特斯拉FSD,英文全稱Full Self-Driving,中文翻譯為完全自動駕駛。
SAE J3016,將駕駛自動化系統由低到高劃分為L0~L5六個等級,最高級別為L5,英文全稱Full Driving Automation,中文翻譯為完全駕駛自動化。
極其曖昧的名字,再加上特斯拉故帶迷惑性的宣傳,部分不明真相的群眾以為多花1.2萬美元就能讓自己的車輛擁有自動駕駛能力,就可以堂而皇之的在開啟了FSD(其中的導航輔助駕駛功能叫NOA)功能的車里睡大覺。
國內廠商們看了之后心領神會、相視一笑,不過不是站出來為消費者打抱不平,而是順勢將自家獨門修煉的武功命名為NOP、NGP……,站在巨人的肩上命名,瞬間也積攢了足夠的人氣。
如果說NOA/NOP/NGP們的虛張聲勢?;F胀ㄏM者還情有可原,那么國內部分自動駕駛公司對標L2級別的NOA/NOP/NGP功能做自家的L4自動系統算怎么回事?
這不是無中生有,也不是夸大其詞,這是和業內幾個朋友交流之后的意外收獲。聽到之后既震驚又竊喜,震驚行業的急速擴張讓部分從業人員還沒來得及轉變“打法”,竊喜從天而降一個科普L2、L3、L4本質區別的機會。
01 回歸到本源
業內但凡討論L2、L3、L4的區別,總喜歡站在“擔責的角度”,這逐漸讓人們誤解,但凡廠家聲明出了事由駕駛員負責的就是L2,出了事由系統負責的就是L4,視具體情況而定責的就是L3。
那么廠家開發出來的這個駕駛自動化系統能力上有沒有達到L2/L3/L4的水平呢,關心的人不多,評價的指標很少。就連如何正向設計一個具有不同級別“自動駕駛”的系統,目前也沒有什么方法論。
這就導致部分自動駕駛公司開發自動駕駛系統時,最重要的工作就是對標,宛如眾泰當年的皮尺部。但將自己要設計的L4系統降維對標到L2頭上,也著實讓人大跌眼鏡。該如何從系統正向設計的角度去理解L2、L3、L4之間的區別,是行業內每位工程師必須修煉的基本功。
上述問題的部分答案其實在國際上古老的SAE J3016標準已經給出,但遺憾的是,從業人員很少能靜下心來去細讀這份完整標準。說他不懂,他卻也能說上兩句,說他懂,又說不出個所以然,這大概就是行業內的現狀。
SAE J3016是國際上最早也是最權威的駕駛自動化系統分級標準,2014年第一次發布,2016年、2018年、2021年又分別發布了三次更新。下文提到這個標準的內容皆是出自2021年發布的最新版本。
SAE J3016將可以持續執行部分或全部動態駕駛任務的駕駛自動化系統劃分為六個等級:
L0:無駕駛自動化(No Driving Automation)
L1:駕駛員輔助(Driver Assistance)
L2:部分駕駛自動化(Partial Driving Automation)
L3:有條件駕駛自動化(Conditional Driving Automation)
L4:高度駕駛自動化(High Driving Automation)
L5:完全駕駛自動化(Full Driving Automation)
而這六個等級的劃分原則,也構成了駕駛自動化系統正向設計的最頂層輸入。而這個劃分原則包括DDT、DDT后援、ODD,下文我們逐一分析。
一、DDT
動態駕駛任務(Dynamic Driving Task,DDT),安全駕駛一輛車所需做的操作,通俗一點講包括眼觀六路、耳聽八方、手腳并用,文雅一點講包括感知、決策和執行等,包括但不限于以下子任務:
目標和事件的探測與響應(感知);
駕駛決策(決策);
車輛橫向運動控制(執行);
車輛縱向運動控制(執行);
車輛照明及信號裝置控制(執行)。
而可以擔負DDT子任務的不同,則是不同級別駕駛自動化系統的第一層不同。
L0沒什么可多說的,駕駛自動化系統不承擔任何DDT子任務,一切由駕駛員負責,就是典型的純人駕駛。
L1長進了一點,駕駛自動化系統可以承擔車輛的橫向運動控制或者縱向運動控制了,以及具備有限的目標和事件的探測與響應能力。
前半句挺好理解的,駕駛自動化系統要么負責縱向加速、減速,要么負責橫向轉向,不會兩者都負責,ACC和APA分別是L1駕駛自動化系統的典型代表功能;后半句理解起來有點繞,比如車輛現在具備單一縱向控制的ACC功能,那么系統只具備實現ACC功能所需要的縱向目標和事件的探測和響應能力,橫向控制的APA功能所需要的目標和事件的探測和響應能力就不具備了。
