CN117693948A - 用于操作自动驾驶车辆的系统和方法 - Google Patents

Abstract

一种自动驾驶车辆(AV)包括允许AV遵守适用的法律和法规以执行安全驾驶操作的特征。一种用于AV的示例系统包括通信网关设备。通信网关设备包括多个模块，每个模块被配置用于不同通信介质或应用。特别地，多个模块包括用于与远程计算机通信的第一模块。经由第一模块，车辆操作数据被报告给远程计算机，并且指令数据从远程计算机被接收。模块还包括用于与位于车辆外部附近的设备进行通信的第二模块、以及被配置为与位于车辆内的子系统进行通信的第三模块。示例AV系统包括被配置为冗余的第二通信网关设备。

Description

用于操作自动驾驶车辆的系统和方法

相关申请的交叉引用

本专利文献要求于2021年7月25日提交的题为“SYSTEM AND METHOD FOR ANAUTONOMOUS VEHICLE”的第63/225,529号美国临时申请、和于2021年7月25日提交的题为“SYSTEM AND METHOD FOR AN AUTONOMOUS VEHICLE”的第63/225,506号美国临时申请的优先权和权益。上述申请的全部公开内容通过引用并入本文，作为本申请的公开内容的一部分。

技术领域

本公开总体上涉及自动驾驶车辆。更具体地，本公开涉及在公共道路、高速公路以及具有其他车辆或行人的位置上适当地操作自动驾驶车辆(AV)。

背景技术

自动驾驶车辆技术可以提供能够在具有有限的驾驶员辅助或没有驾驶员辅助的情况下安全地朝向目的地导航的车辆。自动驾驶车辆从一个位置到另一位置的安全导航可以包括向其他车辆发信号通知、在路肩或应急车道上导航绕过其他车辆、改变车道、在车道上适当偏斜、以及导航所有部分或类型的高速公路车道的能力。通过确保AV能够以对于周围驾驶员和行人而言明显、合乎逻辑或熟悉的方式安全地操作，自动驾驶车辆技术可以使得AV能够在不需要由周围驾驶员进行的广泛学习或训练的情况下操作。

发明内容

本文中描述了可以允许自动驾驶车辆从第一位置导航到第二位置的系统和方法。在一些实施例中，AV可以在没有人工驾驶员存在于AV中的情况下从第一位置导航到第二位置，并且遵守为了安全和合法操作的指令。特别地，AV的自主导航涉及AV与监督系统、云系统、远程计算机等之间的通信。示例实施例公开了通信网关设备及其配置，以启用AV与监督系统之间的通信。

在一个示例性方面，公开了一种自主驾驶系统。自主驾驶系统包括位于车辆中的计算机，并且该计算机被配置为确定用于车辆的自主操作的指令。例如，计算机确定指令并且将指令传输到车辆的各个子系统(例如，驱动子系统、动力子系统、转向子系统)以引起车辆的操作。

自主驾驶系统还包括通信网关设备，该通信网关设备与位于车辆中的计算机通信地耦合。通信网关设备被配置为与位于车辆外部的远程位置处的远程计算机(例如，监督系统)进行通信。例如，通信网关设备包括第一模块，该第一模块被配置为在位于车辆中的计算机与远程计算机之间无线地传送数据(第一数据)。在一些示例中，第一模块包括蜂窝通信子模块和/或卫星调制解调器。

通信网关设备还包括第二模块和第三模块。第二模块被配置为在位于车辆中的计算机与位于车辆外部附近的一个或多个设备、或位于车辆的局部区域内的一个或多个本地设备之间传送数据。例如，第二模块包括近场通信(NFC)子模块，并且第二模块被配置为检测车辆附近物理钥匙设备的存在。

第三模块被配置为在位于车辆中的计算机与位于车辆中或车辆上的一个或多个子系统之间传送数据。例如，第三模块包括一个或多个以太网接口或控制器局域网(CAN)接口中的至少一项。子系统包括传感器子系统，并且第三模块被配置为接收由传感器子系统收集的传感器数据(第三数据)。在一些实施例中，计算机被配置为基于分别从第一模块和第三模块接收到第一数据和第三数据来控制车辆的自主操作。

在一些实施例中，通信网关设备包括处理器，该处理器被配置为执行操作，该操作包括获取描述车辆的操作的操作数据。例如，操作数据包括由车辆的传感器子系统收集的传感器数据。该操作还包括将操作数据经由第一模块提供给远程计算机或者经由第二模块提供给一个或多个设备。该操作还包括经由第一模块从远程计算机接收指令数据。指令数据被配置为引起车辆的操作。

在一些实施例中，处理器被配置为执行操作还包括：经由第一模块接收包括定时信号的卫星信号；经由第三模块向位于车辆内的子系统提供定时信息，其中定时信息基于定时信号；以及经由第三模块接收由子系统根据定时信息而收集的传感器数据。在一些实施例中，处理器被配置为执行操作，该操作包括限定多个软件安全环境，每个软件安全环境对应于第一模块或第二模块中的一项。在一些实施例中，处理器被配置为执行操作，该操作包括响应于接收到包括NFC数据的第二数据，启用对车辆的内部部分的访问，NFC数据指示物理钥匙设备的存在。在一些实施例中，处理器被配置为执行操作，该操作还包括：确定第一数据不能经由第一模块与远程计算机进行传送；以及基于第一数据不能与远程计算机进行传送，向车辆控制计算机传输指示以引起车辆达到完全停止。

在另一示例性方面，公开了一种车辆的通信网关设备。通信网关设备包括第一模块、第二模块和第三模块。第一模块被配置为在位于车辆中的计算机与远程计算机之间无线地传送数据。第二模块被配置为在计算机与位于车辆的本区域域内的本地设备(例如，物理钥匙设备、维护系统、货物装载系统、仓库系统、收费系统等)之间传送数据。第三模块被配置为在计算机与位于车辆中或车辆上的一个或多个子系统之间传送数据。例如，子系统包括传感器子系统、驱动子系统、电源子系统等。

在另一示例性方面，公开了一种自动驾驶车辆。自动驾驶车辆包括计算机，该计算机被配置为向自动驾驶车辆的子系统传输指令以引起自动驾驶车辆的操作。自动驾驶车辆还包括通信地耦合到计算机的两个或更多个通信网关设备。每个通信网关设备被配置为与位于自动驾驶车辆外部的位置处的远程计算机通信。两个或更多个通信网关设备提供冗余，并且每个设备与网关优先级相关联，该网关优先级控制对应数据被存储、处理、传输等的顺序。

在另一示例性方面，描述了一种远程计算机。远程计算机被配置为与多个车辆进行远程通信。远程计算机包括被配置为执行操作的处理器，该操作包括确定多个车辆中的车辆的指令数据。指令数据基于先前从多个车辆中的一个或多个车辆接收的数据。该操作还包括标识与车辆相关联的一个或多个通信网关设备。该操作还包括向与车辆相关联的一个或多个通信网关设备中的每个通信网关设备传输指令数据。

在另一示例性方面，公开了一种用于多个车辆与远程计算机之间的远程通信的方法。该方法包括基于先前从多个车辆中的一个或多个车辆接收的数据来确定多个车辆中的车辆的指令数据；标识与车辆相关联的一个或多个通信网关设备；以及向与车辆相关联的一个或多个通信网关设备中的每个通信网关设备传输指令数据。

在一些实施例中，指令数据被配置为(i)由一个或多个通信网关设备提供给位于车辆上的控制计算机，以及(ii)引起车辆的操作。在一些实施例中，先前接收的数据是从针对一个或多个车辆中的每个车辆的一个或多个通信网关设备接收的，并且该数据包括从一个或多个车辆中的每个车辆的传感器子系统收集的传感器数据。在一些实施例中，该方法还包括：响应于指令数据包括流式传输请求，从与车辆相关联的一个或多个通信网关设备接收音频数据或图像数据。音频数据或图像数据是在从音频数据或图像数据在车辆处被收集时起的预定时间量内被接收的。在一些实施例中，该方法还包括向与车辆相关联的一个或多个通信网关设备传输定时信息，该定时信息被配置为控制在车辆处的传感器数据的收集。

在另一示例性方面，一种用于操作自动驾驶车辆的系统包括计算机，该计算机包括被配置为执行本专利文献中描述的方法或操作的处理器。

在另一示例性方面，本专利文献中描述的方法或操作体现在非暂态计算机可读存储介质中。该非暂态计算机可读存储介质包括代码，该代码在由处理器执行时引起处理器执行本专利文献中描述的方法。

在另一示例性实施例中，公开了一种设备，该设备被配置为或可操作以执行本文中描述的方法或操作。在又一示例性实施例中，一种系统包括位于车辆中的计算机，该计算机包括被配置为实现本文中描述的方法的处理器。

上述和其他方面及其实现在附图、说明书和权利要求书中更详细地描述。

附图说明

为了更完整地理解本公开，现在参考以下结合附图和详细描述而给出的简要描述，其中相同的附图标记表示相同的部分。

图1示出了自动驾驶车辆的示例车辆生态系统的框图。

图2示出了鉴于自动驾驶车辆的健康和/或周围环境来安全地操作自动驾驶车辆的流程图。

图3示出了包括一个或多个自动驾驶车辆、具有人工操作员(例如，远程中心操作员(RCO))的控制中心或监督系统、以及用于第三方交互的接口的系统。

图4示出了与监督系统、控制塔、控制中心等相关联的远程计算机的示例性框图。

图5提供了被配置为启用自动驾驶车辆与监督系统之间的通信的通信网关设备的概览图。

图6示出了包括两个或更多个通信网关设备的示例冗余网关配置。

图7示出了包括两个或更多个通信网关设备的另一示例冗余网关配置。

图8示出了包括两个或更多个通信网关设备的另一示例冗余网关配置。

图9示出了包括两个或更多个通信网关设备的另一示例冗余网关配置。

图10示出了通信网关设备的示例实现的图。

图11示出了通信网关设备的另一示例实现的图。

图12示出了通信网关设备的另一示例实现的图。

图13示出了通信网关设备的另一示例实现的图。

图14示出了多个通信网关设备的示例实现的图。

图15是由远程计算机实现的示例方法的流程图。

具体实施方式

法律上要求穿越高速公路和道路的车辆在车辆的安全操作方案中遵守法律和法规。对于自动驾驶车辆(AV)，特别是自主拖拉机拖车，识别其系统中的故障并且安全停车的能力可以使车辆合法且安全地操作。以下详细描述用于自动驾驶车辆在道路上的安全合法操作的系统和方法，包括使自动驾驶车辆遵守法律同时向周围车辆发信号通知其状况的机动行动的执行。

该专利文献在下面的第I节中描述自动驾驶车辆的示例车辆生态系统以及自动驾驶车辆的驾驶相关操作。第II节描述用于一个或多个自动驾驶车辆的控制中心或监督系统、以及其各种示例特征、以及由此执行的操作/过程。第III节和第IV节描述用于自动驾驶车辆的通信网关设备以及由自动驾驶车辆执行的与通信网关设备相关的操作。以下各个部分的示例标题用于促进理解所公开的主题，并且不以任何方式限制所要求保护的主题的范围。因此，一个示例部分的一个或多个特征可以与另一示例部分的一个或多个特征组合。

该专利文献使用很多缩写和不常见的术语。例如，“GNSS”或“GPS”可以是指卫星导航系统；当提及诸如警车、救护车、消防车、拖车等应急车辆时，可以使用缩写“EV”；缩写词“TTC”表示“碰撞时间”；“NPC”是指非玩家角色，并且可以包括不是图1中的自动驾驶车辆的任何其他车辆。例如，任何周围的车辆、摩托车、自行车等(其是手动驱动或自主驱动的，并且可以不与自动驾驶车辆通信)可以被认为是NPC；“k型匝道”表示特定配置的高速公路入口/出口匝道；“STV”指示停止的车辆；“ELV”可以指示报废或残疾车辆，诸如路边的残疾车辆；“OBO”可以是指自动驾驶车辆的车载操作员或人工操作员，其在自动驾驶车辆的检查、启动和/或结束行程或任务期间临时进行控制以提供协助；“LC”可以是变道的缩写。

