本文内容源于SAKURA – SIP-adus – HEADSTART联合发布的自动驾驶安全评估方式协调发展的白皮书《TOWARDS THE HARMONIZATION OF SAFETY ASSESSMENT METHODS OF AUTOMATED DRIVING》。
1、介绍
目标
本白皮书旨在通过目前由日本政府和欧盟委员会研究计划牵头的不同举措,总结和协调在自动驾驶安全评估方法背景下开展的活动。
白皮书的目标是:
-
汇编并展示每个地区针对该AD安全评估开展的不同举措,并展示他们正在开展的一般研发计划; -
确定与安全评估相关的哪些主题和/或挑战已成为每个参考倡议的研究对象,以评估它们正在取得具体进展的领域; -
尽可能协调迄今为止取得的成果,并确定可在区域内和/或在未来的研发计划中鼓励和促进的进一步协调的潜在活动。
意义
自动驾驶安全评估方法是一项复杂的、多方面的挑战,涉及多个并行的研究领域和技术专长。值得注意的是,它们还依赖于几种成熟度不同的技术。在这些安全评估方法与安全保证框架相关的情况下,需要考虑其他因素,例如监管需求。因此,难以评估不同方法之间的直接比较,需要仔细识别和商定潜在的协调工作。
在本文中,参与者之间就如何确定最有希望的协调主题达成了初步协议,以促进进一步的行动。这种方法将通过一个系统的程序来实现,该程序使每个项目都可以独立处理。本白皮书的范围仅限于减少相关项目的数量,但所应用的系统方法可以扩展纳入到其他国际活动。本文还促进了日本和欧洲在这些不同举措的国际层面上的合作,并支持(联合)活动的传播和交流。
日本关于自动驾驶安全方法的战略计划
SAKURA
SAKURA 项目(Safety Assurance KUdos for Reliable Autonomous vehicles)是日本经济产业省 (METI) 根据自动驾驶技术商业讨论委员会制定的战略资助的协调举措之一。该委员会成立于 2015 年 2 月,负责监督全日本工业、学术界和政府部门的计划,包括自动驾驶服务部署路线图、示范测试和协调领域的工作。
SAKURA项目一期工程于2018年年中至2021年3月结束,二期工程于2021年4月开工。本文所载内容与SAKURA项目一期成果有关。SAKURA 项目的第二阶段将考虑本文的成果和结果。
SIP-adus
跨部委战略创新促进计划(SIP)致力于推动研发从基础研究阶段到产业、学术界和政府合作的社会实施无缝衔接。SIP 的Automated Driving for Universal Services (SIP-adus) 一直在推进研究和开发活动,旨在解决当今社会关注的问题,包括减少交通事故、缓解交通拥堵和为行动不便的人提供交通工具,例如居住在偏远地区的老年人等问题。
SIP-adus 的第二阶段(FY2018 至 FY2022)由 4 个支柱组成;技术开发、公众接受度、国际合作和测试场测试。ADS(自动驾驶系统)安全保证的虚拟验证平台是技术发展支柱的重点主题之一。
与 HAD 相关的 Horizon 2020 计划
Horizon 2020 是欧盟委员会开展的最大的欧盟研究和创新计划。Horizon 2020 旨在实现智能、可持续和包容性的经济增长。自动驾驶被列为该计划的关键研究课题之一,特别关注改进其技术准备、加速其部署及其相关的社会效益。
HEADSTART(Harmonised European Solutions for Testing Automated Road Transport,用于测试自动化道路运输的欧洲统一解决方案)项目在 ART-01-2018 主题中获得批准:基于试点测试数据的各种交通场景下高度自动化驾驶功能的测试、验证和认证程序。该项目于2019年1月开工,2021年12月竣工。
2、自动驾驶系统安全评估方式的研究现状
