一种自动驾驶冗余控制系统及方法

技术领域

本发明涉及自动驾驶技术领域，尤其涉及一种可实现多种最小风险化机制的自动驾驶冗余控制系统及方法。

背景技术

随着汽车技术的迅猛发展，手动驾驶已经满足不了日常需求，自动驾驶成为一个新的爆发点，以不同的形态展现在人们眼前。受益于多样化传感器技术、高性能计算平台技术、高安全性控制技术的快速进步，自动驾驶研究得到了快速发展，不仅对行业发展产生巨大影响，而且引领未来出行模式的重大变革。目前运用自动驾驶技术的产业主要有封闭园区（例如码头）货运，封闭园区（例如高新科技园等）扫地机器人，城市道路乘用车辅助驾驶，高速公路自动驾驶，高速公路商用车自动驾驶等。

目前全球汽车行业公认的两个分级制度分别是由美国高速公路安全管理局（简称NHTSA）和国际自动机工程师学会（简称SAE）提出的。NHTAS对自动驾驶的分级为：L0：无自动驾驶；L1~L2：辅助驾驶；L3：驾驶员在环自动驾驶；L4~L5：自动驾驶。目前L1~L2级别的辅助驾驶功能已经呈现日渐成熟的状态，L3级别及以上的自动驾驶正在被开发中。

在现有的L3级别及以上的自动驾驶系统方案中，在自动驾驶状态下，控制过程一般分为环境感知、路径规划和控制执行三个部分；在环境感知部分，自动驾驶系统通过车辆上设置的多种传感器的信息进行信息融合，然后再根据车辆行驶周边的环境、车辆自身的状态和意图，进行路径规划（例如车道内巡航、跟驰、变道超车等），最后自动驾驶系统通过控制车辆的转向系统、动力系统及制动系统，使车辆按照已规划的路径行驶。考虑到驾驶员存在不在环的因素，需要主/副两套控制系统。当主控制子系统出现问题时，由冗余的副控制系统接手控制车辆。

请参阅图1，其为现有的L3级别及以上的自动驾驶冗余控制系统10示意图。其中，主控制子系统101包括主感知设备110、主控制器111及主执行设备112，备份控制子系统102包括备份感知设备120、备份控制器121及备份执行设备122。主/备份感知设备负责监测并提供动态车流环境、车道线等信息；主/备份控制器负责对路径进行分析及轨迹控制；主/备份执行设备负责执行车辆加减速、转向等控制指令。

现有的冗余控制方案中，存在如下两个问题：一、当主感知设备故障后，主控制器通过备份控制器接收备份感知设备信息，由于主/副感知设备、主/副控制器在监测和算法等部分存在差异，为保证规控数据的一致性，备份控制器需增加标定匹配等工作。二、从成本上考虑，备份感知设备的出现会引出冗余本身的成本增加、感知空间布置的改变以及生产线各自动化链路的重新设定等问题。

发明内容

本申请的目的在于，提供一种自动驾驶冗余控制系统及方法，可在无需设置备份感知设备的情况下实现多种最小风险化机制，保证自动驾驶的功能安全可靠性。

为实现上述目的，本申请第一实施例提供了一种自动驾驶冗余控制系统，包括：主控制子系统和备份控制子系统；所述主控制子系统包括主感知设备、主控制器及主执行设备，所述主控制器分别与所述主感知设备、所述主执行设备相连，所述主执行设备至少包括转向主执行机构以及制动主执行机构；所述备份控制子系统包括备份控制器及备份执行设备，所述备份控制器分别与所述主感知设备、所述主控制器以及所述备份执行设备相连，所述备份执行设备至少包括转向备份执行机构以及制动备份执行机构，所述转向备份执行机构与所述转向主执行机构相连，所述制动备份执行机构与所述制动主执行机构相连；其中，在监测到所述主执行设备中的一主执行机构处于故障状态时进入最小风险化机制，所述主控制器接收所述主感知设备探测的实时行车环境信息，并进行路径规划，发送第一控制指令至所述主执行设备中处于正常工作状态的主执行机构，以及发送第二控制指令至所述备份控制器、由所述备份控制器将所述第二控制指令分配给所述备份执行设备中与处于故障状态的主执行机构对应的备份执行机构；在监测到所述主控制器处于故障状态时进入最小风险化机制，所述主执行设备终止响应所述主控制器发送的控制指令，所述备份控制器接收所述主感知设备探测的实时行车环境信息、进行路径规划、并向所述备份执行设备发送控制指令。

