CN114312833A - 基于功能安全的自动驾驶系统状态控制合理性的校验方法 - Google Patents
基于功能安全的自动驾驶系统状态控制合理性的校验方法 Download PDFInfo
- Publication number
- CN114312833A CN114312833A CN202111574205.7A CN202111574205A CN114312833A CN 114312833 A CN114312833 A CN 114312833A CN 202111574205 A CN202111574205 A CN 202111574205A CN 114312833 A CN114312833 A CN 114312833A
- Authority
- CN
- China
- Prior art keywords
- module
- automatic driving
- state control
- main function
- hmi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000012544 monitoring process Methods 0.000 claims abstract description 38
- 230000003213 activating effect Effects 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims 4
- 230000006870 function Effects 0.000 description 22
- 238000004458 analytical method Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000007704 transition Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011058 failure modes and effects analysis Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
Images
Landscapes
- Traffic Control Systems (AREA)
Abstract
本发明公开的一种基于功能安全的自动驾驶系统状态控制合理性的校验方法,包括:S1,系统激活;S2,实时监控主功能模块的状态;S3,判断故障是否成立,若是,则进入S4,若否,返回S2;S4,读取主功能模块是否发出接管报警信号,若是,则进入S5,若否,则进入S6;S5,将系统状态控制合理性校验标识位置为“通过”;S6,将系统状态控制合理性校验标识位置为“不通过”;S7,确认校验是否通过,若是,进入S8,若否,进入S9;S8,输出主功能模块的接管报警信号;S9,补充输出接管报警信号;S10,HMI报警模块进行接管报警;S11,若车辆未被接管,则返回S10,若车辆被接管,则进入S12,S12,自动驾驶系统退出。本发明能够准确校验出自动驾驶系统状态控制的合理性。
Description
技术领域
本发明涉及自动驾驶系统技术领域,具体涉及一种基于功能安全的自动驾驶系统状态控制合理性的校验方法。
背景技术
当前,自动驾驶系统是汽车技术最重要创新领域之一。该领域的新技术和新产品不断涌现,在提高汽车乘坐舒适性、驾驶员减负等方面起到了重要的作用。然而,自动驾驶系统作为一种汽车电子电器系统,与安全密切相关,其中可能存在的系统性失效和随机硬件失效,有导致汽车安全事故的风险。汽车电子电气系统的复杂性和集成度在不断提高,这种风险也随之增大。
随着自动驾驶技术的日益革新,其特殊性让功能安全在自动驾驶技术上的应用受到各主机厂和零部件厂商的重视。目前国内汽车行业的自动驾驶技术研究主要还是集中在L2-L3级别,即在有限条件下能够实现自动驾驶,在需要驾驶员接管时系统应该能够及时发出报警并具备一定的降级策略让用户能够有时间接管车辆。目前行业主流的自动驾驶方案是针对感知、控制、执行采用完全冗余或部分冗余设计。
自动驾驶控制部分作为整个自动驾驶系统的决策控制中枢,自身的系统功能安全设计十分重要。在对常规的横向控制、纵向控制进行安全监控以外,系统的状态转换的合理性也应得到监控。
比如:专利文献CN111717031A公开的一种纯电动车扭矩功能安全监控方法、系统及车辆。该方法通过功能安全分析,得出整车的扭矩功能实施监控方案,通过对扭矩控制与扭矩监控计算分别获得的扭矩值进行比较,判断电机扭矩控制是否在安全的范围内。该方法为一种典型的纵向控制的安全设计方法,以避免因系统性失效导致的扭矩过大、扭矩不足等失效模式,确保了整车的安全性。
