日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網

  • 公眾號

    • 汽車測試網

    • 在線課堂

    • 電車測試

首頁 > 汽車技術 > 正文

正確的自動駕駛“安全觀”應是什么樣子?

2022-01-16 16:18:29·  來源:九章智駕  
 
前言自動駕駛比人安全的論述主要是站在自動駕駛解決了由人類缺陷引發(fā)的事故的角度上,進行分析得出的結論,但論據(jù)并不全面。誠然,人類駕駛員有諸多缺陷,但其優(yōu)
前言
自動駕駛比人安全的論述主要是站在自動駕駛解決了由人類缺陷引發(fā)的事故的角度上,進行分析得出的結論,但論據(jù)并不全面。誠然,人類駕駛員有諸多缺陷,但其優(yōu)勢也是現(xiàn)有自動駕駛算法所無法比擬的,比如對行人及其他駕駛員面部表情、手勢的理解,這是自動駕駛短期或者永遠也無法達到的能力,而正是這樣的能力使得車輛在混雜的路口穿梭自如,避免了因不必要的交互風險而造成的交通事故。對比露出在水面的冰山(事故),我們更應關注那些被人類合理處理掉的沉在水面下的冰山(安全風險)。
自動駕駛并非一個傳統(tǒng)意義上可以無限試錯的“手機APP”,其安全基線就是要能替代人類處理路上千奇百怪的行駛風險。自動駕駛不是可以“任性甩鍋”的輔助駕駛功能,其開發(fā)商將從交通運輸工具提供商轉變?yōu)橹苯咏煌ㄊ鹿守熑握咭约罢w交通協(xié)調的責任者,既要考慮自車安全,又要兼顧整體交通的安全和效率。這種改變也使得原有的汽車和駕駛員管理相關部門的職能交織在一起,因此,自動駕駛就需要應對適應各方管理要求。
在美國交通部發(fā)布的自動駕駛安全愿景2.0中,就提到了13種企業(yè)需要聲明的安全要素,分別是:系統(tǒng)安全、ODD、OEDR、接管(最小風險狀態(tài))、驗證方法、HMI、車輛網絡安全、耐撞性、事故后行為、數(shù)據(jù)記錄、消費者教育與培訓及對國家、洲和地方法規(guī)的遵守。美國政府鼓勵自動駕駛公司按照這13個要素闡述企業(yè)的實際情況。雖然目前NHTSA網站中已有多達28家企業(yè)提交了安全報告,但報告內容相似度較高,內容也都比較空洞。
駕駛能力的最優(yōu)實踐是由低概率故障水平的車+有概率性錯誤的人類組成的駕駛水平?!耙揽科髽I(yè)最優(yōu)實踐提出自動駕駛安全要求”這條路貌似很難走通,自動駕駛的安全要求不僅是個研發(fā)技術水平問題,更是從社會接受度、法規(guī)、權責等角度綜合討論得出的對企業(yè)開發(fā)管理流程和質量的要求。
在聯(lián)合國WP29中,F(xiàn)RAV綜合各國的自動駕駛安全理念,總結了五大類安全領域:DDT性能要求、與用戶間交互安全、極端情形處理、系統(tǒng)失效處理、生命周期管理,并在最新的guideline文件中加入了多支柱法與五類安全領域的測試驗證關系的闡述。我國工信部發(fā)布的《智能網聯(lián)汽車生產企業(yè)及產品準入管理指南(試行)》(征求意見稿)則綜合了網絡安全、功能安全、預期功能安全、合理可預見和可避免、數(shù)據(jù)安全、OTA管理、ODC識別與應對,以及多支柱驗證方法等要求。
相關企業(yè)應該在多種已經形成基本共識的安全視角下分析自動駕駛帶來的收益,滿足多領域的安全管理規(guī)則,才能真正證明所開發(fā)的自動駕駛功能是安全的。本文將對各國現(xiàn)有的關于自動駕駛評價的基本共識和熱點,進行介紹和討論,以供讀者參考。本文主要圍繞運行在開放道路的自動駕駛功能展開,其他區(qū)域運行的自動駕駛功能亦可參照。
功能安全
功能安全廣泛存在于電子電器系統(tǒng)安全設計中,但落實到自動駕駛企業(yè)中卻往往僅保留了系統(tǒng)冗余的概念,這是理解上的重大偏頗。功能安全是一套為降低電子電氣安全相關系統(tǒng)故障引起的危害而開發(fā)的管理體系,并不是說企業(yè)做了冗余功能設計就可以滿足功能安全要求。自動駕駛系統(tǒng)也是一種安全相關系統(tǒng),因此企業(yè)應滿足汽車安全生命周期相關階段的功能安全活動流程要求,符合汽車安全完整性等級對應流程的規(guī)定,證明自動駕駛有能力處理故障導致的可避免的不合理風險。
