通用汽车2018自动驾驶安全报告
我们的自动驾驶车旨在消除人为驾驶失误——导致94%的撞车事故的主要原因-导致更少的伤害和死亡。
设想广泛使用纯电动汽车,减少车辆排放。我们的自动驾驶车都是电动的,有助于改善环境。
想象一下,不要在交通中耗费你一半生命。想象一下一个拥挤的城市,没有拥挤的道路、停车场和建筑,但有高效的交通和更多的空间。在任何时候,城市街道上每三辆车中就有一辆是在寻找停车位。对每个人来说,我们的技术将能更好地利用时间和空间。
想象一下内心的平静,知道无论我们的年龄,我们的人生阶段,还是我们的身体能力,我们都有自由去任何我们想去的地方。我们的自动驾驶车辆将会改进。为那些因年龄、残疾或其他原因不能开车的人提供出行方案。
让我们所有人走向世界的途径就是把硅谷的软件专业知识与底特律和我们世界各地团队的系统安全和制造专业知识相结合。以安全为核心,我们准备采取下一步行动。
我们的愿景
在通用汽车公司,我们设想一个零崩溃、零排放和零拥塞的未来:
零崩溃拯救生命
每年全世界大约有125万人死于车祸,仅美国就有40000人死亡。超过200万人受伤。人为失误是造成94%起撞车事故的主要原因。
零排放让我们的孩子生活在更健康的星球
汽车每年排放近20亿吨二氧化碳进入大气层。
零拥堵给顾客带来宝贵的时间
在美国,通勤者每年都要花费大约一个星期的时间在交通上。这一周没有花在我们所爱的人身上,做我们想做的事,做我们想成为的人。
我们的使命
通用汽车公司的使命是把我们的愿景变成一个零崩溃、零排放、零拥挤的世界。安全发展和规模化部署电动自行驾驶车将极大地改变我们的世界。
迎接cruise AV (叫cruise的自动驾驶车) 我们的零排放 自动驾驶车辆
你可能会觉得它看起来像任何其他车辆,但Cruise AV是从一开始就自动安全运行,没有司机。我们在设计、开发、制造、测试和验证的每一个步骤中都将安全性引入到车辆中。
我们的自动驾驶车是高度集中发展的结果,经过无数个小时的真实世界的测试和验证。它开车时不喝酒,不发短信,不会心烦意乱,不会累,不会分心,不会产生任何排放。
凭借其先进的传感器系统,Cruise AV有能力在360度和日夜看到周围的环境。它的设计目的就是识别人行横道上的行人,或突然进入其路径的物体,并作出相应的反应。它可以通过构造锥来操纵,让步于紧急车辆并做出反应以避免碰撞。
我们的自动驾驶系统从一开始就整合到车辆中,并且通过硬件和软件团队之间的紧密协调,我们评估了所有系统的潜在失效模式,并在整个开发过程中对它们进行了处理,以确保产品的安全可靠。这种全面、综合的安全方法,结合了世界上最复杂环境的测试,使我们能够安全地采取下一个步骤——从车上淘汰方向盘、踏板和其他手动控制。
我们的Cruise AV有潜力提供一个远远超出人类能力的安全级别。随着我们的经验和迭代改进的继续,我们将更接近我们的零崩溃的愿景。
如何设计安全车辆
通用汽车致力于我们所做的一切安全。随着安全成为最高意识,我们的自动驾驶车辆的发展过程也开始分析驾驶行为本身。我们分解了从A点到B点安全导航所必需的每一个动作,并确定如何在不同的位置和条件下执行每个动作。然后,我们通过仿真模拟测试挑战原型,以开发和完善每个车辆的系统使它们为可预测的,安全的驾驶共同工作。
我们设计并制造了一种自动驾驶汽车,以安全地在冒进的司机、马路客、骑自行车的人、运送卡车、建筑、无保护的左转、4路停车标志以及在城市中行驶时出现的无数其他因素之间进行安全操作。
为了安全地定义和处理所有这些真实世界的交互,我们把底特律、硅谷和我们在全世界范围内的团队结合起来,在设计、开发和部署中不断提高性能和安全性。
我们结合了底特律、硅谷和我们世界各地最好的团队。
我们开发了我们的车辆在一个最复杂的环境-旧金山-以确保我们的车辆可以安全驾驶,即使在最不可预测的环境和条件下。这一挑战帮助我们通过严格的测试来设置我们的安全系统。
我们的车队日益增长,每辆车都有一个共享的知识库,以便每辆车都能从中学习整个车队的集体经历。如果一辆车看到一条路是封闭的,其他人会自动避开。如果有一个危险的道路很冒险,一辆车可以通知成千上万的其他人以避免这个潜在的不安全情况。这种车队的学习能力仅仅是我们的汽车在超过有人驾驶方面的优势之一。这种组合的数据被用来提高每个单独的汽车的性能和安全性。
我们的迭代设计过程并没有停止最初的开发,我们将在GM车队部署我们的自动驾驶辆,在未来会持续改进。
我们不仅从我们在道路上的测试车队学习,我们也从不发生的事情中学习。我们结合从我们广泛的测试收集的数据与全面的安全分析,以确定额外的我们可能在道路上从没有经历过的潜在挑战。然后,我们确定如何最好地应对那些看不见的挑战。这都是我们的零崩溃愿景。
