2018自主泊車與代客泊車論壇在北京御湯山商務會所召開。上?？v目科技智能交通事業部的總經理王凡在會上做了《如何保證自主泊車的安全》的主題演講。

王凡：大家好！我是縱目科技智能交通事業部的王凡。今天給大家分享我們在自主泊車安全方面的思考。

縱目科技有三個關鍵詞，第一個關鍵詞是零部件及核心算法一級供應商；第二個關鍵詞是專注泊車系列產品，從L2的自動泊車到L4的自主泊車；第三個關鍵詞是人工智能深度學習，車+AI。我們有一流的視覺算法，比如剛剛在KITTI上獲得的單項第一，同時我們善于把一流的算法應用到我們具體落地的場景中去。

我們為什么要專門來講安全這個話題？大家都知道智能駕駛汽車最終是要在公共道路上行駛，如果一旦出現了問題，就會傷害到老百姓，把自動駕駛汽車的安全做好，是我們不可推卸的責任。另外，智能駕駛汽車是這幾年新興的事物，老百姓都認為它是黑科技，高大上，如果頻繁出事故，大家會不相信這個行業。

對于自主泊車，有哪些挑戰的場景？下圖左邊這個車沒有司機，如果自動駕駛系統一旦出現了危險情況，沒有任何一個人可以接管這臺車。

下圖右邊是我們國家停車場的情況，非常擁擠，停車場里有很多人，可能車位不夠，很多車還停在路邊，或臨時占用一些道路，路邊還有一些貨物。這都是停車場復雜情況的挑戰，對我們的安全來說更是挑戰。

風險到底是從什么地方來的？只要有軟件、有硬件的電子信息系統，就有可能發生失效，會導致風險。那么這個風險有可能是一個系統失效，也可能是隨機失效。ASIL-D的安全目標被違反的概率是10的負8次方，如果我們去測試的話，每出一個產品需要測試1億個小時，然后出了新版本，還要測試一億個小時。所以僅僅通過測試來驗證產品是不現實的。

我們的目標是要降低風險，對于電子電器的系統來講，可能出現的是元器件故障風險，就是橙色的區域，風險非常高，我們要把它的風險進一步降低。我們之前在做功能安全，積累了大量的經驗，比如說過程改進、FMEA分析等，可以把質量提高到風險可控程度。但這還是不夠的，我們需要進一步提升它的質量，降低它的風險，我們有一整套完善的流程和方法來做這件事。

我們要做一個危害分析和風險評估，要結合需求和系統的設計，它的工況環境，對每一條危害進行分析，分析它的嚴重度、可控度，我們可以查到每條危害的安全是什么等級。

我們總結出這樣一張表格，這是我們對于自主泊車總結出的功能安全目標中的一部分。大家可以看到，這里列出了5個功能安全目標。

我們經常會說，自動駕駛功能，比如高速需要達到ASIL-B或者ASIL-D，這種說法不嚴謹，嚴謹的說法是，有哪些具體的功能安全目標需要達到ASIL-B或者ASIL-D。從這里還可以看到，有兩條是ASIL-D級別的功能安全目標，希望自主泊車的控制器達到ASIL-B的水準。這樣的話，需要整車其他系統來分擔它的功能安全。

當我們有了這個功能安全目標之后，我就要進行系統安全分析，有很多具體的方法論，我可以采用功能安全規范推薦的方法論，幫助我們得到系統的技術需求，比如這里我們針對一項功能安全目標結合產品的系統架構設計進行FTA故障樹分析，分析總共有哪些失效可以導致違反功能安全目標，然后針對這些失效，設計出相應的安全機制來保證系統的安全性。這個例子還很high level，具體工作中的分析遠比這個要詳細很多。FTA是一種演繹法，ISO26262還要求進行軟硬件的FMEA分析，這是歸納法。相當于一個是自頂向下，一個是自底向上，拉網式地排查。

硬件的每一個元器件都有一定失效的概率，電阻電容可能發生斷路或者斷路，IC也有可能發生異常，我們要計算出整個系統總體隨機失效概率，所以我們要對硬件做FMEDA定量分析，對每一個元器件失效進行分類和計算，我們還要計算單點故障度以及淺層失效故障度，對將其控制在功能安全相應ASIL等級允許的范圍之內。

