2018自主泊車(chē)與代客泊車(chē)論壇在北京御湯山商務(wù)會(huì)所召開(kāi)。上海縱目科技智能交通事業(yè)部的總經(jīng)理王凡在會(huì)上做了《如何保證自主泊車(chē)的安全》的主題演講。

王凡：大家好！我是縱目科技智能交通事業(yè)部的王凡。今天給大家分享我們?cè)谧灾鞑窜?chē)安全方面的思考。

縱目科技有三個(gè)關(guān)鍵詞，第一個(gè)關(guān)鍵詞是零部件及核心算法一級(jí)供應(yīng)商；第二個(gè)關(guān)鍵詞是專(zhuān)注泊車(chē)系列產(chǎn)品，從L2的自動(dòng)泊車(chē)到L4的自主泊車(chē)；第三個(gè)關(guān)鍵詞是人工智能深度學(xué)習(xí)，車(chē)+AI。我們有一流的視覺(jué)算法，比如剛剛在KITTI上獲得的單項(xiàng)第一，同時(shí)我們善于把一流的算法應(yīng)用到我們具體落地的場(chǎng)景中去。

我們?yōu)槭裁匆獙?zhuān)門(mén)來(lái)講安全這個(gè)話(huà)題？大家都知道智能駕駛汽車(chē)最終是要在公共道路上行駛，如果一旦出現(xiàn)了問(wèn)題，就會(huì)傷害到老百姓，把自動(dòng)駕駛汽車(chē)的安全做好，是我們不可推卸的責(zé)任。另外，智能駕駛汽車(chē)是這幾年新興的事物，老百姓都認(rèn)為它是黑科技，高大上，如果頻繁出事故，大家會(huì)不相信這個(gè)行業(yè)。

對(duì)于自主泊車(chē)，有哪些挑戰(zhàn)的場(chǎng)景？下圖左邊這個(gè)車(chē)沒(méi)有司機(jī)，如果自動(dòng)駕駛系統(tǒng)一旦出現(xiàn)了危險(xiǎn)情況，沒(méi)有任何一個(gè)人可以接管這臺(tái)車(chē)。

下圖右邊是我們國(guó)家停車(chē)場(chǎng)的情況，非常擁擠，停車(chē)場(chǎng)里有很多人，可能車(chē)位不夠，很多車(chē)還停在路邊，或臨時(shí)占用一些道路，路邊還有一些貨物。這都是停車(chē)場(chǎng)復(fù)雜情況的挑戰(zhàn)，對(duì)我們的安全來(lái)說(shuō)更是挑戰(zhàn)。

風(fēng)險(xiǎn)到底是從什么地方來(lái)的？只要有軟件、有硬件的電子信息系統(tǒng)，就有可能發(fā)生失效，會(huì)導(dǎo)致風(fēng)險(xiǎn)。那么這個(gè)風(fēng)險(xiǎn)有可能是一個(gè)系統(tǒng)失效，也可能是隨機(jī)失效。ASIL-D的安全目標(biāo)被違反的概率是10的負(fù)8次方，如果我們?nèi)y(cè)試的話(huà)，每出一個(gè)產(chǎn)品需要測(cè)試1億個(gè)小時(shí)，然后出了新版本，還要測(cè)試一億個(gè)小時(shí)。所以?xún)H僅通過(guò)測(cè)試來(lái)驗(yàn)證產(chǎn)品是不現(xiàn)實(shí)的。

我們的目標(biāo)是要降低風(fēng)險(xiǎn)，對(duì)于電子電器的系統(tǒng)來(lái)講，可能出現(xiàn)的是元器件故障風(fēng)險(xiǎn)，就是橙色的區(qū)域，風(fēng)險(xiǎn)非常高，我們要把它的風(fēng)險(xiǎn)進(jìn)一步降低。我們之前在做功能安全，積累了大量的經(jīng)驗(yàn)，比如說(shuō)過(guò)程改進(jìn)、FMEA分析等，可以把質(zhì)量提高到風(fēng)險(xiǎn)可控程度。但這還是不夠的，我們需要進(jìn)一步提升它的質(zhì)量，降低它的風(fēng)險(xiǎn)，我們有一整套完善的流程和方法來(lái)做這件事。

