“安全第一”是自动驾驶汽车的核心理念和价值。自动驾驶汽车整体系统安全设计是一项复杂的系统工程,涉及核心算法策略设计、软硬件冗余安全设计、远程云驾驶技术、全过程测试验证技术等。功能安全(ISO26262)和预期功能安全(ISO/PAS21448)要求和设计思路。下面来梳理一下百度L4级自动驾驶的安全体系实践,分为三层安全体系:主系统安全、冗余安全系统、远程云驾驶系统。图1百度L4整体系统安全设计思路自动驾驶主系统的安全系统是通过车载自动驾驶系统的核心算法层来保证驾驶策略和驾驶行为的安全,也可以称为“战略安全”。采用最先进可靠的感知定位算法、预测决策规划和控制算法,应对道路行驶中的各种场景,尤其是在遇到困难场景时,从驾驶策略和行为上保障安全。自动驾驶主系统的安全是软硬件组合套件的安全设计。软件算法是整个自动驾驶系统的核心。典型的L4级自动驾驶算法系统架构主要包括车载操作系统、环境感知、高精度地图与定位、预测决策与规划、控制与执行模块等。操作系统基础操作系统是基础软件运行在自动驾驶汽车上,对车载软硬件资源进行管理、调度和控制。其主要任务是为自动驾驶系统提供实时任务调度、实时计算任务资源隔离、实时消息通信、系统级访问控制等能力,有效管理系统资源,提高系统资源利用率,并屏蔽无人车算法模块的硬件和软件物理特征和操作细节,承载着操作感知、定位、规划决策和控制等自动驾驶的核心部件。操作系统具有高稳定性、实时性、低延迟(响应速度比人类司机高250ms)等特点。泛感知系统环境感知是自动驾驶的先决条件。环境感知系统融合激光雷达、毫米波雷达、摄像头等多种传感器的优势,实现车身四周的360度视线,稳定检测和跟踪交通行为、速度方位等信息在复杂多变的交通环境中。决策规划模块提供情景理解信息。感知算法采用多传感器融合架构,可提供最远280米的障碍物检测。基于深度神经网络和海量自动驾驶数据,能够准确识别障碍物类型,稳定跟踪障碍物行为,为下游决策模块提供稳定的感知能力。基于多传感器融合方案的感知系统通过异构感知通路形成冗余,为自动驾驶系统提供高容错性,提高系统安全性。此外,感知算法还通过水雾噪声识别、低障碍物检测、异常交通信号标志检测等能力,有效支持场景扩展。在红绿灯识别方面,本车感知识别的红绿灯颜色和倒计时可以与高精地图提供的先验信息进行交叉验证,提高临时红绿灯识别能力,保证可靠性和安全。高精度地图、高精度定位,为自动驾驶车辆提供超前的道路信息、精准的车辆位置信息和丰富的道路要素数据信息,强调空间的三维模型和精度,展现道路上的每一个特征和状态非常准确。高精度地图定位采用激光雷达、视觉、RTK、IMU多传感器融合解决方案。通过多传感器融合,定位精度可达5-10厘米,满足L4级自动驾驶需求。预测决策与规划控制预测决策与规划控制技术模块相当于自动驾驶汽车的大脑。预测决策和规划是软件算法的核心模块,直接影响车辆自动驾驶的能力和效果。算法模块基于交通安全规范和共识规则,为车辆规划安全、高效、舒适的行驶路径和轨迹。为了更好地提高算法的泛化能力,应用数据挖掘和深度学习算法实现驾驶行为的智能规划。给定车辆设定的起点和终点后,系统生成最优的全局规划路线。车辆可实时接收感知模块提供的环境和障碍物信息,结合高精度地图,跟踪预测周围车辆、行人、骑行者或其他障碍物的行为意图和预测轨迹,综合考虑安全性,舒适和效率。根据交通规则和文明交通礼仪,生成驾驶行为决策(跟车、变道、停车等),规划车辆运行(速度、轨迹等),最终输出给控制模块,实现车辆加速、减速和转向动作。