日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測(cè)試網(wǎng)

  • 公眾號(hào)

    • 汽車測(cè)試網(wǎng)

    • 在線課堂

    • 電車測(cè)試

ADAS系統(tǒng)的安全概念設(shè)計(jì)工程實(shí)例

2019-10-09 22:32:18·  來源:??W(wǎng)  
 
簡(jiǎn)介目前功能安全標(biāo)準(zhǔn) ISO26262 在汽車自動(dòng)駕駛輔助系統(tǒng)設(shè)計(jì)過程中的應(yīng)用,尤其是概念階段的設(shè)計(jì)應(yīng)用缺乏統(tǒng)一有效的方法。詳細(xì)闡述了 ISO26262 標(biāo)準(zhǔn)第三部分概念
簡(jiǎn)介
 
目前功能安全標(biāo)準(zhǔn) ISO26262 在汽車自動(dòng)駕駛輔助系統(tǒng)設(shè)計(jì)過程中的應(yīng)用,尤其是概念階段的設(shè)計(jì)應(yīng)用缺乏統(tǒng)一有效的方法。詳細(xì)闡述了 ISO26262 標(biāo)準(zhǔn)第三部分概念階段的內(nèi)容和要求,包括相關(guān)項(xiàng)定義、功能安全周期啟動(dòng)、HARA 分析和功能安全概念,介紹了符合 ISO26262 標(biāo)準(zhǔn)進(jìn)行概念階段各部分設(shè)計(jì)的具體方法,以車道保持輔助 ( LKA) 為例闡述詳細(xì)的設(shè)計(jì)步驟和分析過程。此方法已應(yīng)用于某品牌汽車自動(dòng)駕駛輔助系統(tǒng)的功能安全概念設(shè)計(jì),為其他自動(dòng)化相關(guān)駕駛輔助系統(tǒng)開展功能安全概念設(shè)計(jì)提供了一定的方法指導(dǎo)。

引言
 
汽車自動(dòng)化及自動(dòng)駕駛是汽車行業(yè)未來發(fā)展的趨勢(shì),世界各國(guó)對(duì)該領(lǐng)域的研究如火如荼,先后開展了很多自動(dòng)駕駛汽車的相關(guān)道路試驗(yàn),取得了豐碩的成果。目前各國(guó)都已經(jīng)給出了汽車自動(dòng)化和自動(dòng)駕駛發(fā)展規(guī)劃,各大車企、汽車相關(guān)科研機(jī)構(gòu)和組織對(duì)自動(dòng)駕駛的發(fā)展階段定義基本趨同,包括美國(guó)汽車工程師學(xué)會(huì) SAE( society of automotive engineers) 、美國(guó)國(guó)家公路交通安全管理局 NHTSA( national highway traffic safety administration) 、歐洲博世( Bosch) 、中國(guó)汽車工程學(xué)會(huì)以及以長(zhǎng)安汽車為代表的一批車企等,主要?jiǎng)澐秩缦码A段: 無自動(dòng)駕駛( Level 0) 、具有指定功能自動(dòng)駕駛( Level 1) 、具有復(fù)合功能的自動(dòng)駕駛 ( Level 2) 、具有限制條件的無人駕駛( Level 3) 、完全自動(dòng)駕駛( Level 4) 。而目前主流的技術(shù)水平均處于 Level 1 和 Level 2 的階段,即輔助自動(dòng)駕駛階段,只有像谷歌等極少數(shù)公司的技術(shù)已經(jīng)進(jìn)入 Level 4 階段。
 
自動(dòng)駕駛的實(shí)現(xiàn)依靠的是越來越復(fù)雜的電子電氣系統(tǒng)的集成和控制,基于電子電氣系統(tǒng)的功能安全問題漸漸凸顯出來,成為汽車自動(dòng)化過程中首當(dāng)其沖需要解決的關(guān)鍵問題之一,為此國(guó)際標(biāo)準(zhǔn)化組織( ISO) 專門推出了 ISO26262———道路車輛功能安全標(biāo)準(zhǔn),來為整個(gè)生命周期中與功能安全相關(guān)的工作流程和管理流程提供指導(dǎo)。
 
