i-VISTA|同济大学教授朱西产：TJP自动驾驶汽车危险场景的安全边界及L3功能安全认证方法探索

2020年12月3日，由中国汽车工程研究院主办的第五届i-VISTA智能网联汽车国际研讨会隆重召开， 在自动驾驶汽车测试评价关键技术论坛，同济大学教授朱西产发表了“TJP自动驾驶汽车危险场景的安全边界及L3功能安全认证方法探索”的主旨演讲。

同济大学教授朱西产

以下为演讲实录：

TJP自动驾驶汽车危险场景的安全边界及L3功能安全认证方法探索

自动驾驶里面高速公路自动驾驶是现在M2主要的自动驾驶，这里面我们一般在过去M2开发的时候把0到130公里每小时这个高速公路的全速路段分成0到60公里的TCA还有60到130的SCA，这两个数字段开发路段差不多，M3就是TJP如何从M2上升到M3，今天我们看到第一个M3认证的法规草案已经，这个草案MKS基本上把我们现在在谈的这些场景功能安全预期安全等等研究成果在这个法规草案我看了有综合的体现，如何把这些研究成果组合起来完成接近M3这些车型的认证，所以我把这个报告题目叫做TJP自动驾驶汽车危险场景的安全边界，我们TM这种场景下总会有一种参数会做好，这些危险场景每个类型的危险场景到最后要有一个边界，要是想做一辆车在任何情况下都不会发生碰撞这是做不到的，ALPS这个草案里面

首先提出危险场景边界方案的准确率，第三对M3功能我们参照这个草案做一些探索。

自动驾驶的分类，我们在座的可能都不用解释，现在大批量已经量产M2，现在想从M2上升到M3，今天如何谈的是走向M3？当然更多是在探讨自动驾驶，我们主要是推动一体化实现，这样车辆已经大批量实现，只是自动驾驶功能不是太好用，这是无法引起用户的关注，像这样的产品更多的是为了获得ADAS，从碰撞模式谈到最多，下来之后这些ACC用户不太会用，我们做了市场调研，这些功能用户不会太用，唯独喜欢用的就是ESP，两个盲区的脚雷达还是用得比较多，中途就是用雷达，这样的产品价格也不高，技术成熟度也非常高，装车已经非常普遍，但是自动驾驶角度来说这个不够。

这样的系统开发对主机厂来说也不陌生，还是垂直型的供应链，第一供应商多给你搞这种，这套系统我们并不陌生，从产业角度来说也不陌生。

现在对自动驾驶的开发，新一代的自动化所有企业都在探索这个事情，也可以理解为做两个事，就是电子架构，那么整个电子架构会发生改变，开发方法，在环境感知上摄像头从原来的单摄像头变成AI摄像头，当然也有激光打造的，环境感知上的创新，感知能力增强了，软件要智障，地图要支持等等，这类车我们称为是能达到M3的车。

现在从M3角度来说，一个就是P3P，一个是现在的驾控模式，就是驾驶员下来之后把车泊进去，但是这个车要在视野范围内这是典型的M3自动驾驶功能，也很实用，现在M3已经有了一个论证法规出来，这个认证法规草案和认证法规的落地对M3的汽车量产化会起到很大的促进作用，到M3以后，电子构架就重构，从这个法规看出来就是迭代，不仅软件可以更新，甚至硬件也可以更新，这样新的一代自动驾驶平台，平台要做有一定的超前性，我们和企业讨论，这个超前要超前多久，作为手机来说一般超前两年就够了，对汽车来说很多普遍认为，我认为有一个平台在芯片行业在半导体行业至少保证五年不落后，你知道一辆汽车卖出去他在市场上要待四五年，中间涉及到硬件的更新，特斯拉已经遇到这样的问题，就是FSD2.5，如果用户不购买FSB的功能他装车的时候装2.5的版本，3.0的硬件主要是FSD，但是FSD这种功能可以售后再买，所以特斯拉已经在尝试已经挑战政府的管理，政府管理是与车辆密切相关的配置，这种配置是不可能后面购买的，他就是你订的时候没有订FSD的软件，后面如果买完这辆车之后我订购自动驾驶的软件，他把2.5的软件换成3.0的软件，所以以及不仅软件可以更新硬件也可以更新，从政府管理来说这是面临的问题，上面王长君主任报告已经说了，因为软件不更新自动驾驶根本不能到M3M4级的自动驾驶，如果一个企业自己收集数据自己优化，然后卖给数据之后都是相当于召回这样例子，新产品上来就三年五年才有可能跑完一次，用这样的开发流程开发自动驾驶极为不可能，要用更敏捷的方法，开发达到M3M4功能的汽车，中国汽车工业研究院也介绍了产品的构件，用这种采集两三百万硬件够不够？肯定不够，后面有个报告就是2.4亿测试公里，这怎么可能由主机厂来完成，后面自动驾驶的开发和数据也得从政府部门来提供，所以今天我们不得不面临这样的形式，过去传统的汽车建立在机械为主的电动为辅的信息是辅助的这样的开发模式，到智能汽车这个是无法实施的，开发方法就是更多我们是模型驱动，现在在变成数字推动，这个数据不是企业拿几辆车然后安排试车，而是最终来自于用户的数据，才有可能达到M4，这是这张图列的所有企业，现在所有汽车厂商不一定搭建专业的团队，要构建软件开发的团队，一般来说三更高等级自动驾驶的时候可以选用纯电动汽车，因为在到30万的话一般的汽车根本卖不到，奔驰宝马的低级车已经到20万，纯电动是具备25到30万这样的级别，所以可以看到这样一些汽车厂的新搭建的高端品牌的车型，一般会选择电动汽车，这也是电动汽车和自动驾驶汽车深度结合的点，现在我们说把这套东西搭在内燃机身上，然后选纯电动的高端电动品牌搭建这个系统看能不能达到这个级别。

