欢迎观看本周的最后一个视频。 在本视频中,我们将讨论一些流行的安全框架, 其中一些我们在上一课中遇到过。 更具体地说,我们将描述一些通用的, 分析框架,包括故障树, 失效模式和影响分析或 FMEA, 以及危害和可操作性分析或 HAZOP。 然后我们将重点放在 汽车和自主安全框架并讨论功能安全或 FUSA, 和预期功能的安全性,或 SOTIF。 我们稍后将在视频中定义这些术语。 让我们开始。

我们将从故障树分析开始。故障树可以作为初步的分析框架, 并且可以稳步扩展以包含尽可能多的必要细节。 故障树是自上而下的流程,我们在其中 分析要避免的系统可能出现的故障, 然后确定它可以使用的所有方式 发生在系统较低级别的事件和故障。 故障树中的顶部节点是根或顶部事件。 故障树中的中间节点是逻辑门, 定义根事件的可能原因。 分解继续到详细程度 可以定义此类事件的概率。

然后可以通过组合分析故障树 使用布尔逻辑定律的概率。 评估总体概率 根本原因事件和最有助于其发生的原因。

让我们考虑一个简单的例子, 并将车祸作为我们的根本事件。 车祸的原因可能被分解 进入软件故障或硬件故障, 在许多其他可能性中,我们已经 在我们之前的视频中被描述为危险等级。 粗略地说,硬件故障可能是因为 例如,制造缺陷或材料缺陷。 同样,软件错误可能是由于 感知代码故障或某些网络安全问题, 说,如果我们被黑了。

从那里,我们可以进行软件子系统和 这些子系统中的特定计算 在每次连续分枝时加深树。 最终,我们将达到特定的故障率,我们可以 分配每小时或每英里操作的发生概率。 我们现在已经到达了故障树的叶节点。 然后使用逻辑门结构, 我们可以明确地计算 给定单个叶节点故障率的评估的总体故障率。

用于向上传播这些概率的操作将 与事件遵循集合论时的概率规则相同。 因此,例如,对于独立事件, OR 和 AND 概率将是子节点概率的总和或乘积。 这是故障树背后的总体思路, 被称为概率故障树, 当概率包含在叶节点中时。

概率故障树是一种自上而下的安全方法 已广泛应用于核工业和航空航天工业, 并且可以类似地应用于自动驾驶。 挑战在于建立一个全面的树和 错误地识别叶节点事件的概率。

现在让我们看看 FMEA, 它代表失效模式和影响分析。 鉴于故障树从系统故障向下流向所有可能的原因, FMEA 是一个自下而上的过程,它着眼于 个别原因并确定可能发生的所有可能影响。 通常,FTA 和 FMEA 一起用于评估安全关键系统。 失效模式是其中的模式或方式 整个系统的某个特定组件可能会导致系统出现故障。

效果分析是指分析所有 这些模式故障可能导致的可能影响。 通常,效果分析旨在确定 那些导致最严重故障的模式, 然后可以导致改进的设计,增加 为系统提供更多的冗余或更高的可靠性。

让我们来看看 FMEA 背后的大想法。 目标是按优先级对故障模式进行分类。 所以,我们问这样的问题, 后果有多严重, 这些故障发生的频率, 检测这些故障有多容易? 然后我们使用优先级值量化所有失败, 然后我们首先开始处理具有最高优先级的故障。 以下是步骤。

目标是构建一个包含所有可能的风险情况的表格,我们开始, 首先与现场专家讨论并 在表中我们想要的详细程度识别流程。

然后,我们质疑系统的目的并列出所有失败的可能性。 那么对于每一个失败的可能性, 我们确定可能的后果并分配 每个后果的严重性等级在 1 到 10 之间, 10是最严重的。 对于每个后果,我们确定可能的根本原因, 对于每个路线原因, 我们在 1 到 10 之间分配另一个数字, 表示此原因发生的频率。

然后,我们确定操作员可以检测到故障模式的所有方式, 维护、检查或故障检测系统。 我们之前评估了整体模式检测可能性 它会产生效果并分配 1-10 的另一个分数, 1个保证被发现,10个不可能被发现。

最后,我们计算一个最终的数字,称为风险优先级数字, 这是严重性的乘积, 发生和检测。 这个值越高, 优先级越高。

最终,我们通过修改解决最有问题的故障模式 我们实施该系统,直到我们将风险降低到可接受的水平。 也可以执行 FMEA 故障树分析中的实际故障概率, 并根据以下内容定义可接受的风险水平 在固定的运行期间发生关键事件的可能性。

