王曉龍 穆春陽 馬行 張盼盼

摘 要： 為了實現(xiàn)車道偏離預(yù)警系統(tǒng)（ LDWS ）在參與汽車輔助駕駛時的安全功能，按照道路車輛功能安全I(xiàn)SO 26262標(biāo)準(zhǔn)定制了系統(tǒng)的設(shè)計流程。根據(jù)車道偏離預(yù)警系統(tǒng)的安全目標(biāo)和整車對其功能安全的要求，對系統(tǒng)架構(gòu)進行了分層設(shè)計，并對安全子系統(tǒng)進行詳細(xì)設(shè)計。在此基礎(chǔ)上，基于TMS320DM8168對車道偏離預(yù)警系統(tǒng)的硬件和軟件進行了安全設(shè)計規(guī)范開發(fā)，最后對系統(tǒng)的設(shè)計及規(guī)范進行檢驗。結(jié)果表明，該系統(tǒng)符合ISO 26262功能安全標(biāo)準(zhǔn)的要求，能實現(xiàn)整車的安全目標(biāo)。

關(guān)鍵詞： 汽車工程； 車道偏離； LDWS； 功能安全； ISO 26262

中圖分類號： TN919?34； U471.15 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2016）05?0164?04

0 引 言

由ISO國際標(biāo)準(zhǔn)化組織聯(lián)合IEC國際電工協(xié)會共同制定的ISO 26262道路車輛功能安全標(biāo)準(zhǔn)，源于電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508，目的是提高汽車電子、電氣產(chǎn)品功能安全[1]。該標(biāo)準(zhǔn)定義了汽車生命周期（管理，研發(fā)，生產(chǎn)，運行，服務(wù)，退市）內(nèi)功能安全活動的要求，現(xiàn)已成為歐洲汽車開發(fā)的通用標(biāo)準(zhǔn)并受到世界各大汽車企業(yè)的廣泛關(guān)注，而中國各汽車企業(yè)尚處于對該標(biāo)準(zhǔn)的了解和嘗試應(yīng)用階段。

車道偏離預(yù)警系統(tǒng)（Lane Departure Warning System，LDWS）是汽車安全輔助駕駛技術(shù)研究中的重要組成部分，它是通過主動警告疲勞或注意力不集中的駕駛員，使其修正無意識的車道偏離，從而減少車輛偏離行駛車道事故的發(fā)生[2?3]。早期車道偏離預(yù)警系統(tǒng)的研究主要集中在如何采用各種傳感器技術(shù)實現(xiàn)車道線檢測，辨識車輛在行駛中車道線的位置，進而實現(xiàn)預(yù)警或控制。隨著研究的深入，道路車輛功能安全標(biāo)準(zhǔn)ISO 26262受到車道偏離預(yù)警系統(tǒng)開發(fā)廠商及相關(guān)科研機構(gòu)的關(guān)注。下面介紹的車道偏離預(yù)警系統(tǒng)是基于標(biāo)準(zhǔn)ISO 26262的開發(fā)流程進行設(shè)計的。

1 基于ISO 26262的車道偏離預(yù)警系統(tǒng)開發(fā)流程

道路車輛功能安全標(biāo)準(zhǔn)ISO 26262提供了關(guān)于汽車電子電氣系統(tǒng)生命周期、功能安全工作流程和管理流程的相關(guān)指導(dǎo)，并通過對開發(fā)流程和工作文檔的操作規(guī)范來減少或消除車道偏離預(yù)警系統(tǒng)的潛在引起的危害[4]。根據(jù)ISO 26262中定義的汽車安全生命周期要求，車道偏離預(yù)警系統(tǒng)的開發(fā)分為概念設(shè)計、產(chǎn)品設(shè)計和生產(chǎn)運作3個開發(fā)流程，如圖1所示。

