Coursera自动驾驶课程第4讲:Safety Assurance for Autonomous Vehicles
在上一講《Coursera自動駕駛課程第3講:Self-Driving Hardware and Software Architectures》中我們了解了自動駕駛汽車常用的傳感器和硬件組件、軟件系統(tǒng)。
本講我們將學習新的模塊,也是自動駕駛汽車最重要的模塊之一:安全模塊。
B站視頻鏈接:https://www.bilibili.com/video/BV1WE411D74g?p=1
文章目錄
- 1. Safety Assurance for Self Driving
- 1.1 Autonomous driving crashes
- 1.2 Formal definitions
- 1.3 Major hazard sources
- 1.4 NHTSA
- 2. Industry Methods for Safety Assurance & Testing
- 2.1 Waymo Safety Perspective
- 1) Safety Levels
- 2) Safety Processes
- 3) Levels of testing to ensure safety
- 2.2 General Motors Safety Perspective
- 1) Safety
- 2) Safety Processes
- 3) Data driven safety
- 3. Safety Frameworks for Self Driving
- 3.1 Generic Safety Frameworks
- 1)Fault Trees
- 2)FMEA
- 3)HAZOP
- 3.2 Automotive Safety Frameworks
- 1)Functional Safety
- 2)Safety of Intended Functionality
1. Safety Assurance for Self Driving
在本課程中,我們將討論一些自動駕駛汽車安全事故。然后,我們將定義一些基本安全概念并列出一些導致自動駕駛汽車危險的常見原因。
1.1 Autonomous driving crashes
這里我們簡單介紹2018年Uber自動駕駛汽車的一起安全事故。
事故發(fā)生在夜間,在一條寬闊的多車道分開的道路上。行人在一個沒有標記的區(qū)域內(nèi)騎著自行車穿過馬路。受害人Elaine Herzberg是坦佩市的一名49歲婦女。從鳥瞰圖描繪的汽車和場景,可以從圖像底部看到行人從左側(cè)進入,而車輛沿著道路行駛。
初步調(diào)查顯示,有多個因素導致此事件:
- 首先,沒有對安全驅(qū)動程序進行實時檢查。在這種情況下,安全駕駛員注意力不集中,據(jù)說當時正在Hulu上觀看視頻。安全駕駛員可以做任何事情,而Uber卻沒有任何方法來評估駕駛員的注意力。由于自動駕駛系統(tǒng)的運行是一項艱巨的任務,因此,擁有一個安全的駕駛員監(jiān)控系統(tǒng)非常重要。
- 其次,軟件檢測系統(tǒng)存在明顯的混亂。在六秒鐘內(nèi)初步檢測到撞擊時,受害??者首先被檢測為未知物體,然后被錯誤分類為車輛,然后被錯誤分類為自行車。
- 最終,在撞車發(fā)生前1.3秒,沃爾沃緊急制動系統(tǒng)確實檢測到行人,并會迅速制動以降低撞擊速度,從而有可能挽救Elaine Herzberg的生命。但是,Uber在自主模式下已禁用了沃爾沃系統(tǒng)。
感知系統(tǒng)無法正確識別行人,自行車以及規(guī)劃系統(tǒng)無法避免偵探對象(即使其類別不確定)的結(jié)合,導致自主性故障以及缺乏人為或緊急制動最終導致了死亡。從這一系列事件中我們可以看到自動駕駛系統(tǒng)的各個方面。感知,規(guī)劃和控制都可能導致失敗和崩潰,并且往往多個系統(tǒng)或多個決策的交互作用可能導致無法預料的后果。
1.2 Formal definitions
現(xiàn)在讓我們認識一些基本的安全術(shù)語。
- Harm一詞來指代對生物的物理傷害。
- Risk一詞來描述事件發(fā)生的可能性以及事件可能造成的傷害的嚴重性。
- Safety描述為避免對生物造成不合理傷害的過程。 例如,在交通信號燈為紅色時駛?cè)虢徊媛房谑遣话踩?#xff0c;這會導致不合理的危險,從而損害車輛乘員以及通過交叉路口的其他車輛。
