遞交自動駕駛安全報告，福特并不想爭頭把座椅

今年是各家自動駕駛巨頭爭搶落地的一年，但并不是所有企業(yè)都想著爭頭把座椅。

近日，福特汽車向美國交通運輸部提交了一份44頁的報告，題為《A Matter of Trust》，概述了福特汽車正在使用的自動駕駛技術，如何安全部署車隊。同時，福特表示不想成為第一家向公眾提供自動駕駛汽車的公司。

福特當然希望自己謹慎的策略能夠得到消費者的支持。尤其是今年初Uber的自動駕駛車輛發(fā)生致命的交通安全事故之后，各家公司都在極力采取措施來強調自身技術的安全性。

在福特汽車看來，安全、可靠和經(jīng)過驗證的技術是給予消費者信任的關鍵因素。在這次遞送的文件中，有消息人士透露，福特汽車多次強調他們的重點是正確的做這件事（自動駕駛）。

在福特提交自動駕駛自愿安全報告之前，已經(jīng)有兩家公司也提交了類似報告，分別是谷歌旗下的Waymo和通用汽車。美國政府的目的是希望各家自動駕駛技術公司和汽車主機廠能夠自愿向政府提交一份安全檢查報告。

在此次福特汽車提交的報告中，有很多細節(jié)比如自動駕駛車輛如何處理系統(tǒng)故障，數(shù)據(jù)泄露及安全事故。此外，福特汽車也首次確認了自動駕駛汽車“黑匣子”的存在，作為事件數(shù)據(jù)記錄器。

在這次報告中，福特重申了計劃在2021年推出不帶方向盤、剎車踏板的L4級自動駕駛車輛。在運營方式上，如使用自動駕駛車輛服務城市的特定區(qū)域，但只有當天氣好到足以讓傳感器正常工作的前提下。與此同時，2021年福特不會對外出售這些車輛。

報告稱，構成自動駕駛車輛的部件本身，如懸掛，剎車和電氣系統(tǒng)也很關鍵，就像人體一樣，自駕車車輛必須設計和開發(fā)作為一個集成系統(tǒng)，否則我們無法達到最大的能力，可靠性和性能。

在感知方面，福特認為感知是一個巨大的挑戰(zhàn)，需要機器學習技術來承擔這個問題。這個自驅動系統(tǒng)結合來自所有傳感器源的信息，并基于一個精心設計和徹底測試的體系結構，能夠提供冗余度來感測車輛周圍360°環(huán)境信息，冗余是必不可少的，因為不同的傳感器具有不同的失效模式。

在路徑規(guī)劃部分，福特提到，今天許多城市都有巨大挑戰(zhàn)性的十字路口和獨特的交通模式和行為。通過建立和保持一個高度精確和豐富詳細的環(huán)境地圖，自動駕駛車輛才可以獲得超人的能力。

從而使得自動駕駛車輛能夠準確地知道在哪里尋找交通控制措施或預期減速的地方（比如行人過馬路或街道擁擠不堪）。使用這樣的地圖要求定位既精確又可靠，并使車輛以非常高的可靠性執(zhí)行。

此外，自動駕駛的核心是決策。系統(tǒng)需要不斷從感知中接收信息，評估和選擇駕駛行為并執(zhí)行精確地使其能夠有效安全。車輛必須選擇以自然的方式驅動，傳達清晰的動作意圖，并符合當?shù)氐囊?guī)范。從而有效的幫助其他司機（非自動駕駛車輛）預測自動駕駛車輛行為更準確，并防止意外情況發(fā)生。

福特在報告中表示，建造一輛無人駕駛汽車并不是把傳感器和電腦放進現(xiàn)有的汽車一樣簡單。汽車的傳統(tǒng)零部件必須配合開發(fā)和設計，并與軟件一起工作，硬件和軟件必須協(xié)同工作，從而提供好的自動駕駛體驗。

比如，如果12伏的車載電源出現(xiàn)故障，司機仍然能夠機械地推動剎車踏板并轉向使車輛到一個可控的停車位。在我們的自駕車車輛中，我們正在設計冗余動力、剎車和轉向系統(tǒng)。

同時，我們還需要確保自動駕駛車輛的系統(tǒng)（激光雷達、攝像頭和毫米波雷達等核心傳感器加上處理所有數(shù)據(jù)的計算機）所需的所有部件都準備好了接受汽車生命周期的嚴酷考驗。

在自動駕駛車輛與外界行人的交互上，福特汽車有著自己的設想。

今天，行人和騎自行車的人可以與司機進行目光接觸，以確保他們被看見。司機通常點頭或者揮手示意行人過馬路是安全的。但是，在一個無人駕駛的未來呢？

我們相信，需要有一種標準的方式，使自動駕駛車輛能夠方便地將他們的意圖傳達給街道上的人們。為此，福特汽車設計了一個輕巧的燈條貼合擋風玻璃，光棒的位置恰好是行人或騎自行車的人看得到的地方。燈條用不同的圖案表示它的意圖。

