自动驾驶中的冗余控制设计方案

报道智能网联科技发展共享智能网联技术干货报道智能网联科技发展共享智能网联技术干货，备注软作者/Aimee出品/焉知知圈/进“汽车软件社群”，请加微信1361676件，备注软当前自动驾驶研发设计正进行得如火如荼，从L2开始的辅助驾驶系统到L3的有限自动驾驶系统都受到了广泛的关注。从自动驾驶功能安全角度出发，除开对于环境中极限工况（如落石、施工路或车祸等）的危险场景处理外，在自动驾驶研发领域中，更需要进行重点关注的场景集中于控制器和执行器的失效问题处理上。对于汽车而言，现在研究的议题就是在什么情况下，哪些系统是需要冗余的，哪些系统是需要两个系统来配合的，哪些可能只是在某一个零部件上增加一些冗余的方案。“其实都是一个度的问题，就是觉得什么样的情况下它是最安全的，我们希望以性价比最高的方案来解决。”这一研究过程被称为自动驾驶失效过程冗余策略研究。本文将针对性的就自动驾驶研发过程中的冗余控制进行系统内部亠亠n本文将针对性的就自动驾驶研发过程中的冗余控制进行系统内部亠亠nUt'■控制逻辑及外部制动、转向及电子换挡等响应过程进行说明。功能网络架构如下将就上层控制端针对性的对自动驾驶控制逻辑进行详细说明。自动驾驶中央控制器又称为运动域控制器，是主要进行自动驾驶功能相关软件处理模块的中央处理单元，包括对前端传感器感知数据的处理、融合，根据探测环境数据进行态势评估，进行轨迹预测，运动规划，决策执行等相关任务，包括L4级泊车控制等相关任务也需要进行相应的处理。在自动驾驶激活期间同时需要处理相关突发危险状况，保证行车安全。如下图表示了典型的L3相关的冗余控制网络架构。般地，为了做到真正的冗余控制，需要分别对控制端、执行端以及网络端分别进行双冗余设计。其中控制端采用如下方案：-主控制器ADCU(AutomotiveDrivingControlUnit)+辅助控制器RCU(RedundancyControlUnit)。而执行端则采用了制动和转向两套冗余控制方案:-制动：ibooster+EPBi；-转向：主EPS+副EPS；执行端冗余控制策略

这里我们首先对执行端的冗余控制策略进行讲解。1、制动冗余控制在制动控制逻辑方案中，主要是加入博世ibooster作为冗余控制器，如下图所示^booster主要接收制动踏板压力信号或上层L3系统发出的减速请求信号，将两者形成的机械力转化为相应的电动助力（该助力在一定区间内被放大，放大程度与iBooster标定的不同助力曲线有差别），随即推动液压系统进行减速制动刹车。该过程中，需要iBooster和EPBi通过底盘Can进行相互状态校验，当检测到ibooster失效或网络通信故障时，传统EPBi需要将接收到的驾驶员踏板行程所产生相应的主缸压力或上层L3系统发送的减速信号，轮缸建压后进行传统方式的减速制动。2、转向冗余控制转向冗余控制主要考虑在一路转向执行过程中，一旦一边转向执行器失效或故障时，另一边能够继续承担驾驶员转向手力矩指令或上层发送的转向命令。如下图所示，典型的转向冗余设计主要考虑了几个比较典型的双冗余策略，即输入转角双冗余、底盘域控制器双冗余、转向执行双冗余以及供电冗余。

相关的转向冗余策略见下表。其中，SAS表示绝对转角传感器，将转角信号发送至总线；TAS表示转矩转角传感器是指的路感扭矩传感器，通过实际测量的方向盘扭矩信息通过一定的公式转化为转角信息，转向域主控制器SMCU接收上层L3发送的转角或扭矩信息，实现线控转向核心算法，同时将自身状态实时的发与转向冗余控制器SRCU做校验和监控。转向域冗余控制器SRCU当SMCU失效时，辅助SMCU实现线控转向核心算法或功能安全先顶下的安全转向控制；转向执行器分别接收蓄电池和DCDC双路供电，采用双路驱动电机芯片进行控制，当主芯片Main-ECU正常工作时，由该芯片计算电机电流进行转向控制。当该芯片失效时，由附芯片Sub-ECU计算电机电流进行控制。名称英文名描述转角传感器SAS1） 用于系统初始化；2） 当SMCU失效或私有CAN通信故障，SAS可作为RWA目标转角；TAS1） 绝对转角可备份SAS转角；2） 米集转向盘手力矩转化为转角；转向域主控制器SMCU

