Teknologi utama untuk jaminan keselamatan fungsi yang dijangkakan bagi kereta pintar

Isu keselamatan kefungsian yang dijangka timbul daripada had prestasi, spesifikasi yang tidak mencukupi atau penyalahgunaan yang boleh dijangka secara munasabah muncul dalam aliran yang tidak berkesudahan, secara serius menghalang perkembangan pesat kereta pintar. Kajian ini memfokuskan kepada teknologi utama untuk memastikan keselamatan fungsian kereta pintar yang dijangkakan Ia secara sistematik meringkaskan tiga peringkat pembangunan sistem, penambahbaikan fungsi dan operasi, dan akhirnya membuat tinjauan daripada tiga aspek teori asas, perlindungan risiko dan mekanisme kemas kini. . Artikel ini boleh memberikan rujukan penting untuk penyelidikan mengenai jangkaan keselamatan berfungsi kereta pintar.

Kata Pengantar

Menurut statistik daripada Pentadbiran Keselamatan Pengangkutan Kebangsaan (NHTSA) A.S., kira-kira 94% kemalangan jalan raya berpunca daripada faktor manusia . Kereta menggantikan pemandu manusia dengan mesin, yang sangat penting dalam meningkatkan keselamatan pemanduan. Walau bagaimanapun, teknologi sedia ada belum dapat merealisasikan sepenuhnya potensi keselamatannya Selain itu, apabila teknologi baharu diperkenalkan untuk menghapuskan masalah asal, isu keselamatan baharu juga timbul, seperti keselamatan fungsian, keselamatan maklumat dan masalah kefungsian yang dimaksudkan. Terutama apabila sistem kereta pintar menjadi lebih kompleks dan pintar, dan persekitaran operasinya menjadi lebih terbuka dan mencabar, masalah SOTIF yang disebabkan oleh fungsi yang tidak mencukupi secara beransur-ansur terdedah dan telah menjadi masalah utama yang menyekat keselamatan kereta pintar. Di samping itu, kemalangan memandu autonomi/membantu memandu yang berlaku dalam beberapa tahun kebelakangan ini disebabkan oleh fungsi yang tidak mencukupi seperti persepsi dan membuat keputusan juga mencerminkan keseriusan masalah SOTIF. Rajah 1 ialah analisis punca kemalangan kenderaan tanpa pemandu ujian jalan raya pertama di dunia yang mengorbankan pejalan kaki pada 2018. Fungsi penderiaan dan ramalan yang tidak mencukupi merupakan punca utama kemalangan itu. Oleh itu, menggalakkan penyelidikan mengenai teknologi jaminan SOTIF telah menjadi keutamaan.

Rajah 1 Analisis punca ujian jalan raya Uber tanpa pemandu kemalangan kereta

Keselamatan fungsi yang dimaksudkan bertujuan untuk mengelakkan risiko yang tidak munasabah yang timbul daripada bahaya akibat kefungsian yang tidak mencukupi bagi fungsi yang dimaksudkan atau konsep asasnya dicadangkan oleh ISO 21448 dan Definisi, sejak ISO memulakan pembangunan standard ini pada Februari 2016, versi draf PAS, CD, DIS dan FDIS telah dibentuk. Sebagai lanjutan daripada ISO 26262, ISO 21448 menangani masalah kefungsian yang tidak mencukupi tanpa kegagalan perkakasan rawak dan kegagalan sistem.

Penyelidikan SOTIF melibatkan banyak aspek seperti penambahbaikan reka bentuk fungsi sistem, analisis dan penilaian, pengesahan dan pensijilan, dan keperluan baharu sentiasa dibangkitkan dengan perkembangan teknologi dan pengenalan teknologi baharu. Oleh itu, Sukar untuk ISO 21448 untuk secara khusus merangkumi semua aspek yang berkaitan. Dalam beberapa tahun kebelakangan ini, banyak piawaian antarabangsa lain telah dicadangkan dan SOTIF telah menjadi objek penyelidikan yang penting, seperti yang ditunjukkan dalam Rajah 2.

Rajah 2 standard berkaitan SOTIF

Dari segi penilaian keselamatan produk automatik, UL 4600 bertujuan untuk menambah keselamatan fungsian dan standard SOTIF, mencadangkan pendekatan berorientasikan matlamat keselamatan yang memfokuskan pada "cara menilai" pemanduan autonomi sepenuhnya Situasi keselamatan; Untuk reka bentuk keselamatan, pengesahan dan pengesahan sistem pemanduan autonomi peringkat tinggi, ISO/TR 4804 menentukan proses reka bentuk berfungsi SOTIF dengan mematuhi ISO/PAS 21448, dan pembangunan lanjut ISO/AWI TS 5083 diperlukan untuk penilaian keselamatan berasaskan senario, ISO 34502 mencadangkan satu set proses penjanaan dan penilaian senario, dan secara khusus mempertimbangkan keadaan pencetus biasa SOTIF dalam proses mewujudkan perpustakaan senario memandangkan masalah selepas pengenalan teknologi baharu seperti buatan kecerdasan (artificialintelligence, AI), ISO/ AWI PAS 8800 yang akan dibangunkan bertujuan untuk menyediakan spesifikasi yang menangani kitaran hayat penuh isu pembangunan dan penggunaan sistem berkaitan AI untuk mengimbangi kekurangan pertimbangan isu AI dalam ISO 21448.

Dengan proses penyeragaman SOTIF, kerajaan dalam dan luar negara, perusahaan dan institusi penyelidikan telah menjalankan banyak penerokaan dalam penyelesaian praktikal SOTIF dalam beberapa tahun kebelakangan ini: Dari segi pembangunan produk, banyak syarikat seperti BMW dan Baidu telah cuba memperkenalkan SOTIF ke dalam keseluruhan proses pembangunan keselamatan Kitaran dari segi analisis dan penilaian keselamatan produk, syarikat seperti Continental dan ANSYS telah cuba memperkenalkan alat analisis keselamatan dan NHTSA telah menjalankan analisis dan amalan penilaian dan menyediakan laporan hasil; dari segi pengesahan dan pengesahan keselamatan, PEGASUS EU projek sambungannya VVM, SetLevel, projek SAKURA Jepun dan kumpulan kerja keselamatan berfungsi yang dijangkakan oleh Perikatan Kenderaan Pintar China telah digabungkan dengan SOTIF dalam amalan; penambahbaikan, banyak syarikat telah mencadangkan rancangan mereka sendiri, seperti Kesatuan Eropah DENSE, dsb. Projek ini memberi tumpuan kepada kekurangan fungsi khusus penderia dan komponen lain.

Standard dan aktiviti praktikal di atas menyediakan panduan rangka kerja untuk jaminan SOTIF kereta pintar (lihat Rajah 3 dalam proses penyelidikan dan pembangunan sebenar, teknologi jaminan khusus mesti digunakan untuk menyelesaikannya dengan berkesan masalah khusus yang dihadapi pada setiap peringkat. Walau bagaimanapun, bidang ini belum lagi membentuk sistem penyelidikan teknikal yang lengkap: di satu pihak, walaupun kesusasteraan semasa secara langsung mengenai SOTIF menunjukkan trend yang semakin meningkat, jumlah keseluruhannya masih agak kecil, dan kandungan terutamanya melibatkan penghuraian konsep dan makna, analisis keselamatan, pengesahan ujian dan Dari segi kejuruteraan sistem dan aspek-aspek lain, terdapat kekurangan penyelidikan sistematik dan menyusun teknologi jaminan SOTIF utama sebaliknya, walaupun hasil penyelidikan peringkat tinggi dalam banyak bidang berkaitan mempunyai kepentingan; inspirasi dan kepentingan rujukan untuk menyelesaikan masalah fungsi yang tidak mencukupi, mereka masih belum dimasukkan dengan jelas dalam skop penyelidikan teknologi Perlindungan SOTIF.

