La redundancia, clave para que los coches autónomos tomen las decisiones correctas

Para lograr que la conducción altamente automatizada sea un hecho aplicable en masa, las funciones de seguridad deben ejecutarse de manera segura y fiable en cualquier situación. Uno de los métodos para conseguirlo es la redundancia: monitorizar el entorno mediante sistemas en paralelo antes de decidir qué hacer en cada situación crítica que se pueda presentar.

Si de pronto un objeto se cruza en la trayectoria de nuestro vehículo bloqueando el carril, hoy en día provocaría un sobresalto e incluso un accidente, en determinadas situaciones, con un conductor humano al volante. En el futuro, sin embargo, un vehículo altamente automatizado solventaría este problema fácilmente. Esto será posible gracias al funcionamiento en paralelo de tres sistemas de seguridad. El primero recibe el nombre de planificador principal y se encarga de las operaciones normales en la circulación, funcionando de manera que se oriente al confort y frenando y acelerando con suavidad. El segundo en cuestión es el planificador de contingencia, sistema que está simultáneamente calculando una trayectoria para llevar el vehículo hasta una posición segura si se requiriese esta situación. Por último, como tercer sistema, tenemos el supervisor, que comprueba constantemente si la trayectoria principal o la de contingencia suponen un riesgo, de forma que selecciona la alternativa más segura en cada caso.

Una triple 'red de seguridad'

De esta manera, incluso en el improbable caso de que el sistema principal pasara por alto el obstáculo, el vehículo adoptaría con seguridad una acción evasiva o se detendría en el arcén si no fuera posible esquivarlo, gracias al de contingencia.

Porsche Engineering lleva tiempo trabajando a fondo para que las funciones de circulación altamente automatizada (HAD) sean seguras y fiables. Para lograr esta meta emplean una estrategia llamada 'descomposición'. En lugar de que el vehículo esté controlado por un solo sistema, se aplican varios en paralelo, lo que hace que se alcancen unos niveles de seguridad mucho mayores que si únicamente se recurriese a uno. En otras palabras: un sistema global debe ser capaz de adecuarse a diferentes tipos de vehículos y estilos de conducción, reconocer líneas de distintos colores en la carretera, incluidas las que están desgastadas, y evitar con seguridad obstáculos conocidos y desconocidos.

Aunque esto pueda parecer un tema futurista en el mundo del automóvil, la aviación lleva utilizando sistemas en paralelo desde hace ya mucho tiempo, y su eficacia depende fundamentalmente del diseño técnico. Sus componentes deben estar técnicamente aislados unos de otros, es decir, cada uno debe tener un hardware, un software y una fuente de datos propios. Esta es la única manera de minimizar los llamados 'errores de causa común', es decir, los fallos debidos a una causa compartida entre sistemas. Para lograr esta separación técnica, el sistema de supervisión recurre únicamente a listas de objetos para componer una imagen del entorno. Estas líneas se generan a partir de los propios sensores de los vehículos. Por ejemplo: un sensor de radar proporciona una lista de todos los vehículos u objetos que puedan detectarse en las proximidades, incluida la dirección de su movimiento. En cambio, los sistemas principal y de contingencia no trabajan con listas de objetos, sino con datos brutos de los sensores, como por ejemplo las nubes de puntos de los escáneres láser (LiDAR).

Otra cosa que difiere entre los tres sistemas es la manera en que estos procesan los datos. El principal y el de contingencia, por ejemplo, aplican lo que se conoce como fusión de los datos de sensores: si solo un sensor informa de un objeto en el espacio, mientras que el resto explícitamente no lo hacen, el algoritmo de fusión de datos de sensores puede evaluar esa señal como falsa o errónea y, por tanto, descartarla. Por contra, el sistema supervisor considera todos los sensores estrictamente por separado. De esta manera, la fuerza combinada de los tres garantiza una respuesta segura.

El sistema supervisor comprueba las trayectorias calculadas por los planificadores principal y de contingencia en busca de posibles riesgos. Para ello, genera constantemente previsiones con diferentes horizontes temporales. El supervisor supone que los objetos mantendrán básicamente su dirección de movimiento y su velocidad, debido a la inercia y masa de los mismos. Sin embargo, esto no es una tarea sencilla, pues para predecir situaciones en el tráfico con tanta antelación se requiere una programación muy compleja. Se tienen en cuenta, entre otras cosas, la velocidad, la superficie de la carretera, las condiciones meteorológicas, el registro del movimiento que han tenido otros usuarios cercanos de la vía y los coches parados. Con todo esto, esta previsión constituye la base de la decisión que se tomará a continuación.

En cuanto al software, el funcionamiento correcto de todo esto requiere de uno con mucha precisión. Si el supervisor evalúa el riesgo en exceso y demasiado rápidamente, el vehículo puede que actúe con más precaución de la necesaria y, por tanto, también de manera insegura. Si esto ocurre, podría llevar, por ejemplo, a que el vehículo realizase una frenada exagerada, lo cual no sería el movimiento más seguro posible. Además, todas estas medidas también necesitan tener en cuenta los límites dinámicos especificados. Es decir, si aparece un obstáculo de repente en la calzada, los sistemas deberán reaccionar lo suficientemente rápido para poder frenar cómodamente, no de forma que nos causen una incomodidad extrema o incluso lesiones.

Pero estos sistemas no solo servirían para prevenir alcances o accidentes, también podrían tener su aplicación en el aparcamiento automatizado. Durante el IAA Mobility de Múnich celebrada el pasado mes de septiembre, el conductor de un Porsche Cayenne E-Hybrid dejó su lujoso SUV en una zona especial de transición de las instalaciones y dio la orden de aparcar a través de su smartphone. Tras esto, el Cayenne comenzó a moverse hacia la plaza de aparcamiento. Además, si el conductor lo considerase necesario, el coche podría dirigirse primero a una estación de carga, donde se acoplará automáticamente un brazo robótico con una conexión eléctrica. Y después se trasladaría también de manera automática hasta la plaza de aparcamiento final.

De momento, el aparcamiento automatizado puede implementarse de dos maneras: bien el vehículo se dirige por sí mismo a la plaza de aparcamiento o bien es la propia infraestructura la que asume el control. En este último caso, indicaría el camino al vehículo mediante señales de radio y lo aceleraría y frenaría según el caso. En cualquiera de esas situaciones, el sistema de control de estacionamiento debería funcionar con varios sistemas en paralelo. Así, las situaciones de emergencia se podrían gestionar de forma segura, como por ejemplo si apareciesen peatones delante del coche.

En definitiva, los sistemas redundantes y estrictamente separados hacen seguras las funciones de circulación altamente automatizada, ya que permiten elegir entre diferentes trayectorias, velando así por la seguridad de los ocupantes y teniendo siempre disponible una alternativa en la 'recámara'.