特约专栏|浅谈自动驾驶安全评估

汽车电子与软件 2023-01-20 21:35


引言

浅谈自动驾驶安全评估

作者简介:小南郭,某OEM 智驾功能安全工程师,负责高低速智驾功能安全开发与流程管理。4年系统功能安全开发经验,熟悉智驾产品功能安全&SOTIF方案。


自动驾驶安全性的评估一直是行业发展的重点,如何对自动驾驶进行完整的安全论证,目前业界有哪些成熟或在研的方法?本文就这些内容展开讨论。


自动驾驶汽车什么时候上市?这个问题多年来一直困扰着汽车行业和社会。自动驾驶技术的发展及实施在过去十年中取得了快速进展,但如何证明这些系统安全性的挑战尚未解决。


由于没有安全证明(proof of safety)的市场投放,既不会被社会接受,也不会被立法者接受,因此近年来研究学者,企业等已投入大量时间和资源进行安全评估,以开发有效评估的新方法。[1]在上一篇文章里有提到几种安全评估的方法:real world test,scenario based test,formal verification,还提到MiR(Microscopic Risk,微观风险)指标是针对scenario based test定义的指标。本文将延续之前对可接受准则的介绍,继续探讨如何对自动驾驶功能进行safety assessment(安全评估)。后面将主要介绍现在业界常见的自动驾驶安全评估方法以及其优缺点。

➡本文(约5500字,18钟阅读)


在评估自动驾驶汽车的安全性时,必须考虑各个方面。首先,必须确保安全功能(即所谓的预期功能安全,SOTIF),它侧重于在没有EE故障的情况下可能因功能不足而引发危险的预期功能。另一方面是确保预期功能不会因系统硬件或软件中的随机和系统故障(功能安全),而引起危害。本文确定将主要关注前者,即预期功能安全评估。[1]


目前业界有多种方法可用于评估ADS的预期功能安全,如图 1 所示。包括Real world test,Scenario based test,Formal verification,Shadow mode,Function based test,Function based testing。这些方法可用来评估自动驾驶系统,但各自有其优缺点。


图1:安全评估方法概览


值得注意的是,在Scenario based test方法中,首先需对系统的安全性做出微观评估,即MiR指标评估,然后必须将其转化为宏观评估,MaR(Macroscopic Risk)评估,对应上一篇文章提到的可接受准则,比如ADS事故率。这里可能不太好理解,举个例子,比如我们要评估ADS功能导致追尾这类危害场景的事故率,使用TTC作为风险评估的MiR危险度量(critical metric),通过对场景数据的采集,分层,泛化得到具体场景,然后对ADS算法进行仿真测试,可以得到各参数(距离,速度等)概率分布下具体场景的危急指标(critical metric)。然后基于场景的概率以及critical metric,推导出ADS功能引起追尾的总体事故率MaR。


如何推导,可以采用极值理论(extreme value theory,EVT)来推测极端事件(在这里指交通事故)发生的概率。极值理论 (EVT) 通常用于将测量结果(这里可以理解为critical metric)外推到观察时间内未发生的不太可能的事件,核心思想利用统计学中的概率分布。它在金融和保险数学中很流行。而AD 安全评估的挑战与此示例类似:很难收集足够的数据来估计严重事故的概率,因为它们极为罕见。如果发现危急指标从危急情况指向某一类别的事故,则可以使用 EVT 推断其可能性。收集足够危急情况所需的里程低于收集事故信息所需的里程。[10]


图2:跟车场景的MiR设计[5]


MaR指系统的平均风险,例如致命事故的发生率,被称为宏观风险(Macroscopic Risk,MaR)。我们可以用单位时间(每年)事故发生的次数,如10^-6/a,或者单位里程事故发生的次数,如10^-6/Km。MiR指单一交通场景(如cut in,crossroads)中的风险称为微观风险(Microscopic Risk,MiR),比如我们常见的纵向风险指标TTC(Time to collision),横向指标TTLC(Time to lane change)


