基于ISO26262的高速辅助驾驶的功能安全概念设计
2022-04-11吴坷李超杜佳高海龙陈玉龙
吴坷 李超 杜佳 高海龙 陈玉龙
摘 要:随着汽车电子的高速发展,辅助驾驶系统已经开始大量普及,并已经开始逐步下探到十万元左右的在售车型之中。辅助驾驶系统,主要是指随着智能化的应用,辅助驾驶员驾驶,系统自动执行部分动态驾驶任务,有效的降低驾驶员驾驶强度,提升驾驶品质。典型的如自适应巡航系统(ACC)、车道保持辅助系统(LKA)、自动紧急制动系统(AEB)和高速公路辅助系统(HWA)。其中高速公路辅助系统(HWA)直接对车辆进行横纵向组合控制,目前功能安全国际标准(ISO 26262)在驾驶辅助系统中的涉及横纵向控制的功能,在概念阶段的涉及应用没有统一有效的方法。本文以HWA为例阐述详细的功能安全概念阶段的设计方法、和分析过程,包含相关项定义,危害分析、安全目标导出和功能安全概念。此方法已经在东风汽车高级驾驶辅助系统的功能安全开发中应用,为后续的高级驾驶辅助系统的功能开发提供一定的方法指导。
关键词:功能安全;高速驾驶辅助;相关项定义;危害缝隙与风险评估;功能安全概念
中图分类号:U471 文献标识码:A 文章编号:1005-2550(2022)02-0070-12
The Function Safety Concept Design of Highway Assisted
Driving based on ISO 26262
WU Ke1, LI Chao2,DU Jia1, GAO Hai-long2, CHEN Yu-long2
(1. Dongfeng Motor Company Technology Center, Wuhan 430058, China; 2. Xiangyang Daan Automobile Test Center CO. LTD, Xiangyang 441004, China)
Abstract: With the rapid development of automotive electronics, assisted driving systems have begun to spread in large numbers, and have gradually dropped to about 100,000 yuan among the models on sale. Assisted driving system mainly refers to the application of intelligence to assist the driver in driving. The system automatically performs some dynamic driving tasks, effectively reducing the driving intensity of the driver and improving the driving quality. Typical such as adaptive cruise system (ACC), lane keeping assist system (LKA), automatic emergency braking system (AEB) and highway assist system (HWA). Among them, the highway assistance system (HWA) directly performs the lateral and the longitudinal combined control of the vehicle. The current international functional safety standard (ISO 26262) involves the function of the lateral and the longitudinal control in the driving assistance system, and there is no unified and effective method for the application in the concept stage. This article takes HWA as an example to explain the detailed design method and analysis process of the functional safety concept stage, including the definition of related items, hazard analysis, safety goal derivation and functional safety concept. This method has been applied in the functional safety development of Dongfeng Motor's automatic driving assistance system, providing certain method guidance for the subsequent development of automatic driving assistance functions.
