Le funzionalità dell’auto sono sicure?

Technology


Le funzionalità dell’auto sono sicure?

L’obiettivo della Commissione Europea di dimezzare incidenti, feriti e morti su strada nel periodo 2020-2030 sembra difficile da raggiungere. Perché i tanti dispositivi sulle vetture aumentano la distrazione al volante. Così scattano le verifiche, ecco come.

Abbiamo già parlato del significativo miglioramento della sicurezza stradale in Italia, i morti sulle strade erano 4114 nell’anno 2010, ridotti a 3159 nel 2022. Questo miglioramento è dovuto ad una serie di fattori, i principali sono il miglioramento della sicurezza attiva e passiva dei veicoli e la promozione di comportamenti adeguati, cioè sicuri, da parte dei guidatori. Nel 2023 un miglioramento c’è stato, ma minimo, in Italia e anche in Europa. L’obiettivo che la Commissione Europea si è data, di dimezzare incidenti, feriti e morti, nel periodo 2020-2030, pare molto difficile da raggiungere.

A causare questo rallentamento nella riduzione degli incidenti contribuiscono certamente alcuni fattori recenti, che addirittura introducono nuove cause, in particolare la distrazione dalla guida. A questa maggiore distrazione contribuiscono anche i dispositivi installati sul veicolo, come anche le funzioni che, aiutando il guidatore nel compito di guida, portano il guidatore a ritenere meno pericoloso il distrarsi dalla conduzione del veicolo.

La verifica sulle nuove funzioni

È emersa quindi l’importanza di verificare, quando si introduce sul veicolo una nuova funzione, che questa non abbia delle “controindicazioni”, che cioè quello che la funzione “intende” aggiungere sia effettivamente sicuro e non comporti, anche per effetto di un utilizzo non previsto da parte del guidatore, nuovi rischi. Questa verifica è stata oggetto di una importante azione, sia delle autorità che delle aziende automobilistiche, per definire una metodologia specifica per la sua realizzazione, metodologia che è stata standardizzata secondo la norma ISO 21448, chiamata SOTIF, cioè Safety of the intended functionality, sicurezza della funzionalità prevista.

Per funzionalità prevista si intende qualsiasi uso del sistema sotto esame, che sia coerente con la descrizione fornita dal produttore. In particolare, lo standard SOTIF descrive una metodologia che verifica e certifica l’assenza di rischi irragionevoli dovuti a pericoli derivanti da insufficienze funzionali della funzionalità prevista o da un uso improprio ragionevolmente prevedibile da parte di una persona.

Sono quindi due i potenziali rischi che lo standard considera: le insufficienze funzionali dei dispositivi che realizzano la funzione e l’uso improprio della funzione da parte delle persone, in particolare da parte del guidatore. Le case automobilistiche sono negli ultimi anni molto attente a questo aspetto della sicurezza, anche se non è ancora oggetto di specifici regolamenti e quindi non obbligatoria. Come si vedrà nel seguito, le contromisure possono essere spesso molto semplici ed economiche, con benefici importanti, anche solo per minimizzare eventuali controversie legali sulla responsabilità degli incidenti stessi.

Insufficienze funzionali

Esempi di insufficienza funzionale possono essere: la capacità limitata degli algoritmi di analisi dei dati acquisiti di rilevare gli ostacoli, il campo di rilevamento limitato dei sensori, non appropriato per prendere decisioni sicure e corrette, o la non corretta consapevolezza della situazione, ad esempio quando in curva il sistema rileva un oggetto statico davanti al veicolo, ostacolo che invece è fuori della corsia di marcia, e attiva una frenata di emergenza non opportuna. Con evidenti rischi di incidente, sbandamento del veicolo o tamponamento da parte del veicolo che segue.

