【智驾深谈】特斯拉死亡事故官方洗白,业界被判死缓(万字报告)

    xiaoxiao2021-07-11  220

    2016年5月7日,一款特斯拉2015 Model S型轿车在经过佛罗里达州Williston西郊高速公路的时候,与一辆拖挂卡车相撞,驾驶员当场收到致命伤害。从该车提取的数据显示:

    碰撞时刻特斯拉处于Autopilot状态;

    自动紧急制动(AEB)系统并没有提供任何预警或在碰撞时刻起作用;

    驾驶员没有任何制动、转向或其他行为来避免碰撞。

    2016年6月28日,NHTSA启动PE 16-007以“检查碰撞时刻现有所有自动驾驶系统的设计和效果”。NHTSA的缺陷调查办公室Office of Defects Investigation (ODI)进行了如下分析:

    特斯拉及类似企业自动紧急制动系统的设计和效果;

    Autopilot操作模式中的人机接口问题;

    碰撞事故中与特斯拉Autopilot和AEB系统相关的数据;

    特斯拉在实现Autopilot和AEB系统过程中做的定制化更改。

    NHTSA的调查显示,事故车辆的AEB或Autopilot系统并未有任何设计和效果方面的问题。业界目前普遍使用的AEB系统是为防止追尾而设计,无法避免所有碰撞事故,包括横向碰撞。Autopilot系统属于ADAS系统,需要驾驶员持续和全部的注意力维持运行,并时刻准备接管。特斯拉的设计中包括一个手扶转向系统,用以监控驾驶员状态。系统已经升级到一种“strike out”策略,即驾驶员一旦不根据仪表盘上的可视化显示执行,Autopilot会立即退出。

    本次调查并未对潜在的安全风险进行调研,未来也并没有相关计划,因此调查到此为止。值得注意的是,这并不意味着系统没有风险。本机构会持续关注安全问题并保留进一步调查的权力。

    二、洗白三步走:降级评定、功能测试、责怪司机

    报告由NHTSA的缺陷调查办公室 Office of Defects Investigation(ODI)进行确认的当时事故的情况,报告里面明确了几点:

    1. 当时车辆是工作在Autopilot的模式下的:NHTSA认为,autopilot巡航系统只是一个Level 1的系统,在开启了Autosteer的功能的条件下,可以达到Level 2的层级,在这个层级工作的时候,驾驶员需要全神贯注外部的情况,为自己的生命负责。

    2. 当时发生的事故的情况下,AEB自动刹车系统并没有提供警告、也没有刹车:NHTSA对AEB功能进行测试,得出结论:

    a)Tesla的AEB的功能设计是为了减缓纵向前后碰撞设计考虑的,这个功能是和整个行业的水平一致的

    b)在事故发生时候的交叉路口的情况下,这个AEB功能并不在系统设计范围内

    图1 NHTSA进行的AEB对比测试

    3. 驾驶员,也没有任何操作(刹车、转向和其他操作)

    a)这个死者是个Geek和忠实粉丝,他自己不知道这个L1-L2的系统是不是可以当作完全的自动驾驶开,他选择相信这个系统

    b)事故遇到一个交叉路口,遇到一个特殊的卡车拐弯,超过了这个系统设计范围,自动刹车部分不工作,驾驶员也没反应过来,这个人就死了

    三、逃过一劫:藏在说明书角落的救命稻草

    其实Tesla与其他汽车OEM没有很大的区别,不同的车企对于驾驶员监测的方法和警告驾驶员的策略并不相同,而这里监测到驾驶者手不在方向盘上的警告力度和后续措施会有不同的结果,都做了两个主要的措施:

    通过多种渠道告知车主L2系统的运行限制

    检测驾驶者在L2系统工作时候的监控周围环境注意力情况

    图2 Tesla提供的两个措施

    四、全部判死缓,全自动驾驶怎么办? 

