自动驾驶安全设计要点解析

• Simulation 

• Re-Simulation

• Safety of On-Road Testing 

• Cybersecurity

• Developer Training and Education

6、自动驾驶安全设计 – 仿真

尽管交通事故发生率一直在增加，但一辆试验车发生危险事故的情况却极为罕见，因此很难准确评估其安全性。例如，美国驾驶员大约每500,000英里经历一次警方 告的撞车事故。为了证明自动驾驶系统的碰撞率低于人类驾驶需要相当大的测试车队行驶相当长里程。 因此，仅单通过道路测试很难验证车辆的自动驾驶性能。

DRIVE Constellation 旨在实现最大的灵活性，吞吐量和风险消除，并依赖于高保真仿真模拟。它还利用两个不同服务器的计算能力来提供基于云的计算平台，该平台能够产生数十亿虚拟里程的自动驾驶汽车测试。

图1. DRIVE Constellation 服务器支持硬件在环测试

DRIVE Constellation中的第一台服务器运行DRIVE Sim软件来模拟自动驾驶车辆的多个传感器和车辆动力性能。强大的GPU可以准确地呈现出代表各种环境和场景的传感器数据流。这使工程师可以测试一些比较罕见的场景，例如白天和晚上的不同时间内段内的暴雨，暴风雪或强烈的眩光等罕见条件。每种场景可以被重复测试，并可以调整多个变量，例如路面和周围环境，天气状况、交通流量以及一天中不同时刻等；

第二台服务器包含车载计算机 – DRIVE AGX Pegasus计算机，在自动驾驶汽车内，该计算机运行完整的，未经修改的二进制自动驾驶软件堆栈（DRIVE AV），它处理模拟数据，就好像它们来自实际在道路上行驶的车辆的传感器一样，并将驱动命令发送回模拟器。这两个服务器相互协作可以实现“硬件在环”测试和验证。

图2. DRIVE AV 和 DRIVE Sim 相互协作配合

7、自动驾驶安全设计 – 二次仿真

首次仿真之后，NVIDIA还使用二次仿真 – 回放以前记录的传感器数据（而不是合成数据），来测试驱动软件堆栈。例如：二次仿真过程中，结合来自自动紧急制动场景下的实际传感器数据，来消除误 情况。

8 、自动驾驶安全设计 – 道路安全测试

NVIDIA编制了《 DRIVE道路测试操作手册》，以确保安全、标准化的道路测试过程。该文档详细说明了在每次路试之前，之中和完成之后必须执行的操作。

道路测试始终由训练有素的安全驾驶员进行，该驾驶员不断监视车辆的行为，并在必要时随时进行干预。副驾驶员监视自动驾驶软件，例如检查汽车检测到的物体是否与实时观看的物体相对应，以及车辆是否针对当前路况规划出合适的路径。

图3. 道路安全测试流程示意图

9、自动驾驶安全设计 – 络安全

自动驾驶如果没有 络安全保障，就不能认为该自动驾驶平台是安全的。安全漏洞可能会损害系统实现基本安全目标的能力。

NVIDIA在安全功能的硬件和软件实现方面遵循国际和国家标准，包括加密原理。此外，还遵守美国国家标准技术研究所和通用数据保护条例制定的标准，以保护所有人的数据和隐私。

NVIDIA在系统设计和危害分析流程中采用了严格的安全开发生命周期，包括涵盖整个自动驾驶系统（硬件，软件，制造和IT基础架构）的威胁模型。NVIDIA DRIVE平台具有多层防御，可提供抵御持续攻击的弹性。

NVIDIA还拥有一个专门的产品安全事件响应团队，负责管理、调查和协调内部和合作伙伴的安全漏洞信息。

由于车辆系统的使用寿命比许多其他类型的计算系统更长，因此英伟达使用先进的机器学习技术来检测车辆通信和行为中的异常情况，并提供针对零时差攻击的附加监视功能。

 10、自动驾驶安全设计 – 开发者培训与教育

NVIDIA深度学习学院提供有关如何设计，训练和部署自动驾驶汽车DNN模型的多门课程；目前，英伟达在8个不同的领域拥有100万名注册开发人员，例如深度学习，加速计算，自动驾驶机器和自动驾驶汽车。

参考资料：

1. Self-driving  safety  report (NVIDIA)