前方行驶的一辆卡车上突然有货物掉落。一个未载货的托盘突然落到路面上,并堵塞了车道。如今的驾驶员们在遇到这种事情时仍不免一阵胆战心惊,但未来的高度自动化车辆却能轻松掌控局面。因为它会同时使用三个并行系统来工作:主规划程序负责正常的驾驶操作,并以确保舒适为主,其制动和加速都很平稳;第二个系统是“应急规划程序”,它负责同时计算出一条在必要时能迅速将车辆带入安全位置的轨迹;第三个系统是“监管程序”,它会持续检查主要路径和应急路径上是否存在风险,并针对具体情况做出最安全的选择。因此,意外掉落的托盘对于高度自动化的车辆来说根本不是什么问题。毕竟,即使主规划程序忽略了障碍物,车辆也可凭借应急规划程序安全地避开它,或者在无法绕过的情况下停泊到车道边缘。
这样的情景可能很快就会成为现实,因为保时捷工程公司正在全力以赴,尝试借助这一方式,使高度自动驾驶 (HAD) 功能变得安全可靠。这一方式的关键策略称为“分解”(decomposition):车辆不是由单一系统控制,而是使用多个规划程序以及监管程序作为并行的控制系统。“这些系统共同协作,可实现比单一系统高得多的故障安全性。”保时捷工程公司驾驶辅助系统开发团队负责人 Jan Gutbrod 解释说。
“最大的挑战是做到真正自如应对所有能够设想到的情况。”保时捷公司 ADAS/HAD 项目部负责人 Albrecht Böttiger 总结道。换言之:整个系统必须能够应对不同类型的车辆和驾驶风格,识别不同颜色的道路标志——即使已经老旧风化——并安全避开各种已知和未知的障碍物。为此就需要三个子系统的协调协作,而且必须通过测试和道路试验。
技术上严格分离的系统
在航空等领域,人们早已学会使用并行系统。然而,它们能达到多高的安全性,关键取决于技术设计。“为了实现真正的冗余,重点在于不仅仅是单纯地对系统加以复制。”大众汽车集团旗下软件和技术公司 CARIAD 的系统工程与架构部总监 Andreas Nagler 强调说。这意味着:各个实体必须在技术上相互分离,即每个实体必须各有自己的硬件、软件和数据源。必须如此才能最大限度减少所谓的“共同原因”(common cause)故障——即由同一原因引起的故障。
例如,为了实现这种技术上的分离,监管程序只使用目标物体列表来了解周围环境情况。这类目标物体列表由车辆传感器自行创建。例如,雷达传感器可以提供附近所有可探测到的车辆或物体的列表,包括它们的运动方向。而主规划程序和应急规划程序则与此不同,并不使用目标物体列表,而是使用来自传感器的原始数据,例如来自激光雷达(LiDAR)的点云。此外,一些组件会访问某些地图数据——监管程序则不负责这些。
各个系统的数据处理过程也不尽相同。例如,主规划程序和应急规划程序都会应用所谓的传感器数据融合:如果只有一个传感器报告空间中有一个物体,而所有其他传感器都明确报告并没有,则传感器数据融合算法可能就会决定,将这个信号评估为误识别,而不保留它。与此相反,监管程序会严格分别考虑所有传感器的报告。各个系统不同的工作方式,意味着每个系统可以分别形成各自情况的认知。综合各个系统的长处,便可确保安全的行为。
各项行驶动态限值一览无余
监管程序的任务是检查主规划程序和应急规划程序计算出的路径上是否可能存在风险。为此,监管程序会持续在不同的时间范围内进行预测。所谓的“弹道法”可用于直接位于近前方的几米车道。在这种情况下,监管程序会假定:由于惯性和质量,物体基本上会保持其运动方向和速度。第二次预测则延伸至几秒钟后。为了能够预测交通动向,就需要使用高度复杂的软件并处理成千上万的参数,包括车速、路面结构、天气条件、周围道路使用者和静止车辆的历史运动概况等,都必须考虑在内。
现在,这一预测将构成接下来的决策的基础:“监管程序会将路径规划程序的轨迹加入其未来情景中。”Gutbrod 解释说。例如,如果在规划的路线上,车辆周围不允许任何物体进入的所谓“主权范围”可能遭到侵入,那么监管程序便会发出否决指令,并开始改变路线。正如研发人员所说,它将会“抛开这个规划程序的结果”。
规划程序的工作方式必须非常机敏。如果监管程序对于潜在危险情景的分级过早过高,车辆可能会过度谨慎,由此反而也会出现不安全的行为。研发人员将这种效应称为“过早过安全”(too soon too safe)。如果触发此类效应,则可能出现比如刹车时间过早等情况。此外,监管程序必须能够识别出一类特别的紧急情况:在这类情况下,改变路线只会花费不必要的时间,并可能带来负面影响。
