自動駕駛系統確認自動駕駛汽車能否上路的第一步是決定系統的哪些方面需要確認。 軟件產品的驗證(Verification)和確認(Validation)本文列出了自動駕駛汽車相關的運行設計域、對象和事件、車輛操作和故障管理。雖然此類清單做不到百分之百地測試和確認自動駕駛汽車的功能,但希望可以形成一個公眾認知的起點,避免因為信息缺失,導致自動駕駛車輛的測試和確認與公眾的認知產生巨大偏差。整個系統需要確認的關鍵部分是:確保自動駕駛車輛在其設計的運行環境中充分發揮作用。傳統的軟件確認包括需求和系統級測試的可追溯性。但由于機器學習使用基于數據訓練的方法,而非傳統的設計步驟,傳統的確認方法不再適用。因此,確認這一步驟至少需要保證訓練和測試數據包含所有相關的運行條件。具體可分為四個方面:
ODD:在實踐中,為了確保可追溯性,通常將操作環境限制到人類駕駛員可以處理的所有可能情況的一個子集。這種限制系統運行環境的方法也被稱為運行設計域(Operational Design Domain,ODD)。NHTSA(2017)將道路類型、地理特征、速度范圍、天氣等其他相關因素。在實踐中,會發現其他因素可能會非常廣泛。
OEDR:確認過程中還需考慮“對象和事件的檢測與響應”(Object and Event Detection and Response,OEDR)。OEDR指在ODD范圍內,車輛遇到的外部情況的處理,包括感知、規劃和執行。
車輛操作:通常與導航有關,例如進、出受限道路,開始轉彎,主動變換車道等。
故障管理:確認應考慮對系統故障和局限性(如感知范圍有限和規劃失敗)的響應。故障響應包括:使用已安裝的冗余硬件減少功能以繼續行駛,或將系統轉換到安全狀態。不管哪種策略,確認都必須保證故障的檢測和響應是合理的。
確認步驟需要考慮的四個方面這四個因素共同組成一個四維度的確認空間(ODD、OEDR、車輛操作、故障管理)。一般需要在這四個因素組成的所有可能空間中進行確認。下面列出了每個維度上的一些考慮要點。
1、ODD要點描述系統運行環境的特征應至少包括以下內容:
地形和相關的位置特征(如坡度、拱度、曲率、傾斜、摩擦系數、路面粗糙度、空氣密度),包括車輛即時環境和預計的車輛路徑。需要注意的是,在較短的距離內,環境可能會發生巨大的變化。
環境和天氣條件,如地表溫度、氣溫、風、能見度、降水、結冰、照明、眩光、電磁干擾、雜波、振動和其他類型的傳感器噪聲。
基礎設施,如導航輔助標識(如信標、車道標志、增強標志)、交通管理設備(如交通燈、路權標志、車輛行駛燈)、隔離區、特殊道路使用規則(如可變的車道方向)等。
不同國家和地區的交通法規、停止標志、紅綠燈、道路變化等基礎設施。
與環境和其他影響因素相互作用的參與規則和期望,包括交通法、社會規范、與其他智能體的信號交互(與其他自動駕駛車輛和人,包括顯式的信號以及通過車輛運動控制的隱式信號)。
通信模式,帶寬、延遲、穩定性、可用性、可靠性,包括機器間的通信和人機交互。
基礎設施特征數據的可用性和實時性,如地圖詳細程度和識別與基線數據的臨時偏差(例如,施工區、交通堵塞、臨時交通規則,比如龍卷風疏散)。
運行狀態空間元素的預期分布,包括哪些元素被視為罕見但需在考慮范圍內(如收費站、警察交通站),以及哪些元素被視為系統擬運行的狀態空間區域以外的元素。
應特別注意與設備的固有限制相關的ODD,如攝像頭所需的最低照明度。
2、OEDR要點系統確認至少應包括以下因素,其中一些因素可能被確定為超出ODD的范圍。這些通常可以分為兩個子類別:對象和事件。 2.1、OEDR的對象
能夠檢測和識別(如分類)環境中的所有相關對象。
對傳感器數據進行處理和閾值化,以避免誤報(例如,彈跳的飲料罐、鋼制道路施工蓋板、路旁標志、塵云、落葉)和漏報(例如,一些半自動駕駛車輛會與靜止車輛碰撞)
其他車輛可能的操作參數(例如,引導和跟隨車輛的制動能力,或另一輛車輛的行為是否異常)。
永久性障礙物,如構筑物、路緣石、中央分隔帶、護欄、樹木、橋梁、隧道、護堤、溝渠、路邊和懸挑標志。
臨時障礙物,如臨時隔離區、溢出物、洪水、充滿水的坑洞、滑坡、沖毀的橋梁、懸垂的植被和墜落的電線。
人,包括合作的人、不合作的人、惡意行為以及不了解自動駕駛運行的人。
處于危險之中的人群,可能無法、無能力或不遵守既定的規則和規范的人,如兒童以及受傷、能力受損或受影響的人。
其他合作和不合作的人駕駛的車輛和自動駕駛車輛。
其他道路使用者,包括專用車輛、臨時建筑、街道餐飲、街道節日、游行、車隊、農場設備、施工人員、吃草動物、農場動物和瀕危物種。
其他非靜止物體,包括不受控制的移動物體、墜落物體、風吹物體、交通中的貨物溢出物和低空飛行的飛機。