Come insufficienze funzionali sono considerate anche fonti esterne di limitazioni funzionali che possono introdurre pericoli, ad esempio condizioni meteorologiche che influiscono sulla capacità di rilevamento dei sensori, interferenze tra sensori di altri veicoli, veicoli che tagliano la strada a breve distanza o interazione errata con le infrastrutture e l’ambiente, ad esempio il sensore radar che segnala oggetti che non sono reali a causa dei riflessi delle barriere stradali, guardrail,  o di un sovrappasso.

Uso improprio 

Un altro aspetto che rientra nell’ambito di applicazione dello standard SOTIF è l’uso improprio ragionevolmente prevedibile, ovvero l’utilizzo di un prodotto in un modo non previsto dal produttore, anche se in buona fede. In altre parole, l’analisi del sistema deve tenere conto di un possibile uso improprio da parte dell’utente e cercare di eliminarlo o mitigarlo. Esempi di uso improprio sono l’abilitazione del Cruise Control adattativo su strade urbane (dove ci sono situazioni   potenziale pericolo, come un pedone che attraversa la strada, che il sistema può avere difficoltà a percepire), il conducente che toglie le mani dal volante quando attiva il supporto al mantenimento della corsia di marcia, la distrazione del conducente durante l’uso di un sistema di guida autonoma di livello 3, che cioè richiede comunque una supervisione da parte del guidatore.

Altri usi impropri possono essere causati dalla progettazione del sistema, ad esempio la generazione di segnali complicati che confondono o sovraccaricano il conducente, causando di conseguenza un pericolo dovuto a una reazione errata.

L’uso improprio in mala fede, cioè con comportamenti espressamente vietati o studiati per sfruttare una debolezza del sistema, non rientra nell’ambito di applicazione del SOTIF. Un esempio di questi usi impropri è ad esempio l’allacciare le cinture di sicurezza direttamente sul sedile, in modo che il sistema che ci ricorda di allacciare le cinture quando partiamo non si attivi. Comportamento criminale, che è pertanto pesantemente sanzionato.

Lo standard SOTIF. ISO 21448

Lo standard ISO 21448 propone un modello di rischio come mostrato nella Figura. Il potenziale danno è innescato da un evento che può essere considerato come una minaccia. Il danno potenziale è innescato da un evento scatenante, ovvero da condizioni specifiche che fungono da iniziatore per una successiva reazione del sistema, che può portare a un evento pericoloso.

Un esempio di evento scatenante può essere l’errato riconoscimento di un cartello stradale come un ostacolo, se questo evento è combinato con una situazione di percorrenza di una curva, l’ostacolo può essere erroneamente considerato nella corsia di marcia e può portare all’attivazione della frenata di emergenza, in assenza di un reale pericolo,  con conseguente situazione di rischio di tamponamento, che se il veicolo che segue non riesce a controllare porta ad un incidente con un altro veicolo.

Un altro scenario, ad esempio, sono i lavori in corso, dove la segnaletica orizzontale è confusa o cancellata. Se il guidatore, che si sta affidando al sistema di assistenza di guida di livello 2 che mantiene il veicolo nella corsia di marcia, si sta distraendo in modo eccessivo, non è poi in grado di riprendere il controllo del veicolo quando il sistema richiede il suo intervento. Un uso improprio.

Altri esempi di uso improprio è quando il conducente presume che il sistema sia attivo mentre non lo è, oppure quando il conducente attiva il sistema di cruise control adattativo in una strada urbana, dove il sistema non è progettato per rilevare pedoni e biciclette.

Conoscere gli eventi scatenanti di un sistema e prevedere le modalità di utilizzo improprio del sistema sono i principi chiave per progettare un sistema sicuro dal punto di vista del SOTIF. Tuttavia, gli eventi scatenanti hanno bisogno di scenari specifici per materializzare il danno, il che rende l’analisi SOTIF molto difficile da realizzare.

