陈黎明：安全是汽车成为智能终端的基石

1月15日-17日，以“新发展格局与汽车产业变革”为主题的第七届中国电动汽车百人会论坛（2021）在北京召开。本届百人会论坛首次采取线上方式举办，有来自国内外政府、行业机构、研究机构及相关企业的200余位会议代表，在线上与大家分享观点、展开交流。能见App作为本次大会的深度合作媒体，将对此次大会持续跟踪报道。

在1月17日下午举办的“智能汽车论坛：汽车如何成为智能终端”上，博世底盘控制系统中国区总裁陈黎明发表精彩演讲。

以下内容为现场演讲实录：

陈黎明：各位嘉宾、各位业界同仁、各位朋友大家下午好！我叫陈黎明，来自博世，负责博世底盘控制系统中国区的业务，同时也负责高级别自动驾驶战略发展。

首先，非常感谢中国电动汽车百人会邀请参加本次论坛的主旨发言。今天我给大家分享的题目叫《安全是汽车成为智能终端的基石》。

在我分享之前我们给大家一起畅想一下智能汽车到底是什么样的。我们大家都很期待自动驾驶来到我们生活当中，每个人都有一个蓝图，我把它总结为智能驾驶汽车是把人与车融为一体的一个载体，是我们生活中的第三生活空间，我们希望在这个空间里它能够解放我们的时间和解放我们的双手，让我们有更多的时间去做我们想做，觉得更有意义的事情。比如说享受智能手机带给我们的便利和福利，我们可以去看电影，去读书，甚至可以在车里边办公、开电话会议等等。

但我们在使用这些便利和福利之前，有一个前提，就是我们在车里要感到充分的安全、充分的放心，这样我们才可能尽情地去享受自动驾驶给我们带来的便利。自动驾驶要解决两大问题：

第一，改进交通安全；

第二，解放我们的双手和时间。

所以安全是自动驾驶的基石之本。接下来我们来看一下自动驾驶的安全问题。

根据研究表明，人类目前的安全记录是每两百万公里有一起受伤事故，1.47亿公里有一起死亡事故。也就是说要证明自动驾驶比人类驾驶更安全，那么我们要驾驶超过1.47亿公里没有死亡事故。但是这需要两百年的时间，我们知道这是不可能的。所以我们在研发和设计过程当中就要解决安全问题，保证我们自动驾驶在量产的时候就是安全的。

那么首先我们要满足车辆安全的基本要求，同时要进一步满足功能安全、预期功能安全和网络安全的要求。功能安全是要求避免电子电气系统异常造成的危害。预期功能安全，要求系统能够正常的运行，在不该工作的时候不能工作，也就是不能有误操作。网络安全需要防止黑客的入侵，由于入侵可能造成功能的误触发。

那么在功能安全和预期功能安全这个方面，实际上不是新的话题，在汽车过去几十年研发过程当中，这些方法都在支持汽车技术的发展。

在过去我们积累了丰富的经验，也开发了非常成熟的工具和方法。比如说故障树分析、失效模式和影响模式分析，基于失效模式的设计评审等等，通过我们的V-model，把我们的设计和最终的结果通过大量的台架实验、仿真实验和道路实验来验证功能，来验证系统的正确性，来保证我们的安全。

但是我们同时也知道没有办法百分之百覆盖掉所有可能的场景，所有问题都得到解决，这就出现我们目前谈的比较多的长尾问题。为什么在自动驾驶的时候功能安全和预期功能安全得到更多的关注？最主要就是自动驾驶的复杂性不断提高，给我们带来新的挑战。下面我们一起来看一下。

在这里我们可以看到随着自动驾驶级别提高，场景更加复杂，更多的功能和责任由人转向系统，这就对系统失效时候失效安全提出更高的要求，也就是说从失效安全提升到失效可操控，这是什么意思？我们可以通过右边这个图来进行一个解释。

大家可以看到，右边这张图里边的最左边是在紧急情况下一个刹车的最基本的要求，也就是说在紧急情况下最起码我要能够安全停车。但是我们知道如果我们停在最左边道路上有可能会被追尾，所以我们更希望能够把车停在最右边的紧急停车道上，这样会更安全。当然最理想的状态就是右边这张图，我能够开到一个非常安全的停车场，甚至一个修理厂，这样的话更能提高我们自动驾驶的安全。但是我们知道，要做到这一点，我们必须要在系统失效的时候有另一套系统来执行所需要的功能，这就提出了冗余设计的概念。

