特斯拉自动驾驶汽车事故分析与汽车信息安全生命周期管理
2018年01月22号,特斯拉Model S在公路上撞上了前方的消防车,幸运的是无人伤亡。根据司机描述,当时他在事故中启动了自动驾驶模式。大多数人知道特斯拉可以说是目前世界上最先进的已经具备L2、特定条件下L3的自动驾驶能力的汽车。
在这里面,小编想和大家分享的和现在的新闻、网络媒体报道不太一样,小编目前从车车联网信息安全行业,所以站的角度更多的是分析一件事故背后的原因、以及造成这件事故应该如何从根本上解决避免。在ISO26262、J3061开发过程中应该如何改善研发代码质量、或是体系流程上的缺陷改善。当然很重要的一部分是如何防护。小编站在主机厂的角度出发,更多的是关注我们的自动驾驶汽车不是亡羊补牢,而是未雨绸缪,在开发中就先去规避风险和漏洞。
根据报道相关原因分析,为大家总结下在自动驾驶在哪些场景下存在安全隐患,目前有哪些汽车自动驾驶汽车存在安全缺陷,对Tier1厂商研发人员以及在哪些自动驾驶场景下出现的安全风险,应该如何进行在研发过程中仿真、路测去构建自动驾驶BP神经数据训练,在发散性思维的前提下,提出构建未来智能汽车行驶的安全分析与总结。对于未来一两年使用智能汽车能有所帮助;同时对汽车销售4S店的销售经理们有一定的资讯参考为用户在智能辅助(自动)驾驶过程应注意的安全守则,当然本文章并不是为了制造慌乱的不良情绪,在绝大多数情况下,智能汽车能给我们带来最舒适而完善的娱乐体验,你可以在车上睡觉,看电影等。但是它也存在风险,可能潜在的APT汽车攻击(后话专题)。
1. 场景一
自动驾驶前方汽车转弯,前方突然出现静止的汽车。
代表自动驾驶汽车等级:L2、L3级
致命等级:★★★★★
代表缺陷车型:特斯拉、沃尔沃
原因分析:
特斯拉的摄像头和雷达传感器在感知前方障碍物的时候,当汽车在高速行使的时候,如超过50英里每小时(80公里/小时),对突然降速的物体或是突然出现静止的物体,对采取有效及时而瞬间的紧急制动是存在一定的困难的。尤其是当你原本跟随的车辆离开了驾驶路径,而一辆静止的车辆或者其他物体出现在正前方的时候, 这一点请4S店的销售人员应向用户普及知识,如果可以的话,建议向用户发送自动驾驶有哪些缺陷,以提高警惕。
1.1. 硬件选型设计建议
1. 采用激光雷达,增强探测前方障碍物的传输性能和响应速度。
2. 如果未来是采用供应商视觉解决方案,建议应该和供应商与整车的系统安全开发联合开展,避免供应商视觉算法方面与整车厂的整体系统兼容性、稳定性等产生安全缺陷。这个案例可见于2016年特斯拉事故中采用的是mobileye方案。
1.2. 软件开发过程建议
1. 软件开发方面:优化事故出现的自动驾驶决策算法中突然出现禁止物体的检测能力及规避能力。
2. 场景二
自动驾驶前方汽车转弯,前方突然出现直角转弯汽车,横穿挂车底部
代表自动驾驶汽车等级:L2、L3级
致命等级:★★★★★
代表缺陷车型:特斯拉Model S
原因分析:
根据了解的情况,当时Models行驶在一条双向、有中央隔离带的公路上,自动驾驶处于开启模式,此时一辆拖挂车以与Models垂直的方向穿越公路。在强烈的曰照条件下,驾驶员和自动驾驶都未能注意到拖挂车的白色车身,因此未能及时启动刹车系统。由于拖挂车正在横穿公路,且车身较高,这一特殊情况导致Model S从挂车底部通过时,其前挡风玻璃与挂车底部发生撞击。
