駕駛自動(dòng)化安全經(jīng)濟(jì)工程

自動(dòng)駕駛的主要目標(biāo)是消除人為錯(cuò)誤造成的事故。在全自動(dòng)駕駛汽車中，在系統(tǒng)發(fā)生故障時(shí)恢復(fù)駕駛員控制不是一種選擇;沒(méi)有驅(qū)動(dòng)程序，也沒(méi)有提供手動(dòng)控制來(lái)接管。安全關(guān)鍵系統(tǒng)必須采取行動(dòng)，而不是使用“人為后備系統(tǒng)”作為故障保險(xiǎn)。雖然這可以通過(guò)系統(tǒng)的完全冗余來(lái)實(shí)現(xiàn)，但需要替代架構(gòu)來(lái)最大限度地減少功能和系統(tǒng)的重復(fù)，以避免增加成本和重量。

汽車網(wǎng)絡(luò)架構(gòu)正在采用分區(qū)結(jié)構(gòu)來(lái)減輕車輛重量和成本，從而提高燃油經(jīng)濟(jì)性、節(jié)省空間和經(jīng)濟(jì)性。

域和區(qū)域體系結(jié)構(gòu)

圖 1 比較了域和區(qū)域車輛架構(gòu)的典型拓?fù)?。在左?cè)基于域的架構(gòu)中，傳感器和執(zhí)行器根據(jù)它們所屬的功能域進(jìn)行連接。每個(gè)域都有一個(gè)專用處理器作為域控制器的一部分。在右側(cè)的區(qū)域架構(gòu)中，傳感器和執(zhí)行器根據(jù)其在車輛中的物理位置進(jìn)行連接。區(qū)域控制器、中央計(jì)算模塊或兩者的組合處理傳統(tǒng)上由域控制器和中央網(wǎng)關(guān)執(zhí)行的處理任務(wù)。

圖 1：域和區(qū)域車輛架構(gòu)的典型拓?fù)洹?/p>

高優(yōu)先級(jí)數(shù)據(jù)通信量（如安全關(guān)鍵型控制命令和某些類型的傳感器數(shù)據(jù)）必須在特定的最大時(shí)間范圍內(nèi)到達(dá)目的地并做出響應(yīng)。對(duì)于中等優(yōu)先級(jí)的流量，例如車載娛樂(lè)數(shù)據(jù)，可以通過(guò)確保通信子系統(tǒng)中平均有足夠的傳輸帶寬來(lái)保持可接受的傳輸和響應(yīng)時(shí)間。盡力而為的數(shù)據(jù)流量沒(méi)有特定的延遲要求。數(shù)據(jù)最終“盡可能快”地到達(dá)就足夠了，包括在通信子系統(tǒng)達(dá)到限制的情況下重新傳輸信息。

演進(jìn)與功能安全

研究自動(dòng)制動(dòng)系統(tǒng)（圖2）有助于解釋域和區(qū)域架構(gòu)對(duì)ISO 26262中定義的所需汽車安全完整性等級(jí)（ASIL）等級(jí)的影響。

圖 2：典型自動(dòng)制動(dòng)系統(tǒng)中的數(shù)據(jù)流方案。

圖2中的黑色標(biāo)記框是電子控制單元（ECU），灰色標(biāo)記框表示ECU之間交換的信息。雷達(dá)單元將雷達(dá)數(shù)據(jù)發(fā)送到目標(biāo)檢測(cè)功能，該功能提取有關(guān)檢測(cè)到的對(duì)象的數(shù)據(jù)，這些數(shù)據(jù)是距離閾值功能的輸入。距離閾值計(jì)算與前方車輛保持距離所需的減速，并在距離低于預(yù)定義限制的情況下向制動(dòng)ECU發(fā)送適當(dāng)?shù)闹苿?dòng)命令。

該系統(tǒng)的安全目標(biāo)旨在避免意外制動(dòng)，并避免在需要時(shí)無(wú)法獲得所需的制動(dòng)扭矩。由于在發(fā)生故障時(shí)可能會(huì)危及生命或致命傷害，因此根據(jù)ISO 26262，這兩個(gè)目標(biāo)都應(yīng)滿足ASIL D的要求，這是最高的完整性要求。

領(lǐng)域和區(qū)域車輛架構(gòu)對(duì)這些安全目標(biāo)的影響不同。圖3顯示了基于域的架構(gòu)中自動(dòng)制動(dòng)的相關(guān)部件示例。