Rajah 3 Proses aktiviti asas jaminan SOTIF

Oleh itu, berdasarkan sejumlah besar laporan dan literatur penyelidikan dalam dan luar negara, artikel ini secara sistematik menganalisis dan menyusun teknologi utama jaminan SOTIF, dan mengemukakan prospek berdasarkan terhadap kelemahan penyelidikan yang sedia ada.

Gambaran Keseluruhan SOTIF

Takrifan masalah dan analisis sumber risiko yang jelas adalah prasyarat untuk memastikan SOTIF. Menganalisis dari perspektif sistem itu sendiri, masalah SOTIF terutamanya berpunca daripada dua aspek: (1) Spesifikasi yang tidak mencukupi bagi fungsi yang dijangkakan pada tahap kenderaan, batasan seperti keterbukaan pemandangan, kerumitan sistem, dan pengalaman pakar yang tidak lengkap boleh menyebabkan tingkah laku kenderaan yang buruk. reka bentuk Masalah timbul dalam proses spesifikasi, menjadikannya sukar untuk mencapai matlamat keselamatan yang ideal; (2) Ketidakcukupan dalam merealisasikan fungsi yang dijangkakan Walaupun spesifikasi fungsi yang diharapkan lapisan kenderaan cukup lengkap, disebabkan oleh had prestasi dan spesifikasi komponen sistem, fungsi seperti persepsi, membuat keputusan dan kawalan yang tidak mencukupi akan Pelaksanaannya mungkin tidak seperti yang diharapkan. Sebagai contoh, penderia dan penggerak mempunyai had prestasi seperti had atas persepsi dan keupayaan pelaksanaan atau terdedah kepada gangguan daripada faktor persekitaran luaran dan algoritma membuat keputusan mungkin mempunyai had dalam keteguhan, generalisasi, kebolehtafsiran, kesempurnaan logik, liputan peraturan; dan lain-lain soalan. Di samping itu, kemunculan dan evolusi bahaya SOTIF bergantung pada senario tertentu. Pertama, spesifikasi yang tidak mencukupi atau had prestasi yang dinyatakan di atas dicetuskan oleh keadaan tertentu dalam adegan, mengakibatkan tingkah laku berbahaya di samping itu, tingkah laku berbahaya yang disebutkan di atas akhirnya berubah menjadi bahaya kerana adegan semasa mengandungi sumber risiko yang berkaitan dan kebolehkawalan adegan; adalah rendah. Oleh itu, semasa proses jaminan SOTIF, adalah perlu untuk menyepadukan had sistem sendiri dan risiko senario operasi untuk mewujudkan sistem jaminan keselamatan.

Mengikut sama ada senario itu diketahui dan sama ada ia akan menyebabkan kemudaratan SOTIF, ia dibahagikan kepada empat jenis senario: diketahui selamat, diketahui tidak selamat, tidak diketahui tidak selamat dan tidak diketahui selamat matlamat Untuk meminimumkan kawasan yang sepadan bagi dua jenis senario tidak selamat melalui siri aktiviti dan teknologi yang berkaitan, terasnya ialah penemuan dan pemprosesan senario tidak selamat yang tidak diketahui. Seperti yang ditunjukkan dalam Rajah 4, realisasi matlamat jaminan SOTIF boleh diuraikan kepada dua aspek: mengubah yang tidak diketahui kepada yang diketahui dan mengubah yang tidak selamat kepada selamat. Pertama sekali, aktiviti seperti analisis dan penilaian SOTIF, pengesahan dan pengesahan, serta pengumpulan data utama, rakaman dan maklum balas dalam fasa operasi membantu untuk meneroka sepenuhnya senario yang tidak diketahui di samping itu, fasa pembangunan secara langsung menyasarkan peningkatan fungsi yang tidak mencukupi; , pemantauan risiko yang tidak diketahui, perlindungan dan berdasarkan fasa operasi Penambahbaikan fungsi sistem untuk mengumpul data adalah aktiviti yang diperlukan untuk mengubah senario tidak selamat kepada senario yang selamat di samping itu, pengesahan dan pengesahan, penilaian risiko sisa dan demonstrasi keselamatan adalah aktiviti penting untuk memastikan bahawa risiko baki adalah cukup rendah, dengan itu menyediakan asas untuk keluaran SOTIF. Yang berikut akan menyusun teknologi jaminan SOTIF utama yang sepadan dengan setiap aktiviti dari peringkat pembangunan dan peringkat operasi, dan menjalankan perbincangan terperinci mengenai teknologi peningkatan fungsi sistem kereta pintar.

Rajah 4 matlamat jaminan SOTIF dan proses pelaksanaan

Teknologi utama jaminan SOTIF dalam fasa pembangunan

Aktiviti jaminan SOTIF dalam fasa pembangunan sistem terutamanya termasuk analisis dan penilaian SOTIF, pengesahan dan pengesahan, peningkatan fungsi dan keluaran, dsb. Dokumen Bahagian ini akan menumpukan pada memperkenalkan teknologi utama dalam setiap pautan.

1. Analisis dan penilaian SOTIF

Menggunakan teknologi analisis keselamatan yang berkesan boleh meningkatkan kecekapan, kelengkapan dan analisis bahaya SOTIF, potensi kekurangan fungsi dan keadaan saintifik. Teknik analisis keselamatan tradisional, seperti analisis pokok kesalahan, analisis mod kegagalan dan kesan, analisis bahaya dan kebolehkendalian, dsb., telah digunakan dalam analisis dan penilaian SOTIF teknologi baharu yang diwakili oleh kereta pintar telah membawa perubahan dalam sifat kemalangan dan baharu Cabaran keselamatan baharu seperti jenis bahaya, pengurangan toleransi terhadap kemalangan tunggal, peningkatan kerumitan sistem, dan interaksi manusia-komputer yang rumit memerlukan teknik analisis keselamatan yang lebih berkesan, analisis proses teori sistem (STPA) (lihat Rajah 5) berpotensi untuk menganalisis sistem yang kompleks, termasuk empat langkah mentakrifkan tujuan analisis, membina struktur kawalan, mengenal pasti tingkah laku kawalan yang tidak selamat, dan mengenal pasti senario penyebab Ia telah digunakan untuk analisis SOTIF persepsi, membuat keputusan, dan sistem pemanduan autonomi sepenuhnya. Walau bagaimanapun, ketersediaan satu teknologi adalah terhad, dan kelebihan masing-masing boleh digabungkan untuk membangunkan teknik analisis SOTIF yang lebih berkesan.

Rajah 5 Proses pelaksanaan teknologi STPA

Selain itu, pengenalan teknik pemodelan khusus ke dalam analisis SOTIF akan membantu meningkatkan lagi hasil analisis. Struktur kawalan yang dibina oleh teknologi STPA tradisional menerangkan logik pengendalian dalaman sistem, tetapi tidak memodelkan hubungan antara fungsi dan persekitaran operasi, dan lain-lain digunakan untuk mengimbangi kelemahan di atas dengan memodelkan hubungan penukaran antara keadaan kenderaan dan keadaan persekitaran, ia boleh menjadi lebih tepat Kenal pasti bahaya secara menyeluruh. Model perhubungan kausal membantu dalam membimbing analisis keadaan pencetus, had prestasi atau kekurangan spesifikasi yang sepadan dengan tingkah laku berbahaya Contohnya, rangkaian Bayesian telah digunakan untuk membina kebergantungan hierarki antara had prestasi yang dirasakan dan keadaan pencetus adegan, digabungkan dengan jadual kepercayaan bersyarat. dan nilai P Teknik seperti pemeriksaan dan analisis pakar boleh digunakan untuk menilai secara kuantitatif perhubungan ini dan mendedahkan keadaan pencetus baharu. Selain itu, menyusun dan mengemas kini elemen asas seperti elemen pemandangan, keadaan pencetus dan had prestasi pada peringkat awal dan semasa proses, dan mewujudkan perhubungan pemetaan yang berkaitan akan membantu meningkatkan kecekapan dan kekomprehan analisis SOTIF.

