自動駕駛比人安全的論述主要是站在自動駕駛解決了由人類缺陷引發的事故的角度上,進行分析得出的結論,但論據并不全面。誠然,人類駕駛員有諸多缺陷,但其優勢也是現有自動駕駛算法所無法比拟的,比如對行人及其他駕駛員面部表情、手勢的了解,這是自動駕駛短期或者永遠也無法達到的能力,而正是這樣的能力使得車輛在混雜的路口穿梭自如,避免了因不必要的互動風險而造成的交通事故。對比露出在水面的冰山(事故),我們更應關注那些被人類合理處理掉的沉在水面下的冰山(安全風險)。
自動駕駛并非一個傳統意義上可以無限試錯的“手機APP”,其安全基線就是要能替代人類處理路上千奇百怪的行駛風險。自動駕駛不是可以“任性甩鍋”的輔助駕駛功能,其開發商将從交通運輸工具提供商轉變為直接交通事故責任者以及整體交通協調的責任者,既要考慮自車安全,又要兼顧整體交通的安全和效率。這種改變也使得原有的汽車和駕駛員管理相關部門的職能交織在一起,是以,自動駕駛就需要應對适應各方管理要求。
在美國交通部釋出的自動駕駛安全願景2.0中,就提到了13種企業需要聲明的安全要素,分别是:系統安全、ODD、OEDR、接管(最小風險狀态)、驗證方法、HMI、車輛網絡安全、耐撞性、事故後行為、資料記錄、消費者教育與教育訓練及對國家、洲和地方法規的遵守。美國政府鼓勵自動駕駛公司按照這13個要素闡述企業的實際情況。雖然目前NHTSA網站中已有多達28家企業送出了安全報告,但報告内容相似度較高,内容也都比較空洞。
駕駛能力的最優實踐是由低機率故障水準的車+有機率性錯誤的人類組成的駕駛水準。“依靠企業最優實踐提出自動駕駛安全要求”這條路貌似很難走通,自動駕駛的安全要求不僅是個研發技術水準問題,更是從社會接受度、法規、權責等角度綜合讨論得出的對企業開發管理流程和品質的要求。
在聯合國WP29中,FRAV綜合各國的自動駕駛安全理念,總結了五大類安全領域:DDT性能要求、與使用者間互動安全、極端情形處理、系統失效處理、生命周期管理,并在最新的guideline檔案中加入了多支柱法與五類安全領域的測試驗證關系的闡述。大陸工信部釋出的《智能網聯汽車生産企業及産品準入管理指南(試行)》(征求意見稿)則綜合了網絡安全、功能安全、預期功能安全、合理可預見和可避免、資料安全、OTA管理、ODC識别與應對,以及多支柱驗證方法等要求。
相關企業應該在多種已經形成基本共識的安全視角下分析自動駕駛帶來的收益,滿足多領域的安全管理規則,才能真正證明所開發的自動駕駛功能是安全的。本文将對各國現有的關于自動駕駛評價的基本共識和熱點,進行介紹和讨論,以供讀者參考。本文主要圍繞運作在開放道路的自動駕駛功能展開,其他區域運作的自動駕駛功能亦可參照。
功能安全
功能安全廣泛存在于電子電器系統安全設計中,但落實到自動駕駛企業中卻往往僅保留了系統備援的概念,這是了解上的重大偏頗。功能安全是一套為降低電子電氣安全相關系統故障引起的危害而開發的管理體系,并不是說企業做了備援功能設計就可以滿足功能安全要求。自動駕駛系統也是一種安全相關系統,是以企業應滿足汽車安全生命周期相關階段的功能安全活動流程要求,符合汽車安全完整性等級對應流程的規定,證明自動駕駛有能力處理故障導緻的可避免的不合理風險。
類比人類駕駛員+車的組合體,企業應通過功能安全,回答在自動駕駛系統故障和車輛故障的情況下能夠将總體剩餘風險(P=E*C*S)降低到現有車輛故障和人類駕駛員不可抗力條件(如突發心髒病)下的風險水準。
關于故障曝光率,以現階段工業水準,電子産品的可靠性還遠遠達不到人類的可靠性水準。由于人類身體原因(排除疲勞駕駛等不良行為)影響不能正常駕駛的事件是微乎其微的,而即便是發展了幾十年的電腦手機等産品,當機機率仍居高不下,更何況新興的“汽車駕駛機器人”。是以業界的普遍認知是通過對車輛結構進行備援,提高自動駕駛+車輛的整體故障曝光率(E),以降低風險機率(P)。