为实现上述目的，本申请第二实施例提供了一种自动驾驶冗余控制方法，采用本申请所述的自动驾驶冗余控制系统，所述方法包括：在监测到所述转向主执行机构、所述制动主执行机构其中之一处于故障状态时，所述主控制器接收所述主感知设备探测的实时行车环境信息，并进行路径规划，发送第一控制指令至所述主执行设备中处于正常工作状态的主执行机构，以及发送第二控制指令至所述备份控制器、由所述备份控制器将所述第二控制指令分配给所述备份执行设备中与处于故障状态的主执行机构对应的备份执行机构；在监测到所述主控制器处于故障状态时进入最小风险化机制，所述主执行设备终止响应所述主控制器发送的控制指令，所述备份控制器接收所述主感知设备探测的实时行车环境信息、进行路径规划、并向所述备份执行设备发送控制指令。

与现有技术相比，本申请实施例提供的自动驾驶冗余控制系统可以实现本车道安全停车、应急车道安全停车，本车道减速，避障减速等多种最小风险化机制，且本实施例通过备份控制器与主感知设备连接，使得备份控制子系统无需设置备份感知设备，避免了为保证规控数据的一致性，备份控制器需增加标定匹配等配置工作的问题，且节省了设置备份感知设备引起的成本增加、避免了感知空间布置的改变以及生产线各自动化链路的重新设定等问题。并且，当某一主执行机构发生异常时，其余主执行机构仍可响应于主控制器的控制指令正常工作，避免了当某一主执行机构发生故障时所有执行控制均需切换到备份执行机构的情况，从而保证了备份的及时性和精确性，进一步保证了自动驾驶的功能安全可靠性。本申请在自动驾驶所用不同的零部件故障时，均有对应的方案策略进行MRM处理，且MRM可支持多种形态。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍。显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图；

图1为现有的自动驾驶冗余控制系统示意图；

图2为本申请实施例提供的自动驾驶冗余控制系统的架构示意图；

图3~图8为本申请自动驾驶冗余控制系统的不同应用场景实施例的示意图；

图9为本申请实施例提供的自动驾驶冗余控制方法的流程示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

需要说明的是，本申请的文件中涉及的术语“包括”和“具有”以及它们的变形，意图在于覆盖不排他的包含。术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序，除非上下文有明确指示，应该理解这样使用的数据在适当情况下可以互换。另外，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本申请的概念。

本申请实施例中涉及的名词适推用于如下的解释：

MRM（Minimum Risk Manoeuvre）：最小风险化机制；

PILOT：全速驾驶辅助功能，可实现巡线行驶、自动避让等功能；

NOA（Navigate on Autopilot）：高速高架领航辅助，可实现基于导航指令下的自动上/下匝道等功能；

E2E：城市领航辅助，可实现基于导航指令下的自动路口左转/右转等功能；

SP：超级驾驶辅助，可实现脱手驾驶功能。

请参阅图2，其为本申请实施例提供的自动驾驶冗余控制系统的架构示意图。如图2所示，本实施例所述的自动驾驶冗余控制系统20包括主控制子系统201和备份控制子系统202，所述主控制子系统201包括主感知设备210、主控制器211及主执行设备212，备份控制子系统202包括备份控制器221及备份执行设备222。

具体地，所述主控制器211分别与所述主感知设备210、所述主执行设备212相连；所述备份控制器221分别与所述主感知设备210、所述主控制器211以及所述备份执行设备222相连，所述备份执行设备222进一步与所述主执行设备212相连。其中，在监测到驾驶员误作用或所述主感知设备210、所述主执行设备212、所述备份控制器221、所述备份执行设备222中任意一个或多个处于故障状态时进入最小风险化机制（MRM），由所述主控制器211进行路径规划、并向所述主执行设备212发送控制指令和/或通过所述备份控制器221向所述备份执行设备222发送控制指令；在监测到所述主控制器211处于故障状态时进入最小风险化机制，所述主执行设备212终止响应所述主控制器211发送的控制指令，所述备份控制器221接收所述主感知设备210探测的实时行车环境信息、进行路径规划、并向所述备份执行设备222发送控制指令。也即，在本实施例中，主控制器连接自动驾驶所需要的主感知设备以及相关主执行设备，并通过备份控制器与备份执行设备连接；备份控制器与主感知设备连接，使得备份控制子系统无需设置备份感知设备，避免了为保证规控数据的一致性，备份控制器需增加标定匹配等配置工作的问题，且节省了设置备份感知设备引起的成本增加、避免了感知空间布置的改变以及生产线各自动化链路的重新设定等问题。当主控制器211故障时，备份控制器221通过相同的主感知设备210自行进行路径规划并转化为控制指令，此时备份控制器211可根据主感知设备210设计出真实有效的动态变化的路径信息，从而转化出的控制指令更为准确。同时控制指令由全部的备份执行设备222执行，由于备份控制器211与备份执行设备222之间可实现精准配合（可在车辆线下匹配调试阶段完成调整纠偏，以实现精准配合），从而使车辆得到精准控制。

