自动驾驶(L3~L5)的量产就会给开发人员带来怎样的挑战?
传统的交通事件中包含“场景(scenario)”“驾驶员(driver)”“自车(ego vehicle)”三个角色,驾驶行为分为“感知(sense)”“决策(plan)”“执行(act)”。
汽车电气系统的复杂和运用环境的多样致使不可能完全避免软硬件故障的发生。为了解决这个问题,“功能安全”应运而生。(ISO 26262中原话如下)
但对于自动驾驶系统来说,仅降低因故障造成的风险远远不够。
但工程师们从不放弃,毫米波雷达、激光雷达、智能摄像头齐头并进,车联网、高精度地图强势加入,都在为提升感知的全面和精准而努力;性能不断提升的机器学习算法和处理芯片、越来越集中化的中央计算电子电气架构、更高传输速率的车载网络都在力求为车辆提供更正确的决策。
预期功能安全(SOTIF)在这样的背景下,作为功能安全的补充,他自认为功能安全可以处理好软硬件系统故障的问题,汽车的安全风险来自预期功能不足或人员误操作。前面提到,单个部件的技术发展,都存在自己的性能瓶颈。
举个例子:高速公路车道线检测算法用于车道保持等功能,可能会由于车道上的碎片而错误地确定车道。车道偏离造成碰撞的伤害可以被其它自动驾驶功能减轻,如:使用高清地图和定位确认车道线;通过前面车辆的轨迹合理化车辆轨迹;通过避碰算法与其他车辆保持分离,即使这意味着离开感知的车道。
预期功能安全处理的对象就是场景,ISO PAS 21448-2019中将场景分为四类(如下图所示),SOTIF的目标就是:
2.区域3,通过行业最佳实践或其他方法(如设计措施、系统分析或专业实验)进行评估,发生的可能性足够小。
下图是标准中规定的预期功能安全工作执行的流程。
6:对预期功能可能存在的危险行为进行危害识别和风险评估。这里不考虑原因,只评估可能由危险预期行为导致的危险事件,并定义要满足的验证和确认目标。
8:功能完善或用例限制,避免或降低SOTIF风险。在9、10、11章节都会应用到。
10:在已知危险场景中验证SOTIF。已知危险场景是否被覆盖?系统和部件是否按预期工作?
12: 剩余风险评估,通过验证和确认工作评估风险是被接受还是功能完善或用例限制。
总结一下,SOTIF对于高级自动驾驶的开发是非常必要的条件,但要实现高级自动驾驶的安全目标,还需要做更多的工作,例如功能安全、信息安全等。
已完成
数据加载中