加載中
智能駕駛安全
詳細(xì)說明
智能駕駛真能替代“老司機(jī)”嗎?
研究數(shù)據(jù)表明�,近94%的致命車禍與駕駛員直接相關(guān)�,例如疲勞、超速或其他違法行為�,智能駕駛被視為可以大大降低事故率�。
隨著系統(tǒng)復(fù)雜性的不斷提升,新技術(shù)將會引入新的安全風(fēng)險��,Uber自動駕駛汽車2018年3月在美國意外撞擊致死一名行人�����,2016-2020四年間特斯拉三次因攝像頭識別局限性撞向白色卡車,2020年3月沃爾沃向市場發(fā)出大規(guī)模召回通告����,數(shù)量達(dá)70萬輛,涉及9款在售車型����,召回的原因是此前沃爾沃在丹麥進(jìn)行的一項關(guān)于XC60的安全測試中,發(fā)現(xiàn)自動緊急制動系統(tǒng)(Autonomous Emergency Braking, AEB)沒有按預(yù)期在發(fā)生碰撞時及時剎停車輛�����。無論是關(guān)于消費者購買自動駕駛車輛的決定因素調(diào)查�����,還是各國發(fā)布的自動駕駛車輛標(biāo)準(zhǔn)�����,“安全”始終是受關(guān)注的焦點�。
智能駕駛帶來的安全問題越來越多,不管是交通事故還是召回事件���,究其原因也不全是由于E/E系統(tǒng)故障失效而導(dǎo)致的;在自動駕駛系統(tǒng)中即使系統(tǒng)不發(fā)生故障�����,也可能因為復(fù)雜智能算法的不確定性導(dǎo)致功能的偏離�、傳感器或系統(tǒng)性能限制、駕駛員對車輛功能的誤用�����,造成交通傷害�。智能駕駛事故頻發(fā)��,公眾的信心下降�,對于智能駕駛的未來我們不禁會有這樣的疑問:我還有機(jī)會嗎�����?
智能駕駛的“安全帶”—SOTIF
我們知道ISO26262 功能安全旨在避免由E/E系統(tǒng)功能失效導(dǎo)致的不可接受的風(fēng)險�����,主要是針對系統(tǒng)性失效/隨機(jī)硬件失效導(dǎo)致的風(fēng)險的進(jìn)行分析和控制,然而傳感器和感知算法(e.g. machine learning, neural networks)���,在沒有出現(xiàn)電子電器系統(tǒng)失效時�����,由于設(shè)計的局限性也會導(dǎo)致風(fēng)險����,但此部分并不屬于ISO 26262的范疇�。為了彌補(bǔ)ISO 26262的局限���,預(yù)期功能安全(Safety of the intended functionality��,SOTIF)應(yīng)運而生。
2019年1月�,ISO/PAS 21448:2019 Road vehicles — Safety of the intended functionality發(fā)布,同年5月ISO 21448工作組草案(WD)中已將該國際標(biāo)準(zhǔn)的范圍拓展至L1-L5自動駕駛車輛系統(tǒng)����。
SOTIF定義為不存在不可接受的由功能設(shè)計不足或者可預(yù)見的駕駛員誤操作風(fēng)險�,主要為了消除以下兩類風(fēng)險:
? Performance limitation 例如:惡劣環(huán)境條件下,傳感器無法探測到物體
? Misuse 例如:人機(jī)界面設(shè)計差�,導(dǎo)致駕駛員誤用自動駕駛功能
智能網(wǎng)聯(lián)車輛對于不同的危害事件原因��,會有相應(yīng)標(biāo)準(zhǔn)覆蓋。
SOTIF從已知性和安全性兩個維度將場景分為4類:
SOTIF的目的就是評估Area 2和Area 3��,通過一系列技術(shù)措施將兩區(qū)域減小����,并同時提供證據(jù)證明這兩個域已經(jīng)足夠小,剩余的殘余危害是可接受的���。在此過程中Area 1通常是增加的�����。
ISO 26262與ISO 21448 核心環(huán)節(jié)對比
