CN112406892B - 一种智能网联汽车感知决策模块功能安全和网络安全内生保障方法 - Google Patents

Abstract

本发明公开了一种智能网联汽车感知决策模块功能安全和网络安全内生保障方法，包含以下步骤：设计并实现四个功能相同且具有一定异构度的感知决策单元，并将其部署在车辆上；四个单元分别根据感知到的信息推演出实时的车辆控制决策结果；裁决器根据其中三个感知决策单元的决策结果进行精确裁决和近似裁决；最终根据裁决器的不同裁决结果，车辆执行CAN命令，或者对异常单元进行替换并重新裁决，或者按照故障模式运行直至停车。本发明方法采用内生安全的思路，为智能网联汽车提供一种功能安全和网络安全一体化增强的新方案。

Description

一种智能网联汽车感知决策模块功能安全和网络安全内生保 障方法

技术领域

本发明属于智能网联汽车安全保障领域，具体涉及一种智能网联汽车感知决策模块功能安全功能安全和网络安全的内生保障方法。

背景技术

智能网联汽车允许车辆借助车载传感器感知其周围环境，同时利用车载通信模块与周围车辆和路边单元进行通信以获得实时路况。随后，车载系统通过分析其感知和通信得到的各种数据做出决策，以确定车辆当前是否需要加速、减速转向等。车载系统最后将其决策结果以CAN指令的形式发送至车辆CAN总线，进而实现对车辆控制，以达到辅助驾驶甚至自动驾驶的目的。上述的感知、通信和决策系统通常被称为车辆的感知决策模块，是智能网联汽车的关键组件。

随着人工智能技术和通信技术的不断发展，汽车的智能化和网联化程度也越来越高，与此同时，智能网联汽车的发展也面临着功能安全和网络安全的双重挑战。首先，随着汽车系统复杂度的提高，其软硬件系统发生故障的风险也越来越高。因此，汽车需要避免因电气/电子系统故障而导致的不合理风险，这一要求被称为功能安全。其次，由于智能网联汽车接入了网络，从而有更多的暴露面，也更容易遭受网络攻击。因此，智能网联汽车需要避免因网络攻击而被敌手侵入车辆系统，进而危害车辆安全和人身安全。这一安全性要求则被称为网络安全。

通常来说，在保证汽车不遭受网络攻击的同时，往往会增加系统软硬件设备的复杂程度，从而导致汽车功能安全部分遭到减弱。因此，如何同时增强智能网联汽车的功能安全和网络安全是智能网联汽车安全领域面临的一个难题。

发明内容

为了解决现有技术问题，本发明的目的在于克服已有技术存在的不足，提供一种智能网联汽车感知决策模块功能安全和网络安全内生保障方法，针对智能网联汽车功能安全和网络安全难以同时增强的问题，提供一种感知决策模块的功能安全和网络安全内生保障方法。该方法采用内生安全的思想，通过实现感知决策模块的多个异构单元，来同时增强其功能安全和网络安全能力，以抵御已知和未知的系统故障和各种网络攻击。

为达到上述发明创造目的，本发明采用如下技术方案：

一种智能网联汽车感知决策模块功能安全和网络安全内生保障方法，包括以下步骤：

(1)设计并实现异构的多个感知决策单元，并将其部署在车辆上，多个感知决策单元的主要特征包括：

(1.1)包含一个高等级感知决策单元和多个相对低等级的感知决策单元；所述的高等级感知决策单元支持SAE L3、L4或L5自动驾驶，相对低等级的感知决策单元支持SAEL3或L2自动驾驶；

(1.2)所述高等级的感知决策单元作为整车自动驾驶的主大脑，具备所述高等级自动驾驶的支持SAE L3、L4或L5自动驾驶所需的组件和功能，包括光探测和测距LIDAR、无线电探测和测距雷达、摄像机、全球定位系统GPS，惯性测量单元IMU、里程表传感器，交通信号检测子系统TSD、移动物体跟踪子系统MOT、Mapper子系统、Localizer子系统；接收各种传感器数据并进行信息融合，得到汽车完成任务所需要的信息，包括行人、车辆、障碍物的信息；车道线、可行驶区域、交通标志和信号灯信息；基于GPS和IMU惯性导航的无人车定位信息、地图信息；此外，主大脑在上述感知信息基础上，结合道路网络、交通规则、汽车动力学的先验信息，形成包括Route规划、Path规划、行为选择、运动规划、避障和控制决策；