I.自动驾驶车辆的示例生态系统

图1示出了包括自动驾驶车辆105的系统100。自动驾驶车辆105可以包括半挂卡车的牵引车。自动驾驶车辆105包括多个车辆子系统140和车载控制计算机150。多个车辆子系统140包括车辆驱动子系统142、车辆传感器子系统144、和车辆控制子系统146。发动机或电机、车轮和轮胎、变速器、电气子系统和动力子系统可以被包括在车辆驱动子系统中。自主卡车的发动机可以是内燃发动机、燃料电池驱动的电发动机、电池驱动的电发动机、混合动力发动机、或能够移动自动驾驶车辆105在其上移动的车轮的任何其他类型的发动机。自动驾驶车辆105可以具有多个电机或致动器来驱动车辆的车轮，使得车辆驱动子系统142包括两个或更多个电驱动电机。变速器可以包括连续可变变速器或一组齿轮，这些齿轮将由发动机产生的动力转化为驱动车辆车轮的力。车辆驱动子系统可以包括电气系统，该电气系统监测并且控制电流到系统内的组件(包括泵、风扇和致动器)的分配。车辆驱动子系统的动力子系统可以包括调节车辆的动力源的组件。

车辆传感器子系统144可以包括用于自动驾驶车辆105的一般操作的传感器，包括指示自动驾驶车辆中故障或自动驾驶车辆执行有限或最小风险条件(MRC)机动或紧急驾驶机动的另一原因的传感器。驾驶操作模块(如图1中的168所示)可以通过发送指令来执行MRC机动，该指令引起自动驾驶车辆沿着轨迹转向到道路的一侧并且施加制动，使得自动驾驶车辆可以安全地停在道路的一侧。用于自动驾驶车辆的一般操作的传感器可以包括相机、温度传感器、惯性传感器(IMU)、全球定位系统、光传感器、LIDAR/LiDAR系统、雷达系统和无线通信。

声音检测阵列(诸如麦克风或麦克风阵列)可以被包括在车辆传感器子系统144中。声音检测阵列的麦克风被配置为接收当局存在的音频指示或来自当局的指令，包括警报器和诸如“靠边停车”等命令。这些麦克风安装或定位在车辆的外部部分上，特别是在自动驾驶车辆105的牵引车部分的外部。麦克风可以是任何合适的类型，其被安装成使得其在自动驾驶车辆105静止时以及在自动驾驶车辆105以行驶速度移动时都是有效的。

车辆传感器子系统144中包括的相机可以是后向的、前向的，和/或提供自主卡车105的侧视图，使得来自应急车辆的灯光可以从自主卡车105周围被观察到。这些相机可以包括视频相机、具有特定波长的滤波器的相机、以及适合于基于颜色、闪烁或颜色和闪烁两者来检测紧急车辆灯光的其他相机。

车辆控制子系统146可以被配置为控制自动驾驶车辆或卡车105及其组件的操作。因此，车辆控制子系统146可以包括各种元件，诸如发动机功率输出子系统、制动单元、导航单元、转向系统和自主控制单元。发动机功率输出可以控制发动机的操作，包括产生的扭矩或提供的马力，以及提供对变速器的档位选择的控制。制动单元可以包括被配置为使自动驾驶车辆105减速的机构的任何组合。制动单元可以使用摩擦以标准方式使车轮减速。制动单元可以包括防抱死制动系统(ABS)，ABS可以防止刹车在被制动时抱死。导航单元可以是被配置为确定自动驾驶车辆105的驾驶路径或路线的任何系统。导航单元还可以被配置为在自动驾驶车辆105操作时动态地更新驾驶路径。在一些实施例中，导航单元可以被配置为合并来自GPS设备的数据和一个或多个预定地图，以便确定自动驾驶车辆105的驾驶路径。转向系统可以表示可以可操作以在自主模式或驾驶员控制模式下调节自动驾驶车辆105的航向的机构的任何组合。

自主控制单元可以表示控制系统，该控制系统被配置为标识、评估并避免或以其他方式协商自动驾驶车辆105的环境中的潜在障碍。通常，自主控制单元可以被配置为在没有驾驶员的情况下控制自动驾驶车辆105进行操作，或者在控制自动驾驶车辆105方面提供驾驶员辅助。在一些实施例中，自主控制单元可以被配置为合并来自GPS设备、RADAR、LiDAR、相机和/或其他车辆子系统的数据，以确定自动驾驶车辆105的驾驶路径或轨迹。自主控制可以激活自动驾驶车辆105的系统，该系统可以不存在于常规车辆中，包括为了自动驾驶车辆的安全操作可以允许自动驾驶车辆与周围驾驶员通信或向周围车辆或驾驶员发信号通知的那些系统。

车载控制计算机150(其可以称为VCU)包括车辆子系统接口160、驾驶操作模块168、一个或多个处理器170、合规模块166、存储器175和网络通信子系统177。该车载控制计算机150响应于来自各种车辆子系统140的信息而控制自动驾驶车辆105的很多(如果不是全部的话)操作。一个或多个处理器170执行操作，该操作允许系统确定自动驾驶车辆的健康/状态，诸如自动驾驶车辆是否发生故障或遇到需要服务的情况或偏离正常操作并且给出指令。来自车辆传感器子系统144的数据被提供给VCU 150，使得自动驾驶车辆的状态可以被确定。合规模块166确定自动驾驶车辆105应当采取什么行动来根据适用的(例如，当地的)法规进行操作。来自车辆传感器子系统144的数据可以被提供给合规模块166，使得可以鉴于自动驾驶车辆的状态适当地确定和执行最佳行动方案。备选地或附加地，合规模块166可以结合另一操作或控制模块(诸如驾驶操作模块168)来确定行动方案。

存储器175也可以包含附加指令，包括向车辆驱动子系统142、车辆传感器子系统144和车辆控制子系统146(包括自主控制系统)中的一个或多个传输数据、从其接收数据、与之交互、或控制其的指令。车载控制计算机(VCU)150可以基于从各种车辆子系统(例如，车辆驱动子系统142、车辆传感器子系统144和车辆控制子系统146)接收的输入来控制自动驾驶车辆105的功能。此外，VCU 150可以向车辆控制子系统146发送信息，以指导自动驾驶车辆105的轨迹、速度、信令行为等。例如，VCU 150中的合规模块166和/或驾驶操作模块168可以向自动驾驶车辆105的一个或多个设备发送指令。一个或多个设备可以包括车辆驱动子系统142、车辆传感器子系统144或车辆控制子系统146中的一个或多个设备。由VCU 150发送到自动驾驶车辆105中的一个或多个设备的这些指令被配置为实现并且产生由一个或多个设备根据这些指令而执行的某些操作和行动。由发送到一个或多个设备的指令产生的操作可以一起形成由自动驾驶车辆105执行的驾驶相关操作。例如，VCU 150可以向转向系统中的电机、制动单元中的致动器、和/或发动机发送指令以引起一个或多个设备根据这些指令进行操作，使得自动驾驶车辆105执行机动、或转向以按照指定的(例如，经由指令)速度和/或加速度/减速度遵循轨迹。因此，由VCU 150提供的指令可以允许自动驾驶车辆105遵循轨迹以从自动驾驶车辆正在其中操作的当前车道转向相邻车道或道路上的路肩区域(例如，紧急停车车道或道路一侧的区域)。自主控制车辆控制子系统可以从VCU 150的合规模块166接收要采取的行动方案，并且因此将指令中继到其他子系统以执行该行动方案。在下面的第III至IV节中，该专利文献描述自动驾驶车辆或系统执行某些功能或操作。所描述的这些功能和/或操作可以由合规模块166和/或驾驶操作模块168执行。

图2示出了鉴于自动驾驶车辆的健康和/或周围环境来安全地操作自动驾驶车辆的流程图。尽管出于说明的目的，该图以特定顺序描述功能步骤，但该过程不限于任何特定顺序或步骤布置。相关领域的技术人员将理解，该图中描绘的各种步骤可以以各种方式省略、重新布置、组合和/或适配。

如图2所示，在步骤205中，车辆传感器子系统144接收指示自动驾驶车辆的环境条件的视觉信号、听觉信号、或视觉和听觉信号两者、以及车辆健康或传感器活动数据。这些视觉和/或听觉信号数据从车辆传感器子系统144被传输到车载控制计算机系统(VCU)150，如在步骤210中。在步骤215中，驾驶操作模块和合规模块中的任一者接收从车辆传感器子系统传输的数据。然后，在步骤220中，这些模块中的一个或两个确定自动驾驶车辆的当前状态是否可以允许其以通常的方式进行、或者自动驾驶车辆是否需要改变其路线以防止损坏或伤害或者允许服务。指示需要改变自动驾驶车辆的路线的信息可以包括传感器故障的指示符；自动驾驶车辆的操作所需要的发动机、制动器或其他组件故障的指示符；来自当局的视觉指示的确定，诸如照明弹、锥形物或标牌；道路上存在的当局人员的确定；道路上的执法车辆接近自动驾驶车辆的确定，包括从哪个方向；以及执法车辆或第一响应车辆远离自动驾驶车辆或在与自动驾驶车辆分离的道路上移动的确定。在步骤225中，指示需要改变自动驾驶车辆的行动方案或驾驶相关操作的该信息可以由合规模块用来制定要采取的新行动方案，该新行动方案考虑到自动驾驶车辆的健康和周围环境。要采取的行动可以包括减速、停车、驶入路肩、改变路线、停留在同一整体路线上的同时改变车道等。要采取的行动方案可以包括发起与自动驾驶车辆上存在的任何监督或人机交互系统的通信。在步骤230中，可以将要采取的行动方案从VCU 150传输到自主控制系统。然后在步骤235中，车辆控制子系统146使自动驾驶车辆105根据从VCU 150接收的要采取的行动方案来操作。

应当理解，本文中公开的过程中步骤的特定顺序或层次结构是示例性方法的一个示例。基于设计偏好，可以理解，在保持在本公开的范围内的同时，过程中步骤的特定顺序或层次结构可以重新布置。所附方法要求以样本顺序呈现各种步骤的元素，并不表示局限于所呈现的特定顺序或层次结构。

II.自主卡车监督系统

图3示出了包括一个或多个自动驾驶车辆105、具有操作员355的控制中心或监督系统350、以及用于第三方360交互的接口362的系统。人工操作员355也可以称为远程中心操作员(RCO)。自动驾驶车辆105、监督系统350与用户接口362之间的通信通过网络370来进行。在一些情况下，在并非车队中的所有自动驾驶车辆105都能够与监督系统350通信的情况下，自动驾驶车辆105可以通过网络370彼此通信，或者经由自组织通信链路直接彼此通信。如关于图1所述，每个自动驾驶车辆105的VCU 150可以包括用于网络通信的模块177。

自主卡车可以与监督系统通信。监督系统可以用于多种目的，包括：跟踪一个或多个自动驾驶车辆(例如，自主卡车)的进度；跟踪自动驾驶车辆车队的进度；向一个或多个自动驾驶车辆发送操纵指令；监测(多个)自动驾驶车辆的健康状况；监测与监督系统接触的每个自动驾驶车辆的货物的状态；促进第三方(例如，执法部门、货物正被运输的客户)与每个或特定自动驾驶车辆之间的通信；允许跟踪与监督系统通信的特定自主卡车(例如，车队中的车辆子集的第三方跟踪)；布置自动驾驶车辆的维护服务(例如，换油、加油、保持其他液体的液位)；向受影响的自动驾驶车辆报警可能对路线或交付计划产生不利影响的交通或天气变化；推动自主卡车的空中更新以使所有组件保持最新；以及提高自动驾驶车辆、其货物及其周围环境的安全性的其他目的或功能。监督系统还可以确定自动驾驶车辆或自主卡车的性能参数，包括以下中的任何一项：数据日志记录频率、压缩率、位置、数据类型；通信优先级；自动驾驶车辆的维修频率(例如，维修之间的里程数)；应当在何时执行最小风险条件(MRC)机动，同时在机动期间监测车辆的进度；应当在何时将自动驾驶车辆的控制权移交给人工驾驶员(例如，在目的地停车场)；确保自动驾驶车辆通过行车前检查；确保自动驾驶车辆在检查站和称重站执行或遵守法律要求；确保自动驾驶车辆在路障、人行横道、十字路口、施工或事故现场执行或遵守人的指示；等等。

