智能汽车预期功能安全保障核心技术
发布时间:2022-10-15 09:58 所属栏目:125 来源:互联网
导读:由于性能局限、规范不足或可合理预见误用导致的预期功能安全问题层出不穷,严重阻碍了智能汽车的快速发展。本综述聚焦智能汽车预期功能安全保障关键技术,分别从系统开发、功能改进和运行3个阶段进行了系统的总结,最后从基础理论、风险防护和更新机制3方面
|
由于性能局限、规范不足或可合理预见误用导致的预期功能安全问题层出不穷,严重阻碍了智能汽车的快速发展。本综述聚焦智能汽车预期功能安全保障关键技术,分别从系统开发、功能改进和运行3个阶段进行了系统的总结,最后从基础理论、风险防护和更新机制3方面进行了展望。本文可为智能汽车预期功能安全研究提供重要参考依据。 前言 根据美国国家交通安全管理局(NHTSA)数据统计,约94%的交通事故由人为因素导致,智能汽车以机器代替人类驾驶员,在提高行车安全性方面具有重要意义。但现有技术尚不能充分发挥其安全潜力,此外在引入新技术消除原有问题的同时,新的安全问题也随之出现,如功能安全、信息安全和预期功能安全(safety of the intended functionality,SOTIF)问题。尤其随着智能汽车系统复杂化和智能化程度日益提升以及其运行环境的开放性和挑战性不断增加,由功能不足导致的SOTIF问题逐渐暴露,并成为制约智能汽车安全性保障的关键难题。此外,近年来出现的由于感知、决策等功能不足所导致的自动驾驶/辅助驾驶事故也反映了SOTIF问题的严峻性。图1为2018年发生的全世界第一起路测无人车撞死行人的事故原因剖析,其中感知和预测功能不足是该事故的主要致因因素。因此,推动SOTIF保障技术的研究已成为当务之急。 图片 图1 Uber路测无人车事故原因剖析 预期功能安全旨在避免由于预期功能或其实现的功能不足导致危害所产生的不合理风险,其基本概念由ISO 21448提出和定义,自2016年2月ISO启动该标准的制定工作以来,已形成PAS、CD、DIS和FDIS等版本的草案。ISO 21448作为ISO 26262的延伸,处理在不发生硬件随机失效和系统故障情况下的功能不足问题。 SOTIF研究涉及系统功能设计改进、分析评估、验证确认和认证等多方面问题,且随着技术发展和新技术的引入不断提出新的需求,因此,ISO 21448 难以具体涵盖所有相关内容。近年来,诸多其他国际标准相继提出并将SOTIF作为重要的研究对象,如图2所示。 图片 图2 SOTIF相关标准 在自动化产品的安全评估方面,UL 4600旨在补充功能安全和SOTIF标准,提出一种面向安全目标的方法,专注于“如何评估”全自动驾驶安全情况;针对高级别自动驾驶系统的安全设计、验证和确认,ISO/TR 4804确定了符合ISO/PAS 21448的SOTIF功能设计流程,并有待进一步开发ISO/AWI TS 5083;针对基于场景的安全评估,ISO 34502提出了一套场景生成和评估流程,并在场景库建立过程中针对性地考虑了SOTIF 典型触发条件;针对人工智能(artificialintelligence,AI)等新技术引入后的问题,待开发的ISO/AWI PAS 8800旨在提供解决AI相关系统开发和部署全生命周期问题的规范,以弥补ISO 21448中对AI问题考虑的不足。 伴随SOTIF标准化进程,近年来国内外政府、企业和研究机构在SOTIF实践方案方面进行了诸多探索:在产品开发方面,宝马、百度等诸多公司尝试将SOTIF引入其产品全生命周期安全开发流程;在产品安全分析评估方面,大陆、ANSYS等公司尝试引入安全分析工具,欧盟ENSEMBLE项目和NHTSA等进行了SOTIF分析评估实践,并提供了成果报告;在安全验证确认方面,欧盟PEGASUS及其延伸项目VVM、SetLevel、日本SAKURA项目以及中国智能网联汽车联盟预期功能安全工作组等在实践中与SOTIF进行了结合;在功能改进方面,诸多公司均提出了各自的方案,欧盟DENSE等项目则针对传感器等部件的具体功能不足问题进行了研究。 