Оперативность, качество, доступные цены!
info@smart-sps.ru

Москва, ул. 6-я Радиальная, д.9​

Стандарт ISO 26262 (Часть 2)

Нейронные сети и автономное управление

 

Насколько безопасно?

 

Тестирование, которое уже проводится и будет расширяться в ближайшие годы, собирает много данных о том, как автономные системы ведут себя в реальных условиях. Однако остается много скрытых недочетов в работе программного обеспечения, которые могут вызвать сбои в определенных ситуациях, даже тех, которые аналогичны уже встречавшимся?

 

Хорошо известный случай произошел в середине 2016 года, когда водитель, использующий систему автопилота Tesla, погиб, когда система не смогла распознать белый тягач с прицепом на фоне ярко освещенного неба, что привело к аварии, поскольку система посчитала, что проезжает под дорожным знаком. Хотя компания Tesla не взяло на себя ответственность, заявляя, что эта система является функцией помощи водителю, а не истинным решением для автономного управления, с тех пор мы стали свидетелями несколько других аварий, в том числе со смертельным исходом, из-за автомобилей Tesla с использованием автопилота.

 

Хотя разработчикам оставляют право не соглашаться на смертельные случаи или серьезные травмы при вождении в автономном режиме, мы также должны понимать, что сегодня самая большая проблема безопасности в автомобилях - это не машина, а человек за рулем. Даже не беря в учет отвлеченных или неопытных водителей, надо понимать, что совершенно трезвый, полностью внимательный водитель не может так быстро реагировать на изменяющиеся обстоятельства, как автоматизированная система, и, вероятно, не всегда примет лучшее решение за доли секунды, когда что-то пойдет не так.

 

В то время как сбои в автономной системе широко освещаются, особенно с функцией автопилота Tesla, в конце 2019 года Tesla справедливо возразила, что автопилот участвует в одной аварии на каждые 498 000 миль, в то время как Национальный совет по безопасности США на транспорте сообщил в 2017 году, что аварий с транспортными средствами управляемыми людьми, произошло в соотношении одна авария на каждые 3 000 миль. И технология автопилота продолжает совершенствоваться. Автономные автомобили, по крайней мере, обещают более быстрое время отклика с большим количеством данных, а когда добавляется связь между транспортными средствами, это может даже привести к ситуациям, когда ваш автомобиль работает с автомобилями вокруг вас, чтобы избежать аварий (или, по крайней мере, уменьшить их влияние).

 

Некоторых из этих технологий сегодня не существует, и у нас нет достаточно данных, чтобы сказать, безопасно ли это, но нам следует подумать о том, что следует считать безопасным, прежде чем мы развернем их для широкого использования.

 

Изображение выглядит как дерево, внешний, автомобиль, дорога

Автоматически созданное описание

 

Рис. 3. Самая большая проблема безопасности сегодня - это не машина, а человек за рулем

 

Вероятностный подход

 

В конце концов, чтобы автономная система считалась безопасной, должно быть доказано, что она безопаснее, чем то, что сегодня используется на дорогах. Вероятно, это должно быть значительно безопаснее, поскольку эти автономные системы увеличивают стоимость автомобиля, что должно быть оправдано улучшенными характеристиками (в данном случае безопасностью).

 

Рассмотрим автомобиль в единой метрике. Согласно системе отчетов о смертности Министерства транспорта США в 2018 году на 100 миллионов пройденных миль 1,13 смертельных случаев. По оценкам, 29 процентов этих смертельных случаев были связаны с употреблением алкоголя. Разумно предположить, что если бы в автомобиль были добавлены улучшения, связанные с безопасностью, они потенциально могут снизиться.

 

Изображение выглядит как дорога, сцена, внешний, автомобиль

Автоматически созданное описание

 

Рис. 4. Для широкого внедрения автономные транспортные средства должны быть значительно безопаснее, чем современные автомобили, поскольку

автономность увеличивает затраты, которые должны быть оправданы улучшенными характеристиками (в данном случае безопасностью).

 

Конечно, это трудно утверждать, поскольку с одной стороны, давняя тенденция - более безопасные автомобили. Число летальных исходов всего за 10 лет до этого было на 14 процентов выше (1,26 смертей на 100 миллионов миль в 2008 году). Фактически, число в 2014 году является самым низким показателем за всю историю наблюдений (обратите внимание, что окончательные цифры за 2018 год не были выпущены). Таким образом, мы должны отделить эту тенденцию постепенного улучшения в масштабах всей отрасли от частичных улучшений, которое обеспечит повышенная автоматизация.

 

Кроме того, мы должны быть осторожны, чтобы не завышать данные, которые у нас есть. В октябре 2020 года Waymo (дочерняя компания Alphabet) представила данные своего автономного проекта в Фениксе, штат Аризона. В период с января 2019 года по сентябрь 2020 года автомобили Waymo прошли более шести миллионов миль без единого смертельного исхода и небольшого количества аварий, которые произошли не по вине системы Waymo. Означает ли это, что технология Waymo достаточно безопасна, чтобы ее широко использовали?

 

Следует учитывать следующее:

 

• Waymo начала публиковать данные о своих испытаниях в Фениксе. Хотя это внушительное количество миль, средние условия вождения в Фениксе значительно лучше, чем на Среднем Западе, особенно зимой.