其中，在概念設(shè)計階段，通過對車道偏離預(yù)警系統(tǒng)危險事故的嚴(yán)重度，事故暴露的可能性及可控性的分析，確定了車道偏離預(yù)警系統(tǒng)的安全完整等級（ASIL）為汽車安全中的ASIL B級。產(chǎn)品設(shè)計開發(fā)階段主要是設(shè)計出本系統(tǒng)的體系架構(gòu)，完成硬件的選型和軟件的設(shè)計等功能安全設(shè)計，其開發(fā)流程與開發(fā)汽車的“V”?；鞠嗤?，且硬件和軟件的開發(fā)也遵循相似的小“V”型開發(fā)流程。

2 車道偏離預(yù)警系統(tǒng)設(shè)計

2.1 系統(tǒng)架構(gòu)設(shè)計

根據(jù)產(chǎn)品設(shè)計開發(fā)階段設(shè)計出的車道偏離預(yù)警系統(tǒng)體系架構(gòu)，本系統(tǒng)主要由圖像采集單元、TMS320DM8168圖像處理控制單元、報警顯示單元、圖像存儲單元、其他控制單元CAN信號組成，其架構(gòu)簡圖如圖2所示。

在車道偏離預(yù)警系統(tǒng)在運行的過程中，安裝在駕駛室后視鏡處的CCD攝像機會拍攝整車行駛過程中的路況圖像，并在圖像處理單元TMS320DM8168中，經(jīng)車道線識別算法處理后得到車道標(biāo)志線、道路曲率半徑和側(cè)向偏移等道路動態(tài)參數(shù)信息，進而判斷是否向報警顯示單元發(fā)出控制指令，提示駕駛?cè)藛T和輔助控制整車。

2.2 系統(tǒng)的三層監(jiān)控設(shè)計

根據(jù)標(biāo)準(zhǔn)ISO 26262可將LDWS劃分為安全相關(guān)組件和非安全相關(guān)組件，其中非安全相關(guān)組件在整個車道偏離預(yù)警系統(tǒng)中占了極大比重，最重要的是ISO 26262對非安全相關(guān)組件的開發(fā)沒有要求，對安全相關(guān)組件的開發(fā)流程和開發(fā)方法做出了非常嚴(yán)格要求[5]。如果將一個系統(tǒng)的所有組件（非安全和安全相關(guān)組件）都按照ISO 26262規(guī)定流程和設(shè)計方法進行開發(fā)制作，必定會使開發(fā)成本大幅提高，造成資源、時間和人力的極大浪費，也使開發(fā)復(fù)雜度增加。因此，在對車道偏離預(yù)警系統(tǒng)開發(fā)設(shè)計時采用了三層監(jiān)控概念，如圖3所示。

由圖3可知，車道偏離預(yù)警系統(tǒng)的控制器硬件部分分為兩個核，分別為系統(tǒng)功能實現(xiàn)控制器和安全監(jiān)控控制器。而在軟件上共分為三層，分別為：

第一層的基本功能控制層，是非安全相關(guān)的功能軟件，用來實現(xiàn)系統(tǒng)對各個功能模塊的基本驅(qū)動控制。

第二層的功能監(jiān)控限制層，是安全相關(guān)的監(jiān)控軟件。主要作用是監(jiān)控第一層是否正確運行，如果計算出來的道路參數(shù)信息不符合實際情況或錯誤，則進入無效模式，并通過發(fā)出允許的相關(guān)命令對第一層的功能進行管控限制，使整車進入安全狀態(tài)或盡量降低安全風(fēng)險。

第三層的控制器監(jiān)控層，同樣是安全相關(guān)的監(jiān)控軟件。主要功能是利用其安全監(jiān)控控制器實現(xiàn)對功能實現(xiàn)控制器硬件故障及失效的檢測，盡量能夠診斷出失效硬件的位置，為維護起到指導(dǎo)作用。

