Raamatu kaastööliste nimekiri on toodud allpool.

• Rahul Razdan, Ph.D
• Mohsen Malayjerdi, Ph.D

• Roman Czyba, Ph.D., DSc., Ing.
• Piotr Czekalski, Ph.D., ingl.
• Tomasz Grzejszczak, Ph.D., ingl.

• Agris Nikitenko, Ph.D., ingl.
• Karlis Berkolds, M. sc., ing.
• Larisa Survilo, M. sc., ingl.

• Raivo Sell, Ph.D., ING-PAED IGIP

• Tomasz Siwy, tegevjuht

• Ing. Libor Přeučil, CSc. (Ing. = tehnika magister, CSc. = Ph. D.)
• Ing. Karel Košnar, Ph.D. (Ing. = Inseneriteaduste magister)

• Airi Veber
• Marta Nikitenko

See sisu viidi ellu projekti raames: SafeAV – Kõrghariduse autonoomse sõidukiohutuse valideerimise ja kontrollimise ühtlustamine.

Projekti number: 2024-1-EE01-KA220-HED-000245441.

Konsortsium

• ITT Group, Tallinn, Eesti (koordinaator).
• Sileesia Tehnikaülikool, Gliwice, Poola,
• Riia Tehnikaülikool, Riia, Läti,
• Tšehhi Tehnikaülikool Prahas, Praha, Tšehhi Vabariik
• Tallinna Tehnikaülikool, Tallinn, Eesti
• Prodron, Gliwice, Poola

Erasmus+ lahtiütlus
Seda projekti on rahastatud Euroopa Komisjoni toetusel.
See väljaanne kajastab ainult autori seisukohti ja komisjon ei vastuta selles sisalduva teabe võimaliku kasutamise eest.

Autoriõiguste teatis
Selle sisu lõi SafeAV konsortsium 2024–2027.
Sisu on autoriõigustega kaitstud ja seda levitatakse CC BY-NC Creative Commons Licence alusel ning see on mitteäriliseks kasutamiseks tasuta.

Elektroonika disaini suundumused on ühiskonnas revolutsiooniliselt muutnud. Algus oli tsentraliseeritud andmetöötlusega, mida juhtisid sellised ettevõtted nagu IBM ja DEC. Need tehnoloogiad suurendasid ülemaailmse äritegevuse tootlikkust, mõjutades märkimisväärselt rahandus-, personali- ja haldusfunktsioone, kõrvaldades vajaduse ulatusliku paberimajanduse järele. Majanduse kujundamise tehnoloogiate järgmine laine koosnes servaarvutusseadmetest (alloleval joonisel punane), nagu personaalarvutid, mobiiltelefonid ja tahvelarvutid. Selle võimalusega saaksid sellised ettevõtted nagu Apple, Amazon, Facebook, Google ja teised globaalse äri jaoks reklaami- ja levitamisfunktsioonidele tohutult tootlikkust lisada. Järsku võis jõuda otse iga kliendini kõikjal maailmas. See megatrend on põhjalikult häirinud selliseid turge nagu haridus (online), jaemüük (pood), meelelahutus (voogedastus), kommertskinnisvara (virtualiseerimine), tervishoid (telemeditsiin) ja palju muud. Järgmine elektroonikalaine on tehisintellekti dünaamiline integreerimine füüsiliste varadega ning selle võimekuse tipp on autonoomia.

Autonoomiauuringud ulatuvad 20. sajandi keskpaiga küberneetika ja juhtimisteooriani, kus teadlased, nagu Norbert Wiener, Ross Ashby ja varased robootika pioneerid, uurisid, kuidas masinad suudavad tajuda, töödelda tagasisidet ja sihipäraselt tegutseda. 1960.–1980. aastad tõid olulisi läbimurdeid: Shakey the Robot demonstreeris SRI-s integreeritud taju, planeerimist ja tegevust; DARPA autonoomse maismaasõiduki projekt edendas varajast arvutinägemist ja navigeerimist; ja edusammud tõenäosuslikus robootikas – nagu Kalmani filtreerimine, Bayesi hindamine ja SLAM – muutsid ametlikuks selle, kuidas autonoomsed süsteemid teevad otsuseid ebakindluse tingimustes. Sel perioodil oli autonoomia suuresti reeglipõhine ja domineeris deterministlik juhtimine, piiratud tundlikkus ja kitsad arvutusvõimalused.

Kaasaegne autonoomia hakkas kiirenema 1990. ja 2000. aastatel koos suurenenud arvutusvõimsuse, masinõppe leviku ja suuremahuliste valitsusprogrammidega. DARPA Grand Challenges (2004–2007) tähistas pöördepunkti, mis tõestas, et isejuhtivad sõidukid saavad hakkama keerulistes ja struktureerimata keskkondades ning katalüseerides nii akadeemilisi kui ka kommertsinvesteeringuid. 2010. aastatel muutis sügav õppimine tajumise murranguliseks, võimaldades tugevat objektide tuvastamist, stseeni mõistmist ja täielikku juhtimist. See laiendas autonoomiat traditsioonilisest robootikast autonoomsete süsteemideni maa-, mere-, õhu- ja kosmosekontekstis.

Arvestades tohutut uurimistöö mahtu, on autonoomia kohta kirjutatud mitu raamatut. Näiteks pakub autonoomsete robotite sissejuhatus terviklikku ja juurdepääsetavat alust autonoomsete süsteemide kujundamiseks, hõlmates olulisi ehitusplokke, nagu roboti mehhanismid, tuvastusviisid, käivitamine, tajumine, lokaliseerimine, kaardistamine ja planeerimine. Seda kasutatakse laialdaselt ülikoolikursustel, kuna see ühendab teooria praktiliste algoritmidega, pakkudes selgeid selgitusi selle kohta, kuidas autonoomsed robotid tõlgendavad oma keskkonda ja teevad otsuseid. Distributed Autonomous Robotic Systems seevastu keskendub mitme roboti ja sülemi süsteemide väljakutsetele ja arhitektuuridele, uurides hajutatud keskkondades detsentraliseeritud juhtimist, koordineerimist, sidet ja töökindlust. Üheskoos hõlmavad need kaks raamatut spektrit ühe roboti autonoomiast mitme agentuuriga koostöösüsteemideni, andes lugejatele põhjaliku ülevaate nii robootikast kui ka hajutatud autonoomia keerukusest.

Erinevalt olemasolevast kirjandusest keskendub see raamat uuendustele, mis on vajalikud põhikujunduse integreerimiseks ühiskonna juhtimissüsteemidesse. See protsess on eriti keeruline autonoomsete süsteemide jaoks, kuna need integreerivad nelja laia domeeni, mis traditsiooniliselt ei ole üksteisega suhelnud:

1. Õiguslikud ja regulatiivsed struktuurid, mis on kaudselt eeldanud inimtegevuses osalejaid.
2. Küberfüüsikaliste süsteemide traditsioonilised mehaaniliselt fokusseeritud ohutusprotokollid.
3. Traditsioonilised tarkvara tootearendusvood.
4. Uued tehisintellektil põhinevad algoritmid, mis asendavad autonoomia juhi.

Ülejäänud osa sellest raamatust on korraldatud järgmiselt. 2. peatükk annab kõrgetasemelise sissejuhatuse autonoomsetesse süsteemidesse, sealhulgas nende aluseks olevatesse tehnoloogiatesse ja nende koostoimesse regulatiivsete, ohutus- ja standardikeskkondadega. 3. peatükis uuritakse riistvaraarhitektuure, pöörates erilist tähelepanu anduritele, suure jõudlusega andmetöötlusplatvormidele ja riistvara tarneahelate esilekerkivatele väljakutsetele. 4. peatükk keskendub tarkvaraarhitektuurile, sealhulgas reaalajas täitmisele, ohutuse seisukohalt olulisele tarkvaraarendusele ning stabiilsete ja turvaliste tarkvara tarneahelate kasvavale tähtsusele. 5. peatükis uuritakse kõrgema taseme autonoomia algoritme tajumiseks, kaardistamiseks ja lokaliseerimiseks, keskendudes süsteemi ohutusele ja töökindlusele. 6. peatükis käsitletakse planeerimist, kontrolli ja otsuste tegemist, uurides, kuidas autonoomsed süsteemid muudavad taju turvaliseks ja tõhusaks tegevuseks. Lõpuks, 7. peatükis uuritakse autonoomsete süsteemide, inimeste ja infrastruktuuri vahelist suhtlust, sealhulgas inimese ja masina liideste (HMI) ja sõiduki ja kõige vahel (V2X) vahelist sidet, rõhuasetusega integreeritud süsteemi ohutusele ja töökindlusele.

Autonoomsed süsteemid kasutavad keskkonna kohta teabe kogumiseks andureid (nt kaamerad, radarid, ultraheliandurid). Kogutud andmeid töödeldakse ja nende alusel tehakse otsused edasise tegevuse kohta. Mis täpselt on autonoomia? Süsteemi autonoomiat võib defineerida kui selle võimet tegutseda vastavalt oma eesmärkidele, normidele, sisemistele seisunditele ja teadmistele, ilma inimese välise sekkumiseta. See tähendab, et autonoomsed süsteemid ei piirdu ainult robotite või mehitamata sõidukitega. See määratlus hõlmab kõiki automaatseid funktsioone, mis võivad vähendada töökoormust või toetada sõidukit juhtivat inimest.

Autonoomsed süsteemid kasutavad ülesannete iseseisvaks täitmiseks arenenud tehnoloogiaid, nagu tehisintellekt, masinõpe, närvivõrgud, asjade Internet ja muud. Autonoomsed süsteemid on tänapäeva tööstus 4.0 ja neid kasutatakse erinevates valdkondades alates robootikast, transpordi ja logistika kaudu ning lõpetades meditsiini ja haridusega. Näitena võiks tuua autonoomse auto, mis teeb otsuseid ise andurite andmete põhjal, või autonoomne transpordivahend (AGV ehk Automated Guided Vehicles), mis on loodud lasti ohutuks ja tõhusaks transportimiseks laos ilma operaatori järelevalveta. Teiseks autonoomsete süsteemide rakenduseks on tootmissüsteemid, mis tööstusandurite andmete põhjal juhivad automaatselt tootmisprotsesse, juhivad masinaid ja optimeerivad tootmist. See võimaldab lühendada tootmisaegu, vähendada tootmiskulusid ja tõsta toote kvaliteeti. Autonoomsed süsteemid on kasutusel ka transpordis ja logistikas, kus need võimaldavad kaupade kiiremat ja tõhusamat kohaletoimetamist. Tänu asjade internetile ja monitooringusüsteemidele saab jälgida iga transpordietappi alates laadimisest kuni kohaletoimetamiseni, mis võimaldab protsessi paremini kontrollida. Autonoomsed süsteemid on muutumas meie elu üha olulisemaks osaks ning nende arendamine ja rakendamine mõjutab tulevikku üha enam.

Autonoomsed süsteemid töötavad põhimõtteliselt erinevates füüsilistes keskkondades maa-, mere-, õhu- ja kosmosevaldkonnas ning need keskkonnaalased erinevused mõjutavad tugevalt süsteemi ülesehitust, tuvastust, ohutust ja tööarhitektuuri. Maapealsed süsteemid töötavad kõrgelt struktureeritud, kuid ettearvamatutes keskkondades, kus on tihedad takistused, inimestevaheline suhtlus ja suure ribalaiusega ühenduvus, mis nõuavad reaalajas tajumist, kiiret reaktsiooniaega ja tugevat inimeste ohutuse tagamist. Meresüsteemid töötavad vähem struktureeritud, kuid aeglasemalt liikuvates kolmemõõtmelistes keskkondades, kus on vähem takistusi, piiratud ühenduvus ja tugevad keskkonnahäired, nagu lained, hoovused ja korrosioon, pannes suuremat rõhku pikaajalisele töökindlusele, navigatsiooni töökindlusele ja kaugjärelevalvele. Õhusõidukisüsteemid töötavad kolmemõõtmelistes, ohutuskriitilistes keskkondades, mida juhib range õhuruumi kontroll, mis nõuab rikke tõsiste tagajärgede tõttu äärmiselt suurt töökindlust, täpset navigeerimist, veataluvust ja ametlikku sertifitseerimist. Kosmosesüsteemid töötavad kõige ekstreemsemates ja eraldatud keskkonnas, mida iseloomustavad kiirgus, vaakum, äärmuslikud temperatuurikõikumised ja pikad sideviivitused, mis muudavad inimeste reaalajas sekkumise võimatuks ja nõuavad, et süsteemid oleksid väga autonoomsed, tõrketaluvusega ja suutma töötada iseseisvalt pikema aja jooksul. Selle tulemusena on autonoomia arhitektuurid, ohutusnõuded, tuvastusviisid ja kontrollimeetodid nendes valdkondades märkimisväärselt erinevad, kuigi neil on ühised taju, otsuste tegemise ja kontrolli aluspõhimõtted.

Üldiselt on autonoomia transformatsioonitehnoloogia, mis juhib majandusprotsesse, mis muudavad ühiskonda. Et olla tõhus, peab autonoomia integreeruma ühiskonna kriitiliste elementidega ja ülejäänud peatükis käsitletakse neid üksikasjalikumalt.

Intuitiivselt tähendab mehitamata süsteemide autonoomia nende võimet ise juhtida, teha otsuseid ja täita ülesandeid minimaalse või ilma inimese sekkumiseta. Teiste süsteemide või inimestega koostöö tegemiseks on autonoomia jaoks vaja süsteemi selget määratlust. See määratlus mitte ainult ei edasta partneritele ja kasutajatele funktsiooni, vaid seab ka ootusfunktsiooni. Ootusfunktsioonid on kesksel kohal paljudes tehnilistes (valideerimine), juhtimis- (litsentsimine) ja juriidilistes (vastutus) protsessides. Kõik füüsilised domeenid on loonud mõnevõrra sarnased autonoomia “tasemed”, mis hakkavad seadma ootusfunktsioone.

Ameerika organisatsioon Society of Automotive Engineers (SAE) International võttis 2014. aastal maismaasõidukite jaoks vastu kuuest autonoomse sõidu tasemest koosneva klassifikatsiooni, mida hiljem 2016. aastal muudeti. Riikliku maanteeliiklusohutuse administratsiooni (NHTSA) otsuse alusel on see Ameerika Ühendriikides ametlikult kohaldatav standard, mis on ka autonoomse sõidu tehnoloogiate uuringutes kõige populaarsem Euroopas.

Olukorra selgitamiseks on SAE International määratlenud 5 autonoomsete sõidukite automatiseerimise taset, mis on vastu võetud tööstusstandardina (vt joonis 2).

• Tase 0: Juhil on sõiduki üle täielik kontroll ja puuduvad automatiseeritud süsteemid.

• 1. tase: Tuntud ka kui “käeline”, juhib juht kõiki standardseid sõidufunktsioone, nagu roolimine, kiirendamine, pidurdamine ja parkimine. Mõned automatiseeritud süsteemid, nagu püsikiiruse hoidja, parkimisabi ja sõidurea hoidmise abi, ehitatakse autosse. Juht peab jälgima oma ümbrust ja suutma igal ajal täieliku kontrolli enda kätte haarata.

• 2. tase: “Käed vabad” automaatika tähendab, et automatiseeritud süsteem suudab täielikult juhtida sõidukit, roolida, kiirendada ja pidurdada. Küll aga peab juht olema valmis vajadusel sõiduki üle kontrolli haarama. “Käed-vabad” põhimõtet ei tohiks võtta sõna-sõnalt ja SAE soovitab hoida käed rooliga kontaktis, kinnitamaks, et juht on valmis kontrolli üle võtma.

• 3. tase: 3. taset nimetatakse “ilma silma vaatamata” automatiseerimiseks. Juht saab keskenduda muudele tegevustele peale juhtimise, näiteks telefoni kasutamine või filmi vaatamine. Automatiseeritud süsteem suudab reageerida olukordadele, mis nõuavad viivitamatut tegutsemist, näiteks hädapidurdus, kuid juht peab siiski sekkuma, kui tehnoloogia sellest teavitab.

• 4. tase: Järgmine tase on “mind-off” automatiseerimine. See sarnaneb sisuliselt 3. tasemega, kuna juht ei pea oma ümbrust jälgima. Tegelikult võivad nad magama jääda, kuna juhi sekkumine pole vajalik isegi hädaolukordades. Seda autonoomia taset toetatakse aga ainult piiratud piirkondades või teatud asjaoludel, näiteks liiklusummikutes.

• Tase 5: Tase 5 tähendab “rool valikuline”. Auto on täielikult autonoomne ega vaja inimese sekkumist.

Tänapäeval on need tasemed muutunud ootuste edastamiseks ning regulatiivsete ja õiguslike lahingute objektiks.

Üldjuhul määratletakse autonoomia või autonoomne võime süsteemisisese otsustamise või enesejuhtimise kontekstis. Lennundustehnoloogia instituudi (ATI) andmetel saavad autonoomsed süsteemid sisuliselt iseseisvalt otsustada, kuidas missiooni eesmärke saavutada, ilma inimese sekkumiseta ²⁾. Need süsteemid on samuti võimelised õppima ja kohanema muutuvate töökeskkonna tingimustega. Autonoomia võib aga sõltuda missiooni või süsteemi ülesehitusest, funktsioonidest ja spetsiifikast ³⁾. Autonoomiat võib laias laastus vaadelda kui võimaluste spektrit nullautonoomiast kuni täieliku autonoomiani. Pilot Authorization and Task Control (PACT) mudel määrab autoriseerimistasemed alates tasemest 0 (täielik piloodivolitus) kuni tasemeni 5 (täielik süsteemi autonoomia), mida kasutatakse ka autotööstuses autonoomsete sõidukite puhul (vt joonis 3).

Droonitehnoloogia autonoomia tasemed jagunevad tavaliselt viieks erinevaks tasemeks, millest igaüks tähistab drooni iseseisva töötamise võime järkjärgulist suurenemist.

• Tase 0: Piloodil on täielik kontroll iga liigutuse üle. Platvormid on alati 100% käsitsi juhitavad.

• 1. tase – kaugjuhtimispult: Piloot säilitab kontrolli üldiste toimingute ja sõiduki ohutuse üle. Siiski võib droon teatud aja jooksul üle võtta ühe või mitu olulist funktsiooni. Kuigi piloodil puudub pidev kontroll sõiduki üle ning ta ei kontrolli kunagi samaaegselt kiirust ja suunda, võib ta abistada navigeerimisel ja/või säilitada kõrgust ja asukohta. Drooni toetab lennu stabiliseerimiseks GNSS ning kõik suuna, kõrguse ja kiiruse sisendid sisestatakse käsitsi. Takistuste tuvastamise funktsioonid on sellel tasemel saadaval, kuid vältimise teostab piloot käsitsi.

• 2. tase – automaatne lennujuhtimine (abistatud autonoomia): eelprogrammeeritud lennutrajektoori edastatakse autopiloodile ja droon alustab oma missiooni, lennates mööda teekonnapunkte. Piloot vastutab endiselt sõiduki ohutu juhtimise eest ja peab olema valmis drooni kontrolli alla võtma, kui peaks juhtuma ootamatu sündmus. Kuid teatud tingimustel saab droon ise kontrollida drooni kursi, kõrgust ja kiirust. Piloodil on endiselt täielik kontroll, sealhulgas õhuruumi, lennutingimuste jälgimine ja hädaolukordadele reageerimine. Enamik tootjaid ehitab praegu sellel tasemel droone, kus platvorm saab aidata navigeerimisfunktsioone ja lubada piloodil teatud ülesannetest lahti saada.

• 3. tase – osaline autonoomia (poolautonoomne): Sarnaselt 2. tasemele suudab droon lennata autonoomselt, kuid piloot peab olema tähelepanelik ja valmis igal ajal kontrolli üle võtma. Droon annab piloodile sekkumisvajadusest teada, toimides hädaabisüsteemina. See tase tähendab, et droon suudab täita kõiki funktsioone “teatud tingimustel”.

• 4. tase – kognitiivne autonoomia (täiustatud poolautonoomne): drooni saab juhtida ka inimene, kuid see ei pea alati nii olema. Õigetes tingimustes suudab see igal ajal iseseisvalt lennata. Eeldatakse, et droonil on üleliigsed süsteemid, nii et kui üks süsteem ebaõnnestub, jätkab see tööd. Sellel autonoomia tasemel muutub funktsioon “mõistke ja vältige” “mõistke ja navigeeri”. See tähendab, et droon tuvastab oma lennutrajektooril olevad takistused ja väldib aktiivselt kontakti, muutes oma lennutrajektoori.

• 5. tase – täielik autonoomia: droon juhib ennast igas olukorras iseseisvalt, ilma inimese sekkumiseta. See hõlmab kõigi lennuülesannete täielikku automatiseerimist kõikides tingimustes. Praegu selliseid droone veel ei eksisteeri. Siiski on oodata, et lähitulevikus saavad nad lendude planeerimiseks kasutada tehisintellekti tööriistu – teisisõnu autonoomseid õppesüsteeme, mis on võimelised muutma rutiinset käitumist.

Teine üldine, kuid kasulik mudel, mis kirjeldab autonoomia taset mehitamata süsteemides, on Autonomy Levels for Unmanned Systems (ALFUS) mudel ⁵⁾. Euroopa Liidu Lennundusohutusamet (EASA) esitas ühes oma tehnilises aruandes teavet autonoomia tasemete ja juhiste kohta inimese ja autonoomia koostoime kohta. EASA andmetel ei ole autonoomia mõiste, selle tasemed ja inimese ja autonoomse süsteemi koostoimed välja kujunenud ning neid arutatakse aktiivselt erinevates valdkondades (sh lennundus), kuna praegu puudub nendest mõistetest ühtne arusaam ⁶⁾. Kuna need kontseptsioonid on veel mõnevõrra arenemisjärgus, muutub see mehitamata õhusõidukite reguleeriva keskkonna jaoks tohutuks väljakutseks, kuna need on suures osas kehtestamata.

Autonoomiatasemete klassifikatsioon mitme drooniga süsteemides on mõnevõrra erinev. Mitme drooniga süsteemides teevad mitu drooni konkreetse ülesande täitmiseks koostööd. Mitme drooniga süsteemide projekteerimine eeldab, et üksikutel droonidel oleks suurem autonoomia tase. Autonoomiatasemete klassifikatsioon on otseselt seotud jaotusega lendudeks, mis sooritatakse piloodi või vaatleja vaateväljas (VLOS) ja lendudeks, mis sooritatakse väljaspool piloodi vaatevälja (BVLOS), kus erilist tähelepanu pööratakse lennuohutusele. Üks võimalus autonoomiaprobleemi lahendamiseks on klassifitseerida droonide ja mitme drooniga süsteemide autonoomia tasemetesse, mis on seotud täidetavate ülesannete hierarhiaga ⁷⁾. Nendel tasemetel on standardsed määratlused ja protokollid, mis juhivad tehnoloogia arendamist ja regulatiivset järelevalvet. Ühe drooniga autonoomse mudeli jaoks pakutakse välja kaks erinevat taset: sõiduki juhtimiskiht (1. tase) ja missiooni juhtimiskiht (2. tase), vt joonis 5. Mitme drooniga süsteemidel on seevastu kolm taset: ühe sõiduki juhtimine (1. tase), mitme sõiduki juhtimine (2. tase) ja missiooni juhtimine (3. tase). Selles hierarhilises struktuuris on 3. tasemel madalaim prioriteet ja selle saab tühistada 2. või 1. tasemega.

Meresüsteemide puhul määratleb Rahvusvaheline Mereorganisatsioon (IMO) autonoomia oma meresõiduautonoomse pinnaselaeva (MASS) raamistiku kaudu, mis kirjeldab nelja järkjärgulist autonoomia taset, mis põhinevad inimeste kaasamise astmel ja pardal otsustamisvõimel. Madalamatel tasanditel kasutavad laevad automatiseerimist peamiselt inimmeeskondade abistamiseks navigeerimisel, tõukejõul ja ohutuse jälgimisel, samal ajal kui inimesed jäävad pardale ja vastutavad operatiivotsuste eest. Vahetasemed võimaldavad kaugjuhtimist, kus laevad võivad töötada ilma meeskonnata, kuid neid jälgitakse ja juhitakse kaldal asuvatest juhtimiskeskustest. Kõrgeimal tasemel suudavad täielikult autonoomsed laevad tajuda oma keskkonda, teha iseseisvalt navigeerimis- ja missiooniotsuseid ning viia neid otsuseid ellu ilma inimese sekkumiseta. See raamistik peegeldab meremissioonide tegelikku tegelikkust, kus pikad kestused, prognoositav dünaamika ja kaugseire võimaldavad järk-järgult liikuda autonoomia poole.

Kosmosesüsteemides kirjeldatakse autonoomiat tavaliselt NASA mehitamata süsteemide autonoomiatasemete (ALFUS) raamistiku abil, mis hindab autonoomiat, mis põhineb süsteemi sõltumatusel inimese kontrollist, selle võimest toime tulla keskkonna keerukusega ja võimega täita missiooni eesmärke ilma sekkumiseta. Madalamatel tasanditel toetuvad kosmoseaparaadid juhtimisel ja juhtimisel suuresti maapealsetele operaatoritele, kes täidavad etteantud juhiseid minimaalse otsuse tegemisega pardal. Autonoomia suurenedes omandavad kosmoseaparaadid võime täita selliseid funktsioone nagu rikete tuvastamine ja taastamine, autonoomne navigeerimine ja adaptiivne missioonide planeerimine. Kõrgeimal tasemel saavad süsteemid iseseisvalt tajuda oma keskkonda, hinnata missiooni eesmärke ja dünaamiliselt kohandada oma käitumist eesmärkide saavutamiseks ilma inimese reaalajas juhendamiseta. See areng on eriti oluline süvakosmose missioonidel, kus sideviivitused muudavad pideva inimliku kontrolli ebapraktiliseks.

Miks mere- ja kosmoseautonoomia raamistikud maapealsest autonoomiast erinevad?

Mere- ja kosmoseautonoomia raamistikud erinevad põhimõtteliselt maapealsest autonoomiast, kuna nende tööpiirangud rõhutavad pigem vastupidavust, kaugjuhtimist ja süsteemi vastupidavust, mitte pidevat suhtlemist inimestega tihedas ettearvamatus keskkonnas. Maapealsed sõidukid peavad töötama ohutult inimestest juhtide, jalakäijate ja keeruka infrastruktuuri vahetus läheduses, mis nõuab väga reageerivat reaalajas tajumist ja otsuste tegemist. Seevastu meresüsteemid töötavad suhteliselt struktureeritud keskkondades, kus on vähem vahetuid ohte, võimaldades autonoomial keskenduda rohkem navigeerimise tõhususele ja kaugjärelvalvele. Kosmosesüsteemid kujutavad endast veelgi suuremaid väljakutseid, sealhulgas äärmuslik side latentsus, karmid keskkonnatingimused ja inimese reaalajas sekkumise võimatus, mis nõuab, et kosmoselaev tuvastaks autonoomselt vigu, säilitaks töövõime ja tagaks missiooni ellujäämise. Selle tulemusena on autonoomia mere- ja kosmosesüsteemides ajendatud pigem tegevuse sõltumatusest ja missiooni järjepidevusest kui vahetutest inimeste ohutuse vastasmõjudest. Allolevas tabelis on kokkuvõte kõigist neljast domeenist.

Autonoomia liigitamine struktureeritud tasanditeks ei ole pelgalt tehniline taksonoomia; see toimib juriidilise vastutuse, regulatiivse heakskiidu ja eetilise juhtimise aluskonstruktsioonina. Need autonoomiatasemed määratlevad ootusfunktsiooni, mis määrab, kes (inimene või masin) vastutab tuvastamise, otsuste tegemise ja tegevuse teostamise eest määratletud töötingimustes. Sellest ootusfunktsioonist saab sertifitseerimise, valideerimise, vastutuse määramise ja tegevusloa aluseks, mida käsitleme järgmises jaotises.

Joonis 1

Ühiskonnas toimivad tooted seadusliku juhtimisstruktuuri piirides. Õiguslik juhtimisstruktuur on tsivilisatsiooni üks suuremaid leiutisi ja selle peamine roll on kanalisatsioon vaidlused struktureerimata väljendusviisist ja võib-olla isegi vägivallast kuni kohtute valdkonda (joonis 1). Selleks et õiguslikud juhtimisstruktuurid oleksid tõhusad, peavad need olema õiglased ja etteaimatavad. Õigluse eesmärk saavutatakse mitmete meetoditega, nagu nõuetekohane menetlus, läbipaistvus ja avalik menetlus ning neutraalsed otsustajad (kohtunikud, žüriid, vahekohtunikud). Prognoositavuse eesmärk saavutatakse ülimuslikkuse mõiste kasutamisega. Eelistatavus on idee, et varasematele otsustele omistatakse otsuste tegemisega võrreldes suurem kaal ning ülimuslikkusest kõrvale kaldumine on erakordne sündmus. Üliolulisus annab õigussüsteemile stabiilsuse. Õigluse ja prognoositavuse kombinatsioon nihutab vaidluste lahendamise korrapärasemale protsessile, mis edendab ühiskondlikku stabiilsust.

Kuidas see mehaaniliselt töötab ja kuidas see tootearendusega seostub?

Joonis 2

Nagu on näidatud joonisel 2, on kolm peamist etappi. Esiteks kehtestavad õigusraamistikud seadusandlikud organid (seadusandjad). Praktikas ei saa aga seadusandjad kõiki aspekte täpsustada ja volitada haldusüksusi (regulaatoreid) seaduse üksikasju kodifitseerima. Lõpuks ei ole reguleerivatel asutustel sageli tehnilisi teadmisi seaduse kõigi aspektide kodifitseerimiseks ja nad toetuvad tehniliste teadmiste saamiseks sõltumatutele tööstusrühmadele, nagu Automotive Engineering (SAE) või Elektri- ja Elektroonikainseneride Instituut (IEEE). Teiseks, selles valdkonnas tekivad vaidlused ja neid tuleb lahendada õigussüsteem. Tüüpiline protsess on kohtuprotsess õigluse tagamiseks kehtestatud rangete protsesside alusel. Kohtuprotsessi tulemuseks on faktide kohaldamine õigusraamistikus ja kohtuotsuse kohaldamine. Juhtumi faktid võivad kaasa tuua kolm võimalikku tulemust. Esimesel juhul on faktid reguleeritud õigusraamistikuga, seega ei ole juhtimisstruktuuriga seoses edasisi meetmeid. Teisel juhul paljastavad faktid juhtimisstruktuuri “serva” tingimuse. Sellises olukorras otsib kohus varasemaid juhtumeid, mis võiksid sobida (prioriteetsuse mõiste) ja kasutab seda oma otsuse tegemiseks. Kui sellist juhtumit ei ole, saab kohus määrata oma otsusega antud juhul ülimuslikkuse. See kaalub ka tulevasi otsuseid. Lõpetuseks, harvadel juhtudel on juhtumi asjaolud niivõrd uudses valdkonnas, et seadusandluses on vähe. Sellises olukorras võivad kohtud teha otsuse, kuid sageli kutsutakse seadusandlikke organeid üles looma sügavamaid õigusraamistikke.

Tegelikult peetakse üheks sellisteks olukordadeks autonoomseid sõidukeid (AV-sid). Miks? Traditsioonilistes autodes on tootevastutusega seotud seaduste kogum seotud autoga ja vastutus auto kasutamisega seotud toimingute eest juhiga. Lisaks juhitakse tootevastutust sageli föderaalsel tasandil ja juhilitsentse rohkem kohalikul tasandil. Ent üllataval kombel, nagu allolevalt jooniselt näha, on olemas seaduste kogum, mis käsitleb autonoomseid sõidukeid kaugest minevikust. Hobuste päevil juhtus õnnetusi ja tekkis keerukas vastutusstruktuur. Selles struktuuris oli kontseptsioon, et kui inimene juhtis oma hobuse õnnetusse, siis on süüdi juht. Kui aga kõrvalseisja tegi midagi, et hobust “ära ajada”, oli see kõrvalseisja süü. Lõpuks oli ka mõiste “süüdi ei ole”, kui hobune ootamatult kallale läks. Tähelepanelik lugeja võib hästi mõista, et see seaduste kogum tuleneb hobuse omaduste sügavast mõistmisest. Juriidilises mõttes loob see “ootuse”. Millised on “ootused” kaasaegsele autonoomsele sõidukile? See on praegu tööstuses väga vaieldav punkt.

Üldiselt kaalutakse toodete tarbijatele pakutavat väärtust toote poolt tekitatud võimaliku kahju suhtes ja see toob kaasa seadusliku tootevastutuse kontseptsiooni. Kuigi seadused erinevad erinevates geograafilistes piirkondades, on põhiprintsiibid ootuste ja kahju põhielemendid. Ootus, mida hinnatakse „faktide kogumit arvestades mõistliku käitumise alusel”, toob kaasa vastutuse. Näiteks on selge ootus, et kui seisate rongi ees, ei saa see koheselt peatuda, samas kui enamiku autonoomse sõidu olukordade puhul seda ei eeldata. Kahju on veel üks võtmekontseptsioon, mille puhul filmide tehisintellekti soovitussüsteemid ei vasta autonoomsete sõidukite standarditele. Vastutuse juhtimisraamistik töötatakse välja mehaaniliselt seadusandlike meetmete ja nendega seotud määruste kaudu. Raamistiku testitakse kohtusüsteemis juhtumi konkreetsetel asjaoludel või faktidel. Süsteemi stabiilsuse tagamiseks vaadeldakse kohtuasjade ja otsuste andmebaasi kui tervikut prioriteetsuse mõiste all. Õigusküsimuste selgitamise annab apellatsiooniõigussüsteem, kus seaduse kohaldamise argumentide üle otsustatakse, mis on ülimuslik.

Mis on kogu selle olukorra näide? Mõelge ülaltoodud joonisel olevale õhuruumile, kus juhtimisraamistik koosneb kehtestatud seadusest (antud juhul USA-st) ja nendega seotud juhtumitest, mis pakuvad õiguslikku ülimuslikkust, eeskirju ja tööstusstandardeid. Kõik õhutranspordisektori tooted peavad oma lahenduse turule toomiseks vastama nõuetele.

Viide:

1. Razdan, R., (2019) „Seadmata tehnoloogiavaldkonnad autonoomsetes sõidukite testimises ja valideerimises”, 12. juuni 2019, EPR2019001.
2. Razdan, R., (2019) „Automatiseeritud sõidusüsteemide ja transpordi ökosüsteemi lahendamata teemad”, 5. november 2019, EPR2019005.
3. Ross, K. Tootevastutuse seadus ja selle mõju tooteohutusele. Ajakirjas Compliance Magazine 2023, [veebis]. Saadaval: https://incompliancemag.com/product-liability-law-and-its-effect-on-product-safety/

Nagu juhtimismoodulis arutatud, kaalutakse toodete tarbijatele pakutavat väärtust toote võimaliku kahju vastu ja see toob kaasa seadusliku tootevastutuse kontseptsiooni. Tootearenduse vaatenurgast moodustab seaduste, määruste ja õigusliku ülimuslikkuse kombinatsioon ülekaaluka juhtimisraamistiku, mille ümber süsteemi spetsifikatsioon tuleb üles ehitada [3]. Valideerimisprotsess tagab toote disaini vastavuse kasutaja vajadustele ja nõuetele ning kontrollimine tagab, et toode on ehitatud õigesti vastavalt disaini spetsifikatsioonidele.

Joonis 1. V&V ja juhtimisraamistik. Master V&V (MaVV) protsess peab näitama, et toodet on mõistlikult testitud, arvestades mõistlikku kahju tekitamise ootust. Ta teeb seda kolme olulise kontseptsiooni abil [4]:

1. Operatsiooniline disainidomeen (ODD): see määratleb keskkonnatingimused ja töömudeli, mille alusel toode on kavandatud töötama.
2. Katvus: see määrab toote kinnitamise ODD täielikkuse.
3. Välisreageerimine: tõrgete ilmnemisel kasutatakse protseduure toote disaini puuduste parandamiseks, et vältida tulevasi kahjusid.

Nagu jooniselt 1 on näha, on kontrolli- ja kinnitamisprotsess (V&V) peamine sisend juhtimisstruktuuris, millega kaasneb vastutus, ja vastavalt juhtimisstruktuurile peavad kõik elemendid näitama „mõistlikku hoolsuskohustust”. Ebamõistliku ODD näide oleks see, kui autonoomne sõiduk loobub juhitavusest millisekund enne õnnetust.

Joonis 2. Täitmine on ruum.

Mehaaniliselt rakendatakse MaVV-d Minor V&V (MiVV) protsessiga, mis koosneb:

1. Testi genereerimine: lubatud ODD-st genereeritakse teststsenaariumid.
2. Täitmine: see test “käivitatakse” arendatava toote puhul. Matemaatiliselt funktsionaalne teisendus, mis annab tulemusi.
3. Korrektsuse kriteeriumid: Täitmise tulemusi hinnatakse edu või ebaõnnestumise suhtes selgete õigsuse kriteeriumidega.

Praktikas võib igaüks neist etappidest olla üsna keerukas ja seotud kuludega. Kuna ODD võib olla väga lai olekuruum, on stiimuli intelligentne ja tõhus genereerimine ülioluline. Tavaliselt tehakse alguses stiimuli genereerimine käsitsi, kuid see ebaõnnestub skaleerimise tõhususe testis kiiresti. Virtuaalsetes täitmiskeskkondades kasutatakse selle protsessi kiirendamiseks pseudojuhuslikult suunatud meetodeid. Piiratud olukordades saab sümboolseid või formaalseid meetodeid kasutada suurte olekuruumide matemaatiliseks kandmiseks kogu projekteerimise faasis. Sümboolsete meetodite eeliseks on täielikkus, kuid need seisavad silmitsi algoritmiliste arvutuste plahvatusprobleemidega, kuna paljud toimingud on NP-Complete'i algoritmid.

Täitmisetappi saab teha füüsiliselt (näiteks ülaltoodud testrada), kuid see protsess on kallis, aeglane, piiratud juhitavusega ja jälgitavusega ning ohutuskriitilistes olukordades potentsiaalselt ohtlik. Seevastu virtuaalsete meetodite eeliseks on kulu, kiirus, ülim juhitavus ja jälgitavus ning ohutusprobleemide puudumine. Virtuaalsetel meetoditel on ka suur eelis, et nad täidavad V&V ülesande palju enne füüsilise toote koostamist. See toob kaasa klassikalise V-diagrammi, mis on näidatud joonisel 1. Kuna aga virtuaalsed meetodid on reaalsuse mudel, toovad need kaasa ebatäpsuse testimisvaldkonnas, samas kui füüsilised meetodid on määratluse järgi täpsed. Lõpuks saab virtuaalseid ja füüsilisi meetodeid kombineerida selliste mõistetega nagu tsüklis tarkvara või riistvara. Stiimuli genereerimise vaadeldavad tulemused fikseeritakse õigsuse kindlakstegemiseks. Korrektsust määratleb tavaliselt kas kuldne mudel või antimudel. Kuldne mudel, tavaliselt virtuaalne, pakub sõltumatult kontrollitud mudelit, mille tulemusi saab võrrelda testitava tootega. Isegi sellises olukorras on tavaliselt erinevus kuldse mudeli abstraktsioonitaseme ja toote vahel, mida tuleb hallata. Kuldmudeli meetodeid kasutatakse sageli arvutiarhitektuurides (nt ARM, RISCV). Mudelivastane olukord koosneb veaseisunditest, kuhu toode siseneda ei saa ja seega on õige käitumine veaolekutest väljaspool olev olekuruum. Näide võib olla autonoomses sõidukiruumis, kus tõrkeseisund võib olla õnnetus või muude piirangute rikkumine. MaVV koosneb ODD olekuruumi erinevate uurimiste andmebaasi loomisest ja selle põhjal täielikkuse argumendi loomisest. Argumendil on tavaliselt tõenäosusanalüüsi olemus. Pärast seda, kui toode on põllul, diagnoositakse põllu tagastus ja alati tuleb esitada küsimus: miks minu algne protsess seda probleemi ei tabanud? Kui testimismetoodika on leitud, värskendatakse seda, et vältida edaspidiste paranduste probleeme. V&V protsess on kriitilise tähtsusega sellise toote loomisel, mis vastab klientide ootustele ja dokumenteerib “mõistliku” hoolsuskohustuse vajaduse tootevastutuse eesmärgil juhtimisraamistikus.

Enamikul juhtudel peab üldine V&V protsess võitlema tohutute ODD-ruumide, piiratud täitmisvõimsuse ja kõrgete hindamiskuludega. Lisaks tuleb seda kõike teha õigeaegselt, et toode oleks turul kättesaadav. Traditsiooniliselt on V&V režiimid jagatud kahte laia kategooriasse: füüsikapõhine ja otsustuspõhine. Räägime nüüd igaühe peamistest omadustest.

MaVV jaoks on kriitilised tegurid MiVV “mootori” tõhusus ja valideerimise täielikkuse argument. Ajalooliselt nõudsid mehaanilised/mittedigitaalsed tooted (nt autod või lennukid) keerukat V&V-d. Need süsteemid olid näited laiemast tooteklassist, millel oli füüsikapõhise täitmise (PBE) paradigma. Selles paradigmas on aluseks oleva mudeli teostusel (sealhulgas reaalses elus) järjepidevuse ja monotoonsuse tunnused, kuna mudel toimib füüsikamaailmas. Sellel olulisel arusaamal on V&V jaoks tohutu mõju, kuna see piirab oluliselt uuritavat potentsiaalset olekuruumi. Olekuruumi vähendamise näited on järgmised:

- Stsenaariumi genereerimine: tuleb muretseda ainult füüsikaseadustega piiratud olekuruumi pärast. Seega ei saa eksisteerida objekte, mis järgivad füüsikat. Iga näitleja on selgesõnaliselt piiratud füüsikaseadustega.

1. Monotoonsus: paljudes huvitavates mõõtmetes on monotoonsuse tugevad omadused. Näiteks kui pidurdamiseks mõeldakse peatumisteekonnale, on kriitiline kiirus, mille ületamisel toimub õnnetus.

Kriitiline on see, et kõik kiirusribad, mis jäävad allapoole seda kriitilist kiirust, on ohutud ja neid ei pea uurima. Mehaaniliselt ehitab traditsioonilistes PBE valdkondades ohutusregulatsiooni filosoofia (ISO 26262 [5], AS9100 [6] jne) ohutusraamistiku protsessina, kus

1. tuvastatakse rikkemehhanismid;
2. rikkemehhanismi käsitlemiseks koostatakse katse- ja ohutusargument;
3. reguleerija (või iseregulatsiooni dokumentatsioon) viib läbi ohutusprotsessi, mis hindab neid kahte ja tegutseb heakskiitmise/keeldumise kohtunikuna.

Traditsiooniliselt peetakse riketeks peamiselt mehaanilisi rikkeid. Näiteks auto pidurisüsteemi ISO 26262 järgi kontrollimise voog sisaldab järgmisi samme:

1. Määratlege ohutuseesmärgid ja -nõuded (kontseptsioonifaas): ohuanalüüs ja riskihindamine (HARA): tuvastage pidurisüsteemiga seotud võimalikud ohud (nt sõiduki peatamine, tahtmatu pidurdamine). Hinnake riskitasemeid selliste parameetrite abil nagu tõsidus, kokkupuude ja juhitavus. Määrake iga ohu jaoks autoohutuse terviklikkuse tasemed (ASIL) (vahemikus ASIL A kuni ASIL D, kus D on kõige rangem). Määrake ohutuseesmärgid ohtude leevendamiseks (nt tagage piisav pidurdamine kõikides tingimustes).
2. Töötage välja funktsionaalne ohutuskontseptsioon: muutke ohutuseesmärgid pidurisüsteemi kõrgetasemelisteks ohutusnõueteks. Veenduge, et on kaasatud liiasus-, diagnostika- ja tõrkekindlad mehhanismid (nt kahekontuuriline pidurdus või elektrooniline jälgimine).
3. Süsteemi projekteerimine ja tehniline ohutuskontseptsioon: jaotage funktsionaalsed ohutusnõuded tehnilisteks nõueteks, kujundage pidurisüsteem koos turvamehhanismidega, nagu riistvara (nt andurid, täiturmehhanismid) ja tarkvara (nt mitteblokeeruvad pidurdusalgoritmid). Rakendage rikete tuvastamise ja leevendamise strateegiaid (nt tõrkeüleminek mehaanilistele või elektroonilistele juhtimisteedele).
4. Riistvara- ja tarkvaraarendus: riistvara ohutuse analüüs (HSA): kontrollige, kas komponendid vastavad ohutusstandarditele (nt usaldusväärsed pidurdusandurid). Tarkvaraarendus ja kontrollimine: kasutage kodeerimiseks, kontrollimiseks ja kinnitamiseks ISO 26262-ga ühilduvaid protsesse. Katsetage pidurdusalgoritme erinevates tingimustes.
5. Integreerimine ja testimine: kontrollige üksikuid komponente ja alamsüsteeme, et tagada nende vastavus tehnilistele nõuetele. Viige läbi kogu pidurisüsteemi integratsioonitestid, keskendudes funktsionaalsetele testidele (nt pidurdusteekond), ohutustestidele (nt käitumine rikketingimustes) ja stressi-/keskkonnatestidele (nt kuumus, vibratsioon).
6. Valideerimine (sõiduki tase): kontrollige pidurisüsteemi kontseptsioonifaasis määratletud ohutuseesmärkide suhtes. Ohutu kasutamise kinnitamiseks tehke reaalseid sõidustsenaariume, äärmuslikke juhtumeid ja vea sissepritseteste. Kontrollige vastavust ASIL-i spetsiifilistele nõuetele.
7. Tootmine, kasutamine ja hooldus: tagage, et tootmine oleks kooskõlas kinnitatud kavanditega. Rakendage tööohutuse meetmeid (nt perioodiline diagnostika, hooldus), jälgige ja lahendage ohutusprobleeme toote elutsükli jooksul (nt tarkvaravärskendused).
8. Kinnitus ja audit: kasutage sõltumatuid kinnitusmeetmeid (nt ohutusauditid, hindamisülevaatused), et tagada pidurisüsteemi vastavus standardile ISO 26262.

Lõpuks on määrustes kindel ettekujutus autoohutuse terviklikkuse tasemete (ASIL) ohutustasemetest. Õhusõidukisüsteemid järgivad disainikindluse tasemete (DAL) kontseptsiooniga sarnast trajektoori (sõnamäng). V&V ülesande põhiosa on igal ASIL-i tasemel nõutavate standardite täitmine. Ajalooliselt on traditsiooniliste autosüsteemide kontrollimiseks välja töötatud keerukas V&V tehnikate komplekt. Need meetodid hõlmasid hästi struktureeritud füüsilisi teste, mida sageli kinnitasid reguleerivad asutused või sanktsioneeritud sõltumatud ettevõtted (ex TUV-Sud [7]). Aastate jooksul on virtuaalse füüsikal põhinevate mudelite kasutamine suurenenud mudelikujundusülesanneteks, nagu keredain [8] või rehvide jõudlus [9]. Nende mudelite üldine struktuur on luua simulatsioon, mis ennustab aluseks olevat füüsikat, et võimaldada laiemat ODD uurimist. See loob väga olulise iseloomustuse, mudeli genereerimise, ennustava täitmise ja parandusvoo. Lõpuks, kuna täitmist piirab tugevalt füüsika, võib virtuaalsetel simulaatoritel olla piiratud jõudlus ja sageli on vaja simulatsiooni kiirendamiseks ulatuslikku riistvaratuge. Kokkuvõttes on PBE paradigma peamised alused V&V vaatepunktist järgmised:

1. Piiratud ja hästi käitutud ruum stsenaariumitestide genereerimiseks.
2. Kallid füüsikapõhised simulatsioonid.
3. mehaanilistele riketele keskendunud eeskirjad.
4. Ohutusolukordades keskendusid eeskirjad ohutuse demonstreerimise protsessile, mille põhiidee on projekteerimiskindluse tasemed.

Küberfüüsikaliste süsteemide arenedes muutis infotehnoloogia (IT) maailma kiiresti.

Joonis 4. Süsteemi spetsifikatsiooni edenemine (HW, SW, AI).

Nagu on näidatud joonisel 4, on elektroonikas toimunud süsteemi funktsioonide ehituse edenemine, kus esimene etapp oli riistvara või pseudo-riistvara (FPGA, mikrokood). Järgmine etapp hõlmas protsessori arhitektuuri leiutamist, millele tarkvara saaks süsteemi funktsiooni jäljendada. Tarkvara oli disainiartefakt, mille inimesed kirjutasid standardkeeltes (C, Python jne). Protsessori abstraktsiooni revolutsiooniline aspekt võimaldas muuta funktsiooni, ilma et oleks vaja nihutada füüsilisi varasid. Tarkvara ehitamiseks oli aga vaja leegioneid programmeerijaid. Tänapäeval on tehisintellekti (AI) suur läbimurre võime luua tarkvara aluseks olevate mudelite, andmete ja mõõdikute kombinatsiooniga.

Oma põhikujul ei olnud IT-süsteemid ohutuskriitilised ja sarnasel tasemel juriidilist vastutust IT-toodetega kaasnenud ei ole. Kuid IT suurus ja kasv on sellised, et suurte tarbekaupade probleemidel võivad olla katastroofilised majanduslikud tagajärjed [10]. Seega oli V&V funktsioon väga oluline. IT-süsteemid järgivad V&V jaoks samu üldisi protsesse, nagu eespool kirjeldatud, kuid neil on kaks olulist erinevust täitmise paradigma ja vigade allika osas. Esiteks, erinevalt PBE paradigmast järgib IT täitmisparadigma otsustuspõhist täitmisrežiimi (DBE). See tähendab, et aluseks oleva mudeli funktsionaalsele käitumisele ei ole loomulikke piiranguid ega monotoonsuse loomupäraseid omadusi. Seega tuleb uurida kogu tohutut ODD-ruumi, mis muudab testide genereerimise ja leviala demonstreerimise töö äärmiselt keeruliseks. Selle raskuse vastu võitlemiseks on välja töötatud rida protsesse, et luua tugevam V&V struktuur. Nende hulka kuuluvad: 1) Koodi katvus: siin kasutatakse virtuaalse mudeli struktuurset spetsifikatsiooni piiranguna, mis aitab juhtida testi genereerimise protsessi. Seda tehakse tarkvara või riistvaraga (RTL-kood). 2) Struktureeritud testimine: Vigade leviku minimeerimiseks on välja töötatud komponentide, alajaotuste ja integratsiooni testimise protsess. 3) Disaini ülevaated: parimaks tavaks peetakse struktureeritud disainiülevaateid koos tehniliste andmete ja tuumaga.

Selle protsessivoo hea näide on CMU võimekuse küpsusmudeli integratsioon (CMMI) [11], mis määratleb protsesside komplekti kvaliteetse tarkvara tarnimiseks. Suurt osa CMMI arhitektuurist saab kasutada tehisintellekti jaoks, kui tehisintellekt asendab olemasolevaid tarkvarakomponente. Lõpuks jaguneb DBE domeeni testimine järgmisteks filosoofilisteks kategooriateks: “Teadaolevad:” tuvastatud ja arusaadavad vead või probleemid, “Teadaolevad tundmatud” Võimalikud riskid või probleemid, mis on eeldatavad, kuid mille täpne olemus või põhjus on ebaselge, ja “Teadmatud tundmatud” Täiesti ootamatud probleemid, mis ilmnevad hoiatuseta või katsetamisel, sageli mõistmisel, mõistmisel, katsetamisel. Viimane kategooria on DBE V&V jaoks kõige problemaatilisem ja kõige olulisem. Pseudojuhuslik testide genereerimine on olnud selle kategooria paljastamise põhitehnika [12]. Kokkuvõttes on DBE paradigma peamised alused V&V vaatepunktist järgmised: 1) piiranguteta ja mitte hästi käituv täitmisruum stsenaariumitestide genereerimiseks, 2) üldiselt odavam simulatsiooni täitmine (mitte füüsilisi seadusi simuleerida), 3) V&V keskendub loogilistele vigadele, mitte mehaanilistele riketele, 4) üldiselt ei ole määratletud ohutusega seotud kriitiliste rakenduste jaoks. Enamik tarkvara on “parimad jõupingutused”, 5) “Teadmatud-tundmatud” on valideerimise põhifookus.

DBE-ruumi peamine tagajärg on see, et PBE-maailma idee koostada vigade loend ja koostada nende jaoks ohutusargument on vastuolus DBE valideerimise fookusega.

Lõpuks keskendub tootearendusprotsess tavaliselt ODD määratlemisele ja selle olukorra kontrollimisele. Tänapäeval on aga lisaprobleemiks võistlevad rünnakud (küberturvalisus). Sellises olukorras soovib vastane süsteemi pahatahtlike kavatsuste eest tõsta. Sellises olukorras ei pea toote omanik mitte ainult kinnitama ODD-d, vaid ka tuvastama, kui süsteem töötab väljaspool ODD-d. Pärast tuvastamist on parim stsenaarium süsteem ohutult ümber suunata ODD-ruumi. Küberjulgeolekuprobleemidega seotud risk jaguneb küberfüüsikaliste süsteemide puhul tavaliselt kolmele tasemele.

1. OTA turvalisus: kui vastane saab üle õhu (OTA) tarkvaravärskendustega manipuleerida, võib ta kiiresti üle võtta massilise hulga seadmeid. Halvima olukorra näide oleks Tesla OTA, mis muudab Tesla kokkupõrkemootoriteks.
2. Kaugjuhtimispuldi turvalisus: kui vastane saab auto kaugjuhtimisega üle võtta, võivad nad kahjustada nii sõitjaid kui ka kolmandaid osapooli.
3. Anduri võltsimine: selles olukorras kasutab vastane sihtmärgi andurite petmiseks kohalikke füüsilisi varasid. GPS-i segamine või võltsimine on aktiivsed näited.

Juhtimise osas eeldab tootearendaja mõistlikku hoolsuskohustust, et neid probleeme minimeerida. Nõutav valideerimise tase on olemuselt dünaamiline ja seotud tööstusharu normidega.

Domeenide osas on juhtivaks teguriks operatiivse disaini domeen (ODD) ja sellel on tavaliselt kaks mõõdet. Esimene on töömudel ja teine ​​füüsiline valdkond (maa, õhus, meres, kosmoses). Maapinna osas on reisijate AV-d ehk autonoomia tuntuim nägu – robo-taksoteenused ja isejuhtivad tarbesõidukid sisenevad järk-järgult linnakeskkonda. Sellised ettevõtted nagu Waymo, Cruise ja Tesla on kasutanud ODD-dele erinevaid lähenemisviise. Waymo täielikult juhita autod töötavad Phoenixi päikesepaistelistes geotaraga äärelinnades koos üksikasjaliku kaardistamise ja kaugjälgimisega. Kruiis alustas teenust San Franciscos, mis töötas keerukuse vähendamiseks algselt ainult öösel. Tesla täieliku isejuhtimise (FSD) beetaversiooni eesmärk on laiem üldistus, kuid see sõltub siiski suuresti juhi järelevalvest ning seda piiravad ilmastiku- ja nähtavusprobleemid.

