狀態(tài)機模塊在自動駕駛系統(tǒng)中扮演著關鍵的角色，它負責管理和控制各個功能的狀態(tài)轉換和行為執(zhí)行。今天我們來聊聊如何設計自動駕駛系統(tǒng)的狀態(tài)機?。

0.閑談

作為自動駕駛系統(tǒng)工程師，從參與項目開始，就必不可少的與狀態(tài)管理模塊打交道，因為狀態(tài)機在系統(tǒng)運行的全功能周期內起管理作用。狀態(tài)機這個模塊，從技術實現(xiàn)角度來說，并沒有什么難度，在網(wǎng)上有很多關于FSM(Finite-state machine）的介紹文章，有興趣可以自行了解。但如何設計得巧妙、周到、精致，卻很考驗設計者的底蘊與對系統(tǒng)的理解。

大部分的ADAS功能都需要狀態(tài)機進行狀態(tài)管理，筆者手中就有不下十幾份狀態(tài)機的設計文檔，包括FCW/LDW/AEB/ACC/LKA/NOP/APA/AVP等等，設計大相徑庭，但細細想來內核卻大同小異。其中NOP功能的狀態(tài)跳轉還是比較復雜的，涉及橫向、縱向控制與功能降級等邏輯，需要長期的雕琢與迭代才能設計出符合項目要求的效果。

筆者最近也在負責APA功能的狀態(tài)機設計，雖然比較簡單，但還是想借此機會對狀態(tài)機模塊做一點總結，也是對以往工作的回顧。

1.模塊概述

狀態(tài)機模塊的主要作用是跟蹤系統(tǒng)的當前狀態(tài)，并根據(jù)特定的事件和條件進行狀態(tài)轉換。它可以根據(jù)傳感器數(shù)據(jù)、車輛狀態(tài)和系統(tǒng)輸入來判斷當前功能的可用性和執(zhí)行條件。狀態(tài)機模塊還能夠監(jiān)控系統(tǒng)的運行情況，及時響應來自駕駛決策或用戶的指令，并根據(jù)需要觸發(fā)相應的功能執(zhí)行。

狀態(tài)機模塊通過定義和維護一組狀態(tài)，以及狀態(tài)之間的轉換條件和行為，確保系統(tǒng)在不同的場景和條件下正確地執(zhí)行相應的功能。例如，當檢測到前方車輛與本車距離過近時，F(xiàn)CW功能會被觸發(fā)，狀態(tài)機模塊會根據(jù)預設的邏輯條件和行為來切換到相應的預警狀態(tài)，并觸發(fā)聲音或振動等警示措施。

狀態(tài)機模塊的設計需要考慮各個功能之間的優(yōu)先級、依賴關系和沖突情況。它需要具備靈活性和可擴展性，以應對不同的道路情況和交通場景。比如cat-in、cat-out情景、自動變道時的變道空間判斷等等。同時，狀態(tài)機模塊還需要具備高效的算法和實時性能，以保證系統(tǒng)的快速響應和可靠性。

總之，狀態(tài)機模塊在自動駕駛系統(tǒng)中扮演著決策和控制的關鍵角色。通過有效地管理和控制各個功能的狀態(tài)轉換和行為執(zhí)行，狀態(tài)機模塊能夠確保系統(tǒng)的穩(wěn)定性、安全性和可靠性，它是實現(xiàn)ADAS功能的基礎模塊之一。

2.設計原理

狀態(tài)機的設計原理是基于狀態(tài)、事件和轉換的概念。狀態(tài)表示系統(tǒng)或功能在某一時刻的特定狀態(tài)，事件表示觸發(fā)狀態(tài)轉換的條件，而轉換則表示狀態(tài)之間的切換過程。

首先，需要定義系統(tǒng)或功能的各個狀態(tài)。狀態(tài)可以是具體的行為狀態(tài)，也可以是抽象的控制狀態(tài)。每個狀態(tài)都代表了系統(tǒng)的一個特定方面或功能，例如“Standby”、“OFF”、“Parking”等。

接下來，定義觸發(fā)狀態(tài)轉換的事件。事件可以是傳感器的觸發(fā)信號、用戶的輸入指令或系統(tǒng)內部的條件判斷。通過檢測事件的發(fā)生，狀態(tài)機能夠判斷是否需要進行狀態(tài)轉換。

然后，定義狀態(tài)之間的轉換條件和行為。轉換條件是判斷是否可以進行狀態(tài)轉換的邏輯條件，例如滿足一定的時間限制、特定的傳感器數(shù)據(jù)或用戶指令。轉換行為是在狀態(tài)轉換時執(zhí)行的操作，例如觸發(fā)警報、調整車速或切換到下一個狀態(tài)。

為了更好地設計和管理狀態(tài)機，可以使用狀態(tài)表和狀態(tài)轉換圖。狀態(tài)表是一個表格，列出了系統(tǒng)的各個狀態(tài)和相應的轉換條件。狀態(tài)轉換圖則是通過節(jié)點和箭頭表示各個狀態(tài)和轉換，直觀地展示了狀態(tài)之間的關系和轉換規(guī)則。