由监督系统或指挥中心执行的功能中的一些功能包括向被监测车队中的自动驾驶车辆中继空中实时天气更新的能力。空中天气更新可以被推送给车队中的所有自动驾驶车辆，也可以只被推送给目前正在执行货运任务的自动驾驶车辆。备选地或附加地，可以优先推送或传输空中天气报告给当前在通往天气事件或在天气事件预定半径内的轨道或路线上的车队车辆。

由监督系统或指挥中心执行的功能可以涵盖的另一功能是在货物运输任务开始之前将拖车元数据(metadata)传输到自动驾驶车辆的计算单元(VCU)。拖车元数据可以包括正在传输的货物的类型、货物的重量、货物的温度阈值(例如，拖车内部温度不应当低于或高于预定温度)、时间敏感性、加速/减速敏感性(例如，由于货物的脆性，急动可能很糟糕)、沿着拖车长度的拖车重量分布、拖车内的货物包装或堆放等。

监督系统或指挥中心可以由一个或多个人员操作，也称为操作员或远程中心操作员(RCO)。操作员可以设置自动驾驶车辆健康参数的阈值，使得当自动驾驶车辆达到或超过阈值时，可以采取预防措施。可以由操作员建立阈值的车辆健康参数的示例可以包括以下中的任何一项：燃料水平；油位；自上次维护以来行驶的英里数；检测到轮胎气压低；清洁液液位；制动液液位；转向和制动子系统的响应性；柴油废气油液(DEF)液位；通信能力(例如，缺乏响应性)；定位传感器能力(例如，GPS、IMU故障)；碰撞检测(例如，车辆碰撞)；感知传感器能力(例如，相机、LIDAR、雷达、麦克风阵列故障)；计算资源能力(例如，VCU或ECU故障或缺乏响应性、计算单元中的温度异常)；牵引情况下拖拉机与拖车之间的角度(例如，拖拉机拖车、18轮车或半卡车)；活体(例如，人或动物)未经授权进入自主卡车内部；等等。预防措施可以包括执行最小风险条件(MRC)机动、寻求服务、或者离开高速公路或对自动驾驶车辆负担较小的其他这样的改道。系统健康数据达到或超过在监督系统处设置的阈值或由操作员设置的阈值的自动驾驶车辆可以接收从监督系统自动发送的指令以执行预防措施。

操作员可以意识到影响与监督系统通信或由监督系统监测的一个或多个自动驾驶车辆的情况，而(多个)受影响的自动驾驶车辆可能不知道。这样的情况可以包括：交通流量的不规则或突然变化(例如，交通堵塞或事故)；天气突变；能见度突变；紧急情况(例如，火灾、沉孔、桥梁故障)；影响信号灯的停电；意外的道路工程；大的或模糊的道路碎片(例如，自动驾驶车辆无法标识的物体)；道路上的执法活动(例如，汽车追逐或道路清理活动)；等等。自动驾驶车辆可能无法检测到的这些类型的情况可以通过交通报告、执法通信、与监督系统通信的其他车辆的数据、该区域其他车辆驾驶员的报告、以及类似的分布式信息场所来提请监督系统操作员注意。由于传感器系统的限制或缺乏对信息分发部件的访问(例如，没有与气象机构的直接通信)，自动驾驶车辆可能无法检测到这样的情况。在监督系统的操作员可以将这样的信息推送给与监督系统进行通信的受影响的自动驾驶车辆。受影响的自动驾驶车辆可以响应于从监督系统推送的信息来改变其路线、轨迹或速度。在一些情况下，由监督系统接收的信息可以触发阈值条件，该阈值条件指示MRC(最小风险条件)机动是有保证的；备选地或附加地，操作员可以评估情况，并且确定受影响的自动驾驶车辆应当执行MRC机动，并且随后向受影响车辆发送这样的指令。在这些情况下，从监督系统或监督系统操作员接收信息或指令的每个自动驾驶车辆可以使用其车载计算单元(例如，VCU)来确定如何安全行驶，包括执行MRC机动，包括靠边停车或停车。

远程中心操作员(RCO)可以与自动驾驶车辆或自动驾驶车辆车队进行的其他交互包括以下中的任何一项：预先计划的事件避免；实时路线信息更新；实时路线反馈；跟踪连接状态；第一响应者通信请求处理；(多个)有攻击性的周围车辆的通知；施工区域变更的标识；自动驾驶车辆相对于其操作设计域(ODD)的状态，诸如当自动驾驶车辆接近或进入ODD之外的状态时向RCO发出警报；自动驾驶车辆何时在距离收费站的阈值距离内的RCO通知，并且与自动驾驶车辆或收费机构的适当指令/通信可以被发送，以允许自动驾驶车辆绕过收费站；自动驾驶车辆何时绕过收费站的RCO通知；自动驾驶车辆何时在距离称重站阈值距离内的RCO通知，并且与自动驾驶车辆或适当机构的适当指令/通信可以被发送，以允许自动驾驶车辆绕过称重站；自动驾驶车辆绕过称重站的RCO通知；从RCO向自动驾驶车辆通知关于调度或加油或维护的需要；第三方进入自动驾驶车辆驾驶室的RCO授权；RCO启动/重新启动车辆上的自主驾驶系统(ADS)的能力；管理员(可能是RCO)为系统用户设置角色的能力，包括地勤人员、执法人员和第三方(例如，客户、货物所有者)；RCO支持与车队车辆的服务维护系统进行通信；从自动驾驶车辆向RCO通知加速事件；从RCO到自动驾驶车辆的即使在通信中断的情况下也要继续其任务的指令；在执行MRC机动期间和之后对自动驾驶车辆的RCO监测；在自动驾驶车辆准备开始任务或自动驾驶车辆预计到达的设施处，支持自动驾驶车辆与车场操作员之间的连续通信；自动驾驶车辆上的软件系统的监督系统监测、以及监督系统在软件系统受损时接收警报；等等。

监督系统或指挥中心可以允许第三方与监督系统操作员、与自主卡车、或与人工系统操作员和自主卡车两者进行交互。第三方可以是其货物正在运输的客户、执法或紧急服务提供商、或者在需要服务时协助自主卡车的人员。在与第三方的交互中，监督系统可以识别不同级别的访问，使得只有关心装运时间或进度的客户被允许查看自主卡车的状态更新，或者可以能够查看状态并且向监督系统提供关于优先考虑哪些参数(例如，速度、经济性、维持最初计划的路线)的输入。通过向监督系统提供关于参数优先级的输入，客户可以影响自主卡车的路线和/或操作参数。

本文中描述的自动驾驶车辆、特别是自主卡车可以被配置为在遵守适用规则、法律和法规的同时安全穿越路线的行动可以包括由人工驾驶的自主卡车成功完成的行动。这些行动或操纵可以被描述为卡车的特征，因为这些行动可以是存储在VCU 150(车载控制计算机单元)上的可执行程序。例如，VCU 150执行操作，包括与对某些类型的条件或物体的检测的反应相关的操作，诸如：在山丘上的适当运动；在弯道上的适当运动、在高速公路出口处的适当运动；响应于以下情况的适当运动或行动：检测到一个或多个停下来的车辆，检测到应急车道上的一个或多个车辆；检测可以正在接近自动驾驶车辆的具有闪光灯的应急车辆；响应于检测到一个或多个大型车辆接近、邻近或即将邻近自动驾驶车辆而进行的运动；在标识和分类行人、骑自行车的人等(例如，由VCU 150)之后，响应于这样的行为体的运动或行动；响应于道路的弯曲或倾斜部分的运动或行动；和/或响应于标识公路或高速公路上的上下坡道而遇到十字路口的运动；在相邻车道或交通区域内执行并入交通；检测到需要清洁一个或多个传感器以及清洁(多个)适当的传感器；执法/应急车辆和人员的标识以及相关指示或法规的遵守；必要时执行最低风险条件机动；以及标识道路碎片或未知物体；等等。自主卡车的其他特征可以包括任何类型的操纵所需要的行动或特征，包括实现上述反作用的特征或行动所需要的行动或特征。

支持特征可以包括：安全变道；操作自主卡车上的转向信号灯，以向其他驾驶员警告预期运动变化；使自主卡车在其车道上偏斜(例如，远离车道中心移动以适应相邻车辆或近距离物体的运动或大小)；保持适当跟车距离的能力；以适当的信令和运动向右和向左转弯的能力等等。支持特征还可以包括：环岛导航能力；根据环境光线和遵守当地法律的需要，使用车载灯进行适当照明的能力；施加任何给定行动所需要的最小减速度；随时确定位置；适配针对拖车负载分布的动态车辆控制，不包括车轮调节；发射(达到目标速度)、加速、停止和让步；在有颠簸和坑洞的道路上作业；在路肩上进入最小风险条件(MRC)；基于沿着路线的位置访问当地法律法规；在沥青、混凝土、混合级配、刮路和砾石上作业；对入口匝道处的计量灯/信号作出响应的操作能力；在宽度高达预定宽度的道路上操作；能够在有足够停车距离的人行横道上停车；双向左转车道；在有入口和出口匝道的道路上作业；利用车辆喇叭与其他驾驶员通信，等等。本专利文献中描述的一个或多个特征和/或一个或多个支持特征可以组合并且可以由自主卡车中的车载控制计算机执行。

在一些实施例中，行动或特征可以被视为支持特征，并且可以包括：速度控制；保持直线路径的能力；等等。这些支持特征以及上面列出的反作用特征可以包括控制或改变转向、发动机功率输出、制动或其他车辆控制子系统146。下面将更详细地讨论上面列出的反作用特征和支持特征。

如上所述，自动驾驶车辆可以与监督系统通信，监督系统可以用于与自动驾驶车辆的操作相关的各种目的，诸如但不限于监测和/或触发MRC故障条件。

图4示出了与监督系统相关联的远程计算机400的示例性框图。监督系统(如图3中的350所示)可以包括远程计算机400，远程计算机400可以位于自动驾驶车辆外部的位置处。在本专利文献中，与由监督系统执行的操作相关的描述可以由远程计算机400中的监督模块(如图4中的425所示)执行。远程计算机400包括至少一个处理器410和其上存储有指令的存储器405。该指令在由处理器410执行时将远程计算机400配置为执行与监督模块425相关的操作，其中监督模块425可以执行与监督系统相关的操作(如至少在图1至图3中以及在本专利文献中描述的各种实施例中所述)。远程计算机400可以包括一个或多个服务器。传输器415向一个或多个自动驾驶车辆传输或发送信息或数据，并且接收器420从一个或多个自动驾驶车辆接收信息或数据。根据各种实施例，传输到一个或多个自动驾驶车辆和从一个或多个自动驾驶车辆接收的信息或数据可以包括本文中描述的通信、操作、过程等。

应当理解，在一些实施例中，远程计算机400可以是云计算平台或多处理器平台。例如，处理器410包括多个处理器。因此，在一些实施例中，远程计算机400包括多个计算设备，这些计算设备可以位于不同位置并且协作以执行与远程计算机400相关联的功能。

在一些实施例中，处理器410被配置为根据存储在存储器405上的指令执行操作。例如，在一些实施例中，处理器410被配置为执行操作，该操作包括基于先前从多个车辆中的一个或多个车辆接收的数据来确定多个车辆中的车辆的指令数据；标识与车辆相关联的一个或多个通信网关设备；以及向与车辆相关联的一个或多个通信网关设备中的每个通信网关设备传输指令数据。在一些实施例中，远程计算机400存储与同给定车辆相关联的一个或多个通信网关设备中的每个通信网关设备相关联的唯一标识符。因此，为了与给定车辆通信，远程计算机400被配置为使用唯一标识符向给定车辆的每个通信网关设备传输数据。例如，唯一标识符包括通信网关设备的网络地址。