我们相信,一个安全的自动驾驶车必须从地面上建立,无缝集成自动驾驶系统。这正是我们所做的,从我们的全电动雪佛兰电动汽车宝腾来看,车辆平台设计是未来交通入口。
由技术和系统构建的计算机“大脑”
我们车辆自动驾驶能力的中心是计算机,执行必要的功能,了解车辆周围情况做出驾驶决策,安全地运输乘客。没有一种技术能让这种“大脑”发挥作用。相反,计算机使用各种安全系统的集成,包括:
安全建立计算机技术和系统的决策。
行为控制
使用安全、计划和控制的信息,并利用其他有人道路使用者可预见的驾驶行为,向顾客提供安全舒适的乘车体验。
机器学习
迅速提高计算机能力,例如通过感知识别某些物体和道路基础设施。
模拟
计算机系统,有助于快速发展,不断提高车辆性能。
感知
从车辆的传感器和地图信息中“看到”周围环境的3D空间和时间。
定位
随时知道车辆的位置。
绘图
在旅行时使用道路的高精度地图。
规划
知道如何使用来自调度和线路规划、感知、安全和绘图的信息安全地通过其环境。
远程辅助
在紧急情况下,根据需要连接乘客和远程操作员。
控制
将路线和决策从规划变成通过网络发送到车辆执行器的命令。
调度与线路规划
连接到操作中心以获取提取和删除位置,并使用绘图和规划数据来确定线路。
网络
将大量数据移动到车辆内的计算机和操作中心。
Cruise AV如何运作
让我们看看这些元素中的三个——感知、规划和控制——来展示Cruise AV如何感知它的环境并做出驾驶决策。
允许基于传感器“看到”以及可能隐藏的视图的安全操作。
- 照相机
- 关联雷达
- 激光雷达
- 远程雷达
- 近程雷达
在我们的自动驾驶车辆中,感知“看到”通过使用传感器来监测其环境。传感器向计算机提供信息,将传感器数据与高清晰度地图数据结合起来定位车辆。感知检测与分类对象,确定它们的位置并提供它们的速度和方向。它建立了一个三维模型来跟踪重要的物体。感知也预测物体的未来运动-行人和卡车有不同的预测运动。使用三维模型和地图数据,感知确定自由的,可驾驶的空间周围的车辆。
感知识别其他环境的不确定性。例如,通过知道它的位置,感知知道它必须在哪里寻找移动物体。如果它的视野被遮挡,感知将标记该区域为未知的。如果物体因雨或雾而难以看见,或者因为它隐藏在卡车后面,计算机大脑知道并相应地调整它的决策和性能。
这使得审慎的决策和操作既基于传感器“看到”,也可以隐藏在视图中。
我们的车辆:每秒计算10次路径,一次预测多路径,预测物体周围的运动
为了执行感知功能,车辆有五个LiDARs,16个摄像头和21个雷达。它们的组合数据提供传感器多样性,使感知能够看到复杂的环境。我们的LiDARs雷达和相机都能扫描长距离和短距离车辆周围360度空间。我们从激光雷达开始,它利用固定和移动物体的激光测量提供高度精确的反馈。雷达与激光雷达是互补的,因为它使用电磁脉冲测量,并且可以看到具有低光反射率的固体物体。我们使用激光雷达和雷达输入来测量运动物体的速度,允许快速、自信地确定速度。相机也是激光雷达的补充,因为它们测量物体反射或发射的光强,提供物体的丰富细节。我们将激光雷达和摄像机数据相结合,对目标进行分类和跟踪,从而快速确定高置信度。例如,这有助于识别行人、车辆类型和道路细节,例如车道线、建筑区域和标牌。我们互补的一组长距离传感器跟踪高速物体,如迎面车,以及短程传感器,提供车辆附近的移动物体,如行人和自行车。
随着空间和时间的理解,汽车计划其路径
在计算机的操作中,规划决定了期望的车辆行为。它规定了道路规则和计划路线,使汽车从旅行起点到目的地。它选择的路线,以优化效率和安全性,并只在其能力范围内的街道路线车。
规划行动是基于车辆位置,其他道路使用者的预测行动,交通管制,道路标记,道路规则和其他外部因素。规划每秒确定多条路径,并不断地选择最佳路径以满足不断变化的道路状况和事件。
如果发生意外,计划有多个备份计划。例如,当准备改变车道在十字路口向右拐时,另一辆车可能会积极地驶入目的地车道,使车道改变不安全。规划将已经有一条可选择的路线,例如,车辆可以绕过街区而不是阻塞其当前车道,而等待开路改变车道。
控制功能实现从规划的最终路径,将其命令转换为控制转向、节流、制动和驱动单元的致动器。我们设计了控制功能,使全自动驾驶系统的全机动性能与稳定性,牵引和防抱死制动系统完全活跃。
每一步安全
当我们创造和完善驾驶汽车的技术时,我们在整个车辆系统的设计、开发和验证中应用我们的全面的系统安全计划-机械、电气和计算机-并且我们每一步都要优先考虑安全性。
我们的系统安全计划结合了工程标准组织100多年的经验,和其他行业,如航空航天,制药和医疗,以及从军事和国防工业的验证过程。自动驾驶车辆需要系统多样性、鲁棒性和冗余性,类似于最先进的战斗机和深空卫星所使用的策略。
我们专注于每一个系统的能力,使车辆的计算机完全控制加速,制动和转向,并作出正确的决定,以安全地驾驶通过道路上的能力。这还需要彻底分析每个系统来识别安全风险和挑战,并消除或安全地管理每一个系统。