回到安全评估,以下将介绍图1中各类方法的优缺点。


Real world test


实际道路测试指使用带ADS功能的测试车辆在真实环境中测试,需要预先设计测试的里程以及测试场景。测试里程通常由可接受准则推导得出,而测试场景中应考虑目标物的类型,目标物动态行为,道路与车道结构类型,光线,天气等要素及其比例。在实际交通中测试足够里程的情况下,可以估计两次事故之间的平均距离(例如,使用泊松分布)。为了能够充分说明ADS在一定程度上优于人类,根据论文[8]的数据,则需要大约88亿英里的测试。


图3:证明故障率达到特定精度所需的里程数[8]


此方法的优点是,整个系统是在现实条件下测试的,可以反映ADS在真实环境的系统表现。然而,经济代价较大,可以触发具有挑战性的情况但难以找全。


Staged introduction of AVs


分阶段引入ADS的方法,首先仍然是基于real world test,其目的是通过限制车辆的ODD,以限制发生的交通状况的数量,从而以经济可行的方式逐步增加功能可用的区域。比较严格的ODD例如,只有在良好的环境条件下,路中有物理隔离带的结构化道路的固定路段(如G2京沪高速)。在固定路段完成足够的现场测试里程后再逐步推广到其他高速公路。此外,也可以在测试车辆上配置安全员,如果系统出错时,他可以立即干预。经过一定里程后车辆被评估为安全的,则可以逐渐增加ODD和/或取消安全员。许多传统的Tier1,OEM,主要采用此方式,比如戴姆勒和博世。很多L4的公司,也在固定区域配置安全员进行无人载客的尝试。但其实此方法仍然需要大量的实际道路测试,总体成本较高。[1]


Formal verification


形式验证为系统提供了抽象数学模型的形式证明,换句话说,如果系统表现能满足设计的数学模型,则认为其是安全可靠的。比较有代表性的是 Mobileye的RSS模型与英伟Safety Force Field(安全力场理论)


RSS定义了自动驾驶汽车应遵循的五大准则,这些准则参照主流交通规则和驾驶常识,同时形式化定义了自动驾驶的危险场景,形式化定义了自动驾驶汽车在危险场景下应做出的合理行为,并声称如果所有车辆(包括人类驾驶的车)都遵循RSS模型,则不会出现任何事故。


规则1:保持纵向安全距离(Safety Distance)

规则2:保持横向安全距离(Cutting in)

规则3:不要抢路权(Right of Way)

规则4:要注意视野被遮挡的情况(Limited Visibility)

规则5:如果能避免碰撞,要尽力避免,可以突破规则1-4,但不能引发新的碰撞(Avoid Crashes)[6]


形式验证是简单有效的方法,但RSS基于的假设是感知输入的数据不会出错,因此更适合对决策规划进行安全评估,或者与其他评估方法联合使用。


图4:RSS模型纵向安全距离公式(Mobileye)[6]


图5:各交通参与者安全力场(Nvidia)[7]


Scenario-based Testing


基于场景的测试是目前安全评估研究的重要方向。首先要区分几个概念,scene,scenario,situation(详见文献[4]),scenario是scene的时间序列,场景包括静态和动态元素,以及所有交通参与者,和这些参与者之间的关系。基于场景的测试将被测对象暴露于(预)定义的场景,并评估其反应[2]。国外比较有名的PEGASUS项目就是基于场景的测试方法,其主要步骤如下:

  1. 建立场景数据集:基于实际数据与知识经验得到数据集;

  2. 构建具体测试场景:由功能场景,逻辑场景,逐步细化得到可执行测试的具体场景,其中涉及到危险场景的识别与具体场景参数的泛化;

  3. 测试评估自动驾驶功能:通过合理分配仿真测试,场地测试,现场测试,验证ADS功能;

