加入星計劃,您可以享受以下權益:

  • 創(chuàng)作內容快速變現(xiàn)
  • 行業(yè)影響力擴散
  • 作品版權保護
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
    • 自動駕駛因何而生?
    • 不同自動駕駛產(chǎn)品的安全性要求分析
    • 不同等級自動駕駛系統(tǒng)的安全性分析
    • 自動駕駛行業(yè)的浮躁
  • 推薦器件
  • 相關推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

自動駕駛真的安全嗎?

07/02 09:40
1168
閱讀需 18 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

2024年4月26日,一輛問界M7于高速快車道上與一道路養(yǎng)護車輛發(fā)生追尾,問界M7車頭起火,后整部車被大火籠罩,現(xiàn)場有多人參與救援,試圖用硬物撞破車窗,將車內人員救出,問界M7也因此被質疑事故后車門無法打開,事故最終造成三人遇難。

事發(fā)后家屬提出質疑,車輛于1月14日購買,才3個月的新車,宣傳有AEB自動緊急制動、 GAEB異型障礙物自動緊急制動,三元鋰電池阻燃材料和熱失控保護技術撞擊等功效,可是事故發(fā)生的當時,這些功能又在何處發(fā)揮了?安全氣囊去哪呢?

家屬的疑問也是我們今天想討論的話題:作為自動駕駛輔助產(chǎn)品的AEB為什么沒有避免這起悲劇?難道企業(yè)宣傳的自動緊急制動(AEB)功能是虛假的嗎?先來看一下AEB法規(guī)中關于AEB功能的要求:

從國標中可以看到,無論是運動目標還是靜止目標,當相對速度大于一定值時,是不要求車輛必須剎停的。發(fā)生事故時M7的車速115km/h,已超出法規(guī)規(guī)定的最大相對速度,車輛AEB功能可以不覆蓋該速度段。

再來看一下問界M7的使用說明書中對于AEB功能的描述:

可以看到,說明書中明確指出AEB的工作速度是4-85km/h,發(fā)生事故時車輛的速度已經(jīng)超過了AEB的工作速度。因此,AEB功能沒有觸發(fā)符合產(chǎn)品功能設計,不屬于產(chǎn)品質量問題。

通過以上兩份材料,我們發(fā)現(xiàn)無論是從法律角度還是從產(chǎn)品質量角度,問界M7的自動駕駛輔助系統(tǒng)都不存在所謂的產(chǎn)品質量問題,也就是說車企不用承擔相關法律責任。

這個結論似乎是冰冷的,普通用戶不愿意接受的。是的,誰買一輛新車會去翻看車輛使用手冊呢?對于輔助駕駛這種功能的使用和了解大部分用戶可能都是在買車的時候從4S店的銷售口中聽到的。而銷售人員對于功能的宣傳和講述是否完全按照車輛使用手冊展開,恐怕很難說了。此外,目前普通用戶對于自動駕駛或輔助駕駛系統(tǒng)的功能預期往往高于產(chǎn)品或系統(tǒng)本身的性能范圍。

那么,自動駕駛到底安全嗎?或者真的能達到用戶對于安全性的預期嗎?本文將詳細進行分析和探討。

自動駕駛因何而生?

還記得筆者剛從事自動駕駛研發(fā)工作時,那時還是國內自動駕駛的起步階段。在一次部門內部的技術分享會中談到的一個比較重要的話題:“為什么要研究自動駕駛這項技術”?當時大家談到的很多原因,諸如:提升道路交通安全、提高出行體驗和效率、推動能源的合理利用和環(huán)境保護、提供更多出行選擇等等。但筆者認為這些原因中最重要的應該是:提高道路交通安全性。

眾所周知,由于駕駛水平,自身狀態(tài),人類視野空間等限制,人工駕駛具有較高的安全隱患。公安部交通管理局《道路交通事故統(tǒng)計年報》數(shù)據(jù)中指出:2017-2019年我國交通事故年均發(fā)生23.19萬次,年均死亡人數(shù)達6.3萬人,另有24萬人受到非致命傷害,約90%以上的道路交通事故是駕駛員人為因素導致的。易發(fā)多發(fā)點位為交叉口(無信號燈)處和紅綠燈處,其數(shù)量占比達到了百分之五十以上,彎道等典型路段也存有一定的規(guī)模。

