日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

正確的自動駕駛“安全觀”應(yīng)是什么樣子?

2022-01-16 16:18:29·  來源:九章智駕  
 
前言自動駕駛比人安全的論述主要是站在自動駕駛解決了由人類缺陷引發(fā)的事故的角度上,進(jìn)行分析得出的結(jié)論,但論據(jù)并不全面。誠然,人類駕駛員有諸多缺陷,但其優(yōu)
前言
自動駕駛比人安全的論述主要是站在自動駕駛解決了由人類缺陷引發(fā)的事故的角度上,進(jìn)行分析得出的結(jié)論,但論據(jù)并不全面。誠然,人類駕駛員有諸多缺陷,但其優(yōu)勢也是現(xiàn)有自動駕駛算法所無法比擬的,比如對行人及其他駕駛員面部表情、手勢的理解,這是自動駕駛短期或者永遠(yuǎn)也無法達(dá)到的能力,而正是這樣的能力使得車輛在混雜的路口穿梭自如,避免了因不必要的交互風(fēng)險(xiǎn)而造成的交通事故。對比露出在水面的冰山(事故),我們更應(yīng)關(guān)注那些被人類合理處理掉的沉在水面下的冰山(安全風(fēng)險(xiǎn))。
自動駕駛并非一個(gè)傳統(tǒng)意義上可以無限試錯(cuò)的“手機(jī)APP”,其安全基線就是要能替代人類處理路上千奇百怪的行駛風(fēng)險(xiǎn)。自動駕駛不是可以“任性甩鍋”的輔助駕駛功能,其開發(fā)商將從交通運(yùn)輸工具提供商轉(zhuǎn)變?yōu)橹苯咏煌ㄊ鹿守?zé)任者以及整體交通協(xié)調(diào)的責(zé)任者,既要考慮自車安全,又要兼顧整體交通的安全和效率。這種改變也使得原有的汽車和駕駛員管理相關(guān)部門的職能交織在一起,因此,自動駕駛就需要應(yīng)對適應(yīng)各方管理要求。
在美國交通部發(fā)布的自動駕駛安全愿景2.0中,就提到了13種企業(yè)需要聲明的安全要素,分別是:系統(tǒng)安全、ODD、OEDR、接管(最小風(fēng)險(xiǎn)狀態(tài))、驗(yàn)證方法、HMI、車輛網(wǎng)絡(luò)安全、耐撞性、事故后行為、數(shù)據(jù)記錄、消費(fèi)者教育與培訓(xùn)及對國家、洲和地方法規(guī)的遵守。美國政府鼓勵自動駕駛公司按照這13個(gè)要素闡述企業(yè)的實(shí)際情況。雖然目前NHTSA網(wǎng)站中已有多達(dá)28家企業(yè)提交了安全報(bào)告,但報(bào)告內(nèi)容相似度較高,內(nèi)容也都比較空洞。
駕駛能力的最優(yōu)實(shí)踐是由低概率故障水平的車+有概率性錯(cuò)誤的人類組成的駕駛水平?!耙揽科髽I(yè)最優(yōu)實(shí)踐提出自動駕駛安全要求”這條路貌似很難走通,自動駕駛的安全要求不僅是個(gè)研發(fā)技術(shù)水平問題,更是從社會接受度、法規(guī)、權(quán)責(zé)等角度綜合討論得出的對企業(yè)開發(fā)管理流程和質(zhì)量的要求。
在聯(lián)合國WP29中,F(xiàn)RAV綜合各國的自動駕駛安全理念,總結(jié)了五大類安全領(lǐng)域:DDT性能要求、與用戶間交互安全、極端情形處理、系統(tǒng)失效處理、生命周期管理,并在最新的guideline文件中加入了多支柱法與五類安全領(lǐng)域的測試驗(yàn)證關(guān)系的闡述。我國工信部發(fā)布的《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南(試行)》(征求意見稿)則綜合了網(wǎng)絡(luò)安全、功能安全、預(yù)期功能安全、合理可預(yù)見和可避免、數(shù)據(jù)安全、OTA管理、ODC識別與應(yīng)對,以及多支柱驗(yàn)證方法等要求。
相關(guān)企業(yè)應(yīng)該在多種已經(jīng)形成基本共識的安全視角下分析自動駕駛帶來的收益,滿足多領(lǐng)域的安全管理規(guī)則,才能真正證明所開發(fā)的自動駕駛功能是安全的。本文將對各國現(xiàn)有的關(guān)于自動駕駛評價(jià)的基本共識和熱點(diǎn),進(jìn)行介紹和討論,以供讀者參考。本文主要圍繞運(yùn)行在開放道路的自動駕駛功能展開,其他區(qū)域運(yùn)行的自動駕駛功能亦可參照。
功能安全
功能安全廣泛存在于電子電器系統(tǒng)安全設(shè)計(jì)中,但落實(shí)到自動駕駛企業(yè)中卻往往僅保留了系統(tǒng)冗余的概念,這是理解上的重大偏頗。功能安全是一套為降低電子電氣安全相關(guān)系統(tǒng)故障引起的危害而開發(fā)的管理體系,并不是說企業(yè)做了冗余功能設(shè)計(jì)就可以滿足功能安全要求。自動駕駛系統(tǒng)也是一種安全相關(guān)系統(tǒng),因此企業(yè)應(yīng)滿足汽車安全生命周期相關(guān)階段的功能安全活動流程要求,符合汽車安全完整性等級對應(yīng)流程的規(guī)定,證明自動駕駛有能力處理故障導(dǎo)致的可避免的不合理風(fēng)險(xiǎn)。
類比人類駕駛員+車的組合體,企業(yè)應(yīng)通過功能安全,回答在自動駕駛系統(tǒng)故障和車輛故障的情況下能夠?qū)⒖傮w剩余風(fēng)險(xiǎn)(P=E*C*S)降低到現(xiàn)有車輛故障和人類駕駛員不可抗力條件(如突發(fā)心臟?。┫碌娘L(fēng)險(xiǎn)水平。