我们的系统安全过程有两个关键组成部分,共同工作,使我们能够创建一个安全的车辆设计:通过迭代设计的安全性,并通过全面风险管理和深度集成的安全性。
迭代设计安全性
我们的设计随着车辆及其系统的每一次迭代而不断改进。例如,Cruise AV是我们的第四代自动驾驶车辆。我们的团队设计和创建技术及系统,在现场和模拟中测试它们,然后将结果反馈到设计过程中。通过这种方式,我们将学习,尤其是安全数据整合到后代中。甚至更安全。我们一次又一次地这样做,在我们的自动驾驶车的核心上引入了新的技术和系统。这种迭代设计过程通过我们的深度集成得到加强,这使得自动驾驶系统从一开始就成为车辆的一个组成部分。这种集成的方法使我们能够建立我们的车辆与多样化的技术和冗余车辆功能。
全面风险管理与深度融合的安全
我们相信,一个真正安全的自动驾驶汽车不能简单地通过一种即插即用的方式在现有的车辆上增加一个自动驾驶系统。它必须建立在地面上,无缝集成自动驾驶系统进入车辆。迭代设计和全面风险管理的好处是基于车辆的深度集成。
全面风险管理是我国系统安全过程的重要组成部分。在整个设计、开发和测试过程中,我们全面的风险管理方法彻底地识别和解决风险,并验证解决方案。这是我们的系统安全过程的一个永恒的要素,它优先考虑消除风险,而不仅仅是减轻安全风险。
我们的自动驾驶车辆,包括所有自动驾驶操作所需的硬件和系统,满足我们所有的性能标准,碰撞保护,可靠性,可维护性,保证性和安全性。这个严格的过程意味着我们生产我们的自动驾驶辆,与我们为世界各地的客户每年建造的数百万辆汽车一样的高质量标准。
系统多样性与冗余性
我们的全面风险管理和深度融合过程的一个重要结果是系统多样性和冗余性,这是Cruise AV安全性的关键驱动力。
自动驾驶计算机
Cruise AV有两个主要的计算机系统同时运行,所以如果主计算机有问题,二级系统就可以接管。
车辆定位
通过许多不同的方法来估计车辆的位置,这意味着即使来自一个系统的定位信息变得不可用,车辆也可以使用由其他源产生的定位信息,例如来自激光雷达数据或来自惯性跟踪系统的定位信息。
电力
我们已经集成冗余电源和所有重要系统的配电。主电源通过高压电动车电池提供。如果电池失效,备用电池将为所有的关键传感器、计算机和执行器供电。
信号通信
如果主故障,计算机、传感器和执行器之间的通信具有替代路径。
转向制动
在我们的自动驾驶车辆中,转向和制动系统具有冗余的马达致动器、电力和计算机电子设备,因此车辆能够安全地响应并在故障期间保持执行。
感知传感器
传感器多样集成提供了自动驾驶系统可以检测、跟踪和分类周围物体的信心。视域范围重叠即使某个传感器失效也可以做到360度视觉无死角。
冗余碰撞检测
我们的车辆自动驾驶系统中集成了一个紧急迫在眉睫的制动系统校准作为备份,可以应用刹车停止汽车。
集成车辆健康监测器
跟踪所有监测车辆中的自动驾驶系统,并确定车辆的运行状态。
系统鲁棒性
所有关键系统已经通过侵入测试、测试轨道耐久性测试和广泛的道路里程累积来设计、测试和验证。
我们的生产过程支持安全
我们的自动驾驶车辆是在Michigan的Orion镇的装配厂建造的,每年都会生产成千上万辆汽车。我们的员工在那里建造我们的车辆,以达到质量标准-我们知道即使是最好的自动驾驶车辆也不会得到客户的信任或满意,如果它不是建立在质量上。我们的供应商制造其他组件,确保他们的质量符合我们的高标准。
我们的装配厂是最先进的设备。Orion自动驾驶汽车工厂是我们建造的一个大型基础设施,需要超过1000人协做和跨越75个足球场的区域。有数百辆装配车在轨道上迂回行进、旋转和爬升穿过设施,设备和工序都是经过几十年的磨砺。
这种完全集成的AV制造过程是建造安全可靠的自动驾驶车辆的最佳方式。
我们的部署将支持安全和持续快速改进
我们相信,我们的自动驾驶车代表着先进汽车安全的一个巨大飞跃,向我们展示了一个零崩溃的世界。实现这一目标的第一步是将这些车辆部署在乘坐共享服务中,以帮助公众更加熟悉这项技术。这将允许任何消费者(从早期采用者到怀疑者)亲身体验我们的自动驾驶技术。许多人也将体验他们的第一次乘坐全电动汽车,他们会看到电动汽车作为自动驾驶共享乘车是非常合适的。
在我们的控制部署中,我们的自动驾驶车辆只能在已知的GEO-FENCED边界行驶,只在我们开发了高清晰地图数据的道路上行驶。它们也只能在适用于整个车队的已知操作条件和约束下驾驶。我们将确保他们的服务和维护,使车辆的关键系统保持运行,并支持安全驾驶。
我们将监控车辆并收集它们的性能数据。由于这些数据被用来识别自动驾驶操作的改进机会,我们将更新所有车辆中的软件-因此整个车队将继续变得更好,我们的自动驾驶车辆也会这样。当一辆车遇到新的情况时,数据被送回操作中心,车队中的每一辆车都从中学习。
