车辆控制装置和方法
文献发布时间:2024-04-18 20:01:23
相关申请的交叉引用
本申请要求于2022年8月9日在韩国知识产权局提交的申请号为10-2022-0099318的韩国专利申请的优先权和权益,该韩国专利申请的全部内容通过引用并入本文。
技术领域
本公开涉及一种车辆控制装置和方法,更具体地,涉及一种自主驾驶车辆在主控制器在自主驾驶期间发生故障时的最小危险运行(Minimum Risk Maneuver,MRM)技术。
背景技术
自主驾驶车辆需要在驾驶过程中对不断变化的周围环境做出实时的适应性响应的能力。为了自动驾驶车辆的批量生产和广泛应用,可能需要可靠的判断(例如,决策)控制功能。最近发布的半自主驾驶车辆能够代表驾驶员进行基本的驾驶、制动和转向,从而减少驾驶员的疲劳。在半自主驾驶的情况下,与完全自主驾驶不同,驾驶员必须保持对驾驶的关注,例如连续握住方向盘等。近年来,半自主驾驶车辆配备有高速公路驾驶辅助(HDA)功能和可以检测诸如疲劳驾驶和视线偏移的驾驶员的疏忽和状态异常并通过组合仪表等输出警告警报的驾驶员状态警告(DSW)功能、通过前置摄像头检查车辆是否有诸如偏离车道的不安全的驾驶行为的驾驶员意识警告(DAW)功能、在检测到前向碰撞时执行突然制动的前向防撞辅助(FCA)或主动紧急制动(AEBS)功能。
传统的自主驾驶系统可以输出请求以将控制权从自主驾驶车辆的自主驾驶系统切换到驾驶员,然后,如果驾驶员在一定时间段内没有接管控制权,则自动执行最小危险运行(MRM)。然而,如果主自主驾驶控制器发生故障,则不能执行MRM模式。因此,有必要应对主自主驾驶控制器的故障,以便即使在发生故障时也能执行MRM。
本背景技术部分中公开的上述信息只是为了加强对本公开的背景的理解,因此,可能包含不构成本领域技术人员已知的现有技术的信息。
发明内容
本公开的示例性实施例致力于提供一种车辆控制装置和方法,即使在自主驾驶车辆的主控制器发生故障时也能够执行最小危险运行(MRM)。
本公开的技术目的不限于上述目的,并且本领域技术人员从权利要求书的描述中可以清楚地理解未提及的其它技术目的。
本公开的一个或多个示例性实施例提供一种车辆控制装置,该车辆控制装置包括:第一控制器,被配置为控制车辆的一个或多个安全功能;第二控制器,被配置为首要执行车辆的自主驾驶的控制;以及第三控制器,被配置为次要执行车辆的自主驾驶的控制。第一控制器可以进一步被配置为:判断第二控制器或第三控制器在车辆的自主驾驶期间是否发生故障,并且基于判断为第二控制器或第三控制器发生故障,执行车辆的自主驾驶功能。
第一控制器可以是底盘控制器。
自主驾驶功能可以包括最小危险运行(MRM)。
第一控制器可以进一步被配置为基于第二控制器发生故障并进一步基于来自第三控制器的命令执行MRM。
第一控制器可以进一步被配置为基于第二控制器和第三控制器发生故障,在没有从第二控制器或第三控制器接收任何车辆控制命令的情况下执行MRM。
车辆控制命令可以包括纵向控制命令和横向控制命令中的至少一种。
第二控制器可以包括电子控制单元(ECU)。第三控制器可以包括前置摄像头。
第二控制器和/或第三控制器可以被配置为基于第二控制器和/或第三控制器的故障状态的判断,将故障状态信息发送到第一控制器。
第一控制器可以进一步被配置为基于从第二控制器和/或第三控制器接收的故障状态信息,判断第二控制器和/或第三控制器的故障状态。
第一控制器可以进一步被配置为通过判断与第二控制器和/或第三控制器的有线通信的断开来判断第二控制器和/或第三控制器的故障状态。
本公开的一个或多个示例性实施例提供一种车辆控制装置,该车辆控制装置包括:一个或多个处理器;以及存储器。存储器可以存储指令,当该指令由一个或多个处理器执行时,该指令使车辆控制装置检测被配置为首要执行车辆的自主驾驶的控制的主控制器和被配置为次要执行车辆的自主驾驶的控制的辅助控制器中的至少一个的故障,并且基于检测主控制器和辅助控制器中的至少一个的故障,执行车辆的自主驾驶功能。