關(guān)于故障曝光率,以現(xiàn)階段工業(yè)水平,電子產(chǎn)品的可靠性還遠(yuǎn)遠(yuǎn)達(dá)不到人類的可靠性水平。由于人類身體原因(排除疲勞駕駛等不良行為)影響不能正常駕駛的事件是微乎其微的,而即便是發(fā)展了幾十年的電腦手機(jī)等產(chǎn)品,死機(jī)概率仍居高不下,更何況新興的“汽車駕駛機(jī)器人”。因此業(yè)界的普遍認(rèn)知是通過對車輛結(jié)構(gòu)進(jìn)行冗余,提高自動駕駛+車輛的整體故障曝光率(E),以降低風(fēng)險(xiǎn)概率(P)。
關(guān)于可控度C是很難評判的。在不改變當(dāng)前社會車輛的結(jié)構(gòu)下,對于L4級自動駕駛系統(tǒng)故障曝光率(E)就需要達(dá)到人類駕駛員同等的“身體健康”水平,并且能夠合理有效處置車輛故障時(shí)情況(可控性C)。而對于L3級自動駕駛系統(tǒng)則較為復(fù)雜,因?yàn)長3級系統(tǒng)車上仍存在人類駕駛員,在設(shè)計(jì)分析過程中,需要對故障進(jìn)行合理分級:何種只需要提醒,不需做DDT響應(yīng);何種可讓駕駛員接管,長時(shí)間不接管進(jìn)入MRM;何種直接進(jìn)入MRM并同時(shí)發(fā)出接管請求。宗旨是在自動駕駛與人類駕駛員協(xié)同時(shí),不留存不合理風(fēng)險(xiǎn)給人類駕駛員及其他交通參與者,特別在極端情形下需要有能力處理。
網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是指汽車的電子電氣系統(tǒng)、組件和功能處于被保護(hù)、不受網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅的狀態(tài)。自動駕駛功能區(qū)別于人,會受到內(nèi)外部的網(wǎng)絡(luò)攻擊,由此帶來安全隱患,這是區(qū)別于人類駕駛新增的安全風(fēng)險(xiǎn),暫無明確可參考的接受準(zhǔn)則。
企業(yè)應(yīng)先參照ISO21434制定網(wǎng)絡(luò)安全防護(hù)機(jī)制,定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識別、分析評估和管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn),及時(shí)消除重大網(wǎng)絡(luò)安全隱患;建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制,采取監(jiān)測、記錄、分析網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件等技術(shù)措施;企業(yè)應(yīng)建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。
預(yù)期功能安全
預(yù)期功能安全最早是針對駕駛員誤用濫用而提出的開發(fā)流程要求。而自動駕駛功能,由于ODD的約束,理論上是不存在駕駛員誤用濫用問題。如何將其方法論應(yīng)用于自動駕駛,筆者認(rèn)為主要有兩點(diǎn)。
第一,預(yù)期功能安全適用于基于已知功能策略性不足造成的危害場景(非能力邊界問題),通過合理泛化,驅(qū)動研發(fā)開發(fā)新策略對危害場景進(jìn)行全覆蓋。圖1第一個(gè)圈的開發(fā)模式就是目前行業(yè)常用的數(shù)據(jù)驅(qū)動型,也就是基于問題數(shù)據(jù)的回歸式開發(fā)。第二個(gè)圈則是在已知危害場景周圍進(jìn)行泛化,測試新的功能,驗(yàn)證其對已知問題的解決程度,并將更多未知問題變?yōu)橐阎獑栴},并進(jìn)行下一輪迭代。這也就是常說的通過壓縮第三象限達(dá)到讓功能不足風(fēng)險(xiǎn)最小化的基本思想。
圖1 基于預(yù)期功能安全理念的開發(fā)測試迭代模式(圖片來自21448)
隨著迭代次數(shù)增加,該功能的剩余風(fēng)險(xiǎn)會呈現(xiàn)鋸齒狀的降低,當(dāng)達(dá)到驗(yàn)證目標(biāo),企業(yè)即可終止迭代過程,發(fā)布該功能。驗(yàn)證目標(biāo)也需要通過跟人類駕駛水平相比較進(jìn)行確定。比如行人禮讓功能的驗(yàn)證目標(biāo)可以設(shè)定為人類駕駛員發(fā)生一次不合理禮讓行人的平均行駛里程。
第二,預(yù)期功能安全方法論與功能安全類似,同樣適用于自動駕駛算法缺陷的概率性問題的開發(fā)管控,其在功能安全的ECS概念基礎(chǔ)上再引入危害事件概率。舉例來講,對信號燈的感知無論多么優(yōu)秀的算法總會存在概率性的將紅燈識別為黃燈的風(fēng)險(xiǎn),在這種已知風(fēng)險(xiǎn)下,自動駕駛?cè)绾文軌虬踩弦?guī)地通過路口,企業(yè)可通過采用V2X獲知前方信號燈相位、同時(shí)識別垂直車道信號燈狀態(tài)、通過相鄰車道車輛行駛狀態(tài)等多種策略保證在該場景下滿足安全目標(biāo),并且通過仿真、路測、運(yùn)行監(jiān)控證明其對安全目標(biāo)的符合性。在該實(shí)例下,安全目標(biāo)我們可以設(shè)定為自動駕駛需要低于人類駕駛員闖紅燈的概率。同樣與人進(jìn)行對比,企業(yè)通過預(yù)期功能安全,能夠?qū)⒂伤惴ㄈ毕莞怕市詥栴}帶來的風(fēng)險(xiǎn)降低到人類因走神粗心等不確定錯(cuò)誤行為導(dǎo)致風(fēng)險(xiǎn)的同等水平。
