加入軒轅之學 成就新汽車人
撰文 / 玖 零
編輯 / 張 南
前段時間,華爲與小鵬的 AEB(Autonomous Emergency Braking,自動緊急制動)之争,把智能汽車的安全性,推到了大衆視野,也在廣大車主中引發了一場熱議。而在這段争論之前,在過去的幾年裏,也時而會爆出造車新勢力的智能駕駛引發碰撞事故的新聞,導緻公衆對智能駕駛的安全性産生懷疑,難以完全信任。
問題的本質在于:智能駕駛沒能做好安全題。安全作爲汽車功能的一票否決項,決定着消費者對智能駕駛的根本态度,也決定着智能汽車的普及程度。
随着汽車智能化進程的加速,尤其是各路造車新勢力對汽車的重新定義,汽車正在從傳統的重工業産品,逐漸具備消費電子産品的屬性。智能化是汽車産業升級的趨勢,消費電子化對于提升用戶體驗,讓智能汽車更貼近普通消費者,發揮了積極作用,也有利于形成多元化的産業格局。
不過,我們也應該意識到,消費電子産品與與重工業産品,作爲兩個級别的産品,仍存在較大的差異;汽車雖然正在消費電子化,但其本質仍然是重工業産品,仍然應該符合重工業産品的基本要求,例如安全、可靠、穩定、耐久等。
由于部分車企的過度宣傳,很多消費者以爲現階段的智能駕駛就是自動駕駛,即駕駛員可以對車輛行駛過程不管不顧,任由智能駕駛系統控制車輛行駛。但實際上,根據 SAE 對智能駕駛的分級标準,目前乘用車量産的智能駕駛功能屬于 L2 級,即用戶負責觀察環境,智能駕駛系統負責操縱車輛,是典型的人機共駕狀态,存在明顯的系統能力邊界,也就是 ODC(Operational Design Condition,設計運行條件),包括交通環境、車輛狀态、駕駛員狀态等。在 ODC 範圍内,智能駕駛系統可以很好地控制車輛,而在 ODC 邊界外,則需由人類駕駛員控制車輛。
因此,現階段智能駕駛的安全性,需保證在 ODC 範圍内,系統可以控制車輛正常行駛,符合交通法規要求且盡可能避免發生碰撞事故(事故概率應遠低于同類場景人類駕駛員發生的事故);在 ODC 範圍外,系統可以及時提示用戶控制車輛,并且在緊急狀态時,幫助駕駛員減輕事故概率;同時,應該讓用戶清晰地獲取車輛行駛狀态,即提供良好的人機交互。
根據上述對智能駕駛安全性的定義,結合工信部在 2021 年 4 月發布的《智能網聯汽車生産企業及産品準入管理指南(試行)》,我們認爲,智能駕駛的安全性,仍應回歸用戶本身,從出行場景和用戶體驗的層面,去關注用戶需要的安全保障,而不是一味地把智能駕駛當作炫技和營銷的手段。
從用戶和場景來看,智能駕駛的安全性最重要的是行駛安全與人機交互安全。此外,還有從開發流程角度須考慮的功能安全、預期功能安全、信息安全等。下面,我們分别對這幾個方面,展開解讀,詳細說明智能駕駛應該如何保障安全。
行駛安全
行駛安全是指車輛在交通環境中正常通行,避免發生碰撞事故。
識别障礙物并避開障礙物,是智能駕駛開發的核心,也是智能駕駛的重難點問題。目前市面上的大部分智能車型,已經能夠實現非緊急狀态下的目标物識别和避讓。感知算法從前幾年的 CNN(Convolutional Neural Networks,卷積神經網絡),到近兩年來流行的 BEV(Bird's Eye View),以及 GOD(General Obstacle Detection,通用障礙物檢測)、FreeSpace 等,正在不斷提高感知的性能與效果;并且從新車型的表現來看,規控算法也在不斷升級,避障能力在提升,接管率在降低。