(1.3)所述多个相对低等级的感知决策单元应具备所述低等级自动驾驶支持SAEL2或L3自动驾驶所需的组件和感知功能，包括无线电探测和测距雷达、摄像机、L2或L3自动驾驶的传感器和障碍物检测、碰撞预警、车道检测和车道偏离预警；

(1.4)所述高等级感知决策单元的是1个L4级自动驾驶感知决策单元，该单元具备1.2节所述感知和规划功能，形成自动驾驶的决策结果，并最终送往汽车的各个ECU执行部件以实现对汽车的控制，设决策结果为：F＝{x,y,z,w,u,v…},其中，x,y…代表该感知决策单元的给出的各项决策结果，包括转向、加速、刹车、停车；

(1.5)所述多个相对低等级感知决策单元是由1个L3、2个L2感知决策单元组成，这些单元具备在所述步骤(1.3)中的感知功能，并能够根据感知结果形成自动驾驶的决策结果，其决策结果分别为：W＝{x,y,z,w,u…}；U＝{x,y,z,w}；V＝{x,,y,z,w}；

(1.6)存在如下关系成立：U∩V∩W∩F＝{x,,y,z,w}，其中x,,y,z,w为真值类型数据，分别表示是否左转、是否右转、是否加速、是否制动；

(1.7)所述高等级感知决策单元和多个相对低等级感知决策单元均采用异构化设计，选择不同的硬件平台FPGA、arm、x86平台、不同的操作系统、不同的感知决策功能模块；

(2)车辆行驶过程中，每个感知决策单元根据感知到的信息做出决策，其主要特征包括：

(2.1)决策结果融合了多个维度感知到的信息，包括视频信息，雷达信息，车辆本身的位置，速度，加速度；

(2.2)每个感知决策单元的决策算法至少涵盖如下三种情况：

(2.2.1)根据感知结果做出转向决策，发出转向指令，包括方向盘目标转向角度、方向盘目标角速度；

(2.2.2)当检测到车头时距τ＝l/v小于特定值时，发送制动命令，其中l表示车间距离，v表示本车速度；

(2.2.3)当检测到碰撞时间ttc＝l/(v₁-v₂)小于特定值时，发送制动命令，其中l表示车间距离，v₁表示本车速度，表示前车速度或行人速度；

(3)将四个感知决策单元中的高等级单元和两个相对低等级单元的决策结果被发送至裁决器进行裁决，另外一个低等级感知决策单元始终保持在线，但不在环路上，暂不参与裁决，发送到裁决器的第i个感知决策模块的决策结果，被表示为＜x_i,y_i,z_i,w_i|a_i,b_i,c_i,d_i＞，其中i＝1,2,3；x_i,y_i,z_i,w_i为真值类型数据，分别表示是否左转、是否右转、是否加速、是否制动；a_i,b_i,c_i,d_i为浮点型数据，分别表示左转目标角度、右转目标角度、加速度、制动力；裁决过程分成两个阶段，具体包括如下阶段：

(3.1)精确裁决阶段：

在此阶段，裁决器判断(x₁,y₁,z₁,w₁)＝(x₂,y₂,z₂,w₂)＝(x₃,y₃,z₃,w₃)是否成立，若等式成立，则进入近似裁决阶段，否则即认为存在不安全的感知决策单元，并输出⊥；