- Hazard是造成不合理傷害風險或威脅安全的潛在來源。
1.3 Major hazard sources
現(xiàn)在,我們來了解一些自動駕駛汽車中常見的危險源,大致可以分為8種:
- 機械原因,例如制動系統(tǒng)的錯誤組裝導致的故障。
- 電氣原因,例如汽車內(nèi)部總線錯誤引起的故障。
- 自動駕駛的計算硬件的故障。
- 軟件故障。
- 不良或嘈雜的傳感器數(shù)據(jù)或不正確的感知引起的故障。
- 還有可能由于錯誤的規(guī)劃,對危險行為選擇忽視而引起的故障。
- 或者自動駕駛汽車被某些惡意實體入侵,被黑客控制。
以上就是常見的8種危險源:機械,電氣,計算硬件,軟件,感知,規(guī)劃,駕駛?cè)蝿辗答伜途W(wǎng)絡安全。我們在評估整體系統(tǒng)安全性時,每種危害都需要使用不同的方法來評估。
1.4 NHTSA
美國NHTSA定義了包含十二個方面的安全框架,以構(gòu)建自動駕駛的安全評估。該框架是作為建議性而非強制性框架于2017年發(fā)布的。該框架本身包含12個領(lǐng)域或要素。大致可以分為三方面:
- Systems engineering approach to safety
- Autonomy Design
- Testing & Crash Mitigation
1)Autonomy Design
Autonomy Design包含6個方面:
2)Testing & Crash Mitigation
Testing & Crash Mitigation包含5個方面:
NHTSA的主要目標是在不過度限制創(chuàng)新的情況下指導公司制造自動駕駛汽車。
2. Industry Methods for Safety Assurance & Testing
在本課程中,我們將討論有關(guān)安全和測試的各種行業(yè)觀點。具體來說,我們將首先分析行業(yè)中兩個知名企業(yè)的安全性觀點:Waymo和GM。然后,我們將討論兩種不同的評估安全性的方法:分析性與經(jīng)驗性。
2.1 Waymo Safety Perspective
1) Safety Levels
Waymo涵蓋了NHTSA的全部12個方面,但將它們組織成五級安全。
- 首先,Waymo系統(tǒng)旨在在行為層面執(zhí)行安全駕駛。這包括遵循交通規(guī)則的決策,可以處理ODD內(nèi)的各種情況,并通過它維護車輛安全。
- 其次,Waymo確保系統(tǒng)具有備份和冗余。這樣一來,即使發(fā)生故障,汽車也可以切換到輔助組件,以最大程度地減少故障的嚴重性并使車輛返回安全狀態(tài),并盡可能繼續(xù)行駛。這稱為功能安全。
- 接下來,Waymo強調(diào)NHTSA推薦的碰撞安全性。系統(tǒng)可確保在發(fā)生事故時對車內(nèi)人員造成的傷害最小。
- 接下來,操作安全。這意味著其界面既實用又方便且直觀。這里的重點是允許乘客對車輛進行某種程度的控制,但只能以保持系統(tǒng)安全的方式進行。
- 最后,Waymo促進了非碰撞安全性。這是指將對可能以某種方式與系統(tǒng)進行交互的人員(急救人員,機械師,硬件工程師等)的危險降至最低的系統(tǒng)設計。
2) Safety Processes
現(xiàn)在介紹安全過程。
- 首先,Waymo團隊會盡可能多的識別危險情況,并針對每種情況分析可能的緩解策略,即,如何確保發(fā)生危險時車輛仍能達到安全狀態(tài)。
- 然后,他們使用危害評估方法來確定更具體的安全要求。 他們使用的各種方法是對可能的安全風險進行初步分析,從動態(tài)駕駛?cè)蝿盏慕嵌葘ψ陨隙逻M行故障樹危害評估,以及從下至上評估影響的一些設計失效模式和影響分析。
- 最后,他們進行了擴展測試以確保滿足安全需求。
3) Levels of testing to ensure safety
讓我們來介紹一下Waymo常進行的測試,大致可以分為三類:仿真測試,閉路測試,實車測試。
- 首先,他們以每天1000萬英里的里程進行仿真測試。Waymo會在挑戰(zhàn)性場景中挖掘所有駕駛經(jīng)驗,并進行系統(tǒng)的場景模糊測試,這會隨機更改其他車輛和行人的位置和速度參數(shù),因此他們可以測試自車在所有情況下是否安全運行。
