丰田最新L2系统和软件架构解析

上文(丰田L2自动驾驶TAD系统)中整体介绍了丰田的TAD系统,今天我们来进一步看看TAD系统的架构。
系统冗余介绍
上一篇说过TAD系统在电源、通信、ECU等都做了备份,可以再看一下图1。该图中展示了关键组件的冗余硬件配置。
图1 TAD系统的冗余配置
在电源冗余方面,除了制动电子控制单元和转向电子控制单元外,负责执行识别、决策和控制等基本功能的自动驾驶ECU也都连接至主电源和备份电源。即使主电源系统出现故障,这些ECU依然可以正常工作。
在前置传感器方面,为了保证数据输入的安全,雷达和广角摄像头连接到主电源,而激光雷达和长焦摄像头连接到备份电源,保证前方的传感器覆盖。
在通信冗余方面,数据通信不仅在自动驾驶ECU内部建立,还通过CAN和ETH与其他ECU进行数据通信。另外自动驾驶、制动和转向电子控制单元之间的通信线路也是冗余构建的。这允许制动和转向电子控制单元在检测到来自自动驾驶电子控制单元的一些通信中断时,切换到从另一个通信路径获取的数据,以保持车辆受控。
在ECU冗余方面,TAD系统中采用了Soc+ MCU的组合,其中Soc负责识别和决策,MCU负责控制。除了硬件的自我监视功能以及SoC和MCU中的计算操作故障外,还通过MCU监视SoC的操作输出数据的有效性来增强系统可靠性。
软件架构
自动驾驶ECU为车辆控制提供必要的外围识别、高精度地图信息处理、车辆位置估计、行为规划、轨迹及其速度规划的生成、生成规划的跟踪控制、系统状态管理等功能。
软件功能的功能分配
图2显示了主要软件功能组件的分配及其处理流程。系统芯片负责包括DNN的图像识别、传感器融合的外围对象识别、用于识别车辆位置的定位以及用于行为决策和轨迹生成的规划器等功能,另外OTA管理器被部署在SoC。
图2 自动驾驶ECU功能分配
MCU负责车辆速度控制、跟踪计划轨迹,以及备份控制功能。该系统还具有系统状态管理功能,包括紧急情况下的碰撞避免和异常监视功能。另外用于冗余的子MCU的功能与主MCU中的功能相同。
系统异常评估
在对系统异常的响应方面,将图2所示的一系列功能集成到自动驾驶ECU上进行实车测试。图3为在100km/h左右转弯时的退化控制结果,其中规划函数输出了SoC异常导致的异常路径轨迹。图3 (a)、(b)、(c)分别为偏离车道中心的量、计算得到的转向角度值和控制状态。
图3MCU的 Fail safe控制
CPU使用率
CPU内核专门分配给每个功能,以简化软件设计。而且,限制CPU的负债率。如果CPU负载超过限制而影响系统的安全性,则在适当执行后备控制功能后会立即重置ECU。
此外,即使在CPU负载最大化的测试用例中,也有必要避免过高的CPU利用率,因为需要预留一定数量的CPU负载(比如20%)用于OTA进行软件更新。
图4显示了最大处理负载时的CPU使用率,这是通过为每个功能设置最复杂的地图信息、最大数量的车道和最大数量的可识别对象等最差条件来衡量的。所有CPU核的最大利用率低于80%,可以通过OTA软件更新进行系统扩展。
图4 CPU使用率情况
参考:网络文献,侵删
(0)

相关推荐