關于可控度C是很難評判的。在不改變目前社會車輛的結構下,對于L4級自動駕駛系統故障曝光率(E)就需要達到人類駕駛員同等的“身體健康”水準,并且能夠合理有效處置車輛故障時情況(可控性C)。而對于L3級自動駕駛系統則較為複雜,因為L3級系統車上仍存在人類駕駛員,在設計分析過程中,需要對故障進行合理分級:何種隻需要提醒,不需做DDT響應;何種可讓駕駛員接管,長時間不接管進入MRM;何種直接進入MRM并同時發出接管請求。宗旨是在自動駕駛與人類駕駛員協同時,不留存不合理風險給人類駕駛員及其他交通參與者,特别在極端情形下需要有能力處理。
網絡安全
網絡安全是指汽車的電子電氣系統、元件和功能處于被保護、不受網絡風險威脅的狀态。自動駕駛功能差別于人,會受到内外部的網絡攻擊,由此帶來安全隐患,這是差別于人類駕駛新增的安全風險,暫無明确可參考的接受準則。
企業應先參照ISO21434制定網絡安全防護機制,定期開展網絡安全風險識别、分析評估和管控網絡安全風險,及時消除重大網絡安全隐患;建立網絡安全監測預警機制,采取監測、記錄、分析網絡運作狀态、網絡安全事件等技術措施;企業應建立網絡安全應急響應機制,制定網絡安全事件應急預案,及時處置系統漏洞、網絡攻擊、網絡侵入等安全風險。
預期功能安全
預期功能安全最早是針對駕駛員誤用濫用而提出的開發流程要求。而自動駕駛功能,由于ODD的限制,理論上是不存在駕駛員誤用濫用問題。如何将其方法論應用于自動駕駛,筆者認為主要有兩點。
第一,預期功能安全适用于基于已知功能政策性不足造成的危害場景(非能力邊界問題),通過合理泛化,驅動研發開發新政策對危害場景進行全覆寫。圖1第一個圈的開發模式就是目前行業常用的資料驅動型,也就是基于問題資料的回歸式開發。第二個圈則是在已知危害場景周圍進行泛化,測試新的功能,驗證其對已知問題的解決程度,并将更多未知問題變為已知問題,并進行下一輪疊代。這也就是常說的通過壓縮第三象限達到讓功能不足風險最小化的基本思想。
圖1 基于預期功能安全理念的開發測試疊代模式(圖檔來自21448)
随着疊代次數增加,該功能的剩餘風險會呈現鋸齒狀的降低,當達到驗證目标,企業即可終止疊代過程,釋出該功能。驗證目标也需要通過跟人類駕駛水準相比較進行确定。比如行人禮讓功能的驗證目标可以設定為人類駕駛員發生一次不合理禮讓行人的平均行駛裡程。
第二,預期功能安全方法論與功能安全類似,同樣适用于自動駕駛算法缺陷的機率性問題的開發管控,其在功能安全的ECS概念基礎上再引入危害事件機率。舉例來講,對信号燈的感覺無論多麼優秀的算法總會存在機率性的将紅燈識别為黃燈的風險,在這種已知風險下,自動駕駛如何能夠安全合規地通過路口,企業可通過采用V2X獲知前方信号燈相位、同時識别垂直車道信号燈狀态、通過相鄰車道車輛行駛狀态等多種政策保證在該場景下滿足安全目标,并且通過仿真、路測、運作監控證明其對安全目标的符合性。在該執行個體下,安全目标我們可以設定為自動駕駛需要低于人類駕駛員闖紅燈的機率。同樣與人進行對比,企業通過預期功能安全,能夠将由算法缺陷機率性問題帶來的風險降低到人類因走神粗心等不确定錯誤行為導緻風險的同等水準。
研發過程中企業會遇到無論如何開發,問題的應對水準也到不到人類能力基準,那麼對該問題就應通過ODD予以限制。比如,上述信号燈識别問題,若企業引入V2X資訊後可以滿足預期功能安全要求,若無V2X資訊則無法滿足,但企業不能期望所有路口均擁有V2X設施。是以V2X将作為ODD的要求元素之一,如果前方路口不能提供V2X的信号燈資訊,L3級自動駕駛應在路口前提前提醒駕駛員接管。
針對已知危害事件,企業均需有相應的預期功能安全開發流程。針對未知危害場景,企業目前尚未有良好的研發和測試政策予以應對,需要建立完善的收集、評估、限制開啟、開發應對等響應機制,保障車輛不存在因預期功能的不足而導緻的不合理風險。
