|
無論是特斯拉的事故還是Uber的事故��,都離不開自動駕駛的安全����。 自動駕駛應(yīng)該定義或者擴張為一個廣義的、顛覆整個汽車行業(yè)��,或者是顛覆所有行業(yè)的駕駛技術(shù),因為物流��、農(nóng)業(yè)�����、工業(yè)�、礦區(qū)等行業(yè)都可以用自動駕駛解決。解決的前提是什么呢�?要有足夠的安全。要有足夠安全性���,保障系統(tǒng)是可靠的���,系統(tǒng)決策是正確的,起碼要保證系統(tǒng)不會出致命的事故����,所以任何自動駕駛系統(tǒng)都離不開安全。 2019第四屆ADAS與自動駕駛論壇于3月21-22日在上海召開���,論壇由CCIA智能網(wǎng)聯(lián)專委會與佐思產(chǎn)研主辦����,地平線、縱目科技����、中科慧眼、中電昆辰��、富蘭光學(xué)��、創(chuàng)景科技等單位支持���。 長城哈弗技術(shù)中心主任工程師甄龍豹在論壇上發(fā)表了題為“長城汽車自動駕駛開發(fā)的安全DNA”的演講��,以下是演講全文��。 首先看一下自動駕駛汽車是由什么組成的?廣義上的自動駕駛汽車分兩部分�,第一部分是自動駕駛系統(tǒng)ADS,第二部分是傳統(tǒng)的車輛平臺(AutonomousVehicle Platform�,簡稱AVP)。車輛平臺由傳統(tǒng)執(zhí)行機構(gòu)ESP�、EPS,交互系統(tǒng)HMI等組成�。 
自動駕駛系統(tǒng)包含雷達、超聲波����、環(huán)視���、定位、控制器����、數(shù)據(jù)記錄等。 其他還包括冗余架構(gòu)���、冷卻系統(tǒng)�、冗余電源��、電源管理系統(tǒng)等��。這兩個系統(tǒng)之間通過以太網(wǎng)或者其他車載網(wǎng)絡(luò)進行數(shù)據(jù)交換���。 
為了更好應(yīng)對ADS和AVP的開發(fā)����,長城推出了智能領(lǐng)航平臺i-Pilot����。i-Pilot是從L3開始的����。i-Pilot愿景是開放�����、可擴展的自動駕駛平臺���,目標(biāo)是優(yōu)化研發(fā)路線��,集成業(yè)內(nèi)最新技術(shù)�����,開發(fā)模塊化功能���,兼容平臺拓展性,實現(xiàn)軟硬件的快速迭代�����。 I-Pilot智慧領(lǐng)航集成了長城汽車自動駕駛系統(tǒng)�����,采用了可擴展結(jié)構(gòu)��,符合車規(guī)級開發(fā)流程��,兼容車載傳感器系統(tǒng)的升級迭代��,支持從L3自動駕駛一直到L5完全自動駕駛系統(tǒng)的開發(fā)和量產(chǎn)��。 
上圖是長城汽車的自動駕駛開發(fā)路線圖�����,目標(biāo)是2021年實現(xiàn)高速公路的自動駕駛���,里面包含上下匝道自動處理��。判斷高速公路自動駕駛智能化程度�����,最簡單的區(qū)分是是否支持上下匝道自動處理�。如果它不支持�,那它是不完整的�����。 I-Pilot 2.0現(xiàn)在更多是作為研發(fā)性項目�,實現(xiàn)城市自動駕駛�����,服務(wù)于共享出行���,無人送貨等����。 I-Pilot 3.0將1.0和2.0進行整合��,形成服務(wù)于城市和高速公路自動駕駛的I-Pilot3.0���。 I-Pilot 4.0是利用更新的傳感器���,更新一代的技術(shù)架構(gòu),更新一代完整技術(shù)�,升級迭代打造4.0。當(dāng)然現(xiàn)在只是一個概念���,因為屆時有什么最新的技術(shù)����,有什么最新的傳感器��,誰也無法確定�。 現(xiàn)在已經(jīng)量產(chǎn)的車輛平臺里面,換擋���、制動���、扭矩等各個方面都采用了線控。2.0會實現(xiàn)完整的車輛備份控制��,包括所有的備份��。3.0�、4.0實現(xiàn)新架構(gòu)、新迭代的優(yōu)化��,成本更低�,更好為社會服務(wù)的平臺。 
