阅读说明：本技术 汽车驾驶冗余控制系统及其方法 (Automobile driving redundancy control system and method thereof ) 是由 张兴华 李梦妮 李学兵 刘金汉 孙志刚 于 2019-11-20 设计创作，主要内容包括：本发明公开了一种汽车驾驶冗余控制系统,它包括车辆传感器、控制器、冗余控制器、被控系统、执行器、主干网络和冗余网络,其中,控制器包括控制模块和状态监控模块,控制模块用于在车辆正常工作时,不间断的接收车辆传感器的传感信号,并根据该传感信号生成对应的车辆控制指令,同时,通过主干网络将上述车辆控制指令发送至被控系统,被控系统根据车辆控制指令操作执行器执行相应的车辆控制动作；状态监控模块用于检测控制模块是否发生故障；本发明在保障控制器成本的同时,能够更好的保障控制系统的完整性及通信可靠性。(The invention discloses an automobile driving redundancy control system, which comprises a vehicle sensor, a controller, a redundancy controller, a controlled system, an actuator, a backbone network and a redundancy network, wherein the controller comprises a control module and a state monitoring module, the control module is used for uninterruptedly receiving a sensing signal of the vehicle sensor when a vehicle normally works, generating a corresponding vehicle control instruction according to the sensing signal, simultaneously sending the vehicle control instruction to the controlled system through the backbone network, the controlled system operates the actuator to execute a corresponding vehicle control action according to the vehicle control instruction, and the state monitoring module is used for detecting whether the control module fails.)

汽车驾驶冗余控制系统及其方法

技术领域

本发明涉及汽车电子控制系统技术领域，具体地指一种汽车驾驶冗余控制系统及其方法。

背景技术

车辆驾驶控制系统在确保车辆行驶安全、可靠方面起着决定性作用，尤其是包括智能驾驶系统在内的关键控制系统，这些系统在保障自身的正常运行时，必须考虑其冗余控制以保障在单一控制系统故障情况下，冗余控制系统生效，来保障车辆和驾乘人员的安全。

针对汽车驾驶系统的冗余控制，现有方法主要有如下两种设计形式：

第一种冗余控制方案是采用两套完全相同的控制系统对车辆进行控制，如附图1所示，两个控制器完全相同，具有不同的源地址。它们同时接受传感器发送的信号，并依据传感器信号状况及自身算法，同步向主干网络发送对被控系统的控制信号，被控系统及其执行器同时接收并优先响应第一个控制器的信号，当第一个控制器失效时，被控系统根据第一个控制器的故障信号进行判断并切换至响应第二个控制器发送的信号，从而保障在汽车控制系统维修前，被控系统仍能够正常运行。

第二种冗余控制方案，如中国专利CN201910435840.3公布了包含冗余控制的一种自动驾驶控制系统和方法，该系统中的第一控制器，用于接收第一传感器发送的第一传感数据，根据第一传感数据生成第一控制指令，并将第一控制指令发送至第一执行器，以及在第二控制器故障时，执行预设第一安全操作；第二控制器，用于接收第二传感器发送的第二传感数据，根据第二传感数据生成第二控制指令，并将第二控制指令发送至第二执行器，以及在第一控制器故障时，执行预设第二安全操作。即两个控制器互为冗余，并分别执行另一控制器故障时的紧急操作。

上述两种现有的控制策略具有如下缺点：

对于现有技术方案一而言，由于该方案采用两个完全相同的控制器同时向主干网络发送控制报文进行控制，这将导致主干网络负载显著提升，影响控制信号传输的准确性。同时，该控制系统成本相当于无冗余控制系统的2倍。

对于现有技术方案二而言，在控制器故障时，通过另一控制器执行的预设安全操作不一定能够完全应对行驶状况的复杂性，从而可能导致驾驶风险。同时，两个控制器仍通过统一的网络传输至执行器，也存在由于主干网负载较高，可能导致控制器和执行器之间信号传递失效的问题。

这些缺点可能造成成本、网络负载的上升，甚至进一步影响车辆行驶的安全。

发明内容

本发明的目的就是要提供一种汽车驾驶冗余控制系统及其方法，本发明在保障控制器成本的同时，能够更好的保障控制系统的完整性及通信可靠性。

为实现此目的，本发明所设计的一种汽车驾驶冗余控制系统，其特征在于：它包括车辆传感器、控制器、冗余控制器、被控系统、执行器、主干网络和冗余网络，其中，控制器包括控制模块和状态监控模块，控制模块用于在车辆正常工作时，不间断的接收车辆传感器的传感信号，并根据该传感信号生成对应的车辆控制指令，同时，通过主干网络将上述车辆控制指令发送至被控系统，被控系统根据车辆控制指令操作执行器执行相应的车辆控制动作；状态监控模块用于检测控制模块是否发生故障；

