本文梳理当前自动驾驶领域主流的两种冗余架构(对称式、非对称式),均严格遵循ISO 26262功能安全标准,具备独立仲裁模块,完整覆盖感知、定位、规划、决策、控制、诊断、仲裁七大核心功能,可适配L2+至L4级自动驾驶场景,兼顾可靠性、安全性与工程可实现性。
一、架构核心通用要求
无论对称式还是非对称式冗余架构,均需满足以下基础要求,确保功能安全与冗余有效性:
•功能安全合规:核心安全模块(仲裁、诊断、从系统/冗余通道)需满足ISO 26262 ASIL-D最高安全等级,主系统/主通道满足ASIL-B及以上等级,故障检测覆盖率≥99%,单点故障度量SPFM≥99%;
•独立仲裁模块:采用高安全等级车规MCU独立实现,与主从系统/冗余通道完全物理隔离,作为唯一控制指令出口,杜绝故障传染;
•全模块覆盖:完整集成感知、定位、规划、决策、控制、诊断、仲裁七大模块,各模块具备冗余备份或故障兜底能力;
•故障闭环管控:具备完善的故障诊断、隔离、降级机制,任何单点故障或多点点故障下,均可触发最小风险策略(MRC),确保车辆安全;
•实时性保障:仲裁模块状态监测周期≤1ms,系统指令切换延迟<10ms,满足车辆控制实时性要求,避免因延迟引发安全风险。
二、主流冗余架构详细设计
(一)对称式冗余架构
对称式冗余架构核心是「多通道同构并行」,即设置2-3个功能完全一致、硬件配置相同的冗余通道(主通道+1-2个备份通道),各通道独立运行全功能自动驾驶逻辑,通过独立仲裁模块的投票机制输出最终控制指令,适用于对可靠性要求高、算力冗余充足的场景,核心优势是切换简单、故障容错性强,劣势是硬件成本高、算力冗余浪费。
1. 顶层架构设计
采用「N通道同构+独立仲裁」架构(主流为双通道热备、三通道TMR三重模块冗余),各通道硬件(传感器、域控制器、执行器接口)完全一致,软件算法同步更新,电源、通信、硬件全物理隔离,避免共模故障;独立仲裁模块(ASIL-D MCU)实时采集各通道状态,通过投票机制确定有效控制指令,输出至线控底盘。
2. 七大核心模块实现
(1)感知冗余模块
各冗余通道配备完全相同的传感器套装(激光雷达+前视摄像头+毫米波雷达+超声波雷达),各通道独立完成多传感器融合,实现障碍物检测、车道线识别、交通标识识别等全功能感知;诊断模块实时校验各通道感知数据一致性,若差异超过阈值,标记异常通道,仲裁模块投票时剔除异常数据。
(2)定位冗余模块
各通道采用相同的定位方案(双天线高精度GNSS+车规级IMU+轮速计+高精地图+视觉SLAM),独立完成厘米级定位与姿态估计,覆盖全场景定位需求;诊断模块实时监测各通道定位置信度、卫星数、IMU健康状态,定位误差超阈值时触发故障标志,仲裁模块结合多通道定位结果,选择置信度最高的定位数据作为输出依据。
(3)规划冗余模块
各通道独立运行全功能规划算法,基于自身感知、定位数据,完成全局路径规划与局部轨迹规划,生成满足车辆动力学约束、平顺性与安全性的轨迹;诊断模块校验各通道轨迹有效性(如是否偏离车道、是否存在碰撞风险),仲裁模块通过投票选择最优轨迹,确保规划逻辑一致性。
(4)决策冗余模块
各通道采用相同的决策算法(深度学习+规则融合有限状态机),独立完成跟车、变道、超车、路口通行等全场景行为决策;诊断模块监测各通道决策逻辑状态,若出现决策冲突(如同一场景下不同通道输出不同决策),仲裁模块结合环境感知数据,判定最优决策并输出,避免决策混乱。
(5)控制冗余模块
