基于安全沙箱的智能汽车安全仲裁及控制方法及装置与流程

1.本技术涉及车辆技术领域，特别涉及一种基于安全沙箱的智能汽车安全仲裁及控制方法及装置。


背景技术：

2.自动驾驶汽车的控制量(如车速、前轮转角等)由控制器计算所得，控制器则由不同用户面向不同场景分别开发，如面向队列跟车行驶、交叉路口车速引导行驶等，其设计方法往往只考虑在特定场景中行驶的可行性，且在多种场景下的多种控制目标和指令可能存在冲突，无法保证车辆的行驶安全性。在将来网联交通的环境下，来自智慧路侧、云端的控制指令可能包含多种不可靠因素，也会影响行车安全。
3.因此，为了保证车辆的安全性，需要设计车辆安全仲裁机制，实时判断车辆的控制输入是否能保证车辆安全，并在不能保证车辆安全时实时规划新的控制输入。
4.申请内容
5.本技术提供一种基于安全沙箱的智能汽车安全仲裁及控制方法及装置，可以实时判断车辆的控制输入是否能保证车辆安全，并在不能保证车辆安全时实时规划新的控制输入，从而保证车辆的安全性。
6.本技术第一方面实施例提供一种基于安全沙箱的智能汽车安全仲裁及控制方法，汽车上设置有用于计算能保障车辆安全的控制输入的安全沙箱，其中，方法包括以下步骤：
7.获取汽车的当前驾驶环境；
8.基于所述安全沙箱根据所述当前驾驶环境对控制器输入量进行安全性仲裁，识别所述控制器输入量的当前所属区域；以及
9.根据所述当前所属区域控制所述车辆响应所述当前所属区域对应的车辆保护动作。
10.可选地，所述当前所属区域为不会发生碰撞的安全区域、依靠转向而不制动避免碰撞的转向执行区域、依靠制动避免碰撞的制动执行区域或者无法避免碰撞的碰撞区域。
11.可选地，所述基于所述安全沙箱根据所述当前驾驶环境对控制器输入量进行安全性仲裁，识别所述控制器输入量的当前所属区域，包括：
12.由所述安全沙箱的安全监视器和所述安全沙箱中的用户程序分别接收来自传感器接口和网络接口的当前驾驶环境的环境状态信息；
13.基于所述用户程序根据所述环境状态信息和当前驾驶任务计算所述控制器输入量；
14.识别所述控制器输入量的当前所属区域。
15.可选地，所述根据所述当前所属区域控制所述车辆响应所述当前所属区域对应的车辆保护动作，包括：
16.如果所述当前所属区域为所述转向执行区域或者所述制动执行区域，则基于所述安全监视器根据所述环境状态信息重新计算满足所述车辆安全条件的控制器输入量。
17.可选地，所述根据所述当前所属区域控制所述车辆响应所述当前所属区域对应的车辆保护动作，还包括：
18.如果所述当前所属区域为所述安全区域或者所述碰撞区域，则基于所述控制器输入量控制所述车辆行驶。
19.本技术第二方面实施例提供一种基于安全沙箱的智能汽车安全仲裁及控制装置，汽车上设置有用于计算能保障车辆安全的控制输入的安全沙箱，其中，装置包括：
20.获取模块，用于获取汽车的当前驾驶环境；
21.识别模块，用于基于所述安全沙箱根据所述当前驾驶环境对控制器输入量进行安全性仲裁，识别所述控制器输入量的当前所属区域；以及
22.控制模块，用于根据所述当前所属区域控制所述车辆响应所述当前所属区域对应的车辆保护动作。
23.可选地，所述当前所属区域为不会发生碰撞的安全区域、依靠转向而不制动避免碰撞的转向执行区域、依靠制动避免碰撞的制动执行区域或者无法避免碰撞的碰撞区域。
24.可选地，所述识别模块，具体用于：
25.由所述安全沙箱的安全监视器和所述安全沙箱中的用户程序分别接收来自传感器接口和网络接口的当前驾驶环境的环境状态信息；
26.基于所述用户程序根据所述环境状态信息和当前驾驶任务计算所述控制器输入量；
27.识别所述控制器输入量的当前所属区域。
28.可选地，所述控制模块，具体用于：
29.如果所述当前所属区域为所述转向执行区域或者所述制动执行区域，则基于所述安全监视器根据所述环境状态信息重新计算满足所述车辆安全条件的控制器输入量。
30.可选地，所述控制模块，还用于：
31.如果所述当前所属区域为所述安全区域或者所述碰撞区域，则基于所述控制器输入量控制所述车辆行驶。
32.本技术第三方面实施例提供一种车辆，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如上述实施例所述的基于安全沙箱的智能汽车安全仲裁及控制方法。
33.本技术第四方面实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现如上述实施例所述的基于安全沙箱的智能汽车安全仲裁及控制方法。
