L4级自动驾驶系统如何保证行车安全

作者 |  Aimme
出品 |  焉知

我们知道,L3的本质是“一种无法定义为安全的系统”。这里所说的“安全”,可能是在技术上无法实现,或者在现实行驶状态下无法判定是否“安全”。所以,L3级自动驾驶下,实际上驾驶员还是必须时刻保持警惕,随时取回车辆控制权的。比如,在驾驶过程中陷入困境,并且需要在高速公路上有相应的反馈和措施。在这种情况下,汽车需要明确判断保持什么样的状态才是安全的。是否立马停车就安全了呢?答案是“不一定”,在路边停车不一定安全。这也是目前很多主机厂(如奥迪)放弃实现L3级自动驾驶,转而去开发L4级自动驾驶的原因。那么问题来了,对于L4级来说又如何保证驾驶安全性呢?

L4的本质是需要在其设计运行环境ODD中明确定义出何种状态为安全状态,并且输出达到相应安全状态的措施;对于L4级自动驾驶来讲,最为重要的是实现ODD的准确定义,并能在所定义的ODD范围内实现有效的自动驾驶系统算法开发。从开发层面讲,确保L4级自动驾驶安全需考虑如下几点:

1)ODD定义是否考虑到了将L4系统不能处理的静态场景区分到ODD外,高精地图是否更新及时,以满足对动态目标在原ODD范围内对设计系统产生必要的影响进行及时处理?

2)开发算法是否覆盖了所有可能的用户使用场景UseCase?(包含正常标准使用工况和异常使用工况)

3)软硬件测试、系统功能测试是否覆盖了所有的测试案例?

L4自动驾驶安全保障——高精地图

量产自动驾驶在考虑用户对于其驾驶状态需求时,主要考虑如下三方面因素来设置必要的ODD:
① 该场景出现频次是否足够高;
② 在当前L4状态下处理该场景是否具有技术可行性;
③ 在处理各种场景时,技术上可行,但失效率是否满足要求;

基于此,L4级自动驾驶可以就主要的几种场景按照其实现难度分别进行ODD定义,并进行功能开发。如下表示了L4级自动驾驶关注的几类驾驶场景。

L4级自动驾驶系统如何保证行车安全的图1




由于前述分析可知,当前L4级在研状态下更加关注其技术可实现性及失效率,初级阶段的泊车类自动驾驶技术已经得到实测,而中级阶段针对高速路和快速路的自动驾驶则应该是当前在研的L4重点考虑的对象,且路侧端正在出台相应的策略支持车端自动驾驶。一般的,L4级自动驾驶需要区分的静态道路ODD信息及场景描述如下:


类型来源

场景描述

静态道路信息定义的ODD

车辆行驶在非指定区域,如重庆市内内行政区域,判定车辆电子围栏内时,其他行政区判定车辆电子围栏外;

车辆行驶在自动驾驶能力不能覆盖的道路时,如曲率、坡度过大时,判定车辆在电子围栏外;

车辆行驶在JCT道路上,从一条高速路进入另一条高速路,判定车辆处于电子围栏内

车辆行驶在IC道路上时,即将从高速路进入一般公路,判定车辆处于电子围栏外

车辆行驶在匝道、收费站、隧道或其他人工指定的L4级可能无法处理的驾驶区域时,判定车辆处于电子围栏外

车辆行驶在高速、城市快速路主路区域,判定车辆处于电子围栏内

 
L4级自动驾驶-环境安全

在很长一段时间,自动驾驶车辆都将和有人驾驶车辆同在路上行驶,所以就需要考虑如何让自动驾驶汽车融入到这种环境当中。一方面,自动驾驶汽车需要适应实际的环境;另一方面,人类驾驶员也要知道如何使用和操作自动驾驶车辆。为了达到上面的两个目标,L4级可以设计如下几大功能模块来保证:

① 自动驾驶车辆能够认知周边动静态环境;

这一过程的实现需要设计设计有效的环境建模系统来认真周边实时环境信息。

L4级自动驾驶系统如何保证行车安全的图2

② 自动驾驶车辆能够与环境进行双向交互;

从自动驾驶交互层面上讲,仅仅依靠人机交互HMI作为安全避险的手段是不够的,因为自动驾驶是处于实际驾驶环境中的,这里还需要真正的驾驶状态信息传递给环境,从而确保其他车辆也可以对其作出反应。

L4级自动驾驶系统如何保证行车安全的图3

③ 自动驾驶行为需要基于实时环境信息及全面的、可解释的驾驶规则进行

L4是一个驾驶行为规则的系统,即基于环境感知和环境交互,确保车辆在当前环境下采取正确安全的驾驶行为。当前通过机器学习,自动驾驶能掌握很多驾驶技能。但机器学习来的“良好”的驾驶行为在路上人机混驾的情况下无法确认其是不是真的靠谱,因此需要制定相应的驾驶策略规则保证某条驾驶策略的全面性和可解释性。

L4级自动驾驶系统如何保证行车安全的图4

④ 建立不同灵敏度的安全责任模型

“安全责任模型”是采用数学的方式来界定“安全状态”。在“安全状态”中,无论其他车辆做出任何反应,自动驾驶汽车都不会引发事故。当Tier1在利用传感器和高精地图进行场景定义时,需要进行如下定义:

a. 充分尊重中国独特的驾驶风格,定义各种驾驶场景公式;
b. 根据各场景公式输出的最优值,取得该驾驶场景下最安全模型状态,并控制车辆达到该状态;

