自动驾驶人机交互 [六]：最小风险策略MRM

作者 | HYZY

来源 | 焉知

知圈 | 进“HMI社群”请加微信15221054164，备注HMI

一、 MRM的定义

自动驾驶人机交互有一项基本要求为：当用户无法及时响应自动驾驶系统发出的接管请求时，自动驾驶系统应执行最小风险策略MRM，以保证车辆运行安全（参见自动驾驶人机交互[四]：用户接管和主动干预）。

这里最小风险策略MRM（Minimal risk maneuver）的概念源于功能安全标准ISO 26262，其准确定义为：在驾驶自动化系统或用户无法执行动态驾驶任务或动态驾驶任务接管时，驾驶自动化系统所采取的降低风险的措施。

在自动驾驶系统功能设计中，为适应不同的需求，通常可以定义多种不同的最小风险策略MRM，常见的MRM见下表1。

二、 MRM的目标

根据最小风险策略MRM的定义，MRM运行的目标是保证车辆运行安全，而在自动驾驶系统设计中，“保证车辆运行安全”指的就是车辆进入了最小风险状态MRC。也就是说，在自动驾驶人机交互中，当用户无法及时接管驾驶任务时，系统应可以自动执行最小风险策略MRM，使车辆进入最小风险状态MRC。

最小风险状态MRC（Minimal Risk Condition）的定义为：当车辆无法完成预定的行程时，由用户或驾驶自动化系统执行并最终使车辆事故风险达到可接受的状态。常见的几种最小风险状态MRC定义见下表2。

表 2  最小风险状态MRC

表2中的三种最小风险状态MRC可分为两类：一类是结束运行，代表车辆已经刹停，且自动驾驶系统退出，属于最终MRC；另一类是驾驶员接管和降级运行，此类MRC下，车辆仍保持运行，并未刹停，且可能进一步转换到结束运行状态（最终MRC）。

如下图1所示，MRM的目标是使车辆达到MRC，当车辆定义有多个MRC时，也需要定义相应的不同MRM，以实现车辆从标称运行状态向不同MRC或不同MRC之间的状态转换。

 图 1  最小风险策略MRM和最小风险状态

三、 MRM的能力与策略

最小风险策略MRM是提高自动驾驶系统安全性的重要措施，能否自动执行MRM及MRM的能力本身都是驾驶自动等级的重要参考原则。

1、MRM的能力

最小风险策略MRM需要对风险缓解进行有效识别和判断，再结合驾驶员对车辆的控制状态，采取必要的控制措施。MRM需要的感知、决策和执行能力，包括但不限于：

• 车辆横向运动控制；

• 车辆纵向运动控制；

• 目标与实践探测；

• 控制决策；

• 车辆照明及信号装置控制；

• 远程信息交互。

自动驾驶系统对最小风险策略MRM的能力要求随着系统的驾驶自动化等级目标、设计运行区域ODD、系统架构方案等的不同而有所差异。

例如极星polestar2，其环境感知传感器架构为3R1V（1前向摄像头+1前向毫米波雷达+2后角毫米波雷达），未配备足够的侧向环境感知传感器，因此在自动驾驶系统出现异常且驾驶员未能有效介入动态驾驶任务时，polestar2只能实现单车道内的减速或停车可控制，无法实现跨越车道级的靠路边停车或紧急车道停车。

 

图 2  极星polestar2

2、MRM的策略

最小风险策略MRM的合理性，极大地影响着自动驾驶系统用户和外部交通参与者的安全性。因此在自动驾驶系统设计过程中，需针对不同的失效场景、结合自动驾驶系统设计方案，“量身定制”最小风险策略的具体内容，过激的策略和过于保守的策略，都将对自动驾驶系统的运行安全造成较大影响。

危害场景

自动驾驶系统可能触发最小风险策略MRM的危害场景有：

‒ 自动驾驶系统环境感知功能失效或能力受限；

‒ 车辆超出自动驾驶系统设计运行区域ODD的定义范围；

‒ 驾驶员监控系统DMS确认驾驶员当前状态异常，无法正常承担驾驶任务；

‒ 自动驾驶系统规划控制单元或执行器发生失效。

执行策略

如下图3所示，在自动驾驶系统功能设计中，可定义多个最小风险策略MRM和最小风险状态MRC。当车辆出现在上述危害场景时，系统可根据不同场景的危害程度，确定需要执行的MRM及所映射的MRC。

图 3  MRM的执行策略