自動駕駛功能安全的案例
經緯恒潤預期功能安全(SOTIF)解決方案為自動駕駛安全保駕護航
· 產品上:一方面,經緯恒潤基于駕駛數據、場景提取算法、聯合分布統計等數據驅動方法,結合安全分析構建關鍵臨界風險場景并進行解算,在整車開發早期提出量化需求指標和測試驗證準則,以便在車輛后期測試階段有較為明確的輸入,避免因定義模糊造成大量重復且無意義的測試驗證工作。另一方面,基于在高級自動駕駛領取多年深耕的經驗,經緯恒潤總結關鍵技術,通過預期功能安全模板、開發實例及定制Workshop給客戶提供專業的咨詢服務。可以更好地助力企業高級別自動駕駛功能“安全”落地。
自動駕駛安全組件是經緯恒潤獨立研發的一種解決方案,通過使用經緯恒潤的自動駕駛安全組件,企業可以節省大量的時間和精力,因為組件已經經過獨立研發和測試,具備符合功能安全和預期功能安全的能力。企業無需從零開始開發安全組件,而是可以直接使用經過驗證的解決方案,從而加快自動駕駛功能的開發進程。此外,自動駕駛安全組件還具備適配結構化和非結構化場景的能力。這意味著無論是在道路上的結構化環境還是復雜的非結構化環境中,組件都能夠提供可靠的安全性支持,確保自動駕駛系統在各種場景下的穩定運行。
經緯恒潤功能安全團隊成立于2008年,系國內較早從事功能安全技術研究的團隊。作為功能安全、預期功能安全國家標準委員會成員,參與GB/T 34590第一版、第二版起草及修訂工作。經緯恒潤在汽車電子產品研發實踐中全面導入功能安全方法論,目前研發流程、生產流程已通過ISO26262的功能安全開發過程認證,功能安全開發過程已達到ASIL-D級別。智能駕駛產品開發內部按照SOTIF流程開發,并通過了ISO21448的預期功能安全開發過程評估。
展開 未來自動駕駛系統功能安全模型拆解分析
從長遠來看,最先進的自動駕駛系統將反映在交通事故統計中,并將不斷提高新的自動駕駛系統的驗證目標值。
本文的目標是提出一種解決自動車輛帶來的風險的通用方法。
此通用方法可以作為安全自動駕駛的基準,但不包含完整且安全的特定產品。預期功能的安全性,功能安全性和網絡安全性如何一起工作,以及如何將它們組合在一起以創建一個可靠的系統。
自動駕駛的安全分析能力推導
自動駕駛系統具有一組基本的系統屬性,此處將這些屬性指定為功能。這些功能分為故障安全功能(FS)和故障降級功能(FD)。故障安全功能可提供并實現客戶價值,但是它們還可以使系統在發生故障時達到最小風險狀態。故障安全功能可能會中斷,因為其不可用時的安全相關性較低,也可能被故障降級功能所覆蓋。
在系統正常運行期間,可以使用機器人技術和自動駕駛控制中經典的軟件架構 — “感知-規劃-決策執行”設計范式來理解系統運行。在此模型中,感測、規劃、控制以及制動和穩定性執行策略為自動駕駛系統提供了與實現無關的一般視圖。如下圖展示了這種常用模型:
該模型中顯示的感知端詳細闡述了包含如下幾個分類信息:
1)V2x:包括V2V、V2I、V2P等;
2)環境感知傳感器:Radar、Camera、Lidar等;
3)先驗環境感知:HD-Map;
4)車輛狀態:車身信息(如速度、加速度、橫擺率、轉向角等);
5)駕駛員狀態:疲勞、注意力狀態等;
6)交通規則、人機交互接口;
功能目標分解——故障安全功能
基于自動駕駛系統功能對感知,規劃和決策的基本功能分配,可以為自動駕駛車輛合理安全且與要素分配相關功能安全需求,如下圖所示。
