广告

技术能否完全让自驾车事故悲剧不再发生?(下)

2018-04-11 Junko Yoshida 阅读:
技术能否完全让自驾车事故悲剧不再发生?(下)
Uber事故的悲剧带给我们的教训,是消费者、产业界与主管机关都应该停止简单的争论,找出确保道路安全的方法;而我们更应该关心的是,让自动驾驶车辆能安全地与行人与其他人类驾驶车辆共存之前,还有多少工作要做。

接续前文: 技术能否完全让自驾车事故悲剧不再发生?(上)qwDednc

自动驾驶系统带给汽车业者的最大冲击,就是软件内容不断膨胀;软件开发商Green Hills Software汽车业务开发总监Chuck Brokish在接受EE Times采访时就表示:「链接库变得太庞大…拖慢了安全软件评估程序。」qwDednc

今日的车用芯片领导厂商声称其车用SoC或MCU即将取得ASIL (Automotive Safety Integrity Level)-D安全性认证,而因为该认证是协助定义符合ISO 26262标准的必备安全性要求,这是正面的发展,但ASIL-D芯片上执行的软件呢?也同时取得了ASIL-D认证吗?qwDednc

对此Brokish指出:「并没有,他们会说他们的软件是经过『质量控管』(quality-managed),」他解释,这代表该类软件的安全性并没有经过单独验证或是认证。有数个产业团体包括SAE、ISO等,正在努力为软件安全性开发「准则」,但Brokish认为,还需要至少几年的时间一切才能底定。qwDednc

「紧急红色按钮」可行吗?

考虑到Uber自驾车事故悲剧,政府主管机关应该要谨慎重新思考信任自驾车营运商安全性声明的现行策略;主管至少该期望自驾车营运商提供证据,证明他们的实际道路测试方法足够安全。不过美国卡内基美隆大学(Carnegie Mellon University)教授Philip Koopman表示,在道路测试之前,他不会要求自驾车完美证明其安全性。qwDednc

他建议自驾车营运商应该被要求报告其安全性案例,「以结构化的书面声明形式,并有证据作为支持,证明其系统在使用意图上具备可接受的安全性;」他并强调该保证测试自驾车上配有一名安全驾驶,不能撤销。qwDednc

Koopman在4月初于美国匹兹堡(Pittsburgh)举行的宾州自动车辆高峰会(Pennsylvania Automated Vehicle Summit)上,发表了一场题为「确保自驾车道路测试安全性」(Ensuring the Safety of On-Road Self-Driving Car Testing)的演说,主要是探讨「如何让自驾车测试够安全」。qwDednc

他强调:「这不是说模拟不重要,事实上我认为模拟相当重要;」不过他补充指出:「无论你做了多少模拟,到某个阶段你还是需要开到外面的实际道路,在那一天来临之前,你需要确认安全驾驶确实能保障测试系统的安全,甚至在自驾车零组件出现仿真时未预期的错误时。」qwDednc

Koopman在演说中表示,驾驶员注意力不集中的状况在飞行员之间也很常见,所以一定要有一位副驾驶来担任备援;自驾车营运商必须致力于妥善训练安全驾驶员,让这个人能保持专注,同时也需要实时监控该驾驶员的警觉性。qwDednc

同样重要的,是以一种让安全驾驶员能及时反应的方法来设计自驾车;他指出,自驾车供货商应该要确保「自驾车隔离机制实际可运作」;而Koopman也质疑所谓的「红色紧急按钮」是否实际可行?他解释,这种按钮能快速启动所谓的自驾车隔离机制,实际上有些设计真的是一个大尺寸的红色按钮。qwDednc

003ednc20180411
两种不同的「红色紧急按钮」机制(来源:Phil Koopman)qwDednc

上图是两种不同的紧急隔离机制设计;Koopman解释,左边的那种:「驾驶员的控制是透过自动驾驶软件,但如果自动驾驶软件有故障,可能会忽略驾驶员的控制;」换句话说:「在自驾车计算机上添加紧急控制按钮并不能保证系统安全,因为系统可能会忽略该按钮。」qwDednc

至于右边的第二种设计,Koopman表示:「我们已经先假设自动驾驶软件会出现故障,所以我们可确保驾驶员拥有一个独立的途径,可透过某个开关来控制车辆;」他指出:「紧急控制按钮强迫系统接受驾驶员的控制,所以无论自驾车软件尝试做什么,都不会造成妨碍。」qwDednc

以第二种设计案例来看,「如果开关设计是依据适当的ISO 26262 ASIL标准,在隔离机制方面就会是安全的;」Koopman表示:「要注意的是该设计的重点,是一旦红色紧急按钮被启动后,让任何自动驾驶系统的错误都不可能凌驾于人类安全驾驶员。」qwDednc

如果Uber事故的悲剧有带给我们任何教训,就是消费者、产业界与主管机关都应该停止简单的争论,我们确保道路安全的唯一方法,是把人类排除在等式之外。我们更应该关心的是,让自动驾驶车辆能安全地与行人与其他人类驾驶车辆共存之前,还有多少工作要做。qwDednc

(原文发表于Aspencore旗下EDN姐妹媒体EETimes,原文Uber’s First Tragedy Likely Not the Last,Judith Cheng编译)qwDednc

20160630000123qwDednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Junko Yoshida
ASPENCORE全球联席总编辑,首席国际特派记者。曾任把口记者(beat reporter)和EE Times主编的Junko Yoshida现在把更多时间用来报道全球电子行业,尤其关注中国。 她的关注重点一直是新兴技术和商业模式,新一代消费电子产品往往诞生于此。 她现在正在增加对中国半导体制造商的报道,撰写关于晶圆厂和无晶圆厂制造商的规划。 此外,她还为EE Times的Designlines栏目提供汽车、物联网和无线/网络服务相关内容。 自1990年以来,她一直在为EE Times提供内容。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
您可能感兴趣的文章
  • 基于阿里云应用的食品光谱分析安全检测方案 虽然世卫组织明确了COVID-19不是食品安全问题,但此次疫情却给食品行业带来新的变化,切实推动了云服务在食品检测行业的发展。针对防疫所带来的更多基于云服务的大数据分析需求,食品检测行业需要新的解决方案来满足这一需求。
  • 物联网设备面临的安全威胁分析 本文中的案例研究介绍了如何确定网络摄像头物联网设备的安全要求。顾名思义,这种设备已经实现互联,并广泛应用于众多应用,从简单的家庭网络摄像头到复杂的工业系统,不一而足。
  • IoT设备供应商:为什么拒绝报告安全漏洞? 消费类IoT设备中的很多漏洞都不是由设备制造商发现的,而是由外部网络安全研究人员和白帽黑客发现的。这也是为什么人们普遍认为报告安全漏洞是IoT设备安全性的基本要求。那么,制造商是否应该尽一切可能得到这些报告,以便迅速找出并修复漏洞?
  • 机器人应用中的毫米波雷达传感器 随着机器人技术的进步,互补传感器技术也在进步。就像人类的五官感觉一样,通过将不同的传感技术结合起来,可在将机器人系统部署到不断变化、不受控制的环境中时取得最佳效果。
  • 一个实验探明热失控的反应机理 本作就是要把SOC(0~100%)和化学体系(NCA vs LFP)的影响进行系统的分析,而且本文还使用气相色谱对两种电芯热失控产气气氛的成分进行了分析,这对于我们倒推探明热失控的反应机理,评估热失控后产生气和热的影响以及开展相应的应对工作都具有很高的参考意义。
  • eFuse应对云应用过流保护的挑战 如今,新的复杂业务模型正采用基于云的平台,通过省去内部数据中心,以提高效率,减少资本支出(CAPEX)和运营支出(OPEX)。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告
    向右滑动:上一篇 向左滑动:下一篇 我知道了