这篇关于自动驾驶功能安全的文章是我们与汽车专家Patrick Freytag合作的三篇系列文章的第三部分。如果你还没有读过,请回去阅读第一部分这本书讲述了汽车行业正在发生怎样的变化第二部分,其中讨论了解决功能安全的方法。
由于功能安全具有产品生命周期方法,因此它对公司的所有流程都有开云足球app下载官网最新版广泛的影响。作为功能安全领域的新手,要专注于最重要的方面是一项挑战,尤其是对于知识密集型汽车行业的新进入者来说。以下是基于我的观察和经验的最佳实践。
自动驾驶的功能安全——新市场进入者的最佳实践
执行管理团队:关注功能安全
开云足球app下载官网最新版产品安全应该是执行管理团队(EMT)讨论的话题,因为向客户部署车辆对公司负有法律责任。EMT应该明白,它需要专门的资源来实现产品安全。开云足球app下载官网最新版实施安全工程管理是EMT最重要的任务之一并确保质量和安全的角色和职责在公司内得到明确和沟通。安全团队的成员需要一套特定的技能,因此投资于功能安全教育和资格是很重要的。在公司里培养质量和安全文化是很重要的。因此,质量和安全应该成为目标协议和绩效评估的一部分。质量和安全必须被视为员工的核心责任和绩效指标。
项目管理:计划和跟踪功能安全
项目管理必须将功能安全纳入产品概念和开发计划。开云足球app下载官网最新版项目经理(PM)应考虑项目计划和项目预算中额外的时间和成本。开云足球app下载官网最新版产品开发计划必须包括质量和安全里程碑以及相关的工作产品。例如,如果项目经理在门评审中没有收到质量和安全里程碑达到的证明,该怎么办?这肯定是一个危险信号。像这样的情况可能表明更深层次的问题,不应该被掩盖。项目经理应该开始GAP分析,并要求制定行动计划。我建议尽快将问题升级到执行团队,以防缺少产品安全证明。开云足球app下载官网最新版如果没有承诺和计划好的行动,情况不会好转,你等待的时间越长,情况就会变得越糟。由于安全考虑通常渗透到系统设计的几个层,因此它不是一个可以在生产开始前不久标记的属性,它必须从一开始就实现。开云足球app下载官网最新版
开发和功能安全团队:实施和验证功能安全
行业经验表明,功能安全不是一个你可以分配给一个负责人的话题。例如,技术安全概念由软件、硬件和系统级专家组成的团队创建,并由系统架构师与功能安全工程师协作协调。开云官网入口下载手机版这意味着功能安全经理是一个在公司中扮演几次的角色,而安全工程师的角色甚至可以分配给整个团队。如前所述,功能安全需要特定的领域知识和安全工程专业知识。但是,如果公司内部缺少这种专业知识,该怎么办呢?我的建议是用外部资源作为临时解决办法。启动功能安全教育和资格认证作为长期解决方案。在产品开发过程中,必须使用适当的工程方法和领域知识来确定开云足球app下载官网最新版安全要求。必须实施、跟踪、管理、验证和验证这些安全要求,以确保实现风险降低,并且产品是安全的。开云足球app下载官网最新版
T自动驾驶功能安全的演变
功能安全的重点是避免和减轻E/E系统的故障。这也适用于高级驾驶辅助系统(ADAS)。当检测到故障时,会向驾驶员发出警报,并执行缓解措施以达到安全状态。这些系统被称为故障安全系统。让我们以自适应巡航控制(ACC)为例。当检测到故障时,将在仪表盘中显示警告。这种视觉警告通常与声音警告相结合,以引起驾驶员的注意。ACC功能将被关闭,驾驶员负责控制车辆的速度并再次保持安全距离。
自动驾驶的额外安全考虑
上述ADAS安全机制对于全自动驾驶汽车来说是不够的。关闭自动驾驶系统是不可能的,因为没有司机来接管。自动驾驶汽车(AV)必须在所有(故障)条件下工作,它必须是故障操作。没有驾驶员参与的自动驾驶汽车还需要态势感知,了解周围世界,做出决定并采取行动。这种态势感知是通过基于激光雷达、摄像头和雷达的各种复杂传感器系统的数据融合而产生的。然后对合并后的数据进行解释,以便制定计划并采取行动。这种解释和规划是由人工智能(AI)和机器学习(ML)驱动的复杂算法实现的。
如今,许多联网和配备adas系统的汽车已经上市。连接功能和信息共享越来越多地用于更新车辆功能、维护相关诊断和交通服务。这一发展也将增加具有不同动机的黑客攻击车辆的吸引力,并为车辆网络安全带来额外的风险。
由于系统限制和误用引起的安全问题