Key Words: Function Safety; Highway Assist; Item Definition; Hazard Analysis And Risk Assessment; Functional Safety Concept
汽車自动化及自动驾驶是汽车行业未来发展的趋势,虽然完全意义上的自动驾驶汽车还没有走入普通人的生活,但是综合了自适应速度控制、自动紧急制动、高速驾驶辅助、拥堵辅助等多种辅助功能的汽车已经出现在市场上了,这使得半自主驾驶在量产车型上成为现实[1]。
1 ISO 26262概念階段的主要活动
ISO 26262概念阶段(第3部分)已经是安全生命周期的开始,概念阶段的主要任务是从整车层面确定功能,针对功能失效的危害事件进行风险评估并制定安全目标(主要属性:ASIL等级、FTTI和安全状态)导出功能安全要求。本部分主要是有四个活动,分别是相关项定义(Part3-5)、安全生命周期启动(Part3-6)、危害分析和风险评估(Part3-7)、功能安全概念(Part3-8)。本文以高速辅助驾驶功能为案例,对概念阶段开发的内容和步骤进行详细的说明。
2 概念阶段
2.1 相关项定义
概念阶段的开发是以相关项定义(Item Definition)开始的,相关项定义是对系统的描述,此系统也是标准中安全要求应用的对象。相关项定义的目的是定义和描述相关项,以及对其他相关项和环境的相互作用。因此,需要描述功能和非功能需求、边界、接口和其他系统相互作用的假设。
相关项定义为危害分析和风险评估(HARA)提供输入参数,在HARA中通过对E/E系统功能故障的定义和分析,识别整车级别的潜在危害。
HWA系统的工作场景为高速公路主干道(不含匝道)或近似于高速公路的道路,自车的速度范围为0km/h至130km/h。HWA 系统可在激活且无故障的条件下对车辆进行纵向以及横向控制,能够探测前方车辆状况和车道线,自动控制车辆加速、减速和转向,从而让车辆保持在车道线内跟车行驶或以设定巡航速度行驶,并在驾驶员确认的情况下,通过探测侧向车道线及侧方车辆情况,提供自动变道。对其进行相关项定义应包含如下内容:
2.1.1功能需求
相关项定义的目标是划定开发范围,描述开发对象和其他Item的交互关系。对于涉及横纵向组合控制的驾驶辅助系统,需要进一步明确一些前提输入,包含感知系统、决策单元、动力系统、制动系统、转向系统、整车通讯和诊断等。在整车层面,HWA功能安全开发只考虑边界内的各部件[2]。
图1是HWA功能的功能架构及边界图,系统内各个要素(Element)通过控制逻辑实现:1)跟车时距控制;2)定速巡航;3)激发式自动变道控制;4)车道保持。HWA系统HWA初始架构要素及功能分配:
Element01:发布开关信息(如多功能方向盘模块Switch);
Element02:发布车速、行驶方向、制动踏板状态、EPB状态等;接收制动扭矩请求;
Element03:发布方向盘转角、方向盘转角速率、驾驶员手力矩等;接收转向扭矩请求;
Element04:发布Drive Ready、加速踏板状态、驾驶模式等;接收加速扭矩请求;
Element05:环境感知传感器(毫米波雷达、角雷达、摄像头等),感知外部环境,识别、发布环境信息(工况、目标物信息等)
Element06:发布车门状态等;
Element07:发布安全带状态,气囊状态、横摆角速度等;
Element08:HMI(接收信息并执行显示、蜂鸣等)
Element09:智能网联域控制器,接受其他全部相关项发布信息,对外发布控制指令(驱动扭矩、制动扭矩、转向扭矩等)、HMI(模式状态、Warning等)、灯光(制动灯、前照灯等);
……:其他输入和输出信息。
根据当前车辆的各项运动参数,结合各传感器(毫米波雷达、角雷达、摄像头等)所感知的外部环境,所有的信息经过智能网联域控制器(Element09)处理,判断车辆当前驾驶状态是否处于各子功能设计适用范畴(ODD)以内,并发布控制请求,执行整车横纵向控制。