    特斯拉能够逃脱一劫,最重要的事情,是整个L2的设计范围和设计限制是客观存在的

    1.TACC是基于直路、高速公路设计

    a)道路需要是干的,恶劣天气如道路湿滑、积水、积雪就进入限制条件

    b)弯曲道路则要考虑Auto Steering的能力

    2.开启Auto steering,驾驶员需要决定道路(道路中间有隔离带,需要有清晰的道路线)是否能适合,如果驾驶员选择错了,与以下条件偏差,系统特性会降级

    而根据整个系统的特性,其他类似的L2系统存在的限制,Tesla的也会有。其实这个调查结果只能说Joshua Brown冤死了,这个系统没有缺陷性故障,但是给Joshua Brown给滥用了。其实更深层次的问题在于,随着车辆的复杂性提高,主动安全特性增加使得驾驶员对系统的安全性增加,在ADAS辅助驾驶、不同等级的自动驾驶,车主掌握区别,掌握实际的使用和系统限制太慢了,之前在使用过程中的体验不断增进他的信心,一个认知错误+一个意外的事情要了他的命。

    企业算是保住了,并且貌似有理有据,然而还是有很多专家都认为,美国政府为了表达支持自动驾驶的态度,而选择性地忽略了特斯拉招牌式的“放开双手表示自动驾驶”广告。自动驾驶的发展离不开面向全社会的长期有效的沟通和宣传,特斯拉必须在广告上面收敛,否则后面会非常难做。

    五、NHTSA 报告全文

    1.0 简介 

    2016年5月7日,美国佛罗里达州威利斯顿西部,一辆2015年的特斯拉 Model S 在高速路上通过一个十字路口时,失控地与一辆货柜车发生碰撞,导致特斯拉司机死亡。

    从失事的 Model S 上获得的数据显示:1)发生碰撞时,该车处于由Autopilot 控制的状态;2)碰撞过程中,自动紧急制动系统(AEB)没有提供任何警告或者强制自动制动;3)司机没有采取任何制动、转向或其他行动来避免碰撞;4)司机最后被记录的车内操作行为是将巡航控制系统的设定速度提升到74英里每小时,此时离撞车不到两分钟。车祸发生在一个晴朗的日子,且道路条件为无湿滑。2016年6月21日,NHTSA 成立了一个专门调查小组,对发生车祸的车辆和道路环境进行研究。NHTSA的调查发现,至少在车祸发生前7秒以上,货柜车是处在特斯拉司机的视野范围内的。2016年6月28日,NHTSA 启动了 PE16-007 调查项目,以“检验发生车祸时,车内任意自动驾驶系统的设计和性能状况”。

    作为NHTSA 对特斯拉的Autopilot 系统检验的一部分,故障调查办公室 (ODI)分析了以下几个主题:1)该款特斯拉车型中的自动紧急制动系统(AEB)和其他汽车的设计和性能对比;2)与Autopilot 操作模式相关的人机交互界面;3)与发生事故的特斯拉Autopilot 和AEB 系统相关的数据;4)特斯拉在 Autopilot 和 AEB 系统中进行的改变。

    2.0 AEB 系统

    2.1 AEB 技术

    自动紧急制动包括以下避免碰撞的技术:前方碰撞警告(FCW),动态制动器支持(DBS)和碰撞迫近制动(CIB)。如果系统预测车辆与前进路径中的物体即将发生碰撞,则会给司机提供 FCW。为了产生效果,这样的警告应该在充足的时间内提前给到司机,让司机可以评估潜在的危险,以正确地反应,刹车或者转向,避免碰撞。

    如果驾驶员选择通过刹车避免碰撞,但是没有应用足够的制动来这样做,DBS会自动补充制动。如果驾驶员没有采取行动避免碰撞,CIB自动应用车辆的制动,以便可以减轻或避免碰撞。

    2.2 背景

    AEB 技术已经使用了10多年。2007 年 9 月, Crash Avoidance Metrics Partnership (CAMP) 启动了一个由美国 (NHTSA)资助的项目,“旨在开发用于评估 CIB 系统的测试方法,并建立起通过观察减少汽车碰撞中的潜在伤害严重性来评估其效果的方法。

    该项目于2011年9月发布的最终报告证实了雷达,摄像机和雷达/相机融合系统作为后减轻或避免碰撞技术的有效性。该报告还确定了几种项目验证不可行的碰撞模式包括直通道(SCP)和左转弯路径(LTAP)碰撞。项目测试的直交叉路径( 增加强调),左转弯-相反方向和电线杆/树碰撞场景的测试方法都被指定为“测试方法未验证 - 超出CIB项目的范围”。

