Введение в ГНСС. Глава 8 - Автономность.
На текущем этапе у нас есть понимание основных концепций позиционирования. Эта глава поможет нам узнать некоторые технологии, используемые в автономных транспортных средствах (AVs), а также каким образом позиционирование может помочь нивелировать ошибки человеческого фактора возможностями безопасной навигации в любых условиях.
Уровни автономности
Функции автономности все чаще добавляются на серийные подвижные объекты, приближая нас к появлению полностью автономной дорожной, воздушной и морской навигации. Понимая, какие возможности будет иметь полностью беспилотное транспортное средство по сравнению с транспортным средством без автономности, мы можем лучше понимать направление развития автономных технологий.
Промышленный стандарт, разрабатываемый Обществом инженеров-автомобилестроителей (Society of Automotive Engineers, SAE), содержит рекомендации по различным уровням автономности. Этот стандарт, определяющий шесть уровней автомобильной автоматизации, с 0 до 5, предлагает полезную основу для определения принадлежности конкретного автомобиля к уровню автономности (рис. 52). Автомобили уровня 0 полностью зависят от действий человека, в них водителем решаются все задачи по позиционированию и безопасности. Автомобили с усовершенствованной системой помощи водителю (Advanced Driver Assistance System, ADAS), такими как адаптивный круиз-контроль и датчики парковки, обеспечивают помощь уровня 1 или 2. Становящиеся массовыми, продвинутые, эффективно интегрируемые технологии позволят автомобилям стать полностью автоматическими, уровня 5, без потребности в постоянном взаимодействии с человеком.
Датчики
Автономные транспортные средства оснащены множеством выделенных устройств, именуемых датчиками, для помощи в самостоятельной навигации. Датчик отслеживает физическое окружение, реагируя на различные факторы генерацией различных электрических сигналов.
Автономные транспортные средства не могут опираться на данные одного отдельного датчика для визуализации окружения. Датчики функционируют и предоставляют данные различными методами, и каждый тип датчиков имеет свои преимущества и недостатки. Однако, комбинация таких датчиков может дать транспортному средству возможность преодолеть возникающие трудности безопасно и надежно.
Рис. 52
ЛиДАР (датчик обнаружения света и дальности, LiDAR)
Внутри устройства лидара находится множество упорядоченных полупроводников, генерирующих лазерные лучи (узко сфокусированные лучи фотонов). Эти полупроводники могут быть установлены на ротор двигателя для достижения зоны обзора в 360° или, чаще всего, устанавливаться неподвижно для эмиссии массива лазерных лучей в ограниченной зоне обзора.
Как только луч лазера достигает объекта, он отражается в обратном направлении и захватывается инфракрасным детектором. Длительность прохождения луча с момента эмиссии лазером до его возврата (время полета) определяет дальность до объекта. Плохая погода может ограничить возможности лидара, например, туман или дождь понижает целостность данных, формируемых лидаром.
Радар
Также использующим принцип "времени полета", но менее зависимым от погоды является радар (обнаружение и дальность с помощью радиоволн), излучающий радиоволны. Датчики радара как правило неподвижны, с направленным излучением радиоволн в одном направлении. Хотя результаты работы радара имеют меньшее разрешение, чем лидара, у радиоволн длина волн больше, чем у фотонов, это значит, что они могут достигать объектов, расположенных на большем расстоянии. Использование смещения в частоте радиоволны до обнаруженного объекта также помогает определить, если объект движется, и узнать его относительную скорость. По мере приближения объекта к радару, частота отраженных радиоволн вырастет, поскольку радиоволны станут "более сжатыми"; по мере удаления частота будет снижаться, а радиоволны станут "более пологими".
Будучи часто устанавливаемым впереди, по бокам и сзади автомобиля, благодаря способности обнаружения объектов на расстоянии и определения относительного движения, фронтальный радар становится особенно привлекательным выбором датчика при предупреждении прямого столкновения, в системе предотвращения столкновений и адаптивном круиз-контроле.
