日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

首頁 > 汽車技術 > 正文

Pilot Roadmap - 面向L3+自動駕駛的功能安全架構方案

2020-01-20 23:35:03·  來源:??W(wǎng)  作者:Ted Zhang  
 
在 SAE J3016:2018 中確認的六個等級的車輛自動化系統(tǒng)中,一至二級被稱為駕駛員輔助系統(tǒng),三級以上則被劃分為自動駕駛系統(tǒng),三級以上自動駕駛功能中車輛和駕駛員
在 SAE J3016:2018 中確認的六個等級的車輛自動化系統(tǒng)中,一至二級被稱為駕駛員輔助系統(tǒng),三級以上則被劃分為自動駕駛系統(tǒng),三級以上自動駕駛功能中車輛和駕駛員責任的分割帶來了功能責任的交割,進而帶來了功能設計和系統(tǒng)架構上的變革。
 
以 TTTech zFAS 在 Audi A8 量產(chǎn)的自動駕駛功能 Traffic Jam Pilot(交通擁堵駕駛)為例,在功能上簡要地說就是,用戶在功能設計運行區(qū)間內啟動功能后,車輛通過環(huán)境建模做出路徑規(guī)劃和控制,實現(xiàn)車道線內的自動跟車功能。
Pic Source: https://www.audi-technology-portal.de/en/electrics-electronics/driver-assistant-systems/audi-a8-audi-ai-traffic-jam-pilot
Audi A8 在前向傳感器方案上選擇了一枚前向激光雷達,一枚前向長距離毫米波雷達,兩枚中距離毫米波角雷達,一枚前向廣角鏡頭和兩枚側魚眼鏡頭。在傳感器性質方面可以實現(xiàn)物體識別,車道線識別,相對距離測距等功能。
自量產(chǎn)以來,Audi A8 的傳感器方案就受到了大量的關注,激光雷達的存在必要性飽受爭議,但究其傳感器選型的本質原因,除了性能要求外,安全要求也是其中的必要考量因素。
Pic Source: https://www.audi-technology-portal.de/en/electrics-electronics/driver-assistant-systems/audi-a8-audi-ai-traffic-jam-pilot
根據(jù) ISO26262-4 中「車輛 E/E 系統(tǒng)故障導致的安全違規(guī)行為」以及 SOTIF 中「導致 E/E 無故障系統(tǒng)下錯誤傳感器數(shù)據(jù)以及基于處理算法在傳感器輸入上應該避免和減輕的,以使系統(tǒng)處于安全狀態(tài)」的需求。在出現(xiàn)故障時,系統(tǒng)必須關閉或必須通過(緊急)操作驅動。這意味著在 SAE Level 3 之后,特別是在 SAE Level 4 之后,有必要為失效操作提供功能安全、系統(tǒng)可用性和系統(tǒng)冗余的創(chuàng)新解決方案。
創(chuàng)新解決方案在系統(tǒng)安全領域中的要求可以理解為如果出現(xiàn)功能失效,必須在短時間內使系統(tǒng)保持在開啟狀態(tài)。為了達成這一目標,一方面可以通過設計風險最小化的簡單功能達到功能失效狀態(tài)下風險控制的目標,另一方面則可以通過正確開發(fā)系統(tǒng)安全架構機制和失效操作安全架構機制的方式來控制風險。
SAE Level 3 的功能設計受限于高速公路等設計運行區(qū)間,而設計運行區(qū)間在不同時間空間上體現(xiàn)出的性質往往不同,在無相關規(guī)范指導的情況下,系統(tǒng)安全架構機制和失效操作安全機制就成為了良好的風險控制首選方案。目前在系統(tǒng)安全架構機制上大體分為兩種,傳統(tǒng)的 Fail-safe 安全機制以及現(xiàn)代的 Fail-operational 安全機制,F(xiàn)ail-safe 安全機制要求系統(tǒng)監(jiān)控關鍵的部件以達到失效后系統(tǒng)關斷的目的,如在功能運行過程中監(jiān)控攝像頭系統(tǒng),在攝像頭無法正常工作時關閉系統(tǒng)以避免系統(tǒng)危害。
上圖是經(jīng)典的駕駛輔助系統(tǒng)高等級功能架構模塊示意圖,Sensor,Processing,Actuator 為系統(tǒng)正常工作狀態(tài)下的功能通道,下方位置的 Monitoring 模塊通過信息的反饋監(jiān)控功能的狀態(tài)。這種基于 Fail-safe 安全機制的架構方案在實現(xiàn)上與傳統(tǒng) ECU 相似,在系統(tǒng)架構中使用 SEooC 的方式滿足功能安全的需求。但盡管功能安全的需求在 Fail-safe 的方案下可以被滿足,自動駕駛功能本身「性質」的需求卻無法滿足。
在 TJP 狀態(tài)下 50KM/H 工作的過程中,當駕駛員并未做好駕駛準備時出現(xiàn)了 Fail-safe 架構下的系統(tǒng)失效,系統(tǒng)突然的宕機會嚴重影響駕駛安全性,造成最高 AIS 6 等級的人身傷害。
Pic Source: SAE J3016:2018
Ref:SAE J3016:2018 Use case sequence for a level 3 feature showing ADS engaged, occurrence of a failure or out-of-ODD condition, and the fallback-ready user performing the fallback, or, if the fallback-ready user fails to do so, a failure mitigation strategy, such as stop-in-lane.
Fail-operational 安全架構的存在解決了系統(tǒng)突然失效宕機可能造成的危害,這種架構可以實現(xiàn)關鍵系統(tǒng)模塊的冗余,通過在兩個或者多個不同的硬件和軟件中實現(xiàn)多樣性部署的方式,在系統(tǒng)失效的情況下提供備用解決方案。這些不同的硬件和軟件可能有不同的物理特性,甚至來自于不用的開發(fā)團隊和公司,作用就是提供關鍵信息的異構冗余。在 Fail-operational 的安全架構下有多種設計思路,常見的有 1-Out-Of-2 Safety Architecture (1oo2),2-Out-Of-3 Safety Architecture (2oo3) etc。
Pic Source: SAE International
1-Out-Of-2 Safety Architecture (1oo2)的安全架構往往由兩個獨立的處理單元組成,兩個獨立的處理單元能夠獨立控制執(zhí)行器,當一個處理單元發(fā)生故障時,通過診斷模塊提供的故障信息,系統(tǒng)仍可在第二通道運行,這種解決方案通常存在于一些低成本的關鍵零部件中。
Pic Source: SAE International
2-Out-Of-3 Safety Architecture (2oo3)的安全架構被廣泛地應用在航空電子設備中,在這種安全架構方案下,三個獨立的處理單元互相冗余并兩兩校驗在輸出端使用兩個獨立的判斷單元對處理單元的輸出進行校驗,若三路輸出一致則系統(tǒng)工作正常,若一路出現(xiàn)故障系統(tǒng)依然可以繼續(xù)運行另外兩路運算單元,這種高成本的解決方案在價格高昂的同時也會帶來開發(fā)過程中如功耗散熱問題的大量技術難題和供應鏈管理的復雜問題。
若將 Fail-operational 安全架構的思想擴展到 SAE Level 3 以上的具體自動駕駛系統(tǒng)開發(fā)中,系統(tǒng)失效狀態(tài)下的魯棒性就是一個關鍵的議題,如果系統(tǒng)在失效狀態(tài)下在車輛道路上突然停止工作,結合高魯棒性和成本的考慮,在自動駕駛控制器的選擇上可以使用 1oo2 的解決方案。
Pic Source: SAE International
這種設計模式要求異構的傳感器輸入被獨立地處理,異構的傳感器攝像頭,毫米波雷達以及激光雷達(等)提供冗余的感知方案,這也就解釋了 Audi A8 上搭載激光雷達的必要性。
在功能正常運行的過程中,攝像頭提供物體車道線 2D 信息,毫米波雷達提供物體相對位置信息,激光雷達提供物體車道線信息,通過冗余的傳感器融合方案提供冗余的車道線和物體關鍵信息,Core 1 和 Core 2 兩塊高性能處理器同時工作處理功能邏輯,并將輸出傳遞到安全芯片的 Core 3 上進行對比。當對比結果出現(xiàn)偏差則進入降級失效通道,運行在 Core 1 或 Core 2 上的安全停車功能。
Pic Source: Visteon
在 1oo2 的架構層面思想下,TJP 的功能在邏輯層面上可以被分解為三個通道,通道 1 和通道 2 互相獨立,互相冗余,在正常工作狀態(tài)下相互校驗工作。在兩異構通道輸出不同時,由 Safe Chip 上的故障檢測機制轉入第三通道進行緊急操作至安全狀態(tài)。
Plus:可適應面向SAE Level 4的系統(tǒng)安全架構方案
 