如上文所述,相关项定义为功能安全开发的起点,必然处于项目开发的最早期。在此阶段,整车设计任务书并未正式冻结,开发的设计也不完全成熟,不排除后续对功能架构和边界进行调整的可能。但功能安全工程师应充分地认识到功能安全概念阶段的开发是后续系统及软硬件工程师开发的基础,所以在进行功能架构和边界的梳理时应与功能定义工程师充分打合,应尽量包含系统实际工作时所有的模式及其依据条件,避免后续工作出现反复,对项目成本、交期产生不良影响。图2为HWA系统具有的工作模式及状态。
通过直观的状态机图示,可以很清晰的描述功能开启、关闭、巡航、变道以及故障、降级和禁用等各个状态,并通过详细的定义表单(表1)去描述状态跳转的条件。因涉及企业保密原则,表中注1、2、3、4、5等条件无法在本论文中体现。
完整的功能逻辑还应包含功能实现的信号交互(信号矩阵)和能量传递链,同时对边界外部需要定义清楚与系统内交互的接口和信息。边界外部的要素与边界内部的要素配合完成车辆的HWA各功能达成。如图1,通过边界线将系统的组件和要素划分成两部分,边界内的要素与系统直接相关、会影响系统功能实现,如Element 1系统开关,其开闭触发状态直接决定系统能否开始工作,因此需要划归边界内。此外有些要素项即承担了信号发布的职能,同时也是执行段的信号接收单元,会同时出现在边界内和边界外,这一点在图1中也有所体现。
2.1.2非功能需求
本节包含功能涉及的相关法律法规、国家标准以及国际标准。同时也应包含环境约束信息,如温度、海拔、湿度、振动、电磁干扰等;系统运行要求,如工作电压、电流等其他的限制条件。因该项内容较为简单、清晰,本文不做详细展开。
2.1.3失效后果及影响
本节需要定义相关项系统已知的失效模式和潜在的危害,造成的潜在后果,包括系统要素、软硬件失效对系统造成的危害,用于指导HA&RA和系统设计。如HWA系统开关单元功能卡滞,无法正常开启、关闭;以及当系统执行无目标物的巡航驾驶任务时,若摄像头软硬件故障导致的相关后果及影响。因篇幅限制,表2中选取开启/关闭和巡航两个子行为作为案例来阐述。
2.2 危害分析與风险评估HA&RA
在ISO 26262的第3部分对危害分析与风险评估(Hazard Analysis and Risk Assessment)的方法论做了细致的阐述。但这些概念的定义过于抽象拗口,让人很难快速理解其中的要点。基于此,本文结合HWA功能实例来梳理危害分析与风险评估的方法及其中的关键点。
危害分析和风险评估基于相关项定义的功能和接口来展开,通过识别出相关项的功能失效可能导致的危害和风险,并对风险进行ASIL等级评估从而得到相关项的安全目标。有了安全目标后,才能按照V模型对相关项进行功能安全开发。因此,危害分析与风险评估是进行功能安全开发的关键一步。
HA&RA分析流程如图3,根据相关项定义确定系统边界和定义系统框图;然后进行整车级的危害分析,识别确定整车级危害,并通过运行场景的ASIL评估确定每一个整车级危害的ASIL等级,最后确定相关危害的安全目标(Safety Goals),并输出功能安全概念。
2.2.1整车级危害分析
前文所述,通过相关项定义已经确定了研究的系统和其范围(System Description),并通过分析,提取出系统组件用来执行的所有功能。
通过采用适当的工具方法去挖掘系统潜在的风险,目前较多的方法有危害和可操作性分析HAZOP(Hazard and Operability Analysis)、系统论过程分析STPA(Systems-Theoretic Process Analysis)。HAZOP分析是一种用于辨识设计缺陷、工艺过程危害及操作性问题的结构化、系统化分析方法,被广泛用于汽车E/E系统的潜在危害识别,其理论依据是:当在实际执行中的状态参数(如转向扭矩、制动扭矩、驱动扭矩、电压、电流、温度等)一旦偏离设计规定的基准状态,就会发生问题或出现危险。
HAZOP方法对每个已识别的功能,应用一组引导词描述功能可能偏离其设计意图的各种方式。IEC61882列出了11个建议的“引导词”,但是这些引导词可以根据所分析的特定系统进行筛选。在功能安全领域采用筛选后的7个引导词,见表3。从整车层面评估以上功能偏差会带来的影响,如果偏离设计预期可能导致整车级危险,则记录该整车级危害。
表3 HAZOP引导词
