發生故障時停止產生輸出。通常， 當主自動駕駛通道靜默發生故障 時，系統應退回到冗餘秘密頻道， 操縱汽車進入安全狀態。
接管機制的混合機制。例如，利用 監測DDS網路的活躍度，安全檢 查工具可以在節點靜默故障時靈 活地觸發故障切換機制，或者在 運作的節點未故障靜默並發佈錯 誤資料或錯過截止日期時啟動接 管機制。由於所有權強度QoS值不 同，系統在主通道和秘密頻道之間 無縫切換時，也可以輕鬆處理系統 中的過渡故障。
為了在真實環境中評估基 於DDS的S32G處理器安全機 制，恩智浦與RTI (Real-Time Innovations)的汽車工程專家團 隊合作。兩家公司將恩智浦安全 檢查工具整合到基於Auoware. Auto的自動代客停車(AVP)演示 中，Auoware.Auto是Autware基 金會的一個開放原始碼專案，該 演示展示了汽車如何自動駛入代 客停車場。Autoware.Auto是一 個基於ROS2的成熟的端到端自動 駕駛框架，它使用DDS作為底層中 介軟體。
•
該機制可以使用DDS活躍度 和所有權QoS策略來實現。如果 主通道中的汽車控制資料寫入器 發生靜默故障或失去與系統其餘 部分的通訊，那麼由所有權強度較 低的秘密頻道資料寫入器生成的 樣本將自動對汽車執行器可見，並 開始無縫控制車輛。同時，使用安 全檢查工具來監測由於資料寫入 器故障而導致的DDS網路活躍度 變化，系統可以根據此類診斷資訊 實施恢復機制，例如重啟。
安全機制評估
無縫接管
即使發生故障的自動駕駛元 件不是故障靜默，系統也可以實施 接管安全機制，在不影響系統可用 性的情況下主動否決故障或不可 靠的元件。可以使用DDS獨佔所 有權和所有權強度QoS策略來實 現接管，這些QoS策略控制允許 哪個資料寫入器向資料讀取器發 送資料。當安全檢查工具檢測到主 資料寫入器未正常運作(例如錯過 截止日期或發送越界資料)時，會 觸發所有權強度更高的健康資料 寫入器將資料發送到資料讀取器。
•
故障切換與接管相結合的混 合方法
• 大多數Autoware.Auto AD 堆疊(如定位、感知、預測、 路徑規劃)都執行在恩智浦 BlueBox汽車運算開發平台 處理器的ROS2/DDS上。本 例中的DDS中介軟體是RTI 的Connext Pro，透過RTI的
DDS截止日期、活躍度、獨佔 所有權和所有權強度可以結合在 一起，實現同時利用故障切換和
演示設置架構
結論
為了順應向軟體定義汽車轉 變的發展趨勢，汽車系統軟體需 要模組化、可靠和可擴展。正如 Autoware.Auto AVP實驗所示， 恩智浦處理器核心能夠在自動駕 駛系統中充當安全檢查工具。RTI Connext DDS中介軟體為整個汽 車系統的強大處理器和資源受限 的微控制器提供了一個通訊框架， 從而促進了這一進程。DDS憑藉其 豐富的服務品質策略，在軟體定義 汽車中實現了多種安全機制，其工 程工作量低、互通性強。
硬體在迴路評估演示設置的 架構如圖2所示:
SPOTLIGHT
rmw_connextdds RMW層 組件與ROS2整合。 恩智浦車聯網GoldBox中的 S32G在演示中充當網域控制 站，其中線控驅動軟體介面 在S32G Cortex-A53核心的 ROS2/DDS上運作。在真實 汽車中，該介面用於將乙太 網路資料封包中的車輛控制 命令轉換為執行器的CAN消 息。在類比環境中，使用它將 資料在Autoware.Auto和開 放原始碼LG SVL端到端模擬 平台使用的格式之間進行轉 換。安全檢查工具帶有安全接 管和故障切換機制，基於運作 在S32G Cortex-M7核心上的 RTI DDS Connext Micro。 外部模擬PC上運作的LG SVL 模擬器可模擬道路使用者、 自主車輛執行器和感測器的 資料。
15
2022年3月 | www.eettaiwan.com