精品译文 | 自动驾驶车辆失效保护系统的应急控制算法开发

自动驾驶车辆失效保护系统的应急控制算法开发

原文 : DEVELOPMENT OF AN EMERGENCY ConTROL ALGORITHM FOR A FAIL-SAFE SYSTEM IN AUTOMATED DRIVING VEHICLES

翻译：卢萍

译文审核：张志闯

➡本文主要内容分为4个部分（约5200字，22分钟阅读）

本文提出了自动驾驶车辆失效保护系统结构的概念。它包含了自动驾驶车辆失效保护系统的车辆硬件和软件结构设计。此外，它还处理了内容故障检测，容错控制，以及在自动驾驶车辆失效时没有驾驶员干预的情况下的紧急制动策略。根据NHTSA发布的2017年“自动驾驶系统2.0：安全愿景”报告，它指出，在自动驾驶汽车出现问题时，部署防撞系统对于切换到最低危险状况来说至关重要，否则系统不能安全运行。

首先，构建车辆硬件和软件的方法是基于NHTSA发布的“自动驾驶系统2.0:第1节回退(最小风险条件)”报告产生的。其次，提出一种基于滑模控制算法的容错控制和紧急减速方法，针对SAE国际标准J3016自动驾驶阶段4:即使人类驾驶员没有对干预请求做出适当的响应，自动驾驶系统应执行动态驾驶任务的所有方面。

为了满足SAE标准J3016第4阶段提出的自动驾驶要求和NHTSA安全标准，本论文创建了硬件配置，能确保自动驾驶车辆可以在没有适当驾驶员干预的情况下执行给定的任务。在检测部分，提出了诊断失效的硬件(执行器，传感器，CAN信号，上位和下位控制器)和基于模型的失效保护诊断方法和算法。在决策和控制部分，当自动驾驶车辆被诊断出故障时，并且没有检测到驾驶员的干预，自动驾驶车辆的失效保护阶段是转移至系统错误。在系统错误阶段(下位控制器)，采用提出的方法。自动驾驶车辆实验已经证明了前面提到的算法和失效保护结构。首先，关于自动驾驶汽车的失效保护系统的论文和研究确实不多。NHTSA关于自动驾驶汽车的安全报告只包含了“这样做是件好事”的“建议”，尚未制定规则。这篇论文提出的自动驾驶车辆失效保护系统虽尚未商业化，但已配置为满足NHTSA的安全要求。本文提出的失效保护系统已应用于自动驾驶车辆，并通过整车试验，验证了所提出的算法。本文提出的系统应该是非常契合技术会议主题的，本文推荐了一个满足NHTSA针对自动驾驶汽车第4阶段的系统和控制和应急测试方法。

01介绍

自动驾驶汽车失效保护与回退系统研究是非常必要和重要的。自动驾驶车辆由各种传感器、计算机、执行器和其他类型的设备组成，并且这些设备被配置在一起通信。在故障诊断方面，每台设备需要实时监控，也需要在发生故障时能配置的策略。本文提出的算法是控制部分的一种算法，能在故障诊断系统确认到故障且没有驾驶员干预的情况下紧急停车。控制类型分为两种，纵向控制和横向控制。即使发生了错误，车辆不能从上位机的自动驾驶系统的感知和决策组件接收正常数据，所提出的算法也能只使用车辆的底盘信息为自动驾驶车辆提供安全地响应的办法。车辆硬件配置分为负责感知与决策的上位控制器和负责控制车辆的下位控制器。下位控制器由鲁棒性非常高的硬件组成，在上位控制器出错时，能安全地控制纵向和横向。因此，在SAE国际提出的自动驾驶阶段，level 4建议:即使人类驾驶员没有对干预请求作出适当的反应，在特定驾驶模式下自动驾驶系统也能完成驾驶任务。

图1 Waymo车辆关键安全冗余系统

硬件配置进行了这样的配置，以便自动驾驶车辆可以在没有驾驶员适当干预的情况下执行失效保护系统任务。然而目前对自动驾驶故障诊断系统的研究并不多，非自动驾驶车辆故障诊断系统已经以失效保护系统的名义展开。YH.J开发了车辆传感器故障诊断和接受算法，执行了残差和没有额外硬件的自适应阈值故障诊断。KS.O对基于滑模的故障诊断预测算法进行了研究。国外汽车OEM咨询了失效保护和系统构建方法方面的先进研究。谷歌Waymo自动驾驶汽车已经应用了回退系统。图1是Waymo车辆关键安全冗余的描述。Waymo车辆的冗余系统由备份计算、备份制动、备份转向和备份电源系统组成。与谷歌Waymo类似，CRUISE也有一台备份计算机、备份执行器、信号通信冗余和数据积累系统。

