Schlüsseltechnologien zur Sicherstellung der erwarteten Funktionen intelligenter Autos

Zu erwartende funktionale Sicherheitsprobleme aufgrund von Leistungseinschränkungen, unzureichenden Spezifikationen oder vernünftigerweise vorhersehbarem Missbrauch sind in einem endlosen Strom aufgetaucht und behindern die schnelle Entwicklung intelligenter Autos ernsthaft. Dieser Aufsatz konzentriert sich auf die Schlüsseltechnologien zur Gewährleistung der erwarteten Funktionssicherheit von Smart Cars. Er fasst die drei Phasen Systementwicklung, Funktionsverbesserung und Betrieb systematisch zusammen und gibt abschließend einen Ausblick aus den drei Aspekten Grundlagentheorie, Risikoschutz und Aktualisierungsmechanismus . Dieser Artikel kann eine wichtige Referenz für die Forschung zur erwarteten funktionalen Sicherheit von Smart Cars sein.

Vorwort

Laut Statistiken der US-amerikanischen National Transportation Safety Administration (NHTSA) werden etwa 94 % der Verkehrsunfälle durch menschliche Faktoren verursacht, was für die Verbesserung der Fahrsicherheit wichtig ist . Bedeutung. Bestehende Technologien können ihr Sicherheitspotenzial jedoch noch nicht vollständig ausschöpfen. Darüber hinaus treten bei der Einführung neuer Technologien zur Beseitigung ursprünglicher Probleme auch neue Sicherheitsprobleme auf, beispielsweise die funktionale Sicherheit, die Informationssicherheit und die Sicherheit der beabsichtigten Funktionalität. Vor allem da die Systeme intelligenter Autos komplexer und intelligenter werden und ihre Betriebsumgebungen offener und herausfordernder werden, wird das durch unzureichende Funktionen verursachte SOTIF-Problem nach und nach offengelegt und ist zu einem Hauptproblem geworden, das die Sicherheit intelligenter Autos einschränkt. Darüber hinaus spiegeln auch die in den letzten Jahren aufgetretenen Unfälle beim autonomen Fahren/assistierten Fahren aufgrund unzureichender Funktionen wie Wahrnehmung und Entscheidungsfindung die Schwere des SOTIF-Problems wider. Abbildung 1 ist eine Analyse der Ursachen des weltweit ersten Unfalls mit einem unbemannten Fahrzeug auf der Straße, bei dem im Jahr 2018 ein Fußgänger ums Leben kam. Unzureichende Erkennungs- und Vorhersagefunktionen waren die Hauptursachen für den Unfall. Daher hat die Förderung der Forschung zur SOTIF-Assurance-Technologie höchste Priorität.

Abbildung 1 Analyse der Ursachen des Uber-Straßentest-Unfalls mit fahrerlosem Auto

Erwartete funktionale Sicherheit zielt darauf ab, Gefahren zu vermeiden, die durch unzureichende Funktionen der erwarteten Funktionen oder deren Umsetzung verursacht werden Das Grundkonzept des unangemessenen Risikos wird in ISO 21448 vorgeschlagen und definiert. Seit ISO im Februar 2016 mit der Formulierung dieser Norm begonnen hat, wurden Entwurfsversionen von PAS, CD, DIS und FDIS erstellt. Als Erweiterung von ISO 26262 befasst sich ISO 21448 mit dem Problem unzureichender Funktionalität ohne zufällige Hardwareausfälle und Systemausfälle.

SOTIF-Forschung umfasst viele Aspekte wie die Verbesserung des Systemfunktionsdesigns, Analyse und Bewertung, Verifizierung und Zertifizierung, und mit der Entwicklung der Technologie und der Einführung neuer Technologien werden ständig neue Anforderungen erhoben. Daher ist es für ISO 21448 schwierig um gezielt alle relevanten Inhalte abzudecken. In den letzten Jahren wurden viele weitere internationale Standards vorgeschlagen und SOTIF war ein wichtiges Forschungsobjekt, wie in Abbildung 2 dargestellt.

Abbildung 2 SOTIF-bezogene Standards

In Bezug auf die Sicherheitsbewertung von Automatisierungsprodukten zielt UL 4600 darauf ab, funktionale Sicherheit und SOTIF-Standards zu ergänzen und eine zielorientierte Sicherheit vorzuschlagen Methoden, die sich auf die „Bewertung“ der Sicherheitssituation beim vollständig autonomen Fahren konzentrieren; für das Sicherheitsdesign, die Verifizierung und die Validierung hochrangiger autonomer Fahrsysteme legt ISO/TR 4804 den SOTIF-Funktionsdesignprozess gemäß ISO/PAS 21448 fest und erfordert eine Weiterentwicklung von ISO/AWI TS 5083; für die szenariobasierte Sicherheitsbewertung schlägt ISO 34502 eine Reihe von Szenariogenerierungs- und -bewertungsprozessen vor und berücksichtigt speziell SOTIF-typische Auslösebedingungen im Prozess der Erstellung der Szenariobibliothek; (Künstliche Intelligenz, KI) usw. In Bezug auf Probleme nach der Einführung neuer Technologien zielt der zu entwickelnde ISO/AWI PAS 8800 darauf ab, Spezifikationen bereitzustellen, um die gesamten Lebenszyklusprobleme der KI-bezogenen Systementwicklung und -bereitstellung zu lösen für die mangelnde Berücksichtigung von KI-Themen in ISO 21448.

Mit dem SOTIF-Standardisierungsprozess haben in- und ausländische Regierungen, Unternehmen und Forschungseinrichtungen in den letzten Jahren viele Untersuchungen zu praktischen SOTIF-Lösungen durchgeführt: Im Hinblick auf die Produktentwicklung haben viele Unternehmen wie BMW und Baidu versucht, SOTIF in ihre Produkte einzuführen Im Hinblick auf die Produktsicherheitsanalyse und -bewertung haben Unternehmen wie Continental und ANSYS versucht, Sicherheitsanalyse- und Bewertungspraktiken durchzuführen Im Bereich der Sicherheitsüberprüfung und -bestätigung haben sich das EU-PEGASUS und seine Erweiterungsprojekte VVM, SetLevel, das japanische SAKURA-Projekt und die erwartete Arbeitsgruppe für funktionale Sicherheit der China Intelligent Connected Vehicle Alliance im Hinblick auf funktionale Verbesserungen in die Praxis integriert Eigene Lösungen und Projekte wie DENSE der Europäischen Union zielen auf Sensoren. Die spezifischen Funktionsmängel anderer Komponenten wurden untersucht.

Die oben genannten Standards und praktischen Aktivitäten bieten Rahmenrichtlinien für die SOTIF-Absicherung von Smart-Cars (siehe Abbildung 3). Dieses Feld hat jedoch noch kein vollständiges technisches Forschungssystem gebildet: Einerseits zeigt die aktuelle Literatur direkt zum Thema SOTIF zwar einen wachsenden Trend, die Gesamtmenge ist jedoch noch relativ gering und der Inhalt umfasst hauptsächlich die Ausarbeitung von Konzepten und Bedeutungen, Sicherheitsanalyse, Testverifizierung und Systemtechnik und anderen Aspekten mangelt es andererseits an systematischer Forschung und Sortierung der wichtigsten SOTIF-Assurance-Technologien, obwohl in vielen verwandten Bereichen Forschungsergebnisse auf hohem Niveau vorliegen Obwohl diese Bereiche eine wichtige Inspirations- und Referenzbedeutung für die Lösung des Problems unzureichender Funktionen haben, wurden sie noch nicht eindeutig in den Forschungsbereich der SOTIF-Schutztechnologie einbezogen. Abbildung 3 Der grundlegende Aktivitätsprozess der SOTIF-Versicherung erläutert die wichtigsten Punkte der SOTIF-Assurance-Technologie und stellt Perspektiven auf der Grundlage bestehender Forschungsdefizite vor.