Per garantire che il sistema sia in grado di evitare o mitigare i danni, è necessaria, in primo luogo, un’analisi sistematica dei requisiti, degli elementi del sistema, delle tecnologie utilizzate e degli algoritmi, per scoprire i punti deboli e i possibili fattori di rischio. La modalità di funzionamento è una risorsa importante per identificare gli eventi scatenanti nascosti. Occorre poi identificare le combinazioni di fattori scatenanti e degli scenari che possono portare ad un incidente attraverso la verifica e la validazione del sistema. Anche in questo caso la modalità di funzionamento del sistema è la risorsa da cui partire per questa analisi.

Eventi scatenanti

In generale, l’analisi SOTIF divide le possibili situazioni in quattro tipi, a seconda che lo scenario stradale sia, o meno, sicuro, e che l’evento scatenante sia, o meno, conosciuto:

1- scenario sicuro – evento sconosciuto,

2- scenario non sicuro -evento conosciuto,

3- scenario non sicuro – evento sconosciuto,

4- scenario sicuro – evento conosciuto.

Se lo scenario stradale è sicuro, eventuali eventi scatenanti non comportano particolari rischi. Ad esempio, se il cartello viene interpretato come ostacolo, ma la strada è rettilinea, il sistema considera l’ostacolo fuori dalla corsia di marcia e quindi non attiva una frenata di emergenza. Questo vale sia per gli eventi conosciuti (il radar interpreta il segnale stradale come ostacolo) che per quelli non conosciuti, lo scenario è comunque sicuro.

Il secondo tipo di scenario, non sicuro ma generato da un evento conosciuto, può essere scoperto attraverso un’analisi sistematica e un processo di verifica. Sappiamo che il radar potrebbe interpretare erroneamente oggetti metallici a bordo strada come ostacoli e quindi si va a verificare in quali scenari questo potrebbe creare una situazione di pericolo.

La situazione si complica quando non si conosce nulla: scenari insicuri dove si possono avere eventi scatenanti non noti.  Per queste situazioni non rimane che testare il sistema in ambienti di simulazione che generino tutte le possibili ed immaginabili situazioni, oltre alla verifica a lungo termine in scenari stradale reali, per cercare di individuare combinazioni di eventi/scenari che possono rappresentare un rischio di incidente. Eventi che vengono scoperti diventano eventi conosciuti, e vengono quindi trattati di conseguenza.

Nella fase di verifica, il sistema viene testato coprendo i casi di prova degli scenari SOTIF rilevanti, iniettando potenziali eventi scatenanti nel sistema e testando il sistema su tali scenari. L’obiettivo di questi test è verificare che il sistema reagisca come previsto in tutti gli scenari noti. Questa verifica del sistema in scenari noti non ci garantisce però su situazioni potenzialmente rischiose scatenate da eventi non noti, non scoperti durante la sperimentazione del sistema. Per questo occorrono quindi test a lungo termine del veicolo su strada reale. E, in ultima analisi, anche una analisi degli incidenti dove il sistema possa avere avuto un ruolo (ad esempio dove il Cruise Control Adattativo era attivo).

Uso improprio del sistema

Per evitare i rischi dovuti ad un uso possibile ma improprio di un sistema occorre per prima cosa individuare tali usi impropri. Questo spesso non è una attività semplice, la fantasia dell’utente finale spesso arriva laddove il progettista non immagina nemmeno.

La General Motors ha dovuto richiamare circa 29 milioni di veicoli, in Nord America, per sostituire il nottolino della chiave di avviamento del veicolo. C’erano stati casi di spegnimento del motore mentre il veicolo era in marcia, con incidenti anche mortali. La causa principale era dovuta al fatto che la chiave di accensione era legata ad un mazzo molto pesante di chiavi, e le vibrazioni, unite al peso, portavano a spostare la chiave dalla posizione normale di marcia. L’uso improprio in questo caso è quello di mettere la chiave del veicolo insieme ad un grosso mazzo di chiavi, per un peso totale dell’ordine dei chili, che agisce sul nottolino stesso.

Il progettista del veicolo deve quindi, quando definisce le specifiche di funzionamento di un sistema, immaginare anche quali posso essere i possibili usi impropri, e cercare di rimediarli.

