在前面介绍LSAD(属于SAE L4驾驶自动化系统)和ALKS(属于SAE L3驾驶自动化系统)标准的文章中,我们发现这两个系统激活的前置条件中,有一个共同的点:自动驾驶数据记录系统(Data Storage System for Automated Driving,DSSAD)正常工作。* L2 J Y! t7 p* [$ p. U* z
DSSAD就像工信部派驻在配置有自动驾驶功能车辆上的“巡视组”,在自动驾驶系统激活期间监测、采集、存储关键数据,在行业内常被称为“黑匣子”。当然这不是汽车领域第一个被称作“黑匣子”的系统,在DSSAD之前,汽车事件数据记录系统(Vehicle Event Data Recorder System:EDR)是“黑匣子”的更常用代称,只能慨叹:但见新人笑,那闻旧人哭。% r$ \2 P5 [ X& q( k
本文就让我们来看一下EDR和DSSAD究竟为何物,有了EDR为什么还要有DSSAD?
' _! o* j, f5 Z* w/ f0 k/ i+ m9 g01 EDR# L& U& a% z" n, o4 S6 z3 p# l
EDR对应的国家标准为GB 39732,是M1类车辆(总重量超过1t且乘员座位不超过8个的乘用车)的一份强制性国家标准,且工信部规定从 2022 年1月1日起,国内所有新生产的M1类车辆必须强制安装EDR。
/ H0 Y1 t& C# r* E0 jEDR关注的是碰撞事件,主要用来检测、采集和记录汽车碰撞事件发生前、发生时和发生后车辆和乘员保护系统的相关数据。何为碰撞事件,指达到或超过触发阈值的碰撞事件或者任何不可逆约束装置被展开(以先发生者为准)。
1 Q0 v( _4 I. z2 Q3 A) a对于触发阈值,主要通过车辆横轴或纵轴上的速度变化量来判断,触发阈值定义为车辆纵轴或横轴方向上150ms时间区间内车辆速度变化量大于等于8km/h。
8 i3 @6 L7 M/ F& @ @% }; |对于不可逆约束装置,主要指不可通过自动恢复或手动调整恢复至可再次使用状态的约束系统,最典型的不可逆约束装置就是安全气囊。
5 a# }5 T6 _+ B1 t! y& ~当通过上述条件确认碰撞事件发生,下一步我们就要确认碰撞事件起点,以便确认数据元素记录的起点。而基于车辆采用的乘员保护控制算法的不同,碰撞事件起点的定义也略有不同。* d; |* P5 m3 |5 \6 Q9 E
(1)对于使用“唤醒”乘员保护控制算法(指乘员保护控制算法在满足一定条件被激活之后开始运行)的系统,该时间为乘员保护控制算法被激活的时刻。( l+ c0 ^" @+ E3 y/ ~% `$ W+ k, i
(2)对于使用“连续运行”乘员保护控制算法(指乘员保护控制算法上电即开始运行)的系统,该时间基于不同的碰撞类型有所不同,如表1所示。
5 f' q" f$ X5 @% |3 M6 \* h(a)对于正碰或追尾碰撞事件,车辆纵轴方向上20ms时间区间内车辆速度变化量累积最早超过0.8km/h的时刻。" f, C; U0 K4 ~& Z; {
(b)对于侧碰事件,车辆横轴方向上5ms时间区间内车辆速度变化量累积最早超过0.8km/h的时刻。- h' A$ c# t3 n
6 J' N: K, w* T0 \. R% B& ^
. J( n( m7 p+ B4 u2 h. ^: D
. F3 h7 w; P* f表1 每个碰撞事件起点的阈值# F" m3 B: N# p0 b6 _' P$ b
3 U' A |; d E1 Q5 W( k1 H(3)一个不可逆的约束装置展开的起始时刻。5 \- T* {4 N( q+ k( ^7 `, ]) }8 `& E
碰撞事件终点,同样需要基于不同的乘员保护控制算法进行区分,而碰撞事件起点和碰撞事件终点之间的时间区间定义为碰撞事件持续时间。2 W3 V; u7 F0 Y) ~+ }
(1)对于使用“唤醒”乘员保护控制算法的系统,该时间为乘员保护控制算法自身重置的时刻。8 E# u8 |+ ^- y+ y( _7 ~6 ]
(2)对于使用“连续运行”乘员保护控制算法的系统,该时间为20ms时间区间内,纵向或横向的累积速度变化量最早不高于0.8km/h的时间。& [( k: H$ \* }! q$ u9 n6 H6 s
定义了碰撞事件触发条件,碰撞事件起点、碰撞事件终点,下面就可以对数据元素进行记录,而EDR需要记录的数据元素分成了两级:A级和B级。0 f, C0 u, ~# a8 |& p