SOTIF-ÜbersichtEine klare Problemdefinition und Risikoquellenanalyse sind die Voraussetzungen für die Gewährleistung von SOTIF. Aus der Perspektive des Systems selbst betrachtet ergibt sich das SOTIF-Problem hauptsächlich aus zwei Aspekten: (1) Eine unzureichende Spezifikation der erwarteten Funktionen auf Fahrzeugebene, Einschränkungen wie Szenenoffenheit, Systemkomplexität und unvollständige Expertenerfahrung können zu einem schlechten Fahrzeugverhalten führen Im Spezifikationsprozess treten Probleme auf, die es schwierig machen, ideale Sicherheitsziele zu erreichen Unzureichende Spezifikationen von Systemkomponenten, Funktionen wie Wahrnehmung, Entscheidungsfindung und Kontrolle werden möglicherweise nicht wie erwartet ausgeführt. Beispielsweise weisen Sensoren und Aktoren Leistungseinschränkungen wie Obergrenzen der Wahrnehmungs- und Ausführungsfähigkeiten auf oder sind anfällig für Störungen durch externe Umgebungsfaktoren. Wahrnehmungs- und Entscheidungsalgorithmen können Einschränkungen in Bezug auf Robustheit, Generalisierung, Interpretierbarkeit, logische Vollständigkeit und Regelabdeckung aufweisen. usw. Frage. Darüber hinaus hängen die Entstehung und Entwicklung von SOTIF-Gefahren von bestimmten Szenarien ab. Erstens werden die oben genannten unzureichenden Spezifikationen oder Leistungseinschränkungen durch bestimmte Bedingungen in der Szene ausgelöst, die zu schädlichen Verhaltensweisen führen. Darüber hinaus entwickeln sich die oben genannten schädlichen Verhaltensweisen schließlich zu Schäden, da die aktuelle Szene relevante Risikoquellen enthält und die Szene dies getan hat geringe Kontrollierbarkeit. Daher ist es während des SOTIF-Assurance-Prozesses notwendig, die systemeigenen Einschränkungen und Risiken des Betriebsszenarios zu integrieren, um ein Sicherheits-Assurance-System einzurichten.

Je nachdem, ob das Szenario bekannt ist und ob es SOTIF-Schaden verursacht, wird es in vier Kategorien unterteilt: bekanntermaßen sicher, bekanntermaßen unsicher, unbekannt unsicher und unbekannt sicher. Das SOTIF-Schutzziel besteht darin, eine Reihe von Aktivitäten zu bestehen und Verwandte Technologien Um die entsprechenden Bereiche der beiden Arten unsicherer Szenarien zu minimieren, liegt der Kern in der Erkennung und Verarbeitung unbekannter unsicherer Szenarien. Wie in Abbildung 4 dargestellt, kann die Verwirklichung der SOTIF-Sicherheitsziele in zwei Aspekte zerlegt werden: die Umwandlung des Unbekannten in das Bekannte und die Umwandlung des unsicheren in sicheres. Erstens helfen Aktivitäten wie SOTIF-Analyse und -Bewertung, Verifizierung und Bestätigung sowie die Sammlung, Aufzeichnung und Rückmeldung wichtiger Daten in der Betriebsphase, unbekannte Szenarien vollständig zu erkunden. Darüber hinaus zielt die Entwicklungsphase direkt auf die Verbesserung unzureichender Funktionen ab , Überwachung unbekannter Risiken und basierend auf der Betriebsphase ist die Verbesserung der Systemfunktionen zur Datenerfassung eine notwendige Aktivität, um unsichere Szenarien in sichere Szenarien umzuwandeln. Darüber hinaus sind Überprüfung und Bestätigung, Restrisikobewertung und Sicherheitsnachweis wichtige Aktivitäten dass die Restrisiken gering genug sind und somit eine Grundlage für die SOTIF-Veröffentlichung bilden. Im Folgenden werden die wichtigsten SOTIF-Sicherheitstechnologien für jede Aktivität aus der Entwicklungs- und Betriebsphase herausgearbeitet und eine detaillierte Diskussion über die Funktionsverbesserungstechnologie intelligenter Fahrzeugsysteme durchgeführt. F Abbildung 4 SOTIF-Garantieziel und Umsetzungsprozess

Entwicklungsphase SOTIF-Garantieschlüsseltechnologie

SOTIF-Garantieaktivitäten während der Entwicklungsphase der Systementwicklung umfassen hauptsächlich SOTIF-Analyse und -Bewertung, Verifizierung und Bestätigung, Funktionsverbesserung und Freigabe usw. Dieser Abschnitt konzentriert sich auf die Schlüsseltechnologien jedes Links. 1. SOTIF-Analyse und -Bewertung

Der Einsatz effektiver Sicherheitsanalysetechnologie kann die Effizienz, Vollständigkeit und Wissenschaftlichkeit der Identifizierung und Analyse von SOTIF-Gefahren, potenziellen Funktionsmängeln und auslösenden Bedingungen verbessern. Herkömmliche Sicherheitsanalysetechniken wie Fehlerbaumanalyse, Fehlermodus- und Auswirkungsanalyse, Gefahren- und Bedienbarkeitsanalyse usw. wurden bei der SOTIF-Analyse und -Bewertung angewendet. Neue Technologien, die durch intelligente Autos repräsentiert werden, haben zu Veränderungen in der Art von Unfällen geführt Neue Sicherheitsherausforderungen wie Typgefahren, verringerte Toleranz einzelner Unfälle, erhöhte Systemkomplexität und komplizierte Mensch-Computer-Interaktion erfordern effektivere Sicherheitsanalysetechniken. Die systemtheoretische Prozessanalyse (STPA) (siehe Abbildung 5) hat das Potenzial zur Analyse Komplexe Systeme, einschließlich der vier Schritte der Definition des Analysezwecks, des Aufbaus einer Kontrollstruktur, der Identifizierung unsicherer Kontrollverhaltensweisen und der Identifizierung von Kausalszenarien. Es wurde für die SOTIF-Analyse von Wahrnehmungs-, Entscheidungs- und vollständig autonomen Fahrsystemen verwendet. Allerdings ist die Verfügbarkeit einer einzelnen Technologie begrenzt und ihre jeweiligen Vorteile können kombiniert werden, um effektivere SOTIF-Analysetechniken zu entwickeln.

Abbildung 5 Implementierungsprozess der STPA-Technologie

Darüber hinaus wird die Einführung spezifischer Modellierungstechniken in der SOTIF-Analyse dazu beitragen, den Analyseeffekt weiter zu verbessern. Die durch die traditionelle STPA-Technologie aufgebaute Kontrollstruktur beschreibt die interne Betriebslogik des Systems, modelliert jedoch nicht die Beziehung zwischen Funktionen und Betriebsumgebung. Durch die Modellierung der Konvertierungsbeziehung werden Finite-State-Maschinen usw. verwendet Durch die Abhängigkeit vom Fahrzeugzustand und den Umgebungsbedingungen können Gefahren umfassender identifiziert werden. Das Kausalbeziehungsmodell ist hilfreich bei der Analyse von auslösenden Bedingungen, Leistungseinschränkungen oder Spezifikationsmängeln, die gefährlichen Verhaltensweisen entsprechen. Beispielsweise wurden Bayesianische Netzwerke verwendet, um hierarchische Abhängigkeiten zwischen wahrgenommenen Leistungseinschränkungen und szenenauslösenden Bedingungen in Kombination mit bedingten Glaubenstabellen zu konstruieren und P-Werte können verwendet werden, um diese Zusammenhänge quantitativ zu bewerten und neue auslösende Bedingungen aufzudecken. Darüber hinaus trägt das Aussortieren und Aktualisieren grundlegender Elemente wie Szenenelemente, Triggerbedingungen und Leistungsbeschränkungen in der frühen Phase und während des Prozesses sowie das Einrichten relevanter Zuordnungsbeziehungen dazu bei, die Effizienz und Vollständigkeit der SOTIF-Analyse zu verbessern.

Für die identifizierten SOTIF-Gefahren sollte eine Risikobewertung durchgeführt werden. Technologien wie STPA selbst haben nicht die Funktion der Risikoquantifizierung und müssen daher in mehreren Studien entsprechend erweitert werden und es in der SOTIF-Risikobewertung verwendet. Bayesianische Wahrscheinlichkeitsmodelle wurden als statistische Methode auch zur Quantifizierung von SOTIF-bezogenen Risiken und deren Grenzen verwendet. Aufgrund der zunehmenden Komplexität von Szenarien und statistischen Schwierigkeiten, der Abhängigkeit von Auslösebedingungen von Szenarien und der Unsicherheit von KI-Algorithmen war es der bestehenden Forschung jedoch noch nicht möglich, SOTIF-Risikodefinitionen und ihre Quantifizierungsmethoden zu klären und zu vereinheitlichen Es besteht ein dringender Bedarf, neue Methoden und Techniken für die quantitative SOTIF-Analyse zu erforschen und vorzuschlagen. Um die inakzeptable Komplexität von Smart-Car-HARA zu vermeiden, können außerdem Techniken wie Aufgabenzerlegung, Äquivalenzklassen- und Auswirkungsanalyse sowie Modellrekonstruktion kombiniert werden, um seine Komplexität zu verwalten.

