闵应骅
深入一步看自主车辆(181008)
2018-10-8 09:34
阅读:16296
标签:自主车辆, 容错计算, 故障注入

深入一步看自主车辆(181008

闵应骅

自主车辆是用自主驾驶系统驾驶的车辆。这个事情现在炒得很热,的确令人向往。汽车的发明是划时代的大事,自主车辆的使用将是另一件划时代的大事。前景很美妙,但是要真正做出来、用上,做到有一天所有的车都无人驾驶,需要解决的问题多了去了。做梦比较容易,实现起来就难。

自主车辆的安全性与可靠性受到广泛的关注。加州机动车辆部关于自主车辆路测数据表明:36%的错控是由于计算机系统的问题;64%是机器学习导致的。现在关于自主车辆的研究集中在改善机器学习和人工智能模型,而且不断有好消息传出来。然而,当这些模型在计算机平台上做大型应用时,焦点转向评价驱动自主车辆的计算机组的恢复力和安全性上。硬件(包括GPUCPU和其他处理单元)以及运行自主车辆的软件栈可能的故障和差错的影响没有被足够认识。现在已经有许多人注意到深度神经网络对故障和差错在不考虑软件栈的自恢复能力的情况下的恢复能力;有些工作研究现在公开的自主驾驶系统,当注入传感器常发故障的高斯噪音或故障出现时自主车辆的安全性就很需要了。光在路上试行,尤其是专找一段特定的路,不让其他车辆通行的试行,更是不能说明问题。而当传感器很多,有可能有瞬时故障、差错传播和自主驾驶系统的永久故障,环境条件又极其复杂。这就需要故障注入器来模拟所有可能出现的情况.

最近我看到一篇文章(见附件),是介绍美国伊利诺伊大学阿巴纳香槟分校(UIUC)与Nvidia合作开发的一个故障注入器Kayotee。其作者之一Ravi K.Iyer是我的老朋友,我很高兴他仍然活跃在科研第一线、争取课题、指导学生。安全性、可靠性的问题对自主车辆生死攸关。另一方面也说明,容错计算技术在如此新鲜的研究课题面前也有用武之地,在自主车辆的研制中是不可或缺的。

对于自主驾驶系统,为了追求恢复力和可靠性,我们需要问四个问题:

Q1:自主驾驶系统软件有许多部分,譬如感知部分、传递、定位、计划等,哪一部分最容易出现故障或差错?

Q2:自主驾驶系统平台的差错可能是由于数据质量和机器学习或人工智能的不精确性所引起,哪些差错对安全性和恢复力影响最严重?

Q3:安全性或恢复力和带差错的输入特征,包括车辆和人,是否有统计的某种关系?

Q4:对于不同的计算平台,譬如CPUGPU,差错敏感性是否有统计意义上的不同?

Kayotee系统可以用下图说明如何被用来评估自主驾驶系统的端到端的安全性和可靠性。

自主驾驶系统.JPG

其中,

我们用Nvidia的自主驾驶系统框图,运行5级自动化水平的AI代理,以及模拟系统

为了在私用或公众的路上测试Nvidia自主驾驶系统,用一个用户虚拟引擎的模拟器,模拟复杂的路况,包括路的布局、建筑、行人、车辆和天气条件(譬如晴、雨、雾)等。中的例子是一个Nvidia AI车辆控制的汽车和一个DriveSim控制的汽车在一条高速公路上,速度v和加速度a都不同,相距为d,前面还有公路物体,譬如路标、交通灯等。这样参数化的模拟才能反映目标车辆减速、平稳、加速等不同情况。scenario manager用于选择预先定义好的路况,而monitoring and safety evaluator则给出当时情况下安全参数的测量结果。譬如车辆是否在车道中央、车辆是否保持与其它车辆的最短距离、车速是否在安全距离之内。

Nvidia AI代理,包括5个基本模块,(a)传感器和传感器融合模块,(b) 物体感知模块,(c)通路感知模块,(d)地图和定位,(e)计划和控制模块。因为保密的原因,若干安全检测机制未包含在此图中。

Kayotee作为自主驾驶系统的负载,运行在一个计算平台上。这个计算平台包括Intel Xeon CPUNvidia离散GPU。然后注入不同模型化的故障。

    Kayotee是一个故障注入工具,它可以注入硬件瞬时故障、软件故障,而且可以运行在各种不同的场景之下。那些场景在实际路测中是不容易都碰到的。Kayotee的主要目的是估价自主驾驶系统故障的影响,研究在不出事故之前最大可以容许的自主驾驶系统的故障数。由于该系统是针对Nvidia的自主驾驶系统研制的,若干技术细节和试验数据不能公开。他们希望也能就ApolloCarla开发故障注入器。由于本文是一篇博客文章,不能太进入技术细节。有兴趣的读者可以参考本文附件。

    对于差错和安全性指标,他们定义:一个故障被激活,如果任何监控指标(包括目标分类、边界框、执行机构命令值、车辆测量值)没有落入允许范围之内。

执行命令的差错会导致一个安全隐患。我们定义下列安全隐患:安全范围隐患是指自主车辆与任何其他路上对象的距离小于制动距离。驾驶员确认对象的平均时间是1.75秒,而AI代理的最长认知时间是1/FPS,其中FPSAI代理每秒处理的帧数。认知距离是看到危险而采取制动之前的时间,一般人的响应时间是0.751秒,而对AI代理是指确认危险到发送执行命令的时间。制动距离在高速公路上以55英里/小时(88公里/小时)速度行驶的制动距离是65米。预停距离是指感知距离、认知距离和制动距离的总和。但是,距离20米是否一定追尾还要看对方车辆动态、车型、车速和加速情况。对多车道的公路,情况就更加复杂。如果车辆离开车道中线0.5米就认为是一次车道中心隐患。

本文的目的有两个:一个是说明自主车辆的梦想很美好,但是要实现还需要走很长的路。我国媒体现在主要谈前者,而忽略后者;另一个是说明传统的计算技术在新任务面前仍然是大有可为的,研究者应该深入自己的研究领域,为新任务做出自己的贡献。

 

附件:

kayotee_art_2018.pdf

Kayotee: A Fault Injection-based System to Assess the Safety and Reliability of Autonomous Vehicles to Faults and Errors,”September 2018Conference: Third IEEE International Workshop on Automotive Reliability & TestAt: Phoenix, Arizona, USA

Project: Safety and Reliability of Autonomous Vehicles

Saurabh JhaTimothy TsaiSiva Kumar Sastry Hari

Ravishankar K. Iyer


转载本文请联系原作者获取授权,同时请注明本文来自闵应骅科学网博客。

链接地址:https://wap.sciencenet.cn/blog-290937-1139520.html?mobile=1

收藏

分享到:

当前推荐数:14
推荐到博客首页
网友评论14 条评论
确定删除指定的回复吗?
确定删除本博文吗?