该方法不仅改变了的含义 完成整个分析的数量和复杂性。 让我们坚持简单的计分方法,并让 FMEA 过程通过一个简短的例子更具体。 考虑一下,车辆行驶的特定故障 由于道路施工而出现在其测试区域的碎石块上, 从而导致控制器不稳定。 最坏的影响可能是物理崩溃, 这将是严重性 10。

还可能导致驾驶员不适, 或差点错过, 但这些将是严重程度较低的事件。 此事件可能会在城市环境中定期发生 任何特定类型的构造发生的地方。

所以,还是有点可能的。 假设我们能够评估出现次数为 4 的次数。 同样,我们可以将当前分数分配给其他效果。 让我们假设这个问题目前无法检测到 路面纹理不活跃 在我们的自主软件运行期间受到监控。

因此,对于所有这些影响,可检测性将排在第 10 位。 崩溃的风险优先级数字将是 10 乘以 4 乘以 10,即 400。

同样,我们也可以有其他故障模式。 优先级数为 100 的标志感知失败,比方说, 优先级数为 300 的 GPS 同步失败, 并且可能是优先级为 150 的车辆运动预测失败。

因此,我们将着手解决这些故障 通过专注于在砾石上行驶而不是 GPS 故障来实施, 比运动预测,最后是符号感知。

这就是 FMEA 背后的一般框架。 FMEA 是一种风险评估理念,由 军事和航空航天工业,后来被带到汽车工业。 它提供了一种真正结构化的方法来量化风险并处理它们。 先说最重要。 最后,经常出现的 FMEA 的常见变体, 是危害和可操作性研究或 HAZOP。

与 FMEA 相比,HAZOP 更像是一个定性过程, 我们寻求定量地定义风险。 所以,在 HAZOP 中,主要目的是 对可能出现的一系列可能的危害进行有效的头脑风暴。

对于复杂的过程,可以评估风险 无需为出现次数分配特定值, 严重性和检测,这可能很难做到。 HAZOP 通常在设计过程的早期使用,以指导概念设计阶段。 HAZOP 的关键补充是, 引导词用于引导应用于每个系统需求的头脑风暴。

这些引导词包括诸如不、更多、更少、 早期、晚期并导致可能不会以其他方式考虑的故障模式。 因此,将 HAZOP 视为一种简化的持续 FMEA 头脑风暴方法。

现在让我们专注于更具体的安全类型并讨论 用于汽车和低级别自主功能开发的现有安全框架, 常用于评估自动驾驶汽车的硬件和软件故障。

特别是,让我们讨论功能安全方法 ISO 26262 中描述的 在 ISO 上扩展到的预期功能方法 26262 并在 ISOPAR 21448.1 中定义。 我们将无法深入讨论任何一个过程的重要细节, 但如果您想了解更多信息,我已经包含了补充材料的链接。

功能安全或 FUSA, 不存在不合理的风险 汽车硬件和软件故障导致的故障行为, 或与其预期设计相关的意外行为。 ISO 262 标准定义了功能安全术语和 机动车辆内电气和电子系统的活动。

因此,仅解决硬件和软件危害 这可能会影响自动驾驶汽车的安全。 该标准定义了四个汽车安全完整性等级或 ASIL。 ASIL D 是最严格的,A 是最不严格的。 每个级别都有与其相关的特定开发要求, 认证时必须遵守的。

功能安全流程遵循 V 形流程。 从左上角开始需求规格说明然后分析 危害和风险,并继续实施功能。 然后我们爬上正确的分支以确认已经达到设计目标。

我们从低级验证开始,例如软件单元测试, 然后通过仿真进行子系统和完整系统验证, 测试轨道、操作和道路测试。 当我们沿着左边的 V 下降时, 高层次的需求变成低层次的实现。 当我们爬上右边的 V 时, 我们在确认每个低级功能实现之前 将它们结合起来以确认安全操作的系统要求。

最后一步是总结功能安全评估, 评估剩余风险和 确定我们的系统是否达到了可接受的安全水平。 在功能安全 V 开始时, 我们使用 HARA 或危害和风险评估。 在HARA,我们识别和分类 危险事件并指定避免不合理风险的要求。 此过程推动所有系统开发和测试超出这一点。

为此,我们首先确定可能的硬件和软件 可能影响汽车安全的故障或故障和意外功能。 这是 FMEA 或 HAZOP 用于 功能安全框架并导致对我们系统的一系列特定危害。 然后我们定义一个场景或情况列表 系统必须在绘制我们的 ODD 时运行以创建此列表。

接下来,我们将危险和情况组合成危险事件,描述预期的损害, 并确定风险参数, 计算数值 每种情况和危险的组合的潜在风险。 风险评估后, 我们选择风险最高的场景。 每个可能的故障可能发生的最坏情况。