又如专利文献CN112298208A公开的一种自动驾驶横向辅助控制方法及横向辅助系统。本方法通过主控制单元和辅助控制单元实现冗余控制,同时采用冗余通信的方式,使整个系统能避免因横向控制异常导致的危害,提高自动驾驶系统的安全性。
对于自动驾驶横向控制与纵向控制的功能安全设计方法,目前业内的研究较多。而系统状态控制的合理性却没有合适的设计方法,基于此现状,有必要开发一种基于功能安全的自动驾驶系统状态控制合理性的校验方法。
发明内容
本发明的目的是提供一种基于功能安全的自动驾驶系统状态控制合理性的校验方法,能准确校验出自动驾驶系统状态控制的合理性。
本发明所述的一种基于功能安全的自动驾驶系统状态控制合理性的校验方法,采用的校验系统包括主功能模块、监控模块、HMI仲裁模块和HMI报警模块,所述监控模块分别与主功能模块和HMI仲裁模块连接,HMI报警模块与HMI仲裁模块连接;其校验方法包括以下步骤:
步骤S1,系统激活;
步骤S2,主功能模块和监控模块独自运行,监控模块实时监控主功能模块的状态;
步骤S3,监控模块判断故障是否成立,若是,则进入步骤S4,若否,返回步骤S2;
步骤S4,监控模块读取主功能模块是否发出接管报警信号,若是,则进入步骤S5,若否,则进入步骤S6;
步骤S5,监控模块将系统状态控制合理性校验标识位置为“通过”,并进入步骤S7;
步骤S6,监控模块将系统状态控制合理性校验标识位置为“不通过”,并进入步骤S7;
步骤S7,HMI仲裁模块判断系统状态控制合理性校验标识位确认校验是否通过,若是,则进入步骤S8,若否,则进入步骤S9;
步骤S8,HMI仲裁模块输出主功能模块的接管报警信号,并进入步骤S10;
步骤S9,HMI仲裁模块补充输出接管报警信号,并进入步骤S10;
步骤S10,HMI报警模块进行接管报警;
步骤S11,系统持续判断车辆是否被驾驶员接管;若车辆未被接管,则返回步骤S10,若车辆被接管,则进入步骤S12。
步骤S12,自动驾驶系统退出,停止发出接管报警信号。
可选地,所述步骤2中,所述主功能模块实时更新当前的系统状态,并将标识位放在对应的地址;所述监控模块从对应的地址中读取数据,作为判断前的条件依据。
可选地,所述步骤2中,所有的数据通过存放在互相隔离的不同地址段中进行双备份。
可选地,所述步骤S10中,根据不同的故障制定不同的报警等级;当影响横向控制、纵向控制的信号故障判断成立,此时系统存在横纵向不可控的风险,则立刻发接管报警请求驾驶员接管车辆;对于其他故障,则发出低等级的接管报警信号。
可选地,所述监控模块的输入信号与主功能模块的输入信号保持独立且互不干扰,且监控模块和主功能模块采用不同的算法对输入的信号进行判断处理。
本发明具有以下优点:本发明通过冗余算法的方式对系统状态控制进行监控,能够把因状态控制出错导致的安全风险降低到可接受的程度,符合功能安全标准的要求。
附图说明
图1是本实施例中依托的智能驾驶系统架构图;
图2是本实施例中控制部分功能安全分解方式及设计图示图;
图3是本实施例的流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
如图2和图3所示,本实施例中,一种基于功能安全的自动驾驶系统状态控制合理性的校验方法,包括以下步骤:
采用的校验系统包括主功能模块、监控模块、HMI仲裁模块和HMI报警模块,所述监控模块分别与主功能模块和HMI仲裁模块连接,HMI报警模块与HMI仲裁模块连接;其校验方法包括以下步骤:
步骤S1,系统激活;
步骤S2,主功能模块和监控模块独自运行,监控模块实时监控主功能模块的状态;
步骤S3,监控模块判断故障是否成立,若是,则进入步骤S4,若否,返回步骤S2;
步骤S4,监控模块读取主功能模块是否发出接管报警信号,若是,则进入步骤S5,若否,则进入步骤S6;
步骤S5,监控模块将系统状态控制合理性校验标识位置为“通过”,并进入步骤S7;
步骤S6,监控模块将系统状态控制合理性校验标识位置为“不通过”,并进入步骤S7;
步骤S7,HMI仲裁模块判断系统状态控制合理性校验标识位确认校验是否通过,若是,则进入步骤S8,若否,则进入步骤S9;
步骤S8,HMI仲裁模块输出主功能模块的接管报警信号,并进入步骤S10;
步骤S9,HMI仲裁模块补充输出接管报警信号,并进入步骤S10;
步骤S10,HMI报警模块进行接管报警;
步骤S11,系统持续判断车辆是否被驾驶员接管;若车辆未被接管,则返回步骤S10,若车辆被接管,则进入步骤S12。
步骤S12,自动驾驶系统退出,停止发出接管报警信号。