電子電氣系統(tǒng)的開發(fā)設(shè)計(jì)越來越多將功能安全作為考慮的因素,所有滿足功能安全標(biāo)準(zhǔn) ISO26262 設(shè)計(jì)的電子電氣系統(tǒng)和子系統(tǒng),最初的設(shè)計(jì)依據(jù)均來自于頂層分析,即功能安全概念階段的分析成果,因此合理的概念設(shè)計(jì)至關(guān)重要。

目前應(yīng)用 ISO26262 標(biāo)準(zhǔn)開發(fā)設(shè)計(jì)實(shí)用功能系統(tǒng)的較多,對(duì)自動(dòng)化各個(gè)階段的功能系統(tǒng)尤其是自動(dòng)駕駛輔助系統(tǒng)的研究應(yīng)用相對(duì)較少,現(xiàn)有研究主要是 ISO26262 標(biāo)準(zhǔn)的整體應(yīng)用,專門針對(duì)功能安全概念的研究文獻(xiàn)屈指可數(shù),可見此階段還未引起研究人員足夠的重視。以某汽車品牌在研自動(dòng)駕駛輔助系統(tǒng)功能之一車道保持系統(tǒng)為例,設(shè)計(jì)出符合功能安全標(biāo)準(zhǔn) ISO26262 的電子電氣系統(tǒng)安全設(shè)計(jì)的具體執(zhí)行方法,闡述了詳細(xì)的內(nèi)容和步驟,為開展后續(xù)系統(tǒng)設(shè)計(jì)和軟硬件設(shè)計(jì)提供輸出成果,并為其他技術(shù)人員開展相關(guān)系統(tǒng)的功能安全概念設(shè)計(jì)提供指導(dǎo)。
 
ISO 26262簡(jiǎn)介

ISO26262 是 IEC61508 對(duì)電子電氣系統(tǒng)在道路車輛方面的功能安全要求的具體應(yīng)用,適用于道路車輛上特定的由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動(dòng)。

1) 概念階段: 包括相關(guān)項(xiàng)定義( Part 3-5) 、安全生命周 期 啟 動(dòng) ( Part 3-6) 、危害分析和風(fēng)險(xiǎn)評(píng)估 ( Part 3-7) 、功能安全概念( Part 3-8) 四部分內(nèi)容。根據(jù)產(chǎn)品的功能定義開發(fā)相關(guān)項(xiàng)定義,并啟動(dòng)產(chǎn)品安全開發(fā)生命周期,后以相關(guān)項(xiàng)定義為基礎(chǔ)進(jìn)行 HARA 分析,得出產(chǎn)品的功能安全目標(biāo)和 ASIL 等級(jí),再進(jìn)行概念分析得出功能安全要求及對(duì)應(yīng)的 ASIL 等級(jí)。

2) 產(chǎn)品開發(fā): 基于概念階段分析得出的功能安全要求,得出具體的技術(shù)安全要求,包 括 系 統(tǒng) 層 ( Part 4) 、硬件層( Part 5) 和軟件層( Part 6) 的技術(shù)安全要求,并指導(dǎo)各個(gè)層級(jí)的設(shè)計(jì)開發(fā); 產(chǎn)品設(shè)計(jì)開發(fā)完成后,需要通過功能安全確認(rèn)( Part 4-9) 和功能安全評(píng)估( Part 4-10) 才能允許產(chǎn)品生產(chǎn)發(fā)布( Part 4-11) 。其中,安全確認(rèn)除了對(duì)功能安全要求的所有交付物進(jìn)行確認(rèn),還包括支撐概念階段分析的控制能力的假設(shè)、外部措施的使用及其他技術(shù)的應(yīng)用。產(chǎn)品開發(fā)過程中應(yīng)該同步定義產(chǎn)品的生產(chǎn)計(jì)劃 ( Part 7-5) 和運(yùn)行計(jì)劃( Part 7-6) 。 

3) 生產(chǎn)發(fā)布之后: 基于產(chǎn)品的生產(chǎn)計(jì)劃和運(yùn)行計(jì)劃,執(zhí)行基于功能安全要求的的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢過程( Part 7-6 和 Part 7-6) 的活動(dòng)。上述活動(dòng)中若有修改的情況,則應(yīng)返回到對(duì)應(yīng)的生命周期階段進(jìn)行迭代。 

ISO26262 標(biāo)準(zhǔn)共分十章,在產(chǎn)品開發(fā)生命周期中,第一、二、八、九、十章適用整個(gè)周期,第三、四、五、六、七章則需要遵循設(shè)計(jì)開發(fā)的先后順序。第三章概念階段的工作成果是后面所有開發(fā)工作的基礎(chǔ),直接決定著接下來產(chǎn)品開發(fā)關(guān)于功能安全要求的執(zhí)行質(zhì)量,因此非常重要。

概念階段

1. 相關(guān)項(xiàng)定義

對(duì)相關(guān)項(xiàng)進(jìn)行定義和描述,及其與環(huán)境和其它相關(guān)項(xiàng)的依賴性和相互影響,包括其功能、邊界接口、環(huán)境條件、法規(guī)要求和危害等,方便設(shè)計(jì)開發(fā)人員能夠充分理解相關(guān)項(xiàng),為后續(xù)階段的活動(dòng)提供支持。

車道保持輔助( lane-keeping assistance,LKA) 是部分自動(dòng)化階段的輔助駕駛功能,駕駛員無意識(shí)偏離車道時(shí),能夠監(jiān)測(cè)并主動(dòng)糾偏。對(duì)其進(jìn)行相關(guān)項(xiàng)定義應(yīng)包括如下內(nèi)容:

1)功能理解

圖 2 是 LKA 功能的功能架構(gòu)及邊界圖,在功能開啟后,LKA 通過 CAN 網(wǎng)絡(luò)搜集各個(gè)要素( Element) 提供的相關(guān)信息,部分詳細(xì)如下: 

Element 1: 提供開關(guān)信息 
Element 2: 提供車速信息 
Element 3: 提供發(fā)動(dòng)機(jī)轉(zhuǎn)速信息 
Element 4: 提供方向盤轉(zhuǎn)角信息 
Element 5: 提供外界溫度信息 
Element X: 接收 ECU 指令并執(zhí)行顯示 
Element Y: 接收 ECU 指令并執(zhí)
……: 其他輸入和輸出信息 

所有信息經(jīng)過 LKA 的 ECU 處理,判斷出車輛車輪外邊緣距車道線的距離是否滿足糾偏要求,并輸出相應(yīng)指令給執(zhí)行要素( 如 Element X 和 Element Y) ,在需要的時(shí)候?qū)④囕v糾偏回正常車道內(nèi)。

相關(guān)項(xiàng)定義中的工作模式和條件應(yīng)該盡量包含系統(tǒng)實(shí)際工作時(shí)所有的模式及其依據(jù)的條件,考慮到開發(fā)之初設(shè)計(jì)的不完全成熟,故允許后續(xù)的改進(jìn)和更新。如表 1 為 LKA 系統(tǒng)具有的工作模式及對(duì)應(yīng)的條件。

表 1 
ADAS系統(tǒng)的安全概念設(shè)計(jì)工程實(shí)例2
圖 2

2)邊界接口

定義相關(guān)項(xiàng)與其他相關(guān)項(xiàng)和環(huán)境之間的交互作用和相互影響、功能在所涉及的系統(tǒng)和要素間的分配等。如圖 2,通過邊界線將系統(tǒng)的組件和要素劃分成兩部分,邊界內(nèi)的要素與系統(tǒng)直接相關(guān)、會(huì)影響系統(tǒng)功能實(shí)現(xiàn),如 Element 1 系統(tǒng)開關(guān),其開閉觸發(fā)狀態(tài)直接決定系統(tǒng)能否開始工作,因此需要?jiǎng)潥w邊界內(nèi); 邊界外的要素與系統(tǒng)間接相關(guān)、會(huì)影響系統(tǒng)性能,如提供外界溫度信號(hào)的 Element 5,其提供的信息作為處理器算法的補(bǔ)償,準(zhǔn)確性僅影響處理器計(jì)算偏差的大小,不會(huì)影響系統(tǒng)本身功能的使用,因此需要?jiǎng)潥w邊界外; 此外有些要素可能具有不同的功能,在系統(tǒng)工作時(shí)參與多種角色,既提供輸入信息,又擔(dān)負(fù) ECU 指令信息顯示或執(zhí)行的任務(wù),或者同時(shí)負(fù)責(zé)其他系統(tǒng)的相關(guān)角色,若無法在邊界架構(gòu)圖中畫出,則需要在相關(guān)項(xiàng)定義中明確描述。

