没有合适的资源?快使用搜索试试~ 我知道了~
自动驾驶并非一个传统意义上可以无限试错的“手机APP”,其安全基线就是要能替代人类处理路上千奇百怪的行驶风险。自动驾驶不是可以“任性甩锅”的辅助驾驶功能,其开发商将从交通运输工具提供商转变为直接交通事故责任者以及整体交通协调的责任者,既要考虑自车安全,又要兼顾整体交通的安全和效率。这种改变也使得原有的汽车和驾驶员管理相关部门的职能交织在一起,因此,自动驾驶就需要应对适应各方管理要求。
资源推荐
资源详情
资源评论
2022/4/24 09:50
万字解读正确的自动驾驶“安全观”
https://mp.weixin.qq.com/s/0a8M3M6aEw9o3nlz3fBDzw
1/18
自动驾驶比人安全的论述主要是站在自动驾驶解决了由人类缺陷引发的事故的角度上,进行分析得
出的结论,但论据并不全面。诚然,人类驾驶员有诸多缺陷,但其优势也是现有自动驾驶算法所无
法比拟的,比如对行人及其他驾驶员面部表情、手势的理解,这是自动驾驶短期或者永远也无法达
到的能力,而正是这样的能力使得车辆在混杂的路口穿梭自如,避免了因不必要的交互风险而造成
的交通事故。对比露出在水面的冰山(事故),我们更应关注那些被人类合理处理掉的沉在水面下
的冰山(安全风险)。
自动驾驶并非一个传统意义上可以无限试错的“手机APP”,其安全基线就是要能替代人类处理路上
千奇百怪的行驶风险。自动驾驶不是可以“任性甩锅”的辅助驾驶功能,其开发商将从交通运输工具
提供商转变为直接交通事故责任者以及整体交通协调的责任者,既要考虑自车安全,又要兼顾整体
交通的安全和效率。这种改变也使得原有的汽车和驾驶员管理相关部门的职能交织在一起,因此,
自动驾驶就需要应对适应各方管理要求。
在美国交通部发布的自动驾驶安全愿景2.0中,就提到了13种企业需要声明的安全要素,分别是:
系统安全、ODD、OEDR、接管(最小风险状态)、验证方法、HMI、车辆网络安全、耐撞性、事
故后行为、数据记录、消费者教育与培训及对国家、洲和地方法规的遵守。美国政府鼓励自动驾驶
2022/4/24 09:50
万字解读正确的自动驾驶“安全观”
https://mp.weixin.qq.com/s/0a8M3M6aEw9o3nlz3fBDzw
2/18
公司按照这13个要素阐述企业的实际情况。虽然目前NHTSA网站中已有多达28家企业提交了安全
报告,但报告内容相似度较高,内容也都比较空洞。
驾驶能力的最优实践是由低概率故障水平的车+有概率性错误的人类组成的驾驶水平。“依靠企业最
优实践提出自动驾驶安全要求”这条路貌似很难走通,自动驾驶的安全要求不仅是个研发技术水平问
题,更是从社会接受度、法规、权责等角度综合讨论得出的对企业开发管理流程和质量的要求。
在联合国WP29中,FRAV综合各国的自动驾驶安全理念,总结了五大类安全领域:DDT性能要求、
与用户间交互安全、极端情形处理、系统失效处理、生命周期管理,并在最新的guideline文件中
加入了多支柱法与五类安全领域的测试验证关系的阐述。我国工信部发布的《智能网联汽车生产企
业及产品准入管理指南(试行)》(征求意见稿)则综合了网络安全、功能安全、预期功能安全、
合理可预见和可避免、数据安全、OTA管理、ODC识别与应对,以及多支柱验证方法等要求。
相关企业应该在多种已经形成基本共识的安全视角下分析自动驾驶带来的收益,满足多领域的安全
管理规则,才能真正证明所开发的自动驾驶功能是安全的。本文将对各国现有的关于自动驾驶评价
