文件名称:
apollo-自动驾驶-安全白皮书.pdf
开发工具:
文件大小: 3mb
下载次数: 0
上传时间: 2019-10-31
详细说明:百度apollo-自动驾驶-安全白皮书,关于地图相关的介绍;更新时间2019/11安全可靠的自动驾驶地图
1前言……5
2摘要
5
3高可靠地图:使用案例.
3.1扩展传感器范围.
6
32传感器工作不足时提供支持
33传感器无法提供的基于位置的信息
34车辆定位
4安全领域之间的关系
5地图的安全要求分解…
77889
5.1迭代一:对主要功能进行Sotf分析
5.2迭代2:对主要功能进行“使用安全”分析
10
5.3迭代3:技术安仝要求阶段进行 Otif分析
:::::::.a:::日
5.4达代4:对主功能进行“可用性”分析
6地图与现实世界的差异
12
6.1最小化,量化并降低地图的不精确度..…
13
6.1.1量化与降低措施
13
6.1.2最小化地图的不精确度
62避免并检测地图数据的错误
14
62.1数据采集环节…
15
6.22地图制作环节……
15
62.2.1人为错误
15
622.2软件/工具错误
16
6223过程误差
6224信息安全
62.3地图传输环节.…
18
6.24车锕内使用环节….
18
63预测以及检测现实世界的
18
6.3.1通过道路交通管理局的信息预测现实的变更
19
Page 3 af 26
安全可靠的自动驾驶地图
6.32通过众包的方式预测现实的变更
19
6.3.3通过测绘测量来检测现实的变化
0
6.34使用众包方式来检测现实的变化
20
64检测并降低对地图更新的中断
20
64.1地图传输过程屮的屮断
20
642地图制作过程中的中断
64.3地图数据收集过程的中断
6.5检测并降低地图与现实世界的偏差...
21
651检测
6.52减轻
21
7其它的的挑战…22
8附录………,
23
81SAE自动驾驶分级
82缩略语
24
8.3参考资料..
24
Page 4 of 26
安全可靠的自动驾驶高精地图
1前言
自动驾驶应用中使用地图数据通常会面临以下这些问题:哪些应用要求使用地图数据?地图数据是否
可以在安全相关功能屮被使用?通过哪些途径,我们可以制作出高可靠的地图?
本文专门针对这些问题进行了探讨,并对一些问题提出了具体实施的方法和方式,并总结了尚未解决,
待行业一起努力解决的问题,
2摘要
自动驾驶功能可以使用高度可靠的地图数据
·地图供应商的工具和流程需要持续的评审和改进,从而实现自动驾驶对地图数据完整性的要求
自动驾驶功能要求使用地图质量元数据
地图供应商和道路建设局必须合作,以保持地图数据的更新。
有一些领域仍然需要的更细节的技术讨论(如后端系统保护方法、地图质量元数据等)
·关于地图安全的很多重要方面日前仍然没有相关的标准,很多工作仍然需要标准化(如 SOTIE
可接受风险水平、后端系统安全要求等)
3高可靠地图:使用案例
日前,高可靠地图可以应用于不同的场景:
应用
传感器范围扩展
为传感器性能不足提供无法通过传感器导出的定位
的支持
基于位置的信息
M回
≤回
举例
白动驾驶区域结束之前及时恶劣天气(写、冰、雾)
按照汽车制造商、各国具体
接管请求
各国具体的标志、物理攻击的规确定的自动驾驶道路(地图配、地标
1)数据质量:地图数据的精确度、更新性、完整性、正确性
挑战
2)完整性:后端与数据传输的功能安全性和安保性
图2:高度可靠地图应用
首先,地图不会取代传感器,传感器能够提供在车辆运行中的动态过程数据,如行人、自行车和其
他车辆的行为等等。
自动驾驶可能需要依靠地图获得某些具体的信息,这是由于其它车载传感器无法提供车辆所要求的
些高质量的信息:例如,摄像头无法读取模糊的标志,但可以通过地图获得
Page 5 af 26
安全可靠的自动驾驶高精地图
根据S○26262,如果地图必须要和车载传感器一起组成同传感器系统,才能提供自动驾驶系统所要
求的信息,那地图或者车载传感器不能做为独立的要素进行分解安仝需求
因此,这里地图系统只能用于解决物理/算法传感器系统的不足,或者做为一个独立的系统进行安全需
求分解。
对于安全相关的应用而言,通常并不需要整个地图都具有非常高的质量,通常只有一小部分的地图属
