加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
    • 自动驾驶因何而生?
    • 不同自动驾驶产品的安全性要求分析
    • 不同等级自动驾驶系统的安全性分析
    • 自动驾驶行业的浮躁
  • 推荐器件
  • 相关推荐
申请入驻 产业图谱

自动驾驶真的安全吗?

2024/07/02
1201
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

2024年4月26日,一辆问界M7于高速快车道上与一道路养护车辆发生追尾,问界M7车头起火,后整部车被大火笼罩,现场有多人参与救援,试图用硬物撞破车窗,将车内人员救出,问界M7也因此被质疑事故后车门无法打开,事故最终造成三人遇难。

事发后家属提出质疑,车辆于1月14日购买,才3个月的新车,宣传有AEB自动紧急制动、 GAEB异型障碍物自动紧急制动,三元锂电池阻燃材料和热失控保护技术撞击等功效,可是事故发生的当时,这些功能又在何处发挥了?安全气囊去哪呢?

家属的疑问也是我们今天想讨论的话题:作为自动驾驶辅助产品的AEB为什么没有避免这起悲剧?难道企业宣传的自动紧急制动(AEB)功能是虚假的吗?先来看一下AEB法规中关于AEB功能的要求:

从国标中可以看到,无论是运动目标还是静止目标,当相对速度大于一定值时,是不要求车辆必须刹停的。发生事故时M7的车速115km/h,已超出法规规定的最大相对速度,车辆AEB功能可以不覆盖该速度段。

再来看一下问界M7的使用说明书中对于AEB功能的描述:

可以看到,说明书中明确指出AEB的工作速度是4-85km/h,发生事故时车辆的速度已经超过了AEB的工作速度。因此,AEB功能没有触发符合产品功能设计,不属于产品质量问题。

通过以上两份材料,我们发现无论是从法律角度还是从产品质量角度,问界M7的自动驾驶辅助系统都不存在所谓的产品质量问题,也就是说车企不用承担相关法律责任。

这个结论似乎是冰冷的,普通用户不愿意接受的。是的,谁买一辆新车会去翻看车辆使用手册呢?对于辅助驾驶这种功能的使用和了解大部分用户可能都是在买车的时候从4S店的销售口中听到的。而销售人员对于功能的宣传和讲述是否完全按照车辆使用手册展开,恐怕很难说了。此外,目前普通用户对于自动驾驶或辅助驾驶系统的功能预期往往高于产品或系统本身的性能范围。

那么,自动驾驶到底安全吗?或者真的能达到用户对于安全性的预期吗?本文将详细进行分析和探讨。

自动驾驶因何而生?

还记得笔者刚从事自动驾驶研发工作时,那时还是国内自动驾驶的起步阶段。在一次部门内部的技术分享会中谈到的一个比较重要的话题:“为什么要研究自动驾驶这项技术”?当时大家谈到的很多原因,诸如:提升道路交通安全、提高出行体验和效率、推动能源的合理利用和环境保护、提供更多出行选择等等。但笔者认为这些原因中最重要的应该是:提高道路交通安全性。

众所周知,由于驾驶水平,自身状态,人类视野空间等限制,人工驾驶具有较高的安全隐患。公安部交通管理局《道路交通事故统计年报》数据中指出:2017-2019年我国交通事故年均发生23.19万次,年均死亡人数达6.3万人,另有24万人受到非致命伤害,约90%以上的道路交通事故是驾驶员人为因素导致的。易发多发点位为交叉口(无信号灯)处和红绿灯处,其数量占比达到了百分之五十以上,弯道等典型路段也存有一定的规模。

大家都知道的抢行、超速、酒驾、疲劳驾驶等等,是造成事故的主要原因。而自动驾驶技术中的感知、决策、规划、控制系统,充分地识别道路中各类动态、静态目标、实现自主决策和车辆运行并通过了长时间的虚拟仿真测试以及道路测试。最主要的是系统是“听话的”,它不会出现违反交规的行为,它会规规矩矩的按要求来开车,这一点极大程度上满足了安全性需求。因此,说自动驾驶因安全而生应该一点也不为过,这也体现了自动驾驶技术本身的重要意义。

不同自动驾驶产品的安全性要求分析

从理论上说,自动驾驶系统确实可以避免驾驶的人为因素,进而提高行驶的安全性,但当前的自动驾驶系统真的能做到比人类驾驶员更安全吗?这里针对当前市场上主流的自动驾驶产品的安全性进行分析和讨论,希望能得出一些结论。

目前市面上主流的自动驾驶系统或产品可以按照场景分为以下四大类:

低速载物、高速载物、低速载人、高速载人。

基于ISO26262道路车辆功能安全标准中危害分析和风险评估(HARA)的方法论,整车功能安全完整性等级的分析包含三个维度:

1)功能失效后的可控性;

2)功能失效后在某场景下所造成危害的严重程度;

3)功能在某场景下的暴露度(概率)。

最终车辆某项功能的功能安全完整性等级是由以上三个维度的评分之和获得的。这里我们先不去进行具象化和规范化的分析工作,只基于该理论对以上的四类自动驾驶产品进行一个笼统的分析。

