高级驾驶员辅助系统(ADAS)已成为道路上汽车的不可或缺的功能。加入它们不仅可以减轻驾驶员的压力,还可以提高安全性。ADAS的现有功能,例如自适应巡航控制,车道保持辅助,减缓碰撞制动系统,以及更多其他功能,已被证明是行之有效的结果,表明包括这些功能可显着减少前,后和交叉交通碰撞。
根据自治级别,ADAS功能的功能会有所不同。根据SAE,级别0是驾驶员完全控制车辆的位置,级别5是车辆可以在所有驾驶条件下执行驾驶功能的位置。在当前情况下,大多数ADAS功能都属于L0-L2自治范围,即使在存在组合自动控制的情况下,仍然需要驾驶员进行控制。NHTSA所描述的ADAS功能的开发如图3所示。这些功能在新生产的车辆中大量存在,因为它们已被证明有助于营造安全的驾驶环境。原始设备制造商(OEM)必须更加小心,因为用户依靠这些技术来执行和辅助某些与驾驶有关的功能。因此,OEM应该灌输一种按设计设计的方法,通过该方法,可以在设计的早期阶段评估与传感器技术相关的任何可能导致危险的缺陷。
一些OEM通过ISO 26262等标准遵循最佳实践,该标准涵盖了与系统相关的电子/电气(E / E)安全关键故障。了解系统行为和评估危害是有助于安全系统设计的两个关键方面。为了确保针对任何E / E系统评估这些因素,对于L0-L2,ISO 26262提出了从设计阶段到测试,验证与确认(V&V)的战略框架。此过程应在早期设计阶段就深入组织内部,以帮助事先了解任何潜在风险,因为它可能会影响系统信心。由于与L3-L5相关的动态行为,因此在早期设计中很难解决这些方面。如果从设计阶段到测试阶段再到生产早期阶段实施任何汽车安全完整性等级(ASIL)的产品,那么ISO 26262所提供的严格性和战略框架都被证明是有效的。
对于正在开发的当前系统和旧系统,工程师都依赖于测试策略和V&V标准。由于已经知道L0-L2和部分L3系统的故障,因此ISO 26262提出的测试方案满足验证和验证L0-L2和部分L3系统的测试要求。但是,在测试L3-L5系统时,ISO 26262 V&V流程不足。车辆在变化的环境条件下运行。这种情况的变化会在操作期间引入新的风险,在这种情况下,并非所有测试方案都可以评估相关的未知风险。对于OEM而言,开发健壮的V&V流程以使其系统安全运行并符合设计安全标准具有挑战性。
由于未知危害所涉及的风险的残留行为,因此工程师要使用当前的仿真技术来测试其中的任何一项,都是一项挑战。为了帮助理解极端情况下的系统行为–测试期间未出现的情况– ISO PAS 21448:预期功能的安全性(SOTIF)具有理论方法和一组指导原则。
对于L0-L2自治,ISO 26262具有足够的鲁棒性来识别E / E故障。对于未知系统危险更为普遍的自治L3-L5,情况如何?ISO 26262和ISO PAS 21448有助于识别和推广适用于所有级别自治的无风险方法。
V&V策略ISO 26262 / ISO PAS 21448
ISO 26262流程概述:
ISO 26262流程首先提供通过定义功能安全管理来促进安全文化的准则。在接下来的步骤中,将在概念阶段定义项目,在该阶段评估与系统相关的所有可能的危害。这有助于计算ASIL等级。此外,基于ASIL等级的危害得出了安全目标,这对于提供和生成需求至关重要。在ISO术语中,所有要求都将根据功能安全概念(FSC)得出,它们构成了较低级别系统要求的基础。FSC对于开发安全的系统设计至关重要,并且有助于制定技术安全概念(TSC)中定义的要求。这构成了硬件和软件安全要求的基础。通过安全分析方法,可以进一步评估相关的剩余风险。在以下各节中,将讨论详细的测试和V&V策略。
验证与确认:
验证用于确保系统不存在由于未知危害引起的任何不合理风险。通常,在V&V过程中,可以使用安全分析方法-失效模式和影响分析(FMEA)或故障树分析(FTA)来完成在初始危害和风险分析过程中未评估的危害和风险。为了满足验证覆盖率标准,模拟有助于探索各种可能的相关方案。通过此过程,分配给系统的ASIL等级将更加强大,这有助于实施适用于L0-L2系统的适当测试策略。
相反,当车辆进行控制时,对于L3-L5,模式混淆和系统责任的可能性很高。在V&V期间无法测试这些风险。为了解决与系统相关的动态风险的不足,ISO PAS 21448草案正在制定V&V指南。但是,ISO PAS 21448必须确保解决以下问题,以便建立可靠的V&V流程。
- 安全分析是否足以评估与系统相关的危害?
