智能汽车「狂飙」时代,拉住功能安全「准绳」
智能汽车「狂飙」时代,拉住功能安全「准绳」
随着智能汽车行业的快速发展,汽车功能安全成为一个越来越重要的议题。从最初的航空、核能领域,到如今的智能汽车,功能安全标准经历了从无到有、从简单到复杂的发展历程。本文将为您详细介绍汽车功能安全的发展历程、标准认证难点以及智能汽车时代面临的新挑战。
汽车功能安全的「前世今生」
「功能安全」最早可追溯到上世纪 70 年代。在航空及核能领域常出现的坠机、误爆等重大事故,让制造、科技行业越来越重视电气化系统设计、制造及其管理过程中的安全问题。
经过研究和经验总结,2000 年国际电工委员会(IEC)正式推出了 IEC 61508,即关于电气、电子和可编程电子安全系统的功能安全通用标准,致力于解决电子电气系统(E/E system)中故障带来的风险问题。
在汽车领域,随着电子化程度越来越高,智能座舱、智能驾驶等功能逐渐向高阶演进,承载着人身和财产安全双重责任的智能汽车,其车辆素质及其功能的风险管理显得异常关键。
因此,国际标准化组织(ISO)发布了特别针对汽车的功能安全标准 ISO 26262,为实现汽车功能安全提供了完整的理论框架和工程指导。国内也在 2017 年发布了首版汽车功能安全国标 《GB/T 34590 道路车辆 功能安全》,并且在 2022 年发布了第二版更新修订。
作为智能汽车软件算法供应商,绝影积极参与《GB/T 34590 道路车辆 功能安全》第二版的修订,致力构筑国内汽车功能安全发展高墙。
汽车功能安全标准认证,难点几何?
多评估维度
现阶段,主要通过以下几个维度对汽车功能安全进行分析:
1.)故障(Fault):可导致系统失效的异常情况;
2.)失效(Failure):系统丧失按要求执行功能的能力;
3.)危害(Hazard):由于功能异常表现而导致伤害的潜在来源;
4.)风险(Risk):伤害发生概率和严重度的综合考量。
通过车辆功能的安全分析,以评估功能存在的风险等级:
1.)可能导致风险的危害事件严重度等级(Severity,S1/S2/S3);
2.)危害场景的暴露度等级(Exposure,E1/E2/E3/E4);
3.)交通参与者对危害事件的可控度等级(Controllability,C1/C2/C3)。
由以上多个评估维度,综合得到整车安全等级:共分为 QM 和 ASIL A、B、C、D 五个级别。其中,ASIL D 是最高安全等级。而 QM 则是在 ISO 26262 未明确规定的安全要求,按照质量管理流程*进行开发,能够满足已知风险的管理。
*质量管理流程参照汽车行业质量管理标准 IATF 16949 和汽车软件质量管理体系 A-SPICE,绝影已在 2020 年通过 A-SPICE CL2 等级认证。
高研发要求
汽车功能向更高阶演进,面对的功能风险等级也越高,因此安全等级标准也越高。
为了达到安全目标,安全设计需要更加完善,安全验证也需更为严格,同时也意味着更高的开发成本。
在 ISO 26262 中,按照经典的 V 字开发流程,每个开发活动都需考虑功能安全。
在软件架构设计和验证上,标准里「++」代表着强烈推荐的方法,多重验证方法能够有效避免功能失效。
在软件架构设计方面:ASIL B 和 C 相较于 ASIL A,需要额外考虑软件组件的高内聚性和低耦合性(1d 和 1e),即:提高软件模块之间相互联系紧密度,但减少相互间的影响。而 ASIL D 相较于其他等级,需额外考虑:限制接口大小、控制中断的使用和软件组件分区管理(1c, 1g 和 1h)。
在软件架构验证方面:ASIL A 和 ASIL B 的不同在于设计检查程度要求,ASIL A 要求进行设计「走查」,而 ASIL B 要求更严格、正式的「审查」。
ASIL C、D 则进一步要求分析软件架构的控制流、数据流和时序(1f、1g、1h)。
更高等级的 ASIL D,对软件设计的动态仿真和原型生成(1c、1d)都提出了具体要求。
虽然功能安全意味着更高的开发成本,但代表了更可靠、更稳定、更安全的产品设计。
目前,绝影已经通过了 ISO 26262:2018 ASIL D 流程体系认证,拥有最高等级的功能安全研发能力。
