在一辆高度自动化的汽车中安装灯泡需要考虑多少安全标准?若在几年前,汽车市场的新手会说:“不需要考虑”。要制造更安全的自动驾驶汽车面临不少技术挑战,如今业界终于开始着手解决这些技术问题,因此安全标准的数量也在不断增多。
受到“赢家通吃”互联网平台商业模式的影响,狂热的自动驾驶汽车制造商为了抢先开发出业内第一台自动驾驶汽车,使出了浑身解数。他们的目标很简单,就是要完全控制AV平台,业界其他厂商只能跟随并得到许可。
图1:制造更安全的自动驾驶汽车面临各种技术挑战。
时间来到2020年。各自为政,或者一家独大,这些做法已经不合时宜。与前几年相比,情况已经发生变化,主要的汽车OEM、一级供应商以及包括芯片供应商在内的技术提供商更加积极地致力于建立行业联盟,开发以安全为核心的自动驾驶行业标准。
目前业内已经有接近10种安全规范,用来解决自动驾驶的不同安全问题。其中较为引人注目的是ISO 26262和SOTIF,以及刚发布的UL 4600。
那么,这是否意味着汽车行业终于携手并进了呢?也许是吧。
对汽车行业来说,合作是一个陌生的新概念。说到安全标准,TTTech Auto公司CTO Stefan Poledna表示,“每个人都有不同的看法”,但“合作是大势所趋”。
是什么引起了这些变化?
汽车行业太容易实现2级/2+级自动驾驶,因此大大低估了实现3~5级技术将会多么困难。Poledna指出,业界终于意识到,为3~5级自动驾驶汽车开发安全计算系统是“一项艰巨的挑战,这不是某一个厂家的任务,而是整个生态系统要解决的问题。”
如果一辆L3、L4或L5级汽车在一条单行道上逆行,那么应该担责的不再是驾驶员,而是汽车制造商。Poledna强调说:“这必须引起重视。”
还记得SaFAD(Safety First for Automated Driving,自动驾驶安全第一)吗?这份由业内11家著名厂商(Aptiv、奥迪、百度、宝马、欧陆、戴姆勒、菲亚特克莱斯勒汽车、HERE、英飞凌、英特尔和大众)去年7月发布的白皮书,将成为新的ISO标准。
白皮书提出了“一种解决自动驾驶安全问题的综合方法”,其目标是“从设计能力、组件和架构几个方面来系统考虑安全性,然后总结验证和确认方法,以实现合理的风险平衡。”
ISO认可了这一举措,允许业界将其发展为ISO标准。
但是,如何将一种“综合方法”变为可用的ISO标准呢?为此我们咨询了SaFAD成员英特尔。
英特尔高级首席工程师兼Mobileye自动驾驶汽车标准副总裁Jack Weast解释说:“首先,我们将以原始的SaFAD白皮书为基础,剔除所有无用的内容,然后重新整理其中技术干货的格式,形成ISO标准。”
图2:宝马集团自动驾驶首席技术专家Simon Fürst。
为了加快进程,委员会负责人、宝马集团自动驾驶首席技术专家Simon Fürst在一场主题为“The Autonomous“的网上直播中宣布,其团队正全力以赴准备于2020年中发布ISO技术报告草案(DTR)4804。
Weast称DTR是ISO标准化的第一步。
根据来自汽车行业的消息,ISO新标准的大方向应该是正确的,但要成为最终标准可能还需数年时间。此外,他们发现该标准太笼统了,因此无法在短期内为汽车OEM提供帮助。
英特尔公司的Weast也认为这份ISO文档涉及的面“相当广”,但他又辩解说,它就像“一把大伞”,涵盖“如何定义、实现、开发并测试自动驾驶系统的方方面面”。
这份文档提供了一种“有用的结构”,Weast指出,“我们显然是遵循设计原则来支持安全性”,而且这份文档也展示了“一种深思熟虑的问题处理方式。”Weast补充道,“这就是ISO文档的意义所在,就如同告诉人们,‘瞧,这里有参考标准。’”
图3:TTTech Auto公司CTO Stefan Poledna。
TTTech Auto公司专门为高级汽车开发安全软件与硬件系统,它最近发起了主题为“The Autonomous”的倡议(网上直播是在该倡议发起之后命名的)。
TTTech Auto公司CTO Poledna表示,他们召集了汽车生态系统中的许多厂商参与活动,交流想法并讨论如何为汽车OEM、一级供应商和芯片供应商开发“试验场地”,以测试其自动驾驶汽车的安全性。他说,在每个人都想弄清怎样才能将安全的L3和L4级汽车推向市场之际,“他们需要进行交流。”
Poledna说,The Autonomous深知,各公司采用了多种方法,包括不同的计算体系架构、软件算法和传感器融合,以确保自动驾驶的安全性。
这也是提出The Autonomous计划的一个原因。TTTech Auto公司认为,汽车制造商需要更具体、更实际、更快速的解决方案。The Autonomous的目标是,将标准从即将推出的ISO TRD 4804降低一、两个等级,为自动驾驶行业提供可用的“参考设计”。
然而,这并不是说要随便挑选一种方案。
图4:各公司采用了不同的方法来确保自动驾驶的安全性。(图片来源:The Autonomous)
汽车制造商们并不想围绕着“黑箱”来制造自动驾驶汽车,他们希望采用由不同供应商提供的不同模块,例如安全模块、“检查”模块(例如在“doer-checker(执行者-检查者)”模型中)、计算模块等,并且能够将这些模块混合在一起并进行匹配。如果一个OEM选择了供应商A的安全模块,与供应商B的安全模块完全不同,从而导致了严重的兼容性问题,应该怎么办?Poledna认为,自动驾驶行业必须“对安全架构存有共识”。他解释道,整个行业都应该对“接口”和“数据结构”有相同的理解,并采用通用的方法进行设计。
图5:自动驾驶行业必须对安全架构存有共识。(图片来源:The Autonomous)
一方面,业界认为ISO标准过于笼统;另一方面,很多汽车厂商已开始各自实现不同的安全解决方案。那么The Autonomous计划如何才能成为一种“折衷”方案?
