不同自动驾驶层级的区隔,不仅仅是个数字,也不是我们说能到就能到的。从 L2=》L3 以上,主要在自动化功能 DDT(OEDR)、ODD 和 Fallback 设计上面有巨大的差异。
第一部分 自动化功能
这里就是从 2=》高阶系统的设计分水岭,在参考文献 2 里面讲的比较清楚:
1)设计的适用范围(Operational Design Domain)
在公共道路上,使用车上测试和部署自动驾驶系统(HAV),应该鉴定并记录 HAV 系统的 ODD,描述具体的操作范围,应包括以下信息来定义系统的性能:安全运行道路类型、地理范围、速度范围、操作环境(天气,白天和夜间等)和其他限制。
对 HAV 系统,应评估、测试、对系统功能验证进行记录。
应制定评估 HAV 系统性能测试和验证的方法
制造商和其他机构应开发和应用测试和标准,为每一个 HAV 系统建立安全的 ODD。
这里的基本要求为:
系统应该在 ODD 范围内要安全的运行
偏离 ODD 时,或 ODD 动态下降时,车辆应以最小风险的状态过渡。
车主要容易理解这个 ODD 的情况,理解系统的性能和局限性
2)目标和意外的检测与响应(OEDR)
检测到需要而立即进行驾驶操作进行应对的情况(对这种情况的响应),在 L3 及以上,当 ODD 和自动驾驶功能已被启用时,系统负责执行 OEDR。
应对 OEDR 能力进行评估、测试、验证
应对可能影响安全操作的其他车辆、行人、自行车、动物和物体进行具备检测和响应功能。
应能处理各种情况,包括急救车、临时工作区、和异常情况(如交警手动指挥、道路维修、紧急救援)
3)最小风险状况)动态驾驶任务退出
应能检测功能失灵,退化或者在 ODD 范围外,能通知驾驶员来重新对车辆进行接管以将风险降到最低。
L3 自动驾驶功能退出应以方便车辆的安全操作和尽量减少不稳定驾驶
L4 以上 必须能退回到一个无人类驾驶员的最小的风险状况
Crash Avoidance Metrics Partnership (CAMP) Automated Vehicle Research (AVR) Consortium 这里不少联合的厂家有做过一些梳理:
从这个维度来看,就不难理解为啥走一步是如此艰难了
就是对软件的需求和架构的需求都是新的挑战(考虑了下面的系统安全和不考虑是两回事)
第二部分 系统安全:这部分默认是车企应该具有的,涉及两个部分
1)对厂家的要求
应以系统不存在不合理的安全性风险为目标,并基于系统工程方法上进行鲁棒性设计和验证过程。
应包含当车辆在电力、电子、机械失效或者软件错误时维持安全状态的功能
需要覆盖车辆的全生命设计周期。
应包括系统危险分析和安全性风险评估
整个汽车设计在适用时将会集成到更大的交通系统中(ITS)
应描述处理系统失效的冗余性设计和安全策略
应把重点放在软件的发展、验证和校验上
2)NHTSA 对系统安全的管理
除此之外有一点有些有趣,这里提到了
Tool II: Functional and System Safety
设计和生产过程=》检测、分类并降低与内部故障有关的安全风险
NHTSA’s Vehicle Performance Guidance outlines the actions manufacturers and other entities should take during the design and production processes to detect, classify, and mitigate the safety risks associated with internal failures. Ensuring that these efforts are made during the design and production processes will be critical because evaluating them in completed vehicles would be difficult.
The Agency could also take several additional steps.
上报在功能安全分析中确认的严重风险
NHTSA could use its reporting authority to require manufacturers to report serious risks identified during the manufacturer’s Functional Safety analysis.
Those risks could be indicative of potential safety-related defects.
在必要时修改设计,将高级别风险降至可接受的水平
NHTSA might also require manufacturers to modify their designs as necessary to reduce high-level risks to acceptable levels.
Clarifying the Agency’s authority in this regard would facilitate the smooth implementation of functional and system safety measures.
It also would bring NHTSA’s practices more into line with those other agencies use to ensure the safety of software-driven products and systems.
我们从逻辑上去分析,其实可以分析和评估一套硬件系统(部件)所能达到的功能安全的特性,从这点上评估,硬件先安装,让参考文件 1 提供了一个有趣的例子,我也开始理解在设计和实施部署过程中,从概念到实际需要多大的跨越,这块用以太:
小结:周四周五我去听董兄的课,做一些笔记看看,我个人真的看不到一年开发软件可以达到 L5 的潜力。