国内首个自动驾驶安全报告

电子说

1.3w人已加入

描述

去年10月,谷歌自动驾驶公司Waymo发布了43页Waymo Safety Report,里面详细介绍了如何装备和训练自动驾驶车辆,从而避免驾驶过程中一些意外情况的发生。而后美国交通厅发布的联邦政策框架《自动驾驶系统 2.0:安全驾驶的愿景》也基本参考了Waymo的这份安全报告。

今年1月,美国车企大佬通用也发布了《2018自动驾驶安全报告》(GM 2018 Self-Driving Safety Report),详尽介绍了其自动驾驶汽车的理念、设计过程和技术特点。

发布详尽的安全报告,似乎已经成为这些巨头们推动自动驾驶向前发展的一项基础工作。

作为全球科技巨头和车企巨头的谷歌和通用都发布了自己的自动驾驶安全报告,作为国内自动驾驶一哥的百度,自然不能落下这项推动自动驾驶发展的基础工作。于是,在2018百度 AI 开发者大会(Baidu Creat 2018)上,百度Apollo重磅发布了长达64页的《Apollo Pilot 安全报告》。

那这份报告讲了什么呢?下面一一介绍。

Apollo Pilot 是什么?

你可能会问,百度自动驾驶平台不就是Apollo嘛,为啥还有个Apollo Pilot呢?简单理解,可以认为百度的Apollo计划的终极目标是星辰大海——L4、L5级别的高级/全自动驾驶。但百度不还有个L3事业部(智能汽车事业部)嘛,而这个Apollo Pilot就是目前面向量产车做的自动驾驶产品(总和)。注意,是量产车。

而Apollo Pilot的愿景就如题图所示——让驾驶更安全,旨在提升整个出行过程的安全性,将交通事故率降低一个数量级,甚至更多。

Apollo Pilot for PassengerCar是什么?

Apollo Pilot for PassengerCar(APC),是Apollo Pilot中的一个产品,是国内首个L3级别的自动驾驶产品。报告是这么定义APC的:

提供有驾驶员的车辆在限定场景下的自动驾驶系统;根据系统请求,驾驶员需做出适当的响应,系统将会至少提前10秒钟发出请求,以便给驾驶员保留安全响应时间。

从定义中,我们可以发现以下信息:

1、这是一个人机共驾的自动驾驶产品,即针对的是目前量产车的产品,也即前面所说,是一个L3自动驾驶产品。

2、必须在限定场景ODD下使用,只要系统允许的ODD下,自动驾驶就能保证高度的自动驾驶。报告后面提到,系统在允许的ODD下,95%的情况下不需要用户接管,而不是像有的公司(暗指马一龙),要求用户时刻保持警惕,随时接管汽车。这就类似通用在凯迪拉克CT6搭载的超级智能驾驶系统Super Cruise以及奥迪A8搭载的Traffic Jam Pilot,前者适合在某些高精地图覆盖的高速公路上使用,后者则在60KM/H的情况下使用。

3、如果超出了ODD边界,系统也会提前至少10秒提醒用户接管车辆。

总之,在能用的情况下,让用户用得爽,用得安全。

APC优先上线的三个场景

这三个场景及对应的系统分别是:

高速环路:高速自动驾驶系统

城市拥堵:城市交通拥堵辅助系统

停车取车:自动泊车系统

之所以选择这三个场景及对应的三个自动驾驶系统,我想,一是这三个场景对于每天开车的人来说(量产车),是出现最多的场景,也即最高频的需求;二是技术可行性较高。比如,报告中提到,高速公路事故是致死率最高的交通事故之一,因此,该系统能够解决高速公路因疲劳驾驶引起的交通事故。而城市拥堵,则是中国多数城市面临最普遍的问题之一。2016年滴滴出了份城市拥堵报告,里面就提到,全国400座城市的平均车速为24.8KM/H。所以,奥迪的Traffic Jam Pilot将ODD时速限制在60KM/H已经搓搓有余,可以应对绝大多数国内城市道路行驶了。别再说这个功能不实用啦。再来看自动泊车系统,报告中也提到,中国地大物博,但城市里还是寸土寸金的,现状就是停车位小。有了这个功能,能够帮助很多人解决停车难的问题。另外,泊车系统也能解决共享汽车叫车、还车、充电、调度的问题。

