Technologies clés pour garantir la sécurité des fonctions attendues des voitures intelligentes

Des problèmes de sécurité fonctionnelle anticipés résultant de limitations de performances, de spécifications insuffisantes ou d'une mauvaise utilisation raisonnablement prévisible sont apparus en un flot incessant, entravant sérieusement le développement rapide des voitures intelligentes. Cette revue se concentre sur les technologies clés pour assurer la sécurité fonctionnelle attendue des voitures intelligentes. Elle résume systématiquement les trois étapes du développement du système, de l'amélioration des fonctions et de l'exploitation, et donne enfin un aperçu des trois aspects de la théorie de base, de la protection contre les risques et du mécanisme de mise à jour. . Cet article peut constituer une référence importante pour la recherche sur la sécurité fonctionnelle attendue des voitures intelligentes.

Avant-propos

Selon les statistiques de la National Transportation Safety Administration (NHTSA) des États-Unis, environ 94 % des accidents de la route sont causés par des facteurs humains. Les voitures intelligentes remplacent les conducteurs humains par des machines, ce qui est important pour améliorer la sécurité de conduite. .importance. Cependant, les technologies existantes ne peuvent pas encore pleinement réaliser leur potentiel de sécurité. En outre, lorsque de nouvelles technologies sont introduites pour éliminer les problèmes d'origine, de nouveaux problèmes de sécurité apparaissent également, tels que la sécurité fonctionnelle, la sécurité de l'information et la sécurité de la fonctionnalité prévue. À mesure que les systèmes des voitures intelligentes deviennent plus complexes et intelligents et que leurs environnements d'exploitation deviennent plus ouverts et plus exigeants, le problème SOTIF causé par des fonctions insuffisantes est progressivement révélé et est devenu un problème clé limitant la sécurité des voitures intelligentes. En outre, les accidents de conduite autonome/conduite assistée survenus ces dernières années en raison de fonctions insuffisantes telles que la perception et la prise de décision reflètent également la gravité du problème SOTIF. La figure 1 est une analyse des causes du premier accident de véhicule sans pilote au monde lors d’un essai routier, qui a tué un piéton en 2018. Des fonctions de détection et de prédiction insuffisantes étaient les principales causes de l’accident. C’est pourquoi la promotion de la recherche sur la technologie d’assurance SOTIF est devenue une priorité absolue.

Figure 1 Analyse des causes d'un accident de voiture sans conducteur lors d'un essai routier Uber

La sécurité fonctionnelle attendue vise à éviter les dangers causés par des fonctions insuffisantes des fonctions attendues ou leur mise en œuvre Le concept de base de risque déraisonnable est proposé et défini par la norme ISO 21448. Depuis que l'ISO a commencé la formulation de cette norme en février 2016, des projets de versions de PAS, CD, DIS et FDIS ont été élaborés. En tant qu'extension de l'ISO 26262, l'ISO 21448 aborde le problème des fonctionnalités insuffisantes sans pannes matérielles aléatoires ni pannes système.

La recherche SOTIF implique de nombreux aspects tels que l'amélioration de la conception fonctionnelle des systèmes, l'analyse et l'évaluation, la vérification et la certification, et de nouvelles exigences sont constamment soulevées avec le développement de la technologie et l'introduction de nouvelles technologies. Il est donc difficile d'obtenir la norme ISO 21448. pour couvrir spécifiquement tout le contenu pertinent. Ces dernières années, de nombreuses autres normes internationales ont été proposées et la SOTIF constitue un objet de recherche important, comme le montre la figure 2.

Figure 2 Normes liées à la SOTIF

En termes d'évaluation de la sécurité des produits d'automatisme, UL 4600 vise à compléter les normes de sécurité fonctionnelle et SOTIF et à proposer une approche de sécurité orientée vers des objectifs Méthodes, axées sur « comment évaluer » la situation de sécurité de la conduite entièrement autonome ; pour la conception de sécurité, la vérification et la validation des systèmes de conduite autonome de haut niveau, l'ISO/TR 4804 détermine le processus de conception fonctionnelle SOTIF conformément à l'ISO/PAS 21448. , et nécessite un développement ultérieur de la norme ISO /AWI TS 5083 ; Pour l'évaluation de la sécurité basée sur des scénarios, la norme ISO 34502 propose un ensemble de processus de génération et d'évaluation de scénarios et prend spécifiquement en compte les conditions de déclenchement typiques de la SOTIF dans le processus d'établissement de la bibliothèque de scénarios pour l'intelligence artificielle ; (intelligence artificielle, IA), etc. Concernant les problèmes postérieurs à l'introduction de nouvelles technologies, la norme ISO/AWI PAS 8800 à développer vise à fournir des spécifications pour résoudre les problèmes de cycle de vie complet du développement et du déploiement de systèmes liés à l'IA pour compenser pour le manque de prise en compte des problématiques d’IA dans la norme ISO 21448.

Avec le processus de normalisation SOTIF, les gouvernements nationaux et étrangers, les entreprises et les instituts de recherche ont mené de nombreuses explorations des solutions pratiques SOTIF ces dernières années : En termes de développement de produits, de nombreuses entreprises telles que BMW et Baidu ont essayé d'introduire SOTIF dans leurs produits. processus de développement de la sécurité du cycle de vie. En termes d'analyse et d'évaluation de la sécurité des produits, des entreprises telles que Continental et ANSYS ont tenté d'introduire des outils d'analyse de la sécurité et la NHTSA a mené des pratiques d'analyse et d'évaluation et a fourni des rapports de résultats en termes : de vérification et de confirmation de la sécurité, l'UE PEGASUS et ses projets d'extension VVM, SetLevel, le projet japonais SAKURA et le groupe de travail sur la sécurité fonctionnelle attendu de la China Intelligent Connected Vehicle Alliance se sont intégrés dans la pratique à la SOTIF en termes d'amélioration fonctionnelle, de nombreuses entreprises ont proposé leur ; ses propres solutions, et des projets comme le DENSE de l'Union européenne ciblent les capteurs. Les déficiences fonctionnelles spécifiques d'autres composants ont été étudiées.

Les normes et activités pratiques ci-dessus fournissent des lignes directrices pour l'assurance SOTIF des voitures intelligentes (voir Figure 3). Dans le processus de recherche et de développement actuel, des technologies d'assurance spécifiques doivent être utilisées pour résoudre efficacement les problèmes spécifiques rencontrés à chaque étape. Cependant, ce domaine n'a pas encore constitué un système de recherche technique complet : d'une part, bien que la littérature actuelle directement sur le sujet de la SOTIF montre une tendance croissante, le montant total est encore relativement faible et le contenu implique principalement l'élaboration des concepts et des significations, de l'analyse de la sécurité, de la vérification des tests et En termes d'ingénierie système et d'autres aspects, il y a un manque de recherche systématique et de tri des technologies clés d'assurance SOTIF, bien que des résultats de recherche de haut niveau dans de nombreux domaines connexes ; Ces domaines ont une inspiration et une importance de référence importantes pour résoudre le problème des fonctions insuffisantes, mais ils n'ont pas encore été clairement inclus dans le champ de recherche sur les technologies de protection de la SOTIF.