旧金山GEO-FENCED自行驾驶车队总览
乘车
当我们部署我们的自动驾驶车辆时,顾客们会使用手机APP来叫车,就像他们使用今天的共享乘车一样。唯一的区别是,客户将控制体验-他们定制的气候控制和电台设置将被发送到车辆前,当他们进入他们的旅程时。我们车队的操作将发送车辆到客户的位置,以接送和运到所需目的地。车内,乘客将找到触摸屏片来访问实时乘坐状态信息。平板电脑还将提醒乘客关上所有的车门并系好安全带。乘客可以通过按键来与远程辅助人员进行通信。还有另一个按钮,如果乘客因为紧急情况想结束旅程,在可能需要援助的某些情况下,或者如果乘客在旅程结束后忘记了车辆中的物品,则辅助人员也可以与车辆乘客进行接触。一旦乘坐结束,如果乘客忘记关门,车辆可以自动关门,并去接下一个客户。
安全要素
正如下面所讨论的,我们的自动驾驶车辆的发展,以及我们打算在通用汽车控制的共享车队中部署这些车辆,完全解决了NHTSA自愿指导、自动驾驶系统2中的12个安全元件——安全愿景。
系统安全
基于系统工程方法的稳健设计和验证过程支持设计无风险安全的自动驾驶操作的目标。
我们通过严格的系统安全过程的应用,将安全性纳入我们自动驾驶车辆的设计、开发和验证中。
下面是系统安全过程如何工作的总结:
设计有能力的系统全面分析安全性能
为了构建我们的自动驾驶车辆,我们设计、开发和验证了本报告中先前描述的综合能力。在这些过程中,我们的系统安全过程提出了两个问题,有助于开发安全性能。如果部件或系统崩溃或故障,车辆如何保持安全操作?而且,即使没有任何崩溃或故障,车辆如何在道路上建立安全的驾驶能力,以及它将面临的交通和天气?从一开始,我们对这些问题进行了严格的风险分析,从多个角度研究它们,并使用各种工具来解决它们。我们采用了自上向下的危险评估,如HAZOP(Hazard and Operability Analysis危险与可操作性分析)和故障树分析,以及自下而上的评估,如设计失败模式分析。通过这种方法,我们确定了自动驾驶车操作的风险,并提出了解决这些问题的要求。
使用正确的工程工具
当我们实现要求来识别所识别的风险时,我们使用各种系统安全工程工具来跟踪这些要求的性能。此过程适用于车辆的自动驾驶系统的所有部件。不同类型的机械、电气部件及系统需要不同种类的分析工具。分析和跟踪自动驾驶软件复杂操作的性能需要不同的用来分析机械和电气部件及系统的工具
下面我们重点介绍其中的一些工具以及如何使用它们:
演绎分析包括故障树分析(FTA),它将潜在危险与直接原因联系起来。
归纳分析包括设计和过程失效模式和影响分析(DFMEA/PFMEA),这是一种逐步识别设计中所有可能的危害的方法。
探索性分析包括危险性和可操作性研究(HAZOP),它通过分析复杂系统的功能来识别潜在的风险。
产品开发过程的实施包括在概念阶段使用过程危害分析来评估潜在的危害、设计过程中的软件HAZOP、系统FTA和DFMEA、系统功能接口分析(SFIA)和DFMEA在需求定义期间和DIMMEA在IMP期间开始阶段。
需求可追溯性分析管理工程系统与安全目标和随之而来的要求之间的关系。
使用这些工具,我们保持一致的方法识别风险,实施解决方案,并验证其有效性。
开发过程在自动驾驶车辆上的应用
根据我们已证实的工程和发展标准,以及适用的军事安全标准,我们致力于在可能的情况下消除风险。如果我们不能消除它们,我们将它们最小化以保持安全状态。在我们的设计要求中,有两个关键的安全性能阈值:第一,我们的车辆将安全运行,即使有一个奇点,是似而非的偶点,或共同原因故障;第二,我们的车辆将证明在规定的驾驶环境下,通过统计有意义的经验来实现安全驾驶行为。
第一个关键的安全性能阈值:
即使在关键系统中出现故障(故障操作功能),我们的车辆仍能正常运行。故障操作功能由车辆的备用系统启用,用于所有关键操作(系统冗余)。我们建立冗余到自动驾驶车辆的计算机,关键网络,关键致动器和关键致动器控制器。例如,如果车辆的主转向致动器发生故障,则在冗余系统中有另一个转向致动器来接管,从而减少车辆需要启动后退安全停止机动的可能性。在不可能的情况下,主系统和备用系统都失效,车辆可以安全地停止(故障安全功能)。
第二关键安全性能阈值:我们评估所有关键自驱动功能的操作。该分析包括定性和定量评价这些功能。这种方法被称为“预期功能的安全性”或SOTIFF。通过这个过程,我们建立了计算机的大脑将安全地处理它在公共道路上所面临的不可预知的情况。例如,在我们将车辆投入到一个有六个停靠站的城市进行无人驾驶的操作之前,我们的车辆将展示其在许多预期的交通、照明和天气条件下多次行驶六路车站的能力。这种训练,以及封闭的课程和模拟活动,解决了与导航六路车站相关的安全挑战。
制造支持系统安全
