历史上的今天
今天是:2024年10月29日(星期二)
2021年10月29日 | Aurora自动驾驶安全案例框架
2021-10-29 来源:eefocus
自动驾驶公司Aurora于2021年8月推出了有史以来第一个适用于自动驾驶卡车和乘用车的安全案例框架(Safety Case Framework)初始版本,解决了自动驾驶卡车和乘用车的安全问题。这使Aurora成为目前业内唯一一家公开分享其安全案例框架的自动驾驶公司。本文介绍Aurora自动驾驶安全框架的行业意义、5个安全原则、以及应用。
安全案例框架的意义
Aurora使用基于安全案例的方法,评估自动驾驶车辆何时能够安全地在公共道路上行驶,并评估它们是否不会对机动车安全造成不合理的风险。
安全案例框架是安全取消安全驾驶员的最有效途径,对于任何希望在没有安全驾驶员的情况下运营并安全交付大规模商用自动驾驶车辆的公司来说,它都是必不可少的组成部分。Aurora安全案例框架评估了车辆的整个开发生命周期,够加快部署的速度,并确定何时可以接受自动驾驶车辆在公共道路上的安全性。
Aurora将安全视为一个持续的过程,而不是一个静态的待办事项清单,基于证据的方法在内部和外部都至关重要。在公司内部,安全案例框架是我们如何根据内部标准不断审查证据和评估Aurora driver的表现和发展,以确保我们有信心在有或没有车辆操作员的情况下将自动驾驶车辆上路。在外部,安全案例框架使我们能够有效地与合作伙伴、客户、监管机构和公众分享我们的方法和进展。这种透明度有助于建立信任,这在部署任何新技术时都很重要。
Aurora安全案例框架介绍
Aurora采用了基于安全案例的方法,因为这是展示和解释Aurora如何确定自动驾驶车辆在公共道路上运行的可接受安全性的最合理和最有效的方式。该框架的核心是一个结构化的论点,并有证据证明为什么我们的车辆是可接受的安全。自动驾驶车辆中的许多要素之间存在复杂的相互作用和关系。没有任何一项单一证据能够证明安全的整体性。基于安全案例的方法以合乎逻辑的方式将这证据与主张两个基本概念结合在一起,以有效地展示我们为确定车辆在公共道路上安全行驶所做的工作。
Aurora开发该框架的目的是为了帮助评估Aurora卡车运输和客运产品的整个开发生命周期,以便向合作伙伴和客户提供安全且可扩展的产品。
Aurora安全案例框架结合了政府组织的指南、安全关键行业的最佳实践、非强制性行业标准和联盟、学术研究以及组织在自身工作中所学到的知识。在自动驾驶汽车行业中,它是开发在公共道路上安全行驶的自动驾驶车辆并将这些车辆交付给合作伙伴、客户和公众的重要工具。
Aurora的安全案例框架覆盖了对评估公共道路上自动驾驶车辆的安全开发、测试和运行至关重要的不同要素。该框架的设计涵盖了与车辆操作员的测试,也包括没有操作员的测试。同时,它是为适应环境而构建的,因此可以根据不同的场景和环境对其进行定制。能够将安全案例声明改编为适用于不同的车辆平台、有操作员的车辆、试车跑道上的车辆以及公共道路上的车辆。
Aurora的安全案例框架有助于评估Aurora driver的设计和开发,并与产品开发路线图保持一致。对于每个主要的产品里程碑,我们将检查哪些声明是相关的,并开发相应的证据。声明是我们正在做出的一种论断,例如“G3.1安全性能指标被测量、分析并用于监控安全性。” Aurora正在内部积极开发的适当证据将被定制以证实每个单独的声明,可能包括测试结果、同行评审、,审计或评估。
目前只是第一个版本,随着不断学习并将测试操作扩展到新的环境和平台,Aurora的框架将不断发展。这Aurora正在分享框架的前4个级别,因为Aurora的合作伙伴、客户和公众了解为什么我们对交付Aurora driver的进展充满信心是很重要的。进一步开发将遵循一个迭代过程,随着框架的发展,Aurora将继续分享它的更新。
最高级别目标
Aurora安全案例框架围绕着“我们的自动驾驶车辆在公共道路上运行是可接受的安全性”这一最高级别的声明展开。使用整个安全案例来证实这一最高级别的声明,并将这一主张分解为五个安全原则或子原则。
G1:精通/Proficient
自动驾驶车辆在正常运行期间具备可接受的安全。
除非具备适当的熟练程度,否则自动驾驶车辆在公共道路上行驶是不安全的。熟练程度包括开发产品所需的设计、工程和测试。本安全原则包含自动驾驶车辆标称、非标称及边界案例(corner cases)情况下的自动驾驶车辆性能要求。
G2:故障安全/Fail-safe
自动驾驶车辆在出现故障和失效时具备可接受的安全。
故障安全原则解决了自动驾驶车辆在出现失效和故障时的行为。没有一个系统是百分之百完美的,部件有时会磨损或出现过早故障。Aurora driver旨在检测并安全地缓和这些故障。此安全原则包含车辆内置的所有故障检测、缓和和通知。
G3:不断改进/Continuously improving
对构成不合理安全风险的所有已识别潜在安全问题进行评估,并采取适当的纠正和预防措施予以解决。
持续改进原则概述了如何将持续改进的概念融入到系统的开发中。自动驾驶车辆配备有传感器,一组自动驾驶车辆仅从一天的运行中就捕获大量数据。我们能够利用这些数据的力量实现持续改进。该现场数据为综合数据分析工作提供数据,该工作计算安全性能指标,并考虑设计和开发期间收集的数据。这种系统收集和分析数据的方法使我们能够发现趋势、均值回归和紧急行为。Aurora还采取积极主动的方法进行持续改进,使用风险识别技术积极主动地识别风险。
G4:有弹性的/Resilient
在可合理预见的误用和不可避免的事件情况下,自动驾驶车辆具备可接受的安全。
自动驾驶车辆设计用于在公共道路上安全行驶,但这并不能将其与恶意行为者或不可避免的事件隔离开来。弹性原则展示了Aurora driver如何能够承受不良事件和故意误用和滥用。
G5:值得信赖的/Trustworthy
自动驾驶企业应是值得信赖的。
Aurora的自动驾驶汽车可能是熟练的、故障安全的、不断改进的和有弹性的,但如果没有公众和政府监管机构的信任,我们就无法完全实现我们的最高要求。值得信赖的安全原则涉及Aurora计划如何通过公众、政府和利益相关者的参与、安全透明度、安全文化以及外部审查和咨询活动获得信任。
安全原则的分解
顶级声明是根据涵盖安全操作范围的安全原则定义的,使用广度优先、深度第二的方法分解每个安全原则。