2. SOTIF-Funktionsverbesserung

Als Reaktion auf unzumutbare Risiken, die durch unzureichende Funktionen verursacht werden, sollten Funktionsverbesserungen vorgenommen werden, um den unsicheren Bereich zu reduzieren. In dieser Phase gibt es viele funktionale Verbesserungstechnologien, die hauptsächlich in drei technische Wege unterteilt werden können: ① Leistungsverbesserung, z. B. Erhöhung der Leistungsobergrenze eines bestimmten Sensors oder Wahrnehmungsmodells selbst, ② Risikoüberwachung und -schutz, d. h. durch Auslösende Bedingungen (einschließlich vernünftigerweise vorhersehbarer Fehlbedienung), unzureichender Funktionsstatus usw. zur Überwachung von SOTIF-Risiken, um gezielte Schutztechnologien wie die Beseitigung von Risikoquellen, Funktionseinschränkungen oder Berechtigungsübertragungen usw. einzuführen. Darüber hinaus kann dies auch direkt erfolgen Überwachen Sie den Betriebsdesignbereich (Betriebsdesignbereich, Klärung, Überwachung und Begrenzung von ODD) und bieten Sie eine Referenz für den Risikoschutz. ③ Funktionale Redundanz, z. B. Entwurf redundanter Funktionsmodule zur Verbesserung der Gesamtleistung. In Abschnitt 3 werden die entsprechenden Funktionsverbesserungstechnologien für jedes Modul und jede Fahrzeugschicht des Smart Cars systematisch sortiert.

3. SOTIF-Überprüfung und -Bestätigung

Die Überprüfung und Bestätigung ist eine wichtige Aktivität, um unsichere Szenarien weiter zu entdecken und zu beweisen, dass SOTIF vollständig geschützt ist. Die SOTIF-Verifizierung zielt darauf ab, objektive Beweise zum Nachweis der Einhaltung spezifizierter Anforderungen zu liefern, einschließlich Sensoren, Sensoralgorithmen, Entscheidungsalgorithmen, Aktoren und integrierten Systemen usw. Verifizierungsindikatoren wie Genauigkeit, Zuverlässigkeit und Anti-Interferenz usw. Ziel der SOTIF-Validierung ist es, mithilfe angemessener Validierungsziele und -methoden zu beurteilen, ob Restrisiken unter bekannten und unbekannten unsicheren Szenarien akzeptabel sind. SOTIF-Bestätigungsziele werden verwendet, um die Bedingungen für die Erfüllung von Akzeptanzkriterien zu quantifizieren, mit denen Risikoakzeptanzprinzipien wie Risikotoleranz, positives Risikogleichgewicht, niedrigster vernünftigerweise machbarer und niedrigster endogener Wert basierend auf Unfallstatistiken, menschlicher Fahrerleistung usw. analysiert werden können. Sterblichkeitsrate usw .

SOTIF-Verifizierungsbestätigung muss die Wirksamkeit, Machbarkeit und Kosten der verwendeten Technologie umfassend berücksichtigen. Beispielsweise sind die Kosten für die Verifizierung basierend auf Analyse und Vergleich, Simulation, Software und Hardware-in-the-Loop und anderen Technologien relativ gering, aber die Gültigkeit und Anwendbarkeit der bereitgestellten Beweise ist begrenzt. Tests auf offener Straße können die realistischste Leistung des Fahrzeugs in der Umgebung widerspiegeln, was dazu beiträgt, die Grenzen empirischer Kenntnisse und Modelle zu durchbrechen und seltene Unbekannte zu gewinnen unsichere Szenarien, aber die Kosten für die alleinige Verwendung solcher Methoden sind inakzeptabel. In den letzten Jahren wurde szenariobasiertes Testen (siehe Abbildung 6) umfassend erforscht und praktiziert. Einerseits kann diese Methode Testressourcen sinnvoll zuweisen, indem sie verschiedene Plattformen wie Simulation, Software und Hardware-in-the-Loop sowie Teststandorte kombiniert, und die Testkosten durch die Kombination von Testszenario-Abdeckungsbewertung, Wichtigkeitsstichprobe und Gefahren weiter senken Verhaltensidentifizierung und andere Technologien; andererseits verwendet diese Methode Szenarien als Kern und kann zur SOTIF-Verifizierung in Szenarien verwendet werden, die potenzielle Auslösebedingungen enthalten. Sie kann auch die SOTIF-Bestätigung durch Stichprobentests basierend auf der tatsächlichen Szenarioverteilung oder der vollständigen Erkundung unterstützen unbekannte Szenarien.

Abbildung 6 Szenariobasierte Testmethode und -prozess

Die Generierung spezifischer Szenarien oder Anwendungsfälle ist eine Voraussetzung für die Verifizierung und Bestätigung Es wird hauptsächlich in wissensgesteuert und datengesteuert unterteilt. Ersteres kann sich auf Expertenwissen, Standards und relevante Erfahrungen usw. beziehen. Typische Methoden sind Ontologie, während letztere im Allgemeinen auf natürlichen Fahr- oder Unfalldaten zur Extraktion basieren. Abhängig von den Generierungszielen umfasst es hauptsächlich die Zufallsszenengenerierung und die Schlüsselszenengenerierung. Schlüsselszenen können aus der Zuordnung und Kombination identifizierter potenzieller Auslösebedingungen abgeleitet oder automatisch durch die Definition von Indikatoren wie der Gefahrenstufe der Szene generiert werden. Die kontradiktorische Beispielgenerierung ist eine effektive Methode zur Generierung von Schlüsselszenarien. Sie kombiniert Informationen wie Gradienten, um automatisch sicherheitskritische Szenarien zu generieren, die mit größerer Wahrscheinlichkeit unzureichende Systemfunktionen auslösen, wodurch die Testeffizienz verbessert wird ist eine Garantie. Es ist eine wichtige Voraussetzung für die Testeffektivität, und eine akzeptable Störungserzeugung ist eine wichtige Technologie, um die oben genannten Ziele zu erreichen. Darüber hinaus ist eine geeignete Funktionszerlegung von großer Bedeutung, um die Parameterraumexplosion zu überwinden und den Testaufwand zu reduzieren. Bei der Erstellung von Szenarien für verschiedene Funktionsmodule sollten differenzierte Überlegungen angestellt werden. Sie können wählen, ob Sie Regenszenen wie Schnee und Nebel oder bestimmte Zielerkennungsobjekte in das Entscheidungsmodul einbeziehen möchten. Es kann sich auf die Auswahl von Szenarien wie Verkehrsbeeinträchtigungen für Steuerungen und Aktoren sowie Szenarien einschließlich extremer Arbeitsbedingungen konzentrieren Bedingungen, raue Straßen und Umgebungsbedingungen müssen wichtige Überlegungen sein.

Die Auswahl spezifischer Szenarien aus den generierten Szenarien oder Szenariobibliotheken ist ein wichtiger Schritt bei der Bestimmung der Testrepräsentativität, -abdeckung und -kosten. Der Parameterraum ist komplex und kontinuierlich, sodass abhängig von den vorherigen Informationen zu den Szenarioparametern eine Stichprobenmethode verwendet werden kann . Es ist unterteilt in eine Stichprobe basierend auf dem Parameterbereich und eine Stichprobe basierend auf der Parameterverteilung. Zu den typischen Technologien der ersteren gehören kombinatorische Tests, interaktives experimentelles Design, Randomisierungstechnologie usw.; zu den typischen Technologien der letzteren gehören Monte-Carlo-Stichproben usw. Beschleunigtes Testen ist eine wichtige Möglichkeit, die Testkosten zu senken. Zu den typischen Techniken gehören Extremwerttheorie, Wichtigkeitsstichprobe und Markov-Ketten-Monte-Carlo. Darüber hinaus konzentrieren sich einige Forschungsarbeiten auf die Szenarioauswahl auf der Grundlage von Falsifikationen, z. B. das Screening von Schlüsselszenarien unter Berücksichtigung von Merkmalen wie Unfalldaten oder Szenariokritikalität und -komplexität oder die Verwendung von Simulationen für adaptive Stresstests, alternative Modellierung und stochastische Optimierung sowie adaptive Suche .

