CN111367726B - 一种安全冗余的自动驾驶计算平台及其控制方法 - Google Patents

一种安全冗余的自动驾驶计算平台及其控制方法 Download PDF

Info

Publication number
CN111367726B
CN111367726B CN202010468991.1A CN202010468991A CN111367726B CN 111367726 B CN111367726 B CN 111367726B CN 202010468991 A CN202010468991 A CN 202010468991A CN 111367726 B CN111367726 B CN 111367726B
Authority
CN
China
Prior art keywords
mpu
computing platform
performance processor
redundant
performance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010468991.1A
Other languages
English (en)
Other versions
CN111367726A (zh
Inventor
陈诚
张旸
刘洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AutoCore Intelligence Technology Nanjing Co Ltd
Original Assignee
AutoCore Intelligence Technology Nanjing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AutoCore Intelligence Technology Nanjing Co Ltd filed Critical AutoCore Intelligence Technology Nanjing Co Ltd
Priority to CN202010468991.1A priority Critical patent/CN111367726B/zh
Publication of CN111367726A publication Critical patent/CN111367726A/zh
Application granted granted Critical
Publication of CN111367726B publication Critical patent/CN111367726B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Hardware Redundancy (AREA)

Abstract

本发明公开了一种安全冗余的自动驾驶计算平台及其控制方法,该计算平台包括至少两个性能处理器MPU,用于控制扩展计算单元即功能算法模块运行;至少一个微控制器MCU,用于控制性能处理器MPU的切换;至少两个以太网交换机,用于实现性能处理器MPU之间的通信。所述性能处理器MPU互为备份,当主性能处理器MPU产生异常时,由冗余备份的性能处理器MPU控制功能算法模块运行。本发明通过网络、硬件及中间件软件的设计,实现自动驾驶计算平台(控制器)的冗余功能,可以在计算平台本身网络、硬件、算法单元出现故障时,实现实时冗余接管,给予车辆充分的能力进行异常处理。

