边聊安全 | 以L3级自动驾驶为例，详解DDT、DDT Fallback、MRC、MRM概念

以L3级自动驾驶为例，详解DDT、DDT Fallback、MRC、MRM概念

写在前面：

在自动驾驶技术迅猛发展的今天，动态驾驶任务（DDT）及其后备（DDT fallback）成为理解自动驾驶系统运作的关键要素。DDT包括了车辆在道路上行驶时所需的所有实时操作和策略决策，从基本的转向和加速，到复杂的环境监控和事件响应。为了确保安全，当自动驾驶系统遇到无法处理的情况时，DDT fallback机制便会启动，接管控制以避免危险。究竟什么是DDT和DDT fallback？

01.

DDT概念

DDT 是动态驾驶任务（Dynamic Driving Task）的缩写。DDT包括在道路交通中操作车辆所需的所有实时操作和策略功能，这些功能不包括行程安排和目的地选择等战略功能。具体而言，DDT 包括以下子任务：

a) 通过转向控制车辆横向运动（操作）；

b) 通过加速和减速进行车辆纵向运动控制（操作）；

c) 通过目标和事件检测、识别、分类和响应准备监控驾驶环境（操作和战术）；

d) 执行对象和事件的响应（操作和战术）；

e) 进行机动规划（战术）；

f) 通过灯光、鸣笛、信号、手势等增强醒目性（战术）。

注：子任务（c）和（d）统称为对象和事件检测与响应（ODER）。

ODER（Object and Event Detection and Response)目标和事件检测与响应，是DDT的一部分，负责在车辆运动过程中检测和响应环境中的变化，确保车辆的安全和有效操作。

图1 DDT示意图

02.

DDT Fallback（动态驾驶任务后备）

DDT Fallback（动态驾驶任务后备）指的是在自动驾驶系统（ADS）无法继续执行动态驾驶任务（DDT）时，采取的应急措施。这些应急措施包括用户或系统对车辆进行控制，以确保车辆和乘客的安全。

DDT Fallback触发条件主要包含下面两种情况：

(1) 在发生执行DDT相关系统故障后：

这第一种情况是，当自动驾驶系统（ADS）在执行动态驾驶任务时遇到了系统故障。例如，传感器失灵或计算模块出现问题，使得ADS无法继续执行任务。

(2) 在运行设计域（ODD）退出时:

第二种情况是，车辆运行的环境超出了ADS设计的范围。操作设计域（ODD）指的是自动驾驶系统被设计和测试过的特定环境或条件，例如晴天的高速公路。当车辆进入这些条件之外的环境，比如突遇暴风雪或驶入复杂的城市交通时，就意味着退出了ODD。

DDT Fallback应对措施，分为下面两种：

(1) 用户作为DDT Fallback：

对于低等级的自动驾驶系统（L1级,L2级,L3级）。

(2) ADS系统作为DDT Fallback：

对于高等级的自动驾驶系统（部分L3级,L4级,L5级）。

不同自动驾驶等级中的DDT Fallback：

L3级自动驾驶：

L4级自动驾驶：

在理解了动态驾驶任务（DDT）和DDT Fallback的概念后，我们需要进一步探讨当ADS遇到问题或退出其操作设计域（ODD）时，如何确保车辆和乘员的安全。此时，引入最小风险条件（MRC）这一关键概念变得尤为重要。MRC是指在ADS或驾驶员无法继续执行DDT时，通过适当的措施将车辆置于一个稳定、安全的状态，以减少事故风险。接下来，我们将详细探讨什么是最小风险条件，以及在不同自动驾驶级别中如何实现这一条件。

03.

最小风险条件（MRC）

最小风险条件在SAE J3016中的定义如下：

定义：一种稳定的停车状态，用户或ADS在执行DDT后备后可以将车辆置于此状态，以减少在无法或不应继续行驶时发生碰撞的风险。

不同自动驾驶等级的实现MRC：

· L1级和L2级: 车内驾驶员需要在必要时达到最小风险条件。

·L3级: 在ADS或车辆发生与DDT执行相关的系统故障时，后备就绪用户需要在认为必要时实现最小风险条件，或者如果车辆可操作，则继续执行DDT。

·L4级和L5级: ADS在必要时能够自动实现最小风险条件。这可能涉及在当前行驶路径内停车，或进行更复杂的操作以将车辆移出交通活跃车道，或自动将车辆返回调度设施。

了解了最小风险条件（MRC）后，我们需要进一步探讨具体的操作措施，即最小风险操作（MRM）。最小风险操作是指当车辆需要实现最小风险条件时，采取的一系列具体行动步骤。这些操作确保车辆能够安全、有效地达到最小风险状态。无论是驾驶员接管还是ADS系统自动执行，MRM都是实现MRC的关键环节。接下来，我们将详细阐述最小风险操作的触发条件、执行步骤等。

04.