研發(fā)過程中企業(yè)會遇到無論如何開發(fā),問題的應(yīng)對水平也到不到人類能力基準(zhǔn),那么對該問題就應(yīng)通過ODD予以約束。比如,上述信號燈識別問題,若企業(yè)引入V2X信息后可以滿足預(yù)期功能安全要求,若無V2X信息則無法滿足,但企業(yè)不能期望所有路口均擁有V2X設(shè)施。因此V2X將作為ODD的要求元素之一,如果前方路口不能提供V2X的信號燈信息,L3級自動駕駛應(yīng)在路口前提前提醒駕駛員接管。
針對已知危害事件,企業(yè)均需有相應(yīng)的預(yù)期功能安全開發(fā)流程。針對未知危害場景,企業(yè)目前尚未有良好的研發(fā)和測試策略予以應(yīng)對,需要建立完善的收集、評估、限制開啟、開發(fā)應(yīng)對等響應(yīng)機(jī)制,保障車輛不存在因預(yù)期功能的不足而導(dǎo)致的不合理風(fēng)險(xiǎn)。
上述兩種預(yù)期功能安全的應(yīng)用領(lǐng)域,驗(yàn)證目標(biāo)均是以剩余風(fēng)險(xiǎn)概率來衡量。但預(yù)期功能安全并不能解決自動駕駛正常狀態(tài)下能力邊界的開發(fā)管控。
預(yù)期行為安全
對于“水下冰山”,我們也需要定義自動駕駛能力可接受的準(zhǔn)則。目前行業(yè)共識是自動駕駛需要避免設(shè)計(jì)運(yùn)行范圍內(nèi)合理可預(yù)見且可避免的事故發(fā)生。這就與剩余風(fēng)險(xiǎn)的接受準(zhǔn)則有明顯的差異:風(fēng)險(xiǎn)量化方式是概率,能力量化方式是參數(shù)范圍。
至于為什么約束是在“設(shè)計(jì)運(yùn)行范圍內(nèi)”而非“自動駕駛運(yùn)行過程中”,我們會在下文的ODD的安全性要求中單獨(dú)討論。
合理可預(yù)見這是對“水面下”所有情形的語義級量化。這就引出了基于場景的自動駕駛能力評價(jià),參考標(biāo)準(zhǔn)是ISO34502。其通過對道路實(shí)際情形的采集,統(tǒng)計(jì)得到邏輯場景的參數(shù)分布統(tǒng)計(jì)值,通過“小概率事件”概念找到合理可預(yù)見的參數(shù)范圍。在34502中,用廣泛意義上的切入場景為例,介紹了兩參數(shù)聯(lián)合分布區(qū)間統(tǒng)計(jì)方法,給出3倍標(biāo)準(zhǔn)差和5倍標(biāo)準(zhǔn)差作為參考合理可預(yù)見的量化。企業(yè)應(yīng)用該標(biāo)準(zhǔn)時(shí),需要進(jìn)一步細(xì)化功能場景,避免功能場景寬泛,導(dǎo)致參數(shù)范圍過大,造成自動駕駛能力的過約束。從實(shí)際企業(yè)應(yīng)用實(shí)踐來看,路上的切入行為可以進(jìn)一步細(xì)分,如慢速切入,快速切入、慢速切入后制動、切入中止等行為。通過對每一種危險(xiǎn)交互行為進(jìn)行參數(shù)邊界刻畫,可以降低對自動駕駛能力的過約束程度,并降低測試驗(yàn)證的成本。
圖2 慢速切入場景參數(shù)空間示例(圖片來自34502)
參考模型是注意力集中的一般駕駛員。一般駕駛員尚沒有明確定義。本文推薦是具備防御性駕駛能力、能夠靈活遵守交規(guī)、可采取多種規(guī)避風(fēng)險(xiǎn)手段、反應(yīng)生理指標(biāo)為大數(shù)據(jù)統(tǒng)計(jì)樣本均值的駕駛員。在UNECE R157(ALKS)法規(guī)中僅介紹了一般駕駛員的反應(yīng)生理指標(biāo)確定方法。但并未對前三個(gè)駕駛能力特點(diǎn)予以界定。
  • 防御性駕駛能力:當(dāng)代社會防御性駕駛能力已經(jīng)是一般駕駛員的普遍要求。人類駕駛員可對周圍環(huán)境進(jìn)行提前10s的意圖預(yù)判,比如道路前方公交車站有靜止公交車開啟左轉(zhuǎn)燈,那么對于該情景的預(yù)判是,公交車將要起步向左進(jìn)行變道,社會車輛人類駕駛員的正確動作是在公交車起步前,及時(shí)制動讓其變道,或者自車向左進(jìn)行變道。
  • 能夠靈活遵守交規(guī):在交規(guī)中有層級關(guān)系,為避免事故發(fā)生或?yàn)樘厥廛囕v讓行的情況下,人類駕駛員可以突破交規(guī)其他條款要求。
  • 可采取多種規(guī)避風(fēng)險(xiǎn)手段:在UNECE R157,駕駛員對于切入場景的應(yīng)對措施為制動跟隨,但真實(shí)人類駕駛員規(guī)避手段還有鳴笛、燈語、變道等手段;這些手段均需要進(jìn)行建模評價(jià)。
如果自動駕駛能夠在合理可預(yù)見的場景下,達(dá)到上述一般駕駛員避免風(fēng)險(xiǎn)的水平,則可判定滿足了預(yù)期行為安全要求。