Description

一种安全冗余的自动驾驶计算平台及其控制方法
技术领域
本发明属于自动驾驶技术领域,特别是涉及一种安全冗余的自动驾驶计算平台及其控制方法。
背景技术
自动驾驶是涉及人身安全的领域,需要拥有充分的安全保障。在安全保障方面,存在如下设计:
(1)车辆执行器的冗余,即车辆的刹车和转向控制单元,在一套主***失效的情况下,还存在一套备用***能够完成刹车及转向操作;
(2)多种传感器互为备份,当其中一枚或者一类传感器失效的情况下,***还可以进行有效的环境感知及决策;
(3)车身总线的冗余,不论采用以太网,或者CAN总线,有备份链路以应对通信中断的情况;
(4)算法层面设计,当异常发生时,能够持续控制车辆进行安全停车。
但是,当计算平台本身的网络、硬件、算法单元出现故障时,车辆仍将无法完成靠边停车等异常处理流程,因此,需要进行自动驾驶计算平台的安全冗余设计。
发明内容
本发明的目的在于提供一种安全冗余的自动驾驶计算平台及其控制方法。
实现本发明目的的技术解决方案为:一种安全冗余的自动驾驶计算平台,包括:
至少两个性能处理器MPU,用于控制扩展计算单元即功能算法模块运行;
至少一个微控制器MCU,用于控制性能处理器MPU的切换;
至少两个以太网交换机,用于实现性能处理器MPU之间的通信;
所述性能处理器MPU互为备份,当主性能处理器MPU产生异常时,由冗余备份的性能处理器MPU控制功能算法模块运行。
进一步的,所述计算平台通过多个计算单元板实现冗余,每个计算单元板包括一个性能处理器MPU,一个微控制器MCU,以及一个以太网交换机,所述计算单元板之间通过对应的以太网交换机互联通信。
进一步的,所述计算平台通过一块计算单元板实现冗余,所述计算单元板上设置一个微控制器MCU,至少两个性能处理器MPU,以及至少两个以太网交换机,所述性能处理器MPU之间通过对应的以太网交换机互联通信。
进一步的,所述计算平台的外部设备通过CAN总线或者以太网连接计算平台。
进一步的,所述性能处理器MPU之间基于DDS的QoS协议进行通信,实现在互为备份的性能处理器MPU上运行一样的功能算法模块。
进一步的,所述性能处理器上MPU运行监控软件,监测各功能算法模块的运行时间、运行结果、QoS参数、运行状态,当发现有功能算法模块异常时,进行异常通知。
更进一步的,所述微控制器MCU通过监测其上监控任务与监控软件的心跳交互,来确定性能处理器MPU及其上运行的监控软件是否处于正常工作状态。
进一步的,所述扩展计算单元如果是硬件冗余,则需要将冗余的扩展计算单元分别连接到各以太网交换机上;否则,需要设置多个以太网接口,分别连接到各以太网交换机上,并通过网卡绑定的方式,共享一样的IP地址。
一种基于上述自动驾驶计算平台的安全冗余控制方法,包括:
微控制器MCU监测主性能处理器MPU的运行状态;
当主性能处理器MPU产生异常时, 由冗余备份的性能处理器MPU进行接管控制。
进一步的,所述性能处理器MPU之间基于DDS的QoS协议进行通信,实现在互为备份的性能处理器MPU上运行一样的功能算法模块。
本发明与现有技术相比,其显著优点为: 本发明通过网络、硬件及中间件软件的设计,实现自动驾驶计算平台(控制器)的冗余功能,可以在计算平台本身网络、硬件、算法单元出现故障时,实现实时冗余接管,给予车辆充分的能力进行异常处理。
附图说明
图1是本发明安全冗余的自动驾驶计算平台的架构示例图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本发明提供一种安全冗余的自动驾驶计算平台,包括:
至少两个性能处理器MPU,用于控制扩展计算单元即功能算法模块运行;
至少一个微控制器MCU,用于控制性能处理器MPU的切换;
至少两个以太网交换机,用于实现性能处理器MPU之间的通信;
所述性能处理器MPU互为备份,当主性能处理器MPU产生异常时,由冗余备份的性能处理器MPU控制功能算法模块运行。
对于网络设计,可以划分为计算平台内部网络和外部网络两个部分:
1)计算平台内部,性能处理器MPU之间通过将对应的以太网交换机连接进行通信。此外,以太网交换机还需要连接扩展计算单元。
如果扩展计算单元硬件冗余,则需要将冗余的扩展计算单元分别连接到各以太网交换机上,以实现通信冗余。如果扩展计算单元并非硬件冗余,则需要设置多个以太网接口,分别连接到各以太网交换机上,并通过网卡绑定的方式,共享一样的IP地址,用以实现通信冗余。
图1给出了包含两个计算单元板的自动驾驶计算平台示例,其两个扩展计算单元存在硬件冗余,两个以太网交换机互相连接,并且主扩展计算单元和扩展备份计算单元分别连接一个以太网交换机,最终实现性能处理器MPU以及扩展计算单元之间的通信。
2)计算平台外部,传感器、车身网络等,通过CAN总线或者以太网连接到计算平台,其中:
a)对于通过CAN总线接入的外部设备,只需同时连接微控制器MCU即可实现通信冗余。
b)对于通过以太网接入的外部设备,需要主、备性能处理器MPU同时连接,并通过VRRP协议共享一样的外部IP地址,以实现外部网络数据通信的冗余。
为了支持冗余备份的设计,可以通过两种硬件架构方式实现:
1)通过多块一样的计算单元板实现冗余,这样在每块计算单元板上,需要有性能处理器MPU,微控制器MCU,及以太网交换机,通过各计算单元板的互联来实现冗余。
图1给出了包含两个计算单元板的自动驾驶计算平台示例,一个计算单元板作为主计算单元,另一个计算单元板作为备份计算单元。其中,每个计算单元板上设置一个性能处理器MPU,一个微控制器MCU,以及一个以太网交换机。主、备计算单元的性能处理器MPU之间,通过以太网互联,当主计算单元的性能处理器MPU出现故障,则由备份计算单元的性能处理器MPU控制扩展计算单元,即功能算法模块动作。
2)在一块计算单元板上实现冗余,板上有一个支持锁步功能的微控制器MCU,多个性能处理器MPU,及多个以太网交换机构成,所述性能处理器MPU的个数与以太网交换机的个数一致。
对于包含两个性能处理器MPU的计算单元板,一个性能处理器MPU作为主性能处理器,另一个性能处理器MPU为备份性能处理器。主、备性能处理器之间通过以太网互联,当主性能处理器出现故障,则由微控制器MCU切换备份性能处理器控制功能算法模块动作。
对于实现安全冗余控制的中间软件实现,具体如下:
不论是在计算单元中的,还是不同计算单元之间的互联,通过符合DDS标准的中间件,进行不同软件模块之间的通信。基于DDS的QoS协议,可以实现在互为备份的性能处理器MPU上运行一样的功能算法模块,产生一样的输出,而并不冲突。当其中一个功能模块产生异常时,可依据QoS配置,使用另外一个同样模块的结果。
通过运行于每块性能处理器MPU上的监控软件,对每个功能算法模块的运行时间,运行结果,QoS参数,运行状态,进行配置和监控。当发现有功能模块异常时,进行异常通知。
而对于运行于性能处理器MPU的监控软件,可通过与微控制器MCU上的监控任务进行心跳信息交互来确定是否处于正常工作状态。当发现某个监控软件异常时,即可确认对应性能处理器MPU处于异常状态,让冗余备份单元进行接管。
本发明还提供一种基于上述自动驾驶计算平台的安全冗余控制方法,包括:
微控制器MCU监测主性能处理器MPU的运行状态;
当主性能处理器MPU产生异常时, 由冗余备份的性能处理器MPU进行接管控制。
进一步的,所述性能处理器MPU之间基于DDS的QoS协议进行通信,实现在互为备份的性能处理器MPU上运行一样的功能算法模块。
进一步的,所述性能处理器MPU上运行监控软件,对每个功能算法模块的运行时间、运行结果、QoS参数、运行状态进行配置和监控。当发现有功能模块异常时,进行异常通知。
进一步的,所述微控制器MCU通过监测其上监控任务与监控软件的心跳交互,来确定性能处理器MPU及其上运行的监控软件是否处于正常工作状态。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (6)