展開 自動駕駛預期功能安全要素及準入難點解讀
作者 | Aimee
出品 | 焉知
知圈 | 進“電子電氣群”請加微13636581676,備注架構
自動駕駛汽車準入制度旨在為自動駕駛汽車市場化提供合法性支撐、預防和應對技術的不確定性挑戰,并尋求道德倫理的正當性。當前,自動駕駛功能的研發及量產已經進入白熱化階段,各家主機廠在該領域的投入也傾注了大量的精力和能力,對于上市也是勢在必得。但是對于法律和標準規定來說,自動駕駛上市必須拿到工信部代表交通部頒發相關的準入牌照才能受到相關社會的認可。
然而,自動駕駛準入需要充分考慮汽車研發的各個方面,最重要的是保證駕駛過程中具備足夠的安全性,這就要求在設計之初就需要充分考慮到其中的關鍵一環:功能安全及預期功能安全。由功能安全涉及的失效和故障(一般指系統級功能和功能故障的E / E故障)將導致錯誤的轉向或制動,這被認為是自動駕駛與安全性相關的最高風險(一般能達到ASIL D)。通過根據ISO PAS 21448 SOTIF方法開發的功能來定義安全功能和系統,包括第一個初步的體系結構,是朝著按照ISO 26262應用功能安全性邁出的第一步-創建項目定義。該項目定義應包括功能的定義,包括其對環境和其他項目/車輛的依賴性以及與環境和其他項目/車輛的相互作用。根據項目定義,可以進行危害分析和風險評估,以找到該功能及其相關系統的根本要求或安全目標。下一步是開發功能和技術安全概念。
自動駕駛預期功能安全分析能力
自動駕駛系統必須具有一組基本的系統屬性,此處將其指定為功能。下面將討論為了聲明整個系統是安全的應具有的功能。這些功能分為故障安全功能(FS)和故障降級功能(FD)。故障安全功能可提供并實現客戶價值。故障安全功能可以被終止,因為其不可用性的安全相關性足夠低,或被故障降級功能所覆蓋。
展開 自動駕駛功能安全評估:故障注入仿真試驗完善驗證
框架:SAB OTAGE
現有版本的 ISO 26262 的概念階段,主要通過例如 FMEA 等安全分析方法進行安全評估,由于自動駕駛汽車系統的復雜性,某一失效的影響不一定預先可知,這導致分析結果的不完整。
故障注入則提供了一種評估高級自動駕駛系統安全性和可控性的有效的補充方法。在已知故障類型的條件下,利用故障注入可以得到系統運行期間發生某一故障的影響及相關故障數據。
圖 1:Sab otage:基于仿真的故障注入框架
圖 1 展示了基于故障注入仿真的自動駕駛汽車功能安全分析方法,該方法可作為評估早期設計階段某個架構安全性的補充手段。通過分析仿真數據,可以在數個較優的安全概念之間加以權衡和選擇。
依據該框架,本研究所提 Sab otage 方法的大致流程為:
第一步,識別失效模式。首先,必須已知相關項的主要功能及其故障類型。然后正確識別功能失效模式,以獲得關于其影響的數據(在系統/整車層級)。這意味著如果這些失效模式定義在系統層,其影響便體現在整車上。這些故障/失效模式與保存在通用故障模型庫中的通用故障模型(遺漏 Omission,凍結 Frozen,延遲 Delay ,翻轉 Invert,振蕩 Oscillation,隨機 Random)相關聯。這些通用故障模型是預先設置的,是模擬任何組件/系統功能失效模式的特定故障模型。
第二步,配置故障注入試驗。
