狂飙的智驾面前,车企的功能安全理念为何失灵?
01.体验的两难
L2级辅助驾驶在技术、营销两条车道上狂飙了多年之后,终于撞到最严格的一次监管。
4月16日晚间,工业和信息化部装备工业一司在工信部官网上发布了公告,其中明确提到“汽车生产企业需要明确系统功能边界和安全响应措施,不得进行夸大和虚假宣传,严格履行告知义务,切实担负起生产一致性和质量安全主体责任,切实提升智能网联汽车产品安全水平。”
除了上述公告,一些具体的规定细则(附文末),开始在行业内流传。这些内容在三个方面严格限制了L2级辅助驾驶技术(下简称智驾),包括智驾技术的宣传、使用规范,以及对车企进行远程软件升级,即OTA的监管。
临近上海车展前,这一突然到来的公告,打乱了很多车企已准备好的营销节奏,有车企营销的负责人告诉我们,很多已经确定好的宣传文案,都得改。甚至还影响了他们的技术发布节奏,一些车企原定的OTA内容,只能重新再讨论。OTA的频次会降低,小范围推送“公测”、“尝鲜”版本的行为不再被允许。
究竟是什么导致了L2级辅助驾驶技术在“系统功能边界”和“安全响应措施”上的不明确?
L2级辅助驾驶(以下简称智驾)进步到现在,一项很关键的能力是“拟人化”,这不仅是智驾研发人员在技术上的目标,也是车评人在做相关测评、对比横评时,着墨最多的一项体验。比如加减速时是否平稳,处理紧急情况时是否从容果断,跟车、超车时能否让人有信心等主观感受。这些人的主观感受,往往因环境不同而变化,因此很难用一套规则来描述清楚,
拟人感是学习的结果。从两年前开始,端到端大模型成为智驾的主流方案,它用大量的案例来训练人工智能,让AI自主学习人类开车的方式。于是智驾功能的进步过程,变成了AI大模型能力的进步过程,而不再是基于无穷尽的手写规则的功能开发。
通过引入直接向人类学习的人工智能,大部分车企的大模型都能做到拟人驾驶,整套智驾方案赋予大模型的权限越大,智驾系统的拟人能力往往也就越强。
但迄今为止,还没有车企训练出完美的大模型。大模型可能会遇到处理不了的问题,还可能会生成一个错误而不自知的结果。为了避免后者,在AI的基础上,大部分车企都会加入一套规则(Planner)来“兜底”,规则会在大模型所选择的诸项方案中,规避掉一些危险的方案。而为了避免前者,智驾系统可以做出对L2级别辅助驾驶来说正确事情——预警退出,交给人类。
可究竟什么时间、什么情况下应该退出并把车交给人类,是模糊地带,这就导致了“系统功能边界”和“安全响应措施”的问题。是智驾系统把握不大时,还是全无把握时?亦或是只要稍有疑虑就应该退出?
智驾系统的设计者倾向于晚一些,因为那样才能提升体验,同时提升一个关键指标——百公里接管次数。这是一项智驾技术和车企营销团队都会关注的数值,比如小鹏今年的目标是将百公里接管次数降到一次,以彰显技术的领先程度。
最近颇受关注的高速路碰撞事故中,相关车企公布的时间线显示,智驾系统在事故前2秒到4秒时才突然退出,将驾驶权交给人类。当时车辆的时速是116kmh。
功能安全难题
上述智驾系统的决策方式,并不是个例。当有规则算法在端到端模型方案中作为最后一道防线时,智驾系统会在很多处理不了的问题中选择退出。更常见的退出情况发生在违反交规时,比如红灯压线或闯了红灯,这种场景下,智驾系统违反了规则算法中清晰描述的边界,因此经常会选择退出。
但除了闯红灯等边界清晰的错误,拟人化的目标下,很多规则未必有那么清晰。比如在限速20kmh但空无一人的湖滨道路上,智驾系统应不应该超速,又或者在限速从120突然降到40的高速公路匝道上,智驾系统是应该在指示牌前通过急刹将车速降到规定值以下,还是应该拟人化操作,缓慢减速,这些都是需要取舍,需要规范的问题。
目前国内汽车所要遵循的标准正在逐步丰富,比如关于汽车转向的基本要求GB 17675、关于乘用车制动的技术要求GB 21670。这些标准规范了相关领域的性能、安全冗余、报警信号等。除了强制标准外,还有一系列推荐标准。
虽然智驾决策主要包含的,就是转向、制动和加速几个项目,但要依靠上述标准对功能安全的定义,来实现对L2级辅助驾驶安全的监管,目前还不能做到。特别是当无法用功能来定义的端到端大模型,成为智驾技术方案之后。
