自動運転車の安全技術的特徴について説明した記事

「安全第一」は自動運転の中核概念であり価値です。自動運転車のシステム全体の安全設計は、車両自動運転システムのコアアルゴリズム戦略設計、ハードウェアおよびソフトウェアの冗長安全設計、遠隔クラウド運転技術、全プロセステスト検証技術などを含む複雑なシステムエンジニアリングです。機能安全 (ISO 26262) および期待される機能安全 (ISO/PAS 21448) の要件と設計上の考慮事項に従います。 Baidu の L4 自動運転安全システムの実践を確認してみましょう。このシステムは、メイン システム安全、冗長安全システム、リモート クラウド運転システムの 3 層の安全システムに分かれています。

図 1 Baidu L4 全体的なシステム セキュリティ設計のアイデア

#自動運転メインシステムの安全性

メインシステムの安全システムは、車載の自動運転システムによって行われます。運転システム コアアルゴリズム層は、運転戦略と運転行動の安全性を確保します。これは「戦略セキュリティ」とも呼ばれます。道路上のさまざまなシナリオに対処するには、最先端かつ信頼性の高い知覚および測位アルゴリズム、予測意思決定計画および制御アルゴリズムを使用し、特に困難なシナリオに遭遇した場合の運転戦略や行動の安全性を確保する必要があります。

自動運転メインシステムの安全性は、ソフトウェアとハ​​ードウェアの組み合わせスイートの安全設計です。ソフトウェア アルゴリズムは自動運転システム全体の中核であり、一般的な L4 自動運転アルゴリズム システム アーキテクチャには、主に車載オペレーティング システム、環境認識、高精度地図と測位、予測意思決定と計画、制御および実行モジュールが含まれます。等

オペレーティング システム

基本的なオペレーティング システムは自動運転車上で実行され、管理、スケジュール、制御に使用されます。ソフトウェアおよびハードウェア リソースの基本ソフトウェア。その主なタスクは、自動運転システムにリアルタイム タスク スケジューリング、リアルタイム コンピューティング タスク リソース分離、リアルタイム メッセージ通信、システム レベルのアクセス制御およびその他の機能を提供し、システム リソースを効果的に管理し、システム リソースの使用率を向上させることです。ハードウェアとソフトウェアを自動運転車アルゴリズム モジュールから保護し、物理的特性と動作の詳細は、動作の認識、位置決め、計画の意思決定、制御などの自動運転の中核コンポーネントを担います。このオペレーティング システムは、高い安定性、リアルタイム パフォーマンス、低遅延 (人間のドライバーよりも 250 ミリ秒速い応答速度) という特徴を備えています。

パンセンシング システム

環境認識は自動運転の前提条件です。環境認識システムは、ライダー、ミリ波レーダー、カメラなどの複数のセンサーの利点を統合し、車体周囲360度の視界を実現し、複雑かつ変化する交通行動、速度、方向などの情報を安定して検出および追跡します。交通環境を把握し、意思決定と計画のための情報を提供するモジュールは、シーンを理解するための情報を提供します。

知覚アルゴリズムはマルチセンサー フュージョン フレームワークを採用しており、最大 280 メートル離れた障害物を検出できます。ディープニューラルネットワークと大量の自動運転データに基づいて、障害物の種類を正確に識別し、障害物の動作を安定して追跡することができ、下流の意思決定モジュールに安定した認識機能を提供します。マルチセンサー フュージョン ソリューションに基づく認識システムは、異種センシング チャネルを通じて冗長性を形成し、自動運転システムに高い耐障害性を提供​​し、それによってシステムの安全性を向上させます。

さらに、認識アルゴリズムは、水霧ノイズ認識、低い障害物の検出、特殊な形状の信号機や標識の検出などの機能を通じて、シーンの拡張も効果的にサポートします。信号機認識では、自車センシングで検出した信号機の色やカウントダウンを、高精度地図による事前情報と照合するとともに、臨時信号機の認識能力を向上させ、信頼性と安全性を確保します。

高精度地図と高精度測位により、自動運転車に事前の道路情報、正確な車両位置情報、豊富な道路要素データ情報が提供され、空間の 3 次元モデルと精度が強調され、路面が表示されます。あらゆる特性と状態を非常に正確に示します。高精度マッピングと測位には、ライダー、ビジョン、RTK、IMUのマルチセンサー融合ソリューションが採用されており、複数のセンサーの融合により、測位精度は5〜10cmに達し、L4自動運転のニーズを満たします。

