以L3級自動駕駛為例，詳解DDT、DDT Fallback、MRC、MRM概念

寫在前面：

在自動駕駛技術迅猛發(fā)展的今天，動態(tài)駕駛任務（DDT）及其后備（DDT fallback）成為理解自動駕駛系統(tǒng)運作的關鍵要素。DDT包括了車輛在道路上行駛時所需的所有實時操作和策略決策，從基本的轉向和加速，到復雜的環(huán)境監(jiān)控和事件響應。為了確保安全，當自動駕駛系統(tǒng)遇到無法處理的情況時，DDT fallback機制便會啟動，接管控制以避免危險。究竟什么是DDT和DDT fallback？

01.

DDT概念

DDT 是動態(tài)駕駛任務（Dynamic Driving Task）的縮寫。DDT包括在道路交通中操作車輛所需的所有實時操作和策略功能，這些功能不包括行程安排和目的地選擇等戰(zhàn)略功能。具體而言，DDT 包括以下子任務：

a) 通過轉向控制車輛橫向運動（操作）；

b) 通過加速和減速進行車輛縱向運動控制（操作）；

c) 通過目標和事件檢測、識別、分類和響應準備監(jiān)控駕駛環(huán)境（操作和戰(zhàn)術）；

d) 執(zhí)行對象和事件的響應（操作和戰(zhàn)術）；

e) 進行機動規(guī)劃（戰(zhàn)術）；

f) 通過燈光、鳴笛、信號、手勢等增強醒目性（戰(zhàn)術）。

注：子任務（c）和（d）統(tǒng)稱為對象和事件檢測與響應（ODER）。

ODER（Object and Event Detection and Response)目標和事件檢測與響應，是DDT的一部分，負責在車輛運動過程中檢測和響應環(huán)境中的變化，確保車輛的安全和有效操作。

圖1 DDT示意圖

02.

DDT Fallback（動態(tài)駕駛任務后備）

DDT Fallback（動態(tài)駕駛任務后備）指的是在自動駕駛系統(tǒng)（ADS）無法繼續(xù)執(zhí)行動態(tài)駕駛任務（DDT）時，采取的應急措施。這些應急措施包括用戶或系統(tǒng)對車輛進行控制，以確保車輛和乘客的安全。

DDT Fallback觸發(fā)條件主要包含下面兩種情況：

(1) 在發(fā)生執(zhí)行DDT相關系統(tǒng)故障后：

這第一種情況是，當自動駕駛系統(tǒng)（ADS）在執(zhí)行動態(tài)駕駛任務時遇到了系統(tǒng)故障。例如，傳感器失靈或計算模塊出現問題，使得ADS無法繼續(xù)執(zhí)行任務。

(2) 在運行設計域（ODD）退出時:

第二種情況是，車輛運行的環(huán)境超出了ADS設計的范圍。操作設計域（ODD）指的是自動駕駛系統(tǒng)被設計和測試過的特定環(huán)境或條件，例如晴天的高速公路。當車輛進入這些條件之外的環(huán)境，比如突遇暴風雪或駛入復雜的城市交通時，就意味著退出了ODD。

DDT Fallback應對措施，分為下面兩種：

(1) 用戶作為DDT Fallback：

對于低等級的自動駕駛系統(tǒng)（L1級,L2級,L3級）。

(2) ADS系統(tǒng)作為DDT Fallback：

對于高等級的自動駕駛系統(tǒng)（部分L3級,L4級,L5級）。

不同自動駕駛等級中的DDT Fallback：

L3級自動駕駛：

L4級自動駕駛：

在理解了動態(tài)駕駛任務（DDT）和DDT Fallback的概念后，我們需要進一步探討當ADS遇到問題或退出其操作設計域（ODD）時，如何確保車輛和乘員的安全。此時，引入最小風險條件（MRC）這一關鍵概念變得尤為重要。MRC是指在ADS或駕駛員無法繼續(xù)執(zhí)行DDT時，通過適當的措施將車輛置于一個穩(wěn)定、安全的狀態(tài)，以減少事故風險。接下來，我們將詳細探討什么是最小風險條件，以及在不同自動駕駛級別中如何實現這一條件。

03.

最小風險條件（MRC）

最小風險條件在SAE J3016中的定義如下：

定義：一種穩(wěn)定的停車狀態(tài)，用戶或ADS在執(zhí)行DDT后備后可以將車輛置于此狀態(tài)，以減少在無法或不應繼續(xù)行駛時發(fā)生碰撞的風險。

不同自動駕駛等級的實現MRC：

· L1級和L2級: 車內駕駛員需要在必要時達到最小風險條件。

·L3級: 在ADS或車輛發(fā)生與DDT執(zhí)行相關的系統(tǒng)故障時，后備就緒用戶需要在認為必要時實現最小風險條件，或者如果車輛可操作，則繼續(xù)執(zhí)行DDT。

·L4級和L5級: ADS在必要時能夠自動實現最小風險條件。這可能涉及在當前行駛路徑內停車，或進行更復雜的操作以將車輛移出交通活躍車道，或自動將車輛返回調度設施。

了解了最小風險條件（MRC）后，我們需要進一步探討具體的操作措施，即最小風險操作（MRM）。最小風險操作是指當車輛需要實現最小風險條件時，采取的一系列具體行動步驟。這些操作確保車輛能夠安全、有效地達到最小風險狀態(tài)。無論是駕駛員接管還是ADS系統(tǒng)自動執(zhí)行，MRM都是實現MRC的關鍵環(huán)節(jié)。接下來，我們將詳細闡述最小風險操作的觸發(fā)條件、執(zhí)行步驟等。

04.