性需要比较高的质贔,可靠性与完好性,这些属性通常被称之为“高可靠的地图属性”(RMA)。本白
皮书的第五章给出了一个具体的示例,如何基于一个具体的应用针对地图提出具体的RMA清单
31扩展传感器范围
场景预测
通过提前识别潜在危险情形,地图信息大幅度扩大了传感器的感知范围。在这一点上,自动驾驶功
能可以达到与人类司机的技能相匹配,或者应该高于人类司机的平均水平,例如,当限速标志模
糊时,通过地图提供的信息,自动驾驶功能仍然可以按照限速要求进行限速,或在碰到障碍物时
提前进行制动等。
要求司机在HAD路线结束之前很好地接管系统
基于目前的技术水平,HAD系统的性能通常仅能攴持车辆在具体的区域运行〔如高速工路等)。
在HAD模式下(L3及以上),司杋通常不会监控车辆的功能和环境条件,并且不了解自动驾驶功能
运行的一些限制条件(比如,限定区域)。因此在系统没计时,不能期待司机能够提前识别HAD模
式应当结束的地方,或在提示的情况下能够立即控制车辆(反应和情景意识需要时间)
如果仅依靠视觉传感器检测HAD路线终点时,然后再将控制转移给司机,很有可能引起司机不能及
时接管的风险。这种情景通常需要启动紧急制动功能,可能会出现危险和不适。如果传感器无法检测
到HAD路线结束(如标志模樹等),则这种危险情况更有可能会出现。
因此,系统可以通过地图数据来计算HAD线路的结束,并及时向司机告警
32传感器工作不足时提供支持
转向至安全停止
如果司机未能接管系统,自动驾驶系统仍然可以避免在车道内的紧急制动,地图可以提供是否有可供
紧急停车的硬路肩,以及该路肩所在的位置。
车辆安全概念也可以将这包括在内,作为对安全相关部件故障的响应,或者是对司机的医疗紧急情况
作出的响应
Page 6 af 26
安全可靠的自动驾驶高精地图
33传感器无法提供的基于位置的信息
HAD可行驶路线
HAD的法律许可能不会,并且不大可能会设立路标用来显小可允许自动驾驶的区域,而通过地图可
以可靠的获得该信息
制造商基于自动驾驶性能制定的HAD可运行路线/区域
尽管法律允许,车厂仍然可能会选择关闭部分特定车辆在特定驾驶路段的HAD功能,例如,当车辆
系统性能不足以支持车辆在该路段实现安全操作时。
国家法规
要遵守具体的国家规范,比如左手/手交通等,车辆必须首先“知晓”其位置。当车辆越过边境时,传
感器可能会检测到边界标志。而假如车辆通过铁路等运输到另一个国家,则无法通过视觉传感器检测,
那么系统则可以使用卫星定位数据,并通过地图来检索出其位置
34车辆定位
HAD功能必须要有定位的功能,这可以通过地图匹配功能来实现。通过卫星导航以及之前的运动轨
迹识别的车辆的绝对位置的匹配,系统可以确定车辆在地图上的位置。根据自动驾驶级别不同,要求
系统具备不同的定位能力
基于不同的自动驾驶级别,可能会需要不同的定位精度
对于不需要变道功能的自动驾驶系统而言,HAD功能通常只能在某些特定的ODD中激活,例如只能
在高速公路上激活等。系统应该能够确定车辆是否在正确的道路上。“道路类型”这类的信息可以由高
清地图提供。
对于具备变道功能的自动驾驶系统,可能需要更髙的横向定位准确度以决定车道内的位置,这可能需
要高精地图提供高可靠的关于“地面标示”信息。
Page 7 af 26
安全可靠的自动驾驶高精地图
4安全领域之间的关系
功能安全
SOTIF:预期功能安布用安全性
(ISO26262)
全性
保扩范围
硬件或软件不按照规菏工传感器算法执行机构性能操作错误、误解、滥用
作
图1:相关安全区域
在讨论汽车安全时,必须要考虑多个不同的领域。对丁高可靠地图最相关的领域包括:
功能安全(lSO26262)
与汽车中的硬件和软件相关
减轻由于硬件/软件不按照规范工作所引起的风险
不包括汽车安全运行所需的“标称性能”
sotf(预期功能安全,|SO21448)
o与汽车的“功能”相关
o针对汽车安全运行所需的“标称性能
使用安全
o防止故意或非故意的滥用
防止精神负担过重和分
5地图的安全要求分解
为了实现某一特定的自动驾驶功能(比如高速巡航,HWP),在自动驾驶系统设计的过程中,对第
四章提出的各安全领域都会被应用到。但是在开发过程屮如何系统合理的去应用这些领域,目前仍然
没有相关的标准。本章描述了一种可以用于实现这一目的的方法