我们使用我们的“内置质量”方法来识别制造过程中可能出现的缺陷,就像我们的每一个其他生产车辆一样。我们有装配线质量检查的部件,我们建立,为子系统,我们建立,以及当组装车辆。这些检查帮助我们找到不符合我们规范的组件,并消除可能的缺陷。
通过城市试验证明系统安全性并通过经验证明安全驾驶
在我们的道路测试中,我们目前使用一组自动驾驶车辆,每个车辆都有方向盘、刹车踏板和加速踏板。这些车辆由受过训练的人类驾驶员(自主车辆训练器或AVT)监控。在道路试验中,AVT可以在必要或合适的情况下从自动驾驶系统接管控制,以确保安全。我们的车辆的数据记录器记录司机接管事件。我们从记录仪中分析数据来评估车辆的自驾驶性能,并决定是否更新软件。当我们更新软件时,我们在模拟中测试它,以确认它导致了接管事件的条件和环境,并且它比以前的软件驱动得更好。然后,我们在我们的道路测试程序测试更新的软件。
在旧金山的测试比单独在郊区进行测试,更能使我们更全面地开发车辆的自动驾驶技能。像旧金山这样的城市有更多的人、车和骑自行车的人,我们的自动驾驶车辆在任何时候都必须意识到。这种丰富的环境测试我们的物体探测、预测和响应函数。叠加预测——比如预测我们汽车前面的车辆会刹车,因为它将被一个骑自行车的人阻断,或者一辆在我们前面转弯的汽车会向人行横道中的行人让路——这是不寻常的。类似地,叠加机动——一起或快速连续管理多个道路挑战-往往是必要的。
当我们也在菲尼克斯测试车辆时,我们旧金山车辆预测的可能性是菲尼克斯的32倍。因此,旧金山对我们的自动驾驶系统的挑战更大,因为随着物体数量的增加,自动驾驶系统必须考虑的物体有可能成倍的相互影响。
操作设计领域
操作设计领域(ODD)指的是环境,包括位置、天气和速度,其中自驾驶车辆被设计为操作。
我们只在车辆能够满足我们的性能阈值的环境中部署自动驾驶车辆。我们使用我们的系统安全工程过程来确定适当的环境和条件。
我们对自己驾驶的车辆进行严格的测试和验证,使他们具备安全驾驶环境的技能和经验。通过我们的测试驱动器,在我们提出的潜在设计领域我们发现潜在的挑战。然后,我们确定,跟踪和实施这些挑战的解决方案。该过程不断提高自动驾驶系统的性能。我们测试和验证我们的自动驾驶车辆在各种各样的环境条件下,车辆可能会面对其操作设计领域-从驾驶场景,车辆将每天面对罕见的边缘情况。
我们的车辆ODD将包括车辆在城市中运行的街道,白天和夜晚的所有时间,以及轻度到中度恶劣的天气(例如雾或雨)。车辆将保持在指定的、事先绘制的区域内。车辆的计算机将这些绘制区域视为车辆的严格边界或地理围栏。因此,车辆将只选择完全落在绘制区域内的路线——每次转弯,每次出行。在地图上的区域内,车辆将能够遵守所有适用的交通法规。
当车辆检测到天气条件的快速或异常变化时,它将调整其如何操作以适应天气以及其他道路使用者的行为,例如当大雨期间交通减速时。在任何时候,我们的车队都将与集中式车队运营中心进行通信。这有助于我们的车辆避免ODD以外的地点和条件。
随着我们的开发和验证的继续,并证明安全性能,我们将扩大ODD到新的城市和更广泛的天气和速度条件。
对象和事件检测与响应
对象和事件检测和响应(OEDR)是指自驱动系统对与即时驾驶任务相关的条件和情况的检测和适当的响应。
通过我们的系统安全性和广泛的验证过程,在我们的车辆具有强大能力来检测和响应的条件和情况下,它可能会遇到的范围。
当我们的车辆看到并了解车辆周围的空间时,它会锻炼物体和事件检测能力。当我们的车辆计划它的路径时,它会锻炼物体和事件响应能力。这个故事还有很多。
我们车辆的OEDR功能包括检测车辆周围的环境,了解周围的空间,跟踪该空间中的物体,安全地规划其通过该空间驾驶路径,并执行防撞演习。
我们在动态的、真实的环境中进行的严格的道路测试使车辆能够获得经验,甚至是人类驾驶员发现挑战的情况下的检测和响应,例如调整到横穿的行人和骑自行车的人。为了验证车辆的操作和防撞能力,我们分析车辆如何探测和响应在正常的道路测试驾驶,以及在阶段和边缘情况下的场景。因为我们的自动驾驶车辆是从第一天开始自动设计的,我们可以建造车辆来优化它如何探测并响应出现的情况。例如,我们能够优化传感器的数量、类型和位置,以使车辆能够以最大的清晰度和精度感知环境。我们的集成设计过程还使车辆能够充分利用其控制系统来对事件做出反应。例如,如果另一辆车或人突然进入我们车辆前方的车道,车辆可以应用车辆制动系统的完全制动能力来快速停止车辆。
如上所述,我们的自动驾驶车辆使用冗余系统来提供备份功能。在有人驾驶的车辆中,如果系统失败,我们依靠一个细心的人类驾驶员作为后备。例如,如果动力制动器在传统的液压制动系统中失灵,则人可以通过比通常需要的更大的力来压制制动器来停止车辆。在我们的自动驾驶车辆中,冗余系统提供了备份。例如,如果车辆检测到潜在的碰撞和主制动致动器发生故障,则计算机仍然具有通过激活备用制动致动器来执行防撞操作的能力。