每个安全原则都被分解为中间论点、上下文和策略的层次。最低级别的声明最终由我们的员工提供的证据予以满足。这种方法可以将每个安全论点作为逻辑分解进行追踪,从广义概念到支持声明的具体有形证据。
安全原则分解示例
用于支持声明的证据有两种形式——产品证据和过程证据。产品证据包括可交付成果,如技术规范、测试计划和测试结果。过程相关证据表明,产品证据是以系统的方式生成的,具有足够的严谨性、审查性和独立性。这些证据可能包括非正式的内部审计报告,确认我们正在遵循既定流程。这两种类型的证据都需要充分处理安全案例中的声明。
框架的应用
安全案例框架是一个工具,Aurora使用它来通知数百名Aurora员工在开发Aurora driver的过程中的日常活动。
安全案例框架旨在适应不同的车辆、场景和环境。我们将使用安全案例框架创建一个特定的安全案例,注意在每个实例中定义其特定的上下文和应用。将框架视为生成各种特定安全案例的通用蓝图。例如,为特定车辆和车辆配置(卡车和乘用车平台)以及特定运行设计域(例如公路)创建安全案例。因此,将有多个单独的安全案例,涵盖各种配置、平台和操作领域,而不是涵盖我们自动驾驶车辆所有用途的单一安全案例。
还将根据我们是否在道路上测试、车辆操作员是否监控Aurora driver、是否在没有操作员的私人封闭车道上或者是在没有操作员的公共道路上,来定制安全案例。鉴于这种情况,某些原则不适用于无车辆操作员的情况。因此,虽然安全案例框架可能是通用的,但裁剪是必不可少的。
制造商用自动驾驶汽车是一项复杂的工程。Aurora的安全案例框架是一个强大的工具,可用于定义和管理这一复杂挑战。该框架还可用于以理性和逻辑的方式传达假设和意图,以帮助读者理解和消化固有的复杂性。与许多其他工具一样,结果最终取决于用户如何使用框架。
附件:《Aurora自动驾驶安全案例框架》
英文 | 参考中文 | |||||||||
G1:Proficient: The self-driving vehicle is acceptably safe during nominal operation | G1:精通: 自动驾驶车辆在正常操作期间具备可接受的安全: | |||||||||
G1.1:The self-driving enterprise uses appropriate development processes for a complex safety critical system | G1.1:自动驾驶企业对复杂的安全关键系统使用适当的开发流程 | |||||||||
G1.1.1.1.1:Systems engineering follows a defined process | G1.1.1.1.1:系统工程遵循规定的过程 | |||||||||
G1.1.1.1.2:Systems engineers are trained and continually educated on the systems engineering process | G1.1.1.1.2:系统工程师接受系统工程过程的培训和持续教育 | |||||||||
G1.1.1.1.3:Systems engineering process compliance audits are completed for all appropriate functions / sub-systems | G1.1.1.1.3:完成所有适当功能/子系统的系统工程过程合规性审核 | |||||||||
G1.1.1.1.4:The Systems engineering process is appropriate for safety critical design | G1.1.1.1.4:系统工程过程适用于安全关键设计 | |||||||||
G1.1.1.1:Systems engineering process is established, standardized across engineering, and there is evidence that the process is being used:S1.1.1:Risk is reduced through a defined process approach | G1.1.1.1:建立系统工程过程,并在整个工程中标准化,有证据表明该过程正在使用:S1.1.1:通过已定义的过程方法降低风险 | |||||||||
G1.1.1.2.1:Hardware engineering follows a defined process | G1.1.1.2.1:硬件工程遵循规定的过程 | |||||||||
G1.1.1.2.2:Hardware engineers are trained and continually educated on the hardware engineering process | G1.1.1.2.2:硬件工程师接受硬件工程过程的培训和持续教育 | |||||||||
G1.1.1.2.3:Hardware development process compliance audits are completed for all appropriate functions / sub-systems. | G1.1.1.2.3:完成所有适当功能/子系统的硬件开发过程合规性审核。 | |||||||||
G1.1.1.2.4:The Hardware development process is appropriate for safety critical design | G1.1.1.2.4:硬件开发过程适用于安全关键设计 | |||||||||
G1.1.1.2:Hardware development process is established, standardized across engineering, and there is evidence that the process is being used. | G1.1.1.2:硬件开发过程已建立,并在整个工程中标准化,并且有证据表明该过程正在使用。 | |||||||||
G1.1.1.3.1:Manufacturing follows a defined process | G1.1.1.3.1:制造遵循规定的过程 | |||||||||