1.一种安全冗余的自动驾驶计算平台,其特征在于,包括:
至少两个性能处理器MPU,用于控制扩展计算单元即功能算法模块运行;
至少一个微控制器MCU,用于控制性能处理器MPU的切换;
至少两个以太网交换机,用于实现性能处理器MPU之间的通信;
所述性能处理器MPU互为备份,当主性能处理器MPU产生异常时,由冗余备份的性能处理器MPU控制功能算法模块运行;
所述计算平台的外部设备通过CAN总线或者以太网连接计算平台,对于通过CAN总线接入的外部设备,通过同时连接微控制器MCU实现通信冗余;对于通过以太网接入的外部设备,需要主、备性能处理器MPU同时连接,并通过VRRP协议共享一样的外部IP地址,以实现外部网络数据通信的冗余;
所述微控制器MCU监测主性能处理器MPU的运行状态;
当主性能处理器MPU产生异常时, 由冗余备份的性能处理器MPU进行接管控制;
所述性能处理器MPU之间基于DDS的QoS协议进行通信,实现在互为备份的性能处理器MPU上运行一样的功能算法模块;
所述外部网络是布置在计算平台外部的传感器和车身网络。
2.根据权利要求1所述的安全冗余的自动驾驶计算平台,其特征在于,所述计算平台通过多个计算单元板实现冗余,每个计算单元板包括一个性能处理器MPU,一个微控制器MCU,以及一个以太网交换机,所述计算单元板之间通过对应的以太网交换机互连通信。
3.根据权利要求1所述的安全冗余的自动驾驶计算平台,其特征在于,所述计算平台通过一块计算单元板实现冗余,所述计算单元板上设置一个微控制器MCU,至少两个性能处理器MPU,以及至少两个以太网交换机,所述性能处理器MPU之间通过对应的以太网交换机互连通信。
4.根据权利要求1或2或3所述的安全冗余的自动驾驶计算平台,其特征在于,所述性能处理器MPU运行监控软件,监测各功能算法模块的运行时间、运行结果、QoS参数、运行状态,当发现有功能算法模块异常时,进行异常通知。
5.根据权利要求4所述的安全冗余的自动驾驶计算平台,其特征在于,所述微控制器MCU通过监测其上监控任务与监控软件的心跳交互,来确定性能处理器MPU上运行的监控软件是否处于正常工作状态。
6.根据权利要求1或2或3所述的安全冗余的自动驾驶计算平台,其特征在于,所述扩展计算单元如果是硬件冗余,则需要将冗余的扩展计算单元分别连接到各以太网交换机上;否则,需要设置多个以太网接口,分别连接到各以太网交换机上,并通过网卡绑定的方式,共享一样的IP地址。
CN202010468991.1A 2020-05-28 2020-05-28 一种安全冗余的自动驾驶计算平台及其控制方法 Active CN111367726B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010468991.1A CN111367726B (zh) 2020-05-28 2020-05-28 一种安全冗余的自动驾驶计算平台及其控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010468991.1A CN111367726B (zh) 2020-05-28 2020-05-28 一种安全冗余的自动驾驶计算平台及其控制方法