Figure 3 Le processus d'activité de base de la SOTIF assurance

Par conséquent, sur la base d'un grand nombre de rapports de recherche et de littérature nationaux et étrangers, cet article analyse et trie systématiquement présente les points clés de la technologie d'assurance SOTIF et propose des perspectives fondées sur les lacunes existantes en matière de recherche.

Présentation de la SOTIF

Une définition claire des problèmes et une analyse des sources de risques sont des conditions préalables pour garantir la SOTIF. Du point de vue du système lui-même, le problème SOTIF découle principalement de deux aspects : (1) Une spécification insuffisante des fonctions attendues au niveau du véhicule, des limitations telles que l'ouverture de la scène, la complexité du système et une expérience experte incomplète peuvent conduire à une mauvaise conception du comportement du véhicule. Des problèmes surviennent dans le processus de spécification, rendant difficile l'atteinte des objectifs de sécurité idéaux ; (2) Insuffisance dans la réalisation des fonctions attendues même si la spécification des fonctions attendues de la couche véhicule est suffisamment complète, en raison des limitations de performances et de l'insuffisance. les spécifications des composants du système, des fonctions telles que la perception, la prise de décision et le contrôle ne peuvent pas être réalisées. La mise en œuvre peut ne pas se dérouler comme prévu. Par exemple, les capteurs et les actionneurs ont des limites de performances telles que des limites supérieures de capacités de perception et d'exécution ou sont sensibles aux interférences de facteurs environnementaux externes. Les algorithmes de perception et de prise de décision peuvent avoir des limites en termes de robustesse, de généralisation, d'interprétabilité, d'exhaustivité logique, de couverture des règles, etc. Par ailleurs, l’émergence et l’évolution des aléas SOTIF dépendent de scénarios précis. Premièrement, les spécifications insuffisantes ou les limitations de performances mentionnées ci-dessus sont déclenchées par des conditions spécifiques de la scène, entraînant des comportements nuisibles. De plus, les comportements nuisibles mentionnés ci-dessus finissent par devenir nuisibles car la scène actuelle contient des sources de risque pertinentes et la contrôlabilité de la scène ; est faible. Par conséquent, au cours du processus d'assurance SOTIF, il est nécessaire d'intégrer les propres limites du système et les risques des scénarios d'exploitation pour établir un système d'assurance de sécurité.

Selon que le scénario est connu et s'il causera un préjudice à la SOTIF, il est divisé en quatre catégories : connu comme étant sûr, connu comme dangereux, inconnu comme dangereux et inconnu comme sûr. L'objectif de la protection SOTIF est de réussir une série d'activités et de sécurité. technologies associées Afin de minimiser les zones correspondantes des deux types de scénarios dangereux, l'essentiel est la découverte et le traitement de scénarios dangereux inconnus. Comme le montre la figure 4, la réalisation des objectifs d'assurance de la SOTIF peut être décomposée en deux aspects : transformer l'inconnu en connu et transformer le dangereux en sûr. Tout d'abord, des activités telles que l'analyse et l'évaluation, la vérification et la confirmation du SOTIF, ainsi que la collecte, l'enregistrement et le retour d'informations des données clés en phase d'exploitation permettent d'explorer pleinement les scénarios inconnus. De plus, la phase de développement vise directement l'amélioration des fonctions insuffisantes ; , la surveillance des risques inconnus, la protection et l'amélioration des fonctions du système de collecte de données sont une activité nécessaire pour transformer les scénarios dangereux en scénarios sûrs. De plus, la vérification et la confirmation, l'évaluation des risques résiduels et la démonstration de la sécurité sont des activités importantes à garantir ; que les risques résiduels sont suffisamment faibles, fournissant ainsi une base pour la libération de la SOTIF. Ce qui suit triera les technologies d'assurance clés de la SOTIF correspondant à chaque activité depuis la phase de développement jusqu'à la phase d'exploitation, et mènera une discussion détaillée sur la technologie d'amélioration des fonctions des systèmes de voiture intelligente.

F Figure 4 Objectif de la garantie SOTIF et processus de réalisation

Phase de développement Technologie clé de la garantie SOTIF

Les activités de la garantie SOTIF pendant la phase de développement du système comprennent principalement l'analyse et l'évaluation, la vérification et la confirmation de la SOTIF, l'amélioration des fonctions et la publication , etc. Cette section se concentrera sur les technologies clés de chaque lien. 1. Analyse et évaluation SOTIF

L'utilisation d'une technologie d'analyse de sécurité efficace peut améliorer l'efficacité, l'exhaustivité et la scientificité de l'identification et de l'analyse des dangers SOTIF, des déficiences fonctionnelles potentielles et des conditions de déclenchement. Les techniques traditionnelles d'analyse de la sécurité, telles que l'analyse des arbres de défaillances, l'analyse des modes de défaillance et de leurs effets, l'analyse des dangers et de l'opérabilité, etc., ont été appliquées à l'analyse et à l'évaluation de la SOTIF. Les nouvelles technologies représentées par les voitures intelligentes ont entraîné des changements dans la nature des accidents et Les nouveaux défis de sécurité tels que les risques de type, la tolérance réduite aux accidents uniques, la complexité accrue des systèmes et les interactions homme-machine compliquées nécessitent des techniques d'analyse de sécurité plus efficaces, l'analyse des processus théoriques des systèmes (STPA) (voir Figure 5) a le potentiel d'analyser des systèmes complexes, y compris les quatre étapes consistant à définir l'objectif de l'analyse, à construire une structure de contrôle, à identifier les comportements de contrôle dangereux et à identifier les scénarios causals. Il a été utilisé pour l'analyse SOTIF de la perception, de la prise de décision et des systèmes de conduite entièrement autonomes. Cependant, la disponibilité d’une seule technologie est limitée et leurs avantages respectifs peuvent être combinés pour développer des techniques d’analyse SOTIF plus efficaces.

Figure 5 Processus de mise en œuvre de la technologie STPA

De plus, l'introduction de techniques de modélisation spécifiques dans l'analyse SOTIF contribuera à améliorer encore l'effet d'analyse. La structure de contrôle construite par la technologie STPA traditionnelle décrit la logique de fonctionnement interne du système, mais ne modélise pas la relation entre les fonctions et l'environnement d'exploitation, etc. entre l'état du véhicule et les conditions environnementales, il peut être plus précis pour identifier les dangers de manière globale. Le modèle de relation causale est utile pour guider l'analyse des conditions de déclenchement, des limitations de performances ou des défauts de spécification correspondant à des comportements dangereux. Par exemple, les réseaux bayésiens ont été utilisés pour construire des dépendances hiérarchiques entre les limitations de performances perçues et les conditions de déclenchement de la scène, combinées à des tableaux de croyances conditionnelles. et les valeurs P. Des techniques telles que l’inspection et l’analyse experte peuvent être utilisées pour évaluer quantitativement ces relations et découvrir de nouvelles conditions déclenchantes. De plus, le tri et la mise à jour des éléments de base tels que les éléments de la scène, les conditions de déclenchement et les limitations de performances au début et pendant le processus, ainsi que l'établissement de relations de cartographie pertinentes contribueront à améliorer l'efficacité et l'exhaustivité de l'analyse SOTIF.

