前段时间,华为与小鹏的AEB(Autonomous Emergency Braking,自动紧急制动)之争,把智能汽车的安全性,推到了大众视野,也在广大车主中引发了一场热议。而在这段争论之前,在过去的几年里,也时而会爆出造车新势力的智能驾驶引发碰撞事故的新闻,导致公众对智能驾驶的安全性产生怀疑,难以完全信任。
问题的本质在于:智能驾驶没能做好安全题。安全作为汽车功能的一票否决项,决定着消费者对智能驾驶的根本态度,也决定着智能汽车的普及程度。
随着汽车智能化进程的加速,尤其是各路造车新势力对汽车的重新定义,汽车正在从传统的重工业产品,逐渐具备消费电子产品的属性。智能化是汽车产业升级的趋势,消费电子化对于提升用户体验,让智能汽车更贴近普通消费者,发挥了积极作用,也有利于形成多元化的产业格局。
不过,我们也应该意识到,消费电子产品与与重工业产品,作为两个级别的产品,仍存在较大的差异;汽车虽然正在消费电子化,但其本质仍然是重工业产品,仍然应该符合重工业产品的基本要求,例如安全、可靠、稳定、耐久等。
由于部分车企的过度宣传,很多消费者以为现阶段的智能驾驶就是自动驾驶,即驾驶员可以对车辆行驶过程不管不顾,任由智能驾驶系统控制车辆行驶。但实际上,根据SAE对智能驾驶的分级标准,目前乘用车量产的智能驾驶功能属于L2级,即用户负责观察环境,智能驾驶系统负责操纵车辆,是典型的人机共驾状态,存在明显的系统能力边界,也就是ODC(Operational Design Condition,设计运行条件),包括交通环境、车辆状态、驾驶员状态等。在ODC范围内,智能驾驶系统可以很好地控制车辆,而在ODC边界外,则需由人类驾驶员控制车辆。
因此,现阶段智能驾驶的安全性,需保证在ODC范围内,系统可以控制车辆正常行驶,符合交通法规要求且尽可能避免发生碰撞事故(事故概率应远低于同类场景人类驾驶员发生的事故);在ODC范围外,系统可以及时提示用户控制车辆,并且在紧急状态时,帮助驾驶员减轻事故概率;同时,应该让用户清晰地获取车辆行驶状态,即提供良好的人机交互。
根据上述对智能驾驶安全性的定义,结合工信部在2021年4月发布的《智能网联汽车生产企业及产品准入管理指南(试行)》,我们认为,智能驾驶的安全性,仍应回归用户本身,从出行场景和用户体验的层面,去关注用户需要的安全保障,而不是一味地把智能驾驶当作炫技和营销的手段。
从用户和场景来看,智能驾驶的安全性最重要的是行驶安全与人机交互安全。此外,还有从开发流程角度须考虑的功能安全、预期功能安全、信息安全等。下面,我们分别对这几个方面,展开解读,详细说明智能驾驶应该如何保障安全。
行驶安全
行驶安全是指车辆在交通环境中正常通行,避免发生碰撞事故。
识别障碍物并避开障碍物,是智能驾驶开发的核心,也是智能驾驶的重难点问题。目前市面上的大部分智能车型,已经能够实现非紧急状态下的目标物识别和避让。感知算法从前几年的CNN(Convolutional Neural Networks,卷积神经网络),到近两年来流行的BEV(Bird's Eye View),以及GOD(General Obstacle Detection,通用障碍物检测)、FreeSpace等,正在不断提高感知的性能与效果;并且从新车型的表现来看,规控算法也在不断升级,避障能力在提升,接管率在降低。
不过,即使现在目标物识别与车辆控制的能力已经在不断提升,但智能驾驶系统对于不同场景的危险预判能力,仍明显不如人类老司机。对于人类驾驶员来说,老司机与新手最大的区别,在于对交通环境的“预见”能力,提前观察道路环境,提前预判交通动态变化,从而提前规避风险。智能驾驶系统的行驶安全,同样离不开“预见”能力。统计数据表明,用户遇到的90%以上交通环境,都属于常规行驶场景,存在一定的规律;对于特定场景中可能存在的危险因素,可以提前做出预判,提前采取措施避免风险,提升安全性。
以大车避让场景为例,在道路中远离大型车辆,是老司机的经验之谈,也是人类司机的常规做法。如果智能驾驶系统识别到周围存在大型车辆,也可以适当远离,提高安全性。在造车新势力的车型中,小鹏最早推出了大车避让功能,即在相邻车道有大车时,适当横向偏离,远离大车。一些开发者在ACC(Adaptive Cruise Control,自适应巡航)的跟车算法模型中,也已经把大型车辆与小型车辆区别对待,增大了跟随大型车辆行驶的间距。
