您當前的位置:首頁 > 攝影

從控制系統的角度看自動駕駛及其安全設計

作者:由 丁前利 發表于 攝影時間:2021-06-11

以下文章來源於汽車電子與軟體 ,作者David Li

歡迎關注我的微信公眾號:

阿寶1990

,每天給你汽車乾貨,我們始於車,但不止於車。

前言

智慧駕駛是一個交叉學科,既需要車輛工程,控制工程,計算機科學等工程學科的知識,也需要數學,物理學等基礎科學支撐。智慧駕駛汽車透過搭載先進的車載感測器、控制器和資料處理器、執行機構等裝置,從而具備在複雜行駛環境下的感測感知、決策規劃、控制執行等功能,以實現安全、高效、舒適和節能的智慧行駛。那麼無論是物理意義上的感測器,控制器和執行機構,還是演算法層面的感測感知,決策規劃和控制執行,其實都是一種控制系統。本文就從控制理論與控制工程的角度跟大家聊聊控制系統與自動駕駛安全設計的關係。

1. 控制系統概述

20世紀40年代是自動化技術和理論形成的關鍵時期,一批科學家為了解決軍事上提出的火炮控制、魚雷導航、飛機導航等技術問題,逐步形成了以分析和設計單變數控制系統為主要內容的經典控制理論與方法。例如,最早期的定速巡航系統就是使用經典控制理論的PID控制系統設計。50年代末到60年代初,大量的工程實踐,尤其是航天技術的發展,涉及大量的多輸入多輸出系統的最優控制問題,用經典的控制理論已難於解決,於是產生了以極大值原理、動態規劃和狀態空間法等為核心的現代控制理論。

汽車防抱死制動系統(ABS)就是一個使用現代控制理論的典型的最優控制系統設計。智慧控制的思想出現於20世紀60年代,智慧控制是具有智慧資訊處理、智慧資訊反饋和智慧控制決策的控制方式,是控制理論發展的高階階段,主要用來解決那些用傳統方法難以解決的複雜系統的控制問題。智慧控制研究物件的主要特點是具有不確定性的數學模型、高度的非線性和複雜的任務要求,它適用於對環境和任務的變化具有快速應變能力並需要運用知識進行控制的複雜系統的控制問題。大多數複雜的汽車控制系統,例如汽車動力系統,輔助駕駛系統和自動駕駛系統都屬於這一類。

從控制系統的角度看自動駕駛及其安全設計

1971年智慧控制奠基人傅京孫教授提出智慧控制概念,並且歸納了三種類型的智慧控制系統:1) 人作為控制器的控制系統;2) 人–機結合作為控制器的控制系統;3) 無人參與的智慧控制系統。看著是不是很熟悉?SAE J3016中定義的自動駕駛等級與以上三種類型的智慧控制系統也有著千絲萬縷的關係。如果把整車看作被控物件,L0與L1基本還是第一種,即人作為控制器的控制系統;L2與L3應該是屬於第二種,即人-機結合作為控制器的控制系統;L4與L5就是最後一種,無人參與的智慧控制系統了。

2. 控制系統與自動駕駛

自動控制系統是指為了實現各種複雜的控制任務,將被控物件和控制裝置按照一定方式連線起來,組成的一個有機整體。一般的針對控制系統都可以用類似於以下的方框圖的形式來表示。

從控制系統的角度看自動駕駛及其安全設計

這裡著重講一下反饋訊號,它是由系統(或元件)輸出端取出並反向送回系統(或元件)輸入端的訊號稱為反饋訊號,反饋有主反饋和區域性反饋之分。它是實現控制系統三大效能指標(快速性,穩定性和準確性)的最重要和基礎的要素之一。只有有了反饋訊號才能形成一個閉環系統,從而讓系統擁有減小和消除由於擾動所形成的偏差值,以提高控制精度和抗干擾能力。

從控制系統的角度看自動駕駛及其安全設計

如果把整個駕駛控制系統看作是一個控制系統,分為感測感知,規劃決策和控制執行等環節的話,我們來看看傅京孫教授提出的三種類型的智慧控制系統對映到各種駕駛控制系統中是怎麼樣的構成。

