3.2 企业关于自动驾驶汽车的安全保证和测试方法（第三章 自动驾驶汽车的安全保障）

行业遵循自动驾驶汽车安全标准的测试方案

在本次课程中, 我们将深入探讨工业界对安全与测试的不同看法. 具体而言, 我们将首先聚焦于两大领先企业的安全视角:Waymo与GM. 接下来, 我们将深入研究评估安全采用的两种主要方法:基于分析的方法和基于经验的方法.

如前所述，在最近的视频中我们了解到

Waymo涵盖了NHTSA的全部12个概念，但将它们组织成一个5级安全方法。

首先

Waymo系统的主要功能是在行为层面上实现安全驾驶，并遵循交通法规的战略；它能够应对复杂情况的能力，并通过其机制确保车辆的安全运行。

其次

Waymo通过提供双重保障机制来确保系统的可靠运行。在出现任何问题时，在备用组件或备份程序的帮助下完成切换操作，在最大限度地降低其影响程度的同时使车辆恢复至安全状态并尽可能继续行驶。这也被称为功能安全

接下来

Waymo采用了美国国家交通安全委员会（NHTSA）建议的碰撞安全方案。该系统的设计最大限度地减少了车 crash事故中车内人员所受伤害。

其次

该系统旨在实现功能（操作）的安全性。
这意味着其界面设计得友好且用户友好。
主要目标在于赋予乘客一定的控制权。
前提条件是必须保证系统的绝对安全。

最后
Waymo致力于提升...的安全性水平。该系统的架构设计旨在最大限度地降低潜在风险，并涉及关键角色如应急响应人员、力学专家及硬件工程师等。

这五个支柱由Waymo的安全设计系统构成，并带来了广泛的需求制定、设计优化和测试流程，以确保每个组件都能满足系统的各项目标。在这一过程中使用了一些现有的工具。我们将在后续内容中详细讲解这些工具的应用。

Waymo团队识别了最多数量的危险场景，并对每种情况进行研究以探讨如何确保汽车在发生危险时仍能达到安全状态。

该团队采用危险性评估手段以制定更为细致的安全标准。该团队所应用的方法包括：针对潜在安全风险的初始分析；自上而下的方式对动态驾驶任务进行故障树法进行危害性评估；综合考虑各子系统的故障对其整体性能的影响，并采用失效模式与影响分析法。

他们执行大量的测试以确保满足需求。

让我们探讨一下Waymo在评估其软件时所采用的测试程序，由于它最为透明且文档记录最为详尽。

首先

他们每天在1,000万英里的模拟中测试所有软件的变化。这项耗时巨大的计算工作持续运行中，在此期间验证了预期的改进，并确保了系统的安全要求。为了实现这一目标, 他们针对具有挑战性的场景利用他们的全部道路经验数据, 并执行系统性模糊测试, 即随机改变其他车辆和行人的位置与速度参数, 从而探索那些难以界定的情况. 这种方法尤其适用于探索那些难以界定的情况.

其次

该团队在专有轨道上开展封闭式软件测试。这些测试覆盖了由加州大学伯克利分校研究确定的28个关键场景，并结合Waymo增添的19个新增场景。这些测试情境则围绕着防止四种最常发生的事故类型进行了系统设计。包括但不限于追尾事故、交叉路口冲突、车辆偏离车道以及变道风险等四种主要事故类型。

最后

他们时常在美国多个主要城市区域接受真实测试，并且这些测试地点都位于附近加州山景城（Mountain View California）。

这种测试有助于识别越来越多的异常情况，并主要基于动态驾驶任务反馈策略，在测试期间由人类监控自动驾驶软件。这些测试策略并非Waymo独有，但已成为事实上的标准，因为它提供了最大的灵活性和反馈，并关注每个测试方法表现最佳，在模拟令人困惑的操作场景时进行评估。通过闭环测试确定安全性能的具体成果，并在真实世界环境中寻找更具挑战性的情景来增强公众对该技术的信任。