從軟件的角度來說，主要從架構設計的角度去消除風險，檢測失效。比較典型的方式就是三層監控。在功能層進行日常的采集，然后實現功能監控層，對監控層再去監控，看看功能層是不是按照我的想法執行；最后還有控制器監控層，檢查剛才運行的整套系統，看它是不是在正常的工作狀態。

這樣三層監控系統下來之后，保證我們的系統很安全。

由此，我們得到自動泊車功能安全設計，該設計最重要的點就是冗余。因為它會失效，所以需要通過兩種方式進行備份。比如說我們的計算平臺，可以有很多傳感器做備份，把定位源進行冗余。

整車電源需要雙備份，我們也有兩路獨立的電源輸入，其中一路電源消失之后，每個系統還可以保持工作。

轉向和制動，整車的電器架構和關鍵的器件之間，要保持至少兩路的通訊網絡。多種傳傳感器冗余，確保車周圍物體檢測和追蹤。有4個環視攝像頭、1個前視攝像頭，12個超聲波，4個毫米波角雷達，1個毫米波前雷達。至少有4個傳感器可以覆蓋車輛前進的主要方向。

除了上述方法，我們還需要通過流程管理的方式確保系統的質量。根據ISO26262流程要求，我們從系統層面、應用層面、軟件層面引入到實踐中。

現在用比較形象一點的例子來理解功能安全到底是什么樣子。

假設周六在幼兒園里，幼兒園的老師想為了下周一的活動準備一些教具，對教室進行裝飾。大家都很忙碌，在這個過程中有兩盒針都打翻了。我們分析大頭針會對小朋友造成的影響。

有的小朋友不太理解大頭針，可能就會好奇，有可能刺傷自己的眼睛，或者吞咽下去，最高等級的就是S3。暴露度最高是E4?？煽囟染褪钦f撿到這個大頭針會怎么樣，一部分小朋友進行過這些教育，他見過這個東西，但也存在一些小朋友不知道，拿那個玩具去玩，我們認為可信度是C2。綜合風險等級是ASIL-C級的。

老師首先會想，那天我去過哪些教室，我就去哪些地方找大頭針，這是利用現有經驗改善安全的方式。這樣可以找出大部分大頭針，但是還是不夠的，我們認為在某些角落里可能有遺漏，我們會通過拉網式的方法，計算這個房間有多少走廊，有多少區域，然后畫成1×1米的格子，看看每個格子上是否有大頭針。把它都檢查過了，沒有大頭針，這種拉網式的排除相當于系統分析方法。

即便如此，老師可能還不太放心，萬一出了事都是大事。老師做了一種大頭針檢測器，然后周一發給每個小朋友，一旦這個東西報警，你馬上舉手報告給老師，這相當于是我們的監控方式。這個檢測器是否可靠？所以我們又在檢測器上實施了監控裝置，這就相當于是我們的三層監控。整個過程相當于是我們在幼兒園里做了一次功能安全項目。

對于自動駕駛來說，這個是否就足夠了呢？可能很多人會有印象，特斯拉發生人身事故的場景，特斯拉以為白色的是天空，它就直接撞上去了。當時有沒有軟件發生異常？沒有。有沒有在當場發生隨機失效？好像也沒有。發生這個事故的原因是算法沒有檢測出這輛車，這不是功能安全可以解決的問題，即便特斯拉的功能目標能做到ASIL-D也不能解決這個問題。

目前有一個新的規范正在制定，但還未發布，可能在今年或者明年會發布ISO21448，全稱是預期功能安全，是專門針對自動駕駛中的算法性能進行分析的規范。在21448里提到，要跟26262做一些參照，在今年新版的26262里面，結合了21448的場景。

