Oddělení HA D vzniklo v České republice v roce 2018 v rámci stejnojmenného globálního TÜV SÜD projektu reagujícího na jeden z významných trendů v automobilovém průmyslu: na automatizaci řídicích funkcí vozidel. V krátkém seriálu vás seznámíme s kompetencemi tohoto bezpochyby zajímavého oddělení. Česká republika byla vybrána jako jedna ze startovních lokalit pro projekt HAD (highly automated driving) společně s Německem a Singapurem. Prvotní zaměření české pobočky bylo především na využívání simulačních nástrojů pro modelování chování systémů vozidel. Dnes už jsou tyto aktivity rozšířeny také o služby v oblasti funkční bezpečnosti, bezpečnosti zamýšlené funkcionality a kybernetické bezpečnosti. Nedílným a nepostradatelným kouskem skládačky s názvem „Testování automatizovaných systémů řízení“ je také fyzické testování těchto vozidel. V rámci TÜV SÜD Czech naplňuje tuto roli oddělení ADAS disponující sofistikovanou technikou pro fyzické zkoušení vozidel za pomoci řídicích robotů a robotické nízkoprofilové platformy, na níž lze vystavět „měkký cíl“, umožňující testování kolizních situací bez rizika zničení testovaného vozidla či testovací techniky. V dnešním článku se v detailu podíváme na témata, která spadají do kompetence oddělení HAD, konkrétně tedy na část funkční bezpečnosti a bezpečnosti zamýšlené funkcionality. Téma simulačních metod a virtuálního testování a dále kybernetické bezpečnosti bude představeno v budoucích vydáních.
Automatizované řízení obecně
Automatizované řízení je zastřešujícím pojmem pro různé systémy vozidla, které mohou plnit funkcionality odlišných zaměření. Právě podle zaměření je lze primárně dělit na systémy komfortního charakteru a systémy bezpečnostního charakteru. Mezi systémy bezpečnostní lze řadit například automatické udržování jízdního pruhu (LKAS — lane keeping assistance system) či systém pokročilého nouzového brzdění (AEBS — advanced emergency braking system). Existují i systémy, které sice aktivně nezasahují do řízení, ale k bezpečnosti provozu přesto přispívají. Jde např. o systém monitorování mrtvého úhlu nebo systém pro monitorování únavy řidiče. Na druhé straně máme systémy, jejichž primárním účelem je zvyšování pohodlí pro řidiče, dobře známým příkladem takového systému je adaptivní tempomat (ACC — adaptive cruise control). Tyto systémy jsou většinou spojeny s vyšší úrovní automatizace řízení, jelikož na sebe přebírají některé z úkonů, které musí při řízení typicky vykonávat řidič vozidla. U adaptivního tempomatu se jedná o sledování okolního provozu (minimálně v rozsahu aktuálního jízdního pruhu) a aktivní řízení podélné rychlosti vozidla. Řidič je však stále povinen se plně věnovat řízení a musí být kdykoliv připraven zasáhnout a převzít kontrolu nad vozidlem. Systémy s ještě vyšší úrovní automatizace už umožňují řidiči věnovat čas i jiným úkonům než řízení vozidla, například čtení novin, e-mailů či telefonování. Prvním takovým systémem, který je začleněn do předpisové báze, je systém autonomního udržování jízdního pruhu (ALKS — automated lane keeping system). Podobnost názvu se systémem LKAS není náhodná, ale je třeba je rozlišovat. V současně platné verzi předpisu se jedná spíše o systém pro popojíždění v kolonách, umožňuje totiž pouze jízdu v jednom jízdním pruhu, maximální operační rychlost je omezena na 60 km/h a požadavky na provozní prostředí splňují pouze dálniční úseky. V chystané úpravě předpisu UNECE R157, který definuje vlastnosti systému ALKS, už je však maximální rychlost v