Penilaian risiko hendaklah dijalankan ke atas bahaya SOTIF yang dikenal pasti. Teknologi seperti STPA sendiri tidak mempunyai fungsi pengkuantifikasian risiko, maka ia perlu diperluaskan dengan sewajarnya Analisis bahaya dan penilaian risiko (HARA) dan tahap integriti keselamatan automotif (ASIL) dalam bidang keselamatan berfungsi Beberapa kajian telah dipertingkatkan. dan menggunakannya dalam penilaian risiko SOTIF. Model kebarangkalian Bayesian, sebagai kaedah statistik, juga telah digunakan untuk mengukur risiko berkaitan SOTIF dan sempadannya. Walau bagaimanapun, disebabkan oleh peningkatan kerumitan senario dan kesukaran statistik, pergantungan keadaan pencetus pada senario, dan ketidakpastian algoritma AI, penyelidikan sedia ada masih belum dapat menjelaskan dan menyatukan definisi risiko SOTIF dan kaedah kuantifikasinya adalah keperluan mendesak untuk meneroka dan mencadangkan kaedah dan teknik analisis kuantitatif SOTIF yang berkesan. Di samping itu, untuk mengelakkan kerumitan HARA kereta pintar yang tidak boleh diterima, teknik seperti penguraian tugas, kelas kesetaraan dan analisis impak, dan pembinaan semula model boleh digabungkan untuk mengurus kerumitannya.

2. Penambahbaikan fungsi SOTIF

Sebagai tindak balas kepada risiko yang tidak munasabah yang disebabkan oleh fungsi yang tidak mencukupi, penambahbaikan fungsi perlu dilakukan untuk mengurangkan kawasan yang tidak selamat. Terdapat banyak teknologi peningkatan fungsi pada peringkat ini, yang boleh dibahagikan terutamanya kepada tiga laluan teknikal: ① peningkatan prestasi, seperti meningkatkan had atas prestasi sensor tertentu atau model persepsi itu sendiri ② pemantauan dan perlindungan risiko, iaitu melalui; keadaan yang mencetuskan (termasuk Penyelewengan yang boleh dijangka secara munasabah), status fungsi yang tidak mencukupi, dsb. untuk memantau risiko SOTIF, supaya menerima pakai teknologi perlindungan yang disasarkan, seperti penghapusan sumber risiko, sekatan fungsi atau pemindahan kebenaran, dsb. Selain itu, domain reka bentuk operasi (domain reka bentuk operasi) juga boleh dikenal pasti secara langsung Penjelasan, pemantauan dan pengehadan ODD) memberikan rujukan untuk perlindungan risiko ③ Keberkesanan fungsi, seperti mereka bentuk modul fungsi yang berlebihan untuk meningkatkan prestasi keseluruhan. Bahagian 3 akan menyusun secara sistematik teknologi peningkatan fungsi yang sepadan untuk setiap modul dan lapisan kenderaan kereta pintar.

3. Pengesahan dan pengesahan SOTIF

Pengesahan dan pengesahan ialah aktiviti penting untuk terus menemui senario yang tidak selamat dan membuktikan bahawa SOTIF dilindungi sepenuhnya. Pengesahan SOTIF bertujuan untuk menyediakan bukti objektif untuk membuktikan pematuhan dengan keperluan tertentu, termasuk penderia, algoritma penderiaan, algoritma membuat keputusan, penggerak dan sistem bersepadu, dsb. Penunjuk pengesahan seperti ketepatan, kebolehpercayaan dan anti-gangguan, dsb. Pengesahan SOTIF bertujuan untuk menggunakan objektif dan kaedah pengesahan yang munasabah untuk menilai sama ada risiko baki boleh diterima di bawah senario yang diketahui dan tidak selamat. Matlamat pengesahan SOTIF digunakan untuk mengukur syarat untuk memenuhi kriteria penerimaan, yang boleh menganalisis prinsip penerimaan risiko seperti toleransi risiko, keseimbangan risiko positif, terendah yang munasabah boleh dilaksanakan, dan endogen terendah berdasarkan statistik kemalangan, prestasi pemandu manusia, dsb. Kematian kadar dll.

Pengesahan pengesahan SOTIF mesti mempertimbangkan secara menyeluruh keberkesanan, kebolehlaksanaan dan kos teknologi yang digunakan Contohnya, kos pengesahan, simulasi dan perisian dan perkakasan dalam gelung berdasarkan analisis dan perbandingan Walau bagaimanapun, kesahihan dan skop penggunaan bukti yang diberikan adalah terhad, ujian jalan terbuka boleh mencerminkan prestasi kenderaan yang paling realistik dalam persekitaran, yang kondusif untuk menembusi batasan pengetahuan dan model empirikal, dan perlombongan senario tidak selamat yang jarang diketahui Walau bagaimanapun, adalah sukar untuk menggunakan kaedah sedemikian sahaja. Dalam beberapa tahun kebelakangan ini, ujian berasaskan senario (lihat Rajah 6) telah dikaji dan diamalkan secara meluas. Di satu pihak, kaedah ini boleh memperuntukkan sumber ujian secara munasabah dengan menggabungkan platform yang berbeza seperti simulasi, perisian dan perkakasan-dalam-gelung, dan tapak ujian, dan seterusnya mengurangkan kos ujian dengan menggabungkan penilaian liputan senario ujian, pensampelan kepentingan, berbahaya. pengenalpastian tingkah laku dan teknologi lain, sebaliknya, Kaedah ini mengambil senario sebagai teras dan boleh digunakan untuk pengesahan SOTIF dalam senario yang mengandungi syarat pencetus berpotensi Ia juga boleh membantu pengesahan SOTIF melalui ujian pensampelan berdasarkan pengedaran senario sebenar atau penerokaan penuh. senario yang tidak diketahui.

Rajah 6 Kaedah dan proses ujian berasaskan senario

Penjanaan senario atau kes penggunaan khusus adalah prasyarat untuk pengesahan dan pengesahan Menurut sumber maklumat yang berbeza, ia terbahagi terutamanya kepada berasaskan pengetahuan dan data-. didorong. Yang pertama boleh merujuk kepada pengetahuan dan piawaian pakar serta pengalaman yang berkaitan, dsb. Kaedah biasa termasuk ontologi, yang biasanya bergantung pada pemanduan semula jadi atau data kemalangan untuk pengekstrakan. Bergantung pada matlamat penjanaan, ia terutamanya termasuk penjanaan adegan rawak dan penjanaan adegan utama boleh diperoleh daripada pemetaan dan gabungan keadaan pencetus berpotensi yang dikenal pasti, atau boleh dijana secara automatik dengan menentukan penunjuk seperti tahap bahaya tempat kejadian. Penjanaan sampel adversarial ialah kaedah penjanaan senario utama yang berkesan Ia menggabungkan maklumat seperti kecerunan untuk menjana senario kritikal keselamatan secara automatik yang lebih berkemungkinan mencetuskan fungsi sistem yang tidak mencukupi, dengan itu meningkatkan kecekapan ujian Dalam proses penjanaan senario, persamaan dengan dunia sebenar adalah jaminan Ia merupakan prasyarat penting untuk keberkesanan ujian, dan penjanaan gangguan yang boleh diterima adalah teknologi penting untuk mencapai matlamat di atas. Di samping itu, penguraian fungsi yang sesuai adalah sangat penting untuk mengatasi letupan ruang parameter dan mengurangkan jumlah ujian Menurut objek ujian yang berbeza, pertimbangan yang berbeza harus dibuat apabila menjana senario untuk modul berfungsi yang berbeza, contohnya, untuk penderia dan modul penderiaan. anda boleh memilih untuk memasukkan hujan Adegan cuaca buruk seperti salji dan kabus atau objek pengesanan sasaran tertentu untuk modul membuat keputusan, ia boleh menumpukan pada pemilihan senario seperti gangguan trafik untuk pengawal dan penggerak, senario termasuk kerja yang melampau; keadaan, jalan yang keras dan keadaan persekitaran perlu Pertimbangan penting.