Камеры
Мы узнали, как автономный автомобиль может получать информацию об окружении с помощью только лидара и радара для определения расположения объектов и относительного движения. Однако, обнаружение окружающих объектов и определение того, где находится автомобиль, остается ограниченным без дополнительной информации. Камеры могут дать автономному автомобилю другие средства распознавания и отслеживания объектов вокруг, а также базовое позиционирование.
Как только объекты идентифицированы и помечены как контрольные точки, изменения в последовательных изображениях могут дать относительное позиционирование по мере движения автомобиля в трехмерном пространстве. С помощью идентификации известных объектов, таких как достопримечательности, камеры также формируют абсолютное позиционирование в окружающем мире. Относительная полезность камеры зависит от доступности видимых объектов. Безликое окружение или сложность обнаружения из-за плохого освещения или погодных условий могут снижать эффективность работы камеры.
Интеграция ГНСС и ИНС
Ожидаемая точность ГНСС без поправок составляет от 2 до 5 метров в течение 95% всего времени. Требования для беспилотных автомобилей являются гораздо более строгими. Автономные автомобили обычно требуют точности порядка 2 дециметров и гарантии, что ошибка позиционирования меньше, чем ширина стандартной полосы движения.
Рис. 53
Чтобы достичь такой повышенный уровень точности, требуется наличие источника внешних поправок для позиционирования по фазе несущей. Отрасль более-менее определилась с PPP благодаря преимуществам над RTK в крупномасштабных развертываниях. ГНСС дополняет датчики зрения и локализации, предоставляя данные абсолютного позиционирования, независимые от датчиков относительного позиционирования.
ГНСС полезны в условиях открытого небосвода (рис.53, верхняя панель) при малом числе достопримечательностей или объектов, относительно которых другие датчики могут рассчитать относительное позиционирование, а также при неблагоприятных погодных условиях (рис.53, средняя панель), не представляющих сложности для ГНСС, поскольку они почти полностью невосприимчивы к погодным воздействиям.
Ограничения PPP становятся очевидными при движении под эстакадами, например (рис.53, нижняя панель). PPP требует непрерывной прямой видимости с каждым используемым спутником, и как только это условие нарушено, PPP становится недоступным, и для восстановления потребуется время.
Такие условия требуют наличия дополнительного датчика в помощь ГНСС, и инерциальные измерительные модули (inertial measurement unit, IMU) становятся наиболее очевидным решением. Инерциальный модуль рассчитывает относительное движение, измеряя 3D-ускорения и повороты, тем самым формируя вспомогательные данные для позиционирования, скорости и ориентации в течение отсутствия PPP и периода его восстановления.
Совмещение датчиков
У каждого датчика есть свое предназначение, свои сильные и слабые стороны, и нет такого датчика, на который можно было бы целиком полагаться для создания безопасного, полностью автономного транспортного средства. Использование программных алгоритмов для проверки целостности результатов работы множества датчиков и связка корректных данных с ГНСС и ИНС для получения цифровой карты высокого разрешения называется совмещением датчиков (sensor fusion). Эта магическая смесь объединяет все слагаемые для обеспечения экспоненциального роста надежности, который происходит при объединении нескольких выходных данных.
Такое сочетание датчиков используется не только с лидарами, радарами и камерами, полезными для достижения автономности. Большинство современных коммерческих и промышленных дорожных транспортных средств содержат множество других полезных датчиков, таких, как, например, системы контроля динамической устойчивости (DSC) или электронного контроля устойчивости (ESC). Такие датчики существуют уже долгое время, но стали обязательными в США с 2012 и в ЕС с 2014 года.
В современном автомобиле могут устанавливаться датчики скорости на каждое колесо, датчики стабилизации курса, датчики положения рулевого колеса, параметры трансмиссии, датчики ускорения и торможения, все они передают информацию по высокоскоростной шине данных (рис.54). Объединяя данные с этих датчиков с бортовым IMU, можно получать решение позиционирования с избыточными измерениями скорости движения, угловой скорости и курса.
