最近忙里偷闲在追剧《功勋-能文能武李延年》,非常敬佩我们的指导员李延年。对内每个战士的背景特长如数家珍,对外敌人的战术和心理也了如指掌。其实汽车安全的要求也是这样。在功能安全(FuSa)、信息安全(Cybersecurity)和预期功能安全(SOTIF)这个三连的“指导”下,对内促进汽车电子电气系统的高效可靠,对外提高汽车智能化、抗干扰、抗攻击的能力,这样才能保证人身安全和数据隐私这块汽车领域的346.6高地。
图1 :自动驾驶系统功能不足造成的事故。(图片来源:https://www.ansys.com/content/dam/product/systems-embedded-and-integrated/medini/sotif-infographic.pdf)
在汽车安全领域,如何提高安全也要能文能武,要能结合实际场景,配合专业知识经验,甚至向“敌人”学习,来制定不同的策略。文能结合理论、总结日志、制定标准,武能亲自实践、灵活变通、百战不殆,这样才能真正做到知行合一,“打得赢”汽车安全这场“仗”。
上一篇浅谈了这三方各自的定义和范畴,说了它们的相互关联和承继,也提到作为车企,在面对安全这个话题上,有的结硬寨,打呆仗,稳扎稳打;有的有亮剑的精神,在失败中总结迭代,浴火重生。作为利益相关者,也是个局中迷者,我不想讲黑白对错,想做的只是尽量不站队地继续浅谈汽车安全。大家有兴趣的话,建议可以先看看第一篇简单了解下大背景。
图2 :加州自动驾驶事故调查。
随着自动驾驶和辅助驾驶的到来,越来越多的自动驾驶交通事故开始出现(图1)。加州的一项统计指出57%的自动驾驶相关事故是幽灵刹车导致的追尾,29%来源于脱离车道(图2)。SOTIF标准旨在提高自动驾驶系统的能力,保证自动驾驶汽车的安全。本篇将主要围绕SOTIF和一些相关实例展开。
说到安全三连,这三个S看起来似乎是平等的地位,但现实是这样吗?
FuSa面对的是汽车自己的系统,是对内的,要解决的是自己内在系统失效和随机失效(Failure)。SOTIF则是应汽车智能化趋势而生,弥补了FuSa在AI领域、自动驾驶领域的不足,覆盖了自动驾驶等级L1-5。它更多面对的是性能失效、系统预期功能不足和人员误操作。这就开始向外延伸,更多地涉及到汽车与环境的交互,汽车和驾驶操作人员的交互。信息防御安全Cybersecurity则不是因“系统”而生,而是因“人”而生,面向的是来自于外部环境、外来恶意者甚至内在恶意者的威胁(Threat),加强的手段有全状态防火墙、对称非对称加密、密钥管理和入侵防御和检测系统等。
图3 :汽车安全三连的金字塔地位。
比较三者的对象,不难看出,主动的“人”是最难对付的,其次是复杂多变的“环境”。其实最好面对的反倒是自己,要么为什么说达则兼济天下,穷则独善其身哪。从这个角度,不如把这三者想成是一个金字塔结构(图3),FuSa是塔尖,SOTIF居中,Cybersecurity是最下方的根基,先保证了下层,才能更保证上层。没有可靠的信息安全,仅仅保证上层的功能安全就是徒劳。SOTIF就是这样一个承上启下、攘外安内的新角色。
说SOTIF,必然要说汽车智能化,说汽车智能化就必然要说人工智能(AI)。AI的核心大致可以说是基于复杂不可量化的输入,经过神经网络的运算,给出识别结果。这个结果不可能做到100%的准确,只能尽可能地贴近现实,这是一个统计学概率问题。而在汽车领域,驾驶环境复杂多变,各种静态和动态的对象共存,现实世界的多维更加加剧了AI运算的量化计算复杂度。只有保证了AI算法,自动驾驶系统的决策才能得到保证。
从更高的高度看,决策还仅仅是自动驾驶系统功能中的一环。除此之外,向前端需要通过传感器系统对环境因素采集输入,是否能够得到客观正确的信息数据是一切的前提;往后得到AI算法决策后,汽车系统能否合理的响应,采取正确的输出控制也同样至关重要。这些步骤不论哪里出现问题都可能会导致自动驾驶系统出现功能安全问题。SOTIF主要是和这些与自动驾驶相关的新功能适配,比如目标感知定位和路径规划等等。
SOTIF的另一个重要的适用方向是合理合乎逻辑可预见的人员误用(misuse)。汽车的设计人员了解汽车和人之间的人机界面,也了解人们对自动驾驶系统的操作习惯,要做的就从这里出发,发挥想象,预先找到各种人们滥用误用车载系统的情形,因为当人数和驾驶次数达到一定量级,总有驾驶人次对车载系统产生错误的期望而作出匪夷所思的错误操作。