    虽然测试方案不断发展并为这些碰撞情况演示了CIB 系统性能,但是,不管是系统配置或设置,都不能可靠地响应这些测试。由于这些类型的碰撞难以提前预测,CIB 唤醒和潜在的错误唤醒之间的平衡很难达成。加上许多别的原因,近期的CIB系统很可能都不会在这些场景中部署,可能通过其他的主动安全技术,可以更好地解决这些问题。

    图1显示了作为 CIB 项目的一部分——直交叉路径测试。该报告提供了关于测试结果的以下评估:“碰撞前出现在视野中的目标的时间有限,这对系统的良好表现和采用CIB系统是一个非常大的挑战。通常,目标总是在撞击之前很晚才被识别或根本不被识别。

    从2010年的车型年份(model year)开始,NHTSA已经把FCW 系统的性能作为其新车评估程序(NCAP)的一部分。这些测试包括CIB项目已经验证的后端碰撞: 前车停顿(LVS), 前车移动 (LVM)以及前车加速 (LVD)。

    2015年11月5日,该机构宣布,从2018年的车型年份开始,将在NCAP的效果测试中增加AEB 系统。2016年3月,NHTSA 与 美国国家高速路安全保险局(IIHS)联合发布了一项声明:20家汽车制造商、几乎99%的美国新车市场自愿自愿让 AEB 成为“几乎所有轻型汽车和卡车的标准,车辆重量8,500磅。或更轻。2022年9月1日之前,以及几乎所有卡车的重量都要限制在8,501磅到10,000磅之间。2025年9月1日之前,“声明中引用的预期安全效益仅限于后端碰撞:

    IIHS的研究表明,这项措施让AEB系统将减少40%的后端碰撞。 IIHS估计,到2025年,可以防止28,000次碰撞和12,000次伤害。NHTSA最早认为它可以在现实中实施AEB的监管要求。

    随着汽车制造商和供应商不断改进传感器装置和执行物体分类与制动决定的算法(例如,行人碰撞避免),AEB系统性能和能力方面不断提高。认识到这一点之后,ODI调查了十几个汽车制造商和几个主要供应商,以确定自从CAMP CIB项目完成后,横穿十字路口避免碰撞的AEB能力是否发生了变化。ODI联系的公司中,没有一家表示,在他们2016年的产品中,AEB 系统被用于在通过十字路口时避免碰撞的刹车。

    2.3 Tesla AEB系统

    特斯拉AEB系统是一种雷达/相机融合系统,无论自动驾驶仪状态如何,在处于“开” 的状态时都能正常工作。驱动程序可以通过安装在仪表板中央的显示屏,通过访问的驾驶辅助页面来切换 AEB 开 / 关。对于每个新的启动循环,AEB默认为ON。驾驶员可以选择FCW警报的时间,有四个选项:早,中,晚或关。如果FCW为关,在驾驶交通感知巡航控制(TACC)模式(见下面的第3节)时,驾驶员仍然会得到刹车能力警告(BCW)。

    当前车速太快,BCW会提出警告,以避免与前车发生碰撞,其采用的是TACC 减速限制标注。调整FCW警报的时间不会影响Tesla AEB系统的激活时间。

    雷达和摄像机子系统都被设计用于预测并缓解或避免前后碰撞 。系统需要两个传感器系统的协议来启动自动刹车。相机系统使用Mobileye的EyeQ3处理芯片,使用车辆的后方图像的大数据集来做出目标分类决定。复杂或不寻常的车辆形状可能会延迟或阻止系统将某些车辆分类为目标或威胁。

    在5月的车祸之后,NHTSA使用2015年的特斯拉Model S 85D和2015年的梅赛德斯C300 4Matic对标车辆,进行了一系列基于测试跑道的AEB性能评估。车辆在三个后端碰撞碰撞模式(LVS,LVM和LVD)和三种不同的车辆操作模式下进行测试:手动驾驶、自适应巡航控制(ACC)系统、ACC和车道居中控制(LCC)系统。这个测试证实了在特斯拉和对标车辆中的AEB系统能够在测试的大多数后端情况下实现碰撞避免; ACC通常提供足够的刹车以实现碰撞避免,而不需要CIB进行干预。并且在SCP或LTAP情景中,车辆没有有效地对现实出现的人为“目标”车辆进行反应。

