一文聊聊自動駕駛汽車的安全技術特點

「安全第一」是自動駕駛的核心概念和價值。自動駕駛車輛的整體系統安全設計是一項複雜的系統工程， 涉及車載自動駕駛系統的核心演算法策略設計、 硬體和軟體冗餘安全設計、遠端雲端代駕技術、 全流程測試驗證技術等， 並遵循功能安全（ISO 26262） 和預期功能安全（ISO/PAS 21448） 的要求和設計思路。 下面梳理一下百度 L4 級自動駕駛的安全系統實踐， 分為主系統安全、 冗餘安全系統、 遠端雲端代駕系統三層安全系統。

#圖1 百度L4 整體系統安全設計想法

自動駕駛主系統安全

#主系統安全體系即透過車上自動駕駛系統的核心演算法層來確保駕駛策略和駕駛行為的安全性， 也可稱為「策略安全」。使用最先進可靠的感知與定位演算法、 預測決策規劃與控制演算法來應對道路行駛中的各種場景， 尤其是需要保證在遇到難度場景時也可以從駕駛策略和行為上確保安全。

自動駕駛主系統安全是軟硬體組合套件的安全設計。軟體演算法是整個自動駕駛系統的核心， 典型的 L4 級自動駕駛演算法系統架構主要包括車載作業系統、 環境感知、 高精地圖與定位、 預測決策與規劃、 控制與執行模組等。

作業系統

基礎作業系統是在自動駕駛汽車上運行用於管理、調度、控制車載軟硬體資源的基礎軟體。其主要任務是為自動駕駛系統提供任務即時調度、 即時運算任務資源隔離、 即時訊息通訊、 系統級存取控制等能力， 有效管理系統資源， 提高系統資源使用率， 向無人車演算法模組封鎖硬體軟體物理特性及操作細節， 承載運轉感知、 定位、 規劃決策與控制等自動駕駛核心組件。作業系統具有高穩定、 即時性、 低時延（反應速度高於人類駕駛 250ms） 等特性。

泛感知系統

#環境感知是自動駕駛的前提條件。環境感知系統融合光達、 毫米波雷達、 攝影機等多感測器的優勢， 實現車身周圍360 度視距， 在複雜變化的交通環境中穩定檢測並追蹤交通者的行為和速度朝向等信息， 為決策規劃模組提供場景理解資訊。

感知演算法採用多感測器融合的框架， 能夠提供最遠 280 公尺外的障礙物的偵測。基於深度神經網路及海量的自動駕駛數據， 能夠準確的識別出障礙物類型、 並穩定追蹤障礙物行為，為下游決策模組提供穩定的感知能力。基於多感測器融合方案的感知系統， 透過異源感知通路形成冗餘， 為自動駕駛系統提供高容錯能力從而提升系統安全。

除此之外， 感知演算法還透過水霧雜訊識別、 低矮障礙物偵測、 異形交通號誌和標識的偵測等能力， 有效支援場景擴展。在紅綠燈辨識上， 可將自車感知識別的紅綠燈燈色和倒數計時與高精地圖提供的先驗資訊進行交叉驗證， 同時提高臨時紅綠燈辨識能力， 確保可靠性和安全性。

高精地圖與高精定位為自動駕駛車輛提供預先的道路信息、 精準的車輛位置信息和豐富的道路元素數據信息， 強調空間的三維模型以及精度， 非常精確的顯示路面上的每一個特徵和狀況。高精地圖與定位採用光達、 視覺、 RTK 與 IMU 多感測器融合的方案， 透過多種感測器融合使得定位精度可以達到 5-10 厘米， 滿足 L4 級自動駕駛需求。

預測決策與規劃控制

#預測決策與規劃控制技術模組相當於自動駕駛汽車的大腦。預測決策與規劃是軟體演算法核心模組， 直接影響車輛自動駕駛的能力與效果。此演算法模組基於交通安全規範與共識規則，為車輛規劃出安全、 高效、 舒適的行駛路徑和軌跡。為了更好提升演算法的泛化能力， 應用資料探勘和深度學習演算法來實現智慧規劃駕駛行為。

在給定車輛設定的出發地與目的地後， 系統產生最優的全域規劃路徑。車輛能夠即時接收感知模組提供的環境和障礙物訊息， 結合高精度地圖， 追蹤並預測週邊車輛、 行人、 騎乘者或其他障礙物的行為意圖和預測軌跡， 綜合考慮安全性、 舒適性和效率，產生駕駛行為決策（跟車、 換道、 停車等） ， 並依照交通規則和文明交通禮儀對車輛進行運行規劃（速度、軌跡等） ， 最終輸出到控制模組實現車輛加減速和轉向動作。車輛控制部分是最底下一層，直接與車輛底盤通信， 將車輛的目標位置和速度透過電信號傳給底盤來操作油門、 煞車和方向盤。