Transiitbussidest, ehkki vähem avalikustatud, on vaikselt saanud AV-de praktiline rakendus kontrollitud keskkondades. Need aeglased sõidukid töötavad tavaliselt geopiirdega piiratud aladel, nagu ülikoolilinnakud, lennujaamad või äripargid. Sellised ettevõtted nagu Navya, Beep ja EasyMile kasutavad süstikuid, mis järgivad fikseeritud marsruute ja sõiduplaane ning suhtlevad keeruliste liiklusstsenaariumitega minimaalselt. Nende ODD-d on täpselt määratletud: nad ei pruugi töötada vihma või lumega, sageli töötavad ainult päevavalguses ja väldivad kiireid või segaliiklustingimusi. Paljudel juhtudel jälgib kaugoperaator toiminguid või on vajadusel saadaval sekkumiseks. Tarnerobotid esindavad autonoomse mobiilsuse kolmandat klassi – kompaktsed ja kerged sõidukid, mis on mõeldud viimase kilomeetri kohaletoimetamiseks. Nende ODD-d on võib-olla kõige kitsamad, kuid see on disaini järgi. Need selliste ettevõtete nagu Starship, Kiwibot ja Nuro robotid navigeerivad äärelinna või ülikoolilinnaku keskkondades kõnniteedel, ülekäiguradadel ja lühikestel tänavalõikudel. Need töötavad jalakäijate kiirusel (tavaliselt alla 10 miili tunnis), kannavad väikest kandevõimet ja väldivad äärmuslikke ilmastikuolusid, tihedat liiklust või struktureerimata maastikku. Kuna nad ei vea reisijaid, võivad ohutusläved ja regulatiivne järelevalve oluliselt erineda.

Ilm on kõigi autonoomsete süsteemide puhul eriti piirav tegur. Vihm, lumi, udu ja pimestamine häirivad LIDARi, radari ja kaamera jõudlust – eriti väiksemate robotite puhul, mis töötavad maapinna lähedal. Enamik AV kasutuselevõttu piirab tänapäeval toiminguid ilusate ilmastikutingimustega. See kehtib eriti tarnerobotite ja transiitbusside kohta, mis sageli peatavad tormi ajal tegevuse. Kuigi täiustatud andurite liitmine ja ennustav modelleerimine lubavad täiustusi, jääb tõeline autonoomia iga ilmaga oluliseks tehniliseks väljakutseks. Ilmastiku ja autonoomia ristumiskoht on aktiivne uurimisvaldkond [1]

Teine paaritu dimensioon on kellaaeg. Öine töö toob AV-dele ainulaadseid raskusi: halvenenud nähtavus, jalakäijate suurem ettearvamatus ja linnapiirkondades juhi ebaühtlasem käitumine. Mõned süsteemid (nt Waymo Chandleris, AZ) töötavad nüüd ööpäevaringselt, kuid enamik kasutuselevõttu – eriti kohaletoimetamisrobotid ja süstikud – on piiratud päevavalgustundidega. Tesla FSD töötab küll öösel, kuid nõuab siiski inimlikku järelevalvet. Infrastruktuur kujundab ka ODD-sid olulisel viisil. Paljud AV-süsteemid sõltuvad otsuste tegemisel kõrglahutusega kaartidest, sõiduraja tasemel GPS-ist ja isegi nutikatest liiklussignaalidest. Geopiirdega keskkondades, kus marsruut ja ümbrus on hästi etteaimatavad, on see infrastruktuuri sõltuvus hallatav. Kuid laiemate ODD-de puhul, kus keskkonnad võivad sageli muutuda või puuduvad digitaalsed kaardid, on turvalise autonoomia saavutamine palju raskem. Seetõttu väldivad reisijate AV-d tänapäeval üldiselt maapiirkondi, katmata teid või äsja ehitatud alasid.

Regulatiivsed keskkonnad kujundavad ODD-sid veelgi. USA-s on sellised osariigid nagu California, Arizona ja Florida välja töötanud AV-testimise raamistikud, kuid igaüks neist erineb selle poolest, mida see võimaldab. Näiteks lubab California täielikult juhita sõidukeid teatud linnapiirkondades, kus kehtivad ranged aruandlusnõuded. Kohaletoimetamisrobotid on sageli reguleeritud linna tasandil - mõned linnad lubavad kõnnitee roboteid, teised keelavad need täielikult. Transiitbussid saavad sageli eriload väikese kiirusega sõitmiseks piiratud marsruutidel. Need regulatiivsed piirid tõlgivad otseselt ODD piiranguid.

Füüsiliste valdkondade osas on maapealsed autonoomsed süsteemid, eriti autotööstuse kontekstis, kaubanduslikult kõige nähtavamad. Isejuhtivad sõidukid töötavad inimestetihedas keskkonnas, mistõttu on jalakäijate, jalgratturite, sõidukite ja liiklusinfrastruktuuri tuvastamiseks vaja tajusüsteeme. Valideerimine sõltub siin suuresti stsenaariumipõhisest testimisest, simulatsioonist ja kontrollitud pilootrakendustest. Sellised standardid nagu ISO 26262 (funktsionaalne ohutus), ISO/PAS 21448 (SOTIF) ja UL 4600 (autonoomse süsteemi ohutus) juhivad ohutuse tagamist. Regulatiivsed raamistikud arenevad osariigi või riigi lõikes, kusjuures operatiivse disaini valdkonna (ODD) piirangud on kasutuselevõtu praktilised piirangud.

Autonoomsed õhusõidukid (nt droonid, linnaõhu liikuvuse platvormid ja valikuliselt juhitavad süsteemid) peavad töötama kõrgelt struktureeritud ja ohutuskriitilistes keskkondades. Valideerimine hõlmab rangeid formaalseid meetodeid, tõrketaluvuse analüüsi ja vastavust lennundusohutusstandarditele, nagu DO-178C (tarkvara), DO-254 (riistvara), ning uusi juhiseid, nagu ASTM F38 ja EASA SC-VTOL. Õhuruumi juhtimine on tsentraliseeritud ja arenenud ning nõuab sageli tüübisertifikaati ja lennukõlblikkuse kinnitusi. Erinevalt autosüsteemidest peab õhusõiduki autonoomia tõestama usaldusväärsust ühenduse katkemise stsenaariumide korral ja näitama tõrgeteta töövõimet kõigis lennufaasides.

Autonoomsed pinna- ja veealused meresüsteemid seisavad silmitsi struktureerimata ja suhtluspiirangutega keskkonnaga. Need peavad töötama usaldusväärselt GPS-keelatud või RF-blokeeritud tingimustes, tuvastades samas takistusi, nagu poid, laevad või veealune maastik. Valideerimine on empiirilisem, hõlmates sageli pikendatud merekatsetusi, navigatsioonisüsteemide koondamist ja adaptiivset missiooni planeerimist. IMO (Rahvusvaheline Mereorganisatsioon) ja klassifikatsiooniühingud, nagu DNV, töötavad meresõiduautonoomse pinnalaeva (MASS) reguleeriva raamistiku kallal, kuigi ülemaailmsed standardid on alles kujunemas. Mereautonoomia (tsiviil- ja kaitse) kahesuguse kasutusega olemus muudab juhtimise keerukamaks. Kosmosepõhised autonoomsed süsteemid (nt planetaarkulgurid, autonoomsed dokkimisaparaadid ja kosmosepuksiirid) töötavad äärmuslike piirangute all: sideviivitused, kokkupuude kiirgusega ja reaalajas inimjärelevalve puudumine. Valideerimine toimub range testimise kaudu Maa-põhistes analoogkeskkondades, kriitilise tarkvara ametliku kontrollimise ja tõrkekindla disaini põhimõtete kaudu. Juhtimine kuulub riiklike kosmoseagentuuride (nt NASA, ESA) ja rahvusvaheliste raamistike, nagu kosmoseleping, alla. Kindlus tugineb pigem missioonispetsiifilistele autonoomia ümbrikutele ja eelnevalt määratletud otsustuspuudele kui reaktiivsele autonoomiale.

Ka valitsemine on erinev. Lennundus ja kosmos toimivad tsentraliseeritud, rahvusvaheliselt koordineeritud reguleerimissüsteemides (ICAO, FAA, EASA, NASA), samas kui maapealne autonoomia on jurisdiktsioonide lõikes endiselt väga killustatud. Merendusjuhtimine edeneb, kuid puudub ühtlustamine. Kuigi kosmosejuhtimine on lepingutesse ankurdatud, võitleb see üha enam äritegevuse ja riiklike huvidega, nõudes ajakohastatud riskijuhtimisprotokolle.

Uued jõupingutused, nagu SAE G-34/SC-21 standard tehisintellekti jaoks lennunduses, NASA adaptiivse autonoomia uurimine ja ISO töö tehisintellekti funktsionaalse ohutuse alal, näitavad suundumust domeeniagnostiliste põhimõtete poole intelligentse käitumise valideerimiseks. Üha enam tunnistatakse, et autonoomsed süsteemid, olenemata keskkonnast, vajavad ranget servajuhtumite testimist, süsteemi kavatsuste selgust ja reaalajas tagamise mehhanisme.

Viide:

[1] Vargas, J.; Alsweiss, S.; Toker, O.; Razdan, R.; Santos, J. Ülevaade autonoomsete sõidukite anduritest ja nende haavatavusest ilmastikutingimuste suhtes. Andurid 2021, 21, 5397. https://doi.org/10.3390/s21165397

See peatükk on andnud ülevaate autonoomsetest süsteemidest (maa, õhus, merel, kosmoses), autonoomia ootuste funktsioonide esialgsest raamistikust, juhtimisstruktuuridest, milles autonoomia peab toimima, ülevaate nende juhtimisstruktuuride toetamiseks kasutatavatest valideerimis- ja kontrollimehhanismidest ning lõpuks ülevaate autonoomiast igas füüsilises valdkonnas.

Järgmistes peatükkides süveneme nendesse teemadesse põhjalikumalt autonoomia abstraktsioonide alusel, nagu on näidatud alloleval joonisel. Nende abstraktsioonide “allosas” on füüsilised objektid, nagu mehaanilised seadmed ja nendega seotud elektroonika riistvara. Elektroonika riistvarakihi kohal on mitmesugused tarkvarakihid, mis algavad vahevarast/infrastruktuurist, algoritmikihtidest ja lõpuks ühendusest inimestega.

Neid teemasid käsitletakse kontseptuaalsel tasandil ja ka nelja füüsilise valdkonna jaoks konkreetselt (näidis joonis allpool).

Kõigi elektrooniliste süsteemide aluseks olevad aktiivsed füüsilised komponendid on pooljuhid. Pooljuhid hõlmavad mitmeid peamisi kategooriaid, mis põhinevad funktsioonil, materjalisüsteemil ja integratsioonitasemel. Kõige elementaarsemal tasemel on diskreetsed seadmed, nagu dioodid, MOSFET-id, IGBT-d ja alaldid, mis juhivad voolu ja pinget ning mida kasutatakse laialdaselt võimsuse muundamisel ja mootoriajamites. Analoog- ja segasignaaliga pooljuhid tegelevad tuvastuse, võimenduse, signaali konditsioneerimise ja toitehaldusega (nt ADC-d, DAC-id, pingeregulaatorid, anduriliidesed). Mälu pooljuhid – nagu DRAM, SRAM, NAND-välkmälu ja uued püsimälud, nagu MRAM – salvestavad andmeid ja programmikoodi. Jõupooljuhtides kasutatakse selliseid materjale nagu räni, ränikarbiid (SiC) ja galliumnitriid (GaN), et tõhusalt lülitada kõrgepingeid ja voolusid elektrisõidukites, lennukite toitesüsteemides ja taastuvenergia muundurites. Lõpuks toetavad spetsialiseeritud seadmed, nagu RF esiotsa kiibid, pildiandurid (CMOS), FPGA-d ja AI kiirendid, sidet, taju ja suure jõudlusega andmetöötlusülesandeid. Need kategooriad koos moodustavad kihilise pooljuhtide ökosüsteemi, mis on aluseks kaasaegsetele auto-, õhu-, mere- ja kosmoseelektroonikatele. Oluline kategooria on digitaalsed loogikaseadmed, sealhulgas mikrokontrollerid (MCU), mikroprotsessorid (MPU) ja süsteemipõhised (SoC) seadmed, mis teostavad teatud vormis programmeerimist (FPGA, tarkvara, AI). Seda käsitleme üksikasjalikumalt järgmises tarkvara peatükis.

Selles peatükis vaatleme pooljuhtide neeldumise ajaloolist tausta erinevates liikuvusvaldkondades. Selle tausta osana toome välja mõned peamised “tootmise” väljakutsed, nagu ohutus, juhtimine ja tarneahela juhtimine. Selle taustaga tutvustame autonoomiaga kaasnevat hüppelist keerukust ja vaatame uuesti läbi peamised “tootmise” väljakutsed.

Ajalooliselt põhinesid küberfüüsikalised süsteemid mehaaniliselt, kuid kaasaegse elektroonika tulekuga liikusid kriitilised funktsioonid kiiresti üle elektroonika alamsüsteemidesse. Näiteks autoelektroonika 1970ndatel ja 1980ndate alguses, karmistatud heitgaasistandardid USA-s, Euroopas ja Jaapanis sundisid autotootjaid kasutusele võtma mikroprotsessoripõhiseid mootorijuhtimisseadmeid (ECU). See, mis sai alguse lihtsatest süüteajastusmoodulitest, arenes välja suletud ahelaga mootori juhtimissüsteemideks, mis käitlevad kütuse sissepritse ja koputuse juhtimist – graafikul näidatud “jõuülekande” plokk. Need varajased pooljuhtide juurutused olid vastupidavad analoog-/segasignaaliga konstruktsioonid, mis optimeeriti töökindluse tagamiseks kõrge temperatuuriga keskkondades, mitte arvutusliku keerukuse tõttu.

1980. aastate lõpu ja 1990. aastate jooksul laienes elektroonika jõuülekandest šassii ja turvasüsteemideni. Mitteblokeeruvad pidurisüsteemid (ABS), elektrooniline stabiilsuskontroll, veojõukontroll ja lõpuks elektriline roolivõimendi (EPS) nõudsid reaalajas tuvastamist ja käivitamist. See vastab pildil olevatele “Chassis” ja “Safety and Control” domeenidele (ABS, turvapadja kontrollerid, TPMS, kokkupõrkehoiatus). Siin võimaldasid pooljuhid hajutatud andurit (rattakiiruse andurid, kiirendusmõõturid, rõhuandurid) ja deterministlikku manustöötlust. Arhitektuur jäi domeenikeskseks: igal funktsioonil oli oma ECU, piiratud domeenidevahelise integratsiooniga. Järgmisel lainel, ligikaudu aastatel 1995–2010, ajendas vähem regulatsioon ja rohkem tarbijate ootused. Sõidukid said teabe- ja meelelahutus- ja mugavuselektroonika platvormideks, mis on näidatud graafiku jaotistes “Infotainment” ja “Mugavus ja juhtimine” (armatuurlaua ekraanid, navigatsioon, kliimaseade, istmemoodulid, kere elektroonika). See etapp tähistas suurema jõudlusega digitaalsete SoC-de, mälu alamsüsteemide ja inimese-masina liidese protsessorite kasutuselevõttu. Oluline on see, et just sel ajal muutusid oluliseks sõidukisisesed võrgustandardid, nagu CAN, LIN ja hiljem FlexRay (loetletud jaotises “Võrgud”). Auto läks üle isoleeritud ECU-delt hajutatud elektroonilisele arhitektuurile, mida ühendasid andmesiinid – pooljuhid ei olnud enam lihtsalt kontrollerid; need olid sidevõrgu sõlmed.

Joonis 1: Autoelektroonika

2010. aastateks oli pooljuhtide sisaldus sõiduki kohta plahvatuslikult kasvanud, eriti hübriid- ja elektrisõidukite puhul. Jõuelektroonika (IGBT-d, MOSFET-id, hiljem SiC-seadmed), akuhaldussüsteemid ja kõrgepinge juhtimisaasad suurendasid järsult täiustatud pooljuhtmaterjalide ja segasignaalide integreerimise rolli. Samal ajal vajasid täiustatud juhiabisüsteemid (ADAS) – kokkupõrkehoiatus, parkimisabi, öine nägemine – nägemisprotsessoreid, radari esiosasid ja andurite liitkiipe, mis laiendavad “Ohutuse ja juhtimise” plokki suure jõudlusega andmetöötluse territooriumile.

Õhusektor

Kui autotööstuse graafika kujutab elektroonika hajutatud, domeenipõhist valmimist autodes, järgis õhusektor sarnast, kuid ohutuskriitilisemat ja sertifitseerimispõhist trajektoori. Varasemal reaktiivlennukite ajastul (1950.–1970. aastad) oli lennukielektroonika, mida tollal nimetati avioonikaks, suures osas analoogne ja liit. Radar, navigatsioon, lennuinstrumendid, mootori seire ja autopiloodisüsteemid olid eraldiseisvad kastid, millel oli piiratud ühendus. Algselt asendasid pooljuhid töökindluse ja kaalu vähendamise huvides vaakumtorud, kuid arvutusvõime oli tagasihoidlik. Sarnaselt varasematele automootorite kontrolleritele võeti elektroonika kasutusele konkreetsete töövajaduste lahendamiseks (navigatsiooni täpsus, raadioside ja lennu stabiliseerimine), mitte integreeritud digitaalse platvormi loomiseks. Suurim pöördepunkt tekkis 1980. ja 1990. aastatel digitaalse lennujuhtimise ja “fly-by-wire” arhitektuuride tõusuga, mida tsiviillennunduses lõid teerajajad lennukid, nagu Airbus A320, ja laienesid sõjalistele platvormidele, nagu F-16 Fighting Falcon. Siin läksid pooljuhid nõuandvatest rollidest ohutuskriitiliste juhtkontuuride juurde. Digitaalsed signaaliprotsessorid ja kiirgust taluvad mikrokontrollerid rakendasid stabiilsuse suurendamiseks, mähiskaitse ja mootori juhtimiseks (FADEC) deterministlikke reaalajas algoritme.

1990.–2000. aastatel astus avioonika “klaasist kokpiti” ajastusse. Sellised lennukid nagu Boeing 777 asendasid analoogmõõturid integreeritud digitaalsete ekraanidega, mida juhivad kõrge töökindlusega protsessorid ja graafika alamsüsteemid. Andmesiinid, nagu ARINC 429 ja hilisem AFDX (ARINC 664), võimaldasid deterministlikku võrku luua lennuarvutite, andurite ja kuvarite vahel – analoogselt CAN-i ja FlexRay-ga autode diagrammil. Kuid erinevalt autotööstuse võrkudest ehitati õhus olevad andmesiinid rangete partitsioonide, koondamise ja rikete piiramise piirkondade ümber. Lennukriitiliste funktsioonide puhul muutusid tavaliseks kolmemooduliline koondamine ja erinevad protsessorid. Tõukejõu- ja toitesüsteemides laienesid pooljuhid seirelt aktiivsele juhtimisele. Full Authority Digital Engine Control (FADEC) üksused kasutasid segasignaaliga ASIC-e ja mikroprotsessoreid, et optimeerida kütusevoolu, vähendada heitkoguseid ja parandada töökindlust. “Elektrilisemate õhusõidukite” kontseptsioonide esilekerkimisega (näiteks Boeing 787) suurenes jõuelektroonika sisaldus märkimisväärselt. Kõrgepingemuundurid, mootoriajamid ja pooljuhtvõimsuse kontrollerid asendasid hüdraulilised alamsüsteemid, peegeldades (ehkki turvalisuse rangelt varem) autode HEV/EV platvormidel nähtud elektrifitseerimislainet.

Meresektor

Meretööstuse elektroonikakasutus arenes isoleeritud navigatsioonivahenditest väga integreeritud digitaalsete laevasüsteemideni, järgides konstruktsiooniliselt autotööstusega sarnast trajektoori, kuid palju suurema võimsuse ja pikema varade elutsükliga. 1950.–1970. aastatel oli mereelektroonika peamiselt analoog ja funktsionaalselt eraldatud: radar, sonar, gürokompassid, VHF-raadiod ja põhiautopiloodid töötasid eraldiseisvate süsteemidena. Varajane pooljuhtide kasutuselevõtt keskendus töökindluse parandamisele ja suuruse vähendamisele, eriti radari- ja sideseadmetes. Need süsteemid olid oma olemuselt nõuandvad; tõukejõud ja juhtimine jäid suures osas mehaaniliseks või hüdrauliliseks. Esimene suurem digitaalne üleminek toimus 1980. ja 1990. aastatel mikroprotsessoripõhise mootorijuhtimise, satelliitnavigatsiooni (GPS) ja elektrooniliste kaardistamissüsteemide saabumisega. Laevadel hakati kasutama digitaalseid tõukejõu regulaatoriid, kütuse optimeerimise süsteeme ja tsentraliseeritud häireseiret. See periood sarnaneb autotööstuse üleminekuga karburaatoritelt mootori juhtseadmetele ja ABS-süsteemidele. Oluline on see, et võrgustandardid, nagu NMEA 0183 ja hilisem NMEA 2000, võimaldasid anduritel ja navigatsioonisüsteemidel andmeid vahetada, tähistades üleminekut isoleeritud mõõteriistadelt hajutatud mereelektroonika arhitektuuridele.

2000. aastateks võtsid suured kommerts- ja merelaevad kasutusele integreeritud sillasüsteemid (IBS) ja integreeritud platvormihaldussüsteemid (IPMS), koondades radari, kaardistamise, sonari, tõukejõu oleku ja ohutushoiatused ühtsetesse digitaalsetesse konsoolidesse. Jõuelektroonika sisu suurenes märkimisväärselt elektriliste ajamite, tõukuri juhtimise, hübriidlaevade toitesüsteemide ja dünaamiliste positsioneerimissüsteemidega. See faas peegeldab autotööstuse laienemist elektrifitseerimisele ja kerevaldkonna integreerimisele. Viimastel aastatel on pooljuhtide tihedus veelgi kasvanud tänu andurite liitmisele kokkupõrke vältimiseks, laevastiku kaugseire, ennustava hoolduse ja varajases staadiumis autonoomsete pinnasõidukite abil. Kuigi regulatiivsed raamistikud jäävad konservatiivseks, koosneb merearhitektuur nüüd omavahel ühendatud tõukejõu-, navigatsiooni-, ohutuse-, energiajaotuse ja autonoomia alamsüsteemidest – mis on kontseptuaalselt analoogne autode graafika domeeniplokkidega.

Kosmosesektor

Kosmosesektor järgis paralleelset, kuid rohkem töökindlusest lähtuvat arengut, mille kujundasid kiirgustaluvus, äärmuslikud keskkonnad ja missiooni tagamise nõuded. Varasel kosmoseajastul ehitati kosmoselaevade elektroonikat diskreetsest loogikast ja väga piiratud arvutusvõimega kiirguskindlatest komponentidest. Süsteemid olid rangelt ühendatud: juhtimine, telemeetria, toite konditsioneerimine, side ja soojusjuhtimine olid eraldi alamsüsteemid, millel oli sisseehitatud liiasus. Varased digitaalarvutid, nagu näiteks Apollo juhisarvutis kasutatavad arvutid, näitasid, et pooljuhid võivad võimaldada autonoomset navigeerimist, kuid arvutusvarud olid minimaalsed ja tõrketaluvus oli ülimalt oluline. 1990ndatel ja 2000ndate alguses võimaldasid kiirguskindlad mikroprotsessorid ja standardiseeritud kosmoseaparaadi andmesiinid, nagu MIL-STD-1553 ja SpaceWire, modulaarsemat digitaalset arhitektuuri. Satelliidid võtsid kasutusele struktureeritud alamsüsteemid hoiaku määramiseks ja juhtimiseks, pardal andmete töötlemiseks, kasuliku koormuse töötlemiseks ja võimsuse reguleerimiseks. Sellised missioonid nagu Hubble'i kosmoseteleskoop ja süvakosmose platvormid, nagu Mars Reconnaissance Orbiter, hõlmasid navigeerimiseks, instrumentide juhtimiseks ja rikete haldamiseks üha keerukamat pardatöötlust. See etapp meenutab hajutatud ECU ajastut autotööstuses, kus iga domeeni juhiti digitaalselt, kuid need olid omavahel ühendatud deterministlike siinide kaudu. Kaasaegsel ajastul on pooljuhtide võimalused kosmosesüsteemides dramaatiliselt laienenud. Suure läbilaskevõimega sidesatelliidid, FPGA-põhised ümberkonfigureeritavad kasulikud koormused, täiustatud tahkis-toitekontrollerid, elektrilised tõukejõusüsteemid ja autonoomsed rikete tuvastamise algoritmid määravad praeguse arhitektuuri. Ärilised konstellatsioonid, mille on välja töötanud sellised ettevõtted nagu SpaceX, on kasutusele võtnud vertikaalselt integreeritud avioonikavirnad ja rohkem tarkvaraga määratletud kosmoselaevade platvorme. Erinevalt autotööstusest seab pooljuhtide disain ruumis siiski kulude optimeerimise asemel esikohale kiirguse kõvenemise, koondamise ja pikaajalise töökindluse. Üldine trajektoor peegeldab autotööstuse diagrammi kihilist kasvu: mõõteriistade digiteerimisest suletud ahela juhtimiseni, võrku ühendatud alamsüsteemideni ja nüüd üha autonoomsemate, tarkvaraga määratletud kosmoseplatvormide suunas.

Mere- ja kosmosevaldkonnas – nagu ka autotööstuses – arenes pooljuhtide kasutuselevõtt jälgimisest juhtimiseni, isoleeritud alamsüsteemidest võrguarhitektuurini ning mehaanilisest domineerimisest elektriliselt ja arvutuslikult vahendatud platvormideni. Arhitektuursed plokid erinevad nimetamise poolest (tõukejõud, navigatsioon, asendikontroll, jõu konditsioneerimine), kuid struktuurilt esindavad nad sama ajaloolist kihistumist, mis on nähtav autofiguuril.

Kuna pooljuhtide sisaldus sõidukites suurenes, arenesid autotööstuse ohutusprotokollid mitteametlikest inseneritavadest hästi struktureeritud elutsüklipõhisteks juhtimisraamistikeks, mis ulatuvad nüüd kuni räni IP ja AI käitumiseni. 1980. ja 1990. aastatel, kui elektroonilised süsteemid, nagu ABS ja turvapatjade kontrollerid, esmakordselt laialt levima hakkasid, hakati ohutuse tagamisega tegelema suures osas ettevõttespetsiifiliste protsesside kaudu. OEM-id ja Tier-1 tarnijad toetusid sisemistele FMEA meetoditele, koondamistavadele ja mõnel juhul ka lennunduse juhiste kohandamisele, nagu DO-178 kontseptsioonid. Puudus ühtne autode elektrooniline ohutusstandard, isegi kui sõidukid läksid üle isoleeritud ECU-delt üha enam võrku ühendatud süsteemidele.

Esimene suurem ametlik autoelektroonikat mõjutanud raamistik oli IEC 61508, mis avaldati 1998. aastal. IEC 61508 tutvustas ohutuse terviklikkuse taset (SIL), elutsükli ohutusjuhtimist, tõenäolisi riistvara rikkemõõdikuid ja struktureeritud ohutusjuhtumi kontseptsiooni. Kuid see oli mõeldud tööstuslike programmeeritavate elektrooniliste süsteemide üldiseks standardiks. Kuna sõidukite arhitektuurid muutusid hajutatumaks ja pooljuhtide keerukus kasvas – liikudes lihtsatelt mikrokontrolleritelt CAN-i kaudu ühendatud mitme domeeni ECU-dele –, mõistsid autotööstuse sidusrühmad vajadust sektorispetsiifilise kohandamise järele.

See viis standardi ISO 26262 avaldamiseni 2011. aastal. ISO 26262 oli muutlik samm, mis võttis kasutusele mootorsõidukite ohutuse terviklikkuse tasemed (ASIL A–D), ametliku ohuanalüüsi ja riskianalüüsi (HARA), riistvaraarhitektuurimõõdikud, nagu ühepunktiline veamõõdik (SPFM), ranged nõuded kogu tõrke meetrikale (SPFM) ja kogu laarendus. elutsükkel. Oluline on see, et ISO 26262 mõjutas otseselt pooljuhtide disaini. Ränimüüjad hakkasid süsteemiintegraatorite toetamiseks pakkuma ASIL-valmidusega mikrokontrollereid, millel on lockstep CPU südamikud, ECC-kaitstud mälu, valvekoera taimerid ja dokumenteeritud FMEDA andmed. Ohutus liikus sõidukitasemel valideerimisest kiibiarhitektuuri ja arendusprotsessidesse integreerituks.

Ohutusprotokollide ajalooline areng õhusõidukites peegeldab kasvavat sõltuvust pooljuhtidest avioonikas, lennujuhtimises ja missioonikriitilises tarkvaras. Erinevalt autotööstusest võttis lennundus struktureeritud ohutusjuhtimise kasutusele väga varakult, kuna elektroonika sisenes otse ohutuse seisukohalt kriitilistesse juhtimisaasadesse, nagu autopiloot ja juhtmevaba juht. Samuti viis kohandatud ASIC-ide ja programmeeritavate loogikaseadmete üha suurem integreerimine avioonikasse DO-254 avaldamiseni 2000. aastal. DO-254 vormistas õhus leviva elektroonilise riistvara, sealhulgas FPGA-de ja keerukate mikroskeemide projekteerimise kinnituse. See nõudis dokumenteeritud arendustsükleid, kontrollimise rangust, mis oli proportsionaalne riistvara disaini kindluse tasemetega, ja jälgitavust nõuetest rakendamiseni.

Kui digitaalsed navigatsiooni- ja tõukejõu juhtimissüsteemid 1980. ja 1990. aastatel laienesid, kandus meresüsteemide puhul regulatiivne tähelepanu elektrooniliste süsteemide töökindlusele ja liiasusele. Klassifikatsiooniühingud nagu DNV, Lloyd's Register ja American Bureau of Shipping töötasid välja laevade elektri- ja juhtimissüsteemide reeglid. Need reeglid nõuavad roolimise ja tõukejõu juhtimise koondamist, dünaamiliste positsioneerimissüsteemide tõrketaluvust ning elektroonika keskkonnaalast kvalifikatsiooni vibratsiooni, niiskuse ja soolaga kokkupuute osas. Ülemaailmse merehäda- ja ohutussüsteemi (GMDSS) kasutuselevõtt 1990. aastatel tähistas suurt digitaalset verstaposti. Satelliitside, automatiseeritud hädasignaalide edastamine ja integreeritud sillasüsteemid suurendasid pooljuhtide tihedust. Kuna laevad võtsid kasutusele integreeritud sillasüsteemid (IBS) ja integreeritud platvormihaldussüsteemid (IPMS), hakkasid klassifikatsiooniühingud välja andma ametlikumaid juhiseid tarkvara kvaliteedi, tõrkerežiimi analüüsi ja kübervastupidavuse kohta. Siiski jäi merejuhtimine suures osas ettekirjutavaks ja tulemuspõhiseks, mitte protsessi tagamisel põhinevaks.

Lõpuks arenesid kosmoseohutuse ja elektroonika tagamine algusest peale äärmuslike usaldusväärsuse piirangute tõttu remondi võimatuse ja missiooni ebaõnnestumise kõrgete kulude tõttu. Varased kosmoseprogrammid töötasid agentuurispetsiifiliste töökindluse ja koondamise doktriinide, mitte ametlike tarkvarastandardite alusel. NASA ja kaitseagentuurid rõhutasid kiirguse kõvenemist, riistvaralist koondamist ja konservatiivseid disainimarginaale. Kosmoselaevad on algusest peale kasutanud rikete tuvastamise, isoleerimise ja taastamise (FDIR) tehnikaid.

Üldiselt on ohutusstandardid jälginud elektrooniliste süsteemide tarbimise suurenemist.

Nagu 2. peatükis arutatud, töötavad kõik need süsteemid juhtimisstruktuuri all, kus valideerimis- ja kontrollitehnoloogia seob tehnilise maailma juhtimisstruktuuriga. Nende protsesside võimaldamisel on kriitilise tähtsusega elektroonilise disaini automatiseerimise (EDA) valdkond. EDA viitab tarkvaratööriistadele ja töövoogudele, mida kasutatakse pooljuhtseadmete ja elektroonikasüsteemide projekteerimiseks, kontrollimiseks ja tootmiseks ettevalmistamiseks. Kiibi tasemel algab voog tavaliselt süsteemi arhitektuuri ja spetsifikatsioonidega, millele järgneb eraldi, kuid koonduv analoog- ja digitaalkujundusvoog. Digitaalses disainis kirjeldavad insenerid funktsionaalsust riistvara kirjelduskeelte (HDL) (nt Verilog või VHDL) abil, simuleerivad funktsionaalse korrektsuse tagamiseks, sünteesivad loogikaväravateks ja teostavad füüsilise paigutuse loomiseks koha ja marsruudi. Sellele järgneb staatiline ajastuse analüüs, võimsuse analüüs, signaali terviklikkuse kontroll ja üha enam formaalne kontrollimine ja funktsionaalse ohutuse valideerimine (nt ISO 26262 kontekstis). Analoog-/segasignaali kujunduses on voog seadme- ja paigutuskesksem: skemaatiline püüdmine, SPICE-taseme simulatsioon (nurk, Monte Carlo, müra, mittevastavus), paigutus hoolika parasiitide eraldamisega ja iteratiivne kontrollimine (LVS/DRC). Täiustatud sõlmedes häguneb piir analoog- ja digitaalse vahel segasignaaliga SoC-des, mis nõuab tihedat koossimuleerimist ja domeenidevahelist kontrolli.

Kui räni disain on valmis, laieneb voog paketikujundusele, mis on muutunud arenenud sõlmede ja heterogeensete integratsioonikontekstides (nt kiibid, 2.5D/3D integratsioon) üha kriitilisemaks. Pakendatud EDA tööriistad modelleerivad signaali terviklikkust, võimsuse terviklikkust, termilist käitumist ja mehaanilist pinget substraatide, vahekihtide ja konaruste vahel. Pakend ei ole enam passiivne kandja; see on stantsi elektriline pikendus, mis mõjutab ajastuse sulgemist, toiteedastust ja kiireid liideseid (nt UCIe, HBM). Lõpuks integreerivad plaadikujundustööriistad PCB tasemel skemaatilist püüdmist, komponentide paigutust, marsruutimist ja mitme füüsikalise analüüsi (signaali terviklikkus, EMI/EMC, termiline) analüüsi. Kiired digitaalsed süsteemid nõuavad impedantsi juhtimise ja ajastuse marginaalide säilitamiseks kiibi sisendi/väljundi, paketi evakuatsioonimarsruutimise ja PCB virnastamise ühisprojekteerimist. Kaasaegsed EDA töövood rõhutavad üha enam domeenidevahelist ühisdisaini – alates transistorist kuni plaadini –, sest jõudlus, töökindlus ja ohutus on kogu elektroonilise süsteemi, mitte ainult räni esilekerkivad omadused.

Elektroonilise disaini automatiseerimise (EDA) tööstus on väga kontsentreeritud ning domineerivad ülemaailmsed müüjad kontrollivad enamikku täiustatud pooljuhtide projekteerimise töövoogudest. Synopsys, Cadence Design Systems ja Siemens EDA (endine Mentor Graphics) pakuvad ühiselt täielikke tööriistaahelaid, mis hõlmavad digitaalset juurutamist, analoog-/segasignaali disaini, verifitseerimist, IP-integratsiooni, pakkimist, PCB-de disaini ja mitme füüsikalist analüüsi. Synopsys on eriti tugev digitaalsünteesi, verifitseerimise ja IP valdkonnas; Cadence'il on suured võimalused kohandatud/analoogdisaini ja süsteemianalüüsi alal; ja Siemens EDA on hästi tuntud PCB projekteerimise, kontrollimise ja tootmise integreerimise poolest. Lisaks kolmele suurele mängivad sellised ettevõtted nagu Ansys olulist rolli sisselogimisfüüsikas (signaali terviklikkus, toite terviklikkus, soojus-, elektromagnetilisus), samas kui uued mängijad keskenduvad tehisintellektiga toetatud disaini automatiseerimisele ja spetsiaalsetele valdkondadele, nagu fotoonika või kiibi integreerimine. Kõrge tehniline keerukus, sügav valukodade integreerimine (nt TSMC, Samsungi, Inteliga) ning arenenud sõlmedes nõutavad ulatuslikud teadus- ja arendusinvesteeringud loovad turule sisenemisel olulisi tõkkeid, tugevdades tööstuse oligopoolset struktuuri.

Elektroonika füüsiline testimine hõlmab vahvlisondi, pakendatud seadme kvalifikatsiooni, plaaditaseme valideerimist ja täielikku süsteemi stressitesti ning seda toetab kontsentreeritud globaalsete tarnijate komplekt. Pooljuhtide tootmistestis domineerivad automatiseeritud testimisseadmete (ATE) liidrid, nagu Teradyne ja Advantest, suure mahuga loogika-, mälu- ja SoC-testides, võimaldades parameetrilist iseloomustamist, funktsionaalset kontrolli ja kiiruse piiramist vahvli- ja lõpptestis. Töökindluse ja keskkonnakoormuse (HTOL, temperatuuritsükli, vibratsiooni ja niiskuse) tagamiseks kasutatakse kambrite pakkujaid, nagu ESPEC ja Thermotron, laialdaselt auto- ja kosmosetööstuse kvalifikatsioonivoogudes. Elektrilised mõõtmised ja vastavuse valideerimine seadme ja plaadi tasemel sõltuvad suuresti Keysight Technologiesi ja Rohde & Schwarzi mõõteriistadest, eriti kiirete liideste ja RF-süsteemide puhul. Ülevaatus ja tõrkeanalüüs, mis on täiustatud pakendamise ja heterogeense integratsiooni jaoks ülioluline, kasutavad sageli Nordsoni röntgen- ja akustilise mikroskoopia süsteeme, aga ka Thermo Fisher Scientificu materjalianalüüsi platvorme. Üheskoos toetavad need müüjad füüsilist valideerimiskihti, mis täiendab disaini kontrollimist, tagades jõudluse, töökindluse ja ohutuse enne missioonikriitilistes rakendustes kasutuselevõttu.

Joonis 1

Teine valitsemise oluline aspekt on jagatud ressursside haldamine. Mehaanikamaailma puhul tähendab see seadusi ja eeskirju transpordis seoses liiklusseaduste ja liiklustaristuga. Elektroonikas tähendab see jagatud sagedusspektri ja terviseohutuse küsimuste haldamist. Ühiskasutuseks oli USA-s esmaseks õiguslikuks aluseks 1934. aastal vastu võetud kommunikatsiooniseadus, millega loodi regulaator (Federal Communications Commission [FCC]). FCC haldab raadiospektrit (joonis 1) mitmete regulatiivsete ja tehniliste meetmete abil, et tagada selle tõhus ja häiretevaba kasutamine. See eraldab konkreetsed sagedusalad erinevatele teenustele, nagu ringhääling, mobiilside, satelliit, avalik turvalisus ja amatöörraadio, lähtudes riiklikest vajadustest ja rahvusvahelistest lepingutest. FCC väljastab litsentse kommerts- ja mitteärilistele kasutajatele, kehtestades võimsuspiirangute, levialade ja töötingimuste tingimused. Samuti korraldab see spektroksjoneid, et määrata sagedusi kommertskasutuseks (nt 5G), reserveerides samal ajal osa avalike teenuste jaoks ja litsentseerimata kasutusteks, nagu WiFi.

Lisaks jõustab FCC eeskirjad kahjulike häirete vältimiseks, koordineerib spektri jagamise ja ümberjagamise jõupingutusi ning juhib selliseid algatusi nagu dünaamiline juurdepääs spektrile ja sagedusribade ümberjaotamine, et kohaneda muutuvate tehnoloogiliste nõudmistega. Nende standardite jõustamiseks nõuab FCC, et paljud seadmed läbiksid testimise ja sertifitseerimise, enne kui neid saab Ameerika Ühendriikides turustada või müüa. Seda protsessi viivad läbi FCC tunnustatud katselaborid, mida tuntakse akrediteeritud vastavushindamisasutustena (CAB), mis hindavad tooteid muu hulgas kohaldatavate 15. osa või 18. osa eeskirjade järgi. Sertifitseeritud seadmed peavad vastama emissiooni, häirekindluse ja erineeldumiskiiruse (SAR) piirangutele, kui need on kohaldatavad. Kui toode läbib testimise, esitab labor aruande telekommunikatsiooni sertifitseerimisasutusele (TCB), mis väljastab FCC ID ja annab loa toote müügiks. Need laborid mängivad olulist rolli vastavuse tagamisel, innovatsiooni toetamisel, säilitades samal ajal spektri terviklikkuse ja avaliku turvalisuse.

FCC osad 15 ja 18 erinevad peamiselt reguleeritava raadiosagedusliku (RF) kiirguse tüübi ja eesmärgi poolest. 15. osa reguleerib seadmeid, mis tahtlikult või tahtmatult kiirgavad raadiosageduslikku energiat sidepidamiseks, nagu Wi-Fi ruuterid, Bluetoothi ​​seadmed ja arvutid. Need seadmed ei tohi põhjustada kahjulikke häireid ja peavad aktsepteerima litsentsitud kasutajate häireid. Seevastu 18. osa reguleerib tööstuslikke, teaduslikke ja meditsiinilisi (ISM) seadmeid, mis kiirgavad raadiosageduslikku energiat mitte suhtlemiseks, vaid füüsiliste funktsioonide (nt kuumutamine, keevitamine või meditsiiniline ravi) täitmiseks – näiteks mikrolaineahjud ja RF-diatermiamasinad. Kuigi mõlemad osad piiravad elektromagnetilisi häireid, töötavad 15. osa seadmed rangemate emissioonipiirangutega, kuna need on sidesagedusalade läheduses, samas kui osa 18 seadmetel on määratud ISM-i sagedusaladel lubatud suurem emissioon. Lisaks jälgivad 18. osa seadmete tervise- ja ohutusnõudeid tavaliselt teised agentuurid, nagu FDA või OSHA, samas kui FCC keskendub häirete leevendamisele.

Joonis 2

Elektromagnetilise testimise võtmeinstrument on kajavaba kamber (joonis 2). Kajavaba kamber on spetsiaalne heli- ja raadiolaineid neelav korpus, mis on loodud peegelduste ja väliste häireteta keskkonna loomiseks. Selle seinad, lagi ja põrand on tavaliselt vooderdatud kiilukujuliste vaht- või ferriitplaatidega, mis neelavad sõltuvalt rakendusest elektromagnetilisi või akustilisi laineid. Raadiosageduse (RF) testimiseks on kamber valmistatud juhtivatest materjalidest (nt teras või vask), et moodustada Faraday puur, mis isoleerib selle välistest RF-signaalidest. Akustilistes kambrites kõrvaldab heli neelav vaht kaja ja simuleerib vabavälja tingimusi. Kajakambrid on kriitilise tähtsusega sellistes tööstusharudes nagu telekommunikatsioon, kaitse, lennundus ja olmeelektroonika, kus neid kasutatakse antenni jõudluse, elektromagnetilise ühilduvuse (EMC), emissioonide vastavuse, radarisüsteemide või heliseadmete testimiseks kõrgelt kontrollitud ja korratavates tingimustes. Kamber tagab, et testmõõtmised kajastavad ainult testitava seadme (DUT) omadusi ilma keskkonnamõjudeta.

Kogu riistvara kõigis huvipakkuvates valdkondades (maa-, õhu-, mere-, kosmoses) peab vastama FCC standarditele ning inimkontaktide korral FDA tervise- ja ohutusstandarditele!

Lõpuks, testimislaborid ja teenindusorganisatsioonid mängivad olulist rolli elektroonika sertifitseerimisel vastavalt riiklikele ja rahvusvahelistele standarditele, eelkõige ohutuse, elektromagnetilise ühilduvuse (EMC), keskkonnakindluse ja töökindluse osas. Ülemaailmsed vastavushindamisfirmad, nagu UL Solutions, TÜV SÜD, Intertek ja Bureau Veritas, pakuvad kolmandate osapoolte testimist ja sertifitseerimist sellistele standarditele nagu IEC 61000 (EMC), IEC 62368 (tooteohutus), ISO 26262 (autode funktsionaalne ohutus), DO-160 (aerospace-testing (keskkonnatingimused)). Need organisatsioonid haldavad akrediteeritud laboreid (sageli ISO/IEC 17025 sertifikaadiga), mis viivad läbi emissioonide ja häirekindluse testimist, termotsüklit, vibratsiooni, sissepääsukaitset (IP) ja ohutushinnanguid, mis on vajalikud CE-märgistuse, FCC volituse, autode AEC kvalifikatsiooni ja muude regulatiivsete kinnituste jaoks. Kõrgelt reguleeritud sektorites – auto-, lennundus-, meditsiini- ja tööstussektoris – pakub sõltumatu labori valideerimine mitte ainult vastavustõendeid, vaid ka vastutuse leevendamist ja turulepääsu tagamist, muutes standarditel põhineva testimise oluliseks sillaks inseneri valideerimise ja kommertskasutuse vahel.

Tootearenduses keskendutakse esmalt funktsionaalsusele ja diferentseeritud väärtusele. Nagu juhtimisosades arutatud, on järgmine etapp tagada, et toode vastaks ohutuse ja ühiskasutusega seotud asjakohastele regulatiivsetele raamistikele. Viimane etapp ja võib-olla kõige olulisem etapp on toote järjepidev tarnimine ja toetamine turul. Toote järjepidevaks tarnimiseks tuleb juhtida tarneahelat, mis juhib toote edasist tarnimist. Lisaks toimub kliendi tootega suhtlemisel vastupidine voog, mis hõlmab parandamist, diagnostikat ja enamikus olukordades ohutut kõrvaldamist.

Enamiku toodete puhul on mehaaniliste komponentide tarneahelal, hooldusel ja kalibreerimisel hästi välja kujunenud rikkalik ajalugu. Nagu arutatud, on lähiajalugu näinud pooljuhtide suurt infusiooni. Supply Chain Management (SCM) viitab hanke-, tootmis-, logistika- ja turustusprotsesside strateegilisele koordineerimisele, et tagada materjalide ja süsteemide õigeaegne ja kulutõhus tarnimine [61]. Tarneahela nõukogu (SCC) välja töötatud SCOR-mudel on tarneahelate kavandamise ja hindamise laialdaselt kasutatav raamistik [62].

Igas etapis on integreeritud digitaalsed tööriistad ja reaalajas analüütika, et tagada tarnekindlus ja jõudluse jälgitavus.

Lean tarneahela juhtimine

Lean SCM keskendub raiskamise (aeg, materjal, kulud) minimeerimisele kogu ahela ulatuses, maksimeerides samal ajal kliendi jaoks väärtust [63]. Autonoomse süsteemi tootmisel hõlmavad Lean meetodid:

• Kanbani ajastamine komponentide õigeks tarnimiseks.
• Korduvate integratsioonietappide standardiseeritud tööprotseduurid.
• Testi tagasiside põhjal pidev täiustamine (Kaizen).

Lean mõtlemine parandab paindlikkust kiiretele tehnoloogilistele muutustele ja komponentide vananemisele reageerimisel.

Agiilsed ja digitaalsed tarneahelad

Hiljutised arengud on kasutusele võtnud Agile Supply Chain kontseptsioonid, mis rõhutavad kohanemisvõimet, nähtavust ja kiiret ümberkonfigureerimist [64]. Digital Supply Chain (DSC) tehnoloogiad, näiteks:

• IoT-põhine varade jälgimine
• Blockchain-toega jälgitavus
• AI-põhine nõudluse prognoosimine
• Toitevõrkude digitaalsed kaksikud

Riskijuhtimine ja vastupidavuse suurendamine

Tarneahela riskijuhtimine (SCRM) autonoomsetes süsteemides hõlmab häirete ennetavat tuvastamist ja leevendamist:

• Tarnijate mitmekesistamine: kriitiliste komponentide jaoks on mitu kvalifitseeritud tarnijat.
• Regionaliseerimine: kohalike tootmiskeskuste arendamine.
• Varude puhvrid: kõrge riskiga osade ohutusvarude säilitamine.
• Stsenaariumi simulatsioon: geopoliitilistele või pandeemiaga seotud sündmustele reageerimise modelleerimine.

AI-põhised SCRM-i tööriistad (nt Resilinc, Everstream) jälgivad nüüd tarnijate tervist ja logistika viivitusi reaalajas.

Tarneahela juhtimise väljakutsed

Keskkonna- ja eetilised piirangud Autonoomiaga seotud tehnoloogiate tarneahelad sõltuvad sageli andurites ja akudes kasutatavad materjalid, nagu liitium, koobalt ja haruldased muldmetallid. Eetiline hankimine, jätkusuutlikkus ja süsinikuaruandlus on nüüd tarneahela kriitilised mõõtmed [53].

Näide: eeskirjad, mille eesmärk on takistada mineraalide hankimist konfliktidest mõjutatud piirkondadest (eriti Kesk-Aafrika osades), keskenduvad konflikti mineraalidele, nagu tina, volfram, tantaal ja kuld (3TG). Ameerika Ühendriikides nõuab Dodd-Franki Wall Streeti reformi- ja tarbijakaitseseaduse jaotis 1502, et börsil noteeritud ettevõtted viiksid läbi hoolsuskontrolli ja avalikustaksid, kas need mineraalid pärinevad Kongo Demokraatlikust Vabariigist või sellega piirnevatest riikidest, samas kui Euroopa Liit jõustab sarnase tarneahela hoolsuskohustuse EL Conflict Miner määruse alusel. Need raamistikud sunnivad ettevõtteid jälgima tarneahelaid, rakendama riskide maandamise protsesse, mis on kooskõlas OECD juhistega, ja avalikult aru andma hankimistavadest, et vähendada relvastatud rühmituste rahastamist.

Tarneahela küberjulgeoleku tõus Kuna riist- ja tarkvara on omavahel seotud, on tarneahela küberjulgeolek muutunud kriitiliseks riskivaldkonnaks. Ohustatud püsivara või kloonitud mikrokontrollerid võivad tekitada turvaauke sügaval süsteemi riistvara usaldusjuures [54]. Nende ohtude leevendamiseks rakendatakse turvaraamistikke, nagu NIST SP 800-161, ISO/IEC 27036 ja küberturvalisuse küpsuse mudeli sertifikaat (CMMC).

Maasüsteemid:

Maapealsete süsteemide osas on autotööstus aja jooksul arenenud väga optimeeritud tarnijate struktuuriks koos originaalseadmete tootjatega (OEM), mitmetasandiliste tarnijate seeriaga (tabel 1).

Tabel 1. Lühike elutsükkel võrreldes LLC toodetega.

Lisaks, sarnaselt USA kaitseministeeriumiga, nõuavad autotööstuse ettevõtted traditsiooniliselt autotööstuse sertifikaadiga kiipe. Autotööstuse komponendid nõuavad ranget vastavust. (Passiivsed komponendid vajavad AEC Q200, ASILI/ISO 26262 klass B, IATF 16949 kvalifikatsiooni, samas kui aktiivsed komponendid, sealhulgas autokiibid, peaksid vastama standarditele AEC Q100, ASILI/ISO 26262 klass B, IATF 16949).

Õhus (lennundus)

Lennunduses arenes tarneahel regulatiivse sertifitseerimisasutuse ja süsteemiohutuse ümber ammu enne seda, kui kulude optimeerimine sai domineerivaks. Kuna lennukisüsteemid läksid üle analoog- ja tarkvaramahukatele arhitektuuridele, sundisid sellised standardid nagu DO-178 (tarkvara), DO-254 (riistvara) ja ARP4754 (süsteemi arendus) struktuurimuutust: 1. taseme tarnijad lõid sügavalt sisse sertifitseerimisartefakti, mitte ainult riistvara tarnimise. Sellised ettevõtted nagu Honeywell ja Raytheon Technologies (Collins Aerospace) ei tarni ainult komponente; nad on FAA/EASA nõutud kontrollitõendite, ohutusanalüüside ja jälgitavusmaatriksite kaasomanikud. See loob tihedalt seotud, pika tsükliga ökosüsteemi, kus sellised esindustootjad nagu Boeing toimivad süsteemide integreerijatena ning tarnijate vahetamine on sertifitseerimise taassertifitseerimise koormuse tõttu äärmiselt kulukas. Seetõttu arenes õhusõiduki mudel kõrgete tõketega, riskijagamise ja kindlustunde keskseks hierarhiaks.

Meremees

Meresõidukite tarneahelad on ajalooliselt keskendunud laevatehastele ja mehaanilistele süsteemidele, mille tasandite struktuur oli vähem formaalne kui kosmoselennundus. Järelevalve tuli pigem klassifikatsiooniühingutelt (nt DNV, ABS), mitte tsentraliseeritud regulaatoritelt, ja laevad olid sageli pooleldi kohandatud ehitusega. Kuna digitaalne navigatsioon, dünaamiline positsioneerimine ja nüüdne autonoomia on aga suurendanud süsteemi keerukust, on Tier-1 meretehnoloogia ettevõtted, nagu Kongsberg Gruppen ja Wärtsilä, liikunud lähemale lennundus-stiilis süsteemiintegratsiooni rollidele. Erinevalt autotööstuse mastaabipõhistest tasemetest arenesid meretasandid projekti integreerimise ning lipuriigi ja klassi nõuete järgimise ümber. Praegune autonoomia tõuge kiirendab üleminekut tarkvarakesksetele tarneahelatele, kuid tootmismaht on endiselt madal ja kohandamine kõrge, hoides merenduse struktuuriliselt killustatumalt kui kosmosesektorit.

Ruum

Kosmosetööstus sai alguse vertikaalselt integreeritud, valitsuse juhitud ökosüsteemist, kus domineerisid sellised esindusettevõtted nagu Lockheed Martin ja Boeing ning mille alusel sõlmiti kululisahinnaga lepingud selliste agentuuridega nagu NASA ja DoD. Usaldusväärsus ja missiooni tagamine, mitte kuluefektiivsus, määratletud tarnijasuhted ja spetsialiseerunud kiirguskindlad komponentide müüjad moodustasid niši Tier-2/3 kihid. Viimasel kümnendil on sellised ettevõtted nagu SpaceX aga uuesti kasutusele võtnud vertikaalse integratsiooni, et tihendada arendustsükleid ja kontrollida riske tõukejõu, avioonika ja käivitusoperatsioonide vahel. Tulemuseks on kaheharuline tarneahel: üks kõrge kindlusega riikliku turvalisuse ahel traditsiooniliste tasandistruktuuridega ja üks äriliselt agar NewSpace kett, mis ühendab COTS-i komponendid vertikaalselt integreeritud algarvudega. Sertifitseerimine ja missioonirisk, mitte mahuökonoomika, jäävad domineerivateks struktuurijõududeks.

