王俊明， 周宏偉

(長安汽車股份有限公司 智能化研究院， 重慶 401120)

0 引 言

汽車自動化及自動駕駛是汽車行業(yè)未來發(fā)展的趨勢，世界各國對該領(lǐng)域的研究如火如荼，先后開展了很多自動駕駛汽車的相關(guān)道路試驗，取得了豐碩的成果[1]。目前各國都已經(jīng)給出了汽車自動化和自動駕駛發(fā)展規(guī)劃，各大車企、汽車相關(guān)科研機構(gòu)和組織對自動駕駛的發(fā)展階段定義基本趨同，包括美國汽車工程師學會SAE(society of automotive engineers)、美國國家公路交通安全管理局NHTSA(national highway traffic safety administration)、歐洲博世(Bosch)、中國汽車工程學會以及以長安汽車為代表的一批車企等，主要劃分如下階段：無自動駕駛(Level 0)、具有指定功能自動駕駛(Level 1)、具有復合功能的自動駕駛(Level 2)、具有限制條件的無人駕駛(Level 3)、完全自動駕駛(Level 4)。而目前主流的技術(shù)水平均處于Level 1和Level 2的階段，即輔助自動駕駛階段，只有像谷歌等極少數(shù)公司的技術(shù)已經(jīng)進入Level 4階段[2]。

自動駕駛的實現(xiàn)依靠的是越來越復雜的電子電氣系統(tǒng)的集成和控制，基于電子電氣系統(tǒng)的功能安全問題漸漸凸顯出來，成為汽車自動化過程中首當其沖需要解決的關(guān)鍵問題之一，為此國際標準化組織(ISO)專門推出了ISO26262——道路車輛功能安全標準，來為整個生命周期中與功能安全相關(guān)的工作流程和管理流程提供指導[3]。

電子電氣系統(tǒng)的開發(fā)設(shè)計越來越多將功能安全作為考慮的因素，所有滿足功能安全標準ISO26262設(shè)計的電子電氣系統(tǒng)和子系統(tǒng)，最初的設(shè)計依據(jù)均來自于頂層分析，即功能安全概念階段的分析成果，因此合理的概念設(shè)計至關(guān)重要。

目前應用ISO26262標準開發(fā)設(shè)計實用功能系統(tǒng)的較多[4-6]，對自動化各個階段的功能系統(tǒng)尤其是自動駕駛輔助系統(tǒng)的研究應用相對較少，現(xiàn)有研究主要是ISO26262標準的整體應用[7]，專門針對功能安全概念的研究文獻屈指可數(shù)，可見此階段還未引起研究人員足夠的重視。以長安汽車在研自動駕駛輔助系統(tǒng)功能之一車道保持系統(tǒng)為例，設(shè)計出符合功能安全標準ISO26262的電子電氣系統(tǒng)安全設(shè)計的具體執(zhí)行方法，闡述了詳細的內(nèi)容和步驟，為開展后續(xù)系統(tǒng)設(shè)計和軟硬件設(shè)計提供輸出成果，并為其他技術(shù)人員開展相關(guān)系統(tǒng)的功能安全概念設(shè)計提供指導。

1 ISO26262簡介

ISO26262是IEC61508對電子電氣系統(tǒng)在道路車輛方面的功能安全要求的具體應用，適用于道路車輛上特定的由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動[8]。

圖1表述了基于功能安全的產(chǎn)品生命開發(fā)周期，包括概念階段、產(chǎn)品開發(fā)和生產(chǎn)發(fā)布之后3個階段。

1)概念階段：包括相關(guān)項定義(Part 3-5)、安全生命周期啟動(Part 3-6)、危害分析和風險評估(Part 3-7)、功能安全概念(Part 3-8)四部分內(nèi)容。根據(jù)產(chǎn)品的功能定義開發(fā)相關(guān)項定義，并啟動產(chǎn)品安全開發(fā)生命周期，后以相關(guān)項定義為基礎(chǔ)進行HARA分析，得出產(chǎn)品的功能安全目標和ASIL等級，再進行概念分析得出功能安全要求及對應的ASIL等級。

