迈向自动驾驶汽车的“型式认证”:安全验证手段和基于模拟的方法
迈向自动驾驶汽车的“型式认证”:安全验证手段和基于模拟的方法
自动驾驶汽车的安全验证和认证是行业发展的关键环节。本文深入探讨了自动驾驶汽车的型式认证制度,包括安全要求、验证方法、基于模拟的技术以及复杂系统挑战。文章详细介绍了欧盟的渐进式认证方法,并讨论了如何通过模拟和数据分析来应对参数空间爆炸等技术难题。
在欧洲强制实施的“型式认证”制度中,一种渐进式方法正在发展,允许虚拟测试作为通用评估方法的一部分,包括展示自动驾驶汽车应对最关键场景的能力。除了完整性问题之外,参数空间爆炸也是一个主要问题。提出了基于PCE和统计学习技术的数据驱动概率框架等先进方法。最后,解决了全自动和联网汽车的复杂性问题,呼吁采用“系统方法”和捕捉整个系统并超越传统可靠性理论方法的方法。
简介
自动驾驶汽车(AV)和自动驾驶系统分别在不同的驾驶阶段和不同的功能中依赖机器学习(ML)。因此,在识别模式和解释传感器和图像数据的同时,ML驾驶算法会不断学习并变得更好。因此,由软件驱动的可靠性和安全性不是静态的,而是变化的,希望在运行过程中随着修改和更新而不断提高。然而,问题仍然是这些系统何时足够安全、足够成熟,可以向公众开放,以及如何指导和组织安全验证和认证过程。
现有的自动驾驶汽车安全验证方法可以系统地分为物理轨道和真实世界测试、模拟、极值理论、形式验证和基于场景的测试。每种方法都有其优点、缺点、基本假设和局限性。
安全要求和验证
“多安全才算足够安全(或刚刚好)?”这个问题至关重要,在其他领域也广为人知。普遍认为,对于(合作式)自动驾驶汽车,即使是强制性的可靠性和安全性目标也尚未存在。
我们区分了三个抽象层次和相关目标。首先,在最高层次上,自动驾驶汽车的性能应该优于由“细心”的人驾驶、配备最先进辅助系统的汽车,而这在现实中似乎很难实现。目标或阈值可以保留为定性形式,也可以以定量形式存在,其中每公里(公里)的无事故/无碰撞驾驶、碰撞间隔时间或符合风险曲线和相关耐受性线被提议作为指标/替代品。欧盟实施条例草案建议,作为指示性目标,配备自动驾驶系统(ADS)的车辆的危险错误率应不超过每小时10-9,这是从最低内生死亡风险得出的。联合国欧洲经济委员会功能要求工作组FRAV建议,致命事故的危险性为每小时10-8,轻伤或重伤事故的危险性为每小时10-7,旨在实现与人类驾驶相比的中性或正风险平衡。
其次,在系统层面,制造商必须通过稳健的设计和验证流程证明该系统(此处指定为自动车道保持系统(ALKS))不会对驾驶员、乘客和其他道路使用者造成“不合理”的风险,并确保遵守道路交通规则。
第三,在组件和子系统层面,必须通过符合标准来确保安全,例如用于开发安全关键功能和设备的ISO 262 62:2018和用于证明预期功能(SOTIF)安全性的ISO PAS 21448:2019,旨在识别现实世界场景。
在现实交通环境中进行试驾似乎是验证AV安全性、评估和改进系统性能的最合理方法,同时还可以考虑整个系统的复杂性。然而,这可能是危险的、不可扩展的,而且被证明是一个不可能/非常低效的提议,因为需要行驶的车辆里程——以满足大多数相关的交通状况——是巨大的(数十亿),所需的时间会太长。因此,已经确定并实施了摆脱这一困境的各种方法。
至于认证过程,过去一直采用两种模式,如今已变得显而易见:一方面是美国的“自我认证”或“自我评估”,它鼓励尽可能多地进行试驾,并鼓励行业内部验证设计是否符合最佳实践标准和一系列监管要求,然后将剩余的风险留给汽车行业。该流程得到了一份针对行业和当局的自愿指导文件的支持,该文件列出了10个优先安全设计要素供考虑,例如系统安全、运行设计领域、物体和事件检测和响应、后备(最小风险条件)验证方法、人机界面、车辆网络安全、耐撞性、碰撞后ADS行为和数据记录,由美国交通部发布。
