个人信息不会泄露给第三方
近些年,自动驾驶/无人驾驶技术已经成为汽车先进技术的集中爆发点。新浪汽车《轮语汇》组织相关话题讨论自动驾驶的未来。在国外,不但奔驰、谷歌等传统或非传统汽车企业纷纷推出自己的无人驾驶汽车,更有特斯拉这样的汽车行业新兵以软件远程升级的方式快速推广自己的高速公路自动驾驶系统。而在国内,亦有长安、百度等众多企业开展无人驾驶路试。一时间,无人驾驶汽车如雨后春笋般出现在我们周围,无人驾驶的时代似乎已近在咫尺。
然而,前不久特斯拉曝出的世界首例自动驾驶汽车车祸致死案例,以及此后发生的几起在自动驾驶模式下的事故提醒我们,是否这样的估计太过乐观?那么,自动驾驶/无人驾驶汽车要像传统汽车一样上路,应该进行哪些准备工作?
■特斯拉自动驾驶系统为何会出事故
国外多家权威机构对汽车自动驾驶系统的等级都有明确定义。以比较有代表性的美国SAE(美国汽车工程师学会)的定义为例:1级为驾驶辅助,即系统对汽车的方向或加减速中的某一项进行辅助控制;2级为部分自动驾驶,即系统对汽车的方向和加减速中的多项进行联合辅助控制;3级为有条件自动驾驶,即系统在一定条件下可完成全自动驾驶,但根据系统请求,驾驶员需要响应并提供支援;4级为高度自动驾驶,即驾驶员可不响应系统提出的支援请求,车辆仍需保持安全行驶;5级为完全无人驾驶,系统自动应对所有工况,不向驾驶员提出请求。
特斯拉的AutoPilot系统实质为2级自动驾驶系统,驾驶员是车辆安全的责任方,AutoPilot系统只是提供辅助功能。但在现实中,很多驾驶员在适应了自动驾驶系统的便捷之后,本能地会放松警惕,甚至出现离开驾驶员座位的情况。在特斯拉的首次恶性事故中,前方卡车转弯,车厢横向面朝事故车,这与传统的车尾特征差异很大,加之白色车厢又与天空背景色接近,导致视觉系统失效。同时由于卡车车厢较高,导致毫米波雷达失效。此外,负有监控责任的驾驶员因为过于相信自动驾驶系统,疏于防范,因而最终发生了事故。
■让自动驾驶汽车放心上路的两大前提
笔者认为,要做到让自动驾驶汽车放心地上路,确保其安全性,必须要做好两项基本工作。
(1)明确自动驾驶系统等级和驾驶员的监控责任
要想让自动驾驶更安全,首先需要明确自动驾驶系统的等级,在此基础上明确驾驶员的监控责任。在SAE分级中的1~3级自动驾驶系统,驾驶员都负有监控责任,需要对最后的行驶安全负责。如日产在最新推出的ProPILOT系统中会通过转矩传感器专门检测驾驶员是否把手放在方向盘上,如果没有,系统会报警,以保证驾驶员对车辆行驶状态的监控。从特斯拉和日产对于2级自动驾驶系统的应用,也可以看出传统汽车企业在涉及安全的问题上更为谨慎。
(2)建立针对自动驾驶系统的法规体系
在明确责任主体之后,还应建立针对自动驾驶系统的标准法规和对应的测试规范。让自动驾驶汽车能够放心上路,其核心是要解决交通安全问题,具体而言包括驾驶行为安全、功能安全和信息安全三个不同层面的安全问题。
一是驾驶行为安全。从表象来说,驾驶员的驾驶行为安全指的是驾驶员的驾驶能力能够满足当前道路工况的驾驶任务需求,不会引发交通事故。对自动驾驶系统而言,驾驶行为安全就是自动驾驶系统的功能和性能,或者说驾驶模式和驾驶能力能够满足当前道路环境条件的驾驶需求。
二是功能安全。被国际上广泛认可的功能安全标准ISO26262,通过危险造成伤害的严重程度S、危险所在工况的发生概率E、驾驶员采取控制避免危险的难易程度C三个主要指标来衡量汽车安全完整性等级(ASIL),对不同ASIL等级的系统从软件、硬件、系统层面的功能安全规范做出了详细规定。目前,其主要针对的仍然是传统汽车的E/E系统,对于自动驾驶汽车的功能安全规范尚在制定完善中。
三是信息安全。信息安全是随着车辆联网的普及而被提及,随着车辆智能化控制程度的增加而被重视,也是传统汽车企业过去很少接触的新挑战。信息安全包括车辆自身控制层面的安全以及隐私信息泄露的安全问题,其触发包括物理接触和无线接触。其中,物理接触包括如OBD(车载诊断系统)口接入、USB口接入或其他后装组件的接入造成的安全风险;无线接触包括针对蓝牙、无线钥匙、TPMS(胎压监测系统)等近距离通信的攻击,DSRC(专用短程通信技术)等车际网络的攻击,以及3G/4G等蜂窝网络接入的攻击。广义地说,车载雷达采用的毫米波、激光以及摄像头涉及的可见光都属于电磁波,也都存在被攻击的漏洞。
驾驶行为安全、功能安全和信息安全并不是相互独立的概念,而是互相有重叠的部分。驾驶行为安全侧重于自动驾驶系统的能力是否满足驾驶任务需求,尤其是危险条件下的驾驶任务需求;功能安全侧重于相关设计能否保障自动驾驶系统不受随机软/硬件失效影响,按照设计正确地发挥应有的驾驶能力;信息安全侧重于相关设计能否保障自动驾驶系统免受外界入侵攻击或使攻击不影响应有驾驶能力的发挥。