圖1 安全生命周期Fig. 1 Safety lifecycle

2)產(chǎn)品開發(fā)：基于概念階段分析得出的功能安全要求，得出具體的技術(shù)安全要求，包括系統(tǒng)層(Part 4)、硬件層(Part 5)和軟件層(Part 6)的技術(shù)安全要求，并指導各個層級的設(shè)計開發(fā)；產(chǎn)品設(shè)計開發(fā)完成后，需要通過功能安全確認(Part 4-9)和功能安全評估(Part 4-10)才能允許產(chǎn)品生產(chǎn)發(fā)布(Part 4-11)。其中，安全確認除了對功能安全要求的所有交付物進行確認，還包括支撐概念階段分析的控制能力的假設(shè)、外部措施的使用及其他技術(shù)的應用。產(chǎn)品開發(fā)過程中應該同步定義產(chǎn)品的生產(chǎn)計劃(Part 7-5)和運行計劃(Part 7-6)。

3)生產(chǎn)發(fā)布之后：基于產(chǎn)品的生產(chǎn)計劃和運行計劃，執(zhí)行基于功能安全要求的的生產(chǎn)、運行、服務和報廢過程(Part 7-6和Part 7-6)的活動。上述活動中若有修改的情況，則應返回到對應的生命周期階段進行迭代。

ISO26262標準共分十章，在產(chǎn)品開發(fā)生命周期中，第一、二、八、九、十章適用整個周期，第三、四、五、六、七章則需要遵循設(shè)計開發(fā)的先后順序。第三章概念階段的工作成果是后面所有開發(fā)工作的基礎(chǔ)，直接決定著接下來產(chǎn)品開發(fā)關(guān)于功能安全要求的執(zhí)行質(zhì)量，因此非常重要。

2 概念階段

2.1 相關(guān)項定義

對相關(guān)項進行定義和描述，及其與環(huán)境和其它相關(guān)項的依賴性和相互影響，包括其功能、邊界接口、環(huán)境條件、法規(guī)要求和危害等，方便設(shè)計開發(fā)人員能夠充分理解相關(guān)項，為后續(xù)階段的活動提供支持。

車道保持輔助(lane-keeping assistance，LKA)是部分自動化階段的輔助駕駛功能，駕駛員無意識偏離車道時，能夠監(jiān)測并主動糾偏。對其進行相關(guān)項定義應包括如下內(nèi)容：

2.1.1 功能邏輯

圖2是LKA功能的功能架構(gòu)及邊界圖，在功能開啟后，LKA通過CAN網(wǎng)絡(luò)搜集各個要素(Element)提供的相關(guān)信息，部分詳細如下：

Element 1：提供開關(guān)信息

Element 2：提供車速信息

Element 3：提供發(fā)動機轉(zhuǎn)速信息

Element 4：提供方向盤轉(zhuǎn)角信息

Element 5：提供外界溫度信息

Element X：接收ECU指令并執(zhí)行顯示

Element Y：接收ECU指令并執(zhí)行轉(zhuǎn)向

……：其他輸入和輸出信息

所有信息經(jīng)過LKA的ECU處理，判斷出車輛車輪外邊緣距車道線的距離是否滿足糾偏要求，并輸出相應指令給執(zhí)行要素(如Element X和Element Y)，在需要的時候?qū)④囕v糾偏回正常車道內(nèi)。

相關(guān)項定義中的工作模式和條件應該盡量包含系統(tǒng)實際工作時所有的模式及其依據(jù)的條件，考慮到開發(fā)之初設(shè)計的不完全成熟，故允許后續(xù)的改進和更新。如表1為LKA系統(tǒng)具有的工作模式及對應的條件。