Publications (2)

Publication Number Publication Date
CN111367726A CN111367726A (zh) 2020-07-03
CN111367726B true CN111367726B (zh) 2022-03-01

Family

ID=71209656

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010468991.1A Active CN111367726B (zh) 2020-05-28 2020-05-28 一种安全冗余的自动驾驶计算平台及其控制方法

Country Status (1)

Country Link
CN (1) CN111367726B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113721503A (zh) * 2021-08-16 2021-11-30 北京超星未来科技有限公司 一种车载计算平台、无人驾驶***及车辆

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179697A (zh) * 2007-12-04 2008-05-14 中兴通讯股份有限公司 多点控制单元中多点处理器数据备份的实现方法及装置
KR20080070105A (ko) * 2007-01-25 2008-07-30 조용현 안전 운전 기능을 가지는 네비게이션 및 정보제공방법
CN104394012A (zh) * 2014-11-12 2015-03-04 北京华为数字技术有限公司 集群路由器、mpu及其故障的确定方法、感知控制器
CN208165094U (zh) * 2018-02-13 2018-11-30 重庆长安汽车股份有限公司 自动驾驶车辆的冗余电子转向***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080070105A (ko) * 2007-01-25 2008-07-30 조용현 안전 운전 기능을 가지는 네비게이션 및 정보제공방법
CN101179697A (zh) * 2007-12-04 2008-05-14 中兴通讯股份有限公司 多点控制单元中多点处理器数据备份的实现方法及装置
CN104394012A (zh) * 2014-11-12 2015-03-04 北京华为数字技术有限公司 集群路由器、mpu及其故障的确定方法、感知控制器
CN208165094U (zh) * 2018-02-13 2018-11-30 重庆长安汽车股份有限公司 自动驾驶车辆的冗余电子转向***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
现代汽车微控制***失效保护策略;***;《汽车维修与保养》;20110215(第2期);第53-56页 *

Also Published As

Publication number Publication date
CN111367726A (zh) 2020-07-03

Similar Documents

Publication Publication Date Title
CN109495312B (zh) 基于仲裁盘和双链路的高可用集群的实现方法和***
US8099179B2 (en) Fault tolerant control system
JP4591149B2 (ja) クラスタシステム、ブレードサーバの電源制御方法及びそのプログラム
US20160009235A1 (en) Failure management in a vehicle
CN112109728B (zh) 一种自动驾驶故障控制方法、***、设备及存储介质
CN111367726B (zh) 一种安全冗余的自动驾驶计算平台及其控制方法
JP2020067972A (ja) 分散協調制御システム
CN113515408A (zh) 一种数据容灾方法、装置、设备及介质
AU2023223006A1 (en) Self-healing process control system
WO2020260050A1 (en) An apparatus and a method for providing a redundant communication within a vehicle architecture and a corresponding control architecture
CN115826393A (zh) 一种飞控***的双余度管理方法及装置
CN113742165B (zh) 双主控设备及主备控制方法
JP6681304B2 (ja) 自動車用制御装置及び自動車用内燃機関制御装置
WO2023007209A1 (en) Fault-tolerant distributed computing for vehicular systems
JP2007304700A (ja) 2重化ノードシステムのアドレス管理システム及び方法
JP2002116921A (ja) 中央演算装置の補助装置
JP4348485B2 (ja) プロセス制御装置
KR100227611B1 (ko) 통신처리시스템에서 축적장치의 이중화 제어장치
JPH0736721A (ja) 多重化コンピュータシステムの制御方式
JP4613019B2 (ja) コンピュータシステム
CN114924476A (zh) 基于车用冗余可靠***的交互控制装置、设备及介质
JP2005115472A (ja) 運行管理装置
CN114750774B (zh) 安全监测方法和汽车
JPS6139138A (ja) 多重化システム
RU2694008C1 (ru) Способ динамической реконфигурации вычислительных комплексов модульной архитектуры

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 210012 room 401-404, building 5, chuqiaocheng, No. 57, Andemen street, Yuhuatai District, Nanjing, Jiangsu Province

Applicant after: AUTOCORE INTELLIGENT TECHNOLOGY (NANJING) Co.,Ltd.

Address before: 211800 building 12-289, 29 buyue Road, Qiaolin street, Pukou District, Nanjing City, Jiangsu Province

Applicant before: AUTOCORE INTELLIGENT TECHNOLOGY (NANJING) Co.,Ltd.