辅助驾驶安全控制方法、装置及智能汽车与流程

1.本发明涉及车辆自动驾驶的功能安全技术领域，具体涉及一种辅助驾驶安全控制方法、一种辅助驾驶安全控制装置、一种智能汽车、一种电子设备和一种计算机可读存储介质。


背景技术：

2.随着汽车网联化、数字化、智能化发展，汽车架构发生了巨大变化，整车电子电器系统变得越来越复杂，简单的人机交互已不能满足人们的驾车需求。为增强驾车体验、提升车辆的科技感和安全性，自动驾驶技术运应而生，使汽车能够在无人操作的情况下，实现自动驾驶。自动驾驶技术主要分为四阶段：自动安全措施辅助、高级辅助驾驶、部分无人驾驶、完全无人驾驶。目前市面上大多数智能网联汽车都处于高级辅助驾驶阶段，自驾等级为l0、l1或者l2。按照iso26262标准，这类搭载高级辅助驾驶系统的汽车，由于驾驶员在环，整车安全状态大部分为“safe-silent”，即失效上报故障。若按照此思路去设计智能网联汽车的功能安全开发策略，存在功能安全与驾驶体验无法平衡的缺点。
3.例如，公开日为2019年9月20日、公开号为cn110254512a的中国专利文献中提出了一种分布式智能电动车辆转向系统功能安全架构设计方法，该方法针对l3级及以上自动驾驶车辆转向系统进行功能安全架构设计，包括离线的功能安全整车层面概念分析以及功能安全整车层面架构设计两部分。对比现有转向系统安全控制技术，此设计方法考虑l3级及以上自动驾驶车辆转向系统整车层面功能安全技术，通过设计安全控制器包括故障检测以及相应的安全控制策略保证自动驾驶车辆转向系统发生故障以后保证车辆过渡到安全状态。但是，此方法只设计了l3级自动驾驶转向系统功能安全设计策略，无法直接应用到l2+的高级辅助驾驶系统，且设计前提比较理想，难以直接应用于工程开发。
4.公开日为2020年3月27日、公开号为cn110930005a的中国专利文献中提出了一种基于零日漏洞的自动驾驶预期功能安全危害评估方法，包括四个步骤，步骤一：确定预期功能安全系统的零日漏洞危害图模型；步骤二：将预期功能安全系统的零日漏洞模型进行简化，构造威预期功能安全的危害路径；步骤三：基于危害路径，通过计算程序分别计算出已知触发事件和未知触发事件的危害值sk,suk；步骤四：基于动态权重方案，计算预期功能安全系统安全值svs。该专利实质上是提供了一种捕获漏洞的关键特征并生成反映其严重性的数字评分的方法，旨在通过动态模型不断完善迭代系统预期功能安全架构，以达到最优的预期功能安全阈值。这是一种追求“零风险”的设计思路，但只从预期功能安全角度进行了分析，缺少对功能安全及相关安全领域的系统安全策略的延伸。缺少整体、系统、全面的思考。
5.因此，有必要提供一种既考虑了用户驾驶体验，又能最大程度地保障整车安全的高级辅助驾驶系统安全控制方法。


技术实现要素：

6.本发明的目的之一在于提供一种高级辅助驾驶安全控制方法和装置，以解决现有技术中的汽车搭载的高级辅助驾驶系统无法应对三种鲁棒性不足工况的问题；目的之二在于提供一种智能汽车；目的之三在于提供一种实现辅助驾驶安全控制方法的电子设备和计算机可读存储介质。
7.为了实现上述目的，本发明采用的技术方案如下：
8.第一方面，本发明提供了一种高级辅助驾驶安全控制方法，所述安全控制方法包括：检测由用户导致的主动驾驶信息，所述主动驾驶信息包括刹车踏板输入量和方向盘输入量；检测辅助驾驶控制器是否出现异常工况，所述异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令；基于异常工况的检测结果和所述主动驾驶信息，判断辅助驾驶控制器是否失效；根据辅助驾驶控制器是否失效来确定是否由执行器主动解除辅助驾驶控制，所述执行器包括整车动力控制器、车身稳定器和动力转向器。
9.根据上述技术手段，通过检测驾驶员的主动驾驶信息和辅助驾驶控制器的异常工况，确认辅助驾驶控制器是否出现了失效，并在确认辅助驾驶控制器失效的情况下，主动解除辅助驾驶控制器对各执行器的控制，将主导车辆的控制权移交给驾驶员。相比较于现有技术中的辅助驾驶控制，本发明不仅针对辅助驾驶控制出现失效的情况，从执行器角度出发给出了具体的安全控制机制，保障了整车安全，还考虑到了用户的驾驶体验，使得辅助驾驶控制更贴近用户实际情况。
10.进一步，当判断所述辅助驾驶控制器持续发出加速指令或制动指令，且刹车踏板输入量超过第一输入量时，可以向车身稳定器发送第一解除指令，以使车身稳定器主动解除辅助驾驶控制；由车身稳定器向整车动力控制器发送第二解除指令，以使整车动力控制器主动解除辅助驾驶控制。
