亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        自動駕駛硬件功能安全面臨的挑戰(zhàn)

        2019-10-24 06:46:18楊莉董昊旻隋建鵬
        汽車文摘 2019年11期
        關(guān)鍵詞:架構(gòu)流程自動

        楊莉 董昊旻 隋建鵬

        (1.中國第一汽車股份有限公司 智能網(wǎng)聯(lián)開發(fā)院,長春 130013;2.中國第一汽車股份有限公司 研發(fā)總院,長春130013)

        主題詞:ISO 26262 硬件功能安全 自動駕駛

        縮略語

        DV Design Validation

        HSR Hardware Safety Requirement

        DFMEA Design Failure Mode and Effects Analysis

        FTA Fault Tree Analysis

        ASIL Automotive Safety Integration Level

        FMEDA Failure Mode Effects and Diagnostic Analysis

        HARA Hazard Assessment by Risk Analysis

        SG Safety Goal

        LFM Latent Failure Matric

        SPFM Single Point Failure Matric

        PMHF Probability Metric for Random Hardware Failures

        BOM Bill of Material

        FIT Fault Injection Test

        GPU Graphics Processing Unit

        FPGA Field-Programmable Gate Array

        ASIC Application Specific Integrated Circuit

        1 前言

        在過去的十年中,針對自動駕駛汽車的研究和應(yīng)用呈現(xiàn)了爆發(fā)式的增長,大量的自動駕駛相關(guān)基礎(chǔ)技術(shù)越來越成熟。目前,以戴姆勒、寶馬、奧迪、福特、東風(fēng)日產(chǎn)、沃爾沃、上汽、一汽為代表的國內(nèi)外主流整車廠都在進(jìn)行自動駕駛相關(guān)領(lǐng)域技術(shù)的研發(fā),每年的國際消費(fèi)類電子產(chǎn)品展覽會(CES:International Consumer Electronics Show)上,可以看到越來越多的自動駕駛樣車的演示[1]。有理由相信顛覆性的自動駕駛技術(shù)將帶來交通和移動出行領(lǐng)域的又一次重大變革。

        然而,隨著算法復(fù)雜度的增加和自動駕駛等級的提高,安全性成為了影響自動駕駛汽車真正落地的重要阻礙。2011年,作為汽車行業(yè)專用的功能安全標(biāo)準(zhǔn),ISO 26262應(yīng)運(yùn)而生。ISO 26262為汽車生產(chǎn)商提供了一整套系統(tǒng)的設(shè)計方法來識別危險源,提升汽車的安全性。

        ISO 26262標(biāo)準(zhǔn)包含概念層面、系統(tǒng)層面、硬件層面、軟件層面、管理層面等部分,本文僅重點(diǎn)針對硬件層面,分析硬件功能安全開發(fā)與傳統(tǒng)汽車電子電氣硬件開發(fā)的融合,并基于此,提出自動駕駛汽車計算平臺硬件功能安全開發(fā)面臨的風(fēng)險和挑戰(zhàn)。

        2 硬件功能安全開發(fā)與傳統(tǒng)硬件開發(fā)的融合

        隨著汽車電動化、智能化、網(wǎng)聯(lián)化、共享化的程度越來越高,汽車電子模塊也越來越多,為整車的性能提升和用戶體驗(yàn)發(fā)揮著巨大的作用。汽車電子的硬件設(shè)計不同于通訊電子、工業(yè)電子和消費(fèi)類電子的硬件設(shè)計,需要特殊考慮汽車電子的使用環(huán)境[2]。汽車電子的氣候條件、機(jī)械條件和電氣條件都要比通訊電子、工業(yè)電子和消費(fèi)類電子的使用環(huán)境更惡劣。在電子產(chǎn)品隨車使用時,汽車的使用環(huán)境條件很大程度上影響著電子產(chǎn)品的功能、性能和壽命。在汽車電子硬件設(shè)計開發(fā)過程中,首先要清楚這些條件和邊界,其次要在設(shè)計過程中考慮這些因素,最后在模擬這些條件的實(shí)驗(yàn)中進(jìn)行檢驗(yàn)。

