一种用于产生用于车辆的安全轨迹的容错计算机系统,其中至少包括:传感器部、一次部、二次部、三次部、以及判定部。该一次部和该三次部通过将由该传感器部感测到的真实世界的信息翻译来产生轨迹,并且该二次部通过将由该传感器部感测到的真实世界的信息翻译来产生安全空间估计值,该判定部和/或该二次部执行正确性校验。当轨迹在安全空间估计值内时,认定该正确性校验取的该轨迹是安全的,而当轨迹不在该安全空间估计值内时,认定该正确性校验取的该轨迹是不安全的。根据ASIL等级:QM或者ASIL A或者ASIL B,开发该传感器部和该一次部,并且根据ASIL等级:ASIL B或者ASIL C或者ASIL D,开发该二次部和该三次部,并且根据ASIL等级:ASIL D,开发该判定部。
Fault-tolerant Computer System for Auxiliary and Autonomous Driving
【技术实现步骤摘要】
用于辅助及自主驾驶的容错计算机系统
本专利技术涉及一种用于产生车辆的安全轨迹的容错计算机系统,其中该容错计算机系统至少包括下面的部件:传感器部、一次部、二次部、三次部、以及判定部,其中一次部和三次部配置成通过将由传感器部感测到的真实世界的信息翻译来产生轨迹,并且其中二次部配置成通过将由传感器部感测到的真实世界的信息翻译来产生安全空间估计值,并且其中判定部和/或二次部配置成执行正确性校验,执行该正确性校验是取轨迹和安全空间估计值作为输入,并且当所述轨迹在安全空间估计值内时,认定所述正确性校验所取的轨迹是安全的,而当所述轨迹不在安全空间估计值内时,认定所述正确性校验所取的轨迹是不安全的。所公开的方法和计算机系统是在车辆的高级驾驶员辅助系统(ADAS)和自主驾驶(AD)系统的
中。所述车辆可以是汽车以及其他靠边行驶车辆(road-sidevehicle)(例如,公共汽车、卡车等)和越野车及作业车(例如,拖车头、压雪车等)。本专利技术公开了一种估算所述车辆的轨迹的方法和计算机系统。然后,车辆能够利用所述轨迹完全自主地或半自主地(即,在乘客的监控下)沿所述轨迹操纵。根据本专利技术的计算机系统重复估算所述轨迹,例如,计算机系统可以每隔Y毫秒产生一次所述轨迹,Y≥1。由于ADAS/AD系统的部件可能发生错误(例如,随机硬件故障、软件开发故障等),所以迫切需要设计一种综合ADAS/AD系统,使得该系统的错误部件不导致综合ADAS/AD系统发生故障。特别是,该ADAS/AD系统的这种故障会产生不安全轨迹,即,如果车辆沿着该轨迹行驶,则该轨迹会引发事故,例如,与路上的另一辆车碰撞。因此,本专利技术公开了一种容忍ADAS/AD系统的部件发生故障的方法和计算机系统,使得即使在ADAS/AD系统存在一个或者多个错误部件的情况下,仍保证车辆不沿着不安全轨迹行驶。
技术介绍
对于一般车辆,特别是汽车,需要满足安全标准(通常是针对应用领域的)。这通常是允许车辆进入公路基础设施的先决条件(但是出于测试的目的是例外)。对于汽车领域,有关安全标准是ISO26262,ISO26262定义了汽车安全完整性等级(ASIL),这些等级有QM、ASILA、ASILB、ASILC和ASILD。普遍认为,具有上述特征(例如,全自主操作)的ADAS/AD系统必须满足ASILD。然而,这并不意味着ADAS/AD系统的全部部件也必须是ASILD级的。的确,可以预料在合理的成本制约下ADAS/AD系统的某些部件不能满足ASILD。尽管ISO26262对不是ASILD级(即,“ASIL分级”)的部件如何能够构建以ASILD为目标的综合系统定义了基本规则和选项,但是这些规则和选项是通用的,并且不可直接对实际系统的部件估算要求的ASIL等级。的确,提交本说明书之前,包含适当分配的ASIL等级的适当设计的ADAS/AD是大量生产全自主车辆的主要障碍之一。因此,本专利技术公开了对计算机系统的部件具体分配ASIL等级,该计算机系统或者本身是ADAS/AD系统,或者是更复杂ADAS/AD系统的一部分,或者是更复杂的ADAS/AD系统。
技术实现思路
