(08-06-2025, 10:42 AM)Steph a écrit : Avec la GSR2 les voitures commercialisées depuis 2018 doivent pouvoir freiner sans intervention du conducteur pour éviter un obstacle.
La technologie ne suit pas et les "freinages fantômes" commencent à concerner tous les constructeurs avec des conséquences parfois dramatique.
https://www.tf1info.fr/transports/video-...85794.html
https://www.facebook.com/leprogres/posts...511650442/
En tant que motard, c'est assez flippant...
Il me semble en avoir déjà parlé ici mais ce genre de truc me fait bien rire.
Des confrères font le même taf que moi dans l'auto et comment dire...
La différence entre l'aéro et l'auto, c'est qu'il n'y a pas de certification pour la partie safety. La 26262 est un guide! Tu me diras si tu ne suis pas les ARP4751 et 4754, tu peux quand meme certifié un avion mais bon courage devant l'ESA si tu ne suis pas les ARP.
En gros si tu es en retard sur tes livrables safety en auto, tu peux quand meme vendre et distribuer ta voiture aux clients. Libre aux constructeurs de finaliser la partie safety ou non.
Au contraire dans l'Aero, l'avion doit obtenir un TC (type certificat) de l'EASA pour l'europe, FAA pour les Ricains, TCCA pour le Canada, etc etc pour chaque pays. Lors du TC, les autorités peuvent encore te coller des actions à clore AVANT l'EIS (Entree Into Service). D'ailleurs maintenant les autorités de certif ne donnent plus un type certificat mais une non objection engageant le DOA du constructeur. Ceci me met hors de moi car les autorités de certif ne certifie plus mais ne donne qu'un avis de non objection. En gros plus personne n'assume afin de ne pas etre responsable. (C'est mon coup de gueule du jour).
Pour en revenir aux freinages fantômes et la safety dans l'auto. En gros il y a 4 évènements redouté dans l'auto concernant le freinage ou le non freinage (hors freinage dissimétrique).
Non freinage alors que le vehicule roule à grande vitesse -> Accident à grande vitesse = mort donc l'évènement est "catastrophique" (S3)
Non freinage ou freinage tardif -> Accident à vitesse faible ou modéré = blessé donc l'évènement est "Major" (S1) ça c'est la classification aéro mais dans l'auto c'est S0 : aucune blessure, S1 : Blessures légères à médérées, S2 : Blessures graves à mortelles, S3 : mortelles.
Freinage intempestif (ou fantome) avec décélération < Xm/s. On considère que la voiture de derrière aura le temps de freiner ou que sa décélération sera importante donc pas de collision ou collision à faible vitesse. S0 à S1 ou en aéro ça serait maximum Majeur.
Freinage intempestif avec décélération > Xm/s. On considère que la voiture qui suit n'aura pas le temps de freiner du tout ou à peine amorcer son freinage donc collision forte avec risque de mort -> S3 ou Catastrophique dans l'Aéro.
Donc ne pas freiner c'est Cata et freiner fort c'est aussi Cata. Autant vous dire que c'est bien merdique pour une véhicule autonome car on ne peut pas tirer crédit du conducteur (qui va accélérer pour contrer le freinage intempestif ou freiner si la voiture ne le fait pas).
Ceci à un fort impact sur l'architecture et les choix techniques. C'est exactement la raison du premier mort en Tesla sous AutoPilote. 2 capteurs, chacun avec un range différent mais un recouvrement dans le range entre les 2 capteurs. Par exemple capteur 1: 50m à 300m et capteur 2: 0 à 150m.
Si un obstacle se trouve à 100m et qu'un capteur le détecte et l'autre capteur ne le détecte pas que faut-il faire? freiner fort c'est Cata et ne pas freiner c'est aussi Cata. Pour éviter ce cas foireux, Tesla et son fournisseur avait choisi de mettre une pondération pour éviter d'avoir un 50/50 si un capteur disait obstacle et l'autre non. L'un des capteurs avait un poids de 40% et l'autre 60%. Bad luck dans le cas du premer carton mortel d'une Tesla sous AP, c'était le capteur ayant 40% qui avait vu l'obstacle donc la voiture n'a pas freiné.