接下来,报告就从安全设计和安全运营两个大方面、七个章节来讲述Apollo Pilot如何做到安全的。

一、安全设计

操作安全

人机共驾,对于用户来说是一个全新的驾驶模式。这也是为什么谷歌认为自动驾驶没有过渡阶段,而应该直接研发L4/L5级别的自动驾驶。要做到完全自动驾驶还有很长的一段路要走,但如果能够实现特定场景下的“完全自动驾驶”,不仅是商业化,带来一定收入的问题。更关键的在于,能够通过大规模量产使用,大规模地采集数据,快速地优化算法,提升车辆的自动驾驶能力。因此,操作安全变得尤为重要,需要明确地告知,并且教育用户,如何正确地、安全地使用自动驾驶汽车(或者确切地说,智能驾驶汽车),确保用户知道自动驾驶的能力和场景边界。而用户教育,也是Waymo自动驾驶安全报告和美国交通厅自动驾驶安全指南中所强调的。此外,凯迪拉克官网对CT6使用的Super Cruise也做了文字说明,告知用户这并非无人驾驶,不能用于全路况。

当然,除了用户教育,还要进行“媒体教育”。比如,马一龙就经常喷媒体,说媒体经常夸大自动驾驶,或对特斯拉的AutoPilot作误导性报告。

Waymo Safety Report

Automated Driving Systems: A Vision for Safety

1.1 HMI系统

报告指出,APC人机交互设计的核心理念是“自然”和“安全”,并通过不同的感官设计来达到安全、自然的目标。

本人现在也负责一个安全驾驶相关的产品,针对不同场景、不同等级的警示内容,会采用不同的提示方式,比如不同的文字提示、不同的蜂鸣声以及不同的语音播报等。那么百度APC具体是怎么做的呢?

中控共享全面屏:这里的共享全面屏并非拜腾那个酷炫的、长1.25米的共享体验屏。从下图也可以看到,拜腾的目标是通过这块屏“让你和你关心的人和事时刻保持联系,实现车内和车外的无缝切换……”。我觉得这块屏当作是下一代L4/L5级别自动驾驶的时候或许合适,但现在拿出来应用,有些太超前(太不安全了)。

在人机共驾的情况下,这块屏最重要的作用是让司机/乘客,时刻知道这辆车的状态、车周边环境,以及这辆车正在或即将做什么等等这些重要的信息。而APC的共享全面屏也正是这样做的:

为保障乘客安全,除车辆基本信息外,共享全面屏还将在突出位置显示驾驶重要提示和警示通知等。

环绕氛围灯:即通过不同的灯光效果,提示不同的信息。

声音交互:通过不同的声音提示,让用户听到必要的信息,并通过语音交互的方式,了解车辆状况等信息。

触觉交互:主要是通过触动、震动的方式进行必要的提醒,例如,通过智能方向盘、体感座椅向用户传达接管请求。这种触觉交互也同样适用于未来无人驾驶汽车中残障人士乘车的警示提醒。

如上文所讲,人机共驾是一种全新的驾驶模式,要用好(安全操作)这个系统,用户需要经历两个阶段——探索期和成熟期。

所谓探索期,就是初次使用Apollo Pilot时。在这个阶段,Apollo Pilot会提供用户说明书供用户了解这个系统。但实际的情况很可能是多数用户并不会认真阅读用户手册。那APC还会在用户驾驶时,通过推送tips的方式让用户逐步了解该系统。而且,在用户使用初期,也会采用更为保守的驾驶策略。因为在这个阶段,让用户逐步熟悉,并对自动驾驶系统产生信任非常重要。在信任建立后,用户可以再根据自己的情况去调整驾驶策略。而后,过渡到成熟期。

