電子發燒友App
“安全第一”是自動駕駛的核心理念和價值觀。自動駕駛車輛的整體系統安全設計是一項復雜的系統工程, 涉及車載自動駕駛系統的核心算法策略設計、 硬件和軟件冗余安全設計、遠程云代駕技術、 全流程測試驗證技術等, 并遵循功能安全(ISO 26262) 和預期功能安全(ISO/PAS 21448) 的要求和設計思路。?下面梳理一下百度 L4 級自動駕駛的安全系統實踐, 分為主系統安全、 冗余安全系統、 遠程云代駕系統三層安全體系。
圖 1?百度 L4 整體系統安全設計思路
自動駕駛主系統安全
主系統安全體系即通過車載自動駕駛系統的核心算法層來保證駕駛策略和駕駛行為的安全性, 也可稱為“策略安全”。使用最先進可靠的感知與定位算法、 預測決策規劃與控制算法來應對道路行駛中的各種場景, 尤其是需要保證在遇到難度場景時也可以從駕駛策略和行為上確保安全。
自動駕駛主系統安全是軟硬件組合套件的安全設計。軟件算法是整個自動駕駛系統的核心, 典型的 L4 級自動駕駛算法系統架構主要包括車載操作系統、 環境感知、 高精地圖與定位、 預測決策與規劃、 控制與執行模塊等。
操作系統
基礎操作系統是運行在自動駕駛汽車上用于管理、 調度、 控制車載軟硬件資源的基礎軟件。其主要任務是為自動駕駛系統提供任務實時調度、 實時計算任務資源隔離、 實時消息通訊、 系統級訪問控制等能力, 有效管理系統資源, 提高系統資源使用率, 向無人車算法模塊屏蔽硬件軟件物理特性及操作細節, 承載運行感知、 定位、 規劃決策與控制等自動駕駛核心組件。操作系統具有高穩定、 實時性、 低時延(反應速度高于人類駕駛員 250ms) 等特點。
泛感知系統
環境感知是自動駕駛的前提條件。環境感知系統融合激光雷達、 毫米波雷達、 攝像頭等多傳感器的優勢, 實現車身周圍 360 度視距, 在復雜變化的交通環境中穩定檢測并跟蹤交通者的行為和速度朝向等信息, 為決策規劃模塊提供場景理解信息。
感知算法采用多傳感器融合的框架, 能夠提供最遠 280 米外的障礙物的檢測。基于深度神經網絡及海量的自動駕駛數據, 能夠準確的識別出障礙物類型、 并穩定跟蹤障礙物行為,為下游決策模塊提供穩定的感知能力。基于多傳感器融合方案的感知系統, 通過異源感知通路形成冗余, 為自動駕駛系統提供高容錯能力從而提升系統安全。
除此之外, 感知算法還通過水霧噪聲識別、 低矮障礙物檢測、 異形交通信號燈和標識的檢測等能力, 有效支持場景擴展。在紅綠燈識別上, 可將自車感知識別的紅綠燈燈色和倒計時與高精地圖提供的先驗信息進行交叉驗證, 同時提高臨時紅綠燈識別能力, 確保可靠性和安全性。
高精地圖與高精定位為自動駕駛車輛提供預先的道路信息、 精準的車輛位置信息和豐富的道路元素數據信息, 強調空間的三維模型以及精度, 非常精確的顯示路面上的每一個特征和狀況。高精地圖與定位采用激光雷達、 視覺、 RTK 與 IMU 多傳感器融合的方案, 通過多種傳感器融合使得定位精度可以達到 5-10 厘米, 滿足 L4 級自動駕駛需求。
預測決策與規劃控制
預測決策與規劃控制技術模塊相當于自動駕駛汽車的大腦。預測決策與規劃是軟件算法核心模塊, 直接影響車輛自動駕駛的能力和效果。該算法模塊基于交通安全規范與共識規則,為車輛規劃出安全、 高效、 舒適的行駛路徑和軌跡。為了更好提升算法的泛化能力, 應用數據挖掘和深度學習算法來實現智能規劃駕駛行為。
在給定車輛設定的出發地與目的地后, 系統生成最優的全局規劃路徑。車輛能夠實時接收感知模塊提供的環境和障礙物信息, 結合高精度地圖, 跟蹤并預測周邊車輛、 行人、 騎行者或其他障礙物的行為意圖和預測軌跡, 綜合考慮安全性、 舒適性和效率, 生成駕駛行為決策(跟車、 換道、 停車等) , 并按照交通規則和文明交通禮儀對車輛進行運行規劃(速度、軌跡等) , 最終輸出到控制模塊實現車輛加減速和轉向動作。車輛控制部分是最底下一層,直接與車輛底盤通信, 將車輛的目標位置和速度通過電信號傳給底盤來操作油門、 剎車和方向盤。