EA示例 狀態(tài)轉換圖

EA示例 狀態(tài)表

在設計狀態(tài)機時，需要確保其特性，包括確定性、完備性和可達性。

確定性表示每個狀態(tài)都有明確的轉換規(guī)則，不會出現(xiàn)歧義或沖突。

完備性表示系統(tǒng)的所有可能狀態(tài)都被考慮到，并定義了相應的轉換規(guī)則。

可達性表示系統(tǒng)能夠從任意初始狀態(tài)達到目標狀態(tài)，確保狀態(tài)機的可靠性和穩(wěn)定性。

通過使用狀態(tài)機的設計原理，可以清晰地定義系統(tǒng)的各個狀態(tài)和轉換規(guī)則，確保系統(tǒng)在不同的條件下正確地執(zhí)行相應的行為和功能。同時，狀態(tài)機的設計原理也為系統(tǒng)的擴展和維護提供了便利，使得系統(tǒng)能夠適應不斷變化的需求和環(huán)境。

4.定義狀態(tài)

狀態(tài)定義：明確定義系統(tǒng)中的狀態(tài)，確保每個狀態(tài)都是清晰且互斥的。每個狀態(tài)應該具有明確的含義和行為。

不同的自動駕駛功能可能具有不同的狀態(tài)機，狀態(tài)的定義是由功能決定的，系統(tǒng)需要在不同的條件下正確地執(zhí)行相應的行為和功能。同時，狀態(tài)機的設計原理也應該為系統(tǒng)的擴展和維護提供了便利，使得系統(tǒng)能夠適應不斷變化的需求和環(huán)境；比如在NOP功能設計時，應考慮到如何與LCC/ACC等功能進行切換。

L0的ADAS功能，比如FCW/LDW/BSD等等基本不涉及車輛控制，僅起到預警作用。其狀態(tài)定義也較為簡單，可以分為以下幾個狀態(tài)：

OFF:系統(tǒng)關閉，未進行工作。

Standby：系統(tǒng)滿足運行條件，正在待機。

Warning：符合預警觸發(fā)條件，正在報警。

Inhibit：預警被用戶抑制。

Error：系統(tǒng)故障。

根據(jù)國標法規(guī)要求，Warning狀態(tài)中可能還包括Pre-Warning狀態(tài)。

L1的AEB/LCC等功能僅涉及橫向或縱向的單一控制，比如AEB主要負責緊急制動功能，會在FCW Warning后增加Brake的狀態(tài)。而ACC根據(jù)功能定義，會存在Speed Control、Distance Control、Override、Temp Stop等狀態(tài)。LCC則會存在Lane Keeping等狀態(tài)。由此可以看出，狀態(tài)機主要是為功能服務，圍繞核心功能而分解為不同狀態(tài)。

State Flow 邏輯系統(tǒng)建模教材 圖來源于筆者

由于L2級別的NOP功能需要同時對車輛進行橫向、縱向控制，主狀態(tài)中的橫向控制和縱向控制狀態(tài)會同時在運行，受限于ODD范圍還存在降級的要求，比如Safe Stop等狀態(tài)，邏輯相對復雜，對兼容性要求較高。

而泊車功能狀態(tài)機，當然會存在Searching（搜索車位）、Parking（泊車過程）、Suspend（泊車中斷）、Completed（泊車完成）等狀態(tài)。

5.事件定義

事件定義：識別系統(tǒng)中可能發(fā)生的事件，并為每個事件定義清晰的觸發(fā)條件。事件可以是傳感器輸入、用戶操作或其他系統(tǒng)內外的變化。

舉例說明，在很多系統(tǒng)中，OFF->Standby的觸發(fā)事件為“車輛的為IGN ON狀態(tài)”即車輛已經(jīng)上電，這個事件可以被認為是車輛狀態(tài)輸入。Stadnby->Active的觸發(fā)事件可能為“用戶點擊中控屏幕上的功能開啟按鍵”，這個事件可以被認為是用戶操作，等等。

如果系統(tǒng)中存在多個事件，并且它們可以同時發(fā)生，那么需要考慮事件的優(yōu)先級。事件優(yōu)先級決定了在多個事件同時觸發(fā)時，哪個事件會被優(yōu)先處理。例如，緊急制動事件可能具有比前方障礙物檢測預警事件具備更高的優(yōu)先級。

6.轉換規(guī)則

轉換規(guī)則：確定狀態(tài)之間的轉換規(guī)則，即在特定事件發(fā)生時如何從一個狀態(tài)轉換到另一個狀態(tài)。轉換規(guī)則應該考慮到系統(tǒng)的邏輯和約束條件。

當我們考慮轉換規(guī)則時，應當盡量全面而細致，確保狀態(tài)機的完備性，即確保狀態(tài)之間的所有可能轉換都已經(jīng)定義和覆蓋。缺乏完備性可能導致系統(tǒng)出現(xiàn)未定義的行為或狀態(tài)異常，從而使狀態(tài)機跳入死循環(huán)無法跳出bug。通過仔細分析系統(tǒng)需求和設計，期望確保所有可能的狀態(tài)轉換都被考慮和定義。