通过HAZOP定位某一组件的失效危害,即分析了产生危险的原因,同时导出该危险会给整个系统所带来的后果。HAZOP方法利用系统参数和引导词辨识偏差,能够很大程度上辨识出存在于系统的危险,但是不和引导词关联的危险就可能不能被辨别。
在权衡人力资源、技术储备、成本和周期的权衡,笔者团队在HWA实际开发中仅采用了HAZOP方法,同步也在构建新的分析方法和体系能力。表4选择HWA功能中“触发式自动变道”进行HAZOP分析案例,分析上述7种失效,确定每种失效导致的整车级危害,并确定需要考虑的多种运行环境,给出可能的控制措施,最后将所有属于危害事件的整车级危害汇总,以进行后续分析。
2.2.2确定ASIL等级
功能安全并不需要考虑功能异常所对应的所有危害,而是需要结合危害和危害发生时刻车辆运行的场景来分析危害所导致的风险是否在可接受的范围内。车辆的运行场景,可以理解为是表5中各个因素的排列组合。简单来说,运行场景=道路场景+驾驶场景,比如“高速公路+直行加速”或者“高速公路+直线制动”等[3]。
当列出了相关项的所有场景与危害的组合后,接下来就是对其进行分类和筛选,确定哪些风险是可接受的,哪些是不可接受的。ISO 26262采用的方法是使用风险图评估风险,即使用一种定性的方法,根据严重程度、暴露时间和可控性来判断风险。
S(severity 严重度):危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级,见表6;E(Exposure 暴露时间):运行场景在日常驾驶过程中发生的概率,见表7;C(controllability 可控度):驾驶员或其他涉险人员控制危害以避免伤害的概率,见表8。
基于先前的分类,在最后一步根据标准中的风险图给每个可能发生危险的事件得出所要求的ASIL级别。为了便于对标准中风险图的理解,本文引入危险遭遇概率作为中间量,即危险的遭遇概率=暴露的频度(危险工况的遭遇频度)×可控性(危险可回避的程度),如图4较为直观的描述潜在的危险等级导出的因果关系。
ASIL A、ASIL B 、ASIL C和ASIL D要求采取特殊的措施。如果分析结果是QM(质量管理),只需按照企业流程开发就认为可以满足ISO 26262要求,无需额外进行功能安全开发。为确保思维的一致性以及逻辑的合理性,依然按表5(HWA_TLC功能的HAZOP分析示例)完成后续的HARA分析案例,具体见表9。
2.2.3确定安全目标
根据危害分析及风险评估的结果,描述安全目标,及对应的ASIL等级、安全状态及故障容错时间等参数,作为所有功能安全需求的最顶层需求,延续上文的HARA分析,导出合并后的安全目标。表10为HWA安全目标。
2.3 功能安全概念
功能安全概念(Function Safety Concept)的目的是针对相关项定义(Item Definition)的系统和系统的功能,依据危害分析及风险评估的结果,导出安全目标对应的功能安全需求及相应的ASIL等级、并将功能安全需求分配到系统的初始架构、外部措施或者其他技术方法上。功能安全概念从三个层面展开[3]:
明确安全状态(Safety State)。安全状态是系统或功能不存在任何由于系统导致的不能接受的风险的一种状态,主要根据危害情况从三个角度提出。分别是功能正常的运行、执行、操作状态,功能故障后的降级反应和功能故障后关闭并报警。但应注意明确安全状态并不是说每一个危害都要按照这三条来提出,要结合具体的功能来定义,切忌生搬硬套,例如EMS可能涉及到的安全状态包含了以上三项内容。高速驾驶辅助(HWA)的安全状态属于第三类,故障后直接关闭该系统,不存在保持操作和降级的概念。
明确功能安全需求(Function Safety Requirement,FSR)。功能安全需求仍然是从管理人员的角度来看待问题,故不涉及具体的实现技术。功能安全需求对应于整个系统的顶层设计(Top-Level-Design),并为技术安全需求的必须输入信息建立了相应的基础。对OEM而言,如系统级和软硬件开发都是外委供应商来完成,则整个系统级的功能安全需求充当了OEM与Tier1之间,针对“开发接口协议(DIA)”的合同文件的角色,因为在这里系统属性也已确定。图5描述了功能安全需求导出的层级关系和责任主体[4]。
