L4級自動駕駛系統如何保證行車安全

駕駛哥

2021年8月10日 09:22

作者 | Aimme

出品 | 焉知

我們知道，L3的本質是“一種無法定義為安全的系統”。這里所說的“安全”，可能是在技術上無法實現，或者在現實行駛狀態下無法判定是否“安全”。所以，L3級自動駕駛下，實際上駕駛員還是必須時刻保持警惕，隨時取回車輛控制權的。比如，在駕駛過程中陷入困境，并且需要在高速公路上有相應的反饋和措施。在這種情況下，汽車需要明確判斷保持什么樣的狀態才是安全的。是否立馬停車就安全了呢？答案是“不一定”，在路邊停車不一定安全。這也是目前很多主機廠（如奧迪）放棄實現L3級自動駕駛，轉而去開發L4級自動駕駛的原因。那么問題來了，對于L4級來說又如何保證駕駛安全性呢？

L4的本質是需要在其設計運行環境ODD中明確定義出何種狀態為安全狀態，并且輸出達到相應安全狀態的措施；對于L4級自動駕駛來講，最為重要的是實現ODD的準確定義，并能在所定義的ODD范圍內實現有效的自動駕駛系統算法開發。從開發層面講，確保L4級自動駕駛安全需考慮如下幾點：

1）ODD定義是否考慮到了將L4系統不能處理的靜態場景區分到ODD外，高精地圖是否更新及時，以滿足對動態目標在原ODD范圍內對設計系統產生必要的影響進行及時處理？

2）開發算法是否覆蓋了所有可能的用戶使用場景UseCase？（包含正常標準使用工況和異常使用工況）

3）軟硬件測試、系統功能測試是否覆蓋了所有的測試案例？

L4自動駕駛安全保障——高精地圖

量產自動駕駛在考慮用戶對于其駕駛狀態需求時，主要考慮如下三方面因素來設置必要的ODD：

① 該場景出現頻次是否足夠高；

② 在當前L4狀態下處理該場景是否具有技術可行性；

③ 在處理各種場景時，技術上可行，但失效率是否滿足要求；

基于此，L4級自動駕駛可以就主要的幾種場景按照其實現難度分別進行ODD定義，并進行功能開發。如下表示了L4級自動駕駛關注的幾類駕駛場景。

L4級自動駕駛系統如何保證行車安全的圖1

由于前述分析可知，當前L4級在研狀態下更加關注其技術可實現性及失效率，初級階段的泊車類自動駕駛技術已經得到實測，而中級階段針對高速路和快速路的自動駕駛則應該是當前在研的L4重點考慮的對象，且路側端正在出臺相應的策略支持車端自動駕駛。一般的，L4級自動駕駛需要區分的靜態道路ODD信息及場景描述如下：

類型來源	場景描述
靜態道路信息定義的ODD	車輛行駛在非指定區域，如重慶市內內行政區域，判定車輛電子圍欄內時，其他行政區判定車輛電子圍欄外；
	車輛行駛在自動駕駛能力不能覆蓋的道路時，如曲率、坡度過大時，判定車輛在電子圍欄外；
	車輛行駛在JCT道路上，從一條高速路進入另一條高速路，判定車輛處于電子圍欄內
	車輛行駛在IC道路上時，即將從高速路進入一般公路，判定車輛處于電子圍欄外
	車輛行駛在匝道、收費站、隧道或其他人工指定的L4級可能無法處理的駕駛區域時，判定車輛處于電子圍欄外
	車輛行駛在高速、城市快速路主路區域，判定車輛處于電子圍欄內

L4級自動駕駛-環境安全

在很長一段時間，自動駕駛車輛都將和有人駕駛車輛同在路上行駛，所以就需要考慮如何讓自動駕駛汽車融入到這種環境當中。一方面，自動駕駛汽車需要適應實際的環境；另一方面，人類駕駛員也要知道如何使用和操作自動駕駛車輛。為了達到上面的兩個目標，L4級可以設計如下幾大功能模塊來保證：

① 自動駕駛車輛能夠認知周邊動靜態環境；

這一過程的實現需要設計設計有效的環境建模系統來認真周邊實時環境信息。

② 自動駕駛車輛能夠與環境進行雙向交互；

從自動駕駛交互層面上講，僅僅依靠人機交互HMI作為安全避險的手段是不夠的，因為自動駕駛是處于實際駕駛環境中的，這里還需要真正的駕駛狀態信息傳遞給環境，從而確保其他車輛也可以對其作出反應。

③ 自動駕駛行為需要基于實時環境信息及全面的、可解釋的駕駛規則進行

L4是一個駕駛行為規則的系統，即基于環境感知和環境交互，確保車輛在當前環境下采取正確安全的駕駛行為。當前通過機器學習，自動駕駛能掌握很多駕駛技能。但機器學習來的“良好”的駕駛行為在路上人機混駕的情況下無法確認其是不是真的靠譜，因此需要制定相應的駕駛策略規則保證某條駕駛策略的全面性和可解釋性。

