基于故障樹的自動駕駛故障處理策略研究

賓懷成 梁永彬 王世勇 羅覃月 林智桂

上汽通用五菱汽車股份有限公司 廣西柳州市 545007

1 引言

隨著各大車企自動駕駛的日益推進，對自動駕駛車輛行駛安全的要求也越來越高，自動駕駛車輛行駛過程中任何故障都有可能導致車輛失控、碰撞等安全問題，造成交通事故；而市面上大部分配置L2 級自動駕駛輔助的車輛在駕駛輔助系統發生故障時，功能直接退出；未進一步考慮潛在的行車安全風險。

竇文悅[1]等基于扎根理論，針對性識別無人駕駛安全風險；李芳[2]等對自動駕駛汽車引發的倫理、法律、社會問題進行了研究與探討，突顯了行車安全的重要性；何亮[3]等設計了基于故障碼的的汽車診斷專家系統；盧凱[4]等基于信號采集源和控制對象工作模式對交流輔助控制系統軟件進行了防御式設計，對控制系統在運行過程中可能發生的工況與局部故障實施了預防處理措施，從而最大程度地保證了內燃機車的持續可靠運行。目前對于自動駕駛車輛故障處理的研究相對較少，為了減少車輛自動駕駛行駛過程中由于故障導致的安全風險，基于故障樹對系統建立分類處理方案，設計了某車型自動駕駛系統故障處理方法，以達到安全行車的目標。

2 自動駕駛系統方案

自動駕駛車輛發展從L1 到L5 逐層向上發展，從最初的單雷達輔助駕駛，到目前市場最常見的1R1V（1 毫米波前雷達+1前向攝像頭）融合方案，到可實現變道的3R+5V+域控制器融合方案，再到額外增加搭配激光雷達、高精度的定位系統的方案。如今市面上頭部造車新勢力企業已經可以實現高速點到點自動駕駛、代客泊車等智能化功能；總結起來自動駕駛系統始終離不開感知、定位、規劃決策、車輛底盤控制4 個系統的“保駕護航”；

某車型自動駕駛系統硬件配置方案包括1個毫米波前雷達、1 個前攝像頭、2 個毫米波角雷達、4 個環視攝像頭，具體如圖1 所示；這些傳感器通過CAN/CAN-FD、LVDS 等方式把目標信息或原始圖像直接輸入給自動駕駛域控制器，如圖1 所示；

圖1 某車型自動駕駛系統硬件方案

3 故障樹分析

隨著自動駕駛車輛的傳感器器配置越來越豐富，功能也越來越多，控制器算力也爆發式的增長，甚至達到了上千TOPS；各種關聯系統的增加帶來的故障種類、類型也越來越多。故障樹分析法（FTA，Fault Tree Analysis）是建立在故障模式影響和后果分析法等可靠性理論基礎上的一種分析方法。在運用FTA 找出故障原因時，第一步應該確定一個最不希望發生的頂事件，其次找出導致頂事件發生的直接原因，然后再去尋找導致上一環節中直接原因的事件，以此類推，按照邏輯演繹的手段繼續下去，直至找到底事件為止。

自動駕駛車輛故障信息首先由診斷系統診斷并記錄為故障碼，便于工程人員直接定位問題。故障碼根據故障信息的來源可分為兩大類，即車輛本體故障、自動駕駛系統故障；

3.1 自動駕駛車輛本體診斷

車輛本體是自動駕駛系統的承載體，來自車輛本體的失效會導致自動駕駛車輛故障；其主要包括整車動力控制系統（VCU）故障、電子穩定系統（ESC）故障、電子助力系統（EBS）故障、電子助力轉向（EPS）故障、電子手剎（EPB）故障、人機交互系統（HMI）故障、通訊故障等。而通信故障指的是基于各模塊間信號傳輸過程中存在的信號無效、信號丟失、循環計數錯誤、校驗和錯誤、Bus off 等，

根據以上分析可以建立關于車輛本體的故障樹，如圖2 所示。

圖2 自動駕駛車輛本體故障樹

3.2 自動駕駛系統診斷

自動駕駛系統包括感知系統故障、控制系統故障、定位系統故障；

感知系統故障主要包括激光雷達故障、毫米波雷達故障、超聲波雷達故障、環視攝像頭故障、前視攝像頭故障、側視攝像頭故障、感知融合故障等。

控制系統故障包括域控制器硬件故障與軟件故障；其中域控制軟件故障包括感知識別異常、意圖預測異常、決策規劃模塊異常、參數讀寫異常、控制模塊異常等。

定位系統故障指包括GNSS 不可用、IMU 不可用、地圖數據不可用等。

根據以上分析可以建立關于自動駕駛系統的故障樹，如圖3 所示。

圖3 自動駕駛系統故障樹

4 故障處理

4.1 故障劃分

當自動駕駛車輛發生故障時，系統需要根據故障嚴重程度判斷是否需要對故障進行處理，為了劃分不同故障產生最終影響的嚴重程度，需要對故障進行定性安全分析，進而對各故障按其對自動駕駛產生影響的嚴重程度進行分級處理，故障等級的劃分如表1所示：

