自动驾驶:一切为了安全,团结起来
电子工程世界翻译自——EEtimes
在一辆高度自动化的汽车上安装一个灯泡需要多少安全标准?几年前,汽车市场的新手会说:没有标准。如今,随着汽车行业终于开始应对生产安全可靠的自动驾驶汽车的技术挑战,这一数字似乎还在不断增加。
在赢者通吃的互联网商业模式驱动下,自动驾驶汽车(AV)的狂热者竞相开发业内首款机器人汽车。他们的目标很简单。完全控制AV平台,使得业内其他所有人都将被迫遵守并获得许可。
快进到2020年。这种孤注一掷,我行我素的做法正在让你精疲力竭。与几年前相比,领先的汽车原始设备制造商、一级供应商和包括芯片供应商在内的技术供应商更致力于建立全行业联盟,以制定以安全考虑为核心的AV标准。
目前,有近十项业界倡议正在进行中,以解决AV不同方面的安全问题。其中最突出的是现有的ISO 26262和SOTIF,以及新发布的UL 4600。
那么,这是否意味着汽车行业终于走到一起了呢?也许。
对于汽车行业的参与者来说,合作是一个全新的概念。谈到安全标准,当然,“每个人都有不同的观点,”TTTech Auto的首席技术官Stefan Poledna表示,“这是个大方向。”
改变了什么?
该行业如此迅速地达到了L2级或以上的自主水平,以至于它大大低估了进一步提升到L3-5级技术的难度。Poledna指出,AV行业终于意识到,为L3-5级的自治开发一个与安全相关的计算系统是“一个巨大的挑战,不应该由单个玩家来解决,而是在一个生态系统中”。
当一辆L3、L4或L5的汽车在单行道上逆行时,负责的不再是司机,而是汽车制造商。Poledna:“这是一个大问题。”
新ISO标准即将出台
还记得SaFAD(自动驾驶安全第一)吗?事实证明,去年7月由11位行业领袖(Aptiv、奥迪、百度、宝马、大陆、戴姆勒、菲亚特克莱斯勒、HERE、英飞凌、英特尔和大众)发布的白皮书正在成为新ISO标准。
白皮书概述了“自动驾驶安全相关主题的综合方法”。作者介绍,这份报告的目的是“通过设计能力、要素和架构,系统地将安全原则分解为安全原则,然后总结验证和确认方法,以展示积极的风险平衡。”
ISO接受了这一前提,允许行业将其发展成ISO标准。
但是怎样才能把“综合方法”转变成一个可行的ISO标准呢?我们询问了SaFAD成员Intel。
英特尔的首席工程师和自动驾驶解决方案的首席架构师Jack Weast解释:“首先,我们把原始的SaFAD文件,清理干净,去掉任何颜色的注释,把文件的技术部分重新格式化成ISO标准。”
为了寻求更快的转机,该委员会的负责人、宝马集团(BMW Group)自动驾驶技术首席专家Simon Furst在一个名为“the autonomous”的网络直播中宣布,他的团队计划在2020年年中发布其ISO草案技术报告(DTR) 4804。
Weast将DTR描述为ISO标准化的第一步。
一些汽车行业的消息人士告诉我们,新的ISO标准可能是朝着正确方向迈出的一步,但需要多年时间才能成为最终标准。此外,他们发现在短期内,它过于通用和高级,无法帮助汽车OEM。
Weast承认,[ISO]文件的范围“相当广泛”。但Weast也表示,它是“一把大伞”,涵盖了有关“如何定义,推导,开发和测试一个自动驾驶系统端到端的所有问题。”
Weast指出,该文件提供了“一个有用的结构”,“我们显然支持通过设计原则实现安全性”,并且该文件提供了“一种经过深思熟虑的做法”。Weast补充说,“这就是为什么有ISO文档是件好事。
“The Autonomous”:让要求等级再低一点
专为先进车辆提供安全软件和硬件系统的TTTech Auto启动了一项名为“The Autonomous”的计划。
TTTech Auto的首席技术官Poledna介绍, TTTAuto在自己的活动中召集了许多汽车生态系统的参与者,“集思广益,讨论”开发一个“试验场”,为汽车原始设备制造商、供应商和芯片供应商测试他们的AV系统的安全性。 “他们之间需要进行某些交流。”目前,所有人都在努力弄清楚,如何才能将安全的L3和L4车型推向市场。
Poledna表示,The Autonomous完全了解不同公司为确保安全所采取的许多方法,包括不同的计算架构、软件算法和传感器融合。
这是推出The Autonomous计划的部分原因。TTTech Auto认为,汽车行业的参与者需要更具体、更迅速的解决方案。Autonomous的目标是比即将发布的ISO DTR 4804标准降低一到两个级别,以构想AV行业可以使用的“参考设计实现”。然而,我们的目标并不是仅仅选择一个黑匣子。
汽车制造商希望能够混合和匹配来自不同供应商的不同模块(如安全模块、“检查”模块(如“行为检查”模型)、计算模块等),而不是围绕黑匣子构建AV。假设一个OEM选择了来自供应商A的安全模块,这与来自供应商B的安全模块没有相似之处,从而导致了严重的兼容性问题。Poledna认为,AV行业必须“对安全架构应该是什么样子有一个共同的理解”。业界应该对“接口”和“数据结构”有一个共识。
一方面,ISO标准被认为过于通用。另一方面,太多的AV行业的玩家已经在实施他们自己的不同安全解决方案。作为一个“中间地带”的解决方案,The Autonomous如何取得成功?