  4. 安全论证:收集论点,对ADS功能安全性形式化论证。


Note:功能场景指非形式化,人可读,基于行为描述的交通场景。逻辑场景指系列场景参数化展示,范围及分布确定,具体场景的场景参数为确定值。


图6:PEGASUS项目简介(来源PEGASUS项目)


基于场景的测试在汽车行业中已经是一种比较成熟的测试方法,用于开发、认证和评级目的,尽管它的名称不同。基于场景的 ADAS 和 AD 测试之间的主要区别在于场景抽象级别(相关参数的数量)和定义相关场景的来源。ADAS 场景主要基于事故统计数据,出于评级目的 (NCAP),场景被显著简化(例如,理想的传感条件、广阔的试验场等)。AD 场景基于各种来源,事故统计的经验数据、现场测试/自然驾驶研究和以前的测试(包括模拟)结果,以及基于头脑风暴、经验、演绎。[2]


个人理解,基于场景的测试有以下几个难点和重点:

  1. 不论是实际路采数据,专家经验还是事故数据,组成的场景数据库,如何保证场景库(scenario database)的完整性?

  2. 以高速公路为例,单调低风险的场景占大多数,如何从场景数据集中筛选出危险场景构建场景库?比如通过 critical metric(类似TTC这些指标)筛选场景,如何设计 critical metric以适应各类场景下的危险度量?

  3. 当筛选出危险场景后,如何对场景特征参数泛化以达到足够的场景覆盖度,以及场景的概率分布如何提取,特征参数之间的物理约束如何考虑?

  4. 测试方式包括基于仿真,场地,实际道路测试,仿真环境下如何保证传感器模型与实际

  5. 物理表现一致,需要做哪些 qualification?实际道路测试又需要对哪些场景采样,对应的比例需要如何设计?

  6. 测试覆盖度如何保证,才能声明基于场景的ADS功能测试是充分的?

  7. 基于场景的测试得到的是具体场景的危险度量,也就是微观指标(MiR),如何推导出系统的平均风险度量(MaR)


其中有些问题PEGASUS及其他类似项目已经给出部分解决方案,有些仍然还在探索,涉及的内容较多,在这里暂不展开讨论。


Shadow Mode


影子模式是特斯拉测试新功能的常用方法,指在有人驾驶状态下,系统包括传感器仍然运行但并不参与车辆控制,只是对决策算法进行验证——系统的算法在“影子模式”下做持续模拟决策,并且把决策与驾驶员的行为进行对比,一旦两者不一致,该场景便被判定为“极端工况”,进而触发数据回传。


然而,在模拟环境中其他道路使用者的行为与现实不相符,所以在验证ADS算法是有一定局限性。主要因为其他道路使用者也根据自动驾驶的行为规划他们的行动。如果某种情况下的人驾做出的决定与ADS不同,那么可能另一个道路使用者会做出不同的决定。


图7:特斯拉影子模式(来源九章智驾)


Function based test


在基于功能的测试中,首先根据需求定义系统功能与use case,然后在测试场或模拟环境中进行测试。这是ADAS测试过程中常用的方式。当前的 ISO 标准(例如自适应巡航控制的 ISO 15622)和 UN ECE 法规(例如高级紧急制动系统的 UN ECE R131)遵循基于功能的方法,为各个系统定义了一些固定测试。但对ADS来说很难,因为不可能在每个可能的场景下定义ADS所需的功能。[1]


图8:直线道路上的距离探测能力(来源ISO15622)


此外多种测试方式共同用于ADS的安全评估也得到越来越多的共识,有些传感器供应商对其产品的安全验证结合了Scenario-based Testing与Real world test,如图,Ibeo激光雷达的考虑了随机道路测试与基于场景测试,以达到最终的安全论证,发现基于场景的测试能更好地发现长尾场景。


图9:Ibeo激光雷达测试简介

(来源Ibeo公开材料,如有侵权,请及时联系)


