功能性安全「簡單論」:數據融合、AI與ISO26262「GGAI佈道」
感測器數據融合是自動駕駛的重要組成部分之一。在感測器融合過程中,將不同感測器的融合結果結合起來,得到更可靠、更有意義的數據並用於決策。
眾所周知,自動駕駛功能的實現需要大量的軟體支持,尤其是在感測器數據融合領域。軟體公司Baselabs為嵌入式數據融合系統的自動化驅動功能開發了新工具。
而這些所得到的數據融合庫適用於量產,並在典型的嵌入式硬體平台上運行,使他們的客戶能夠更快和更有效地開發他們的可量產系統。
這些庫已經包含了很多功能,許多演算法,特別是用於數據融合的演算法。因為自動駕駛的核心技術是對車輛環境的識別和感知。
目前,Baselabs的客戶包括寶馬、上汽、馬自達、偉世通、采埃孚、電裝、安波福等全球主要的汽車製造商和靈零部件廠商客戶。
Vector是Baselabs的股東之一,持有少數股份。同時,Vector在汽車領域有多年的經驗,這為Baselabs提供了專業的支持以及全球的客戶資源網路。
為了能夠在與不同的OEM客戶合作中,可以使用標準化的數據格式和函數調用,Baselabs也參與了Autosar的一個特別工作組,為自動駕駛功能開發感測器介面。
同時,Baselabs還參與了促進數據融合領域標準化的工作,以進一步降低未來系統的成本和開發時間。
一、多感測融合新方法
目前,每個感測器(尤其是不同廠家提供)有不同的數據級,甚至術語也沒有明確定義。然後,許多人談到原始數據或特徵級數據、檢測級數據和對象級數據——這些通常是三到四個層次的區別。
為此,Baselabs開發了新方法,如動態網格(Dynamic Grid),這是一種新的演算法過程,主要處理較低層,即特徵層和原始數據。
到目前為止,行業主要使用了佔用網格的方法,來確定車輛周圍的可行駛空間,以便計算運動軌跡。然而,這些方法有一些缺點。最重要的是,它們無法區分靜態對象和動態對象。
對於每個網格單元,它不僅決定了這個單元是否被其他物體佔用,而且還決定了物體朝哪個方向移動以及以什麼速度移動。因此,動態網格的方法有助於區分動態和靜態對象,可以直接處理激光雷達或高解析度毫米波雷達的點雲。
在Baselabs看來,數據融合的集中化將繼續下去,使用中央高性能計算平台來進行數據融合。但趨勢將走向原始數據融合,特別是從L3開始,我們看到一個明顯的趨勢,原始數據融合在中央融合控制單元。
二、ISO26262與人工智慧
然而,目前基於人工智慧的方法幾乎只適用於相機等單個感測器的數據。對於相機、雷達、激光雷達等多感測器的數據融合、跟蹤和可信性檢驗,傳統的基於規則的數據融合方法仍然非常有效,是基於人工智慧方法的理想補充。
使用人工智慧的另一個大問題是如何保護系統,如何為這樣的系統建立一個安全架構。這是否意味著人工智慧與功能安全標準ISO 26262不兼容?
沒錯。我們有很多關於ISO 26262的討論——它並不是為使用人工智慧而設計的。不管ISO 26262如何,很快就會出現這樣的問題:在安全關鍵系統中,人工智慧可以被信任到何種程度,並行備份路徑可以維持多久。
最新發布的ISO 26262第二版,已經開始更多地考慮這些系統中晶元的開發,但仍然不能解決一些關鍵問題。比如,這一版仍然只適用於L2功能開發,當系統中人工智慧和機器學習內容開始增加時,目前的一些規範仍然存在缺失。
「我有一堆邏輯,可以做任何事情,但它必須經過訓練。可是我怎麼知道我訓練的是正確的?該如何證明遵守了規範?」這就是難題所在。
很明顯,在某些場景中,基於AI的過程將提供更好的性能,這是毫無爭議的,但AI是否總能做到這一點值得懷疑。因此,出於安全考慮,我們必須繼續並行運行經典的數據融合過程。
如果這兩個程序不一致,就有可能需要建立一個安全決策機制。為此,仍然需要傳統的規則決策——至少大部分人是這樣認為的。
為什麼這麼說?
以下是來自通用功能安全標準IEC 61508-3的關鍵指導。人工智慧的使用不建議在任何SIL級別大於SIL 1。在SIL 1,既不推薦也不被推薦。不推薦的定義見IEC 61508-3:2010附件A。
反對人工智慧的主要原因之一是它過於複雜,功能性安全喜歡簡單。關於可靠性軟體系統開發,有兩種方式構建:一個方法讓它足夠簡單,明顯沒有缺陷;另一個是使它如此複雜,沒有明顯的缺陷。
比如,當你考慮到一個深度學習演算法可能需要把一輛車撞到樹上5萬次,它才會發現這是個壞主意。學騎車的孩子一般會在第一次或第二次撞車後想到這一點。
為了安全起見,非決定論很難被接受。「開發人員必須熟悉最佳實踐,並且只有在有充分理由的情況下才會偏離它們」。
ISO 26262中找不到有關人工智慧的內容,因此從理論上講,對汽車軟體的開發指導應該回到IEC 61508。然而,人工智慧似乎在現在很多自動駕駛技術開發中得到應用。
也許它將以某種方式被新的SOTIF標準(預期功能安全)所涵蓋。但大多數人還是選擇冒險,比如特斯拉CEO埃隆·馬斯克是多次警告人工智慧可能帶來巨大危險的人之一,但他同樣是積極推動人工智慧在AutPilot開發中激進使用的人。
此外,目前的ISO 26262更多的只是為汽車安全關鍵設計的其他領域提供了必要的共同點。比如,來自安波幅的工程師與來自大陸集團的工程師交談時,他們使用相同的語言來實現相同的目標——儘管他們可能在這方面有所不同。」
而ISO體系本身就是問題的一部分——標準通常每5年就會被重新審查一次。考慮一下ADAS/自動駕駛技術在短時間內發生了什麼?這遠比標準的更新更快。
※汽車製造商「著急了」:2020年ADAS標配「下沉」爆發「GGAI視角」
※福特大眾「背水一戰」,2021年是RoboTaxi落地「最後期限」「GGAI頭條」
TAG:高工智能汽車 |