范學(xué) 鄒圣星 湯志鑫 陸宏國(guó)

【摘? 要】ADAS系統(tǒng)普及對(duì)功能安全提出了新挑戰(zhàn)。本文對(duì)LKA系統(tǒng)進(jìn)行功能安全分解，繼而利用預(yù)期功能對(duì)執(zhí)行器EPS功能安全目標(biāo)及安全需求進(jìn)行SOTIF安全區(qū)域確認(rèn)，并梳理測(cè)試用例及驗(yàn)證方式，利用轉(zhuǎn)向五通道試驗(yàn)臺(tái)及dSPACE控制器搭建EPS_LKA HIL臺(tái)架，首次實(shí)現(xiàn)模擬實(shí)車(chē)加載的系統(tǒng)級(jí)別HIL測(cè)試，發(fā)現(xiàn)不滿(mǎn)足預(yù)期功能安全的風(fēng)險(xiǎn)項(xiàng)，并協(xié)助整改。本次研究將很好地補(bǔ)充我司EPS_LKA系統(tǒng)臺(tái)架驗(yàn)證手段，并為后續(xù)建立符合預(yù)期功能安全開(kāi)發(fā)和評(píng)價(jià)提供前期的數(shù)據(jù)支撐。

【關(guān)鍵詞】LKA；APA；預(yù)期功能安全；臺(tái)架測(cè)試研究

中圖分類(lèi)號(hào)：U463.6? ? 文獻(xiàn)標(biāo)志碼：A? ? 文章編號(hào)：1003-8639（ 2023 ）04-0072-05

【Abstract】The more popular the ADAS system is，the bigger challenge it brings to the vehicle safety. This paper，based on driving-assist function incorporated into the company's new flatbed car，used the method of HARA analysis，and work with the safety goals and safety requirements of LKA and APA system to complete the SOTIF safety region verification and sort out test method. By using the original MTS steering equipment and dSPACE controller，set up a suit of test system for EPS_LKA and APA system. The test bench can load as real car and carry on the system level of HIL test first time. Through the test，we find the issue which obeyed the SOTIF，and guidance the products improving，and have completed the test system of the steering system and provide a clear basis for system development and test.

【Key words】LKA；APA；SOTIF；bench test research

1? 前言

隨著車(chē)輛電動(dòng)化、智能化的發(fā)展，預(yù)期功能安全越來(lái)越受到各廠商的重視。下文將介紹汽車(chē)功能安全體系，以及在功能安全體系指導(dǎo)下，對(duì)LKA功能安全分析、測(cè)試用例策劃和驗(yàn)證方法進(jìn)行舉例說(shuō)明。

2? 預(yù)期功能安全的理論

ISO針對(duì)功能安全制定標(biāo)準(zhǔn)體系及分工，見(jiàn)表1。

2.1? 汽車(chē)預(yù)期功能安全的核心

SOTIF應(yīng)對(duì)ADAS挑戰(zhàn)，作為FUSA的擴(kuò)展，也不再僅關(guān)注電子電器失效造成的危害，而SOTIF的兩個(gè)核心點(diǎn)可概括為：預(yù)期功能安全不足及人為誤用[2]。預(yù)期功能安全及功能安全標(biāo)準(zhǔn)體系差異如圖1所示。

SOTIF意義在于通過(guò)場(chǎng)景、情景及事件的排列組合有效劃分事件所處區(qū)域的位置，通過(guò)合理驗(yàn)證，將已知不安全區(qū)域轉(zhuǎn)為安全區(qū)域，并發(fā)現(xiàn)未知不安全區(qū)域，如圖2所示。

2.2? 預(yù)期功能安全開(kāi)發(fā)流程及驗(yàn)證方式

從行業(yè)共識(shí)來(lái)看，SOTIF體系與FUSA體系并無(wú)沖突，二者共同為全類(lèi)型ADAS功能在故障和非故障情況下安全運(yùn)行提供支撐，因此應(yīng)結(jié)合二者，共同構(gòu)建產(chǎn)品V型開(kāi)發(fā)驗(yàn)證流程，如圖3所示。鑒于預(yù)期功能安全HARA的評(píng)價(jià)指標(biāo)未明確，SOTIF的HARA可以借鑒FUSA的HARA，產(chǎn)品開(kāi)發(fā)及驗(yàn)證過(guò)程應(yīng)是軟硬件開(kāi)發(fā)與測(cè)試同步執(zhí)行，但SOTIF應(yīng)著眼于確定合理驗(yàn)證，將已知不安全轉(zhuǎn)為安全，并發(fā)現(xiàn)未知不安全區(qū)域。

ADAS系統(tǒng)三大核心問(wèn)題：場(chǎng)景感知能力、決策算法合理性、執(zhí)行層能力。SOTIF典型驗(yàn)證和確認(rèn)方法可參照表2。