安全评估方法:必须
道路交通系统的技术创新迅速接踵而至。数字化取得了快速进展,进一步连接了车辆和基础设施,并增加了协同移动解决方案的可能性。同时,进一步提高车辆的自动化程度,特别是对于穿梭巴士、公共汽车和乘用车等交通工具的自动化程度。目标是为驾驶员和乘客提供更多的舒适度,提高移动系统的效率,同时减少人类作为驾驶员的角色,并减少当前车辆中最大的交通事故来源。
自动化解决方案变得越来越复杂,驾驶功能变得越来越集成。当前进入乘用车领域市场的系统可以在部分行程中完全接管人类驾驶员对车辆的控制。一项在 新 UN-ECE 法规下,ALKS(高级车道保持系统)在条件允许下,驾驶员可以在此类驾驶阶段将手从方向盘上移开,并将眼睛从道路上移开。这些系统可能会显著影响道路安全,因为它们对机器和人类驾驶员都构成重大挑战。在这种情况下,机器将负责驾驶,无论可能发生的意外危急情况如何,不会出现紧急后退(fall-back)的可能性,即移交驾驶权给人类驾驶员。相反,人类驾驶员必须始终了解车辆的模式,将所有驾驶责任委托给系统,并冒着过度信任它的风险。除了驾驶技能,人类驾驶员可能还需要额外的培训来操作这些车辆。目前,这既不是驾驶培训的一部分,也不是驾驶执照评估的一部分。这些限制不仅存在于具有更高自动化水平(SAE J3016、L3 和 L4)的车辆的操作中,而且还存在于具有当前最先进的 L1 和 L2 ADAS 功能的车辆中。
要求车辆管理部门允许此类车辆上公共道路。然而,此类创新车辆的型式批准的适当系统尚未到位。道路管理部门明确表示需要为现有的批准和安全评估类型建立一个框架,即:
-
能够应对这些巨大的挑战和技术的快速发展,包括现在和未来。应考虑数字化(包括 V2X 通信和定位)和人工智能的发展。此外,需要考虑系统日益增加的网络攻击脆弱性。 -
在所需的测试工作中是可行的。系统需要针对车辆在其生命周期中可能遇到的所有可能场景进行测试。预计虚拟测试将发挥越来越大的作用。 -
根据欧洲法规 (UN-ECE) 和 ISO、SAE 等国际标准,安全评估方法需要与此类标准建立联系,并且需要依据这些标准以符合国家和国际政策和法规。 -
能够与注意力不集中、操作和驾驶车辆的人类驾驶员进行角色转换。在安全评估中必须考虑从人类驾驶员到车辆的频繁来回控制转移,特别是在由于意外情况或道路上的事件导致的计划外转移。 -
公平、可解释和可理解。尽管车辆系统很复杂,评估程序也可能很复杂,但评估结果应该是明确的,该领域的专家易于理解,并且可以向政治家和公众解释。这种框架中的一个重要指标是允许车辆上路时的剩余安全风险。风险的概念被广泛理解,基于该概念的安全评估有助于达成公平和可接受的评估过程。
Euro NCAP 等消费者组织表达了类似的需求,即提高安全性、大幅减少交通死亡和严重伤害,并告知消费者新开发的 ADAS 和 AD 功能可以提供的潜在安全利益。
SAKURA、SIP-adus 和 HEADSTART 项目旨在通过结合不同测试方法的结果对安全风险进行评估,实现满足已确定需求的基于场景的安全保障方法。例如,虚拟测试(模型在环,MiL)、硬件在环测试 (HiL)、试验场测试和现场操作测试。要定义相关性和实际测试用例(独立于测试方法),需要一个或多个完整的场景数据库可用。场景数据库应提供当前可能场景的视图(及其变化,也取决于地区、交通规则和驾驶文化)。它应该提供一个场景如何随着移动系统的变化而演变的视图。场景应涵盖名义上的日常驾驶以及更罕见和极端的情况,例如边缘和角落情况。 基于场景的方法需要在综合安全策略中进行情境化,并且应解决安全的其他补充方面,包括功能安全(例如,ISO 26262)、预期功能安全(例如,ISO 21448)或网络安全(例如,ISO 21434)。
评估车辆的安全性能需要对车辆进行预定义的测试和审核,清楚地了解结果何时令人满意。正在开发度量和参考(度量结果值的可接受标准):