大车避让
再以路口通行场景为例,现阶段的感知算法,已经能够通过对交通信号灯、斑马线等要素的识别,判断车辆正在通过路口。根据交通法规要求,以及驾驶经验,此时应有减速行为,以避免突然出现的其他交通参与者。遗憾的是,目前还少有能够在路口自动减速的案例,大多还是保持原车速通过路口。
在车外避障的同时,行驶安全也包含车内人员、财物的安全,避免急加速、急减速,以及突然地转向,因为这些行为也可能引发车内的人员伤害和财物损坏。在评价智能驾驶的性能时,一项很重要的指标就是加、减速时的加速度值,以及转向时的横摆角速度值,这两个数值都不宜过高,否则车辆也会有失控的风险。
ACC遇到前方静止车辆,是一个典型的案例。当ACC功能遇到前方出现静止车辆时,会控制自车减速停车,此时减速时机非常重要。如果太晚开始减速,就难免出现“急刹”的情况。在这种场景中,目前大部分车型在大部分场景中,都可以做到平稳地减速停车,但也难免出现不明原因的急刹,研究这些急刹出现的原因,提出针对性的解决方案,是提升安全性的重要手段。
减速过弯也是一个典型的案例。LCC(Lane Centering Control,车道居中控制)功能可以控制车辆沿车道线行驶,并能通过弯道。当弯道曲率小时,LCC可以保持原车速,平稳通过弯道;但当弯道曲率较大,如曲率半径超过125m时,如果仍以原车速行驶,则车辆容易出现大的转角,并且表现出转向太急、不平稳的现象,因此减速过弯是必要的,即根据摄像头识别的车道线信息,实时判断当前道路的曲率,并根据曲率计算出平稳过弯所要求的车速(根据公式,并限定加速度a的值,就能通过曲率r,计算出过弯车速上限值v)。目前头部智驾公司,都已经实现了根据弯道曲率调整车速的效果,但后来的追赶者,则容易忽略这一场景。
减速过弯
当交通场景超出ODC范围,进入人工驾驶状态时,智能驾驶虽然不再控制车辆运动,但仍需提供主动安全功能,向用户提供各类安全预警,必要时施加紧急控制等,辅助用户安全驾驶。主动安全功能虽然智能化等级不高(L0级),但做好主动安全功能,却并不容易。
前段时间的热点话题AEB,就是主动安全的典型代表。当前方有碰撞风险时,何时发出预警?何时施加制动?加速度随时间的变化是怎么样的?触发条件如何设定才合理?这些都是AEB功能需要考虑的问题。目前国内大部分车企,采用的还是以前国际Tier 1巨头的AEB方案,实际效果还达不到普通消费者的预期,经常出现不能及时刹停的情况,并且触发条件也比用户想象的更加苛刻。国内的智驾开发者们,正在不断拓展AEB等主动安全功能的能力,可以看到AEB的作用目标范围、避障成功率等,都在不断提升,对提升安全性起到了积极的作用。
AEB示意
合理且明确的ODC范围也十分重要,ODC是人驾与智驾的边界,合理的ODC既要符合系统的能力,又要让用户能够清晰地识别到边界,避免出现“以为系统可以处理”的误区。
高速NOA(Navigate on Autopilot,导航辅助驾驶)功能对ODC的定义就非常明确:当车辆位于高速公路路段时,智能驾驶系统完全控制车辆行驶;当车辆位于非高速公路或城市快速路等半封闭路段时,高速NOA功能退出。可以看到,市场上具有高速NOA功能的车型,如特斯拉、小鹏、蔚来等,都会明确说明功能起作用的地理范围,并在ODC边界处,提前向用户发出提示,以便用户做好接管准备。
人机交互安全
人机交互HMI(Human-Machine Interface)作为汽车与用户的直接交流途径,是用户高知高感的部分,不仅直接影响智能驾驶的用户体验,对智能驾驶的安全性也有着重要影响。智能驾驶的人机交互主要包括信息显示、安全提示、用户接管与干预等,对应地,人机交互安全也需要考虑到这几方面的内容。
信息显示的安全性,是指智能驾驶系统激活时,应该能够让用户知道必要的车辆状态和交通环境信息,给用户提供安全感,赢得用户信任。
以自动变道功能为例,造车新势力如小鹏、蔚来的车型,当智能驾驶系统控制车辆自动变道时,能够准确地在仪表中,重构出本次变道涉及的周边场景,如车道线、自车、其他车、车辆位置、预计的变道后落位、是否有危险车辆等,并能通过语音和触感提示驾驶员当前正在变道。作为用户来说,对于变道的全过程是非常清楚的,对车辆的安全状态也了然于心。
小鹏自动变道的显示效果