Per esempio molti veicoli sono dotati del sistema di assistenza al mantenimento del veicolo nella corsia di marcia, che applica una leggera coppia al volante quando ci si avvicina al bordo della corsia. Questa coppia non è in grado di far percorrere al veicolo una curva. L’uso improprio è quello di togliere le mani dal volante lasciando al sistema il controllo dello sterzo. Rimedio: il sistema rileva che il guidatore non ha le mani sul volante, avvisa il guidatore e disattiva, temporaneamente, la funzione.

Quando il veicolo è dotato di Cruise Control Adattativo, il guidatore che ne percepisce i vantaggi potrebbe tentare di usarlo anche in scenari dove le sue caratteristiche non sono adeguate, ad esempio in ambito urbano. Rimedio: quando la velocità scende sotto una certa soglia, il guidatore viene avvisato di riprendere il controllo dell’acceleratore/freno e il sistema si disattiva.

Il guidatore può usare il sistema di infotaiment per inviare messaggi, usando una tastiera disegnata sullo schermo del display della vettura. L’attività è molto distraente, ma il guidatore potrebbe pensare di poterla eseguire comunque mentre l’auto viaggia, con un evidente rischio di incidente. Rimedio: rendere impossibile questa funzione mentre il veicolo si muove.

Conclusioni

La sicurezza stradale rimane purtroppo ancora critica, i dati sul numero di incidenti e le loro conseguenze indicano che è necessario continuare a perseguire ogni possibile iniziativa per migliorarla, operando sui tre fattori: il guidatore, il veicolo e l’infrastruttura stradale.

Lo standard SOTIF, sicurezza delle funzioni previste sul veicolo, è un ulteriore passo e considera le interazioni tra questi due fattori, partendo dalle funzionalità del veicolo: come queste possano essere compromesse da scenari stradali particolari o da un uso improprio da parte del guidatore.

L’analisi SOTIF è parte ormai consolidata delle verifiche che i costruttori di veicoli eseguono, sia in fase preliminare, nella definizione delle funzionalità, sia in fase di verifica sperimentale. Quando quindi vediamo che una funzionalità del veicolo si disabilita automaticamente, ad esempio il Cruise Control Adattativo quando la velocità scende sotto ad una certa soglia, non consideriamo questo come un limite della funzionalità: il veicolo evita di portarci in scenari dove, per come è progettato, non riesce a garantire la massima sicurezza. E il guidatore, ricordiamolo, rimane sempre responsabile. Quindi sempre gli occhi sulla strada e le mani sul volante.

Nato a Carmagnola il 14 Settembre 1956. Si laurea nel 1980 in Ingegneria Elettrica, con la votazione finale di 110/110 e lode. Specializzazione in Automazione Industriale. Dopo un paio di anni di esperienza come sistemista software entra nel 1982 al Centro Ricerche FIAT. Fino al 1990 si occupa di automazione industriale e robotica, realizzando sistemi innovativi per il montaggio e l’ispezione, utilizzando sistemi di visione artificiale. Nel 1990 la tecnologia della visione artificiale diventa matura per essere utilizzata anche sul prodotto, veicolo, e quindi inizia a sviluppare sistemi di ausilio alla guida (radar anticollisione, mantenimento corsia, sensore angolo cieco). Diventa dirigente nel 1995, e gestisce i team di sviluppo di sistemi di informativa di bordo, assistenza alla guida, telematica e interfaccia con il guidatore. Coordinatore di numerosi progetti a finanziamento Europeo. Nel 2003 coordina per Fiat il progetto regionale Torino Wireless. Nel 2012 assume l’incarico di direttore della sicurezza presso l’ACEA, l’associazione Europea dei costruttori di veicoli, a Bruxelles. Rientrato in Fiat Chrysler Automotive nel 2017, lascia l’azienda nel novembre del 2017, per avviare una attività in proprio di consulenza industriale.