汽车自动驾驶的概念诞生于100年前,自动驾驶的愿景是在未来减少交通事故,减轻驾驶员的压力,提高道路使用者的工作效率。然而,随着自动化程度的提高,汽车电子设备和软件的复杂性也在不断增加,这给道路使用者的安全带来了挑战。有条件自动驾驶(L3)是自动驾驶的第一阶段,自动驾驶系统能够在特定条件下执行完整的动态驾驶任务(DDT);但是,当系统达到设计极限时,驾驶员必须做好重新控制车辆的准备。在某些情况下,当驾驶员可能无法响应后备接管请求时,系统应期望执行安全操作,这被称为 “最小风险操作”(MRM)。在关键操作条件下定义MRM的功能安全概念(FSC)是一项非常重要且具有挑战性的工作。SAE L3级有条件自动驾驶的设计目的是在规定的 ODD 条件下执行包括 OEDR 在内的整个 DDT。但是,如果自动驾驶条件无法继续,驾驶员应保持注意力集中,以响应用户的接管请求。L3 系统应能在自动驾驶状态结束前提供接管请求。与 L2 系统不同,L3 系统通常提供足够的接管时间,因为它设计有独立/冗余系统,可确保自动驾驶系统即使出现某些故障也能继续运行。如果驾驶员在特定时间内未响应接管请求,L3 自动驾驶(AD)系统应自行达到最小风险条件,执行安全操作,使车辆停在路边或同一车道上,这种操作称为 “最小风险操作”。为了最大限度地降低 MRM 操作中的风险,确保 L3 系统安全,在开发过程中必须实施依据ISO 26262的功能安全和依据ISO/PAS 21448的预期功能安全 SOTIF。L3 自动驾驶AD的主要功能是高速公路巡航/高速公路自驾系统,该系统在摄像头、雷达、激光雷达等ADAS传感器融合系统的支持下,完全控制车辆在受限环境中的横向和纵向动态行为,包括周围视野监控(OEDR)。自动变道辅助系统(ALCA)是另一项重要的 L3 功能,当自车辆追尾慢速行驶的车辆,或当导航系统指示的路线建议自车辆在高速公路上匝道/下匝道等情况下进入和离开道路时,自动驾驶辅助系统可在无需驾驶员干预的情况下自动切换车道。其他一些辅助驾驶支持功能不属于 L3 级别,但可协助 MRM 功能完成 DDT 和安全停车。它们是:为了在整个 AD 运行过程中执行 DDT,功能安全强烈建议为Ego车辆配备冗余的车辆动态控制器,如冗余的制动、转向和 ADAS 控制器。此外,这些控制器在设计上必须具有足够的独立性,以避免常见故障(例如:冗余电源、用于轨迹规划的独立传感器等)。实际上,这些冗余系统应在大部分驱动周期内处于被动模式,只有在主控系统出现故障时才会启动运行。因此,第 2 个 AD 系统应称为后备控制系统。后备系统在不降低自动驾驶功能(包括变道)的情况下执行故障操作性能。但在一些最坏的情况下,如多个传感器因损坏或环境条件而失效,自动驾驶系统也应准备执行故障降级或故障安全操作。冗余可通过在主控制系统中提供主路径和次路径来实现,以独立规划和验证轨迹。如果这些路径由于共同的输入故障而失效,则后备系统将接管自动驾驶系统AD的运行,以实现最小风险条件(MRC)。具有多样化冗余的自动驾驶系统结构如图 1 所示。ISO 26262 中没有涉及在电子/电气系统未发生故障的情况下发生的危险。这类问题可能会在特定环境条件下或驾驶员误用功能时出现。ISO/PAS 21448标准主要针对系统负责监控环境条件的自动驾驶场景而制定。SOTIF 主要涉及两类可能导致潜在危险的事件,即触发事件。第一类触发事件涉及恶劣天气条件导致的传感器限制,以及自动驾驶系统在危急情况下进行轨迹规划时的算法限制。第二类是可预见的驾驶员误操作,即在车辆运行时将手移开方向盘或解开安全带/打开车门。