到底是谁在驾驶自动驾驶汽车呢?

在这篇行业文章中，Altium的Mark Forbes探讨了围绕自动驾驶汽车的问题、解决方案和安beplay体育下载不了全标准。

由于我们在我们的车辆中变得更加“乘客”的门槛，因此“这是如何安全的”，这是如何安全地让我驾驶？“开始唠叨神经元。我们都在大多数情况下智力地承认智力，自动化可能比（潜在分散的）人类司机更快地做出正确的决定。但如果它失败了怎么办？

自动驾驶汽车的硬件设计和制造是否符合安全第一的“智能”标准?硬件不仅必须可靠，而且必须能够检测故障并采取纠正(或紧急)措施。硬件还必须确保用于安全关键目的的受保护内存不会被未经授权的请求者碰触。

嵌入式软件开发人员是否足够重视安全问题？我确信压倒性的多数，使其成为最优先事项。但是，有一些标准可以帮助开发人员确保他们的代码不仅如书面所安全，而且在编译后也是安全的，并且在目标硬件上运行时也是安全的。

一些车辆一直是自主的

由于围绕即将实现的自动驾驶汽车的所有媒体，许多人认为这是首次涉足自动驾驶汽车。事实上，它们已经存在很长一段时间了，只是不在消费环境中。

图1所示。像自动割草机这样的自动驾驶车辆已经出现了一段时间。它们的操作环境与自动驾驶汽车将遇到的环境大不相同。

约翰迪尔(John Deere)在上世纪90年代开始了自动驾驶拖拉机的基础工作，并在2000年让拖拉机自己转弯。现在，拖拉机除了转弯外，还能完全自主操作，包括犁田和收获。其他广泛使用的自动驾驶汽车是许多在线零售商和批发商使用的“产品挑选器”。例如，2017年初，亚马逊操作了超过45,000台这样的机器人。

你的下一辆车吗?

尽管机器人和拖拉机公司已经工作了几十年，但你的下一辆汽车不太可能是自动驾驶的。有一个清单的物品非常不同于前面提到的自主车辆的问题,但是这个列表的顶部是一个简单的事实——仓库,你的家,和农场是私人,受控访问环境,而汽车旅行需要一个完全不同的问题解决:

• 交通:当然，交通是最常见的不影响拖拉机和机器人的问题。汽车必须首先检测到，然后决定如何应对感知到的信息。
• 信号干扰:在外面的世界里，像建筑物和树木这样的东西会干扰传感器信号，并产生意想不到的结果。
• 黑客:安全的互联网通信对于自动驾驶汽车的应用程序(如无线软件更新)是必要的。黑客攻击可能是致命的。
• 意想不到的体验:可能最糟糕的问题是，当出现新的、意想不到的体验时，应该做出什么决定。在拖拉机或机器人上，它可以直接停车，但在汽车上，这可能不是最安全的做法。

所有这些存在的问题必须是一个原因的：人们骑在车里，因此安全必须是一个优先权的绝对数。

几十年来，汽车已经为动力总成控制，传输控制和燃油喷射等物品进行了集成的电子产品和嵌入式软件。现在，智能巡航控制和车道出发警告等先进的驾驶辅助系统（ADAS）开始展现在车辆中，这些车辆是迈向自治的婴儿步骤。虽然存在在动力总成控制中处理的安全问题，但是人类生活的风险，ADAS失败可能导致促使开发的若干标准能够尽可能减轻风险。

标准确保安全性和互操作性

与自动驾驶汽车相关的主要标准是ISO 26262。其目的是确保整个汽车系统的安全管理。ISO 26262的一部分是一套优先的汽车安全完整性等级(ASIL)分类。ASIL级别分类是根据不同场景下硬件(或控制硬件的软件)故障可能导致的危害的严重程度设置的，从a(最不严格)运行到D(最严格)。

