0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

缺乏审查会导致AV安全分数的降低

李辉 来源:法规处发 作者:法规处发 2022-07-15 16:55 次阅读

自动驾驶汽车 (AV) 已经出现在美国各个城市的公共街道和道路上。监管机构——以及公众——有理由相信这些车辆的安全性和可靠性吗?我们没有得到足够的信息来开始信任任何开发 AV 技术或 AV 本身的公司,主要是因为负责汽车安全的机构正在让科技公司和 AV 汽车制造商免于审查。

监管机构和其他感兴趣的观察员唯一可以获得的“安全”信息是开发车辆的公司向国家公路运输安全委员会提交的报告。它们可以在 NHTSA 的网页上作为“自愿安全自我评估”(VSSA)文件找到。

NHTSA 奉行“创新”的口号,没有要求公司报告任何特定数据的义务,更不用说标准化格式的数据了。(但是,NHTSA 确实提供了自愿指南和VSSA 模板。)如名称所示,VSSA 是一种自愿的自我评估。公司甚至没有义务提交 VSSA。许多人不打扰。

与联邦药物管理局 (FDA) 和联邦航空管理局 (FAA) 要求在推出产品之前证明符合严格的行业标准的药品供应商和飞机制造商相比,这形成了鲜明的对比。

对此,Semicast Research 的首席分析师科林·巴恩登告诉我们:“FDA 不允许在随机路人身上开发新药,FAA 也不允许在人口稠密地区测试实验性飞机设计。” 他强调说:“无休止地沿着相同的路线行驶,没有发生任何不好的事情,也没有人被杀,这并不能证明新技术的安全性。NHTSA(和州监管机构)有责任确保公众的安全,而不是充当在未经同意的受试者上测试实验技术的推动者。”

在泡沫中

无论如何,美国的 AV 行业生活在一个泡沫中。

首先,自动驾驶汽车制造商可以使用自己的标准和程序有效地自我认证他们的自动驾驶汽车。其次,他们没有义务提交 VSSA。第三,一些 AV 开发人员甚至没有在他们的报告中提及任何与安全相关的行业标准,包括 ISO 26262(功能安全)、ISO 21448(预期功能安全)和 ANSI/UL 4600。即使他们碰巧引用了这些标准,他们往往只是顺便这样做。

一小部分公司选择提交报告。截至 2021 年 4 月 28 日,已有 55 家公司获得了加州机动车辆部的测试自动驾驶汽车(由驾驶员监控)的许可。在这 55 家公司中,迄今为止只有 15 家公司向 NHTSA 提交了 VSSA。

共提交了 24 份 VSSA 文件。造成数字差异的原因有两个:并非所有在美国进行测试的公司都在加利福尼亚进行测试,并且有两次单一公司提交了两份 VSSA 报告的情况。

EE Times审查了 AV 开发人员在 NHTSA 网站上提交的每个 VSSA。每家公司都在谈论“拯救生命”。他们表示,“赢得公众信任”很重要。每家公司都表示“透明”是其发布安全报告的目标。

由于这种自我祝贺缺乏严谨性,我们决定创建一个记分卡,以尽可能了解每家花时间提交 VSSA 的公司“认真对待安全”的真正含义。我们的检查重点关注公司对 ISO 26262、ISO 21448 或 ANSI/UL 4600 等行业标准的处理方法——因为每个标准都可以发挥作用,并且都适用于任何自动驾驶汽车。(编者注:请参阅本页下表中的记分卡)

在 24 份安全报告中的一个极端,有 3 份根本没有提及任何行业标准。这些是 Zoox(现在是亚马逊的一部分)、Local Motors 和 Apple。

另一端是欧洲汽车制造商宝马、梅赛德斯-奔驰和博世。他们是行业标准的大力推动者。

点击查看完整大小的图片

pYYBAGLO-FKAUIUOAAHzZVwlnvA728.jpg


(来源:安全自评报告)