Хотя ГНСС обеспечивает единственное решение для определения абсолютного местоположения в реальном времени, оно подвержено потерям. В отличие от ГНСС, данные IMU всегда доступны и могут помочь обеспечить жизненно важные данные относительного позиционирования при потере сигналов ГНСС.
Проблема INS в том, что он измеряет ускорения и повороты, не позицию. Это означает, что объединение ускорения и вращения должно произойти один раз, чтобы получить скорость, и еще раз, чтобы получить положение. Любая ошибка измерения ускорения или угловой скорости приведет к экспоненциальному росту ошибок позиционирования. Кроме того, как и любой датчик МЭМС (микроэлектромеханическая система, MEMS), инерциальный измерительный модуль имеет собственный шум и дрейф, внося дополнительные ошибки. К счастью, совмещение датчиков может использовать данные с других датчиков для сдерживания роста ошибок и существенно снизить влияние сбоев в работе ГНСС.
Функциональная безопасность
Автономные приложения, по определению, разработаны для замены человеческого надзора. Для определения наличия ошибки без участия человека крайне важно, чтобы данные от датчиков, используемые в комбинированных системах автономных приложений, были надежными.
Используя ошибочное решение навигационной задачи, автономное транспортное средство может принимать решения на основе неверных данных, что приведет к потенциально опасным ситуациям. Прежде, чем сочетание датчиков сможет выдать скомплексированные данные с другими данными для позиционирования, необходима гарантия их целостности. Широкое распространение автономные транспортные средства получат только тогда, когда лежащая в их основе технология сможет доказать свою неизменную надежность.
Рис. 54
Традиционная безопасность позиционирования
Проверка данных позиционирования критична для обеспечения целостности. Стандартное отклонение - метрика точности, обычно применяемая к позиционированию, она показывает, насколько выходные данные удалены от среднего, и указывает ожидаемый уровень ошибки в выходных данных.
Как правило, можно быть более уверенными в точности позиции, если в наборах данных имеется маленькое стандартное отклонение, где данные позиционирования располагаются плотно и с относительно небольшими выбросами (рис.55).
При использовании ГНСС приемника для определения позиции, идеально получать сигналы от многих хорошо геометрически расположенных спутников, поскольку это помогает достичь большей точности. Измерения широты и долготы при статической съемке, производные от правильной геометрии спутников, обычно располагаются по центру на диаграмме рассеяния и имеют небольшие стандартные отклонения.
Позиционирование это просто проблема оценки, где все измерения имеют погрешности, обычно распределенные по центру или "по Гауссу" (колоколообразная кривая). Стандартное отклонение помогает нам количественно оценить ожидания точности от наших ошибок местоопределения и определить, присутствуют ли нормальные или гауссовские распределения значений данных. Применение стандартного отклонения для построения эллипса доверия помогает определить вероятность того, что фактическая позиция будет находиться в пределах определенного региона в течение определенного процента времени. К примеру, как изображено на Рис. 54 зеленым цветом, эллипс доверия 3-сигма (3 стандартных отклонения) означает, что действительная позиция находится в заданной области в течение 99.7% всех измерений.
Рис. 55
Поскольку стандартное отклонение показывает, насколько каждое значение удалено от среднего, можно подумать, что простым расширением эллипса ошибок можно добиться целостности. К сожалению, это не сработает, когда измерения распределены не по Гауссу, или имеют систематическое отклонение из-за ошибок измерения. Подход с применением стандартного отклонения не снижает воздействие таких факторов, как многолучевость (как обсуждалось в главе 4), представленных на рисунке 55 темно-синими точками.