在考虑功能安全的同时,强烈建议将 SOTIF 应用于 L3 及以上级别的 AD 系统。因此,MRM 功能显然属于L3操作,需要考虑 ISO/PAS 21448 中定义的 SOTIF 实践。最小风险操作(MRM)是 L3 AD 系统的一项功能,当驾驶员对接管请求无响应或车辆系统发生严重故障时,它将执行完整的驾驶任务并使车辆安全停止。MRM 在一定时间内(MRM 通常在一分钟左右运行,但实际时间根据各原始设备制造商的要求而有所不同)运行车辆,在这段时间内,MRM 应根据可用手段和环境条件控制车辆运行。如果驾驶员在 MRM 运行过程中进行干预,MRM 将停止运行并返回手动操作。如图 1 所示,AD自动驾驶系统由主路径和次路径组成。在 MRM 运行和不运行期间,辅助驾驶路径应始终创建安全轨迹,并在 AD 模式下与主路径进行交叉验证。当出现 MRM 情况时,次要路径轨迹将被视为路径选择,如果主路径处于运行状态,则次要路径轨迹应与主路径进行交叉验证。如果整个主 ECU 系统发生故障,后备 ECU 将负责执行 MRM 操作并使车辆安全停止。除了一些严重故障外,MRM 的触发条件通常是 AD 模式结束,即 ODD 退出或驾驶员没有响应接管请求。MRM 功能又分为两种Use Case。它们是:当驾驶员无法响应 MRM 接管请求时,以下列出的是主要或更高优先级的 MRM 触发条件:已定义的 MRM 触发事件是 MRM 激活的常见因素。此外,根据不同制造商的设计要求,还可能有一些额外的事件会触发 MRM。还有不同类型/阶段的组件故障会触发 MRM 功能,但没有详细列出。MRM 功能和运行可用性水平应根据组件故障类型而有所不同。MRM 运行章节中定义了 MRM 类型的概述。图2. 解释了 MRM 功能所涉及的触发事件流程图,以及如何针对每种类型的事件更改警告。当 AD 系统驱动车辆时,MRM 功能将处于被动模式。自动驾驶AD系统应设计为在特定环境条件下运行。根据所需的道路类型、可用车道、道路标志、道路质量、驾驶时间等来确定 ODD 区域,这主要由高清地图输入来支持,以确定 AD 驾驶区域。当车辆接近 ODD 出口时,AD 系统有责任在 ODD 出口条件之前提供图 3 所示的不同阶段的警告。如果驾驶员在规定时间内未做出反应,则 MRM 功能将被激活,并接管 AD 系统的驾驶责任。关于自动变送器的风险量化,de Gelder 等人提出了一种相关的方法。他们按照 ISO 26262 标准,将与情景类别相关的风险建模为暴露、严重性和可控性概率分布预期值的乘积。在他们的案例研究中,情景类别的暴露程度是通过让有经验的人类驾驶员按照规定路线行驶而获得的真实世界数据估算出来的,而严重程度和可控性的预期值则是通过模拟估算出来的。关于 ISO 21448,他们在模拟中加入了两个触发条件,但没有考虑其发生概率。尽管情景等级的暴露不可能独立于 ADS,其可控性建模和模拟的有效性也值得商榷,但目前的工作受到了为 SOTIF 建立严格的定量风险模型这一想法的启发。图3 在一个触发条件下启动 MRM 并达到安全停机的说明在 ODD 条件下,也会出现驾驶员故意躲避系统警告的情况。驾驶员监控摄像头(DMS)安装在转向柱上,可持续监控驾驶员在驾驶过程中的行为。当驾驶员在 AD 模式下睡觉或进行其他活动(如使用手机或看书)时,系统应发出警告,提醒驾驶员做好随时接管的准备。当驾驶员未对警告做出反应时,系统将启动 MRM 功能。在某些情况下,当车辆在 ODD 条件下以 AD 模式运行时,可能会出现一个或多个严重系统故障,例如由于各种原因或环境条件导致执行器或电源或传感装置故障。