Pooljuhtide ökonoomika:

Pooljuhtseadme ehitamise maksumuses domineerivad kolm vastastikku mõjuvat tegurit: disain (NRE), vahvlite valmistamine ja maht, mis kõik on tihedalt seotud litograafiasõlmega. Täiustatud sõlmedes (nt 5 nm, 3 nm) võivad ühekordsete inseneritööde (NRE) kulud maskide komplektide, EDA keerukuse, kontrollimise ja IP-integratsiooni tõttu ületada sadu miljoneid dollareid, samas kui vahvlite kulud tõusevad järsult EUV litograafia, rangema protsessikontrolli ja madalama algsaagi tõttu. Selle tulemusena on tipptasemel sõlmedel majanduslikult mõttekas ainult väga suurte tootmismahtude korral, kus fikseeritud disaini- ja maskikulusid saab amortiseerida miljonite ühikute kaupa; vastasel juhul muutub stantsi hind üle jõu käivaks. Vastupidi, küpsetel sõlmedel (nt 28 nm, 40 nm, 65 nm) on palju madalamad maskide ja vahvlite kulud, stabiilne saagikus ja lühemad arendustsüklid, mis muudab need majanduslikult atraktiivseks autotööstuses, tööstuses ja segasignaaliga rakendustes, kus jõudlustihedus on vähem kriitiline ja tootmismahud võivad olla pigem mõõdukad kui suured.

Tootmismahud erinevad täiustatud ja küpsete pooljuhtsõlmede vahel märkimisväärselt ökonoomsuse ja rakenduste kombinatsiooni tõttu. Täiustatud sõlmed (nt 5 nm, 3 nm) on tavaliselt õigustatud ainult väga suure mahuga turgudel, nagu lipulaevad nutitelefonid, andmekeskuste CPU-d/GPU-d ja tehisintellekti kiirendid, kus kümned miljonid või isegi sajad miljonid ühikud võivad amortiseerida tohutuid disaini- ja maskeerimiskulusid. Seevastu küpsed sõlmed (nt 28 nm, 40 nm, 65 nm ja rohkem) toetavad palju laiemat toodete mitmekesisust – autode MCU-sid, toitehalduse IC-sid, analoog-, RF- ja tööstuskontrollereid –, mida toodetakse sageli mõõdukates, kuid pikaealistes kogustes paljude aastate jooksul. Kuigi üksikud küpsete sõlmede programmid võivad aastas tarnida vähem ühikuid kui tipptasemel mobiilprotsessorid, on rakenduste kogumaht äärmiselt suur ja aja jooksul stabiilsem, mis selgitab, miks küpsete sõlmede võimsus on endiselt strateegiliselt oluline, hoolimata tööstuse keskendumisest tipptasemel skaleerimisele.

Tänapäeval on autotööstuse mahud piisavad unikaalsete pooljuhtide disainide juhtimiseks küpsetel sõlmedel, kuid üldiselt peavad kõik küberfüüsikalised valdkonnad kasutama standardseid osi.

Sisseehitatud protokollid (sh domeenispetsiifilised), andurid, täiturmehhanismid, pika- ja lähiside ning komponendid, navigeerimine ja positsioneerimine.

Riistvara vaatenurgast on funktsionaalsuse suur hüpe andurite kasutuselevõtt, maailma tõlgendamise arvutamine ja seejärel autonoomia tagamiseks käivitamine.

Maapind.

Graafika illustreerib autonoomsete sõidukite jaoks tavaliselt vajalikku mitmekihilist andurite pinu, mis ühendab täiendavaid andurimeetodeid, et saavutada koondamine, ulatuse katvus ja keskkonnakindlus. Pikamaaradar ja ettepoole suunatud kaamerad võimaldavad kõige pikematel vahemaadel sõidukite, takistuste ja tee geomeetria varajase tuvastamise. Pikamaaradar töötab usaldusväärselt vihmas, udus ja vähese valgusega tingimustes, mõõtes Doppleri nihete abil objekti kaugust ja suhtelist kiirust. Kaamerad seevastu pakuvad kõrge eraldusvõimega semantilist teavet – sõiduraja märgistused, liiklusmärgid, foorid ja objektide klassifikatsioon (auto vs jalakäija vs jalgrattur). Kuigi kaamerad on klassifikatsioonis suurepärased, on nad valgustuse ja ilmastiku suhtes tundlikumad, mistõttu on radari liiasus hädavajalik ohutuse seisukohalt oluliste funktsioonide jaoks, nagu adaptiivne püsikiiruse hoidja ja maanteel autopiloot.

Sõidukit ümbritsevas keskmises ja lühikeses tegevusulatuses suurendavad lühimaaradar ja LiDAR (valguse tuvastamine ja ulatus) olukorrateadlikkust. Lühimaaradar jälgib külgnevaid sõiduradasid, pimealasid ja ristliiklust. LiDAR pakub ülitäpseid 3D-punktipilvi, mis võimaldab täpselt kaardistada objekti kontuure, vaba ruumi ja teepiire. LiDAR on eriti väärtuslik täpseks lokaliseerimiseks ja takistuste tuvastamiseks linnakeskkonnas. Üheskoos toetavad need andurid selliseid funktsioone nagu sõiduraja vahetamine, ühendamine, ristmike juhtimine ja takistuste vältimine. Sõidukile väga lähedal pakuvad ultraheliandurid ja lähiväljakaamerad madala kiirusega manööverdamist. Ultraheliandurid tuvastavad äärekivid, parkimispiirded ja lähedalasuvad objektid mõne meetri raadiuses, võimaldades parkimisabi ja tihedat manööverdamist. Ruumilise vaatega kaamerasüsteemid toetavad 360-kraadist taju, mis tagab väikese kiiruse autonoomia ja automatiseeritud parkimise. Kõiki neid andurikihte katab sõiduki-kõik (V2X) või traadita side, mis laiendab taju vaateväljast kaugemale, vahetades teavet infrastruktuuri ja muude sõidukitega. Ühiselt tugineb autonoomsuspakett andurite sulandumisele, mis ühendab radari töökindluse, kaamera semantika, LiDAR-i täpsuse ja ultraheli läheduse, et luua usaldusväärne keskkonnamudel, mis sobib ohutuskriitiliste otsuste tegemiseks.

Arvutamise osas vajavad autonoomsed maapealsed sõidukid suure läbilaskevõimega madala latentsusega servade arvutusi, et töödelda multimodaalseid andurivooge (kaamera, radar, LiDAR, ultraheli) reaalajas. Arvutuspinn integreerib tavaliselt heterogeenseid arhitektuure – CPU-sid juhtimisloogika jaoks, GPU-sid/NPU-sid sügava närvivõrgu järelduste tegemiseks ja spetsiaalseid ohutusmikrokontrollereid, mis töötavad ISO 26262-ga ühilduva tarkvaraga. Need platvormid peavad kümnete millisekundite jooksul hakkama saama tajumisega (objekti tuvastamine, segmenteerimine), lokaliseerimisega (SLAM, andurite liitmine), ennustamisega (trajektoori prognoosimine) ja planeerimisega (tee optimeerimine) ja seda kõike autode soojus- ja võimsuspiirangute korral. Funktsionaalsete ohutuseesmärkide saavutamiseks kasutatakse sageli üleliigseid arvutusteid ja lockstep protsessoreid, kusjuures õhu kaudu värskendamise võimalus võimaldab pidevat täiustamist.

Õhus.

Õhus töötavad autonoomsed süsteemid põhinevad inertsiaalsete, õhuandmete, navigatsiooni- ja väliste tajuandurite liitmisel, et töötada 3D-s, kiires ja ohutuskriitilises keskkonnas. Põhiandurite hulka kuuluvad inertsiaalsed mõõtühikud (IMU) ja õhuandmesüsteemid (Pitot-torud, lööginurga labad) asendi ja aerodünaamilise oleku hindamiseks; mitme konstellatsiooniga GNSS globaalseks positsioneerimiseks; ja radari kõrgusemõõtjad täpse kõrguse maapinnast maandumisel. Takistuste ja liikluse tuvastamiseks kasutavad õhusõidukid üha enam ilmaradarit, ADS-B vastuvõtjaid (liiklusteadlikkus), elektro-optilisi/infrapuna (EO/IR) kaameraid ja mõnikord ka LiDAR-i tuvastamiseks ja vältimiseks (eriti UAV-des). Erinevalt maapealsetest süsteemidest peab õhusõiduki autonoomia hakkama saama hõredate maamärkide, suure sulgemiskiiruse ja suurte vertikaalsete ümbristega. Andurite töökindlus ja liiasus on kriitilise tähtsusega ning inertsiaalsete ja väliste navigatsiooniallikate ristkontroll, et täita lennuohutuse nõudeid.

Õhus leviv autonoomne arvutus seab prioriteediks determinismi, sertifitseerimise jälgitavuse ja veataluvuse tehisintellekti töötlemata läbilaskevõime ees. Lennukriitilised süsteemid peavad vastama nõuetele DO-178C (tarkvara) ja DO-254 (riistvara), mis rõhutab kontrollitud, piiratud täitmist ja ranget testimist. Arvutusplatvormid jaotatakse sageli aja- ja ruumieralduse abil (nt ARINC 653 arhitektuurid), tagades, et autonoomia funktsioonid ei saaks lennujuhtimisseadmeid segada. Võrreldes autotööstusega, võib õhuarvutus kasutada vähem tipptasemel räni, kuid rõhutab koondamist (kolmekordne modulaarne liiasus, ristseire protsessorid) ja deterministlikke reaalajas kasutatavaid operatsioonisüsteeme. Võimsuse ja kaalu piirangud on kriitilised ning soojusjuhtimine peab arvestama kõrgusega seotud jahutuspiirangutega.

Meremees.

Autonoomsed merelaevad töötavad peegeldavas, segaduses ja dünaamiliselt muutuvas pinnakeskkonnas. Peamiste andurite hulka kuuluvad mereradar (kaugmaatuvastus udus ja vihmas), GNSS globaalseks positsioneerimiseks ning kõrgekvaliteedilised IMU-d kursi ja liikumise stabiliseerimiseks. Automaatne identifitseerimissüsteemi (AIS) vastuvõtjad võimaldavad ühist veresoonte jälgimist, optilised kaamerad aga aitavad visuaalselt tõlgendada. Lähivälja teadvustamiseks tuleb järgida COLREGi merereegleid, laevadel kasutatakse maandamise vältimiseks optilisi kaameraid, termokaameraid (öine ja halva nähtavusega), sonari (maa-aluse takistuse tuvastamiseks) ja sügavusloode. Võrreldes maapealsete süsteemidega peab mereandur juhtima laine liikumist, vee mitmesuunalisi peegeldusi, soola korrosiooni ja väga pikki tuvastusvahemikke vähese infrastruktuuriga. Maa-alune autonoomia (nt AUV-d) sõltub veelgi akustilisest positsioneerimisest ja Doppleri kiiruslogidest, kuna GNSS pole vee all saadaval.

Mereautonoomia arvutamine töötab väiksema kiirusega, kuid väga muutuvas keskkonnas, sageli kombineerides pardal olevaid arvutusi kaldal asuvate või pilvepõhise süsteemiga. Laevad võivad kasutada tugevaid tööstusliku kvaliteediga protsessoreid, mis käitavad radari, AIS-i (automaatse identifitseerimissüsteemi), sonari ja kaamera sisendite jaoks taju- ja navigeerimispinu. Kuna meresüsteemid töötavad merel sageli pikemat aega, on energiatõhusus ja keskkonnamõju (sool, niiskus, vibratsioon) olulised. Autonoomiaarvutus peab integreerima marsruudi optimeerimise, kokkupõrke vältimise (COLREG-i vastavus) ja kaugseire, mõnikord osalise inimliku järelevalvega. Erinevalt kosmosetööstusest on sertifitseerimine vähem tsentraliseeritud, võimaldades arvutusarhitektuuris mõnevõrra suuremat paindlikkust.

Ruum.

Kosmose autonoomia toimib äärmuslikus, infrastruktuurivabas keskkonnas, kus navigeerimine ja olekuteadlikkus sõltuvad suuresti inertsiaalsest, optilisest ja taevaandurist. Satelliidid kasutavad ülitäpse asendi määramiseks tähejälgijaid, jämedaks orientatsiooniks päikeseandureid ja nurkkiiruse mõõtmiseks güroskoope. GNSS-vastuvõtjaid võib kasutada madalal Maa orbiidil, kuid süvakosmose missioonid tuginevad pardal olevale optilisele navigatsioonile (planeedi/tähtede jälgimine), LIDAR-i kõrgusemõõtjatele (planeedile maandumiseks) ja radarile pinna kaardistamiseks. Lähedustoimingud (nt dokkimine, lendamine) kasutavad nägemispõhist navigeerimist ja suhtelisi LIDAR- või radarandureid. Erinevalt maa-, õhu- või meresüsteemidest peavad kosmoseandurid taluma kiirgust, vaakumit ja äärmuslikke temperatuuritsükleid ning sageli töötavad nad side latentsuse tõttu minimaalse reaalajas inimese järelevalvega. Andurite sulandumine ruumis rõhutab rikete tuvastamist, graatsilist lagunemist ja pikaajalist töökindlust võrreldes töötlemata keskkonnatihedusega.

Ruumi autonoomia arvutamist piiravad kiirgustaluvus, toite saadavus ja side latentsus. Traditsioonilised kosmosesüsteemid kasutavad kiirguskindlaid protsessoreid, millel on madalam taktsagedus, kuid ülimalt kõrge töökindlus ja veaparandusvõime. Üha enam hõlmavad kommerts- ja NewSpace-missioonid suurema jõudlusega COTS-protsessoreid, millel on varjestus ja rikete tuvastamine, et võimaldada pardal asuvat AI-d navigeerimiseks, rikete haldamiseks ja autonoomsete toimingute jaoks (nt satelliidi konstellatsiooni haldamine või planeedi maandumine). Kuna sideviivitused võivad olla minutid või pikemad, peavad süvakosmosesüsteemid toetama autonoomset otsuste tegemist minimaalse maapealse sekkumisega. Arhitektuurse disaini valikutes domineerivad tõrketaluvus, graatsiline lagunemine ja pikk tööiga (sageli 10–20+ aastat).

Autonoomsed sõidukid seavad oma anduritele erakordsed nõudmised. Kaamerad, LiDAR-id, radarid ja inertsiaal-/GNSS-seadmed teevad enamat kui jäädvustavad keskkonda – need määravad piirid, mida sõiduk võib teada saada. Planeerija ei saa vältida ohtu, mida ta kunagi ei tajunud, ja kontroller ei saa kompenseerida latentsust või triivi, millest talle kunagi ei räägita. Seetõttu on andurite valideerimisel ohutuse tagamisel oluline roll: see iseloomustab seda, mida andurid näevad ja mida ei näe, kuidas need signaalid muudetakse masintõlgendatavateks üksusteks ja kuidas jääkpuudused levivad süsteemi tasemel riskiks kavandatud tööprojekti domeenis (ODD).

Praktikas ühendab valideerimine kolm kihti, mis peavad jääma tõendusjälje ühendatuks. Esimene on riistvarakiht, mis puudutab sisemist jõudlust, nagu eraldusvõime, ulatus, tundlikkus ja dünaamiline ulatus; välisgeomeetria, mis kinnitab iga anduri sõiduki raami külge; ja ajaline käitumine, sealhulgas latentsus, värinad, ajatempli täpsus ja kella triiv. Teine on signaali-taju kiht, kus töötlemata mõõtmised filtreeritakse, sünkroonitakse, sulatatakse ja teisendatakse kaartideks, tuvastamisteks, radadeks ja semantilisteks siltideks. Kolmas on töökiht, mis testib, kas tuvastussüsteem, mida kasutab autonoomiapinn, käitub kogu ODD-s vastuvõetavalt, kaasa arvatud haruldane valgustus, ilm ja liiklusgeomeetria. Usaldusväärne programm seob tõendid nende kihtide vahel struktureeritud ohutusjuhtumiga, mis on kooskõlas funktsionaalse ohutuse (ISO 26262), SOTIF-i (ISO 21448) ja süsteemitaseme tagamise raamistikega, esitades selgesõnalisi väiteid piisavuse ja teadaolevate piirangute kohta.

Üldine eesmärk ei ole ainult testide läbimine, vaid piirata ebakindlust ja säilitada jälgitavus. Meeskond otsib iga modaalsuse puhul kvantifitseeritud arusaama jõudluspiiridest: kuidas tuvastamise tõenäosuse ja vigade jaotus nihkub kauguse, nurga, peegelduvuse, ego kiiruse, oklusiooni, sademete, päikese nurga ja elektromagnetilise või termilise pingega. Need ümbrikud on kasulikud ainult siis, kui need on tõlgitud taju põhinäitajateks ja lõpuks ka ohutusnäitajateks, nagu minimaalne kaugus kokkupõrkeni, kokkupõrkeni kuluv aeg, missiooni õnnestumise määr ja mugavusindeksid. Sama oluline on jälgitavus alates süsteemitaseme tulemusest kuni tuvastustingimuste ja töötlemisvalikuteni – nii saab hilinenud tõrkeid diagnoosida kalibreerimise triivi, ajatempli viltu, rabeda maapinna filtreerimise, liiga enesekindla jälgimise või planeerija eeldusena takistuste kontuuride kohta. Valideerimisartefaktid – kalibreerimisaruanded, ajastuse analüüsid, parameetrite pühkimistulemused ja andmekogumi manifestid – peavad seetõttu olema korraldatud nii, et ohutusjuhtumis esitatud nõudeid toetaksid reprodutseeritavad tõendid.

Pink algab geomeetriast ja ajast. Sisemine kalibreerimine (kaamerate puhul: fookuskaugus, põhipunkt, moonutus; LiDARi puhul: kanalinurgad ja süütamise ajastus) tagab, et töötlemata mõõtmised on geomeetriliselt tähendusrikkad, samas kui väline kalibreerimine fikseerib jäiga kere teisendused andurite vahel ja sõiduki raami suhtes. Ajaline valideerimine määrab ajatempli täpsuse, andurite vahelise joonduse ja otspunktidevahelise latentsusaja eelarved. Väikesed ajastuse ebakõlad, mis tunduvad eraldiseisvalt healoomulised, võivad liitmise ajal põhjustada mitmemeetriseid ruumilisi lahknevusi, eriti kui jälgitakse kiiresti liikuvaid näitlejaid või kui egosõiduk pöördub. Kaasaegsed virnad sõltuvad sellest alusest: LiDAR-kaamera fusioonikonveier, mis projitseerib punktipilved kujutise koordinaatideks, nõuab nii täpseid väliseid andmeid kui ka alamkaadri tasemel ajalist joondamist, et vältida kummitatud servi ja valesti joondatud semantilisi silte. Kalibreerimine ei ole ühekordne sündmus; temperatuuritsüklid, vibratsioon ja hooldus võivad väliseid omadusi nihutada ning püsivara värskendused võivad muuta ajastust. Käsitlege kalibreerimist ja ajastust jälgitavate tervisesignaalidena perioodiliste enesekontrollidega – kaamerate tahvlimustrid, ahela sulgemise või NDT-mõõdikud LiDAR-i lokaliseerimiseks ja GNSS/IMU järjepidevuse testid –, et tabada triivi, enne kui see kahjustab ohutusvarusid.

Valideerimine peab ulatuma andurist kaugemale eeltöötlus- ja liitmistorustikuni. Maapinna eemaldamise, liikumise kompenseerimise, pimestamise käsitsemise, huvipakkuva piirkonna kärpimise või raja kinnitamise loogika puudutavad valikud võivad muuta tõhusat tajuvahemikku ja valenegatiivseid määrasid rohkem kui nominaalne riistvaravahetus. Seetõttu on kontrollitud parameetrite tundlikkuse uuringud hädavajalikud. Muutke ühte eeltöötlusparameetrit realistlikus vahemikus ja mõõtke, kuidas esimese tuvastamise kaugus, valehäire sagedus ja raja stabiilsus arenevad. Need uuringud on katserajal simulatsioonis ja kirurgiliselt odavad ning rabedus ilmneb varakult, enne kui see tundub liikluses ebamugava pidurdamise või möödalastud takistusena. Eelkõige võivad LiDAR-i maapinnafiltri lävede muudatused lühendada maksimaalset vahemaad, mille juures peatunud sõiduk tuvastatakse, kümnete meetrite võrra, vähendades reaktsiooniaega sekundeid ja suurendades riski – seda mõju tuleks mõõta ja siduda selgesõnaliselt ohutusvarudega.

Tajumise KPI-d tuleb määratleda järgnevaid otsuseid silmas pidades. Koondsed AUC-d on vähem informatiivsed kui sellised avaldused, nagu “peatatud sõiduki tuvastamise vahemik üheksakümne protsendi juures tagasikutsumisel kuiva päevavalguses linnatingimustes”. Lokaliseerimise tervist väljendatakse paremini aegrea mõõdikuna, mis on korrelatsioonis kaardi tiheduse ja stseeni sisuga, kui ühe RMS-i näitajana. Eesmärk on luua mõõdikuid, mida planeerija saab puhvrite ja käitumisviiside määramisel kaaluda. Need tajutaseme KPI-d tuleks siduda süsteemitaseme ohutusmeetmetega – minimaalne kaugus kokkupõrkeni, kokkupõrke esinemine, pidurdamise agressiivsus, roolimise sujuvus –, et saaks veenvalt näidata, et muutused anduris või eeltöötluses suurendavad või vähendavad riski.

Andurite kalibreerimise üks huvitavaid tagajärgi on nõue lisada toodete hooldusvõimalustesse kalibreerimisvõime.

Sõidetud miilid on nõrk asendusnäitaja kindlustunde tuvastamiseks. Oluline on see, milliseid olukordi kasutati ja kui hästi need riskimaastikku katavad. Stsenaariumipõhine valideerimine asendab ad hoc läbisõidu struktureeritud, parameetritega stseenidega, mis on suunatud stressitegurite tuvastamisele: madala kontrastsusega jalakäijad, osaliselt nihke nurga all suletud sõidukid, horisondilähedane päikesevalgus, keerukad peegeldavad taustad või vihmast tingitud sumbumine. Stsenaariumi kirjelduskeeled võimaldavad neid stseene määratleda jaotustena positsioonide, kiiruste, käitumise ja keskkonnatingimuste järgi, andes anekdootlike kohtumiste asemel pigem reprodutseeritavaid ja häälestatavaid teste. Ametlikud meetodid suurendavad seda protsessi võltsimise kaudu – automatiseeritud otsingud, mis leiavad aset konfiguratsioonides, mis kõige tõenäolisemalt rikuvad jälgitavaid ohutusomadusi, nagu minimaalse eraldusvõime säilitamine või sõiduraja vaba ruumi kinnitamine fikseeritud ooteaja jooksul. See formalism annab kaks dividendi: see muudab ebamäärased nõuded omadusteks, mida saab simulatsioonis ja õigel teel kontrollida, ning see toob esile täpsed piirtingimused, kus tundlikkus muutub hapraks, mis on täpselt need piirangud, millele ohutusjuhtum peab viitama ja toimingud peavad ODD-piirangutega leevendama.

Kõrge täpsusega in-the-loop tarkvara vähendab lõhe abstraktsete stsenaariumide ja juurutatud virna vahel. Virtuaalsed kaamerad, LiDAR-id ja radarid võivad juhtida tõelist tajutarkvara vahevara sildade kaudu, võimaldades haruldaste juhtumite kontrollitud reprodutseerimist, täpseid oklusioone ja värskenduste ohutut hindamist. Kuid virtuaalsed andurid on mudelid, mitte peeglid; renderdamistorustikud ei pruugi tabada radari mitmeteed, rulluva katiku moonutusi, märjal teel toimuvat peegeldust või konkreetse LiDAR-i täpset kiiret lahknemist. Seetõttu tuleks simulaatorit käsitleda kui instrumenti, mis vajab oma valideerimist. Praktiline lähenemine on paarisstsenaariumide säilitamine: testide alamhulga jaoks koguge reaalmaailma jooksud töötlemata logide ja keskkonnamõõtmistega ning seejärel rekonstrueerige need simulatsioonis võimalikult tõetruult. Võrrelge tuvastamise ajaskaalasid, raja stabiilsust ja minimaalse vahemaa tulemusi ning kvantifitseerige erinevusi aegridade mõõdikute abil, nagu dünaamiline ajakõverdus vahemaaprofiilidel, lahknevused esimese tuvastamise ajatemplites ja lahknevused raja ID-des. Eesmärk ei ole kustutada sim-to-real lõhet – ebareaalne eesmärk –, vaid seda piirata ja mõista, kus simulatsioon on konservatiivne versus optimistlik.

Kuna eelarved on piiratud, kasutab tõhus programm kahekihilist töövoogu. Esimene kiht kasutab reaalajas kiiremaid ja madalama täpsusega komponente, et uurida suuri stsenaariumiruume, kärpida mitteinformatiivseid piirkondi ja hinnata tingimusi hinnangulise ohutusmõju alusel. Teine kiht taasesitab kõige informatiivsemad juhtumid fotorealistlikus keskkonnas, mis voogesitab virtuaalse anduri andmed tegelikku autonoomia virna ja sulgeb juhtimisahela tagasi simulaatorisse. Mõlemad kihid logivad identseid KPI-sid ja ajaliselt joondatud jälgi, nii et tulemused on võrreldavad ja jälgimiskatsetele ülekantavad. See laiuse ja täpsuse kombinatsioon paljastab kiiresti nurgapealsed juhtumid, kvantifitseerib nende ohutuse tagajärjed ja annab lõpliku kinnituse jaoks valmis katseraja protseduurid.

Kaasaegne valideerimine peab hõlmama juhuslikke rikkeid ja pahatahtlikke häireid. Andureid võivad häirida võltsimised, küllastus või meisterdatud mustrid; radarid võivad häirida; GPS võib olla ummistunud või võltsitud; IMU-d triivivad. Käsitlege neid struktureeritud negatiivsete testide komplektidena, mitte järelmõtetena. Muutke võltsimise tihedust, kestust ja geomeetriat; süstida pimestamist või küllastust ohutute katseprotokollide raames; simuleerida või riistvaralisi radarihäireid; ja salvestage, kuidas taju KPI-d ja süsteemitaseme ohutusmõõdikud reageerivad. Eesmärk on kahekordne: kvantifitseerida degradeerumine – kui palju varem tuvastamine ebaõnnestub, kui sageli jäljed langevad – ja hinnata kaitsemehhanisme, nagu ristmodaalsuse järjepidevuse kontrollid, tervisekontrolli hääletamine ja tagasilöögid, mis vähendavad kiirust ja suurendavad edusamme, kui tuvastuskindlus langeb alla läve. See töö ühendab otse SOTIF-iga, paljastades jõudlusega piiratud ohud, mida võimendavad võistlevad tingimused, ja funktsionaalse ohutusega, näidates rikete korral ohutuid olekuid.

Valideerimine toodab andmeid, kuid kinnitus nõuab argumenti. Leiud tuleks korraldada nii, et iga kõrgeima taseme väidet – nagu tuvastuspinu piisavus määratletud ODD jaoks – toetaksid selgelt piiritletud alamväited ja tõendid: kalibreeritud geomeetria ja ajastus jälgitavates piirides; modaalsusespetsiifilised avastamise ja jälgimise KPI-d esinduslike keskkonnakihtide lõikes; kvantifitseeritud sim-to-real erinevused kriitiliste stseenide jaoks; stsenaariumi katvuse mõõdikud, mis näitavad, kus usaldus on kõrge ja kus rakendatakse operatiivseid leevendusi; ning töökindlus- ja turvatestide tulemused. Kui piirangud jäävad alles – nagu alati –, tuleks need selgelt välja öelda ja siduda leevendustega, olgu see siis vähendatud töökiirus tugeva vihma korral üle määratud sumbumistaseme, piiratud ODD, kus lumi kõrvaldab sõiduraja semantika, või selgesõnalisi hooldusintervalle ümberkalibreerimiseks.

Viimane pragmaatiline soovitus on käsitleda valideerimisandmeid esmaklassilise tootena. Töötlemata logid, konfiguratsiooni hetktõmmised ja töötlemisparameetrid peaksid olema versioonidega, päringutega ja taasesitavad. Reprodutseeritavus muudab valideerimise takistusest insenertehniliseks varaks: kui pärast väiksemat tarkvaravärskendust ilmneb taju regressioon, saab muudatuse kindlakstegemiseks uuesti esitada samu stsenaariume; kui pakutakse välja uus anduri mudel, saab tuvastamise mähiseid ja ohutusvarusid kiiresti ja usaldusväärselt võrrelda. Sel viisil muutub tajuandurite valideerimine distsiplineeritud, stsenaariumipõhiseks programmiks, mis seob füüsilise anduri jõudluse tajukäitumisega ja lõpuks süsteemitaseme ohutustulemustega, teavitades samal ajal pidevalt disainivalikuid, mis muudavad järgmise valideerimisvooru kiiremaks ja tõhusamaks.

Juhtimis- ja ohutusalased väljakutsed:

EMI:

Millised on tagajärjed autotootjatele? Kaasaegsetes sõidukites ei piirdu elektroonika enam teabe ja meelelahutuse või mootori juhtimisega – andurid, sidemoodulid ja kontrollerid on nüüd sõiduki ohutuse ja jõudluse seisukohalt kesksel kohal. Need süsteemid kiirgavad ja võtavad vastu elektromagnetenergiat, mis võib põhjustada elektromagnetilisi häireid (EMI), kui neid ei hallata õigesti. EMI võib kahjustada ohutuse seisukohalt olulisi rakendusi, nagu radaripõhine adaptiivne püsikiiruse hoidja või kaamerapõhine sõiduraja hoidmine. Sensortehnoloogiad toovad kaasa ainulaadsed EMI väljakutsed. Radari- ja lidariandurid, mis on juhiabi ja autonoomsete süsteemide jaoks kriitilise tähtsusega, ei pea mitte ainult vältima üksteisega seotud häireid, vaid peavad töötama ka FCC ja ülemaailmsete organite, nagu ITU, määratletud spektrieraldiste piires. Sarnaselt on kaamerad ja ultraheliandurid vastuvõtlikud läheduses asuva jõuelektroonika mürale, eriti elektrisõidukites. Halvasti varjestatud kaablitest või kõrgsageduslikest lülituskomponentidest tulenev EMI võib põhjustada andmete rikkumist, tuvastamata jätmist või signaali terviklikkuse halvenemist, mis tõstab nii funktsionaalse ohutuse kui ka regulatiivseid probleeme.

Side seisukohast peab FCC-ga ühilduva süsteemi projekteerimisel arvestama ka koostalitlusvõimet ja kooseksisteerimist. Bluetoothi, Wi-Fi, GPS-i, DSRC või C-V2X ja mobiilsidemoodulitega varustatud sõidukis nõuab raadiosagedusliku harmoonia säilitamine hoolikat sageduse planeerimist, varjestamist ja filtreerimist. FCC arenevad reeglid 5,9 GHz sagedusala kohta – osade ümberjaotamine DSRC-lt C-V2X-le – illustreerivad, kuidas reguleerivad raamistikud mõjutavad otseselt toote arhitektuuri. OEM-id peavad neid arenguid jälgima ja kinnitama, et nende sidemoodulid ei tööta mitte ainult heakskiidetud sagedusalades, vaid ei kiirga ka valesignaale, mis võiksid rikkuda FCC emissiooni piirmäärasid. FCC standardite täitmiseks, tagades samas süsteemi kõrge töökindluse, peavad autoarendajad arvestama EMI-ga seotud kaalutlused juba projekteerimistsükli alguses. Vastavuseelne testimine, EMI-teadlik PCB paigutus ja komponenditaseme sertifitseerimine aitavad kaasa sujuvamale teele regulatiivse heakskiidu saamiseks. Lisaks aitab FCC nõuete vastavusse viimine rahvusvaheliste autotööstuse elektromagnetilise ühilduvuse standarditega, nagu CISPR 25 ja UNECE R10, tagada ülemaailmse turu valmisoleku. Kuna sõidukid muutuvad üha enam tarkvarapõhiseks, ühendatud ja autonoomsemaks, on EMI haldamine nutika projekteerimise ja regulatiivse ettenägelikkuse abil innovatsiooni, ohutuse ja vastavuse kriitilise tähtsusega.

Nagu öeldud, keskenduvad FCC eeskirjad peamiselt elektromagnetilistele häiretele. Kui aga raadiosagedusenergia võib põhjustada terviseprobleeme, on kaasatud teised regulaatorid. FCC osa 18 seadmete (nt mikrolaineahjud ja meditsiinilised raadiosagedusseadmed) tervise- ja ohutuseeskirjadega tegelevad peamiselt agentuurid. Toidu- ja ravimiamet (FDA) jälgib kiirgust kiirgavaid elektroonikatooteid, et tagada nende vastavus inimeste kokkupuute ohutusstandarditele, eriti tarbeseadmete ja meditsiiniseadmete puhul. Tööohutuse ja töötervishoiu amet (OSHA) kehtestab raadiosagedusliku kokkupuute töökohal ohutuspiirangud, et kaitsta töötajaid, kes töötavad või töötavad selliste seadmete läheduses. Samal ajal viib Riiklik Tööohutuse ja Töötervishoiu Instituut (NIOSH) läbi uuringuid ja annab juhiseid ohutu raadiosagedusliku kokkupuute taseme kohta töökeskkonnas. Kuigi FCC reguleerib 18. osa seadmete raadiosageduskiirgust, et vältida häireid litsentsitud sidesüsteemidega, tugineb ta nendele teistele agentuuridele, et tagada, et seadmed ei kujutaks ohtu kasutajate ega töötajate tervisele.

Sõidukitootjate puhul ilmnevad 18. osa terviseprobleemid sellistes kasutusmudelites nagu juhtmevaba toiteallikas, kus SAR-i tase võib ohutust otseselt mõjutada.

Lõpuks, kuigi ülaltoodud näited pärinevad USA kontekstist, eksisteerivad sarnased struktuurid kõigis teistes geograafilistes piirkondades.

Viimasel kümnendil on õhusektor selle aluse peale kihistanud autonoomia ja täiustatud taju. Kaasaegsed mehitamata õhusõidukid ja täiustatud õhu liikuvuse platvormid integreerivad sensorite liitprotsessoreid, nägemissüsteeme ja tehisintellekti kiirendeid, et tuvastada ja vältida ning autonoomne navigeerimine. Kommertstranspordid hõlmavad täiustatud nägemissüsteeme, ennustavat hooldusanalüüsi ja üha enam tarkvaraga määratletud võimalusi. Erinevalt autotööstuse kiirest tarbijapõhisest skaleerimisest piiravad õhus levivat elektroonikat siiski sertifitseerimise ajakava, toote pikad elutsüklid (20–30+ aastat) ja äärmuslikud keskkonnanõuded (temperatuur, vibratsioon, kiirgus).

Autonoomsetele süsteemidele omased tarneahela väljakutsed

Autonoomsed süsteemid lisavad nii riistvara integreerimisele kui ka tarneahela juhtimisele mitu ainulaadset keerukuse taset:

Sõltuvus mitmest tarnijast Üks autonoomne platvorm võib kasutada komponente kümnetelt tarnijatelt – tehisintellekti kiirenditest GNSS-mooduliteni. Versioonikontrolli, püsivara värskenduste ja riistvara ühilduvuse haldamine selles ökosüsteemis nõuab mitmetasandilist koordineerimist ja pidevat konfiguratsiooni jälgimist [55].

Ohutuskriitilise tähtsusega sertifikaat Riistvara peab vastama ohutus- ja regulatiivsetele sertifikaatidele, näiteks:

• ISO 26262 (autode funktsionaalne ohutus)
• DO-254 (lennunduse riistvara disaini tagatis)
• IEC 61508 (tööstuslik funktsionaalne ohutus)

Iga sertifikaat lisab kulusid, aega ja dokumentatsiooninõudeid.

Reaalajas ja deterministlik jõudlus Integratsioon peab tagama madala latentsusaja ja deterministliku käitumise – see tähendab, et andurid, protsessorid ja täiturmehhanismid peavad suhtlema mikrosekundi täpsusega. See mõjutab riistvara valikut ja võrgu disaini [56].

Kiire tehnoloogia vananemine AI ja manustatud andmetöötlus arenevad kiiremini kui mehaanilised süsteemid. Komponendid vananevad enne platvormi elutsükli lõppu, sundides tarneahelaid haldama tehnoloogia värskendustsükleid ja komponentide pikaajalist saadavuse planeerimist [57].

Võimalikud lahendused ja parimad tavad

Olulisemad väljakutsed ja võimalikud lahendused on kokku võetud järgmises tabelis:

Tüüpiline tarneahela juhtimine (SCM) läheneb strateegilisele partnerlusele ja vertikaalsele integratsioonile

Paljud ettevõtted liiguvad vertikaalse integratsiooni poole, kontrollides mitut tarneahela etappi. Näiteks:

• Tesla toodab ise akupakette ja tehisintellekti kiipe.
• DJI projekteerib ettevõttesiseseid lennukontrollereid ja optilisi andureid.

Selline lähenemine suurendab varustuskindlust ja vähendab sõltuvust kolmandatest osapooltest, kuigi nõuab olulisi kapitaliinvesteeringuid.

Jätkusuutlikkus ja eetiline SCM

Tarneahelate jätkusuutlikkus keskendub süsiniku jalajälje vähendamisele, eetilise hankimise tagamisele ja ringlussevõetavuse edendamisele [65]. Peamised tavad:

• Keskkonnamõju elutsükli hinnangud (LCA).
• Elektroonikajäätmete suletud ahelaga taaskasutus.
• Tarnijate jätkusuutlikkuse auditid.
• ISO 14001 sertifikaat keskkonnajuhtimissüsteemidele.

Tõhus riistvara integreerimine ja tarneahela juhtimine on tihedalt läbi põimunud. Integreerimine sõltub kvaliteetsete ja ühilduvate komponentide olemasolust, samas kui tarneahelad tuginevad tugevale tagasisidele integreerimisest ja testimisest, et prognoosida vajadusi, vähendada raiskamist ja säilitada töökindlus. Kaasaegsed SCM-raamistikud, eriti Lean, Agile ja Digital mudelid, pakuvad strateegiaid autonoomiatööstuse muutmiseks vastupidavamaks, jätkusuutlikumaks ja reageerivamaks.

Selles peatükis selgitatakse, kuidas pooljuhtidest ja elektroonikast sai tänapäevaste autonoomsete süsteemide alus maa-, õhu-, mere- ja kosmoseplatvormidel. See näitab ühist ajaloolist mustrit: süsteemid algasid enamasti mehaaniliste või isoleeritud elektrooniliste funktsioonidega, seejärel arenesid digiteeritud juhtimise, võrku ühendatud alamsüsteemide ja üha autonoomsema töö suunas. Autode puhul tähendas see liikumist mootori juhtimiselt šassii, teabe- ja meelelahutussüsteemi, elektrifitseerimise ja ADAS-i juurde; lennukites, laevades ja kosmosesõidukites tähendas see sarnast üleminekut eraldiseisvatelt avioonikalt või navigatsioonivahenditelt integreeritud, ohutuskriitiliste digitaalsete arhitektuuride poole.

Peatükis rõhutatakse ka seda, et autonoomia ei seisne ainult andurite lisamises. See nõuab riistvara, arvutuste, valideerimise ja juhtimise täielikku ökosüsteemi. Erinevad domeenid tuginevad erinevatele andurite segudele – nagu radar, kaamerad, LiDAR, GNSS, IMU-d, sonar või tähejälgijad –, kuid kõik peavad andmed ühendama ja reaalajas ohututeks otsusteks teisendama. Kuna need süsteemid on ohutuse seisukohalt kriitilised, tõstab peatükk esile standardite, nagu ISO 26262, IEC 61508 ja DO-254, tähtsust koos valideerimisprotsessidega, mis hõlmavad kalibreerimist, ajastuse analüüsi, stsenaariumipõhist testimist, simulatsiooni ja struktureeritud ohutusjuhtumeid.

Lõpuks väidetakse peatükis, et edukad autonoomsed süsteemid sõltuvad enamast kui tehnilisest jõudlusest: nad peavad liikuma ka EMI regulatsioonis, tervise- ja ohutusjärelevalves ning vastupidavates tarneahelates. Arutelu hõlmab FCC spektri- ja heitkoguste vastavust, elektromagnetilise ühilduvuse testimist ja akrediteeritud laborite rolli ning seejärel käsitletakse tarneahela probleeme, nagu komponentide nappus, küberturvalisus, sertifitseerimiskoormus, eetiline hankimine ja tehnoloogia vananemine. Peamine järeldus on see, et autonoomsed süsteemid ei ole lihtsalt arenenud masinad – need on keerulised, tihedalt integreeritud tooted, mille edu sõltub kooskõlastatud edusammudest elektroonika, tuvastuse, ohutuse, valideerimise ja tarneahela juhtimise vallas.

Mis on Tarkvara?

Programmeeritav riistvara ja tarkvarasüsteemide tekkimine

Eelmises peatükis tutvustati elektroonilist riistvara ja elektroonikakomponentide rolli süsteemi funktsionaalsuse juurutamisel. Riistvara füüsiline olemus ja mehaaniliste, elektriliste ja loogiliste valdkondade projekteerimise keerukus seab aga põhimõttelised piirangud kiirusele ja paindlikkusele, millega saab uusi süsteemivõimalusi arendada. Nende piirangute lahendamiseks arenesid riistvaraplatvormid pärast valmistamist programmeeritavuse toetamiseks. See programmeeritavus võimaldab eraldada füüsilise teostuse ja funktsionaalse käitumise, võimaldades süsteeme kohandada ilma aluseks olevat riistvara ümber kujundamata.

1. Konfiguratsioon: paljudes kaasaegsetes süsteemides saab riistvarakomponente pärast räni valmistamist konfigureerida, et toetada mitut töörežiimi või tootevarianti. Näiteks saab selliseid parameetreid nagu siini laiused, vahemälu suurused või funktsioonikomplektid valida konfiguratsiooniregistrite või püsivara poolt juhitavate sätete kaudu.
2. Riistvarafunktsioonide realiseerimine: teatud riistvaraplatvormid toetavad riistvara funktsionaalsuse ränijärgset realiseerimist programmeeritavate loogikastruktuuride kaudu. Kanooniline näide on Field Programmable Gate Array (FPGA), mis võimaldab disaineritel pärast tootmist rakendada kohandatud digitaalseid vooluahelaid. Need seadmed on programmeeritud kasutades riistvara kirjelduskeeli (HDL), nagu Verilog või VHDL, ning neist on saanud manustatud süsteemide, prototüüpide ja spetsialiseeritud andmetöötluse aluseks.
3. Programmeeritavad protsessorid: sellesse kategooriasse kuulub suur hulk salvestatud programmide arvutusmootoreid, mis põhinevad von Neumanni arhitektuuril, sealhulgas mikroprotsessorid ja mikrokontrollerid. Ajalooliselt programmeeritud montaažikeeles, on need seadmed nüüd peamiselt programmeeritud kõrgetasemeliste keelte, näiteks C, abil koos kõrgema taseme abstraktsioonidega keerukamates süsteemides.

Need programmeerimisparadigmad tutvustavad mitmeid olulisi süsteemitasandi kaalutlusi:

1. Arendusökosüsteem: Programmeeritavus eeldab toetavat tarkvaraarenduse tööriistaahelat, sealhulgas kompilaatoreid, koostajaid, linkereid ja silujaid. See arendusökosüsteem muutub süsteemi lahutamatuks osaks ning seda tuleb hooldada, valideerida ja toetada kogu toote elutsükli jooksul.
2. Toote elutsükkel: Ajalooliselt viidi süsteemi programmeerimine läbi tootmise ajal, mille tulemuseks oli suures osas staatiline ja hästi sisustatud toode. Kasutuselevõtujärgne ümberprogrammeerimine oli suhteliselt haruldane, märkimisväärsete eranditega sellistes valdkondades nagu kosmosesüsteemid. Seevastu kaasaegsed süsteemid toetuvad üha enam väliuuendustele ja pidevale tarkvara arengule, muutes põhjalikult elutsükli juhtimist.
3. Välisseadmed ja ühendused: Standardiseeritud riistvaravälisseadmete abil suurendati veelgi süsteemi paindlikkust. Need seadmed integreerivad mehaanilisi, elektrilisi ja arvutuslikke funktsioone ning suhtlevad täpselt määratletud ühendusstandardite (nt PCI ja USB) kaudu. See modulaarsus võimaldab süsteemide laiendatavust ja koostalitlusvõimet.

Programmeeritava riistvara mõiste arenes märkimisväärselt edasi 1960. aastatel, kui võeti kasutusele IBM System/360, mis vormistas stabiilse arvutiarhitektuuri mõiste. See areng tähistas kriitilist üleminekut seadmepõhiselt disainilt platvormipõhisele andmetöötlusele ja tutvustas mitmeid püsivaid omadusi:

1. Abstraktsioon ja ühilduvus: Arvutiarhitektuurid säilitasid põhilise von Neumanni mudeli, mis sisaldab mitut abstraktsioonirakendust. See abstraktsioon võimaldas tagasiühilduvust, võimaldades ühe põlvkonna riistvara jaoks välja töötatud tarkvara tulevastes süsteemides käivitada. Selle tulemusel võivad jõudluse paranemist soodustada pooljuhtprotsesside ja mikroarhitektuuri edusammud, ilma et oleks vaja muuta rakendustarkvara.
2. Operatsioonisüsteemid: Stabiilse riistvaraabstraktsiooni olemasolu võimaldas arendada kõrgema taseme süsteemitarkvara, nagu operatsioonisüsteemid, protsesside isoleerimine, ajastamine ja ressursside haldamine vormistati operatsioonisüsteemides. Need süsteemid pakkusid järjepidevat täitmiskeskkonda ning parandasid oluliselt programmeeritavust, teisaldatavust ja süsteemi kasutamist.
3. Võrgustiku loomine: kui arvutussüsteemid levisid, viis vajadus geograafiliselt hajutatud masinate vahelise suhtluse järele võrkude loomiseni. Kihilised abstraktsioonid – alates füüsilisest edastamisest kuni rakendusprotokollideni – võimaldasid usaldusväärset andmevahetust ning lõppkokkuvõttes toetasid hajutatud süsteemide ja globaalse ühenduvuse teket.

Alates arvutiarhitektuuride kasutuselevõtust 1960. aastatel on pooljuhttehnoloogia, süsteemikujunduse ja võrkude kiire areng ajendanud arvutusvõimekuse hüppelist laienemist. Need arengud on muutnud peaaegu kõiki kaasaegse ühiskonna aspekte läbi nn infotehnoloogia. Nende süsteemide programmeerimine, mis hõlmab konfiguratsiooni, juhtimist ja rakendusloogikat, on ühiselt tuntud kui tarkvara.

Avatud lähtekoodiga süsteemid on mänginud infotehnoloogia arengus muutvat rolli, kiirendades innovatsiooni, alandades turule sisenemise tõkkeid ja standardiseerides tarkvara infrastruktuuri heterogeensetes keskkondades. Põhiplatvormid, nagu Linux, Apache HTTP Server ning keeled ja ökosüsteemid, nagu Python ja GCC, võimaldasid globaalset koostööl põhinevat arendusmudelit, milles üksikisikud, akadeemilised ringkonnad ja tööstus said panustada jagatud tarkvaravirnadesse. See mudel soodustas kiiret iteratsiooni, läbipaistvust ja kaasaskantavust, võimaldades tarkvara skaleerida üksikutelt masinatelt pilvepõhiselt hajutatud süsteemidele. Avatud lähtekoodiga litsentsimine võimaldas ettevõtetel ehitada ka kommertstooteid jagatud infrastruktuuri peale, mille tulemusel tekkisid pilvandmetöötluse, andmeanalüütika ja tehisintellekti ümber terved ökosüsteemid. Selle tulemusel sai avatud lähtekoodiga tarkvarast kaasaegse IT nurgakivi, mis on aluseks veebiteenustest kõrgjõudlusega andmetöötluseni ning võimaldas uuendustempot, mida oleks olnud keeruline saavutada üksnes patenteeritud arendusega.

Kuigi IT-ökosüsteem ajendas tohutuid uuendusi ja ehitas uskumatuid võimalusi, ei saanud neid võimalusi küberfüüsilistes süsteemides otseselt kasutada. Küberfüüsiline tarkvara erineb tavapärasest manus- või ettevõttetarkvarast, kuna see töötab rangete reaalajas piirangute alusel ning vajab tugevat tõrketaluvust ja ohutuse järgimist. Tarkvara ajalooline kasutuselevõtt küberfüüsikalistes süsteemides järgis maa-, õhu-, mere- ja kosmosevaldkonnas erinevaid ajakavasid, kuid pikaajaline suundumus oli kõigil neljal juhul sama: tarkvara arenes kitsaste juhtimisfunktsioonide toetamisest keskseks koordineerivaks kihiks tuvastus-, otsustus-, suhtlus- ja käivitamises. Nende süsteemide varaseimas põlvkonnas oli enamik funktsioone mehaanilised, hüdraulilised, analoog- või elektromehaanilised. Digitaalse elektroonika arenedes hakati tarkvara kasutama juhtimistäpsuse parandamise, kaalu vähendamise, diagnostika toetamise ja paindlikkuse suurendamise viisina. Aja jooksul ei olnud tarkvara aga pelgalt täiustus ja muutus süsteemi toimimiseks hädavajalikuks. See nihe oli üks peamisi autonoomia võimaldajaid.

Maasüsteemides, eriti autodes, tekkis tarkvara praktilises tootmises 1970. aastatel ja 1980. aastate alguses, kui karmistatud heitgaaside reguleerimine sundisid tootjaid mikroprotsessoripõhise mootori juhtimise poole. Varajane autotööstuse tarkvara oli suhteliselt kitsa ulatusega, keskendudes süüte ajastusele, kütuse sissepritsele ja mootori juhtimisele. Kui elektroonika levis mitteblokeeruvateks piduriteks, veojõukontrolliks, turvapatjadeks, roolisüsteemiks, kere elektroonikaks ja teabe- ja meelelahutussüsteemiks, kasvas tarkvara sisseehitatud juhtimisloogikast hajutatud süsteemiks, mis töötab paljudes elektroonilistes juhtseadmetes. Sõidukisiseste võrkude, nagu CAN ja FlexRay, hilisem kasutuselevõtt laiendas veelgi tarkvara rolli, sest nüüd pidid juhtüksused vahetama andmeid ja koordineerima tegevust erinevate domeenide vahel, mitte töötama isoleeritud seadmetena. 2010. aastateks oli elektrifitseerimise ja ADAS-iga tarkvara muutunud tajust, energiahaldusest, diagnostikast, sidest ja sõiduki käitumisest lahutamatuks.

Õhusüsteemides sisenes tarkvara varem ja rangemate ohutusnõuete alusel, kuna avioonika seoti kiiresti navigatsiooni, stabiilsuse ja lennujuhtimisega. Varajane lennukielektroonika oli suures osas analoog- ja liittehnoloogia, kuid üleminek digitaalsele juhtimisele kiirenes 1970. ja 1980. aastatel, mis kulmineerus “fly-by-wire” süsteemide levikuga. NASA märgib, et tema F-8 Digital Fly-By-Wire lennukist sai 25. mail 1972 esimene lennuk, mis lendas täielikult elektroonilisest lennujuhtimissüsteemist, mis tähistas olulist pöördepunkti tarkvara aktsepteerimisel juhtimisahelas. Hilisemad arendused, nagu klaasist kokpitid, FADEC ja integreeritud avioonika, muutsid tarkvara keskseks mitte ainult juhtimise, vaid ka kuvarite, koondamise haldamise, rikete jälgimise ja missioonisüsteemide jaoks. Kuna tarkvara usaldati lennukriitiliste funktsioonide täitmisele nii varakult, töötasid õhus olevad süsteemid välja ranged tagamisraamistikud varem kui enamik teisi sektoreid.

Meresüsteemides võeti tarkvara kasutusele järk-järgult ja see näis sageli esmalt navigeerimise, tõukejõu jälgimise ja laevahalduse abivahendina, mitte laeva juhtimise vahetu tuumana. 1980. ja 1990. aastatel muutus tarkvara GPS-i integreerimise, elektroonilise kaardistamise, digitaalsete tõukejõu regulaatorite, häireseire ja võrgustandardite (nt NMEA 0183 ja NMEA 2000) kaudu üha olulisemaks. Kuna laevad võtsid kasutusele integreeritud sillasüsteemid ja integreeritud platvormihaldussüsteemid, omandas tarkvara integreeritavama rolli, ühenduvate radarite, seadmete, kaartide ja ohutuskaartide loomisel. jagatud konsoolidele ja koordineeritud töövoogudele. Meresektor liikus üldiselt aeglasemalt kui kosmose- või autotööstus madalamate tootmismahtude, pikkade laevade elutsüklite ja ajalooliselt tugevama sõltuvuse tõttu mehaanilistest ja inimkäitavatest süsteemidest. Siiski ilmnes sama alusmuster: tarkvara nihkus operaatorite abistamise asemel teabevoo ja kontrolli struktureerimisele üle laeva.

kosmosesüsteemides muutus tarkvara oluliseks väga varakult, sest kosmoseaparaadid pidid töötama piiratud või hilinenud inimsekkumisega. Isegi varased missioonid nõudsid juhtimiseks, juhtimiseks, telemeetria- ja rikete haldamiseks sisseehitatud digitaalloogikat. Apollo on oluline näide: NASA andmed kirjeldavad Apollo peamist juhtimis-, navigatsiooni- ja juhtimissüsteemi, mis on keskendunud Apollo juhtimisarvutile, muutes tarkvara 1960. aastate Kuuprogrammi kosmoselaevade käitamise missioonikriitiliseks osaks. Hilisematel aastakümnetel laienes kosmoseaparaadi tarkvara, et toetada hoiaku juhtimist, kasuliku koormuse toimimist, pardal olevat andmetöötlust, autonoomset rikete tuvastamist ja üha enam tarkvara määratletud missioonikäitumist. Kaasaegsed kosmosesüsteemid lisavad ümberkonfigureeritavat kasulikku koormust, autonoomset navigeerimist ja pardal olevat tehisintellekti, kuid ajalooline muster jääb pidevaks: kuna kosmosesüsteemid töötavad eemalt ja äärmuslike piirangute all, on tarkvara juba ammu olnud oluline mitte ainult mugavuse, vaid ka põhiülesannete ellujäämise ja autonoomia jaoks.

