精华资讯
保障功能安全快速落地 安波福全栈解决-超级汽车网
2022-04-20 21:28  浏览:911

安波福是一家全球技术公司,为未来移动出行提供更安全、更环保、更互联的解决方案,我们在44个国家和地区开展业务。安波福注重于ADAS和车内传感器平台的设计,凭借在中央计算平台、主动安全系统和座舱计算方面的深厚专业知识,丰富了在汽车领域的研发经验。安波福在中国已经建立了本土强大的开发能力,以支持本土的市场。

安波福在汽车大脑和神经系统方面拥有先进的技术和丰富的知识,从传感器感知信息到数据传输再到信息处理,再基于这些信息实现产品的功能,这些都是安波福产品开发的关键领域。

保障功能安全快速落地 安波福全栈解决

L2+级别的自驾驶

SAE把自动驾驶等级分成6级,0级就是无自动驾驶,1级是驾驶员辅助,2级是部分自动驾驶,3级是有条件自动驾驶,4级是高级自动驾驶,5级是完全自动驾驶。可以看到SAE定义了6个驾驶等级。

在SAE驾驶自动化分级中,将L0到L2级别的系统定义为驾驶员辅助系统。在该级别的系统辅助下,无论是否开启驾驶员辅助的功能,都是驾驶员在控制车辆,并对车辆安全负责。自动驾驶辅助常见的有AEB自动刹车功能,车道偏离报警,ACC自适应巡航等功能,都属于该级别的功能,所以在驾驶过程中,驾驶员必须时刻监控这些功能,必要的时候及时介入,以保证安全。

而L3到L5级别,系统为自动驾驶系统,在该级别系统启动时,车辆的控制权由车辆主导,而不是驾驶员,L3级别自动驾驶系统,仅在系统请求时,驾驶员才需要接管车辆,而L4和L5级别,系统不会要求驾驶员进行接管。

谈到L2+功能,其实它不是SAE官方认可的级别之一,但是它却代表了一个重要的类别,它提供的功能消费者很喜欢,价格方面消费者也可以承受。L2+级别的功能基本上是系统在驾驶车辆,但驾驶员仍需监控车辆,并在需要的时候接管车辆。L2+级别的例子包括高速公路驾驶辅助系统,或者是交通拥堵辅助系统等。

ASD(安波福超级驾驶功能)是L2+级别自动驾驶的功能。可以完全控制车辆(加速、制动、转向)等,以协助驾驶员在高速公路上行驶。ASD是一个脱手,Eye On的系统,因此驾驶员可以将手从方向盘上移开,但驾驶员应监控行车环境(包括路况,交通状况等),并做好接管准备。它的应用应仅限于辅助驾驶,驾驶员对驾驶负全部责任,如果ASD功能未能正确响应,驾驶员应随时进行干预。这个系统是有边界和限制的。比方说在交通信号路口、收费站、公路交汇口,包括施工区、事故区,没有车道线标记的的地方,或者从相邻车道近距离或猛烈切入的车辆,以及有行人、自行车、摩托车,电动滑板车以及体积过大或形状不适合的车辆等,这个功能是不能启用的。当然也包括高坡,恶劣的天气,以及光照很低的情况等等。

启动这个功能,安波福对系统也有一些要求。地理围栏外功能不能开启。在开启的时候驾驶员必须保持注意力,需要时要提醒驾驶员接管。该功能提供车辆路径控制,直到驾驶员接管或者车辆进入安全状态。如果检测到驾驶员接管方向盘,应该移除自动转向扭距,该功能应禁止非预期的横向运动,以及非预期的横向运动丢失等。为了保证安全,该功能启动时,不允许同时激活其它横向辅助功能。

适应功能 配套齐全

L2+功能,在安波福是一个平台化的设计,可以看到安波福实现这个功能需要四个角雷达,一个前方雷达,还有一个摄像头,中间还有一个域控制器,如果需要安全停车的话,安波福还会做一些其它冗余的设计。这个平台也支持L1级别的功能,比如纵向的功能ACC、AEB功能,横向的功能包括车道偏离报警、车道保持、车道居中,也支持自适应远光灯控制。侧向的功能支持开门报警、后方车辆穿行辅助和后方车辆穿行预警等等。

这个平台也支持交通标志识别的功能,除了L1的功能,也支持横向+纵向的功能,包括道路拥堵辅助系统、高速公路驾驶辅助(HWA)等。同时也支持自动变道,特别是支持HWA Hands-off的功能, 也就是L2+级别的功能。

保障功能安全快速落地 安波福全栈解决  

随着时间的推移,自动驾驶性能的提高,对感知和算法要求也越来越高了,不同传感器的融合,提高了检测的可信度,感知层面的融合允许车辆识别通常不可见的物体,应用人工智能提高了对象识别的性能、检测被遮挡物体的性能以及其它具有挑战性角落案例的性能等等。

