自动驾驶汽车碰撞剖析

自动驾驶汽车的推出将对技术、商业和社会互动产生深远影响，但它也将启动一个全新的技术发展方面和新的法律框架，以证明当这些车辆卷入事故时，是什么出了问题。

这不仅仅是将来要计划的事情。本周，加州机动车辆管理局(California Department of Motor Vehicles)取消了自动驾驶汽车必须有司机在场的要求，以备紧急情况。还有一长串规则关于测试，这些汽车需要能够应对网络攻击，并携带一个黑匣子，类似于飞机。汽车制造商必须能够远程操作车辆，以防出现问题。如果出现问题，他们需要与警方沟通，这是必然的，因为没有任何技术是完美的。

但接下来的事情会变得非常有趣，因为在这种规模的自动电子设备上运行还没有先例。什么是期望归结为一个结合的坚持ISO 26262标准，模拟，验证和物理测试，以及时间戳和大量的数据挖掘。

公司首席执行官Sundari Mitra表示:“随着我们实际可以收集、存储和处理的数据量的增加，可追溯性将变得非常大。NetSpeed系统．“而且，它不需要全部在一辆汽车上。有一定数量的数据，必须在车辆上计算，以便在潜在事故的情况下做出快速决策，并具有规避措施的能力。当然，这需要在此时此地发生，但汽车在几秒钟或几分钟前收集的数据可能并不一定就在汽车上。可追溯性将是自动驾驶汽车的一个巨大优势，因为新车辆有很多信息收集能力，这在过去是完全缺失的。否则，我们只能依靠事故发生时情绪激动的司机的记忆，这绝对不是自信地记住任何事情的时候。”

数据将被存储，以便可以检索和分析。从这里开始，问题就变成了谁的错，技术为什么会失败，是谁在何时何地开发的，以及其他车辆是否会受到影响。但也需要时间来完善这些责任规则，因为技术本身是新的和不断发展的。

米特拉说:“假设你今天追尾了某人。“另一个司机是否无缘无故地坐在路中间并不重要。该怪你，因为你从后面打了他们。你看到那辆车了，应该停车的。他们将不得不遵守其中一些规则。否则问题空间中的维数是如此之多，以至于我们无法掌握它。”

汽车制造商在自动驾驶方面走了多远还不完全清楚。普遍的共识是，大多数行业距离ADAS级别4或5还有很长的路要走。但出于竞争的原因，企业对自己的开发工作相当含糊。福特表示将在明年推出自动驾驶汽车，通用汽车也宣布了明年在城市部署无人驾驶出租车的计划。日产汽车硅谷研究中心主任Maarten Sierhaus在SEMI行业战略研讨会上的一次演讲中表示:“到2020年，城市将实现无人驾驶。别瞎看了，机器人出租车将在202x年出现。”

但是，究竟什么是“监视”还有待解释，这在一定程度上可能取决于不同国家或地区对处理这一问题的准备程度。

图1:2018年毕马威自动驾驶汽车准备指数。

无休止的测试
大多数专家认为，要达到这一目标，需要模拟和物理测试相结合，而且不会随着这项技术的推出而结束。关键是要建立一套最佳实践，尽一切可能确保自动驾驶汽车技术尽可能安全可靠，然后在出现问题时迅速采取行动。

西门子旗下塔斯国际公司(TASS International)的产品总监马丁·泰德曼(Martijn Tideman)表示:“物理测试是检验布丁好坏的证据。”“人们想要看到它，触摸它，最后感受它。然而，在物理测试中，您只能做这么多。你只能做少量的测试查询中的一把意味着10。在自动驾驶领域，少量意味着1000或10000。但在现实世界中，没有10000种可能性。有100亿种可能性。这太多了，无法测试。假设你做了测试，你发现车上的硬件或软件发生了变化，你必须重新测试。 It’s completely unfeasible to do every test on the real world.”