上述标准和实践活动为智能汽车SOTIF保障提供了框架性指导(见图3),而在实际研究和开发过程中,须采用特定的保障技术以有效地解决各阶段面临的具体问题。然而,该领域尚未形成完善的技术研究体系:一方面,当前直接以SOTIF为主题的文献虽呈增长趋势,但总量仍相对较少,内容主要涉及概念和意义阐述、安全分析、测试验证和系统工程等方面,缺少对SOTIF保障关键技术系统性的研究和梳理;另一方面,虽然许多相关领域的高水平研究成果对于解决功能不足问题具有重要的启发和借鉴意义,但尚未被明确纳入SOTIF 保障技术研究范畴。 图片 图3 SOTIF保障的基本活动流程 因此,本文中基于大量国内外研究报告和文献资料,系统地分析和梳理了SOTIF保障关键技术,并基于现有研究不足提出了展望。 SOTIF概述 明确的问题定义和风险源分析是保障SOTIF的前提。从系统自身角度分析,SOTIF问题主要源于两方面:(1)在车辆层对预期功能的规范不足,场景开放性、系统复杂性和专家经验的不完备性等限制均可能导致车辆行为的设计规范过程出现问题,进而难以实现理想的安全目标;(2)预期功能实现的不足,即使对车辆层预期功能的规范足够完备,由于系统组件的性能局限和规范不足,感知、决策和控制等功能的实现可能不符合预期。如传感器、执行器存在感知、执行能力上限或易受外界环境因素干扰等性能局限;感知、决策算法可能具有鲁棒性、泛化性、可解释性、逻辑完备性、规则覆盖度等方面的问题。此外,SOTIF 危害的产生和演化依赖于特定场景。首先,上述规范不足或性能局限由场景中特定条件触发而导致危害行为;另外,上述危害行为最终演化为伤害是建立在当前场景包含相关风险源以及场景可控性低的情况下。因此,在进行SOTIF保障过程中,需要综合系统自身局限和运行场景风险以建立安全保障体系。 根据场景是否已知和是否会导致SOTIF危害,将其分为已知安全、已知不安全、未知不安全和未知安全4类场景,SOTIF保障目标为通过一系列活动和相关技术以最小化两类不安全场景对应区域,其核心是对未知不安全场景的发现和处理。如图4 所示,SOTIF保障目标的实现可分解为将未知转化为已知、将不安全转化为安全两方面。首先,SOTIF分析评估、验证确认以及运行阶段的关键数据收集、记录和反馈等活动有助于充分挖掘未知场景;另外,开发阶段直接针对功能不足的改进、运行阶段的未知风险监测、防护和基于收集数据的系统功能改进是将不安全场景转化为安全场景的必要活动;此外,验证确认与残余风险评估以及安全论证等则是确保残余风险足够低的重要活动,从而为SOTIF发布提供依据。下文将分别从开发阶段和运行阶段梳理各项活动对应的SOTIF 保障关键技术,并针对智能汽车系统的功能改进技术进行具体讨论。 图片 图4 SOTIF保障目标与实现过程 开发阶段SOTIF保障关键技术 系统开发阶段的SOTIF 保障活动主要包括SOTIF分析评估、验证确认、功能改进和发布等,本节将分别重点介绍各环节关键技术。 1、SOTIF 分析评估 采用有效的安全分析技术可提高对SOTIF 危害、潜在功能不足与触发条件等识别分析的效率、全面性和科学性。传统安全分析技术如故障树分析、失效模式与影响分析和危害与可操作性分析等,其在SOTIF 分析评估方面得到了一些应用;以智能汽车为代表的新技术带来了事故本质改变、新类型危害、单次事故容忍度降低、系统复杂性增加、人机交互复杂化等新的安全挑战,因此需要更有效的安全分析技术,系统理论过程分析(systems-theoretic process analysis,STPA)(见图5)具有分析复杂系统的潜力,包含定义分析目的、构建控制结构、识别不安全控制行为、识别致因场景4步,已被用于感知、决策和全自动驾驶系统等的SOTIF分析。然而,单一技术的可用性有限,可结合其各自优势以开发更有效的SOTIF分析技术。 图片 图5 STPA技术实现过程 此外,在SOTIF分析中引入特定建模技术等有利于进一步改善分析效果。传统STPA技术构建的控制结构描述了系统内部运行逻辑,但未建模功能和运行环境间的关系,有限状态机等被采用以弥补上述不足,通过建模车辆状态结合环境条件的转换关系可更全面地识别危害。因果关系模型有利于指导分析危害行为对应的触发条件、性能局限或规范不足,如贝叶斯网络已被用于构建感知性能局限和场景触发条件间的层次依赖关系,结合条件信念表、P值检验和专家分析等技术可用于量化评估上述关系和发掘新的触发条件。另外,对场景要素、触发条件和性能局限等基本元素进行前期梳理和过程中更新,并建立相关映射关系有利于提高SOTIF分析的效率和全面性。 针对识别所得SOTIF 危害应进行风险评估。STPA等技术自身不具备风险量化的功能,因此需进行相应拓展,功能安全领域的危害分析与风险评估(hazard analysis and risk assessment,HARA)和汽车安全完整性等级(automotive safety integration level,ASIL)被一些研究改进并用于SOTIF 风险评估。贝叶斯概率模型作为一种统计性方法,也已被用于量化SOTIF相关风险及其边界。然而,由于场景复杂度增大和统计困难、触发条件对场景的依赖性、AI算法不确定性等原因,现有研究尚未能明确和统一SOTIF风险定义及其量化方法,因此亟待探索和提出更有效的SOTIF定量分析指标与技术。此外,为避免智能汽车HARA难以接受的复杂性,可结合任务分解、等价类和影响分析以及模型重构等技术以管理其复杂度。 2、SOTIF 功能改进 针对由功能不足导致的不合理风险,应进行功能改进以缩小不安全区域。现阶段的功能改进技术众多,可主要分为3种技术路线:①性能提升,如提高特定传感器或感知模型自身的性能上限;②风险监测与防护,即通过对触发条件(包含合理可预见的误操作)、功能不足状态等的识别以监测SOTIF 风险,从而采取针对性的防护技术,如风险源消除、功能限制或权限移交等,此外,也可通过直接对运行设计域(operational design domain,ODD)的明确、监测和限制为风险防护提供参考;③功能冗余,如通过设计冗余功能模块以改善整体性能表现。第3节将针对智能汽车各模块和整车层分别系统地梳理相应功能改进技术。 3、SOTIF 验证确认 验证确认是进一步发现不安全场景和证明SOTIF得到充分保障的重要活动。SOTIF验证旨在提供客观证据证明对规定要求的满足,对象包括传感器、感知算法、决策算法、执行器和集成系统等,验证指标如准确性、可靠性和抗干扰性等。SOTIF确认旨在采用合理的确认目标和方法,评估在已知和未知不安全场景下残余风险是否可接受。SOTIF确认目标用于量化满足接受准则的条件,后者可在考虑事故统计数据、人类驾驶员表现等基础上分析风险接受原则,如风险容忍、正向风险平衡、最低合理可行、最小内源性死亡率等。 SOTIF验证确认须综合考虑所采用技术的有效性、可行性和成本,如基于分析对比的验证、仿真和软硬件在环等技术成本相对较低,但提供证据的有效性、适用范围有限;开放道路测试能够反映车辆在环境中最真实的表现,有利于突破经验知识和模型等限制,挖掘罕见的未知不安全场景,但单独采用此类方法的成本难以接受。近年来,基于场景的测试(见图6)得到了广泛研究与实践。一方面,该方法可结合仿真、软硬件在环和试验场等不同平台合理分配测试资源,并结合测试场景覆盖度评估、重要性采样、危害行为识别等技术进一步减少测试成本;另一方面,该方法以场景为核心,既可用于在包含潜在触发条件场景下的SOTIF验证,也可通过基于真实场景分布的采样测试或对未知场景的充分挖掘以辅助SOTIF确认。 