確保自動駕駛車輛在其預期的運行環境中充分發揮作用是整個系統驗證的關鍵部分。傳統的軟件驗證包括需求和系統級測試的可追溯性。然而,由于機器學習使用基于數據訓練的方法,傳統方法不再適用。因此,驗證至少需要確保訓練數據和測試涵蓋所有相關的操作條件。
為了解決這個問題,我們通常將操作環境限制于人類駕駛員可以處理的所有可能情況的子集。這種限制系統運行需求的方法被稱為采用運行設計域(ODD)。進而,在ODD的要求下,我們需要確保系統能安全運行,或確保系統能夠識別和減輕超出ODD的偏差。對于ODD的描述很簡單,NHTSA(2017)將道路類型、地理特征、速度范圍、天氣和“其他”列為相關因素。在我們對各種自動駕駛車輛項目的經驗中,我們發現 “其他”的清單可能很廣泛,需要工程師有豐富的經驗。盡管如此,考慮到所有這些“其他”因素對于安全是至關重要的。
PEGASUS方法
除了ODD,驗證過程中還需考慮“對象和事件的檢測與響應”(OEDR)。OEDR通常指車輛遇到的外部情況的適當處理,包括感知、規劃和實施車輛自己的行動。與ODD一樣,NHTSA文件提供了一個考慮因素的簡短列表,如人工指揮交通。但在實踐中,考慮因素的清單可能會變得驚人的大。
應考慮的另一個因素是車輛本身啟動的機動類型,通常與導航有關,例如進出有限的進出道路、啟動轉彎、變換車道等。
最后,驗證應考慮對系統故障和局限性(如傳感能力不足和計算故障)的響應和操作。故障響應可能包括通過使用已安裝的冗余以正常功能繼續操作,減少功能或將系統轉換為安全狀態。無論選擇哪種策略,驗證都必須確保故障檢測和故障響應工作正常。
ODD因素
描述系統運行環境的特征應至少包括以下內容:
地形和相關的位置特征(例如,坡度、拱度、曲率、傾斜、摩擦系數、路面粗糙度、空氣密度),包括車輛即時環境和預計的車輛路徑。需要注意的是,在較短的距離內,環境可能會發生巨大的變化。
環境和天氣條件,如地表溫度、氣溫、風、能見度、降水、結冰、照明、眩光、電磁干擾、雜波、振動和其他類型的傳感器噪聲。
基礎設施,如導航輔助標識(如信標、車道標志、增強標志)、交通管理設備(如交通燈、路權標志、車輛行駛燈)、隔離區、特殊道路使用規則(如可變的車道方向)等。
與環境和其他影響因素相互作用的參與規則和期望,包括交通法、社會規范、與其他智能體的信號交互(與其他自動駕駛車輛和人,包括顯式的信號以及通過車輛運動控制的隱式信號)。
通信模式、帶寬、延遲、穩定性、可用性、可靠性,包括機器間的通信和人機交互。
基礎設施特征數據的可用性和實時性,如地圖詳細程度和識別與基線數據的臨時偏差(例如,施工區、交通堵塞、臨時交通規則,比如龍卷風疏散)。
運行狀態空間元素的預期分布,包括哪些元素被視為罕見但在考慮范圍內(例如收費站、警察交通站),以及哪些元素被視為系統擬運行的狀態空間區域以外的元素。
應特別注意與設備的固有限制相關的ODD,如攝像頭所需的最低照明度。
OEDR因素
系統驗證至少應包括以下因素,其中一些因素可能被確定為超出ODD的范圍。這些通常可以分為兩個子類別:對象和事件。如果ODD沒有包含關聯的相關對象,則特定事件可能不適用。
OEDR對象因素
能夠檢測和識別(如分類)環境中的所有相關對象。
對傳感器數據進行處理和閾值化,以避免誤報(例如,彈跳的飲料罐、鋼制道路施工蓋板、路旁標志、塵云、落葉)和漏報(例如,一些半自動駕駛車輛會與靜止車輛碰撞)。
其他車輛可能的操作參數(例如,引導和跟隨車輛的制動能力,或另一輛車輛的行為是否異常)。
永久性障礙物,如構筑物、路緣石、中央分隔帶、護欄、樹木、橋梁、隧道、護堤、溝渠、路邊和懸挑標志。
臨時障礙物,如臨時隔離區、溢出物、洪水、充滿水的坑洞、滑坡、沖毀的橋梁、懸垂的植被和墜落的電線。
人,包括合作的人、不合作的人、惡意行為以及不了解自動駕駛運行的人。
處于危險之中的人群,可能無法、無能力或不遵守既定的規則和規范的人,如兒童以及受傷、能力受損或受影響的人。
其他合作和不合作的人駕駛的車輛和自動駕駛車輛。
其他道路使用者,包括專用車輛、臨時建筑、街道餐飲、街道節日、游行、車隊、葬禮游行、農場設備、施工人員、吃草動物、農場動物和瀕危物種。
其他非靜止物體,包括不受控制的移動物體、墜落物體、風吹物體、交通中的貨物溢出物和低空飛行的飛機。
OEDR事件因素
確定其他對象的預期行為,這可能涉及概率分布,并且可能基于對象分類。
環境中物體正常或合理預期的運動。
環境中其他車輛、障礙物、人員或其他物體的意外、不正確或異常移動。
由于其他預期會移動的物體而被阻礙的移動。
