日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

首頁 > 汽車技術 > 正文

ADAS系統(tǒng)的安全概念設計工程實例

2019-10-09 22:32:18·  來源:??W(wǎng)  
 
簡介目前功能安全標準 ISO26262 在汽車自動駕駛輔助系統(tǒng)設計過程中的應用,尤其是概念階段的設計應用缺乏統(tǒng)一有效的方法。詳細闡述了 ISO26262 標準第三部分概念
簡介
 
目前功能安全標準 ISO26262 在汽車自動駕駛輔助系統(tǒng)設計過程中的應用,尤其是概念階段的設計應用缺乏統(tǒng)一有效的方法。詳細闡述了 ISO26262 標準第三部分概念階段的內(nèi)容和要求,包括相關項定義、功能安全周期啟動、HARA 分析和功能安全概念,介紹了符合 ISO26262 標準進行概念階段各部分設計的具體方法,以車道保持輔助 ( LKA) 為例闡述詳細的設計步驟和分析過程。此方法已應用于某品牌汽車自動駕駛輔助系統(tǒng)的功能安全概念設計,為其他自動化相關駕駛輔助系統(tǒng)開展功能安全概念設計提供了一定的方法指導。

引言
 
汽車自動化及自動駕駛是汽車行業(yè)未來發(fā)展的趨勢,世界各國對該領域的研究如火如荼,先后開展了很多自動駕駛汽車的相關道路試驗,取得了豐碩的成果。目前各國都已經(jīng)給出了汽車自動化和自動駕駛發(fā)展規(guī)劃,各大車企、汽車相關科研機構和組織對自動駕駛的發(fā)展階段定義基本趨同,包括美國汽車工程師學會 SAE( society of automotive engineers) 、美國國家公路交通安全管理局 NHTSA( national highway traffic safety administration) 、歐洲博世( Bosch) 、中國汽車工程學會以及以長安汽車為代表的一批車企等,主要劃分如下階段: 無自動駕駛( Level 0) 、具有指定功能自動駕駛( Level 1) 、具有復合功能的自動駕駛 ( Level 2) 、具有限制條件的無人駕駛( Level 3) 、完全自動駕駛( Level 4) 。而目前主流的技術水平均處于 Level 1 和 Level 2 的階段,即輔助自動駕駛階段,只有像谷歌等極少數(shù)公司的技術已經(jīng)進入 Level 4 階段。
 
自動駕駛的實現(xiàn)依靠的是越來越復雜的電子電氣系統(tǒng)的集成和控制,基于電子電氣系統(tǒng)的功能安全問題漸漸凸顯出來,成為汽車自動化過程中首當其沖需要解決的關鍵問題之一,為此國際標準化組織( ISO) 專門推出了 ISO26262———道路車輛功能安全標準,來為整個生命周期中與功能安全相關的工作流程和管理流程提供指導。
 
電子電氣系統(tǒng)的開發(fā)設計越來越多將功能安全作為考慮的因素,所有滿足功能安全標準 ISO26262 設計的電子電氣系統(tǒng)和子系統(tǒng),最初的設計依據(jù)均來自于頂層分析,即功能安全概念階段的分析成果,因此合理的概念設計至關重要。

目前應用 ISO26262 標準開發(fā)設計實用功能系統(tǒng)的較多,對自動化各個階段的功能系統(tǒng)尤其是自動駕駛輔助系統(tǒng)的研究應用相對較少,現(xiàn)有研究主要是 ISO26262 標準的整體應用,專門針對功能安全概念的研究文獻屈指可數(shù),可見此階段還未引起研究人員足夠的重視。以某汽車品牌在研自動駕駛輔助系統(tǒng)功能之一車道保持系統(tǒng)為例,設計出符合功能安全標準 ISO26262 的電子電氣系統(tǒng)安全設計的具體執(zhí)行方法,闡述了詳細的內(nèi)容和步驟,為開展后續(xù)系統(tǒng)設計和軟硬件設計提供輸出成果,并為其他技術人員開展相關系統(tǒng)的功能安全概念設計提供指導。
 
ISO 26262簡介

ISO26262 是 IEC61508 對電子電氣系統(tǒng)在道路車輛方面的功能安全要求的具體應用,適用于道路車輛上特定的由電子、電氣和軟件組件組成的安全相關系統(tǒng)在安全生命周期內(nèi)的所有活動。

1) 概念階段: 包括相關項定義( Part 3-5) 、安全生命周 期 啟 動 ( Part 3-6) 、危害分析和風險評估 ( Part 3-7) 、功能安全概念( Part 3-8) 四部分內(nèi)容。根據(jù)產(chǎn)品的功能定義開發(fā)相關項定義,并啟動產(chǎn)品安全開發(fā)生命周期,后以相關項定義為基礎進行 HARA 分析,得出產(chǎn)品的功能安全目標和 ASIL 等級,再進行概念分析得出功能安全要求及對應的 ASIL 等級。

2) 產(chǎn)品開發(fā): 基于概念階段分析得出的功能安全要求,得出具體的技術安全要求,包 括 系 統(tǒng) 層 ( Part 4) 、硬件層( Part 5) 和軟件層( Part 6) 的技術安全要求,并指導各個層級的設計開發(fā); 產(chǎn)品設計開發(fā)完成后,需要通過功能安全確認( Part 4-9) 和功能安全評估( Part 4-10) 才能允許產(chǎn)品生產(chǎn)發(fā)布( Part 4-11) 。其中,安全確認除了對功能安全要求的所有交付物進行確認,還包括支撐概念階段分析的控制能力的假設、外部措施的使用及其他技術的應用。產(chǎn)品開發(fā)過程中應該同步定義產(chǎn)品的生產(chǎn)計劃 ( Part 7-5) 和運行計劃( Part 7-6) 。 

3) 生產(chǎn)發(fā)布之后: 基于產(chǎn)品的生產(chǎn)計劃和運行計劃,執(zhí)行基于功能安全要求的的生產(chǎn)、運行、服務和報廢過程( Part 7-6 和 Part 7-6) 的活動。上述活動中若有修改的情況,則應返回到對應的生命周期階段進行迭代。 

ISO26262 標準共分十章,在產(chǎn)品開發(fā)生命周期中,第一、二、八、九、十章適用整個周期,第三、四、五、六、七章則需要遵循設計開發(fā)的先后順序。第三章概念階段的工作成果是后面所有開發(fā)工作的基礎,直接決定著接下來產(chǎn)品開發(fā)關于功能安全要求的執(zhí)行質量,因此非常重要。

概念階段

1. 相關項定義

對相關項進行定義和描述,及其與環(huán)境和其它相關項的依賴性和相互影響,包括其功能、邊界接口、環(huán)境條件、法規(guī)要求和危害等,方便設計開發(fā)人員能夠充分理解相關項,為后續(xù)階段的活動提供支持。

車道保持輔助( lane-keeping assistance,LKA) 是部分自動化階段的輔助駕駛功能,駕駛員無意識偏離車道時,能夠監(jiān)測并主動糾偏。對其進行相關項定義應包括如下內(nèi)容:

1)功能理解

圖 2 是 LKA 功能的功能架構及邊界圖,在功能開啟后,LKA 通過 CAN 網(wǎng)絡搜集各個要素( Element) 提供的相關信息,部分詳細如下: 

Element 1: 提供開關信息 
Element 2: 提供車速信息 
Element 3: 提供發(fā)動機轉速信息 
Element 4: 提供方向盤轉角信息 
Element 5: 提供外界溫度信息 
Element X: 接收 ECU 指令并執(zhí)行顯示 
Element Y: 接收 ECU 指令并執(zhí)
……: 其他輸入和輸出信息 

所有信息經(jīng)過 LKA 的 ECU 處理,判斷出車輛車輪外邊緣距車道線的距離是否滿足糾偏要求,并輸出相應指令給執(zhí)行要素( 如 Element X 和 Element Y) ,在需要的時候將車輛糾偏回正常車道內(nèi)。

相關項定義中的工作模式和條件應該盡量包含系統(tǒng)實際工作時所有的模式及其依據(jù)的條件,考慮到開發(fā)之初設計的不完全成熟,故允許后續(xù)的改進和更新。如表 1 為 LKA 系統(tǒng)具有的工作模式及對應的條件。

表 1 
ADAS系統(tǒng)的安全概念設計工程實例2
圖 2

2)邊界接口

定義相關項與其他相關項和環(huán)境之間的交互作用和相互影響、功能在所涉及的系統(tǒng)和要素間的分配等。如圖 2,通過邊界線將系統(tǒng)的組件和要素劃分成兩部分,邊界內(nèi)的要素與系統(tǒng)直接相關、會影響系統(tǒng)功能實現(xiàn),如 Element 1 系統(tǒng)開關,其開閉觸發(fā)狀態(tài)直接決定系統(tǒng)能否開始工作,因此需要劃歸邊界內(nèi); 邊界外的要素與系統(tǒng)間接相關、會影響系統(tǒng)性能,如提供外界溫度信號的 Element 5,其提供的信息作為處理器算法的補償,準確性僅影響處理器計算偏差的大小,不會影響系統(tǒng)本身功能的使用,因此需要劃歸邊界外; 此外有些要素可能具有不同的功能,在系統(tǒng)工作時參與多種角色,既提供輸入信息,又擔負 ECU 指令信息顯示或執(zhí)行的任務,或者同時負責其他系統(tǒng)的相關角色,若無法在邊界架構圖中畫出,則需要在相關項定義中明確描述。

接口定義包括機械接口和因邊界線劃分要素的系統(tǒng)內(nèi)部要素接口和外部要素接口,此外系統(tǒng)要素間、要素與總線間的通信也應該定義明確。

3)環(huán)境條件

本節(jié)需要定義系統(tǒng)運行環(huán)境,如溫度、海拔、濕度、振動、電磁干擾等; 系統(tǒng)運行要求,如工作電壓、電流等; 其他的限制條件。若不明確可以不用定義。表 2 列舉了 LKA 系統(tǒng)運行的環(huán)境條件。

表 2

LKA 系統(tǒng)在以上要求的環(huán)境條件限制內(nèi)出現(xiàn)的失效屬于功能安全的范疇,超出以上環(huán)境條件功能安全不再保證有效。如環(huán)境溫度大于 NN°C,系統(tǒng)可能無法正常工作; 攝像頭被遮擋,系統(tǒng)也無法正常工作; 其他的限制條件如大雨大雪天氣也會影響系統(tǒng)的正常工作等。

4)法規(guī)要求

應明確列舉相關項系統(tǒng)功能符合哪些法律法規(guī)、國家標準和國際標準。如 LKA 功能滿足的法規(guī)包括 ECE R10.05、ISO 7637、GB /T 18655 等,詳細可以定義到滿足相關法規(guī)的具體章節(jié)。

5)危害定義

本節(jié)需要定義相關項系統(tǒng)已知的失效模式和危害,造成的潛在后果,包括系統(tǒng)要素、軟硬件失效對系統(tǒng)造成的危害。如 LKA 系統(tǒng)依靠攝像頭提供精確的車道線信息,若攝像頭出現(xiàn)故障,需要系統(tǒng)關閉并響應相應提示,系統(tǒng)恢復需要維修或更換攝像頭至正常。

2. 啟動安全生命周期

安全生命周期啟動需要確定本相關項系統(tǒng)是新的開發(fā)還是對現(xiàn)有相關項系統(tǒng)進行修改,或是對現(xiàn)有相關項系統(tǒng)的重用。新的相關項開發(fā)需要繼續(xù)進行下一步危害分析和風險評估,對現(xiàn)有相關項進行修改需要評估修改部分對相關項的影響并進行影響分析,對現(xiàn)有相關項系統(tǒng)的重用需要集成和沿用與現(xiàn)有相關項安全相關的文檔。討論的 LKA 系統(tǒng)為新開發(fā)的相關項,故對修改相關項和重用相關項內(nèi)容不做描述。

3. HARA 分析

危害分析和風險評估( hazard analysis and risk assessment,HARA) 。其目的是對功能潛在故障進行識別并對其產(chǎn)生的危害進行分類,確定功能安全目標并制定相應的措施以避免系統(tǒng)功能不合理的風險。

HARA 分析流程如圖 3,根據(jù)相關項定義,通過潛在危害識別確定整車級危害,然后通過 ASIL 分析確定每一個整車級危害的 ASIL 等級,最后確定相關危害的安全目標,并輸出功能安全概念。 

圖 3

危害分析和風險評估( hazard analysis and risk assessment,HARA) 。其目的是對功能潛在故障進行識別并對其產(chǎn)生的危害進行分類,確定功能安全目標并制定相應的措施以避免系統(tǒng)功能不合理的風險。

HARA 分析流程如圖 3,根據(jù)相關項定義,通過潛在危害識別確定整車級危害,然后通過 ASIL 分析確定每一個整車級危害的 ASIL 等級,最后確定相關危害的安全目標,并輸出功能安全概念。關注??W(wǎng)參加系統(tǒng)、軟件和ADAS功能安全培訓,現(xiàn)在團購可享受立減800價格優(yōu)惠。

1)確定整車級危害

目前確定整車級危害使用較多的方法有危害和可操作性分析 HAZOP( hazard and operability analysis) 、頭腦風暴、預先危險性分析 PHA ( preliminary hazard analysis) 等,相對來講,HAZOP 分析系統(tǒng)性、完善性和結構性較好; 頭腦風暴和其他 PHA 方法在場景分析的準確性和全面性方面,依賴分析人員具備豐富的經(jīng) 驗、專業(yè)知識等因素,導致分析效果不穩(wěn)定。因此 LKA 功能的危害分析采用 HAZOP 分析方法。 

HAZOP 提供了 12 種失效模式,通過對每種失效模式的分析準確全面的找出潛在危害,包括過度、不足、失效、衰減、間歇性、無規(guī)律、震蕩、錯誤、相反、延時、無響應。

表3 是 LKA 功能的 HAZOP 分析表,對 LKA 功能應該分析上述 12 種失效,確定每種失效導致的整車級危害,并確定需要考慮的多種運行環(huán)境,給出可能的控制措施,最后將所有屬于危害事件的整車級危害匯總,以進行后續(xù)分析。關于AEB,ACC,L3自動駕駛等更多系統(tǒng)的功能安全設計和開發(fā)需求,可加入牛喀網(wǎng)獲得更多資料,??W(wǎng)汽車安全專家團隊也可以根據(jù)需求提供咨詢和審核評估支持服務,詳詢電話/微信18917451722。

表 3

2)確定 ASIL 等級

汽車安全完整性等級( automobile safety integrity levers,ASIL) 。ASIL 等級是通過暴露度、嚴重度、可控性三個維度影響因子的分析確定,共分 ASILA、B、 C、D、QM 5 個等級,其中 QM 等級屬于質量管理范疇,不在功能安全考慮之內(nèi)。 

(1) 暴露度。對車輛運行工況和駕駛環(huán)境的評估??梢酝ㄟ^運行工況占車輛生命運行周期時間比例或者發(fā)生頻率來確定。暴露度等級定義和分類見表 4。

表 4

(2) 嚴重度。相關項系統(tǒng)功能在特定的環(huán)境條件下發(fā)生失效,由潛在危險造成人員傷害的嚴重程度,包括對本車和其他道路使用車輛的駕駛員、乘員以及路上行人的傷害等。嚴重度等級定義和分類見表 5。 

表 5

(3) 可控性。評估駕駛者或其它道路使用者當危害發(fā)生時對危險情況的控制并能避免傷害的概率。嚴重度等級定義和分類見表 6。對 HAZOP 分析確定的整車級危害繼續(xù)進行 ASIL分析,分析每一個危害的 E、S、C 等級,并根據(jù)表8確定每一個整車級危害的 ASIL 等級。本節(jié)以 LKA 功能發(fā)生誤糾偏和糾偏不足兩個整車級危害為例說明 HARA分析過 程和ASIL等級確定,詳見表 7。

表 6

表 7

3)確定安全目標

針對駕駛員能感知的整車級危害,從管管人員角度提出為避免危害需要達到的目標,是頂層的功能安全需求。應該為每一個整車級危害確定一個安全目標??梢院喜⑺姓嚰壩:χ蓄愃频陌踩繕耍?ASIL 等級為相應危害分析中 ASIL 最高的等級。表 9 為通過表 7 的 HARA 分析確定的 LKA 功能的安全目標及對應的 ASIL 等級。

表 8

表 9

4. 功能安全概念

功能安全概念源于功能安全目標,包括安全狀態(tài)、安全需求、安全需求在相關項架構要素的分配,明確一定的安全措施與安全機制。具體包括: 故障檢測和失效緩解方法; 過渡到安全狀態(tài)及故障容忍時間間隔; 容錯機制,即一個故障發(fā)生時不會直接導致違反安全目標( S) 并保持該功能在安全狀態(tài); 故障監(jiān)測與報警; 從不同功能發(fā)送過來的多個請求中選擇最適當?shù)目刂埔髨?zhí)行的仲裁邏輯; 如圖 4 功能安全概念各狀態(tài)變換的時間間隔定義。

圖 4

功能安全概念需要通過以下 3 個方面展開:

1) 安全狀態(tài)的提出。安全狀態(tài)是系統(tǒng)或功能不存在任何由于系統(tǒng)導致的不能接受的風險的一種狀態(tài),包括功能正常的運行、執(zhí)行、操作狀態(tài)、功能故障后的降級反應、功能故障后關閉并報警。本例 LKA 系統(tǒng)在發(fā)生故障時,在現(xiàn)有功能本身上述 3 種機制均無法達到有效的安全狀態(tài),故無對應的有效安全狀態(tài)。

2) FSR 的提出。功能安全需求( functional safety requirement,F(xiàn)SR) 。應基于安全目標和安全狀態(tài),并考慮初步的架構與邊界范圍來提出安全需求( 如圖 2) ,通過表 10 列舉出系統(tǒng)要素及其功能,為每一個要素編號。

表 10

為每一個安全目標至少提出一條安全需求。以下述 LKA 系統(tǒng)的安全目標為例:

安全目標: 避免誤糾偏( ASIL D) 。 

具體的分析過程見表 11。
 
ADAS系統(tǒng)的安全概念設計工程實例11
表 11

安全需求的 ASIL 等級分解和分配依據(jù)本節(jié) 3) 部分的規(guī)則,故障容忍時間間隔需要在后續(xù)的設計過程中通過技術安全需求提出。

ISO26262 要求其他相關內(nèi)容在功能安全概念中明確( 如果具有) ,包括: 可用的駕駛模式; 緊急操作時間; 轉換成安全狀態(tài)的條件; 駕駛員和其他處于危害中的人員的假設行為; 避免危害的外部措施。

3) ASIL 等級要素的分配和分解?;诎踩繕颂岢鼍唧w的安全需求,將安全需求分配到具體的系統(tǒng)要素。系統(tǒng)要素包括子系統(tǒng)和零部件,通過分配 ASIL 等級確定其具體的安全需求。多個等級分配給同一要素,需選取最高的 ASIL 等級作為該要素的功能安全等級。

當分配給某一要素的 ASIL 等級過高,導致技術實現(xiàn)難度增加或成本增加等問題,就需要采用 ASIL 分解方法實現(xiàn)“降級”,以滿足開發(fā)和安全的綜合要求。被“降級”分配的要素之間功能相互冗余且具備獨立性。分解規(guī)則如表 12。

表 12

基于初步架構圖和安全需求分解和要素分配,將分配 ASIL 等級的要素重新編號,繪制完善的安全架構圖,如圖 5。

圖 5

基于完善的安全架構圖,通過安全需求的分解 和要素的分配,得出安全要素需求匯總表,如表 13。本部分安全需求為功能安全概念階段的最終輸出 物,是后續(xù)系統(tǒng)設計、軟硬件設計的基礎。

