自動(dòng)駕駛系統(tǒng)確認(rèn)自動(dòng)駕駛汽車能否上路的第一步是決定系統(tǒng)的哪些方面需要確認(rèn)。 軟件產(chǎn)品的驗(yàn)證(Verification)和確認(rèn)(Validation)本文列出了自動(dòng)駕駛汽車相關(guān)的運(yùn)行設(shè)計(jì)域、對(duì)象和事件、車輛操作和故障管理。雖然此類清單做不到百分之百地測試和確認(rèn)自動(dòng)駕駛汽車的功能,但希望可以形成一個(gè)公眾認(rèn)知的起點(diǎn),避免因?yàn)樾畔⑷笔В瑢?dǎo)致自動(dòng)駕駛車輛的測試和確認(rèn)與公眾的認(rèn)知產(chǎn)生巨大偏差。整個(gè)系統(tǒng)需要確認(rèn)的關(guān)鍵部分是:確保自動(dòng)駕駛車輛在其設(shè)計(jì)的運(yùn)行環(huán)境中充分發(fā)揮作用。傳統(tǒng)的軟件確認(rèn)包括需求和系統(tǒng)級(jí)測試的可追溯性。但由于機(jī)器學(xué)習(xí)使用基于數(shù)據(jù)訓(xùn)練的方法,而非傳統(tǒng)的設(shè)計(jì)步驟,傳統(tǒng)的確認(rèn)方法不再適用。因此,確認(rèn)這一步驟至少需要保證訓(xùn)練和測試數(shù)據(jù)包含所有相關(guān)的運(yùn)行條件。具體可分為四個(gè)方面:
ODD:在實(shí)踐中,為了確保可追溯性,通常將操作環(huán)境限制到人類駕駛員可以處理的所有可能情況的一個(gè)子集。這種限制系統(tǒng)運(yùn)行環(huán)境的方法也被稱為運(yùn)行設(shè)計(jì)域(Operational Design Domain,ODD)。NHTSA(2017)將道路類型、地理特征、速度范圍、天氣等其他相關(guān)因素。在實(shí)踐中,會(huì)發(fā)現(xiàn)其他因素可能會(huì)非常廣泛。
OEDR:確認(rèn)過程中還需考慮“對(duì)象和事件的檢測與響應(yīng)”(Object and Event Detection and Response,OEDR)。OEDR指在ODD范圍內(nèi),車輛遇到的外部情況的處理,包括感知、規(guī)劃和執(zhí)行。
車輛操作:通常與導(dǎo)航有關(guān),例如進(jìn)、出受限道路,開始轉(zhuǎn)彎,主動(dòng)變換車道等。
故障管理:確認(rèn)應(yīng)考慮對(duì)系統(tǒng)故障和局限性(如感知范圍有限和規(guī)劃失敗)的響應(yīng)。故障響應(yīng)包括:使用已安裝的冗余硬件減少功能以繼續(xù)行駛,或?qū)⑾到y(tǒng)轉(zhuǎn)換到安全狀態(tài)。不管哪種策略,確認(rèn)都必須保證故障的檢測和響應(yīng)是合理的。

確認(rèn)步驟需要考慮的四個(gè)方面這四個(gè)因素共同組成一個(gè)四維度的確認(rèn)空間(ODD、OEDR、車輛操作、故障管理)。一般需要在這四個(gè)因素組成的所有可能空間中進(jìn)行確認(rèn)。下面列出了每個(gè)維度上的一些考慮要點(diǎn)。
1、ODD要點(diǎn)描述系統(tǒng)運(yùn)行環(huán)境的特征應(yīng)至少包括以下內(nèi)容:
地形和相關(guān)的位置特征(如坡度、拱度、曲率、傾斜、摩擦系數(shù)、路面粗糙度、空氣密度),包括車輛即時(shí)環(huán)境和預(yù)計(jì)的車輛路徑。需要注意的是,在較短的距離內(nèi),環(huán)境可能會(huì)發(fā)生巨大的變化。
