日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測(cè)試網(wǎng)

  • 公眾號(hào)

    • 汽車測(cè)試網(wǎng)

    • 在線課堂

    • 電車測(cè)試

關(guān)于自動(dòng)駕駛車安全保證、驗(yàn)證和認(rèn)證的綜述

2022-02-21 13:18:06·  來(lái)源:計(jì)算機(jī)視覺深度學(xué)習(xí)和自動(dòng)駕駛  作者:黃浴  
 
arXiv上傳于2022年2月6號(hào)的綜述論文“Automated Vehicle Safety Guarantee, Verification and Certification: A Survey”,作者來(lái)自美國(guó)俄亥俄州立大學(xué)。自動(dòng)駕
arXiv上傳于2022年2月6號(hào)的綜述論文“Automated Vehicle Safety Guarantee, Verification and Certification: A Survey”,作者來(lái)自美國(guó)俄亥俄州立大學(xué)。
自動(dòng)駕駛相關(guān)的挑戰(zhàn)不再僅僅集中在自動(dòng)駕駛車(AV)的制造上,而是在確保其運(yùn)行安全方面。L3級(jí)和L4級(jí)自主駕駛的最新進(jìn)展促使人們對(duì)復(fù)雜AV機(jī)動(dòng)的安全保證進(jìn)行了更廣泛的研究,這與ISO21448(即預(yù)期功能安全,或SOTIF)的目標(biāo)一致,即最大限度地減少已知和未知的不安全場(chǎng)景,以及“零死亡(VZ)”——到2050年消除公路死亡事故。
為AV運(yùn)動(dòng)控制提供安全保障的大多數(shù)方法源自形式(formal)方法,特別是可達(dá)性分析(reachability analysis,RA),它依賴于系統(tǒng)動(dòng)態(tài)演化的數(shù)學(xué)模型來(lái)提供保障。該論文綜述了安全檢驗(yàn)及確認(rèn)(safety verification & validation)和認(rèn)證過(guò)程(certification process),并回顧了最適合AV的形式(formal)安全技術(shù)。
作者提出了一個(gè)統(tǒng)一的場(chǎng)景覆蓋框架,可以為全自動(dòng)駕駛車提供形式(formal)或 基于樣本(sample)的安全驗(yàn)證評(píng)估。最后,是AV安全保證的挑戰(zhàn)和未來(lái)機(jī)會(huì)。
此前關(guān)于自動(dòng)駕駛車技術(shù)的綜述,一直側(cè)重于技術(shù)挑戰(zhàn)和實(shí)施的各個(gè)方面,如感知、決策、車輛控制、人機(jī)交互的執(zhí)行方式,還有一些綜述涉及自動(dòng)駕駛車安全驗(yàn)證和確認(rèn)(V&V)問(wèn)題。
隨著自動(dòng)駕駛系統(tǒng)在真實(shí)世界的部署,針對(duì)真實(shí)世界中場(chǎng)景的規(guī)模,需要進(jìn)行大量的驗(yàn)證和確認(rèn)。最大化場(chǎng)景覆蓋率的常見驗(yàn)證和確認(rèn)策略,是在虛擬仿真中驗(yàn)證,并模擬大量生成的場(chǎng)景樣本。
基于場(chǎng)景采樣的V&V,其面臨的挑戰(zhàn)是,量化能保證合理覆蓋所需的樣本量,從而約束自動(dòng)駕駛不當(dāng)驅(qū)動(dòng)造成的風(fēng)險(xiǎn)。合理的場(chǎng)景覆蓋保證也是最近在高度自動(dòng)駕駛車(HAV)部署的立法中認(rèn)證的先決條件。然而,另一組基于形式驗(yàn)證(formal verification)的方法通過(guò)規(guī)范滿意度( specification satisfaction)以不同的方法解決場(chǎng)景覆蓋問(wèn)題。由于形式(formal)方法在場(chǎng)景覆蓋方面的潛力,新興研究已經(jīng)開始將形式屬性(formal properties)與控制合成(control synthesis)和安全驗(yàn)證(safety verification)相結(jié)合。
