万字长文讲解智驾汽车电子电气安全,从智能汽车为什么做安全? 做什么? 怎么做? 谁去做? 及相关安全标准简介与内在联系,让大家全面的了解智驾汽车的安全体系,文中穿插一些个人经验及看法,供新手参考、老手复盘。 一、Why to do1.1 政策导向:世界卫生组织(WTO)报告指出:每年因道路交通事故导致的死亡人数达到125w,而中国则是25w人死于交通事故,2017年联合国发起的2030年可持续发展议程确定了至2020年将这一数字较少一半的目标,人类的事故率为10^-6,业界分析认为无人驾驶至少要达到10^-9的事故率(航空业安全水平)才会被外界认可接受。 随着驾驶辅助系统和自动驾驶功能渗透率的提高,预测2025-2040期间存在人和机器混合驾驶的状态,这种背景下车辆的安全性尤为重要。 我国工信部近期印发的《智能网联汽车生产企业及产品准入管理意见》明确提出要求“加强汽车数据安全、网联安全、软件升级、功能安全和预期功能安全管理”。 1.2 法规导向:目前智能驾驶汽车的安全问题是制约其落地的重要因素之一,不同国家对智能驾驶汽车的态度不尽相同,不同区域国家也纷纷出台一些法规,如:
日本自动驾驶汽车相关法规:
1.3 用户导向:小结以上种种因素,行业内默认遵循state-of-art的标准体系:ISO 26262、21448、21434三大安全体系,全文以安全“三座大山”展开。 二、what to do2.1 流程符合性:为什么要做流程符合性? 汽车电子电器安全的前提条件是在设计产品的各个环节控制人的失效,也就是的“系统性失效”,对于汽车电子电器安全而言99%的问题来源于系统性失效,规避系统性失效的有效手段就是依靠流程,开发流程须遵循Aspice、26262,那流程究竟约束了什么呢? 简而言之:流程使工程师正确的做事,做了正确的事! 这也是为什么目前行业热衷Aspice/26262/21434流程认证的一个重要原因。 2.2 产品符合性:目前国内汽车圈比较流行的是产品认证,使产品获得相应证书,一些企业宣称三电控制器、智驾域控制器、芯片,操作系统等符合26262-X、21434-X、CSMS,WP29,这里要强调的一个重要的点,单一产品的标准符合性开发多是基于功能安全SEOOC或者网络安全OOC开发,什么意思呢?其产品上层需求是基于假设,是供应商去分析、假想上层(整车/系统/子系统)可能会提出什么要求,然后开发其产品,其需求并非真正来自上层(整车/系统/子系统)需求,此时甲方应确认该产品的“假设需求”是否真正匹配自身的需求,使需求符合正确性、完整性及可验证、可追溯性。 另外,认证一词在欧洲和美洲汽车圈几乎不存在,BBA、GM等并不热衷认证证书,而是看audit、assessment的过程和结果,可能在国内汽车圈仍旧是一个看证的时代! (正因如此德系、美系、法系等第三方咨询认证公司在中国业务做的风生水起) 小结:首先强调一点,不论是ISO 26262、21448、21434都不是一种技术,只是法规标准,是一种方法论,对于ISO 26262、21448、21434而言,流程符合性和产品符合性二者缺一不可,产品要融入安全设计、经过测试确认,且audit、assessment通过即可,认证并不强制(除非甲方要求)。 三、How to do安全的流程基础是ISO 26262,而分出来的流程上有ISO 21434,ISO 21448;工作的方法论都是遵从26262理念:
注:此三者的对应问题类别不同,导致所需的技术实现也不同,但是流程上是大同小异。 下面硬核解析3个L3功能开发中的典型的安全案例: L3功能安全设计典型案例传统的L3以下的ADAS功能非预期退出无ASIL等级,但是HWP是驾驶员处于不在环(不能及时接管)状态,是否可以立退呢?退出条件如何设计呢?
为了简化架构模型,我们做一个假设Assumption01:所有激活条件均满足,只有制动踏板状态可能发生故障违反SG01,安全概念设计如下:
答案是:否!考虑驾驶员偶尔误碰制动踏板且驾驶员还处于脱手状态安全吗? 因此这不是一个合格的安全概念设计!
