近一年來,隨著特斯拉model 3的保有量越來越大,我們也能在各種渠道看到很多特斯拉的各種詭異“失誤”;雖然基本事後特斯拉都火速澄清是“駕駛員操作不當”,但其自動駕駛功能的可靠性也確實讓人充滿疑慮。
多次因“駕駛員誤操作”上熱搜的特斯拉
誠然,從功能體驗的角度來說,特斯拉FSD(Full Self-Driving)很強大;但從技術的角度來說,即便它被冠以“完全自動駕駛”的稱呼,但它卻不是真正自動駕駛,最多是 L2級別的系統,即智慧輔助駕駛。
特斯拉感測器佈置方案與引數
什麼是真正的自動駕駛在很多人看來,L3、L4自動駕駛與L2和ADAS輔助駕駛的區別就是功能更強大。這是極其不嚴謹的,自動駕駛與輔助駕駛有一條明顯分界線——責權。
SAE對自動駕駛的分級與系統要求
我們看看上面SAE的要求,其中明確指出了L3系統要在自動駕駛功能執行時承擔所有的駕駛和周邊監控功能,L4更是要求系統能在異常情況下依然接管駕駛,而L2只需要進行操作,監控還是駕駛員的責任。這就說明,對L3及以上的系統來說,自動駕駛執行過程中的所有責任都需要汽車來承擔。
特斯拉Model 3的使用者手冊中明確要求駕駛員時刻保持警覺
而目前市面上號稱“完全自動駕駛”和L3的系統,都基本上在使用者手冊裡明確寫了一句話:“駕駛員有責任時刻保持警覺,安全駕駛,並掌控車輛”,即監控是駕駛員的責任。所以,其實判斷是否是L3自動駕駛也很簡單,就看車企是不是敢承諾系統執行時的所有責任都由它負責。顯然,目前經常將“駕駛員操作失誤”放在嘴邊的特斯拉FSD並不是真正的自動駕駛。
那真正的自動駕駛又需要具備哪些條件呢?
冗餘才能保證足夠的安全我們要明確一個現實,人類創造的任何系統都有失效的風險;無論是偶爾卡頓和重啟的手機電腦,還是不間斷執行的網路和電力設施,或者是隻有一次機會的火箭發射……任何工程師都沒辦法拍著胸脯保證自己的設計一定沒問題。所以,在設計時都要引入必要的防止故障的手段,只不過不同系統出故障以後帶來的後果不同,對其防止失效的要求也會不一樣。
典型的冗餘系統
所以,面對影響較大的系統(涉及基礎設施和生命安全),除了提高技術水平,一般還採用冗餘的方式保障安全的底線。例如,對於重要的資料除了本地儲存,還會雲端備份、多地容災備份;電力設施甚至會設定多重冗餘機制,如對系統進行實時監控,設定雙伺服器等辦法。
雙系統同事執行的冗餘架構
在傳統汽車時代,駕駛員是第一責任人,所有的操作都來自於人,只需要保證轉向、制動和動力系統的可靠性即可。而自動駕駛在執行時系統成了第一責任方,那麼所有參與自動駕駛的零部件都要保證足夠的可靠性,設定必要的冗餘機制,在極端情況下也能確保乘客的安全。
自動駕駛的冗餘要求自動駕駛系統一般由感知、決策、執行三大系統組成,參與執行的零部件多達數十種,每個部分依據不同的特性也有不同的要求。
自動駕駛的系統構成
感知層由於汽車執行的環境複雜、速度快、物件多,又需要實時對周邊環境進行細緻全面的監控,而不同的感測器的效能差異又比較明顯;所以提升感知系統冗餘是開發中的關鍵。
不同感測器的典型特性與優缺點
上圖是目前自動駕駛採用的幾種主要感測器的效能引數對比,攝像頭來不能避免極端天氣和環境的影響,比如黑夜、起霧、大雨,甚至強光;另外目前的攝像頭無法直觀判斷景深,靠演算法計算的距離有可能會出現誤差;所以目前一般在前向採用攝像頭+毫米波雷達的方案,特斯拉也在一次事故之後加裝了毫米波雷達。
特斯拉增加毫米波雷達使識別更加準確
決策層決策系統(控制器、運算平臺)在解決算力問題以後其方向也較為明確,首先是設計另一個獨立執行的處理器,透過備份系統實時監控實現異常情況,並作出緊急處理;另外則是在硬體設計時遵從功能安全ISO 26262的原則和Aspice流程,是系統具備足夠的可靠性。
奧迪A8和小鵬P7均在自動駕駛運算平臺中採用雙系統互為冗餘
例如奧迪A8的智駕控制器zFAS中,放置了兩個處理器,一個英偉達晶片負責工作,另一個英飛凌的Aurix TC297T則負責監測系統執行狀態,使整個系統達到ASIL-D等級,小鵬P7也在XPILOT系統中提出了互為冗餘的雙計算平臺方案。這些措施顯然會增加整車成本,但在安全面前一切都十分必要。
其他系統其他諸如電源、網路架構等部分一般也會要求一定的冗餘設計;在電源部分採用備用電源,將與安全相關的零部件負載同時接入兩個電源,在主路異常時透過智慧開關進行切換。在網路架構上,則一般在可靠性要求高的鏈路設定冗餘通訊迴路防止意外發生。
自動駕駛汽車的冗餘電源方案
只有實現冗餘才能實現自動駕駛的普及自動駕駛的首要目標當然是實現功能,解放人類的雙手;但在複雜的社會中,人作為獨立的個體是明確的行為主體,而機器卻不是。因此,我們可以預見,在自動駕駛普及的過程中,從倫理、法律、保險等多方面考慮,機器(自動駕駛系統)都將會被嚴格的約束和要求,車企也將為自己投放的自動駕駛汽車負責。因為在彼時可沒有“駕駛員自己操作失誤”這種藉口。