“安全第一” 宝马自动驾驶安全部署的十二原则

2020年1月9日,由网上车市主办、联合上海交通大学汽车工程研究院等国内知名院校、机构,并邀请国内一线车企开启的“第二届汽车技术品牌(中国)高峰论坛暨海口新能源及智能网联研讨会”顺利召开。现场,宝马中国研发中心高级经理张涛进行了主题演讲。

安全第一 宝马自动驾驶安全部署的十二原则-图1

以下为演讲全文:

感谢网上车市的邀请,我今天介绍的重点是宝马集团自动驾驶的安全部署。从2006年开始宝马就着手进行自动驾驶技术的开发,是这个领域的先行者之一。目前,宝马几乎所有产品线都具备L2级驾驶辅助能力。其中宝马率先引入的驾驶员监测系统,在保证安全的前提下实现了“解放双手”的功能。比如说我们开车时,在特定场景下可将手松开方向盘,使车辆在驾驶员监控下实现自主运行。另外宝马也创新引入了自动循迹倒车的功能。比如我们开进一个50米深的胡同,空间狭小不允许掉头,此时这个功能可以实现车辆沿着驶入轨迹反向行驶出来。这些创新都极大地提升了用户的体验感,它们也装备在全新3系、新7系、8系、新X5、创新X7等车型上。

自动驾驶技术的发展离不开与顶尖合作伙伴的强强联手,宝马搭建开放式的平台,共同提升研发能力。比如在国内,我们与中国联通就5G通信领域、与四维图新在高精地图方面、与腾讯在建立高性能数据驱动开发平台方面进行了深入合作。

数据驱动开发是宝马秉承的重要战略,全面整合数据流,保证开发与验证的安全性和可靠性。安全始终处于宝马自动驾驶战略的首要位置,通过超过2.4亿公里的包含模拟仿真与道路测试的里程,实现整个系统的稳定性和准确性。

安全第一的目标的实现需要对整个开发和验证全流程进行一定程度的规范化,《自动驾驶安全第一白皮书》的提出朝这个方向跨出了非常重要的一步。它集合了主机厂、供应商以及互联网IT企业现阶段针对自动驾驶的前沿技术储备。《自动驾驶安全第一白皮书》的基础是宝马提出的自动驾驶安全部署的十二原则。我这里着重就这十二原则进行简要的介绍。

张涛 安全始终在宝马自动驾驶上占据重要位置-图2

首先是功能安全(冗余)的话题。在现在的车辆工程领域应用已经非常广泛了,主要是针对与安全相关的组件可能发生的失效进行相应的冗余设计,使总体的安全风险降低到可接受的水平。对于自动驾驶车辆,相应组件的数量和复杂程度都会有本质的提升,当其发生失效时,系统显然应该有相应的补偿机制,或者将驾驶权在保证充足时间的情况下进行移交。

运行设计域和安全层这两点强调自动驾驶系统在达到系统限制时的处理机制。我们都知道L3和L4的自动驾驶功能是基于场景的,比如某一个L3的功能要求车辆必须在城市快速路的主路或是高速公路上,驾驶员必须在驾驶座上作为系统的后备,要求路面上不能有行人和自行车,天气要晴朗等等。如果天空开始下雨,显然在天气这个维度上就达到了系统限制,这时系统需要在保留足够时间的情况下进行驾驶权的移交。如果驾驶员不以规定的方式接收移交,系统应该有相应的最小化风险的机制。安全层主要针对突发的情况,系统无法在保留充足时间的情况下移交,比如自动驾驶系统运行的过程中突然从中央隔离带跳出一个行人,系统显然需要有相应的应急机制,比如主动制动等。

交通中的行为这点非常好理解。首先自动驾驶车辆的交通行为应该非常容易被交通参与者理解和可预判。另外要遵守交通规则,尤其针对隐性的交通规则。这就需要开发与验证的本土化,将当地的情况纳入到自动驾驶系统中去。

针对驾驶员责任这一点做一个略深入的介绍。我们都知道L3/L4的自动驾驶是基于场景的,驾驶员责任在安全部署中是非常重要的一环。首先,系统应该识别驾驶员不可接受的驾驶状态。比如刚才提到L3的场景,要求驾驶员坐在驾驶座位上充当一个系统后备的角色,当系统达到限制时,驾驶员应该在一定时间范围内,通过系统发出的移交指令接收车辆的驾驶权。如果L3自动驾驶功能启动后,驾驶员突然更换自己的座位到后排去,显然这就是一个不可接受的驾驶状态,系统应该有相应的机制予以识别与避免。另外系统应该使驾驶员明晰自己所处的驾驶模式,是辅助还是自动。最终目的是使驾驶员时刻了解自己与车辆之间的责任分配。

用L2和L3之间的区别比较容易阐述这一点。众所周知L2是驾驶辅助系统,无论表面上看多么近似自动驾驶,驾驶员始终是对驾驶负责的。而L3在特定场景下,车辆对驾驶负责。显然在这两种模式下,人与车辆之间的责任分配是有很大的区别。