MRM 运行的定义是,从 MRM 发出请求开始让车辆安全停止的车辆操作。MRM 运行应根据触发 MRM 的事件类型而有所不同。如图 4 所示,MRM 大致分为两种类型。它们是:正常 MRM 的定义是,在确认未发现系统故障的情况下,为使车辆安全停止而执行的操作。正常 MRM 激活条件的常见用例大多为 ODD 出口和驾驶员不注意警告或驾驶员误操作的情况。在这种情况下,由于系统完全正常运行,且 MRM 在 ODD 内被激活,因此始终允许变道。但变道的决定在很大程度上取决于道路交通情况和紧急车道停车位的可用性。在传感系统和高清地图的支持下,正常的 MRM 功能应能使车辆安全停止。正常的MRM运行过程应非常平稳,使车内人员在减速和变道过程中不会感到任何不适。根据规定,在没有其他交通参与者或道路物体造成紧急的碰撞风险的情况下,正常 MRM 运行的最大减速限制为 4 m/s2。如果起始速度超过 xx kph,则无论起始速度如何,运行车速均应降至一定水平(最好为 xx kph,这取决于制造商的要求)。危险警告灯应在功能启动时亮起,并在安全停车后继续亮起。正常的 MRM 应设定一定的时间限制(xx 毫秒),预计该功能可以识别安全停车并将车辆驶向路肩。如果在功能操作时限内没有应急车道可用,则车辆应停在同一车道上。关于 MRM 期间在同一车道停车的定义较多,因为即使在同一车道停车,也需要确保最低程度的安全。(例如:在路口或盲弯处停车并不可取)。正常 MRM 功能会考虑所有条件,生成横向和纵向的安全轨迹,并以优化方式使车辆安全停止。紧急 MRM 的定义是,当系统发生故障,影响到传感装置或驾驶执行器的完全可用性时,为使车辆安全停止而执行的操作。触发紧急MRM的潜在故障包括 ESC 故障、EPS 故障、任何视觉系统或雷达系统故障或任何这些多点故障。在某些故障条件下,紧急 MRM 无法确保变道操作和平稳停车。在侧向控制系统失效时,紧急 MRM 的最大减速度应大于 4m/s2。但是,当制动系统发生故障时,MRM 功能应能通过其他方式(如电动助力系统或自动驻车制动器)实现纵向控制。在这种情况下,减速水平可以小于 4m/s2,因为只能用其他方式提供部分减速支持。当视觉或雷达系统发生故障,或环境条件(如无车道/恶劣天气条件)影响到任何传感器的功能时,预计紧急 MRM 的性能会下降,可根据其他传感器手段做出融合决策。由于在执行紧急 MRM 时系统或组件会出现故障,因此不允许变换车道,预计车辆应尽快安全地停在同一车道上。除非不满足在同一车道停车的条件,否则操作不应持续到整个时限。在这两种 MRM 条件下,当驾驶员试图接管车辆时,对车辆的控制将退出并恢复为手动控制模式。这应适用于功能启动前或执行过程中的任何时候。对于控制横向和纵向运动的功能,推导功能安全方面始终具有挑战性。最小风险操作是一项功能,它不仅支持在车辆动力学上支持驾驶员,而且还自行控制整个 DDT。ISO 26262 系列标准为功能安全实施和管理提供了完整的解决方案。本章将针对 MRM 的某些安全工作导出框架进行解释。HARA 是任何功能安全项目都必须执行的最重要活动之一。该活动通过对不同条件进行定量和定性分析,决定整个项目的汽车安全完整性级别(ASIL)。在进行分析之前,需要对 MRM 功能的所有可能假设和功能限制进行完整的定义。在某种程度上,在对 MRM 进行 HARA 分析之前,也可以考虑 SOTIF 情景,并更新项目定义中的结果,因为该文件将是 HARA 分析的前提条件。分析暴露情况是为了根据这些信息定义所需的 ODD 条件,并支持在风险评估期间评估暴露等级。HARA 通常分为三种不同的活动,它们是:危害识别是 HARA 流程的首要活动。