在成熟期,APC会减少探索期的新手提醒,而更多的是提示基于百度Intelligent Map产生的预先信息以及ODD边界。

1.2 接管机制

所谓接管机制,即前面提到,APC仅适用于一些特定的场景,如高速、城市拥堵道路等,当超出这个边界的时候,就需要人类司机接管。因此,对于一套自动驾驶系统(ADS)来说,首先要做的就是设计适用范围(ODD),从而明确哪些情况是ODD之外需要人类接管。

对于Apollo Pilot来说,除了让用户在需要的时候安全接管,还考虑了体验的问题,即尽量让用户不需要在需要接管和不需要接管之间来回切换,这样才能做到真正的轻松驾驶,否则来回切换更需要集中注意力,也容易导致驾驶疲劳。因此,APC的目标是,在自动驾驶场景下95%以上的时间,都不需要用户接管。APC的接管机制主要体现在以下三点:

一是,当系统能够判断超出ODD边界时,APC会预先多次提醒用户,使得用户有充足时间安全接管车辆。

二是,当遇到非预判类的超出ODD接管时,比如降速停车。在停车后,会通过双闪、喇叭、自动连接远程客服等方式保证车内人员安全。

三是,设计了“特别关怀安全停车”功能,即当自动驾驶系统遇到人员异常的时候(一些自动驾驶公司也申请了诸如识别人类醉酒、睡觉的专利),比如突发疾病,无法在预留的10秒的时间内接管,APC在降速停靠之外,还会在识别环境状况、车辆状况允许的情况下,一直自动驾驶从而找到安全地带停车,比如停车岛、宽敞的应急车道。

在美国NHTSA那份《自动驾驶系统2.0:安全愿景》中提到类似内容,即OEDR(目标和意外检测和响应)以及退出机制(最小风险方案)。

二、环境安全

在很长一段时间,自动驾驶车辆都将和有人驾驶车辆同在路上行驶,所以就需要考虑如何让自动驾驶汽车融入到这种环境当中。一方面,自动驾驶汽车需要适应这样的环境;另一方面,人类驾驶员也要知道如何与自动驾驶汽车如何相处。

为了达到上面的两个目标,APC设计了三大系统来保证:

自动驾驶车辆能够认知周边动静态环境;

自动驾驶车辆能够与环境进行双向的交互;

最后采取的驾驶行为是基于实时环境信息及全面的、可解释的驾驶规则进行的。

2.1 系统一:环境建模系统

APC通过三种传感系统实现对环境的建模,从而做到对环境的认知,即实时感知、预先感知及生态感知。

实时感知,主要通过分布在车内外的传感器来实现。用于量产车的传感器布局依据主要是两个:安全、车规级。但看来看去后者应该是出于安全基础上的成本考量(因为方案里没有昂贵的LIDAR)。

Apollo参考了两款带有自动驾驶功能的量产车,然后选择了更加丰富的传感器方案,以应对复杂的中国道路驾驶环境。具体来说,APC的方案是:

摄像头:车外9个+车内1个(驾驶员监控)

毫米波雷达:4个(前向/ 侧前向/ 后向)

超声波雷达:12个

以及GNSS、IMU

当然,这份报告并没有说明对比的是哪两家?Tesla?Audi?顺便附上目前量产车带自动驾驶/智能驾驶功能车辆的对比如下。

谷歌

参考:新智驾

预先感知,即通过高精地图预先采集厘米级的地图信息,让自动驾驶车辆看得比数百米级的实时感知传感器更远。报告中举了两个例子来说明高精地图的重要性。

一个是在高速路上,通过高精地图可以预知一公里后有一个匝道,且这个匝道经常有大量车辆汇入高速。那么这个时候车辆就可以提前换到最内的车道,或者提前降慢车速。

另一个例子则在城市道路。我们知道城市道路时不时会有车道线磨损不清的情况,在这种情况下,实时感知系统有可能导致车辆在行驶时因为模糊不清的车道线而不断调整对车道线的识别,出现车辆抖动的现象。这个时候,如果有高精地图预先采集的道路信息,加上实时感知的信息,便能实现安全稳定的自动驾驶。