11.根据上述技术手段，提供了一种针对辅助驾驶控制器持续发出加速指令或制动指令这两种异常工况下的安全机制，可以有效避免发生车辆冲出跑道、追尾、趴窝等危害。
12.进一步地，当判断所述辅助驾驶控制器持续发出转向指令，且方向盘输入量超过第二输入量时，可以向动力转向器发送第三解除指令，以使动力转向器主动解除辅助驾驶控制；由动力转向器向车身稳定器发送第四解除指令，以使车身稳定器主动解除辅助驾驶控制。
13.根据上述技术手段，提供了一种针对辅助驾驶控制器持续发出转向指令这一种异常工况下的安全机制，可以有效避免发生车辆偏离跑道、碰撞等危害。
14.进一步地，所述第一输入量可以为：40％～60％的刹车踏板行程，以及300ms～500ms的刹车持续时间。
15.根据上述技术手段，提供了第一输入量的具体确定方式，根据该第一输入量的具体确定范围可以明确何种范围下的直行主动驾驶信息标志着容易发生辅助驾驶控制器失效的风险。
16.进一步地，所述第二输入量可以为：4nm～6nm的方向盘纠正力矩，以及100ms～200ms的方向盘纠正持续时间。
17.根据上述技术手段，提供了第二输入量的具体确定方式，根据该第二输入量的具体确定范围可以明确何种范围下的转向主动驾驶信息标志着容易发生辅助驾驶控制器失
效的风险。
18.进一步地，执行器主动解除辅助驾驶控制后，可以在本次点火周期内不再响应辅助驾驶控制器。
19.根据上述技术手段，提供了一种更优选的安全控制方法，可以有效避免执行器在当次点火周期内再次被失效状态下的辅助驾驶控制器所控制，能使整个辅助驾驶系统的鲁棒性进一步得到增强。
20.进一步地，所述安全控制方法还可以包括：当辅助驾驶控制器内部的微控制单元检测到soc(system on chip，系统级芯片)异常或者控制指令发送值超过指定量时，可以发出报警请求。
21.根据上述技术手段，本发明在针对执行器实施安全机制的基础上，增加了辅助驾驶控制器内部的安全机制，通过检测辅助驾驶控制器内部是否出现异常，及时生成报警信息，并提醒驾驶员，以便驾驶员第一时间作出主动驾驶的动作，最大程度地保障行车安全。
22.进一步地，所述安全控制方法还可以包括：当所述微控制单元检测到行车参数超过指定阈值时，拒绝向执行器发出控制指令，所述行车参数包括加速度、减速度和转向角。
23.根据上述技术手段，提供了一种针对辅助驾驶控制器内部的安全防御机制，通过检测加速度、减速度和转向角是否突然超过预设值，来限制控制器发出容易导致异常工况发生的控制指令。
24.第二方面，本发明提供了一种高级辅助驾驶安全控制装置，所述装置包括第一检测模块、第二检测模块、判断模块和解除确定模块；所述第一检测模块用于检测由用户导致的主动驾驶信息，所述主动驾驶信息包括刹车踏板输入量和方向盘输入量；所述第二检测模块用于检测辅助驾驶控制器是否出现异常工况，所述异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令；所述判断模块用于根据辅助驾驶控制器的异常工况检测结果和所述主动驾驶信息，判断辅助驾驶控制器是否出现失效；所述解除确定模块用于在辅助驾驶控制器被判断为失效时，生成解除确定信息，来确定由执行器主动解除辅助驾驶控制。
25.根据上述技术手段，提供了一种既考虑驾驶体验又能够最大程度地保障了整车安全的高级辅助驾驶安全控制系统。
26.第三方面，本发明提供了一种电子设备，包括处理器和存储器，所述存储器中存储有至少一条计算机程序，所述至少一条计算机程序由一个或多个以上所述处理器加载并执行，以使计算机实现如上所述的高级辅助驾驶安全控制方法。
27.第四方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条程序代码，所述程序代码由处理器加载并执行，以使计算机实现如上所述的高级辅助驾驶安全控制方法。
28.第五方面，本发明提供了一种智能汽车，所述智能汽车包括如上所述的安全控制装置。
29.通过本发明提供的技术方案，本发明至少具有如下技术效果：
30.(1)本发明根据高级辅助驾驶系统的控制器adas出现程序跑飞、卡死等异常现象导致的三种异常工况，形成了针对执行器的三种安全机制，不仅增加了高级辅助驾驶系统的安全性，实际驾乘体验也得到了显著提升；
31.(2)本发明还形成了针对辅助驾驶控制器adas内部的安全机制，当检测soc异常或者发送值异常时，主动提醒驾驶员，便于驾驶员及时调整车辆状况；
32.(3)本发明可适用于l2级自动驾驶系统，能够增强智能汽车的iacc(integrated adapted cruise control，集成式自适应巡航控制)、acc(adaptive cruise control，自适应巡航控制)、icc(intelligent cruise control，智能巡航控制)等功能的鲁棒性。