自主驾驶功能可以包括最小危险运行(MRM)。
当该指令由一个或多个处理器执行时,该指令可以进一步使车辆控制装置基于主控制器发生故障并进一步基于来自辅助控制器的命令执行MRM。
当该指令由一个或多个处理器执行时,该指令可以进一步使车辆控制装置基于主控制器和辅助控制器发生故障,在没有从主控制器或辅助控制器接收任何车辆控制命令的情况下执行MRM。
主控制器可以包括电子控制单元(ECU)。辅助控制器可以包括前置摄像头。
根据本公开的一个或多个示例性实施例,一种车辆控制方法可以包括:通过车辆的第一控制器,判断第二控制器或第三控制器在车辆的自主驾驶期间是否发生故障。第二控制器可以首要执行车辆的自主驾驶的控制,并且第三控制器可以次要执行车辆的自主驾驶的控制。该方法可以进一步包括:通过第一控制器,基于判断为第二控制器或第三控制器发生故障,执行车辆的自主驾驶功能。
第一控制器可以是底盘控制器。
自主驾驶功能可以包括最小危险运行(MRM)。
执行车辆的自主驾驶功能可以包括:通过第一控制器,基于第二控制器发生故障并进一步基于来自第三控制器的命令执行MRM。
判断为第二控制器或第三控制器发生故障可以包括:通过第二控制器或第三控制器,判断故障状态并将故障状态信息发送到第一控制器;以及通过第一控制器,基于故障状态信息,判断第二控制器或第三控制器的故障状态。
根据本技术,可以通过即使在自主驾驶车辆的主控制器发生故障时也执行最小危险运行(MRM)来提高自主驾驶系统的安全性和便利性。
此外,可以提供可以通过本文件直接或间接识别的各种效果。
附图说明
图1示出显示包括车辆控制装置的示例车辆系统的配置的框图。
图2示出示例第一控制器的详细配置。
图3示出示例车辆控制装置的控制器之间的信号流。
图4示出显示示例车辆控制方法的流程图。
图5示出示例计算系统。
附图标记说明
10:车辆控制装置 100:第一控制器
200:第二控制器 300:第三控制器
400:转向控制装置 500:制动控制装置
600:发动机控制装置(驾驶控制装置)
110:通信装置 120:存储装置
130:接口装置 140:处理器
201:主控制器 101:底盘控制器
301:子控制器(冗余功能)
具体实施方式
在下文中,将参照示例性附图详细描述本公开的一些示例性实施例。应注意的是,在将附图标记添加到每个附图的组成元件时,相同的组成元件即使显示在不同附图上也尽可能具有相同的附图标记。此外,在描述本公开的示例性实施例时,当确定对相关已知配置或功能的详细描述干扰对本公开的示例性实施例的理解时,将省略该详细描述。
在描述根据本公开的各种示例性实施例的组成元件时,可以使用诸如“第一”、“第二”、“A”、“B”、“(a)”和“(b)”的术语。这些术语仅用于将组成元件与其它组成元件区分开,并且组成元件的性质、顺序或次序不受这些术语的限制。此外,除非不同地定义,否则本文中使用的包括技术科学术语的所有术语具有与本公开的示例性实施例所属技术领域的技术人员(本领域技术人员)通常理解的含义相同的含义。在通用词典中定义的术语应被解释为具有与其在相关领域的上下文中的含义匹配的含义,并且除非在本说明书中明确定义,否则不应解释为具有理想或过分正式的含义。
在下文中,将参照图1至图5详细描述本公开的各种示例性实施例。
图1示出显示包括车辆控制装置的示例车辆系统的配置的框图,图2示出示例第一控制器的详细配置。