交規(guī)符合性
提高交通流整體的協(xié)調(diào)性,才能有效提高道路的交通安全水平。協(xié)調(diào)性的提升需要長時(shí)間的法規(guī)、教育和社會引導(dǎo)。為保持協(xié)調(diào)性的穩(wěn)健提升,政府不可能,也不應(yīng)該因?yàn)樽詣玉{駛發(fā)展輕易改變既定且合理的交通規(guī)則。
自動駕駛功能的設(shè)計(jì)應(yīng)考慮交通流行為模式,不可特立獨(dú)行。駕駛輔助功能往往僅關(guān)注車輛的橫縱向控制(包括那些高級駕駛輔助功能),但自動駕駛功能充當(dāng)了駕駛員的角色,它需要能夠理解其他道路使用者的燈語、鳴笛、特殊行駛權(quán)力等,并做出相應(yīng)的決策響應(yīng)。原則上,作為道路交通行為的參與者,自動駕駛功能應(yīng)遵循所運(yùn)行區(qū)域的交規(guī)項(xiàng)。但以現(xiàn)有感知和規(guī)劃決策研發(fā)水平看,想實(shí)現(xiàn)這一原則具有非常大的挑戰(zhàn)性。舉例來說,交規(guī)要求對警車、救護(hù)車等應(yīng)急車輛讓行。為實(shí)現(xiàn)該行為要求,自動駕駛功能首先應(yīng)識別到周圍存在的應(yīng)急車輛,并且能夠判斷其是否在執(zhí)行公務(wù),之后判定自車是否有讓行的可能性。讓行的可能性的判定較為復(fù)雜,若自動駕駛車輛是阻礙應(yīng)急車輛行駛的關(guān)鍵要素,那么自動駕駛車輛哪怕違反信號燈等要求,也要為應(yīng)急車輛挪出通行空間。當(dāng)完成讓行義務(wù)后,應(yīng)立即停止其他違規(guī)行為。這一要求雖難,但卻可以實(shí)現(xiàn),尤其對于L4級來說,是必須要實(shí)現(xiàn)的。

有些交規(guī)要求則在短期內(nèi)看,是無法實(shí)現(xiàn)的,比如按交警指揮行駛,這需要感知實(shí)現(xiàn)對非標(biāo)準(zhǔn)手勢的精準(zhǔn)識別,如圖3所示。對于此類難以實(shí)現(xiàn)的要求,自動駕駛設(shè)計(jì)過程中,可通過ODD,與駕駛員和遠(yuǎn)程協(xié)調(diào)員進(jìn)行良好配合以滿足交規(guī)。比如,ODD中可將交警作為其中一項(xiàng)要素,當(dāng)ADS識別到交警在其行駛范圍內(nèi),就發(fā)出接管請求,由駕駛員或遠(yuǎn)程協(xié)調(diào)員接管控制。這樣既滿足了交規(guī)要求,又保證了行駛安全。

圖3復(fù)雜情形下交警非標(biāo)準(zhǔn)手勢指揮交通(圖片來自網(wǎng)絡(luò))
有些交規(guī)項(xiàng)約束的行為無法清晰量化,如路口通行優(yōu)先權(quán)。實(shí)際路口交通事故,往往是由于博弈失敗造成的,交警通過通行優(yōu)先權(quán)能夠較為清晰判斷何方為主責(zé)。但對于自動駕駛工程師而言則很難把握到底何種程度的讓行,才算是從前因滿足了要求,而非后果。這需要不同部委協(xié)調(diào)將某些主觀條款進(jìn)行客觀化,讓自動駕駛的開發(fā)及驗(yàn)證需求明確。基于后果的判定,仍由實(shí)際運(yùn)行結(jié)果進(jìn)行定責(zé),并由算法的優(yōu)劣和保險(xiǎn)來綜合承擔(dān)博弈的風(fēng)險(xiǎn)。
自動駕駛即使完全遵守了交規(guī),也需合理應(yīng)對在路上合理可預(yù)見的違規(guī)社會車輛。這點(diǎn)也是預(yù)期行為安全需要覆蓋的內(nèi)容。

有人可能會說,如果按照嚴(yán)格交規(guī)行駛在路上,自動駕駛車輛無法在開放道路上行駛。誠然,部分交規(guī)條目設(shè)置較為嚴(yán)苛,比如安全距離、超車對于開啟轉(zhuǎn)向燈時(shí)長要求、不能連續(xù)變道等要求。這些要求在人類駕駛員開車過程中也并非嚴(yán)苛執(zhí)行,需要綜合周圍環(huán)境靈活執(zhí)行。比如一個(gè)設(shè)置不合理路口,如圖4所示,從A點(diǎn)進(jìn)入主路的車輛需要在前方路口從B點(diǎn)左轉(zhuǎn),其需要跨越多個(gè)直行道才可到達(dá)左轉(zhuǎn)道,按照不能連續(xù)變道的行為要求,那么車輛僅能用近乎泊車的操作方式行進(jìn),在交通擁堵的情況下,這種方式還可以接受,但如果此路段上沒有與主車交互的社會車輛,卻仍需蠕行前進(jìn),那么這條交規(guī)約束就顯得很不合理。這需要公安部門連同相關(guān)研究院所和自動駕駛企業(yè)進(jìn)行科學(xué)分析,對道交法進(jìn)行合理修正。
圖4交規(guī)與實(shí)際道路沖突示意(圖片來自青島交警)
ODD合理性
ODD的提出對駕駛自動化分級甚至自動駕駛產(chǎn)業(yè)發(fā)展有重要作用。
一是,ODD是區(qū)分L5與L3、L4的重要依據(jù),ODD的寬泛與否直接顯示了自動駕駛應(yīng)對復(fù)雜環(huán)境的能力水平。
