自动驾驶汽车的功能安全不是事后的想法

自动驾驶车辆需要与安全相关的功能，可以感知并应对危险情况。这是一个对工程产品本身至关重要的工程流程。自动驾驶汽车的激增增加了对功能安全的需求，这是车辆设计过程的一部分。然而，由许多IEC和ISO文件定义的功能安全被许多工程师视为以文档为中心的文书工作，而不是工程工作。对于许多工程师而言，工程中最不愉快的部分之一是解释文档(例如IEC 61508和ISO 26262)的耗时工作，并确切地确定必须执行哪些合规性步骤。

然而，自动驾驶汽车的安全性对工程师来说是一个巨大的挑许多事情都可能出错，所有这些都必须纳入车辆的安全性。“想想自动驾驶汽车必须应对的所有危险突发事件 - 特别是在城市环境中。如果你说'我做不到;DISTek Integration的需求/功能安全/测试工程师Daniel Aceituna告诉Design News，有太多意外情况，“那么你就明白了这一点。”“有一些情况，如手推车问题，要求自动驾驶汽车做出类似人的判断。诸如此类的情景将需要纳入适当的安全响应中。“

Aceituna将于11月1日在明尼阿波利斯举行的嵌入式系统会议上发表会议，“自动驾驶汽车的功能安全性”并非事后的想法。

自动驾驶汽车与人类之间的相互作用是安全性的重大挑战。“像特斯拉事件这样的事故表明人类不是2级或3级车辆的最佳备用突发事件，”Aceituna说。“即使采用先进的驾驶员辅助系统(ADAS)，一些研究表明，当驾驶员认为车辆的安全功能将覆盖他们时，他们可能会更加鲁莽行事。”

安全挑战之一是自动驾驶汽车的行为与人类驾驶的汽车不同。首先，自动驾驶汽车往往更加谨慎。Aceituna说：“有些事故导致人员与自动驾驶汽车相互作用导致碰撞事故，因为驾驶员并不期望驾驶员会在他们面前停下这样一辆守法车辆。”“在这个领域进行更多研究之前，需要在实验室进行这项研究。”

瑞士奶酪情景

安全性的一个方面特别难以在标准中捕获。那是在同一时间出现不止一件事的时候。“James Reason介绍了适用于事故的瑞士奶酪模型。这是几片瑞士奶酪的片段，每一块都代表着可能出错的东西，它们堆积在一起，通过排列的孔形成一条危险的道路，“Aceituna说。

Aceituna指出，当产品的多个方面同时失败时，会发生真实的事故案例。“瑞士奶酪场景的典型代表是泰坦尼克号，其中超过六个相对无辜的事件失败排列导致船舶下沉，”Aceituna说。“FS标准在处理瑞士奶酪方案方面几乎没有什么可说的，但大多数事故都是由于几次出现问题而造成的。”

安全工程与产品工程一样具有挑战性

开发自动驾驶汽车安全性的最大挑战之一是需要预测车辆与其环境之间的各种可能的相互作用。“为了符合FS标准，工程师必须预测当产品与其环境(包括我们不可预测的人类)相互作用时会出现什么问题，并设想一个与安全相关的系统，”Aceituna说。“典型的FS安全相关系统回路具有传感器，逻辑和驱动结构，由一起工作以检测危险情况的子系统组成，以预定方式对该情况作出反应，并将系统置于适当的安全状态。除此之外，进一步考虑该安全状态本身是否会导致危险。“

开发安全性的复杂性可能与创建产品本身的工程一样苛刻。“你需要制定安全循环的完整性等级，以便在需要时可以依赖它来对这种情况做出可靠的反应。有了这个，你就可以获得与产品本身工程相媲美的工程挑战，“Aceituna说。“有些人可能认为它更具挑战性，因为人类倾向于乐观，因此产品是按照快乐的功能路径设计的。因此，设计一个假定许多事情可能出错的系统在认知上是反直觉的，因此对工程师来说是一个更大的挑战。“

真正的工程或文书工作?

虽然安全性可能需要大量文档，但它仍然基本上是工程工作。“我发现了一种常见的观点，即将功能安全或FS视为额外的开销，以文档为中心，工作或更多的文书而非工程性质。这导致一些人对功能安全过程缺乏吸引力，以及随后不愿意实施它，“Aceituna说。“我发现解决这个问题的一种方法是将FS视为工程方面的努力，并将一些额外的文档与之相关联，而不是将FS视为严格的文档工作。毕竟，工程师宁愿设计也不愿做文件。因此，将FS视为额外的工程设计使其看起来更具吸引力。“

自动驾驶汽车所涉及的设备和技术需要工程师的经验和方向。“当您考虑具有控制系统的产品通常由传感器，逻辑和执行器组成时，将FS视为工程并不难，而典型的FS安全相关系统回路也包括传感器，逻辑和执行器，”说Aceituna。“因此，FS更多的是已经在设计中 - 仅强调对危险情况的感知和反应。这使得功能安全不仅仅是填写额外的文件。“

Rob Spiegel已经将自动化和控制技术应用了17年，其中15年用于设计新闻。他所涉及的其他主题包括供应链技术，替代能源和网络安全。10年来，他是食品杂志Chile Pepper的所有者和出版商。