不過,即使現在目标物識别與車輛控制的能力已經在不斷提升,但智能駕駛系統對于不同場景的危險預判能力,仍明顯不如人類老司機。對于人類駕駛員來說,老司機與新手最大的區别,在于對交通環境的 " 預見 " 能力,提前觀察道路環境,提前預判交通動态變化,從而提前規避風險。智能駕駛系統的行駛安全,同樣離不開 " 預見 " 能力。統計數據表明,用戶遇到的 90% 以上交通環境,都屬于常規行駛場景,存在一定的規律;對于特定場景中可能存在的危險因素,可以提前做出預判,提前采取措施避免風險,提升安全性。
以大車避讓場景爲例,在道路中遠離大型車輛,是老司機的經驗之談,也是人類司機的常規做法。如果智能駕駛系統識别到周圍存在大型車輛,也可以适當遠離,提高安全性。在造車新勢力的車型中,小鵬最早推出了大車避讓功能,即在相鄰車道有大車時,适當橫向偏離,遠離大車。一些開發者在 ACC(Adaptive Cruise Control,自适應巡航)的跟車算法模型中,也已經把大型車輛與小型車輛區别對待,增大了跟随大型車輛行駛的間距。
大車避讓
再以路口通行場景爲例,現階段的感知算法,已經能夠通過對交通信号燈、斑馬線等要素的識别,判斷車輛正在通過路口。根據交通法規要求,以及駕駛經驗,此時應有減速行爲,以避免突然出現的其他交通參與者。遺憾的是,目前還少有能夠在路口自動減速的案例,大多還是保持原車速通過路口。
在車外避障的同時,行駛安全也包含車内人員、财物的安全,避免急加速、急減速,以及突然地轉向,因爲這些行爲也可能引發車内的人員傷害和财物損壞。在評價智能駕駛的性能時,一項很重要的指标就是加、減速時的加速度值,以及轉向時的橫擺角速度值,這兩個數值都不宜過高,否則車輛也會有失控的風險。
ACC 遇到前方靜止車輛,是一個典型的案例。當 ACC 功能遇到前方出現靜止車輛時,會控制自車減速停車,此時減速時機非常重要。如果太晚開始減速,就難免出現 " 急刹 " 的情況。在這種場景中,目前大部分車型在大部分場景中,都可以做到平穩地減速停車,但也難免出現不明原因的急刹,研究這些急刹出現的原因,提出針對性的解決方案,是提升安全性的重要手段。
減速過彎也是一個典型的案例。LCC(Lane Centering Control,車道居中控制)功能可以控制車輛沿車道線行駛,并能通過彎道。當彎道曲率小時,LCC 可以保持原車速,平穩通過彎道;但當彎道曲率較大,如曲率半徑超過 125m 時,如果仍以原車速行駛,則車輛容易出現大的轉角,并且表現出轉向太急、不平穩的現象,因此減速過彎是必要的,即根據攝像頭識别的車道線信息,實時判斷當前道路的曲率,并根據曲率計算出平穩過彎所要求的車速(根據公式,并限定加速度 a 的值,就能通過曲率 r,計算出過彎車速上限值 v)。目前頭部智駕公司,都已經實現了根據彎道曲率調整車速的效果,但後來的追趕者,則容易忽略這一場景。
減速過彎
當交通場景超出 ODC 範圍,進入人工駕駛狀态時,智能駕駛雖然不再控制車輛運動,但仍需提供主動安全功能,向用戶提供各類安全預警,必要時施加緊急控制等,輔助用戶安全駕駛。主動安全功能雖然智能化等級不高(L0 級),但做好主動安全功能,卻并不容易。
前段時間的熱點話題 AEB,就是主動安全的典型代表。當前方有碰撞風險時,何時發出預警?何時施加制動?加速度随時間的變化是怎麽樣的?觸發條件如何設定才合理?這些都是 AEB 功能需要考慮的問題。目前國内大部分車企,采用的還是以前國際 Tier 1 巨頭的 AEB 方案,實際效果還達不到普通消費者的預期,經常出現不能及時刹停的情況,并且觸發條件也比用戶想象的更加苛刻。國内的智駕開發者們,正在不斷拓展 AEB 等主動安全功能的能力,可以看到 AEB 的作用目标範圍、避障成功率等,都在不斷提升,對提升安全性起到了積極的作用。