(3.2)近似裁决阶段：

在此阶段，对于任意的i,j∈1,2,3,i≠j，裁决器判断

是否成立，其中θ表示系统容许的近似系数，若等式成立则输出等级较高的感知决策单元的决策结果，否则输出⊥；

(4)当裁决器输出一个决策结果时，该决策结果被直接发送至CAN总线，车辆执行该命令，否则，当裁决器输出⊥时，车辆根据情况做出如下处理：

(4.1)若存在i,j∈1,2,3,i≠j，使得(x_i,y_i,z_i,w_i)＝(x_j,y_j,z_j,w_j)且

则利用在线但不参与裁决的单元执行替换过程，替换第k个单元，其中k∈{1,2,3},k≠i,k≠j；

(4.2)否则，车辆按照预设的底线安全程序运行，直至停车或有人员介入为止。

优选地，在所述步骤(3)中，两阶段裁决全部依赖于硬件实现。

优选地，在所述步骤(4)中，替换过程通过对“在线不在环”的感知决策单元的快速调度“上环”，秒级完成异常单元的替换。

优选地，裁决过程不关注发生异常的原因，仅通过比对策略进行异常判决；发生异常的原因为网络攻击引发的系统异常、系统缺陷引发的异常或者是外部干扰引发的异常；因此能同时对网络安全和功能安全造成的异常发挥保障作用。

本发明与现有技术相比较，具有如下显而易见的突出实质性特点和显著优点：

1.本发明采用内生安全的思想，通过实现感知决策模块的多个异构单元，来同时增强其功能安全和网络安全能力，以抵御已知和未知的系统故障和各种网络攻击；

2.本发明方法采用内生安全的思路，为智能网联汽车提供一种功能安全和网络安全一体化增强的新方案；

3.本发明方法简单易行，成本低，适合推广使用。

附图说明

图1为本发明智能网联汽车感知决策模块功能安全和网络安全内生保障方法的流程图。

图2为本发明智能网联汽车感知决策模块功能安全和网络安全内生保障方法采用的系统部署示意图。

具体实施方式

以下结合具体的实施例子对上述方案做进一步说明，本发明的优选实施例详述如下：

实施例一：

在本实施例中，参见图1和图2，一种智能网联汽车感知决策模块功能安全和网络安全内生保障方法，包括以下步骤：

(1)设计并实现异构的多个感知决策单元，并将其部署在车辆上，多个感知决策单元的主要特征包括：

(1.1)包含一个高等级感知决策单元和多个相对低等级的感知决策单元；所述的高等级感知决策单元支持SAE L3、L4或L5自动驾驶，相对低等级的感知决策单元支持SAEL3或L2自动驾驶；

(1.2)所述高等级的感知决策单元作为整车自动驾驶的主大脑，具备所述高等级自动驾驶的支持SAE L3、L4或L5自动驾驶所需的组件和功能，包括光探测和测距LIDAR、无线电探测和测距雷达、摄像机、全球定位系统GPS，惯性测量单元IMU、里程表传感器，交通信号检测子系统TSD、移动物体跟踪子系统MOT、Mapper子系统、Localizer子系统；接收各种传感器数据并进行信息融合，得到汽车完成任务所需要的信息，包括行人、车辆、障碍物的信息；车道线、可行驶区域、交通标志和信号灯信息；基于GPS和IMU惯性导航的无人车定位信息、地图信息；此外，主大脑在上述感知信息基础上，结合道路网络、交通规则、汽车动力学的先验信息，形成包括Route规划、Path规划、行为选择、运动规划、避障和控制决策；

(1.3)所述多个相对低等级的感知决策单元应具备所述低等级自动驾驶支持SAEL2或L3自动驾驶所需的组件和感知功能，包括无线电探测和测距雷达、摄像机、L2或L3自动驾驶的传感器和障碍物检测、碰撞预警、车道检测和车道偏离预警；

(1.4)所述高等级感知决策单元的是1个L4级自动驾驶感知决策单元，该单元具备1.2节所述感知和规划功能，形成自动驾驶的决策结果，并最终送往汽车的各个ECU执行部件以实现对汽车的控制，设决策结果为：F＝{x,y,z,w,u,v…},其中，x,y…代表该感知决策单元的给出的各项决策结果，包括转向、加速、刹车、停车；