无论采取何种措施,同时都必须密切关注特定的动态发生在行驶过程中的限制。在高速公路的例子中,如果突然出现障碍物,那么系统就必须快速做出反应,以便仍有时间进行舒适的制动。Gutbrod 提到,在未来,规划的路径上可以设置比如“紧急标识”。“在这种情况下,规划程序可以请求监管程序允许超出目前设定限值的措施。”
自动泊车则必须能够应对另外一些大不相同的意外情况。CARIAD 公司在去年 9 月的 IAA MOBILITY 车展上演示了这种新功能未来可能发挥多大作用:一辆保时捷 Cayenne E-Hybrid 的驾驶者在停车场专用过渡区交出其 SUV,并通过智能手机发出泊车指令。随后,这辆 Cayenne 开始自动向停车场移动。
如果驾驶者有需要,汽车可以首先开到一处充电站,在那里由机械臂自动为汽车插上充电插头,并在充电完成后再驶回实际的停车位。驾驶者重新需要车时,则可通过应用程序预定其返回交接区。这样做的好处是:不再需要耗费时间寻找车位和挪车,而且还可以利用这段时间补充电量。
基本而言,自动泊车可以通过两种方式实现:要么车辆控制自身进入停车位,要么由周围的基础设施来控制。在后一种情况下,停车场系统将通过无线电信号为车辆提供路线,并使其加速或减速。CARIAD 在 IAA MOBILITY 车展上的演示就是以这种方式实现的。长远来看,这两种方法中的哪一种会在自动泊车领域占据主导地位,还有待观察。“通过基础设施进行控制,更容易实现也更容易采取安全保险措施。”博蒂格尔解释道,“而另一方面,基于车辆的的自动泊车适用于更多的停车场。”因此,可以设想,长期趋势将是完全自动化,包括在停车场内。
如果泊车是由基础设施进行控制,那么必须使用冗余系统——道理正如车辆上的冗余系统一样。因此,泊车入位控制应借助数个并行的实体来工作。这样,例如行人突然出现在车辆前方等紧急情况也能得到安全妥善的处理。这种情况倒也在意料之中,因为自动驾驶汽车和传统汽车尚需在一段时间内共用停车场。
急停概念实现最大安全性
提升安全性,是所有参与者的共同任务。“我们会确切检查基础设施运营商的算法。”保时捷工程公司泊车系统项目负责人 Sebastian Reikowski 表示。然而,为了安全实施由外部控制的泊车,还需要对车辆进行广泛的调整。“通过 5G 或 Wi-Fi 与基础设施进行的所有通信都必须进行加密,以防止未经授权的访问。”Reikowski 解释说。如果信号连接丢失,车辆会自动停止。此外还需要一套急停概念:如果主制动系统发生故障,则辅助系统必须启动从而确保安全停车。例如,可以将动力回收性能配合停车制动器和驻车锁一起用于此类情况。
另外,还需要协调制定一套共同通信标准,只有这样,才能让所有制造商的车辆都可以利用泊车入位服务。一项规定车辆与基础设施之间接口的标准已在编制中 (ISO 23374)。“此外,立法者仍需界定在哪些情况下,责任应从车辆转移到基础设施,亦即损害赔偿责任须由停车场承担。”Reikowski 补充说。
正如高度自动驾驶中的所有课题一样,此处需要持续的改进。“我们需要新的思维方式:车用软件未来还将不断继续发展,就像今天的智能手机一样。”CARIAD 的系统架构师 Nagler 强调道。这种“数据驱动型开发”的愿景是:由测试车辆组成的车队不断收集数据并传输到云端,在其上用于改进 HAD 算法,由此便可形成一种所谓的“大数据环”。测试车辆上配备一种特殊算法,称为“场景选择器”(scene selector),可检测不寻常的情况或之前不曾发生过的情况,并将其传送到中央服务器。这些场景在中央服务器上可用于进一步训练变道切入识别的神经网络等。“这种持续学习是造就稳健系统的有效途径。”Nagler 强调。
综述
冗余并且严格分离的多个系统通过实现不同轨迹之间的切换,确保高度自动驾驶功能安全。在使用自动泊车入位功能时,停车场可以接管控制权。即使在这种情况下,车辆上的应急系统也能在所有情况下均确保安全。
信息
本文初刊于《保时捷工程杂志》2022 年第一期
文:Constantin Gillies
图:Andrew Timmins