它通过对已知的功能故障和故障导致的潜在危害进行头脑风暴来完成,称为功能危害分析(FHA)。识别危害的方法还有很多,但建议根据组织的便利性使用最常用的方法。MRM 功能在其功能限制范围内可能会导致许多危害。可以使用 FHA 分析和简单的头脑风暴技术来识别这些危害。在对不同的 MRM 功能进行 FHA 分析时,选择适当的关键词也很重要,因为它决定了危害的严重程度。在定义功能时,还需要对功能做出必要的假设。表 1 提供了使用引导词进行 FHA 分析的示例。表1 示例功能:当即将发生碰撞的危险时,将车辆减速到所需水平FHA方法识别出在MRM操作过程中可能出现的潜在危险。为了确定危险的强度,需要进行风险评估。换句话说,风险评估是通过定义适当的暴露度、严重度和可控性来量化危险事件。在MRM情况下,暴露度(E1-E4)是根据相关的ODD条件定义的,其中功能被设计为在执行驾驶操作的情况下运行。由于特定的地理围栏区域被识别为ODD,并且大多数条件自动化驾驶是由主AD系统执行的,因此MRM功能通常被评为“E2”。第二步是根据危险事件的后果定义严重度(S1-S3)。大多数情况下,由于该功能完全自动化,且在操作过程中不期望驾驶员干预,因此无法合理化可控度(C1-C3)。选择正确的S. E. C参数的定义在ISO 26262第3部分[1]中定义。此外,汽车安全完整性(ASIL)级别可以在ASIL确定表中选择(表2)。在同一部分中提供。基于风险评估步骤,本章解释有两个不同的ASIL确定MRM功能的示例。示例危害1:在车辆减速不足的情况下。定义:当即将发生碰撞风险时,MRM功能无法向执行器提供减速请求运行情况:MRM功能在分隔式高速公路上启动,跟随前面的其他车辆,并被其他交通参与者包围。暴露度描述:自我车辆处于MRM模式,跟随前面的另一辆车,突然跟随前面的车辆开始快速减速。危害事件:当前方车辆在碰撞范围内时,自车在高速公路上未能减速。控制原理:假设在此场景中,驾驶员或其他交通参与者没有扮演任何角色。因此,可控性应考虑更高的方面。示例危害2:过大的横向加速度。定义:MRM功能向执行器提供了不正确的转向加速度请求。运行情况:MRM功能在分隔式高速公路上启动,并被相邻车道和自我车辆后面的车辆包围。暴露度描述:自车处于MRM模式,即车辆在其他车道上,不存在变道机动。危害事件:当车辆在目标车道上行驶时,自车试图变道。可控性:假设在此场景中,驾驶员或其他交通参与者没有扮演任何角色。因此,可控性应考虑更高的方面。ASIL 等级 E2. S3. C3 = ASIL B基于这种类型的评估,根据不同的操作条件和情景对已确定的危险因素进行分析,以估计ASIL等级。在风险评估结束时,分析中确定的最大ASIL将被分配给MRM功能。在这种情况下,MRM的等级被确定为“ASIL B”。MRM功能的安全目标应根据每个危害事件、ASIL等级和容错时间间隔来确定。FTTI适用于安全目标,如果危害事件可以在某些特定的时间段内恢复,则视为安全场景。这个FTTI的定义非常重要,在定义失效检测概念和安全状态定义方面起着重要的作用。安全目标理想地视为安全系统开发的顶层安全要求。根据针对MRM功能完成的HARA过程而确定的安全目标列表。根据HARA过程的输出,确定了11个安全目标。1. MRM功能不应当非预期/过高要求车辆减速超过xx m/s 超过xx毫秒——ASIL B;2. MRM功能不应当要求提供过低的减速/没有超过xx毫秒的减速——ASIL B;3. MRM功能在MRM操作启用期间应当供所需的转向输入请求超过xx毫秒——ASIL B;4. MRM功能不应当要求提供超过xx毫秒的错误转向输入,即xx deg/s以上——ASIL B;5. MRM功能应当要求在xx毫秒内启动危险警告灯,并应确保整个MRM阶段打开危险警告灯——ASIL B。