類比人類駕駛員+車的組合體,企業(yè)應通過功能安全,回答在自動駕駛系統(tǒng)故障和車輛故障的情況下能夠將總體剩余風險(P=E*C*S)降低到現(xiàn)有車輛故障和人類駕駛員不可抗力條件(如突發(fā)心臟?。┫碌娘L險水平。
關于故障曝光率,以現(xiàn)階段工業(yè)水平,電子產品的可靠性還遠遠達不到人類的可靠性水平。由于人類身體原因(排除疲勞駕駛等不良行為)影響不能正常駕駛的事件是微乎其微的,而即便是發(fā)展了幾十年的電腦手機等產品,死機概率仍居高不下,更何況新興的“汽車駕駛機器人”。因此業(yè)界的普遍認知是通過對車輛結構進行冗余,提高自動駕駛+車輛的整體故障曝光率(E),以降低風險概率(P)。
關于可控度C是很難評判的。在不改變當前社會車輛的結構下,對于L4級自動駕駛系統(tǒng)故障曝光率(E)就需要達到人類駕駛員同等的“身體健康”水平,并且能夠合理有效處置車輛故障時情況(可控性C)。而對于L3級自動駕駛系統(tǒng)則較為復雜,因為L3級系統(tǒng)車上仍存在人類駕駛員,在設計分析過程中,需要對故障進行合理分級:何種只需要提醒,不需做DDT響應;何種可讓駕駛員接管,長時間不接管進入MRM;何種直接進入MRM并同時發(fā)出接管請求。宗旨是在自動駕駛與人類駕駛員協(xié)同時,不留存不合理風險給人類駕駛員及其他交通參與者,特別在極端情形下需要有能力處理。
網絡安全
網絡安全是指汽車的電子電氣系統(tǒng)、組件和功能處于被保護、不受網絡風險威脅的狀態(tài)。自動駕駛功能區(qū)別于人,會受到內外部的網絡攻擊,由此帶來安全隱患,這是區(qū)別于人類駕駛新增的安全風險,暫無明確可參考的接受準則。
企業(yè)應先參照ISO21434制定網絡安全防護機制,定期開展網絡安全風險識別、分析評估和管控網絡安全風險,及時消除重大網絡安全隱患;建立網絡安全監(jiān)測預警機制,采取監(jiān)測、記錄、分析網絡運行狀態(tài)、網絡安全事件等技術措施;企業(yè)應建立網絡安全應急響應機制,制定網絡安全事件應急預案,及時處置系統(tǒng)漏洞、網絡攻擊、網絡侵入等安全風險。
預期功能安全
預期功能安全最早是針對駕駛員誤用濫用而提出的開發(fā)流程要求。而自動駕駛功能,由于ODD的約束,理論上是不存在駕駛員誤用濫用問題。如何將其方法論應用于自動駕駛,筆者認為主要有兩點。
第一,預期功能安全適用于基于已知功能策略性不足造成的危害場景(非能力邊界問題),通過合理泛化,驅動研發(fā)開發(fā)新策略對危害場景進行全覆蓋。圖1第一個圈的開發(fā)模式就是目前行業(yè)常用的數(shù)據(jù)驅動型,也就是基于問題數(shù)據(jù)的回歸式開發(fā)。第二個圈則是在已知危害場景周圍進行泛化,測試新的功能,驗證其對已知問題的解決程度,并將更多未知問題變?yōu)橐阎獑栴},并進行下一輪迭代。這也就是常說的通過壓縮第三象限達到讓功能不足風險最小化的基本思想。
圖1 基于預期功能安全理念的開發(fā)測試迭代模式(圖片來自21448)
隨著迭代次數(shù)增加,該功能的剩余風險會呈現(xiàn)鋸齒狀的降低,當達到驗證目標,企業(yè)即可終止迭代過程,發(fā)布該功能。驗證目標也需要通過跟人類駕駛水平相比較進行確定。比如行人禮讓功能的驗證目標可以設定為人類駕駛員發(fā)生一次不合理禮讓行人的平均行駛里程。
第二,預期功能安全方法論與功能安全類似,同樣適用于自動駕駛算法缺陷的概率性問題的開發(fā)管控,其在功能安全的ECS概念基礎上再引入危害事件概率。舉例來講,對信號燈的感知無論多么優(yōu)秀的算法總會存在概率性的將紅燈識別為黃燈的風險,在這種已知風險下,自動駕駛如何能夠安全合規(guī)地通過路口,企業(yè)可通過采用V2X獲知前方信號燈相位、同時識別垂直車道信號燈狀態(tài)、通過相鄰車道車輛行駛狀態(tài)等多種策略保證在該場景下滿足安全目標,并且通過仿真、路測、運行監(jiān)控證明其對安全目標的符合性。在該實例下,安全目標我們可以設定為自動駕駛需要低于人類駕駛員闖紅燈的概率。同樣與人進行對比,企業(yè)通過預期功能安全,能夠將由算法缺陷概率性問題帶來的風險降低到人類因走神粗心等不確定錯誤行為導致風險的同等水平。