鑒于對(duì)自動(dòng)駕駛量化驗(yàn)證的需求,這里提出一個(gè)統(tǒng)一的場(chǎng)景覆蓋框架,來(lái)解決自動(dòng)駕駛場(chǎng)景覆蓋未解決的難點(diǎn)。給定單個(gè)場(chǎng)景(基于樣本的方法)的可接受覆蓋表示量,或形式(formal)安全規(guī)范的所謂“規(guī)范穿透率(specification penetration rate)”,該框架給出統(tǒng)一安全場(chǎng)景覆蓋率的定量定義。該定量定義將基于樣本的方法和形式(formal)方法結(jié)合在一起,為安全驗(yàn)證提供場(chǎng)景覆蓋。候選自動(dòng)駕駛車控制策略可以通過(guò)形式的(formal)或基于樣本的安全驗(yàn)證,在指定ODD(operation defined domain)場(chǎng)景測(cè)試其安全場(chǎng)景覆蓋率。作者比較基于樣本的方法和形式(formal)方法的優(yōu)缺點(diǎn),基于如何達(dá)到這種安全覆蓋率,以及方法的相關(guān)成本和爭(zhēng)論。
下表是自動(dòng)駕駛立法的現(xiàn)狀:
在所有相關(guān)問(wèn)題中,自動(dòng)駕駛安全認(rèn)證面臨四個(gè)特別的挑戰(zhàn):
  • 確定不可避免的碰撞;
  • 責(zé)任確定;
  • 合理場(chǎng)景覆蓋的驗(yàn)證成本;
  • 重新驗(yàn)證自動(dòng)駕駛系統(tǒng)更新的額外成本。
確定碰撞情況是否可以避免,這不僅是一個(gè)學(xué)術(shù)問(wèn)題,也是一個(gè)與責(zé)任相關(guān)的法律問(wèn)題。盡管人們對(duì)自主性有很高的期望,但作為人類,只能期望機(jī)器人系統(tǒng)優(yōu)化行動(dòng)以獲得最佳結(jié)果。例如,人們只能期望自動(dòng)駕駛車輛采用規(guī)避策略來(lái)避免可避免的碰撞,而不是不可避免碰撞。對(duì)這種可避免性確定的要求,關(guān)于HAV中的L3級(jí)到 L4級(jí)的功能,已在2021年8月作為德國(guó)法律修正案通過(guò)。
配備自動(dòng)駕駛功能的機(jī)動(dòng)車輛必須具有能夠獨(dú)立遵守車輛駕駛交通法規(guī)的技術(shù)設(shè)備,并具有事故預(yù)防(accident prevention)系統(tǒng),包括:
  • (a) 旨在避免和減少損壞,
  • (b) 如果不同的法律利益受到不可避免選擇損害,保護(hù)人的生命是最高優(yōu)先事項(xiàng),以及
  • (c) 如果存在不可避免人生命的選擇風(fēng)險(xiǎn),則無(wú)需根據(jù)個(gè)人特性提供進(jìn)一步加權(quán)。
責(zé)任確定(liability determination)是自動(dòng)駕駛系統(tǒng)部署需要解決的一個(gè)新問(wèn)題。在L3級(jí),只要意外或困難情況提前移交給駕駛員,自動(dòng)駕駛系統(tǒng)不承擔(dān)責(zé)任,因?yàn)樗恍柙谄溆邢薜腛DD環(huán)境中保證安全。即使人類駕駛員沒有及時(shí)接管,在一定程度上,諸如制動(dòng)、停車和打開危險(xiǎn)燈等故障安全操作也可以免除自動(dòng)駕駛系統(tǒng)的責(zé)任。當(dāng)L4級(jí)或在其以上的自動(dòng)駕駛車配備形式安全驗(yàn)證時(shí),可根據(jù)形式邏輯(formal logic)簡(jiǎn)化責(zé)任確定,如下圖所示:基于樣本的安全驗(yàn)證開發(fā)的自動(dòng)駕駛系統(tǒng),目前尚不清楚如何類似的程序執(zhí)行形式責(zé)任確定。

廣泛使用的安全指南標(biāo)準(zhǔn)ISO 26262道路車輛-功能安全,僅適用于緩解與已知部件故障(即已知不安全情況)相關(guān)的已知不合理風(fēng)險(xiǎn),但并未解決復(fù)雜環(huán)境變量導(dǎo)致的自動(dòng)駕駛駕駛風(fēng)險(xiǎn),以及自動(dòng)駕駛系統(tǒng)如何應(yīng)對(duì)這些風(fēng)險(xiǎn),而這時(shí)候車上沒有任何技術(shù)故障發(fā)生。
鑒于上述安全挑戰(zhàn),ISO 21448提出了一個(gè)定性目標(biāo),該目標(biāo)描述將自動(dòng)駕駛功能設(shè)計(jì)的已知和未知不安全場(chǎng)景結(jié)果最小化的目標(biāo)(goals),如圖所示:

然而,實(shí)現(xiàn)這一SOTIF目標(biāo)的挑戰(zhàn)在于,傳統(tǒng)方法如現(xiàn)場(chǎng)操作測(cè)試(field operational test),難以涵蓋測(cè)試期間自動(dòng)駕駛的所有可能場(chǎng)景。盡管存在挑戰(zhàn),但在安全分析方面仍有一些很有前途的方法和方向,可以朝著ISO 21448的目標(biāo)前進(jìn),例如在模擬測(cè)試中最大限度地?cái)U(kuò)大場(chǎng)景覆蓋率,或通過(guò)形式(formal)方法創(chuàng)建安全保證。
在技術(shù)術(shù)語(yǔ)中,“足夠安全”通常表示指定ODD場(chǎng)景的完整或足夠的場(chǎng)景覆蓋范圍。事實(shí)上,現(xiàn)有法規(guī)的要求相對(duì)較弱,只需要檢查“一些關(guān)鍵場(chǎng)景”。
在一個(gè)離散場(chǎng)景周圍引入“δ-鄰域”,為場(chǎng)景樣本分配“量”,這是一種很有希望的嘗試。T-wise和泊松過(guò)程等數(shù)學(xué)算法,通過(guò)巧妙地選擇樣本有限的候選,可實(shí)現(xiàn)“幾乎全部(almost full)”的統(tǒng)計(jì)覆蓋。
樂觀地假設(shè),這個(gè)定量覆蓋-表示問(wèn)題在整個(gè)社區(qū)得到了解決和接受,每個(gè)采樣場(chǎng)景都有一個(gè)“覆蓋量(coverage volume)”。然后,基于樣本方法的完整場(chǎng)景覆蓋任務(wù)將執(zhí)行足夠數(shù)量的采樣驗(yàn)證測(cè)試,以確保每個(gè)“覆蓋量”單元與至少一個(gè)安全測(cè)試結(jié)果相關(guān)聯(lián)。
實(shí)際上,場(chǎng)景空間的某些存在,恐怕不可能產(chǎn)生安全測(cè)試結(jié)果(例如,與障礙物的反應(yīng)距離太?。?。這種情況下,需要額外努力來(lái)確認(rèn)這些場(chǎng)景確實(shí)不安全。在型式審定和認(rèn)證方面,當(dāng)權(quán)者需要設(shè)定一個(gè)可接受的成功門檻,以滿足公眾的期望。最簡(jiǎn)單的閾值是,確認(rèn)安全的不同測(cè)試數(shù)目與ODD場(chǎng)景測(cè)試所需的最小測(cè)試數(shù)目之比。
多樣化測(cè)試場(chǎng)景采樣是在自動(dòng)駕駛開發(fā)階段加強(qiáng)安全控制的主要方法之一。在實(shí)現(xiàn)最小化已知和未知不安全場(chǎng)景的SOTIF優(yōu)化目標(biāo)方面,基于樣本的方法在發(fā)現(xiàn)未知不安全場(chǎng)景方面具有更少的偏差和更多的探索能力,從未知到已知的推動(dòng)是“水平性“的,即所有采樣場(chǎng)景通常都是在一致的模擬環(huán)境和相同的保真度水平。
如圖是形式化方法和基于樣本的方法之間的場(chǎng)景覆蓋率比較:形式化方法從更抽象層的安全規(guī)范開始,在場(chǎng)景空間中可能有更大的單一覆蓋量,但將形式化規(guī)范集成到控制合成或監(jiān)控的過(guò)程,可能依賴于控制器數(shù)學(xué),且繁瑣;由于隨機(jī)生成過(guò)程,基于樣本的方法的場(chǎng)景覆蓋范圍更分散,但從模擬層開始直接覆蓋案例,這使得采樣過(guò)程簡(jiǎn)單且易于實(shí)現(xiàn)。這兩種方法都試圖將最大限度的驗(yàn)證場(chǎng)景投射到真實(shí)駕駛中,但仿真層和真實(shí)駕駛之間的差異始終存在。

與基于測(cè)試的安全驗(yàn)證和保證方法相比,形式(formal)方法具有高的陳述可靠性,因?yàn)樗袊?yán)格的邏輯基礎(chǔ)。
自動(dòng)駕駛車安全中常用的形式(formal)方法包括模型檢查、可達(dá)性分析和定理證明。模型檢查起源于軟件開發(fā),以確保軟件行為符合設(shè)計(jì)規(guī)范。當(dāng)安全規(guī)范用公理和引理(axioms & lemmas)表示時(shí),可以用定理證明來(lái)驗(yàn)證最壞情況假設(shè)情況下的安全性??蛇_(dá)性分析在這三種分析中占有特殊地位,因?yàn)樗哂袨閯?dòng)態(tài)系統(tǒng)生成安全陳述的固有能力,能夠捕捉動(dòng)態(tài)駕駛?cè)蝿?wù)(DDT)的主要特征。