長城汽車現(xiàn)在采取中���、美���、印三地協(xié)同研發(fā)����。很多人不理解����,開發(fā)自動駕駛系統(tǒng),為什么要搞這么多研發(fā)機構(gòu)�����?舉一個最簡單的例子��,長城的i-Pilot是首先立足服務(wù)于中國��,最后服務(wù)于全球����。著眼點不單單是中國。在中國上市以后�����,會逐步推到德國、美國���,如果不了解當(dāng)?shù)厍闆r,自動駕駛系統(tǒng)會滿足當(dāng)?shù)氐慕灰?guī)和駕駛習(xí)慣嗎���? 美國高速具有中國高速所不具備的其他特征�����,如不同的紅綠燈����,高速上有十字路口等�����。特斯拉致死事故就是在高速的十字路口導(dǎo)致的��,這在中國高速里面是完全想象不到的�。 
高速公路的自動駕駛系統(tǒng)有一系列的情況。拿換道來說����,是由于前車車速太慢�,駕駛員要去快車道行駛�,不想在慢車道上走,還是由于其他駕駛員的主觀意圖介入��?這是換道意圖的產(chǎn)生����;然后進行換道可能性的判斷,有沒有別的車在搶相鄰車道�?后車是不是不會突然加速?等等���。換道就會有不下一百個工況的研究��,因此不管仿真也好����,還是實際上路測試也好���,還是測試設(shè)備上測試也好�,都要不斷發(fā)掘��,打造系統(tǒng)可靠性和完整性。 
長城的AVP是車輛本身的執(zhí)行平臺�����。因為我們發(fā)現(xiàn)業(yè)內(nèi)企業(yè)將過多精力集中在自動駕駛技術(shù)本身��,技術(shù)再好��,技術(shù)落地也需要車輛平臺的支撐�����,否則技術(shù)再好也是沒法落地的����。所以AVP同樣重要�。 
2018年8月27日長城VV6發(fā)布會上,長城汽車正式加入了百度的Apollo開放車輛認證平臺����。 10月24日,長城與AtonomousStuff宣布為中國市場共同開發(fā)和部署自動駕駛車輛平臺��。新推出的ORA電動車R1����,也完全支持線控處理�,目前長城已經(jīng)形成燃油與純電雙引擎自動駕駛車輛開發(fā)平臺���,以更好的支持業(yè)內(nèi)自動駕駛系統(tǒng)開發(fā)及落地����。 
長城自動駕駛車輛開發(fā)平臺具備線控驅(qū)動�、線控制動、線控換檔���、線控大燈���、線控雨刷等功能,為廣大開發(fā)者提供方便��、安全�、更低成本的平臺,加速整個無人駕駛行業(yè)的部署和量產(chǎn)���。同時VV6提供四驅(qū)駕駛����,可滿足不同場景的自動駕駛開發(fā)測試。 下圖描述了ISO26262和SOTIF的應(yīng)用�。 
