随着汽车提供更多的辅助驾驶功能、自主性逐渐提高,甚至最终将完全自动驾驶,在这过程中,卫星定位技术正扮演着日益重要的角色。
在卫星导航技术带动下,GPS已在汽车取得了主控权。透过整合到汽车原装的仪表板中、贴在挡风玻璃内做为专用装置,或是利用智能型手机依需要进行导航,卫星导航解决方案已取代纸本地图和道路标志成为规划路线的主要方式。同时,受惠于如欧盟eCall等自动紧急呼叫系统的强制规范,GPS在汽车的应用又更进一步地增强了。现今,道路上的每一辆新车中,都内建了GPS接收器。
当讨论到定位车辆或快速规划路线时,汽车原装的导航解决方案比后装解决方案或是使用智能型手机的导航解决方案更具优势。因为,它们具有更大、位置更佳的天线,以及整合汽车周遭数据的能力,例如惯性和数字式车速信息 (wheel-tick) 传感器,使其可提供更精准的定位。然而,值得注意的是,许多驾驶,即使车内已内建了导航系统,还是习惯使用智能型手机来导航,因为手机可提供更好的使用体验,而且手机的导航软件都会持续更新升级1。
同时,尽管现今的导航解决方案已发展成熟,但仍有改进的空间。例如,驾驶不想等待导航系统启动才能开始定位,他们想在启动车辆的同时,就在地图上清楚看到相关讯息。或是,他们希望在离开隧道时便能立即定位,同时在隧道里也能有定位讯息。但是,要提供这样的效能需要在全球导航卫星系统 (GNSS) 接收器中内建以惯性测量为基础的惯性导航解决方案,来协助 GNSS 加速定位时间,并能够在车子停妥后,记录汽车的最后位置以及车头方向。
尤其,未来的自驾车更必须具有精准的定位功能,配合环境与人车状态的传感系统,才能让AI的算法做出正确的决策,以确保安全的驾驶。而GNSS技术更是定位功能的重要核心部分.
图1:自动驾驶所需要的功能
车道级精准度
反应能力与精准度都是设计自驾车时所需克服的挑战。车道级精准度,也就是能够确定车辆行驶在哪条车道的能力,是追求定位效能的下一步,可进一步实现扩增实境抬头显示器 (AR-HUD2, augmented reality heads-up displays)等新应用。为了实现这个目标,需要更先进的多频、多星系 GNSS 接收器,能可靠地在地图上的特定车道内定位车辆。追踪来自多个GNSS 星系的卫星讯号可增加视线内,甚至在高耸大楼都会区中的GNSS 卫星数量。另一方面,在多个频段上追踪它们,可减轻电离层中产生的讯号延迟,有助于减少讯号从建筑结构或周围地形反弹时引起的多径误差。
图2:GNSS 接收器需要能够透过实时整合 GNSS 校正数据来进一步提高效能。这需要精密单点实时动态定位(PPP-RTK)算法,以校正卫星频率、轨道误差以及其他误差源。
尽管如此,仅依赖多星系、多频段GNSS 接收器是不足以持续提供车道级精准度所需的公尺级以下定位效能。GNSS 接收器需要能够透过实时整合 GNSS 校正数据来进一步提高效能。这需要精密单点实时动态定位(PPP-RTK, precise-point positioning real-time kinematic)算法,以校正卫星频率、轨道误差以及其他误差源。以u-blox F9平台为例,此平台已在多家汽车 OEM 业获得采用,尤其是中国、日本和韩国对此类解决方案的需求不断地成长。
如何确保先进驾驶辅助功能的安全性
在先进驾驶辅助系统 (ADAS, advanced driver assistance system) 功能和全自驾车全面普及之前,自驾车很可能会先在路网(road network)的专用路段和特定操作条件下才能运作。例如,高速公路自动驾驶辅助系统(the highway chauffeur)等级的自驾车,在特定地理范围(地理围栏)内,才能启动完全自驾功能。
未来,这类需求将逐渐增加。但是,要确定ADAS 系统是否符合此需求是一个高风险的决定。因此,这也使得汽车业者对 GNSS 接收器提出了比车道级导航应用更严苛的要求。
因应这样的需求,加上自驾车技术也快速地演进,L2+以及L3等级以上更加需要精准的定位功能,公寸等级的精准度势必很快就不符需求,公分等级的精准度将会变成为必备的规格。此刻就要搭配PPP-RTK加上完整性的校正服务方能达到自驾车精准度的安全需求规格.