在一些实施例中，在系统正常工作条件下，主控制器对主感知设备探测的实时行车环境信息进行感知融合，进而进行路径规划（例如，通过路径分析及计算实现路径规划）、决策控制，从而向主执行设备发送控制指令（包括但不限于转向控制指令、制动控制指令），完成综合控制，以支持L1～L3级别的自动驾驶功能。

在一些实施例中，在主控制器正常工作、且监测到系统工作异常（驾驶员误作用或主感知设备、主执行设备、备份控制器、备份执行设备中任意一个或多个处于故障状态）时进入最小风险化机制；此时，由所述主控制器进行路径规划、并向主执行设备发送控制指令（在主执行设备正常工作情况下）或通过备份控制器向备份执行设备发送控制指令（在主执行设备全部工作异常、备份执行设备正常工作情况下），或向主执行设备发送控制指令和通过备份控制器向备份执行设备发送控制指令（在主执行设备部分正常工作、备份执行设备部分正常工作，且主执行设备与备份执行设备的故障机构不重叠的情况下），可以使车辆实现最小风险化机制，例如本车道安全停车、应急车道安全停车，本车道减速，避障减速，避免了事故的发生，保证了车辆的安全驾驶。

在一些实施例中，在监测到主控制器处于故障状态时进入最小风险化机制；此时，由备份控制器对主感知设备探测的实时行车环境信息进行感知融合，进而进行路径规划（例如，通过路径分析及计算实现路径规划）、决策控制，从而向备份执行设备发送控制指令（包括但不限于转向控制指令、制动控制指令），可以使车辆实现最小风险化机制，例如本车道安全停车、应急车道安全停车，本车道减速，避障减速，避免了事故的发生，保证了车辆的安全驾驶。也即，备份控制器可以在主控制器处于故障状态时，与主感知设备、备份执行设备交互，实现冗余控制。

在一些实施例中，主控制器可以具备强大和完整的计算能力，从而可以对主感知设备探测的实时行车环境信息进行感知融合，从而进行完整的路径规划，例如可完成单车道自动驾驶、多车道自动驾驶等（自主换道和指令换道等）路径规划和避障能力，并可向主执行设备发送控制指令以及通过备份控制器向备份执行设备发送控制指令。备份控制器可以采用与主控制器相同的控制器，或采用性能低于主控制器的控制器（例如具备有限性能的单车道自动驾驶的路径规划和避障能力的控制器），以在主控制器故障时，进行感知融合、路径规划、决策控制。

在一些实施例中，主感知设备包括独立摄像头，以探测实时行车环境信息。主感知设备还可以包括雷达（例如毫米波雷达、激光雷达）等自动驾驶所需传感器，以对行车环境进行充分感知，利于主控制器/备份控制器的传感融合，为路径规划提供数据基础。

在一些实施例中，在监测到驾驶员误作用或所述备份控制器221、所述备份执行设备222中任意一个或多个处于故障状态时，所述主控制器211接收所述主感知设备210探测的实时行车环境信息，并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备212。其中，当所述主执行设备212至少包括转向主执行机构2121以及制动主执行机构2122时，所述主控制器211发送减速控制指令至制动主执行机构2122、发送转向控制指令至转向主执行机构2121，可以使车辆实现最小风险化机制，例如本车道安全停车、应急车道安全停车，本车道减速，避障减速，避免了事故的发生，保证了车辆的安全驾驶。

在一些实施例中，在所述主感知设备210处于故障状态时，存在两种情况：一种是主感知设备210故障、但当前有导航地图数据（例如HD MAP数据）；另一种是主感知设备210故障、且当前也无导航地图数据（例如HD MAP数据）。对于主感知设备210故障，但当前有导航地图数据的情况，所述主控制器211根据存储于所述主控制器211内的导航地图数据提取车道线信息、根据雷达数据提取动态车流信息，并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备，以进行本车道内的减速。对于主感知设备210故障、且当前也无导航地图数据的情况，所述主控制器211根据雷达数据提取动态车流信息、并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备，以进行避障减速。