展開 
自動駕駛預期功能安全要素及準入難點解讀
總結
本文主要講了與自動駕駛功能相關的惡預期功能安全策略,從基本的概念、目標、架構、標準及測試范圍著手進行了全面的分析,旨在為下一節自動駕駛準入過程中的難點分析鋪墊。使讀者能夠在深入淺出的了解到預期功能安全的重難點,從而后續為自動駕駛的設計過程提供的必要的支撐,支撐產品順利通過準入。
L4級自動駕駛系統如何保證行車安全
自動駕駛要從真正意義上的實現駕駛安全需要完成駕駛時間和里程的積累。包括通過各類在研及量產后路試車輛采集數據進行完備的海量數據收集和訓練,以培養老司機的方式實現算法開發、驗證、整改、優化。
L4級自動駕駛-功能安全
為了實現真正的L4級自動駕駛功能,需要基于功能安全進行失效避免分析。相應的過程是建立安全分析流程。使得每一個與安全相關的設計和需求,都會要求被嚴謹而全面的分析、設計、實現、驗證。其次是進行安全功能設計:一是實時診斷監控系統,二是冗余設計。除此之外,進行必要的預期功能安全設計也顯得尤為重要。即利用場景庫證明某個自動駕駛功能/系統安全可靠,可以處理所有非預期的情況,就必須在各種可能的場景下去測試和驗證這個功能,并找到該功能不完善的地方,然后加以改進。最終需要通過量化的數據(里程累積)來證明系統的安全性。
L4級自動駕駛-運營/質量安全
高度自動駕駛功能從研發到最終交付給用戶前,自動駕駛系統所有的模塊和功能,都必須進行大量的測試,既包括在仿真系統上進行數百億公里的測試,也包括在設計的自動駕駛場景下進行百萬公里的真實路測。
展開 基于故障樹的自動駕駛安全需求推導(以AVP為例)
為了應對安全自動化系統開發的日益復雜性,必須采用不同的方法。
自動化系統面臨的一個主要挑戰是開發一個功能安全的分布式系統,其中由獨立的子系統承擔自動化任務。這種分布式系統典型的代表就是全自動代客泊車(AVP)。AVP 是通過自動駕駛汽車和停車區域管理系統 (PAM) 之間的合作來實現的。自動駕駛汽車是無人駕駛的,被歸類為 SAE 國際駕駛自動化分類的第 4 級。該用例提供了一個自動泊車程序。在之前的工作中,分析人員根據 ISO 26262 提出的基于場景的功能安全方法,并將其應用于 AVP 的安全分析。AVP 假設了以下前提條件:
1.停車管理系統和自動駕駛汽車協同管理駕駛任務。
2.通過終端(人機界面,HMI)指示自動車輛向/從PAM的交接和請求返回過程。
3.允許手動和自動操作的車輛進入停車場。
4.行人、動物、障礙物等在停車場逗留。
5.駕駛員和乘客必須在激活 AVP 之前離開自動駕駛汽車。
6.泊車系統架構可防止由于發動機運行而造成的危險。
系統所描述的約束用作將功能行為分解為場景的輸入。因此,將AVP系統應用場景拆分為若干可控的數量,以降低分析復雜性。
展開 第三章:自動駕駛信息安全及準入難點解讀
作者 | Aimee
出品 | 焉知
知圈 | 進“域控制器群”請加微13636581676,備注架域
隨著車輛自動化程度的提高,保護車輛功能的安全措施應防御未經授權的訪問和操縱,以保證車輛,其組件及其功能(尤其是車輛控制功能)的安全運行的完整性。確保最高的安全標準并以盡可能最佳的方式保護車輛安全,這是維護自動駕駛功能持久擴展的根本利益,同時要考慮到這樣做的最新技術水平。
為何信息安全在整個自動駕駛系統安全中占據如此高的地位?
