2018自主泊車與代客泊車論壇在北京御湯山商務(wù)會所召開。上海縱目科技智能交通事業(yè)部的總經(jīng)理王凡在會上做了《如何保證自主泊車的安全》的主題演講。

王凡：大家好！我是縱目科技智能交通事業(yè)部的王凡。今天給大家分享我們在自主泊車安全方面的思考。

縱目科技有三個關(guān)鍵詞，第一個關(guān)鍵詞是零部件及核心算法一級供應(yīng)商；第二個關(guān)鍵詞是專注泊車系列產(chǎn)品，從L2的自動泊車到L4的自主泊車；第三個關(guān)鍵詞是人工智能深度學(xué)習，車+AI。我們有一流的視覺算法，比如剛剛在KITTI上獲得的單項第一，同時我們善于把一流的算法應(yīng)用到我們具體落地的場景中去。

我們?yōu)槭裁匆獙ｉT來講安全這個話題？大家都知道智能駕駛汽車最終是要在公共道路上行駛，如果一旦出現(xiàn)了問題，就會傷害到老百姓，把自動駕駛汽車的安全做好，是我們不可推卸的責任。另外，智能駕駛汽車是這幾年新興的事物，老百姓都認為它是黑科技，高大上，如果頻繁出事故，大家會不相信這個行業(yè)。

對于自主泊車，有哪些挑戰(zhàn)的場景？下圖左邊這個車沒有司機，如果自動駕駛系統(tǒng)一旦出現(xiàn)了危險情況，沒有任何一個人可以接管這臺車。

下圖右邊是我們國家停車場的情況，非常擁擠，停車場里有很多人，可能車位不夠，很多車還停在路邊，或臨時占用一些道路，路邊還有一些貨物。這都是停車場復(fù)雜情況的挑戰(zhàn)，對我們的安全來說更是挑戰(zhàn)。

風險到底是從什么地方來的？只要有軟件、有硬件的電子信息系統(tǒng)，就有可能發(fā)生失效，會導(dǎo)致風險。那么這個風險有可能是一個系統(tǒng)失效，也可能是隨機失效。ASIL-D的安全目標被違反的概率是10的負8次方，如果我們?nèi)y試的話，每出一個產(chǎn)品需要測試1億個小時，然后出了新版本，還要測試一億個小時。所以僅僅通過測試來驗證產(chǎn)品是不現(xiàn)實的。

我們的目標是要降低風險，對于電子電器的系統(tǒng)來講，可能出現(xiàn)的是元器件故障風險，就是橙色的區(qū)域，風險非常高，我們要把它的風險進一步降低。我們之前在做功能安全，積累了大量的經(jīng)驗，比如說過程改進、FMEA分析等，可以把質(zhì)量提高到風險可控程度。但這還是不夠的，我們需要進一步提升它的質(zhì)量，降低它的風險，我們有一整套完善的流程和方法來做這件事。

我們要做一個危害分析和風險評估，要結(jié)合需求和系統(tǒng)的設(shè)計，它的工況環(huán)境，對每一條危害進行分析，分析它的嚴重度、可控度，我們可以查到每條危害的安全是什么等級。

我們總結(jié)出這樣一張表格，這是我們對于自主泊車總結(jié)出的功能安全目標中的一部分。大家可以看到，這里列出了5個功能安全目標。

我們經(jīng)常會說，自動駕駛功能，比如高速需要達到ASIL-B或者ASIL-D，這種說法不嚴謹，嚴謹?shù)恼f法是，有哪些具體的功能安全目標需要達到ASIL-B或者ASIL-D。從這里還可以看到，有兩條是ASIL-D級別的功能安全目標，希望自主泊車的控制器達到ASIL-B的水準。這樣的話，需要整車其他系統(tǒng)來分擔它的功能安全。

當我們有了這個功能安全目標之后，我就要進行系統(tǒng)安全分析，有很多具體的方法論，我可以采用功能安全規(guī)范推薦的方法論，幫助我們得到系統(tǒng)的技術(shù)需求，比如這里我們針對一項功能安全目標結(jié)合產(chǎn)品的系統(tǒng)架構(gòu)設(shè)計進行FTA故障樹分析，分析總共有哪些失效可以導(dǎo)致違反功能安全目標，然后針對這些失效，設(shè)計出相應(yīng)的安全機制來保證系統(tǒng)的安全性。這個例子還很high level，具體工作中的分析遠比這個要詳細很多。FTA是一種演繹法，ISO26262還要求進行軟硬件的FMEA分析，這是歸納法。相當于一個是自頂向下，一個是自底向上，拉網(wǎng)式地排查。