Une évaluation des risques doit être menée pour les dangers SOTIF identifiés. Les technologies telles que STPA elles-mêmes n'ont pas de fonction de quantification des risques, elles doivent donc être étendues en conséquence. L'analyse des dangers et l'évaluation des risques (HARA) et le niveau d'intégrité de la sécurité automobile (ASIL) dans le domaine de la sécurité fonctionnelle ont été améliorés par plusieurs études. et l'a utilisé dans l'évaluation des risques de la SOTIF. Les modèles probabilistes bayésiens, en tant que méthode statistique, ont également été utilisés pour quantifier les risques liés à la SOTIF et leurs limites. Cependant, en raison de la complexité croissante des scénarios et des difficultés statistiques, de la dépendance des conditions de déclenchement aux scénarios et de l’incertitude des algorithmes d’IA, les recherches existantes n’ont pas encore été en mesure de clarifier et d’unifier les définitions des risques SOTIF et leurs méthodes de quantification. Il est urgent d’explorer et de proposer de nouvelles méthodes et techniques d’analyse quantitative SOTIF efficaces. De plus, afin d'éviter la complexité inacceptable du HARA des voitures intelligentes, des techniques telles que la décomposition des tâches, la classe d'équivalence et l'analyse d'impact, ainsi que la reconstruction de modèles peuvent être combinées pour gérer sa complexité.

2. Amélioration des fonctions SOTIF

En réponse aux risques déraisonnables causés par des fonctions insuffisantes, des améliorations fonctionnelles doivent être apportées pour réduire les zones dangereuses. Il existe de nombreuses technologies d'amélioration fonctionnelle à ce stade, qui peuvent être principalement divisées en trois voies techniques : ① l'amélioration des performances, comme l'augmentation de la limite supérieure des performances d'un capteur spécifique ou d'un modèle de perception lui-même ② la surveillance et la protection des risques, c'est-à-dire par le biais de la surveillance et de la protection des risques ; conditions de déclenchement (y compris un mauvais fonctionnement raisonnablement prévisible), état de fonctionnement insuffisant, etc. pour surveiller les risques SOTIF, afin d'adopter des technologies de protection ciblées, telles que l'élimination des sources de risque, les restrictions fonctionnelles ou le transfert d'autorisations, etc. surveiller le domaine de conception opérationnelle (domaine de conception opérationnelle, La clarification, la surveillance et la limitation de l'ODD) fournir une référence pour la protection contre les risques ③ Redondance fonctionnelle, telle que la conception de modules fonctionnels redondants pour améliorer les performances globales ; La section 3 triera systématiquement les technologies d'amélioration des fonctions correspondantes pour chaque module et couche de véhicule de la voiture intelligente.

3. Vérification et confirmation SOTIF

La vérification et la confirmation sont une activité importante pour découvrir davantage les scénarios dangereux et prouver que la SOTIF est entièrement protégée. La vérification SOTIF vise à fournir des preuves objectives prouvant la conformité aux exigences spécifiées, notamment les capteurs, les algorithmes de détection, les algorithmes de prise de décision, les actionneurs et les systèmes intégrés, etc. Indicateurs de vérification tels que la précision, la fiabilité et l'anti-interférence, etc. La validation SOTIF vise à utiliser des objectifs et des méthodes de validation raisonnables pour évaluer si les risques résiduels sont acceptables dans des scénarios dangereux connus et inconnus. Les objectifs de confirmation SOTIF sont utilisés pour quantifier les conditions de satisfaction des critères d'acceptation, qui peuvent analyser les principes d'acceptation des risques tels que la tolérance au risque, le solde de risque positif, le plus bas raisonnablement réalisable et le plus bas endogène sur la base des statistiques d'accidents, des performances du conducteur humain, etc. Taux de mortalité, etc. .

La confirmation de vérification SOTIF doit prendre en compte de manière globale l'efficacité, la faisabilité et le coût de la technologie utilisée. Par exemple, le coût de la vérification basée sur l'analyse et la comparaison, la simulation, les logiciels et le matériel dans la boucle et d'autres technologies est relativement. faible, mais la validité et l'applicabilité des preuves fournies La portée est limitée ; les essais sur route ouverte peuvent refléter les performances les plus réalistes du véhicule dans l'environnement, ce qui est propice à briser les limites des connaissances et des modèles empiriques, et à exploiter de rares inconnues. des scénarios dangereux, mais le coût de l’utilisation de ces méthodes à lui seul est inacceptable. Ces dernières années, les tests basés sur des scénarios (voir Figure 6) ont fait l'objet de nombreuses recherches et mises en pratique. D'une part, cette méthode peut raisonnablement allouer des ressources de test en combinant différentes plates-formes telles que la simulation, les logiciels et le matériel dans la boucle et les sites de test, et réduire davantage les coûts de test en combinant l'évaluation de la couverture des scénarios de test, l'échantillonnage d'importance, les risques. d'autre part, cette méthode prend les scénarios comme base et peut être utilisée pour la vérification SOTIF dans des scénarios contenant des conditions de déclenchement potentielles. Elle peut également aider à la confirmation SOTIF par le biais de tests d'échantillonnage basés sur une distribution de scénarios réels ou une exploration complète de. scénarios inconnus.

Figure 6 Méthode et processus de test basés sur des scénarios

La génération de scénarios ou de cas d'utilisation spécifiques est une condition préalable à la vérification et à la confirmation selon différentes sources d'information. , il est principalement divisé en connaissances pilotées et basées sur les données, les premières peuvent faire référence à des connaissances d'experts, des normes et des expériences pertinentes, etc. Les méthodes typiques sont l'ontologie, tandis que les secondes s'appuient généralement sur des données naturelles de conduite ou d'accident pour l'extraction. En fonction des objectifs de génération, elle comprend principalement la génération de scènes aléatoires et la génération de scènes clés. Les scènes clés peuvent être dérivées de la cartographie et de la combinaison de conditions de déclenchement potentielles identifiées, ou peuvent être générées automatiquement en définissant des indicateurs tels que le niveau de danger de la scène. La génération d'échantillons contradictoires est une méthode efficace de génération de scénarios clés. Elle combine des gradients et d'autres informations pour générer automatiquement des scénarios critiques pour la sécurité qui sont plus susceptibles de déclencher des fonctions système insuffisantes, améliorant ainsi l'efficacité des tests dans le processus de génération de scénarios et la similitude avec le monde réel ; est une garantie C'est une condition préalable importante à l'efficacité des tests, et une génération de perturbations acceptable est une technologie importante pour atteindre les objectifs ci-dessus. De plus, une décomposition fonctionnelle appropriée est d'une grande importance pour surmonter l'explosion de l'espace des paramètres et réduire la quantité de tests. Selon les différents objets de test, des considérations différenciées doivent être prises en compte lors de la génération de scénarios pour différents modules fonctionnels, par exemple pour les capteurs et les modules de détection. vous pouvez choisir d'inclure des scènes de pluie de conditions météorologiques extrêmes telles que la neige et le brouillard ou des objets de détection de cibles spécifiques ; pour le module de prise de décision, il peut se concentrer sur la sélection de scénarios tels que des interférences de circulation pour les contrôleurs et les actionneurs, des scénarios incluant des travaux extrêmes ; les conditions routières difficiles et les conditions environnementales doivent être des considérations importantes.

