长城汽车自动驾驶开发的安全DNA
无论是特斯拉的事故还是Uber的事故,都离不开自动驾驶的安全。
自动驾驶应该定义或者扩张为一个广义的、颠覆整个汽车行业,或者是颠覆所有行业的驾驶技术,因为物流、农业、工业、矿区等行业都可以用自动驾驶解决。解决的前提是什么呢?要有足够的安全。要有足够安全性,保障系统是可靠的,系统决策是正确的,起码要保证系统不会出致命的事故,所以任何自动驾驶系统都离不开安全。
2019第四届ADAS与自动驾驶论坛于3月21-22日在上海召开,论坛由CCIA智能网联专委会与佐思产研主办,地平线、纵目科技、中科慧眼、中电昆辰、富兰光学、创景科技等单位支持。
长城哈弗技术中心主任工程师甄龙豹在论坛上发表了题为“长城汽车自动驾驶开发的安全DNA”的演讲,以下是演讲全文。
首先看一下自动驾驶汽车是由什么组成的?广义上的自动驾驶汽车分两部分,第一部分是自动驾驶系统ADS,第二部分是传统的车辆平台(AutonomousVehicle Platform,简称AVP)。车辆平台由传统执行机构ESP、EPS,交互系统HMI等组成。
自动驾驶系统包含雷达、超声波、环视、定位、控制器、数据记录等。
其他还包括冗余架构、冷却系统、冗余电源、电源管理系统等。这两个系统之间通过以太网或者其他车载网络进行数据交换。
为了更好应对ADS和AVP的开发,长城推出了智能领航平台i-Pilot。i-Pilot是从L3开始的。i-Pilot愿景是开放、可扩展的自动驾驶平台,目标是优化研发路线,集成业内最新技术,开发模块化功能,兼容平台拓展性,实现软硬件的快速迭代。
I-Pilot智慧领航集成了长城汽车自动驾驶系统,采用了可扩展结构,符合车规级开发流程,兼容车载传感器系统的升级迭代,支持从L3自动驾驶一直到L5完全自动驾驶系统的开发和量产。
上图是长城汽车的自动驾驶开发路线图,目标是2021年实现高速公路的自动驾驶,里面包含上下匝道自动处理。判断高速公路自动驾驶智能化程度,最简单的区分是是否支持上下匝道自动处理。如果它不支持,那它是不完整的。
I-Pilot 2.0现在更多是作为研发性项目,实现城市自动驾驶,服务于共享出行,无人送货等。
I-Pilot 3.0将1.0和2.0进行整合,形成服务于城市和高速公路自动驾驶的I-Pilot3.0。
I-Pilot 4.0是利用更新的传感器,更新一代的技术架构,更新一代完整技术,升级迭代打造4.0。当然现在只是一个概念,因为届时有什么最新的技术,有什么最新的传感器,谁也无法确定。
现在已经量产的车辆平台里面,换挡、制动、扭矩等各个方面都采用了线控。2.0会实现完整的车辆备份控制,包括所有的备份。3.0、4.0实现新架构、新迭代的优化,成本更低,更好为社会服务的平台。
长城汽车现在采取中、美、印三地协同研发。很多人不理解,开发自动驾驶系统,为什么要搞这么多研发机构?举一个最简单的例子,长城的i-Pilot是首先立足服务于中国,最后服务于全球。着眼点不单单是中国。在中国上市以后,会逐步推到德国、美国,如果不了解当地情况,自动驾驶系统会满足当地的交规和驾驶习惯吗?
美国高速具有中国高速所不具备的其他特征,如不同的红绿灯,高速上有十字路口等。特斯拉致死事故就是在高速的十字路口导致的,这在中国高速里面是完全想象不到的。
高速公路的自动驾驶系统有一系列的情况。拿换道来说,是由于前车车速太慢,驾驶员要去快车道行驶,不想在慢车道上走,还是由于其他驾驶员的主观意图介入?这是换道意图的产生;然后进行换道可能性的判断,有没有别的车在抢相邻车道?后车是不是不会突然加速?等等。换道就会有不下一百个工况的研究,因此不管仿真也好,还是实际上路测试也好,还是测试设备上测试也好,都要不断发掘,打造系统可靠性和完整性。
长城的AVP是车辆本身的执行平台。因为我们发现业内企业将过多精力集中在自动驾驶技术本身,技术再好,技术落地也需要车辆平台的支撑,否则技术再好也是没法落地的。所以AVP同样重要。
2018年8月27日长城VV6发布会上,长城汽车正式加入了百度的Apollo开放车辆认证平台。
10月24日,长城与AtonomousStuff宣布为中国市场共同开发和部署自动驾驶车辆平台。新推出的ORA电动车R1,也完全支持线控处理,目前长城已经形成燃油与纯电双引擎自动驾驶车辆开发平台,以更好的支持业内自动驾驶系统开发及落地。
长城自动驾驶车辆开发平台具备线控驱动、线控制动、线控换档、线控大灯、线控雨刷等功能,为广大开发者提供方便、安全、更低成本的平台,加速整个无人驾驶行业的部署和量产。同时VV6提供四驱驾驶,可满足不同场景的自动驾驶开发测试。
