2018自主泊車與代客泊車論壇在北京御湯山商務(wù)會所召開。上海縱目科技智能交通事業(yè)部的總經(jīng)理王凡在會上做了《如何保證自主泊車的安全》的主題演講。

王凡：大家好！我是縱目科技智能交通事業(yè)部的王凡。今天給大家分享我們在自主泊車安全方面的思考。

縱目科技有三個(gè)關(guān)鍵詞，第一個(gè)關(guān)鍵詞是零部件及核心算法一級供應(yīng)商；第二個(gè)關(guān)鍵詞是專注泊車系列產(chǎn)品，從L2的自動(dòng)泊車到L4的自主泊車；第三個(gè)關(guān)鍵詞是人工智能深度學(xué)習(xí)，車+AI。我們有一流的視覺算法，比如剛剛在KITTI上獲得的單項(xiàng)第一，同時(shí)我們善于把一流的算法應(yīng)用到我們具體落地的場景中去。

我們?yōu)槭裁匆獙ｉT來講安全這個(gè)話題？大家都知道智能駕駛汽車最終是要在公共道路上行駛，如果一旦出現(xiàn)了問題，就會傷害到老百姓，把自動(dòng)駕駛汽車的安全做好，是我們不可推卸的責(zé)任。另外，智能駕駛汽車是這幾年新興的事物，老百姓都認(rèn)為它是黑科技，高大上，如果頻繁出事故，大家會不相信這個(gè)行業(yè)。

對于自主泊車，有哪些挑戰(zhàn)的場景？下圖左邊這個(gè)車沒有司機(jī)，如果自動(dòng)駕駛系統(tǒng)一旦出現(xiàn)了危險(xiǎn)情況，沒有任何一個(gè)人可以接管這臺車。

下圖右邊是我們國家停車場的情況，非常擁擠，停車場里有很多人，可能車位不夠，很多車還停在路邊，或臨時(shí)占用一些道路，路邊還有一些貨物。這都是停車場復(fù)雜情況的挑戰(zhàn)，對我們的安全來說更是挑戰(zhàn)。

風(fēng)險(xiǎn)到底是從什么地方來的？只要有軟件、有硬件的電子信息系統(tǒng)，就有可能發(fā)生失效，會導(dǎo)致風(fēng)險(xiǎn)。那么這個(gè)風(fēng)險(xiǎn)有可能是一個(gè)系統(tǒng)失效，也可能是隨機(jī)失效。ASIL-D的安全目標(biāo)被違反的概率是10的負(fù)8次方，如果我們?nèi)y試的話，每出一個(gè)產(chǎn)品需要測試1億個(gè)小時(shí)，然后出了新版本，還要測試一億個(gè)小時(shí)。所以僅僅通過測試來驗(yàn)證產(chǎn)品是不現(xiàn)實(shí)的。

我們的目標(biāo)是要降低風(fēng)險(xiǎn)，對于電子電器的系統(tǒng)來講，可能出現(xiàn)的是元器件故障風(fēng)險(xiǎn)，就是橙色的區(qū)域，風(fēng)險(xiǎn)非常高，我們要把它的風(fēng)險(xiǎn)進(jìn)一步降低。我們之前在做功能安全，積累了大量的經(jīng)驗(yàn)，比如說過程改進(jìn)、FMEA分析等，可以把質(zhì)量提高到風(fēng)險(xiǎn)可控程度。但這還是不夠的，我們需要進(jìn)一步提升它的質(zhì)量，降低它的風(fēng)險(xiǎn)，我們有一整套完善的流程和方法來做這件事。

我們要做一個(gè)危害分析和風(fēng)險(xiǎn)評估，要結(jié)合需求和系統(tǒng)的設(shè)計(jì)，它的工況環(huán)境，對每一條危害進(jìn)行分析，分析它的嚴(yán)重度、可控度，我們可以查到每條危害的安全是什么等級。

我們總結(jié)出這樣一張表格，這是我們對于自主泊車總結(jié)出的功能安全目標(biāo)中的一部分。大家可以看到，這里列出了5個(gè)功能安全目標(biāo)。