- 测试规范是否涵盖了评估系统性能所需的用例?
- 测试策略是否足以完成系统的验证和验证?
以下各节介绍了V&V范围,其中包括验证系统要求,利用V&V流程增加系统置信度以及观察系统。这些部分还将进一步解决由于极端情况而与L3-L5相关的挑战。还将讨论用于定义测试目标,测试用例,测试目标等的测试方法,这些方法明确地定义了可以用来克服V&V挑战的5 Who's和2 How's(5W-2H)方法。
第1节:了解V&V范围
本节中展示的V&V的范围解决了高级自治级别– L3-L5。验证过程对于安全功能部署至关重要,特别是在L3-L5自治的情况下。对于L0-L2自治功能,ISO 26262提供的测试和验证策略足以验证系统设计。但是,在故意滥用系统的情况下,SAE J31408 / ISO 21434(正在开发中)标准建议了有关安全性问题的准则。
整个系统验证不能仅通过测试来实现,而可以通过可靠地实施质量审核,专家评审或通过安全分析技术来实现。上面显示的验证计划示意图是如何使用ISO 26262标准实施该计划的示例说明。随着复杂性的增加,测试有助于确定任何隐藏的故障,并提高系统在实时驾驶条件下使用的信心。以下步骤列出了V&V流程必须满足的必要条件。
步骤1:满足系统设计的需求验证
借助容易获得和已知的方案,工程师可以通过测试进一步确保系统安全。验证过程主要侧重于可测试的需求,并且可以通过长期用于生产车辆的设计过程来依靠安全性。设计上的安全性概念是基础,但对于自动驾驶汽车,由于未知场景无法直接验证,因此可能会很困难。例如,诸如亮度,建筑区域和隧道之类的场景可能会遮挡传感器并造成不安全的驾驶环境。为了解决这些问题,必须对已知和未知方案进行验证。
步骤2:利用验证过程来最大化系统置信度
在实时情况下,由于无法避免的不确定性,很难实现具有100%可靠性和0%无故障的系统。诸如操作设计域(ODD)以及对象和事件检测响应(OEDR)之类的因素对于确保系统功能在设计域和用户所需的响应之内至关重要。通常,验证是通过受控的道路测试(例如,试验场)或通过诸如环路中的硬件(HIL),环路中的软件(SIL)和环路中的驱动程序(DIL)之类的仿真来测试经过验证的系统的)。在验证期间,系统的功能应保持稳定以避免任何未知情况。
步骤3:部署后观察。
部署后观察是重要的步骤,可让安全工程师介绍和更新对系统功能所需的任何更改。更改或更新可能是长期测试,现场监视或安全测试的结果。安全工程师需要确保进行更改和更新不会引起任何新闻风险或改变系统功能,而这会影响安全性。
第2节:与高度自治功能相关的V&V挑战
测试任何系统的所有方案都是极具挑战性的,因为某些传感器可能会因其动态特性和不确定性而面临挑战。必须在检测所有已知和未知方案与系统性能之间取得积极的平衡。这是本白皮书提出的五个挑战(改编自《英特尔自动驾驶安全第一》)。
挑战1:没有驾驶员交互的系统安全
对于L0-L2自动化车辆,由于车辆始终处于驾驶员控制之下,因此可以考虑所有最坏情况,以确保系统安全。但是在L3-L5中,车辆处于控制状态,因此驾驶员无需完全警惕。安全的系统运行需要一种具有最高严谨性的独特方法,该方法可以使车辆自行驾驶。可以通过测试将统计验证方法(例如回归分析和标准偏差)应用于获得的数据集。
挑战2:驾驶员互动的系统安全
对于自动驾驶汽车来说,诸如超车,变道和隧道驾驶等复杂的操作可能是具有挑战性的任务。作为L3-L5的V&V流程的一部分,所有这些复杂的机动任务都需要进行评估。一旦自动驾驶汽车成熟,这个清单就会增加。对于复杂的情况,从模式到人的模式转换要求用户能够持续监视系统性能,并在发现任何系统异常时进行控制。此外,长期的自动驾驶使用户自满,将这些场景包括在V&V流程和系统影响分析中是安全的做法。
挑战3:交通中未知的场景
传感器交互是L3-L5执行关键驾驶任务的规范过程。重要的是,传感器必须捕获所有基本信息并立即做出响应,以产生必要的车辆控制功能。驾驶模式一直在变化,自动驾驶汽车应该能够适应这些未知因素。当车辆到车辆,车辆到行人等(V2X)交互已完全实现时,与交通相关的安全风险也会出现。所有这些因素都是验证的输入。
