高精度定位的功能安全和完好性,为何如此重要?

自动驾驶时代真的要来了?

近日有消息称,《深圳智能网联汽车管理条例》已经通过了“三审”,有望在年内出台,这部《管理条例》是全国首个对L3及以上自动驾驶权责、定义等重要议题进行详细划分的官方管理文件,智能网联汽车法律空白问题有望取得突破并带来示范效应。

根据智能化程度的不同,自动驾驶被分为L1到L5共5个等级:L1指辅助驾驶,L2指部分自动驾驶,L3指有条件自动驾驶,L4指高度自动驾驶,L5指完全自动驾驶,即真正的无人驾驶。

大家最为津津乐道的“无人驾驶”的概念,广义上是指L3及以上级别的自动驾驶,因此L3级别是整个自动驾驶乃至智能驾驶产业的重要拐点。因此这则消息一出,业内外人士纷纷猜测——自动驾驶时代真的要来了?

1.png

自动驾驶安全系统落地的两座大山

各大主机厂都在迭代实现L3级自动驾驶相关功能上全面发力,而在L2/L2+向L3/L4 技术演进的道路上,最关键的因素同时也是最大的挑战是自动驾驶系统的安全性

功能安全预期功能安全就是自动驾驶安全系统落地绕不开的两座大山。

2.png

什么是功能安全?

功能安全(Functional Safety)是一个系统或设备整体安全的组成部分。当系统出现功能性故障或失效时,将进入安全的可控模式,从而避免造成人员伤亡。

3.png

比如:用于GNSS组合惯导系统中IMU传感器由于老化或者硬件失效导致输出的横向加速度异常跳变或者卡滞,软件安全机制需要能够检测出异常跳变或者卡滞,然后禁止使用异常IMU的加速度信号,通过其他冗余的传感器和算法来保证安全的高精度定位信号输出。此安全机制的检测,异常故障剔除和安全响应即为功能安全的范畴。

所以当系统内部的电子电器异常情况发生时,功能安全可以最大限度规避人员伤害,相当于自动驾驶系统工作时的最后一道“安全”防线。而这道防线的判定标准即国际标准ISO 26262

什么是预期功能安全?

全面实现L3自动驾驶的过程令系统复杂性不断提高, 新的问题层出不穷——

在复杂的应用场景中,如何应对传感器及算法的性能局限,避免事故发生?

“人-机”职责切换时,驾乘人员的误用甚至滥用怎么办?

4.png

现有的功能安全标准“仅处理故障带来风险”已无法解决一切安全问题。

对于自动驾驶系统,即使没有任何硬件部件的失效,算法也没有任何软件的bug,也会因为ODD范围内各种Conner Case而触发系统的功能不能满足边界条件进而导致误判,从而发生安全事故。

针对这些非故障模式下的新难题,行业内已经完成相应的国际标准的FDIS版,预期功能安全标准(ISO 21448)。对于这些问题,就需要按照ISO 21448预期功能安全来进行设计、分析、开发,测试验证和最终的风险评估和放行。

预期功能安全是指降低由于系统的预期功能不足(设计不足或性能局限)或可预见的人员误操作导致的不可接受风险,适用的电子系统为安全功能受外部环境影响的功能,来自于传感器和处理算法。

比如:GNSS组合惯导系统在异常的环境场景下会产生 False Negative(即输出异常的定位结果,但是系统没有检测出来,没有告警信息), False Negative的定位输出会导致车辆在领航辅助驾驶过程中发生车辆换错车道,故障停靠的过程中停错车道,ODD发送错误等,会给生命安全带来重大风险。对GNSS需要考虑的异常环境比如有电离层活跃导致的改正数异常,多路径效应导致的原始观测数据异常,GNSS欺骗干扰等,针对这些异常环境下定位算法的优化配合完好性监控的优化来保证False Negative足够低到可接受的风险范围内。针对异常环境场景下,通过算法的迭代优化和完好性监控来做到实时提供安全的定位结果,并且杜绝False Negative的产生。这属于预期功能安全的范畴,当然对于人机共驾HMI界面,预期功能安全还需要考虑误用。

功能安全和预期功能安全的区别是什么?

功能安全在于解决系统内的随机失效和系统性失效引起的危害,造成安全事故,包括硬件故障、软件故障,而系统功能正常时出现的危害不在功能安全考虑的范围内。由于使用传感器或算法的性能限制,驾驶人员对系统的误操作,预期功能安全旨在解决这一类问题。

QQ图片20220628172930.jpg

图片来自中国汽车标准化技术委员会在2020年发布的《预期功能安全国际标准ISO21448及中国实践白皮书》。

『合格的功能安全自动驾驶系统是可以在零部件(电子电器部件)发生失效的时候,能够进入安全可控的运行模式,从而可以保证安全风险达到系统可接受的水平;

合格的预期功能安全自动驾驶系统是控制由触发条件/误用导致的系统功能不足而产生的安全风险达到可接受的水平。比如之前某车型在使用领航辅助驾驶时,跟白色静止的半挂卡车相撞,导致驾驶员死亡,这种Corner Case 在领航辅助驾驶系统中是没有被识别出障碍物的。』

L3级自动驾驶对功能安全和预期功能安全的要求

针对功能安全,L3 级自动驾驶系统需要安全目标达到ASIL D,这意味着整个系统的PMHF要在10-8/h之内,也就是整个自动驾驶系统在激活使用108 h,必须保证发生电子电器故障带来的安全危害小于1次。

