L3自动驾驶详细解析和量产实现

由希迈商务咨询（上海）有限公司主办，上海市嘉定区安亭镇人民政府协办的第九届中国国际新能源暨智能汽车论坛2019于4月2-3日在上海举办。论坛涵盖6大热点板块，邀请70位全球演讲嘉宾，吸引220多家汽车产业链企业的近700位新能源暨智能汽车专业人士，共同探讨新能源暨智能汽车产业相关的技术、市场、挑战及对策等。

广汽研究院智能驾驶技术部系统架构主管工程师杜小甫先生应邀参加了本次论坛，并发表“L3自动驾驶详细解析和量产实现”演讲，以下为演讲实录，与您一起探讨学习。

杜小甫，智能驾驶技术部部长，广汽研究院

（说明：本文为现场速记，未经演讲嘉宾审核。禁止任何渠道转载，否则将追究相关责任。）

大家好，我来自广汽研究院，今天在座的都是同行，给大家分享一下广汽在智能驾驶特别是L3智能驾驶，关于量产的可行性和解决方案这块的思路和系念。首先铺垫一下这个背景，众所周知，现在国内外的主机厂都已经开始铺开了做自动驾驶，有的是直接从L4入手，有的是从L3循序渐进，各有各的道理，各有各的章法。

我们都比较熟悉L3的定义和L4的定义应该说是自动驾驶的一个分界线，广汽研究院它在自动驾驶领域的研发应该是说两条腿走路，L4我们是预研一代、L3是量产研发一代，今天我们共同学习一下L3的自动驾驶系统的研发，它在研发过程中会预见哪些问题，广汽是怎么面对这种问题用什么样的理念和思路？

首先可能大家都比较熟悉L3作为人机共驾的耦合度最高的一个级别，自动驾驶的级别。它应该说是难点非常突出，自动驾驶的系统给驾驶员带来的更多的是困扰还是更多是协助、辅助，这个东西其实应该说大家现在甚至还在有一些讨论。

什么时候驾驶员需要掌握人机共驾它的边界？什么时候车辆应该去接管这个驾驶，驾驶员在没有接管的时候，车辆怎么去应对，人也应该有他自己的掌握和反映，车也应该有他的自己的掌握和反映。L3自动驾驶能力便捷和安全的包线这个就非常重要，我们引用了航空界的概念叫做安全包线。就是说在一个系统它的在安全的范围内，它的所有关键参数和数据所在的一个应该说是数据的曲面，这个概念叫做安全包线，我们把它引用过来。

这个的能力边界我们是需要定义的，系统如何将车辆维持在安全包线范围内也是我们重点要研究的，那么应对这种挑战我们总结了一下，大概就是三条：

第一，面对技术的要求、需求的挑战，我们需要有一个规范科学合理的系统设计的体系。

第二，我们仍然要探索系统、车人机共驾的模式，它的边界。

第三，我们要考虑冗余和备份在整个方案里面所处的位置。

今天主要是给大家介绍一下系统的设计方案，主要是系统的设计理念，就是说无论是智驾系统也罢，还是汽车1E系统，无论是什么，我们做开发的时候一定要有自己的章法，要有自己的这套应该说是设计的体系，不能说要做这件事情，要做那件事情然后把他们杂乱的混在一起，那样是不行的。

尤其是像智驾系统这种比较复杂的系统，我们需要有章法需要有体系，那么这个体系是什么？

就是科学的合理的成体系的系统架构的设计方法，一开始是做功能的定义，我先告诉我自己需要什么样的系统，需要什么样的功能，它的边界顶点在哪里？然后接下来比如说可以细化一下ODD，这个国内主机厂的朋友都比较熟悉了，很热的一个词，接下来比较重要的就是什么呢？我去做我的Use  Case的定义，我这个车在什么情况下，在哪，在什么条件下要实现什么样的功能？这个功能不是说TDC，HWC，自动驾驶，自动巡航不是说这种系统级的功能。我是不是要带自动换道，就这种非常精细化的，非常细化的Scope。

大家可以想象一下，我怎么样把一个车它的智能驾驶的功能，能展现的Pre-condition完全的展现出来，两个维度：

第一个维度就是Use  Case，它在什么前提下，在什么条件和环境下。

第二个维度就是System Scope，这样的话两个维度一交叉，基本上把我的事能框的差不多，接下来就是把那些没有用的，没有意义的东西挑出来。

接下来就是说我们定系统边界

这个是从硬件的方案或者系统的方案角度来看，我需要几个长距，需要几个短距，需要几个前摄像头，我DMS要不要，甚至是要几个，然后360需不需要做融合，360需不需要做识别，诸如此类把这些事情想明白。