33.本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
34.附图是用来提供对本发明实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明实施例，但并不构成对本发明实施例的限制。在附图中：
35.图1为本发明实施例提供的高级辅助驾驶安全控制方法的流程示意图；
36.图2为本发明实施例提供的正常工况的控制流程示意图；
37.图3为本发明实施例提供的第一种安全机制的控制流程示意图；
38.图4为本发明实施例提供的第二种安全机制的控制流程示意图；
39.图5为本发明实施例提供的第三种安全机制的控制流程示意图；
40.图6为本发明实施例提供的adas内部安全机制的控制流程示意图；
41.图7为本发明实施例提供的高级辅助驾驶安全控制装置的结构示意图；
42.图8为本发明实施例提供的电子设备的结构示意图。
43.附图标记说明
44.101-第一检测模块；102-第二检测模块；103-判断模块；104-解除确定模块；201-处理器；202-存储器。
具体实施方式
45.以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施例，并不用于限制本发明实施例。
46.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
47.在本发明中，在未作相反说明的情况下，使用的方位词如“上、下、顶、底”通常是针对附图所示的方向而言的或者是针对竖直、垂直或重力方向上而言的各部件相互位置关系描述用词。“第一”、“第二”等仅仅是为了方便描述和便于区分，而不能理解为指示或暗示相对重要性。
48.目前，针对高级辅助驾驶系统出现的3种典型的鲁棒性不足工况，暂时无法形成针对控制器和执行器的具体安全控制机制。
49.为了解决上述问题，本发明提出了一种高级辅助驾驶安全控制方法，针对大规模路试中的三种鲁棒性不足工况，对l2级自动驾驶系统的执行器和控制器共提出了3种安全机制，通过主动解除执行器的辅助驾驶控制、以及限制控制器发出失效状态下的控制命令这两种方式，不仅提升了高级辅助驾驶的鲁棒性，还增强了驾驶员的驾驶体验。
50.下面将参考附图并结合实施例来详细说明本发明。
51.实施例一
52.本发明的第一实施例提供了一种高级辅助驾驶安全控制方法，参考图1，该安全控制方法包括以下步骤：
53.步骤s101、检测由用户导致的主动驾驶信息，主动驾驶信息包括刹车踏板输入量和方向盘输入量。
54.步骤s102、检测辅助驾驶控制器是否出现异常工况，异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令。
55.步骤s103、基于异常工况的检测结果和所述主动驾驶信息，判断辅助驾驶控制器是否失效。
56.步骤s104、根据辅助驾驶控制器是否失效来确定是否由执行器主动解除辅助驾驶控制，执行器包括整车动力控制器、车身稳定器(例如，车身电子稳定系统esp)和动力转向器。
57.示例性地，根据辅助驾驶控制器是否失效来确定执行器是否主动解除辅助驾驶控制的过程包括但不限于下述子步骤s1041～s1043。
58.子步骤s1041、当判断所述辅助驾驶控制器持续发出加速指令，且刹车踏板输入量超过第一输入量时，向车身稳定器发送第一解除指令，以使车身稳定器主动解除辅助驾驶控制。同时，车身稳定器向整车动力控制器发送第二解除指令，以使整车动力控制器主动解除辅助驾驶控制。
59.例如，第一输入量可以设置为：40％～60％的刹车踏板行程，以及300ms～500ms的刹车持续时间。
60.子步骤s1042、当判断所述辅助驾驶控制器持续发出制动指令，且刹车踏板输入量超过第一输入量时，向车身稳定器发送第一解除指令，以使车身稳定器主动解除辅助驾驶控制。同时，车身稳定器向整车动力控制器发送第二解除指令，以使整车动力控制器主动解除辅助驾驶控制。
61.子步骤s1043、当判断所述辅助驾驶控制器持续发出转向指令，且方向盘输入量超过第二输入量时，向动力转向器发送第三解除指令，以使动力转向器主动解除辅助驾驶控制。同时，动力转向器向车身稳定器下发第四解除指令，以使车身稳定器主动解除辅助驾驶控制。
62.例如，第二输入量可以设置为：4nm～6nm的方向盘纠正力矩，以及100ms～200ms的方向盘纠正持续时间。