功能安全概念(FSC)规定了系统级的安全要求和相关信息,它们分配了架构要素和必要的交互,以符合为MRM功能定义的安全目标。FSC文档提供了MRM功能的总体思想,安全架构和与其他要素的功能交互,系统级安全机制描述和降级概念,以实现安全状态。每个安全目标应与一个或多个功能安全要求(FSR)以及相同的ASIL等级相关联,以满足安全完整性水平。在某些情况下,具有相同意图的多个需求应解决安全目标的目的(解释见图5),根据ISO 26262中定义的ASIL分解原理,可以分解为低ASIL等级。为了符合安全目标,具有功能和信号通信概述的初步安全架构(图6)应被定义。这应是定义功能安全要求(FSR)的初步活动。MRM功能应在主控制器的冗余AD路径中提供。状态机将启用和禁用该功能,并将内部和外部故障通信给MRM。当ESC没有制动时,动力系统输入应至关重要,再生制动状态应为MRM创建一个减速选项,以交替停止车辆。ESC系统为MRM系统提供诸如轮速、偏航率等功能的车辆动态信号,冗余路径使用与主路径相同的传感器,但具有不同的传感器融合单元。这些对象列表、道路模型等都被提供给了MRM。MRM轨迹也与主路径交叉验证,反之亦然。所有验证的轨迹提供给路径选择器以选择最安全的轨迹。定义了简化的MRM状态,所有高层级状态如图7所示。需要注意的是,在MRM功能期间出现故障时,预计降级系统将接管车辆驾驶任务。功能架构应根据初步级别的性能要求来定义。在确定安全目标之后,必须分析架构,并识别与安全相关的部件及其相应的ASIL等级。这种更高层级的安全架构是定义具有适当ASIL等级的安全需求的先决条件,确保系统级别的独立性,并为软件组件和硬件组件提供开发输入。根据图8中定义的安全架构,提供融合目标列表和定位信息以定义道路模型、自由空间检测、车道信息等,以及行为规划目标和障碍信息输入轨迹规划器以获得安全轨迹。模式管理器控制整体状态和通信。与辅助MRM路径相关联的所有模块都应该满足ASIL B的完整性。在主控制器自动驾驶条件下,该路径也被分解为具有主AD路径(PAD系统)的ASILB(D)。综上所述,当车辆处于自动模式时,辅助路径持续产生MRM轨迹,支持主路径交叉验证轨迹,确保安全运行。只有当有一个触发条件能够激活MRM时,系统才应使用MRM轨迹。MRM功能是一个L3自动驾驶功能,它在作为一种被动操作向AD系统提供交叉轨迹验证方面还具有额外的依赖性。必须以功能安全要求(FSR)和技术安全要求(TSR)的形式定义系统安全要求,或者可以将其组合为“无上下文的安全元素(SEooC)”和MRM函数本身视为开发范围的相关项。在图9和图10中提供了示例需求。MRM安全分析。应需要对任何安全相关项的开发进行安全分析,以提供安全目标和安全要求的真实性的证据,并对所有的安全故障进行解决与适当的安全机制。它有助于识别依赖性故障和单点故障,并通过适当的措施来解决它们,并支持在分析过程中识别新的安全要求。MRM是一个依据有条件自动驾驶平台开发的ASIL B功能。表3提到了对一个项目的不同ASIL级别需要执行的分析类型。注意:符号是根据ISO 26262指南定义的,其中“o”表示-不需要,“+”表示-推荐,“++”表示-推荐的。警告和降级概念是功能安全概念的一个组成部分,当操纵原则失效或改变时,必须识别提供给驾驶员或道路用户的警报。