Die Testplattform umfasst virtuelle Simulation, Software und Hardware-in-the-Loop, Vehicle-in-the-Loop und Teststandort usw. Die Testauthentizität nimmt schrittweise zu, die Testkosten, das Sicherheitsrisiko und die Skalierbarkeit jedoch schrittweise Um die begrenzten Ressourcen voll auszunutzen, sollte der Einsatz von Simulations- und In-the-Loop-Testtechnologien unter der Voraussetzung, dass die Testanforderungen erfüllt werden, Vorrang haben. Darüber hinaus kann die Anwendbarkeit von Simulations- und In-the-Loop-Testtechniken durch die Entwicklung von Sensormodellen mit hoher Wiedergabetreue (z. B. unter Verwendung phänomenologischer Modelle) weiter verbessert werden.

Bewertungsindikatoren sind die Grundlage für die Beurteilung, ob ein System oder eine Komponente bestimmte Anforderungen erfüllt oder das Restrisiko gering genug ist. Traditionelle Sicherheitsindikatoren können subjektiv/objektiv, mikro/makro, kurzfristig/langfristig und andere sein , werden jedoch hauptsächlich zur Bewertung des gesamten Fahrzeugverhaltens verwendet und sind derzeit nicht auf bestimmte Funktionskomponenten anwendbar. Die Bewertung von Wahrnehmungs-, Vorhersage- und anderen Modellen weist auch Probleme wie unterschiedliche Standards auf, wobei der Schwerpunkt hauptsächlich auf der Genauigkeitsbewertung und der unzureichenden Berücksichtigung der Sicherheit liegt . Daher müssen SOTIF-Indikatoren vorgeschlagen werden, die für die Funktionsbewertung intelligenter Autos geeignet sind.

Darüber hinaus verwendet die formale Verifizierungstechnologie mathematische Modellierungsmethoden, um die Systemkorrektheit und strenge Verifizierungsergebnisse sicherzustellen, sodass sie für sicherheitskritische Systeme wie intelligente Autos von großer Bedeutung ist. Im Hinblick auf die Überprüfung des Fahrzeugverhaltens haben Technologien wie Theoremprüfung und Erreichbarkeitsanalyse große Aufmerksamkeit erhalten. Im Hinblick auf die Systemintegration kann die formale Überprüfung verwendet werden, um die Korrektheit der Integration verschiedener Komponenten (z. B. Controller) zu standardisieren Darüber hinaus werden formale Methoden verwendet. Der durch maschinelles Lernen repräsentierte KI-Bereich wurde ausführlich untersucht und kann weiter verwendet werden, um verwandte Funktionsmodule wie Wahrnehmung und Vorhersage zu verifizieren. Die Implementierungskosten dieser Technologie sind jedoch hoch und ihre Skalierbarkeit auf komplexe Systeme, offene Szenarien und Black-Box-Modelle ist begrenzt, sodass sie noch weiterer Erforschung und Verbesserung bedarf.

Zusammenfassend lässt sich sagen, dass es derzeit eine Vielzahl von Technologien gibt, die für die SOTIF-Verifizierung und -Bestätigung verwendet werden können, und dass die Ergebnisse durch die Kombination der Vorteile verschiedener Technologien weiter verbessert werden können. Allerdings steht die SOTIF-Verifizierung und -Bestätigung aufgrund komplexer und veränderlicher Szenarien und Long-Tail-Effekte, komplexer und vielfältiger Smart-Car-Systeme und schneller Update-Iterationen sowie des Fehlens von SOTIF-Bewertungsspezifikationen immer noch vor großen Herausforderungen.

4. SOTIF-Release

Am Ende der Entwicklungsphase muss nachgewiesen werden, ob das System den SOTIF-Release-Richtlinien entspricht. Schwalb et al. schlugen einen probabilistischen Rahmen zur schrittweisen Quantifizierung des SOTIF-Restrisikos vor. Darüber hinaus kann nach den oben genannten Aktivitäten wie Analyse und Bewertung, Designverbesserung und Verifizierungsbestätigung ein vollständiges Sicherheitsdokument erstellt und anschließend Technologien wie Zielstrukturdarstellung und erweitertes Beweisnetzwerk zur Durchführung von Sicherheitsdemonstrationen verwendet werden Misra schlug eine Zustandsmaschine vor, um erwartete Funktionen zu untersuchen und entsprechende Sicherheitsaussagen zu bestätigen. Auf dieser Grundlage wird eine SOTIF-Argumentationsstruktur basierend auf der Zielstrukturdarstellung erstellt.

Neben den gezielten Assurance-Technologien für die oben genannten Aktivitätsstufen ist auch die Optimierung des Systementwicklungsprozesses eine wichtige Richtung der SOTIF-Assurance. Beispielsweise kann der Einsatz agiler Systementwicklung die Effizienz der Systementwicklung verbessern , Wirtschaftlichkeit und Rückverfolgbarkeit. Darüber hinaus haben einige Wissenschaftler versucht, formale Methoden, Regelhandbücher usw. in den Entwicklungsprozess des SOTIF-Systems zu integrieren und dabei zunächst Optimierungseffekte wie eine Beschleunigung der Entwicklung, eine Verbesserung der Nachvollziehbarkeit und Auswertbarkeit erzielt. Allerdings weisen diese Methoden selbst noch Probleme in Bezug auf Komplexität, Skalierbarkeit und Anwendbarkeit auf. Darüber hinaus befindet sich ihre Kombination mit SOTIF noch im Erkundungsstadium und hat nur begrenzte richtungsweisende Bedeutung für den tatsächlichen Entwicklungsprozess.

Schlüsseltechnologien zur Verbesserung intelligenter Autofunktionen

Die Realisierung intelligenter Autofunktionen hängt von jedem Untermodul ab, wie in Abbildung 7 dargestellt. Unter dem Einfluss auslösender Bedingungen wie vernünftigerweise vorhersehbarem Missbrauch können unzureichende Funktionen wie Wahrnehmung, Positionierung, Entscheidungsfindung und Kontrolle zu SOTIF-Schäden führen, und je nach den Merkmalen jedes Moduls können gezielte Verbesserungen vorgenommen werden. In diesem Abschnitt werden jeweils vier Aspekte zusammengefasst: Wahrnehmungspositionierung, Entscheidungskontrolle, vernünftigerweise vorhersehbare Missbrauchsverarbeitung und Verbesserung der Fahrzeugschichtfunktion.

Abbildung 7: SOTIF-Probleme auf verschiedenen Ebenen intelligenter Autos Seine Funktionsverbesserungen zielen hauptsächlich auf Einschränkungen der Sensorleistung und unzureichende Funktionen des Wahrnehmungsmodells ab.

a, Verbesserung der Sensor- und Wahrnehmungsmodellleistung

Verwenden Sie die Sensoroptimierungstechnologie, um die grundlegende Leistung wie Erkennungsbereich, Genauigkeit und Anti-Interferenz-Fähigkeit zu verbessern, um beispielsweise das Problem anzugehen, dass Lidar anfällig ist Um Regen-, Nebel- und Staubstörungen zu vermeiden, gibt es viele Subecho-Technologien und Oberflächenlasertechnologien usw. Darüber hinaus ist die Leistungsverbesserungstechnologie für das Wahrnehmungsmodell eng mit dem verwendeten Wahrnehmungsalgorithmus verbunden. In dieser Phase verwendet die Wahrnehmungsfunktion von Smart Cars im Allgemeinen Algorithmen für maschinelles Lernen, um die Leistung des Wahrnehmungsmodells zu verbessern hauptsächlich in die folgenden Aspekte unterteilt werden. (1) Verbesserung der Trainingsdaten. Erstens kann die Fülle der Trainingsdaten durch den Einsatz umfangreicher, kostengünstiger Datenerfassungslösungen in Kombination mit automatischen/halbautomatischen Annotationsmethoden verbessert werden, um die Kosten zu senken und dadurch die Menge der Trainingsdaten zu erhöhen. Darüber hinaus kann die Datenerfassungstechnologie verbessert werden, um die Datenqualität zu verbessern, und Datenbereinigungs-, Filter- und Korrekturtechnologien können kombiniert werden, um Trainingsdatenprobleme zu reduzieren, die durch Erfassungs- oder Kennzeichnungsfehler verursacht werden. Darüber hinaus kann der Trainingseffekt durch eine sinnvolle Verteilung der Trainingsdaten verbessert werden.