在一些实施例中，处理器410被配置为执行操作，该操作包括基于先前从多个车辆中的一个或多个车辆接收的数据来确定多个车辆中的车辆的指令数据；标识与车辆相关联的一个或多个通信网关设备；以及向与车辆相关联的一个或多个通信网关设备中的每个通信网关设备传输指令数据。

在一些实施例中，指令数据被配置为(i)由一个或多个通信网关设备提供给位于车辆上的控制计算机，以及(ii)引起车辆的操作。在一些实施例中，先前接收的数据是从针对一个或多个车辆中的每个车辆的一个或多个通信网关设备接收的，并且该数据包括从所述一个或多个车辆中的每个车辆的传感器子系统收集的传感器数据。在一些实施例中，处理器410还被配置为执行以下操作：响应于指令数据包括流式传输请求，从与车辆相关联的一个或多个通信网关设备接收音频数据或图像数据。音频数据或图像数据是在从音频数据或图像数据在车辆处被收集时起的预定时间量内被接收的。在一些实施例中，处理器410还被配置为执行以下操作：向与车辆相关联的一个或多个通信网关设备传输定时信息，该定时信息被配置为控制在车辆处的传感器数据的收集。

III.示例通信网关

本文中描述了自动驾驶车辆通信网关的系统配置或实现的一些实施例。本文中包括与AV通信网关相关的硬件架构、接口、操作、功能性能、安全和电磁干扰/电磁兼容性(EMI/EMC)规范的示例配置或实现。本文中描述的实施例提供了用于将组件实现分配给最低级别的系统配置项以及这些配置项之间的接口的示例基础。根据一些实施例，通信网关可以允许监督系统(例如，监督系统的远程计算机400)与一个或多个自动驾驶车辆之间的通信。在一些实施例中，自动驾驶车辆的通信网关在一个或多个车载系统(例如，自主驾驶系统)与监督系统之间提供高吞吐量、可靠并且安全的通信网络。

在一些实施例中，通信网关被配置为直接与自主域控制器(ADC)单元和组件进行接口连接，并且提供用于记录传感器数据的存储(如图12-图14所示，并且在下文中公开)。ADC单元形成车辆的自主系统，并且每个ADC单元执行特定角色，诸如感知或传感器数据收集。ADC单元中的每个与其他ADC单元、通信网关、VCU和监督系统通信，并且每个ADC单元被配置为读取和写入车辆的存储器设备。在一些实施例中，ADC单元对应于车辆子系统，诸如图1所示的车辆子系统。例如，图1所示的每个子系统直接与通信网关进行接口连接。

在一些实施例中，每个自动驾驶车辆可以配备有一个或多个通信网关。通信网关可以具有进行以下中的任何一项的能力：允许AV到监督系统通信(即，V2C)和监督系统到AV通信(C2V)；允许两种或更多种可靠并且安全的方式将数据从车辆传送到监督系统或远程数据存储(例如，云存储)，反之亦然；允许AV到AV通信(V2V)；传输指示通信网关的可用性、状态、健康状况等的信息；确认接收的通信(例如，经由向监督系统传输确认消息或响应)；确保AV与监督系统之间的远程命令的安全性；以设置的时间间隔可靠地传达AV的位置；使得监督系统能够ping该AV以获取位置和车辆健康状态；允许各种传感器数据直接流式传输到命令或监督系统(例如，在传感器收集数据的预定时间量内传输传感器数据、图像数据、音频数据)；允许AV与监督系统之间的自主警报；符合ISO 21434标准；支持AV与远程数据存储/监督系统之间的双向优先数据流；支持MRC(最小风险条件)机动命令的安全发布和接收；允许监督系统RCO访问重要的AV系统数据，以允许不间断的AV操作；网关的注册；商业级物理/环境稳健性；提供针对第三方应用在系统中共存的能力；利用现有AV电源或提供独立于常规车辆发电的自身电源的能力；至少具有天线；具有存储和转发日志和跟踪的能力；支持网关的安全终止和基于远程路由的配置；支持向监督机构发送高精度的基于位置的信息；有足够的存储容量用于基本通信；能够进行卫星通信；能够支持路边救援解决方案；等等。

监督系统可以能够发出最低风险控制或条件(MRC)命令，并且自动驾驶车辆系统将向监督系统反馈关于其正在执行的任务的信息(例如，路线、装载的货物、出发时间、货物重量、加油需求、客户或第三方、预期到达时间)，并且该信息可以经由诸如通过通信网关的通信来交换。通信网关可以被配置为优先处理与MRC命令相关的通信，包括与MRC机动或命令的执行状态相关的通信。自动驾驶车辆上的系统(包括通信网关)可以允许：V2C/C2V通信路径的恒定或接近恒定的可用性；监督系统进入自动驾驶车辆的驾驶室；将健康更新从自动驾驶车辆推送到监督系统和/或授权的第三方；授权的远程控制操作员(RCO)的任何特定查询；加密技术和支持技术(例如，近场通信(NFC))的使用；至少部分地在本地更新通信网关；至少部分地通过空中安全地更新通信网关；通信网关充当支持对自动驾驶车辆的安全远程访问的标准化服务的客户端的能力；通信网关存储驱动简档的能力；以及通信网关存储外部通信设备简档的能力。

在配备有一个或多个通信网关的自动驾驶车辆中，每个通信网关可以具有以下安全特征中的至少一项：具有可熔秘密的硬件安全模块/安全飞地(enclave)；通信网关与辅助电力单元(APU)之间的可信关系(例如，一个或多个通信网关连接到辅助电力单元，通信网关连接到一个或多个辅助电力单元)；安全地维护单独域的能力；高速缓存和管理车辆权利的能力；区分信任/信任层次结构的多个根的能力；当网关处于“工厂模式”或其默认设置时安全地与专有监督接口配对的能力；保护其自己的密钥材料(例如，包括通信凭证、标识符、敏感信息等的密钥材料)的能力；充当操作系统和应用级密钥材料的硬件安全模块的能力；经由单独的秘密支持安全引导以保护AV系统的能力；可以对软件进行签名并且测量完整性；可以安全地监测和控制内部过程控件；可以以防御外部攻击的方式管理控制器局域网(CAN/FD-CAN)连接；可以管理外部连接以防止系统的损害；本地物理存储加密；严格绑定资源以防止系统受到外部攻击或受到损害的机制；提供安全的内部消息总线以在网关和AV系统内交换数据；轮换所有关键材料并且对每个秘密进行不同级别的访问的能力；对于最小风险条件(MRC)机动，可以远程进行命令的完全配置管理；可以通过适当的密钥对用于MRC机动的命令加密和签名；可以通过数据来确定由通信网关分配的隐私要求；通信网关可以改变安全级别以在使用期间提供正确的安全级别；可以基于用例来评估和启用接入点名称(APN)安全特征；SIM卡可以被验证是否存在安全漏洞；通信模块可以不被用作耗尽车辆电池以引起拒绝服务情况的方式；设备秘密可以不被跨车队共享；等等。

图5提供了示出示例通信网关架构的高级视图的图。如图5所示，示例网关500可以包括各种组件，包括：主机处理器；硬件安全模块；以太网交换机；CAN接口；WiFi模块；蓝牙低能耗(BLE)模块；卫星调制解调器；蜂窝通信模块(例如，启用LTE通信、5G通信等)；NFC模块；定时模块；存储；音频流式传输组件；视频流式传输组件；安全加速器；外部看门狗；全球导航卫星系统(例如，全球定位系统)；V2X(车辆到一切)无线组件；以及健康监测组件。在一些实施例中，流式传输组件被配置用于在音频数据或视频数据被收集的预定时间量内将音频数据或视频数据传输到远程计算机。在一些实施例中，响应于从远程计算机接收的对要流式传输的数据的请求或指令，音频数据或视频数据被流式传输。

如图5中进一步所示，通信网关500启用自动驾驶车辆与监督系统350之间的云通信、本地外部通信(例如，与制造运营商、测试运营商、维护运营商、任务运营商)、以及车辆内部和沿着车辆的通信(例如，在自主驾驶系统与各种控制器、传感器、设备等之间)。

因此，在一些实施例中，通信网关500包括第一模块，该第一模块被配置为在位于车辆中的计算机与位于车辆外部的远程位置处的远程控制计算机(例如，监督系统350)之间无线地传送数据。在一些实施例中，第一模块包括卫星调制解调器和/或蜂窝通信模块(例如，被配置用于LTE/5G通信)，如图5所示。

在一些实施例中，经由第一模块与远程计算机的通信的丢失导致自动驾驶车辆执行MRC机动。例如，车辆的VCU可以从通信网关设备接收信息，该信息指示经由第一模块与远程计算机的无线通信的错误、中断、丢失、不可用等。例如，该信息可以基于网关设备确定在至少预定时间长度内没有经由第一模块从远程计算机接收到响应信号、ping信号等来被接收。作为另一示例，该信息可以基于网关设备确定用于与远程计算机通信的信道、网络等不可用来被接收。

响应于该信息，VCU确定用于车辆达到完全停止或最小风险条件(MRC)的轨迹。指令然后由VCU经由网关设备传输到位于车辆中或车辆上的子系统，以引起车辆根据轨迹来操作。

在一些实施例中，通信网关500包括第二模块，该第二模块被配置为在位于车辆中的计算机与位于车辆的局部区域内的一个或多个设备之间传送数据。例如，第二模块被配置用于WiFi通信、蓝牙通信、近场通信(NFC)和一个或多个以太网接口，如图5所示。本地设备包括用于访问车辆的物理钥匙设备、自动驾驶车辆可以在其附近操作的收费系统、自动驾驶车辆附近的维护操作员可以使用的维护设备、自动驾驶车辆附近的检查实体或执法实体使用的检查设备或执法设备、管理自动驾驶车辆的货物装载的仓库系统等。

例如，通信网关500基于在第二模块与物理钥匙设备之间进行交换的NFC数据经由第二模块检测车辆附近物理钥匙设备的存在。响应于检测到物理钥匙设备的存在，准许对车辆内部的访问。例如，操作员将物理钥匙设备呈现在车辆的驾驶室门附近，并且基于经由通信网关500的第二模块对物理钥匙设备的检测而被准许对车辆驾驶室的访问。

在一些实施例中，通信网关500包括第三模块，该第三模块被配置为在位于车辆中的计算机与位于车辆中或车辆上的一个或多个子系统之间传送数据。例如，第三模块被配置为启用经由CAN接口、以太网接口等在VCU与多个传感器子系统、驱动子系统、电力子系统等之间的通信，如图5所示。在一些实施例中，VCU被配置为执行操作，该操作包括从通信网关设备接收指示经由第一模块与远程计算机的无线通信的错误、中断或不可用的信息；基于接收到经由第三模块获取的传感器数据来确定车辆到达完全停止的轨迹；以及经由第三模块向位于车辆中或车辆上的子系统传输指令以引起车辆根据轨迹操作。

在一些实施例中，第三模块被配置为与自主系统的多个自主域控制器通信，每个自主域控制器对应于自主功能，诸如感知、传感器数据收集等。例如，VCU包括多个自主域控制器，每个自主域控制器被配置为经由第三模块与通信网关500进行接口连接。

特别地，通信网关500被配置为实时存储由传感器子系统的音频传感器或相机收集的传感器数据(例如，音频数据、图像数据)。例如，在一些实施例中，网关在传感器子系统收集传感器数据的预定时间内存储传感器数据。在一些实施例中，网关被配置为将传感器数据流式传输到监督系统，使得传感器数据在传感器数据被收集的预定时间内被传输到监督系统。网关可以响应于从远程计算机接收的请求或指令来流式传输传感器数据。