硬件的每一個元器件都有一定失效的概率，電阻電容可能發(fā)生斷路或者斷路，IC也有可能發(fā)生異常，我們要計算出整個系統(tǒng)總體隨機失效概率，所以我們要對硬件做FMEDA定量分析，對每一個元器件失效進行分類和計算，我們還要計算單點故障度以及淺層失效故障度，對將其控制在功能安全相應(yīng)ASIL等級允許的范圍之內(nèi)。

從軟件的角度來說，主要從架構(gòu)設(shè)計的角度去消除風險，檢測失效。比較典型的方式就是三層監(jiān)控。在功能層進行日常的采集，然后實現(xiàn)功能監(jiān)控層，對監(jiān)控層再去監(jiān)控，看看功能層是不是按照我的想法執(zhí)行；最后還有控制器監(jiān)控層，檢查剛才運行的整套系統(tǒng)，看它是不是在正常的工作狀態(tài)。

這樣三層監(jiān)控系統(tǒng)下來之后，保證我們的系統(tǒng)很安全。

由此，我們得到自動泊車功能安全設(shè)計，該設(shè)計最重要的點就是冗余。因為它會失效，所以需要通過兩種方式進行備份。比如說我們的計算平臺，可以有很多傳感器做備份，把定位源進行冗余。

整車電源需要雙備份，我們也有兩路獨立的電源輸入，其中一路電源消失之后，每個系統(tǒng)還可以保持工作。

轉(zhuǎn)向和制動，整車的電器架構(gòu)和關(guān)鍵的器件之間，要保持至少兩路的通訊網(wǎng)絡(luò)。多種傳傳感器冗余，確保車周圍物體檢測和追蹤。有4個環(huán)視攝像頭、1個前視攝像頭，12個超聲波，4個毫米波角雷達，1個毫米波前雷達。至少有4個傳感器可以覆蓋車輛前進的主要方向。

除了上述方法，我們還需要通過流程管理的方式確保系統(tǒng)的質(zhì)量。根據(jù)ISO26262流程要求，我們從系統(tǒng)層面、應(yīng)用層面、軟件層面引入到實踐中。

現(xiàn)在用比較形象一點的例子來理解功能安全到底是什么樣子。

假設(shè)周六在幼兒園里，幼兒園的老師想為了下周一的活動準備一些教具，對教室進行裝飾。大家都很忙碌，在這個過程中有兩盒針都打翻了。我們分析大頭針會對小朋友造成的影響。

有的小朋友不太理解大頭針，可能就會好奇，有可能刺傷自己的眼睛，或者吞咽下去，最高等級的就是S3。暴露度最高是E4。可控度就是說撿到這個大頭針會怎么樣，一部分小朋友進行過這些教育，他見過這個東西，但也存在一些小朋友不知道，拿那個玩具去玩，我們認為可信度是C2。綜合風險等級是ASIL-C級的。

老師首先會想，那天我去過哪些教室，我就去哪些地方找大頭針，這是利用現(xiàn)有經(jīng)驗改善安全的方式。這樣可以找出大部分大頭針，但是還是不夠的，我們認為在某些角落里可能有遺漏，我們會通過拉網(wǎng)式的方法，計算這個房間有多少走廊，有多少區(qū)域，然后畫成1×1米的格子，看看每個格子上是否有大頭針。把它都檢查過了，沒有大頭針，這種拉網(wǎng)式的排除相當于系統(tǒng)分析方法。

即便如此，老師可能還不太放心，萬一出了事都是大事。老師做了一種大頭針檢測器，然后周一發(fā)給每個小朋友，一旦這個東西報警，你馬上舉手報告給老師，這相當于是我們的監(jiān)控方式。這個檢測器是否可靠？所以我們又在檢測器上實施了監(jiān)控裝置，這就相當于是我們的三層監(jiān)控。整個過程相當于是我們在幼兒園里做了一次功能安全項目。

對于自動駕駛來說，這個是否就足夠了呢？可能很多人會有印象，特斯拉發(fā)生人身事故的場景，特斯拉以為白色的是天空，它就直接撞上去了。當時有沒有軟件發(fā)生異常？沒有。有沒有在當場發(fā)生隨機失效？好像也沒有。發(fā)生這個事故的原因是算法沒有檢測出這輛車，這不是功能安全可以解決的問題，即便特斯拉的功能目標能做到ASIL-D也不能解決這個問題。

目前有一個新的規(guī)范正在制定，但還未發(fā)布，可能在今年或者明年會發(fā)布ISO21448，全稱是預(yù)期功能安全，是專門針對自動駕駛中的算法性能進行分析的規(guī)范。在21448里提到，要跟26262做一些參照，在今年新版的26262里面，結(jié)合了21448的場景。