(2) Verbesserung des Trainingsmodells. Das Design der Modellarchitektur wirkt sich direkt auf die Wahrnehmungsleistung aus. Aufgrund der natürlichen Vorteile von Faltungs-Neuronalen Netzen für die Bildinformationsverarbeitung ist die Leistung des mit diesem Design hinzugefügten Netzwerks im Allgemeinen besser als die eines einfachen mehrschichtigen Perzeptrons Netzwerk. Die Optimierung des Designs von Wahrnehmungsmodellen ist derzeit die Hauptforschungsrichtung in Bereichen wie Computer Vision, sodass auch die Wahrnehmungsleistung rasch verbessert wurde. Darüber hinaus kann durch die Optimierung des Modelldesigns auch die Erkennungswirkung bei unbekannten Objekten verbessert und so Restrisiken reduziert werden.

(3) Verbesserung des Trainingsprozesses. Um das Problem unzureichender Trainingsdaten oder potenziell unbekannter Szenarien anzugehen, können Technologien wie Datenverbesserung, Transferlernen und aktives Lernen eingesetzt werden, um die Nutzungseffizienz begrenzter Daten oder Etiketten zu verbessern. Dazu gehört auch die Datenverbesserung für Wahrnehmungsalgorithmen Neben herkömmlichen Methoden wie dem Spiegeln und Zuschneiden von Bildern ist die Darstellung von Regen-, Schnee- und Nebelwetterbedingungen auch eine Möglichkeit, die wahrgenommene Leistung bei schlechtem Wetter zu verbessern. Um das Problem potenziell unzureichender Funktionalität anzugehen, können Techniken wie das kontradiktorische Training dazu beitragen, Modellfehler zu reduzieren und seine Robustheit auf der Grundlage begrenzter Daten zu verbessern. Darüber hinaus kann die Verbesserung der Verlust- oder Belohnungsfunktion und der rationale Einsatz von Techniken wie Normalisierung und Regularisierung dazu beitragen, die Modellleistung weiter zu verbessern.

b. Wahrgenommene SOTIF-Risikoüberwachung und -schutz

Unterteilen Sie wahrgenommene SOTIF-Risikoquellen in externe Auslösebedingungen und interne Funktionsmängel, die als Referenz für die Risikoüberwachung verwendet werden können. Unter diesen sind widrige Wetterbedingungen wie Regen, Schnee, Nebel und Hagel wichtige Auslösebedingungen für die Erkennung von SOTIF-Problemen. Einige Studien haben ihre Auswirkungsbeziehung durch experimentelle Analyse festgestellt und eine Grundlage für die Überwachung externer Auslösebedingungen geschaffen. Die Überwachung widriger Wetterbedingungen kann mithilfe spezifischer Umgebungsmodelle oder Wettersensoren erfolgen. Beispielsweise umfassen Fahrzeugregensensoren kapazitive, optische, piezoelektrische, resistive, CCD-Bildgebungs- und andere Arten, kombiniert mit Statistiken oder Deep-Learning Daten von Kameras etc. können auch direkt zur Überwachung von Unwettern bzw. der dadurch verursachten Störungen genutzt werden. Darüber hinaus konzentrieren sich einige Studien auf die direkte Überwachung der Wahrnehmungsleistungsschwäche, beispielsweise durch Modifizierung des Modells, Anpassung des Trainingsprozesses und Einführung anderer Informationen, um eine Online-Schätzung der Wahrnehmungsleistung zu erreichen.

Kann eine Störungsbeseitigung für Sensordaten durchführen, die durch Umgebungsbedingungen beeinflusst werden. Erstens kann die interne Abstimmung der Sensorparameter genutzt werden, um die Datenqualität bei Unwettern zu verbessern. Darüber hinaus können Störungen durch das Hinzufügen zusätzlicher Geräte beseitigt werden, z. B. durch Entfernen von Schmutz auf dem Sensor mit Flüssigkeit oder Wischern, und es kann ein Selbsterwärmungsgerät hinzugefügt werden, um Beeinträchtigungen der Kamera durch Regen, Schnee, Eis oder Frost zu verhindern. Darüber hinaus können Vorverarbeitungstechniken wie die Datenentrauschung auch zur Entfernung von Umgebungsstörungen eingesetzt werden. Zu den typischen Algorithmen zur Bildbeseitigung gehören beispielsweise Bildverbesserung, Bildwiederherstellung auf der Grundlage atmosphärischer Degradationsmodelle und andere auf Deep Learning basierende Methoden Die Regentechnologie ist hauptsächlich in zwei Kategorien unterteilt: Entfernung von Regentropfen (an der Linse haftend) und Entfernung von Regentropfen (in der Luft verteilt). Einige kommerzielle Produkte verfügen bereits über automatische Bildkorrekturfunktionen, die Regentropfen durch pixelorientierte Auswertung filtern können und Schneeflocken.

Darüber hinaus können Sie den Schritt zur Beseitigung von Störungen überspringen und die Fähigkeit des Wahrnehmungsmodells zur Verarbeitung von Daten, die Störungen enthalten, direkt verbessern. Beispielsweise haben Huang et al. einen neuen Typ eines Dual-Subnetz-Netzwerks eingeführt, um das Problem der Zielerkennung in nebligen Bildern zu lösen. Die Erkennungsleistung ist jedoch besser als bei vielen fortschrittlichen Zieldetektoren und dem kombinierten Modell der „Entnebelung“. + Erkennung".

c. Redundanz der Wahrnehmungsfunktion

Angesichts der Leistungsbeschränkungen eines einzelnen Sensors und seines Wahrnehmungsmodells ist die Multisensorfusion eine wichtige Verbesserungstechnologie. Erstens kann eine ähnliche Sensorfusion die Erfassungsreichweite durch die rationelle Anordnung mehrerer Sensoren erhöhen, z. B. durch die Anordnung mehrerer Kameras um das Fahrzeug herum, um eine 360°-Wahrnehmungsperspektive zu erhalten. Darüber hinaus hilft die Sensorfusion mehrerer Typen, die inhärenten Einschränkungen zu überwinden Leistungseinschränkungen erhöhen die Vielfalt und Genauigkeit der Erfassung von Umgebungsinformationen, z. B. die Nutzung des Vorteils von Lidar bei der genauen Entfernungsmessung, um den Mangel an Kamerafunktionalität auszugleichen, oder die Kombination redundanter Informationsanalyse zur Bestimmung von Sensoranomalien. Entsprechend den Eigenschaften der fusionierten Sensoren kann sie in Fusion basierend auf verschiedenen Kombinationen von Kameras, Lidar und Radar unterteilt werden. Je nach Ebene der Fusionsinformationen kann sie in Fusion auf Datenebene, auf Merkmalsebene und auf Zielebene unterteilt werden ; gängige Fusionsmethoden wie die adaptive gewichtete Durchschnittsmethode, Clustering-Klassenalgorithmen, Bayes'sche Inferenz usw. Die aktuelle Forschung berücksichtigt die Auswirkungen auslösender Bedingungen wie Unwetter, hat viele Untersuchungen zu optimaler Fusionsarchitektur, Modelldesign, Trainingsstrategien, multimodalen Datensätzen usw. durchgeführt und einige bedeutende Ergebnisse erzielt. Darüber hinaus ist die Einführung von Straßen- und Stadtsensorinformationen zur Erzielung integrierter kollaborativer Sensorlösungen in komplexen städtischen Verkehrsszenarien auch eine wichtige Forschungsrichtung zur Lösung des Problems unzureichender Fahrradsensorfunktionen.

d, Verbesserungen der Positionierungsfunktion

Die Implementierung der Positionierungsfunktion umfasst hauptsächlich die absolute Positionierung basierend auf globalen Navigationssatellitensystemen und die relative Positionierung basierend auf gleichzeitiger Positionierung und Kartenkonstruktion (simultane Lokalisierung und Kartierung, SLAM). Zu den typischen SOTIF-Problemen gehören Mehrwegephänomene, die durch Gebäudereflexionen, Positionsverwirrung oder Positionssignalverlust durch Hindernisse wie Verkehrsanlagen oder Bergschluchten verursacht werden. Zur Behandlung des Positionssignals können Methoden wie der GPS-Höhen- oder Luftdruck-Absolutwertvergleich verwendet werden Verwirrung in erhöhten Abschnitten; Letzteres umfasst hauptsächlich SLAM-Positionierung basierend auf Kameras oder Lidar usw. Daher ähneln die damit verbundenen SOTIF-Probleme der Wahrnehmung, wie z. B. schlechtes Wetter, das zu einer verringerten Positionierungsgenauigkeit usw. führt, was verbessert werden kann durch Technologien wie Multisensorfusion und Algorithmenoptimierung.