真實(shí)世界的道路測(cè)試或現(xiàn)場(chǎng)操作測(cè)試(FOT)是自動(dòng)駕駛車驗(yàn)證和確認(rèn)(V&V)的最后一步也是昂貴的方法。從某種意義上說(shuō),這是唯一的驗(yàn)證方式。然而,F(xiàn)OT的缺點(diǎn)也很明顯:在車上安裝一個(gè)候選自動(dòng)駕駛控制器情況下,它缺乏足夠的場(chǎng)景覆蓋能力(尤其是接近-碰撞和已經(jīng)碰撞的場(chǎng)景)。如圖顯示基于樣本、形式(formal)和現(xiàn)場(chǎng)操作測(cè)試(FOT)方法的比較:得分為0到10分,10分代表最高滿意度。

形式化(formal)方法是一類應(yīng)用數(shù)學(xué)中的嚴(yán)格技術(shù)(通常以邏輯計(jì)算的形式)來(lái)實(shí)現(xiàn)軟件和工程設(shè)計(jì)規(guī)范和驗(yàn)證的方法。根據(jù)定義,它在安全驗(yàn)證任務(wù)中具有固有的優(yōu)勢(shì),但具有連續(xù)動(dòng)態(tài)的高系統(tǒng)復(fù)雜性一直是其在自動(dòng)駕駛廣泛應(yīng)用的主要限制因素,即擴(kuò)展性造成的困難。從技術(shù)上講,形式化(formal)方法可以概括為一個(gè)實(shí)現(xiàn)或者轉(zhuǎn)換抽象規(guī)范為系統(tǒng)控制算法/程序的過(guò)程,這樣受控的系統(tǒng)行為可以滿足所述的規(guī)范。
定義的動(dòng)態(tài)系統(tǒng):
最大前向可達(dá)集(Maximal Forward Reachable Set)定義如下
前向可達(dá)集(FRS)傳播動(dòng)態(tài),自初始時(shí)間t0起,到未來(lái)時(shí)間t內(nèi)的所有可能可達(dá)狀態(tài)。
相反,后向可達(dá)集(BRS)的后向傳播,查找來(lái)自前一時(shí)間t的所有可能狀態(tài),其導(dǎo)致當(dāng)前時(shí)間t0達(dá)到某個(gè)目標(biāo)狀態(tài)集Xgoal,即如下最大后向可達(dá)集(Maximal Backward Reachable Set)的定義
另外,最小BRS定義為:
某些情況下,定義時(shí)間范圍內(nèi)的可達(dá)性更令人感興趣。因此,把定義擴(kuò)展到包括從當(dāng)前時(shí)間到時(shí)間范圍結(jié)束,比如最大前向可達(dá)集的定義修正為(其他類推):
當(dāng)不同交通參與者之間的交互起著關(guān)鍵作用時(shí),必須將參與有時(shí)甚至是對(duì)抗智體的影響納入可達(dá)性分析。在這種情況下,動(dòng)態(tài)系統(tǒng)要引入額外的輸入d,以表示這種對(duì)抗性控制輸入:
這樣的話,系統(tǒng)中對(duì)抗性輸入的影響不取決于自車控制,因此必須保守建模,以便在最壞的情況下提供安全保證。
如下是進(jìn)一步限制在對(duì)抗影響下最大FRS的定義:
在計(jì)算機(jī)科學(xué)和機(jī)器人技術(shù)領(lǐng)域,信號(hào)時(shí)域邏輯(STL)是一種通用語(yǔ)言,用于表達(dá)和指定時(shí)間緊要且包含連續(xù)變量的需求。如下表列出STL的基本語(yǔ)義。簡(jiǎn)言之,STL使用一階邏輯(定義為,一組在非邏輯目標(biāo)如變量采取量化的形式化系統(tǒng))對(duì)變量的時(shí)域發(fā)展進(jìn)行說(shuō)明。
如下表是基本的STL語(yǔ)義:
自動(dòng)駕駛車的示例性臨時(shí)安全規(guī)范可以是“永遠(yuǎn)不會(huì)在交通中造成碰撞”,但一旦轉(zhuǎn)換為STL規(guī)范,臨時(shí)規(guī)范中的一些模糊之處需要消除。首先,“原因”一詞在STL中沒有得到很好的定義,因?yàn)樗婕芭鲎藏?zé)任認(rèn)定(liability determination)的復(fù)雜性,可能必須用“處于”一詞替換,這是一種責(zé)任中立的說(shuō)法。然后,臨時(shí)規(guī)范變成了“永遠(yuǎn)不要處于交通中的碰撞”。其次,STL要求規(guī)范有一個(gè)精確定義的時(shí)間范圍,對(duì)于自動(dòng)駕駛來(lái)說(shuō),通常使用時(shí)間范圍的概念將時(shí)間跨度縮小到一個(gè)實(shí)用且可處理的水平。因此,臨時(shí)規(guī)范可以進(jìn)一步修改為“永不(在時(shí)間范圍內(nèi))處于沖撞中”。