    ODI对特斯拉AEB系统的分析发现:1)该系统被设计成避免或减轻后端碰撞; 2)该系统的能力符合2016年的AEB行业最先进水平标准; 3)用于交叉路径碰撞的刹车,例如在佛罗里达州致命碰撞中存在的刹车,超出系统的预期性能能力。

    3.0 碰撞事故

    Autopilot系统是ADAS,可以利用线控制动、转向和电机扭矩来自动控制车辆的速度和行驶路径。图2展示了Autopilot用来监控驾驶环境的硬件组件及范围。主要涉及到的行车功能是TACC和Autosteer。

    3.1 可感知交通流的巡航控制(TACC)

    特斯拉TACC系统利用前向相机和毫米波雷达传感器的数据来决定本车前方是否存在同一车道的车辆。如果没有,TACC会维持驾驶员预先设定的速度。如果检测到前车,并且速度慢于本车,TACC会控制电机扭矩,与前车维持一个利用时间换算的合适距离。

    特斯拉Model S轿车的用户手册对TACC进行了描述,它是“主要用于干燥、笔直的道路情况,例如高速和快速路。不能用于城区道路。”手册还包括一些跟系统局限性相关的附加警告,涉及到有附近行人和自行车的情况,以及曲率比较陡的路线,和湿滑路面、恶劣天气等。系统并不能阻止用户在不适合的路况下启动。

    3.2 自动转向控制

    特斯拉Autosteer系统利用前向相机、毫米波雷达和超声雷达传感器,检测道路标线以及本车周边障碍物,并通过自动控制保持本车在道路中心行驶。特斯拉用户手册中包含下列警告:1)Autosteer只适用于高速路以及快速路,并且驾驶员需要高度集中精力。在Autosteer使用过程中,驾驶员需要握住方向盘,并随时分析周围交通状况。城区路况、施工路段以及自行车和行人密集区域不要使用Autosteer。不要依靠Autosteer来判断有效行驶路径。随时准备采取立即行动。如果不遵循上述操作,则可能造成严重的车辆和人员伤亡;2)很多不可预见的场景都会令Autosteer退出操作。用户必须谨记这一点,Autosteer可能会错误地进行车辆横向控制。驾驶员必须保持时刻警惕,并保证能够随时接管。系统并不能阻止用户在不适合的路况下启动。

    4.0 人机交互接口

    4.1 自动驾驶分级

    按照NHTSA分级,仅TACC使能的时候,特斯拉Autopilot系统属于一级自动系统,与Autosteer同时使用时升级为二级。图3是驾驶自动化分级总表,清楚地划分了每一个层次中驾驶员和系统之间的职能划分。一级二级系统需要驾驶员的持续关注,并在需要的时候随时接管。驾驶员牢记自己的责任,认清自动驾驶的局限性是保证安全的关键。

    二级部分自动驾驶系统的设计需要考虑人车共驾状态下的人机交互接口,包括:1)为驾驶员提供系统局限性相关的信息;2)包含一种可以监控驾驶员在环状态的方法,并辅助驾驶员认清周围路况;3)通过车辆动态反馈以及报警提醒,将模式切换混淆的可能性尽可能降低;4)考虑到如何限制用户在不合适的环境下使用该系统。

    4.2 系统局限性

    特斯拉以多个层次提供了系统局限性的信息,包括:1)用户手册;2)每次软件更新时候的更新说明,也指向用户手册;3)首次或一段时间后再次使用Autosteer之前,都有一个用户使用认可协议;4)每次Autosteer启动以后,仪表盘弹出对话框显示“请一直手扶方向盘”;5)用户界面呈现的信息,会在驾驶过程中一直显示,包括Autosteer的状态,亮白表示正在使用中,灰色代表现在是手动模式,但可以随时开启。

    4.3 驾驶员监控

    特斯拉通过与方向盘,转向信号和TACC速度设置杆的交互监视驾驶员的驾驶行为。如果系统根据道路类别,车辆速度,道路曲率和交通状况变化的时间段内没有检测到驾驶员的手保持在方向盘上(使用微扭矩测量来评估)或驾驶员参与驾驶的其他标志,则会发出一系列警告。

