解析自動(dòng)駕駛解決方案優(yōu)劣和功能安全需求

一、目前市場上主流的ADAS解決方案大體分為兩種：

1.以Mobileye為首的使用采用Smart Sensor的解決方案，即在Sensor ECU給出識(shí)別對(duì)象信息，給到ADAS ECU做決策與執(zhí)行機(jī)構(gòu)控制。

2.以Aptiv等Tier1為主導(dǎo)的域控制器方案，攝像頭激光雷達(dá)直接傳遞Raw Data給到域控制器，域控制器進(jìn)行決策并控制執(zhí)行機(jī)構(gòu)。

方案一：

在整車電子電器架構(gòu)的設(shè)計(jì)上相比方案二較為簡單，傳感器供應(yīng)商可以直接通過CAN通訊給出車輛執(zhí)行機(jī)構(gòu)所需要的信息，以傳統(tǒng)攝像頭模組搭配CAN通訊的組合可以很輕松的達(dá)到ASIL B的等級(jí)，但由于單一傳感器在探測能力上面的局限性，對(duì)于Level3以上的功能如高速公路自動(dòng)駕駛、城鎮(zhèn)自動(dòng)駕駛等復(fù)雜場景來講本方案在乘用車上難以落地。

方案二：

以域控制器為自動(dòng)駕駛大腦的解決方案在奧迪新款zFAS平臺(tái)上大放異彩，作為全球第一款量產(chǎn)Level3車型，TTTech & Mobileye & Aptiv對(duì)該域控制器做出了大量貢獻(xiàn)。同時(shí)該產(chǎn)品的面世也證明了域控制器將為高階自動(dòng)駕駛功能的實(shí)現(xiàn)提供技術(shù)支持和安全保障。在此膜拜Aptiv！

這里補(bǔ)充一個(gè)對(duì)于CAN通訊的解釋，在Ethernet通訊如此火熱的今天為什么還要在ADAS系統(tǒng)上繼續(xù)選擇CAN通訊？CAN FD是否將被使用？

答：對(duì)于ASIL B以上的安全要求，在架構(gòu)上傳統(tǒng)的Ethernet不足以符合要求，目前各大廠家采用的傳感器通訊解決方案大多為Maxim的GMSL或傳統(tǒng)CAN。CAN FD將會(huì)在下一代量產(chǎn)車型中被使用。根據(jù)CiA(CAN in Automation)主席Holger Zeltwanger先生的預(yù)測，CAN FD的商用將于2022年初步實(shí)現(xiàn)。

二、域控制器解決方案功能安全分析

ISO26262-4 5 6分別對(duì)系統(tǒng)、軟件、硬件做出了詳細(xì)的設(shè)計(jì)與驗(yàn)證規(guī)范，下面將以這三個(gè)維度對(duì)域控制器方案做進(jìn)一步分析。

系統(tǒng)方面：

在系統(tǒng)架構(gòu)上，域控制器作為整車電子電器中的一員，與其他ECU在安全等級(jí)上ASIL D的要求并無二致，在量產(chǎn)車的解決方案上對(duì)上承接Conti，Dephi，Bosch，Sony等大廠冗余的傳感器，對(duì)下與Bosch ESP EPB EPS等全家桶緊密結(jié)合，加之Baidu，四維圖新等廠的高精度地圖信息加持， 基本可滿足全部Level2的功能需求與部分Level3的功能需求。對(duì)于系統(tǒng)ASIL D的設(shè)計(jì)來說，冗余是一種途徑，Safe Stop則是最終的結(jié)果。對(duì)于冗余的解釋為：域控制器內(nèi)部冗余和除Lidar外的傳感器均采用傳感器及其通訊冗余策略以達(dá)到ASIL B的標(biāo)準(zhǔn)，即多傳感器多路通訊；對(duì)于Safe Stop的解釋為：對(duì)于任何一種系統(tǒng)失效(硬件、軟件)的發(fā)生，系統(tǒng)都可以完成對(duì)駕駛員的警示和路權(quán)交接或安全停車以保證駕駛員的安全。

軟件方面：

在軟件架構(gòu)方面，對(duì)于標(biāo)準(zhǔn)軟件：Vector的PREEvision、VectorCAST等大禮包負(fù)責(zé)Classical AUTOSAR BSW中RTE、RTOS、Mem、ECU Abstraction、Diag、Communication Protocal等下層服務(wù)，Mathwork的大禮包用于應(yīng)用層服務(wù)，BSP則由芯片廠商提供。這種約定俗成的定制方案可以解決大部分MISRA需求，但對(duì)于神經(jīng)網(wǎng)絡(luò)的存在目前并無低成本的、可靠的、復(fù)用性強(qiáng)的方案出現(xiàn)。這部分黑盒的存在引入了SOTIF的概念并導(dǎo)致了Validation策略和框架對(duì)比傳統(tǒng)ECU的變化。

