用于监控自动驾驶车辆的控制系统的方法

技术领域

本公开的实施方式总体上涉及操作自动驾驶车辆。更具体地，本公开的实施方式涉及对自动驾驶车辆(ADV)的控制系统进行监控，以进行安全驾驶。

背景技术

以自动驾驶模式运行(例如，无人驾驶)的车辆可以将乘客(尤其是驾驶员)从一些驾驶相关的职责中解放出来。当以自动驾驶模式运行时，车辆可以使用车载传感器导航到各个位置，从而允许车辆在最少人机交互的情况下或在没有任何乘客的一些情况下驾驶。

运动规划和控制是自动驾驶中的关键操作。作为除了定位、感知、预测和规划之外的用于自动驾驶系统的关键功能之一，控制在将运动轨迹转换成可运行的运动执行器命令(诸如，转向、加速和减速)方面起着关键作用。确保控制功能按预期运作的常用方法是使用距碰撞的时间(time-to-collision，TTC)或间隔距离作为整体指导来对规划功能和控制功能二者进行评估。这可能导致在规划和控制时过于激进或过于保守。另外，应在何时激活故障操作以实现最小风险操控，仍待探讨。

发明内容

根据本申请的一方面，提供了一种用于操作自动驾驶车辆的计算机实施的方法，所述方法包括：基于规划成用于在下一时间段内驾驶自动驾驶车辆ADV的轨迹来获得运动轨迹边界；基于对所述ADV周围的驾驶环进行感知的感知数据来确定用于所述ADV的安全可驾驶区域边界；将所述运动轨迹边界和所述安全可驾驶区域边界投射到地图上；确定所述ADV在所述地图内相对于所述运动轨迹边界和所述安全可驾驶区域边界的相对位置；以及基于所述ADV针对所述运动轨迹边界和所述安全可驾驶区域边界的相对位置来执行故障安全动作或故障操作动作。

根据本申请的另一方面，提供了一种在其中存储有指令的非暂时性机器可读介质，所述指令在由处理器运行时使得所述处理器执行以下操作，所述操作包括：基于规划成用于在下一时间段内驾驶自动驾驶车辆ADV的轨迹来获得运动轨迹边界；基于对所述ADV周围的驾驶环进行感知的感知数据来确定用于所述ADV的安全可驾驶区域边界；将所述运动轨迹边界和所述安全可驾驶区域边界投射到地图上；确定所述ADV在所述地图内相对于所述运动轨迹边界和所述安全可驾驶区域边界的相对位置；以及基于所述ADV针对所述运动轨迹边界和所述安全可驾驶区域边界的相对位置来执行故障安全动作或故障操作动作。

根据本申请的又一方面，提供了一种数据处理系统，其包括：处理器；以及存储器，所述存储器联接到所述处理器以存储指令，所述指令在由所述处理器运行时使得所述处理器执行以下操作，所述操作包括：基于规划成用于在下一时间段内驾驶自动驾驶车辆ADV的轨迹来获得运动轨迹边界；基于对所述ADV周围的驾驶环进行感知的感知数据来确定用于所述ADV的安全可驾驶区域边界；将所述运动轨迹边界和所述安全可驾驶区域边界投射到地图上；确定所述ADV在所述地图内相对于所述运动轨迹边界和所述安全可驾驶区域边界的相对位置；以及基于所述ADV针对所述运动轨迹边界和所述安全可驾驶区域边界的相对位置来执行故障安全动作或故障操作动作。

附图说明

本公开的实施方式以示例而非限制的方式示出在附图的各图中，在附图中类似附图标记指示类似元件。

图1是示出根据一个实施方式的网络化系统的框图。

图2是示出根据一个实施方式的自动驾驶车辆的示例的框图。

图3A至图3B是示出根据一个实施方式的与自动驾驶车辆一起使用的感知与规划系统的示例的框图。

图4是示出根据一个实施方式的自动驾驶车辆的示例的框图。

图5是示出根据一个实施方式的控制功能监控器的示例的框图。

图6A至图6C是示出根据特定实施方式的控制功能监控操作的示例的图。

图7是示出根据一个实施方式的操作自动驾驶车辆的过程的示例的流程图。

图8是示出根据一个实施方式的操作自动驾驶车辆的过程的示例的流程图。

具体实施方式

将参考以下所讨论的细节来描述本公开的各种实施方式和方面，附图将示出所述各种实施方式。下列描述和附图是对本公开的说明，而不应当解释为限制本公开。描述了许多特定细节以提供对本公开各种实施方式的全面理解。然而，在某些情况下，并未描述众所周知的或常规的细节以提供对本公开的实施方式的简洁讨论。

本说明书中对“一个实施方式”或“实施方式”的引述意味着结合该实施方式所描述的特定特征、结构或特性可包括在本公开的至少一个实施方式中。短语“在一个实施方式中”在本说明书中各处的记载不必全部指同一实施方式。

