Las funciones de conducción altamente automatizada se deben ejecutar de forma segura y fiable en cualquier situación. Uno de los métodos para conseguirlo es en un entorno monitorizado mediante sistemas en paralelo antes de decidir qué hacer en situaciones críticas.
Por ello, Porsche Engineering está trabajando a fondo para que las funciones de circulación altamente automatizada (HAD) sean seguras y fiables. La estrategia crucial para lograrlo se llama ‘descomposición’, que consiste en que en lugar de que el vehículo esté controlado por un solo sistema, lo está por varios en paralelo.
Jan Gutbrod, jefe del Equipo para el Desarrollo de Sistemas de Asistencia a la Conducción en Porsche Engineering, declaró que varios sistemas combinados alcanzan un nivel de seguridad mucho mayor que uno solo y el mayor reto es controlarlas todas en situaciones posibles.
En otras palabras: el sistema global debe ser capaz de adecuarse a diferentes tipos de vehículos y estilos de conducción, reconocer líneas de diferentes colores en la carretera, incluso cuando estén desgastadas, y evitar con seguridad obstáculos conocidos y desconocidos. Esto requiere una interacción coordinada de los tres subsistemas, que debe superar las pruebas y ensayos en carretera.
ESTRICTA SEPARACIÓN TÉCNICA DE LOS SISTEMAS
Los sistemas en paralelo se utilizan en la aviación desde hace mucho tiempo y su eficacia depende fundamentalmente del diseño técnico.
Andreas Nagler, director de Ingeniería y Arquitectura de Sistemas de Cariad, la empresa de software y tecnología del Grupo Volkswagen, manifestó que para lograr una verdadera redundancia, es importante no limitarse a duplicar sistemas, esto significa que sus componentes deben estar técnicamente aislados unos de otros.
“Cada uno debe tener su propio hardware, software y fuentes de datos. Es la única manera de minimizar los llamados errores de ‘causa común’, es decir, los fallos debidos a una causa compartida”, afirmó.
Para lograr esta separación técnica, el sistema de supervisión solo utiliza listas de objetos para componer una imagen del entorno. Estas listas se generan a partir de los propios sensores de los vehículos.
En cambio, los sistemas principal y de contingencia no trabajan con listas de objetos, sino con los datos brutos de los sensores, por ejemplo, las nubes de puntos de los escáneres láser (LiDAR). Además, algunos componentes acceden a datos cartográficos, cosa que no hace el supervisor.
El procesamiento de datos también difiere entre los sistemas. El principal y el de contingencia, el supervisor, en cambio, considera todos los sensores estrictamente por separado. Los diferentes principios funcionales de los sistemas individuales garantizan que cada uno pueda formarse su propia imagen de la situación. La fuerza combinada de los sistemas garantiza una respuesta segura.
CONSIDERAR LOS UMBRALES EN LA DINÁMICA DE CONDUCCIÓN
Para detectar posibles riesgos, el supervisor comprueba las trayectorias calculadas por los planificadores principal y de contingencia. Para ello, genera constantemente previsiones con diferentes horizontes temporales. El llamado ‘enfoque balístico’ es utilizado para el espacio que recorrerá el auto en un futuro próximo: el supervisor supone que los objetos mantendrán básicamente su dirección de movimiento y su velocidad, debido a la inercia y la masa.
Para predecir situaciones en el tráfico con tanta antelación se requiere una programación muy compleja, con miles de parámetros. Se tienen en cuenta, entre otras cosas, la velocidad, la superficie de la carretera, las condiciones meteorológicas, el registro del movimiento que han tenido otros usuarios cercanos de la vía y los autos parados.
Esta previsión constituye la base de la decisión que se tomará a continuación: el supervisor introduce las trayectorias de los planificadores en situaciones futuras. El funcionamiento requiere un software de planificación muy preciso. Si el supervisor evalúa el riesgo en exceso y demasiado rápidamente, el vehículo puede actuar con más precaución de la necesaria y, por tanto, también de forma insegura.
Los desarrolladores llaman a este efecto ‘demasiado pronto, demasiado precavido’. Si ocurre, podría llevar, por ejemplo, a una frenada exagerada. El supervisor también debe reconocer las situaciones de emergencia en las que un cambio de trayectoria solo provocaría una pérdida de tiempo y posiblemente tendría efectos negativos.
CONCEPTO DE PARADA DE EMERGENCIA PARA UNA MÁXIMA SEGURIDAD
Garantizar la seguridad es una tarea de todos los implicados. Por lo que en Porsche Engineering examinarán detenidamente los algoritmos de los operadores de la infraestructura.
Sebastian Reikowski, director de Proyecto para Sistemas de Estacionamiento en Porsche Engineering, manifestó que para implementar de forma segura el estacionamiento controlado externamente, también son necesarios amplios ajustes en el vehículo.
"Toda la comunicación con la infraestructura a través de 5G o WiFi debe estar encriptada para evitar el acceso no autorizado", dijo.
Si la conexión por radio se interrumpe, el vehículo debe detenerse automáticamente. También es necesario un concepto de parada de emergencia: si el sistema de frenado primario falla, un sistema secundario tendría que entrar en acción y garantizar una parada segura.
“Es necesario seguir trabajando en la coordinación de un estándar común de comunicación: solo así será posible que los vehículos de todos los fabricantes utilicen el servicio de estacionamiento”, aseguró.
Los expertos ya están trabajando en una norma que defina una interfaz entre los vehículos y la infraestructura (ISO 23374).
Al igual que con la circulación altamente automatizada, la mejora continua será esencial, por lo que en el futuro será desarrollada continuamente la programación de los vehículos.
El objetivo de este "desarrollo impulsado por los datos" son flotas de vehículos de prueba que recogerán continuamente datos y los transferirán a la nube. Allí, serán utilizados para mejorar los algoritmos de HAD. Esto crea lo que se conoce como un ‘bucle de big data’.