接口定義包括機(jī)械接口和因邊界線劃分要素的系統(tǒng)內(nèi)部要素接口和外部要素接口,此外系統(tǒng)要素間、要素與總線間的通信也應(yīng)該定義明確。

3)環(huán)境條件

本節(jié)需要定義系統(tǒng)運(yùn)行環(huán)境,如溫度、海拔、濕度、振動(dòng)、電磁干擾等; 系統(tǒng)運(yùn)行要求,如工作電壓、電流等; 其他的限制條件。若不明確可以不用定義。表 2 列舉了 LKA 系統(tǒng)運(yùn)行的環(huán)境條件。

表 2

LKA 系統(tǒng)在以上要求的環(huán)境條件限制內(nèi)出現(xiàn)的失效屬于功能安全的范疇,超出以上環(huán)境條件功能安全不再保證有效。如環(huán)境溫度大于 NN°C,系統(tǒng)可能無法正常工作; 攝像頭被遮擋,系統(tǒng)也無法正常工作; 其他的限制條件如大雨大雪天氣也會(huì)影響系統(tǒng)的正常工作等。

4)法規(guī)要求

應(yīng)明確列舉相關(guān)項(xiàng)系統(tǒng)功能符合哪些法律法規(guī)、國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)。如 LKA 功能滿足的法規(guī)包括 ECE R10.05、ISO 7637、GB /T 18655 等,詳細(xì)可以定義到滿足相關(guān)法規(guī)的具體章節(jié)。

5)危害定義

本節(jié)需要定義相關(guān)項(xiàng)系統(tǒng)已知的失效模式和危害,造成的潛在后果,包括系統(tǒng)要素、軟硬件失效對(duì)系統(tǒng)造成的危害。如 LKA 系統(tǒng)依靠攝像頭提供精確的車道線信息,若攝像頭出現(xiàn)故障,需要系統(tǒng)關(guān)閉并響應(yīng)相應(yīng)提示,系統(tǒng)恢復(fù)需要維修或更換攝像頭至正常。

2. 啟動(dòng)安全生命周期

安全生命周期啟動(dòng)需要確定本相關(guān)項(xiàng)系統(tǒng)是新的開發(fā)還是對(duì)現(xiàn)有相關(guān)項(xiàng)系統(tǒng)進(jìn)行修改,或是對(duì)現(xiàn)有相關(guān)項(xiàng)系統(tǒng)的重用。新的相關(guān)項(xiàng)開發(fā)需要繼續(xù)進(jìn)行下一步危害分析和風(fēng)險(xiǎn)評(píng)估,對(duì)現(xiàn)有相關(guān)項(xiàng)進(jìn)行修改需要評(píng)估修改部分對(duì)相關(guān)項(xiàng)的影響并進(jìn)行影響分析,對(duì)現(xiàn)有相關(guān)項(xiàng)系統(tǒng)的重用需要集成和沿用與現(xiàn)有相關(guān)項(xiàng)安全相關(guān)的文檔。討論的 LKA 系統(tǒng)為新開發(fā)的相關(guān)項(xiàng),故對(duì)修改相關(guān)項(xiàng)和重用相關(guān)項(xiàng)內(nèi)容不做描述。

3. HARA 分析

危害分析和風(fēng)險(xiǎn)評(píng)估( hazard analysis and risk assessment,HARA) 。其目的是對(duì)功能潛在故障進(jìn)行識(shí)別并對(duì)其產(chǎn)生的危害進(jìn)行分類,確定功能安全目標(biāo)并制定相應(yīng)的措施以避免系統(tǒng)功能不合理的風(fēng)險(xiǎn)。

HARA 分析流程如圖 3,根據(jù)相關(guān)項(xiàng)定義,通過潛在危害識(shí)別確定整車級(jí)危害,然后通過 ASIL 分析確定每一個(gè)整車級(jí)危害的 ASIL 等級(jí),最后確定相關(guān)危害的安全目標(biāo),并輸出功能安全概念。 

圖 3

危害分析和風(fēng)險(xiǎn)評(píng)估( hazard analysis and risk assessment,HARA) 。其目的是對(duì)功能潛在故障進(jìn)行識(shí)別并對(duì)其產(chǎn)生的危害進(jìn)行分類,確定功能安全目標(biāo)并制定相應(yīng)的措施以避免系統(tǒng)功能不合理的風(fēng)險(xiǎn)。

HARA 分析流程如圖 3,根據(jù)相關(guān)項(xiàng)定義,通過潛在危害識(shí)別確定整車級(jí)危害,然后通過 ASIL 分析確定每一個(gè)整車級(jí)危害的 ASIL 等級(jí),最后確定相關(guān)危害的安全目標(biāo),并輸出功能安全概念。關(guān)注??W(wǎng)參加系統(tǒng)、軟件和ADAS功能安全培訓(xùn),現(xiàn)在團(tuán)購(gòu)可享受立減800價(jià)格優(yōu)惠。

1)確定整車級(jí)危害

目前確定整車級(jí)危害使用較多的方法有危害和可操作性分析 HAZOP( hazard and operability analysis) 、頭腦風(fēng)暴、預(yù)先危險(xiǎn)性分析 PHA ( preliminary hazard analysis) 等,相對(duì)來講,HAZOP 分析系統(tǒng)性、完善性和結(jié)構(gòu)性較好; 頭腦風(fēng)暴和其他 PHA 方法在場(chǎng)景分析的準(zhǔn)確性和全面性方面,依賴分析人員具備豐富的經(jīng) 驗(yàn)、專業(yè)知識(shí)等因素,導(dǎo)致分析效果不穩(wěn)定。因此 LKA 功能的危害分析采用 HAZOP 分析方法。 

HAZOP 提供了 12 種失效模式,通過對(duì)每種失效模式的分析準(zhǔn)確全面的找出潛在危害,包括過度、不足、失效、衰減、間歇性、無規(guī)律、震蕩、錯(cuò)誤、相反、延時(shí)、無響應(yīng)。

表3 是 LKA 功能的 HAZOP 分析表,對(duì) LKA 功能應(yīng)該分析上述 12 種失效,確定每種失效導(dǎo)致的整車級(jí)危害,并確定需要考慮的多種運(yùn)行環(huán)境,給出可能的控制措施,最后將所有屬于危害事件的整車級(jí)危害匯總,以進(jìn)行后續(xù)分析。關(guān)于AEB,ACC,L3自動(dòng)駕駛等更多系統(tǒng)的功能安全設(shè)計(jì)和開發(fā)需求,可加入??W(wǎng)獲得更多資料,??W(wǎng)汽車安全專家團(tuán)隊(duì)也可以根據(jù)需求提供咨詢和審核評(píng)估支持服務(wù),詳詢電話/微信18917451722。

表 3

2)確定 ASIL 等級(jí)

汽車安全完整性等級(jí)( automobile safety integrity levers,ASIL) 。ASIL 等級(jí)是通過暴露度、嚴(yán)重度、可控性三個(gè)維度影響因子的分析確定,共分 ASILA、B、 C、D、QM 5 個(gè)等級(jí),其中 QM 等級(jí)屬于質(zhì)量管理范疇,不在功能安全考慮之內(nèi)。 

(1) 暴露度。對(duì)車輛運(yùn)行工況和駕駛環(huán)境的評(píng)估。可以通過運(yùn)行工況占車輛生命運(yùn)行周期時(shí)間比例或者發(fā)生頻率來確定。暴露度等級(jí)定義和分類見表 4。

