hadoop 智能驾驶 hwp智能驾驶_安全控制


由于最近各大主机厂均在一定程度上开始研发并量产自动驾驶相关功能,包括交通拥堵自动驾驶(TJP,Traffic Jam Pilot)、高速路自动驾驶(HWP,High Way Pilot)、自动车道变换(ALC,Automotive Lane Change),对于SAE分级标准输出相应的自动驾驶功能包含限定到一定运行环境(ODD,Operation design domain)中的有限自动驾驶以及适应于各种复杂环境中的自动驾驶功能或无人驾驶,本文开始将以系列文章对系统架构、系统功能、系统运行局限、系统运行故障降级策略以及系统故障风险责任及规避措施方面进行阐述,以便读者最大限度的理解其TJP/HWP的功能原理。

传感器架构定义

自动驾驶设计过程必须要求具备丰富的传感器和足够能力的控制器,其中传感器需要包含星车主系统所必需的毫米波雷达、激光雷达、角雷达、前视摄像头以及融合泊车辅助系统中的环视摄像头、超声波雷达等传感器,另外对于车机交互单元还需要有高精度定位系统(带有惯性导航)、驾驶员监控系统等。具体传感器架构可表示如下图;


hadoop 智能驾驶 hwp智能驾驶_数据_02


hadoop 智能驾驶 hwp智能驾驶_数据_03


hadoop 智能驾驶 hwp智能驾驶_安全控制_04


系统架构定义

由于自动驾驶系统已经实现了从人控车到系统控车的过度,也即转变了原来的人机共驾方案到机器驾驶代替人的方案,而这一方面的转变要求系统具备极高的功能安全等级,其稳定性、可靠性均有很高的要求。由于传感器性能始终受制于自身硬件的约束,无法真正完全保证传感器的精确探测性能,做到不漏报不误报,这就使得在系统控制中可能导致因传感器误输入所产生的误控制的结果。此外,控制器与执行器虽然功能安全较传感器高,但是也无法完全规避由于自身失效带来的系统失效问题,这就要求在自动驾驶系统要求架构设计上尽量设计出相应的冗余控制方案,当传感器或控制器出现失效或功能不可用时,启动相应的冗余控制方案来实现相应的控制逻辑,以便保证真正自动驾驶的稳定性能。


hadoop 智能驾驶 hwp智能驾驶_hadoop 智能驾驶_05


自动驾驶系统通信硬件设计

从自动驾驶系统架构中不难看出,其中主要包含了几大部分:感知、决策、执行及显示控制中。其数据连接交互形式表示为如下几种形式:Hardwire、LVDS、Lin、CAN、CANFD、FLEXRAY、Ehternet几种,主要体现在通信方式及通信效率有所不同。对于自动驾驶系统而言,需要针对一些功能安全等级较高的控制器之间实现及时、高效且稳定可靠地通信链路,比如传感器与自动驾驶控制器之间,自动驾驶控制器与制动执行控制器之间均要求极高的功能安全策略,故必须采用性能最优的CAN通信策略,这里可以采用CANFD。


hadoop 智能驾驶 hwp智能驾驶_java怎么实现自动退出功能_06


自动驾驶系统冗余设计

一般来讲,冗余设计包括如下几个部分:电源、定位、感知、控制器、执行器各个部分。

1)电源模块 — 每个关键的驱动系统都有两个独立的电源系统;

2)定位模块 — 两套独立的惯性测量系统;(可选)

3)感知模块— 激光雷达、毫米波雷达和视觉感知多传感器检测;(可选)

4)控制器模块 — 备用控制器一直后台运行,当主系统发生故障时,则备用控制器向车辆的执行系统发出控制指令,控制车辆安全停车;

5)执行器模块 — 制动系统和转向系统均采用冗余设计;

对于冗余设计而言,其功能安全要求较高的部分主要集中在中央控制及决策执行单元,故主要需要对中央控制单元及决策控制单元进行双冗余设计。

由此相应的系统架构设计如下:

1、主控制器模块:

采用主控制器和辅助控制器两个进行双向控制,主控制器主要负责自动驾驶基础功能的计算与处理,包含对感知数据的后端处理,决策控制的模块处理,生成后端执行器能够执行的车辆数据(如纵向加减速度、转向角度等)。此外,主控制器还会接收来自各级传感器回传的车辆执行数据,分析其执行的程度,通过反馈回调将减小发送数据的误差。

此外,由于自动驾驶系统功能需要考虑在系统失效时对系统当时的数据状态,以便在售后事故处理过程中进行原因分析,故主控制器还要实现数据记录相关工能。

2、辅助控制器模块:

当自动驾驶主控制器模块由于自身原因失效而无法继续控制整车时,需要启动辅助控制器模块接管进行车辆的安全控制,其设计逻辑是与主控制器实现直接的实时通信,在辅助控制器内部构建安全校验模块,当该模块校验的主控制器失效或通信中断时,启动辅助控制器开始进行安全控制,一般的安全控制策略包括如下:

(1)继续接收高精地图及摄像头发出的道路环境信息,计算并发送一定的转角控制本车换道转向至车道最边缘;

(2)继续接收前雷达和角雷达发出的障碍物信息,并控制车辆在最终道边以一定的减速度进行安全停车,停车后自动拉起电子手刹,打起双闪灯提示后车;

(3)当检测到主控制器失效的同时,通过仪表发出相应的报警提示信息进行报警提示驾驶员立即接管车辆控制。

3、执行器模块:

对于执行器冗余控制来说主要是进行安全冗余控制,一般情况下加速控制对安全不产生积极控制影响,而安全控制主要集中在制动控制及转向控制逻辑中。故为了实现执行器的辅助安全控制,就需要进行制动及转向的双冗余控制。

(1)制动控制单元

制动控制的冗余控制包括通过主制动器对轮岗压力进行增压、保压、减压控制。该控制逻辑与传统辅助驾驶控制系统ADAS保持一致,差异表现在对该控制器的要求制动执行端的响应速度和性能比ADAS提升一个等级。

对于辅助制动单元而言,当主制动控制单元失效时,启动辅助制动控制器进行强力制动,以博世的IBooster实现冗余制动控制为例,该控制器实现了与ESP结合,iBooster 和ESP均可通过机械推动力,帮助车辆在任何减速情况下停止行驶。通过电机工作,iBooster 能够实现主动建压,而无需驾驶员踩下制动踏板。


hadoop 智能驾驶 hwp智能驾驶_hadoop 智能驾驶_07


与典型的ESP系统相比,获得所需制动力的速度提高了三倍,并且可通过电子控制系统进行更加精确的调节。紧急情况下,iBooster 可在约120 毫秒内自动建立全制动压力。这不仅有助于缩短制动距离,还能在碰撞无法避免时降低撞击速度和对当事人的伤害风险。

(2)转向控制单元

一般的转向控制器EPS功能安全等级为ASILD级(诸多级别中故障最严重的级别),由此可看出其在失效率方面的严格要求。用于ADAS的基本思考针对目前的EPS,安全目标主要考虑两种故障模式被划分为ASIL-D级别,主要包括如下两种失效是自动驾驶无法接受的:

① 转向的失控:

驾驶没有操控的情况下,车辆系统并没有给出自动转向等指示,可转向盘却会自动旋转;

自动驾驶系统在发出转向角给执行器执行后,其执行器执行的转向角相对于发出的转向角出现严重超调而出现转向失控;

② 转向器的锁止:

电机死锁可能由电气失效或机械失效导致。尤其在高速时,这种意外的扭矩会给司机,乘客和行人带来危险。这种危险可能源于电控单元ECU的故障,或电机及转向系统的机械故障。故转向冗余设计中,需要考虑确保电机不能锁死,保证司机能正常转向。

由此,对转向系统设置双冗余是提升自动驾驶功能安全的保证因素,具体可参照如下图进行转向的双冗余设计。


hadoop 智能驾驶 hwp智能驾驶_hadoop 智能驾驶_08


4、双电源驱动系统

除了业内都在重点关注自动驾驶系统的自身硬件和软件算法是否满足相应的功能安全要求外,从车辆供电系统这个角度来分析,目前绝大多数传统车辆只有单路主电源的供电系统,当这些车辆单路供电网络因故障无法提供电源时,整车电器负载包括自动驾驶系统就无法正常工作,而对此时正处于自动驾驶模式的车辆,就存在失去控制的风险。对比人工驾驶,自动驾驶在解放驾驶员手脚和眼睛的同时,也对车辆在自动驾驶下的安全性提出了更高的要求。比如在车辆驾驶安全和自动驾驶电器负载失去电源供电时,整个自动驾驶系统就无法正常运行,那车辆在自动驾驶模式下就存在安全隐患。为了提醒驾驶员立即接管驾驶并确保接管期间的驾驶安全,需要有备用电源对这些负载进行供电,确保车辆驾驶安全。典型的双冗余电源方案设计方案如下:


hadoop 智能驾驶 hwp智能驾驶_java怎么实现自动退出功能_09


总结

本文就有限自动驾驶功能TJP/HWP进行了基本介绍,就其中的传感器架构和系统功能定义进行了部分分析。其中传感器架构采用了包涵毫米波雷达、超声波雷达、激光雷达、前视摄像头、环视摄像头等多传感器融合方式进行相应的环境及目标探测;另外,本文也针对性的详细阐述了自动驾驶系统架构设计策略,从冗余设计、系统通信设计几个方面对其功能的正常工作性能进行了详细的说明。

作者:Aimee