AI驱动的无人驾驶车辆安全设计:从理论到实践
AI驱动的无人驾驶车辆安全设计:从理论到实践
随着自动驾驶技术的快速发展,AI在汽车安全设计中的应用日益广泛。本文深入探讨了自动驾驶汽车的安全设计要点,包括功能安全、预期功能安全、故障运行、冗余和多样性、安全完整性等关键概念。文章从理论到实践,从硬件到软件,全面阐述了自动驾驶汽车的安全设计要点,为从事或关注自动驾驶技术的读者提供了宝贵的参考。
1. 简介
自动驾驶技术的快速发展带来了前所未有的机遇与挑战。为了确保自动驾驶系统的安全性,需要建立一套完善的安全设计体系。本文将重点探讨自动驾驶汽车的安全设计要点,包括功能安全、预期功能安全、故障运行、冗余和多样性、安全完整性等关键概念。
2. 自动驾驶的安全特性
确保自动驾驶系统的安全需要多种安全功能的复杂交互。两个关键方面包括:
- 功能安全(FuSa):旨在防止因系统故障导致的危害事件。这包括创建弹性架构、增加冗余以及使用故障检测和缓解系统。
- 预期功能安全(SOTIF):解决与系统预期功能相关的安全问题,即使其按设计执行。这包括系统因环境条件、传感器限制或意外边缘情况而面临限制的情况。
3. 从故障安全到故障运行
A. 故障运行和故障安全方法
这是汽车软件系统中的两种方法,其中一种方法旨在系统发生致命错误后以降级的性能继续运行。另一种故障安全策略有助于降低风险,当系统发生任何非致命或致命故障时,采取安全措施正常关闭或进入更安全的状态,例如在系统发生临时/参数失效时禁用任何ADAS功能,如车道保持、自适应巡航控制或自动停车控制。在3级和4级系统中,至关重要的是,如果发生失效,系统必须继续运行而不会受到软件的任何干扰。故障运行方法已成为自主系统的优先事项。
B. 自动驾驶的局限性
对于L3和L4自动驾驶,这种故障安全方法不足或无法涵盖所有ADAS功能的潜在风险和需求。另一方面,用户可能没有完全注意或准备好完全控制车辆,因为用户总是依赖BEV中的自动驾驶系统来处理大多数驾驶任务。配备自动驾驶软件的BEV与其他车辆(V2V)或车辆与环境(V2X)(如交通系统和基础设施)交互变得越来越正常。这种集成对于提供高效的运输系统也变得越来越重要。同时,如果许多自动驾驶汽车和机器人出租车因任何重大失效而被迫停止并转入故障安全状态,可能会影响当前的交通流量并降低整个运输系统的效率。
C. 故障运行范式
如上所述,这种方法与B节中定义的问题一致,即提供持续运行作为故障管理系统的一部分。它可以将性能(降级模式)降低50% ,但确保用户不会因系统失效而中断。
D. 对软件设计的影响
要实现故障运行概念,软件架构必须符合基于安全级别规范的所有安全方法。下面是其中一些定义:
- 系统冗余:开发冗余子系统,在发生故障时可以主导系统运行。这包括软件冗余,如算法或投票技术,或硬件冗余,如双核CPU或众多传感器。
- 功能退化:系统设计为平稳过渡到正常状态,在此状态下,功能退化是由于重大失效而不是突然关机。资源管理优先考虑安全关键功能,而不是非安全功能。这包括通过内置自检或诊断服务继续监控入口/出口点。
- 系统故障检测和缓解:有效的故障检测和缓解策略对于识别和响应软件或系统错误、最大限度地减少影响和潜在损害以及确保系统可靠性至关重要。
- 系统适应:实施自适应策略,允许系统在发生故障时动态重新配置/转换,以确保继续运行。这可能涉及转换到冗余系统、更改控制信号或运行模式。
- 系统安全场景:开发完整的安全验证和确认案例,以证明系统在发生重大失效时能够保持可接受的安全水平。这包括详细的失效分析和对安全规范的影响。
支持故障运行行为的技术:可以使用许多技术来遵守故障运行规范,其中一些定义如下:
- 软件功能冗余:开发不同的算法或监控系统有助于减轻软件故障的影响。
- 硬件功能冗余:利用冗余/备份硬件组件(如双核CPU/GPU、传感器或备用电源)有助于在发生硬件失效时保持系统可用性。
- 优雅降级策略:设计系统以优先处理重要活动,同时在发生失效时温和地降级非必要活动。
- 容错通信:采用能够承受缺陷并保持数据完整性的通信协议,例如具有错误检测和修复程序的CAN。
- 动态重新配置:创建方法以动态地重新配置系统以响应错误并改变其行为以保持功能。
使用这些方法和设计理念,汽车软件系统可以实现故障运行行为,从而提高自动驾驶系统的安全性、可靠性和可用性。
4. 安全相关可用性
在安全关键型汽车系统领域,可用性是一项至关重要的属性,它确保系统正常运行并随时准备在需要时执行其预期功能。这对于自动驾驶系统尤其重要,因为自动驾驶系统需要持续运行以保证安全并尽量减少对驾驶工作的干扰。高可用性需要多种策略,例如容错和冗余管理。容错技术允许系统即使在出现故障或失效的情况下也能运行,方法是掩盖问题的后果或提供替代方法来实现预期功能。这可以通过硬件和软件冗余或混合来实现。例如,可以使用冗余传感器来交叉检查和验证数据,而冗余控制通道可以提供激活车辆系统的替代方法。
冗余管理需要协调和控制系统的冗余部分,以确保有效和高效地利用它们。这包括监控冗余组件的运行状况、检测和隔离错误以及根据需要切换到冗余部件。有效的冗余管理对于高可用性至关重要,因为它可以保证系统能够迅速从缺陷中恢复并继续连续运行。然而,可用性和其他安全特性(如安全完整性和性能)之间存在权衡。增加冗余可以提高可用性,但也会加剧系统的复杂性、成本和可能的失效点。此外,缺陷检测和冗余管理的额外开销可能会影响系统性能,从而可能导致延迟或响应能力下降。因此,要在可用性和其他安全特性之间取得最佳平衡,需要仔细评估系统的独特需求和限制。这需要进行详细的安全分析以识别可能的危害和风险,然后采用适当的程序和策略来消除这些风险,同时保持可接受的可用性、安全完整性和性能水平。
5. 冗余和多样性
冗余和多样性是安全设计的关键思想。它们通过提供实现同一目标的各种途径来提高系统的可靠性和弹性。冗余包括复制重要组件或功能,而多样性则使用替代技术或方法来执行同一任务。
A. 原则
- 冗余:一个组件或功能的多个实例允许系统即使其中一个发生故障也能继续运行。这对于安全关键任务尤其重要,因为失效可能会导致危险情况。如前所述,冗余制动系统可确保即使一个系统发生故障,车辆仍可安全停车。
- 多样性:使用各种组件或算法可降低共因失效的可能性,即单个事件或问题会影响多个冗余部件。这可以通过使用各种传感器技术、软件实现或替代控制方法来实现。例如,集成摄像头、雷达和激光雷达传感器可以提供更强大、更全面的环境表示,因为每个传感器都有自己的优点和缺点。
B. 汽车软件中的示例
- 冗余传感器:使用大量相同或不同类型的传感器来实现重叠覆盖和数据交叉验证。这在感知系统中无处不在,其中冗余摄像头、雷达和激光雷达可以提高物体识别和跟踪的准确性。
- 多样化算法:实施多种算法来完成单个任务,例如物体检测或分类。这可以帮助抵消算法偏差或限制的影响,因为各种算法在不同情况下可能表现更好。例如,采用深度学习和基于规则的算法进行物体识别可以产生更强大和自适应的感知系统。
- 冗余控制路径:用于激活车辆系统(例如转向和制动)的多种控制路线。这确保即使一条控制路径发生故障,车辆仍可控制。为了保持重要功能的控制,可以采用冗余电子控制单元(ECU)或备用通信线路。
C. 挑战