表 4

(2) 嚴(yán)重度。相關(guān)項(xiàng)系統(tǒng)功能在特定的環(huán)境條件下發(fā)生失效,由潛在危險(xiǎn)造成人員傷害的嚴(yán)重程度,包括對(duì)本車和其他道路使用車輛的駕駛員、乘員以及路上行人的傷害等。嚴(yán)重度等級(jí)定義和分類見表 5。 

表 5

(3) 可控性。評(píng)估駕駛者或其它道路使用者當(dāng)危害發(fā)生時(shí)對(duì)危險(xiǎn)情況的控制并能避免傷害的概率。嚴(yán)重度等級(jí)定義和分類見表 6。對(duì) HAZOP 分析確定的整車級(jí)危害繼續(xù)進(jìn)行 ASIL分析,分析每一個(gè)危害的 E、S、C 等級(jí),并根據(jù)表8確定每一個(gè)整車級(jí)危害的 ASIL 等級(jí)。本節(jié)以 LKA 功能發(fā)生誤糾偏和糾偏不足兩個(gè)整車級(jí)危害為例說明 HARA分析過 程和ASIL等級(jí)確定,詳見表 7。

表 6

表 7

3)確定安全目標(biāo)

針對(duì)駕駛員能感知的整車級(jí)危害,從管管人員角度提出為避免危害需要達(dá)到的目標(biāo),是頂層的功能安全需求。應(yīng)該為每一個(gè)整車級(jí)危害確定一個(gè)安全目標(biāo)??梢院喜⑺姓嚰?jí)危害中類似的安全目標(biāo),其 ASIL 等級(jí)為相應(yīng)危害分析中 ASIL 最高的等級(jí)。表 9 為通過表 7 的 HARA 分析確定的 LKA 功能的安全目標(biāo)及對(duì)應(yīng)的 ASIL 等級(jí)。

表 8

表 9

4. 功能安全概念

功能安全概念源于功能安全目標(biāo),包括安全狀態(tài)、安全需求、安全需求在相關(guān)項(xiàng)架構(gòu)要素的分配,明確一定的安全措施與安全機(jī)制。具體包括: 故障檢測(cè)和失效緩解方法; 過渡到安全狀態(tài)及故障容忍時(shí)間間隔; 容錯(cuò)機(jī)制,即一個(gè)故障發(fā)生時(shí)不會(huì)直接導(dǎo)致違反安全目標(biāo)( S) 并保持該功能在安全狀態(tài); 故障監(jiān)測(cè)與報(bào)警; 從不同功能發(fā)送過來的多個(gè)請(qǐng)求中選擇最適當(dāng)?shù)目刂埔髨?zhí)行的仲裁邏輯; 如圖 4 功能安全概念各狀態(tài)變換的時(shí)間間隔定義。

圖 4

功能安全概念需要通過以下 3 個(gè)方面展開:

1) 安全狀態(tài)的提出。安全狀態(tài)是系統(tǒng)或功能不存在任何由于系統(tǒng)導(dǎo)致的不能接受的風(fēng)險(xiǎn)的一種狀態(tài),包括功能正常的運(yùn)行、執(zhí)行、操作狀態(tài)、功能故障后的降級(jí)反應(yīng)、功能故障后關(guān)閉并報(bào)警。本例 LKA 系統(tǒng)在發(fā)生故障時(shí),在現(xiàn)有功能本身上述 3 種機(jī)制均無法達(dá)到有效的安全狀態(tài),故無對(duì)應(yīng)的有效安全狀態(tài)。

2) FSR 的提出。功能安全需求( functional safety requirement,F(xiàn)SR) 。應(yīng)基于安全目標(biāo)和安全狀態(tài),并考慮初步的架構(gòu)與邊界范圍來提出安全需求( 如圖 2) ,通過表 10 列舉出系統(tǒng)要素及其功能,為每一個(gè)要素編號(hào)。

表 10

為每一個(gè)安全目標(biāo)至少提出一條安全需求。以下述 LKA 系統(tǒng)的安全目標(biāo)為例:

安全目標(biāo): 避免誤糾偏( ASIL D) 。 

具體的分析過程見表 11。
 
ADAS系統(tǒng)的安全概念設(shè)計(jì)工程實(shí)例11
表 11

安全需求的 ASIL 等級(jí)分解和分配依據(jù)本節(jié) 3) 部分的規(guī)則,故障容忍時(shí)間間隔需要在后續(xù)的設(shè)計(jì)過程中通過技術(shù)安全需求提出。

ISO26262 要求其他相關(guān)內(nèi)容在功能安全概念中明確( 如果具有) ,包括: 可用的駕駛模式; 緊急操作時(shí)間; 轉(zhuǎn)換成安全狀態(tài)的條件; 駕駛員和其他處于危害中的人員的假設(shè)行為; 避免危害的外部措施。

3) ASIL 等級(jí)要素的分配和分解?;诎踩繕?biāo)提出具體的安全需求,將安全需求分配到具體的系統(tǒng)要素。系統(tǒng)要素包括子系統(tǒng)和零部件,通過分配 ASIL 等級(jí)確定其具體的安全需求。多個(gè)等級(jí)分配給同一要素,需選取最高的 ASIL 等級(jí)作為該要素的功能安全等級(jí)。

當(dāng)分配給某一要素的 ASIL 等級(jí)過高,導(dǎo)致技術(shù)實(shí)現(xiàn)難度增加或成本增加等問題,就需要采用 ASIL 分解方法實(shí)現(xiàn)“降級(jí)”,以滿足開發(fā)和安全的綜合要求。被“降級(jí)”分配的要素之間功能相互冗余且具備獨(dú)立性。分解規(guī)則如表 12。

表 12

基于初步架構(gòu)圖和安全需求分解和要素分配,將分配 ASIL 等級(jí)的要素重新編號(hào),繪制完善的安全架構(gòu)圖,如圖 5。

圖 5

基于完善的安全架構(gòu)圖,通過安全需求的分解 和要素的分配,得出安全要素需求匯總表,如表 13。本部分安全需求為功能安全概念階段的最終輸出 物,是后續(xù)系統(tǒng)設(shè)計(jì)、軟硬件設(shè)計(jì)的基礎(chǔ)。

表 13

ISO26262的ADAS應(yīng)用總結(jié)

1) 根據(jù)功能安全標(biāo)準(zhǔn) ISO26262 第三章概念階段的內(nèi)容,設(shè)計(jì)出標(biāo)準(zhǔn)應(yīng)用具體方法,給出了設(shè)計(jì)步驟和分析過程。

2) 應(yīng)用設(shè)計(jì)的方法對(duì)車道保持輔助( LKA) 進(jìn)行案例分析,得出符合 ISO26262 標(biāo)準(zhǔn)的分析成果。 

3) 所設(shè)計(jì)的方法為 ISO26262 標(biāo)準(zhǔn)在概念階段的設(shè)計(jì)應(yīng)用提供了借鑒,為其他自動(dòng)化系統(tǒng)開展功能安全概念設(shè)計(jì)提供了方法指導(dǎo)。 

4) 所設(shè)計(jì)的方法目前已應(yīng)用在某車廠多個(gè)駕駛輔助系統(tǒng)的設(shè)計(jì)開發(fā)中,如自適應(yīng)巡航( automatic cruise control,ACC) 、車 道 偏 離 預(yù) 警 ( lane depart warning,LDW) 、自動(dòng)緊急制動(dòng)( automatic emergency brake,AEB ) 、自 動(dòng) 泊 車 輔 助 ( automatic parking assist,APA) 等,為相關(guān)產(chǎn)品開發(fā)提出了功能安全要求,系統(tǒng)全面地找出導(dǎo)致產(chǎn)品失效的原因并針對(duì)性的施加措施,能夠有效降低產(chǎn)品的非預(yù)期失效風(fēng)險(xiǎn),極大的提高了產(chǎn)品的安全性。如您需要相關(guān)支持,可致電18917451722