符合ISO 26262要求，硬件和软件应设计为安全，如使用备用路径、自我监控和冗余。硬件需要根据其运行的ASIL水平进行测试。不影响任何安全关键功能(例如汽车触摸屏的GUI)的硬件或软件的ASIL分类低于对安全有重大影响的ADAS功能。因为ADAS函数为驱动程序做出高级决策，所以它们通常必须被认证为高ASIL分类，如ASIL- d。

图2。ASIL符合性水平评估失败的潜在危险。A级有边际安全问题，而D级则可能导致多人死亡和重伤。

这意味着获得ADAS产品的安全认证可能需要很长时间。减少获得认证时间和成本的逻辑方法是使用已经预先认证的硬件和软件开发工具（如编译器和性能库，如Lapack）来制作全系统级别ISO 26262认证更具权宜之计和提升安全水平。

软件开发也有一个标准。Automotive SPICE (ASPICE)是一个设计和评估汽车软件开发过程的标准框架。有效的实施会带来更好的流程和更好的产品质量。

图3。使用安全认证的硬件和软件开发工具可以加快系统认证。

熊提到的另一种标准是IEEE 2020.本标准目前处于草稿形式。它规定了测量和测试汽车图像质量的方法和指标，以确保一致性并创建跨行业参考点。这是一个尚未发表的未来标准，但将对依赖摄像机，图像处理，计算机视觉和其他车辆感知技术的ADAS功能产生重要影响。

选择具有标准的硬件和软件

当为汽车应用程序，特别是需要严格安全认证的ADAS应用程序选择硬件和软件时，最好的解决方案是依赖具有应用程序优化产品的成熟供应商。

对于汽车，尤其是ADAS系统，使用专门为安全和功耗限制设计的处理器和其他硬件是至关重要的。对于汽车应用程序，有几种经过验证的处理器选项。这些都是符合ISO 26262标准的，是很好的选择。对于ADAS应用程序来说，大多数都包含多核，这样既可以保证安全性，也可以将特定的任务分配给协同处理器。

多核处理器可以显著提高安全性和性能。有些集成了硬件安全核心，以确保内存的完整性。有些还具有DSP功能来处理传感器数据。选择已经符合ISO 26262的目标处理器可以极大地简化设计，并在进行认证时节省时间。

乍一看，“一个编译器就是一个编译器”似乎是正确的，但它肯定不是。所有的编译器都会选择要从C/ c++输入中生成的代码。在面向汽车的处理器中有大量的内置特性和核心，因此编译器了解这些特性并生成针对这些特性进行优化的代码是很重要的。

选择Apice 2级的编译器意味着您可以放心，产品已根据经过验证的流程开发并使您能够满足所需的安全标准，这意味着您的应用程序更有可能是错误的 -自由。不仅使用Aspice认证的编译器导致更好的代码，它也可以节省资金。

标准:太限制?

有人问我“标准会限制工程师的创造力吗?”坦率地说，我认为事实恰恰相反。标准就像任何其他设计约束:它们消除了设计的模糊性，让设计师专注于问题，以及如何在约束的范围内创造性地解决问题。

当安全和操作标准成为约束时，必须达到的性能水平是非常清楚的。没有必要再去定义那些已经被标准委员会定义的限制条件——现在有时间来定义和设计创造性的解决方案。使用符合ISO 26262的硬件和经过asce认证的编译器也为设计人员带来了时间上的好处。

总而言之，现有的以及正在制定的汽车安全标准是实现更安全、更高效、最终实现自动驾驶汽车的关键。

---

不要错过马克的后续采访自动驾驶汽车设计的未来。

封面图片由斯蒂夫。

行业文章是一种内容形式，它允许行业合作伙伴以编辑内容不太适合的方式与All About Circuits阅读器共享有用的新闻、消息和技术。所有的行业文章都受到严格的编辑指导，目的是为读者提供有用的新闻，技术专长，或故事。在行业文章中所表达的观点和意见是合作伙伴的观点，而不一定是所有关于电路或其作者的观点和意见。