递交自动驾驶安全报告，福特并不想争头把座椅

今年是各家自动驾驶巨头争抢落地的一年，但并不是所有企业都想着争头把座椅。

近日，福特汽车向美国交通运输部提交了一份44页的报告，题为《A Matter of Trust》，概述了福特汽车正在使用的自动驾驶技术，如何安全部署车队。同时，福特表示不想成为第一家向公众提供自动驾驶汽车的公司。

福特当然希望自己谨慎的策略能够得到消费者的支持。尤其是今年初Uber的自动驾驶车辆发生致命的交通安全事故之后，各家公司都在极力采取措施来强调自身技术的安全性。

在福特汽车看来，安全、可靠和经过验证的技术是给予消费者信任的关键因素。在这次递送的文件中，有消息人士透露，福特汽车多次强调他们的重点是正确的做这件事（自动驾驶）。

在福特提交自动驾驶自愿安全报告之前，已经有两家公司也提交了类似报告，分别是谷歌旗下的Waymo和通用汽车。美国政府的目的是希望各家自动驾驶技术公司和汽车主机厂能够自愿向政府提交一份安全检查报告。

在此次福特汽车提交的报告中，有很多细节比如自动驾驶车辆如何处理系统故障，数据泄露及安全事故。此外，福特汽车也首次确认了自动驾驶汽车“黑匣子”的存在，作为事件数据记录器。

在这次报告中，福特重申了计划在2021年推出不带方向盘、刹车踏板的L4级自动驾驶车辆。在运营方式上，如使用自动驾驶车辆服务城市的特定区域，但只有当天气好到足以让传感器正常工作的前提下。与此同时，2021年福特不会对外出售这些车辆。

报告称，构成自动驾驶车辆的部件本身，如悬挂，刹车和电气系统也很关键，就像人体一样，自驾车车辆必须设计和开发作为一个集成系统，否则我们无法达到最大的能力，可靠性和性能。

在感知方面，福特认为感知是一个巨大的挑战，需要机器学习技术来承担这个问题。这个自驱动系统结合来自所有传感器源的信息，并基于一个精心设计和彻底测试的体系结构，能够提供冗余度来感测车辆周围360°环境信息，冗余是必不可少的，因为不同的传感器具有不同的失效模式。

在路径规划部分，福特提到，今天许多城市都有巨大挑战性的十字路口和独特的交通模式和行为。通过建立和保持一个高度精确和丰富详细的环境地图，自动驾驶车辆才可以获得超人的能力。

从而使得自动驾驶车辆能够准确地知道在哪里寻找交通控制措施或预期减速的地方（比如行人过马路或街道拥挤不堪）。使用这样的地图要求定位既精确又可靠，并使车辆以非常高的可靠性执行。

此外，自动驾驶的核心是决策。系统需要不断从感知中接收信息，评估和选择驾驶行为并执行精确地使其能够有效安全。车辆必须选择以自然的方式驱动，传达清晰的动作意图，并符合当地的规范。从而有效的帮助其他司机（非自动驾驶车辆）预测自动驾驶车辆行为更准确，并防止意外情况发生。

福特在报告中表示，建造一辆无人驾驶汽车并不是把传感器和电脑放进现有的汽车一样简单。汽车的传统零部件必须配合开发和设计，并与软件一起工作，硬件和软件必须协同工作，从而提供好的自动驾驶体验。

比如，如果12伏的车载电源出现故障，司机仍然能够机械地推动刹车踏板并转向使车辆到一个可控的停车位。在我们的自驾车车辆中，我们正在设计冗余动力、刹车和转向系统。

同时，我们还需要确保自动驾驶车辆的系统（激光雷达、摄像头和毫米波雷达等核心传感器加上处理所有数据的计算机）所需的所有部件都准备好了接受汽车生命周期的严酷考验。

在自动驾驶车辆与外界行人的交互上，福特汽车有着自己的设想。

今天，行人和骑自行车的人可以与司机进行目光接触，以确保他们被看见。司机通常点头或者挥手示意行人过马路是安全的。但是，在一个无人驾驶的未来呢？

我们相信，需要有一种标准的方式，使自动驾驶车辆能够方便地将他们的意图传达给街道上的人们。为此，福特汽车设计了一个轻巧的灯条贴合挡风玻璃，光棒的位置恰好是行人或骑自行车的人看得到的地方。灯条用不同的图案表示它的意图。