各通道配备相同的控制单元(ASIL-B等级),独立完成纵向(油门、制动)与横向(转向)闭环控制,控制频率≥100Hz;诊断模块实时监测控制指令合规性、执行器反馈状态,仲裁模块通过投票选择有效控制指令,下发至双冗余线控底盘,确保控制指令的可靠性。
(6)诊断冗余模块
采用分布式诊断架构,各通道内置本地诊断单元,同时仲裁模块集成全局诊断单元;本地诊断单元实时自检本通道各模块(感知、定位、规划等),生成故障码与健康状态;全局诊断单元汇总各通道诊断信息,完成故障分级(轻微、中度、严重、致命),向仲裁模块上报故障状态,为仲裁决策提供依据,故障检测覆盖率≥99.5%。
(7)仲裁模块(核心独立单元)
采用ISO 26262 ASIL-D等级车规MCU(推荐英飞凌AURIX TC397、瑞萨RH850),独立电源供电,与各冗余通道采用独立CAN FD通信,关键信号硬线直连;核心功能包括:① 1ms周期监测各通道心跳信号、健康状态与指令有效性;② 采用多数投票机制(三通道取2票一致,双通道取一致),剔除异常通道指令;③ 校验控制指令合规性,确保符合车辆动力学约束;④ 故障时触发降级策略,若所有通道均故障,独立输出紧急制动指令;⑤ 记录故障事件与仲裁过程,支持故障追溯。
3. 功能安全保障与典型场景
通过多通道同构冗余,有效抵御随机硬件故障(如传感器失效、域控制器故障),但对共因故障(如软件漏洞、传感器数据同步错误)敏感,需配合异构算法优化;典型应用场景为L2+级高速领航、城市道路辅助驾驶,故障时可无缝切换至备份通道,维持全功能自动驾驶,严重故障时触发靠边停车。
4. 落地案例(对称式冗余)
案例1:特斯拉Model S/X 2020款(FSD早期版本)
采用双通道对称热备冗余架构,核心贴合对称式“同构并行+投票仲裁”设计,满足ISO 26262 ASIL-D功能安全等级。硬件上配备两套完全一致的感知定位套装(8颗环视摄像头+1颗前视摄像头+12颗超声波雷达+1颗前向毫米波雷达),两套独立的FSD SoC芯片(每颗集成2个独立神经网络加速器,双核合计72 TOPS算力),实现双通道全功能并行运行。仲裁模块集成于FSD Computer中,采用英飞凌AURIX TC397 MCU,通过“主备校验”模式实时比对双通道指令,若差异超阈值则立即切换至备份通道,同时触发故障告警;诊断模块实时自检双通道传感器、芯片运行状态,故障检测覆盖率达99.2%,轻微故障维持全功能运行,严重故障触发靠边停车。该架构核心优势是切换延迟<8ms,确保高速领航、城市辅助驾驶场景下的可靠性,是早期对称式冗余在量产车型中的典型应用。
案例2:奥迪A8(zFAS系统升级版本)
采用三通道同构冗余架构,是早期对称式冗余的代表性落地案例,核心覆盖七大模块,满足ASIL-B及以上功能安全等级。感知冗余上,三通道均配备相同的传感器套装(1颗激光雷达+4颗环视摄像头+1颗前视摄像头+5颗毫米波雷达),分别由Mobileye EyeQ3、英伟达Tegra K1、Altera Cyclone V三颗SoC独立处理感知数据,实现多通道交叉校验。定位冗余采用双天线高精度GNSS+战术级IMU+高精地图,三通道独立完成定位计算,仲裁模块通过投票选择最优定位结果。仲裁模块采用英飞凌AURIX TC297T MCU(锁步核设计,支持3颗TriCore内核同步运行),实时监测三通道健康状态,采用“2票一致”投票机制输出控制指令,若单通道故障,剩余两通道继续维持全功能自动驾驶,若两通道故障,触发紧急停车策略,完美契合对称式冗余“故障容错性强”的核心特点。