下图描述了ISO26262和SOTIF的应用。
功能安全方面,有自动驾驶系统安全分析的方法论。整体来说,从用户需求导出图谱,整体形成逻辑架构定义,从逻辑架构定义本身进行分析,最后执行系统安全架构。
使用安全方面从三大维度考虑,第一是传统的ADAS需求是什么,第二拟人化的需求是什么,第三本身系统限制是什么。由这三点导出系统配置和系统架构。
比如ADAS需求, ACC停车以后,一般都是三秒内前车起步的话,系统可以自动起步,三秒以后需要驾驶员确认起步。经过调查发现,停车三秒之内,一是人对于周围环境的记忆和感知是不会产生太大变化的,二是人的注意力会保持集中,这是三秒的来源。过了三秒以后,周围的环境会产生很大变化,很多信息会从人的记忆里面抹去;同时过了三秒以后,人的注意力会产生分散,有很多其他的额外动作产生。
另外一个是拟人化的分析需求准则。人类的可视距离是非常远的,在条件空旷、周围环境清晰的条件下,人的可视距离可达到一公里以上。所以人有更多时间来应对道路维修和路面上的掉落物,可以及早进行规避。这个决策动作完全是人自身决定的。现在任何的传感器,都不具备远距离微小物体的探测能力,比如路面的凸起。这会导致什么情况?当发现路面有掉落物的时候,如果在五六十米才感知它的话,自动驾驶系统已经不足以把车安全刹停了。哪怕刹停了,也不敢保证后车不追尾。
基于这个角度,长城开发了长焦摄像头,探测距离150米以外,可看到150米左右路面凸起的微小物体,只要高度大于20厘米左右(大于这个尺寸会对系统造成安全影响),可以感知出来,甚至可对它进行完整的区域划分。凸起物属于哪一个区域,是压过去还是骑着过去,针对不同区域划分,进行不同的系统操作。
长城车辆平台的安全系统ECU都有两份,包括传感器接入两个不同的ECU,由不同的ECU处理不同数据,两个ECU之间进行数据通讯,两个ECU之间进行不同连接,传感器进行不同的电源连接,以此保证当其中一套传感器失效以后,有另一套传感器可以继续使用。保证车辆能在紧急情况下将人安全送到另一个区域。整个执行平台,都是双份的,包括双电源、双电机、双轮速、双横摆等。
从人机交互层面,采用了HUD多维信息感知,使得交互系统的一套失效以后,还有另外一套可以清晰告诉驾驶员系统信息。针对单点失效和多点失效都进行完整的系统操作,包括安全驾驶员监管、当前车辆停车、应急车道停车以及下个服务区停车,以保证驾驶人员的安全。
一些研究表明,自动驾驶汽车在没有任何死亡事故情况下,安全行驶2.75亿英里,才能证明它和人类可以融合。这个准则可以应用于国内的道路吗?2.75亿英里的道路组成应该是什么样的呢?高速占多少,市区占多少?还是全部是高速或全部是城郊?
Waymo实车测试超过1000万英里,仿真测试超过50亿英里。仿真和实车测试是必须同时进行的。
用仿真来验证决策是不是安全没有问题,可是用仿真验证感知的安全,并不是好方法。因为传感器的仿真到现在为止,没有任何的仿真平台能够做到对传感器真值的仿真相关性达到100%,或者99.99%。
「相关阅读」
向超级中央计算机迈进 --智能汽车电子构架变革迎接数字化重塑
2019年自动驾驶产业链企业全景图(共300多家)
「佐思研究年报」
自动驾驶计算平台与系统架构研究 | 主机厂和Tier1自动驾驶策略研究 | 汽车雷达产业研究 | 汽车视觉产业研究 | 低速自动驾驶产业研究 | 商用车自动驾驶产业研究 | L4、高精地图和V2X研究 | 新兴造车企业布局及智能网联功能对比分析 | 汽车MLCC研究报告 | 汽车分时租赁研究报告 | 5G自动驾驶专题研究 | 汽车仿真研究 | 高精度地图产业研究 | 域控制器研究 | 自动泊车与自主泊车研究 | 激光雷达研究 | 处理器和计算机芯片研究
「佐思研究月报及周报」
车联网月报 | ADAS/智能汽车月报 | 智能网联汽车测试月报 | 汽车座舱电子月报 | 汽车视觉和汽车雷达月报 | 电池、电机、电控月报 | 新能源汽车市场与基础设施月报 | 智能网联与新能源汽车周报
联系人: 符兆国 18600021096 | 韩 跃 15810133447
「无人驾驶、座舱电子及V2X相关培训」
培训目录:| 无人驾驶入门培训 | 无人驾驶测试培训 | V2X测试培训 | 自主泊车系统开发及实操 | 汽车座舱软件工程关键技术培训 | 汽车座舱UIUE
联系人:张志超 18612704928(同微信)
「近期活动」
2019深圳国际未来汽车及技术展暨2019汽车新四化与汽车电子论坛
联系人:张女士 13716037793(同微信)