危险场景的安全提示,也是人机交互的重要内容。在车辆周围出现危险场景时,应能及时地通过多种人机交互方式,向用户发出必要的提醒,包括而不限于视觉、听觉、触觉等。
仍以自动变道为例,小鹏在变道过程中,如果目标车道有车辆快速接近,屏幕中会红色高亮显示危险车辆,目标车道也会有黄色的渲染效果,结合智能伙伴“小P”的语音播报“当前不适合变道”,告知用户此时变道可能发生碰撞,提醒用户注意观察目标车道的交通流。
车道偏离预警功能作为一项基础的预警类安全功能,通常会在视觉和听觉之外,增加触觉交互。当车辆压线或偏离车道时,不仅屏幕中会将偏离的车道线高亮显示,还会伴随机械音提醒,同时,方向盘会震动,三者共同提示用户车辆偏离的风险。
车道偏离预警的显示效果
用户干预与接管的安全性,是指当用户主动干预驾驶或接管车辆时,智能驾驶系统应将驾驶权立即交给驾驶员,避免系统与人“抢”控制权的问题。对于用户踩加速或制动踏板的操作,一般系统都会立即让出控制权;但对于用户的横向干预,即转动方向盘时,如果车辆采用扭力式方向盘,则可能出现用户主动施加的力矩,达不到阈值,导致接管延迟的情况,因此合理的横向接管阈值,是非常必要的。
目前市场上采用扭力式方向盘的车型,或多或少都存在与用户“抢”方向盘的情况,尤其是对智能驾驶不熟悉的用户,抱怨更加明显。比较好的做法是定位高端的车型,例如蔚来的多款车型ES8、ET7等,采用电容式方向盘,从原理上解决该问题。如果限于成本原因,只能用扭力式方向盘,那么针对车型的目标群体,调校出合理的干预扭矩阈值,例如针对男性群体的阈值大一些,针对女性群体的阈值小一些,是目前比较可行的折中方案。
近两年来,随着汽车的电子电气架构进一步集成,舱驾一体已经成为一种趋势,在未来,座舱与智能驾驶更将深度融合,而人机交互的安全,也更将成为智能驾驶安全不可或缺的一部分。
功能安全
功能安全(Function Safety),是一套降低电子电气系统的故障所引起危害的开发管理体系。汽车行业的功能安全主要依据国际标准ISO26262和对应的国家标准GB/T34590,其定义为:避免因电子电气系统故障而导致不合理的风险。智能驾驶的实现,主要依赖于可靠的电子电气系统,因此功能安全对智能驾驶来说,是必不可少的。
功能安全关注的是因故障而导致的不合理风险,目标是将这些风险控制在可接受的范围。功能安全通过ASIL(Automotive Safety Integrity Level,汽车安全完整性等级)来区分不同级别的风险(QM,ASIL A,ASIL B,ASIL C,ASIL D),然后根据ASIL等级,对电子电气系统的开发流程,加以约束并制定对应的安全措施。ISO 26262和GB/T34590定义了一套明确、完善的方法与流程,以保证汽车电子电气系统的开发过程,能够满足功能安全的要求。
功能安全的V模型流程
目前行业内的智能驾驶公司,都会把功能安全作为开发流程中必须考虑的内容,并按照功能安全的要求来开发智能驾驶的系统、硬件和软件,也有公司正在或已经完成了功能安全体系的认证。不过,由于智能驾驶的发展时间还不长,技术迭代迅速,而功能安全又是仅针对电子电气系统的标准,对于更加智能化的智能驾驶,没有专门的方法,因此目前行业内对于功能安全在智能驾驶开发过程的应用,还没有形成统一的认知,还处于摸索和局部应用阶段。
例如,根据ASIL的分类依据,我们可以把NOA功能,整体归于ASIL D级别,但是NOA功能包含的场景和子功能有很多,对于其中每一类场景和子功能的故障失效,是否都属于ASIL D级别?如果不是,那么分别应该属于哪一个安全等级?这个问题,相信大多数公司并没有系统而完整的定义。
再如,对于近期热议的AEB功能,网络上开始用最高可激活的车速作为AEB的重要评价指标,似乎可激活的车速越高,AEB功能越好,但是从功能安全的角度来说,这种做法并不妥。众所周知,AEB的制动非常突然且加速度非常大,不仅会造成车内人员极度不适,还会引发后车追尾等次生事故;如果因系统故障导致AEB误触发,那么,车速越高,危害程度越大,也越不可控。因此,目前业内的AEB测试认证标准,对AEB的最高车速要求,都不会特别高。
针对以上问题,我们认为,开发者尤其是消费电子转到汽车电子行业的开发者,一方面应该充分认识到功能安全的重要意义,认真对待;另一方面,也应该遵循长期主义,愿意投入成本,在智能驾驶开发中持续摸索和优化功能安全的实践,真正让功能安全标准,与智能驾驶的先进技术融合,并能形成一套可参考的规范。