的基本共识和热点,进行介绍和讨论,以供读者参考。本文主要围绕运行在开放道路的自动驾驶功
能展开,其他区域运行的自动驾驶功能亦可参照。
功能安全
功能安全广泛存在于电子电器系统安全设计中,但落实到自动驾驶企业中却往往仅保留了系统冗余
的概念,这是理解上的重大偏颇。功能安全是一套为降低电子电气安全相关系统故障引起的危害而
开发的管理体系,并不是说企业做了冗余功能设计就可以满足功能安全要求。自动驾驶系统也是一
种安全相关系统,因此企业应满足汽车安全生命周期相关阶段的功能安全活动流程要求,符合汽车
安全完整性等级对应流程的规定,证明自动驾驶有能力处理故障导致的可避免的不合理风险。
类比人类驾驶员+车的组合体,企业应通过功能安全,回答在自动驾驶系统故障和车辆故障的情况
下能够将总体剩余风险(P=E*C*S)降低到现有车辆故障和人类驾驶员不可抗力条件(如突发心脏
病)下的风险水平。
关于故障曝光率,以现阶段工业水平,电子产品的可靠性还远远达不到人类的可靠性水平。由于人
类身体原因(排除疲劳驾驶等不良行为)影响不能正常驾驶的事件是微乎其微的,而即便是发展了
2022/4/24 09:50
万字解读正确的自动驾驶“安全观”
https://mp.weixin.qq.com/s/0a8M3M6aEw9o3nlz3fBDzw
3/18
几十年的电脑手机等产品,死机概率仍居高不下,更何况新兴的“汽车驾驶机器人”。因此业界的普
遍认知是通过对车辆结构进行冗余,提高自动驾驶+车辆的整体故障曝光率(E),以降低风险概率
(P)。
关于可控度C是很难评判的。在不改变当前社会车辆的结构下,对于L4级自动驾驶系统故障曝光率
(E)就需要达到人类驾驶员同等的“身体健康”水平,并且能够合理有效处置车辆故障时情况(可控
性C)。而对于L3级自动驾驶系统则较为复杂,因为L3级系统车上仍存在人类驾驶员,在设计分析
过程中,需要对故障进行合理分级:何种只需要提醒,不需做DDT响应;何种可让驾驶员接管,长
时间不接管进入MRM;何种直接进入MRM并同时发出接管请求。宗旨是在自动驾驶与人类驾驶员
协同时,不留存不合理风险给人类驾驶员及其他交通参与者,特别在极端情形下需要有能力处理。
网络安全
网络安全是指汽车的电子电气系统、组件和功能处于被保护、不受网络风险威胁的状态。自动驾驶
功能区别于人,会受到内外部的网络攻击,由此带来安全隐患,这是区别于人类驾驶新增的安全风
险,暂无明确可参考的接受准则。
企业应先参照ISO21434制定网络安全防护机制,定期开展网络安全风险识别、分析评估和管控网
络安全风险,及时消除重大网络安全隐患;建立网络安全监测预警机制,采取监测、记录、分析网
络运行状态、网络安全事件等技术措施;企业应建立网络安全应急响应机制,制定网络安全事件应
急预案,及时处置系统漏洞、网络攻击、网络侵入等安全风险。
预期功能安全
预期功能安全最早是针对驾驶员误用滥用而提出的开发流程要求。而自动驾驶功能,由于ODD的约
束,理论上是不存在驾驶员误用滥用问题。如何将其方法论应用于自动驾驶,笔者认为主要有两
点。
第一,预期功能安全适用于基于已知功能策略性不足造成的危害场景(非能力边界问题),通过合
理泛化,驱动研发开发新策略对危害场景进行全覆盖。图1第一个圈的开发模式就是目前行业常用
的数据驱动型,也就是基于问题数据的回归式开发。第二个圈则是在已知危害场景周围进行泛化,
剩余16页未读,继续阅读
资源评论
NMR0574
- 粉丝: 168
- 资源: 33
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功