G1.1.1.3.2:Manufacturing and production processes are established for externally sourced system hardware | G1.1.1.3.2:为外部采购的系统硬件建立制造和生产流程 | |||||||||
G1.1.1.3.3:Manufacturing engineers are trained and continually educated on the manufacturing process | G1.1.1.3.3:制造工程师接受制造工艺方面的培训和持续教育 | |||||||||
G1.1.1.3.4:Manufacturing process compliance audits are completed for all appropriate functions | G1.1.1.3.4:完成所有适当功能的制造过程合规性审核 | |||||||||
G1.1.1.3.5:The manufacturing process is appropriate for safety critical design | G1.1.1.3.5:制造工艺适用于安全关键设计 | |||||||||
G1.1.1.3:Manufacturing process is established, standardized, and there is evidence the process is being used | G1.1.1.3:制造工艺已建立、标准化,且有证据表明该工艺正在使用 | |||||||||
G1.1.1.4.1:Maintenance and service follows a defined process | G1.1.1.4.1:维护和保养遵循规定的流程 | |||||||||
G1.1.1.4.2:Maintenance and service personnel are trained and continually educated on the process | G1.1.1.4.2:对维护和服务人员进行工艺培训和持续教育 | |||||||||
G1.1.1.4.3:Maintenance and service process compliance audits are completed for all appropriate functions | G1.1.1.4.3:完成所有适当功能的维护和服务过程合规性审核 | |||||||||
G1.1.1.4.4:The maintenance process is appropriate for safety critical design | G1.1.1.4.4:维护过程适用于安全关键设计 | |||||||||
G1.1.1.4:Maintenance / Service processes is established, standardized, and there is evidence the process is being used. | G1.1.1.4:维护/服务流程已建立、标准化,且有证据表明该流程正在使用。 | |||||||||
G1.1.1.5.1:Software engineering follows a defined process | G1.1.1.5.1:软件工程遵循定义的过程 | |||||||||
G1.1.1.5.2:Software engineers are trained and continually educated on the software development process | G1.1.1.5.2:软件工程师接受有关软件开发过程的培训和持续教育 | |||||||||
G1.1.1.5.3:Software development process compliance audits are completed for all appropriate functions / sub-systems. | G1.1.1.5.3:完成所有适当功能/子系统的软件开发过程合规性审核。 | |||||||||
G1.1.1.5.4:The software development process is appropriate for safety critical design | G1.1.1.5.4:软件开发过程适用于安全关键设计 | |||||||||
G1.1.1.5:Software development process is established, standardized across engineering, and there is evidence that the process is being used. | G1.1.1.5:软件开发过程已建立,并在整个工程中标准化,并且有证据表明该过程正在使用。 | |||||||||
G1.1.1.6.1:Quality management follows a defined process | G1.1.1.6.1:质量管理遵循规定的过程 | |||||||||
G1.1.1.6.2:Quality management measures are effective in controlling quality | G1.1.1.6.2:质量管理措施有效控制质量 | |||||||||
G1.1.1.6.3:Quality management ensures all defined processes are followed | G1.1.1.6.3:质量管理确保遵循所有规定的过程 | |||||||||
G1.1.1.6.4:The quality management process is appropriate for safety critical design | G1.1.1.6.4:质量管理过程适用于安全关键设计 | |||||||||