更高等级是无人驾驶，无人驾驶我们可以看到，从18年到19年技术成熟度上升也是非常快的，像去年百公里的平均脱离已经高达10085，去年一整年百公里将近11万车已经远程方式控制，18年所有公司总共在自动驾驶模式下驾驶2036296英里，发生脱离143720次，第一名是WAYMO，111辆车，一次脱离的平均里程是11154.3英里，第七名是百度，4辆车，一次脱离的平均里程为205.6英魂，这是无人驾驶技术成熟度的标志。

从单车智能走向万车智能，感知能不能进行有效的解决，第二是就是驾驶安全能够做这么多车型，现在大家希望的５Ｇ，今天报告里面宝马也好，５Ｇ对汽车的作用，我们觉得4G是为提升手机开发，５Ｇ是更多是为汽车准备的，从自动驾驶来说，最主要是右下角的这个，就是高可靠性、短时延通讯，短时延通讯目前没有成熟的或者大批量开发，有了高可靠性短时延通讯，我们自动驾驶的感知不一定非要放到汽车，欧洲去年也已经建立起了这样感知，道路的智能驾驶，这个是各个实验区做的事情，现在在５Ｇ里面在17年确定了LP─5PC的标准，大概到2030年在５Ｇ的对LP─5PC进行有效对接，还有端到端高可靠性短时延的性能，所以对智能汽车来说自动驾驶功能从M0到M4都在做，当然今天关注的是M3，就是M3怎么做到的，整个汽车进化过程，现在来看越来越像智能汽车，传统的功能机是电话机，现在智能手机应该准确的定义绝对不是电话机，而是移动互联网的智能终端，这样的过程今天在汽车里面正在进行着，传统的汽车现在的汽车是交通工具，我们在５Ｇ支持下未来的智能汽车应该是移动互联网的智能终端，而摆脱纯粹的交通工具这样的属性，这是在近十年有可能发生的。

前面我们说的M4，我们说近期会做什么？ADS已经普及了，功能也不是想象那么好，装了雷达和摄像头的自动驾驶几乎没有实现，就是不太好用，所以ADS不好，现在大家最关心的是M2＋或者M3，M3的产品第一个论证法规出来，这个法规草案是关于ALKS的解读，自动车道保持系统车辆的统一规定的联合国新法规的提案，这个法规被解读为第一个M3的草案，就是0到60公里自动驾驶，这个法规看来更接近了M3，但是汽车企业宁可说是M2＋，用ADS来落地，否则发生交通的话法律问题来解决，ALDS这个法规的出台并没有解决M3的第一大难题，就是事故事件的如何定性，不解决M3法律上的界定法律的模糊化，企业在销售新车的时候没办法承认或者说不敢保证。

当然这个法规也有一个好处，用创新的规定用于解决系统安全评价的复杂性，我说的危险场景测试的场景到底怎么解决，我们知道总会找到一种参数上来，你到底要做到什么程度？我们认为这个安全比较重要的，这个法规在这件事情上是值得肯定的。

在这个法规里面强调了制造商对认证车的整体安全性的责任，最后来看看就是总体车辆安全仍然在的申请形式认证的制造商，本来汽车企业希望通过一个标准把M3的法律模糊的问题解决掉，这里提出制造商要提供申明确认系统对驾驶员乘客其他交通使用者没有不合理的风险，这里第一次不合理。

我们看看技术要求，这个标准通过六七八九，总共九项要求，满足这九项要求的他认为就满足了ALDS的要求，这里面要求，一个一般要求就是第一个强调不应该造成不合理的东西，然后系统激活的时候不得导致任何可合理预见和可预防的碰撞，这是一般的要求，后面动态驾驶过程中APP对危险场景只提了三类，其实我们做场景，自动驾驶测试场景就知道，高速公路这三类场景远远不够，这三个场景，一个是前车头天，一个前方车辆切入，一个是前方车辆突然贴上去，他要求对这些场景就是自动驾驶在这些危险的时候要自动执行适当的操作，将车辆和其他使用者的风险降到最低，紧急控制把0.5个G以上的控制作为间接控制，所以达到认证要求的车辆要具有能力，但是转向不能超过本车道的车道线，这是紧急用户的要求，5.4规定接管过程中接管请求和系统的响应，如果请求的启动应确保有足够的时间发生过渡到手动驾驶，如果驾驶员没有通过关闭系统来响应接近请示，应在接近请示开始后10秒进行最低风险的驾驶，5.5最低风险控制，在最低风险控制期间，要求在减速度不超过0.4。