上述兩種預期功能安全的應用領域,驗證目标均是以剩餘風險機率來衡量。但預期功能安全并不能解決自動駕駛正常狀态下能力邊界的開發管控。
預期行為安全
對于“水下冰山”,我們也需要定義自動駕駛能力可接受的準則。目前行業共識是自動駕駛需要避免設計運作範圍内合理可預見且可避免的事故發生。這就與剩餘風險的接受準則有明顯的差異:風險量化方式是機率,能力量化方式是參數範圍。
至于為什麼限制是在“設計運作範圍内”而非“自動駕駛運作過程中”,我們會在下文的ODD的安全性要求中單獨讨論。
合理可預見這是對“水面下”所有情形的語義級量化。這就引出了基于場景的自動駕駛能力評價,參考标準是ISO34502。其通過對道路實際情形的采集,統計得到邏輯場景的參數分布統計值,通過“小機率事件”概念找到合理可預見的參數範圍。在34502中,用廣泛意義上的切入場景為例,介紹了兩參數聯合分布區間統計方法,給出3倍标準差和5倍标準差作為參考合理可預見的量化。企業應用該标準時,需要進一步細化功能場景,避免功能場景寬泛,導緻參數範圍過大,造成自動駕駛能力的過限制。從實際企業應用實踐來看,路上的切入行為可以進一步細分,如慢速切入,快速切入、慢速切入後制動、切入中止等行為。通過對每一種危險互動行為進行參數邊界刻畫,可以降低對自動駕駛能力的過限制程度,并降低測試驗證的成本。
圖2 慢速切入場景參數空間示例(圖檔來自34502)
參考模型是注意力集中的一般駕駛員。一般駕駛員尚沒有明确定義。本文推薦是具備防禦性駕駛能力、能夠靈活遵守交規、可采取多種規避風險手段、反應生理名額為大資料統計樣本均值的駕駛員。在UNECE R157(ALKS)法規中僅介紹了一般駕駛員的反應生理名額确定方法。但并未對前三個駕駛能力特點予以界定。
防禦性駕駛能力:當代社會防禦性駕駛能力已經是一般駕駛員的普遍要求。人類駕駛員可對周圍環境進行提前10s的意圖預判,比如道路前方公共汽車站有靜止公共汽車開啟左轉燈,那麼對于該情景的預判是,公共汽車将要起步向左進行變道,社會車輛人類駕駛員的正确動作是在公共汽車起步前,及時制動讓其變道,或者自車向左進行變道。
能夠靈活遵守交規:在交規中有層級關系,為避免事故發生或為特殊車輛讓行的情況下,人類駕駛員可以突破交規其他條款要求。
可采取多種規避風險手段:在UNECE R157,駕駛員對于切入場景的應對措施為制動跟随,但真實人類駕駛員規避手段還有鳴笛、燈語、變道等手段;這些手段均需要進行模組化評價。
如果自動駕駛能夠在合理可預見的場景下,達到上述一般駕駛員避免風險的水準,則可判定滿足了預期行為安全要求。
交規符合性
提高交通流整體的協調性,才能有效提高道路的交通安全水準。協調性的提升需要長時間的法規、教育和社會引導。為保持協調性的穩健提升,政府不可能,也不應該因為自動駕駛發展輕易改變既定且合理的交通規則。
自動駕駛功能的設計應考慮交通流行為模式,不可特立獨行。駕駛輔助功能往往僅關注車輛的橫縱向控制(包括那些進階駕駛輔助功能),但自動駕駛功能充當了駕駛員的角色,它需要能夠了解其他道路使用者的燈語、鳴笛、特殊行駛權力等,并做出相應的決策響應。原則上,作為道路交通行為的參與者,自動駕駛功能應遵循所運作區域的交規項。但以現有感覺和規劃決策研發水準看,想實作這一原則具有非常大的挑戰性。舉例來說,交規要求對警車、救護車等應急車輛讓行。為實作該行為要求,自動駕駛功能首先應識别到周圍存在的應急車輛,并且能夠判斷其是否在執行公務,之後判定自車是否有讓行的可能性。讓行的可能性的判定較為複雜,若自動駕駛車輛是阻礙應急車輛行駛的關鍵要素,那麼自動駕駛車輛哪怕違反信号燈等要求,也要為應急車輛挪出通行空間。當完成讓行義務後,應立即停止其他違規行為。這一要求雖難,但卻可以實作,尤其對于L4級來說,是必須要實作的。