從控制系統的角度看自動駕駛及其安全設計

輸入訊號有環境資訊,車輛資訊等,控制物件可以宏觀的理解為就是車輛本身,輸出的是橫向和縱向控制等。在人類駕駛控制系統,駕駛員在整個控制系統中還是扮演主要的角色,車基本上只在執行環節起到相關作用。在半自動駕駛控制系統,駕駛員雖然在一些情況下允許“脫手或者脫眼”,但是駕駛員在整個控制系統依然扮演著重要角色。例如,駕駛員會被要求識別一些車輛無法識別的邊界場景,駕駛員可以按照需求接管車輛,駕駛員需要在車輛控制系統出現故障時作為備份(Fall-back)執行完整的動態駕駛任務(Dynamic Driving Task)。由此可以看出,人類駕駛員的參與還是貫穿整個控制系統的。再看全自動駕駛控制系統,車輛被要求執行完整的動態駕駛任務和備份,人類駕駛員不再參與控制系統迴路任何環節。車輛要獨立執行並且繼續實現快速性,穩定性和準確性這三大控制系統目標可見將是非常大的挑戰,這不只是任何一個環節的提升能夠實現的目標,而是整個控制系統的一次“大躍進”,感測器效能,處理器運算能力,執行器可靠性的要求都需要大大提升。

3. 控制系統與自動駕駛安全

汽車功能安全標準ISO 26262中對於功能安全的定義是什麼,不存在由電子電氣系統的功能異常表現引起的危害而導致不合理的風險。所以核心還是功能,任何功能特別是電子電氣相關的功能都是由輸入,邏輯和輸出等模組組成的控制系統。功能安全開發始於相關項定義,其目的也是為了定義清楚相關項的功能,介面和邊界,這也是一種複雜控制系統。從而為下一階段的風險評估與危害分析中的功能故障定義和整車表現做好準備。再來看安全需求,無論是哪個層級的需求,功能安全需求,技術安全需求還是軟硬體安全需求。

匯出這些需求的關鍵輸入除了上階段的需求,相關的技術設計框圖也是非常重要的,例如系統設計框圖,軟體架構設計圖等。所有的需求其實也都是可以將整個控制系統分為輸入,邏輯和輸出模組分別匯出相關的需求,再分配給相應的ECU,系統部件或者軟硬體模組。安全機制,由電子電氣系統的功能、要素或其他技術來實施的技術解決方案,以探測故障,控制失效。如何探測故障呢?無論是多複雜的控制系統,都可以按照功能和需求把它打散成多個簡單的控制迴路。如果整個控制迴路是個白盒,控制系統的輸入是可預見的,傳遞函式是已知的,即已知的輸入必定會有已知的輸出,這樣的系統通常都可以利用簡單的反饋被監控。

從控制系統的角度看自動駕駛及其安全設計

其實很多功能安全設計,就是由很多這樣的一個個小模組組成的。一旦控制系統出現任何問題或者故障,監控模組就可以透過控制系統已知的特性和模型去判斷識別。那如果由於控制系統的侷限性導致輸入是未知的,傳遞函式和模型也是未知的或者不精確的,該如何保證控制系統的準確性?如果控制系統是安全相關的,又如何保證其安全性?這就是預期功能安全要解決的問題。

從控制系統的角度看自動駕駛及其安全設計

那麼對於輸入訊號不確定,數學模型複雜且不確定的控制系統,如何進行相關設計呢?在智慧化程度比較高的系統中可以採用分級遞階的智慧控制方法進行設計。分級遞階智慧控制(Hierachical Intelligent Control)是在人工智慧、自適應控制以及運籌學等理論的基礎上逐漸發展形成的,是智慧控制最早的理論之一。當系統由若干個可分的相互關聯的子系統構成時,可將系統所有決策單元按照一定優先順序和從屬關係遞階排列,同一級各單元受到上一級的干預,同時又對下一級單元施加影響。若同一級各單元目標相互衝突,則由上一級單元協調。這是一種多級多目標的結構,各單元在不同級間遞階排列,形成金字塔形結構。