从这张图上来分析,特斯拉汽车的摄像头是因为白色拖挂汽车拐弯,导致其遮挡了视线,同时也有强光的原因导致摄像头致盲。如下图,摄像头致盲效果。强光或者是大面积遮挡物都会影响到前视摄像头的图像识别,这样自动驾驶就变得不可靠。
摄像头失效了,那么特斯拉的防撞系统是基于毫米波雷达的,毫米波雷达应该在150米左右就能够识别出车辆的存在,并且提前预替的。通过交通事故分析发现,白色大卡车是对向而行的,这是双向四车道,毫米波雷达不会识别行驶中对向的车辆。所以150米时没有看到大卡车。当大卡车转弯时。毫米波雷达被卡车车厢面积的遮挡给当住了,没有办法判断前方有几辆车。因为在毫米波雷达内部的天线矩阵发出去信号都有回波,会造成毫米波雷达测量不出有几辆汽车,从而不显示内容。
这里纠正几个观点:对于毫米波雷达系统,原因主要是其安装位置过低。
一般的毫米波雷达垂直视角在±5°以内,导致当特斯拉靠近拖挂卡车侧面时,雷达波束从下侧穿过了卡车,导致漏检查。
特斯拉的自动驾驶系统是能够检测出卡车、汽车、摩托车这三种车型的,所以因为车辆过高,传感器过低,所以没有检测到卡车的存在是有疑点的。
那么毫米波雷达因为识别的原因也失效了。这辆车的状态应该是在基于高精地图信息识别车道线的前提下,高速行驶。这样才会从卡车底部穿过。从而不会减速,我们也经常碰到自动驾驶识别不到前面物体,冲出去的情况。假使当时车辆发生是正面撞击或追尾事故,即便在高速行驶条件下,Model S先进的防撞系统都极有可能避免人员伤亡的发生,因为在此前的很多起事故中,Models都有过如此表现。
2.1. 修复建议
1) 增加传感器的数量,增加4个24G毫米波雷达来判断车周的障碍物。或者增加一个激光雷达对周围障碍物进行扫描。
2) 加强对自动驾驶的算法,提高传感器的弹性设置,增加摄像头滤镜等。
3. 自动驾驶汽车传感器搭载的现状
在未来的自动驾驶汽车中,传感器设备作为汽车的智能驾驶的眼睛,收集了前方的各种障碍物,然后通过汽车大脑芯片的复杂的算法计算,通过执行器作出决策,汽车是否需要变道、停车、刹车等动作。以下随机例举了目前国内汽车几个新能源汽车传感器的搭配。
汽车品牌 |
摄像头 |
超声播雷达 |
激光雷达 |
毫米波雷达 |
特斯拉汽车 |
ADAS功能 的Mobileye摄像头 |
8个 |
无 |
77G毫米波雷达 |
奇点汽车 |
8颗摄像头(1颗双目)、 |
12颗 |
1颗(预留) |
5颗 |
艾瑞泽5自动驾驶版 |
9颗 |
12颗 |
无 |
4颗 |
拜腾汽车 |
不明 |
不明 |
不明 |
不明 |
爱驰亿维 |
不明 |
不明 |
不明 |
不明 |
北汽新能源 |
不明 |
不明 |
不明 |
不明 |
这些大家都懂的,小编就不再细述,主要在于传感器的数量和后期研发的算法、还有路测数据库信息。