予測意思決定および計画制御

予測意思決定および計画制御テクノロジ モジュールは、次のものと同等です。自動運転車の頭脳。予測的意思決定と計画はソフトウェア アルゴリズムの中核モジュールであり、車両の自動運転の能力と効果に直接影響します。このアルゴリズム モジュールは、交通安全仕様とコンセンサス ルールに基づいて、車両の安全、効率的、快適な運転経路と軌道を計画します。アルゴリズムの一般化能力を向上させるために、データマイニングとディープラーニングアルゴリズムが適用され、運転行動のインテリジェントな計画が実現されます。

車両によって設定された出発地と目的地が与えられると、システムは最適なグローバル計画経路を生成します。車両は、認識モジュールによって提供される環境と障害物の情報をリアルタイムで受信し、高精度の地図と組み合わせ、周囲の車両、歩行者、自転車、またはその他の障害物の行動意図と予測軌道を追跡および予測し、安全性、快適性を確保します。交通ルールや交通マナーに沿った運転行動（追従、車線変更、駐車など）の決定、車両の動作（速度、軌道など）を計画し、最終的に管理者に出力します。車両の加速、減速、ステアリング動作を実装する制御モジュール。車両制御部は車両のシャーシと直接通信する最下層で、車両の目標位置や速度を電気信号でシャーシに伝達し、スロットル、ブレーキ、ハンドルなどを操作します。

自動運転の目標は、都市道路の複雑な交通シナリオに対処し、あらゆる道路交通状況下で自動運転車両が安全な運転状態にあることを保証することです。ソフトウェア アルゴリズム層には、通常の運転シナリオにおける自動運転車の安全で効率的かつスムーズな交通を確保するために、大量のテスト データに基づいてトレーニングされた深層学習モデルがあり、安全アルゴリズム層では、さまざまな典型的な目的に合わせて一連の安全運転戦略が設計されています。自動運転車がどのようなシナリオでも安全な運転動作を実行できるようにします。たとえば、悪天候や視界の遮断などの極端なシナリオでは、防御的な運転戦略が発動され、速度を落としてより多くの状況を観察することで安全リスクを軽減できます。

自動運転車は、交通ルールと道路優先権をより遵守しています。道路交差点で他の交通参加者と遭遇したり、優先権を持った車両に遭遇したりする場合は、速度を落とすことも考慮します。安全第一主義に基づき、危険を回避するために下りたり道を譲ったりすること。 「ゴーストプローブ」などの危険度の高いシナリオに遭遇した場合、当社は安全第一原則を遵守し、緊急ブレーキ戦略を採用して可能な限り怪我を回避します。自動運転路上試験データと大量の極限シーンデータの蓄積により、自動運転コアアルゴリズムはデータ駆動型ディープラーニングアルゴリズムモデルを通じて進化し続け、事前予測して安全に運転できる「オールドドライバー」になりました。そして慎重に。

車路協調自動運転

車路協調自動運転は、単一車両のインテリジェント自動運転に基づいています。インターネットは、「人・車・道路・クラウド」の交通参加要素を有機的に結びつけ、車と車、車と道路、車と人の間でダイナミックかつリアルタイムの情報交換・共有を実現し、交通の安全を確保します。情報の相互作用とコラボレーション、協調センシング、協調意思決定制御を通じて、車両と道路の協調自動運転は、単一車両の知覚範囲を大幅に拡大し、その知覚能力を向上させ、高次元データによって表される新しいインテリジェント要素を導入して、次のことを実現できます。集団知性。自転車のインテリジェントな自動運転が直面する技術的なボトルネックを解決し、自動運転機能を向上させることで、自動運転の安全性を確保し、自動運転の運用設計領域（ODD）を拡大することができます。

たとえば、車両と道路の協調型自動運転は、単一車両のインテリジェンスがオクルージョンや悪天候などの環境条件の影響を受けやすいという問題や、動的と静的な問題を解決できます。死角/閉塞の共同知覚。自転車のインテリジェント自動運転はセンサーの感知角度によって制限され、静的障害物や動的障害物（大型車両など）に遮られると、死角にある車両や歩行者の動きを正確に把握できなくなります。車路連携では、路側に複数のセンサーを配置することで多方向・長距離の連続検知・認識を実現し、AV知覚と統合することで自動運転車による死角にいる車両や歩行者の正確な認識・認識を実現します。車両は事前に予測、判断、意思決定を制御できるため、事故のリスクが軽減されます。

