以L3級自動(dòng)駕駛為例，詳解DDT、DDT Fallback、MRC、MRM概念

寫在前面：

在自動(dòng)駕駛技術(shù)迅猛發(fā)展的今天，動(dòng)態(tài)駕駛?cè)蝿?wù)（DDT）及其后備（DDT fallback）成為理解自動(dòng)駕駛系統(tǒng)運(yùn)作的關(guān)鍵要素。DDT包括了車輛在道路上行駛時(shí)所需的所有實(shí)時(shí)操作和策略決策，從基本的轉(zhuǎn)向和加速，到復(fù)雜的環(huán)境監(jiān)控和事件響應(yīng)。為了確保安全，當(dāng)自動(dòng)駕駛系統(tǒng)遇到無法處理的情況時(shí)，DDT fallback機(jī)制便會啟動(dòng)，接管控制以避免危險(xiǎn)。究竟什么是DDT和DDT fallback？

01.

DDT概念

DDT 是動(dòng)態(tài)駕駛?cè)蝿?wù)（Dynamic Driving Task）的縮寫。DDT包括在道路交通中操作車輛所需的所有實(shí)時(shí)操作和策略功能，這些功能不包括行程安排和目的地選擇等戰(zhàn)略功能。具體而言，DDT 包括以下子任務(wù)：

a) 通過轉(zhuǎn)向控制車輛橫向運(yùn)動(dòng)（操作）；

b) 通過加速和減速進(jìn)行車輛縱向運(yùn)動(dòng)控制（操作）；

c) 通過目標(biāo)和事件檢測、識別、分類和響應(yīng)準(zhǔn)備監(jiān)控駕駛環(huán)境（操作和戰(zhàn)術(shù)）；

d) 執(zhí)行對象和事件的響應(yīng)（操作和戰(zhàn)術(shù)）；

e) 進(jìn)行機(jī)動(dòng)規(guī)劃（戰(zhàn)術(shù)）；

f) 通過燈光、鳴笛、信號、手勢等增強(qiáng)醒目性（戰(zhàn)術(shù)）。

注：子任務(wù)（c）和（d）統(tǒng)稱為對象和事件檢測與響應(yīng)（ODER）。

ODER（Object and Event Detection and Response)目標(biāo)和事件檢測與響應(yīng)，是DDT的一部分，負(fù)責(zé)在車輛運(yùn)動(dòng)過程中檢測和響應(yīng)環(huán)境中的變化，確保車輛的安全和有效操作。

圖1 DDT示意圖

02.

DDT Fallback（動(dòng)態(tài)駕駛?cè)蝿?wù)后備）

DDT Fallback（動(dòng)態(tài)駕駛?cè)蝿?wù)后備）指的是在自動(dòng)駕駛系統(tǒng)（ADS）無法繼續(xù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)（DDT）時(shí)，采取的應(yīng)急措施。這些應(yīng)急措施包括用戶或系統(tǒng)對車輛進(jìn)行控制，以確保車輛和乘客的安全。

DDT Fallback觸發(fā)條件主要包含下面兩種情況：

(1) 在發(fā)生執(zhí)行DDT相關(guān)系統(tǒng)故障后：

這第一種情況是，當(dāng)自動(dòng)駕駛系統(tǒng)（ADS）在執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)時(shí)遇到了系統(tǒng)故障。例如，傳感器失靈或計(jì)算模塊出現(xiàn)問題，使得ADS無法繼續(xù)執(zhí)行任務(wù)。

(2) 在運(yùn)行設(shè)計(jì)域（ODD）退出時(shí):

第二種情況是，車輛運(yùn)行的環(huán)境超出了ADS設(shè)計(jì)的范圍。操作設(shè)計(jì)域（ODD）指的是自動(dòng)駕駛系統(tǒng)被設(shè)計(jì)和測試過的特定環(huán)境或條件，例如晴天的高速公路。當(dāng)車輛進(jìn)入這些條件之外的環(huán)境，比如突遇暴風(fēng)雪或駛?cè)霃?fù)雜的城市交通時(shí)，就意味著退出了ODD。

DDT Fallback應(yīng)對措施，分為下面兩種：

(1) 用戶作為DDT Fallback：

對于低等級的自動(dòng)駕駛系統(tǒng)（L1級,L2級,L3級）。

(2) ADS系統(tǒng)作為DDT Fallback：

對于高等級的自動(dòng)駕駛系統(tǒng)（部分L3級,L4級,L5級）。

不同自動(dòng)駕駛等級中的DDT Fallback：

L3級自動(dòng)駕駛：

L4級自動(dòng)駕駛：

在理解了動(dòng)態(tài)駕駛?cè)蝿?wù)（DDT）和DDT Fallback的概念后，我們需要進(jìn)一步探討當(dāng)ADS遇到問題或退出其操作設(shè)計(jì)域（ODD）時(shí)，如何確保車輛和乘員的安全。此時(shí)，引入最小風(fēng)險(xiǎn)條件（MRC）這一關(guān)鍵概念變得尤為重要。MRC是指在ADS或駕駛員無法繼續(xù)執(zhí)行DDT時(shí)，通過適當(dāng)?shù)拇胧④囕v置于一個(gè)穩(wěn)定、安全的狀態(tài)，以減少事故風(fēng)險(xiǎn)。接下來，我們將詳細(xì)探討什么是最小風(fēng)險(xiǎn)條件，以及在不同自動(dòng)駕駛級別中如何實(shí)現(xiàn)這一條件。

03.