        由于汽車電子特殊的使用環(huán)境,對硬件設(shè)計提出了更高的要求。為了保證汽車在使用環(huán)境下的整車性能,傳統(tǒng)的汽車電子硬件設(shè)計流程如圖1所示,硬件設(shè)計的職責(zé)從項(xiàng)目啟動開始,到生產(chǎn)流程審核結(jié)束,包括計劃制定、需求分析、方案設(shè)計、硬件設(shè)計及測試、設(shè)計驗(yàn)證(DV:Design Validation)、生產(chǎn)準(zhǔn)備。

        ISO 26262標(biāo)準(zhǔn)2011版本第5章[3]對硬件功能安全開發(fā)流程推薦如圖2所示。硬件功能安全開發(fā)承接系統(tǒng)設(shè)計的輸出物,并通過硬件板級測試對硬件元器件進(jìn)行質(zhì)量認(rèn)可,提交輸出物給生產(chǎn)、運(yùn)行維護(hù)及系統(tǒng)集成測試。注意,標(biāo)準(zhǔn)中推薦的硬件功能安全開發(fā)流程只是概況,并不詳細(xì),與實(shí)際硬件開發(fā)中執(zhí)行的開發(fā)流程有一定差距。

        圖1 傳統(tǒng)汽車電子硬件設(shè)計流程

        圖2 ISO 26262推薦的硬件功能安全開發(fā)流程[3]

        結(jié)合項(xiàng)目實(shí)際開發(fā)流程,將傳統(tǒng)的汽車電子硬件開發(fā)流程與功能安全進(jìn)行了融合,得到了符合功能安全的硬件開發(fā)流程,如圖3所示。

        由圖3可見,功能安全貫穿于整個硬件開發(fā)流程中。融合后的汽車電子硬件功能安全開發(fā)流程從功能安全的角度對傳統(tǒng)的汽車電子硬件開發(fā)流程進(jìn)行了完善和補(bǔ)充。

        完善和補(bǔ)充體現(xiàn)在以下幾個方面:

        (1)項(xiàng)目計劃中,新建功能安全開發(fā)計劃,統(tǒng)籌管理整個項(xiàng)目中的功能安全開發(fā)工作,包括工作內(nèi)容、工作起始/結(jié)束時間、責(zé)任人、輸入條件、提交物等;

        (2)在進(jìn)行需求分析時,除了考慮傳統(tǒng)硬件開發(fā)的需求外,還需要考慮功能安全需求。每一條硬件需求均需要關(guān)聯(lián)ASIL(Automotive Safety Integration Level)等級,非功能安全相關(guān)的需求ASIL等級為QM。形成硬件安全需求文檔,并進(jìn)行設(shè)計團(tuán)隊(duì)內(nèi)部評審。

        (3)在方案設(shè)計階段,需要充分考慮為了滿足功能安全需求而需要進(jìn)行的復(fù)位邏輯設(shè)計、看門狗電路模塊設(shè)計、電源監(jiān)控設(shè)計、輔監(jiān)控單片機(jī)模塊設(shè)計等。

        圖3 功能安全硬件開發(fā)流程

        (4)硬件設(shè)計階段,需要開展設(shè)計失效模式及后果分析(DFMEA:Design Failure Mode and Effects Analysis)、故障樹分析(FTA:Fault Tree Analysis)、失效模式影響及診斷分析(FMEDA:Failure Mode Effects and Diagnostic Analysis)等分析工作。其中FTA只在ASIL等級為C或D時開展,F(xiàn)MEDA只在ASIL等級為B或C或D時開展。同時在該階段還需要編寫軟硬件接口文檔和硬件設(shè)計規(guī)范文檔。硬件測試階段,針對ASIL C或D等級的系統(tǒng)需要開展故障注入測試。

        (5)在設(shè)計驗(yàn)證和生產(chǎn)準(zhǔn)備階段,均需要額外考慮不同的功能安全等級對測試深度、測試方法、測試標(biāo)準(zhǔn)的不同要求。

        根據(jù)不同的地質(zhì)條件、潮汐風(fēng)浪等環(huán)境因素,對具有相同建設(shè)條件、有代表性的燈樁進(jìn)行設(shè)計(包括基礎(chǔ)選擇、選材、作用、尺寸、樓梯設(shè)計),以此為依據(jù)編制燈樁標(biāo)準(zhǔn)化設(shè)計施工圖紙。

