原创:浅谈 L3 系统对执行器的功能安全需求
对于 L3 的设计,首先争论较多的是 L3 接管条件的具体定义,是驾驶员一直在环执行驾驶任务的功能描述,还是在 L3 控制过程中,驾驶员仅在 L3 系统报故障后才进行接管的情况?本文所述为后者,在 L3 功能启用时,若无需驾驶员接管操作,车辆驾驶可全由 L3 系统完成。在 L3 设计安全方面,冗余这一特征点给人印象深刻,但 L3 详细设计技术要求却较为模糊,面对一个总的 ASIL D 的安全目标,如何拆分到主控和辅控的 ASIL 要求上,又如何对这些主控和辅控进行技术安全设计需求分配,是一个行业里的未解话题。
本文就自上往下进行一个设计技术的过程探讨,与各家的方案适配与否,可参考过程研究的方法,深入校对,欢迎留言。
1.安全目标及功能安全需求的浅析
在本文重点谈 L3 执行器的设计方案,从 L3 的整车安全目标中选择与执行器相关的安全目标进行分析,提取出执行器的功能安全需求要点,按这条设计链路进行分析。
1.1 整车层执行器相关的安全目标和要点说明
首先,与执行器相关的整车层安全目标层面涉及:
1)ASILD:避免车辆减速能力丢失或降低,非预期车辆减速能力丢失或降低,导致驾驶员还在接管时间之内,车辆与其他交通参与者、道路基础设施、障碍物等发生碰撞。
制动减速的能力不足在 L3 系统中,常规的能力需求应用范围是重点指标对象,按传统车辆的紧急制动需求,最大制动能力需达到 1g 以上,从而对应 AEB 等紧急情况的需要,而对于 L3 系统来说,综合控制能力会强于传统驾驶员,因为自车的理性设计水平更高,以熟练老司机对等,除非被动出现加塞等情况,否则,安全距离和提前减速是必备的策略,在非被动出现的紧急情况下,L3 系统的舒适性减速范围一般制动减速度小于 0.5g 即可应对常规环境的安全刹停。
因此,针对此安全目标,减速能力低线按传统机制补偿力的 0.48g 约束,具有可行性,从单制动机械失效的要求,按 0.643g 作为备份下线能力要求,系统更安全。
2)ASILC:避免车辆非预期过大的减速,应避免自动驾驶功能运行过程中,非预期过大的减速,导致被后车追尾。
自车产生过大的减速度的情况,涉及的安全技术为 2 个点,一是分别多大的减速度对应到 ASIL 等级,按 ASILC 来说,大于 0.8g 且带有制动灯提醒后车为参数要求,0.5g~0.8g 之间且带制动灯为 ASILB 的要求。
在本安全指标里,纵向加速度和纵向位移偏差由于归在 HAD(自动驾驶域控)的主控循环里,会实时调节输出减速度值进行调节,故,仍定义为减速度控制本身,可定义为减速度执行器的执行误差值里。
3)ASILD:非预期加速,应避免自动驾驶功能运行过程中,非预期产生加速和过大的加速,导致发生碰撞。
本指标对于执行器来说,进行正确的执行加速度值和分配加速度值达 ASILD 即可,纵向加速度偏差和纵向位移偏差作为执行器的误差值进行要求。非预期产生不正确的加速,而未约束丢失加速度,故,丢失动力本身跟安全状态的要求和 L3 的定义有关,若为停车在当前车道,丢失动力的指标与传统动力要求一致,并未定义冗余动力的要求,但前提是 L3 架构里,对应于单路的失效率和产品同等于传统动力系统设计。
4)ASILD:非预期驻车丢失,应避免自动驾驶功能运行过程中,原本已保持车辆的停止状态 ,而非预期发生纵向移动,导致与 VRU 交通弱势者群体或危险路况下发生碰撞。
