SAE 3 级和 4 级功能的安全目标,例如纵向控制、横向控制和碰撞避免,通常根据相关场景归类为 ASIL D。为了实现 ASIL D 安全目标,必须在 ASIL D 中实施从感知环境和交通参与者到决策的 AD 处理链。ASIL认证安全目标会影响整个 ADAS/AD 处理链。
这意味着对环境的传感、感知、路径规划、决策和执行器的控制也必须在ASIL D中得到开发。
为了满足这一要求,ADAS/AD处理链必须在ASIL D中实现。例如,ADAS/AD功能应正确检测和表征交通参与者和环境,包括静态和动态物体。
为了满足这一要求,算法和相应的硬件也必须在ASIL D中开发。但是,从传感器到实现ADAS/AD算法的高性能芯片(图形处理器)的硬件不足以实现ASIL D。这就是为什么必须使用分解来实现 ADAS/AD 系统的 ASIL D 安全目标,但与传统系统相比,使用分解会给 ADAS/AD 系统带来一些额外的挑战。
这种方法展示了如何将分解用于ADAS/AD系统,它基于在足够独立的硬件元件(即高性能芯片)中执行的算法。独立通道使用独立的传感器元件,因为市场上没有具有ASIL D等级的传感器。在分解过程中,重要的是为每个分解路径独立实现最小风险条件。对于常规系统,最小风险条件是故障安全,这意味着系统被停用,以便车辆进入故障安全状态。对于 ADAS/AD 系统,实现故障运行状态非常重要。如果一个分解路径发生故障,则使用第二个分解路径将系统切换到冗余路径。然后,这条冗余路径负责进一步的安全驾驶,或用于将车辆降至最低风险条件。
并不总是可以使用不同的冗余传感器,因为例如,来自摄像头、雷达和激光雷达的传感器数据通常是在传感器融合中收集的,用于感知。还有一些其他的经济和技术限制,使得无法获得完全独立的传感器数据。来自摄像头、雷达和激光雷达的所有传感器数据通常被感知用来检测静态和动态物体。如果目标是按照 ISO 26262 的要求拥有完全独立的分解路径,则必须对每个传感器进行两次集成。但是,如果由于成本原因而不适用,则应以功能方式证明传感器的独立性。因此,建议使用来自摄像头、雷达和激光雷达的相同传感器数据进行分解路径,但方式不同。规则是,如果发生故障,系统在特定的分解路径上保持安全。例如,当相机数据被用作感知的主要信息时,雷达和激光雷达数据被用作其他分解路径的主要感知信息。
此外,如果相同的传感器数据用于不同的分解路径,那么证明这些路径的充分独立性非常重要,ISO 26262也要求证明这些路径的充分独立性。相关失效分析在此证明中起着重要作用。
10个月宝宝每天需要喝多少奶粉?