我們要做一個(gè)危害分析和風(fēng)險(xiǎn)評(píng)估，要結(jié)合需求和系統(tǒng)的設(shè)計(jì)，它的工況環(huán)境，對(duì)每一條危害進(jìn)行分析，分析它的嚴(yán)重度、可控度，我們可以查到每條危害的安全是什么等級(jí)。

我們總結(jié)出這樣一張表格，這是我們對(duì)于自主泊車(chē)總結(jié)出的功能安全目標(biāo)中的一部分。大家可以看到，這里列出了5個(gè)功能安全目標(biāo)。

我們經(jīng)常會(huì)說(shuō)，自動(dòng)駕駛功能，比如高速需要達(dá)到ASIL-B或者ASIL-D，這種說(shuō)法不嚴(yán)謹(jǐn)，嚴(yán)謹(jǐn)?shù)恼f(shuō)法是，有哪些具體的功能安全目標(biāo)需要達(dá)到ASIL-B或者ASIL-D。從這里還可以看到，有兩條是ASIL-D級(jí)別的功能安全目標(biāo)，希望自主泊車(chē)的控制器達(dá)到ASIL-B的水準(zhǔn)。這樣的話(huà)，需要整車(chē)其他系統(tǒng)來(lái)分擔(dān)它的功能安全。

當(dāng)我們有了這個(gè)功能安全目標(biāo)之后，我就要進(jìn)行系統(tǒng)安全分析，有很多具體的方法論，我可以采用功能安全規(guī)范推薦的方法論，幫助我們得到系統(tǒng)的技術(shù)需求，比如這里我們針對(duì)一項(xiàng)功能安全目標(biāo)結(jié)合產(chǎn)品的系統(tǒng)架構(gòu)設(shè)計(jì)進(jìn)行FTA故障樹(shù)分析，分析總共有哪些失效可以導(dǎo)致違反功能安全目標(biāo)，然后針對(duì)這些失效，設(shè)計(jì)出相應(yīng)的安全機(jī)制來(lái)保證系統(tǒng)的安全性。這個(gè)例子還很high level，具體工作中的分析遠(yuǎn)比這個(gè)要詳細(xì)很多。FTA是一種演繹法，ISO26262還要求進(jìn)行軟硬件的FMEA分析，這是歸納法。相當(dāng)于一個(gè)是自頂向下，一個(gè)是自底向上，拉網(wǎng)式地排查。

硬件的每一個(gè)元器件都有一定失效的概率，電阻電容可能發(fā)生斷路或者斷路，IC也有可能發(fā)生異常，我們要計(jì)算出整個(gè)系統(tǒng)總體隨機(jī)失效概率，所以我們要對(duì)硬件做FMEDA定量分析，對(duì)每一個(gè)元器件失效進(jìn)行分類(lèi)和計(jì)算，我們還要計(jì)算單點(diǎn)故障度以及淺層失效故障度，對(duì)將其控制在功能安全相應(yīng)ASIL等級(jí)允許的范圍之內(nèi)。

從軟件的角度來(lái)說(shuō)，主要從架構(gòu)設(shè)計(jì)的角度去消除風(fēng)險(xiǎn)，檢測(cè)失效。比較典型的方式就是三層監(jiān)控。在功能層進(jìn)行日常的采集，然后實(shí)現(xiàn)功能監(jiān)控層，對(duì)監(jiān)控層再去監(jiān)控，看看功能層是不是按照我的想法執(zhí)行；最后還有控制器監(jiān)控層，檢查剛才運(yùn)行的整套系統(tǒng)，看它是不是在正常的工作狀態(tài)。

