在SAE中国自动驾驶汽车安全技术大会上,许多汽车原始设备制造商的自动驾驶专家报告了他们在自动驾驶汽车(AV)安全标准方面取得的进展。
在自动驾驶汽车开发的几年中,专家们详细说明了如何符合各种安全标准。还有一些人质疑中国新的电动汽车初创公司是否有足够的时间来消化标准,更不用说实施基本的安全设计流程了。
安全自动驾驶汽车(AV)的道路已经证明更加艰难,而且现在看起来比几年前AV行业预期的任何人都要长得多。
一方面,一些汽车原始设备制造商通过制造符合功能安全和安全标准的AV来克服障碍。另一方面,开发商赢得AV竞赛的愿望是如此激烈,以至于大多数人现在都在争夺安全声明——这也是一个问题。
在会议上,嘉宾们进行了多个汽车安全/安全标准的演讲,范围从功能安全(ISO 26262)到预期功能安全(SOTIF,或ISO/PAS 21448)和网络安全(ISO/SAE 21434)。
许多嘉宾还花时间在不同标准之间连接点,强调它们不是孤立的。
(来源:恩智浦半导体)
中国第一汽车集团的韩国籍专家方成熏在他的团队首次推出的L3自动驾驶汽车设计中,讨论了协调ISO 26262和SOTIF的重要性,他说该设计已接近完成。
福特自动驾驶汽车的Matt Thrasher谈到了利用SOTIF的系统理论过程分析(STPA)以及如何最好地使用基于模型的方法来促进通过仿真进行早期验证。
恩智浦半导体汽车安全总监Timo van Roermund强调,没有安全性,汽车制造商就无法实现安全。他说,必须从IC级到域架构和移动服务的各个层面解决安全问题。
据报道,中国今天有近五十家汽车原始设备制造商,只有十家被归类为传统汽车制造商。大多数是新的EV创业公司。许多人,包括汽车行业的新人,似乎都在努力克服功能安全和安全标准的细微差别和进步。
确定功能标准是第一阶段。中国的AV开发商正在推动第二阶段,他们参与模拟,路测等——就像他们在美国的同行一样。
在SAE中国会议期间,我主持了一个AV系统安全的圆桌讨论,其中包括一些亚洲最有经验的汽车行业专业人士。
我问的第一个问题之一是:“在你从自动驾驶测试中得到的数据中,哪些数据或教训是您愿意与其他汽车公司分享的?”
这个问题引起了长时间的沉默。圆桌嘉宾们不安地看着对方。
然后,有几位指出数据共享不具有经济意义。他们解释说,由于每家公司都在自己的AV测试中投入了大量资金,他们为什么要分享他们研究的成果?
我的看法是,每家公司都认为,如果自己进行了足够的测试,自己就可能是第一个推出商用AV的公司。
我补充了个问题:“您怎么知道什么时候自己的测试完成了?或者,您如何知道自己的AV已经足够安全去商业化?“
换句话说,这些测试足够多能保证安全吗?
