互联和自动驾驶汽车(CAVs)有望带来巨大的经济、社会和环境效益。真正自动驾驶汽车应该比人类司机更安全,然而,先进的系统和复杂的自动化水平也可能带来由硬件或软件故障产生的事故。为了达到完全的安全性,需要在整个CAVs的开发生命周期过程中开发一个安全案例来指导危险事件的识别和分类,并将这些风险降到最低。一个可理解和有效的安全案例必须采用适当的安全方法,符合ISO 26262中的汽车功能安全要求。目前工作的技术重点是比较研究不同的安全方法,特别是失效模式和后果分析(FMEA)方法和目标结构表示法(GSN),它们被用于生成危险事件列表、安全目标和功能安全要求。利用上述方法对微型无人驾驶汽车的安全案例开发进行了案例研究。本案例研究了为INSIGHT整车供电的电池和充电系统的安全论证。该系统的安全性、故障可能性以及防护层都经过了评估。案例分析的结果和结论表明,采用GSN和FMEA相结合的方法可以有效地开发出安全案例。
1 简介
因为受伤和死亡人数不断上升,全球排气污染和气候变化,个人交通工具的快速增长令人恐惧。2009年,美国发生了550万起交通事故,涉及950万辆汽车,造成约3.4万人死亡,另有220万人受伤,其中包括24万人次入院。此外,据估计,汽车和卡车排放的二氧化碳占美国总排放量的20%。对于发展中国家汽车数量的爆炸式增长,统计数据甚至更加可怕。CAVs配备了更多的传感器来探测其他道路用途和行人,以及更高水平的计算机控制,有望大大减少事故、拥堵和污染。例如,谷歌声称他们的无人驾驶汽车可以减少90%的事故,减少90%的时间和燃料浪费,并大幅提高汽车的利用率,这意味着汽车的总体数量会减少。考虑到巨大的市场价值,世界上每个主要的汽车制造商都在开发CAVs。据估计,到2035年,自动驾驶汽车的年销量将达到9500万辆。IEEE预测,到2040年,自动驾驶汽车将占据75%的市场份额。汽车工业为英国经济做出了巨大贡献(600亿英镑),并有望在未来10年甚至更长时间内实现可观的增长。
最早的关于自动驾驶汽车的报告之一出现在1948年,它涉及到车辆的巡航控制的发展。从那时起,这项工作已经被许多研究人员开发,包括机械防抱死制动,电气稳定控制,激光巡航控制,碰撞前缓解等领域。20世纪80年代的第一个自动驾驶汽车项目是由卡耐基梅隆大学(CMU)在1984年组织的Navlab(1980)和ALV(自动陆地车辆)。从那以后,他们一直在开发自动驾驶汽车。近年来,CAVs汽车行业蓬勃发展,梅赛德斯-奔驰、通用汽车、大陆汽车系统公司、奥托立夫公司、博世、日产、丰田、奥迪、沃尔沃、谷歌和特斯拉等多家公司都开发了自动驾驶汽车。
英国CAVs的发展数据也显示了类似的趋势。在英国,网联和自动驾驶汽车中心(CCAV)已经成立,以帮助确保英国在开发和测试联网和自动驾驶汽车方面的世界领导地位。自2015年以来,CCAV持续资助一系列智能移动研发项目,如GATEway、Venturer、UKAutodrive、INSIGHT、i-MOTORS和FLOURISH等。其中,旨在开发无人驾驶航天飞机,特别关注改善残疾人和视障人士的城市可达性的INSIGHT项目将被全面介绍。为INSIGHT pod开发的安全案例将在以下部分作为案例研究进行讨论。
INSIGHT项目是一个合作项目,开发现有的自动车辆安全, 行人区的慢速(不超过15英里)操作,不仅连接控制和管理车辆, 还可以用于与系统的用户和其他客户交互的创新数据收集和表示应用程序。现有的电动连接自动驾驶车辆已经升级了先进的传感器,以检测和识别在邻近道路上的行人、骑自行车的人、小型摩托车和其他车辆。这些检测功能将使更高级的决策制定和更细致的寻路方法成为可能,并提供比目前此类系统中常见的简单启动/停止更平稳的行驶。INSIGHT自动汽车的总体情况如图1所示。
图1 INSIGHT车辆外观
INSIGHTpod车辆是无人驾驶和自动转向(自动驾驶SAE 等级5)的电动轻型车辆,最多可搭载四人及其行李(包括婴儿车和大件物品),总体内景见图2。虽然INSIGHT pod适用于几乎任何年龄层,但它的设计核心是包容性。INSIGHT将特别关注老年人和那些需要帮助的人(如视力障碍者)对它的使用,配有轮椅通道。pod将不仅评估乘客的身体体验,如内部舒适度和安全性,而且还将评估供应旅程信息,如呼叫响应时间、目的地、连接和其他支持信息,所有这些信息都通过人声传递。
图2 INSIGHT车辆内部视图
