RSS(Responsibility Sensitive Safety 责任敏感安全模型)
RSS模型是Mobileye公司提出确保自动驾驶车辆安全的模型,模型基于定义的五个安全原则,结合特定的驾驶场景,根据严谨的数学公式,推导出对应的安全规则,确保自动驾驶车辆的安全。
背景
基于企业、政府、公众对于自动驾驶技术安全性的考量,Mobileye公司提出了RSS模型(Responsibility Sensitive Safety 责任敏感安全模型,简称 “RSS”),确保自动驾驶的安全性和可行性。
什么是RSS模型
RSS的定义主要包含三个部分:
什么是危险场景
什么情况下触发危险场景
应对危险场景做出何种响应。它提供了一种车与车、车与人、车与环境之间安全交流的途径,保障了车辆的安全驾驶。
RSS模型主要内容
RSS模型的目标
自动驾驶汽车绝对不可以因为自身的原因引发碰撞或者事故,即自动驾驶汽车只可能被动卷入交通事故,且不会成为事故的责任方。当一个潜在的风险由别的车辆造成,无人驾驶汽车应采取恰当的应对方式,来避免这起可能发生的交通事故。为达到这一安全目标,Mobileye提出了RSS模型,确保自动驾驶汽车永远不会主动导致事故发生。
RSS模型的五个原则
RSS 根据人类驾驶的常识建立了五个安全原则,针对不同的驾驶场景,根据五个安全原则会推导出具体的数学公式,通过这种方式保障自动驾驶汽车的安全,下面会着重对五个原则进行详细阐述。
- 避免碰撞前面的车
- 保持横向安全距离
- 合理使用路权
- 注意视觉盲区
- 避免事故发生是首要任务
- 五个安全原则
- 保持纵向安全距离(避免碰撞前面的车)
保持足够的纵向安全距离,避免追尾。这背后,需要考虑前后车的距离、速度以及人类驾驶员的反应时间,和车辆的制动能力。在RSS中,将这个规则形式化为一个数学计算。这意味着当两辆车之间的距离小于dmin时,自动驾驶车辆将执行适当的反应:刹车恢复安全的跟随距离或车辆完全停止。
纵向安全距离就是在最恶劣的情况下仍可以避免碰撞的距离,这里“最恶劣的情况”是指前车以最大的减速度开始刹车,后车发现后有一定的反应时间,并在反应时间内仍以最大加速度前进,然后改成以最小减速度刹车,如果在这种情况下都可以避免碰撞,那么对于自动驾驶车辆而言就不再存在追尾前车的可能性(图1)。基于此Mobileye的研发人员提出了一个最小安全距离计算公式:
(参数:Vf前车速度,Vr后车速度,反应时间ρ、最小刹车加速度αmin,brake、最大刹车加速度αmax,brake以及最大加速度αmax,accel)
说明:
这个公式里的参数和常数可以根据路况、天气、驾驶环境等因素的不同进行动态调整,不同路况下可以设置不同的参数(湿滑路面、冰、雪等),以适应不同地区的交通状况。
人类驾驶汽车和自动驾驶汽车的参数可以不同。比如自动驾驶汽车的反应时间一般会比人类短,而且自动驾驶汽车可以比人类驾车的刹车更有效。因此,自动驾驶汽车的αmin,brake可以设置得更大些
保持横向安全距离
汽车需要在横向换道上保持足够的安全距离。RSS做了极限假设定义了横向安全距离:以横向速度 v1 、v2 行驶的汽车 c1 、c2之间,如果在时间间隔 [0, ρ] 内两辆车施加横向最大加速度,向对方加速,然后两辆车将施加横向制动以最小的横向减速度刹车,直到它们之间相对横向速度为零。如果在这种情况下都可以避免碰撞,那么对于自动驾驶车辆就是安全的(图2)。基于此Mobileye的研发人员提出了一个最小安全横向距离计算公式:
(参数:v1右侧汽车速度,v2左侧汽车速度,时间间隔为ρ,amin,brake表示最小横向减速度,amax,accel为最大横向加速度,µ为最后两辆汽车之间的横向距离,其中 v1,ρ =v1 + ρamax,accel 以及 v2,ρ = v2 − ρamax,accel)
说明:
与纵向速度不同,纵向速度可以长时间保持在0的值(汽车根本不动),保持横向速度精确为0是不可能的,因为汽车通常会产生较小的横向波动,因为需要引入参数u值进行计算。
这个公式里的参数和常数可以根据路况、天气、驾驶环境等因素的不同进行动态调整,不同路况下可以设置不同的参数(湿滑路面、冰、雪等),以适应不同地区的交通状况。
合理使用路权
在标记明确的道路上,路权是明确的。车道线、标志和交通灯,为路线确定了优先级。然而,在其他情况下,路权不那么明确,人类司机必须相互协商。对于自动驾驶汽车来说,这种协商必须确保合理并能得出相同的结论。
路权的优先原则:自动驾驶的汽车通过计算横向和纵向安全距离,当极限假设条件下,继续保留原有路权会出现危险则会让出路权。当极限假设条件下,计算出其他车辆有足够的时间制动保证安全距离时,则会保留本车的路权。
说明:
比如在十字路口,自动驾驶汽车在自己的车道上行驶,如果有其他车辆闯红灯,虽然自动驾驶汽车有优先权,但是也必须遵循合理使用路权的原则,采取相应的措施避免碰撞。
注意视觉盲区
汽车行驶过程中,会出现视觉盲区。原则4表明:出现视觉盲区时,会采用极限假设,对可能出现的场景预判,确保汽车能安全行驶。 极限假设中,根据不同的场景预判会不同,具体的两个例子可以观看下面的视频。
说明:
传感器的限制因素非常多,除了天气以外,道路地形、建筑物、甚至其他车辆都可能限制传感器的感知能力。当车辆接近人行横道或在道路一侧有很多静止车辆的道路上,为了确保安全,RSS的规则是系统必须在传感器的遮挡区域表现出谨慎。
小区由于环境复杂,无法避免会有行人突然闯到行驶的自动驾驶汽车旁边,这种情况下,可设定车辆的行驶速度比行人更低,如此一来即便发生碰撞,也可以把撞击的伤害尽可能降到最低。
主干道上,预期行人会突然跳到路上是不合理的。然而,在学校或社区附近的街道上,这种可能性更大,预期行人突然进入道路是合理的,这意味着司机必须谨慎减速通过。
避免事故发生是首要任务(较少出现)
危险情况可能突然发生,除非自动驾驶汽车违反一个或多个道路规则,否则无法避免碰撞,那么他应该违反规则,因为避免事故是首要任务。下面的视频给出了两个具体的例子。
说明:
如果一个物体突然出现在自动驾驶汽车的直接路径上,自动驾驶汽车必须通过转向下一个车道来避免碰撞,只要它不会造成另外的碰撞,即使这种规避行动会违反有关车道线等规则,但如果不造成另外碰撞,那么他应该违反规则确保安全。
RSS模型的框架
根据上述的五个安全原则,针对不同的场景,会形成特定的RSS安全规则。如图3所示,S1描绘了可能发生追尾的场景,自动驾驶汽车所处的状态为C1,自动驾驶汽车执行响应P1,确保目标车辆满足RSS的五个安全原则,同时也假定其他车辆会满足RSS模型的五个安全准则,这样的话就会避免事故的发生。后面会做更详细的介绍。S2描绘得是并线的场景。
例子:单行道同一方向场景下的RSS规则
以下列举一个简单的例子(图4),单行道同一方向下的场景,这种情况下五个安全规则中,规则2已经满足,规则3、4、5暂不需要考虑,因此只需要考虑规则1的情况。
考虑两辆车的纵向安全距离
•xf,xr分别为前车和后车的位置;和
•vf,vr分别是在一维车道坐标中建模的速度。
此外,以下是驾驶场景的静态参数,它们不会从一种状态改变到另一种状态。他们的价值是根据交通法规、地区习俗、车辆规格等决定的:
•ρ是后方车辆启动所需制动可能需要的最大响应时间;
•a max是后部车辆的最大(向前)加速率;
•a brake,min是后部车辆的最大舒适制动减速度;和
•a brake,max是前部车辆的最大紧急制加速度。我们假设0<a brake,min<a brake,max。
当两辆车的距离小于纵向安全距离时,自动驾驶车辆将执行适当的反应:刹车恢复纵向安全距离或车辆完全停止。Ichiro Hasuo给出了公式的证明,会涉及一些数理的公式,这里不展开描述。