根据一些实施方式，提供了一种方法，所述方法使用根据规划的车辆运动轨迹或运动包络(envelope)作为第一警告层，以监控车辆是否开始偏离边界，或者是否在自动驾驶汽车继续接近安全边界时根据情况来触发发生故障安全动作或是故障操作动作。利用双层监控概念来确保控制功能按预期运作。在规划期间确定的运动轨迹边界被用作第一警告层。基于车辆的状态和附近障碍物确定的安全可驾驶区域边界(也简称为可驾驶区域边界)被用作第二警告层，以确定应执行故障安全动作还是故障操作动作。

首先将根据规划确定的运动轨迹边界投射到高清(HD)地图上，然后将其用于与HD地图上的车辆的当前位置进行比较。通过定位功能得到的车辆的当前位置持续用于与HD地图上的运动轨迹边界进行比较。如果车辆位置指示车辆跨越第一层且车辆没有减速，则向控制功能发布警告并启动故障安全或故障操作。当HD地图上的车辆位置指示其接近安全可驾驶区域边界时，激活故障安全或故障操作来实现最小风险操控。

根据一个实施方式，基于规划成用于在下一时间段内驾驶ADV的轨迹来获得运动轨迹边界。基于对ADV周围的驾驶环境进行感知的感知数据来为ADV确定安全驾驶区域边界。将运动轨迹边界和安全可驾驶区域边界投射到诸如HD地图的地图上。确定ADV在地图内相对于运动轨迹边界和安全可驾驶区域边界的相对位置。可以基于ADV针对运动轨迹边界和安全可驾驶区域边界的相对位置来执行故障安全动作或故障操作动作。

运动轨迹边界限定了在根据所述轨迹驾驶ADV的情况下预期ADV在下一时间段内处于其中的区域。根据一个或多个驾驶规则的集合，考虑到ADV的当前位置和当前速度，基于处于ADV的预定接近度内的一个或多个障碍物的预测移动来确定运动轨迹边界。根据一个或多个安全规则的集合，基于ADV与基于感知数据识别的一个或多个障碍物中的每一个之间的距离而确定安全可驾驶区域边界。基于ADV所处的道路的一条或多条车道的车道配置来进一步确定安全可驾驶区域边界，所述车道配置可以从地图的地图元数据获得。

在一个实施方式中，在确定ADV在地图内相对于运动轨迹边界和安全可驾驶区域边界的相对位置的过程中，确定ADV在地图上是否处于运动轨迹边界的第一预定接近度内。如果是，则可执行故障安全动作或故障操作动作中的至少一个。在一个实施方式中，如果确定ADV处于运动轨迹边界的第一预定接近度内，则进一步确定ADV是否处于安全可驾驶区域边界的第二预定接近度内。如果否，则生成警告信号并将其发送到主自动驾驶系统(例如，主或有效感知与规划系统)，并且将信号从主自动驾驶系统传输到辅助自动驾驶系统(例如，辅助或待机感知与规划系统)，以启动故障安全动作或故障操作动作中的至少一个。在一个实施方式中，如果基于地图数据确定出ADV当前位于道路的低速区内，则启动故障安全动作；否则，启动故障安全动作。

在一个实施方式中，如果ADV位于第二预定接近度内并且ADV当前位于低速区中，则激活辅助自动驾驶系统以执行故障安全动作；否则，激活辅助自动驾驶系统以执行故障操作动作。故障安全动作包括使ADV在当前车道内减速和/或停下。故障操作动作包括根据由辅助自动驾驶系统规划的替代性轨迹来驾驶ADV。

图1是示出根据本公开的一个实施方式的自动驾驶车辆网络配置的框图。参考图1，网络配置100包括可以通过网络102通信地联接到一个或多个服务器103至104的自动驾驶车辆101。尽管示出一个自动驾驶车辆，但多个自动驾驶车辆可以通过网络102联接到彼此和/或联接到服务器103至104。网络102可以是任何类型的网络，例如，有线或无线的局域网(LAN)、诸如互联网的广域网(WAN)、蜂窝网络、卫星网络或其组合。服务器103至104可以是任何类型的服务器或服务器群集，诸如，Web或云服务器、应用服务器、后端服务器或其组合。服务器103至104可以是数据分析服务器、内容服务器、交通信息服务器、地图和兴趣点(MPOI)服务器或者位置服务器等。

自动驾驶车辆是指可以被配置成处于自动驾驶模式下的车辆，在所述自动驾驶模式下，车辆在极少或没有来自驾驶员的输入的情况下导航通过环境。这种自动驾驶车辆可包括传感器系统，所述传感器系统具有被配置成检测与车辆运行环境有关的信息的一个或多个传感器。所述车辆和其相关联的控制器使用所检测的信息来导航通过所述环境。自动驾驶车辆101可以在手动模式下、在全自动驾驶模式下或者在部分自动驾驶模式下运行。

在一个实施方式中，自动驾驶车辆101包括，但不限于，感知与规划系统110、车辆控制系统111、无线通信系统112、用户接口系统113、信息娱乐系统和传感器系统115。自动驾驶车辆101还可包括普通车辆中包括的某些常用部件，诸如：发动机、车轮、方向盘、变速器等，所述部件可以由车辆控制系统111和/或感知与规划系统110使用多种通信信号和/或命令进行控制，该多种通信信号和/或命令例如，加速信号或命令、减速信号或命令、转向信号或命令、制动信号或命令等。