02 基于硬件的故障探测分类

本章主要介绍基于了模型的自动驾驶车辆故障检测与处理系统分类。硬件分为执行器、传感器、上位控制器、CAN网络和下位控制器。执行器分为转向和油门/刹车。传感器部分由激光雷达、雷达和视觉(单通道摄像机)组成。上位控制器包含整个自动驾驶算法的感知和判决逻辑，定期进行计算，并通过实时通信将计算值传输给下位控制器。CAN通信是指车辆的整体通信，包含许多传感器和执行器，车辆内部通信，并使用一个方法对它们的值进行实时监控。下位控制器包括计算整体配置的重要子控制器的算法，路径跟踪的算法，或者在发生故障时进入纵向控制的控制输入。

传感器故障探测

传感器硬件故障检测方法如图2所示。传感器自身发生故障时，制造商发送相应的故障信号。德尔福雷达的信号可以发现许多故障，如传感器通信错误、传感器状态失败、阻塞状态和过温状态等。通讯配置允许用户读取相应的信息。图2.b)是关于Ibeo LUX雷达错误和警告信息，错误内容包括内部错误，电机错误，温度上升、数据丢失、内部通讯错误、扫描数据不正确等。发送给用户的警告信号，可以接收内部通讯、温度升高等错误信息。

图2.a) 德尔福雷达错误信息 b)Ibeo LUX雷达错误信息

通信&控制器故障探测

在车辆内部，通信是通过CAN总线(控制器局域网)通信协议进行的，这是一种标准的通信规范，旨在使多个设备能够无需主节点地相互通信。为了检测CAN信号中的错误，识别CAN信号的特性是非常重要的。利用CAN发生故障时最后一个值由主控制器维持的特点，利用PC机LabVIEW信号处理程序，一种更高层次的自主车辆的控制器，可以识别有关CAN的错误，当收到相同的值时判断为CAN错误。LabVIEW程序本身也可以使用检测CAN错误的虚拟仪器(VI)检测CAN信号上的错误。VI可以发现内部CAN状态值固定的错误。上层控制器是指一台PC机，下位控制器(微型自动箱)负责控制。当PC对自动盒系统通过CAN实时发送和接收数据，故障查找系统能识别是不是有一方故障。

03 失效保护控制

本章主要介绍失效保护控制的概念和研究原因。这部分的主要目的是满足如图3所示的SAE国际 level 4的要求。在算法确定的故障发生后，在没有驾驶员干预的情况下进行紧急停车的控制部分。

图3  车辆自动化水平，SAE 国际标准J3016

失效保护控制描述

控制部分分为纵向和横向两部分，为自动驾驶车辆提供一种即使没有上层控制部分的感知与决策信息等，也可以只使用车辆的底盘信息做安全响应的方式。本文中系统错误被定义为网络通信被阻塞。在这种情况下，CAN网络中的最后一个值才是有用的信息。本文提出了一种失效保护模型，利用系统错误的独特现象，并利用该有用信息进行预测和控制。系统误差监控器部分包含预测内容。纵向控制采用的方法是实时地计算安全行驶距离并传输给参考减速模型，而参考模型计算参考距离和基于滑模控制的减速和停止算法参考速度模型。有可能通过上述方法在安全距离内停车。横向控制由一个只使用车辆底盘信息的算法组成。该算法利用上层控制器的最后信息(期望路径)，利用DR跟踪到横向控制算法的路径。

整个模块由查找所有模块故障的故障检测部分，即对故障进行分类的故障检测部分，以及负责用有限信息控制减速的控制模型组成。

图4是自动驾驶汽车的硬件概念，包括故障安全模块。考虑到自动驾驶车辆的硬件结构，故障安全模块在正常情况下配置，感知、决策和控制算法算法在上控制器中运行。为了准备故障情况，故障安全模块中的信息利用上控制器的预测算法实时计算预测算法。如果错误诊断模块检测到错误，且没有确定驾驶员干预，则使用最终信息进行预测和控制。从上控制器接收到的最后一个安全距离（在正常情况信息中）以两种方式使用。在横向方向，采用航迹推算算法驱动安全路径，在纵向方向，采用基于滑模控制的减速和停止算法。

图4  失效保护硬件概念图

方法论

在本节的方法论中，本节主要描述使用算法的系统错误情况。一种是定义参考减速模型，另一种是基于滑模控制的减速和停止算法。参考减速模型由考虑驾驶员安全和乘坐舒适性的一般驾驶员减速数据确定。采用第一次集成速度模型和第二次集成站点模型构建安全距离停车算法。纵向加速度模型、纵向速度模型，以及纵向距离模型的图片和公式。Vx是初速度，am是减速度最大值，θ(θ=t/td )是时间比，td是减速时间，m是模型变参数，是模型参数。通过标量方程S(x;t)=0定义时变滑动曲面S(t)，其中和λ是严格正常数。

