博世底盤控制系統中國區總裁陳黎明:博世如何去做冗餘設計?
中國道路運輸網刊發“中國電動汽車百人會”專場“智能汽車論壇”演講核心內容。本專場共有10位嘉賓發表對產業發展及未來方向的真知灼見。以下來自博世底盤控制系統中國區總裁陳黎明精華摘錄。要點如下:
1、要保證自動駕駛在量產的時候就是安全的,首先我們要滿足車輛安全基本要求,同時要進一步滿足功能安全、預期功能安全和網絡安全要求。
2、要提高自動駕駛安全,我們必須要在系統失效時有另一套系統來執行所需功能,這就提出了冗餘設計概念。
3、博世的兩套定位系統、兩套轉向系統、兩套制動系統、兩套通信系統、兩套傳感系統以及誤觸發逐一解析。
今天我給大家分享的題目叫《安全是汽車成爲智能終端的基石》。智能駕駛汽車是把人與車融爲一體的一個載體,是我們生活中的第三生活空間,我們希望在這個空間裡它能夠解放我們的時間和雙手,但前提是,我們在車裡要感到充分的安全、充分的放心,這樣我們纔可能盡情地去享受自動駕駛給我們帶來的便利。
自動駕駛要解決兩大問題:
第一,改進交通安全;
第二,解放我們的雙手和時間。
所以安全是自動駕駛的基石之本。
研究表明,人類目前的安全記錄是每兩百萬公里有一起受傷事故,1.47億公里有一起死亡事故。也就是說要證明自動駕駛比人類駕駛更安全,那麼我們要駕駛超過1.47億公里沒有死亡事故。這需要兩百年時間,我們知道這是不可能的。
要保證自動駕駛在量產的時候就是安全的,首先我們要滿足車輛安全基本要求,同時要進一步滿足功能安全、預期功能安全和網絡安全要求。功能安全是要求避免電子電氣系統異常造成的危害。預期功能安全,要求系統能夠正常的運行,在不該工作的時候不能工作,也就是不能有誤操作。網絡安全需要防止黑客的入侵,由於入侵可能造成功能的誤觸發。
爲什麼在自動駕駛的時候功能安全和預期功能安全得到更多的關注?最主要就是自動駕駛的複雜性不斷提高,給我們帶來新的挑戰。隨着自動駕駛級別提高,場景更加複雜,更多的功能和責任由人轉向系統,這就對系統失效時候失效安全提出更高要求,也就是說從失效安全提升到失效可操控,這是什麼意思?
在緊急情況下最起碼我要能夠安全停車。但是我們都知道如果停在最左邊道路上有可能會被追尾,所以我們更希望能夠把車停在最右邊的緊急停車道上,當然最理想的狀態就是能夠開到一個非常安全的停車場,甚至修理廠,這樣更能提高我們自動駕駛安全。要做到這一點,我們必須要在系統失效時有另一套系統來執行所需功能,這就提出了冗餘設計概念。博世在這方面是怎樣思考和施加的呢?
博世關於自動駕駛冗餘設計方案的系統架構,覆蓋了主要的功能和主要的子系統。它包含環境感知、定位、環境分析、路徑規劃、轉向、制動,除此之外還包含了通訊和電源,我們認爲以這樣的架構可以覆蓋我們可能想象到的所有安全問題。
博世關於環境感知的解決方案,是首先對所有可能的運行場景進行收集,建立了一個非常大的場景庫。根據所有的場景我們對將來自動駕駛需要的傳感器提出新的設計要求,包括它的探測距離、精度、分辨率等等提出更高的要求,通過這樣我們能夠更好感知我們周邊的環境。其次,我們對傳感的系統進行了一個設置,通過不同傳感器的配置和搭配來進行互補,這樣能夠很好的來保證我們感知是精確和可靠的。
定位系統——博世的定位解決方案有兩套:第一,絕對定位;第二,特徵定位。在絕對定位當中我們開發了一個智能高精度定位傳感器,通過GPS信號和路邊糾偏,給汽車提供準確的定位信號。我們知道在城市裡邊GPS信號不是很穩定,由於建築物的原因,那麼這樣我們就開發了基於道路特徵的一個解決方案,它是通過雷達和攝像頭,對道路特徵進行採集,生成一個我們講的特徵層來進行精確的定位。
我們知道在開闊的地方沒有參照物,沒有建築物,這樣特徵定位可能就變得很弱,那這個時候絕對定位就可以發揮很好的作用。所以兩個方案的組合能夠相互互補,同時又產生冗餘,這樣我們就實現了互補和冗餘的功能。
轉向系統——在轉向系統裡面我們正在開發一個冗餘的轉向,它是由兩路控制系統組成。我們看到它的執行機構是一鍵,但是控制是兩個軌路,有單獨的電源、單獨的通信、單獨的ECU,驅動電機的不同模塊,在一路系統失效的時候,另一路系統還可以降級操作,把車開到安全的地方。
制動系統——博世的制動系統是兩套獨立的機構,我們的iBooster和ESP。除此之外我們還有兩套通信系統、兩套傳感系統,這樣在一個元件,或者一套系統失效的情況下,另一套系統還能進行互補,能夠安全地把車停下來。
制動系統裡面我們有兩個系統,一個是正常駕駛,一個是車子失穩情況下的控制。在正常的工作情況下,iBooster可以正常工作,車子失穩時候ESP可以進行ABS和防糾偏的情況。第二是iBooster失效的情況,這種情況下正常駕駛就需要由ESP執行制動需求。在雨雪天氣車輛失控時候保證汽車正常運作。第三的情況是ESP失效的情況下,這時候正常駕駛制動還是iBooster來執行,在雨雪天,當車子失控的時候,由於ESP的失效,我們就需要用iBooster補充執行ABS相關的功能。
誤觸發解決——在汽車控制系統裡面最棘手的問題就是誤觸發,怎麼能夠找到誤觸發、避免誤觸發,也是在我們開發過程中的一個長尾問題。這個就需要我們利用一套新的開發工具和方法,也就是數據驅動的迭代模型,在汽車量產之後,道路運行過程當中不斷蒐集相應的危險場景和失效模式,最後進行不斷的迭代開發,進一步改進自動駕駛系統的性能和它的安全。(本網依據速記整理,有刪節,速記未經本人審覈)