这三个侧重点正好涵盖了确保自动驾驶系统安全可靠的三个层次。以自动驾驶系统在某危险情况下为例,当自动驾驶汽车行进过程中,如前车有重物跌落,安全可靠的要求是自动驾驶系统能够有效避开跌落物体——自动驾驶系统应具备能力在相对车速X米/秒、物体相对位置Y米时,控制转向轮转向角Z度。安全的第一层次为自动驾驶系统应满足此驾驶能力需求,即自动驾驶系统的驾驶行为不会导致汽车在小于Y米后再进行转向;在满足第一层次前提下,安全的第二层次为自动驾驶系统应保障软/硬件的随机失效不会影响驾驶能力的发挥,即自动驾驶系统在大于Y米进行转向时,没有因为随机软/硬件失效导致转向未完成;在满足第二层次前提下,安全的第三层次为自动驾驶系统应保障驾驶能力的发挥不受黑客攻击影响,即自动驾驶系统能在大于Y米进行转向、所有部件可实现应有功能的前提下,不发生因黑客攻击导致的转向距离滞后。
交通安全是上述安全问题在宏观层面上的体现。目前谷歌、特斯拉等的自动驾驶数据都表明,在特定工况下,现有技术能够保证自动驾驶汽车的安全性能高于普通人类驾驶员。但是,仅在特定工况下高于普通人类驾驶员还不够,作为乘客,谁都不愿意把自己的生命交给一辆每100万或200万公里就有可能出现重大事故的机器。为此,大部分人宁愿选择手动驾驶。此外,自动驾驶汽车出现事故后的责任划分和赔偿、召回等问题,都要求自动驾驶汽车在交通安全方面必须经过非常苛刻的测试。
■如何开展自动驾驶汽车测试
那么,究竟应该如何开展自动驾驶汽车的测试?笔者认为,一种潜在的解决方案是引入“普通人类驾驶员”的抽象概念,并建立安全基线——一系列定性、定量的关键功能、性能指标,表征自动驾驶系统驾驶汽车的安全程度。如果把自动驾驶系统看作是一名驾驶员,对其的考核也可以类比驾驶员的考核过程。首先需要体检,检查“身体”基本情况;其次是理论测试,学习并考核交通法规;再次是场地考,即在特定场景下的测试;最后是实路考核。
1、“体检”阶段
所谓的“体检”,就是需要对自动驾驶系统的基本要素功能进行考核,形象地说就是保证自动驾驶系统这个驾驶员“视听良好、手足健全、身体健康”。考核的内容包括图像识别能力、雷达对障碍物的探测能力、网络联通性能、执行器的控制性能、信息安全防护性能、相关电气电子系统的功能安全设计等,保证自动驾驶系统各要素功能的正常。
2、“理论测试”阶段
在“理论测试”阶段,要对自动驾驶系统理解我国相关交通法规的能力进行考核,比如对信号灯的识别、对交警手势的识别、对限速限高等交通标识物的识别,对路权优先级的判断与控制。
3、“场地考”阶段
在“场地考”阶段,需要专门整理出自动驾驶汽车会遇见的典型场景工况,对自动驾驶系统进行各场景下的专门测试。一方面通过典型的、常规的工况,考察自动驾驶系统能否完成正常的驾驶任务;另一方面通过恶劣的、极端的工况,考察自动驾驶系统能否完成危险的驾驶任务。
危险工况大致有三类:一类是针对自动驾驶汽车传感系统薄弱之处和多源传感数据融合之处设计的危险工况,如恶劣的天气环境或者特斯拉事故中面临的场景等;一类是针对自动驾驶汽车边界或者极限能力的危险工况,如正好和车身高度接近的龙门架或者车身宽度接近的道路状况等;一类是突然的、预期之外的危险工况,包括事故数据分析得出的高频情景和可带来严重后果的小概率事件,如突然出现的行人、吹动的垃圾、前方道路突然塌方、传感器失灵、其他交通参与者的非理性行为等。
另外,应特别强调的是,对于自动驾驶系统的危险场景和对人类驾驶员的危险场景是不一样的。比如,自动驾驶系统区分出老人、小孩、非机动车等不同障碍物并对其可能的行为进行预测是较为困难的,而人类处理这些情况则相对简单。因此,需要针对自动驾驶系统的危险场景进行不断迭代测试。场景测试中,除实路测试外,也应充分重视仿真和驾驶模拟测试系统的作用,这些系统可以精确模拟和复现期望的测试工况。
4、“路考”阶段
最后一关就是“路考”,它要让自动驾驶汽车在划分好的测试区域内,面对真实的、随机出现的交通情况,作出自主决策与控制,以检测其是否能够依法依规安全行驶。内容应包括测试自动驾驶汽车应对特殊场景的表现、自动驾驶汽车在实际路况中与其他交通参与者的相互影响等。此处不仅要考察自动驾驶汽车对危险的预测与规避能力,还要考察自动驾驶汽车在危险或事故已经发生后是否采取了适当的、符合交通法规的措施,如是否会出现意外刮蹭后逃逸等情况。
由于特斯拉等自动驾驶汽车出现的安全事故,目前我国对于自动驾驶汽车上路测试的管理十分严格,工信部也正在联合公安部等部门联合制定相关的上路测试规范。在这一背景下,建立专门的自动驾驶汽车测试示范区就显得更为必要。目前上海智能网联汽车测试示范区已经正式开始运营,重庆、北京等地的示范区建设也在积极开展,而部分企业自建的测试基地也在相继动工和运行,这些测试示范区的建设将有效推动我国自动驾驶汽车的检测和测试。