Las funciones de conducción altamente automatizada se deben ejecutar de forma segura y fiable en cualquier situación, ya sea en la autopista o en un estacionamiento. Uno de los métodos para conseguirlo es la redundancia: el entorno es monitorizado mediante sistemas en paralelo antes de decidir qué hacer en situaciones críticas.

De repente, un palé cae desde un camión a la carretera y bloquea el carril. Lo que hoy provocaría un sobresalto a un conductor humano, en el futuro un vehículo altamente automatizado lo solventará fácilmente. Lo hará posible el funcionamiento en paralelo de tres sistemas: uno, el planificador principal, que se encarga de las operaciones normales en la circulación, con un funcionamiento orientado al confort y que frena y acelera con suavidad. Dos, el planificador de contingencia, que simultáneamente está calculando una trayectoria para llevar el vehículo hasta una posición segura si fuera necesario. El tercer sistema es el supervisor, que comprueba constantemente si la trayectoria principal o la de contingencia suponen un riesgo y selecciona la alternativa más segura en cada caso.

Por eso, que un palé caiga inesperadamente de un camión no será un problema para ese vehículo altamente automatizado. Incluso en el improbable caso de que el sistema principal pasara por alto el obstáculo, el vehículo adoptaría con seguridad una acción evasiva o se detendría en el arcén si no fuera posible esquivarlo, gracias al de contingencia.

­Una situación como esta podría hacerse realidad muy pronto. Porsche Engineering está trabajando a fondo para que las funciones de circulación altamente automatizada (HAD) sean seguras y fiables. La estrategia crucial para lograrlo se llama ‘descomposición’. En lugar de que el vehículo esté controlado por un solo sistema, lo está por varios en paralelo.

“Varios sistemas combinados alcanzan un nivel de seguridad mucho mayor que uno solo“, dijo Jan Gutbrod, jefe del Equipo para el Desarrollo de Sistemas de Asistencia a la Conducción en Porsche Engineering.

En paralelo

Los sistemas en paralelo se utilizan en la aviación desde hace mucho tiempo y su eficacia depende fundamentalmente del diseño técnico.

“Para lograr una verdadera redundancia, es importante no limitarse a duplicar sistemas“, dijo Andreas Nagler, director de Ingeniería y Arquitectura de Sistemas de Cariad, la empresa de software y tecnología del Grupo Volkswagen. Esto significa que sus componentes deben estar técnicamente aislados unos de otros, es decir, cada uno debe tener su propio hardware, software y fuentes de datos. Es la única manera de minimizar los llamados errores de ‘causa común’, es decir, los fallos debidos a una causa compartida.

Para lograr esta separación técnica, el sistema de supervisión solo utiliza listas de objetos para componer una imagen del entorno. Estas listas se generan a partir de los propios sensores de los vehículos. Por ejemplo: un sensor de radar proporciona una lista de todos los vehículos u objetos que pueden detectarse en las proximidades, incluida la dirección de su movimiento. En cambio, los sistemas principal y de contingencia no trabajan con listas de objetos, sino con los datos brutos de los sensores, por ejemplo, las nubes de puntos de los escáneres láser (LiDAR). Además, algunos componentes acceden a datos cartográficos, cosa que no hace el supervisor.

El procesamiento de datos también difiere entre los sistemas. El principal y el de contingencia, por ejemplo, aplican lo que se conoce como fusión de datos de sensores: si solo un sensor informa de un objeto en el espacio, mientras que los demás explícitamente no lo hacen, el algoritmo de fusión de datos de sensores puede evaluar esa señal como una falsa detección y descartarla. El supervisor, en cambio, considera todos los sensores estrictamente por separado. Los diferentes principios funcionales de los sistemas individuales garantizan que cada uno pueda formarse su propia imagen de la situación. La fuerza combinada de los sistemas garantiza una respuesta segura.