自動駕駛的目標是應對城市道路的復雜交通場景, 在任何道路交通狀況下都能保證自動駕駛車輛處于安全駕駛狀態。在軟件算法層, 有基于海量測試數據訓練的深度學習模型, 保證自動駕駛車輛在常規駕駛場景下安全高效平穩的通行;在安全算法層, 針對各種典型危險場景設計了一系列安全駕駛策略, 保證自動駕駛車輛在任何場景下都能做出安全的駕駛行為。如在惡劣天氣、 視野遮擋等極端場景下, 會觸發防御性駕駛策略, 通過多觀察減速駕駛降低安全風險等。
自動駕駛車輛更加遵守交通規則和道路優先通行權, 在道路交叉口與其他交通參與者交匯場景下, 在高路權情況下遇到搶行車輛, 也會以安全第一原則考慮減速讓行, 避免風險。在遇到“鬼探頭”等高危風險場景時, 也會堅持安全第一原則采取緊急制動策略盡可能避免傷害。隨著自動駕駛道路測試數據和大量的極端場景數據的積累, 自動駕駛核心算法通過數據驅動的深度學習算法模型, 得以持續不斷進化, 成為能夠提前預判、 安全謹慎駕駛的“老司機”。
車路協同
車路協同自動駕駛是在單車智能自動駕駛的基礎上, 通過車聯網將“人-車-路-云”交通參與要素有機地聯系在一起, 實現車與車、 車與路、 車與人之間動態實時信息交互共享, 保證交通安全。車路協同自動駕駛通過信息交互協同、 協同感知與協同決策控制, 可以極大地拓展單車的感知范圍、 提升感知的能力, 引入高維數據為代表的新的智能要素, 實現群體智能。可以幫助解決單車智能自動駕駛遇到的技術瓶頸, 提升自動駕駛能力, 從而保證自動駕駛安全, 擴展自動駕駛設計運行域(Operational Design Domain, ODD) 。
例如, 車路協同自動駕駛可以解決單車智能易受到遮擋、 惡劣天氣等環境條件影響, 在動靜態盲區/遮擋協同感知方面的問題。單車智能自動駕駛受限于傳感器感知角度限制, 在出現靜態障礙物或動態障礙物(如大型車輛) 遮擋時, AV 無法準確獲取盲區內的車輛或行人的運動情況。車路協同則通過路側多傳感器部署, 實現對多方位、 長距離連續檢測識別,并與 AV 感知進行融合, 實現自動駕駛車輛對盲區內車輛或行人的準確感知識別, 車輛可提前做出預判和決策控制, 進而降低事故風險。
圖 2?動靜態盲區非機動車/行人鬼探頭協同感知
圖 3 路口遮擋車路協同感知
自動駕駛安全冗余系統
根據《ISO 26262 道路車輛功能安全》, 系統功能安全必須考慮功能冗余的要求。按照功能安全的設計標準, 功能冗余從部件級、 系統級和整車級三個層面來完成。冗余的系統設計是保證自動駕駛安全可控的關鍵, 依托全線冗余設計可有效應對車輛控制系統、 硬件平臺、軟件平臺三個層次單點故障或功能失效, 為完全無人自動駕駛系統提供基礎支撐。
L4級自動駕駛系統在車載主計算單元和傳感系統之外又配置了安全冗余實現了軟件和硬件的異構冗余設計, 避免了各個系統的單點失效, 主計算系統和冗余安全系統分工不同且互為校驗, 整體上實現安全性和可靠性極大提升。冗余安全系統在功能和算法策略設計上,側重于對主計算系統軟硬件的實時監控, 并進行危害識別, 當檢測到主計算系統異常時將觸發 MRC 機制, 通過告警、 緩剎、 靠邊停車、 緊急制動等方法讓車輛進入最小風險狀(Minimal Risk Condition, MRC) 。
硬件和傳感器冗余
從傳感器、 計算單元到車輛控制系統, 都具備兩套互為獨立冗余的系統, 避免單點失效,提升系統整體可靠性和安全性。
計算單元冗余
安全系統通過配置一套 SafetyDCU 作為冗余計算單元, 實時運算并監控主系統工作狀態。當主計算單元故障時, 能夠支持冗余系統的算法運算繼續控制車輛, 做出風險最小回退的緩剎、 靠邊停車等動作。