当前我们应当关注通用汽车的安全意识。该汽车制造商于2016年收购了Cruise Automation公司，并从而推动了其在自动驾驶技术发展领域的领先地位。

通用的策略严格遵守国家公路交通安全管理局的安全框架，并特别关注其中的关键12个领域。通用汽车的安全战略并未试图重组或简化NHTSA的规定,而是致力于实现所需的全部安全评估工作

首先

该品牌强调了其迭代式设计方法，在这一框架下，他们首先对所涉及的场景进行分析，并在此基础上开发相应的软件系统。随后开发的软件系统会对所模拟的场景进行功能测试，并评估系统的性能指标。最后将开发的系统部署至实际汽车环境中，并通过持续改进来优化需求和自动控制系统的关键要素。

尽管Waymo依赖OEM来实现汽车设计，并且专注于与自主硬件相关的潜在的技术性风险，而通用汽车完全实现了自己制造整车的技术能力。从而使得整个自动驾驶硬件能够实现高度统一的设计方案，并建立起统一的质量管理体系。

其次

通用汽车采用了全面的风险管理方案以确保安全。该公司不仅识别潜在风险并采取措施应对它们还不仅尝试彻底消除风险还设法减少其影响。

最后

所有系统都严格遵守精心制定的规范来确保安全、可靠性和安全性。他们在汽车工业领域在该领域积累了丰富经验，从而构建了全面的安全工艺。

他们的安全过程包括三种类型 的分析。

在研究中, 研究团队采用了故障树方法, 进行系统性分析, 以识别可能存在的故障单元并采取相应的修复措施。

然后

他们通过系统设计以及故障模式与影响分析进行系统性归纳与评估。因此，他们针对方案体系实施故障模式与影响分析（failure modes and effect analysis ：FMEA） ，从上至下地确保安全性。

最后

他们基于风险和可操作性 的研究进行展开初步分析过程，并识别出系统可能无法按预期运行的时间段。

听起来耳熟呢？实际上呀，在这一期节目里我们将会重点阐述这些方法如何运作。让我们深入探讨一下**安全门限（门槛）**以及与通用汽车公司的合作情况吧。

所有通用汽车必须遵循至少两个关键安全阈值。

首先，在不同组件上设置了全面且可靠的故障保护装置、备用系统以及冗余配置。以确保即使发生故障后系统仍能正常运行。

此外，在下一集里我们会深入探讨这一问题。同时，在接下来的视频中我们将着重讲解这一技术细节。采用该方法后可以全面检验组件的各项核心功能，在已知与未知环境条件下均能有效运行。

最终 ，GM严格采用一系列全面的质量管理机制进行操作规范执行涵盖但不限于以下方面：包括但不限于性能评估、功能性验证、故障模拟实验、入侵检测系统测试以及仿真环境下的功能验证等多维度质量监控工作确保各项流程均达到预期目标

这两家公司在执行过程中都严格遵守着各项安全标准，并因此成为了行业内的典范代表。由此可知我们对于工业领域的安全管理方法和流程已经掌握得更加透彻然而在这一领域仍然面临一个问题：是否能够真正准确地评估自动驾驶汽车的安全性？或者说至少相比人类驾驶员而言更为可靠？

让我们讨论一下可以用来评估自动驾驶系统安全性的各种方法。

我们有两种可能的方法:分析或数据驱动的安全评估 。

我们通过对安全评估的研究来确定系统的可量化的安全性能指标或故障率数据。

当能够通过分析手段判定整个系统整体故障率时，则能够给予强有力的方向；该结果表明哪个方面是该系统对总体安全的最大贡献者。

航天飞机项目就是一个很好的案例，在分析初始失败率时预估值为每10万次飞行发生一起事故。然而，在项目启动之前的一份法医研究报告显示，在早期航天飞机项目的飞行中失败率接近十分之一的概率，在项目结束时则达到了百分之一的比例。鉴于航天飞机发射过程中包含数千个独立组件以及数百万个影响其运行的关键变量因素的存在性考量下，“如此复杂的系统竟然能够实现如此精确的风险评估机制”这种现象确实令人惊叹不已。这种精确的风险评估方法同样适用于自动驾驶汽车领域但在实际应用中可能会面临更为复杂的情形因为车辆必须能够在无限多的状态下保持稳定运行。