• 6 миллионов миль - это впечатляет, но отсутствие смертельного исхода не имеет большого значения по сравнению со средним водителем (в среднем вам придется проехать в 14 раз больше, чтобы увидеть один смертельный исход, согласно данным NTHSA, упомянутым выше)

• Даже это несущественно. Допустим, проект Google проехал не 6 миллионов миль, а 275 миллионов миль без смертельных исходов. Согласно RAND Corporation, это дало бы нам 95-процентный уровень уверенности в том, что в системе Google будут несчастные случаи со смертельным исходом с такой же частотой (или ниже), чем мы наблюдаем сегодня.

• Но даже этого недостаточно; согласно тому же исследованию, чтобы убедиться, что частота отказов системы Google статистически значительно ниже, чем частота отказов водителя-человека, тестирование должно продолжаться 5 миллиардов миль.

 

Чтобы система была явно более безопасной, чем вождение человека, испытание должно было бы длиться около 5 миллиардов миль с меньшим количеством аварий, чем у нас сегодня.

 

Конечно, есть и другие показатели, которые необходимо учитывать помимо смертельных случаев, например, количество несчастных случаев и несчастных случаев с травмами. Нет никаких сомнений в том, что другие метрики рассматривать не придется. Ответственность за то, какие события будут регистрироваться, будут нести производители оригинального автомобильного оборудования (OEM).

 

В чем же решение?

 

Для одного поставщика автомобилей невозможно провести испытания на протяжении миллиардов миль, необходимых для подтверждения того, что они безопаснее, чем их аналоги с ручным управлением, но это также и не обязательно. Вместо этого придется предпринять несколько шагов:

 

1. Существующие пилоты автоматизированных транспортных средств OEM и лидеры отрасли должны продолжать сбор данных, необходимых для демонстрации безопасности на практике.

 

2. Когда у нас появится достаточная уверенность в том, что данные показывают значительное улучшение по сравнению с ручным вождением, эти системы следует разрешить к широкому применению.

 

3. Необходимо непрерывно совершенствовать системы автономного управления

 

Изображение выглядит как проектор

Автоматически созданное описание

 

Рис. 5. Производители оборудования и лидеры отрасли, работающие с автономными системами, должны будут продолжить сбор данных,

демонстрирующих, что эти системы безопасны в любых условиях

 

Автомобильная отрасль перенимает опыт у аэрокосмической. В этой отрасли каждое происшествие с травмами (независимо от масштаба, типа самолета и т. д.) рассматривается и анализируется Федеральным управлением гражданской авиации, часто с привлечением других отраслевых групп, таких как Национальный совет по безопасности на транспорте (NTSB) и Управление безопасности полетов. Экспертные организации ищут причины, по которым происходят аварии, и следят за тем, чтобы такой же отказ не повторился, вновь предъявляя требования к производителям самолетов и процедурам технического обслуживания. Именно такая систематическая ориентация на безопасность делала все виды авиаперелетов более безопасными год за годом, десятилетие за десятилетием, до такой степени, что путешествия на авиалиниях становятся на несколько порядков безопаснее, чем управление автомобилем. В период с 1995 по 2000 год в Соединенных Штатах на коммерческих авиалайнерах приходилось в среднем 3 смерти на 10 миллиардов пассажиро-миль, и с тех пор эти цифры улучшились. В 2015 году на крупных регулярных коммерческих авиалиниях не было погибших уже шестой год подряд. Теперь мы слышим обо всех несчастных случаях со смертельным исходом, которые происходят на коммерческих самолетах в любой точке мира.

 

Еще одним многообещающим достижением стал выпуск стандарта ISO 21448 «Безопасность предполагаемой функциональности» или SOTIF. Этот стандарт признает ограничения ISO 26262 в том смысле, что ISO 26262 предназначен только для снижения рисков от случайных отказов оборудования и системных отказов программного обеспечения, но ничего не говорит о том, что происходит, если предполагаемая функция безопасности сама по себе является причиной отказа, такие как неправильное определение внешних условий, в которых работает система. SOTIF предоставляет конкретные рекомендации по снижению этих рисков.

 

Заключение

 

ADAS и автономные транспортные средства обещают в ближайшем будущем значительно повысить общую безопасность транспортных средств на дорогах. Однако, как отрасль, компании должны объединиться, чтобы количественно оценить улучшение, чтобы появилась уверенность в том, что замена водителя не принесет больше вреда, чем пользы. Хотя точные цифры открыты для обсуждения, необходимо будет использовать статистический подход, чтобы определить, когда алгоритм должен перейти от фазы тестирования к фазе эксплуатации. В то же время отрасль должна объединяться с целью обмена опытом возникновения аварийных ситуаций, чтобы не допускать одни и те же ошибки.

 

Сложность систем автономного управления означает, что необходимо использовать все средства из существующих стандартов ISO 26262, но адаптировать подход к проверке требований безопасности при рассмотрении сложных обучающих систем, таких как нейронные сети и машинное обучение, используя методы, которые указаны в ISO 21448, чтобы обеспечить безопасное управление систем автопилотирования. Это позволит использовать ADAS высокой сложности и автономные системы, которые сделают вождение более удобным, доступным и безопасными для большинства людей. Ни у одного человека, команды или компании не будет ответов на все вопросы, но, работая вместе, мы сможем реализовать преимущества автоматизации даже в самых сложных и важных для жизни отраслях.

 

Источник: www.siemens.com