- 然后,他們進行閉路測試。涵蓋了加州大學伯克利分校的一項研究確定的28種核心場景,以及Waymo添加的19種其他場景。這些情況的組織是為了避免發(fā)生四種最常見的事故情況,即追尾,交叉路口,道路偏離和變道。這些類別中的每種類別顯然都有很多變體,但它們合起來占所有交通事故的84%以上。
- 最后,他們進行實車測試,這些測試經(jīng)常在美國許多不同城市的街道上進行,包括在Google主校區(qū)附近的加利福尼亞山景城。在測試過程中讓人們監(jiān)視自動駕駛軟件。
2.2 General Motors Safety Perspective
1) Safety
通用汽車于2016年收購了Cruise Automation,并因此在自動駕駛開發(fā)中處于領(lǐng)先地位。 GM非常嚴格地遵循NHTSA安全框架,并分別涉及12個主要領(lǐng)域。
通用汽車的安全策略不是試圖重組或簡化NHTSA指南,而是專注于其實施策略以實現(xiàn)所需的安全評估。通用汽車首先強調(diào)其迭代設計模型。
- 該模型首先分析場景,然后構(gòu)建軟件,然后模擬場景并測試其軟件。最后,將他們的軟件部署在現(xiàn)實世界的汽車上,他們不斷地對需求和自動駕駛系統(tǒng)進行迭代改進和。
- 其次,Waymo依靠OEM來設計車輛,并且只討論與其自動駕駛硬件有關(guān)的機械和電氣危害,而GM則完全自己制造汽車,因此可以在整個自動駕駛硬件中實施具有一致質(zhì)量標準的更具集成性的設計。
- 接下來,通用汽車通過全面的風險管理確保安全。他們識別并解決風險,并試圖完全消除風險,而不僅僅是減輕風險。
- 最后,它們的所有系統(tǒng)都遵循內(nèi)部定義明確的安全性,可靠性等標準。他們在汽車行業(yè)開發(fā)車輛方面擁有多年的經(jīng)驗,因此開發(fā)了廣泛的安全流程。
2) Safety Processes
·安全過程·涉及三種類型的分析。
- 首先,他們通過故障樹方法進行演繹分析,并找出可能存在故障的組件并加以解決。
- 接下來,他們通過·FMEA設計·進行歸納分析。因此,他們會對設計方案進行故障模式和效果分析,并嘗試從下至上確保安全性。
- 最后,他們使用危害和可操作性研究進行探索性分析,并找出系統(tǒng)何時可能無法按預期工作。
讓我們談談安全閾。所有通用汽車都必須至少遵守兩個關(guān)鍵的安全閾值。
- 首先,GM為不同組件定義了一套清晰的故障保險柜,備份系統(tǒng)和冗余,以使系統(tǒng)即使在發(fā)生故障后仍可以繼續(xù)工作。
- 其次,組件必須通過SOTIF評估。通過此評估,我們確保在已知和未知場景中都評估所有關(guān)鍵功能。
最后,通用汽車遵循嚴格的測試機制,包括性能測試,需求驗證,故障注入,侵入式測試,耐久性測試以及基于仿真的測試。
3) Data driven safety
讓我們討論可用于評估自動駕駛系統(tǒng)安全性的各種方法。我們有兩種可能的方法:分析或數(shù)據(jù)驅(qū)動的安全評估。下面是二者的定義:
3. Safety Frameworks for Self Driving
本課中,首先我們將討論一些流行的安全框架。包括故障樹,故障模式和影響分析(FMEA),以及危害和可操作性分析(HAZOP)。 然后,我們將討論功能安全以及預期功能安全(SOTIF)。
3.1 Generic Safety Frameworks
1)Fault Trees
故障樹是自上而下的流程。故障樹中的最高節(jié)點是根事件或最高事件。故障樹中的中間節(jié)點是邏輯門,它們定義了根事件的可能原因。通過使用布爾邏輯來分析故障樹。
讓我們分析一個簡單的示例,車禍為根本事件。發(fā)生車禍的原因可以分為軟件故障或硬件故障。粗略地講,硬件故障可能是由于制造缺陷或材料缺陷造成的。同樣,軟件故障可能是由于代碼故障或某些網(wǎng)絡安全問題所致。我們還可以繼續(xù)進行軟件子系統(tǒng)和這些子系統(tǒng)內(nèi)的特定計算,從而在每個連續(xù)分支處加深故障樹深度。最終,得出特定的故障率,我們可以為這些故障率分配每小時或每英里運行的發(fā)生概率。
現(xiàn)在,我們到達了故障樹的葉子節(jié)點。通過使用邏輯門結(jié)構(gòu),我們可以在評估各個葉節(jié)點故障率的情況下顯式計算總體故障率的統(tǒng)計數(shù)據(jù)。當事件遵循集合論時,用于向上傳播這些概率的操作將與概率規(guī)則相同。例如,對于獨立事件,OR和AND概率將是子節(jié)點概率的總和或乘積。