综上所述，在分析自动驾驶系统的安全性能方面，该方法仅能提供辅助指导作用；其最终验证结果必须依赖于实际经验的支持。为了实现这一目标评估目标方法我们采用了数据驱动测试的方法；通过这一概念我们能够有效保证系统的安全性因为该系统已证明只要采用特定版本的软件它能够在各种道路和场景（包括操作设计相关的领域）上达到预定的安全故障率水平

基于自动驾驶技术的发展现状，在实现智能驾驶功能的同时，我们期望其故障率能够达到与人类专业驾驶员相当的标准。为了进一步提升系统可靠性，在现有驾驶员技术水平基础上降低10到100倍的事故数量是我们设定的目标。

那么这些数据又表明什么呢？自动驾驶汽车的安全性究竟如何呢？首先按照人类的标准来衡量驾驶行为本身是具有一定危险性的。2015年的一份研究报告显示在所有因驾驶导致的死亡事故中约90%的事故是由人为操作失误所导致的尽管如此人类在开车方面也展现出了极高的能力这正是基于他们对道路环境的感知以及对驾驶员职责范围的有效划分。在美国每年约有7280人死亡于交通事故（按1.46亿公里计算）此外还有约475,000人受伤这一最后的数据估算可能略低于实际数值因为许多较小规模的碰撞并未被完整报告。然而自动驾驶技术的发展与广泛应用有望对这些统计数据产生更为显著的影响因为其配备了额外的传感器系统将有助于进行更加全面和精确的道路交通状况报告与重构

在当前阶段, 我们关注的是自动驾驶汽车在加州测试期间的脱节事件（disengagement）。当自动驾驶系统主动要求驾驶员接管车辆控制或安全员认为有必要介入干预时, 就会发生脱节。

这是一个可接受的挑战。基于真实坠毁统计的数据作为整个车队测试的基础是必要的。然而，在加州取得了良好的结果值得庆幸的是，在2017年 Waymo 在该州行驶了56.3万公里并发生了63次偏离事件；而通用公司行驶了21万公里期间发生了约1,050起事故（每2,000公里）。值得注意的是，在这一年中两者的测试指标均有所提升；具体而言，在最后三个月的时间里 Waymo 的偏离率降至平均每月12,500公里/起；而通用公司的事故率则进一步优化至约8,333公里/起

就人类的表现而言，在这些指标上难以直接对应。然而，在自动驾驶系统发生故障时平均每年只需干预一次这样的事件，则表明这一成就具有重大的意义。这一进步虽然令人鼓舞但与人类每年以数万亿英里的速度在碰撞中达到40万公里的目标尚有一段距离。根据Waymo提供的数据其63次脱离警告的主要原因按频率排序依次为操作失误感知偏差硬件缺陷软件缺陷行为预测以及不谨慎的驾驶员行为。显然在感知预测与行为规划等方面仍面临着诸多具有挑战性的问题需要进一步研究与解决

就统计学意义而言，在本次研究中收集的数据具有显著的代表性。值得注意的是，在当前条件下（如交通流量、道路状况等），本研究收集的数据具有显著的代表性。

在补充材料中，我们提供了兰德公司(Rand Corporation)一份旨在解决这一问题的报告链接，并使数据更加引人注目。鉴于死亡事故极其罕见且诸多影响因素正在考量中，在该报告中指出仅通过道路测试来验证自动驾驶系统的安全性将面临巨大挑战——要达到所需里程数就需要行驶超过80亿英里（即100辆汽车连续24小时、7天运转），完成这些测试至少需要400年的时间。正是由于这一原因，在此背景下我们认识到这种多层次的安全方案已经逐渐被各个相关方所采用——即每个公司都在扩大其车队规模，在道路上积累更多自动驾驶车辆使用经验

总结而言，在这段视频中我们深入研究了自动驾驶安全评估这一主题，并考察了Waymo和通用汽车（GM）等主要企业的相关工作。
在本次讨论中我们重点分析了当前自动驾驶系统的脱离率以及相关的道路测试标准并发现其在执行效率上优于人类操作水平。
在下一节课我们将介绍常用的几大安全规范及其应用实例