图4是配备有照相机传感器的防撞系统的正常/不安全操作条件的简化图示的示例。在这种情况下,摄像机传感器会在当前时间(t)中继图像形式的信息,以执行驾驶制动操作。决策算法有助于根据熟悉度索引对图像进行分类,其中包括预加载的路线地理,环境条件,速度范围和其他因素。在正常运行的情况下,图像被识别为熟悉的,ECU可以发送信号来制动。对于无法识别的图像,ECU可能会产生有害的驾驶控制动作,从而导致危险。
功能
使用相机传感器避免Collison
输入:图像(t)–当前时间的图像,t系统组成
处理:决策算法–根据熟悉程度索引对图像分类提供决策
处理/启动启动:ECU –处理信息并配备适当的驾驶控制功能
情境 试图从A点操纵到B点的L4系统正在根据从摄像头传感器接
收到的图像执行驾驶控制动作
可能的结果
正常运行–系统根据识别出的图像安全地制动车辆不安全的操作–动态的环境条件导致决策混乱和不必要的控制生成,从而导致危险
挑战4:验证各种系统配置和变体。
在自动驾驶汽车的使用寿命中,ADAS功能需要软件更新或硬件更改。由于L3-L5的ADAS系统配置的复杂性,至关重要的是解决在V&V流程的服务时间内如何处理系统的更新和修改。
挑战5:基于机器学习的系统/子系统验证。
与L3-L5相比,L2功能的算法复杂度更低。由于L3-L5自动驾驶汽车严重依赖复杂的算法,包括广泛的机器学习或人工智能,因此V&V的工作需要采用不同的方法。在系统配置中为子系统实施验证可能是一项挑战,这会增加测试工作量。
第3节:V&V自动驾驶系统的方法
测试是V&V确保正确设计实施的关键要求。验证中的测试还有助于验证是否满足指定的功能要求。对于L3-L5,通过功能安全标准提出的当前测试标准和预期功能的安全性无法完全实现对自动驾驶功能的验证。
建立可靠的测试策略对于测试过程至关重要。为了理解有助于测试策略的关键要素,将5W-2H(Ohno,1998;Tague 2005)详细阐述为5W:谁,什么,哪里,何时,为什么,以及2H:如何?效果如何?,需要了解。对于L0-L2,何时和谁的问题可以通过当前的流程开发标准来回答。通过5W-2H概念验证系统设计并回答其余问题(L0-L2除外),可以改善整个V&V流程,如表1所示。
为什么?
以及效果如何?
测试目标,完成标准,指标怎么样?
测试技巧哪里?
测试平台什么?
测试元素或被测对象
这些因素有助于为L3-L5自动驾驶建立完善的测试过程,以支持验证。
结论:
在设计阶段就进行风险识别和危害评估至关重要,因为它会影响系统的完整性。总体而言,更安全的系统有助于促进更安全的道路。通过集成的ISO 26262流程实施,可以采取系统的安全措施。用户对汽车ADAS功能的需求不断增长,要求OEM应对新的挑战并遵守法规要求。由于与ADAS传感器相关的系统复杂性,因此需要一种独特的安全方法而不是传统过程。
ADAS传感器的操作生命周期主要是在动态环境中。需要进行测试以确保系统安全。测试和V&V流程起着重要的作用,因为它们提供了系统预期功能,系统故障模式行为以及安全机制的鲁棒性的可见性。SOTIF建议在极端情况下针对未知系统行为的V&V使用相同的过程,这在较高的自治级别中很常见。
在过去的8年中,LHP已帮助客户进行了ISO 26262流程,工作产品开发和功能安全评估。凭借我们在ADAS和流程开发标准(例如ISO 26262,ISO PAS 21448,网络安全,AUTOSAR和ALM工具)方面的专业知识,LHP可以在组织的技术和流程实施需求中发挥关键作用。
作者
史蒂夫·内梅(Steve Neemeh), Steve于2015年加入LHP,领导西海岸业务的扩展。他是策略和解决方案架构师的领导者,也是交付咨询组织的总裁。在加入LHP之前,Steve拥有25年以上的功能安全经验。史蒂夫(Steve)已启动了多个启动操作,并将它们投入了全面生产。值得注意的是,有一个完整的基础电子和软件开发小组,为商业航空电子和军车电力电子服务。对于LHP,史蒂夫(Steve)率先在加利福尼亚实施了安全关键型应用程序,为自动驾驶应用程序和空中机动性推出了功能安全性。