前段时间,华为与小鹏汽车的AEB(Autonomous Emergency Braking)之争,将智能汽车的安全性推向了大众的视线,也引发了广大车主的热议。 在此之前,过去几年,也曾有造车新势力智能驾驶引发碰撞的新闻,导致公众对智能驾驶的安全性产生怀疑,难以完全信任。
问题的本质在于,智能驾驶在安全问题上做得不好。 安全作为汽车功能的否决项目,决定了消费者对智能驾驶的根本态度,也决定了智能汽车的普及。
随着汽车智能化进程的加快,特别是各种造车新势力对汽车的重新定义,汽车正逐渐从传统的重工产品中具备消费电子产品的属性。 智能化是汽车产业升级的大势所趋,消费电子在提升用户体验、让智能汽车更贴近普通消费者方面发挥了积极作用,也有利于形成多元化的产业格局。
但是,我们也要意识到,消费电子和重工业产品之间还是有很大的区别的,作为两个层次的产品;虽然汽车正在以电子方式消费,但其本质仍然是重工业产品,它们仍然应该满足重工业产品的基本要求,如安全性、可靠性、稳定性、耐用性等。
由于部分车企的过度宣传,很多消费者认为现阶段的智能驾驶就是自动驾驶,即驾驶员可以忽略车辆的驾驶过程,让智能驾驶系统来控制车辆。 但实际上,根据SAE对智能驾驶的分类标准,目前量产乘用车的智能驾驶功能属于L2级,即用户负责观察环境,智能驾驶系统负责操纵车辆。 在ODC范围内,智能驾驶系统可以很好地控制车辆,而在ODC边界之外,车辆需要由人类驾驶员控制。
因此,现阶段智能驾驶的安全性需要保证在ODC范围内,系统能够控制车辆的正常行驶,满足交通法规的要求,尽可能避免碰撞事故的发生(事故发生概率要远低于人类驾驶员在类似场景下)。在ODC范围之外,系统可以提示用户及时控制车辆,并在紧急情况下,帮助驾驶员降低事故发生概率同时,应允许用户清楚地获取车辆的行驶状态,即提供良好的人机交互。
根据上述智能驾驶安全的定义,结合工信部2024年4月发布的《智能网联汽车厂商及产品准入管理指引(试行)》,我们认为智能驾驶的安全仍应回归用户自身,从出行场景和用户体验层面关注用户所需的安全保障, 而不是盲目地利用智能驾驶作为炫耀技能和营销的手段。
从用户和场景来看,智能驾驶最重要的安全是行车安全和人机交互安全。 此外,还有功能安全、预期功能安全、信息安全等,必须从开发过程的角度来考虑。 下面,我们将分别解读这些方面,并详细解释智能驾驶应该如何保证安全。
行车安全是指车辆在交通环境中为避免碰撞而正常通行。
识别和避开障碍物是智能驾驶发展的核心,也是智能驾驶中重大的难题。 目前,市面上大多数智能车型已经能够实现非紧急情况下的目标识别和规避。 感知算法已经从过去几年的卷积神经网络(CNNs)转变为过去两年流行的BEV(鸟类)'S Eye View),以及GOD(General Obstacle Detection)、Freespace等,都在不断提高感知的性能和有效性而从新车型的表现来看,监管算法也在不断升级,避障能力在提升,接管率在下降。
然而,尽管目标识别和车辆控制能力不断提高,但智能驾驶系统在不同场景下预测危险的能力仍然明显逊色于人类老司机。 对于人类司机来说,老司机和新手最大的区别在于能够“预见”交通环境,提前观察道路环境,提前预测交通的动态变化,从而提前规避风险。 智能驾驶系统的行车安全也离不开“预见”的能力。 统计数据显示,用户遇到的交通环境90%以上属于常规驾驶场景,且存在一定规律针对特定场景下可能出现的风险因素,可以提前进行预测,提前采取措施规避风险,提高安全性。
以大型车辆避让场景为例,远离道路上的大型车辆是老司机的经验,也是人类司机的常规做法。 如果智能驾驶系统识别到附近有大型车辆的存在,也可以适当远离以提高安全性。 在新车厂商的车型中,小鹏汽车率先推出了大车避让功能,即当相邻车道有大车时,会适当横向偏离,远离大车。 一些开发人员还在ACC(自适应巡航控制)跟随算法模型中将大型车辆与小型车辆区别对待,增加了跟随大型车辆之间的距离。