因此,L1這一級別,駕駛員可閑不住,需要時刻監督駕駛自動化系統的性能,時刻承擔系統能力之外的目標和事件的探測和響應職責,時刻承擔系統不具備能力維度的車輛縱向或橫向控制。
L2更加成熟,駕駛自動化系統可以承擔車輛的橫向運動控制和縱向運動控制了,以及具備有限的目標和事件的探測與響應能力。
有了L1的解釋,L2的含義不言自喻,不過需要強調的是駕駛員仍需時刻監督駕駛自動化系統,除了橫縱向控制以外的車輛控制(如燈、雨刮控制等),仍存在大量系統無法響應的事件,比如前方道路施工。
所以做的不好的L1或L2駕駛自動化系統,簡直是駕駛員的噩夢,不僅眼觀六路、耳聽八方的職責沒有少,還增加了照看這個小baby的責任。說好聽點是輔助駕駛員,說難聽點就是駕駛員照顧它,可以說是食之無味、棄之可惜的功能。
而對于L3~L5來說,已經是個大人了,可以獨立負責所有DDT子任務了。在DDT層面,L3~L5沒有區別,因此這三個級別駕駛自動化系統又被稱為自動駕駛系統(Automated Driving System,ADS)。
二、DDT后援
DDT可以讓我們區分出L0、L1、L2和L3~L5,但L3~L5之間有什么區別,可以讓我們在進行系統設計時有所側重。這樣的條目很多,但DDT后援絕對是最重要的一個,這也是不同級別駕駛自動化系統的第二層不同。DDT后援聽起來就像一個舶來品,但當你理解它的含義,你會發現翻譯的精妙。
老虎都有打盹的時候,駕駛自動化系統也不例外,這其中就包括執行DDT相關的系統失效、超出ODD等。而當這些失效情況出現時,要么請求用戶接管車輛執行DDT或執行最小風險策略使車輛達到最小風險狀態,要么駕駛自動化系統直接執行最小風險策略使車輛達到最小風險狀態,而這一行為被稱為DDT后援。
這一段話異常難理解,那是因為出現了兩個不太好理解的術語:
(1)最下風險策略:駕駛自動化系統無法繼續執行DDT時,系統或用戶所采取的使車輛達到最小風險狀態的措施。
(2)最小風險狀態:車輛平穩停車,可以最大限度減少碰撞風險的狀態。
DDT后援可以說是駕駛自動化系統設計一個分水嶺,而踩在這個分水嶺上的就是L3駕駛自動化系統。
L1/L2駕駛自動化系統,準確來講沒有DDT后援的功能,駕駛員的職責本身就包括目標和事件的探測與響應以及部分控制,所以一般會早于系統發現失效,并第一時間補位。
L3定義的DDT后援非常曖昧,原文意思是L3駕駛自動化系統在部分情況下具備直接執行最小風險策略使車輛進入最小風險狀態的能力,在部分情況下需要請求DDT后援用戶進行接管,由DDT后援用戶決定是接管車輛執行DDT或執行最小風險策略使車輛達到最小風險狀態。
而如何定義這個部分情況將廠家分成了不同的樣子,有的廠家將請求接管理解成了L3駕駛自動化系統的標配,但凡出現上文說的任何失效情況,都去請求DDT后援用戶接管,DDT后援用戶在一定時間沒有接管后,執行失效減緩策略(本車道停車),而不去思考在部分失效情況下系統直接執行最小風險策略是不是比請求DDT后援用戶接管更有效果。
舉個不成熟的例子,如果L3駕駛自動化系統中的感知、決策子系統出現失效,請求接管沒有問題,畢竟此時沒有了眼睛的L3駕駛自動化系統如果執行最小風險策略只能選擇停車(靠邊停車或本車道停車),但是如果請求DDT后援用戶接管,DDT后援用戶可以替代系統繼續執行DDT,而感知、決策子系統失效說不定在一定時間后可以自行恢復,L3駕駛自動化系統又可以重新激活,何樂而不為。
但是如果轉向、制動等子系統失效,除非為DDT后援用戶設計了一套專用的應急冗余執行機構,否則讓L3駕駛自動化系統直接執行最小風險策略,完成安全停車,不才是最靠譜DDT后援嗎!否則請求接管只能白白浪費安全停車的時間。
而且在請求DDT后援用戶接管的幾秒鐘時間內,L3駕駛自動化系統需要具備繼續執行DDT的能力,不加區分失效類型的請求用戶接管,能做出來一個產品,但肯定不是一個好產品。
當然這也是L3駕駛自動化系統的設計難點、感知系統、執行機構都比L2要強一點,但又達不到L4全冗余的要求,在這樣的條件下,能做出具備量產水平的L3駕駛自動化系統才是真正的勇士。而細數市面上,貌似只有奧迪、寶馬這兩位愣頭青面向消費者推出過L3產品,國內高高在上的自動駕駛公司顯然是看不上出力不討好的L3。