转向域冗余控制器SRCU1） 双路芯片搭载实现线控核心算法；2） 双路电源（蓄电池+直流电源）实现供电冗余；3） 双路通信（CANFD+CAN）实现通信融冗余；转向执行器S—Motor控制转向电机执行转向操作；控制端冗余控制策略控制端冗余控制策略IUUCR(IUsnLELZflISaretyM枚昨肛IUUCR(IUsnLELZflISaretyM枚昨肛T1、控制器交互策略自动驾驶算法开发过程中需要充分考虑功能安全为主导的情况下进行开发，其中涉及自动驾驶总控制器ADCU与冗余控制器RCU之间的相互监控控制以及该两者与关联执行器之间的交互控制逻辑。针对自动驾驶冗余控制而言，主要是考虑其自动驾驶主控制器ADCU失效后，如何控制冗余控制器RCU采取安全措施。其中对于系统控制来讲，自动驾驶主中央控制器ADCU与底盘交互有两路CAN通信网络。其中相关CAN线设置如下：1）设置双路底盘CAN:底盘CAN1:为底盘通信主路CAN线，执行器首先响应底盘CAN1数据，当底盘CAN1出现故障时，执行器响应CAN2数据。底盘CAN2:ADCU通过该CAN直接连接执行器，同时主要是考虑到由于网关转发故障或中央网关在当前状态下直接崩溃后所带来的相应的错误或延迟，系统仍旧能够发送正常制动转向指令给执行器进行控制。2）设置L3内部高速CAN:考虑到ADCU与RCU需要随时进状态校验和信息应答，设置ADCU与RCU直接在内部通过高速HighCan线相连。需要做如下说明：1）ADCU正常工作时，其发送给底盘CAN1和底盘CAN2的L3报文内容应相同（除由于Can类型不同导致传输带宽不一致外）；执行器ESP/EPS/eiBooster同时接收上层L3系统发过来的双路CAN（底盘CAN1和底盘CAN2）信号，正常情况下执行器执行底盘主路CAN1信号指令（同时对底盘辅路CAN2指令进行信号校验监控），执行完成相应的指令并通过该两路底盘CAN1和底盘CAN2反馈给L3上层系统相应的执行状态（包括传感、响应及状态信号）；2）ADCU失效时，需要将失效状态发送给RCU做监控和校验，此时，RCU根据当前自动驾驶所处的状态产生不同的执行风险最小化操作逻辑响应。EPS/ESP/eBooster响应RCU发送给底盘主路CAN1上的信号，对底盘CAN2的指令做通信校验监控；3）在自动驾驶激活期间，执行器ESP/EPS/eBooster同时接收上层RCU发过来的单路CAN（底盘CAN1）信号，执行完成相应的指令并通过通过主路CAN1反馈给RCU相应的执行状态（包括传感、响应及状态信号）；2、功能校验冗余控制器RCU需要对主控制器ADCU功能关键输入信号、过程信号和输出命令进行允许范围的计算，并对运动域控制器发出的横纵向控制命令进行比较和校验，如果超出允许范围，安全控制器报出监控问题；出现监控问题，由RCU发出监控故障状态信号，主控制器ADCU停止发出控制命令有效位，同时由安全控制器执行风险最小化操作。其中，校验类型具体如下：关键激活条件判断：以RCU判断条件为准进行激活控制，判断条件也包括监控驾驶员是否按自动驾驶功能激活按钮；加减速命令：校验ADCU发出的自动驾驶加减速命令，包括大小、时机以及误触发；转向命令：校验ADCU发出的自动驾驶转向速命令，包括大小时机以及误触发；紧急接管策略：校验ADCU的接管策略是否正确，包括是否在没有接管请求时退出，是否在驾驶员发出接管请求时不能退出等；软件运行检查和存储器检查：校验ADCU是否正常工作，是否存在软件跑飞，存储器故障等问题；对自身进行运行监控，包含看门狗对软件运行状态监控、内存ECC校验、运算芯片监控、I/O安全监控；关联输入校验：本车实际车速、方向盘角度、刹车踏板状态、油门踏板状态、驾驶员手力等；通信能力：监控通信过程中是否出现如Checksum、LiveCounter、节点丢失等；3、风险最小化策略考虑到进行失效风险最小化，需要进行自动驾驶安全性控制策略，这里从实际环境条件出发，对自动驾驶进行控制逻辑说明。当ADCU工作异常或失效时，L3未被激活前，RCU监控到ADCU状态时，驾驶员欲通过按键激活L3系统时，该系统将不能被激活。若在L3激活期间，RCU监控到ADCU状态时，则从安全的角度出发，自动驾驶安全控制策略采用如下两种方式中的一种策略进行控制：-控制安全减速避撞；-控制安全转向避撞；具体采用何种措施取决于当前失效的控制器及传感器实际状态。一般包含如下机中处理方案组合：传感器状态安全控制策略ADCURCUFrontRadarCornerRadarFrontCameraN0K0K—0K0K本车道减速停车+换道靠右N0K0K0KN0K0K本车道减速停车N0K0KNOKN0K0K本车道减速停车N0K0K—0K0K本车道减速停车+换道靠右N0K0KOK—N0K本车道减速停车除开以上控制类风险策略外，还需要对执行措施期间的交互策略进行设计，这一过程需要充分考虑到自车与环境间的交互信息，设计包含如下表执行策略报警信息类型报警提示策