1、172 AUTO TIMETRAFFIC AND SAFETY|交通与安全基于故障树的自动驾驶故障处理策略研究宾怀成梁永彬王世勇罗覃月林智桂上汽通用五菱汽车股份有限公司 广西柳州市 545007摘 要:为了减少车辆自动驾驶行驶过程中由于故障导致的安全风险,基于故障树理论(FTA,Fault Tree Analysis)对自动驾驶车辆故障进行了定性分析。通过评估不同故障对自动驾驶车辆安全行驶影响的严重程度,结合最小风险策略,设计出了一套分类分阶段的自动驾驶故障处理方案,尽最大能力提升行车安全。关键词:自动驾驶故障树最小风险故障处理1引言随着各大车企自动驾驶的日益推进,对自动驾驶车辆行驶安全的要求
2、也越来越高,自动驾驶车辆行驶过程中任何故障都有可能导致车辆失控、碰撞等安全问题,造成交通事故;而市面上大部分配置 L2 级自动驾驶辅助的车辆在驾驶辅助系统发生故障时,功能直接退出;未进一步考虑潜在的行车安全风险。窦文悦1等基于扎根理论,针对性识别无人驾驶安全风险;李芳2等对自动驾驶汽车引发的伦理、法律、社会问题进行了研究与探讨,突显了行车安全的重要性;何亮3等设计了基于故障码的的汽车诊断专家系统;卢凯4等基于信号采集源和控制对象工作模式对交流辅助控制系统软件进行了防御式设计,对控制系统在运行过程中可能发生的工况与局部故障实施了预防处理措施,从而最大程度地保证了内燃机车的持续可靠运行。目前对于自
3、动驾驶车辆故障处理的研究相对较少,为了减少车辆自动驾驶行驶过程中由于故障导致的安全风险,基于故障树对系统建立分类处理方案,设计了某车型自动驾驶系统故障处理方法,以达到安全行车的目标。2自动驾驶系统方案自动驾驶车辆发展从 L1 到 L5 逐层向上发展,从最初的单雷达辅助驾驶,到目前市场最常见的 1R1V(1 毫米波前雷达+1前向摄像头)融合方案,到可实现变道的3R+5V+域控制器融合方案,再到额外增加搭配激光雷达、高精度的定位系统的方案。如今市面上头部造车新势力企业已经可以实现高速点到点自动驾驶、代客泊车等智能化功能;总结起来自动驾驶系统始终离不开感知、定位、规划决策、车辆底盘控制 4 个系统的
4、“保驾护航”;某车型自动驾驶系统硬件配置方案包括 1个毫米波前雷达、1 个前摄像头、2 个毫米波角雷达、4 个环视摄像头,具体如图 1 所示;这些传感器通过 CAN/CAN-FD、LVDS 等方式把目标信息或原始图像直接输入给自动驾驶域控制器,如图 1 所示;毫米波角雷达*2前摄像头毫米波前雷达环视摄像头*4自动驾驶域控制器图 1某车型自动驾驶系统硬件方案3故障树分析随着自动驾驶车辆的传感器器配置越来越丰富,功能也越来越多,控制器算力也爆发式的增长,甚至达到了上千 TOPS;各种关联系统的增加带来的故障种类、类型也越来越多。故障树分析法(FTA,Fault Tree Analysis)是建立在
5、故障模式影响和后果分析法等可靠性理论基础上的一种分析方法。在运用 FTA 找出故障原因时,第一步应该确定一个最不希望发生的顶事件,其次找出导致顶事件发生的直接原因,然后再去寻找导致上一环节中直接原因的事件,以此类推,按Research on Automatic Driving Fault Treatment Strategy Based on Fault TreeBin HuaichengLiang YongbinWang ShiyongLuo QinyueLin ZhiguiAbstract:In order to reduce the safety risks caused by faul
6、ts in the process of autonomous driving,a qualitative Analysis of the faults of autonomous driving vehicles was carried out based on Fault Tree Analysis(FTA).By evaluating the severity of the impact of different faults on the safe driving of autonomous vehicles and combining with the minimum risk st