ISO21448的引入

隨著ADAS系統(tǒng)越發(fā)復(fù)雜,引入了各種復(fù)雜的傳感系統(tǒng)(如Radar、Lidar)和算法(如machine learning)等。這些傳感系統(tǒng)和算法在執(zhí)行預(yù)期功能時(shí)(未發(fā)生故障),其態(tài)勢(shì)感知能力(situational awareness)在某些情況下能夠直接影響安全性。舉個(gè)例子,Uber自動(dòng)駕駛汽車2018年3月在美國(guó)意外撞擊致死一名行人。當(dāng)時(shí)行人正穿過一段未被路燈直接照亮的道路,傳感系統(tǒng)(Radar和Lidar,未發(fā)生故障)采集了行人的信息,在撞擊發(fā)生的前6秒被車載軟件依次解讀為未知物體、車輛和自行車。該事故的最終原因(究竟是傳感系統(tǒng)、軟件還是其它因素)有待官方調(diào)查結(jié)果,但仍可見預(yù)期功能可能對(duì)安全性的極端影響。Safety Of The Intended Functionality (SOTIF)的概念越發(fā)受到重視。

SOTIF的關(guān)注點(diǎn)是:由功能不足、或者由可合理預(yù)見的人員誤用所導(dǎo)致的危害和風(fēng)險(xiǎn)。例如,傳感系統(tǒng)在暴雨、積雪等天氣情況下,本身并未發(fā)生故障,但是否仍能執(zhí)行預(yù)期的功能。而功能安全關(guān)注于與安全相關(guān)的失效,信息安全關(guān)注于與安全相關(guān)的威脅。

SOTIF在很大程度上基于假設(shè)場(chǎng)景來進(jìn)行分析。ISO/PAS 21448對(duì)場(chǎng)景的定義是:“description of the temporal development between several scenes in a sequence of scenes”,即一系列片段(scenes)中幾個(gè)片段(scenes)之間的時(shí)序發(fā)展描述。
ISO/PAS 21448將場(chǎng)景(scenarios)劃分為如下圖所示的4個(gè)區(qū)間,分別為(1)已知-安全、(2)已知-不安全、(3)未知-不安全和(4)未知-安全。目的是盡可能縮小位于區(qū)間(2)和(3)中的場(chǎng)景(scenarios)比例,即將確保場(chǎng)景(scenarios)控制在安全的區(qū)間。


一些典型的自動(dòng)駕駛的假設(shè)場(chǎng)景(scenarios)如下:
 




理論上,SOTIF應(yīng)該與ISO 26262中的流程銜接,比如作為早期HARA的輸入、后期確認(rèn)(Validation)階段的輸入等等。參見下圖。將SOTIF與功能安全銜接的潛臺(tái)詞之一,是SOTIF應(yīng)該采用與功能安全一致的風(fēng)險(xiǎn)接受準(zhǔn)則。由于SOTIF的出現(xiàn)相對(duì)較新,能檢索到的、有實(shí)用價(jià)值的資料不多,如何能將它有效地落地仍處于探索階段。目前有自動(dòng)駕駛產(chǎn)業(yè)鏈上各個(gè)企業(yè)的需求和探索、有相關(guān)的SOTIF專題研討會(huì),但大部分還沒有成型的、深入的項(xiàng)目應(yīng)用。牛喀網(wǎng)的安全專家團(tuán)隊(duì)參與了北美自動(dòng)駕駛項(xiàng)目安全設(shè)計(jì),掌握了領(lǐng)先的ADAS和自動(dòng)駕駛安全實(shí)踐經(jīng)驗(yàn)。鑒于團(tuán)隊(duì)與各國(guó)專家的深入交流,10月21日,ISO21448標(biāo)準(zhǔn)委員會(huì)專家Pimentel教授特別來到??W(wǎng)上海辦公室訪問,同期為致力于在智能駕駛安全方面有所建樹的朋友提供為期三天的智能駕駛安全技術(shù)盛宴,不僅包含預(yù)期功能安全技術(shù),還包括多主體安全和責(zé)任敏感安全(RSS)技術(shù)主題,并輔以大量的實(shí)踐案例。Pimentel是一位國(guó)際知名的安全技術(shù)學(xué)者,他還會(huì)從數(shù)學(xué)理論解讀安全技術(shù)的底層邏輯,學(xué)員可以更加深刻的理解各種安全設(shè)計(jì)的思維方法。
 
 
 
 
 
分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25