案例3:大众ID.AURA T6(CEA架构)
采用双通道对称冗余架构,适配L2+级高速领航与城市辅助驾驶,核心聚焦可靠性与工程落地性。硬件上配备两套完全一致的智驾域控制器(基于地平线征程6P芯片),两套相同的感知套装(11颗高清摄像头+7颗毫米波雷达+12颗超声波雷达),实现双ECU并行工作、实时交叉校验。定位冗余采用双天线GNSS+IMU+轮速计,双通道独立完成定位,诊断模块实时校验定位置信度,避免共模故障。仲裁模块集成于中央计算单元,采用ASIL-D等级MCU,通过投票机制选择有效控制指令,切换延迟<10ms,系统宕机概率降低至每10亿小时仅1次,同时具备完善的故障诊断与追溯功能,是合资品牌对称式冗余量产落地的典型代表。
(二)非对称式冗余架构
非对称式冗余架构核心是「主系统全功能+从系统安全兜底」,主系统聚焦全场景、高性能自动驾驶,从系统采用极简确定性设计,仅保留安全兜底必需功能,独立仲裁模块实时判定主从系统状态,实现故障时无缝切换,核心优势是成本可控、算力利用率高,能有效降低共因故障风险,是当前L3及以上级别自动驾驶的主流架构选型。
1. 顶层架构设计
采用「一主一从+独立仲裁」三层物理隔离架构,主系统、从系统、仲裁模块实现电源、硬件、通信全链路隔离;主系统部署于高性能SoC,实现全功能自动驾驶;从系统部署于高安全MCU,实现安全兜底功能;独立仲裁模块(ASIL-D MCU)作为唯一控制指令出口,实时监测主从系统状态,决定指令放行或切换,符合ISO 26262功能安全与ISO 21448预期功能安全要求。
2. 七大核心模块实现
(1)感知冗余模块(主从非对称设计)
•主系统感知单元:配备全场景多传感器融合方案(激光雷达+前视摄像头+环视/侧视/后视摄像头+毫米波雷达+超声波雷达),实现全要素环境感知(障碍物分类、轨迹预测、盲区监测等),部署于主域控制器高性能SoC(如Orin、Thor),采用Transformer前融合算法,实时向仲裁模块上报健康状态与感知置信度;
•从系统感知单元:采用独立最小安全集硬件(前向77GHz毫米波雷达×1+2MP前视安全摄像头×1+超声波雷达×8+车身硬线IO信号),与主系统传感器完全隔离,独立备份电源供电;仅保留安全兜底必需感知功能(前方碰撞风险识别、车道边界检测、近距离障碍物检测),采用硬规则+传统机器视觉算法,无深度学习黑盒,100%行为可预测,独立向仲裁模块上报健康状态。
(2)定位冗余模块(主从非对称设计)
•主系统定位单元:双天线高精度GNSS(RTK)+车规级IMU+轮速计+高精地图+视觉SLAM+激光SLAM,实现厘米级全场景定位,输出全量定位信息(坐标、航向角、速度等),实时监测定位置信度,向仲裁模块上报健康状态;
•从系统定位单元:独立双天线北斗/GPS双模GNSS+车规级IMU+独立轮速计+前视安全摄像头,无高精地图依赖,实现米级可靠定位;GNSS失锁时可实现30s以上航位推算,完全满足靠边停车、紧急停车需求,独立向仲裁模块上报定位有效标志。
(3)规划冗余模块(主从非对称设计)
•主系统规划单元:部署于主域控制器SoC,实现全场景规划能力,包括全局路径规划(基于高精地图与导航目标)、局部轨迹规划(基于环境感知与行为决策),规划频率≥20Hz,满足全场景行驶需求;
•从系统规划单元:部署于ASIL-D等级MCU,采用极简确定性有限状态机设计,仅保留4种核心规划逻辑(正常跟车、减速预警、靠边停车、紧急停车),无复杂场景规划,仅生成满足最小风险策略的平滑轨迹,确保行为可预测。