图片 图6 基于场景的测试方法与流程 特定场景或用例的生成是验证确认的前提,根据信息来源的不同,主要分为知识驱动和数据驱动,前者可参考专家知识、标准和相关经验等,典型方法如本体论,后者一般依赖自然驾驶或事故数据进行提取。根据生成目标不同,主要包含随机场景生成和关键场景生成,其中关键场景可源于对已识别潜在触发条件的映射和组合,也可通过定义场景危险程度等指标进行自动生成。对抗样本生成是一种有效的关键场景生成方法,其结合梯度等信息可自动生成更易触发系统功能不足的安全关键场景,进而提高测试效率;在场景生成过程中,与真实世界的相似性是保证测试有效性的重要前提,而可接受扰动生成等则是实现上述目标的重要技术。此外,适当的功能分解对于克服参数空间爆炸和减少测试量具有重要意义,进而根据测试对象不同,在生成不同功能模块的场景时应进行差异化考虑,如针对传感器和感知模块,可选择包含雨雪雾等恶劣天气或特定目标检测对象的场景;针对决策模块,可侧重于对交通干扰等场景的选择;针对控制器和执行器,包含极限工况、恶劣道路和环境条件等的场景需要被重点考虑。 从生成的场景或场景库中选择具体场景是决定测试代表性、覆盖度和成本的关键步骤,参数空间具有复杂性和连续性,因此可采用采样方法,根据场景参数先验信息的不同分为基于参数范围的采样和基于参数分布的采样。前者的典型技术包括组合测试、交互式实验设计、随机化技术等;后者典型技术如蒙特卡洛采样等。加速测试是改善测试成本的重要途径,典型技术如极值理论、重要性采样和马尔科夫链蒙特卡洛等。此外,一些研究关注基于证伪的场景选择,如通过考虑事故数据或场景临界性、复杂性等特征进行关键场景筛选,或利用仿真进行适应性压力测试、替代建模和随机优化以及自适应搜索等。 测试平台包含虚拟仿真、软硬件在环、整车在环和试验场等,其测试真实性依次增加,但测试成本、安全风险和可拓展性逐渐降低,为充分利用有限资源,应在满足测试要求的前提下优先使用仿真和在环测试技术。此外,通过开发高保真度的传感器模型(如采用现象学模型)可进一步改善仿真和在环测试技术的适用性。 评价指标是判断系统或组件是否满足指定要求或残余风险足够低的依据,传统安全性指标可包括主观/客观、微观/宏观、短期/长期等类型,但主要用于评价整车行为,并不适用于具体功能组件;而现阶段针对感知、预测等模型的评价也存在标准不一、主要集中于精度类评价而对安全性考虑不足等问题。因此,有待提出适用于智能汽车功能评价的SOTIF指标。 此外,形式化验证技术采用数学建模方法来保证系统正确性,验证结果严谨,因此对智能汽车等安全关键系统具有重要意义。在车辆行为验证方面,定理证明、可达性分析等技术得到了许多关注;在系统集成方面,形式化验证可用于规范不同组件(如控制器)集成的正确性;另外,形式化方法在以机器学习为代表的AI领域得到了广泛研究,可进一步用于对感知、预测等相关功能模块的验证。然而,该技术实现成本较高,对复杂系统、开放场景和黑盒模型等情况的可拓展性有限,因此仍有待进一步探索和改进。 综上,现阶段存在多种技术可用于SOTIF验证确认,通过结合不同技术优势可进一步改善效果。然而,由于场景复杂多变和长尾效应、智能汽车系统复杂多样和更新迭代快以及缺少SOTIF评价规范等问题,SOTIF验证确认仍面临严峻挑战。 4、SOTIF 发布 在开发阶段的最后,须论证系统是否符合SOTIF 发布准则。Schwalb 等提出了一个概率框架以逐步量化SOTIF残余风险。此外,经过上述分析评估、设计改进和验证确认等活动可形成完整的安全文档,进而可利用目标结构表示法、拓展证据网络等技术进行安全论证,如Misra提出了一个状态机用于探索预期功能可能导致危害的条件,并断言相应安全声明,在此基础上结合目标结构表示法构建了SOTIF论证架构。 除上述各阶段活动的针对性保障技术,对系统开发流程的优化也是SOTIF保障的重要方向,如采用敏捷系统工程可改善系统开发效率、经济性和可追溯性。此外,部分学者尝试将形式化方法、规则手册等集成到SOTIF系统开发过程,并初步获得了加速开发、提高可追溯性和可评估性等优化效果。