介绍
联网和自动驾驶汽车一直被誉为安全运输的答案。根据E&T的数据,全世界每年约有125万人死于道路交通事故,其中90%以上的死亡是由驾驶员失误造成的。理论上,驾驶员不再是车辆控制的主要决策者,这一数字应该会减少。SMMT估计,在2014年至2030年期间,通过引入自动驾驶汽车,将挽救2500人的生命。然而,随着自动驾驶汽车的发展,行业必须确保支撑这场革命的控制技术保持安全、可靠和功能。
利用机器学习的人工智能(AI)技术是汽车自动化的核心。除了可用的高质量数据量的增加之外,机器学习中使用的基本算法的发展也取得了重大进展。红外传感器、光探测和测距(LiDAR)系统、360°视觉系统、无线连接和更多数据源都结合在一起,为机器学习算法提供了丰富的信息,可以从中学习、优化和发展。现在人们普遍认为,自动驾驶汽车提供了人工智能一直在等待的应用,而且自动驾驶汽车的引入将比我们想象的要早。
无线技术及其带来的相关好处是现代社会不断增长和不可或缺的一部分。数字广播和电视(DAB和DVB-T)、GSM、3G、4G、Wi-Fi和蓝牙等服务现在在大多数高管和高级车辆上都很常见。随着需求的增加和实施成本的降低,制造商提供的大多数车辆都可以使用这些技术。例如,除了最基本的入门级车辆外,蓝牙在所有车辆中都很常见,而DAB和DVB-T在大多数中档车辆中都是可选的。集成GSM、3G、4G、5G和Wi-Fi技术将在主要高端汽车制造商的下一波车型中提供,并与智能交通系统(ITS)一起,将提供期待已久的“联网汽车”和自动驾驶汽车的连接骨干。
然而,对于工程师来说,他们必须看穿表面上的好处,了解实现变革所需的具体细节,全面了解每个车辆功能的安全性、安全性和功能风险,这对于确保联网和自动驾驶技术的弹性至关重要。工程过程中的这些要素是密不可分的,形成了一个交织在一起的隐藏风险网络。安保和安全系统必须保持功能,而安全系统和功能系统必须保持安全,免受网络威胁。
标准在工程过程中发挥着关键作用,功能安全的ISO 26262和网络安全的SAE J3061代表了实现高水平系统置信度的最新技术。虽然正在实施一些变化来解决连接和自动驾驶方面的问题,并开展了大量工作来协调标准,但即使是计划于2018年发布的ISO 26262版[2]也不太可能完全满足自动驾驶汽车的要求。这反映了验证联网和自动驾驶汽车安全可靠运行的复杂性,而不是标准制定过程中的任何不足。
这些标准中的工程流程定义了严格的建议和法规(从概念到退役的整个产品生命周期),必须建立在这些标准的基础上,才能充分实现自主系统的弹性。例如,HORIBA MIRA弹性服务的核心是一种风险驱动的方法,用于确定实现可接受的安全性、安全性和功能水平所需的需求,以及验证这些水平已达到所需的基本流程。
功能性能
为了让联网和自动驾驶汽车正常运行,我们必须确保关键功能(如制动、转向和加速)的性能达到可接受的水平。关键是互联技术骨干;广播系统和无线链路使联网车辆能够相互“交谈”,并与周围的基础设施进行“交谈”。随着车辆使用GSM、3G、4G、Wi-Fi、蓝牙、车对车/基础设施通信以及其他数据链和广播技术,车辆传输和接收的数据将大幅增加。
汽车连接正在改善,但对消费者来说还不够快。根据J.D. Power的2016年车辆可靠性研究,信息娱乐、导航和车载通信系统(统称为音频、通信、娱乐和导航或acen)的问题数量有所增加,目前占所有客户报告问题的20%
对于汽车制造商来说,这是一个大问题,因为许多客户将根据车辆提供的接收和连接体验来评估车辆整个电气系统的质量。目前,对于主流汽车来说,无线电接收是关键,但对于高端汽车来说,这将扩展到电视接收和干扰。然而,在未来,用户将配备越来越多的诊断工具,包括数据链路损坏或掉线,这将表现为电话掉线、Wi-Fi接收不良或数据速率慢。这些都将形成电磁干扰问题或系统/天线性能差的迹象。具有讽刺意味的是,安装在车辆上的噪声源的数量,以及由于空间限制而靠近敏感的天线系统,都增加了电磁问题的风险,同时也增加了客户感知问题的手段。