图3:自驾车技术的演进
同时,汽车制造商也寻求利用具功能安全性的 GNSS 解决方案做为安全绝对位置的唯一可能来源,以补强其他的相对定位解决方案(如雷达、光达),才能验证是否能够执行自动驾驶功能。GNSS 接收器将在通知汽车已进入高速公路的授权路段发挥重要作用,让驾驶知道可以开始启动自驾功能。未来,我们将看到汽车OEM业者改采 ASIL-B 级的解决方案,以支持车辆控制和决策制定的关键性安全应用。
ISO 26262 功能安全标准中定义的汽车安全完整性等级 (ASIL),已明确规范了车辆电气和电子系统的每个组件所需符合的要求和安全措施。ASIL-A 是最低标准,ASIL-D则是最高级别3。标准要求软件开发须符合特定的规则,并详细评估车辆硬件可能出现的故障,以及如何检测或减少这些故障。
总而言之,安全是功能安全和预期功能安全 (SOTIF, safety of the intended function) 的结合。根据 ISO 214484 的定义,功能安全涵盖硬件和软件,而SOTIF亦称为完整性,专注于技术本身的弱点,例如由于反射、微弱讯号或用户误用所造成的事件。针对 GNSS 接收器而言,这通常是指所谓的危险误导讯息 (HMI, hazardous misleading information) 事件。它的定义是,定位误差高于警报限制 (AL, alert limit)的时间比警报时间 (TTA, time-to-alert)还长,且其发生机率是由完整性风险 (IR, integrity risk)所定义的。
系统的保护等级与定位精准度息息相关,因此必须确保只要不超过警报限制,就能符合完整性风险的要求。
精准度校正服务配合传感器融合技术,实现确保功能安全的 GNSS 接收器,以符合ISO 26262/ISO 21448规范。进而达到完整性风险度,保护级别以及功能可用性三者规格之间的最佳权衡。
图4:精准度校正服务配合传感器融合技术 以实现高精准度定位
GNSS接收器是确保汽车定位的终极技术
当GNSS 接收器与自驾车中的大量传感器并存,并提供导航、地理围栏及定位功能时,它还可能需负起更多的责任。
GNSS 接收器的技术是独立于汽车中的其他传感器,这使其具备了一个重要优势。顶级和OEM汽车业者通常会把汽车的各种传感器输出结合在一起,例如,摄影机、光达、惯性传感器和 GNSS 接收器等。如果由于某种原因,传感器因天候不良、道路号志、地标不明而发生故障时,GNSS 接收器将成为最后的数据来源。因为我们需要一种能够在全球各地,以及所有天气条件下运作的技术,而 GNSS 可说是最后唯一可用的定位技术。
阻止黑客入侵
越来越多的网络犯罪分子 ─ 以及网络安全研究人员 ─ 已经展现了入侵汽车的能力。干扰 GNSS 最简单方法是,透过在大量的调频噪声中淹没微弱的卫星讯号来干扰接收器,以中断其运作。另一种更复杂的方法是,透过向GNSS接收器提供假讯号来诈骗它们,实际上是诱使接收器相信它位在一个它不在的地方。当然,这些威胁也引起了汽车OEM业者的关注,因此对于抗干扰和防诈骗的解决方案更为重视。
目前市面上有多种因应干扰和诈骗的方法。以 u-blox为例,干扰和诈骗侦测及缓解的算法是其核心竞争力,运用这些算法,GNSS接收器可以警示它被干扰或诈骗。
另一种新兴方法是验证输入的 GNSS 讯号,这是欧洲伽利略 GNSS 星系提供的一项功能。Galileo 的 OS-NMA 特性可确保获得的卫星讯号是正确的,这主要是因为它能够验证包含私有密钥的讯息,并透过网络服务器确认收到的定位结果未被入侵。
此外, RF 接口绝不会是系统中唯一会被攻击的弱点。黑客还会试图重新配置 GNSS 接收器,瞄准与其通讯的任何服务器链接,或 GNSS 接收器和主机之间的通讯。不同的攻击方式意味着,除了侦测和减轻干扰和诈骗之外,还需要在整个过程中考虑端到端安全性、保护实体和软件接口、验证韧体、以及加密通讯等各个层面。
定位功能对自驾车的重要性
汽车产业正在产生典范移转。在过去,汽车出厂时,功能是固定的。但新的趋势是,汽车的设计方式使其能在数年后进行软件升级,以提供之前没有的新功能。这需要在生产时先为汽车提供适当的硬件,以便一些先进功能能在经过充分测试、验证、授权并准备上路后即刻实现。此趋势将影响汽车OEM业者对系统中的重要组件(包括 GNSS 接收器)的要求。
随着汽车自主程度的提高,GNSS 技术将扮演日益重要的角色。因为当汽车朝向更高等级的自驾功能发展时,将会有越来越多的先进功能需仰赖高精准度而且安全的定位技术。有鉴于此趋势的持续演进,GNSS 接收器和相关的定位服务,包括GNSS 校正数据与其他类型的 GNSS 增强服务等,将变得越来越重要。
名词说明:
警报限制 (AL, Alert limit) :使系统保持安全的最大容忍定位误差。
警报时间 (TTA, Time-to-alert) :最大的可接受时间范围,在此期间内,定位误差可以保持在AL 之上而没有警报。
危险误导讯息(HMI, Hazardous misleading information):定位误差在时间超过TTA的期间内,超过 AL但没有发出警报。
完整性风险 (IR, Integrity risk) :在特定时间范围内,发生HMI 事件的可能性。