63.当然，本发明并不局限于此，也可以在判断辅助驾驶控制器失效后，直接向所有的执行器都发送解除指令，使所有的执行器都主动解除辅助驾驶控制，将主动驾驶权移交给驾驶员。
64.进一步地，执行器主动解除辅助驾驶控制后，可以在本次点火周期内不再响应辅助驾驶控制器。
65.本技术实施例的实施环境可以包括至少一个终端和服务器，该方法分别在终端或服务器上执行。终端和服务器可以进行通信连接以实现信息的交互传输。终端和服务器通过获取主动驾驶信息和异常工况信息来进行高级辅助驾驶系统的安全控制。
66.其中，终端可以是任何一种可以与用户通过键盘、触摸板、触摸屏、语音交互等一
种或多种方式进行人机交互的电子产品，例如pc(personal computer，个人计算机)、ppc(pocket personal computer，掌上电脑)、平板电脑等。
67.服务器可以是一台服务器，也可以是由多台服务器组成的服务器集群，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn(content delivery network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
68.实施例二
69.本发明的第二实施例提供了另一种高级辅助驾驶安全控制方法。本实施例在第一实施例提供的高级辅助驾驶安全控制方法的基础上，还增加了对辅助驾驶控制器内部的安全控制方法，具体控制方式如下：
70.步骤s201、当辅助驾驶控制器内部的微控制单元检测到soc异常或者控制指令发送值超过指定量时，可以发出报警请求。
71.步骤s202、当微控制单元检测到行车参数超过指定阈值时，拒绝向执行器发出控制指令，所述行车参数包括加速度、减速度和转向角。这里的控制指令包括加速指令、制动指令和转向指令。
72.具体来讲，以高级辅助驾驶系统adas的iacc功能为例，本实施例事先结合iacc(integrated adapted cruise control，集成式自适应巡航)的功能特性、功能使用场景，通过hara分析(hazard analysis and risk assessment，危害分析和风险评估)，得出整车层级安全目标以及大规模路试意见(参见表1)，经过大规模路试获得违背安全目标的数据，最后得到了3种典型鲁棒性不足的工况数据。针对这3种典型的鲁棒性不足工况，分别形成了针对控制器和执行器的安全机制。
73.表1整车功能安全目标及路试意见
[0074][0075][0076]
注：表1中的ftti是指故障容错时间间隔(fault tolerant time interval)；tbd是指待确认(to be determined)。asll是指汽车安全完整性等级(automotive safety integrity levels)，汽车安全完整性等级asil有四种，分别为asil a、asil b、asil c和asil d；asil a代表最低安全完整性等级，asil d代表最高安全完整性等级。qm是指质量管理措施(quality management)，表示无需满足iso26262的规定，只要采取质量管理措施就
足以管控。
[0077]
iacc功能的交互关系涉及到高级辅助驾驶系统控制器(简称adas控制器)、整车动力控制器(vehicle control unit；简称vcu)、车身电子稳定系统(electronic stability program；简称esp)和电动助力转向系统(electric power steering；简称eps)。为了提升驾驶体验，假设adas按照最高asil d目标进行开发，vcu最高按照asil c目标进行开发，esp最高按照asil d进行开发，eps最高按照asil d进行开发。
[0078]
在分析异常工况之前，首先需明确正常工况，请参见图2，正常工况可分为两种情形。
[0079]
在正常工况1下，当iacc功能开启时，驾驶员在环，esp会判断驾驶员踩刹车的动作，当判断驾驶员踩下刹车时，eps会向adas发出驾驶员踩刹车信号；adas判断驾驶员踩刹车逻辑成立后，adas会向esp、vcu、eps发送disable指令，同时退出iacc功能。此时所有执行器优先响应驾驶员指令，不再响应adas。
[0080]
在正常工况2下，当iacc功能开启时，驾驶员在环，eps会判断驾驶员掰方向盘的动作，当判断驾驶员掰方向盘时，eps会向adas发出驾驶员掰方向盘信号；adas判断驾驶员掰方向盘逻辑成立后，adas会向esp、vcu、eps发送disable指令，同时退出iacc功能。此时所有执行器优先响应驾驶员指令，不再响应adas。