我们在做系统设计的时候其实最需要什么？开发的流程和开发的思维成体系，我一整套思维方式去指导我，让我把一个非常抽象的，非常高级别的系统需求，把它能够逐渐细化分别成对子系统、子模块上下游整个作用链之间的关系和作用，这个是我们现在比较欠缺的。

可能因为一些过去的历史的原因，我们现在对开发工具可能不是很重视，其实开发工具说白了就是为人服务的，开发工具比较完善的话，它的流程每一个环节的衔接就会产生更少的错误，就是人为的错误也减少人的工作量。

还有一点比较重要，我想可能也是我们国内的同业和国外的先进的公司比较大的一个差异，就是国内比较喜欢追求完美，我觉得可能国内的同行基本上都有意愿，就是想把L3的功能做得非常完善，但是众所周知没有一个系统，没有一个机器是完美的，德国人有一句话我觉得挺有道理的，这个是他们的口头禅，他们说坏了就坏了，坏了就是坏了，你没有办法，挂了就是挂了，失效就是失效了，这个东西你尽人事去弥补它的漏洞，但是要接受他不完美的现实。

国内有很多同事我跟他们交流的时候，驾驶员要是不能接管怎么办？我要靠边停车，靠边停车一定要求全责备，这样会让自己很累，让这个人也做不出来。所以说我们的思路是什么？坚守必须要坚守的需求，我应该做到的事情绝不含糊、绝不姑息，我一定要做到不退让。但是不切实际的要求，不符合当前需要的要求，我要坚决摒弃它，这样才能把量产化的L3推下去。

不是说不追求完善，而是说设计的思路要把放在一个系统化的科学合理分析的基础上，不是拍脑袋，不是说这个驾驶员要是没有办法接管，我应该怎么怎么样，我深知要搞DMS摄像头，这个就有点偏颇了。

说到系统化的思维方式，或者是分析的方式，我们跟大家其实也都差不多，大同小异，功能安全、网络安全这些东西都是要考虑。具体的一些流程，我刚才同事已经非常完善、精彩的发言，已经给大家介绍了，在这个地方就不跟大家说了。

冗余的方案现在是在国内是比较热的话题，是这样的冗余这个东西双刃剑，就是有，当然好，但是你也得把它发挥到，就是好钢用到刀刃上，他在哪个环节冗余是机械、液压和电子都要冗余，还是说电子的冗余。

因为这个东西涉及到成本，也涉及到设计的安全，不是说我搞两套东西，我就更安全，有的时候冗余反倒是拖累。不是说不追求完善，不是说不追求安全，而是说我们这个设计的思路要更科学合理，要系统化的去分析它，而不是拍脑袋。

预控制器也一样，预控制器用铜级别的，还是用一个降级的做备份，它平时是备份还是冗余，这些东西从功能需求的角度去出发来做这个分析。比如说我现在覆盖掉的掉有可能会出现什么样的漏洞，这些漏洞要用到备份的预控制器的时候，它应该实现什么样的功能？

还有设计要有科学合理的体系和思想方法

那么这个评价也要有科学合理的方法，就是需求不要不切实际，要科学合理成体系，那么评价和测试也要科学合理成体系。国内现在慢慢有了政府层面推动的规范是蛮好的。

国外应该说这方面规范起步稍微早一些，而且他们应该说更贴近实际一些，像美国更加关心比较严重的极端情况，德国相对来说也更加保守，但是更多从底层自底向上去铺垫整个现在测试、运营规范。

刚才介绍的是系统的设计，现在给大家介绍一下第二点

机器能力的边界。没有一个机器是完美的，也没有一个人是完美的，大家肯定也都想过，无论是L3、L4还是L5，这个机器做出来不出事是不可能的，只不过摊在谁头上大事而已，所以大家比较避讳、紧张这个话题，其实我觉得没必要。

机器和人的配合自古以来都是要出事的，不出事不正常。所以说定义好我们认为应该坚守的边界，然后把剩下的事情交给技术的进步，让他们慢慢去改善。其中，比较重要一点就是接管时间。我感觉国内的主机厂紧张，有的说这个多少秒、那个多少秒，然后把供应商也搞的紧张，大家都挺在意这个事的。

其实我觉得没有必要非得定多少秒，像德国这种他们给出了一个最低的限制，为了保证在一定程度上保证测试或者运行的时候，有一个最低限度的安全。其实接管时间多那几秒、少那几秒，并不是说水平高多少、低多少，更多的是看可实现性。

