多重防线:从物理底层到 AI 决策
我们不仅依赖算法,更依赖符合 ISO 25197 标准的硬编码安全逻辑。当 AI 失效时,物理定律和底层规则接管一切。
ISO 25197 合规性
海上意外防范
Q: 电路故障或死机时,船会失控全速冲出去吗?
故障导向安全 (Fail-Safe)
根据 ISO 25197 标准设计,任何关键信号丢失(断线、死机、传感器失效),系统默认动作是 **切断动力 (Neutral)**,绝不会保持油门。
- 硬件看门狗 (Hardware Watchdog): 独立 MCU 芯片每 50ms 检查主控心跳,若无响应,强制重启并锁死电机。
- 物理急停: 标配红色物理拍停按钮,切断 48V 主回路。
AI 幻觉防御体系
源头与运行时双重保障
A. 建模阶段:让 AI 学不会坏动作
物理限制 AI 的输出范围。例如:即使 AI 想输出 100% 侧推,底层模型限制最大只能 60%。
在训练中,如果角速度 > 2.5°/s,给予 AI 巨大的负分惩罚。
B. 运行时:逻辑看门狗 (Logic Watchdog)
- 梯度监测: 拦截“左满舵→右满舵”的剧变。
- 状态一致性: 确保指令不违反物理状态。
人手介入机制
Human-in-the-loop
Q: 紧急情况如何切回手动?
按下 Reset 键
即时 < 300ms 立即物理旁路。适用于紧急避险。
长按摇杆 2秒
延时 需持续输入 2 秒确认意图,触发“软着陆”。
软着陆 (Soft Landing) 机制:
系统以 100ms 降 10% 的速度平滑降频至 0,消除机械冲击,随后才交还摇杆控制。
- 防误触设计: 单纯触碰摇杆不会触发接管,防止因船身晃动导致的误操作。
Corner Case 应对
极端场景处理
Q: 如果 GPS 和罗盘数据打架怎么办?
场景:过桥洞丢星
GPS 信号丢失或漂移,但 IMU 显示船只稳定。
对策:惯性降级 (Inertial Fallback)
系统自动降级为 IMU 纯惯性保持模式,维持当前航向和动力 30 秒。若 30 秒后 GPS 未恢复,则报警并缓慢停船 (Soft Stop)。
网络与数据安全
防黑客与隐私
Q: 船只有被黑客远程劫持的风险吗?
- 物理断网: 船载主机在运行时不连接互联网(离线边缘计算),物理上隔绝了远程攻击路径。
- 近场验证: APP 连接必须通过物理按键确认(类似蓝牙配对),防止岸上恶意连接。
- 位置隐私: 捕鱼点坐标仅存储在本地,不上传云端,保护渔民商业机密。