未來自動駕駛系統功能安全模型拆解分析
關注 2021年2月22日 16:02 瀏覽:2770 評論:1
1)L3級交通擁堵自動駕駛系統TJP: 該系統要求具有駕駛執照的警惕常規駕駛員,僅在結構上分開的道路上行駛,與其他道路相比,行人或騎自行車的人通常更少,最高時速60 km / h,需要有前導車輛,沒有變道,沒有建筑工地,僅在白天,沒有雨,溫度高于冰點。
2)L3級高速路自動駕駛系統HWP: 具有駕駛執照的警惕常規駕駛員,僅在結構隔離的道路上行駛,最大速度為130 km / h,無需前導車輛,變道,建筑工地,晚上在白天,適度降雨和下雪。
3)L4城市自動駕駛系統(UCS): 無警惕的常規駕駛員,無能力駕駛,無需駕駛執照,最高時速70 km / h,帶安全駕駛員的大型ODD,無安全駕駛員的有限ODD,必要時允許遙距操作。
4)L4自動代客停車系統(AVPS): 供車輛客戶和車隊操作選件,在經認證的停車結構或區域內進行無人駕駛運動(無需保持警惕的常規駕駛員,無需駕駛執照),最大時速10 km / h,ODD專注于街邊停車位和后勤區,可擴展使用基礎設施(基礎設施不是強制性的,但可以遠程操作)。
與駕駛過程相比,自動駕駛可以在大多數情況下提高性能。但是,它不能完全消除事故或崩潰的風險。避免不合理的風險的主要措施是主張可接受的安全水平。其證據是基于前攝性和反應性駕駛行為的應用,在合理可行的情況下盡可能“避免”實際發生的撞車事故,以及避免與道路使用者相關的特征風險。這些判斷通常基于定性和定量評估的結合,以及對良好工程實踐和現有標準的理解。可以說,采用現有標準和最新技術將使得產品更安全。
積極的風險平衡是可接受的安全水平的一個主要指標。 可以從交通事故統計數據中得出用于建立正向風險平衡的證據,以定義可接受的標準。重要的是,驗證目標值必須基于預期目標市場的保守交通事故統計數據,涵蓋交通繁忙和挑戰通場景。不同的驗證目標值可能適用于不同的市場。從長遠來看,最先進的自動駕駛系統將反映在交通事故統計中,并將不斷提高新的自動駕駛系統的驗證目標值。
本文的目標是提出一種解決自動車輛帶來的風險的通用方法。 此通用方法可以作為安全自動駕駛的基準,但不包含完整且安全的特定產品。預期功能的安全性,功能安全性和網絡安全性如何一起工作,以及如何將它們組合在一起以創建一個可靠的系統。
自動駕駛系統具有一組基本的系統屬性,此處將這些屬性指定為功能。這些功能分為故障安全功能(FS)和故障降級功能(FD)。故障安全功能可提供并實現客戶價值,但是它們還可以使系統在發生故障時達到最小風險狀態。故障安全功能可能會中斷,因為其不可用時的安全相關性較低,也可能被故障降級功能所覆蓋。
在系統正常運行期間,可以使用機器人技術和自動駕駛控制中經典的軟件架構 — “感知-規劃-決策執行”設計范式來理解系統運行。在此模型中,感測、規劃、控制以及制動和穩定性執行策略為自動駕駛系統提供了與實現無關的一般視圖。如下圖展示了這種常用模型:
該模型中顯示的感知端詳細闡述了包含如下幾個分類信息:
2)環境感知傳感器:Radar、Camera、Lidar等;
4)車輛狀態:車身信息(如速度、加速度、橫擺率、轉向角等);
基于自動駕駛系統功能對感知,規劃和決策的基本功能分配,可以為自動駕駛車輛合理安全且與要素分配相關功能安全需求,如下圖所示。
基于如上圖所示實現的功能降級能力模型,我們可以進一步實現自動駕駛功能目標分解,以便從系統層面上對自動駕駛進行相關安全分析。
該系統能夠確定其相對于ODD的位置。車輛能夠確定它是否在特定于位置的ODD之內或之外。根據項目定義,可能需要確定ODD的確切位置,該位置包括感知的相關鄰近信息。