在一些实施例中，通信网关500被配置为并且被用于与远离自动驾驶车辆的监督系统通信。在一些实施例中，通信网关设备包括多个子模块，包括蜂窝通信子模块(例如，被配置用于LTE/5G)、Wi-Fi和蓝牙子模块、卫星子模块或GNSS/GPS子模块、安全子模块和以太网子模块。

如图5所示，通信网关500可以包括多个软件安全岛、环境、飞地等。在一些实施例中，每个软件安全岛或环境对应于网关的不同模块，并且被用于对经由对应模块传输或接收的数据进行处理、存储等。在一些实施例中，多个软件安全环境包括用于外部接口连接的第一环境、用于自主操作的第二环境、以及用于与车辆子系统的车载通信的第三环境。

Ⅳ.(a)示例性描述

Ⅳ.(b)示例网关硬件实现特征

在一些实施例中，通信网关可以包括一个或多个多核处理器。例如，一个或多个多核处理器可以包括ARM处理器等。在一些实施例中，一个或多个多核处理器可以被配置为至少支持以下特征：多个中央处理单元(CPU)核，其运行在1GHz以上；8MB到64MB高速缓存；具有256GB容量的一个或多个动态随机存取存储器(DRAM)芯片；用于合适大小(例如，2MB)的分组的分组高速缓存缓冲器；多个串行器/解串器通道，其操作高达以GHz为单位的合适速度；多个以太网端口；多个以太网速度；高性能数据路径加速器；多个PCIe Gen4通道；具有合适速度的至少一个安全加速器；数据压缩/解压缩引擎；多个SATA3.0连接；安全引导和执行环境技术；多个端口，包括SD、eMMC、DUART、I2C、USB3.0、CAN、FD-Ccan等；IPv4和IPv6；以及符合IEEE 1588。

在一些实施例中，通信网关可以包括一个或多个以太网交换机，并且通信网关可以提供到内部和外部数据网络的快速以太网链路。在一些实施例中，以太网交换机可以至少支持以下各项：任何合适Gbps的接口；符合IEEE 802.3；当处理数十Gbits/s的吞吐量时的线路速率性能；任何合适的网络；以及数十米的电缆长度。在一些实施例中，以太网交换机可以是被管理的交换机。在一些实施例中，以太网交换机包括符合IEEE 802.3并且支持任何IEEE 802.1xx标准的收发器。在一些实施例中，以太网交换机可以连接到控制处理器以用于软件更新、策略更新等。

在一些实施例中，通信网关可以包括控制器局域网(CAN)接口，该接口可以包括CAN总线。CAN总线可以是到主机处理器的本地接口，或者在不同微控制器上受支持。如果微控制器上支持CAN接口，则CAN接口可以通过串行外围接口(SPI)或外围组件快速互连(PCIe)连接到主机处理器。

在一些实施例中，通信网关可以支持多个CAN接口。在日志记录被启用时，通信网关可以侦听CAN总线并且日志记录所有消息。网关可以提供多个SAE J1939兼容的通信接口，这些接口可以符合J1939系列技术规范中规定的电气和功能特性，并且符合OEM要求。

在一些实施例中，通信网关包括Wi-Fi模块，该模块可以至少支持以下特征：通过加密方式到主机处理器的连接；自带SOC，具有集成的基于TCP/IP堆栈的连接协议以及SSL支持；快速唤醒和启动；与当前或先前的适用的IEEE Wi-Fi标准的兼容性或一致性；集成芯片天线或适用于外部天线的连接器；高级载波和定时同步；启用软件的接入点；与用于各种类型的密码保护的当前或先前的IEEE Wi-Fi标准的兼容性；合适的媒体接入控制吞吐量；片上存储器管理引擎，以减少主机负载；Wi-Fi连接和优化认证；用于系统软件的集成闪存；用于状态变量的片上存储器；用于卸载微控制器的片上网络堆栈；符合TCP、UDP、DHCP、ARP、HTTP、TLS、DNS和SNTP的网络特征；以及用于引导和应用的闪存。

在一些实施例中，通信网关可以包括被配置用于蓝牙低能量(BLE)通信的一个或多个模块。(多个)BLE模块可以至少支持以下特征：通过任何合适的方式连接到主机处理器；BLE技术达到当前BLE技术；配置和软件更新；BLE在任何合适的级别和传输范围内；如果模块支持集成WiFi，则它可以支持任何合适的频带；如果与WiFi集成，则可以存在用于BLE和Wi-Fi的单独天线；天线是外部的和全向的；以及用于引导和应用的闪存。

AV网关可以支持卫星模块，以允许远程数据和语音。该模块可以支持近乎实时的任务关键通信。该模块可以包括以下特征：通过任何合适的协议或方式连接到主处理器或主处理器；极对极全局覆盖；语音、电路交换数据和任何合适的数据服务；具有短突发数据(SBD)能力；任何合适的硬件配置；任何合适的多路复用方法；以及任何合适的频率范围。

网关可以包括被配置用于蜂窝通信的一个或多个调制解调器，诸如4G或长期演进通信以及5G或新无线电通信。网关的示例4G调制解调器可以支持：任何合适类别的电缆；双SIM双待机(DSDS)；由全球运营商部署的频谱；并且通过一个或多个合适的接口连接到主机处理器。调制解调器可以支持：集成C-V2X直接通信、或任何其他合适的通信。

示例5G调制解调器可以支持：NSA(非独立)和SA(独立)模式；覆盖合适的全球频带；千兆数据速率；多个天线和数据流；多星座GNSS能力；多个接口；以及多个SIM卡。调制解调器可以支持：集成C-V2X直接通信、高精度多频率全球导航卫星系统(HP-GNSS)。

在一些实施例中，网关可以支持多于一个订户身份模块(SIM)。SIM可以包括eSIM、可编程SIM、软件实现的SIM等。SIM可以按照当前或过去的行业标准进行设计。

在一些实施例中，网关可以被配置有专用接入点名称(APN)。

网关可以支持近场通信(NFC)读取器和标签技术。该设备可以支持ECMA-340和ISO/IEC 18092。NFC读取器可以通过任何合适的接口与主机处理器通信。NFC标签可以是无源的。NFC模块可以具有支持卡模拟器模式(用于BLE配对辅助)的能力。

网关可以包括定时模块，该定时模块可以为车辆上的自主域控制器、车辆控制单元(VCU)和传感器提供主时钟。定时模块的源可以是来自GNSS模块的每秒脉冲信号(PPS)。当源丢失时，定时模块可以自由运行。网关可以支持合适的协议栈来将时钟分配给下游设备。

网关可以包括闪存和SSD存储。网关可以包括用于引导和应用映像的闪存(例如，eMMC存储器)。闪存的容量可以是预定数目的GB。设备上的所有模块上系统(SOM)都可以为引导映像提供eMMC。

网关可以支持安全闪存以存储信息，诸如配置、AV车辆状态、访问管理、授权等。该存储可以被加密。

网关可以支持具有多个托盘的模块化SSD存储(如在服务器中)。每个托盘可以能够被移除和交换。存储可以通过任何合适的接口与主处理器通信。SSD存储可以支持用于多媒体数据的文件系统。对存储的所有写入都可以被加密。所使用的文件系统可以是任何合适的文件系统。每个存储托盘可以具有以Tera字节为单位的任何合适的大小。

网关的存储可以被分区以支持AV上的各种通信和数据存储模块。每个分区可以基于安全策略被加密和被限制访问。写入存储的数据可以是任务特定的。对于每个任务，可以创建存储分区。

AV网关可以支持卡车车厢中的麦克风/扬声器与指挥中心、监督系统、控制塔等之间的双向音频流式传输。网关可以通过合适的数据通信系统连接到麦克风/扬声器，并且可以支持任何合适的编解码器。

网关可以能够将原始或编码的视频直播到云。视频的源可以通过以太网接口来自卡车车厢和ADC单元，并且网关可以支持任何合适的编解码器。

在一些实施例中，网关可以能够从外部信号中唤醒。网关可以能够通过CAN总线消息来唤醒。网关可以具有启用或禁用本文中描述的子系统中的每个子系统的能力。当网关通电时，主机处理器和NFC可以始终起作用。

网关可以包括支持以下特征中的任何一项的GNSS模块：任何合适的国际卫星定位系统；抗干扰多音有源干扰消除器；可配置的脉冲频率；以及消息完整性保护、地理围栏、欺骗检测。

作为独立模块或集成到其他无线电(4G/5G)模块中，网关可以支持符合802.11P的专用短程通信(DSRC)或蜂窝V2X(C-V2X)通信。

在一些实施例中，网关可以被配置用于硬件健康监测(HM)。HM可以提供以下特征：监测板上的不同轨道；在启动时的功率排序；日志记录所有关键错误-电源故障、软复位次数、看门狗故障；以及控制硬件通信和活动以维护车辆安全。

Ⅳ.(c)示例网关软件实现特征

在一些实施例中，通信网关可以被配置有基本输入/输出系统(BIOS)，该BIOS被配置为支持安全引导和开机自检(POST)。还可以存在启用/禁用POST的命令。在一些实施例中，BIOS可以包括诊断软件，该诊断软件可以支持调试与AV相关联的任何合适的模块或接口，包括特定模块和数据路径，以及执行本地和远程测试两者。

在一些实施例中，通信网关可以支持实时操作系统(OS)。OS架构可以支持任何合适的容器模块的实现。

网关可以支持网络堆栈的任何合适的协议，包括认证协议。AV上的VCU或电子控制单元(ECU)可以在其最新实现中或在合适的较旧的实现中符合汽车开放系统架构(AUTOSAR)标准。

Ⅳ.(d)示例嵌入式安全特征

网关的模块上系统(SOM)被配置有安全特征，包括：与符合合适标准的可信平台模块(TPM)通信的能力；支持可信执行环境的架构；集成(嵌入式)硬件安全模块(HSM)；可用于系统应用的非易失性安全存储；安全引导过程，其信任植根于硬件中；以及运行时完整性系统，其信任植根于硬件中。

SOM可以支持以下中的任何一项的硬件加速密码方案：加密/解密；散列；消息认证码；数字签名(生成和验证)；密钥生成；以及密钥封装。

网关的Wi-Fi模块可以支持以下特征：硬件加速对称加密/解密；认证可信接入点的能力；密码保护；对称/非对称密码加速；以及旋转密码。

蜂窝通信模块(例如，用于4G/5G)可以支持加密加速。LTE/5G调制解调器可以提供关闭/阻止打开默认网络端口的能力。这两个eSIM可以具有更新其固件的能力。

主机处理器可以支持DPI(深度分组检测)引擎，并且支持线路速率IDS。

AV网关的所有外部接口上都可以支持防火墙。域之间可以支持防火墙以访问数据和通信。设备与车载设备之间的所有通信都可以被加密。

Ⅳ.(e)示例网关能力

当执行各种通信操作时，网关可以根据本文中描述的各种能力、阈值、要求等来执行。这些可以包括与延迟、吞吐量、CAN总线操作、CPU利用率、存储和隐私/安全相关的性能能力。

实时视频流式传输和实时音频流式传输可以满足抖动和延迟要求。特别地，音频流式传输的延迟可以不超过预定时间间隔(例如，15毫秒、20毫秒、30毫秒、40毫秒、50毫秒)。

网关可以以线路速率传输数据，并且满足语音和视频业务的延迟/抖动要求。接口可以在所有温度范围内无错误地执行。

CAN总线上的传输时间不得超过预定时间间隔(例如，10毫秒、15毫秒、20毫秒、25毫秒)。

当使用加密/解密引擎时，CPU的利用率可以不超过预定阈值量(例如，50％、60％、70％、80％)。当所有接口都起作用时，利用率可以不超过预定阈值量(例如，50％、60％、70％、80％)。