AEB 示意
合理且明确的 ODC 範圍也十分重要,ODC 是人駕與智駕的邊界,合理的 ODC 既要符合系統的能力,又要讓用戶能夠清晰地識别到邊界,避免出現 " 以爲系統可以處理 " 的誤區。
高速 NOA(Navigate on Autopilot,導航輔助駕駛)功能對 ODC 的定義就非常明确:當車輛位于高速公路路段時,智能駕駛系統完全控制車輛行駛;當車輛位于非高速公路或城市快速路等半封閉路段時,高速 NOA 功能退出。可以看到,市場上具有高速 NOA 功能的車型,如特斯拉、小鵬、蔚來等,都會明确說明功能起作用的地理範圍,并在 ODC 邊界處,提前向用戶發出提示,以便用戶做好接管準備。
人機交互安全
人機交互 HMI(Human-Machine Interface)作爲汽車與用戶的直接交流途徑,是用戶高知高感的部分,不僅直接影響智能駕駛的用戶體驗,對智能駕駛的安全性也有着重要影響。智能駕駛的人機交互主要包括信息顯示、安全提示、用戶接管與幹預等,對應地,人機交互安全也需要考慮到這幾方面的内容。
信息顯示的安全性,是指智能駕駛系統激活時,應該能夠讓用戶知道必要的車輛狀态和交通環境信息,給用戶提供安全感,赢得用戶信任。
以自動變道功能爲例,造車新勢力如小鵬、蔚來的車型,當智能駕駛系統控制車輛自動變道時,能夠準确地在儀表中,重構出本次變道涉及的周邊場景,如車道線、自車、其他車、車輛位置、預計的變道後落位、是否有危險車輛等,并能通過語音和觸感提示駕駛員當前正在變道。作爲用戶來說,對于變道的全過程是非常清楚的,對車輛的安全狀态也了然于心。
小鵬自動變道的顯示效果
危險場景的安全提示,也是人機交互的重要内容。在車輛周圍出現危險場景時,應能及時地通過多種人機交互方式,向用戶發出必要的提醒,包括而不限于視覺、聽覺、觸覺等。
仍以自動變道爲例,小鵬在變道過程中,如果目标車道有車輛快速接近,屏幕中會紅色高亮顯示危險車輛,目标車道也會有黃色的渲染效果,結合智能夥伴 " 小 P" 的語音播報 " 當前不适合變道 ",告知用戶此時變道可能發生碰撞,提醒用戶注意觀察目标車道的交通流。
車道偏離預警功能作爲一項基礎的預警類安全功能,通常會在視覺和聽覺之外,增加觸覺交互。當車輛壓線或偏離車道時,不僅屏幕中會将偏離的車道線高亮顯示,還會伴随機械音提醒,同時,方向盤會震動,三者共同提示用戶車輛偏離的風險。
車道偏離預警的顯示效果
用戶幹預與接管的安全性,是指當用戶主動幹預駕駛或接管車輛時,智能駕駛系統應将駕駛權立即交給駕駛員,避免系統與人 " 搶 " 控制權的問題。對于用戶踩加速或制動踏闆的操作,一般系統都會立即讓出控制權;但對于用戶的橫向幹預,即轉動方向盤時,如果車輛采用扭力式方向盤,則可能出現用戶主動施加的力矩,達不到阈值,導緻接管延遲的情況,因此合理的橫向接管阈值,是非常必要的。
目前市場上采用扭力式方向盤的車型,或多或少都存在與用戶 " 搶 " 方向盤的情況,尤其是對智能駕駛不熟悉的用戶,抱怨更加明顯。比較好的做法是定位高端的車型,例如蔚來的多款車型 ES8、ET7 等,采用電容式方向盤,從原理上解決該問題。如果限于成本原因,隻能用扭力式方向盤,那麽針對車型的目标群體,調校出合理的幹預扭矩阈值,例如針對男性群體的阈值大一些,針對女性群體的阈值小一些,是目前比較可行的折中方案。