由于自動駕駛車輛中以及這些車輛與其操作環境之間的極端連接性,在自動駕駛信息安全方面面臨著新的挑戰。這些挑戰范圍涉及從滿足法規要求,確保設計安全到保護汽車和客戶免受網絡安全攻擊等方面。信息互聯增加了包括車輛互聯,IT后端系統和其他外部信息源的控制功能之間的新接口。這種豐富的攻擊面引起了具有各種目標的惡意行為者的極大興趣。簡而言之,我們已經發展到一個水平,確保車輛運行到安全的運行狀態是十分重要的。這一過程應采用網絡安全原則和實踐,以確保攻擊者無法任意控制車輛的行駛狀態,并且攻擊很難擴展到同時利用多車輛的地步。
本文的重點就是網絡信息安全,針對最新的準入指南分析當前主流自動駕駛系統在網絡信息安全中所面臨的挑戰,同時,通過給出了一些示例,說明如何實現自動駕駛功能信息安全的所需的附加組件、外部信息以及自動駕駛所需的外部接口。
當從L2車輛擴展到L3或L4車輛時,網絡安全面臨的挑戰是自動駕駛功能嚴重依賴外部數據、傳感器信息、地圖、位置信息等。如果此數據的完整性或真實性受到損害,自動駕駛功能(感知–規劃–決策)的構造塊將使用錯誤的數據來操縱車輛,這可能會導致控制產生不準確的情況,甚至駕駛到其他偏離正確操作的地方。
展開 Ansys medini 功能安全技術交流會(兩天線上培訓)
隨著汽車智能化和網聯化的發展,安全也成為至關重要的一部分。Ansys medini analyze是一款專業的系統安全開發平臺工具,可用于安全關鍵電氣電子 (E/E) 和軟件控制系統的開發,符合汽車、軌道交通、航空航天及工業設備等領域的安全開發流程,支持一致、高效地執行適用安全標準所要求的安全相關活動。
Ansys medini analyze根據 ISO 26262、ISO21448、ISO21434、IEC 61508 以及 ARP4761 等安全標準進行專門定制,應用范圍廣泛,包括產品早期概念設計階段、產品研發以及半導體級的詳細分析。4月1日,Ansys中國將舉辦一場 “Ansys medini 功能安全技術交流會” 。
本次活動將通過對一個項目進行完整的功能安全分析,詳細介紹如何在medini中實現全生命周期的功能安全分析工作,同時展示medini在預期功能安全分析以及信息安全分析的解決方案。
活動主題:Ansys medini analyze功能安全技術
會議日程:
費用:收費,199/人
主講講師簡介
韓慶洋
Ansys SBU應用工程師,擁有自動駕駛領域功能安全以及預期功能的功能安全開發經驗,曾參與L3級別自動駕駛功能的功能安全開發工作,熟悉ISO26262以及SOTIF標準,目前負責Ansys medini工具的支持與咨詢工作,對于自動駕駛安全分析有著深入見解。
點擊圖片或點擊報名鏈接報名:http://event.31huiyi.com/1835708191/index?c=jishulink
展開 Ansys medini 功能安全技術交流會(兩天線上培訓)
隨著汽車智能化和網聯化的發展,安全也成為至關重要的一部分。Ansys medini analyze是一款專業的系統安全開發平臺工具,可用于安全關鍵電氣電子 (E/E) 和軟件控制系統的開發,符合汽車、軌道交通、航空航天及工業設備等領域的安全開發流程,支持一致、高效地執行適用安全標準所要求的安全相關活動。
Ansys medini analyze根據 ISO 26262、ISO21448、ISO21434、IEC 61508 以及 ARP4761 等安全標準進行專門定制,應用范圍廣泛,包括產品早期概念設計階段、產品研發以及半導體級的詳細分析。4月1日,Ansys中國將舉辦一場 “Ansys medini 功能安全技術交流會” 。
本次活動將通過對一個項目進行完整的功能安全分析,詳細介紹如何在medini中實現全生命周期的功能安全分析工作,同時展示medini在預期功能安全分析以及信息安全分析的解決方案。
活動主題:Ansys medini analyze功能安全技術
會議日程:
費用:收費,199/人
主講講師簡介
韓慶洋
Ansys SBU應用工程師,擁有自動駕駛領域功能安全以及預期功能的功能安全開發經驗,曾參與L3級別自動駕駛功能的功能安全開發工作,熟悉ISO26262以及SOTIF標準,目前負責Ansys medini工具的支持與咨詢工作,對于自動駕駛安全分析有著深入見解。
點擊圖片或點擊報名鏈接報名:http://event.31huiyi.com/1835708191/index?c=jishulink
展開 智能駕駛安全專題 | 功能安全與SOTIF如何融合實施
智能駕駛真能替代“老司機”嗎?