34.由此，可以获取汽车的当前驾驶环境，并基于安全沙箱根据当前驾驶环境对控制器输入量进行安全性仲裁，识别控制器输入量的当前所属区域，并根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作。由此，可以实时判断车辆的控制输入是否能保证车辆安全，并在不能保证车辆安全时实时规划新的控制输入，从而保证车辆的安全性。
35.本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。
附图说明
36.本技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
37.图1为根据本技术实施例提供的一种基于安全沙箱的智能汽车安全仲裁及控制方法的流程图；
38.图2为根据本技术一个实施例的基于安全沙箱的智能汽车安全保障技术架构的示意图；
39.图3为根据本技术一个实施例的基于安全沙箱的安全控制流程图；
40.图4为根据本技术一个实施例的车辆控制输入安全性仲裁示意图；
41.图5为根据本技术一个实施例的安全仲裁的实例示意图；
42.图6为根据本技术一个实施例的基于安全沙箱的智能汽车安全仲裁及控制装置的方框示意图；
43.图7为申请实施例提供的车辆的结构示意图。
具体实施方式
44.下面详细描述本技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本技术，而不能理解为对本技术的限制。
45.下面参考附图描述本技术实施例的基于安全沙箱的智能汽车安全仲裁及控制方法及装置。本技术提供了一种基于安全沙箱的智能汽车安全仲裁及控制方法，在该方法中，可以获取汽车的当前驾驶环境，并基于安全沙箱根据当前驾驶环境对控制器输入量进行安全性仲裁，识别控制器输入量的当前所属区域，并根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作。由此，可以实时判断车辆的控制输入是否能保证车辆安全，并在不能保证车辆安全时实时规划新的控制输入，从而保证车辆的安全性。
46.具体而言，图1为本技术实施例所提供的一种基于安全沙箱的智能汽车安全仲裁及控制方法的流程示意图。
47.该实施例中，汽车上设置有用于计算能保障车辆安全的控制输入的安全沙箱。其中，安全沙箱是计算机领域用于保障系统安全性的典型方法。安全沙箱提供了一种按照安全策略限制程序行为的执行环境，即一个虚拟系统程序，允许在沙盘环境中运行各种用户程序，运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。
48.具体地，如图2所示，本技术实施例的基于安全沙箱的智能汽车安全仲裁及控制方法涉及的基于安全沙箱的智能汽车安全保障技术架构由5部分组成：安全监视器、安全沙箱、传感器接口、网络信息接口、车辆控制接口。其中，传感器接口和网络接口负责将传感器采集到的信息和来自网络的信息传送给安全监视器和安全沙箱中的用户程序，用户程序包含存储与本地的程序和来自云端的控制程序，用户程序根据驾驶目的和传入的环境状态信息计算控制输入，并将此控制输入发送给安全监视器，安全监视器根据当前车辆及环境状态判断用户程序计算的控制输入是否能保障车辆安全，若能，则向安全沙箱发送赋能指令，
用户程序计算的结果则发送给车辆进行控制，若不能，则由安全监视器重新计算可以保证车辆安全的控制输入，并发送给车辆进行控制。将上述控制流程整理为流程图，如图3所示，包括以下步骤：
49.s1，安全监视器、安全沙箱中的用户程序分别接收来自传感器接口和网络接口的环境状态信息；
50.s2，用户程序根据环境状态信息和当前驾驶任务计算车辆控制输入；
51.s3，安全监视器判断用户程序计算的控制输入是否能够保证车辆的安全，若能，则进入s4，若不能，则进入s5；
52.s4，将当前车辆控制输入发送给车辆的执行机构，进行车辆运动控制；
53.s5，安全监视器根据环境状态重新计算可以保证车辆安全的控制输入，然后进入s4。
54.正是针对上述步骤s3中的安全判断机制，本技术提出一种基于安全沙箱的自动驾驶车辆安全仲裁及控制方法，如图1所示，包括以下步骤：
55.在步骤s101中，获取汽车的当前驾驶环境。
56.具体地，获取汽车的当前驾驶环境的方法可以与相关技术中的获取方法一致，例如通过车内传感器进行获取，为避免冗余，在此不做详细赘述。
57.在步骤s102中，基于安全沙箱根据当前驾驶环境对控制器输入量进行安全性仲裁，识别控制器输入量的当前所属区域。
58.可选地，在一些实施例中，基于安全沙箱根据当前驾驶环境对控制器输入量进行安全性仲裁，识别控制器输入量的当前所属区域，包括：由安全沙箱的安全监视器和安全沙箱中的用户程序分别接收来自传感器接口和网络接口的当前驾驶环境的环境状态信息；基于用户程序根据环境状态信息和当前驾驶任务计算控制器输入量；识别控制器输入量的当前所属区域。
