登陆
注册
首页> 资讯> Philip Koopman:关于UL4600的关键理念

Philip Koopman:关于UL4600的关键理念

来源:公众号“汽车电子与软件”(转载公众号“智车时代”)
2020-07-08
2440
来自AutoSens在线论坛,主讲嘉宾是来自于边缘案例研究公司(Edge Case Research)的CTO, Dr. Philip Koopman。Philip Koopman也是卡内基梅隆大学电气与计算机系的教授,UL4600的主要撰稿人。本期讲解了关于UL4600的关键理念,因为这是自动驾驶车辆的安全标准,从概述开始,UL4600标准涵盖了自动驾驶汽车安全案例,包括无人驾驶的完全自动车辆

关于4600的一些关键理念中,首先系统级的安全案例提供指导,其次车辆、基础设施和生命周期过程都很重要,必须包含在安全案例中。安全指标用于反馈回路,即使在部署后也能帮助持续改进,第三方组件接口保护第三方组件供应商的专有信息,最后遵照4600标准可以帮助你了解,你在安全方面的工作已到位,能以可靠的方式部署,4600使用基于目标的方法来确保安全。

4600是基于目标的方法,它指出安全案例应该解决的问题,安全案例的目标有什么,和需要执行的活动类型,它没有规定任何特定的工程方法,它给出了必要的所有重要危害的清单,但你可以用任何合理的方法达到目的,所以它可以和其他安全标准一起使用。


其他安全标准中的工作产品,会作为安全案例的一部分包含在4600中,这让4600成为评估安全案例的标准,换句话说,最低的覆盖要求是要有一个足够完整的安全案例,但也许你还想根据自己的系统做更多完整的安全案例内容。


什么是安全案例?

一般来说安全案例有三部分,一是要求或目标,整个安全案例最上面是要求,中间是论点 最后是证据,一个要求有一堆平淡的论点,可能无法奏效,所以要处理好复杂性,并分解确保安全的任务,通常有次级要求,安全案例应包含所有你需要的内容,以确定系统安全。
 

这个系统是安全的,包括危害,缓解措施以及所有论点都有支持证据,范围包括技术、硬件、软件、机器学习、工具链、 数据源。包括生命周期,不仅仅是部署,这也是运行它的事故率,维护生命周期中的所有东西。

车辆的基础设施,数据网络的道路,云计算,道路使用者、如行人和轻型机动车辆使用者,紧急救助人员,以及环境 比如操作设计领域定义,重点是所有可能影响安全的东西,与安全有关的事,必须在安全案件中得到处理,在4600中基本所有内容都有相关章节。

4600有一个非常详细的清单列出了你应该考虑的事情,你需要在你的安全案例中写,如果它适用于你,你就要把它包括在内,4600还有一个关于度量的章节,这些是安全性能指标,安全性能指标,它们有点像KPI 关键绩效指标,但专用于安全方面,它们提供系统整个生命周期中安全案例有效性的度量标准。

SPI和KPI不一样,因为KPI通常是指平均性能,以及你的系统是否运行良好,而SPI则是关于你是否越过使系统不安全的界限,另一种SPI是基于假设有效性。



4600需要反馈回路,SPI是其中一部分,这就是你测量反馈回路的方法,这个想法并不是假设完美,因为不管你怎么努力,系统都不是完美的,相反要意识到这些缺陷会存在,因此你必须管理它们并不断改进它们,以不断提高系统性能,以及提高安全性,这意味着将SPI数据反馈到安全案例中。

反馈回路在整个安全案例中无处不在,基本上 任何认为正确的值都必须是安全的,需要注意将任何数据反馈到此安全案例中,以确保它确实是真实的,包括查找这执行错误、设计错误,仿真中的空白,运营设计领域中的空白,以及机器学习培训数据中的空白,4600也支持环境之外的元素,所以把这些看作是组成部分,它在本质上类似于ISO26262 SEooC,但它的范围更广,因为它是硬件软件,是传感器,是地图数据,也不完全是组件问题,而是安全案例。
 


如果你的整个系统都有一个安全案例的话,你会怎么处理激光定位器的安全案例?

雷达或实时操作系统的安全案例,可能供应商不想向制造商公开设计细节,所以制造商没有安全案例,但他们需要做点什么,所以EooC接口一种确定的方式,硬件软件不论是什么。

先做独立评估,然后遵循4600标准,生成一个EooC接口,它集合了上层安全案例所需要的东西,包括组件的属性和特性,上述系统必须遵守的假设 以使部件的安全案例有效,用于评估的故障模型和条款的覆盖范围,因为它可能包括也可能不包括所有的4600条款,以及一份总结所有这些的评估报告,所以当你买芯片 操作系统或者感应器时,它应该带有一个EooC界面,然后你把这个EooC接口插进去,并替换了原本与该组件相对应的参数存根,4600标准补充了其他标准,ISO 26262、MIL-STD882等是潜在的起点,这些标准应该是适用的,特别是适用于功能安全,其他新兴标准也可以适用。
 

4600要求的系统级安全案例为安全提供了指导,它强调了证据和论据间的差距。生命周期过程中的车辆基础设施至关重要,如果安全案例有赖于此,这就跟安全有关了,这不仅包括车辆 还包括数据源,地图数据基础设施,以及所有可能与安全有关的东西,都涵盖在4600中,度量 SPI 安全性能指标与反馈回路相结合,以确保你的安全案例所依赖的一切都是真实的,都得到了实际检查。

如果它被证明是无效的或者生命周期中的发生了变化,你会得到反馈 以更新系统和安全案例来保持安全并不断改善,有一个第三方EooC组件接口 允许您安装第三方组件,而第三方供应商无需透露其安全案例的详细信息,最终4600的目的是帮助你知道你的安全工作已到位。


在随后的问答环节中,菲利普·考夫曼回答了部分的问题。
 

您是否看到4600推动了这些标准从汽车行业的实践中消失吗?你认为的机制是什么?

菲利普·考夫曼所以我认为这实际上有助于推动采纳标准,不是所有都采用了26262标准,没有监管机构强迫他们采纳,有的说他们做了类似的事,有些什么都不说。我想4600如果没有可用的功能安全标准 将很难遵守4600,26262明显是一个选择,但是有用于政府系统的MIL-STD882 旨在与它们一起使用,所以我很清楚人们会遵循他们最喜欢的功能安全标准,4600让你意识到这些标准没有涵盖的空白,所以每件事都是互补的 他们可以一起奏效,接下来我要做的一件事就是那些核心人员知道是什么事,要彻底解决问题,使它们完全不冲突,因为关键是你应该一起使用它们。
 

你能详细说明一下SPI吗?反馈回路,如何发现意外故障并反馈以进行持续改进?

菲利普·考夫曼:技术将取决于供应商,从某种意义上来说,我们今天所做的就是,每次真的发生车祸,有人受伤了 或者很幸运没有受伤,有数据可以追溯,最终当这些事情发生次数够多的时,真的能够引起重视,人们就说,我们得做点什么。SPI是一个度量标准,它关注的是你认为是对的未遂事件,在安全案例中那可能不是真的,



END


收藏
点赞
上一篇:L3该不该放弃? 下一篇:软件定义汽车新赛道上,中国车企如何与特斯拉亮剑
2000
评论

沪公网安备31010702008313号 沪ICP备18019345号-2 © 2019 上海工业控制安全创新科技有限公司 保留所有权利