Kui tarkvarameetodid migreerusid traditsiooniliselt andmetöötluselt küberfüüsikalistesse süsteemidesse (CPS), tekkis tarkvara infrastruktuuri klass, mis haldab arvutuse ja füüsilise maailma vahelist tihedat seost. Selle evolutsiooni keskmes oli reaalaja operatsioonisüsteemide (RTOS) kasutuselevõtt, mis pakuvad deterministlikku ülesannete ajastamist, piiratud katkestuse latentsust ja prognoositavat ajastuskäitumist – omadused, mis on olulised andurite, täiturmehhanismide ja juhtahelatega suhtlemiseks. Erinevalt üldotstarbelistest operatsioonisüsteemidest on RTOS-id loodud tagama, et kriitilised ülesanded täidetakse rangete ajaliste piirangute raames, kasutades sageli prioriteedipõhist ennetavat ajastamist ja hoolikalt hallatud ressursside jagamist. RTOS-i tüüpiliste rakenduste hulka kuuluvad VxWorks, mida kasutatakse laialdaselt kosmose- ja kaitsesüsteemides; QNX, levinud auto- ja tööstusplatvormidel; ja FreeRTOS, mida kasutatakse laialdaselt manustatud ja asjade Interneti-seadmetes. Lisaks RTOS-i tuumadele virnastab CPS-i tarkvara üha enam kaasatud seadmedraivereid, suhtluse vahevara (nt sõnumijärjekorrad ja avaldamis-tellimisraamistikud, nagu DDS) ja riistvara abstraktsioonikihte (HAL), et eraldada rakendusloogika platvormipõhistest üksikasjadest. Need komponendid võimaldasid modulaarset tarkvaraarhitektuuri, säilitades samal ajal juhtimiseks ja ohutuseks vajaliku determinismi. Erinevates valdkondades, nagu maa-, õhu-, mere- ja kosmosesüsteemid, said RTOS-põhised arhitektuurid süsteemidisaini aluseks koos domeenispetsiifiliste kohandustega. Maasüsteemides standardiseerivad autoplatvormid tarkvarapakke, nagu AUTOSAR, kus RTOS-i ajakava toetab mootori juhtseadmeid (ECU), pidurisüsteeme (ABS) ja täiustatud juhiabisüsteeme (ADAS). Õhusüsteemides toetuvad avioonikaplatvormid, nagu Boeing 787, eraldatud RTOS-keskkondadele (mis põhinevad sageli VxWorksil), et täita rangeid ohutussertifikaadi nõudeid (nt DO-178C), tagades lennukriitiliste funktsioonide vahel ajalise ja ruumilise isolatsiooni. Meresüsteemides kasutavad integreeritud silla- ja navigatsioonisüsteemid (nt need, mida kasutatakse kaasaegsetel kommertslaevadel ja mereväelaevadel) reaalajas (sageli QNX-põhist) tarkvara, et koordineerida radari, GPS-i ja autopiloodi juhtimisahelaid selliste standardite kohaselt nagu IEC 61162 (NMEA). Kosmosesüsteemides kasutavad kosmoselaevad, nagu Mars Perseverance Rover, RTOS-platvorme, nagu VxWorks, et juhtida juhendamist, navigeerimist ja juhtimist keskkondades, kus kaugjuhtimine ja tõrketaluvus on olulised. Aja jooksul arenesid need süsteemid tihedalt seotud monoliitsetest rakendustest kihilisemate ja komponentsemate arhitektuurideni, mis hõlmasid standardiseeritud liideseid ja üha keerukamat vahevara. See areng pani aluse kaasaegsetele suundumustele, nagu tarkvaraga määratletud sõidukid, autonoomsed süsteemid ja hajutatud CPS-platvormid, kus tarkvara mitte ainult ei juhi füüsilisi protsesse, vaid võimaldab ka pidevaid värskendusi, kohanemisvõimet ja kõrgema taseme süsteemi intelligentsust.

Küberfüüsikalistes süsteemides (CPS) on avatud lähtekoodiga tarkvara roll olnud järkjärgulisem, kuid üha olulisem, eriti kuna süsteemid on muutunud keerukamaks, võrgustatumaks ja tarkvarapõhisemaks. Platvormid, nagu FreeRTOS, Zephyr ja vahevararaamistikud, nagu ROS, on võimaldanud laiemat juurdepääsu manustatud ja robotsüsteemide arendamisele, soodustades innovatsiooni sellistes valdkondades nagu autonoomsed sõidukid, tööstusautomaatika ja droonid. CPS-i avatud lähtekoodiga lähenemisviisid pakuvad eeliseid läbipaistvuse, paindlikkuse ja kogukonnapõhise valideerimise osas, mis on eriti väärtuslikud teadusuuringute ja prototüüpide loomise jaoks. Kuid nende kasutuselevõtt ohutuse seisukohalt kriitilistes valdkondades – nagu avioonika, autode ohutussüsteemid ja kosmosemissioonid – on nõudnud hoolikat integreerimist sertifitseerimisprotsesside, pikaajaliste tugimudelite ning rangete kontrolli- ja valideerimistavadega. Üha enam kerkivad esile hübriidmudelid, milles avatud lähtekoodiga komponendid moodustavad arendusplatvormide aluse, samas kui sertifitseeritud, domeenispetsiifilised kihid tagavad vastavuse ohutus- ja töökindlusnõuetele, peegeldades IT avatud innovatsioonimudeli ja küberfüüsikaliste süsteemide rangete tagatisvajaduste lähenemist.

Kuna tarkvara liikus nõuande- ja mugavusrollidelt suletud ahela juhtimiseks, tõrkehalduseks ja autonoomiaks, pidid ohutusstandardid nihkuma peamiselt riistvara töökindlusele keskendumisest tarkvara käitumise, arendusprotsessi, jälgitavuse ja kontrollitõendite käsitlemisele. Suur ajalooline samm oli järgmine: riistvara võis sageli analüüsida juhuslike rikete ja kulumismehhanismide alusel, kuid tarkvara tõi kaasa teistsuguse riski – nõuete vigadest tulenevad süstemaatilised vead, disainivead, juurutusvead ja ootamatud vastasmõjud. See sundis iga domeeni koostama standardeid, mis rõhutasid olelusringi rangust, nõuete jälgitavust, kontrolli sõltumatust, konfiguratsiooni juhtimist ja struktureeritud ohutusargumente, mitte ainult komponentide vastupidavust. IEC 61508 sai programmeeritavate elektrooniliste süsteemide laiaulatuslikuks funktsionaalse ohutuse võrdluspunktiks ja sisaldab 3. osas selgesõnaliselt tarkvaranõudeid, samas kui hilisemad domeenispetsiifilised standardid kohandasid seda loogikat oma töökeskkondadega.

Maapealsetes süsteemides, eriti autotööstuses, oli tarkvara ohutuse varane ajastu suhteliselt mitteametlik: originaalseadmete tootjad ja tarnijad kasutasid sisemist inseneridistsipliini, testimist ja FMEA-stiilis mõtlemist, kuid sõidukite tarkvarale kohandatud ühtset raamistikku ei olnud. Kuna sõidukid muutusid tarkvaramahukaks – esmalt mootori juhtimises, seejärel pidurdamises, roolis, turvapatjades, võrgus ja ADASis –, vajas tööstus standardit, mis käsitleks tarkvara osana täielikust ohutuse elutsüklist. See tuli ISO 26262 kaudu, mis avaldati esmakordselt 2011. aastal maanteesõidukite jaoks mõeldud IEC 61508 kohandusena. ISO 26262 tutvustas autode ohutuse terviklikkuse taset (ASIL), ohuanalüüsi ja riskide hindamist, elutsükli protsesse ja ohutusmeetmeid nii riist- kui ka tarkvara jaoks, lisades tarkvara tagatise sõidukite arendusse, mitte jättes selle hilises etapis testimisprobleemiks. Praktikas suunas standard autotööstusele tugevamate nõuete kavandamise, kahesuunalise jälgitavuse, turvalisema tarkvaraarhitektuuri, kontrollimise planeerimise ja tarkvara ametliku integreerimise süsteemitaseme ohutusjuhtumitesse.

Lennusüsteemides tekkisid tarkvara ohutusstandardid varem ja rangemalt, kuna tarkvara sisenes lennukriitilistesse funktsioonidesse varem. Kui digitaalsed lennujuhtimis-, navigatsiooni- ja avioonikakuvarid muutusid missiooni- ja ohutuse seisukohast kriitiliseks, ei saanud lennundus tarkvara käsitleda lihtsalt järjekordse insenerikihina. Seetõttu sai algselt 1981. aastal avaldatud DO-178 nii mõjukaks: see määratles õhus leviva tarkvara disainikindluse ja sidus arenduse ranguse funktsiooni kriitilisusega. Aja jooksul küpses see läbi DO-178B ja seejärel DO-178C 2011. aastal, mis jääb FAA poolt AC 20-115D kaudu tunnustatud tarkvaratagatise põhiraamistikuks. Õhutranspordisektori ajaloolise tähtsusega samm oli muuta tarkvara ohutus sõltuvaks mitte ainult testimisest, vaid dokumenteeritud eesmärkidest, elutsükli tõenditest, konfiguratsioonikontrollist, struktuursest katvusest, vajaduse korral tööriistade kvalifitseerimisest ja tarkvara tasemele vastavast kontrollist. Teisisõnu, lennundus liikus kõige varem ja selgemalt idee poole, et ohutut tarkvara demonstreeritakse distsiplineeritud tagamisprotsessi kaudu, mitte ainult näidates, et programm “paistab töötavat”.

Meresüsteemides oli areng aeglasem ja killustatum. Merejuhtimine keskendus ajalooliselt rohkem mehaanilisele terviklikkusele, koondamisele, merekõlblikkusele ja ettekirjutavatele seadmete reeglitele kui tarkvaraspetsiifilisele elutsükli tagatisele. Kuna laevad võtsid kasutusele integreeritud sillasüsteemid, dünaamilise positsioneerimise, digitaalse navigatsiooni ja autonoomsed funktsioonid, pidid klassifikatsiooniühingud nagu DNV, ABS ja Lloyd’s Register üha enam arvestama tarkvara kvaliteedi, kübervastupidavuse ja juhtimissüsteemide rikete käitumisega. Kuid erinevalt lennundusest ja autotööstusest ei lähenenud meresektor ühtse universaalselt domineeriva tarkvara ohutusstandardi järgi nii varakult. Selle asemel on see üldiselt tuginenud klassireeglitele, IEC-st tuletatud funktsionaalse ohutuse mõtteviisile, seadmete standarditele ja süsteemispetsiifiliste tagatiste tavadele. Seega on ajalooline liikumine merenduses toimunud seadmete heakskiitmise ja koondamise reeglitest tarkvarateadlikuma mudeli poole, kuid see on siiski vähem ühtne ja vähem protsessikeskne kui kosmose- või autotööstuses. See erinevus peegeldab sektori väiksemat tootmismahtu, erinevaid laevatüüpe, pikki elutsükkele ja vähem tsentraliseeritud sertifitseerimisstruktuuri. Peatükk, mida jagasite, kajastab seda hästi, märkides, et merejuhtimine on jäänud rohkem ettekirjutavaks ja tulemuspõhiseks kui protsessi tagamise põhiseks.

Kosmosesüsteemides arenes tarkvara ohutus äärmuslike missiooni tagamise piirangute tõttu, mitte ühe kaubandusliku sertifitseerimisviisi kaudu. Kosmoseprogrammid mõistsid varakult, et tarkvaravead võivad olla katastroofilised, kuna parandamine on keeruline või võimatu, sideviivitused on pikad ja missioonid on kallid. Pikka aega käsitleti ohutust agentuurispetsiifilise usaldusväärsuse doktriini, koondamise, konservatiivse disaini ja süsteemitehnoloogia distsipliini, mitte ühe tarkvara sertifitseerimisstandardi, nagu DO-178, kaudu. NASA enda tarkvara ohutusraamistik muutus selgemaks NASA-STD-8719.13 abil, mis anti esmakordselt välja 1997. aastal ja mida on pärast seda ajakohastatud; NASA kirjeldab seda kui ohutuse tagamiseks vajalike tegevuste täpsustamist agentuuri hangitud või arendatud tarkvarasse. Kosmosesektori ajalooline liikumine on seega olnud missioonipõhisest töökindluse praktikast ametlikumate tarkvara ohutustoimingute, dokumentatsiooni ja riskipõhise ranguse suunas. Võrreldes õhus olevate süsteemidega on sageli vähem rõhku tootesarja korduvaks kasutamiseks mõeldud sertifitseerimisel, vaid rohkem selle tagamisel, et missioonipõhised tarkvaraohud tuvastatakse, leevendatakse ja hallatakse osana laiemast süsteemiohutusest.

Tarkvara sisenes keerukatesse konstrueeritud toodetesse ammu enne, kui keegi midagi “tarkvara määratletud” teemast rääkis. Elektroonikatoodete esimeste põlvkondade puhul oli tarkvara väike, tihedalt seotud konkreetse riistvarafunktsiooniga ja seda käsitleti sageli peaaegu nagu püsivara: fikseeritud juhtkiht, mis põletati ROM-i või mida hooldas väike insenerimeeskond. Tootmine oli sel ajastul peamiselt riistvaradistsipliin. Kui disain oli külmutatud ja kvalifitseeritud, eeldati, et tarkvara püsib stabiilsena aastaid, mõnikord kogu toote eluea jooksul. Hooldatavus oli olemas, kuid enamasti defektide parandamise, teenusevärskenduste väljastamise ja asendusriistvaraga ühilduvuse säilitamise näol. Tarneahela fookus oli samamoodi füüsiline: pooljuhid, plaadid, pistikud ja mehaanilised osad domineerisid riskide ja planeerimise üle. Tarkvarasõltuvused olid piisavalt piiratud, et organisatsioonid said sageli sisemiselt kogu pinu aru saada. See hakkas muutuma, kui tooted said võrku ühendatud, funktsioonirikkad ja digitaalselt värskendatavad.

Alates 1980. aastatest kuni 2000. aastateni muutus tarkvara toote väärtuses palju suuremaks, eriti manussüsteemides, telekommunikatsioonis, kosmosetööstuses ja autoelektroonikas. See muutis tootestamise ühekordsest väljalasketegevusest pidevaks elutsükli probleemiks. Toode tuli nüüd turule tuua, värskendada, hooldada, turvata ja mõnikord ka ümber seadistada. Hooldatavusest sai enamat kui puhas kood või modulaarne disain; see tähendas versioonikontrolli riistvaravariantide lõikes, jälgitavust nõuetest juurutatud binaarfailideni, pikaajalist tuge vananevatele platvormidele ja võimet diagnoosida tõrkeid interakteeruvates alamsüsteemides. Samal ajal muutus tarkvara tarneahel keerukamaks. Enamasti sisemise koodi asemel sõltusid tooted üha enam kolmanda osapoole operatsioonisüsteemidest, vahevarast, protokollivirnadest, kompilaatoritest, teekidest, tarnija SDK-dest ja lõpuks avatud lähtekoodiga komponentidest. NIST kirjeldab nüüd tarkvara tarneahelat kui tarkvara tootmise ja tarnimisega seotud tegevuste kogumit, märkides, et selle terviklikkus sõltub nende tegevuste turvalisusest ja distsipliinist; kaasaegsed juhised rõhutavad selliseid tavasid nagu SBOM-id, müüja riskihindamine, haavatavuse haldamine ja turvalised arendusraamistikud. Ajalooliselt tähistab see suurt nihet: tarkvara ei olnud enam lihtsalt midagi, mida ettevõte kirjutas, vaid see, mida ta koostas, integreeris, pärandas ja pidevalt juhis.

Kaasaegne faas laiendab seda loogikat veelgi. Ühendatud toodetes, eriti sõidukites, on tarkvara nüüd peamine vahend eristamiseks, funktsioonide tarnimiseks ja isegi ärimudeli arendamiseks. Siin tulebki sisse tarkvaraga määratletud sõiduki (SDV) idee. Ajalooliselt ehitati sõidukid paljude funktsioonispetsiifiliste ECU-de ümber, mille riistvara ja tarkvara olid omavahel tihedalt seotud ning uus võimalus saabus tavaliselt alles uue mudeliaasta või riistvara ümberkujundamisega. SDV kontseptsioon peegeldab liikumist sellest paradigmast tsentraliseeritud või tsoonipõhise andmetöötluse, rikkalikumate abstraktsioonikihtide ja õhu kaudu värskendatavuse poole, nii et funktsioonid, jõudlus, kasutajakogemus ja isegi teatud platvormi käitumine võivad pärast sõiduki müümist areneda. Tööstusanalüütikud kirjeldavad seda nihet kui osa laiemast üleminekust autotööstuse E/E arhitektuuris, kus tarkvarast ja tsentraliseeritud andmetöötlusest saavad innovatsiooni ja pideva väärtuse loomise peamised võimaldajad. Ajaloolisest vaatenurgast on SDV pika kaare lõpp-punkt: tooted said alguse riistvarast, millel oli väike sisseehitatud koodi, neist said integreeritud süsteemid, mille edu sõltus tarkvara elutsükli haldamisest, ja nüüd mõistetakse neid üha enam riistvaras sisalduvate värskendatavate tarkvaraplatvormidena.

IT-põhist tarkvara kontrollitakse nõuetepõhise testimise, koodianalüüsi ja käitusaja valideerimise struktureeritud kombinatsiooni kaudu, mida täiendavad Carnegie Melloni ülikooli tarkvaratehnika instituudi metoodikate põhimõtted, nagu suutlikkuse küpsusmudeli integreerimine ja distsiplineeritud tarkvaratehnika praktikad. Kontrollimine algab selle tagamisega, et nõuded on täpselt määratletud, jälgitavad ja testitavad – kooskõlas CMMI rõhuasetusega nõuete haldamisel ja valideerimisel. Arendus toimub üksuse, integreerimise ja süsteemi testimise kaudu, mida toetavad vastastikused eksperdihinnangud, ametlikud kontrollid ja staatiline analüüs, mis peegeldab SEI keskendumist varajasele defektide eemaldamisele ja protsessidistsipliinile. Mõõtmisel ja analüüsil on võtmeroll, kusjuures mõõdikuid kogutakse defektide tiheduse, katvuse ja protsesside toimivuse hindamiseks. Konfiguratsioonihaldus tagab, et kõik artefaktid (kood, testid, nõuded) on versioonipõhiselt juhitavad ja reprodutseeritavad, samas kui protsesside küpsustasemed suunavad organisatsioone üha prognoositavamate ja optimeeritumate kontrollitavade poole. Pidevad integreerimiskonveierid automatiseerivad regressioonitesti ning kõrgema küpsusastmega keskkondades kasutatakse protsesside kvantitatiivset juhtimist ja põhjuslikku analüüsi, et süstemaatiliselt parandada kvaliteeti. Lõpuks laieneb kontrollimine toimingutele seire- ja tagasisideahelate kaudu, kehastades SEI filosoofiat protsesside pideva täiustamise kohta kogu tarkvara elutsükli jooksul.

Küberfüüsilise tarkvara valideerimine paneb suurt rõhku riistvara/tarkvara kaasverifitseerimisele, kasutades simulatsiooni- ja emuleerimistehnikate spektrit, et tagada õige käitumine enne füüsilises maailmas kasutuselevõttu. Varasematel etappidel hindavad mudeli-in-the-loop (MIL) ja tarkvara-in-the-loop (SIL) simulatsioonid juhtimisalgoritme ja tarkvaraloogikat keskkonna ja taimedünaamika matemaatiliste mudelite suhtes. Nendele järgneb riistvara-in-the-loop (HIL) lähenemisviis, kus tegelik juhtimistarkvara töötab siht- või tüüpilisel riistvaral, suhtledes samal ajal simuleeritud andurite, täiturmehhanismide ja füüsiliste protsessidega reaalajas – mida tavaliselt kasutatakse automootorite juhtimises, avioonika lennusüsteemides ja tööstusautomaatikas. Süsteemi keerukuse kasvades võimaldavad protsessor-in-the-loop (PIL) ja kogu süsteemi emulatsiooniplatvormid manustatud tarkvara ajastamist ja kinnitamist realistliku töökoormuse korral. Pooljuhtide ja täiustatud manustatud domeenides võimaldavad platvormid, nagu QEMU ja kaubanduslikud FPGA-põhised emulaatorid, tarkvara varajast käivitamist enne räni kättesaadavust. Nendes etappides ei keskendu valideerimine mitte ainult funktsionaalsele korrektsusele, vaid ka ajastuse determinismile, rikete käsitlemisele ja koostoimele füüsiliste protsessidega. See mitmekihiline lähenemisviis võimaldab järk-järgult riske vähendada, ületades lõhe abstraktsete mudelite ja reaalse maailma kasutuselevõtu vahel, toetades samal ajal küberfüüsikaliste süsteemide rangeid ohutus- ja töökindlusnõudeid.

Kokkuvõttes juhib domineeriv IT elektrooniline ökosüsteem riist- ja tarkvaraarenduse põhirütmi. Tunduvalt väiksema helitugevusega küberfüüsikalised süsteemid on pidanud selle domineeriva rütmiga kohanema järgmistel viisidel:

1. Riistvara vananemine ja töökindlus: IT-ökosüsteemis toimub tootearendus 18–24 kuu jooksul, samal ajal kui küberfüüsikaliste süsteemide tööiga on pikem kui viis aastat. See tõstatab nõude pooljuhtkomponentide tarneahela väga hoolika juhtimise järele.
2. Tarkvara ökosüsteem: operatsioonisüsteemid, kompilaatorid, avatud lähtekoodiga tarkvara, sidestandardid ja vahevara on pidevalt arenevad küberfüüsilised ökosüsteemid. Selleks on vaja spetsiaalset arhitektuuri, kus ohutuse seisukohalt olulised/reaalajas komponendid saaksid töötada koos IT-komponentidega (nt teabe- ja meelelahutussüsteemid).
3. Arenduskulud: täielikult kapseldatud küberfüüsikaliste toodete (nt autoplatvormid) traditsioonilised mudelid nihkuvad üha enam IT-väljalasketsüklile koos õhu kaudu toimuvate värskendustega.
4. Küberjulgeolek: Sidesüsteemide ja traditsioonilise IT-tarkvara kasutuselevõtt küberfüüsikalistes süsteemides on avanud rünnakupinna halbadele tegijatele.

Kokkuvõttes tähendab üleminek suures osas mehaanilistelt süsteemidelt tarkvaraga määratletud sõidukitele tohutut nihet disainis, tootmises, toes ja isegi seaduslikus omandis. Tarkvara litsentsitakse tavaliselt originaalseadmete tootjale ja seejärel lõpptarbijale.

Kaasaegsed autonoomsed süsteemid – alates isejuhtivatest autodest ja mehitamata õhusõidukitest (UAV) kuni mererobotite ja tööstuslike kaasrobotiteni – sõltuvad põhiliselt tarkvaraarhitektuuridest, mis on võimelised reaalajas tuvastama, tegema otsuseid ja juhtima. Kui mehaanilised ja elektroonilised komponendid määravad, mida süsteem saab teha, siis tarkvarapakk määratleb, kuidas see seda teeb – kuidas see maailma tajub, andmeid tõlgendab, tegevusi kavandab ja keskkonnaga ohutult suhtleb [66,67]. Autonoomiatarkvara erineb tavapärasest manus- või ettevõttetarkvarast mitmel kriitilisel viisil.

• See töötab rangete reaalajas piirangute alusel.
• See peab integreerima heterogeensete andurite andmed.
• See peab toetama tõrketaluvust ja ohutust.
• See toetab pidevat õppimist ja kohanemist tehisintellekti kaudu.
• See suhtleb füüsiliste süsteemide, ühendatud võrkude, servaseadmete ja pilveteenustega.

See ohutuskriitilise inseneri ja AI-põhise otsustusprotsessi kombinatsioon muudab autonoomiatarkvara tänapäevase andmetöötluse üheks kõige keerulisemaks valdkonnaks.

Autonoomiatarkvara peab saavutama neli peamist funktsionaalset eesmärki [68,69]:

• Taju: keskkonna tuvastamine ja tõlgendamine (LiDARi, radari, kaamerate, sonari jne kaudu).
• Lokaliseerimine: süsteemi täpse asukoha ja orientatsiooni hindamine maailmas.
• Planeerimine: selliste radade või käitumisviiside loomine, mis täidavad missiooni eesmärke, vältides samas takistusi.
• Kontroll: toimingute ohutu ja stabiilne teostamine, kompenseerides keskkonnamuutusi.

Kõik need eesmärgid vastavad autonoomia virna erinevatele tarkvarakihtidele ja moodulitele.

Need omadused juhivad arhitektuuriotsuseid ja raamistike valikut (nt ROS, AUTOSAR Adaptive, DDS).

Autonoomiatarkvara on kihiline, ühendades mitu tarkvaratehnoloogiat:

• Madala tasemega manustatud püsivara (reaalajas juhtimine ja draiverid).
• Keskvara- ja sideraamistikud (andmevahetus ja ajastamine).
• Kõrgetasemelised AI algoritmid (taju, otsuste tegemine).
• Järelevalve- või pilvetasandi süsteemid (pargihaldus, värskendused, andmeanalüütika).

Nende kihtide kombinatsioon moodustab autonoomia tarkvaravirna, mis võimaldab keerukat käitumist, säilitades samal ajal usaldusväärsuse. Autonoomsuse tarkvara määrav aspekt on selle sõltuvus vahevarast – raamistikest, mis haldavad protsessidevahelist sidet (IPC), andmete jaotust ja aja sünkroonimist hajutatud andmetöötlussõlmede vahel. Mõned laialdaselt kasutatavad standardid:

• ROS / ROS 2 (robotite operatsioonisüsteem): Modulaarne avaldamise ja tellimise side.
• DDS (Data Distribution Service): reaalajas, QoS-il põhinev sõnumite standard.
• MQTT / ZeroMQ: kerged protokollid pilve ja asjade Interneti integreerimiseks.

Täielik tarkvarapakk on tarkvarakomponentide, raamistike ja teekide kihiline kogum, mis töötavad koos, et pakkuda täielikku süsteemi funktsioonide komplekti. Iga kiht pakub teenuseid selle kohal olevale kihile ja sõltub selle all olevast kihist. Vahevara, mis on mitmekihiliste arhitektuuride oluline osa, tagab, et tarkvaravirna kõik kihid saavad teavet deterministlikult ja turvaliselt vahetada [70]. Autonoomsetes süsteemides võimaldab tarkvarapakk integreerida:

• Riistvara abstraktsioon (andurid, täiturid, arvutusüksused).
• Vahevara (side ja andmevahetus).
• Rakendustaseme moodulid (AI taju, planeerimine, juhtimine).
• Süsteemihaldus (diagnostika, simulatsioon, autopargi uuendused).

See on selgroog, mis võimaldab autonoomial toimida sidusa süsteemina, mitte lahtiühendatud moodulite kogumina (Quigley et al., 2009; Maruyama jt, 2016). Tehnilisest vaatenurgast määratleb tarkvarapakk, kuidas süsteemis on üles ehitatud funktsionaalsus, andmevoog ja juhtimine.

Modulaarsus ja abstraktsioon

Iga kiht eraldab keerukuse, pakkudes ülalolevale puhta liidese.

• Arendajad saavad muuta üht kihti (nt tajualgoritme) ilma madalamaid kihte (nt draivereid) muutmata.
• Võimaldab lihtsamat testimist, silumist ja taaskasutamist mitme sõiduki või rakenduse puhul.

Reaalajas ja deterministlik käitumine

Autonoomsed süsteemid toetuvad reaalajas reageerimisele. Virna arhitektuur tagab:

• Õigeaegne suhtlus taju, planeerimise ja kontrolli vahel.
• Deterministlik ajastamine RTOS-i tuumade või reaalajas Linuxi paikade abil [71].
• Mitme anduri andmevoogude sünkroonimine ajatempli ja ajatundliku võrgu (TSN) abil.

Koostalitlusvõime

Vahevara, nagu ROS 2 või DDS, standardib protsessidevahelise suhtluse. See võimaldab erinevate tarnijate tarkvaramoodulitel (nt ettevõtte A LiDAR-draiver ja ettevõtte B planeerija) koos töötada.

Tõrketaluvus ja koondamine

Virna kihilisus toetab ohutuse seisukohalt oluliste funktsioonide jaoks üleliigseid teid. Kui tajusõlm ebaõnnestub, võib varundusprotsess sujuvalt üle võtta, tagades vastupidavuse, eriti kosmose- ja autosüsteemides [72].

Pidev integreerimine ja simulatsioon

Kihiline disain võimaldab arendajatel:

• Integreerige tarkvarakomponente järk-järgult.
• Testige neid, kasutades riistvara-in-the-loopi (HIL) ja tarkvara ahelas (SIL) meetodeid.
• Kasutage simulaatoreid (nt CARLA, Gazebo, AirSim), et kinnitada ülemise kihi mooduleid ilma riistvara kahjustamata.

Juhtimine ja organisatsiooniline tähtsus

Tarkvaratehnoloogia juhtimise vaatenurgast pakub määratletud tarkvarapinn arendusprotsessi struktuuri ja juhtimist, mis annab järgmised peamised eelised: Tööjaotus. Meeskonnad võivad spetsialiseeruda kihtide kaupa – nt üks rühm tegeleb tajuga, teine ​​juhtimine, teine ​​vahevara. See paralleelselt arendab ja võimaldab kasutada domeenide teadmisi ilma häireteta.

Korduskasutatavus ja versioonikontroll Korduvkasutatavad moodulid ja API-d kiirendavad arendust. Sellised tööriistad nagu Git, Docker ja CI/CD torujuhtmed tagavad hajutatud meeskondade jälgitavuse, hooldatavuse ja kiired värskendused.

Skaleeritavus ja elutsükli haldamine Hästi struktureeritud pinu saab laiendada uute andurite või algoritmidega, ilma kogu süsteemi uuesti üles ehitamata. Elutsükli haldustööriistad (nt ROS 2 käivitussüsteemid, AUTOSAR Adaptive manifestid) säilitavad versioonide järjepidevuse ja sõltuvuse kontrolli.

Kvaliteedi tagamine (QA) ja sertifitseerimine Kihilised tarkvaravirnad muudavad kvaliteedikontrolli ja vastavusraamistike, näiteks ISO 26262 (autode ohutustarkvara), DO-178C (lennundustarkvara) või IEC 61508 (automaatika funktsionaalne ohutus) rakendamise lihtsamaks. Iga kihti saab valideerida eraldi, lihtsustades dokumentatsiooni ja sertifitseerimise töövooge.

Kulude ja riskide vähendamine Kui mitu projekti jagavad ühtset tarkvarapakki, langevad testimise, valideerimise ja hoolduse kulud märkimisväärselt. See lähenemisviis toetab kogu tööstust hõlmavaid algatusi, nagu AUTOSAR, mis standardib sõidukite tarkvara integreerimiskulude vähendamiseks.

Kihiline virn kui organisatsiooni plaan

Suurtes autonoomiaprojektides (nt Waymo, Tesla) toimib tarkvarapakk ka organisatsioonilise struktuurina. Meeskonnad on joondatud kihtidega:

• Taju meeskond tegeleb sensorite ühendamise ja arvutinägemisega.
• Planning & Control meeskond arendab käitumisloogikat ja trajektooride genereerimist.
• Süsteemide meeskond haldab vahevara ja andmete levitamist.
• Infrastruktuuri meeskond hooldab OS-i järge, simulatsioone ja DevOpsi torujuhtmeid.

Seega toimib tarkvarapinn nii tehnilise arhitektuuri kui ka koordineerimise ja vastutuse organisatsioonilise kaardina [73].

Reaalmaailma näide: ROS 2 kui kihiline virn

Roboti operatsioonisüsteem 2 (ROS 2) näitab, kuidas modulaarseid tarkvaravirnu rakendatakse:

• Rakenduskiht: navigeerimine, kaardistamine, tajusõlmed.
• Vahevara kiht: DDS andmevahetuseks, QoS konfiguratsioon.
• OS-i kiht: Linux või RTOS koos POSIX API-dega.
• Riistvara abstraktsioon: draiverid kaameratele, IMU-dele, LiDAR-idele.
• Ehitamise ja juurutamise kiht: CMake, Colcon, Docker reprodutseeritavuse tagamiseks.

Sellest kihilisest mudelist on saanud paljude akadeemiliste ringkondade ja tööstuse autonoomsete süsteemide alus — mobiilsetest robotitest autonoomsete sõidukiteni [74]).

Hästi määratletud tarkvaravirna eelised

Sisuliselt pole tarkvarapakk pelgalt tehniline artefakt – see on strateegiline võimaldaja, mis ühtlustab inseneriprotsesse, organisatsioonilist struktuuri ja autonoomsete platvormide pikaajalist jätkusuutlikkust. Autonoomia tarkvarapinu ning arendus- ja hooldusprobleeme käsitletakse järgmistes peatükkides.

Tarkvara elutsükkel määratleb kogu protsessi, mille käigus tarkvara luuakse, arendatakse, juurutatakse, hooldatakse ja lõpuks kasutusest kõrvaldatakse. Kaasaegse inseneritöö kontekstis – eriti keeruliste süsteemide puhul, nagu autonoomsed platvormid, manussüsteemid või ettevõttelahendused – on kvaliteedi, töökindluse ja hooldatavuse tagamiseks oluline elutsükli mõistmine. Elutsükkel toimib teekaardina, mis juhib projektimeeskondi läbi arenduse ja juhtimise etappide. Iga etapp määratleb konkreetsed tulemused, verstapostid ja tagasisideahelad, tagades, et tarkvara areneb kontrollitud, jälgitaval ja prognoositaval viisil ⁸⁾.

“Tarkvara elutsükkel viitab struktureeritud protsesside ja tegevuste jadale, mis on vajalik tarkvarasüsteemi arendamiseks, hooldamiseks ja kasutusest kõrvaldamiseks.” — ⁹⁾ Teisisõnu kirjeldab elutsükkel seda, kuidas tarkvaratoode läheb ideest üle vananemiseni – hõlmab kõiki projekteerimis-, haldus- ja hooldusetappe. Elutsükkel tagab:

• Järjepidevus: meeskondade ja sidusrühmade ühine raamistik.
• Kvaliteedi tagamine: võimaldab kinnitada ja kinnitada igas etapis.
• Jälgitavus: loob selged seosed nõuete, disaini, koodi ja testide vahel.
• Riskihaldus: pakub kontrollpunkte probleemide varaseks tuvastamiseks ja parandamiseks.
• Skaleeritavus: toetab mitme meeskonna, tehnoloogia ja versiooni integreerimist.

Reguleeritud valdkondades, nagu lennundus, autotööstus ja meditsiiniseadmed, on määratletud elutsükli järgimine ka sertifitseerimise ja vastavuse seaduslik nõue (nt ISO/IEC 12207, DO-178C, ISO 26262).

Erinevad tööstusharud ja projektid võtavad kasutusele konkreetsed elutsükli mudelid, mis põhinevad nende eesmärkidel, riskitaluvusel ja meeskonna struktuuril. Selles peatükis kirjeldatakse kõige laialdasemalt kasutatavaid mudeleid.

Waterfall Model on üks varasemaid ja enim tunnustatud tarkvara elutsükli mudeleid. See järgib lineaarset etappide jada, kus iga faas peab olema lõpetatud enne järgmise algust ¹⁰⁾.

Eelised:

• Selge struktuur ja dokumentatsioon.
• Lihtne hallata väikeste ja stabiilsete projektide jaoks.
• Sobib reguleeritud keskkondades (nt lennundus, kaitse).

Piirangud:

• Paindumatu muutustele pärast arenduse algust.
• Integratsiooni või nõuetega seotud probleemide hiline avastamine.

Kose lähenemisviisi edasiarendusena rõhutab V-mudel igas arendusetapis testimist ja valideerimist. Igal “alla” sammul (arendusel) on vastav “üles” samm (testimine/valideerimine).

Eelised:

• Tugev keskendumine kontrollimisele ja kinnitamisele (V&V).
• Ideaalne ohutuskriitiliste süsteemide jaoks (nt ISO 26262, DO-178C).
• Pakub jälgitavust projekteerimise ja testimise faaside vahel.

Piirangud:

• Nõuab eelnevalt täpselt määratletud nõudeid.
• Raske kohaneda kiirete muutustega.

Selle asemel, et kogu süsteem ühes järjestuses lõpule viia, arendab iteratiivne mudel toodet mitme tsükli või sammuga. Iga iteratsioon pakub tööversiooni, mida saab üle vaadata ja täpsustada. Eelised:

• Funktsionaalsete prototüüpide varajane tarnimine.
• Lihtsam kohanemine nõuete muutustega.
• Sidusrühmade pidev tagasiside.

Piirangud:

• Suurem integratsioonikulu.
• Võib nõuda keerulist konfiguratsioonihaldust (iga iteratsioon toodab uusi versioone).

Agiilne arendus (nt Scrum, Kanban, Extreme Programming) rõhutab koostööd, kohanemisvõimet ja klientide tagasisidet. See asendab jäigad protsessid iteratiivsete tsüklitega, mida tuntakse sprintidena.

Põhiprintsiibid ¹¹⁾:

• Isikud ja vastasmõju protsesside ja tööriistade üle.
• Töötarkvara üle põhjaliku dokumentatsiooni.
• Kliendikoostöö lepingu läbirääkimistel.
• Muudatustele reageerimine plaani järgides.

Eelised:

• Suur paindlikkus ja klientide kaasatus.
• Pidev väärtuse tarnimine.
• Parem reageerimine turu ja tehnoloogia muutustele.

Väljakutsed:

• Nõuab distsiplineeritud meeskondi ja tugevat suhtlust.
• Vähem sobiv ohutuskriitiliste sertifikaatide jaoks, välja arvatud juhul, kui see on ühendatud hübriidmudelitega (nt Agile + V-mudel).

Boehmi poolt kasutusele võetud ¹²⁾ ühendab spiraalmudel iteratiivse arengu riskianalüüsiga. Iga spiraali silmus esindab protsessi ühte faasi, mille keskmes on riskide hindamine.

Eelised:

• Keskendutakse riskide vähendamisele.
• Sobib suurtele keerukatele süsteemidele.
• Võimaldab järkjärgulist viimistlemist ja paindlikkust.

Piirangud:

• Kompleksne haldus ja dokumentatsioon.
• Nõuab riskianalüüsi asjatundlikkust.

Kaasaegsed süsteemid võtavad üha enam kasutusele DevOpsi – integreerides arenduse, testimise, juurutamise ja toimingud pidevasse tsüklisse. See mudel kasutab automatiseerimist, CI/CD torujuhtmeid ja pilvepõhist elementi

Eelised:

• Kiire ja usaldusväärne kohaletoimetamine.
• Reaalajas jälgimine ja tagasiside integreerimine.
• Kasutusele võetud süsteemide pidev täiustamine.

Väljakutsed:

• Nõuab kultuurilist ja organisatsioonilist ümberkujundamist.
• Nõuab keerukaid tööriistaahelaid ja automatiseerimise infrastruktuuri.

Tarkvaratehnikas tähendab konfiguratsioonihaldus (CM) süstemaatilist protsessi, mille käigus tuvastatakse, korraldatakse, kontrollitakse ja jälgitakse kõiki tarkvarasüsteemis kogu selle elutsükli jooksul tehtud muudatusi. See tagab, et:

• Kasutatakse tarkvarakomponentide õigeid versioone.
• Muudatusi kontrollitakse, vaadatakse üle ja dokumenteeritakse.
• Kogu süsteem jääb järjepidevaks ja reprodutseeritavaks nii meeskondade kui ka keskkondade vahel.

Vastavalt standardile ISO/IEC/IEEE 828:2012 on CM määratletud järgmiselt: “Dipliin, mis rakendab tehnilisi ja administratiivseid juhiseid ja järelevalvet konfiguratsiooniüksuse funktsionaalsete ja füüsiliste omaduste tuvastamiseks ja dokumenteerimiseks, nende omaduste muudatuste kontrollimiseks ning muudatuste töötlemise ja rakendamise oleku registreerimiseks ja sellest teatamiseks.”

Teisisõnu hoiab konfiguratsioonihaldus tarkvara arenemise ajal stabiilsena. Konfiguratsioonihaldus on olemas:

• Tagage jälgitavus – iga muudatuse päritolu saab jälgida (nt nõue, probleemiaruanne või disainimuudatus).
• Kaose vältimine – ilma CM-ita võivad mitmed arendajad üksteise töö üle kirjutada või kasutada ühildumatuid versioone.
• Luba koostöö – ülemaailmselt levitatud meeskonnad saavad töötada sama toote kallal, kasutades ühtseid artefakte.
• Säilitage vastavus – ohutuse seisukohalt kriitilistes valdkondades (autotööstus, lennundus) nõuavad regulatiivsed standardid versioonikontrolli ja muudatuste jälgimist.
• Automatiseerimise tugi – CI/CD torujuhtmed põhinevad versiooniga juhitud hoidlatel ja konfiguratsiooni metaandmetel.

CM-i mõistmiseks tuleb määratleda mitu põhimõistet.

Konfiguratsioonielement (CI) Konfiguratsioonielement on süsteemi mis tahes komponent, mis on konfiguratsioonikontrolli all. Näited:

• Lähtekoodi failid
• Ehitage skripte ja binaarfaile
• Andmebaasid ja konfiguratsioonifailid
• Testige skripte ja aruandeid
• Dokumentatsioon ja nõuete spetsifikatsioonid
• Püsivara või juurutatud konteineri kujutised

Iga CI on kordumatult identifitseeritud, versioonistatud ja aja jooksul jälgitav ¹⁵⁾.

Algtase Lähtejoon on ühe või mitme konfiguratsiooniüksuse ametlikult kinnitatud versioon, mis toimib võrdluspunktina. Pärast kindlaksmääramist peavad kõik lähtetaseme muudatused järgima määratletud muudatuste juhtimisprotsessi. Alusjoonte tüübid:

• Funktsionaalne baasjoon – arendamiseks heaks kiidetud süsteeminõuded.
• Eraldatud lähtetase – allsüsteemi projekt on lõpetatud ja kinnitatud.
• Toote baasjoon – testitud ja välja antud versioon, mis on tarnimiseks valmis.

Baasjooned loovad stabiilsuse kontrollpunkte elutsüklis ¹⁶⁾.

Versioonikontroll Versioonikontrollisüsteemid (VCS), nagu Git, Mercurial või Subversion, jälgivad ja haldavad lähtekoodi ja muude failide muudatusi. Need võimaldavad:

• Meeskondlik koostöö.
• Ajalooline jälgitavus.
• Funktsioonide arendamiseks hargnemine ja ühendamine.

Versioonikontroll moodustab konfiguratsioonihalduse tehnilise selgroo.

Muudatuste juhtimine Muudatuste juhtimine määrab, kuidas muudatusi pakutakse, hinnatakse, kinnitatakse ja rakendatakse. Tüüpilised sammud:

• Taotlus – arendaja või sidusrühm esitab muutmistaotluse (CR).
• Mõjuanalüüs – hinnake mõju kuludele, ajakavale ja toimivusele.
• Kinnitamine – muudatuste juhtpaneeli (CCB) vaatab üle ja annab volitused.
• Rakendamine ja kontrollimine – viige läbi ja testige muudatust.
• Dokumenteerimine ja sulgemine – tulemused salvestatakse ja arhiveeritakse.

Selline struktureeritud lähenemine tagab vastutuse ja kvaliteedikontrolli ¹⁷⁾.

Konfiguratsioonikontroll Konfiguratsiooniaudit kontrollib, et konfiguratsioonielemendid ja dokumentatsioon:

• Sobitage kinnitatud lähtetasemega.
• On läbinud nõutavad kinnitustoimingud.
• On korralikult märgistatud ja jälgitavad.

Kaks levinud tüüpi:

• Funktsionaalse konfiguratsiooni audit (FCA): kinnitab, et funktsionaalsed nõuded on täidetud.
• Füüsilise konfiguratsiooni audit (PCA): kinnitab, et füüsiline konfiguratsioon vastab dokumentatsioonile.

Auditid säilitavad terviklikkuse ja vastavuse, eriti kaitse- ja kosmoseprojektide puhul ¹⁸⁾.

Kuigi CM toob kaasa struktuuri ja korra, seisab see silmitsi paljude praktiliste väljakutsetega, eriti hajutatud ja keerulistes süsteemides.

Keerukus ja ulatus Kaasaegsed süsteemid võivad sisaldada miljoneid koodiridu, sadu sõltuvusi ja mitut konfiguratsiooni erinevate platvormide jaoks. Kõigi nende variatsioonide käsitsi haldamine on võimatu. Näide: Autonoomne sõiduk võib sisaldada erinevaid konfiguratsioone:

• Arendussimulatsioonid
• Reaalajas manustatud juhtimine
• Pilveanalüütika taustaprogramm

Lahendus: automatiseeritud konfiguratsioonihaldus metaandmetel põhinevate tööriistadega (nt Ansible, Puppet, Kubernetes Helm).

Mitu arendusvoogu Suurte projektide puhul töötavad meeskonnad samaaegselt mitme haru või versiooniga (nt arendus, testimine, väljalaskmine). See suurendab riski:

• Koodide lahknemine ja liitmise konfliktid.
• Sõltuvuste mittevastavus.
• Integratsiooni kitsaskohad.

Lahendus:

• Jõustada hargnemisstrateegiad (GitFlow, tüvipõhine arendus).
• Integreerige CI/CD torujuhtmed automatiseeritud testimiseks ja ehitamiseks.

Riistvara ja tarkvara vastastikused sõltuvused Manus- või küberfüüsilistes süsteemides sõltuvad konfiguratsioonid riistvaravariantidest (protsessorid, andurid, mälu). Tarkvarajärkude ja riistvara spetsifikatsioonide vahelise vastavuse säilitamine on keeruline. Leevendus:

• Säilitage konfiguratsioonimaatriksid, mis vastavad tarkvaraversioonidele riistvaravariantidele.
• Kasutage kontrollimiseks digitaalseid kaksikuid ¹⁹⁾.

Sagedased uuendused ja pidev kohaletoimetamine DevOpsi ajastul võidakse tarkvara tuhandetes seadmetes mitu korda päevas värskendada. Iga värskendus peab säilitama järjepidevuse ja tagasipööramise võimaluse. Väljakutse:

• Kiiruse tasakaalustamine (Agile/DevOps) koos juhtimisega (ohutus ja sertifikaat).

Lahendus:

• Versioonitud juurutamise torujuhtmed.
• Canary väljalasked ja A/B testimine.
• Muutumatu infrastruktuur (konteinerid ja pildid salvestatakse CI-dena).

Andmete ja konfiguratsiooni triivimine Konfiguratsiooni triiv ilmneb siis, kui süsteemi tegelik olek erineb dokumenteeritud konfiguratsioonist – see on tavaline dünaamilistes pilvepõhistes süsteemides. Põhjused:

• Käsitsi muudatused automaatikast mööda minnes.
• Jälgimata sõltuvused.
• Keskkonnaspetsiifilised alistamised.

Ennetamine:

• Täieliku jälgitavuse tagamiseks kasutage infrastruktuuri koodina (IaC).
• Perioodilised konfiguratsiooniauditid ja vastavuskontroll (nt Chef InSpec, AWS Config).

Regulatiivsed ja vastavusnõuded Sellistes valdkondades nagu lennundus, meditsiin ja autotööstus on konfiguratsioonihaldus vastavusnõue selliste standardite kohaselt nagu ISO/IEC/IEEE 12207, ISO 26262 või IEC 61508 Väljakutse:

• Nõuete, koodi ja testide jälgitavuse säilitamine pidevate muutmistsüklite kaudu.

Lahendus:

• Kasutage integreeritud rakenduse elutsükli halduse (ALM) platvorme (nt IBM DOORS, Siemens Polarion), mis seovad nõuded, kinnitavad ja katsetavad.

Inim- ja organisatsioonilised tegurid CM-i kõige keerulisem aspekt on sageli kultuuriline, mitte tehniline. Tuntud bürokraatia tõttu võivad meeskonnad olla vastu dokumentidele või ametlikule muudatuste kontrollile. Selle tulemusena:

• Muudatused toimuvad ilma läbivaatamiseta.
• Kirjed muutuvad mittetäielikuks.
• Teadmised lähevad käibe käigus kaotsi.

Lahendus:

• Kehtestada selged CM poliitikad ja koolitus.
• Edendada konfiguratsioonidistsipliini kui insenerikultuuri põhiosa.
• Integreerige CM-tavad sujuvalt igapäevastesse töövoogudesse (nt automatiseeritud tõmbamispäringud ja koodiülevaatused).

Konfiguratsioonihaldus (CM) ei ole üksik tegevus, vaid tsükliline protsess, mis on integreeritud kogu tarkvara elutsüklisse. Standard ISO/IEC/IEEE 828:2012 määratleb neli peamist tegevust:

• Konfiguratsiooni identifitseerimine
• Konfiguratsiooni juhtimine
• Konfiguratsiooni oleku arvestus
• Konfiguratsiooni audit

Kaasaegses praktikas lisatakse pidevaks täiustamiseks ja vastavuse tagamiseks ka viies samm – konfiguratsiooni kontrollimine ja ülevaatus.

Konfiguratsiooni identifitseerimine CM-i esimene samm määratleb, mida tuleb hallata. See hõlmab:

• Kõikide konfiguratsiooniüksuste (CI-de) loetlemine (nt kood, dokumendid, teegid, kahendfailid).
• Igale CI-le unikaalse identifikaatori määramine (nt versioonimärgend, järgu ID).
• Nende üksuste struktureerimine konfiguratsioonihierarhiasse.

Näidishierarhia:

Tööriistad ja tehnikad:

• Versioonikontrollisüsteemid: Git, SVN, Mercurial.
• Artefaktide hoidlad: JFrog Artifactory, Nexus.
• Konfiguratsiooniandmebaasid (CMDB-d): ServiceNow CMDB, BMC Helix.

Eesmärk: koostage iga hallatud artefakti ja selle sõltuvuste selge loend.

Tööriistad ja tehnikad:

• Probleemide ja muudatuste jälgimine: Jira, Redmine, Azure DevOps, Bugzilla.
• Koodiülevaatussüsteemid: GitHub Pull Requests, Gerrit, GitLab Merge Requests.
• Töövoo automatiseerimine: Jenkins, GitHub Actions, Bamboo.

Eesmärk: Tagada, et iga muudatus vaadatakse enne rakendamist üle, põhjendatakse ja registreeritakse korralikult.

Konfiguratsiooni oleku arvestus (CSA) CSA annab ülevaate kogu projekti konfiguratsioonide hetkeseisust. See salvestab, millised CI-de versioonid on olemas, kus neid hoitakse ja millised muudatused on toimunud. Tüüpilised väljundid hõlmavad järgmist:

• Versioonide ajalugu ja muudatuste logid.
• Algseisu aruanded.
• Väljalaske dokumentatsioon ja levitamise jälgimine.

Tööriistad ja tehnikad:

• Versiooni aruandluse tööriistad: Git logi, Git tag või kohandatud CI/CD aruanded.
• Automatiseeritud armatuurlauad: Grafana, Kibana, Jenkinsi monitor.
• ALM Suites: IBM Rational Team Concert, Siemens Polarion.

Eesmärk: tagada läbipaistvus ja jälgitavus, et projektijuhid ja audiitorid saaksid igal ajahetkel rekonstrueerida mis tahes tooteversiooni täpse konfiguratsiooni.

Konfiguratsioonikontroll Konfiguratsiooniaudit tagab, et toode vastab algtasemele ja et kõik muudatused on õigesti rakendatud ja dokumenteeritud. See kontrollib:

• Iga konfiguratsiooniüksus vastab selle spetsifikatsioonile.
• Kogu dokumentatsiooni uuendatakse.
• Volitamata muudatusi pole.

On kahte tüüpi:

1. Funktsionaalse konfiguratsiooni audit (FCA): kinnitab, et süsteem töötab ettenähtud viisil.
2. Füüsilise konfiguratsiooni audit (PCA): kinnitab, et füüsiline teostus vastab projekteerimisdokumentatsioonile.

Tööriistad ja tehnikad:

• Automatiseeritud vastavustööriistad: Chef InSpec, OpenSCAP, AWS Config.
• Käsitsi auditid: kontrollnimekirjad ja ülevaatetahvlid.
• Digitaalne kaksikvalideerimine: digitaalsete mudelite võrdlemine juurutatud varadega ²²⁾.

Eesmärk: tagada terviklikkus, järjepidevus ja vastavus kogu konfiguratsiooni algtaseme ulatuses.

Konfiguratsiooni ülevaatus ja kinnitamine See valikuline samm sulgeb CM-i ahela. See hindab, kas CM protsessid on tõhusad ja projekti eesmärkidega kooskõlas. Tegevused hõlmavad järgmist:

• CM dokumentatsiooni ja kirjete läbivaatamine.
• Tööriista jõudluse ja automatiseerimise ulatuse hindamine.
• Lünkade või ebatõhususe tuvastamine parandamiseks.

Tööriistad:

• CM küpsusmudelid (CMMI, ISO/IEC 15504).
• Kvaliteedijuhtimisplatvormid (nt Atlassian Confluence auditi dokumenteerimiseks).

Eesmärk: Toetada pidevat täiustamist ja protsesside optimeerimist.

Kaasaegne CM toetub suurel määral automatiseerimis- ja integreerimistööriistadele, et hallata keerukust ja jõustada distsipliini meeskondade vahel. Neid tööriistu saab liigitada funktsioonide järgi.

Versioonikontrollisüsteemid (VCS)

Ehitamise ja pideva integreerimise tööriistad

Taristu- ja keskkonnajuhtimine

Artefaktide ja väljalaskehaldus

Konfiguratsiooni jälgimine ja dokumentatsioon

Näide – integreeritud CM-i töövoog:

Tööriistaahela integreerimine autonoomsete süsteemide jaoks Autonoomsetes platvormides (nt mehitamata õhusõidukid, sõidukid) on CM-tööriistad sageli integreeritud:

• Simulatsioonitööriistad (Gazebo, CARLA) versioonide testimiseks.
• Digitaalsed kaksikud tegeliku käitumise kinnitamiseks.
• Edge juurutussüsteemid õhu kaudu (OTA) värskenduste jaoks.

See hübriidlähenemine tagab järjepideva tarkvara kõigis sõlmedes – alates pilveteenustest kuni manustatud kontrolleriteni ²³⁾.

Isegi täiskasvanud organisatsioonid seisavad sageli silmitsi elutsükli ja konfiguratsioonihalduse väljakutsetega:

Organisatsioonid, kellel õnnestub CM tavasid juurutada, ei pea neid bürokraatiaks, vaid usaldusväärsuse ja usalduse võimaldajaks.

Tüüpiline autonoomia tarkvarapakk on jaotatud hierarhilisteks kihtideks, millest igaüks vastutab teatud funktsioonide alamhulga eest – alates madala taseme anduri juhtimisest kuni kõrgetasemelise otsuste tegemise ja sõidukipargi koordineerimiseni. Kuigi rakendused on erinevates valdkondades (maapealne, õhust, merest) erinevad, jääb põhiline arhitektuuriloogika sarnaseks:

• Tajukiht – keskkonna tunnetamine ja mõistmine.
• Localisation Layer – asukoha ja orientatsiooni määramine.
• Planeerimiskiht – otsustamine, milliseid toiminguid teha.
• Juhtkiht – nende toimingute teostamine täiturmehhanismide kaudu.
• Süsteemikiht – side, riistvara ja käitusaja haldamine.
• Infrastruktuurikiht – pakub simulatsiooni, pilveteenuseid ja DevOpsi.

See kihiline disain ühtib tihedalt nii robootikaraamistikega (ROS 2) kui ka autotööstuse arhitektuuridega (AUTOSAR Adaptive).