简单来说就是,百度地图和Apollo数亿的日活用户会带来大量的实时数据,便于车辆对当前路况、安全级别做出判断,从而采用不同的驾驶策略。比如,我们在用百度地图发现前方有路段成红色,便知道前方堵车。同样,装了APC的车辆也能知道,可以提前降速行驶,提升驾驶安全性。

2.2 系统二:EMI系统

前文提到HMI人机交互系统,但这并不够,还需要与周围环境交互的系统,即EMI,从而构成完整的自动驾驶交互系统——XMI。

一方面EMI输入一些环境的信息以做出决策,另一方面也会主动向周围环境输出交互信息,即这是一个双向交互的系统。比如,除了常规的灯光、喇叭之外,车辆还会配置车外灯带、扬声器、状态显示屏等交互设备。这点类似drive.ai那辆橙色的无人驾驶运营车。

drive.ai

APC丰富的交互设备

2.3 系统三:DPS系统

DPS,即Drive Policy System,驾驶策略系统。这是一个驾驶行为规则的系统,主要工作就是,基于前面的环境感知和环境交互,让车辆在当前环境下采取正确的驾驶行为,好好开车。

报告中提到,通过机器学习,自动驾驶确实能掌握很多驾驶技能。但问题就在于,你完全不知道它学习来的“良好”的驾驶行为,到底有什么依据,是不是真的靠谱,尤其是在路上人机混驾的情况下。

因此,设计DPS时有两个目标:全面性和可解释性。

简单而言,全面性是指车辆的驾驶策略完全覆盖在自动驾驶场景下的所有环境及环境的组合。可解释性是指每一条驾驶策略都有其依据,比如来自交通法规,比如来自CIDAS真实事故案例反推过来的安全要求等。

2.4 Mobileye RSS模型

除了前三个系统之外,百度还采用了Mobileye的RSS模型,即责任敏感安全模型(Responsibility Sensitive Safety)。RSS模型是采用数学的方式来界定“安全状态”。在“安全状态”中,无论其他车辆做出任何反应,自动驾驶汽车都不会引发事故。百度也与Mobileye合作,确保Mobileye定义的各种驾驶场景公式,均能反映中国独特的驾驶风格,并应用到Apollo的产品里。

文末提供RSS相关下载

RSS模型要达到的目标有两个:

1、自动驾驶汽车本身不会导致事故。

2、自动驾驶汽车应该在其它车辆发生错误时做出正确反应。这里涉及到两点,在安全报告里提到。一是,要能识别“危险情况”;其次,要能“适当响应”。

三、行为安全

人类开车从零基础到老司机,会经历三个阶段:驾考、实习和熟练。这个过程需要驾驶时间和里程的积累。同样,自动驾驶系统也要经历类似的过程。APC通过四个方面的海量数据收集和训练,培养自动驾驶国宾级老司机。

3.1 ADS自动驾驶场景库

兰德公司(RAND Corporation)的研究报告指出,若要证明无人驾驶车辆比人类驾驶车辆更安全,需要在各种交通场景下对100辆车进行24小时全天测试,并连续测试225年,只这么做的话,真是要等到花儿都要谢了。因此,建场景库是加速测试,加速自动驾驶汽车上路的最有效途径。

从另一个角度看,自动驾驶离不开人工智能,人工智能离不开数据,百度拥有的能力就在于构建了一个完备的场景库数据采集体系,尤其是针对前面提到的三个场景。

专业采集车队:百度已有数千辆专业数据采集车,采集大量精准详细的数据用于Apollo学习。

用户辅助改善:数百万台搭载了摄像头等传感器的车辆加入到“驾驶安全改善计划”,同样为Apollo提供了大量的真实场景及驾驶行为数据。(实际上本人现在做的事情也跟这个有关)

数据生态:毋庸置疑,百度地图有上亿日活的用户,不光百度地图自己的App,也包括那些调用百度地图接口的设备,一起构建了百度强大的场景库数据生态。

3.2 中国特色的DPS策略库

一方面,国宾级老司机学习经验,因为这种老司机驾驶行为与初学者驾驶行为有很大的差异。因此,百度Apollo与多家出行公司合作,对驾龄超过10年且无事故记录的国宾级司机的数据进行收集分析。