二是,ODD定義了跟用戶間交互的邊界。對于L2來說ODD無異于免責(zé)條款,只需要將不適用工況寫到ODD中,并提前對用戶進(jìn)行告知,即可免除產(chǎn)品缺陷的責(zé)任,核心原因是L2及以下,人類駕駛員承擔(dān)了環(huán)境感知的主體責(zé)任。受此種觀念的影響,最初L3要求發(fā)出接管請求駕駛員就有責(zé)任義務(wù)去做接管動作。其思維模式還是從企業(yè)角度撇清由于設(shè)計(jì)不足導(dǎo)致的責(zé)任問題。但到達(dá)L3以上時(shí),我們應(yīng)該從用戶角度思考接管,用戶不應(yīng)承擔(dān)設(shè)計(jì)不足的不合理風(fēng)險(xiǎn)。自動駕駛功能承擔(dān)了運(yùn)行過程中所有的感知職能,包含對ODD的感知。正是因?yàn)橹匾?,ODD的識別與響應(yīng)才被工信部準(zhǔn)入指南意見列為第一位要求。
UNECE R157中將ODD的識別與響應(yīng)要求分為了兩大類事件:計(jì)劃事件和非計(jì)劃事件。針對計(jì)劃事件,系統(tǒng)需在該事件發(fā)生前留足充足的接管時(shí)間,即使在駕駛員不接管的情況下,也要通過MRM,避免計(jì)劃事件的發(fā)生。舉例來說,某功能不能實(shí)現(xiàn)匝道行駛,由于匝道入口是可以提前預(yù)知的,因此該功能在接近匝道入口時(shí),應(yīng)提前發(fā)出接管請求。針對非計(jì)劃事件,系統(tǒng)識別到該事件發(fā)生后應(yīng)發(fā)出接管請求。舉例來說,某功能不能實(shí)現(xiàn)在能見度低的情況行駛,由于大霧天氣是不可以提前預(yù)知的,因此該功能在識別到能見度低于一定程度后,應(yīng)提前發(fā)出接管請求,即非計(jì)劃事件已經(jīng)發(fā)生,再進(jìn)行ODD相關(guān)的響應(yīng)動作。
在研的ISO 34503標(biāo)準(zhǔn)將采用分層的方式給出ODD描述的規(guī)范性話術(shù)。對于ODD的描述,筆者有三點(diǎn)建議。
首先,不將交通參與者作為ODD要素。在公開道路上,我們無法約束交通參與者的種類,即使在高速公路,仍然會有沿路行駛的道路養(yǎng)護(hù)工人、發(fā)生事故后去擺三角警示牌的駕駛員等出現(xiàn)。這類情況要由預(yù)期行為安全來覆蓋,不能通過ODD予以免責(zé)。
其次,ODD的要求應(yīng)能符合要素的狀態(tài)存在變化的實(shí)際情況,合理設(shè)定“不要求、不允許/允許、計(jì)劃事件、非計(jì)劃事件”。比如圖5,路面鋪裝狀態(tài),在大家普遍認(rèn)知下,該狀態(tài)可以以固定值寫在地圖文件中。但某段路面鋪裝狀態(tài)可能經(jīng)過一個(gè)晚上就會發(fā)生變化,由鋪裝路面變成全部非鋪裝。本來自動駕駛功能在該路段是可以行駛的,由于該變化,在依靠地圖確認(rèn)ODD的技術(shù)路線下,標(biāo)注狀態(tài)未變更時(shí),自動駕駛功能將會在此路段駛出ODD,此時(shí)應(yīng)識別到超出ODD,并做出相應(yīng)的響應(yīng),即非計(jì)劃事件發(fā)生。如果地圖標(biāo)注信息更新,那么,ODD針對該路段的鋪裝狀態(tài)由不要求變?yōu)橛?jì)劃事件,之后車輛再行駛到此路段,就應(yīng)按照計(jì)劃事件要求進(jìn)行響應(yīng)。
最后,計(jì)劃事件和非計(jì)劃事件的劃分是在不具有換道功能的前提下提出的。針對更廣泛的自動駕駛功能,我們需要綜合考慮通行空間,設(shè)定計(jì)劃事件和非計(jì)劃事件響應(yīng)要求。還以鋪裝狀態(tài)為例(圖5),如果一段道路同向存在多條通行車道,若存在一條車道的狀態(tài)由鋪裝變?yōu)榉卿佈b,若自動駕駛功能能夠依靠地圖標(biāo)標(biāo)注,獲知可通行車道,在該路段提前變道駛?cè)脘佈b車道,那么依然可以作為“不要求”,不需進(jìn)行ODD邊界相關(guān)的響應(yīng)。
圖5 地圖標(biāo)記狀態(tài)與ODD響應(yīng)要求示例
企業(yè)需要證明針對所有涉及ODD邊界的要素的感知手段可靠合理,及響應(yīng)方式滿足計(jì)劃事件和非計(jì)劃事件要求,不留存不合理的風(fēng)險(xiǎn),可采用預(yù)期功能安全的分析方式。
回到我們在預(yù)期行為安全部分留存的話題:為什么約束預(yù)期行為安全是在“設(shè)計(jì)運(yùn)行范圍內(nèi)”而非“自動駕駛運(yùn)行過程中”。原因是,當(dāng)遇到非計(jì)劃事件時(shí),自動駕駛車輛已經(jīng)超出了ODD,但仍處于自動駕駛運(yùn)行過程中,此時(shí)安全風(fēng)險(xiǎn)激增,我們只能要求自動駕駛進(jìn)入到MRM,無法要求其仍能實(shí)現(xiàn)正常狀態(tài)下的駕駛能力即預(yù)期行為安全。
人機(jī)交互安全
人機(jī)交互環(huán)節(jié)主要涉及駕駛員主動干預(yù)、HMI、接管請求、駕駛員狀態(tài)監(jiān)控等。國際的FRAV和國內(nèi)的國標(biāo)自動駕駛功能通用技術(shù)要求都針對各交互環(huán)節(jié)提出了技術(shù)要求,以保證安全。企業(yè)開發(fā)相關(guān)功能應(yīng)證明滿足相關(guān)要求。本文不對相關(guān)要求進(jìn)行復(fù)述,僅拋出幾個(gè)未解的原則性難題。