環(huán)境和天氣條件,如地表溫度、氣溫、風(fēng)、能見度、降水、結(jié)冰、照明、眩光、電磁干擾、雜波、振動(dòng)和其他類型的傳感器噪聲。
基礎(chǔ)設(shè)施,如導(dǎo)航輔助標(biāo)識(shí)(如信標(biāo)、車道標(biāo)志、增強(qiáng)標(biāo)志)、交通管理設(shè)備(如交通燈、路權(quán)標(biāo)志、車輛行駛燈)、隔離區(qū)、特殊道路使用規(guī)則(如可變的車道方向)等。
不同國家和地區(qū)的交通法規(guī)、停止標(biāo)志、紅綠燈、道路變化等基礎(chǔ)設(shè)施。
與環(huán)境和其他影響因素相互作用的參與規(guī)則和期望,包括交通法、社會(huì)規(guī)范、與其他智能體的信號(hào)交互(與其他自動(dòng)駕駛車輛和人,包括顯式的信號(hào)以及通過車輛運(yùn)動(dòng)控制的隱式信號(hào))。
通信模式,帶寬、延遲、穩(wěn)定性、可用性、可靠性,包括機(jī)器間的通信和人機(jī)交互。
基礎(chǔ)設(shè)施特征數(shù)據(jù)的可用性和實(shí)時(shí)性,如地圖詳細(xì)程度和識(shí)別與基線數(shù)據(jù)的臨時(shí)偏差(例如,施工區(qū)、交通堵塞、臨時(shí)交通規(guī)則,比如龍卷風(fēng)疏散)。
運(yùn)行狀態(tài)空間元素的預(yù)期分布,包括哪些元素被視為罕見但需在考慮范圍內(nèi)(如收費(fèi)站、警察交通站),以及哪些元素被視為系統(tǒng)擬運(yùn)行的狀態(tài)空間區(qū)域以外的元素。
應(yīng)特別注意與設(shè)備的固有限制相關(guān)的ODD,如攝像頭所需的最低照明度。

2、OEDR要點(diǎn)系統(tǒng)確認(rèn)至少應(yīng)包括以下因素,其中一些因素可能被確定為超出ODD的范圍。這些通常可以分為兩個(gè)子類別:對(duì)象和事件。 2.1、OEDR的對(duì)象
能夠檢測和識(shí)別(如分類)環(huán)境中的所有相關(guān)對(duì)象。
對(duì)傳感器數(shù)據(jù)進(jìn)行處理和閾值化,以避免誤報(bào)(例如,彈跳的飲料罐、鋼制道路施工蓋板、路旁標(biāo)志、塵云、落葉)和漏報(bào)(例如,一些半自動(dòng)駕駛車輛會(huì)與靜止車輛碰撞)
其他車輛可能的操作參數(shù)(例如,引導(dǎo)和跟隨車輛的制動(dòng)能力,或另一輛車輛的行為是否異常)。
永久性障礙物,如構(gòu)筑物、路緣石、中央分隔帶、護(hù)欄、樹木、橋梁、隧道、護(hù)堤、溝渠、路邊和懸挑標(biāo)志。
臨時(shí)障礙物,如臨時(shí)隔離區(qū)、溢出物、洪水、充滿水的坑洞、滑坡、沖毀的橋梁、懸垂的植被和墜落的電線。
人,包括合作的人、不合作的人、惡意行為以及不了解自動(dòng)駕駛運(yùn)行的人。
處于危險(xiǎn)之中的人群,可能無法、無能力或不遵守既定的規(guī)則和規(guī)范的人,如兒童以及受傷、能力受損或受影響的人。
其他合作和不合作的人駕駛的車輛和自動(dòng)駕駛車輛。
其他道路使用者,包括專用車輛、臨時(shí)建筑、街道餐飲、街道節(jié)日、游行、車隊(duì)、農(nóng)場設(shè)備、施工人員、吃草動(dòng)物、農(nóng)場動(dòng)物和瀕危物種。