3? 整車(chē)LKA預(yù)期功能安全分解

LKA系統(tǒng)中，EPS是實(shí)現(xiàn)功能的關(guān)鍵執(zhí)行器。與傳統(tǒng)EPS系統(tǒng)比，除提供助力外，EPS_LKA不僅需響應(yīng)LKA控制器力矩請(qǐng)求，還為L(zhǎng)KA橫向控制策略實(shí)現(xiàn)安全冗余。因此，對(duì)執(zhí)行器EPS_LKA進(jìn)行驗(yàn)證，首先需對(duì)所屬系統(tǒng)整體進(jìn)行功能安全分解，獲取相關(guān)功能安全目標(biāo)及功能安全需求，劃分并確認(rèn)所屬預(yù)期功能安全區(qū)域，制定驗(yàn)證工況，從而制定對(duì)應(yīng)的EPS_LKA模塊的驗(yàn)證方法。

下文將以某車(chē)型LKA功能為基礎(chǔ)，借鑒FUSA功能安全分解流程，先以對(duì)LKA分解為示例獲取系統(tǒng)功能安全目標(biāo)及功能安全需求。

3.1? LKA要素及功能定義

LKA網(wǎng)絡(luò)拓?fù)鋄4]如圖4所示。經(jīng)分析，LKA的主要功能要素及要素功能描述分別在表3中被給出。

通過(guò)對(duì)整車(chē)上LKA功能進(jìn)行歸納和總結(jié)，整車(chē)實(shí)現(xiàn)的功能見(jiàn)表4。

3.2? HAZOP分析

采取HAZOP方法進(jìn)行系統(tǒng)功能失效分析，功能層面失效表現(xiàn)形式關(guān)鍵詞有：功能喪失、過(guò)度、延時(shí)、不足、間歇性、無(wú)規(guī)律、相反、錯(cuò)誤、駕駛員無(wú)法接管、無(wú)法識(shí)別變道信息。下文展示利用HAZOP方法對(duì)LKA系統(tǒng)功能進(jìn)行失效分析。整車(chē)坐標(biāo)系六自由度運(yùn)動(dòng)如圖5所示。

3.3? 危害及場(chǎng)景定義

3.3.1? 系統(tǒng)的異常表現(xiàn)

使用HAZOP分析方法得出LKA系統(tǒng)在車(chē)道居中、偏離告警等幾方面可能的異常表現(xiàn)，分析可能導(dǎo)致的整車(chē)層面危害，表5為L(zhǎng)KA系統(tǒng)功能異常表現(xiàn)的部分案例。

3.3.2? 整車(chē)層面的危害

上述問(wèn)題在整車(chē)層面功能異常表現(xiàn)的危害見(jiàn)表6。

3.4? 駕駛場(chǎng)景及工況定義

參照SAE J2980：2018 Considerations for ISO 26262 ASIL Hazard Classification中場(chǎng)景概括如下，如圖6所示。

3.5? ASIL等級(jí)：（Automotive Safety Integrity Level）定義

基于上述Hazard、工況和環(huán)境，進(jìn)行排列組合，然后對(duì)Hazard與工況及環(huán)境進(jìn)行compliance分析，可進(jìn)行相應(yīng)ASIL等級(jí)定義。ASIL等級(jí)分解圖如圖7所示。

3.6? 系統(tǒng)危害分析和風(fēng)險(xiǎn)評(píng)估（HARA分析）

根據(jù)HARA進(jìn)行分類(lèi)、總結(jié)，從而得到LKA的功能安全目標(biāo)，如圖8所示。

3.7? 系統(tǒng)安全目標(biāo)的和安全需求

綜上，得出LKA系統(tǒng)功能安全目標(biāo)見(jiàn)表7。

4? EPS_LKA的預(yù)期功能安全測(cè)試分析及測(cè)試用例策劃

上述功能安全目標(biāo)及安全需求需進(jìn)行安全區(qū)域劃分，以SR2區(qū)域確認(rèn)為例，確認(rèn)流程如圖9所示。圖9中，①功能定義為開(kāi)啟LKA時(shí)不進(jìn)行脫手檢測(cè)。②功能危害進(jìn)行識(shí)別和評(píng)估：高速路開(kāi)啟LKA，突發(fā)非預(yù)期轉(zhuǎn)向，但駕駛員發(fā)生脫手。上述①②引發(fā)危害及風(fēng)險(xiǎn)能否被評(píng)審?fù)ㄟ^(guò)，如未通過(guò)，進(jìn)行③觸發(fā)事件分析預(yù)估是否正確識(shí)別道線標(biāo)記，如不能，則④功能提升：加脫手檢測(cè)。如果符合區(qū)域2（已知不安全），則⑤定義驗(yàn)證和確認(rèn)策略。如符合區(qū)域3（未知不安全），則⑥～⑦功能安全區(qū)域的確認(rèn)，最后是⑦SOTIF確認(rèn)驗(yàn)收。