自動駕駛的目標是應對城市道路的複雜交通場景， 在任何道路交通狀況下都能保證自動駕駛車輛處於安全駕駛狀態。在軟體演算法層， 有基於海量測試資料訓練的深度學習模型， 保證自動駕駛車輛在常規駕駛場景下安全高效平穩的通行；在安全演算法層， 針對各種典型危險場景設計了一系列安全駕駛策略，保證自動駕駛車輛在任何場景下都能做出安全的駕駛行為。如在惡劣天氣、 視野遮蔽等極端場景下， 會觸發防禦性駕駛策略， 透過多觀察減速駕駛降低安全風險等。

自動駕駛車輛更遵守交通規則和道路優先通行權， 在道路交叉口與其他交通參與者交匯場景下， 在高路權情況下遇到搶行車輛，也會以安全第一原則考慮減速讓行， 避免風險。在遇到「鬼探頭」等高風險風險情境時， 也會堅持安全第一原則採取緊急煞車策略盡量避免傷害。隨著自動駕駛道路測試數據和大量的極端場景數據的積累， 自動駕駛核心算法通過數據驅動的深度學習算法模型， 得以持續不斷進化， 成為能夠提前預判、 安全謹慎駕駛的“老司機”。

車路協同

#車路協同自動駕駛是在單車智慧自動駕駛的基礎上， 透過車聯網將「人-車-路-雲」交通參與要素有機地連結在一起， 實現車與車、 車與路、 車與人之間動態即時資訊互動共享， 保證交通安全。車路協同自動駕駛透過資訊互動協同、 協同感知與協同決策控制， 可以大幅拓展單車的感知範圍、 提升感知的能力， 引入高維度資料為代表的新的智慧要素， 實現群體智慧。可協助解決單車智慧自動駕駛遇到的技術瓶頸， 提升自動駕駛能力， 從而確保自動駕駛安全， 擴展自動駕駛設計運行域（Operational Design Domain， ODD） 。

例如， 車路協同自動駕駛可以解決單車智慧易受到遮蔽、 惡劣天氣等環境條件影響， 在動靜態盲區/遮蔽協同感知方面的問題。單車智慧自動駕駛受限於感測器感知角度限制， 當出現靜態障礙物或動態障礙物（如大型車輛） 遮蔽時， AV 無法準確取得盲區內的車輛或行人的運動情況。車路協同則透過路側多感測器部署， 實現對多方位、 長距離連續檢測識別，並與AV 感知進行融合， 實現自動駕駛車輛對盲區內車輛或行人的準確感知識別， 車輛可提前做出預判和決策控制， 進而降低事故風險。

圖2 動靜態盲點非機動車/行人鬼探頭協同感知

圖3 路口遮擋車路協同感知

##自動駕駛安全冗餘系統

#根據《ISO 26262 道路車輛功能安全》，系統功能安全必須考慮功能冗餘的要求。依照功能安全的設計標準， 功能冗餘從部件級、 系統級和整車級三個層面來完成。冗餘的系統設計是確保自動駕駛安全可控的關鍵， 依托全線冗餘設計可有效應對車輛控制系統、 硬體平台、軟體平台三個層次單點故障或功能失效， 為完全無人自動駕駛系統提供基礎支撐。

L4級自動駕駛系統在車載主運算單元和感測系統之外又配置了安全冗餘實現了軟體和硬體的異質冗餘設計， 避免了各個系統的單點失效， 主運算系統和冗餘安全系統分工不同且互為校驗， 整體上實現安全性和可靠性極大提升。冗餘安全系統在功能和演算法策略設計上，專注於對主運算系統軟硬體的即時監控， 並進行危害識別， 當偵測到主運算系統異常時將觸發MRC 機制， 透過警告、 緩剎、 靠邊停車、 緊急煞車等方法讓車輛進入最小風險狀（Minimal Risk Condition， MRC） 。

硬體與感測器冗餘

#從感測器、 運算單元到車輛控制系統，都具備兩套互為獨立冗餘的系統， 避免單點失效，提升系統整體可靠性與安全性。

計算單元冗餘

#安全系統透過配置一套SafetyDCU 作為冗餘計算單元，即時運算並監控主系統工作狀態。當主運算單元故障時， 能夠支援冗餘系統的演算法運算繼續控制車輛， 做出風險最小回退的緩煞車、 靠邊停車等動作。