其他非靜止物體,包括不受控制的移動(dòng)物體、墜落物體、風(fēng)吹物體、交通中的貨物溢出物和低空飛行的飛機(jī)。
需要注意的是:如果ODD沒有包含相關(guān)聯(lián)的特定對(duì)象,則某些特定事件可能不適用。

2.2、OEDR的事件
確定其他對(duì)象的預(yù)期行為,這可能涉及概率分布,并且可能基于對(duì)象分類。
環(huán)境中物體正常或合理預(yù)期的運(yùn)動(dòng)。
環(huán)境中其他車輛、障礙物、人員或其他物體的意外、不正確或異常移動(dòng)。
由于其他預(yù)期會(huì)移動(dòng)的物體而被阻礙的移動(dòng)。
自動(dòng)駕駛之前、期間和之后的操作員互動(dòng),包括:監(jiān)督駕駛員警報(bào)監(jiān)控、通知乘客、與本地或遠(yuǎn)程操作員位置的互動(dòng)、模式選擇和啟用、操作員接管、操作員取消或重定向、操作員狀態(tài)反饋、操作員干預(yù)延遲、單個(gè)操作員對(duì)多個(gè)系統(tǒng)的監(jiān)控(多任務(wù))、操作員交接、操作員與車輛交互能力喪失。
和人的互動(dòng),包括:人的指揮(交警指揮交通、警察靠邊停車、乘客遇險(xiǎn))、正常的與人之間的互動(dòng)(人行橫道、乘客進(jìn)出口)、常見的人類違反規(guī)則的行為(在遠(yuǎn)離交叉口時(shí)穿過中間街區(qū)、分心行走),異常的與人之間的互動(dòng)(挑釁的亂穿馬路、攻擊車輛、企圖劫車)以及無法遵守規(guī)則的人(兒童、殘疾人)。
非人類互動(dòng)包括:動(dòng)物互動(dòng)(畜群、寵物、危險(xiǎn)野生動(dòng)物、受保護(hù)野生動(dòng)物)和快遞機(jī)器人。

3、車輛操作雖然在車輛運(yùn)行時(shí),考慮的是車輛的操縱,但在實(shí)踐中,這一類別必須擴(kuò)展到除控制車輛運(yùn)動(dòng)本身之外的其他操作方面。包括:
采取的行動(dòng)、行進(jìn)方向、路徑規(guī)劃、終點(diǎn)設(shè)定和尋找終點(diǎn)。這通常包括各種車輛的幾何結(jié)構(gòu)和各種駕駛行為,如轉(zhuǎn)彎、變道、出口、入口、停車等。
任務(wù)長度和任務(wù)概況(例如,是否將一個(gè)安全的動(dòng)作任務(wù)用作對(duì)故障、空置操作的響應(yīng))。
操作模式之間的安全過渡,包括:通電/自檢、自主操作、人為操作、安全狀態(tài)操作、維護(hù)(加油、維修、洗車、更換耗材、清潔、校準(zhǔn))、運(yùn)輸、故障響應(yīng)、故障后響應(yīng)(例如以確保事故發(fā)生后應(yīng)急響應(yīng)者的安全)、故障診斷、更新驗(yàn)證和合規(guī)性測試。
所有權(quán)的變更和運(yùn)行概況的變更(如更換場地、重新部署、大修、升級(jí))
4、故障管理雖然傳統(tǒng)的功能安全方法包括故障管理的許多方面,但它們不一定處理需求缺口,并在系統(tǒng)遇到環(huán)境異常或其他未設(shè)計(jì)的情況時(shí)確保安全。此外,隨著駕駛員的移除,自動(dòng)駕駛汽車可能會(huì)承擔(dān)檢測、診斷和減輕故障的任務(wù)。這里確定了系統(tǒng)限制、系統(tǒng)故障和故障響應(yīng)的三個(gè)方面。 4.1、系統(tǒng)限制
傳感器和執(zhí)行器的當(dāng)前能力,取決于操作狀態(tài)空間。
