??大部分汽車創(chuàng)新和特性相關(guān)新聞中都開始提及全球三大趨勢——汽車的互聯(lián)化���、電氣化和自動化���。這三大趨勢塑造著當(dāng)前大環(huán)境�,在創(chuàng)新和財務(wù)回報方面為企業(yè)提供了千載難逢的機遇��,更重要的是�����,這些趨勢還創(chuàng)造了一項重大的使命——
??類似最初在瑞典提出的“Vision Zero”等項目旨在減少因交通事故造成的傷亡�,并在全球多個轄區(qū)作為一種模式進行推廣����。另一個類似的項目是由美國國家安全委員會提出的“Road To Zero”,旨在將每年130萬的道路交通死亡人數(shù)降至零���。
??互聯(lián)化和自動化技術(shù)為保障安全無憂出行奠定了基礎(chǔ) (National Safety Council, 2018)����。
一����、汽車安全的技術(shù)挑戰(zhàn)
??讓車輛成為“車輪上的服務(wù)器”�,這不僅關(guān)系到新型車輛的車載計算水平,而且還關(guān)系到車輛與車輛外部各種系統(tǒng)間的連接��。最基本的系統(tǒng)之一就是全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)����,包括GPS定位�����、DSRC或基于移動網(wǎng)絡(luò)的車輛對車輛(V2V)和車輛對基礎(chǔ)設(shè)施(V2I)技術(shù)����,它們允許車輛與其他車輛和基礎(chǔ)設(shè)施通信�,如用于狀況感知的交通信號燈以及用于信息娛樂的數(shù)據(jù)連接。互聯(lián)性對于軟件維護和更新也十分重要����。美國的普通駕駛員平均每天在車?yán)锎?個小時 (AAA Foundation for Traffic Safety, 2019),在車?yán)锏拇蟛糠謺r間里�����,互聯(lián)性對于提供娛樂和效用來說必不可少�����。
? 一個安全的系統(tǒng)需要可靠的設(shè)備�����,以防因設(shè)備故障發(fā)生事故;需要功能安全�����,以防因系統(tǒng)故障導(dǎo)致事故���;還需要安全防護�����,以防因系統(tǒng)遭到黑客攻擊發(fā)生事故�。這些功能的有機結(jié)合有效防范了人為錯誤��,從而提高了車輛的總體安全性�。??
? ??安全防護對于互聯(lián)車輛和自動駕駛車輛來說不可或缺,否則其功能安全性就會受到損害��。自2015年以來�,已發(fā)生超過25起車輛黑客事故,最嚴(yán)重的一次公開事故影響了140萬輛汽車 (Drozhzhin, 2015)�����。到2030年��,汽車所產(chǎn)生數(shù)據(jù)估值將達到7500億美元 (McKinsey & Company, 2016)��。汽車系統(tǒng)十分復(fù)雜����,每輛車有100多個ECU和1億多行代碼,高復(fù)雜性可能會造成更多無法預(yù)見的漏洞�,就像大規(guī)模召回的情況一樣。隨著無線接口的廣泛應(yīng)用����,允許不對車輛進行物理訪問即可修復(fù)安全漏洞。
??與其他非汽車應(yīng)用的安全嵌入式電子系統(tǒng)類似���,業(yè)內(nèi)通過在汽車設(shè)計中采用先進的核心安全原則來解決這些安全性挑戰(zhàn)�����。? 汽車的外部接口不但需要抵御物理攻擊��,還需要保持通信的完整性和保密性���。這就需要安全的域隔離,并且系統(tǒng)也需要能夠抵御邏輯攻擊。車輛內(nèi)部通信����,以及各種ECU和汽車MCU的軟件操作,都需要得到保障�。? 需要車輛網(wǎng)關(guān)來安全可靠地互連和處理這些異構(gòu)車載網(wǎng)絡(luò)中的數(shù)據(jù)。? 網(wǎng)關(guān)提供物理隔離和協(xié)議轉(zhuǎn)換�����,用于在功能域(動力傳動�����、底盤與安全系統(tǒng)���、車身控制�、信息娛樂����、遠程信息處理、ADAS)之間路由數(shù)據(jù)��。功能域通過共享數(shù)據(jù)實現(xiàn)新功能��。通過網(wǎng)關(guān),工程師可設(shè)計出更穩(wěn)健�、功能性更強的車載網(wǎng)絡(luò)�����,從而增強駕駛體驗 (Simacsek, 2019)�。
??車輛制造商(OEM)積極致力于研發(fā)新功能,以期從競爭中脫穎而出����。自動駕駛需要安全連接和功能域ECU之間的高帶寬通信,因此要想實現(xiàn)自動駕駛�����,網(wǎng)關(guān)必不可少�。? 網(wǎng)關(guān)作為車載網(wǎng)絡(luò)的核心,也非常適合用來支持全車范圍的應(yīng)用���,如無線(OTA)更新和車輛數(shù)據(jù)分析��,以及與OEM服務(wù)器(云)的安全通信�����。