部件110至115可以经由互连件、总线、网络或其组合通信地联接到彼此。例如，部件110至115可以经由控制器局域网(CAN)总线通信地联接到彼此。CAN总线是被设计成允许微控制器和装置在没有主机的应用中与彼此通信的车辆总线标准。它是最初是为汽车内的复用电气布线设计的基于消息的协议，但也用于许多其它环境。

现在参考图2，在一个实施方式中，传感器系统115包括但不限于一个或多个相机211、全球定位系统(GPS)单元212、惯性测量单元(IMU)213、雷达单元214以及光探测和测距(LIDAR)单元215。GPS系统212可包括收发器，所述收发器可操作以提供关于自动驾驶车辆的位置的信息。IMU单元213可以基于惯性加速度来感测自动驾驶车辆的位置和定向变化。雷达单元214可以表示利用无线电信号来感测自动驾驶车辆的本地环境内的对象的系统。在一些实施方式中，除感测对象之外，雷达单元214可以另外感测对象的速度和/或前进方向。LIDAR单元215可以使用激光来感测自动驾驶车辆所处环境中的对象。除其它系统部件之外，LIDAR单元215还可包括一个或多个激光源、激光扫描器以及一个或多个检测器。相机211可包括用来收集自动驾驶车辆周围环境的图像的一个或多个装置。相机211可以是静物相机和/或视频相机。相机可以是可机械地移动的，例如，通过将相机安装在旋转和/或倾斜平台上。

传感器系统115还可包括其它传感器，诸如：声纳传感器、红外传感器、转向传感器、油门传感器、制动传感器以及音频传感器(例如，麦克风)。音频传感器可以被配置成从自动驾驶车辆周围的环境中收集声音。转向传感器可以被配置成感测方向盘、车辆的车轮或其组合的转向角度。油门传感器和制动传感器分别感测车辆的油门位置和制动位置。在一些情形下，油门传感器和制动传感器可以集成为集成式油门/制动传感器。

在一个实施方式中，车辆控制系统111包括但不限于转向单元201、油门单元202(也被称为加速单元)和制动单元203。转向单元201用来调整车辆的方向或前进方向。油门单元202用来控制马达或发动机的速度，马达或发动机的速度进而控制车辆的速度和加速度。制动单元203通过提供摩擦使车辆的车轮或轮胎减速而使车辆减速。应注意，如图2所示的部件可以以硬件、软件或其组合实施。

回到图1，无线通信系统112允许自动驾驶车辆101与诸如装置、传感器、其它车辆等的外部系统之间的通信。例如，无线通信系统112可以与一个或多个装置直接无线通信，或者经由通信网络进行无线通信，诸如，通过网络102与服务器103至104通信。无线通信系统112可以使用任何蜂窝通信网络或无线局域网(WLAN)，例如，使用WiFi，以与另一部件或系统通信。无线通信系统112可以例如使用红外链路、蓝牙等与装置(例如，乘客的移动装置、显示装置、车辆101内的扬声器)直接通信。用户接口系统113可以是在车辆101内实施的外围装置的部分，包括例如键盘、触摸屏显示装置、麦克风和扬声器等。

自动驾驶车辆101的功能中的一些或全部可以由感知与规划系统110控制或管理，尤其当在自动驾驶模式下操作时。感知与规划系统110包括必要的硬件(例如，处理器、存储器、存储设备)和软件(例如，操作系统、规划和路线安排程序)，以从传感器系统115、控制系统111、无线通信系统112和/或用户接口系统113接收信息，处理所接收的信息，规划从起始点到目的地点的路线或路径，随后基于规划和控制信息来驾驶车辆101。替代地，感知与规划系统110可以与车辆控制系统111集成在一起。

例如，作为乘客的用户可以例如经由用户接口来指定行程的起始位置和目的地。感知与规划系统110获得行程相关数据。例如，感知与规划系统110可以从MPOI服务器中获得位置和路线信息，所述MPOI服务器可以是服务器103至104的一部分。位置服务器提供位置服务，并且MPOI服务器提供地图服务和某些位置的POI。替代地，此类位置和MPOI信息可以本地高速缓存在感知与规划系统110的永久性存储装置中。

当自动驾驶车辆101沿着路线移动时，感知与规划系统110也可以从交通信息系统或服务器(TIS)获得实时交通信息。应注意，服务器103至104可以由第三方实体进行操作。替代地，服务器103至104的功能可以与感知与规划系统110集成在一起。基于实时交通信息、MPOI信息和位置信息以及由传感器系统115检测或感测的实时本地环境数据(例如，障碍物、对象、附近车辆)，感知与规划系统110可以规划最佳路线并且根据所规划的路线例如经由控制系统111来驾驶车辆101，以安全且高效到达指定目的地。

