◆通过两个独立控制器持续自我监测探测可能出现的系统不确定性,并提供必要的冗余性和多样性,从而确保车辆始终能够安全可靠地停车。
◆大陆集团已经将这种架构应用于“自主巡航功能,以实现汽车在高速公路上的高度自动化驾驶。
科技公司大陆集团正致力于运用一种特定的电子架构进一步提高自动化驾驶的安全等级。除了用于自动化驾驶的中央控制单元(即辅助与自动化驾驶控制单元)之外,为确保车辆即使在主自动化路径出现功能故障的情况下仍然能够安全停车,大陆集团使用安全域控制器 (SDCU) 作为降速路径。就这一点而论,大陆集团系统性应用得冗余性和多元化设计原理已在航空领域得到验证。每一个中央系统都配有一条或多条彼此独立的降速路径。由于安全域控制器还兼有安全气囊控制单元的作用,其优先使用性,包括储能和车辆防撞功能,有着充分保证。
↑大陆集团致力于运用安全域控制器进一步提高高度自动化驾驶的安全等级。
↑特定的电子架构可确保高度自动化汽车能够安全可靠地自动停车。
借助安全域控制器的附加降速路径,大陆集团可确保车辆在主自动化驾驶功能出现故障时仍可以安全停车。目前广泛应用的传统安全相关系统在设计上已引入“故障安全”的概念,加入防故障功能。这意味着,一旦系统发生故障,即可通过识别故障并关停故障系统来确保安全。这种方法是有可能实现的,因为在必要的情况下,驾驶人仍可以手动来制动和操控汽车。大陆集团底盘与安全事业部系统与技术部高级系统架构设计负责人Maged Khalil表示:“高度自动化汽车的驾驶人往往会把注意力放在别的事情上,在发生故障时,要在短短一秒之内重新接管汽车的控制权是不太现实的,由此可见,这种降速路径可能无法在高度自动化的车辆上发挥作用。”因此,每辆高度自动化的汽车都必须具备自动停车功能。第四级自动化驾驶汽车系统,例如大陆集团的“自主巡航”系统,正是为此准备的。
如果驾驶人对接管指示视若无睹,不采取任何行动,汽车会进行操作,把风险降到最小。也就是说,车辆会自动驶入应急停车带并靠边停车;如果没有应急停车带或者车道堵塞,则车辆会临时停车并打开危险指示灯,或者一边继续向前行驶,一边缓慢降速,直至找到可以安全停车的合适位置。
如果驾驶人无法控制汽车,系统必须能够保证其功能在任何情况下都高度可靠,可支持从“故障安全”模式切换到“故障运行”模式。“第二个独立控制单元的降速路径同样具备停车功能,这相当于给高度自动化汽车罩了一层安全防护网,”Khalil继续说道:“在发生故障的情况下,即便没有驾驶人介入,车辆依然可以安全停车。这种信任是驾驶人能否接受自动化驾驶的关键所在。”
两种自动化路径 ,同一目标:安全停车
如果车辆检测到系统中存在不安全因素,并且无法借助主自动化路径或驾驶人自己来维持驾驶功能,会立即启动安全停车功能。大陆集团被动安全与传感器业务单元乘员安全与惯性传感器部创新管理部负责人Bardo Peters解释说:“主自动化路径也必须能够在不影响安全性的情况下关闭。只有真正的冗余性才能使汽车能够妥善应对所有可能发生的故障。”安全域控制器完全独立于中央控制单元(例如辅助与自动化驾驶控制单元),其自动化解决方案可确保车辆能够执行风险最小的操作。
中央控制单元和安全域控制器会持续地监控彼此的可用性和功能运作状况。如果其中一条路径无法再用于控制车辆或执行安全最小风险操作,另一条路径会在紧急情况下启动安全停车功能。被动安全与传感器业务部门乘员安全与惯性传感器部负责人Lutz Kühnke博士补充说:“永久性监测可探测出路径是否有效。当一条路径失效时,另一条路径会执行风险最小的操作。”根据探测到的问题的严重程度,降速路径会根据精细分级的降级概念进行干预。为了实现路径的自我监控和相互监控,大陆集团采用了有效的故障管理功能、信号一致性智能监控功能等具有创新意义的软件功能。