研發(fā)過程中企業(yè)會遇到無論如何開發(fā),問題的應對水平也到不到人類能力基準,那么對該問題就應通過ODD予以約束。比如,上述信號燈識別問題,若企業(yè)引入V2X信息后可以滿足預期功能安全要求,若無V2X信息則無法滿足,但企業(yè)不能期望所有路口均擁有V2X設施。因此V2X將作為ODD的要求元素之一,如果前方路口不能提供V2X的信號燈信息,L3級自動駕駛應在路口前提前提醒駕駛員接管。
針對已知危害事件,企業(yè)均需有相應的預期功能安全開發(fā)流程。針對未知危害場景,企業(yè)目前尚未有良好的研發(fā)和測試策略予以應對,需要建立完善的收集、評估、限制開啟、開發(fā)應對等響應機制,保障車輛不存在因預期功能的不足而導致的不合理風險。
上述兩種預期功能安全的應用領域,驗證目標均是以剩余風險概率來衡量。但預期功能安全并不能解決自動駕駛正常狀態(tài)下能力邊界的開發(fā)管控。
預期行為安全
對于“水下冰山”,我們也需要定義自動駕駛能力可接受的準則。目前行業(yè)共識是自動駕駛需要避免設計運行范圍內合理可預見且可避免的事故發(fā)生。這就與剩余風險的接受準則有明顯的差異:風險量化方式是概率,能力量化方式是參數(shù)范圍。
至于為什么約束是在“設計運行范圍內”而非“自動駕駛運行過程中”,我們會在下文的ODD的安全性要求中單獨討論。
合理可預見這是對“水面下”所有情形的語義級量化。這就引出了基于場景的自動駕駛能力評價,參考標準是ISO34502。其通過對道路實際情形的采集,統(tǒng)計得到邏輯場景的參數(shù)分布統(tǒng)計值,通過“小概率事件”概念找到合理可預見的參數(shù)范圍。在34502中,用廣泛意義上的切入場景為例,介紹了兩參數(shù)聯(lián)合分布區(qū)間統(tǒng)計方法,給出3倍標準差和5倍標準差作為參考合理可預見的量化。企業(yè)應用該標準時,需要進一步細化功能場景,避免功能場景寬泛,導致參數(shù)范圍過大,造成自動駕駛能力的過約束。從實際企業(yè)應用實踐來看,路上的切入行為可以進一步細分,如慢速切入,快速切入、慢速切入后制動、切入中止等行為。通過對每一種危險交互行為進行參數(shù)邊界刻畫,可以降低對自動駕駛能力的過約束程度,并降低測試驗證的成本。
圖2 慢速切入場景參數(shù)空間示例(圖片來自34502)
參考模型是注意力集中的一般駕駛員。一般駕駛員尚沒有明確定義。本文推薦是具備防御性駕駛能力、能夠靈活遵守交規(guī)、可采取多種規(guī)避風險手段、反應生理指標為大數(shù)據(jù)統(tǒng)計樣本均值的駕駛員。在UNECE R157(ALKS)法規(guī)中僅介紹了一般駕駛員的反應生理指標確定方法。但并未對前三個駕駛能力特點予以界定。
  • 防御性駕駛能力:當代社會防御性駕駛能力已經是一般駕駛員的普遍要求。人類駕駛員可對周圍環(huán)境進行提前10s的意圖預判,比如道路前方公交車站有靜止公交車開啟左轉燈,那么對于該情景的預判是,公交車將要起步向左進行變道,社會車輛人類駕駛員的正確動作是在公交車起步前,及時制動讓其變道,或者自車向左進行變道。
  • 能夠靈活遵守交規(guī):在交規(guī)中有層級關系,為避免事故發(fā)生或為特殊車輛讓行的情況下,人類駕駛員可以突破交規(guī)其他條款要求。
  • 可采取多種規(guī)避風險手段:在UNECE R157,駕駛員對于切入場景的應對措施為制動跟隨,但真實人類駕駛員規(guī)避手段還有鳴笛、燈語、變道等手段;這些手段均需要進行建模評價。
如果自動駕駛能夠在合理可預見的場景下,達到上述一般駕駛員避免風險的水平,則可判定滿足了預期行為安全要求。