在一些实施例中，所述主执行设备212至少包括转向主执行机构2121以及制动主执行机构2122；所述备份执行设备222至少包括转向备份执行机构2221以及制动备份执行机构2222。所述转向主执行机构2121与所述转向备份执行机构2221相连，所述制动主执行机构2122与所述制动备份执行机构2222相连。在监测到所述转向主执行机构2121、所述制动主执行机构2122其中之一处于故障状态时，所述主控制器211接收所述主感知设备210探测的实时行车环境信息，并进行路径规划，发送第一控制指令至所述主执行设备212中处于正常工作状态的主执行机构（即所述转向主执行机构2121、所述制动主执行机构2122中正常工作的一方），以及发送第二控制指令至所述备份控制器221、由所述备份控制器221将所述第二控制指令分配给所述备份执行设备222中与处于故障状态的主执行机构对应的备份执行机构（即与所述转向主执行机构2121、所述制动主执行机构2122中处于故障状态的一方连接的备份执行机构）。其中，所述第一控制指令与所述第二控制指令选自减速控制指令与转向控制指令、且互不相同，从而可以使车辆实现最小风险化机制，例如本车道安全停车、应急车道安全停车，本车道减速，避障减速，避免了事故的发生，保证了车辆的安全驾驶。例如，当所述转向主执行机构2121处于故障状态、所述制动主执行机构2122处于正常工作状态时，所述主控制器211发送减速控制指令至所述制动主执行机构2122，以及发送转向控制指令至所述备份控制器221、由所述备份控制器221将所述转向控制指令分配给所述转向备份执行机构2221；当所述制动主执行机构2122处于故障状态、所述转向主执行机构2121处于正常工作状态时，所述主控制器211发送转向控制指令至所述转向主执行机构2121，以及发送减速控制指令至所述备份控制器221、由所述备份控制器221将所述减速控制指令分配给所述制动备份执行机构2222。在本实施例中，所述主执行设备212之一故障后，备份控制器221相当于通信中间件，只需转发控制指令，无需进行路径规划，且可以实现对车辆的精准控制。可在车辆线下匹配调试阶段，将经由备份控制器221转发的具体的控制指令进行纠偏匹配（纠正主执行机构和对应的备份执行机构由于彼此的结构性能差异而可能存在的指令执行偏差），从而使主控制器211和备份执行机构配合能达到主控制器211和主制执行机构配合时的一样的精准控制效果。即，正常情况下，主控制器211进行路径规划，并转为具体的控制指令后，发送给所述主执行设备212；主控制器211与主执行设备212是自动驾驶关键零部件，因此具体的控制指令是经过调试的、适配的，从而相互配合可以完成精准的车辆控制。在主执行设备212之一故障时，正常的其它主执行机构与接替故障主执行机构的备份执行机构共同完成MRM；例如，当制动主执行机构2122故障，此时仍由主控制器211进行路径规划，并将路径转化成的转向指令由转向主执行机构2121执行，这与正常工况下是一致的，也保证了主控与主转向之间的精准车辆控制；而主控制器211通过路径规划转化成的制动指令，由备份控制器221传递给制动备份执行机构2222时，由于制动备份执行机构2222已经预先进行了纠偏匹配，因此可以自动对接收到的制动指令进行调整，最终完成对车辆制动的精准控制。进一步的实施例中，在主执行设备212之一时，备份控制器221也可以参与进行路径规划，并通过增加备份控制器221的匹配标定工作并进行控制指令纠偏匹配，实现以接近控制器211与主执行机构配合的精确控制效果。例如，制动主执行机构2122故障时，如果备份控制器221也参与进行路径规划，则会产生备份控制器221与制动备份执行机构2222的配合，这和主控制器211与制动主执行机构2122的配合在最终的车辆控制效果上会产生差异，若不进行备份控制器221的匹配标定工作以及控制指令纠偏匹配，会导致正常的其它主执行机构与接替的备份执行机构共同完成MRM时存在控制上的偏差。

进一步的实施例中，当所述转向主执行机构2121与所述制动主执行机构2122处于故障状态时，所述主控制器211发送减速控制指令以及转向控制指令至所述备份控制器221、由所述备份控制器221将所述转向控制指令分配给所述转向备份执行机构2221、将所述减速控制指令分配给所述制动备份执行机构2222。在本实施例中，所述主执行设备212全部故障后，备份控制器221相当于通信中间件，只需转发控制指令，无需进行路径规划，且可以实现对车辆的精准控制。

本实施例所述的自动驾驶冗余控制系统可以应用于EP33车型中高级智能驾驶，实现如PILOT，NOA，E2E，SP等功能，且在该系统架构上可实现本车道安全停车、应急车道安全停车，本车道减速，避障减速等多种最小风险化机制。且本实施例通过备份控制器与主感知设备连接，使得备份控制子系统无需设置备份感知设备，避免了为保证规控数据的一致性，备份控制器需增加标定匹配等配置工作的问题，且节省了设置备份感知设备引起的成本增加、避免了感知空间布置的改变以及生产线各自动化链路的重新设定等问题。

下面通过一些具体的实施例来解释说明本申请自动驾驶冗余控制系统在不同应用场景中，是如何实现安全自动驾驶控制的。

请参阅图3，其为本申请自动驾驶冗余控制系统的第一应用场景实施例的示意图。本实施例用于示意在驾驶员误作用场景下，实现本车道安全停车或应急车道安全停车的最小风险化机制的工作原理。图中，实线连接示意故障发生后两组件之间具有信号或控制指令传递，虚线连接示意故障发生后两组件之间不具有信号或控制指令传递。