大家都知道的搶行、超速、酒駕、疲勞駕駛等等,是造成事故的主要原因。而自動駕駛技術中的感知、決策、規(guī)劃、控制系統(tǒng),充分地識別道路中各類動態(tài)、靜態(tài)目標、實現(xiàn)自主決策和車輛運行并通過了長時間的虛擬仿真測試以及道路測試。最主要的是系統(tǒng)是“聽話的”,它不會出現(xiàn)違反交規(guī)的行為,它會規(guī)規(guī)矩矩的按要求來開車,這一點極大程度上滿足了安全性需求。因此,說自動駕駛因安全而生應該一點也不為過,這也體現(xiàn)了自動駕駛技術本身的重要意義。

不同自動駕駛產(chǎn)品的安全性要求分析

從理論上說,自動駕駛系統(tǒng)確實可以避免駕駛的人為因素,進而提高行駛的安全性,但當前的自動駕駛系統(tǒng)真的能做到比人類駕駛員更安全嗎?這里針對當前市場上主流的自動駕駛產(chǎn)品的安全性進行分析和討論,希望能得出一些結論。

目前市面上主流的自動駕駛系統(tǒng)或產(chǎn)品可以按照場景分為以下四大類:

低速載物、高速載物、低速載人、高速載人。

基于ISO26262道路車輛功能安全標準中危害分析和風險評估(HARA)的方法論,整車功能安全完整性等級的分析包含三個維度:

1)功能失效后的可控性;

2)功能失效后在某場景下所造成危害的嚴重程度;

3)功能在某場景下的暴露度(概率)。

最終車輛某項功能的功能安全完整性等級是由以上三個維度的評分之和獲得的。這里我們先不去進行具象化和規(guī)范化的分析工作,只基于該理論對以上的四類自動駕駛產(chǎn)品進行一個籠統(tǒng)的分析。

1)可控性分析

從可控性角度來看,高速行駛狀態(tài)下系統(tǒng)功能出現(xiàn)失效后,可控性相比低速狀態(tài)下更低。可以想象一下在高速上,橫向控制(方向盤控制)功能失效,方向出現(xiàn)亂打或猛打的情況,駕駛員接管系統(tǒng)并將車輛控制到安全的狀態(tài)下(靠邊停車或者平穩(wěn)駕駛)的可控性明顯會小于低速行駛。因此,高速狀態(tài)系統(tǒng)失效后的可控性較低,低速狀態(tài)系統(tǒng)失效后的可控性較高。

2)嚴重程度分析

嚴重程度與可控性有一定區(qū)別,需要從兩個維度來分析。首先看速度維度,高速狀態(tài)下系統(tǒng)失效車輛發(fā)生事故造成的嚴重程度往往要高于低速狀態(tài)。舉個簡單的例子:車速100km/h行駛時,車輛失控撞向路側護欄造成的結果很可能就是車毀人亡;而車速30km/h行駛時,車輛失控撞向路側護欄造成的結果可能是車輛受損和人員受傷。因此從速度維度來看,高速狀態(tài)系統(tǒng)失效造成的嚴重程度高于低速狀態(tài)。

其次看載人與載物維度,在同一速度狀態(tài)下,載人車輛的智駕系統(tǒng)失效后造成的人員傷亡是遠大于載物車輛的,這一點顯而易見。

3)暴露度分析

暴露度維度無法一概而論,高速場景的暴露度高還是低速場景的暴露度高很難去下結論,針對定義在不同應用場景的自動駕駛系統(tǒng)對應著完全不同的暴露度。因此無法從宏觀維度得出四個維度的暴露度高低結論。

基于以上三個維度的分析(確切的說是兩個維度)可以初步得出目前自動駕駛在主要應用場景下系統(tǒng)的安全性要求分級是:高速載人>低速載人>高速載物>低速載物。但是這個結論一定是相對而言的,千萬不可絕對的去看待這個結論。

從這一結論也能看出自動駕駛技術的發(fā)展和落地路線應該是:先載物后載人,先低速后高速。從易到難,這應該是大家普遍的思維吧。

不同等級自動駕駛系統(tǒng)的安全性分析

前面我們分析了自動駕駛在不同應用場景下的安全性要求,但是沒有考慮一個重要的維度,那就是自動駕駛系統(tǒng)本身的自動化等級。SAE將自動駕駛系統(tǒng)的自動化等級分為了L0-L5,其中最核心的一個分界點就是L3。L3以下的自動駕駛系統(tǒng)通常稱為駕駛輔助系統(tǒng)(ADAS),L3及以上的系統(tǒng)通常稱為自動駕駛系統(tǒng)(ADS),這其中最重要的區(qū)別就是:車輛行駛的控制操作中駕駛員是否“在環(huán)”。

