高工观察|从辅助驾驶到自动驾驶,如何做到低成本冗余
作者:互联网
感知硬件的完善、计算平台大算力的加持、整车OTA带来的软件收费模式等等有利因素,都在推动智能驾驶上车从低阶(满足法规)向高阶(提升用户体验、创造衍生价值)递进。
但,无论如何,“安全”仍然是整个自动驾驶技术演进的关键。到目前为止,不管是奔驰新S级的所谓L3级自动驾驶,还是蔚来汽车刚刚发布的ET5搭载的NAD,仍然强调了驾驶员对于系统最后一道安全风险把控的重要性。
行业转型的下一步是什么?
在汽车安全中间件供应商TTTech看来,航空航天和汽车行业的安全一直是一个明确的焦点。如今,汽车行业正处于一个非常激动人心的转折点,自动驾驶将作为一项服务来提供给消费者,这意味着可以具备更多的创造性和附加值。
从目前的产业链价值分布来看,无论是传感器、计算平台(包括域控制器)或是应用软件堆栈都存在性能与成本的博弈。这其中,最容易被忽视的还是安全。
一、域控架构的博弈
而对于汽车行业,尤其是大规模量产乘用车来说,安全与成本的博弈一直是不变的话题。而后续所有的软件定义模式,都是基于安全基础之上的可持续递进逻辑。
新的自动驾驶辅助功能和日益增加的复杂性也意味着处理控制单元(从简单集成的ECU到域控制器)上可能发生的错误越来越多。迄今为止,大多数量产系统都是基于故障安全架构:如果在ECU中检测到错误的可能性很高,该功能将被关闭;或者控制权返回给驾驶员。
然而,一旦部分自动或完全自动驾驶的功能受到影响,这种类型的错误处理就不再足以确保车辆乘员的安全。在这种情况下,如果发生错误,则需要为可靠的操作提供完整或至少降级的功能。这种系统被称为失效可操作的系统(Fail-operational systems)。
比如,在航空领域,如果在一个飞行控制系统失效,飞机仍能够自动完成进近、拉平和着陆,这种飞行控制系统称为失效-工作飞行控制系统。在失效的情况下,自动着陆系统将作为失效-性能下降飞行控制系统工作。
目前,在汽车行业,实现失效可操作的一种方法是增加传感器、控制器、执行器等冗余,但这导致了额外的成本、重量和空间,对于汽车行业来说,这是极其敏感的成本限制。
一些公司认为,最佳的解决方案必须在软硬件“冗余”选型中实现某种平衡。过高配置的重复冗余,对于大部分走量车型来说,并不实际。除非,这是一款旗舰高端车型,更多是为了市场PR的需要。
比如,TTTech和英飞凌合作开发的适配L3/L4级的故障操作电子架构,通过采用混合模式允许使用硬件和软件来运行不同的汽车安全完整性级别(ASIL)应用程序。
其中,一个特别开发的故障转移机制,由一个主节点(“Doer”节点)和一个备用ECU(“备用”节点)组成,确保车辆的必要故障操作。如果“Doer”失败,“Fallback”会在毫秒时间内迅速接管,而备用ECU可以选择低阶版本。
这套方案有两个关键点,一个是英飞凌的第二代AURIX TC3xx MCU(40纳米嵌入式闪存、6个独立的32位TriCore处理器核、外加4个lockstep核),并且改进了车辆通信、数据安全和功能安全,实现多个操作系统和应用程序的安全集成。
第二是TTTech的Motionwise安全中间件,由其托管的每个应用程序都与其他应用程序封装独立运行,从而形成一个安全的环境,具有不同安全性和实时需求的应用程序同时可以共存并交互,这允许应用程序的无缝集成。
而对于L3级及以上自动驾驶系统,域控制器内部架构除了感知单元、AI引擎等之外,还需要增加数据处理单元、功能冗余单元等。
“不同单元之间进行大量的数据交换,这个数据吞吐量非常大。”在英恒科技技术总监秦晨看来,在拓展算力的同时,应对成本、系统功耗以及可靠性等方面还有非常严格的限制与需求。
比如针对L3级自动驾驶域控制器的架构设计,英恒科技主要分为两大区域(主安全路径、二级安全路径),每个区域都包含AI引擎、安全处理器、ARM性能监控单元等,一旦主安全路径失效则由二级安全路径接管,最大程度地保障域控制器的安全运行。