[0081]
在正常工况下，若adas出现程序跑飞、卡死等异常现象，导致adas持续发送加速指令(异常工况1)、制动指令(异常工况2)或转向指令(异常工况3)，将发生车辆冲出跑道、追尾、趴窝等不可接受的危害。
[0082]
(1)请参考图3，若adas出现异常工况1，车辆会持续加速，驾驶员会在第一时间踩刹车，此时adas无法退出iacc功能和发送disable指令，若制动力矩大于驱动力矩，车辆会慢慢减速，一旦驾驶员松开制动踏板，车辆又会加速驶出，整个过程极易造成车辆冲出跑道、追尾等危害。针对该异常工况，本实施例制定了第一种安全机制。
[0083]
第一种安全机制的主要内容包括：adas系统激活时，一旦驾驶员操作刹车踏板超过阈值(超过刹车踏板行程60％且持续时间大于500ms，参数可标定)，vcu应该立即不响应adas指令同时切断加速；vcu切断加速500ms(参数可标定)后，如果adas仍然持续发送加速指令，则本次点火周期不再响应adas指令。
[0084]
(2)请参考图4，若adas出现异常工况2，车辆会持续减速直到停止，期间驾驶员如果踩刹车，adas无法退出iacc功能和发送disable指令，车辆刹停后，驾驶员若想踩油门踏板进行启动，如果驱动力矩小于制动力矩，将造成趴窝的风险，整个过程极易造成后车追尾的危害。针对该异常工况，本实施例制定了第二种安全机制。
[0085]
第二种安全机制的主要内容包括：adas系统激活时，驾驶员踩刹车踏板达到“一定的条件”(超过刹车踏板行程60％且持续时间大于500ms时，参数可标定)，并且adas在此期间持续发送制动指令，则esp应该立即退出iacc功能，并且本次点火周期不再响应adas。
[0086]
(3)请参考图5，若adas出现异常工况3，车辆会偏离跑道，驾驶员会在第一时间踩刹车和掰方向盘，此时adas无法退出iacc功能和发送disable指令，若驾驶员手力矩大于方向盘力矩，车辆会被纠正，一旦驾驶员松开方向盘，车辆又会偏离跑道，整个过程极易发生车辆冲出跑道、碰撞等危害。针对该异常工况，本实施例制定了第三种安全机制。
[0087]
第三种安全机制的主要内容包括：adas系统激活时，驾驶员掰方向盘达到“一定的
条件”(驾驶员手力矩大于6nm且持续时间大于200ms时，参数可标定)，并且adas在此期间持续发送转向指令，则eps应该立即退出iacc功能，并且本次点火周期不再响应adas。
[0088]
通过上述分析，本实施例针对执行器设制了三种安全机制，从功能安全的角度来说，此时已经可以覆盖由于adas异常导致的异常工况1、异常工况2和异常工况3。但从系统鲁棒性出发，为了保障整个iacc功能在极端情况下有较强的鲁棒性，针对adas这几种异常情况，要求adas本身也对发出信号的卡滞和非预期制定安全机制，因此，本实施例针对adas控制器本身也制定了安全机制。
[0089]
请参考图6，adas控制器内部的安全机制如下：
[0090]
(1)微控制单元(microcontroller unit；简称mcu)本身为asil d，则mcu通过心跳机制长期检测soc(system on chip，系统级芯片)的动态，防止soc跑飞或卡死。
[0091]
(2)mcu一般为adas与执行器间的接口，则在mcu中增加对加减速度、转向角的限制检测，并按照asil b的检测链路开发，可以防止adas输出异常的控制指令。
[0092]
换句话说，在mcu内部针对加减速度和转向角进行实时检测，当发现加减速度和/或转向角已经明显超出设定阈值时，mcu判定当前车况不佳，应拒绝adas再持续发出任何关于加速和转向的控制命令，从而杜绝adas失效导致的异常工况。
[0093]
(3)mcu检测到soc异常或者mcu自身发送值过量，则发出报警请求，提醒驾驶员，以便驾驶员能及时退出高级辅助驾驶，防止安全事故的发生。
[0094]
总体来看，实施上述三条对执行器的安全机制和adas控制器内部的安全机制后，整个iacc功能鲁棒性进一步得到了增强，实际驾乘体验也得到了显著提升。
[0095]
另外，在本发明的描述中，高级驾驶辅助系统(全称为advanced drive assist system；简称adas)是一种利用安装于车上的各式各样的传感器，在第一时间收集车内外的环境数据，进行静、动态物体的辨识、侦测与追踪等技术上的处理，从而能够让驾驶者在最快的时间察觉可能发生的危险，以引起注意和提高安全性的主动安全技术。