表1 系統(tǒng)工作模式及條件Table 1 System working modes and conditions

圖2 功能架構(gòu)及邊界Fig. 2 Function architecture and boundary diagram

2.1.2 邊界接口

定義相關(guān)項與其他相關(guān)項和環(huán)境之間的交互作用和相互影響、功能在所涉及的系統(tǒng)和要素間的分配等。如圖2，通過邊界線將系統(tǒng)的組件和要素劃分成兩部分，邊界內(nèi)的要素與系統(tǒng)直接相關(guān)、會影響系統(tǒng)功能實現(xiàn)，如Element 1系統(tǒng)開關(guān)，其開閉觸發(fā)狀態(tài)直接決定系統(tǒng)能否開始工作，因此需要劃歸邊界內(nèi)；邊界外的要素與系統(tǒng)間接相關(guān)、會影響系統(tǒng)性能，如提供外界溫度信號的Element 5，其提供的信息作為處理器算法的補償，準確性僅影響處理器計算偏差的大小，不會影響系統(tǒng)本身功能的使用，因此需要劃歸邊界外；此外有些要素可能具有不同的功能，在系統(tǒng)工作時參與多種角色，既提供輸入信息，又擔負ECU指令信息顯示或執(zhí)行的任務，或者同時負責其他系統(tǒng)的相關(guān)角色，若無法在邊界架構(gòu)圖中畫出，則需要在相關(guān)項定義中明確描述。

接口定義包括機械接口和因邊界線劃分要素的系統(tǒng)內(nèi)部要素接口和外部要素接口，此外系統(tǒng)要素間、要素與總線間的通信也應該定義明確。

2.1.3 環(huán)境條件

本節(jié)需要定義系統(tǒng)運行環(huán)境，如溫度、海拔、濕度、振動、電磁干擾等；系統(tǒng)運行要求，如工作電壓、電流等；其他的限制條件。若不明確可以不用定義。表2列舉了LKA系統(tǒng)運行的環(huán)境條件。

表2 LKA系統(tǒng)運行的環(huán)境條件Table 2 Environment conditions of LKA system operation

LKA系統(tǒng)在以上要求的環(huán)境條件限制內(nèi)出現(xiàn)的失效屬于功能安全的范疇，超出以上環(huán)境條件功能安全不再保證有效。如環(huán)境溫度大于NN°C，系統(tǒng)可能無法正常工作；攝像頭被遮擋，系統(tǒng)也無法正常工作；其他的限制條件如大雨大雪天氣也會影響系統(tǒng)的正常工作等。

2.1.4 法規(guī)要求

應明確列舉相關(guān)項系統(tǒng)功能符合哪些法律法規(guī)、國家標準和國際標準。如LKA功能滿足的法規(guī)包括ECE R10.05、ISO 7637、GB/T 18655等，詳細可以定義到滿足相關(guān)法規(guī)的具體章節(jié)。

2.1.5 危害定義

本節(jié)需要定義相關(guān)項系統(tǒng)已知的失效模式和危害，造成的潛在后果，包括系統(tǒng)要素、軟硬件失效對系統(tǒng)造成的危害。如LKA系統(tǒng)依靠攝像頭提供精確的車道線信息，若攝像頭出現(xiàn)故障，需要系統(tǒng)關(guān)閉并響應相應提示，系統(tǒng)恢復需要維修或更換攝像頭至正常。

2.2 啟動安全生命周期

安全生命周期啟動需要確定本相關(guān)項系統(tǒng)是新的開發(fā)還是對現(xiàn)有相關(guān)項系統(tǒng)進行修改，或是對現(xiàn)有相關(guān)項系統(tǒng)的重用。新的相關(guān)項開發(fā)需要繼續(xù)進行下一步危害分析和風險評估，對現(xiàn)有相關(guān)項進行修改需要評估修改部分對相關(guān)項的影響并進行影響分析，對現(xiàn)有相關(guān)項系統(tǒng)的重用需要集成和沿用與現(xiàn)有相關(guān)項安全相關(guān)的文檔。討論的LKA系統(tǒng)為新開發(fā)的相關(guān)項，故對修改相關(guān)項和重用相關(guān)項內(nèi)容不做描述。

2.3 HARA分析

危害分析和風險評估(hazard analysis and risk assessment，HARA)。其目的是對功能潛在故障進行識別并對其產(chǎn)生的危害進行分類，確定功能安全目標并制定相應的措施以避免系統(tǒng)功能不合理的風險。

HARA分析流程如圖3，根據(jù)相關(guān)項定義，通過潛在危害識別確定整車級危害，然后通過ASIL分析確定每一個整車級危害的ASIL等級，最后確定相關(guān)危害的安全目標，并輸出功能安全概念。

