守住汽车生命线,迎接智能汽车爆发时代

 

一、如何看待人类驾驶事故率

 

早在1939年的世博会上,通用汽车搭建的Futurama的模拟城市展厅就展示了未来自动驾驶的畅想。但由于技术的限制,自动驾驶一直未能得到发展。随着芯片技术、人工智能技术的发展,自动驾驶技术已然不是镜中水月,而是一个切切实实可以实现的目标。

 

但与此同时,根据中国国家统计局数据显示,中国大陆2018年平均每8分钟有1人因车祸死亡;2019年美国交通安全状况机动车交通事故数据显示,美国本土每年大约有675万起事故、36096人死亡;自1968年开始就坚持做交通事故调查的沃尔沃,在2017年发布了《欧洲交通数据报告》,报告对过去五十年间欧洲传统交通事故的类型和原因等进行了深入分析,找出了导致车祸发生的三大因素——人为因素、环境因素和车辆因素,其中环境因素和车辆因素占比分别仅为30%和10%,极大部分都是人为因素所导致。

 

随着自动驾驶技术的发展,特别是特斯拉发布的2020年第四季度汽车安全报告显示,在开启了自动辅助驾驶后,平均每行驶345万英里会发生一起事故,使用其自动驾驶系统的车辆发生事故的频率比美国平均水平低了7倍。无论如何,我们可以预见,随着自动驾驶技术的不断发展,自动驾驶的事故率会不断下降,最终会降到人为因素导致的事故率的0.1%~1%,甚至更低。那么,自动驾驶到底要达到一个怎样低的事故率才能为大众所接受呢?有人提到要达到0.001%的人类驾驶员事故率才可以接受。

 

这里引入一个问题,那就是自动驾驶的事故率能不能只当作一个数据来看待?如果是自动驾驶技术的车撞了人,社会将如何看?从某种角度来说,安全可以是一个数字,但一旦放到人类个体上,则是社会问题、存亡问题甚至是伦理问题。因此,自动驾驶的安全问题,不能仅仅用冷冰冰的数字来判断,这个问题的解决需要法规、道路、政府、产业和技术共同的努力,更需要汽车产业人用尊重生命的态度去对待日常工作,持续实施和完善安全流程、开展完整的安全分析和落实安全设计等工作。

 

 

二、自动驾驶技术安全要素三连

 

图1:自动驾驶技术栈

 

我们谈谈自动驾驶技术。可以说,自动驾驶技术是人类工业科技皇冠上的明珠。但是,其技术栈却极其复杂,主要包括:大算力芯片、主从备份方案、感知sensor器件、MCU控制器、软件驱动、中间件、AI算法、冷却技术、整车集成以及各种相关测试等。这其中的每项技术都能解决不同的问题,组合在一起就形成了自动驾驶的整体解决方案。

 

整个技术栈的底层是各种硬件components(高算力AI SoC和各种硬件功能模块)和底层BSP、中间层有各种中间件和OS、上层有丰富的应用软件而构成。这其中,安全技术和流程覆盖了所有的技术栈。行业中最重要的三个安全标准ISO26262、ISO21448、ISO21434在企业的体系设计、项目流程、产品架构和产品交付中都占据了非常重要的地位。同时,当前的整车E/E架构正在走向中央计算平台的发展趋势,其更像是一台小型的服务器,因此RAS(Reliability、Availability、 Serviceability)也需要在架构阶段就进行设计工作。

 

 
1、功能安全(Functional Safety)
 

根据ISO26262:2018的相关内容,功能安全定义为不存在由电子电气系统的功能异常表现而引起的危害而导致系统风险。对于一个复杂的整车系统,一个最底层元器件的随机失效,可能引发整个模块、设备和系统层面的失效,最终产生危险输出、发生事故。未来自动驾驶汽车的软件代码量约有3亿行,软件Bug就像一枚枚隐形炸弹藏在软件代码之中,当运行环境、外部或内部条件达到触发条件时,便会一触即发,在系统中造成巨大的负面影响,最终导致事故的发生。因此,功能安全的作用就是尽可能地降低系统性失效和随机失效的影响,把风险降低到最低程度。

 

传统的整车分布式E/E架构由多个单一功能组合而成,不同功能工作在不同的硬件平台上,彼此的相关性很小,安全架构只需针对单一的功能设计;而当前整车的E/E架构正走向域架构和中央计算平台架构,多个不同安全等级的功能同时运行在一个安全平台上,比如AI运算为基础的ASIL B感知、ASIL D的决策控制和QM的娱乐域软件。同时,能支持L3以上功能的自动驾驶主控芯片就包含了200亿以上晶体管和3亿行以上的软件代码,整体功能安全设计的复杂度大大增加。面对诸多挑战,功能安全架构要从顶层做好架构设计,规划好系统层、芯片层、模块层等各层级软硬件的安全需求,并设计好多个不同安全域和功能域之间的隔离。

 

 
2、预期功能的安全性 SOTIF
 

随着辅助驾驶和自动驾驶系统的发展,引入了各种复杂的传感器如Lidar、Radar、Camera以及AI算法、控制算法等。当这些传感器和算法联合执行预期功能时,其综合能力在某些情况下会直接影响安全性。目前存在的几个典型问题主要为:

 

·自动驾驶领域使用的传感器和感知算法受到算法performance的限制,可能导致感知错误、决策错误;

 

·自动驾驶的事故由于系统环境和系统假设的不匹配引发;

 

·不正确的人机交互模式导致事故,如不正确的handover,以及注意力分散检测不正确等。

 

在2020年3月19日,由于自动紧急制动系统存在故障,沃尔沃汽车宣布在全球范围内召回汽车近74万辆,共涉及9款在售车型。这次召回的原因,是因为一些场景下无法有效识别物体,导致AEB在该工作的时候不工作。因此,这次召回不是因为传感器故障导致的,而是传感器本身的功能局限导致的。