[0096]
adas系统通常包括自适应巡航acc(adaptive cruise control)、车道偏移报警系统ldws(lane departure warning system)、车道保持系统lka(lane keep assistance)，碰撞避免或预碰撞系统cas(collision avoidance system)、夜视系统nv(night vision system)、自适应灯光控制alc(adaptive light control)、行人保护系统pps(pedestrian protection system)、自动泊车系统ap(automatic parking)、交通标志识别tsr(traffic sign recognition)、盲点探测bsd(blind spot detection)，驾驶员疲劳探测ddd(driver drowsiness detection)、下坡控制系统hdc(hill descent control)和电动汽车报警evws(electric vehicle warning sounds)系统等。
[0097]
本发明主要是针对l2级自动驾驶系统的自适应巡航驾驶功能(acc功能或者iacc功能)出现的3种鲁棒性不足工况，针对adas控制器和执行器提出了几种安全机制，在实施这几种安全机制后，再通过相应的测试手段进行回归测试，保障路试异常问题被全部关闭，从而提升驾驶员的驾驶体验和安全。
[0098]
实施例三
[0099]
本发明的第三实施例提供了一种高级辅助驾驶安全控制装置，请参考图7，该安全控制装置包括第一检测模块101、第二检测模块102、判断模块103和解除确定模块104。
[0100]
第一检测模块101用于检测由用户导致的主动驾驶信息；所述主动驾驶信息包括
刹车踏板输入量和方向盘输入量。
[0101]
第二检测模块102用于检测辅助驾驶控制器是否出现异常工况；所述异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令。
[0102]
判断模块103与第一检测模块101和第二检测模块102连接，用于根据辅助驾驶控制器的异常工况检测结果和主动驾驶信息，判断辅助驾驶控制器是否出现失效。
[0103]
解除确定模块104与判断模块103连接，用于在辅助驾驶控制器被判断为失效时，生成解除确定信息，来确定由执行器主动解除辅助驾驶控制。
[0104]
具体来讲，在辅助驾驶控制器被判断为失效时，解除确定模块可以生成解除确定信息，并将解除确定信息处理成解除指令发送至所有的执行器，使得执行器主动解除辅助驾驶控制。
[0105]
或者，在辅助驾驶控制器被判断为失效时，解除确定模块可以生成解除确定信息，并将解除确定信息处理成解除指令发送至指定的执行器，再由指定执行器进一步向其他执行器发送解除指令。
[0106]
例如，当判断辅助驾驶控制器持续发出加速指令，且刹车踏板输入量超过第一输入量时，解除确定模块可以先向车身稳定器发送第一解除指令，以使车身稳定器主动解除辅助驾驶控制。然后，再由车身稳定器向整车动力控制器发送第二解除指令，以使整车动力控制器主动解除辅助驾驶控制。
[0107]
当判断所述辅助驾驶控制器持续发出制动指令，且刹车踏板输入量超过第一输入量时，解除确定模块可以先向车身稳定器发送第一解除指令，以使车身稳定器主动解除辅助驾驶控制。然后，再由车身稳定器向整车动力控制器发送第二解除指令，以使整车动力控制器主动解除辅助驾驶控制。
[0108]
当判断所述辅助驾驶控制器持续发出转向指令，且方向盘输入量超过第二输入量时，解除确定模块可以先向动力转向器发送第三解除指令，以使动力转向器主动解除辅助驾驶控制。然后，再由动力转向器向车身稳定器下发第四解除指令，以使车身稳定器主动解除辅助驾驶控制。
[0109]
需要说明的是，上述提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
[0110]
实施例四
[0111]
本发明的第四实施例还提供了一种智能车辆的高级辅助驾驶系统，该高级辅助驾驶系统包括辅助驾驶控制器、整车动力控制器、车身稳定器、动力转向器和安全控制装置。
[0112]
辅助驾驶控制器用于在启动acc功能(或者iacc功能)时，向各执行器发送控制指令，以实现辅助驾驶；以及在退出启动acc功能(或者iacc功能)时，向各执行器发送解除指令；以实现退出辅助驾驶。执行器包括整车动力控制器、车身稳定器、动力转向器；控制指令包括加速指令、制动指令和转向指令。