服务器103可以是为多种客户端执行数据分析服务的数据分析系统。在一个实施方式中，数据分析系统103包括数据收集器121和机器学习引擎122。数据收集器121从各种车辆(自动驾驶车辆或由人类驾驶员所驾驶的常规车辆)收集驾驶统计数据123。驾驶统计数据123包括表明在不同的时间点时发出的驾驶命令(例如，油门命令、制动命令、转向命令)以及车辆的传感器所捕获的车辆的响应(例如速度、加速、减速、方向)的信息。驾驶统计数据123还可包括描述在不同的时间点时的驾驶环境的信息，诸如，例如路线(包括起始位置和目的地位置)、MPOI、道路状况、天气状况等。

基于驾驶统计数据123，机器学习引擎122出于各种目的生成或训练一组规则、算法和/或预测模型124。在一个实施方式中，算法124可以包括：用于基于感知数据来确定安全可驾驶区域边界的算法；用于确定是否以及何时应当执行故障安全动作或故障操作动作的算法。然后，可以将算法124上载到ADV上，以在自动驾驶过程期间实时地利用。

图3A和图3B是示出根据一个实施方式的与自动驾驶车辆一起使用的感知与规划系统的示例的框图。系统300可以被实施为图1的自动驾驶车辆101的一部分，包括但不限于感知与规划系统110、控制系统111和传感器系统115。参考图3A至图3B，感知与规划系统110包括但不限于定位模块301、感知模块302、预测模块303、决策模块304、规划模块305、控制模块306、路线安排模块307以及控制功能监控器308(也简称为功能监控器或监控器)。

模块301至308中的一些或全部可以以软件、硬件或其组合实施。例如，这些模块可以安装在永久性存储装置352中、加载到存储器351中，并且由一个或多个处理器(未示出)执行。应注意，这些模块中的一些或全部可以通信地联接到图2的车辆控制系统111的一些或全部模块或者与它们集成在一起。模块301至308中的一些可以一起集成为集成模块。

定位模块301(例如，利用GPS单元212)确定包括系统300的自动驾驶车辆的当前位置，并管理与用户的行程或路线相关的任何数据。定位模块301(也被称为地图与路线模块)管理与用户的行程或路线相关的任何数据。用户可以例如经由用户接口登录并且指定行程的起始位置和目的地。定位模块301与包括系统300的自动驾驶车辆的诸如地图和路线信息311的其它部件通信，以获得行程相关数据。例如，定位模块301可以从位置服务器和地图与POI(MPOI)服务器获得位置和路线信息。位置服务器提供位置服务，并且MPOI服务器提供地图服务和某些位置的POI，这些服务和POI可以作为地图和路线信息311的一部分高速缓存。当包括系统300的自动驾驶车辆沿着路线移动时，定位模块301也可以从交通信息系统或服务器获得实时交通信息。

基于由传感器系统115提供的传感器数据和由定位模块301获得的定位信息，感知模块302确定对周围环境的感知。感知信息可以表示普通驾驶员在驾驶员正驾驶的车辆周围将感知到的东西。感知可包括例如采用对象形式的车道配置、交通灯信号、另一车辆的相对位置、行人、建筑物、人行横道或其它交通相关标志(例如，停止标志、让行标志)等。车道配置包括描述一条车道或多条车道的信息，例如，车道的形状(例如，直线或曲率)、车道的宽度、道路中的车道数目、单向车道或双向车道、合流车道或分流车道、出口车道等。

感知模块302可包括计算机视觉系统或计算机视觉系统的功能，以处理并分析由一个或多个相机捕获的图像，从而识别自动驾驶车辆环境中的对象和/或特征。所述对象可包括交通信号、道路边界、其它车辆、行人和/或障碍物等。计算机视觉系统可以使用对象识别算法、视频跟踪以及其它计算机视觉技术。在一些实施方式中，计算机视觉系统可以绘制环境地图，跟踪对象，以及估算对象的速度等。感知模块302也可以基于由诸如雷达和/或LIDAR的其它传感器提供的其它传感器数据来检测对象。

针对每个对象，预测模块303预测所述对象在所述情况下的行为。基于在某时间点感知的驾驶环境的感知数据根据地图/路线信息311与交通规则312的集合来执行所述预测。例如，如果对象是相反方向处的车辆且当前驾驶环境包括十字路口，则预测模块303将预测该车辆是可能向前直行还是可能转弯。如果感知数据表明十字路口没有交通灯，则预测模块303可预测该车辆可能在进入十字路口之前必须完全停下。如果感知数据表明该车辆当前处于左转专用车道或右转专用车道，则预测模块303可分别预测该车辆更可能进行左转或右转。

针对每个对象，决策模块304作出关于如何处置对象的决定。例如，针对特定对象(例如，交叉路线中的另一车辆)以及描述对象的元数据(例如，速度、方向、转弯角度)，决策模块304决定如何与所述对象相遇(例如，超车、让行、停止、经过)。决策模块304可以根据诸如交通规则或驾驶规则312的规则集来作出此类决定，所述规则集可以存储在永久性存储装置352中。

