สถาปัตยกรรมระบบช่วยลดความเสี่ยงด้านยานพาหนะได้อย่างไร

ในสองส่วนแรกของซีรีส์นี้ เราได้สำรวจว่าเหตุใดผลิตภัณฑ์ที่ขับเคลื่อนด้วยข้อมูลจำเพาะจึงล้มเหลวในการดำเนินงานกลุ่มยานพาหนะจริง และจุดข้อมูลใดที่ผู้ปฏิบัติงานที่มีประสบการณ์ใช้เพื่อประเมินยานพาหนะในวงกว้าง   ส่วนสุดท้ายนี้จะเปลี่ยนโฟกัสจากหน่วยเมตริกเป็นโครงสร้าง

ที่นี่ เราจะตรวจสอบว่าสถาปัตยกรรมระบบทำหน้าที่เป็นรูปแบบหนึ่งของการบริหารความเสี่ยงอย่างไร—ควบคุมพฤติกรรมความล้มเหลว ความสามารถในการคาดการณ์ได้ การปฏิบัติตามข้อกำหนด และความเสถียรในการปฏิบัติงานในระยะยาว เพราะเมื่อกองยานเติบโต ความเสี่ยงก็ไม่หายไป มันประกอบ. สถาปัตยกรรมคือสิ่งที่กำหนดว่าความเสี่ยงนั้นมีอยู่หรือได้รับอนุญาตให้แพร่กระจายหรือไม่

ในการปฏิบัติการของกองยานพาหนะเชิงพาณิชย์ ความเสี่ยงแทบจะไม่ประกาศตัวเองว่าเป็นความล้มเหลว
ดูเหมือนเงียบๆ เช่น การส่งมอบที่ไม่ได้รับ ยานพาหนะที่ไม่ได้ใช้งาน ต้นทุนเกิน และความไม่แน่นอนในการปฏิบัติงาน

เมื่อผู้จัดการกลุ่มยานพาหนะตระหนักว่ามีบางอย่างผิดปกติ ปัญหามักจะไม่ใช่เรื่องทางเทคนิคอีกต่อไป มันเป็นเรื่องการเงิน

นี่คือเหตุผลว่าทำไมผู้ปฏิบัติงานที่มีประสบการณ์จึงไม่มองว่าสถาปัตยกรรมระบบเป็นปัญหาทางวิศวกรรมอีกต่อไป พวกเขามองว่าเป็น กรอบการบริหารความเสี่ยง ซึ่งเป็นกรอบที่กำหนดว่ากองยานพาหนะยังคงคาดเดาได้ภายใต้แรงกดดันหรือค่อยๆ ไม่สามารถจัดการได้

ความเสี่ยงในกองยานพาหนะเป็นเรื่องเชิงระบบ ไม่ใช่อุบัติเหตุ

ความเสี่ยงด้านยานพาหนะส่วนใหญ่ไม่ได้เกิดจากการเกิดอุบัติเหตุร้ายแรง
เกิดจาก การโต้ตอบระหว่างส่วนประกอบ ที่ไม่เคยออกแบบมาให้ทำงานเป็นระบบที่สอดคล้องกัน

ตัวอย่างเป็นเรื่องธรรมดา:

• การอัปเดตซอฟต์แวร์จะรบกวนฟังก์ชันที่มีความสำคัญด้านความปลอดภัย

• เซ็นเซอร์ใหม่โอเวอร์โหลดบัสการสื่อสารที่ใช้ร่วมกัน

• ข้อผิดพลาดของอินเทอร์เฟซผู้ใช้ทำให้เกิดการปิดเครื่องโดยไม่จำเป็น

แต่ละส่วนประกอบอาจเป็นไปตามข้อกำหนด
ระบบไม่ได้

ผลิตภัณฑ์ที่ขับเคลื่อนด้วยข้อมูลจำเพาะช่วยเพิ่มประสิทธิภาพชิ้นส่วน
สถาปัตยกรรมระบบจัดการ การพึ่งพาซึ่งกันและกัน.

การแยกทางสถาปัตยกรรมเป็นชั้นแรกของการควบคุมความเสี่ยง

หนึ่งในวิธีที่มีประสิทธิภาพมากที่สุดในการลดความเสี่ยงในการปฏิบัติงานคือ การแยกการทำงานในระดับสถาปัตยกรรม.