如图1所示,本实施例中,自动驾驶系统架构包括感知部分、控制部分和执行部分,其中感知部分包括右前角毫米波雷达、前高清摄像头、右后角毫米波雷达、前毫米波雷达、左后角毫米波雷达和左前角毫米波雷达。控制部分包括自动驾驶控制单元。执行部分包括制动系统、转向系统和HMI系统。
根据功能安全流程概念层分析得出到系统的安全目标,本实施例中,只列出经过分析后得到的因系统状态控制错误而违背的的安全目标如下:
SG1:避免横向控制能力的丢失,ASIL B;
SG2:避免纵向控制能力的丢失,ASIL B;
SG3:避免报警的丢失,ASIL B;
本实施例中,自动驾驶系统状态为以下几种:
INIT:自动驾驶系统初始化状态;
FAILURE:自动驾驶系统故障状态;
OFF:自动驾驶系统关闭状态;
ACTIVE:自动驾驶系统功能激活状态;
本实施例中,对系统的状态转换进行分析,通过列举的方式得出系统可能存在的跳转方式,并依次分析相关的状态转换是否会违背系统的安全目标,得到下表中的分析结果:
表1.与安全相关的系统控制状态
基于本实施例中的自动驾驶系统设定的运行条件,通过以上分析得出:在激活条件下,因某个条件不满足,系统应该退出ACTIVE状态。若此时系统状态控制异常,没有正常退出,导致驾驶员误认为系统在正常控制中,可能会有安全风险的发生。
本实施例中,所述步骤2中,所述主功能模块实时更新当前的系统状态,并将标识位放在对应的地址;所述监控模块从对应的地址中读取数据,作为判断前的条件依据。所有的数据通过存放在互相隔离的不同地址段中进行双备份,以防止数据被篡改。同时软件层面对存储采用ECC功能安全机制、寄存器检查,满足功能安全要求。
本实施例中,所述步骤S10中,根据不同的故障制定不同的报警等级;当影响横向控制、纵向控制的信号故障判断成立,此时系统存在横纵向不可控的风险,则立刻发接管报警请求驾驶员接管车辆;对于其他故障,例如车身控制、显示等一些不关键(具体信号需通过相关的分析,例如FTA、FMEA等确定)故障,则发出低等级的接管报警信号。
本实施例中,所述监控模块的输入信号与主功能模块的输入信号保持独立且互不干扰,且监控模块和主功能模块采用不同的算法对输入的信号进行判断处理。
Claims (5)
1.一种基于功能安全的自动驾驶系统状态控制合理性的校验方法,其特征在于,采用的校验系统包括主功能模块、监控模块、HMI仲裁模块和HMI报警模块,所述监控模块分别与主功能模块和HMI仲裁模块连接,HMI报警模块与HMI仲裁模块连接;其校验方法包括以下步骤:
步骤S1,系统激活;
步骤S2,主功能模块和监控模块独自运行,监控模块实时监控主功能模块的状态;
步骤S3,监控模块判断故障是否成立,若是,则进入步骤S4,若否,返回步骤S2;
步骤S4,监控模块读取主功能模块是否发出接管报警信号,若是,则进入步骤S5,若否,则进入步骤S6;
步骤S5,监控模块将系统状态控制合理性校验标识位置为“通过”,并进入步骤S7;
步骤S6,监控模块将系统状态控制合理性校验标识位置为“不通过”,并进入步骤S7;
步骤S7,HMI仲裁模块判断系统状态控制合理性校验标识位确认校验是否通过,若是,则进入步骤S8,若否,则进入步骤S9;
步骤S8,HMI仲裁模块输出主功能模块的接管报警信号,并进入步骤S10;
步骤S9,HMI仲裁模块补充输出接管报警信号,并进入步骤S10;
步骤S10,HMI报警模块进行接管报警;
步骤S11,系统持续判断车辆是否被驾驶员接管;若车辆未被接管,则返回步骤S10,若车辆被接管,则进入步骤S12;
步骤S12,自动驾驶系统退出,停止发出接管报警信号。
2.根据权利要求1所述的基于功能安全的自动驾驶系统状态控制合理性的校验方法,其特征在于:所述步骤2中,所述主功能模块实时更新当前的系统状态,并将标识位放在对应的地址;所述监控模块从对应的地址中读取数据,作为判断前的条件依据。
3.根据权利要求2所述的基于功能安全的自动驾驶系统状态控制合理性的校验方法,其特征在于:所述步骤2中,所有的数据通过存放在互相隔离的不同地址段中进行双备份。
4.根据权利要求3所述的基于功能安全的自动驾驶系统状态控制合理性的校验方法,其特征在于: 所述步骤S10中,根据不同的故障制定不同的报警等级;当影响横向控制、纵向控制的信号故障判断成立,此时系统存在横纵向不可控的风险,则立刻发接管报警请求驾驶员接管车辆;对于其他故障,则发出低等级的接管报警信号。