La sélection de scénarios spécifiques parmi les scénarios générés ou les bibliothèques de scénarios est une étape clé pour déterminer la représentativité, la couverture et le coût des tests. L'espace des paramètres est complexe et continu, une méthode d'échantillonnage peut donc être utilisée, en fonction des informations préalables sur les paramètres du scénario. Il est divisé en échantillonnage basé sur la plage des paramètres et en échantillonnage basé sur la distribution des paramètres. Les technologies typiques du premier incluent les tests combinatoires, la conception expérimentale interactive, la technologie de randomisation, etc. ; les technologies typiques du second incluent l'échantillonnage de Monte Carlo, etc. Les tests accélérés constituent un moyen important d'améliorer les coûts des tests. Les techniques typiques incluent la théorie des valeurs extrêmes, l'échantillonnage par importance et la chaîne de Markov Monte Carlo. En outre, certaines recherches se concentrent sur la sélection de scénarios basée sur la falsification, comme la sélection de scénarios clés en prenant en compte des caractéristiques telles que les données d'accident ou la criticité et la complexité du scénario, ou en utilisant la simulation pour les tests de résistance adaptatifs, la modélisation alternative et l'optimisation stochastique, et la recherche adaptative. .

La plate-forme de test comprend une simulation virtuelle, des logiciels et du matériel dans la boucle, un véhicule dans la boucle et des sites de test. Son authenticité de test augmente progressivement, mais le coût des tests, les risques de sécurité et l'évolutivité augmentent progressivement. Afin d’utiliser pleinement des ressources limitées, la priorité devrait être accordée à l’utilisation de technologies de simulation et de tests en boucle, à condition que les exigences en matière de tests soient satisfaites. En outre, l’applicabilité des techniques de simulation et de test en boucle peut être encore améliorée en développant des modèles de capteurs haute fidélité (par exemple en utilisant des modèles phénoménologiques).

Les indicateurs d'évaluation servent de base pour juger si un système ou un composant répond aux exigences spécifiées ou si le risque résiduel est suffisamment faible. Les indicateurs de sécurité traditionnels peuvent inclure des types subjectifs/objectifs, micro/macro, à court/long terme et autres. , mais sont principalement utilisés pour évaluer l'ensemble du véhicule. Le comportement n'est pas applicable à des composants fonctionnels spécifiques à ce stade, l'évaluation de la perception, de la prédiction et d'autres modèles présente également des problèmes tels que des normes différentes, se concentrant principalement sur l'évaluation de la précision et une prise en compte insuffisante de sécurité. Par conséquent, des indicateurs SOTIF adaptés à l’évaluation du fonctionnement des voitures intelligentes doivent être proposés.

De plus, la technologie de vérification formelle utilise des méthodes de modélisation mathématique pour garantir l'exactitude du système et des résultats de vérification rigoureux, elle revêt donc une grande importance pour les systèmes critiques pour la sécurité tels que les voitures intelligentes. En termes de vérification du comportement des véhicules, des technologies telles que la preuve de théorème et l'analyse d'accessibilité ont reçu beaucoup d'attention ; en termes d'intégration de systèmes, la vérification formelle peut être utilisée pour normaliser l'exactitude de l'intégration de différents composants (tels que les contrôleurs) ; De plus, des méthodes formelles sont utilisées dans Le domaine de l'IA représenté par l'apprentissage automatique a été largement étudié et peut être utilisé davantage pour vérifier les modules fonctionnels associés tels que la perception et la prédiction. Cependant, le coût de mise en œuvre de cette technologie est élevé et son évolutivité vers des systèmes complexes, des scénarios ouverts et des modèles de boîte noire est limitée, elle doit donc encore être explorée et améliorée.

En résumé, il existe actuellement une variété de technologies qui peuvent être utilisées pour la vérification et la confirmation SOTIF, et les résultats peuvent être encore améliorés en combinant les avantages des différentes technologies. Cependant, la vérification SOTIF reste confrontée à de sérieux défis en raison de scénarios complexes et changeants et d'effets à long terme, de systèmes de voitures intelligentes complexes et diversifiés et d'itérations de mise à jour rapides, ainsi que du manque de spécifications d'évaluation SOTIF.

4. SOTIF Release

À la fin de la phase de développement, il doit être démontré si le système est conforme aux directives de version SOTIF. Schwalb et al. ont proposé un cadre probabiliste pour quantifier progressivement le risque résiduel SOTIF. De plus, après les activités ci-dessus telles que l'analyse et l'évaluation, l'amélioration de la conception et la confirmation de la vérification, un document de sécurité complet peut être formé, puis des technologies telles que la représentation de la structure cible et un réseau de preuves étendu peuvent être utilisées pour effectuer des démonstrations de sécurité, par exemple. , Misra a proposé une machine à états pour explorer les fonctions attendues. Les conditions pouvant causer des dommages, et les déclarations de sécurité correspondantes sont affirmées sur cette base, la structure d'argumentation SOTIF est construite sur la base de la représentation de la structure cible.

En plus des technologies d'assurance ciblées pour les étapes d'activités mentionnées ci-dessus, l'optimisation du processus de développement du système est également une direction importante de l'assurance SOTIF. Par exemple, l'utilisation de l'ingénierie système agile peut améliorer l'efficacité du développement du système. , économie et traçabilité. En outre, certains chercheurs ont tenté d'intégrer des méthodes formelles, des manuels de règles, etc. dans le processus de développement du système SOTIF, et ont initialement obtenu des effets d'optimisation tels qu'une accélération du développement, une amélioration de la traçabilité et de l'évaluabilité. Cependant, ces méthodes elles-mêmes présentent encore des problèmes de complexité, d'évolutivité et d'applicabilité. De plus, leur combinaison avec la SOTIF en est encore au stade exploratoire et a une portée limitée pour le processus de développement réel.

Technologies clés pour améliorer les fonctions des voitures intelligentes

La réalisation des fonctions des voitures intelligentes dépend de chaque sous-module, comme le montre la figure 7. Sous l'influence de conditions déclenchantes telles qu'une mauvaise utilisation raisonnablement prévisible, des fonctions insuffisantes telles que la perception, le positionnement, la prise de décision et le contrôle peuvent conduire à des dangers SOTIF, et des améliorations ciblées peuvent être apportées en fonction des caractéristiques de chaque module. Cette section résumera respectivement quatre aspects : le positionnement de la perception, le contrôle de la prise de décision, le traitement des utilisations abusives raisonnablement prévisibles et l'amélioration de la fonction de la couche véhicule.

Figure 7 Problèmes SOTIF à différents niveaux des voitures intelligentes

1. Amélioration de la fonction de perception (y compris le positionnement)

La mise en œuvre de la fonction de perception repose principalement sur des capteurs et des modèles de perception, donc ses fonctions Les améliorations visent principalement les limitations de performances des capteurs et les fonctions insuffisantes du modèle de perception.

Amélioration des performances du capteur et du modèle de perception

Utilisez la technologie d'optimisation du capteur pour améliorer ses performances de base telles que la plage de détection, la précision et la capacité anti-interférence. Par exemple, pour résoudre le problème de sensibilité du Lidar. Aux interférences de la pluie, du brouillard et de la poussière, il existe de nombreuses technologies de sous-écho et de technologie laser de surface, etc. De plus, la technologie d'amélioration des performances du modèle de perception est étroitement liée à l'algorithme de perception utilisé. À ce stade, la fonction de perception des voitures intelligentes utilise généralement des algorithmes d'apprentissage automatique. Selon son principe de fonctionnement, l'amélioration des performances du modèle de perception peut être améliorée. être principalement divisé en les aspects suivants.