Memilih senario tertentu daripada senario atau perpustakaan senario yang dihasilkan ialah langkah penting dalam menentukan keterwakilan ujian, liputan dan kos Ruang parameter adalah kompleks dan berterusan, jadi kaedah pensampelan boleh digunakan untuk pertama Perbezaan dalam empirikal maklumat dibahagikan kepada persampelan berdasarkan julat parameter dan persampelan berdasarkan taburan parameter. Teknologi biasa yang digunakan termasuk ujian gabungan, reka bentuk eksperimen interaktif, teknologi rawak, dll.; Ujian dipercepatkan ialah cara penting untuk meningkatkan kos ujian Teknik biasa termasuk teori nilai melampau, persampelan kepentingan dan rantai Markov Monte Carlo. Di samping itu, beberapa penyelidikan menumpukan pada pemilihan senario berdasarkan pemalsuan, seperti penapisan senario utama dengan mempertimbangkan ciri-ciri seperti data kemalangan atau kritikal dan kerumitan senario, atau menggunakan simulasi untuk ujian tekanan adaptif, pemodelan alternatif dan pengoptimuman stokastik, dan pencarian penyesuaian .

Platform ujian termasuk simulasi maya, perisian dan perkakasan-dalam-gelung, kenderaan-dalam-gelung, dan tapak ujiannya meningkat secara beransur-ansur, tetapi ujiannya kos, risiko keselamatan dan skalabiliti meningkat secara beransur-ansur Untuk mengurangkan risiko, untuk menggunakan sepenuhnya sumber terhad, simulasi dan teknologi ujian dalam gelung harus diberi keutamaan sambil memenuhi keperluan ujian. Di samping itu, kebolehgunaan simulasi dan teknik ujian dalam gelung boleh dipertingkatkan lagi dengan membangunkan model sensor kesetiaan tinggi (cth. menggunakan model fenomenologi).

Penunjuk penilaian adalah asas untuk menilai sama ada sistem atau komponen memenuhi keperluan yang ditetapkan atau baki risiko cukup rendah boleh termasuk subjektif/objektif, mikro/makro, pendek. jangka/jangka panjang dan jenis lain , tetapi ia digunakan terutamanya untuk menilai kelakuan keseluruhan kenderaan dan tidak sesuai untuk komponen fungsi tertentu pada masa ini, penilaian persepsi dan model ramalan juga mempunyai masalah seperti piawaian yang berbeza; terutamanya memberi tumpuan kepada penilaian ketepatan dan pertimbangan keselamatan yang tidak mencukupi. Oleh itu, penunjuk SOTIF yang sesuai untuk penilaian fungsi kereta pintar perlu dicadangkan.

Selain itu, teknologi pengesahan formal menggunakan kaedah pemodelan matematik untuk memastikan ketepatan sistem dan hasil pengesahan yang ketat, jadi ia amat penting kepada sistem kritikal keselamatan seperti kereta pintar. Dari segi pengesahan tingkah laku kenderaan, teknologi seperti pembuktian teorem dan analisis kebolehcapaian telah mendapat banyak perhatian dari segi penyepaduan sistem, pengesahan formal boleh digunakan untuk menyeragamkan ketepatan integrasi komponen yang berbeza (seperti pengawal dalam); Selain itu, kaedah formal digunakan dalam Medan AI yang diwakili oleh pembelajaran mesin telah dikaji secara meluas dan boleh digunakan selanjutnya untuk mengesahkan modul fungsi yang berkaitan seperti persepsi dan ramalan. Walau bagaimanapun, kos pelaksanaan teknologi ini adalah tinggi, dan kebolehskalaannya kepada sistem yang kompleks, senario terbuka dan model kotak hitam adalah terhad, jadi ia masih memerlukan penerokaan dan penambahbaikan selanjutnya.

Ringkasnya, pada masa ini terdapat pelbagai teknologi yang boleh digunakan untuk pengesahan dan pengesahan SOTIF, dan hasilnya boleh dipertingkatkan lagi dengan menggabungkan kelebihan teknologi yang berbeza. Walau bagaimanapun, pengesahan SOTIF masih menghadapi cabaran yang teruk disebabkan oleh senario yang kompleks dan boleh diubah serta kesan ekor panjang, sistem kereta pintar yang kompleks dan pelbagai serta lelaran kemas kini pantas, serta kekurangan spesifikasi penilaian SOTIF.

4. Keluaran SOTIF

Pada akhir fasa pembangunan, ia mesti ditunjukkan sama ada sistem mematuhi garis panduan keluaran SOTIF. Schwalb et al mencadangkan rangka kerja kebarangkalian untuk mengukur risiko sisa SOTIF secara beransur-ansur. Di samping itu, selepas aktiviti di atas seperti analisis dan penilaian, penambahbaikan reka bentuk, dan pengesahan pengesahan, dokumen keselamatan yang lengkap boleh dibentuk, dan kemudian teknologi seperti perwakilan struktur sasaran dan rangkaian bukti yang diperluaskan boleh digunakan untuk menjalankan demonstrasi keselamatan , Misra mencadangkan mesin keadaan untuk menerokai fungsi yang dijangkakan yang boleh menyebabkan bahaya, dan pernyataan keselamatan yang sepadan ditegaskan Atas dasar ini, struktur argumentasi SOTIF dibina berdasarkan perwakilan struktur sasaran.

Selain teknologi jaminan yang disasarkan untuk peringkat aktiviti yang dinyatakan di atas, pengoptimuman proses pembangunan sistem juga merupakan hala tuju penting jaminan SOTIF Contohnya, penggunaan kejuruteraan sistem tangkas boleh meningkatkan kecekapan pembangunan sistem, ekonomi dan Kebolehkesanan. Di samping itu, beberapa sarjana telah cuba untuk mengintegrasikan kaedah formal, manual peraturan, dll. ke dalam proses pembangunan sistem SOTIF, dan pada mulanya telah mencapai kesan pengoptimuman seperti mempercepatkan pembangunan, meningkatkan kebolehkesanan dan kebolehnilaian. Walau bagaimanapun, kaedah ini sendiri masih mempunyai masalah dalam kerumitan, skalabiliti, dan kebolehgunaan Selain itu, gabungan mereka dengan SOTIF masih dalam peringkat penerokaan, dan mempunyai kepentingan panduan yang terhad untuk proses pembangunan sebenar.

Teknologi utama untuk penambahbaikan fungsi kereta pintar

Realisasi fungsi kereta pintar bergantung pada setiap sub-modul, seperti yang ditunjukkan dalam Rajah 7. Di bawah pengaruh keadaan pencetus seperti penyalahgunaan yang boleh dijangka secara munasabah, fungsi yang tidak mencukupi seperti persepsi, kedudukan, membuat keputusan dan kawalan boleh membawa kepada bahaya SOTIF, dan penambahbaikan yang disasarkan boleh dibuat mengikut ciri setiap modul. Bahagian ini akan meringkaskan masing-masing daripada empat aspek: kedudukan persepsi, kawalan membuat keputusan, pemprosesan penyalahgunaan yang boleh dijangka secara munasabah dan peningkatan fungsi lapisan kenderaan.

Rajah 7 isu SOTIF di pelbagai peringkat kereta pintar

1. Penambahbaikan fungsi persepsi (termasuk kedudukan)

Realisasi fungsi persepsi bergantung terutamanya pada penderia dan model persepsi, jadi penambahbaikan fungsinya ditujukan terutamanya kepada batasan prestasi sensor dan fungsi model persepsi yang tidak mencukupi.

a. Penambahbaikan prestasi model sensor dan persepsi

Meningkatkan julat pengesanannya, ketepatan dan rintangan melalui pengoptimuman sensor teknologi Prestasi asas seperti keupayaan gangguan Contohnya, untuk menangani masalah Lidar terdedah kepada gangguan daripada hujan, kabus dan habuk, terdapat pelbagai teknologi gema dan teknologi laser permukaan. Di samping itu, teknologi peningkatan prestasi untuk model persepsi berkait rapat dengan algoritma persepsi yang digunakan Pada peringkat ini, fungsi persepsi kereta pintar secara amnya menggunakan algoritma pembelajaran mesin Menurut prinsip kerjanya, peningkatan prestasi model persepsi boleh dibahagikan kepada aspek-aspek berikut.