冗余控制器用于在车辆正常工作时，处于休眠状态，并通过冗余控制器内部的心跳模块不间断地发送心跳报文至主干网络和冗余网络；

状态监控模块检测到控制模块发生故障时，状态监控模块将控制模块的故障情况生成故障指令，并将故障指令发送给冗余控制器；

冗余控制器接收到故障指令后从休眠状态唤醒，冗余控制器开始接收车辆传感器的传感信号并依据传感信号及预存的最低安全控制策略生成冗余的车辆控制指令，然后将冗余的车辆控制指令发送至被控系统，被控系统接收到冗余的车辆控制指令后通过执行器执行对应的安全控制操作。

上述技术方案中，所述冗余控制器将冗余的车辆控制指令通过冗余网络发送至被控系统。

本发明的优点在于：

本发明采用1个完整功能控制器，及1个最低功能控制器，由于冗余控制器的功能减少，其***线束、计算能力、内存要求均较主控制器下降，成本介于背景技术方案1和方案2之间；

在正常工作状况下，主干网络负载为主控制器控制指令报文+冗余控制器心跳报文；在主控制器故障情况下，主干网络负载为主控制器故障报文/错误报文+冗余控制器命令报文，冗余控制器命令报文可在冗余网络发送，分担主网络负载，避免背景技术方案2可能出现的崩溃失控(方案2中所有报文均通过一根网络进行传输，无冗余网络，一旦故障，主干网络容易由于负载过高，从而出现崩溃并导致失控)；

由于本发明中冗余控制器依据传感信号及预存的最低安全控制策略生成冗余的车辆控制指令，且正常工作状态下冗余控制器处于休眠状态，较现有技术方案而言更加节能，也能够更好的降低在主干网络上的负载。在故障情况下，冗余控制器通过冗余网络发送控制指令，较背景技术中的第二种技术方案能更好的避免故障时由于主干网络负载过高导致的意外事故，安全性更优。

附图说明

图1为本发明的结构原理框图；

其中，1—车辆传感器、2—控制器、2.1—控制模块、2.2—状态监控模块、3—冗余控制器、4—被控系统、5—执行器、6—主干网络、7—冗余网络、8—子网。

具体实施方式

以下结合附图和具体实施例对本发明作进一步的详细说明：

如图1所示的一种汽车驾驶冗余控制系统，本实施例以智能驾驶控制器(ADCU)为控制核心举例说明，它包括车辆传感器1、控制器2、冗余控制器3、被控系统4、执行器5、主干网络6和冗余网络7，

其中，所述车辆传感器1包括雷达、摄像头、车速传感器、角速度传感器、航向角传感器等用于识别周遭环境及车辆行驶状态的传感器；

控制器2为控制整车智能驾驶行为的控制单元，即ADCU本身，是用于接收传感器信息，并通过计算判断整车应执行的后续操作的ECU；

冗余控制器3可视为降低了一定计算及功能量，仅保证了诸如制动、转向等算法，以确保整车行驶安全的简化版控制器；

被控系统4受主控制器控制决策影响，并控制执行器5行为的的系统，例如制动系统控制器；具体操作举例为：若ADCU根据周遭环境计算完整车应进行减速并发送制动减速度要求，则制动系统控制器应按照所要求的制动减速度计算制动踏板开度指令(或制动力数值)，并将要求发送给执行器(制动器)执行操作；

执行器5一般为具体执行驾驶动作的转向机、制动器、油门等实现加速、减速的具体部件或机构；

主干网络6和冗余网络7均走控制或故障信号。冗余网络7主要是用于传输故障模式下的控制信息，以分担主干网络的负载；

其中，控制器2包括控制模块2.1和状态监控模块2.2，控制模块2.1用于在车辆正常工作时(在实际车辆中，传感器、控制器自身都带有故障诊断模块，通过一系列机制保障可以对其是否正常工作进行判断。若未收到传感器、主控制器的故障报警信号，则车辆处于正常工作状态；)，不间断的接收车辆传感器1的传感信号，并根据该传感信号生成对应的车辆控制指令，同时，通过主干网络6将上述车辆控制指令发送至被控系统4，被控系统4根据车辆控制指令操作执行器5执行相应的车辆控制动作；状态监控模块2.2用于检测控制模块2.1是否发生故障(常见的故障包括传感器/控制器的短路、软件版本错误、断路、信号丢失等多种状态，这些状态均可通过检测机制检测到，并发送对应的报警信号)；

