回复
汽车安全之声 | 城市NOA的安全之迷——冗余和非冗余的混存
城市NOA的安全之迷
——
冗余和非冗余的混存
汽车安全之声 | 梨花雨歇
审核 | 闻继伟
智能驾驶领域新技术的蓝海区无非就是城市NOA的量产了,面对高难度和高责任的L3和L4,需要更多的技术沉淀才能解开其中的安全之迷,而城市NOA在各城市的小批量生产之下,技术积累愈趋成熟,已经越来越接近大批量产。那么是否说明城市NOA就没有迷团了呢?
梨花雨歇
01 城市NOA系统方案的多样性
城市NOA的研发技术路径组合示例:
冗余情况 | 主芯片 | 感知情况 | 考虑因素 |
电源冗余、智驾冗余、制动冗余、转向冗余 | 双ORIN或4*ORIN等级 | 两重或三重感知、规控,部分目标进行多重校验 | 以最大范围配置开发,安全第一,所有场景都做,都不放弃 |
智驾冗余、制动冗余、转向冗余 | 双ORIN等级 | 两重或三重感知,部分目标进行多 重校验 | 选择放弃高额的电源成本,从技术上实现风险场景的规避 |
仅智驾冗余、制动冗余 | 双ORIN等级 | 两重或三重感知,部分目标进行多 重校验 | 边做边论证场景的取舍,试探性拓展城市工况 |
仅制动冗余 | 单ORIN等级 | 从高速NOA拓展到城市NOA | 试探性的拓展城市工况,受限场景较多,城市NOA的技术先行 |
本处所总结的多样性组合情况,不仅是感知上的技术方案之分,而且最根本的fallback系统就是完全不同,众所周知,fallback是电控系统安全分析的主要解决途径,可以是系统备份,也可以是驾驶员备份,目的都是为了保障车辆的安全性。本处的组合情况从预期功能安全方面来看也不相同,传感器配置和识别准确率都是城市NOA的重点,安全是功能场景开放与否的核心争论点。
城市NOA的驾驶员是不是就能做到主系统失效了就接管呢?能否依靠驾驶员来应对感知的漏错识别带来的控制安全问题呢?
02 实测的可控性研究情况
在大多数有经验的驾驶员中调研发现:
1)经常开车,了解车辆的各种特性,警惕性高;
针对本部分人群,只要做到车辆不出现意外的不可控性的失效场景即可。
比如:车辆快到路口了未进行减速,驾驶员会主动补上,防止意外的盲区出现横穿行人或车辆;在急弯道中,手会一直保持接管的动作,防止车辆过份靠边进行自己修正;车辆有偏离本车道意图时,不等报警就主动修正接管等。
面对这一部分的驾驶员,城市NOA的安全性均可保持在有效的范围内。因为此类驾驶员是可控性最强且接管反应时间最快的一类。
2)经常开车,但不了解车辆的各种特性,警惕性低,特别是新买车就使用智能驾驶高阶功能的一类人,长期不自己操纵车辆;
针对本部分人群,车辆出现意外的不可控性的失效场景较多。
比如:车辆快到路口了未进行减速,驾驶员会以为车辆快接近风险时才会减速,而等到风险出现时,自己抢制动已经来不及了;在急弯道中,驾驶员只是将手放在上面,完全不扶力,等报警才会想到修正,而等到报警时再去修正已经来不及了。
面对这一部分的驾驶员,城市NOA的安全性面临非常高的挑战。
那么,如何评估哪个方案可行而安全呢?
03 驾驶员的可控性和FTTI的关系研究
在发生故障时,系统能够在驾驶员操作能力范围内,完成全部过程的时间分配并对接,这样的系统才能称为驾驶员备份可行。
假定一个场景:车辆从行人旁边通过
当车辆路过这个行人时,驾驶员是否想到要扶好车辆的方向盘,如果此时发生转向误冲向行人,驾驶员还有多少时间救回车辆?
初步组合计算时间:冲向行人的转向若不限制大转角,80cm的横向位移,15km/h-20km/h的车速,0.2-0.3秒即可碰撞上行人;
那么得出,驾驶员的基本反应时间均在0.3-0.6秒,无论如何也没有靠人力进行转向自救的可能,故,这个驾驶员的fallback是不成立的。
那么,从预期功能安全的角度呢?是否可以论证为这种场景组合下,出现功能性能不足而又出现行人的组合case就没有或极小,都默认车辆工作正常通过?对于预期功能安全的可接受风险场景都是安全设计从业者的主要研究对象,但目前,对于这种可接受风险未形成统一的标准。
所以,增加功能安全的设计要求,将失效可能降低,降到多少才可以算是安全设计合格了?需要从各项关联参数进行论证。
从功能安全的概率论类比:
S3、E3、C3:即每个月肯定能遇上一次路上中间有人站着E3;可以推出硬件是100FIT ASILC 的要求;
在功能安全满足的条件下,才能来说预期功能安全的漏识别或错识别导致的这种风险发生概率。由于S和E是固定的,没法进行降低,只能靠C值的风险规避。
从预期功能安全的概率论类比:
S3和C3相同,O值进行论证,并同时降低C值达到C0的程度:即减少组合发生概率,最大的点是识别到人,在驾驶员未接近人的位置时就进行提醒接管,留出反应的整体时间大于1-3秒,这样才是一个安全的设计。
但这又与用户体验产生了冲突。即,是否会只要遇到路人便提醒驾驶员接管,但实际上每次都未产生实际事故,于是驾驶员会以“神经过敏”为理由直接关闭了报警。这实际上产生了体验感与安全之间的矛盾,从而让安全成为了驾驶员的次要选择。
从减少场景组合发生的角度会更有效地降低风险,增加双向车道防护栏,使人不会出现在车辆80cm范围内,这样就彻底解决了风险。
由此案例分析可见,各家的设计都有很大的背景情况,如果功能定义不清楚,只说一个城市NOA,那是不准确的表达,容易使用户进入理解误区。
04 各城市NOA的功能背后的Usecase
在各种预期功能安全的分析下,会产生各种场景风险应对方案,从而解决掉原本系统不足的风险。
安全需求便是如此一步步产生和增加的,预期功能安全的需求也同等于功能开发需求,成为了城市NOA系统必不可少的一部分。
SOTIF的安全需求到底有多少条?这是一个当前无解的命题,仍需行业同行携手一起去解题。系统有多少不足的,就得补多少?如果系统安全指标和KPI等均达到系统安全要求,这些需求就能去掉,从而达到满意的用户体验。
文章转载自公众号:Sasetech
分类
标签
赞
收藏
回复
相关推荐