位置信息可用于選擇正確的車道(例如進行轉彎)或知道適用哪些當地交通規則。除此之外,如果自動駕駛系統的預期用途受到限制,則確保自動駕駛系統僅在指定的系統限制內運行。因此,重要的是要使用來自傳感器融合算法的環境信息來充分定位自動駕駛車輛。為了實現適當的定位,可能需要在定位范圍上,利用自動駕駛車載感知性能之外的其他先驗信息進行補充(例如,通過地圖信息,將檢測到的事件引用到唯一的坐標系中)。此外,充分考慮來自自車的信息,以預測自動駕駛汽車是否將超過ODD限制,這也是激活自動駕駛系統的前提條件,可以防止駕駛員濫用ODD之外的自動駕駛系統。
自動駕駛系統需要其功能行為的所有實體都可以被感知,并在預處理后提供正確且有效的信息。分析功能安全的最高優先級放在具有相關碰撞風險的實體上,樣本實體包括動態對象(例如其他道路用戶和相應運動的特征),靜態實例(例如道路邊界,交通指引和通信信號)和障礙物。
相關環境模型由預測的未來狀態進行擴展,目的是創建環境預測,解釋相關對象的意圖,以便形成預測未來運動的基礎。
FS_2輸出的當前世界模型可能不足以作為安全合法地制定FS_4的輸入。因為它不僅反映當前世界模型而且還反映預測未來狀態的世界模型,以便生成對動態駕駛情況或“場景”的完整描述。還應該考慮到其他動態物體和障礙物的意圖,包括那些被部分遮擋的物體和障礙物,作為預測未來運動的基礎。此外,目前的環境條件(例如低路面摩擦和降低的傳感器性能(例如,霧,薄霧,大雨))也已納入預測范圍。根據項目定義,甚至V2X都可以用于獲取有關周圍物體的信息(例如代客停車系統)。
為確保無碰撞和合法的駕駛政策,功能安全分析中需要考慮遵守以下規定:
- 無論何時何地,在自動駕駛車輛行駛時均遵守所有適用的交通規則;
- 考慮可能的遮擋物體、其他道路使用者或動物的潛在區域;
- 如果可以避免撞車而又不危及其他道路使用者,則必要時可能會違反交通規則,以免造成傷害或挽救生命;
- 考慮其他道路使用者和自動駕駛汽車的不足和不確定性。
根據行駛計劃生成用于橫向和縱向控制的相應驅動信號。一旦駕駛計劃創建了無碰撞且合法的駕駛計劃,運動控制和運動執行器也可以考慮當前的自我運動情況,以將驅動計劃元素的軌跡轉換為車輛運動執行器的物理運動(例如,轉向,制動或動力總成)
對于與安全相關的用例以及設置的設計運行范圍ODD,自動駕駛汽車會與其他道路使用者進行通信和交互。自動駕駛車輛以可預測的方式(例如,在沒有提前啟用轉向指示器的情況下不改變車道,在接近車道合并點前進行有效的并道)進行自主駕駛。與手動駕駛相似,通訊方式包括視覺指示器,有時還包括聲音指示器。V2X或其他類型的交互也可以是一種通信方式。
自動駕駛系統的任何元素,可能單獨或與其他元素組合,都會導致不良行為。因此,可以通過適當的機制來檢測系統的不良標稱性能或違反ODD條件的情況。同時涵蓋了對檢測到的不良行為將如何反應。影響標稱性能的典型因素表示如下:
當降級因素與安全性沒有直接關系時,系統可能具備恢復到標稱性能的能力。實現所有的標稱性能要素是必要的,但也不足以確保系統安全運行。這就需要有足夠的監視器來檢測元素或系統級別上定義的性能極限,并有足夠的時間來確保安全的反應。
根據SAE J3016:2018的自動化級別和用例定義,駕駛員的控制級別會有所不同,因此可以確保駕駛員對車輛的可控性。駕駛員的角色取決于自動駕駛系統的預期SAE水平。在SAE L3自動駕駛系統中,駕駛員可以將注意力從駕駛任務上移開。在這種情況下,系統負責維持車輛控制,以允許駕駛員進行重新調整,以便可以專注于駕駛任務,并在迫切需要系統接管請求時重新獲得態勢感知能力。因此,自動駕駛系統需要連續監視駕駛員是否可能分心或模式混亂。