研究數據表明,近94%的致命車禍與駕駛員直接相關,例如疲勞、超速或其他違法行為,智能駕駛被視為可以顯著降低事故率。
隨著系統復雜性的不斷提升,新技術將會引入新的安全風險,Uber自動駕駛汽車2018年3月在美國意外撞擊致死一名行人,2016-2020四年間特斯拉三次因攝像頭識別局限性撞向白色卡車,2020年3月沃爾沃向全球市場發出大規模召回通告,數量達70萬輛,涉及9款在售車型,召回的原因是此前沃爾沃在丹麥進行的一項關于XC60的安全測試中,發現自動緊急制動系統(Autonomous Emergency Braking, AEB)沒有按預期在發生碰撞時及時剎停車輛。無論是關于消費者購買自動駕駛車輛的決定因素調查,還是各國發布的自動駕駛車輛標準,“安全”始終是焦點。
智能駕駛帶來的安全問題越來越多,不管是交通事故還是召回事件,究其原因也不全是由于E/E系統故障失效而導致的;在自動駕駛系統中即使系統不發生故障,也可能因為復雜智能算法的不確定性導致功能的偏離、傳感器或系統性能限制、駕駛員對車輛功能的誤用,造成交通傷害。智能駕駛事故頻發,公眾的信心下降,對于智能駕駛的未來我們不禁會有這樣的疑問:我還有機會嗎?
智能駕駛的“安全帶”—SOTIF
我們知道ISO26262 功能安全旨在避免由E/E系統功能失效導致的不可接受的風險,主要是針對系統性失效/隨機硬件失效導致的風險的進行分析和控制,然而傳感器和感知算法(e.g. machine learning, neural networks),在沒有出現電子電器系統失效時,由于設計的局限性也會導致風險,但此部分并不屬于ISO 26262的范疇。
展開 
自動駕駛汽車真的比人駕駛汽車更安全嗎?
NHTSA 于 2020 年 12 月發布了 ADS 安全擬議框架,該框架受到美國國家運輸安全委員會(NTSB)的批評,理由是“……缺乏強制提交安全自我評估報告的要求,并且缺乏讓 NHTSA 來評估報告是否充分的流程。”
從公共文檔中截取的圖像
NTSB 還指出,由于缺乏聯邦法規,個別州正在制定自己的法規。例如,亞利桑那州的限制最少,NTSB 稱這至少對 2018 年 Uber ADS 造成的行人死亡負有部分責任。
佛羅里達州法規 316.85 特別允許自動駕駛汽車的運營,并明確規定駕駛者在自動駕駛汽車中無需注意道路情況(例如,司機可以看電影)。它還明確允許自動駕駛車輛無需司機參與。
法規沒有要求制造商通過安全測試,作為自動駕駛功能的前置要求。當汽車、卡車、公共汽車或出租車公司認為他們準備就緒時,他們就可以自由地測試和銷售自動駕駛車輛。我在佛羅里達州有一個住處,這讓我感到害怕。其他不少州也鼓勵推出無需前置安全標準的自動駕駛汽車。
ADS 的安全標準
自動駕駛汽車需要進行三種截然不同的安全測試。
第一項測試是確保將信息提供給 AV 決策機制的所有組件都正常工作。一年前在臺灣,一輛處于自動駕駛模式的特斯拉 Model 3 以 70 英里 / 小時的速度撞上一輛翻倒的拖拉機拖車。據報道,事故是由汽車前向傳感器陣列中的軟件故障引起的,這導致自動制動無法正常工作。傳感器的測試應該足以防止這種類型的故障。
展開 技術 | 用于自動駕駛的安全車載以太網——多級安全架構
來源 |
Elektrobit
知圈
|
進“域控制器群”請加微13636581676,備