    警告从视觉警报开始,指示司机需要将手放在方向盘上。如果驾驶员对视觉警告没有反应,系统在15秒后会发出蜂鸣声。如果再过10秒,司机还没有反映,系统会发出一阵更紧急的声音。如果5秒以内,驾驶员对第三警报依然无动于衷,则系统会逐渐降低车速,同时保持车在车道上的位置。一旦系统检测到驾驶员的手放在了方向盘上,警告会解除,并恢复Autopilot的运行。

    作为 2016年9月的特斯拉8.0 over-the-air(OTA)软件更新的一部分,特斯拉修改了手控警告的时间,并增加了一个功能,如果一位司机长期没能对警告做出足够的反应,系统就会把Autopilot 功能取消。(这被称为“Autopilot 自动出局” - 图6)。

    4.4 模式混淆

    在尝试激活或意外接替自动转向(Autosteer)期间的意外系统响应可能使操作者不清楚车辆的状态(即“模式混乱”)。特斯拉的设计旨在防止模式混淆在几个级别,包括:1)在用户界面中提供有关自动驾驶仪的可用性、自动驾驶仪状态和状态之间成功和失败转换的信息;2)在自动转向或自动转向系统未成功激活的 40 秒内,当车辆越过车道线或道路边缘时,在方向盘上没有检测到驾驶员的手时,提供视听的“立即接管系统”(Take Over Immediately)警告;3)如果驾驶员在自动驾驶仪不可用时双向拉动巡航杆,尝试激活TACC和自动驾驶,则这两个功能都不会激活,自动驾驶指示器图标将闪烁橙色(图7),并发出声音警报。

    4.5 道路约束

    根据特斯拉提供的信息,Autosteer 用于有中心分隔线和清晰的车道标记的高速公路。但是,系统不会阻止车辆在任何道路类型上行驶。驾驶员负责决定何时适合于系统激活的道路类型和其他条件。系统更多是会根据车辆速度、道路类别和车流量进行实时警告。

    5.0 碰撞事故

    5.1 Autopilot 碰撞 

    ODI分析了来自Tesla Model S和Model X车辆的多起碰撞的数据,包括在从自动驾驶模式转换的15秒内操作时发生的气囊展开情况。一些碰撞涉及其他车辆从各个方向撞到特斯拉的影响,一些事故中,系统很少甚至没有警告特斯拉司机。其他碰撞涉及当前一代自动驾驶1级或2级系统的技术水平之外的情形,例如车辆并线和交叉路径碰撞。

    图8和图9展示了来自对等车辆所有者手册的警告的示例,其指示这些模式对于ACC系统在1级或2级操作模式中具有挑战性,并且可能需要驾驶员采取行动以避免碰撞。类似地,在讨论ACC时,BMW手册描述了系统限制,包括系统对交叉车辆不减速。

    5.2 驾驶员行为因素  

    许多碰撞事故都涉及驾驶员行为因素,包括在特定情况下驾驶速度过快、模式混乱以及注意力分散。大多数碰撞都与驾驶员没有及时控制方向盘转弯,以及(或者)踩刹车有关,但也有个别情况是驾驶员在碰撞发生前没有采取任何行动。高速公路上发生的碰撞事故数量大约为 ODI 审核事故的一半多一点,这些事故涉及超车、急刹车,以及在车流中突然转向。有些碰撞事故发生在不适于半自动驾驶的环境(如城市车流、高速公路进出口、拥挤地带、大雨情况,以及道路交叉口/十字路口)。ODI 分析发现,因驾驶员模式混乱而没有察觉事故征兆导致碰撞事故发生的,并不能说明驾驶系统存在设计缺陷。特斯拉最近对系统实施的改动也进一步降低了驾驶员因模式混乱而没有察觉的可能性。

    佛罗里达致死事故涉及一段长时间的注意力分散(至少 7 秒)。ODI 审核的大多数事件中,在事故发生前留给系统和驾驶员察觉/反应并采取行动的时间通常都更少(不到 3 秒)。在大多数这类情况中,专注的驾驶员对环境有更好的把控,尤其是再加上经验丰富的驾驶员能够对其他驾驶员的行为做出准确预判。特斯拉已经改变其驾驶员监控策略,促使驾驶员的注意力保持集中在驾驶环境上。