目前特斯拉汽车没有采用激光雷达,激光雷达,我们知道它的体格相当贵,在激光雷达这个细分领域,Velodyne大名鼎鼎。这家公司为谷歌、百度等巨头的无人车提供“眼睛”,而每个“眼睛”的售价在8000-80000美元不等,造价甚至超过了车辆本身。除了价格昂贵,这种机械旋转型激光雷达由于标定、调试需要耗费大量人工,因此量产难度很大。对于主机厂在成本控制要求极高的来说,这显然是一个很容易被遗弃不考虑的方案,在国内方面,根据小编的了解,速腾聚创在2016年10月宣布已掌握多线激光雷达的核心技术,并完成第一代多线激光雷达RS-LiDAR研发工作,2018 年1 月 9 号在CES 2018发布了RS-LiDAR-M1 Pre,M1 Pre 的探测距离超过 200 米,角分辨率为0.09°*0.2°(百度数据),近两天有不少媒体报道的特斯拉是否重新考虑使用激光雷达来辅助于自动驾驶系统。相信这对产业的发展是有好处的。测量精度极高,分辨率高、测距范围大,响应速度快的特点与毫米波雷达的几大优势共同发挥于自动驾驶,保障在多种复杂路况条件的行车安全性、可靠性。
4. 半自动驾驶拦外必先安内
不可否认特斯拉的汽车高度的智能化,目前是L2级~L3级别之(指的是汽车在一定的条件下可以实现自动驾驶,但是在某些意外情况下、或是特殊路况下需要把控制方向盘权限交给人脑来操作)相对来说,在以往的事故中,特斯拉升级了系统,要求用户在行驶过程中需要手扶方向盘。
看到这个画面的时候,想必你一定笑了了,没有错,用一用橘子骗过特斯拉的方向盘误以为是司机手扶汽车,特斯拉就会乖乖的启动自动驾驶模式而不会有任何的警告。
所以特斯拉又发布在车内部署了一个摄像头用于监控司机的驾驶行为,是否是疲劳驾驶等,根据小编个人对车内这方面的研究,要防范于外部的安全风险 ,必要先防护于车内的驾驶安全。那么车内监控摄像头就很有必要的了。根据小编对车内的摄像头的需求挖掘,梳理了一下如下,(不完全):
1) 基本的监控司机的驾驶行为,是否疲劳,抽烟,闭眼等。(目前已有厂商,雅迅网络、径卫视觉)
2) 用于人脸识别解锁汽车与启动车辆,具体后续另外专题。目前不太清楚有哪家公司在做?如果有知道的网友可以告诉小编。
3) 用于共享汽车使用,云服务推送不同的人脸别将获取不同的汽车信息配置文件脚本,如坐椅的高低、方向盘高低等舒适配置模式、以及音乐的爱好模式匹配。(这部分,小编将在第二篇微信公众号发布《时光旅行:2035年未来世界自动驾驶汽车场景体验与信息安全》
4) 监控车内各类安全,相当于异常入侵的视频记录,用于行车车内记录仪、发生碰撞的车内视频记录供调查审计。
5. 挖掘测试场景介绍
未来2020年以后的自动驾驶汽车会变的更加智能,无智能不风险 ,威胁也无处不在,在未来的自动驾驶技术环境下,小编认为自动驾驶测试拼的是不仅是里程多,还比较的是谁的自动驾驶涵盖的汽车测试场景数据库信息(场景多样化)最完善。自动驾驶测试里程与测试场景是决定自动驾驶汽车安全的重要因素。在自动驾驶汽车测评过程中,例举一些条件场景测试介绍:
5.1. 测试范围评估
测试范围从仿真系统中实现、另一种是采用路测试模拟场景。
5.2. 仿真系统测试
采用线性神经元算法分析和多层级神经网络等算法分析训练。在我们模拟中应多考虑进来测试样本的完善,在各种各样的有效的场景,我们还可以加入更多的元素,如低纬度有黑夜情况下急转坡道前方突然掉落一个大石头阻挡了自动驾驶汽车行驶安全,目前在我们自动驾驶的训练模型中是否考虑到这一块?