感測器冗餘

#安全系統透過冗餘設計兩套獨立的自動駕駛感測器系統， 採用激光雷達、 攝影機、 定位設備等零件冗餘方案， 在任何單一零件失效的情況下， 都能夠觸發冗餘系統， 提供完善環境感知能力， 從而安全控制車輛， 保障系統的運作更加可靠。

############車輛控制系統冗餘################ 車輛底盤具備冗餘能力，包括轉向、 動力、煞車等關鍵零件， 能夠在單一系統故障失效時， 切換到備用系統控制車輛， 幫助安全停車， 防止車輛失控的發生。 ###############故障監控系統與軟體冗餘################故障監控系統為部署在主運算單元與安全運算單元之間的一套完整故障偵測系統， 能夠對系統運作中的所有軟硬體類別失效、 故障、 超出ODD 範圍、 系統演算法缺陷等做到即時偵測監聽， 並透過主系統和冗餘系統進行交叉驗證，互相校驗監控， 確保故障沒有遺漏。同時進行風險預測， 對易發生問題的資料進行挖掘分析、 特徵提取， 在車端進行即時安全風險計算。 ######

軟體冗餘系統是一套完整的輕量化的感知定位與決策控制的軟體。例如完善的定位系統冗餘， 增加多重交叉驗證提升定位異常檢測和容錯的能力；感知360 度環景偵測覆蓋， 對車身周圍和前向風險做到即時感知；當偵測到主系統故障或失效時，備援系統取代其接管車輛的操控， 透過限速、 緩慢煞車、 靠邊停車、 煞車停等進行功能性降級或進入MRC， 實現車輛的安全停車。

圖4 故障監控系統與軟體冗餘

遠端雲代駕

#遠端雲代駕系統是在車輛遇困或極端場景下， 由遠端駕駛者接手車輛， 透過環繞螢幕展示環境建立模型及主視覺、 俯視角， 為安全員提供身臨其境的平行駕駛感受。當遠端駕駛將車輛開到安全地帶後再將控制權移交給車端， 整個過程端到端時延比人類司機的反應時間更短，且車端和遠端的控制權切換完全平滑無感。在遠端駕駛艙， 透過配置多螢幕監控， 以及透過風險預警和動態調度等功能， 可以實現車隊級即時監控。

遠端雲端代駕設有包含主動安全、 安全預警以及安全基礎功能在內的全面安全分層設計，可即時監控駕駛艙、 網路、 無人駕駛車輛狀態， 並根據不同故障或風險等級做出安全處理，進一步為自動駕駛運作全面護航。目前自動駕駛技術在常規城市道路下主要由車端自動駕駛系統實現自主駕駛， 僅在極端場景下借助遠程雲代駕， 因此可以實現遠程駕駛員一人控制多車的高效運營服務。

圖5 遠端雲端代駕產品設計

平行駕駛基於5G 技術， 遠端控制中心的安全操作員能夠即時了解車輛所處環境與狀態，車雲無縫對接， 在自動駕駛無法通過的場景下完成遠端協助， 結束後使車輛回到自動駕駛狀態， 實現極端場景下的車輛脫困避險。

5G 雲端代駕是未來無人駕駛的重要配套設施， 基於5G、 智慧交通、 V2X 等新基建設施，實現自動駕駛車輛車內、 車外視訊即時回傳監控， 可在車上無駕駛員的情況下為自動駕駛系統的能力缺口補位。

圖6 遠端雲端代駕適用場景

自動駕駛汽車測試與驗證

自動駕駛系統從研發到應用，需要充分的功能安全和性能安全測試驗證來證明其運行安全性， 以保障乘車用戶和其他交通參與者的人身安全。虛擬模擬需要進行數億至上百億公里的驗證測試， 真實道路測試需要百萬公里以上的測試累積。

測試流程系統

自動駕駛測試以場景化的測試方法， 驗證在每個場景下是否都具備安全駕駛能力。自動駕駛測試場景庫是測試系統的基礎， 驅動自動駕駛車輛測試各環節。

測試場景庫包含典型的日常行駛場景、 高碰撞風險場景、 法律法規場景等， 同時也包含已經形成行業標準的場景，例如 AEB 功能的標準測試場景。具體分為不同自然條件（天氣、 光照） 、 不同道路類型（路面狀態、 車道線類型等） 、 不同交通參與者（車輛、 行人位置、 速度等） 、 不同環境類型（高速公路、 小區、 商場、鄉村等） 的多類型虛擬模擬測試場景和真實交通環境的測試試驗場景。測試內容包括感測器、 演算法、 執行器、 人機介面以及整車等， 從應用功能、 性能、 穩定性和穩健性、 功能安全、 預期功能安全、 型式認證等各個方面來驗證自動駕駛系統的合理性、 安全性和穩定性， 從而確保車輛能夠自主上路。