5.根据权利要求3所述的基于功能安全的自动驾驶系统状态控制合理性的校验方法,其特征在于:所述监控模块的输入信号与主功能模块的输入信号保持独立且互不干扰,且监控模块和主功能模块采用不同的算法对输入的信号进行判断处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111574205.7A CN114312833A (zh) | 2021-12-21 | 2021-12-21 | 基于功能安全的自动驾驶系统状态控制合理性的校验方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111574205.7A CN114312833A (zh) | 2021-12-21 | 2021-12-21 | 基于功能安全的自动驾驶系统状态控制合理性的校验方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114312833A true CN114312833A (zh) | 2022-04-12 |
Family
ID=81055079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111574205.7A Pending CN114312833A (zh) | 2021-12-21 | 2021-12-21 | 基于功能安全的自动驾驶系统状态控制合理性的校验方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114312833A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722030A (zh) * | 2004-07-15 | 2006-01-18 | 株式会社日立制作所 | 车辆控制装置 |
| KR20180103473A (ko) * | 2017-03-10 | 2018-09-19 | 한국오므론전장주식회사 | 차량의 자율 주행 제어 시스템 및 방법 |
| US20200239027A1 (en) * | 2019-01-24 | 2020-07-30 | Honda Motor Co., Ltd. | Vehicle control device |
| CN112758094A (zh) * | 2021-01-04 | 2021-05-07 | 重庆长安汽车股份有限公司 | 一种驾驶辅助系统安全停车装置及方法 |
| CN112918459A (zh) * | 2021-01-29 | 2021-06-08 | 中汽创智科技有限公司 | 一种避免非期望转向的系统及控制方法 |
| CN112977479A (zh) * | 2021-04-15 | 2021-06-18 | 苏州挚途科技有限公司 | 车辆驾驶模式控制方法及系统 |
| CN113044063A (zh) * | 2021-03-31 | 2021-06-29 | 重庆长安汽车股份有限公司 | 用于高级自动驾驶的功能冗余软件架构 |
| CN113525422A (zh) * | 2021-08-23 | 2021-10-22 | 驭势(上海)汽车科技有限公司 | 一种自动驾驶系统和方法 |
-
2021
- 2021-12-21 CN CN202111574205.7A patent/CN114312833A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722030A (zh) * | 2004-07-15 | 2006-01-18 | 株式会社日立制作所 | 车辆控制装置 |
| KR20180103473A (ko) * | 2017-03-10 | 2018-09-19 | 한국오므론전장주식회사 | 차량의 자율 주행 제어 시스템 및 방법 |
| US20200239027A1 (en) * | 2019-01-24 | 2020-07-30 | Honda Motor Co., Ltd. | Vehicle control device |
| CN112758094A (zh) * | 2021-01-04 | 2021-05-07 | 重庆长安汽车股份有限公司 | 一种驾驶辅助系统安全停车装置及方法 |
| CN112918459A (zh) * | 2021-01-29 | 2021-06-08 | 中汽创智科技有限公司 | 一种避免非期望转向的系统及控制方法 |
| CN113044063A (zh) * | 2021-03-31 | 2021-06-29 | 重庆长安汽车股份有限公司 | 用于高级自动驾驶的功能冗余软件架构 |
| CN112977479A (zh) * | 2021-04-15 | 2021-06-18 | 苏州挚途科技有限公司 | 车辆驾驶模式控制方法及系统 |
