女士们 先生们大家好

我是Bernhard Kaiser

我将和大家一起讨论SOTIF

其现状 挑战以及未来方向

首先

我来为大家介绍一下

什么是SOTIF

以及为什么我们需要它

传统功能安全性

简写为FuSa

将E/E系统的故障

视为危险原因

软件中的错误

晶体管中的偏移 损毁的线路

以及屏幕上的中断消息

但这对于ADAS

以及

自动驾驶

的所有这些方面已经足够

我们凭借经验能够知道

事故发生的原因

可能是规格不匹配

或者系统基于的假设

不成立

以及可能遇到各种驾驶场景

的真实环境

传感器的标称性能

与感知算法会受到限制

例如 视场

顺序感知

范围

或者即使在黑暗环境中

也能检测物体的功能

而且它也会

受到环境条件的进一步损害

例如雾气或者下雨

当今的感知算法

通常基于机器学习算法

但机器学习

可能会表现出无法解释的行为

因此就安全标准

而言

它很难实现安全

最后但同样重要的一点

是人类与机器之间的

误解和模式混淆

总是需要人为操纵

即便对于自动驾驶汽车

也有可能导致危险

而且它们甚至可能被误用

而且是故意误用

例如来自互联网的著名案例

有些人将可乐罐

放在方向盘上

为了愚弄

ADAS系统

的人类手动驾驶识别

我来解释一下

规格和真实情况的不匹配

如何能够造成危险

即便不存在故障 在该案例中

甚至没有

限制传感器性能

而这也是问题的原因所在

这是一个真实发生的案例

您在这里可以看到的是

位于德国的

一个高速公路出口场景

这里我们有这些大的金属标志

箭头指向右侧的标志上写着德语Ausfahrt

意思是出口

当然

您正处在减速匝道

因此您将

非常快速的接近这个标志

而且雷达能够识别该标志

因此不会有任何感知问题

所以人类驾驶员

在这种情况下会进行制动

但不会十分强力

以至于在标志前停车

我的意思是

显然因为驾驶员

根本无意

停车

他知道道路向右侧拐弯

并且他只希望

沿着弯道行驶

才会减速到合适的速度

例如

50千米每小时

系统此时正在考虑的是

道路上有一个障碍物

驾驶员正在刹车

但驾驶员的刹车不够强力

因此我应该帮助驾驶员

所以ABS系统就会发挥作用

并

造成完全紧急制动

从而让车辆

在到达标志之前停下

当然 通过这个行为

当然是出于善意的行为

系统只会制造危险

因为如果您突然在出口匝道上停车

那么这意味着后面的另一辆车

将会

直接与您的车相撞

传感器性能的缺点

和局限性是多方面的

他们具有标称性能

例如一些对比分辨率的限制场

光敏感性

传感器性能会

受到天气条件的进一步影响

例如雾和大雨

传感器很容易受到干扰

使它们无法识别

或者容易受欺骗 例如

炫目的阳光

可能会让摄像头传感器

处于饱和

或道路上的可乐罐发生反射

这可能在雷达看来就像一堵高墙

并可能

导致停车

然后算法同样也有其局限性

不仅仅是

传感器

存在一定的假阴性率

假阳性率也有可能出现

感知算法基于您的网络

假阴性意味着

无法检测到实际存在的物体

假阳性意味着

报告了一个

并不存在的物体

我们将这种物体称为幽灵物体

机器学习

是很多感知算法的一部分

尤其是与摄像头结合时

在这里我们看到两张几乎相同的照片

由

卡耐基梅隆大学提供

您几乎发现不了任何差异

但如果您仔细看

有一点雾霾

被添加到了

右图

现在看一下性能参数

左图上

对于行人的检测强度

您可以看到

一个行人在这里

摆出特别奇怪的姿势

其值接近于1

而在右侧图片上

其值接近于0

因此该网络已经失去了

所有的检测功能

作为一名人类观众

您甚至看不到任何差异

另一方面

左图中的

假阳性率

增加了很多

因此

我们如何测试一些事物

如果对测试案例

做出几乎看不到的微小调整

能够得到完全不同的结果

为了解决ADAS

和自动驾驶系统

的所有这些问题

我们开发了一种全新的安全性子学科

预期功能安全性

或者缩写为SOTIF

是安全性的一部分

能够处理电气和电子系统中

并非由技术故障引起的

不适宜的行为

SOTIF学科

涵盖

由特别罕见的场景

导致的危险

而这些场景

在规格和设计中并未考虑

因此车辆无法

处理这些场景

传感器标称性能

和感知算法

的局限性和缺点

由于环境条件

对感知造成的

干扰和损害

例如天气条件

离开ODD

也就是系统主要针对的

设计运行范围

同时使用

自动化特性进行驾驶

最后是

人类误解

模式混淆 甚至是故意误用

SOTIF和FuSa即功能安全性 00:07:35.651 --> 00:07:36.395 正如

我们之前了解的那样

是互补的

并且是技术安全性的相关子学科

让我们简单看一下

SOTIF的适用标准

首先是全新的ISO 21448标准

这是

全球主要的SOTIF标准

它旨在补充ISO 26262标准

而且很多术语和用词

都是通用的

他们的发布计划

ISO PAS 21448

PAS属于

公用规范

这是一种预标准

在去年

已经出现

并且旨在用于ASAS系统

只针对

L1级和L2级

从那之后发生了很大变化

所以今天

我不会再推荐您使用此标准

我们

自去年冬天

就颁布了一个委员会草案或CD

用于缩短发布ISO 21448标准的周期

这是一个即将发布

的版本

一些细节可能还会改变

因此目前正在讨论中

预计将于2020年底发布

由于新冠肺炎疫情

我宁愿说

它将于2021年

发布最终的ISO 21448标准

与过去的版本不同

它将解决

所有等级的自动驾驶

不仅仅是ADAS

让我们来看一下 ISO 21448

工作流程

您可以看到这是一个循环工作流程

从初始规范

和设计开始

此处有第一个循环

这是分析循环

包含危险性分析

识别

潜在的功能充分性

以及触发条件

而下一个循环 即第二个循环

是验证循环

发生在常见的确认和验证计划之后

这就是

评估所有已知的危险场景

以及所有需求

我们将会验证

系统是否符合我们规定的一切

从而确保安全

但仍然有发生

未知情况的风险

这些情况可能发生在真实道路测试中

而且目前尚未考虑

所以这是第三个闭环

也就是验证循环

它涉及大量道路测试

但可以确定的是 在未来

将会出现越来越多的仿真场景

如果您通过了前一个循环

就只能继续前往下一个循环

这里有一些

决策点

如果您没有通过此循环

那么

您就必须返回

进行一些功能修改

从而降低SOTIF风险

随后进入下一个循环

实际上

还有第四个循环

就在右侧的此处

位于研发循环之后

在运行期间

您仍需执行现场操作

并检查附加风险

我们应该比较的第一个

适用标准

显然是 ISO 26262标准

与全新的

ISO 21448标准

当然

很多人或许会问

我需要进行两次比较吗

乍一看

这两个标准看起来差异很大

首先ISO 26262标准

更加详尽

更加庞大

包括12个部分 12个卷宗

而且对一切事情都有非常具体

的指南

硬件研发

软件研发

系统测试

支持流程

例如配置管理

在更为简短的

ISO 21448标准中

您找不到

这一切

此外我们在这里还看到经典V模型

这在目前存在的

大多数安全标准中

都是很常见的

当然

它与我们这里的循环模型

不同

但是在另一方面

您可以看到

V模型中

总是存在循环

如果您在测试期间发现了

什么问题

您必须返回循环的左边

因此循环存在 只会没有绘制出来

无论如何

请记住这些只是模型

实际的流程中

同时具有循环模型和V模型方法的元素

无论任何 这些方法都针对产品

或者针对公司

另一个有趣的资源是

技术报告 自动驾驶安全第一

如果进行比较 我们将会发现

对于不同的周期而言

同样存在循环方法

内部的一个是分析循环

然后是认证循环

验证循环

现场操作 现场观查循环

更重要一些

在此我们必须设计

这也是该标准中的

一个重要方面

该标准规定

设计安全性

与验证安全性之间必须存在一个平衡

因为您不能

只测试系统的质量

其功能要略强于

此处的隐藏设计

以及改进周期

但两种标准

非常匹配

如您所见

这里有一个直接对应

而且

关注设计

或许是最重要的提示

但也有其他不错的提示

关于

您可以考虑的标准

最后但同样重要的是 这里有一个新标准

同样将于今年 2020年

由美国认证组织UL发布

或许您对这个组织有所耳闻

该公司主要处理自动驾驶系统的

整体安全情况

不仅仅是道路车辆

还有空中车辆

例如

它以安全性案例为中心

安全性案例

基本由 ISO 26262标准定义

这是一个结构化参数

包括声明 参数和证据

但关于好的参数还有更多压力

不仅仅是

列出

测试报告中的

所有文档

或许它对于研发

安全的自动驾驶系统

尚且不够

但它是最佳实践和检查表

的一个不错的来源

您也可以考虑

用于您的公司流程

因此我们需要遵循大量标准

这里还有一些其他

我还没有谈到的标准

例如起始位置标准

某些自动化功能的性能标准

例如AEB ACC

等等

因此您不能

以一名研发者的身份

解决所有这些标准

您必须找到自己的方式

考虑所有这些标准

这对于您而言势在必行

而且要根据您

在供应链中的位置

定义您公司的特定流程

很大程度上 它看起来像

V模型循环

的混合

当然这里的循环位于右半部分

与左半部分之间

但极有可能还

是分析与设计方法

以及左边的早期验证之间的循环

这就是您必须要做的事情

可能需要一些咨询公司来应用这一点

到目前为止

通过在实践中部署这种全新的标准

我们获得了哪些经验

当您首次

在实践中

部署ISO 21448标准时

首先要做的是

更加详尽地阐述

分析方法

如果您还记得原图

那里只有一个分析框

除了我曾经称之为的

危险识别

我顺便提一下ISO 26262 标准

因为实际上

在此我并未看出有什么不同

稍后我将对此进行详细描述

但现在我们先

来看看这条模块链

一开始

这里只有一个模块

找到您的系统的缺点

以及

触发条件

但到底该如何继续呢

我认为

以危险原因分析开始非常有用

通常我会采用故障树分析执行此操作

但您也可以使用故障网路

或STPA

这意味着从危险开始

我要返回

查看原因是什么

稍后我们将会介绍一个相关案例

这有助于

更加接近技术抽象水平

传感器和算法

将发挥作用

因此我了解到

AEB系统的被迫制动

可能是由于

幽灵物体导致的

然后说起来就更加容易

好了

我必须找一下

可以创建幽灵物体的课程

例如在雷达传感器上

下一个事情

我放在

触发条件的识别之前

那就是局限性和缺陷分析

这看起来与FEMA

或者危险指南分析

非常类似

我正在分析不同的传感器

它们的物理工作原理

并问道

是什么让这些传感器行为不当

如果我知道雷达的工作原理

我就会想到金属反射

能够让雷达无法识别

并且显示

实际上

并不存在的物体

如果我了解摄像头的工作原理

那么我就可以说 黑暗可能是个问题

反射可能是个问题

炫目的阳光也可能是个问题

这对我了解缺陷大有帮助

我可以更好的猜测触发条件

最终触发条件

将会成为ISO21448标准中的核心术语

还会连接

测试和仿真

因为触发条件

属于环境因素

能够激活

感知的缺陷

或局限性

从而创建一些东西

因此如果您正在

明亮的阳光下行驶

摄像头的光敏感度低

并不是问题

但如果您在夜间行驶

这就会成为一个问题

在剩下的循环时间里

我不会做出很大改变

因为我更愿意

专注于分析技术

而不是验证与确认技术

接下来我们必须解决的问题是

如何处理

ODD

也就是设计运行范围

这是系统的目标

操作空间

当然这也是

各种危险分析

的重要基础

对于验证也是如此

我们必须找到所有的

相关方面并进行分区

然而

一个明显的解决方案是

使用Medini中提供的

的场景目录

它一直被用来进行

危险分析

和风险评估

并将其用于

ODD的规范

因此我们在该表中

有不同的位置

例如乡村小道

高速公路

或者山口等特定地点

我们有道路条件 铺设的潮湿道路

下雪或结冰路面

我们有不同的环境

例如不同的可见性

或者天气条件

交通和人 工具使用

只有Maneuver 制动

正常驾驶 速度范围

还能选择性地扩展情景属性

我们可以依据ISO 26262标准

指定一个暴露参数

因为在未来的工作中

我们同样会

用到它

该方法存在的一个问题是

组合爆炸

因此我们还采用了另一个解决方案

那就是

使用Medini检查表进行ODD定义

我们准备了一个检查表模板

该模板具有不同的目录

似乎对我们很重要

例如目标车辆类型

自动驾驶功能的

适用道路类型

车辆速度范围

允许车道数

必须有紧急停车的路肩吗

等等

我们可以在此填入参数

例如

速度范围在0到80千米每小时

或者至少两个车道

是的 必须要有路肩

我们还注意到

HARA流程

存在一些差异

基本上

我们的第一个方法是

使用相同类型的

HARA实现FuSa和SOTIF

实际上这非常适用于

L1级

和L2级自动化的

ADAS系统

因此我们的传统方法

开始于一种功能定义

和ODD

以及第一个控制结构图

我们在此列出了项目功能

所有这些都在传统方法中执行

而且根据ISO 26262标准进行了项目定义

因此无论如何您都要从功能开始执行

从而找出故障

您可以使用引导词列表

例如过高 过低

错误的方式 意外 等等

而故障或车辆等级

随后会进行研究

如果它们能导致一场事故

如果它们能造成损伤

那么它们就是危险事件

当然

为了解决这一点

我们必须考虑运行情况

也就是这里的路径

还有其他问题需要我们回答

例如

哪些可能的伤害

将会决定

强度系数

什么潜在的人为干预

能够避免事故发生

即便出现了故障

这就涉及到控制功能

对于 ISO 26262标准

我可以计算ASIL等级

而这点

对于SOTIF是不需要的

而且

从危险事件中

我可以将其反转并实现安全性目标

那就是最高级别的安全约束

或者安全要求

顺便说一下 该条款属于26262标准

而不是在ISO 21448标准中

但无论如何我们需要它们

因此我们将会详述

这就是我们

传统的危险分析流程

但当我们进行尝试将其应用到

更高的自动化等级时 例如L3级至L5级

更高的辅助率 会发生什么

我们发现

定义单个功能

将会变得更加困难

还记得这个部分吗

这是功能定义

以及找出故障

因为您再也无法

分离单个功能

例如 如果您有一个高速汽车司机

前方有一辆速度更慢的汽车

您可以选择减速

或者如果旁边的车道可用

也可以变更车道并超过前车

因此您说不出来该功能是什么

该功能是什么呢 避让是功能

制动是功能

转向呢 转向呢

因此我们必须考虑

相关场景

当然由我们的标准场景目录

以及ODD定义

启发

而且对于每个相关场景

我们都必须描述

什么是期望行为

或者可接受的

车辆行为或反应

这里甚至有一系列

可以接受的行为

制动或避让

然后我们有了起点

从而找到车辆可能

会作出的

不适当的行为反应

如果您想 您可以在此

使用该方法进行指导 比如功能

接下来的案例是一样的

因此我们发现

存在不同的HARA方法

但不是由

FuSa与SOTIF的问题划分的

而是由

自动化的等级是哪种问题来划分

除此之外

我们发现

将现有的分析技术

例如故障树分析

转移到SOTIF的新领域非常简单

当然

随后我们就不是处理故障

而是处理

不适当行为的缺陷

但除此之外 完全一样

因此我们可以从危险开始

我们在危险分析中发现

例如

高速公路驾驶员不合理的制动

然后我们可以查找课程

例如检测

一个并不存在的物体

错误定位或者分类

真正存在的物体

或者做出制动决策

此外还会报告危险的物体

我们可以进一步划分

例如这里错误的定位或者分类

报告的速度差异

高于

实际值

因此我们正在考虑

设置更高的

实际碰撞临界值

或者报告的物体

将会影响本车车道

尽管没有交叉

或者报告的物体

比实际距离更近

您可以看到 这当然可能与故障相关

但也可能会与

速度检测的不准确

或者此处幽灵物体

的假阳性率相关

因此这对两种情况都适用

实际上我们发现

在更高的

功能抽象等级上

您可以同时执行

FuSa 和 SOTIF分析

当然随后在技术层面上

您必须区分

感知系统的故障以及缺陷和局限性

下一步

就是缺陷

和局限性分析

我们的引导词分析

我们知道来自危险

而且

我们已经用于

发现最高级别的故障 效果非常好

因此在左侧

我们有一些传感器的特征

在我们的案例中 这是一个通用摄像头

特征是正常的视场

视觉范围 对比分辨率

光学敏感度

色彩分辨率

而在水平栏上

您有不同的目录

和不同的引导词

例如 气候是一个目录

然后我们有

多云 小雨

大雨 雨夹雪 小雪 大雪

您可以看到

大雨对于摄像头而言是个问题

在标准的色彩分辨率下

它们会发现此处的缺陷

此标志代表缺陷

降低色彩分辨率

而且在视野范围内

当然在大雨天气条件下

您的视野范围

将会大大减小

因此这很容易就能

找出这些局限性和缺陷

然后

我们需要

结合

故障或者不适当行为

进行因果分析

最后我们要分析的是

触发

条件

现在让我们讨论一下

如何确定触发条件

触发条件

也是ISO 21488标准中的

核心术语

它们表示事件

或者环境中的一系列事物

能够激发一直存在的缺陷

从而导致不当行为结果

正如我前面解释的那样

触发条件

可以通过因果分析发现

这是此处应用的

两种方法中的一个

例如 因果分析可以成为故障树

这里我们有

自动驾驶功能

和感知功能的错误行为

尤其是

对于一个物体检测较弱

当然您可以在故障树中看到

一个门

这意味着

有两个东西

必须一起出现

这与功能安全性的不同之处

在于通常您只有

一个根本原因 一个破损电子部件

一个位翻转存储器

而这将会损害

摄像头

但在此您有

两个必须一起出现的东西

这里也

存在局限性

减少了摄像头在黑暗区域中的检测

以及弱照明条件

因此在明亮的日光下

该缺陷将不会成为问题

但在夜间则不然

您可以使用故障树

或者您也可以使用因果网络

两者都可能实现

但或许

这并不足以发现

所有种类的触发条件

看一下右边的这个示例

这是一个

真实发生的事情

之前已经训练过的神经网络

在感知人类

方面

通常会表现出良好的性能

但随后就会系统性地遗漏人类

例如这里的修路工人

穿着一件黄色的警示背心

这对人类而言不难解释

因为通常

黄色的警示背心能够提高可见性

但对于神经网络而言情况并非如此

您永远无法

在故障树中找到这类东西

因此通常只有结合两种方法

才能保证

您的分析

能够实现足够的完整度

为了总结这部分内容

我想为您提供一些案例

关于

设计改进的SOTIF机制

SOTIF的概念术语

并没有

出现在

ISO 21448

标准中

但存在清晰的要求

以不断改进系统

直到您的自动驾驶功能

风险足够低

这里只选择了一些

您可以实现的东西

首先

关于更好的传感器

涉及检测功能

准确性

鲁棒性

以及其他质量属性 例如

一个更昂贵的摄像头可能比

更便宜的摄像头

具有更好的信噪比

或者更庞大的雷达天线

能够提供更好的分辨率

下一个主题是传感器多样性

例如

摄像头和雷达

在检测功能上是互补的

在对环境条件的感知上

也是如此

例如 摄像头在雾天性能较差

但雷达可以起帮助作用

在一个有大量金属反射的隧道里

雷达的性能会受损

但摄像头仍能够拍摄

一般而言

有时

这还与其他传感器有关

当然这也伴随着

系统额外的

成本

如果摄像头和雷达结合在一起

性能仍然不够

那么您可能希望添加激光雷达

或者红外摄像头

这是个有趣的选择

因为这些能够

弥补您当前

检测轮廓的不足

例如

在雾天 普通的摄像头无法工作

但红外摄像头

依然能够提供信息

道路上

是否有人

在所有这些传感器之间

一定存在传感器融合

或者至少有一些跨功能检测

例如

您可以指定ABE系统

完全紧急制动的授权

只针对

至少两个不同传感器

同时认证的物体

接下来

与ISO 26262标准类似

那就是传感器自我诊断

这次不是针对故障

而是针对错位

或者类似的事情

例如

算法可以检测到

污损或破旧的摄像头

或者可以检测

由于眩光引起的饱和度

然后功能会转换到另一个模式

并请求驾驶员

收回控制

或者其他传感器系统接替控制

当然

接下来

是检测算法的改进

尤其是

训练机器学习算法

例如

如果您偶然发现了

检测缺陷

对于摆出不寻常的姿势或身着不寻常衣物的行人

然后您应该选择

增加您的神经网络

培训数据

从而包括这些案例

这里有更多选项

当然可以用来

改进系统

并降低风险

为了总结我的讨论

我想为您描述

一些SOTIF潜在的未来方向

首先

必须改进的是

集成不同的技术

设计 分析

仿真及其他类型的验证

在早期阶段

在V模型的左半部分

您可以看到

通过象形图

我在V模型中绘制的小循环

这看起来是什么样子呢

需求

工程师

需求征集

会定义第一个功能吗

系统工程师

正在创建首个版本的

功能架构

然后立即进行安全性分析

当然如果您拥有基于安全分析工具的模型

这是一项优势

该模型将可以直接研究

架构的系统L模型

安全分析师

将会发现潜在的缺陷

或许是FuSa

或许是 SOTIF并提出改进建议

全新的安全性要求

架构的改进

因此这是一个循环

并再次进行分析

该循环将会不断进行

直到解决了所有问题

技术层面上将会重复同样的循环

但能够为验证提供帮助的

不仅仅是分析

我们必须在闭环仿真中

尽早开始使用模型

浏览大量场景

并发现

新功能是否发挥了

它应有的作用

以及安全性诱发的改进

是否取得了成功

在此您可以看到一个

分析

与验证技术的集成案例

Medini的安全性分析人员认为

某些场景

可能会导致危险

例如

我害怕另一辆车

近距离汇入我的车道

可能会造成检测太晚

您可以帮我检查吗

然后您要做的是

定义触发条件和逻辑场景

停车 停车并不是一个完全指定的场景

它只是表明

该场景中除了本车

还有哪些参与者

位置是什么

车辆的相对位置

速度以及正在发生什么

采取了什么策略

这里没有具体参数

雷达参数范围为

本车之后

50米到200米的车辆

这被输入到场景生成器中

场景生成器

能够从大数据库中

提取真实的场景

构建大量驾驶策略

以及环境条件等等

并从中构建具体的场景

但还有另一个分支

它是关于监控条件

.

这些都来源于危险

我在害怕什么呢

例如 追尾碰撞

您也可以说

本车与前车

之间的距离为0

这就是碰撞 应该受到监控

因为仿真必须知道

需要报告

哪些事情

因此将会生成观察器

具体场景

随后将会导入

我们工具集的仿真引擎

VRXPERIENCE驾驶仿真器

一个抽象场景

可能会导致

需要执行数百个具体场景

Ansys正在参与

ASAM OpenSCENARIO计划

研发

比之前标准

更正式且更强大的

标准开放场景工具

而这将用于

集成

我们的工具

每当观察器启动时

这意味着

违反了关键条件

随后这将被记录到锁定文件

然后锁定文件

将会反馈到 Medini Analyze中

并

在安全性分析中进一步考虑

我看到的下一个主题

是定量方法

或者统计方法

展现足够的低风险

目前

在ISO 21448标准中

我们没有任何

强制性统计目标矩阵

正如在ISO 26262标准中那样

我们有硬件稳定性矩阵

我们需要在此展示的

只有定性

因此我们要采取两个措施

一个是将未知的危险情况

变成已知的危险情况

然后表明

您可以掌控

所有已知的危险情况

当然没有绝对的安全性

也没有零风险

这里有一个明显的问题

多好才算足够好

如何定量剩余的风险

以及我们在何时

完成测试

ISO 2626标准

中的目标风险值

或许并不适合

传感器系统

的性能

但我们还能用什么呢

哪些目标是可以实现的

如何证明它们呢

SOTIF中的定量方法

目前还不是最先进的

但正在进行激烈讨论中

该标准的信息附录C

提供了一些

关于统计方法的指标

而且必须要完成一些工作

我们才能在实践中

使用统计学方法

如果我们想要统计信心

需要做的工作

就是不断测试

直到我们获得

大量统计证据

看一下这个案例

假设我们想要证明

自动驾驶系统

等于或者优于人类

如果人类

在1亿英里的路程中发生1.09次死亡事故

这来自统计数据

如果我们希望借助95%的置信度

以及80%的功耗证明

自动驾驶系统的故障率

要低于人类驾驶员20%

那么我们就需要测试500年

这根本无法实现

因此我们迫切需要

一种智能和稳定的方法

用于车辆ADAS ATE功能验证

这是整个方法的草图

目标值可能源自事故统计数据

但必须

根据驾驶环境

根据事故的种类和严重性进行分类

就像您在这里看到的

在这张图表上

我们有城市

乡村和高速公路场景

以及重大财产损失

轻度受伤

重度受伤或死亡的分类

因此我们需要更加精细的目标值

然后我们可以应用

定量统计方法

就像我们之前在FuSa中操作的那样

例如定量故障树分析

好了

如果要考虑故障

不会检测到十字路口车辆

由于正常性能

在该点上并非由于故障

然后我们可以进行分解

究竟是什么原因

车辆没有被检测到

或者检测到的低于实际行驶速度的车辆

或者来自不同的角度

而对于此案例

我们可以将什么

视为

一种故障

即使它与SOTIF相关

关键点在于

检测到的车辆速度

低于30千米每小时

尽管实际上要快得多

我们需要关于我们的新型传感器

的统计准确性数据

以检测相对速度的准确性

并且可以

计算该案例

另一个方法是执行仿真

从而找到

不执行期望行为的概率

但问题在于

我们有很多参数

还有大量变量

我们不能仅使用

一种强力计算法

我们需要一些小技巧

以执行敏感度分析

关键参数是什么

不相关参数是什么

临界水平是什么

因此当您

到达一定水平

并且稍微修改一个参数

然后您将进入

危险区域

因此我们需要借助类似Ansys OptiSLang 的工具

该工具能够执行此优化

并且可以

大大减少

仿真案例的数量

但这

并不仅仅是行驶的里程数

左边示例中的里程

肯定不会

等于右图中

空旷街道上的里程

因此很大程度上

不仅仅是里程数

来证明我们是否安全

我们必须找到

关键场景是什么

如何进行加权测试

如何确保

我花费精力完成的事情

会真正提供

有意义的结果

这给我们带来

定义和构建ODD的挑战

找到一个分类法 找到类别

找到等价类

并找到覆盖矩阵

我们必须列出

ODD中可能发生的一切事情

我们必须处理连续值

因此总覆盖是无法实现的

因为连续值

可能设置为3米

3.5米 10米 任何值都可以

所以我们必须找到

充分具有代表性的等价类

那么有很多问题需要解决

什么是合适的等价类

以及代表

什么是合适的覆盖矩阵

以及剩余风险的

可接受目标值

在所有组合中

是否存在

比强力仿真更高效的方法

知道它们大多数非常无聊

还是非常无趣

对于这种罕见的事件

我们有时

将其称为黑天鹅事件 您怎么看呢

就像一个骑马的人

恶劣天气中的一辆大马车

一个伪装成动物的人

我们是否应该将所有这些

都放入ODD描述中

而且ODD描述

将变得非常复杂

是否应该

将这些全部纳入

统计矩阵的定量中

又或者 我们是否应该

将他们标记为一种检查表

您是否尝试过这个 是否尝试过那个

这里是否应该有一个不断增长的

跨区域和跨企业的数据库

每个人都可以

把事件导入数据库

然后它们可以用来测试未来系统

因此

我们可以

从其他人之前所犯的错误中有所收获

这些

都是需要我们解决的问题

类似问题还有很多

但现在

我必须对演讲作出总结

非常感谢您的关注 现在欢迎大家提出问题