這里馬克一下RTE和SOTIF，目前絕大多數(shù)廠商的Demo都是基于ROS的框架搭配Unix系統(tǒng)實(shí)現(xiàn)，個(gè)人的理解為缺點(diǎn)是不能量產(chǎn)、安全等級(jí)低，優(yōu)點(diǎn)是低硬件依賴度、更適應(yīng)快速迭代開發(fā)的過程。SOTIF目前還未推出正式版本，在當(dāng)前版本的SOTIF中，系統(tǒng)需求，場景分析和測試都被重點(diǎn)提及，測試方面會(huì)后續(xù)說明。

硬件方面：

對(duì)于域控制器的硬件方案來說，ASIL D是必備的，目前各家半導(dǎo)體廠商均給出了自家的拳頭產(chǎn)品，其中較為出色的就是Nvidia的Drive PX、Pegasus系列，Renesas的R-Car系列，NXP的Blue Box系列。對(duì)于硬件來說“概念林志玲，量產(chǎn)羅玉鳳”的情況不大可能出現(xiàn)，而且域控制器中并不一定所有的SoC都需要ASIL D，在SoC的選擇上ASIL D的SoC通常用于執(zhí)行機(jī)構(gòu)的控制和診斷，其他QM、ASIL A、ASIL B的SoC則負(fù)責(zé)感知和計(jì)算，SoC間互相監(jiān)控冗余，也可以做到ASIL D的效果。在實(shí)際項(xiàng)目中往往其最大的風(fēng)險(xiǎn)來自于量產(chǎn)的時(shí)間。

在這種高冗余的設(shè)計(jì)模式下，自動(dòng)駕駛系統(tǒng)可以完成理論上ASIL D的實(shí)現(xiàn)。但ASIL D并不代表絕對(duì)的安全，功能安全是一種藝術(shù)。在自動(dòng)駕駛系統(tǒng)開發(fā)的過程中，被所有人質(zhì)疑的神經(jīng)網(wǎng)絡(luò)模型將使用新的Validation策略和框架予以驗(yàn)證。

個(gè)人認(rèn)為Validation是在自動(dòng)駕駛量產(chǎn)過程中非常大的難題，對(duì)于如此特殊的系統(tǒng)來說，好的軟件開發(fā)決定了基礎(chǔ)，而好的驗(yàn)證則決定了客戶及市場的滿意度。

Validation方面:

自動(dòng)駕駛的驗(yàn)證在內(nèi)容上不再局限于單元測試，集成測試，軟件測試，系統(tǒng)測試，系統(tǒng)集成測試，整車測試等幾塊V Cycle的定義。由于在SOTIF中Simulation Scenario的提出，Validation被賦予了更重要的意義，對(duì)于黑盒系統(tǒng)，新形式系統(tǒng)測試和整車測試不但可以增加產(chǎn)品置信度，更可以加速產(chǎn)品迭代效率，增加黑盒可靠性。一般來說系統(tǒng)測試及之后的測試內(nèi)容會(huì)分為三塊，功能測試，系統(tǒng)測試，和整車測試，對(duì)于三塊不同的測試內(nèi)容，ASPICE中對(duì)于測試覆蓋度和測試深度對(duì)于同的安全目標(biāo)有著詳細(xì)的定義，ISO26262中也針對(duì)不同的安全等級(jí)做出了不同的推薦。最后，各大歐洲主機(jī)廠的量產(chǎn)方案大多以“脫離比例”為Software Release指標(biāo)，這點(diǎn)在各大Safety Report上也可見一斑。

三、個(gè)人感想

自動(dòng)駕駛的系統(tǒng)設(shè)計(jì)最終很可能偏離傳統(tǒng)的汽車電子路線，Adaptive AUTOSAR和SOTIF等新標(biāo)準(zhǔn)的出現(xiàn)證明了這一點(diǎn)，但無論如何，ISO26262的意義不僅針對(duì)最終的產(chǎn)品，更存在于每個(gè)汽車電子工程師點(diǎn)滴的產(chǎn)品開發(fā)生涯中，產(chǎn)品手中過，安全心中留。