大车让开。 以路通场景为例,目前的感知算法已经能够通过对交通信号灯、斑马线等元素的识别来判断车辆是否正在通过路口。 根据交通法规,以及驾驶经验,此时应减速,以避免突然出现的其他交通参与者。 遗憾的是,路口可以自动减速的情况仍然很少,大多数仍然保持原来的速度通过路口。
在避开车外障碍物的同时,行车安全还包括车内人员和财产的安全,避免急加速、急减速、急转弯,因为这些行为还可能在车内造成人身伤害和财产损失。 在评价智能驾驶的性能时,一个非常重要的指标是加减速时的加速度值,以及转向时的偏航角速度值,两者都不能过高,否则车辆也会有失控的风险。
ACC遇到前方静止的车辆,就是一个典型案例。 当ACC功能遇到前方静止的车辆时,它会控制自减速和停车,减速的时机非常重要。 如果开始减速太晚,难免会出现“突然刹车”的情况。 在这种情况下,目前大多数车型在大部分场景中,都能够平稳减速和停车,但难免会出现无法解释的突然制动,研究这些突然制动发生的原因并提出有针对性的解决方案是提高安全性的重要手段。
减速转弯也是一个典型的案例。 LCC(车道居中控制)功能控制车辆沿车道线和弯道行驶。 当曲线曲率较小时,LCC可以保持原来的速度,平稳地通过曲线;但是当弯道曲率较大时,如曲率半径超过125m时,如果仍以原来的速度行驶,车辆容易出现大弯道,并出现转向过急、不稳定的现象,因此需要减速和转弯,即根据摄像头识别的车道线信息, 实时判断当前路面的曲率,根据曲率计算出平滑转弯所需的速度(根据公式,并限制加速度A的值,可以通过曲率R计算出转弯速度V的上限值)。目前,头部智能驾驶公司已经达到了根据曲线曲率调节速度的效果,但后来的追赶者很容易忽视这一幕。
减速转弯。 当交通场景超出ODC范围进入手动驾驶状态时,智能驾驶虽然不再控制车辆的运动,但仍需要提供主动安全功能,向用户提供各种安全警示,并在必要时实施紧急控制,以协助用户安全驾驶。 虽然主动安全功能的智能化水平不高(L0级),但要做好主动安全功能并不容易。
AEB是前段时间的热门话题,是主动安全的典型代表。 当前面有碰撞风险时,什么时候会发出警告?何时踩刹车?加速度随时间的变化是什么?如何设置触发条件合理?这些都是 AEB 功能需要考虑的问题。 目前,国内大部分车企仍沿用以往国际一级巨头的AEB方案,实际效果并不符合普通消费者的预期,经常出现无法及时停止的情况,触发条件比用户想象的还要苛刻。 国内智能驾驶开发者不断拓展AEB等主动安全功能的能力,可以看出AEB的目标范围和避障成功率都在不断提升,对提高安全性起到了积极的作用。
AEB 表示。
合理清晰的ODC范围也很重要,ODC是人类驾驶和智能驾驶的边界,合理的ODC不仅要符合系统的能力,还要让用户清晰地识别边界,从而避免“认为系统可以处理”的误解。
ODC的定义在高速NOA(N**iGate on Autopilot)功能中非常明确:当车辆位于高速公路路段时,智能驾驶系统完全控制车辆行驶;当车辆位于非高速公路或城市高速公路等半封闭路段时,高速NOA功能退出。 可以看出,市面上具有高速NOA功能的车型,如特斯拉、小鹏汽车、蔚来汽车等,都会明确说明该功能的地理范围,并在ODC边界处,提前向用户发送提示,让用户做好接班的准备。
人机界面(HMI)作为汽车与用户之间的直接沟通渠道,是用户高知识、高感受的一部分,不仅直接影响智能驾驶的用户体验,而且对智能驾驶的安全性也有重要影响。 智能驾驶的人机交互主要包括信息显示、安全提示、用户接管和干预等,相应地,人机交互的安全性也需要考虑到这些方面。
信息显示的安全性是指在智能驾驶系统启动时,应该能够让用户了解必要的车辆状态和交通环境信息,为用户提供安全感,赢得用户的信任。
以自动变道功能为例,当智能驾驶系统控制车辆的自动变道时,智能驾驶系统可以准确重建变道所涉及的周边场景,如车道线、自驾、其他车辆、车辆位置、变道后的预期位置、是否有危险车辆、 等,并可通过语音和触摸提示驾驶员变道。作为用户,变道的整个过程非常清晰,对车辆的安全状态也一知肚明。
小鹏汽车自动变道的显示效果。