主動干預(yù)時(shí),自動駕駛功能是否立即退出?筆者認(rèn)為,短期內(nèi)自動駕駛對風(fēng)險(xiǎn)的判斷能力難以達(dá)到老司機(jī)的水平,除非企業(yè)能通過其駕駛脫離數(shù)據(jù),證明由人干預(yù)導(dǎo)致碰撞的風(fēng)險(xiǎn)水平要比自動駕駛顯著高。如果這種水平真的已經(jīng)達(dá)到了,公開數(shù)據(jù)也是一件對企業(yè)市場反響有極大利好的事情。但到目前為止,眾多企業(yè)對脫離數(shù)據(jù)進(jìn)行高度封鎖。由此可知,人類的決策依然在大多情況是合理的。在該推斷下,如果發(fā)生主動干預(yù),自動駕駛功能應(yīng)將駕駛權(quán)立即交還給人類駕駛員。這樣也能夠避免人機(jī)共駕狀態(tài)下責(zé)任界定不清的問題,干預(yù)后責(zé)任應(yīng)由人類駕駛員承擔(dān)。
接管請求發(fā)出后,駕駛員是否應(yīng)被要求立即接管?在最初的SAE J3016中,L3級自動駕駛功能發(fā)出接管請求后,駕駛員有義務(wù)立即接管。但隨著行業(yè)發(fā)展,人們對自動駕駛理解日趨深入,再將接管中不合理的風(fēng)險(xiǎn)留給駕駛員就是企業(yè)不負(fù)責(zé)的表現(xiàn)。從“ODD合理性”一節(jié)中,我們可以看出,無論是非計(jì)劃事件還是計(jì)劃事件,只是要求發(fā)出接管請求,接管前風(fēng)險(xiǎn)的承擔(dān)者仍是企業(yè)。駕駛員接管后,責(zé)任邏輯和干預(yù)時(shí)一樣的,接管點(diǎn)后,自動駕駛立即退出,駕駛權(quán)和責(zé)任交還給駕駛員。如果接管請求發(fā)出的不合理,留存了人類駕駛員也無法處理的風(fēng)險(xiǎn),則證明企業(yè)在設(shè)計(jì)之初就存在嚴(yán)重問題,駕駛員也不應(yīng)被強(qiáng)加接管義務(wù)。人類駕駛員應(yīng)出于流暢駕駛體驗(yàn)和補(bǔ)充自動駕駛功能策略性不足(比如不能在V2X裝置的紅綠燈路口通行)等原因收到請求后自愿擇機(jī)接管,而非接管處理自動駕駛存留的不合理風(fēng)險(xiǎn)。
我國創(chuàng)新性地將駕駛員狀態(tài)作為自動駕駛激活與運(yùn)行條件之一,提出了駕駛員狀態(tài)+ODD的ODC概念。那么,是否任何駕駛員均可以激活自動駕駛功能呢?筆者認(rèn)為,需要經(jīng)過專業(yè)培訓(xùn)后的駕駛員,在熟練知曉自動駕駛功能的激活/接管/干預(yù)/MRM等基礎(chǔ)概念和操作后,才可激活自動駕駛功能。為實(shí)現(xiàn)這一要求,企業(yè)在銷售車輛時(shí),需對駕駛員進(jìn)行售后培訓(xùn)。自動駕駛功能的駕駛員狀態(tài)監(jiān)控也不僅僅監(jiān)控駕駛員的疲勞狀態(tài),還需確認(rèn)當(dāng)前駕駛員是否經(jīng)過培訓(xùn),是否擁有開啟功能的權(quán)限。
另外,自動駕駛功能有義務(wù)提供用戶接管或者干預(yù)的所有駕駛條件,包括合適的照明范圍與強(qiáng)度、干凈的擋風(fēng)玻璃、合適的后視鏡角度等。并且,能在此基礎(chǔ)之上,提供接管和干預(yù)時(shí)機(jī)的安全風(fēng)險(xiǎn)提示,這是在用戶駕駛安全性水平上的附加功能,其收益與預(yù)警功能的輔助駕駛相同。
通過上述問題的討論可以看出,合理組織人機(jī)交互,讓駕駛權(quán)責(zé)清晰,是保證安全的先決條件。行業(yè)仍需進(jìn)行廣泛討論并驗(yàn)證合理的人機(jī)交互方式,為功能標(biāo)準(zhǔn)制定和法規(guī)完善做出貢獻(xiàn)。
事故相關(guān)功能要求
從眾多駕駛輔助事故中我們可以看到自動駕駛運(yùn)行數(shù)據(jù)和事故數(shù)據(jù)記錄的重要性,對于未來自動駕駛更是如此。交警需要基于該數(shù)據(jù)判定事故與違規(guī)責(zé)任承擔(dān)方,市場監(jiān)督管理局需要基于該數(shù)據(jù)判定自動駕駛是否存在質(zhì)量缺陷,工信部需要據(jù)此后置性評判企業(yè)準(zhǔn)備準(zhǔn)入材料的真實(shí)性。
企業(yè)需要按照DSSAD標(biāo)準(zhǔn)和GB 39732—2020 汽車事件數(shù)據(jù)記錄系統(tǒng)記錄下相關(guān)內(nèi)容,并且應(yīng)滿足數(shù)據(jù)存儲測試要求,包括:數(shù)據(jù)觸發(fā)條件試驗(yàn)、數(shù)據(jù)正確性試驗(yàn)、數(shù)據(jù)存儲能力試驗(yàn)、存儲覆蓋試驗(yàn)、斷電存儲試驗(yàn)等。存儲的數(shù)據(jù)應(yīng)能被正確讀取,且應(yīng)能防止數(shù)據(jù)被篡改、偽造或惡意刪除。
按照現(xiàn)行交規(guī)要求,在事故發(fā)生后,應(yīng)停車對受傷人員進(jìn)行施救。自動駕駛功能應(yīng)能發(fā)現(xiàn)自車發(fā)生了事故,并在自車情況允許的條件下,控制停車,保留事故現(xiàn)場。如若不能實(shí)現(xiàn)該能力,則會帶來肇事逃逸的嚴(yán)重后果。