圖3 HARA分析流程Fig. 3 HARA analysis procedure

2.3.1 確定整車級危害

目前確定整車級危害使用較多的方法有危害和可操作性分析HAZOP(hazard and operability analysis)、頭腦風暴、預先危險性分析PHA(preliminary hazard analysis)等，相對來講，HAZOP分析系統(tǒng)性、完善性和結(jié)構(gòu)性較好；頭腦風暴和其他PHA方法在場景分析的準確性和全面性方面，依賴分析人員具備豐富的經(jīng)驗、專業(yè)知識等因素，導致分析效果不穩(wěn)定[9-11]。因此LKA功能的危害分析采用HAZOP分析方法。

HAZOP提供了12種失效模式，通過對每種失效模式的分析準確全面的找出潛在危害，包括過度、不足、失效、衰減、間歇性、無規(guī)律、震蕩、錯誤、相反、延時、無響應。

表3是LKA功能的HAZOP分析表，對LKA功能應該分析上述12種失效，確定每種失效導致的整車級危害，并確定需要考慮的多種運行環(huán)境，給出可能的控制措施，最后將所有屬于危害事件的整車級危害匯總，以進行后續(xù)分析。

2.3.2 確定ASIL等級

汽車安全完整性等級(automobile safety integrity levers，ASIL)。ASIL等級是通過暴露度、嚴重度、可控性三個維度影響因子的分析確定，共分ASILA、B、C、D、QM 5個等級，其中QM等級屬于質(zhì)量管理范疇，不在功能安全考慮之內(nèi)。

1)暴露度。對車輛運行工況和駕駛環(huán)境的評估?？梢酝ㄟ^運行工況占車輛生命運行周期時間比例或者發(fā)生頻率來確定。暴露度等級定義和分類見表4。

表3 LKA功能的HAZOP分析Table 3 HAZOP analysis of LKA function

表4 暴露度等級定義Table 4 Exposure level definition

2)嚴重度。相關(guān)項系統(tǒng)功能在特定的環(huán)境條件下發(fā)生失效，由潛在危險造成人員傷害的嚴重程度，包括對本車和其他道路使用車輛的駕駛員、乘員以及路上行人的傷害等。嚴重度等級定義和分類見表5。

3)可控性。評估駕駛者或其它道路使用者當危害發(fā)生時對危險情況的控制并能避免傷害的概率。嚴重度等級定義和分類見表6。

對HAZOP分析確定的整車級危害繼續(xù)進行ASIL分析，分析每一個危害的E、S、C等級，并根據(jù)表8確定每一個整車級危害的ASIL等級。本節(jié)以LKA功能發(fā)生誤糾偏和糾偏不足兩個整車級危害為例說明HARA分析過程和ASIL等級確定，詳見表7。

表5 嚴重度等級定義Table 5 Severity level definition

表6 可控性等級定義Table 6 Controllability level definition

表7 HARA分析Table 7 HARA analysis

2.3.3 確定安全目標

針對駕駛員能感知的整車級危害，從管管人員角度提出為避免危害需要達到的目標，是頂層的功能安全需求。應該為每一個整車級危害確定一個安全目標?？梢院喜⑺姓嚰壩：χ蓄愃频陌踩繕?，其ASIL等級為相應危害分析中ASIL最高的等級。表9為通過表7的HARA分析確定的LKA功能的安全目標及對應的ASIL等級。

表8 ASIL等級確定Table 8 ASIL level determination

注：若出現(xiàn)S0、E0、C0情況，則無需分配ASIL等級。

表9 HARA分析安全目標和ASIL等級Table 9 HARA analysis safety goal and ASIL level

2.4 功能安全概念

功能安全概念源于功能安全目標，包括安全狀態(tài)、安全需求、安全需求在相關(guān)項架構(gòu)要素的分配，明確一定的安全措施與安全機制。具體包括：故障檢測和失效緩解方法；過渡到安全狀態(tài)及故障容忍時間間隔；容錯機制，即一個故障發(fā)生時不會直接導致違反安全目標(S)并保持該功能在安全狀態(tài)；故障監(jiān)測與報警；從不同功能發(fā)送過來的多個請求中選擇最適當?shù)目刂埔髨?zhí)行的仲裁邏輯；如圖4功能安全概念各狀態(tài)變換的時間間隔定義。