[0113]
辅助驾驶控制器内部设有mcu和soc，mcu用于发送控制指令，以及检测是否出现soc异常或者mcu自身发送值过量或者行车参数超过指定阈值。当mcu检测到soc异常或者mcu自身发送值过量时，则生成报警请求，并发送给驾驶员。当mcu检测到行车参数超过指定
阈值时，则拒绝发送控制指令。行车参数包括加速度、减速度和转向角。
[0114]
整车动力控制器vcu用于车辆的实现纵向自动驾驶；动力转向器eps用于实现车辆的横向自动驾驶。车身稳定器esp用于向辅助驾驶控制器发送驾驶员踩刹车信号和驾驶员掰方向盘信号，以使辅助驾驶控制器退出acc功能(或者iacc功能)，并向各执行器发送解除指令。
[0115]
安全控制装置用于监测辅助驾驶控制器是否出现失效，当辅助驾驶控制器失效时，安全控制装置主动代替辅助驾驶控制器发送解除指令，来确定由执行器主动退出辅助驾驶。安全控制装置包括第一检测模块、第二检测模块、判断模块和解除确定模块。第一检测模块用于检测由用户导致的主动驾驶信息，所述主动驾驶信息包括刹车踏板输入量和方向盘输入量。第二检测模块用于检测辅助驾驶控制器是否出现异常工况；异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令。判断模块用于根据辅助驾驶控制器的异常工况检测结果和所述主动驾驶信息，判断辅助驾驶控制器是否出现失效。解除确定模块用于在辅助驾驶控制器被判断为失效时，生成解除确定信息，来确定由执行器主动解除辅助驾驶控制。
[0116]
例如，当判断辅助驾驶控制器持续发送制动指令或者加速指令，而驾驶员在持续深踩刹车时，安全控制装置中解除确定模块将生成的解除确定信息处理成解除指令(或称disable指令)发送至车身稳定器esp；车身稳定器esp响应安全控制装置发出的解除指令，主动退出辅助驾驶，并将解除指令发送给整车动力控制器vcu，以使整车动力控制器vcu主动退出辅助驾驶。
[0117]
当判断辅助驾驶控制器持续发送转向指令，而驾驶员在持续掰方向盘时，安全控制装置中解除确定模块将生成的解除确定信息处理成解除指令(或称disable指令)发送至动力转向器eps；动力转向器eps响应安全控制装置发出的解除指令，主动退出辅助驾驶，并将解除指令发送给车身稳定器esp，以使车身稳定器esp主动退出辅助驾驶。
[0118]
实施例五
[0119]
本发明的第五实施例还提供了一种电子设备，参见图8，该电子设备包括处理器201和存储器202，存储器中存储有至少一条计算机程序，所述至少一条计算机程序由一个或多个以上所述处理器加载并执行，以使计算机实现第一实施例或者第二实施例中所述的高级辅助驾驶安全控制方法。
[0120]
当然，该电子设备还可以具有有线或无线网络接口、键盘以及输入输出接口等部件，以便进行输入输出，该电子设备还可以包括其他用于实现设备各功能的部件在此不做赘述。
[0121]
实施例六
[0122]
本发明的第六实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有至少一条程序代码，该程序代码由处理器加载并执行，以使计算机实现第一实施例或者第二实施例中所述的高级辅助驾驶安全控制方法。
[0123]
可选地，该计算机可读存储介质可以是只读存储器(read-0nlymemory，rom)、随机存取存储器(random access memory,ram)、只读光盘(compact disc read-0nlymemory,cd-rom)、磁带、软盘和光数据存储设备等。本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介
质中，包括若干指令用以使得单片机、芯片或处理器(processor)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0124]
实施例七
[0125]
本发明的第七实施例还提供了一种智能汽车，该智能汽车上安装有第三实施例中的安全控制装置。例如，该安全控制装置可安装在智能汽车的座舱中。该智能汽车可以是传统燃油车、电动车、混动车、燃气车、氢能源车等。
[0126]
综上所述，本发明至少具有如下技术效果：
[0127]
(1)本发明根据高级辅助驾驶系统的控制器adas出现程序跑飞、卡死等异常现象使导致的三种异常工况，形成了针对执行器的三种安全机制，不仅增加了高级辅助驾驶系统的安全性，实际驾乘体验也得到了显著提升；
[0128]
(2)本发明还形成了针对辅助驾驶控制器adas内部的安全机制，当检测soc异常或者发送值异常时，主动提醒驾驶员，便于驾驶员及时调整车辆状况；
