/導讀/
對于自動駕駛車輛來說,安全的重要性毋庸置疑,為了恰當評價進而確定自動駕駛車輛的安全性,各國家、公司群組織已經開始努力開發一個自動駕駛安全架構或至少部分架構,以指導ADS的安全測試和部署。本文對部分已公開的自動駕駛安全架構進行彙總介紹,歡迎大家留言補充。
RAND公司《衡量自動車輛安全:建構架構》
蘭德公司(RAND)2018年釋出了一份自動駕駛安全衡量架構的報告Measuring Automated Vehicle Safety: Forging a Framework,提出了一個用于測量配備ADS自動駕駛系統的車輛安全性的部分架構。在開發該架構時,考慮了如何定義ADS安全性、如何測量ADS安全性以及如何傳達對AV的了解和了解。報告旨在提供一個架構,讨論如何以技術和公司中立的方式衡量安全性。
呈現了在不同環境(模拟、封閉場地、公共道路,有、無安全駕駛員)中針對不同階段(開發、驗證和部署)可以采用的安全衡量方法,
在報告中明确了自動駕駛汽車生命周期中的三個階段——開發、驗證和投放,并将碰撞事故次數、交通違規次數、和“公路駕駛技能”(roadmanship)作為評定自動駕駛安全性的名額。
采用 Haddon 矩陣對碰撞因素進行分析,以便進行測量與幹預。
測量架構聚焦于系統和生态系統級
Integrated Safety Framework
MobileEye 公司RSS責任敏感安全模型
MobileEye提出了一個名為RSS責任敏感安全(Responsibility Sensitive Safety)的架構,旨在解決多智能體安全問題(由其定義為在給定環境中與多個獨立道路使用者的安全操作和互動)。RSS是一個多智能體安全的數學模型,希望通過建立數學公式的手段,來使得自動駕駛汽車有能力判斷自身的安全狀态,進而盡可能避免事故的發生。它結合了駕駛的常識規則,同時與其他道路使用者進行互動,以最大限度地減少造成碰撞的可能性,同時在正常的行為預期範圍内操作。該方法是根據“路權”建構的規則、遮擋物體避免以及縱向和橫向的安全距離保持。MobileEye稱讨論中涵蓋了特殊交通條件,包括交通燈交叉口、非結構化道路以及涉及行人(或其他道路使用者)的碰撞。
從本質上來看,RSS 模型是一整套數學公式,将人類對于安全駕駛的理念和概念轉化成為數學公式和計算方式,用來界定什麼樣的駕駛行為才是安全的駕駛。RSS 模型希望把人類駕駛員的本能變化成一套嚴謹的公式算法,來指導 AI 的決策算法在特定場景下做出合理安全的判斷。
RSS描述的不是駕駛政策,而是對駕駛政策的結果進行安全判定。另一方面,RSS在定義不同場景下的危險情況、正确反應、事故責任劃分中,是基于人類駕駛員的常識,而非僅僅法律法規。
RSS模型要達到的目标具有兩重含義:
自動駕駛汽車本身不會導緻事故(卷入事故和導緻事故是完全不同的概念,自動駕駛汽車可能卷入事故,但它不是事故的責任方)
自動駕駛汽車應該在其它車輛發生錯誤時做出正确反應
在實際建立模型的時候,RSS 模型通過四條形式化的規則,來確定車輛在自動駕駛狀态下能夠保證安全以及避免成為制造車禍的一方:
和前車保持安全距離;
給側邊的人或車留下足夠的反應時間和空間;
在堵車的時候更謹慎;
要合理使用路權(路權的使用應優先考慮安全)。
Mobileye 在建立 RSS 模型的時候,則是把 RSS 定位在決策之後、執行之前。
如果決策算法在某個狀态下做出了刹車的判斷,那麼這個判斷就會輸入到 RSS 模型中,得出刹車操作是否能在目前狀況下保證車輛的安全。如果結果顯示安全,那麼這個指令會直接執行;如果結果顯示有危險,那麼 RSS 模型會把這個指令傳回到決策算法,進行二次決策直到得到最安全的結果。
安全距離是指在最惡劣的情況下仍可以避免碰撞的距離。
Mobileye 釋出的官方報告中例舉了 37 種可能發生事故的場景,包括了車輛并行狀态的安全間距、安全并線的間距、避免追尾的最小安全距離、路邊有行人闖入機動車道時的安全車速等等。這 37 種狀況基本覆寫了 99.4%的車禍可能性,也說明 RSS 模型目前已經達到了一個相當健全可用的狀态。