2 Verbesserung der Entscheidungskontrollfunktion

a, Klassifizierung der Entscheidungsmethode und Leistungsverbesserung

Die aktuellen gängigen Entscheidungsmethoden umfassen zwei Kategorien: regelbasierte Entscheidungsfindung und lernbasierte Entscheidungsfindung. Herstellung. Die Vorteile des ersteren sind eine starke Interpretierbarkeit, eine einfache Einführung von Expertenerfahrung und eine hohe Zuverlässigkeit. Allerdings ist es anfällig für Einschränkungen wie unzureichende Spezifikationen, unzureichende kognitive Argumentationsfähigkeiten in dynamischen und komplexen Szenarien, unzureichende Generalisierung und unzureichende Skalierbarkeit des Algorithmus. Als Reaktion auf die oben genannten Probleme kann zunächst die Entscheidungslogik durch Methoden wie Erfahrungsakkumulation und Brainstorming kontinuierlich optimiert werden, und Systemanalysetechniken wie STPA haben auch eine gewisse leitende Bedeutung für die Verbesserung der Vollständigkeit der Entscheidungsregeln Design. Darüber hinaus kann die Einführung neuer Modellierungstheorien sowie Informationen und Techniken wie Szenariovorlagen die Generalisierbarkeit von Entscheidungsmethoden auf komplexe und unbekannte Szenarien verbessern. Darüber hinaus kann die Einführung eines separaten Vorhersagemoduls die Entscheidungsfähigkeit zur Erkennung des Szenarios verbessern und so die Mängel des ursprünglichen Modells ausgleichen.

In den letzten Jahren konzentrierte sich die Forschung immer mehr auf lernbasierte Entscheidungsmethoden, wie zum Beispiel Nachahmungslernen und Verstärkungslernen. Die Verbesserungsideen für diese Art von Methode ähneln der oben erwähnten Leistungsverbesserung des Wahrnehmungsmodells, das heißt, die Entscheidungsleistung kann durch Verbesserung der Trainingsdaten, des Modells und des Trainingsprozesses verbessert werden.

b. Entscheidungsfindung SOTIF-Risikoüberwachung und -schutz

Das Entscheidungsfunktionsmodul formuliert entsprechende Strategien basierend auf den erhaltenen Umgebungsinformationen. Unter der Annahme, dass die vom Erfassungspositionierungsmodul erhaltenen Informationen genau genug sind, ergibt sich das Entscheidungs-SOTIF-Risiko hauptsächlich aus den Auslösebedingungen in der Betriebsumgebung (z. B sowie die Herausforderungen, die Verkehrsstörungen für den Entscheidungsalgorithmus darstellen) und Entscheidungsfindung Die Sicherheitsprobleme, die durch die unzureichenden Funktionen des Moduls selbst verursacht werden, entsprechen den beiden Hauptfaktoren, die bei seiner Risikoüberwachung und -absicherung berücksichtigt werden.

Triggerbedingungen in der Umgebung, wie z. B. bestimmte Straßentypen, können durch OOD usw. eingeschränkt werden, kombiniert mit Analyse-, Bewertungs- und Verifizierungsbestätigungsergebnissen, um die auf das Entscheidungsmodell anwendbare ODD schrittweise zu klären und so zu verwenden Es dient als Referenz für die Überwachung des Umweltzustands und nutzt Technologien wie Karten, Positionierung und spezifische Szenenerkennung, um aktuelle Risiken in Echtzeit zu ermitteln. Mit Blick auf die unsicheren Bewegungen von Verkehrsteilnehmern in der Umgebung können durch die Entwicklung entsprechender Risikoquantifizierungsmodelle und risikosensitiver Sicherheitsentscheidungsmethoden sicherere Entscheidungsergebnisse erzielt werden. Darüber hinaus kann Technologie zur Erkennung abnormalen Verhaltens eingesetzt werden, um unerwarteten Verkehr zu erkennen Teilnehmer in der Umgebung.

Angesichts der potenziellen Funktionsmängel des Entscheidungsmoduls selbst wurde die formale Verifizierungstechnologie im Bereich der Entscheidungssicherheitsüberprüfung umfassend untersucht. Die Grundidee besteht darin, zu überprüfen, ob die aktuellen Entscheidungsergebnisse vorhanden sind unter einer bestimmten Annahme einen Unfall verursachen, und die Rationalität der Annahme ist auch ein wichtiger Faktor, der den Sicherheitsüberprüfungseffekt beeinflusst. Darüber hinaus ist das Entscheidungsmodul in zwei wichtige Untermodule unterteilt: Vorhersage und Verhaltensauswahl. Die Quantifizierung der unzureichenden Vorhersagefunktion kann zur Risikoüberwachung und zum Schutz verwendet werden, wie in Abbildung 8 dargestellt. Eine sichere Entscheidungsfindung wird durch die Quantifizierung und Verbreitung von Unsicherheiten in Vorhersagemodellen ermöglicht. Abbildung 8: Sicherheitsentscheidungen unter Berücksichtigung der Prognoseunsicherheit kann zur Risikominderung eingesetzt werden.

c. Redundanz der Entscheidungsfunktion

Angesichts der Einschränkungen des Einzelklassen-Entscheidungsmodells kann die hybride Entscheidungsfindung (siehe Abbildung 9) komplementäre Vorteile nutzen, um die Funktion weiter zu verbessern . Beispielsweise ist es schwierig, hochdimensionale Unsicherheitsumgebungen mit regelbasierter Entscheidungsfindung zu modellieren, aber ihre Interpretierbarkeit und Zuverlässigkeit können lernbasierte Entscheidungsfindung wettmachen. Am Beispiel der selbstlernenden hybriden Entscheidungsfindung, die Regeln integriert, umfasst sie die Anpassung der Belohnungsfunktion durch Wissen oder Regeln, die Anpassung des Erkundungsprozesses, die Anpassung der Ausgabeaktion oder die Anpassung des Iterationsprozesses des Strategietrainings usw., was zu einer Verbesserung führen kann die Verlässlichkeit der Entscheidungsergebnisse. Darüber hinaus bieten technologische Entwicklungen wie die Cloud-Zusammenarbeit zwischen Fahrzeugen und Straßen und Cloud-Steuerungssysteme eine starke Unterstützung für die Entscheidungsfindung im Sicherheitsbereich. Die Einführung von Informationen zur Verkehrsstatusüberwachung, Steuerungsanweisungen für Makroentscheidungen, Unterstützung der Rechenleistung und andere von der Cloud bereitgestellte Unterstützung und Straßenrand können die Probleme unzureichender Funktionalität von Bord-Entscheidungssystemen lindern.

Abbildung 9 Allgemeiner Rahmen der hybriden Entscheidungsfindung

d. Verbesserung der Kontrollfunktion

Das SOTIF-Problem umfasst hauptsächlich zwei Aspekte: (1) Steuerung Die Einschränkungen der dynamischen Modellierungsschicht führen zu einer unzureichenden Darstellung der Fahrzeugdynamikeigenschaften, und der Controller selbst weist auch Leistungseinschränkungen auf, z. B. die Echtzeitleistung (2). Der Aktuator weist Grenzen für die Ausführungsgenauigkeit, die maximale Lenk- oder Bremsfähigkeit und die reale Leistung auf -Zeitreaktionsfähigkeiten und andere Einschränkungen und können durch äußere Störungen wie Straßenverhältnisse, Maschinen, starken Wind usw. beeinflusst werden. Daher kann sich die Funktionsverbesserung hauptsächlich auf die beiden oben genannten Aspekte konzentrieren, z. B. die Verbesserung der Leistung der Aktorgenauigkeit, der Reaktionszeit usw., die Überwachung risikoreicher Arbeitsbedingungen zum Schutz, das Hinzufügen neuer Controller oder Aktoren zur Erzielung von Redundanz usw.; Auf der Algorithmenebene sind robuste fehlertolerante Steuerungen usw. typische Technologien zur Verbesserung von Steuerungsmodellen.