        3 自動駕駛硬件功能安全開發(fā)面臨的挑戰(zhàn)

        自動駕駛的初衷是保證道路參與者的生命安全,功能安全是讓自動駕駛比手動駕駛更安全的基本保障之一。然而ISO 26262的最新版本[4]并不完全適用于自動駕駛相關(guān)控制器的功能安全[5]。

        首先,按照SAE J3016道路車輛自動駕駛系統(tǒng)分類和定義[6],將自動駕駛技術(shù)等級分為6級,分別為0級-5級。L4級及以上的自動駕駛系統(tǒng)中,駕駛員將不再接管對車輛的控制權(quán)。傳統(tǒng)的功能安全中失效安全(fail-safe)的實(shí)現(xiàn)手段取決于駕駛員能夠控制車輛,并使車輛進(jìn)入安全狀態(tài)。因此對于自動駕駛汽車的功能安全要求變?yōu)槭Э晒ぷ鳎╢ail-operational)[7]。其次,ISO 26262是以相關(guān)項(xiàng)為導(dǎo)向,這意味著一個駕駛功能是通過一個運(yùn)行于硬件系統(tǒng)上的軟件系統(tǒng)來實(shí)現(xiàn)的。然而自動駕駛來的發(fā)展趨勢是在一個域控制器上實(shí)現(xiàn)多個駕駛功能。這種架構(gòu)使得ISO 26262中強(qiáng)調(diào)的“互相獨(dú)立”概念很難實(shí)現(xiàn)。最后,自動駕駛中深度學(xué)習(xí)算法帶來的不確定性和非線性使得傳統(tǒng)的失效分析方法不再適用。

        基于上述幾點(diǎn),本節(jié)主要分析硬件功能安全開發(fā)在自動駕駛領(lǐng)域面臨的挑戰(zhàn)。

        3.1 輸入條件不明確

        硬件功能安全設(shè)計的根本依據(jù)是系統(tǒng)層危害分析和風(fēng)險評估(Hazard Assessment by Risk Analysis,HARA)分析輸出的安全目標(biāo)(Safety Goal,SG)。根據(jù)ISO 26262標(biāo)準(zhǔn),危害的定義是基于對工作情況的分析而開展的。工作情況包括運(yùn)行條件和工作狀態(tài)。這意味著,HARA分析通常包含很多區(qū)別很小的工作情況。將自動駕駛的駕駛參數(shù)適配到如此細(xì)化的工作狀態(tài)中,工作量是很大的,有時甚至是不可能完成的。同時對如此復(fù)雜的工作情況進(jìn)行管理也是存在問題的[8]。另外,不管是采用機(jī)器學(xué)習(xí),還是深度學(xué)習(xí),都存在一定的不確定性。這種不確定性導(dǎo)致不同的網(wǎng)絡(luò)參數(shù)情況有可能具有不同的安全目標(biāo),很難得出一個確定的可以實(shí)施的安全目標(biāo)[9]。這對硬件功能安全開發(fā)的影響可以說是巨大的,沒有了明確的依據(jù),硬件功能安全開發(fā)將舉步維艱。

        3.2 ASIL等級較高

        在傳統(tǒng)汽車開發(fā)中,人、車和路三個要素組成一個封閉的在環(huán)系統(tǒng)。其中,人指的就是駕駛員。對于自動駕駛等級L3以上的系統(tǒng),駕駛員不再是這個系統(tǒng)中的要素。當(dāng)駕駛員不在環(huán)的情況下,可控性面臨巨大挑戰(zhàn)。在ISO 26262標(biāo)準(zhǔn)中,可控性是直接決定ASIL等級的三要素之一[10]。駕駛員對車輛的可控性能越差,可控性參數(shù)分值(Controllability)越高。行業(yè)內(nèi)正在探討除了ASIL D之外是不是上面還應(yīng)該有個更高的層次。依據(jù)ISO 26262標(biāo)準(zhǔn),ASIL C或ASIL D意味著無論是從硬件開發(fā)流程還是硬件設(shè)計工作的復(fù)雜性來講,都必須滿足更高的要求。如果是ASIL D以上,還需要一個更高的層級,那么硬件開發(fā)工作的工作量和復(fù)雜度不可估量。