①法规ALKS 6.2.4章节解读:该法规要求L3功能的退出需要一路开关在特定时间周期内进行2次确认,或者有2种方式同时输入(意味着需要2种形式的退出条件都满足)功能才可以退出;同时要求,L3功能退出时,必须确保驾驶员横向是可控制的,横向控制处于接管状态。 ②考虑cover上述安全架构的不足(驾驶员误踩制动且处于脱手状态),以及ALKS 6.2.4要求,增加一路脱手监测判断条件,优化安全架构如下: 以上安全策略的设计既符合了ALKS要求的L3功能退出需要2路退出条件,同时也满足了功能安全的人员分心误用情况,此外、策略上还需要定义驾驶员车控优先,详细内容不在此详述。 L3预期功能安全设计典型案例
L3网络安全设计典型案例
四、who to do定义安全开发的角色,需结合安全开发流程,第三章节提到安全开发流程:
安全是非常严谨的系统工程,需要和各个环节的工程师并肩合作,最优的做法的开发工程师兼职,一方面、安全本质上是产品的一个属性,安全需求是功能需求的一个子集,脱离产品开发的安全设计会使安全无用武之地;另一方面、开发工程师是一线人员,对产品的设计和测试有深刻的认识,毕竟、功力的深浅取决于对产品的认识程度。 只懂标准、懂流程属于花拳绣腿,做项目管理/培训尚可,做产品安全设计则心有余而力不足,系统安全工程师要懂系统,软件安全工程师要敲过代码,对口的人干对口的事,专业+专注才是专家! 五、相关安全标准与三大安全标准的联系ISO TR 480412条顶层安全原则概述:
为了实现12条顶层安全原则,需要智能驾驶系统具备13项能力支撑12条安全原则,这些能力分为失效安全能力(FS)和失效降级能力(FD)。 注:开发功能安全的时候,要基于正向导出对每个要素的ASIL等级,不能使用此通用架构移植到自己公司的产品上,来宣称感知符合ASILB,决策SWC符合ASILD,因为架构的不同会导致即使是相同要素也会存在不同ASIL的情况。 总结:笔者认为ISO TR 4804是典型的德系安全理念,遵循瀑布式开发,从顶层目标逐级向下分解,层层验证最终实现顶层安全原则,该标准对于智能驾驶的安全工程师非常具备指导意义,尤其是对21448的开发大有裨益,“初极狭才通人复行数十步豁然开朗”这句话用来评价此标准非常合适! 推荐指数(ADS安全从业人员):☆☆☆☆☆ 推荐指数(ADS系统工程人员):☆☆☆☆☆ UL 4600UL 4600是全球首个自动驾驶评估标准,2020年发布的第一版,同样是以26262、21448、21434为背景(不会替代原标准),该标准预期成为L3、L4级别的自动驾驶综合安全评估框架, 4600保持技术中立的态度,不强制使用什么类型的技术且允许流程存在灵活性,它提供了一个非常完整的cheklist,也就是所谓的what to do但未说明How to do,被评估方需要提供声明、论点及证据来阐述产品的安全性。 标准的第8部分、第12部分对于产品安全性开发和测试很有参考价值,提供了智能驾驶需要考虑的点,极大的避免了开发人员漏掉一些“安全点”,很大程度上避免了系统性失效,4600-8和4600-12对应4804-5和4804-6异曲同工,4804颗粒度较粗,4600颗粒度较细,此部分对于26262及21448的开发极具参考价值。 另外、值得注意的是,4600也支持环境之外的要素,不局限于整车产品,通用适用于系统、零部件、软硬件,类似于26262的SEOOC。 笔者认为UL4600将是自动驾驶走向商业化道路的安全保障,不久的将来,或许只有通过4600认证的车型/产品才会被保险公司上保,这或将成为自动驾驶商业化的催化剂。 推荐指数(ADS安全从业人员):☆☆☆☆☆ 推荐指数(ADS系统工程人员):☆☆☆ ALKS(Automated Lane Keeping Systems)IEEE 2846 (RSS)总结:目前Mobieye正积极推广RSS模型,部分企业已经参与其中不断优化模型参数,后续该标准或将在业界大放异彩。 话题讨论:当特斯拉的影子模式+RSS模型会发生什么? 推荐指数(ADS安全从业人员):☆☆☆☆ 推荐指数(ADS系统工程人员):☆☆☆ 其他随着智能驾驶的蓬勃发展也陆续涌现出细分市场的安全相关标准,如下:
有兴趣的同仁自行了解 ,如有需要标准正文,可以联系公众号人员。 小结:26262、21448、21434是汽车电子电子安全的灵魂,是一种高阶安全理念、是形而上学,是放之四海而皆准的套路,而4804、4600、ALKS、RSS则是聚焦自动驾驶的安全标准。 26262、21448、21434好比金庸先生的武侠小说《倚天屠龙记》里的乾坤大挪移,有此武功的加持,学习其他武功(4804、4600、ALKS、RSS)会事半功倍,而身具九阳神功(智驾产品系统工程设计经验)则可以将安全标准运用的更加炉火纯青! 六、总结自动驾驶技术被认为是人工智能的终极应用之一,而产品的商业化通常要经历发展三个阶段:第一阶段、理论突破,从理论上证明实施可行性;第二阶段、技术突破,产品涉及的方方面面技术成熟,尤其是通用人工智能(AGI)的发展;第三阶段、工程化条件具备和可持续发展的商业模式。 笔者始终认为目前自动驾驶还仍于第二阶段,短期看、从功能/预期功能安全角度(ISO-26262、21448)分析感知问题仍是最大的瓶颈,单传感器的准确率和召回率仍无法满足自动驾驶要求,多传感器融合算法也无法cover一些corner case,长期看、随着车路协同技术的推进,网络安全(ISO-21434)将是安全最大的威胁,因此安全问题的解决任重道远! 引用李骏院士一段话:我们既要看到自动驾驶光鲜的一面,也要看到其弱点,既尚存很多待解决的安全问题,众人拾柴火焰高,要整合全国汽车行业上下游企业的力量,在政产学研界的共同努力下,才能实现中国智能网联汽车整体安全性能的提升。 |
|