CN116192345A

CN116192345A - 基于分布式冗余架构的安全保障方法、装置、设备及介质

Info

Publication number: CN116192345A
Application number: CN202310111476.1A
Authority: CN
Inventors: 刘羿
Original assignee: Beijing Sinian Zhijia Technology Co ltd
Current assignee: Beijing Sinian Zhijia Technology Co ltd
Priority date: 2023-02-03
Filing date: 2023-02-03
Publication date: 2023-05-30
Anticipated expiration: 2043-02-03
Also published as: CN116192345B

Abstract

本公开涉及一种基于分布式冗余架构的安全保障方法、装置、设备及介质，通过基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障，采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障，对所述操作系统及中间件层进行安全保障，对所述自动驾驶核心功能层进行安全保障。本公开解决了现有技术中难以保证自动驾驶的安全性，也难以保证在生产环境中的可靠性、可用性、稳定性的问题，本公开从传感器、系统架构、通信连接方式等层面都做了冗余处理，一个出现故障，另一个仍能正常工作，充分保证自动驾驶的安全性，也保证系统在生产环境中的可靠性、可用性、稳定性。

Description

基于分布式冗余架构的安全保障方法、装置、设备及介质

技术领域

本公开涉及自动驾驶领域，尤其涉及一种基于分布式冗余架构的安全保障方法、装置、设备及介质。

背景技术

港口/矿山/工厂等作业场景下用于平面运输的自动驾驶集装箱卡车/自动驾驶导引车等运输设备，在大多数情况下不在交通法律法规的管辖范围内，而是用作一个稳定可靠的工业产品使用。因此，在设计、研发这类运输设备上的自动驾驶系统时，不仅需要考虑符合《ISO26262道路车辆功能安全》的要求保证系统的可靠性，同时需要考虑系统的可用性、稳定性来保证工业场景下的稳定作业。

目前，L3级别及以下的自动驾驶系统，最终的安全性通过驾驶员来保证，但在运行设计域范围内的L4级别自动驾驶车辆，安全性由自动驾驶系统自身来保证。另外，用于物流行业的运输设备，作为工业产品还需要考虑可用性及稳定性。

但是，现有的自动驾驶系统的传感器、系统架构、通信连接方式、处理器等硬件软件单一，若出现故障就无法正常使用，难以保证自动驾驶的安全性，也难以保证系统在生产环境中的可靠性、可用性、稳定性。

发明内容

为了解决上述技术问题，本公开提供了一种基于分布式冗余架构的安全保障方法、装置、设备及介质，以保证自动驾驶的安全性，保证系统在生产环境中的可靠性、可用性、稳定性。

第一方面，本公开实施例提供一种基于分布式冗余架构的安全保障方法，所述方法用于自动驾驶系统，自动驾驶系统包括传感器及底盘层、计算平台/硬件能力层、操作系统及中间件层、自动驾驶核心功能层，所述方法包括：

基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障；

采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障；

对所述操作系统及中间件层进行安全保障；

对所述自动驾驶核心功能层进行安全保障。

在一些实施例中，所述基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障，包括：

基于激光雷达或摄像头进行360度环境感知；

基于超声波进行预设区域的环境感知；

采用冗余线控制动方式进行制动安全保障。

在一些实施例中，所述采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障，包括：

采用分布式异构计算平台对所述计算平台/硬件能力层进行算力安全保障，并对所述分布式异构计算平台中的各个计算平台进行负载均衡；

基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障；

采用冗余的时间同步服务对分布式异构计算平台及传感器进行时间同步，所述时间同步服务包括基于以太网的时间同步服务、基于硬线连接的时间同步服务。

在一些实施例中，所述分布式异构计算平台至少包括两个中央处理器/图形处理器计算平台、一个微处理单元计算平台、一个现场可编程门阵列。

在一些实施例中，所述基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障，包括：

基于预置的车载以太网双网架构、冗余的网络设备、冗余的连接端口、冗余的连接线对所述计算平台/硬件能力层进行通信安全保障；

基于所述分布式异构计算平台中的各个计算平台与线控底盘之间独立的控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障。