上述STL翻譯的安全規(guī)范在集合語(yǔ)言中仍然停留在抽象層面,自動(dòng)駕駛車控制算法設(shè)計(jì)師有責(zé)任把規(guī)范合成到控制器架構(gòu),或?qū)υO(shè)計(jì)的控制器進(jìn)行安全驗(yàn)證,有足夠的信心或確鑿的證據(jù)確保其滿足規(guī)范。
除了控制合成之外,STL表達(dá)的安全規(guī)范,可以在控制器原型設(shè)計(jì)期間用作主張,來(lái)指明安全違規(guī)行為,因此開發(fā)人員在控制設(shè)計(jì)期間要不斷了解安全規(guī)范。確定安全規(guī)范的邏輯計(jì)算,通常通過(guò)解決一種決策的滿足模理論(satisfiability modulo theory,SMT) 問(wèn)題,來(lái)完成。
基于采樣的方法,通過(guò)填充大量場(chǎng)景樣本來(lái)驗(yàn)證場(chǎng)景變化。與基于采樣的方法不同,形式化驗(yàn)證主要是在控制器中實(shí)現(xiàn)安全規(guī)范,在環(huán)境模擬中達(dá)到一定的逼真度。這是由于驗(yàn)證安全的機(jī)制不同。在形式化的安全哲學(xué)中,安全規(guī)范要么得到滿足,要么被違反,把規(guī)范的滿足合成到基于模型的控制設(shè)計(jì)中。這樣設(shè)計(jì)完成后,在運(yùn)行過(guò)程中確保實(shí)現(xiàn)的責(zé)任轉(zhuǎn)移到模型正確性的在線驗(yàn)證上:只要面向控制的模型驗(yàn)證為正確的,控制器按照綜合安全規(guī)范執(zhí)行,那么系統(tǒng)就可以證明是安全的。
在不喪失普遍性的情況下,安全規(guī)范φ,在某些情況下可能不可行(例如不可避免的碰撞),?u,(s,t )/|= φ。在這種情況下,φ-綜合控制器,無(wú)法找到一個(gè)可行的控制序列來(lái)實(shí)現(xiàn)φ,最好的做法是,將情況提升到有預(yù)謀的緊急情況或應(yīng)變策略(如碰撞沖擊準(zhǔn)備)。在任何情況下,由于設(shè)計(jì)的φ-合成控制器,已經(jīng)用盡了其可用的動(dòng)作,仍然無(wú)法找到φ-滿足的動(dòng)作,所以對(duì)于不可避免的損壞,控制器不算故障錯(cuò)誤。
根據(jù)ISO 21448,場(chǎng)景(scenario)是一系列情景(scene)中幾個(gè)情景之間時(shí)域發(fā)展的描述,情景是環(huán)境的快照,包括景色(scenery)、動(dòng)態(tài)元素、所有參與者和觀察者的自表征,以及這些實(shí)體之間的關(guān)系。根據(jù)這一定義,確保在定義的OOD中完全安全的任務(wù)可以描述為,對(duì)ODD所有可能場(chǎng)景變化進(jìn)行安全驗(yàn)證和確認(rèn)(V&V)。ODD中場(chǎng)景變化有兩個(gè)方面:初始場(chǎng)景的變化,以及自初始場(chǎng)景以來(lái)時(shí)域發(fā)展的變化。場(chǎng)景變化的不同維度如圖所示:
基于樣本的方法并不顯式地?fù)碛信c每個(gè)樣本場(chǎng)景相關(guān)聯(lián)的體量屬性,因?yàn)槊總€(gè)場(chǎng)景樣本都是基礎(chǔ)的,并且體量較小。為了對(duì)兩種安全驗(yàn)證方法進(jìn)行統(tǒng)一比較和利用,必須將場(chǎng)景體量(scenario volume)的概念分配給基于樣本的方法。為簡(jiǎn)單起見,假設(shè)所有N個(gè)連續(xù)維度彼此正交,并為參數(shù)組指定的場(chǎng)景樣本,分配一個(gè)N-維場(chǎng)景空間的軸對(duì)齊多邊形體量「p01,p02,...,p0N」。
在基于樣本的方法中,在每個(gè)場(chǎng)景樣本檢查模擬場(chǎng)景的安全性。另一方面,形式化方法,通常在執(zhí)行任何仿真之前,先從安全規(guī)范開始,然后將規(guī)范翻譯成機(jī)器可理解的語(yǔ)言聲明,例如線性時(shí)域邏輯(LTL)或信號(hào)時(shí)域邏輯(STL)。然后,應(yīng)用翻譯的規(guī)范,可以通過(guò)在模擬/真實(shí)世界測(cè)試中檢查規(guī)范的有效性,或者在控制合成期間將規(guī)范轉(zhuǎn)換為系統(tǒng)約束或其他控制設(shè)計(jì)功能。