另一方面,自1998年以来,欧盟(EU)强制实施汽车“型式认证制度”,其他非欧盟国家也采用该制度。该制度的运作要求完全统一,跨境有效,并严重依赖国际法规,尤其是联合国欧洲经济委员会的技术规则,而最终由单一国家当局决定是否进行认证。不断发展的“渐进式方法”支持大规模测试,但不仅仅依赖于物理试驾,还允许使用虚拟测试方法。它涵盖了欧盟豁免程序下的指导方针(欧盟指令,2007年第20条),并提供了一个新的法律框架(欧盟法规,2019年),自2022年7月起适用。根据表达的需求,已经开发了一种新的自动驾驶通用评估方法,该方法基于三大支柱:(1)审核制造商设计/开发过程,(2)在上市前通过测试确认在正常和紧急情况下的审核/最低性能,以及(3)通过不断从运营经验中反馈来确认发布后的审核。测试包括展示基本驾驶能力(在公共道路上、在测试轨道上)和应对主要关键场景的能力(通过桌面模拟/在测试轨道上)。
关键场景被定义为评估自动驾驶汽车功能需求的一系列情况或情况组合,涉及多种因素,例如道路布局、与不同类型的道路使用者和物体的交互以及环境条件。它们被分为逻辑、功能和具体场景,抽象程度依次降低。基于对可用和专门生成的数据的广泛使用以及理论研究的结果,主要参与者充实并同意了一大组充分且具有代表性的关键场景,并根据这些场景对自动驾驶汽车进行测试。它们应转移到场景数据库中,作为制造商和当局的共同框架,并不断更新(参见图1的说明)。
图1.欧盟自动驾驶通用评估方法的三大支柱(SAR代表安全分析报告)
应用程序应从“较简单的实例”开始,重点关注3级至4级自动驾驶汽车,尤其是高级辅助系统,作为整个自动驾驶汽车的基础。
为了提供有关自动驾驶汽车批准的技术法规和统一规定,联合国欧洲经济委员会成立了一个“自动/自主和联网汽车”工作组(GRVA),其中包括一组非正式工作组,如自动和自主汽车功能安全组(FRAV)和自动驾驶验证方法组(VMAD)以及网络安全(OTA)和软件更新(VMAD)工作组。根据《自动驾驶汽车安全框架文件》,GRVA提出了一项关于自动车道保持系统(ALKS)车辆批准的法规,作为交通中自动驾驶系统(ADS)的第一步监管措施,并提出了创新规定,旨在解决与系统安全评估相关的复杂性(UNECE/TRANS/WP.29 2020/8)。原文将运行速度限制为最高60公里/小时,并进一步将乘用车和ALKS激活限制在禁止行人和骑自行车者通行且车道物理分隔的道路上。一般要求涉及系统安全和故障安全响应;必须确保驾驶员随时可以超越系统。
为了支持这一进程并向欧盟和联合国欧洲经济委员会工作组提供意见,欧盟发展与变革总司和欧盟联合研究中心建立了一个合作项目。他们的成就包括自愿安全指南草案,其中包含制造商提交的AV类型批准信息文件的格式和内容,以及不同类型测试的一般程序以及对ALKS法规的贡献。该法规应扩展到自动车道变换系统(ALCS)、最高速度超过60公里/小时的高速公路应用,并从乘用车扩展到其他应用(例如代客泊车、机器人出租车/班车)。正在进行的项目工作重点是测试一般有效性和特定用例(例如高速公路司机)的概念、(定量)安全目标/阈值、分析安全范围(用于定义交通场景中可预防的事故)以及运行反馈记录和存储系统,这些工作正在进行中,结果即将公布。
如前所述,欧盟委员会的服务部门已在一份文件中表达了他们的观点,该文件附有关于机动车辆ADS类型认证的统一程序和技术规范的详细附件。然而,无论是行业还是监管机构,整个设计-模拟-测试-重新设计-认证程序仍未建立。联合国欧洲经济委员会于2018年中期成立的自动和联网汽车工作组(GRVA)的工作组VMAD提出了一个名为“自动驾驶汽车新评估/测试方法(NATM)”的验证框架,以促进汽车行业的持续创新。该框架(见图2)基于几个支柱和五种验证方法,包括一系列关键场景和模拟。测试可能遵循从模拟(基于使用各种模拟工具包)到专用轨道测试再到真实世界测试的逻辑顺序。
