ISO 26262 是否足以应对自动驾驶系统的功能安全?(一)
ISO 26262 连载
第 1 章
连载简介
本连载分为三章,重点讨论以下几个方面:
第一章:ADS 所面临的普遍问题和挑战
第二章:ADS 在功能安全方面所面临的挑战
第三章:在功能安全的概念阶段,如何对 ADS 的具体项目进行功能抽象?(包含:相关项定义、HARA、ASIL、安全目标和 FSC 五个详细步骤)
第四章:为了解决复杂的 ADS 系统中的安全分析问题,详细介绍了三种技术:MBSE、CBD以及仿真和协同仿真技术
在过去的30年里,汽车行业的E/E系统技术已经实现了许多重大创新,例如,1978年的防抱死制动系统(ABS)、1995年的电子稳定程序(ESP)和2010年的防撞系统(见图1)。
图1:高级车辆功能的演变
从技术角度来看,引进新技术来实现所需功能。
从组织的角度来看,涉及到整个供应链,包括汽车生命周期中不同种类服务和产品的供应商。
我们将重点讨论技术方面的问题,以及自动驾驶功能的挑战和如何应用现有的 ISO 26262 汽车功能安全标准。
交易担保 牛喀星球 全球最具影响力的功能安全工程师认证证书!席位抢占中! Mini Program
表1中展示了SAE在标准J3016中对道路车辆驾驶自动化的不同定义,以及BASt和NHTSA的建议,并进行了比较。各个标准/建议所提出的等级之间的比较可以达到BASt的L4级,即'完全自动化'(见表1中的蓝线)。
L0. 仅限驾驶员 - 驾驶员辅助舒适系统(如限速器)。
责任人:驾驶员
安全状态:驾驶员始终控制车辆
安全状态:驾驶员完全控制车辆
L3. 高度自动化 - 驾驶系统在特定情况下控制横向和纵向运动一定时间(如motorway chauffeur 技术)。
在SAE J3016中,最高级别是 '完全自动化',也就是能够在没有驾驶员的情况下自动驾驶的车辆。本文暂时不讨论这个级别,目前的技术达不到。
未来几年,在引入自动驾驶功能同时,驾驶员的作用还是很重要的。对于高度的自动化,不应该要求驾驶员去应对出现的关键驾驶情况。如果出现了紧急情况,则自动驾驶系统应该能够自主处理任何一种驾驶情况 - 但这个概念仍然是一个前景预期,有望在2025-2035年左右成为现实。
过去,各大汽车制造商在独立完成的基础上实现车辆特定的 ADAS 功能,对这些相同的功能,OEM的功能命名还各不相同,例如自适应巡航控制(ACC)、主动巡航控制(ACC)、协同自适应巡航(CACC)、车距保持系统(Distronic Plus)。
为了保证汽车整车厂(OEM)的特定原创性,汽车功能本身以及操作和用户交互通常略有不同。对于自动驾驶系统功能,其自动化程度必须统一,否则,如果驾驶员在没有经过培训或取得NHTSA推荐的自动化车辆专用扩展驾驶执照,驾驶员将无法操作不同系统。
想要解决这个问题,一个重要方面就是让所有 OEM 的自动驾驶系统功能标准化和统一化。标准化不仅包括车辆本身,还包括实现自动驾驶系统功能所需的生态系统整体方面,如基础设施(如地图数据)或环境(如安全的C2X通信)。比如在航空领域,规则制定咨询委员会ARAC统一了所有的航空专用标准(如系统失效、空中交通状况不确定和人为因素故障)。
汽车行业也已经意识到有必要为公路车辆设立这样一个类似于航空领域的规则制定咨询委员会,因为未来的自动车辆,不会像过去的车辆那样,是一个独立的封闭系统了。
图2:不同的安全等级(LoS)
LoS1. 与产品耐用性有关的安全问题,其中必须涵盖产品的安全方面,以获得在特定客户市场上推出该产品的许可(例如高压系统的电气安全)。
