自动驾驶技术在过去几年中发展非常迅速,无人驾驶上路已经成为现实,但不可否认,仍有一些关键的技术挑战需要解决。这些挑战包括通过适当的故障运行系统设计来提高安全性和可用性。
本文将介绍整个ADAS/AD处理链可能出现的故障运行安全架构,从传感器(如摄像头、雷达、激光雷达等)到感知和决策算法。展示了如何有效地创建故障运行系统架构和安全架构,以及如何为ADAS/AD系统使用多样化的冗余来满足ASIL D安全要求并提高系统可用性。
如上所述,故障运行系统对于自动驾驶车辆至关重要。SAE 3级车辆只需要在短时间内发生故障运行,直到驾驶员能够对接管车辆控制权的请求做出反应。具有 SAE 4级和5级的车辆必须是安全的,并且在整个驾驶周期内不会发生故障运行,才能被客户接受。如果车辆系统因系统故障而停用,车辆仍有可能在单车道施工区或以有限速度行驶的隧道中是安全的。但是,由于可用性是客户接受全自动驾驶汽车的一个重要因素,因此自动驾驶汽车的设计必须能够防止故障,即从传感器到执行器具有多样化的冗余。
ADAS/AD系统可以被看作是人类。眼睛是传感器,大脑和神经元是高性能ECU,执行器是手和脚。该过程从传感开始,以检测行人和环境,包括静态和动态物体。目前用于自动驾驶汽车的传感器有摄像头、雷达、激光雷达、超声波传感器和DGPS。重要的是,车辆必须有一个360°的视野,以收集所有对安全自动驾驶很重要的信息。然后,将这些数据用于传感器与适当的滤波器(例如,卡尔曼滤波器或贝叶斯滤波器)的融合,以检测和分类对象和环境,并预测后续情况。在下一步中,将执行路径规划。在对情况进行分析和解释后,做出有关紧急制动、紧急转向以及正常驾驶功能的决策。根据这些决定,根据车辆型号,执行器由域ECU或带有安全微控制器的附加ECU控制。
为了保持系统的故障运行,检测处理链中所有可能的故障原因并减轻这些原因非常重要。ISO 26262的第5部分定义了常见的硬件故障模式。针对这些传统故障的安全机制已经针对 ADAS/AD 实施,但对于安全的车辆来说还不够。系统的硬件指标可以通过遵循半导体安全手册中描述的参数来实现。除了现有的安全措施外,还应根据ISO/PAS 21448 (SOTIF) 制定和解决SOTIF措施,以改进技术缺陷以提高标称性能。
仅拥有传感器冗余是不够的;从传感器到执行器的整个系统必须以故障运行方式进行设计。
为了在每种驾驶情况和所有天气条件下保持故障运行,有必要彻底研究传感器的特性和局限性。仅仅考虑传感器和自动驾驶功能之间映射的视场特性是不够的,因为还有其他外部因素,如天气条件和基础设施,可能会对传感器的性能产生负面影响。在这种情况下,系统不再处于故障运行状态,除非系统设计已经考虑了这些外部因素,并且系统在这些情况下存在冗余。SOTIF的目标是尽量减少这种未知的情况,并将任何负面影响减少到可接受的水平。
收集传感器数据后,应在高性能域电子控制单元内对数据进行计算和分析。配备多核处理器的传统ECU的处理能力和内存不足以进行SAE 3级以上的ADAS/AD功能计算,这是由于来自各种复杂传感器的大量数据,也是机器学习算法的原因。为了执行全自动驾驶汽车的计算,高性能芯片是必要的,市场上已经有一些高性能ECU。AD Domain ECU由一个高性能芯片和一个传统的安全多核处理器组成。通常,高性能芯片用于处理复杂的传感器数据以及执行复杂的感知和解码算法。传统的多核处理器用于根据来自高性能芯片的信息来控制执行器。这项研究在下面的文本中说明了一种可能的故障运行硬件安全架构,具体取决于用例。域ECU的故障运行安全配置取决于可用性要求,即在SAE 3级的驾驶员交互下,保持系统故障运行时间仅短的要求,与确保系统不同,在整个驾驶周期内,驾驶员在SAE 4级和5级时均可失效运行。
如前所述,在SAE 3级,如果系统提示驾驶员,他应该能够控制车辆。对于SAE 4级和5级,如果发生系统故障,全自动驾驶车辆必须能够达到安全状态。因此,SAE级别为0-3的车辆的系统回退概念SAE级别为4和5级的车辆的回退概念不同。SAE 4级和5级的车辆必须配备故障运行冗余系统,这些系统可用作后备系统。对于这些系统,由于可靠性和可用性要求,至少需要有一个2oo2D硬件安全架构,或者更好的是,有一个2oo3硬件安全架构,即三重模块化。
重要的是,来自各种传感器的信息必须独立处理。
高性能芯片以冗余方式计算功能,并向多核处理器/安全芯片提供两个独立的信号。
发送到安全芯片的信息信号必须通过冗余安全通信进行传输,不得有任何损坏。
多数选择在两个不同的内核上并行执行。
高性能芯片、安全芯片的各个内核和性能芯片的不同通道必须提供冗余电源电压。
看门狗必须监控各个芯片,以检测它们是否运行正常。
