矿卡的控制器 | |
| US11223195B2 (en) | Control device and method for power supply to EPS in vehicle | |
| US8868980B2 (en) | Monitoring circuit | |
| CN105320028A (zh) | 负载控制备用信号生成电路 | |
| JP2010139308A (ja) | 断線検出回路 | |
| ES2791952T3 (es) | Dispositivo de vigilancia externo con soporte de regeneración inversa integrado | |
| US6615146B1 (en) | Failure detection of an isolation device with PFA signal generation in a redundant power supply system | |
| JP6627598B2 (ja) | 車載電源装置 | |
| US9274909B2 (en) | Method and apparatus for error management of an integrated circuit system | |
| US10712736B2 (en) | Controlling an aircraft comprising a plurality of loadable configuration sever data based on detecting one or more diagnostic test interfaces | |
| KR20210057658A (ko) | 배터리 시스템을 위한 제어 장치, 및 이를 포함하는 배터리 시스템 및 차량 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211012 Address after: 105 / F, building 1, No. 10, Shangdi 10th Street, Haidian District, Beijing 100085 Applicant after: Apollo Intelligent Technology (Beijing) Co.,Ltd. Address before: 100085 Baidu Building, 10 Shangdi Tenth Street, Haidian District, Beijing Applicant before: BAIDU ONLINE NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |