浅谈汽车电子电气架构的支撑技术│功能安全(一)
自动驾驶是推动整车EEA发展的重要因素。众所周知,自动驾驶分为L0-L5 6个等级。
如上图所示,在L0-L2级自动驾驶中,人类驾驶是行动主体,系统为辅助,即便出现故障尚有人类驾驶员“兜底”。以L3为分界点,系统开始担任行动主体,部分特定故障只能“自我兜底”。到了L4、L5级别行动主体完全变成了车辆系统,这样车辆自身控制的安全性——尤其是失效后的安全性就变成了一个迫在眉睫需要被解决的问题。特别是针对正向开发的面向自动驾驶的EEA,功能安全分析尤为重要。
在继续进行之前,跟大家提一些支撑安全的一些国际标准,ISO26262、ISO PAS 21448、SAE J3061,下面给了一个简要的图,详细信息自行百度恶补。
有初步功能安全概念的同学一定都知道,功能安全无外乎就是找出所有系统可能的失效原因,并针对这些失效制定出相应的安全机制。根据不同的ASIL等级,安全机制的覆盖率达到相应的标准即可,这个是从广义的层面来说的。自动驾驶除了要考虑以上ISO26262提出的功能安全要求,还提出了fail-safe. Fail-operational的概念。一般来讲L3以下级别要求Fail-safe,L3以上级别要求Fail-operational,所谓Fail-operational就是失效后整车/系统还是可以运行的。正因为如此,车辆自动驾驶系统从感知、决策和控制都必须有冗余设计,确保系统的安全可靠。
以下分别从6大方面的冗余来阐述功能安全角度的EEA要求。
1. 感知冗余
从最初的基于1R1V架构,再到基于5R1V,之后再到支持多R多V(R大家可以理解为雷达,V大家可以理解为摄像头),无疑都是在感知上增加更多的不同种类的雷达,不同种类的摄像头进行冗余设计。在主传感器失效的情况下,系统可以依靠备份传感器实现本车道内安全行驶,以免出现传感器失效后引起的事故。
2. 自动驾驶控制冗余
高度自动驾驶控制器HAD(Highly Autonomous Driving)是负责决策、路径规划,如果HAD失效,则整个系统将处于极大风险之中,最简单的操作是HAD双冗余设计,一个为主HAD,一旦失效启用备用HAD,万无一失。但是也会大大增加智能驾驶汽车的成本,目前一个折中的设计方式为当HAD失效,使用底盘域控制器CDS(Chassis Domain System)接管部分HAD功能,达到Fail-operational也可大大降低成本,但是高级L5级别尚待考量。
3. 制动冗余
研究制动的朋友们一定都听说过博世的ibooster和大陆的MKC1,ibooster通常与ESP配套使用,简单来说ESP与ibooster互为备份。当ibooster失效时ESP补位,ESP失效时ibooster补位。
4. 转向冗余
转向冗余一般比较简单粗暴,使用双冗余的设计比较多,因为转向控制一般OEM都定义为ASIL D等级(已经没有更高了)。而且需要时使用两个完全独立的系统,从供电、传感器、控制器、执行器完全冗余设计,并且两个冗余系统互相探测校验发现故障。
5. 通讯冗余
对于通讯我们已经有很多方式保证安全性,比如常用的CRC,E2E都可以校验出总线通讯错误,而且E2E诊断覆盖率可以达到99%以上。但是对于L3以上的自动驾驶,仅识别出总线通讯故障已经不能保证fail-operational。双冗余的通讯机制需要被考虑。
6. 供电冗余
电源冗余可以通过优化的配电设计来达到供电的安全要求,重点在于避免所有电源上的单点失效,如果即可以避免电源上的所有单点失效,又可以极大的减少不必要的电源组件,就是一个即安全有低成本的电源部分架构设计方案了。
总结:以上1-4点主要针对自动驾驶域在功能安全方向上的一些考虑,5、6点也适用于其他域;后续的文章中,笔者将会陆续与大家分享车控域、座舱域(参考“浅谈汽车电子电气架构的支撑技术——概述”中博世EEA的第四阶段、第五阶段)在功能安全方向上的思考。当然,我也会根据6个大部分的冗余展开深入详细的讨论,敬请期待。
- 用户评论