在这些极端之间的许多变化中,许多 VSSA 申报者提到了 ISO 26262,但避免声称他们的车辆符合标准。

#ISO洗涤

正如 Edge Case Research 的联合创始人兼首席技术官兼卡内基梅隆大学教授 Philip Koopman 所指出的那样,“许多 VSSA 进行标准点名,但并未真正承诺在提及的标准中做任何具体的事情。相当于挑选标准的模糊陈述并不能真正告诉我们公司在安全方面做了什么。” 他称之为“#ISOwashing”。

例如,Waymo 在其 2020 年 9 月的安全报告中没有提及任何标准。在推进其系统安全计划时,Waymo 表示:“作为 2015 年第一家在公共道路上完成全自动驾驶旅行的公司,我们在 Waymo 编写了自己的剧本。”

在 2020 年 10 月发布的随附文件“Waymo 的安全方法和安全准备情况确定(30 页)”中,该公司引用了许多标准并解释了为什么它们不完全依赖这些标准。

在 ISO 26262 上:

ISO 26262 为 Waymo 的危害分析流程提供了重要见解。然而,Waymo 并不严格或完全依赖 ISO 26262 的原则,这些原则并不完全适合 4 级 ADS(自动驾驶系统)。

当被要求解开这个包装时,Koopman 说:“在解释这样的陈述时,考虑它所说的和没有说的内容是很重要的。”

Koopman 翻译:“Waymo 似乎表示他们注意到 ISO 26262 第 3 部分中涵盖危险和风险分析的部分。然而,因为这不是一个完美的配合,他们不依赖它。未说明的是他们是否考虑了 ISO 26262 的许多其他部分。”

他补充说:“也没有说明他们实际依赖的原则,因为他们似乎对完善的 ISO 26262 功能安全标准中的原则不满意。”

他总结道:“现实情况是,ISO 26262 应该适用于他们车辆的许多方面,就像它适用于任何其他车辆一样。由于 ISO 26262 是可定制的,因此很难理解他们为什么不对其进行调整以适应他们的需求。”

然后是阿尔戈艾的案例。在该公司最近发布的安全报告中写道:“我们的系统工程方法是围绕两个关键的ISO标准建立的:ISO 26262和ISO 21448。”

库普曼说:“虽然这种情绪似乎是出于好意,但读者无法知道这在具体意义上意味着什么。”他承认, “这当然给人的印象是他们都符合这两个标准,但如果这是真的,他们为什么不说‘符合’呢?我认为他们会对安全做出最有力的真实声明,那要么是‘符合’,要么是不那么时髦的‘跟随’。如果他们的声明比这两个词中的任何一个都弱,他们就不应该指望获得一个安全的荣誉荣格索赔。”

《EE时报》联系了阿尔戈艾,以澄清该公司的声明。一位发言人告诉我们,“虽然我们的安全案例尚未完成,但我们的意图是遵守,这就是为什么我们以这样的方式撰写声明。”

现有的标准是否让AV行业的玩家认为它们与他们在L4和L5汽车中寻求的“自主性”无关?

库普曼明确表示:“ISO 26262解决了功能安全问题,值得在L4/L5车辆中占有一席之地。对于L4/L5,您需要的是对预期功能的安全性(SOTIF/ISO 21448)和系统级安全性(ANSI/UL 4600)的额外覆盖。您需要覆盖所有这些部分。”

在自动驾驶汽车测试中目前没有监督、没有验证和验证的情况下,一个基本问题——如何在自动驾驶汽车在道路上扩散之前确保其安全——成为一个难题中的谜。

尽管存在相互竞争和不一致的自动驾驶汽车标准,但“存在解决这个问题的方法:接受专家——学者、工程师、汽车制造商和行业代表——共同制定技术中立的安全标准已经采取的方法,”最近写道Jack Weast,英特尔研究员,即将出台的 IEEE P2846 标准(与安全相关的自动车辆行为模型的假设)主席。

韦斯特并不孤单。

鉴于行业本身花费了大量的工程资源来创建这些标准,Koopman 问道:“他们为什么不遵循这些标准?”