最小風(fēng)險(xiǎn)條件（MRC）

最小風(fēng)險(xiǎn)條件在SAE J3016中的定義如下：

定義：一種穩(wěn)定的停車狀態(tài)，用戶或ADS在執(zhí)行DDT后備后可以將車輛置于此狀態(tài)，以減少在無法或不應(yīng)繼續(xù)行駛時(shí)發(fā)生碰撞的風(fēng)險(xiǎn)。

不同自動(dòng)駕駛等級的實(shí)現(xiàn)MRC：

· L1級和L2級: 車內(nèi)駕駛員需要在必要時(shí)達(dá)到最小風(fēng)險(xiǎn)條件。

·L3級: 在ADS或車輛發(fā)生與DDT執(zhí)行相關(guān)的系統(tǒng)故障時(shí)，后備就緒用戶需要在認(rèn)為必要時(shí)實(shí)現(xiàn)最小風(fēng)險(xiǎn)條件，或者如果車輛可操作，則繼續(xù)執(zhí)行DDT。

·L4級和L5級: ADS在必要時(shí)能夠自動(dòng)實(shí)現(xiàn)最小風(fēng)險(xiǎn)條件。這可能涉及在當(dāng)前行駛路徑內(nèi)停車，或進(jìn)行更復(fù)雜的操作以將車輛移出交通活躍車道，或自動(dòng)將車輛返回調(diào)度設(shè)施。

了解了最小風(fēng)險(xiǎn)條件（MRC）后，我們需要進(jìn)一步探討具體的操作措施，即最小風(fēng)險(xiǎn)操作（MRM）。最小風(fēng)險(xiǎn)操作是指當(dāng)車輛需要實(shí)現(xiàn)最小風(fēng)險(xiǎn)條件時(shí)，采取的一系列具體行動(dòng)步驟。這些操作確保車輛能夠安全、有效地達(dá)到最小風(fēng)險(xiǎn)狀態(tài)。無論是駕駛員接管還是ADS系統(tǒng)自動(dòng)執(zhí)行，MRM都是實(shí)現(xiàn)MRC的關(guān)鍵環(huán)節(jié)。接下來，我們將詳細(xì)闡述最小風(fēng)險(xiǎn)操作的觸發(fā)條件、執(zhí)行步驟等。

04.

最小風(fēng)險(xiǎn)操作(MRM)

以L3自動(dòng)駕駛系統(tǒng)為例，最小風(fēng)險(xiǎn)操作的定義、觸發(fā)條件和執(zhí)行步驟如下：

定義：最小風(fēng)險(xiǎn)行為（MRM）是指在發(fā)生ADS無法繼續(xù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)（DDT）時(shí)，通過車輛自動(dòng)化系統(tǒng)或駕駛員的干預(yù)，使車輛以受控和安全的方式停車或進(jìn)入一個(gè)最小風(fēng)險(xiǎn)的狀態(tài)。

MRM觸發(fā)條件（在L3級自動(dòng)駕駛系統(tǒng)中，觸發(fā)最小風(fēng)險(xiǎn)操作的條件包括）：

1. 系統(tǒng)故障：ADS發(fā)生了影響DDT執(zhí)行的系統(tǒng)故障，如傳感器失效、計(jì)算模塊故障等。

2. ODD退出：車輛進(jìn)入了ADS未覆蓋的操作設(shè)計(jì)域（ODD），例如遇到未預(yù)見的天氣變化或道路狀況。

3. 駕駛員未接管：在ADS發(fā)出干預(yù)請求后，駕駛員未能在規(guī)定時(shí)間內(nèi)接管控制車輛。

MRM執(zhí)行步驟（當(dāng)觸發(fā)條件滿足時(shí)，L3級自動(dòng)駕駛系統(tǒng)會執(zhí)行以下步驟進(jìn)行最小風(fēng)險(xiǎn)操作）：

1. 發(fā)出警告：ADS會首先向駕駛員發(fā)出警告信號，通常包括視覺、聽覺和觸覺提示，以提醒駕駛員接管控制。

2. 監(jiān)控駕駛員響應(yīng)：如果駕駛員在警告時(shí)間內(nèi)未能接管控制，系統(tǒng)將進(jìn)入最小風(fēng)險(xiǎn)操作模式。