另一方面,中国不仅道路复杂,司机驾驶行为也非常复杂。因此,百度Apollo还会不断收集中国特色的驾驶策略。比如报告中提到的“安全距离 VS. 加塞”的例子:交通拥堵时,按照交通法规要求,司机得保持足够大的前后车距。但在中国的驾驶环境下,过大的车距就让他人有了趁虚而入的机会,反而会带来更多的隐患和事故几率。而且,如果这套ADS系统总是乖蠢乖蠢地让人插队加塞,用户体验反而不好。

3.3 监控和诊断系统

老司机就是长年累月养成了排查安全隐患的习惯和危机意识,而APC也在这方面向老司机学习看齐。

一方面,APC会实时监控环境状态、车辆状态、自动驾驶软硬件以及司机的状态。比如,监控到司机未系安全带,系统会作出安全提示,如果司机不做响应,自动驾驶系统会要求人类司机接管,如果还不作出响应,自动驾驶车辆则会优雅地降速停车。

另一方面,APC也会有一套在线诊断系统,帮助用户了解车辆的问题,并提供解决办法。

3.4 危险应对能力

如RSS提到,首先这个模型不会主动导致事故的发生。但“不导致”不代表“不卷入”,因为老司机也有可能会遇到马路杀手。所以,在面对不可避免的危险时,除了车辆本身的安全措施外(如气囊),APC还会提供额外的一些应对能力。例如,在预判了有碰撞风险后,在碰撞来临之前进行紧急制动、侧向安全区域躲避、安全带预张紧等操作,最大程度地降低危险带来的伤害。

此外,百度还跟CIDAS合作,研究数千个交通事故案例,基于大量真实交通事故和危险场景数据,加上深度学习和仿真等技术,不断学习和训练,确保系统在遇到危险时能第一时间做出正确的应对措施。

四、功能安全

汽车制造企业和互联网企业有着非常大的不一样,他们有两种不一样的工作思维以及不一样的工作流程。互联网企业讲求小步快跑、快速迭代、先有再优,功能不完善没关系,做个MVP先到市场上去跑一跑就好。而车企则有着非常严格的制造流程,务必确保所有的工作都符合严格的工作流程,确保每辆车都经过严格的测试、质检后才能上市销售。安全是汽车制造企业最最关注的。这也是为什么很多造车新势力的朋友都提到,在他们公司,组织建设非常重要,即如何把两种完全不同类型的人放在一起高效地工作是一件至关重要的事情。

百度也深知百年汽车工业发展起来的工程实践才是保证ADS系统安全、稳定运行在道路上的基础。因此,百度会确保自己所做的事情都完全符合企业界已有的安全规范。具体而言,百度通过以下三个方面保证功能安全。

4.1 安全流程

百度在报告中指出,百度安全流程的关键在于,每一个与安全相关的设计和需求,都会要求被严谨而全面的分析、设计、实现、验证。

百度使用全面的业界标准安全分析方法,提出自上而下的,一整套全面的安全需求。并且确保这些需求,在软件、硬件、系统集成、整车层面,在各种场景下,进行测试,以此验证ADS满足了这些安全需求。

除了技术上确保安全,每一个工程师都贯彻“安全为最高优先级”的理念,并且这个理念贯穿于系统设计的始终。

4.2 安全功能设计

安全功能设计体现在两个方面,一是实时诊断监控系统,二是冗余设计。

诊断系统会实时监控自动驾驶软件、硬件以及相关的整车状态。而冗余设计既包括各种传感器的冗余,也包括自动驾驶大脑计算单元(ACU)的冗余,还包括整车关键的执行系统(如刹车、转向等)是独立且冗余的。

4.3 预期功能安全

我们已经知道,自动驾驶软、硬件和驾驶场景异常的复杂。为了在这种复杂的情况下,达到安全的目标,百度将充分评估所有自动驾驶的关键功能,这个方法就是“预期功能安全”(Safety of the Intended Function)。