路线安排模块307配置成提供从起始点到终点的一个或多个路线或路径。对于例如从用户处接收到的从起始位置到目的地位置的给定行程，路线安排模块307获取地图和路线信息311，并确定从起始位置到达目的地位置的所有可能的路线或路径。对于确定了从起始位置到达目的地位置的路线中的每一个，路线安排模块307可以以地形图的形式生成参考线路。参考线路表示没有诸如其它车辆、障碍物或交通状况的任何干扰的理想路线或理想路径。即，如果道路上没有其它车辆、行人或障碍物，则ADV应精确地或接近地遵循参考线路。随后可向决策模块304和/或规划模块305提供地形图。根据由其它模块提供的其它数据(诸如，来自定位模块301的交通状况、感知模块302感知的驾驶环境和预测模块303预测的交通状况)，决策模块304和/或规划模块305检验所有可能的路线，以选择并修正其中一个最佳路线。取决于在某时间点时的特定的驾驶环境，用于控制ADV的实际路径或路线可接近于或不同于由路线安排模块307提供的参考线路。

基于针对所感知到的对象中的每个的决定，规划模块305使用路线安排模块307提供的参考线路作为基础，为自动驾驶车辆规划路径或路线以及驾驶参数(例如，距离、速度和/或转弯角度)。即，针对给定的对象，决策模块304决定对对象做什么，而规划模块305确定如何去做。例如，针对给定的对象，决策模块304可以决定经过所述对象，而规划模块305可以确定在所述对象的左侧还是右侧经过。规划和控制数据由规划模块305生成，包括描述包括系统300的车辆在下一移动周期(例如，下一路线/路径段)中将如何移动的信息。例如，规划和控制数据可以指示包括系统300的车辆以30英里每小时(mph)的速度移动10米，随后以25mph的速度变到右侧车道。

基于规划和控制数据，控制模块306根据由规划和控制数据限定的路线或路径通过将适当的命令或信号发送到车辆控制系统111来控制并驾驶自动驾驶车辆。所述规划和控制数据包括足够的信息，以沿着路径或路线在不同的时间点使用适当的车辆设置或驾驶参数(例如，油门、制动和转向命令)将车辆从路线或路径的第一点驾驶到第二点。

在一个实施方式中，规划阶段在多个规划周期(也称为驾驶周期)中执行，诸如，以例如每100毫秒(ms)的时间间隔执行。针对每个规划周期或驾驶周期，将基于规划和控制数据发出一个或多个控制命令。即，对于每个100ms，规划模块305规划下一路线段或路径段，例如，包括目标位置和ADV到达该目标位置所需的时间。替代地，规划模块305还可指定具体速度、方向和/或转向角度等。在一个实施方式中，规划模块305为下一预定的时间段(诸如5秒)规划路线段或路径段。对于每个规划周期，规划模块305基于先前周期中所规划的目标位置为当前周期(例如，下个5秒)规划目标位置。控制模块306随后基于当前周期的规划和控制数据生成一个或多个控制命令(例如，油门控制命令、制动控制命令、转向控制命令)。

应注意，决策模块304和规划模块305可以集成为集成模块。决策模块304/规划模块305可包括导航系统或导航系统的功能，以确定自动驾驶车辆的驾驶路径。例如，导航系统可以确定用于实现自动驾驶车辆沿着以下路径移动的一系列速度和前进方向：所述路径在使自动驾驶车辆沿着通往最终目的地的基于车行道的路径前进的同时，基本上避免感知到的障碍物。目的地可以根据经由用户接口系统113进行的用户输入来设定。导航系统可以在自动驾驶车辆正在运行的同时动态地更新驾驶路径。导航系统可以将来自GPS系统和一个或多个地图的数据合并，以确定用于自动驾驶车辆的驾驶路径。

根据一个实施方式，控制功能监控器308通信地联接到模块301至307中的一些或全部，以监控至少一些模块(诸如，控制模块306)的操作或结果，从而确定这些模块是否可能发生故障。功能监控器308的目的之一在于，检测模块301至307中的任何一个是否可能因安全原因而无法操作。如果任何模块可能存在故障，则监控器308可以根据安全规则集313来启动并激活安全规划。在一个实施方式中，如果检测到主自动驾驶系统发生故障，则可以激活辅助自动驾驶系统来接管对ADV的控制，以至少使ADV处于较安全的条件或状态下。

现参考图4，根据一个实施方式，ADV包括至少两个自动驾驶系统：1)主/有效自动驾驶系统110A以及2)辅助/待机自动驾驶系统110B。系统110A至110B中的每一个均可以包括如图3中所示的相同或相似的功能或模块。在车辆的正常操作期间，主系统110A是有效的并且负责规划并控制车辆，同时辅助系统110B以待机模式操作。然而，根据一个实施方式，尽管辅助系统110B以待机模式操作，但是辅助系统110B仍可以执行如主系统110A所执行的操作中的一些或大部分，包括感知、预测、决策和规划过程。但当辅助系统110B以待机模式操作时，辅助系统110B的处理结果(例如，生成控制命令)不用于控制车辆。