然而對于L4駕駛自動化系統來說,沒有請求接管這一說,DDT后援是其必備功能之一。L4駕駛自動化系統激活后,任何失效發生,系統都可以執行最小風險策略從而達到最小風險狀態。
有人可能會有疑問,L4畢竟還是限定在ODD范圍內,如果從起點到終點整個路線上,L4只能在高速公路這個ODD條件內激活,下了高速不還是要請求接管。其實不然,即將駛出高速公路這個ODD條件后,L4駕駛自動化系統會告知車內乘客,如果需要完成剩余路線,需要有人變成駕駛員繼續執行DDT。
注意乘客這個名詞,如果此時這名乘客帶著耳機沒有聽到系統提醒,L4駕駛自動化系統會執行最小風險策略從而達到最小風險狀態。等到車輛停下來半小時后,乘客發現自己需要執行DDT完成接下來的路線,才搖身一變,變成一名駕駛員。
而對于L3駕駛自動化系統來說,車內的直接相關角色就是DDT后援用戶,用戶監測系統需要對DDT后援用戶的接管能力進行實時監測,下文用戶監測章節會詳細介紹。且在接管請求發出后,如果一定時間內DDT后援用戶沒有接管,系統執行的是失效減緩策略,也不是風險減緩策略。
這是L4和L3駕駛自動化系統的本質區別。所以打著做L4產品的名義,設計一堆DDT后援用戶請求接管的邏輯,天花板就是L3,連L4的腳后跟都算不上。
當然L4駕駛自動化系統的DDT后援能力也不是大風刮來,需要的是全冗余:感知冗余、計算冗余、執行冗余……,否則你拿什么來執行DDT后援。
對于L5駕駛自動化系統來說,DDT后援要求和L4駕駛自動化系統一樣,兩者在DDT后援這一點上依舊撕扯不開。
DDT后援完美印證了賀詩人足球場上那句經典的解說:如何面對失效,把L3和L1~L2與L4~L5分成了不同的樣子。
三、ODD
通過DDT,我們區分出了L0、L1、L2和L3~L5之間的區別,通過DDT后援,我們區分出了L1~L2,L3和L4~L5之間的區別,那么L4和L5有什么本質區別呢。
最重要的一個區別就是上文多次提到的設計運行范圍(operational design domain,ODD),簡單來講L5駕駛自動化系統沒有ODD的限制,L1~L4駕駛自動化系統都只能工作在ODD范圍。ODD的詳細介紹,可參考之前兩篇文章《ODC,自動駕駛法力的邊界》和《ODC,自動駕駛系統設計的“敲門磚”》,此處我們不在贅述。
02 本源處求真
上一節三個方面主要基于車的角度談論不同級別駕駛自動化系統設計時的區別,除了車之外,人作為一個重要的系統參與者,不能不提。當然我們不去談論馬路邊的責任歸屬問題,只談論人在駕駛自動化系統設計時需要承擔的職責。
細心的朋友可能發現,前文中我們出現了駕駛員、DDT后援用戶、乘客等多種角色,而這一些也不是隨意亂叫,都在具體語境有著不同的含義。SAE J3016中統一用用戶這一名稱指代不同角色。而監控則是駕駛自動化系統中和用戶強相關的功能。
一、用戶
用戶的第一層含義是駕駛員。
在L1和L2駕駛自動化系統中,只有駕駛員這一個角色。駕駛員通過一些開關操作決定什么時候打開激活駕駛自動化系統;在駕駛自動化系統激活后,監控駕駛自動化系統、監控駕駛環境、監控車輛性能,以便在需要時及時迅速替代駕駛自動化系統執行DDT。
在L3駕駛自動化系統中,在系統沒有激活時,執行所有DDT并像L1和L2駕駛自動化系統一樣,決定什么時候打開激活駕駛自動化系統。但是一旦L3駕駛自動化系統激活,駕駛員立馬變成了DDT后援用戶,這也是用戶的第二層含義。
而對于DDT后援用戶,一方面負責在接收到接管請求后,及時接管車輛執行DDT后援任務;另一方面在發生影響DDT執行相關的系統失效后,及時接管車輛執行DDT后援任務;最后在執行DDT后援任務時決定是自己變成駕駛員執行全部DDT還是執行最小風險策略達到最小風險狀態。
在L4駕駛自動化系統中,在系統沒有激活時,依舊可以存在駕駛員的角色。比如在一個起點到終點的行程中,L4駕駛自動化系統只能在園區內這個ODD內激活使用,出了園區要想開到終點,就需要駕駛員進行駕駛。當然駕駛員同樣可以決定是否開啟激活L4駕駛自動化系統。
不過L4駕駛自動化系統一旦激活,駕駛員角色立刻變為乘客,這是用戶的第三層含義。乘客人如其名,不需要執行DDT,也不需要對DDT后援負責,真正可以在車里睡覺看電影。所以在設計L4駕駛自動化系統時,你用一堆傳感器監視乘客的接管能力,不就是掛著L4的頭賣L3的肉嗎!