车辆控制部分为底层,直接与车辆底盘通信,将车辆的目标位置和速度通过电信号传递给底盘,以操作油门、刹车和方向盘。自动驾驶的目标是应对城市道路复杂的交通场景,保证自动驾驶汽车在任何道路交通条件下都处于安全行驶状态。在软件算法层,有基于海量测试数据训练的深度学习模型,保障自动驾驶车辆在常规驾驶场景下安全、高效、顺畅通行;在安全算法层,针对各种典型危险场景设计了一系列安全驾驶策略,确保自动驾驶汽车在任何场景下都能进行安全驾驶行为。例如,在恶劣天气、视线遮挡等极端场景下,会触发防御性驾驶策略,通过多观察、减速驾驶来降低安全风险。自动驾驶车辆更遵守交通规则和道路优先权。在道路路口与其他交通参与者相遇的场景,以及在路权高的情况下遇到疾驰车辆,也会本着安全第一的原则考虑减速让行。规避风险。在遇到“幽灵探头”等高危场景时,也会秉承安全第一的原则,采取紧急制动策略,尽可能避免受伤。随着自动驾驶路测数据和大量极端场景数据的积累,自动驾驶的核心算法可以通过数据驱动的深度学习算法模型不断进化,成为可以提前预知的“老司机”并安全、谨慎地驾驶。车路协同车路协同自动驾驶是基于单车的智能自动驾驶。通过车联网,将“人-车-路-云”的交通参与要素有机链接在一起,实现车与车、车与路、车与车的动态实时信息交换并与人们共享,以确保交通安全。车路协同自动驾驶可以通过信息交互协同、协同感知和协同决策控制,极大地拓展感知范围,提高感知能力,引入以高维数据为代表的新型智能要素,实现群体智能。有助于解决单车智能自动驾驶遇到的技术瓶颈,提升自动驾驶能力,从而保障自动驾驶的安全性,拓展自动驾驶的操作设计域(OperationalDesignDomain,ODD)。例如,车路协同自动驾驶可以解决单车智能易受遮挡、恶劣天气等环境条件影响的问题,在动静态盲点/遮挡协同感知方面。单车智能自动驾驶受限于传感器的感知角度。当有静态障碍物或动态障碍物(如大型车辆)遮挡时,AV无法准确获取盲区内车辆或行人的运动情况。车路协同通过在路边部署多个传感器,实现多方位、远距离连续检测识别,并结合AV感知,实现自动驾驶车辆、车辆对盲区车辆或行人的精准感知识别可以提前警告。判断和决策控制,从而降低事故发生的风险。图2非机动车/行人与ghostprobe在动静盲区协同感知图3路口车路遮挡协同感知自动驾驶安全冗余系统根据《ISO26262道路车辆功能安全》,系统功能安全必须考虑以下需求功能冗余。根据功能安全的设计标准,功能冗余从部件级、系统级和整车级三个层次完成。冗余系统设计是保证自动驾驶安全性和可控性的关键。依托全线冗余设计,可有效应对整车控制系统、硬件平台、软件平台三个层面的单点故障或功能故障,提供完全无人驾驶的自动驾驶系统。基地支持。L4级自动驾驶系统除车上主计算单元和传感器系统外,还配备安全冗余,实现软硬件异构冗余设计,避免各系统、主计算系统和冗余安全的单点故障系统具有不同的分工和相互验证,大大提高了整体的安全性和可靠性。在功能和算法策略设计上,冗余安全系统着重于对主计算系统软硬件的实时监控,进行危害识别。当主计算系统检测到异常时,会触发MRC机制,通过警告、慢刹车、停车、紧急刹车等方式停止系统,让车辆进入最小风险状态(Minimal风险状况,MRC)。硬件和传感器冗余从传感器、计算单元到车辆控制系统,有两套独立的冗余系统,避免单点故障,提高系统的整体可靠性和安全性。计算单元冗余安全系统配置一组SafetyDCU作为冗余计算单元,实时计算并监控主系统的工作状态。