Apollo进阶课程 ③ | 开源模块讲解(中)
目錄
1)ISO-26262概述
2)ISO-26262認證流程
3)ISO-26262優點與缺陷
原文鏈接:Apollo進階課程 ③ | 開源模塊講解(中)
Apollo自動駕駛進階課程是由百度Apollo聯合北京大學共同開設的課程,邀請百度Apollo開放平臺研發團隊的中美專家聯合講授。
上期,我們發布了Apollo開源模塊講解(上)。本期,我們將繼續Apollo開源模塊的講解,主要和大家討論什么是ISO-26262。
話不多說,歡迎各位開發者一起進入進階課程第三期。
1)ISO-26262概述
首先為大家介紹安全方面最基礎的一個模塊ISO-26262。ISO-26262是一個非常復雜、非常結構化的標準。比如說,如果一個硬件達到了ASIL D級別的要求,那么它的故障率是10 fit (Failures In Time, in one billion device-hours of operation),即10億個小時里面出一次故障。這個故障率要比windows藍屏的概率低很多。
從英文來講,安全有兩個詞:Safety和Security。Safety包含兩個方面:系統性故障?Systematic Faults?和隨機故障?Random Faults 。
系統性故障是說,我在設計汽車的時候就存在的缺陷。每次運行的時候,都一定會發現問題。軟件和硬件都有可能存在系統性故障。
隨機故障是由不可控的因素造成的故障,不一定會出現,比如路上顛簸了一下。一般情況下,只有硬件會出現隨機故障。
而Security涉及的不是車自身的問題,而是系統被別人攻占了。以前你要攻陷一輛車,是很困難的事情,沒有物理連接也沒有網絡連接。但是有了無人駕駛技術以后,車總是和網絡相連,讓車變得特別容易被攻擊。
ISO-26262是一個行業規范而不是一個例法,只覆蓋Safety,不覆蓋Security。但我們在做無人駕駛的時候,必須考慮security。
2)ISO-26262認證流程
通過ISO-26262的認證是一個特別慎重的流程。
首先你需要明確車具備哪些功能以及這些功能由哪些零部件完成。其次,需要考慮對于車的每個功能是否會出現故障,一旦出現問題是什么級別的問題。
有兩種問題,例如做車的加速系統:一種問題是車在人沒有意識的情況下加速了。另一種是,需要車加速的時候它沒有加速。我們需要把這些問題放到具體的情景中去考慮,最嚴重的問題是哪一種。對于判斷一個問題是否嚴重,ISO-26262給了三個判斷標準:Exposure、Controllable、Separately。
Separately是指車和人分離,出事故后有多少概率會造成人員傷亡。
Exposure是指這件事情是否常見。
Controllable是指車出現了問題,駕駛員是否有機會接管。
ISO-26262的認證過程是一個“V型”。首先要看是什么開發環境,其次要分析問題的等級是怎么樣的。如果是一個很高的等級需要判斷這個問題出現的概率有多大。然后考慮這個問題具體要怎么解決。也就是先做High Level層級的,再到Function層級,然后到Technique層級。
Technique層級涉及軟件和硬件。軟件硬件確保了安全性后,再返回往上去做驗證。對于ISO-26262更高級別的要求,它會要求有很多Redundant system。如果現行的系統壞了,下面還有一套系統。如果出現問題,另外這個系統具備使它停下來的機制。
3)ISO-26262優點與缺陷
ISO-26262代表了汽車行業在安全方面可以做到的極限,在汽車行業有很高的威望。
首先,它是對技術的一個引導。毋庸置疑它會使車更加安全。其次,它有很高的商業附加值。通過這個認證最多的車是德系車,德系車價格遠高于同行。第三,它涉及法律中權責的問題。
汽車行業是一個復雜的行業。車廠要把汽車組裝起來,需要對供應商提各種各樣的要求。一旦汽車出現了安全問題,供應硬件零件如果符合安全要求,車廠就要承擔責任。而汽車的召回一般都是十億美金這個量級的。所以這個認證它雖然不是法律,但它在打官司的時候特別有用。
但ISO-26262也有缺點。它的認證過程很繁雜(Very Heavy Process),不符合敏捷開發的需求。ISO-26262一定是每一層的文檔都準備完畢,才可以做下一層。
我們做一個APP可能以月計迭代都算慢的,但是做車可能需要十年的規劃,我們現在開的車可能就是他們十年前規劃出來的。
總結
以上是生活随笔為你收集整理的Apollo进阶课程 ③ | 开源模块讲解(中)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: lexstart.exe是什么进程 le
- 下一篇: 机器学习入门必备的13张“小抄”(附下载