这为大规模的模拟创造了巨大的机会。泰德曼说:“你需要模拟，在给定特定的系统设计、特定的场景以及可能发生的情况下，对后果进行大规模评估。”“模拟是安全的，相对便宜，重要的是，它也是可重复的。在现实世界中，如果我今天开某条路，明天又开同一条路，情况就不一样了。有不同的交通，不同的天气情况。我前面的人用不同的减速刹车，所以我昨天看到的结果今天没有重现。在模拟中，每次我运行特定场景时，都会得到相同的结果。”

图2:哪里有问题，为什么?

航天遗产
关于过去如何处理这一问题的最好例子来自航空航天业，该行业创建了一整套基础设施来提高商业航空公司的安全。即使汽车撞车的可能性比飞机多得多，路上行驶的汽车也比飞机多得多，但仍有相似之处。

“如果你有一辆自动驾驶汽车，它发生了车祸，会发生什么，你该怎么处理，”微软公司虚拟原型业务开发总监马克·塞鲁盖蒂(Marc Serughetti)问道Synopsys对此．“在航空航天工业中，由于控制严格，根据问题的不同，如果问题非常严重，他们会将飞机停飞，直到问题得到解决。问题是，这如何转化为真正的自动驾驶?突然之间，你没有了相同水平的监管，有了更多的车辆。这又回到了你是如何设计、测试和跟踪开发的，以及你是否能够重现你所看到的问题。那么，你怎么解决这个问题呢?”

在这种情况下，首先要考虑的是自动驾驶汽车的开发过程中所做的事情。“在这里，ISO 26262在如何进行开发、跟踪与这些事情相关的需求和测试方面发挥着重要作用。这是标准本身的一个重要组成部分，该标准有助于推动一些行为和功能安全文化，这样你首先要尽量避免出现问题。”

但是在部署车辆并发现问题之后会发生什么呢?问题是如何发现的;如何找到解决方案;如何将追溯性理解为开发过程中所发生的事情，从而使其不会自行复制?

Serughetti指出:“这也是关于如何应用ISO 26262，以及在此过程中应用的工具以确保质量。”“一旦部署，你能多快重现问题?这里的问题可能是问题有多深。可能是机械故障。这只是OEM的问题。但也有可能是软件问题，所以问题开始沿着供应链向下蔓延。或者它可以一直到芯片本身的问题，现在你一直到半导体。汽车行业需要改变，需要考虑验证和测试方面的问题，我们看到这种转变正在发生。”

航空电子工业已经开发了配置管理系统，因为所有东西都配置了不同的版本。

“所以你有验证为PCIe板、操作系统和工具版本存档的系统，”路易·德·卢纳说，Aldec的市场总监。“最成功的航空航天公司都会存档，这样一旦出现问题，他们就可以重新进行测试。但这是一种昂贵的最佳实践。这就像保险一样。如果一架飞机坠毁了，你怎么发现哪里出了问题，特别是如果飞机已经10年了，而且这项技术已经不再使用了?不过，这不仅仅是要有正确的工具。它基于一种工程文化。如果制定了一个流程，但没有人遵守，那是行不通的。”

至少一部分是基于可追溯性的。“你所看到的是功能和元素之间的关系，”德卢纳说。“你试图确定哪些功能失败了，哪些功能失败了硬件描述语言(VHDL)涉及到块。也许在之前的测试中从未涉及到。甚至可能都没有测试。”

在其他情况下，还存在一些从未应用于汽车世界的技术，比如时间戳——这是一种可以显示视频录制时间或无线通话开始和结束时间的技术。

“你可以利用很多现有的技术来实现这些功能，”华为的连接、存储和基础设施业务部门的营销总监Venu Balasubramonian说迈威尔公司．仪器仪表在这里将非常重要。这将把汽车中的黑匣子提升到一个全新的水平。现在，你可以添加探测器和仪器来确定事情发生的时间。”