然而,这些方法自身仍存在复杂性、可拓展性和适用性等方面的问题,另外其与SOTIF的结合仍处于探索阶段,对实际开发过程的指导意义有限。 智能汽车功能改进关键技术 智能汽车功能实现依赖于各子模块,如图7所示。在合理可预见的误用等触发条件的影响下,感知、定位、决策、控制等功能不足均可能导致SOTIF危害,而根据各模块特点可进行针对性改进。本节将从感知定位、决策控制、合理可预见误用处理和整车层功能改进4方面分别进行总结。 图片 图7 智能汽车各层级SOTIF问题 1、感知(含定位)功能改进 感知功能实现主要依赖于传感器和感知模型,因此其功能改进主要面向传感器性能局限和感知模型功能不足问题进行。 a、传感器和感知模型性能提升 通过传感器优化技术改进其检测范围、精度和抗干扰能力等基本性能,如针对Lidar易受雨雾、尘埃干扰的问题,有多次回波技术和面激光技术等。另外,针对感知模型的性能提升技术与所采用感知算法密切相关,现阶段智能汽车感知功能普遍采用机器学习算法,根据其工作原理,可将感知模型性能提升主要分为如下几个方面。 (1)训练数据改进。首先,可改善训练数据的丰富度,通过采用大规模低成本数据采集方案结合自动/半自动标注方法以降低成本,进而提高训练数据量。另外,可改进数据采集技术以提高数据质量,结合数据清洗、过滤和校正等技术减少由于采集或标注错误等导致的训练数据问题。此外,可通过训练数据分布的合理分配以改善训练效果。 (2)训练模型改进。模型架构的设计直接影响感知性能,如由于卷积神经网络对于图像信息处理的天然优势,添加该设计的网络性能一般优于单纯的多层感知机网络。优化感知模型设计是当前计算机视觉等领域的主要研究方向,因此感知性能也得以快速提升。此外,通过优化模型设计也可改善其对未知对象的检测效果,从而降低残余风险。 (3)训练过程改进。针对训练数据不足或潜在未知场景的问题,可通过数据增强、迁移学习、主动学习等技术提高对有限数据或标签的利用效率,其中针对感知算法的数据增强,除图像翻转、裁剪等传统方法外,对雨雪雾天气条件的渲染也是提高在恶劣天气下感知性能的一种方式。针对潜在功能不足问题,对抗训练等技术有助于在有限数据的基础上减少模型缺陷,提高其鲁棒性。此外,改进损失或奖励函数以及合理使用归一化、正则化等技术均有助于模型性能的进一步提升。 b、感知SOTIF风险监测与防护 将感知SOTIF风险来源分为外界触发条件与内部功能不足,可作为风险监测的参考。其中,雨、雪、雾、冰雹等不良天气条件是感知SOTIF问题的重要触发条件,一些研究通过试验分析建立了其影响关系,为外界触发条件监测提供依据。对不良天气条件的监测可采用特定环境模型或天气传感器,如车用雨量传感器便包含电容式、光学式、压电振子式、电阻式、CCD成像式等类型;另外,结合统计学或深度学习等方法,摄像头等自身输出数据也可直接用于对恶劣天气条件或其导致干扰的监测。此外,一些研究关注对感知功能不足表现的直接监测,如通过修改模型、调整训练过程和引入其他信息以实现对感知性能的在线估计。 针对受环境条件影响的传感器数据可进行干扰消除。首先,传感器参数内部调优可用于提高其在恶劣天气下的数据质量。另外,通过添加附加装置可消除干扰,如通过液体或雨刷器清洗传感器污垢,而针对雨雪结冰或霜等对摄像头造成的不良影响,可添加自热装置。此外,数据降噪等预处理技术也可用于去除环境干扰,如用于图像除雾的典型算法包含图像增强、基于大气退化模型的图像复原和基于深度学习的方法等;另一些研究关注图像除雨技术,主要分为两类:雨滴(粘附在镜头上)去除和降雨(分布在空气中)去除;对于Lidar,一些商业产品已具备自动图像校正功能,可通过面向像素的评估来过滤雨滴和雪花。 此外,也可跳过干扰消除步骤,直接改善感知模型对含干扰数据的处理能力。如Huang等引入一种新型双子网网络——DSNet来解决雾天图像目标检测问题,在保持高速的同时检测性能优于许多先进的目标检测器和“除雾+检测”的组合模型。 