本公开的车辆系统可以包括自主驾驶车辆的系统。根据国际车辆工程师协会(SAE),自主驾驶车辆可以包括从高级驾驶辅助系统(ADAS)到自动驾驶系统(ADS)的任意类型,并且可以基于0到5级进行分类。不需要驾驶员辅助的ADS可以被分类为3级以上。注意的是,在3级系统中,在紧急情况下必须有紧急应对用户(fallback-ready user,FRU)做出响应,并且在4级以上系统中,即使发生诸如故障等紧急情况,自主驾驶车辆也应能够自己做出响应(例如,应对(fallback))。此处,自主驾驶车辆的响应表示在发生故障时执行控制(例如,最小危险运行(MRM))以切换到最小危险状态(MRC)。
参照图1,根据本公开的实施例的车辆系统可以包括车辆控制装置10、转向控制装置400、制动控制装置500和驾驶控制装置600。在这种情况下,转向控制装置400、制动控制装置500和驾驶控制装置600可以由车辆控制装置10控制和驱动。
车辆控制装置10可以在车辆内部实现。在这种情况下,车辆控制装置10可以与车辆的内部控制单元集成形成,或者可以实现为单独的装置并通过单独的连接器连接到车辆的控制单元。
车辆控制装置10可以包括执行车辆安全控制的第一控制器100、首要(例如,主要)执行自主驾驶的判断和控制的第二控制器200以及次要(例如,从属)执行自主驾驶的判断和控制的第三控制器300。例如,第二控制器200可以是主控制器,第三控制器300可以是辅助(例如,次要、冗余、从属等)控制器。
第一控制器100可以判断第二控制器200或第三控制器300在自主驾驶期间是否发生故障,以基于第二控制器200或第三控制器300是否发生故障,代表和/或代替第二控制器200或第三控制器300执行车辆的自主驾驶功能。
第一控制器100可以与车辆的安全装置有关,并通过响应于道路变化控制车辆的转弯稳定性和控制操纵性来保持驾驶稳定性。第一控制器100可以是底盘控制器。在这种情况下,底盘控制器指的是用于作为底盘的组件的原动机、动力传输装置、制动装置、驱动装置、悬挂装置和/或转向装置的控制器,并且在本公开中,底盘控制器可以指的是用于需要协作控制以执行自主驾驶的制动装置和转向装置的控制器。在这种情况下,底盘可以是构成车辆基础的车辆框架,并且指的是无需安装车体的状态。底盘可以包括原动机、动力传输装置、制动装置、驱动装置、悬挂装置、转向装置等,并且由于安装了车辆行驶所需的最少机械装置,因此底盘可以自行驾驶。
即,第一控制器100可以集成并控制电子控制悬架(ECS),该ECS执行针对转向过度或转向不足的倾向的前后减震控制或者执行扭矩矢量控制的电子稳定控制。
第一控制器100可以包括与车辆安全有关的各种类型的控制装置,例如,辅助转向扭矩的马达驱动动力转向、控制在诸如急转弯或障碍物的突发情况下发生转向不足和转向过度的电子稳定控制(ESC)、在突然制动或在结冰路面上驾驶时缩短制动距离的防抱死制动系统(ABS)、自主紧急制动(AEB)、作为自动轮胎压力监测系统的轮胎压力监测系统(TPMS)、用于如果在驾驶员驾驶时遇到危险或严重情况时驾驶员不能平衡车辆则防止车辆偏离的电子稳定程序(ESP)、车辆动态控制(VDC)、用于防止车轮空转的牵引力控制系统(TCS)、四轮驱动装置等。
第二控制器200可以是集成控制器,可以执行自主驾驶功能的判断和控制,并且可以执行整体控制,使得每个组件可以正常执行其功能。第二控制器200可以以硬件、软件或硬件和软件的组合的形式实现。例如,第二控制器200可以实现为一个或多个微处理器,但本公开不限于此。
第二控制器200可以包括安装在车辆中的电子控制单元(ECU)、发动机管理系统(EMS)、用于控制自动变速器的变速器控制单元(TCU)等。
第二控制器200可以执行最小危险运行(MRM)。即,如果发生危险情况,则第二控制器200可以请求驾驶员接管车辆的控制权以进行驾驶。
然而,如果在预定(例如,阈值)时间内没有完成控制权的接管,则第二控制器200可以执行车辆的MRM操作。即,第二控制器200可以在车辆的MRM操作期间,通过将车辆减速到预定速度来停止车辆。
