上海磐时 PANSHI
“磐时,做汽车企业的安全智库”
人机交互对功能安全的影响
HMI,Human Machine Interface,也就是大家熟知的人机接口。近年来,HMI的功能也随着汽车智能化的发展,得到了进一步的升级。最显著的变化即是许多功能的入口从传统的物理按钮变成多媒体设备的触控;显示功能也从传统的指示灯变为液晶显示。
智能车机的出现使HMI变成重要的用户体验/驾驶乐趣的一部分。但是,车机作为众多功能的入口以及众多信息的输出口,它的故障最容易被诟病。曾在2021年,美国NHTSA国家公路交通安全管理局要求特斯拉找回部分车辆以解决中控黑屏的问题。当时的报告称,特斯拉的中控死机会影响用户使用部分功能,例如:自动辅助驾驶Autopilot、导航、 车速显示等。其中,部分功能的丢失仅仅是影响用户体验,但有些功能的丢失却是实实在在带来了安全隐患,例如:雾天下行车过程中除雾功能的丢失。
特斯拉行车过程中车机死机
在这样的背景下,HMI的功能安全也是开发过程中不可以忽略的一部分。我们先从HMI的一些主要功能出发:
显示:
包含HUD抬头显示,基本车辆信息显示,后视镜流媒体信息以及车辆上的多媒体功能等。
报警:
包含通过方向盘震动,车内警报声或显示屏对驾驶进行报警等功能。
车身电子:
包含空调控制,车门,后备箱门锁等功能。
驾驶员监控:
包含DMS检测,座椅压力传感器等功能。
自动驾驶:
包含低速自动驾驶中的泊车功能,HMI作为功能的入口,需要进行功能的激活和车位的选择,及高速自动驾驶中的功能激活或车速控制,如ACC等功能。
首先是显示类型的功能,这里指的是车辆行驶信息,例如车速,导航等功能。这些功能的失效并不会直接引起危害的发生。在驾驶员在环的情况下,不会直接影响车辆的行驶。但是一些车辆状态信息的错误显示,却有可能引起驾驶员的误判从而导致危害的发生。例如:挡位显示/EPB状态显示错误。
主要的危害场景是指车辆在斜坡上停靠时,车辆并不处于驻车状态,却由于HMI故障导致车辆显示已经处于驻车状态(挡位显示为P或EPB显示已拉起)。这种场景下驾驶员可能会认为车辆已经停稳,随后下车导致车辆溜坡,进一步导致汽车与障碍物/行人碰撞,造成人员伤亡。
基于这样的危害事件,相应的安全目标:避免非预期的驻车显示/EPB拉起显示(ASIL B)也就出现了。
传统的仪表盘会通过指示灯的方式表示驻车状态,是一种简单的电子硬件,在功能安全上则需要保证其电压正确来避免错误的显示即可。而现在的液晶仪表盘则复杂的多,为了避免显示错误,必须要在MCU中验证图像是否显示正确,通常的做法会通过对Frame Buffer中的数据进行CRC校验,若发现图像显示错误则需要通过一些其他方式对驾驶员进行提醒。
再者是报警类功能,报警类功能一直有着明确的功能安全需求。在L2+辅助驾驶功能普及的今天,许多L2+功能的安全状态皆为“功能退出并提醒驾驶员”,承接着报警功能的HMI则需要承接此类ASIL B的功能安全需求。除此之外,一些车身稳定性功能故障/底盘故障显示如果没有及时报警通知驾驶员,都可能在行车过程中导致危害的发生。
此类需求通常是来自一些安全目标的安全状态,包括但不限于:
与显示功能相同的是,为了保证报警信息的正确,同样需要对图像的实现进行CRC的校验。不过,报警功能为了能及时的引起驾驶员的注意,同时会伴随着相应的声音警报。
然后是车身电子功能,车身电子功能也有明确的功能安全需求。过去的车身电子控制往往通过一些物理按键进行实现,其失效率要远低于现在的HMI系统。但随着汽车智能化发展,如今许多车辆的车机都能控制车身的门锁或后备箱等。而在车辆高速行驶的过程中,后备箱的意外打开有可能导致车厢内物品掉落引发交通事故。所以通常在车速较高的情况下,后备箱的软开关会被禁止。值得注意的是,如果车辆发生事故,HMI需要保证门锁的软开关不会被非预期激活,从而影响车内人员的逃生。
接着是驾驶员监控功能,这也是人机交互发展中带来的新功能。大部分车辆会通过座椅的压力传感器判断驾驶座位/副驾驶座位上是否有人,再结合安全带卡扣状态判断是否需要发出未系安全带的提示。而现在压力传感器也作为驾驶员是否在车上的依据,车辆可以通过该状态来防止驾驶员下车时未进行驻车等操作。不过上述提到的这些功能通常没有功能安全的需求。而大家熟知的DMS功能则逐渐显示出驾驶员监控对功能安全概念方案的影响。
DMS的加入除了防止驾驶员分心/疲劳驾驶外,其大多用于判断驾驶员在自动驾驶功能中的状态。在L2功能中,汽车尚可通过检测驾驶员手是否在方向盘上判断驾驶员是否在环。但在逐步引入L3的过程中,DMS作为其中一种功能安全方案用于判断驾驶员是否有能力接管车辆:
在L3自动驾驶过程中,驾驶员无需对驾驶任务负责,但是驾驶员需要在故障发生/功能设计运行域范围外及时地接管车辆。如果在自动驾驶过程中,驾驶员睡着等无法及时接管车辆的情况出现,DMS系统则可以通过声音+灯光等方式提醒驾驶员随时保证汽车的Fallback策略。
不过该方案是尚存争议的方案,大多厂商在设计L3功能的过程往往会将fallback策略改为靠边停车或本车道停车,从而避免DMS继承相应的安全需求。但我们也能从这个例子种看出HMI的发展可能给功能安全方案设计带来的影响。
最后就是自动驾驶相关的功能,不论是L2/L3的功能,这些功能的主要入口皆在车机上,这使得在考虑自动驾驶非预期激活/关闭的失效时,也要考虑HMI的失效是否会导致危害的发生。自动驾驶可以分为低速的泊车类,及高速的城市道路自动驾驶或高速公路驾驶等。低速的泊车类可以通过对车速的判断,避免在正常驾驶过程中被非预期激活,而在低速状态下的非预期激活则相对可控(驾驶员可以通过制动取消)。而高速自动驾驶功能则会通过一些其他的前提条件判断是否可以激活功能。而且,在驾驶员在环的情况下,非预期激活并不会直接导致危害事件的发生(因为驾驶员可随时夺回控制权)。更多的情况下,我们需要关注的是HMI的失效是否会导致自动驾驶功能的非预期关闭。
HMI的发展将会随着自动驾驶技术的发展不断进步,在可预见的L3功能落地的背景下,HMI将会承接相当一部分的功能安全需求,相信未来HMI也会发展出更多更完善的功能安全自检机制及满足功能安全需求的硬件方案。
作者:边俊
文章来源:磐时汽车安全
推荐阅读
- PCIE配置空间
- 【系统启动】ARM Trusted Firmware分析——启动、PSCI、OP-TEE接口(下)
- 硬件安全模块 (HSM)、硬件安全引擎 (HSE) 和安全硬件扩展 (SHE)的区别
- 精品译文 | 基于测试台架的自动驾驶车辆的安全评估场景的开发与实施
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。