许多人认为自己只要上了冗余备份,做到感知冗余、通讯冗余、制动冗余、电源冗余和转向冗余,在主系统出现问题时,无缝切换至备份系统,保证车辆的安全行驶,自己就是L3级自动驾驶了。果真如此么?
1.什么是驾驶?
驾驶不仅仅是简单的物理操作,更是一种复杂的认知和行为过程,涉及战略、战术和操纵三个行为层面。
当你决定从家中开车到公司时,会涉及到:对当前驾驶条件(例如:自己是否没睡醒、车辆剩余油量/电量、道路拥堵情况、是否有雨雪雾霾天气、是否有便捷公共交通等)、在这些驾驶条件下开车所涉及的风险(例如:半路抛锚、遇到堵车、车祸等)、以及准时到达公司的概率进行战略评估。最终决定乘坐公共交通或者开车走某条路线去公司。
当你决定开车走某条路线去公司时,在驾驶过程中,你会根据途中遇到的各种条件做出战术决策(例如超车、变道或转向另一条道路)。在变道时,你会进行战术评估(例如:目标车道是否有车、是否是禁止变道的实线、是否有车正在向目标车道变道等)。最终确定变道是可行的后,你会在操纵层面上进行持续调整(例如:启动转向灯,在保持适当速度的同时转动方向盘),最终完成变道。
2.什么是自动驾驶系统?
自动驾驶系统ADS由硬件和软件组成,它们共同能够在一个或多个设计运行域ODD中持续执行整个动态驾驶任务DDT。需要人工干预来执行DDT的驾驶自动化系统不是自动驾驶系统ADS。
3.什么是L3级自动驾驶系统?
L3级别的自动驾驶技术,是汽车自动驾驶技术中的第四级,表明自动系统能够执行特定的驾驶任务,并在某些情况下对驾驶环境进行监控。 在L3级别下,自动驾驶系统可以完全取代驾驶员的操作,只是在紧急不可控情况下留给驾驶员一定的时间来接管车辆。
在L3级自动驾驶系统开启时,事故的责任主体将是系统而非后备驾驶员。
4.ADS设计时要考虑的因素
自动驾驶系统ADS设计是一个复杂且多维度的过程,需要综合考虑多个方面以确保系统的安全性、可靠性、高效性和适应性,绝不仅仅是冗余了事。
5.ADS的安全要求
ADS必须展示其安全驾驶车辆、应对外部复杂驾驶条件、管理内部故障的能力。
ADS的设计必须确保车辆在整个使用寿命期间(设计、开发、生产、运行、报废)的使用安全和用户安全,能够避免对驾驶员、乘客和其他道路使用者造成不合理的风险。
企业应建立覆盖车辆全生命周期的功能安全、信息安全和预期功能安全流程,包括设计、开发、生产、运行、服务及报废等阶段。
6.ADS安全性的评估和验证
ADS是否符合安全要求,取决于五个验证支柱:
五个支柱需要结合使用,以对ADS符合安全要求的情况进行有效、全面和一致的评估。
7.安全管理体系SMS
8.让ADS读懂交通法规
9.ADS的行为能力
10.交通场景与性能指标
正常交通场景下ADS的性能指标之一是遵守道路交通规则。此外,ADS安全要求也规定“ADS应根据运营区域内相关法律的要求遵守交通规则” 但是,并不是所有的交通场景都有对应的交通规则文本(明确要求),根据交通规则进行测试是具有挑战的。
这时候就需要建立“老司机”模型,看成熟稳重的人类驾驶员面对不同的交通场景是怎么做的。
11.自动驾驶上路前不可或缺的老司机模型
正常交通场景下,ADS能遵守道路交通规则;在意外情况下,例如其他交通参与者造成的可能导致事故的非预期情况(未打转向灯突然别车、对向车道忽然借本车道超车、前车货物跌落等),自动驾驶系统应该像成熟稳定的人类驾驶员(老司机)一样执行规避行动,以实现最小化任何人类(ADS车内、车外)伤害。
12.如何搭建完整的交通场景库
13.典型高速公路场景库
