De repente, un palé cae desde un camión a la carretera y bloquea el carril. Lo que hoy provocaría un sobresalto a un conductor humano, en el futuro un vehículo altamente automatizado lo solventará fácilmente. Lo hará posible el funcionamiento en paralelo de tres sistemas: uno, el planificador principal, que se encarga de las operaciones normales en la circulación, con un funcionamiento orientado al confort y que frena y acelera con suavidad. Dos, el planificador de contingencia, que simultáneamente está calculando una trayectoria para llevar el vehículo hasta una posición segura si fuera necesario. El tercer sistema es el supervisor, que comprueba constantemente si la trayectoria principal o la de contingencia suponen un riesgo y selecciona la alternativa más segura en cada caso. Por eso, que un palé caiga inesperadamente de un camión no será un problema para ese vehículo altamente automatizado. Incluso en el improbable caso de que el sistema principal pasara por alto el obstáculo, el vehículo adoptaría con seguridad una acción evasiva o se detendría en el arcén si no fuera posible esquivarlo, gracias al de contingencia.
Una situación como esta podría hacerse realidad muy pronto. Porsche Engineering está trabajando a fondo para que las funciones de circulación altamente automatizada (HAD) sean seguras y fiables. La estrategia crucial para lograrlo se llama ‘descomposición’. En lugar de que el vehículo esté controlado por un solo sistema, lo está por varios en paralelo. “Varios sistemas combinados alcanzan un nivel de seguridad mucho mayor que uno solo", dijo Jan Gutbrod, Jefe del Equipo para el Desarrollo de Sistemas de Asistencia a la Conducción en Porsche Engineering.
“El mayor reto es controlar todas las situaciones posibles", dijo Albrecht Böttiger, Director del Proyecto ADAS/HAD en Porsche AG. En otras palabras: el sistema global debe ser capaz de adecuarse a diferentes tipos de vehículos y estilos de conducción, reconocer líneas de diferentes colores en la carretera, incluso cuando estén desgastadas, y evitar con seguridad obstáculos conocidos y desconocidos. Esto requiere una interacción coordinada de los tres subsistemas, que debe superar las pruebas y ensayos en carretera.
Estricta separación técnica de los sistemas
Los sistemas en paralelo se utilizan en la aviación desde hace mucho tiempo y su eficacia depende fundamentalmente del diseño técnico. “Para lograr una verdadera redundancia, es importante no limitarse a duplicar sistemas", dijo Andreas Nagler, Director de Ingeniería y Arquitectura de Sistemas de Cariad, la empresa de software y tecnología del Grupo Volkswagen. Esto significa que sus componentes deben estar técnicamente aislados unos de otros, es decir, cada uno debe tener su propio hardware, software y fuentes de datos. Es la única manera de minimizar los llamados errores de ‘causa común’, es decir, los fallos debidos a una causa compartida.
Para lograr esta separación técnica, el sistema de supervisión solo utiliza listas de objetos para componer una imagen del entorno. Estas listas se generan a partir de los propios sensores de los vehículos. Por ejemplo: un sensor de radar proporciona una lista de todos los vehículos u objetos que pueden detectarse en las proximidades, incluida la dirección de su movimiento. En cambio, los sistemas principal y de contingencia no trabajan con listas de objetos, sino con los datos brutos de los sensores, por ejemplo, las nubes de puntos de los escáneres láser (LiDAR). Además, algunos componentes acceden a datos cartográficos, cosa que no hace el supervisor.
El procesamiento de datos también difiere entre los sistemas. El principal y el de contingencia, por ejemplo, aplican lo que se conoce como fusión de datos de sensores: si solo un sensor informa de un objeto en el espacio, mientras que los demás explícitamente no lo hacen, el algoritmo de fusión de datos de sensores puede evaluar esa señal como una falsa detección y descartarla. El supervisor, en cambio, considera todos los sensores estrictamente por separado. Los diferentes principios funcionales de los sistemas individuales garantizan que cada uno pueda formarse su propia imagen de la situación. La fuerza combinada de los sistemas garantiza una respuesta segura.
Considerar los umbrales en la dinámica de conducción
Para detectar posibles riesgos, el supervisor comprueba las trayectorias calculadas por los planificadores principal y de contingencia. Para ello, genera constantemente previsiones con diferentes horizontes temporales. El llamado ‘enfoque balístico’ es utilizado para el espacio que recorrerá el auto en un futuro próximo: el supervisor supone que los objetos mantendrán básicamente su dirección de movimiento y su velocidad, debido a la inercia y la masa. Una segunda previsión se extiende varios segundos en el futuro.
Para predecir situaciones en el tráfico con tanta antelación se requiere una programación muy compleja, con miles de parámetros. Se tienen en cuenta, entre otras cosas, la velocidad, la superficie de la carretera, las condiciones meteorológicas, el registro del movimiento que han tenido otros usuarios cercanos de la vía y los autos parados. Esta previsión constituye la base de la decisión que se tomará a continuación: "El supervisor introduce las trayectorias de los planificadores en situaciones futuras", dijo Gutbrod. Si, por ejemplo, la llamada ‘zona de soberanía’ en torno al vehículo, en la que no puede entrar ningún objeto, fuera a ser invadida según la trayectoria prevista, el supervisor la vetaría e iniciaría un cambio de trayectoria. Esto ‘descarta un planificador’, como dicen los desarrolladores.
El funcionamiento requiere un software de planificación muy preciso. Si el supervisor evalúa el riesgo en exceso y demasiado rápidamente, el vehículo puede actuar con más precaución de la necesaria y, por tanto, también de forma insegura. Los desarrolladores llaman a este efecto ‘demasiado pronto, demasiado precavido’. Si ocurre, podría llevar, por ejemplo, a una frenada exagerada. El supervisor también debe reconocer las situaciones de emergencia en las que un cambio de trayectoria solo provocaría una pérdida de tiempo y posiblemente tendría efectos negativos.