參考美國耐撞性安全要素,自動駕駛功能不應(yīng)降低現(xiàn)有主被動安全標(biāo)準(zhǔn)約束下的安全性水平。如果制造商不改變現(xiàn)有駕駛艙布局、主動安全參數(shù)設(shè)置,這點(diǎn)要求不難達(dá)到。但現(xiàn)有L4方案提供商提出了拿掉方向盤或者調(diào)轉(zhuǎn)座椅的方向等概念,這就需要重新對氣囊安裝位置、起爆時(shí)間進(jìn)行標(biāo)定。企業(yè)如果想做到高于此基準(zhǔn)要求,那么就要將自動駕駛功能、主被動安全聯(lián)合開發(fā),精準(zhǔn)降低碰撞損傷程度。
OTA升級管理
車輛全生命周期運(yùn)行的自動駕駛功能原則上應(yīng)與最初準(zhǔn)入采用的版本一致。但考慮到未知不安全的缺陷需要長時(shí)間驗(yàn)證,社會接受通過軟件升級解決未知不安全問題。但企業(yè)也需要擔(dān)起升級管理的規(guī)范化問題。
企業(yè)應(yīng)制定軟件升級從設(shè)計(jì)、開發(fā)、測試、發(fā)布、推送等過程的標(biāo)準(zhǔn)規(guī)范,并遵照執(zhí)行。企業(yè)應(yīng)對軟件升級可能影響的功能和性能進(jìn)行測試和驗(yàn)證,確保符合相關(guān)法規(guī)、標(biāo)準(zhǔn)和技術(shù)要求。具體要求可參看WP29中關(guān)于OTA的討論文件。
生命周期管理
車輛并非手機(jī),電腦,它要求在其全生命周期中,性能應(yīng)保持在相對穩(wěn)定且一致的狀態(tài)。傳統(tǒng)車輛在長時(shí)間運(yùn)行后,制動系統(tǒng)、懸架系統(tǒng)、驅(qū)動系統(tǒng)等參數(shù)均會發(fā)生小幅度的變化,但仍能通過合理養(yǎng)護(hù),保證通過年檢要求。
自動駕駛功能仍然搭載在傳統(tǒng)車輛結(jié)構(gòu)之上,應(yīng)能夠適應(yīng)這些參數(shù)的變化,并保持對上述各項(xiàng)安全要求的符合性。適應(yīng)的方式可以是能夠識別到參數(shù)的變化,并對自動駕駛功能進(jìn)行自適應(yīng)調(diào)整,或者是在自動駕駛功能設(shè)計(jì)之初就對各項(xiàng)要求增加一定的安全系數(shù),亦或者是在參數(shù)變化到一定程度,提醒用戶進(jìn)行維修養(yǎng)護(hù)。
另外,自動駕駛功能在車輛上安裝了獨(dú)屬于自己的部件。企業(yè)在開發(fā)過程中也需要考慮部件老化、疲勞、標(biāo)定參數(shù)變更等影響。
測試驗(yàn)證方法
我國汽車領(lǐng)域標(biāo)準(zhǔn)制定方式往往是將一個(gè)新功能的性能要求和對應(yīng)試驗(yàn)方法寫在同一個(gè)標(biāo)準(zhǔn)中,這方便了企業(yè)研發(fā)和第三方測試實(shí)施。但自動駕駛功能要求涉及了太多方面,如果將所有試驗(yàn)方法都寫出來并不現(xiàn)實(shí)。國內(nèi)借鑒多支柱法理念,分別制定了仿真(起草中)、封閉場地(發(fā)布)、實(shí)際道路(征求意見)三項(xiàng)標(biāo)準(zhǔn)。
封閉場地國標(biāo)的思路與傳統(tǒng)ADAS標(biāo)準(zhǔn)一致,挑選了典型功能和危險(xiǎn)場景作為測試項(xiàng),很難約束自動駕駛的安全基準(zhǔn)。實(shí)際道路測試標(biāo)準(zhǔn)基于小概率事件在較短試驗(yàn)時(shí)長中不應(yīng)發(fā)生的假設(shè),選取覆蓋典型要素的試驗(yàn)道路,進(jìn)行72小時(shí)自動駕駛功能“連續(xù)”測試,通過的核心要求為無故障、無干預(yù)、無事故、無違規(guī)、無明顯不合理行為。該標(biāo)準(zhǔn)確定了一個(gè)合理門檻,但也只能供第三方使用。
自動駕駛開發(fā)企業(yè)在量產(chǎn)時(shí)會聲明滿足了上述十個(gè)方面安全要求,但各方面仍需要科學(xué)的證明方式,企業(yè)需說明其保證達(dá)到要求所采用的測試評價(jià)方法與工具以及最終評價(jià)結(jié)論,比如功能安全需要做FEMA和故障注入,預(yù)期功能安全需要做HARA和基于數(shù)據(jù)驅(qū)動的問題全覆蓋測試,預(yù)期行為安全需要進(jìn)行基于場景和駕駛員的能力比對測試等。如果自動駕駛引發(fā)了上述要求相關(guān)的事故,政府也需要企業(yè)依據(jù)聲明的測試評價(jià)方法與工具,提供更詳細(xì)的自證明材料證明研發(fā)測試的充分性與真實(shí)性。
行業(yè)需要針對上述安全要求(包括國標(biāo)通用技術(shù)要求的每一條)形成能滿足測試充分性的最優(yōu)實(shí)踐方法,使得各項(xiàng)功能、性能評價(jià)規(guī)范在同一對話緯度上,也可為各部委的準(zhǔn)入提供格式一致的證明材料。
總結(jié)
企業(yè)需要認(rèn)真思考,務(wù)實(shí)實(shí)踐上述十點(diǎn)安全要求,遵從并高于相關(guān)標(biāo)準(zhǔn)法規(guī),從功能實(shí)現(xiàn)、開發(fā)流程等多個(gè)維度,腳踏實(shí)地提升自動駕駛能力,保證自動駕駛安全。