14.ADS安全管理体系的审计(上)
对ADS制造商安全管理体系的审计和对ADS制造商安全案例、安全概念的评估,是ADS安全验证的重要支柱之一。为了实现这种审计和安全评估,ADS制造商需要提供某些留档。审计和安全评估将由批准机构(政府部门)或独立第三方(认证公司、试验场)执行。
15.ADS安全管理体系的审计(下)
16.ADS的DDT性能要求
正常场景下:ADS车辆不得造成交通事故或扰乱交通流。
紧急场景下:ADS车辆不得造成任何可合理预见和预防的导致伤亡的交通事故。
故障场景下:ADS车辆需确保系统安全,能够应对损害ADS执行整个DDT能力的系统故障。
17.DDT性能验证与三支柱测试的映射
ADS的DDT性能需要进行验证测试,常用的测试方法包括:仿真测试、场地内轨道测试、真实道路测试三种。
制造商内部开发&开发完成后监管机构型式验证批准时,需要根据不同的性能要求,选择适用的测试方法。
18.ADS与用户的安全交互
19.安全交互验证与三支柱测试的映射
要想证明自动驾驶系统满足相应的安全交互要求,需要仿真测试、场地内轨道测试、真实道路测试等测试支柱进行支撑。
20.ADS的仿真测试概述
通过数学建模和仿真技术来模拟测试自动驾驶汽车的功能和性能,以评估其可靠性、安全性和适应性等。这种方法可以在现实世界中极难测试或测试成本极高的场景下对ADS进行验证,从而提高自动驾驶系统的安全性和可靠性。
21.仿真交互与仿真置信度要求
建议在执行相同场景时,将ADS性能的仿真测试与其在现实世界中的性能进行比较。这将提供评估所使用的仿真测试工具链准确性的机会。鉴于仿真测试可以执行的场景数量比场地内轨道测试多,验证可能需要在相关场景的较小但仍然足够代表性的子集上执行,以便证实验证场景之外的任何推断。
22.仿真工具链的置信度评估(上)
23.仿真工具链的置信度评估(下)
在自动驾驶系统的开发过程中,仿真测试和置信度评估是相互依存、相互促进的。通过仿真测试可以发现潜在的问题和风险,而置信度评估则可以确保仿真测试结果的可靠性和有效性。因此,在自动驾驶系统的开发过程中,应充分利用仿真测试和置信度评估手段,不断提高自动驾驶系统的安全性和可靠性。
24.轨道和真实道路测试
轨道测试在封闭测试场地上进行,该场地使用真实障碍物和障碍物替代品(例如,假人假车等碰撞目标)来评估ADS的安全要求(例如,人为因素、安全系统)。这种测试方法允许通过评估ADS子系统(感知系统的感知能力、人机交互系统的安全交互等)或整个ADS系统在真实物理环境中的表现,来评估ADS车辆的性能。可以在测试期间控制或测量外部输入和条件。
25.ADS的在役监控系统
在役监控系统是一种专门用于对已经部署并投入实际道路运行的自动驾驶车辆进行持续性能监控和安全评估的系统。该系统旨在收集和分析代表在役ADS性能的各种信息,以便及时发现并解决潜在的安全问题,确保自动驾驶车辆在各种运行条件下都能保持高度的安全性。
26.在役监控报告ISMR的实施
27.ADS安全要求与在役监控报告ISMR的映射
本文将讲述自动驾驶系统的DDT性能&安全交互与在役监控和报告ISMR支柱的映射关系, 以下矩阵指示哪些要求适合ISMR活动。该矩阵旨在为ADS车辆制造商和监管当局监测ADS在役状态提供指导。
28.在役监控ISMR短期报告
本文提供了一个模板,用于协助ADS制造商和ADS运营商在自动驾驶车辆发生紧急事件时实施短期报告。
29.在役监控ISMR周期性报告
本文提供了一个模板,用于协助ADS制造商和ADS运营商定期实施周期性报告。
来源:智驾小强