第三控制器300可以是子控制器,并且可以包括前置摄像头等。
第三控制器300可以具有冗余功能,以在第二控制器200发生故障时替代(例如,代表、代替等)第二控制器200执行自主驾驶功能。例如,第三控制器300可以执行对应于自主驾驶级别为2级的自主控制功能。
如果第二控制器200发生故障,则第三控制器300可以替代第二控制器200向第一控制器100输出最小危险运行(MRM)的控制命令。
另外,第三控制器300可以保证比第二控制器200更低的危险水平(例如, 如果第二控制器200发生故障,则第一控制器100可以基于第三控制器300的命令执行MRM。另外,如果第二控制器200和第三控制器300发生故障,则第一控制器100可以在没有从第二控制器200和第三控制器300接收任何命令的情况下执行MRM。 第二控制器200和第三控制器300可以判断其自身的故障状态并将故障状态信息发送到第一控制器100。 因此,第一控制器100可以基于从第二控制器200或第三控制器300接收的故障状态信息判断第二控制器200或第三控制器300的故障状态。 另外,第一控制器100可以通过基于与第二控制器200或第三控制器300的有线网络通信(例如,控制器局域网(CAN)通信)判断与第二控制器200或第三控制器300的通信断开来判断第二控制器200或第三控制器300的故障状态。 参照图2,第一控制器100可以包括通信装置110、存储装置120、接口装置130和处理器140。 通信装置110可以是用各种电子电路实现的硬件装置,以通过无线或有线连接发送和接收信号,并且可以基于车载控制器和车载网络通信技术发送和接收信息。作为示例,车载网络通信技术可以包括控制器局域网(CAN)通信、本地互连网络(LIN)通信、flex-ray通信等。 作为示例,通信装置110可以与第二控制器200和第三控制器300通信,以发送或接收每个控制器的故障状态信息。 存储装置120可以存储处理器140操作所需的数据和/或算法(例如,指令)等。 存储装置120可以包括诸如闪存、硬盘、微型、存储卡(例如,安全数字(SD)卡或极限数字(XD)卡)的类型的存储器,随机存取存储器(RAM),静态RAM(SRAM),只读存储器(ROM),可编程ROM(PROM),电可擦除PROM(EEPROM),磁存储器(MRAM),磁盘和光盘中的至少一种类型的存储介质。 接口装置130可以包括用于接收来自用户的控制命令的输入装置和用于输出装置10的操作状态及其结果的输出装置。此处,输入装置可以包括按键,并且可以包括鼠标、操纵杆、飞梭旋钮(jog shuttle)、手写笔等。此外,输入装置可以包括在显示器上实现的软键。 例如,接口装置130可以显示车辆的驾驶状况。例如,接口装置130可以在进入MRM之前输出关于转移控制权的屏幕或语音通知。 接口装置130可以实现为平视显示器(HUD)、组合仪表、音频视频导航(AVN)或人机界面(HMI)和/或用户选择菜单(USM)。 输出装置可以包括显示器,并且还可以包括诸如扬声器的语音输出装置。如果在显示器上设置由触摸膜、触摸片和/或触摸板形成的触摸传感器,则显示器可以作为触摸屏操作,并且可以以输入装置和输出装置被集成的形式实现。在本公开中,输出装置可以输出列队行驶信息,例如传感器故障信息、先导车辆信息、列队队列信息、列队行驶速度、目的地、经由地、路径等。 显示器可以包括液晶显示器(LCD)、薄膜晶体管液晶显示器(TFT LCD)、有机发光二极管显示器(OLED显示器)、柔性显示器、场发射显示器(FED)、3D显示器及其任何组合中的至少一种。 处理器140可以与通信装置110、存储装置120、接口装置130等电连接,并且可以电控制每个组件。