交規(guī)符合性
提高交通流整體的協(xié)調性,才能有效提高道路的交通安全水平。協(xié)調性的提升需要長時間的法規(guī)、教育和社會引導。為保持協(xié)調性的穩(wěn)健提升,政府不可能,也不應該因為自動駕駛發(fā)展輕易改變既定且合理的交通規(guī)則。
自動駕駛功能的設計應考慮交通流行為模式,不可特立獨行。駕駛輔助功能往往僅關注車輛的橫縱向控制(包括那些高級駕駛輔助功能),但自動駕駛功能充當了駕駛員的角色,它需要能夠理解其他道路使用者的燈語、鳴笛、特殊行駛權力等,并做出相應的決策響應。原則上,作為道路交通行為的參與者,自動駕駛功能應遵循所運行區(qū)域的交規(guī)項。但以現(xiàn)有感知和規(guī)劃決策研發(fā)水平看,想實現(xiàn)這一原則具有非常大的挑戰(zhàn)性。舉例來說,交規(guī)要求對警車、救護車等應急車輛讓行。為實現(xiàn)該行為要求,自動駕駛功能首先應識別到周圍存在的應急車輛,并且能夠判斷其是否在執(zhí)行公務,之后判定自車是否有讓行的可能性。讓行的可能性的判定較為復雜,若自動駕駛車輛是阻礙應急車輛行駛的關鍵要素,那么自動駕駛車輛哪怕違反信號燈等要求,也要為應急車輛挪出通行空間。當完成讓行義務后,應立即停止其他違規(guī)行為。這一要求雖難,但卻可以實現(xiàn),尤其對于L4級來說,是必須要實現(xiàn)的。

有些交規(guī)要求則在短期內看,是無法實現(xiàn)的,比如按交警指揮行駛,這需要感知實現(xiàn)對非標準手勢的精準識別,如圖3所示。對于此類難以實現(xiàn)的要求,自動駕駛設計過程中,可通過ODD,與駕駛員和遠程協(xié)調員進行良好配合以滿足交規(guī)。比如,ODD中可將交警作為其中一項要素,當ADS識別到交警在其行駛范圍內,就發(fā)出接管請求,由駕駛員或遠程協(xié)調員接管控制。這樣既滿足了交規(guī)要求,又保證了行駛安全。

圖3復雜情形下交警非標準手勢指揮交通(圖片來自網絡)
有些交規(guī)項約束的行為無法清晰量化,如路口通行優(yōu)先權。實際路口交通事故,往往是由于博弈失敗造成的,交警通過通行優(yōu)先權能夠較為清晰判斷何方為主責。但對于自動駕駛工程師而言則很難把握到底何種程度的讓行,才算是從前因滿足了要求,而非后果。這需要不同部委協(xié)調將某些主觀條款進行客觀化,讓自動駕駛的開發(fā)及驗證需求明確?;诤蠊呐卸?,仍由實際運行結果進行定責,并由算法的優(yōu)劣和保險來綜合承擔博弈的風險。
自動駕駛即使完全遵守了交規(guī),也需合理應對在路上合理可預見的違規(guī)社會車輛。這點也是預期行為安全需要覆蓋的內容。

有人可能會說,如果按照嚴格交規(guī)行駛在路上,自動駕駛車輛無法在開放道路上行駛。誠然,部分交規(guī)條目設置較為嚴苛,比如安全距離、超車對于開啟轉向燈時長要求、不能連續(xù)變道等要求。這些要求在人類駕駛員開車過程中也并非嚴苛執(zhí)行,需要綜合周圍環(huán)境靈活執(zhí)行。比如一個設置不合理路口,如圖4所示,從A點進入主路的車輛需要在前方路口從B點左轉,其需要跨越多個直行道才可到達左轉道,按照不能連續(xù)變道的行為要求,那么車輛僅能用近乎泊車的操作方式行進,在交通擁堵的情況下,這種方式還可以接受,但如果此路段上沒有與主車交互的社會車輛,卻仍需蠕行前進,那么這條交規(guī)約束就顯得很不合理。這需要公安部門連同相關研究院所和自動駕駛企業(yè)進行科學分析,對道交法進行合理修正。
圖4交規(guī)與實際道路沖突示意(圖片來自青島交警)
ODD合理性
ODD的提出對駕駛自動化分級甚至自動駕駛產業(yè)發(fā)展有重要作用。
一是,ODD是區(qū)分L5與L3、L4的重要依據(jù),ODD的寬泛與否直接顯示了自動駕駛應對復雜環(huán)境的能力水平。