我们前面的时候有两个不合理的风险，什么叫不合理的风险？这个标准里面定义了，就是不合理的风险是指驾驶员和车辆乘员和其他道路使用者的总体风险水平，与熟练谨慎驾驶员驾驶的车辆相比，风险水平更高，风险应该低于熟练谨慎的驾驶，这个标准首次定义出来危险场景的临界点到底怎么确定，人类驾驶员要应对切入应对前车切出和应对前车减速的时候，自动驾驶要熟练的谨慎的人类驾驶员情况下我们至少要高于这样的一个平均水平，才能被认可，所以三类危险场景：切入、切出车辆前方突然出现障碍物、前方车辆紧急制动，在临界场景下不发生碰撞，就说明你这个风险水平已经降到最低，它的基础是人类驾驶员的平均水平，所以草案里面用了一个日本的人的报告，就是人类驾驶员的报告，这个标准里面对这三个类危险已经进行测试论证，时间关系我不展开了。

这是三个场景的具体参数，就是切入切出比的场景模式，这是切出场景就是前方的危险这个场景的临界场景临界测试场景，这是前车急刹车临界场景描述，这涉及到日本的报告，自动驾驶驾驶员和人类驾驶员平均水平一样，我们应该获得中国驾驶员的特征定出来这个临界点，至少在应对切出这件事情上我相信中国驾驶员的应对前方车辆切入的能力远远高于自动驾驶员，所以达到他的水平在中国到被认可我是完全认同的，这样应该对照中国的驾驶员的水平，不应该是美国驾驶员的平均水平。

第六项要求是人机交互，这里面要求DMS，要求驾驶员检测设备，描述是这样，车辆要求能够检测出驾驶员有能力驾驶，要有检测系统，能够检测出来这个驾驶员是否需要被接管，这个难度是相当大，当然后面具体的检测项目可以看看，就是一个驾驶员的身体检测，一个是驾驶员注意力的检测，这个有个兜底条款就是车辆要能够要求检测出来是否能够接管驾驶员，第七个要求就是目标和事件的检测，这个首先提出来的是检测范围，前面不小于46米，两边三车道，要求所有的事件都能够检测到，第八个要求是DSSAD，就是自动驾驶的数据在完好工作的时候才敢开启自动驾驶，也不一定DSSAD必须记录，这些瞬间必须记录下来，有自己举证的关系，第九个是信息安全和软件更新的要求，这里可以看到在DSSAD的时候，就是担心人家不说，你有没有权力搜集用户的数据，这个法规定了一条，本法规就是肯定要记录数据，信息安全和软件更新这块，更新是允许的，可能包括更新形式认证法规或批量车辆进行硬件的更改的情况，不仅软件更新允许，硬件更新也允许。

前面我们看了以后，这个只给M3的认证框架，但是看到后面发现要完成这个测试难度也并不高，这里要说明是这个本测试规格意味着测试最小，就是技术服务机构可以在系统边界内执行相关规格，就是随着场景不断扩大自动驾驶功能从M2逐步逐步上升到M3，我们原来说的M2.5也好M2.6也好，大家互相算，最后看来M3真的是一种间接性，而不是真实性的事情，因为没有解决M3的法律责任的问题，认证机构不是一早披露出来，不是大家到重庆来拿一个认证出来，不是这个，服务机构会说我只测试这个，我对我测试的项目负责，认证机构我说我只认证最小标准，我没有说什么标准我都测试了，这样来说仍然还是不行，这种情况下即便通过认证我也不敢说是M3，M3第一个法规落地终于发现M3是不可实现的，是可以接近而无法实现的东西。

在目录里面提了六个测试场景，这六个场景分别提出了进行的测试，这六个测试场景至少要成形的我估计现在很多车都能满足，也不要说2.5就M3了，当然这个话最好让媒体说，你最好不要说，现在欧盟也没有自己说这是M3的法规，是媒体把它界定为M3，我们主机厂最好不要说，国内企业叫M2.5、M2.9一个意思，所以M3法规落实的时候发现是无法实现的，当然这个法规草案把我们现在零零散散在研究的SO34052把这个场景标准，把21448功能安全等等这些研究基本上在这个法规里面都得到了统一的体现，把这些研究成果贯彻放到了一个综合责成一个功能的认证，对我们后面建立认证的方法甚至其他的M2或者M3、M4功能认证应该是一个良好的参考，这是我给大家分享的，就是媒体认定为的第一个M3，这支靴子落地以后，场景不要着急，慢慢迭代了，这个给我们指明方向，要不然担心人家说有点是噱头，这个的的确确是逐渐实现的过程。

注：本文根据现场速记整理，未经演讲嘉宾审阅，仅作为参考资料，请勿转载！