理想情況下,對(duì)于形式化方法,如果所有與安全相關(guān)的規(guī)范首先被真實(shí)地轉(zhuǎn)化為此類機(jī)器可理解的陳述,并且如果綜合控制器完全尊重這些陳述,并使用基于模型的控制器對(duì)(模擬)環(huán)境進(jìn)行完美建模,那么場(chǎng)景覆蓋率相對(duì)于模擬層是100%。
例如,表達(dá)式“自動(dòng)駕駛車輛應(yīng)始終無(wú)碰撞”可以轉(zhuǎn)換為數(shù)學(xué)函數(shù)形式的可驗(yàn)證表達(dá)式,該數(shù)學(xué)函數(shù)評(píng)估自動(dòng)駕駛車輛與仿真模型中任何其他目標(biāo)之間的占用重疊,如果仿真中發(fā)生重疊,則返回true。
然而,由于以下原因,實(shí)際挑戰(zhàn)阻礙了形式化安全規(guī)范的100%理想翻譯:
  • 首先,形式化方法依賴于基于現(xiàn)實(shí)世界抽象的觀點(diǎn),因此抽象和現(xiàn)實(shí)之間的差異(無(wú)論大?。l(fā)生,并損害有效的安全保障。
  • 第二,實(shí)際開發(fā)的控制器通常有性能限制,在任何情況下都無(wú)法符合安全規(guī)范。
  • 第三,當(dāng)形式化安全規(guī)范轉(zhuǎn)換為安全驗(yàn)證或控制綜合時(shí),存在實(shí)際的可擴(kuò)展性困難。換句話說(shuō),形式化方法在現(xiàn)實(shí)的穿透率通常低于100%。在形式上,穿透率定義為:形式化安全規(guī)范規(guī)定的場(chǎng)景子空間中可驗(yàn)證場(chǎng)景的百分比。
實(shí)際上,在指定的ODD中找出自動(dòng)駕駛車候選控制器的規(guī)格穿透率可能是一個(gè)挑戰(zhàn)。首先,定理證明等演繹形式化(deductive formal )方法僅限于相對(duì)簡(jiǎn)單的離散動(dòng)態(tài)系統(tǒng),將定理證明擴(kuò)展到連續(xù)動(dòng)態(tài)系統(tǒng)需要進(jìn)一步建立框架和相當(dāng)高的計(jì)算資源。其次,傳統(tǒng)的算法形式化(algorithmic formal )方法,如模型檢查,也不適用于連續(xù)動(dòng)態(tài)系統(tǒng),當(dāng)需要對(duì)連續(xù)動(dòng)作空間進(jìn)行精細(xì)離散化時(shí),所有可能動(dòng)作進(jìn)行窮舉測(cè)試也會(huì)產(chǎn)生計(jì)算資源問(wèn)題。然而,將STL與可達(dá)性分析相結(jié)合的最新進(jìn)展,可以通過(guò)計(jì)算ODD場(chǎng)景空間中候選控制器的驗(yàn)證算術(shù)(verification arithmetic)來(lái)評(píng)估這種穿透率,并預(yù)測(cè)候選控制器不符合STL規(guī)范的體量部分。規(guī)范穿透率計(jì)算問(wèn)題仍然是一個(gè)開放的問(wèn)題,未來(lái)的工作可能會(huì)結(jié)合不同的證據(jù)收集方法,包括演繹和算法,提供不同的替代方案。
完成場(chǎng)景覆蓋的路線如圖所示:形式化方法和基于樣本的方法都是幫助發(fā)現(xiàn)自動(dòng)駕駛車安全控制弱點(diǎn)的有效工具,自動(dòng)駕駛車的控制開發(fā)者可以根據(jù)自己的便利性和偏好選擇其中一種或兩種方法。
該圖實(shí)際上是安全驗(yàn)證的控制政策演變示意圖。在(a)-(e)中,形式化方法從ODD(a)的安全規(guī)范開始,然后進(jìn)行初始安全規(guī)范穿透測(cè)試,查看安全規(guī)范保持得有多好(b)。然后執(zhí)行可行性檢查,以查看有多少失敗的場(chǎng)景實(shí)際上是安全可行的(c)。然后重新設(shè)計(jì)自動(dòng)駕駛車的控制器,以修復(fù)故障場(chǎng)景量區(qū)域(d),最終用候選自動(dòng)駕駛車控制器驗(yàn)證所有安全可行場(chǎng)景量的安全性。