Рис. 56
Помимо многолучевости, сам ГНСС приемник может столкнуться с многими иными факторами, такими как ошибки расчета спутниковых орбит или ионосферные помехи. Однако, при разработке системы позиционирования автономных транспортных средств, каждая потенциальная точка отказа у каждого датчика требует учитывать все возможные условия эксплуатации, что выражается в миллиардах вероятных сценариев, где может произойти сбой. Применение уровня защиты заменяет эллипс доверия для автономных приложений, требующих высокий уровень целостности входных данных.
Безопасность автономного позиционирования
Уровни защиты обеспечивают количественную оценку и гарантируют максимальную ожидаемую степень ошибки путем расчета надежной максимальной погрешности, связанной с ошибочными входными данными. Глядя на пример, предположите, что наш ГНСС приемник позволяет нам определить ошибку позиционирования 3-сигма с точностью до 2 метров, соответствующую синей сфере на рисунке 56. ГНСС приемник также может отдельно предоставить нам уровень защиты 99.9999% с точностью 8 метров. ГНСС приемник успешно рассчитал 0.0001% шанс, что наша действительная позиция будет за пределами зеленой зоны 8 метров на рисунке 57.
Рис. 57
Уровни защиты будут расширяться и сжиматься динамически для поддержания выбранного уровня доверия, реагируя на различные условия окружающей среды. Снижение видимости спутников, добавленное к нашим данным на рисунке 57, может повлиять на увеличение уровня защиты с 8 до 10 метров для поддержания гарантии доверия 99.9999%, поскольку теперь есть более высокая вероятность, что ошибка может превысить 8 метров, но не превысить 10 метров. Уровень защиты может расширяться до точки, в которой он превысит порог статической надежности, также известной как ограничение тревоги, где его дальнейшее увеличение не может быть признано надежным.
На рисунке 58 отображена диаграмма Стэнфорда, она дает более точный способ визуализации взаимосвязи между ошибками позиционирования, уровнями защиты и пределами предупреждения. На рисунке 57 представлен пример уровня защиты, который расширился, реагируя на ошибки, и остался шире, чем ошибка позиционирования. Поскольку уровень защиты старается учитывать наихудшие возможные необнаруженные сбои, уровни защиты обычно остаются шире ошибок позиционирования. Соответственно, так как диаграмма Стэнфорда располагает ошибку позиционирования по отношению к уровню защиты, каждая точка позиции на диаграмме должна оказаться в пределах нормальной рабочей зоны, как показано на рисунке 58.
Рис. 58
Здесь присутствует предел предупреждения в 3 метра для обеспечения использования позиции только при гарантии непревышения ошибкой 3 метров. Предел предупреждения среагирует при превышении уровнем защиты 3 метров, исключая позицию из использования, поскольку данная ситуация не может рассматриваться как безопасная. Если ошибки позиционирования превышают уровень защиты, но не превышают предел предупреждения, появляется вводящая в заблуждение информация.
Такие ошибки не помечаются как опасные, так как уровень защиты остается ниже предела предупреждения, но они вводят в заблуждение, поскольку ошибка превышает уровень защиты. В приложениях, критически важных для безопасности, решающее значение имеет предотвращение наихудшего сценария, когда ошибка позиционирования превышает уровень предупреждения, но при этом уровень защиты остается ниже уровня предупреждения. Такой тип ошибки был бы опасно вводящей в заблуждение информацией, так как уровень защиты говорит пользователю, что информацию о позиции использовать безопасно даже тогда, когда ошибка превышает предел предупреждения.
Мы рассмотрели идею, когда уровни защиты определяются ГНСС приемником. В реальном мире задачу управления расчетами уровней защиты для ГНСС приемника и других датчиков решает выделенная система централизованной или параллельной обработки. Будучи совершенными для целей визуализации окружения, практически все камеры автономных транспортных средств, например, недостаточно мощны для определения уровней защиты. Применение выделенного оборудования позволяет использовать усовершенствованные алгоритмы, необходимые для установления уровней защиты и выполнения более широкой задачи совмещения датчиков, связывая вместе информацию с различных датчиков.