近兩年來,随着汽車的電子電氣架構進一步集成,艙駕一體已經成爲一種趨勢,在未來,座艙與智能駕駛更将深度融合,而人機交互的安全,也更将成爲智能駕駛安全不可或缺的一部分。
功能安全
功能安全(Function Safety),是一套降低電子電氣系統的故障所引起危害的開發管理體系。汽車行業的功能安全主要依據國際标準 ISO26262 和對應的國家标準 GB/T34590,其定義爲:避免因電子電氣系統故障而導緻不合理的風險。智能駕駛的實現,主要依賴于可靠的電子電氣系統,因此功能安全對智能駕駛來說,是必不可少的。
功能安全關注的是因故障而導緻的不合理風險,目标是将這些風險控制在可接受的範圍。功能安全通過 ASIL(Automotive Safety Integrity Level,汽車安全完整性等級)來區分不同級别的風險(QM,ASIL A,ASIL B,ASIL C,ASIL D),然後根據 ASIL 等級,對電子電氣系統的開發流程,加以約束并制定對應的安全措施。ISO 26262 和 GB/T34590 定義了一套明确、完善的方法與流程,以保證汽車電子電氣系統的開發過程,能夠滿足功能安全的要求。
功能安全的 V 模型流程
目前行業内的智能駕駛公司,都會把功能安全作爲開發流程中必須考慮的内容,并按照功能安全的要求來開發智能駕駛的系統、硬件和軟件,也有公司正在或已經完成了功能安全體系的認證。不過,由于智能駕駛的發展時間還不長,技術叠代迅速,而功能安全又是僅針對電子電氣系統的标準,對于更加智能化的智能駕駛,沒有專門的方法,因此目前行業内對于功能安全在智能駕駛開發過程的應用,還沒有形成統一的認知,還處于摸索和局部應用階段。
例如,根據 ASIL 的分類依據,我們可以把 NOA 功能,整體歸于 ASIL D 級别,但是 NOA 功能包含的場景和子功能有很多,對于其中每一類場景和子功能的故障失效,是否都屬于 ASIL D 級别?如果不是,那麽分别應該屬于哪一個安全等級?這個問題,相信大多數公司并沒有系統而完整的定義。
再如,對于近期熱議的 AEB 功能,網絡上開始用最高可激活的車速作爲 AEB 的重要評價指标,似乎可激活的車速越高,AEB 功能越好,但是從功能安全的角度來說,這種做法并不妥。衆所周知,AEB 的制動非常突然且加速度非常大,不僅會造成車内人員極度不适,還會引發後車追尾等次生事故;如果因系統故障導緻 AEB 誤觸發,那麽,車速越高,危害程度越大,也越不可控。因此,目前業内的 AEB 測試認證标準,對 AEB 的最高車速要求,都不會特别高。
針對以上問題,我們認爲,開發者尤其是消費電子轉到汽車電子行業的開發者,一方面應該充分認識到功能安全的重要意義,認真對待;另一方面,也應該遵循長期主義,願意投入成本,在智能駕駛開發中持續摸索和優化功能安全的實踐,真正讓功能安全标準,與智能駕駛的先進技術融合,并能形成一套可參考的規範。
預期功能安全
功能安全針對的是電子電氣系統失效的情況,預期功能安全 SOTIF(Safety Of The Intended Functionality)針對的則是系統本身的限制以及非預期的場景。對于智能駕駛來說,僅從系統失效角度,遵守功能安全标準是不夠的,還應該充分考慮智能駕駛系統的能力邊界,存在風險的行駛場景,以及駕駛員的誤操作等因素,因此還應該遵守預期功能安全标準,主要是國際标準 ISO 21448 的要求。
以交通信号燈場景爲例,目前特斯拉、小鵬、蔚來等車型,已經可以通過前視攝像頭,識别到紅綠燈。不過,僅僅依賴前視攝像頭來識别紅綠燈,難免會存在錯誤識别的概率,此時如果能夠結合路端設備或大數據統計,将攝像頭、V2X、大數據三者的結果融合,那麽就能夠通過多種策略,确保車輛能夠安全地通過路口。