本专利技术的目的是公开一种用于ADAS/AD系统的计算机系统,以容忍所述ADAS/AD系统的部件发生故障。该目的由容错计算机系统实现,如上所述,其中根据ASIL等级:QM或者ASILA或者ASILB,开发传感器部或所述传感器部的至少一部分,并且根据ASIL等级:QM或者ASILA或者ASILB,开发一次部,并且根据ASIL等级;ASILB或者ASILC或者ASILD,开发二次部,并且根据ASIL等级:ASILB或者ASILC或者ASILD,开发三次部,并且根据ASIL等级:ASILD,开发容错计算机系统FTCS的判定部。与现有技术不同,本专利技术公开了对所述计算机系统的各部件具体分配ASIL等级。因此,本专利技术能够根据ISO26262标准鉴定车辆的ADAS/AD系统,并且因此,能够大量生产在公路基础设施上运行的全自主和半自主车辆。从理论上说,根据本专利技术公开的计算机系统包括:传感器部、一次部、二次部、三次部以及判定部。通过实施各种传感器,诸如,实时摄像头、无线电探测与测距(RADAR)传感器、超声波传感器、光探测与测距(LIDAR)传感器、或者可感测真实世界的任何其他形式的传感器,所述传感器部与真实世界建立连系。传感器部将一些或者全部传感器输入和/或预处理的传感器输入提供给一次部、二次部和三次部。一次部和三次部反复估算车辆的轨迹。二次部能够反复产生安全空间估计值,该安全空间估计值是估计进入其内安全的地理区域的表示。一次部和三次部产生轨迹与二次部产生安全空间估计值一致。例如,产生轨迹和安全空间估计值可以是周期性的,带有相等周期或调和周期。安全空间估计值的示例示于图4中。二次部和/或判定部能够根据定义的正确性准则校验轨迹。一次部和三次部将其估算的轨迹提供给判定部。二次部将产生的安全空间估计值提供给判定部,并且可以将其视情况选择的正确性校验的结果提供给判定部,并且还可以将从一次部和三次部收到的轨迹提供给判定部。然后,判定部视情况执行正确性校验,并且或者选择来自一次部的轨迹,或者选择来自三次部的轨迹,并且将选出的轨迹输出到综合ADAS/AD系统或者车辆本身。ADAS/AD系统或车辆将该轨迹转换为对车辆的致动器的命令,使得车辆沿着判定部输出的轨迹移动。所描述的容错系统的有利实施例可以包括下面的细节中的一个、多个或者全部:·二次部和/或判定部可配置成对一次部提供的和/或三次部提供的轨迹执行正确性校验。·判定部可配置成当所述轨迹在二次部产生的安全空间估计值内时,将来自一次部的轨迹作为安全轨迹提供给车辆。·判定部可配置成当一次部提供的所述轨迹不在由二次部产生的安全空间估计值内时并且/或者当一次部根本就未提供轨迹时,将来自三次部的轨迹提供给车辆。由于反复估算轨迹和安全空间估计值,所以判定部可不立即提供来自三次部的轨迹,但是在一次部提供的可配置的第一数量的轨迹反复不在二次部产生的安全空间估计值内并且/或者一次部根本就未提供可配置的第二数量的轨迹的情况下,可以仅开始将来自三次部的轨迹提供给车辆。·所述第一可配置数量可≥1,并且所述第二可配置数量可≥1。·一次部可以符合ISO26262标准中定义的QM,而二次部可以符合ISO26262标准中定义的ASILD。·一次部可以符合ISO26262标准中定义的ASILA,而二次部可以符合ISO26262标准中定义的ASILC。·一次部可以符合ISO26262标准中定义的ASILB,并且二次部可以符合ISO26262标准中定义的ASILB。附图说明为了进一步说明本专利技术,下面将讨论如图所示的说明性的非限制性实施例,附图示出:图1示出容错计算机系统的示例,图2示出容错计算机系统的另一个示例,图3示出安全轨迹的示例,图4示出安全空间估计值的示例,以及图5示出不安全轨迹的示例。具体实施方式接着,我们将讨论本专利技术的许多实施中的一些实施例。如果未另外说明,则对特定示例描述的所有细节不仅对该示例有效,而且适用于本专利技术的整个保护范围。如果未另外说明,则优选地通常以例如几毫秒的固定周期重复实施下面给出的方法和系统。图1示出容错计算机系统FTCS的本文档来自技高网...