Joonisel 1 on kujutatud peamised tarkvarakihid ja nende funktsioonid.

Riistvara abstraktsioonikiht (HAL) HAL pakub standardset juurdepääsu riistvararessurssidele. See teisendab riistvaraspetsiifilised üksikasjad (nt andurite sideprotokollid, pingetasemed) tarkvaraga juurdepääsetavateks API-deks. See funktsioon sisaldab tavaliselt järgmist:

• LiDAR-i, radarite, kaamerate, IMU-de ja muude autonoomse süsteemi jaoks vajalike seadmete draiverite haldamine.
• Toitesüsteemide ja diagnostika jälgimine, mis sisaldab vajadusel käitumise muutmise käivitajaid.
• Ajatempliga andurite andmevoogude pakkumine. Reaalajas või ajatembeldatud andmed on mis tahes andmepõhise süsteemi oluline osa, et tagada aegridade analüüsi algoritmide, sealhulgas süvaõppe meetodite õige töö.
• Täiturmehhanismide (mootorid, servod, pidurid) reaalajas juhtimine.

HAL tagab teisaldatavuse — tarkvaramoodulid jäävad teatud riistvaramüüjate või konfiguratsioonide suhtes agnostiliseks ²⁶⁾.

Operatsioonisüsteem (OS) ja virtualiseerimiskiht OS-i kiht haldab riistvararessursse, protsesside ajastamist ja protsessidevahelist suhtlust (IPC), samuti reaalajas töötamist, hoiatusi ja päästikute tõstmist, kasutades valvekoera protsesse. Siin on andmetöötluse paralleelsus üks võtmeid ressursside tagamisel ajakriitiliste rakenduste jaoks. Autonoomsed süsteemid kasutavad sageli:

• Linux (Ubuntu või Yocto-põhine) paindlikkuse tagamiseks.
• Reaalajas operatsioonisüsteemid (RTOS) nagu QNX või VxWorks ohutuskriitilise ajastuse jaoks.
• Konteinerimine (Docker, Podman) tarkvara isoleerimiseks ja modulaarseks juurutamiseks.

Time-Sensitive Networking (TSN) laiendused ja PREEMPT-RT plaastrid tagavad missioonikriitiliste ülesannete deterministliku ajastamise ²⁷⁾.

Autonoomia luurekiht See on virnas otsuste tegemise tuum. See koosneb mitmest omavahel seotud alamsüsteemist:

Need komponendid interakteeruvad vahevara kaudu ja töötavad kas servaarvutites (pardal) või pilvepõhistes süsteemides laiendatud töötlemiseks ²⁸⁾.

Rakendus- ja pilvekiht Virna ülaosas asub rakenduskiht, mis laiendab autonoomiat üksikutest sõidukitest kaugemale:

• Autopargi haldamine (jälgimine, ülesannete määramine).
• Õhu kaudu (OTA) värskendused tarkvarale ja püsivarale.
• Pilvepõhine simulatsioon ja analüüs.
• Andmete kogumine masinõppe ümberõppeks.

Sellised raamistikud nagu AWS RoboMaker, NVIDIA DRIVE Sim ja Microsoft AirSim ühendavad pilvarvutusega pardal autonoomia.

Autonoomiasüsteemid toetuvad andmekonveieritele, mis liigutavad teavet kihtide vahel reaalajas.

Iga etapp sisaldab tagasisideahelaid, et tagada vigade parandamine ja ohutusjärelevalve ^{29) 30)}.

ROS-i 2-põhine virn (uuringud ja prototüüpimine)

• Kasutatakse akadeemilises ja tööstuslikus uurimis- ja arendustegevuses.
• Paindlik ja modulaarne, ideaalne simulatsiooni- ja katseplatvormidele.
• Integratsioon Gazebo, RViz ja DDS vahevaraga.

AUTOSAR adaptiivne platvorm (autotööstus)

• Tööstusliku kvaliteediga raamistik tootmissõidukitele.
• Teenusele orienteeritud arhitektuur koos reaalajas OS-i ja turvamehhanismidega.
• Toetab ISO 26262 vastavust ja mitmetuumalisi süsteeme.

MOOS-IvP (mereautonoomia)

• Vahevara, mis keskendub mererobootikale.
• Käitumisel põhinev arhitektuur koos missiooni planeerimisega (IvP Helm).
• Optimeeritud väikese ribalaiusega side ja töökindluse jaoks ³¹⁾.

Hübriid pilveserva arhitektuur

• Ühendage pardal olev autonoomia pilvetöötlusega (mudelikoolituseks või kõrgetasemeliseks optimeerimiseks).
• Kasutatakse suuremahulistes laevastikuoperatsioonides (nt logistikarobotid, õhust kaardistamine).
• Nõuab turvalisi sidekanaleid ja andmete orkestreerimist ³²⁾.

See suletud ahelaga andmevahetus tagab reaalajas reageerimise, tugeva vigade taastamise ja moodulitevahelise sidususe.

Autonoomse tarkvarapaki arendamine ja hooldamine on pikaajaline, multidistsiplinaarne ettevõtmine. Erinevalt tavapärasest tarkvarast peavad autonoomiavirnad hakkama saama:

• Pidevad reaalajas toimingud,
• Massilised sensoorsed andmevood,
• Riistvarasõltuvused ja
• Ranged ohutus-, turva- ja regulatiivsed piirangud.

Need piirangud muudavad autonoomia tarkvara elutsükli ainulaadselt keerukaks – alates esialgsetest uurimisprototüüpidest kuni tööstusliku kvaliteediga sertifitseeritud süsteemideni.

Isegi autonoomsete tarkvarapakkide tundmise korral on nende arendamine endiselt seotud oluliste ja väljakutseid pakkuvate probleemidega. Leevenduste ja erinevate lahenduste rakendamise tõttu muutuvad autonoomsete süsteemide projekteerimine ja arendamine nii kulukaks kui ka raskesti hooldatavaks. Järgmised on kõige olulisemad väljakutsed.

Reaalajas jõudlus ja determinism Autonoomsed süsteemid nõuavad deterministlikku käitumist: otsused tuleb teha kindlaksmääratud, garanteeritud aja jooksul. AI-algoritmide kõrged arvutusnõuded on aga sageli vastuolus reaalajas tagatistega ³³⁾. Põhiprobleemid:

• AI järelduse latentsus (nt sügavad närvivõrgud).
• Mittedeterministlik vahevara ajastamine.

Ajastuse mittevastavus anduri ja juhtimisahela vahel. Leevendus:

• Reaalajas operatsioonisüsteemide (RTOS), prioriteedipõhise ajastamise ja riistvarakiirenduse (FPGA-d, TPU-d) kasutamine.
• Vahevara teenusekvaliteedi (QoS) garantiiga, nagu DDS.

Skaleeritavus ja tarkvara keerukus Süsteemide arenedes kasvab sõlmede, protsesside ja andmevoogude arv plahvatuslikult. Näiteks võib kaasaegne L4 autonoomne sõiduk sisaldada >200 tarkvarasõlme, mis vahetavad gigabaiti andmeid sekundis. Probleemid:

• Pakettidevahelised sõltuvuskonfliktid.
• Kasvavad mälu- ja ribalaiuse nõuded.
• Hajutatud süsteemide silumise keerukus.

Lahendused:

• Modulaarsed, mikroteenusepõhised arhitektuurid.
• Konteinerorkestratsioon (Docker, Kubernetes).
• Digitaalsed kaksikplatvormid süsteemitaseme simuleerimiseks ja valideerimiseks ³⁴⁾.

AI ja klassikalise juhtimise integreerimine AI-põhine taju ja klassikaline juhtimine peavad sujuvalt koos eksisteerima. Kui AI-moodulid (nt närvivõrgud) tegelevad kõrgmõõtmelise tajuga, siis klassikalised moodulid (nt PID, MPC) tagavad prognoositava juhtimise. Väljakutse:

• Andmepõhiste ja reeglipõhiste komponentide integreerimine toob kaasa ebakindluse, tõlgendatavuse ja raskusi sertifitseerimisel ³⁵⁾.

Parimad tavad:

• Kasutage hübriidarhitektuure, mis ühendavad tõlgendatavad mudelid õpitud funktsioonidega.
• Tutvustage käitusaegseid monitore anomaaliate tuvastamiseks ja varukäitumiseks.
• Rakendage ohutusauditite jaoks seletatavat AI-d (XAI).

Ohutus, kinnitamine ja sertifitseerimine Autonoomsed süsteemid peavad vastama sellistele standarditele nagu mainitud ISO 26262 (autode funktsionaalne ohutus), DO-178C (lennundustarkvara sertifikaat) ja IEC 61508 (tööstusohutus). Väljakutsed:

• AI-süsteemidel puudub deterministlik jälgitavus.
• Kõikide tööstsenaariumide valideerimine on praktiliselt võimatu.
• Pidevad tarkvarauuendused muudavad sertifitseerimistsüklid keerulisemaks.

Uued lahendused:

• Simulatsioonipõhine kontrollimine virtuaalkeskkondade abil.
• Otsustusmoodulite formaalne kontrollimine (mudeli kontroll, teoreemide tõestamine).
• Modulaarsed sertifitseerimisraamistikud (AUTOSAR Adaptive, kontekstist väljas ohutuselement – ​​SEooC).

Küberturvalisus ja tarkvara terviklikkus Autonoomsed platvormid on ühendatud V2X-i, pilve API-de ja OTA-värskenduste kaudu – luues mitu rünnakupinda ³⁶⁾. Riskid:

• Ohustatud püsivara või vahevara komponendid.
• Petetud anduri sisendid (GPS, LiDAR).
• Tarneahela haavatavused (võltsitud tarkvara raamatukogud).

Vastumeetmed:

• Turvalised alglaadimise ja riistvara juur-of-usaldusmehhanismid.
• Krüpteeritud side (TLS, DDS Secure).
• Tarkvara materjalid (SBOM-id) sõltuvuse jälgimiseks.
• Vastavus NIST SP 800-161 ja ISO/IEC 27036 standarditele.

Pidev hooldus ja uuendused Erinevalt staatilistest manussüsteemidest areneb autonoomiatarkvara pidevalt. Arendajad peavad säilitama ühilduvuse valdkonnas juba kasutusele võetud versioonide, riistvaraplatvormide ja autoparkide vahel. Hooldustavad:

• Pideva integreerimise/pideva juurutamise (CI/CD) torujuhtmed testimiseks ja värskenduste käivitamiseks.
• Õhu kaudu (OTA) uuendusraamistikud sõidukitele ja droonidele.
• Konfiguratsioonihaldusandmebaasid (CMDB-d) tarkvara ja riistvara kombinatsioonide jälgimiseks.
• Digitaalsed kaksikud värskenduste testimiseks enne reaalajas kasutuselevõttu.

.

Andmehaldus ja skaleeritavus AI-põhine autonoomia tugineb koolituse, simulatsiooni ja valideerimise jaoks tohututele andmekogumitele. Nende andmete haldamine, märgistamine ja turvamine on pidev väljakutse ³⁹⁾. Probleemid:

• Mitme terabaidise anduri andmete salvestamine ja edastamine.
• Andmekogumite kallutatus ja tasakaalustamatus.
• Mudeliversioonide ja treeningandmete jälgitavus.

Lähenemisviisid:

• Pilve andmejärved serva eeltöötlusega.
• MLOps-i töövood andmestiku versioonide loomiseks ja reprodutseeritavuse tagamiseks.
• Liitõpe privaatsust säilitavate mudelivärskenduste jaoks.

Inimese ja masina koostöö ja eetiline järelevalve Autonoomiatarkvara ei eksisteeri isoleeritult – see suhtleb operaatorite, reisijate ja ühiskonnaga. Seega peab tarkvara disain hõlmama läbipaistvust, vastutust ja seletatavust. Peamised kaalutlused:

• Inim-masina liidese (HMI) disain.
• Eetilised tehisintellekti otsuste raamistikud.
• Vastutuse ja tõrkeotsingu protokollid servajuhtumite ajal.

Tarkvara elutsükkel järgib tavaliselt pideva arengu mudelit:

Eesmärk on pidev areng koos stabiilsusega, kus süsteemid saavad kohanduda ilma sertifikaate või töökindlust kaotamata.

A. AI KOMPONENDI KINNITAMINE Nii auto- kui ka õhuruumid on reageerinud tehisintellektile, pidades seda „spetsialiseerunud tarkvaraks” sellistes standardites nagu ISO 8800 [14] ja [13]. Sellel lähenemisviisil on suur kasu, kuna see kasutab kogu varasemat tööd üldise mehaanilise ohutuse valdkonnas ja varasemat tööd tarkvara valideerimisel. Kuid nüüd tuleb lahendada küsimus, kuidas käsitleda tõsiasja, et meil on andmete genereeritud “kood” võrreldes tavapärase programmeerimiskoodiga. V&V maailmas väljendub see erinevus kolmes olulises aspektis: katvuse analüüs, koodiülevaatused ja versioonikontroll. TABEL III V&V tehnikatarkvara AI/ML Katvuse analüüs: Koodi struktuur annab katvuse aluse. Struktuur puudub Koodide ülevaated: Koodide allikate ekspertide teadmised Ülevaatamiseks mõeldud koodi pole Versioonikontroll Hoolikas ülesehitamine/väljalase Väga keeruline andmetega

Need erinevused tekitavad tohutu probleemi intelligentse testide genereerimisel ja mis tahes argumendi täielikkuse poole. See on aktiivse uurimistöö valdkond ja on tekkinud kaks lõime: 1) Treeningkomplekti valideerimine: kuna viimast viidatud komponenti on väga raske analüüsida, on üheks võimaluseks uurida treeningkomplekti ja ODD-d, et leida huvitavaid teste, mis võivad paljastada nendevahelised praod [16]. 2) Mürakindlus: kas simulatsiooni või formaalsete meetodite [17] abil on lähenemisviisiks erinevate kõrgema taseme omaduste kinnitamine ja nende kasutamine komponendi testimiseks. Objekti tuvastamise näide võib olla omaduse kinnitamine, et objekti tuleks ära tunda orientatsioonist sõltumatult. Üldiselt on tehisintellekti komponentide valideerimise tugevate meetodite väljatöötamine üsna aktiivne ja lahendamata “fikseeritud” funktsiooniga AI komponentide uurimisteema. See tähendab, AI komponendid, mille funktsioon muutub aktiivse versioonikontrolliga. Muidugi eelistavad paljud AI-rakendused mudelit, kus AI-komponent pidevalt moondub. Morfeerimise olukorra valideerimine on tulevaste uuringute teema.

B. AI SPETSIFIKATSIOON

Täpselt määratletud süsteemide puhul, kus on olemas süsteemitaseme abstraktsioonid, suurendavad AI/ML komponendid märkimisväärselt intelligentse testide genereerimise raskusi. Kuldse spetsifikatsiooniga saab jälgida struktureeritud protsessi, et teha valideerimisel olulisi edusamme ja isegi AI tulemusi tavapäraste kaitsemeetmetega siduda. Kahjuks on tehisintellekti üks mõjuvamaid kasutusviise selle kasutamine olukordades, kus süsteemi spetsifikatsioonid ei ole täpselt määratletud või ei ole tavapärase programmeerimise abil elujõulised. Nendes Specification Less /ML (SLML) olukordades pole huvitavate testide koostamine keeruline, vaid tulemuste õigsuse hindamine tekitab veelgi raskusi. Lisaks kuuluvad enamik autonoomsete sõidukite peamisi süsteeme (taju, asukohateenused, tee planeerimine jne) sellesse süsteemi funktsioonide ja tehisintellekti kasutamise kategooriasse. Praeguseks on spetsifikatsiooni puudumise probleemi lahendamiseks olnud kaks lähenemisviisi: Anti-Spec ja AI-Driver. 1) Anti-Spec Sellistes olukordades jääb üle vaid korrektsuse täpsustamine antispetsifikatsiooni abil. Lihtsaim anti-spec on õnnetuste vältimine. Inteli esialgsete tööde põhjal on olemas standard IEEE 2846 „Eeldused mudelitele ohutusega seotud automatiseeritud sõidukite käitumises” [18], mis loob raamistiku minimaalsete eelduste määratlemiseks seoses teiste liiklejate mõistlikult prognoositava käitumisega. Iga stsenaariumi jaoks täpsustab see eeldused teiste liiklejate kinemaatilisi omadusi, sealhulgas nende kiirust, kiirendust ja võimalikke manöövreid. Väljakutsed hõlmavad täielikkuse argumenti, standardile vastavuse kontrollimise masina spetsifikatsiooni ja seost vastutuse haldusraamistikuga. 2) AI-draiver Kui IEEE 2846 lähtub alt-üles tehnoloogia vaatenurgast, siis Koopman/Widen [19] on pakkunud välja tehisintellekti draiveri määratlemise kontseptsiooni, mis peab kordama kõiki inimjuhi pädevusi keerulises reaalses keskkonnas. Koopmani AI draiveri kontseptsiooni põhipunktid on järgmised:

a) Täielik sõiduvõime: tehisintellekti juht peab hakkama saama kogu sõiduülesandega, sealhulgas tajumisega (keskkonna tunnetamine), otsuste tegemisega (stsenaariumide planeerimine ja neile reageerimisega) ja juhtimisega (füüsiliste liigutuste, nagu roolimine ja pidurdamine), teostamine. Samuti peab see arvestama nüansse, nagu sotsiaalsed sõidunormid ja ootamatud sündmused. b) Ohutuse tagamine: Koopman rõhutab, et AV-d vajavad rangeid ohutusstandardeid, mis on sarnased sellistele tööstusharudele nagu lennundus. See hõlmab võimalike rikete tuvastamist, riskide juhtimist ja ohutu töö tagamist ka ettenägematute sündmuste korral. c) Inimekvivalentsus: tehisintellekti juht peab vastama pädeva inimjuhi jõudlusele või ületama selle. See hõlmab liiklusseaduste järgimist, äärmuslikele juhtumitele (haruldased või ebatavalised sõidustsenaariumid) reageerimist ja alati olukorrateadlikkuse säilitamist. d) Eetiline ja juriidiline vastutus: tehisintellekti juht peab tegutsema eetilistes ja juriidilistes raamistikes, sealhulgas käituma olukordades, mis hõlmavad moraalseid otsuseid või vastutust. e) Testimine ja valideerimine: Koopman rõhutab tugeva testimise, simulatsiooni ja teepealsete katsetuste tähtsust tehisintellekti draiverisüsteemide valideerimiseks. See hõlmab servajuhtude, pikaajaliste riskide katmist ja süsteemide üldistamise tagamist erinevates sõidutingimustes. Üldiselt on see väga ambitsioonikas ettevõtmine ja selle mõistliku draiveri spetsifikatsiooni väljatöötamisel on olulisi väljakutseid. Esiteks pole „mõistliku” juhi idee isegi inimlikul poolel hästi kodeeritud. Pigem on see “mõistlikkuse” määratlus üles ehitatud pika seadusliku destilleerimise ajaloo jooksul ja loomulikult on inimstandard üles ehitatud teiste inimeste arusaamadele inimestest. Teiseks oleks sellise standardi keerukus väga kõrge ja pole selge, kas see on teostatav. Lõpuks võib kuluda üsna palju aega seaduslikule destilleerimisele, et jõuda teatud tasemeni inimesel nagu “AI-Driver”. Praegu on nii ADAS-i kui ka AV spetsifikatsiooni tipptasemel suhteliselt kehv. ADAS-süsteemidel, mis on laialt levinud, on tohutud erinevused käitumises ja täielikkuses. Kui klient ostab ADAS-i, pole täiesti selge, mida ta saab. Tööstusrühmade, nagu AAA, tarbijaaruanded ja IIHS testid on näidanud olemasolevate lahenduste olulisi puudujääke [20]. 2024. aastal võttis IIHS kasutusele reitinguprogrammi, et hinnata osalise sõiduautomaatika süsteemide kaitsemehhanisme. 14 testitud süsteemist sai vastuvõetava hinnangu vaid üks, mis rõhutab vajadust täiustatud meetmete järele, et vältida väärkasutamist ja tagada juhi kaasamine [21]. Tänapäeval on turul ainult üks protsessile mitte orienteeritud regulatsioon ja see on NHTSA eeskirjad AEB ümber [22].

See peatükk jälgib tarkvara arengut programmeeritavatest riistvaraalustest kuni tänapäevaste arvutisüsteemide domineeriva jõuni. Riistvara programmeeritavuse varajased edusammud – konfiguratsiooni, programmeeritava loogika (nt FPGA-de) ja salvestatud programmide protsessorite kaudu – võimaldasid füüsilise teostuse ja funktsionaalse käitumise eraldada. Stabiilsete arvutiarhitektuuride (eriti IBM System/360) ja operatsioonisüsteemide kasutuselevõtt lõi püsivad abstraktsioonid, mis võimaldasid tarkvara kaasaskantavust, skaleeritavust ja kiiret uuendust. Aja jooksul kiirendasid võrgud ja avatud lähtekoodiga ökosüsteemid infotehnoloogia kasvu veelgi, muutes tarkvara keskseks võimekuse tõukejõuks arvutusplatvormidel.

Kui tarkvarameetodid sisenesid küberfüüsikalistesse süsteemidesse (CPS), sealhulgas maa-, õhu-, mere- ja kosmosevaldkondadesse, järgisid need selget trajektoori, mille kujundasid reaalajas piirangud, ohutusnõuded ja füüsiline suhtlus. Algselt juhtimise ja diagnostika täiustamiseks kasutusele võetud tarkvara arenes tuvastuse, otsuste tegemise ja käivitamise koordineerivaks kihiks, võimaldades autonoomiat. Seda üleminekut toetas reaalajas operatsioonisüsteemide (RTOS), vahevara ja kihiliste tarkvaraarhitektuuride tekkimine, mis tagasid deterministliku käitumise ja modulaarsuse. Kõigis valdkondades arenesid süsteemid isoleeritud riistvarakesksetest disainidest hajutatud tarkvaramahukateks platvormideks, tuginedes üha enam standardiseeritud raamistikele ja sideprotokollidele.

Peatükis rõhutatakse veelgi, kuidas tarkvara on muutnud tootearendust, tarneahelaid ja valideerimistavasid. Küberfüüsilisi süsteeme mõjutab üha enam kiiremini liikuv IT-ökosüsteem, mis võtab kasutusele avatud lähtekoodiga komponendid, kihilised virnad ja pideva värskenduse mudelid (nt tarkvaraga määratletud sõidukid). Samal ajal on tarkvarapõhise käitumise riskide käsitlemiseks arenenud ohutusstandardid (nt ISO 26262, DO-178C) ja ranged kontrollimeetodid, nagu riist- ja tarkvara koossimulatsioon (MIL, SIL, HIL). Kaasaegsed tarkvara tarneahelad on keerulised, hõlmates kolmandate osapoolte ja avatud lähtekoodiga sõltuvusi, mis nõuavad tugevat konfiguratsioonihaldust, jälgitavust ja küberturvalisuse tavasid. Üldiselt rõhutatakse peatükis põhimõttelist nihet: projekteeritud süsteemid ei ole enam manustatud tarkvaraga riistvaratooted, vaid üha enam riistvaras sisalduvad tarkvaraplatvormid.

Kaasaegne autonoomia ajastu on sageli jälgitav DARPA suurte väljakutsetega (2004–2007), kuid see põhineb aastakümnete varasemal automatiseerimisel maa-, mere-, õhu- ja kosmosesüsteemides. Õhusõidukite valdkonnas pärinevad autopiloodid 20. sajandi alguse süsteemidest, nagu Sperry Autopilot, mis on arenenud tänapäevasteks väga integreeritud lennujuhtimissüsteemideks, mida kasutatakse kommertslennukitel, nagu Boeing 777 ja Airbus A320, kus autopiloot, automaatne drossel ja fly-by-wire süsteemid haldavad rutiinselt enamikku lennufaase inimese järelevalve all. Merevaldkonnas on laevad pikka aega kasutanud autopiloote ja dünaamilisi positsioneerimissüsteeme, samal ajal kui kosmosesüsteemid – alates Apollo juhendamisarvutist kuni tänapäevase autonoomse navigatsioonini Marsi kulguritel – näitasid äärmuslike piirangute all varakult suletud ahela autonoomiat. Seevastu maapealsed süsteemid jäid keskkonna keerukuse tõttu maha, mistõttu olid DARPA väljakutsed nii pöördelised: 2004. aasta kõrbevõistlus paljastas taju ja planeerimise ebaküpsuse, kuid 2005. aastaks lõpetas Stanfordi “Stanley” 132-miilise autonoomse marsruudi ning 2007. aasta Urban Challenge tutvustas muid liikluseeskirju ja suhtlemist liiklusagentidega. Need võistlused ühendasid edusammud tuvastuses, tõenäosuspõhises arutluskäigus ja reaalajas juhtimises täielikult autonoomseteks süsteemideks ning lõid talendibaasi, mis hiljem ajendas ärilist autonoomiat.

Enne DARPA väljakutset ei suutnud deterministlikud algoritmid teha edusamme autonoomsete süsteemide ehitamise olulistes nõutavates aspektides, nagu objektituvastus, tee planeerimine või lokaliseerimine. Hiljutine suur hüpe tehnoloogias oli tehisintellekti kasutamine nende varem lahendamatute probleemide ründamiseks. AI kasutuselevõtt viis valdkonda oluliselt edasi, kuid tõi ka väljakutseid.

See peatükk tutvustab tajumist, kaardistamist ja lokaliseerimist autonoomsete sõidukite ja erinevate anduriviiside kasutamise kontekstis. See uurib sõiduki asukoha määramist, asukohta ja teiste liikluses osalejate tegevusi, ümbritsevate stseenide mõistmist, stseeni kaardistamist ja kaardistamist navigeerimiseks, tehisintellekti rakendusi ning võimalikke ebakindluse ja ebastabiilsuse allikaid.

Objektide tuvastamine on põhiline tajufunktsioon, mis võimaldab autonoomsel sõidukil tuvastada ja lokaliseerida asjakohaseid üksusi oma ümbruses. See teisendab anduri töötlemata sisendid struktureeritud semantiliseks ja geomeetriliseks teabeks, mis on aluseks kõrgema taseme ülesannetele, nagu jälgimine, ennustamine ja planeerimine. Säilitades teadlikkust kõigist oma töökeskkonnas olevatest objektidest, saab sõiduk teha ohutuid ja kontekstipõhiseid otsuseid.

Tuvastatud objektid võivad hõlmata järgmist:

• Dünaamilised ained, nagu muud sõidukid, jalgratturid ja jalakäijad.
• Staatilised või kvaasistaatilised ehitised, nagu äärekivid, piirded ja liiklusmärgid.
• Ootamatud takistused, nagu praht, loomad või ehitusseadmed.

Iga tuvastamine sisaldab tavaliselt semantilist silti, ruumilist piirdekasti (2D või 3D), usaldusskoori ja mõnikord ka kiiruse või orientatsiooni teavet. Täpne tuvastamine on autonoomse käitumise kõigi järgnevate etappide aluseks; mis tahes vastamata või vale tuvastamine võib viia ebaturvaliste või ebatõhusate otsusteni.

Objektide tuvastamine tugineb täiendavate andurite kombinatsioonile, millest igaüks annab erinevat tüüpi teavet ja nõuab spetsiaalseid algoritme.

Kaamerad pakuvad rikkaliku värvi ja tekstuuriga tihedaid visuaalseid andmeid, mis on semantilise mõistmise jaoks hädavajalikud. Tüüpilised kaamerapõhised tuvastamismeetodid hõlmavad järgmist:

• Funktsioonipõhised algoritmid, nagu 'Orienteeritud gradientide histogramm (HOG)', 'Scale-Invariant Feature Transform (SIFT)' ja 'Speeded-Up Robust Features (SURF)', mida kasutatakse varajastes sõiduradade ja jalakäijate tuvastamise süsteemides.
• Stereonägemine sügavuse hindamiseks ja takistuste lokaliseerimiseks, trianguleerides pildipaaride vahelise erinevuse.
• Optiline vooluanalüüs liikumise tuvastamiseks ja objektide trajektooride hindamiseks videoseeriates.
• Klassikalised masinõppe lähenemisviisid, nagu Support Vector Machines (SVM) või AdaBoost koos käsitsi valmistatud funktsioonidega jalakäijate reaalajas tuvastamiseks.
• Kaasaegsed konvolutsiooni- ja trafopõhised võrgud (vaadatud jaotises 5.2), mis järeldavad piltide põhjal otse 2D- ja 3D-piirdekastid.

Kaamerad on fooride, märkide, sõiduraja märgistuste ja inimeste liigutuste tõlgendamiseks asendamatud, kuid nende jõudlus võib nõrga valgustuse, pimestamise või ebasoodsate ilmastikutingimuste korral halveneda.

LiDAR (valguse tuvastamine ja ulatus) mõõdab kaugusi laserimpulsi tagastamise ajastuse abil, luues tihedaid 3D-punktipilvi. LiDAR-põhised objektide tuvastamise meetodid keskenduvad geomeetrilisele arutlusele:

• Punktide rühmitamise lähenemisviisid, nagu Eukleidilise klastri ekstraheerimine ja Region Growing, rühmitavad lähedalasuvad punktid potentsiaalseteks objektideks.
• Modelipõhine paigaldus, sealhulgas RANSAC tasapindade, pooluste või silindriliste objektide tuvastamiseks.
• Vokseliseerimismeetodid, mis diskretiseerivad 3D-ruumi funktsioonide eraldamiseks mahulisteks võrgustikeks.
• Projitseerimismeetodid, kus punktipilved projitseeritakse segmenteerimiseks 2D-vahemiku või intensiivsusega kujutisteks.
• Kuju sobitamine ja kontuuride jälgimine, mis sobitavad klastrid tuntud mallidega, nagu sõiduki ristkülikud või jalakäijate ellipsoidid.

LiDAR-i täpne geomeetria võimaldab täpselt hinnata kaugust ja kuju, kuid hõredad tagastused või osalised oklusioonid võivad klassifitseerimise jõudlust vaidlustada.

Radar (raadiotuvastus ja kaugus) pakub raadiolainete abil teavet kaugmaa vahemaa ja kiiruse kohta. Selle ainulaadsed Doppleri mõõtmised on hindamatud liikumise jälgimiseks isegi udus, tolmus või pimeduses. Tüüpilised radaripõhised tuvastamismeetodid on järgmised:

• Constant False Alarm Rate (CFAR) töötlus, mis eristab statistiliselt tõeseid peegeldusi mürast vahemiku-Doppleri kaartidel.
• Range–Doppleri rühmitamine radarituvastuste rühmitamiseks vastavalt üksikutele objektidele.
• Kalmani ja osakeste filtreerimine mitme sihtmärgi jälgimiseks, kasutades kiiruse hinnanguid.
• Mikro-Doppleri analüüs, mis tuvastab teatud tüüpi liikumiste tunnused, nagu kõndivad jalakäijad või pöörlevad rattad.
• Radari ja nägemise seos, kus radarituvastused on klassi täpsustamiseks korrelatsioonis kaamerapõhiste piirdekastidega.

Radarisüsteemid on eriti olulised ohtude varajaseks avastamiseks ja kokkupõrgete vältimiseks, kuna need toimivad tõhusalt halva ilma ja halva nähtavuse korral.

Ultraheli- ja sonariandurid tuvastavad objekte akustiliste lainete peegelduste kaudu ja on eriti kasulikud keskkondades, kus optiline või elektromagnetiline tundlikkus on piiratud. Need on lahutamatu osa mitte ainult maapealsetest sõidukitest lähituvastuse jaoks, vaid ka pinna- ja veealuste autonoomsete sõidukite jaoks navigeerimiseks, takistuste vältimiseks ja maastiku kaardistamiseks.

Maasõidukite puhul töötavad ultraheliandurid väikestel vahemaadel (tavaliselt alla 5 meetri) ja neid kasutatakse parkimisabiks, pimeala tuvastamiseks ja läheduse jälgimiseks. Levinud meetodid hõlmavad järgmist:

• Lennuaja (ToF) mõõtmine, kus kaugus takistuseni arvutatakse edastatud ja vastuvõetud helilainete vahelise viivituse põhjal.
• Amplituudi- ja faasianalüüs, kasutatakse pinna kõvaduse või materjali omaduste järeldamiseks.
• Triangulatsioon ja kiire kujundamine, mis hindavad objekti suunda ja kuju mitme anduri abil.
• Kajaprofiil, mis klassifitseerib takistused nende akustilise tagastussignatuuri alusel.

Autonoomsete maapealsete ja veealuste sõidukite puhul laiendavad sonarisüsteemid neid põhimõtteid palju pikematele vahemikele ja akustiliselt tiheda meedia kaudu. Tüüpilised sonaripõhised tuvastamismeetodid on järgmised:

• Mitmekiireline kajahelimine, mis loob merepõhja või veealuste struktuuride 3D-punktipilved.
• Side-scan sonar, mis loob kõrge eraldusvõimega akustilisi kujutisi takistuste ja objektide tuvastamiseks mööda sõiduki trajektoori.
• Edaspidine sonar (FLS), mis tagab pinna- või sukelsõidukitele reaalajas takistuste vältimise.
• Synthetic Aperture Sonar (SAS), mis saavutab täiustatud ruumilise eraldusvõime, kombineerides sidusalt mitu sonari pinget sõiduki liikumise ajal.
• Akustilise Doppleri kiiruslogi (ADVL) integreerimine, mis võimaldab nii takistuste tuvastamist kui ka täpset liikumise hindamist.

Need akustilised süsteemid on olulised valdkondades, kus elektromagnetiline andur (nt kaamera, LiDAR, radar) on ebausaldusväärne – näiteks hägune vesi, hägune keskkond või ookeanipinna all. Kuigi sonari ruumiline eraldusvõime on madalam kui optilistel süsteemidel ning seda mõjutavad mitmeteelised ja hajuvad efektid, pakub see halva nähtavuse tingimustes võrreldamatut vastupidavust. Nagu ka teiste andurite puhul, on erinevate soolsuse, temperatuuri ja sügavuse profiilide tuvastamise täpsuse säilitamiseks vajalik regulaarne kalibreerimine, signaali filtreerimine ja keskkonna kohandamine.

Objekti tuvastamise väljundeid saab esitada erinevates koordinaatsüsteemides ja abstraktsioonitasemetes:

• 2D tuvastamine lokaliseerib objektid kujutise koordinaatides, mis sobib semantilisteks arutlusteks.
• 3D-tuvastus hindab objekti mõõtmeid, asukohta ja orientatsiooni maailmakaadris, võimaldades liikumise planeerimist ja vahemaapõhist ohutuskontrolli.
• Bird’s-Eye-View (BEV) tuvastamine projitseerib kõik andurite andmed ühtsele maapinna kaardile, lihtsustades mitme anduri ruumilist mõtlemist. Linnuvaate (BEV) esituses mitmeliigilise andurite liitmine, mis projitseerib mitme anduri andmed ühtseks maapinna koordinaatsüsteemiks, on muutunud 3D-objektide tuvastamise juhtivaks lähenemisviisiks.

Hübriidsüsteemid ühendavad need paradigmad – näiteks kaamerapõhine semantiline märgistus, mida on täiustatud LiDAR-ist tuletatud 3D-geomeetriaga –, et saavutada nii kontekstuaalne teadlikkus kui ka meetriline täpsus.

Autonoomse sõiduki standardne objektituvastuse torujuhe läbib järgmised etapid:

1. Andmete kogumine ja eeltöötlus – anduri töötlemata andmeid kogutakse, filtreeritakse, ajatempliga ja sünkroonitakse.
2. Omaduse eraldamine ja esitus — igast modaalsusest arvutatakse asjakohased geomeetrilised või visuaalsed näpunäited.
3. Objekti hüpoteesi loomine – kandidaatide tuvastamine on välja pakutud liikumise, klastrite moodustamise või kuju prioriteedi alusel.
4. Klassifikatsioon ja täpsustamine – hüpoteesid kinnitatakse, märgistatakse ja täpsustatakse sulatatud sensoorsete tõendite põhjal.
5. Järeltöötlus ja ajaline seostamine – dubleeritud tuvastamised liidetakse ja jälgimine tagab ajalise järjepidevuse.

Torujuhe töötab pidevalt reaalajas (tavaliselt 10–30 Hz) deterministliku latentsusega, et täita ohutus- ja juhtimisnõudeid.

Ükski sensortehnoloogia ei suuda jäädvustada keeruka sõidustseeni kõiki aspekte igas olukorras, erinevates ilmastiku-, valgustus- ja liiklusoludes. Seetõttu liidetakse (ühendatakse) mitme anduri andmed, et saada keskkonnast täielikum, täpsem ja usaldusväärsem arusaam, kui ükski andur üksinda suudaks pakkuda.

Igal anduriviisil on erinevad eelised ja nõrkused:

• Kaamerad pakuvad kõrge eraldusvõimega värvi- ja tekstuuriteavet, mis on oluline fooride, märkide ja objektide välimuse tuvastamiseks, kuid on tundlikud valgustuse ja ilmastiku suhtes.
• LiDAR pakub täpseid 3D geomeetria ja ulatuse andmeid, võimaldades täpset kauguse hindamist ja kuju rekonstrueerimist, kuid seda mõjutavad vihm, udu ja peegeldavad pinnad.
• Radar mõõdab objekti kiirust ja kaugust kindlalt isegi halva nähtavuse korral, kuid sellel on jäme nurkeraldusvõime ja see võib olla hädas väikeste või staatiliste objektidega.
• GNSS annab globaalse asukoha, kuid kannatab signaali blokeerimise ja peegelduse tõttu nt linnakanjonites, tunnelites ja puude võrade all.
• IMU annab liikumise hinnangu, kuid sellel on kalduvus triivida ja akumuleeruda viga.

Neid täiendavaid andmeallikaid ühendades võib tajusüsteem saavutada liiasuse, suurema täpsuse ja tõrketaluvuse – funktsionaalse ohutuse võtmetegurid (ISO 26262).

Andurite liitmine võib keskenduda komplementaarsusele – erinevad andurid annavad ainulaadset, mittekattuvat teavet ja liigsusele – kattuvad andurid kinnitavad üksteise mõõtmisi, parandades töökindlust. Kuna kasutatakse mitut anduriviisi, on mõlemad eesmärgid saavutatavad.

Täpne liitmine sõltub kriitiliselt andurite ruumilisest ja ajalisest joondamisest.

• Väline kalibreerimine määrab kindlaks jäiga keha teisendused andurite vahel (translatsioon ja pöörlemine). Tavaliselt hinnatakse seda sihtmärgipõhise kalibreerimise (nt ruudu või peegeldavate sfääride) või enesekalibreerimise abil, kasutades keskkonnafunktsioone.
• Sisemine kalibreerimine parandab anduripõhiseid moonutusi, nagu objektiivi aberratsioon või LiDAR-kiire vale joondamine.
• Ajaline sünkroniseerimine tagab, et kõik anduri mõõtmised vastavad samale füüsilisele momendile, kasutades riistvarapäästikuid, jagatud kellasid või interpolatsiooni.

Kalibreerimisvead põhjustavad ruumilisi ebakõlasid, mis võivad halvendada tuvastamise täpsust või põhjustada valepositiivseid tulemusi. Seetõttu käsitletakse kalibreerimist funktsionaalse ohutusahela osana ning seda kontrollitakse regulaarselt hooldus- ja valideerimisprotseduuride käigus.

Sulandumine võib toimuda tajukonveieri erinevates etappides, mis jagunevad tavaliselt kolmeks tasandiks:

• Andmetaseme fusioon ühendab andurite toorsignaalid enne tõlgendust, pakkudes kõige rikkalikumat sisendit, aga ka suurimat arvutuslikku koormust.
• Funktsioonitaseme liitmine ühendab töödeldud väljundid, nagu tuvastatud servad, liikumisvektorid või sügavuskaardid, tasakaalustades detailide ja tõhususe.
• Otsustustasandi fusioon ühendab erinevate andurite poolt sõltumatult tehtud järeldused, mis teeb lõpliku otsuse, mis toob kasu mitmest vaatenurgast.

Andurite liitmise matemaatiline alus seisneb tõenäosuslikus olekuhinnangus ja Bayesi järelduses. Tüüpilised formulatsioonid kujutavad süsteemi olekut tõenäosusjaotusena, mida värskendatakse anduri mõõtmiste abil. Levinud tehnikad hõlmavad järgmist:

• Kalmani filter (KF) ja selle mittelineaarsed laiendused Laiendatud Kalmani filter (EKF) ja Lõhnastamata Kalmani filter (UKF), mis säilitavad Gaussi hinnangulise olekumääramatuse ja värskendavad seda iteratiivselt uute anduriandmete saabumisel.
• Particle Filter (PF), mis kasutab kaalutud valimite komplekti suvaliste mitte-Gaussi jaotuste ligikaudseks määramiseks.
• Bayesi võrgud ja faktorigraafikud, mis esindavad andurite ja süsteemimuutujate vahelisi sõltuvusi sõlmede ja äärtena, võimaldades suuremahulist optimeerimist.
• Deep Learning-based Fusion, kus närvivõrgud õpivad kaudselt statistilisi seoseid andurite modaalsuste vahel pigem tagasilevitamise kui otsese tõenäosusliku modelleerimise kaudu.

Süvaõppel on sensorite ühendamine märkimisväärselt arenenud. Närviarhitektuurid õpivad optimaalseid fusioonikaalusid ja korrelatsioone automaatselt tundma, edestades sageli käsitsi loodud algoritme. Näiteks:

• BEVFusion ühendab LiDAR-i ja kaamera funktsioonid ülalt-alla BEV-esitusse 3D tuvastamiseks.
• TransFusion kasutab modaalsuste dünaamiliseks joondamiseks trafopõhist tähelepanu.
• DeepFusion ja PointPainting projitseerivad LiDAR-i punktid pilditasandile, rikastades neid semantiliste värvifunktsioonidega.

Lõpp-otsani termotuumasünteesivõrgud saavad ühiselt optimeerida tuvastamise, segmenteerimise ja liikumise hindamise ülesandeid, suurendades nii täpsust kui ka töökindlust. Sügava termotuumasünteesi mudelid nõuavad aga suuri multimodaalseid andmekogumeid koolituseks ja hoolikaks valideerimiseks, et tagada üldistus ja tõlgendatavus.

AI edusammud, eriti konvolutsiooniline närvivõrk, võimaldavad meil töödelda toores sensoorset teavet ja tuvastada objekte ning liigitada need kõrgema abstraktsioonitasemega klassidesse (jalakäijad, autod, puud jne). Nende kategooriate arvessevõtmine võimaldab autonoomsetel sõidukitel mõista nii sõiduki tulevase tegevuse kui ka teiste liikluses osalejate stseeni ja põhjuseid ning teha oletusi/ennustusi nende võimaliku koostoime kohta. Selles jaotises võrreldakse sagedamini kasutatavaid meetodeid, nende eeliseid ja nõrkusi.

Traditsioonilised tajutorustikud kasutasid käsitsi valmistatud algoritme funktsioonide eraldamiseks ja reeglipõhiseks klassifitseerimiseks (nt serva tuvastamine, optiline voog, värvide segmenteerimine). Kuigi need süsteemid olid tõhusad kontrollitud tingimustes, ei suutnud need üldistada reaalses maailmas toimuva sõidu tohutu varieeruvusega – valgustuse muutused, ilmastikutingimused, andurite müra ja ootamatud objektid.

Süvaõppe tulek muutis taju, võimaldades süsteemidel õppida funktsioone automaatselt suurtest andmekogumitest, mitte tugineda käsitsi loodud reeglitele. Sügavad närvivõrgud, mis on koolitatud miljonite märgistatud näidete põhjal, suudavad tabada keerulisi, mittelineaarseid seoseid töötlemata anduri sisendite ja semantiliste mõistete, nagu sõidukid, jalakäijad ja foorid, vahel.

Autonoomses sõidukis täidab tehisintellektil põhinev taju mitmeid põhiülesandeid:

• Objekti tuvastamine – huvipakkuvate üksuste tuvastamine ja lokaliseerimine.
• Semantiline ja eksemplari segmenteerimine – stseeni iga piksli või punkti klassifitseerimine.
• Jälgimine – tuvastatud üksuste jälgimine aja jooksul.
• Stseeni mõistmine – ruumilise, semantilise ja ajalise teabe integreerimine ühtseks esituseks.
• Käitumisprognoos – dünaamiliste mõjurite tõenäoliste trajektooride ja kavatsuste ennetamine.

Süvaõppe arhitektuurid moodustavad autonoomsete sõidukite tehisintellektil põhinevate tajusüsteemide arvutusliku selgroo. Need võimaldavad ekstraheerida keerulisi ruumilisi ja ajalisi mustreid otse toores sensoorsetest andmetest, nagu kujutised, punktipilved ja radaritulemused. Erinevad närvivõrgu paradigmad on spetsialiseerunud erinevat tüüpi andmetele ja ülesannetele, kuid tänapäevased tajuvirnad ühendavad sageli mitu arhitektuuri hübriidraamistikeks.

Konvolutsioonilised närvivõrgud on arvutinägemise mudelite enim väljakujunenud klass. Nad töötlevad visuaalset teavet konvolutsioonifiltrite kihtide kaudu, mis õpivad tundma funktsioonide ruumilist hierarhiat – servadest ja nurkadest tekstuuride ja objektiosadeni. CNN-id on eriti tõhusad objekti tuvastamise, semantilise segmenteerimise ja kujutise klassifitseerimise ülesannete jaoks. Autonoomses sõidus kasutatavad silmapaistvad CNN-põhised arhitektuurid hõlmavad järgmist:

• “ResNet” ja “EfficientNet” üldiste funktsioonide ekstraheerimiseks,
• “Kiiremad R-CNN” ja “YOLO” perekonnad objektide reaalajas tuvastamiseks,
• U-Net ja DeepLab tiheda semantilise segmenteerimise jaoks.

Kui kaamerad jäädvustavad kahemõõtmelisi projektsioone, siis LiDAR ja radari andurid toodavad kolmemõõtmelisi punktipilvi, mis nõuavad spetsiaalset töötlemist. 3D-konvolutsioonivõrgud, nagu VoxelNet ja SECOND, diskretiseerivad ruumi voksliteks ja rakendavad geomeetriliste tunnuste õppimiseks konvolutsioonifiltreid. Teise võimalusena töötavad punktipõhised võrgud, nagu PointNet ja PointNet++ otse töötlemata punktikomplektidel ilma vokseliseerimiseta, säilitades peened geomeetrilised detailid. Need mudelid on kriitilise tähtsusega objektide kuju ja kauguse hindamisel 3D-ruumis, eriti keerulistes valgus- või ilmastikutingimustes.

Algselt loomuliku keele töötlemiseks välja töötatud transformaatorivõrgud on kohandatud nägemiseks ja multimodaalseks tajumiseks. Need põhinevad enesetähelepanu mehhanismidel, mis võimaldavad mudelil jäädvustada pikamaa sõltuvusi ja kontekstuaalseid seoseid pildi erinevate osade või mitme anduri vahel. Autonoomses sõidus kasutatakse trafosid funktsioonide liitmiseks, linnuperspektiivi (BEV) kaardistamiseks ja trajektoori ennustamiseks. Märkimisväärsed näited hõlmavad DETR (tuvastustransformaator), BEVFormer ja TransFusion, mis ühendavad kaamerate ja LiDAR-ide teabe järjepidevaks ruumiliseks esituseks.

Autojuhtimine on oma olemuselt dünaamiline protsess, mis nõuab liikumise ja ajalise arengu mõistmist. Korduvaid närvivõrke (RNN), eriti pika lühiajalise mälu (LSTM) ja väravaga korduva üksuse (GRU) mudeleid kasutatakse vaatluste jadade töötlemiseks ja ajaliste sõltuvuste tabamiseks. Need on tavalised objektide jälgimise ja liikumise ennustamise puhul, kus on oluline säilitada liikuvate objektide identiteet ja kiirused aja jooksul. Uuemad arhitektuurid kasutavad ajalisi konvolutsioonivõrke või trafosid, et saavutada sarnaseid tulemusi suurema paralleelsuse ja stabiilsusega.

Graafiku närvivõrgud laiendavad sügavat õppimist relatsiooniandmetele, esitades stseene graafikutena, kus sõlmed vastavad agentidele või orientiiridele ja servad kodeerivad ruumilisi või käitumuslikke suhteid. See struktuur muudab GNN-id hästi sobivaks sõidukite, jalakäijate ja infrastruktuuri elementide interaktsiooni modelleerimiseks. Sellised mudelid nagu “VectorNet”, “Trajectron++” ja “Scene Transformer” kasutavad GNN-e agentide vaheliste sõltuvuste õppimiseks, toetades nii stseeni mõistmist kui ka trajektoori prognoosimist.

Kaasaegsed tajusüsteemid ühendavad sageli mitu arhitektuurilist perekonda ühtseteks raamistikeks. Näiteks võib CNN eraldada pildifunktsioone, punktipõhine võrk võib töödelda LiDAR-i geomeetriat ja trafo võib ühendada mõlemad ühiseks esituseks. Need hierarhilised ja multimodaalsed arhitektuurid võimaldavad tugevat tajumist erinevates keskkondades ja anduritingimustes, pakkudes kõrgetasemelist stseeni mõistmist, mis on vajalik turvaliseks autonoomseks käitumiseks.

Tehisintellektil põhinevate tajusüsteemide tõhusus sõltub põhiliselt nende arendustegevuse elutsükli jooksul kasutatud andmete kvaliteedist, mitmekesisusest ja haldamisest. Kuna sügavad närvivõrgud ei tugine selgesõnalisele programmeerimisele, vaid õpivad tõlgendama keskkonda suurtest, märkustega varustatud andmekogumitest, saavad andmed autonoomsete sõidukite usaldusväärse tajumise aluseks.

Tugev taju nõuab kokkupuudet kõigi töötingimustega, millega sõiduk võib kokku puutuda. Andmekogumid peavad sisaldama variatsioone järgmistes kohtades:

• Sensori modaalsused – andmed kaameratest, LiDAR-ist, radarist, GNSS-ist ja IMU-st, mis peegeldavad taju multimodaalset olemust.
• Keskkonnatingimused – päevased ja öised stseenid, erinevad aastaajad, ilmastikuefektid, nagu vihm, udu või lumi.
• Geograafiline ja kultuuriline kontekst – linna-, eeslinna- ja maapiirkonnad; mitmekesised liiklusreeglid ja liiklusmärgid.
• Käitumise mitmekesisus – tavaline sõit, agressiivsed manöövrid ja haruldased sündmused, nagu jaywalking või hädapeatused.
• Edge juhtumid – haruldased, kuid ohutuse seisukohast kriitilised olukorrad, sealhulgas kokkupõrke lähedased või andurite ummistused.

Tasakaalustatud andmekogum peaks hõlmama nii tavalisi kui ka ebatavalisi olukordi, et tajumudelid üldistaksid ohutult väljaspool koolituse levikut. Kuna reaalmaailma andmete kogumine iga võimaliku stsenaariumi jaoks on ebapraktiline ja peaaegu võimatu, kasutatakse reaalmaailma andmekogumite täiendamiseks sageli simuleeritud või sünteetilisi andmeid. Fotorealistlikud simulaatorid nagu “CARLA”, “LGSVL” või “AirSim” võimaldavad genereerida märgistatud andurite andmeid kontrollitud tingimustes, sealhulgas harvadel või ohtlikel sündmustel. Sünteetilised andmed aitavad täita lünki reaalmaailma katvuses ja toetavad ülekande õppimist, kuigi sageli on vaja domeeni kohandamist, et leevendada nn “sim-to-real lõhet” - erinevusi simuleeritud ja tegelike andurite jaotuste vahel.

Järelevalvega õppemudelid põhinevad täpselt annoteeritud andmekogumitel, kus iga pilt, kaader või punktipilv on märgistatud semantilise teabega, nagu objektiklassid, piirdekastid või segmenteerimismaskid. Märkuste kvaliteet on kriitiline: ebajärjekindlad või mürarikkad sildid võivad õppeprotsessis süstemaatilisi vigu levitada. Kaasaegsed annotatsioonitorustikud ühendavad inimeste märgistamise automatiseerimisega – kasutades protsessi kiirendamiseks eelkoolitatud mudeleid, interaktiivseid tööriistu ja aktiivset õppimist. Kõrge täpsusega märgistamine on eriti nõudlik LiDAR-i punktipilvede ja mitme anduriga liitandmekogumite puhul, kus 3D-geomeetrilist järjepidevust tuleb säilitada kaadrite lõikes.

Autonoomsel juhtimisel kasutatavad andmed hõlmavad sageli inimeste, sõidukite ja vara kujutisi. Privaatsuseeskirjade ja eetikastandardite järgimiseks tuleb andmestikud muuta anonüümseks, hägustada nägusid ja numbrimärke, krüpteerida asukohaandmeid ja säilitada turvaline andmesalvestus. Andmekogumi kujundamise õiglus ja kaasatus on võrdselt olulised, et vältida geograafiliste piirkondade või demograafiliste kontekstide eelarvamusi.

Stseeni mõistmine on protsess, mille käigus autonoomne agent tõlgendab oma keskkonda sidusa mudelina – integreerib keskkonnakaardi, objektid, semantika ja dünaamika struktureeritud esitusse, mis toetab otsuste tegemist. See on sild töötlemata taju ja kõrgema taseme autonoomia funktsioonide, nagu planeerimine, ennustamine ja kontroll, vahel.

Stseeni mõistmise eesmärk on muuta killustatud andurituvastused ümbritseva stseeni tähenduslikuks, ajaliselt järjepidevaks mudeliks.

Stseeni mõistmine tugineb sageli mitmekihilistele esitustele:

• Geomeetriline kiht – 3D hõivatuse ruudud või linnulennu (BEV) kaardid keskkonnast.
• Semantiline kiht – klassisildid objektidele ja pindadele.
• Relatsioonikiht – olemitevahelised lingid, suhted ja sõltuvused.
• Ajaline kiht – lühiajaline evolutsiooni ja liikumise ennustamine.
• Käitumiskiht – tuletatud kavatsused ja võimalikud manöövrid.

Relatsioonikiht fikseerib, kuidas liiklusstseenis olevad olemid suhtlevad üksteisega ja staatilise keskkonnaga. Kui alumised kihid (geomeetrilised ja semantilised) kirjeldavad, mis on olemas ja kus see asub, siis relatsioonikiht kirjeldab elementide omavahelist seost – ruumiliselt, funktsionaalselt ja käitumuslikult.

Ruumiline seos kirjeldab nt. vastastikune kaugus, suhteline kiirus ja trajektooride võimalik kokkupõrge. Funktsionaalsed seosed kirjeldavad seda, kui üks olem muudab, piirab või piirab teise funktsioone, nt liiklusrajad muudavad sõidukite liikumist, reelingud piiravad jalakäijate liikumist jne.

Neid seoseid saab selgesõnaliselt kujutada stseenigraafikutega, kus sõlmed esindavad üksusi ja servad suhteid, või kodeerida erinevat tüüpi närvivõrkudesse, nt visuaalkeele mudelitesse.