-
剩余的安全风险提供了一个被广泛接受的安全指标。2020 年发布的 UN-ECE 对 ALKS 的规定表明,互联 ADS 应不存在合理可预见和可预防的安全风险。合理可预见的风险可以基于场景数据库统计。 -
如何确定可预防的安全风险需要进一步评估剩余的安全风险。作为安全参考,可采用训练有素、细心且健康的人类驾驶员的概念。
3、日本 — 自动驾驶安全保障活动
图 1 提供了与 ADS 安全开发过程相关的日本主要 AD 安全保障战略活动的示意图。这些活动的共同目标是开发一个可扩展的虚拟平台,以支持 ADS 的安全规划、设计和评估。
SAKURA 开发了基于场景的安全保障方法和与 SIP-adus DIVP 虚拟环境连接的场景数据库。产品发布后,其他几项活动包括收集传感器数据以将复杂场景反馈回数据库的现场操作测试。
4、日本的项目和举措
SAKURA 项目的第一阶段是通过日本和国外的车辆工业和交通安全研究机构的共同努力,协调数据采集、开发研究方法和协调标准化活动。在此阶段,范围仅限于 L3 级及更高级别的系统,并且主要关注限制进入的高速公路。SAKURA 安全保证方法主要依赖于基于场景的方法,重点是物理原理方法,并专注于开发完整的场景生成过程和工具,包括场景数据库。 下面简要介绍了物理原理方法,然后定义了用于指导 SAKURA 活动的场景生成过程。
SAKURA 物理原理方法
在实际交通中,通常认为 AD 系统可能面临的与安全相关的干扰因素的数量是无限的。通过采用基于场景的安全评估方法,促进大量变量的操作并有能力对这些变量进行场景测试。相反,由于 ADS 在实际交通情况下可能遇到的安全相关场景的数量较多,AD 如何安全地响应这些场景在物理原理方面存在限制。目前,ADS 将动态驾驶任务 (DDT) 分解为与一个或几个特定物理原理相关的感知、判断和控制子任务。此后,通过对干扰因素的分解和逻辑结构化以及与 ADS 物理有关的相关情景,可以全面覆盖所提供DDT中所有可预见的与安全相关的根本原因(见图 2)。
SAKURA 场景生成和安全评估流程
图 3 展示了 SAKURA 项目场景生成和安全评估过程,该过程基于对德国 PEGASUS 项目最初开发的功能场景、逻辑场景和具体场景的定义进行调整而创建。
上面提到的三个干扰类别描述了一种系统方法,它定义了场景中所有与安全相关的元素及其组合,这些元素代表了功能场景开发的结构。
为了定义逻辑场景,在功能场景中进行参数范围的分配。最好通过启用数据驱动的方法来系统地从交通监控数据中提取和处理车辆轨迹来定义这些范围。然而,在大多数情况下,交通数据不会包含足够的危急情况和崩溃来解决具有统计意义的结果。因此,SAKURA 项目开发了互补的方法,例如通过收集的数据外推获得具有安全关键条件的合成场景。
最后,通过使用逻辑场景参数搜索引擎从参数分布中选择具体值,得到具体场景的定义。尽管 SAKURA 项目已经研究和开发了其中的几种方法,但也可以为此目的应用其他方法。在定义具体场景之后,有必要区分被认为是安全和不安全条件的安全标准。相应的,道路安全监管当局应定义安全标准。
5、欧盟 — HEADSTART 项目
HEADSTART 项目由 17 个合作伙伴组成,旨在定义联网和自动驾驶功能的测试和验证程序,包括通信、网络安全和定位等关键技术。针对不同的测试方法考虑测试,从虚拟仿真、硬件在环、试验场测试到现实世界的现场测试,以根据关键用户的需求验证安全(Safety)和信息安全(Security)性能。
HEADSTART 项目将联盟合作伙伴与(互联)自动驾驶领域的其他欧洲和国家利益相关者聚集在一起,将最相关的现有计划聚集在一起,开发方法、程序、工具,并支持用于测试和验证自动道路车辆的统一欧洲解决方案。在项目生命周期内,利益相关者可以加入专家网络,共同配置使用的方法并促进项目结果的使用。
