写在前面:
随着智能汽车的逐渐发展,L2级辅助驾驶功能已经进入千家万户,成为驾驶过程中的有力帮手。各大汽车厂商也将各种优秀的L2辅助功能作为产品卖点进行大力宣传。与此同时,汽车OEM厂商也在稳步推进更高级别的L3自动驾驶功能的研发。这样一来,与自动驾驶功能安全相关的各类问题和需求亦接踵而至,如何满足L3自动驾驶对功能安全的不同要求便成为汽车行业亟待解决的难题。
L2和L3有哪些不同的功能安全需求呢?以下就将从自动驾驶分级开始为您展开解释。
一.智能驾驶等级分级
目前人们常说的L1-L5的智能驾驶等级分级是来自于SAE J3016标准中的分级。
从图中可以看出,L2级和L3级是汽车自动驾驶的一个重要分水岭。L2级更强调辅助功能,L3级则属于部分自动驾驶。其核心区别在于,L2级辅助驾驶只负责对车辆的控制操作,环境感知仍需要驾驶员完成;而在L3级中,系统不仅要对车辆执行操作控制,也需要负责感知车辆运行状态下的周边环境。这种功能职责的变化也形成了L2级和L3级在功能安全方案和具体需求上的差异。
二.智能驾驶相关的安全目标
分析功能安全相关的安全目标,还是需要从功能失效时所引发的危害进行分析。本文将以TJP为例来讲L3功能,以纵向控制为代表的ACC及以横向控制为代表ELK来讲L2功能。
危害分析及安全目标:L2辅助驾驶 VS L3自动驾驶
从上述对比中可以看出,L3级自动驾驶的安全目标不仅数量上多于L2级辅助驾驶,在汽车功能安全自动化等级(ASIL)上也更高。新增的安全目标大多与车辆控制的丢失相关。而在L2级功能的安全目标中,这类安全目标并不存在,尽管两者存在相同的潜在危害。这与L2级和L3级对驾驶员监控驾驶状态职责的不同有关。在L2级功能下,驾驶员应时刻监视驾驶状态并双手放在方向盘上。这样的功能定义使我们在进行危害分析和风险评估时,可以给出较高的可控制度等级,避免设置与车辆控制丢失相关的安全目标。
另一方面,L3则不得不直面功能丢失的问题。由于L3功能无需驾驶员对驾驶状态负责,意味着当功能丢失出现时,驾驶员对危害事件的发生是没有控制能力的。可控度直线提升为:C3。所以出现了三个关于功能丢失所造成的安全目标。
三.安全方案
3.1 功能的安全方案:控制限值(ASIL D)+智能驾驶(ASIL B)
除了安全目标数量上的差别,我们还能注意到安全目标的ASIL等级上的差别。与L3功能不同,非预期加速,刹车,横向移动及反向移动的安全目标的ASIL等级都是B。
为什么是B?
因为驾驶员对车辆有控制能力,所以C值评估会偏低,使得ASIL等级不超过B。
但是这种控制能力是有前提的,那就是:
执行器对功能的限制。
从上述表格中可以看到,对于功能过大的危害所产生的安全目标,其安全等级均为ASIL D。
而这一类的安全目标的安全方案则都是依靠执行器去完成。例如:执行器通过限制L2功能的横向控制指令,使得L2功能不会产生过大横向移动。
正是这一些限制才使得在危害场景分析和评估过程中对非预期车身控制的可控度降低,从而使得安全等级降至ASIL B。同时通过执行器完成ASIL D等级安全方案+智能驾驶控制域完成ASIL B等级安全方案的策略,也避免了传感器仅能达到ASIL B的缺陷,使其无需承接过高的功能安全需求。
D+B方案示意
3.2 安全状态的不同
L2功能在发生违背安全目标的危害时,其安全状态均为退出功能并提醒驾驶员。因为驾驶员始终在环的原因,功能的直接退出是可以被认为车辆进入了一个安全的状态。
L3功能则不同,因为驾驶员在功能运行状态中无需对驾驶任务负责,但违背安全目标的危害发生的时候,驾驶员并不能第一时间接入并接管车辆。因此L3功能的直接退出不可以被认为是安全的,此时则需要一个策略将车辆的驾驶状态从功能负责过渡至驾驶员负责。
3.3 MRM的应用
此处的过渡策略则是我们所说的MRM(最小风险策略)了。L3功能失效时,应当执行MRM策略并持续提醒驾驶员接管车辆,该状态应当持续到MRM执行完毕(车辆停止)或驾驶员接管车辆为止。
MRM的应用,给予安全状态一个过渡的策略。但同时也带来了一个不可忽略的问题,过渡过程中,仍然是功能掌控车辆,这意味着MRM也会产生相应的功能安全需求。这对于厂家来说是巨大的成本提升,因为MRM要与L3的主功能保持相互独立,即:
- 硬件上独立,包括供电,感知用摄像头等;
- 软件算法上的异构,避免同样的系统性失效;
为满足以上两点需求,冗余控制器的方案也就应运而生。而冗余控制器为了完成功能安全,保证过渡状态中的功能安全,则需要完成L2功能相关安全需求。
3.4 L3功能的安全方案:主控制器(ASIL D)+冗余控制器(ASIL B)
主控制器
上文中提到,因为驾驶员在环的原因,大部分L2功能的SG的ASIL等级为B。而L3这边,这样的方案是无法实现的。因为驾驶员对驾驶状态不负责,当非预期移动等相关危害发生时,即使其速度很慢也不会给驾驶员提供任何可控度的提升。因此,负责主要L3功能的主控制器则需直接承担ASIL D功能安全开发任务。
冗余控制器
为了避免过渡状态中,产生因为电子电气失效所引发的功能安全相关危害,冗余控制器的MRM(通常为L2功能)也需要完成相应的功能安全需求。作为L2的功能,冗余域控则需要承接ASIL B的功能安全开发任务。
四.仍未解决的问题
传感器
在人工智能逐渐成熟的今天,各厂家都在推行性能更高和用户体验更好的L3乃至更高的智能驾驶功能。然而传感器在硬件上的研发依旧没有实现突破。众多传感器依然只能完成ASIL B的功能安全,而无法实现L3的功能对他们更高的要求。虽然各厂家也致力于用更多的传感器实现在感知层面的冗余,但行业中仍未有一个标准答案解决这类问题。
L4乃至更高智能驾驶的功能安全?
对于各大厂家来说,L3的自动驾驶肯定不是智能驾驶的最终形态。各家都在幻想着,有朝一日,汽车上无需驾驶位,无需方向盘,无需驾驶员。不过,这样的形态意味着要实现更高的功能安全的要求,因为当功能失效发生时,仍然需要系统自身保证乘车人的安危。而此时,又应该使用何种功能安全方案呢?
无论是多么优秀的功能,在其实际落地给到用户时,都必须切实地保证其安全性。这也是我们安全人的初心。
作者:边俊
文章来源:磐时汽车安全
推荐阅读
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。