Dans l'auto il y a un autre point, c'est l'agrément de conduite et c'est hyper important dans l'automobile. Imaginez vous roulez sur autoroute à 130km/h et pour un oui ou pour un non, la voiture lève le pied des gazs toutes les 10sec. Il n'y a aucun danger à ce que la voiture décèlere en faisant comme un levé de pied des gazs. Pourtout pour les occupants de la voiture c'est désagréable car les occupants (y compris le conducteur) ne s'y attendent pas donc ne l'anticipe pas musculairement, la tete part en avant. Si toutes les 10secs votre tete par en avant, vous allez pété un cable et ne plus jamais utilisé le régulateur adaptatif et vous irez vous plaindre chez le concessionnaire que la caisse est une vraie merde (à juste titre).
Maintenant mettez les évènements redoutés que j'indique dans un mixeur, secouez, servez et ajoutez un peu d'agrément de conduite par dessus, la recette est magnifique. Bon courage pour trouver la solution.
Des solutions il y en a : ajouter des capteurs, de l'électronique etc bonjour le cout, quel client final acceptera de payer sa voiture x2 ou x3 le prix actuel déjà très salé?
Autre solution faire des kilomètres d'essai et faire un ajustement très fin des paramètres, ça aussi ça coute une couille.
Prenez un exemple tout con, route de campagne, un peu de végétation et du vent par rafale. D'un coup une feuille un peu volumineuse arrive comme si c'était un lapin. les capteurs détectent, il faut freiner ou pas? fort ou pas fort? pour ajuster tu peux ajouter un capteur et/ou un algo qui va permettre de détecter la température et ainsi faire la distinction entre la feuille et le lapin.
Maintenant tu fais la meme chose un jour de canicule 35°C ou dans un pays chaud. Est ce que ta solution technique et ton algo marche toujours? Bref il y a toujours des corner case comme on dit et tu ne les aura jamais tous vus ou imaginés.
Par illustrer les coûts, dans l'aéro je parle d'un avion CS25 (pas le tagazou d'aéroclub), quand tu identifies un scénario catastrophique, tu dois démontrer une certain nombre de chose (Tenir une proba de 1e-9, ne pas avoir de mode commun donc tu dois avoir minimum 2 CPU de 2 fournisseurs différents sur 2 cartes électronique différentes, ces 2 cartes doivent avoir une équipe de conception dédié et dissocié, idem pour le logiciel, idem pour l'usine de fabrication de la carte, cerise sur le gateau les 2 cartes doivent être dans une zone de ventilation différente (et pas qu'à cause du feu, car si tu les mets dans la meme zones tu dois démontrer qu'une élévation anormal de température de la zone ne va pas provoqué un erroné d'une mesure). Ne croyez pas qu'en cas de surchauffe de la dite zone, on coupe la carte électronique, car il y a aussi la contrainte du CSFL (Continous Safe Flight and Landing) donc vous ne coupez rien, l'architecture doit etre robuste à tout ces contraintes.
A contrario dans l'auto, pour un scénario Cata, vous pouvez avoir la partie "Controle" et la partie "Monitoring" hébergé sur la meme carte et même fait par le même CPU! D'ailleurs lors de je ne sais plus quel Crash Musk avait décidé d'avoir un CPU pour le controle et une autre instance de la carte pour faire le monitoring.
Selon moi ces dispositifs ne devraient pas etre obligatoire et surtout complètement déconnectables. Le genre de gugus qui rendent ça obligatoire n'ont absolument aucune idée des contraintes derrières et donc du cout exorbitant qui sera obligatoirement supporté par le client final.
![[Image: KxrXNtJ.png]](https://i.imgur.com/KxrXNtJ.png)
![[-]](https://www.forum-autoroule.com/images/collapse.png)
![[Image: image.png.e3f3f0fb5bb77af95df3e6f04b654602.png]](https://forums.automobile-propre.com/uploads/monthly_2025_08/image.png.e3f3f0fb5bb77af95df3e6f04b654602.png)