我們經(jīng)常會說，自動(dòng)駕駛功能，比如高速需要達(dá)到ASIL-B或者ASIL-D，這種說法不嚴(yán)謹(jǐn)，嚴(yán)謹(jǐn)?shù)恼f法是，有哪些具體的功能安全目標(biāo)需要達(dá)到ASIL-B或者ASIL-D。從這里還可以看到，有兩條是ASIL-D級別的功能安全目標(biāo)，希望自主泊車的控制器達(dá)到ASIL-B的水準(zhǔn)。這樣的話，需要整車其他系統(tǒng)來分擔(dān)它的功能安全。

當(dāng)我們有了這個(gè)功能安全目標(biāo)之后，我就要進(jìn)行系統(tǒng)安全分析，有很多具體的方法論，我可以采用功能安全規(guī)范推薦的方法論，幫助我們得到系統(tǒng)的技術(shù)需求，比如這里我們針對一項(xiàng)功能安全目標(biāo)結(jié)合產(chǎn)品的系統(tǒng)架構(gòu)設(shè)計(jì)進(jìn)行FTA故障樹分析，分析總共有哪些失效可以導(dǎo)致違反功能安全目標(biāo)，然后針對這些失效，設(shè)計(jì)出相應(yīng)的安全機(jī)制來保證系統(tǒng)的安全性。這個(gè)例子還很high level，具體工作中的分析遠(yuǎn)比這個(gè)要詳細(xì)很多。FTA是一種演繹法，ISO26262還要求進(jìn)行軟硬件的FMEA分析，這是歸納法。相當(dāng)于一個(gè)是自頂向下，一個(gè)是自底向上，拉網(wǎng)式地排查。

硬件的每一個(gè)元器件都有一定失效的概率，電阻電容可能發(fā)生斷路或者斷路，IC也有可能發(fā)生異常，我們要計(jì)算出整個(gè)系統(tǒng)總體隨機(jī)失效概率，所以我們要對硬件做FMEDA定量分析，對每一個(gè)元器件失效進(jìn)行分類和計(jì)算，我們還要計(jì)算單點(diǎn)故障度以及淺層失效故障度，對將其控制在功能安全相應(yīng)ASIL等級允許的范圍之內(nèi)。

從軟件的角度來說，主要從架構(gòu)設(shè)計(jì)的角度去消除風(fēng)險(xiǎn)，檢測失效。比較典型的方式就是三層監(jiān)控。在功能層進(jìn)行日常的采集，然后實(shí)現(xiàn)功能監(jiān)控層，對監(jiān)控層再去監(jiān)控，看看功能層是不是按照我的想法執(zhí)行；最后還有控制器監(jiān)控層，檢查剛才運(yùn)行的整套系統(tǒng)，看它是不是在正常的工作狀態(tài)。

這樣三層監(jiān)控系統(tǒng)下來之后，保證我們的系統(tǒng)很安全。

由此，我們得到自動(dòng)泊車功能安全設(shè)計(jì)，該設(shè)計(jì)最重要的點(diǎn)就是冗余。因?yàn)樗鼤В孕枰ㄟ^兩種方式進(jìn)行備份。比如說我們的計(jì)算平臺，可以有很多傳感器做備份，把定位源進(jìn)行冗余。

整車電源需要雙備份，我們也有兩路獨(dú)立的電源輸入，其中一路電源消失之后，每個(gè)系統(tǒng)還可以保持工作。

轉(zhuǎn)向和制動(dòng)，整車的電器架構(gòu)和關(guān)鍵的器件之間，要保持至少兩路的通訊網(wǎng)絡(luò)。多種傳傳感器冗余，確保車周圍物體檢測和追蹤。有4個(gè)環(huán)視攝像頭、1個(gè)前視攝像頭，12個(gè)超聲波，4個(gè)毫米波角雷達(dá)，1個(gè)毫米波前雷達(dá)。至少有4個(gè)傳感器可以覆蓋車輛前進(jìn)的主要方向。

除了上述方法，我們還需要通過流程管理的方式確保系統(tǒng)的質(zhì)量。根據(jù)ISO26262流程要求，我們從系統(tǒng)層面、應(yīng)用層面、軟件層面引入到實(shí)踐中。