59.其中，在一些实施例中，当前所属区域为不会发生碰撞的安全区域、依靠转向而不制动避免碰撞的转向执行区域、依靠制动避免碰撞的制动执行区域或者无法避免碰撞的碰撞区域。
60.应当理解的是，如图4所示，本技术实施例可以根据当前驾驶环境，对控制器输入量进行安全性仲裁，划分成不同危险等级，包括不会发生碰撞的安全区域、可以依靠转向而不制动避免碰撞的转向执行区域、必须依靠制动避免碰撞的制动执行区域、无法避免碰撞的碰撞区域。
61.在步骤s103中，根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作。
62.可选地，在一些实施例中，根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作，包括：如果当前所属区域为转向执行区域或者制动执行区域，则基于安全监视器根据环境状态信息重新计算满足车辆安全条件的控制器输入量。
63.可选地，在一些实施例中，根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作，还包括：如果当前所属区域为安全区域或者碰撞区域，则基于控制器输入量控制车辆行驶。
64.具体而言，本技术实施例可以通过判断用户程序计算的控制量输入位于哪个区
域，可以判断控制量的危险等级，并采取响应的行为，进而避免车辆碰撞。例如，当安全监视器判断当前控制输入位于转向或制动执行区域时，则对控制过程进行干预，修改由用户程序计算所得的控制输入，保证车辆安全，并尽可能小地对原始输入进行修改，以保留驾驶意图；当安全监视器判断当前控制输入位于安全区域时，则不作干涉，由用户程序计算所得的控制输入直接控制车辆。
65.需要说明的是，如果当前状态已经位于碰撞区域，则无论采取何种控制输入都无法避免碰撞，所以控制输入和状态处于转向和制动执行区域时安全监视器进行干预的目的，即是防止车辆状态进入碰撞区域。
66.为便于本领域技术人员进一步了解本技术实施例的基于安全沙箱的智能汽车安全仲裁及控制方法，下面结合具体实施例进行详细阐述。
67.举例而言，如图5所示，图5(a)和图5(b)分别展示了车速为1m/s和2m/s时的安全状态区域划分结果。
68.具体地，车辆按照某一速度向前方匀速行驶，图5的横纵坐标分别表示车辆前方的障碍物距离车辆的距离以及车辆-障碍物连线和车辆正前方的夹角，分别通过检查车辆继续向前行驶是否会和障碍物发生碰撞、车辆通过转向并保持匀速行驶是否会发生碰撞、车辆按照最大制动减速度减速是否会发生碰撞，即可得到当前车速下车辆的安全状态区域划分。
69.综上，本技术监控的是车辆的状态及安全边界，安全沙箱根据当前驾驶环境，对控制器输入量进行安全性仲裁，划分成不同危险等级，包括不会发生碰撞的安全区域、可以依靠转向而不制动避免碰撞的转向执行区域、必须依靠制动避免碰撞的制动执行区域、无法避免碰撞的碰撞区域，从而通过判断用户程序计算的控制量输入位于哪个区域，可以判断控制量的危险等级，并采取响应的行为，进而避免车辆碰撞。
70.根据本技术实施例提出的基于安全沙箱的智能汽车安全仲裁及控制方法，可以获取汽车的当前驾驶环境，并基于安全沙箱根据当前驾驶环境对控制器输入量进行安全性仲裁，识别控制器输入量的当前所属区域，并根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作。由此，可以实时判断车辆的控制输入是否能保证车辆安全，并在不能保证车辆安全时实时规划新的控制输入，从而保证车辆的安全性。
71.其次参照附图描述根据本技术实施例提出的基于安全沙箱的智能汽车安全仲裁及控制装置。
72.图6是本技术实施例的基于安全沙箱的智能汽车安全仲裁及控制装置的方框示意图。该实施例中，汽车上设置有用于计算能保障车辆安全的控制输入的安全沙箱。
73.如图6所示，该基于安全沙箱的智能汽车安全仲裁及控制装置10包括：获取模块100、识别模块200和控制模块300。
74.其中，获取模块100用于获取汽车的当前驾驶环境；
75.识别模块200用于基于安全沙箱根据当前驾驶环境对控制器输入量进行安全性仲裁，识别控制器输入量的当前所属区域；以及
76.控制模块300用于根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作。
77.可选地，当前所属区域为不会发生碰撞的安全区域、依靠转向而不制动避免碰撞
的转向执行区域、依靠制动避免碰撞的制动执行区域或者无法避免碰撞的碰撞区域。