最后,我们根据这些最坏的情况定义我们的安全要求。 HARA 过程为系统设定了设计目标 一种了解所有可能发生的最坏情况故障的方法。 通过验证确认 这些最坏情况下的故障仅以合理的风险进行处理。 这就是功能安全背后的主要思想。

您专注于最坏情况的需求,然后实施 至少可以处理这些最坏情况要求的硬件和软件。

最后,让我们简要探讨一下预期功能标准或 SOTIF 的安全性, 这在 ISOPAS 21448 文档中正式定义。 SOTIF 特别关注与以下相关的故障原因 系统性能限制和可预测的系统误用。 由于执行功能的性能限制或不足 技术限制,例如传感器性能限制和噪声, 或算法的限制,例如 对象检测失败和致动器技术的局限性。

硬件和软件故障由 ISO 26262 中的功能安全标准,不在 SOTIF 的范围内。 SOTIF 还解决了由于用户可预见的误用而导致的不安全行为。 比如用户混淆, 用户过载和用户过度自信。

当前的 SOTIF 标准针对自动化水平, 零,一和二。 它还指出,它的方法可以应用于三级, 四、五项自主权,但可能需要采取额外措施。 SOTIF 可以看作是功能安全过程的延伸, 专为解决自动驾驶功能的挑战而设计。

因此,它遵循非常相同的 V 形开发理念, 但带有增强组件。 SOTIF 还使用 HARA 来识别 因性能限制和误用而产生的危险。 然后执行类似的设计序列, 单元测试和验证和确认, 以确认已满足安全要求。

如果您想深入了解功能安全或 SOTIF 标准, 请查看补充材料中的链接。 让我们总结一下我们在这个视频中学到的东西。 我们首先讨论了通用安全框架。 故障树分析作为一种自上而下的方法 安全评估和故障模式 和影响分析作为一种自下而上的安全方法。

然后我们讨论了功能安全的思想,这些思想通常用于 软件和硬件风险评估和 讨论了 SOTIF 作为功能安全的扩展, 这说明了性能限制和误用。 所有这些想法在行业中被大量使用, 正如我们在 Waymo 和 GM 中看到的那样 几乎所有这些技术都在他们的安全评估中。

恭喜。 您已经完成了本安全评估模块的学习。 让我们总结一下我们这周学到的东西。

我们首先讨论了为什么安全很重要,特别是如何 各种不同的故障都可能导致自动驾驶事故。

然后我们正式定义了安全概念并讨论了 NHTASA 对自动驾驶汽车的安全建议。

然后我们讨论了 Waymo 和通用汽车如何看待自动驾驶安全。

然后我们描述了证明安全性的分析和数据驱动的方法。

最后,在今天的视频中, 我们讨论了常见的安全评估框架。 包括故障树、故障模式和影响分析, 功能安全和预期功能的安全。

希望本周能让你深入了解设计 安全的自动驾驶系统,并正确评估您构建的系统。 在我们结束本周之前, 我们将与 滑铁卢大学 Krzysztof Czarnecki 教授, 自主安全评估专家。 我有很多有趣的问题要问。敬请关注。

第 3 课补充阅读:自动驾驶安全框架

补充阅读:自动驾驶安全框架
查看以下有关自动驾驶汽车安全框架的链接:

  • 失效模式和影响分析 - asq.org

  • ISO 26262-1:2018 - 道路车辆的功能安全

  • ISO/PAS 21448 - 道路车辆预期功能的安全性

需要行驶多少英里才能证明自动驾驶汽车的可靠性?

兰德公司关于安全驾驶的报告

参考

https://www.coursera.org/learn/intro-self-driving-cars/lecture/hCttH/lesson-3-safety-frameworks-for-self-driving

自动驾驶3-3 自动驾驶的安全框架 Safety Frameworks for Self-Driving相关推荐

  1. P1_M3_L3 Safety Frameworks for Self Driving(自动驾驶安全框架)

    Content 1. Generic Safety Frameworks(常用的安全框架) 1.1 FTA(Fault Trees Analyses,故障树) 1.1.1 表示方法 1.1.2 概论计 ...

  2. 特斯拉fsd全自动驾驶与华为自动驾驶

    特斯拉fsd全自动驾驶与华为自动驾驶 华为自动驾驶能力很强. 不认为这会对特斯拉造成威胁或者压力. 因为特斯拉的核心竞争力并不是自动驾驶- 起码身边的车主来说,100个车主里能有一个买fsd的就不错了 ...