图 6 显示了开发的 HEADSTART 方法的方案。根据一组真实世界数据(交通中的车辆、无人机或路边传感器记录)、丰富的事故学数据和模拟器研究结果,对场景进行识别、表征和存储在场景数据库中。场景描述了道路上可能出现的情况,包括对环境、天气和照明条件的描述。通过注入专家提供的场景,可以进一步丰富数据库中的场景。
并非所有场景都适用于或相关的不同类型的具有不同功能和运行设计域(ODD)的自动驾驶车辆。已经开发了一种根据对驱动功能和ODD的描述选择场景及生成测试用例的方法。基于与 HEADSTART(通信、定位和网络安全)中的关键支持技术 (KET) 相关的功能,在测试用例描述中添加额外的属性,以测试 KET 对功能的安全影响。
在 HEADSTART 中,已经制定了将测试用例分配给可用测试方法的程序:虚拟仿真测试、基于 XiL 的测试和试验场测试。已经组织了一个反馈循环,其中测试用例的分配基于与测试要求相关的测试方法的能力。整体安全性评估随后评估不同测试方法的测试结果。
6、共同研究主题总结
7、项目之间的主要共同点
日本和欧盟的 SAKURA、SIP-adus 和 HEADSTART 项目显示出以下共同点:
-
相同的目标终端用户和主要关注乘用车的开发商、消费者组织及道路安全监管当局/认证机构。 -
从数据收集和数据库开发到测试用例生成和测试评估类似基于场景的安全方法。 -
对模拟和试验场测试方法的需求进行调整。 -
参与国际标准化工作,包括 ISO 和 ASAM。
8、潜在的协调项目
下一个主题被定义为国际协调的可能行动项目,除非确定以下新的标准化项目,否则将标准排除在范围之外:
-
协调数据收集、数据库开发和数据互换性 -
数据收集和数据处理准确性验证的协调 -
协调模拟和试验场测试方法
9、建议和后续步骤
针对今后如何开展与国际合作特别相关的工作,提出以下建议:
-
继续就安全论证进行对话,包括风险接受和保险期限/完整性。需要讨论量化安全和/或风险的适当指标,与当局设定的参考/阈值分开(需要什么安全级别,或什么风险级别是可接受的)。 -
安全保证工具和方法的工业化,以适用于工业开发过程。 -
结合感知场景,包括模拟所需现象和接口标准化,以实现工业保护和透明的安全保证。 -
在安全评估方法和安全保证过程中集成人类驾驶员参考/人类驾驶员模型 -
跨国家的数据库互操作性、数据交换和比较研究,以支持所提议方法的国际适用性的发展。 -
向高速公路以外的 ODD 扩展包括对基于场景的方法进行必要的调整,以及制定城市车辆(自动驾驶出租车)/班车的战略。 -
交换有关虚拟试验场、基于模型的设计和数字孪生的未来可能采取的行动。评估影响和潜在的整合方式,包括人工智能驱动的决策
相关阅读
前沿 | 基于多传感器融合对自动驾驶汽车定位进行GPS欺骗的安全性评估
轩辕实验室,公众号:轩辕实验室前沿 | 多传感器融合自动驾驶汽车的GPS欺骗安全性评估
轩辕说 | 基于国密算法的硬件安全模块助力车载域控制器安全
轩辕实验室,公众号:轩辕实验室轩辕说 | 基于国密算法的硬件安全模块助力车载域控制器安全
欧盟 | 地平线 2020 ENSEMBLE:D2.13 SOTIF Safety Concept (上)
轩辕实验室,公众号:轩辕实验室欧盟 | 地平线 2020 ENSEMBLE:D2.13 SOTIF Safety Concept(上)
欧盟 | 地平线 2020 ENSEMBLE:D2.13 SOTIF Safety Concept(下)
轩辕实验室,公众号:轩辕实验室欧盟 | 地平线 2020 ENSEMBLE:D2.13 SOTIF Safety Concept(下)
原文始发于微信公众号(轩辕实验室):白皮书:走向自动驾驶安全评估方式的协调发展