一旦科学插上幻想的翅膀,它就能赢得胜利
——迈克尔·法拉第
对自动驾驶功能的幻想,几乎贯穿了整个汽车行业的发展史,我们有幸得以亲眼目睹自动驾驶逐渐成为现实。不过,面对“自动驾驶”这项先进技术,很多普通民众第一个问题必然会是:这安全吗?
汽车自动(无人)驾驶功能的核心电子控制系统内部有成千上万个元器件,很难做到不出任何故障,达到绝对安全。但是不要紧张,因为还有一个关键部分像“天使”一样守护着汽车驾驶安全,它能在自动驾驶设备执行各种自动化行驶和控制任务时,从内部减少故障的出现。即使在汽车出现各类故障时,仍然能使汽车保持安全状态(例如屏蔽错误、制动减速,靠边停车等),进而避免严重事故发生,这就是
功能安全
Functional Safety
今天,就请必维集团功能安全技术专家薛维清,带大家走进这位“安全守护天使”,揭秘自动驾驶功能安全。
当你在高速公路上驾驶着一辆自动驾驶汽车,它能自主换道和变速,你不需要为其操心。阳光晒在身上,你开始睡意阑珊,双手也远离了方向盘……但如果恰巧此时前置摄像头及处理器误判了车头前方车辆的速度和位置,你很可能处于危险中而不自知。
如果电动汽车的电动助力制动系统突然失效,由于缺少传统燃油汽车来自发动机动力的真空助力,会使得制动效率极大降低,在它需要紧急制动避让前方障碍物时,却不能及时刹车减速。
所有这些安全隐患,都要从功能安全方面去考虑完善系统设计方案和开发过程的管理。
汽车自动驾驶系统的功能安全是一套完整而复杂的方法体系,主要包含自动驾驶产品的技术要求和流程控制两大方面。ISO 26262(道路车辆-功能安全)国际标准结合汽车行业的长期安全实践,简单明了的用ASIL等级(Auto Integrity Safety Level,汽车安全完整性等级,从A - D级),来划分安全程度。从技术要求角度,ISO 26262标准阐述了从系统整体方案到软硬件设计开发等的不同类型需求。
还有的设计中,对于某一通道、电路或元器件采用冗余架构的方式,例如二取二结构,对其中两个单元的输出值进行表决,只有两者完全相同时才进行有效输出,这样在单个单元失效时(大部分都是这种情况)系统就不会输出错误的指令。
当然,很多设计人员都会应用部分这样的安全技术,但是为了达到相应的ASIL等级,需要从头到尾系统全面地采用这些技术措施,并且要通过各种定性和定量分析进行证明和改进。例如要进行自动驾驶场景和功能的潜在危害识别、故障模式影响分析(FMEA)、失效率计算和故障诊断覆盖率分析等等,这也是一项系统工程。
有了技术安全措施的保障,
是否就实现了功能安全呢?
NO,NO,NO!
这样是不够的。因为即使采用了各种完善的技术方案,如果设计人员对自动驾驶的功能需求从源头上理解有偏差、编写代码时疏忽弄错了逻辑判断条件,或者生产制造环节没有满足设计参数等情况,自动驾驶汽车仍然是不安全的。
产品生命周期的各个环节如设计、生产、运行等,都有导致安全威胁系统失效的风险,所以ISO 26262标准对流程控制也做了全面的系统化要求,对系统生命周期各个阶段(概念阶段、产品开发、生产、运行、服务和报废期间)的所有安全活动,进行计划、协调和记录的管理任务。我们称作“功能安全管理”。
例如在软件代码实现(编程)阶段,有时候因为项目进度紧张,程序员数量又有限,造成程序员在没有全面理解设计规格书的技术要求的情况下,为了赶工在写代码时犯一些错误,造成了软件代码里存在Bug。解决这类问题就需要从流程规划和管理上采取对应措施,例如在项目计划时安排合理增加程序员的工时投入、建立代码审查制度、增加对源代码进行检查的工作环节和人力投入,从后期入手去减少故障点。
针对这种情况,汽车行业也正在探索一套全面系统分析道路车辆运行的各种场景(特别是针对无人驾驶和自动驾驶)地解决方法,这就是“预期功能安全(Safety Of The Intended Functionality,简写为SOTIF)”。SOTIF的基本思路就是将真实驾驶场景进行分析并划分为4个区间:已知安全的、已知不安全的、未知安全的和未知不安全的,然后采取各种设计、验证和确认措施将已知和未知的不安全场景区间缩小,转化为安全场景。
作为相关ISO国际标准委员会和欧盟技术委员会(例如汽车标准化委员会等)委员,必维参与相关标准或规定的制订,例如必维参与了ISO 26262和SOTIF标准的制订、审核和最终表决。必维具备全球化的资源整合能力,结合本土化的服务,能有效消除沟通障碍、缩短认证流程、降低厂商的认证成本和周期。
必维集团在法国、意大利和中国都设立了功能安全技术中心,拥有大量经验丰富的功能安全专家和强大的技术团队,能够为业界合作伙伴提供及时准确的测试、认证、咨询和培训服务。
◆ ◆ ◆
小维有约 | 能源大动脉“体检”,你了解多少?