图2.多支柱验证框架NATM及其与FRAV功能安全需求的集成(GRVA 2021),ODD代表运行设计域
协调法规是必要的,也是联合国层面的一项持续努力,特别是在包括日本和中国在内的联合国欧洲经济委员会车辆法规协调论坛。
基于模拟的方法和减少参数空间的方法
基于模拟(或基于场景)的方法是实际测试统计方法的一种替代方法,并被用作验证自动驾驶功能的型式批准流程的一部分。这是迄今为止评估高级驾驶辅助系统(ADAS)性能和安全性的一种更快的方法,这些系统在模拟中的行驶里程几乎比在实际测试中多一个数量级。基于大部分道路场景在现实中并不关键的假设,建议从大量开发场景中识别出“关键场景”,并将配备自动化系统的单辆车辆暴露在专门的关键场景中,以检查它们在“真实世界条件”下的性能,特别是在测试台上。
基于模拟的方法的一个问题是破坏了现实世界的复杂性及其不确定性。这对模拟场景的覆盖率和完整性提出了质疑。更具体地说,一个值得回答的好问题是:模拟中行驶多少英里相当于现实世界中的一英里?
基于场景的方法中出现的另一个主要问题是参数空间爆炸。更抽象地说,如果驾驶场景有n个参数:P1,P2,⋯,Pn,并且每个参数都有mi个假设的离散实现,那么可能的参数组合(场景)的总数将随着mn呈指数增长。例如,仅切入场景就会产生1023个参数组合或具体场景。这清楚地表明,尝试所有场景的蛮力方法是行不通的,即使专注于关键场景也会导致巨大的数量,这似乎仍然超出了迄今为止的现有容量。
已经研究了新方法来减少关键场景的参数空间,从而显著提高测试覆盖率。各种尝试/建议都值得关注。研究人员提出了一个具有五个严重程度等级的危害行为标准,用于评估通过假设功能不足而确定的场景。另有研究人员提出了一种基于模拟的统计方法,用于推导高度自动驾驶功能(SAE 3级及更高级别)的具体场景,并由车辆提示接管过程。该方法扩展了推导逻辑场景的框架,包括交通模拟包确定的影响参数的统计评估和离散化、它们在分解的自动驾驶功能的功能层中的应用,以及最终定义具体场景的先前离散化参数的确定性变化。应用于插队和交通拥堵缓解功能场景表明参数空间显著减少。
在苏黎世联邦理工学院的一名学生的项目中,提出了一个基于随机谱方法的数据驱动概率框架,即多项式混沌扩展(PCE)。依靠自动驾驶汽车系统(被视为黑匣子)的虚拟和物理模拟,使用输入/输出对数据集来训练元模型,该元模型替代未知的、一般非线性的临界函数,将输入场景映射到风险指标。这个所谓的临界函数通过加权通过实验获得的各种安全性能指标来量化输入场景的严重性,并最终通过识别最有影响力的输入参数来帮助降低输入空间的维数。
苏黎世联邦理工学院和贝鲁特美国大学(AUB)之间的合作学生项目中提出的另一种方法是使用统计学习技术来降低爆炸参数空间的维数。一个突出的例子是使用线性判别分析(LDA)将最初巨大的输入参数空间投影到由影响最大的参数组成的低维空间中。LDA背后的基本思想是找到输入特征的线性组合,从而最大程度地将不同类别分离为不同的聚类。在这种情况下,输入特征是场景的参数,不同的类别代表不同级别的碰撞关键性(为简单起见,使用二元类“关键/非关键”)。使用这种特征的线性组合,可以将高维数据投影到低维空间中,而不会丢失大量信息。通过查看投影向量的欧几里得分量,可以确定哪些特征对输出标签分布的影响更大,从而了解哪个特征对于碰撞的关键性更重要。