SOTIF和FuSa类似是面向整车层面,而不是离散的组件层面,不同的是FuSa的系统安全问题是归因于失效,而SOTIF扩大到了由设计缺陷或者误操作带来的功能安全问题。
SOTIF处理的对象是场景(Scenario),比如早晨和傍晚迎着太阳自动驾驶,风雪或者落叶遮挡了公路的标志线,暴风暴雨天气产生的恶劣可见度等等。如果传感器系统不足以正确识别公路和前方障碍,AI系统不能分别炫光产生的大面积白色和一辆横亘路中的白色卡车,自动紧急制动系统(Automated Emergency Braking System,后文简称AEB)就会错误进行急刹车,或者该刹车的时候不刹车。也可能车道保持系统沿着落叶或者积雪的边际而不是白线进行了转向,这些都是巨大的安全隐患。
这些场景下,车载系统按照设计开发时的功能都在工作,并没出现问题,只是出现了不足。类似这类对周围环境的感知识别不足的问题并不覆盖在FuSa的范围内。作为补充的SOTIF在这些领域需要发挥自己的用武之地。
图4 :加拿大马路上逼真的顽童贴纸。(图片来源:https://www.preventable.ca/shifting-attitudes-with-illusions/)
当然,我也不认为用户应该仅仅把目光聚焦在这些极端安全问题上,而面对自动驾驶踌躇不前。其实在更多场景下,一个完善的自动驾驶系统的感知识别反应能力都是超过人类的。这是一个平衡的问题,也是一个概率问题,汽车行业的从业者要做的就是最大范围地降低风险的概率,就像坐飞机也有风险,但如果这个风险降到了小数点后有9个零,那么它也会成为最安全的旅行方式之一。
回到SOTIF的场景,关注SOTIF的人肯定对图4不陌生。这是加拿大的一个叫Preventable(可避)的组织在某个街区的路上贴了一张高仿真的顽童贴纸,30米以为看起来非常逼真,目的是测试下经过司机的反应。可是仅贴了一个礼拜就撤掉了,估计是怕引起后车司机的震怒甚至追尾。那么一辆自动驾驶的汽车开到这里会如何反应呢?
图5 :自动驾驶的混淆矩阵。
图5是机器学习里的混淆矩阵。横行是预测表现,也就是自动驾驶的汽车对场景的识别,在顽童贴纸的场景下,就是汽车决策这是不是需要刹车的场景,1为刹车,0为不刹车。纵列是实际情况,也就是真实世界是不是需要刹车的紧要场景,1为紧要应刹车,0为正常勿刹车。当两者相同的时候结果就是决策正确的,为“真”;如果两者不同,就是决策失误了,结果为“假”。四种结果分别为:真阳(True Positive, 后简称TP)、假阳(False Positive,FP)、假阴(False Negative,FN)和真阴(True Negative,TN)。我们追求的是“真”(True),不论是真阳性还是真阴性,都是好的结果,而要避开“假”。
在图4中这种情况下,马路上的小朋友是个假象,车载系统应该通过传感器系统和AI决策系统得出这并非是一个紧急制动的场景,而让AEB不采取任何动作地开过去。也就是说应该得到一个真阴性的结果,不刹车。如果车载系统判断错了,在图片面前刹车了,那就是假阳性了,是一个错误的决策,可能造成后车追尾的安全问题。
但如果这个小朋友是一个真的小朋友,那么理想的车载系统就应该得到一个真阳性的结果,而通知AEB紧急刹车制动。如果这种情况下传感器没有识别出小朋友而没有刹车,那就是假阴性了,出的事情可能更大。所以只要结果为“假”,就证明系统识别错了,就会出现大家不想看到的结果。
那么可不可以设计出一个完美纯“真”的系统哪?可恨的是鱼与熊掌往往不可兼得,真阳和真阴就像某天屠龙记说的一样不能双修。如果你想通过系统设计提高真阳性,比如更多的实现AEB的刹车行为,那么也就势必会增加假阳性的概率,在不应该刹车的情况下,采取了AEB制动,这也就相应的减少真阴性的部分。在系统设计中往往只能上下移动图中蓝线的位置而改变系统的行为,要做的就是要根据具体问题取舍平衡。
同时值得一提的还有查准率(TP/(TP+FP))和查全率(TP/(TP+FN))。在一些非常要求准确性的场景下,比如气囊(虽然气囊作为一个很成熟的技术并不是SOTIF的范畴,但是作为例子却能很好地解释查准率的概念),必须在准确的时候打开,不该开的时候万不能开,这就需要很高的查准率。而另一边查全率则夸张点说有“宁可错查一千,不可放过一个”的意思(其他应用,比如洪水预测或者皮肤癌监测),比如道路上小朋友图片这种场景,如果自动驾驶系统智能化程度不够,就应该适当调高查全率,降低撞上真正小朋友的事故率。