如果自动驾驶系统没有系统故障,但不能按预期工作,会发生什么?不安全行为可能由传感器系统的限制、极端条件或不可预见的情况触发。此外,滥用可能会混淆人工智能算法并导致不安全行为。
《消费者报告》展示了滥用ADAS的一个例子。《消费者报告》在2021年4月报道称,它能够欺骗特斯拉在无人驾驶的情况下以自动驾驶模式行驶。真实的证据在5月出现了警方逮捕了一名特斯拉司机,因为他坐在后座上驾驶汽车在旧金山湾区的高速公路上行驶时。这名警官确认唯一的乘客坐在后座上,所以他采取行动让车停下来,看到乘客在车停下来之前移到了驾驶座上。作为回应,特斯拉激活c国家的相机5月底将在Mo开云官网入口下载手机版del 3和Model Y上安装自动驾驶仪,并升级软件以检测和提醒驾驶员注意力不集中。
这里有一个典型的限制例子,一辆自动驾驶汽车正在行驶,遇到了黑冰。虽然经验丰富的司机应该能够理解情况并做出适当的反应,但基于人工智能的自动驾驶汽车可能无法做到这一点。在没有感知到路面结冰的情况下,自动驾驶汽车可能会以超过安全水平的速度行驶。
因此,考虑到在没有系统故障的情况下发生的安全违规行为,必须增加功能安全。
相关:观看Jama连接汽车解决方案的演示开云官网手机网页版入口
预期功能安全或SOTIF (ISO/PAS 21448)
公开的ISO/PAS 21448规范名为“道路车辆-预期功能的安全性”,于2019年发布。SOTIF在标准中定义为:不存在由于预期功能的功能缺陷或可合理预见的人员误用而造成的危险所造成的不合理风险。SOTIF的目标是避免出现这种情况车辆按照设计工作,但在现实场景中失败。ISO 21448为实现SOTIF提供了设计、验证和确认措施的指导。当前版本包括高级驾驶辅助系统(SAE J3016L1和L2)。它可以考虑更高水平的自动化;然而,额外的措施是必要的。
自主产品评估标准(ANSI/UL 4600)开云足球app下载官网最新版
UL 4600标准于2020年4月发布,其范围是在没有人为干预的情况下完全自动驾驶系统的安全评估。UL 4600的目标是确保建立一个全面的安全案例,包括安全目标、论证和证据。UL4600涵盖了安全原则、风险缓解、工具、技术和生命周期过程,用于构建和评估可以在无人监督的情况下以自动模式运行的车辆的安全论证。因此,本文涵盖了自主操作的基于ml的系统方面。UL 4600适用于现有的汽车安全标准,如ISO 26262和ISO/PAS 21448 by建立他们的优势,同时也填补他们的自主特定的空白。
结论
目前,无人驾驶汽车的安全挑战还无法用单一标准来解决。随着我们从现有的高级驾驶辅助系统(L1和L2+)发展到全自动驾驶系统(L5),标准和方法也将不断发展。
目前最先进的汽车安全是通过不同的工程方法和工艺的结合来实现的:
功能安全(ISO 26262)
保护E/E故障行为系统和随机硬件故障有驾驶员在场负责安全操作的车辆
预期功能的安全性(ISO/PAS 21448)
处理关于不存在由于预期功能功能不足或人员合理可预见的误用而导致的危害而造成的不合理风险的功能限制。SOTIF涵盖L1和L2 ADAS车辆,并且有驾驶员在场负责安全操作。
网络安全工程(ISO/SAE 21434)
保护道路车辆系统和部件免受有害攻击、未经授权的访问、损坏或任何其他可能干扰和损害安全功能的东西
自主产品评估(ANSI/UL4600)开云足球app下载官网最新版
P完全自动驾驶的道路车辆可以在没有人类监督的情况下运行
带走:在实现完全自动驾驶的道路上,需要不同工程方法的结合
- 功能安全帮助你把事情做好
- 预期功能的安全性帮助你做正确的事
- 网络安全有助于保护安全功能免受损害
- 自主产品的评估开云足球app下载官网最新版帮助您提供证据,证明您做了足够的安全工程工作来实现安全的自动驾驶产品开云足球app下载官网最新版
这篇文章是关于自动驾驶的汽车洞察和最佳实践的三篇迷你系列文章的总结。特别感谢Jama Software给开云官网手机网页版入口我这个机会开云官网入口下载手机版与大家分享我的观察和经验。我希望你喜欢阅读我的想法,并对汽车安全和自动驾驶这个复杂而有趣的世界有一些有用的见解。
- 现代汽车开发的汽车工程与管理方法——实现自动驾驶的功能安全——2021年6月8日
- 现代汽车开发的汽车工程与管理方法——解决功能安全问题——2021年5月4日
- 现代汽车开发的汽车工程和管理方法-行业挑战——2021年4月2日