3. Der Umgang mit vernünftigerweise vorhersehbarem Missbrauch

Die vollständige Identifizierung von vernünftigerweise vorhersehbarem Missbrauch in der Analyse- und Bewertungsphase ist eine wichtige Voraussetzung für den Umgang mit solchen Risiken. STPA und andere Technologien können zur Unterstützung der Analyse eingesetzt werden. Es gibt viele Möglichkeiten, potenziellem Missbrauch entgegenzuwirken: Erstens kann die Optimierung von Benutzerhandbüchern und Schulungen den Missbrauch durch Fahrer und Passagiere aufgrund unklarer Regeln oder unzureichender Kenntnisse reduzieren. Während der Fahrt kann eine Frühwarnung durch die Überwachung des Status von Fahrern und Passagieren erhalten werden, z. B. Haltungsstatus, extrem abnormaler Status, Sicherheitsgurtstatus usw. Zu den typischen Methoden zur Erfassung von Überwachungsinformationen gehören Fahrerüberwachungskameras, Sitzpositionen, Lenkradsensoren usw . schlugen Abbood et al. ein Ermüdungserkennungs- und Vorhersagemodell vor, das Sensorinformationen wie Pupillenreaktionen und EEG-Signale sowie maßgeschneiderte Informationen wie Fahrerprofile zur Verhaltensvorhersage und -intervention nutzt. Wenn potenzielle Risiken erkannt und eingegriffen werden, können Warnungen oder Verhaltensvorschläge durch visuelle, akustische, taktile und andere interaktive Formen bereitgestellt werden. Koo et al Die durch das halbautonome Fahren übertragenen Informationen wirken sich auf die Einstellung und Sicherheit des Fahrers aus und schlagen vor, dass die Menge und Art der bereitgestellten Informationen angemessen reguliert werden muss. Darüber hinaus kann die Sicherheit im Hinblick auf unvermeidbare potenzielle Fehlbedienungen verbessert werden, indem funktionale Bedienmethoden entworfen werden, die schwer zu implementieren sind (z. B. Sitze, Tastenpositionen oder Aktivierungsaktionen), und Einschränkungen der Macht von Fahrern und Passagieren in bestimmten Szenarien, wie z B. in Hochgeschwindigkeitsszenarien. Deaktiviert die Aktivierung der automatischen Stadtparkfunktion.

4. Verbesserung der Fahrzeugschichtfunktionen

Intelligente Autos integrieren komplexe Interaktionen mehrerer Module, und die Verbesserung eines einzelnen Funktionsmoduls reicht nicht aus, um SOTIF vollständig zu gewährleisten: Einerseits das SOTIF-Problem, das jedem Modul entspricht ist schwer vollständig zu beseitigen und das gesamte Fahrzeug muss optimiert werden. Das System ist darauf ausgelegt, Restrisiken zu minimieren. Andererseits können unzureichende Spezifikationen im Fahrzeugdesign dennoch zu gefährlichen Verhaltensweisen führen, auch wenn jedes Funktionsmodul die erwartete Funktion erfüllen kann . Daher sollten das Problem unzureichender Funktionen jedes Moduls und die Auslösebedingungen, mit denen es konfrontiert ist, umfassend auf Fahrzeugebene berücksichtigt werden, um Systemlösungen zu formulieren.

Beim Entwurf des Fahrzeugsystems sollte die Ausbreitung des SOTIF-Risikos zwischen verschiedenen Funktionsmodulen vollständig berücksichtigt werden. In den letzten Jahren haben sich immer mehr Studien auf die Systematik und Komplementarität zwischen den Upstream- und Downstream-Funktionen intelligenter Autos konzentriert. Die Annahme über die perfekte Leistung des Upstream-Erkennungs- und Positionierungsmoduls im oben genannten Entscheidungsrisiko von SOTIF ist tatsächlich schwierig Angesichts der Probleme, die durch die unzureichende Erfassungs- und Positionierungsfunktion verursacht werden, kann dies durch Entscheidungsdesign ausgeglichen werden. Durch die Berücksichtigung einer unzureichenden Wahrnehmung, die durch Sensoreingangsrauschen und -verdeckung im Entscheidungsmodul verursacht wird, sowie durch Informationen wie Kategorieunsicherheit und Positionsunsicherheit in den Wahrnehmungsergebnissen können beispielsweise die Auswirkungen einer unzureichenden Wahrnehmungsfunktion auf die Fahrzeugsicherheit gemildert werden. Darüber hinaus können Risiken aufgrund unzureichender Sensor- oder Entscheidungsfunktionen durch Steuerungsmodule gemindert werden.

Darüber hinaus konzentrieren sich einige aktuelle Forschungsarbeiten auf die Entwicklung des System-Selbstbewusstseins (Selbstbewusstseins), wodurch das umfassende Bewusstsein und die Risikoschutzfähigkeiten der externen Betriebsumgebung und des internen Funktionsstatus verbessert werden. Die Verwirklichung des Selbstbewusstseins erfordert ein umfassendes Verständnis der Systemarchitektur und ihrer Module auf der gesamten Fahrzeugebene, wie z. B. die Erstellung einer Fähigkeitskarte, einer Fähigkeitskarte und einer mehrschichtigen Ansicht der gesamten Fahrzeugarchitektur für intelligente Autos sowie deren Integration in den Entwicklungsprozess einfließen; Basierend auf dem Selbstbewusstsein des Fahrzeugs kann eine Systemsicherheitsüberwachung durchgeführt werden, z. B. durch die Verwendung von Umgebungssensoren und fahrzeugeigenen Sensoren zur Wahrnehmung und Darstellung interner und externer Zustände sowie durch die Kombination von Sicherheitsentscheidungen oder Systemselbst -Regulierungstechnologie zur Erreichung des Risikoschutzes.

Da die Komplexität des Systems und der Kopplungsgrad der einzelnen Module zunehmen, steigt auch die Nachfrage nach umfassenden technischen Lösungen zur SOTIF-Verbesserung auf Fahrzeugebene. Diese wird jedoch durch unklare Risikomechanismen und quantitative Indikatoren eingeschränkt Überwachungstechnologie und Systemarchitektur Die aktuelle Technologie ist immer noch schwierig, Probleme wie die Vielfalt der Funktionsmodule und die Schwierigkeit, komplexe Systeme zu analysieren, effektiv zu bewältigen. Das SOTIF-Risikoschutzsystem auf Fahrzeugebene muss weiterentwickelt werden (siehe Abbildung 10), und die Systemgarantie von SOTIF kann durch umfassende Berücksichtigung der vertikalen Ausbreitung von SOTIF-Risiken und Gesamtüberwachung erreicht werden.

Abbildung 10 SOTIF-Risikoschutzsystem auf Fahrzeugebene

SOTIF garantiert Schlüsseltechnologien während der Betriebsphase

Die Einhaltung der SOTIF-Freigaberichtlinien bedeutet nicht die vollständige Beseitigung von Risiken. Einerseits wird es aufgrund der Langzeitwirkung des Szenarios zwangsläufig zu Funktionsmängeln oder auslösenden Bedingungen kommen, die in der Entwicklungsphase nicht berücksichtigt wurden; andererseits werden Faktoren wie Umgebung, Infrastruktur, Richtlinien usw. berücksichtigt Vorschriften, Verhaltensgewohnheiten usw. können sich von denen in der Entwicklungsphase unterscheiden, was zu neuen unbekannten unsicheren Szenarien führt, wie in Abbildung 11 dargestellt. Um die oben genannten unbekannten Risiken effektiv zu bewältigen, können einige Technologien zur SOTIF-Sicherung während der Betriebsphase eingesetzt werden, die hauptsächlich zwei Kategorien umfassen: kurzfristiger Risikoschutz und langfristige Funktionsverbesserung.

# 🎜 🎜#Abbildung 11 Analyse unbekannter Risikoquellen während der Betriebsphase

Der kurzfristige Risikoschutz zielt auf den Echtzeitschutz vor Unbekanntem ab Risiken während der Betriebsphase Der Schlüssel liegt in der Risikoüberwachung. Anomalieerkennungstechnologie kann verwendet werden, um Eingaben zu identifizieren, die von normalen Dateninstanzbereichen abweichen, und ihnen Anomaliebewertungen oder -bezeichnungen zuzuweisen. Sie verfügt über bestimmte Überwachungsfunktionen für unbekannte Risiken, die durch Verteilungsverschiebungen oder Eingaben außerhalb der Verteilung verursacht werden. Halbüberwachte und unüberwachte Methoden sowie andere Methoden wurden zunächst für Aufgaben wie semantische Segmentierung und visionsbasierte sichere Navigation eingesetzt.