určitých případech navýšena až na 130 km/h. Systému bude dále umožněno automatizované předjíždění pomalu jedoucích vozidel, tudíž bude schopen v rámci předjížděcích manévrů i změny jízdního pruhu. Takový systém už nese potenciál výrazného navýšení komfortu pro řidiče. Výše zmíněné úrovně automatizace lze členit do šesti stupňů, které jsou definovány standardem SAE J3016. Nezbytnou podmínkou pro schválení každého systému s automatizovanými funkcemi je zajištění jeho bezpečnosti. S ohledem na nepřeberné množství situací, které mohou v provozu nastat, není možné zajistit absolutní spolehlivost systému ve smyslu odvrácení všech potenciálních nehod. Toto by ani nebylo možné realisticky ověřit vzhledem k nekonečnému množství scénářů, které by bylo třeba otestovat. Bezpečnost je tedy chápána jako absence bezdůvodného rizika pro řidiče a jeho okolí. Jistá reziduální míra rizika je tedy přijatelná, musí být však systematicky vyhodnocena a pokud možno co nejexaktněji kvantifikována. Obecně by měl být systém automatizovaného řízení alespoň tak bezpečný jako řidič, kterého nahrazuje. V kontextu bezpečnosti a komfortu je tedy pro možnost navýšení komfortu podmínkou nezbytně nutnou alespoň zachovat míru bezpečnosti, ideálně ji i navýšit.
Funkční bezpečnost podle ISO 26262:2018…
Právě bezpečností a vyhodnocením rizik se zabývá disciplína zvaná funkční bezpečnost podléhající normě ISO 26262 v aktuálně druhém vydání z roku 2018. Jedná se o verzi adaptovanou pro potřeby automobilového průmyslu, která vychází z obecné normy funkční bezpečnosti IEC 61508 pro libovolné E/E (elektrické/ elektronické) systémy. Mimo adaptaci pro potřeby automobilového průmyslu existují také verze pro potřeby dalších průmyslových odvětví, jako je letectví, strojní zařízení, lékařská zařízení a další. Norma funkční bezpečnosti pro automobilový průmysl je obecně aplikovatelná na jakékoliv E/E systémy ve vozidle. Primárním cílem funkční bezpečnosti je zajistit správnou funkci systému i v případě selhání jeho elektrických či elektronických komponent, a tím minimalizovat riziko ohrožení zdraví lidí. Neomezuje se pouze na hardwarové části systémů, ale bere v potaz i jejich softwarové komponenty. Je tedy vhodná pro užití v celkovém kontextu embedded systémů. Definuje rovněž požadavky na procesy, metody a nástroje používané v rámci životního cyklu systému. Životnímu cyklu E/E systémů se přitom tato norma věnuje ve své celistvosti, od specifikace přes návrh, implementaci, validaci po výrobu, údržbu a vyřazení z provozu. V kontextu automatizovaného řízení je její užití o to relevantnější, že selhání systémů, které mají bezprostřední kontrolu nad vozidlem, může vést k přímému ohrožení zdraví účastníků silničního provozu. S ohledem na to, že se jedná o normu, by se mohlo zdát, že užití funkční bezpečnosti je věcí dobrovolnosti s cílem dosáhnout zefektivnění procesů na straně výrobce a zvýšení bezpečnosti na straně produktu. Faktem však je, že součástí předpisů a požadavků pro schválení prvků vozidel do provozu, které mají dopad na bezpečnost vozidla, je v dnešní době již i požadavek na zhotovení bezpečnostního konceptu (safety concept) výrobcem vozidla. Jedním z doporučených postupů pro vypracování tohoto podkladu nutného pro schválení vozidla je právě norma funkční bezpečnosti. S rostoucí složitostí systémů vozidel a zvyšujícími se nároky na jejich bezpečnost lze očekávat, že je otázkou času, než se funkční bezpečnost stane povinnou pro výrobce i dodavatele v automobilovém průmyslu.