檢測和處理車輛在其驗(yàn)證的運(yùn)行狀態(tài)空間之外的偏移,包括ODD、OEDR、機(jī)動(dòng)、故障。
在故障狀態(tài)下的操作,包括降級(jí)計(jì)劃,以及對(duì)降級(jí)操作狀態(tài)空間的任何限制。
對(duì)于有效載荷特性(例如,載客車輛超載、重量分布不均勻、裝載礫石的卡車、半裝滿液體的油罐車)和自主有效載荷修改(例如拖車連接/斷開)的能力變化。
基于功能模式的性能變化(例如,轉(zhuǎn)向設(shè)計(jì)模型、后輪轉(zhuǎn)向、ABS或四輪驅(qū)動(dòng)接合/分離)。
基于點(diǎn)對(duì)點(diǎn)組隊(duì)(如V2V、V2I)和計(jì)劃組隊(duì)(如領(lǐng)導(dǎo)-追隨者或排車配對(duì))的能力變化。
外部信息(V2V、V2I)不完整、不正確、損壞或不可用。
4.2、系統(tǒng)故障
感知失效,包括物體分類和姿態(tài)的暫時(shí)性和永久性故障。
規(guī)劃失敗,包括導(dǎo)致碰撞、不安全軌道(如翻車風(fēng)險(xiǎn))和危險(xiǎn)路徑(如道路偏離)的故障。
車輛設(shè)備運(yùn)行故障(例如,爆胎、發(fā)動(dòng)機(jī)失速、制動(dòng)故障、轉(zhuǎn)向故障、照明系統(tǒng)故障、變速器故障、發(fā)動(dòng)機(jī)功率不可控、自主設(shè)備故障、電氣系統(tǒng)故障、車輛故障診斷碼)。
車輛設(shè)備維護(hù)故障(例如,胎壓不當(dāng)、輪胎光禿、車輪錯(cuò)位、傳感器清洗液儲(chǔ)液罐空、燃油/蓄電池耗盡)。
傳感器和致動(dòng)器的操作性退化包括臨時(shí)性的(例如,淤泥、灰塵、灰塵、熱、水、冰、鹽霧、被粉碎的昆蟲的積累)和永久性的(例如,制造缺陷、劃痕、沖刷、老化、磨損、堵塞、沖擊損傷)。
設(shè)備損壞,包括檢測和減輕災(zāi)難性損失(如車輛碰撞、雷擊、道路偏離)、輕微損失(如傳感器損壞、執(zhí)行器故障)和臨時(shí)損失(如支架彎曲導(dǎo)致的錯(cuò)位、校準(zhǔn)不準(zhǔn))。
地圖數(shù)據(jù)不正確、丟失、過時(shí)和不準(zhǔn)確。
訓(xùn)練數(shù)據(jù)不完整、不正確、已知偏見或未知偏見。
4.3、故障響應(yīng)
當(dāng)遇到異常操作狀態(tài)空間、遇到故障或達(dá)到系統(tǒng)限制時(shí),系統(tǒng)的行為。
診斷間隙(例如潛在故障、未檢測到的故障、未檢測到的故障冗余)。
系統(tǒng)如何重新集成故障部件,包括從瞬時(shí)故障中恢復(fù)和從運(yùn)行和/或維護(hù)后修復(fù)的永久性故障中恢復(fù)。
在固有風(fēng)險(xiǎn)或某些損失情況下優(yōu)先或以其他方式確定行動(dòng)的響應(yīng)和政策。
抵御攻擊(系統(tǒng)安全、基礎(chǔ)設(shè)施受損、其他車輛受損),并阻止不當(dāng)使用(例如惡意命令、不當(dāng)危險(xiǎn)貨物、危險(xiǎn)乘客行為)。
如何更新系統(tǒng)以糾正功能缺陷、安全缺陷、安全缺陷,以及添加新的或改進(jìn)的功能。

以上是需要考慮的一個(gè)很長的列表,但這個(gè)列表也沒有包含所有情況。這可以作為哪些情況需要在確認(rèn)這個(gè)步驟中來考慮的一個(gè)起點(diǎn)。下一步是要找到一個(gè)合適的方法來管理這些眾多確認(rèn)要素的排列組合,降低其復(fù)雜性,并保證確認(rèn)時(shí)的安全。