(1) Peningkatan data latihan. Pertama, kekayaan data latihan boleh dipertingkatkan dengan menggunakan penyelesaian pengumpulan data kos rendah berskala besar yang digabungkan dengan kaedah anotasi automatik/separa automatik untuk mengurangkan kos, sekali gus meningkatkan jumlah data latihan. Selain itu, teknologi pengumpulan data boleh dipertingkatkan untuk meningkatkan kualiti data, dan teknologi pembersihan, penapisan dan pembetulan data boleh digabungkan untuk mengurangkan masalah data latihan yang disebabkan oleh ralat pengumpulan atau pelabelan. Di samping itu, kesan latihan boleh dipertingkatkan melalui pengedaran data latihan yang munasabah.

(2) Penambahbaikan model latihan. Reka bentuk seni bina model secara langsung memberi kesan kepada prestasi persepsi Contohnya, disebabkan oleh kelebihan semula jadi rangkaian saraf konvolusi untuk pemprosesan maklumat imej, prestasi rangkaian yang ditambah dengan reka bentuk ini secara amnya lebih baik daripada perceptron berbilang lapisan mudah. rangkaian. Mengoptimumkan reka bentuk model persepsi kini merupakan hala tuju penyelidikan utama dalam bidang seperti penglihatan komputer, jadi prestasi persepsi juga telah dipertingkatkan dengan pantas. Di samping itu, mengoptimumkan reka bentuk model juga boleh meningkatkan kesan pengesanannya pada objek yang tidak diketahui, dengan itu mengurangkan baki risiko.

(3) Penambahbaikan proses latihan. Untuk menangani masalah data latihan yang tidak mencukupi atau senario yang mungkin tidak diketahui, teknologi seperti peningkatan data, pembelajaran pemindahan dan pembelajaran aktif boleh digunakan untuk meningkatkan kecekapan penggunaan data atau label terhad Antaranya, peningkatan data untuk algoritma persepsi, sebagai tambahan kepada kaedah tradisional seperti membalik dan memotong imej, , menyebabkan keadaan cuaca hujan, salji dan kabus juga merupakan cara untuk meningkatkan prestasi yang dilihat dalam cuaca buruk. Untuk menangani masalah potensi kefungsian yang tidak mencukupi, teknik seperti latihan lawan boleh membantu mengurangkan kecacatan model dan meningkatkan kekukuhannya berdasarkan data terhad. Di samping itu, menambah baik fungsi kehilangan atau ganjaran dan secara rasional menggunakan teknik seperti normalisasi dan regularisasi boleh membantu meningkatkan lagi prestasi model.

b. Anggapan pemantauan dan perlindungan risiko SOTIF

Bahagikan sumber risiko SOTIF yang dirasakan kepada keadaan pencetus luaran dan dalaman Tidak mencukupi fungsi boleh digunakan sebagai rujukan untuk pemantauan risiko. Antaranya, keadaan cuaca buruk seperti hujan, salji, kabus dan hujan batu adalah keadaan pencetus penting untuk mengesan masalah SOTIF Beberapa kajian telah mewujudkan hubungan kesannya melalui analisis eksperimen, menyediakan asas untuk memantau keadaan pencetus luaran. Pemantauan keadaan cuaca buruk boleh menggunakan model persekitaran tertentu atau penderia cuaca Sebagai contoh, penderia hujan kenderaan termasuk kapasitif, optik, piezoelektrik, perintang, pengimejan CCD dan jenis lain, digabungkan dengan statistik atau pembelajaran mendalam Menggunakan kaedah lain, data output oleh kamera sendiri juga boleh digunakan secara langsung untuk memantau keadaan cuaca yang teruk atau gangguan yang disebabkan olehnya. Di samping itu, beberapa kajian memberi tumpuan kepada pemantauan langsung defisit prestasi persepsi, seperti dengan mengubah suai model, menyesuaikan proses latihan, dan memperkenalkan maklumat lain untuk mencapai anggaran dalam talian prestasi persepsi.

Boleh melakukan pembatalan gangguan untuk data penderia yang terjejas oleh keadaan persekitaran. Pertama, penalaan dalaman parameter sensor boleh digunakan untuk meningkatkan kualiti datanya dalam cuaca buruk. Selain itu, gangguan boleh dihapuskan dengan menambahkan peranti tambahan, seperti membersihkan kotoran pada sensor dengan cecair atau pengelap, dan peranti pemanasan sendiri boleh ditambah untuk mengelakkan kesan buruk pada kamera yang disebabkan oleh hujan, salji, ais atau fros. Selain itu, teknik prapemprosesan seperti penyahdenosan data juga boleh digunakan untuk mengalih keluar gangguan persekitaran Sebagai contoh, algoritma biasa untuk penyahkabusan imej termasuk peningkatan imej, pemulihan imej berdasarkan model kemerosotan atmosfera dan kaedah berasaskan pembelajaran yang mendalam dehazing. Teknologi hujan terbahagi kepada dua kategori: penyingkiran titisan hujan (dipatuhi pada kanta) dan penyingkiran hujan (teredar di udara); untuk Lidar, beberapa produk komersial sudah mempunyai fungsi pembetulan imej automatik yang boleh menapis titisan hujan melalui penilaian berorientasikan piksel dan kepingan salji.

Selain itu, anda juga boleh melangkau langkah penghapusan gangguan dan terus meningkatkan keupayaan model persepsi untuk memproses data yang mengandungi gangguan. Sebagai contoh, Huang et al memperkenalkan jenis rangkaian dwi subnet baharu - DSNet untuk menyelesaikan masalah pengesanan sasaran dalam imej berkabus Walaupun mengekalkan kelajuan tinggi, prestasi pengesanan adalah lebih baik daripada banyak pengesan sasaran termaju dan model gabungan "penyahkabusan. + pengesanan".

c. Lebihan fungsi persepsi

Mensasarkan had prestasi penderia tunggal dan model persepsinya, berbilang -sensor fusion Ia merupakan teknologi penambahbaikan yang penting. Pertama sekali, gabungan penderia yang serupa boleh meningkatkan julat penderiaan melalui susun atur rasional berbilang penderia, seperti mengatur berbilang kamera di sekeliling kenderaan untuk mendapatkan perspektif persepsi 360° sebagai tambahan, gabungan penderia berbilang jenis akan membantu mengatasi batasan yang wujud; daripada satu jenis penderia. Had prestasi meningkatkan kepelbagaian dan ketepatan pemerolehan maklumat alam sekitar, seperti menggunakan kelebihan Lidar dalam julat yang tepat untuk mengimbangi kekurangan fungsi kamera, atau menggabungkan analisis maklumat yang berlebihan untuk menentukan anomali penderia. Mengikut ciri-ciri sensor bersatu, ia boleh dibahagikan kepada gabungan berdasarkan gabungan kamera, Lidar dan Radar yang berbeza mengikut tahap maklumat gabungan, ia boleh dibahagikan kepada gabungan tahap data, tahap ciri dan tahap sasaran ; kaedah gabungan biasa seperti kaedah purata wajaran penyesuaian, algoritma Kelas pengelompokan, inferens Bayesian, dsb. Penyelidikan semasa mempertimbangkan kesan keadaan pencetus seperti cuaca buruk, dan telah menjalankan banyak penerokaan pada seni bina gabungan optimum, reka bentuk model, strategi latihan, set data berbilang modal, dsb., dan telah mencapai beberapa hasil yang ketara. Di samping itu, dalam senario trafik bandar yang kompleks, dengan memperkenalkan maklumat penderiaan tepi jalan dan bandar untuk mencapai penyelesaian penderiaan kolaboratif bersepadu, ia juga merupakan hala tuju penyelidikan yang penting untuk menyelesaikan masalah fungsi penderiaan basikal yang tidak mencukupi.

d. Peningkatan fungsi penentududukan

Pelaksanaan fungsi penentududukan terutamanya termasuk penentududukan mutlak berdasarkan sistem satelit navigasi global dan sebagainya. Kedudukan relatif berdasarkan penyetempatan dan pemetaan serentak (SLAM), dsb. Masalah biasa SOTIF yang pertama termasuk fenomena berbilang laluan yang disebabkan oleh pantulan bangunan, kekeliruan kedudukan atau kehilangan isyarat kedudukan yang disebabkan oleh halangan seperti kemudahan trafik atau lembah gunung Kaedah seperti ketinggian GPS atau perbandingan nilai mutlak tekanan udara boleh digunakan untuk menangani isyarat kedudukan kekeliruan pada bahagian yang ditinggikan Masalah; yang terakhir termasuk penentududukan SLAM berdasarkan kamera atau Lidar, dsb. Oleh itu, masalah SOTIF yang dihadapinya adalah serupa dengan persepsi, seperti cuaca buruk yang membawa kepada pengurangan ketepatan kedudukan, dsb., yang boleh dipertingkatkan. melalui teknologi seperti gabungan pelbagai sensor dan pengoptimuman algoritma.