【技术保护点】
1.一种用于产生用于车辆(VEHICLE)的安全轨迹(TRJ)的容错计算机系统(FTCS),其中所述容错计算机系统(FTCS)至少包括下面的部件:传感器部(SENSE)、一次部(PRIM)、二次部(SEC)、三次部(TER)、以及判定部(DECIDE),其中所述一次部(PRIM)和所述三次部(TER)配置成通过将由所述传感器部(SENSE)感测到的真实世界的信息翻译来产生轨迹(TRJ,UTRJ),并且其中所述二次部(SEC)配置成通过将由所述传感器部(SENSE)感测到的真实世界的信息翻译来产生安全空间估计值(FSE),并且其中所述判定部(DECIDE)和/或所述二次部(SEC)配置成执行正确性校验,所述正确性校验取轨迹(TRJ、UTRJ)和所述安全空间估计值(FSE)作为输入,并且当轨迹(TRJ)在所述安全空间估计值(FSE)内时,认定所述正确性校验取的所述轨迹(TRJ)是安全的,而当轨迹(UTRJ)不在所述安全空间估计值(FSE)内时,认定所述正确性校验取的所述轨迹(UTRJ)是不安全的,其特征在于,根据ASIL等级:QM或者ASIL A或者ASIL B,开发所述传感器部(SENSE)或所述传感器部(SENSE)的至少一部分,并且根据ASIL等级:QM或者ASIL A或者ASIL B,开发所述一次部(PRIM),并且根据ASIL等级:ASIL B或者ASIL C或者ASIL D,开发所述二次部(SEC),并且根据ASIL等级:ASIL B或者ASIL C或者ASIL D,开发所述三次部(TER),并且根据ASIL等级:ASIL D,开发所述容错计算机系统(FTCS)的判定部(DECIDE)。...
【技术特征摘要】
2017.12.07 EP 17205877.81.一种用于产生用于车辆(VEHICLE)的安全轨迹(TRJ)的容错计算机系统(FTCS),其中所述容错计算机系统(FTCS)至少包括下面的部件:传感器部(SENSE)、一次部(PRIM)、二次部(SEC)、三次部(TER)、以及判定部(DECIDE),其中所述一次部(PRIM)和所述三次部(TER)配置成通过将由所述传感器部(SENSE)感测到的真实世界的信息翻译来产生轨迹(TRJ,UTRJ),并且其中所述二次部(SEC)配置成通过将由所述传感器部(SENSE)感测到的真实世界的信息翻译来产生安全空间估计值(FSE),并且其中所述判定部(DECIDE)和/或所述二次部(SEC)配置成执行正确性校验,所述正确性校验取轨迹(TRJ、UTRJ)和所述安全空间估计值(FSE)作为输入,并且当轨迹(TRJ)在所述安全空间估计值(FSE)内时,认定所述正确性校验取的所述轨迹(TRJ)是安全的,而当轨迹(UTRJ)不在所述安全空间估计值(FSE)内时,认定所述正确性校验取的所述轨迹(UTRJ)是不安全的,其特征在于,根据ASIL等级:QM或者ASILA或者ASILB,开发所述传感器部(SENSE)或所述传感器部(SENSE)的至少一部分,并且根据ASIL等级:QM或者ASILA或者ASILB,开发所述一次部(PRIM),并且根据ASIL等级:ASILB或者ASILC或者ASILD,开发所述二次部(SEC),并且根据ASIL等级:ASILB或者ASILC或者ASILD,开发所述三次部(TER),并且根据ASIL等级:ASILD,开发所述容错计算机系统(FTCS)的判定部(DECIDE)。2.根据权利要求1所述的容错计算机系统(FTCS),其特征在于,所...
【专利技术属性】
技术研发人员:斯蒂芬·波莱德纳,埃里克·施密特,G·尼德里斯特,S·特拉克斯勒,赫而曼·高柏兹,
申请(专利权)人:TTTECH电脑技术股份公司,
类型:发明
国别省市:奥地利,AT
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。