最后,研究人员提出了一个结合代理建模和重要性分析的实用算法框架。它首先根据历史数据和专家知识识别输入参数(场景)及其概率分布。从构建的场景空间中,使用拉丁超立方抽样创建一组输入场景,然后将其输入到自动驾驶模拟器CARLA,输出各种关键性指标。在此阶段,在此输入输出映射数据集上实施基于线性判别分析(LDA)或Morris基本效应的重要性分析方法,以确定哪些参数最具影响力。然后通过优化选定的最具影响力的参数来优化原始输入数据集,从而产生一个扩展数据集,该数据集现在包括对最重要参数敏感的场景,然后再次将其输入CARLA以计算其关键性值。然后,研究人员建议使用这种改进的输入输出映射来替代使用PCE的关键性函数,以减少评估新输入场景的计算负担。生成替代模型后,对完全可微分替代临界曲面进行优化,找到最严重的区域(临界区域),即超曲面中临界性高于某个阈值的部分,该阈值称为临界性极限,由用户定义。然后将临界场景定义为n维代数向量,其中包含临界曲面上的坐标,用于标识临界函数高于临界性极限的参数组合。最后,他们建议引入一种重采样策略,通过在已确定的临界区域内进行知情采样,增加在训练阶段采样临界场景的机会,从而改进已构建的替代模型。
复杂的系统之系统和方法挑战
一些人高度期待,尤其是全自动(SAE 4级和5级)车辆,与其他车辆(V2V)和基础设施(V2X)相连,发展成为一个“复合系统”,甚至是一个“系统之系统”,而不仅仅是一个“复杂系统”。这种区别,连同相关元素和属性以及方法挑战,被认为值得一提。
“复杂性”一词没有明确的定义。然而,人们普遍认为,复杂性是指各部分以多种方式相互作用,最终导致出现顺序高于各部分之和。Aven等人认为,复杂性是指“无法基于了解各个组件的具体功能和状态来建立系统行为的准确预测模型”。
复杂系统与复合系统的特点如下:
- 两种系统类型都包含大量高度连接的组件,对于复杂系统,事件频率-后果曲线往往遵循正态分布,而复合系统的此类曲线往往具有肥尾并遵循幂律分布。
-复合系统组件之间的相互作用规则可能会随时间而变化,并且可能不太容易理解,而复杂系统的组件具有明确的角色并受规定的相互作用支配。
-复合系统更加开放,响应外部条件并不断发展,与环境相互作用;结构不会随着时间的推移保持封闭和稳定,并且对环境变化的响应范围不受限制,所有这些都与复杂系统形成对比。
-复合系统往往表现出高度动态、新兴和非线性的行为,以及突然的政权更迭;与复杂系统相反,行为并非完全可预测。
-复合系统的整体行为不能像复杂系统那样用构建块或其各部分的总和来描述。
尽管还处于早期发展阶段,但我们勇敢地得出结论,复合系统的属性和行为可能完全适用于设想中的协调、高度或完全自动化的车辆和相关的移动概念。在这方面,它们被认为类似于电网等关键基础设施系统的大型信息物理网络。因此,需要能够映射和分析整个系统的可靠性和安全性证明方法,这需要一种“系统方法”。一些基于“可靠性理论”的传统方法,因此基于分解,如演绎故障树分析(FTA),以及因果链,如归纳失效模式和影响分析(FMEA)或事件树分析(ETA),这些方法已成功应用于其他工业部门,但单独使用可能不足以验证协调自动驾驶汽车的安全性。
基于可靠性理论的传统方法也受到批评,因为它们专注于硬件组件失效,没有充分考虑软件失效和人机交互,此外也没有将系统视为一个整体。STPA(系统理论过程分析)已经开发出来,以克服这些限制,包括识别设计错误、有缺陷的要求、人为因素影响、软件故障以及不安全和意外的组件交互失效。STPA使用“反馈回路安全控制结构”来识别不安全场景,并制定了一套详细的安全约束/要求,并已应用于自动驾驶汽车的各个开发方面。人们已经进行了各种尝试,将STPA结果与其他方法进行比较,以及将它们结合起来。
简要展望
不同程度的自动化车辆正在进行大规模开发和测试,甚至接近部署。认证要求和规则正在国际和国家层面进行构建,其中验证足够的功能和运行车辆安全以及消除不合理风险是关键要素。针对不同开发和安全验证阶段的充分建模和测试方法正在推进,在早期案例应用中,目前重点关注高级辅助系统。这些努力似乎落后于可靠性/安全性验证的适当方法的开发,至少对于高度自动化到完全自动化的汽车而言。