(1) Amélioration des données de formation. Premièrement, la richesse des données de formation peut être améliorée en utilisant des solutions de collecte de données à grande échelle et peu coûteuses combinées à des méthodes d'annotation automatiques/semi-automatiques pour réduire les coûts, augmentant ainsi la quantité de données de formation. De plus, la technologie de collecte de données peut être améliorée pour améliorer la qualité des données, et les technologies de nettoyage, de filtrage et de correction des données peuvent être combinées pour réduire les problèmes de données de formation causés par des erreurs de collecte ou d'étiquetage. De plus, l'effet de formation peut être amélioré grâce à une répartition raisonnable de la distribution des données de formation.

(2) Amélioration du modèle de formation. La conception de l'architecture du modèle affecte directement les performances de perception. Par exemple, en raison des avantages naturels des réseaux de neurones convolutifs pour le traitement des informations d'image, les performances du réseau ajouté avec cette conception sont généralement meilleures que celles d'un simple perceptron multicouche. réseau. L'optimisation de la conception de modèles perceptuels est actuellement la principale direction de recherche dans des domaines tels que la vision par ordinateur, de sorte que les performances perceptuelles ont également été rapidement améliorées. De plus, l'optimisation de la conception du modèle peut également améliorer son effet de détection sur les objets inconnus, réduisant ainsi les risques résiduels.

(3) Amélioration du processus de formation. Pour résoudre le problème des données de formation insuffisantes ou des scénarios potentiellement inconnus, des technologies telles que l'amélioration des données, l'apprentissage par transfert et l'apprentissage actif peuvent être utilisées pour améliorer l'efficacité de l'utilisation de données ou d'étiquettes limitées. Parmi elles, l'amélioration des données pour les algorithmes de perception, en plus. Par rapport aux méthodes traditionnelles telles que le retournement et le recadrage d'images, le rendu des conditions météorologiques de pluie, de neige et de brouillard est également un moyen d'améliorer la performance perçue par mauvais temps. Pour résoudre le problème d'une fonctionnalité potentiellement insuffisante, des techniques telles que la formation contradictoire peuvent aider à réduire les défauts du modèle et à améliorer sa robustesse sur la base de données limitées. De plus, l’amélioration de la fonction de perte ou de récompense et l’utilisation rationnelle de techniques telles que la normalisation et la régularisation peuvent contribuer à améliorer encore les performances du modèle.

b. Surveillance et protection des risques SOTIF perçus

Divisez les sources de risque SOTIF perçues en conditions de déclenchement externes et déficiences fonctionnelles internes, qui peuvent être utilisées comme référence pour la surveillance des risques. Parmi elles, les conditions météorologiques défavorables telles que la pluie, la neige, le brouillard et la grêle sont des conditions déclenchantes importantes pour détecter les problèmes SOTIF. Certaines études ont établi leur relation d'influence grâce à une analyse expérimentale, fournissant une base pour la surveillance des conditions déclenchantes externes. La surveillance des conditions météorologiques défavorables peut utiliser des modèles environnementaux spécifiques ou des capteurs météorologiques. Par exemple, les capteurs de pluie des véhicules incluent des images capacitives, optiques, piézoélectriques, résistives, CCD et autres, combinées à des statistiques ou à un apprentissage profond utilisant d'autres méthodes, les données. Les résultats des caméras elles-mêmes peuvent également être directement utilisés pour surveiller les conditions météorologiques extrêmes ou les interférences provoquées par celles-ci. En outre, certaines études se concentrent sur la surveillance directe des déficits de performance perceptuelle, par exemple en modifiant le modèle, en ajustant le processus de formation et en introduisant d'autres informations pour obtenir une estimation en ligne des performances perceptuelles.

Peut éliminer les interférences pour les données du capteur affectées par les conditions environnementales. Premièrement, le réglage interne des paramètres du capteur peut être utilisé pour améliorer la qualité des données par temps violent. De plus, les interférences peuvent être éliminées en ajoutant des dispositifs supplémentaires, tels que le nettoyage de la saleté sur le capteur avec du liquide ou des essuie-glaces, et un dispositif auto-chauffant peut être ajouté pour éviter les effets néfastes sur la caméra causés par la pluie, la neige, la glace ou le gel. En outre, des techniques de prétraitement telles que le débruitage des données peuvent également être utilisées pour supprimer les interférences environnementales. Par exemple, les algorithmes typiques de désembuage des images incluent l'amélioration de l'image, la restauration de l'image basée sur des modèles de dégradation atmosphérique et d'autres méthodes basées sur l'apprentissage profond ; La technologie de débuage est principalement divisée en deux catégories : l'élimination des gouttes de pluie (adhérées à l'objectif) et l'élimination des précipitations (distribuées dans l'air) ; pour le Lidar, certains produits commerciaux disposent déjà de fonctions de correction d'image automatique qui peuvent filtrer les gouttes de pluie grâce à une évaluation orientée pixel. et des flocons de neige.

De plus, vous pouvez également ignorer l'étape d'élimination des interférences et améliorer directement la capacité du modèle perceptuel à traiter les données contenant des interférences. Par exemple, Huang et al. ont introduit un nouveau type de réseau à double sous-réseau - DSNet pour résoudre le problème de détection de cible dans les images brumeuses, tout en maintenant une vitesse élevée, les performances de détection sont meilleures que celles de nombreux détecteurs de cibles avancés et du modèle combiné de « désembuage ». + détection".

c. Redondance de la fonction de perception

Compte tenu des limitations de performances d'un seul capteur et de son modèle de perception, la fusion multi-capteurs est une technologie d'amélioration importante. Tout d'abord, une fusion de capteurs similaires peut augmenter la portée de détection grâce à la disposition rationnelle de plusieurs capteurs, comme la disposition de plusieurs caméras autour du véhicule pour obtenir une perspective de perception à 360°. De plus, la fusion de capteurs multi-types aidera à surmonter les limitations inhérentes ; d'un seul type de capteur. Les limitations de performances augmentent la diversité et la précision de l'acquisition d'informations environnementales, comme l'utilisation de l'avantage du Lidar en matière de télémétrie précise pour compenser le manque de fonctionnalité de la caméra, ou la combinaison d'analyses d'informations redondantes pour déterminer les anomalies du capteur. Selon les caractéristiques des capteurs fusionnés, il peut être divisé en fusion basée sur différentes combinaisons de caméras, Lidar et Radar en fonction du niveau d'informations de fusion, il peut être divisé en fusion au niveau des données, au niveau des fonctionnalités et au niveau de la cible ; méthodes de fusion courantes telles que la méthode de moyenne pondérée adaptative, les algorithmes de classe de clustering, l'inférence bayésienne, etc. La recherche actuelle prend en compte l'impact des conditions déclenchantes telles que les conditions météorologiques extrêmes et a mené de nombreuses explorations sur l'architecture de fusion optimale, la conception de modèles, les stratégies de formation, les ensembles de données multimodaux, etc., et a obtenu des résultats significatifs. De plus, dans des scénarios de trafic urbain complexes, en introduisant des informations de détection en bordure de route et en ville pour obtenir des solutions de détection collaborative intégrées, il s'agit également d'une direction de recherche importante pour résoudre le problème des fonctions de détection insuffisantes des vélos.