具体地，当驾驶员存在不在环的因素时（如长时间脱手驾驶和/或长时间脱眼驾驶等），系统可以监测到驾驶员误作用（例如，主控制器通过方向盘检测装置接收到驾驶员脱手状态、主控制器通过驾驶员眼睛状态检测装置接收到驾驶员脱眼状态），从而进入MRM状态。在MRM状态下，主感知设备210将探测的实时行车环境信息（包括但不限于车流动态，车道线信息等）传递给主控制器211；主控制器211根据实时行车环境信息、故障信息，进行路径分析及计算，将减速控制指令分配给制动主执行机构2122，将转向控制指令分配给转向主执行机构2121，从而实现本车道安全停车或应急车道安全停车。即，当驾驶员存在不在环的因素时，制动主执行机构2122、转向主执行机构2121可支持车辆减速停车至安全区域。其中，安全区域根据车辆所处情况不同有所区别，如果车辆不在最右侧行车道，安全区域为本车道前方最近直道区域；如果车辆在最右侧行车道且右侧有应急车道，安全区域为右侧车道；如果车辆在最右侧行车道且其右侧无应急车道，安全区域为本车道前方最近直道区域。

请参阅图4，其为本申请自动驾驶冗余控制系统的第二应用场景实施例的示意图。本实施例用于示意在制动主执行机构故障场景下，实现本车道安全停车或应急车道安全停车的最小风险化机制的工作原理。图中，虚框示意故障组件，实线连接示意故障发生后两组件之间具有信号或控制指令传递，虚线连接示意故障发生后两组件之间不具有信号或控制指令传递。

具体地，制动主执行机构2122与主控制器211连接以进行信息交互，制动备份执行机构2222与备份控制器221连接以进行信息交互，并且制动主执行机构2122与制动备份执行机构2222连接以进行信息交互。在两个制动执行机构中的任一个处于故障状态时，处于正常状态的制动执行机构基于接收的制动控制指令，完成相应的制动操作；即，任一制动执行机构可以基于制动控制指令独立完成制动操作，在其中一个制动执行机构出现故障时，将由另一个制动执行机构执行制动操作。系统具备计数器、节点故障检测等安全机制，可以监测到制动执行机构故障。例如，制动执行机构按照预设规则（比如每隔1S主动或被动）向相应控制器发送自身的工作情况；如果相应控制器在一定时间内未收到制动执行机构所发送的消息、则可以判定与制动执行机构之间的通讯出现故障。当然，如果相应控制器在一定时间内接收到制动执行机构所发送的消息，还可以通过判断消息的内容、格式或者时间等是否符合预设规则来确定制动执行机构的工作情况以及通讯情况。

当制动主执行机构2122故障时（如通讯失效、自身元器件故障等），系统可以监测到该故障从而进入MRM状态。在MRM状态下，主感知设备210将探测的实时行车环境信息（包括但不限于车流动态，车道线信息等）传递给主控制器211；主控制器211根据实时行车环境信息、故障信息，进行路径分析及计算，生成减速控制指令以及转向控制指令；主控制器211将减速控制指令发送至所述备份控制器221、由所述备份控制器221将所述减速控制指令分配给所述制动备份执行机构2222，主控制器211将转向控制指令继续分配给转向主执行机构2121，从而实现本车道安全停车或应急车道安全停车。即，当制动主执行机构2122故障时，制动备份执行机构2222、转向主执行机构2121可支持车辆减速停车至安全区域。

请参阅图5，其为本申请自动驾驶冗余控制系统的第三应用场景实施例的示意图。本实施例用于示意在转向主执行机构故障场景下，实现本车道安全停车或应急车道安全停车的最小风险化机制的工作原理。图中，虚框示意故障组件，实线连接示意故障发生后两组件之间具有信号或控制指令传递，虚线连接示意故障发生后两组件之间不具有信号或控制指令传递。

具体地，转向主执行机构2121与主控制器211连接以进行信息交互，转向备份执行机构2221与备份控制器221连接以进行信息交互，并且转向主执行机构2121与转向备份执行机构2221连接以进行信息交互。在两个转向执行机构中的任一个处于故障状态时，处于正常状态的转向执行机构基于接收的转向控制指令，完成相应的转向操作；即，任一转向执行机构可以基于转向控制指令独立完成转向操作，在其中一个转向执行机构出现故障时，将由另一个转向执行机构执行转向操作。系统具备计数器、节点故障检测等安全机制，可以监测到转向执行机构故障。例如，转向执行机构按照预设规则（比如每隔1S主动或被动）向相应控制器发送自身的工作情况；如果相应控制器在一定时间内未收到转向执行机构所发送的消息、则可以判定与转向执行机构之间的通讯出现故障。当然，如果相应控制器在一定时间内接收到转向执行机构所发送的消息，还可以通过判断消息的内容、格式或者时间等是否符合预设规则来确定转向执行机构的工作情况以及通讯情况。