在所有提交 VSSA 的 AV 公司中,Nvidia 出现在名单上令人有点意外。这表明 Nvidia 有志于开发一个 AV 平台(配备强大的 SoC 和 AV 软件堆栈),汽车制造商可以简单地将其放入车辆中进行 AV 发布。

英伟达在其安全报告中写道:“英伟达 Drive 架构使汽车制造商能够制造和部署功能安全的自动驾驶汽车和卡车,并且可以证明其符合 ISO 26262 和 ISO/DIS 21448、NHTSA 等国际安全标准。建议和全球 NCAP 要求。”

点击查看完整大小的图片

poYBAGLO-GmADQfqAAMRuV8LaSQ500.jpg


(来源:英伟达自动驾驶安全报告)

我们发现这家 GPU 巨头的说法有点问题。Nvidia 向 ISO 26262 低头并不意味着包含 Nvidia 芯片的 AV 必须符合 ISO 26262。

Koopman 证实,“是的,‘使能’意味着由客户实际遵从。” 他解释说,例如,如果 Nvidia 销售一种让客户“在模拟中”符合 21448 的方法,那么最终产品在现实世界中是否符合 21448 的问题就会出现。

Koopman 补充说:“在 Nvidia 之外,我们已经看到了关于 ISO 26262 一致性的零散声明,但他们实际上只是在谈论芯片,甚至不是所有硬件。”

安全报告是营销手册

阅读 24 份安全报告会让人不可避免地感觉到这些报告本质上是营销手册。

巴恩登指出,它们“完全可以互换。如果我收到的原始文本来自 Motional、Waymo 和 Zoox 宣传册中的公司名称,我无法区分它们。”

问题不仅仅在于报告中过多的光鲜图片。缺乏技术实质。Barnden 说:“我不清楚什么指标可以衡量过去 12 个月取得的进展,也不清楚明年发布的新安全报告中哪些信息会发生重大变化。无休止地重复‘安全’这个词本身并不能使产品或过程安全。”

以 Waymo 为例。Barnden 说:“2020 年,Waymo 向加利福尼亚 DMV 报告了 21 次脱离接触,行驶里程超过 628,839 英里,每 30,000 英里就有一次脱离接触。但正如我们在最近的一段视频中看到的那样,一辆“完全无人驾驶”的 Waymo 车辆完全被一个静态交通锥所迷惑。有一次,[AV] 在高速公路上倒车,完全封锁了一条车道,迫使人类司机绕开它。这发生在 Waymo 在亚利桑那州钱德勒附近的主要测试区域。事实上,脱离接触报告毫无意义。这些车辆显然还不够安全,无法在没有训练有素的人类安全驾驶员的情况下在公共道路上行驶。”

Barnden 指的是 YouTuber JJRick 拍摄的 Waymo Driver 的镜头,他作为顾客在 Chandler 乘坐 Waymo 无人驾驶出租车。

Waymo 的一个案例

考虑到 Waymo 自 2015 年以来一直上路,令人惊讶的是,它的自动驾驶出租车仍然被交通锥所迷惑——这似乎很难被称为“边缘案例”。

近几个月来,曾经被视为明显的 AV 行业领导者的 Waymo 已经失去了六位高层管理人员,包括其 CEO、CFO、财务主管、制造主管、首席安全官和系统安全主管。可以理解,这样的人员外流引起了人们的关注,并为硅谷的八卦工厂注入了活力。

这使我们回到了最初的观点。我们对 Waymo Driver 所取得的进步真正了解多少?Waymo 的安全报告特别不公开,让观察者依赖 YouTuber 作为最先进的驱动程序的关键来源。并不完全令人放心。