处理器140可以包括一个或多个处理器,并且可以是执行软件命令的电路,从而执行下文所述的各种数据处理和计算。 处理器140可以处理车辆控制装置10的组成元件之间传输的信号。处理器140可以是例如安装在车辆中的电子控制单元(ECU)、微控制器单元(MCU)或其它子控制器(例如,辅助控制器)。 处理器140可以执行车辆安全控制。 处理器140可以判断第二控制器200或第三控制器300在自主驾驶期间是否发生故障,并且基于第二控制器200或第三控制器300发生故障代表(例如,代替)第二控制器200或第三控制器300执行车辆的自主驾驶功能。 如果第二控制器200发生故障,则处理器140可以基于第三控制器300的命令执行MRM。 如果第二控制器200和第三控制器300发生故障,则处理器140可以在无需从第二控制器200和第三控制器300接收任何命令的情况下执行MRM。车辆控制命令可以包括纵向控制命令、横向控制命令及其任何组合中的至少一种。 处理器140可以基于从第二控制器200或第三控制器300接收的故障状态信息,判断第二控制器200或第三控制器300的故障状态。 第一控制器140可以通过基于与第二控制器200或第三控制器300的CAN通信判断与第二控制器200或第三控制器300的通信断开来判断第二控制器200或第三控制器300的故障状态。 转向控制装置400可以被配置为控制车辆的转向角,并且可以包括方向盘、与方向盘联动的致动器以及控制致动器的控制器。 制动控制装置500可以被配置为控制车辆的制动,并且可以包括控制制动器的控制器。 驾驶控制装置600可以被配置为控制车辆的发动机驱动,并且可以包括控制车辆速度的控制器。 图3示出示例车辆控制装置的控制器之间的信号流。 图3公开作为第一控制器100的示例的底盘控制器101、作为第二控制器200的示例的主控制器201以及作为第三控制器300的示例的子控制器301。 底盘控制器101可以监测主控制器201和/或子控制器301的故障状态。 底盘控制器101可以从主控制器201和/或子控制器301接收车辆的纵向控制命令和/或横向控制命令以用于MRM。 主控制器201可以判断其自身的系统是否发生了故障,并将主控制器201的故障状态信息发送到底盘控制器101。另外,子控制器301可以判断其自身的系统是否发生了故障,并将主控制器201的故障状态信息发送到底盘控制器101。子控制器301可以具有冗余功能,如果主控制器201发生故障,则子控制器301可以替代主控制器201执行自主驾驶功能。 如果主控制器201发生故障,则底盘控制器101可以基于子控制器301而不是主控制器201的命令执行MRM控制策略。例如,底盘控制器101可以控制车辆以-1m/s 如果主控制器201和子控制器301同时发生故障,则底盘控制器101可以执行MRM策略。例如,底盘控制器101可以控制车辆以-4m/s 因此,如果子控制器301的ASIL低于主控制器201的ASIL,则子控制器301在功能安全方面不适合监测主控制器201的故障,因为底盘控制器101判断主控制器201的故障并执行MRM,所以不需要增加子控制器301的ASIL,从而使成本最小化,并且即使主控制器201发生故障,也可以快速应对故障,从而提高自主驾驶车辆的安全性。 例如,如果子控制器301是能够响应2级自主驾驶功能的前置摄像头,则即使在原样利用具有2级自主驾驶功能的现有子控制器301的情况下,也可以准确地判断和响应主控制器201的故障,而不需要单独增加子控制器301的级别。 在下文中,将参照图4详细描述根据本公开的示例性实施例的车辆控制方法。图4示出用于说明示例车辆控制方法的流程图。 在下文中,假定图1的车辆控制装置10执行图4的过程。另外,在图4的说明中,描述为由装置执行的操作可以理解为由车辆控制装置10的处理器140控制。 