Para todas estas medidas también es importante tener en cuenta los límites dinámicos especificados. Si, como en el ejemplo inicial, un obstáculo aparece de repente, los sistemas deben reaccionar lo suficientemente rápido para poder frenar cómodamente. En el futuro, podría existir el recurso de “situación de emergencia”, dijo Gutbrod. "En este caso, los planificadores podrían pedir al supervisor que habilite medidas más allá de los límites establecidos".
El estacionamiento automatizado tiene que hacer frente a situaciones inesperadas de un tipo completamente diferente. En el IAA Mobility de Múnich, llevado a cabo en septiembre del año pasado, Cariad demostró lo que esta nueva función podrá hacer en el futuro. El conductor de un Porsche Cayenne E-Hybrid dejó su SUV en una zona especial de transición de las instalaciones y dio la orden de parquear a través de un smartphone. A continuación, el Cayenne comenzó a moverse hacia un espacio libre del estacionamiento.
Si el conductor quisiera, el auto podría dirigirse primero a una estación de carga, donde se acoplaría automáticamente un brazo robótico con una conexión eléctrica. Después, se trasladaría automáticamente a un espacio libre del estacionamiento. Cuando el conductor vuelva a necesitar el auto, lo llamaría con la aplicación para que vaya de nuevo a la zona de transición. Las ventajas para el conductor: se eliminan el tiempo de búsqueda de un lugar y las maniobras y, además, puede aprovechar la estancia para recargar.
En principio, el estacionamiento automatizado puede implementarse de dos maneras: bien el vehículo se dirige por sí mismo al lugar de estacionamiento o bien es la infraestructura la que asume el control. En este último caso, indicaría el camino al vehículo mediante señales de radio y lo aceleraría o frenaría según el caso. La demostración de Cariad en el IAA Mobility adoptó este enfoque. Queda por ver cuál de ellos prevalecerá a largo plazo como estacionamiento automatizado. "El control a través de la infraestructura es más fácil de implementar y más seguro", dijo Böttiger. "Por otro lado, el estacionamiento automatizado basado en vehículos permite utilizar más espacios". Por lo tanto, es concebible que haya una tendencia a largo plazo hacia la autonomía total, también en este tipo de escenarios.
Si el estacionamiento estuviera controlado por la infraestructura, habría que utilizar la redundancia, al igual que en el propio vehículo. Por tanto, el sistema de control del estacionamiento debería funcionar con varios sistemas en paralelo. De este modo, las situaciones de emergencia se podrían gestionar de forma segura, por ejemplo, la aparición repentina de peatones delante del auto. Esto es de esperar, ya que los autos autónomos y los convencionales seguirán compartiendo los aparcamientos durante algún tiempo.
Concepto de parada de emergencia para una máxima seguridad
Garantizar la seguridad es una tarea de todos los implicados. "Examinaremos detenidamente los algoritmos de los operadores de la infraestructura", dijo Sebastian Reikowski, Director de Proyecto para Sistemas de Estacionamiento en Porsche Engineering. Sin embargo, para implementar de forma segura el estacionamiento controlado externamente, también son necesarios amplios ajustes en el vehículo. "Toda la comunicación con la infraestructura a través de 5G o WiFi debe estar encriptada para evitar el acceso no autorizado", dijo Reikowski. Si la conexión por radio se interrumpe, el vehículo debe detenerse automáticamente. También es necesario un concepto de parada de emergencia: si el sistema de frenado primario falla, un sistema secundario tendría que entrar en acción y garantizar una parada segura. Una idea sería utilizar la capacidad de recuperación del motor eléctrico junto con el freno de estacionamiento y la función de bloqueo en la transmisión.
Es necesario seguir trabajando en la coordinación de un estándar común de comunicación: solo así será posible que los vehículos de todos los fabricantes utilicen el servicio de estacionamiento. Los expertos ya están trabajando en una norma que defina una interfaz entre los vehículos y la infraestructura (ISO 23374). "Además, los legisladores aún tienen que definir en qué momento se transfiere la responsabilidad del auto a la infraestructura, es decir, el momento a partir del cual el estacionamiento se haría responsable de posibles daños, por ejemplo", dijo Reikowski.
Al igual que con la circulación altamente automatizada, la mejora continua será esencial. "Necesitamos una nueva mentalidad: en el futuro será desarrollada continuamente la programación de los vehículos, de forma muy parecida a los smartphones de hoy", dijo el Arquitecto de Sistemas Nagler, de Cariad. El objetivo de este "desarrollo impulsado por los datos" son flotas de vehículos de prueba que recogerán continuamente datos y los transferirán a la nube. Allí, serán utilizados para mejorar los algoritmos de HAD. Esto crea lo que se conoce como un ‘bucle de big data’. Un algoritmo especial en el vehículo de prueba, llamado selector de situaciones, detecta las que son inusuales o las que aún no se han producido y las transmite a un servidor central. Allí, esas situaciones son utilizadas para seguir entrenando a la red neuronal del sistema de detección de colisiones. "Este aprendizaje continuo es el camino hacia sistemas sólidos", dijo Nagler.
En resumen
Los sistemas redundantes y estrictamente separados hacen seguras a las funciones de circulación altamente automatizada, ya que permiten elegir entre diferentes trayectorias. En los estacionamientos automatizados, la infraestructura puede asumir el control. Pero incluso en este caso, los sistemas de emergencia del vehículo garantizan la seguridad en todas los casos.
Información
Artículo publicado en la edición número 1/2022 de la revista Porsche Engineering Magazine.
Texto: Constantin Gillies
Ilustraciones: Andrew Timmins