Poledna:“如果我们同意将‘行为-检查’作为一种普遍接受的安全方法,这是一个巨大的成就。此外,他希望看到业界对数据结构、接口和自由空间的定义达成一致的理解。该公司正在举办一系列研讨会,重点讨论计算架构、人工智能、安全和监管等问题。在鼓励参与者分享最佳实践的同时,Autonomous group的目标是促进汽车行业主要参与者之间的友好关系,并发布反映行业最新解决方案的文档和技术论文。
级别低一点,可洞察的更仔细
Weast表示,如果The Autonomous比ISO标准能够低一到两级,Weast主席组织IEEE P2846就会进一步深入细节,专注于“一个非常细分的决策能力领域”。
他解释,领域越细分的好处是“我们可以深入得更多”。在研究决策过程时,“我们也会考虑‘会对其他道路使用者做出什么样的假设。”根据AV正在行驶的城市或情况(例如,与遮挡视图的交叉路口),了解适用于这些特定情况的假设对于为决策块创建安全模型至关重要。
Weast推测,虽然IEEE P2846关注的是决策块,但AV安全标准最终可能需要近12个不同的技术块来定义和实施安全。例如,“我们将需要一个安全的操作块”,这可以通过ISO 26262和SOTIF标准来解决。其他的包括一个行为和流量块,“它可以很好地映射IEEE P2846提供的内容”,以及像数据记录块这样的东西。
Weast解释,很明显,“标准和互操作性是至关重要的”,以建立一个生态系统,在这个生态系统上可以建立一个像AV这样的全新市场。不过他承认,制定行业标准始终是一个平衡之举。你需要创造一个强大的市场,但企业必须自由地进行差异化。
当被问及AV行业必须达成一致的具体技术是什么时,Weast表示,这是来自不同供应商所提供的,当它们变得普遍可用时,来自不同供应商的一些东西将使每个人受益,并平等地举起所有的船。
他解释,如果AV公司不能就安全的最终定义(比如汽车之间的安全距离)达成一致,他们就无法就自动驾驶汽车的安全问题向政府监管机构提出令人信服的理由,操作设计领域也是如此(ODD)。如果一个通用的模板没有被应用来定义ODD,那么这个行业就无法解释一个特定的车辆在什么地方、在什么条件下能够做什么。
尽管流行病阻碍了许多标准组织成员的计划,Weast表示,该组织仍希望在今年年底或2021年初之前完成草案。为了加快这一进程,他们将工作分成四类子组:
1.识别与安全相关的场景,在这些场景中,对其他道路使用者进行了假设。
2.研究决策中使用的安全模型的属性。
3.将定义和分类法与其他标准使用的定义和分类法尽可能地保持一致。
4.记录了该标准如何适应或补充其他标准。
Weast:“这么做的目的是以便我们能够解决一些关于IEEE P2846的混淆和问题。“
IEEE P2846的一大好处就是它的选举制度。虽然Weast是董事长,但该集团从Waymo选出了一名副董事长和一名优步代表担任秘书。对于Waymo来说,这是第一次;到目前为止,该公司一直选择单干。Weast表示:“目前,我们在芯片行业、移动服务行业、汽车原始设备制造商、Tier和机器人公司等领域都有良好的代表。”
其20个成员包括:Aptiv, ARM,百度,Denso, Exponent, Fiat Chrysler (FCA),谷歌,华为,Horizon Robotics,英飞凌,Intel, Kontrol,国立台湾大学,Nvidia, NXP, Qualcomm, Uber ATG, Valeo和大众。
UL 4600,为安全而生
另外,早些时候,美国保险商实验室(Underwriters Laboratories)完成了自动驾驶汽车的首个标准。名为UL 4600,现已在ULstandards.com上发布。UL4600自动驾驶安全评价标准由UL的标准开发机构与自动驾驶研究机构Edge Case Research合作开发,是第一个针对自动驾驶设备的综合安全标准,预计于今年年底正式发布。标准旨在为高度自动驾驶设计提供完整的安全评价原则和安全评价体系,为机器学习、感知操作环境和自动驾驶所需的硬件和软件提供安全性及可靠性评估。UL4600标准适用范围将涵盖自动驾驶汽车,自动采矿设备、农业自动化及维修设备,仓库机器人,以及无人驾驶飞行器(UAV)。初始版本将专门适用于自动驾驶汽车(SAE 4级和5级自动驾驶汽车以及类似的载货汽车)。
“智能化”是UL4600标准关注的核心内容,标准根据自动驾驶系统的当前状态和对其操作环境的感知,评估自动驾驶系统在无人为干预的情况下安全地执行预期功能的能力,将包括:安全案例、风险评估、安全设计流程、测试验证、自动驾驶验证、数据完整性、人机交互(针对非驱动程序)、生命周期关键点等内容,以帮助厂商梳理、架构清楚所有跟自动驾驶安全相关的领域,标明所有必需测试的项目,从而建立系统方法,确保设计团队不会遗©某个合理可预见的问题。
该标准的作者之一、Edge case Research的首席技术官Phil Koopman表示,UL 4600并没有规定如何通过某些步骤来实现安全性,而是提供了一个针对AV设计的“构建安全案例”指南。由于没有单一的标准可以解决世界上的自主产品问题,UL 4600的制定者们就为此确定了一个起点,他们要求自主产品设计者提出一个安全问题。
Koopman强调,Underwriters Laboratories在其标准技术小组(STP)中创建了一个多元化的国际利益相关者团体来开发该文件。STP由32名有投票权的成员组成,其中包括政府机构、学术界、自动驾驶汽车开发商、技术供应商、测试和标准组织以及保险公司的代表。
编辑:muyan来源:EEWORLD