目前传感器有很多,比方说毫米波雷达,它的特点是可以远距离测量,可以测量移动的物体,它受天气变化的影响比较小。激光雷达工作频率很高,可以提供更高的角度分辨率,能更精确识别对象的边缘,但是它受天气的影响比较大,大雨、浓雾、浓烟,它的性能都不是很好。摄像头能够对对象进行识别,也能测量物体的角度位置,以及一些场景的信息,但是摄像头对天气也很敏感。

各个传感器都有自己的优势和劣势,安波福通过融合不同的传感器,增加了覆盖范围,因此能够检测到以下的场景。在繁忙的城市街道上,横穿系统的行人和自行车;物体从卡车上掉落,造成碰撞风险的场景;在交通堵塞时,其他司机在你前面切入的场景;意外的施工区以及在没有车道标记的道路上行使的场景。通过不同传感器的融合,这些场景都能被覆盖。 

安波福传感器的融合方法,将车辆周围各种传感器的输入汇集到一起,如果车辆配备了足够多的传感器,这就意味着它可以360度查看环境,而完整的图像将帮助车辆做出更好的决策。

安波福在做传感器融合时,采用了人工智能的方法,其中的机器学习有助于系统识别该范围内的物体,比方说汽车、卡车、摩托车、自行车和行人等, 可以确定他们的方向,也可以帮助识别静止或缓慢移动的物体。

安波福的融合技术会带来很多的好处,除了传感器融合,近十几年来,汽车行业也推出了一系列前所未有的电子电气创新,从被动安全的安全气囊控制器到用户信息娱乐系统,以及自动驾驶等等,很多功能都推出了创新,每一项新的创新,都需要有自己的电子控制单元(ECU),有自己的电源,自己的处理数据,以及连线等。每项功能的硬件都有自己的布线,这样的结果是增加了汽车的复杂度,占用了空间,并且增加了车辆的重量。

这种方法几乎不能满足当今丰富的汽车功能,而且限制了行业自动驾驶、智能网联技术的规模化应用。我们需要一种新的车辆架构来简化设计,集中计算能力,并优化电子电气组件和功能。这是目前面临的最大挑战,为了应对这个挑战,并为将来做好准备,安波福开发了SVA(Smart Vehicle Architecture)架构。

应对挑战 开发架构

SVA架构是把软件从硬件中隔开,软硬件分离,允许软件连续更新释放,就像今天的智能手机一样,定期收到更新,持续改进。车辆中的软件更新,应该说比它运行的硬件更频繁,这种软硬件分离,允许开发人员更容易将软件应用到不同的平台,而不是进行软件移植。

SVA架构将输入输出与计算单元分离,这种架构把与外围传感器和设备的物体连接,都放到区域控制器(Zone controller)中,这个区域控制器与计算单元是分离的,这就好比笔记本电脑的扩展坞,所有外围设备,比如键盘、鼠标、打印机都可以插入到扩展坞。拥有SVA架构的车辆,区域控制器提供电源,以及与其它传感器和设备的数据连接,仅与域制器的主干相连接。这种方法提供了可扩展性,并降低了物理复杂程度。

SVA架构还是一个服务器化的计算单元,因为I/O与计算单元是分离的,这种方法可对车辆中的应用软件动态分配计算资源,就像云计算的模型一样,配备了SVA架构的车辆,可以根据优先级和需求分配计算资源。这种架构支持安全和非安全混合的功能,例如关键的功能安全模块,分配的处理能力,优先于不那么重要的信息娱乐功能模块。所以可以看到,有了这种架构,能够实现更高级的功能。这使ADAS功能和更高级的自动驾驶模块在将来更能持续发展。

执行层面 具体实现

安波福从OEM拿到一个功能安全需求(FSR),然后双方一起讨论DIA开发接口协议,根据这个双方达成共识的DIA,安波福来制定功能安全计划。

这个安全计划要把每个开发阶段都含在内,比方从项目的概念阶段→需求→设计实现,最后到认证,整个产品开发过程,我们都遵循安波福内部的流程,这个流程是符合ASPICE标准的。

保障功能安全快速落地 安波福全栈解决  

因为ISO262有很多部分,今天主要跟大家分享最主要的三个部分功能安全的系统开发、硬件开发以及软件开发。

首先看一下系统部分。在概念阶段,通过功能安全概念(FSC)确定安全机制。系统阶段定义如何在设计中实现FSC,并将这些需求分解为技术安全需求(TSR),再把TSR分配到后续阶段的硬件和软件中。另外对这种自上而下的需求,安波福还在每个子阶段进行分析,以找出可能违反安全目标的元素。