冗余控制器3用于在车辆正常工作时，处于休眠状态，并通过冗余控制器3内部的心跳模块3.1不间断地发送心跳报文至主干网络6和冗余网络7，以在降低其对整车电耗和网络负载的影响情况下，确保其处于正常工作状态；心跳报文由被控系统或车上其他承担心跳报文检查的控制器接收，心跳报文具有特定的格式和周期，一旦该格式报文周期错误或内容错误，则说明控制器3(冗余控制器)故障。该方式不能用于修复控制器3，而是用于提醒驾驶员冗余系统是否可以运作以保障安全的。两个控制器同时失效的概率极地，一般而言若该控制器失效则应提醒驾驶员尽早维修，以避免两个控制器均失效。

状态监控模块2.2检测到控制模块2.1发生故障时，状态监控模块2.2将控制模块2.1的故障情况生成故障指令，并将故障指令发送给冗余控制器3；

冗余控制器3接收到控制模块2.1的故障指令后从休眠状态唤醒，冗余控制器3开始接收车辆传感器1的传感信号并依据传感信号及预存的最低安全控制策略生成冗余的车辆控制指令，然后将冗余的车辆控制指令通过冗余网络7发送至被控系统4，被控系统4接收到冗余的车辆控制指令后通过执行器5执行对应的安全控制操作，以ADCU判断减速为例，此处可能执行的操作为被控系统接受减速指令，然后将其转化为制动力，并通过制动器(执行器)完成制动动作。

上述技术方案中，执行器5执行对应的安全控制操作时，冗余控制器3不间断的向整车网络发送警报信号，提醒司机整车处于故障及最低安全模式状态，需要尽快进行维修。

上述技术方案中，当被控系统4同时收到控制器2发出的车辆控制指令和冗余控制器3发出的冗余的车辆控制指令时，应执行冗余控制器3发出的冗余的车辆控制指令，以保障执行器可以执行正确的控制指令。

上述技术方案中，上传至主干网络6的故障指令发送给被控系统。

上述技术方案中，所述状态监控模块2.2将故障指令通过子网8发送给冗余控制器3。

上述技术方案中，所述状态监控模块2.2用于将故障指令上传至主干网络6。

上述技术方案中，控制器2具备完整车辆控制功能，冗余控制器3具备保障整车行驶最低安全控制策略的控制功能。以智能驾驶系统为例，完整的控制功能可能同时包括：自动控制车辆进行规划路线、超车、变道、自动转向避障等等行为；最低安全策略功能则可能无法进行路线规划、无法进行超车加速，仅限于自动制动、自动转向避障、限制加速等动作的规划和控制，即：限制加速等可能存在风险的行为，保障减速、避障、向司机报警等提升车辆安全的行为。

一种汽车驾驶冗余控制方法，其特征在于，它包括如下步骤：

步骤1：控制模块2.1在车辆正常工作时，不间断的接收车辆传感器1的传感信号，并根据该传感信号生成对应的车辆控制指令，同时，通过主干网络6将上述车辆控制指令发送至被控系统4，被控系统4根据车辆控制指令操作执行器5执行相应的车辆控制动作；状态监控模块2.2检测控制模块2.1是否发生故障；

冗余控制器3在车辆正常工作时，处于休眠状态，并通过冗余控制器3内部的心跳模块3.1不间断地发送心跳报文至主干网络6和冗余网络7；

步骤2：状态监控模块2.2检测到控制模块2.1发生故障时，状态监控模块2.2将控制模块2.1的故障情况生成故障指令，并将故障指令发送给冗余控制器3；

步骤3：冗余控制器3接收到故障指令后从休眠状态唤醒，冗余控制器3开始接收车辆传感器1的传感信号并依据传感信号及预存的最低安全控制策略生成冗余的车辆控制指令，然后将冗余的车辆控制指令发送至被控系统4，被控系统4接收到冗余的车辆控制指令后通过执行器5执行对应的安全控制操作；

当控制器2经维修操作消除故障时，冗余控制器3恢复休眠模式，由控制器2按照正常工作状态模式对系统进行控制。

本说明书未作详细描述的内容属于本领域专业技术人员公知的现有技术。