智能駕駛是一個交叉學科，既需要車輛工程，控制工程，計算機科學等工程學科的知識，也需要數(shù)學，物理學等基礎科學支撐。智能駕駛汽車通過搭載先進的車載傳感器、控制器和數(shù)據(jù)處理器、執(zhí)行機構等裝置，從而具備在復雜行駛環(huán)境下的傳感感知、決策規(guī)劃、控制執(zhí)行等功能，以實現(xiàn)安全、高效、舒適和節(jié)能的智能行駛。那么無論是物理意義上的傳感器，控制器和執(zhí)行機構，還是算法層面的傳感感知，決策規(guī)劃和控制執(zhí)行，其實都是一種控制系統(tǒng)。本文就從控制理論與控制工程的角度跟大家聊聊控制系統(tǒng)與自動駕駛安全設計的關系。

1. 控制系統(tǒng)概述20世紀40年代是自動化技術和理論形成的關鍵時期，一批科學家為了解決軍事上提出的火炮控制、魚雷導航、飛機導航等技術問題，逐步形成了以分析和設計單變量控制系統(tǒng)為主要內容的經典控制理論與方法。例如，最早期的定速巡航系統(tǒng)就是使用經典控制理論的PID控制系統(tǒng)設計。50年代末到60年代初，大量的工程實踐，尤其是航天技術的發(fā)展，涉及大量的多輸入多輸出系統(tǒng)的最優(yōu)控制問題，用經典的控制理論已難于解決，于是產生了以極大值原理、動態(tài)規(guī)劃和狀態(tài)空間法等為核心的現(xiàn)代控制理論。汽車防抱死制動系統(tǒng)（ABS）就是一個使用現(xiàn)代控制理論的典型的最優(yōu)控制系統(tǒng)設計。智能控制的思想出現(xiàn)于20世紀60年代，智能控制是具有智能信息處理、智能信息反饋和智能控制決策的控制方式，是控制理論發(fā)展的高級階段，主要用來解決那些用傳統(tǒng)方法難以解決的復雜系統(tǒng)的控制問題。智能控制研究對象的主要特點是具有不確定性的數(shù)學模型、高度的非線性和復雜的任務要求，它適用于對環(huán)境和任務的變化具有快速應變能力并需要運用知識進行控制的復雜系統(tǒng)的控制問題。大多數(shù)復雜的汽車控制系統(tǒng)，例如汽車動力系統(tǒng)，輔助駕駛系統(tǒng)和自動駕駛系統(tǒng)都屬于這一類。

1971年智能控制奠基人傅京孫教授提出智能控制概念，并且歸納了三種類型的智能控制系統(tǒng)：1） 人作為控制器的控制系統(tǒng)；2） 人–機結合作為控制器的控制系統(tǒng)；3） 無人參與的智能控制系統(tǒng)。看著是不是很熟悉？SAE J3016中定義的自動駕駛等級與以上三種類型的智能控制系統(tǒng)也有著千絲萬縷的關系。如果把整車看作被控對象，L0與L1基本還是第一種，即人作為控制器的控制系統(tǒng)；L2與L3應該是屬于第二種，即人-機結合作為控制器的控制系統(tǒng)；L4與L5就是最后一種，無人參與的智能控制系統(tǒng)了。

2. 控制系統(tǒng)與自動駕駛自動控制系統(tǒng)是指為了實現(xiàn)各種復雜的控制任務，將被控對象和控制裝置按照一定方式連接起來，組成的一個有機整體。一般的針對控制系統(tǒng)都可以用類似于以下的方框圖的形式來表示。

這里著重講一下反饋信號，它是由系統(tǒng)（或元件）輸出端取出并反向送回系統(tǒng)（或元件）輸入端的信號稱為反饋信號，反饋有主反饋和局部反饋之分。它是實現(xiàn)控制系統(tǒng)三大性能指標（快速性，穩(wěn)定性和準確性）的最重要和基礎的要素之一。只有有了反饋信號才能形成一個閉環(huán)系統(tǒng)，從而讓系統(tǒng)擁有減小和消除由于擾動所形成的偏差值，以提高控制精度和抗干擾能力。

如果把整個駕駛控制系統(tǒng)看作是一個控制系統(tǒng)，分為傳感感知，規(guī)劃決策和控制執(zhí)行等環(huán)節(jié)的話，我們來看看傅京孫教授提出的三種類型的智能控制系統(tǒng)映射到各種駕駛控制系統(tǒng)中是怎么樣的構成。