“如果大家都同意采用'执行者-检查者'模式的安全方法,我认为这就是一个巨大的成功。”Poledna指出,他希望业界对数据结构、接口和自由空间的定义达成共识。The Autonomous将举办一系列的研讨会,重点讨论计算架构、人工智能、安全和法规等问题。The Autonomous旨在鼓励与会者分享自己的成功经验,促成汽车大厂之间的友好合作,并发布反映行业最新解决方案的文档和技术论文。
图6:英特尔高级首席工程师兼Mobileye自动驾驶汽车标准副总裁Jack Weast。
如果说The Autonomous的目标是要相对ISO标准降低一至两个等级,Weast表示,自己带领的IEEE P2846小组则深入到繁琐的细节中,把重点放在“决策能力”这一极窄的领域。
关注细分领域的好处是“可以研究得更深入”,Weast解释说,在检查决策过程时,“我们也要考虑'对道路的其他使用者应该做出什么假设'。”当自动驾驶汽车在某座城市或某种情形(例如,视线被挡住的十字路口)下时,如果设计人员清楚地知道需要做什么假设,对于建立决策模块的安全模型至关重要。
IEEE P2846侧重于决策模块,Weast推测,在最终出台的自动驾驶安全标准中,业界可能需要利用十多种不同的技术模块来定义并实现安全性。“例如,我们需要一个安全操作模块,它可以通过ISO 26262和SOTIF标准来定义;还需要诸如行为和交通流量模块,IEEE P2846标准可以很好地定义它;还有数据记录模块等。”
Weast解释道,要实现一个能够承载自动驾驶汽车这种全新市场的生态系统,“标准和互操作性是必不可少的”。不过他承认,设定行业标准始终是一种平衡举措。我们需要一个稳健的市场,而各公司又需要自由实现差异化。
被问及自动驾驶行业需要达成一致的技术具体有哪些时,Weast回答说,应该是来自不同供应商、容易得到、能使所有人受益并促进共赢的技术。
下面以IEEE P2846为例来说明。
怎样才算安全(例如汽车之间的安全距离是多少)?他解释道,如果自动驾驶汽车公司不能在此问题上达成一致,他们就无法向政府监管机构合理地阐述自动驾驶汽车的安全性。设计运行区域(ODD)也是如此。如果不使用通用模板来定义ODD,业界将无法解释某辆车在哪里以及什么条件下究竟能做什么。
尽管新冠疫情阻止了许多标准组织成员(包括IEEE P2846成员)出差,Weast表示,该组织仍希望在今年年底或2021年初完成草案。
为了加快进程,IEEE P2846成立了4个工作小组。一个小组的任务是确定安全场景,其中包含对道路的其他使用者做出假设;另一个小组负责研究决策安全模型的属性;第三个小组的任务是尽可能使定义和分类与其他标准一致;第四个小组则负责记录该标准是如何配合或补充其他标准的。Weast解释说:“这有助于我们解决IEEE P2846中的一些疑惑和问题。”
Weast补充道,IEEE P2846有一个好消息,就是进行了选举。目前Weast担任主席,从Waymo公司选出了一位副主席,并由Uber派代表担任秘书。这是Waymo公司第一次参与其中,之前他们一直独立行事。Weast说:“我们现在的成员来自各个领域,包括芯片行业、服务行业(移动公司)、汽车OEM、一级供应商和机器人公司。”
IEEE P2846的20个成员包括:Aptiv、ARM、百度、电装、毅博、菲亚特克莱斯勒(FCA)、谷歌、华为、Horizon Robotics、英飞凌、英特尔、Kontrol、台湾大学、英伟达、恩智浦、高通、Uber ATG、法雷奥和大众。
美国产品安全认证机构Underwriters Laboratories(UL)近日完成并发布了其第一个自动驾驶汽车标准,即UL4600,可从ULstandards.com下载该标准。
图7:Edge Case Research公司CTO Phil Koopman是UL 4600标准的联合制定者。
Edge Case Research公司CTO Phil Koopman是UL 4600标准的联合制定者,他表示,该标准并没有规定具体的步骤来确保安全性,而是为自动驾驶汽车制造商提供了一份可“实现安全设计”的指南。UL 4600标准制定者们认为没有哪一种标准可以解决世界上所有的自动驾驶产品问题,要求自动驾驶产品设计师进行安全论证则设立了一个基本的起点。
Koopman还强调,Underwriters Laboratories的标准技术委员会(STP)是由全球代表多个利益方的个人组成的团体,它成立了一个多元化的小组来开发该标准。STP中的32名成员具有投票权,包括政府机构、学术界、自动驾驶汽车开发商、技术提供商、测试与标准组织以及保险公司的代表。具体成员包括:Uber、日产、Argo AI、Aurora Innovation、Locomotion、Zenuity、英特尔、英飞凌、Bosch、Renesas、Ansys、Liberty Mutural、AXA和美国运输部等。
(原文刊登于ASPENCORE旗下EEtimes英文网站,参考链接:AV: Come Together, Right Now, Over Safety。)
本文为《电子技术设计》2020年08月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。
最前沿的电子设计资讯