在一些实施例中，所述对所述操作系统及中间件层进行安全保障，包括：

基于实时操作系统对所述操作系统及中间件层进行安全保障；

基于数据分发服务的通信服务中间件对所述操作系统及中间件层进行安全保障。

在一些实施例中，所述对所述自动驾驶核心功能层进行安全保障，包括：

基于互相独立的融合定位硬件、激光定位硬件、视觉定位硬件对所述自动驾驶核心功能层进行定位安全保障；

基于互相隔离的激光感知硬件、视觉感知硬件、超声波感知硬件对所述自动驾驶核心功能层进行感知安全保障；

基于互相独立的规划控制硬件、安全守卫硬件对所述自动驾驶核心功能层进行控制安全保障。

第二方面，本公开实施例提供一种基于分布式冗余架构的安全保障装置，所述装置用于自动驾驶系统，自动驾驶系统包括传感器及底盘层、计算平台/硬件能力层、操作系统及中间件层、自动驾驶核心功能层，所述装置包括：

第一安全保障模块，用于基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障；

第二安全保障模块，用于采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障；

第三安全保障模块，用于对所述操作系统及中间件层进行安全保障；

第四安全保障模块，用于对所述自动驾驶核心功能层进行安全保障。

第三方面，本公开实施例提供一种电子设备，包括：

存储器；

处理器；以及

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第一方面所述的方法。

第四方面，本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现如第一方面所述的方法。

第五方面，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机程序或指令，该计算机程序或指令被处理器执行时实现如第一方面所述的方法。

本公开实施例提供的基于分布式冗余架构的安全保障方法、装置、设备及介质，通过基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障，采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障，对所述操作系统及中间件层进行安全保障，对所述自动驾驶核心功能层进行安全保障。本公开解决了现有技术中难以保证自动驾驶的安全性，也难以保证在生产环境中的可靠性、可用性、稳定性的问题，本公开从传感器、系统架构、通信连接方式等层面都做了冗余处理，一个出现故障，另一个仍能正常工作，充分保证自动驾驶的安全性，也保证系统在生产环境中的可靠性、可用性、稳定性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例提供的基于分布式冗余架构的安全保障方法流程图；

图2为本公开实施例提供的自动驾驶系统的框架示意图；

图3为本公开另一实施例提供的基于分布式冗余架构的安全保障方法流程图；

图4为本公开另一实施例提供的基于分布式冗余架构的安全保障方法流程图；

图5为本公开实施例提供的车载以太网双网架构以及控制器局域网通信连接的示意图；

图6为本公开实施例提供的冗余的时间同步服务的示意图；

图7为本公开实施例提供的基于分布式冗余架构的安全保障装置的结构示意图；

图8为本公开实施例提供的电子设备的结构示意图。

具体实施方式

为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。

但是，现有的自动驾驶系统的传感器、系统架构、通信连接方式、处理器等硬件软件单一，若出现故障就无法正常使用，难以保证自动驾驶的安全性，也难以保证系统在生产环境中的可靠性、可用性、稳定性。针对该问题，本公开实施例提供了一种基于分布式冗余架构的安全保障方法，下面结合具体的实施例对该方法进行介绍。

图1为本公开实施例提供的基于分布式冗余架构的安全保障方法流程图，该方法可以应用于电子设备，例如用于自动驾驶系统的电子设备，该方法可以应用于基于分布式冗余架构进行安全保障的场景，可以保证自动驾驶的安全性，保证系统在生产环境中的可靠性、可用性、稳定性。可以理解的是，本公开实施例提供的基于分布式冗余架构的安全保障方法还可以应用在其他场景中。

图2为本公开实施例提供的自动驾驶系统的框架示意图，如图2所示，自动驾驶系统包括传感器及底盘层、计算平台/硬件能力层、操作系统及中间件层、自动驾驶核心功能层。下面结合图2，对图1所示的的基于分布式冗余架构的安全保障方法进行介绍，该方法包括如下几个步骤：