NVIDIA公司SFF安全架構
NVIDIA2019年3月釋出了一種稱為“安全力場(SFF:Safety Force Field)”的架構,該架構作為計算方法,用于通過模拟評估ADS是否成功監控其周圍環境且未采取不可接受的行動。SFF旨在避免撞車,其目的是通過制定一項駕駛政策來實作這一目标,該政策分析周圍環境并預測其他道路使用者的行動。根據這一分析,系統将尋求确定潛在行動,以避免造成或促成可能導緻交通事故的不安全條件崩潰。
安全力場會确定一組可接受的動作來保護目前車輛以及道路上的其他車輛。這些動作并不會造成、加劇或導緻危險情形的出現,此外還會包括用于緩解危險情形的必要措施。NVIDIA DRIVE 平台使用車輛傳感器資料來支援基于實體原理的SFF逐幀計算。
自動駕駛安全第一至12條原則
2019年7月, “自動駕駛安全第一” 11家企業聯盟釋出了一種描述ADS安全性設計、驗證和确認(V&V)的方法。旨在解決L3和更進階别的自動駕駛問題,并可作為檢查适用于ADS的V&V方法的有用起點。為指導安全工作,該檔案确定的共12條原則包括:安全操作;ODD确認;交通行為;使用者責任;車輛接管請求;車輛操作員與自動駕駛系統的互相依賴;自動化效果;安全評估;資料記錄;安全和被動安全;交通行為;安全層等。
Aurora自動駕駛安全案例架構
Aurora于2021年8月推出了第一個适用于自動駕駛卡車和乘用車的安全案例架構(Safety Case Framework)初始版本。
Aurora使用基于安全案例的方法,評估自動駕駛車輛何時能夠安全地在公共道路上行駛,并評估它們是否不會對機動車安全造成不合理的風險。
Aurora安全案例架構評估了車輛的整個開發生命周期,夠加快部署的速度,并确定何時可以接受自動駕駛車輛在公共道路上的安全性。
基于安全案例的方法以合乎邏輯的方式将這證據與主張兩個基本概念結合在一起,以有效地展示為确定車輛在公共道路上安全行駛所做的工作。
Aurora的安全案例架構覆寫了對評估公共道路上自動駕駛車輛的安全開發、測試和運作至關重要的不同要素。該架構的設計涵蓋了與車輛操作員的測試,也包括沒有操作員的測試。同時,它是為适應環境而建構的,是以可以根據不同的場景和環境對其進行定制。能夠将安全案例聲明改編為适用于不同的車輛平台、有操作員的車輛、試車跑道上的車輛以及公共道路上的車輛。
安全案例架構旨在适應不同的車輛、場景和環境。是以,将有多個單獨的安全案例,涵蓋各種配置、平台和操作領域,而不是涵蓋自動駕駛車輛所有用途的單一安全案例。
最進階别目标
Aurora安全案例架構圍繞着“我們的自動駕駛車輛在公共道路上運作是可接受的安全性”這一最進階别的聲明展開,并将這一主張分解為五個安全原則或子原則。
G1:精通/Proficient:自動駕駛車輛在正常運作期間具備可接受的安全。
G2:故障安全/Fail-safe:自動駕駛車輛在出現故障和失效時具備可接受的安全。
G3:不斷改進/Continuously improving:對構成不合理安全風險的所有已識别潛在安全問題進行評估,并采取适當的糾正和預防措施予以解決。
G4:有彈性的/Resilient:在可合理預見的誤用和不可避免的事件情況下,自動駕駛車輛具備可接受的安全。
G5:值得信賴的/Trustworthy:自動駕駛企業應是值得信賴的。
頂級聲明是根據涵蓋安全操作範圍的安全原則定義的,使用廣度優先、深度第二的方法分解每個安全原則。每個安全原則都被分解為中間論點、上下文和政策的層次,将每個安全論點作為邏輯分解進行追蹤。
安全原則分解示例
Waymo 系統安全計劃 SSP
Waymo在制定其安全計劃時借鑒了航空航天、汽車、國防等行業中的最佳安全實踐原則。Waymo的安全體系一共有「五個次元」:
「行為安全」:指車輛在道路上的行駛決策和行為
「功能安全」:確定車輛在系統存故障或失效時的安全操控,這意味着要建立備份系統和備援機制來應對車輛的意外狀況。