[0129]
(3)本发明可适用于l2级自动驾驶系统，能够增强智能汽车的iacc、acc、icc等功能的鲁棒性。
[0130]
以上实施例仅是为充分说明本发明而所举的较佳的实施例及其所运用的技术原理，本发明的保护范围不限于此。所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本技术的保护范围。

技术特征：
1.一种辅助驾驶安全控制方法，其特征在于，所述安全控制方法包括：检测由用户导致的主动驾驶信息，所述主动驾驶信息包括刹车踏板输入量和方向盘输入量；检测辅助驾驶控制器是否出现异常工况，所述异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令；基于异常工况的检测结果和所述主动驾驶信息，判断辅助驾驶控制器是否失效；根据辅助驾驶控制器是否失效来确定是否由执行器主动解除辅助驾驶控制，所述执行器包括整车动力控制器、车身稳定器和动力转向器。2.根据权利要求1所述的辅助驾驶安全控制方法，其特征在于，当判断所述辅助驾驶控制器持续发出加速指令或制动指令，且刹车踏板输入量超过第一输入量时，向车身稳定器发送第一解除指令，以使车身稳定器主动解除辅助驾驶控制；由车身稳定器向整车动力控制器发送第二解除指令，以使整车动力控制器主动解除辅助驾驶控制。3.根据权利要求1所述的辅助驾驶安全控制方法，其特征在于，当判断所述辅助驾驶控制器持续发出转向指令，且方向盘输入量超过第二输入量时，向动力转向器发送第三解除指令，以使动力转向器主动解除辅助驾驶控制；由动力转向器向车身稳定器发送第四解除指令，以使车身稳定器主动解除辅助驾驶控制。4.根据权利要求1所述的辅助驾驶安全控制方法，其特征在于，执行器主动解除辅助驾驶控制后，在本次点火周期内不再响应辅助驾驶控制器。5.根据权利要求1所述的辅助驾驶安全控制方法，其特征在于，所述安全控制方法还包括：当辅助驾驶控制器内部的微控制单元检测到soc异常或者控制指令发送值超过指定量时，发出报警请求。6.根据权利要求5所述的辅助驾驶安全控制方法，其特征在于，所述安全控制方法还包括：当所述微控制单元检测到行车参数超过指定阈值时，拒绝向执行器发出控制指令，所述行车参数包括加速度、减速度和转向角。7.一种辅助驾驶安全控制装置，其特征在于，所述安全控制装置包括第一检测模块、第二检测模块、判断模块和解除确定模块；所述第一检测模块用于检测由用户导致的主动驾驶信息，所述主动驾驶信息包括刹车踏板输入量和方向盘输入量；所述第二检测模块用于检测辅助驾驶控制器是否出现异常工况，所述异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令；所述判断模块用于根据辅助驾驶控制器的异常工况检测结果和所述主动驾驶信息，判断辅助驾驶控制器是否出现失效；所述解除确定模块用于在辅助驾驶控制器被判断为失效时，生成解除确定信息，来确定由执行器主动解除辅助驾驶控制。8.一种智能汽车，其特征在于，所述智能汽车包括权利要求7所述的安全控制装置。9.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条计算机程序，所述至少一条计算机程序由一个或多个以上所述处理器加载并执
行，以使计算机实现权利要求1～6中任一项所述的辅助驾驶安全控制方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有至少一条程序代码，所述程序代码由处理器加载并执行，以使计算机实现权利要求1～6中任一项所述的辅助驾驶安全控制方法。

技术总结
本发明提供一种辅助驾驶安全控制方法、装置及智能汽车，属于车辆自动驾驶的功能安全技术领域。所述安全控制方法包括：检测由用户导致的主动驾驶信息，所述主动驾驶信息包括刹车踏板输入量和方向盘输入量；检测辅助驾驶控制器是否出现异常工况，所述异常工况包括持续发出加速指令、持续发出制动指令和持续发出转向指令；基于异常工况的检测结果和所述主动驾驶信息，判断辅助驾驶控制器是否失效；根据辅助驾驶控制器是否失效来确定是否由执行器主动解除辅助驾驶控制，所述执行器包括整车动力控制器、车身稳定器和动力转向器。本发明不仅最大程度保障了整车安全，还考虑了驾驶体验。还考虑了驾驶体验。还考虑了驾驶体验。


技术研发人员：颜新华 查小东 李润嵩 癿建建 王振伟
受保护的技术使用者：重庆长安汽车股份有限公司
技术研发日：2023.04.26
技术公布日：2023/6/27