這樣三層監(jiān)控系統(tǒng)下來(lái)之后，保證我們的系統(tǒng)很安全。

由此，我們得到自動(dòng)泊車(chē)功能安全設(shè)計(jì)，該設(shè)計(jì)最重要的點(diǎn)就是冗余。因?yàn)樗鼤?huì)失效，所以需要通過(guò)兩種方式進(jìn)行備份。比如說(shuō)我們的計(jì)算平臺(tái)，可以有很多傳感器做備份，把定位源進(jìn)行冗余。

整車(chē)電源需要雙備份，我們也有兩路獨(dú)立的電源輸入，其中一路電源消失之后，每個(gè)系統(tǒng)還可以保持工作。

轉(zhuǎn)向和制動(dòng)，整車(chē)的電器架構(gòu)和關(guān)鍵的器件之間，要保持至少兩路的通訊網(wǎng)絡(luò)。多種傳傳感器冗余，確保車(chē)周?chē)矬w檢測(cè)和追蹤。有4個(gè)環(huán)視攝像頭、1個(gè)前視攝像頭，12個(gè)超聲波，4個(gè)毫米波角雷達(dá)，1個(gè)毫米波前雷達(dá)。至少有4個(gè)傳感器可以覆蓋車(chē)輛前進(jìn)的主要方向。

除了上述方法，我們還需要通過(guò)流程管理的方式確保系統(tǒng)的質(zhì)量。根據(jù)ISO26262流程要求，我們從系統(tǒng)層面、應(yīng)用層面、軟件層面引入到實(shí)踐中。

現(xiàn)在用比較形象一點(diǎn)的例子來(lái)理解功能安全到底是什么樣子。

假設(shè)周六在幼兒園里，幼兒園的老師想為了下周一的活動(dòng)準(zhǔn)備一些教具，對(duì)教室進(jìn)行裝飾。大家都很忙碌，在這個(gè)過(guò)程中有兩盒針都打翻了。我們分析大頭針會(huì)對(duì)小朋友造成的影響。

有的小朋友不太理解大頭針，可能就會(huì)好奇，有可能刺傷自己的眼睛，或者吞咽下去，最高等級(jí)的就是S3。暴露度最高是E4。可控度就是說(shuō)撿到這個(gè)大頭針會(huì)怎么樣，一部分小朋友進(jìn)行過(guò)這些教育，他見(jiàn)過(guò)這個(gè)東西，但也存在一些小朋友不知道，拿那個(gè)玩具去玩，我們認(rèn)為可信度是C2。綜合風(fēng)險(xiǎn)等級(jí)是ASIL-C級(jí)的。

老師首先會(huì)想，那天我去過(guò)哪些教室，我就去哪些地方找大頭針，這是利用現(xiàn)有經(jīng)驗(yàn)改善安全的方式。這樣可以找出大部分大頭針，但是還是不夠的，我們認(rèn)為在某些角落里可能有遺漏，我們會(huì)通過(guò)拉網(wǎng)式的方法，計(jì)算這個(gè)房間有多少走廊，有多少區(qū)域，然后畫(huà)成1×1米的格子，看看每個(gè)格子上是否有大頭針。把它都檢查過(guò)了，沒(méi)有大頭針，這種拉網(wǎng)式的排除相當(dāng)于系統(tǒng)分析方法。

即便如此，老師可能還不太放心，萬(wàn)一出了事都是大事。老師做了一種大頭針檢測(cè)器，然后周一發(fā)給每個(gè)小朋友，一旦這個(gè)東西報(bào)警，你馬上舉手報(bào)告給老師，這相當(dāng)于是我們的監(jiān)控方式。這個(gè)檢測(cè)器是否可靠？所以我們又在檢測(cè)器上實(shí)施了監(jiān)控裝置，這就相當(dāng)于是我們的三層監(jiān)控。整個(gè)過(guò)程相當(dāng)于是我們?cè)谟變簣@里做了一次功能安全項(xiàng)目。