? ??機器學(xué)習(xí)(ML)技術(shù)在自動駕駛系統(tǒng)中的應(yīng)用創(chuàng)造了其他潛在的攻擊手段����。系統(tǒng)需要能夠避免機器學(xué)習(xí)模型可能被盜的情況,或者提供識別被盜機器學(xué)習(xí)模型的方法�。系統(tǒng)需要防止用戶生物識別信息等與隱私相關(guān)的信息丟失,如果車輛具有用戶識別功能��,那就可以用對抗性的方法保護系統(tǒng)免受這些系統(tǒng)的欺騙��。機器學(xué)習(xí)還可以通過檢測異常情況來防范這些攻擊��,或用于建立更強大的防御機制���。
二����、汽車安全的標(biāo)準(zhǔn)考量
??安全性是一種法律責(zé)任��,因此對于汽車市場來說至關(guān)重要�����。用戶需要能夠相信他們的車輛會做它應(yīng)該做的事情��。安全性還可以實現(xiàn)平臺合并和系統(tǒng)一致性。隨著自動化等級超過SAE 2級(L2)�,持續(xù)監(jiān)控駕駛環(huán)境的責(zé)任也從人類駕駛員轉(zhuǎn)移到了自動駕駛系統(tǒng)。?
??傳統(tǒng)的汽車安全����,如ISO 26262等標(biāo)準(zhǔn)的功能安全定義,根據(jù)風(fēng)險的嚴(yán)重性�、暴露率和可控性提供汽車安全完整性等級(ASIL)��。這項標(biāo)準(zhǔn)還定義了V開發(fā)模型��,要求完全指定組件特性及其相應(yīng)的規(guī)范和可追蹤性����,按照其規(guī)范所做的修改也應(yīng)可檢測。利用數(shù)據(jù)庫訓(xùn)練機器學(xué)習(xí)模型��,累積的訓(xùn)練會違背初始時組件特性均已指定的假設(shè)�����。此外��,自動駕駛系統(tǒng)利用機器學(xué)習(xí)時���,將軟件組件的層級架構(gòu)實施成端到端的解決方案���,這違背了ISO 26262標(biāo)準(zhǔn)的模塊化方案 (Salay & Czarnecki, 2018)�����。?
??自動駕駛系統(tǒng)的安全性不僅要注重傳統(tǒng)的功能安全性��,還要考慮行為安全性����。作為駕駛策略的一部分��,自動駕駛系統(tǒng)需要學(xué)習(xí)與非自動車輛和行人交互�����。它們需要學(xué)習(xí)預(yù)測其他參與方的行為��,還需要預(yù)測危險和安全關(guān)鍵的情況��,即便是邊緣情況也不例外����。自動駕駛系統(tǒng)需要防范周圍動態(tài)環(huán)境可能帶來的風(fēng)險�,即使是在硬件或軟件無故障的情況下�。
??汽車安全專家正在開發(fā)ISO/PAS 21448標(biāo)準(zhǔn),即預(yù)期功能安全(SOTIF)��,用于涵蓋ISO 26262未涉及的場景��。對于某些場景來說�����,為開發(fā)ISO/PAS 21448 SOTIF所進行的大量工作并未有效覆蓋邊緣情況以及不安全的未知條件����。對于自動駕駛市場的其他場景來說����,這項標(biāo)準(zhǔn)可能會限制或扼殺創(chuàng)新,特別是它關(guān)系到自動駕駛領(lǐng)域機器學(xué)習(xí)的使用��。
三���、實現(xiàn)自動駕駛的安全
為了實現(xiàn)安全無憂的自動駕駛����,系統(tǒng)需要具備以下特性:?
可靠:超低故障率(汽車級品質(zhì))
安全:強大的故障檢測能力(ISO 26262 ASIL D)
可用:正確操作準(zhǔn)備就緒(能夠區(qū)分安全相關(guān)和非安全相關(guān)的故障)
容錯:即便在發(fā)生故障時,也可以繼續(xù)操作(降低性能/功能�����,僅可繼續(xù)操作重要功能)
? SAE自動駕駛分類較低級別中的大部分輔助功能都是“故障防護”系統(tǒng)����,這意味著一旦發(fā)生故障,系統(tǒng)將會進入安全模式��。在L0�、L1自動駕駛功能的情況下,系統(tǒng)依靠駕駛員對車輛繼續(xù)進行安全操作���。在當(dāng)前的L2和L3系統(tǒng)中��,我們期望系統(tǒng)能夠具備更高級的可用性�����,能夠識別故障并以降低性能的模式繼續(xù)運行����,僅在部分情況下依賴駕駛員。預(yù)計L4和L5系統(tǒng)將可以在發(fā)生故障后繼續(xù)運行����,這意味著當(dāng)系統(tǒng)檢測到故障后,系統(tǒng)內(nèi)置足夠的冗余來容錯��,以便繼續(xù)全面運行足夠長的時間�,直到系統(tǒng)將車輛恢復(fù)到安全狀態(tài)。?