傳感器冗余
安全系統通過冗余設計兩套獨立的自動駕駛傳感器系統, 采用激光雷達、 攝像頭、 定位設備等零部件冗余方案, 在任何單一零部件失效的情況下, 都能夠觸發冗余系統, 提供完善環境感知能力, 從而安全控制車輛, 保障系統的運行更加可靠。
車輛控制系統冗余
車輛底盤具備冗余能力, 包括轉向、 動力、 制動等關鍵部件, 能夠在單一系統故障失效時, 切換到備用系統控制車輛, 幫助安全停車, 防止車輛失控的發生。
故障監控系統與軟件冗余
故障監控系統為部署在主計算單元與安全計算單元之間的一套完整故障檢測系統, 能夠對系統運行中的所有軟硬件類失效、 故障、 超出 ODD 范圍、 系統算法缺陷等做到實時檢測監聽, 并且通過主系統和冗余系統進行交叉驗證, 互相校驗和監控, 確保故障沒有遺漏。同時進行風險預測, 對易發生問題的數據進行挖掘分析、 特征提取, 在車端進行實時安全風險計算。
軟件冗余系統是一套完整的輕量化的感知定位與決策控制的軟件。例如完善的定位系統冗余, 增加多重交叉驗證提升定位異常檢測和容錯的能力;感知 360 度環視檢測覆蓋, 對車身周圍和前向風險做到實時感知;當檢測到主系統故障或失效時, 備份系統代替其接管車輛的操控, 通過限速、 緩慢剎車、 靠邊停車、 剎停等進行功能降級或進入 MRC, 實現車輛的安全停車。
圖 4 故障監控系統與軟件冗余
遠程云代駕
遠程云代駕系統是在車輛遇困或極端場景下, 由遠程駕駛員接管車輛, 通過環繞屏展示環境建模型及主視覺、 俯視角, 為安全員提供身臨其境的平行駕駛感受。當遠程駕駛員將車輛開到安全地帶后再將控制權移交給車端, 整個過程端到端時延比人類司機的反應時間更短,且車端和遠程的控制權切換完全平滑無感。在遠程駕駛艙, 通過配置多屏監控, 以及通過風險預警和動態調度等功能, 可以實現車隊級實時監控。
遠程云代駕設有包含主動安全、 安全預警以及安全基礎功能在內的全面安全分層設計,可實時監測駕駛艙、 網絡、 無人駕駛車輛狀態, 并根據不同故障或風險等級做出安全處理,進一步為自動駕駛運營全面護航。當前自動駕駛技術在常規城市道路下主要由車端自動駕駛系統實現自主駕駛, 僅在極端場景下借助遠程云代駕, 因此可以實現遠程駕駛員一人控制多車的高效運營服務。
圖5 遠程云代駕產品設計
平行駕駛基于 5G 技術, 遠程控制中心的安全操作員能夠實時了解車輛所處環境與狀態,車云無縫對接, 在自動駕駛無法通過的場景下完成遠程協助, 結束后使車輛回到自動駕駛狀態, 實現極端場景下的車輛脫困和避險。
5G 云代駕是未來無人駕駛的重要配套設施, 基于 5G、 智慧交通、 V2X 等新基建設施,實現自動駕駛車輛車內、 車外視頻實時回傳監控, 可在車上無駕駛員的情況下為自動駕駛系統的能力缺口補位。
圖 6 遠程云代駕適用場景
自動駕駛汽車測試與驗證
自動駕駛系統從研發到應用, 需要進行充分的功能安全和性能安全測試驗證來證明其運行安全性, 以保障乘車用戶和其他交通參與者的人身安全。虛擬仿真需要進行數億至上百億公里的驗證測試, 真實道路測試需要百萬公里以上的測試積累。
測試流程體系
自動駕駛測試以場景化的測試方法, 驗證在每個場景下是否都具備安全駕駛能力。自動駕駛測試場景庫是測試體系的基礎, 驅動自動駕駛車輛測試各個環節。
測試場景庫包含典型的日常行駛場景、 高碰撞風險場景、 法律法規場景等, 同時也包含已經形成行業標準的場景,例如 AEB 功能的標準測試場景。具體分為不同自然條件(天氣、 光照) 、 不同道路類型(路面狀態、 車道線類型等) 、 不同交通參與者(車輛、 行人位置、 速度等) 、 不同環境類型(高速公路、 小區、 商場、 鄉村等) 的多類型虛擬仿真測試場景和真實交通環境的測試試驗場景。測試內容包括傳感器、 算法、 執行器、 人機界面以及整車等, 從應用功能、 性能、 穩定性和魯棒性、 功能安全、 預期功能安全、 型式認證等各個方面來驗證自動駕駛系統的合理性、 安全性和穩定性, 從而確保車輛能夠自主上路。