    5.3 驾驶员注意力分散

    图 10 展示了在 GM 进行的一项实验中,驾驶员操作 LAADS 在 L1 和 L2 模式的 SAE 时,对道路环境注意力分布的情况。数据显示,在每种操作模式下驾驶员的注意力都会分散,并且在 ACC 模式或结合 ACC 模式与 Lane Centering Control 功能时,绝大多数注意力分散持续 3 秒或以下。ODI 分析发现,大多数碰撞都发生在不到 3 到 4 秒的时间。在佛罗里达致死事故中出现的超过 7 秒的注意力分散十分少见,但却是可以预计的。为了进一步调查其可预见性,有关机构对特斯拉下达了特别指令,让其评估特斯拉在设计系统时,对驾驶员操作失误(包括注意力分散)的考虑情况,以及该公司是否有在 Autopilot 设计中整合相关保护措施。特斯拉工程师的确考虑到了驾驶员操作失误的一系列可能性,也包括上述事故中发生的情况。ODI 还考察了驾驶员的操作失误是由于特斯拉设计缺陷所引起的的可能性,结果排除了相关可能。

    5.4 碰撞事故几率

    ODI 分析了特斯拉提供的 2014 年 5 月到 2016 年安装 Autopilot 系统的 Modle S 和 Modle X 车辆驾驶里程和保护气囊的数据,计算了安装 Autopilot 系统以前及之后按里程碰撞发生的几率。图 11 展示了 ODI 计算的在安装 Autopilot 系统以前及之后特斯拉汽车保护气囊使用的结果。数据显示,在安装 Autosteer 功能后,车辆碰撞几率降低了将近 40%。

    6.0 Autopilot 更新

    自 2015 年 10 月发布以来,特斯拉一直在持续不断地更新 Autopilot 系统的硬件,并通过 OTA 更新提供给消费者使用。这些系统更新包括完善 TACC、AEB 和 Autosteer 性能产生的改动,已经增加新的驾驶员辅助安全功能,比如 In-Path Stationary(IPSO)刹车,以踏板自动调整(Pedal Misapplication Mitigation,PMM)功能。2016 年 9 月,特斯拉发布了 Autopilot 8.0 硬件更新,这次更新修缮了驾驶员监控策略,还包括一些 AEB、DBS 和 TACC 性能更新。

    7.0 结论

    诸如特斯拉 Autopilot 这样的 ADAS 需要驾驶员对交通环境给予持续且全面的注意,时刻准备着采取行动避免碰撞。开发 AEB 系统是用于辅助避免或减少追尾情况出现的。该系统存在局限,并不能总是检测危险、提供警告,或及早刹车以避免碰撞。尽管表述或许不是十分明晰,但是特斯拉在用户手册、操作界面以及相关的警告/说明中给出了有关系统局限性的信息,此外还设置了驾驶员监控系统,持续在后台参与辅助驾驶。驾驶员应当阅读用户手册中所有有关 ADAS 技术的说明并了解其局限。尽管在大部分碰撞类型中,ADAS 技术都会持续改进,但驾驶员绝对不能在意识到碰撞危险后,等待自动刹车启动。

    NHTSA 的检查没有发现被调查车辆的 AEB 或 Autopilot 系统在设计或性能上有任何缺陷,也没有发现系统没有按照设计发挥性能。2016 年 5 月在汽车行业中使用的系统采用的后端碰撞避免技术,其设计不能在所有碰撞模式(包括交叉路径碰撞)都可靠地运行。特斯拉在自动驾驶仪系统的设计过程中已经识别出 HMI 因素,例如驾驶员分心的可能性。特斯拉的设计包括实际操作方向盘系统,用于监控驾驶员的参与。该系统已经更新,通过

    “strike out”策略进一步加强驾驶员参与驾驶的需求。没有对驱动器监视系统警报中的视觉提示作出响应的驾驶员可能在驾驶周期的剩余时间遭到“淘汰”,并失去使用自动驾驶功能的资格。

    本次调查尚未发现与安全有关的缺陷的倾向,对该问题进一步审查似乎没有必要。因此,本次调查到此结束。本次调查的结束并不在法律意义上构成 NHTSA 没有发现任何与安全有关缺陷的结论。NHTSA 将监测该问题,并保留未来在情况允许的情况下采取行动的权利。

    文章转自新智元公众号,原文链接


    最新回复(0)