当转向主执行机构2121故障时（如通讯失效、自身元器件故障等），系统可以监测到该故障从而进入MRM状态。在MRM状态下，主感知设备210将探测的实时行车环境信息（包括但不限于车流动态，车道线信息等）传递给主控制器211；主控制器211根据实时行车环境信息、故障信息，进行路径分析及计算，生成减速控制指令以及转向控制指令；主控制器211将转向控制指令发送至所述备份控制器221、由所述备份控制器221将所述转向控制指令分配给所述转向备份执行机构2221，主控制器211将减速控制指令继续分配给制动主执行机构2122，从而实现本车道安全停车或应急车道安全停车。即，当转向主执行机构2121故障时，制动主执行机构2122、转向备份执行机构2221可支持车辆减速停车至安全区域。

需要说明的是，当所述转向主执行机构2121与所述制动主执行机构2122均处于故障状态时，所述主控制器211发送减速控制指令以及转向控制指令至所述备份控制器221、由所述备份控制器221将所述转向控制指令分配给所述转向备份执行机构2221、将所述减速控制指令分配给所述制动备份执行机构2222。即，当转向主执行机构2121与制动主执行机构2122均故障时，制动备份执行机构2222、转向备份执行机构2221可支持车辆减速停车至安全区域。

请参阅图6，其为本申请自动驾驶冗余控制系统的第四应用场景实施例的示意图。本实施例用于示意在备份控制子系统故障场景下，实现本车道安全停车或应急车道安全停车的最小风险化机制的工作原理。图中，虚框示意故障组件（可为其中之一故障），实线连接示意故障发生后两组件之间具有信号或控制指令传递，虚线连接示意故障发生后两组件之间不具有信号或控制指令传递。

在备份控制子系统202（备份控制器221、制动备份执行机构2222、转向备份执行机构2221）中的任一个或多个组件处于故障状态时，系统可以监测到该故障从而进入MRM状态，由处于正常状态的主控制子系统201完成相应的操作。系统具备计数器、节点故障检测等安全机制，可以监测到备份控制子系统202故障。例如，备份执行机构按照预设规则（比如每隔1S主动或被动）向备份控制器发送自身的工作情况；如果备份控制器在一定时间内未收到备份执行机构所发送的消息、则可以判定与相应备份执行机构之间的通讯出现故障。当然，如果备份控制器在一定时间内接收到备份执行机构所发送的消息，还可以通过判断消息的内容、格式或者时间等是否符合预设规则来确定相应的备份执行机构的工作情况以及通讯情况。备份控制器也可以按照预设规则（比如每隔1S主动或被动）向主控制器发送自身的工作情况；如果主控制器在一定时间内未收到备份控制器所发送的消息、则可以判定与备份控制器之间的通讯出现故障。当然，如果主控制器在一定时间内接收到备份控制器所发送的消息，还可以通过判断消息的内容、格式或者时间等是否符合预设规则来确定备份控制器的工作情况以及通讯情况。

当备份控制器221故障时（如通讯失效、自身元器件故障等）和/或转向备份执行机构2221故障时（如通讯失效、自身元器件故障等）和/或当制动备份执行机构2222故障时（如通讯失效、自身元器件故障等），系统可以监测到该故障从而进入MRM状态。在MRM状态下，主感知设备210将探测的实时行车环境信息（包括但不限于车流动态，车道线信息等）传递给主控制器211；主控制器211根据实时行车环境信息、故障信息，进行路径分析及计算，生成减速控制指令以及转向控制指令；主控制器211将转向控制指令分配给转向主执行机构2121，减速控制指令分配给制动主执行机构2122，从而实现本车道安全停车或应急车道安全停车。即，当备份控制器221、转向备份执行机构2221、制动备份执行机构2222其中之一故障时、或任意两者故障时、或三者故障时，制动主执行机构2122、转向主执行机构2121可支持车辆减速停车至安全区域。

请参阅图7，其为本申请自动驾驶冗余控制系统的第五应用场景实施例的示意图。本实施例用于示意在主感知设备故障场景下，实现本车道内的减速或避障减速的最小风险化机制的工作原理。图中，虚框示意故障组件，实线连接示意故障发生后两组件之间具有信号或控制指令传递，虚线连接示意故障发生后两组件之间不具有信号或控制指令传递。

具体地，主感知设备210与主控制器211连接以进行信息交互，并且主感知设备210与备份控制器221连接以进行信息交互。在主感知设备210处于故障状态时，处于正常状态的主控制器211基于导航地图数据和/或雷达数据生成控制指令，完成相应的安全驾驶控制操作。系统具备计数器、节点故障检测等安全机制，可以监测到主感知设备故障。例如，主感知设备按照预设规则（比如每隔1S主动或被动）向相应控制器发送自身的工作情况；如果相应控制器在一定时间内未收到主感知设备所发送的消息、则可以判定与主感知设备之间的通讯出现故障。当然，如果相应控制器在一定时间内接收到主感知设备所发送的消息，还可以通过判断消息的内容、格式或者时间等是否符合预设规则来确定主感知设备的工作情况以及通讯情况。其中，当主感知设备与主控制器和备份控制器中的任一的通讯失效时即判定主感知设备故障。