3. 減速：ADS將逐步減速車輛，以便為接下來的操作提供充足的反應(yīng)時(shí)間和安全保障。

4. 選擇停車位置：如果可以，ADS將嘗試將車輛駛離車道，選擇一個(gè)安全的停車位置，例如緊急停車帶或路肩。

5. 控制停車：在確保周圍環(huán)境安全的情況下，ADS將車輛安全地停下，打開危險(xiǎn)警示燈。

6. 緊急援助：在車輛停止后，系統(tǒng)可能會自動(dòng)呼叫緊急援助，以確保車輛和乘員的安全。

圖2 MRM觸發(fā)條件流程圖

從上面的闡述中我們知道MRM的觸發(fā)條件包括：(1) 系統(tǒng)故障，(2) 超出ODD范圍，(3) 駕駛員誤用/注意力不集中，根據(jù)這三類觸發(fā)條件可以把MRM分為兩種類型,即：

1. 正常MRM（Normal MRM）：

正常MRM是指在確認(rèn)沒有系統(tǒng)故障的情況下，為將車輛安全停下而進(jìn)行的操作。正常MRM的觸發(fā)條件主要包括運(yùn)行設(shè)計(jì)域（ODD）退出和駕駛員未注意警告或誤用車輛的情況。

操作特點(diǎn)：

車輛將逐漸減速，整個(gè)操作過程中乘客不會感到不適；

車輛在執(zhí)行MRM時(shí)，警示燈將從操作開始到結(jié)束一直保持開啟；

最大減速限制為4m/s2；

車輛在安全停下之前，可能需要進(jìn)行車道變換。

2. 緊急MRM（Emergency MRM）：

緊急MRM是指在系統(tǒng)故障影響傳感器或驅(qū)動(dòng)執(zhí)行器的情況下，為將車輛安全停下而進(jìn)行的操作。緊急MRM的潛在觸發(fā)條件包括電子穩(wěn)定程序（ESC）故障、電子助力轉(zhuǎn)向（EPS）故障、視覺系統(tǒng)或雷達(dá)系統(tǒng)故障等。

操作特點(diǎn)：

由于存在系統(tǒng)故障，可能無法保證車道變換的平穩(wěn)性（一般不允許換道）；

最大減速可能超過4m/s2；

在某些情況下，緊急MRM需要依靠其他手段（如電動(dòng)動(dòng)力系統(tǒng)或自動(dòng)駐車制動(dòng)器）實(shí)現(xiàn)減速；

在環(huán)境條件惡劣的情況下，緊急MRM的性能會有所下降，可能需要根據(jù)其他傳感器的數(shù)據(jù)進(jìn)行決策；

如果未達(dá)到同一車道停車的條件，操作不會持續(xù)到全時(shí)限。

兩類MRM如下圖所示：

圖3 MRM類型圖

通過上述對MRM（最小風(fēng)險(xiǎn)操作）的介紹，我們可以明確認(rèn)識到，MRM在系統(tǒng)出現(xiàn)故障或緊急情況時(shí)，起著至關(guān)重要的作用，需要確保車輛能夠安全地停下。因此，在設(shè)計(jì)和實(shí)現(xiàn)MRM功能時(shí)，我們必須全面考慮功能安全的要求。

以L3級自動(dòng)駕駛為例，我們把MRM作為一項(xiàng)功能融入到功能安全開發(fā)中，從概念階段開始直至完成功能安全的整個(gè)V模型開發(fā)。L3級ADAS系統(tǒng)冗余架構(gòu)如下圖：

圖4 L3 ADAS系統(tǒng)冗余架構(gòu)

基于L3級ADAS系統(tǒng)冗余架構(gòu)可以初步定義MRM功能的初始架構(gòu)：

圖5 L3 MRM初始系統(tǒng)架構(gòu)

基于MRM的初始系統(tǒng)架構(gòu)，定義實(shí)現(xiàn)MRM功能模塊的功能安全要求。如通過危害分析與風(fēng)險(xiǎn)評估得到安全目標(biāo)：

基于初始系統(tǒng)架構(gòu)通過演繹分析后得到對應(yīng)的功能安全要求，如：

開發(fā)完成后，我們需要對提出的功能安全要求進(jìn)行驗(yàn)證（ISO26262中推薦的方法）：

05.

總結(jié)

文中介紹了有關(guān)DDT、DDT Fallback、MRC、MRM的概念，并以L3級系統(tǒng)為例提出對MRM功能安全的要求。但文中沒有考慮到MRM有關(guān)預(yù)期功能安全的要求，從文中對MRM功能的觸發(fā)條件來看，惡劣天氣條件導(dǎo)致的傳感器限制和駕駛員在車輛行駛時(shí)將手從方向盤上移開或解開安全帶/打開車門的可預(yù)見的誤用是與預(yù)期功能安全強(qiáng)相關(guān)的內(nèi)容，因此MRM需要考慮預(yù)期功能安全。

作者

邊俊

磐時(shí)創(chuàng)始人/首席安全專家

汽車安全社區(qū)SASETECH發(fā)起人；智能網(wǎng)聯(lián)預(yù)期功能安全工作組核心成員；國內(nèi)最早從事汽車功能安全、預(yù)期功能安全的專家之一