撰文 / 玖 零
編輯 / 張 南
前段時間,華為與小鵬的AEB(Autonomous Emergency Braking,自動緊急制動)之爭,把智能汽車的安全性,推到了大眾視野,也在廣大車主中引發了一場熱議。而在這段爭論之前,在過去的幾年裡,也時而會爆出造車新勢力的智能駕駛引發碰撞事故的新聞,導致公眾對智能駕駛的安全性產生懷疑,難以完全信任。
問題的本質在於:智能駕駛沒能做好安全題。安全作為汽車功能的一票否決項,決定著消費者對智能駕駛的根本態度,也決定著智能汽車的普及程度。
隨著汽車智能化進程的加速,尤其是各路造車新勢力對汽車的重新定義,汽車正在從傳統的重工業產品,逐漸具備消費電子產品的屬性。智能化是汽車產業升級的趨勢,消費電子化對於提升用戶體驗,讓智能汽車更貼近普通消費者,發揮了積極作用,也有利於形成多元化的產業格局。
不過,我們也應該意識到,消費電子產品與與重工業產品,作為兩個級別的產品,仍存在較大的差異;汽車雖然正在消費電子化,但其本質仍然是重工業產品,仍然應該符合重工業產品的基本要求,例如安全、可靠、穩定、耐久等。
由於部分車企的過度宣傳,很多消費者以為現階段的智能駕駛就是自動駕駛,即駕駛員可以對車輛行駛過程不管不顧,任由智能駕駛系統控制車輛行駛。但實際上,根據SAE對智能駕駛的分級標準,目前乘用車量產的智能駕駛功能屬於L2級,即用戶負責觀察環境,智能駕駛系統負責操縱車輛,是典型的人機共駕狀態,存在明顯的系統能力邊界,也就是ODC(Operational Design Condition,設計運行條件),包括交通環境、車輛狀態、駕駛員狀態等。在ODC範圍內,智能駕駛系統可以很好地控制車輛,而在ODC邊界外,則需由人類駕駛員控制車輛。
因此,現階段智能駕駛的安全性,需保證在ODC範圍內,系統可以控制車輛正常行駛,符合交通法規要求且儘可能避免發生碰撞事故(事故機率應遠低於同類場景人類駕駛員發生的事故);在ODC範圍外,系統可以及時提示用戶控制車輛,並且在緊急狀態時,幫助駕駛員減輕事故機率;同時,應該讓用戶清晰地獲取車輛行駛狀態,即提供良好的人機互動。
根據上述對智能駕駛安全性的定義,結合工信部在2021年4月發布的《智能網聯汽車生產企業及產品准入管理指南(試行)》,我們認為,智能駕駛的安全性,仍應回歸用戶本身,從出行場景和用戶體驗的層面,去關注用戶需要的安全保障,而不是一味地把智能駕駛當作炫技和營銷的手段。
從用戶和場景來看,智能駕駛的安全性最重要的是行駛安全與人機互動安全。此外,還有從開發流程角度須考慮的功能安全、預期功能安全、信息安全等。下面,我們分別對這幾個方面,展開解讀,詳細說明智能駕駛應該如何保障安全。
行駛安全
行駛安全是指車輛在交通環境中正常通行,避免發生碰撞事故。
識別障礙物並避開障礙物,是智能駕駛開發的核心,也是智能駕駛的重難點問題。目前市面上的大部分智能車型,已經能夠實現非緊急狀態下的目標物識別和避讓。感知算法從前幾年的CNN(Convolutional Neural Networks,卷積神經網絡),到近兩年來流行的BEV(Bird's Eye View),以及GOD(General Obstacle Detection,通用障礙物檢測)、FreeSpace等,正在不斷提高感知的性能與效果;並且從新車型的表現來看,規控算法也在不斷升級,避障能力在提升,接管率在降低。