對于輔助駕駛系統(tǒng),系統(tǒng)功能失效時駕駛員是實時“在環(huán)”的狀態(tài),因此可以接管車輛,也就對失效造成的異常情況具有一定可控性。對于自動駕駛系統(tǒng),系統(tǒng)功能失效時駕駛員是“不在環(huán)”的狀態(tài),因此在系統(tǒng)失效時對于異常情況是不具備可控性的?;谶@樣的區(qū)分,自動駕駛系統(tǒng)的安全性就需要分兩大類來展開:輔助駕駛系統(tǒng)(即L3以下系統(tǒng))和自動駕駛系統(tǒng)(L3及以上)。

1.?輔助駕駛系統(tǒng)的安全性分析

如前所述,基于傳統(tǒng)的ISO26262功能安全HARA分析理論,輔助駕駛系統(tǒng)是需要考慮可控性的。但在《汽車人因工程學》一書中對于自適應巡航控制系統(tǒng)(ACC)的安全性提到這樣一個觀點:ACC將駕駛人從一部分任務中解放出來(如制動和加速),但同時又增加了新的任務。在ACC系統(tǒng)工作時,駕駛人不得不保持對系統(tǒng)的監(jiān)控以確保其正常工作。但自動駕駛可能反而使駕駛人工作負荷不足,從而降低其分配給該任務的注意力水平,導致可能在緊急情況下(例如系統(tǒng)功能失效時)駕駛人有可能面臨著注意力資源要求爆炸式增長,進而無法及時發(fā)現(xiàn)危險或對車輛的控制反應受到影響的情況。

換句話說,自動駕駛功能雖然減輕(或緩解)了一部分駕駛員的體力操作,然而卻導致其頭腦注意力要高度集中以確保及時接管車輛來避免危險的發(fā)生。這樣一來,其實際的結果可能是駕駛員在開啟自動駕駛系統(tǒng)時不是頭腦集中而是身體和頭腦全部放松下來,當出現(xiàn)危險時,駕駛員反而無法及時控制車輛的某一操作(轉向、加速、制動等)最終發(fā)生事故。這種類似的悲劇貌似在實際中已經(jīng)發(fā)生過。

如果最終結局都是這樣的話,那豈不是違背了文章一開始提到的研究自動駕駛技術的初衷——安全嗎?這樣說來似乎有些諷刺,但這種類似的分析和推理并不無道理。特斯拉早先的一些用戶就出現(xiàn)在駕駛過程中,嘗試在方向盤上放置礦泉水來騙過系統(tǒng)的接管檢測,進而來放松駕駛員對系統(tǒng)的監(jiān)控?,F(xiàn)在看來,這樣做是多么的愚蠢,簡直就是在拿自己的生命在開玩笑!但是,這又從另一個側面反映了用戶對于自動駕駛輔助系統(tǒng)能力的信任程度,顯然這種信任是過度的,是無知的。

因此,從這一維度來看,自動駕駛輔助系統(tǒng)(更準確的說是L2及以下的自動駕駛系統(tǒng))是不安全的,這種不安全并不是來自于系統(tǒng)本身,而是來自于用戶在使用時系統(tǒng)是的兩種不安全因素:

1)用戶的違規(guī)操作,即類似于上文中說到“欺騙系統(tǒng)”行為;

2)系統(tǒng)對用戶使用時的高要求無法被滿足,即讓用戶可以放松手腳的同時讓用戶保持大腦的高度緊張。

第二點不安全因素顯然是系統(tǒng)設計引起的,用戶不應該買賬。

再回歸到系統(tǒng)本身的功能中,我們相信所有公司或者開發(fā)者在設計系統(tǒng)一定都是符合法規(guī)的、合理的、安全的功能。但是由于是輔助駕駛系統(tǒng),在駕駛的大多數(shù)時間仍然是人工駕駛,甚至很多時候當系統(tǒng)按照交通規(guī)則規(guī)范駕駛但卻不符合“老司機”操作時,駕駛員會立即接管車輛,按照自己的意圖駕駛車輛。而這些場景下其駕駛行為往往是很不安全的。這么看來,自動駕駛輔助系統(tǒng)本身并沒有有效“屏蔽”我們一開始提到的人類駕駛員的不安全操作。因此,也沒有實現(xiàn)我們安全的初衷。

2. 自動駕駛系統(tǒng)的安全性分析

分析完了輔助駕駛系統(tǒng)的安全性,再來看一看自動駕駛系統(tǒng)的安全性如何。根據(jù)SAE的定義,自動駕駛系統(tǒng)應該是L3及以上的系統(tǒng),因為L3及以上的系統(tǒng)可以實現(xiàn)駕駛員“不在環(huán)”。那這樣是不是就能“屏蔽”我們所說的人類危險操作或弱點呢?

