[发明专利]用于自动化车辆的安全架构

说明书

一种安全架构系统，在一方面，所述安全架构系统包括第一级，所述第一级包括：主单元，所述主单元生成用于执行正常系统功能的主要数据；次单元，所述次单元生成用于执行替代系统功能的次要数据；主安全门，所述主安全门耦接到所述主单元，响应于确定所述主要数据的有效性，所述主安全门提供所述主要数据作为主要输出；以及次安全门，所述次安全门耦接到所述次单元，响应于确定所述次要数据的有效性，所述次安全门提供所述次要数据作为次要输出。所述系统还包括输出选择器，所述输出选择器耦接到所述第一级的主安全门和次安全门，响应于确定所述主要数据和次要数据的有效性，所述输出选择器提供系统输出。

相关申请的交叉引用

本申请要求2016年1月5日提交的美国临时专利申请No.62/387,804的优先权，该临时专利申请的全部内容通过引用并入本申请。

关于联邦科研或开发赞助的声明

本发明是在美国陆军许可No.W900KK-11-C-0025的政府支持下做出的。美国政府对本申请具有某些权利。

技术领域

本申请总体涉及自动驾驶技术，更具体地，涉及用于自动驾驶的安全架构系统和技术。

背景技术

无人驾驶车辆软件的复杂程度超越了现今可用的软件安全工程技术。软件安全标准定义了在创建和验证软件时要采用的程序。虽然是必要的，但根据当前标准制定的程序可能不足以确保自动驾驶车辆内的自动化软件的安全。在一些情况下，用于高级自动化的方法(例如机器学习)不能简单地使用传统软件测试的方法来验证。因此，独立的运行时不变的监控器(runtime invariant monitors)已经被用于防火墙安全关键性(firewallsafety criticality)，进入架构的小子集，从而将资源密集的软件-安全工程技术由复杂自动化软件转而集中到更简单的监视组件上。但迄今为止，这种技术大多被成功用于远程控制或遥控的无人驾驶车辆中。目前尚不清楚如何能最有效地将运行时不变的监控器用于减小由自动化功能(例如规划和控制)造成的安全风险。

发明内容

本申请描述了一种用于自动化车辆的架构，其将任意的自动化算法合并到保持严格安全要求的系统中。在该架构中，自动化组件被允许任意地、甚至恶意地失效，同时更高完整性(例如，更高的安全完整性等级)的“安全门”组件支撑安全要求，其中安全门组件可以在不需要自动化技术的情况下被构建。一组架构级(stage)基于可重复使用的架构模式被创建，用于制图、规划和执行安全轨迹。每个级都包括主“执行器/检查器”对，并包括可选的次“执行器/检查器”对以在主执行器/检查器对失效的情况下提供降级模式运行。在本申请中，“执行”表示执行自动化控制，而“检查”表示确认控制信号是可以安全执行的。如果成功应用，则该执行器/检查器原则可以作为合适的选项被安全标准采用，用于构建可靠的系统。在使用执行器/检查器架构模式的已知架构中，如果执行器运行错误，则检查器关闭整个功能(两个模块)，这样的结果是失效-无反应(fail-silent)系统(即，任何失效都导致组件无反应，有时也称为失效-停止(fail-stop)，或在适当情况下称为失效-安全(fail-safe))。这可能会对自控系统提出挑战，因为自控系统通常要求失效后可运行(failoperational)的系统行为(例如，即使存在自动化失效，飞行器也必须保持飞行)。本发明中描述的架构通过使用多通道方案来解决此问题，以确保在一个或潜在的多个组件失效时可以继续运行。