d, améliorations de la fonction de positionnement

La mise en œuvre de la fonction de positionnement comprend principalement le positionnement absolu basé sur les systèmes globaux de navigation par satellite et le positionnement relatif basé sur le positionnement et la construction simultanés de cartes (localisation et cartographie simultanées, SLAM). Les problèmes SOTIF typiques du premier incluent les phénomènes de trajets multiples provoqués par les réflexions des bâtiments, la confusion de positionnement ou la perte de signal de positionnement causée par des obstacles tels que des installations de circulation ou des canyons de montagne. Des méthodes telles que la comparaison de l'altitude GPS ou de la valeur absolue de la pression atmosphérique peuvent être utilisées pour traiter le signal de positionnement. confusion dans les sections surélevées ; ce dernier comprend principalement le positionnement SLAM basé sur des caméras ou Lidar, etc. Les problèmes SOTIF auxquels elle est confrontée sont donc similaires à la perception, comme une mauvaise météo entraînant une précision de positionnement réduite, etc., qui peut être améliorée. grâce à des technologies telles que la fusion multi-capteurs et l’optimisation des algorithmes.

2 Amélioration de la fonction de contrôle des décisions

a, classification des méthodes de prise de décision et amélioration des performances

Les méthodes de prise de décision actuelles comprennent deux catégories : la prise de décision basée sur des règles et la décision basée sur l'apprentissage. fabrication. Les avantages du premier sont une forte interprétabilité, une introduction facile de l'expérience des experts et une grande fiabilité. Cependant, il est sujet à des limitations telles que des spécifications insuffisantes, des capacités de raisonnement cognitif insuffisantes dans des scénarios dynamiques et complexes, une généralisation insuffisante et une évolutivité insuffisante des algorithmes. En réponse aux problèmes ci-dessus, tout d'abord, la logique de prise de décision peut être continuellement optimisée grâce à des méthodes telles que l'accumulation d'expériences et le brainstorming, et les techniques d'analyse de système telles que STPA ont également une certaine importance directrice pour améliorer l'exhaustivité des règles de prise de décision. conception. En outre, l’introduction de nouvelles théories, informations et techniques de modélisation telles que les modèles de scénarios peut améliorer la généralisabilité des méthodes de prise de décision à des scénarios complexes et inconnus. De plus, l'introduction d'un module de prédiction distinct peut améliorer la capacité décisionnelle à reconnaître le scénario, compensant ainsi les lacunes du modèle original.

Ces dernières années, de plus en plus de recherches se sont concentrées sur les méthodes de prise de décision basées sur l'apprentissage, telles que l'apprentissage par imitation et l'apprentissage par renforcement. Les idées d'amélioration pour ce type de méthode sont similaires à l'amélioration des performances du modèle de perception mentionnée ci-dessus, c'est-à-dire que les performances de prise de décision peuvent être améliorées en améliorant les données de formation, le modèle et le processus de formation.

b. Prise de décision Surveillance et protection des risques SOTIF

Le module fonctionnel de prise de décision formule des stratégies correspondantes basées sur les informations environnementales obtenues. En supposant que les informations obtenues par le module de positionnement de détection soient suffisamment précises, le risque SOTIF décisionnel provient principalement des conditions de déclenchement dans l'environnement d'exploitation (telles que comme les défis posés par les perturbations de la circulation à l'algorithme de prise de décision) et à la prise de décision. Les problèmes de sécurité causés par les fonctions insuffisantes du module correspondent aux deux principaux facteurs pris en compte dans sa surveillance des risques et sa protection.

Les conditions de déclenchement dans l'environnement, telles que des types de routes spécifiques, peuvent être contraintes par l'OOD, etc., combinées aux résultats d'analyse, d'évaluation et de confirmation de vérification, pour clarifier progressivement l'ODD applicable au modèle de prise de décision, utilisant ainsi il sert de référence pour la surveillance des conditions environnementales, en utilisant des technologies telles que les cartes, le positionnement et la reconnaissance de scènes spécifiques pour déterminer les risques actuels en temps réel. En ciblant les mouvements incertains des usagers de la route dans l'environnement, des résultats de prise de décision plus sûrs peuvent être obtenus en concevant des modèles de quantification des risques correspondants et des méthodes de prise de décision en matière de sécurité sensibles aux risques. De plus, la technologie de détection des comportements anormaux peut être utilisée pour détecter un trafic inattendu ; participants dans l’environnement. Identification des comportements.

Compte tenu des déficiences fonctionnelles potentielles du module de prise de décision lui-même, la technologie de vérification formelle a été largement étudiée dans le domaine de la vérification de la sécurité de la prise de décision. L'idée de base est de vérifier si les résultats de la prise de décision actuelle le seront. provoquer un accident sous une hypothèse spécifique, et la rationalité de l'hypothèse C'est également un facteur important affectant l'effet de la vérification de sécurité. De plus, le module de prise de décision est divisé en deux sous-modules clés : la prédiction et la sélection du comportement, et la quantification de la fonction de prédiction insuffisante peut être utilisée pour la surveillance et la protection des risques, comme le montre la figure 8. Une prise de décision sûre est rendue possible par la quantification et la propagation de l'incertitude dans les modèles prédictifs.

Figure 8 Prise de décision en matière de sécurité en tenant compte de l'incertitude des prévisions

De plus, pour les scénarios dans lesquels les décisions de conduite autonome de bas niveau sont difficiles à gérer, des restrictions de fonction ou des demandes du conducteur peut être utilisé Prendre le relais pour atténuer les risques.

c. Redondance de la fonction décisionnelle

Compte tenu des limites du modèle décisionnel à classe unique, la prise de décision hybride (voir Figure 9) peut utiliser des avantages complémentaires pour améliorer encore la fonction . Par exemple, la prise de décision basée sur des règles est difficile à modéliser dans des environnements d’incertitude de grande dimension, mais son interprétabilité et sa fiabilité peuvent compenser la prise de décision basée sur l’apprentissage. En prenant comme exemple la prise de décision hybride d'auto-apprentissage qui intègre des règles, cela comprend l'ajustement de la fonction de récompense par le biais de connaissances ou de règles, l'ajustement du processus d'exploration, l'ajustement de l'action de sortie ou l'ajustement du processus d'itération de formation stratégique, etc., qui peuvent améliorer la fiabilité des résultats de la prise de décision. En outre, les développements technologiques tels que la collaboration cloud véhicule-route et les systèmes de contrôle cloud fournissent un soutien solide à la prise de décision en matière de sécurité. L'introduction d'informations de surveillance de l'état du trafic, d'orientations de contrôle de prise de décision macro, de prise en charge de la puissance de calcul et d'autres aides fournies par le cloud. et en bordure de route peuvent atténuer les problèmes de fonctionnalités insuffisantes des systèmes de prise de décision embarqués.