現(xiàn)在用比較形象一點(diǎn)的例子來理解功能安全到底是什么樣子。

假設(shè)周六在幼兒園里，幼兒園的老師想為了下周一的活動(dòng)準(zhǔn)備一些教具，對教室進(jìn)行裝飾。大家都很忙碌，在這個(gè)過程中有兩盒針都打翻了。我們分析大頭針會對小朋友造成的影響。

有的小朋友不太理解大頭針，可能就會好奇，有可能刺傷自己的眼睛，或者吞咽下去，最高等級的就是S3。暴露度最高是E4。可控度就是說撿到這個(gè)大頭針會怎么樣，一部分小朋友進(jìn)行過這些教育，他見過這個(gè)東西，但也存在一些小朋友不知道，拿那個(gè)玩具去玩，我們認(rèn)為可信度是C2。綜合風(fēng)險(xiǎn)等級是ASIL-C級的。

老師首先會想，那天我去過哪些教室，我就去哪些地方找大頭針，這是利用現(xiàn)有經(jīng)驗(yàn)改善安全的方式。這樣可以找出大部分大頭針，但是還是不夠的，我們認(rèn)為在某些角落里可能有遺漏，我們會通過拉網(wǎng)式的方法，計(jì)算這個(gè)房間有多少走廊，有多少區(qū)域，然后畫成1×1米的格子，看看每個(gè)格子上是否有大頭針。把它都檢查過了，沒有大頭針，這種拉網(wǎng)式的排除相當(dāng)于系統(tǒng)分析方法。

即便如此，老師可能還不太放心，萬一出了事都是大事。老師做了一種大頭針檢測器，然后周一發(fā)給每個(gè)小朋友，一旦這個(gè)東西報(bào)警，你馬上舉手報(bào)告給老師，這相當(dāng)于是我們的監(jiān)控方式。這個(gè)檢測器是否可靠？所以我們又在檢測器上實(shí)施了監(jiān)控裝置，這就相當(dāng)于是我們的三層監(jiān)控。整個(gè)過程相當(dāng)于是我們在幼兒園里做了一次功能安全項(xiàng)目。

對于自動(dòng)駕駛來說，這個(gè)是否就足夠了呢？可能很多人會有印象，特斯拉發(fā)生人身事故的場景，特斯拉以為白色的是天空，它就直接撞上去了。當(dāng)時(shí)有沒有軟件發(fā)生異常？沒有。有沒有在當(dāng)場發(fā)生隨機(jī)失效？好像也沒有。發(fā)生這個(gè)事故的原因是算法沒有檢測出這輛車，這不是功能安全可以解決的問題，即便特斯拉的功能目標(biāo)能做到ASIL-D也不能解決這個(gè)問題。

目前有一個(gè)新的規(guī)范正在制定，但還未發(fā)布，可能在今年或者明年會發(fā)布ISO21448，全稱是預(yù)期功能安全，是專門針對自動(dòng)駕駛中的算法性能進(jìn)行分析的規(guī)范。在21448里提到，要跟26262做一些參照，在今年新版的26262里面，結(jié)合了21448的場景。

我們將所有的場景分為已知安全、未知安全、已知不安全、未知不安全。我們的目的是最大化已知安全的部分。減小未知不安全的做法是要增加測試的覆蓋率，盡可能多的分析系統(tǒng)面臨的場景，然后增加測試的方式，把中間這個(gè)軸向右推，盡量減少未知部分。世界上最好的視覺算法在行人檢測的準(zhǔn)確率智能能達(dá)到90%。需要增加傳感器的融合等方式，來證明已知不安全基本被消滅。通過這樣的方法，可以證明我們的系統(tǒng)是安全的。

很多人都知道馬斯洛提出的人類需求三角形，最低的需求是生理需求，然后是安全需求、社交需求、尊重需求和自我實(shí)現(xiàn)需求。對于一個(gè)司機(jī)來說，也有不同層次的需求。對于一個(gè)司機(jī)來說，最底層的需求相當(dāng)于是新生兒一樣，身體健康，能夠呼吸，眼睛能看，不會莫名其妙暈倒，這是最根本的需求。再往上是新生兒到8歲的時(shí)候，他認(rèn)識物體，知道什么是汽車、什么是行人，什么是消防車，什么是道路，他有自己的運(yùn)動(dòng)器官，四肢運(yùn)動(dòng)也協(xié)調(diào)了，我們認(rèn)為這是司機(jī)的第二個(gè)階段。