当主计算单元出现故障时,可支持冗余系统的算法运行,继续控制车辆,以最小的后退风险进行慢刹车、靠边等动作。传感器冗余安全系统采用两套独立的自动驾驶传感器系统冗余设计,采用激光雷达、摄像头、定位设备等部件冗余解决方案,可在任何单个部件发生故障时触发冗余系统,提供提升环境感知能力,安全操控车辆,保障系统更可靠运行。车辆控制系统冗余车辆底盘具有冗余能力,包括转向、动力、制动等关键部件。当单个系统出现故障时,可以切换到备用系统控制车辆,有助于安全停车,防止车辆失控的发生。故障监控系统和软件冗余故障监控系统是部署在主计算单元和安全计算单元之间的一个完整的故障检测系统,可以监控系统运行过程中的所有软硬件故障、故障、超出ODD范围、系统算法等.可以实时检测和监控缺陷等,主系统和冗余系统交叉验证,相互检查和监控,确保不遗漏任何故障。同时进行风险预测,对易出现问题的数据进行挖掘分析和特征提取,并在车端进行实时安全风险计算。软冗余系统是一套完整的轻量级感知定位和决策控制软件。例如,完善定位系统冗余,加入多重交叉验证,提高定位异常检测和容错能力;perception360环视检测覆盖度,实时感知车身周围及前方风险;当主系统失效或检测到故障时,备用系统代替它接管车辆的控制,通过限速、慢刹车、靠边、停车等方式降级功能或进入MRC,从而实现车辆的安全停放。图4.故障监控系统和软冗余远程云驾驶系统。远程云驾驶系统用于远程驾驶员在车辆被困或处于极端场景时接管车辆。环绕屏显示环境模型、主视野、鸟瞰图。安全员提供身临其境的平行驾驶体验。当远程司机将车辆开到安全区域,再将控制权交给汽车时,整个过程的端到端延迟比人类司机的反应时间要短,车与车之间的控制切换遥控器完全流畅无缝。在远程驾驶舱内,通过配置多屏监控、风险预警和动态调度等功能,可实现车队级实时监控。远程云驾拥有全面的安全分层设计,包括主动安全、安全预警和安全基础功能,可实时监控驾驶舱、网络和无人车状态,根据不同故障或风险等级做出安全处理,进一步全力为自动驾驶运营保驾护航。目前的自动驾驶技术主要通过车端自动驾驶系统实现常规城市道路的自动驾驶,极端场景下仅依靠远程云驾驶,实现一人远程控制多车的高效运营服务。图5远程云驾驶产品设计平行驾驶基于5G技术。远程控制中心的安全操作员可以实时了解车辆的环境和状态。车与云无缝连接,在自动驾驶无法通过的场景下也能完成远程协助。结束后,车辆返回自动驾驶状态,实现车辆在极端场景下的逃生避让。5G云端驾驶是未来无人驾驶的重要支撑。基于5G、智慧交通、V2X等新基建设施,可实现自动驾驶车辆车内外视频实时回传监控。以下是自动驾驶系统的能力缺口填补。图6远程云端自动驾驶车辆测试验证应用场景自动驾驶系统从研发到应用,需要进行充分的功能安全和性能安全测试验证,以证明其运行安全,从而保护乘员安全和其他交通参与者的人身安全。虚拟仿真需要数亿至数百亿公里的验证试验,真实道路试验需要百万公里以上的试验积累。测试流程系统自动驾驶测试采用场景化测试方式,验证其是否具备在各个场景下安全驾驶的能力。自动驾驶测试场景库是测试系统的基础,驱动着自动驾驶车辆测试的各个环节。测试场景库包括典型的日常驾驶场景、高碰撞风险场景、法律法规场景等,以及已经形成行业标准的场景,如AEB功能的标准测试场景。具体分为不同自然条件(天气、光照)、不同道路类型(路面状态、车道线类型等)、不同交通参与者(车辆、行人位置、速度等)、不同环境类型(高速公路、小区)小区、商场、乡村等)多类型虚拟仿真测试场景和真实交通环境测试场景。