表1 故障等級

4.2 故障應對

最小風險策略MRM（Minimal riskmaneuver）的概念來自于于功能安全標準ISO 26262，其準確定義為：在駕駛自動化系統或用戶無法執行動態駕駛任務或動態駕駛任務接管時，駕駛自動化系統所采取的降低風險的措施。MRM 基于對風險緩解進行有效識別和判斷，再結合駕駛員對車輛的控制狀態，采用必要的控制措施，具體描述如表2所示。MRM 需要的感知、決策和執行能力，包括但不限于：

表2 最小風險策略

a.目標與實踐探測；

b.控制決策；

c.車輛橫向運動控制；

d.車輛縱向向運動控制；

e.車輛照明及信號裝置控制；

f.遠程信息交互

為了便于車輛控制，需要根據不同的故障處理措施將安全防護劃分；當車輛無法完成預定的行程時，由用戶或駕駛自動化系統執行并最終使車輛事故風險達到可接受的最小風險狀態。最小風險狀態可分為兩類：一類是結束運行，代表車輛已經剎停，且自動駕駛系統退出，屬于最終狀態；另一類是駕駛員接管和降級運行，此類情況下，車輛仍保持運行，并未剎停，且可能進一步轉換到結束運行狀態。根據自動駕駛系統設計運行區域、系統架構方案的不同而有所差異，故障處理流程歸納如圖4 所示；

圖4 故障處理流程

5 方案設計

自動駕駛車輛故障的原因繁多，需要針對具體原因逐一分析，逐一設計應對方案。本文出于提升行車安全的目的，基于最小風險策略僅針部分故障等級案例進行了方案設計；以圖1 車型為例，其所配備的環境感知傳感器架構為3R+5V，未配備足夠的側向環境感知傳感器，因此在自動駕駛車輛橫向控制失效，且駕駛員未能有效介入動態駕駛任務時，只能持續提醒并升級風險，最后實現單車道內減速或停車，無法實現跨越車道級的靠路邊停車或緊急車道停車，如圖5 所示；

圖5 故障處理方案

整個故障處理方案根據風險依次分為三個階段；

第一階段：系統持續通過“視覺”、“聽覺”、“觸覺”、提示駕駛員接管車輛；如駕駛員接管車輛，則自動駕駛系統直接退出；

第二階段：系統持續通過更為強烈的“視覺”、“聽覺”、“觸覺”警示駕駛員接管車輛；如駕駛員接管車輛，則自動駕駛系統直接退出；若駕駛員持續不接管，則系統控制車輛點亮雙閃，并舒適性減速；

第三階段：系統繼續通過更為強烈的“視覺”、“聽覺”、“觸覺”提示駕駛員接管車輛；如駕駛員接管車輛，則自動駕駛系統直接退出；如駕駛員仍舊不接管車輛，則系統控車輛持續點亮雙閃，并以更大的減速度進行剎車，直至本車在自車道剎停，自動拉起手剎后，自動駕駛系統退出；

對于自動駕駛車輛ibooster 故障，則可以通過請求ESC 主動建壓，將車輛剎停在本車道內；同樣若ESC 故障，則可以通過請求ESB 輔助建壓，將車輛剎停在本車道內；自動駕駛車輛動力失效，則可以依靠制動系統或者車輛滑行進行減速；若自動駕駛車輛后角雷達故障，此時僅需禁止變道、功能降級即可。通過對自動駕駛車輛故障的分類分階段處理，可以最大程度保護駕駛員，避免了系統直接退出導致的潛在風險。

6 結語

安全保障是自動駕駛車輛的前提，隨著車輛自動化程度越來越高，系統越來越復雜，自動駕駛系統故障越來越呈現多樣性，有的故障能造成車輛性能指標降低或失去預定的功能，有的能造成嚴重的交通事故，對企業、社會以及人身安全造成嚴重的損失，及時準確的判定和處理系統故障是保證自動駕駛車輛安全、高效運行的前提，是自動駕駛車輛大規模推廣應用的根本保證。本文為自動駕駛車輛故障處理提供了一種新的思路，盡系統最大能力保護駕駛員的安全，提高行車安全性，避免車輛發生失控、碰撞等交通事故，為自動駕駛車輛的快速發展提供借鑒。