我们建议采用迭代设讣来来降低这个方法在实施过程中的复杂性。在每一个迭代中,至少部分运用
SO26262安全生命周期的开发部分。
Page 8 of 26
安全可靠的自动驾驶高精地图
项巨定义
功能行为
设计
运行设计域已知限制可用性目标
硬件模拟
安全目标
)析
功能安全
使用女全
Otif
可用性
能安全概念FS概念,包括FS要求
ASIL
性能要求
分析
功能实全
使用女个
Otif
可用性
支不安全概念概念,包括TS要求
性能要求
分析
功能安全
使用安全
可用性
在每一个迭代中,使用分析结果来改善功能和系统的设计。不仅使用功能安仝分析,我们同时还会进
行使用安全( Safety in use)、Sotf和可用性的分析。
以下几节以高速公路巡航系统(HwP)功能为例对如何进行迭代分析进行了说明。
51迭代一:对主要功能进行Sotf分析
项日定义
功能灯为
系
运行设计域己知限制1可用性目标
危险情形:在N动期,行人
HARA
安全目标
tASI
分析
功能安
使用安全
Sott
可用性
INP仅在高逗公路上活(ASLB)
SAE3级行人检测不足
功能安全概
S概念,包招FS要求
性能要求
分析
功能安全
使用安全
Otif
可用性
FW仅在用户需要时才汗动(AmB)
被术安今概念
TS概念,包括TS妻求
性能要求
分析
功能安全
使用安全
可用性
⑤用户激活信用切换(ASLB)
在这个具体的示例中,第一个迭代的时候,在进行危险分析和风险评估(HARA)之后,我们需要对
当前系统设计进行一次Sotf分析。分析结果显示:系统的行人检测能力不足,所以汽车无法在城市
场景屮进行自动驾驶
在|sO26262中,HARA被用来来描述和评估最终的风险。在分析过程中,其中一种危险场景为:
当汽夲在市区进行白动驾驶时,由亍不能有效的识别行人,过街的行人被汽车撞倒。
Page 9 af 26
安全可靠的自动驾驶高精地图
基于以上分析,我们定义一个安全目标(SG):高速公路巡航系统功能只有在高速公路上才应该被
启动。
我们可以假设,在技术安仝概念中,司机手册中应定义高速公路巡航系统不得用于非公铬用途这一注
意事项。此外还应该有安全要求,规定HWP只有在用户想要启动时才有效(这对HWP开关的高可
靠性提出了要求)。
5.2迭代2:对主要功能进行“使用安全”分析
项目定义
功能行为
系流
运行设计城已知限制可用性目标
危险情形:在HWP活动期间,行人
被到(如仁城巾中)( ASIL B)
HARA
件模拟
安全目标
分析
力能安全
使用安全
Otif
可用性
HWP仅在高速公路⊥江动(ASIB)
功能安全概念
Fs概念,包括F要求
性能要求
分析
功能安全
使用安全
Sort
可用性
只有当系统测剑汽车在速公路上
用户通常在不在高速公路上时激活
HWP才活动(ASI1B)
HWP
技术安全衡念S概密,每却18要求
性能要求
分析
功能安全
使用安全
可用性
GNSS、运动传感器+定地图:道路
类型识别地图(ASLB)
迭代1中所做假设为司机随时知晓是不在公路上,并且若不在公路上,绝不会试图激活HWP
在迭代2中,使用安全分析可能显示岀该假设是错误的,即司机通常公试图滥用这一功能,或在激活
该功能时,错误地认为其在高速公路上
换言之,我们无法相信司机
因此,我们定义了一个功能安全要求,即只有在系统检测到汽车在公路上时,司机才可激活HWP。
为此,需要一种定位(如带运动传感器的GNsS等)。系统通过地图获得当前道路是否为高速公路
的信息
Page 10 of 26
(系统自动生成,下载前可以参看下载内容)
下载文件列表
相关说明
- 本站资源为会员上传分享交流与学习,如有侵犯您的权益,请联系我们删除.
- 本站是交换下载平台,提供交流渠道,下载内容来自于网络,除下载问题外,其它问题请自行百度。
- 本站已设置防盗链,请勿用迅雷、QQ旋风等多线程下载软件下载资源,下载后用WinRAR最新版进行解压.
- 如果您发现内容无法下载,请稍后再次尝试;或者到消费记录里找到下载记录反馈给我们.
- 下载后发现下载的内容跟说明不相乎,请到消费记录里找到下载记录反馈给我们,经确认后退回积分.
- 如下载前有疑问,可以通过点击"提供者"的名字,查看对方的联系方式,联系对方咨询.