Autoware自动驾驶系统中的AEB模块崩溃问题分析与解决

问题背景

在Autoware自动驾驶系统的每周场景测试中，开发团队发现控制节点容器频繁崩溃，导致测试无法正常完成。通过日志分析，发现崩溃发生在自主紧急制动(AEB)模块中，具体表现为段错误(SIGSEGV)。

问题现象

当运行Autoware的场景测试时，控制容器会意外终止，错误日志显示：

PC: @                0x0 (unknown)
*** SIGSEGV (@0x0) received by PID 154061 (TID 0x7f0f06ffd640) from PID 0

调用栈指向AEB模块的IMU数据处理函数和碰撞检测函数。

技术分析

根本原因

经过深入排查，发现问题源于最近合并的一个代码变更(PR #6997)，该变更影响了AEB模块中时间戳的处理逻辑。具体表现为：

1. 当AEB模块尝试处理IMU数据时，会创建一个时间对象(rclcpp::Time)
2. 由于传入的时间数据可能为空或无效，导致构造时间对象时发生空指针访问
3. 这种空指针访问触发了段错误，进而导致整个控制容器崩溃

影响范围

该问题主要影响以下场景：

• 使用场景模拟器进行测试时
• 系统启动初期，当传感器数据尚未完全就绪时
• 进行紧急制动功能测试时

解决方案

开发团队采取了以下解决措施：

1. 回退了引起问题的代码变更(PR #6997)
2. 在AEB模块中添加了对时间数据的有效性检查
3. 完善了错误处理机制，确保在数据不完整时能够优雅降级而非崩溃

经验总结

这个案例为我们提供了几个重要的经验教训：

1. 边界条件处理：自动驾驶系统必须妥善处理传感器数据不完整或无效的情况
2. 回归测试：核心安全功能(如AEB)的修改需要更严格的测试流程
3. 错误隔离：关键功能模块应该具备更好的错误隔离能力，避免单个模块崩溃影响整个系统

后续改进

基于此次问题，Autoware团队计划：

1. 增强单元测试对边界条件的覆盖
2. 引入更完善的错误监控和恢复机制
3. 对核心安全模块进行代码审查，确保鲁棒性

这个问题的高效解决展现了Autoware开发团队对系统稳定性的高度重视，以及快速响应和解决问题的能力，为自动驾驶系统的可靠性提供了有力保障。