輸入信號有環(huán)境信息，車輛信息等，控制對象可以宏觀的理解為就是車輛本身，輸出的是橫向和縱向控制等。在人類駕駛控制系統(tǒng)，駕駛員在整個控制系統(tǒng)中還是扮演主要的角色，車基本上只在執(zhí)行環(huán)節(jié)起到相關作用。在半自動駕駛控制系統(tǒng)，駕駛員雖然在一些情況下允許“脫手或者脫眼”，但是駕駛員在整個控制系統(tǒng)依然扮演著重要角色。例如，駕駛員會被要求識別一些車輛無法識別的邊界場景，駕駛員可以按照需求接管車輛，駕駛員需要在車輛控制系統(tǒng)出現(xiàn)故障時作為備份（Fall-back）執(zhí)行完整的動態(tài)駕駛任務（Dynamic Driving Task）。由此可以看出，人類駕駛員的參與還是貫穿整個控制系統(tǒng)的。再看全自動駕駛控制系統(tǒng)，車輛被要求執(zhí)行完整的動態(tài)駕駛任務和備份，人類駕駛員不再參與控制系統(tǒng)回路任何環(huán)節(jié)。車輛要獨立運行并且繼續(xù)實現(xiàn)快速性，穩(wěn)定性和準確性這三大控制系統(tǒng)目標可見將是非常大的挑戰(zhàn)，這不只是任何一個環(huán)節(jié)的提升能夠實現(xiàn)的目標，而是整個控制系統(tǒng)的一次“大躍進”，傳感器性能，處理器運算能力，執(zhí)行器可靠性的要求都需要大大提升。

3. 控制系統(tǒng)與自動駕駛安全汽車功能安全標準ISO 26262中對于功能安全的定義是什么，不存在由電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導致不合理的風險。所以核心還是功能，任何功能特別是電子電氣相關的功能都是由輸入，邏輯和輸出等模塊組成的控制系統(tǒng)。功能安全開發(fā)始于相關項定義，其目的也是為了定義清楚相關項的功能，接口和邊界，這也是一種復雜控制系統(tǒng)。從而為下一階段的風險評估與危害分析中的功能故障定義和整車表現(xiàn)做好準備。再來看安全需求，無論是哪個層級的需求，功能安全需求，技術安全需求還是軟硬件安全需求。導出這些需求的關鍵輸入除了上階段的需求，相關的技術設計框圖也是非常重要的，例如系統(tǒng)設計框圖，軟件架構設計圖等。所有的需求其實也都是可以將整個控制系統(tǒng)分為輸入，邏輯和輸出模塊分別導出相關的需求，再分配給相應的ECU，系統(tǒng)部件或者軟硬件模塊。安全機制，由電子電氣系統(tǒng)的功能、要素或其他技術來實施的技術解決方案，以探測故障，控制失效。如何探測故障呢？無論是多復雜的控制系統(tǒng)，都可以按照功能和需求把它打散成多個簡單的控制回路。如果整個控制回路是個白盒，控制系統(tǒng)的輸入是可預見的，傳遞函數(shù)是已知的，即已知的輸入必定會有已知的輸出，這樣的系統(tǒng)通常都可以利用簡單的反饋被監(jiān)控。

其實很多功能安全設計，就是由很多這樣的一個個小模塊組成的。一旦控制系統(tǒng)出現(xiàn)任何問題或者故障，監(jiān)控模塊就可以通過控制系統(tǒng)已知的特性和模型去判斷識別。那如果由于控制系統(tǒng)的局限性導致輸入是未知的，傳遞函數(shù)和模型也是未知的或者不精確的，該如何保證控制系統(tǒng)的準確性？如果控制系統(tǒng)是安全相關的，又如何保證其安全性？這就是預期功能安全要解決的問題。

那么對于輸入信號不確定，數(shù)學模型復雜且不確定的控制系統(tǒng)，如何進行相關設計呢？在智能化程度比較高的系統(tǒng)中可以采用分級遞階的智能控制方法進行設計。分級遞階智能控制（Hierachical Intelligent Control）是在人工智能、自適應控制以及運籌學等理論的基礎上逐漸發(fā)展形成的，是智能控制最早的理論之一。當系統(tǒng)由若干個可分的相互關聯(lián)的子系統(tǒng)構成時，可將系統(tǒng)所有決策單元按照一定優(yōu)先級和從屬關系遞階排列，同一級各單元受到上一級的干預，同時又對下一級單元施加影響。若同一級各單元目標相互沖突，則由上一級單元協(xié)調。這是一種多級多目標的結構，各單元在不同級間遞階排列，形成金字塔形結構。