圖4 功能安全概念各狀態(tài)與時間關(guān)系Fig. 4 Status relatimship in FSC

功能安全概念需要通過以下3個方面展開：

1)安全狀態(tài)的提出。安全狀態(tài)是系統(tǒng)或功能不存在任何由于系統(tǒng)導致的不能接受的風險的一種狀態(tài)，包括功能正常的運行、執(zhí)行、操作狀態(tài)、功能故障后的降級反應、功能故障后關(guān)閉并報警。本例LKA系統(tǒng)在發(fā)生故障時，在現(xiàn)有功能本身上述3種機制均無法達到有效的安全狀態(tài)，故無對應的有效安全狀態(tài)。

2)FSR的提出。功能安全需求(functional safety requirement，F(xiàn)SR)。應基于安全目標和安全狀態(tài)，并考慮初步的架構(gòu)與邊界范圍來提出安全需求(如圖2)，通過表10列舉出系統(tǒng)要素及其功能，為每一個要素編號。

為每一個安全目標至少提出一條安全需求。以下述LKA系統(tǒng)的安全目標為例：

安全目標：避免誤糾偏(ASIL D)。

具體的分析過程見表11。

安全需求的ASIL等級分解和分配依據(jù)本節(jié)3)部分的規(guī)則，故障容忍時間間隔需要在后續(xù)的設(shè)計過程中通過技術(shù)安全需求提出。

ISO26262要求其他相關(guān)內(nèi)容在功能安全概念中明確(如果具有)，包括：可用的駕駛模式；緊急操作時間；轉(zhuǎn)換成安全狀態(tài)的條件；駕駛員和其他處于危害中的人員的假設(shè)行為；避免危害的外部措施。

表10 系統(tǒng)要素及其功能列表Table 10 System elements and function list

表11 安全目標為避免誤糾偏的安全需求分解Table 11 Safety requirement decomposition from safety goal of avoiding unintended rectifying lane deviation

3)ASIL等級要素的分配和分解?；诎踩繕颂岢鼍唧w的安全需求，將安全需求分配到具體的系統(tǒng)要素。系統(tǒng)要素包括子系統(tǒng)和零部件，通過分配ASIL等級確定其具體的安全需求。多個等級分配給同一要素，需選取最高的ASIL等級作為該要素的功能安全等級。

當分配給某一要素的ASIL等級過高，導致技術(shù)實現(xiàn)難度增加或成本增加等問題，就需要采用ASIL分解方法實現(xiàn)“降級”，以滿足開發(fā)和安全的綜合要求。被“降級”分配的要素之間功能相互冗余且具備獨立性。分解規(guī)則如表12。

表12 ASIL等級分解規(guī)則Table 12 ASIL ratings decomposition rules

基于初步架構(gòu)圖和安全需求分解和要素分配，將分配ASIL等級的要素重新編號，繪制完善的安全架構(gòu)圖，如圖5。

圖5 完善的安全架構(gòu)Fig. 5 Developed safety architecture

基于完善的安全架構(gòu)圖，通過安全需求的分解和要素的分配，得出安全要素需求匯總表，如表13。本部分安全需求為功能安全概念階段的最終輸出物，是后續(xù)系統(tǒng)設(shè)計、軟硬件設(shè)計的基礎(chǔ)。

表13 安全要素需求匯總Table 13 Summary of safety elements requirements

3 結(jié) 論

1)根據(jù)功能安全標準ISO26262第三章概念階段的內(nèi)容，設(shè)計出標準應用具體方法，給出了設(shè)計步驟和分析過程。

2)應用設(shè)計的方法對車道保持輔助(LKA)進行案例分析，得出符合ISO26262標準的分析成果。

3)所設(shè)計的方法為ISO26262標準在概念階段的設(shè)計應用提供了借鑒，為其他自動化系統(tǒng)開展功能安全概念設(shè)計提供了方法指導。

4)所設(shè)計的方法目前已應用在長安汽車多個駕駛輔助系統(tǒng)的設(shè)計開發(fā)中，如自適應巡航(automatic cruise control，ACC)、車道偏離預警(lane depart warning，LDW)、自動緊急制動(automatic emergency brake，AEB)、自動泊車輔助(automatic parking assist，APA)等，為相關(guān)產(chǎn)品開發(fā)提出了功能安全要求，系統(tǒng)全面地找出導致產(chǎn)品失效的原因并針對性的施加措施，能夠有效降低產(chǎn)品的非預期失效風險，極大的提高了產(chǎn)品的安全性。