不過,即使現在目標物識別與車輛控制的能力已經在不斷提升,但智能駕駛系統對於不同場景的危險預判能力,仍明顯不如人類老司機。對於人類駕駛員來說,老司機與新手最大的區別,在於對交通環境的「預見」能力,提前觀察道路環境,提前預判交通動態變化,從而提前規避風險。智能駕駛系統的行駛安全,同樣離不開「預見」能力。統計數據表明,用戶遇到的90%以上交通環境,都屬於常規行駛場景,存在一定的規律;對於特定場景中可能存在的危險因素,可以提前做出預判,提前採取措施避免風險,提升安全性。
以大車避讓場景為例,在道路中遠離大型車輛,是老司機的經驗之談,也是人類司機的常規做法。如果智能駕駛系統識別到周圍存在大型車輛,也可以適當遠離,提高安全性。在造車新勢力的車型中,小鵬最早推出了大車避讓功能,即在相鄰車道有大車時,適當橫向偏離,遠離大車。一些開發者在ACC(Adaptive Cruise Control,自適應巡航)的跟車算法模型中,也已經把大型車輛與小型車輛區別對待,增大了跟隨大型車輛行駛的間距。
大車避讓
再以路口通行場景為例,現階段的感知算法,已經能夠通過對交通信號燈、斑馬線等要素的識別,判斷車輛正在通過路口。根據交通法規要求,以及駕駛經驗,此時應有減速行為,以避免突然出現的其他交通參與者。遺憾的是,目前還少有能夠在路口自動減速的案例,大多還是保持原車速通過路口。
在車外避障的同時,行駛安全也包含車內人員、財物的安全,避免急加速、急減速,以及突然地轉向,因為這些行為也可能引發車內的人員傷害和財物損壞。在評價智能駕駛的性能時,一項很重要的指標就是加、減速時的加速度值,以及轉向時的橫擺角速度值,這兩個數值都不宜過高,否則車輛也會有失控的風險。
ACC遇到前方靜止車輛,是一個典型的案例。當ACC功能遇到前方出現靜止車輛時,會控制自車減速停車,此時減速時機非常重要。如果太晚開始減速,就難免出現「急剎」的情況。在這種場景中,目前大部分車型在大部分場景中,都可以做到平穩地減速停車,但也難免出現不明原因的急剎,研究這些急剎出現的原因,提出針對性的解決方案,是提升安全性的重要手段。
減速過彎也是一個典型的案例。LCC(Lane Centering Control,車道居中控制)功能可以控制車輛沿車道線行駛,並能通過彎道。當彎道曲率小時,LCC可以保持原車速,平穩通過彎道;但當彎道曲率較大,如曲率半徑超過125m時,如果仍以原車速行駛,則車輛容易出現大的轉角,並且表現出轉向太急、不平穩的現象,因此減速過彎是必要的,即根據攝像頭識別的車道線信息,實時判斷當前道路的曲率,並根據曲率計算出平穩過彎所要求的車速(根據公式,並限定加速度a的值,就能通過曲率r,計算出過彎車速上限值v)。目前頭部智駕公司,都已經實現了根據彎道曲率調整車速的效果,但後來的追趕者,則容易忽略這一場景。
減速過彎
當交通場景超出ODC範圍,進入人工駕駛狀態時,智能駕駛雖然不再控制車輛運動,但仍需提供主動安全功能,向用戶提供各類安全預警,必要時施加緊急控制等,輔助用戶安全駕駛。主動安全功能雖然智能化等級不高(L0級),但做好主動安全功能,卻並不容易。
前段時間的熱點話題AEB,就是主動安全的典型代表。當前方有碰撞風險時,何時發出預警?何時施加制動?加速度隨時間的變化是怎麼樣的?觸發條件如何設定才合理?這些都是AEB功能需要考慮的問題。目前國內大部分車企,採用的還是以前國際Tier 1巨頭的AEB方案,實際效果還達不到普通消費者的預期,經常出現不能及時剎停的情況,並且觸發條件也比用戶想像的更加苛刻。國內的智駕開發者們,正在不斷拓展AEB等主動安全功能的能力,可以看到AEB的作用目標範圍、避障成功率等,都在不斷提升,對提升安全性起到了積極的作用。