下面我想给大家分享一下博世在方面的思考和施加。

这里展示博世关于自动驾驶冗余设计方案的系统架构，覆盖了主要的功能和主要的子系统。它包含环境感知、定位、环境分析、路径规划、转向、制动，除此之外还包含了通讯和电源，我们认为以这样的架构可以覆盖我们可能想象到的所有安全的问题。

这里展示的博世关于环境感知的解决方案。我们的方法是首先对所有可能的运行场景进行收集，建立了一个非常大的场景库。根据所有的场景我们对将来自动驾驶需要的传感器提出新的设计要求，包括它的探测距离、精度、分辨率等等提出了更高的要求，通过这样我们能够更好感知我们周边的环境。

第二步，我们对传感的系统进行了一个设置，通过不同传感器的配置和搭配来进行互补，这样能够很好的来保证我们感知是精确和可靠的。

这里是博世的定位解决方案，我们有两套解决方案。 第一，绝对定位；第二，特征定位。

在绝对定位当中我们开发了一个智能的高精度定位传感器，通过GPS信号和路边纠偏，给汽车提供准确的定位信号。我们知道在城市里边GPS信号不是很稳定，由于建筑物的原因，那么这样我们就开发了基于道路特征的一个解决方案，它是通过雷达和摄像头，对道路特征进行采集，生成一个我们讲的特征层来进行精确的定位。

我们知道在开阔的地方没有参照物，没有建筑物，这样特征定位可能就变得很弱，那这个时候绝对定位就可以发挥很好的作用。所以两个方案的组合能够相互互补，同时又产生冗余，这样我们就实现了互补和冗余的功能。

下面我们再来看一下转向。

转向系统里面我们正在开发一个冗余的转向，它是由两路控制系统组成。我们看到它的执行机构是一键，但是控制是两个轨路，有单独的电源、单独的通信、单独的ECU，驱动电机的不同模块，在一路系统失效的时候，另一路系统还可以降级操作，把车开到安全的地方。

接下来我们可以着重看一下制动系统。博世的系统是两套独立的机构，我们的iBooster和ESP。除此之外我们还有两套通信系统、两套传感系统，这样在一个元件，或者一套系统失效的情况下，另一套系统还能进行互补，能够安全地把车停下来。

右边是我们应用场景的分享，制动系统里面我们有两个系统，一个是正常驾驶，一个是车子失稳情况下的控制。

在正常的工作情况下，iBooster可以正常工作，车子失稳时候ESP可以进行ABS和防纠偏的情况。第二是iBooster失效的情况，这种情况下正常驾驶就需要由ESP执行制动需求。在雨雪天气车辆失控时候保证汽车正常运作。

第三的情况是ESP失效的情况下，这时候正常驾驶制动还是iBooster来执行，在雨雪天，当车子失控的时候，由于ESP的失效，我们就需要用iBooster补充执行ABS相关的功能，希望这里给了大家一个关于冗余系统怎么工作的好的解释。

接下来我们再来看一下，关于开发、量产和我们解决长尾问题的一个分享。

左边我们看到用我们传统的V字开发模型，通过系统的要求到元件的要求，然后到我们的开发，最后通过大量的台架实验，大量的仿真和大量的道路实验，来一步步验证所有开发功能的正确性、准确性，同时去发现潜在的危险，并开发出相应的解决方案。

这样我们可以保证在量产的时候所有知道的危险情况都能力得到及时的解决，系统能够正常的工作，避免我们知道情况的误触发。但如前面所说，在汽车控制系统里面最棘手的问题就是误触发，怎么能够找到误触发、避免误触发，也是在我们开发过程中的一个长尾问题。

这个就需要我们利用一套新的开发工具和方法，也就是数据驱动的迭代模型，在汽车量产之后，道路运行过程当中不断搜集相应的危险场景和失效模式，最后进行不断的迭代开发，进一步改进自动驾驶系统的性能和它的安全。

最后把今天的分享做一个总结。

自动驾驶的安全是我们享受汽车作为智能终端所有福利的一个基础。如何保证自动驾驶的安全是自动驾驶落地面临的又一个新的挑战。零部件的可靠性是我们自动驾驶的一个基础，但是在失效的情况下冗余设计方案为智能驾驶提供了安全的保障。传统汽车安全开发与基于数据驱动迭代相结合的验证方案，可以加速自动驾驶的落地，同时不断改进安全和性能。

我今天的分享就到这里，谢谢大家！

（根据现场速记整理，未经演讲嘉宾审阅）