图6 :SOTIF的四个场景区域。
前段时间和部门里做FuSa的同事聊天,她说车其实并不是公司的内核,人才是,一切都是为了人开心,也就是为了用户体验。对汽车特别是自动驾驶的汽车而言,不能最大可能的保证安全,就会失去最基本的用户体验。真实世界复杂多变,我们并不能要求世界消灭所有的危险场景。但是作为车企,通过规范流程,提高技术来增强系统的能力,将风险降到最低是可以做到的。
如图6,SOTIF在标准ISO PAS 21448中将场景按是否已知,是否安全分为四类:区域1已知安全、区域2已知不安全、区域3未知安全和区域4未知不安全。已知未知这点很有意思,说的是针对汽车开发而言,而不是对驾驶人员。有些开发人员觉得,一旦未知场景被想到,不是就变成已知的了么?可以把它想成是针对系统设计开发的时间点来界定已知未知的考量。开发人员可以变未知为已知,但是过了这个发布时间点,系统不升级的话已知和未知的界限就定下来了。
如何设计一个能够最小化不安全区域2和3,同时最大化已知安全区域1的汽车系统是SOTIF的目标所在。图6中可以看出区域4本来就是最大的,汽车的驾驶场景其实有无数种,大部分都是未知且安全的,没有必要在流程中全部列出,安全就好。区域1是已知安全的场景,这些场景出现在车企的流程中,可能还被测试过,证明是安全的,所以也是好的,多多益善。
剩下的两个是不好的区域了,区域2已知不安全的场景,比如前面说的眩光、暴雨、积雪等,要么通过提升系统解决,要么通知驾驶员结束自动驾驶来避免,系统至少需要识别这些已知不安全的场景。这个区在开发流程中要尽可能地探索测试,转化为区域1,在需求分析中这块区域是已知的。而最为棘手的是区域3,就像我们知道黑暗中有危险,但是我们不知道或者没想过这危险是什么。比如图7中所示如果汽车突然在公路上碰到了“恐龙”,到底会识别成什么,动物?非机动车?在某些国家的法律上,公路上碰到有些动物是不能乱刹车的,符合法规的自动驾驶汽车会撞过去吗?SOTIF的目的就是上下求索的将区域2和3降低到一个可以接受的程度。
图7 :未知不安全的马路“恐龙”。
ISO PAS 21448中对SOTIF的方法论和流程定义如图8所示,主要分为三大部分。首先,通过分析评估确定SOTIF相关的危害和风险,当风险不被接受时进一步分析识别风险的触发诱因。然后,在定义验证和确认策略(Verification & Validation)的基础上评估已知危害场景区域2。最后,更进一步对未知危害场景区域3进行评估、验证确认,直到风险被控制在一个可以接受的范围结束SOTIF流程。之前讲过SOTIF是作为面向汽车智能化时代对FuSa的补足而产生的,SOTIF的流程也可以嵌合到ISO26262的流程中,两种标准协作实现更好的功能安全。SOTIF在方法论上很多地方也和FuSa相似,比如都是基于严重程度、接触概率和可控性,只是在SOTIF中并没有汽车安全完整性等级ASIL。
图8 :SOTIF流程。
还是那句话,Safety、Security和SOTIF这安全三连各自不同,但依然相辅相成,有着丝丝缕缕的联系。在汽车领域新四化的大背景下,如果将汽车安全相关的标准和方法论完美地吸收利用,不但会提高汽车设计开发的效率,减少未来成本,更能大幅地提高汽车产业的用户体验。毕竟“道路千万条,安全第一条”嘛。不过随着汽车行业发展迭代不停,新技术日新月异安,本文所提到的这安全三连依然并不完善。
一切只是一个开始,更多的汽车安全相关,特别是自动驾驶汽车相关的标准已经开始浮现。未来的汽车安全之路上,将出现更多新的角色,比如ISO TR4804(道路汽车有关功能安全、信息安全的自动驾驶方向的设计、和确认)、ISO24089(软件升级工程)、ISO PAS 8800(车载AI)和ISO PAS 5112(信息安全审计)等等。
未来的汽车安全标准和方法论必将越来越完善,汽车安全相关的设计和开发也将越来越规范。但是,总有个但是,如果标准未被纳入法规,再好的标准也是个可选项,也正如我开头所说,利益驱动下,汽车行业的新兴车企并不一定愿意恪守结硬寨打呆仗的形式,而更愿意讲究打破“枷锁”唯快不破。究竟谁对谁错哪?我不敢妄执可否,或许只有时间才会给我们答案……
本文为《电子技术设计》2022年1月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。
最前沿的电子设计资讯
