駕駛自動化安全經(jīng)濟(jì)工程

自動駕駛的主要目標(biāo)是消除人為錯誤造成的事故。在全自動駕駛汽車中，在系統(tǒng)發(fā)生故障時恢復(fù)駕駛員控制不是一種選擇;沒有驅(qū)動程序，也沒有提供手動控制來接管。安全關(guān)鍵系統(tǒng)必須采取行動，而不是使用“人為后備系統(tǒng)”作為故障保險。雖然這可以通過系統(tǒng)的完全冗余來實現(xiàn)，但需要替代架構(gòu)來最大限度地減少功能和系統(tǒng)的重復(fù)，以避免增加成本和重量。

汽車網(wǎng)絡(luò)架構(gòu)正在采用分區(qū)結(jié)構(gòu)來減輕車輛重量和成本，從而提高燃油經(jīng)濟(jì)性、節(jié)省空間和經(jīng)濟(jì)性。

域和區(qū)域體系結(jié)構(gòu)

圖 1 比較了域和區(qū)域車輛架構(gòu)的典型拓?fù)洹Ｔ谧髠?cè)基于域的架構(gòu)中，傳感器和執(zhí)行器根據(jù)它們所屬的功能域進(jìn)行連接。每個域都有一個專用處理器作為域控制器的一部分。在右側(cè)的區(qū)域架構(gòu)中，傳感器和執(zhí)行器根據(jù)其在車輛中的物理位置進(jìn)行連接。區(qū)域控制器、中央計算模塊或兩者的組合處理傳統(tǒng)上由域控制器和中央網(wǎng)關(guān)執(zhí)行的處理任務(wù)。

圖 1：域和區(qū)域車輛架構(gòu)的典型拓?fù)洹?/p>

高優(yōu)先級數(shù)據(jù)通信量（如安全關(guān)鍵型控制命令和某些類型的傳感器數(shù)據(jù)）必須在特定的最大時間范圍內(nèi)到達(dá)目的地并做出響應(yīng)。對于中等優(yōu)先級的流量，例如車載娛樂數(shù)據(jù)，可以通過確保通信子系統(tǒng)中平均有足夠的傳輸帶寬來保持可接受的傳輸和響應(yīng)時間。盡力而為的數(shù)據(jù)流量沒有特定的延遲要求。數(shù)據(jù)最終“盡可能快”地到達(dá)就足夠了，包括在通信子系統(tǒng)達(dá)到限制的情況下重新傳輸信息。

演進(jìn)與功能安全

研究自動制動系統(tǒng)（圖2）有助于解釋域和區(qū)域架構(gòu)對ISO 26262中定義的所需汽車安全完整性等級（ASIL）等級的影響。

圖 2：典型自動制動系統(tǒng)中的數(shù)據(jù)流方案。

圖2中的黑色標(biāo)記框是電子控制單元（ECU），灰色標(biāo)記框表示ECU之間交換的信息。雷達(dá)單元將雷達(dá)數(shù)據(jù)發(fā)送到目標(biāo)檢測功能，該功能提取有關(guān)檢測到的對象的數(shù)據(jù)，這些數(shù)據(jù)是距離閾值功能的輸入。距離閾值計算與前方車輛保持距離所需的減速，并在距離低于預(yù)定義限制的情況下向制動ECU發(fā)送適當(dāng)?shù)闹苿用睢?/p>

該系統(tǒng)的安全目標(biāo)旨在避免意外制動，并避免在需要時無法獲得所需的制動扭矩。由于在發(fā)生故障時可能會危及生命或致命傷害，因此根據(jù)ISO 26262，這兩個目標(biāo)都應(yīng)滿足ASIL D的要求，這是最高的完整性要求。

領(lǐng)域和區(qū)域車輛架構(gòu)對這些安全目標(biāo)的影響不同。圖3顯示了基于域的架構(gòu)中自動制動的相關(guān)部件示例。

圖 3：基于域的自主制動控制。

在這里，雷達(dá)、制動器和域控制器通過單個CAN總線連接。雷達(dá)模塊從雷達(dá)前端接收數(shù)據(jù)，執(zhí)行目標(biāo)檢測，并執(zhí)行距離閾值任務(wù)。制動控制命令通過CAN總線發(fā)送到制動模塊，制動模塊執(zhí)行命令任務(wù)。

圖 4 顯示了如何在區(qū)域架構(gòu)中實現(xiàn)相同的功能。雷達(dá)和制動單元通過兩個獨(dú)立的CAN總線連接到兩個獨(dú)立的區(qū)域模塊。這些模塊都連接到中樞大腦，也可能連接到車輛內(nèi)的其他區(qū)域模塊。雷達(dá)模塊僅包含一個傳感器，制動模塊包含一個執(zhí)行器。與基于域的體系結(jié)構(gòu)中的雷達(dá)和制動模塊不同，區(qū)域體系結(jié)構(gòu)中的這兩個模塊中都沒有主要處理。相反，中央計算模塊執(zhí)行對象檢測和距離閾值（計算）。因此，此體系結(jié)構(gòu)稱為具有中央處理的區(qū)域體系結(jié)構(gòu)。

圖 4：具有中央處理的區(qū)域架構(gòu)中的自動制動。

可以采用其他方法，例如在區(qū)域模塊A和/或B內(nèi)執(zhí)行目標(biāo)檢測和距離閾值任務(wù)。此類變體稱為具有本地區(qū)域處理的區(qū)域體系結(jié)構(gòu)。

計算 ASIL-D 合規(guī)性的 FIT

硬件故障概率指標(biāo) （PMHF） 是公認(rèn)的 ISO 26262 安全指標(biāo)，是違反安全目標(biāo)的平均概率，表示為時間故障 （FIT）。ISO 26262 要求 ASIL D 的 PMHF 低于 10 FIT（每小時 10-8 次故障概率），ASIL C 的 PMHF 低于 100 FIT（每小時 10-7 次故障概率）。

根據(jù)其ASIL等級和ISO 26262標(biāo)準(zhǔn)為每個安全目標(biāo)分配最大PMHF值。該值分為示例體系結(jié)構(gòu)中區(qū)分的三個不同組件組：傳感器融合和處理、通信和執(zhí)行器組件。

這些單獨(dú)的組件組中的每一個都有自己的故障概率 PMHFx，其中“x”是組件的訂購號。應(yīng)用程序的總體 PMHF 值是各個組件的 PMHFx 值的總和。為了滿足應(yīng)用的整體功能安全要求，總和應(yīng)小于或等于與ASIL安全目標(biāo)相關(guān)的最大PMHF值。

在從域體系結(jié)構(gòu)過渡到區(qū)域體系結(jié)構(gòu)的過程中，體系結(jié)構(gòu)更改和相關(guān)任務(wù)重新映射會影響應(yīng)用程序的 PMHF 值。在區(qū)域體系結(jié)構(gòu)中，與基于域的體系結(jié)構(gòu)相比，執(zhí)行同一應(yīng)用程序需要更多數(shù)量的通信和處理組件。

我們在示例應(yīng)用程序中計算了安全目標(biāo)的總體 PMHF，從而將基于域的體系結(jié)構(gòu)與我們之前描述的區(qū)域體系結(jié)構(gòu)的兩種變體進(jìn)行了比較。然后計算每個組分組對整體PMHF的相對貢獻(xiàn)，結(jié)果如圖5所示。該圖證實，更加分散的區(qū)域架構(gòu)導(dǎo)致車載網(wǎng)絡(luò)（IVN）通信對整個應(yīng)用PMHF的貢獻(xiàn)顯著增加。還發(fā)現(xiàn)處理的貢獻(xiàn)沒有顯著變化。這是因為處理總量在不同的體系結(jié)構(gòu)中不會改變。