5.3. 路测试场景
从高中低纬度场景基准,雨天、雾天、晴天、阴天参照;白天、黑夜因素,路况为平路、有坡道道路、急转破道,利用BP神经网络线性分类,构建如在高寒带白天晴天气,低纬度有黑夜情况下急转坡道情况下测试。
5.3.1. 模拟的演练场景
1) 各种被动车辆进入测试区域,七彩纯色被动测试车辆进入测试区域。
2) 测试采取标准模拟测试、开放模糊测试方法。
3) 测试规则要求自动驾驶行驶车辆在测试干道上。
4) 前方有非法直角闯入测试(测试速度从缓慢到高速闯入进入区域)、拐弯测试、十角测试,空中突降物品测试、飞鸟落入测试、体积超过不同CM大小的空中降落物安全测试、自动驾驶测试测试盲区非法进入行道测试、并构建威胁场景试验。
测试结果要求:当出现障碍物的时候,能否是否实现诸如自动驾驶要求AEB功能、减速跟车功能、甚至要求至刹车停车。
测试视觉要求:测试结果能否实现声音警告用户、警告色彩抬头显示、系统自动采取刹车行为。模拟仿真自动驾驶可能产生的危害。
特斯拉以上的两次碰撞的场景,小编认为在实际的研发过程中应该包含有这类的测试从而采取有效的解决方案,可以从供应商硬件性能、软件算法优化、增加新传感器设备等方面改善。特斯拉与mobileye为什么在出现事故后分手,意味深长。作为积累里程以及数据最多的特斯拉当然不愿意按Mobileye准备走的路,“提供标准的传感器安装方式+地图数据云服务+软件体系平台构建体系”,白白把数据共享给别的车厂,尤其是那些传统车厂。
6. 汽车信息安全开发VSDLM闲谈
6.1. 设计安全:
曾经撰写了一篇《智能网联汽车信息安全生命周期管理体系VSDLM》,当然鉴于本次分享的内容关系,小编来讲讲其中的重要一个因素,在汽车开发的过程中会关注功能安全,在行业内有个标准ISO26262。在开发的过程中遵循设计、开发、测评、上线运营直至汽车生命周期的终结,这里面比较重要的涉及安全的是ASIL等级评估,伴随着ASIL等级的增加,针对系统硬件和软件开发流程的要求也随之增强。对系统供应商而言,除了需要满足现有的高质量要求外还必须满足这些因为安全等级增加而提出的更高的要求。那么刚才上面的特斯拉的案例,从汽车初期的设计的角度上出发,当然这个产品也和供应商的雷达的产品功能有关系,主机厂和供应商产品经理、在设计的前期在设计过程中,应挖掘汽车自动驾驶运营过程中可能存在的安全风险,通过挖掘安全风险,制定产品场景需求功能安全、信息安全研发说明书。
总的来说,特斯拉在各项自动驾驶传感器信息采集方面做了相当多的调校,关健在于在传输和数据算法决策过程中,在目前的技术范围下,高速行车的汽车在车方瞬间出现的物体,目前科技水平让汽车采用自动驾驶自行决策还仍存在困难,仍然还需要人为的大脑接管方向盘。近期在沃兹尼亚克对特斯拉的整体自动驾驶能力持批评态度,他说:“当特斯拉汽车在高速公路上行驶时,如果遇到不同寻常的事情,比如车道中间有个圆锥体,即使不够聪明的人都可以轻松绕过去,然而特斯拉却不能。”
自动驾驶汽车是一个长期的过程,汽车销售的4S店给用户作汽车解说的时候,以特斯拉为例,建议如实以安全第一的前提下用户手握方向盘,如果可以的话,也可以把上面的案例给他们讲讲。作为汽车厂家在作媒体宣传的时候,也应如实向消费者传普及宣传。只有以消费者利益为前提的自动驾驶汽车厂商,才能在未来的世界里面获得消费者的认可和亲赖。
7. 总结评论
自动驾驶作为人工智能产业中的焦点,在备受市场和资本热捧的同时应清晰地意识到当前任一环节的产品技术尚不能在安全性和成熟度上代替人类驾驶员。
1) 激光雷达目前仍未成为能够规模化生产的低成本车规级产品;
2) 图像识别准确率高达95%并不代表摄像头能够识别街头不同的天气环境和光线水平下的物体;
3) 高精度地图绘制需要长周期、高金额的投入;
4) 算法仍未实现人类拥有的应急处置能力和经验;
5) V2X技术需要颠覆现有的基础设施和汽车架构,短时间内难以实现等。
更多资讯,敬请关注本人的微信公众号:博大信息安全。博主微信号szhw520.欢迎与我联系探讨汽车信息安全。