最小风险操作(MRM)

以L3自动驾驶系统为例，最小风险操作的定义、触发条件和执行步骤如下：

定义：最小风险行为（MRM）是指在发生ADS无法继续执行动态驾驶任务（DDT）时，通过车辆自动化系统或驾驶员的干预，使车辆以受控和安全的方式停车或进入一个最小风险的状态。

MRM触发条件（在L3级自动驾驶系统中，触发最小风险操作的条件包括）：

1. 系统故障：ADS发生了影响DDT执行的系统故障，如传感器失效、计算模块故障等。

2. ODD退出：车辆进入了ADS未覆盖的操作设计域（ODD），例如遇到未预见的天气变化或道路状况。

3. 驾驶员未接管：在ADS发出干预请求后，驾驶员未能在规定时间内接管控制车辆。

MRM执行步骤（当触发条件满足时，L3级自动驾驶系统会执行以下步骤进行最小风险操作）：

1. 发出警告：ADS会首先向驾驶员发出警告信号，通常包括视觉、听觉和触觉提示，以提醒驾驶员接管控制。

2. 监控驾驶员响应：如果驾驶员在警告时间内未能接管控制，系统将进入最小风险操作模式。

3. 减速：ADS将逐步减速车辆，以便为接下来的操作提供充足的反应时间和安全保障。

4. 选择停车位置：如果可以，ADS将尝试将车辆驶离车道，选择一个安全的停车位置，例如紧急停车带或路肩。

5. 控制停车：在确保周围环境安全的情况下，ADS将车辆安全地停下，打开危险警示灯。

6. 紧急援助：在车辆停止后，系统可能会自动呼叫紧急援助，以确保车辆和乘员的安全。

图2 MRM触发条件流程图

从上面的阐述中我们知道MRM的触发条件包括：(1) 系统故障，(2) 超出ODD范围，(3) 驾驶员误用/注意力不集中，根据这三类触发条件可以把MRM分为两种类型,即：

1. 正常MRM（Normal MRM）：

正常MRM是指在确认没有系统故障的情况下，为将车辆安全停下而进行的操作。正常MRM的触发条件主要包括运行设计域（ODD）退出和驾驶员未注意警告或误用车辆的情况。

操作特点：

车辆将逐渐减速，整个操作过程中乘客不会感到不适；

车辆在执行MRM时，警示灯将从操作开始到结束一直保持开启；

最大减速限制为4m/s?；

车辆在安全停下之前，可能需要进行车道变换。

2. 紧急MRM（Emergency MRM）：

紧急MRM是指在系统故障影响传感器或驱动执行器的情况下，为将车辆安全停下而进行的操作。紧急MRM的潜在触发条件包括电子稳定程序（ESC）故障、电子助力转向（EPS）故障、视觉系统或雷达系统故障等。

操作特点：

由于存在系统故障，可能无法保证车道变换的平稳性（一般不允许换道）；

最大减速可能超过4m/s?；

在某些情况下，紧急MRM需要依靠其他手段（如电动动力系统或自动驻车制动器）实现减速；

在环境条件恶劣的情况下，紧急MRM的性能会有所下降，可能需要根据其他传感器的数据进行决策；

如果未达到同一车道停车的条件，操作不会持续到全时限。

两类MRM如下图所示：

图3 MRM类型图

通过上述对MRM（最小风险操作）的介绍，我们可以明确认识到，MRM在系统出现故障或紧急情况时，起着至关重要的作用，需要确保车辆能够安全地停下。因此，在设计和实现MRM功能时，我们必须全面考虑功能安全的要求。

以L3级自动驾驶为例，我们把MRM作为一项功能融入到功能安全开发中，从概念阶段开始直至完成功能安全的整个V模型开发。L3级ADAS系统冗余架构如下图：

图4 L3 ADAS系统冗余架构

基于L3级ADAS系统冗余架构可以初步定义MRM功能的初始架构：

图5 L3 MRM初始系统架构

基于MRM的初始系统架构，定义实现MRM功能模块的功能安全要求。如通过危害分析与风险评估得到安全目标：

基于初始系统架构通过演绎分析后得到对应的功能安全要求，如：

开发完成后，我们需要对提出的功能安全要求进行验证（ISO26262中推荐的方法）：

05.

总结

文中介绍了有关DDT、DDT Fallback、MRC、MRM的概念，并以L3级系统为例提出对MRM功能安全的要求。但文中没有考虑到MRM有关预期功能安全的要求，从文中对MRM功能的触发条件来看，恶劣天气条件导致的传感器限制和驾驶员在车辆行驶时将手从方向盘上移开或解开安全带/打开车门的可预见的误用是与预期功能安全强相关的内容，因此MRM需要考虑预期功能安全。

作者

边俊

磐时创始人/首席安全专家

汽车安全社区SASETECH发起人；智能网联预期功能安全工作组核心成员；国内最早从事汽车功能安全、预期功能安全的专家之一