根據(jù)以上分析，車道偏離預(yù)警系統(tǒng)的第二層和第三層需按照標(biāo)準(zhǔn)ISO 26262安全相關(guān)組件的開發(fā)流程和要求進行開發(fā)，而第一層按照一般的E/E/PE開發(fā)流程開發(fā)即可。這樣的設(shè)計開發(fā)模式即符合ISO 26262標(biāo)準(zhǔn)，實現(xiàn)系統(tǒng)的功能安全，又可最大程度的減少企業(yè)的開發(fā)成本和工作量，實現(xiàn)雙贏。

2.3 系統(tǒng)的安全子系統(tǒng)設(shè)計

2.3.1 技術(shù)安全概念設(shè)計

技術(shù)安全概念是在系統(tǒng)設(shè)計的啟動階段根據(jù)系統(tǒng)架構(gòu)提煉的功能安全需求創(chuàng)建的。針對車道偏離預(yù)警系統(tǒng)，技術(shù)安全概念設(shè)計如下：

（1） 根據(jù)LDWS的系統(tǒng)架構(gòu)和從整車得到的該系統(tǒng)功能安全概念，將安全相關(guān)的各個功能模塊詳細(xì)列出，再結(jié)合各模塊之間的信息傳遞和控制關(guān)系，進而制定出本系統(tǒng)三層監(jiān)控概念中的第二層功能安全子系統(tǒng)邏輯框架，如圖4所示。

（2） 在圖4基礎(chǔ)上，結(jié)合故障樹分析（FTA）、預(yù)先危險性分析（PHA）、危險與可操作性分析（HAZOP）和影響分析（FMEA）等安全分析方法，制定出各模塊實現(xiàn)車道偏離預(yù)警系統(tǒng)功能安全的技術(shù)解決方案，并細(xì)化為模塊間的安全功能機制。

（3） 最后分配這些具體的技術(shù)安全需求到相應(yīng)的模塊與通信控制信號中，從而形成技術(shù)安全概念。

2.3.2 硬件的安全規(guī)范設(shè)計

標(biāo)準(zhǔn)ISO 26262對硬件的安全需求指標(biāo)分為硬件架構(gòu)失效率和隨機硬件失效率[1]，其中硬件架構(gòu)失效率主要由單點失效率和潛伏失效率組成，制定的用以評價系統(tǒng)在此方面的安全性量化指標(biāo)如表1，表2所示。

由于車道偏離預(yù)警系統(tǒng)實現(xiàn)的安全目標(biāo)最高ASIL 等級為ASIL B，且根據(jù)表1，表2可確定本系統(tǒng)安全目標(biāo)相關(guān)硬件指標(biāo)要求的參數(shù)（表中灰色部分）。同時考慮到本系統(tǒng)由攝像頭、TMS320DM8168和報警顯示等子系統(tǒng)組成，且上述參數(shù)指標(biāo)也僅是對各個子系統(tǒng)總指標(biāo)，因此，在安全目標(biāo)由多個子系統(tǒng)共同作用實現(xiàn)時，這些子系統(tǒng)失效率之和不能高于上述指標(biāo)。

在硬件開發(fā)階段，LDWS的圖像處理單元、報警顯示等單元組件比較復(fù)雜，且系統(tǒng)中要求至少存在兩個控制核，因此為了達(dá)到標(biāo)準(zhǔn)ISO 26262的要求，這些組件都必須嚴(yán)格按照ISO 26262的開發(fā)流程進行設(shè)計開發(fā)，并生成文檔保存。硬件和傳感器需按照ISO 26262的要求對其進行功能安全資格驗證，只要能滿足LDWS的安全參數(shù)要求，就可在安全子系統(tǒng)中使用。此外，可以通過增加冗余設(shè)計，減少單點隨機失效率和潛在隨機失效率，進一步提升系統(tǒng)的硬件架構(gòu)指標(biāo)目標(biāo)值，實現(xiàn)安全目標(biāo)。

