作者 | HYZY

來源 | 焉知

知圈 | 進“HMI社群”請加微信15221054164，備注HMI

一、 MRM的定義

自動駕駛人機交互有一項基本要求為：當用戶無法及時響應自動駕駛系統發出的接管請求時，自動駕駛系統應執行最小風險策略MRM，以保證車輛運行安全（參見自動駕駛人機交互[四]：用戶接管和主動干預）。

這里最小風險策略MRM（Minimal risk maneuver）的概念源于功能安全標準ISO 26262，其準確定義為：在駕駛自動化系統或用戶無法執行動態駕駛任務或動態駕駛任務接管時，駕駛自動化系統所采取的降低風險的措施。

在自動駕駛系統功能設計中，為適應不同的需求，通常可以定義多種不同的最小風險策略MRM，常見的MRM見下表1。

二、 MRM的目標

根據最小風險策略MRM的定義，MRM運行的目標是保證車輛運行安全，而在自動駕駛系統設計中，“保證車輛運行安全”指的就是車輛進入了最小風險狀態MRC。也就是說，在自動駕駛人機交互中，當用戶無法及時接管駕駛任務時，系統應可以自動執行最小風險策略MRM，使車輛進入最小風險狀態MRC。

最小風險狀態MRC（Minimal Risk Condition）的定義為：當車輛無法完成預定的行程時，由用戶或駕駛自動化系統執行并最終使車輛事故風險達到可接受的狀態。常見的幾種最小風險狀態MRC定義見下表2。

表 2  最小風險狀態MRC

表2中的三種最小風險狀態MRC可分為兩類：一類是結束運行，代表車輛已經剎停，且自動駕駛系統退出，屬于最終MRC；另一類是駕駛員接管和降級運行，此類MRC下，車輛仍保持運行，并未剎停，且可能進一步轉換到結束運行狀態（最終MRC）。

如下圖1所示，MRM的目標是使車輛達到MRC，當車輛定義有多個MRC時，也需要定義相應的不同MRM，以實現車輛從標稱運行狀態向不同MRC或不同MRC之間的狀態轉換。

 圖 1  最小風險策略MRM和最小風險狀態

三、 MRM的能力與策略

最小風險策略MRM是提高自動駕駛系統安全性的重要措施，能否自動執行MRM及MRM的能力本身都是駕駛自動等級的重要參考原則。

1、MRM的能力

最小風險策略MRM需要對風險緩解進行有效識別和判斷，再結合駕駛員對車輛的控制狀態，采取必要的控制措施。MRM需要的感知、決策和執行能力，包括但不限于：

• 車輛橫向運動控制；

• 車輛縱向運動控制；

• 目標與實踐探測；

• 控制決策；

• 車輛照明及信號裝置控制；

• 遠程信息交互。

自動駕駛系統對最小風險策略MRM的能力要求隨著系統的駕駛自動化等級目標、設計運行區域ODD、系統架構方案等的不同而有所差異。

例如極星polestar2，其環境感知傳感器架構為3R1V（1前向攝像頭+1前向毫米波雷達+2后角毫米波雷達），未配備足夠的側向環境感知傳感器，因此在自動駕駛系統出現異常且駕駛員未能有效介入動態駕駛任務時，polestar2只能實現單車道內的減速或停車可控制，無法實現跨越車道級的靠路邊停車或緊急車道停車。

 

圖 2  極星polestar2

2、MRM的策略

最小風險策略MRM的合理性，極大地影響著自動駕駛系統用戶和外部交通參與者的安全性。因此在自動駕駛系統設計過程中，需針對不同的失效場景、結合自動駕駛系統設計方案，“量身定制”最小風險策略的具體內容，過激的策略和過于保守的策略，都將對自動駕駛系統的運行安全造成較大影響。

危害場景

自動駕駛系統可能觸發最小風險策略MRM的危害場景有：

? 自動駕駛系統環境感知功能失效或能力受限；

? 車輛超出自動駕駛系統設計運行區域ODD的定義范圍；

? 駕駛員監控系統DMS確認駕駛員當前狀態異常，無法正常承擔駕駛任務；

? 自動駕駛系統規劃控制單元或執行器發生失效。

執行策略

如下圖3所示，在自動駕駛系統功能設計中，可定義多個最小風險策略MRM和最小風險狀態MRC。當車輛出現在上述危害場景時，系統可根據不同場景的危害程度，確定需要執行的MRM及所映射的MRC。

圖 3  MRM的執行策略