注域
如今,汽車搭載的各種單項駕駛輔助功能正逐步發展成為高度復雜且相互關聯的系統,以促進實現全自動化駕駛。從最早的基于警報的支持功能發展到輔助駕駛功能(例如車道偏離預警系統),再到能夠部分控制車輛的功能(例如高速公路自主巡航功能或代客泊車功能),人們一直在為實現全自動化駕駛的目標而努力。隨著這些技術的發展,人們對能夠處理大量數據的傳輸速率的需求也與日俱增,促使車載以太網成了未來汽車的一項關鍵技術。
一、可信任與安防性
為實現自動化駕駛的目標,車載以太網不僅應具備高帶寬,最重要的是還必須能夠提供可靠、安全的通信。本技術文獻描述了可信性與安防性之間的緊密聯系(見圖1)。可信性包括安全關鍵系統必須考慮到所有相關屬性,以防止在系統發生故障時出現嚴重的、不可承受的后果。這些屬性指可用性、可靠性和完整性,以及安全性和可維護性。在安防性方面,最重要的是防范人為的惡意攻擊,因此,保密性與可用性和完整性一樣,也在安防性的范疇之內。
圖1:可信性與安防性的要素
二、安全通信
可信性與安防性并沒有明確區分界限,因為與安防性相關的攻擊同樣會影響可信性:此類攻擊會通過破壞正確的傳感器數據和/或控制數據的接收,從而影響服務的可用性。惡意操作網絡上的傳感器或控制數據,會破壞系統的完整性。未經授權的第三方攔截或記錄控制數據,會破壞保密性。必須在整個壽命期內,為整車網絡防范以上所有行為。
就自動駕駛方面的功能而言,防范外部攻擊非常重要。
展開 6/17 功能安全全生命周期管理--數字化安全管理
在medini指導下完成安全管理活動,取代人工輸入任務,引入自動化和輔助功能。
從安全的角度看自動駕駛
這這段時間里,在汽車智能化高速發展的驅動下,功能安全越來越被汽車行業接受,國內外各大主流汽車企業陸陸續續將ISO 26262的需求融入自己的研發體系和流程中,以保證安全能跟上電子電器系統快速變革的步伐,保證輔助駕駛功能不僅好用而且安全。借著這股東風,ISO 26262一路“平步青云”,功能安全儼然成為了汽車研發的新興熱門話題。
但是,隨著更高階的自動駕駛的開發思路越來越清晰,功能安全也
漸露窘
色
。
相比較輔助駕駛,自動駕駛最大的難點在于系統在出現故障之后,需要系統來自己操作避免事故(自動駕駛等級越高,駕駛員可以越晚介入接管甚至是完全不用接管),出了事故是廠家的責任而不是駕駛員的責任。
這正是為什么之前特斯拉被告虛假宣傳,從而不得不將其宣稱的“自動駕駛”改成“增強版輔助駕駛”的原因。因為特斯拉的Autopilot功能正常工作的時候,表現得確實是無人駕駛,而一旦出現異常,卻是由駕駛員來擔責。
故障發生后,系統從報警變成了繼續進行安全控制,可以預見,功能安全的開發難度以及功能安全對系統架構的要求都產生了質的改變。汽車實現自動駕駛實際上和已經實現了自動駕駛的飛機的設計思路類似。飛機的自動駕駛是怎么保證的呢?除了盡可能保證零部件可靠性之外,飛機會有兩個發動機,保證在一個發動機故障以后另一個仍能保證安全飛行。這就是“冗余設計”的概念。冗余設計在飛機上到處可見,比如兩個獨立運行的計算機系統,兩套獨立的供電系統等等。
回到汽車自動駕駛上,同樣對關鍵部件采用冗余設計,保證當故障發生后備份系統仍能保證車輛正常運行。可以預見的是,自動駕駛的大腦控制系統、制動系統、轉向系統、供電系統等都需要冗余。
展開 