使用加密和解密时对存储的读写不会影响吞吐量和CPU利用率。

安全特征的执行不会影响上述要求。

网关可以支持多个域，以隔离功能并且增强安全性。域之间的所有消息传递和数据交换都可以通过策略被启用。

网关可以根据限定的消息类型和优先级来处理传入消息。例如，以下消息类型可以按列出的顺序进行优先级排序：1.MRC(最低风险条件)；2.配置；3.流式传输-音频/视频；4.状态-警报；5.更新-MAPS；6.OTA(空中)；以及7.诊断。

网关可以支持对业务和带宽进行优先级排序的算法，以满足延迟和抖动要求。在一些实施例中，算法按列出的顺序对业务和带宽进行优先级排序：1.噪声；2.视频；以及3.消息。在WAN侧：可以为预定的最小数目的视频信道保留带宽；并且可以为预定的最小数目的音频信道保留带宽。

在一些实施例中，网关设备的可靠性至少部分通过本文中描述的健康监测(HM)子系统来提供。在预设或预定的功率阈值下，或在动态地确定的功率阈值下，网关可以按预定序列关闭其组件中的至少一些。

在一些实施例中，网关被配置为提供AV与远程监督系统之间的通信的可用性并且对其进行优先级排序。例如，可以存在可用于云通信的连接。蜂窝网络通信(例如，4G/5G)的使用可以优先于卫星调制解调器或其他连接选项的使用。

在提高可用性时，网关可以支持双调制解调器和双天线。网关表现出的可用性可以扩展过去的通信/连接可用性；例如，网关提供存储可用性。网关可以使存储始终可用于传感器数据存储、OTA、策略更新等。

网关上的主机处理器、微控制器和所有SOM都可以支持OTA。网关可以作为OTA管理器来执行，并且促进所有车辆ECU(电子控制单元，例如车辆控制器)上的OTA更新。所有OTA封装都可以存储在设备上。OTA管理器的特征可以包括：对封装进行认证；知道车辆中的所有设备并且能够查询来自这些设备的信息；用于OTA更新的设备之间的依赖性；能够在特定设备或设备组上执行OTA；并且在车辆运动时执行关键更新。可以支持的设备：ADC；VCU；传感器；以及CVC(中央车辆计算机)。对于由CVC支持的设备，OTA管理器可以在验证封装的真实性之后转发软件封装。

主机处理器和网关上的每个SOM可以提供任何相关的硬件组件信息，使得网关可以被标识。

网关可以支持与主机处理器的IEEE 1149.1标准测试访问端口和边界扫描架构连接。网关可以支持连接到主机处理器的串行端口。所有SOM都可以通过主机处理器的串行端口来访问。以太网端口中的一个可以被标识为支持本地调试。

HM模块可以是外部看门狗。主机处理器上的核中的每个核可以通过HSM来支持看门狗。

网关可以支持外部温度传感器。传感器可以由HM模块监测。例如，网关的HM模块可以经由外部温度传感器确定网关设备是否过热，并且向主机处理器或网关的其他SOM提供健康警报。

网关可以将所有日志记录消息存储到SSD存储。设备上的主机处理器和设备上的所有SOM可以支持日志记录。网关可以能够远程启用日志记录及其级别。网关可以能够向下游设备进行消息传递以启用/禁用不同级别的日志记录。日志记录可以根据以下示例级别进行配置：信息；警告；以及调试。

网关可以知道车辆的位置，例如，正在执行任务的终端。网关可以与所有车载设备交换周期性消息以验证连接。网关可以监测或知道车辆电池的状态。

网关可以在以下情况下生成警报：与任何车载单元的连接的丢失；空中故障；组件阈值；主时钟的转变；存储阈值；通信阈值；接口的转变；以及策略更新。在一些实施例中，根据连接可用性，警报被传输到VCU或监督系统中的至少一项。在一些实施例中，警报被指示(例如，经由显示器、经由音频)给车辆驾驶室内的操作员。在一些实施例中，警报到VCU的传送被配置为使VCU执行最小风险条件(MRC)机动并且使自动驾驶车辆完全停止。

Ⅳ.(f)示例天线配置

针对AV上的任何通信模块都可以支持外部天线。一个或多个天线可以被放置在自动驾驶车辆上或自动驾驶车辆中的任何合适位置。

Ⅳ.(g)示例网关电气特征

网关可以连接到车辆的电力网络，以便通过下文中称为VBATT的连接为设备供电。网关可以连接到冗余电源输入。

Ⅳ.(h)示例网关合规性

网关可以符合适用于车辆或自动驾驶车辆的任何蜂窝通信标准，并且网关可以包括来自蜂窝服务提供商的运营商认证。可以遵守适用于车辆或自动驾驶车辆的任何适用的WiFi或蓝牙标准。网关可以支持ASIL-B，或者适用于车辆或自动驾驶车辆的任何其他功能安全标准可以被遵守。网关可以至少针对操作环境和非操作环境遵守各种原始设备制造商(OEM)硬件环境要求。网关的组件可以是符合汽车等级的。

IV.示例网关实现

根据各种实施例，自动驾驶车辆可以包括用于冗余的多于一个通信网关设备。由于由通信网关启用的通信(包括云通信、本地外部通信和车载通信)对自动驾驶车辆的操作是至关重要的，因此，由多于一个网关设备提供的冗余使得这种操作能够继续，尽管单个通信网关中可能出现故障。因此，通信网关设备可以伴随有被配置为提供冗余功能的另一通信网关设备。第二通信网关设备的冗余功能可以是指具有与第一通信网关设备相同的通信功能和能力(例如，本文中描述的那些)的第二通信网关设备，使得在第一通信网关设备发生故障的情况下，相同通信操作可以由第二通信网关设备执行。

在一些实施例中，通信网关设备被配置为并且被用于与远离自动驾驶车辆的监督系统通信。在一些实施例中，通信网关设备包括多个子模块，包括蜂窝通信子模块(例如，被配置用于LTE/5G)、Wi-Fi和蓝牙子模块、卫星子模块或GNSS/GPS子模块、安全子模块和以太网子模块。

如图6-图14所示，在各种配置中，通信网关设备与位于自动驾驶车辆中或车辆上的各种其他组件耦合，诸如其他通信网关设备、车辆控制单元、存储库或存储器设备、自主驾驶系统等。

在一些实施例中，通信网关设备经由交换机连接到其他车辆组件，该交换机在通信网关设备与至少存储设备和自主驾驶系统之间提供高速、低延迟的串行通信。例如，交换机是外围组件互连快速(PCIe)交换机。在一些实施例中，通信网关设备经由以太网交换机耦合到其他车辆组件，该以太网交换机提供不同速度(例如，1吉比特、5吉比特、10吉比特等)的以太网连接，以用于车辆中的不同子系统与组件之间的连接。

在一些实施例中，卫星子模块(例如，卫星调制解调器)提供与监督系统的连接，作为蜂窝通信子模块的备份。

在一些实施例中，通信网关设备与包括多个个体自主域控制器(ADC)的ADS系统通信。每个ADC执行特定角色，诸如感知或传感器数据收集，并且与其他ADC、通信网关设备、VCU和监督系统通信。在一些实施例中，每个ADC被配置为对存储库或存储器设备进行读取和写入。

图6-图9提供了两个或更多个网关设备的示例配置的图，以提供冗余并且在个体网关故障的情况下启用继续操作。在实现冗余网关配置的一些实施例中，远程计算机被配置为在与车辆通信时标识车辆的每个网关设备，并且远程计算机将消息传输到车辆的网关设备中的每个网关设备。

图6示出了包括两个通信网关600A和600B的第一示例网关配置。如图所示，两个通信网关600A和600B每个可以连接到相应模块，诸如相应Wi-Fi/BLE/NFC模块。此外，这两个通信网关可以经由以太网连接或任何其他合适的通信接口或模式彼此通信。例如，经由两个通信网关600A和600B之间的以太网连接，每个通信网关可以知道相应网关优先级、或者每个通信网关是主网关还是辅网关。在一些实施例中，这两个通信网关可以彼此通信以验证接收的数据、同步传输等。

图7示出了另一示例网关配置，其中两个处理器700A和700B经由交换机连接到各种通信模块。图7所示的实施例提供了冗余网关，其中这两个处理器跨通信接口，诸如快速外围组件接口(PCIe)，提供了多盒解决方案。在所示实施例中，两个处理器700A和700B可以共享通信模块，诸如蜂窝通信模块702和卫星模块704，并且可以经由交换机与共享通信模块通信。因此，通常，图7的示例网关配置提供处理器冗余和存储。

图8示出了另一示例网关配置。如图8所示，该配置包括主网关设备800A和辅网关设备800B。这两个网关设备耦合到PCIe交换机810，PCIe交换机810包括多个不透明桥接器812。每个网关设备对应于不同不透明桥接器812。ADS的VCU和多个ADC连接到PCIe交换机810。一个或多个存储器设备连接到PCIe交换机810。因此，这两个网关设备经由PCIe交换机与VCU、ADC和存储器设备传送数据。

在一些实施例中，两个网关设备800A和800B每个与网关优先级(例如，主、辅)相关联，该优先级经由冗余链路在每个网关设备之间被传送。例如，网关设备经由以太网连接或PCIe彼此通信。在一些实施例中，网关优先级控制网关设备在存储器设备中存储数据、与VCU或ADC通信、传输/接收消息等的顺序。

在一些实施例中，该配置包括与网关设备的数目(例如，两个)相对应的一定数目的存储器设备820。在一些实施例中，每个网关设备对应于存储器设备820，并且利用对应存储器设备820读取/存储数据。在一些实施例中，主网关设备800A和辅网关设备800B被配置为从每个存储器设备820读取和向每个存储器设备820写入。

图9示出了以具有外部卫星/GNSS模块和外部蜂窝通信模块(例如，LTE/5G)的网关冗余为特征的另一示例网关配置。例如，处理器900与蜂窝通信模块902和卫星模块904耦合，并且处理器900可以将经由蜂窝通信模块904或卫星模块902接收的数据冗余地传送到两个控制器910A和910B。如图所示，每个控制器910A或910B连接到CAN总线，并且可以为彼此提供冗余功能。

图10和图11示出了包括通信网关设备的非冗余实现的示例网关实现的图。

图10示出了另一示例网关配置1000，其特征在于非冗余单盒，其中集成有Wi-Fi、GNSS和蜂窝通信模块。

图11示出了另一非冗余单盒网关配置1100，其中集成有Wi-Fi、GNSS和蜂窝通信模块。所示的网关配置还包括网络附接存储(NAS)1102。在一些实施例中，NAS1102可以由网关设备和其他车载设备共享。

如图11所示，网关设备包括定时模块1104。在一些实施例中，定时模块1104被配置为向位于车辆中或车辆上的子系统(诸如传感器子系统)提供定时信息。例如，定时信息包括系统频率，并且通过将定时信息提供给传感器子系统或多个传感器，传感器子系统以系统频率收集传感器数据。因此，网关设备的定时模块1104能够启用不同子系统之间的同步以及用于自动驾驶车辆的自主操作的操作。在一些实施例中，定时信息基于接收卫星信号(诸如每秒脉冲(PPS)信号)来被同步。在一些实施例中，定时信息是从监督系统或远程计算机接收的。

在一些实施例中，网关设备(或网关设备的定时模块1104)包括处理器，该处理器执行操作，该操作包括接收卫星信号(例如，经由卫星调制解调器或子模块)、向位于车辆中或车辆上的一个或多个子系统提供基于卫星信号的定时信息、以及接收由子系统根据定时信息而收集的传感器数据。

图12和图13示出了其中自主域控制器(ADC)与通信网关设备耦合的示例实现。在图12和图13中，一个或多个ADC 1210连接到网关设备1200。每个ADC 1210被配置为执行与特定角色相关联的功能，诸如与车辆的自主操作相关的感知或传感器数据收集。一个或多个ADC 1210形成自主驾驶系统。通信网关设备包括以太网交换机，并且该设备实现用于在多个ADC之间管理以太网交换机1202的控制平面。在一些实施例中，ADC经由以太网通信与网关设备传送数据。