Figure 9 Cadre général de la prise de décision hybride

d. Amélioration de la fonction de contrôle

Le problème SOTIF principalement. comprend deux aspects : (1) Contrôle Les limitations de la couche de modélisation dynamique conduisent à une représentation insuffisante des caractéristiques dynamiques du véhicule, et le contrôleur lui-même présente également des limitations de performances telles que les performances en temps réel ; (2) L'actionneur a une précision d'exécution, des limites maximales de capacité de direction ou de freinage et des limites réelles ; -capacités de réponse temporelle et autres limitations, et peuvent être affectés par des interférences externes telles que les conditions routières, les machines, les vents forts, etc. Par conséquent, son amélioration fonctionnelle peut principalement se concentrer sur les deux aspects ci-dessus, tels que l'amélioration des performances de précision des actionneurs, du temps de réponse, etc., la surveillance des conditions de travail à haut risque pour la protection, l'ajout de nouveaux contrôleurs ou actionneurs pour obtenir une redondance, etc. dans la couche algorithme, un contrôle robuste et tolérant aux pannes, etc. sont des technologies typiques pour améliorer les modèles de contrôle.

3. Gestion des abus raisonnablement prévisibles

L'identification complète des abus raisonnablement prévisibles au cours de la phase d'analyse et d'évaluation est une condition préalable importante pour gérer de tels risques, et le STPA et d'autres technologies peuvent être utilisés pour faciliter l'analyse. Il existe de nombreuses façons de gérer les abus potentiels : premièrement, l'optimisation des manuels d'utilisation et de la formation peut réduire les abus de la part des conducteurs et des passagers dus à des règles peu claires ou à des connaissances insuffisantes. Pendant la conduite, une alerte précoce peut être obtenue en surveillant l'état des conducteurs et des passagers, tel que l'état de la posture, l'état anormal extrême, l'état de la ceinture de sécurité, etc. Les méthodes d'acquisition d'informations de surveillance typiques incluent les caméras de surveillance du conducteur, les positions des sièges, les capteurs du volant, etc. , Abbood et al. ont proposé un modèle de détection et de prédiction de la fatigue, qui utilise des informations de détection telles que les réponses des pupilles et les signaux EEG, ainsi que des informations personnalisées telles que les profils de conducteur pour la prédiction et l'intervention comportementales. Lorsque des risques potentiels sont détectés et qu'une intervention est effectuée, des avertissements ou des suggestions comportementales peuvent être fournis simultanément sous des formes visuelles, auditives, tactiles et autres, le contenu interactif doit être raisonnablement étudié de la manière dont Koo et al. transmis par la conduite semi-autonome affecte l'attitude et la sécurité du conducteur, ce qui suggère que la quantité et le type d'informations fournies doivent être raisonnablement réglementés. En outre, compte tenu des abus potentiels inévitables, la sécurité peut être améliorée en concevant des méthodes de fonctionnement fonctionnelles difficiles à mettre en œuvre (telles que les sièges, la position des boutons ou les actions d'activation) et en limitant le pouvoir des conducteurs et des passagers dans des scénarios spécifiques, tels que dans les scénarios à grande vitesse. Désactive l'activation de la fonction de stationnement urbain automatique.

4. Amélioration des fonctions de la couche véhicule

Les voitures intelligentes intègrent des interactions complexes de plusieurs modules, et l'amélioration d'un seul module fonctionnel ne suffit pas pour garantir pleinement SOTIF : D'une part, le problème SOTIF correspondant à chaque module est difficile à éliminer complètement et l'ensemble du véhicule doit être optimisé. Le système est conçu pour minimiser les risques résiduels. Par contre, même si chaque module fonctionnel peut réaliser la fonction attendue, des spécifications insuffisantes dans la conception du véhicule peuvent toujours conduire à des comportements dangereux ; . Par conséquent, le problème des fonctions insuffisantes de chaque module et les conditions de déclenchement auxquelles il est confronté doivent être pris en compte de manière globale au niveau du véhicule pour formuler des solutions système.

Dans la conception du système du véhicule, la propagation des risques SOTIF entre les différents modules fonctionnels doit être pleinement prise en compte. Ces dernières années, de plus en plus d'études se sont concentrées sur la systématique et la complémentarité entre les fonctions en amont et en aval des voitures intelligentes. L'hypothèse sur la parfaite performance du module de détection et de positionnement en amont dans la prise de décision SOTIF ci-dessus est en réalité difficile à mettre en œuvre. établir. Compte tenu des problèmes causés par la fonction de détection et de positionnement insuffisante, cela peut être compensé par la conception de la décision. Par exemple, en prenant en compte une perception insuffisante provoquée par le bruit d'entrée du capteur et l'occlusion dans le module de prise de décision, ainsi que des informations telles que l'incertitude de catégorie et l'incertitude de position dans les résultats de perception, l'impact d'une fonction de perception insuffisante sur la sécurité du véhicule peut être atténué. De plus, les risques dus à des fonctions de détection ou de prise de décision insuffisantes peuvent également être atténués grâce à des modules de contrôle.

De plus, certaines recherches actuelles se concentrent sur le développement de la conscience de soi du système (conscience de soi), améliorant ainsi ses capacités globales de sensibilisation et de protection contre les risques de l'environnement opérationnel externe et de l'état fonctionnel interne. La réalisation de la conscience de soi nécessite une compréhension complète de l'architecture du système et de ses modules au niveau du véhicule, comme la création d'une carte de compétences, d'une carte de capacités et d'une vue multicouche de l'architecture du véhicule pour les voitures intelligentes, et leur intégration dans le processus de développement ; sur la base de la capacité de conscience de soi du véhicule, une surveillance de la sécurité du système peut être effectuée, par exemple en utilisant des capteurs environnementaux et des capteurs intrinsèques du véhicule pour percevoir et représenter les états internes et externes, et en combinant la prise de décision en matière de sécurité ou la technologie d'autorégulation du système. pour parvenir à une protection contre les risques.

À mesure que la complexité du système et le degré de couplage de chaque module augmentent, la demande de solutions techniques complètes pour l'amélioration de la SOTIF au niveau du véhicule augmente également, mais elle est limitée par des mécanismes de risque peu clairs et des indicateurs quantitatifs imparfaits. la technologie de surveillance et l'architecture du système. Des problèmes tels que la diversité des modules fonctionnels et la difficulté d'analyser des systèmes complexes sont difficiles à résoudre efficacement avec la technologie actuelle. Le système de protection contre les risques SOTIF au niveau du véhicule doit être développé davantage (voir Figure 10), et la garantie du système SOTIF peut être obtenue grâce à une prise en compte globale de la propagation verticale des risques SOTIF et à une surveillance globale.

Figure 10 Système de protection contre les risques SOTIF au niveau du véhicule

SOTIF garantit les technologies clés pendant la phase d'exploitation

Le respect des directives de mise en production de la SOTIF ne signifie pas l'élimination complète des risques. D'une part, en raison de l'effet à long terme du scénario, la phase d'exploitation rencontrera inévitablement des déficiences fonctionnelles ou des conditions déclenchantes qui n'ont pas été prises en compte lors de la phase de développement, d'autre part, des facteurs tels que l'environnement, les infrastructures, les politiques et ; des réglementations, des habitudes comportementales, etc. peuvent survenir par rapport à la situation en phase de développement, entraînant de nouveaux scénarios dangereux inconnus, comme le montre la figure 11. Afin de faire face efficacement aux risques inconnus ci-dessus, certaines technologies peuvent être utilisées pour l'assurance SOTIF pendant la phase d'exploitation, qui comprennent principalement deux catégories : la protection contre les risques à court terme et l'amélioration fonctionnelle à long terme.

