??大部分汽車創新和特性相關新聞中都開始提及全球三大趨勢——汽車的互聯化、電氣化和自動化。這三大趨勢塑造著當前大環境,在創新和財務回報方面為企業提供了千載難逢的機遇,更重要的是,這些趨勢還創造了一項重大的使命——
??類似最初在瑞典提出的“Vision Zero”等項目旨在減少因交通事故造成的傷亡,并在全球多個轄區作為一種模式進行推廣。另一個類似的項目是由美國國家安全委員會提出的“Road To Zero”,旨在將每年130萬的道路交通死亡人數降至零。
??互聯化和自動化技術為保障安全無憂出行奠定了基礎 (National Safety Council, 2018)。
一、汽車安全的技術挑戰
??讓車輛成為“車輪上的服務器”,這不僅關系到新型車輛的車載計算水平,而且還關系到車輛與車輛外部各種系統間的連接。最基本的系統之一就是全球導航衛星系統(GNSS),包括GPS定位、DSRC或基于移動網絡的車輛對車輛(V2V)和車輛對基礎設施(V2I)技術,它們允許車輛與其他車輛和基礎設施通信,如用于狀況感知的交通信號燈以及用于信息娛樂的數據連接。互聯性對于軟件維護和更新也十分重要。美國的普通駕駛員平均每天在車里待1個小時 (AAA Foundation for Traffic Safety, 2019),在車里的大部分時間里,互聯性對于提供娛樂和效用來說必不可少。
? 一個安全的系統需要可靠的設備,以防因設備故障發生事故;需要功能安全,以防因系統故障導致事故;還需要安全防護,以防因系統遭到黑客攻擊發生事故。這些功能的有機結合有效防范了人為錯誤,從而提高了車輛的總體安全性。??
? ??安全防護對于互聯車輛和自動駕駛車輛來說不可或缺,否則其功能安全性就會受到損害。自2015年以來,已發生超過25起車輛黑客事故,最嚴重的一次公開事故影響了140萬輛汽車 (Drozhzhin, 2015)。到2030年,汽車所產生數據估值將達到7500億美元 (McKinsey & Company, 2016)。汽車系統十分復雜,每輛車有100多個ECU和1億多行代碼,高復雜性可能會造成更多無法預見的漏洞,就像大規模召回的情況一樣。隨著無線接口的廣泛應用,允許不對車輛進行物理訪問即可修復安全漏洞。
??與其他非汽車應用的安全嵌入式電子系統類似,業內通過在汽車設計中采用先進的核心安全原則來解決這些安全性挑戰。? 汽車的外部接口不但需要抵御物理攻擊,還需要保持通信的完整性和保密性。這就需要安全的域隔離,并且系統也需要能夠抵御邏輯攻擊。車輛內部通信,以及各種ECU和汽車MCU的軟件操作,都需要得到保障。? 需要車輛網關來安全可靠地互連和處理這些異構車載網絡中的數據。? 網關提供物理隔離和協議轉換,用于在功能域(動力傳動、底盤與安全系統、車身控制、信息娛樂、遠程信息處理、ADAS)之間路由數據。功能域通過共享數據實現新功能。通過網關,工程師可設計出更穩健、功能性更強的車載網絡,從而增強駕駛體驗 (Simacsek, 2019)。
??車輛制造商(OEM)積極致力于研發新功能,以期從競爭中脫穎而出。自動駕駛需要安全連接和功能域ECU之間的高帶寬通信,因此要想實現自動駕駛,網關必不可少。? 網關作為車載網絡的核心,也非常適合用來支持全車范圍的應用,如無線(OTA)更新和車輛數據分析,以及與OEM服務器(云)的安全通信。
? ??機器學習(ML)技術在自動駕駛系統中的應用創造了其他潛在的攻擊手段。系統需要能夠避免機器學習模型可能被盜的情況,或者提供識別被盜機器學習模型的方法。系統需要防止用戶生物識別信息等與隱私相關的信息丟失,如果車輛具有用戶識別功能,那就可以用對抗性的方法保護系統免受這些系統的欺騙。機器學習還可以通過檢測異常情況來防范這些攻擊,或用于建立更強大的防御機制。
二、汽車安全的標準考量
??安全性是一種法律責任,因此對于汽車市場來說至關重要。用戶需要能夠相信他們的車輛會做它應該做的事情。安全性還可以實現平臺合并和系統一致性。隨著自動化等級超過SAE 2級(L2),持續監控駕駛環境的責任也從人類駕駛員轉移到了自動駕駛系統。?
??傳統的汽車安全,如ISO 26262等標準的功能安全定義,根據風險的嚴重性、暴露率和可控性提供汽車安全完整性等級(ASIL)。這項標準還定義了V開發模型,要求完全指定組件特性及其相應的規范和可追蹤性,按照其規范所做的修改也應可檢測。利用數據庫訓練機器學習模型,累積的訓練會違背初始時組件特性均已指定的假設。此外,自動駕駛系統利用機器學習時,將軟件組件的層級架構實施成端到端的解決方案,這違背了ISO 26262標準的模塊化方案 (Salay & Czarnecki, 2018)。?