「碰撞安全」:車輛通過各種措施保護車内乘客的能力,借助結構性設計來保護車内人員,提供座椅限制裝置及安全氣囊,減輕車内人員的傷亡程度。
「操作安全」:人機互動,為消費者帶來自動駕駛車輛所提供的安全而舒适的體驗。
「非碰撞安全」:電子器件與人類的實體隔離,提供身體上的安全防護。
Waymo在開發過程裡利用了常用的風險評估方法,如:預先危險性分析(PHA)、故障樹(FTA),設計失效模式及後果分析(DFMEA)等,也基于系統架構要求,針對軟體在公共道路、閉合環境及模拟駕駛情景内進行了大量的測試。這些鋪墊工作為每一個安全課題提供了大量的研究資料。此外,Waymo也采用了全面的安全實踐方法來提升系統的可靠性。
NHTSA曾就自動駕駛提出了28項核心競争力清單,自動駕駛系統需要針對這28項技能證明自己的“行為能力”。Waymo在此基礎上,從深度和廣度 上都拓展了這個要求(增加了19項核心能力),建立了具有挑戰性的測試内容。
VSSF車輛安全與安防架構(RDW)
荷蘭交通部車輛認證中心RDW提出了自動駕駛車輛安全架構提議,目标是實作自動駕駛車輛認證流程标準化。
美國AV 3.0提出的12項安全要素
美國AV 3.0中提出了自動駕駛車輛開發、開放道路測試、應用相關最主要的安全要素,包括:系統安全、ODD(Operational Design Domain)、OEDR功能、Fallback(Minimal Risk Condition)、網絡安全、資料記錄、碰撞安全性(成員保護)、碰撞後處置(Post Crash)、自動駕駛車輛行為、驗證與測試、人機界面(HMI)、使用者教育與教育訓練、聯邦和當地法規。
車輛性能指南架構/Framework for Vehicle Performance Guidance
UL 4600《自動駕駛産品安全評估标準》
2020年4月,非營利标準組織Underwriters Laboratories(簡稱UL)宣布UL 4600《自動駕駛産品安全評估标準》正式釋出,這是UL針對無人駕駛車輛而開發的首個安全評估标準,屬于自願性行業标準草案。
與ISO 26262和21448一樣,UL 4600是一個以過程為中心的标準,旨在供制造商在開發AV時使用。
标準範圍包括評估自動駕駛産品的安全原則與流程。此标準基于設計流程、測試、工具資格、自主性驗證、資料完整性以及針對非駕駛員的人機互動等因素,涵蓋相應風險分析與安全相關方面等若幹主題,并要求提供安全論證。
标準規定采用安全案例方法來確定ADS的安全性。已釋出的安全案例方法包括三個主要要素:目标、論證和證據;每個要素都說明支援前一要素,以建構總體安全案例。
ISO 2626-功能安全
ISO 26262描述了功能安全評估過程的檔案,以幫助開發安全相關電氣和/或電子(E/E)系統。該架構旨在供制造商用于将功能安全概念內建到公司特定的開發架構中。一些要求具有明确的技術重點,以将功能安全實施到産品中;其他要求涉及開發過程本身,是以可以視為過程要求證明組織在功能安全方面的能力。
ISO 26262解決了由電氣和電子故障引起的已識别的不合理安全風險。該架構旨在應用于安全相關系統,包括安裝在生産道路車輛(不包括輕便機車)中的一個或多個E/E系統。ISO 26262旨在避免與電子系統相關的故障包括與軟體程式設計、間歇性電子硬體故障和電磁幹擾相關的故障,并減輕運作期間潛在裝置故障的影響。除了解決故障條件外,還包括危險分析和風險評估規定、設計、驗證和确認(V&V)要求和安全管理指南。
ISO 26262旨在確定系統能夠充分緩解已識别危險的故障風險。所需的緩解量取決于潛在損失事件的嚴重程度、危險的操作暴露以及故障發生時系統的人類駕駛員可控性。這些因素結合在一起構成汽車安全完整性等級(ASIL)。ASIL确定應采用哪些技術和過程緩解措施,包括必須執行的指定設計和分析任務。
ISO 21448-SOTIF預期功能安全
ADS的安全性還與其他因素有關,如可想象的人為誤用功能、傳感器或系統的性能限制以及車輛環境的意外變化。