Stseeni mõistmine peab säilitama ajalise stabiilsuse kaadrite lõikes. Virvendustuvastused või ebajärjekindlad semantilised sildid võivad põhjustada ebastabiilse planeerimise. Tehnikad hõlmavad ajalist silumist, kaadritevahelist andmete seostamist järjepidevate objektiidentiteetide säilitamiseks või mäluvõrke, mis säilitavad kontekstuaalset teavet aja jooksul.

Stseeni mõistmise ajaline osa on tihedalt seotud kõigi dünaamiliste agentide liikumise ennustamise ja tulevaste trajektooride prognoosimisega. Kaks peamist lähenemisviisi on füüsikapõhised mudelid (nt konstantse kiirusega mudelid, jalgrattamudelid), mis on lihtsad ja tõlgendatavad, kuid keerukate interaktsioonidega piiratud, ja õppimispõhised mudelid, kus andmepõhised võrgud püüavad kinni kontekstipõhised sõltuvused ja mitmed võimalikud tulevikud (nt MultiPath, Trajectron++, VectorNet).

Usaldusväärsete autonoomsete süsteemide projekteerimisel on palju disainiprobleeme. Selles peatükis käsitletud AV-konveieri esiotsa puhul keskenduvad väljakutsed elegantsele tööle mitmesugustes töötingimustes (ODD), andurite jõudlusnäitajates ja tarneahela probleemides.

Ilm on autonoomsete süsteemide peamine ebakindluse allikas, kuna see halvendab otseselt anduri jõudlust, kuid selle mõju varieerub oluliselt maa-, õhu-, mere- ja kosmosevaldkonnas. Maapinnal võivad vihm, udu, lumi ja tolm oluliselt kahjustada optilisi andureid (kaamerad, lidar) hajumise, sumbumise ja oklusiooni kaudu, mõjutades samal ajal ka radarit mitme tee ja segaduse kaudu, muutes taju ja objektide klassifitseerimise autonoomsete sõidukite peamisteks kitsaskohtadeks. Õhusüsteemides mõjutavad ilmastikumõjud, nagu jäätumine, turbulents ja konvektiivtormid, nii andurit kui ka sõiduki dünaamikat; lennundusele on aga kasulik struktureeritud andur (nt radar, inertsiaalsüsteemid, GPS) ja hästi arenenud ilmastiku vältimise protseduurid, mis võimaldavad autopiloodisüsteemidel püsida tugevana seni, kuni ohtlikke piirkondi välditakse. Meresüsteemid seisavad silmitsi merepihu, laine liikumise ja madala kontrastsusega keskkonnaga seotud püsivate väljakutsetega, mis halvendavad nägemissüsteeme ja põhjustavad andurite mõõtmiste ebastabiilsust, kuigi radar ja sonar pakuvad üksteist täiendavat vastupidavust. Kosmoses puudub traditsiooniline “ilm”, kuid analoogsed keskkonnamõjud - nagu päikesekiirgus, kosmilised kiired ja termilised äärmused - mõjutavad andurite töökindlust ja elektroonikat, mis nõuavad kiirguskindlat disaini ja koondamist. Kõigis valdkondades on peamine erinevus see, et ilm (või selle ekvivalent) mitte ainult ei vähenda andurite täpsust, vaid suurendab ka ebakindlust oleku hindamisel ja otsuste tegemisel, muutes andurite liitmise, koondamise ja tõenäosusliku arutluse ohutu autonoomse töö tagamiseks hädavajalikuks.

Lisaks kasvab elektromagnetilise (EM) energia kasutamine tänapäevastes transpordikoridorides kiiresti kolme peamise teguri tõttu. Esiteks on mobiilsidevõrkude laiendamine reisijate pideva telekommunikatsiooni toetamiseks intensiivistanud ümbritsevat EM-i. Teiseks on aktiivsete andurite (nagu radar ja LiDAR) laialdane integreerimine sõidukitesse toonud kaasa täiendavaid kõrgsagedusallikaid. Kolmandaks rakendavad taristuettevõtjad teeäärsetes üksustes (RSU-des) aktiivset anduritehnoloogiat, et võimaldada sõidukitevahelise infrastruktuuri (V2I) sidet ja jälgimist. Sellest tulenev aktiivsete EM-allikate kontsentratsioon on visuaalses ribas suhteliselt hästi arusaadav, võttes arvesse väga peegeldava tsiviilinfrastruktuuri kujundamist ja öiste häirete meetodeid. Kõigi anduriviiside puhul pole aga sama hoolt tehtud. Aktiivsed andurid loovad eriti maapealsete ja õhutranspordi (õhutaksokoridoride) jaoks tihedaid EM-energiakoridore, mis tõstatavad häirete, kooseksisteerimise ja ohutusega seotud uusi väljakutseid, mida pole veel kirjeldatud.

Lisaks ilmastikule ja EMI-le peavad andurid olema piisavalt täielikud, et tagada katvus tsiviilehituse infrastruktuuri piirangute korral. Olulised aspektid hõlmavad kurvide käsitlemist, sisse- ja väljalülitamistrampe, sildu, tunneleid ja palju muud. Disaineri jaoks on anduri tüübi, andurite arvu ja andurite maksumuse vahel keeruline kompromiss. Õhu-, mere- ja kosmosesüsteemide puhul on võimsus ja kaal samuti peamised probleemid.

Lõpuks on pooljuhtide äristruktuuri tõttu kulud ja tarneahel tihedalt seotud. Pooljuhtide kulude ja mahu vahelist suhet kujundavad põhimõtteliselt kõrged püsikulud ja madalad piirkulud, mis loovad võimsa mastaabisäästu. Pooljuhtide tootmine nõuab tohutuid eelinvesteeringuid tootmisrajatistesse (fabs), protsesside arendusse ja maskikomplektidesse – sageli kogusummas miljardeid dollareid –, samas kui iga täiendava kiibi tootmise lisakulud (kui fab töötab) on suhteliselt madalad. Tootmismahu kasvades amortiseeritakse need püsikulud suurema arvu ühikute pealt, mis vähendab ühe kiibi maksumust. Seda dünaamikat tugevdavad õppimiskõvera efektid (mida kirjeldatakse sageli Wrighti seaduses), kus saagikuse parandamine, protsesside optimeerimine ja defektide vähendamine vähendavad kumulatiivse mahuga veelgi ühikukulusid. Kuid see seos ei ole lineaarne: täiustatud sõlmed (nt alla 5 nm) toovad kaasa kasvavaid maski- ja tööriistakulusid, mis nõuavad äärmiselt suuri mahtusid, et olla majanduslikult elujõulised, samas kui väiksema mahuga või spetsiaalsed kiibid (nt autotööstus, lennundus) sõltuvad sageli küpsetest sõlmedest, kus kulud on stabiilsemad, kuid vähem agressiivselt optimeeritud. Selle tulemusel on pooljuhtide tööstuses tugev seos mastaabi, tehnoloogia sõlme ja turunõudluse vahel, kusjuures eesrindlik innovatsioon on majanduslikult õigustatud peamiselt suuremahulistes rakendustes, nagu olmeelektroonika ja andmekeskuste andmetöötlus.

Täiustatud pooljuhid võivad oluliselt parandada funktsioonide, võimsuse ja kulude jõudlust. Tihti määrab aga selle, kas kiip ehitatakse, mahu ökonoomsus. Tänapäeval domineerivad pooljuhtide tsüklis tarbekaubad. Autotööstuse turud pakuvad keskmise tasemega mahtu ja muud viisid (lennu-, kosmose-, meresõidukid) on väga väikese mahuga turud. Sellest tulenev disainiprobleem on kas kasutada tarbijaturult täiustatud pooljuhtkiipe, kuid ohutuspiirangutega. Teise võimalusena kasutage madalama astme pooljuhtkiipe, kuid lahendage jõudluse/võimsuse/kulu/kaalu väljakutsed.

Olles loonud anduri, objektituvastuse ja asukohateenuste jaotise, kuidas neid komponente testida. Põhialused on kooskõlas 2. peatüki aruteludega. Üks defineerib ODD, ehitab selle alla testid, rakendab neid teste ja määrab õigsuse. Testide rakendus võib olla virtuaalne (simulatsioon), füüsiline (testrada) või isegi komponentidel põhinev segu (riistvara loopis või tarkvara loopis). Testide populatsioon peab olema piisavalt täielik, et näidata piisavat katvust. Andurite ja tehisintellekti kasutuselevõtt muudab selle protsessi oluliselt keerukamaks.

Andurite testimine ohutuskriitilistes süsteemides on eriti keeruline, kui seda vaadata läbi kontrollimise, valideerimise (V&V) ja sertifitseerimise, kuna andurid on nii riistvaraseadmed kui ka kontekstist sõltuvad mõõtmissüsteemid. Kontrollimiseks – anduri konstruktsiooninõuetele vastavuse tagamiseks – saab teha laboratoorse kalibreerimise, keskkonnamõjude testimise ja vastavuse sellistele standarditele nagu ISO 16750 (keskkonnatingimused), DO-160 (avioonika) ja MIL-STD-810 (kaitsesüsteemid). Valideerimine – anduri piisava toimimise tagamine tegelikus töökontekstis – on aga palju keerulisem. Anduri jõudlus sõltub suuresti töökujundusvaldkonnast (ODD), sealhulgas ilmast, valgustusest, segadusest ja häiretest, mida on raske täielikult kopeerida või siduda. See lõhe kontrollitud kontrolli ja reaalse maailma valideerimise vahel on eriti terav tajuandurite (nt kaamerad, radar, lidar) puhul, kus jõudlus on pigem tõenäosuslik kui deterministlik ja seda mõjutab tugevalt keskkonna varieeruvus. Tänapäeval on mehaanilistes testimisseadmetes palju uuendusi, mis jäljendavad füüsilist liikumist Anechoic Chambersis, et luua raskeid katsestsenaariume. Väliskeskkonnas pakuvad droonide tarud EM-andurite ja müra tekitajatena testradadele sarnast funktsiooni.

Tabel 1: tavapäraste ja masinõppe algoritmide kontrast

AI kasutuselevõtt traditsioonilise tarkvara asendajana toob kaasa olulisi valideerimisprobleeme (tabel 1). Märkimisväärne on see, et paljud tarkvara testimiseks välja töötatud tehnikad, nagu koodiülevaatused, koodi katvus ja staatilise analüüsi tööriistad. Lisaks näib tehisintellekti komponendi testimiseks tõenäoline, et tuleb testida meetodit, mille abil see välja õpetati, ja juurdepääs koolitusandmetele.

Auto-, mere-, õhu- ja kosmosevaldkonna ohutusstandardid arenevad nüüd, et käsitleda AI/ML-põhiste funktsioonide kasutuselevõttu, nihkudes puhtalt deterministlikelt kindlusmudelitelt andmepõhiste ja tõenäosuslike valideerimisraamistike poole. Autotööstuses on standardile ISO 26262 vastavat traditsioonilist funktsionaalset ohutust laiendatud standarditega ISO/PAS 8800 ja ISO 21448, et käsitleda selgesõnaliselt AI-põhiste süsteemide tajumise ebakindlust, koolitusandmete katvust ja jõudluspiiranguid. Lennunduses täiendavad juhiseid, nagu DO-178C, esilekerkivad raamistikud, nagu DO-387 (arendamisel), et lahendada mittedeterministlik käitumine, seletatavus ja õppimise tagamine. Samamoodi hakkavad ECSS-i standardite alusel juhitavad kosmosesüsteemid ja Rahvusvahelise Mereorganisatsiooni raamistikest juhinduvad meresüsteemid arvestama autonoomia ja tehisintellekti kaalutlustega, eriti mehitamata ja kaugjuhitavate platvormide puhul. Kõigis valdkondades on levinud suundumus, et turvalisuse tagamine liigub staatiliselt vastavuselt elutsüklipõhisele tagatisele, sealhulgas andmekogumi haldamine, simulatsioonipõhine valideerimine, käitusaja jälgimine ja pideva sertifitseerimise kontseptsioonid. See peegeldab põhjapanevat nihet ohutustehnikas – fikseeritud loogika õigsuse tõestamisest kuni ebakindluse tingimustes töötavate adaptiivsete andmepõhiste süsteemide käitumise piiramiseni.

Selle jaotise ülejäänud osas esitatakse praktiline simulatsioonipõhine illustratsioon autonoomse sõiduriivi taju, kaardistamise (HD-kaardid/digitaalsed kaksikud) ja lokaliseerimiskihtide kinnitamiseks. Põhiidee on ankurdada testid operatiivdisaini domeeni (ODD), väljendada neid reprodutseeritavate stsenaariumidena ja esitada mõõdikuid, mis ühendavad moodulitaseme käitumise süsteemitaseme ohutusega.

Jaotame virna tajumiseks (objekti tuvastamine/jälgimine), kaardistamiseks (HD-kaardi/digitaalse kaksiku loomine ja järjepidevus) ja lokaliseerimiseks (GNSS/IMU ja nägemus/LiDAR-abi) ning valideerime igaüks sihitud KPI-de ja veasüstidega. Tõendid on jaotatud ohutusjuhtumiks, mis selgitab, kuidas mooduli tulemused süsteemi tasemel koosnevad. Testid tuletatakse ODD-st ja esitatakse sihtkeskkonnas loogiliste/konkreetsete stsenaariumitena (nt stsenaariumikeelega nagu Scenic). See annab teile süstemaatilise katvuse ja reprodutseeritava servajuhtumite genereerimise, säilitades samas konksud standarditega kooskõlastatud argumentide (nt ISO 26262/SOTIF) ja formaalsete analüüside jaoks, kui see on asjakohane.

Eesmärk on kvantifitseerida tuvastamise jõudlust ja selle mõju ohutusele kogu ODD-s. Lõpp-lõpuni ülitäpse (HF) simulatsiooni puhul logime nii simulaatori põhitõe kui ka virna tuvastamised, seejärel arvutame klasside statistika kauguse ja oklusiooni funktsioonina. Lähivälja vead on rõhutatud, kuna need domineerivad pidurdamisel ja kokkupõrkeriskil. Stsenaariumikomplektid peaksid hõlmama osalisi oklusioone, ootamatuid takistusi, haavatavaid liiklejaid ja ebasoodsat ilma/valgustust, mis kõik on realiseeritud saidikaardil, et tõrkeid saaks uuesti esitada ja võrrelda.

• KPI-d: täpsus/kutsumine klassi ja vahemaa kohta; deltad avastamise ja reageerimise aeg; TTC kättesaadavus ja see, kas tajutavad takistused käivitavad piisava pidurdusteekonna.
• Otsingustrateegia: kasutage laiuse jaoks madala detailsusega (LF) pühkimisi (planeerija ahelas, lihtsustatud andurid) ja kinnitage kõrge riskitasemega juhtumeid täieliku anduri simulatsiooniga enne raja katsetamist.

Joonis 1 selgitab objektide võrdlust. Rohelised kastid kuvatakse objektide jaoks, mis on jäädvustatud põhitõe abil, samas kui punased kastid kuvatakse AV-pinu tuvastatud objektide jaoks. Lävepõhised reeglid on loodud objektide võrdlemiseks. Eeldatakse, et see pakub ohutus- ja ohualade jaoks erinäitajaid tuvastatavate sõidukite kohta erinevates vahemikes.

Valideerimine algab kaardi ja digitaalse kaksiku loomisega. Aeropildid ehk LiDAR kogutakse RTK geosildistamise ja mõõdistatud kontrollpunktidega, töödeldakse seejärel tihedateks punktipilvedeks ja liigitatakse teede, hoonete ja taimestiku eraldamiseks. Sealt saate eksportida OpenDRIVE'i (radade, liiklusreeglite ja topoloogia jaoks) ja 3D-keskkonna kõrgsagedussimulatsiooniks. Kaksik peaks olema piisavalt täpne, et tajumudelid artefakte üle ei sobiks ja lokaliseerimisalgoritmid suudaksid saavutada sõiduraja tasemel järjepidevuse.

Peamised kontrollid hõlmavad sõiduraja topoloogia täpsust ja mõõdistust, geograafilist järjepidevust sentimeetrites ja semantilist järjepidevust (nt sulgurite, märkide, ülekäiguradade õige paigutus). Tajumiseks ja lokaliseerimiseks kasutatavad stsenaariumid on seotud selle kaksikuga, nii et tulemusi saab taasesitada ja jagada meeskondade või sõidukite vahel. Aja jooksul lisate muudatuste haldamise: tuvastate ja kvantifitseerige triivid, kui reaalne maailm muutub (ehitus, lehestik, märgistused) ja kinnitage mõjutatud stsenaariumid uuesti.

Siin keskendutakse ego-pooside vastupidavusele anduri müra, katkestuste ja kaardi ebakõlade suhtes. Simulatsioonis sisestate GNSS-i mitmeteelisuse, IMU-nihke, pakettide väljalangemise või lühikese GNSS-i katkestuse ja jälgite, kui kiiresti hindaja lahkneb ja uuesti läheneb. Sarnased testid häirivad kaarti (nt väikesed sõidurajamärgiste kõrvalekalded), et uurida hindaja tundlikkust kaardistamisvea suhtes.

Järgmine on lühike KPI loend:

• Poseerimisviga ja triiv: kaadri asukoha/orientatsiooniviga, triivi kiirus GNSS-i kadumise ajal.

• Järjepidevus: järjepidevus sõiduraja tasemel ristmikel ja järskudel manöövritel.

• Taastumine: taaskonvergentsi aeg ja kursi stabiilsus pärast katkestusi.

• Ohutuse levik: mõju kokkupõrkekaugusele (DTC), pidurdamise piisavusele ja reeglite kontrollimisele (nt sõiduraja piires hoidmine).

Praegused valideerimismeetodid teostavad eeldatava ja tegeliku asukoha üks-ühele vastendamise. Nagu on näidatud joonisel 2, arvutatakse iga kaadri jaoks sõiduki asukoha kõrvalekalle ja esitatakse valideerimisaruandes. Hilisemad parameetrid, nagu min/max/keskmised kõrvalekalded, arvutatakse samast aruandest. Valideerimisprotseduuris on võimalik ka simulaatorit modifitseerida, et lisada lokaliseerimisprotsessi müra lisamise mehhanism, et kontrollida töökindlust ja kinnitada selle toimivust.

Kaheetapiline töövoog tasakaalustab katvuse ja realistlikkuse. Esiteks kasutage LF-tööriistu (nt planeerija ahelas koos lihtsustatud andurite ja liiklusega), et pühkida suuri loogiliste stsenaariumide võrgustikke ja tuvastada riskantsed piirkonnad parameetriruumis (suhteline kiirus, esialgne vahe, oklusioonitase). Seejärel viige kõige informatiivsemad konkreetsed stsenaariumid HF-simulatsiooni fotorealistlike anduritega, et kontrollida taju ja lokaliseerimise interaktsioone. Kui see on asjakohane, viiakse suletud katseteks väike, kureeritud stsenaariumide komplekt. Edukriteeriumid on kõikides etappides järjepidevad ja käitamisjärgsed analüüsid omistavad ebaõnnestumised tajule, lokaliseerimisele, prognoosimisele või planeerimisele, nii et parandused on pigem suunatud kui üldised.

Peatükis arendatakse terviklik ülevaade tajust, kaardistamisest ja lokaliseerimisest kui autonoomsete süsteemide alusest, rõhutades, kuidas kaasaegne autonoomia toetub nii ajaloolisele automatiseerimisele (nt valdkondadevahelised autopiloodid) kui ka AI hiljutistele edusammudele. See selgitab, kuidas taju muudab töötlemata anduriandmed (kaamerate, LiDAR-i, radari ja akustiliste süsteemide vahel) objekti tuvastamise, andurite liitmise ja stseeni tõlgendamise kaudu struktureeritud mõistmiseks. Põhiteema on see, et ühest andurist ei piisa; Selle asemel sõltub tugev autonoomia mitmeliigilise andurite ühendamisest, tõenäosushinnangust ja hoolikast kalibreerimisest, et juhtida ebakindlust. Peatükis rõhutatakse ka tehisintellekti, eriti süvaõppe, muutvat rolli skaleeritava taju ja stseeni mõistmise võimaldamisel, märkides samas, et need meetodid toovad kaasa uusi väljakutseid, mis on seotud andmete sõltuvuse, üldistamise ja tõlgendatavusega.

Teine põhirõhk on ebastabiilsuse ja valideerimise allikatel, kus peatükis seostatakse keskkonnamõjud (ilm, elektromagnetilised häired), infrastruktuuri piirangud ja pooljuhtide ökonoomika süsteemitasemel jõudlusega. See rõhutab, et valideerimine peab põhinema operatiivdisaini domeenil (ODD) ega saa tugineda ainult füüsilisele testimisele, mis nõuab simulatsiooni, tsükli riistvara ja stsenaariumipõhiste meetodite kombinatsiooni. Tehisintellekti kasutuselevõtt muudab kontrollimise ja kinnitamise veelgi keerulisemaks selle tõenäosusliku, mittedeterministliku olemuse tõttu, mis seab proovile traditsioonilised tagamistehnikad. Selle tulemusena arenevad valdkonnaülesed ohutusmeetodid elutsüklipõhise kindlustunde suunas, mis hõlmab andmete juhtimist, simulatsioonipõhist testimist ja pidevat jälgimist. Peatükk lõpeb struktureeritud valideerimisraamistikuga, mis seob taju, kaardistamise ja lokaliseerimise jõudluse süsteemitaseme ohutusmõõdikutega, rõhutades usaldusväärse ohutusjuhtumi koostamisel reprodutseeritavust, katvust ja jälgitavust.

Maa-, õhu-, mere- ja kosmosevaldkonna autonoomsed süsteemid jagavad ühiseid arhitektuurseid kihte – taju, otsuste tegemine ja kontroll –, kuid need erinevad oluliselt dünaamika, keskkonna ebakindluse ja ohutuspiirangute tõttu. Maapealsed süsteemid (nt auto- ja mobiilsed robotid) töötavad hästi struktureeritud, kuid segastes keskkondades, kus suhtlevad sageli inimesed ja infrastruktuur. Nende juhtimisalgoritmid rõhutavad reaalajas reageerimisvõimet, hõõrdepiiranguga dünaamikat ja täpset madalal kiirusel manööverdamist (nt PID/MPC kontrollerid, mis on häälestatud rehvi ja tee vastastikmõjuks). Otsuste tegemine tugineb sageli reeglipõhistele süsteemidele, mida on täiendatud tõenäosusliku arutluskäiguga, et käsitleda liiklusseadusi ja agentide interaktsioone, samas kui tee planeerimine ühendab graafikupõhised meetodid (A*, D*) globaalseks marsruutimiseks valimipõhiste või optimeerimispõhiste planeerijatega (RRT*, MPC), et vältida kohalike takistuste vältimist kitsaste latentsuspiirangute korral.

Seevastu õhus olevad süsteemid (nt UAV-d, kommertslennukid) töötavad vähem segaduses, kuid väga dünaamilises 3D-keskkonnas, kus on rangemad stabiilsus- ja ohutusnõuded. Juhtsüsteemid on tavaliselt kihilised sisemise ahela stabiilsuse suurendamise (sageli lineariseeritud või võimendusega ajastatud kontrollerid) ja välimise ahela juhtimisseadustega. Otsuste tegemisel tuleb arvesse võtta õhuruumi eeskirju, ilmastiku- ja energiapiiranguid, kasutades ohutuse tagamiseks sageli hübriidsüsteeme ja ametlikke meetodeid. Teekonna planeerimine ulatub pidevasse 3D-ruumi koos trajektoori optimeerimisega aerodünaamiliste ja kinemaatiliste piirangute korral. Meresüsteemid seisavad silmitsi aeglasema dünaamikaga, kuid oluliste keskkonnahäiretega (hoovused, lained, tuul) ja piiratud tajutruudusega. Nende juhtimismeetodid rõhutavad sageli robustsust ja häirete tagasilükkamist (nt adaptiivne või mittelineaarne juhtimine), samas kui otsuste tegemisel tuleb käsitleda hõredat infrastruktuuri ja pikaajalist autonoomiat. Teede planeerimisel võidakse eelistada energiatõhusust ja teekonnapunktidel põhinevat navigeerimist reaktiivsele takistuste vältimisele, välja arvatud ülekoormatud veeteedel.

Kosmosesüsteemid töötavad kõige äärmuslikumas ja kõige vähem andestavas keskkonnas, kus domineerivad viivitused, piiratud käivitamine ja orbitaalmehaanika. Juhtimisalgoritmid on tugevalt mudelipõhised, sageli tuletatud esimestest põhimõtetest (nt astrodünaamikast), millel on piiratud võimalused reaalajas korrigeerimiseks. Otsustamine on tavaliselt konservatiivne ja kõrgelt valideeritud ning süvakosmose missioonide puhul kasutatakse üha enam pardal asuvat autonoomiat, kus sideviivitused välistavad inimese ahelas juhtimise. Teekonna planeerimine on põhimõtteliselt erinev – keskendutakse trajektoori kujundamisele, kasutades orbitaalülekandeid, optimeerimist gravitatsioonipiirangute alusel ja kütuse minimeerimist, mitte takistuste vältimist. Kõigis neis valdkondades peegeldab liikumine maapinnast kosmosesse üleminekut reaktiivsetelt, andmepõhistelt lähenemisviisidelt ennustavate, mudelipõhiste ja kõrgelt kontrollitud meetodite suunas, mis on tingitud ebaõnnestumise suurenevatest tagajärgedest ja inimeste reaalajas sekkumise võimaluste vähenemisest.

Klassikalised juhtimisstrateegiad moodustavad kaasaegsete sõidukite juhtimissüsteemide aluse. Need meetodid põhinevad sõiduki dünaamika matemaatilistel mudelitel ja juhtimisteooriast väljakujunenud põhimõtetel, mis töötati välja peamiselt 20. sajandil. Nende tugevus seisneb nende matemaatilises ranguses, läbipaistvuses ja hästi mõistetavates stabiilsusomadustes.

• Mudelipõhine lähenemine: Klassikaline juhtimine nõuab tavaliselt matemaatilist mudelit, mis kirjeldab sõiduki käitumist (nt kuidas roolinurk mõjutab külgasendit, kuidas mõjutab gaasipedaali sisend kiirust). Need mudelid on sageli tööpunktide ümber lineariseeritud või kasutavad lihtsustatud esitusi (nagu jalgrattamudel külgdünaamika jaoks).
• Tagasiside juhtimine: Põhiidee on tagasiside: mõõta hetkeseisu (nt tegelik kiirus, tegelik roolimisnurk, külgmise asendi viga), võrrelda seda soovitud olekuga (seadepunkt või võrdlustrajektoor), arvutada viga ja genereerida juhttoiming (nt gaasipedaali käsk, roolinurga käsk), et seda viga minimeerida.
• Peamised tehnikad:
  • PID (proportsionaalne integraalne tuletis) juhtimine: võib-olla kõige levinum juhtimisalgoritm. See arvutab juhttoimingu proportsionaalse vea (praegune erinevus), varasemate vigade integraali (elimineerib püsiseisundi vea) ja vea tuletise (ennatab tulevase vea, summutab võnkumisi) põhjal. Kasutatakse laialdaselt kiiruse reguleerimiseks, lengerduskiiruse reguleerimiseks ja lihtsateks roolimistoiminguteks.
  • LQR (Linear Quadratic Regulator): optimaalne juhtimistehnika, mis leiab juhtimissisendid, mis minimeerivad kulufunktsiooni, tasakaalustades tavaliselt jälgimisviga ja juhtimiskoormust (või juhtimisenergiat). Nõuab süsteemi lineaarset mudelit ja kulufunktsiooni kaalude määratlusi. Sageli kasutatakse trajektoori jälgimiseks ja stabiliseerimiseks.
  • Oleku hinnang: Sellised tehnikad nagu Kalmani filtrid on klassikalise juhtimise olulised kaaslased. Need ühendavad mitme anduri (IMU, GPS, rattakiiruse andurid) andmeid, et hinnata täpselt sõiduki olekut (asend, kiirus, orientatsioon jne), mis seejärel kontrollerisse sisestatakse. See on anduri müra käsitlemiseks ja kontrolleri usaldusväärse olekuhinnangu andmiseks ülioluline.
  • Sliding Mode Control (SMC): jõuline juhtimistehnika, mis on loodud ebakindluse ja häiretega toimetulemiseks, sundides süsteemi olekut mööda eelmääratletud pinda “libisema”, muutes süsteemi teatud variatsioonide suhtes tundlikuks.

• Prognoositavus ja stabiilsus: klassikalised juhtimismeetodid pakuvad tugevaid teoreetilised garantiid stabiilsuse ja jõudluse osas, eeldusel, et süsteemimudel on täpne ja töötingimused jäävad mudeli eelduste piiridesse. See prognoositavus on oluline turvaeelis.
• Läbipaistvus: klassikaliste kontrollerite loogika (nt PID võimendus, LQR-i kulufunktsioon) on inseneride poolt sageli tõlgendatav. Nii on lihtsam mõista, *miks* kontroller teatud viisil käitub, hõlbustades kontrollimist, kinnitamist ja silumist.
• Küpsus ja tõestatud saavutused: Neid tehnikaid on ohutuse seisukohalt kriitilistes süsteemides (nt automootori juhtseadmed, ABS, ESC) laialdaselt kasutatud ja täiustatud aastakümneid, mis näitab nende töökindlust täpselt määratletud tingimustes.

• Sõltuvus mudelist: jõudlus sõltub suuresti sõiduki mudeli täpsusest. Keerulist, väga mittelineaarset dünaamikat (rehvide libisemine, aerodünaamilised jõud, vedrustusefektid) on raske täpselt modelleerida kõikides töötingimustes.
• Ebakindluse käsitlemine: klassikalised meetodid võivad võidelda märkimisväärse mudeli ebakindluse, modelleerimata dünaamika ja suurte väliste häiretega (nt äkilised tuuleiilid, jäised laigud), välja arvatud juhul, kui need on spetsiaalselt loodud vastupidavuse jaoks (nagu SMC).
• Keerukus suurtes mõõtmetes: Klassikaliste kontrollerite projekteerimine ja häälestamine keerukate ja suuremõõtmeliste süsteemide jaoks (nagu mitme vabadusastmega sõiduki täielik dünaamika) võib muutuda arvutusmahukaks ja nõuda märkimisväärseid teadmisi.
• Piiratud kohanemisvõime: standardsed klassikalised kontrollerid on tavaliselt loodud teatud töörežiimide jaoks ja ei pruugi ilma ümberhäälestamise või ümberkujundamiseta drastiliselt muutuvate tingimustega hästi kohaneda.

Tehisintellektil põhinevad juhtimisstrateegiad kasutavad masinõpet ja tehisintellekti tehnikaid, et õppida juhtimispoliitikaid otse andmetest või simulatsioonidest, jättes sageli kõrvale vajaduse selgesõnaliste, käsitsi loodud matemaatiliste mudelite järele. See andmepõhine lähenemisviis pakub potentsiaalseid eeliseid keerukuse ja kohanemisvõime käsitlemisel.

• Andmepõhine lähenemine: AI-kontrollerid õpivad anduri sisenditest (või hinnangulistest olekutest) väljundi juhtimiseks kaardistama, analüüsides suuri andmekogumeid või läbi simulatsioonipõhise koolituse. Nad avastavad keerulisi, mittelineaarseid seoseid, mida traditsioonilise modelleerimisega võib olla raske või võimatu tabada.
• Kogemusest õppimine: Sellised meetodid nagu tugevdav õpe (RL) võimaldavad agentidel (AI kontrolleril) õppida optimaalseid põhimõtteid, suheldes keskkonnaga (simulaator või päris sõiduk) ja saades oma tegude eest tasu või karistusi. Eesmärk on maksimeerida kumulatiivset tasu, mida saab määratleda nii, et see vastaks ohutuse ja jõudluse eesmärkidele.
• Funktsioonide lähendamine: närvivõrgud on AI-juhtimise tavaline tööriist, mis toimivad paindlike funktsioonide lähendajatena. Nad saavad õppida keerukat kaardistamist olekust juhtimistoiminguni, ilma et oleks vaja eelnevalt määratletud mudelistruktuuri.
• Peamised tehnikad:
  • Tugevõpe (RL): õpib katse-eksituse meetodil selgeks poliitika (kontrollistrateegia). Agent uurib tegevusi, jälgib sellest tulenevat olekut ja tasu ning ajakohastab oma poliitikat, et eelistada toiminguid, mis toovad kaasa suurema kumulatiivse hüve. Deep RL ühendab RL-i sügavate närvivõrkudega, et käsitleda suuremõõtmelisi olekuruume (nagu anduri töötlemata andmed).
  • Järelevalvega õppimine juhtimiseks: saab kasutada, kui on saadaval asjatundlikud tutvustused soovitud juhtimiskäitumise kohta. AI õpib neid demonstratsioone jäljendama.
  • Mudelite ennustav juhtimine (MPC) õpitud mudelitega: Kuigi MPC ise on klassikaline optimeerimisel põhinev juhtimistehnika, saab tehisintellekti kasutada sõiduki dünaamika ennustusmudeli õppimiseks, mis võib keerukaid mittelineaarsusi paremini tabada kui käsitsi valmistatud mudelid.
  • Närvivõrgu kontrollerid: Neuraalvõrkude otsene kasutamine juhtimiskäskude väljastamiseks hetkeseisu hinnangul.

• Keerukuse käsitsemise potentsiaal: AI saab õppida juhtima väga keerulisi, mittelineaarseid süsteeme, kus täpsete klassikaliste mudelite tuletamine on raskesti lahendatav.
• Kohandatavus ja üldistus: AI-kontrollerid, eriti need, mis on koolitatud erinevate andmete või simulatsioonidega, võivad paremini üldistada nähtamatuteks olukordadeks või kohaneda järkjärguliste muutustega sõidukis või keskkonnas.
• Optimaalse käitumise õppimine: Eelkõige RL võib potentsiaalselt õppida juhtimispoliitikaid, mis on hoolikalt kavandatud tasustamisfunktsiooni suhtes optimaalsed, mis võib potentsiaalselt ületada käsitsi häälestatud klassikalisi kontrollereid.

• Musta kasti olemus: AI-kontrollerid, eriti sügavad närvivõrgud, võivad toimida “mustade kastidena”. Võib olla raske mõista, *miks* nad teevad konkreetseid juhtimisotsuseid, mis muudab kontrollimise, kinnitamise ja silumise keeruliseks – need on ohutussertifikaadi kriitilised sammud.
• Kontrollimine ja kinnitamine (V&V): AI-kontrollerite ohutuse ja töökindluse tagamine on suur väljakutse. Klassikaliste süsteemide standardsed V&V tehnikad ei ole sageli otseselt rakendatavad. Stabiilsuse, jõudluspiiride ja ohutuse tagamine kõigis võimalikes töötingimustes on keeruline.
• Andmete sõltuvus ja kallutatus: jõudlus sõltub suuresti treeningandmete kvaliteedist ja mitmekesisusest. Andmete eelarvamused võivad viia ohtliku käitumiseni reaalsetes stsenaariumides, mida koolituskomplektis ei ole esindatud.
• Vastupanuvõimeline rünnakute ja uudsete olukordade suhtes: AI mudelid võivad olla haavatavad nende lollimiseks mõeldud võistleva sisendi suhtes. Nende jõudlus tõeliselt uudsetes olukordades (levitatud andmed) on sageli ettearvamatu.
• Ohutusgarantiid: Formaalsete matemaatiliste tõendite esitamine ohutuse kohta (nt stabiilsus, kokkupõrke vältimine) keerukate tehisintellekti kontrollerite jaoks on aktiivne uurimisvaldkond ja jääb tootmissüsteemide puhul suures osas lahendamata.

Praktikas on puhtalt klassikaline või puhtalt AI-põhine juhtimissüsteem haruldane. Selle asemel kasutatakse sageli hübriidset lähenemisviisi, mis kasutab mõlema paradigma tugevaid külgi:

• AI kõrgetasemelise strateegia jaoks, klassikaline madala taseme täitmiseks: AI-d võidakse kasutada planeerimis- või otsustuskihtides soovitud trajektoori või manöövrite määramiseks, samas kui klassikalised kontrollerid (nt LQR või PID) juhivad AI väljundi põhjal täpset madalal tasemel käivitamist (juhtimine, gaasipedaal, pidurdamine). See hoiab ohutuskriitilise madala taseme juhtimissüsteemi läbipaistvana ja prognoositavana.
• AI mudeli hindamiseks, klassikaline juhtimiseks: AI-d saab kasutada sõiduki dünaamika täpsema või adaptiivsema mudeli õppimiseks, mis seejärel sisestatakse klassikalisesse kontrollerisse, nagu MPC.
• AI erandjuhtimiseks: klassikalised kontrollerid saavad hakkama tavaliste sõidutingimustega, samas kui AI-komponent (potentsiaalselt RL-agent) on koolitatud käsitlema haruldasi või keerulisi äärmuslikke juhtumeid, millega klassikaline kontroller võib vaeva näha.
• Hübriidkontrollerid: mõlema elementide kombineerimine, näiteks närvivõrgu kasutamine, et häälestada PID-kontrolleri võimendused reaalajas vastavalt sõidutingimustele.

Klassikaliste ja tehisintellektil põhinevate juhtimisstrateegiate või hübriidse lähenemisviisi vahelisel valikul on autonoomsete sõidukite ohutusele sügav mõju.

• Läbipaistvus vs. jõudluse kompromiss: Klassikaliste meetodite tõlgendatavuse ja kontrollitavuse ning tehisintellekti meetodite võimaliku jõudluse ja kohandatavuse vahel on sageli kompromiss. Ohutus nõuab selle kompromissi hoolikat kaalumist.
• Vastupidavus ja töökindlus: mõlemad lähenemisviisid peavad näitama vastupidavust andurite rikete, täiturmehhanismi piirangute, keskkonnahäirete ja ootamatute koostoimete suhtes. Klassikalised meetodid pakuvad robustsuse analüüsiks rohkem väljakujunenud teoreetilisi raamistikke, samas kui AI-meetodid nõuavad pidevat uurimistööd tugeva õppimise ja kontrolli kohta.
• Verifitseerimine ja valideerimine (V&V): AI-põhiste komponentide jaoks rangete V&V protsesside väljatöötamine on ülioluline. See hõlmab simulatsioonikatseid erinevate stsenaariumide lõikes, riistvara testimist (HIL) ja potentsiaalselt uusi tehnikaid, nagu ametlik kontroll või koolitusprotseduuridel põhinevad ohutussertifikaadid.
• Sertifitseerimine: reguleerivad asutused nõuavad ohutuse tõendeid. AI musta kasti olemus muudab traditsioonilised sertifitseerimisviisid keeruliseks, mistõttu on vaja uusi standardeid ja metoodikaid.
• Tulevikutrendid: Teadusuuringud keskenduvad aktiivselt tehisintellekti kontrollerite muutmisele läbipaistvamaks (nt seletatava tehisintellekti kaudu), vastupidavamaks (nt võistleva koolituse, ohutu uurimise kaudu RL-is) ja paremini integreerituks klassikaliste meetoditega. Kasvab ka huvi “juhtimiseks õppimise” lähenemisviiside vastu, mis kombineerivad mudelõpet kontrollipoliitika õppimisega.

Klassikalised juhtimisstrateegiad loovad aluse prognoositavusele, stabiilsusele ja läbipaistvusele, muutes need oluliseks ohutuskriitilise sõiduki juhtimise jaoks. AI-põhised juhtimisstrateegiad pakuvad potentsiaali tulla toime enneolematu keerukusega ja kohanemisvõimega, õppides andmetest optimaalset käitumist. Kumbki lähenemine pole hõbekuul; igal neist on ohutuse osas erinevad tugevad ja nõrgad küljed. Turvalise autonoomse sõidukijuhtimise tulevik peitub tõenäoliselt keerukates hübriidsüsteemides, mis ühendavad nutikalt klassikalise juhtimise täpsuse tehisintellekti võimsusega, mida kõike toetab range kontrollimine, valideerimine ja lakkamatu keskendumine reaalses maailmas jõulise ja prognoositava käitumise tagamisele. Nende strateegiate pidev arendamine ja integreerimine on autonoomsete sõidukite laialdaseks kasutuselevõtuks vajaliku kõrge ohutustaseme saavutamise võti.

Kuigi otsustusalgoritmid määravad kindlaks *millise* kõrgetasemelise eesmärgi autonoomne sõiduk peaks saavutama (nt jõudma sihtkohta, vältima takistusi, järgima sõidurada), muudavad liikumise planeerimise ja käitumisalgoritmid need eesmärgid konkreetseteks, teostatavateks radadeks ja manöövriteks dünaamilises ja keerulises keskkonnas. Selles alapeatükis käsitletakse neid kriitilisi komponente, uurides, kuidas need loovad sõidukile ohutuid, tõhusaid ja prognoositavaid trajektoore ja käitumist. Teekonna planeerimise ja käitumise üle otsustamise vastastikune mõju on autonoomsete sõidukite ohutuks kasutamiseks ülimalt oluline, kuna selleks on vaja algoritme, mis suudavad toime tulla ebakindlusega, reageerida teistele liiklejatele ja järgida liikluseeskirju.

Käitumisalgoritmid moodustavad kõrgema taseme otsustuskihi, mis tõlgendab sõiduki eesmärke ja tajutavat keskkonda, et valida sobiv sõidukäitumine. Need määravad *mida* sõiduk järgmisena tegema peaks ja *millal* seda tegema, näiteks otsustama sõidurada vahetada, järele anda, kiirendada või peatuda.

• Lõplikud olekumasinad (FSM-id): klassikaline lähenemine, mille puhul sõiduki käitumist modelleeritakse diskreetsete olekute kogumina (nt 'FollowLane', 'PrepareLaneChangeLeft', 'ExecuteLaneChange', 'Yield', 'Stop', mis põhinevad turvalistel olekutingimustel (nendevahelistel eelmääratletud üleminekutel). JA juhi kavatsus on vasakpoolne sõidurada, üleminek “FollowLane'ilt” valikule “PrepareLaneChangeLeft”). FSM-id pakuvad lihtsust ja selgust, kuid võivad võidelda keeruka, kattuva või järkjärgulise käitumisega.
• Hierarhilised olekumasinad: laiendage FSM-e, korraldades olekud kihtidesse, võimaldades keerukamat ja modulaarsemat käitumise esitust. Kõrgemad kihid võivad täita missiooni üldeesmärke, madalamad aga konkreetseid manöövreid.
• Käitumispuud (BT-d): moodsam ja paindlikum alternatiiv mikrolainele. BT-d kasutavad puustruktuuri, mille sõlmed esindavad tingimusi, toiminguid või juhtimisvoogu (järjestusi, selektoreid). Need sobivad paremini juhtimisstsenaariumides levinud paralleelkäitumise ja keeruka otsustusloogika käsitlemiseks.
• Reeglipõhised süsteemid: kasutage liiklusseadustest, heuristikast või ekspertteadmistest tuletatud reeglite komplekti „kui-tingimused-siis-toimingud”. Näiteks: “Kui tuvastatakse punane tuli JA sõiduk on pidurdusteekonnas, rakendage hädapidurdus.” Neid saab kombineerida teiste meetoditega.
• Eesmärgi- ja kasulikkusepõhised lähenemisviisid: Need meetodid hindavad erinevaid võimalikke käitumisviise, lähtudes nende soovitavusest (kasulikkusest) üldise eesmärgi saavutamisel, võttes samal ajal arvesse piiranguid, nagu ohutus, mugavus ja tõhusus. Nad saavad valida käitumise, mis maksimeerib määratletud eesmärgifunktsiooni.
• Tugevõpe (käitumise jaoks): Sarnaselt selle kasutamisega kontrollis saab RL-i rakendada käitumispoliitika õppimiseks. Agent õpib valima toiminguid (käitumisi), mis maksimeerivad tasu signaali, tuginedes interaktsioonidele simuleeritud või reaalse keskkonnaga. See võib potentsiaalselt avastada keerulisi inimsarnaseid käitumisviise, kuid seisab silmitsi sarnaste väljakutsetega seoses ohutustagatiste ja tõlgendatavusega.

• Reeglite järgimine: algoritmid peavad tagama liiklusseaduste ja -eeskirjade järgimise (nt punase tule ees peatumine, eesõiguse andmine, kiiruspiirangud).
• Ettenähtavus: käitumine peaks olema teistele liiklejatele etteaimatav, suurendades koostöövalmidust ja vähendades segadust.
• Järjepidevus: sõiduk peaks sarnastele olukordadele järjekindlalt reageerima, suurendades usaldust ja prognoositavust.
• Ebakindlus kuni ebakindlus: algoritmid peavad käsitlema tajumise ebakindlust (nt ummistunud objektid, anduri müra) ja ennustama teiste mõjurite käitumist (nt ennustama, kas jalakäija ületab).
• Eetilised kaalutlused: vältimatute konfliktide stsenaariumide korral võivad käitumisalgoritmid kaudselt või otseselt arvestada eetiliste prioriteetidega, kuigi nende vormistamine on märkimisväärne väljakutse.

• Sõidustsenaariumide keerukus: reaalses maailmas sõitmine hõlmab keerulisi sotsiaalseid suhtlusi, ebaselgeid olukordi ja ootamatuid sündmusi, mida on raske lihtsate reeglite või olekutega tabada.
• Ebakindluse ja ennustuste käsitlemine: teiste dünaamiliste tegurite (jalakäijad, jalgratturid, muud sõidukid) kavatsuste ja tulevaste teede täpne ennustamine on kurikuulsalt keeruline ja ohutu suhtlemise jaoks ülioluline.
• Skaleeritavus: Kuna võimalike käitumisviiside ja keskkonnategurite arv suureneb, suureneb käitumisloogika keerukus oluliselt.
• Inimeselaadne käitumine: Inimjuhtide nüansirikka, mõnikord ebatäiusliku, kuid üldiselt ohutu ja koostööaldis käitumise tabamine on endiselt väljakutse.

Kui käitumuslik otsus on tehtud (nt “vaheta rada vasakule”), vastutab liikumisplaneerija konkreetse, teostatava ja ohutu trajektoori loomise eest, mis seda käitumist teostab. See vastab küsimusele *kuidas* liikuda praegusest olekust soovitud olekusse keskkonna ja sõiduki enda piirangute raames.

• Võrgustikupõhised meetodid (nt A*, D*, D* Lite): Diskretiseerige keskkond ruudustikuks. Algoritmid nagu A* otsivad lühimat teed algusest eesmärgini, vältides samas takistusi, mis on kujutatud hõivatud ruudustiku lahtritena. Sellised variandid nagu D* saavad kaardi muutumisel tõhusalt ümber planeerida. Need on arvutuslikult tõhusad, kuid võivad olla ebatäpsed, kui ruudustiku eraldusvõime on liiga jäme või kui sõiduki jalajälg on ruudustiku suhtes suur.
• Samplivõtmisel põhinevad meetodid (nt RRT, RRT*, PRM): need on eriti populaarsed suuremõõtmeliste sõidukite olekuruumide puhul (asend, orientatsioon, kiirus). Nad valivad olekuruumis juhuslikult konfiguratsioone ja ühendavad need, kui need on kokkupõrkevabad, koostades järk-järgult teekaardi (PRM) või kiiresti uuriva juhusliku puu (RRT). RRT* eesmärk on leida asümptootiliselt optimaalsed teed. Need meetodid sobivad hästi keerukate geomeetriate ja suurte mõõtmetega, kuid võivad olla tundlikud proovivõtu tiheduse suhtes ja võivad vajada ümberplaneerimist.
• Optimeerimisel põhinevad meetodid (nt mudeli ennustav juhtimine – MPC, trajektoori optimeerimine): Sõnastage teeotsingu probleem optimeerimisülesandena. Määratlege piirangutega (kokkupõrke vältimine, kinemaatilised/dünaamilised piirid, sujuvus) objektiivne funktsioon (nt minimeerida aega, kaugust, tõmblust, kontrolli jõupingutusi). MPC lahendab selle optimeerimisprobleemi igal ajaetapil piiratud ennustushorisondi ulatuses, muutes selle sobivaks reaalajas juhtimiseks ja liikuvate takistuste käsitlemiseks. Need meetodid võivad luua sujuvaid ja kvaliteetseid trajektoore, kuid võivad olla arvutusmahukad.
• Võimalikud väljameetodid: kohelge eesmärki kui ligitõmbavat jõudu ja takistusi kui tõukejõudu. Sõiduk navigeerib tulenevat jõuvälja järgides. Lihtne ja intuitiivne, kuid võib kannatada kohalike miinimumide käes (kinni jääda) ja tekitada tõmblevaid trajektoore.
• Võrepõhine planeerimine: eelarvutage graafik (võre) teostatavatest teedest või “primitiividest”, mida sõiduk saab oma kinodünaamiliste piirangute alusel täita. Planeerimine hõlmab seejärel selle eelarvutatud võre otsimist primitiivide jada jaoks, mis ühendab algust eesmärgiga. See võib olla tõhus, kuid võib piirata planeerija paindlikkust.

• Kokkupõrke vältimine: esmane ohutuseesmärk on tagada, et loodud trajektoor ei põhjustaks kokkupõrkeid staatiliste või dünaamiliste takistustega, sealhulgas ohutu puhvri vahemaa.
• Teostatavus: Trajektoor peab olema sõidukile füüsiliselt teostatav, järgides selle kinemaatilisi (rool, pöörderaadius) ja dünaamilisi (kiirendus, aeglustus, kiirus) piiranguid.
• Sujuvus ja mugavus: Trajektoorid peaksid olema siledad, et tagada reisijate mugavus ja vähendada sõiduki kulumist. See hõlmab sageli tõmblemise (kiirenduse muutumise kiiruse) minimeerimist.
• Prognoositavus: Planeeritud tee peaks olema etteaimatav nii autonoomse sõiduki enda jaoks (säilitades järjepidevuse) kui ka teistele seda jälgivatele liiklejatele.
• Reaktiivsus ja ümberplaneerimine: Planeerija peab suutma kiiresti reageerida muutustele keskkonnas (nt uue takistuse ilmnemisele) ja planeerima reaalajas ümber ohutu trajektoori.

• Arvutuslik keerukus: optimaalsete või isegi teostatavate teede leidmine reaalajas keerukate piirangutega suuremõõtmelistes olekuruumides on arvutuslikult nõudlik.
• Taju ebakindlus: liikumise planeerimine sõltub suuresti täpsest ja ajakohast tajumisest. Vead või viivitused tajumisel võivad viia ebaturvaliste plaanideni.
• Dünaamilised keskkonnad: Planeerimisel tuleb arvestada teiste agentide liikumist, mis nõuab prognoosimist ja sageli sagedast ümberplaneerimist.
• Eesmärkide tasakaalustamine: planeerijad peavad tasakaalustama potentsiaalselt vastuolulisi eesmärke, nagu ohutus, tõhusus (aeg/kaugus), mugavus ja liiklusreeglite järgimine.
• Üldistamine: Planeerija peaks hästi toimima erinevates keskkondades ja liiklusstsenaariumides, mitte ainult nendes, mille jaoks see on loodud.

Käitumisalgoritmid ja liikumisplaneerijad on sügavalt läbi põimunud ja töötavad pidevas ahelas:

1. Taju: sõiduk tunnetab oma keskkonda.
2. Otsuste tegemise/käitumise kiht: analüüsib keskkonda ja praeguseid eesmärke, et valida kõrgetasemeline käitumine (nt “valmistuge vasakpoolseks sõidurea vahetamiseks”).
3. Liikumise planeerimise kiht: kasutab teostatava, turvalise ja sujuva trajektoori loomiseks hetkeolekut, sihtkäitumise eesmärgi olekut (nt asukoht vasakpoolsel rajal) ja tajutavat keskkonda.
4. Juhtkiht: järgib loodud trajektoori (või sellel olevaid võrdluspunkte) ja annab sõiduki täiturmehhanismidele (rool, gaasihoob, pidur) käsu seda järgida.
5. Jälgimine ja ümberplaneerimine: süsteem jälgib pidevalt täitmist, taju värskendusi ja mis tahes kõrvalekaldeid, mis võivad käivitada ümberplaneerimise kas käitumise või liikumise planeerimise tasandil.

See tihe sidumine on hädavajalik. Käitumuslik kiht annab “kavatsuse”, liikumisplaneerija aga “täitmisplaani”. Ühe kihi rike või piirang võib ohustada teise kihi ohutust ja tõhusust. Näiteks võib liiga agressiivne käitumuslik otsus panna liikumisplaneerija looma ebaturvalise trajektoori, samas kui liiga konservatiivne liikumisplaneerija võib takistada käitumusliku kihi edenemist.

Planeerimis- ja käitumuslike komponentide ohutuse tagamine on ülimalt tähtis ja esitab ainulaadseid väljakutseid:

• Kinnitamine ja kinnitamine (V&V): Planeerijate ja käitumisalgoritmide range testimine paljudes stsenaariumides (sh äärmuslikud juhtumid ja haruldased sündmused) on kriitiline, kuid äärmiselt keeruline. Simulatsioon on võtmetähtsusega, kuid pidev väljakutse on tagada, et see hõlmaks kõiki asjakohaseid reaalmaailma võimalusi.
• Käitlemise ebakindlus: tuleb selgesõnaliselt käsitleda nii tajumise ebakindlust kui ka teiste liiklejate loomupärast ettearvamatust. See hõlmab tugevaid planeerimistehnikaid, usalduspiiridega ennustusmudeleid ja potentsiaalselt konservatiivset varukäitumist.
• Eetilised ja sotsiaalsed kaalutlused: käitumisalgoritmide tehtud valikutel (nt kellele alluda, kui enesekindel olla) on sotsiaalsed ja eetilised mõõtmed, mis vajavad hoolikat kaalumist ja potentsiaalselt sidusrühmade panust.
• Seletatavus: Mõistmine, *miks* autonoomne sõiduk valis konkreetse käitumise või kavandas konkreetse tee, on oluline silumiseks, usalduseks ja potentsiaalselt inimestega suhtlemiseks.
• Tulevikutrendid: Teadusuuringud liiguvad integreeritumate, õppimispõhiste lähenemisviiside poole, mille puhul tehisintellekti mudelid võivad andmete põhjal õppida samaaegselt nii käitumispoliitikat kui ka liikumise planeerimise strateegiaid. Samuti keskendutakse mitme agendi planeerimisele, kus sõiduk modelleerib selgesõnaliselt ja koordineerib teiste keskkonna agentidega. Ohutuse tagamine nendes keerukamates ja vähem läbipaistvamates süsteemides on jätkuvalt põhirõhk.

Liikumise planeerimine ja käitumisalgoritmid on intelligentne tuum, mis juhib autonoomseid sõidukeid läbi reaalse maailma keerukuse. Käitumisalgoritmid otsustavad eesmärkide ja keskkonna põhjal sobivad kõrgetasemelised toimingud, samas kui liikumisplaneerijad loovad nende toimingute tegemiseks täpsed, ohutud ja teostatavad teed. Mõlemad seisavad silmitsi oluliste väljakutsetega, mis on seotud keerukuse, ebakindluse, arvutusnõuete ja ohutuse tagamisega. Nende algoritmide edukas integreerimine ja pidev täiustamine, mida toetab range testimine ja valideerimine, on olulised sammud autonoomsete sõidukite usaldusväärseks tööks ja laialdaseks kasutuselevõtuks vajaliku kõrge ohutustaseme saavutamiseks. Nende areng on ka edaspidi kriitilise tähtsusega liikumapanev ohutu autonoomne liikuvus.