预期功能安全对自动驾驶系统的可接受的风险,目前行业内主要参考French GAMAB的两个原则方法:

1) 参考该功能在目标市场的交通数据,如事故统计、交通分析,提炼出该功能在当前技术条件下的发生安全危害的失效率,对标该失效率来制定自动驾驶系统的可接受风险。但由于自动驾驶系统的复杂性,目前基本上没有可以对标统计的足够样本的事故数据,所以该方法实施较为困难;

2)参考已有类似的功能在市场上的可接受标准,比如常见的高级辅助驾驶类似功能,可以参考ISO 26262功能安全的风险等级进行制定,所以需要满足在ODD内尽可能穷尽所有已知的 Corner Case, 并且保证由于Corner Case触发的安全危害的失效率要在10-8/h之内。

以上针对功能安全和预期功能安全的可接受标准要求是非常苛刻的,尤其是预期功能安全的可接受标准,需要不断优化迭代升级系统,解决已知的所有的Corner Case 才能达到最终的安全放行。

L3级自动驾驶定位系统对功能安全和预期功能安全的要求分解

定位系统为高阶自动驾驶系统提供行车当前位置和和状态信息,是实现高阶自动驾驶功能的关键路径,所以必须要满足分解下来的安全需求。

5.png

功能安全维度来说,自动驾驶的定位系统需要满足ASILD的安全目标,而一般为了实现这么高的安全等级和非常低的安全风险,必须要设计两套独立冗余的安全定位系统来做安全分解。而基于GNSS的绝对定位和基于SLAM的相对定位正好是两套异构冗余的定位系统,所以从功能安全可接受风险维度,基于GNSS的绝对定位是必须要满足功能安全ASIL B的要求。

而从预期功能安全的维度出发,纯GNSS的绝对定位和基于SLAM的相对定位是天然互补的,基于SLAM的相对定位比较容易受外部光线反射、车道线模糊/丢失、雨雾等影响,而纯GNSS定位不受外部环境因素的影响,所以纯GNSS定位算法可以在SLAM定位算法能力不足/缺陷的触发场景下,进行安全的定位支撑,从而解决该安全风险。

纯GNSS高精度定位系统不仅要保证功能安全的符合性证明和安全风险控制在10-7/h,而且还需保证在高阶自动驾驶的ODD场景内,必须满足预期功能安全的符合性证明,并且也要保证安全风险控制在10-6/h。

定位系统中功能安全和预期功能安全的实现

GNSS高精度定位系统的功能安全主要通过硬件的安全设计软件的安全监控响应来保证;预期功能安全主要通过算法的优化完好性监控响应来保证系统能力范围内的安全定位输出,和系统功能不足范围外的安全警告。

到这里,“完好性”这个重要概念粉墨登场了——

6.png

完好性确保预期功能安全

完好性是对导航定位系统所提供的定位信息可信度的度量,导航系统的完好性还要保证当定位信息异常不能使用的时候,在指定时间内提供给用户报警信息。

完好性包括三个指标:

① 完好性风险即发生定位误差超限而没有及时告警的概率;

② 告警时间从超限发生时刻起到准确通知到用户的时延;

③ 告警限值是根据不同服务应用要求确定的门限值,一般与应用场景的安全需求关联。

而纯GNSS定位系统本身会受到电离层风暴、对流层异常、基准站干扰、终端接收机的多路径效应、GNSS欺骗干扰等 Corner Case的触发条件的干扰,从而导致错误的定位输出,所有这些基于各种Corner Case 的触发条件都需要通过完好性监控系统和算法来进行研判,确保在定位算法能力范围之外,可以及时提供报警信息给到自动驾驶系统,从而保证预期功能安全风险满足纯GNSS定位系统的完好性风险在10-6/h

首个完好性系统及方案获头部用户认可

区别于OSR观测值域改正,SSR状态域改正数的播发服务先天具备完好性服务优势。依托遍布全球的基准站及国内的区域加密站,千寻位置设计了一套独立的SSR完好性服务系统及对应的终端完好性监测算法,可影响用户最终定位的单一GNSS传感器功能异常风险,分解为卫星系统、信号偏差、区域大气、区域欺骗干扰、终端多径环境等各类条件,并对逐项误差进行分析建模及完好性监测,并且有效规避单一区域站点故障(站点异常挪动、信号干扰)所造成的整体区域不可用风险。

通过长期业务场景的数据积累输入(如卫星系统故障、电离层区域异常扰动、区域信号干扰等),识别和判断各类故障模型及算法边界条件解决或降低从卫星系统到用户环境各链路上的“已知故障”影响,减少“未知问题”对最终用户定位结果的影响,并通过大样本实测路测数据积累,优化服务端及终端的保护等级输出,提高定位结果输出的可用率,降低完好性风险,驱动迭代服务及终端算法以适应高阶自动驾驶的定位需求。

作为国内首个且唯一具备完整完好性服务能力的公司,千寻位置建立的整套完好性系统及方案已被欧洲多个头部车厂或供应商定点并认可交付,通过500余项技术指标的详细评估,助力各大主机厂技术层面L3级自动驾驶的快速迭代实现。

THE END
分享
二维码
< <上一篇
下一篇>>