2019年,美国国家公路交通安全管理局(NHTSA)发布了一项调查报告,在死亡率上,2019年的数据大约是汽车平均行驶1亿英里,死亡1.1人。
导致汽车事故死亡率的因素主要有两个:一是每辆汽车发生事故的次数,二是每次事故所涉及的乘客数或行人数。每辆汽车发生事故的次数取决于驾驶员和车辆安全技术,而事故所涉及的乘客数或行人数并不仅仅取决于车辆本身或是驾驶员,还取决于违规的行人数,或是不可避免的客观原因等等。此外,自动驾驶系统毕竟不是人类驾驶员,系统是与汽车“捆绑”在一起的,而人类驾驶员则可以从汽车上离开。
所以,美国“汽车平均行驶1亿英里,死亡1.1人”的统计说法是有误导性的。
更合理的统计方式应该是致死事故的数量与汽车行驶里程数(VMT)的比率。每百万车辆的年均死亡司机数约为30名, 死亡率不到 2%(见图7),且每辆车每年行驶约 12,000 英里,我们估计事故发生间隔约>3百万VMT。因此,如果我们想要获得一个置信因数,就需要对自动驾驶汽车(AV)进行相当于 5000 万英里自然行驶里程的测试,该测试可以在一年内使用1000辆车完成,每辆车每天在公共道路行驶300英里。
人类的表现与最顶级自动驾驶汽车每次差错之间的间隔存在着大约 104 英里的差距。考虑到差错比发生事故的频率要高得多,而事故的致命率只有不到 2%,对有限的运营设计域(ODD)而言,这个差距大概在10x-100x的数量级。2017 年至 2018 年,自动驾驶(AV )涉及了超过 100 起事故。比较AV 事故与 SHRP 自然驾驶的研究数据可得:与一般驾驶员群体相比,自动驾驶涉及的伤害和财产损失要更多。大多数事故发生时的速度都很低,通常低于15英里/小时,且一般是人类驾驶员追尾 AV驾驶车,很少是AV的错误。尽管如此,对事故描述的进一步分析表明,在可避免的事故上,自动驾驶汽车的表现比普通驾驶员车辆差很多。此类避免应成为主要指标(而不是次要指标)。
利用车联网采集可靠的场景频率数据,酌情对比自动驾驶车辆和人类驾驶汽车的安全性
当我们就指标和目标达成共识后,接下来就是对数据的采集了,那么对数据的采集有什么要求呢?
采集的交通数据应支持将 AV 性能与驾驶员性能进行比较。
根据美国道路安全管理局( NHTSA)的全国机动车事故原因调查(NMVCCS)数据库,我们对 94% 人为错误导致的事故进行分析。结果表明,41%的人为失误的原因是感知问题,33%是决策错误,11%是性能错误(其中一半以上归因于非性能错误)。另外,IIHS和HLDI对现有原型测试进行了评估并得出以下结论:“我们敦促 NHTSA 尽可能视[制造商]豁免共享测试数据……来证明[AV]的设计采用了对人类驾驶员的认知和决策做出改进的方式。”
我们可以在场景中去测量车辆安全性。
例如,我们可以在一个跟随车辆的场景中去测量汽车的碰撞概率。如果使用的是贝叶斯方法,这个测量值则用P(crash|scenario)表示。根据采集到的数据,我们可以来对比人类驾驶和AV驾驶所发生的碰撞概率。但不幸的是,以传统方式收集的数据,是远远不足以来支撑我们完成测量的。
现在我们具体来说说如何测量安全性。
在NHTSA的报告中,某些数据是用来表示事故前的场景分布,用P(Pcrash|scenario)表示。为了估计P(crash|scenario)的目标度量标准,需要用到以下贝叶斯公式:
贝叶斯方法的优点是可以对智能里程进行定量说明,通过仿真的方式倾斜先验P(scenario)值,可以用一个因子提升小概率事件的发生率,例如α=1000X,其结果可以提升估计P值的有效性,这是针对同一个α=1000X而言的效率。
对于P(crash)和 P(scenario),可以根据一般的碰撞数据估算先验 P(crash),如果给定碰撞前场景数据,估算P(scenario/crash)需要先验P(crash)和 P(scenario)知识。并通过对从车辆仪表中提取的情景以及车联网公司收集的UBI数据分类来评估先验的 P(scenario)。
改进安全工程方法和技术标准,需要兼顾多项动因。
对于AV来说,提升安全性将会面临什么挑战?
