ISO 26262和ISO 21448双重安全保障,赋能智能汽车(二)
ISO 21448特别强调以下几个方面:非故障行为的安全性:与传统ISO 26262关注硬件和软件的故障模式不同,ISO 21448关注系统在非故障情况下的行为和导致非故障行为改变的触发条件。例如,在自动驾驶系统中,车辆可能遇到不可预见的道路条件或传感器识别错误,ISO 21448要求设计团队不仅考虑系统在故障时的应对措施,还要考虑在系统没有故障但环境变化时的行为。自动驾驶系统的验证:自动驾驶系统的复杂性要求更加全面的验证方案,ISO21448规定了对系统在真实或仿真环境中的行为进行更严格的验证。这包括不同道路、天气、交通状况等场景的测试,确保系统能够在复杂的外部条件下保持安全。
感知系统的安全性:ISO 21448进一步要求在自动驾驶系统的设计中,必须考虑到感知系统(如摄像头、雷达、激光雷达等)的安全性。这些传感器需要具有足够的鲁棒性,以应对环境光、天气变化和传感器性能受限等因素的影响。
决策与控制算法的安全性:在自动驾驶系统中,决策与控制算法的正确性对安全至关重要。ISO 21448提出,除了硬件冗余之外,软件算法必须经过严格的验证,确保其在各种驾驶场景下都能做出安全的决策。
如图3.3所示,在某些区域,用具有三维视错幻象的人行横道来提醒驾驶员。在道路上绘制图像的目的是欺骗人类的感知,但也可能欺骗视觉系统,使其探测到不存在的物体,从而导致错误的制动。在这种情况下,基于光流的分析机制可防止错误制动。光流分析和基于雷达的环境识别作为相互替代的应对措施,以应对由视觉分类局限而导致的此类情况。
图3.3 可能欺骗视觉系统的错觉图例子(此截图来自ISO 21448:2022)ISO 26262与ISO21448的协同作用ISO 26262和ISO 21448虽然是两个独立的标准,但它们之间是互为补充、协同作用的关系。ISO26262主要侧重于系统硬件和软件的功能安全,关注如何通过设计、冗余、检测等手段降低系统故障带来的风险。而ISO21448则聚焦于功能的“预期安全”,即系统在没有明显故障的情况下,如何在复杂和不可预见的环境中保持安全。
图4.1 ISO 26262和ISO21448协同 如图4.1所示,结合上述两种安全理念的应用,可以让安全开发活动更完整,更全面地确保智能网联汽车安全相关系统的安全性,尤其是高级辅助/自动驾驶系统。
从系统设计的初期阶段开始,制造商需要在ISO 26262的框架下进行详细的功能安全分析,并在此基础上应用ISO 21448来考虑系统的实际行为和环境适应性,确保车辆在高度自动化的驾驶场景下依然具备足够的安全保障。未来展望随着汽车技术的不断进步,特别是自动驾驶和电动化技术的快速发展,ISO 26262和ISO 21448的标准也在不断发展和完善。在未来,这些标准可能会更加注重以下几个方面:
多领域安全融合:自动驾驶不仅仅依赖于车辆内部的电子系统,还涉及到车与车、车与基础设施之间的通信(V2X),以及环境感知和决策。ISO 26262和ISO 21448可能会进一步扩展到这些领域,制定更加综合的安全框架。
增强的仿真与测试要求:随着自动驾驶系统的复杂性增加,标准可能会要求更多的仿真和场景测试,特别是对极限情景的验证,以确保系统在真实世界中的安全性。
人工智能与机器学习的安全:AI和机器学习算法在自动驾驶系统中的应用日益增多,如何验证这些算法的安全性,尤其是算法的可解释性和透明度,将成为未来标准的重要议题。
页:
[1]