二是,ODD定義了跟用戶間交互的邊界。對于L2來說ODD無異于免責條款,只需要將不適用工況寫到ODD中,并提前對用戶進行告知,即可免除產品缺陷的責任,核心原因是L2及以下,人類駕駛員承擔了環(huán)境感知的主體責任。受此種觀念的影響,最初L3要求發(fā)出接管請求駕駛員就有責任義務去做接管動作。其思維模式還是從企業(yè)角度撇清由于設計不足導致的責任問題。但到達L3以上時,我們應該從用戶角度思考接管,用戶不應承擔設計不足的不合理風險。自動駕駛功能承擔了運行過程中所有的感知職能,包含對ODD的感知。正是因為重要,ODD的識別與響應才被工信部準入指南意見列為第一位要求。
UNECE R157中將ODD的識別與響應要求分為了兩大類事件:計劃事件和非計劃事件。針對計劃事件,系統(tǒng)需在該事件發(fā)生前留足充足的接管時間,即使在駕駛員不接管的情況下,也要通過MRM,避免計劃事件的發(fā)生。舉例來說,某功能不能實現(xiàn)匝道行駛,由于匝道入口是可以提前預知的,因此該功能在接近匝道入口時,應提前發(fā)出接管請求。針對非計劃事件,系統(tǒng)識別到該事件發(fā)生后應發(fā)出接管請求。舉例來說,某功能不能實現(xiàn)在能見度低的情況行駛,由于大霧天氣是不可以提前預知的,因此該功能在識別到能見度低于一定程度后,應提前發(fā)出接管請求,即非計劃事件已經發(fā)生,再進行ODD相關的響應動作。
在研的ISO 34503標準將采用分層的方式給出ODD描述的規(guī)范性話術。對于ODD的描述,筆者有三點建議。
首先,不將交通參與者作為ODD要素。在公開道路上,我們無法約束交通參與者的種類,即使在高速公路,仍然會有沿路行駛的道路養(yǎng)護工人、發(fā)生事故后去擺三角警示牌的駕駛員等出現(xiàn)。這類情況要由預期行為安全來覆蓋,不能通過ODD予以免責。
其次,ODD的要求應能符合要素的狀態(tài)存在變化的實際情況,合理設定“不要求、不允許/允許、計劃事件、非計劃事件”。比如圖5,路面鋪裝狀態(tài),在大家普遍認知下,該狀態(tài)可以以固定值寫在地圖文件中。但某段路面鋪裝狀態(tài)可能經過一個晚上就會發(fā)生變化,由鋪裝路面變成全部非鋪裝。本來自動駕駛功能在該路段是可以行駛的,由于該變化,在依靠地圖確認ODD的技術路線下,標注狀態(tài)未變更時,自動駕駛功能將會在此路段駛出ODD,此時應識別到超出ODD,并做出相應的響應,即非計劃事件發(fā)生。如果地圖標注信息更新,那么,ODD針對該路段的鋪裝狀態(tài)由不要求變?yōu)橛媱澥录?,之后車輛再行駛到此路段,就應按照計劃事件要求進行響應。
最后,計劃事件和非計劃事件的劃分是在不具有換道功能的前提下提出的。針對更廣泛的自動駕駛功能,我們需要綜合考慮通行空間,設定計劃事件和非計劃事件響應要求。還以鋪裝狀態(tài)為例(圖5),如果一段道路同向存在多條通行車道,若存在一條車道的狀態(tài)由鋪裝變?yōu)榉卿佈b,若自動駕駛功能能夠依靠地圖標標注,獲知可通行車道,在該路段提前變道駛入鋪裝車道,那么依然可以作為“不要求”,不需進行ODD邊界相關的響應。
圖5 地圖標記狀態(tài)與ODD響應要求示例
企業(yè)需要證明針對所有涉及ODD邊界的要素的感知手段可靠合理,及響應方式滿足計劃事件和非計劃事件要求,不留存不合理的風險,可采用預期功能安全的分析方式。
回到我們在預期行為安全部分留存的話題:為什么約束預期行為安全是在“設計運行范圍內”而非“自動駕駛運行過程中”。原因是,當遇到非計劃事件時,自動駕駛車輛已經超出了ODD,但仍處于自動駕駛運行過程中,此時安全風險激增,我們只能要求自動駕駛進入到MRM,無法要求其仍能實現(xiàn)正常狀態(tài)下的駕駛能力即預期行為安全。
人機交互安全
人機交互環(huán)節(jié)主要涉及駕駛員主動干預、HMI、接管請求、駕駛員狀態(tài)監(jiān)控等。國際的FRAV和國內的國標自動駕駛功能通用技術要求都針對各交互環(huán)節(jié)提出了技術要求,以保證安全。企業(yè)開發(fā)相關功能應證明滿足相關要求。本文不對相關要求進行復述,僅拋出幾個未解的原則性難題。