圖 3：基于域的自主制動(dòng)控制。

在這里，雷達(dá)、制動(dòng)器和域控制器通過(guò)單個(gè)CAN總線連接。雷達(dá)模塊從雷達(dá)前端接收數(shù)據(jù)，執(zhí)行目標(biāo)檢測(cè)，并執(zhí)行距離閾值任務(wù)。制動(dòng)控制命令通過(guò)CAN總線發(fā)送到制動(dòng)模塊，制動(dòng)模塊執(zhí)行命令任務(wù)。

圖 4 顯示了如何在區(qū)域架構(gòu)中實(shí)現(xiàn)相同的功能。雷達(dá)和制動(dòng)單元通過(guò)兩個(gè)獨(dú)立的CAN總線連接到兩個(gè)獨(dú)立的區(qū)域模塊。這些模塊都連接到中樞大腦，也可能連接到車輛內(nèi)的其他區(qū)域模塊。雷達(dá)模塊僅包含一個(gè)傳感器，制動(dòng)模塊包含一個(gè)執(zhí)行器。與基于域的體系結(jié)構(gòu)中的雷達(dá)和制動(dòng)模塊不同，區(qū)域體系結(jié)構(gòu)中的這兩個(gè)模塊中都沒(méi)有主要處理。相反，中央計(jì)算模塊執(zhí)行對(duì)象檢測(cè)和距離閾值（計(jì)算）。因此，此體系結(jié)構(gòu)稱為具有中央處理的區(qū)域體系結(jié)構(gòu)。

圖 4：具有中央處理的區(qū)域架構(gòu)中的自動(dòng)制動(dòng)。

可以采用其他方法，例如在區(qū)域模塊A和/或B內(nèi)執(zhí)行目標(biāo)檢測(cè)和距離閾值任務(wù)。此類變體稱為具有本地區(qū)域處理的區(qū)域體系結(jié)構(gòu)。

計(jì)算 ASIL-D 合規(guī)性的 FIT

硬件故障概率指標(biāo) （PMHF） 是公認(rèn)的 ISO 26262 安全指標(biāo)，是違反安全目標(biāo)的平均概率，表示為時(shí)間故障 （FIT）。ISO 26262 要求 ASIL D 的 PMHF 低于 10 FIT（每小時(shí) 10-8 次故障概率），ASIL C 的 PMHF 低于 100 FIT（每小時(shí) 10-7 次故障概率）。

根據(jù)其ASIL等級(jí)和ISO 26262標(biāo)準(zhǔn)為每個(gè)安全目標(biāo)分配最大PMHF值。該值分為示例體系結(jié)構(gòu)中區(qū)分的三個(gè)不同組件組：傳感器融合和處理、通信和執(zhí)行器組件。

這些單獨(dú)的組件組中的每一個(gè)都有自己的故障概率 PMHFx，其中“x”是組件的訂購(gòu)號(hào)。應(yīng)用程序的總體 PMHF 值是各個(gè)組件的 PMHFx 值的總和。為了滿足應(yīng)用的整體功能安全要求，總和應(yīng)小于或等于與ASIL安全目標(biāo)相關(guān)的最大PMHF值。

在從域體系結(jié)構(gòu)過(guò)渡到區(qū)域體系結(jié)構(gòu)的過(guò)程中，體系結(jié)構(gòu)更改和相關(guān)任務(wù)重新映射會(huì)影響應(yīng)用程序的 PMHF 值。在區(qū)域體系結(jié)構(gòu)中，與基于域的體系結(jié)構(gòu)相比，執(zhí)行同一應(yīng)用程序需要更多數(shù)量的通信和處理組件。

我們?cè)谑纠龖?yīng)用程序中計(jì)算了安全目標(biāo)的總體 PMHF，從而將基于域的體系結(jié)構(gòu)與我們之前描述的區(qū)域體系結(jié)構(gòu)的兩種變體進(jìn)行了比較。然后計(jì)算每個(gè)組分組對(duì)整體PMHF的相對(duì)貢獻(xiàn)，結(jié)果如圖5所示。該圖證實(shí)，更加分散的區(qū)域架構(gòu)導(dǎo)致車載網(wǎng)絡(luò)（IVN）通信對(duì)整個(gè)應(yīng)用PMHF的貢獻(xiàn)顯著增加。還發(fā)現(xiàn)處理的貢獻(xiàn)沒(méi)有顯著變化。這是因?yàn)樘幚砜偭吭诓煌捏w系結(jié)構(gòu)中不會(huì)改變。