最小風險操作(MRM)

以L3自動駕駛系統(tǒng)為例，最小風險操作的定義、觸發(fā)條件和執(zhí)行步驟如下：

定義：最小風險行為（MRM）是指在發(fā)生ADS無法繼續(xù)執(zhí)行動態(tài)駕駛任務（DDT）時，通過車輛自動化系統(tǒng)或駕駛員的干預，使車輛以受控和安全的方式停車或進入一個最小風險的狀態(tài)。

MRM觸發(fā)條件（在L3級自動駕駛系統(tǒng)中，觸發(fā)最小風險操作的條件包括）：

1. 系統(tǒng)故障：ADS發(fā)生了影響DDT執(zhí)行的系統(tǒng)故障，如傳感器失效、計算模塊故障等。

2. ODD退出：車輛進入了ADS未覆蓋的操作設計域（ODD），例如遇到未預見的天氣變化或道路狀況。

3. 駕駛員未接管：在ADS發(fā)出干預請求后，駕駛員未能在規(guī)定時間內接管控制車輛。

MRM執(zhí)行步驟（當觸發(fā)條件滿足時，L3級自動駕駛系統(tǒng)會執(zhí)行以下步驟進行最小風險操作）：

1. 發(fā)出警告：ADS會首先向駕駛員發(fā)出警告信號，通常包括視覺、聽覺和觸覺提示，以提醒駕駛員接管控制。

2. 監(jiān)控駕駛員響應：如果駕駛員在警告時間內未能接管控制，系統(tǒng)將進入最小風險操作模式。

3. 減速：ADS將逐步減速車輛，以便為接下來的操作提供充足的反應時間和安全保障。

4. 選擇停車位置：如果可以，ADS將嘗試將車輛駛離車道，選擇一個安全的停車位置，例如緊急停車帶或路肩。

5. 控制停車：在確保周圍環(huán)境安全的情況下，ADS將車輛安全地停下，打開危險警示燈。

6. 緊急援助：在車輛停止后，系統(tǒng)可能會自動呼叫緊急援助，以確保車輛和乘員的安全。

圖2 MRM觸發(fā)條件流程圖

從上面的闡述中我們知道MRM的觸發(fā)條件包括：(1) 系統(tǒng)故障，(2) 超出ODD范圍，(3) 駕駛員誤用/注意力不集中，根據這三類觸發(fā)條件可以把MRM分為兩種類型,即：

1. 正常MRM（Normal MRM）：

正常MRM是指在確認沒有系統(tǒng)故障的情況下，為將車輛安全停下而進行的操作。正常MRM的觸發(fā)條件主要包括運行設計域（ODD）退出和駕駛員未注意警告或誤用車輛的情況。

操作特點：

車輛將逐漸減速，整個操作過程中乘客不會感到不適；

車輛在執(zhí)行MRM時，警示燈將從操作開始到結束一直保持開啟；

最大減速限制為4m/s2；

車輛在安全停下之前，可能需要進行車道變換。

2. 緊急MRM（Emergency MRM）：

緊急MRM是指在系統(tǒng)故障影響傳感器或驅動執(zhí)行器的情況下，為將車輛安全停下而進行的操作。緊急MRM的潛在觸發(fā)條件包括電子穩(wěn)定程序（ESC）故障、電子助力轉向（EPS）故障、視覺系統(tǒng)或雷達系統(tǒng)故障等。

操作特點：

由于存在系統(tǒng)故障，可能無法保證車道變換的平穩(wěn)性（一般不允許換道）；

最大減速可能超過4m/s2；

在某些情況下，緊急MRM需要依靠其他手段（如電動動力系統(tǒng)或自動駐車制動器）實現減速；

在環(huán)境條件惡劣的情況下，緊急MRM的性能會有所下降，可能需要根據其他傳感器的數據進行決策；

如果未達到同一車道停車的條件，操作不會持續(xù)到全時限。

兩類MRM如下圖所示：

圖3 MRM類型圖

通過上述對MRM（最小風險操作）的介紹，我們可以明確認識到，MRM在系統(tǒng)出現故障或緊急情況時，起著至關重要的作用，需要確保車輛能夠安全地停下。因此，在設計和實現MRM功能時，我們必須全面考慮功能安全的要求。

以L3級自動駕駛為例，我們把MRM作為一項功能融入到功能安全開發(fā)中，從概念階段開始直至完成功能安全的整個V模型開發(fā)。L3級ADAS系統(tǒng)冗余架構如下圖：

圖4 L3 ADAS系統(tǒng)冗余架構

基于L3級ADAS系統(tǒng)冗余架構可以初步定義MRM功能的初始架構：

圖5 L3 MRM初始系統(tǒng)架構

基于MRM的初始系統(tǒng)架構，定義實現MRM功能模塊的功能安全要求。如通過危害分析與風險評估得到安全目標：

基于初始系統(tǒng)架構通過演繹分析后得到對應的功能安全要求，如：

開發(fā)完成后，我們需要對提出的功能安全要求進行驗證（ISO26262中推薦的方法）：

05.

總結

文中介紹了有關DDT、DDT Fallback、MRC、MRM的概念，并以L3級系統(tǒng)為例提出對MRM功能安全的要求。但文中沒有考慮到MRM有關預期功能安全的要求，從文中對MRM功能的觸發(fā)條件來看，惡劣天氣條件導致的傳感器限制和駕駛員在車輛行駛時將手從方向盤上移開或解開安全帶/打開車門的可預見的誤用是與預期功能安全強相關的內容，因此MRM需要考慮預期功能安全。

作者

邊俊

磐時創(chuàng)始人/首席安全專家

汽車安全社區(qū)SASETECH發(fā)起人；智能網聯預期功能安全工作組核心成員；國內最早從事汽車功能安全、預期功能安全的專家之一