(1.5)所述多个相对低等级感知决策单元是由1个L3、2个L2感知决策单元组成，这些单元具备在所述步骤(1.3)中的感知功能，并能够根据感知结果形成自动驾驶的决策结果，其决策结果分别为：W＝{x,y,z,w,u…}；U＝{x,y,z,w}；V＝{x,,y,z,w}；

(1.6)存在如下关系成立：U∩V∩W∩F＝{x,,y,z,w}，其中x,,y,z,w为真值类型数据，分别表示是否左转、是否右转、是否加速、是否制动；

(1.7)所述高等级感知决策单元和多个相对低等级感知决策单元均采用异构化设计，选择不同的硬件平台FPGA、arm、x86平台、不同的操作系统、不同的感知决策功能模块；

(2)车辆行驶过程中，每个感知决策单元根据感知到的信息做出决策，其主要特征包括：

(2.1)决策结果融合了多个维度感知到的信息，包括视频信息，雷达信息，车辆本身的位置，速度，加速度；

(2.2)每个感知决策单元的决策算法至少涵盖如下三种情况：

(2.2.1)根据感知结果做出转向决策，发出转向指令，包括方向盘目标转向角度、方向盘目标角速度；

(2.2.2)当检测到车头时距τ＝l/v小于特定值时，发送制动命令，其中l表示车间距离，v表示本车速度；

(2.2.3)当检测到碰撞时间ttc＝l/(v₁-v₂)小于特定值时，发送制动命令，其中l表示车间距离，v₁表示本车速度，表示前车速度或行人速度；

(3)将四个感知决策单元中的高等级单元和两个相对低等级单元的决策结果被发送至裁决器进行裁决，另外一个低等级感知决策单元始终保持在线，但不在环路上，暂不参与裁决，发送到裁决器的第i个感知决策模块的决策结果，被表示为＜x_i,y_i,z_i,w_i|a_i,b_i,c_i,d_i＞，其中i＝1,2,3；x_i,y_i,z_i,w_i为真值类型数据，分别表示是否左转、是否右转、是否加速、是否制动；a_i,b_i,c_i,d_i为浮点型数据，分别表示左转目标角度、右转目标角度、加速度、制动力；裁决过程分成两个阶段，具体包括如下阶段：

(3.1)精确裁决阶段：

在此阶段，裁决器判断(x₁,y₁,z₁,w₁)＝(x₂,y₂,z₂,w₂)＝(x₃,y₃,2₃,w₃)是否成立，若等式成立，则进入近似裁决阶段，否则即认为存在不安全的感知决策单元，并输出⊥；

(3.2)近似裁决阶段：

在此阶段，对于任意的i,j∈1,2,3,i≠j，裁决器判断

是否成立，其中θ表示系统容许的近似系数，若等式成立则输出等级较高的感知决策单元的决策结果，否则输出⊥；

(4)当裁决器输出一个决策结果时，该决策结果被直接发送至CAN总线，车辆执行该命令，否则，当裁决器输出⊥时，车辆根据情况做出如下处理：

(4.1)若存在i,j∈1,2,3,i≠j，使得(x_i,y_i,z_i,w_i)＝(x_j,y_j,z_j,w_j)且

则利用在线但不参与裁决的单元执行替换过程，替换第k个单元，其中k∈{1,2,3},k≠i,k≠j；

(4.2)否则，车辆按照预设的底线安全程序运行，直至停车或有人员介入为止。

本实施例智能网联汽车感知决策模块功能安全和网络安全内生保障方法，设计并实现四个功能相同且具有一定异构度的感知决策单元，并将其部署在车辆上；四个单元分别根据感知到的信息推演出实时的车辆控制决策结果；裁决器根据其中三个感知决策单元的决策结果进行精确裁决和近似裁决；最终根据裁决器的不同裁决结果，车辆执行CAN命令，或者对异常单元进行替换并重新裁决，或者按照故障模式运行直至停车。本实施例方法采用内生安全的思路，为智能网联汽车提供一种功能安全和网络安全一体化增强的新方案。本实施例方法采用内生安全的思想，通过实现感知决策模块的多个异构单元，来同时增强其功能安全和网络安全能力，以抵御已知和未知的系统故障和各种网络攻击；本实施例方法简单易行，成本低，适合推广使用。