由图5可知FSR是OEM功能安全开发的重点工作项之一,OEM需要将FSR覆盖到Item的每一个Element。在需求分配期间,ASIL等级和诸多要求必须继承自相关的安全目标,主要的要求为:功能正常運行、操作模式;故障发生时的容错时间间隔;如何转换为安全状态;应急操作时需要在多长时间内完成的时间间隔和功能冗余。
安全需求的ASIL等级的分解和分配依据ISO 26262-9:2018,在本章节中对分解、分配规则进行简单阐述。本文以表11中“SG-HWA-05:防止激发式自动变道过度,车辆离开目标车道”为例来详细如何设计一份FSR,下表12即为安全目标SG-HWA-05的安全需求分解示例。
这里还需要补充一个概念,系统要保障安全除了应设计合理的安全机制和安全状态,系统必须能够检测故障并在容错时间间隔(FTTI)内转换到安全状态。否则,故障仍然会成为系统级危害。FTTI与由功能异常行为引起的危害相关,其最小的时间间隔则是通过评估所有先关的危险事件来获得,具体的数值取决于危害的特征。在概念阶段,FTTI仅在相关项级定义,不需要进一步考虑到要素级[5]。
安全目标(SG)分解为功能安全需求(FSR),FSR继承了ASIL。在此过程中,高等级的ASIL可以分解为若干低等级的ASIL。ASIL分解是作为需求的分解,分解后的需求落在要素(element)上面、要素(element)具有ASIL Capability。事实上只要是需求就可以进行ASIL分解,在功能安全开发过程中,FSR只是第一次可以做分解地方,后续的需求也可以再分解,如在系统设计、软件设计、硬件设计等阶段分解不限制次数。
ASIL分解的原则如图6所示,ASIL分解可能分多次进行,应通过在括号中给出安全目标的ASIL等级,对每个分解后的安全要求的ASIL等级做标注。分解后的ASIL等级后面括号里是指明初始安全目标的ASIL等级,比如一个ASIL D的安全目标分解成一个ASIL C的要求和一个ASIL A的要求,则应标注成ASIL C(D)和ASIL A(D),如果其中的ASIL C(D)要求还可进一步分解成一个ASIL B 的要求和一个ASIL A的要求,则应使用初始安全目标的ASIL等级将其标注为ASIL B(D)和ASIL A(D),后续集成和安全目标的验证仍然依据其初始的ASIL等级。
ASIL等级分解需要满足需求的冗余性,即分解之后的需求应能独立满足分解之前的需求。且要素应符合独立性原则,所谓的独立性就是指要素之间不应发生从属失效,常见的从属失效分为共因失效和级联失效。共因失效是指两个要素因为共同的原因导致失效,级联失效是指一个要素的失效导致另一个要素的失效。
3 总结
功能安全开发开始于概念阶段,对应标准的part3。本文针对高速辅助系统这个相对复杂的汽车驾驶辅助功能,进行了相关项定义、危害分析和风险评估、功能安全要求的分解,并确定了系统的ASIL等级为D(最高的安全目标ASIL),完成了功能安全概念的设计工作,最终实现了对高速辅助系统功能安全概念设计。
参考文献:
[1]赵鑫,李明勋. 汽车电子功能安全实战应用[M],同济大学出版社,2021年4月第1版.
[2] Kai Borgeest,汽车电子系统电磁兼容与功能安全[M],机械工业出版社,2020年8月第1版.
[3]王俊明,周宏伟,基于ISO 26262的车道保持辅助的功能安全概念设计[J],重庆交通大学学报(自然科学版)、2019年3月第38卷第3期.
[4]Vera Gebhardt,Gerhard M.Rieger,基于ISO26262的功能安全[M],机械工业出版社,2021年4月第一版.
[5]贾天乐. 基于ISO26262标准的EPB控制器设计研究[D].南京:南京理工大学, 2019:21-29.
吴 坷
毕业于华中师范大学,工学硕士。现就职于东风汽车公司技术中心架构开发中心,任功能安全工程师,主要研究方向:整车功能安全,预期功能安全。
专家推荐语
盛 凯
西安电子科技大学 前沿交叉研究院
信息感知与智能系统 教授
本文以高速公路辅助系统(HWA)为例,说明了功能安全概念设计阶段相关项定义、危害分析和风险评估、功能安全要求分解等工作内容,确定了该系统的ASIL等级。针对复杂的HWA系统开发,从实践角度对功能安全概念设计工作进行了详细阐述,具有实际的工程参考价值。