圖 5：每個(gè)組件組和架構(gòu)的相對(duì) PMHF 貢獻(xiàn)。

自動(dòng)駕駛的故障運(yùn)行

當(dāng)乘客在發(fā)生故障時(shí)無(wú)法接管時(shí)，全自動(dòng)駕駛需要故障操作系統(tǒng)，以確保在發(fā)生故障時(shí)功能完整或降級(jí)。各種架構(gòu)都可以實(shí)現(xiàn)這一點(diǎn)，盡管每種架構(gòu)都有優(yōu)點(diǎn)和缺點(diǎn)。

架構(gòu)變體 1

同構(gòu)冗余將系統(tǒng)復(fù)制到兩個(gè)獨(dú)立的并行實(shí)現(xiàn)中（圖 6）。此變體在兩個(gè)實(shí)現(xiàn)之一中存在隨機(jī)故障時(shí)提供故障操作行為。目前只有一個(gè)并行實(shí)現(xiàn)處于活動(dòng)狀態(tài)，盡管備用（冗余）路徑可能會(huì)定期自檢以檢測(cè)潛在故障。如果主路徑發(fā)生故障，可以選擇第二條路徑以確?？捎眯?。

圖 6：全冗余架構(gòu)。

這種方法基于這樣的假設(shè)，即系統(tǒng)故障不太可能同時(shí)影響兩個(gè)實(shí)現(xiàn)，但通過(guò)在兩條路徑中使用不同的組件，可以將系統(tǒng)故障的影響降至最低。這被稱為多元化。缺點(diǎn)包括硅元件數(shù)量翻倍，因此增加了整體系統(tǒng)成本。

架構(gòu)變體 2

第二種變體（圖7）使用單個(gè)CAN總線連接傳感器融合、處理和執(zhí)行器組件。這避免了重復(fù)CAN總線結(jié)構(gòu)（即電纜），而是使用新型CAN收發(fā)器，允許在網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的單個(gè)故障下運(yùn)行。區(qū)域內(nèi)CAN可用性得到提高，而骨干網(wǎng)絡(luò)保持完全冗余。它節(jié)省了與冗余收發(fā)器相關(guān)的費(fèi)用和布線的重量，同時(shí)允許與完全冗余架構(gòu)相同的可用性。

圖 7：CAN 和主干網(wǎng)提高了可用性。

架構(gòu)變體 3

第三種變體的特點(diǎn)是不重復(fù)處理模塊和以太網(wǎng)交換機(jī)，如圖8所示。

圖 8：處理器可用性改進(jìn)和完全冗余網(wǎng)絡(luò)。

并行運(yùn)行的第二個(gè)處理器提高了處理模塊的可用性。此處理器可能具有較低的性能規(guī)格，因此必須采用故障降級(jí)的操作模式。對(duì)于某些用例，這是可以接受的，例如安全地將車輛移開(kāi)道路。

架構(gòu)變體 4

第四種變體（圖 9）將區(qū)域內(nèi) CAN 和處理可用性改進(jìn)與完全冗余的主干網(wǎng)絡(luò)相結(jié)合。這種布置提高了CAN和處理可用性，從而節(jié)省了變體2中的電纜，減少了變體3中的控制器模塊數(shù)量。

圖 9：使用冗余主干網(wǎng)提高區(qū)域內(nèi) CAN 和處理器可用性。

車輛網(wǎng)絡(luò)架構(gòu)的未來(lái)

更高水平的車輛自主性避免了人類參與駕駛過(guò)程。在這些更高的級(jí)別上，自動(dòng)駕駛系統(tǒng)必須無(wú)法進(jìn)入運(yùn)行狀態(tài)。盡管完全冗余是滿足此要求的不切實(shí)際的解決方案，但深思熟慮地采用可用性改進(jìn)的通信和處理功能可以以較低的總體系統(tǒng)成本實(shí)現(xiàn)相同的可用性。

車輛網(wǎng)絡(luò)架構(gòu)正在轉(zhuǎn)向區(qū)域架構(gòu)，旨在支持更強(qiáng)大的功能，同時(shí)最大限度地減輕車輛重量和成本。另一方面，區(qū)域化需要仔細(xì)設(shè)計(jì)，以確保安全關(guān)鍵系統(tǒng)（如自動(dòng)制動(dòng)）能夠達(dá)到所需的ASIL。我們已經(jīng)表明，與傳統(tǒng)的車輛網(wǎng)絡(luò)拓?fù)湎啾龋瑓^(qū)域網(wǎng)絡(luò)中由于車載網(wǎng)絡(luò)的貢獻(xiàn)而違反安全目標(biāo)的平均概率顯著增加。

審核編輯：郭婷