S101、基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障。

在一些可选的实施方式中，电子设备中配置了多种传感器以及冗余线控制动方式。电子设备基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障，可以降低单一传感器受环境、天气等条件干扰，或单传感器故障而引发的安全风险，以及降低因为单一制动方式失效时无法执行制动而引发安全风险。

S102、采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障。

如图2所示，电子设备中配置了分布式异构计算平台，将算法处理分布在不同的计算平台(节点)上。电子设备采用分布式异构计算平台对所述计算平台/硬件能力层进行安全保障，可以降低因为单节点失效而引起全局失效的安全风险，采用冗余的通信连接对所述计算平台/硬件能力层进行安全保障，可以降低通信失效带来车辆失控的安全风险。

S103、对所述操作系统及中间件层进行安全保障。

本实施例中，电子设备对所述操作系统及中间件层进行安全保障。如图2所示，对所述操作系统及中间件层进行了优化，提供了实时操作系统(FreeRTOS)，可以实时响应自动驾驶系统的功能，提升安全保障。还提供了基于数据分发服务(Data DistributionService，DDS)的通信服务中间件，实现去中心化通信，从而保证通信稳定可靠。

S104、对所述自动驾驶核心功能层进行安全保障。

本实施例中，电子设备对所述自动驾驶核心功能层进行安全保障。如图2所示，将所述自动驾驶核心功能层的硬件互相独立、互相隔离，单硬件故障，不影响对线控车辆的控制，保证系统的安全性。

本公开实施例通过基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障，采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障，对所述操作系统及中间件层进行安全保障，对所述自动驾驶核心功能层进行安全保障。本公开解决了现有技术中难以保证自动驾驶的安全性，也难以保证在生产环境中的可靠性、可用性、稳定性的问题，本公开从传感器、系统架构、通信连接方式等层面都做了冗余处理，一个出现故障，另一个仍能正常工作，充分保证自动驾驶的安全性，也保证系统在生产环境中的可靠性、可用性、稳定性。

图3为本公开另一实施例提供的基于分布式冗余架构的安全保障方法流程图，如图3所示，该方法包括如下几个步骤：

S301、基于激光雷达或摄像头进行360度环境感知。

电子设备可以基于激光雷达或摄像头进行360度环境感知，无感知盲区，降低单一传感器受环境、天气等条件干扰，或单传感器故障而引发的安全风险。

S302、基于超声波进行预设区域的环境感知。

例如，在自动驾驶车辆的前侧和后侧安装超声波设备，电子设备可以基于超声波进行预设区域的环境感知，即可以感知到前侧和后侧等关键区域。

S303、采用冗余线控制动方式进行制动安全保障。

在一些实施例中，提供了冗余的线控制动方式，电子设备可以采用冗余线控制动方式进行制动安全保障，当常规的线控制动方式出现故障，通过冗余线控制动方式进行制动，降低因为单一制动方式失效时无法执行制动而引发安全风险。

S304、采用分布式异构计算平台对所述计算平台/硬件能力层进行算力安全保障，并对所述分布式异构计算平台中的各个计算平台进行负载均衡。

电子设备可以采用分布式异构计算平台对所述计算平台/硬件能力层进行算力安全保障，将算法处理分布在不同的计算平台(节点)上，并对所述分布式异构计算平台中的各个计算平台进行负载均衡，提供足够的算力及负载均衡能力，保证计算资源的充足。

如图5所示，分布式异构计算平台至少包括两个中央处理器/图形处理器计算平台：ARM CPU/GPU 1和ARM CPU/GPU 2、一个微处理单元计算平台(Micro Control Unit，MCU)、一个现场可编程门阵列(Field Programmable Gate Array，FPGA)。

在一些实施例中，两个中央处理器/图形处理器计算平台可用于承载核心算法，一个微处理单元计算平台可用于承载安全功能，一个现场可编程门阵列的PS部分提供ARM架构下的CPU算力、PL部分提供可编程硬件逻辑。将算法处理分布在不同的计算平台(节点)上，可以降低因为单节点失效而引起全局失效的安全风险。

