[发明专利]用于辅助及自主驾驶的容错计算机系统

说明书

一种用于产生用于车辆的安全轨迹的容错计算机系统，其中至少包括：传感器部、一次部、二次部、三次部、以及判定部。该一次部和该三次部通过将由该传感器部感测到的真实世界的信息翻译来产生轨迹，并且该二次部通过将由该传感器部感测到的真实世界的信息翻译来产生安全空间估计值，该判定部和/或该二次部执行正确性校验。当轨迹在安全空间估计值内时，认定该正确性校验取的该轨迹是安全的，而当轨迹不在该安全空间估计值内时，认定该正确性校验取的该轨迹是不安全的。根据ASIL等级：QM或者ASIL A或者ASIL B，开发该传感器部和该一次部，并且根据ASIL等级：ASIL B或者ASIL C或者ASIL D，开发该二次部和该三次部，并且根据ASIL等级：ASIL D，开发该判定部。

技术领域

本发明涉及一种用于产生车辆的安全轨迹的容错计算机系统，其中该容错计算机系统至少包括下面的部件：传感器部、一次部、二次部、三次部、以及判定部，其中一次部和三次部配置成通过将由传感器部感测到的真实世界的信息翻译来产生轨迹，并且其中二次部配置成通过将由传感器部感测到的真实世界的信息翻译来产生安全空间估计值，并且其中判定部和/或二次部配置成执行正确性校验，执行该正确性校验是取轨迹和安全空间估计值作为输入，并且当所述轨迹在安全空间估计值内时，认定所述正确性校验所取的轨迹是安全的，而当所述轨迹不在安全空间估计值内时，认定所述正确性校验所取的轨迹是不安全的。

所公开的方法和计算机系统是在车辆的高级驾驶员辅助系统(ADAS)和自主驾驶(AD)系统的技术领域中。所述车辆可以是汽车以及其他靠边行驶车辆(road-sidevehicle)(例如，公共汽车、卡车等)和越野车及作业车(例如，拖车头、压雪车等)。本发明公开了一种估算所述车辆的轨迹的方法和计算机系统。然后，车辆能够利用所述轨迹完全自主地或半自主地(即，在乘客的监控下)沿所述轨迹操纵。根据本发明的计算机系统重复估算所述轨迹，例如，计算机系统可以每隔Y毫秒产生一次所述轨迹，Y≥1。

由于ADAS/AD系统的部件可能发生错误(例如，随机硬件故障、软件开发故障等)，所以迫切需要设计一种综合ADAS/AD系统，使得该系统的错误部件不导致综合ADAS/AD系统发生故障。特别是，该ADAS/AD系统的这种故障会产生不安全轨迹，即，如果车辆沿着该轨迹行驶，则该轨迹会引发事故，例如，与路上的另一辆车碰撞。因此，本发明公开了一种容忍ADAS/AD系统的部件发生故障的方法和计算机系统，使得即使在ADAS/AD系统存在一个或者多个错误部件的情况下，仍保证车辆不沿着不安全轨迹行驶。

背景技术

对于一般车辆，特别是汽车，需要满足安全标准(通常是针对应用领域的)。这通常是允许车辆进入公路基础设施的先决条件(但是出于测试的目的是例外)。对于汽车领域，有关安全标准是ISO 26262，ISO 26262定义了汽车安全完整性等级(ASIL)，这些等级有QM、ASIL A、ASIL B、ASIL C和ASIL D。普遍认为，具有上述特征(例如，全自主操作)的ADAS/AD系统必须满足ASIL D。然而，这并不意味着ADAS/AD系统的全部部件也必须是ASIL D级的。的确，可以预料在合理的成本制约下ADAS/AD系统的某些部件不能满足ASIL D。尽管ISO26262对不是ASIL D级(即，“ASIL分级”)的部件如何能够构建以ASIL D为目标的综合系统定义了基本规则和选项，但是这些规则和选项是通用的，并且不可直接对实际系统的部件估算要求的ASIL等级。的确，提交本说明书之前，包含适当分配的ASIL等级的适当设计的ADAS/AD是大量生产全自主车辆的主要障碍之一。因此，本发明公开了对计算机系统的部件具体分配ASIL等级，该计算机系统或者本身是ADAS/AD系统，或者是更复杂ADAS/AD系统的一部分，或者是更复杂的ADAS/AD系统。

发明内容

本发明的目的是公开一种用于ADAS/AD系统的计算机系统，以容忍所述ADAS/AD系统的部件发生故障。