這是“汽車人參考”第370篇原創内容
“推動智能電動汽車向前進”
無論是自動駕駛整車,還是解決方案,或是軟體、算法、硬體單個子產品,量産落地的速度有明顯加快的趨勢。在開發過程中,對安全的要求及管控愈加迫切,目前行業裡将自動駕駛安全分為Safety(FuSa和Sotif)和Security兩大部分,這裡分享一些思考。
回顧Uber自動駕駛事故
2018年3月,一輛Uber無人駕駛測試車在美國釀成緻死事故,一度讓整個行業陷入停滞 ,事後結案報告分析了主要原因。
首先Uber對周圍環境感覺的模型,假定隻會出現自行車、行人、車輛三類物體,且這三類物體隻會沿着車道線行進。
但現實情況是行人推着自行車橫穿馬路,按照模型預設,Uber在任何情況下都不會對上述場景進行分類識别。
其次是車輛駕駛員對Uber并沒有及時接管(過于自信),在整個系統設計中沒有考慮到人為因素。
從這個事件可以看到,自動駕駛安全設計,除了去滿足已有規格書Spec的要求,更需要去驗證Spec的充分性。
自動駕駛安全的特殊挑戰
從上述案例引申出來,自動駕駛對安全提出很多挑戰。
首先,自動駕駛是以資料來驅動的,而大量資料集很難通過要求來描述;其次,AI算法的輸出缺乏可解釋性,難以通過傳統的通過/不通過(yes/no)的方式去驗證;再次,還存在大量非技術因素,包括交通系統布局不合理、交通參與者行為不規範等;最重要的是,存在大量的随機的且未知的長尾場景。
為了應對以上挑戰,在Safey領域主要以功能安全FuSa和預期功能安全Sotif兩大标準進行限制。
FuSa和Sotif是安全的兩大命門
功能安全(Function safety),關注E/E電子電氣架構本身的失效(Failure);而預期功能(Sotif),解決的是自動駕駛由于性能局限、功能不足及合理可預見的人員誤用帶來的危險(Harzard)。
功能安全是假定規格書Spe是正确的前提下,去關注産品有沒有遵循或實作相關的流程和标準;而預期功能安全更多是針對産品規格書Spe不足的地方進行規範,兩者互相補充,是自動駕駛安全的兩大命門。
在這兩個安全之上,又誕生了網絡安全(Cybersecurity)的要求,三者的關系可以用以下的圖來表示。
針對于危險,如果是從本身系統而來的,需要遵循功能安全;如果是來源于系統外部,且被人故意誤用,那麼屬于網絡安全的範疇;其他層面全部劃分到預期功能安全的範疇。
FuSa和Sotif如何解決安全問題
根據安全類型以及認知程度,可以将自動駕駛場景劃分到四個區域。
區域1是已知、安全的場景(Known-Safe),區域4是未知、安全的場景(Unkown-Safe),自動駕駛汽車可以運作在這兩個場景中。
針對于區域2,已知、不安全的場景(Known-Unsafe),需要在系統設計時,提前考慮。
而針對于區域3,是未知、不安全(Unknown-Unsafe),可以了解為長尾的場景。
有兩種思路來應對區域2和區域3的安全問題,一是保守的方法,即通過限定自動駕駛運作設計域ODD,讓自動駕駛系統隻能在已知和安全的場景才能運作,但這樣治标不治本,更不利于自動駕駛的規模商業化落地。
另外一種思路是努力将區域3的範圍縮小,但是,由于未知的場景是無窮盡的,無論如何縮小,永遠都存在。
進一步來說,區域3理論上可以看作“熵增”運動,要努力減熵,需要保持開放,同時要有外力做功,減少混亂程度,脫離平衡。
映射到自動駕駛,一是讓系統本身通過資料閉環,持續地學習和更新;二是通過V2X,增加視距,增強對未知場景的認知程度。
汽車人參考小結
系統内的失效或危險,可以通過功能安全來管控,而針對于系統外的失效或危險,可以通過預期功能安全和網絡安全來管控。
但是本質上都沒有解決在長尾場景下的安全問題,通過傳統預測機率和規避的方式已不适用,通過資料閉環依然還是無法cover到100%,因為AI本身的無法解釋特性,會不會導緻安全就是一個無解問題,值得行業探讨。
本文為汽車人參考第370篇原創文章,如果您覺得文章不錯,“推薦和關注”是對我最大的支援,歡迎随時和我交流。