在这个控制器中n=2和保持在0处的标量s(t) 的问题可以通过选择适当的控制输入u，s(t) 的外部来实现，和使s(x;t)=0。

式(1)中e(t)为参考站与车辆站之间的误差，(3)为Lyapunov函数，（4）区分李雅普诺夫函数。

对于一个稳定系统，李雅普诺夫函数的导数应该是负的。

设计(2)滑动面。设计滑动面，计算控制输入(8)跟踪滑动面，控制输入ueq是车辆SCC模块的纵向加速度。

车辆SCC(智能巡航控制)模块说明

SCC(智能巡航控制)模块是ADAS现代汽车公司的系统。通过通信操作，将纵向加速度，即控制输入输入到SCC模块中。SCC模块是考虑驾驶员安全性和乘坐舒适性的模块。如果在模块中插入纵向加速或减速，则实际输入值和车辆反应具有时间延迟。为分析延迟特性，进行了SCC模块延迟试验。测试方法验证在车辆加速和巡航过程中，通过将减速值作为输入输入到SCC模块中，从而获得SCC模块的特性。

如果将“方法学”一章中提到的参考模型直接插入车辆SCC模块，则无需使用其他控制方法，即可在简单配置的指定距离内安全停车。因此，利用参考站的输出和参考速度作为控制输入，就会产生SCC模块扩展时间的延迟问题导致车辆输出值与参考模型值不同的结果。下一章是多次实验和测试数据的结果，表明SCC模块具有非线性特性。

如上所述，在几种情况下应用控制输入来测试SCC模块的非线性特性。测试场景设置如下，1.20km/h(负一到负五)减速至停车点2，40km/h(-1到-3)减速至停车点3，60km/h(-1至-3)减速至停车点4。

加速测试

K5车辆减速试验检查SCC模块延迟，试验内容包含当车速接近20km/h和接近60km/h时恒减速接近从-1m/s2至-3m/s2。从试验中得出SCC模块延迟的结论如下。首先，模块存在0.1s到0.5s左右的时间延迟。第二，模块减速控制输入不严重，无法达到命令输入。综上所述，SCC模块存在时滞和非线性模型特性。

基于滑模控制的减速车辆试验

对于失效保护控制减速停车车辆试验，采用以下方法进行试验。整车试验在自主状态模式下进行，自始至终的实验场景都是在20km/h和30公里/小时的低速区域进行规划和进行的。图7显示了车辆在自动模式下从停车→加速→停车的测试。

图7中的第一个图显示了车辆加速至30 km/h时的ACC模式，以及故障发生时基于滑模控制的算法运行情况。第二个图是车辆的纵向加速度和车辆SCC模块的控制输入(纵向加速度)的比较。

图7 整车试验场景-加速至停车

04 整车试验结果

图8展示的是如上章所述的应用于自动驾驶汽车的失效保护模块。如图8所示，许多算法和方法已经应用于实际的自动驾驶汽车。已经构建了报警系统，使驾驶员能够识别自动驾驶车辆中的警告情况。在感知部分，1)车辆内部CAN通信错误，2)CAN值保持错误(多个CAN通道)，3)传感器硬件错误。这些错误报警系统已经被构建来提醒驾驶员。通过计算机车辆试验对所提出的自动驾驶控制算法进行了评价。为了在真实的测试车辆上评估所提出的算法，现代起亚汽车K5被用做了测试车辆平台。图5显示了测试车辆的整车配置。所提出的算法已经在“dSPACE Autobox”上实现，用于实时应用，并配备了处理器样板。上述硬件组件通过CAN总线进行通信。

图8 自动驾驶车辆硬件配置

图9为30km/h附近的车辆试验结果。(a)、(b)、(c)分别为车辆纵向速度和参考模型速度剖面图、车辆工位和参考模型工位、车辆加速度和控制输入，实验结果表明，通过控制输入，滑动面跟随良好。黄色部分解决了SCC模块上的过载问题，而不是算法停止，由常数停止组成速度降低时的减速，以保证模块的安全。

图9 整车试验结果-

(a)车速(b)参考站（c）整车输入和控制输入

05 结论

本文为满足SAE International提出的自动驾驶阶段要求，对硬件进行配置，确保驾驶员能够执行自动驾驶车辆任务而无需驾驶员的适当干预。在检测部分，基于硬件(执行器、传感器、CAN信号、上位控制器，下位控制器)和模组(转向、油门/刹车、激光雷达、雷达、GPS、CAN信号、CAN状态、底盘CAN)提出检测故障状况的失效保护诊断方法和算法。在决策与控制部分，当自动驾驶汽车的故障被诊断出来且没有检测到驾驶员的干预时，自动驾驶车辆失效保护阶段是转移至图4所示的系统错误，在系统错误阶段(下位控制器)参考站模型和参考速度模型被实时计算。基于滑模控制器的减速停止算法跟踪设计了滑动面。通过基于测试数据的仿真测试和整车测试，所提出的自动驾驶故障情况减速算法的有效性得到评估。从结果来看，所提出的算法可以在低速(20,30kph)条件下提供具有鲁棒性的表现。