在主感知设备210处于故障状态时（如通讯失效、自身元器件故障等）、但当前有导航地图数据（例如HD MAP数据），系统可以监测到该故障从而进入MRM状态。在MRM状态下，主控制器211根据存储于所述主控制器211内的导航地图数据提取车道线信息、根据雷达数据提取动态车流信息，从而进行路径分析及计算，生成减速控制指令以及转向控制指令；主控制器211将转向控制指令分配给转向主执行机构2121，减速控制指令分配给制动主执行机构2122，从而实现本车道内的减速。即，当主感知设备210故障但当前有导航地图数据时，主控制器211可以基于现存的导航地图数据与雷达数据进行路径规划，制动主执行机构2122、转向主执行机构2121可支持车辆减速、直至停车至安全区域。

在主感知设备210处于故障状态时（如通讯失效、自身元器件故障等）、且当前没有导航地图数据，系统可以监测到该故障从而进入MRM状态。在MRM状态下，主控制器211根据雷达数据提取动态车流信息，从而进行路径分析及计算，生成减速控制指令以及转向控制指令；主控制器211将转向控制指令分配给转向主执行机构2121，减速控制指令分配给制动主执行机构2122，从而实现避障减速。即，当主感知设备210故障且当前没有导航地图数据时，主控制器211可以仅基于雷达数据进行路径规划，制动主执行机构2122、转向主执行机构2121可支持车辆减速、直至停车至安全区域。

请参阅图8，其为本申请自动驾驶冗余控制系统的第六应用场景实施例的示意图。本实施例用于示意在主控制器故障场景下，实现本车道安全停车或应急车道安全停车的最小风险化机制的工作原理。图中，虚框示意故障组件，实线连接示意故障发生后两组件之间具有信号或控制指令传递，虚线连接示意故障发生后两组件之间不具有信号或控制指令传递。

具体地，主控制器211与备份控制器221连接以进行信息交互。在两个控制器中的任一个处于故障状态时，处于正常状态的控制器生成控制指令，完成相应的安全驾驶控制操作；即，任一控制器可以基于主感知设备210提供的数据独立完成控制操作，在其中一个控制器出现故障时，将由另一个控制器生成控制指令。系统具备计数器、节点故障检测等安全机制，可以监测到主控制器故障。例如，备份控制器按照预设规则（比如每隔1S主动或被动）接收主控制器的同步指令；如果备份控制器在一定时间内未收到主控制器所发送的消息、则可以判定与主控制器之间的通讯出现故障。考虑到主控制器通讯丢失时，备份控制器将无法接收同步指令，为了保证备份控制器能够及时接管控制权，所述备份控制器还可以用于监测其与主控制器是否通讯中断，并在与所述主控制器通讯中断时，所述备份控制器及时接管控制权。

当主控制器211故障时（如通讯失效、自身元器件故障等），系统可以监测到该故障从而进入MRM状态。在MRM状态下，主感知设备210将探测的实时行车环境信息（包括但不限于车流动态，车道线信息等）传递给备份控制器221；备份控制器221根据实时行车环境信息、故障信息，进行路径分析及计算，生成减速控制指令以及转向控制指令；备份控制器221将所述转向控制指令分配给所述转向备份执行机构2221、将所述减速控制指令分配给所述制动备份执行机构2222，从而实现避障减速。即，当主控制器211故障时，制动备份执行机构2222、转向备份执行机构2221可支持车辆减速、直至停车至安全区域。

根据以上内容可以看出，本申请实施例提供的自动驾驶冗余控制系统可以实现本车道安全停车、应急车道安全停车，本车道减速，避障减速等多种最小风险化机制，且本实施例通过备份控制器与主感知设备连接，使得备份控制子系统无需设置备份感知设备，避免了为保证规控数据的一致性，备份控制器需增加标定匹配等配置工作的问题，且节省了设置备份感知设备引起的成本增加、避免了感知空间布置的改变以及生产线各自动化链路的重新设定等问题。并且，当某一主执行机构发生异常时，其余主执行机构仍可响应于主控制器的控制指令正常工作，避免了当某一主执行机构发生故障时所有执行控制均需切换到备份执行机构的情况，从而保证了备份的及时性和精确性，进一步保证了自动驾驶的功能安全可靠性。

基于同一发明构思，本申请还提供了一种采用本申请上述自动驾驶冗余控制系统的自动驾驶冗余控制方法。由于该方法是采用本申请实施例提供的自动驾驶冗余控制系统，并且该方法解决问题的原理与该系统相似，因此该方法的实施例可以参见上述系统的实施，重复之处不再赘述。