 

这次事情暴露出功能安全的缺陷,为了弥补这个缺陷,行业于2019年发布了ISO/PAS 21448,官方定义为:“Safety Of The Intended Functionality (SOTIF): absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or from reasonably foreseeable misuse by persons.” (预期功能安全SOTIF:不存在因预期功能不足或因可合理预见的人员误操作而导致的不合理风险。)

 

目前,自动驾驶产业链上各个企业都在探索如何建立SOTIF流程、挖掘SOTIF的需求。SOTIF在很大程度上基于4个区间的假设场景来分析,分别为①已知-安全,②已知-不安全,③未知-不安全,④未知-安全。目的是尽可能缩小位于区间②和③中的场景比例,确保场景控制在安全的区间。

 

图2:SOTIF partition

 

对于“②已知-不安全”,可以通过安全分析识别出危害场景,开发对策并且增加测试来验证,即传统的V模型方式。

 

对于“③未知-不安全”的处理则非常挑战,比如开发一辆车,要适应中国不同城市的道路,甚至不同国家的道路,即使集合公司的全部专家,也无法穷尽所有的场景。对于这种情况,目前有两种可以考虑的做法:一个是不同传感器的冗余感知、互相补位;另一个则是通过实车测试和仿真来发现更多的“未知-不安全”场景。

 

当前,SOTIF的分析都是定性分析,缺乏定量分析的手段。SOTIF对于在某个场景中触发某个功能,并没有一条清晰的界限,比如距离前车5米减速还是6米减速,并没有定义,或许今后会演变出不同的车在同样场景的应对不一样,这会不会引入更多问题?因此,SOTIF想要更好的落地,还需要持续演进,发展定量分析的手段。同时更重要的是,只依赖企业是无法迅速解决长尾场景,还需要全社会共同的努力来加速长尾场景收敛。为此,SOTIF未来有两个重要的工作要做,一方面,建立全球化的SOTIF场景库;另一方面,标准化场景定义。

 

                                                                                   图3:软件2.0和SOTIF的结合

 

特斯拉 AI 部门前负责人 Andrej Karpathy 在五年前提出了软件2.0的理念,即通过模型和数据迭代来编程。其源码通常由两部分组成:①定义了目标行为的数据集 ;②给定代码大致结构,但是需要填充细节的神经网络结构。在理想的软件2.0系统中,模型是绝对主角,通过标准operator定义,可以通过编译器完全映射到物理硬件上。因此在软件2.0中,可以通过大量的数据集训练并部署自动驾驶端到端的AI模型。如何将软件2.0和SOTIF结合,高效地进行自动驾驶汽车的软件迭代是未来重要的发展方向。

 
3、网络安全Cybersecurity
 

2014年,黑客远程控制Jeep Cherokee让刹车失灵,最后甚至接管了汽车的控制权。2020年,腾讯科恩实验室入侵了特斯拉汽车,远程控制方向盘,并且采用对抗样本,对特斯拉汽车的神经网络做出非常小、且无法被人察觉的改变,导致机器学习系统发生严重的错误。

 

这些白帽黑客的善意攻击,从某种意义上帮助了无人车系统暴露出漏洞,有助于无人车的进一步完善。但这些事件也暴露了新E/E架构下的整车cybersecurity问题。这些问题有的是技术缺陷,有的是开发流程的疏漏所导致,更暴露了汽车行业在发生E/E架构变化时,对cybersecurity问题缺乏深刻认知,也缺乏应对体系。2021年ISO21434诞生,提出了一整套cybersecurity管理和需求分析的方法论。包括在需求分析层面,需要考虑资产的定义、攻击面分析和整车的lifecycle管理等。具体包括:

 

• 核心资产的识别,比如AI模型、隐私数据等。

 

• 攻击面分析,自动驾驶系统由底层硬件平台、中间层的驱动、OS和上层的应用组成。越底层技术的攻破所获得的权限就越大,比如Boot攻破意味着能够获取整车控制最高权限,而攻破自动驾驶域的感知意味着可以影响乃至破坏决策的输出。一般来说,底层的攻击面相对较窄,越往上层的攻击面越广。如何基于攻击面的分析建立一个纵深、多层次的防御体系是需要在cybersecurity架构层面深刻思考的。

 

• Lifecycle分析,比如生产、制造、运行、返场维修和报废。每个场景下需要保护哪些资产,哪些人员会参与这些操作,所拥有的对应权限是什么,都需要仔细规划,并且在企业的日常管理中执行。

 

 
三、安全第一 守住汽车的生命线

 

 

道路千万条,安全第一条。我们可以肯定的是,如果不重视汽车安全,“亲人两行泪”还会继续发生。安全,是所有人都绕不开的话题。2022年6月,联合国大会全球道路安全高级别会议上通过一项政治宣言,其承诺到2030年将道路交通死亡和伤害人数减少50%;我国也出台了不少汽车安全政策,凸显了政府监管部门对汽车安全性的高度重视。

 

对于当前步入高速发展的汽车产业而言,安全是智能网联汽车的“生命线”,守护好这条“生命线”至关重要。而作为汽车产业的从业者,我们深知,没有安全的车就没有智能的车。只有坚定不移地坚持“生命至上”,在“生命至上”的前提下,去考虑如何进一步改进、完善汽车安全系统工程,将安全这把双刃剑的“锋利面”降到最低,才能更好地迎接汽车智慧时代的到来,为人们创造更美好的出行和生活体验!

 

作者:Karl 

转载须知:本篇文章原创稿件,网络媒体如需转载,请遵守版权规定,注明来源与作者:【芯砺智能 Karl】。