2.3.3 軟件安全規(guī)范設(shè)計

車道偏離預(yù)警系統(tǒng)安全子系統(tǒng)軟件安全規(guī)范設(shè)計主要是針對三層監(jiān)控系統(tǒng)的第二層功能監(jiān)控限制層設(shè)計的。由于在本設(shè)計LDWS中包含兩種不同安全等級的安全目標(biāo)：ASIL A和ASIL B，而標(biāo)準(zhǔn)ISO 26262對不同的安全等級的軟件設(shè)計實現(xiàn)和檢測效驗流程有不同的要求，且具有向下兼容的原則?？紤]到采用不同的流程和檢測效驗流程對軟件進行開發(fā)，會無形的增加LDWS的開發(fā)工作量和開發(fā)成本，延長產(chǎn)品的開發(fā)周期，因此功能監(jiān)控限制層軟件開發(fā)全部按照ASIL B等級的開發(fā)流程進行開發(fā)設(shè)計，其流程開發(fā)實現(xiàn)原則如表3所示。其中：“++”表示最高的推薦指數(shù)；“+”表示建議使用；“0”表示不建議使用或不需使用；灰色標(biāo)注的為本設(shè)計選擇的開發(fā)流程標(biāo)準(zhǔn)。

車道偏離預(yù)警系統(tǒng)安全子系統(tǒng)軟件設(shè)計的主要內(nèi)容為：評估和校驗在整車行駛工程中計算出來的道路參數(shù)信息是否符合實際情況，是否計算發(fā)生錯誤，并在此基礎(chǔ)上對報警提示控制單元發(fā)出相應(yīng)的允許或者不允許的執(zhí)行信號，從而使行駛中的整車在LDWS發(fā)生故障的情況下仍然處在安全狀態(tài)。

3 系統(tǒng)的檢驗與評估

按照標(biāo)準(zhǔn)ISO 26262開發(fā)流程設(shè)計出的車道偏離預(yù)警系統(tǒng)如圖5所示。道路參數(shù)和報警顯示單元的響應(yīng)速度進測試數(shù)據(jù)如表4，表5所示。

表4為在晴天白天場景下測試過程中選擇的6個典型測試角度，由測量的偏離角度平均值[x]可知，經(jīng)車道偏離預(yù)警系統(tǒng)計算處理得到的車輛與車道線偏離角度與實際值基本相同。但是隨著角度的增大，標(biāo)準(zhǔn)差[σ]也隨之增大，且在30°時出現(xiàn)一次嚴(yán)重錯誤，可見隨著偏離角度的增大，測得的數(shù)據(jù)波動越嚴(yán)重，相對變得不穩(wěn)定，但相對于測試的300次，出現(xiàn)的概率為0.33%（見表6），仍為小概率事件。因此系統(tǒng)測量到的數(shù)據(jù)是可靠的。

由表5可知，報警顯示單元響應(yīng)速度能達(dá)到要求，且測量到的數(shù)據(jù)也符合相應(yīng)執(zhí)行機構(gòu)的規(guī)律和設(shè)計需求。機械結(jié)構(gòu)執(zhí)行時間要慢于電子器件，相對設(shè)計復(fù)雜的設(shè)備執(zhí)行時間要長于簡單設(shè)備的執(zhí)行時間。在不同場景進行功能性測試，測試數(shù)據(jù)如表6所示。