有些交規要求則在短期内看,是無法實作的,比如按交警指揮行駛,這需要感覺實作對非标準手勢的精準識别,如圖3所示。對于此類難以實作的要求,自動駕駛設計過程中,可通過ODD,與駕駛員和遠端協調員進行良好配合以滿足交規。比如,ODD中可将交警作為其中一項要素,當ADS識别到交警在其行駛範圍内,就發出接管請求,由駕駛員或遠端協調員接管控制。這樣既滿足了交規要求,又保證了行駛安全。
圖3複雜情形下交警非标準手勢指揮交通(圖檔來自網絡)
有些交規項限制的行為無法清晰量化,如路口通行優先權。實際路口交通事故,往往是由于博弈失敗造成的,交警通過通行優先權能夠較為清晰判斷何方為主責。但對于自動駕駛工程師而言則很難把握到底何種程度的讓行,才算是從前因滿足了要求,而非後果。這需要不同部委協調将某些主觀條款進行客觀化,讓自動駕駛的開發及驗證需求明确。基于後果的判定,仍由實際運作結果進行定責,并由算法的優劣和保險來綜合承擔博弈的風險。
自動駕駛即使完全遵守了交規,也需合理應對在路上合理可預見的違規社會車輛。這點也是預期行為安全需要覆寫的内容。
有人可能會說,如果按照嚴格交規行駛在路上,自動駕駛車輛無法在開放道路上行駛。誠然,部分交規條目設定較為嚴苛,比如安全距離、超車對于開啟轉向燈時長要求、不能連續變道等要求。這些要求在人類駕駛員開車過程中也并非嚴苛執行,需要綜合周圍環境靈活執行。比如一個設定不合理路口,如圖4所示,從A點進入主路的車輛需要在前方路口從B點左轉,其需要跨越多個直行道才可到達左轉道,按照不能連續變道的行為要求,那麼車輛僅能用近乎泊車的操作方式行進,在交通擁堵的情況下,這種方式還可以接受,但如果此路段上沒有與主車互動的社會車輛,卻仍需蠕行前進,那麼這條交規限制就顯得很不合理。這需要公安部門連同相關研究院所和自動駕駛企業進行科學分析,對道交法進行合理修正。
圖4交規與實際道路沖突示意(圖檔來自青島交警)
ODD合理性
ODD的提出對駕駛自動化分級甚至自動駕駛産業發展有重要作用。
一是,ODD是區分L5與L3、L4的重要依據,ODD的寬泛與否直接顯示了自動駕駛應對複雜環境的能力水準。
二是,ODD定義了跟使用者間互動的邊界。對于L2來說ODD無異于免責條款,隻需要将不适用工況寫到ODD中,并提前對使用者進行告知,即可免除産品缺陷的責任,核心原因是L2及以下,人類駕駛員承擔了環境感覺的主體責任。受此種觀念的影響,最初L3要求發出接管請求駕駛員就有責任義務去做接管動作。其思維模式還是從企業角度撇清由于設計不足導緻的責任問題。但到達L3以上時,我們應該從使用者角度思考接管,使用者不應承擔設計不足的不合理風險。自動駕駛功能承擔了運作過程中所有的感覺職能,包含對ODD的感覺。正是因為重要,ODD的識别與響應才被工信部準入指南意見列為第一位要求。
UNECE R157中将ODD的識别與響應要求分為了兩大類事件:計劃事件和非計劃事件。針對計劃事件,系統需在該事件發生前留足充足的接管時間,即使在駕駛員不接管的情況下,也要通過MRM,避免計劃事件的發生。舉例來說,某功能不能實作匝道行駛,由于匝道入口是可以提前預知的,是以該功能在接近匝道入口時,應提前發出接管請求。針對非計劃事件,系統識别到該事件發生後應發出接管請求。舉例來說,某功能不能實作在能見度低的情況行駛,由于大霧天氣是不可以提前預知的,是以該功能在識别到能見度低于一定程度後,應提前發出接管請求,即非計劃事件已經發生,再進行ODD相關的響應動作。
在研的ISO 34503标準将采用分層的方式給出ODD描述的規範性話術。對于ODD的描述,筆者有三點建議。
首先,不将交通參與者作為ODD要素。在公開道路上,我們無法限制交通參與者的種類,即使在高速公路,仍然會有沿路行駛的道路養護勞工、發生事故後去擺三角警示牌的駕駛員等出現。這類情況要由預期行為安全來覆寫,不能通過ODD予以免責。