Централизованная обработка также позволяет сохранять разработку автономных автомобилей экономически эффективной и масштабируемой при производстве, в то же время предоставляя гарантированное поступление информации об уровнях защиты, необходимых для надежной автономной навигации.
Конструкция, критически важная для безопасности
Функциональная безопасность — это тонкое искусство количественной оценки степени доверия к безопасной работе системы в опасных условиях и обеспечения принятия мер по смягчению последствий в случае возникновения ошибки. При разработке автономных транспортных средств необходимо принимать во внимание все возможные ошибки и соответствие требуемым стандартам автомобильной безопасности, таким как ISO 26262 для дорожных применений, начиная от первоначальной концепции и заканчивая окончательной проверкой и тестированием. При устранении тысяч потенциальных точек сбоя не будет неожиданным, что определение целостности в течение всего цикла разработки может легко превратиться в масштабное предприятие. Мы сосредоточились на том, как можно достичь абсолютной целостности автономного транспортного средства без понимания, как происходит коммуникация между различными компонентами автономной системы. Такие транспортные средства как автомобили с автономными технологиями, предоставляют возможность датчикам взаимодействовать посредством внутренних шин данных, имеющихся в большинстве современных автомобилей.
Функционируя наподобие нервной системы транспортного средства, коммуникационная шина обеспечивает надежную среду бортовым датчикам для взаимодействия и помощи в навигации.
Однако, в автономные транспортные средства все чаще внедряются технологии внешнего подключения, что приводит к потенциально более серьезным угрозам случайного неправильного использования системы пользователем или удаленного преднамеренного злонамеренного перехвата транспортного средства. Транспортная безопасность может быть скомпрометирована пользователем из-за взаимодействия с транспортным средством непредвиденным образом, или злоумышленником, использующим произвольное количество доступных вариантов атаки. Технический стандарт ISO 21434 "Дорожные автомобили — Кибербезопасность" содержит руководящие принципы управления потенциальными киберугрозами в процессе разработки.
Рис. 59
Когда необходимо создать безопасную и более защищенную автономную систему, от первоначальной концепции до поставки продукта, должны быть выстроены четко определенные процессы в соответствии со строгими стандартами защиты и безопасности. Наиболее эффективные подходы целостно учитывают и функциональную защиту и кибербезопасность. Одним из таких подходов в цикле разработки является объединение методологий функциональной безопасности и анализа кибербезопасности.
На рисунке 59 показан обзор такого объединения. По отдельности их внедрение является достаточным для соответствия требованиям, изложенным в ISO 26262 и ISO 21434; однако, при одновременном следовании этим рекомендациям с реализованными возможностями интеграции удастся построить более эффективный процесс разработки.
При ближайшем рассмотрении можно заметить, что первым этапом анализа функциональной безопасности является определение элементов системы, в частности, детализация границ, интерфейсов и взаимосвязей. Будучи завершенным, этот этап становится базисом к этапу определения объектов кибербезопасности, где характеризуются потоки данных, ресурсы и уровни доверия между различными элементами. Его результаты становятся основой для анализа киберугроз и оценки рисков. На данном этапе определяются жизненно важные критерии для анализа и оценки рисков функциональной безопасности, поскольку любой скомпрометированный компонент системы может потенциально привести к некорректному поведению во множестве других компонентов системы или программного обеспечения.
Эти первоначальные шаги обеспечивают средства для формулирования целей в области безопасности, которые должны быть выполнены в остальной части цикла разработки, чтобы определить режимы сбоя, механизмы безопасности и метрики тестирования требований функциональной безопасности и устойчивости к киберугрозам.
Заключение
После прочтения этой главы у вас уже сложилось более ясное представление о том, что решения, внедряемые в производства автономных, по своей сути безопасных транспортных средств, делают их реальными. Если вы хотите узнать больше о данной тематике, обратитесь, пожалуйста, к специалистам нашей организации.
Материалы взяты с сайта компании NovAtel. Ссылка на первоисточник: https://novatel.com/an-introduction-to-gnss