7.動作和行為

動作和行為：為每個狀態(tài)和狀態(tài)轉換定義相應的動作和行為。這些動作可以是執(zhí)行特定的功能、發(fā)送控制命令、更新狀態(tài)變量等。

當我們考慮狀態(tài)時，可以輔以該狀態(tài)下的工作描述。比如在APA自動泊車系統(tǒng)中，當我們進入Parking狀態(tài)后，狀態(tài)機應當負責與車輛控制系統(tǒng)進行握手，握手成功后由Control模塊進行控車。（此處僅為舉例，握手也可以由其他模塊完成）

8.錯誤處理

錯誤處理：考慮系統(tǒng)可能發(fā)生的錯誤和異常情況，并為其設計相應的處理機制。包括錯誤狀態(tài)的定義、錯誤處理流程以及恢復機制，一般統(tǒng)一由Error狀態(tài)進行處理和管理。

9.代碼生成與測試

狀態(tài)機是一個比較有歷史的東西，很多廠家為了它做了相關的開發(fā)，方便我們使用和測試?，F(xiàn)在有很多成熟的能夠自動生成狀態(tài)機代碼的工具，筆者以前也參與過相關項目，公司使用的是MATLAB/Simulink中的一個工具庫State Flow，還為此斥巨資30大洋買過一本書，簡單聊聊。

?

Stateflow是MATLAB/Simulink中的一個工具，用于建模和設計復雜的狀態(tài)機。它提供了一個圖形化界面，可以輕松地創(chuàng)建、編輯和調試狀態(tài)機模型，并自動生成相應的代碼。

Stateflow的主要功能包括以下幾個方面：

狀態(tài)機建模：Stateflow提供了豐富的建模元素，如狀態(tài)、轉換、事件、條件、動作等，可以直觀地描述系統(tǒng)的狀態(tài)和狀態(tài)之間的轉換關系。通過拖拽和連接這些建模元素，可以輕松地構建狀態(tài)機模型，并定義狀態(tài)之間的轉換條件和相應的動作。

事件驅動：Stateflow基于事件驅動的模型執(zhí)行方式。系統(tǒng)的狀態(tài)轉換是通過觸發(fā)事件來驅動的?？梢远x各種類型的事件，如輸入信號、定時器、條件判斷等。當滿足轉換條件時，Stateflow會相應地執(zhí)行轉換并觸發(fā)相應的動作。

動作執(zhí)行：在狀態(tài)轉換過程中，可以指定特定的動作或行為。這些動作可以是簡單的賦值操作、函數(shù)調用，或者是復雜的算法邏輯。Stateflow提供了豐富的動作語言和函數(shù)庫，可以靈活地定義狀態(tài)轉換過程中需要執(zhí)行的動作。

狀態(tài)檢測：Stateflow提供了靈活的狀態(tài)檢測機制，可以檢測系統(tǒng)處于的當前狀態(tài)，以及特定條件下的狀態(tài)轉換。這些檢測可以用于系統(tǒng)的監(jiān)控、故障檢測和安全保護等方面。

代碼生成：一旦完成狀態(tài)機的建模和設計，Stateflow可以自動生成相應的代碼，以便集成到實際的系統(tǒng)中。生成的代碼可以是C/C++代碼、MATLAB函數(shù)或Simulink模塊，可以與其他系統(tǒng)組件進行無縫集成。

State Flow開發(fā)界面 圖來源于網(wǎng)絡

開發(fā)界面如上圖所示，總的來說該軟件還是比較好用的，上手簡單，對于代碼能力要求較低，只要跑通流程后，后續(xù)開發(fā)和維護的難度較小。在調試方面，該軟件也非常出色，能夠拉出每個信號的值直接進行仿真驗證，有助于快速定位和解決問題。

剛畢業(yè)那陣幾個同屆的小姑娘在軟件組就是負責開發(fā)狀態(tài)機的，后來都做得有聲有色以至于現(xiàn)在都去了各大供應商卷了，畢竟這種技能一般還是在Tier 1零部件供應商那邊比較有用....

10.結語

以上是筆者總結的一些狀態(tài)機設計的要點，根據(jù)具體的應用場景和系統(tǒng)需求，可能會有其他特定的要求和注意事項。在設計狀態(tài)機時，重點是要充分理解系統(tǒng)的功能和目標，并與團隊成員進行密切合作，確保設計的狀態(tài)機能夠滿足系統(tǒng)的要求和預期效果。

在開發(fā)階段，設計也可以由簡到繁，先思考清楚有哪幾個狀態(tài)，確認每個狀態(tài)的跳轉條件應該包含哪些方面，然后根據(jù)項目進度不斷去迭代設計。筆者在項目中的設計狀態(tài)機時，在初版需要思考清楚系統(tǒng)邊界，但每個狀態(tài)的跳轉條件可能只有一個激活信號，或者車速信號；后續(xù)在開發(fā)不斷成熟的過程中，再逐步豐富設計，完善子狀態(tài)與跳轉條件，這樣能夠使開發(fā)既敏捷又穩(wěn)重。

審核編輯：湯梓紅