智能駕駛是一個交叉學(xué)科，既需要車輛工程，控制工程，計算機科學(xué)等工程學(xué)科的知識，也需要數(shù)學(xué)，物理學(xué)等基礎(chǔ)科學(xué)支撐。智能駕駛汽車通過搭載先進(jìn)的車載傳感器、控制器和數(shù)據(jù)處理器、執(zhí)行機構(gòu)等裝置，從而具備在復(fù)雜行駛環(huán)境下的傳感感知、決策規(guī)劃、控制執(zhí)行等功能，以實現(xiàn)安全、高效、舒適和節(jié)能的智能行駛。那么無論是物理意義上的傳感器，控制器和執(zhí)行機構(gòu)，還是算法層面的傳感感知，決策規(guī)劃和控制執(zhí)行，其實都是一種控制系統(tǒng)。本文就從控制理論與控制工程的角度跟大家聊聊控制系統(tǒng)與自動駕駛安全設(shè)計的關(guān)系。

1. 控制系統(tǒng)概述20世紀(jì)40年代是自動化技術(shù)和理論形成的關(guān)鍵時期，一批科學(xué)家為了解決軍事上提出的火炮控制、魚雷導(dǎo)航、飛機導(dǎo)航等技術(shù)問題，逐步形成了以分析和設(shè)計單變量控制系統(tǒng)為主要內(nèi)容的經(jīng)典控制理論與方法。例如，最早期的定速巡航系統(tǒng)就是使用經(jīng)典控制理論的PID控制系統(tǒng)設(shè)計。50年代末到60年代初，大量的工程實踐，尤其是航天技術(shù)的發(fā)展，涉及大量的多輸入多輸出系統(tǒng)的最優(yōu)控制問題，用經(jīng)典的控制理論已難于解決，于是產(chǎn)生了以極大值原理、動態(tài)規(guī)劃和狀態(tài)空間法等為核心的現(xiàn)代控制理論。汽車防抱死制動系統(tǒng)（ABS）就是一個使用現(xiàn)代控制理論的典型的最優(yōu)控制系統(tǒng)設(shè)計。智能控制的思想出現(xiàn)于20世紀(jì)60年代，智能控制是具有智能信息處理、智能信息反饋和智能控制決策的控制方式，是控制理論發(fā)展的高級階段，主要用來解決那些用傳統(tǒng)方法難以解決的復(fù)雜系統(tǒng)的控制問題。智能控制研究對象的主要特點是具有不確定性的數(shù)學(xué)模型、高度的非線性和復(fù)雜的任務(wù)要求，它適用于對環(huán)境和任務(wù)的變化具有快速應(yīng)變能力并需要運用知識進(jìn)行控制的復(fù)雜系統(tǒng)的控制問題。大多數(shù)復(fù)雜的汽車控制系統(tǒng)，例如汽車動力系統(tǒng)，輔助駕駛系統(tǒng)和自動駕駛系統(tǒng)都屬于這一類。

1971年智能控制奠基人傅京孫教授提出智能控制概念，并且歸納了三種類型的智能控制系統(tǒng)：1） 人作為控制器的控制系統(tǒng)；2） 人–機結(jié)合作為控制器的控制系統(tǒng)；3） 無人參與的智能控制系統(tǒng)?？粗遣皇呛苁煜?？SAE J3016中定義的自動駕駛等級與以上三種類型的智能控制系統(tǒng)也有著千絲萬縷的關(guān)系。如果把整車看作被控對象，L0與L1基本還是第一種，即人作為控制器的控制系統(tǒng)；L2與L3應(yīng)該是屬于第二種，即人-機結(jié)合作為控制器的控制系統(tǒng)；L4與L5就是最后一種，無人參與的智能控制系統(tǒng)了。

2. 控制系統(tǒng)與自動駕駛自動控制系統(tǒng)是指為了實現(xiàn)各種復(fù)雜的控制任務(wù)，將被控對象和控制裝置按照一定方式連接起來，組成的一個有機整體。一般的針對控制系統(tǒng)都可以用類似于以下的方框圖的形式來表示。

這里著重講一下反饋信號，它是由系統(tǒng)（或元件）輸出端取出并反向送回系統(tǒng)（或元件）輸入端的信號稱為反饋信號，反饋有主反饋和局部反饋之分。它是實現(xiàn)控制系統(tǒng)三大性能指標(biāo)（快速性，穩(wěn)定性和準(zhǔn)確性）的最重要和基礎(chǔ)的要素之一。只有有了反饋信號才能形成一個閉環(huán)系統(tǒng)，從而讓系統(tǒng)擁有減小和消除由于擾動所形成的偏差值，以提高控制精度和抗干擾能力。

如果把整個駕駛控制系統(tǒng)看作是一個控制系統(tǒng)，分為傳感感知，規(guī)劃決策和控制執(zhí)行等環(huán)節(jié)的話，我們來看看傅京孫教授提出的三種類型的智能控制系統(tǒng)映射到各種駕駛控制系統(tǒng)中是怎么樣的構(gòu)成。