功能安全方面,有自動駕駛系統(tǒng)安全分析的方法論�����。整體來說���,從用戶需求導(dǎo)出圖譜����,整體形成邏輯架構(gòu)定義�����,從邏輯架構(gòu)定義本身進行分析��,最后執(zhí)行系統(tǒng)安全架構(gòu)����。 使用安全方面從三大維度考慮�����,第一是傳統(tǒng)的ADAS需求是什么,第二擬人化的需求是什么�,第三本身系統(tǒng)限制是什么。由這三點導(dǎo)出系統(tǒng)配置和系統(tǒng)架構(gòu)����。 比如ADAS需求, ACC停車以后��,一般都是三秒內(nèi)前車起步的話����,系統(tǒng)可以自動起步,三秒以后需要駕駛員確認起步�。經(jīng)過調(diào)查發(fā)現(xiàn),停車三秒之內(nèi)�����,一是人對于周圍環(huán)境的記憶和感知是不會產(chǎn)生太大變化的��,二是人的注意力會保持集中����,這是三秒的來源。過了三秒以后��,周圍的環(huán)境會產(chǎn)生很大變化,很多信息會從人的記憶里面抹去��;同時過了三秒以后����,人的注意力會產(chǎn)生分散,有很多其他的額外動作產(chǎn)生��。
另外一個是擬人化的分析需求準(zhǔn)則����。人類的可視距離是非常遠的,在條件空曠���、周圍環(huán)境清晰的條件下�,人的可視距離可達到一公里以上����。所以人有更多時間來應(yīng)對道路維修和路面上的掉落物�,可以及早進行規(guī)避。這個決策動作完全是人自身決定的?,F(xiàn)在任何的傳感器,都不具備遠距離微小物體的探測能力����,比如路面的凸起�。這會導(dǎo)致什么情況��?當(dāng)發(fā)現(xiàn)路面有掉落物的時候����,如果在五六十米才感知它的話,自動駕駛系統(tǒng)已經(jīng)不足以把車安全剎停了����。哪怕剎停了,也不敢保證后車不追尾����。
基于這個角度,長城開發(fā)了長焦攝像頭��,探測距離150米以外�,可看到150米左右路面凸起的微小物體,只要高度大于20厘米左右(大于這個尺寸會對系統(tǒng)造成安全影響)�����,可以感知出來�,甚至可對它進行完整的區(qū)域劃分�����。凸起物屬于哪一個區(qū)域����,是壓過去還是騎著過去�,針對不同區(qū)域劃分,進行不同的系統(tǒng)操作��。
長城車輛平臺的安全系統(tǒng)ECU都有兩份��,包括傳感器接入兩個不同的ECU�,由不同的ECU處理不同數(shù)據(jù),兩個ECU之間進行數(shù)據(jù)通訊�,兩個ECU之間進行不同連接,傳感器進行不同的電源連接�,以此保證當(dāng)其中一套傳感器失效以后,有另一套傳感器可以繼續(xù)使用��。保證車輛能在緊急情況下將人安全送到另一個區(qū)域�。整個執(zhí)行平臺�,都是雙份的,包括雙電源�����、雙電機、雙輪速����、雙橫擺等。 從人機交互層面���,采用了HUD多維信息感知�,使得交互系統(tǒng)的一套失效以后����,還有另外一套可以清晰告訴駕駛員系統(tǒng)信息。針對單點失效和多點失效都進行完整的系統(tǒng)操作����,包括安全駕駛員監(jiān)管、當(dāng)前車輛停車����、應(yīng)急車道停車以及下個服務(wù)區(qū)停車,以保證駕駛?cè)藛T的安全����。 一些研究表明���,自動駕駛汽車在沒有任何死亡事故情況下,安全行駛2.75億英里�����,才能證明它和人類可以融合�。這個準(zhǔn)則可以應(yīng)用于國內(nèi)的道路嗎?2.75億英里的道路組成應(yīng)該是什么樣的呢��?高速占多少�,市區(qū)占多少?還是全部是高速或全部是城郊���? Waymo實車測試超過1000萬英里��,仿真測試超過50億英里���。仿真和實車測試是必須同時進行的。 用仿真來驗證決策是不是安全沒有問題�,可是用仿真驗證感知的安全,并不是好方法����。因為傳感器的仿真到現(xiàn)在為止,沒有任何的仿真平臺能夠做到對傳感器真值的仿真相關(guān)性達到100%����,或者99.99%。
|