2 Penambahbaikan fungsi kawalan keputusan

a. >Kaedah membuat keputusan arus perdana termasuk dua kategori: pembuatan keputusan berasaskan peraturan dan pembuatan keputusan berasaskan pembelajaran. Kelebihan yang pertama adalah kebolehtafsiran yang kuat, pengenalan pengalaman pakar yang mudah, dan kebolehpercayaan yang kuat Walau bagaimanapun, ia terdedah kepada pengehadan seperti spesifikasi yang tidak mencukupi, keupayaan penaakulan kognitif yang tidak mencukupi dalam senario dinamik dan kompleks, generalisasi yang tidak mencukupi dan skalabiliti algoritma yang tidak mencukupi. Sebagai tindak balas kepada masalah di atas, pertama sekali, logik membuat keputusan boleh dioptimumkan secara berterusan melalui kaedah seperti pengumpulan pengalaman dan sumbang saran Teknik analisis sistem seperti STPA juga mempunyai kepentingan panduan tertentu untuk meningkatkan kesempurnaan reka bentuk peraturan membuat keputusan. . Selain itu, pengenalan teori pemodelan baharu dan maklumat serta teknik seperti templat senario boleh meningkatkan kebolehgeneralisasian kaedah membuat keputusan kepada senario yang kompleks dan tidak diketahui. Di samping itu, pengenalan modul ramalan yang berasingan boleh meningkatkan keupayaan membuat keputusan untuk mengenali senario, sekali gus mengimbangi kelemahan model asal.

Dalam beberapa tahun kebelakangan ini, semakin banyak penyelidikan telah menumpukan pada kaedah membuat keputusan berasaskan pembelajaran, seperti pembelajaran tiruan dan pembelajaran pengukuhan. Idea penambahbaikan bagi kaedah jenis ini adalah sama dengan peningkatan prestasi model persepsi yang dinyatakan di atas, iaitu prestasi membuat keputusan boleh dipertingkatkan dengan menambah baik data latihan, model dan proses latihan.

b. Pemantauan dan perlindungan risiko SOTIF yang membuat keputusan

Modul fungsi membuat keputusan merumuskan strategi yang sepadan berdasarkan maklumat persekitaran yang diperolehi dengan mengandaikan bahawa maklumat yang diperolehi oleh modul penentududukan penderiaan adalah cukup tepat, risiko SOTIF yang membuat keputusan terutamanya datang daripada keadaan pencetus dalam. persekitaran operasi (seperti kesan gangguan lalu lintas pada algoritma membuat keputusan Cabaran) dan isu keselamatan yang disebabkan oleh fungsi modul membuat keputusan yang tidak mencukupi itu sendiri sepadan dengan dua faktor utama yang dipertimbangkan dalam pemantauan dan perlindungan risikonya.

Keadaan pencetus dalam persekitaran, seperti jenis jalan tertentu, boleh dikekang melalui OOD, dsb., digabungkan dengan analisis, penilaian dan keputusan pengesahan pengesahan, untuk menjelaskan secara beransur-ansur ODD yang digunakan untuk model keputusan, supaya Sebagai rujukan untuk memantau keadaan persekitaran, ia menggunakan teknologi seperti peta, kedudukan, dan pengecaman pemandangan khusus untuk menentukan risiko semasa dalam masa nyata. Dengan mensasarkan pergerakan peserta trafik yang tidak menentu dalam persekitaran, keputusan membuat keputusan yang lebih selamat boleh diperolehi dengan mereka bentuk model kuantifikasi risiko yang sepadan dan kaedah membuat keputusan keselamatan sensitif risiko di samping itu, teknologi pengesanan tingkah laku yang tidak normal boleh digunakan untuk mengesan trafik yang tidak dijangka; peserta dalam persekitaran.

Memandangkan potensi kekurangan fungsi modul membuat keputusan itu sendiri, teknologi pengesahan formal telah dikaji secara meluas dalam bidang pengesahan keselamatan membuat keputusan Idea asas adalah untuk mengesahkan sama ada keputusan semasa membuat keputusan akan membawa kepada kemalangan, dan kerasionalan andaian ini juga merupakan faktor penting yang mempengaruhi keberkesanan pengesahan keselamatan. Di samping itu, modul membuat keputusan dibahagikan kepada dua sub-modul utama: ramalan dan pemilihan tingkah laku, dan kuantifikasi fungsi ramalan yang tidak mencukupi boleh digunakan untuk pemantauan dan perlindungan risiko, seperti yang ditunjukkan dalam Rajah 8. Pembuatan keputusan yang selamat didayakan dengan mengukur dan menyebarkan ketidakpastian dalam model ramalan.

Rajah 8 Keputusan keselamatan mempertimbangkan ketidakpastian ramalan

Selain itu, untuk senario di mana keputusan pemanduan autonomi peringkat rendah sukar dikendalikan, risiko boleh dikurangkan dengan sekatan fungsi atau meminta pemandu mengambil alih.

c. Lebihan fungsi membuat keputusan

Mensasarkan batasan model membuat keputusan kelas tunggal , pembuatan keputusan hibrid (lihat rajah 9) Kelebihan pelengkap boleh digunakan untuk meningkatkan lagi fungsi. Contohnya, pembuatan keputusan berasaskan peraturan sukar untuk memodelkan persekitaran ketidakpastian dimensi tinggi, tetapi kebolehtafsiran dan kebolehpercayaannya boleh menggantikan pembuatan keputusan berasaskan pembelajaran. Mengambil keputusan hibrid pembelajaran kendiri yang mengintegrasikan peraturan sebagai contoh, ia termasuk melaraskan fungsi ganjaran melalui pengetahuan atau peraturan, melaraskan proses penerokaan, melaraskan tindakan output, atau melaraskan proses lelaran latihan strategi, dsb., yang boleh menambah baik kebolehpercayaan keputusan membuat keputusan. Selain itu, perkembangan teknologi seperti kerjasama awan kenderaan-jalan dan sistem kawalan awan memberikan sokongan kukuh untuk membuat keputusan keselamatan Pengenalan maklumat pemantauan status trafik, panduan kawalan membuat keputusan makro, sokongan kuasa pengkomputeran dan bantuan lain yang disediakan oleh awan. dan di tepi jalan boleh mengurangkan masalah sistem membuat keputusan on-board isu kefungsian yang tidak mencukupi.

Rajah 9 Rangka kerja am pembuatan keputusan hibrid

d. Penambahbaikan fungsi kawalan

Masalah SOTIF fungsi kawalan terutamanya merangkumi dua aspek : (1) Kawalan Had pemodelan dinamik lapisan membawa kepada perwakilan ciri dinamik kenderaan yang tidak mencukupi, dan pengawal itu sendiri juga mempunyai had prestasi seperti prestasi masa nyata; (2) Penggerak mempunyai ketepatan pelaksanaan, stereng maksimum atau sempadan keupayaan brek, dan keupayaan tindak balas masa nyata dan had lain, dan mungkin terjejas oleh gangguan luar seperti keadaan jalan raya, jentera, angin kencang, dsb. Oleh itu, penambahbaikan fungsinya boleh memberi tumpuan terutamanya kepada dua aspek di atas, seperti meningkatkan prestasi ketepatan penggerak, masa tindak balas, dan lain-lain, memantau keadaan kerja berisiko tinggi untuk perlindungan, menambah pengawal atau penggerak baharu untuk mencapai lebihan, dsb.; dalam peringkat algoritma, kawalan toleransi kesalahan yang teguh, dsb. adalah teknologi biasa untuk menambah baik model kawalan.