自動駕駛之前、期間和之后的操作員互動,包括:監督駕駛員警報監控、通知乘客、與本地或遠程操作員位置的互動、模式選擇和啟用、操作員接管、操作員取消或重定向、操作員狀態反饋、操作員干預延遲、單個操作員對多個系統的監控(多任務)、操作員交接、操作員與車輛交互能力喪失。
和人的互動包括:人的指揮(交警指揮交通、警察靠邊停車、乘客遇險)、正常的與人之間的互動(人行橫道、乘客進出口)、常見的人類違反規則的行為(在遠離交叉口時穿過中間街區、分心行走),異常的與人之間的互動(挑釁的亂穿馬路、攻擊車輛、企圖劫車)以及無法遵守規則的人(兒童、殘疾人)。
非人類互動包括:動物互動(畜群、寵物、危險野生動物、受保護野生動物)和快遞機器人。
機動
雖然車輛運行經常指車輛的機動,但在實踐中,這一類別必須擴展到除控制車輛運動本身之外的其他操作方面。相關方面包括:
采取的行動、機動、行進方向、路徑規劃、終點設定和尋找終點。這通常包括各種車輛的幾何結構和各種駕駛行為,如轉彎、變道、出口、入口、停車等。
任務長度和任務概況(例如,是否將二次安全任務用作對故障、空置操作的響應)。
操作模式之間的安全過渡,包括:通電/自檢、自主操作、人為操作、安全狀態操作、維護(加油、維修、洗車、更換耗材、清潔、校準)、運輸、故障響應、故障后響應(例如以確保事故發生后應急響應者的安全)、故障診斷、更新驗證和合規性測試。
所有權的變更和運行概況的變更(如重新定位、重新部署、大修、升級)。
故障管理
雖然傳統的功能安全方法包括故障管理的許多方面,但它們不一定處理需求缺口,并在系統遇到環境異常或其他未設計的情況時確保安全。此外,隨著駕駛員的移除,自動駕駛汽車可能會承擔檢測、診斷和減輕故障的任務。我們確定了系統限制、系統故障和故障響應的子類別:
系統限制
傳感器和執行器的當前能力,取決于操作狀態空間。
檢測和處理車輛在其驗證的運行狀態空間之外的偏移,包括ODD、OEDR、機動、故障。
在故障狀態下的操作,包括降級計劃,以及對降級操作狀態空間的任何限制。
對于有效載荷特性(例如,載客車輛超載、重量分布不均勻、裝載礫石的卡車、半裝滿液體的油罐車)和自主有效載荷修改(例如拖車連接/斷開)的能力變化。
基于功能模式的性能變化(例如,轉向設計模型、后輪轉向、ABS或四輪驅
基于點對點組隊(如V2V、V2I)和計劃組隊(如領導-追隨者或排車配對)的能力變化。
外部信息(V2V、V2I)不完整、不正確、損壞或不可用。
系統錯誤
感知失效,包括物體分類和姿態的暫時性和永久性故障。
規劃失敗,包括導致碰撞、不安全軌道(如翻車風險)和危險路徑(如道路偏離)的故障。
車輛設備運行故障(例如,爆胎、發動機失速、制動故障、轉向故障、照明系統故障、變速器故障、發動機功率不可控、自主設備故障、電氣系統故障、車輛故障診斷碼)。
車輛設備維護故障(例如,胎壓不當、輪胎光禿、車輪錯位、傳感器清洗液儲液罐空、燃油/蓄電池耗盡)。
傳感器和致動器的操作性退化包括臨時性的(例如,淤泥、灰塵、灰塵、熱、水、冰、鹽霧、被粉碎的昆蟲的積累)和永久性的(例如,制造缺陷、劃痕、沖刷、老化、磨損、堵塞、沖擊損傷)。
設備損壞,包括檢測和減輕災難性損失(如車輛碰撞、雷擊、道路偏離)、輕微損失(如傳感器損壞、執行器故障)和臨時損失(如支架彎曲導致的錯位、校準不準)。
地圖數據不正確、丟失、過時和不準確。
訓練數據不完整、不正確、已知偏見或未知偏見。
錯誤響應
當遇到異常操作狀態空間、遇到故障或達到系統限制時,系統的行為。
診斷間隙(例如潛在故障、未檢測到的故障、未檢測到的故障冗余)。
系統如何重新集成故障部件,包括從瞬時故障中恢復和從運行和/或維護后修復的永久性故障中恢復。
在固有風險或某些損失情況下優先或以其他方式確定行動的響應和政策。
抵御攻擊(系統安全、基礎設施受損、其他車輛受損),并阻止不當使用(例如惡意命令、不當危險貨物、危險乘客行為)。
如何更新系統以糾正功能缺陷、安全缺陷、安全缺陷,以及添加新的或改進的功能。
-
人工智能
+關注
關注
1792文章
47497瀏覽量
239208 -
機器學習
+關注
關注
66文章
8428瀏覽量
132835 -
自動駕駛
+關注
關注
784文章
13896瀏覽量
166694
原文標題:自動駕駛系統驗證需要考慮的因素
文章出處:【微信號:IV_Technology,微信公眾號:智車科技】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論