结合美国交通运输部国家公路交通安全管理局(NHTSA) 的报告中对碰撞前的情景的回顾以及图2来看,只有很小一部分(不到 1%)的撞车事故归因于车辆故障。因此, AV安全是一个多主体问题:如图1中所示,约 30%的碰撞事故只与单个车辆相关的,而约 63%的事故涉及 2 辆车辆,约 6.3%的碰撞事故则涉及 3 辆或更多车辆。而且,在 37 种碰撞场景中,有 22 种涉及多辆车辆。
图1 每个 NHTSA 的崩坏分布
图2 设计车辆的严重性
目前的主流安全工程方法,例如故障树分析( FTA ) IEC 61025, 失效模式影响分析(FMEA)和标准,例如美国联邦机动车安全标准(FMVSS)1 系列,和功能安全标准 ISO-26262,这些标准都聚焦于单车故障,适用于人类驾驶车辆。
相比之下,对于具有与人类相似驾驶责任的 AV 驾驶车, 这种概率仅占事故的不到 1%,因此占风险的不到 1%。因此,FTA、FMEA 模型和技术标准(例如 FMVSS 和 ISO- 26262)的需要考虑到驾驶员行为和其他交通参与者等多个方面。
场景实例
我们用两个真实的场景实例来举例说明自动驾驶汽车所面临的安全性挑战。
实例场景1#前车倒车撞向后车
2018年11月发生了一起自动驾驶短驳车剐蹭事故,这是NHTSA报告中一个极具代表性的双车场景。该辆短驳车偶遇一辆正在倒车卸货的半挂式货车,伴随着相应的警报音,短驳车上的乘客们看着货车缓缓倒车;如图3所示,货车最后剐蹭到了短驳车,但无乘客受伤。
图3 短驳车剐蹭实例
市政府官员表示:“短驳车已经做了该做的,传感器已经感知到了货车,而且停了下来。”但是人们并不接受市政府的回应,因为,如果卡车再往前一米,就可能会把载满乘客的短驳车掀翻。乘客们表示,“我们身后大约有20英尺的空街道,大多数人类司机会选择倒车,利用其中的一些空间远离卡车。或者至少按喇叭,引起货车司机的注意,让他知道我们在货车的前方。"
显然,在这种双动因场景下,要求自动驾驶车辆必须包含倒车这一执行动作,来避免可能发生的事故。根据NHTSA的统计数据,倒车撞车事故在所有车祸中的占比超过3%。在开发阶段未能包含这一要求,并且在产品发布前亦未能进一步予以验证,实属失当。
该示例表明,应明确流程的要求,以主动避免由于其他交通参与者的加入造成的碰撞。
实例场景2#前车转向
在2018年6月进行的测试中,NHTSA展示了在三车场景下,ADAS的常用系统——自动巡航系统的安全性。如图4所示,测试结果如下:
步骤1:启用ADAS巡航系统跟随前车;
步骤2:前车转向右车道,以避开前方的静态障碍物;
结果:自动驾驶车辆面对静态障碍物,没有刹车,并撞上了该静态障碍物。
图4 自动驾驶巡航系统撞车事故
这个实例反映了一个普遍存在的问题,截至2019年,在路上行驶着的百万车辆中,其搭载的ADAS传感器只能分析正前方的车辆状态,但无法分析在前车前方的车辆状态。在2019年的所有最新车型上,所部署的ADAS系统均出现了这个问题。
这个2018年6月12日的测试实例,测试车辆便是特斯拉!针对这种情况的探测雷达,在2016年就开始研发设计了。足以证明,这是我们目前所面临的严峻挑战:根据NHTSA的统计数据,前车转向所导致的事故,在所有车祸事故中的占比超过1%。
这个例子代表了场景的全部阶段,如图5所示。
图5 自动驾驶巡航系统撞车事故类似场景
该障碍物有可能是是停下来让行人安全通过的车辆。或者,障碍物可能是地图上没有出现的坑洼或积水路段。类似的障碍物可能是一棵树、一位行人或其他落在道路上但没有被绘制显示出来的物体。
很明显,“跟车场景”中有无数的可能性,为此,自动驾驶系统必须比人类驾驶表现得更好。
所以,我们要求测试的三车场景,其中就包括了“前车转向”的场景。
常用的六种安全测试方式
对现车测试:使用一辆带有自动驾驶系统的汽车,直接对其进行测试。这种方法所面临的挑战是,建立无数复杂的多方环境,需要消耗高昂的成本。
合规测试库:制造商可以提供预先编程的合规性测试库。这种方法同样受到实现对无限复杂多方物理测试环境的充分覆盖的高昂成本的阻碍。对合规性测试的提前了解可以让工程程序被修改成专门针对通过测试的样子,这降低了可靠性。
外部控制器:远程操控AV的方式通过不让制造商看到测试过程,扩展了上述测试库的方法。该选项依赖于未开发的技术,因此可能涉及到安全风险。此外,这一选择同样受到实现充分覆盖的高昂成本的阻碍。
仿真测试:由测试机构控制的仿真环境性价比高,并且克服了实现覆盖的障碍。最大的挑战是确保仿真结果的有效性和可再现性。最先进的验证方法目前还不成熟。
技术文档:技术设计文件和测试结果审查对于非自动驾驶系统是有限的,静态代码审查通常用于测试开发和正确性审查。挑战是文档化例如神经网络的设计,不能提供关于其功能和可靠性的信息;关于可解释性,也不清楚哪些文件是必要的和足够的。
替代车辆:使用人工驾驶的替代车辆来评估AV的性能。该选项仅适用于级别3,然而验证等级4和5的可靠性的时候必须是不带司机的。
标准方需要承认,如图1所示,我们必须考虑多方场景的全部范围,而不是扩展当前的方法。
图6 100年前的事故
2019年的情况类似于20世纪初汽车发展的情况。当时,交通指示和规则还不被理解。驾驶考试条例直到20世纪50年代才颁布,整整两代人之后!没有交通安全的基础,早年的驾驶是混乱、压力大和危险的。事故照片如图6所示,"尖叫的行人像保龄球一样散开,有些人被撞倒或撞向店面。"
下篇《危害与风险》将详细阐释风险评估的方法,并阐明了潜在不失效条件如何导致了不安全的结果。同时提供了一种危害建模方式——驾驶回路,在该方法中,通过训练感知算法来测算危害,并且利用决策逻辑,主动避免事故发生。请持续关注牛喀网。
另外,由于SOTIF的出现相对较新,能检索到的、有实用价值的资料不多,如何能将它有效地落地仍处于探索阶段。目前有自动驾驶产业链上各个企业的需求和探索、有相关的SOTIF专题研讨会,但大部分还没有成型的、深入的项目应用。