作者:焉知汽车
MRM 的定义
自动驾驶人机交互有一项基本要求为:当用户无法及时响应自动驾驶系统发出的接管请求时,自动驾驶系统应执行最小风险策略 MRM,以保证车辆运行安全(参见自动驾驶人机交互 [四]:用户接管和主动干预)。
这里最小风险策略 MRM(Minimal risk maneuver)的概念源于功能安全标准 ISO 26262,其准确定义为:在驾驶自动化系统或用户无法执行动态驾驶任务或动态驾驶任务接管时,驾驶自动化系统所采取的降低风险的措施。
在自动驾驶系统功能设计中,为适应不同的需求,通常可以定义多种不同的最小风险策略 MRM,常见的 MRM 见下表 1。
MRM 的目标
根据最小风险策略 MRM 的定义,MRM 运行的目标是保证车辆运行安全,而在自动驾驶系统设计中,“保证车辆运行安全” 指的就是车辆进入了最小风险状态 MRC。也就是说,在自动驾驶人机交互中,当用户无法及时接管驾驶任务时,系统应可以自动执行最小风险策略 MRM,使车辆进入最小风险状态 MRC。
最小风险状态 MRC(Minimal Risk Condition)的定义为:当车辆无法完成预定的行程时,由用户或驾驶自动化系统执行并最终使车辆事故风险达到可接受的状态。常见的几种最小风险状态 MRC 定义见下表 2。
表 2 最小风险状态 MRC
表 2 中的三种最小风险状态 MRC 可分为两类:一类是结束运行,代表车辆已经刹停,且自动驾驶系统退出,属于最终 MRC;另一类是驾驶员接管和降级运行,此类 MRC 下,车辆仍保持运行,并未刹停,且可能进一步转换到结束运行状态(最终 MRC)。
如下图 1 所示,MRM 的目标是使车辆达到 MRC,当车辆定义有多个 MRC 时,也需要定义相应的不同 MRM,以实现车辆从标称运行状态向不同 MRC 或不同 MRC 之间的状态转换。
MRM 的能力与策略
最小风险策略 MRM 是提高自动驾驶系统安全性的重要措施,能否自动执行 MRM 及 MRM 的能力本身都是驾驶自动等级的重要参考原则。
MRM 的能力
最小风险策略 MRM 需要对风险缓解进行有效识别和判断,再结合驾驶员对车辆的控制状态,采取必要的控制措施。MRM 需要的感知、决策和执行能力,包括但不限于:
- 车辆横向运动控制;
- 车辆纵向运动控制;
- 目标与实践探测;
- 控制决策;
- 车辆照明及信号装置控制;
- 远程信息交互。
自动驾驶系统对最小风险策略 MRM 的能力要求随着系统的驾驶自动化等级目标、设计运行区域 ODD、系统架构方案等的不同而有所差异。
例如极星 polestar2,其环境感知传感器架构为 3R1V(1 前向摄像头 + 1 前向毫米波雷达 + 2 后角毫米波雷达),未配备足够的侧向环境感知传感器,因此在自动驾驶系统出现异常且驾驶员未能有效介入动态驾驶任务时,polestar2 只能实现单车道内的减速或停车可控制,无法实现跨越车道级的靠路边停车或紧急车道停车。
MRM 的策略
最小风险策略 MRM 的合理性,极大地影响着自动驾驶系统用户和外部交通参与者的安全性。因此在自动驾驶系统设计过程中,需针对不同的失效场景、结合自动驾驶系统设计方案,「量身定制」 最小风险策略的具体内容,过激的策略和过于保守的策略,都将对自动驾驶系统的运行安全造成较大影响。
危害场景
自动驾驶系统可能触发最小风险策略 MRM 的危害场景有:
- 自动驾驶系统环境感知功能失效或能力受限;
- 车辆超出自动驾驶系统设计运行区域 ODD 的定义范围;
- 驾驶员监控系统 DMS 确认驾驶员当前状态异常,无法正常承担驾驶任务;
- 自动驾驶系统规划控制单元或执行器发生失效。
执行策略
如下图 3 所示,在自动驾驶系统功能设计中,可定义多个最小风险策略 MRM 和最小风险状态 MRC。当车辆出现在上述危害场景时,系统可根据不同场景的危害程度,确定需要执行的 MRM 及所映射的 MRC。