… a bezpečnost zamýšlené funkcionality podle ISO 21448
V kontextu bezpečnosti systémů vozidel s prvky automatizovaného řízení je důležitým doplňkem funkční bezpečnosti i standard pro „bezpečnost zamýšlené funkcionality“ SOTIF (Safety Of The Intended Functionality). Tento standard je opět úzce spjat se zajištěním absence neúměrného rizika, zabývá se však jinými možnými příčinami selhání než funkční bezpečnost. Zatímco funkční bezpečnost se věnuje zachování bezpečnosti v případě, že dojde k selhání nějakého prvku systému, ISO 21448 se věnuje bezpečnosti v případě, že funkcionalita/systém funguje tak, jak byla navržena, ale přesto vede k nebezpečné situaci. Nebezpečí hledá v nedostatcích při návrhu funkcionality nebo pramenících z předvídatelného nesprávného užití funkcionality/systému. Ač je tedy cíl tohoto standardu a jeho požadavků totožný s ISO 26262, dívá se na možná nebezpečí z jiného úhlu pohledu. To je také důvod, proč tato norma, původně zamýšlená jako rozšíření ISO 26262, nakonec vznikla jako samostatný standard (momentálně ve verzi ISO/PAS 21448:2019). Relevantnost této normy je primárně v kontextu úrovně 1 a 2 v tabulce definovaných úrovní automatizace ří-zení, je však aplikovatelná také pro vyšší úrovně automatizace. V současné době se jedná o standard, který má nejpřímější návaznost na trend automatizovaného řízení a poskytuje podporu při vývoji těchto systémů. Tato norma je primárně zaměřena na funkcionality vozidla, které zajišťují správné vyhodnocení dopravní situace, detekci a identifikaci objektů a další algoritmy pro zpracování dat. U takovýchto systémů může dojít k nebezpečnému chování, které může být způsobeno nedostatečnými schopnostmi systému plnit zamýšlený úkol. Příkladem omezených či nedostatečných schopností systému může být: Neschopnost funkcionality správně vyhodnotit situaci a zachovat se bezpečně. Toto je aplikovatelné i pro algoritmy strojového učení. Příkladem takové situace může být systém navržený pro automatizovaný průjezd křižovatkou, který uprostřed města potká průvod cirkusu se slony. V systému nedošlo k žádnému selhání HW či SW komponenty, pohybuje se v prostředí, pro které byl navržen (město). Vývojáři však při trénování algoritmu pro detekci a identifikaci objektů nepomysleli na takovouto situaci a algoritmus ji neumí správně vyhodnotit, což může vést k nebezpečné situaci. Dalším typickým příkladem může být požadavek na fungování systému za různého počasí a povětrnostních podmínek. Při návrhu systému je třeba vzít v potaz i mezní situace, které mohou nastat, a ujistit se, že bezpečnost chování bude i v nich zachována. Typicky se může jednat o provoz automatizovaného vozidla v nočních hodinách, kdy je nutné, aby se funkcionalita nespoléhala pouze na údaje z kamerového systému, protože ten v tu chvíli nedokáže poskytnout dostatečné informace. Příklady uvedené výše jsou v některých případech snadno očekávatelné (kamera vidí v noci jen velmi omezeně), v některých případech však mohou být zcela nečekané (slon na křižovatce ve městě). Vzniká tím tedy sada scénářů, které lze rozdělit na známé a neznámé. K tomuto dělení lze přidat dělení scénářů na bezpečné a nebezpečné. Tímto dělením nám vzniká matice čtyř kombinací: známé—bezpečné, známé—nebezpečné, neznámé—bezpečné a neznámé—nebezpečné. Cílem SOTIF je maximalizovat počet scénářů známých—bezpečných a minimalizovat počet scénářů neznámých—nebezpečných. Aby bylo možné scénáře změnit na známé z neznámých, je třeba je prvně identifikovat. K tomu lze využít postupy různé úrovně sofistikovanosti — od vycházení ze zkušeností vývojových inženýrů po využívání sofistikovaných simulačních metod s prvky náhodnosti pro hledání nových možných dopravních situací, a změnit tak neznámé na známé. /www.tuvsud.cz/