S305、基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障。

电子设备基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障，可以降低通信失效带来车辆失控的安全风险。

具体的，S305包括但不限于S3051、S3052：

S3051、基于预置的车载以太网双网架构、冗余的网络设备、冗余的连接端口、冗余的连接线对所述计算平台/硬件能力层进行通信安全保障。

如图5所示，预置了车载以太网双网架构，分别为SWITCH A和SWITCH B，预置了冗余的网络设备、冗余的连接端口、冗余的连接线。电子设备基于预置的车载以太网双网架构、冗余的网络设备、冗余的连接端口、冗余的连接线对所述计算平台/硬件能力层进行通信安全保障。

S3052、基于所述分布式异构计算平台中的各个计算平台与线控底盘之间独立的控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障。

电子设备基于所述分布式异构计算平台中的各个计算平台与线控底盘之间独立的控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障。如图5所示，在两个中央处理器/图形处理器计算平台：ARM CPU/GPU 1和ARM CPU/GPU 2、一个微处理单元计算平台(Micro Control Unit，MCU)、一个现场可编程门阵列(Field Programmable GateArray，FPGA)与线控底盘之间建立了独立的控制器局域网通信连接，例如CAN A、CAN B、CANC、CAN D等，降低通信失效带来车辆失控的安全风险。

S306、采用冗余的时间同步服务对分布式异构计算平台及传感器进行时间同步，所述时间同步服务包括基于以太网的时间同步服务、基于硬线连接的时间同步服务。

本实施例中，电子设备采用冗余的时间同步服务对分布式异构计算平台及传感器进行时间同步，所述时间同步服务包括基于以太网的时间同步服务、基于硬线连接的时间同步服务。如图6所示，电子设备中配置了基于以太网的PTP时间同步服务以及基于硬线连接采用PPS/GPRMC协议的时间同步服务，通过提供冗余的时间同步服务，降低计算设备/传感器设备时间同步失败的概率。

S307、对所述操作系统及中间件层进行安全保障。

具体的，S307和S103的实现过程和原理一致，此处不再赘述。

S308、对所述自动驾驶核心功能层进行安全保障。

具体的，S308和S104的实现过程和原理一致，此处不再赘述。

本公开实施例通过基于激光雷达或摄像头进行360度环境感知，基于超声波进行预设区域的环境感知，采用冗余线控制动方式进行制动安全保障。进一步，采用分布式异构计算平台对所述计算平台/硬件能力层进行算力安全保障，并对所述分布式异构计算平台中的各个计算平台进行负载均衡。基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障，采用冗余的时间同步服务对分布式异构计算平台及传感器进行时间同步，所述时间同步服务包括基于以太网的时间同步服务、基于硬线连接的时间同步服务。对所述操作系统及中间件层进行安全保障，对所述自动驾驶核心功能层进行安全保障。本公开解决了现有技术中难以保证自动驾驶的安全性，也难以保证在生产环境中的可靠性、可用性、稳定性的问题，本公开从传感器、系统架构、通信连接方式等层面都做了冗余处理，一个出现故障，另一个仍能正常工作，充分保证自动驾驶的安全性，也保证系统在生产环境中的可靠性、可用性、稳定性。

图4为本公开另一实施例提供的基于分布式冗余架构的安全保障方法流程图，如图4所示，该方法包括如下几个步骤：

S401、基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障。

具体的，S401和S101的实现过程和原理一致，此处不再赘述。

S402、采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障。

具体的，S402和S102的实现过程和原理一致，此处不再赘述。

S403、基于实时操作系统对所述操作系统及中间件层进行安全保障。

如图2所示，提供了实时操作系统(FreeRTOS)，电子设备基于实时操作系统对所述操作系统及中间件层进行安全保障，可以实时响应自动驾驶系统的功能，提升安全保障。

S404、基于数据分发服务的通信服务中间件对所述操作系统及中间件层进行安全保障。

如图2所示，提供了基于数据分发服务(Data Distribution Service，DDS)的通信服务中间件，电子设备基于数据分发服务的通信服务中间件对所述操作系统及中间件层进行安全保障，实现去中心化通信，从而保证通信稳定可靠。