总结


所有方法都有不能忽视的缺点。在实际交通中进行的测试可能具有最好的有效性,但在SOP之前完成这项工作是不可行的。形式验证可以对决策与规划算法有较好的评估,但无法解决感知的limitation。基于场景的测试是一种经济有效的方法,但是需要有效的仿真模型,并且需要将微观指标转换为系统平均风险度量。个人认为,需要采用一种综合方法来最终安全论证引入ADS的残余风险是可接受的。以上就是个人的粗见,如有疏漏,还请各位专家见谅。



参考文献

[1]STEFAN RIEDMAIER.etc. Survey on Scenario-Based Safety Assessment of Automated Vehicles. Received March 19, 2020, accepted April 23, 2020, date of publication May 11, 2020, date of current version May 21, 2020


[2]Philipp Junietz, etc. Evaluation of Different Approaches to Address Safety Validation of Automated Driving 2018 21st International Conference on Intelligent Transportation Systems (ITSC) Maui, Hawaii, USA, November 4-7, 2018


[3]N. Kalra and S. M. Paddock, “Driving to safety: How many miles of driving would it take to demonstrate autonomous vehicle reliability?” Transp. Res. A, Policy Pract., vol. 94, pp. 182–193, Dec. 2016. [Online]. Available: 


[4]Simon Ulbrich, Till Menzel, etc. Defining and Substantiating the Terms Scene, Situation, and Scenario for Automated Driving. 2015 IEEE 18th International Conference on Intelligent Transportation Systems


[5]Philipp Matthias Junietz, M.Sc. Microscopic and Macroscopic Risk Metrics for the Safety Validation of Automated Driving. Ph.D. dissertation, Tech. Univ. Darmstadt, Darmstadt, Germany, 2019 Bibliography


[6]Shai Shalev-Shwartz, Shaked Shammah & Amnon Shashua (2017): On a Formal Model of Safe and Scalable Self-driving Cars. arXiv:1708.06374.


[7] An Introduction to the Safety Force Field David Nistér, Hon-Leung Lee, Julia Ng, Yizhou Wang. NVIDIA Corporation 2788 San Tomas Expressway, Santa Clara, CA 95051 http://www.nvidia.com.


[8] Nidhi Kalra , Susan M. Paddock. Driving to safety: How many miles of driving would it take to demonstrate autonomous vehicle reliability?


[9] https://www.pegasusprojekt.de/en/


[10] Praprut Songchitruksa. The extreme value theory approach to safety estimation. Accident Analysis and Prevention 38 (2006) 811–822



小南郭 / 作者

冯亚军、James Bian | 校阅



END

免责声明:如涉及侵权请及时与我们联系反馈,我们会在第一时间做更正声明或做删除处理。文章版权及解释权归原作者及发布单位所有,如需转载或引用本文的任何内容,请注明出处。