盡管ISO 26262和ISO 21448處理的是安全的不同方面,但這兩個過程都需要用于實現(xiàn)預(yù)期功能的可靠安全性論證���。兩個標(biāo)準(zhǔn)之間活動的一致性有助于在系統(tǒng)設(shè)計的早期發(fā)現(xiàn)問題并進(jìn)行修改,同時各活動之間是交互進(jìn)行的�,產(chǎn)品開發(fā)階段通常需要多次迭代,以生成功能和系統(tǒng)規(guī)范�。
? Part5 系統(tǒng)規(guī)范和設(shè)計與 Item Definition 并行
? Part6 危害識別和風(fēng)險評估與 HARA 并行
? Part7 觸發(fā)條件識別和評估與 FSC/TSC 并行
? 驗證和確認(rèn)與 ISO 26262的 V模型右半邊并行
? SOTIF的發(fā)布與功能安全評估并行
功能安全與SOTIF融合實施
ISO 21448中定義了SOTIF的工作流���,下面融合ISO 26262開發(fā)過程����,針對Part5-Part8詳細(xì)描述個階段工作內(nèi)容���。
?Part 5 功能規(guī)范與系統(tǒng)設(shè)計方案
?功能規(guī)范 Functional description
整車層面的描述��,包括預(yù)期功能和子功能目的、需要達(dá)到的性能指標(biāo)���、預(yù)期功能的啟動�,退出條件(運行設(shè)計域operational design domain, ODD描述)�、車輛自動化的Level等級等���。
?方案設(shè)計 system design and architecture
方案設(shè)計中搭建系統(tǒng)架構(gòu),明確各子系統(tǒng)間的依賴交互關(guān)系���,定義系統(tǒng)功能和相關(guān)故障��。
?Part 6 識別與評估危害事件
與ISO26262不同����,SOTIF的危險不是由故障引起的���,而是由于來自外部的觸發(fā)條件會觸發(fā)系統(tǒng)的局限性或弱點(都不是故障)。SOTIFzui初的HARA可以與ISO 26262中的相同��,但是會不斷演變zui終會包含更多的故障���,新的系統(tǒng)性危害以及更多情況(包括觸發(fā)條件)�����。Part 6 識別與評估危害事件
?Part 7 觸發(fā)條件的識別和評估
通過參考相同的項目或者相同領(lǐng)域的經(jīng)驗�����,系統(tǒng)性的分析觸發(fā)條件����。識別系統(tǒng)的缺陷或者場景主要分析內(nèi)容:
?已知的系統(tǒng)組件約束
?環(huán)境條件和可預(yù)見的誤操作
通過這些分析可以提高對系統(tǒng)局限性的理解�����,同時將會改善未知觸發(fā)條件的識別�����?���;谡嚰墑e危害可通過故障樹同時分析功能安全原因和預(yù)期功能安全原因,預(yù)期功能的故障行為下包含觸發(fā)條件和相應(yīng)的弱點和限制�。
針對不同模塊(例如傳感器)創(chuàng)建局限性庫進(jìn)行限制和弱點分析����,將傳感器/功能特征與潛在場景的特征/特性聯(lián)系起來���,確定的觸發(fā)條件可以保存為情景庫�����,以供在新項目中進(jìn)一步使用�����。另外附加一個SysML模型��,用于描述它們隨時間的變化(活動圖)
?Part 8 功能改進(jìn)(Architecture)
首先從安全目標(biāo)得出功能要求,然后從已識別的故障得出較低級別的功能要求�。隨后在單獨的安全概念(TSC /SOTIF概念)中細(xì)化為技術(shù)要求(TSR)和性能要求(SOTIF)�����。添加額外SOTIF安全機(jī)制對架構(gòu)進(jìn)行改進(jìn)�,例如:提高傳感器性能/精度��、傳感器算法改進(jìn)�����、選用合適的傳感器技術(shù)���、改變傳感器位置、傳感器干擾檢測��,并觸發(fā)報警和降級策略����、運行設(shè)計域(ODD)退出的檢測等�����。
