一種安全架構系統，在一方面，所述安全架構系統包括第一級，所述第一級包括：主單元，所述主單元生成用于執行正常系統功能的主要數據；次單元，所述次單元生成用于執行替代系統功能的次要數據；主安全門，所述主安全門耦接到所述主單元，響應于確定所述主要數據的有效性，所述主安全門提供所述主要數據作為主要輸出；以及次安全門，所述次安全門耦接到所述次單元，響應于確定所述次要數據的有效性，所述次安全門提供所述次要數據作為次要輸出。所述系統還包括輸出選擇器，所述輸出選擇器耦接到所述第一級的主安全門和次安全門，響應于確定所述主要數據和次要數據的有效性，所述輸出選擇器提供系統輸出。

相關申請的交叉引用

本申請要求2016年1月5日提交的美國臨時專利申請No.62/387,804的優先權，該臨時專利申請的全部內容通過引用并入本申請。

關于聯邦科研或開發贊助的聲明

本發明是在美國陸軍許可No.W900KK-11-C-0025的政府支持下做出的。美國政府對本申請具有某些權利。

技術領域

本申請總體涉及自動駕駛技術，更具體地，涉及用于自動駕駛的安全架構系統和技術。

背景技術

無人駕駛車輛軟件的復雜程度超越了現今可用的軟件安全工程技術。軟件安全標準定義了在創建和驗證軟件時要采用的程序。雖然是必要的，但根據當前標準制定的程序可能不足以確保自動駕駛車輛內的自動化軟件的安全。在一些情況下，用于高級自動化的方法(例如機器學習)不能簡單地使用傳統軟件測試的方法來驗證。因此，獨立的運行時不變的監控器(runtime invariant monitors)已經被用于防火墻安全關鍵性(firewallsafety criticality)，進入架構的小子集，從而將資源密集的軟件-安全工程技術由復雜自動化軟件轉而集中到更簡單的監視組件上。但迄今為止，這種技術大多被成功用于遠程控制或遙控的無人駕駛車輛中。目前尚不清楚如何能最有效地將運行時不變的監控器用于減小由自動化功能(例如規劃和控制)造成的安全風險。

發明內容

本申請描述了一種用于自動化車輛的架構，其將任意的自動化算法合并到保持嚴格安全要求的系統中。在該架構中，自動化組件被允許任意地、甚至惡意地失效，同時更高完整性(例如，更高的安全完整性等級)的“安全門”組件支撐安全要求，其中安全門組件可以在不需要自動化技術的情況下被構建。一組架構級(stage)基于可重復使用的架構模式被創建，用于制圖、規劃和執行安全軌跡。每個級都包括主“執行器/檢查器”對，并包括可選的次“執行器/檢查器”對以在主執行器/檢查器對失效的情況下提供降級模式運行。在本申請中，“執行”表示執行自動化控制，而“檢查”表示確認控制信號是可以安全執行的。如果成功應用，則該執行器/檢查器原則可以作為合適的選項被安全標準采用，用于構建可靠的系統。在使用執行器/檢查器架構模式的已知架構中，如果執行器運行錯誤，則檢查器關閉整個功能(兩個模塊)，這樣的結果是失效-無反應(fail-silent)系統(即，任何失效都導致組件無反應，有時也稱為失效-停止(fail-stop)，或在適當情況下稱為失效-安全(fail-safe))。這可能會對自控系統提出挑戰，因為自控系統通常要求失效后可運行(failoperational)的系統行為(例如，即使存在自動化失效，飛行器也必須保持飛行)。本發明中描述的架構通過使用多通道方案來解決此問題，以確保在一個或潛在的多個組件失效時可以繼續運行。