现在转到图14，一种实现包括多个通信网关设备。如图所示，示例实现包括被配置为使用蜂窝通信(例如，LTE、5G、6G)与监督系统350通信的蜂窝通信网关设备1402。在一些实施例中，示例实现还包括被配置为在自主域控制器1410与终端接口之间传送数据的数据存储网关设备1404。例如，在一些实施例中，ADC 1410将数据存储在数据存储网关设备1404上，并且数据存储网关设备1404上存储的数据由车辆控制单元或位于车辆上的计算机访问。

因此，在一些实施例中，自动驾驶车辆可以包括多个通信网关设备，每个通信网关设备对应于车辆操作的不同功能或目的。在一些实施例中，自动驾驶车辆包括与监督通信功能相对应的至少一个蜂窝通信网关设备1402、与车载通信功能相对应的至少一个数据存储网关设备1404、以及与车辆健康通信功能相对应的至少一个车辆远程信息处理网关。

为了执行上述特征，自动驾驶车辆可以使用任何传感器、特别是从传感器获取的数据、以及自动驾驶车辆上的计算设施，诸如与VCU相关或与VCU通信的计算设施。备选地或附加地，上述特征可以由自动驾驶车辆在监督系统或控制中心的帮助下执行，并且可选地在人工遥控操作员的帮助下执行。监督系统、以及在某些情况下的遥控操作员可以将环境数据、地图更新、指令或其他信息传送给自动驾驶车辆。自动驾驶车辆可以使用车载地图(诸如高清晰度地图)来实现本文中描述的特征中的一些特征，特别是当需要了解位置和当地法规(例如，速度限制、法律规定的义务、交通公约、交叉口类型)以完成在特征中描述的任务时。

虽然本文献涉及自主卡车，但应当理解，任何自主地面车辆都可以具有这样的特征。在地面上行驶的自动驾驶车辆可以包括：半挂车、牵引拖车、18轮车、卡车、8级车、乘用车、运输车、货运车、休闲车、高尔夫球车、运输车等。

下面列出了由优选实施例实现的一些示例技术解决方案。

1.一种车辆的通信网关设备，包括：第一模块，被配置为与车辆外部的远程位置处的远程计算机无线地传送第一数据；第二模块，被配置为与位于车辆外部附近的一个或多个设备传送第二数据；以及处理器，被配置为执行操作，操作包括：获取描述车辆的操作的操作数据；将操作数据经由第一模块提供给远程计算机或者经由第二模块提供给一个或多个设备；以及经由第一模块从远程计算机接收指令数据，其中指令数据被配置为引起车辆的操作。

2.根据解决方案1的通信网关设备，还包括第三模块，第三模块被配置为与车辆内的一个或多个子系统传送第三数据。

3.根据解决方案2的通信网关设备，其中处理器被配置为在由子系统收集第三数据的预定时间内经由第一模块向远程计算机传输第三数据。

4.根据解决方案2的通信网关设备，其中操作还包括：经由第一模块接收包括定时信号的卫星信号；经由第三模块向位于车辆内的子系统提供定时信息，其中定时信息基于定时信号；以及经由第三模块接收由子系统根据定时信息而收集的传感器数据。

5.根据解决方案2的通信网关设备，其中第三模块包括一个或多个以太网接口或控制器局域网(CAN)接口中的至少一项。

6.根据解决方案1的通信网关设备，其中第一模块包括卫星调制解调器或一个或多个蜂窝调制解调器中的至少一项，其中第二模块包括NFC模块、蓝牙模块或Wi-Fi模块中的至少一项。

7.根据解决方案1的通信网关设备，其中处理器被配置为执行操作，操作还包括：限定多个软件安全环境，每个软件安全环境对应于第一模块或第二模块中的一项。

8.根据解决方案1的通信网关设备，其中位于车辆外部附近的一个或多个设备包括物理钥匙设备，物理钥匙设备被配置为允许对车辆的访问，并且其中第二数据包括与物理钥匙设备进行交换的近场通信(NFC)数据。

9.根据解决方案8的通信网关设备，其中处理器被配置为执行操作，操作还包括：响应于接收到包括NFC数据的第二数据，启用对车辆的内部部分的访问，NFC数据指示物理钥匙设备的存在。

10.根据解决方案2的通信网关设备，其中处理器被配置为执行操作，操作还包括：确定第一数据不能经由第一模块与远程计算机进行传送；以及基于第一数据不能与远程计算机进行传送，向车辆控制计算机传输指示以引起车辆达到完全停止。

11.一种用于车辆的自主驾驶系统，包括：通信网关设备，包括：第一模块，被配置为与位于车辆外部的远程位置处的远程计算机无线地传送第一数据，第二模块，被配置为与位于车辆外部附近的一个或多个设备传送第二数据，第三模块，被配置为与位于车辆中或车辆上的一个或多个子系统传送第三数据，以及计算机，位于车辆中并且被配置为基于接收到第一数据和第三数据来控制车辆的自主操作。

12.根据解决方案11的自主驾驶系统，其中位于车辆中或车辆上的一个或多个子系统包括被配置为收集音频数据的音频传感器或被配置为收集图像数据的相机。

13.根据解决方案12的自主驾驶系统，其中通信网关设备被配置为在由音频传感器收集音频数据或相机收集图像数据的预定时间内经由第一模块向远程计算机传输音频数据或图像数据。

14.根据解决方案11的自主驾驶系统，其中通信网关设备包括处理器，处理器被配置为执行操作，操作包括：经由第一模块接收卫星信号；经由第三模块向位于车辆中或车辆上的子系统提供定时信息，其中定时信息基于卫星信号；以及经由第三模块接收由子系统根据定时信息而收集的传感器数据。

15.根据解决方案11的自主驾驶系统，其中第一处理器限定多个软件安全环境，每个软件安全环境对应于第一模块、第二模块或第三模块中的一项，并且其中软件安全环境被配置用于与相应模块相关的数据的处理。

16.根据解决方案11的自主驾驶系统，其中位于车辆外部附近的一个或多个设备包括物理钥匙设备，物理钥匙设备被配置为允许对车辆的访问，并且其中第二模块被配置为基于与物理钥匙设备的近场通信(NFC)来检测物理钥匙设备的存在。

17.根据解决方案11的自主驾驶系统，其中位于车辆中的计算机被配置为执行操作，操作包括：从通信网关设备接收信息，该信息指示经由第一模块与远程计算机的无线通信的错误、中断或不可用；基于接收到经由第三模块获取的传感器数据来确定车辆到达完全停止的轨迹；以及经由第三模块向位于车辆中或车辆上的子系统传输指令以引起车辆根据轨迹进行操作。

18.根据解决方案11的自主驾驶系统，其中计算机包括多个自主域控制器，每个自主域控制器被配置为经由第三模块与通信网关设备进行接口连接。

19.根据解决方案11的自主驾驶系统，还包括：第二通信网关设备，被配置为对于通信网关设备是冗余的。

20.根据解决方案19的自主驾驶系统，其中通信网关设备和第二通信网关设备中的每个的网关优先级在通信网关设备与第二通信网关设备之间被传送，并且其中网关优先级控制通信网关设备和第二通信网关设备在存储器设备中存储数据的顺序。

21.根据解决方案19的自主驾驶系统，其中第二通信网关设备被配置为向相应存储器设备写入数据，相应存储器设备与同通信网关设备相关联的存储器设备分离。

22.根据解决方案19的自主驾驶系统，其中通信网关设备和第二通信网关设备经由交换机被耦合到一个或多个存储器设备。

23.一种被配置为与多个车辆进行远程通信的远程计算机，远程计算机包括处理器，处理器被配置为执行操作，操作包括：基于先前从多个车辆中的一个或多个车辆接收的数据来确定多个车辆中的车辆的指令数据；标识与车辆相关联的一个或多个通信网关设备；以及向与车辆相关联的一个或多个通信网关设备中的每个通信网关设备传输指令数据。

24.根据解决方案23的远程计算机，其中指令数据被配置为(i)由一个或多个通信网关设备提供给位于车辆上的控制计算机，以及(ii)引起车辆的操作。

25.根据解决方案23的远程计算机，其中先前接收的数据是从针对一个或多个车辆中的每个车辆的一个或多个通信网关设备接收的，并且其中数据包括从一个或多个车辆中的每个车辆的传感器子系统收集的传感器数据。

26.根据解决方案23的远程计算机，其中操作还包括：响应于指令数据包括流式传输请求，从与车辆相关联的一个或多个通信网关设备接收音频数据或图像数据，其中音频数据或图像数据是在从音频数据或图像数据在车辆处被收集时起的预定时间量内被接收的。

27.根据解决方案23的远程计算机，其中操作还包括：向与车辆相关联的一个或多个通信网关设备传输定时信息，定时信息被配置为控制在车辆处的传感器数据的收集。

28.一种用于多个车辆与远程计算机(例如，如图15所示)之间的远程通信的方法，包括：基于先前从多个车辆中的一个或多个车辆接收的数据来确定(1505)多个车辆中的车辆的指令数据；标识(1510)与车辆相关联的一个或多个通信网关设备；以及向与车辆相关联的一个或多个通信网关设备中的每个通信网关设备传输(1515)指令数据。

29.根据解决方案28的方法，其中指令数据被配置为(i)由一个或多个通信网关设备提供给位于车辆上的控制计算机，以及(ii)引起车辆的操作。

30.根据解决方案28的方法，其中先前接收的数据是从针对一个或多个车辆中的每个车辆的一个或多个通信网关设备接收的，并且其中数据包括从一个或多个车辆中的每个车辆的传感器子系统收集的传感器数据。

31.根据解决方案28的方法，其中操作还包括：响应于指令数据包括流式传输请求，从与车辆相关联的一个或多个通信网关设备接收音频数据或图像数据，其中音频数据或图像数据是在从音频数据或图像数据在车辆处被收集时起的预定时间量内被接收的。

32.根据解决方案28的方法，其中操作还包括：向与车辆相关联的一个或多个通信网关设备传输定时信息，定时信息被配置为控制在车辆处的传感器数据的收集。

虽然在本公开中提供了若干实施例，但应当理解，在不偏离本公开的精神或范围的情况下，所公开的系统和方法可以以很多其他特定形式来体现。本实施例被认为是说明性的而非限制性的，并且意图不限于本文中给出的细节。例如，各种元素或组件可以组合或集成在另一系统中，或者某些特征可以省略或不实现。

此外，在不偏离本公开的范围的情况下，在各种实施例中描述和示出为分立或分离的技术、系统、子系统和方法可以与其他系统、模块、技术或方法组合或集成。被示出或讨论为彼此耦合或直接耦合或通信的其他项目可以通过某种接口、设备或中间组件(无论是电的、机械的还是其他的)间接耦合或通信。改变、替换和变化的其他示例是本领域技术人员能够确定的，并且可以在不偏离本文中公开的精神和范围的情况下进行。

本专利文献中描述的主题和功能操作的实现可以在各种系统、半导体器件、超声波器件、数字电子电路系统中实现，或者在计算机软件、固件或硬件中实现，包括本说明书中公开的结构及其结构等同物，或者在上述各项中的一个或多个的组合中实现。本说明书中描述的主题的各方面的实现可以被实现为一个或多个计算机程序产品，例如，编码在有形和非暂态计算机可读介质上的用于由数据处理装置执行或控制数据处理装置的操作的计算机程序指令的一个或多个模块。计算机可读介质可以是机器可读存储设备、机器可读存储基板、存储器设备、影响机器可读传播信号的物质的组成、或者上述各项中的一个或多个的组合。术语“数据处理单元”或“数据处理装置”涵盖用于处理数据的所有装置、设备和机器，例如包括可编程处理器、计算机或多个处理器或计算机。除了硬件之外，该装置还可以包括为所讨论的计算机程序创建执行环境的代码，例如，构成处理器固件、协议栈、数据库管理系统、操作系统、或上述各项中的一个或多个的组合的代码。

