汽車電子連環(huán)話︱自動(dòng)駕駛層級(jí)L1到L5，這里面的技術(shù)貓膩說(shuō)給你聽(tīng)

不同自動(dòng)駕駛層級(jí)的區(qū)隔，不僅僅是個(gè)數(shù)字，也不是我們說(shuō)能到就能到的。從 L2=》L3 以上，主要在自動(dòng)化功能 DDT（OEDR）、ODD 和 Fallback 設(shè)計(jì)上面有巨大的差異。

第一部分 自動(dòng)化功能

這里就是從 2=》高階系統(tǒng)的設(shè)計(jì)分水嶺，在參考文獻(xiàn) 2 里面講的比較清楚：

1）設(shè)計(jì)的適用范圍(Operational Design Domain)

在公共道路上，使用車上測(cè)試和部署自動(dòng)駕駛系統(tǒng)（HAV），應(yīng)該鑒定并記錄 HAV 系統(tǒng)的 ODD，描述具體的操作范圍，應(yīng)包括以下信息來(lái)定義系統(tǒng)的性能：安全運(yùn)行道路類型、地理范圍、速度范圍、操作環(huán)境(天氣，白天和夜間等)和其他限制。

對(duì) HAV 系統(tǒng)，應(yīng)評(píng)估、測(cè)試、對(duì)系統(tǒng)功能驗(yàn)證進(jìn)行記錄。

應(yīng)制定評(píng)估 HAV 系統(tǒng)性能測(cè)試和驗(yàn)證的方法

制造商和其他機(jī)構(gòu)應(yīng)開(kāi)發(fā)和應(yīng)用測(cè)試和標(biāo)準(zhǔn)，為每一個(gè) HAV 系統(tǒng)建立安全的 ODD。

這里的基本要求為：

系統(tǒng)應(yīng)該在 ODD 范圍內(nèi)要安全的運(yùn)行

偏離 ODD 時(shí)，或 ODD 動(dòng)態(tài)下降時(shí)，車輛應(yīng)以最小風(fēng)險(xiǎn)的狀態(tài)過(guò)渡。

車主要容易理解這個(gè) ODD 的情況，理解系統(tǒng)的性能和局限性

2）目標(biāo)和意外的檢測(cè)與響應(yīng)(OEDR)

檢測(cè)到需要而立即進(jìn)行駕駛操作進(jìn)行應(yīng)對(duì)的情況（對(duì)這種情況的響應(yīng)），在 L3 及以上，當(dāng) ODD 和自動(dòng)駕駛功能已被啟用時(shí)，系統(tǒng)負(fù)責(zé)執(zhí)行 OEDR。

應(yīng)對(duì) OEDR 能力進(jìn)行評(píng)估、測(cè)試、驗(yàn)證

應(yīng)對(duì)可能影響安全操作的其他車輛、行人、自行車、動(dòng)物和物體進(jìn)行具備檢測(cè)和響應(yīng)功能。

應(yīng)能處理各種情況，包括急救車、臨時(shí)工作區(qū)、和異常情況(如交警手動(dòng)指揮、道路維修、緊急救援)

3）最小風(fēng)險(xiǎn)狀況)動(dòng)態(tài)駕駛?cè)蝿?wù)退出

應(yīng)能檢測(cè)功能失靈，退化或者在 ODD 范圍外，能通知駕駛員來(lái)重新對(duì)車輛進(jìn)行接管以將風(fēng)險(xiǎn)降到最低。

L3 自動(dòng)駕駛功能退出應(yīng)以方便車輛的安全操作和盡量減少不穩(wěn)定駕駛

L4 以上 必須能退回到一個(gè)無(wú)人類駕駛員的最小的風(fēng)險(xiǎn)狀況

Crash Avoidance Metrics Partnership (CAMP) Automated Vehicle Research (AVR) Consortium 這里不少聯(lián)合的廠家有做過(guò)一些梳理：

從這個(gè)維度來(lái)看，就不難理解為啥走一步是如此艱難了

就是對(duì)軟件的需求和架構(gòu)的需求都是新的挑戰(zhàn)（考慮了下面的系統(tǒng)安全和不考慮是兩回事）

第二部分 系統(tǒng)安全：這部分默認(rèn)是車企應(yīng)該具有的，涉及兩個(gè)部分

1）對(duì)廠家的要求

應(yīng)以系統(tǒng)不存在不合理的安全性風(fēng)險(xiǎn)為目標(biāo)，并基于系統(tǒng)工程方法上進(jìn)行魯棒性設(shè)計(jì)和驗(yàn)證過(guò)程。

應(yīng)包含當(dāng)車輛在電力、電子、機(jī)械失效或者軟件錯(cuò)誤時(shí)維持安全狀態(tài)的功能

需要覆蓋車輛的全生命設(shè)計(jì)周期。

應(yīng)包括系統(tǒng)危險(xiǎn)分析和安全性風(fēng)險(xiǎn)評(píng)估

整個(gè)汽車設(shè)計(jì)在適用時(shí)將會(huì)集成到更大的交通系統(tǒng)中（ITS）

應(yīng)描述處理系統(tǒng)失效的冗余性設(shè)計(jì)和安全策略

應(yīng)把重點(diǎn)放在軟件的發(fā)展、驗(yàn)證和校驗(yàn)上

2）NHTSA 對(duì)系統(tǒng)安全的管理

除此之外有一點(diǎn)有些有趣，這里提到了

Tool II: Functional and System Safety

設(shè)計(jì)和生產(chǎn)過(guò)程=》檢測(cè)、分類并降低與內(nèi)部故障有關(guān)的安全風(fēng)險(xiǎn)

NHTSA’s Vehicle Performance Guidance outlines the actions manufacturers and other entities should take during the design and production processes to detect, classify, and mitigate the safety risks associated with internal failures. Ensuring that these efforts are made during the design and production processes will be critical because evaluating them in completed vehicles would be difficult.

The Agency could also take several additional steps.

上報(bào)在功能安全分析中確認(rèn)的嚴(yán)重風(fēng)險(xiǎn)

NHTSA could use its reporting authority to require manufacturers to report serious risks identified during the manufacturer’s Functional Safety analysis.

Those risks could be indicative of potential safety-related defects.

在必要時(shí)修改設(shè)計(jì)，將高級(jí)別風(fēng)險(xiǎn)降至可接受的水平

NHTSA might also require manufacturers to modify their designs as necessary to reduce high-level risks to acceptable levels.

Clarifying the Agency’s authority in this regard would facilitate the smooth implementation of functional and system safety measures.

It also would bring NHTSA’s practices more into line with those other agencies  use to ensure the safety of software-driven products and systems.

我們從邏輯上去分析，其實(shí)可以分析和評(píng)估一套硬件系統(tǒng)（部件）所能達(dá)到的功能安全的特性，從這點(diǎn)上評(píng)估，硬件先安裝，讓參考文件 1 提供了一個(gè)有趣的例子，我也開(kāi)始理解在設(shè)計(jì)和實(shí)施部署過(guò)程中，從概念到實(shí)際需要多大的跨越，這塊用以太：

小結(jié)：周四周五我去聽(tīng)董兄的課，做一些筆記看看，我個(gè)人真的看不到一年開(kāi)發(fā)軟件可以達(dá)到 L5 的潛力。