安全第一满足自动驾驶的唯一重要需求

简介

几年的时间却是风云巨变。如今在对自动驾驶推动者的一片质疑声中，唯一的得胜者就是修正安全方案的监管人员。舆论总体导向就是批判主义或彻底敌对。毫无疑问，促成这一转变的其中一个原因就是技术方面的混乱，人们不再将其视为单纯美好的事物，而是像潘多拉魔盒一样带有诅咒。（例如，自动运输车辆可大幅降低成本和提高效率，但也可能使数百万司机失业。）造成自动驾驶技术负面情绪不断增长的部分原因仍是众人皆知的几起伤亡事故，即使无人谈论这些事故，但所有人都认为此类事故还将增加。

重申交通事故研究工程师一直告诫我们的问题，就显得意义重大。人类驾驶造成的伤亡居高不下，引领新技术发展的要点就在于减少伤亡，然而实际情况却愈加糟糕。统计数据表明，在连续几年数据下降之后，2017年美国公路交通事故死亡人数增加，超过 40,000 人的历史记录，而之前一年为 36,000 人。让人类尽快远离驾驶和自我判断的理由似乎更加充足。然而，鉴于驾驶在文化中的独特地位以及人类心理的变化莫测，自动驾驶技术似乎需要显著提高安全性，才能实现大规模部署。埃隆·马斯克的一个著名论断就是，在特斯拉自动驾驶系统达到比美国车辆平均安全性高 10 倍之前，他不会去掉测试标签。还有人说，这个安全级别还要更高才行。

图 1：美国国家运输安全委员会成员检查亚利桑那州坦佩市一起伤亡事故中的优步自动驾驶汽车。

研究方法

与敏捷软件开发一样，这种研究方法强调方法的迭代性、增量性和系统性，并且反馈和采纳周期时间极短。此方法必须遵守的两项主要要求包括： 

1.制造商、监管机构和消费者设定的内部和外部指导方针。 

2.具有较强解决问题空间的数字化双胞胎。这不仅包括配有传感器和算法的详细车辆模型，还包括对路况、交通、乘坐者和天气这类物理空间的 3D 描绘。

最终目标是让自动驾驶车辆成功上路。为实现这一目标，自动驾驶技术的安全性和可靠性必须经得起考验，包括芯片系统设计、传感器开发、数据融合和系统集成以及整车性能评估和交通影响分析。我们所提议的研究方法包括使用高级仿真环境的三种不同验证和确认(V&V) 环境以及物理测试设备，从而帮助原始设备制造商、一级供应商以及其他解决方案提供者证明其提供的自动驾驶系统经过认证、足以成功上路。

首次 V&V 环境是通过应用于模型在环 (MIL)、软件在环(SIL) 和群集应用程序的仿真工具执行的。此环境的宗旨就是在受控环境中涵盖尽可能多的场景（数百万种场景），并能够快速且相对轻松地应变。2018 年 3 月推出1 且由多家商业出版物，包括 电子工程专辑大力宣传的西门子自动驾驶解决方案，正是这样的一种研究方法。

第二次 V&V 环境融合了软件和硬件以进行硬件在环(HIL)、整车在环 (VIL) 和驾驶员在环 (DIL) 测试。此环境需要的场景数量相对较少（几千到几万个），主要集中在需要验证的最为关键的场景集。

第三次也是最后一次 V&V 环境在模拟环境中进行，用来表示真实生活用例集。此环境仅测试几十或几百种场景，通常根据监管机构的要求决定。此最终环境的结果如果符合预期，则车辆可以准备上路。

每个 V&V 环境都会进行迭代以搜集结果，这些结果随后将应用于软件和硬件设计采纳，直到满足要求。这种迭代贯穿于整个生命周期开发，以便形成简化、强劲而快速的自动驾驶车辆开发流程。

图 2：电子工程专辑宣传了西门子 2018 年推出的自动驾驶系统仿真方案。

仿真

此研究方法要想获得成功，仿真功能必须扩展以处理数百万种最终表示真实生活的场景。仿真工具必须提供以下功能： 

● 真实传感器仿真 

● 配有标注数据的真实静态和动态世界模型 

● 真实乘坐者模型 

● 真实车辆模型 

● 强劲的群集和测试自动化功能

Siemens PLM 致力于提供具备以上所有功能的集成工具包。今年春天我们推出的自动驾驶解决方案，是Simcenter 产品组合的一部分；它整合了 TASS 的PreScan 仿真环境，能够为无数种驾驶环境、交通状况和其他参数，创建高度真实的、物理仿真原始传感器数据。从 PreScan 仿真 LiDAR、雷达和摄像头传感器获得的数据随后输入 Mentor 的 DRS360 平台，经过实时融合，能够创建汽车周围环境和驾驶状况的高分辨率模型。客户可以利用 DRS360 平台卓越的感知分辨率和高性能处理能力，测试并优化障碍物识别、驾驶策略等重要任务的专用算法。

最终，此工具包还会融合到产品生命周期管理 (PLM) 环境（例如 Teamcenter）和需求管理工具（例如Polarion）。

此外，任何设计工具还必须足够灵活，才能执行不同级别的仿真。物理传感器仿真对于改进自动驾驶车辆的性能固然至关重要，但是传感器建模结果越接近现实，花费的计算精力就越多。这正是我们的工具也提供更理想化传感器的原因，这些传感器可以在艰难的实时硬件在环设置中用于完整系统测试。随着时间的推移，图形卡、人工智能和总体计算能力不断提升，相关技术会足够精确和快速，可以满足所有必需 V&V 环境使用要求。

图 3：兰德公司 2016 年 告数据表明，自动驾驶车辆如果要获得 95% 人的信任，所需无事故安全行驶里程数比人类驾驶要低。

图 4：PreScan 屏幕截图；工具使用光线跟踪对单车道变道这种规避机动能力进行建模。

测试

接下来轮到测试了。尽管仿真在自动驾驶车辆开发流程中的重要性日趋增加，但是此类车辆在证明其具备应对真实世界环境情况能力之前，测试工作仍将继续。我们坚信，这一最后步骤是对仿真的高度补充，正如各种UNECE/EuroNCAP 官方认证对高级驾驶辅助系统(ADAS) 和乘坐者安全系统验证和鉴定结果一样。我们在进行跑道试验之前使用仿真，同时，我们也使用试验跑道测试结果改进仿真工具的工作方式。我们相信，这种测试方法将优化车辆完成路测所需的时间，同时提高总体测试覆盖范围。此外，在不久的将来，虚拟验证也将融入这一过程，成为自动驾驶车辆测试中不可或缺的一部分。

图 5：TASS 在德国亚琛工业大学 Aldenhoven 测试中心进行高级驾驶辅助系统 (ADAS) 测试。

ISO 26262

任何构建安全自动驾驶车辆和系统的方法都依赖于软件，而我们都知道，根据马克·安德森的论断，软件吞噬一切，或者至少标榜自身为开发流程中最重要的输入（除工程师的大脑以外）。因此，毫无疑问的是，不仅芯片和系统需符合 ISO 26262 标准要求，用于创建这些电子大脑和感觉器官的软件工具也需要满足标准要求。

关于集成电路电子设计自动化 (EDA) 行业采用功能安全程序和 ISO 26262 标准，可谓众说纷纭。关于如何应对这些质疑，我们提供以下三点建议： 

1.注意：电子设计自动化 (EDA) 功能安全程序重点关注认证流程，而非单独的某个工具。原因何在？简言之，EDA 软件本质上属于单点解决方案，而基于 ISO26262 认证流的功能安全程序可以掩饰某些独立工具在可靠性方面的不足。绝大部分芯片制造商根据不同EDA 厂商提供的特定工具制定了自身认证流。因此，当 EDA 功能安全程序在对仅包含工具的认证流还是认证各个工具自身价值进行优先顺序划分时，他们忽略了现实情况，即芯片制造商是通过 EDA 软件设计产品的。正如纸牌堆成的房子一样，从认证流中去掉任意一个工具，都会导致认证流不符合 ISO 26262标准要求，除非芯片制造商仅采购一家 EDA 软件公司的工具，而这种情况几乎从未发生过。与坚持只选一家 EDA 软件提供商相比，更好的做法是采用  ISO26262 这样以工具为中心的方法，芯片设计者可以选择适合设计的最佳工具并且可以相信每种认证过的工具自身都可以符合安全标准，而无需依赖于更大的认证流。 

2.这与术语“工具置信水平”(TCL) 相关。尽管 EDA 新闻 道大肆宣扬 TCL 评级，但以下两个要点至关重要：(1) 软件工具资质认证的目标是资质认证，而不是 TCL。TCL 不过是衡量资质的一个标准。(2) 工具是否能够自身独立而完全无需依赖认证流或认证链中的其他工具并独立达到 TCL2 或 TCL3 级别，这是重中之重。绝大部分的情况是，TCL 1 认证流中的工具如果从特定流中独立出来，并不能达到 TCL 1 级别，就像前面提到的，抽出其中一张牌，整个纸牌屋就会坍塌。此处推荐的另外一种方法是寻找一种能够自身独立于任何认证流并符合 ISO 26262 标准要求的工具。 

注意：电子设计自动化(EDA)功能安全程序重点关注认证流程，而非单独的某个工具。原因何在？简言之，EDA软件本质上属于单点解决方案，而基于 ISO 26262认证流的功能安全程序可以掩饰某些独立工具在可靠性方面的不足。

3.确保 EDA 提供商严格遵照文档编制。对于每项 ISO26262 认证，EDA 提供商准备软件工具认证 告，包括分类和验证过程摘要、结果、修改建议、项目特定流程措施和有关工具使用的详细信息。这种文档编制可以证明 EDA 提供商已经满足 ISO 26262 标准要求的所有必需步骤。这些信息对于芯片制造者意义重大，因为它对工具的准确使用方法提供了分步指导，从而可以建立符合安全要求的最终产品。但另外很重要的一点是，仔细阅读众多 EDA 工具资质 告细则会发现，客户需要确保佐证精确。可以吸取的教训是，如果 EDA 提供商无法严格遵照并有效证明文档编制，需考虑另辟蹊径。