在面向如 TJP 一類 SAE Level 3 功能 ASIL D 安全目標的解決方案中,根據(jù) ISO26262 5&6 的需求,系統(tǒng)安全概念在 SoC 上功能安全的要求可以分為軟件和硬件兩個層面,軟件部分在 SEooC 概念下,通過 AUTOSAR 的方式提供高內聚低耦合的系統(tǒng)組件架構要求。
 
硬件層面上功能安全對于 SoC 的要求則主要體現(xiàn)在單點失效度量 Single-Point Fault Metric 和潛在故障度量 Latent Fault Metric 兩個方面,前者表示系統(tǒng)故障的魯棒性以及在故障情況下對于非故障功能的影響程度,值越高,必須采取的措施越多,后者則更關注系統(tǒng)故障之后帶來的故障分析。
 
從系統(tǒng)安全概念層面分解下來對于硬件上的需求首先是具有鎖步功能的多核處理器以支持高性能計算需求下的冗余方案,其次需要具有內存保護系統(tǒng),信號量可以支持多個系統(tǒng)定時器的硬件擴展,以支持閃存分段和功能隔離的需求。內部的自檢功能和每個 CPU 的單獨重置功能以支持系統(tǒng)層面功能安全等等。
 
許多安全相關的應用功能將陸續(xù)在未來的幾年內被應用于量產(chǎn)車型,隨著自動駕駛接管任務越來越多的趨勢增加,未來的自動駕駛汽車需要強制性更高的可用度,低成本的安全架構方案將極大程度地減少系統(tǒng)成本,收割更多的市場空間。
 
 
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25