??當(dāng)出現(xiàn)故障時��,切換到人類駕駛員是L0至L3系統(tǒng)的一個關(guān)鍵部分�����。要實現(xiàn)從自動駕駛系統(tǒng)到人類駕駛員的切換����,需要進行大量研究工作��。Eriksson和Stanton的研究發(fā)現(xiàn)����,在非緊急情況下,完成切換所需時間從2至26秒不等����,如果駕駛員收到切換請求時正在進行其他任務(wù)����,所需的時間會更長����。請記住,車輛在高速公路上自動駕駛時���,高速行駛下的速度超過每秒25米���。在最快的反應(yīng)時間下,車輛需要行駛半個足球場的路程才能完成切換���,在最慢的反應(yīng)時間下�����,車輛則需要行駛將近6個足球場的路程才能完成切換�。在緊急情況下��,駕駛員的反應(yīng)會比較慢�����,并且人類駕駛員可能會做出錯誤的決策,造成交通事故 (Eriksson & Stanton, 2017)����。基于這種情況,恩智浦認為實現(xiàn)安全無憂出行需要L2甚至更高級的自動駕駛系統(tǒng)����,才能使其在發(fā)生故障后繼續(xù)運行,至少能夠安全停車���。
??當(dāng)爭論被表述為安全的自動駕駛系統(tǒng)要始終遵守交通規(guī)則時����,我們在現(xiàn)實世界中卻會觀察到與嚴(yán)格的規(guī)則相應(yīng)����、有時候甚至是相反的某些場景,存在社會規(guī)范可以使大多數(shù)復(fù)雜的系統(tǒng)進行更高效的運作���。這些社會規(guī)范允許在某些情況下違反交通規(guī)則,比如在即將駛?cè)胲嚨罆r��,繞過拋錨車輛或被攔下的車輛。有時�,違反交通規(guī)則并不是故意為之,而是避免交通事故的必要措施���。自動駕駛系統(tǒng)需要配有決策矩陣����,從而選擇可接受的違反交通規(guī)則的方式�,以實現(xiàn)更安全、高效的駕駛�。
??
自動駕駛汽車需要確保采取的任何措施都不會危及生命安全。這給安全工程師驗證車輛安全性帶來了很大的壓力���,然而并沒有令人滿意的方法來驗證自動駕駛汽車永遠安全運行��。?
自動駕駛系統(tǒng)架構(gòu)分為兩個功能域:
1)?建模域�,對環(huán)境進行監(jiān)控和建模�;
2)?規(guī)劃域,用于制定行為策略和規(guī)劃���,并進行路徑選擇����。
系統(tǒng)分為兩個功能域,每個功能域由多種設(shè)備組成�����,使其具有更優(yōu)的可擴展性和異質(zhì)性�����,每個功能域還可根據(jù)特定的應(yīng)用要求提供高效的計算架構(gòu)匹配���。如果不了解系統(tǒng)的決策機制���,那就無法保證其安全性。這就是大型端到端系統(tǒng)處理感知和規(guī)劃時所涉及的問題�。配有接收傳感器輸入和提供驅(qū)動指令輸出的封閉式黑盒方法很難進行驗證和調(diào)試,而且也很難擴展到新的算法����、傳感器解決方案和計算。
??世界上大多數(shù)汽車制造商都在研發(fā)自動駕駛技術(shù)�����,到2050年�,自動駕駛市場估值將達到7萬億美元。安全性和防護性是輔助駕駛和自動駕駛系統(tǒng)成功為消費者部署并采用的基石���。
??恩智浦認為ISO 26262和ISO/PAS 21448(SOTIF)在定義安全自動駕駛系統(tǒng)方面互為補充且不可或缺�����。ISO 26262可解決因電子系統(tǒng)故障造成的安全風(fēng)險���,ISO/PAS 21448 SOTIF為設(shè)計驗證和確認任務(wù)提供指導(dǎo),以檢測因定義或設(shè)計缺陷導(dǎo)致的功能行為故障��。
??能夠放松身心��、處理郵件或看看喜歡的節(jié)目���,而不是真正的開車上下班�����,這是某些駕駛員夢想的便利場景��。我們真正的目標(biāo)是確保您通過安全連接充分享受這些功能�����,同時通過系統(tǒng)內(nèi)置的安全無憂出行技術(shù)為您和周圍的駕駛員提供更高的安全性�。
??
??