其次,ODD的要求應能符合要素的狀态存在變化的實際情況,合理設定“不要求、不允許/允許、計劃事件、非計劃事件”。比如圖5,路面鋪裝狀态,在大家普遍認知下,該狀态可以以固定值寫在地圖檔案中。但某段路面鋪裝狀态可能經過一個晚上就會發生變化,由鋪裝路面變成全部非鋪裝。本來自動駕駛功能在該路段是可以行駛的,由于該變化,在依靠地圖确認ODD的技術路線下,标注狀态未變更時,自動駕駛功能将會在此路段駛出ODD,此時應識别到超出ODD,并做出相應的響應,即非計劃事件發生。如果地圖示注資訊更新,那麼,ODD針對該路段的鋪裝狀态由不要求變為計劃事件,之後車輛再行駛到此路段,就應按照計劃事件要求進行響應。
最後,計劃事件和非計劃事件的劃分是在不具有換道功能的前提下提出的。針對更廣泛的自動駕駛功能,我們需要綜合考慮通行空間,設定計劃事件和非計劃事件響應要求。還以鋪裝狀态為例(圖5),如果一段道路同向存在多條通行車道,若存在一條車道的狀态由鋪裝變為非鋪裝,若自動駕駛功能能夠依靠地圖示标注,獲知可通行車道,在該路段提前變道駛入鋪裝車道,那麼依然可以作為“不要求”,不需進行ODD邊界相關的響應。
圖5 地圖示記狀态與ODD響應要求示例
企業需要證明針對所有涉及ODD邊界的要素的感覺手段可靠合理,及響應方式滿足計劃事件和非計劃事件要求,不留存不合理的風險,可采用預期功能安全的分析方式。
回到我們在預期行為安全部分留存的話題:為什麼限制預期行為安全是在“設計運作範圍内”而非“自動駕駛運作過程中”。原因是,當遇到非計劃事件時,自動駕駛車輛已經超出了ODD,但仍處于自動駕駛運作過程中,此時安全風險激增,我們隻能要求自動駕駛進入到MRM,無法要求其仍能實作正常狀态下的駕駛能力即預期行為安全。
人機互動安全
人機互動環節主要涉及駕駛員主動幹預、HMI、接管請求、駕駛員狀态監控等。國際的FRAV和國内的國标自動駕駛功能通用技術要求都針對各互動環節提出了技術要求,以保證安全。企業開發相關功能應證明滿足相關要求。本文不對相關要求進行複述,僅抛出幾個未解的原則性難題。
主動幹預時,自動駕駛功能是否立即退出?筆者認為,短期内自動駕駛對風險的判斷能力難以達到老司機的水準,除非企業能通過其駕駛脫離資料,證明由人幹預導緻碰撞的風險水準要比自動駕駛顯著高。如果這種水準真的已經達到了,公開資料也是一件對企業市場反響有極大利好的事情。但到目前為止,衆多企業對脫離資料進行高度封鎖。由此可知,人類的決策依然在大多情況是合理的。在該推斷下,如果發生主動幹預,自動駕駛功能應将駕駛權立即交還給人類駕駛員。這樣也能夠避免人機共駕狀态下責任界定不清的問題,幹預後責任應由人類駕駛員承擔。
接管請求發出後,駕駛員是否應被要求立即接管?在最初的SAE J3016中,L3級自動駕駛功能發出接管請求後,駕駛員有義務立即接管。但随着行業發展,人們對自動駕駛了解日趨深入,再将接管中不合理的風險留給駕駛員就是企業不負責的表現。從“ODD合理性”一節中,我們可以看出,無論是非計劃事件還是計劃事件,隻是要求發出接管請求,接管前風險的承擔者仍是企業。駕駛員接管後,責任邏輯和幹預時一樣的,接管點後,自動駕駛立即退出,駕駛權和責任交還給駕駛員。如果接管請求發出的不合理,留存了人類駕駛員也無法處理的風險,則證明企業在設計之初就存在嚴重問題,駕駛員也不應被強加接管義務。人類駕駛員應出于流暢駕駛體驗和補充自動駕駛功能政策性不足(比如不能在V2X裝置的紅綠燈路口通行)等原因收到請求後自願擇機接管,而非接管處理自動駕駛存留的不合理風險。