答案是:L3還是不行,L4、L5可以做到這一點。

L3的定義是條件的自動駕駛系統(tǒng),所謂有條件就是系統(tǒng)運行需要滿足一定的條件,也就是ODD(運行設計域)。通常包含以下維度:

但其實這些維度真的定義起來是很麻煩的,因為影響駕駛的環(huán)境因素太多了,從某種意義上說是無法窮舉的。這里舉個例子,比如系統(tǒng)在設計時無法識別和應對的一種場景是:“自車在道路上行駛,前方車輛上滿載的橘子忽然掉落滿地”。這種場景超出了系統(tǒng)的ODD,但是系統(tǒng)不能應對的類似奇怪的場景太多了,如果全部寫在ODD中是寫不完的,因此智能索性按照上圖中的常見類別進行ODD的設計。但是筆者認為這是不嚴謹?shù)?,因為永遠無法把系統(tǒng)的邊界真正描述清楚。因此ODD是一個偽命題。

那說了這么多,L3系統(tǒng)到底怎么不安全了呢?因為ODD寫不清楚嗎?是的,這確實是其中一個原因,但是原因不止這一個。因為L3在系統(tǒng)功能失效時是需要駕駛員來及時接管的,系統(tǒng)不具備最小風險控制(MRC)的能力。因此,L3同樣會遇到前文提到的問題:對駕駛員的專注度和反應時間提出了更高的要求。為什么是“更高”.原因是L3的功能更全面,更容易引起駕駛員的“麻痹”,甚至是在系統(tǒng)出現(xiàn)故障時駕駛員已經(jīng)睡著了,從而導致在需要接管車輛不能及時接管而出現(xiàn)更嚴重的后果,并且這種情況的概率大大增加了。

L4、L5安全,為什么?這里先說L5,按照SAE的定義L5是沒有ODD的,那就不存在寫不清楚的情況,換句話說:用戶不用關心哪里能開,哪里不能開;啥時候能開,啥時候不能開等類似問題。到了L5用戶根本就不用關注ODD,也不用關注出現(xiàn)系統(tǒng)失效時要不要接管,這些系統(tǒng)都可以搞定??梢岳斫鉃槟阗I了一張大巴票,你就坐車就可以了,開車的事兒司機替你搞定。

再來說L4,L4自動駕駛系統(tǒng)跟L3的區(qū)別就是當系統(tǒng)出現(xiàn)失效時或超出ODD時可以自己處理系統(tǒng)使車輛進入最小風險狀態(tài)。這樣對于用戶就友好多了,可以開車玩手機、睡覺,不用擔心系統(tǒng)提示接管。當然了用戶想接管也是可以的,但是不強制要求。因此L4也是安全的。

自動駕駛行業(yè)的浮躁

前面分析了這么多,所謂的自動駕駛安全性分析理論,所謂的自動駕駛分級,其實都是一些人搞出來的理論。用戶對自動駕駛的要求其實很簡單,這里借用一個外行朋友的話:“自動駕駛?那我以后是不是不用考駕照了?”雖然是疑問句,但是很直接陳述自己的需求。現(xiàn)在市面上的自動駕駛系統(tǒng)能達到這樣的要求嗎?很顯然,達不到。所以之前一些急于求成的廠家宣稱自己是自動駕駛系統(tǒng)后導致了一些悲劇的發(fā)生,后面大家都改成輔助駕駛系統(tǒng)了。

為了獲得更多客戶的使用和青睞,基于推出并不能完全滿足客戶需求甚至沒有用的功能來獲取產(chǎn)品的增值,這似乎是現(xiàn)在大家的狀態(tài)。當今的社會,大家都很浮躁,著急量產(chǎn),著急賺錢,著急證明自己。很少有人耐心的去滿足真正的客戶需求,甚至連最基本的安全問題都沒有解決。筆者認為,大家是時候放慢腳步了,不要走太遠而忘了我們想要去哪里。

推薦器件

更多器件
器件型號 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊 ECAD模型 風險等級 參考價格 更多信息
L6234PD 1 STMicroelectronics Three phase motor driver

ECAD模型

下載ECAD模型
$7.18 查看
ADG1436YRUZ 1 Rochester Electronics LLC DUAL 1-CHANNEL, SGL POLE DOUBLE THROW SWITCH, PDSO16, ROHS COMPLIANT, MO-153AB, TSSOP-16
$9.83 查看
A3981KLPTR-T 1 Allegro MicroSystems LLC Stepper Motor Controller, PDSO28, 9.70 X 4.40 MM, 1.20 MM HEIGHT, LEAD FREE, MO-153AET, TSSOP-28

ECAD模型

下載ECAD模型
$3.2 查看

相關推薦

電子產(chǎn)業(yè)圖譜