對(duì)于自動(dòng)駕駛來(lái)說(shuō)，這個(gè)是否就足夠了呢？可能很多人會(huì)有印象，特斯拉發(fā)生人身事故的場(chǎng)景，特斯拉以為白色的是天空，它就直接撞上去了。當(dāng)時(shí)有沒(méi)有軟件發(fā)生異常？沒(méi)有。有沒(méi)有在當(dāng)場(chǎng)發(fā)生隨機(jī)失效？好像也沒(méi)有。發(fā)生這個(gè)事故的原因是算法沒(méi)有檢測(cè)出這輛車(chē)，這不是功能安全可以解決的問(wèn)題，即便特斯拉的功能目標(biāo)能做到ASIL-D也不能解決這個(gè)問(wèn)題。

目前有一個(gè)新的規(guī)范正在制定，但還未發(fā)布，可能在今年或者明年會(huì)發(fā)布ISO21448，全稱(chēng)是預(yù)期功能安全，是專(zhuān)門(mén)針對(duì)自動(dòng)駕駛中的算法性能進(jìn)行分析的規(guī)范。在21448里提到，要跟26262做一些參照，在今年新版的26262里面，結(jié)合了21448的場(chǎng)景。

我們將所有的場(chǎng)景分為已知安全、未知安全、已知不安全、未知不安全。我們的目的是最大化已知安全的部分。減小未知不安全的做法是要增加測(cè)試的覆蓋率，盡可能多的分析系統(tǒng)面臨的場(chǎng)景，然后增加測(cè)試的方式，把中間這個(gè)軸向右推，盡量減少未知部分。世界上最好的視覺(jué)算法在行人檢測(cè)的準(zhǔn)確率智能能達(dá)到90%。需要增加傳感器的融合等方式，來(lái)證明已知不安全基本被消滅。通過(guò)這樣的方法，可以證明我們的系統(tǒng)是安全的。

很多人都知道馬斯洛提出的人類(lèi)需求三角形，最低的需求是生理需求，然后是安全需求、社交需求、尊重需求和自我實(shí)現(xiàn)需求。對(duì)于一個(gè)司機(jī)來(lái)說(shuō)，也有不同層次的需求。對(duì)于一個(gè)司機(jī)來(lái)說(shuō)，最底層的需求相當(dāng)于是新生兒一樣，身體健康，能夠呼吸，眼睛能看，不會(huì)莫名其妙暈倒，這是最根本的需求。再往上是新生兒到8歲的時(shí)候，他認(rèn)識(shí)物體，知道什么是汽車(chē)、什么是行人，什么是消防車(chē)，什么是道路，他有自己的運(yùn)動(dòng)器官，四肢運(yùn)動(dòng)也協(xié)調(diào)了，我們認(rèn)為這是司機(jī)的第二個(gè)階段。

第三個(gè)階段就是小孩子到了18歲的時(shí)候，他去駕校學(xué)開(kāi)車(chē)，很快就掌握了開(kāi)車(chē)的技能，在教練陪伴下可以上路了，最終學(xué)習(xí)了理論課程，通過(guò)了所有駕校的考試，拿到了駕照，這是司機(jī)的需求三角形。

對(duì)比一下自動(dòng)駕駛安全，ISO26262相當(dāng)于是最低層次的需求，SOTIF是認(rèn)知系統(tǒng)已經(jīng)建立起來(lái)了，可以有基本功能的邊界條件，但這時(shí)候還不能開(kāi)車(chē)。

人在開(kāi)車(chē)的時(shí)候，要識(shí)別道路上其他的車(chē)，其他的交通參與者，他們其實(shí)也會(huì)看見(jiàn)你，你的行為也會(huì)影響到他們的決策，反過(guò)來(lái)對(duì)于自動(dòng)駕駛來(lái)說(shuō)也一樣，你做出來(lái)的每個(gè)決策，你的行為也會(huì)影響到其他的交通參與者。其他的參與者會(huì)因?yàn)槟愕姆从硶?huì)有一些不同反饋。