汽车电子与软件 主要介绍汽车电子软件设计相关内容,每天分享一篇技术文章!
评论 (0)
  • 在智能交互设备快速发展的今天,语音芯片作为人机交互的核心组件,其性能直接影响用户体验与产品竞争力。WT588F02B-8S语音芯片,凭借其静态功耗<5μA的卓越低功耗特性,成为物联网、智能家居、工业自动化等领域的理想选择,为设备赋予“听得懂、说得清”的智能化能力。一、核心优势:低功耗与高性能的完美结合超低待机功耗WT588F02B-8S在休眠模式下待机电流仅为5μA以下,显著延长了电池供电设备的续航能力。例如,在电子锁、气体检测仪等需长期待机的场景中,用户无需频繁更换电池,降低了维护成本。灵活的
    广州唯创电子 2025-04-02 08:34 152浏览
  • 引言随着物联网和智能设备的快速发展,语音交互技术逐渐成为提升用户体验的核心功能之一。在此背景下,WT588E02B-8S语音芯片,凭借其创新的远程更新(OTA)功能、灵活定制能力及高集成度设计,成为智能设备语音方案的优选。本文将从技术特性、远程更新机制及典型应用场景三方面,解析该芯片的技术优势与实际应用价值。一、WT588E02B-8S语音芯片的核心技术特性高性能硬件架构WT588E02B-8S采用16位DSP内核,内部振荡频率达32MHz,支持16位PWM/DAC输出,可直接驱动8Ω/0.5W
    广州唯创电子 2025-04-01 08:38 166浏览
  • 探针本身不需要对焦。探针的工作原理是通过接触被测物体表面来传递电信号,其精度和使用效果取决于探针的材质、形状以及与检测设备的匹配度,而非对焦操作。一、探针的工作原理探针是检测设备中的重要部件,常用于电子显微镜、坐标测量机等精密仪器中。其工作原理主要是通过接触被测物体的表面,将接触点的位置信息或电信号传递给检测设备,从而实现对物体表面形貌、尺寸或电性能等参数的测量。在这个过程中,探针的精度和稳定性对测量结果具有至关重要的影响。二、探针的操作要求在使用探针进行测量时,需要确保探针与被测物体表面的良好
    锦正茂科技 2025-04-02 10:41 71浏览
  • 文/Leon编辑/cc孙聪颖‍步入 2025 年,国家进一步加大促消费、扩内需的政策力度,家电国补政策将持续贯穿全年。这一利好举措,为行业发展注入强劲的增长动力。(详情见:2025:消费提振要靠国补还是“看不见的手”?)但与此同时,也对家电企业在战略规划、产品打造以及市场营销等多个维度,提出了更为严苛的要求。在刚刚落幕的中国家电及消费电子博览会(AWE)上,家电行业的竞争呈现出胶着的态势,各大品牌为在激烈的市场竞争中脱颖而出,纷纷加大产品研发投入,积极推出新产品,试图提升产品附加值与市场竞争力。
    华尔街科技眼 2025-04-01 19:49 210浏览
  • 退火炉,作为热处理设备的一种,广泛应用于各种金属材料的退火处理。那么,退火炉究竟是干嘛用的呢?一、退火炉的主要用途退火炉主要用于金属材料(如钢、铁、铜等)的热处理,通过退火工艺改善材料的机械性能,消除内应力和组织缺陷,提高材料的塑性和韧性。退火过程中,材料被加热到一定温度后保持一段时间,然后以适当的速度冷却,以达到改善材料性能的目的。二、退火炉的工作原理退火炉通过电热元件(如电阻丝、硅碳棒等)或燃气燃烧器加热炉膛,使炉内温度达到所需的退火温度。在退火过程中,炉内的温度、加热速度和冷却速度都可以根
    锦正茂科技 2025-04-02 10:13 73浏览
  • 文/郭楚妤编辑/cc孙聪颖‍不久前,中国发展高层论坛 2025 年年会(CDF)刚刚落下帷幕。本次年会围绕 “全面释放发展动能,共促全球经济稳定增长” 这一主题,吸引了全球各界目光,众多重磅嘉宾的出席与发言成为舆论焦点。其中,韩国三星集团会长李在镕时隔两年的访华之行,更是引发广泛热议。一直以来,李在镕给外界的印象是不苟言笑。然而,在论坛开幕前一天,李在镕却意外打破固有形象。3 月 22 日,李在镕与高通公司总裁安蒙一同现身北京小米汽车工厂。小米方面极为重视此次会面,CEO 雷军亲自接待,小米副董
    华尔街科技眼 2025-04-01 19:39 209浏览