3. Pengendalian penyalahgunaan yang boleh diramalkan dengan munasabah

Pengenalpastian penuh penyalahgunaan yang boleh diramal secara munasabah dalam peringkat analisis dan penilaian merupakan prasyarat penting untuk menangani risiko tersebut seperti STPA boleh digunakan untuk membantu analisis . Terdapat banyak cara untuk menangani kemungkinan penyalahgunaan: Pertama, mengoptimumkan manual pengguna dan latihan boleh mengurangkan penyalahgunaan oleh pemandu dan penumpang disebabkan peraturan yang tidak jelas atau pengetahuan yang tidak mencukupi. Semasa memandu, amaran awal boleh diperolehi dengan memantau status pemandu dan penumpang, seperti status postur, status abnormal melampau, status tali pinggang keledar, dll. Kaedah pemerolehan maklumat pemantauan biasa termasuk kamera pemantauan pemandu, kedudukan tempat duduk, penderia stereng, dsb. . , Abbood et al mencadangkan model pengesanan dan ramalan keletihan, yang menggunakan maklumat penderiaan penderia seperti tindak balas murid dan isyarat EEG dan maklumat tersuai seperti profil pemandu untuk ramalan tingkah laku dan campur tangan. Apabila potensi risiko dikesan dan intervensi dijalankan, amaran atau cadangan tingkah laku boleh diberikan melalui bentuk visual, pendengaran, sentuhan dan lain-lain pada masa yang sama, kandungan interaktif harus dikaji secara munasabah dihantar melalui pemanduan separa autonomi menjejaskan sikap dan keselamatan pemandu, mencadangkan bahawa kuantiti dan jenis maklumat yang diberikan mesti dikawal selia. Selain itu, memandangkan potensi penyalahgunaan yang tidak dapat dielakkan, keselamatan boleh dipertingkatkan dengan mereka bentuk kaedah operasi berfungsi yang sukar dilaksanakan (seperti tempat duduk, kedudukan butang atau tindakan pengaktifan), dan mengehadkan kuasa pemandu dan penumpang dalam senario tertentu, seperti dalam senario berkelajuan tinggi Melumpuhkan pengaktifan fungsi tempat letak kereta bandar automatik.

4. Penambahbaikan fungsi lapisan kenderaan

Kereta pintar menyepadukan interaksi kompleks berbilang modul, dan penambahbaikan satu modul berfungsi tidak mencukupi untuk menjamin sepenuhnya SOTIF: Di satu pihak, setiap modul Masalah SOTIF yang sepadan sukar untuk dihapuskan sepenuhnya, dan risiko baki mesti diminimumkan dengan mengoptimumkan reka bentuk sistem kenderaan Sebaliknya, walaupun setiap modul berfungsi boleh mencapai fungsi yang diharapkan, spesifikasi yang tidak mencukupi dalam kenderaan reka bentuk masih boleh membawa kepada tingkah laku yang berbahaya. Oleh itu, masalah ketidakcukupan fungsi setiap modul dan keadaan pencetus yang dihadapinya harus dipertimbangkan secara menyeluruh dari peringkat kenderaan untuk merumuskan penyelesaian sistem.

Dalam reka bentuk sistem kenderaan, penyebaran risiko SOTIF antara modul berfungsi yang berbeza harus dipertimbangkan sepenuhnya. Dalam beberapa tahun kebelakangan ini, semakin banyak kajian telah memfokuskan pada kesisteman dan saling melengkapi antara fungsi huluan dan hiliran kereta pintar Andaian tentang prestasi sempurna modul pengesanan dan penentududukan huluan dalam risiko SOTIF yang membuat keputusan di atas sebenarnya sukar untuk dilakukan. Memandangkan masalah yang disebabkan oleh fungsi penderiaan dan kedudukan yang tidak mencukupi, Ini boleh dikompensasikan dengan reka bentuk keputusan. Contohnya, dengan mempertimbangkan persepsi yang tidak mencukupi yang disebabkan oleh bunyi input sensor dan oklusi dalam modul membuat keputusan, serta maklumat seperti ketidakpastian kategori dan ketidakpastian kedudukan dalam keputusan persepsi, kesan fungsi persepsi yang tidak mencukupi terhadap keselamatan kenderaan dapat dikurangkan. Selain itu, risiko akibat fungsi penderiaan atau membuat keputusan yang tidak mencukupi juga boleh dikurangkan melalui modul kawalan.

Selain itu, beberapa penyelidikan semasa memfokuskan kepada pembangunan kesedaran kendiri sistem (kesedaran diri), dengan itu meningkatkan kesedaran komprehensif dan keupayaan perlindungan risiko persekitaran operasi luaran dan fungsi dalaman. status. Realisasi kesedaran diri memerlukan pemahaman penuh tentang seni bina sistem dan modulnya dari peringkat kenderaan, seperti membina peta kemahiran, peta keupayaan dan pandangan berbilang lapisan seni bina kenderaan untuk kereta pintar, dan menyepadukannya ke dalam proses pembangunan; Berdasarkan keupayaan kesedaran kendiri kenderaan, pemantauan keselamatan sistem boleh dijalankan, seperti menggunakan penderia persekitaran dan penderia intrinsik kenderaan untuk melihat dan mewakili keadaan dalaman dan luaran, dan menggabungkan teknologi membuat keputusan keselamatan atau peraturan kendiri sistem untuk mencapai perlindungan risiko.

Apabila kerumitan sistem dan tahap gandingan setiap modul meningkat, permintaan untuk penyelesaian teknikal yang komprehensif untuk penambahbaikan SOTIF di peringkat kenderaan juga semakin meningkat mekanisme risiko yang tidak jelas dan penunjuk kuantitatif , teknologi pemantauan yang tidak sempurna, kepelbagaian seni bina sistem dan modul berfungsi, dan kesukaran dalam menganalisis sistem yang kompleks, dsb., yang masih sukar untuk ditangani dengan berkesan dengan teknologi semasa. Sistem perlindungan risiko SOTIF di peringkat kenderaan perlu dibangunkan lagi (lihat Rajah 10), dan jaminan sistem SOTIF boleh dicapai melalui pertimbangan menyeluruh terhadap penyebaran menegak risiko SOTIF dan pemantauan keseluruhan.

Rajah 10 Sistem perlindungan risiko SOTIF peringkat kenderaan

SOTIF menjamin teknologi utama semasa fasa operasi

Memenuhi garis panduan keluaran SOTIF tidak bermakna penghapusan sepenuhnya risiko. Di satu pihak, disebabkan oleh kesan long-tail senario, fasa operasi pasti akan menghadapi kekurangan fungsi atau keadaan pencetus yang tidak dipertimbangkan dalam fasa pembangunan sebaliknya, faktor seperti persekitaran, infrastruktur, dasar dan peraturan, tabiat tingkah laku, dsb. mungkin berlaku berbanding situasi dalam fasa pembangunan, mengakibatkan senario baru yang tidak selamat, seperti yang ditunjukkan dalam Rajah 11. Untuk menangani risiko yang tidak diketahui di atas dengan berkesan, sesetengah teknologi boleh digunakan untuk jaminan SOTIF semasa fasa operasi, yang terutamanya merangkumi dua kategori: perlindungan risiko jangka pendek dan peningkatan fungsi jangka panjang.