SOTIF(預期功能的安全性)試圖防止預期功能不足或可合理預見的人員誤用。即使不存在裝置故障,也可能無法正常運作。SOTIF不适用于ISO 26262系列涵蓋的故障或直接由系統技術。相反,SOTIF與ISO 26262協同工作,以幫助制造商評估和緩解開發過程中的各種風險,ISO 26262側重于降低故障風險,ISO 21448側重于緩解可預見的系統誤用。
ISO 21448旨在應用于預期功能,其中适當的态勢感覺對安全至關重要,并且該态勢感覺源自複雜的傳感器和處理算法;特别是緊急幹預系統(如主動安全制動系統)和進階駕駛員輔助系統。根據SAE國際标準,該标準可用于更進階别的自動化,但可能需要采取其他措施。
ISO 21448主要考慮緩解因意外操作條件(由于傳感器和算法的限制,預期功能可能不會始終在此類條件下工作)和需求差距(缺乏對實際預期功能的完整描述)而産生的風險。
美國NHTSA 的AV安全架構開發
2020年12月,美國國家公路交通安全管理局(NHTSA)通過ANPRM形式面向社會征集對自動駕駛安全架構的建議。
以功能安全、SOTIF和UL 4600的描述為背景,NHTSA正在考慮如何在制定關于ADS的新架構的背景下,利用這些過程标準,無論是基于法規還是提供指導。
該機構預計安全架構将包括管理風險的過程和工程措施。過程措施(例如,在車輛設計過程中分析、按嚴重程度和頻率分類以及減少潛在風險源的一般做法)可能包括穩健的安全保證和功能安全計劃。工程措施(例如,性能名額、門檻值和測試程式)将尋求提供證明ADS以高水準熟練程度執行其預期功能的感覺、感覺、規劃和控制(即執行)的方法。
NHTSA的一個關鍵研究方向專注于ADS安全性能,并尋求确定方法、名額以及評估配備ADS的車輛執行正常駕駛任務和防碰撞能力的工具。此類評估包括與系統規定的ODD和對象及OEDR事件檢測與響應能力相關的系統性能和行為以及在遇到ODD以外的條件時的故障安全能力。
第二個進階研究重點是功能安全和ADS子系統性能。
第三個研究領域涉及車輛和系統(包括ADS)的網絡安全。
最後,NHTSA還研究了配備ADS的車輛可能存在的人為因素問題。
雖然感覺、判斷、規劃與控制四種核心安全功能功能對于ADS是必要的,但它們不一定足以確定ADS的安全,這還取決于系統的各種其他功能和能力,以及該系統如何與配備ADS的車輛内部和周圍的人進行互動。
例如,四個功能中未包含的一個安全相關方面是車輛在駕駛環境中與車輛乘員、其他車輛和人員、尤其是易受傷害的道路使用者進行通信的能力。ADS能夠準确、可靠地檢測車輛中自身系統或其他系統的故障,同時確定為響應任何檢測到的問題或故障而開發的操作模式之間的安全過渡(例如,故障保護或跛行回家模式)是可能影響ADS預期性能的另一個重要考慮因素。
可能影響ADS以安全可靠的方式執行其預期計劃能力的其他方面包括:
在出現故障時識别降低的系統性能和/或 ODD;
在降低的系統限制下以降級模式運作;
執行将乘客或貨物從起點運送至所選目的地的基本任務;
識别來自優先響應者的通信并作出适當反應,包括消防、EMS 和執法;
接收、裝載和跟蹤 OTA 軟體更新;
執行系統維護和校準;
解決與安全相關的網絡安全風險;
系統備援。
NHTSA緻力于開發安全性能模型和名額的一個關鍵例子是2017年釋出的ISM瞬時安全名額。ISM瞬時安全名額計算了受試車輛和周圍交通中的其他道路使用者在給定一組可能行動時在未來預設的有限時間内可能采取的實體軌迹(例如,方向盤角度、制動/油門),并計算可能導緻潛在多因素碰撞的軌迹組合。由軌迹的數量和/或比例(以及導緻該軌迹的動作的嚴重性/機率)确定可能導緻碰撞名額,作為評估給定駕駛狀态安全風險的工具。
更新的方法是MPrISM模型預測瞬時安全度量(:Model Predictive Instantaneous Safety Metric),建立在ISM概念的基礎上并修改其評估方法。MPrISM考慮受試車輛的完全可控動作範圍,并在受試車輛做出最佳響應選擇和現場其他參與者做出最差選擇的情況下計算碰撞影響。