S405、基于互相独立的融合定位硬件、激光定位硬件、视觉定位硬件对所述自动驾驶核心功能层进行定位安全保障。

如图2所示，配置了互相独立的融合定位硬件、激光定位硬件、视觉定位硬件。电子设备基于互相独立的融合定位硬件、激光定位硬件、视觉定位硬件对所述自动驾驶核心功能层进行定位安全保障，单一定位源故障，不影响系统正常运行。

S406、基于互相隔离的激光感知硬件、视觉感知硬件、超声波感知硬件对所述自动驾驶核心功能层进行感知安全保障。

如图2所示，配置了互相隔离的激光感知硬件、视觉感知硬件、超声波感知硬件。电子设备基于互相隔离的激光感知硬件、视觉感知硬件、超声波感知硬件对所述自动驾驶核心功能层进行感知安全保障，单一感知传感器故障，不影响系统正常感知，从而保证系统安全。

S407、基于互相独立的规划控制硬件、安全守卫硬件对所述自动驾驶核心功能层进行控制安全保障。

如图2所示，配置了互相独立的规划控制硬件、安全守卫硬件。电子设备基于互相独立的规划控制硬件、安全守卫硬件对所述自动驾驶核心功能层进行控制安全保障，单个硬件故障，不影响对线控车辆的控制。

本公开实施例通过基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障，采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障。进一步，基于实时操作系统对所述操作系统及中间件层进行安全保障，基于数据分发服务的通信服务中间件对所述操作系统及中间件层进行安全保障。同时，基于互相独立的融合定位硬件、激光定位硬件、视觉定位硬件对所述自动驾驶核心功能层进行定位安全保障，基于互相隔离的激光感知硬件、视觉感知硬件、超声波感知硬件对所述自动驾驶核心功能层进行感知安全保障，基于互相独立的规划控制硬件、安全守卫硬件对所述自动驾驶核心功能层进行控制安全保障。本公开解决了现有技术中难以保证自动驾驶的安全性，也难以保证在生产环境中的可靠性、可用性、稳定性的问题，本公开从传感器、系统架构、通信连接方式、硬件软件层面都做了冗余处理，一个出现故障，另一个仍能正常工作，充分保证自动驾驶的安全性，也保证系统在生产环境中的可靠性、可用性、稳定性。

图7为本公开实施例提供的基于分布式冗余架构的安全保障装置的结构示意图。该基于分布式冗余架构的安全保障装置可以是如上实施例的电子设备，或者基于分布式冗余架构的安全保障装置可以该电子设备中的部件或组件。本公开实施例提供的基于分布式冗余架构的安全保障装置可以执行基于分布式冗余架构的安全保障方法实施例提供的处理流程，如图7所示，基于分布式冗余架构的安全保障装置70包括：第一安全保障模块71、第二安全保障模块72、第三安全保障模块73、第四安全保障模块74；其中，第一安全保障模块71用于基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障；第二安全保障模块72用于采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障；第三安全保障模块73用于对所述操作系统及中间件层进行安全保障；第四安全保障模块74用于对所述自动驾驶核心功能层进行安全保障。

可选的，所述第一安全保障模块71基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障时，具体用于：基于激光雷达或摄像头进行360度环境感知；基于超声波进行预设区域的环境感知；采用冗余线控制动方式进行制动安全保障。

可选的，所述第二安全保障模块72采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障时，具体用于：采用分布式异构计算平台对所述计算平台/硬件能力层进行算力安全保障，并对所述分布式异构计算平台中的各个计算平台进行负载均衡；基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障；采用冗余的时间同步服务对分布式异构计算平台及传感器进行时间同步，所述时间同步服务包括基于以太网的时间同步服务、基于硬线连接的时间同步服务。