本安全目标有对应 ASILC 设计的可能性论证,对于 L3 的路况不同,本 ASIL 定义等级可能不同,比如:驻车在城市路况非十字路口首车,可能就算移动了,前方有车辆会档住,碰撞的是车辆或障碍物,低速移动带来的碰撞不会产生 S 值的过大,若在高速公路,一般为堵车工况,一般发生的 ASIL 等级达不到 ASILD,按 ASILC 即可,但若用于城市行车,保险起见,仍按 ASILD 进行要求更安全,防止闯红灯等异常。从执行器的角度,指令驻车按短时液压保持和长时 EPB 拉起,组合设计防溜坡补偿,均可达执行正确的指标。
5)ASILD:非预期丢失驾驶员干预操纵的能力,过大加速踏板力、制动踏板力等介入的情况下,驾驶员应需要有直接接管车辆的能力。
本需求的来源有几种分解方式,一种是 L3 的功能接管开关操作,驾驶员通过按键进行对 L3 接管的输入要求,之后才可以操纵方向盘和制动与油门,从而给人机共驾进行一个临界点的输入;另一种,在 L3 系统里,做 debounce 时间和驾驶员接管意图的校验,确认交接的值的有效性,从而响应驾驶员的超越控制。
6)ASILD:非预期挂档,将 D 换成 R;非预期失去稳定性(超速进入弯道或低附路面)。
高速段和城市起步段的应用不同,按 L3 有换档工况的操作,本安全目标应包括在内,对于电动车和燃油车的换档的功能安全技术方案稍有差异。
7)ASILD:非预期侧向运动或横摆运动,应避免自动驾驶功能运行过程中,车辆非预期侧向运动或横摆运动,包括非预期的 Yawrate 控制、侧滑控制、横向加速度超出、横向位移偏差超大等。
8)ASILD:非预期失去侧向运动控制,应避免车辆不可进行目标轨迹的转向控制,是基本的要求。
对于整车安全目标的这 8 个在行业里的公认度是比较高,争议点较小,值得研究探讨的是 MRM 是否适用于直接从整车层定义安全目标,根据这个争议点,本文进行基本情况论证。
1.2 最小风险策略的安全目标论证
从单独定义 MRM 安全目标的角度分析如下:
ASILB 非预期丢失最小风险操作(MRM)能力,即车辆无法进行 MRM 操作。针对 L3,默认 10 秒内是有功能安全,10 秒后驾驶员按义务是需要接管成功,不应该再分配功能安全,定义最小风险策略,并不是无风险策略,不然,就意味着 MRM 是驾驶员可正常依赖的途径。那么 10 秒之后接管责任归驾驶员就存在矛盾。
但对于这个安全目标若从整车 HARA 层分析,最小风险操作(MRM)能力的要求,定义已经是驾驶员 10 秒后不能接管车辆的降风险操作,那么这个降风险操作的安全目标的来源基础如何定义呢?驾驶员为啥可以允许存在 10 秒还不接管车辆?或有哪些情况会用的到 MRM?
● 我们进行几种情况的讨论:
第一种:驾驶员的接管能力正常,一般用不到 MRM,故,也没有必要定义 MRM 本身的能力;
第二种:驾驶员的接管能力正常,在驾驶员接管的 10 秒时间之内,系统的安全性依靠 MRM 的系统组成,故,定义 MRM 的 ASIL 要求是从 10 秒内的安全性要求得出的,且,重点关注辅控系统的潜伏故障;
从分解来说,仅主控失效后才可能出现应用的场景,主控系统包括的丢失失效起到决定性作用,故,主控系统若为 ASILD,MRM 实际可以用 QM 对应,但对于非预期和丢失是不同等的,非预期的角度,MRM 一直需要是 ASILD,对于丢失,可以是 QM。同理,若主控系统的丢失控制若为 ASILB,MRM 的丢失也需要 ASILB 进行对应。
但此处,从 10 秒这样的极短时间的辅助再发生故障来说,可以理解为双点故障的“&&”吗?未有产品手册或实际的标准总结这个双点故障的时间间隔,若从直接相与的设计,在丢失层面,10 秒之内的丢失均可以按 QM 进行设计;但需提供本产品的丢失双点的时间间隔可靠性佐证材料。
在辅控系统作为 standby 的分布结构来说,解决潜伏故障带来的主控失效时启用辅控时,才发现辅控已无能力运行响应,此时,最为关键,故,从保障层面,诊断覆盖率的要求必然需要达 ASILB 的能力,按 ASILB 的 MRM 系统保障更加可靠。