自動駕駛汽車的測試流程體系主要包括離線環境測試、 車輛在環測試(Vehicle in theLoop, VIL) 、 道路在環測試(Road in the Loop, RIL) 三個階段, 對軟件、 硬件、 車輛進行逐層環環相扣測試, 確保自動駕駛系統上路測試的安全性。在離線測試階段, 每一行代碼都能被充分及時的測試, 當軟件發生修改后, 系統會逐一自動觸發各個測試環節, 直至達到安全的上車測試標準方進入車輛在環測試階段及道路在環階段。道路在環測試階段發現問題會進行下一輪的代碼修改, 開始下一次的循環。經過一輪又一輪的閉環, 使得自動駕駛能力不斷提升。
離線測試
離線是指未包含車輛的測試, 大部分工作是在實驗室里完成的。這個階段包含了模型在環測試(Model in the Loop, MIL) 、 軟件在環測(Software in the Loop, SIL) 、 硬件在環測試(Hardware in the Loop, HIL) 。
模型在環測試利用大規模數據集對感知、 預測、 定位、 控制等核心算法模型進行精確的評估, 通過模型評估后的各項指標度量模型能力變化, 通過自動化挖掘在早期暴露算法問題和 BadCase, 避免遺留到后續測試過程。
軟件在環測試階段, 仿真測試是自動駕駛測試體系的關鍵環節, 通過將海量的道路測試數據灌入仿真系統, 反復回歸驗證新算法的效果。同時在仿真系統中構造大量的極端場景,并且通過參數擴展的方法將單一的場景自動化生產規模化的場景, 以提高測試的覆蓋度。此外, 仿真平臺還有一套精細的度量體系, 可以自動化地判斷仿真過程中發生的碰撞問題、 違反交規問題、 體感問題、 路線不合理問題。
硬件在環測試階段, 把軟件和硬件集成到一起, 以測試軟硬件系統的兼容性和可靠性。通常硬件的故障發生都有一定的概率, 帶有一定的偶然性, 在硬件在環測試階段基于真實和虛擬硬件結合方式進行成千上萬真實場景的還原測試, 并且 24 小時不間斷的對自動駕駛系統施加壓力, 以模擬系統在不同資源極限條件下(比如:GPU 資源不足, CPU 使用率過高)的性能和穩定性表現。同時在這個階段模擬了大量的硬件故障, 測試在硬件故障的情況下系統的反映, 如硬件失效、 斷電、 丟幀、 上下游接口異常等, 確保系統符合 ISO26262 功能安全要求。
車輛在環測試
車輛在環測試階段會先進行基于臺架的測試, 在臺架上完成各項車輛線控功能、 性能和穩定性測試, 以確保自動駕駛系統可以按照意圖控制車輛。完成對車輛線控的測試之后 VIL環節會進入封閉場地, 基于真實的道路構建虛實結合的場景測試自動駕駛系統在真實車輛上的表現。
道路在環測試
在離線測試和車輛在環測試階段通過后(每個環節都有嚴格的測試通過標準) , 接下來進入封閉場地內構建真實的場景來測試車輛的自動駕駛各項能力和安全性。封閉測試場涵蓋了常見的城市道路及高速道路, 包括直行道路、 彎道、 路口、 坡路、 隧道及停車場等。另外,通過假人、 假車等測試設備構造各種低頻場景。這類低頻場景在社會道路上存在, 但是出現的頻率較低, 在開放道路上不易得到充分驗證。例如逆行的自行車、 突然沖出的行人、 路段積水等場景。
開放道路測試是道路在環測試的最終環節, 也是自動駕駛車輛完成測試評估所必須經過的重要環節。開放道路測試是循序漸進開展的, 通常最新的系統部署在少量車上進行測試,確認安全后再部署到更大規模的車隊。通過部署規模化自動駕駛車輛不斷在實際道路上進行測試和驗證, 形成實際路上場景和自動駕駛能力不斷閉環, 使自動駕駛車輛在智能度、 安全性等方面持續提升, 從而逐漸接近具備自動駕駛車輛走進千家萬戶的能力。
“安全第一”是自動駕駛的核心理念和價值觀。自動駕駛車輛的整體系統安全設計是一項復雜的系統工程, 涉及車載自動駕駛系統的核心算法策略設計、 硬件和軟件冗余安全設計、遠程云代駕技術、 全流程測試驗證技術等, 并遵循功能安全(ISO 26262) 和預期功能安全(ISO/PAS 21448) 的要求和設計思路。?下面梳理一下百度 L4 級自動駕駛的安全系統實踐, 分為主系統安全、 冗余安全系統、 遠程云代駕系統三層安全體系。
圖 1?百度 L4 整體系統安全設計思路
自動駕駛主系統安全
主系統安全體系即通過車載自動駕駛系統的核心算法層來保證駕駛策略和駕駛行為的安全性, 也可稱為“策略安全”。使用最先進可靠的感知與定位算法、 預測決策規劃與控制算法來應對道路行駛中的各種場景, 尤其是需要保證在遇到難度場景時也可以從駕駛策略和行為上確保安全。
自動駕駛主系統安全是軟硬件組合套件的安全設計。軟件算法是整個自動駕駛系統的核心, 典型的 L4 級自動駕駛算法系統架構主要包括車載操作系統、 環境感知、 高精地圖與定位、 預測決策與規劃、 控制與執行模塊等。
操作系統
基礎操作系統是運行在自動駕駛汽車上用于管理、 調度、 控制車載軟硬件資源的基礎軟件。其主要任務是為自動駕駛系統提供任務實時調度、 實時計算任務資源隔離、 實時消息通訊、 系統級訪問控制等能力, 有效管理系統資源, 提高系統資源使用率, 向無人車算法模塊屏蔽硬件軟件物理特性及操作細節, 承載運行感知、 定位、 規劃決策與控制等自動駕駛核心組件。操作系統具有高穩定、 實時性、 低時延(反應速度高于人類駕駛員 250ms) 等特點。
泛感知系統
環境感知是自動駕駛的前提條件。環境感知系統融合激光雷達、 毫米波雷達、 攝像頭等多傳感器的優勢, 實現車身周圍 360 度視距, 在復雜變化的交通環境中穩定檢測并跟蹤交通者的行為和速度朝向等信息, 為決策規劃模塊提供場景理解信息。
感知算法采用多傳感器融合的框架, 能夠提供最遠 280 米外的障礙物的檢測。基于深度神經網絡及海量的自動駕駛數據, 能夠準確的識別出障礙物類型、 并穩定跟蹤障礙物行為,為下游決策模塊提供穩定的感知能力。基于多傳感器融合方案的感知系統, 通過異源感知通路形成冗余, 為自動駕駛系統提供高容錯能力從而提升系統安全。
除此之外, 感知算法還通過水霧噪聲識別、 低矮障礙物檢測、 異形交通信號燈和標識的檢測等能力, 有效支持場景擴展。在紅綠燈識別上, 可將自車感知識別的紅綠燈燈色和倒計時與高精地圖提供的先驗信息進行交叉驗證, 同時提高臨時紅綠燈識別能力, 確保可靠性和安全性。
高精地圖與高精定位為自動駕駛車輛提供預先的道路信息、 精準的車輛位置信息和豐富的道路元素數據信息, 強調空間的三維模型以及精度, 非常精確的顯示路面上的每一個特征和狀況。高精地圖與定位采用激光雷達、 視覺、 RTK 與 IMU 多傳感器融合的方案, 通過多種傳感器融合使得定位精度可以達到 5-10 厘米, 滿足 L4 級自動駕駛需求。
預測決策與規劃控制
預測決策與規劃控制技術模塊相當于自動駕駛汽車的大腦。預測決策與規劃是軟件算法核心模塊, 直接影響車輛自動駕駛的能力和效果。該算法模塊基于交通安全規范與共識規則,為車輛規劃出安全、 高效、 舒適的行駛路徑和軌跡。為了更好提升算法的泛化能力, 應用數據挖掘和深度學習算法來實現智能規劃駕駛行為。
在給定車輛設定的出發地與目的地后, 系統生成最優的全局規劃路徑。車輛能夠實時接收感知模塊提供的環境和障礙物信息, 結合高精度地圖, 跟蹤并預測周邊車輛、 行人、 騎行者或其他障礙物的行為意圖和預測軌跡, 綜合考慮安全性、 舒適性和效率, 生成駕駛行為決策(跟車、 換道、 停車等) , 并按照交通規則和文明交通禮儀對車輛進行運行規劃(速度、軌跡等) , 最終輸出到控制模塊實現車輛加減速和轉向動作。車輛控制部分是最底下一層,直接與車輛底盤通信, 將車輛的目標位置和速度通過電信號傳給底盤來操作油門、 剎車和方向盤。