AEB示意
合理且明確的ODC範圍也十分重要,ODC是人駕與智駕的邊界,合理的ODC既要符合系統的能力,又要讓用戶能夠清晰地識別到邊界,避免出現「以為系統可以處理」的誤區。
高速NOA(Navigate on Autopilot,導航輔助駕駛)功能對ODC的定義就非常明確:當車輛位於高速公路路段時,智能駕駛系統完全控制車輛行駛;當車輛位於非高速公路或城市快速路等半封閉路段時,高速NOA功能退出。可以看到,市場上具有高速NOA功能的車型,如特斯拉、小鵬、蔚來等,都會明確說明功能起作用的地理範圍,並在ODC邊界處,提前向用戶發出提示,以便用戶做好接管準備。
人機互動安全
人機互動HMI(Human-Machine Interface)作為汽車與用戶的直接交流途徑,是用戶高知高感的部分,不僅直接影響智能駕駛的用戶體驗,對智能駕駛的安全性也有著重要影響。智能駕駛的人機互動主要包括信息顯示、安全提示、用戶接管與干預等,對應地,人機互動安全也需要考慮到這幾方面的內容。
信息顯示的安全性,是指智能駕駛系統激活時,應該能夠讓用戶知道必要的車輛狀態和交通環境信息,給用戶提供安全感,贏得用戶信任。
以自動變道功能為例,造車新勢力如小鵬、蔚來的車型,當智能駕駛系統控制車輛自動變道時,能夠準確地在儀表中,重構出本次變道涉及的周邊場景,如車道線、自車、其他車、車輛位置、預計的變道後落位、是否有危險車輛等,並能通過語音和觸感提示駕駛員當前正在變道。作為用戶來說,對於變道的全過程是非常清楚的,對車輛的安全狀態也瞭然於心。
小鵬自動變道的顯示效果
危險場景的安全提示,也是人機互動的重要內容。在車輛周圍出現危險場景時,應能及時地通過多種人機互動方式,向用戶發出必要的提醒,包括而不限於視覺、聽覺、觸覺等。
仍以自動變道為例,小鵬在變道過程中,如果目標車道有車輛快速接近,螢幕中會紅色高亮顯示危險車輛,目標車道也會有黃色的渲染效果,結合智能夥伴「小P」的語音播報「當前不適合變道」,告知用戶此時變道可能發生碰撞,提醒用戶注意觀察目標車道的交通流。
車道偏離預警功能作為一項基礎的預警類安全功能,通常會在視覺和聽覺之外,增加觸覺交互。當車輛壓線或偏離車道時,不僅螢幕中會將偏離的車道線高亮顯示,還會伴隨機械音提醒,同時,方向盤會震動,三者共同提示用戶車輛偏離的風險。
車道偏離預警的顯示效果
用戶干預與接管的安全性,是指當用戶主動干預駕駛或接管車輛時,智能駕駛系統應將駕駛權立即交給駕駛員,避免系統與人「搶」控制權的問題。對於用戶踩加速或制動踏板的操作,一般系統都會立即讓出控制權;但對於用戶的橫向干預,即轉動方向盤時,如果車輛採用扭力式方向盤,則可能出現用戶主動施加的力矩,達不到閾值,導致接管延遲的情況,因此合理的橫向接管閾值,是非常必要的。
目前市場上採用扭力式方向盤的車型,或多或少都存在與用戶「搶」方向盤的情況,尤其是對智能駕駛不熟悉的用戶,抱怨更加明顯。比較好的做法是定位高端的車型,例如蔚來的多款車型ES8、ET7等,採用電容式方向盤,從原理上解決該問題。如果限於成本原因,只能用扭力式方向盤,那麼針對車型的目標群體,調校出合理的干預扭矩閾值,例如針對男性群體的閾值大一些,針對女性群體的閾值小一些,是目前比較可行的折中方案。
