根据自动化水平等级的不同,自动驾驶系统包括了由定速巡航、自适应巡航控制(ACC)、车道偏离辅助系统(LKAS)等功能组成的驾驶辅助系统,以及自动驾驶、无人驾驶等。在实现这些自动驾驶功能的同时,自动驾驶系统的电子/电气系统(以下简称E/E系统)也会发生故障,所以车辆需要进行一些安全设计,以减少因故障而造成的风险。
适用于汽车用E/E系统的功能安全标准ISO 262622于2011年11月发行,该标准给厂商、零部件等企业在生产时提供了安全机制,例如Fail-Safe(故障安全)和Fail-Operation(故障工作)。其目的是确保E / E系统发生故障时,对驾驶员、乘客和行人所造成的危害风险降低,并控制在可接收的范围内。
在本文研究中,以驾驶主导权在系统端的L3或更高级别的系统案例为基础,根据 ISO 26262 Part3 流程制定了功能安全概念,创建了一个案例研究,供业界所有研究人员参考。
如下图1,显示了自动驾驶系统(用于高速公路)的体系结构。根据各种传感功能检测到的结果创建本地动态MAP。根据该信息,从目标轨迹和目标车速计算出转向角和制动/驱动力指令值,并将其输入到转向,发动机和制动系统。
图1 自动驾驶系统架构案例
功能安全概念是根据图2所示的ISO 26262概念阶段过程制定的。3-5项目定义了ISO 26262适用的系统范围。然后,在3-7危害分析和风险评估中,对上述各项的危险事件进行了识别和分类,并确定了ASIL和避免不合理风险的安全目标。在3-8功能安全性概念中,导出了功能安全性要求并将其放置在体系结构中。
图2 功能安全概念开发过程
电源功能已添加到图1所示的自动驾驶系统的体系结构中,并定义为一项。图3显示了相关项目。表1显示了IF项目的功能。表1中列出了IF1-1至IF5-1。在自动驾驶系统的体系结构中,本项研究仅在区域1(图1上部的自动驾驶所需的基本功能)中设置了项目边界。IF为Intended Functionality(预期功能)的缩写。
图3 相关项范围
表1
在本章节中,研究人员进行了危害分析,并从危害(潜在危害源)的风险评估中确定了车辆安全完整性等级(以下简称ASIL)。
1. 危害分析
在危害分析中,我们需要以标准的项目定义为基础辨识危害。意思就是当某项功能失效时,在没有安全机制的前提下辨识车辆危险。我们把在自动驾驶系统的功能级别体系结构的制定中研究的高速公路使用案例假设为发生危险的状况,例如ETC通过,合并,干线驾驶和弯道,表2表示通过HAZOP辨识危害的示例。
表2
分析各个项目的功能失效时,将操作系(转向,引擎,制动器)作为主要的危险,“提出六个危险(HZ1至HZ6)”,并根据上一级的失效(检测,识别,判断) ,可以找出“可能引起的所有危险”。
但是,以下功能是分开考虑的,因为即使发生故障,它们也不会立即引起危险。(请参阅第5.2节)・ IF1-2:已经积累了NAVI的高精度MAP和路线生成信息以实现认知功能。・ IF1-4:即使丢失了GNSS的车辆位置信息,也可以将其与其他检测功能的信息一起插补一段时间。
辨识危害时,根据现有的ISO 26262,以E/E系统的功能故障为对象,并没有考虑传感器的性能限制等。最近热议的ISO21448标准中,对预期功能的安全设计做了要求,开发过程中开始考虑这些问题。牛喀学城的SOTIF培训将于10月21日展开,详情点击文末海报了解。
2. 风险评估
表3显示了上一节中每种危害的风险评估示例(E:暴露度,C:可控性,S:严重度)。
表3 风险评估示例
在高速公路行驶的一般前提条件(例如:车速100km/h行驶等E4级别的高概率)中,各危害的最高ASIL暂定为C~D。
这里,关于可控性,自动驾驶车辆(级别3以上)的驾驶员通常手离方向盘,可能正在进行其他任务或者觉醒状态比较低,因此考虑冲突发生前驾驶员的回避行动来不及,假定为C3级别(不足90%的驾驶员回避)。另外,关于表3的危害HZ3,HZ5,根据后面车辆的驾驶员的反应时间来评价可控性。
在本章中,对伴随ASIL的各种危险现象(HZRDUS EVENT),确定安全目标,安全状态,通过对与违反安全目标相关的功能故障模式进行安全分析(FMEA等手法)来识别,讨论了安全措施(追加功能)。
1.安全目标和安全状态的确定