第三個(gè)階段就是小孩子到了18歲的時(shí)候，他去駕校學(xué)開車，很快就掌握了開車的技能，在教練陪伴下可以上路了，最終學(xué)習(xí)了理論課程，通過了所有駕校的考試，拿到了駕照，這是司機(jī)的需求三角形。

對比一下自動(dòng)駕駛安全，ISO26262相當(dāng)于是最低層次的需求，SOTIF是認(rèn)知系統(tǒng)已經(jīng)建立起來了，可以有基本功能的邊界條件，但這時(shí)候還不能開車。

人在開車的時(shí)候，要識別道路上其他的車，其他的交通參與者，他們其實(shí)也會看見你，你的行為也會影響到他們的決策，反過來對于自動(dòng)駕駛來說也一樣，你做出來的每個(gè)決策，你的行為也會影響到其他的交通參與者。其他的參與者會因?yàn)槟愕姆从硶幸恍┎煌答仭?/p>

比如在停車場里有很多行人穿過停車場的道路，自動(dòng)駕駛的車看到行人在橫穿，車子就停下了，行人看到車停下來之后，他也不知道車會不會走，他也停下來了。如果人開車，我們會做一個(gè)禮貌讓行的手勢，行人知道車的目的，他就會通過。但對于自動(dòng)駕駛來說，行人拿不準(zhǔn)這個(gè)車是否會走，所以會有交通參與者之間交互的問題。

還有一些問題，人開車的時(shí)候，即便是很熟的規(guī)則，注重安全的司機(jī)也會犯錯(cuò)誤。這樣我們不能太苛責(zé)自動(dòng)駕駛汽車不出現(xiàn)任何的事故。

比如在下圖的黑色場景下，綠色的車是我的，前面、后邊、左邊都有車，我在停車場里開，黃色的車要出庫，撞到了我的側(cè)面，這不是我的責(zé)任，需要黃色的車承擔(dān)主要責(zé)任。責(zé)任判定是說不能指望我們的車完全不涉入到事故，但我們不引起事故。

美國公路安全管理局發(fā)布了專門針對L3到L5自動(dòng)駕駛的建議指導(dǎo)書，包含上面提到的這些系統(tǒng)安全，ODD就是產(chǎn)品的邊界條件，指出這個(gè)功能到底在什么樣的道路條件下行駛，在什么樣的車速、環(huán)境、天氣的公共安全下行駛。OEDR是說在這個(gè)環(huán)境下有什么能力，能夠識別什么樣的物體，是否能夠檢測出行人，如果遇到這種情況時(shí)，決策是什么，用于定義行為。

Fallback是說一旦發(fā)生了事故，要進(jìn)行功能回落。我們剛才說自主泊車的車上沒人，所以自動(dòng)泊車的定義是安全停車、通知，還有驗(yàn)證手段。除了一般的車出廠一定要做的實(shí)驗(yàn)，還要去測試可能導(dǎo)致危險(xiǎn)的場景，所有的功能是否都可以用。

另外還有HMI，對L3來說，需要告知司機(jī)和車的狀態(tài)，是否健康。待接管的時(shí)候，可以通過HMI提示司機(jī)，然后還要檢查這個(gè)司機(jī)是否確實(shí)接管了。對于自主泊車系統(tǒng)，它可能是代表車外面，也有可能是后臺的運(yùn)行中心。比如聯(lián)系不到車主，它會請示運(yùn)行中心。

Crashworthiness是說車碰撞時(shí)的保護(hù)。對載人的無人車來說，不要讓乘客受傷。

Post-Crash是說緊急停車，確保安全。Data Recording是說持續(xù)改進(jìn)系統(tǒng)，如果出事以后，可以通過記錄的數(shù)據(jù)重現(xiàn)事故發(fā)生的情景。Consumer Education and Training不僅要讓內(nèi)部人員會用，還得教會司機(jī)上手。最后還有法律法規(guī)等。

完成了這12要素之后，我們就認(rèn)為無人駕駛汽車具備了上路能力，這就是自動(dòng)駕駛安全的馬斯洛三角形。

【