实施例二：

本实施例与实施例一基本相同，特别之处在于：

在本实施例中，参见图1和图2，在所述步骤(3)中，两阶段裁决全部依赖于硬件实现。

在本实施例中，在所述步骤(4)中，替换过程通过对“在线不在环”的感知决策单元的快速调度“上环”，秒级完成异常单元的替换。

在本实施例中，裁决过程不关注发生异常的原因，仅通过比对策略进行异常判决；发生异常的原因为网络攻击引发的系统异常、系统缺陷引发的异常或者是外部干扰引发的异常；因此能同时对网络安全和功能安全造成的异常发挥保障作用。

本实施例方法采用内生安全的思路，为智能网联汽车提供一种功能安全和网络安全一体化增强的新方案。本实施例方法采用内生安全的思想，通过实现感知决策模块的多个异构单元，来同时增强其功能安全和网络安全能力，以抵御已知和未知的系统故障和各种网络攻击；本实施例方法简单易行，成本低，适合推广使用。

上面对本发明实施例结合附图进行了说明，但本发明不限于上述实施例，还可以根据本发明的发明创造的目的做出多种变化，凡依据本发明技术方案的精神实质和原理下做的改变、修饰、替代、组合或简化，均应为等效的置换方式，只要符合本发明的发明目的，只要不背离本发明的技术原理和发明构思，都属于本发明的保护范围。

Claims (4)

1.一种智能网联汽车感知决策模块功能安全和网络安全内生保障方法，其特征在于，包括以下步骤：

(1)设计并实现异构的多个感知决策单元，并将其部署在车辆上，多个感知决策单元的主要特征包括：

(1.1)包含一个高等级感知决策单元和多个相对低等级的感知决策单元；所述的高等级感知决策单元支持SAE L3、L4或L5自动驾驶，相对低等级的感知决策单元支持SAE L3或L2自动驾驶；

(1.2)所述高等级的感知决策单元作为整车自动驾驶的主大脑，具备所述高等级自动驾驶的支持SAE L3、L4或L5自动驾驶所需的组件和功能，包括光探测和测距LIDAR、无线电探测和测距雷达、摄像机、全球定位系统GPS，惯性测量单元IMU、里程表传感器，交通信号检测子系统TSD、移动物体跟踪子系统MOT、Mapper子系统、Localizer子系统；接收各种传感器数据并进行信息融合，得到汽车完成任务所需要的信息，包括行人、车辆、障碍物的信息；车道线、可行驶区域、交通标志和信号灯信息；基于GPS和IMU惯性导航的无人车定位信息、地图信息；此外，主大脑在上述感知信息基础上，结合道路网络、交通规则、汽车动力学的先验信息，形成包括Route规划、Path规划、行为选择、运动规划、避障和控制决策；

(1.3)所述多个相对低等级的感知决策单元应具备所述低等级自动驾驶支持SAE L2或L3自动驾驶所需的组件和感知功能，包括无线电探测和测距雷达、摄像机、L2或L3自动驾驶的传感器和障碍物检测、碰撞预警、车道检测和车道偏离预警；

(1.4)所述高等级感知决策单元的是1个L4级自动驾驶感知决策单元，该单元具备1.2节所述感知和规划功能，形成自动驾驶的决策结果，并最终送往汽车的各个ECU执行部件以实现对汽车的控制，设决策结果为：F＝{x,y,z,w,u,v…},其中，x,y…代表该感知决策单元的给出的各项决策结果，包括转向、加速、刹车、停车；

(1.5)所述多个相对低等级感知决策单元是由1个L3、2个L2感知决策单元组成，这些单元具备在所述步骤(1.3)中的感知功能，并能够根据感知结果形成自动驾驶的决策结果，其决策结果分别为：W＝{x,y,z,w,u…}；U＝{x,y,z,w}；V＝{x,y,z,w}；