7、rategy,a set of classified and phased automatic driving fault handling scheme is designed to maximize the driving safety.Key words:Automatic driving;Fault Tree Analysis;Minimum risk;Fault treatmentAUTO TIME 173 TRAFFIC AND SAFETY|交通与安全照逻辑演绎的手段继续下去,直至找到底事件为止。自动驾驶车辆故障信息首先由诊断系统诊断并记录为故障码,便于工程人员直接定位问题。故障
8、码根据故障信息的来源可分为两大类,即车辆本体故障、自动驾驶系统故障;3.1自动驾驶车辆本体诊断车辆本体是自动驾驶系统的承载体,来自车辆本体的失效会导致自动驾驶车辆故障;其主要包括整车动力控制系统(VCU)故障、电子稳定系统(ESC)故障、电子助力系统(EBS)故障、电子助力转向(EPS)故障、电子手刹(EPB)故障、人机交互系统(HMI)故障、通讯故障等。而通信故障指的是基于各模块间信号传输过程中存在的信号无效、信号丢失、循环计数错误、校验和错误、Bus off 等,根据以上分析可以建立关于车辆本体的故障树,如图 2 所示。3.2自动驾驶系统诊断自动驾驶系统包括感知系统故障、控制系统故障、定位
9、系统故障;感知系统故障主要包括激光雷达故障、毫米波雷达故障、超声波雷达故障、环视摄像头故障、前视摄像头故障、侧视摄像头故障、感知融合故障等。控制系统故障包括域控制器硬件故障与软件故障;其中域控制软件故障包括感知识别异常、意图预测异常、决策规划模块异常、参数读写异常、控制模块异常等。定位系统故障指包括 GNSS 不可用、IMU 不可用、地图数据不可用等。根据以上分析可以建立关于自动驾驶系统的故障树,如图 3 所示。4故障处理4.1故障划分当自动驾驶车辆发生故障时,系统需要根据故障严重程度判断是否需要对故障进行处理,为了划分不同故障产生最终影响的严重程度,需要对故障进行定性安全分析,进而对各故障按
10、其对自动驾驶产生影响的严重程度进行分级处理,故障等级的划分如表 1所示:4.2故障应对最小风险策略 MRM(Minimal risk maneuver)的概念来自于于功能安全标准ISO 26262,其准确定义为:在驾驶自动化系统或用户无法执行动态驾驶任务或动态驾驶任务接管时,驾驶自动化系统所采取的降低风险的措施。MRM 基于对风险缓解进行有效识别和判断,再结合驾驶员对车辆的控制状态,采用必要的控制措施,具体描述如表 2所示。MRM 需要的感知、决策和执行能力,包括但不限于:a.目标与实践探测;b.控制决策;c.车辆横向运动控制;d.车辆纵向向运动控制;e.车辆照明及信号装置控制;故障等级描述1
11、级会引起人员伤亡或车辆损坏2级会引起人员严重伤害、重大经济损失或导致自动驾驶失败3级可能引起人员轻度伤害和一定经济损失或导致自动驾驶部分失效4级对自动驾驶功能有轻微影响5级对自动驾驶功能不产生影响,可正常自动驾驶表 1故障等级图 2自动驾驶车辆本体故障树车辆本体故障人机交互动力系统转向系统制动系统故障+系统故障故障通信故障ibooster故障ESC故障EPB故障Bus off信号丢失/无效循环计数、校验和错误图 3自动驾驶系统故障树自动驾驶系统故障域控制器故障域控器硬件故障感知识别异常意图预测异常决策规划模块异常控制异常参数读写异常GNSS故障地图数据异常摄像头故障毫米波雷达故障超声波雷达故障