系统设计中系统分析是不可少的,安全分析的目的是确保系统故障或硬件随机失效而违反安全目标的风险足够低。在分析上,采用的方法有定性分析和定量分析。定性分析是识别可能导致违反安全目标或需求的系统性故障,并且识别故障的原因,识别安全概念存在的缺陷,包括安全机制在处理潜伏故障、多点故障、共因失效、级联失效等异常方面的无效性。定量分析是定性分析的补充,同时也支持硬件架构度量指标(Hardware Metrics)和因硬件随机故障而违反安全目标的评估。

对于系统分析, 除了FMEA,安波福还采用故障树的分析方法,它是一个从上到下的分析,用FTA定性的分析方法,会得出最小割集,一般ASIL-D的系统,最小割集的要求都要大于等于3。 

除了定性分析,安波福也采用定量分析,定量分析是定性分析的补充,同时也支持硬件架构度量(Hardwar Metrics), 和因随机故障而违反安全目标的评估。就是用定量分析的FTA方法来算出PMHF的值,来验证硬件的指标要求。

通过系统的分析,包括定量以及定性的故障树FTA分析,安波福要找出系统故障的原因。安波福还要测试这些系统架构的内部与外部接口,除了接口测试,安波福要对整个系统的功能进行测试,包括要确定测试方法、测试工具以及执行步骤等等,而且还要对安全机制进行测试,以确保安波福的安全机制是有效的,以及最终的性能测试。

在硬件层面,安波福从系统的TSR分配到硬件的需求,会按照硬件需求设计硬件架构。初始硬件架构确定后,安波福要对硬件架构进行安全分析,以确保硬件架构满足功能安全的要求。安波福采用的方法是FMEDA以及故障树FTA的分析。

在做硬件分析的时候,光探测它的好坏是不够的,比如一个电阻,要知道错误故障的模式,开路、短路、漂移,这些都必须清楚。除了电阻之外,还有电容、二极管、三极管等等各种元器件,

通过FMEDA分析, 我们就可以得到硬件架构度量指标。

除了硬件架构度量指标,还有一个指标就是硬件随机故障的概率。做这个的目的就是要提供证据,证明由于硬件随机失效导致违反安全目标的剩余风险足够低。足够低是指与已在使用的相关项或已知安全的相关项相比,剩余风险相当,这个叫足够低。这个度量指标,可以采用定量的FTA方法,在前面系统分析时我已经分享过了。

在软件方面,也是先从系统需求TSR导引出软件需求,基于这个软件的需求,安波福会创建软件架构。这个软件架构既包含功能安全相关的功能,也要保护非功能安全相关的功能。安波福会选择合适的工具,比如用什么编译器,编程语言,测试的工具等,安波福都会定义清楚。然后再进行单元设计、单元测试,最终进行验证,来保证软件的实现是满足需求的。

这就是一个V模型,可以看到安波福有软件的需求定义,需求分析,架构设计,单元设计,单元实现等。通过单元测试来验证软件的详细设计;通过集成测试来验证软件的架构;通过合格性测试对软件需求进行验证。

在软件整个设计的过程中,安波福对相关的文档、架构或者是代码都要进行检查。在做单元测试的时候,安波福对ASIL-C等级的,一定要做到语句覆盖和分支覆盖,而对ASIL-D等级的,安波福除了要做语句覆盖和分支覆盖的测试,还要做MC/DC这个测试,最终在测试台架对软件需求进行验证,确保安波福的软件是满足需求的。在整个开发过程中,安波福还有一些确认的措施,这里面包括确认检查(Confirmation Review)和审计审核( Audit and Assessment)。Confirmation Review主要是对文档,从技术的角度来进行审核,Audit and Assessment主要是对整个开发的流程进行审核。安波福有一个全球的审核团队,他们是属于一个独立的审核团队, 满足功能安全I3的要求,对安波福整个产品开发的流程进行审核。如果有什么问题,他们都会及时提出来,确保每个项目都符合ISO26262的要求,并能持续改进。

保障功能安全快速落地 安波福全栈解决

在产品开发的各个阶段,包括从概念阶段到需求分析到架构设计再到详细的设计以及最后的验证,甚至到生产,安波福都严格遵守符合ISO26262要求的流程。安波福对每个过程都有相应的规范,对所有的功能安全相关的产品输出物,都要进行检查和评估,以确保安波福的产品满足功能安全的要求。

不论是SVA架构设计还是传感器的融合,安波福都走在了行业的前列,依托于公司完善成熟的质量体系,我坚信安波福在自动驾驶领域一定会走得更高、更远。

《智能网联汽车产业分析月刊》