図 2 動的および静的な死角領域の非自動車/歩行者ゴースト検出器の協調センシング

図 3 交差点オクルージョンの車両と道路の協調センシング

#自動運転安全冗長システム

「ISO 26262 道路車両の機能安全」によれば、システムの機能安全では機能冗長性の要件を考慮する必要があります。機能安全の設計基準によれば、機能冗長性はコンポーネントレベル、システムレベル、車両レベルの3つのレベルで完成します。システムの冗長設計は、安全で制御可能な自動運転を実現するための鍵であり、フルライン冗長設計により、車両制御システム、ハードウェア プラットフォーム、ソフトウェア プラットフォームの 3 つのレベルでの単一点障害または機能障害に効果的に対処できます。完全無人自動運転システムの提供 基本サポート。

L4 レベルの自動運転システムは、車載のメインコンピューティングユニットとセンシングシステムに加えて安全冗長性を備えており、ソフトウェアとハ​​ードウェアのヘテロジニアスな冗長設計を実現し、障害の発生を回避します。各システムが単一障害点、メイン コンピューティング システム、および冗長セキュリティ システムに異なる役割を分担して相互に検証する必要があるため、全体の安全性と信頼性が大幅に向上します。機能とアルゴリズムの戦略設計の観点から、冗長安全システムは、メイン コンピューティング システムのソフトウェアとハ​​ードウェアのリアルタイム監視と危険の特定に重点を置いており、メイン コンピューティング システムの異常が検出されると、MRC メカニズムがトリガーされます。警報、徐行ブレーキ、路肩停車、緊急ブレーキ、および車両を最小限のリスク状態 (MRC) に置くその他の方法。

ハードウェアとセンサーの冗長性

センサー、コンピューティング ユニットから車両制御システムに至るまで、相互の 2 つのセットが存在します。これは、単一障害点を回避し、システム全体の信頼性とセキュリティを向上させるための独立した冗長システムです。

#計算ユニットの冗長性

安全システムは、一連の SafetyDCU を冗長計算ユニットとして構成し、実際の処理を実行します。時間の計算とメインシステムの稼働状況の監視。メインのコンピューティングユニットに障害が発生した場合でも、冗長システムをサポートできるアルゴリズム動作により車両の制御が継続され、ロールバックのリスクを最小限に抑えながら徐ブレーキ、路肩停車などの動作を行うことができます。

#センサーの冗長性

#安全システムは、冗長設計を使用して、レーザーを使用した 2 つの独立した自動運転センサー システムを設計します。レーダー、カメラ、測位機器などのコンポーネントの冗長ソリューションは、単一のコンポーネントに障害が発生した場合に冗長システムを起動し、車両を安全に制御し、より信頼性の高いシステム動作を保証するための完全な環境認識機能を提供します。

車両制御システムの冗長性

車両のシャーシには、ステアリング、動力、ブレーキなどの冗長機能が備わっています。単一のシステムに障害が発生した場合、主要コンポーネントはバックアップ システムに切り替えて車両を制御し、車両を安全に停止し、車両が制御を失うのを防ぎます。

障害監視システムとソフトウェアの冗長性

障害監視システムはメイン コンピューティング ユニットと安全システムに導入されています。コンピューティング ユニット間の完全な障害検出システムは、システム動作中のすべてのソフトウェアおよびハードウェアの障害、障害、ODD 範囲外、システム アルゴリズムの欠陥などをリアルタイムで検出および監視し、メイン システムを通じて相互検証を実行できます。障害を見逃さないように相互にチェックおよび監視します。同時に、リスク予測が実行され、問題が発生しやすいデータがマイニング、分析され、特徴が抽出され、リアルタイムの安全リスク計算が車両側で実行されます。

ソフトウェア冗長システムは、軽量の知覚位置決めおよび意思決定制御ソフトウェアの完全なセットです。たとえば、測位システムの完全な冗長性により複数の相互検証が追加され、測位の異常検出とフォールト トレランスの能力が向上し、360 度の周囲の検出カバレッジを感知して車体の周囲および前方のリスクをリアルタイムに認識できます。メインシステムの障害または故障が検出されると、バックアップシステムが車両の制御を引き継ぎ、機能をダウングレードしたり、制限速度を超えてMRCに進入したり、低速ブレーキ、路肩に寄せたり、ブレーキをかけたりして、車両の安全な駐車を実現します。車両。