这对整车厂来说是个挑战
然而，所有的部分如何组合在一起以实现可跟踪性并不完全是重点。汽车原始设备制造商仍在试图弄清楚这意味着什么，他们应该如何部署这项技术，以及它涉及到什么，总裁兼首席执行官OneSpin解决方案．“我参加过几次大型汽车公司的会议，会上人们讨论设计自动驾驶汽车的方法。许多公司仍处于实验阶段，尝试不同的东西，所以他们才刚刚开始理解它将产生的影响。”

他说，一个不可商量的问题是，安全性必须在设计中，根据ISO 26262标准，从芯片层面实现功能安全的方法是一个非常知名和成熟的程序。“但当涉及到更高层次的功能时，比如自主功能和机器学习基于基础的决策制定，工程师仍然需要学习如何转化这些概念，学习如何在这些领域实际实现功能安全。这是人们仍在学习的过程中，并尝试不同的方法。”

可追溯性不仅仅与半导体有关。它可以追溯到用于制造这些半导体的设计工具。出于这个原因，工具提供商正在进行巨大的努力，以确保他们的设计和验证工具流得到国际公认的测试机构TÜV SÜD的认证。

OneSpin功能安全产品经理Joerg Grosse解释说，虽然OneSpin的客户可能是半导体公司，这些公司被认为是汽车生态系统中的二级供应商，但他们从原始设备制造商和一级供应商那里得到了很多要求，要求他们提供证据，证明他们在ic开发过程中做得很好。

他说，ISO 26262标准对此也有具体规定，包括对设计和验证流程进行验证的要求。“这主要是关于流程，而不是单个工具。您必须始终考虑流程中的工具。上面写着什么?上面写了什么?该工具是否经过专门认证?它是针对特定的用例进行认证，还是在类似于冰箱或任何其他电器的安全手册的范围内进行认证?”

在ISO 26262标准的基础上，有一个衍生品叫做“预期功能的安全性”，围绕这两个标准已经有了一些讨论，即行业应该采用哪种自愿方式和自愿系统来处理可追溯性问题，库尔特·舒勒说ArterisIP．“我认为我们还没有达到必须达到的水平。飞机是有国际标准的。目前还没有类似的汽车标准。但是对于这些电子系统有一些不同的事情发生。一种是，在出现问题之前，他们希望系统中的逻辑说，‘嘿，我在系统中看到一些异常，所以让我打电话回家。一切都将像今天的飞机一样相互连接。如果你看到很多车都有同样的问题，你就会发布一个维修公告，告诉他们你是如何处理的。”

这意味着即使在芯片级别，内部也必须有足够智能的逻辑来判断什么时候出现了“异常”。

舒勒说:“随着时间的推移，我们处理的问题会逐渐恶化。”“我们目前在ISO 26262工作组中正在处理的一件事是半导体如何随着时间的推移而磨损，特别是在最新的工艺节点中，特别是在我们所说的成像处理器芯片中。这些晶体管99%的时间都是开着的，因为系统99%的时间都是开着的，但可能有些东西不是开着的。这些晶体管的时间特性，即使它们在同一个芯片上，也会随着时间的推移发生不同的变化。你是怎么处理的?”

他继续说，自动驾驶汽车也需要取证。“这是在车辆坠毁之后。人们已经这么做了。汽车上已经有了闪存，所以当安全气囊打开时，里面就有一个覆盖一切的系统——GPS在说什么，旋钮和刻度盘在哪里。但它必须变得更聪明，因为它不是测量人类是否在事故发生时踩下了油门或刹车，或者他们是否在摆弄收音机，而是他们是否在化妆、刷牙或阅读报纸?问题不只是知道这一点，而是在这个高度复杂的系统中到底发生了什么，这个系统有多个大脑，神经系统分布在整个汽车上，有数百个传感器。这就像在飞机上一样复杂。”