后退机制(最小风险条件)
.在自动驾驶系统存在问题时,后退机制是过渡到最小风险条件(安全状态),从而防止没有过渡的连续安全操作。
我们的自动驾驶车辆具有能够在必要时过渡到安全状态的功能,包括故障操作功能、系统冗余、故障安全功能和综合诊断。Cruise AV具有诊断所有关键自动驾驶系统以及安全操作所必需的其他车辆系统的连续显示状态。该车有两个主要的计算机设置,一个主要和一个备份。他们独立运作,同时进行自动驾驶决策制定。该车辆包括单独和冗余的网络连接计算机,以及一套全面的诊断监控能力。每一组计算机都有自己的诊断,提供了每台计算机诊断自动驾驶系统的其他计算机和其他部件的能力。此外,诸如转向和制动等关键功能具有独立和冗余的控制器和致动器。
如果发生故障,诊断系统确定适当的响应是否为故障运行状态或故障安全状态,并将车辆转换到相应的安全状态。当需要时,自动驾驶系统将以降低的速度操作车辆或拉到路边,并适当地执行安全停止。在所有的事件中,车辆的状态被不断地传送到自动驾驶系统内的计算机里,计算机利用这些信息来规划合适的路径和行动。
与我们的系统安全方法一致,我们的后退措施解释了我们通过风险分析确定的剩余风险。遵循军事系统安全标准的原则,尽可能消除风险,我们设计了我们的系统来应对许多状况,否则将需要退避措施,降低性能。
我们应用鲁棒冗余的一个主要原因是,车辆的后退机制允许尽可能频繁安全地继续操作。这是对我们客户最好的方法。
验证方法
验证方法验证了自动驾驶系统在操作过程中适当地降低了风险。
我们的系统安全过程支持我们的车辆的结构系统,功能系统,自动驾驶技能和自动驾驶性能通过经验的稳健验证。
当我们设计和开发我们的车辆时,我们的系统安全过程提供了一个全面的方法来识别安全风险及其潜在的根本原因。利用这些信息,我们确定了我们的车辆的设计要求,以满足我们的安全性能阈值。在开发过程中,我们跟踪这些需求是如何解决风险的。并对最终结果进行验证,使自动驾驶系统执行其定义的功能并可靠地工作。
验证包括轨道测试,阶段遭遇,测试案例和模拟来测试我们的自动驾驶辆本身对抗各种客观测试和性能要求。我们还验证了道路性能测试,我们收集数百万英里的测试数据,以显示在统计意义的基础上,我们的车辆是安全驾驶。
除了这些努力,我们正在进行关于人类驾驶行为的广泛研究。我们的研究包括分析现有的驾驶行为研究和进行新的驾驶行为研究,以扩展现有的数据集。这些研究有助于我们定义和分析自动驾驶系统的性能要求。
我们目前正在收集自动驾驶车辆在道路上的性能数据,包括行驶里程,撞车和接管事件,以建立在同一驾驶环境下比较人类驾驶员的驾驶性能进行统计分析。经过数百万英里的测试,在相关的操作领域,这些比较将使我们能够证明在奇数的自动驾驶车辆的安全性。
我们将常规系统验证与SOTIFF验证的自驱动能力相结合,彻底验证了系统的安全性。下面是我们如何实现这两种方法的例子。
我们常规验证过程的例子包括:
车辆、系统、子系统和部件级性能测试
基于需求的系统、子系统和组件的验证
安全关键控制输入、输出、计算和通信的故障注入测试
失效时间(在主路径故障时过渡到二次控制路径)和容错时间间隔内的安全状态转换的验证
侵入测试,如电磁干扰以及电磁兼容性测试,以及其他环境元素暴露测试(包括温度、湿度、RF、光能)
耐久性试验
基于回归和仿真的软件验证
我们SOTIF验证过程的例子包括:
自动驾驶系统对操作设计领域性能要求的系统暴露
识别和迭代测试挑战自动驾驶系统的驾驶场景和边缘情况
行使车辆的目标和事件检测和响应能力以及识别需要安全行为响应的环境对象和情况的能力
安全驾驶标准自动驾驶行为的定性与定量评价
人机交互
人机交互(HMI)是车辆与车辆内外人员之间的相互作用。
我们设计的人机界面是直观的,有助于客户驾驶我们的车辆。无论客户是否精通技术,或他们需要听觉或视觉适应,这都是事实。作为我们方法的一部分,我们识别和解决可能出现的挑战,从车辆与乘客的互动,或与车辆外部的道路使用者。
车辆乘员交互
客户将开始他们的互动与我们的自动驾驶车辆之前,他们在车里通过使用手机APP要求乘坐。一旦在车内,客户将使用触摸屏平板,并具有直观的界面,允许乘客控制HVAC和无线电,访问车辆的一般信息,并接收与当前行驶相关的实时状态信息。在旅程开始之前,平板电脑将提供有用的安全提醒,例如关闭所有的门和系好安全带。
通过按下按钮,乘客可以询问他们可能有的问题。车辆也将有OnStAR自动碰撞响应。具有超过20年的连接车辆经验,OnStAR可以有效地应对事故的情况下。内置传感器可以自动提醒OnStAR顾问并预测损伤的严重程度。顾问立即连接到车辆,看看乘客是否需要帮助,即使他们不能要求它。此外,红色OnStAR紧急按钮的推送使乘客可以优先连接OnStAR顾问。直接紧急服务到车辆的确切位置,并保持与乘客的沟通,直到救援到达。
