高级别自动驾驶,离不开SOTIF
附赠自动驾驶学习资料和量产经验:链接
我们直接从最基本的几个问题来开展今天的探讨。
-
什么是SOTIF?
-
主要解决的是什么问题?
-
工程实践中如何落实SOTIF?
-
自动驾驶面临的挑战
什么是SOTIF?
高级别自动驾驶特指L3级别上的自动驾驶,级别越高,在紧急情况下留给驾驶员的反应时间越长。如下图所示:
我们知道在L3级别及以上的自动驾驶依赖大量的AI技术,而AI的本质即是概率问题。换句话说存在很多不确定的事件,那么就需要一种技术将不确定、不安全的事件变成安全确定的事件,这便是SOTIF。SOTIF的全称是Safety of The Intended Functionality,翻译过来就是预期功能安全。那么到底什么是预期功能安全呢?
根据ISO PAS21448的定义:absence of unreasonable risk due to hazards resulting from functional insufficiencies (performance limitations) of the intended functionality or from reasonably foreseeable misuse by persons. 其中的关键字是:functional insufficiencies 和 reasonably forseeable misuse.翻译过来就是:由于预期功能的功能不足(功能受限)或者合理可预见的人为误用造成的危害,而不存在不合理的风险。是不是还感觉晕晕乎乎?下面重点解释加粗的定义,并结合一个实例来理解SOTIF的概念。
功能不足(Functional Insufficiencies): 在实现预期功能时存在功能不足,例如不能完整地识别场景,决策算法存在缺陷,执行器存在不足等。合理可预见的误用(reasonably forseeable misuse): 不以系统制造商预期的方式使用系统。例如过度相信系统的功能等,如下图所示:
又譬如下图所示的这位驾驶员。
下面结合一个例子讲解因为SOTIF的问题,而导致的车毁人亡的事实。2016年特斯拉Model S在Autopilot状态下,在十字路口与一辆白色车身的拖车相撞,如下图所示:
导致特斯拉车主死亡。事故的原因在于,横向驶入的卡车的白色车身在强光的照射下,导致感知系统致盲,从而导致环境感知的重大缺失,而当时特斯拉在遇到其他车辆转弯场景时,(可理解为横向来车),系统设计本身不具备处理这种的情况,换句话讲autopilot不具备处理车辆横向驶入时的判断力,也就是系统功能不足。此外,驾驶员在这个过程中全程处于脱手状态,也就是对autopilot功能的误用。正因为这两个根本原因,最终导致了事故的发生。这是一个典型的因为SOTIF安全而导致的事故,在遇到类似的场景时,仍然会发生,即事故能够复现。与功能安全最大的不同在于,因功能安全引发的危害具有随机性,不可复现。
下面通过一个实例,来简要说明功能安全的定义范畴,以示与SOTIF的区别
譬如某主机厂发生汽车召回事件,召回的原因在于刹车问题,而当刹车问题源于机械故障时(如刹车踏板间铰链机构的传动效率有问题,导致制动时达不到预期效果),该类故障属于非功能安全的范畴;而刹车问题是源于软件的优化不足或者电控单元硬件故障,这类故障则是功能安全亟待解决的问题。
主要解决的是什么问题?
我们知道汽车很多的安全问题源于系统的错误与失效,但随着AI技术在自动驾驶汽车中的广泛应用,很多的安全问题源于复杂环境引发的非预期的安全问题。
根据ISO PAS21448标准所提出的观点:
从表中我们可以明确:
-
ISO26262主要解决的电子、电气失效而造成危害的问题
-
ISO21448主要解决的是因环境或滥用而引发的非系统故障而造成危害的问题
根据该标准,将汽车的使用场景分为了四大类: -
Known Safe Scenario
-
Known Unsafe Scenario
-
Unknown UnSafe Scenario
-
Unknown safe Scenario
而工程师的责任在于将不安全的场景降低到可以接受的范围。更具体可以用下图解释:
采用V模型的开发流程在软件的设计和验证阶段能解决绝大部分的区域1,区域2以及区域4的问题,而SOTIF专注于未知和不安全的的事件,通过相应的技术手段将区域3减小到可接受的程度(将每个检测到的危险情况都移至区域2)
工程实践中如何落实SOTIF?
在实际应用的过程中,主要通过下面四个不同方面确保SOTIF风险降低到可接受的水平:
-
从系统改进着手,确切地讲就是利用一个具有可靠和准确数据的新数据源, 以便检测车辆自身传感器范围之外的碰撞风险;
-
控制合理可预见误用的措施,主要从驾驶员在处理信息过程中的感知、评估和执行方面着手,譬如在驾驶员感知层面,由于复杂的用户指导,造成“信息超载”,从而导致驾驶员无法获取有用信息;
-
驾驶职责的合理划分,也就是明确智驾系统的系统边界,必要时要求司机有足够的时间接管驾驶任务,其中影响最佳接管时间的参数有车速、驾驶员延迟等;
-
限制名义功能的措施,即汽车在执行自动驾驶任务时,驾驶员辅助系统只能在有限的范围内执行,限制主要通过技术上的强制执行和司机指示的间接限制实现。
自动驾驶面临的挑战?
自动驾驶汽车走向市场面临的第一个挑战便是安全,当国内的OEM逐渐接受认可ISO 26262道路车辆功能安全标准时,ISO 21448已悄然向我们走来,与传统的开发和测试相比,自动驾驶在感知,决策,规划都发生了翻天覆地的变化。而这仅仅只是针对功能安全和预期功能安全的范畴而言,更别提网络安全和信息安全的问题了。所以,未来self-driving car合适走向大众,我们拭目以待。