预期功能安全
功能安全针对的是电子电气系统失效的情况,预期功能安全SOTIF(Safety Of The Intended Functionality)针对的则是系统本身的限制以及非预期的场景。对于智能驾驶来说,仅从系统失效角度,遵守功能安全标准是不够的,还应该充分考虑智能驾驶系统的能力边界,存在风险的行驶场景,以及驾驶员的误操作等因素,因此还应该遵守预期功能安全标准,主要是国际标准ISO 21448的要求。
以交通信号灯场景为例,目前特斯拉、小鹏、蔚来等车型,已经可以通过前视摄像头,识别到红绿灯。不过,仅仅依赖前视摄像头来识别红绿灯,难免会存在错误识别的概率,此时如果能够结合路端设备或大数据统计,将摄像头、V2X、大数据三者的结果融合,那么就能够通过多种策略,确保车辆能够安全地通过路口。
再以气象条件的影响为例,近年来可以明显地发现,智能驾驶对恶劣天气和恶劣光照条件的应对能力,已经有了大幅度的提升。一方面得益于传感器性能的提升,另一方面也是由于在功能开发时,会更多地考虑雨、雪、雾、霾、沙尘,以及强逆光、隧道出入口光线变化、高架广告牌遮挡等场景的影响,更多地关注这些场景中的功能表现,提前制定了相应的安全策略。
目前预期功能安全还处于起步和研讨阶段,更多停留在理论层面,行业内还少有典型案例。不过,已经一些研究结果出现,并且已经有国内企业如地平线、长城等,宣传其已经拿到了ISO21448的流程认证。总体来说,SOTIF提出的时间还比较短,成熟度也不如功能安全,距离行业内的广泛应用,还有一段路要走。
信息安全
信息安全主要指保护车辆及其电子系统免受未经授权的访问、使用、披露、干扰和破坏的威胁。在智能汽车时代,汽车不再仅仅是一个交通工具,而是演变成了物联网的一个节点,汽车也正在从机械产品、电子产品,逐渐成为移动的网络和数据中心,自然也就难免存在信息安全问题,成为黑客攻击的对象。据统计,在过去的5年里,智能汽车遭受到的网络攻击数量增加了数百倍倍。可见,智能汽车的信息安全,已经成为一个非常值得关注的问题,并且引起了世界各国政府的高度重视。值得注意的是,欧盟率先于2020年6月份发布了WP.29 R155信息安全法案,并于2022年7月1日起逐渐开始强制执行。中国政府相关部门也于今年9月13日至14日,在贵阳,审查了强制性国家标准《汽车整车信息安全技术要求》和《智能网联汽车 自动驾驶数据记录系统》,经过起草单位汇报、委员质询、起草单位回复等流程,最终两项强制性国家标准顺利通过审查,预计于近期正式发布实施。
特斯拉的哨兵模式就是信息安全的典型案例。哨兵模式能够通过摄像头检测车辆周围的实时环境,但是环境数据,尤其是周围行人的生物学特征,属于个人隐私。当用户使用哨兵模式时,都会被告知信息安全相关的内容,而系统也会在合法的范围内,记录不同安全等级的数据,并确保数据的安全和合理使用。
去年12月,有人宣称破解并获取了某车企的用户数据,并且在网络上公开销售。这些泄露的数据多达百万条,包括订单数据、车主身份证、地址,甚至车主亲密关系、贷款数据等极度隐私的个人信息。这些数据的泄露,无疑会对车企以及车主,产生难以预计的安全风险。该车企表示:“今后应在抓紧提升技术层面,如防火墙、数据保护能力等基础上,尽可能通过技术提升有效降低人为因素干扰,使用户信息隐私得到更好保障。”
由于汽车的智能化进程正在快速发展,目前智能驾驶仍然处于重点关注功能实现的阶段,而对于信息的安全性,主机厂的重视程度还不够,尤其是很多主机厂当前的设计开发流程中,缺乏数据与信息安全的概念。因此,智能驾驶的信息安全,任重而道远。
从以上分析不难看出,在汽车日益智能化和消费电子化的今天,仍然不应该忽视汽车的安全性。智能驾驶作为汽车智能化的核心和代表,是跨学科融合的产物,其安全性也包含了行驶、人机交互、功能安全、预期功能安全、信息安全等方方面面,每一方面都是一门复杂而系统的学科,更应该认真对待和敬畏。
普通消费电子产品出现故障,还可以重启;汽车一旦出现故障,可能就要付出血的代价。作为汽车行业的从业者,尤其是智能驾驶的从业者,不应该拿智能驾驶作为炫技的工具,而更应该将智能驾驶作为提升通行安全和效率保障,尊重工业产品应有的安全要求,助力行业的良性发展。