#図 4 障害監視システムとソフトウェアの冗長性

#リモートクラウド運転

リモートクラウド運転システムは、車両が閉じ込められた場合や極端な場合に使用されます。このシーンでは、リモート ドライバーが車両を引き継ぎ、環境モデル、メイン ビジョン、およびオーバーヘッド パースペクティブをサラウンド スクリーンを通して表示し、安全担当者に没入型の並行運転体験を提供します。遠隔ドライバーが車両を安全地帯まで運転してから、車両に制御を引き渡すとき、プロセス全体のエンドツーエンドの遅延は人間のドライバーの反応時間よりも短く、車両間の制御の切り替えも行われます。リモコンは完全にスムーズでシームレスです。リモート コックピットでは、マルチ画面監視を構成し、リスク警告や動的スケジューリングなどの機能を通じて、フリート レベルのリアルタイム監視を実現できます。

リモート クラウド運転には、アクティブ セーフティ、安全警告、基本的な安全機能を含む包括的なセキュリティ階層型設計があり、コックピット、ネットワーク、無人車両のステータスをリアルタイムで監視し、安全性を確保できます。さまざまな障害やリスクレベルに応じた対応を行い、自動運転の運用をさらに総合的にサポートします。現在の自動運転技術は、主に車両側の自動運転システムを利用して都市部の一般道路での自動運転を実現しており、極端な場合のみ遠隔クラウド運転に依存するため、1人の遠隔ドライバーが複数の車両を制御する効率的な運行サービスを実現できます。

#図 5 リモート クラウド駆動の製品設計

並列駆動がベース5G テクノロジーを使用すると、遠隔制御センターのセーフティ オペレーターは車両の環境と状態をリアルタイムで把握し、車両とクラウドをシームレスに接続し、自動運転が通行できないシナリオで完全な遠隔支援を行い、車両を元の場所に戻すことができます。完成後の自動運転状態は、現場での車両の脱出・回避を極限まで実現。

#5G クラウド運転は、将来の自動運転の重要な支援設備であり、5G、スマート交通、V2X などの新しいインフラ設備に基づいて、リアルタイムのビデオフィードバックを実現できます。自動運転車の内側と外側で、ドライバーが車内にいない場合、トランスミッション監視は自動運転システムの機能のギャップを埋めることができます。

図 6 リモート クラウドの運転に適用できるシナリオ

自動運転車両の試験と検証

自動運転システムは研究から本格的に実施する必要がある開発から応用まで 機能安全性および性能安全性試験の検証により、車両ユーザーやその他の交通参加者の個人の安全を保護するための操作上の安全性を証明します。仮想シミュレーションには数億から数百億キロメートルにわたる検証テストが必要で、実際の路上テストには 100 万キロメートルを超えるテストの蓄積が必要です。

テストプロセスシステム

自動運転試験では、シナリオベースの試験手法を採用し、各シナリオにおいて安全運転性能を備えているかを検証します。自動運転テスト シナリオ ライブラリはテスト システムの基礎であり、自動運転車両テストのあらゆる側面を推進します。

テスト シナリオ ライブラリには、典型的な日常の運転シナリオ、衝突リスクの高いシナリオ、法律および規制のシナリオなどが含まれています。また、標準的なテスト シナリオなど、業界標準を形成しているシナリオも含まれています。 AEB機能。具体的には、自然条件の違い（天候、照明）、道路の種類の違い（舗装状況、車線の種類など）、交通参加者の違い（車両、歩行者の位置、速度など）、環境の種類の違い（高速道路）に分けられます。 、コミュニティ、ショッピングモール、複数種類の仮想シミュレーションテストシナリオ（田舎など）と実際の交通環境でのテストシナリオ。試験内容には、センサー、アルゴリズム、アクチュエーター、マンマシンインターフェース、完成車両などが含まれ、アプリケーションの機能、性能、安定性と堅牢性、機能安全性、期待される機能など、さまざまな側面から自動運転システムの合理性を検証します。安全性、型式認証などの性能、安全性、安定性を評価し、車両が自律的に道路を走行できることを保証します。

自動運転車のテストプロセスシステムには、主にオフライン環境テスト、ビークルインザループテスト（VIL）、ロードインザループテスト（ロードインザループ、RIL）の3つが含まれます各段階で、ソフトウェア、ハードウェア、車両が層ごとにテストされ、路上での自動運転システムの安全性が確保されます。オフライン テスト フェーズでは、コードのすべての行を完全かつタイムリーにテストできます。ソフトウェアが変更されると、システムは車両に入る前に安全な車載テスト基準に達するまで、各テスト リンクを 1 つずつ自動的にトリガーします。 - ループ テスト フェーズとロードインザループ テスト フェーズのステージ。 Road-in-the-Loop テスト段階で問題が見つかった場合は、次のラウンドのコード変更が行われ、次のサイクルが開始されます。閉ループを繰り返した後も、自動運転機能は向上し続けています。