顾客进入车辆并满足所有前提条件,如关闭车门并按下开始乘坐按钮,车辆将开始移动。在任何时候,有紧急情况的顾客可以通过发出停车请求来结束旅程,车辆将在下一个可用的安全地点停到路边。如果车辆有故障,它将向乘客提供解释信息,并提供与远程操作员的通信。
可访问性:车辆将容纳听觉和视力受损的个人,使他们能够体验我们的自动驾驶车辆服务。这些住宿将可在手机APP和车内体验,包括车载平板电脑和与我们的远程运营商的通信。有了这些设施,我们的自动驾驶车辆将为许多不能自己驾驶的人提供出行。
与其他道路使用者的交互
我们的自动驾驶车辆被设计成与其他道路使用者互动,以期望从事安全驾驶实践的典型的人类驾驶员。我们的系统安全方法要求Cruise AV了解其他道路使用者的行为,包括行人、骑自行车者和骑摩托车者,并解释这些行为以便安全地操作。我们的方法也是驾驶要求来理解和遵循与其他道路使用者相关的法律。
与第一响应者交互
在引进新技术的同时,我们有着与公共安全和急救人员合作的悠久历史。我们的OnStAR业务多年来一直与执法和其他第一反应者教育他们,并获得他们对OnStAR体验的投入。当我们推出革命雪佛兰Volt时,我们进行了全国性的安全旅行。我们采访了国家消防局、国际消防队协会、国际消防协会、公共安全通信官员协会、消防局长、警察局长和911个呼叫中心。我们在全国范围内培训了超过15000人的与Volt相关的安全协议。我们建立的关系、对安全的承诺以及在新技术培训方面的经验为我们介绍自动驾驶车辆提供了很好的准备。当我们推进这项新的安全技术时,我们将通知、寻求反馈、以及其他协助公共安全官员和第一反应者,以便他们在部署这些车辆时做好准备。
此外,我们的自动驾驶车辆将具有双向通信能力,允许第一应答者与远程顾问进行通信,如果需要的话。
车辆网络安全
网络安全保护车辆控制系统和客户信息未经授权的访问
网络安全保护自动驾驶系统和其他关键车辆系统的操作免受恶意干扰,并支持高客户对我们车辆的操作和使用的信心。
我们的专用网络安全专家与其他自动驾驶车辆开发团队整合,将网络安全建设到我们的系统安全工程过程中。该团队分析和解决了网络安全的所有车辆控制系统,以及任何自动驾驶车辆连接的服务(如OnStAR),移动应用程序和车内应用程序创建的自动驾驶体验。开发团队使用集成系统安全工程实践和“安全设计”策略来解决整个自动驾驶车辆生态系统的安全要求。
与车辆的其他领域一样,充分利用分析和评估工具,如软件扫描和威胁模型,驱动响应网络安全风险的设计特征。这些特征基于“深入防御”的方法,包括各种减轻控制,例如设备注册、消息认证、安全编程和诊断以及入侵检测和预防系统。在实施和验证过程中,我们使用附加的工具,例如渗透测试,验证实施是否达到了消除和最小化风险的目标。此外,我们的主动车队管理过程将允许服务技术人员定期监测车辆安全相关的异常。如果部署过程中需要,我们有强大的事件响应能力,以监测和解决潜在的新的网络风险。
我们与许多第三方合作,维护和提高我们的网络安全能力,实施和推进网络安全指导方针和标准,并支持行业网络安全实践的增长。这些活动包括与我们的供应商,合资企业,各种汽车和安全财团,政府机构,安全研究社区和汽车ISAC。此外,我们还定期评估NHTSA、NIST、Auto ISAC等公司的安全措施。行业专家。
耐碰撞性
在发生碰撞时保护乘客(例如,当另一辆车撞上自动驾驶车辆)。
防止碰撞的最好方法是避免碰撞。我们的目标和事件检测和响应系统的设计就是这样做的。
对于确实发生的撞车事故,我们对车辆乘员保护系统性能的工程和验证考虑了集成到车辆中的自驱动系统。我们的性能测试(包括碰撞测试)涵盖了包括自驱动系统在内的整个车辆的性能。
我们的自动驾驶车辆结构是基于雪佛兰宝腾电动车。我们分析了结构完整性,考虑到增加了几个新的关键系统(例如,传感器屋顶模块,传感器清洗和干燥系统,电力备份系统)。数据管理系统)给车辆。这项工作支持我们的集成结构耐撞性战略,从程序的早期阶段开始,包括:
工程负荷路径管理碰撞力,以保护乘员空间在正面,侧面,后方和翻滚崩溃;
电池外壳结构,其在碰撞中保护内部电池空间;
车辆地板增强件在碰撞中分配载荷并保持乘员空间。
我们已经完成了充分的模拟和碰撞测试,我们的自我驾驶车辆原型,以显示上述要求的有效性。
当我们取出车辆不需要的东西——方向盘、刹车踏板、加速踏板和其他人的驾驶控制时,左前座椅变成了另一个面向前方的乘客座椅。除此之外,自驱动车辆座椅布置与当前雪佛兰螺栓EV相同。我们设计了左前排乘客座椅的安全气囊和安全带,以满足相同的伤害防护标准,包括联邦机动车安全标准(FMVSS)中规定的那些作为右前排乘客座椅的标准。而对于系统以外的左侧前排乘客座椅,车辆符合所有联邦耐撞性标准。