自動駕駛汽車的測試流程系統主要包括離線環境測試、 車輛在環測試（Vehicle in theLoop， VIL） 、 道路在環測試（Road in the Loop， RIL） 三個階段， 對軟體、 硬體、 車輛進行逐層環環相扣測試， 確保自動駕駛系統上路測試的安全性。在離線測試階段， 每一行程式碼都能充分及時的測試， 當軟體發生修改後， 系統會逐一自動觸發各個測試環節， 直到達到安全的上車測試標準方進入車輛在環測試階段及道路在環階段。道路在環測試階段發現問題會進行下一輪的程式碼修改， 開始下一次的循環。經過一輪又一輪的閉環， 使得自動駕駛能力不斷提升。

離線測試

#離線是指未包含車輛的測試， 大部分工作是在實驗室完成的。這個階段包含了模型在環測試（Model in the Loop， MIL） 、 軟體在環測（Software in the Loop， SIL） 、 硬體在環測試（Hardware in the Loop， HIL） 。

模型在環測試利用大規模資料集對感知、 預測、 定位、 控制等核心演算法模型進行精確的評估， 透過模型評估後的各項指標度量模型能力變化， 透過自動化挖掘在早期暴露演算法問題和BadCase， 避免遺留到後續測試過程。

軟體在環測試階段， 模擬測試是自動駕駛測試體系的關鍵環節， 透過將大量的道路測試資料灌入模擬系統， 重複迴歸驗證新演算法的效果。同時在模擬系統中建構大量的極端場景，並且透過參數擴展的方法將單一的場景自動化生產規模化的場景， 以提高測試的覆蓋度。此外， 模擬平台還有一套精細的度量體系， 可以自動化地判斷模擬過程中發生的碰撞問題、 違反交規問題、 體感問題、 路線不合理問題。

硬體在環測試階段， 將軟體和硬體整合在一起， 以測試軟體硬體系統的兼容性和可靠性。通常硬體的故障發生都有一定的機率， 帶有一定的偶然性， 在硬體在環測試階段基於真實和虛擬硬體結合方式進行成千上萬真實場景的還原測試， 並且24 小時不間斷的對自動駕駛系統施加壓力， 以模擬系統在不同資源極限條件下（例如：GPU 資源不足， CPU 使用率過高）的效能和穩定性表現。同時在這個階段模擬了大量的硬體故障， 測試在硬體故障的情況下系統的反映， 如硬體失效、 斷電、 丟幀、 上下游介面異常等， 確保系統符合 ISO26262 功能安全要求。

車輛在環測試

# 車輛在環測試階段會先進行基於台架的測試， 在台架上完成各項車輛線控功能、 性能及穩定性測試， 以確保自動駕駛系統可依照意圖控制車輛。完成車輛線控的測試後 VIL環節會進入封閉場地， 基於真實的道路構建虛實結合的場景測試自動駕駛系統在真實車輛上的表現。

道路在環測試

在離線測試和車輛在環測試階段通過後（每個環節都有嚴格的測試通過標準） ， 接下來進入封閉場地內構建真實的場景來測試車輛的自動駕駛各項能力和安全性。封閉測試場涵蓋了常見的城市道路及高速道路， 包括直行道路、 彎道、 路口、 坡路、 隧道及停車場等。另外，透過假人、假車等測試設備建構各種低頻場景。這類低頻場景在社會道路上存在， 但是出現的頻率較低， 在開放道路上不易得到充分驗證。例如逆行的自行車、 突然衝出的行人、 路段積水等場景。

開放道路測試是道路在環測試的最終環節， 也是自動駕駛車輛完成測試評估所必須經過的重要環節。開放道路測試是循序漸進的， 通常最新的系統部署在少量車上進行測試，確認安全後再部署到更大規模的車隊。透過部署規模化自動駕駛車輛不斷在實際道路上進行測試和驗證， 形成實際路上場景和自動駕駛能力不斷閉環， 使自動駕駛車輛在智能度、 安全性等方面持續提升， 從而逐漸接近具備自動駕駛車輛走進千家萬戶的能力。

以上是一文聊聊自動駕駛汽車的安全技術特點的詳細內容。更多資訊請關注PHP中文網其他相關文章！