輸入信號有環(huán)境信息，車輛信息等，控制對象可以宏觀的理解為就是車輛本身，輸出的是橫向和縱向控制等。在人類駕駛控制系統(tǒng)，駕駛員在整個控制系統(tǒng)中還是扮演主要的角色，車基本上只在執(zhí)行環(huán)節(jié)起到相關(guān)作用。在半自動駕駛控制系統(tǒng)，駕駛員雖然在一些情況下允許“脫手或者脫眼”，但是駕駛員在整個控制系統(tǒng)依然扮演著重要角色。例如，駕駛員會被要求識別一些車輛無法識別的邊界場景，駕駛員可以按照需求接管車輛，駕駛員需要在車輛控制系統(tǒng)出現(xiàn)故障時作為備份（Fall-back）執(zhí)行完整的動態(tài)駕駛?cè)蝿?wù)（Dynamic Driving Task）。由此可以看出，人類駕駛員的參與還是貫穿整個控制系統(tǒng)的。再看全自動駕駛控制系統(tǒng)，車輛被要求執(zhí)行完整的動態(tài)駕駛?cè)蝿?wù)和備份，人類駕駛員不再參與控制系統(tǒng)回路任何環(huán)節(jié)。車輛要獨立運行并且繼續(xù)實現(xiàn)快速性，穩(wěn)定性和準(zhǔn)確性這三大控制系統(tǒng)目標(biāo)可見將是非常大的挑戰(zhàn)，這不只是任何一個環(huán)節(jié)的提升能夠?qū)崿F(xiàn)的目標(biāo)，而是整個控制系統(tǒng)的一次“大躍進(jìn)”，傳感器性能，處理器運算能力，執(zhí)行器可靠性的要求都需要大大提升。

3. 控制系統(tǒng)與自動駕駛安全汽車功能安全標(biāo)準(zhǔn)ISO 26262中對于功能安全的定義是什么，不存在由電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險。所以核心還是功能，任何功能特別是電子電氣相關(guān)的功能都是由輸入，邏輯和輸出等模塊組成的控制系統(tǒng)。功能安全開發(fā)始于相關(guān)項定義，其目的也是為了定義清楚相關(guān)項的功能，接口和邊界，這也是一種復(fù)雜控制系統(tǒng)。從而為下一階段的風(fēng)險評估與危害分析中的功能故障定義和整車表現(xiàn)做好準(zhǔn)備。再來看安全需求，無論是哪個層級的需求，功能安全需求，技術(shù)安全需求還是軟硬件安全需求。導(dǎo)出這些需求的關(guān)鍵輸入除了上階段的需求，相關(guān)的技術(shù)設(shè)計框圖也是非常重要的，例如系統(tǒng)設(shè)計框圖，軟件架構(gòu)設(shè)計圖等。所有的需求其實也都是可以將整個控制系統(tǒng)分為輸入，邏輯和輸出模塊分別導(dǎo)出相關(guān)的需求，再分配給相應(yīng)的ECU，系統(tǒng)部件或者軟硬件模塊。安全機制，由電子電氣系統(tǒng)的功能、要素或其他技術(shù)來實施的技術(shù)解決方案，以探測故障，控制失效。如何探測故障呢？無論是多復(fù)雜的控制系統(tǒng)，都可以按照功能和需求把它打散成多個簡單的控制回路。如果整個控制回路是個白盒，控制系統(tǒng)的輸入是可預(yù)見的，傳遞函數(shù)是已知的，即已知的輸入必定會有已知的輸出，這樣的系統(tǒng)通常都可以利用簡單的反饋被監(jiān)控。

其實很多功能安全設(shè)計，就是由很多這樣的一個個小模塊組成的。一旦控制系統(tǒng)出現(xiàn)任何問題或者故障，監(jiān)控模塊就可以通過控制系統(tǒng)已知的特性和模型去判斷識別。那如果由于控制系統(tǒng)的局限性導(dǎo)致輸入是未知的，傳遞函數(shù)和模型也是未知的或者不精確的，該如何保證控制系統(tǒng)的準(zhǔn)確性？如果控制系統(tǒng)是安全相關(guān)的，又如何保證其安全性？這就是預(yù)期功能安全要解決的問題。

那么對于輸入信號不確定，數(shù)學(xué)模型復(fù)雜且不確定的控制系統(tǒng)，如何進(jìn)行相關(guān)設(shè)計呢？在智能化程度比較高的系統(tǒng)中可以采用分級遞階的智能控制方法進(jìn)行設(shè)計。分級遞階智能控制（Hierachical Intelligent Control）是在人工智能、自適應(yīng)控制以及運籌學(xué)等理論的基礎(chǔ)上逐漸發(fā)展形成的，是智能控制最早的理論之一。當(dāng)系統(tǒng)由若干個可分的相互關(guān)聯(lián)的子系統(tǒng)構(gòu)成時，可將系統(tǒng)所有決策單元按照一定優(yōu)先級和從屬關(guān)系遞階排列，同一級各單元受到上一級的干預(yù)，同時又對下一級單元施加影響。若同一級各單元目標(biāo)相互沖突，則由上一級單元協(xié)調(diào)。這是一種多級多目標(biāo)的結(jié)構(gòu)，各單元在不同級間遞階排列，形成金字塔形結(jié)構(gòu)。