從表6的數(shù)據(jù)可以得到光線強弱、行駛速度和路況清晰度對系統(tǒng)的正確執(zhí)行有影響。對比每一種場景的低速（35～40 km/h）和中速（65k～70 km/h）下的誤判率可知，車速快易造成誤判，經(jīng)分析確認(rèn)問題為：系統(tǒng)使用的算法復(fù)雜度高，速度越快，實時性也越差。對比晴天白天、晴天傍晚和陰天三種場景下的誤判率可知：光線越暗越易出現(xiàn)誤判，其實質(zhì)是影響CCD攝像頭感光，使系統(tǒng)采集的圖像干擾噪聲增加，對車道線特征的提取造成了影響，但是誤判率依舊能保持3.00%以下。但是，在雨天和霧天測試時，誤判率明顯提高，分析原因為：此場景下，行車周圍環(huán)境的能見度變低，使拍攝的道路圖像質(zhì)量變低，車道線特征明顯。通過以上分析說明本文設(shè)計的系統(tǒng)是可行的，但相關(guān)算法有待優(yōu)化和提高，降低復(fù)雜度。

最后還需要根據(jù)ISO 26262道路車輛功能安全標(biāo)準(zhǔn)的要求，對系統(tǒng)及其各安全子系統(tǒng)進行檢測確認(rèn)和評估。因為系統(tǒng)的最高安全等級為ASIL B，因此采用獨立性為i2的效驗確認(rèn)和評估方法。效驗確認(rèn)主要對所設(shè)計的系統(tǒng)的硬件安全計劃、FTA、FMEA和FMA進行檢測驗證，結(jié)果證明設(shè)計的系統(tǒng)在技術(shù)安全概念和功能安全概念上符合ISO 26262的要求。為了能夠?qū)ο到y(tǒng)的各個安全子系統(tǒng)進行評估，在LDWS的開發(fā)過程中，共設(shè)置了3個評估節(jié)點，以方便在不同的開發(fā)階段對系統(tǒng)進行評估并糾正可能出現(xiàn)的問題，并與開發(fā)過程構(gòu)成“V”型模式；當(dāng)整個系統(tǒng)設(shè)計完成后，對各個安全子系統(tǒng)的工程設(shè)計文檔、開發(fā)流程和設(shè)計實現(xiàn)工程的安全活動進行第2次評估，結(jié)果證明所設(shè)計的LDWS同樣符合標(biāo)準(zhǔn)ISO 26262，可以實現(xiàn)功能安全。

4 結(jié) 語

本文基于ISO 26262標(biāo)準(zhǔn)，以車道偏離預(yù)警系統(tǒng)為研究對象，進行了系統(tǒng)設(shè)計與規(guī)范驗證測試。依據(jù)車道偏離預(yù)警系統(tǒng)在整車的實際需要和當(dāng)前技術(shù)，將三層監(jiān)控概念應(yīng)用到了S車道偏離預(yù)警系統(tǒng)的開發(fā)流程中，并且實現(xiàn)了各個安全子系統(tǒng)的設(shè)計。車道偏離預(yù)警系統(tǒng)的開發(fā)流程和設(shè)計方法對汽車安全輔助駕駛其他的設(shè)備開發(fā)也具有一定的參考價值。

注：本文通訊作者為馬行。

參考文獻(xiàn)

[1] International Organization Standardization. Road vehicles?functional safety， part3： concept phase： ISO/FDIS 26262?3， 2011 [S]. New York： International Organization Standardization， 2011： 6.

[2] JORDAN N， FRANCK M， MYRIAM E J， et al. Objective and subjective evaluation of motor priming and warning systems applied to lateral control assistance [J]. Accident， analysis and prevention， 2010， 42 （3）： 904?912.

[3] 葛平淑，郭烈，杜元虎，等.基于CCD參數(shù)智能調(diào)節(jié)的車道線檢測[J].汽車工程，2014，36（7）：779?784.

[4] 劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)ISO26262[J].上海汽車，2011（10）：57?61.

[5] 葛鵬，陳勇，羅大國，等.基于道路車輛功能安全標(biāo)準(zhǔn)ISO 26262的7DCT電控系統(tǒng)設(shè)計[J].汽車技術(shù)，2014（9）：21?23.

[6] 金濤，張海峰，李沁南，等.高速公路ETC車道單雙天線布局的分析與比較[J].現(xiàn)代電子技術(shù)，2012，35（17）：150?153.