就L3系统的降级概念而言,当驾驶员不响应接管请求时时,MRM功能是一种安全状态,它执行在不同类型的MRM操作中定义的故障操作或失效降级的性能。在出现严重的MRM故障时,应在接管控制器侧考虑fail-safe响应,预计将设计为与主控制器不相关。此外,这些警告应在整个MRM操作过程中继续进行,以便在驾驶员在操作过程中能够收回控制时发出警告。从MRM开始启动危险警告灯,提醒其他交通参与者车辆处于危险操作。一旦MRM功能使车辆处于安全状态,它应解锁车门并启动紧急呼叫,以便第一反应人员在需要任何医疗照顾时照顾车辆乘客。功能安全确认是为了提供证据,证明安全目标标准和安全概念,如要求中定义的安全机制、FTTI验证和系统之间的独立性,适用于MRM系统的功能安全。它也支持了安全目标和要求在车辆层面上是正确、完整的和完全实现的证据。执行确认的一套适当方法是使用指定的测试程序、测试用例和通过/失败标准重复测试。安全确认结果在安全案例中编制,是实现生产状态释放的主要活动。测试ISO 26262中定义的MRM安全要求的首选方法见表4。测试用例定义。自车处于正常的MRM状态,恒定速度为60 kph。注入摄像头故障,完整的视觉系统失效时,测试驾驶员不得接管车辆。车辆应以制动灯预计点亮的4 m/s/s的速度开始减速。在本文中,解释了自动驾驶概念的概述,这些概念部分被当前汽车技术所采用,有些有望在不久的将来实现。与部分自动化水平相比,条件自动化系统所涉及的风险急剧增加,因为整车自动化概念从L3车辆开始,因此对功能安全和SOTIF方法的实施提出了挑战。我已经概述了L3车辆的重要性和在自动驾驶概念中所涉及的功能。阐述了冗余降级系统的概念,以及其意义和功能能力。并解释了ADAS L3控制器的独立性要求和操作架构。提到了ISO/PAS 21448 SOTIF在L3车辆中的重要性和最低风险操作功能。深入解释了自动车辆系统中的最小风险操作功能,它在关键情况和操作条件下的重要性,功能描述、架构概述和不同的触发条件来启动功能。此外,MRM对不同故障条件、驱动程序输入和MRM类型的功能限制也可以用近似的流程图来解释。结论是,MRM功能是一个不可避免的功能,具有全车DDT功能,包括警告功能和安全停止实现。它还提到,MRM功能的定义和操作策略因不同车辆制造商的不同而异,比如在主控制器或两个控制器中提供MRM特性。作为一个重要的章节,解释了ISO 26262功能安全的概念,以及在自动车辆平台和MRM功能中的基础安全程序适应的重要性。推导了MRM函数的HARA概念,并详细说明了功能失效分析和两个风险评估。用ASIL分解概念解释ASIL确定方法。进一步列出了适用于MRM功能的所有安全目标。结论表明,MRM的最大ASIL为“ASIL B”。下一章,详细解释了MRM功能的功能安全概念,并概述了安全架构和更高层次的系统安全要求。作为功能安全概念的一部分,定义了MRM高级通信结构及其内部ADAS和外部ECU交互,以及MRM功能的不同操作状态。MRM功能的功能安全概念应得到满足,并定义警告和降级概念。作为L3功能,本文简要解释了功能激活和实现不同安全状态前后的MRM警告概念,如失效运行、失效降级和失效安全方法。最后一章概述了安全分析方法和验证标准,并解释了MRM功能的一个示例测试用例场景和预期的故障注入测试结果。最后,根据功能安全概念的推导和分析,我建议MRM功能的开发可以是ASIL B平台,只要该功能在独立的二级路径,有能力生成独立的轨迹,也支持主轨迹验证,以满足ASIL D ADAS自动驾驶平台的要求。-- END --
声明:内容源自sasetech,文中观点仅供分享交流,不代表本公众号立场,如涉及版权等问题,请您告知,将及时处理!