從控制系統的角度看自動駕駛及其安全設計

此類結構的優點是全域性與區域性控制性能都較高,靈活性與可靠性好,任何子過程的變化對決策的影響都是區域性性的。從最低階執行級開始,智慧要求逐步提高,越高的層次越需要高的智慧,而精度則遞減,此類結構具有以下特點:1)越是處於高層的控制器,對系統的影響也越大;2)越是處於高層,就有越多的不確定性資訊,使問題的描述難於量化。可見,遞階智慧控制的智慧主要體現在高層次上,在高層次遇到的問題往往具有不確定性。

對映到自動駕駛控制系統:第三級執行級對應反應層(或功能層):它負責執行上層要求的基本任務,執行較低階的操作和控制硬體執行器。該層的處理頻率較高,可以滿足實時性操作和反應的要求。第二級協調級對應實施情況分類的主管層和反應導航:該層用來監督功能層,並使用從感測器派生的資料來識別車輛的情況,併產生軌跡,此層的處理頻率居中。第一級組織級對應規劃層:此層生成高階計劃(道路和交叉路口的預估),車輛從當前位置到目的地將遵循的路徑等。此層的頻率相對較低,不需要滿足實時性的要求。

透過這樣的分層設計,對於安全的設計也可以按照同樣的邏輯,對於不同層級的特性和屬性設計相應的安全機制。Conrad J。 Pace和Derek W。 Seward就在一個自動挖掘機的應用中使用了這種設計方法。對於最底層的功能層來說,由於時間響應實時性的要求和硬體架構的原因,通常功能和安全機制是不需要進行隔離設計的。那對於第一和第二層級,由於採用非確定性演算法,機器學習等演算法,其本身無法滿足安全設計的要求,則需要單獨設計相應的安全機制來滿足其高安全等級的要求。這兩層的安全設計與Phillip Koopman在2016年提出的“Checker/Doer”是一樣的機制,這裡的“Doer”就是採用複雜演算法的功能,“Checker”則是更傳統的軟體技術,用於執行安全要求。“Checker”只檢查“Doer”做出的決策是否違法相應的安全規則和假設。例如,以路徑規劃舉例,“Checker”則始終只檢查被選擇的規劃方案是否會撞上任何已知的障礙物。透過通訊獲取的反饋訊號和資訊互動是實現此方法的核心要素之一。

從控制系統的角度看自動駕駛及其安全設計

預期功能安全標準ISO/PAS 21448中對於預期功能安全的定義為,不存在由於預期功能的效能不足引起的危害而導致不合理的風險。預期功能安全流程的最重要的目的之一就是不斷地降低未知場景的可能性,而這些場景就是整個自動駕駛控制系統的重要輸入之一。所以這個過程就是不斷的讓輸入變成可預見的。

從控制系統的角度看自動駕駛及其安全設計

標準還透過一系列的方法和流程定義導致危害事件的起因,包括系統功能和需求的不足和侷限,特別是感測器的感知和控制器的規劃演算法。這一過程就是不斷地最佳化演算法,讓模型不斷地完善。UL 4600自動駕駛安全評估標準將自動駕駛系統的安全要求分為ODD,感測器,感知,機器學習和人工智慧,規劃,預測,決策,控制等環節,其實也是對控制系統的解耦,化繁為簡,為安全設計提供指導。UL 4600還利用一種快速迭代的方法,利用現場資料的反饋不斷地完善標準的要求,這也是利用反饋手動的最佳化輸入資訊去完善模型。

從控制系統的角度看自動駕駛及其安全設計

4.結語

此文旨在從控制系統的角度看自動駕駛及其安全設計,文中依然有許多不完整和不完善的地方,希望透過此文可以讓更多的負責功能開發的朋友關注安全,也希望更多的負責安全開發工作的朋友關注功能和控制。其實,大家都有一個共同的目標,就是設計一個穩定、快速、準確的自動駕駛控制系統。

標簽: 控制系統  控制  安全  智慧  駕駛