圖 5：每個組件組和架構(gòu)的相對 PMHF 貢獻(xiàn)。

自動駕駛的故障運(yùn)行

當(dāng)乘客在發(fā)生故障時無法接管時，全自動駕駛需要故障操作系統(tǒng)，以確保在發(fā)生故障時功能完整或降級。各種架構(gòu)都可以實現(xiàn)這一點(diǎn)，盡管每種架構(gòu)都有優(yōu)點(diǎn)和缺點(diǎn)。

架構(gòu)變體 1

同構(gòu)冗余將系統(tǒng)復(fù)制到兩個獨(dú)立的并行實現(xiàn)中（圖 6）。此變體在兩個實現(xiàn)之一中存在隨機(jī)故障時提供故障操作行為。目前只有一個并行實現(xiàn)處于活動狀態(tài)，盡管備用（冗余）路徑可能會定期自檢以檢測潛在故障。如果主路徑發(fā)生故障，可以選擇第二條路徑以確?？捎眯?。

圖 6：全冗余架構(gòu)。

這種方法基于這樣的假設(shè)，即系統(tǒng)故障不太可能同時影響兩個實現(xiàn)，但通過在兩條路徑中使用不同的組件，可以將系統(tǒng)故障的影響降至最低。這被稱為多元化。缺點(diǎn)包括硅元件數(shù)量翻倍，因此增加了整體系統(tǒng)成本。

架構(gòu)變體 2

第二種變體（圖7）使用單個CAN總線連接傳感器融合、處理和執(zhí)行器組件。這避免了重復(fù)CAN總線結(jié)構(gòu)（即電纜），而是使用新型CAN收發(fā)器，允許在網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的單個故障下運(yùn)行。區(qū)域內(nèi)CAN可用性得到提高，而骨干網(wǎng)絡(luò)保持完全冗余。它節(jié)省了與冗余收發(fā)器相關(guān)的費(fèi)用和布線的重量，同時允許與完全冗余架構(gòu)相同的可用性。

圖 7：CAN 和主干網(wǎng)提高了可用性。

架構(gòu)變體 3

第三種變體的特點(diǎn)是不重復(fù)處理模塊和以太網(wǎng)交換機(jī)，如圖8所示。

圖 8：處理器可用性改進(jìn)和完全冗余網(wǎng)絡(luò)。

并行運(yùn)行的第二個處理器提高了處理模塊的可用性。此處理器可能具有較低的性能規(guī)格，因此必須采用故障降級的操作模式。對于某些用例，這是可以接受的，例如安全地將車輛移開道路。

架構(gòu)變體 4

第四種變體（圖 9）將區(qū)域內(nèi) CAN 和處理可用性改進(jìn)與完全冗余的主干網(wǎng)絡(luò)相結(jié)合。這種布置提高了CAN和處理可用性，從而節(jié)省了變體2中的電纜，減少了變體3中的控制器模塊數(shù)量。

圖 9：使用冗余主干網(wǎng)提高區(qū)域內(nèi) CAN 和處理器可用性。

車輛網(wǎng)絡(luò)架構(gòu)的未來

更高水平的車輛自主性避免了人類參與駕駛過程。在這些更高的級別上，自動駕駛系統(tǒng)必須無法進(jìn)入運(yùn)行狀態(tài)。盡管完全冗余是滿足此要求的不切實際的解決方案，但深思熟慮地采用可用性改進(jìn)的通信和處理功能可以以較低的總體系統(tǒng)成本實現(xiàn)相同的可用性。

車輛網(wǎng)絡(luò)架構(gòu)正在轉(zhuǎn)向區(qū)域架構(gòu)，旨在支持更強(qiáng)大的功能，同時最大限度地減輕車輛重量和成本。另一方面，區(qū)域化需要仔細(xì)設(shè)計，以確保安全關(guān)鍵系統(tǒng)（如自動制動）能夠達(dá)到所需的ASIL。我們已經(jīng)表明，與傳統(tǒng)的車輛網(wǎng)絡(luò)拓?fù)湎啾龋瑓^(qū)域網(wǎng)絡(luò)中由于車載網(wǎng)絡(luò)的貢獻(xiàn)而違反安全目標(biāo)的平均概率顯著增加。

審核編輯：郭婷