通过危害分析及风险评估的结果来决定安全目标(SG),安全状态(SS)。在表4中显示结果。安全目标为上一章提取出的急加速、急减速、操控失灵等的“各危害防止”,暂时定为ASIL C~D。此外,对安全状态的考虑是,“在高速公路行使中自动驾驶系统发生故障时,由驾驶员接手。另外,驾驶员在规定时间内没有接手时,在路边等安全的地方停车后由驾驶员接手。”为了实现“在驾驶员接手前,自动驾驶系统继续控制。”,安全状态为“各控制系统的功能继续工作。”。
表4 安全目标(SG)安全状态(SS)示例
关于讨论的自动驾驶系统,识别出违反安全目标相关的故障模式,讨论相应的安全措施。
表5上显示了功能故障相关的安全措施的例子(节选)。对安全措施讨论的结果,得出了“检测到主系统故障时,停止主系统,由冗余系统继续工作”的措施(SM1~SM5)。本节中记载的冗余系统指双重以上的系统。此外,为了通知驾驶员故障的发生和接手驾驶,得出了设置向驾驶员发出警告功能的措施(SM6)。
表5中省略了,关于NAVI输入检测功能的故障和GNSS输入检测功能的故障,由于预想在自动驾驶时发生故障直接违反安全目标的可能性比较低,安全机构只设定了故障检测功能,没有设置冗余系统功能。
表5 安全方案对策(摘录)本章节中制定了“功能安全概念”,对安全架构(冗余结构,替代结构等)进行了讨论。
1.功能安全理念
上一章中对各功能的故障导出了安全措施。本次的安全措施适用“检测到主系统故障时,停止主系统,由冗余系统继续工作”,则检测、认知、判断系统及执行系统的各系统中,各功能板块,基本是图4所示的冗余结构。
参照表5的安全措施,图5所示的功能板块(虚线)作为要求描述,则导出了表6所示的安全要求。(NAVI输入检测功能及GNSS输入检测功能等省略)
表6 功能安全要求(摘要)
接下来,项目定义的初始架构(图.3)中,配置表6的功能安全要求并更新后,则变成图5所示的架构。对上层的主系统在下层配置冗余系统。根据这些表6和表5,制定了功能安全理念的一个例子。
图4 安全措施的基本块构成
2.安全架构
在自动驾驶系统中,如安全目标及安全措施的讨论中所述,“系统发生故障时,在驾驶员接手驾驶前系统功能继续工作。”的话,则需要故障后保持工作的安全架构。具体的冗余系统安全架构的例子如表7所示。
表7 故障安全安全体系结构示例(XooY:X超出Y,D =诊断)
本次讨论中以表7的安全架构作为例子做成马可夫模式注 3),在作为基础的各通道的故障率保持恒定的条件下,进行了包含通道切换功能在内的定量比较讨论。其结果显示,1oo2D,2oo2D,2oo3的各结构可靠性的位势大致相同,都可以适用。
1.总结和未来的课题
在此次研究中,为了进行自动驾驶系统(3级以上)的安全设计,基于目前的功能安全标准,制定了关于故障的功能安全概念,由于篇幅有限,更多细节以及关于系统、软硬件阶段的设计没有展开,欢迎有需要的读者参加牛喀网的ADAS和智能驾驶系统安全设计课程,或者联系牛小喀(微信NewCarRen)寻求安全技术团队提供技术支持。下面对本文做个总结和整理:
1)功能安全概念的总结
制定功能安全概念的结果总结如下所示。—针对自动驾驶系统(3级以上,用于高速公路)中的“行驶”“转向”“停车”,提炼出6种危险,最高ASIL暂定为C~D。—在自动驾驶的E/E系统的功能安全概念中,如果将“功能继续”设置为安全状态,直到驾驶员接管驾驶为止,则可以获得“冗余系统(双重系统、三重系统等)”的安全策略。此外,还适用于1oo2D、2oo2D、2oo3等安全结构示例。—对于项目内的各个功能(包括电源),导出了“故障检测”“功能停止”“通过冗余系统保持功能”的功能安全要求。(NAVI、GNSS只有“故障检测”“功能停止‘’)—作为警告,导出了“通知驾驶员发生故障并接管驾驶”的安全要求。
2)需要进一步解决的课题
整理制定自动驾驶系统(3级以上,用于高速公路)的功能安全概念中的未来课题如下所示。—研究时必须考虑故障之外的性能限制、错误使用(误操作、误用)、驾驶员状态等Fig. 1基本结构中的第2个区域(将风险最小化所需的功能)。—此次是根据设定的安全状态,形成了将各个功能冗余化的功能安全概念,但是我们认为研究了各个功能的使用方法和特点,针对每个功能的优化(异构冗余等)、部分功能(例如发动机控制)要考虑其功能退化等情况,需要对安全状态进行重新评估。此外,也需要研究发生故障后,功能持续到驾驶员接管驾驶为止的恰当的持续时间。—本次我们只是假设驾驶员的控制能力为C3级,进行了临时的ASIL评估,但发生故障时,通知驾驶员接管后的控制能力需要通过对实验者评估等进行确认,并重新评估ASIL。
已完成
数据加载中