SOTIF驗(yàn)證和確認(rèn)過(guò)程主要是對(duì)區(qū)域2和區(qū)域3的探測(cè)和轉(zhuǎn)化過(guò)程。EPS_LKA作為關(guān)鍵執(zhí)行機(jī)構(gòu)之一，測(cè)試用例測(cè)試參考圖10。EPS_LKA功能安全部分用例及期望結(jié)果見(jiàn)表8。

4.1? EPS_LKA臺(tái)架測(cè)試系統(tǒng)搭建和介紹

自建LKA測(cè)試系統(tǒng)，EPS_LKA預(yù)期功能安全測(cè)試系統(tǒng)控制原理如圖11所示。

4.2? 搭建LKA、APA測(cè)試系統(tǒng)模型

模型構(gòu)架案例如圖12～圖14所示。搭建的測(cè)試控制軟件界面如圖15所示。

5? 試驗(yàn)結(jié)果分析

以某版本系統(tǒng)為例，測(cè)試發(fā)現(xiàn)LKA模式下不符合的部分案例如下，試驗(yàn)過(guò)程如圖11所示。

5.1? 問(wèn)題1：LKA駕駛員脫手判定時(shí)長(zhǎng)過(guò)長(zhǎng)

1）測(cè)試方法：轉(zhuǎn)向系統(tǒng)按實(shí)車(chē)裝配，用臺(tái)架對(duì)轉(zhuǎn)向系統(tǒng)模擬實(shí)車(chē)加載，并為系統(tǒng)供電，試驗(yàn)人員先手扶方向盤(pán)通過(guò)自檢再脫手模擬駕駛員未手扶方向盤(pán)狀態(tài)。通過(guò)LKA系統(tǒng)測(cè)試工程向EPS_LKA模塊發(fā)送模擬MPC控制器規(guī)劃的目標(biāo)路徑（發(fā)送虛擬零扭矩請(qǐng)求時(shí)），利用MTS測(cè)試系統(tǒng)及dSPACE控制器分別回采系統(tǒng)響應(yīng)。

2）測(cè)試結(jié)果：實(shí)測(cè)系統(tǒng)扭矩為0.18N·m扭矩下保持24.8s，EPS_LKA報(bào)文狀態(tài)位跳變，系統(tǒng)跳出LKA狀態(tài)，測(cè)試結(jié)果見(jiàn)圖16，高車(chē)速狀態(tài)下，MPC異常時(shí)有7～10s時(shí)間差顯然存在較高功能安全風(fēng)險(xiǎn)。

5.2? 問(wèn)題2：LKA駕駛員脫手力矩判定值不合理

1）測(cè)試方法：轉(zhuǎn)向系統(tǒng)按實(shí)車(chē)裝配，用臺(tái)架對(duì)轉(zhuǎn)向系統(tǒng)模擬實(shí)車(chē)加載，并為系統(tǒng)供電，試驗(yàn)人員先手扶方向盤(pán)通過(guò)自檢后再脫手模擬駕駛員未手扶方向盤(pán)狀態(tài)。通過(guò)LKA系統(tǒng)測(cè)試工程向EPS_LKA模塊發(fā)送模擬MPC控制器規(guī)劃的目標(biāo)路徑（發(fā)送虛擬連續(xù)0.1N·m正弦請(qǐng)求時(shí)），利用MTS測(cè)試系統(tǒng)及dSPACE控制器分別回采系統(tǒng)響應(yīng)。

2）測(cè)試結(jié)果：駕駛員脫手狀態(tài)下，系統(tǒng)扭矩均值在0.4N·m，EPS_LKA無(wú)法檢測(cè)到脫手狀態(tài)，如圖17所示，存在嚴(yán)重安全風(fēng)險(xiǎn)。

6? 結(jié)論

本文主要研究預(yù)期功能安全問(wèn)題，并利用我司現(xiàn)有轉(zhuǎn)向五軸試驗(yàn)系統(tǒng)及dSPACE控制器來(lái)完成EPS_LKA測(cè)試臺(tái)架搭建，并發(fā)現(xiàn)了系統(tǒng)不足，為我司EPS_LKA模式功能開(kāi)發(fā)驗(yàn)證提供了更多有效驗(yàn)證的手段。

參考文獻(xiàn)：

[1] ISO 26262，Road Vehicles——Functional Safety[S]. 2011.

[2] ISO 21448，Road Vehicles——Safety of the intended functionality[S]. 2019.

[3] 尚世亮，崔海峰，郭夢(mèng)鴿，等. 自動(dòng)化測(cè)試在SOTIF開(kāi)發(fā)中的應(yīng)用[J]. 汽車(chē)技術(shù)，2018（11）：23-26.

[4] 吳建康. LKA與LC系統(tǒng)控制軟件開(kāi)發(fā)與集成測(cè)試研究[D]. 長(zhǎng)春：吉林大學(xué)，2018.

（編輯? 凌? 波）