  • 北京贞光科技有限公司作为紫光同芯授权代理商,专注于为客户提供车规级安全芯片的硬件供应与软件SDK一站式解决方案,同时配备专业技术团队,为选型及定制需求提供现场指导与支持。随着新能源汽车渗透率突破40%(中汽协2024数据),智能驾驶向L3+快速演进,车规级MCU正迎来技术范式变革。作为汽车电子系统的"神经中枢",通过AEC-Q100 Grade 1认证的MCU芯片需在-40℃~150℃极端温度下保持μs级响应精度,同时满足ISO 26262 ASIL-D功能安全要求。在集中式
    贞光科技 2025-04-02 14:50 128浏览
  • 职场之路并非一帆风顺,从初入职场的新人成长为团队中不可或缺的骨干,背后需要经历一系列内在的蜕变。许多人误以为只需努力工作便能顺利晋升,其实核心在于思维方式的更新。走出舒适区、打破旧有框架,正是让自己与众不同的重要法宝。在这条道路上,你不只需要扎实的技能,更需要敏锐的观察力、不断自省的精神和前瞻的格局。今天,就来聊聊那改变命运的三大思维转变,让你在职场上稳步前行。工作初期,总会遇到各式各样的难题。最初,我们习惯于围绕手头任务来制定计划,专注于眼前的目标。然而,职场的竞争从来不是单打独斗,而是团队协
    优思学院 2025-04-01 17:29 200浏览
  • 提到“质量”这两个字,我们不会忘记那些奠定基础的大师们:休哈特、戴明、朱兰、克劳士比、费根堡姆、石川馨、田口玄一……正是他们的思想和实践,构筑了现代质量管理的核心体系,也深远影响了无数企业和管理者。今天,就让我们一同致敬这些质量管理的先驱!(最近流行『吉卜力风格』AI插图,我们也来玩玩用『吉卜力风格』重绘质量大师画象)1. 休哈特:统计质量控制的奠基者沃尔特·A·休哈特,美国工程师、统计学家,被誉为“统计质量控制之父”。1924年,他提出世界上第一张控制图,并于1931年出版《产品制造质量的经济
    优思学院 2025-04-01 14:02 148浏览
  • 引言在语音芯片设计中,输出电路的设计直接影响音频质量与系统稳定性。WT588系列语音芯片(如WT588F02B、WT588F02A/04A/08A等),因其高集成度与灵活性被广泛应用于智能设备。然而,不同型号在硬件设计上存在关键差异,尤其是DAC加功放输出电路的配置要求。本文将从硬件架构、电路设计要点及选型建议三方面,解析WT588F02B与F02A/04A/08A的核心区别,帮助开发者高效完成产品设计。一、核心硬件差异对比WT588F02B与F02A/04A/08A系列芯片均支持PWM直推喇叭
    广州唯创电子 2025-04-01 08:53 193浏览
  • 随着汽车向智能化、场景化加速演进,智能座舱已成为人车交互的核心承载。从驾驶员注意力监测到儿童遗留检测,从乘员识别到安全带状态判断,座舱内的每一次行为都蕴含着巨大的安全与体验价值。然而,这些感知系统要在多样驾驶行为、复杂座舱布局和极端光照条件下持续稳定运行,传统的真实数据采集方式已难以支撑其开发迭代需求。智能座舱的技术演进,正由“采集驱动”转向“仿真驱动”。一、智能座舱仿真的挑战与突破图1:座舱实例图智能座舱中的AI系统,不仅需要理解驾驶员的行为和状态,还要同时感知乘员、儿童、宠物乃至环境中的潜在
    康谋 2025-04-02 10:23 98浏览
  • 据先科电子官方信息,其产品包装标签将于2024年5月1日进行全面升级。作为电子元器件行业资讯平台,大鱼芯城为您梳理本次变更的核心内容及影响:一、标签变更核心要点标签整合与环保优化变更前:卷盘、内盒及外箱需分别粘贴2张标签(含独立环保标识)。变更后:环保标识(RoHS/HAF/PbF)整合至单张标签,减少重复贴标流程。标签尺寸调整卷盘/内盒标签:尺寸由5030mm升级至**8040mm**,信息展示更清晰。外箱标签:尺寸统一为8040mm(原7040mm),提升一致性。关键信息新增新增LOT批次编
    大鱼芯城 2025-04-01 15:02 202浏览
我要评论
0
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