我們將所有的場景分為已知安全、未知安全、已知不安全、未知不安全。我們的目的是最大化已知安全的部分。減小未知不安全的做法是要增加測試的覆蓋率，盡可能多的分析系統面臨的場景，然后增加測試的方式，把中間這個軸向右推，盡量減少未知部分。世界上最好的視覺算法在行人檢測的準確率智能能達到90%。需要增加傳感器的融合等方式，來證明已知不安全基本被消滅。通過這樣的方法，可以證明我們的系統是安全的。

很多人都知道馬斯洛提出的人類需求三角形，最低的需求是生理需求，然后是安全需求、社交需求、尊重需求和自我實現需求。對于一個司機來說，也有不同層次的需求。對于一個司機來說，最底層的需求相當于是新生兒一樣，身體健康，能夠呼吸，眼睛能看，不會莫名其妙暈倒，這是最根本的需求。再往上是新生兒到8歲的時候，他認識物體，知道什么是汽車、什么是行人，什么是消防車，什么是道路，他有自己的運動器官，四肢運動也協調了，我們認為這是司機的第二個階段。

第三個階段就是小孩子到了18歲的時候，他去駕校學開車，很快就掌握了開車的技能，在教練陪伴下可以上路了，最終學習了理論課程，通過了所有駕校的考試，拿到了駕照，這是司機的需求三角形。

對比一下自動駕駛安全，ISO26262相當于是最低層次的需求，SOTIF是認知系統已經建立起來了，可以有基本功能的邊界條件，但這時候還不能開車。

人在開車的時候，要識別道路上其他的車，其他的交通參與者，他們其實也會看見你，你的行為也會影響到他們的決策，反過來對于自動駕駛來說也一樣，你做出來的每個決策，你的行為也會影響到其他的交通參與者。其他的參與者會因為你的反映會有一些不同反饋。

比如在停車場里有很多行人穿過停車場的道路，自動駕駛的車看到行人在橫穿，車子就停下了，行人看到車停下來之后，他也不知道車會不會走，他也停下來了。如果人開車，我們會做一個禮貌讓行的手勢，行人知道車的目的，他就會通過。但對于自動駕駛來說，行人拿不準這個車是否會走，所以會有交通參與者之間交互的問題。

還有一些問題，人開車的時候，即便是很熟的規則，注重安全的司機也會犯錯誤。這樣我們不能太苛責自動駕駛汽車不出現任何的事故。

比如在下圖的黑色場景下，綠色的車是我的，前面、后邊、左邊都有車，我在停車場里開，黃色的車要出庫，撞到了我的側面，這不是我的責任，需要黃色的車承擔主要責任。責任判定是說不能指望我們的車完全不涉入到事故，但我們不引起事故。

美國公路安全管理局發布了專門針對L3到L5自動駕駛的建議指導書，包含上面提到的這些系統安全，ODD就是產品的邊界條件，指出這個功能到底在什么樣的道路條件下行駛，在什么樣的車速、環境、天氣的公共安全下行駛。OEDR是說在這個環境下有什么能力，能夠識別什么樣的物體，是否能夠檢測出行人，如果遇到這種情況時，決策是什么，用于定義行為。

Fallback是說一旦發生了事故，要進行功能回落。我們剛才說自主泊車的車上沒人，所以自動泊車的定義是安全停車、通知，還有驗證手段。除了一般的車出廠一定要做的實驗，還要去測試可能導致危險的場景，所有的功能是否都可以用。

另外還有HMI，對L3來說，需要告知司機和車的狀態，是否健康。待接管的時候，可以通過HMI提示司機，然后還要檢查這個司機是否確實接管了。對于自主泊車系統，它可能是代表車外面，也有可能是后臺的運行中心。比如聯系不到車主，它會請示運行中心。

Crashworthiness是說車碰撞時的保護。對載人的無人車來說，不要讓乘客受傷。

Post-Crash是說緊急停車，確保安全。Data Recording是說持續改進系統，如果出事以后，可以通過記錄的數據重現事故發生的情景。Consumer Education and Training不僅要讓內部人員會用，還得教會司機上手。最后還有法律法規等。

完成了這12要素之后，我們就認為無人駕駛汽車具備了上路能力，這就是自動駕駛安全的馬斯洛三角形。

【