请参阅图9，其为本申请实施例提供的自动驾驶冗余控制方法流程示意图。如图9所示，上述方法可包括如下步骤：S91、在监测到所述转向主执行机构、所述制动主执行机构其中之一处于故障状态时，所述主控制器接收所述主感知设备探测的实时行车环境信息，并进行路径规划，发送第一控制指令至所述主执行设备中处于正常工作状态的主执行机构，以及发送第二控制指令至所述备份控制器、由所述备份控制器将所述第二控制指令分配给所述备份执行设备中与处于故障状态的主执行机构对应的备份执行机构；以及S92、在监测到所述主控制器处于故障状态时进入最小风险化机制，所述主执行设备终止响应所述主控制器发送的控制指令，所述备份控制器接收所述主感知设备探测的实时行车环境信息、进行路径规划、并向所述备份执行设备发送控制指令。需要说明的是，上述动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

其中，所述第一控制指令与所述第二控制指令选自减速控制指令与转向控制指令、且互不相同。例如，当所述转向主执行机构2121处于故障状态、所述制动主执行机构2122处于正常工作状态时，所述主控制器211发送减速控制指令至所述制动主执行机构2122，以及发送转向控制指令至所述备份控制器221、由所述备份控制器221将所述转向控制指令分配给所述转向备份执行机构2221；当所述制动主执行机构2122处于故障状态、所述转向主执行机构2121处于正常工作状态时，所述主控制器211发送转向控制指令至所述转向主执行机构2121，以及发送减速控制指令至所述备份控制器221、由所述备份控制器221将所述减速控制指令分配给所述制动备份执行机构2222。

进一步的实施例中，当所述转向主执行机构2121与所述制动主执行机构2122处于故障状态时，所述主控制器211发送减速控制指令以及转向控制指令至所述备份控制器221、由所述备份控制器221将所述转向控制指令分配给所述转向备份执行机构2221、将所述减速控制指令分配给所述制动备份执行机构2222。

在一种可选的实施例中，所述方法进一步包括：在监测到驾驶员误作用或所述备份控制器、所述备份执行设备中任意一个或多个处于故障状态时，所述主控制器接收所述主感知设备探测的实时行车环境信息，并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备。即，当所述主执行设备212至少包括转向主执行机构2121以及制动主执行机构2122时，所述主控制器211发送减速控制指令至制动主执行机构2122、发送转向控制指令至转向主执行机构2121，可以使车辆实现最小风险化机制，例如本车道安全停车、应急车道安全停车，本车道减速，避障减速，避免了事故的发生，保证了车辆的安全驾驶。

在一种可选的实施例中，所述方法进一步包括：在所述主感知设备处于故障状态时，所述主控制器根据导航地图数据提取车道线信息、根据雷达数据提取动态车流信息，并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备；或所述主控制器根据雷达数据提取动态车流信息、并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备。即，在所述主感知设备210处于故障状态时，存在两种情况：一种是主感知设备210故障、但当前有导航地图数据（例如HD MAP数据）；另一种是主感知设备210故障、且当前也无导航地图数据（例如HD MAP数据）。对于主感知设备210故障，但当前有导航地图数据的情况，所述主控制器211根据存储于所述主控制器211内的导航地图数据提取车道线信息、根据雷达数据提取动态车流信息，并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备，以进行本车道内的减速。对于主感知设备210故障、且当前也无导航地图数据的情况，所述主控制器211根据雷达数据提取动态车流信息、并进行路径规划，发送减速和/或转向的控制指令至所述主执行设备，以进行避障减速。

根据以上内容可以看出，本申请实施例提供的自动驾驶冗余控制系统可以实现本车道安全停车、应急车道安全停车，本车道减速，避障减速等多种最小风险化机制，且本实施例通过备份控制器与主感知设备连接，使得备份控制子系统无需设置备份感知设备，避免了为保证规控数据的一致性，备份控制器需增加标定匹配等配置工作的问题，且节省了设置备份感知设备引起的成本增加、避免了感知空间布置的改变以及生产线各自动化链路的重新设定等问题。并且，当某一主执行机构发生异常时，其余主执行机构仍可响应于主控制器的控制指令正常工作，避免了当某一主执行机构发生故障时所有执行控制均需切换到备份执行机构的情况，从而保证了备份的及时性和精确性，进一步保证了自动驾驶的功能安全可靠性。

需要说明的是，本说明书中的各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同/相似的部分互相参见即可。对于实施例公开的方法实施例而言，由于其与实施例公开的系统实施例相对应，所以描述的比较简单，相关之处参见系统实施例的部分说明即可。

本领域技术人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的系统及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。计算机软件可以置于随机存储器（RAM）、内存、只读存储器（ROM）、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。