主動干預時,自動駕駛功能是否立即退出?筆者認為,短期內自動駕駛對風險的判斷能力難以達到老司機的水平,除非企業(yè)能通過其駕駛脫離數(shù)據(jù),證明由人干預導致碰撞的風險水平要比自動駕駛顯著高。如果這種水平真的已經達到了,公開數(shù)據(jù)也是一件對企業(yè)市場反響有極大利好的事情。但到目前為止,眾多企業(yè)對脫離數(shù)據(jù)進行高度封鎖。由此可知,人類的決策依然在大多情況是合理的。在該推斷下,如果發(fā)生主動干預,自動駕駛功能應將駕駛權立即交還給人類駕駛員。這樣也能夠避免人機共駕狀態(tài)下責任界定不清的問題,干預后責任應由人類駕駛員承擔。
接管請求發(fā)出后,駕駛員是否應被要求立即接管?在最初的SAE J3016中,L3級自動駕駛功能發(fā)出接管請求后,駕駛員有義務立即接管。但隨著行業(yè)發(fā)展,人們對自動駕駛理解日趨深入,再將接管中不合理的風險留給駕駛員就是企業(yè)不負責的表現(xiàn)。從“ODD合理性”一節(jié)中,我們可以看出,無論是非計劃事件還是計劃事件,只是要求發(fā)出接管請求,接管前風險的承擔者仍是企業(yè)。駕駛員接管后,責任邏輯和干預時一樣的,接管點后,自動駕駛立即退出,駕駛權和責任交還給駕駛員。如果接管請求發(fā)出的不合理,留存了人類駕駛員也無法處理的風險,則證明企業(yè)在設計之初就存在嚴重問題,駕駛員也不應被強加接管義務。人類駕駛員應出于流暢駕駛體驗和補充自動駕駛功能策略性不足(比如不能在V2X裝置的紅綠燈路口通行)等原因收到請求后自愿擇機接管,而非接管處理自動駕駛存留的不合理風險。
我國創(chuàng)新性地將駕駛員狀態(tài)作為自動駕駛激活與運行條件之一,提出了駕駛員狀態(tài)+ODD的ODC概念。那么,是否任何駕駛員均可以激活自動駕駛功能呢?筆者認為,需要經過專業(yè)培訓后的駕駛員,在熟練知曉自動駕駛功能的激活/接管/干預/MRM等基礎概念和操作后,才可激活自動駕駛功能。為實現(xiàn)這一要求,企業(yè)在銷售車輛時,需對駕駛員進行售后培訓。自動駕駛功能的駕駛員狀態(tài)監(jiān)控也不僅僅監(jiān)控駕駛員的疲勞狀態(tài),還需確認當前駕駛員是否經過培訓,是否擁有開啟功能的權限。
另外,自動駕駛功能有義務提供用戶接管或者干預的所有駕駛條件,包括合適的照明范圍與強度、干凈的擋風玻璃、合適的后視鏡角度等。并且,能在此基礎之上,提供接管和干預時機的安全風險提示,這是在用戶駕駛安全性水平上的附加功能,其收益與預警功能的輔助駕駛相同。
通過上述問題的討論可以看出,合理組織人機交互,讓駕駛權責清晰,是保證安全的先決條件。行業(yè)仍需進行廣泛討論并驗證合理的人機交互方式,為功能標準制定和法規(guī)完善做出貢獻。
事故相關功能要求
從眾多駕駛輔助事故中我們可以看到自動駕駛運行數(shù)據(jù)和事故數(shù)據(jù)記錄的重要性,對于未來自動駕駛更是如此。交警需要基于該數(shù)據(jù)判定事故與違規(guī)責任承擔方,市場監(jiān)督管理局需要基于該數(shù)據(jù)判定自動駕駛是否存在質量缺陷,工信部需要據(jù)此后置性評判企業(yè)準備準入材料的真實性。
企業(yè)需要按照DSSAD標準和GB 39732—2020 汽車事件數(shù)據(jù)記錄系統(tǒng)記錄下相關內容,并且應滿足數(shù)據(jù)存儲測試要求,包括:數(shù)據(jù)觸發(fā)條件試驗、數(shù)據(jù)正確性試驗、數(shù)據(jù)存儲能力試驗、存儲覆蓋試驗、斷電存儲試驗等。存儲的數(shù)據(jù)應能被正確讀取,且應能防止數(shù)據(jù)被篡改、偽造或惡意刪除。
按照現(xiàn)行交規(guī)要求,在事故發(fā)生后,應停車對受傷人員進行施救。自動駕駛功能應能發(fā)現(xiàn)自車發(fā)生了事故,并在自車情況允許的條件下,控制停車,保留事故現(xiàn)場。如若不能實現(xiàn)該能力,則會帶來肇事逃逸的嚴重后果。