  3. 【自动驾驶-Autonomous】自动驾驶定义

    自动驾驶,又称无人驾驶.电脑驾驶或轮式移动机器人,是依靠计算机与人工智能技术在没有人为操纵的情况下,完成完整.安全.有效的驾驶的一项前沿科技. 自动驾驶的最原始划分等级,始于2013年美国国家公路交通 ...

  4. 【自动驾驶】高级辅助驾驶系统与车联网

    [自动驾驶]高级辅助驾驶系统与车联网 Note:本文是对刘春晖教授的 高级辅助驾驶系统与车联网(上),高级辅助驾驶系统与车联网(下) 论文进行排版整理,由于论文中插图较多,并没有全部整理进来,用能力的 ...

  5. 自动驾驶发展_自动驾驶网络及其发展

    自动驾驶发展 介绍 (Introduction) Talking about inspiration in the networking industry, nothing more than Aut ...

  6. 蔚来汽车自动驾驶部门招聘自动驾驶算法研发框架实习生

    来源:AI求职 蔚来 让⻋成为安全.⾃由的移动⽣活空间是我们的愿景:NIO Autonomous Driving 蔚来自动驾驶,从地图定位到感知算法,从底层系统到控制策略,拥有全栈⾃动驾驶技术能⼒:逐 ...

  7. 自动驾驶出租车远程遥控驾驶研究

     [摘  要]自动驾驶出租车(RoboTaxi)作为未来自动驾驶商业化落地的典型应用场景,在5G网络的赋能下可以实现远程遥控驾驶的功能,为自动驾驶出租车的安全行驶提供冗余保障.首先针对自动驾驶出租车国 ...

  8. 轨道列车自动驾驶和汽车自动驾驶的区别

    轨道列车自动驾驶和汽车自动驾驶在一些方面存在明显的区别,主要是由于它们在运行环境和技术要求上的不同.以下是一些主要区别: 运行环境:轨道列车通常在封闭的轨道系统上运行,与其他车辆和行人的交互相对较少. ...

  9. 李德毅院士:基于驾驶脑的智能驾驶车辆硬件平台架构

    来源:中国工程院院刊 转自:智车科技 导 读:  智能驾驶车辆试验平台是人工智能科学.认知科学.控制科学等多个学科领域的最新理论与实践的成果,也是研究智能驾驶理论与技术的基础.不同智能驾驶试验平台的传 ...

  10. 前沿研究丨基于驾驶脑的智能驾驶车辆硬件平台架构

    本文选自中国工程院院刊<Engineering>2018年第4期 作者:李德毅,高洪波 来源:A Hardware Platform Framework for an Intelligen ...

最新文章

  1. 8月18日 | 智能车竞赛云比赛过半,华南赛区成绩小结
  2. golang 正则表达式 简介
  3. spark sql 查看分区_Spark 3.0 中七个必须知道的 SQL 性能优化
  4. cad缩放工具怎么用_小米电视怎么投屏?这个投屏工具真的太好用啦!
  5. TextTopicNet:CMU开源无标注高精度自监督模型
  6. IDEA 类名下有红线解决方案:
  7. devc++鼠标变成了光标_游戏鼠标选购避坑指南 教你如何轻松选择适合自己的鼠标...
  8. 统计模型混响信号预报matlab,基于MATLAB的混响效果设计课程设计
  9. 第一章 Maxwell 概述
  10. 分享一下最近合成游戏源码
  11. 网络流行语“不作不死”英文入选美国词典
  12. 2020高销量蓝牙耳机推荐,十大平价最受欢迎蓝牙耳机排行榜
  13. Requests 库 | 不可胜数的 Python 第三方库
  14. Spring boot项目 maven多模块打包,子模块报错问题解决
  15. 101个帮助你成为更好Web开发程序员的技巧
  16. 微信公众号网页授权登录完整步骤版学不会你打我....
  17. MCS-51单片机总结——No4.存储之AT24C04A
  18. 飞猪如何靠着一群猪队友,实现单日21亿交易额?
  19. 用Matlab进行时域信号的频谱分析
  20. kali入门到入狱之Nmap扫描端口

热门文章

  1. linux使用中的问题 ---(Cannot find a valid baseurl for repo: base)
  2. 使用监听器实现实时在线人数统计
  3. jpadao层继承什么_1岁英短蓝白母猫能卖多少钱,银渐层2岁公猫多少钱
  4. ERP系统“数字排产”功能,实现企业高效排产
  5. 新系统基础优化--Centos6.6
  6. codevs1842 递归第一次
  7. 如何去掉windows2003的自动锁定(每离开一会都会出现这个界面,不想让它出现)...
  8. 转:Scrapy(爬虫框架)入门教程
  9. Unity3D使用经验总结 编辑器扩展篇
  10. Java中String,StringBuffer,StringBuilder的区别及其使用