再以氣象條件的影響爲例,近年來可以明顯地發現,智能駕駛對惡劣天氣和惡劣光照條件的應對能力,已經有了大幅度的提升。一方面得益于傳感器性能的提升,另一方面也是由于在功能開發時,會更多地考慮雨、雪、霧、霾、沙塵,以及強逆光、隧道出入口光線變化、高架廣告牌遮擋等場景的影響,更多地關注這些場景中的功能表現,提前制定了相應的安全策略。
目前預期功能安全還處于起步和研讨階段,更多停留在理論層面,行業内還少有典型案例。不過,已經一些研究結果出現,并且已經有國内企業如地平線、長城等,宣傳其已經拿到了 ISO21448 的流程認證。總體來說,SOTIF 提出的時間還比較短,成熟度也不如功能安全,距離行業内的廣泛應用,還有一段路要走。
信息安全
信息安全主要指保護車輛及其電子系統免受未經授權的訪問、使用、披露、幹擾和破壞的威脅。在智能汽車時代,汽車不再僅僅是一個交通工具,而是演變成了物聯網的一個節點,汽車也正在從機械産品、電子産品,逐漸成爲移動的網絡和數據中心,自然也就難免存在信息安全問題,成爲黑客攻擊的對象。據統計,在過去的 5 年裏,智能汽車遭受到的網絡攻擊數量增加了數百倍倍。可見,智能汽車的信息安全,已經成爲一個非常值得關注的問題,并且引起了世界各國政府的高度重視。值得注意的是,歐盟率先于 2020 年 6 月份發布了 WP.29 R155 信息安全法案,并于 2022 年 7 月 1 日起逐漸開始強制執行。中國政府相關部門也于今年 9 月 13 日至 14 日,在貴陽,審查了強制性國家标準《汽車整車信息安全技術要求》和《智能網聯汽車 自動駕駛數據記錄系統》,經過起草單位彙報、委員質詢、起草單位回複等流程,最終兩項強制性國家标準順利通過審查,預計于近期正式發布實施。
特斯拉的哨兵模式就是信息安全的典型案例。哨兵模式能夠通過攝像頭檢測車輛周圍的實時環境,但是環境數據,尤其是周圍行人的生物學特征,屬于個人隐私。當用戶使用哨兵模式時,都會被告知信息安全相關的内容,而系統也會在合法的範圍内,記錄不同安全等級的數據,并确保數據的安全和合理使用。
去年 12 月,有人宣稱破解并獲取了某車企的用戶數據,并且在網絡上公開銷售。這些洩露的數據多達百萬條,包括訂單數據、車主身份證、地址,甚至車主親密關系、貸款數據等極度隐私的個人信息。這些數據的洩露,無疑會對車企以及車主,産生難以預計的安全風險。該車企表示:" 今後應在抓緊提升技術層面,如防火牆、數據保護能力等基礎上,盡可能通過技術提升有效降低人爲因素幹擾,使用戶信息隐私得到更好保障。"
由于汽車的智能化進程正在快速發展,目前智能駕駛仍然處于重點關注功能實現的階段,而對于信息的安全性,主機廠的重視程度還不夠,尤其是很多主機廠當前的設計開發流程中,缺乏數據與信息安全的概念。因此,智能駕駛的信息安全,任重而道遠。
從以上分析不難看出,在汽車日益智能化和消費電子化的今天,仍然不應該忽視汽車的安全性。智能駕駛作爲汽車智能化的核心和代表,是跨學科融合的産物,其安全性也包含了行駛、人機交互、功能安全、預期功能安全、信息安全等方方面面,每一方面都是一門複雜而系統的學科,更應該認真對待和敬畏。
普通消費電子産品出現故障,還可以重啓;汽車一旦出現故障,可能就要付出血的代價。作爲汽車行業的從業者,尤其是智能駕駛的從業者,不應該拿智能駕駛作爲炫技的工具,而更應該将智能駕駛作爲提升通行安全和效率保障,尊重工業産品應有的安全要求,助力行業的良性發展。
點擊閱讀原文
▼