传感器还受到 ISO/PAS 21448 第7条 (SOTIF) 的传感器特性(如EMC干扰、精度等)的监控。然后,使用正确的传感器数据在不同的 GPU 中冗余地实施传感器融合,以便检测和分类对象。接下来,进行行为预测,找出道路上每个物体的意图。在以下步骤中,路径规划是使用不同的信息独立完成的。决策过程要么在高性能芯片中执行,要么在安全处理器中执行。由于冗余有限,此体系结构仅适用于SAE 3级以下。如果电源芯片发生故障,多核安全芯片仅用作电源芯片重要安全关键功能的后备功能。新的多核处理器还具有雷达接口,因此这些功能可用于冗余,从而在电源芯片发生故障时将车辆置于安全状态。
如果传感器或电子控制单元不再是冗余的,或者一般来说,从传感器到执行器的处理链路径不再是冗余的,那么车辆必须处于安全状态。或者,可以通过仅使用一条路径的持续程序来评估和检查冗余故障的原因,以便在特定条件下(例如速度限制、受限环境等)实现进一步的驾驶可用性。
在这一点上,出现了一个问题,即哪种安全架构最合适,或者哪种安全架构在特定条件下更合适。这些问题的答案取决于系统的要求。在选择合适的安全架构时,还有许多其他因素需要考虑,包括用例、成本等。该决定在很大程度上取决于如何定义车辆的项目定义和用例。车辆是否仅在白天而不是在夜间运行,或者仅在天气好的情况下而不是在雨雪中运行,当然,车辆是否仅在限制区域运行,还是在高速公路上或在乘客众多的城市环境中运行,这肯定是有区别的。到目前为止,汽车行业在这些问题上一直以成本为导向。然而,应该改度,特别是对于完全自动驾驶的汽车,以便这些车辆可以以更安全的方式设计,以在每种驾驶情况下实现最小的风险条件,提高可用性,并获得客户对完全自动驾驶车辆的接受。
功能安全(SIL/ASIL)证书评估授权人功能安全工程师资质课程授权讲师&功能安全专家ASPICE Competent Assessor国家注册审核员中国工业过程测量控制和自动化标准化技术委员会中国功能安全分技术委员会委员国家功能安全标准GB/T20438起草工作组专家成员“TÜV功能安全工程师”课程组织推广领军者
电话:13402122657
微信:zhengwei_SIL
邮箱:Anzheng@tuv-nord.com
关于TÜV北德
功能安全工程师、网络(信息)安全工程师培训
TÜV北德功能安全工程师、网络(信息)安全工程师培训享有卓越的国际知名度。该项培训是专门针对功能安全及网络(信息)安全领域从业人员(如过程控制,机械安全,轨道交通,汽车安全等行业)举办的专业性技术培训。覆盖IEC61508、IEC61511、ISO26262、IEC62061、ISO13849等多行业功能安全要求,IEC62443、ISO21434等多行业网络(信息)安全要求。
TÜV北德功能安全、网络(信息)安全系列培训旨在培养专业人员及其在功能安全、网络(信息)安全方面的相关知识和实际能力;为企业在人员安全方面的专业化提供完整的解决方案;助力企业与国际功能安全和网络(信息)安全技术接轨。培训考试要求学员需具备功能安全、网络(信息)安全领域的项目技术经验,并具备实际的项目处理能力。
2025年,年度计划的TÜV北德功能安全工程师、汽车功能安全经理、网络(信息)安全工程师培训将按计划继续举办,欢迎提前报名享受优惠价格,并优先提前获得教材。
TÜV北德功能安全与网络(信息)安全服务
主要从事涉及功能安全与网络(信息)安全服务的认证、评估、培训等领域。目前,TÜV北德大中华区的功能安全与网络(信息)安全服务认证服务内容主要包括:功能安全与网络(信息)安全培训、项目技术评估、功能安全与网络(信息)安全、功能安全与网络(信息)安全管理体系认证、功能安全专家认证等业务。
TÜV北德的功能安全与网络(信息)安全服务
遍布各行各业,包括航空航天、轨道交通、汽车电子、核电仪控系统、过程自动化安全仪表系统(SIS)、阀门、执行器、工业机器、电梯扶梯、智能电网等。
TÜV北德功能安全与网络(信息)安全服务方面的专家曾参与OPEN Alliance 技术联盟、NA 052 DIN汽车工程标准委员会、ISO/TC 22/SC 33工作组、FlexRay Consortium车载网络标准、AutoSAR、SAE International、SOTIF等标委会或技术组织,曾多次参与IEC61508、ISO26262、IEC62061、ISO13849、IEC62443、ISO21434、ISO21448等功能安全与网络(信息)安全国际标准的编写工作,具有安全相关系统的多年研发经验和对标准的精确理解。各领域的知名企业均选择了TÜV北德作为合作伙伴,并且对TÜV北德的专业及负责给予了高度评价。
10个月宝宝每天需要喝多少奶粉?