オフライン テスト

オフラインとは、車両を含まないテストを指します。作業のほとんどは室内で行われます。の研究室。この段階には、モデル イン ザ ループ テスト (モデル イン ザ ループ、MIL)、ソフトウェア イン ザ ループ テスト (ソフトウェア イン ザ ループ、SIL)、およびハードウェア イン ザ ループ テスト (ハードウェア イン ザ ループ、HIL) が含まれます。

モデルインザループ テストでは、大規模なデータ セットを使用して、知覚、予測、位置決め、制御などのコア アルゴリズム モデルを正確に評価し、モデル機能の変化を測定します。モデル評価後のさまざまな指標、自動マイニングを通じてアルゴリズムの問​​題や BadCase を早期に明らかにし、その後のテスト プロセスで取り残されることを防ぎます。

ソフトウェアインザループのテスト段階では、シミュレーション テストが自動運転テスト システムの重要なリンクであり、大量の路上テスト データをシミュレーション システムに注ぎ込むことで、その効果が向上します。新しいアルゴリズムは回帰を繰り返すことで検証されます。同時に、シミュレーション システム内で多数の極端なシナリオが構築され、単一のシナリオがパラメーター拡張を通じて大規模なシナリオに自動的に生成され、テスト カバレッジが向上します。さらに、シミュレーションプラットフォームには、シミュレーションプロセス中に発生する衝突の問題、交通違反の問題、体性感覚の問題、不合理なルートの問題を自動的に判断できる高度な測定システムも搭載されています。

ハードウェアインザループのテスト段階では、ソフトウェアとハ​​ードウェアを統合して、ソフトウェアとハ​​ードウェア システムの互換性と信頼性をテストします。通常、ハードウェア障害は、一定の確率とある程度の不測の事態で発生します。ハードウェアインザループのテスト段階では、実際のハードウェアと仮想ハードウェアの組み合わせに基づいて、何千もの現実のシナリオが復元され、テストされます。運転は 1 日 24 時間継続的にテストされ、システムはさまざまなリソース制限条件 (GPU リソースの不足、過剰な CPU 使用率など) の下でシステムのパフォーマンスと安定性をシミュレートするために圧力を加えます。同時に、この段階では多数のハードウェア障害がシミュレートされ、ハードウェア障害、停電、フレーム損失、アップストリームおよびダウンストリームのインターフェース異常などのハードウェア障害が発生した場合のシステムの応答をテストして、システムが ISO26262 の機能安全要件を満たしていること。

ビークルインザループテスト

#ビークルインザループテストフェーズは、最初に行われます。ベンチベースのテストを実施し、自動運転システムが意図したとおりに車両を制御できることを確認するために、ラック上で車両制御によるさまざまな機能、性能、安定性のテストを完了します。車両制御によるワイヤーテストが完了した後、VIL フェーズは閉鎖された会場に入り、実際の道路に基づいて仮想および現実のシナリオを構築し、実際の車両で自動運転システムの性能をテストします。

ロードインザループテスト

オフライン テストと車両インループ テストの段階 (各リンクには厳格なテスト合格基準があります) に合格した後、非公開の会場に入り、実際のシーンを構築して車両の自動運転機能と安全性をテストします。非公開の試験場は、直線道路、カーブ、交差点、坂道、トンネル、駐車場などの一般的な都市部の道路や高速道路を対象としています。さらに、ダミーや偽の車などのテスト機器を通じて、さまざまな低周波シナリオが構築されます。このような低頻度のシナリオは社会道路上に存在しますが、発生頻度は低く、一般道路で完全に検証するのは簡単ではありません。例えば、自転車が逆走する、歩行者が突然飛び出してくる、道路に水が溜まるなどです。

公道テストはロードインザループテストの最終ステップであり、自動運転車がテストと評価を完了するために通過する必要がある重要なステップです。公道テストは段階的に行われ、通常、最新のシステムは少数の車両に導入されてテストされ、安全であることが確認された後、より大きな車両に導入されます。大規模な自動運転車を導入し、実際の道路で継続的にテストと検証を行うことで、実際の道路シナリオと自動運転機能の継続的な閉ループが形成され、自動運転車の知能や安全性などが徐々に向上していきます。自動運転車のレベルに近づき、数千世帯に到達できる能力。

以上が自動運転車の安全技術的特徴について説明した記事の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。