c、感知功能冗余 针对单一传感器及其感知模型的性能局限,多传感器融合是一种重要的改进技术。首先,同类传感器融合可通过多个传感器的合理布局来增加感知范围,如在车辆四周布置多个摄像头以获取360°的感知视角;另外,多类传感器融合将有助于克服单类传感器的固有性能局限,增加环境信息获取的多样性和准确性,如利用Lidar测距精确的优势弥补摄像头功能不足,或结合冗余信息分析等确定传感器异常。根据融合传感器的特点可分为基于摄像头、Lidar和Radar间不同组合方式的融合;根据融合信息所属层级可分为数据级、特征级和目标级融合;常用融合方法如自适应加权平均法、聚类算法、贝叶斯推理等。现阶段研究考虑恶劣天气等触发条件影响,针对最佳融合架构、模型设计、训练策略、多模态数据集等方面进行了诸多探索,并取得了一些较为显著的效果。此外,在城市复杂交通场景,通过引入路侧和城市感知信息,实现使能赋能一体化的协同感知方案也是解决单车感知功能不足的重要研究方向。 d、定位功能改进 定位功能实现主要包括基于全球导航卫星系统等的绝对定位和基于同步定位与地图构建(simultaneous localization and mapping,SLAM)等的相对定位。前者的典型SOTIF问题如建筑物反射造成的多径现象、交通设施或山区峡谷等遮挡造成的定位错乱或定位信号丢失,可采用GPS海拔或气压绝对值比对等方法应对高架路段的定位信号错乱问题;后者主要包含基于摄像头或Lidar的SLAM定位等,因此其面临的SOTIF问题与感知类似,如恶劣天气导致定位准确性降低等,可通过多传感器融合、算法优化等技术改进。 2 决策控制功能改进 a、决策方法分类与性能提升 当前主流的决策方法包含两类:基于规则的决策和基于学习的决策。前者优点是可解释性强、便于引入专家经验、可靠性强等,但易出现规范不足、动态复杂场景下的认知推理能力不足、泛化性和算法可拓展性不足等局限性。针对上述问题,首先,可通过经验积累、头脑风暴等方法不断优化决策逻辑,而STPA等系统分析技术对于提高决策规则设计的完备性也具有一定指导意义。另外,引入新建模理论和信息以及场景模板等技术可改善决策方法对复杂和未知场景的通用性。此外,引入单独的预测模块可提高决策对场景的认知能力,进而弥补原有模型的不足。 近年来,越来越多的研究关注基于学习的决策方法,如模仿学习和强化学习。针对此类方法的改进思路与上述感知模型性能提升类似,即可通过对训练数据、模型和训练过程的改进提高决策性能。 b、决策SOTIF风险监测与防护 决策功能模块基于获取的环境信息制定相应策略,假设感知定位模块获取的信息足够准确,决策SOTIF风险主要来源于运行环境中的触发条件(如交通扰动对决策算法带来的挑战)和决策模块自身功能不足导致的安全问题,对应其风险监测与防护主要考虑的两类因素。 针对环境中的触发条件,如特定道路类型,可通过OOD等进行约束,结合分析评估与验证确认结果,以逐渐明确决策模型适用的ODD,从而将其作为环境条件监测的参考依据,利用地图、定位和特定场景识别等技术实时判断当前风险。针对环境中交通参与者的不确定性运动,通过设计相应的风险量化模型和风险敏感的安全决策方法可获取更安全的决策结果;此外,异常行为检测技术可用于对环境中交通参与者非预期行为的识别。 针对决策模块自身的潜在功能不足,形式化验证技术在决策安全验证领域得到了广泛研究,其基本思路为验证当前决策结果在特定假设下是否会导致事故,而该假设的合理性也是影响安全验证效果的重要因素。此外,将决策模块分为预测和行为选择两个关键子模块,对预测功能不足的量化可用于风险监测和防护,如图8所示。通过量化和传播预测模型的不确定性可实现安全决策。 (编辑:ASP站长网) |
相关内容
对话黄仁勋全解元宇宙
怎样理解你的DBA
跟随云时代玩转大数据网友评论
推荐文章
热点阅读