近兩年來,隨著汽車的電子電氣架構進一步集成,艙駕一體已經成為一種趨勢,在未來,座艙與智能駕駛更將深度融合,而人機互動的安全,也更將成為智能駕駛安全不可或缺的一部分。
功能安全
功能安全(Function Safety),是一套降低電子電氣系統的故障所引起危害的開發管理體系。汽車行業的功能安全主要依據國際標準ISO26262和對應的國家標準GB/T34590,其定義為:避免因電子電氣系統故障而導致不合理的風險。智能駕駛的實現,主要依賴於可靠的電子電氣系統,因此功能安全對智能駕駛來說,是必不可少的。
功能安全關注的是因故障而導致的不合理風險,目標是將這些風險控制在可接受的範圍。功能安全通過ASIL(Automotive Safety Integrity Level,汽車安全完整性等級)來區分不同級別的風險(QM,ASIL A,ASIL B,ASIL C,ASIL D),然後根據ASIL等級,對電子電氣系統的開發流程,加以約束並制定對應的安全措施。ISO 26262和GB/T34590定義了一套明確、完善的方法與流程,以保證汽車電子電氣系統的開發過程,能夠滿足功能安全的要求。
功能安全的V模型流程
目前行業內的智能駕駛公司,都會把功能安全作為開發流程中必須考慮的內容,並按照功能安全的要求來開發智能駕駛的系統、硬體和軟體,也有公司正在或已經完成了功能安全體系的認證。不過,由於智能駕駛的發展時間還不長,技術疊代迅速,而功能安全又是僅針對電子電氣系統的標準,對於更加智能化的智能駕駛,沒有專門的方法,因此目前行業內對於功能安全在智能駕駛開發過程的應用,還沒有形成統一的認知,還處於摸索和局部應用階段。
例如,根據ASIL的分類依據,我們可以把NOA功能,整體歸於ASIL D級別,但是NOA功能包含的場景和子功能有很多,對於其中每一類場景和子功能的故障失效,是否都屬於ASIL D級別?如果不是,那麼分別應該屬於哪一個安全等級?這個問題,相信大多數公司並沒有系統而完整的定義。
再如,對於近期熱議的AEB功能,網絡上開始用最高可激活的車速作為AEB的重要評價指標,似乎可激活的車速越高,AEB功能越好,但是從功能安全的角度來說,這種做法並不妥。眾所周知,AEB的制動非常突然且加速度非常大,不僅會造成車內人員極度不適,還會引發後車追尾等次生事故;如果因系統故障導致AEB誤觸發,那麼,車速越高,危害程度越大,也越不可控。因此,目前業內的AEB測試認證標準,對AEB的最高車速要求,都不會特別高。
針對以上問題,我們認為,開發者尤其是消費電子轉到汽車電子行業的開發者,一方面應該充分認識到功能安全的重要意義,認真對待;另一方面,也應該遵循長期主義,願意投入成本,在智能駕駛開發中持續摸索和優化功能安全的實踐,真正讓功能安全標準,與智能駕駛的先進技術融合,並能形成一套可參考的規範。
預期功能安全
功能安全針對的是電子電氣系統失效的情況,預期功能安全SOTIF(Safety Of The Intended Functionality)針對的則是系統本身的限制以及非預期的場景。對於智能駕駛來說,僅從系統失效角度,遵守功能安全標準是不夠的,還應該充分考慮智能駕駛系統的能力邊界,存在風險的行駛場景,以及駕駛員的誤操作等因素,因此還應該遵守預期功能安全標準,主要是國際標準ISO 21448的要求。
以交通信號燈場景為例,目前特斯拉、小鵬、蔚來等車型,已經可以通過前視攝像頭,識別到紅綠燈。不過,僅僅依賴前視攝像頭來識別紅綠燈,難免會存在錯誤識別的機率,此時如果能夠結合路端設備或大數據統計,將攝像頭、V2X、大數據三者的結果融合,那麼就能夠通過多種策略,確保車輛能夠安全地通過路口。