1)可控性分析

从可控性角度来看,高速行驶状态下系统功能出现失效后,可控性相比低速状态下更低。可以想象一下在高速上,横向控制(方向盘控制)功能失效,方向出现乱打或猛打的情况,驾驶员接管系统并将车辆控制到安全的状态下(靠边停车或者平稳驾驶)的可控性明显会小于低速行驶。因此,高速状态系统失效后的可控性较低,低速状态系统失效后的可控性较高。

2)严重程度分析

严重程度与可控性有一定区别,需要从两个维度来分析。首先看速度维度,高速状态下系统失效车辆发生事故造成的严重程度往往要高于低速状态。举个简单的例子:车速100km/h行驶时,车辆失控撞向路侧护栏造成的结果很可能就是车毁人亡;而车速30km/h行驶时,车辆失控撞向路侧护栏造成的结果可能是车辆受损和人员受伤。因此从速度维度来看,高速状态系统失效造成的严重程度高于低速状态。

其次看载人与载物维度,在同一速度状态下,载人车辆的智驾系统失效后造成的人员伤亡是远大于载物车辆的,这一点显而易见。

3)暴露度分析

暴露度维度无法一概而论,高速场景的暴露度高还是低速场景的暴露度高很难去下结论,针对定义在不同应用场景的自动驾驶系统对应着完全不同的暴露度。因此无法从宏观维度得出四个维度的暴露度高低结论。

基于以上三个维度的分析(确切的说是两个维度)可以初步得出目前自动驾驶在主要应用场景下系统的安全性要求分级是:高速载人>低速载人>高速载物>低速载物。但是这个结论一定是相对而言的,千万不可绝对的去看待这个结论。

从这一结论也能看出自动驾驶技术的发展和落地路线应该是:先载物后载人,先低速后高速。从易到难,这应该是大家普遍的思维吧。

不同等级自动驾驶系统的安全性分析

前面我们分析了自动驾驶在不同应用场景下的安全性要求,但是没有考虑一个重要的维度,那就是自动驾驶系统本身的自动化等级。SAE将自动驾驶系统的自动化等级分为了L0-L5,其中最核心的一个分界点就是L3。L3以下的自动驾驶系统通常称为驾驶辅助系统(ADAS),L3及以上的系统通常称为自动驾驶系统(ADS),这其中最重要的区别就是:车辆行驶的控制操作中驾驶员是否“在环”。

对于辅助驾驶系统,系统功能失效时驾驶员是实时“在环”的状态,因此可以接管车辆,也就对失效造成的异常情况具有一定可控性。对于自动驾驶系统,系统功能失效时驾驶员是“不在环”的状态,因此在系统失效时对于异常情况是不具备可控性的。基于这样的区分,自动驾驶系统的安全性就需要分两大类来展开:辅助驾驶系统(即L3以下系统)和自动驾驶系统(L3及以上)。

1. 辅助驾驶系统的安全性分析

如前所述,基于传统的ISO26262功能安全HARA分析理论,辅助驾驶系统是需要考虑可控性的。但在《汽车人因工程学》一书中对于自适应巡航控制系统(ACC)的安全性提到这样一个观点:ACC将驾驶人从一部分任务中解放出来(如制动和加速),但同时又增加了新的任务。在ACC系统工作时,驾驶人不得不保持对系统的监控以确保其正常工作。但自动驾驶可能反而使驾驶人工作负荷不足,从而降低其分配给该任务的注意力水平,导致可能在紧急情况下(例如系统功能失效时)驾驶人有可能面临着注意力资源要求爆炸式增长,进而无法及时发现危险或对车辆的控制反应受到影响的情况。

换句话说,自动驾驶功能虽然减轻(或缓解)了一部分驾驶员的体力操作,然而却导致其头脑注意力要高度集中以确保及时接管车辆来避免危险的发生。这样一来,其实际的结果可能是驾驶员在开启自动驾驶系统时不是头脑集中而是身体和头脑全部放松下来,当出现危险时,驾驶员反而无法及时控制车辆的某一操作(转向、加速、制动等)最终发生事故。这种类似的悲剧貌似在实际中已经发生过。

如果最终结局都是这样的话,那岂不是违背了文章一开始提到的研究自动驾驶技术的初衷——安全吗?这样说来似乎有些讽刺,但这种类似的分析和推理并不无道理。特斯拉早先的一些用户就出现在驾驶过程中,尝试在方向盘上放置矿泉水来骗过系统的接管检测,进而来放松驾驶员对系统的监控。现在看来,这样做是多么的愚蠢,简直就是在拿自己的生命在开玩笑!但是,这又从另一个侧面反映了用户对于自动驾驶辅助系统能力的信任程度,显然这种信任是过度的,是无知的。

因此,从这一维度来看,自动驾驶辅助系统(更准确的说是L2及以下的自动驾驶系统)是不安全的,这种不安全并不是来自于系统本身,而是来自于用户在使用时系统是的两种不安全因素:

1)用户的违规操作,即类似于上文中说到“欺骗系统”行为;