小组成员再次竭力避免目光接触并保持沉默。观众也沉默了。
自动驾驶安全的圆桌讨论。
风河日本子公司总裁Michael Krutz指出,“实际上,大家都从结束自己的测试。测试是一个持续的过程。“
此外,Krutz宣称:“每辆车都应该是安全的。安全不应该是竞争优势。“
上海交通大学汽车工程学院副院长殷承良解释说,中国最近开始向AV测试车辆颁发许可证。
他指出,现在有大量AV开发者想要进行公路测试,而在AV测试车辆上路之前获得许可证非常重要。殷承认自己也参与了许可证制度授权方面的工作。
那么,AV在中国商业发布之前是否需要获得许可?殷指出不需要,“我们正在谈论测试车辆。”
江铃汽车首席技术官黄少堂承认,他的公司所属的汽车联盟成员之间正在进行一些信息交流。但总的来说,数据共享很少,他说,因为数据收集成本太高。
Krutz建议汽车制造商不应该在AV安全方面展开竞争,这引起诸位嘉宾和观众的共鸣。
江铃汽车公司的黄少堂指出,即使是SOTIF也没有提供像“标准传感器套件”那样的东西。他承认,“我们正在进入AV业务的未知领域,没有圣经,没有安全准则。”
当AV准备好商业化时,却没有任何标准来保证。这个问题不只中国存在。全球都是这样的。
VSI实验室的创始人兼首席顾问Phil Magney告诉我们,“没有官方标准或基准来证明高度自动化车辆的安全性。”例如,一个机器人出租车开发商必须单方面确定其车辆足够安全部署。“目前,都是车厂自己说了算。”
更直言不讳地说,这是企业“信任我们吧”的典型模式,Edge Case Research的联合创始人兼首席技术官Phil Koopman指出。
Koopman补充说,当然,已经有安全标准和指南来处理功能安全(ISO 26262)和ADAS安全(ISO / PAS 21448)。“它们也适用于完全自动驾驶的车辆,但没覆盖到其所有需要。”
对Koopman来说更令人不安的是,“在美国,没有法规要求要符合这些标准。大多数(并非所有)AV公司实际上都没有声称自己符合这些标准。有些公司公开宣扬自己的一些安全标准,但我们无法知道这些标准的真正含义。“
Koopman担心的另一个问题是缺乏监督。他说,即使汽车原始设备制造商决定何时可以出货,事实上“由公司决定在决策过程中进行哪些制衡(如果有的话)。”他说,“有些州已有批准流程,但在美国我看到的更多是关于行政和后勤问题,而不是技术实质。技术判断的结果仍由公司自行决定。这些公司在没有任何独立技术监督的情况下,自行确定何时可以出货。“
在开发符合安全和安全标准的AV,和将其转变为足够安全的商用AV之间,差距很大。
首先,AV产业必须“决定合作和竞争的领域,”SAE中国会议的发言人之一汽车顾问Juan Pimentel说。他建议AV设计师还需要定义一个“有价值的项目”。一个定义明确的项目对于他们建立“真正的合作关系”至关重要,他说。
但是, AV开发人员应该合作些啥?
目前,AV是否安全仍是车厂自己说了算。Koopman观察到这些公司不得不在内部创建自己的测试标准。
“由于该行业并不热衷于分享,因此存在大量重复工作,并且在测试指标是否合适方面没有透明度,”他补充说。显然,这些重复工作是行业可以进行合作的地方。
在Magney看来,AV安全的关键是“所有关于覆盖范围质量的问题”。
他解释说:“这意味着你是否已经测试了所有车辆可能遇到的情况?”他说,“任何能够管理覆盖质量并提供支持指标的工具都将成为关键。”
上文所提到的“工具”是指“一个支持最佳测试脚本,最佳场景生成器,最佳物理模型,最佳环境模型的工具链。”
Foretellix的首席执行官Ziv Binyamini声称他的公司提供了“一个能够定义和测量这种基准的平台。”这包括验证计划的定义和客观测量,以及其中需要的场景。
但即使是Foretellix平台也可以利用开发者合作,如果它希望提供“各种安全标准的定义和客观测量”的话。
Wind River的Krutz指出,最终,急需的是汽车制造商在设计AV时必须做出的根本改变。必须进行全行业合作。
“我们还应该利用其他行业已经学到的东西,”Krutz补充道。当波音737 MAX被发现存在设计缺陷时,空中客车公司从未竭尽全力宣称空中客车比波音公司更安全。“这是因为所有飞机必须是安全的。安全不应该是一个差异化优势,”他说。
如果AV开发商无法保证他们的AV模型的安全性,“他们都不能把他们的AV放在商业市场上,”江铃汽车的黄少量总结道。
当通用汽车的Cruise 在7月初宣布推迟原计划于2019年末进行的大型机器人出租车部署时,通用汽车赢得了掌声,人们认为他做了正确事。但是,如果汽车制造商认真向不信任自动驾驶汽车的消费者兜售自动驾驶车的安全,就证明他们仍在单打独斗、在盲飞,而且还没出现一个针对所有自动驾驶开发人员的有效安全标准。
(本文翻译自EDN姐妹媒体EETimes,原文标题 AV Safety As a Competitive Feature,https://www.eetimes.com/author.asp?section_id=36&doc_id=1335073&page_number=1 胡安编译)