最新资讯
在ISO/PAS 8800标准中,安全目标与功能需求的映射方法通过从车辆级安全目标出发,逐层推导并定义AI系统的功能安全属性来实现,具体可分为以下步骤,并结合实际案例与分析说明其逻辑与重要性:
车辆级安全目标定义
以具体场景为例,如“自动驾驶系统需在暴雨天气下实现安全停车”。此目标直接关联车辆安全,是映射的起点。它明确了系统在极端条件下的行为边界,为后续功能需求分解提供依据。
功能安全属性推导
从车辆级目标出发,推导AI系统需满足的功能安全属性,包括:
鲁棒性:系统在暴雨导致的传感器噪声或数据失真下仍能稳定运行。
泛化能力:模型需覆盖未在训练集中出现的暴雨场景,避免因数据偏差导致功能失效。
可解释性:决策过程需可追溯,例如通过日志记录模型在暴雨中的路径规划逻辑,以便事故后分析。
失效检测与降级策略:当传感器因雨水遮挡失效时,系统需切换至备用模式(如依赖高精度地图定位)或提示驾驶员接管。
功能需求具体化
将功能安全属性转化为可验证的技术需求,例如:
数据需求:训练数据需包含暴雨场景,且标注不同雨量等级对传感器的影响。
算法需求:采用多模态融合算法(如摄像头+雷达+激光雷达),降低单一传感器失效风险。
验证需求:通过仿真测试覆盖暴雨中的“corner cases”(如积水反光导致摄像头误判),或在实际道路测试中验证系统响应。
吉利汽车作为全球首家通过ISO/PAS 8800认证的车企,其智能驾驶系统通过以下方式实现安全目标与功能需求的映射:
场景库建设:构建覆盖99.8%复杂场景的测试库,包括暴雨、夜间低光等极端条件,确保数据多样性。
模型训练与验证:
采用对抗样本训练提升模型鲁棒性,例如在训练数据中加入人为模拟的传感器噪声。
通过OTA更新持续优化模型,例如根据用户反馈的暴雨场景数据迭代算法。
实时监控与降级:
部署云端安全运营中心(SOC),实时监测传感器健康度(如摄像头污损、雷达信号干扰)。
当模型输出置信度低于阈值时,自动切换至人工接管模式,确保安全。
降低安全风险
ISO/PAS 8800要求系统在99%的场景下实现安全决策,剩余1%需明确降级策略。通过映射方法,企业可提前识别高风险场景(如暴雨中的传感器失效),并设计冗余机制,避免功能不足导致事故。
提升合规性与市场信任
吉利通过认证后,其智能驾驶系统百万公里实车验证未发生因AI失效导致的安全事故,增强了消费者信任。同时,欧盟已将ISO/PAS 8800纳入L4级自动驾驶法规审批流程,合规性成为企业进入国际市场的“通行证”。
推动技术迭代
映射方法要求企业持续收集新场景数据(如未被现有标准覆盖的边缘场景),并通过OTA更新优化模型。例如,地平线通过与腾讯、华为合作开发多模态感知数据集,覆盖更多极端条件,推动技术升级。
建立全生命周期管理框架
参考ISO/PAS 8800的六大阶段(需求定义、系统设计、数据处理、验证确认、安全分析、持续监控),确保每个环节的安全目标与功能需求一致。
强化数据治理
数据是AI系统的核心,需确保其多样性、无偏性和可追溯性。例如,采用数据监控工具(如Great Expectations)实时验证数据分布,避免过拟合或概念漂移。
引入第三方认证
例如,地平线通过exida认证后,其AI安全流程体系成为全球标杆。
推荐阅读:
亚远景-ASPICE评估:汽车软件开发过程评估的方法与经验总结
亚远景-ISO/PAS 8800与全球汽车AI监管趋同下的中国企业合规策略与技术适配
亚远景-ASPICE与ISO 26262:汽车软件安全与质量的双标
亚远景-ISO 26262与ISO 21434:汽车安全标准的双基石
亚远景-从标准到文化:ISO/PAS 8800能否定义“可信AI”的全球伦理?
推荐服务:
