直播回顾丨百度ACU安全如何做到业内领先
百度ACU(Apollo Computing Unit)是Apollo面向量产的自动驾驶车载计算单元,根据不同需求场景的计算能力要求,分为多个系列产品。ACU-Advanced是行业首创的自主泊车产品Apollo Valet Parking专用车载计算平台,目前已量产下线用于客户的量产车型中。
ACU-Advanced软硬一体的解决方案:
能够支持5路摄像头,12路超声波雷达,预留毫米波雷达和激光雷达接口;
基于Xilinx ZU5(FPGA)设计,适配百度PaddlePaddle深度学习框架;
全面部署AUTOSAR,全车规基础软件开发;
严谨的软硬件安全合规设计,全面满足AVP场景需求(ASIL-B);
100%全车规元器件,抗冲击震动,耐电磁干扰,全面胜任车载环境;
-40℃~85℃超宽工作温度,自然风冷无需风扇或水冷;
设计流程,供应链和生产管控基于IATF16949质量管理体系。
为了让客户、合作伙伴以及开发者能够更加深入了解百度ACU(Apollo Computing Unit),本次公开课邀请了百度ACU核心技术团队的工程师,为大家准备了4期公开课直播。今天为大家送上第三期直播内容回顾,如果你错过了直播,那么这次的直播回顾你一定不能错过。阿波君给大家整理好了笔记,快来一起学习吧!
上期我们为大家整理了《直播回顾丨百度ACU软硬件结合优化的实践经验分享》,本期公开课由百度智能汽车事业部底层软件架构师——王亚丽为我们讲解《百度ACU安全如何做到业内领先》。
ENJOY THE FOLLOWING
这里显示了截止到18年的自动驾驶的安全事故,从最终的结果来看是比较严重的,图中的车是撞到了护栏,这种情况跟表格里列举的大部分的事故是一样的。 怎样才能尽量降低此类事故的发生率呢?这里就要谈到两个非常著名的安全标准:ISO 26262(功能安全)和ISO 21448(SOTIF)。这两个标准有特别多的术语、概念错综复杂,所以今天就简单做一下简单介绍。
车辆撞击护栏有一种可能原因是CAN收发器坏掉了,刹车的命令不能发出导致车祸,这类失效叫做随机性失效;还有可能就是程序中出现Bug,该发送刹车命令的时候,软件却没有发送,这种失效是系统性失效,ISO 26262可以通过严谨的流程规避这种失效;更加可能的原因是摄像头或其他车载感知设备没有监测出护栏,误认为是路口,直接撞上去了,这种是性能不足,这是SOTIF要解决的问题,SOTIF找到系统的能力边界,让系统在性能边界之内运行;最后一种可能性是人为操作失误。这四种失效是导致自动驾驶事故的根本性失效。
蓝底部分的流程是26262流程,白底的是SOTIF的流程,红色框出的是百度基于自己的理解,对SOTIF补充的一个加上AI的流程。理论上来讲,只要是按照这个开发流程严格执行,就可以尽可能全面解决前面四种失效的可能性,最终使产品的安全性达到可接受的状态。这就是整个安全最朴素的理念。说明一下,ISO 21448不是独立存在的,必须结合ISO 26262共同指导开发。如果我们的开发者完全理解了这两个体系,是不是做出来的产品就是安全的呢?答案不是,因为ISO 26262和ISO 21448这两个标准本质上是针对全部的汽车电子电气,虽然说SOTIF标准更多去强调了关于自动驾驶的一些方面,但是它的本质是为了填补汽车行业预期安全标准的不足。
为了解决这个问题,2018年由宝马发起,包括百度、安波福、奥迪等十一家公司共同参与,从自动驾驶安全角度出发,发布了《自动驾驶安全白皮书》,这是全球第一个专门针对自动驾驶的安全标准。
对自动驾驶而言,不存在一个兜底的安全系统。如果系统都满足这些安全标准,是不是就代表我的这个产品一定就是安全的呢?答案是也不一定,比如车辆上有一个安装的螺丝松动了,也会影响自动驾驶安全,因此质量安全,也是十分重要的。那怎么样才能使自动驾驶做到安全呢?答案是需要一个融合功能安全、SOTIF、ISO TR4804、ASPICE、IATF 16949的体系。
举例说明:
第一个例子,前面说过的随机性失效,这里以电源故障为例,在ISO26262中,电源的失效模式有欠压、过压、震荡、漂移和电源毛刺等,右侧是对全部电源做了相应的诊断监控。电源只是一类的硬件元素,那么如何避免整板这么多硬件的随机性失效都不会导致安全风险呢?ISO 26262定义了通用Element的失效模式、安全机制,包括继电器、线束/连接器、传感器、执行器单元、电源、内存、处理器、通讯单元、RAM、ROM、时钟、数字/模拟I/O等。所以理论上来讲,只要按照ISO 26262的标准,就可以做到理论上的安全。
第二个例子讲到的是一个特殊的一类器件——芯片,芯片对自动驾驶来说非常重要,但是芯片如何做到安全呢?这是芯片厂商要考虑的。
讲完了硬件的随机性失效,接下来讲一下软件的系统性失效。
盖亚底层软件具备有安全相关的安全机制,这是26262推荐的一个安全机制,从需求、设计、开发到验证各环节有15个表格,90+的安全实践推荐。
第三个例子讲到场景,左边红色车辆在倒车入库的一个动作,路口有速度比较快的来车,就有可能不能及时识别出停车会有风险,刚刚所描述的这种场景叫做关键场景。通过大规模路测和用户真实的使用数据来积累场景数据库,把场景参数化到仿真场景中,来测试算法是否提升。关键场景数据库对SOTIF来说是特别重要的一个工作。
第四个例子,为安全额外增加的功能,为了避免碰撞后二次伤害,设置地理围栏,通过关键地理围栏场景分析,设计高可靠的地理围栏功能。
实际开发中,分为五级:预期功能、安全功能、故障监控、MRC控制和安全基础环境。尽可能的找到所有可能有风险的点,来找到解决措施,是全体工程师的智慧结晶。
安全最朴素的理念是尽可能找到有危险的点然后去解决他们。
新的标准
ISO21448,ANNEX D.2对深度学习的训练做了一下介绍,ISO认为AI是个很独立的部分,而且发展非常快,如果把它作为4804或者是21448中的一部分呢?但是这些标准发展的相对比较慢,可能就不能适应AI发展的节奏,所以做一个单独的关于AI的标准,这个标准会集成TR4804的部分内容,同时会应用SOTIF和26262的基本原则。4804更多的还是一种理念性的标准,但是在这个AI的标准里有更多实际的要求。
高精地图是自动驾驶非常重要的一部分,百度联合德国Electrobit公司发布了《安全可靠的自动驾驶地图》。
高精地图的风险来自数据采集以及图商制作地图的过程中,不能仅靠26262的标准。
百度一直遵循已有的安全和质量的标准,通过我们的落地实践持续反哺行业的发展而建立新的安全标准,希望通过我们的努力,让自动驾驶变得更加安全。下面是两份白皮书,大家可以下载查看。
以上就是我们讲解的百度ACU安全如何做到业内领先,更多系列主题讲解,请持续关注Apollo开发者社区。
点击文章左下角『阅读原文』
可观看直播回放