RSS模型的使用
用于事故的责任归属
事故发生时可以根据RSS模型的安全规则进行责任判定,对不遵守RSS安全原则的相关方追究责任。
作为汽车是否安全的度量指标
以单一指标最小距离或预计碰撞时间作为汽车是否安全的度量,局限性很明显,因为会忽略速度等相关因素的影响。以RSS模型作为判断汽车是否安全是目前的一个研究方向,Niraj Altekar等用相关安全准则中不等式的满足情况作为标准进行评分,并确定什么时候需要采取适当的反应。
作为安全架构保障汽车安全
以RSS模型的五个安全原则,结合不同场景的具体情况,设置安全条件保障汽车安全,理论上是可行的(图5),但主要会面临两个挑战。
具有RSS的基本示例体系结构
自动驾驶系统的控制器是一个复杂的系统,涉及许多数值优化算法和统计机器学习技术。因此,让它遵守RSS安全规则是困难的。
计算每个场景下的安全规则工作量很大,需要花费巨大的精力,单一汽车追尾场景中的安全规则计算和证明就不简单了,复杂场景的计算很困难且场景种类巨大。
简易的安全架构
通过上图所示的安全架构,一定程度上可以缓解以上的两个问题。高级控制器(AC)是一种复杂的控制器,不仅追求安全,还追求性能(如舒适性、进步性、燃油效率);基线控制器 (BC) 是一种更简单的控制器,非常强调安全性; 而决策模块 (DM) 决定这两个控制器的转换。决策模块使用RSS安全规则,当他们即将被违反时,决策模块控制系统从高级控制器转到基线控制器。基线控制器操作确保安全后,决策系统又转换回高级控制器。这种方法一定程度上解决了上面的两个挑战:
自动驾驶系统控制器的复杂性因为它主要存在于高级控制器(AC)中,车辆的安全完全由决策模块 (DM)和基线控制器 (BC) 来确保。
对于没有覆盖的场景,这种方法会积极主动,尽最大努力地寻找替代方案,最大程度的保证安全。
当前的状态和未来的方向
完善不同场景下的安全规则
不同的驾驶场景,具体的RSS安全规则不同,通过扩充不同场景的安全规则可以更好地保证安全。一方面安全架构(图:具有RSS的基本示例体系结构)的使用,并不能完全保证没有覆盖的场景下,自动驾驶汽车的安全;另一方面,特定场景下的安全规则由于有严谨的数学推理和论证,一般是不会更改的,因此可以一直使用。
使用、推导、验证RSS规则工具的发展
RSS模型的规则是经过数学严谨推导的,但具体的应用中,需要对应的工具软件进行支持。应用RSS模型的研究中,Bernd Gaßmann等提供了数据库,可以与模拟环境结合,例如Baidu Apollo。不同场景下RSS规则的推导是系统和复杂的,因此也需要相应的工具软件支持。RSS规则的推导是通过严谨的数学公式,但也需要工具进行验证,避免出现纰漏,尤其针对一些复杂的场景,Nathan Fulton 和Nima Roohi等就曾提出过验证相关的问题。
宽容的因此也实用的RSS规则
RSS规则可以确保安全,但他们会牺牲其他实用的性能指标,如舒适度、进度和燃油效率等。为了获得更大的实用性,希望RSS规则应该不那么严格,更宽松。Fabian Oboril等就提出了RSS规则的扩展版,为了更好地调节安全和其他性能指标的平衡。例如更精细化区分场景、明确车辆转弯等目的和意图,以及R. de Iaco等在特定场景下把转弯也作为合适的反应等。
感知不确定性的影响
在存在感知不确定性(如位置测量和物体识别中的错误)的情况下,RSS安全条件所依赖的值可能是错误的。Rick Salay等就对RSS规则对于视觉不确定的容忍度进行了研究,Tsutomu Kobayashi等提出了相应的研究方法并与Jean-Raymond Abrial等提出的模拟和验证框架Event-B结合使用。
扫一扫
1601
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