在(f)-(j)中,基于樣本的方法首先將ODD分割為可驗(yàn)證的場(chǎng)景單元(f),然后執(zhí)行不完整的采樣安全測(cè)試,檢查候選自動(dòng)駕駛車控制器(g)的主要問(wèn)題。隨后進(jìn)行完全飽和采樣,以確保場(chǎng)景覆蓋率(h)。在全場(chǎng)景覆蓋測(cè)試之后,控制器的弱點(diǎn)被暴露出來(lái),重新設(shè)計(jì)過(guò)程將重復(fù)(i)。最終,控制器的弱點(diǎn)停止減少,控制器重新設(shè)計(jì)過(guò)程可能結(jié)束(j)。請(qǐng)注意,通過(guò)形式化方法,可以確定安全不可行的場(chǎng)景區(qū)域,并且一旦驗(yàn)證了ODD中除安全不可行場(chǎng)景體之外的所有體量,就不需要進(jìn)行進(jìn)一步重新設(shè)計(jì)。
安全驗(yàn)證可以在模擬仿真期間(在線)用預(yù)測(cè)模塊執(zhí)行,也可以在模擬仿真之后(離線)執(zhí)行,簡(jiǎn)單地檢查結(jié)果,如圖所示即不同驗(yàn)證方案概覽:
當(dāng)自車和參與交通智體的控制策略已知(白盒控制)或部分已知(灰色控制)時(shí),形式化方法可以利用這些信息并縮小可達(dá)集,提供車輛運(yùn)動(dòng)“更緊”的預(yù)測(cè),形成在線安全監(jiān)控和驗(yàn)證等有價(jià)值的應(yīng)用。相反,如果控制策略是專有的且完全未知(黑盒控制),則安全驗(yàn)證過(guò)程必須涉及每次模擬仿真后黑盒控制器行為的統(tǒng)計(jì)學(xué)習(xí),這反過(guò)來(lái)將指導(dǎo)選擇下一個(gè)要測(cè)試的場(chǎng)景,以更好地針對(duì)反例。
  • A.白盒已知控制政策的形式化安全驗(yàn)證。如果完全了解控制策略(通常僅限于自車),則可以非常確定地執(zhí)行安全驗(yàn)證,有效地消除可達(dá)性分析(RA)中的控制變量u。這通常是,計(jì)算受控車輛的可達(dá)集并將其與相關(guān)時(shí)間間隔內(nèi)的障礙物占用集進(jìn)行比較,來(lái)實(shí)現(xiàn)的。
  • B.黑盒控制政策的形式化安全驗(yàn)證。當(dāng)控制策略完全未知時(shí),驗(yàn)證需要退回到不需要控制策略信息的更一般的計(jì)劃。此類計(jì)劃將控制器和平臺(tái)視為一個(gè)整體系統(tǒng),并調(diào)查整個(gè)系統(tǒng)的輸入(如干擾)如何導(dǎo)致不期望的輸出(如安全違規(guī))。一項(xiàng)關(guān)于黑盒驗(yàn)證的綜述論文列出模擬退火、進(jìn)化算法、貝葉斯優(yōu)化或擴(kuò)展蟻群優(yōu)化(ant colony optimization)等幾種方法。
  • C.灰盒控制政策的形式化安全驗(yàn)證。如果控制策略部分已知,則可以執(zhí)行修改的可達(dá)性分析(RA)形式化方法。在半自動(dòng)車輛的設(shè)置中,人類駕駛員的行為最多只能進(jìn)行估計(jì),必須用部分已知的控制策略(本例即人類駕駛員策略)進(jìn)行安全驗(yàn)證。在此設(shè)置中,設(shè)計(jì)的特定車道保持輔助控制器將人類駕駛員的轉(zhuǎn)向策略視為已知且不可變,而將人類駕駛員的加速策略視為未知且可變。這種處理方法允許可達(dá)性分析(RA)在適當(dāng)?shù)臅r(shí)間范圍內(nèi)預(yù)測(cè)車輛的可達(dá)狀態(tài)范圍,系統(tǒng)可以通過(guò)比較當(dāng)前車輛狀態(tài)和后向可達(dá)安全集(BRS)來(lái)確定人類駕駛員是否需要幫助。當(dāng)至少知道控制策略或功能的定性目標(biāo)時(shí)(例如,激活干預(yù),避免車輛因駕駛員誤操作而發(fā)生可避免的碰撞),則可以使用可達(dá)性分析(RA)來(lái)驗(yàn)證此類控制策略或功能是否忠實(shí)于其定性描述。例如,用于判斷防撞系統(tǒng)是否錯(cuò)過(guò)或?yàn)E用了干預(yù)機(jī)會(huì)。
如下表是:可達(dá)性分析(RA)部署的形式化和提供的保證類型
形式化(formal)方法可以提供有關(guān)當(dāng)前駕駛狀況緊要性的有用信息。該信息可用于制定標(biāo)準(zhǔn),以確定是否需要不同的控制方案,從安全緊要場(chǎng)景中把自車帶入安全。