自動駕駛的目標是應對城市道路的復雜交通場景, 在任何道路交通狀況下都能保證自動駕駛車輛處于安全駕駛狀態。在軟件算法層, 有基于海量測試數據訓練的深度學習模型, 保證自動駕駛車輛在常規駕駛場景下安全高效平穩的通行;在安全算法層, 針對各種典型危險場景設計了一系列安全駕駛策略, 保證自動駕駛車輛在任何場景下都能做出安全的駕駛行為。如在惡劣天氣、 視野遮擋等極端場景下, 會觸發防御性駕駛策略, 通過多觀察減速駕駛降低安全風險等。
自動駕駛車輛更加遵守交通規則和道路優先通行權, 在道路交叉口與其他交通參與者交匯場景下, 在高路權情況下遇到搶行車輛, 也會以安全第一原則考慮減速讓行, 避免風險。在遇到“鬼探頭”等高危風險場景時, 也會堅持安全第一原則采取緊急制動策略盡可能避免傷害。隨著自動駕駛道路測試數據和大量的極端場景數據的積累, 自動駕駛核心算法通過數據驅動的深度學習算法模型, 得以持續不斷進化, 成為能夠提前預判、 安全謹慎駕駛的“老司機”。
車路協同
車路協同自動駕駛是在單車智能自動駕駛的基礎上, 通過車聯網將“人-車-路-云”交通參與要素有機地聯系在一起, 實現車與車、 車與路、 車與人之間動態實時信息交互共享, 保證交通安全。車路協同自動駕駛通過信息交互協同、 協同感知與協同決策控制, 可以極大地拓展單車的感知范圍、 提升感知的能力, 引入高維數據為代表的新的智能要素, 實現群體智能。可以幫助解決單車智能自動駕駛遇到的技術瓶頸, 提升自動駕駛能力, 從而保證自動駕駛安全, 擴展自動駕駛設計運行域(Operational Design Domain, ODD) 。
例如, 車路協同自動駕駛可以解決單車智能易受到遮擋、 惡劣天氣等環境條件影響, 在動靜態盲區/遮擋協同感知方面的問題。單車智能自動駕駛受限于傳感器感知角度限制, 在出現靜態障礙物或動態障礙物(如大型車輛) 遮擋時, AV 無法準確獲取盲區內的車輛或行人的運動情況。車路協同則通過路側多傳感器部署, 實現對多方位、 長距離連續檢測識別,并與 AV 感知進行融合, 實現自動駕駛車輛對盲區內車輛或行人的準確感知識別, 車輛可提前做出預判和決策控制, 進而降低事故風險。
圖 2?動靜態盲區非機動車/行人鬼探頭協同感知
圖 3 路口遮擋車路協同感知
自動駕駛安全冗余系統
根據《ISO 26262 道路車輛功能安全》, 系統功能安全必須考慮功能冗余的要求。按照功能安全的設計標準, 功能冗余從部件級、 系統級和整車級三個層面來完成。冗余的系統設計是保證自動駕駛安全可控的關鍵, 依托全線冗余設計可有效應對車輛控制系統、 硬件平臺、軟件平臺三個層次單點故障或功能失效, 為完全無人自動駕駛系統提供基礎支撐。
L4級自動駕駛系統在車載主計算單元和傳感系統之外又配置了安全冗余實現了軟件和硬件的異構冗余設計, 避免了各個系統的單點失效, 主計算系統和冗余安全系統分工不同且互為校驗, 整體上實現安全性和可靠性極大提升。冗余安全系統在功能和算法策略設計上,側重于對主計算系統軟硬件的實時監控, 并進行危害識別, 當檢測到主計算系統異常時將觸發 MRC 機制, 通過告警、 緩剎、 靠邊停車、 緊急制動等方法讓車輛進入最小風險狀(Minimal Risk Condition, MRC) 。
硬件和傳感器冗余
從傳感器、 計算單元到車輛控制系統, 都具備兩套互為獨立冗余的系統, 避免單點失效,提升系統整體可靠性和安全性。
計算單元冗余
安全系統通過配置一套 SafetyDCU 作為冗余計算單元, 實時運算并監控主系統工作狀態。當主計算單元故障時, 能夠支持冗余系統的算法運算繼續控制車輛, 做出風險最小回退的緩剎、 靠邊停車等動作。
傳感器冗余