比如在停車(chē)場(chǎng)里有很多行人穿過(guò)停車(chē)場(chǎng)的道路，自動(dòng)駕駛的車(chē)看到行人在橫穿，車(chē)子就停下了，行人看到車(chē)停下來(lái)之后，他也不知道車(chē)會(huì)不會(huì)走，他也停下來(lái)了。如果人開(kāi)車(chē)，我們會(huì)做一個(gè)禮貌讓行的手勢(shì)，行人知道車(chē)的目的，他就會(huì)通過(guò)。但對(duì)于自動(dòng)駕駛來(lái)說(shuō)，行人拿不準(zhǔn)這個(gè)車(chē)是否會(huì)走，所以會(huì)有交通參與者之間交互的問(wèn)題。

還有一些問(wèn)題，人開(kāi)車(chē)的時(shí)候，即便是很熟的規(guī)則，注重安全的司機(jī)也會(huì)犯錯(cuò)誤。這樣我們不能太苛責(zé)自動(dòng)駕駛汽車(chē)不出現(xiàn)任何的事故。

比如在下圖的黑色場(chǎng)景下，綠色的車(chē)是我的，前面、后邊、左邊都有車(chē)，我在停車(chē)場(chǎng)里開(kāi)，黃色的車(chē)要出庫(kù)，撞到了我的側(cè)面，這不是我的責(zé)任，需要黃色的車(chē)承擔(dān)主要責(zé)任。責(zé)任判定是說(shuō)不能指望我們的車(chē)完全不涉入到事故，但我們不引起事故。

美國(guó)公路安全管理局發(fā)布了專(zhuān)門(mén)針對(duì)L3到L5自動(dòng)駕駛的建議指導(dǎo)書(shū)，包含上面提到的這些系統(tǒng)安全，ODD就是產(chǎn)品的邊界條件，指出這個(gè)功能到底在什么樣的道路條件下行駛，在什么樣的車(chē)速、環(huán)境、天氣的公共安全下行駛。OEDR是說(shuō)在這個(gè)環(huán)境下有什么能力，能夠識(shí)別什么樣的物體，是否能夠檢測(cè)出行人，如果遇到這種情況時(shí)，決策是什么，用于定義行為。

Fallback是說(shuō)一旦發(fā)生了事故，要進(jìn)行功能回落。我們剛才說(shuō)自主泊車(chē)的車(chē)上沒(méi)人，所以自動(dòng)泊車(chē)的定義是安全停車(chē)、通知，還有驗(yàn)證手段。除了一般的車(chē)出廠(chǎng)一定要做的實(shí)驗(yàn)，還要去測(cè)試可能導(dǎo)致危險(xiǎn)的場(chǎng)景，所有的功能是否都可以用。

另外還有HMI，對(duì)L3來(lái)說(shuō)，需要告知司機(jī)和車(chē)的狀態(tài)，是否健康。待接管的時(shí)候，可以通過(guò)HMI提示司機(jī)，然后還要檢查這個(gè)司機(jī)是否確實(shí)接管了。對(duì)于自主泊車(chē)系統(tǒng)，它可能是代表車(chē)外面，也有可能是后臺(tái)的運(yùn)行中心。比如聯(lián)系不到車(chē)主，它會(huì)請(qǐng)示運(yùn)行中心。

Crashworthiness是說(shuō)車(chē)碰撞時(shí)的保護(hù)。對(duì)載人的無(wú)人車(chē)來(lái)說(shuō)，不要讓乘客受傷。

Post-Crash是說(shuō)緊急停車(chē)，確保安全。Data Recording是說(shuō)持續(xù)改進(jìn)系統(tǒng)，如果出事以后，可以通過(guò)記錄的數(shù)據(jù)重現(xiàn)事故發(fā)生的情景。Consumer Education and Training不僅要讓內(nèi)部人員會(huì)用，還得教會(huì)司機(jī)上手。最后還有法律法規(guī)等。

完成了這12要素之后，我們就認(rèn)為無(wú)人駕駛汽車(chē)具備了上路能力，這就是自動(dòng)駕駛安全的馬斯洛三角形。

【