參考美國耐撞性安全要素,自動駕駛功能不應降低現(xiàn)有主被動安全標準約束下的安全性水平。如果制造商不改變現(xiàn)有駕駛艙布局、主動安全參數(shù)設置,這點要求不難達到。但現(xiàn)有L4方案提供商提出了拿掉方向盤或者調轉座椅的方向等概念,這就需要重新對氣囊安裝位置、起爆時間進行標定。企業(yè)如果想做到高于此基準要求,那么就要將自動駕駛功能、主被動安全聯(lián)合開發(fā),精準降低碰撞損傷程度。
OTA升級管理
車輛全生命周期運行的自動駕駛功能原則上應與最初準入采用的版本一致。但考慮到未知不安全的缺陷需要長時間驗證,社會接受通過軟件升級解決未知不安全問題。但企業(yè)也需要擔起升級管理的規(guī)范化問題。
企業(yè)應制定軟件升級從設計、開發(fā)、測試、發(fā)布、推送等過程的標準規(guī)范,并遵照執(zhí)行。企業(yè)應對軟件升級可能影響的功能和性能進行測試和驗證,確保符合相關法規(guī)、標準和技術要求。具體要求可參看WP29中關于OTA的討論文件。
生命周期管理
車輛并非手機,電腦,它要求在其全生命周期中,性能應保持在相對穩(wěn)定且一致的狀態(tài)。傳統(tǒng)車輛在長時間運行后,制動系統(tǒng)、懸架系統(tǒng)、驅動系統(tǒng)等參數(shù)均會發(fā)生小幅度的變化,但仍能通過合理養(yǎng)護,保證通過年檢要求。
自動駕駛功能仍然搭載在傳統(tǒng)車輛結構之上,應能夠適應這些參數(shù)的變化,并保持對上述各項安全要求的符合性。適應的方式可以是能夠識別到參數(shù)的變化,并對自動駕駛功能進行自適應調整,或者是在自動駕駛功能設計之初就對各項要求增加一定的安全系數(shù),亦或者是在參數(shù)變化到一定程度,提醒用戶進行維修養(yǎng)護。
另外,自動駕駛功能在車輛上安裝了獨屬于自己的部件。企業(yè)在開發(fā)過程中也需要考慮部件老化、疲勞、標定參數(shù)變更等影響。
測試驗證方法
我國汽車領域標準制定方式往往是將一個新功能的性能要求和對應試驗方法寫在同一個標準中,這方便了企業(yè)研發(fā)和第三方測試實施。但自動駕駛功能要求涉及了太多方面,如果將所有試驗方法都寫出來并不現(xiàn)實。國內借鑒多支柱法理念,分別制定了仿真(起草中)、封閉場地(發(fā)布)、實際道路(征求意見)三項標準。
封閉場地國標的思路與傳統(tǒng)ADAS標準一致,挑選了典型功能和危險場景作為測試項,很難約束自動駕駛的安全基準。實際道路測試標準基于小概率事件在較短試驗時長中不應發(fā)生的假設,選取覆蓋典型要素的試驗道路,進行72小時自動駕駛功能“連續(xù)”測試,通過的核心要求為無故障、無干預、無事故、無違規(guī)、無明顯不合理行為。該標準確定了一個合理門檻,但也只能供第三方使用。
自動駕駛開發(fā)企業(yè)在量產時會聲明滿足了上述十個方面安全要求,但各方面仍需要科學的證明方式,企業(yè)需說明其保證達到要求所采用的測試評價方法與工具以及最終評價結論,比如功能安全需要做FEMA和故障注入,預期功能安全需要做HARA和基于數(shù)據(jù)驅動的問題全覆蓋測試,預期行為安全需要進行基于場景和駕駛員的能力比對測試等。如果自動駕駛引發(fā)了上述要求相關的事故,政府也需要企業(yè)依據(jù)聲明的測試評價方法與工具,提供更詳細的自證明材料證明研發(fā)測試的充分性與真實性。
行業(yè)需要針對上述安全要求(包括國標通用技術要求的每一條)形成能滿足測試充分性的最優(yōu)實踐方法,使得各項功能、性能評價規(guī)范在同一對話緯度上,也可為各部委的準入提供格式一致的證明材料。
總結
企業(yè)需要認真思考,務實實踐上述十點安全要求,遵從并高于相關標準法規(guī),從功能實現(xiàn)、開發(fā)流程等多個維度,腳踏實地提升自動駕駛能力,保證自動駕駛安全。
本文重點闡述了可造成事故風險的安全話題。自動駕駛還需依法保護個人數(shù)據(jù)安全,在此,就不繼續(xù)討論了。