安全系統通過冗余設計兩套獨立的自動駕駛傳感器系統, 采用激光雷達、 攝像頭、 定位設備等零部件冗余方案, 在任何單一零部件失效的情況下, 都能夠觸發冗余系統, 提供完善環境感知能力, 從而安全控制車輛, 保障系統的運行更加可靠。
車輛控制系統冗余
車輛底盤具備冗余能力, 包括轉向、 動力、 制動等關鍵部件, 能夠在單一系統故障失效時, 切換到備用系統控制車輛, 幫助安全停車, 防止車輛失控的發生。
故障監控系統與軟件冗余
故障監控系統為部署在主計算單元與安全計算單元之間的一套完整故障檢測系統, 能夠對系統運行中的所有軟硬件類失效、 故障、 超出 ODD 范圍、 系統算法缺陷等做到實時檢測監聽, 并且通過主系統和冗余系統進行交叉驗證, 互相校驗和監控, 確保故障沒有遺漏。同時進行風險預測, 對易發生問題的數據進行挖掘分析、 特征提取, 在車端進行實時安全風險計算。
軟件冗余系統是一套完整的輕量化的感知定位與決策控制的軟件。例如完善的定位系統冗余, 增加多重交叉驗證提升定位異常檢測和容錯的能力;感知 360 度環視檢測覆蓋, 對車身周圍和前向風險做到實時感知;當檢測到主系統故障或失效時, 備份系統代替其接管車輛的操控, 通過限速、 緩慢剎車、 靠邊停車、 剎停等進行功能降級或進入 MRC, 實現車輛的安全停車。
圖 4 故障監控系統與軟件冗余
遠程云代駕
遠程云代駕系統是在車輛遇困或極端場景下, 由遠程駕駛員接管車輛, 通過環繞屏展示環境建模型及主視覺、 俯視角, 為安全員提供身臨其境的平行駕駛感受。當遠程駕駛員將車輛開到安全地帶后再將控制權移交給車端, 整個過程端到端時延比人類司機的反應時間更短,且車端和遠程的控制權切換完全平滑無感。在遠程駕駛艙, 通過配置多屏監控, 以及通過風險預警和動態調度等功能, 可以實現車隊級實時監控。
遠程云代駕設有包含主動安全、 安全預警以及安全基礎功能在內的全面安全分層設計,可實時監測駕駛艙、 網絡、 無人駕駛車輛狀態, 并根據不同故障或風險等級做出安全處理,進一步為自動駕駛運營全面護航。當前自動駕駛技術在常規城市道路下主要由車端自動駕駛系統實現自主駕駛, 僅在極端場景下借助遠程云代駕, 因此可以實現遠程駕駛員一人控制多車的高效運營服務。
圖5 遠程云代駕產品設計
平行駕駛基于 5G 技術, 遠程控制中心的安全操作員能夠實時了解車輛所處環境與狀態,車云無縫對接, 在自動駕駛無法通過的場景下完成遠程協助, 結束后使車輛回到自動駕駛狀態, 實現極端場景下的車輛脫困和避險。
5G 云代駕是未來無人駕駛的重要配套設施, 基于 5G、 智慧交通、 V2X 等新基建設施,實現自動駕駛車輛車內、 車外視頻實時回傳監控, 可在車上無駕駛員的情況下為自動駕駛系統的能力缺口補位。
圖 6 遠程云代駕適用場景
自動駕駛汽車測試與驗證
自動駕駛系統從研發到應用, 需要進行充分的功能安全和性能安全測試驗證來證明其運行安全性, 以保障乘車用戶和其他交通參與者的人身安全。虛擬仿真需要進行數億至上百億公里的驗證測試, 真實道路測試需要百萬公里以上的測試積累。
測試流程體系
自動駕駛測試以場景化的測試方法, 驗證在每個場景下是否都具備安全駕駛能力。自動駕駛測試場景庫是測試體系的基礎, 驅動自動駕駛車輛測試各個環節。
測試場景庫包含典型的日常行駛場景、 高碰撞風險場景、 法律法規場景等, 同時也包含已經形成行業標準的場景,例如 AEB 功能的標準測試場景。具體分為不同自然條件(天氣、 光照) 、 不同道路類型(路面狀態、 車道線類型等) 、 不同交通參與者(車輛、 行人位置、 速度等) 、 不同環境類型(高速公路、 小區、 商場、 鄉村等) 的多類型虛擬仿真測試場景和真實交通環境的測試試驗場景。測試內容包括傳感器、 算法、 執行器、 人機界面以及整車等, 從應用功能、 性能、 穩定性和魯棒性、 功能安全、 預期功能安全、 型式認證等各個方面來驗證自動駕駛系統的合理性、 安全性和穩定性, 從而確保車輛能夠自主上路。