计算机程序(也称为程序、软件、软件应用、脚本或代码)可以用任何形式的编程语言编写，包括编译或解释语言，也可以以任何形式部署，包括作为独立程序或作为模块、组件、子例程、或适合在计算环境中使用的其他单元。计算机程序不一定与文件系统中的文件相对应。程序可以存储在保存其他程序或数据的文件的一部分中(例如，存储在标记语言文档中的一个或多个脚本)，存储在专用于所讨论的程序的单个文件中，或者存储在多个协调文件中(例如，存储一个或多个代码模块、子程序或部分的文件)。计算机程序可以被部署为在位于一个站点或分布在多个站点并且通过通信网络互连的一台计算机或多台计算机上执行。

本说明书中描述的过程和逻辑流程可以由一个或多个可编程处理器执行，该处理器执行一个或多个计算机程序，以通过对输入数据进行操作并且生成输出来执行功能。过程和逻辑流程也可以由专用逻辑电路系统执行，并且装置也可以被实现为专用逻辑电路系统，例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。

例如，适合于计算机程序的执行的处理器包括通用和专用微处理器两者、以及任何类型的数字计算机的任何一个或多个处理器。通常，处理器将从只读存储器或随机存取存储器或这两者接收指令和数据。计算机的基本元件是用于执行指令的处理器以及用于存储指令和数据的一个或多个存储器设备。通常，计算机还将包括用于存储数据的一个或多个大容量存储设备，例如磁盘、磁光盘或光盘，或者可操作地耦合以从这样的存储设备接收数据或向其传输数据，或者这两者。然而，计算机不需要具有这样的设备。适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备，包括例如半导体存储器设备，例如EPROM、EEPROM和闪存设备。处理器和存储器可以由专用逻辑电路系统来补充或者并入专用逻辑电路系统中。

虽然本专利文献包括很多细节，但这些细节不应当被解释为对任何发明或可以要求保护的内容的范围的限制，而是对可以特定于特定发明的特定实施例或部分的特性的描述。在本专利文献中在单独的实施例或部分的上下文中描述的某些特性也可以在单个实施例或单个部分中组合实现。相反，在单个实施例或单个部分的上下文中描述的各种特性也可以在多个实施例或多个部分中单独地或以任何合适的子组合实现。在一个实施例或一个部分中描述的特征或操作可以以任何合理的方式与来自另一实施例或另一部分的另一特征或另一操作组合。此外，尽管特性可以在上面被描述为以某些组合起作用，并且甚至最初被如此要求保护，但是在一些情况下，来自所要求保护的组合的一个或多个特性可以从该组合中被删除，并且所要求保护的组合可以指向子组合或子组合的变体。

类似地，虽然图中以特定顺序描述了操作，但这不应当被理解为要求这样的操作以所示的特定顺序或按顺序执行或者要求执行所有所示的操作以获取期望结果。此外，本专利文献中描述的实施例中的各种系统组件的分离不应当被理解为在所有实施例中都需要这样的分离。

仅描述了少数实现和示例，并且可以基于本专利文献中描述和说明的内容来做出其他实现、增强和变型。

Claims (32)

1.一种车辆的通信网关设备，包括：

第一模块，被配置为与所述车辆外部的远程位置处的远程计算机无线地传送第一数据；

第二模块，被配置为与位于所述车辆外部附近的一个或多个设备传送第二数据；以及

处理器，被配置为执行操作，所述操作包括：

获取描述所述车辆的操作的操作数据；

将所述操作数据经由所述第一模块提供给所述远程计算机或者经由所述第二模块提供给所述一个或多个设备；以及

经由所述第一模块从所述远程计算机接收指令数据，其中所述指令数据被配置为引起所述车辆的操作。

2.根据权利要求1所述的通信网关设备，还包括第三模块，所述第三模块被配置为与所述车辆内的一个或多个子系统传送第三数据。

3.根据权利要求2所述的通信网关设备，其中所述处理器被配置为在由所述子系统收集所述第三数据的预定时间内经由所述第一模块向所述远程计算机传输所述第三数据。

4.根据权利要求2所述的通信网关设备，其中所述操作还包括：

经由所述第一模块接收包括定时信号的卫星信号；

经由所述第三模块向位于所述车辆内的所述子系统提供定时信息，其中所述定时信息基于所述定时信号；以及

经由所述第三模块接收由所述子系统根据所述定时信息而收集的传感器数据。

5.根据权利要求2所述的通信网关设备，其中所述第三模块包括一个或多个以太网接口或控制器局域网(CAN)接口中的至少一项。

6.根据权利要求1所述的通信网关设备，

其中所述第一模块包括卫星调制解调器或一个或多个蜂窝调制解调器中的至少一项，

其中所述第二模块包括NFC模块、蓝牙模块或Wi-Fi模块中的至少一项。

7.根据权利要求1所述的通信网关设备，其中所述处理器被配置为执行操作，所述操作还包括：限定多个软件安全环境，每个软件安全环境对应于所述第一模块或所述第二模块中的一项。

8.根据权利要求1所述的通信网关设备，其中位于所述车辆外部附近的所述一个或多个设备包括物理钥匙设备，所述物理钥匙设备被配置为允许对所述车辆的访问，并且其中所述第二数据包括与所述物理钥匙设备进行交换的近场通信(NFC)数据。

9.根据权利要求8所述的通信网关设备，其中所述处理器被配置为执行操作，所述操作还包括：

响应于接收到包括NFC数据的所述第二数据，启用对所述车辆的内部部分的访问，所述NFC数据指示所述物理钥匙设备的存在。

10.根据权利要求2所述的通信网关设备，其中所述处理器被配置为执行操作，所述操作还包括：

确定第一数据不能经由所述第一模块与所述远程计算机进行传送；以及

基于所述第一数据不能与所述远程计算机进行传送，向车辆控制计算机传输指示以引起所述车辆达到完全停止。

11.一种用于车辆的自主驾驶系统，包括：

通信网关设备，包括：

第一模块，被配置为与位于所述车辆外部的远程位置处的远程计算机无线地传送第一数据，

第二模块，被配置为与位于所述车辆外部附近的一个或多个设备传送第二数据，

第三模块，被配置为与位于所述车辆中或所述车辆上的一个或多个子系统传送第三数据，以及

计算机，位于所述车辆中并且被配置为基于接收到所述第一数据和所述第三数据来控制所述车辆的自主操作。

12.根据权利要求11所述的自主驾驶系统，其中位于所述车辆中或所述车辆上的所述一个或多个子系统包括被配置为收集音频数据的音频传感器或被配置为收集图像数据的相机。

13.根据权利要求12所述的自主驾驶系统，其中所述通信网关设备被配置为在由所述音频传感器收集所述音频数据或所述相机收集所述图像数据的预定时间内经由所述第一模块向所述远程计算机传输所述音频数据或所述图像数据。

14.根据权利要求11所述的自主驾驶系统，其中所述通信网关设备包括处理器，所述处理器被配置为执行操作，所述操作包括：

经由所述第一模块接收卫星信号；

经由所述第三模块向位于所述车辆中或所述车辆上的所述子系统提供定时信息，其中所述定时信息基于所述卫星信号；以及

经由所述第三模块接收由所述子系统根据所述定时信息而收集的传感器数据。

15.根据权利要求11所述的自主驾驶系统，其中所述第一处理器限定多个软件安全环境，每个软件安全环境对应于所述第一模块、所述第二模块或所述第三模块中的一项，并且其中软件安全环境被配置用于与相应模块相关的数据的处理。

16.根据权利要求11所述的自主驾驶系统，其中位于所述车辆外部附近的所述一个或多个设备包括物理钥匙设备，所述物理钥匙设备被配置为允许对所述车辆的访问，并且其中所述第二模块被配置为基于与所述物理钥匙设备的近场通信(NFC)来检测所述物理钥匙设备的存在。

17.根据权利要求11所述的自主驾驶系统，其中位于所述车辆中的所述计算机被配置为执行操作，所述操作包括：

从所述通信网关设备接收信息，所述信息指示经由所述第一模块与所述远程计算机的无线通信的错误、中断或不可用；

基于接收到经由所述第三模块获取的传感器数据来确定所述车辆到达完全停止的轨迹；以及

经由所述第三模块向位于所述车辆中或所述车辆上的所述子系统传输指令以引起所述车辆根据所述轨迹进行操作。

18.根据权利要求11所述的自主驾驶系统，其中所述计算机包括多个自主域控制器，每个自主域控制器被配置为经由所述第三模块与所述通信网关设备进行接口连接。

19.根据权利要求11所述的自主驾驶系统，还包括：

第二通信网关设备，被配置为对于所述通信网关设备是冗余的。

20.根据权利要求19所述的自主驾驶系统，其中所述通信网关设备和所述第二通信网关设备中的每个的网关优先级在所述通信网关设备与所述第二通信网关设备之间被传送，并且其中所述网关优先级控制所述通信网关设备和所述第二通信网关设备在存储器设备中存储数据的顺序。

21.根据权利要求19所述的自主驾驶系统，其中所述第二通信网关设备被配置为向相应存储器设备写入数据，所述相应存储器设备与同所述通信网关设备相关联的存储器设备分离。

22.根据权利要求19所述的自主驾驶系统，其中所述通信网关设备和所述第二通信网关设备经由交换机被耦合到一个或多个存储器设备。

23.一种被配置为与多个车辆进行远程通信的远程计算机，所述远程计算机包括被配置为执行操作的处理器，所述操作包括：

基于先前从所述多个车辆中的一个或多个车辆接收的数据来确定所述多个车辆中的车辆的指令数据；

标识与所述车辆相关联的一个或多个通信网关设备；以及

向与所述车辆相关联的所述一个或多个通信网关设备中的每个通信网关设备传输所述指令数据。

24.根据权利要求23所述的远程计算机，其中所述指令数据被配置为(i)由所述一个或多个通信网关设备提供给位于所述车辆上的控制计算机，以及(ii)引起所述车辆的操作。

25.根据权利要求23所述的远程计算机，其中先前接收的所述数据是从针对所述一个或多个车辆中的每个车辆的一个或多个通信网关设备接收的，并且其中所述数据包括从所述一个或多个车辆中的每个车辆的传感器子系统收集的传感器数据。

26.根据权利要求23所述的远程计算机，其中所述操作还包括：

响应于所述指令数据包括流式传输请求，从与所述车辆相关联的所述一个或多个通信网关设备接收音频数据或图像数据，其中所述音频数据或所述图像数据是在从所述音频数据或所述图像数据在所述车辆处被收集时起的预定时间量内被接收的。

27.根据权利要求23所述的远程计算机，其中所述操作还包括：

向与所述车辆相关联的所述一个或多个通信网关设备传输定时信息，所述定时信息被配置为控制在所述车辆处的传感器数据的收集。

28.一种用于多个车辆与远程计算机之间的远程通信的方法，包括：

基于先前从所述多个车辆中的一个或多个车辆接收的数据来确定所述多个车辆中的车辆的指令数据；

标识与所述车辆相关联的一个或多个通信网关设备；以及

向与所述车辆相关联的所述一个或多个通信网关设备中的每个通信网关设备传输所述指令数据。

29.根据权利要求28所述的方法，其中所述指令数据被配置为(i)由所述一个或多个通信网关设备提供给位于所述车辆上的控制计算机，以及(ii)引起所述车辆的操作。

30.根据权利要求28所述的方法，其中先前接收的所述数据是从针对所述一个或多个车辆中的每个车辆的一个或多个通信网关设备接收的，并且其中所述数据包括从所述一个或多个车辆中的每个车辆的传感器子系统收集的传感器数据。

31.根据权利要求28所述的方法，其中所述操作还包括：

响应于所述指令数据包括流式传输请求，从与所述车辆相关联的所述一个或多个通信网关设备接收音频数据或图像数据，其中所述音频数据或所述图像数据是在从所述音频数据或所述图像数据在所述车辆处被收集时起的预定时间量内被接收的。

32.根据权利要求28所述的方法，其中所述操作还包括：

向与所述车辆相关联的所述一个或多个通信网关设备传输定时信息，所述定时信息被配置为控制在所述车辆处的传感器数据的收集。