徽州骆驼 · 1月18日

自动驾驶域控功能安全设计的思考

自动驾驶技术作为智能交通领域的重要发展方向,正逐渐改变着我们对交通出行的认识。随着自动驾驶车辆的不断进步和应用场景的拓展,功能安全设计成为保障道路安全和乘客安全的关键因素之一。本文将从自动驾驶场景和功能分析、自动驾驶标准,系统设计思考和硬件设计等方面,分享我对自动驾驶域控功能安全设计的一些思考。

01 自动驾驶场景和功能分析

最受关注的高级别自动驾驶场景包括:

  1. Robotaxi:提供全域全速领航和自主泊车功能。

主要的玩家有百度APOLLO、小马智行和文远知行。

  1. Robotruck:用于干线物流。

相关厂商包括图森未来、智加科技和嬴彻科技。

  1. 末端无人配送:提供固定路线低速自动驾驶。

相关公司包括美团和NURO。

  1. 其他:还存在其他自动驾驶场景和功能。

02 自动驾驶标准

在自动驾驶领域,存在一些标准用于定义和规范自动驾驶系统的安全性和功能性,其中一些重要的标准包括:

  1. SAE J3016:该标准主要定义了自动驾驶分级,从L0到L5不同级别的自动化水平。
  2. ISO21448:该标准主要关注预期功能安全,适用于传感器供应商、域控算法供应商以及原始设备制造商(OEM)。
  3. ISO26262:这是一个通用的汽车功能安全标准,适用于整个汽车电子系统。
  4. UNECE R157:该法规适用于速度低于120km/h的L3级别自动驾驶系统。
  5. ISO 22737:该标准适用于速度低于32km/h的L4级别自动驾驶系统。

03 系统设计思考

1)安全目标

在设计自动驾驶系统的功能安全时,通常会根据不同的自动化级别设置相应的安全目标。一般而言:

  • L0到L2级别的自动驾驶系统需要满足ASIL B级的安全要求。
  • L3到L5级别的自动驾驶系统需要满足ASIL D级的安全要求。

2)功能安全架构

A. Fail-operational 架构:

Fail-operational架构是L3到L5自动驾驶系统基本的功能安全架构,其中有几种主要的设计选择:

a) 1oo2D架构:

image.png

  • 功能描述:该架构采用两个到诊断(Diagnostic)的通道并行工作。如果其中一个通道故障,则停止该通道输出,并切换到正常的通道输出。
  • 降级操作:当出现一次故障时,系统仍能降级到1oo1D工作。

b)2oo2D架构:

image.png

  • 功能描述:该架构同样采用两个到诊断的通道并行工作。如果其中一个通道故障,则停止该通道输出,正常的通道继续输出。
  • 降级操作:当出现一次故障时,系统仍能降级到1oo1D工作。

c)2OO3架构:

image.png

  • 功能描述:该架构采用三个通道并行工作,按照少数服从多数原则,当至少两个通道一致时才进行输出。
  • 降级操作:当出现一次故障时,系统仍能降级到1oo2工作。

B. Fallback 系统:

针对驾驶系统,可以设计一套专门满足 L2+ 级别自动驾驶要求的Fallback系统。当主系统发生故障时,Fallback 系统接管控制,并将车辆控制至最小风险状态。

C. 典型的 L4 自动驾驶系统功能架构:

典型的L4级自动驾驶系统如下图,包括:传感器冗余,通信冗余,域控通道冗余和执行器冗余。

image.png

  • 传感器冗余:

通过对传感器类型的冗余设计,包括摄像头、激光雷达、毫米波雷达、超声波雷达、GNSS 和 IMU 等传感器,以及每种主要传感器的冗余设计,确保这些冗余传感器分别接入冗余通道上。另外,还可以通过Bypass通道将传感器Bypass到其他通道上,以确保某个通道失效时,其他通道上的传感器仍能正常工作。

  • 通信冗余:

在传感器、域控、执行器和其他相关控制器之间的通信通道和控制信号上需要具备冗余通道。这样,当单个通信通道发生故障时,系统能够通过冗余通道通信,或通过Fallback 系统进入最小风险状态。

  • 域控通道冗余:

根据1oo2D或 2oo2D架构进行安全分解,实现每个通道的 ASIL B(D) 功能,每个通道保持独立性,功能算法采用异构设计,避免共因失效。带有仲裁模块,当某个通道失效时禁止该通道的输出,切换到其他通道运行。

* SOC(System on Chip)功能安全:

根据厂家的安全手册,实现 SOC 的安全假设,主要包括错误引脚监控,独立电源,独立时钟和潜伏故障的监测。

* MCU(Microcontroller Unit)功能安全:

采用符合 ASIL D 标准的安全芯片,实现对 SOC 错误引脚、供电电压、温度、外部传感器模块、执行器模块以及安全路径上的安全相关芯片故障的监控,同时满足MCU安全假设。

* 电源冗余:

设计双电源系统,当一路电源失效时,系统能够通过降级或切换到 Fallback 系统进入 MRC。双电源之间保持独立性,避免单点故障,并支持每路电源的电压过压、欠压和过流监测。当电源故障时,可通过开关切断整个域控电源。

  • 执行器冗余:

对转向、刹车和动力执行器进行冗余备份系统设计,通过总线通信监测执行器的潜在故障。

以上是针对 L4 自动驾驶系统的典型功能安全架构和冗余设计示例。这些设计旨在提高系统的安全性和可靠性,以应对不同级别的自动驾驶需求。

04 硬件设计

为了确保系统的可靠性,需要满足随机硬件度量指标。这些指标包括:

  • SPFM(Single Point Fault Metric):单点故障度量,要求满足 SPFM>99%。
  • LPFM(Latent Point Fault Metric):潜伏故障度量,要求满足 LPFM>90%。
  • PMHF(Probabilistic Metric for Hardware Failu-re):硬件故障概率度量要求满足 PMHF<10^-8。

为了满足这些随机硬件度量指标,可以采取以下设计策略:

  • 使用高可靠性的硬件元件:选择经过严格筛选和测试,并具有较低故障率的硬件元件。例如,使用经过验证的、符合 ASIL D 标准的硬件组件。
  • 实施冗余设计:采用上述的冗余架构,以确保在单点故障情况下系统仍能继续工作。
  • 使用错误检测与纠正机制:引入错误检测与纠正机制,例如奇偶校验、CRC(循环冗余校验)、重试机制等,以提高系统对硬件故障的容错能力。
  • 严格的质量控制:在硬件设计和制造过程中,采取严格的质量控制措施,包括良好的制造流程、测试和验证,并进行可靠性评估和故障模式分析。
  • 使用可靠的供应链:选择可靠的供应商和供应链合作伙伴,确保所采购的硬件元件符合高标准的质量要求,并有完善的质量保证体系。

综上所述,通过综合考虑自动驾驶场景、遵循标准、进行有效的系统设计和可靠的硬件设计,我们可以实现自动驾驶域控的功能安全。这将为用户提供更可靠的驾驶体验,并推动自动驾驶技术的发展和应用。

作者:严海亮
文章来源:sasetech

推荐阅读

更多汽车电子干货请关注汽车电子与软件专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。
推荐阅读
关注数
5726
内容数
470
汽车电子与软件行业的相关技术报道及解读。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息