沉重的尾巴

对于许多 AV 开发人员来说,他们还需要多长时间才能推出完全自动驾驶汽车。安全报告不仅应包括他们的安全声明,还应包括他们面临的挑战以及他们计划如何应对这些挑战。

Kodiak 是一家声称更高的测试里程并不一定意味着更高的安全性的公司。该公司在其安全报告中写道:“当然,这种严格的方法意味着,我们可能永远不会像我们的一些竞争对手那样记录那么多的测试里程。我们认为我们较低的里程数不是风险,而是我们对安全承诺的标志。”

奥罗拉同意。“……我们将真实世界测试视为验证和提高更快速离线测试保真度的机制。这一策略使我们能够控制道路测试车队的规模。我们通过追求里程质量而不是数量来限制测试车辆行驶的距离;也就是说,我们寻找有趣的里程,而不仅仅是追求大量的里程。”

关于边缘案例研究的重要性,库普曼指出,问题不仅仅是需要修复的意外事件(不安全事件)的频率。更重要的是固定人口的样子。惊喜各不相同。库普曼说:“如果存在大量问题,那么在解决所有问题方面取得进展将需要很长时间。”。很可能你永远也到不了那里。

库普曼在他的论文中写道:

创建安全的自动驾驶汽车不仅需要针对实际操作场景进行广泛的培训和测试,还需要处理不确定性。现实世界中可能会出现许多罕见但危险的事件,这表明这些系统在遇到新的、不可预见的情况时需要具有鲁棒性。

从观察到的道路数据中归纳出各种异常情况的假设将有所帮助。然而,现实世界中惊喜的厚尾分布可能会使使用简单的驱动/失败/修复开发过程来实现可接受的安全性变得不可能。

自动驾驶汽车需要在处理新颖性方面具有鲁棒性,此外还需要一种方法来检测它们遇到的意外情况,以便在面临不确定性时保持安全。

拜登政府

NHTSA对汽车行业的放任政策臭名昭著。几十年来,该机构的利益与汽车制造商和科技公司完全一致。

拜登政府对其解决自动驾驶汽车安全问题的方法一无所知。新任交通部长皮特·布提吉格(PeteButtigieg)是否会引导国家公路交通安全管理局(NHTSA)走向一个新的方向,例如,让科技公司和汽车制造商的视听安全声明更加透明和负责?

当国家公路交通安全管理局回应其在前一届政府发布的关于自动驾驶系统的拟议规则制定通知(ANPRM)之前收集的公众评论时,可能会出现第一条线索。评论期于4月1日结束。

当被问及其时间表时,NHTSA 告诉EE Times,它可能会在“审查收到的针对自动驾驶系统 (ADS) 安全原则的 ANPRM 的公众意见”后做出回答。

然后,该机构将确定其下一步行动。“NHTSA 未来 12 个月的监管计划将于今年春季晚些时候在监管行动的半年度统一议程上公布,”她说。那还没有公布。

一场灾难性的事件发生了

许多 AV 行业观察家都知道,刚刚起步的行业距离政府最终决定实施更严格的规则只有一个新闻事件。

正如巴恩登所指出的,“如果一辆 AV 测试级别的车辆杀死了一个行人或一名儿童,那将直接导致拜登总统。” 他指出,当机动特性增强系统 (MCAS) 设计中的基本缺陷暴露时,整个波音 737 Max 机队都被 FAA 停飞。“这里的安全问题很明确,那么为什么要为 AV 开发提供免费通行证?一个行业在实际上危及生命的同时,为“拯救生命”而哀号是站不住脚的。政治风险是巨大的,政府现在需要醒悟并表现出果断的领导力。”

已经有先例了。当 Elaine Herzberg 被 Uber 测试 AV 杀死时,事故促使 SAE 制定了SAE J3018,这是 SAE 3、4 和 5 级原型自动驾驶系统的安全道路测试指南。

在 Uber 发生致命事故一年后,仅限受邀参加的汽车行业组织自动车辆安全联盟 (AVSC) 开始“根据措施类型记录并公开与车载后备测试驾驶员相关的最佳实践和SAE 自动化办公室主任 Ed Straub 表示。他将 AVSC 的使命描述为“让公众对 SAE L4 和 L5 自动驾驶汽车产生信任”。所有 AVSC 成员都在为各种应用进行道路 ADS 测试。

但事情是这样的:当自动驾驶汽车公司开始向城市和州寻求在公共道路上试驾自动驾驶汽车的许可时,为什么地方监管机构不要求自动驾驶汽车运营商遵守 J3018 标准?