ISM和MPrISM的優點之一是它們的邏輯推理和直接分析結構。然而ISM在實際應用中的一個挑戰是有效利用所需的巨大計算複雜性。MPrISM試圖通過新的度量開發工作解決這一難題,NHTSA将繼續研究降低複雜性的方法。
UNECE WP29《自動駕駛汽車架構檔案》
2019年6月,聯合國WP.29會議審議通過了中國、歐盟、日本和美國共同提出的《自動駕駛汽車架構檔案》。
在系統功能安全方面,要求“車輛制造廠商應該以設計出免于不合理安全風險的自動駕駛系統和保證負荷道路交通法規與本檔案列出的原則為目标,根據系統工程方法呈現一個健全的設計和驗證過程。設計和驗證方法應該包括對以下方面的威脅分析和安全風險評估:自動駕駛系統(ADS),目标事件探測與響應(OEDR),包含上述内容的整車設計,以及更廣泛的交通生态系統(如适用)。設計和驗證方法應展示出自動駕駛汽車正常運作期間的預期行為能力,避免碰撞的性能以及後備支援的性能,試驗方法可組合模拟測試、場地測試和實際道路測試”。
在資訊安全方面,要求“基于已建立的網絡車輛實體系統最佳實踐方案,自動駕駛汽車應免受網絡攻擊。車輛制造商應表明如何将車輛資訊安全考慮整合到自動駕駛系統中,這些考慮包括所有的行動、變化、設計選擇、分析和相關測試;以及確定資料在文檔版本控制環境中是可追溯的”。在軟體更新方面,“車輛制造商應確定系統更新可根據需要、以安全的方式進行,并可根據需要應用于售後修理和修改”。
在事件資料記錄(EDR)和資料存儲系統(DSSAD)方面,要求“自動駕駛汽車應具有采集和記錄與系統狀态、故障發生、降級或失效相關必要資料的功能,采用一種可用來确定任何碰撞發生的原因、自動駕駛系統狀态以及駕駛員狀态的方式”。對于車輛維護和檢查,要求“應利用自動駕駛汽車維護和檢查等相關措施,確定在用車輛的安全。此外,鼓勵車輛制造商提供檔案,便于對碰撞後自動駕駛汽車的維護和修理。這些檔案将确定能保證自動駕駛汽車在修理後可安全運作的必要裝備和過程”。
除了《自動駕駛汽車架構檔案》之外,GRVA的提案Proposal for amendments to Framework document on automated/autonomous vehicles (levels 3 and higher) 還提出了UNECE WP29應優先考慮的關鍵問題和原則:
a.系統安全/ System Safety。
b.失效響應/Failsafe Response。
c.人機界面/Human Machine Interface (HMI) /Operator information。
d.OEDR/Object Event Detection and Response (OEDR)。
e.ODD/ [Operational Design Domain (ODD/OD)] (automated mode)。
f.系統安全驗證/Validation for System Safety.
g.網絡安全/Cybersecurity.
h.軟體更新/ Software Updates.
i.事件記錄與存儲系統/Event data recorder (EDR) and Data Storage System for Automated Driving vehicles (DSSAD).
j.車輛維護與檢查/Vehicle maintenance and inspection.
k.使用者教育與教育訓練/Consumer Education and Training.
l.碰撞預防保護與相容/Crashworthiness and Compatibility.
m.碰撞後行為/ Post-crash AV behaviour.
部分國家自動駕駛車輛安全原則對比
UNECE曾對已公開的部分國家的自動駕駛車輛安全原則進行了對比,包括美國、日本、加拿大、歐洲,詳見下表。
自動駕駛車輛安全原則對比
- End -