12、IMU故障域控制器软件故障定位模块故障感知模块故障+174 AUTO TIMETRAFFIC AND SAFETY|交通与安全f.远程信息交互最小风险策略描述请求接管 自动驾驶系统请求驾驶员接管功能降级自动驾驶系统功能降级,根据功能定义和剩余功能,可定义几种不同等级的降级状态;包括禁止变道,降级为ACC舒适刹停 自动驾驶系统平缓刹停车辆,并结束系统运行安全停车由于严重失效,自动驾驶系统需要快速但是安全的刹停车辆,并结束系统的运行紧急停车 在可能发生碰撞风险的情况下,自动驾驶系统执行紧急控制刹停车辆,并结束系统运行;表 2最小风险策略为了便于车辆控制,需要根据不同的故障处理措施将安全防护划分;当
13、车辆无法完成预定的行程时,由用户或驾驶自动化系统执行并最终使车辆事故风险达到可接受的最小风险状态。最小风险状态可分为两类:一类是结束运行,代表车辆已经刹停,且自动驾驶系统退出,属于最终状态;另一类是驾驶员接管和降级运行,此类情况下,车辆仍保持运行,并未刹停,且可能进一步转换到结束运行状态。根据自动驾驶系统设计运行区域、系统架构方案的不同而有所差异,故障处理流程归纳如图 4 所示;失效类型5失效类型1失效类型2失效类型3失效类型4刹停请求接管功能降级结束运行接管或降级运行图 4故障处理流程5方案设计自动驾驶车辆故障的原因繁多,需要针对具体原因逐一分析,逐一设计应对方案。本文出于提升行车安全的目的
14、,基于最小风险策略仅针部分故障等级案例进行了方案设计;以图 1 车型为例,其所配备的环境感知传感器架构为 3R+5V,未配备足够的侧向环境感知传感器,因此在自动驾驶车辆横向控制失效,且驾驶员未能有效介入动态驾驶任务时,只能持续提醒并升级风险,最后实现单车道内减速或停车,无法实现跨越车道级的靠路边停车或紧急车道停车,如图 5 所示;整个故障处理方案根据风险依次分为三个阶段;第一阶段:系统持续通过“视觉”、“听觉”、“触觉”、提示驾驶员接管车辆;如驾驶员接管车辆,则自动驾驶系统直接退出;第二阶段:系统持续通过更为强烈的“视觉”、“听觉”、“触觉”警示驾驶员接管车辆;如驾驶员接管车辆,则自动驾驶系统
15、直接退出;若驾驶员持续不接管,则系统控制车辆点亮双闪,并舒适性减速;第三阶段:系统继续通过更为强烈的“视觉”、“听觉”、“触觉”提示驾驶员接管车辆;如驾驶员接管车辆,则自动驾驶系统直接退出;如驾驶员仍旧不接管车辆,则系统控车辆持续点亮双闪,并以更大的减速度进行刹车,直至本车在自车道刹停,自动拉起手刹后,自动驾驶系统退出;对于自动驾驶车辆 ibooster 故障,则可以通过请求 ESC 主动建压,将车辆刹停在本车道内;同样若 ESC 故障,则可以通过请求ESB 辅助建压,将车辆刹停在本车道内;自动驾驶车辆动力失效,则可以依靠制动系统或者车辆滑行进行减速;若自动驾驶车辆后角雷达故障,此时仅需禁止变
16、道、功能降级即可。通过对自动驾驶车辆故障的分类分阶段处理,可以最大程度保护驾驶员,避免了系统直接退出导致的潜在风险。6结语安全保障是自动驾驶车辆的前提,随着车辆自动化程度越来越高,系统越来越复杂,自动驾驶系统故障越来越呈现多样性,有的故障能造成车辆性能指标降低或失去预定的功能,有的能造成严重的交通事故,对企业、社会以及人身安全造成严重的损失,及时准确的判定和处理系统故障是保证自动驾驶车辆安全、高效运行的前提,是自动驾驶车辆大规模推广应用的根本保证。本文为自动驾驶车辆故障处理提供了一种新的思路,尽系统最大能力保护驾驶员的安全,提高行车安全性,避免车辆发生失控、碰撞等交通事故,为自动驾驶车辆的快速发展提供借鉴。参考文献:1 窦文悦,胡平,魏平,郑南宁.无人驾驶安全风险的识别与度量研究 J.中国工程科学,2021,23(06):167-177.2 李芳,江菲菲,刘鑫怡,覃雪梅.自动驾驶汽车的伦理、法律与社会影响研究 J.全 球 科 技 经 济 瞭 望,2021,36(07):53-60.3 何亮.基于故障码的汽车故障诊断专家系统的研究 D.辽宁工业大学,2011.4 卢凯,贺德强,肖红升,郭