        3.3 硬件架構(gòu)復(fù)雜

        傳統(tǒng)的汽車電子電氣架構(gòu)已經(jīng)很難滿足自動駕駛應(yīng)用中對計算性能、軟件升級、關(guān)鍵信息高速高效處理的需求,比如攝像頭、毫米波雷達(dá)、激光雷達(dá)乃至GPS(Global Positioning System)的數(shù)據(jù)都需要在一個計算中心內(nèi)進(jìn)行處理以保證輸出結(jié)果對整車自動駕駛性能最優(yōu)。新興的整車域集中式電子電氣架構(gòu)如圖4[11]所示。

        由圖4可見,根據(jù)汽車電子部件的功能將整車劃分為駕駛輔助、車輛安全、車輛運(yùn)動、娛樂信息、車身電子等幾個域。域控制器的核心發(fā)針時芯片計算能力的提升?;谡囉蚣惺诫娮与姎饧軜?gòu)概念的提出,域控制器硬件架構(gòu)更復(fù)雜。

        圖4 整車域集中式電子電氣架構(gòu)圖[11]

        硬件架構(gòu)復(fù)雜度的提升主要體現(xiàn)在以下幾個方面。

        (1)計算能力高,功耗大,散熱問題突出;

        (2)數(shù)據(jù)吞吐率高,板內(nèi)通信速率高,信號完整性問題顯著;

        (3)板內(nèi)供電時序復(fù)雜。

        典型的自動駕駛域控制器硬件架構(gòu)如圖5[12]所示。該架構(gòu)中尚未充分考慮功能安全,如何設(shè)計出滿足系統(tǒng)功能安全等級需求的完整架構(gòu)還有待探索和實(shí)踐。

        圖5 典型域控制器硬件架構(gòu)[12]

        3.4 上游芯片功能安全開展不成熟

        由于自動駕駛高算力和低功耗的強(qiáng)烈需求,傳統(tǒng)控制芯片已不能滿足該領(lǐng)域的應(yīng)用需求。目前,應(yīng)用于L3以上自動駕駛領(lǐng)域的主控制芯片主要分為三類:GPU(Graphics Processing Unit)、FPGA(Field-Programmable Gate Array)和專用ASIC(Application Specific Integrated Circuit)。GPU以英偉達(dá)公司的PX2平臺為代表,F(xiàn)PGA以Xilinx公司的ZYNQ系列為代表,專用ASIC以地平線公司的征程系列為代表。以上三類主控制芯片在架構(gòu)上均不同于傳統(tǒng)的控制芯片,在車載領(lǐng)域的應(yīng)用尚不成熟,對功能安全的開展更不成熟。該三類芯片的供應(yīng)商很少能夠提供完善的芯片級功能安全手冊及芯片級FMEDA分析結(jié)果,不利于板級硬件功能安全的開發(fā)。

        3.5 硬件功能安全分析工作量巨大

        對于硬件的安全分析,計算的結(jié)果作為失效隨機(jī)發(fā)生的可能性考慮。這些失效可能是僅發(fā)生一次,也可能是永久發(fā)生。發(fā)生的可能性通過FIT值來表征,1FIT意味著在109小時內(nèi)發(fā)生1次。硬件功能安全關(guān)注點(diǎn)在于限制失效的發(fā)生及/或防止危害安全目標(biāo)。

        硬件功能安全分析包含兩部分。第一部分是硬件架構(gòu)可靠性的分析,是否存在冗余機(jī)制及診斷覆蓋率的數(shù)值決定潛在失效度量(LFM)或單點(diǎn)故障度量(SPFM)的計算結(jié)果。另一部分是對于特定安全目標(biāo)產(chǎn)生危害的可能性,通過硬件隨機(jī)失效率(PMHF)來表征。對于不同的功能安全等級,上述三個度量的可接受限值如表1所示。

        表1 ISO 26262功能安全等級評估指標(biāo)表

        潛在失效度量和單點(diǎn)失效度量通過FMEDA計算得到結(jié)果,硬件隨機(jī)失效率通過FMEDA或FTA計算得到結(jié)果。無論是FMEDA還是FTA,均需要針對每個安全目標(biāo)分析所有BOM(Bill of Material)中元器件。因此,安全目標(biāo)和BOM中元器件數(shù)量及復(fù)雜度的增加意味著工作量成倍數(shù)的增長。