A级是配备EDR系统车辆必须记录的数据见表2。
" u. a _# @$ b4 \# Q4 E$ g9 n/ q4 _! }( U( A% Q9 x" i8 U
1 a q' u# W6 |" [' y2 n% j' x3 l( ]3 [ e: N |# O
表2 A级数据3 I4 u! x! S t" I- D
8 z" o- L) P! L1 t- }% _5 K; z% P1 L
B级是配备EDR系统的车辆,如配置有相关装备,就对其进行记录,记录数据见表3。比如车辆装备有电子稳定控制系统,则EDR需要记录电子稳定控制系统状态;再比如车辆具有检测横向加速度的传感器,则EDR需要记录横向加速度。
" |+ K- H0 \+ d9 }* E. N
5 j; ]/ |9 J4 O
! f4 V. p$ D- s: M K
+ @$ b. A/ V* I8 O
表3 B级数据
1 c/ i8 h/ G L* Z$ R/ ~7 k5 e: ~
8 I2 E/ u7 u K" Y2 `9 \# r* F( l对于A级和B级数据,EDR系统应至少能记录三次。如果碰撞事件发生,但EDR系统已没有足够空间去记录,则应按照时间顺序依次覆盖,但不应覆盖满足锁定条件(不可逆约束装置展开或150ms时间区间内在纵轴方向上的车辆速度变化量不小于25km/h)的数据元素。
( Y; k, K' R& _' B' f02 DSSAD8 Q" n, q0 [9 [" V7 L7 U& @* j
EDR法规是2017年9月由中汽中心牵头启动制定,但在经历发布实施时间延迟、配合GB 7258发布修改单等过程,直到2020年12月才正式发布,2022年1月开始在新生产车辆中实施。
D9 ~2 ]1 Q: ~+ e4 N+ H3 t从2017年到2022年,恰恰是汽车行业正在发生深刻变革的5年,其中就包括自动驾驶技术。而自动驾驶技术的发展和小规模落地也让交通事故变得复杂起来,究竟是安全员接管阶段发生的碰撞还是自动驾驶系统激活时发生的碰撞,仅靠EDR记录的数据很难判断出来。
, G+ ?9 n. q; X0 E就比如2023年7月15日武汉发生的一起剐蹭事故:当时视频车行驶在最内侧车道,突然一辆Robotaxi从右侧冲出,超过视频车半个车身就开始变道,导致两车发生刮擦,令人惊掉下巴的是,Robotaxi停顿了几秒后直接开走了。8 L" p! X) P* K. l
从当时Robotaxi的行驶速度及侧碰严重程度来说,应该是无法触发EDR对事件进行记录的,虽然有视频车的行车记录仪记录的视频可以进行清晰的事故责任判定,但Robotaxi为什么会做出如此举动,是系统强行加塞还是安全员强行加塞,无从得知。, f3 B' P( l: m' i. |! C0 {
在这样的背景下,自动驾驶汽车亟需自己的“黑匣子”,这也是DSSAD诞生的背景。2 ~1 V1 ^' u$ {& q. G! Y; e
DSSAD国标于2021年10月启动制定,目前已经进入征求意见稿阶段,按照征求意见稿的内容,DSSAD适用于具有自动驾驶功能(L3及以上驾驶自动化系统)的车辆,且记录五类数据元素,包括车辆及DSSAD基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、驾驶员操作及状态信息,分别如表4~8所示。
& j, G5 b3 I ~5 Q- J
* T- B+ d+ {, m/ b3 r) D
4 X; |1 F- F7 [" B! i. G# F- U. ~* Y. n6 r* Z1 N/ L' E
表4 车辆及自动驾驶数据记录系统基本信息7 e* k: u* P' l6 U! r) h
6 y) I y0 g8 U. \2 N/ T
- i8 s" P8 v9 l/ m# O* A9 [ _
9 h4 K& ~ N" {- W! R
表5 车辆状态及动态信息
" M7 D$ ? X; n K, K( G7 x0 t, S' r- X( b( N* r# W. M4 b: g) B
4 B P/ N# P, |0 ^5 p& F
8 F/ R# W# T; U3 B2 z) b% ]表6 自动驾驶系统运行信息% t- F6 G: ~/ o) H/ B3 `: f; y8 G
) }, x1 W6 c( B/ V" z& F% H
/ ^6 Z3 N! B) H! Y- o" q
" K; ]/ Q& _) A% B% x
表7 行车环境信息