参照图4,底盘控制器101可以判断主控制器201和子控制器301是否发生故障(S101)。底盘控制器101可以基于从主控制器201和子控制器301接收的故障状态信号来判断故障,或者可以通过利用CAN通信的超时(timeout)、作为判断CAN信号是否正常的标准的循环冗余检查(CRC)错误、活跃计数器(alive counter),当卡住超过一定时间段时判断为故障来判断主控制器201和子控制器301的故障。 底盘控制器101可以根据步骤S101中的故障判断结果判断主控制器201是否发生故障(S102),并且如果主控制器201没有发生故障,则底盘控制器101可以从主控制器201接收用于MRM的控制命令以执行MRM(S103)。 另一方面,如果主控制器201发生故障,则底盘控制器101可以判断主控制器201和子控制器301是否同时发生故障(S104)。 因此,如果判断为主控制器201和子控制器301同时发生故障,则底盘控制器101可以将自主驾驶控制的控制权从主控制器201切换到底盘控制器101(S105)(例如,主控制器201将关于自主驾驶的控制让渡给底盘控制器101)。 因此,底盘控制器101可以独立于主控制器201和子控制器301而自行执行MRM(S106)。 另一方面,如果在步骤S104中只有主控制器201发生故障,则底盘控制器101可以将自主驾驶的控制权从主控制器201切换到子控制器301(S107)(例如,主控制器201将关于自主驾驶的控制让渡给子控制器301)。 因此,底盘控制器101可以从子控制器301接收控制命令(例如,纵向控制命令、横向控制命令、减速等)以执行MRM(S108)。 无论子控制器301的自主驾驶级别或ASIL如何,都可以通过底盘控制器101判断(例如,检测)主控制器201的故障并将MRM的控制从主控制器201切换到底盘控制器101并执行MRM(例如,主控制器201将关于MRM的控制让渡给底盘控制器101)来提高自主驾驶功能的安全性。 图5示出示例计算系统。 参照图5,计算系统1000可以包括经由总线1200连接的至少一个处理器1100、存储器1300、用户界面输入装置1400、用户界面输出装置1500、存储装置1600和网络接口1700。处理器1100可以是一个或多个中央处理单元(CPU)或执行存储在存储器1300和/或存储装置1600中的命令的处理的半导体装置。存储器1300和存储装置1600可以包括各种类型的易失性或非易失性存储介质。例如,存储器1300可以包括只读存储器(ROM)1310和随机存取存储器(RAM)1320。 结合本文公开的示例性实施例描述的方法或算法的步骤可以直接通过由处理器1100运行的硬件、软件模块或者两者的组合来实施。软件模块可以驻留在诸如RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移除磁盘和光盘ROM(CD-ROM)的存储介质(例如,存储器1300和/或存储装置1600)中。 示例性存储介质可以联接到处理器1100,处理器1100可以从存储介质中读取信息并且将信息写入存储介质中。或者,存储介质可以与处理器1100集成。处理器和存储介质可以驻留在专用集成电路(ASIC)中。ASIC可以驻留在用户终端中。或者,处理器和存储介质可以作为单独的组件驻留在用户终端中。 上述描述只是说明本公开的技术思想,本公开所属领域的技术人员可以在不脱离本公开的基本特征的情况下进行各种修改和变化。 因此,本公开中公开的示范性实施例不旨在限制本公开的技术思想,而是解释本公开的技术思想,并且本公开的技术思想的范围不受这些示例性实施例的限制。本公开的保护范围应通过所附的权利要求书来解释,凡在等同范围内的技术思想都应被解释为包括在本公开的范围内。