自动驾驶车辆将容纳客户安装FMVSS认证儿童座椅后排的儿童。
我们的全电动自动驾驶车还包括电池安全措施。它包括电池室的增强结构,并配备了碰撞安全系统,在碰撞时切断电源,使其对第一响应者更安全。
碰撞后行为
撞车后,车辆应返回安全状态。
我们对碰撞后的行为的要求既考虑到物理安全,也指碰撞事故时的标准做法。
一般来说,在撞车后,车辆将进入安全状态。通常,车辆将自动施加制动器以使车辆在初始冲击之后以受控的方式停止。内置传感器将自动提醒一个OnStAR顾问,谁将迅速连接,看看乘客是否需要帮助,并与现场的第一反应者沟通。如果乘客没有反应,OnStAR顾问使用GPS技术来确定车辆的确切位置,并要求紧急救援立即发送。自动驾驶车辆碰撞响应系统也将打开车门并在事故发生后打开危险灯(闪光灯)。
我们的物理安全系统结合了上面讨论的安全措施。除了在发生碰撞时切断电源的电池断开外,车辆还具有第二电池断开。该断开位于后座下方,旨在由第一响应者或服务技术人员使用。
数据记录
从碰撞数据中学习是自动驾驶车辆安全潜力的重要组成部分。
我们的自动驾驶车辆有两个数据记录功能。常规事件数据记录器(EDR)和第二鲁棒数据记录系统。数据采集系统可靠性高,具有自诊断功能,安全可靠地存储数据,防止数据丢失。数据记录系统被设计为失败操作,并且即使在崩溃的情况下也能保持数据完整。如果发生碰撞,数据记录系统存储来自车辆的预定义数据。所收集的数据包括关于传感器、车辆动作、任何退化行为、故障和用于事件重建的其他信息的信息。
除了撞车,我们的车辆稳健的数据记录能力提供了车辆性能在正常驾驶和避免碰撞情况下的信息。我们有多个国家的IT团队建立计算机系统来存储和处理从我们的车辆中检索到的数据。利用这一检索的数据,我们可以评估设计和驾驶性能在车辆的开发和部署,并为未来的自我驾驶车辆的持续改进。
消费者教育与培训
在自行驾驶车辆的部署过程中,教育和培训对于提高安全性至关重要。
在开发过程中,我们考虑消费者需要知道什么与我们的自动驾驶车辆互动。该车是为一个直观和熟悉的用户体验在乘坐共享服务。移动应用程序、车载触摸屏和其他用户界面将提供有用的信息和安全提醒。因为我们将部署我们的车辆在自驾游共享服务,消费者将不会在车辆本身的运作中发挥作用。直观的界面,加上与远程支持人员交谈的能力,将提供客户需要的所有信息。
当乘坐共享服务启动时,我们计划发布材料告知消费者当使用服务获得乘坐时会发生什么。这些信息将解释如何请求乘坐,如何识别被指定的行驶的自行驾驶车辆,在行驶过程中会遇到什么,以及在结束时会发生什么。
联邦、州和地方法律
在我们的系统安全过程中,我们制定符合联邦、州和地方法律的要求,并分析这些要求在我们的安全发展计划中的影响。
联邦法律
我们的自行驾驶车辆将遵守联邦法律。该车辆将满足所有适用的联邦机动车安全标准(FMVSS)。如果FMVSS不能满足,因为它们是基于人为驾驶员的要求,车辆将满足这些标准的安全目的,我们将申请豁免(允许通过替代手段满足标准的安全目的)。我们已经向游轮AV提交了这样一份请愿书。
我们也正在与工业集团和国家安全技术研究所合作,开发新的FMVSS(a)去除不必要的
新的自驾车车辆安全技术的障碍,(b)提高自驾车辆技术的安全性。
自动驾驶车辆也将遵守有关燃料经济性、排放、噪音、危险材料和标签要求的联邦法律法规。
州和地方法律
我们设计的Cruise AV能够符合国家和当地法律适用于其操作设计领域。
此外,我们将遵守与非交通有关的州和地方法律,如保险要求、与现场事故和干预有关的报告要求等。我们将与第一反应者沟通和教育我们的自动驾驶车辆如何执行当地法律要求(如哪里可以找到登记和保险)以及什么第一反应者可以遇到我们的自动驾驶车辆。
不断创造和改进新技术
我们不会停止。我们正在增加我们在加利福尼亚、密歇根和其他地方的人才名册,我们正在用新的组件和系统技术扩展我们的能力。所有这些都将提高安全性和性能。我们正在开发新的计算机系统和传感器技术,如激光雷达,以使技术更能负担得起和可供客户使用,并继续提高我们的自动驾驶汽车的安全性能到远远超出人类驾驶者的水平。我们的自动驾驶车辆有可能减少车辆坠毁和拯救生命,减少车辆排放,减少交通堵塞,节省人们的时间,使交通更加方便更多的人-使我们的世界零崩溃、零排放、零拥塞的愿景更接近实现。
编辑推荐
最新资讯
-
荷兰Zepp氢燃料电池卡车-Europa
2024-12-22 10:13
-
NCACFE -车队油耗经济性报告(2024版)
2024-12-22 10:11
-
R54法规对商用车轮胎的要求(上)
2024-12-22 10:10
-
蔚来ET9数字架构解析
2024-12-22 09:53
-
4G/5G网络新时代的高效紧急呼叫系统NG-eCal
2024-12-20 22:33