再以氣象條件的影響為例,近年來可以明顯地發現,智能駕駛對惡劣天氣和惡劣光照條件的應對能力,已經有了大幅度的提升。一方面得益於傳感器性能的提升,另一方面也是由於在功能開發時,會更多地考慮雨、雪、霧、霾、沙塵,以及強逆光、隧道出入口光線變化、高架廣告牌遮擋等場景的影響,更多地關注這些場景中的功能表現,提前制定了相應的安全策略。
目前預期功能安全還處於起步和研討階段,更多停留在理論層面,行業內還少有典型案例。不過,已經一些研究結果出現,並且已經有國內企業如地平線、長城等,宣傳其已經拿到了ISO21448的流程認證。總體來說,SOTIF提出的時間還比較短,成熟度也不如功能安全,距離行業內的廣泛應用,還有一段路要走。
信息安全
信息安全主要指保護車輛及其電子系統免受未經授權的訪問、使用、披露、干擾和破壞的威脅。在智能汽車時代,汽車不再僅僅是一個交通工具,而是演變成了物聯網的一個節點,汽車也正在從機械產品、電子產品,逐漸成為移動的網絡和數據中心,自然也就難免存在信息安全問題,成為黑客攻擊的對象。據統計,在過去的5年里,智能汽車遭受到的網絡攻擊數量增加了數百倍倍。可見,智能汽車的信息安全,已經成為一個非常值得關注的問題,並且引起了世界各國政府的高度重視。值得注意的是,歐盟率先於2020年6月份發布了WP.29 R155信息安全法案,並於2022年7月1日起逐漸開始強制執行。中國政府相關部門也於今年9月13日至14日,在貴陽,審查了強制性國家標準《汽車整車信息安全技術要求》和《智能網聯汽車 自動駕駛數據記錄系統》,經過起草單位彙報、委員質詢、起草單位回復等流程,最終兩項強制性國家標準順利通過審查,預計於近期正式發布實施。
特斯拉的哨兵模式就是信息安全的典型案例。哨兵模式能夠通過攝像頭檢測車輛周圍的實時環境,但是環境數據,尤其是周圍行人的生物學特徵,屬於個人隱私。當用戶使用哨兵模式時,都會被告知信息安全相關的內容,而系統也會在合法的範圍內,記錄不同安全等級的數據,並確保數據的安全和合理使用。
去年12月,有人宣稱破解並獲取了某車企的用戶數據,並且在網絡上公開銷售。這些泄露的數據多達百萬條,包括訂單數據、車主身份證、地址,甚至車主親密關係、貸款數據等極度隱私的個人信息。這些數據的泄露,無疑會對車企以及車主,產生難以預計的安全風險。該車企表示:「今後應在抓緊提升技術層面,如防火牆、數據保護能力等基礎上,儘可能通過技術提升有效降低人為因素干擾,使用戶信息隱私得到更好保障。」
由於汽車的智能化進程正在快速發展,目前智能駕駛仍然處於重點關注功能實現的階段,而對於信息的安全性,主機廠的重視程度還不夠,尤其是很多主機廠當前的設計開發流程中,缺乏數據與信息安全的概念。因此,智能駕駛的信息安全,任重而道遠。
從以上分析不難看出,在汽車日益智能化和消費電子化的今天,仍然不應該忽視汽車的安全性。智能駕駛作為汽車智能化的核心和代表,是跨學科融合的產物,其安全性也包含了行駛、人機互動、功能安全、預期功能安全、信息安全等方方面面,每一方面都是一門複雜而系統的學科,更應該認真對待和敬畏。
普通消費電子產品出現故障,還可以重啟;汽車一旦出現故障,可能就要付出血的代價。作為汽車行業的從業者,尤其是智能駕駛的從業者,不應該拿智能駕駛作為炫技的工具,而更應該將智能駕駛作為提升通行安全和效率保障,尊重工業產品應有的安全要求,助力行業的良性發展。