Darüber hinaus haben Henriksson et al. einen strukturierten Deep-Learning-Monitor-Bewertungsrahmen vorgeschlagen, der 7 Bewertungsindikatoren zum Vergleich verwendet Die Leistung von zwei Arten von Monitoren (Faltungs-Neuronale-Netzwerk-Klassifizierer und Variations-Autoencoder) wurde in verschiedenen Testfällen untersucht. Darunter kann der autonome Fahrmonitor neue Verkehrsszenen durch Anomalieerkennung identifizieren Es wurden Arten von tiefen neuronalen Netzen und drei verschiedene Monitore ausgewählt, um die Leistung der Monitore in verschiedenen Trainingsphasen des Netzwerks zu vergleichen und den Zeitpunkt zu ermitteln, zu dem sich die Monitorleistung zu verschlechtern begann. Darüber hinaus kann die kognitive Unsicherheit den Grad der Zuverlässigkeit widerspiegeln, den das Modell bei der Verarbeitung tatsächlicher Betriebseingaben zeigt. Untersuchungen zeigen, dass es über bestimmte Erkennungsfähigkeiten für Verteilungsverschiebungen, unbekannte Dateneingaben usw. verfügt. Zu den typischen Methoden zur Extraktion kognitiver Unsicherheit gehören die Bayes'sche Näherungsinferenz, Monte Carlo-Abbruch, tiefe Integration und tiefe Evidenzregression usw., wie in Abbildung 12 dargestellt. Als Reaktion auf die überwachten Risiken kann die Sicherheit durch die Gestaltung von Entscheidungsmodellen und den Strategiewechsel gewährleistet werden, die sensibel auf Unsicherheit reagieren.

# 🎜 🎜#Abbildung 12 Typische Methode zur Extraktion epistemischer Unsicherheit

Langfristige funktionale Verbesserungen zielen auf neue, während der Laufphase entdeckte Verbesserungen ab SOTIF-Hazards führen funktionale Verbesserungen und System-Upgrades durch, um damit verbundene Risiken effektiver zu beseitigen. Zu den typischen Technologien gehören die Erkennung und Aufzeichnung wichtiger Daten, inkrementelle Lern- und Wachstumsplattformen sowie OTA-Upgrades. Zunächst sollten die Schlüsselfaktoren ermittelt und erfasst werden, die dazu führen, dass die erwarteten Funktionen von Smart Cars nicht erfüllt werden oder diese während der Betriebsphase nicht umgesetzt werden. Konkret kann dies mit der Überwachung unbekannter Risiken während des Betriebs, Hochrisiko- oder Unfalldaten kombiniert werden Bergbau und Verfolgung von Änderungen externer Faktoren wie der Umgebung und Vorschriften usw. zu erreichen. Darüber hinaus ist die Einrichtung und Verbesserung des Systemaktualisierungs- und Iterationsmechanismus auf der Grundlage des Schlüsseldaten-Feedbacks eine wichtige Garantie für die vollständige Lösung der neu entdeckten Probleme. Beispielsweise haben Unternehmen wie Tesla bestimmte Untersuchungen in der Lern- und Wachstumsplattform für autonomes Fahren durchgeführt , und Technologien wie kontinuierliches Lernen werden beim maschinellen Lernen eingesetzt. Auch andere Bereiche zeigen Potenzial für den Umgang mit Long-Tail-Szenarien. Darüber hinaus können Remote-Upgrade-Technologien wie OTA die Kosten und Effizienz der Aktualisierung von Software für autonomes Fahren effektiv verbessern.

Forschungsaussichten und Zusammenfassung

Auf der Grundlage der Sortierung der vorhandenen SOTIF-Sicherheitsschlüsseltechnologien, umfassend Forschungsdefizite und Entwicklungstrends sowie die folgenden Forschungsaussichten werden vorgeschlagen.

(1) Stärkung der theoretischen Grundlagenforschung zur SOTIF-Sicherheit. Untersuchen Sie ausgehend vom Wesen der SOTIF-Probleme die Entstehungs-, Ausbreitungs- und Entwicklungsmechanismen von SOTIF-Risiken. Durch theoretische Analyse und experimentelle Verifizierung haben wir die potenziellen Funktionsmängel von Smart Cars, die Auslösebedingungen und die Auswirkungsbeziehung zwischen ihnen geklärt. In Kombination mit der typischen Funktionsarchitektur von Smart Cars haben wir die Auswirkungen und Ausbreitungsmechanismen von SOTIF-Problemen zwischen verschiedenen Modulen untersucht und untersuchten die Risikodynamik auf der Grundlage der Evolutionstheorie. Gleichzeitig führen wir angesichts der Unsicherheit und Black-Box-Probleme bei neuen Technologien wie KI eine eingehende Untersuchung der wesentlichen Gründe für unzureichende Systemfunktionen durch . Darüber hinaus wird das SOTIF-Risikoquantifizierungsmodell in Kombination mit Forschung in Statistik, Informationstheorie und anderen Disziplinen entwickelt, um eine theoretische Grundlage für die Implementierung der Offline-Bewertungszertifizierung und der Online-Risikopräventions- und -kontrolltechnologie zu schaffen.

(2) Bauen Sie ein SOTIF-Risikoschutztechnologiesystem auf. Erkunden Sie Ideen zur Systemverbesserung auf der Grundlage theoretischer Forschung, um die SOTIF-Risiken von Fahrzeugen zu reduzieren. Durch die Kombination des SOTIF-Gefahrengenerierungsmechanismus und des Risikomodells wird die Funktionsverbesserungstechnologie jedes Moduls intelligenter Autos erforscht und optimiert und ein SOTIF-Risikoschutzsystem auf Fahrzeugebene mit Selbstwahrnehmungs- und Selbstregulierungsfunktionen weiter aufgebaut. Wie in Abbildung 13 dargestellt, werden der interne Status des Systems (z. B. das KI-Modell), die externe Betriebsumgebung (z. B. ODD) und andere Einschränkungen (z. B. Verkehrsvorschriften) integriert, um Informationen zu überwachen, und dann eine adaptive Sicherheitsentscheidung zu treffen. Das Herstellungsmodell soll SOTIF-Risiken schützen. Abbildung 13: SOTIF-Risikoschutzsystem Der aktuelle Smart-Car-Bereich selbst befindet sich noch in der Erkundungsphase, mit den Merkmalen der Koexistenz mehrerer Routen und schneller technologischer Aktualisierungen. Gleichzeitig mit der Entwicklung von Technologie, Umweltveränderungen und der langfristigen Existenz der Szene. Schwanzprobleme, neue unbekannte Unsicherheiten können immer wieder auftauchen. Daher sollte ein gesunder Aktualisierungsmechanismus für die SOTIF-Sicherheitstechnologieforschung eingerichtet, der automatisierte Prozess der Problemüberwachung, des Feedbacks und der Aktualisierung verbessert werden und ein flexibles, schnelles und nachhaltiges System für automatische Analyse, selbstlernendes Wachstum und Rezertifizierung geschaffen werden untersucht, um die Integration der SOTIF-Assurance-Technologie und der Smart-Car-Technologie gleichzeitig zu realisieren.

Kurz gesagt ist die SOTIF-Forschung von großer Bedeutung dafür, ob intelligente Autos letztendlich von der Gesellschaft akzeptiert werden können. Allerdings sind die aktuellen Standards in diesem Bereich noch nicht vollständig, die Industriepraxis befindet sich noch im Sondierungsstadium und es fehlt die Unterstützung durch ein technisches Forschungssystem. Ausgehend vom Kern des SOTIF-Problems erläutert dieser Artikel das SOTIF-Sicherheitstechnologiesystem und schlägt vor. Es bietet Forschungsperspektiven und unterstützt so die technologische Forschung und industrielle Umsetzung von SOTIF für intelligente Autos.

Das obige ist der detaillierte Inhalt vonSchlüsseltechnologien zur Sicherstellung der erwarteten Funktionen intelligenter Autos. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!