對于安全，福特汽車也有自己的判斷。安全并不意味著傳感器永遠不會發(fā)生故障或自動駕駛系統(tǒng)永遠不會出錯。除了行業(yè)內通用的汽車安全標準（ISO 26262），福特還集成和應用危害分析技術，如系統(tǒng)理論過程分析（STPA），以及預期功能安全（SOTIF）草案標準。

危害和安全分析思路（System-Theoretic Process Analysis）定義事故和類型、整理控制框架、確認不安全的控制行為，識別因果場景，在道路車輛上可以細分成：

事故類型

a. A-1 Two or more vehicles collide

b. A-2 Vehicle collides with non-fixed obstacle

c. A-3 Vehicle crashes into terrain

d. A-4 Vehicle occupants injured without vehicle collision

危害類型

· H-1 Vehicle does not maintain safe distance from nearby vehicles A-1

· H-2 Vehicle does not maintain safe distance from terrain and other obstacles A-2, A-3

· H-3 Vehicle enters uncontrollableor unrecoverable state A-1, A-2, A-3, A-4

· H-4 Vehicle occupants exposed to harmful effects and/or health hazards A-4

上述對自動駕駛系統(tǒng)分解成26個事故、九類危害（共176個），這個過程需要分解全自動駕駛的架構、在每個體系結構級別應用STPA、制定全自動駕駛的操作安全概念、生成測試用例來評估架構設計、開發(fā)/分配可靠的關鍵軟件系統(tǒng)的設計模式。

未來對于自動駕駛汽車，系統(tǒng)代替了人的操作，即使系統(tǒng)不發(fā)生故障，也可能因識別、決策或執(zhí)行過程的不準確，導致交通事故發(fā)生。這類非故障情況下因系統(tǒng)功能不足導致的自動駕駛安全風險，歸為預期功能安全領域（SOTIF）。

SOTIF 針對的系統(tǒng)功能局限可分為：

1、目標使用場景考慮不周全，導致系統(tǒng)不能準確識別環(huán)境要素；

2、功能仲裁邏輯不合理，導致系統(tǒng)決策失誤；

3、執(zhí)行器響應能力不足，導致運動控制偏離預期等。

4、功能局限的產(chǎn)生原因主要是：設計開發(fā)時系統(tǒng)功能定義不能充分覆蓋目標市場的使用需求。

我們的自動駕駛車輛會基于故障類型實現(xiàn)安全地失效或功能失效。故障功能系統(tǒng)包括制動、轉向、低壓電源和虛擬驅動系統(tǒng)。我們的自動駕駛車輛包括一個深入的診斷策略，分析和激活退避解決方案，以使車輛在必要時控制停止。

而在開發(fā)自動駕駛車輛的這個階段，福特相信安全操作員在發(fā)生錯誤或故障時發(fā)揮關鍵作用。他們的培訓是整個系統(tǒng)安全的核心組成部分。

即使在培訓完成后，持續(xù)的每日簡報也會使操作員加快新的功能迭代，他們對測試的反饋對于安全工程師如何改進設計是至關重要的。

此外，福特一直堅持使用三步驗證方法：模擬、閉環(huán)測試和真實世界測試。仿真技術包括硬件在環(huán)（HIL）和軟件在環(huán)（SIL），以創(chuàng)建用于組件和子系統(tǒng)測試的虛擬沙箱。

在面對意外事故的情況下，福特的自動駕駛車輛將立即進入最小風險狀態(tài)（MRC），到達安全的地方停下來。如果需要，備用轉向、制動和動力系統(tǒng)確保車輛能夠在其自身的動力下停止。

同時，自動駕駛車輛將觸發(fā)以下反應機制：

1、使用車載通訊設備呼叫911。

2、如果需要，車輛動力供應的主電池將切斷電源，以確保乘客安全，而備用電源則打開車門并打開危險燈。

3、事件數(shù)據(jù)記錄器（EDR）和自動駕駛數(shù)據(jù)記錄設備，將自動記錄相關碰撞的數(shù)據(jù)。比如氣囊展開、車輛速度和安全帶使用等細節(jié)可以幫助我們了解發(fā)生了什么。

4、遠程客服中心代表隨后將呼叫車輛檢查乘員的健康和安全，并與乘客溝通。

5、根據(jù)事故嚴重程度，客服代表也可以派遣其他自動駕駛車輛完成乘客的后續(xù)行程，而技術人員則安排到現(xiàn)場檢查和修理車輛。當前車輛的虛擬駕駛系統(tǒng)將保持關閉，直到系統(tǒng)檢查完成。