L4级自动驾驶系统如何保证行车安全的图5

L4级自动驾驶-行为安全

自动驾驶中的行为安全通过场景化、融合化提升L4处理问题的“全面能力”,其中包含两层含义:
c. 自动驾驶汽车本身不会导致事故。
d. 自动驾驶汽车应该在其它车辆发生错误时做出正确反应:一是,要能识别“危险情况”;其次,要能“适当响应”。

L4级自动驾驶系统如何保证行车安全的图6

自动驾驶要从真正意义上的实现驾驶安全需要完成驾驶时间和里程的积累。包括通过各类在研及量产后路试车辆采集数据进行完备的海量数据收集和训练,以培养老司机的方式实现算法开发、验证、整改、优化。

L4级自动驾驶-功能安全

为了实现真正的L4级自动驾驶功能,需要基于功能安全进行失效避免分析。相应的过程是建立安全分析流程。使得每一个与安全相关的设计和需求,都会要求被严谨而全面的分析、设计、实现、验证。其次是进行安全功能设计:一是实时诊断监控系统,二是冗余设计。除此之外,进行必要的预期功能安全设计也显得尤为重要。即利用场景库证明某个自动驾驶功能/系统安全可靠,可以处理所有非预期的情况,就必须在各种可能的场景下去测试和验证这个功能,并找到该功能不完善的地方,然后加以改进。最终需要通过量化的数据(里程累积)来证明系统的安全性。

L4级自动驾驶系统如何保证行车安全的图7

L4级自动驾驶-运营/质量安全

高度自动驾驶功能从研发到最终交付给用户前,自动驾驶系统所有的模块和功能,都必须进行大量的测试,既包括在仿真系统上进行数百亿公里的测试,也包括在设计的自动驾驶场景下进行百万公里的真实路测。


整车

半开放/开放道路测试(覆盖全国每1公里高速/环路道路测试4次)

功能

高速/环路;

台架、封闭场地测试

自主泊车;

台架、封闭场地测试

城市拥堵;

台架、封闭场地测试

单件测试

模块

感知;

数据包测试、仿真测试

DPS;

仿真测试

XML;

台架测试

硬件;

台架测试

 
L4级自动驾驶-安全优化

未来自动驾驶功能需要不断应对变化的环境及驾驶员需求,这就意味着不可能在一次开发过程中满足其所有的性能要求,也可以说在一次开发过程后会有其他更多的刚性需求出现,这就使得对其进行有效的在线升级显得尤为必要了。

OTA升级涵盖两个方面:售前OTA和售后OTA。售前OTA是指在开发过程中阶段性的释放相关软件供实验单位进行道路实验,并就反馈问题进行算法优化,提升软件质量;

售后OTA是指在销售过程中,根据用户使用抱怨进行问题排查,分析问题原因,提出解决方案,根据解决方案优化算法后对每台在产和量产销售的车辆进行实时OTA升级后不断优化车辆功能。

软件系统OTA升级,以及数据的OTA升级是针对不同的升级内容,会有不同的更新频率,比如,涉及到驾驶安全相关的,可以做到“天”级更新。此外,OTA升级的方式可模仿手机推送功能由用户进行点选升级,也可由系统云端联网自动升级。


OTA升级项

推送速度

推送频次

驾驶安全、BUG、地图类更新

天级

随时

功能升级更新

季度

固定频次、每季度一次

新增功能更新

约半年到一年

按照版本计划设定时间

 
总结

L4级自动驾驶开发过程中,要求其具备高效且有保障的安全设计策略,才能保证最终的开发结果能够满足其安全行驶要求。归纳起来,其相应的实现方案包括如下一系列策略:

1) 通过利用各大L4级自动驾驶车辆进行大规模数据采集,以优化算法。其中,在L4级自动驾驶系统的数据采集过程中,主要依靠如下几种相关的方法策略进行采集。
a.利用高精度地图发送车辆定位及环境相关静态信息;
b.利用现有路侧网联设备发送路端信息,辅助车端信息探测;
c.利用车车网联技术,接收其他智能车辆相关信息;

2) 利用软开关设置注意事项,打开自动驾驶功能时,明确教育用户如何安全操作。
如果用户未认真读取,则通过Tips推送方式,用户从初期的保守驾驶逐渐过渡到信任后的成熟驾驶;

3) HMI交互设置更加明显易识别的方式。
与L3类似,L4级自动驾驶也需要限定特定状态下的ODD。其要求在限定ODD内时不报接管,当车辆判断即将驶出ODD时,可以预留更多的时间给驾驶员做接管控制。
HMI交互也仅仅显示当前环境下的自动驾驶状态,提示是让用户保持特殊状态下的警惕。这一过程要求的实现可以仪表为中心,实现中控共享全面屏及抬头显示方案,最大限度的保证视觉提示效果;也可以设置环境氛围灯提示用户;还可以通过不同程度的声音(包含语音)提示让用户听到必要的信息;甚至可以采用震动、触动方式进行必要提醒(智能方向盘、体感座椅)。

默认 最新
当前暂无评论,小编等你评论哦!
点赞 评论 收藏
关注