危险场景的安全提示也是人机交互的重要组成部分。 当车辆周围出现危险场景时,应能通过多种人机交互方式,包括但不限于视觉、听觉、触觉等,及时向用户发送必要的提醒。
以自动变道为例,在变道过程中,如果目标车道内有车辆快速接近,屏幕会以红色高亮显示危险车辆,目标车道也会有黄色渲染效果,结合智能伙伴“小P”的语音播报“目前不适合变道”, 告知用户此时变道时可能会发生碰撞,并提醒用户注意目标车道内的交通流量。
车道偏离警告功能作为一项基本的预警安全功能,通常除了视觉和听觉之外,还增加了触觉交互。 当车辆踩线或偏离车道时,不仅会在屏幕上突出显示偏离车道线,还会伴随着机械声音提醒,同时方向盘会振动,提醒用户车辆偏离的风险。
车道偏离警告的显示效果。
用户干预和接管的安全性是指当用户主动干预驾驶或接管车辆时,智能驾驶系统应立即将驾驶权交给驾驶员,避免系统和人“抢”控制的问题。 用户踩下油门或刹车踏板,系统将立即放弃控制权;但是,对于用户的横向干预,即在转动方向盘时,如果车辆采用扭力方向盘,用户主动施加的扭矩可能达不到阈值,导致接管延迟的情况,因此合理的横向接管阈值是非常必要的。
目前市面上使用扭力方向盘的车型,或多或少都在和用户“抢”方向盘,尤其是对于不熟悉智能驾驶的用户,抱怨更为明显。 定位高端车型比较好,比如蔚来的多款车型ES8、ET7,原则上用电容式方向盘来解决这个问题。 如果出于成本原因只能使用扭力方向盘,那么对于车型的目标群体,调整合理的干预扭矩阈值,例如,男性组的阈值较大,女性组的阈值较小,这是目前比较可行的折衷方案。
近两年,随着汽车电子电气架构的进一步融合,座舱与驾驶一体化成为趋势,未来座舱与智能驾驶将深度融合,人机交互的安全性也将成为智能驾驶安全不可或缺的一部分。
功能安全是一种开发和管理系统,可减少电气和电子系统故障造成的危害。 汽车行业的功能安全主要依据国际标准ISO26262和相应的国家标准GB T34590,其定义为:避免因电气和电子系统故障而造成的不合理风险。 智能驾驶的实现主要依赖于可靠的电子电气系统,因此功能安全对于智能驾驶来说是必不可少的。
功能安全涉及由于故障而导致的不合理风险,目标是将这些风险保持在可接受的范围内。 功能安全通过ASIL(汽车安全完整性等级)区分不同级别的风险(QM、ASIL A、ASIL B、ASIL C、ASIL D),进而约束电子电气系统的开发过程,并根据ASIL等级制定相应的安全措施。 ISO 26262 和 GB T34590 定义了一套清晰且完善的方法和流程,以确保汽车电气和电子系统的开发过程满足功能安全的要求。
用于功能安全的 V 型流程。
目前,行业内的智能驾驶企业将功能安全作为开发过程中必须考虑的内容,按照功能安全的要求开发智能驾驶系统、软硬件,部分企业正在或已经完成功能安全系统认证。 但是,由于智能驾驶的发展时间不长,技术迭代迅速,而功能安全只是针对电子电气系统的标准,对于更智能的智能驾驶,没有专门的方法,因此业界尚未对功能安全在智能驾驶发展过程中的应用形成统一的认识, 目前仍处于探索和本土应用阶段。
例如,根据ASIL的分类基础,我们可以将NOA功能归类为ASIL D,但是NOA功能包含的场景和子功能很多,对于每种类型的场景和子功能的失败,它们是否都属于ASIL D?如果不是,那么它们应该属于哪个安全级别?我相信大多数公司对这个问题没有一个系统而完整的定义。
再比如,对于最近热议的AEB功能,互联网开始将最高激活速度作为AEB的重要评价指标,似乎激活速度越高,AEB功能越好,但从功能安全的角度来看,这种做法并不合适。 众所周知,AEB的制动非常突然,加速度非常大,这不仅会给汽车乘员带来极度不适,还会造成追尾碰撞等二次事故如果由于系统故障导致误触发AEB,则速度越高,危害程度越大,越不可控。 因此,目前行业内的AEB测试和认证标准对AEB的最高转速不会有特别高的要求。
鉴于上述问题,我们认为开发者,尤其是那些已经从消费电子转向汽车电子行业的开发者,应该充分认识到功能安全的重要性,并认真对待另一方面,也要遵循长期主义,愿意在成本上投入,在智能驾驶发展中不断探索和优化功能安全的实践,真正将功能安全标准与智能驾驶的先进技术相结合,形成一套参考规范。