2)FMEA
現(xiàn)在讓我們看一下FMEA,它代表故障模式和影響分析。FMEA是一個自下而上的過程,它查看各個原因并確定發(fā)生的所有可能的影響。故障模式是整個系統(tǒng)的特定組件可能導致系統(tǒng)故障的模式。效果分析是指分析這些模式故障可能導致的所有效果。
我們來談談FMEA背后的構(gòu)想。按優(yōu)先級對故障模式進行分類。因此,我們提出這些問題:影響有多嚴重,這些故障多久發(fā)生一次,檢測這些故障有多容易?然后,我們使用優(yōu)先級值對所有故障進行量化,然后首先開始處理具有最高優(yōu)先級的故障。
FMEA步驟如下:
- 首先與現(xiàn)場專家進行討論,創(chuàng)建FMEA表。
- 然后,列出所有故障可能性。
- 然后,針對每種失敗可能性,確定可能的后果,并將每種后果的嚴重性等級指定為1到10,其中10為最嚴重。
- 對于每種結(jié)果,確定可能的根本原因,對于每種路線原因,我們在1到10之間分配另一個數(shù)字,以表示此原因發(fā)生的頻率。
- 然后,我們評估整體模式檢測的可能性。
- 最后,計算出一個稱為風險優(yōu)先級數(shù)字的最終數(shù)字,該數(shù)字是嚴重性,發(fā)生概率和檢測概率的乘積。該值越高,優(yōu)先級越高。
3)HAZOP
與FMEA相比,HAZOP更像是一個定性過程,在FMEA中,我們試圖定量地定義風險。 在HAZOP中,主要目的是針對可能發(fā)生的一系列潛在危險進行有效的頭腦風暴。
3.2 Automotive Safety Frameworks
1)Functional Safety
現(xiàn)在,讓我們討論用于汽車發(fā)的現(xiàn)有安全框架,這些框架通常用于評估自動駕駛汽車的硬件和軟件故障。特別地,讓我們討論ISO 26262中描述的功能安全方法以及在ISO/PAR 21448.1中定義的預期功能安全。
功能安全(FUSA)指的是不存在因汽車硬件和軟件故障而導致的故障行為,或因其預期設計而引起的意外行為帶來的不合理風險。ISO26262標準定義了四個汽車安全完整性等級(ASIL)。 ASIL-D最嚴格,ASIL-A最低。每個級別都有與之相關(guān)的特定開發(fā)要求,認證必須遵守這些要求。
功能安全過程遵循V形流程。從需求規(guī)范的左上角開始,然后分析危害和風險,并進行功能實施。然后,我們爬到正確的分支以確認已達到設計目標。我們從低層驗證開始,例如軟件單元測試,然后通過仿真,測試跟蹤,操作和道路測試進行子系統(tǒng)和完整系統(tǒng)驗證。
2)Safety of Intended Functionality
最后,我們簡要地探討一下在ISO/PAS 21448.1文檔中正式定義的預期功能安全(SOTIF)。 SOTIF關(guān)注與系統(tǒng)性能限制和可預見的系統(tǒng)誤用相關(guān)的故障原因。
當前的SOTIF標準將自動化級別定為零,一和二。它還指出,其方法可以應用于三級,四級和五級,但是可能需要其他措施。
SOTIF可以看作是功能安全流程的擴展,專門針對自動駕駛功能的挑戰(zhàn)而設計。因此,它遵循幾乎相同的V形開發(fā)理念,但具有增強的組件。 SOTIF還使用HARA來識別由于性能限制和濫用引起的危害。然后執(zhí)行類似的設計,單元測試以及驗證和確認序列,以確認已滿足安全要求。
總結(jié),讓我們總結(jié)本講學到的知識:
- 我們首先討論了為什么安全性很重要,特別是廣泛的不同故障如何導致自動駕駛事故。
- 然后,我們正式定義了安全概念,并討論了NHTSA對自動駕駛汽車的安全建議。
- 然后,我們討論了Waymo和GM如何考慮自動駕駛安全性。 然后我們描述了分析和數(shù)據(jù)驅(qū)動的方法來演示安全性。
- 最后,我們討論了常見的安全評估框架。 包括故障樹,故障模式和影響分析,功能安全性和預期功能的安全。
總結(jié)
以上是生活随笔為你收集整理的Coursera自动驾驶课程第4讲:Safety Assurance for Autonomous Vehicles的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: isignup.exe是什么进程 isi
- 下一篇: 7.Handling Missing V