同時,對于裝有SAE L4自動駕駛系統和手動駕駛模式的車輛,還需要監視可能的模式混亂。在沒有手動駕駛模式的情況下,SAE L4自動駕駛系統中駕駛員的可控制性可能受限于用戶在使用緊急停車功能時執行器的能力,識別到危險或意識到ODD邊界時導致的退出。當系統在進行遠程控制時,駕駛員可以是所討論車輛的所有外部實體。為了確保本地或遠程駕駛員的可控性,ADS模式管理器感測到車輛駕駛員(傳統駕駛員或遠程駕駛員)希望控制車輛時需要對此做出反應。這個過程說明駕駛員對車輛的操作應該是最高優先級別。
確保檢測到故障降級能力可能不可用,如果降級后的風險減緩策略取決于導致降級的原因,則需要首先確定降級原因。
正確執行駕駛模式轉換,并在必要時由相應的車輛駕駛員進行接管控制。重要的是,參與的駕駛員應了解當前的駕駛模式以及由此產生的責任。例如,僅當在ODD內時才允許激活自動駕駛模式。車輛操作員再次控制或濫用該系統后將其停用,它將在離開ODD之前停用。
安全模式轉換由ADS模式管理器執行,該管理器收集決定是否更改模式所需的所有必要信息。這包括來自監視器的有關電氣、電子和軟件故障,性能問題、車輛和車輛操作員狀態的信息。收集所有必要信息之后的第二步是在模式之間進行安全切換。僅當自動駕駛系統檢測到駕駛員重新回到控制車輛控制功能的回路中時,亦或者車輛處于安全狀態時,才允許停用ADS。
由于可能沒有可用的標稱性功能和其他故障(例如基于硬件故障),因此在規定的時間內降低系統性能非常重要。
如上圖定義了系統對標稱性能不足的反應,即使發生故障,系統也可以正常反應。該任務由ADS模式管理器執行。它由監視器觸發,并為相應的觸發器啟動定義反應效果。根據故障的嚴重程度,這可能會影響幾個要素或幾乎影響整個自動駕駛系統。總而言之,一項艱巨的任務是決定要選擇哪種降級以及可能發生的所有不同故障的組合。
該安全分析定義了在故障降級模式下發生故障時的反應。
如上圖通過由ADS模式管理器和其他輸入(可能包含降級的約束,例如,減小的感知范圍)確定的目標MRC給出的結果,駕駛規劃能夠生成無沖突且合法的車輛運動,從而以減少的系統實現相應的MRC 性能。降低的系統性能能力涵蓋從自動駕駛系統某些功能喪失到要求安全停止自動駕駛的需求。同時,它還包括有關通過人機交互HMI執行模式更改的駕駛員信息(如接管請求)。這里要說明的是,導致舒適度降低的故障不包括在范圍內。
具有ODD功能適應性的自動駕駛系統操作可以作為具有較多限制的標稱性功能而駕駛員被激活,期間可以根據不同的駕駛場景進行多種功能適配。也可以定義了新的限制條件,以調整功能安全。如果合適,安全的功能調整可以是具有確定時間范圍的永久操作,以進行其他所需的駕駛反應。
下表中的選擇矩陣是一個用于演示派生功能的完整性狀態描述,可以為自動駕駛過程提供可追溯性的分析證據,且此類表格需要針對具體的開發項目進行調整。
如下表所示,安全評估的原則可追溯到所有功能,這源自對產品開發中負責提供必要的預期,并通過進行驗證和能力確認提供證據,然后由評估小組進行審查,從而開發出用于驗證自動駕駛系統方法的全部邏輯和原理。
最小風險操作(MRM)是系統在最小風險條件(MRC)之間轉換車輛的能力, MRM是到達MRC的緊急操作。MRC和MRM的概念是在考慮車輛安全性的基礎上得出的,并根據ISO 26262系列的原則定義為在發生故障的情況下風險等級可承受的工作模式。其擴展的定義中還包括故障降級模式和車輛操作員的接管過程。最終MRC指的是允許完全停用自動駕駛系統的條件狀態,例如,車輛停頓或駕駛員已接管駕駛。如下圖展示了這一原理。