还有一句话，你的车能坚持15秒，我的车能坚持17秒，难道我的车就比你的车多几个传感器，还是说我的算法做的比较好，不是这样的。情况千差万别，各种各样的情况，可能15秒、17秒对系统的设计水平完全没有任何的说服力。所以说我觉得大家也不要去紧张具体的一个数字。

最重要的反而是我们需要有一个系统化的，有理有据的科学依据的思维方法或者是分析的方法，来帮助我们去推导我们到底是15秒，还是20秒。而不是说拍脑袋，甚至有一些主机厂，你看人家上汽都是用20秒，看人家广汽多少秒，完全没有必要。

还有就是极限场景下的自动驾驶现在的L3还有ADAS，就是将来的L4，你车辆真的到了失稳边界的时候，就是ESC介入刹车了。

自动驾驶一共有三大层面：

车辆模型、环境模型和驾驶员行为模型。其中，车辆模型又分三层，别越低权限就越好，你到了四轮稳定级别的辅助功能介入的时候，上面两层都全部白扯，该刹车就刹车，ESC该介入就介入，所有的东西全部退最顶层的是路径级，中间是轨迹级，最底是四轮稳定，级出，这才是目前比较靠谱的思路。

当然，大家一起试试车辆运动学、动力学控制模块，我在接近失稳边界的时候是什么表现，这个在测试安全包线过程中还是很有意义的，我们也开展了很多这方面理论的研究。

这个就是说极限工况，对驾驶员的行为模型，对ESC底层控制还有模型训练过程中起一个什么样的作用。

最后总结一下L3的现状，或者是说我们量产的原则。我先说一下我们量产的原则，坚决不用没有达到车规级的产品。关键的核心零部件，这个零部件包括硬件也包括软件，一定是要达到功能安全的标准。

比如说好多供应商现在他们做出来的预控制器高大上，但是打开一看ROS系统，大家都知道ROS的底细操作系统功能安全是需要做的。所以我们会在这方面比较下功夫。

功能的设计我们是用从顶层开始，这个多说两句什么叫先解决有无问题，就是说大家有的时候国内的同行们他们做系统设计的时候，某些地方可能某些性能要求比较追求完美，但是追求完美没有问题，先解决某一个功能特性的有无问题，在整个框架下让系统更合理，更优化，然后再在每一个算法模块去下功夫，大概举个例子就是这样，先从整个框架下手，让框架本身更合理，然后再在每一个细节下功夫，这样的话是事半功倍，更有意义。

充分合理的冗余，这个应该说我把充分放在前面，合理放在后面，其实放在后面比放在前面那两个字更重要，合理比充分更重要，必须要分清我哪些是肯定要有的，哪些是真的没必要的，这个东西说简单，千难万难，到时候各家就各家的高招，就去实施它。

还有现在的机器学习，所谓的人工智能技术非常火，在自动驾驶驾驶中也是说得比较多，甚至有一段时间人说其自动驾驶，要是不提人工智能那你太Low，但是这个真到量产的时候，我们还是发现人工智能不可回溯的非确定性控制运算方法还是要慎用，举个例子来说我在德国的老师跟我说过一句话，他说你知道欧洲的阵风战斗机它这么先进的一个系统，整个机器里面没有一条非确定性的控制运算的方法，最多就是PID。前面说了这么多花里胡哨的东西，真正该测试测试，该标定标定，该验证验证，尽量多跑。

这个现状跟大家平时理解得也差不多，驾驶员在在环不在环，然后这个ESP、EPS冗余不冗余，基本上就是比较重要的几个差别，人机共驾边界关键核心的点。广汽我们现在是技术层面，应该是说不盲目追求一部到位，小步快走重点是量产，预研也在关注，所谓叫沿途下蛋。有多少积累算多少积累，反正活都没白干，然后配合国家总体的方针，构建车规的标准，接下来市场的话，对市场进行培训，愿意跟各方的合作伙伴共同开发一些应该说是新的需求，新的商业模式。

展望一下将来可能会用到的几个技术，比如说基于5G的V2X，可能是一个比较热点的应用，所以我们在这块也铺垫了很多，总之自动驾驶L3自动驾驶应该是任重道远，我们也在努力尽我们的力量给中国的自主品牌的汽车的积累贡献一份力量，在这个过程中广汽也是非常愿意跟各路的朋友，跟同行，跟合作伙伴共同去合作，一起做一些实实在在的事情，谢谢大家。

说明：本文为现场速记，未经演讲嘉宾审核。禁止任何渠道转载，否则将追究相关责任。