Figure 11 Analyse des sources de risques inconnues pendant la phase d'exploitation

La protection contre les risques à court terme vise à se protéger en temps réel contre les risques inconnus pendant la phase d'exploitation, et la clé réside dans la surveillance des risques. La technologie de détection d'anomalies peut être utilisée pour identifier les entrées qui s'écartent des zones d'instance de données normales et leur attribuer des scores ou des étiquettes d'anomalie. Elle dispose de certaines capacités de surveillance pour les risques inconnus causés par des changements de distribution ou des entrées hors distribution. des méthodes semi-supervisées et non supervisées et d'autres ont été initialement appliquées à des tâches telles que la segmentation sémantique et la navigation sécurisée basée sur la vision.

De plus, certaines recherches se concentrent sur la comparaison de différentes méthodes de détection d'anomalies. Henriksson et al. ont proposé un cadre structuré d'évaluation de moniteur d'apprentissage profond, utilisant 7 indicateurs d'évaluation pour comparer deux types de moniteurs (classificateur de réseau neuronal convolutif et auto-encodeurs variationnels). ) sur différents cas de test, dans lesquels le moniteur de conduite autonome peut identifier de nouvelles scènes de trafic grâce à la détection d'anomalies ; ils ont étendu les travaux ci-dessus dans des recherches ultérieures, en sélectionnant 4 types de réseaux neuronaux profonds et 3 moniteurs différents, en comparant les performances des moniteurs au cours de différentes formations ; étapes du réseau, détectant le point à partir duquel les performances du moniteur commencent à se détériorer. En outre, l'incertitude cognitive peut refléter le degré de confiance dont fait preuve le modèle lors du traitement des entrées d'exploitation réelles. La recherche montre qu'il possède certaines capacités de détection des changements de distribution, des entrées de données inconnues, etc. Les méthodes typiques d'extraction de l'incertitude cognitive incluent l'inférence approximative bayésienne, Monte. Abandon de Carlo, intégration profonde et régression profonde des preuves, etc., comme le montre la figure 12. En réponse aux risques surveillés, la sécurité peut être garantie grâce à la conception de modèles de prise de décision et de changements de stratégie sensibles à l’incertitude.

Figure 12 Méthode typique d'extraction de l'incertitude épistémique

Les améliorations fonctionnelles à long terme visent à apporter des améliorations fonctionnelles et des systèmes pour les nouveaux dangers SOTIF découverts pendant la phase d'exploitation. éliminer plus efficacement les risques associés. Les technologies typiques incluent la découverte et l’enregistrement de données clés, les plateformes d’apprentissage et de croissance incrémentielles et les mises à niveau OTA. Tout d'abord, il convient de découvrir et d'enregistrer les facteurs clés qui conduisent à l'absence des fonctions attendues des voitures intelligentes ou à leur mise en œuvre pendant la phase d'exploitation. Concrètement, cela peut être combiné avec une surveillance des risques inconnus pendant l'exploitation, des données à haut risque ou des accidents. l'exploitation minière et le suivi des changements dans les facteurs externes tels que l'environnement et les réglementations, etc. En outre, la mise en place et l'amélioration du mécanisme de mise à jour et d'itération du système basé sur le retour des données clés constituent une garantie importante pour résoudre pleinement les nouveaux problèmes découverts. Par exemple, des entreprises telles que Tesla ont réalisé certaines explorations dans la plateforme d'apprentissage et de croissance de la conduite autonome. , et des technologies telles que l'apprentissage continu sont utilisées dans l'apprentissage automatique. D'autres domaines montrent également le potentiel de gérer des scénarios à longue traîne. De plus, les technologies de mise à niveau à distance telles que l'OTA peuvent améliorer efficacement le coût et l'efficacité de la mise à jour des logiciels de conduite autonome.

Perspectives et résumé de recherche

Sur la base du tri des technologies clés existantes pour l'assurance SOTIF et de l'intégration des lacunes de la recherche et des tendances de développement, les perspectives de recherche suivantes sont proposées.

(1) Renforcer la recherche théorique fondamentale sur l'assurance SOTIF. Partant de l'essence des problématiques SOTIF, étudier le mécanisme de génération, de propagation et d'évolution des risques SOTIF. Grâce à une analyse théorique et à une vérification expérimentale, nous avons trié les déficiences fonctionnelles potentielles des voitures intelligentes, les conditions de déclenchement et la relation d'impact entre elles, combinées à l'architecture fonctionnelle typique des voitures intelligentes, nous avons exploré l'impact et le mécanisme de propagation des problèmes SOTIF entre différents modules ; , et étudié la dynamique des risques basée sur la théorie de l'évolution des scénarios ; en même temps, compte tenu des problèmes d'incertitude et de boîte noire existant dans les nouvelles technologies telles que l'IA, nous menons des recherches approfondies sur les raisons essentielles des fonctions insuffisantes du système. . En outre, combiné à des recherches en statistiques, en théorie de l'information et dans d'autres disciplines, le modèle de quantification des risques SOTIF est construit pour jeter les bases théoriques de la mise en œuvre de la certification d'évaluation hors ligne et de la technologie de prévention et de contrôle des risques en ligne.

(2) Construire un système technologique de protection contre les risques SOTIF. Explorez des idées d'amélioration du système basées sur la recherche théorique pour réduire les risques SOTIF des véhicules. En combinant le mécanisme de génération de dangers SOTIF et le modèle de risque, explorer et optimiser la technologie d'amélioration des fonctions de chaque module de voitures intelligentes, et construire davantage un système de protection contre les risques SOTIF au niveau du véhicule avec des capacités d'auto-perception et d'autorégulation. Comme le montre la figure 13, l'état interne du système (tel que le modèle d'IA), l'environnement d'exploitation externe (tel que ODD) et d'autres contraintes (telles que les règles de circulation) sont intégrés pour surveiller les informations, puis une décision de sécurité adaptative. Le modèle de fabrication est conçu pour protéger les risques SOTIF. (3) Promouvoir la formation d'un mécanisme de mise à jour bénin pour la technologie d'assurance SOTIF. Le domaine actuel des voitures intelligentes lui-même est encore au stade exploratoire, avec les caractéristiques de coexistence de plusieurs itinéraires et de mises à jour technologiques rapides, en même temps, avec le développement de la technologie, les changements environnementaux et l'existence à long terme d'une scène. des problèmes de queue, de nouvelles insécurités inconnues peuvent surgir. Par conséquent, un mécanisme de mise à jour sain pour la recherche sur les technologies d'assurance SOTIF devrait être établi, le processus automatisé de surveillance des problèmes, de retour d'information et de mise à jour devrait être amélioré, et un système d'analyse automatique flexible, rapide et durable, de croissance d'auto-apprentissage et de recertification devrait être mis en place. exploré pour réaliser l’intégration de la technologie d’assurance SOTIF et de la technologie des voitures intelligentes Développer simultanément.

En bref, les recherches de la SOTIF sont d'une grande importance pour savoir si les voitures intelligentes peuvent à terme être acceptées par la société. Cependant, les normes actuelles dans ce domaine ne sont pas encore complètes, la pratique industrielle en est encore au stade exploratoire et manque de soutien d'un système de recherche technique. Partant de l'essence du problème SOTIF, cet article a trié le système technologique d'assurance SOTIF et proposé Il fournit des perspectives de recherche pour aider la recherche technologique et la mise en œuvre industrielle de la voiture intelligente SOTIF.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!