??自動駕駛系統的安全性不僅要注重傳統的功能安全性,還要考慮行為安全性。作為駕駛策略的一部分,自動駕駛系統需要學習與非自動車輛和行人交互。它們需要學習預測其他參與方的行為,還需要預測危險和安全關鍵的情況,即便是邊緣情況也不例外。自動駕駛系統需要防范周圍動態環境可能帶來的風險,即使是在硬件或軟件無故障的情況下。
??汽車安全專家正在開發ISO/PAS 21448標準,即預期功能安全(SOTIF),用于涵蓋ISO 26262未涉及的場景。對于某些場景來說,為開發ISO/PAS 21448 SOTIF所進行的大量工作并未有效覆蓋邊緣情況以及不安全的未知條件。對于自動駕駛市場的其他場景來說,這項標準可能會限制或扼殺創新,特別是它關系到自動駕駛領域機器學習的使用。
三、實現自動駕駛的安全
為了實現安全無憂的自動駕駛,系統需要具備以下特性:?
可靠:超低故障率(汽車級品質)
安全:強大的故障檢測能力(ISO 26262 ASIL D)
可用:正確操作準備就緒(能夠區分安全相關和非安全相關的故障)
容錯:即便在發生故障時,也可以繼續操作(降低性能/功能,僅可繼續操作重要功能)
可信賴:故障預測功能能夠提前檢測故障(離線測試)
? SAE自動駕駛分類較低級別中的大部分輔助功能都是“故障防護”系統,這意味著一旦發生故障,系統將會進入安全模式。在L0、L1自動駕駛功能的情況下,系統依靠駕駛員對車輛繼續進行安全操作。在當前的L2和L3系統中,我們期望系統能夠具備更高級的可用性,能夠識別故障并以降低性能的模式繼續運行,僅在部分情況下依賴駕駛員。預計L4和L5系統將可以在發生故障后繼續運行,這意味著當系統檢測到故障后,系統內置足夠的冗余來容錯,以便繼續全面運行足夠長的時間,直到系統將車輛恢復到安全狀態。?
??當出現故障時,切換到人類駕駛員是L0至L3系統的一個關鍵部分。要實現從自動駕駛系統到人類駕駛員的切換,需要進行大量研究工作。Eriksson和Stanton的研究發現,在非緊急情況下,完成切換所需時間從2至26秒不等,如果駕駛員收到切換請求時正在進行其他任務,所需的時間會更長。請記住,車輛在高速公路上自動駕駛時,高速行駛下的速度超過每秒25米。在最快的反應時間下,車輛需要行駛半個足球場的路程才能完成切換,在最慢的反應時間下,車輛則需要行駛將近6個足球場的路程才能完成切換。在緊急情況下,駕駛員的反應會比較慢,并且人類駕駛員可能會做出錯誤的決策,造成交通事故 (Eriksson & Stanton, 2017)。基于這種情況,恩智浦認為實現安全無憂出行需要L2甚至更高級的自動駕駛系統,才能使其在發生故障后繼續運行,至少能夠安全停車。
??當爭論被表述為安全的自動駕駛系統要始終遵守交通規則時,我們在現實世界中卻會觀察到與嚴格的規則相應、有時候甚至是相反的某些場景,存在社會規范可以使大多數復雜的系統進行更高效的運作。這些社會規范允許在某些情況下違反交通規則,比如在即將駛入車道時,繞過拋錨車輛或被攔下的車輛。有時,違反交通規則并不是故意為之,而是避免交通事故的必要措施。自動駕駛系統需要配有決策矩陣,從而選擇可接受的違反交通規則的方式,以實現更安全、高效的駕駛。
??
自動駕駛汽車需要確保采取的任何措施都不會危及生命安全。這給安全工程師驗證車輛安全性帶來了很大的壓力,然而并沒有令人滿意的方法來驗證自動駕駛汽車永遠安全運行。?
自動駕駛系統架構分為兩個功能域:
1)?建模域,對環境進行監控和建模;
2)?規劃域,用于制定行為策略和規劃,并進行路徑選擇。
系統分為兩個功能域,每個功能域由多種設備組成,使其具有更優的可擴展性和異質性,每個功能域還可根據特定的應用要求提供高效的計算架構匹配。如果不了解系統的決策機制,那就無法保證其安全性。這就是大型端到端系統處理感知和規劃時所涉及的問題。配有接收傳感器輸入和提供驅動指令輸出的封閉式黑盒方法很難進行驗證和調試,而且也很難擴展到新的算法、傳感器解決方案和計算。
??世界上大多數汽車制造商都在研發自動駕駛技術,到2050年,自動駕駛市場估值將達到7萬億美元。安全性和防護性是輔助駕駛和自動駕駛系統成功為消費者部署并采用的基石。
??恩智浦認為ISO 26262和ISO/PAS 21448(SOTIF)在定義安全自動駕駛系統方面互為補充且不可或缺。ISO 26262可解決因電子系統故障造成的安全風險,ISO/PAS 21448 SOTIF為設計驗證和確認任務提供指導,以檢測因定義或設計缺陷導致的功能行為故障。
??能夠放松身心、處理郵件或看看喜歡的節目,而不是真正的開車上下班,這是某些駕駛員夢想的便利場景。我們真正的目標是確保您通過安全連接充分享受這些功能,同時通過系統內置的安全無憂出行技術為您和周圍的駕駛員提供更高的安全性。
??
??