日本团体标准《自动驾驶安全性能评价框架》解读

2021-12-08 13:23:23·  来源:车合规CVRegs  
 
2020年10月,日本汽车工业协会发布团体标准《自动驾驶安全性能评价框架》,该标准由日本汽车工业协会AD安全性能评价分会制定,集合了丰田、本田、日产等日本主流
2020年10月,日本汽车工业协会发布团体标准《自动驾驶安全性能评价框架》,该标准由日本汽车工业协会AD安全性能评价分会制定,集合了丰田、本田、日产等日本主流汽车公司的意见。该标准主要就SAE L3及以上等级的自动驾驶能力安全要求、安全边界和安全设计分析过程提供了框架性评价原则。


该标准分析了现有自动驾驶安全评价方法,指出基于实际道路测试的安全评价验证方法存在评价充分性和标准尺度不一致性的困境。比如,基于数据驱动的自动驾驶系统对数据收集效率和数据量严重依赖,兰德公司早在2016年就提出,“L4级无人驾驶车辆的量产需要测试177亿公里(110亿英里)以上才能实现”,然而收集如此庞大的数据量在时间和资金投入方面都是巨大的,这种做法几乎不现实。另外,该标准指出基于交通场景库的验证方法(注:该方法是多国提出的“多支柱法”的重要组成部分)同时存在验证不充分的困境。比如,首先各汽车公司公开自己的交通事故场景数据几乎行不通,同时通过公共领域的交通数据总结而成的交通场景数据库不够全面,也没有包含车辆本身原因造成的危险交通场景。因此,该标准以统一的自动驾驶国际标准WP29规定的安全愿景为纲,提出基于物理原理的场景法安全分析框架,从自动驾驶车辆动态驾驶任务的处理过程出发,根据对应的物理原理,以“识别-判断-执行”为分析过程,分析影响安全的场景要素,构建安全场景系统,形成一个安全框架性准则。
1/「基于物理原理的场景法安全分析框架」
该标准指出,自动驾驶车辆出现不安全的问题根源主要在于感知识别障碍,交通要素干扰和车辆自身运动干扰,如表1。
过程
处理结果
干扰
物理原理
识别
周围交通环境的位置信息、自己位置。交通信息
识别障碍
根据传感器机制的干扰原理(示例) 相机:可见光,毫米波:无线电波,LiDAR:红外光
判断
轨迹、车速目标指示
交通干扰
道路结构+与交通参与者的位置关系等几何观点和交通参与者的行为
操作
向各个车辆控制部件分发运动指令,实现轨迹和车速目标指令
车辆运动干扰
来自路面和外界因素输入到轮胎和车身的机械干扰
感知识别障碍是指,由于车辆自身传感器、车辆的内在或外在原因,造成系统无法正确识别车辆周围交通环境危险的状态。车辆内在原因有:零件的安装(例如,传感器安装或制造偏差引起的不稳定性),另外还有车辆状况(例如,由于不均匀载荷改变传感器方向导致车辆倾斜,或者因外部载货遮蔽了传感器,比如自行车架)。外在原因包括,车辆周围环境条件诱发的场景(例如,传感器起雾、污点、眩光等),还有对传感器来说的“视距”盲区等。
交通干扰是指,道路的几何形状(例如,高速公路上的分支和匝道)、自车的行为(例如,变道)、以及周围车辆的位置和动作行为(比如,靠近自车的他车切入),这几项的组合可能会引起危险的交通状况。
车辆运动干扰是指,感知识别和判断功能正常,但车辆可能无法控制自身动态的情况。比如,由于车辆内部的因素(例如总重量、重量平衡等)或车辆外部的因素(例如路面不规则和坡度、风等)造成车辆无法控制自身运动状态。
图1显示了在自动驾驶车辆从感知、判断到控制执行过程中,可能产生的安全干扰场景。

另外,标准指出,可利用积累的交通流观测数据和事故数据来确认实际发生的状况是否已包含于构建的理论场景体系中,以验证理论场景体系的充分性(即是否有遗漏),以及帮助将定性的理论场景体系的物理参数进行定量化,如将参数进行概率范围(即实际发生到什么程度)的量化,体现交通流缩影。
2/「安全原则」
标准支持以自动驾驶国际标准WP29提出的安全愿景(UN/WP29, 2019, WP29-177-19, framework document on automated/autonomous vehicles)为其安全原则。即:“Automated vehicles shall not cause any non-tolerable risk, meaning that, under their operational domain, shall not cause any traffic accidents resulting in injury or death that are reasonably foreseeable and preventable”(自动驾驶车辆不得造成任何不可容忍的风险,这意味着在其运营范围内,不得造成任何可合理预见和可预防的导致伤亡的交通事故)。
基于该原则的安全保障思路可在一个四象限矩阵中进行表达,如标准中的图3 所示。矩阵的左上象限表示“事故不可接受区域”, 该象限是可预测和可预防的,因此要求防止所有事故。矩阵的左下象限显示了不可预测但可以预防的交通状况, AD系统有必要学习属于这一类的案例,这对以后的AD系统开发很有用。矩阵的右上象限显示可预测但不可预防的情况,在属于此类别的情况下,缓解(减少由此造成的损害)是唯一的选择。最后一个象限(右下)是无法预见也无法预防的事故, 在这种情况下,保险等社会保障将成为主要焦点举措。

3/「安全性评价范围」
标准依据WP29对自动驾驶安全性分解的结构,给出了自动驾驶安全性验证的结构,如标准中的图5。图中的蓝色框范围正是该标准的评价范围。

其中“Pre ciritical conditions”(危险状况发生前)是指,存在着某种风险因素,但其不会立即影响动态驾驶任务的潜在风险(例如,载有要掉落的货物的前车),其安全性评价并不是目标。这是因为在潜在风险形成的时刻无法确定将来是否会碰撞,如果将潜在风险作为危险干扰场景,就应为这些潜在风险场景统一设定标准的话,但当出现设定标准结果以外的情况时,则可能导致采取错误的行为,反过来扰乱交通流。所以这种场景应对能力好坏评价的统一标准不适用,作为“Pre ciritical condition”要求的一个措施举例:与可能会碰撞到的周围物体保持足够的距离、遵守交通规则等可作为备选。
4/「安全性的评价技术」
基于物理原理的安全评价框架的关键应用首先聚焦于自动驾驶动态任务安全风险。自动驾驶动态驾驶任务(Dynamic Driving Task)的安全风险(safety risk)是指自动驾驶车辆与周围交通参与者或附近建筑物发生碰撞,所以首先要将该安全风险作为一个交通干扰场景体系化,针对该交通干扰场景体系,通过定义合理可预见(Reasonably Foreseeable)的范围和可预防(Preventable)的范围,从而落实到工程上可测量的形式。同时,基于这些交通干扰场景(Traffic Disturbance Senario ),再增加感知识别障碍或车辆干扰,可以通过验证不发生碰撞来验证自动驾驶系统的整体安全性,如标准中的图 6。

分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25