2)系统对用户使用时的高要求无法被满足,即让用户可以放松手脚的同时让用户保持大脑的高度紧张。

第二点不安全因素显然是系统设计引起的,用户不应该买账。

再回归到系统本身的功能中,我们相信所有公司或者开发者在设计系统一定都是符合法规的、合理的、安全的功能。但是由于是辅助驾驶系统,在驾驶的大多数时间仍然是人工驾驶,甚至很多时候当系统按照交通规则规范驾驶但却不符合“老司机”操作时,驾驶员会立即接管车辆,按照自己的意图驾驶车辆。而这些场景下其驾驶行为往往是很不安全的。这么看来,自动驾驶辅助系统本身并没有有效“屏蔽”我们一开始提到的人类驾驶员的不安全操作。因此,也没有实现我们安全的初衷。

2. 自动驾驶系统的安全性分析

分析完了辅助驾驶系统的安全性,再来看一看自动驾驶系统的安全性如何。根据SAE的定义,自动驾驶系统应该是L3及以上的系统,因为L3及以上的系统可以实现驾驶员“不在环”。那这样是不是就能“屏蔽”我们所说的人类危险操作或弱点呢?

答案是:L3还是不行,L4、L5可以做到这一点。

L3的定义是条件的自动驾驶系统,所谓有条件就是系统运行需要满足一定的条件,也就是ODD(运行设计域)。通常包含以下维度:

但其实这些维度真的定义起来是很麻烦的,因为影响驾驶的环境因素太多了,从某种意义上说是无法穷举的。这里举个例子,比如系统在设计时无法识别和应对的一种场景是:“自车在道路上行驶,前方车辆上满载的橘子忽然掉落满地”。这种场景超出了系统的ODD,但是系统不能应对的类似奇怪的场景太多了,如果全部写在ODD中是写不完的,因此智能索性按照上图中的常见类别进行ODD的设计。但是笔者认为这是不严谨的,因为永远无法把系统的边界真正描述清楚。因此ODD是一个伪命题。

那说了这么多,L3系统到底怎么不安全了呢?因为ODD写不清楚吗?是的,这确实是其中一个原因,但是原因不止这一个。因为L3在系统功能失效时是需要驾驶员来及时接管的,系统不具备最小风险控制(MRC)的能力。因此,L3同样会遇到前文提到的问题:对驾驶员的专注度和反应时间提出了更高的要求。为什么是“更高”.原因是L3的功能更全面,更容易引起驾驶员的“麻痹”,甚至是在系统出现故障时驾驶员已经睡着了,从而导致在需要接管车辆不能及时接管而出现更严重的后果,并且这种情况的概率大大增加了。

L4、L5安全,为什么?这里先说L5,按照SAE的定义L5是没有ODD的,那就不存在写不清楚的情况,换句话说:用户不用关心哪里能开,哪里不能开;啥时候能开,啥时候不能开等类似问题。到了L5用户根本就不用关注ODD,也不用关注出现系统失效时要不要接管,这些系统都可以搞定。可以理解为你买了一张大巴票,你就坐车就可以了,开车的事儿司机替你搞定。

再来说L4,L4自动驾驶系统跟L3的区别就是当系统出现失效时或超出ODD时可以自己处理系统使车辆进入最小风险状态。这样对于用户就友好多了,可以开车玩手机、睡觉,不用担心系统提示接管。当然了用户想接管也是可以的,但是不强制要求。因此L4也是安全的。

自动驾驶行业的浮躁

前面分析了这么多,所谓的自动驾驶安全性分析理论,所谓的自动驾驶分级,其实都是一些人搞出来的理论。用户对自动驾驶的要求其实很简单,这里借用一个外行朋友的话:“自动驾驶?那我以后是不是不用考驾照了?”虽然是疑问句,但是很直接陈述自己的需求。现在市面上的自动驾驶系统能达到这样的要求吗?很显然,达不到。所以之前一些急于求成的厂家宣称自己是自动驾驶系统后导致了一些悲剧的发生,后面大家都改成辅助驾驶系统了。

为了获得更多客户的使用和青睐,基于推出并不能完全满足客户需求甚至没有用的功能来获取产品的增值,这似乎是现在大家的状态。当今的社会,大家都很浮躁,着急量产,着急赚钱,着急证明自己。很少有人耐心的去满足真正的客户需求,甚至连最基本的安全问题都没有解决。笔者认为,大家是时候放慢脚步了,不要走太远而忘了我们想要去哪里。

推荐器件

更多器件
器件型号 数量 器件厂商 器件描述 数据手册 ECAD模型 风险等级 参考价格 更多信息
MAX31865AAP+T 1 Maxim Integrated Products Analog Circuit, 1 Func, PDSO20, ROHS COMPLIANT, SSOP-20
$26.83 查看
ZSC31150GAG1-T 1 ZMDI Sensor/Transducer
$28.09 查看
L6206PD013TR 1 STMicroelectronics DMOS dual full bridge driver

ECAD模型

下载ECAD模型
$7.05 查看

相关推荐