?Part9-Part10為SOTIF驗證階段���,需要定義驗證和確認(rèn)策略��,以提供實現(xiàn)目標(biāo)的證據(jù)��,并說明如何實現(xiàn)目標(biāo)�。隨著功能的改進(jìn)�����,對系統(tǒng)進(jìn)行分析�����,以確定在驗證和確認(rèn)期間是否重新測試了其他功能���。這些相關(guān)功能通過回歸測試得到驗證。這確保了已知的或新的觸發(fā)事件不會在未更改的功能中導(dǎo)致潛在的危險行為��。在驗證和確認(rèn)活動中發(fā)現(xiàn)的觸發(fā)事件(其中存在潛在的危險行為)在每次發(fā)布時都要重新測試��。對于Area 2可以通過很明確的方法進(jìn)行驗證����,可參考ISO21448 Clause 10中給出了的系統(tǒng)和組件(傳感器、算法和執(zhí)行器)和集成的推薦驗證方法����。對于Area 3這類情景只能靠企業(yè)的實踐或其他方法(如設(shè)計度量�����、系統(tǒng)分析或?qū)S脤嶒灒┻M(jìn)行評估���。
智能駕駛功能安全綜合方案
結(jié)合自身汽車電子產(chǎn)品研發(fā)實踐,經(jīng)緯恒潤的功能安全團(tuán)隊在智駕域提供覆蓋安全流程��、產(chǎn)品開發(fā)認(rèn)證及工具平臺的綜合解決方案�。
?智駕功能安全流程搭建
?智駕功能安全產(chǎn)品開發(fā)及認(rèn)證
通過功能安全模板�����、開發(fā)實例及的Workshop給客戶提供專業(yè)的咨詢服務(wù)��。
?智駕功能安全平臺
結(jié)合客戶工程需求�����,經(jīng)緯恒潤會協(xié)助構(gòu)建適配智能駕駛的高可靠���、高自動化功能安全平臺�����,以基于模型的安全分析為重要手段驅(qū)動智能駕駛產(chǎn)品架構(gòu)及設(shè)計不斷持續(xù)改進(jìn)����。
Medini為經(jīng)緯恒潤長期合作的專業(yè)功能安全平臺�����,可以完整覆蓋ISO-26262�、ISO-21448(SOTIF)行業(yè)核心過程,針對自動駕駛SOTIF領(lǐng)域的解決方案���,可以覆蓋SOTIF安全分析過程(Part5-Part8)���,同時參與ISO 21448標(biāo)準(zhǔn)制定,隨時更新保持與標(biāo)準(zhǔn)同步�。
依托Medini平臺及豐富的API接口可以構(gòu)建完整的基于模型開發(fā)的功能安全平臺��,所有的系統(tǒng)功能和系統(tǒng)架構(gòu)基于SysML模型描述��,基于這些系統(tǒng)設(shè)計�����,可以直接一鍵生成FMEA表格����,以及快速的構(gòu)建故障樹�����,進(jìn)行FTA��。
在集成化的平臺里,可以管理安全目標(biāo)�����、安全需求����,并把安全需求分配給對應(yīng)的系統(tǒng)和組件����。進(jìn)而�,安全需求、系統(tǒng)設(shè)計��、安全分析三者可以統(tǒng)一平臺中進(jìn)行連接���、交互和管理���。
經(jīng)緯恒潤從2008年開始研究及實施功能安全,并于同年組建了功能安全團(tuán)隊,從消化ISO-26262標(biāo)準(zhǔn)到參與2017年GB/T 34590功能安全標(biāo)準(zhǔn)的制定���;結(jié)合自身汽車電子產(chǎn)品研發(fā)實踐,經(jīng)緯恒潤的功能安全團(tuán)隊在智駕域�����、底盤域�����、動力域�、車身域?qū)嵤﹪鴥?nèi)外100+成功案例��,積累了豐富的經(jīng)驗�。迎合市場所需��,結(jié)合量產(chǎn)產(chǎn)品功能安全落地實施的技術(shù)難點�����,經(jīng)緯恒潤功能安全團(tuán)隊以智能駕駛功能安全為主題��,陸續(xù)發(fā)布解決方案系列文章��。