(4)决策冗余模块(主从非对称设计)
•主系统决策单元:基于深度学习+规则融合的有限状态机,实现跟车、变道、超车、路口通行等全场景行为决策,支持复杂交通参与者交互,实时向仲裁模块上报决策指令与置信度;
•从系统决策单元:极简安全决策逻辑,仅响应故障场景与碰撞风险,无复杂场景决策能力,核心触发靠边停车、紧急制动等最小风险策略,独立向仲裁模块上报决策状态。
(5)控制冗余模块(主从非对称设计)
•主系统控制单元:ASIL-B等级控制核,实现全工况精细化控制(纵向全速域油门/制动调节、横向精准转向跟踪),控制频率≥100Hz,兼顾平顺性与响应速度,实时向仲裁模块上报控制指令与执行反馈;
•从系统控制单元:ASIL-D等级MCU,独立于主系统,仅支持0-60km/h车速范围的安全控制,仅实现减速、制动、靠边停车轨迹跟踪,采用双闭环PID控制,确保控制指令绝对安全。
(6)诊断冗余模块(主从独立+全局汇总)
主系统、从系统分别内置本地诊断单元,仲裁模块集成全局诊断单元,实现全链路故障监测:① 主系统诊断单元:自检感知、定位、规划等模块,生成故障码与健康状态,重点监测核心功能有效性;② 从系统诊断单元:自检自身各模块,实时监测传感器、控制指令合规性,故障检测覆盖率100%;③ 全局诊断单元:汇总主从系统诊断信息,完成故障分级,向仲裁模块上报,触发对应降级策略,同时记录故障日志,支持故障追溯,符合ISO 26262诊断要求。
(7)仲裁模块(核心独立单元,与对称式同源但逻辑优化)
采用ISO 26262 ASIL-D等级车规MCU(推荐英飞凌AURIX TC397、恩智浦S32Z),独立12V备份电源供电,支持主电源掉电后30min以上正常工作;与主从系统采用独立CAN FD/CAN XL通信,关键心跳、故障信号硬线直连,避免总线故障;核心功能优化如下:
•状态监测:1ms周期采集主从系统全模块健康状态、指令有效性、数据置信度,无死角覆盖全链路;
•仲裁决策:采用「主系统优先+从系统兜底」逻辑,而非投票机制,正常工况下放行主系统指令,从系统热备;主系统出现核心故障时,无缝切换至从系统,触发最小风险策略;主从双失效时,仲裁模块独立输出紧急制动指令;
•防误切与切换平滑:主系统连续3个周期出现故障且从系统正常时,才触发切换,切换延迟<10ms,采用「先合后断」策略,避免车辆冲击;一旦切换至从系统,需车辆静止、人工复位后,方可切回主系统;
•指令校验:对主从系统输出的控制指令进行硬规则校验,确保符合车辆动力学约束,杜绝非预期行为,同时向整车VCU、仪表上报系统状态与故障信息。
3. 功能安全保障与典型场景
通过主从非对称设计,实现功能与安全的分层冗余,主系统聚焦性能,从系统聚焦安全,有效降低共因故障风险(主从系统硬件、算法、数据源完全隔离);典型应用场景为L3级有条件自动驾驶、L4级高速领航(HWP)、封闭园区无人车,故障时可实现无缝兜底,确保车辆安全,同时兼顾成本与算力效率,是未来自动驾驶冗余架构的主流发展方向。
4. 落地案例(非对称式冗余)
案例1:小鹏GX(XNGP 5.0系统)
