首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

汽车自动驾驶的安全性之讨论

人们普遍认为自动驾驶能帮助司机减少在交通拥堵和在公路上驾驶时的无聊感受,同时也能减少每年高速公路上的死亡人数。但现状却相反,汽车企业急于抢占市场,没有特别重视生命攸关的汽车控制系统设计。由于设计存在问题,可能造成严重的交通事故,也阻碍了自动驾驶行业的发展。目前,在龙头企业和监管机构的主导下,自动驾驶的安全目标被设定为“至少达到手动驾驶的水平”。尽管如此,美国每年因自动驾驶致死的人数接近36500人,即平均每天死亡100人。这种状况也是值得警惕的。

美国汽车工程师协会(SAE International)在SAE J3016中定义了机动车辆的6个自动驾驶等级。目前,多家汽车制造商正在争相抢占自动驾驶市场。福特公司表示,到2021年,L5等级的车辆将投入运营。丰田公司于2019年2月宣布,计划在一年内上市配备超级智能计算机的自动驾驶汽车(轮胎上最智能的超级计算机)。为了实现这一目标,丰田负责软件开发的副总裁表示:“ 我们的目标是在这里传授硅谷的思维模式。”

Waymo是谷歌(Google)自动驾驶项目孵化出的自动驾驶汽车公司,目前已在亚利桑那州凤凰城推出了一项全自动驾驶的搭车服务,并在佐治亚州亚特兰大市开展了“big rig”型自动驾驶卡车的公路测试。大众汽车(Volkswagen)与福特公司合作, 将在2021年前部署自动驾驶车队。早在2016年,特斯拉公司(Tesla)就提出只靠软件编程不能解决自动驾驶的安全问题,其生产的所有汽车都配备了支撑L5级自动驾驶能力的硬件。

每家制造商都制定了自己的自动驾驶控制系统(AVCS)的安全标准。为了保障网络安全,他们选取的安全标准参照了美国运输部发布的权威标准或 Auto-ISAC发布的最佳实践标准。基于当前已有和正在制定的全球标准,12家自动驾驶汽车行业的龙头公司联合撰写了一份长达150页的白皮书《自动驾驶的安全第一》(Safety First for Automated Driving),建立了自动驾驶的行业标准。白皮书描述了实现“安全设计”的开发过程,以及符合L3级和L4级自动驾驶标准的系统和部件验证的确认方法。白皮书附录还介绍了如何使用深度神经网络来实现安全的系统部件。

此白皮书的发布意味着自动驾驶又朝正确的方向迈出了重要的一步,但是,推进自动驾驶安全、制定行业标准的工作还没有完成。值得注意的是,合作制定安全标准的仅仅是一部分自愿发起倡议的公司,有别于常规的标准研制过程。而且,通常这些标准更关注公司内部的设计和开发流程,缺少外部审查或认证。这些标准没有提供可量化的安全性指标,比如控制系统每小时或每英里的预期故障率是多少。

如何保证自动驾驶系统的安全性,看似是个新的问题,但实际上在航空领域已经有了成功的范式,为自动驾驶系统的研制提供了宝贵的经验。航电系统已解决了多个挑战性问题,包括硬实时控制、防止因系统故障造成经济损失和威胁生命的高可靠性、可扩展性、可负担性,以及认证和管理等非技术性方法。全时全权限电传操纵飞控系统是航电领域与自动驾驶领域关联性最强的案例之一,对自动驾驶技术的研究具有指导意义。

自动驾驶汽车如何从航空案例中借鉴系统可靠性经验?

首先,与飞控系统一样,车控系统严格要求硬实时和低时延。在关键的车辆操纵过程中,控制或通讯故障可能导致危及生命的事故,而自控系统必须检测到相应的故障,并在几分之一秒内采取故障恢复措施,使车辆恢复至受控状态。

飞机的电传操纵系统在飞行中 必须正常运行,而车辆在出现故障时可以随时撤离道路。尽管如此,车控系统要在恢复到安全状态前严格保证故障状态下的安全行驶。

控制系统必须在遇到故障后正常运行,也就是说,系统必须具备非单点故障的设计。一旦出现故障或错误,系统必须进行补偿,并在足够短的时间内计算出正确结果,使车辆安全抵达指定地点。在航电系统中,这种功能受限的失效可操控要求已通过柔性降级方式实现。

飞机电传操纵系统能够在故障发生后采用屏蔽、冗余和复杂的重配置等方式,保证功能正常运行。车控系统如果也采用受限失效可操控的架构设计,系统架构将更为精简,开发成本也会随之降低。这方面可以借鉴早期飞控系统的设计经验。

大部分汽车工业正在从L0(完全手动)逐步过渡到L5(完全自动),并认为逐步提高自动性的做法是比较保险的。但事实上,这种做法带来了一个真正的人因工程方面的挑战。在L3级半自动模式下,常规驾驶由控制系统执行,而驾驶员的角色只在紧急情况发生时介入并进行故障处理。

在飞机驾驶舱内,训练有素的飞行员能随时做 到快速识别异常情况并采取故障恢复措施,这种紧急情况的应对能力需要大量的模拟训练,以及驾驶舱系统及飞控系统在人机交互方面采用的安全设计。普通的汽车驾驶员没有经过此类训练,因此难以像飞行员一样具有应急反应能力。另外,自动驾驶汽车在紧急情况下很少需要人工干预,导致驾驶员很难集中精力观察驾驶状态,几乎无法做到在安全警报响起后的几分之一秒内快速反应并接管自动驾驶。

在飞控系统的研制上,空中客车公司选择了全自动驾驶,而波音公司则依靠飞行员来处理紧急情况,这种状况将一直持续到机 动特性增强系统发生事故。现如今,业界仍在研究飞控系统应如何平衡全自动驾驶与人工介入处理紧急情况这两种操纵模式。

汽车工业需要慎重考虑如何从L0发展到L5,在必要的情况下,甚至需要彻底改变发展路线,如跳过L3级直接达到更高一级(福特、Waymo和奥迪曾宣布将跳过L3,但福特后来又改变了立场),以避免半自动驾驶控制系统带来的安全隐患。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20210130A0CJ8Y00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券