MRM的目的是將車輛轉移到最低風險狀態,由于自動化系統的復雜性和影響風險的條件,可以連續進行多個MRC和MRM。當并非所有故障安全功能都可用時,系統將處于故障降級模式,而其余的故障降級功能將通過適當的最小風險策略操作達到最小風險條件。
故障降級模式是一個有時間限制的操作域,在該域中,需要盡可能降低其發生頻率。故障降級模式的可接受時間取決于當前系統中的剩余功能。功能安全分析的概念是盡可能的減少可能造成傷害的頻率,以保證降低自動駕駛系統所需的安全完整性等級。下表定義了MRM允許安全過渡的條件。
使用下表中的MRM列表,潛在故障模式反映在整個系統中。重要的是應用相關安全標準中的幾種分析方法(例如FMEA或FTA之類的故障分析技術,針對系統的預期用途及其濫用的分析)。此類分析措施可以為每個組件定義所有所需的安全狀態,并表征這些安全狀態如何啟用集成系統的MRC和MRM。
ADS模式管理器完成了在手動和不同自動駕駛模式之間安全切換的任務。為了激活自動駕駛模式,需要獲得所有信息來檢查是否滿足所有先決條件,例如ODD(例如,自動駕駛汽車是否處于正確的道路類型上,請檢查天氣狀況)。所需信息可以從后端傳輸到車輛,可以直接進行測量,計算或從統計中得出。
有很多原因要求停用自動駕駛系統。這些包括來自車輛操作員或監視器的請求,或由于無法使用ODD或監視器而導致的請求。如果感覺到這類請求或原因,則可以作為相關的MRC為目標。可以基于車輛狀態、用戶狀態、監視器來記錄改變駕駛模式的原因。例如,由車輛狀態引起的停用請求可以是燃油表,輪胎壓力或其他車輛系統。由用戶狀態引起的示例包括安全帶狀態或車輛操作員注意。根據來自一個或多個監視器的信息,ADS模式管理器決定是啟動ODD功能適配還是發出MRM到達MRC。但是,這些示例與特定的帶驅動系統密切相關。
檢查自動駕駛車輛是在ODD內還是在ODD之外是一項復雜的任務,因為ODD定義涵蓋了廣泛的要求。能夠感知所有這些因素對于激活和停用至關重要。下表列出了錯誤檢測時可能發生的所有錯誤類型組合:
ODD檢測結果中只有假陽性組合與安全有關,即當實際上車輛在ODD內,而錯誤的檢測到在外時,只會導致錯誤的停用系統,但這個過程是安全的。反之,ODD之外的自動駕駛操作的行為和后果不夠安全,因為既未對其進行設計也未對其進行驗證。因此,關鍵的設計要素是要采取適當的安全措施,以確保安全地檢測ODD區域和限制。
本文設計自動駕駛的一般方法是基于其功能安全性的原理。它們來自上述正風險平衡和避免不合理風險的考慮。這些原則為得出總體基線要求和各種自動駕駛功能所需的活動提供了基礎。自動駕駛的功能安全性和網絡安全性原則分為三類,每組都有一個共同的共同影響領域。
第一組名為“自動車輛及相關方面”,是針對車輛層面的總體方面,包括自動駕駛系統和人為因素。但是,這些方面對于實現整體安全和網絡安全至關重要。這涵蓋了技術功能以及與過程相關的方面。
第二組名為“自動駕駛系統”的原理側重于系統的主要技術方面。這些原則構成了與自動駕駛系統本身的安全和網絡安全有關的功能。
第三類被稱為“人為因素”,涉及ADS和用戶之間所有安全交互方面。這包括用戶角色,用戶與ADS之間的角色明確劃分以及雙向接管方案。
本文旨在重點介紹與開發、生產、操作和維護自動駕駛系統相關的功能安全和網絡安全方面,這些方面的結合可為道路上的安全產品提供支持。提出的策略為自動駕駛汽車的功能安全設計和網絡安全設計奠定了基礎。
技術鄰APP工程師 必備