G1.1.1.6:Quality management process is established, effective, standardized across engineering, and there is evidence that the process is being used | G1.1.1.6:质量管理过程已在整个工程中建立、有效、标准化,并且有证据表明该过程正在使用 | |||||||||
G1.1.1.7.1:Supply chain teams follow a defined process | G1.1.1.7.1:供应链团队遵循定义的流程 | |||||||||
G1.1.1.7.2:Supply chain staff are trained and continually educated on the process | G1.1.1.7.2:对供应链员工进行流程培训和持续教育 | |||||||||
G1.1.1.7.3:Supply chain process compliance audits are completed for all appropriate functions / sub-systems | G1.1.1.7.3:完成所有适当功能/子系统的供应链流程合规性审核 | |||||||||
G1.1.1.7.4:The supply chain process is appropriate for safety critical design | G1.1.1.7.4:供应链流程适用于安全关键设计 | |||||||||
G1.1.1.7:Supply chain processes is established, standardized, and there is evidence the process is being used. | G1.1.1.7:供应链流程已建立、标准化,且有证据表明该流程正在使用。 | |||||||||
G1.1.1.8.1:Vehicle operations teams follow a defined process | G1.1.1.8.1:车辆运行团队遵循规定的流程 | |||||||||
G1.1.1.8.2:Vehicle operations personnel are trained and continually educated on the process | G1.1.1.8.2:对车辆操作人员进行培训,并持续对其进行流程教育 | |||||||||
G1.1.1.8.3:Vehicle operations process compliance audits are completed for all appropriate functions | G1.1.1.8.3:完成所有适当功能的车辆运行过程合规性审核 | |||||||||
G1.1.1.8.4:The vehicle operations process is appropriate for safety critical design | G1.1.1.8.4:车辆运行过程适用于安全关键设计 | |||||||||
G1.1.1.8:Vehicle operations processes is established, standardized, and there is evidence the process is being used. | G1.1.1.8:车辆操作流程已建立、标准化,且有证据表明该流程正在使用。 | |||||||||
G1.1.1.9.1:System safety engineering follows a defined process | G1.1.1.9.1:系统安全工程遵循规定的过程 | |||||||||
G1.1.1.9.2:System safety engineers are trained and continually educated on the system safety development process | G1.1.1.9.2:系统安全工程师接受有关系统安全开发过程的培训和持续教育 | |||||||||
G1.1.1.9.3:System safety process compliance audits are conducted | G1.1.1.9.3:进行系统安全过程合规性审核 | |||||||||
G1.1.1.9.4:The system safety engineering process is appropriate for safety critical design | G1.1.1.9.4:系统安全工程过程适用于安全关键设计 | |||||||||
G1.1.1.9:System safety engineering process is established, standardized across engineering, and there is evidence that the process is being used. | G1.1.1.9:建立系统安全工程过程,并在整个工程中标准化,有证据表明该过程正在使用。 | |||||||||
G1.2:The self-driving vehicle is acceptably performant to operate in the defined ODD | G1.2:自动驾驶车辆在规定的ODD内运行的性能合格 | |||||||||
G1.2.1.1.1:The product requirements address all lifecycle stages of the product. | G1.2.1.1.1:产品要求涉及产品的所有生命周期阶段。 | |||||||||
G1.2.1.1.2:The product requirements define the concept of operations for the product | G1.2.1.1.2:产品要求定义了产品的操作概念 | |||||||||
G1.2.1.1.3:The product requirements define the conceptual operational design domain in which the product will operate in 推荐阅读
史海拾趣
|