控制功能监控器308配置成对特定功能(诸如，控制模块306的控制功能)的操作进行监控，以使用安全规则集来确定控制功能是否发生故障。响应于检测到控制功能无法按规划执行，控制功能监控器308可以对主系统110A中的至少一些模块发出警报。另外，控制功能监控器308通过通信链路(例如，PCIe链路)向辅助系统110B传输信号或命令，以指示辅助系统110B启动或激活备份规划(诸如，故障安全动作或故障操作动作)，使得辅助系统110B可以接管对车辆的控制。

根据一个实施方式，控制功能监控器308包括但不限于可驾驶区域确定模块或计算器501、地图投射仪或投射模块502和分析模块503。这些模块可以集成在更少数量的模块或单个模块中。从规划模块305接收运动轨迹边界505。所述运动轨迹边界505可以基于通过规划模块305规划成用于在下一时间段内驾驶ADV的轨迹(例如，由当前规划周期所规划的在下一规划周期中利用的轨迹)来确定。可替代地，运动轨迹边界505可以基于表示由规划模块305提供的轨迹的轨迹数据由监控器308的运动轨迹边界计算器进行确定。

可驾驶区域确定模块501基于感知数据以及其他数据来确定ADV的安全驾驶区域边界，其中，感知数据是对由感知模块302和/或定位模块301提供的ADV周围的驾驶环境进行的感知，其他数据例如是由预测模块303提供的预测数据和由决策模块304提供的决策数据。安全可驾驶区域边界可基于针对附近感知到的其他障碍物的相对位置来确定。地图投射仪502将运动轨迹边界和安全可驾驶区域边界投射到诸如HD地图的地图上。分析模块503配置成确定ADV在地图内相对于运动轨迹边界和安全可驾驶区域边界的相对位置。基于所述分析，分析模块503可以确定出可以基于ADV针对运动轨迹边界和安全可驾驶区域边界的相对位置执行故障安全动作或故障操作动作。如果确定出应该执行故障安全动作或故障操作动作，则分析模块503向辅助系统110B传输信号或命令来指示辅助系统110B执行故障安全动作或故障操作动作。

在给定车辆的当前状态(例如，速度、加速度、前进方向)的情况下，运动轨迹边界对在根据规划模块305规划的轨迹驾驶ADV时预期的ADV在下一时间段所处的区域进行限定。根据一个或多个驾驶规则的集合，在考虑到ADV的当前位置和当前速度的情况下，可以基于处于ADV的预定接近度内的一个或多个障碍物的预测移动来确定运动轨迹边界。

根据一个实施方式，根据一个或多个安全规则的集合，基于ADV与基于感知数据识别的一个或多个障碍物中的每个之间的距离来确定安全可驾驶区域边界。安全可驾驶区域边界基于ADV所定位的道路的一条或多条车道的车道配置来进一步确定，所述车道配置可以根据地图的地图元数据获得。例如，如果地图数据指示存在另一条车道，则安全可驾驶区域边界可以基于位于该车道上的障碍物的相对位置覆盖特定车道。

在一个实施方式中，在确定ADV在地图内相对于运动轨迹边界和安全可驾驶区域边界的相对位置(其中，在正常操作期间运动轨迹边界应始终处于安全可驾驶区域边界内)时，分析模块503确定ADV在地图上是否处于运动轨迹边界的第一预定接近度之外(例如，不接近图6A中的点A)。如果是，则可以启动故障安全动作或故障操作动作中的至少一个，同时应向控制功能发出警告以执行受控停止。在一个实施方式中，如果不是(如果确定出ADV处于第一预定接近度内)，则生成警告信号并将其发送到主自动驾驶系统110A的其他模块，并且从主自动驾驶系统向辅助自动驾驶系统110B传输用于启动故障安全动作或故障操作动作中的至少一个的信号。在一个实施方式中，如果基于地图数据确定出ADV当前处于道路的低速区内，则启动故障安全动作；否则，启动故障操作动作。低速区是指其速度极限低于预定极限(例如，每小时25或35英里)的区域，所述预定极限可以从地图的地图数据获得。

在一个实施方式中，如果ADV位于安全可驾驶区域边界的第二预定接近度内(例如，接近图6C中的点A)并且ADV当前位于低速区中，则激活辅助自动驾驶系统110B来执行故障安全动作；否则，激活辅助自动驾驶系统110B来执行故障操作动作。故障安全动作包括使ADV在当前车道内减速和/或停下，或将ADV停在与当前车道相关联的停车位内。故障操作动作包括根据由辅助自动驾驶系统规划的替代轨迹来驾驶ADV，例如，至少前进到道路的路边。

出于说明目的，现参考图6A，在此示例中ADV 601在左侧车道内移动。基于感知，具有在不同位置处以特定速度移动的三个车辆602至604。车辆602在ADV 601前方移动且车辆604在ADV 601后方移动，同时车辆603在右侧车道上移动。基于接收ADV 601周围的驾驶环境(例如，车辆602至604、左侧车道和右侧车道的车道配置)的感知数据，规划模块305规划用于在下一时间段驾驶ADV 601的轨迹。基于该轨迹，确定出运动轨迹边界611。运动轨迹边界611限定了在正常操作(例如，没有故障发生)期间ADV 601应处于其中的区域。即，如果ADV 601位于运动轨迹边界611之外，则模块301至307中的至少一个可能操作异常。运动轨迹边界611可以由规划模块305确定，或可替代地，其可以基于由规划模块305提供的轨迹由监控器308确定。