(1.6)存在如下关系成立：U∩V∩W∩F＝{x,y,z,w}，其中x,y,z,w为真值类型数据，分别表示是否左转、是否右转、是否加速、是否制动；

(1.7)所述高等级感知决策单元和多个相对低等级感知决策单元均采用异构化设计，选择不同的硬件平台FPGA、arm、x86平台、不同的操作系统、不同的感知决策功能模块；

(2)车辆行驶过程中，每个感知决策单元根据感知到的信息做出决策，其主要特征包括：

(2.1)决策结果融合了多个维度感知到的信息，包括视频信息，雷达信息，车辆本身的位置，速度，加速度；

(2.2)每个感知决策单元的决策算法至少涵盖如下三种情况：

(2.2.1)根据感知结果做出转向决策，发出转向指令，包括方向盘目标转向角度、方向盘目标角速度；

(2.2.2)当检测到车头时距τ＝l/v小于特定值时，发送制动命令，其中l表示车间距离，v表示本车速度；

(2.2.3)当检测到碰撞时间ttc＝l/(v₁-v₂)小于特定值时，发送制动命令，其中l表示车间距离，v₁表示本车速度，表示前车速度或行人速度；

(3)将四个感知决策单元中的高等级单元和两个相对低等级单元的决策结果被发送至裁决器进行裁决，另外一个低等级感知决策单元始终保持在线，但不在环路上，暂不参与裁决，发送到裁决器的第i个感知决策模块的决策结果，被表示为<x_i,y_i,z_i,w_i|a_i,b_i,c_i,d_i>，其中i＝1,2,3；x_i,y_i,z_i,w_i为真值类型数据，分别表示是否左转、是否右转、是否加速、是否制动；a_i,b_i,c_i,d_i为浮点型数据，分别表示左转目标角度、右转目标角度、加速度、制动力；裁决过程分成两个阶段，具体包括如下阶段：

(3.1)精确裁决阶段：

在此阶段，裁决器判断(x₁,y₁,z₁,w₁)＝(x₂,y₂,z₂,w₂)＝(x₃,y₃,z₃,w₃)是否成立，若等式成立，则进入近似裁决阶段，否则即认为存在不安全的感知决策单元，并输出⊥；

(3.2)近似裁决阶段：

在此阶段，对于任意的i,j∈1,2,3,i≠j，裁决器判断

是否成立，其中θ表示系统容许的近似系数，若等式成立则输出等级较高的感知决策单元的决策结果，否则输出⊥；

(4)当裁决器输出一个决策结果时，该决策结果被直接发送至CAN总线，车辆执行该命令，否则，当裁决器输出⊥时，车辆根据情况做出如下处理：

(4.1)若存在i,j∈1,2,3,i≠j，使得(x_i,y_i,z_i,w_i)＝(x_j,y_j,z_j,w_j)且

则利用在线但不参与裁决的单元执行替换过程，替换第k个单元，其中k∈{1,2,3},k≠i,k≠j；

(4.2)否则，车辆按照预设的底线安全程序运行，直至停车或有人员介入为止。

2.根据权利要求1所述智能网联汽车感知决策模块功能安全和网络安全内生保障方法，其特征在于，在所述步骤(3)中，两阶段裁决全部依赖于硬件实现。

3.根据权利要求1所述智能网联汽车感知决策模块功能安全和网络安全内生保障方法，其技术特征在于，在所述步骤(4)中，替换过程通过对“在线不在环”的感知决策单元的快速调度“上环”，秒级完成异常单元的替换。

4.根据权利要求1所述智能网联汽车感知决策模块功能安全和网络安全内生保障方法，其特征在于，裁决过程不关注发生异常的原因，仅通过比对策略进行异常判决；发生异常的原因为网络攻击引发的系统异常、系统缺陷引发的异常或者是外部干扰引发的异常；因此能同时对网络安全和功能安全造成的异常发挥保障作用。

Images