采用非对称“主系统全功能+从系统安全兜底”架构,适配L3级有条件自动驾驶,严格遵循ISO 26262 ASIL-D功能安全标准。主系统部署4颗自研图灵AI芯片(总算力3000TOPS),感知单元配备4颗896线双光路激光雷达+5颗4D毫米波雷达+12颗高清摄像头,实现720°全场景感知,可完成无图NOA、复杂路口通行、代客泊车等全功能自动驾驶;从系统采用英飞凌AURIX TC397 MCU,感知单元仅保留前向77GHz毫米波雷达+2颗前视安全摄像头,仅实现碰撞风险识别、车道边界检测等兜底功能,无复杂算法。仲裁模块采用独立ASIL-D MCU,实时监测主从系统状态,正常工况下放行主系统指令,主系统核心故障(如激光雷达失效)时,10ms内切换至从系统,触发靠边停车;诊断模块实现全链路故障监测,故障检测覆盖率100%,同时具备六重全域冗余(转向/制动/驱动/通信/电源/解锁),是国内非对称冗余量产的标杆车型。
案例2:Waymo One(L4级自动驾驶出租车)
采用非对称DCF(Doer/Checker/Fallback)架构,是L4级场景非对称冗余的典型落地案例,核心聚焦极致安全与全场景适配。主系统部署高性能异构SoC,感知单元采用多模态冗余方案(激光雷达+毫米波雷达+高清摄像头),基于“系统1(即时感知)+系统2(语义推理)”协作架构,实现全场景感知、规划、决策,适配城市道路、高速等复杂场景,支持完全无人化驾驶;从系统采用极简设计,部署于ASIL-D等级MCU,感知单元仅保留核心安全传感器,决策规划仅支持靠边停车、紧急制动等最小风险策略,无复杂场景处理能力。仲裁模块采用独立高安全MCU,实时校验主系统指令有效性,主系统出现任何核心故障(如定位失锁、决策异常),立即切换至从系统,确保车辆安全;同时具备独立紧急制动逻辑,即使主从系统双失效,也可独立输出制动指令,完全符合L4级无人化驾驶的功能安全要求。
案例3:理想L6(AD Max版本)
采用非对称冗余架构,适配L2+级高速领航与城市辅助驾驶,兼顾性能与安全兜底。主系统搭载英伟达Orin-X芯片(算力508TOPS),感知单元配备视觉+激光雷达双重冗余(11颗高清摄像头+1颗激光雷达+5颗毫米波雷达),实现全场景感知与规划,支持高速领航、城市NOA等功能;从系统采用ASIL-D等级MCU,感知单元仅保留前向毫米波雷达+前视安全摄像头,定位采用独立GNSS+IMU+轮速计,仅实现车道保持、靠边停车、紧急制动等兜底功能,无加速控制。仲裁模块采用英飞凌AURIX TC397 MCU,独立电源供电,实时监测主从系统健康状态,主系统故障时无缝切换至从系统,切换延迟<10ms,同时具备完善的故障诊断与日志记录功能,是家用车型非对称冗余落地的典型代表。
三、两种架构对比与选型建议
对比维度 | 对称式冗余架构 | 非对称式冗余架构 |
核心设计 | 多通道同构,功能完全一致,投票仲裁 | 主系统全功能,从系统安全兜底,主从优先仲裁 |
硬件成本 | 高(多套同构硬件,算力冗余浪费) | 中(主系统高性能+从系统极简设计,成本可控) |
共因故障抵御能力 | 弱(同构硬件/算法,易出现一致性故障) | 强(主从硬件/算法/数据源隔离,降低共因风险) |
功能安全等级 | 满足ASIL-B~D(依赖通道数量) | 满足ASIL-D(从系统、仲裁模块均为ASIL-D) |
适用场景 | L2+级量产车型(高速/城市辅助驾驶) | L3-L4级自动驾驶(有条件自动驾驶、高速领航、无人场景) |
工程复杂度 | 低(切换逻辑简单,无需区分主从功能) | 中(需设计主从切换逻辑、兜底策略,验证难度高) |
选型建议:L2+级量产车型,优先选择对称式冗余架构(双通道热备),兼顾可靠性与工程落地性;L3及以上级别自动驾驶,优先选择非对称式冗余架构(DCF或层式DCF子类型),平衡安全、成本与算力效率,适配复杂场景需求。
(本文案例数据来自网络。)
10个月宝宝每天需要喝多少奶粉?