78.可选地，识别模块200具体用于：
79.由安全沙箱的安全监视器和安全沙箱中的用户程序分别接收来自传感器接口和网络接口的当前驾驶环境的环境状态信息；
80.基于用户程序根据环境状态信息和当前驾驶任务计算控制器输入量；
81.识别控制器输入量的当前所属区域。
82.可选地，控制模块300具体用于：
83.如果当前所属区域为转向执行区域或者制动执行区域，则基于安全监视器根据环境状态信息重新计算满足车辆安全条件的控制器输入量。
84.可选地，控制模块300还用于：
85.如果当前所属区域为安全区域或者碰撞区域，则基于控制器输入量控制车辆行驶。
86.需要说明的是，前述对基于安全沙箱的智能汽车安全仲裁及控制方法实施例的解释说明也适用于该实施例的基于安全沙箱的智能汽车安全仲裁及控制装置，此处不再赘述。
87.根据本技术实施例提出的基于安全沙箱的智能汽车安全仲裁及控制装置，可以获取汽车的当前驾驶环境，并基于安全沙箱根据当前驾驶环境对控制器输入量进行安全性仲裁，识别控制器输入量的当前所属区域，并根据当前所属区域控制车辆响应当前所属区域对应的车辆保护动作。由此，可以实时判断车辆的控制输入是否能保证车辆安全，并在不能保证车辆安全时实时规划新的控制输入，从而保证车辆的安全性。
88.图7为本技术实施例提供的车辆的结构示意图。该车辆可以包括：
89.存储器701、处理器702及存储在存储器701上并可在处理器702上运行的计算机程序。
90.处理器702执行程序时实现上述实施例中提供的基于安全沙箱的智能汽车安全仲裁及控制方法。
91.进一步地，车辆还包括：
92.通信接口703，用于存储器701和处理器702之间的通信。
93.存储器701，用于存放可在处理器702上运行的计算机程序。
94.存储器701可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
95.如果存储器701、处理器702和通信接口703独立实现，则通信接口703、存储器701和处理器702可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(industry standard architecture，简称为isa)总线、外部设备互连(peripheral component，简称为pci)总线或扩展工业标准体系结构(extended industry standard architecture，简称为eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
96.可选的，在具体实现上，如果存储器701、处理器702及通信接口703，集成在一块芯片上实现，则存储器701、处理器702及通信接口703可以通过内部接口完成相互间的通信。
97.处理器702可能是一个中央处理器(central processing unit，简称为cpu)，或者
是特定集成电路(application specific integrated circuit，简称为asic)，或者是被配置成实施本技术实施例的一个或多个集成电路。
98.本实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上的基于安全沙箱的智能汽车安全仲裁及控制方法。
99.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或n个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
100.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本技术的描述中，“n个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
101.流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更n个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本技术的实施例所属技术领域的技术人员所理解。
102.应当理解，本技术的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，n个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
103.本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。