ในแพลตฟอร์มกลุ่มยานพาหนะที่เติบโตเต็มที่ ฟังก์ชันที่มีความสำคัญด้านความปลอดภัยจะถูกแยกออกจากฟังก์ชันที่ไม่สำคัญ การส่งกำลัง การเบรก และการบังคับเลี้ยวไม่สามารถแย่งแบนด์วิธกับจอแสดงผล เทเลเมติกส์ หรือระบบอินโฟเทนเมนต์ได้

สถาปัตยกรรม เช่น เครือข่าย Dual-CAN เป็นตัวอย่างที่ดีของหลักการนี้:

• Power CAN มีไว้สำหรับการควบคุมที่มีความสำคัญด้านความปลอดภัยโดยเฉพาะ

• CAN อัจฉริยะ จัดการข้อมูล อินเทอร์เฟซ และการเชื่อมต่อ

การแยกนี้ช่วยให้แน่ใจว่าความล้มเหลวยังคงอยู่ แทนที่จะ เรียงซ้อนทั่วทั้งยานพาหนะ สำหรับผู้ควบคุมยานพาหนะ การกักกันคือทุกสิ่ง ข้อบกพร่องที่มีการแปลเป็นงานบริการ ข้อผิดพลาดแบบเรียงซ้อนคือการหยุดทำงาน

ความสามารถในการคาดการณ์เป็นรูปแบบหนึ่งของความปลอดภัย

ความเสี่ยงด้านยานพาหนะไม่ได้เป็นเพียงเกี่ยวกับอุบัติเหตุเท่านั้น แต่ยังเกี่ยวกับความไม่แน่นอนอีกด้วย

ผู้ปฏิบัติงานให้ความสำคัญกับระบบที่:

• ลดระดับอย่างสง่างามแทนที่จะล้มเหลวกะทันหัน

• ระบุสถานะข้อบกพร่องที่ชัดเจน แทนที่จะแสดงพฤติกรรมที่ไม่ชัดเจน

• อนุญาตให้หยุดแบบมีการควบคุมแทนการปิดระบบฉุกเฉิน

สถาปัตยกรรมที่สร้างขึ้นด้วยหลักความปลอดภัยในการใช้งาน (เช่น การออกแบบที่สอดคล้องกับ ASIL) ไม่ได้ขจัดความล้มเหลว พวกเขา กำหนดว่าความล้มเหลวมีพฤติกรรมอย่างไร.

พฤติกรรมความล้มเหลวที่คาดการณ์ได้ช่วยให้ฟลีตสามารถ:

• แผนการแทรกแซง

• รักษาความต่อเนื่องของการบริการ

• ปกป้องทั้งทรัพย์สินและผู้ปฏิบัติงาน

ในการดำเนินธุรกิจเชิงพาณิชย์ ความสามารถในการคาดการณ์ได้คือความปลอดภัย

ความโปร่งใสของซอฟต์แวร์ช่วยลดการเปิดเผยทางธุรกิจ

ระบบปิดทำให้เกิดจุดบอดในการปฏิบัติงาน
จุดบอดสร้างความเสี่ยง

เมื่อไม่สามารถเข้าถึงการวินิจฉัย บันทึก และแผนผังข้อบกพร่อง ทุกปัญหาจะกลายเป็นเกมที่ต้องคาดเดา ยานพาหนะไม่ได้ใช้งานไม่ใช่เพราะไม่สามารถซ่อมแซมได้ แต่เป็นเพราะไม่มีใครรู้ว่ามีอะไรผิดปกติ

สถาปัตยกรรมระดับระบบที่สร้างขึ้นบนเฟรมเวิร์กที่ได้มาตรฐาน (เช่น การวินิจฉัย AUTOSAR และ UDS) จะย้อนกลับไดนามิกนี้ พวกเขาอนุญาตให้มีข้อผิดพลาด:

• ตรวจพบอย่างรวดเร็ว

• ได้รับการวินิจฉัยจากระยะไกล

• จัดลำดับความสำคัญอย่างถูกต้อง

สำหรับผู้จัดการกลุ่มยานพาหนะ วิธีนี้จะลดความเสี่ยงได้สามวิธี:

1. เวลาหยุดทำงานสั้นลง

2. ต้นทุนการบริการที่ต่ำกว่า

3. การใช้สินทรัพย์ที่ดีขึ้น

การเป็นเจ้าของเส้นทางการวินิจฉัยหมายถึงการเป็นเจ้าของสินทรัพย์ ไม่ใช่การเช่าคืนจากผู้ผลิต

สถาปัตยกรรมปกป้องกลุ่มยานพาหนะจากความเสี่ยงด้านกฎระเบียบ

การเคลื่อนย้ายเชิงพาณิชย์ไม่ได้ดำเนินการในสภาพแวดล้อมด้านกฎระเบียบที่คงที่
การปกป้องข้อมูล มาตรฐานความปลอดภัย และข้อกำหนดในการปฏิบัติงานมีการพัฒนาอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งในยุโรป

สถาปัตยกรรมระบบเป็นตัวกำหนดว่ากลุ่มยานพาหนะสามารถปรับตัวได้โดยไม่หยุดชะงักหรือไม่

สถาปัตยกรรมที่รองรับ:

• อัพเดตโอตะ

• เลเยอร์ซอฟต์แวร์แบบแยกส่วน

• การใช้ข้อมูลเฉพาะภูมิภาค

ช่วยให้กลุ่มยานพาหนะยังคงปฏิบัติตามข้อกำหนด โดยไม่ต้องเรียกคืนทางกายภาพหรือเปลี่ยนฮาร์ดแวร์.

จากมุมมองของความเสี่ยง สิ่งนี้มีความสำคัญมากกว่าประสิทธิภาพ ยานพาหนะที่ไม่สามารถปรับตัวให้เข้ากับการเปลี่ยนแปลงกฎระเบียบไม่ได้เป็นสิ่งที่พิสูจน์ได้ในอนาคต แต่เป็นความรับผิดชอบ

ความเสี่ยงทวีคูณตามขนาด และสถาปัตยกรรมเป็นเพียงการป้องกันที่สามารถปรับขนาดได้

ในขนาดเล็ก วิธีแก้ปัญหาสามารถจัดการได้
พวกมันมีอันตรายถึงชีวิต

การวินิจฉัยล่าช้าหนึ่งชั่วโมงในรถยนต์สิบคันถือเป็นความไม่สะดวก
กว่าห้าร้อยคันถือเป็นช่วงวิกฤต

สถาปัตยกรรมระบบเป็นเพียงเลเยอร์เดียวที่ปรับขนาดตามขนาดฟลีต
โดยจะควบคุมวิธีที่ความล้มเหลวแพร่กระจาย วิธีการไหลของข้อมูล และวิธีตัดสินใจ ก่อนที่มนุษย์จะเข้ามาแทรกแซง

นี่คือสาเหตุที่ผู้ซื้อกลุ่มยานพาหนะที่มีความซับซ้อนประเมินไดอะแกรมสถาปัตยกรรมมากขึ้น ไม่ใช่แค่ตารางข้อมูลจำเพาะ

สรุป: สถาปัตยกรรมไม่ใช่คุณลักษณะ มันคือประกันภัย

ผู้ประกอบการยานพาหนะไม่ซื้อสถาปัตยกรรมเพราะว่าสถาปัตยกรรมนั้นดูหรูหรา
พวกเขาซื้อมันเพราะมัน น่าเบื่อ มั่นคง และคาดเดาได้.

สถาปัตยกรรมระบบที่ดี:

• ลดความประหลาดใจในการปฏิบัติงาน

• ประกอบด้วยความล้มเหลว

• รักษาเสถียรภาพต้นทุนเมื่อเวลาผ่านไป

ในอุตสาหกรรมที่อัตรากำไรมีน้อยและความน่าเชื่อถือเป็นตัวกำหนดชื่อเสียง สถาปัตยกรรมจึงไม่ใช่รายละเอียดทางเทคนิคอีกต่อไป มันเป็นกรมธรรม์ประกันภัย

และแตกต่างจากการประกันภัยตรงที่จ่ายเงินปันผลทุกวันที่กองเรือปฏิบัติการโดยไม่มีอุบัติเหตุ