施特劳布说:“我无法与不同州和城市的思想交流。” 他推测,对该标准的认识可能没有渗透到“可能将其用作参考的合适的人”。

但他也为汽车行业的立场进行了辩护:“SAE 国际标准是自愿性的,并且已经存在了一百多年,除非在 FMVSS 等法规中明确引用。” 他指出,“与自动驾驶相关的技术和测试正在以我们前所未见的速度发生变化。正因为如此,开放的行业标准很难跟上步伐……因为自愿性行业标准邀请所有感兴趣的利益相关者来制定它们,它们可能需要更长的时间来制定。“要求”合规的法规(如 FMVSS)可能需要更长的时间。”

然而,严肃地说,什么样的行业会花费时间和资源为其所有成员制定安全标准,但却对执行不感兴趣?除了制造汽车的人之外,道路规则如何适用于所有人?

******************************************

下表由 EE Times 整理。Glossy Pix Ratio (GPR) 是报告中专门用于宣传摄影的页数与专门用于文本的页数的比率。因此,与页数较少但 GPR 较低的报告相比,具有较高页数和较高 GPR 的报告可能包含较少的信息。

接下来的四列计算任何给定报告包含“标准”一词或提及特定标准的次数。VSSA 分数是对 VSSA 的评估。

(此表按部分显示;单击某个部分可查看该部分的大图。)

VSSA 安全报告记分卡

pYYBAGLO-IKACg_JAAMkfiPepwQ588.jpg

poYBAGLO-JmASyCBAAL350rhdx0017.jpg

pYYBAGLO-LOAe3UkAANzWEPDeWg786.jpg

poYBAGLO-MqAHhCAAAMGsWgcimM365.jpg


审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 汽车工业
    +关注

    关注

    2

    文章

    117

    浏览量

    29884
  • AV
    AV
    +关注

    关注

    2

    文章

    268

    浏览量

    44506
  • 自动驾驶
    +关注

    关注

    784

    文章

    13786

    浏览量

    166404
收藏 人收藏

    评论

    相关推荐

    谐波导致设备发热吗?

    谐波导致设备发热。谐波电流在设备中会产生额外的损耗,这些损耗转化为热量,从而导致设备温度升高。具体来说,谐波电流在电机中会产生铁心损耗、绕组损耗以及附加损耗等,这些损耗
    的头像 发表于 12-11 15:28 96次阅读

    路灯漏电导致哪些安全隐患

    一、 路灯漏电可能导致安全隐患包括:   触电事故:路灯漏电可能导致行人或骑行者在不知情的情况下触电,尤其是在雨后或道路积水的情况下,水分会降低人体的电阻,增加触电的风险。   设备
    的头像 发表于 11-20 13:43 109次阅读
    路灯漏电<b class='flag-5'>会</b><b class='flag-5'>导致</b>哪些<b class='flag-5'>安全</b>隐患

    什么原因导致单片机系统死机

    ______________________________________ 什么原因导致单片机系统死机
    发表于 10-16 22:32

    电池放电保护电压降低

    切断电池的放电回路,以保护电池不受损害。电池放电保护电压的设置对于电池的使用寿命和安全性至关重要。 一、电池的化学性质 电池的化学性质是影响电池放电保护电压降低的主要因素之一。电池的化学性质主要包括电池的正负极材料、电解液、
    的头像 发表于 10-12 16:56 375次阅读