④ 建立不同靈敏度的安全責任模型

“安全責任模型”是采用數學的方式來界定“安全狀態”。在“安全狀態”中，無論其他車輛做出任何反應，自動駕駛汽車都不會引發事故。當Tier1在利用傳感器和高精地圖進行場景定義時，需要進行如下定義：

a. 充分尊重中國獨特的駕駛風格，定義各種駕駛場景公式；

b. 根據各場景公式輸出的最優值，取得該駕駛場景下最安全模型狀態，并控制車輛達到該狀態；

L4級自動駕駛-行為安全

自動駕駛中的行為安全通過場景化、融合化提升L4處理問題的“全面能力”，其中包含兩層含義：

c. 自動駕駛汽車本身不會導致事故。

d. 自動駕駛汽車應該在其它車輛發生錯誤時做出正確反應：一是，要能識別“危險情況”；其次，要能“適當響應”。

自動駕駛要從真正意義上的實現駕駛安全需要完成駕駛時間和里程的積累。包括通過各類在研及量產后路試車輛采集數據進行完備的海量數據收集和訓練，以培養老司機的方式實現算法開發、驗證、整改、優化。

L4級自動駕駛-功能安全

為了實現真正的L4級自動駕駛功能，需要基于功能安全進行失效避免分析。相應的過程是建立安全分析流程。使得每一個與安全相關的設計和需求，都會要求被嚴謹而全面的分析、設計、實現、驗證。其次是進行安全功能設計：一是實時診斷監控系統，二是冗余設計。除此之外，進行必要的預期功能安全設計也顯得尤為重要。即利用場景庫證明某個自動駕駛功能/系統安全可靠，可以處理所有非預期的情況，就必須在各種可能的場景下去測試和驗證這個功能，并找到該功能不完善的地方，然后加以改進。最終需要通過量化的數據（里程累積）來證明系統的安全性。

L4級自動駕駛-運營/質量安全

高度自動駕駛功能從研發到最終交付給用戶前，自動駕駛系統所有的模塊和功能，都必須進行大量的測試，既包括在仿真系統上進行數百億公里的測試，也包括在設計的自動駕駛場景下進行百萬公里的真實路測。

整車

半開放/開放道路測試（覆蓋全國每1公里高速/環路道路測試4次）

功能

高速/環路；

臺架、封閉場地測試

自主泊車；

臺架、封閉場地測試

城市擁堵；

臺架、封閉場地測試

單件測試

模塊

感知；

數據包測試、仿真測試

DPS；

仿真測試

XML；

臺架測試

硬件；

臺架測試

L4級自動駕駛-安全優化

未來自動駕駛功能需要不斷應對變化的環境及駕駛員需求，這就意味著不可能在一次開發過程中滿足其所有的性能要求，也可以說在一次開發過程后會有其他更多的剛性需求出現，這就使得對其進行有效的在線升級顯得尤為必要了。

OTA升級涵蓋兩個方面：售前OTA和售后OTA。售前OTA是指在開發過程中階段性的釋放相關軟件供實驗單位進行道路實驗，并就反饋問題進行算法優化，提升軟件質量；

售后OTA是指在銷售過程中，根據用戶使用抱怨進行問題排查，分析問題原因，提出解決方案，根據解決方案優化算法后對每臺在產和量產銷售的車輛進行實時OTA升級后不斷優化車輛功能。

軟件系統OTA升級，以及數據的OTA升級是針對不同的升級內容，會有不同的更新頻率，比如，涉及到駕駛安全相關的，可以做到“天”級更新。此外，OTA升級的方式可模仿手機推送功能由用戶進行點選升級，也可由系統云端聯網自動升級。

OTA升級項	推送速度	推送頻次
駕駛安全、BUG、地圖類更新	天級	隨時
功能升級更新	季度	固定頻次、每季度一次
新增功能更新	約半年到一年	按照版本計劃設定時間

總結

L4級自動駕駛開發過程中，要求其具備高效且有保障的安全設計策略，才能保證最終的開發結果能夠滿足其安全行駛要求。歸納起來，其相應的實現方案包括如下一系列策略：

1) 通過利用各大L4級自動駕駛車輛進行大規模數據采集，以優化算法。其中，在L4級自動駕駛系統的數據采集過程中，主要依靠如下幾種相關的方法策略進行采集。

a.利用高精度地圖發送車輛定位及環境相關靜態信息；

b.利用現有路側網聯設備發送路端信息，輔助車端信息探測；

c.利用車車網聯技術，接收其他智能車輛相關信息；

2) 利用軟開關設置注意事項，打開自動駕駛功能時，明確教育用戶如何安全操作。

如果用戶未認真讀取，則通過Tips推送方式，用戶從初期的保守駕駛逐漸過渡到信任后的成熟駕駛；

3) HMI交互設置更加明顯易識別的方式。

與L3類似，L4級自動駕駛也需要限定特定狀態下的ODD。其要求在限定ODD內時不報接管，當車輛判斷即將駛出ODD時，可以預留更多的時間給駕駛員做接管控制。

HMI交互也僅僅顯示當前環境下的自動駕駛狀態，提示是讓用戶保持特殊狀態下的警惕。這一過程要求的實現可以儀表為中心，實現中控共享全面屏及抬頭顯示方案，最大限度的保證視覺提示效果；也可以設置環境氛圍燈提示用戶；還可以通過不同程度的聲音（包含語音）提示讓用戶聽到必要的信息；甚至可以采用震動、觸動方式進行必要提醒（智能方向盤、體感座椅）。

登錄后免費查看全文

立即登錄