我們將所有的場景分為已知安全、未知安全、已知不安全、未知不安全。我們的目的是最大化已知安全的部分。減小未知不安全的做法是要增加測試的覆蓋率，盡可能多的分析系統(tǒng)面臨的場景，然后增加測試的方式，把中間這個軸向右推，盡量減少未知部分。世界上最好的視覺算法在行人檢測的準確率智能能達到90%。需要增加傳感器的融合等方式，來證明已知不安全基本被消滅。通過這樣的方法，可以證明我們的系統(tǒng)是安全的。

很多人都知道馬斯洛提出的人類需求三角形，最低的需求是生理需求，然后是安全需求、社交需求、尊重需求和自我實現(xiàn)需求。對于一個司機來說，也有不同層次的需求。對于一個司機來說，最底層的需求相當于是新生兒一樣，身體健康，能夠呼吸，眼睛能看，不會莫名其妙暈倒，這是最根本的需求。再往上是新生兒到8歲的時候，他認識物體，知道什么是汽車、什么是行人，什么是消防車，什么是道路，他有自己的運動器官，四肢運動也協(xié)調(diào)了，我們認為這是司機的第二個階段。

第三個階段就是小孩子到了18歲的時候，他去駕校學(xué)開車，很快就掌握了開車的技能，在教練陪伴下可以上路了，最終學(xué)習了理論課程，通過了所有駕校的考試，拿到了駕照，這是司機的需求三角形。

對比一下自動駕駛安全，ISO26262相當于是最低層次的需求，SOTIF是認知系統(tǒng)已經(jīng)建立起來了，可以有基本功能的邊界條件，但這時候還不能開車。

人在開車的時候，要識別道路上其他的車，其他的交通參與者，他們其實也會看見你，你的行為也會影響到他們的決策，反過來對于自動駕駛來說也一樣，你做出來的每個決策，你的行為也會影響到其他的交通參與者。其他的參與者會因為你的反映會有一些不同反饋。

比如在停車場里有很多行人穿過停車場的道路，自動駕駛的車看到行人在橫穿，車子就停下了，行人看到車停下來之后，他也不知道車會不會走，他也停下來了。如果人開車，我們會做一個禮貌讓行的手勢，行人知道車的目的，他就會通過。但對于自動駕駛來說，行人拿不準這個車是否會走，所以會有交通參與者之間交互的問題。

還有一些問題，人開車的時候，即便是很熟的規(guī)則，注重安全的司機也會犯錯誤。這樣我們不能太苛責自動駕駛汽車不出現(xiàn)任何的事故。

比如在下圖的黑色場景下，綠色的車是我的，前面、后邊、左邊都有車，我在停車場里開，黃色的車要出庫，撞到了我的側(cè)面，這不是我的責任，需要黃色的車承擔主要責任。責任判定是說不能指望我們的車完全不涉入到事故，但我們不引起事故。

美國公路安全管理局發(fā)布了專門針對L3到L5自動駕駛的建議指導(dǎo)書，包含上面提到的這些系統(tǒng)安全，ODD就是產(chǎn)品的邊界條件，指出這個功能到底在什么樣的道路條件下行駛，在什么樣的車速、環(huán)境、天氣的公共安全下行駛。OEDR是說在這個環(huán)境下有什么能力，能夠識別什么樣的物體，是否能夠檢測出行人，如果遇到這種情況時，決策是什么，用于定義行為。

Fallback是說一旦發(fā)生了事故，要進行功能回落。我們剛才說自主泊車的車上沒人，所以自動泊車的定義是安全停車、通知，還有驗證手段。除了一般的車出廠一定要做的實驗，還要去測試可能導(dǎo)致危險的場景，所有的功能是否都可以用。

另外還有HMI，對L3來說，需要告知司機和車的狀態(tài)，是否健康。待接管的時候，可以通過HMI提示司機，然后還要檢查這個司機是否確實接管了。對于自主泊車系統(tǒng)，它可能是代表車外面，也有可能是后臺的運行中心。比如聯(lián)系不到車主，它會請示運行中心。

Crashworthiness是說車碰撞時的保護。對載人的無人車來說，不要讓乘客受傷。

Post-Crash是說緊急停車，確保安全。Data Recording是說持續(xù)改進系統(tǒng)，如果出事以后，可以通過記錄的數(shù)據(jù)重現(xiàn)事故發(fā)生的情景。Consumer Education and Training不僅要讓內(nèi)部人員會用，還得教會司機上手。最后還有法律法規(guī)等。

完成了這12要素之后，我們就認為無人駕駛汽車具備了上路能力，這就是自動駕駛安全的馬斯洛三角形。

【