简单来说就是,为了证明某个自动驾驶功能/系统安全可靠,可以处理所有非预期的情况,就必须在各种可能的场景下去测试和验证这个功能,并找到该功能不完善的地方,然后加以改进。最终需要通过量化的数据(里程累积)来证明系统的安全性。

要达到这样的目的,前面提到的场景库就成了关键。

五、质量安全

到这里,就已经分析完了这份报告安全设计的部分,接下来则是关于安全运营。

首先是质量安全,APC会通过充分的测试以及信息安全机制来确保自动驾驶系统的质量安全。

5.1 充分测试

从研发到最终交付给用户,自动驾驶系统所有的模块和功能,都会进行大量的测试,既包括在仿真系统上进行数百亿公里的测试,也包括在APC设计的自动驾驶场景下进行百万公里的真实路测。

5.2 信息安全

智能汽车一个显著的特点就是“网联”,与外界不断交互,包括云、移动设备、基础设施等等。不像过去的汽车无法与外界连接,自动驾驶汽车必然要关注信息安全。

百度自动驾驶项目成立之初就成立了信息安全团队,今年4月19日,又联合国家相关部门、车企、高校,成立了Apollo信息安全实验室,加大对汽车信息安全技术的研究力度。

APC构建了多层纵深防御体系的信息安全解决方案,并从三个重点层面(对外通信层、接入网关层及车内应用层)来确保实现车规级的信息安全,从而达到APC信息安全的核心目标——防御外部入侵,防范核心应用和隐私数据泄露,防范控车威胁。

六、安全进化

安全没有终点,或者像报告里说的,世上并没有绝对的安全。要实现安全行驶的关键就在于构建一个不断进化的自动驾驶系统。

6.1 快速发现问题

进化前,或者解决问题前的先决条件是能够发现需要进化或解决的问题是什么。基于百度Apollo用户、地图生态实时、大规模的数据,能够让自动驾驶系统更快更精准地发现问题所在。这是快速解决问题的基础。

6.2 OTA - 快速解决问题的关键

OTA,空中升级,对于我们来说并不陌生。如今的智能手机系统的升级,几乎都是空中升级,不再像以前,作为发烧友的我们需要download系统到电脑上,然后刷机安装新系统。在汽车行业我们最为熟悉的OTA升级非特斯拉莫属了,每隔一段时间,特斯拉都会更新其Autopilot系统。这是一种很互联网的方式。

百度Apollo的OTA升级包含两个方面:软件系统OTA升级,以及数据的OTA升级。针对不同的升级内容,会有不同的更新频率,比如,涉及到驾驶安全相关的,可以做到“天”级更新。(此处可以看到一大片掉光头发的程序员)

七、机制安全

马一龙之所以很激进地在特斯拉汽车上加装并不完善的自动驾驶系统的原因就是他坚信Autopilot驾驶的安全性已经比人类自己驾驶要高了。其实,这并没有错,但问题的关键在于,如何让大众和监管机构妥妥接受。

百度Apollo则积极承担这一社会责任,推动法律法规、保险、援助等社会机制在中国走向完善。

规范

自动驾驶路测法规(已实现)

自动驾驶上路运行法规(推动中)

自动驾驶国家安全标准(推动中)

保障

自动驾驶保险产品(已达成意向)

自动驾驶事故援助基金(建设中)

自动驾驶事故处理专项机构(建设中)

EDR - 自动驾驶黑匣子

在年初的CES 2018上,发布了智能汽车黑匣子产品(如下)。黑匣子通过硬件与软件的结合,可以安全储存大量驾驶数据。而人性化的交互界面,也使数据读取变得更为便捷。黑匣子不仅可以为事故责任溯源提供帮助,其记录的海量数据还可以为各类自动驾驶企业改进产品质量提供依据。

RVC - 远程客服控制系统

远程客服控制系统,在《自动驾驶网约车的落地》也有提到谷歌小范围运营的自动驾驶出租车上就有“HELP”按键(如下图),在遇到紧急事件时,按下按键,可以远程连线客服人员。

最近与某电动车企合作的项目中,我们也在下图差不多的位置上,看到其测试工程车也有个“SOS”按键。出于保密,不便将合作伙伴的照片放上来。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分