对于level 3及以上的自动驾驶水平而言,ADAS系统在出现错误时必须保持运行状态,最小化风险和伤害。一方面通过降低操作时间和系统故障率来实现风险最小化,另一方面可以增加系统安全架构机制来实现风险最小化,例如失效-安全架构或者失效-可操作安全架构。失效-安全架构(Fail-Safe Safety Architecture)图1展示了典型的失效-安全架构,其主要原理是通过不同的诊断功能对其主要组件(例如传感器、控制单元、执行器等)进行监控,并在出现错误时关闭系统。失效-可操作安全架构(Fail-Operational Safety Architecture)如前所述,在系统出现故障时,并不总是可能关闭系统。
针对系统架构需求,失效-可操作安全架构可以实现多样化冗余或者同构冗余。多样化是两个或多个不同的硬件和应用程序中实现的,这些硬件和应用程序由不同的公司或团队开发,或基于不同的规范。在同构冗余系统中,处理器等硬件由同一家公司同一个团队开发的,该软件由两个或者多个相等的实例完成。
1-Out-Of-2 Safety Architecture (1oo2) 这个安全架构由两个独立的处理单元组成,这些处理单元能够独立的控制执行器。如果一个处理单元失效,系统仍然可以运行。将此架构与诊断结合使用是典型的使用方式。图2展示了1oo2失效-可操作安全架构。2-Out-Of-3 Safety Architecture (2oo3)
图3展示了众所周知的2oo3失效-可操作安全架构。这种方法也被称之为三重模块化冗余(TMR),广泛用于航空电子领域。在这种方法中,三个单元的计算是冗余并且独立的。对三个单元的输出结果进行比较,如果至少有两个的结果是相同的,则输出为真。这种方法可以很大程度实现失效-可运行,但是也有一些缺点,比如耗电更大、资源消耗更大等。考虑多核域控制器的传统系统中的失效-可操作安全架构
随着多核处理器的应用不断增加,以及OEM和系统供应商还试图减少车辆中的ECU数量。在此背景下,开始考虑能否在多核处理器中利用域控制器实现类似于2oo3安全架构的容错系统。图4展示了这样的解决方案,该方案的主要特点是使用第二个处理器做为备份处理器,在每个处理器中对关键安全模块进行冗余计算并相互比较,如果结果不等,则将不同处理器的结果进行比较,以找到故障路径,然后系统的其余路径可以持续工作。
这种方案的好处是增加了冗余核心内的失效-可操作架构的系统可用性,强烈建议使用来自不同供应商的两种不同的多核处理器,以减少系统故障。
图4 多核域控制器的失效-可操作安全架构
失效-可操作系统对自动驾驶汽车而言至关重要,对level 3来说系统应该实现几秒的失效-可运行,直到驾驶员根据请求接管车辆。对于level 4甚至level 5,车辆必须在整个行驶周期内是安全的、失效-可运行的,这样才能得到客户的认可。车辆的可用性将是一个重要因素。因此车辆应该设计破坏性,即从传感器到执行器都设计有冗余单元。图5展示了自动驾驶车辆的通用处理流程,ADAS系统可以看作是人,传感器是眼睛,高性能ECU是大脑,手和脚是执行器。传感器包含摄像头、雷达、激光雷达、超声波传感器和DGPS,使系统具有360°视野。然后这些数据通过数据融合、适当的滤波(卡尔曼滤波、贝叶斯滤波等),以检测和分类环境中的对象,并预测后续场景。在以下的步骤中实现路径规划。并对不同情况进行分析,最后做出决策,包括紧急制动、紧急转向或正常驾驶等,最后根据决策、车辆模型、仲裁,由中央ECU或集成底盘控制系统执行最终的动作。上面讲了这么多,那具体ADAS系统如何实现失效-可操作安全呢?
图6展示了冗余系统的可能解决方案。从传感器到执行器整个系统都设计为失效-可操作。
传感器冗余/传感器到功能的映射
为了实现在各种驾驶工况和各种条件下的失效-可操作,仅设计传感器和自动驾驶功能之间的映射是不够的,有必要深入了解传感器的特性和局限性。因为还有一些其他外部因素,如天气条件、基础设施会对传感器的性能产生负面影响。在这种情况下,系统设计应该考虑这些外部因素。表1展示了传感器到功能的不同冗余映射的建议。
表1 传感器与功能的映射
ECU冗余/硬件冗余
要实现level 3的失效-安全,或者是level 4及以上的失效-可操作安全,车辆应具备故障操作冗余系统,作为备份。对于系统而言,至少拥有2oo2D硬件安全架构或者是更高的2oo3硬件安全架构。
对于图6、图7、图8中展示的失效-可操作安全架构,必须遵循以下几点:
对不同传感器信息进行独立处理;
高性能芯片对功能进行冗余计算,并向安全芯片提供两个独立的信号;
信息将通过冗余安全通信传输到安全芯片上,不会产生任何损坏;
冗余和正常功能应在不同的核心上并行处理。
高性能芯片和安全芯片的各个核心以及性能芯片的不同通道都应提供冗余电源。
使用看门狗来监控各芯片是否正常工作;
图6 失效-可操作安全架构
图6展示了ADAS域控制器的失效-可操作安全架构,目前的ADAS域控制器中高性能芯片通常有GPU、CPU以及安全内核组成。首先传感器信号将根据传感器故障模式(例如超范围、偏移、振荡等)以及传感器特性进行独立监控,之后可以根据正确的传感器数据在不同 GPU 内冗余实现传感器融合,以便检测和分类对象。然后将独立实现行为预测,以找出道路上每个物体的意图。下一步将根据独立信息独立完成路径规划。决策将在安全处理器中实现。由于冗余有限,此架构仅适用于level 3。如果电源芯片出现故障,多核安全芯片将仅作为电源芯片重要安全关键功能的后备。新的多核处理器还具有雷达接口,因此这些功能可以作为冗余使用,通过电源芯片故障使车辆进入安全状态。
图7展示了域控制器中的2oo2D架构。与之前的安全架构相比,第二颗高性能芯片实现对不同的功能和算法冗余计算,结果将在安全芯片中进行比较,以确定它们是否相等。同时每个高性能芯片都具有自我诊断功能。因此可以通过对结果的不等式求出故障路径。在这种情况下,系统仍然可以使用正确的路径进行故障操作。但是,如果不可能通过不等式来确定错误路径,则系统不再是失效-可操作,应该关闭系统以获得安全状态。图8 展示了 ECU 级别的三重模块化。与 2oo2D 安全架构相比,该架构的可用性更高。三个独立的路径将进行比较,以找出故障路径。图9展示了高性能芯片中ADAS功能和算法的失效-可操作处理流程。市场上的高性能芯片由GPU和CPU组成。因此十分适合用于失效-可操作安全架构的设计。首先,传感器信号将根据电气故障(如接地短路)以及传感器特征(如像素数据丢失)进行诊断。随后,感知、路径规划和驱动策略的功能和算法将在冗余GPU中实现多样化。这些功能的结果将在CPU中进行比较。因此,可以使用不同的冗余执行函数。最后将高性能芯片的输出到独立安全芯片上进行比较,如图6、图7、图8所示。图9 ADAS系统中高性能芯片数据处理流程说明
参考:外文文献,侵删