上述各點內容介紹并不全面,大家可自行閱讀本文參考文獻,找到每一點更細致的要求。本文僅為打破多年來行業(yè)空談“自動駕駛比人安全”的陳舊理念,促進行業(yè)樹立正確的自動駕駛安全觀,實事求是提升自動駕駛安全能力。文中觀點意在拋磚引玉,并非定論,如有不妥,歡迎同行多交流指正。
安全類別
核心內涵
企業(yè)應對方法
待解決問題
相關管理部門
功能安全
管控由硬件或者軟件故障導致的風險
GB/T 34590
風險可接受程度量化
公安、質檢
預期功能安全
管控算法缺陷的概率性風險
ISO 21448
缺乏算法缺陷普遍認知風險可接受程度量化
工信、質檢
預期行為安全
管控應對交互行為的風險
ISO 34502
缺乏對交互行為系統(tǒng)梳理缺乏多種人類駕駛模型研究
工信、質檢
網絡安全
避免網絡攻擊造成人身財產損失
ISO21434
--
國安、工信、公安
交規(guī)符合性
與人類駕駛車輛同規(guī)同權
道交法
修改不合理的交規(guī)路權等法規(guī)需要量化,哪些范圍屬于合理可接受的博弈
公安,交通部,工信部
ODD合理性
ODD邊界需要自動駕駛功能識別與應對,保證不將不合理風險留給用戶
ISO 34503
ODD邊界處理的合理性判斷原則
工信部、交通部、公安、質檢
人機交互安全
給用戶良好的使用體驗
ALKS
干預后駕駛權交接接管是否是義務駕駛員激活權限確認
公安、保險
事故相關功能要求
能確定責任,能識別事故并停車,不降低耐撞性
待增補
工信部,公安
OTA升級管理
修復未知不安全的缺陷,不對其他安全要求闡述影響
討論中的OTA國標
質檢,公安
生命周期管理
能夠合理應對系統(tǒng)參數(shù)變化
待增補
公安
數(shù)據(jù)安全
合法合規(guī)使用數(shù)據(jù)
數(shù)據(jù)安全法網絡安全法個人信息保護法
國安、工信、公安
參考文獻
1. 自動駕駛汽車交通安全白皮書
2. AUTOMATED DRIVING SYSTEMS 2.0: A VISION FOR SAFETY
3. 《智能網聯(lián)汽車生產企業(yè)及產品準入管理指南(試行)》(征求意見稿)
4. GB/T 34590 道路車輛 功能安全
5. ISO 21434 Road vehicles — cybersecurity engineering
6. ISO/DIS 21448 Road vehicles — Safety of the intended functionality
7. ISO/DIS 34502 Road vehicles - Scenario-based safety evaluation framework for Automated Driving Systems
8. ISO/AWI 34503 Road vehicles — Taxonomy for operational design domain for automated driving systems
9. 中華人民共和國道路交通安全法
10. Functional Requirements for Automated and Autonomous Vehicles (FRAV). https://wiki.unece.org/pages/viewpage.action?pageId=87622236
11. UNECE R157 Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to Automated Lane Keeping System
12. SAE J3016 Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems
13. GB/T XXXX 智能網聯(lián)汽車 自動駕駛功能通用技術要求
14. DSSAD / EDR. https://wiki.unece.org/pages/viewpage.actiopageId=87621709
15. GB 39732—2020 汽車事件數(shù)據(jù)記錄系統(tǒng)
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25