需要注意的是:如果ODD沒有包含相關聯的特定對象,則某些特定事件可能不適用。
2.2、OEDR的事件
確定其他對象的預期行為,這可能涉及概率分布,并且可能基于對象分類。
環境中物體正常或合理預期的運動。
環境中其他車輛、障礙物、人員或其他物體的意外、不正確或異常移動。
由于其他預期會移動的物體而被阻礙的移動。
自動駕駛之前、期間和之后的操作員互動,包括:監督駕駛員警報監控、通知乘客、與本地或遠程操作員位置的互動、模式選擇和啟用、操作員接管、操作員取消或重定向、操作員狀態反饋、操作員干預延遲、單個操作員對多個系統的監控(多任務)、操作員交接、操作員與車輛交互能力喪失。
和人的互動,包括:人的指揮(交警指揮交通、警察靠邊停車、乘客遇險)、正常的與人之間的互動(人行橫道、乘客進出口)、常見的人類違反規則的行為(在遠離交叉口時穿過中間街區、分心行走),異常的與人之間的互動(挑釁的亂穿馬路、攻擊車輛、企圖劫車)以及無法遵守規則的人(兒童、殘疾人)。
非人類互動包括:動物互動(畜群、寵物、危險野生動物、受保護野生動物)和快遞機器人。
3、車輛操作雖然在車輛運行時,考慮的是車輛的操縱,但在實踐中,這一類別必須擴展到除控制車輛運動本身之外的其他操作方面。包括:
采取的行動、行進方向、路徑規劃、終點設定和尋找終點。這通常包括各種車輛的幾何結構和各種駕駛行為,如轉彎、變道、出口、入口、停車等。
任務長度和任務概況(例如,是否將一個安全的動作任務用作對故障、空置操作的響應)。
操作模式之間的安全過渡,包括:通電/自檢、自主操作、人為操作、安全狀態操作、維護(加油、維修、洗車、更換耗材、清潔、校準)、運輸、故障響應、故障后響應(例如以確保事故發生后應急響應者的安全)、故障診斷、更新驗證和合規性測試。
所有權的變更和運行概況的變更(如更換場地、重新部署、大修、升級)
4、故障管理雖然傳統的功能安全方法包括故障管理的許多方面,但它們不一定處理需求缺口,并在系統遇到環境異常或其他未設計的情況時確保安全。此外,隨著駕駛員的移除,自動駕駛汽車可能會承擔檢測、診斷和減輕故障的任務。這里確定了系統限制、系統故障和故障響應的三個方面。 4.1、系統限制
傳感器和執行器的當前能力,取決于操作狀態空間。
檢測和處理車輛在其驗證的運行狀態空間之外的偏移,包括ODD、OEDR、機動、故障。
在故障狀態下的操作,包括降級計劃,以及對降級操作狀態空間的任何限制。
對于有效載荷特性(例如,載客車輛超載、重量分布不均勻、裝載礫石的卡車、半裝滿液體的油罐車)和自主有效載荷修改(例如拖車連接/斷開)的能力變化。
基于功能模式的性能變化(例如,轉向設計模型、后輪轉向、ABS或四輪驅動接合/分離)。
基于點對點組隊(如V2V、V2I)和計劃組隊(如領導-追隨者或排車配對)的能力變化。
外部信息(V2V、V2I)不完整、不正確、損壞或不可用。
4.2、系統故障
感知失效,包括物體分類和姿態的暫時性和永久性故障。
規劃失敗,包括導致碰撞、不安全軌道(如翻車風險)和危險路徑(如道路偏離)的故障。
車輛設備運行故障(例如,爆胎、發動機失速、制動故障、轉向故障、照明系統故障、變速器故障、發動機功率不可控、自主設備故障、電氣系統故障、車輛故障診斷碼)。
車輛設備維護故障(例如,胎壓不當、輪胎光禿、車輪錯位、傳感器清洗液儲液罐空、燃油/蓄電池耗盡)。
傳感器和致動器的操作性退化包括臨時性的(例如,淤泥、灰塵、灰塵、熱、水、冰、鹽霧、被粉碎的昆蟲的積累)和永久性的(例如,制造缺陷、劃痕、沖刷、老化、磨損、堵塞、沖擊損傷)。
設備損壞,包括檢測和減輕災難性損失(如車輛碰撞、雷擊、道路偏離)、輕微損失(如傳感器損壞、執行器故障)和臨時損失(如支架彎曲導致的錯位、校準不準)。
地圖數據不正確、丟失、過時和不準確。
訓練數據不完整、不正確、已知偏見或未知偏見。
4.3、故障響應
當遇到異常操作狀態空間、遇到故障或達到系統限制時,系統的行為。
診斷間隙(例如潛在故障、未檢測到的故障、未檢測到的故障冗余)。
系統如何重新集成故障部件,包括從瞬時故障中恢復和從運行和/或維護后修復的永久性故障中恢復。
在固有風險或某些損失情況下優先或以其他方式確定行動的響應和政策。
抵御攻擊(系統安全、基礎設施受損、其他車輛受損),并阻止不當使用(例如惡意命令、不當危險貨物、危險乘客行為)。
如何更新系統以糾正功能缺陷、安全缺陷、安全缺陷,以及添加新的或改進的功能。
以上是需要考慮的一個很長的列表,但這個列表也沒有包含所有情況。這可以作為哪些情況需要在確認這個步驟中來考慮的一個起點。下一步是要找到一個合適的方法來管理這些眾多確認要素的排列組合,降低其復雜性,并保證確認時的安全。