Rajah 11 Analisis sumber risiko yang tidak diketahui semasa operasi

Perlindungan risiko jangka pendek menyasarkan perlindungan masa nyata terhadap risiko yang tidak diketahui semasa fasa operasi, dan kuncinya terletak pada pemantauan risiko. Teknologi pengesanan anomali boleh digunakan untuk mengenal pasti input yang menyimpang daripada kawasan contoh data biasa dan menetapkan skor atau label anomali kepada mereka. Ia mempunyai keupayaan pemantauan tertentu untuk risiko yang tidak diketahui yang disebabkan oleh peralihan pengedaran atau kaedah biasa termasuk diawasi. kaedah separa diselia dan Tidak diselia dan kaedah lain pada mulanya telah digunakan dalam tugas seperti pembahagian semantik dan navigasi selamat berasaskan penglihatan.

Selain itu, beberapa penyelidikan memfokuskan pada perbandingan kaedah pengesanan anomali yang berbeza Henriksson et al mencadangkan rangka kerja penilaian pemantauan pembelajaran mendalam berstruktur, menggunakan 7 penunjuk penilaian untuk membandingkan dua jenis monitor. Prestasi monitor pemanduan automatik (pengelas rangkaian saraf konvolusi dan pengekod auto variasi) pada kes ujian yang berbeza, di mana monitor pemanduan autonomi boleh mengenal pasti adegan trafik baharu melalui pengesanan anomali mereka mengembangkan kerja di atas dalam penyelidikan seterusnya dan memilih 4 jenis rangkaian neural dalam dan 3 monitor berbeza, membandingkan prestasi monitor semasa peringkat latihan rangkaian yang berbeza, mengesan titik di mana prestasi monitor mula merosot. Selain itu, ketidakpastian kognitif boleh mencerminkan tahap keyakinan yang ditunjukkan oleh model semasa memproses input operasi sebenar Penyelidikan menunjukkan bahawa ia mempunyai keupayaan pengesanan tertentu untuk anjakan pengedaran, input data yang tidak diketahui, dsb. Kaedah biasa untuk mengekstrak ketidakpastian kognitif termasuk inferens anggaran Bayesian. Monte Carlo tercicir, integrasi mendalam dan regresi bukti mendalam, dsb., seperti yang ditunjukkan dalam Rajah 12. Sebagai tindak balas kepada risiko yang dipantau, keselamatan boleh dijamin melalui reka bentuk model membuat keputusan dan penukaran strategi yang sensitif kepada ketidakpastian.

Rajah 12 Kaedah biasa untuk mengekstrak ketidakpastian epistemik

Peningkatan fungsi jangka panjang bertujuan untuk melaksanakan penambahbaikan fungsi dan peningkatan sistem untuk bahaya SOTIF baharu yang ditemui semasa fasa operasi, dengan itu menghapuskan risiko berkaitan dengan lebih berkesan, antaranya Teknologi biasa seperti penemuan dan rakaman data utama, pembelajaran tambahan dan platform pertumbuhan, dan peningkatan OTA. Pertama sekali, faktor utama yang membawa kepada kekurangan fungsi yang diharapkan bagi kereta pintar atau pelaksanaannya semasa fasa operasi harus ditemui dan direkodkan secara khusus, ini boleh digabungkan dengan pemantauan risiko yang tidak diketahui semasa operasi, berisiko tinggi atau data kemalangan perlombongan, dan pengesanan perubahan dalam faktor luaran seperti persekitaran dan peraturan dan lain-lain kaedah untuk mencapai. Selain itu, penubuhan dan penambahbaikan sistem kemas kini dan mekanisme lelaran berdasarkan maklum balas data utama adalah jaminan penting untuk menyelesaikan sepenuhnya masalah baharu yang ditemui Contohnya, syarikat seperti Tesla telah membuat penerokaan tertentu dalam platform pembelajaran dan pertumbuhan pemanduan autonomi , dan teknologi seperti pembelajaran berterusan digunakan dalam pembelajaran mesin Bidang lain juga telah menunjukkan potensi untuk menangani senario ekor panjang. Selain itu, teknologi naik taraf jauh seperti OTA boleh meningkatkan kos dan kecekapan mengemas kini perisian pemanduan autonomi dengan berkesan.

Prospek dan Ringkasan Penyelidikan

Berdasarkan menyusun teknologi utama sedia ada untuk perlindungan SOTIF, dan menyepadukan kekurangan penyelidikan dan trend pembangunan, perkara berikut penyelidikan dicadangkan Outlook.

(1) Mengukuhkan penyelidikan teori asas tentang jaminan SOTIF. Bermula dari intipati masalah SOTIF, kaji mekanisme penjanaan, penyebaran dan evolusi risiko SOTIF. Melalui analisis teori dan pengesahan eksperimen, kami menyelesaikan potensi kekurangan fungsi kereta pintar, keadaan yang mencetuskan dan hubungan impak antara mereka digabungkan dengan seni bina fungsi biasa kereta pintar, kami meneroka kesan dan mekanisme penyebaran isu SOTIF antara modul yang berbeza; , dan mengkaji dinamik risiko berdasarkan evolusi senario pada masa yang sama, memandangkan ketidakpastian dan masalah kotak hitam yang wujud dalam teknologi baharu seperti AI, kami menjalankan penyelidikan mendalam tentang sebab-sebab penting untuk fungsi sistem yang tidak mencukupi. . Di samping itu, digabungkan dengan penyelidikan dalam statistik, teori maklumat dan disiplin lain, model kuantifikasi risiko SOTIF dibina untuk meletakkan asas teori bagi pelaksanaan pensijilan penilaian luar talian dan teknologi pencegahan dan kawalan risiko dalam talian.

(2) Bina sistem teknologi perlindungan risiko SOTIF. Teroka idea penambahbaikan sistem berdasarkan penyelidikan teori untuk mengurangkan risiko SOTIF kenderaan. Menggabungkan mekanisme penjanaan bahaya SOTIF dan model risiko, meneroka dan mengoptimumkan teknologi penambahbaikan fungsi setiap modul kereta pintar, dan seterusnya membina sistem perlindungan risiko SOTIF peringkat kenderaan dengan persepsi kendiri dan keupayaan kawal selia kendiri. Seperti yang ditunjukkan dalam Rajah 13, maklumat seperti status dalaman sistem (seperti model AI), persekitaran operasi luaran (seperti ODD), dan kekangan lain (seperti peraturan lalu lintas) disepadukan untuk memantau, dan kemudian keselamatan penyesuaian. model membuat keputusan direka untuk melindungi risiko SOTIF.

Rajah 13 Sistem perlindungan risiko SOTIF

(3) Menggalakkan pembentukan mekanisme kemas kini yang jinak untuk teknologi jaminan SOTIF. Bidang kereta pintar semasa itu sendiri masih dalam peringkat penerokaan, dicirikan oleh kewujudan berbilang laluan dan kemas kini teknologi yang pantas Pada masa yang sama, dengan perkembangan teknologi, perubahan alam sekitar dan kewujudan jangka panjang. masalah ekor dalam senario, baru tidak diketahui dan tidak selamat Mungkin terus muncul. Oleh itu, mekanisme kemas kini yang sihat untuk penyelidikan teknologi jaminan SOTIF harus diwujudkan, proses automatik pemantauan masalah, maklum balas dan kemas kini harus diperbaiki, dan analisis automatik yang fleksibel, cepat dan mampan, pertumbuhan pembelajaran kendiri dan sistem pensijilan semula harus diterokai untuk merealisasikan integrasi teknologi jaminan SOTIF dan teknologi kereta pintar Membangunkan secara serentak.

Ringkasnya, penyelidikan SOTIF sangat penting sama ada kereta pintar akhirnya boleh diterima oleh masyarakat. Walau bagaimanapun, piawaian semasa dalam bidang ini masih belum lengkap, amalan industri masih dalam peringkat penerokaan dan kurang sokongan daripada sistem penyelidikan teknikal. Bermula dari intipati masalah SOTIF, artikel ini menyusun sistem teknologi jaminan SOTIF dan mencadangkan Ia menyediakan prospek penyelidikan, dengan itu membantu penyelidikan teknologi dan pelaksanaan industri SOTIF kereta pintar.

Atas ialah kandungan terperinci Teknologi utama untuk jaminan keselamatan fungsi yang dijangkakan bagi kereta pintar. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!