第三种:驾驶员的接管能力不正常,在 10 秒之后仍需要用到 MRM;
从这个场景来看,其发生概率取决于法规运营的定义。若法规运营要求驾驶 L3 系统的驾驶员必须具备驾车能力,且 10 秒内的安全由系统保障,之后的安全由驾驶员负责,那么本 MRM 的独立应用概率极低,可不进行 ASIL 定义。即默认一个有功能的系统在主控失效的 10 秒之内,还有能独立支撑不发生第二个故障的能力。
功能安全需求
根据如上的安全目标锁定的情况下,进行对应的 FSR 功能安全需求分解,按架构先进行各执行件模块的任务范围划分,主控模块执行器的设计架构如下:
辅控模块执行器按最小 L3 设计架构的设计框图如下:
注:对于 L3 的最大失效情况为主电源失效的情况,进行最小必备要求的系统设计,需保障能够进行本车道停车的接管时间内控制要求。
2.执行器的协调模块和制动减速模块进行功能安全需求的分解
2.1 主执行器的协调模块功能安全需求
FSR 需求描述:
1)ASILD 正确进行 HAD 请求指令的握手和仲裁
从解读详设层面分析如下:
a. 防止外部未请求而进行误触发执行器动作;
b. 防止外部有请求动作但意外不响应;
c. 防止 L 3运行中,有其他系统请求控制同类指令,导致响应冲突;
2)ASILD 正确进行执行器的状态能力反馈
从解读详设层面分析如下:
a. 防止执行器能力下降未能上报给 HAD 系统进行降级策略对应;
b. 防止执行器有故障未诊断到,不能上报故障 ERROR;
本处值得探讨的是,如果车辆的机械性故障,未能通过电子电器部件进行检测,而此时,驾驶员又没有触感等辅助判断,那如何保障在机械性故障发生的时刻,车辆能安全运行?此处的检测机制在行业里也是难点,若无法通过电子电器检测,只能通过耐久记录和生产质量进行管控。
3)ASILD 正确进行纵向控制力矩的分配
从解读详设层面分析如下:
a. 防止收到 HAD 的加减速指令后,未进行正确的驱动力矩和制动力矩的分配;
4)ASILD 正确执行稳定性策略响应;
5)ASILD 正确接受驾驶员干预操纵响应;
6)ASILD 正确输出车辆状态的信息数据。
2.2 主制动减速模块功能安全需求
FSR 需求描述:
1)ASILB 正确执行减速请求指令,性能误差不低于 TBD 范围;
2)ASILD 正确诊断减速度能力故障。
2.3 辅控执行器的主控转接模块功能安全需求
FSR 需求描述:
1)ASILB 正确进行 HAD 请求指令的转接响应;
2)ASILB 正确进行执行器的状态能力反馈;
3)ASILB 正确进行纵向控制力矩的分配;
4)ASILB 正确执行 ABS 响应;
5)ASILB 正确接受驾驶员干预操纵响应;
6)ASILB 正确输出车辆状态的信息数据。
2.4 辅控制动减速模块功能安全需求
FSR 需求描述:
1)ASILB 正确执行减速请求指令,性能误差不低于 TBD 范围;
2)ASILB 正确诊断减速度能力故障。
3.总结
本文以着力于 L3 的最低控制安全要求的备份条件下,以协调模块和制动模块为示例进行的设计方案的分析,在指标层面和细节全面性方面,仍待按需增补,由于行业当前未有明确的发文指导本细则层面的安全方案设计,故,推出本文,希望更多的开发者贡献更优质的详细设计文章,为安全行业的共识和标准化积累增量。
END
作者:梨花雨歇
文章来源:sasetech
推荐阅读
更多物联网安全,PSA 等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA 技术交流群,请备注研究方向。