—

TalTech iseAuto süstiku puhul on digitaalne kaksik (sõidukimudel, andurite komplekt ja ülikoolilinnaku keskkond) integreeritud LGSVL/Autoware'iga läbi ROS-silla, nii et fotonid-pöördemomendi silmuseid teostatakse enne mis tahes rajakatset realistlike stseenide all. Stsenaariumid levitatakse ülikoolilinnaku xodr võrgus, kasutades Scenic/M-SDL; stsenaariumi sisse saab aheldada mitu sündmust, et uurida planeerija käitumist pargitud sõidukite, aeglaste või vastutulevate sõidukite ümber. Logimine on joondatud ülaltoodud KPI-dega, nii et tulemused on LF/HF kihtide lõikes võrreldavad ja planeerija- või juhtimisparameetrite muutumisel uuesti käivitatavad. Praktikas on see andnud kokkuvõtliku ja kaitstava narratiivi ohutuse planeerimiseks ja kontrollimiseks: (1) mida testiti (formaliseeritud stsenaariumid struktureeritud parameetriruumis); (2) kuidas seda testiti (kahekihiline simulatsioon kalibreeritud digitaalse kaksikuga ja vajadusel raja täitmine); (3) mis juhtus (missiooni õnnestumine, DTC miinimumid, TTC profiilid, pidurdamise/juhtimise siirded, lokaliseerimise triiv); ja (4) miks see on oluline (tõendid selle kohta, et häälestamine või algoritmilised muudatused viivad otsuse-täitmise ahelat ohutuse suunas või sellest eemale). Sama raamistikku on kasutatud reeglipõhiste kohalike planeerijate vastasseisu analüüsimiseks, kinnitades, et planeerimise valideerimine peab hõlmama jaotusmuutuste ja sihipäraste häirete suhtes vastupidavust. Lõpetuseks tunnistab lähenemine, et simulatsioon ei ole maailm – seega mõõdab see lõhet. Formaalselt genereeritud juhtumite rajale transportimisel ja aegridade käitumise võrdlemisel kinnitab programm nii planeerimis-/juhtimisloogikat kui ka kalibreerib digitaalse kaksiku enda, kasutades lahknevusi mudelivärskenduste ja ODD-piirangute suunamiseks. See on kaasaegse juhtimise ja planeerimise V&V tunnus: stsenaariumipõhine, digitaalselt põimitud, formaalselt maandatud ja reaalsusega järeleandmatult võrreldav.

Planeerimine ja kontroll on koht, kus kavatsusest saab liikumine. Planeerimispakett valib teostatava, ohutusteadliku trajektoori arenevate piirangute korral; juhtplokk muudab selle trajektoori käivitamiseks, austades samal ajal sõiduki dünaamikat ja viivitusi. Nende kihtide valideerimine on seega palju enamat kui ühiktestid: selle eesmärk on tõenditega demonstreerida, et kombineeritud otsustus- ja täitmisahel käitub ohutult ja etteaimatavalt kogu kavandatud operatsioonilise disaini valdkonna (ODD) ulatuses. Praktikas on selleks vaja kahte üksteist täiendavat ideed. Esiteks, sõiduki ja keskkonna digitaalne kaksik, mis on piisavalt täpne, et muuta simulatsioon tegeliku käitumise oluliseks ennustajaks. Teiseks on eksperimentide kavandamise (DOE) juhitud stsenaariumiprogramm, mis rõhutab otsustus- ja juhtimisloogikat seal, kus see on kõige olulisem, ning teisendab tulemused jälgitavateks kvantitatiivseteks mõõdikuteks. Teie V&V komplekt raamib mõlemat: stsenaariumide kirjeldused toidavad koos töötavat simulaatorit alatestimise algoritmidega, digitaalne kaksik (sõiduk ja keskkond) laaditakse välise varana ning tulemuseks on struktureeritud valideerimisaruanne, mitte anekdootlikud testilogid.

Planeerimine/juhtimine V&V peab samuti navigeerima deterministliku dünaamika ja stohhastilise taju/ennustuse segus. Komponendi tasemel käsitleb teie raamistik tuvastamist, juhtimist, lokaliseerimist, missiooni planeerimist ja madala taseme juhtimist eraldiseisvate abstraktsioonidena, kuid hindab neid siiski Newtoni füüsika kontekstis – kaubeldades selgelt jõudluse truudusega, sõltuvalt testimise eesmärgist. See modulaarsus võimaldab valideerida kohalikke omadusi (nt trajektoori jälgimist), mõõtes samal ajal süsteemi tasemel ohutusefekte (nt minimaalne kaugus kokkupõrkeni).

Viimane põhimõte on elutsükli realism. Digitaalne kaksik ei ole ainult CAD-mudel; see on reaalajas tagasiside ahel, mis võtab vastu andmeid füüsilisest süsteemist ja selle keskkonnast, nii et simulaator jääb toote arenedes ennustavaks. Sama infrastruktuur, mis loob stsenaariume, saab taasesitada väljade logisid, sisestada uuendatud sõiduki parameetreid ja kajastada kaardimuudatusi, võimaldades pidevat V&V planeerimist ja kasutuselevõtujärgset juhtimist.

V&V töövoog algab formaalse stsenaariumi kirjeldusega: funktsionaalsed narratiivid kodeeritakse inimloetavasse DSL-i (nt M-SDL/Scenic), seejärel taandatakse loogiliste parameetrite vahemikeks ja lõpuks DOE valitud konkreetseteks eksemplarideks. See tagab, et testid on reprodutseeritavad, jagatavad ja jälgitavad alates kõrgetasemelistest eesmärkidest kuni numbrite seemneteni, mis määratlevad konkreetse jooksu. Simulaator teostab neid stsenaariume koos digitaalse kaksiku sees olevate testalgoritmidega ning V&V liides kogub sõiduki juhtsignaale, virtuaalandurite vooge ja jooksupõhiseid mõõdikuid, et luua ohutusjuhtumiga nõutavad otsused.

Laia katvuse säilitamiseks ilma realistlikkust ohverdamata saab valideerimist teha kahekihilise lähenemisviisi abil, mis on näidatud joonisel 1. Madala täpsusega (LF) kiht (nt SUMO) pühib kiiresti laiad parameetrite ruudustikud, et paljastada, kus planeerimine/kontroll hakkab ohustama ohutuspiiranguid; kõrglahutusega (HF) kiht (nt mängumootori simulaator nagu CARLA koos juhtimistarkvaraga) taasesitab kõige informatiivsemad juhtumid fotorealistlike andurite ja suletud ahelaga aktiveerimisega. Mõlemad kihid logivad samu KPI-sid, nii et tulemused on võrreldavad ja neid saab vajaduse korral testide jälgimiseks edendada. Selline tööjaotus on stsenaariumiruumi skaleerimisel kesksel kohal, säilitades samal ajal täieliku realistlikkuse selliste käitumiste planeerimisel ja kontrollimisel nagu sisse-/väljalülitamine, möödasõidud ja sõidurajavahetused.

Ametlikud meetodid tugevdavad seda voolu. Simulatsioonist rajani torujuhtmes määratletakse stsenaariumid ja ohutusomadused formaalselt (nt Scenic and Metric Temporal Logic kaudu), võltsimine sünteesib keerulised katsejuhud ja kaardistamine teostab need juhtumid suletud rajal ⁴²⁾. Avaldatud tõendites leiti, et suurem osa ebaturvalistest simuleeritud juhtumitest olid rajal ohtlikud ja ohutud juhtumid jäid enamasti ohutuks, samas kui aegridade võrdlused (nt DTW, Skorokhodi mõõdikud) kvantifitseerisid planeerimise ja kontrolli seisukohast olulised erinevused tegelikkusest. Just sellist ülekantavust ja mõõtmisdistsipliini planeerimise/kontrolli ohutusargument vajab.

Lõpuks koosnevad keskkonnakaksikud aerofotogrammmeetriast ja punktipilvetöötlusest (RTK-toega georeferentsiga), mis annab kaardid ja 3D-varad, mis vastavad tegelikule ülikoolilinnakule, nii et trajektoori tasemel tehtud otsuseid (möödasõit, tagastus, sõidurajale tagasipöördumine) hinnatakse tõetruu tee geomeetria ja oklusioonimustrite põhjal ⁴³⁾.

Missioonitasemel planeerimise valideerimine algab stardi-eesmärgi paarist ja küsib, kas sõiduk jõuab sihtkohta mööda ohutut ja eeskirjadele vastavat trajektoori. Teie platvorm avaldab kolm tõendite perekonda: (i) trajektoori järgimise viga globaalse tee suhtes; ii) ohutuse tagajärjed, nagu kokkupõrked või eraldatuse rikkumised; ja (iii) missiooni õnnestumine (eesmärk saavutati rikkumisteta). See seob tee valiku kvaliteedi täitmise täpsusega.

Kohaliku planeerimise tasandil keskendub teie juhtumiuuring autonoomses tarkvaras olevale planeerijale. Planeerija sünteesib globaalse ja kohaliku tee ning hindab neid seejärel ümbritsevate osalejate ennustuste põhjal, et valida turvaline kohalik trajektoor manöövriteks, nagu möödasõit ja sõiduraja vahetamine. Parameetrites stsenaariume selliste muutujatega nagu esialgne eraldumine juhtsõidukist ja juhtsõiduki kiirus, loote konkreetsete juhtumite ruudustiku, mis rõhutavad hindaja lävesid. Tulemused on kategoriseeritud tähenduslike siltide järgi – edu, kokkupõrge, vahemaa kokkupõrkeni (DTC) rikkumine, liigne aeglustus, pikk läbimine ilma tagasipöördumiseta ja ajalõpp – nii et planeerija häälestamine on otseses korrelatsioonis ohutuse ja mugavusega.

Juhtimiskontroll seob tajust tingitud viivitused pidurdamise ja juhtimise tulemustega. Teie raamistik arvutab kokkupõrkeaja (valemi) koos simulaatori ja AV-pinu reageerimisaegadega tuvastatud takistustele. Piisav reageerimisaeg võimaldab ohutult naasta nominaalsele edenemisele; liigne viivitus ennustab kokkupõrget, järsku pidurdamist või planeerija võnkumisi. Põhitõe, tajuväljundite, CAN-siinide käskude ja sellest tuleneva dünaamika logimisega eraldab analüüs tuvastusviivitused kontrolleri latentsusest, näidates, kuhu leevendus kuulub (planeerija marginaalid vs. kontrolli võimendused).

Vajalik sõltuvus on lokaliseerimise tervis. Teie testid süstivad kontrollitud GPS-i/IMU-i halvenemisi ja väljalangemisi simulaatori API-de kaudu, seejärel võrdlevad triivi kvantifitseerimiseks eeldatavat ja tegelikku poosi kaadri kohta. Kuna planeerimine ja juhtimine on tundlik absoluutse ja suhtelise poosi suhtes, loob see ohutuks tööks rakendatavad künnised (nt maksimaalne lubatud RMS-hälve enne kiiruse vähendamist või manöövrite piiramist).

Lõpuks laieneb teie programm madala taseme juhtimisele HIL-stiilis kaksikute kaudu. Simulinkil põhinev virtuaalsete ECU-de ja andmesiinide võrk asub Autoware'i navigeerimisväljundite ja simulaatori käivitamise vahel. See võimaldab simuleerida bussiliiklust, loendureid ja kontrollsummasid; keelata alamsüsteemid (nt juhtimismoodul), et esile kutsuda graatsiline halvenemine; ja võrrelda füüsilisi ECU-sid nende kaksikutega, kasutades identseid sisendeid, et tuvastada erinevusi. See on tõhus viis täiturmehhanismi tee terviklikkuse kinnitamiseks ilma täielikku füüsilist seadet ehitamata.

TalTech iseAuto süstiku puhul on digitaalne kaksik (sõidukimudel, andurite komplekt ja ülikoolilinnaku keskkond) integreeritud LGSVL/Autoware'iga läbi ROS-silla, nii et fotonid-pöördemomendi silmuseid teostatakse enne mis tahes rajakatset realistlike stseenide all. Stsenaariumid levitatakse ülikoolilinnaku xodr võrgus, kasutades Scenic/M-SDL; stsenaariumi sisse saab aheldada mitu sündmust, et uurida planeerija käitumist pargitud sõidukite, aeglaste või vastutulevate sõidukite ümber. Logimine on joondatud ülaltoodud KPI-dega, nii et tulemused on LF/HF kihtide lõikes võrreldavad ja planeerija- või juhtimisparameetrite muutumisel uuesti käivitatavad.

Praktikas on see andnud kokkuvõtliku ja kaitstava narratiivi ohutuse planeerimiseks ja kontrollimiseks: (1) mida testiti (formaliseeritud stsenaariumid struktureeritud parameetriruumis); (2) kuidas seda testiti (kahekihiline simulatsioon kalibreeritud digitaalse kaksikuga ja vajadusel raja täitmine); (3) mis juhtus (missiooni õnnestumine, DTC miinimumid, TTC profiilid, pidurdamise/juhtimise siirded, lokaliseerimise triiv); ja (4) miks see on oluline (tõendid selle kohta, et häälestamine või algoritmilised muudatused viivad otsuse-täitmise ahelat ohutuse suunas või sellest eemale). Sama raamistikku on kasutatud reeglipõhiste kohalike planeerijate vastasseisu analüüsimiseks, kinnitades, et planeerimise valideerimine peab hõlmama jaotusmuutuste ja sihipäraste häirete suhtes vastupidavust.

Lõpetuseks tunnistab lähenemine, et simulatsioon ei ole maailm – seega mõõdab see lõhet. Formaalselt genereeritud juhtumite rajale transportimisel ja aegridade käitumise võrdlemisel kinnitab programm nii planeerimis-/juhtimisloogikat kui ka kalibreerib digitaalse kaksiku enda, kasutades lahknevusi mudelivärskenduste ja ODD-piirangute suunamiseks. See on kaasaegse juhtimise ja planeerimise V&V tunnus: stsenaariumipõhine, digitaalselt põimitud, formaalselt maandatud ja reaalsusega järeleandmatult võrreldav.

Simulatsioon on autonoomse sõiduki valideerimisel asendamatu, kuna see võimaldab meil uurida ohutuse seisukohalt olulist käitumist avalikkust ohustamata, kuid simulatsioon üksi on sama veenev kui selle ennustav väärtus. Simulaator, mis ei suuda ette näha, kuidas tegelik süsteem käitub – halva modelleerimise, puuduva varieeruvuse või mõõtmata eelduste tõttu –, ei anna usaldusväärseid tõendeid ohutusjuhtumi kohta. Seetõttu ühendame simulatsiooni formaalsete meetoditega: distsipliin stsenaariumide ja ohutusomaduste matemaatilise täpsusega määratlemiseks, katsejuhtumite süstemaatiliseks genereerimiseks ja selle mõõtmiseks, kui täpselt simuleeritud tulemused vastavad raja- või maanteekatsetele. Meie programmis toimib sõiduki digitaalne kaksik ja selle töökeskkond konkreetse “maailmamudelina”, samas kui ametlikud spetsifikatsioonid suunavad selle maailma uurimise kohtadesse, kus ohutusvaru kõige tõenäolisemalt ebaõnnestub.

Digitaalse kaksiku käsitlemine reaalajas tagasiside ahelana on keskse tähtsusega, et säilitada prognoositav väärtus aja jooksul. Kaksik neelab füüsilise süstiku logid ja keskkonnaandmed, värskendab kaarte ja sõiduki parameetreid ning edastab need andmed tagasi simulaatorisse, nii et uued testid kajastaksid tegelikku kulumist, kalibreerimise triivi ja keskkonnamuutusi. See pidev sünkroonimine muudab simulatsiooni pigem pidevaks tagatistegevuseks kui ühekordseks verstapostiks.

Selliste kaksikute ehitamine pole triviaalne. Meie töövoog konstrueerib RTK-toega georefereerimisega aerofotogrammeetria põhjal keskkonnakaksikud, seejärel töötleb punktipilved varadeks, mis on võimelised kasutama kaasaegset simulaatorit. Saadud mudelit saab kasutada paljudes AV-des ja uuringutes, amortiseerides andmete kogumise ja varade loomise kulud, säilitades samal ajal planeerimiseks, tajumiseks ja kontrollimiseks vajaliku täpsuse.

Digitaalsed kaksik- ja simulatsiooniökosüsteemid erinevad mitte ainult truuduse ja eesmärgi poolest erinevates domeenides, vaid ka nende toetamiseks loodud tööriistaahelate ja platvormide poolest. Maasüsteemides (autotööstus, robootika) domineerivad simulatsioonis skaleeritavad, stsenaariumirikkad keskkonnad, mis on tihedalt seotud AI/ML-i virnadega. Laialdaselt kasutatavate platvormide hulka kuuluvad CARLA (avatud lähtekoodiga, Unreal Engine'il põhinev), NVIDIA DRIVE Sim (GPU-kiirendusega, sünteetilised andmete genereerimine), PreScan ja Simcenter (anduritevaheline valideerimine) ning MATLAB/Simulink mudelipõhiseks disainiks, SIL/HIL ja juhtimiskontrolliks. Need platvormid rõhutavad suuremahulist stsenaariumide genereerimist, tajuvirna valideerimist ja suletud ahela autonoomiaga reaalajas või kiirendatud simulatsiooni.

Õhusüsteemides on simulatsiooniplatvormid tihedamalt kooskõlas sertifitseerimise töövoogude ja ülitäpse füüsikaga. Levinud tööriistade hulka kuuluvad X-Plane (kasutatakse teadusuuringutes ja mõnes FAA poolt heaks kiidetud koolituskontekstis), Prepar3D ja inseneritasemel keskkonnad, nagu ANSYS Fluent ja MSC Adams aerodünaamika ja lennudünaamika jaoks. MATLAB/Simulink mängib taas keskset rolli lennujuhtimise seaduste, avioonika integreerimise ja DO-178C/DO-331-ga kooskõlastatud mudelipõhises arenduses. Need ökosüsteemid toetavad tugeva jälgitavusega piloot-in-the-loop, avioonika in-the-loop ja üha autonoomia-in-the-loop simulatsioone.

Meresüsteemide puhul peegeldavad simulatsiooniplatvormid hüdrodünaamika, keskkonnahäirete ja pikaajaliste toimingute tähtsust. Esinduslike tööriistade hulka kuuluvad OrcaFlex (laialdaselt kasutatav avamerestruktuuride ja veealuste süsteemide jaoks), MOOS-IvP (levinud autonoomsetes veealustes ja pinnapealsetes sõidukites) ja Delft3D hoovuste, setete ja rannikuprotsesside simuleerimiseks. Need on sageli seotud juhtimise ja navigeerimise arendamisega MATLAB/Simulinki või ROS-põhistes virnades. Võrreldes maa/õhuga, kalduvad meresimulatsioonid vahetama interaktsiooni tihedust keskkonnarealismi ja pikaajaliste missioonide modelleerimise vastu.

Kosmosesüsteemides on simulatsiooniplatvormid sügavalt juurdunud astrodünaamikasse, missioonide kavandamisse ja alamsüsteemide kõrge täpsusega modelleerimisse. Peamised tööriistad hõlmavad Systems Tool Kit (STK) orbitaalanalüüsiks ja missioonide planeerimiseks, GMAT trajektoori optimeerimiseks ja FreeFlyer. Süsteemitasemel digitaalsete kaksikute ja MBSE integratsiooni jaoks kasutatakse laialdaselt selliseid platvorme nagu Cameo Systems Modeler (SysML-põhine) ja Simulink. Need keskkonnad toetavad missiooni proovimist, rikete analüüsi ja üha enam integreeritud autonoomia valideerimist, kus simulatsioon asendab muidu võimatut reaalses maailmas testimist. Kõigis neljas valdkonnas ilmneb selge muster: maasüsteemid eelistavad mastaabi- ja andmepõhist simulatsiooni, samas kui kosmosesüsteemid seavad esikohale esmapõhimõtte täpsus, kusjuures õhus ja merel on struktureeritud vahepunktid, mille kujundavad sertifitseerimine ja keskkonna keerukus.

Formaalsed meetodid algavad nõuete täitmisest. Me väljendame testimise kavatsust konkreetsete stseenide jaotusena, kasutades keelt SCENIC, mis pakub geomeetrilisi ja tõenäosuslikke konstruktsioone liikluse, oklusioonide, paigutuste ja käitumise kirjeldamiseks. Programm SCENIC määratleb stsenaariumi, mille parameetrid valitakse testjuhtumite genereerimiseks; iga juhtum annab simulatsioonijälje, mille alusel jälgitakse ajalisi omadusi – meie ohutusnõudeid. See VERIFAI tööriistakomplektiga rakendatud tihe tsükkel toetab võltsimist (aktiivne rikkumiste otsimine), juhitud proovide võtmist ja tulemuste rühmitamist testivaliku jaoks.

Praktikas kulgeb torujuhe järgmiselt. Esmalt paneme kokku fotorealistlikud simuleeritud maailma- ja dünaamikamudelid HD-kaartidest ja 3D-võrkudest. Seejärel vormistame stsenaariumid rakenduses SCENIC ja määratleme ohutusomadused jälgitavate mõõdikutena – kasutades sageli Metric Temporal Logic (MTL) tugevat semantikat, mis ei anna mitte ainult heakskiidetud/mitteargumendi otsust, vaid ka kvantitatiivset varu rikkumisele. VERIFAI otsib parameetriruumist, salvestab turva- ja veatabelid ning kvantifitseerib, kui tugevalt atribuuti hoiti või ebaõnnestus; need hinded näitavad, millised juhtumid väärivad testide jälgimiseks edutamist. See protsess muudab ebamäärased testiideed (“test mööduvad jalakäijad”) konkreetseks parameetritega stseenide populatsiooniks, millel on mõõdetavad ja võrreldavad tulemused.

Meie projekt kasutab ka stsenaariumide jaotust kaartidel: kasutades TalTechi ülikoolilinnaku OpenDRIVE võrke, loob SCENIC erinevates kohtades sama käitumusliku narratiivi – näiteks aeglasest või peatunud sõidukist möödasõitu –, tagades, et sõiduradade geomeetria, teepervele segadus ja oklusioonid erinevad oluliselt, samas kui turvaomadused jäävad samaks. Tulemuseks on testide perekond, mis rõhutavad samu planeerimis- ja tajukohustusi erinevate geomeetriliste ja keskkonnaalaste kinnituste korral.

Ametlik torujuhe on veenev ainult siis, kui simuleeritud arusaamad kantakse rajale. Pärast võltsimist valime ohutute/ebaturvaliste juhtumite visualiseerimise või rühmitamise teel välja esinduslikud ohutud/ebaturvalised juhtumid ja rakendame need kontrollitavate ainetega suletud kursusel. Eelkõige juhivad samad SCENICu parameetrid (stardipoos, stardiaeg, kiirused) riistvaralisi osalejaid rajale kui agente simulatsioonis, arvestades katseseadmete füüsiliste piirangutega. See paarsus võimaldab õuntevahelisi võrdlusi simuleeritud ja tegelike jälgede vahel.

Seejärel kvantifitseerime sim-to-real vahe, kasutades aegridade mõõdikuid, nagu dünaamiline ajakõverdus ja Skorokhodi kaugus, et võrrelda trajektoore, esmatuvastusaegu ja minimaalse vahemaa profiile. Avaldatud tulemustes olid sama testi trajektoorid kvalitatiivselt sarnased, kuid näitasid mõõdetavaid erinevusi eraldumise miinimumides ja ajastuses; pealegi võivad isegi identsed simulatsioonid lahkneda, kui autonoomia virn on mittedeterministlik – reaalsus, mida metoodika pigem pinnale tõstab kui varjab. Selle dispersiooni mõistmine on voorus: väiksema dispersiooniga testid on teekonnal paremini reprodutseeritavad, samas kui väga varieeruvad testid näitavad planeerimise, tajumise või prognoosimise tundlikkust, mis väärib ümberkujundamist või rangemaid ODD piire.

See ametlik sim-to-track torujuhe teeb enamat kui ainult tulemuste sildistamine; see aitab diagnoosida põhjuseid. Logitud jookse taasesitades autonoomse virna visualiseerimistööriistade kaudu, saame ebaturvalise käitumise omistada arusaamatustele, ebastabiilsetele planeerimisotsustele või valeennustustele ning seejärel sihtida neid alamsüsteeme järgmistes ametlikes kampaaniates. Ühel juhul oli domineerivaks rikkerežiimiks jalakäija ümber võnkuv planeerimine, mida avastati ja iseloomustati selle täpse stsenaariumi spetsifikatsiooni, võltsimise, raja täitmise ja jälgede analüüsi kaudu.

Ammendavat testimist ei saa teostada, seetõttu kombineerime mitut täpsustaset, et tasakaalustada laiust realismiga. Madala täpsusega (LF) platvormid pühivad kiiresti suured stsenaariumide ruudud, et kaardistada, kus ohutusvaru hakkab karmistama; kõrglahutusega (HF) platvormid (nt LGSVL/Unity integreeritud Autoware'iga) taasesitavad kõige informatiivsemaid LF-i juhtumeid fotorealistlike andurite ja suletud ahelaga juhtimisega. Logimine on ühtlustatud nii, et KPI-d ja jäljed on erinevatel tasemetel võrreldavad ning LF-pühkimistest tuletatud optimeerimist või häälestamist kontrollitakse HF-realismi järgi enne jälgimisaja kulutamist. Ulatuslikes katsetes näitasid tuhanded LF-jooksud laiaulatuslikke mustreid, kuid ainult HF taasesitab peeneid interaktsioone, mis muutsid tulemusi – tõend, et truudus on oluline just seal, kus ohutusjuhtum hiljem vaidlustatakse.

See töövoog asub DOE-põhises V&V komplektis, mis käsitleb digitaalset kaksik- ja stsenaariumimootorit programmeeritavate varadena. Stsenaariumi definitsioonid, sõidukimudelid ja hindamisloogika on versioonistatud; juhtkontuuri viivitused, TTC-profiilid ja kokkupõrkemõõdikud arvutatakse järjekindlalt iga jooksu kohta; ja sama infrastruktuuri saab laiendada allapoole madala taseme juhtimisteede riistvara-in-the-loop katseteks, et testida täiturmehhanismi tee terviklikkust identsetes stseenitingimustes. Meie projektiplatvormil töötab simulaator koos Autoware'iga, aktsepteerib avaliku liidese kaudu parameetritega stsenaariume ja väljastab valideerimisaruandeid, mis kogunevad kaadritaseme signaalide kontrollimisest missioonitaseme õnnestumiseni, sulgedes jälgitavuse ahela ametlikust omandist süsteemi tulemuseni.

Sama oluline kui võime, on ka ausus piiride suhtes. Meie enda uuring ja juhtumiuuring nõuavad selget tähelepanu abstraktsioonivalikutele, modelleerimise eeldustele ja AI-põhiste komponentide lähenemisküsimustele. Kirjandus ja meie tulemused rõhutavad, et simulatsiooni väärtus sõltub kalibreeritud mudelitest, mittedeterminismi hoolikast mõõtmisest ja distsiplineeritud kaardistamisest tegeliku maailmaga; formaalsed meetodid aitavad just seetõttu, et muudavad need eeldused ajas nähtavaks, kontrollitavaks ja võrreldavaks. Digitaalne kaksikperspektiiv muudab need mõõtmised seejärel pideva täiustamise mootoriks, värskendades kaksikut füüsilise süsteemi ja keskkonna arenedes.

Füüsilise testimise infrastruktuurid maa-, õhu-, mere- ja kosmosesüsteemides peegeldavad arengut suure juurdepääsuga korratavatest keskkondadest äärmiselt piiratud, kallite ja sageli mittekordatavate tingimusteni. Iga domeen ehitab spetsialiseeritud rajatisi, et ületada lõhe simulatsiooni ja reaalmaailma juurutamise vahel, pöörates järjest suuremat rõhku ohutusele, juhitavusele ja keerukate süsteemi interaktsioonide jälgitavusele.

Maapealsed süsteemid saavad kasu kõige juurdepääsetavamatest ja mitmekesistest füüsilistest testimiskeskkondadest. Tõendusväljakud ja AV-testirajad – nagu McCity ja American Center for Mobility – jäljendavad linna-, äärelinna- ja maanteetingimusi juhitavate muutujatega (liiklusfoorid, jalakäijate mannekeenid, ilmastikusüsteemid). OEM-id kasutavad vastupidavuse, ADAS-i ja korpuse servade testimiseks ka suuri erarajatisi (nt General Motors Milford Proving Ground). Need keskkonnad võimaldavad korduvate stsenaariumide testimist, vigade sisestamist ning taju- ja otsustussüsteemide ohutut valideerimist. Üha enam on need varustatud ülitäpse lokaliseerimise, V2X-infrastruktuuri ja sünkroonitud andmete kogumisega, et toetada ulatuslikku valideerimist.

Õhus katsetamine ühendab endas maapealsed rajatised ja vabaõhukatsetusalad. Tuuletunnelid (nt NASA Amesi uurimiskeskuse tuuletunnel) pakuvad kontrollitud aerodünaamilisi katseid erinevates režiimides, samas kui raud-lind platvormid ja avioonikalaborid võimaldavad riistvara/tarkvara integreerimist enne lendu. Tegelikud lennukatsetused toimuvad piiratud kaugustel, näiteks Edwardsi õhuväebaasis või FAA määratud UAV-koridorides, kus telemeetria, radari jälgimine ja jälituslennukite ohutuse tagavad. Võrreldes maapealsete süsteemidega on kordatavus madalam ja keskkonnategurid (ilm, õhuruumi piirangud) mängivad suuremat rolli, kuid labori ja lennukatse kombinatsioon annab struktureeritud sertifitseerimisvõimaluse.

Merekatsetused põhinevad kontrollitud hüdrodünaamiliste rajatiste ja avatud veekatsetuste segul. Pukseerimistankid ja lainebasseinid – näiteks Naval Surface Warfare Centeri omad – võimaldavad täpselt uurida laevakere jõudlust, tõukejõudu ja lainete vastastikmõju. Autonoomia tagamiseks kasutatakse varajases staadiumis valideerimiseks varjatud keskkondi (sadamad, katsejärved), millele järgneb ranniku- ja süvamerekatsetused. Rajatised hõlmavad sageli instrumentidega varustatud poid, GPS-i keelatud navigatsiooni testimise tsoone ja pikaajalisi vastupidavuse seadistusi. Võrreldes maa ja õhuga rõhutavad meresüsteemid häiringute realismi (lained, hoovused) ja pika horisondi töökindlust, keskendudes vähem tihedatele ja korratavatele interaktsioonistsenaariumidele.

Kosmosesüsteemidel on kõige spetsialiseerunud ja piiratum füüsiline testimise infrastruktuur. Kuna töökeskkonnas on täielik täielik testimine võimatu, toetuvad insenerid kõrge täpsusega maapealsetele rajatistele, mis kordavad kosmosetingimuste aspekte. Nende hulka kuuluvad termilised vaakumkambrid (nt NASA Johnsoni kosmosekeskuse kamber A), vibratsiooni- ja akustilised katseseadmed stardikoormuste jaoks ning tõukejõu katsestendid (nt Stennise kosmosekeskus). RF-kajavabad kambrid kinnitavad side- ja tuvastussüsteeme. Kuigi need rajatised saavutavad konkreetse füüsika jaoks äärmise täpsuse, on süsteemitaseme valideerimine killustatud, mis nõuab suurt sõltuvust simulatsioonist ja alamsüsteemi järkjärgulisest testimisest. Rikete maksumus ja pöördumatus juhivad testimisfilosoofiat, mille keskmes on kvalifikatsioon, koondamine ja konservatiivsed marginaalid.

Kõigis neljas valdkonnas areneb füüsiline testimine väga korratavatest, stsenaariumirohketest keskkondadest (maapealne) kuni füüsikaga piiratud, osalise reaalsuse valideerimiseni (kosmos). Õhu- ja meresüsteemid paiknevad vahepeal, ühendades kontrollitud rajatised tegelike katsetega. Järjepidev suundumus on instrumenteeritud testkeskkondade integreerimine digitaalsete kaksikutega, mis võimaldab kahesuunalist tagasisidet füüsiliste katsete ja simulatsioonimudelite vahel – see on järjest kriitilisem võimalus autonoomsete ja ohutuskriitiliste süsteemide valideerimiseks.

See peatükk annab põhjaliku ülevaate sellest, kuidas juhtimine, otsuste tegemine ja liikumise planeerimine moodustavad autonoomse süsteemi käitumise tuumiku ning kuidas need elemendid erinevad valdkondades ja rakendusparadigmades. See algab klassikaliste juhtimismeetodite (nagu PID, LQR ja oleku hindamine) vastandamisega AI-põhiste lähenemisviisidega, nagu tugevdav õpe ja närvivõrgu kontrollerid. Klassikalised meetodid pakuvad tugevaid stabiilsuse, läbipaistvuse ja sertifitseeritavuse tagatisi, mistõttu sobivad need hästi ohutuskriitilisteks madala taseme kontrollimiseks. Seevastu AI-põhised meetodid pakuvad kohanemisvõimet ja võimet käsitleda keerulist, mittelineaarset dünaamikat, kuid tekitavad probleeme seletatavuse, kontrollimise ja vastupidavuse osas. Peatükis rõhutatakse, et hübriidarhitektuurid – kus tehisintellekt võtab vastu kõrgetasemelisi otsuseid ja klassikaline juhtimine tagab ohutu täitmise – on kujunemas kõige praktilisema ja ohutusega seotud lähenemisviisina.

Seejärel uuritakse peatükis otsustus- ja planeerimishierarhiat, eristades käitumisalgoritme (“mida teha”) ja liikumise planeerimist (“kuidas seda teha”). Käitumismeetodid, nagu piiratud olekumasinad, käitumispuud ja kasulikkusepõhine arutluskäik, reguleerivad kõrgetasemelisi toiminguid, nagu sõiduraja vahetus või järeleandmine, samas kui liikumisplaneerijad loovad teostatavaid trajektoore, kasutades selliseid tehnikaid nagu A*, RRT* ja mudeli ennustav juhtimine. Peamine ülevaade on nende kihtide ja juhtimissüsteemi vaheline tihe seos: taju toidab käitumist, käitumine juhib planeerimist ja planeerimine juhib pidevas ahelas juhtimist. Ohutus ei tulene ühestki kihist, vaid nende koordineeritud toimimisest ebakindluse tingimustes, sealhulgas teiste mõjurite ennustamisest, piirangutest kinnipidamisest ja reaalajas ümberplaneerimisest.

Lõpuks keskendub peatükk valideerimisele ja tagamisele, tuues esile digitaalsete kaksikute keskset rolli, stsenaariumipõhist testimist ja formaalseid meetodeid. Kaasaegne V&V raamistik ühendab endas mitme täpsusega simulatsiooni (madala ja kõrge täpsusega), katsete kavandamise stsenaariumide genereerimise ja ohutusomaduste ametliku spetsifikatsiooni (nt kasutades Scenic ja ajalist loogikat). Need meetodid võimaldavad süstemaatiliselt uurida servajuhtumeid, mõõta ohutusmõõdikuid (nt kokkupõrkeni kuluv aeg, trajektooriviga) ning simulatsiooni ja reaalmaailma testimise struktureeritud võrdlust. Füüsiline testimine – alates AV-radadest kuni kosmosekvalifikatsiooni seadmeteni – täiendab simulatsiooni, samas kui pidev tagasiside juurutatud süsteemidest värskendab digitaalset kaksikut. Läbiv teema on see, et usaldusväärne ohutuse tagamine eeldab tihedalt integreeritud silmust simulatsiooni, formalismi ja reaalse maailma valideerimise vahel koos sim-to-real lõhe selge mõõtmisega.

Inimese ja masina vaheline side (HMC) on kriitilise tähtsusega ohutuse ja tõhususe kiht maa-, lennundus-, mere- ja kosmosesüsteemides, mis kujundab inimeste järelevalvet, usaldust ja sekkumist üha autonoomsemate platvormide töösse. Lennunduses on suhtlus väga struktureeritud ja protseduuriline, integreerides piloodid automaatikaga kabiini liideste, hoiatuste ja lennujuhtimise kaudu, kus selgus, töökoormuse juhtimine ja režiimide segaduse vältimine on ohutuse tagamiseks ülimalt tähtsad. Meresüsteemid rõhutavad pikaajalist olukorrateadlikkust ja töötavad sageli piiratud ühenduvusega, nõudes HMC-d, mis toetaks kaugjärelevalvet, autonoomia järelevalvet ja koordineerimist inimmeeskondadega ebakindlates keskkonnatingimustes. Kosmosesüsteemides piiravad sidet latentsusaeg, piiratud ribalaius ja missioonikriitilised panused, mistõttu on vaja väga autonoomseid süsteeme, mis on ühendatud hoolikalt kavandatud liidestega, mis võimaldavad operaatoritel mõista süsteemi olekut, diagnoosida kõrvalekaldeid ja anda enesekindlalt kõrgetasemelisi käske. Maapealsed süsteemid seisavad aga silmitsi HMI suurimate väljakutsetega.

Teises peatükis tutvustati ohutuse ja juriidilise vastutuse mõistet ning põhikontseptsiooniks on ootusfunktsioonid. See tähendab, milline on autonoomse maismaasõiduki eeldatav käitumine, võttes arvesse fakte. Selle kontseptsiooniga on tihedalt seotud igasugune suhtlus autonoomse sõiduki ja ümbritsevate inimeste vahel. See peatükk keskendub sellele, kuidas maapealsed autonoomsed sõidukid inimeste ja neid ümbritseva keskkonnaga suhtlevad ja suhtlevad. Kuna automatiseerimine eemaldab inimjuhi juhtimisahelast, on läbipaistvuse, usalduse ja ohutuse tagamiseks vaja uusi inim-masina kommunikatsiooni (HMC) vorme. Peatükis uuritakse, kuidas toimub teabevahetus sõidukite, reisijate, jalakäijate, operaatorite ja sõidukipargi haldajate vahel erinevate liideste ja suhtlusviiside kaudu. See tutvustab kontseptuaalseid ja praktilisi raamistikke, nagu inimese ja masina liidesed (HMI), sõidukeel (LoD) ja üldsuse aktsepteerimise mehhanismid, mis koos määratlevad, kuidas autonoomia muutub arusaadavaks ja sotsiaalselt integreerituks igapäevases liikuvuses.

Selles peatükis uuritakse inimese ja masina interaktsiooni (HMI) eripärasid autonoomsete sõidukite (AV-de) kontekstis. Selles uuritakse, kuidas autonoomsete sõidukite HMI erineb põhimõtteliselt traditsioonilistest autode armatuurlaudadest. Kuna inimjuht ei osale enam sõiduki juhtimises, tekib väljakutse: kuidas peaksid tehisintellekti juhitavad süsteemid tõhusalt suhtlema reisijate, jalakäijate ja teiste liiklejatega?

AV-de HMI ulatub palju kaugemale juhi armatuurlauast. See määratleb sidesilla masinate, inimeste ja infrastruktuuri vahel – kujundades seda, kuidas autonoomiat tajutakse ja usaldatakse. Tõhus HMI määrab, kas automatiseerimist peetakse intelligentseks ja usaldusväärseks või läbipaistmatuks ja võõraks.

Traditsioonilised juhiliidesed olid mõeldud käsitsi juhtimise toetamiseks. Seevastu autonoomsed sõidukid peavad edastama kavatsusi, olekut ja ohutust nii sõiduki sees kui ka väljaspool. Inimjuhtide puudumine nõuab uusi suhtlusmudeleid, et tagada turvaline suhtlus kõigi osalejate vahel.

Selles jaotises käsitletakse saadaolevaid suhtluskanaleid ja arutatakse, kuidas need kanalid tuleb uue paradigma järgimiseks ümber määratleda. Lisaks arvestatakse sellega, kuidas erinevad keskkonnategurid, sealhulgas kultuurilised, geograafilised, hooajalised ja ruumilised elemendid, mõjutavad kommunikatsioonistrateegiaid.

Selle ümberkujundamise võtmekontseptsiooniks on sõidukeel (LoD) – raamistik, mille abil struktureerida ja standardida, kuidas autonoomsed sõidukid väljendavad teadlikkust ja kavatsust inimeste suhtes (Kalda et al., 2022).

Inimeste maailma tajumise mõistmine on autonoomsete sõidukite tõhusaks suhtlemiseks ülioluline. Inimese taju on multimodaalne – kombineerib nägemist, heli, liikumisviise ja sotsiaalset teadlikkust. Neid tajumehhanisme uurides saavad AV-disainerid jäljendada intuitiivseid inimese signaale, näiteks:

• Keha orientatsioon või tähelepanu fookus.
• Žesti ja trajektoori ennetamine.
• Peen kiirus või suund muutub mitteverbaalsete vihjetena.

Selline käitumuslikult inspireeritud signaalimine aitab AV-del muutuda sotsiaalselt loetavaks, toetades ühist arusaamist teel.

Autojuhtimine on sotsiaalne tegevus. Kultuur, normid ja keskkond kujundavad seda, kuidas inimesed signaale ja liikumisi tõlgendavad. Sõltuvalt kultuurilistest ja piirkondlikest ootustest võib autonoomsetel sõidukitel olla vaja kohandada oma suhtlusstiili – heledatest värvidest ja ikoonidest helitoonide ja sõnumite sõnastuseni.

Uuringud uurivad, kas AV-d võiksid kasutada inimesesarnaseid suhtlusmeetodeid, nagu digitaalsed näoilmed või humanoidsed žestid, et toetada loomulikumat suhtlust keerukates sotsiaalsetes sõidukontekstides.

Kaasaegsed HMI-süsteemid toetuvad keerukate olukorraandmete töötlemiseks ja suhtluse reaalajas kohandamiseks üha enam tehisintellektile, sealhulgas suurtele keelemudelitele (LLM). AI võimaldab:

• Kontekstiteadlikud dialoogisüsteemid reisijatele ja operaatoritele.
• Adaptiivne sõnumite prioritiseerimine kiireloomulisusest ja keskkonnast lähtuvalt.
• AV-käitumise loomulikud selgitused (nt „Aeglustamine jalakäija ületamiseks“).

Areng AI-vahendatud liideste suunas tähistab nihet fikseeritud kasutajaliidese disainilt vestlus- ja kontekstuaalse sõidukisuhtluse suunas.

Kui eelmises jaotises kirjeldati HMI aluseid ja eesmärke, siis see osa keskendub sellele, kuidas autonoomsed sõidukid erinevate sidusrühmadega suhtlevad ja milliste režiimide kaudu. Neid interaktsioone saab kategoriseerida kasutaja tüübi, eesmärgi ja läheduse järgi.

Sõiduki ja reisija liides toetab mugavust, teadlikkust ja juurdepääsetavust. See asendab inimjuhi sotsiaalset rolli, pakkudes:

• Visuaalsed või kuuldavad vihjed, mis selgitavad süsteemi otsuseid (nt „Jalakäijale järeleandmine”).
• Selged tähised marsruudi, peatuste ja töörežiimi kohta.
• Hädapeatuse, abitaotluse või reisi tagasiside valikud.

Reisijate suhtlus peab tasakaalustama automatiseerimist ja kindlustunnet. Eesti väliuuringus (Kalda, Sell & Soe, 2021) teatas üle 90% esmakordsetest AV-kasutajatest, et tunneb end turvaliselt ja on valmis uuesti sõitma, kui liides selgitas selgelt sõiduki tegevust.

Sõiduki ja jalakäija liides (V2P) asendab inimlikke näpunäiteid, nagu silmside või žestid. *Language of Driving* (Kalda et al., 2022) teeb ettepaneku kasutada kavatsuse väljendamiseks standardiseeritud visuaalseid sümboleid, valgusribasid või projektsioone.

• Rohelised nooled — kutse ristile.
• Valged impulsid — jalakäijate kohalolu teadvustamine.
• Punane rist – ära ületa / liikuv sõiduk.

Jalakäijate suhtlus peab jääma universaalseks ja intuitiivseks, vältides sõltuvust tekstist või keele mõistmisest.

Praegustel autonoomiatasemetel (L3–L4) on ohutusoperaatori liides endiselt hädavajalik. On kaks varianti:

• Sisseehitatud HMI: võimaldab käsitsi juhtida, kuvab hoiatusi ja tagab kiire üleandmise.
• Teleoperatsioonijaam: võimaldab kaugseiret ja juhtimist turvaliste võrkude kaudu.

Teleoperatsioon toimib *sillana* inimliku järelevalve ja täieliku autonoomia vahel – see on oluline mitmetähenduslike liiklus- või hädaolukorra stsenaariumide käsitlemiseks.

Spetsiaalne hooldusliides võimaldab tehnikutel sõidukit ohutult kontrollida ja uuendada:

• Andurite ja täiturmehhanismide diagnostika.
• Logi analüüs ja süsteemi kordus.
• Turvalised püsivara värskendused ja juurdepääsu kontroll.

Sellised liidesed tagavad jälgitavuse, töökindluse ja ohutuseeskirjade järgimise.

Autopargi tasemel liidesed pakuvad tsentraliseeritud juhtimist ja analüüsi mitme sõiduki jaoks. Nad toetavad:

• Missiooni planeerimine ja marsruudi jälgimine.
• Ennustav hooldus sõiduki telemeetria abil.
• Integratsioon targa linna ja MaaS platvormidega.

Need tööriistad töötavad peamiselt kaugsidekanalite kaudu, tuginedes turvalisele andmeinfrastruktuurile.

Sõiduki autonoomse suhtluse saab jagada otseseks (kohalik) ja kaugsuhtluseks (järelevalve):

Tagamaks, et inimese ja masina suhtlus oleks intuitiivne ja ohutu, kehtivad mitmed universaalsed disainipõhimõtted:

• Läbipaistvus: näitavad selgelt kavatsust ja süsteemi olekut.
• Järjepidevus: ühtlane käitumine keskkondades.
• Juurdepääsetavus: mahutab erinevaid kasutajaid ja võimeid.
• Multimodaalsus: kombineerib valgust, heli ja liikumisviise.
• Turvalisus ja privaatsus: kaitske nii inimeste kui ka masinate andmeid.

Süstemaatilisel rakendamisel muudavad need põhimõtted autonoomsed süsteemid arusaadavaks, prognoositavaks ja usaldusväärseks.

Viiteallikad

Kalda, K.; Pizzagalli, S.-L.; Soe, R.-M.; Müü, R.; Bellone, M. (2022). *Autonoomsete sõidukite juhtimiskeel.* Applied Sciences, 12(11), 5406. [https://doi.org/10.3390/app12115406](https://doi.org/10.3390/app12115406)

Kalda, K.; Müü, R.; Soe, R.-M. (2021). *Autonoomse transpordivahendi ja reisijate vastuvõtu kasutamise juhtum.* Eesti Teaduste Akadeemia Toimetised, 70(4), 429–435. [https://doi.org/10.3176/proc.2021.4.09](https://doi.org/10.3176/proc.2021.4.09)

Sõidukeel (LoD) kirjeldab kaudseid ja otseseid signaale, mis võimaldavad autonoomsetel sõidukitel ja inimestel segaliikluses üksteist mõista [1–3].

Sõidukäitumist saab analüüsida kihilise kommunikatsioonisüsteemina:

• Foneetika: nähtavad näpunäited, nagu tuled või liikumisrütm.
• Semantika: nende näpunäidete tähendus (nt saagi, jätka).
• Pragmaatika: kuidas tähendus muutub konteksti ja keskkonnaga.

Autonoomne sõiduk peab järeldama inimese kavatsusest ja näitama samal ajal loetavat kavatsust [2].

Juhtimiskeeled on globaalselt erinevad; seega peavad liidesed säilitama universaalse tähenduse, võimaldades samal ajal kohalikku kohandamist [1]. Käitumine peaks olema äratuntav, kuid mitte antropomorfne, säilitades kultuuridevahelise selguse [3].

Valguspõhiste näpunäidete abil tehtud välikatsed on näidanud, et lihtsad värvi- ja liikumismustrid edastavad tõhusalt teadlikkust ja järeleandmist. Osalejad teatasid paremast arusaamisest, kui signaalid olid järjepidevad ja üleliigsed kõigis viisides [2].

LoD kui mõõdetava raamistiku vormistamine on automatiseeritud käitumise kontrollimise, standardimise ja koostalitlusvõime jaoks hädavajalik [3].

Viiteallikad: [1] Razdan, R. et al. (2020). *Inimeste ja autonoomsete sõidukite vastastikust suhtlemist puudutavad lahendamata teemad.* SAE EDGE uurimisaruanne EPR2020025. [2] Kalda, K., Sell, R., Soe, R.-M. (2021). *Autonoomse transpordivahendi kasutamine ja reisijate aktsepteerimine.* Proc. Eesti Teaduste Akadeemia, 70 (4). [3] Kalda, K., Pizzagalli, S.-L., Soe, R.-M., Sell, R., Bellone, M. (2022). *Autonoomsete sõidukite sõidukeel.* *Rakendusteadused*, 12 (11).

Autonoomsete sõidukite (AV) integreerimine igapäevaliiklusse toob kaasa nii tehnoloogilisi kui ka ühiskondlikke väljakutseid. Kuigi automatiseeritud sõidusüsteemide eesmärk on välistada inimlikud vead ja parandada tõhusust, on nende süsteemide tajutav ohutus ja heakskiit nende laialdase kasutuselevõtu jaoks otsustava tähtsusega. Inimeste tehnoloogia *usaldamise* tagamine on sama oluline kui tehnoloogia *ohutu toimimise* tagamine.

Autonoomse liikuvuse ohutus võib jagada kaheks üksteisest sõltuvaks aspektiks:

• Tehniline ohutus – andurite, algoritmide ja mehaaniliste süsteemide töökindlus, mis tagavad õige taju, planeerimise ja juhtimise erinevates liiklusoludes.
• Tajutud ohutus – aste, mil määral reisijad ja teised liiklejad tunnevad end autonoomse sõidukiga suhtlemisel või seda jälgides turvaliselt.

Isegi kui AV töötab laitmatult vastavalt standarditele ja eeskirjadele, võivad kasutajad kõhkleda selle kasutamises, välja arvatud juhul, kui süsteem edastab oma toiminguid selgelt ja käitub etteaimatavalt. Seega tekib *usaldus* ohutuse mõõdetava komponendina.

Avalikkuse heakskiit on tihedalt seotud sellega, kui läbipaistvalt süsteem oma kavatsusi ja piiranguid edastab. Inimesed eeldavad, et autonoomsed sõidukid käituvad järjekindlalt ja arusaadavalt – annavad märku järeleandmisel, peatumisel või liikumise jätkamisel. Sõiduki inimese ja masina liidese (HMI) selged visuaalsed või kuuldavad näpunäited võivad oluliselt suurendada kasutajate usaldust.

Sama oluline on läbipaistev suhtlus operaatoritelt ja ametiasutustelt seoses sellega, kuidas ohutust juhitakse, mis juhtub süsteemitõrgete korral ja kuidas andmeid kasutatakse. Väärinformatsioon või ebakindlus intsidentide ajal võivad avalikkuse usaldust kiiresti õõnestada isegi siis, kui tehnilist riket pole esinenud.

Empiirilised uuringud on näidanud, et otsene kogemus AV-dega suurendab tugevalt usaldust. Ühes Eesti väliuuringus (Kalda, Sell & Soe, 2021) teatas enamik esmakasutajaid kõrgest turva- ja mugavustundest, kusjuures üle 90% näitab valmisolekut kasutada autonoomseid süstikuid pärast esimest sõitu.

Sellised tulemused kinnitavad, et isiklik kogemus ja hästi juhitud meeleavaldused on võtmetegurid avalikkuse ettekujutuse kujundamisel. Inimesed, kes suhtlevad otseselt autonoomsete sõidukitega, kalduvad üle minema uudishimust usaldusele, samas kui need, kes ei puutu kokku, jäävad sageli ettevaatlikuks või skeptiliseks. See rõhutab pideva testimise, hariduse ja avalikkuse kaasamise tähtsust.

Avalikkuse heakskiit ulatub kaugemale ohutusest. See hõlmab ka vastutuse, õigluse, juurdepääsetavuse ja ühiskondliku mõju küsimusi. Autonoomne transport peab olema kaasav ja arusaadav kõigile kodanikele – olenemata vanusest, digitaalsest kirjaoskusest või füüsilisest võimekusest.

Eetiline läbipaistvus, selged vastutuse reeglid ja inimkeskne liidese disain aitavad kaasa ühiskonna valmisolekule automatiseerimiseks. Seetõttu on *sotsiaalse turvalisuse* tervikliku raamistiku määratlemiseks hädavajalik koostöö inseneride, psühholoogide, kommunikatsiooniekspertide ja poliitikakujundajate vahel.

Üldsuse usalduse tagamine autonoomse liikuvuse vastu nõuab tasakaalustatud lähenemisviisi:

• Pidev ohutuse valideerimine simulatsiooni, testimise ja jälgimise kaudu.
• Läbipaistev valitsemine ja avatud suhtlemine avalikkusega.
• Haridus- ja teadlikkuse tõstmise tegevused, mis selgitavad süsteemi piiranguid ja eeliseid.
• Eetilised ja kaasavad disainipõhimõtted tagavad juurdepääsetavuse ja õigluse.

Kui need mõõtmed ühtivad, areneb avalikkuse aktsepteerimine loomulikult, muutes esialgse uudishimu ja ettevaatlikkuse usalduseks ja harjumuspäraseks kasutamiseks. Tulevase autonoomse liikuvuse edukus ei sõltu seega mitte ainult tehnoloogilisest tipptasemest, vaid ka sellest, kui hästi ühiskond seda mõistab ja omaks võtab.

Viide: Kalda, K.; Müü, R.; Soe, R.-M. (2021). *Autonoomse transpordivahendi ja reisijate vastuvõtu kasutamise juhtum.* Eesti Teaduste Akadeemia Toimetised, 70(4), 429–435. [https://doi.org/10.3176/proc.2021.4.09](https://doi.org/10.3176/proc.2021.4.09)

Inimese-masina liideste (HMI) kontrollimine ja kinnitamine (V&V) autonoomsetes sõidukites tagab, et inimeste ja intelligentsete süsteemide vaheline suhtlus on ohutu, intuitiivne ja järjepidev. Kui funktsionaalsed ohutusstandardid keskenduvad andurite õigele tööle ja juhtimisloogikale, siis HMI valideerimine laiendab seda inimese mõistmisele, kasutatavusele ja käitumuslikule reaktsioonile [1–3].

HMI V&V eesmärk on kinnitada, et:

• Kasutajad tõlgendavad sõiduki pakutavat teavet ja näpunäiteid õigesti.
• Süsteemi tagasiside toetab õigeaegseid ja ohutuid inimeste reaktsioone.
• Suhtlemine jääb tõhusaks erinevates keskkondades ja kasutajatingimustes.