功能安全针对的是电气和电子系统的故障,而预期的功能安全SOTIF(预期功能安全)针对的是系统本身的局限性和意外情况。 对于智能驾驶来说,仅仅从系统故障的角度来规范功能安全标准是不够的,还要充分考虑智能驾驶系统的能力边界、危险驾驶场景、驾驶员误操作等因素,因此还应符合预期的功能安全标准,主要是国际标准ISO 21448的要求。
以红绿灯场景为例,目前特斯拉、小鹏汽车、蔚来汽车等车型已经可以通过前视摄像头识别红绿灯。 但是,仅仅依靠前视摄像头来识别交通信号灯,难免会有误识别的概率,如果能够将摄像头、V2X、大数据的结果与路端设备或大数据统计融合在一起,那么就可以采用多种策略来确保车辆能够安全通过路口。
以气象条件的影响为例,近年来可以明显发现,智能驾驶应对恶劣天气和恶劣光照条件的能力有了很大的提高。 一方面得益于传感器性能的提升,另一方面也得益于在开发功能时,会更多地考虑雨、雪、雾、霾、沙尘的影响,以及强烈的背光、隧道出入口的光线变化、高架广告牌等场景, 并且会更加关注这些场景下的功能性能,并提前制定相应的安全政策。
目前,预期的功能安全还处于讨论和讨论的初始阶段,更多的是理论层面,行业内的典型案例较少。 不过,一些研究成果已经出现,地平线、长城等国内企业纷纷宣传已获得ISO21448工艺认证。 总体而言,SOTIF还比较年轻,不如功能安全成熟,要在行业中得到广泛应用还有很长的路要走。
信息安全主要是指保护车辆及其电子系统免受未经授权的访问、使用、披露、干扰和破坏的威胁。 在智能汽车时代,汽车不再只是一种交通工具,而是已经演变成物联网的一个节点,汽车正从机械产品、电子产品逐渐成为移动网络和数据中心,难免会出现信息安全问题,成为黑客攻击的目标。 据统计,近5年来,针对智能汽车的网络攻击数量增加了数百倍。 由此可见,智能汽车的信息安全已经成为一个非常值得关注的问题,并引起了世界各国的高度关注。 值得注意的是,欧盟于2024年6月率先发布WP。29 R155 信息安全法,将于 2022 年 7 月 1 日起逐步实施。 我国牵头部门也于今年9月13日至14日在贵阳召开了强制性国家标准《车辆信息安全技术要求》和《智能网联汽车自动驾驶数据记录系统》的审查工作,经过起草单位报告、委员会询问、起草单位答复等流程,最终两项强制性国家标准顺利通过审查,有望在不久的将来正式发布实施。
特斯拉的哨兵模式是信息安全的典型例子。 哨兵模式能够通过摄像头实时检测车辆周围的环境,但环境数据,尤其是周围行人的生物学数据,是私密的。 用户在使用哨兵模式时,会被告知信息安全相关内容,系统也会在合法范围内记录不同安全级别的数据,确保数据的安全性和合理使用。
去年12月,有人声称破获并获取了某车企的用户数据,并在互联网上公开出售。 这些泄露的数据多达数百万条,包括订单数据、车主身份证、地址,甚至车主亲密关系、贷款数据等极其私密的个人信息。 这些数据的泄露无疑会给车企和车主带来不可预知的安全隐患。 该车企表示:“未来,在提升防火墙、数据保护能力等技术水平的基础上,尽可能通过技术改进,有效减少人为因素的干扰,让用户信息的隐私得到更好的保障。 ”
由于汽车智能化进程的快速发展,智能驾驶仍处于注重功能实现的阶段,而对于信息安全,主机厂对此重视不够,尤其是在当前许多主机厂的设计开发过程中,缺乏数据和信息安全的概念。 因此,智能驾驶的信息安全任重道远。
从以上分析中不难看出,在日益智能化和消费化的电子产品中,汽车的安全性依然不容忽视。 智能驾驶作为汽车智能化的核心和代表,是跨学科融合的产物,其安全性还包括驾驶、人机交互、功能安全、预期功能安全、信息安全等方面,每一个方面都是复杂而系统的学科,应引起重视和敬畏。
普通消费电子产品如果出现故障也可以重启;如果汽车抛锚了,可能会让你流血。 作为汽车行业的从业者,尤其是智能驾驶领域的从业者,不应将智能驾驶作为炫耀技能的工具,而应以智能驾驶为保障,提高交通安全和效率,尊重工业产品的安全要求,助力行业健康发展。