大陸創新性地将駕駛員狀态作為自動駕駛激活與運作條件之一,提出了駕駛員狀态+ODD的ODC概念。那麼,是否任何駕駛員均可以激活自動駕駛功能呢?筆者認為,需要經過專業教育訓練後的駕駛員,在熟練知曉自動駕駛功能的激活/接管/幹預/MRM等基礎概念和操作後,才可激活自動駕駛功能。為實作這一要求,企業在銷售車輛時,需對駕駛員進行售後教育訓練。自動駕駛功能的駕駛員狀态監控也不僅僅監控駕駛員的疲勞狀态,還需确認目前駕駛員是否經過教育訓練,是否擁有開啟功能的權限。
另外,自動駕駛功能有義務提供使用者接管或者幹預的所有駕駛條件,包括合适的照明範圍與強度、幹淨的擋風玻璃、合适的後視鏡角度等。并且,能在此基礎之上,提供接管和幹預時機的安全風險提示,這是在使用者駕駛安全性水準上的附加功能,其收益與預警功能的輔助駕駛相同。
通過上述問題的讨論可以看出,合理組織人機互動,讓駕駛權責清晰,是保證安全的先決條件。行業仍需進行廣泛讨論并驗證合理的人機互動方式,為功能标準制定和法規完善做出貢獻。
事故相關功能要求
從衆多駕駛輔助事故中我們可以看到自動駕駛運作資料和事故資料記錄的重要性,對于未來自動駕駛更是如此。交警需要基于該資料判定事故與違規責任承擔方,市場監督管理局需要基于該資料判定自動駕駛是否存在品質缺陷,工信部需要據此後置性評判企業準備準入材料的真實性。
企業需要按照DSSAD标準和GB 39732—2020 汽車事件資料記錄系統記錄下相關内容,并且應滿足資料存儲測試要求,包括:資料觸發條件試驗、資料正确性試驗、資料存儲能力試驗、存儲覆寫試驗、斷電存儲試驗等。存儲的資料應能被正确讀取,且應能防止資料被篡改、僞造或惡意删除。
按照現行交規要求,在事故發生後,應停車對受傷人員進行施救。自動駕駛功能應能發現自車發生了事故,并在自車情況允許的條件下,控制停車,保留事故現場。如若不能實作該能力,則會帶來肇事逃逸的嚴重後果。
參考美國耐撞性安全要素,自動駕駛功能不應降低現有主被動安全标準限制下的安全性水準。如果制造商不改變現有駕駛艙布局、主動安全參數設定,這點要求不難達到。但現有L4方案提供商提出了拿掉方向盤或者調轉座椅的方向等概念,這就需要重新對氣囊安裝位置、起爆時間進行标定。企業如果想做到高于此基準要求,那麼就要将自動駕駛功能、主被動安全聯合開發,精準降低碰撞損傷程度。
OTA更新管理
車輛全生命周期運作的自動駕駛功能原則上應與最初準入采用的版本一緻。但考慮到未知不安全的缺陷需要長時間驗證,社會接受通過軟體更新解決未知不安全問題。但企業也需要擔起更新管理的規範化問題。
企業應制定軟體更新從設計、開發、測試、釋出、推送等過程的标準規範,并遵照執行。企業應對軟體更新可能影響的功能和性能進行測試和驗證,確定符合相關法規、标準和技術要求。
生命周期管理
車輛并非手機,電腦,它要求在其全生命周期中,性能應保持在相對穩定且一緻的狀态。傳統車輛在長時間運作後,制動系統、懸架系統、驅動系統等參數均會發生小幅度的變化,但仍能通過合理養護,保證通過年檢要求。
自動駕駛功能仍然搭載在傳統車輛結構之上,應能夠适應這些參數的變化,并保持對上述各項安全要求的符合性。适應的方式可以是能夠識别到參數的變化,并對自動駕駛功能進行自适應調整,或者是在自動駕駛功能設計之初就對各項要求增加一定的安全系數,亦或者是在參數變化到一定程度,提醒使用者進行維修養護。
另外,自動駕駛功能在車輛上安裝了獨屬于自己的部件。企業在開發過程中也需要考慮部件老化、疲勞、标定參數變更等影響。
測試驗證方法
大陸汽車領域标準制定方式往往是将一個新功能的性能要求和對應試驗方法寫在同一個标準中,這友善了企業研發和第三方測試實施。但自動駕駛功能要求涉及了太多方面,如果将所有試驗方法都寫出來并不現實。國内借鑒多支柱法理念,分别制定了仿真(起草中)、封閉場地(釋出)、實際道路(征求意見)三項标準。