此類結(jié)構(gòu)的優(yōu)點是全局與局部控制性能都較高，靈活性與可靠性好，任何子過程的變化對決策的影響都是局部性的。從最低級執(zhí)行級開始，智能要求逐步提高，越高的層次越需要高的智能，而精度則遞減，此類結(jié)構(gòu)具有以下特點：1）越是處于高層的控制器，對系統(tǒng)的影響也越大；2）越是處于高層，就有越多的不確定性信息，使問題的描述難于量化?？梢?，遞階智能控制的智能主要體現(xiàn)在高層次上，在高層次遇到的問題往往具有不確定性。映射到自動駕駛控制系統(tǒng)：第三級執(zhí)行級對應(yīng)反應(yīng)層（或功能層）：它負(fù)責(zé)執(zhí)行上層要求的基本任務(wù)，執(zhí)行較低級的操作和控制硬件執(zhí)行器。該層的處理頻率較高，可以滿足實時性操作和反應(yīng)的要求。第二級協(xié)調(diào)級對應(yīng)實施情況分類的主管層和反應(yīng)導(dǎo)航：該層用來監(jiān)督功能層，并使用從傳感器派生的數(shù)據(jù)來識別車輛的情況，并產(chǎn)生軌跡，此層的處理頻率居中。第一級組織級對應(yīng)規(guī)劃層：此層生成高級計劃（道路和交叉路口的預(yù)估），車輛從當(dāng)前位置到目的地將遵循的路徑等。此層的頻率相對較低，不需要滿足實時性的要求。通過這樣的分層設(shè)計，對于安全的設(shè)計也可以按照同樣的邏輯，對于不同層級的特性和屬性設(shè)計相應(yīng)的安全機制。Conrad J. Pace和Derek W. Seward就在一個自動挖掘機的應(yīng)用中使用了這種設(shè)計方法。對于最底層的功能層來說，由于時間響應(yīng)實時性的要求和硬件架構(gòu)的原因，通常功能和安全機制是不需要進(jìn)行隔離設(shè)計的。那對于第一和第二層級，由于采用非確定性算法，機器學(xué)習(xí)等算法，其本身無法滿足安全設(shè)計的要求，則需要單獨設(shè)計相應(yīng)的安全機制來滿足其高安全等級的要求。這兩層的安全設(shè)計與Phillip Koopman在2016年提出的“Checker/Doer”是一樣的機制，這里的“Doer”就是采用復(fù)雜算法的功能，“Checker”則是更傳統(tǒng)的軟件技術(shù)，用于執(zhí)行安全要求?！癈hecker”只檢查“Doer”做出的決策是否違法相應(yīng)的安全規(guī)則和假設(shè)。例如，以路徑規(guī)劃舉例，“Checker”則始終只檢查被選擇的規(guī)劃方案是否會撞上任何已知的障礙物。通過通訊獲取的反饋信號和信息交互是實現(xiàn)此方法的核心要素之一。

預(yù)期功能安全標(biāo)準(zhǔn)ISO/PAS 21448中對于預(yù)期功能安全的定義為，不存在由于預(yù)期功能的性能不足引起的危害而導(dǎo)致不合理的風(fēng)險。預(yù)期功能安全流程的最重要的目的之一就是不斷地降低未知場景的可能性，而這些場景就是整個自動駕駛控制系統(tǒng)的重要輸入之一。所以這個過程就是不斷的讓輸入變成可預(yù)見的。

標(biāo)準(zhǔn)還通過一系列的方法和流程定義導(dǎo)致危害事件的起因，包括系統(tǒng)功能和需求的不足和局限，特別是傳感器的感知和控制器的規(guī)劃算法。這一過程就是不斷地優(yōu)化算法，讓模型不斷地完善。UL 4600自動駕駛安全評估標(biāo)準(zhǔn)將自動駕駛系統(tǒng)的安全要求分為ODD，傳感器，感知，機器學(xué)習(xí)和人工智能，規(guī)劃，預(yù)測，決策，控制等環(huán)節(jié)，其實也是對控制系統(tǒng)的解耦，化繁為簡，為安全設(shè)計提供指導(dǎo)。UL 4600還利用一種快速迭代的方法，利用現(xiàn)場數(shù)據(jù)的反饋不斷地完善標(biāo)準(zhǔn)的要求，這也是利用反饋手動的優(yōu)化輸入信息去完善模型。

4.結(jié)語此文旨在從控制系統(tǒng)的角度看自動駕駛及其安全設(shè)計，文中依然有許多不完整和不完善的地方，希望通過此文可以讓更多的負(fù)責(zé)功能開發(fā)的朋友關(guān)注安全，也希望更多的負(fù)責(zé)安全開發(fā)工作的朋友關(guān)注功能和控制。其實，大家都有一個共同的目標(biāo)，就是設(shè)計一個穩(wěn)定、快速、準(zhǔn)確的自動駕駛控制系統(tǒng)。