前文讲了解决自动驾驶车辆相关风险的通用方法,即自动驾驶的十二条指导原则。
自动驾驶的十二条指导原则
为了遵守第十二条原则,自动驾驶系统必须具备一套基本的系统属性,即自动驾驶系统的十三项能力。
一个安全的自动驾驶系统应具有十三项能力,这十三项能力分为失效安全能力(Fail-Safe, FS)和失效降级能力(Fail-Degraded,FD)。
失效安全:当系统检测到不可容忍的故障时,主动进入一个预先定义的安全状态,即使这意味着系统完全停止运行。
故障发生 → 检测到故障 → 立即进入安全状态(如停机、断电、机械锁止)
失效降级:在发生某些故障后,系统能够继续维持一定程度的、降级的功能运行,而不是立即停止。其首要目标是维持可用性,但必须在可接受的安全边界内。
故障发生 → 检测到故障 → 隔离故障 → 切换到备用资源/模式 → 以降级模式继续运行
失效安全能力提供并实现客户价值。失效安全能力(FS)可以中断,因为它们的不可用性和安全之间的相关性足够低或者被失效降级能力覆盖。
即使在发生故障的情况下,失效降级能力(FD)也应在一定的性能水平下继续执行,以便在特定的时间段内提供一个安全的系统,直到进入一个允许自动驾驶系统退出的最低风险状态(MRC)。
最终的最低风险状态MRC指的是允许自动驾驶系统完全退出的MRC,例如车辆在安全区域内静止或被车辆操作员接管。
FS_1:确定位置
系统应能够确定其与 ODD 相关的位置。 车辆应该能够确定其位于ODD 之内还是之外。知晓 ODD 内的具体位置对自动驾驶系统是必要的。
FS_2:感知自动驾驶车辆附近的相关静态和动态物体
自动驾驶系统应感知、选择性地预处理,以及正确提供为实现其功能行为而要求的所有实体。
应优先考虑存在相关碰撞风险的实体。实体的包括:
动态对象[例如(易受伤害的)道路使用者和相应的运动特征]
静态对象[例如道路边界、交通引导和交通信号,以及障碍物]
FS_3:预测相关对象的未来行为
相关环境模型需要通过预测的未来状态进行扩展。目的在于创建环境预测。应能够解读相关对象的意图,以便形成预测未来运动的基础。
FS_4:制定一个无碰撞并且合法的驾驶规划
为确保制定一个无碰撞并且合法的驾驶策略,应遵守以下规定 :
• 与其他对象保持安全的横向和纵向距离。
• 遵守ODD范围内所有适用的交通规则。
• 考虑可能存在遮挡物体的潜在区域。
• 在未给予通行权的情况下,不通行。
• 如果在不危及第三方的情况下可以避免碰撞,则在必要情况下可以暂时调整交通规则的优先级。
FS_5:正确执行驾驶规划
应根据驾驶规划生成用于横向和纵向控制的相应行动信号。
FS_6:与其他(易受伤害的)道路使用者的沟通和互动
根据 ODD 和用例,要求自动驾驶车辆与其他(易受伤害的)道路使用者进行沟通和互动。
FS_7:确定是否达到规定的标称性能
自动驾驶系统的任何要素都可能,单独地或与其他要素组合在一起地,导致不利行为。因此,需要各种机制来检测系 统的不利标称性能。FD_4 涵盖了对检测到的不良行为做出的反应。
影响标称性能的典型方面包括:
• 不必要的人为因素,包括误用和操纵
• 预期功能的偏差
• 技术限制
• 环境条件
• 系统与随机失效模式
FD_1:确保对车辆操作员的可控性
车辆操作员的控制级别根据 SAE J3016 的自动化级别和用例定义而异,因此应该得到保证。
FD_2:检测降级模式是否可用
应确保检测到降级模式可能的不可用情形。如果降级策略取决于降级原因,则降级原因也应被确认。
FD_3:确保安全模式转换和用户认知
确保模式转换正确执行,并在必要时由受影响的车辆操作员控制。
此外,受影响的车辆操作员应了解当前模式,以及他 们对此模式中承担的责任。
例如,仅在 ODD 内部允许启动自动模式,并且在离开 ODD 之前或者由于车辆操作员再次接管控制而将其退出。
FD_4:通过降级来应对标称性能
不足和其他失效由于标称性能能力可能无法使用,以及出现其他失效(例如,基于硬件的失效 等),因此系统应在明确定义的时间内降级。
FD_5:在应对失效的降级模式下降低系统性能
应确定降级模式下出现失效时的反应。
FD_6:在减少的系统限制范围内执行降级模式
降级模式下的自动驾驶系统运行,其即是在新的限制下执行标称能力。可能有多种降级模式。对限制应该作出清晰定 义,才能宣称降级模式是安全的。有可能需要避免(让该模式)永远运行下去, 而需要为额外的应对方法定义清晰的时 间范围。
来源:智驾小强