封閉場地國标的思路與傳統ADAS标準一緻,挑選了典型功能和危險場景作為測試項,很難限制自動駕駛的安全基準。實際道路測試标準基于小機率事件在較短試驗時長中不應發生的假設,選取覆寫典型要素的試驗道路,進行72小時自動駕駛功能“連續”測試,通過的核心要求為無故障、無幹預、無事故、無違規、無明顯不合理行為。該标準确定了一個合理門檻,但也隻能供第三方使用。
自動駕駛開發企業在量産時會聲明滿足了上述十個方面安全要求,但各方面仍需要科學的證明方式,企業需說明其保證達到要求所采用的測試評價方法與工具以及最終評價結論,比如功能安全需要做FEMA和故障注入,預期功能安全需要做HARA和基于資料驅動的問題全覆寫測試,預期行為安全需要進行基于場景和駕駛員的能力比對測試等。如果自動駕駛引發了上述要求相關的事故,政府也需要企業依據聲明的測試評價方法與工具,提供更詳細的自證明材料證明研發測試的充分性與真實性。
行業需要針對上述安全要求(包括國标通用技術要求的每一條)形成能滿足測試充分性的最優實踐方法,使得各項功能、性能評價規範在同一對話緯度上,也可為各部委的準入提供格式一緻的證明材料。
企業需要認真思考,務實實踐上述十點安全要求,遵從并高于相關标準法規,從功能實作、開發流程等多個次元,腳踏實地提升自動駕駛能力,保證自動駕駛安全。
本文重點闡述了可造成事故風險的安全話題。自動駕駛還需依法保護個人資料安全,在此,就不繼續讨論了。
上述各點内容介紹并不全面,大家可自行閱讀本文參考文獻,找到每一點更細緻的要求。本文僅為打破多年來行業空談“自動駕駛比人安全”的陳舊理念,促進行業樹立正确的自動駕駛安全觀,實事求是提升自動駕駛安全能力。文中觀點意在抛磚引玉,并非定論,如有不妥,歡迎同行多交流指正。
參考文獻
1. 自動駕駛汽車交通安全白皮書
2. AUTOMATED DRIVING SYSTEMS 2.0: A VISION FOR SAFETY
3. 《智能網聯汽車生産企業及産品準入管理指南(試行)》(征求意見稿)
4. GB/T 34590 道路車輛 功能安全
5. ISO 21434 Road vehicles — cybersecurity engineering
6. ISO/DIS 21448 Road vehicles — Safety of the intended functionality
7. ISO/DIS 34502 Road vehicles - Scenario-based safety evaluation framework for Automated Driving Systems
8. ISO/AWI 34503 Road vehicles — Taxonomy for operational design domain for automated driving systems
9. 中華人民共和國道路交通安全法
10. Functional Requirements for Automated and Autonomous Vehicles (FRAV). https://wiki.unece.org/pages/viewpage.action?pageId=87622236
11. UNECE R157 Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to Automated Lane Keeping System
12. SAE J3016 Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems
13. GB/T XXXX 智能網聯汽車 自動駕駛功能通用技術要求
15. GB 39732—2020 汽車事件資料記錄系統
轉載自九章智駕,文中觀點僅供分享交流,不代表本公衆号立場,如涉及版權等問題,請您告知,我們将及時處理。
-- END --