测试内容包括传感器、算法、执行器、人机界面、整车等,从应用功能、性能、稳定性和鲁棒性、功能安全、预期功能等多方面验证自动驾驶系统的合理性。安全和型式认证。安全、安全、稳定,从而保证车辆能够自主上路。自动驾驶汽车的测试流程体系主要包括三个阶段:离线环境测试、车辆在环测试(VehicleintheLoop,VIL)、道路在环测试(RoadintheLoop,RIL)。联锁试验确保了自动驾驶系统道路试验的安全性。在离线测试阶段,可以对每一行代码进行全面及时的测试。当软件修改后,系统会自动触发各个测试环节,直至达到安全上车测试标准后,才进入车辆在环测试阶段和道路在环测试阶段。阶段。如果在环路测试阶段发现问题,则进行下一轮代码修改,开始下一个循环。经过一轮又一轮的闭环,自动驾驶能力不断提升。离线测试离线是指不涉及车辆的测试,大部分工作在实验室完成。此阶段包括模型在环(MIL)、软件在环(SIL)和硬件在环(HIL)。模型在环测试利用大规模数据集对感知、预测、定位、控制等核心算法模型进行精准评估,并通过模型评估后的各项指标衡量模型能力变化,暴露算法问题和BadCase通过自动化挖掘的早期阶段。避免遗留在后续测试过程中。在软件在环测试阶段,仿真测试是自动驾驶测试系统中的关键环节。通过将海量路测数据注入仿真系统,通过回归反复验证新算法的效果。同时在仿真系统中构建了大量的极端场景,通过参数扩容的方式将单个场景自动生成为大规模场景,提高测试的覆盖率。此外,仿真平台还拥有完善的测量系统,可以自动判断仿真过程中出现的碰撞问题、交通违章问题、体感问题、不合理路线问题等。在硬件在环测试阶段,将软件和硬件集成在一起,测试软硬件系统的兼容性和可靠性。通常,硬件故障具有一定的概率和一定的偶然性。在硬件在环测试阶段,基于真实和虚拟硬件的结合,还原了数千个真实场景,24小时不间断进行自动驾驶测试。系统强调模拟不同资源限制条件下(如:GPU资源不足、CPU使用率高)下系统的性能和稳定性。同时,该阶段模拟大量硬件故障,测试系统在硬件故障情况下的反映,如硬件故障、断电、丢帧、上下行接口异常等,确保该系统满足ISO26262的功能安全要求。车辆在环测试在车辆在环测试阶段,首先会进行台架测试,在台架上完成各种车辆线控功能、性能和稳定性测试以确保自动驾驶系统能够按预期控制车辆。车辆远程控制测试完成后,VIL链路将进入封闭场,以真实道路为基础构建虚实结合的场景,测试自动驾驶系统在真车上的性能。道路在环测试通过线下测试和车辆在环测试(每个环节都有严格的测试通过标准)后,再进入封闭场地搭建真实场景,测试车辆的自动驾驶能力和安全。封闭试验场涵盖了城市道路和高速公路的普通道路,包括直路、弯道、路口、坡道、隧道和停车场。此外,通过假人、假车等测试设备构建各种低频场景。此类低频场景在社会道路上存在,但出现频率低,在开放道路上难以得到充分验证。比如自行车逆行、行人突然冲出、路段积水等场景。开放道路测试是道路在环测试的最后环节,也是自动驾驶汽车完成测试评估必须经过的重要环节。开放道路测试是逐步进行的,最新的系统通常部署在少量车辆上进行测试,然后在确认安全后部署到更大的车队。通过大规模部署自动驾驶汽车在实际道路上进行持续测试验证,形成实际道路场景和自动驾驶能力的持续闭环,使自动驾驶汽车在智能化和智能化方面不断提升。安全,从而逐渐接近那些拥有自动驾驶汽车进入千家万户的能力。
