中国道路运输网刊发“中国电动汽车百人会”专场“智能汽车论坛”演讲核心内容。本专场共有10位嘉宾发表对产业发展及未来方向的真知灼见。以下来自博世底盘控制系统中国区总裁陈黎明精华摘录。要点如下：

       1、要保证自动驾驶在量产的时候就是安全的，首先我们要满足车辆安全基本要求，同时要进一步满足功能安全、预期功能安全和网络安全要求。

       2、要提高自动驾驶安全，我们必须要在系统失效时有另一套系统来执行所需功能，这就提出了冗余设计概念。
       3、博世的两套定位系统、两套转向系统、两套制动系统、两套通信系统、两套传感系统以及误触发逐一解析。

       今天我给大家分享的题目叫《安全是汽车成为智能终端的基石》。智能驾驶汽车是把人与车融为一体的一个载体，是我们生活中的第三生活空间，我们希望在这个空间里它能够解放我们的时间和双手，但前提是，我们在车里要感到充分的安全、充分的放心，这样我们才可能尽情地去享受自动驾驶给我们带来的便利。

      自动驾驶要解决两大问题：

      第一，改进交通安全；

      第二，解放我们的双手和时间。

      所以安全是自动驾驶的基石之本。

       研究表明，人类目前的安全记录是每两百万公里有一起受伤事故，1.47亿公里有一起死亡事故。也就是说要证明自动驾驶比人类驾驶更安全，那么我们要驾驶超过1.47亿公里没有死亡事故。这需要两百年时间，我们知道这是不可能的。

       要保证自动驾驶在量产的时候就是安全的，首先我们要满足车辆安全基本要求，同时要进一步满足功能安全、预期功能安全和网络安全要求。功能安全是要求避免电子电气系统异常造成的危害。预期功能安全，要求系统能够正常的运行，在不该工作的时候不能工作，也就是不能有误操作。网络安全需要防止黑客的入侵，由于入侵可能造成功能的误触发。

       为什么在自动驾驶的时候功能安全和预期功能安全得到更多的关注？最主要就是自动驾驶的复杂性不断提高，给我们带来新的挑战。随着自动驾驶级别提高，场景更加复杂，更多的功能和责任由人转向系统，这就对系统失效时候失效安全提出更高要求，也就是说从失效安全提升到失效可操控，这是什么意思？

       在紧急情况下最起码我要能够安全停车。但是我们都知道如果停在最左边道路上有可能会被追尾，所以我们更希望能够把车停在最右边的紧急停车道上，当然最理想的状态就是能够开到一个非常安全的停车场，甚至修理厂，这样更能提高我们自动驾驶安全。要做到这一点，我们必须要在系统失效时有另一套系统来执行所需功能，这就提出了冗余设计概念。博世在这方面是怎样思考和施加的呢？
   

      博世关于自动驾驶冗余设计方案的系统架构，覆盖了主要的功能和主要的子系统。它包含环境感知、定位、环境分析、路径规划、转向、制动，除此之外还包含了通讯和电源，我们认为以这样的架构可以覆盖我们可能想象到的所有安全问题。

      博世关于环境感知的解决方案，是首先对所有可能的运行场景进行收集，建立了一个非常大的场景库。根据所有的场景我们对将来自动驾驶需要的传感器提出新的设计要求，包括它的探测距离、精度、分辨率等等提出更高的要求，通过这样我们能够更好感知我们周边的环境。其次，我们对传感的系统进行了一个设置，通过不同传感器的配置和搭配来进行互补，这样能够很好的来保证我们感知是精确和可靠的。

      定位系统——博世的定位解决方案有两套：第一，绝对定位；第二，特征定位。在绝对定位当中我们开发了一个智能高精度定位传感器，通过GPS信号和路边纠偏，给汽车提供准确的定位信号。我们知道在城市里边GPS信号不是很稳定，由于建筑物的原因，那么这样我们就开发了基于道路特征的一个解决方案，它是通过雷达和摄像头，对道路特征进行采集，生成一个我们讲的特征层来进行精确的定位。

      我们知道在开阔的地方没有参照物，没有建筑物，这样特征定位可能就变得很弱，那这个时候绝对定位就可以发挥很好的作用。所以两个方案的组合能够相互互补，同时又产生冗余，这样我们就实现了互补和冗余的功能。

       转向系统——在转向系统里面我们正在开发一个冗余的转向，它是由两路控制系统组成。我们看到它的执行机构是一键，但是控制是两个轨路，有单独的电源、单独的通信、单独的ECU，驱动电机的不同模块，在一路系统失效的时候，另一路系统还可以降级操作，把车开到安全的地方。

       制动系统——博世的制动系统是两套独立的机构，我们的iBooster和ESP。除此之外我们还有两套通信系统、两套传感系统，这样在一个元件，或者一套系统失效的情况下，另一套系统还能进行互补，能够安全地把车停下来。

       制动系统里面我们有两个系统，一个是正常驾驶，一个是车子失稳情况下的控制。在正常的工作情况下，iBooster可以正常工作，车子失稳时候ESP可以进行ABS和防纠偏的情况。第二是iBooster失效的情况，这种情况下正常驾驶就需要由ESP执行制动需求。在雨雪天气车辆失控时候保证汽车正常运作。第三的情况是ESP失效的情况下，这时候正常驾驶制动还是iBooster来执行，在雨雪天，当车子失控的时候，由于ESP的失效，我们就需要用iBooster补充执行ABS相关的功能。
   

       误触发解决——在汽车控制系统里面最棘手的问题就是误触发，怎么能够找到误触发、避免误触发，也是在我们开发过程中的一个长尾问题。这个就需要我们利用一套新的开发工具和方法，也就是数据驱动的迭代模型，在汽车量产之后，道路运行过程当中不断搜集相应的危险场景和失效模式，最后进行不断的迭代开发，进一步改进自动驾驶系统的性能和它的安全。（本网依据速记整理，有删节，速记未经本人审核）