作者:Stefania Sesia,u-blox全球汽车应用营销总监
在迈向自动驾驶车辆的道路上,每一代新车的功能集中都会增加一系列驾驶员辅助功能。例如,人工智能与计算机视觉技术的进步将推动全自动化驾驶的演进,也就是自动驾驶第5级(ADL5)。
到2030年,约70%的新车至少提供车道保持和车道变更功能。如今,中高端市场上已有部分车型具备这些第2级(ADL2)基本自动驾驶功能。到本十年末,市场将发展到在成本较低的细分市场内提供更高的自动驾驶级别。与此同时,基于ADL4/ADL5的出行即服务(MaaS)大众市场产品也将在全球各大都市出现。高级驾驶辅助系统(ADAS)和自动驾驶系统(ADS)可解读来自多个传感器的数据(传感器融合)。雷达、激光雷达、视频、超声波和摄像头数据在经过处理后,可生成有关车辆周边环境及其相对位置的精准概要信息。
此外,全球导航卫星系统(GNSS)接收机是唯一能将车辆的绝对位置精确到分米级(即精确到车道)的传感器。因此,GNSS使车辆能够精准确定自己在地图上以及环境中的位置。
ADAS系统可利用GNSS信息来建议/决定最佳车辆行为,例如路线规划。借助无线通信技术(5G/V2X),车辆还能与附近的车辆和交通基础设施共享这些数据,或通过这些数据确定车辆所处的道路类型是否适合使用特定驾驶功能(地理围栏)。只要车辆依赖于自动驾驶,就等同于依赖车辆的实际位置,并根据定位做出决策,就有可能威胁到人的生命,因此有必要确定信息的可信度/完整性。
这就要求具备一种完整性的概念,即定位系统所提供信息的正确性有多可信。如下图所示,危及完整性的潜在风险可分为:与车辆软硬件相关的故障、环境因素和无意的误用。在汽车领域,使用不安全信息的风险应保证低至每个驾驶周期10-8和10-6(一个驾驶周期等于一个小时)。
ISO 26262-功能安全性
汽车在严苛的环境中工作。诸多干扰、热量和振动来源会降低电路的功能或对其造成损坏。自主安全系统一旦失灵,可能就会引发碰撞,造成人员伤亡。这是极其高昂的风险。这其中还牵涉到法律后果。
汽车ISO 26262标准专门用于规管系统(如自动驾驶系统)在故障条件下的行为。汽车制造商必须确保其系统遵循安全标准开发,并提供证据来表明硬件或系统性开发故障的风险低到可以接受的程度。通过危险风险评估(HARA),原始设备制造商或系统所有者,评估不同威胁和错误来源造成的潜在风险。随后需要根据一系列指标对每项风险评估进行分类,以确定汽车安全完整性等级(ASIL等级),并在此基础上确定安全目标。
在某些情况下(特别是对于高度自动化的驾驶解决方案),特定安全目标还与具有相应目标ASIL等级(通常是ASIL B)的GNSS接收机有关。目标是设定实施硬件和软件的要求,以防止出现故障或危险。
预期功能安全性(SOTIF)
作为ISO 26262汽车功能安全性标准的补充,ISO 21448标准涵盖了预期功能安全性,即系统中的电气和/或电子(E/E)元件因外部环境条件等造成的性能缺陷而导致的危险不存在不合理的风险。
就GNSS而言,与环境条件有关的风险来自于更广泛的星座和GNSS系统部件的故障。此类故障可能是因以下因素造成的重大误差:对流层和电离层风暴等大气扰动、电离层闪烁、直接信号或反射信号的多径畸变(非视距-NLOS)以及来自其他传感器(如惯性或轮速传感器)的其他威胁。
保护级别-完整性衡量指标
为解决完整性问题,航空业过去曾经推出过“保护等级”(PL)。这是一种实时统计计算界限。以有保证的统计概率显示用户所在区域,而且确保能在无法提供此类保证时及时发出警报。
PL与称为警报限值(AL)的阈值一起使用,AL取决于应用。下图所示的斯坦福图展示了PL、AL和实际误差(AE)之间的关系,以及认为系统正常工作的条件。特别是在实际误差大于PL和AL时,如果未能检测到这种误差情况,未在“告警时间”之前发出告警,则认为系统处于危险、误导性工作(不安全工作)状态。这种情况发生的概率必须保证低于目标完整性风险(TIR)。
[斯坦福图]Pr-概率,PL-保护级别,AE-实际(位置)误差,AL-警报限值,TTA-告警时间,TIR-目标完整性风险
完整性概念的主要挑战之一是,确定足够严格的保护级别界限以及极低的目标完整性风险,例如每个驾驶周期10-6或更低。这就需要考虑到法律概率极低的错误。这一领域的研究非常活跃,u-blox公司率先开发了先进技术,如参考文献[1-3]所示。
为了表明完整性的重要性,我们可以举一个例子。考虑这样一种应用场景,车辆使用位置信息来激活特定的自动驾驶功能。在下图的第一种情况(左)中,车辆位置被错误地投射到错误的街道上,误差大于平均值,而PL值低于平均值。如果没有检测到这种误差,也没有发送告警,可能会错误地激活特定自动驾驶功能,而这种功能并不适合车辆当前实际所在的特定道路类型。在第二个例子(右)中,位置误差在PL和AL范围内。这是正常工作状态。有必要注意,在这个例子中,还需要精确可靠的地图。
结论
为保证自主安全系统正常工作,必须了解车辆在环境中的位置,以及与其他车辆和物体的距离。该位置为估计值,受环境影响、硬件故障和系统性开发故障的影响。完整性是指所提供信息正确性的可信度。
GNSS传感器可提供绝对定位信息,是传感器融合系统中其他ADAS/ADS传感器的补充。系统内的完整性包括及时警告用户何时不应在系统内使用相应信息。如符合汽车标准ISO 26262,即可确保自主安全系统在故障情况下的行为具有可预见性。符合补充性ISO 21448标准(SOTIF)则可确保系统在严苛条件下的功能性。
未来将有更多新车配备自主安全功能,我们相信,随着高度自动化驾驶和高级V2X应用场景的部署,GNSS等安全组件的需求将在未来大幅度增加。
参考文献:
[1]Julien 等,Extended Results of Single Epoch Position Bound (SEPB)
[2]Martini 等,Galileo High Accuracy Service Performance and Anomaly Mitigation Capabilities,2023 年 6 月 13 日,PREPRINT (Version 1) of journal GPS solutions
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
