您所在的位置:普巴新闻>科技>行家来信 | 功能安全会成为自动驾驶的紧箍咒吗?

行家来信 | 功能安全会成为自动驾驶的紧箍咒吗?

2019-11-12 12:53:58| 发布者: 匿名| 热度: 4255

摘要: 本期行家来信来自禾多科技研发总监李文俊,基于对iso26262和iso21448两个功能安全标准和冗余机制的梳理与讨论。自动驾驶的发展初衷就是为了提高车辆行驶的安全性,减少事故的发生。有研究报告指出,

编者按:很快,我们就能登上无人驾驶汽车了。但是,我们如何确保无人驾驶汽车能够安全驾驶呢?这背后应该考虑什么?我们应该注意什么?

本期专家来信来自禾多科技研发总监李文军,是在梳理和讨论iso26262和iso21448两个功能安全标准和冗余机制的基础上撰写的。

他回答了功能安全在自动驾驶技术发展中所扮演的角色,希望能启发你。

以下是文章的全文:

近年来,自动驾驶相关技术发展迅速,自动驾驶已成为交通运输发展的下一个重要阶段。

许多公司开发的自动驾驶方案可以在简单的环境条件下实现车辆的自动驾驶功能,但是如果将这些自动驾驶车辆投入到真实的公共场景中,还有很长的路要走。

最重要的限制之一是安全。

发展自动驾驶的初衷是提高车辆的安全性,减少事故的发生。

一些研究报告指出,人们对自动驾驶的安全性有很高的期望。一些数据显示,与正常的人类驾驶员相比,人们对自动驾驶的安全要求至少要高4到5倍。

为了实现高安全性,在自动驾驶技术的发展过程中,我们明确提出了满足功能安全的要求,其中之一就是满足iso26262功能安全标准。

iso26262

Iso26262通常是整车电子电气系统的功能安全规范。以确保整个车辆的安全,即使发生故障。

iso26262规范指导文件长达数百页、数十章,为汽车电子电气系统开发过程中的概念设计、系统设计、软硬件设计、测试验证、确认和评估提供了法规和指导。

同时,一系列安全分析方法如hazop、hara、fmea、fta、fmeda等。也介绍了。最重要的是,iso26262将引入许多额外的工作内容和条件,包括上述对应于各种安全分析方法的工作和一些文件工作。

例如:系统的故障树分析是功能安全中几乎必要的一部分。具体来说,就是从上到下分析系统中的安全目标,并将其一层一层地分解,直到分析一个简单的功能是否失败。

例如,为了确保电源供应,有必要进行分析,直到电阻器出现故障。面对自主驾驶这样一个庞大的系统,如果要制定一套完整的自由贸易协定,那么工作量无疑是巨大的。

然而,从目前的观点来看,对于如何建立自动驾驶的功能性安全系统还没有公共的统一标准。业界也有越来越多的声音认为单靠iso26262不能满足自动驾驶的功能安全要求。

iso21448(sotif)

iso26262涵盖的功能安全范围是在车辆电子和电气系统发生故障的情况下。在iso26262的基础上,人们提出了另一套标准——iso21448(sotif),也称为“预期功能安全”。

Sotif(预期功能的安全性)考虑系统的预期功能安全性。

Iso26262仅包括全车电子电气(e/e)系统发生故障时的功能安全,但自动驾驶的功能安全往往不仅与电子电气系统有关,还与许多其他因素有关,如相关传感器性能的限制、车辆驾驶环境的变化等。

Sotif考虑了系统功能不足造成的危险,如传感器未能正确识别道路场景,而没有任何系统故障。

iso21448(sotif)的前身实际上是iso26262的第14章。然而,随着adas的普及和自动驾驶技术的发展,人们发现在不发生系统故障的情况下保证功能安全非常复杂,并将其作为新的标准发布。

例如,当一辆自动驾驶汽车在结冰的道路上行驶时。

Iso26262负责确保车辆制动系统出现故障时,车辆能够安全停止,不会在冰上打滑。

sotif要解决的问题是,在冰上行驶时,车辆是否应该保持与正常道路相同的速度而没有任何问题,因为在冰上高速行驶可能会到达车辆的安全边界。

sotif的功能之一是降低未知的安全风险。这个定义非常宽泛,很难证明它是否考虑到了所有具有潜在风险的安全边界。

由于要考虑的情况复杂,sotif还没有产生正式版本,只有草稿。

冗余机制

功能安全中经常涉及的另一个概念是冗余机制。

系统的冗余经常被讨论。最简单的设计是对系统中的所有模块进行冗余备份。一旦一个系统出现故障,另一个系统将接管车辆的运行。

然而,通常需要在系统的成本、复杂性、健壮性和冗余性之间取得相对平衡,因此不可能对系统进行完全冗余的备份。

在l2水平以下的辅助驾驶功能中通常不需要系统冗余,或者换句话说,在这种类型的辅助驾驶中,人工驾驶员是系统的最佳冗余备份。

因为当辅助驾驶功能起作用时,驾驶员的注意力应该始终保持在车辆上。一旦自动驾驶系统升级到l3级,冗余设计就变得非常必要。

因为在l3级自动驾驶系统中,驾驶员的手已经被允许离开方向盘很长时间,并且没有必要一直观察和注意路况。因此,在系统故障和驾驶员接管控制权的反应之间有一定的时间间隔。

在这段时间内,为了确保车辆的安全,系统需要启动冗余备份,以确保某个单元发生故障时车辆的安全。

整个自动驱动系统的冗余机制可细分为以下几类:

为了满足功能安全的要求,除了上面提到的,还有许多工作要做。这些作品似乎与自驾的功能发展没有特别强的相关性,从某种角度来看,甚至可能制约自驾的功能发展。

如果你把自动驾驶和强大的孙悟空相提并论,功能安全可以被描述为孙悟空头上的魔法咒语,它总是限制他的表现。

但另一方面,孙悟空的任务是保护唐僧,安全取经,就像自动驾驶的首要任务是确保乘客的安全一样。

在魔咒的约束下,孙悟空不会做任何出格的事。然而,在功能安全的约束下,自动驾驶将变得越来越安全,更好地为乘客服务。

广西快三投注 吉林11选5 广西十一选五 五分彩投注 八大胜

© Copyright 2018-2019 2shotlive.com 普巴新闻 Inc. All Rights Reserved.