    用电高峰时电压为什么降低

    。然而,电力系统在设计和运行时面临着许多挑战,其中之一就是在用电高峰时段,电压可能降低。这种现象不仅影响电力系统的效率,还可能对用户的电器设备造成损害。本文将详细探讨用电高峰时电压降低的原因,以及电力系统如
    的头像 发表于 10-10 15:36 699次阅读

    音视频转换器AV接口静电保护方案

    音视频转换器AV接口静电保护方案 复合视频接口也叫AV接口或RCA接口,几乎所有的电视机、影碟机都有这个接口。 由于使用AV接口的过程中可能会出现插拔线路的操作,有可能带来ESD损害
    的头像 发表于 09-27 15:39 321次阅读
    音视频转换器<b class='flag-5'>AV</b>接口静电保护方案

    发电机失磁导致逆功率吗

    发电机失磁确实导致逆功率现象的发生。以下是对这一问题的详细分析: 一、发电机失磁的原因 发电机失磁的主要原因是绕组损坏或电源电压不足。具体来说,当发电机绕组出现断路、短路或对地绝缘不良等情况
    的头像 发表于 09-26 18:11 421次阅读

    内存条接触不良导致哪些情况

    内存条接触不良是一种常见的计算机故障,它可能导致多种问题,影响计算机的正常运行。本文将详细介绍内存条接触不良可能导致的各种情况,以及如何诊断和解决这些问题。 计算机无法启动 内存条接触不良最明显
    的头像 发表于 09-02 14:36 1814次阅读

    plc什么情况下导致程序丢失

    程序可能丢失。 电源故障 电源故障是导致PLC程序丢失的常见原因之一。当PLC的电源突然中断或电压波动过大时,可能导致程序数据丢失。为了预防这种情况,可以采取以下措施: 使用不间断
    的头像 发表于 08-19 09:14 1318次阅读

    一带负载电压就降低怎么解决

    在电力系统中,负载电压降低是一个常见的问题,它可能导致设备无法正常工作,甚至损坏。 一、负载电压降低的原因 电源线路过长 当电源线路过长时,线路上的电阻
    的头像 发表于 08-15 15:19 3311次阅读

    plc突然断电导致什么异常

    对生产过程、设备和人员安全造成影响。以下是对PLC突然断电可能导致的异常情况的分析: 生产中断 PLC断电导致生产过程中断,这可能会对企业的生产效率和经济效益产生负面影响。生产中断可
    的头像 发表于 07-25 10:11 1313次阅读

    功率分析仪ZES ZIMMER品牌参加了PowerizeD的2024年度项目审查会

    截至2024年1月1日,我们已经可以标志着欧洲联合研究项目PowerizeD的第一年,上周,众多项目合作伙伴聚集在比利时鲁汶的校际微电子中心( Interuniversity Microelectronics Centre,imec)总部,进行第一次项目审查
    的头像 发表于 04-02 17:36 319次阅读
    功率分析仪ZES ZIMMER品牌参加了PowerizeD的2024年度项目<b class='flag-5'>审查会</b>议

    微软Teams应用整合AV1编解码器,降低带宽需求,提升画面清晰度

    AVI是新一代的开源视频编码格式,因高效的压缩能力而备受推崇。借助AV1,只需极小的带宽即可保证视频的高清传输。对于要求高清晰度和流畅度的Teams应用,此时使用AV1编码无疑成为最佳选择。
    的头像 发表于 03-28 09:52 438次阅读

    看门狗唤醒导致baseline降低的原因?

    如图所示,休眠前baseline是2716,看门狗唤醒后baseline的值变成了2299,导致信号触发。请帮忙分析有哪些可能导致baseline降低,谢谢。
    发表于 02-04 06:59

    温度很低的情况下,电机效率降低吗?

    温度很低的情况下,电机效率降低吗  电机在工业和家庭中广泛应用,其效率是评估其性能的重要指标之一。然而,温度是影响电机效率的关键因素之一。本文将探讨低温对电机效率的影响,并提出一些应对措施,以保证
    的头像 发表于 01-04 11:26 2109次阅读