同时,绝影智能驾驶产品 SenseAuto Pilot 和智能座舱产品 SenseAuto Cabin DMS 均通过了 ASIL B 产品认证。
智能汽车时代:安全新挑战
随着机器学习、神经网络等人工智能技术逐步应用于汽车智能驾驶和人机交互等领域,非故障类的问题也「浮出水面」,如:摄像头和雷达无法保证 100% 精准识别横穿马路的行人、AEB 紧急制动在没有追尾风险时主动刹车、用户在市区内开启高速公路的辅助驾驶功能等情况。
目前,业内正在尝试通过预期功能安全(SOTIF)来解决复杂功能潜在的非故障类安全风险问题。
与功能安全不同,SOTIF 更关注系统在正常运行状态下的功能表现,将功能的运行场景按照两个维度划分为四种类型:
- 已知危害场景
- 已知安全场景
- 未知危害场景
- 未知安全场景
并且建议从以下几个方面来考虑潜在风险:
- )规范定义不足:功能的定义不完整。如:若 ACC 功能没有定义安全跟车距离,在功能使用中就很容易因为不恰当的加速而追尾前车;
- )性能局限:系统中电子电气要素的技术能力有限。如:摄像头、雷达存在盲区,盲区中的目标物就会识别不到;
- )用户误用:用户可能会以不符合产品预期的方式使用。如:辅助驾驶功能要求用户时刻关注道路环境,如果用户打瞌睡或者玩手机,可能有重要的系统提示就不能及时接收到。
在实际开发中,我们探索未知场景,分析潜在的风险,改进功能设计,一步步缩小未知场景的范围,把危害场景转化为安全场景,直到产品风险降低到合理可接受的水平。
2022 年,国际标准化组织发布了《ISO 21448 Road vehicles - Safety of the intended functionality》(ISO 21448 道路车辆 预期功能安全),为 SOTIF 的基础框架提供了参考。同时,绝影全程参与编写制定的国家标准《GB/T 43267 道路车辆 预期功能安全》也已于去年发布。
今年,绝影获得符合 ISO 21448 标准的 SOTIF 流程体系认证,已经具有满足标准要求的预期功能安全开发能力、拥有更加完善合规的安全开发流程体系,将在后续交付时持续坚持稳定、可靠、安全的汽车功能产品开发。
同时,绝影已提前布局,基于 DMS 产品进行 SOTIF 标准的预研。提出了专门针对 DMS 的场景描述框架,并以结构化的方式建立了 DMS 场景库,形成:场景因子细化 - 场景数据收集 - 验证系统表现 - 测试结果分析 - 针对性提升产品性能的闭环链路,并搭建 SOTIF 的开发工具链,制定了符合绝影产品特性的预期功能安全研发体系。
从定义到实践:推动 AI 安全「上车」
绝影依托商汤 AI 开发经验和大模型技术优势,已经成功地把 AI 算法应用到了智能驾驶和智能座舱中。提供包括智驾 BEV 感知、智驾融合感知、Face ID、驾驶员监控、乘员感知、手势识别、物品识别、健康管理等在内的原创智能汽车软件算法技术。
以机器学习为核心的 AI 算法在智能汽车领域应用,既需要通过预期功能安全标准指导需要达到的标准来保证技术安全,也需要基于行业应用总结归纳出预期功能安全标准指导下的行业最佳实践,实现从预期功能安全方法论到技术方案细节的落地。
绝影坚持用原创的 AI 算法技术与汽车产业伙伴携手共进,率先实现了行业领先算法的量产落地,依托丰富的行业落地经验,深入参与《ISO 8800 Road vehicle - Safety and artificial intelligence》的制定,从汽车中广泛应用的 AI 技术本身出发,根据汽车 AI 安全的研发流程体系和技术要求指南,链接行业专家、机构,共同制定提高车载AI技术安全应用流程标准,以满足功能安全、预期功能安全等标准对 AI 技术的特定安全要求,推进安全可靠的软件算法技术在智能汽车行业的应用。
近年智能汽车行业进入「狂飙」时代,安全标准的制定就像乘客驾程中必不可少的「刹车片」,在智能汽车安全功能演进中,让汽车功能安全在研发落地进展中不断提升,拉起智能汽车的安全防线。
绝影将持续致力于智能汽车安全标准的行业实践,与合作伙伴共造「极智」安全、温暖的智能汽车,为用户提供更加人性化的驾乘体验。