LoS2. 功能安全,对机电系统中任何类型的失效(如可能导致危险事件的机械部件失效)进行跨部门的观察。
LoS3. 功能安全,强调电气和/或电子(E/E)系统的产品类型的失效(例如,必须监测和处理硬件内的失效,以实现系统的安全状态。对于汽车行业来说,这就意味着必须满足ISO 26262标准。
ISO 26262《道路车辆 - 功能安全》是通用工业功能安全标准 IEC 61508 的汽车行业专用衍生标准。ISO 26262于2011年11月发布,是乘用车E/E系统的最新国际标准。它为汽车E/E系统的设计、开发、生产、服务过程和正式停止使用的完整安全生命周期提供了结构化的通用方法。ISO 26262将汽车安全完整性等级(ASIL)定义为项目的安全关键危险情况的风险分类参数。这是安全生命周期中所有后续安全活动的重要参数。ASIL可以看作是一个参数,说明了要达到可容忍的风险水平时可以降低的风险要求。
整个系统工程必须包括可靠性、可用性、可维护性、信息安全和(功能)安全性等系统的各种特性。可靠性工程与安全工程和系统安全密切相关。两者采用相同的方法进行分析,并需要彼此有输入端。通常,可靠性工程主要侧重于系统停机引起的失效成本、备件成本、维修设备成本、人员成本和保修索赔成本。安全性工程通常不强调成本,而是强调对生命和自然的保护。因此,安全性工程只处理特定的安全关键和危险的系统失效模式。安全性和可靠性是不同的特性。一个系统可以是可靠但不安全的,同时也可以是不安全但可靠的(见图3)。此外,在某些情况下,这些属性甚至会相互冲突。
ISO 26262标准规定:'即使 ISO 26262(如主动和被动安全系统、制动系统、自适应巡航控制)存在专门的功能性能标准,但该标准不涉及E/E系统的标称性能。' ASIL不是自动驾驶系统功能的其他系统属性(如可维护性、可靠性、可用性)的标称性能指标。在对特定范围的某些分析中,需要研究其他问题的具体指标(如可维护系统的平均维修时间(MTTR))。
通过向 ISO 26262 标准引入要求和建议的方式,ISO 26262 标准提供了相关指导,以降低系统开发失败的风险,同时能应对E/E系统的复杂性。然而,遵守该标准对企业来说是一个巨大的挑战,因为ISO 26262设定了要求和建议,但并没有明确规定在特定的应用环境中应该如何有效地实施这些要求和建议。为了在特定的应用中实施ISO 26262 的要求和建议,功能安全方面的专家知识必须针对特定的应用对ISO 26262 进行深思熟虑的论证和记录。
交易担保 牛喀星球 全球认可的ISO 26262功能安全经理能力认证和从业资质证书 Mini Program
— 提高ADS的有效性
通常情况下,相互协作和交互以支持正常运行的元素或组件的集合体统称为系统。在一个系统中,交互是指通过物质、能量和信息(组件关系)之间的交流来实现各组件交换的过程。一旦发生失效,系统应该能够通过容错处理做出反应,从而捕获故障—以保证“系统及其预期功能继续有效”。
作为一种系统属性,安全旨在通过精确的错误检测来避免系统失效或失效导致任何实质性损坏(如人身伤害或环境破坏)。如果检测到错误,系统必须切换到被动安全状态,从而失去可用性或可靠性,以确保安全(失效完整性)。由于ADS的安全并不意味着系统的可用或安全,所以系统中的属性(如可用性、可靠性、安全性、保密性)对于整个系统的影响必须相互协调和平衡。
更高有效性的系统架构是保证系统可用性和失效运行特性的前提。因此,需不断扩充系统中的组件数量及其之间的交互,从而努力增加系统安全性并提高有效性。另外,当通过增加组件之间的非线性功能来进行重复地相互作用时,也会产生意想不到的效果。一个复杂系统中最重要的属性包括:
·非透明—仅部分系统及其组件的状态、交互和行为已知;
·灵敏度—系统结果因意外改变而受到干扰;
·不稳定性—极小的干扰会导致未知、有害的系统行为;
·内部动态—系统状态因系统本身而发生连续变化,且不受任何外部影响。
以上属性会促使其他故障的出现并将故障识别复杂化。尽管设置了最简单的组件和交互作用,但整个系统仍会生成无法从特定组件派生的形式、模式和行为动态。此属性称为突现,它是由系统组件的各种信号反馈引起的。
现实抽象化是一种常见的开发方法,它通过构建一个模型来简化现实状态并捕获系统典型的行为。因为并未考虑所有影响组件的参数(例如温度和摩擦),所以模型的状态空间始终小于现实世界的状态空间,且组件模型的合成无法显示所有操作状态或链接条件,特别是可能导致不良影响的和隐藏的链接(参见图4)。
在系统建模期间,组件之间未识别的以及不同集成度的联结可能会导致系统性失效。这些不透明的链接和对信号的反应会造成不良影响,包括突现(自发的系统行为,由最低水平的最小状态变化导致的自发无法直接推导的系统行为)、常见失效(单个失效、以及多个组件失效),驱动失控(未在概念或信号流中指定的功能被激活)和隐藏连接(系统中非预期的未被标识为失效的运行状态)。在这些情况下,当错误状态不可见时,系统将无法正常工作,并且可能导致系统中所有安全存储数据的丢失。由于功能链未知,必须在系统设计过程中发现这些不透明链接,否则已实施的安全机制会无效且无法激活。
为及时控制上述影响并防止造成伤害,需要通过安全的系统设计和增加系统的透明度来掌握复杂的系统任务。设计的质量、鲁棒性和容错性取决于所应用开发程序的预测潜力。
— 严格的ADS可用性和可靠性要求
汽车系统的高度自动化意味着以往很多(或者全部)需要驾驶员执行的任务现在将由控制系统的正确操作来执行。也就是说,当驾驶员“不直接操作车辆”时,某个功能的失效(例如,无法执行自动制动或自动转向)比驾驶员“直接操作”时更为关键。在系统安全性方面,如果系统中检测到错误(如ESP或ASR之类的稳定功能或某些其他触发条件被激活),在告知驾驶员停用信息的情况下可快速停用某些半自动功能(例如常规巡航控制或自适应巡航控制)。在车辆连续数个小时的自动驾驶之后,自动驾驶能力可能会突然丧失,这对于自动驾驶系统的安全性来说是至关重要的。在极端情况下,车辆会继续完全自主运行,甚至导致驾驶员没有任何可能接管车辆控制的能力。
因此,随着全自动汽车驾驶的发展,确保自动功能完全可用就变得尤其重要,然而传统的仅仅依靠功能停用和告知驾驶员 “fail-safe”的设计解决方案已不再适用。为此,fail-safe 设计需将容错设计考虑在内,以保证功能在系统故障时的正常运行。
由于高度自动化驾驶功能的潜在失效可能会导致严重后果,所以针对功能相关的安全完整性提出了严格的要求,因为它直接决定了车辆的性能。然而,值得注意的是,包括制动系统和转向系统在内的许多常规系统也需要高水平的安全完整性。因此,完整安全性并非ADS功能与其他车辆功能之间的根本区别,但是自动化功能往往意味着更严格的安全要求。
5月14日-16日 TüV认证ISO 26262功能安全工程师(FSE)资质培训
5月14日-16日 TüV认证ISO 21434汽车信息安全工程师(CSE)资质培训
5月22日-23日 预期功能安全标准(SOTIF)与实践技术高级培训
5月29日-30日 激光雷达和毫米波雷达、视觉传感器数据融合技术高级培训
6月05日 功能安全测试和验证技术培训
6月12日-13日 智能汽车电子电气架构实践技术培训
6月18日-20日 智能汽车网络安全应用实践技术高级培训
6月26日-27日 ADAS功能安全设计实践技术高级培训