改变汽车设计
与电子产品中的大多数问题一样，这需要更多的预先计划。

Synopsys的Serughetti说:“在汽车行业，经常会出现多次左Shift。“在硬件验证、功能验证、功能安全验证方面，半导体水平显然出现了左移，这是对传统验证的补充。”

软件开发也必须在设计周期的早期开始，这涉及到Tier 1和OEM。Serughetti说:“软件开发也有多种技术。“你可能有静态分析，管理软件供应链的整个过程，以及验证转移到虚拟环境来测试软件的概念。这就是我所说的系统前。然后是后系统，需要持续集成和测试的概念。”

整个供应链的供应商都认识到了这一点，这意味着他们正在寻找改进测试和验证的方法。“现在有两种看法，”他说。“你可以更早开始做事情，这样你就可以在开发前做更多更好的测试。一旦系统开始运行，持续的验证和测试是很重要的，这样你就可以在整个系统、软件和硬件中进行验证和测试。一切都需要变得可追踪。”

挑战
所有这些都带来了巨大的挑战，但也带来了巨大的机遇。

OneSpin的布林克曼表示:“先进的驾驶辅助系统是目前(半导体行业)的主要推动力，因为它们需要比汽车更多的计算量，这需要更大的芯片。”“更大的芯片、更新的技术、更小的规模、更高的集成度、更大的面积和更低的功耗都意味着它们更容易受到现场物理效应引起的故障的影响。这就是为什么整个功能安全方面的故障注入分析和故障传播分析变得如此重要。以前，这样的事情不太可能发生在一个小设备上，尽管汽车里已经有很多这样的设备。现在这是一个更大的挑战，因为这些芯片非常巨大。这甚至不意味着你必须有一辆自动驾驶汽车才会有这个问题。现在有一些先进的辅助系统已经足够投入生产和实战了。从这个意义上说，它们并不是自主的，但从这个角度和功能安全方面，我们仍然有很大的压力。”

有些问题可以提前解决。有些则需要回顾分析，而这种分析需要远远超出汽车零部件的范围。

Aldec硬件部门总经理Zibi Zalewski表示:“对于工程团队来说，获得的经验教训是关键课题，此类调查需要访问车辆上的系统监控和记录设备，还需要所有部件、模块和功能以及可追溯性管理，以找到问题的根源。”“任何汽车项目都是先进的工程和后勤工作。了解崩溃的原因只是解决方案的一部分。跟踪车辆所有部件的来源以及硬件和软件元素之间的关系非常重要。对于自动驾驶汽车来说，它变得更加重要，因为自动驾驶汽车包含了最先进的技术，软件和硬件元素相互协作，不容易调试。”

这包括所有阶段的项目可追溯性管理，从规范和设计到原型和实际生产。

Zalewski说:“当然，工程团队的主要目标是首先将我们从坠机中拯救出来，这将我们带到对如此复杂、多学科项目的验证和测试中。”“现代汽车不再是机械艺术。它已经成为一辆“智能汽车”，拥有强大的处理器，运行复杂的算法和ip，使用多个传感器和摄像头。整个验证方法包括需求管理和可追溯性、软件和硬件原型或测试覆盖等元素，是整个自动驾驶汽车项目中最重要也最耗时的元素之一。”

随着自动驾驶汽车开始在世界各地推广，我们很快就会发现这最终会变得多么复杂和耗时。

有关的故事
重塑汽车设计
相互冲突的目标、不断发展的标准以及对新方法和工具的需求，使这个市场成为芯片制造商的一个有趣市场。
巨大的汽车行业颠覆即将到来
自动驾驶汽车将在许多与汽车相关的现有行业领域引发根本性变化，为芯片和工具带来巨大机遇。
如何让自动驾驶汽车可靠
确保ADAS设计随着时间的推移正常运行将是一个巨大的挑战。
自主之路
汽车制造商和芯片公司透露了他们在实现自动驾驶汽车方面的计划。