        3.6 硬件測試難度增加

        ISO 26262中明確規(guī)定,對于ASIL C/D的電子電氣系統(tǒng)需要進(jìn)行故障注入測試(Fault Injection Test)。硬件故障注入測試的目的是驗(yàn)證硬件元器件發(fā)生隨機(jī)故障時,軟件是否可以診斷出相應(yīng)的故障。該測試要求覆蓋板內(nèi)所有元器件的所有隨機(jī)失效模式。自動駕駛電子電器系統(tǒng)的板內(nèi)元器件眾多,且主處理芯片的引腳數(shù)目動輒成百上千,每個元器件的每個引腳在均需要注入開路、短路的故障。同時,需要基礎(chǔ)軟件開發(fā)配合實(shí)現(xiàn)該測試,將診斷到的故障上報到測試操作界面并存儲到測試日志文件(log文件)。由此帶來的工作量和開發(fā)難度可想而知。

        4 結(jié)論及啟示

        隨著國內(nèi)外整車廠、科技公司、新創(chuàng)公司自動駕駛業(yè)務(wù)如火如荼的開展,針對如何將ISO 26262標(biāo)準(zhǔn)應(yīng)用到自動駕駛領(lǐng)域的思考和研究逐漸提上日程。然而目前尚未有明確的標(biāo)準(zhǔn)或草案出臺。

        作為決定整車自動駕駛性能關(guān)鍵一環(huán)的電子電氣系統(tǒng)硬件設(shè)計來說,有責(zé)任和義務(wù)進(jìn)一步考慮到將功能安全應(yīng)用于自動駕駛電子電氣硬件設(shè)計存在的問題和挑戰(zhàn)。明晰問題和挑戰(zhàn)對我們實(shí)際開展硬件設(shè)計工作具有指導(dǎo)意義。

        猜你喜歡
        架構(gòu)流程自動
        基于FPGA的RNN硬件加速架構(gòu)
        吃水果有套“清洗流程”
        功能架構(gòu)在電子電氣架構(gòu)開發(fā)中的應(yīng)用和實(shí)踐
        汽車工程(2021年12期)2021-03-08 02:34:30
        自動捕盜機(jī)
        基于STM32的自動喂養(yǎng)機(jī)控制系統(tǒng)
        電子測試(2018年10期)2018-06-26 05:53:36
        違反流程 致命誤判
        LSN DCI EVPN VxLAN組網(wǎng)架構(gòu)研究及實(shí)現(xiàn)
        關(guān)于自動駕駛
        汽車博覽(2016年9期)2016-10-18 13:05:41
        本刊審稿流程
        析OGSA-DAI工作流程
        欲香欲色天天天综合和网| 欧洲国产精品无码专区影院| 18禁美女裸身无遮挡免费网站| 国产一区二区三区小说| 亚洲一区久久久狠婷婷| 电驱蚊液可以插一晚上吗| 亚洲国产精品久久久久久无码| 性一交一乱一乱一视频| 亚洲精品国产精品国自产观看| 欧美激情国产亚州一区二区| 国产亚洲精品在线播放| 日韩精品视频免费网站| 巨人精品福利官方导航| 无限看片在线版免费视频大全 | 久久久精品2019中文字幕之3| 精品色老头老太国产精品| 丝袜美足在线视频国产在线看| 国产精品久久久久久福利| 乱人伦中文字幕成人网站在线| 亚洲AV无码乱码一区二区三区| 亚洲第一页在线免费观看| 国产乱码人妻一区二区三区| 艳妇臀荡乳欲伦交换在线播放| 日韩久久一级毛片| 日本在线中文字幕一区| 国产三区三区三区看三区| 男人扒开添女人下部免费视频| 窝窝影院午夜看片| 久久老子午夜精品无码| 亚洲综合天堂一二三区| 久久精品中文少妇内射| 久久精品国产亚洲av大全| 91超碰在线观看免费| 久久99精品久久只有精品| 国产精品特级毛片一区二区三区 | 亚洲妇女av一区二区| 久久精品国产亚洲av网| 国产精品久久久久影院嫩草| 免费无码又爽又刺激又高潮的视频| 久久亚洲网站中文字幕| 中文字幕日韩一区二区不卡|