风险点产生于人类所认知的人与车辆的责任分配,与实际场景或实际驾驶模式中所需要的人与车辆的责任分配产生偏差。比如还用刚才那个L3的例子,驾驶员驶入城市快速路的主路是车辆可以实现L3,在辅路是L2,在不断驶入和驶出过程中,很容易使驾驶员产生模式混乱。最差的情况是当前状况是L2,而驾驶员误认为是L3自动驾驶,此时就会产生安全风险。这时需要采取各种措施使认知达到一致。这里有若干的措施例子,重点介绍一下合作转向。

在当前的技术水平下,使车辆在辅助模式下沿两条车道线的中线循迹行驶技术上已经完全可以实现了,但是宝马认为这种控制逻辑在辅助模式下会使驾驶员产生误判,误认为车辆是自动驾驶。宝马的控制逻辑会允许车辆在辅助模式下在车道线的内部有轻微的横向的位移,以提醒驾驶员当前依旧是辅助模式,既实现了“解放双手”的功能,又在最大程度上保证了安全水平。

接下来是接管与移交。一方面是车辆发起的,一方面是驾驶员发起的。首先车辆发起的指令应该是很容易被驾驶员理解的,另外如果驾驶员不以规定的方式接收这种移交,系统应该有最小化风险的机制。驾驶员发起的这方面,无论是辅助向自动还是自动向辅助,都需要所谓高置信度的明确意图交互。

自动化的影响也非常关键,但是很容易被忽略。主要是强调驾驶员在辅助模式或手动模式下,受到之前自动驾驶经历的影响。比如L3普及之后,有一两个小时的长途旅程,第一个小时在高速公路上,第二个小时在国道。在高速上是L3的自动驾驶,驾驶员在驾驶座上玩手机或看视频等等;第二个小时在国道上是辅助模式,需要驾驶员执行其驾驶责任。这时驾驶员很容易受到之前一个小时有点“放飞自我”状态的影响,让他在第二个小时注意力没有那么集中或者潜意识里认为车辆可以做得更多等等。针对这方面也需要予以相应设计。

下面对安全评价这一点做略微深度的介绍。宝马采用多支柱的方法,综合随机交通的模拟仿真测试、试验场测试和开放道路测试,一方面关注因为引入自动驾驶和驾驶辅助系统所减少的安全风险,更重要的是关注因为引入它们额外增加的风险。比如刚才提到驾驶员在辅助模式下受到之前自动驾驶经历的影响,或者驾驶员不以规定的方式接收移交,或者驾驶员对自己和机器的责任分工认知不清晰等等。

开放道路测试其中一小部分是道路运行测试,这里举一个例子。它针对的是已经量产的车型,比如我们正在全球部署若干宝马X5车型,上一批是7系这个车型。这些车会进行一定量的改装,把它们交给普通的客户进行日常的驾驶。在驾驶的过程中会收集超过一万条的车辆信号,同时叠加车内和车外包括道路环境和驾驶员表情动作等的视频信息,另外叠加驾驶员的体征信息和访谈信息。这些数据会结合之前提到的高性能数据驱动开发平台,对自动驾驶和驾驶辅助系统进行优化输入,不断扩充场景库,另外也执行自然驾驶学习的功能。

接下来是数据记录与信息安全。自动驾驶系统应该记录数据,当然在保证隐私条款的情况下,尤其是记录新的场景或者是一些特殊事件,比如碰撞。信息安全显然非常重要。自动驾驶系统无论是车辆端还是后台端口的数量都会使恶意攻击者产生浓厚的兴趣,需要借鉴互联网安全的机制,跨行业地共同保证安保性。

最后就是不可忽略的被动安全话题。在可预见的很长一段时间内,交通状况会是一个混合交通的状况,道路上会有自动驾驶车辆和非自动驾驶车辆共同参与,也就是说事故依然是不可完全避免的。现阶段针对车辆被动安全的设计是基于我们已知的碰撞场景,以及乘员对车内空间的使用情况,比如一般家用车乘员都是朝向车辆行驶的方向乘坐的。在L3和L4不断部署的过程中,会出现一些我们现在未知的碰撞场景,比如自动驾驶车辆与非自动驾驶车辆的碰撞。另外尤其在L4以上的车辆中,乘员对车内空间的使用情况会发生很大的变化,比如自动驾驶系统启动后驾驶员可能调转座位,面对后排成员进行交流。显然这些都对被动安全提出了新的要求,在车辆开发过程中肯定要予以关注。

以上就是我带来的自动驾驶安全部署的十二条原则。如何在开发和验证中具体实施这些原则,《自动驾驶安全第一白皮书》有进一步描述,欢迎我们共同来探讨。谢谢!

网友还看了

发表评论(共0条评论)

最热评论

全部评论

意见
反馈