其中一個(gè)仲裁標(biāo)準(zhǔn)是車輛是否處于不可避免碰撞狀態(tài)(inevitable collision state,ICS),有人認(rèn)為,在估計(jì)碰撞頻率時(shí),這是一個(gè)比傳統(tǒng)的威脅度量,如碰撞時(shí)間(TTC),更可靠的碰撞接近度量,是ISO26262中確定汽車安全完整性水平(automotive safety integritity level,ASIL)的關(guān)鍵量。如果車輛確實(shí)處于這種狀態(tài),則應(yīng)進(jìn)行碰撞準(zhǔn)備(通常通過(guò)制動(dòng)減速或遵循非故障軌跡),因?yàn)榕鲎彩遣豢杀苊獾?。該概念已被用于ADAS功能原型,如確定何時(shí)觸發(fā)自動(dòng)緊急制動(dòng)(AEB)或執(zhí)行避碰動(dòng)作。為了確定此類ICS,通常使用可達(dá)性分析(RA)。當(dāng)移動(dòng)障礙物的預(yù)測(cè)在動(dòng)態(tài)交通場(chǎng)景中至關(guān)重要時(shí),創(chuàng)建ICS概率等價(jià)的概率框架。對(duì)于某些半自動(dòng)駕駛或ADAS功能,確定系統(tǒng)是否處于不可避免碰撞狀態(tài)(ICS)有助于確定ADAS干預(yù)是否遺漏或不必要。
另一個(gè)仲裁標(biāo)準(zhǔn)是,在系統(tǒng)當(dāng)前的運(yùn)動(dòng)模式下,目標(biāo)狀態(tài)是否可以實(shí)現(xiàn)。例如,用修剪軌跡的概念對(duì)車輛的運(yùn)動(dòng)模式進(jìn)行分類,其特征是保持運(yùn)動(dòng)所需的恒定輸入。可以建立某個(gè)系統(tǒng)的軌跡庫(kù),供控制器從中選擇。在這種情況下,持續(xù)的可行性(continuous feasibility)和控制活力(control liveliness)是確保完成更高級(jí)任務(wù)的關(guān)鍵因素,如超車、并入繁忙的快車道或避開高速的障礙物。如果從大型復(fù)雜動(dòng)態(tài)模式庫(kù)中選擇模式需要計(jì)算,可以利用基于學(xué)習(xí)的方法(如強(qiáng)化學(xué)習(xí)),根據(jù)環(huán)境有效地學(xué)習(xí)適當(dāng)?shù)哪J街俨脹Q策。
可達(dá)性也可以“隨時(shí)”直接集成到控制系統(tǒng)中,為現(xiàn)任控制器提供持續(xù)的指導(dǎo)/傾向性,避免不可能的控制造成的災(zāi)難性事件。
這種直接控制集成方法之一是模型預(yù)測(cè)控制(MPC),其中可以使用形式化方法,尤其是可達(dá)性分析(RA)來(lái)開發(fā)魯棒的MPC算法,如圖所示:可達(dá)性分析用于為每個(gè)MPC規(guī)劃范圍找到可行的狀態(tài)集,這樣生成的MPC算法不會(huì)試圖在不可行區(qū)域中找到最優(yōu)解,因?yàn)槟切﹨^(qū)域會(huì)導(dǎo)致不穩(wěn)定或控制失敗。
這也被稱為遞歸可行性或持久可行性。當(dāng)可達(dá)集約束為概率時(shí),可以開發(fā)魯棒MPC隨機(jī)等價(jià)的模型。除了魯棒性和可行性保證之外,RA應(yīng)用于MPC的其他好處,包括建立系統(tǒng)輸入到狀態(tài)穩(wěn)定性的潛在方法,將基于學(xué)習(xí)MPC的魯棒性和性能分離,移除永遠(yuǎn)無(wú)法到達(dá)的區(qū)域來(lái)顯式降低MPC的復(fù)雜性。
將形式安全性集成到控制設(shè)計(jì)中的另一種方法是生成安全參考軌跡,如圖所示:可達(dá)性可用于軌跡規(guī)劃階段,生成最安全且物理上可行的軌跡,供較低層的控制器遵循。
最后是安全的開放性問(wèn)題和資源。
1 開放性問(wèn)題
  • 1) 保真度-速度權(quán)衡
  • 2) 數(shù)據(jù)驅(qū)動(dòng)的可達(dá)性方法
  • 3) 超越二進(jìn)制安全驗(yàn)證
  • 4) 構(gòu)建安全描述的新邏輯
  • 5) 具有可達(dá)性的道德驗(yàn)證
2 資源問(wèn)題
  • 1) 可達(dá)性分析的數(shù)值方法
如下表所示的清單:
  • 2) 可達(dá)性分析的軟件工具
如下表給出的清單:

分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25