可选的，所述分布式异构计算平台至少包括两个中央处理器/图形处理器计算平台、一个微处理单元计算平台、一个现场可编程门阵列。

可选的，所述第二安全保障模块72基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障时，具体用于：基于预置的车载以太网双网架构、冗余的网络设备、冗余的连接端口、冗余的连接线对所述计算平台/硬件能力层进行通信安全保障；基于所述分布式异构计算平台中的各个计算平台与线控底盘之间独立的控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障。

可选的，所述第三安全保障模块73对所述操作系统及中间件层进行安全保障时，具体用于：基于实时操作系统对所述操作系统及中间件层进行安全保障；基于数据分发服务的通信服务中间件对所述操作系统及中间件层进行安全保障。

可选的，所述第四安全保障模块74对所述自动驾驶核心功能层进行安全保障时，具体用于：基于互相独立的融合定位硬件、激光定位硬件、视觉定位硬件对所述自动驾驶核心功能层进行定位安全保障；基于互相隔离的激光感知硬件、视觉感知硬件、超声波感知硬件对所述自动驾驶核心功能层进行感知安全保障；基于互相独立的规划控制硬件、安全守卫硬件对所述自动驾驶核心功能层进行控制安全保障。

图7所示实施例的基于分布式冗余架构的安全保障装置可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图8为本公开实施例提供的电子设备的结构示意图。该电子设备可以是终端，例如计算机，笔记本，车载电脑等。本公开实施例提供的电子设备可以执行基于分布式冗余架构的安全保障方法实施例提供的处理流程，如图8所示，电子设备80包括：存储器81、处理器82、计算机程序和通讯接口83；其中，计算机程序存储在存储器81中，并被配置为由处理器82执行如上所述的基于分布式冗余架构的安全保障方法。

另外，本公开实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现上述实施例所述的基于分布式冗余架构的安全保障方法。

此外，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机程序或指令，该计算机程序或指令被处理器执行时实现如上所述的基于分布式冗余架构的安全保障方法。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

在一些实施方式中，客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“LAN”)，广域网(“WAN”)，网际网(例如，互联网)以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：

对所述操作系统及中间件层进行安全保障；

对所述自动驾驶核心功能层进行安全保障。

另外，该电子设备还可以执行如上所述的基于分布式冗余架构的安全保障方法中的其他步骤。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种基于分布式冗余架构的安全保障方法，其特征在于，所述方法用于自动驾驶系统，自动驾驶系统包括传感器及底盘层、计算平台/硬件能力层、操作系统及中间件层、自动驾驶核心功能层，所述方法包括：

对所述操作系统及中间件层进行安全保障；

对所述自动驾驶核心功能层进行安全保障。

2.根据权利要求1所述的方法，其特征在于，所述基于多种传感器以及冗余线控制动方式对所述传感器及底盘层进行安全保障，包括：

基于激光雷达或摄像头进行360度环境感知；

基于超声波进行预设区域的环境感知；

采用冗余线控制动方式进行制动安全保障。

3.根据权利要求1所述的方法，其特征在于，所述采用分布式异构计算平台以及冗余的通信连接对所述计算平台/硬件能力层进行安全保障，包括：

4.根据权利要求3所述的方法，其特征在于，所述分布式异构计算平台至少包括两个中央处理器/图形处理器计算平台、一个微处理单元计算平台、一个现场可编程门阵列。

5.根据权利要求3所述的方法，其特征在于，所述基于冗余的网络通信连接、控制器局域网通信连接对所述计算平台/硬件能力层进行通信安全保障，包括：

6.根据权利要求1所述的方法，其特征在于，所述对所述操作系统及中间件层进行安全保障，包括：

7.根据权利要求1所述的方法，其特征在于，所述对所述自动驾驶核心功能层进行安全保障，包括：

8.一种基于分布式冗余架构的安全保障装置，其特征在于，所述装置用于自动驾驶系统，自动驾驶系统包括传感器及底盘层、计算平台/硬件能力层、操作系统及中间件层、自动驾驶核心功能层，所述装置包括：

9.一种电子设备，其特征在于，包括：

存储器；

处理器；以及

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如权利要求1-7中任一所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。