性能不佳的风险可能会对客户造成影响,例如无法通过信息娱乐系统拨打电话,以及导致客户、OEM和经销商之间长时间争论的保修问题。然而,这些问题也会降低依赖于连接的车辆功能的有效性,其中一些将成为车辆控制策略的一部分。原始设备制造商敏锐地意识到这些问题,但他们依赖于昂贵且耗时的主观调查来推进设计开发,并收集有关连接性能问题的数据,这意味着自信地签署性能是一个挑战。
因此,oem需要量化目标和有意义的车辆开发性能指标。为了满足这些对稳健和准确的接收和连接评估方法的要求,必须考虑许多因素,包括:天线性能,车辆在移动时接收到的所需信号水平和来自车辆的不需要的干扰水平。所有这些因素必须结合起来,以反映“真实世界的性能”,准确模拟车辆乘员的体验,以确保识别和评估接收问题。
连接性是未来移动性的关键推动者,而性能对于特性功能至关重要。必须避免连接瓶颈,并且必须最大化数据吞吐量。
自动驾驶功能的电磁测试也面临着许多挑战,其中大多数都围绕着系统复杂性的问题。随着副驾驶或自动驾驶功能的合并,系统的复杂性迅速增长。这反过来意味着每个系统功能都与来自其他车辆系统的多个输入相关联。这种互联网络带来了脆弱性,这意味着更有可能出现故障模式。因此,测试的复杂性由于操作测试模式刺激的增加而增加。自动驾驶功能的高效电磁测试包括沉浸式情境测试,提供使用更多诊断信息、实时车辆数据分析、移动目标以及许多其他执行器和模拟器系统的服务。
安全
传统上,安全被认为包括主动安全,如防抱死制动系统、盲点信息系统和车道偏离警告系统,以及被动安全,包括安全带和安全气囊。然而,随着互联、电气化和自动化的发展,安全问题必须从全新的角度来考虑。首先,新技术意味着工程师必须掌握新的系统和工具,这些系统和工具都有自己的安全考虑。其次,这些新技术正在造成新的危害。这包括暴露在电磁能量和危险水平的电能中,可能导致与健康有关的问题,以及热失控,导致化学物质释放等热事件。
系统故障是造成危险的另一个潜在原因,它可能是由随机硬件故障或系统故障(如软件缺陷)引起的。电子系统在车辆中的广泛应用意味着在整个产品开发过程中管理安全风险尤为重要。日益复杂的车辆技术需要一个协调的方法来安全和功能,安全系统的安全性和安全系统的安全性必须一并考虑。只有通过协调、务实和“基于目标”的项目,才能在避免不必要的开发返工、验证和确认活动的同时交付健壮的工程解决方案。
安全
越来越多的自主权和连通性使我们面临着以网络攻击形式进行更大规模恶意活动的可能性。我们面临着许多潜在的威胁,包括传统的车辆盗窃、车主提高自己汽车的性能、身份盗窃或未经授权的远程访问车辆功能。这些威胁中的每一个都可能产生各种不同的后果,包括通常与信息安全领域相关的财务、隐私和操作影响,以及对安全和功能的潜在影响。
为了解决这些威胁,我们必须使用风险驱动的安全工程方法,通过这种方法可以指定、设计和实现适当的安全措施。需要进行有效的验证和确认,以评估实际的安全级别是否如设计的那样,以及是否有效地防止相关攻击。这涉及采取多种形式的各种审查、分析和测试活动,包括验证正确的功能行为、适当实施安全机制、漏洞分析和渗透测试,以确认这些机制的有效性。
由于汽车供应链的多样性,必须对单个硬件和软件组件、完整的嵌入式系统和车辆级别执行此验证,以确保所有元素正确集成。
很明显,未来仍有许多挑战有待解决,但通过对安全、安保和功能的协调处理,我们将能够更好地规划、管理和减轻联网和自动驾驶汽车的风险。
参考文献
[1] https://www.gov.uk/government/uploads/system/uploads/ attachment_data/file/401562/path -driverless-carssummary.pdf
[2] https://www.smmt.co.uk/wp-content/uploads/sites/2/SMMTCAV-position-paper-final.pdf
[3] http://www.jdpower.com/press-releases/2016-us-vehicledependability-study-vds