自動駕駛汽車的測試流程體系主要包括離線環境測試、 車輛在環測試(Vehicle in theLoop, VIL) 、 道路在環測試(Road in the Loop, RIL) 三個階段, 對軟件、 硬件、 車輛進行逐層環環相扣測試, 確保自動駕駛系統上路測試的安全性。在離線測試階段, 每一行代碼都能被充分及時的測試, 當軟件發生修改后, 系統會逐一自動觸發各個測試環節, 直至達到安全的上車測試標準方進入車輛在環測試階段及道路在環階段。道路在環測試階段發現問題會進行下一輪的代碼修改, 開始下一次的循環。經過一輪又一輪的閉環, 使得自動駕駛能力不斷提升。
離線測試
離線是指未包含車輛的測試, 大部分工作是在實驗室里完成的。這個階段包含了模型在環測試(Model in the Loop, MIL) 、 軟件在環測(Software in the Loop, SIL) 、 硬件在環測試(Hardware in the Loop, HIL) 。
模型在環測試利用大規模數據集對感知、 預測、 定位、 控制等核心算法模型進行精確的評估, 通過模型評估后的各項指標度量模型能力變化, 通過自動化挖掘在早期暴露算法問題和 BadCase, 避免遺留到后續測試過程。
軟件在環測試階段, 仿真測試是自動駕駛測試體系的關鍵環節, 通過將海量的道路測試數據灌入仿真系統, 反復回歸驗證新算法的效果。同時在仿真系統中構造大量的極端場景,并且通過參數擴展的方法將單一的場景自動化生產規模化的場景, 以提高測試的覆蓋度。此外, 仿真平臺還有一套精細的度量體系, 可以自動化地判斷仿真過程中發生的碰撞問題、 違反交規問題、 體感問題、 路線不合理問題。
硬件在環測試階段, 把軟件和硬件集成到一起, 以測試軟硬件系統的兼容性和可靠性。通常硬件的故障發生都有一定的概率, 帶有一定的偶然性, 在硬件在環測試階段基于真實和虛擬硬件結合方式進行成千上萬真實場景的還原測試, 并且 24 小時不間斷的對自動駕駛系統施加壓力, 以模擬系統在不同資源極限條件下(比如:GPU 資源不足, CPU 使用率過高)的性能和穩定性表現。同時在這個階段模擬了大量的硬件故障, 測試在硬件故障的情況下系統的反映, 如硬件失效、 斷電、 丟幀、 上下游接口異常等, 確保系統符合 ISO26262 功能安全要求。
車輛在環測試
車輛在環測試階段會先進行基于臺架的測試, 在臺架上完成各項車輛線控功能、 性能和穩定性測試, 以確保自動駕駛系統可以按照意圖控制車輛。完成對車輛線控的測試之后 VIL環節會進入封閉場地, 基于真實的道路構建虛實結合的場景測試自動駕駛系統在真實車輛上的表現。
道路在環測試
在離線測試和車輛在環測試階段通過后(每個環節都有嚴格的測試通過標準) , 接下來進入封閉場地內構建真實的場景來測試車輛的自動駕駛各項能力和安全性。封閉測試場涵蓋了常見的城市道路及高速道路, 包括直行道路、 彎道、 路口、 坡路、 隧道及停車場等。另外,通過假人、 假車等測試設備構造各種低頻場景。這類低頻場景在社會道路上存在, 但是出現的頻率較低, 在開放道路上不易得到充分驗證。例如逆行的自行車、 突然沖出的行人、 路段積水等場景。
開放道路測試是道路在環測試的最終環節, 也是自動駕駛車輛完成測試評估所必須經過的重要環節。開放道路測試是循序漸進開展的, 通常最新的系統部署在少量車上進行測試,確認安全后再部署到更大規模的車隊。通過部署規模化自動駕駛車輛不斷在實際道路上進行測試和驗證, 形成實際路上場景和自動駕駛能力不斷閉環, 使自動駕駛車輛在智能度、 安全性等方面持續提升, 從而逐漸接近具備自動駕駛車輛走進千家萬戶的能力。
編輯:黃飛
?
工商網監
評論