端到端大模型,一端是感知信息的输入,即车上所有摄像头、雷达所搜集到与驾驶相关的信息,另一端是驾驶决策的输出,中间不再有其他环节。
被减掉的环节包括感知、预测、规划和控制,这是上一代智驾技术的四个基础模块。那时智驾的研发人员需要将开车的规则整理成代码,一行一行的写进四个基础模块中。可最后行业发现,道路上所能遇到的情况难以穷尽,一家车企负责整理coner case(特殊案例)的工程师人数越多,他们所能发现的问题、打上的补丁就越多。端到端大模型的引入,解决了这个问题。
但对于功能安全工程师来说,很难在端到端框架下,完整贯彻的功能安全的理念。
▍某车企的功能安全理念
比如,目前国内在功能安全上做的较好的车企,会从新车前期的架构设计、功能定义阶段便开始介入,到了车型的开发阶段,功能安全也会同步跟进,有功能做变更时,功能安全部门需要给出自己的意见,判断哪些变更会影响到后续结果,并对功能安全要求去做相应的适配性变更,这些要求有时会具体到信号、交互方式和次序等。最后再参与产品开发完成进入评审阶段,功能安全工程师会在各个子系统中找到与安全相关的相关项进行检查。
但端到端智驾大模型是一个难以检查的“黑盒”,车企的功能安全理念贯彻的再彻底,也很难在前两个阶段中介入,无法在整个流程中,提出具体的要求。
另外,目前的法规,对智能驾驶技术的规定也较为模糊,这也使得车企的功能安全部门很难找到执行的标准。去年8月1日,工信部联合市场监管总局质量发展局发布了《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知(征求意见稿)》,一定程度上对车企的OTA进行了规范,一些车企通过OTA来解决未备案的产品问题,在相关规定完善后,这些漏洞会被补上。
但这些规定更多是从结果和影响来做规范,真正直指技术本身的标准,目前方向还很模糊。
相比之下,欧盟《通用产品安全法规》提供了另一种思路,它在技术标准上同样未做细致的规定,可一旦产品出现安全事故,企业需要提供充足证据来证明自己做到了最优,以撇清责任,否则会面临巨额罚款。这就让企业不得不在研发和生产过程中“自我审查”,去尽量建立高标准。
端到端大模型除了能力上限更高,它还带来了一个好处,端到端省掉了四个模块之间传递的过程,避免传感器搜集到的信息,在模块间传递时的衰减。
这就让减少昂贵传感器的产品方案变得可行,比如减少或去掉激光雷达等传感器,将智驾技术下放到更便宜的车型上,由此带来智驾技术普及的关口上,规范技术的安全边界,的确已经势在必行。
附:网传智驾监管内容
一、规范车企OTA——
(1)收紧企业OTA的审查,要求企业降低OTA的频次,单次OTA必须验证充分再上车。如果发生需要紧急OTA的情况,车企需要走召回和停产流程,新的OTA需求由市场监督总局审批通过后才可以部署;
(2)不允许各种名义的“公测”,无论是多少用户参与,也需要和完整版本一样公告流程。
二、规范技术宣传——
(1)宣传中禁用“自动驾驶”、“自主驾驶”、“智驾”、“智能驾驶”、“高阶智驾”等名词,以“智驾等级+辅助驾驶”进行描述(例如L2级辅助驾驶);
(2)禁止使用“代客泊车”、“一键召唤”、“远程遥控”等名词;
(3)不允许在L2级宣传中用“接管”进行功能的传播,也不允许使用“脱手”、“脱眼”的描述;
(4)尽量用中文全称,即便使用英文,在第一次时也必须进行中文的全称说明。
三、规范涉及使用方式的能力宣传——
(1)敦促厂商从技术层面禁止驾驶员脱离,使用驾驶辅助必须对人脸ID进行识别,在驾驶辅助状态下,禁止座椅调节和平躺;
(2)厂商不可以用“驾驶员视觉脱离”抑制和关闭“驾驶员运动脱离”,“运动脱离”60秒,需要用户给出合理性说明;
(3)不再受理不能确保驾驶员完全控制的功能,例如“代客泊车”、“一键召唤”、“远程遥控”;
(4)即便车辆的智驾能力在驾驶员无法响应的情况下实现了规避事故,仍需要对用户进行惩罚;
(5)LCC、NOA等L2级辅助驾驶能力需要有“避碰测试”,测试报告需要有全方位详细的信息;
(6)对于车企利用数字仿真对辅助驾驶的应用场景进行模拟,车企需要给出自己整套仿真系统的可行性评价。