表 13

ISO26262的ADAS應用總結

1) 根據(jù)功能安全標準 ISO26262 第三章概念階段的內(nèi)容,設計出標準應用具體方法,給出了設計步驟和分析過程。

2) 應用設計的方法對車道保持輔助( LKA) 進行案例分析,得出符合 ISO26262 標準的分析成果。 

3) 所設計的方法為 ISO26262 標準在概念階段的設計應用提供了借鑒,為其他自動化系統(tǒng)開展功能安全概念設計提供了方法指導。 

4) 所設計的方法目前已應用在某車廠多個駕駛輔助系統(tǒng)的設計開發(fā)中,如自適應巡航( automatic cruise control,ACC) 、車 道 偏 離 預 警 ( lane depart warning,LDW) 、自動緊急制動( automatic emergency brake,AEB ) 、自 動 泊 車 輔 助 ( automatic parking assist,APA) 等,為相關產(chǎn)品開發(fā)提出了功能安全要求,系統(tǒng)全面地找出導致產(chǎn)品失效的原因并針對性的施加措施,能夠有效降低產(chǎn)品的非預期失效風險,極大的提高了產(chǎn)品的安全性。如您需要相關支持,可致電18917451722

ISO21448的引入

隨著ADAS系統(tǒng)越發(fā)復雜,引入了各種復雜的傳感系統(tǒng)(如Radar、Lidar)和算法(如machine learning)等。這些傳感系統(tǒng)和算法在執(zhí)行預期功能時(未發(fā)生故障),其態(tài)勢感知能力(situational awareness)在某些情況下能夠直接影響安全性。舉個例子,Uber自動駕駛汽車2018年3月在美國意外撞擊致死一名行人。當時行人正穿過一段未被路燈直接照亮的道路,傳感系統(tǒng)(Radar和Lidar,未發(fā)生故障)采集了行人的信息,在撞擊發(fā)生的前6秒被車載軟件依次解讀為未知物體、車輛和自行車。該事故的最終原因(究竟是傳感系統(tǒng)、軟件還是其它因素)有待官方調(diào)查結果,但仍可見預期功能可能對安全性的極端影響。Safety Of The Intended Functionality (SOTIF)的概念越發(fā)受到重視。

SOTIF的關注點是:由功能不足、或者由可合理預見的人員誤用所導致的危害和風險。例如,傳感系統(tǒng)在暴雨、積雪等天氣情況下,本身并未發(fā)生故障,但是否仍能執(zhí)行預期的功能。而功能安全關注于與安全相關的失效,信息安全關注于與安全相關的威脅。

SOTIF在很大程度上基于假設場景來進行分析。ISO/PAS 21448對場景的定義是:“description of the temporal development between several scenes in a sequence of scenes”,即一系列片段(scenes)中幾個片段(scenes)之間的時序發(fā)展描述。
ISO/PAS 21448將場景(scenarios)劃分為如下圖所示的4個區(qū)間,分別為(1)已知-安全、(2)已知-不安全、(3)未知-不安全和(4)未知-安全。目的是盡可能縮小位于區(qū)間(2)和(3)中的場景(scenarios)比例,即將確保場景(scenarios)控制在安全的區(qū)間。


一些典型的自動駕駛的假設場景(scenarios)如下:
 




理論上,SOTIF應該與ISO 26262中的流程銜接,比如作為早期HARA的輸入、后期確認(Validation)階段的輸入等等。參見下圖。將SOTIF與功能安全銜接的潛臺詞之一,是SOTIF應該采用與功能安全一致的風險接受準則。由于SOTIF的出現(xiàn)相對較新,能檢索到的、有實用價值的資料不多,如何能將它有效地落地仍處于探索階段。目前有自動駕駛產(chǎn)業(yè)鏈上各個企業(yè)的需求和探索、有相關的SOTIF專題研討會,但大部分還沒有成型的、深入的項目應用。??W(wǎng)的安全專家團隊參與了北美自動駕駛項目安全設計,掌握了領先的ADAS和自動駕駛安全實踐經(jīng)驗。鑒于團隊與各國專家的深入交流,10月21日,ISO21448標準委員會專家Pimentel教授特別來到??W(wǎng)上海辦公室訪問,同期為致力于在智能駕駛安全方面有所建樹的朋友提供為期三天的智能駕駛安全技術盛宴,不僅包含預期功能安全技術,還包括多主體安全和責任敏感安全(RSS)技術主題,并輔以大量的實踐案例。Pimentel是一位國際知名的安全技術學者,他還會從數(shù)學理論解讀安全技術的底層邏輯,學員可以更加深刻的理解各種安全設計的思維方法。
 
 
 
 
 
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25