' u+ T' F! n, e; K1 }8 w& z$ t0 P( m; `, L
( { p6 [% z2 ~0 p" F! \# ^
6 O, R. i( c9 W: N% s
表8 驾驶员操作及状态信息
s( A4 X b0 v& A# J0 ]
- c, j: M5 w6 K7 U& w注:表中第二列中的A级数据元素表示配备DSSAD的车辆应记录的数据,B级数据元素表示配备DSSAD的车辆在相关功能处于自动驾驶系统调用的状态时应记录的数据元素。
. P5 @. D- X9 H+ e, qDSSAD系统分为Ⅰ型系统(适用M1/N1类车辆)和Ⅱ型系统(适用M1/M2/M3/N2/N3类车辆),Ⅰ型系统和Ⅱ型系统主要差别体现在需要记录的数据元素上。
\) l1 G: r! N3 g' ^一、Ⅰ型系统' I9 E$ y. O3 A! [
Ⅰ型系统在自动驾驶系统激活期间,需要记录时间段事件数据和时间戳事件数据。
. `: U+ Q7 V v(1)时间段事件) }# o1 m; r9 M3 ]
时间段事件是指当满足触发条件时,围绕事件起点,记录事件起点前和事件起点后一段时间内的相关数据的事件,包含碰撞事件和有碰撞风险事件。
/ X& d/ D! `" e: R) N6 s( X碰撞事件的定义(包含触发阈值、事件起点和事件终点定义)和EDR法规中的定义相同。碰撞事件记录起点为事件起点前15s或自动驾驶系统激活时刻两者中的较晚时刻;碰撞事件记录终点为事件起点后5s或自动驾驶系统退出时刻或事件终点三者中的较早时刻。- J/ F" R' L3 c& F5 a
有碰撞风险事件是指自动驾驶系统请求的纵向减速度大于5m/s2。对于该类事件,事件起点定义为自动驾驶系统请求的纵向减速度大于5m/s2的时刻,事件终点定义为本次事件起点后自动驾驶系统请求的纵向减速度不大于5m/s2的时刻。有碰撞风险事件事件记录起点和终点的定义同碰撞事件中的定义。- z% O) _9 f/ ]7 x! Z
(2)时间戳事件
) w2 @) E5 l# ~4 g, _事件戳事件是指当满足触发条件时,仅记录事件起点时刻的相关数据的事件。包含自动驾驶系统进入激活状态时、退出时、发出介入请求时、执行最小风险策略时、发生自动驾驶系统严重失效时、车辆严重失效时和驾驶员操纵自动驾驶系统激活/退出装置时。$ Z4 ~7 q t$ x! C, w
对于Ⅰ型系统,当时间段事件发生时,DSSAD需要记录事件起点的符合表3中要求的数据元素以及至少涵盖事件记录起点至事件记录终点的时间区间内表4至表7中要求的数据元素。当时间戳事件发生时,DSSAD应在事件起点时刻记录符合表3要求的数据元素。8 H5 _+ q4 h7 {1 }' t: W" W
二、Ⅱ型系统- g9 M: z" p+ }, P
Ⅱ型系统在自动驾驶系统激活期间,也需要记录两部分数据,一部分是实时连续记录的数据、一部分是和Ⅰ型系统一样的时间戳事件数据。
& r9 p3 S* S7 z9 H) V5 R实时连续记录的数据包括表4至表7中要求的数据元素,时间戳事件记录的数据要求和Ⅰ型系统时间戳事件要求一致。
' x7 w+ K! [0 n$ f. T2 }, ~关于存储能力,Ⅰ型系统存储的碰撞事件和有碰撞风险事件次数总体不应小于5次,存储的时间戳事件次数不应少于2500次。Ⅱ型系统存储的连续数据不应少于8h,存储的时间戳事件次数不应少于2500次。
" t0 R( k; l' ~ K" ^' W- ?! [DSSAD同样也需要定义存储覆盖机制,以便在存储区域已满时,顺序进行覆盖。6 Z& q* f& B5 @. J- m
对于Ⅰ型系统:
3 a v2 {' y9 f4 h(1)时间段数据和时间戳事件数据不应相互覆盖;
0 h7 y: A( O, ^4 f8 C7 [9 O(2)对于时间段事件,碰撞事件数据不应被有碰撞风险事件数据覆盖;$ p H+ X' C0 P5 A1 N$ n# @
(3)满足锁定条件的碰撞事件数据,不应被后续事件的数据覆盖;0 @4 f8 \' N4 P2 a6 }7 a. z
(4)其他情况依照时间顺序依次覆盖。
" @) F" f( f1 [1 a" h! u. Q对于Ⅱ型系统:
" t" l, s$ X5 `/ t3 J* C- z(1)实时连续记录的数据与时间戳事件数据不应相互覆盖;5 L/ z' G9 E4 D9 B2 a, S
(2)其他情况应按照时间顺序依次覆盖。 |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