近一年來,隨著特斯拉model 3的保有量越來越大,我們也能在各種渠道看到很多特斯拉的各種詭異“失誤”;雖然基本事後特斯拉都火速澄清是“駕駛員操作不當”,但其自動駕駛功能的可靠性也確實讓人充滿疑慮。
多次因“駕駛員誤操作”上熱搜的特斯拉
誠然,從功能體驗的角度來說,特斯拉FSD(Full Self-Driving)很強大;但從技術的角度來說,即便它被冠以“完全自動駕駛”的稱呼,但它卻不是真正自動駕駛,最多是 L2級別的系統,即智慧
輔助
駕駛。
特斯拉感測器佈置方案與引數
什麼是真正的自動駕駛
在很多人看來,L3、L4自動駕駛與L2和ADAS輔助駕駛的區別就是功能更強大。這是極其不嚴謹的,自動駕駛與輔助駕駛有一條明顯分界線——
責權
。
SAE對自動駕駛的分級與系統要求
我們看看上面SAE的要求,其中明確指出了L3系統要在自動駕駛功能執行時承擔
所有的駕駛和周邊監控功能
,L4更是要求系統能在異常情況下依然接管駕駛,而L2只需要進行操作,監控還是駕駛員的責任。這就說明,
對L3及以上的系統來說,自動駕駛執行過程中的所有責任都需要汽車來承擔。
特斯拉Model 3的使用者手冊中明確要求駕駛員時刻保持警覺
而目前市面上號稱“完全自動駕駛”和L3的系統,都基本上在使用者手冊裡明確寫了一句話:“
駕駛員有責任時刻保持警覺,安全駕駛,並掌控車輛”,即監控是駕駛員的責任。
所以,其實判斷是否是L3自動駕駛也很簡單,就看車企是不是敢承諾系統執行時的所有責任都由它負責。顯然,目前經常將“駕駛員操作失誤”放在嘴邊的特斯拉FSD並不是真正的自動駕駛。
那真正的自動駕駛又需要具備哪些條件呢?
冗餘才能保證足夠的安全
我們要明確一個現實,人類創造的任何系統都有失效的風險;無論是偶爾卡頓和重啟的手機電腦,還是不間斷執行的網路和電力設施,或者是隻有一次機會的火箭發射……任何工程師都沒辦法拍著胸脯保證自己的設計一定沒問題。所以,在設計時都要引入必要的防止故障的手段,只不過不同系統出故障以後帶來的後果不同,對其防止失效的要求也會不一樣。
典型的冗餘系統
所以,面對影響較大的系統(涉及基礎設施和生命安全),除了提高技術水平,一般還採用冗餘的方式保障安全的底線。例如,對於重要的資料除了本地儲存,還會雲端備份、多地容災備份;電力設施甚至會設定多重冗餘機制,如對系統進行實時監控,設定雙伺服器等辦法。
雙系統同事執行的冗餘架構
在傳統汽車時代,駕駛員是第一責任人,所有的操作都來自於人,只需要保證轉向、制動和動力系統的可靠性即可。而自動駕駛在執行時系統成了第一責任方,那麼所有參與自動駕駛的零部件都要保證足夠的可靠性,
設定必要的冗餘機制,在極端情況下也能確保乘客的安全。
自動駕駛的冗餘要求
自動駕駛系統一般由
感知、決策、執行
三大系統組成,參與執行的零部件多達數十種,每個部分依據不同的特性也有不同的要求。
自動駕駛的系統構成
感知層
由於汽車執行的環境複雜、速度快、物件多,又需要實時對周邊環境進行細緻全面的監控,而不同的感測器的效能差異又比較明顯;所以提升感知系統冗餘是開發中的關鍵。
不同感測器的典型特性與優缺點
上圖是目前自動駕駛採用的幾種主要感測器的效能引數對比,攝像頭來不能避免極端天氣和環境的影響,比如黑夜、起霧、大雨,甚至強光;另外目前的攝像頭無法直觀判斷景深,靠演算法計算的距離有可能會出現誤差;所以目前一般在前向採用攝像頭+毫米波雷達的方案,特斯拉也在一次事故之後加裝了毫米波雷達。
特斯拉增加毫米波雷達使識別更加準確
決策層
決策系統(控制器、運算平臺)在解決算力問題以後其方向也較為明確,首先是設計另一個獨立執行的處理器,透過備份系統實時監控實現異常情況,並作出緊急處理;另外則是在硬體設計時遵從功能安全ISO 26262的原則和Aspice流程,是系統具備足夠的可靠性。
奧迪A8和小鵬P7均在自動駕駛運算平臺中採用雙系統互為冗餘
例如奧迪A8的智駕控制器zFAS中,放置了兩個處理器,一個英偉達晶片負責工作,另一個英飛凌的Aurix TC297T則負責監測系統執行狀態,使整個系統達到ASIL-D等級,小鵬P7也在XPILOT系統中提出了互為冗餘的雙計算平臺方案。這些措施顯然會增加整車成本,但在安全面前一切都十分必要。
執行層
執行系統即制動和轉向部分,目前歐盟ECE_R13-H和ECE_R79對制動系統和轉向系統的冗餘設計作出了明確的規定,而中國對執行系統的冗餘設計要求也正在討論和制定中。
其他系統
其他諸如電源、網路架構等部分一般也會要求一定的冗餘設計;在電源部分採用備用電源,將與安全相關的零部件負載同時接入兩個電源,在主路異常時透過智慧開關進行切換。在網路架構上,則一般在可靠性要求高的鏈路設定冗餘通訊迴路防止意外發生。
自動駕駛汽車的冗餘電源方案
只有實現冗餘才能實現自動駕駛的普及
自動駕駛的首要目標當然是實現功能,解放人類的雙手;但在複雜的社會中,人作為獨立的個體是明確的行為主體,而機器卻不是。因此,我們可以預見,在自動駕駛普及的過程中,從倫理、法律、保險等多方面考慮,機器(自動駕駛系統)都將會被嚴格的約束和要求,車企也將為自己投放的自動駕駛汽車負責。因為在彼時可沒有“駕駛員自己操作失誤”這種藉口。