本文重點(diǎn)闡述了可造成事故風(fēng)險(xiǎn)的安全話題。自動駕駛還需依法保護(hù)個(gè)人數(shù)據(jù)安全,在此,就不繼續(xù)討論了。

上述各點(diǎn)內(nèi)容介紹并不全面,大家可自行閱讀本文參考文獻(xiàn),找到每一點(diǎn)更細(xì)致的要求。本文僅為打破多年來行業(yè)空談“自動駕駛比人安全”的陳舊理念,促進(jìn)行業(yè)樹立正確的自動駕駛安全觀,實(shí)事求是提升自動駕駛安全能力。文中觀點(diǎn)意在拋磚引玉,并非定論,如有不妥,歡迎同行多交流指正。
安全類別
核心內(nèi)涵
企業(yè)應(yīng)對方法
待解決問題
相關(guān)管理部門
功能安全
管控由硬件或者軟件故障導(dǎo)致的風(fēng)險(xiǎn)
GB/T 34590
風(fēng)險(xiǎn)可接受程度量化
公安、質(zhì)檢
預(yù)期功能安全
管控算法缺陷的概率性風(fēng)險(xiǎn)
ISO 21448
缺乏算法缺陷普遍認(rèn)知風(fēng)險(xiǎn)可接受程度量化
工信、質(zhì)檢
預(yù)期行為安全
管控應(yīng)對交互行為的風(fēng)險(xiǎn)
ISO 34502
缺乏對交互行為系統(tǒng)梳理缺乏多種人類駕駛模型研究
工信、質(zhì)檢
網(wǎng)絡(luò)安全
避免網(wǎng)絡(luò)攻擊造成人身財(cái)產(chǎn)損失
ISO21434
--
國安、工信、公安
交規(guī)符合性
與人類駕駛車輛同規(guī)同權(quán)
道交法
修改不合理的交規(guī)路權(quán)等法規(guī)需要量化,哪些范圍屬于合理可接受的博弈
公安,交通部,工信部
ODD合理性
ODD邊界需要自動駕駛功能識別與應(yīng)對,保證不將不合理風(fēng)險(xiǎn)留給用戶
ISO 34503
ODD邊界處理的合理性判斷原則
工信部、交通部、公安、質(zhì)檢
人機(jī)交互安全
給用戶良好的使用體驗(yàn)
ALKS
干預(yù)后駕駛權(quán)交接接管是否是義務(wù)駕駛員激活權(quán)限確認(rèn)
公安、保險(xiǎn)
事故相關(guān)功能要求
能確定責(zé)任,能識別事故并停車,不降低耐撞性
待增補(bǔ)
工信部,公安
OTA升級管理
修復(fù)未知不安全的缺陷,不對其他安全要求闡述影響
討論中的OTA國標(biāo)
質(zhì)檢,公安
生命周期管理
能夠合理應(yīng)對系統(tǒng)參數(shù)變化
待增補(bǔ)
公安
數(shù)據(jù)安全
合法合規(guī)使用數(shù)據(jù)
數(shù)據(jù)安全法網(wǎng)絡(luò)安全法個(gè)人信息保護(hù)法
國安、工信、公安
參考文獻(xiàn)
1. 自動駕駛汽車交通安全白皮書
2. AUTOMATED DRIVING SYSTEMS 2.0: A VISION FOR SAFETY
3. 《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南(試行)》(征求意見稿)
4. GB/T 34590 道路車輛 功能安全
5. ISO 21434 Road vehicles — cybersecurity engineering
6. ISO/DIS 21448 Road vehicles — Safety of the intended functionality
7. ISO/DIS 34502 Road vehicles - Scenario-based safety evaluation framework for Automated Driving Systems
8. ISO/AWI 34503 Road vehicles — Taxonomy for operational design domain for automated driving systems
9. 中華人民共和國道路交通安全法
10. Functional Requirements for Automated and Autonomous Vehicles (FRAV). https://wiki.unece.org/pages/viewpage.action?pageId=87622236
11. UNECE R157 Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to Automated Lane Keeping System
12. SAE J3016 Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems
13. GB/T XXXX 智能網(wǎng)聯(lián)汽車 自動駕駛功能通用技術(shù)要求
14. DSSAD / EDR. https://wiki.unece.org/pages/viewpage.actiopageId=87621709
15. GB 39732—2020 汽車事件數(shù)據(jù)記錄系統(tǒng)
分享到:
 
反對 0 舉報(bào) 0 收藏 0 評論 0
滬ICP備11026917號-25