同时,这套方案将域控制器的内部架构分为雷达、图像视觉、传感器融合处理三大模块,每一个模块配备了域内通信、以太网通信,既可以实时地传输数据,又可以做到数据的可分享。
在秦晨看来,自动驾驶的等级越高,域控制器的开发难度和技术门槛就越高,域控制器厂商却面临着开发周期不断缩短、开发成本不断提升等窘境。如何对域控制器架构进行合理的布局与平台化设计,对于域控制器厂商来说同样很重要。
二、模块化而非“重头开始”
一直以来,在具体的平台架构设计上,也有两种路线。一种是非迭代式,尤其是对于L1/L2和L3/L4采用两种完全不同的架构,无论是开发成本还是软件复用都是很大的挑战。另一种,则是模块化升级模式。
此前,TTTech和英飞凌的第一代方案代表案例是奥迪zFAS,Aurix TC297+第一代Motionwise。而双方合作的另一个案例,就是宝马的递进式自动驾驶量产系统。
宝马将L1/L2被归类为ADAS,L3/L4/L5被归类为HAD(高度自动化驾驶)。整个核心系统架构的迭代,都是递增的。在宝马的架构下,L2将成为L3的后备冗余。这些系统运行单独的ecu,并利用经典和自适应AUTOSAR。在HAD级别上,依赖于双ASIL-B通道。
宝马的双重处理架构——主计算机和备用计算机——以确保L3、L4和L5车辆的安全。在该体系结构下,有一个主ASIL通道和一个辅助ASIL通道,主通道计算车辆的主轨迹,次通道用来监督主通道。
当辅助通道检测到主通道正在生成将导致事故或碰撞的轨迹时,它将向控制器发出警报,并切换到辅助通道。这是一个经典的行为检查方法。
然而,值得注意的是,主要ASIL通道也与次要通道进行交叉检查。当发现它们在某条轨迹上出现分歧时,系统就会进入降级模式。
接下来,就是由另一个处理模块接管,由一个独立的电源驱动。这使得汽车可以在降级模式下继续安全运行,简而言之,宝马使用2级的堆栈作为3级的备份。
这个通道独立于主系统运行。它可以驱动一个冗余的制动/转向系统,使车辆进入一个安全的位置。不过,这个冗余单元无法完成全部功能,能力相对有限。
宝马的L3策略,就是典型的双系统模式,其中较低层次的系统成为较高层次系统的后备。一个经典和人工智能方法的组合,人工智能主要用于感知,而后退则基于经典的确定性算法。
随着自动驾驶水平和功能的提高,宝马通过部署额外的传感器系统和高端微处理器来满足这些需求。比如,使用英飞凌的Aurix和瑞萨的R-CAR soc来优化其在双目前置摄像头中的应用。
对于L3级车型,宝马将增加两个Mobileye EyeQ5,两个Intel Denverton cpu和一个Aurix。对于4/5级的车辆,宝马将配置扩展到三个EyeQ5,一个Xeon 24C和Aurix。
其中,L3配置的两个EyeQ5芯片,提供互相备份功能(类似特斯拉的FSD计算单元),其中一个芯片的主要功能是处理原始的传感器信号,而另一个芯片将处理融合计算,将传感器看到的所有信息合并成一个单一的内聚图像。
这是到目前为止,行业内最为可行的混合架构方案之一。同时,在这个可递进式的多Soc架构体系下,宝马甚至可以快速的实现从Mobileye到高通计算平台的切换,预计后者合作的首款车型将在2025年正式投产。
有消息称,宝马在未来一段时间会存在Mobileye与高通平台同时搭载不同车型的情况存在,“很多技术是可以复用的”,同时,该公司还在寻求与英伟达在某些项目上进行合作谈判。
“如果我们没有一个标准,每个汽车制造商都是独立的……不同的制造商、不同的技术供应商最终将开发出具有不同安全风险的自动驾驶汽车。”在业内人士看来,这既是一种资源浪费,同时也不利于后续行业标准的制定。
在高工智能汽车研究院看来,谁能实现最大化的架构重用、硬件模块化快速替换(比如,缺芯带来的问题)以及软件的最大化重用,才是构建核心竞争力。
标签:域控制器,驾驶,高工,安全,自动,L3,架构,冗余 来源: https://blog.csdn.net/GGAI_AI/article/details/122085800