- 复杂性增加:实现和维护冗余和多样化的组件会大大增加系统的复杂性,给设计、验证和维护带来问题。这需要仔细分析冗余、多样性和系统复杂性之间的权衡。
- 成本和资源开销:冗余和多样性通常会在硬件和软件资源方面产生成本。这会影响系统或软件性能以及总硬件成本。
- 系统/软件集成和功能协调:在不同系统或软件组件之间开发正确的集成和功能协调器功能可能很繁琐。它需要同步、故障管理策略和资源管理。
6. 安全完整性
安全完整性在汽车系统中至关重要,因为它可以确保系统或软件正确实施所有安全规范/指南,即使发生失效或故障也是如此。为了衡量汽车系统的安全完整性,我们使用ISO-26262中定义的安全完整性等级(SIL)。
安全完整性等级(SILS)值是安全等级可靠性和可用性的度量。它根据危害的频率和严重程度确定。ISO-26262根据风险定义了四个SILS等级,其中ASIL A是最低等级,ASIL D是最高风险等级。对于每个等级,我们都需要定义强有力的安全措施。
A. 满足ASIL需求标准的策略:
- 需求可追溯性:需求可追溯性对于确保满足所有安全需求并符合整体产品需求至关重要。需求可追溯性有3种类型——双向可追溯性、后向可追溯性和前向可追溯性。
- 静态分析以满足代码指南:执行静态分析有助于我们避免任何编码问题,并支持满足安全标准。
- 工具鉴定:用于开发和测试系统的工具需要鉴定。有必要分析哪些工具需要鉴定,然后遵循ISO-26262指南以满足鉴定标准。
- 验证和确认:为了确保系统安全,需要使用单元、集成、软件和系统测试等形式化验证技术。此外,审查等验证方法也是必不可少的。
- 多样性和冗余性:如第5节所定义,为软件和硬件系统实施冗余性和多样性方法,通过使用PID控制、模糊逻辑和模型预测控制等多种技术,支持满足安全完整性等级标准。
- 实施监控、故障检测和缓解措施(如速度监控、交叉验证、后备模式和驾驶员警报)即使系统出现失效也能帮助确保安全完整性。
B. 系统中的AI集成挑战:
为了满足复杂系统的安全完整性水平,AI驱动系统面临许多挑战:
- 法规符合性:满足安全法规要求对于AI驱动系统来说非常具有挑战性,尤其是对于特定的软件应用程序。同时,调整AI模型也非常复杂且耗时。
- AI模型的复杂性:由于模型类型数量的增加,例如非线性模型、黑匣子和自适应行为,缺乏透明度和复杂性可能会对满足预期规范和执行验证和确认带来重大挑战。
- 数据训练和运行:AI模型严重依赖于训练和运行,这始终会影响数据质量和潜在结果。
- 学习和适应:不断学习和适应是AI模型的基本特征,可以提高其性能并适应新的挑战,这可能会导致意外的安全危害后果。
为了缓解汽车系统中AI集成带来的这些问题,需要制定详细的策略,将传统的汽车安全方法与人工智能的创新技术相结合。可解释的人工智能方法,它解释了人工智能模型的决策过程及其预期影响和潜在偏差。它利用预测精度并允许验证和监控,以确保人工智能集成汽车系统的安全性和可靠性。
7. 软件组件和AI
A. 感知、融合和传感
这三个功能对于实现3级和4级自动驾驶都至关重要,这使自动驾驶汽车能够开发周围环境的3D模型,并将其输入到车辆的控制系统中。传感从激光雷达、雷达和多个摄像头等传感器收集所有原始数据。融合是指合并来自多个传感器的原始数据并输出环境(车辆周围)的3D图像,这有助于感知。感知是指处理和解释传感器原始数据以检测、识别和跟踪物体。为此,传感器数据质量以及处理和解释对于遵守电动汽车的安全法规和规范至关重要。然而,现有的感知解决方案和融合方法限制了它们的性能、可扩展性和可靠性,从而影响安全危害。
如果传感器数据未融合,软件将无法提供来自传感器的正确输入。结果就是软件无法确定下一步操作。融合算法面临许多挑战,例如传感器的错误检测或漏检、准确性以及来自同一传感器的多次检测。感知方法可能会对传感器数据产生错误解释,从而提供错误的对象再生,导致用户感知错误,这是事故的主要因素。
图1.传感、融合和感知集成管道
解决这一挑战对于确保电动汽车软件的安全性、完整性和可靠性至关重要。深度学习是人工智能方法之一,它使用人工神经网络从数据中学习,这不仅可以提高汽车的安全性和效率,还可以提高上述融合、传感和感知。深度学习算法可以从大量标记数据中识别模式并提供精确的输出,从而改善对象识别。
尽管深度学习具有众多优势,但仍有几个挑战需要解决,例如训练这些模型所需的大量数据,以及需要强大且高度实施的深度学习来满足安全规范和现实场景。
B. 规划、预测和控制
规划、预测和控制是自动驾驶和遵守安全准则的关键应用。首先,预测所有可能的交通情景。然后,路径规划算法使用此预测输入根据当前条件(例如环境)确定更安全的路径。最后,输出从转向和制动系统控制车辆,并在必要时通知驾驶员。这些应用对于无缝实施和集成以确保汽车安全至关重要。然而,由于不同的交通法规、道路几何形状和不可预测的行为,当前的交通状况可能难以预测。它使用机器学习算法和模型从大量驾驶数据中学习并识别模式和关系。训练模型后,测试其准确性和有效性至关重要。强化学习是一种训练安全规则的方法。基于人工智能的预测分析面临许多挑战,例如数据质量、数量、模型复杂性和可解释性。
C. 数据集生命周期
数据生命周期管理在确保自动驾驶电动汽车应用中使用的AI模型的安全性和可靠性方面发挥着关键作用。此生命周期包括许多状态,例如数据收集、注释、存储、清理和平衡。
所有AI软件应用程序,尤其是在规划、预测、控制、传感、感知和融合中使用时,对于电动汽车自动驾驶的安全都至关重要。图2显示了ISO-8800中描述的道路车辆的数据集生命周期管理工作流程。AI集成是这些应用程序的一大补充,但它也增加了安全问题,需要妥善解决。尽管如此,该行业现在正在向端到端自动驾驶过渡,例如,它通过深度神经网络实现的无缝融合将传感、感知和规划融合在一起。虽然与将不同模块分开并将它们视为独立组件的主流方法相比,此类方法可能具有更大的潜力,但管理其安全性的规则和准则几乎不存在。
图2. ISO-8800道路车辆(2022年草案)中所述的数据集生命周期管理工作流程。在现实生活中,用于训练部署在汽车应用中的深度学习模型的数据集管理涉及数据收集、注释、管理、存储和访问控制,以及适当的弃用策略和对抗性攻击的考虑
总而言之,传感、感知、融合、规划、预测和控制等软件组件对于自动驾驶汽车的安全运行至关重要。人工智能技术为增强这些组件提供了巨大的潜力,但它们也带来了新的安全挑战,必须谨慎应对。开发能够处理现实世界驾驶场景的复杂性和不确定性的强大而可靠的基于人工智能的系统,对于充分发挥自动驾驶汽车的潜力并确保所有道路使用者的安全至关重要。
8. 结论
由于人工智能在驾驶辅助和自动驾驶软件中的应用,汽车行业正在迅速发生变化。本文调查了这一技术变革的诸多方面,包括感知系统、安全机制、传感器融合方法和决策算法的进步。这些发展为环境感知、物体识别和运动预测开辟了新的可能性。然而,通往完全自动驾驶汽车或电动汽车3级或4级功能的道路并非没有挑战,特别是在确保复杂现实场景中的安全性和可靠性方面。克服这些障碍需要采取全面的方法,包括开发可靠和更安全的系统、先进的传感技术以及进行彻底的测试和验证。
此外,成功采用自动驾驶汽车依赖于建立标准化框架和安全指南,以鼓励全行业的协作和创新。随着自动驾驶研究和开发的不断推进,平衡技术进步和道德考虑对于确保这些创新造福社会至关重要。