以下文章来源于汽车电子功能安全开发 ,作者刘晶冰
图1 SAE J3016的自动驾驶等级标准可视化图 这份图表是一个科普类的介绍,在我们试图对驾驶自动化系统进行功能安全开发时,这样的介绍深度是不够的。我们看一下J3016中是如何进行不同等级划分的考虑的。不同等级的驾驶自动化系统与驾驶员共同构成了汽车操作的主体,两者共同决定了在这个过程需要进行的操作(DDT 和DDT 召回)。等级的划分,针对的是驾驶自动化系统,而在不同等级下,系统设计时都有其设计操作领域(ODD)。这些因素共同决定了驾驶自动化系统的分级。图2 J3016分级考虑因素从上面的介绍可以看出,分级的决定因素在对于操作(DDT和DDT召回)部分,两个主体的角色划分和承担任务的程度。J3016定义的汽车操作DDT(DynamicDriving Task),即在道路交通中操作车辆所要求的全部实时的操作功能和策略功能。J3016考虑的DDT要求在持续性的基础上,也就是在外部事件发生前和外部事件发生时进行响应这两种情况下,都可以执行DDT的部分或者全部。在这个要求下,很多传统车上的功能被分配在了L0,也就是无驾驶自动化。比如传统的巡航控制,因为其不会对外部事件最回应。车身稳定系统和自动紧急制动,因为仅时瞬时对车辆横向和纵向运动的控制,而被划在了L0。 一个完整DDT的操作功能和策略功能包含了对车身横向、纵向运动的控制和OEDR(Object andEvent Detection and Response)。从DDT表现来分级,L1仅包含车辆横向或者纵向运动控制及其对应控制轴向上有限的OEDR。L2则同时包含了车辆横向和纵向运动控制以及车辆动作控制相关的OEDR。L3-5同时包含车辆横向和纵向运动控制以及完整的OEDR。L2和L3有着明显的分界线,即从L3开始,OEDR是完全由系统完成,这也标志着全部的DDT都由系统完成。从L3开始,驾驶自动化系统可以成为ADS(Autonomous DrivingSystem)。图3 DDT结构和不同等级执行的内容与DDT相伴的功能是DDT召回(DDT Fallback)。DDT召回指的是当DDT性能相关系统发生故障或者ODD退出时,用户采取的完成DDT或者实现最小风险情况的反应,或者ADS系统实现最小风险情况的反应。从下图可以看出,在ADS系统的等级内,在DDT召回上对用户和系统要求的不同,等级有更细划分。L3系统如果为覆盖所有情况,则DDT召回仍然要依靠用户来实现。而L4和L5的ADS系统必须自身具备完整的DDT召回和实现最小风险情况。图4 L3-5对DDTfallback的要求 综合对DDT和DDT召回在不同等级上的划分,J3016在系统的技术实现层面对不同等级的划分标准如下。图5 J3016对驾驶自动化等级的划分DDT和DDT召回是对车辆的完整操作,在不同等级的系统中,系统和驾驶员对这两类操作的分工比重在变化。而这两个操作又是直接影响车辆安全的,所以不同等级的驾驶自动化系统对HARA分析的S,E,C三个参数会产生影响。图6 不同等级对S,E,C产生了影响 综合DDT,DDT召回和ODD的定义和功能范围以及其系统失效时在整车上产生的影响,具体分析了一下三个参数与驾驶自动化系统功能中各因素的关系。图7 驾驶自动化系统影响S,E,C的因素最后补充说一点,在DDT召回部分,从对不同等级系统的要求上可以看到,当故障发生时,系统需要达到的状态,从传统E/E系统功能的fail-safe 逐渐要求到最后的fail-operational上了。这点也是在之前分析ISO26262 的2018版变化时,提到的趋势。
按照预期功能安全标准,实现L3、L4、L5级自动驾驶当前有什么困难?
做汽车电控的功能安全,需要对ISO26262理解到什么程度?干这一行前景怎么样?
功能安全本质是什么?其与预期功能安全联系是什么?
26262第一版和第二版有哪些重大变化呢?
有人知道预期功能安全的主要用途是什么吗?
上海控安可信软件创新研究院院长、华东师范大学软件工程学院教授
上海控安 可信软件创新研究院副院长、教授级高级工程师
上海控安 可信软件创新研究院副院长兼信息安全组总监
上海控安 可信软件创新研究院副院长兼系统建模组总监
上海控安 可信软件创新研究院副院长兼测试工具链组总监
汽车电子、轨道交通、航空航天等安全攸关领域
功能安全(ISO 26262),信息安全(ISO/SAE 21434) ,SOTIF (ISO 21448)和AutomotiveSPICE
AUTOSAR
工业技术软件化共性技术攻关、行业标准制定、创新方法研究
汽车应用技术研发、科技成果转化和工程技术服务
已完成
数据加载中
