AUTOSAR是天生符合ISO 26262标准的,这几年的升级过程中也不断添加了功能安全的概念。笔者参与了AUTOSAR编写的两个工作组,即WG-SAF(安全性)和WG-IVC-CP(车内通信的经典平台部分)。一些ISO 26262标准中强烈建议的部分,WG-SAF可以很好的解决这部分问题。
2019年7月2日,白皮书《自动驾驶安全第一》发布,这本白皮书由11家自动驾驶相关的企业联合编著而成。(添加微信:NewCarRen,回复【自动驾驶安全第一】,即可下载白皮书中文版。)今天,笔者将结合这本不属于任何组织或者研究机构的白皮书,来阐述我对自动驾驶汽车安全的看法。
本篇为《关于自动驾驶汽车安全的思考》第一章,我将为大家总结罗列关于汽车安全相关的代表性标准,请关注牛喀网,我将持续更新!
我们先来看看与汽车安全性相关的具有代表性的标准。这些标准有很多,ISO/PAS 21448:2019的表1,简单描述了各个标准所覆盖的范围,详见下表:
ISO 26262是汽车功能安全标准,是汽车领域的电气/电子相关功能安全国际标准,贯穿于整个车辆的生命周期。2011年发布了第一版Part1~9,2012年发布了第一版Part10,2018年发布了改订版Part1~12,也就是第二版ISO 26262标准。
1. ISO 26262Road vehicles - Functional safety
该标准包含了“functional safety”的定义(ISO26262-1:2018 clause 3.26)和“absence of unreasonable riskdue to hazards caused by malfunctioning behaviour of E/E systems”。说到底就是汽车的电子/电气系统故障(由于故障而停止预期的行为)和意外行为导致的身体伤害和死亡。
关于ISO 26262标准,《自动驾驶安全第一》的中的描述如下:
第一版ISO 26262是基于对当时汽车行业最先进系统(如转向、制动、安全气囊系统等)的知识而创建的,并未完全解决非常复杂的分布式系统的问题。此外,尚无明确的方法论可以满足维持安全的可用性需求。
第二版ISO26262只解决了其中一部分问题,其他问题依旧存在,这些遗留问题包括:
满足可用性需求的解决方案;
缺少汽车领域的架构模型,如IEC 61508等其他标准中描述的那些用于失效率估算的方法;
不仅要基于当前失效-安全(fail safe)模式来设计,还应基于失效可运行(fail operational)或失效降级(fail degraded)的模式来设计;
细化达到要求的ASIL等级所需的架构要素分解方法;
定义达到要求ASIL等级所需的功能和体系架构要素;
2. ISO/PAS21448:2019 Road Vehicles - Safety of the intended functionality(SOTIF)
2019年,为了弥补ISO 26262的局限性,Safety of the intended functionality(公开标准,PAS)应运而生。在系统方面,覆盖了对性能的局限性和状况考虑不足之处,覆盖了合理的且可预见的误操作,以及不恰当的HMI(例:USER的混乱和过用);在外部因素方面,覆盖了来自车辆周边环境的影响(例如:其他车主,被动式基础设施,天气和EMI等环境条件)。
我们将预期功能安全(SOTIF)定义为“由功能不足、或者由可合理预见的人员误用所导致的危害和风险。”(ISO/PAS 21448:2019clause 3.10)。
尽管ISO 26262和ISO 21448处理的是安全的不同方面,但这两个过程都需要用于实现预期功能的可靠安全性论证。两个标准之间活动的一致性有助于在系统设计的早期发现问题并进行修改。ISO 26262和SOTIF融合实施,参见以下操作:
1.功能及系统规范说明(clause 5)
2.在SOTIF范围内的危害识别和风险评估(clause 6)
3.对驾驶场景中触发条件(triggering event)的识别和评估(clause 7)
4.更改功能以降低SOTIF范围内的风险(clause 8)*这是V模型的左边
5. SOTIF的验证/确认方针(clause 9)*这是V模型的右边
6. SOTIF的验证(clause 10)
7. 确认SOTIF的确认(clause 11)
8. SOTIF的发布(基于方法和条件)(clause 12)
但是,SOTIF只适用于SAE J3016_201609*1)中认定的L1~L2的自动化,L3及更高级别需要考虑其他措施(ISO / PAS 21448:2019第1节范围)。正如《自动驾驶安全第一》中所说,SOTIF只是描述了一个框架,并没有提供更具体的标准。
3. ISO 20077 Road Vehicles - Extended vehicle (ExVe) methodology
2017年,Part1发布,2018年,Part 2发布。这是一个针对车辆数据,确保来自车辆外部的安全和安全访问的标准。
4. ISO/SAE 21434 Road Vehicles - Cybersecurity engineering
这是汽车信息安全标准。
根据ISO官方网站,ISO 的开发设计流程如下:PWI(Preliminary Work Item)⇒NP(New Work Item Proposal)⇒WD(Working Draft)⇒CD(Committee Draft)⇒DIS(Draft International Standard / Enquiry Draft)⇒FDIS(Final Draft International Standard)⇒IS(International Standard)(此处省略部分。)
最初的计划是在2020年5月1日正式将其发布为国际标准(IS),但是到了2020年8月16日,仍然是DIS状态(2020年5月7日,Stage Code 40.60 Close of voting)。根据资料显示DIS计划在2020年1月1日发布,FDIS 2020年6月30日发布,IS将在2020年10月30日发布。由于FDIS的延迟,IS可能也会延迟正式发行。
白皮书《自动驾驶安全第一》还提到,安全性和信息安全性必须兼顾,尤其是主动安全机制的行为必须是确定性的(第2.1.5节),更别说使Availability成立了(第2.1.2节)...即使在AUTOSAR标准化领域,关于优先顺序的确定,也经常会出现很难达成一致的讨论。(例如,如果考虑“Availability”,只用看门狗就够了吧,但实际上,可能忽略了“监控机制到底在监控谁”这个基础。)
在实际开发的现场也是一样的吧?开发项目组的各位专家都有自己的意见,光是解决各自不同的意见就已经很难了,在制定标准这种一般理论的情况下,那就更不用说了。全体人员都互相矛盾着,身为负责人,负责协调整个问题,他们在努力解决问题,同时还在不断尝试和犯错,并努力弄清每个特定问题的整体情况,直到最后(发布截止日期,以及向前推的截止日期)交给可能范围内的成员传阅提出批判意见,一边反思一边成长,决定优先顺序。SOTIF之类的标准和其他人的建议虽然是有帮助的,但最后还是要负责人判断。
5. SAE J3061_201601 Cybersecurity Guidebook for Cyber-Physical Vehicle Systems (2016-01-14)
2016年,做为汽车信息安全的指导手册正式发行。
以上五大标准就是汽车安全相关的代表性标准了,下一篇,我将总结156页的《自动驾驶安全第一》白皮书,并阐述自己的一些看法,如果你也阅读过这本白皮书,不妨在文章下方留言,我们一起来讨论吧!