| CN113525422A (zh) * | 2021-08-23 | 2021-10-22 | 驭势(上海)汽车科技有限公司 | 一种自动驾驶系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张大权;张惠;杨冬雨;赵默涵;: "关于L3自动驾驶的人机交互设计研究", 汽车文摘, no. 01, 5 January 2020 (2020-01-05) * |
| 李聪;: "车辆驾驶状态监控预警系统设计", 信息与电脑(理论版), no. 15, 8 August 2016 (2016-08-08) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210031792A1 (en) | Vehicle control device | |
| KR101708083B1 (ko) | 자율적으로 구동하는 차량의 안전한 스티어링 시스템 | |
| US7421302B2 (en) | Automotive electronic control system including communicably connected commanding unit and driving unit | |
| US8548708B2 (en) | Brake system for a vehicle and method for operating a brake system for a vehicle | |
| JP2008505012A (ja) | 冗長データバスシステム | |
| JP5021163B2 (ja) | 特に車両内の,駆動シーケンスを制御する方法および装置 | |
| CN112744214B (zh) | 用于车辆远程遥控泊车的控制系统、控制方法和车辆 | |
| US20080306654A1 (en) | Parametric Remedial Action Strategy for an Active Front Steer System | |
| CN110770707A (zh) | 用于驱控车辆模块的设备和方法 | |
| CN113968237A (zh) | 一种无人驾驶车辆转向系统及运行方法、存储装置 | |
| CN109017628B (zh) | 冗余通信系统的消息序列评估 | |
| JP2003015743A (ja) | 車両の自動運転システム | |
| CN108146250B (zh) | 一种基于多核cpu的汽车扭矩安全控制方法 | |
| Hammett et al. | Achieving 10⁻ ⁹ Dependability with Drive-by-Wire Systems | |
| US20240051554A1 (en) | Apparatus for Controlling a Vehicle and Method Thereof | |
| CN114312833A (zh) | 基于功能安全的自动驾驶系统状态控制合理性的校验方法 | |
| US20240051578A1 (en) | Apparatus for controlling a vehicle and method thereof | |
| US11104378B2 (en) | Steering control system for a steering system of a transportation vehicle and method for operating a steering control system | |
| CN113954957A (zh) | 扭矩传感器冗余控制方法、装置、线控转向系统及车辆 | |
| CN113505034A (zh) | 用于处理器的错误检测系统和方法 | |
| CN115335267A (zh) | 具有第一执行器系统和第二执行器系统的系统单元 | |
| JPH09305223A (ja) | 車載用電子制御ユニット | |
| US20150336505A1 (en) | Vehicle turn cancel signal output device | |
| TWI768840B (zh) | 車輛駕駛安全提升裝置及其方法 | |
| US20230331207A1 (en) | Vehicle's brake system and a method for braking a vehicle |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |