隨著越來越多的智能化汽車的量產(chǎn)上市,在業(yè)內(nèi)看來,軟件驅(qū)動(dòng)汽車的時(shí)代已經(jīng)到來。但軟件驅(qū)動(dòng)的關(guān)鍵作用越來越突出的情況下,軟件安全也需要列入汽車安全評(píng)級(jí)的目錄中,甚至應(yīng)該被視為“第六星級(jí)”。
根據(jù)此前數(shù)年的汽車召回案例統(tǒng)計(jì)數(shù)據(jù),軟件故障導(dǎo)致的汽車召回頻率正在快速增加。有數(shù)據(jù)顯示,在所有汽車召回中,軟件故障比列的達(dá)到了15%,而且在未來數(shù)年,這樣的比例還有可能快速上升。
在目前的量產(chǎn)車中,軟件代碼多達(dá)1億5000萬行,而且隨著智能化功能的逐步疊加,代碼數(shù)量還會(huì)呈幾何數(shù)增長。按照目前業(yè)內(nèi)普遍的觀點(diǎn),平均每1000行業(yè)代碼中會(huì)存在15-50處錯(cuò)誤,而目前普遍使用的標(biāo)準(zhǔn)QA測試至少會(huì)忽略其中大約15%的錯(cuò)誤代碼。
目前,在汽車軟件安全領(lǐng)域,還沒有出現(xiàn)絕對(duì)的市場領(lǐng)導(dǎo)者,相比傳統(tǒng)汽車時(shí)代,各家汽車OEM廠商在硬件領(lǐng)域的安全口碑并未在智能汽車時(shí)代延續(xù)。
在過去的一年時(shí)間里,由于軟件故障,從發(fā)動(dòng)機(jī)管理程序、穩(wěn)定性控制問題、制動(dòng)控制系統(tǒng)以及車載信息娛樂系統(tǒng),經(jīng)歷了數(shù)次召回事件。
美國市場在過去五年中共發(fā)生189次汽車軟件問題致使的召回事件,涉及1300多萬輛汽車。這些召回中,有141次召回與碰撞風(fēng)險(xiǎn)有關(guān),44次召回與潛在損傷后果相關(guān),涉及動(dòng)力傳動(dòng)系統(tǒng)、電氣系統(tǒng)、發(fā)動(dòng)機(jī)冷卻系統(tǒng)和車輛控制系統(tǒng)方面。
但這也給了汽車OEM廠商新的市場機(jī)會(huì)和新車營銷賣點(diǎn),那就是像過去標(biāo)榜自己的硬件配置及安全性的基礎(chǔ)上,如何把自己的軟件安全提升為一個(gè)新的營銷賣點(diǎn)。正如傳統(tǒng)汽車時(shí)代,消費(fèi)者不會(huì)考慮購買沒有配置更多安全氣囊的新車。
這其中,首先是ISO 26262(道路車輛功能安全標(biāo)準(zhǔn))是根據(jù)汽車行業(yè)特點(diǎn)而產(chǎn)生的功能安全應(yīng)用標(biāo)準(zhǔn),它從可編程電子電器系統(tǒng)的功能安全標(biāo)準(zhǔn)IEC 61508發(fā)展而來。
以ISO 26262-6中的軟件級(jí)產(chǎn)品開發(fā)為例,這部分的核心內(nèi)容包括:軟件級(jí)產(chǎn)品開發(fā)初始化軟件安全需求規(guī)范軟件架構(gòu)設(shè)計(jì)軟件單元設(shè)計(jì)和實(shí)現(xiàn)軟件單元測試軟件集成和測試軟件安全需求驗(yàn)證。
在目前的自動(dòng)駕駛開發(fā)策略中,硬件冗余是行業(yè)內(nèi)普遍認(rèn)可的方式之一,但軟件冗余似乎并沒有成為重點(diǎn)的一環(huán)。同時(shí),硬件冗余通常非常復(fù)雜,而且會(huì)產(chǎn)生間接成本,是對(duì)資源的不合理使用。
“不同階段自動(dòng)駕駛功能的實(shí)現(xiàn),要結(jié)合不同路況、天氣等因素,從感知、定位、規(guī)劃、執(zhí)行等多方面進(jìn)行冗余設(shè)計(jì)。”博世底盤控制系統(tǒng)中國區(qū)銷售總監(jiān)段勇在2017高工智能汽車年會(huì)上發(fā)表演講表示。
比如,不同級(jí)別的自動(dòng)駕駛功能還要進(jìn)行不同的冗余設(shè)計(jì),如果自動(dòng)駕駛功能一旦失效,最好的是能把車駕駛到安全地帶并舒適停車。
與此同時(shí),不同的標(biāo)準(zhǔn)體系反應(yīng)安全等級(jí)的方法也各不相同,但其主要目的是直觀的反映功能的關(guān)鍵性。
IEC 61508將安全完整性等級(jí)(SIL)分成4級(jí),第4級(jí)為最高完整性。與之相似,ISO 26262提出了汽車安全完整性等級(jí)(ASIL),最低為ASIL A,最高為ASIL D。
其中,車載診斷系統(tǒng)、OTA軟件升級(jí)等等,正在成為汽車OEM廠商和眾多初創(chuàng)公司的“營銷重點(diǎn)”。尤其是去年開始,OTA成為了標(biāo)榜“互聯(lián)網(wǎng)汽車”的重要標(biāo)簽之一。
但這都是事后安全機(jī)制。當(dāng)然,對(duì)于信息娛樂系統(tǒng)來說,OTA的確是很好的手段來迭代功能的用戶體驗(yàn)。但對(duì)于汽車的駕駛功能安全來說,汽車出了bug,可能是要以生命為代價(jià)的。
傳統(tǒng)車企都有一整套完善的開發(fā)流程,保證嚴(yán)謹(jǐn)和安全,而“新進(jìn)入”企業(yè),特別是互聯(lián)網(wǎng)車企和自動(dòng)駕駛初創(chuàng)公司,往往追求小步快跑,快速迭代,開發(fā)時(shí)間短,測試過程還不夠嚴(yán)謹(jǐn)和周全。
同時(shí),由于量產(chǎn)車本身要考慮成本問題,因?yàn)楹茈y在硬件配置上做過多的冗余性能。
以特斯拉早期車型為例,由于早期車型的配置相對(duì)較低,隨著軟件不斷的自動(dòng)升級(jí),系統(tǒng)開始變得越來越慢了,并且會(huì)經(jīng)常死機(jī),而特斯拉的答復(fù)是,要車主自費(fèi)升級(jí)硬件。
當(dāng)然,迫于市場競爭壓力的傳統(tǒng)汽車OEM廠商,也在不斷犯錯(cuò)。
今年早些時(shí)候,外媒報(bào)道寶馬在英國市場召回超過30萬輛問題車輛,這些車輛被指可能會(huì)在正常行駛過程中突然失速。此前,豐田汽車意外加速問題引發(fā)全球范圍內(nèi)超過1000萬輛汽車被召回。
越來越多的汽車制造商使用軟件電子控制機(jī)制及人工智能技術(shù),造成駕駛者對(duì)車輛的直接操控越來越少。這對(duì)車輛軟件系統(tǒng)提出了越來越高的要求。
-
發(fā)動(dòng)機(jī)
+關(guān)注
關(guān)注
33文章
2473瀏覽量
69274 -
自動(dòng)駕駛
+關(guān)注
關(guān)注
784文章
13786瀏覽量
166400
原文標(biāo)題:OTA不是“安全良藥”,自動(dòng)駕駛軟件冗余才是根本 | GGAI視角
文章出處:【微信號(hào):ilove-ev,微信公眾號(hào):高工智能汽車】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論