对于安全，福特汽车也有自己的判断。安全并不意味着传感器永远不会发生故障或自动驾驶系统永远不会出错。除了行业内通用的汽车安全标准（ISO 26262），福特还集成和应用危害分析技术，如系统理论过程分析（STPA），以及预期功能安全（SOTIF）草案标准。

危害和安全分析思路（System-Theoretic Process Analysis）定义事故和类型、整理控制框架、确认不安全的控制行为，识别因果场景，在道路车辆上可以细分成：

事故类型

a. A-1 Two or more vehicles collide

b. A-2 Vehicle collides with non-fixed obstacle

c. A-3 Vehicle crashes into terrain

d. A-4 Vehicle occupants injured without vehicle collision

危害类型

· H-1 Vehicle does not maintain safe distance from nearby vehicles A-1

· H-2 Vehicle does not maintain safe distance from terrain and other obstacles A-2, A-3

· H-3 Vehicle enters uncontrollableor unrecoverable state A-1, A-2, A-3, A-4

· H-4 Vehicle occupants exposed to harmful effects and/or health hazards A-4

上述对自动驾驶系统分解成26个事故、九类危害（共176个），这个过程需要分解全自动驾驶的架构、在每个体系结构级别应用STPA、制定全自动驾驶的操作安全概念、生成测试用例来评估架构设计、开发/分配可靠的关键软件系统的设计模式。

未来对于自动驾驶汽车，系统代替了人的操作，即使系统不发生故障，也可能因识别、决策或执行过程的不准确，导致交通事故发生。这类非故障情况下因系统功能不足导致的自动驾驶安全风险，归为预期功能安全领域（SOTIF）。

SOTIF 针对的系统功能局限可分为：

1、目标使用场景考虑不周全，导致系统不能准确识别环境要素；

2、功能仲裁逻辑不合理，导致系统决策失误；

3、执行器响应能力不足，导致运动控制偏离预期等。

4、功能局限的产生原因主要是：设计开发时系统功能定义不能充分覆盖目标市场的使用需求。

我们的自动驾驶车辆会基于故障类型实现安全地失效或功能失效。故障功能系统包括制动、转向、低压电源和虚拟驱动系统。我们的自动驾驶车辆包括一个深入的诊断策略，分析和激活退避解决方案，以使车辆在必要时控制停止。

而在开发自动驾驶车辆的这个阶段，福特相信安全操作员在发生错误或故障时发挥关键作用。他们的培训是整个系统安全的核心组成部分。

即使在培训完成后，持续的每日简报也会使操作员加快新的功能迭代，他们对测试的反馈对于安全工程师如何改进设计是至关重要的。

此外，福特一直坚持使用三步验证方法：模拟、闭环测试和真实世界测试。仿真技术包括硬件在环（HIL）和软件在环（SIL），以创建用于组件和子系统测试的虚拟沙箱。

在面对意外事故的情况下，福特的自动驾驶车辆将立即进入最小风险状态（MRC），到达安全的地方停下来。如果需要，备用转向、制动和动力系统确保车辆能够在其自身的动力下停止。

同时，自动驾驶车辆将触发以下反应机制：

1、使用车载通讯设备呼叫911。

2、如果需要，车辆动力供应的主电池将切断电源，以确保乘客安全，而备用电源则打开车门并打开危险灯。

3、事件数据记录器（EDR）和自动驾驶数据记录设备，将自动记录相关碰撞的数据。比如气囊展开、车辆速度和安全带使用等细节可以帮助我们了解发生了什么。

4、远程客服中心代表随后将呼叫车辆检查乘员的健康和安全，并与乘客沟通。

5、根据事故严重程度，客服代表也可以派遣其他自动驾驶车辆完成乘客的后续行程，而技术人员则安排到现场检查和修理车辆。当前车辆的虚拟驾驶系统将保持关闭，直到系统检查完成。