L5駕駛自動化系統和L4駕駛自動化系統一樣,同樣存在兩種角色,畢竟現在還沒有法律法規規定人沒有開車的權力。
上文提到的駕駛員、DDT后援用戶、乘客都是車內用戶的角色,與之對應的是車外的遠程駕駛員、遠程DDT后援用戶、遠程調度員,一一對應,本文就不去多做介紹。
二、監控
你需要用戶給你做這做那,但如果用戶沒有這能力怎么辦,監控及提醒便是最好的方法。當然不只用戶監控,還包括駕駛環境監控、車輛性能監控、駕駛自動化系統監控。后三者前文我們已經多次帶過,不再重提,此處只重點介紹用戶監控。
用戶監控的目的主要是為了防止用戶對駕駛自動化系統誤用和濫用,怎么理解呢。L2駕駛自動化系統需要駕駛員時刻注意交通狀態,系統運行狀態,如果駕駛員過度依賴系統,系統激活了之后就開始玩手機,甚至睡大覺,是不是不太合適。
而為了避免這種情況發生,系統就需要對L2駕駛自動系統中的駕駛員角色進行監控。監控其是否走神、疲勞等,并在此種情況發生時對其進行提醒,提醒無效后執行失效減緩策略。
而對于L3駕駛自動化系統,用戶在系統激活后變成DDT后援用戶,需要承擔DDT后援職責,那么DDT后援用戶具不具備接管能力就需要我們對其進行監控。DDT后援用戶不具備時,系統就要在適當時候對其進行提醒。但有一點很關鍵、系統是在監控到用戶不具備接管能力后就開始進行提醒,還是在同時預測到可能有DDT后援任務時才去提醒。兩者策略的不同將決定L3駕駛自動化系統體驗的不同。
而前者不加區分的隨時隨地提醒也決定其和L2駕駛自動化系統不會有本質區別。
而對于L4/L5來說,系統激活后,用戶角色就是乘客,乘客沒有負責任何DDT和DDT后援的任務,因此是不需要對乘客進行監控的。
而對于L1來說,SAE通過數據研究發現,很少有用戶會對L1駕駛自動化系統產生無用或依賴,所以也不需要對駕駛員進行監控。
綜上所述,用戶監控是L2和L3駕駛自動化系統的典型特征,敲黑板。
03 求真后妄語
2021年9月的時候,我們自己的駕駛自動化分級國家標準GB/T 40429-2021也出來了,高興肯定也是高興的,但看到內容基本是SAE J3016的翻譯、閹割及名詞上面的創新,也不是那么高興。矮個中挑高個的話,只能說國標為SAE J3016提供了一份中英文名詞對照表,也算是幸事一樁。
SAE J3016雖2014年第一版已經出來,但行業內顯然沒有組織過好好學習,不然也不會出現這么多常識性的錯誤而無人指出。
最最不可理解的常識性錯誤我們要從駕駛自動化系統的定義來說:駕駛自動化系統將可以持續執行部分或全部動態駕駛任務的系統劃分為六個等級。其中的關鍵詞是持續執行,ACC激活時持續控制油門、剎車、TJA激活時持續控制油門、剎車、方向盤,這些都可以歸類為不同級別的駕駛自動化系統沒有問題。
但是像AEB這種,不是持續執行DDT,而是僅在危險情況發生時提供短暫的干預,它就不屬于這六個等級里面。但是市面上大量的文章將其劃為L0/L1。SAE J3016中其實已經給這類系統定義了一個名字,主動安全系統(Active Safety Systems)。此系統還包括FCW、LDW、BSD等預警類功能。
其它的常識性錯誤不再舉例,列出來也不是為了批判,只是期望從事這個行業的人,該練的功還是要盡快練上,不是有那么一句話老話嗎:練武不練功,到頭一場空。
本文是基于作者認真看了一遍SAE J3016后做出的總結,也不保證完全理解正確,但至少有了自己的理解。SAE J3016還有很多在做駕駛自動化系統正向設計時候可供借鑒的點,后續我們有空再來深度剖析。 ?
編輯:黃飛
評論
查看更多