根据一个实施方式，基于驾驶环境，根据车辆602至604确定出安全可驾驶区域边界612。在给定ADV 601和车辆602至604的当前状态的情况下，安全可驾驶区域边界612限定出ADV 601可以移动且不太可能与车辆602至604碰撞的区域。例如，安全可驾驶区域边界612基于ADV 601和跟随车辆604的速度限定出它们之间的最小距离D，使得在ADV采取紧急制动的情况下这两个车辆不太可能彼此碰撞。类似地，安全可驾驶区域边界612基于ADV601和前行车辆602的速度限定出它们之间的最小距离B，使得在ADV执行紧急制动时这两个车辆不太可能彼此碰撞。

根据一个实施方式，控制功能监控器308基于ADV相对于运动轨迹边界611和安全可驾驶区域边界612的位置来周期性地或持续地监控模块301至307中的至少一些的性能。对于每个规划周期，控制功能监控器308从规划模块305接收运动轨迹边界611。另外，控制功能监控器308接收对ADV 601周围的驾驶环境进行感知的感知数据。基于感知数据，控制功能监控器308使用安全规则集来确定安全可驾驶区域边界612。安全可驾驶区域边界612可以基于车辆602至604相对于ADV 601的位置和速度的相对位置及其速度来确定。

将运动轨迹边界611和安全可驾驶区域边界612以及ADV 601的位置投射到诸如HD地图的地图上。在地图上，将ADV 601的位置与运动轨迹边界611和/或安全可驾驶区域边界612进行比较，以确定ADV 601是否到达相应的边界。如果还确定出ADV 601如图6B中所示地处于运动轨迹边界611的第一预定接近度内(例如，越过了运动轨迹边界611)，则确定ADV601是否处于安全可驾驶区域边界612的第二预定接近度内。

如果确定出ADV 601不处于第二预定接近度内(例如，不接近图6B中的点A)但如在该示例中图6B中所示地处于第一预定接近度内，则进一步确定ADV 601是否处于低速区内，其可以基于由地图提供的地图数据来确定。如果ADV 601处于低速区内，则启动故障安全动作。在一个实施方式中，故障安全动作包括规划并控制ADV在当前车道内减速和/或停下。如果ADV 601不处于低速区中，则启动故障操作动作。在一个实施方式中，故障操作动作包括规划并控制ADV根据替代性轨迹或路线移动，例如，避免与车辆602碰撞。在一个实施方式中，将信号或命令从主感知与规划系统110A传输到辅助感知与规划系统110B，以指示辅助感知与规划系统110B通过启动和准备故障安全动作和/或故障操作动作来准备接管对ADV601的控制。

在一个实施方式中，启动故障安全动作是指在不生成并发布控制车辆的控制命令的情况下，准备并规划在例如当前车道内减速和/或停止车辆。类似地，启动故障操作动作是指在不生成并发布控制车辆的控制命令的情况下，准备并规划从ADV当前位置开始的用于避免与其他障碍物碰撞的替代性轨迹或路径。

如果确定ADV 601如图6C中示出地处于运动轨迹边界的第一预定接近度内并且处于安全可驾驶区域边界的第二预定接近度内，则激活故障安全动作或故障操作动作。即，激活并实际执行先前启动并准备的故障安全动作或故障操作动作，使得辅助系统110B向ADV601发布适当控制命令以接管对ADV 601的控制。现参考图6C，在此情况下，ADV 601已经跨越运动轨迹边界611，并且在点A处到达安全可驾驶区域边界612的第二预定接近度内。因此，在A点处，根据情况激活故障安全动作或故障操作动作。

根据一个实施方式，如果确定出ADV 601处于第一预定接近度和第二预定接近度内，则进一步确定ADV 601是否在低速区内，其可以基于由地图提供的地图数据来确定。如果确定ADV 601处于低速区内，则通过例如向辅助感知与规划系统110B发送用于接管对车辆的控制并执行故障安全动作的信号来激活故障安全动作。在如图6C中示出的此示例中，故障安全动作可以使ADV 601在左侧车道内减速和/或停下。此方法的理由在于：由于ADV601处于低速区内，因此其他车辆可能有足够的时间作出减速反应，使得减速和/或停止车辆较为安全。

根据一个实施方式，如果确定出ADV 601不处于低速区内，则通过例如向辅助感知与规划系统110B发送用于接管对车辆的控制并执行故障操作动作的信号或命令来激活故障操作动作。在如图6C中示出的此示例中，在该情况下，故障操作动作可以使得ADV 601根据替代性轨迹或路径A-C进行移动，以移动至右侧车道中，从而避免与车辆602碰撞。此方法的原因在于，如果ADV 601不处于低速区内，大幅度减速并停止ADV 601是不安全，这是因为跟随车辆604可能没有足够的时间来做出反应并且可能在左侧车道内与ADV 601碰撞。在一个实施方式中，如果ADV 601到达点B，则向车辆发布最大制动命令以执行紧急制动，因为根据替代路径向右侧车道移动可能为时已晚。这些动作可以根据安全规则集(诸如，安全规则313)来执行。结果，可以响应于检测到控制功能的故障而使ADV 601进入较安全的状态。