Seetõttu ühendab valideerimisprotsess *tehnilise testimise* ja *inimkeskse hindamise*.

Kontrollimine käsitleb, kas liides käitub ettenähtud viisil. Tüüpilised meetodid hõlmavad järgmist:

• Simulatsioonipõhine testimine – visuaalsete, heli- ja puutesignaalide kontrollimine virtuaalses sõidustsenaariumis.
• Stsenaariumipõhine valideerimine – eelmääratletud interaktsioonijuhtumid AV-de ja jalakäijate või reisijate vahel, mida testitakse süstemaatiliselt.
• Silmuses olev tarkvara (SIL) / Hardware-in-the-loop (HIL) – multimodaalse tagasiside ajastuse ja sünkroonimise hindamiseks.
• Rikkerežiimi testimine – halvenenud side (nt valgus- või võrgutõrge) ja varukäitumise analüüs [2].

Kontrollimine tagab järjepidevuse, latentsuspiirangud ja liiasuse kõigi meetoditega enne mis tahes kasutajatestide läbiviimist.

Valideerimine keskendub sellele, kuidas inimesed liidest tegelikult kogevad ja sellest aru saavad. See hõlmab iteratiivset testimist inimestega kontrollitud ja reaalses keskkonnas [1–3]. Lähenemisviisid hõlmavad järgmist:

• Kasutusuuringud – arusaamisaja, ülesande täitmise ja veamäära mõõtmine.
• Silma jälgimine ja füsioloogiline monitooring – tähelepanu ja kognitiivse töökoormuse hindamine.
• Küsitlused ja intervjuud – tajutava ohutuse, selguse ja usalduse hindamine.

Tulemusi analüüsitakse signaalimustrite, värvikoodide ja sõnumite sõnastuse täpsustamiseks, et parandada intuitiivsust ja vähendada segadust.

Kõrgtäpsusega simulatsioonikeskkonnad võimaldavad HMI varases staadiumis hindamist ilma füüsiliste prototüüpideta. Tööriistad integreerivad virtuaalsed jalakäijad, valgustus ja ilm, et testida, kuidas disainivalikud mõjutavad nähtavust ja loetavust [3]. Virtuaalne valideerimine toetab:

• Alternatiivsete suhtluskontseptsioonide kiire võrdlus.
• Haruldaste või ohtlike stsenaariumide eetiline testimine.
• Käitumismõõdikute korreleerimine simuleeritud vastustega.

Need tehnikad lühendavad arendustsükleid ja võimaldavad andmepõhise liidese täiustamist.

Valideerimise reprodutseeritavaks muutmiseks määratletakse kvantitatiivsed mõõdikud, näiteks:

• Arusaamise määr (% osalejatest, kes tõlgendavad vihjeid õigesti).
• Reaktsiooni latentsus (signaalile reageerimise aeg).
• Usaldusindeks (subjektiivne usaldustase).
• Veade sagedus (valetõlgenduste arv katsekäigu kohta).

Standardiseeritud mõõdikud võimaldavad võrrelda projekte ja toetada AV-kommunikatsiooni valmisoleku regulatiivset hindamist.

HMI valideerimine ei lõpe prototüübi testimisega. Pilootrakenduste väliandmed pakuvad väärtuslikku tagasisidet pidevaks täiustamiseks [2]. Kombineerides simulatsiooni, tegelikku jõudlust ja kasutajaanalüüsi, arenevad HMI-süsteemid tehnoloogia ja kasutajate ootuste küpsedes pidevalt.

Viiteallikad: [1] Razdan, R. et al. (2020). *Inimeste ja autonoomsete sõidukite vastastikust suhtlemist puudutavad lahendamata teemad.* SAE EDGE uurimisaruanne EPR2020025.

[2] Kalda, K., Sell, R., Soe, R.-M. (2021). *Autonoomse transpordivahendi kasutamine ja reisijate aktsepteerimine.* Proc. Eesti Teaduste Akadeemia, 70 (4).

[3] Kalda, K., Pizzagalli, S.-L., Soe, R.-M., Sell, R., Bellone, M. (2022). *Autonoomsete sõidukite sõidukeel.* Rakendusteadused, 12 (11).

Tõhus kontrollimine ja valideerimine ületab lõhe tehnilise funktsionaalsuse ja inimeste arusaamise vahel. Tagades, et suhtlus on täpne, tõlgendatav ja usaldusväärne, aitavad need protsessid otseselt kaasa autonoomse mobiilsuse turvalisele ja vastutustundlikule kasutuselevõtule [1–3].

Valideerimine ja kontrollimine (V&V) on süsteemitehnoloogia ja tarkvaraarenduse kriitilised protsessid, mis tagavad, et süsteem vastab ettenähtud eesmärgile ja töötab usaldusväärselt. Kinnitamine on protsess, mille käigus hinnatakse, kas toode, teenus või süsteem vastab selle määratud nõuetele – sisuliselt küsitakse: “Kas me ehitasime süsteemi õigesti?” See hõlmab selliseid tegevusi nagu ülevaatused, simulatsioonid, testid ja ülevaated kogu arenduse elutsükli jooksul. Valideerimine seevastu tagab, et lõplik süsteem täidab reaalses keskkonnas ettenähtud kasutust – vastates küsimusele “Kas me ehitasime õige süsteemi?” Tavaliselt hõlmab see kasutajate aktsepteerimistesti, välikatsetusi ja jõudluse hindamist töötingimustes. Koos aitavad V&V vähendada riske, parandada ohutust ja kvaliteeti ning suurendada kindlustunnet, et süsteem toimib tõhusalt ja ootuspäraselt. Autonoomsete süsteemide kontekstis ühendab V&V kaks ajaloolist suundumust. Esimene mehaanilistest süsteemidest ja teine ​​uuem klassikalistest digitaalsetest otsustussüsteemidest. Lõpuks muudab AI digitaalsete otsustussüsteemide testimisele veelgi keerukamaks.

Traditsiooniliste autotööstuse ohutuskriitiliste süsteemide puhul on V&V areng olnud tihedalt seotud regulatiivsete standardite raamistikega, nagu ISO 26262. Selle raamistiku põhielemendid on järgmised:

1. Süsteemi väljatöötamise protsess: struktureeritud arenduse tagamise lähenemisviis keerukate süsteemide jaoks, mis hõlmab ohutussertifikaati integreeritud arendusprotsessi.
2. Formaliseerimine: süsteemi töötingimuste, funktsioonide, eeldatava käitumise, riskide ja ohtude ametlik määratlus, mida tuleb leevendada.
3. Elutsükli juhtimine: komponentide, süsteemide ja arendusprotsesside haldamine kogu nende elutsükli jooksul.

Esmane eesmärk oli täpselt ja ametlikult määratleda süsteemi ülesehitus, prognoosida eeldatavat käitumist ja võimalikke probleeme ning mõista mõju toote elueale.

Tavapäraste tarkvaraparadigmade tulekuga kohandati ohutuskriitilisi V&V, säilitades süsteemi algse disaini lähenemisviisi, integreerides samal ajal tarkvara süsteemikomponentidena. Need tarkvarakomponendid säilitasid süsteemi kavandamisel sama veaanalüüsi, elutsükli haldamise ja ohuanalüüsi üldise struktuuri. Teatud aspektid vajasid siiski pikendamist. Näiteks õhusõidukite valdkonnas uuendas standard DO-178C, mis käsitleb “Tarkvara kaalutlusi õhus kasutatavate süsteemide ja seadmete sertifitseerimisel”, füüsilisest rikkemehhanismist kuni funktsionaalsete defektideni esineva ohu kontseptsiooni, tunnistades, et tarkvara ei halvene füüsiliste protsesside tõttu. Samuti vaadati läbi elutsükli haldamise kontseptsioonid, mis kajastavad traditsioonilisi tarkvaraarenduse tavasid. Lisati disaini tagamise tasemed (DAL), mis võimaldavad integreerida tarkvarakomponente süsteemi disaini, funktsionaalse jaotuse, jõudluse spetsifikatsiooni ning V&V protsessi, mis sarnaneb SOTIF-iga autotööstuses.

Ülaltoodud tabelis on näidatud erinevus ISO 26262 ja SOTIF vahel. Üldiselt on digitaalsete tarkvarasüsteemide põhiomadused ohutuskriitilistes süsteemides problemaatilised. IT-sektor on aga olnud peamine megatrend, mis on viimase 50 aasta jooksul maailma muutnud. Selle käigus on see pooljuhtide, operatsioonisüsteemide, side ja rakendustarkvara ümber välja töötanud suured ökosüsteemid. Praegu on nende ökosüsteemide kasutamine peaaegu iga toote edu jaoks kriitilise tähtsusega, nii et segadomeeni ohutuskriitilised tooted on nüüd reaalsus. Segadomeeni struktuure saab liigitada kolme laia paradigma alla, millest igaühel on väga erinevad V&V nõuded: mehaaniline asendus (suur füüsiline, väike digitaalne), elektrooniline külgnev (eraldi füüsiline ja digitaalne), autonoomia (suur digitaalne, väike füüsiline). Drive-by-Wire funktsionaalsus on näide mehaanilise asendamise paradigmast, kus algse mehaanilise funktsionaalsuse rakendamine toimub elektrooniliste komponentide (HW/SW) abil. Esialgsetes konfiguratsioonides olid need segatud elektroonilised/mehaanilised süsteemid füüsiliselt eraldatud iseseisvate alamsüsteemidena. Selles konfiguratsioonis nägi V&V protsess väga sarnane traditsioonilise mehaanilise kontrollimise protsessiga.

Eraldi füüsiliste alamsüsteemide paradigma eeliseks on V&V lihtsus ja ohutus, kuid suureks puuduseks komponentide kalduvus ja materjalikulu. Seega on esilekerkivaks suundumuseks olnud aluseks olevate arvutusstruktuuride loomine võrguühenduse ja praktiliselt (tarkvara kaudu) eraldi funktsionaalsusega. V&V vaatenurgast tähendab see, et seda eraldatust säilitav virtuaalne selgroog (nt RTOS) peab olema väga kõrgel tasemel verifitseeritud. Infotainment-süsteemid on Electronics Adjacenti integreerimise näide. Üldjuhul on olemas sõltumatu IT-infrastruktuur, mis töötab koos ohutuskriitilise infrastruktuuriga ning V&V vaatenurgast saab neid eraldi valideerida. Infotainment-süsteemide olemasolu võimaldab aga väga võimsaid sidetehnoloogiaid (5G, Bluetooth jne), kus küberfüüsilist süsteemi võivad mõjutada välised kolmandad osapooled. Ohutuse seisukohalt oleks lihtsaim viis ohutuse säilitamiseks nende süsteemide füüsiline eraldamine. Tavaliselt seda siiski ei tehta, kuna seadmele õhu kaudu värskenduste pakkumiseks on vaja ühendust. Seega peab V&V võime uuesti kontrollima, kas virtuaalsed kaitsemeetmed pahatahtlike kavatsuste vastu on tugevad. Lõpuks on integratsiooni viimane tase autonoomia kontekstis. Autonoomias hõlmavad tajumise, tajumise, asukohateenuste ja tee planeerimise protsessid traditsioonilist mehaanilist funktsionaalsust.

Tarkvarast kaugemale liikudes on AI loonud õppimise paradigma. Selles paradigmas on koolitusperiood, kus tehisintellekti masin “õpib” andmetest, et luua oma reegleid, ja sel juhul määratletakse õppimine traditsiooniliste optimeerimisalgoritmide peal, mis püüavad minimeerida mõningaid vigu. See on tõhusalt andmepõhine tarkvaraarendus, nagu on näidatud alloleval joonisel. AI-tarkvara ja tavapärase tarkvara vahel on aga sügavad erinevused. Tehisintellektiga loodud tarkvara kasutuselevõtt toob V&V ülesandes olulisi probleeme, nagu on näidatud allolevas tabelis 2.

Nagu varem mainitud, koosneb üldine V&V protsess testitava toote testimisest ODD-s. Tavaliselt tehakse seda mitme tehnikaga. Keskne paradigma on testi genereerimine, testi täitmine ja selgete korrektsuse kriteeriumide olemasolu. Praegu on aktiivsed kolm peamist intelligentse testi genereerimise stiili: füüsiline testimine, reaalajas külvamine ja virtuaalne testimine.

1. Füüsiline testimine: tavaliselt on füüsiline skaleerimine funktsionaalsuse kontrollimiseks kõige kallim meetod. Tesla on aga ehitanud voolu, kus nende olemasolev autopark on suur hajutatud katsealus. Seda sõidukiparki kasutades kasutab Tesla lähenemine autonoomsele sõidule keerulist andmekanalit ja süvaõppesüsteemi, mis on loodud suure hulga andurite andmete tõhusaks töötlemiseks. Selles voos on juhi juhitud stsenaarium koostamisel ja õigsuse kriteeriumiks on juhi parandustegevus. Kulisside taga saab globaalset kontrollivoogu hallata suurte andmebaaside ja superarvutite (DoJo) abil. Seda metoodikat kasutades teab Tesla, et tema stsenaariumid kehtivad alati. Selle lähenemisviisiga on aga probleeme. Esiteks liigub reaalne maailm uute ainulaadsete olukordade osas väga aeglaselt. Teiseks on nähtud stsenaariumid definitsiooni järgi väga palju seotud Tesla turuosaga, seega ei ennusta uusi olukordi. Lõpuks on andmete kogumise, vea tuvastamise ja parandusmeetmete loomise protsess mittetriviaalne. Äärmisel juhul sarnaneb see protsess katkiste arvutite krahhilogide võtmisega, nende diagnoosimisega ja paranduste loomisega.
2. Real-World külvamine: teine ​​​​testide genereerimise rida on füüsiliste olukordade kasutamine edasise virtuaalse testimise seemnena. Saksamaal algatatud peamine projekt Pegasus võttis sellise lähenemisviisi. Projektis rõhutati stsenaariumipõhist testimismetoodikat, mis kasutas aluseks reaalsetes tingimustes vaadeldud andmeid. Teine sarnane jõupingutus tuleneb Warwicki ülikoolist, keskendudes katsekeskkondadele, ohutusanalüüsile, stsenaariumipõhisele testimisele ja turvalisele tehisintellektile. Üks Warwicki panustest on ohutusbasseini stsenaariumide andmebaas. Andmebaasid ja külvimeetodid, eriti huvitavate olukordade puhul, pakuvad teatud väärtust, kuid loomulikult pole nende täielikkus selge. Lisaks on testide andmebaasid väga vastuvõtlikud AI-algoritmide liigsele optimeerimisele.
3. Virtuaalne testimine: Teine oluline panus oli ASAM OpenSCENARIO 2.0, mis on domeenispetsiifiline keel, mis on loodud täiustatud juhiabisüsteemide (ADAS) ja automatiseeritud juhtimissüsteemide (ADS) arendamiseks, testimiseks ja valideerimiseks. Kõrgetasemeline keel võimaldab stsenaariumi sümboolselt kõrgemal tasemel kirjeldada koos võimega kompositsioonireeglite järgi keerukamaks muutuda. Sümboolse aparaadi all on pseudojuhuslik testide genereerimine, mis võib stsenaariumi genereerimise protsessi skaleerida. Juhuslikkus pakub ka võimalust paljastada “tundmatu-tundmatu” vead.

Lisaks komponentide valideerimisele on pakutud lahendusi spetsiaalselt autonoomsete süsteemide jaoks, nagu UL 4600, “Autonoomsete toodete hindamise ohutuse standard”. Sarnaselt standardile ISO 26262/SOTIF keskendub UL 4600 ohutusriskidele kogu toote elutsükli jooksul ja tutvustab struktureeritud ohutusjuhtumi lähenemisviisi. Selle metoodika tuum on dokumenteerida ja põhjendada, kuidas autonoomsed süsteemid vastavad ohutuseesmärkidele. Samuti rõhutab see paljude reaalsete stsenaariumide tuvastamise ja valideerimise tähtsust, sealhulgas äärmuslikud juhtumid ja haruldased sündmused. Samuti keskendutakse inimese ja masina interaktsioonide kaasamisele.

Millist testimise infrastruktuuri on vaja nende erinevate metoodikate jaoks?

Autode füüsilise testimise aluseks on kokkupõrketestide, teemuutuste ja ilmastikumõjude katsetamise võimalused. Need on üldiselt privaatsetel ja jagatud testradadel üle maailma. autonoomia nimel, Andurite, katseradade ja virtuaalse simulatsiooni teemade ümber on tekkinud mitu taset testimise infrastruktuuri.

Joonis: Kajakamber

Andurite jaoks on oluline varustus: - Kajatud kambrid: neid kambreid iseloomustab kajatu (kajavaba) sisemus, mis tähendab, et need on loodud heli või elektromagnetlainete täielikuks neelamiseks, et kõrvaldada peegeldused seintelt, laest ja mõnikord ka põrandalt. - Fully Anechoic Chambers (FAC): nende kambrite kõik sisepinnad (seinad, lagi ja põrand) on kaetud RF-i neelavate materjalidega, luues peegeldusteta keskkonna. Need sobivad ideaalselt ülitäpseks mõõtmiseks, nagu antenni testimine või olukordades, kus on vaja vaba ruumi. - Poolkajakambrid (SAC): seda tüüpi seinad ja lagi on kaetud imavate materjalidega, samas kui põrand jääb peegeldavaks (sageli metallist alusplaat). See peegeldav põrand aitab simuleerida reaalseid keskkondi, näiteks maapinnal töötavaid seadmeid. Üldise EMC (elektromagnetilise ühilduvuse) testimiseks kasutatakse tavaliselt poolkajakambreid. - RF-varjestatud ruumid (Faraday puurid): need on kinnised ruumid, mis on ette nähtud elektromagnetilise kiirguse sisenemise või väljumise blokeerimiseks. Need on ehitatud juhtiva varjestusega (tavaliselt vasest või muudest metallidest) seinte, lae ja põranda ümber, mis minimeerib elektromagnetiliste häirete (EMI) sisenemist või väljumist. Need on paljude EMI testimisseadmete põhikomponent. - Reverberatsioonikambrid: need kambrid kasutavad statistiliselt ühtlase elektromagnetvälja loomiseks tahtlikult kambris resonantse ja peegeldusi. Need võivad mahutada suuremaid ja keerukamaid testimise seadistusi ning on eriti kasulikud häirekindluse testimisel, kus seade puutub kokku kõigist suundadest pärit häiretega. Nende jõudlust saab aga madalamatel sagedustel piirata.

Joonis: Zalazone autonoomne katserada

Testradade osas on traditsioonilisi katseradasid, mida kasutati mehaaniliseks testimiseks, laiendatud autonoomia funktsioonide testimiseks. Hiljutine näide ülaloleval joonisel on ZalaZONE, Ungaris asuv suur testrada. ZalaZONE integreerib nii tavapärase sõidukite testimise infrastruktuuri kui ka järgmise põlvkonna nutika mobiilsuse funktsioonid. Üks selle silmapaistvamaid komponente on Smart City Zone, mis simuleerib reaalset linnakeskkonda ristmike, ringristmike, ülekäiguradade ja ühistranspordi stsenaariumitega. See võimaldab kontrollida linnatasandi autonoomiat, V2X-suhtlust ja AI-põhiseid mobiilsuslahendusi kontrollitud, kuid realistlikus keskkonnas. Rajatis sisaldab spetsiaalset maantee- ja maateede lõiku, mis toetab suurema kiirusega autonoomsete funktsioonide hindamist, nagu adaptiivne püsikiiruse hoidja, sõidurea hoidmine ja ohutu möödasõit. Kiire ovaal võimaldab autonoomsete või ühendatud sõidukite jaoks pikaajalist vastupidavustesti ja ühtlast kiiruskatset. Dünaamiline platvorm pakub tasast ja avatud ruumi sõidukite dünaamika testimiseks, nagu automaatne hädapidurdus, kõrvalepõiklemine ja trajektoori planeerimine, samas kui nii märjal kui ka kuival juhitavuse rajad võimaldavad katsetamist erinevatel hõõrdepindadel kriitiliste stsenaariumide korral. ZalaZONE on varustatud ka täiustatud V2X ja 5G taristuga, sealhulgas teeäärsete üksuste (RSU-de) ja äärearvutussüsteemidega, et võimaldada reaalajas sidet ja andmevahetust sõidukite ja infrastruktuuri vahel – see on koostöö juhtimise ja andurite valideerimise jaoks ülioluline. Lisaks toetab maastikuosa maasturite, sõjaväesõidukite ja veoautode testimist ebatasases maastikus. Rajatist täiendavad EMC-testimise võimalused ja kliimakontrolliga testimiskambrite plaanid, mis suurendavad selle toetust keskkonna- ja regulatiivsetele testimistele. ZalaZONE pakub ka integratsiooni simulatsiooni- ja digitaalsete kaksikkeskkondadega. Selliste platvormide kaudu nagu IPG CarMaker ja AVL tööriistad, saavad arendajad paralleelselt rajal oleva valideerimisega läbi viia tarkvara-in-the-loop (SIL) ja riistvara-in-the-loop (HIL) testimist.

Joonis: Carla Simulator

Lõpuks tehakse suur osa simulatsioonist virtuaalselt. Simulatsioon mängib autonoomsete sõidukite (AV-de) väljatöötamisel ja valideerimisel kriitilist rolli, võimaldades arendajatel katsetada taju-, planeerimis- ja juhtimissüsteeme mitmesugustes stsenaariumides ilma füüsilise riskita. Kõige silmapaistvamate tööriistade hulgas on CARLA, avatud lähtekoodiga simulaator, mis on loodud akadeemiliseks ja teaduslikuks kasutamiseks, mis on tuntud oma realistliku linnakeskkonna, erinevate andurite (LiDAR, radar, kaamerad) toe ja ROS-iga integreerimise poolest. Seda kasutatakse laialdaselt AV-de prototüüpide loomiseks ja õppimiseks. Äripinnal on “rFpro” juhtiv valik originaalseadmete tootjate ja Tier-1 tarnijate jaoks, pakkudes fotorealistlikku keskkonda ja täpset andurite modelleerimist submillimeetrise täpsusega, mis on oluline andurite liitalgoritmide valideerimiseks. Sarnaselt pakuvad “IPG CarMaker” ja “dSPACE ASM” võimsaid suletud ahelaga keskkondi, mis sobivad ideaalselt sõiduki dünaamika ja ADAS-i funktsioonide testimiseks, eriti riistvara-in-the-loop (HIL) ja tarkvara-in-the-loop (SIL) seadistustes. Need tööriistad on tihedalt integreeritud MATLAB/Simulinki ja reaalajas riistvaraga manustatud kontrolltestimiseks. Suuremahuliste ja ohutuskriitiliste simulatsioonide jaoks eelistatakse selliseid platvorme nagu “VIRES VTD” ja “Applied Intuition”, kuna need vastavad tööstusstandarditele, nagu ASAM OpenX ja ISO 26262, ning nende võime modelleerida tuhandeid äärmuslikke stsenaariume. Omniverse'i platvormile ehitatud “NVIDIA DRIVE Sim” kasutatakse sünteetiliste andmete genereerimiseks närvivõrkude ja digitaalsete kaksikute treenimiseks ja valideerimiseks, pakkudes GPU-kiirendatud realismi, mis aitab tajusüsteemi testida. Lõpuks täidavad simulaatorid, nagu “Cognata” ja “MathWorksi automatiseeritud sõiduriistade kast” niši, kuid kriitilist rolli – Cognata pakub linna mastaabis keskkondi stsenaariumide testimiseks ja ohutuse valideerimiseks, samas kui MathWorksi tööriistu kasutatakse laialdaselt algoritmide väljatöötamiseks ja prototüüpide juhtimiseks, eriti akadeemilistes ringkondades ja varases faasis. Igal simulaatoril on konkreetne fookus – mõned seavad prioriteediks andurite realistlikkuse, teised täieliku süsteemiintegratsiooni või suuremahulise stsenaariumi genereerimise – nii et valik sõltub sellest, kas eesmärk on uurimistöö, reaalajas kontrolli testimine või kasutuselevõtu ohutuse valideerimine.

Väljakutsete osas on autonoomia väga varajases voorus. Laias laastus võib väljakutsed jagada kolme suurde kategooriasse. Esiteks autonoomia torujuhtme põhilised tehnoloogilised elemendid (andurid, asukohateenused, taju ja tee planeerimine, ohutuse demonstreerimise algoritmid ja metoodika ning lõpuks äriökonoomika.

Autonoomsed sõidukid toetuvad ümbritseva tajumiseks ja tõlgendamiseks andurite komplektile, nagu LiDAR, radar, kaamerad, GPS ja ultraheliseadmed. Kuid kõigil neil anduritüüpidel on omased piirangud, eriti keerulistes keskkonnatingimustes. Kaamerad võitlevad vähese valguse, pimestamise ja ilmastikuhäiretega, nagu vihm või udu, samas kui LiDAR võib udu või lume korral kannatada tagasihajumise tõttu. Radar on küll kehva ilma korral vastupidavam, kuid tagab madalama ruumilise eraldusvõime, muutes selle objektide üksikasjalikuks klassifitseerimiseks vähem tõhusaks. Need keskkonna haavatavused vähendavad tajusüsteemide töökindlust, eriti ohutuskriitiliste stsenaariumide korral. Teine suur väljakutse seisneb mitme anduritüübi integreerimises andurite liitmise kaudu. Täpse reaalajas termotuumasünteesi saavutamiseks on vaja täpset ajalist sünkroniseerimist ja ruumilist kalibreerimist, mis võib aja jooksul mehaaniliste või termiliste pingete tõttu triivida. Lisaks puutuvad andurid üha enam kokku küberjulgeolekuohtudega. GPS-i ja LiDAR-i võltsimine või võistlevad rünnakud kaamerapõhistele tuvastussüsteemidele võivad sisestada valeandmeid või eksitada otsustusalgoritme, mistõttu on vaja jõulisi vastumeetmeid nii riistvara kui ka tarkvara tasandil. Sensorsüsteemidel on raskusi ka oklusiooni ja semantilise tõlgendamisega. Paljud andurid vajavad nõuetekohaseks toimimiseks otsenähtavust, mistõttu nende jõudlus halveneb linnatingimustes visuaalsete takistustega, nagu pargitud sõidukid või ehitus. Isegi kui objekte tuvastatakse, jääb masinõppemudelite jaoks väljakutseks nende kavatsuste mõistmine (nt kas jalakäija on tänavat ületamas). Samal ajal genereerivad kõrge eraldusvõimega andurid tohutuid andmevooge, koormates pardal olevat töötlemist ja side ribalaiust ning luues kompromisse eraldusvõime, latentsusaja ja energiatõhususe vahel. Lõpuks takistavad massilist kasutuselevõttu praktilised probleemid, nagu hind, suurus ja vastupidavus. LiDAR-seadmed, kuigi väga tõhusad, on sageli kallid ja mehaaniliselt keerukad. Kaamerad ja radar peavad olema vastupidavad, et ilmastikutingimustele ja vibratsioonile vastu pidada, ilma nende jõudlust halvendamata. Neid probleeme raskendab standardiseeritud valideerimismeetodite puudumine andurite töökindluse hindamiseks erinevates reaalsetes tingimustes, mistõttu on arendajatel ja reguleerivatel asutustel keeruline luua usaldust ja tagada turvalisus erinevates tegevusvaldkondades.

“Tajusüsteem” on autonoomse sõiduki funktsionaalsuse keskmes, võimaldades autol ümbritsevat reaalajas mõista ja tõlgendada. See töötleb mitme anduri – kaamerad, LiDAR, radar ja ultraheliseadmed – andmeid, et tuvastada, klassifitseerida ja jälgida objekte. Tajusüsteem võitleb “semantilise mõistmise ja servajuhtumitega”. Kuigi objektide tuvastamine ja klassifitseerimine on süvaõppega paranenud, ebaõnnestuvad need mudelid sageli harvaesinevates või ebatavalistes stsenaariumides (nt ümberkukkunud sõiduk, kostüümis jalakäija või ehituse ümbersõidud). Tegude konteksti ja kavatsuste mõistmine (nt kas jalakäija hakkab ületama) on veelgi raskem. Tõelise olukorrateadlikkuse puudumine võib viia halva otsustusvõimeni ning on 4. ja 5. tasandi autonoomia jaoks peamine väljakutse. Samuti loob reaalajas tajumise “arvutuskoormus” – eriti kõrge eraldusvõimega sisendite puhul – piiranguid töötlemisvõimsuse, soojushalduse ja latentsuse osas. Mudeli täpsuse ja kiiruse tasakaalustamine ning süsteemi jõudluse tagamine manustatud platvormidel on pidev inseneri väljakutse.

Asukohateenused – mida sageli nimetatakse lokaliseerimiseks – on autonoomsete sõidukite (AV-de) jaoks hädavajalikud, võimaldades neil määrata oma täpse asukoha kaardil või reaalses keskkonnas. Kuigi traditsiooniline GPS pakub põhilist positsioneerimist, nõuavad autonoomsed sõidukid “sentimeetri täpsust”, vastupidavust ja reaalajas reageerimisvõimet, mis kõik kujutavad endast olulisi väljakutseid. Üks suur väljakutse on GNSS-i (Global Navigation Satellite Systems) (Global Navigation Satellite Systems) (Global Navigation Satellite Systems) (nt GPS) piiratud täpsus ja töökindlus, eriti linnakanjonites, tunnelites või tiheda lehestikuga aladel. Hooned võivad blokeerida või peegeldada satelliidi signaale, mis võib põhjustada mitme tee vigu või signaali täielikku kadumist. Kuigi sellised tehnikad nagu reaalajas kinemaatiline (RTK) korrigeerimine ja suurendamine maapealsete jaamade kaudu parandavad täpsust, võivad need lahendused olla kallid, infrastruktuurist sõltuvad ja GNSS-keelatud keskkondades võivad siiski ebaõnnestuda. Kompenseerimiseks kombineerivad AV-d sageli GPS-i “sensoripõhise lokaliseerimisega”, sealhulgas LiDAR, kaamerad ja IMU-d (inertsiaalsed mõõtühikud), mis võimaldavad kaardipõhist ja surnud arvestust. Anduripõhine surnud arvestus, kasutades IMU-sid ja odomeetriat, võib aidata lühikesi GNSS-i katkestusi ületada, kuid “triiv koguneb aja jooksul” ja vead võivad süveneda, eriti järskude pöörete, vibratsiooni või rehvi libisemise korral. Lõpuks sõltub “kaardipõhine lokaliseerimine” kõrglahutusega (HD) kaartide olemasolust, mis sisaldavad üksikasjalikke funktsioone, nagu sõiduraja märgistus, äärekivid ja liiklusmärgid. Nende kaartide koostamine ja hooldamine on kulukas ning teemuutuste, ehituse või ajutiste takistuste tõttu võivad need kiiresti vananeda, mis viib vale lokaliseerimiseni.

Teekonna planeerimine autonoomsetes sõidukites on keeruline ja ohutuse seisukohalt kriitiline ülesanne, mis hõlmab sõiduki trajektoori määramist praegusest asukohast soovitud sihtkohta, vältides takistusi, järgides liikluseeskirju ja tagades reisijate mugavuse. Üks olulisemaid väljakutseid selles valdkonnas on dünaamilise ja ettearvamatu keskkonnaga tegelemine. Teiste liiklejate (nt jalakäijate, jalgratturite ja autojuhtide) käitumine võib olla ebaühtlane, mistõttu peab planeerija pidevalt reaalajas kohanema. Nende agentide kavatsuste ennustamine on oma olemuselt ebakindel ja põhjustab sageli liiga ettevaatlikku või ebaturvalist käitumist, kui seda valesti hinnata. Reaalajas reageerimisvõime on veel üks oluline piirang. Teekonna planeerimine peab toimuma väikese latentsusega, võttes arvesse paljusid kaalutlusi, sealhulgas liiklusseadusi, tee geomeetriat, andurite andmeid ja sõiduki dünaamikat. See nõuab optimaalsuse, ohutuse ja arvutusliku tõhususe tasakaalustamist rangete ajapiirangute raames. Lisaks peab planeerija võtma arvesse sõiduki füüsilisi piiranguid, nagu pöörderaadius, kiirendus ja pidurduspiirangud, eriti keeruliste manöövrite puhul, nagu kaitsmata pöörded või takistuste vältimine. Teine püsiv väljakutse on puuduliku või mürarikka teabega töötamine. Anduri ummistus, halb ilm või lokaliseerimise triiv võivad varjata kriitilisi üksikasju, nagu teemärgised, liiklusmärgid või läheduses olevad objektid. Seetõttu peavad planeerijad tegema otsuseid ebakindluse tingimustes, mis lisab keerukust ja riske. Lisaks peab sõiduk liikuma keerulistes ja sageli muutuvates teetopoloogiates (nt ringristmikud, ehitustsoonid või ajutised ümbersõidud), kus kaardiandmed võivad olla vananenud või ebaselged. Lõpuks toob vajadus pideva ümberplaneerimise järele kaasa tugevuse ja mugavuse probleemid. Teekonna planeerimise süsteem peab sageli kohandama trajektoore, et reageerida uutele sisenditele, kuid järsud muudatused võivad halvendada sõidukvaliteeti või destabiliseerida sõidukit. Seda kõike tuleb teha, säilitades samal ajal ranged ohutusgarantiid, tagades, et iga kavandatud tee on kokkupõrkevaba ja seadusega kooskõlas. Süsteemi väljatöötamine, mis vastaks nendele nõudmistele erinevates keskkondades ja äärmuslikes olukordades, on endiselt üks raskemaid väljakutseid täielikult autonoomse sõidu saavutamisel.

Ohutuse algoritmid ja metoodika:

Peamine kitsaskoht on endiselt võimetus AI käitumist täielikult valideerida, mistõttu on vaja rangemaid meetodeid terviklikkuse hindamiseks, sihipäraste testjuhtumite genereerimiseks ja seotud süsteemikäitumiseks. Selgitatava tehisintellekti, digitaalsete kaksikute ja formaalsete meetodite edusamme peetakse paljutõotavateks teedeks. Lisaks puuduvad praegustes süsteemides skaleeritavad abstraktsioonihierarhiad, mis takistab komponenditaseme valideerimise üldistamist süsteemitaseme tagatiseks. Usalduse loomiseks kasutajate ja reguleerivate asutustega peab tööstus vastu võtma ka “progressiivse ohutusraamistiku”, mis näitab selgelt pidevat täiustamist, regressioonikontrolle õhu kaudu (OTA) värskenduste ajal ja reaalsetest riketest saadud õppetunde.

“V&V testimisseadmete” osas rõhutatakse nii virtuaalseid kui ka füüsilisi tööriistu. Virtuaalsed keskkonnad mängivad võtmerolli arenevate V&V metoodikate toetamisel, mistõttu on vaja standardiasutuste, nagu ASAM, pidevat tööd. Füüsilised katserajad peavad arenema nii, et mitte ainult ei replitseeriks tõhusalt reaalseid stsenaariume, vaid kinnitaks ka nende virtuaalsete vastete täpsust – see on ette nähtud “filmikomplekti” mudeli kaudu, mis suudab kiiresti lavastada keerulisi stsenaariume. Teine esilekerkiv probleem on “elektromagnetilised häired (EMI),” eriti aktiivsete andurite laialdase kasutamise tõttu. Traditsioonilised staatilised EMI testimismeetodid on ebapiisavad ja on vaja dünaamilisi programmeeritavaid EMI testimiskeskkondi, mis on kohandatud küberfüüsikalistele süsteemidele.

Lõpuks on kasvav mure autonoomsete süsteemide küberturvalisuse pärast. Need süsteemid toovad sisse süsteemsed haavatavused, mis ulatuvad riistvarast tarkvarani, mistõttu on vaja valitsuse tasandi järelevalvet. Peamised anduriviisid, nagu LiDAR, GPS ja radar, on vastuvõtlikud võltsimisele ning selliste ohtude tuvastamine on kiireloomuline uurimistöö prioriteet. V&V protsess ise peab arenema, et minimeerida kokkupuudet võistlevate rünnakutega, käsitledes turvalisust tõhusalt süsteemi valideerimise sisemise piiranguna, mitte järelmõtlemisena.

Ärimudelid ja tarneahel:

Robotaksod ehk autonoomsed sõiduautod on autonoomse sõiduki (AV) tehnoloogia paljulubav kasutusjuht, mis võib muuta linnaliiklust, pakkudes tellitavat juhita transporti. Peamised kasutusmudelid hõlmavad linnasõitu linnakeskustes, esimese ja viimase miili transiiti, et ühendada sõitjad ühistranspordiga, lennujaama- ja hotellitransporditeenused geotaraga piiratud aladel ning liikuvus suletud ülikoolilinnakutes, nagu ülikoolid või ettevõtete pargid. Nende mudelite eesmärk on suurendada sõidukite kasutamist, vähendada transpordikulusid ja pakkuda suuremat mugavust, eriti keskkondades, kus inimeste ja juhi kulud on olulised. Äriprobleemid on aga suured. Robotaksode arendamine ja kasutuselevõtt nõuab tohutuid kapitaliinvesteeringuid riistvarasse, tarkvarasse, testimisse ja infrastruktuuri. Tegevuskulud on endiselt kõrged, eriti varajases staadiumis, kui endiselt on vaja inimohutuse juhte, üksikasjalikke kaarte ja piiratud kasutusalasid. Reguleeritav ebakindlus takistab ka skaleeritavust, kuna erinevad jurisdiktsioonid kohaldavad ebajärjekindlaid ohutus-, kindlustus- ja tööstandardeid. See muudab laienemise aeglaseks ja kulukaks.

Lisaks on tarbijate usaldus autonoomsete süsteemide vastu endiselt habras. Kõrgetasemelised intsidendid on tõstatanud ohutusprobleeme ja paljud sõitjad võivad kõhkleda juhita sõidukite kasutamises, eriti tundmatutes või hädaolukordades. Infrastruktuuri piirangud – nagu kehv teemärgistus või piiratud ühenduvus – piiravad veelgi keskkondi, kus robottaksod saavad töökindlalt töötada. Samal ajal seab kasumlikkuse saavutamise väljakutse konkurentsivõimeline piletihinnakujundus, sõidukipargi hoolduslogistika ja integratsioon laiemate transpordivõrkudega. Üldiselt, kuigi robo-taksod pakuvad märkimisväärset pikaajalist lubadust, sõltub nende edu keerukate tehnoloogiliste, regulatiivsete ja äritõkete ületamisest.

Pooljuhtide tööstuse arenev majandus kujutab endast märkimisväärset väljakutset väikesemahulistele turgudele, kus kohandatud kiipide arendamine ei ole sageli kulutõhus. Selle tulemusena peavad autonoomsed ja ohutuskriitilised süsteemid üha enam toetuma kaubanduslikele riiulitele (COTS) komponentidele, mistõttu on hädavajalik välja töötada metoodikad, mis tagavad turvalisuse, töökindluse ja jõudluse, kasutades neid standardseid osi. See nihe paneb suuremat rõhku süsteemide kujundamisele, mis on vastupidavad ja kohandatavad isegi ilma kohandatud ränita. Lisaks tuleb nüüd elektroonika ja manussüsteemide puhul rakendada traditsioonilisi probleeme, nagu põllu hooldatavus, eluea kulud ja tarneahela projekteerimise tavad, mis on levinud masinaehituses ja tööstuses. Kuna kaasaegsetes toodetes domineerivad elektroonilised komponendid, on tarneahela järgnevate mõjude haldamiseks vaja terviklikumat disaini lähenemisviisi. Tarkvaraga määratletud sõidukite suundumus peegeldab seda vajadust, edendades sügavamat integratsiooni riistvara ja tarkvara tarnijate vahel. Tarneahela vastupidavuse edasiseks suurendamiseks püütakse standardida väiksema hulga suuremahuliste kiipide ümber ja hõlmata paindlikke, programmeeritavaid riistvarakangaid, mis integreerivad digitaalseid, analoog- ja tarkvaraelemente. See arhitektuurimuutus on võtmetähtsusega tarnehäirete leevendamisel ja süsteemi pikaajalise elujõulisuse säilitamisel. Lõpuks tähendab “hooldatavus” ka kohapealsete remondirajatiste olemasolu, mida tuleb autonoomiaga hakkama saamiseks uuendada.

Autonoomia on osa järgmisest suurest elektroonika megatrendist, mis tõenäoliselt muudab ühiskonda. Uue tehnoloogiana on suur hulk avatud uurimisprobleeme. Need probleemid võib liigitada nelja suurde kategooriasse: autonoomia riistvara, autonoomia tarkvara, autonoomia ökosüsteem ja autonoomia ärimudelid. Riistvara osas koosneb autonoomia liikuvuskomponendist (mis muutub järjest elektriliseks), anduritest ja arvutustest.

Autonoomia andurite uurimine areneb kiiresti, keskendudes tugevalt “andurite sulandumisele, vastupidavusele ja intelligentsele tajule”. Üks põnev valdkond on “multimodaalne andurite liitmine”, kus LiDAR-i, radari, kaamerate ja inertsiaalsete andurite andmed kombineeritakse tehisintellekti abil, et parandada tajumist keerukates või halvenenud keskkondades. Teadlased töötavad välja ebakindlust arvestavaid termotuumasünteesi mudeleid, mis mitte ainult ei integreeri andmeid, vaid ka kvantifitseerivad usaldustasemeid, mis on ohutuskriitiliste süsteemide jaoks hädavajalikud. Kasvab ka huvi “sündmuspõhiste kaamerate” ja “adaptiivse LiDAR” vastu, mis pakuvad dünaamiliste stseenide jaoks madala latentsusajaga või selektiivset skannimisvõimalust, samas kui enesejärelevalvega õpe võimaldab autonoomsetel süsteemidel eraldada semantilist arusaamist töötlemata, märgistamata anduriandmetest. Teine kriitiline tõukejõud on vastupidavate ja kontekstiteadlike andurite arendamine. See hõlmab andureid, mis töötavad iga ilmaga, nagu “FMCW radar” ja “polarisatsioonipõhine nägemine” ning süsteemid, mis suudavad tuvastada ja parandada anduri rikkeid või võltsimist reaalajas. Teadlased uurivad ka “maastikutundlikku tuvastust”, “semantilist kaardistamist” ja “infrastruktuurist sõidukisse (I2V)” andurite võrke, et laiendada olukorrateadlikkust kaugemale vaateväljast. Lõpuks on andurite kaasdisain – kus riistvara, paigutus ja algoritmid on koos optimeeritud – kogumas tõmbejõudu, eriti “servaarvutusarhitektuurides”, kus reaalajas töötlemine ja madal võimsus on üliolulised. Need edusammud toetavad autonoomiat mitte ainult autodes, vaid ka droonides, allveesõidukites ja robotsüsteemides, mis töötavad struktureerimata või GPS-keelatud keskkondades.

Arvutamise osas keskenduvad põnevad uuringud reaalajas otsuste tegemise võimaldamisele keskkondades, kus pilveühenduvus on piiratud, latentsus on kriitiline ja võimsus on piiratud. Üks silmapaistev valdkond on “taju- ja juhtimisalgoritmide koosprojekteerimine serva riistvaraga”, näiteks närvivõrgu tihendamise, kvantimise ja kärpimise tehnikate integreerimine, et käivitada täiustatud tehisintellekti mudeleid manustatud süsteemides (nt NVIDIA Jetson, Qualcomm RB5 või kohandatud ASIC-id). Teadusuuringud on suunatud ka “dünaamilisele töökoormuse ajastamisele”, kus andurite töötlemine, lokaliseerimine ja planeerimine on latentsus- ja energiapiirangute põhjal arukalt jaotatud CPU-de, GPU-de ja spetsiaalsete kiirendite vahel. Veel üks põhirõhk on “adaptiivsel, kontekstiteadlikul andmetöötlusel”, kus süsteem muudab olukorrateadlikkuse põhjal dünaamiliselt oma arvutuskoormust või tajub täpsust – näiteks suurendab arvutusressursse keerukate manöövrite ajal või vähendab neid tühikäigul sõitmise ajal. Sellega on seotud “sündmuspõhine andmetöötlus” ja “neuromorfsed arhitektuurid”, mis jäljendavad bioloogilist efektiivsust, et vähendada energiakasutust tajuülesannetes. Teadlased uurivad ka “turvalist servatäitmist”, nagu usaldusväärsed andmetöötluskeskkonnad ja käitusaja jälgimine, et tagada deterministlik käitumine võistlevates tingimustes. Lõpuks avavad “koostöö servavõrgud”, kus mitu autonoomset agenti (sõidukid, droonid või infrastruktuuri sõlmed) jagavad reaalajas arvutusi ja andmeid äärel, avavad uued piirid sülemite autonoomia ja detsentraliseeritud intelligentsuse vallas.

Lõpuks, kuna toimub nihe “tarkvaraga määratletud sõidukite” suunas, on üha suurem vajadus arendada alt-üles andmetöötluse riistvaraarhitektuure, millel on tarkvara taaskasutamise ja riistvarainnovatsiooni kriitilised omadused. See protsess jäljendab infotehnoloogia arvutiarhitektuure, kuid seda ei eksisteeri tänapäeval autonoomia maailmas.

Tarkvara osas asuvad olulised süsteemifunktsioonid, nagu taju, tee planeerimine ja asukohateenused, tarkvara/AI kihis. Kuigi AV-süsteemid on mõnevõrra tõhusad, on need pisut vähem tõhusad kui inimene, kes suudab maailmas navigeerida, kulutades vaid umbes 100 vatti võimsust. On mitmeid kohti, kus inimeste/masinate autonoomia on erinev. Nende hulka kuuluvad:

1. Fookus: inimestel on fookuse ja perifeerse nägemise idee… samas kui AV-d jälgivad kogu aeg kõiki suundi. See mõjutab võimsust, andmeid ja arvutusi
2. Liikumisel põhinev taju: inimesed kasutavad liikumist tuvastamise võtmeallkirjana. Seevastu praegused tajumootorid püüavad tõhusalt töötada staatiliste fotodega.
3. Tajupõhine äratundmine: inimesed kasutavad arvutuste piiramiseks objektide tulevase liikumise ootust. Sellel tehnikal on arvutustes eelised, kuid seda ei kasutata praegu AV-des.

Seega on lisaks traditsioonilistele masinõppetehnikatele avatud uurimisprobleemid uuemad AI-arhitektuurid, millel on robustsuse, võimsuse/arvutamise efektiivsuse ja efektiivsuse omadused.

Ökosüsteemi osas on peamised avatud uurimisprobleemid sellistes valdkondades nagu ohutuse valideerimine, V2X-side ja ökosüsteemi partnerid.

Autonoomsete süsteemide kontrollimine ja valideerimine (V\&V) areneb kiiresti ning peamised uuringud on keskendunud tehisintellekti juhitud käitumise “tõestavalt ohutuks ja seletatavaks” muutmisele. Üks peamisi suundi hõlmab “AI-käitumise piiramist” ametlike meetodite abil ja “selgitatava AI” (XAI) väljatöötamist, mis toetab ohutusargumente, mida regulaatorid ja insenerid võivad usaldada. Teadlased keskenduvad ka “haruldaste ja äärmuslike juhtumite stsenaariumide genereerimisele” võistleva õppimise, simulatsiooni ja digitaalsete kaksikute abil, eesmärgiga luua katsejuhtumeid, mis seavad kahtluse alla taju- ja planeerimissüsteemide piirid. Uute “katvusmõõdikute” (nt semantilise või riskipõhise katvuse) määratlemine on muutunud ülioluliseks, kuna traditsiooniline koodikatvus ei hõlma mittedeterministlike AI komponentide keerukust. Teine aktiivne valdkond on “skaleeritav süsteemitaseme V&V”, kus komponendi tasemel valideerimine peab toetama kõrgema taseme ohutusgarantiid. See hõlmab “kompositsioonipõhist arutluskäiku”, lepingupõhist disaini ja mudelipõhist ohutusjuhtumite automatiseerimist. Digitaalsete kaksikute integreerimine suletud ahela simulatsiooniks ja reaalajas jälgimiseks võimaldab pidevat valideerimist isegi pärast kasutuselevõttu. Paralleelselt on tekkimas “küberjulgeolekuteadlik V&V”, mis keskendub vastupidavuse võltsimisele ja valideerimistoru enda turvalisusele. Lõpuks loovad simulatsioonivormingute (nt OpenSCENARIO, ASAM) standardimine ja “testiinfrastruktuuri koodina” kasv aluse skaleeritavale ja sertifitseeritavale autonoomiale, eriti arenevates regulatiivsetes raamistikes nagu UL 4600 ja ISO 21448.

Üks ökosüsteeme aitab kaasa autonoomiale, võib-olla ühenduse loomisele infrastruktuuriga ja loomulikult on inimese ja masina segakeskkondades loomulik inimmasina liides (HMI). V2X-i (Vehicle-to-Everything) autonoomia võtmeuuringud keskenduvad koostöökäitumise võimaldamisele ja olukorrateadlikkuse suurendamisele madala latentsusajaga turvalise suhtluse kaudu. Peamiselt keskendutakse “usaldusväärsele ja kiirele sidele” selliste tehnoloogiate nagu “C-V2X ja 5G/6G” kaudu, mis on kriitilise tähtsusega ajatundlike autonoomsete funktsioonide (nt koordineeritud sõidurajavahetuse, ristmike haldamise ja hädaolukorras reageerimise) toetamiseks. Tihedalt seotud on “servaarvutusarhitektuuride” arendamine, kus V2X-sõnumeid töödeldakse lokaalselt, et vähendada latentsust ja toetada reaalajas otsuste tegemist. Teadusuuringud on aktiivsed “koostöötaju”, kus sõidukid ja infrastruktuur jagavad andurite andmeid, et laiendada vaatevälja väljaspool oklusioone, võimaldades keerukates linnakeskkondades ohutumat navigeerimist. Teine põhiline uurimissuund on “nutika infrastruktuuri ja digitaalsete kaksikute” integreerimine, kus teeäärsed andurid pakuvad HD-kaartide reaalajas värskendusi ja suurendavad sõidukite tajumist. See on oluline dünaamiliste teeolude, ehitustsoonide ja ajutiste märgistuste tuvastamiseks. Paralleelselt on järjest suurem murekoht “turvalisuse ja privaatsuse tagamine V2X-suhtluses”. Töö on käimas krüptitud, autentitud protokollide ja pahatahtlike osalejate või vigaste andmete tuvastamise ja neile reageerimise meetodite kallal. Lõpuks on standardimine ja koostalitlusvõime laiaulatusliku kasutuselevõtu jaoks üliolulised; jõupingutused on keskendunud sideprotokollide ühtlustamisele tarnijate ja piirkondade vahel ning tugevate stsenaariumipõhiste testimisraamistike väljatöötamisele, mis hõlmavad nii simulatsiooni kui ka füüsilist valideerimist. Lõpuks on avatud uurimisprobleem kompromiss individuaalse autonoomia ja infrastruktuurist sõltumise vahel. Infrastruktuuri sõltuvusega on seotud juriidilise vastutuse, ärimudeli või maksumuse lahtised küsimused.

Inim-masina liides (HMI) autonoomia tagamiseks jääb valdkonnaks, kus on mitmeid avatud uurimis- ja disainiprobleeme, eriti usalduse, kontrolli ja olukorrateadlikkuse osas. Üks suur probleem on see, kuidas luua kasutajate ja autonoomsete süsteemide vahel “asjakohane usaldus ja läbipaistvus”. Praegused liidesed ei suuda sageli selgelt edastada sõiduki võimalusi, piiranguid või otsuste tegemise põhjendusi, mis võib põhjustada liigset usaldust või segadust. Mõistmise edendamiseks piisava teabe andmise ja kognitiivse ülekoormuse vältimise vahel on õrn tasakaal. Lisaks jääb kriitiliseks probleemiks “ohutu ja intuitiivse juhtimisülemineku tagamine”, eriti 3. ja 4. taseme autonoomias. Juhtidel võib ülevõtmistaotluse ajal uuesti sisselülitamiseks kuluda mitu sekundit ning selliste viipade ajastus, modaalsus ja selgus ei ole veel süsteemides standardiseeritud ega optimeeritud. Veel üks väljakutsete kogum seisneb “olukorrateadlikkuse” säilitamises ja “kohanduvate, juurdepääsetavate liideste” kujundamises. Passiivsed kasutajad autonoomsetes süsteemides kipuvad end välja lülitama, kaotades keskkonna jälgimise, mis võib ootamatute sündmuste ajal ohtlik olla. Tõhus HMI peab pakkuma kontekstitundlikku tagasisidet, kasutades visuaalseid, kuuldavaid või haptilisi näpunäiteid, kohanedes samal ajal kasutaja oleku, kogemuse taseme ja juurdepääsetavuse vajadustega. Veelgi enam, autonoomsetel sõidukitel puuduvad praegu tõhusad viisid väliste osalejatega (nt jalakäijad või muud juhid) suhtlemiseks, mis asendaksid inimeste näpunäiteid, nagu silmside või žestid. Standardiseeritud, tõlgendatavate väliste HMI-de, sõidukeele, väljatöötamine jääb aktiivseks uurimisvaldkonnaks. Lõpuks muudab HMI tõhususe hindamise ühtsete mõõdikute ja regulatiivsete standardite puudumine disaini valideerimise veelgi keerulisemaks, muutes süsteemide võrdlemise või tootjate ohutuse tagamise keeruliseks.

Lõpuks avaldab autonoomia mõju sellistele teemadele nagu tsiviilinfrastruktuuri juhendamine, välihooldus, suhtlemine hädaabiteenistustega, suhtlemine puuetega ja noorte sõitjatega, kindlustusturud ja mis kõige tähtsam - juristid. Kõigi nende teemade aluseks on palju uurimisprobleeme.

Ärimudelite osas on kasutusmudelid ja nende mõju tarneahelale avatud uurimisprobleemid. Näiteks tarneahela jaoks on kriitiliseks tehnoloogiaks pooljuhid, mis on väga tundlik väga suure helitugevuse suhtes. Näiteks mobiilsuse suurim turg, autotööstus, on u. 10% pooljuhtide mahust ja muud vormid (õhus, meres, kosmoses) on suurusjärkude võrra madalamad. Tarneahela punkti vaatenurgast on väike arv kaldeid, mis teenindavad suurt turgu, ideaalsed. Uurimisprobleem on järgmine: milline peaks olema nende väga skaleeritavate komponentide olemus. Lõppturgude osas viib traditsioonilise transpordi autonoomia tõenäoliselt ühiku mahu vähenemiseni. Miks? Autonoomia abil on võimalik saada palju suurem kasutamine (võrreldes tänapäeva autode <5%). Siiski on tõenäoline, et autonoomia vallandab laia klassi lahendusi sellistel turgudel nagu põllumajandus, laod, turustamine, tarnimine ja palju muud. Eriti mikromobiilsuse rakendused pakuvad huvitavaid võimalusi väga suurte mahtude jaoks. Taotluste täpne olemus on avatud uurimisprobleem.

Tööstusharud ja ettevõtted:

Tööstusharud ja ettevõtted:

See leht koondab SafeAV raamatus kasutatavad terminid ja lühendid.