项目活动要求在开始之前提供一个安全案例,以确保任何合理的剩余风险已经最小化,并在可能的情况下完全避免。此外,还需要一个基于道路车辆功能安全标准的安全案例来证明车辆能够安全可靠地行驶。记录安全案例的典型方法包括文本格式、表格形式,如使用FEMA、图形符号等。这些方法都被用于制定各种自动驾驶汽车的安全案例。例如,LUTZ 开拓者自动化车辆采用FEMA方法,结合ISO26262汽车功能安全标准量身定制应用,开发了一个可防御的安全案例,并得出试验需要人工干预的结论。另一个类似的项目,ULTra CAVs提供了T5商务停车场和希思罗机场5号航站楼之间的个人快速过渡,使用FEMA和GNS的联合方法生成了一个安全案例。ULTra CAVs自2011年以来一直安全运行,交付了超过350万名乘客,这为成功的安全案例提供了强有力和令人信服的证据。
INSIGHT车辆基于现有设计的ULTra CAVs,车辆应该在一个无约束的行人区域运行,而不是安装在一个定义良好的专用轨道上。因此,有必要为INSIGHT车辆开发适当的安全性。目前的工作旨在探索各种方法,以发展的安全情况的INSIGHT车辆。这些方法将纳入综合安全管理遵循一系列不同的立法和指导,如英国无人驾驶汽车测试守则和道路交通法案SAE J3018和J3061。下面将比较和分析各种方法的性能。
2 车辆布局和ISO26262
2.1车辆控制系统和推进装置系统
为了实现5级无人驾驶汽车的自动驾驶,INSIGHT pod车辆开发了一套自主控制系统。该自主控制系统由态势感知系统、便于动态路径规划和决策的中央控制系统和车辆运动控制系统组成。智能传感器模块(一组传感器,如长、短程雷达、前、后、侧立体摄像机和超声波传感器)通过有线以太网连接到自主车辆中央控制系统,以改进路径规划和决策。该模块集成了转向系统、刹车系统和电子电机,可响应车辆控制系统的需求,通过CAN总线传输。图3展示了INSIGHT车辆的基本控制系统架构。注意,该基本控制系统不包括环境监测传感器系统、人机交互控制系统和4D触觉系统,使视野更清晰。
图3 INSIGHT车辆控制系统的基本功能
INSIGHT车辆有两个锂离子电池单元,分别为牵引电源系统高压图3 INSIGHT车辆控制系统的基本功能(48V)电源和车辆控制系统、车门驱动系统低压(24V)电源。典型的INSIGHT车辆推进系统如图4所示。可以看出,电机控制模块将48V直流电池电源转换为低压三相交流电源,同时控制电机转矩速度和方向。交流电动马达通过固定比率传动装置和安装在跨轴上的差速器通过前轮驱动车辆。注意,标称系统电压限制在48伏,以最大限度地降低冲击风险。
图4 INSIGHT车辆典型推进系统示意图
2.2 ISO26262道路车辆功能安全标准
ISO26262是IEC61508的升级版,满足汽车行业的特殊要求。这是第一个全面的标准,涉及安全相关的汽车系统,包括电气,电子和软件元素,提供安全相关的功能。它试图解决当今道路车辆技术中的以下重要挑战:车辆中新的电气和电子硬件和软件功能的安全性、复杂性、软件内容和机电一体化的发展趋势;系统故障和随机硬件故障的风险。它还提供了如何在创建安全关键系统和规范关键测试过程中避免风险的指导。
ISO 26262将安全案例定义为“从安全活动的工作产品中收集的证据证明某一项目的安全要求是完整和满足的。”图5展示了在整个安全案例中使用的系统生命周期方法(V-model)。它的生命周期模型代表了系统从第一个概念到运行的发展过程。概念阶段(第3部分)指的是自动驾驶汽车在造型和功能等方面的初始大图。4-6部分为整车开发及软/硬件开发。第7部分是最终产品。验证是指各种试验,例如试车(试车)、硬件/软件的道路测试,以及在公众行人环境下分阶段进行的试验。v形状是因为测试和验证步骤是按照与设计和实现相反的顺序执行的。
图5 安全的系统生命周期方法:在整个安全案例中使用
2.3 故障模型和影响分析方法
失效模式和影响分析(FEMA)方法最初是为了分析军事系统的故障而开发的,它使用结构化的、系统的电子表格来记录设计、制造或装配过程、产品或服务中所有可能的故障、风险评估和管理策略。
典型的FMEA电子表格捕获所有系统/组件信息,包括项目、功能需求、故障模式和故障原因。每个可能的失败原因都有相关的风险,这些风险来自于它的发生和严重程度。在此之后,第一个重点是设计行动,即通过失败的原因将这些风险降低到尽可能低的水平。在考虑了设计动作之后,部件应该准备好通过物理测试或基本原理进行验证,以证明其健壮性和满足安全性能要求的能力。在验证、设计评审、客户评审/测试过程中可能会出现问题。这些问题或故障需要反馈到FMEA中,以确保额外的风险被添加到关注的部分,以证明我们已经减轻了这些故障并适合继续验证过程。下面给出了FMEA方法的实例电子表格,FMEA方法具有直观清晰、可行性高的优点,得到了航空航天和汽车行业的进一步发展和采用。