图7是示出根据一个实施方式的操作ADV的过程的示例的流程图。过程700可以由处理逻辑来执行，所述处理逻辑可包括软件、硬件或其组合。例如，过程700可以由控制功能监控器308执行。参考图7，在操作701中，处理逻辑基于规划成用于在下一个时间段内驾驶ADV的轨迹来获得运动轨迹边界。在操作702中，基于对ADV周围的驾驶环境进行感知的感知数据来确定ADV的安全可驾驶区域边界。在操作703中，将运动轨迹边界和安全可驾驶区域边界投射到地图(例如，HD地图)上。在操作704中，确定ADV在地图内相对于运动轨迹边界和安全可驾驶区域边界的相对位置。在操作705中，基于ADV针对运动轨迹边界和安全可驾驶区域边界的相对位置来执行故障安全动作或故障操作动作。

图8是示出根据另一实施方式的操作ADV的过程的示例的流程图。过程800可以作为操作704至705的一部分来执行。参考图8，在操作801中，处理逻辑确定出ADV处于运动轨迹边界的第一预定接近度内。在操作802中，处理逻辑确定ADV是否处于安全可驾驶区域边界的第二预定接近度内。如果确定ADV不处于安全可驾驶区域边界的第二预定接近度内，则在操作803中确定ADV是否处于低速区内。如果ADV处于低速区内，则在操作804中，启动故障安全动作；否则，在操作805中，启动故障操作动作。另一方面，如果确定ADV处于安全可驾驶区域边界的第二预定接近度内，则在操作806中确定ADV是否处于低速区内。如果ADV处于低速区内，则在操作807中，激活故障安全动作；否则，在操作808中，激活故障操作动作。

应注意，如上文示出和描述的部件中的一些或全部可以以软件、硬件或其组合实施。例如，此类部件可以实施为安装并存储在永久性存储装置中的软件，所述软件可以加载在存储器中并通过处理器(未示出)执行以实施本申请全文中所述的过程或操作。可替代地，此类部件可以实施为编程或嵌入到专用硬件(诸如，集成电路(例如，专用集成电路或ASIC)、数字信号处理器(DSP)或现场可编程门阵列(FPGA))中的可执行代码，所述可执行代码可以经由来自应用的相应驱动程序和/或操作系统来访问。此外，此类部件可以实施为处理器或处理器内核中的特定硬件逻辑，作为可由软件部件通过一个或多个特定指令访问的指令集的一部分。

前述详细描述中的一些部分已经根据在计算机存储器内对数据位的运算的算法和符号表示而呈现。这些算法描述和表示是数据处理领域中的技术人员所使用的方式，以将他们的工作实质最有效地传达给本领域中的其他技术人员。本文中，算法通常被认为是导致所期望结果的自洽操作序列。这些操作是指需要对物理量进行物理操控的操作。

然而，应当牢记，所有这些和类似的术语均旨在与适当的物理量关联，并且仅仅是应用于这些量的方便标记。除非在以上讨论中以其它方式明确地指出，否则应当了解，在整个说明书中，利用术语(诸如所附权利要求书中所阐述的术语)进行的讨论是指计算机系统或类似电子计算装置的动作和处理，所述计算机系统或电子计算装置操控计算机系统的寄存器和存储器内的表示为物理(电子)量的数据，并将所述数据变换成计算机系统存储器或寄存器或者其它此类信息存储设备、传输或显示装置内类似地表示为物理量的其它数据。

本公开的实施方式还涉及用于执行本文中的操作的设备。这种计算机程序被存储在非暂时性计算机可读介质中。机器可读介质包括用于以机器(例如，计算机)可读的形式存储信息的任何机构。例如，机器可读(例如，计算机可读)介质包括机器(例如，计算机)可读存储介质(例如，只读存储器(“ROM”)、随机存取存储器(“RAM”)、磁盘存储介质、光存储介质、闪存存储器装置)。

前述附图中所描绘的过程或方法可以由处理逻辑来执行，所述处理逻辑包括硬件(例如，电路、专用逻辑等)、软件(例如，实现在非暂时性计算机可读介质上)或两者的组合。尽管所述过程或方法在上文是依据一些顺序操作来描述的，但是应当了解，所述操作中的一些可以按不同的顺序执行。此外，一些操作可以并行地执行而不是顺序地执行。

本公开的实施方式并未参考任何特定的编程语言进行描述。应认识到，可以使用多种编程语言来实施如本文描述的本公开的实施方式的教导。

在以上的说明书中，已经参考本公开的具体示例性实施方式对本公开的实施方式进行了描述。将显而易见的是，在不脱离所附权利要求书中阐述的本发明的更宽泛精神和范围的情况下，可以对本公开作出各种修改。因此，应当在说明性意义而不是限制性意义上来理解本说明书和附图。