此類結構的優(yōu)點是全局與局部控制性能都較高，靈活性與可靠性好，任何子過程的變化對決策的影響都是局部性的。從最低級執(zhí)行級開始，智能要求逐步提高，越高的層次越需要高的智能，而精度則遞減，此類結構具有以下特點：1）越是處于高層的控制器，對系統(tǒng)的影響也越大；2）越是處于高層，就有越多的不確定性信息，使問題的描述難于量化。可見，遞階智能控制的智能主要體現(xiàn)在高層次上，在高層次遇到的問題往往具有不確定性。映射到自動駕駛控制系統(tǒng)：第三級執(zhí)行級對應反應層（或功能層）：它負責執(zhí)行上層要求的基本任務，執(zhí)行較低級的操作和控制硬件執(zhí)行器。該層的處理頻率較高，可以滿足實時性操作和反應的要求。第二級協(xié)調級對應實施情況分類的主管層和反應導航：該層用來監(jiān)督功能層，并使用從傳感器派生的數(shù)據(jù)來識別車輛的情況，并產生軌跡，此層的處理頻率居中。第一級組織級對應規(guī)劃層：此層生成高級計劃（道路和交叉路口的預估），車輛從當前位置到目的地將遵循的路徑等。此層的頻率相對較低，不需要滿足實時性的要求。通過這樣的分層設計，對于安全的設計也可以按照同樣的邏輯，對于不同層級的特性和屬性設計相應的安全機制。Conrad J. Pace和Derek W. Seward就在一個自動挖掘機的應用中使用了這種設計方法。對于最底層的功能層來說，由于時間響應實時性的要求和硬件架構的原因，通常功能和安全機制是不需要進行隔離設計的。那對于第一和第二層級，由于采用非確定性算法，機器學習等算法，其本身無法滿足安全設計的要求，則需要單獨設計相應的安全機制來滿足其高安全等級的要求。這兩層的安全設計與Phillip Koopman在2016年提出的“Checker/Doer”是一樣的機制，這里的“Doer”就是采用復雜算法的功能，“Checker”則是更傳統(tǒng)的軟件技術，用于執(zhí)行安全要求。“Checker”只檢查“Doer”做出的決策是否違法相應的安全規(guī)則和假設。例如，以路徑規(guī)劃舉例，“Checker”則始終只檢查被選擇的規(guī)劃方案是否會撞上任何已知的障礙物。通過通訊獲取的反饋信號和信息交互是實現(xiàn)此方法的核心要素之一。

預期功能安全標準ISO/PAS 21448中對于預期功能安全的定義為，不存在由于預期功能的性能不足引起的危害而導致不合理的風險。預期功能安全流程的最重要的目的之一就是不斷地降低未知場景的可能性，而這些場景就是整個自動駕駛控制系統(tǒng)的重要輸入之一。所以這個過程就是不斷的讓輸入變成可預見的。

標準還通過一系列的方法和流程定義導致危害事件的起因，包括系統(tǒng)功能和需求的不足和局限，特別是傳感器的感知和控制器的規(guī)劃算法。這一過程就是不斷地優(yōu)化算法，讓模型不斷地完善。UL 4600自動駕駛安全評估標準將自動駕駛系統(tǒng)的安全要求分為ODD，傳感器，感知，機器學習和人工智能，規(guī)劃，預測，決策，控制等環(huán)節(jié)，其實也是對控制系統(tǒng)的解耦，化繁為簡，為安全設計提供指導。UL 4600還利用一種快速迭代的方法，利用現(xiàn)場數(shù)據(jù)的反饋不斷地完善標準的要求，這也是利用反饋手動的優(yōu)化輸入信息去完善模型。

4.結語此文旨在從控制系統(tǒng)的角度看自動駕駛及其安全設計，文中依然有許多不完整和不完善的地方，希望通過此文可以讓更多的負責功能開發(fā)的朋友關注安全，也希望更多的負責安全開發(fā)工作的朋友關注功能和控制。其實，大家都有一個共同的目標，就是設計一個穩(wěn)定、快速、準確的自動駕駛控制系統(tǒng)。