基于ISO26262的高速輔助駕駛的功能安全概念設計

吳坷 李超 杜佳 高海龍 陳玉龍

摘 ?要：隨著汽車電子的高速發(fā)展，輔助駕駛系統(tǒng)已經(jīng)開始大量普及，并已經(jīng)開始逐步下探到十萬元左右的在售車型之中。輔助駕駛系統(tǒng)，主要是指隨著智能化的應用，輔助駕駛員駕駛，系統(tǒng)自動執(zhí)行部分動態(tài)駕駛任務，有效的降低駕駛員駕駛強度，提升駕駛品質(zhì)。典型的如自適應巡航系統(tǒng)（ACC）、車道保持輔助系統(tǒng)（LKA）、自動緊急制動系統(tǒng)（AEB）和高速公路輔助系統(tǒng)（HWA）。其中高速公路輔助系統(tǒng)（HWA）直接對車輛進行橫縱向組合控制，目前功能安全國際標準（ISO 26262）在駕駛輔助系統(tǒng)中的涉及橫縱向控制的功能，在概念階段的涉及應用沒有統(tǒng)一有效的方法。本文以HWA為例闡述詳細的功能安全概念階段的設計方法、和分析過程，包含相關項定義，危害分析、安全目標導出和功能安全概念。此方法已經(jīng)在東風汽車高級駕駛輔助系統(tǒng)的功能安全開發(fā)中應用，為后續(xù)的高級駕駛輔助系統(tǒng)的功能開發(fā)提供一定的方法指導。

關鍵詞：功能安全;高速駕駛輔助;相關項定義;危害縫隙與風險評估;功能安全概念

中圖分類號：U471 ? ? ? 文獻標識碼：A ? ? ? 文章編號：1005-2550（2022）02-0070-12

The Function Safety Concept Design of Highway Assisted

Driving based on ISO 26262

WU Ke1， LI Chao2，DU Jia1， GAO Hai-long2， CHEN Yu-long2

（1. Dongfeng Motor Company Technology Center， Wuhan 430058， China; 2. Xiangyang Daan Automobile Test Center CO. LTD， Xiangyang 441004， China）

Abstract： With the rapid development of automotive electronics， assisted driving systems have begun to spread in large numbers， and have gradually dropped to about 100，000 yuan among the models on sale. Assisted driving system mainly refers to the application of intelligence to assist the driver in driving. The system automatically performs some dynamic driving tasks， effectively reducing the driving intensity of the driver and improving the driving quality. Typical such as adaptive cruise system （ACC）， lane keeping assist system （LKA）， automatic emergency braking system （AEB） and highway assist system （HWA）. Among them， the highway assistance system （HWA） directly performs the lateral and the longitudinal combined control of the vehicle. The current international functional safety standard （ISO 26262） involves the function of the lateral and the longitudinal control in the driving assistance system， and there is no unified and effective method for the application in the concept stage. This article takes HWA as an example to explain the detailed design method and analysis process of the functional safety concept stage， including the definition of related items， hazard analysis， safety goal derivation and functional safety concept. This method has been applied in the functional safety development of Dongfeng Motor's automatic driving assistance system， providing certain method guidance for the subsequent development of automatic driving assistance functions.

Key Words： Function Safety; Highway Assist; Item Definition; Hazard Analysis And Risk Assessment; Functional Safety Concept

汽車自動化及自動駕駛是汽車行業(yè)未來發(fā)展的趨勢，雖然完全意義上的自動駕駛汽車還沒有走入普通人的生活，但是綜合了自適應速度控制、自動緊急制動、高速駕駛輔助、擁堵輔助等多種輔助功能的汽車已經(jīng)出現(xiàn)在市場上了，這使得半自主駕駛在量產(chǎn)車型上成為現(xiàn)實[1]。

1 ? ?ISO 26262概念階段的主要活動

ISO 26262概念階段（第3部分）已經(jīng)是安全生命周期的開始，概念階段的主要任務是從整車層面確定功能，針對功能失效的危害事件進行風險評估并制定安全目標（主要屬性：ASIL等級、FTTI和安全狀態(tài)）導出功能安全要求。本部分主要是有四個活動，分別是相關項定義（Part3-5）、安全生命周期啟動（Part3-6）、危害分析和風險評估（Part3-7）、功能安全概念（Part3-8）。本文以高速輔助駕駛功能為案例，對概念階段開發(fā)的內(nèi)容和步驟進行詳細的說明。

2 ? ? 概念階段

2.1 ? 相關項定義

概念階段的開發(fā)是以相關項定義（Item Definition）開始的，相關項定義是對系統(tǒng)的描述，此系統(tǒng)也是標準中安全要求應用的對象。相關項定義的目的是定義和描述相關項，以及對其他相關項和環(huán)境的相互作用。因此，需要描述功能和非功能需求、邊界、接口和其他系統(tǒng)相互作用的假設。

相關項定義為危害分析和風險評估（HARA）提供輸入?yún)?shù)，在HARA中通過對E/E系統(tǒng)功能故障的定義和分析，識別整車級別的潛在危害。

HWA系統(tǒng)的工作場景為高速公路主干道（不含匝道）或近似于高速公路的道路，自車的速度范圍為0km/h至130km/h。HWA 系統(tǒng)可在激活且無故障的條件下對車輛進行縱向以及橫向控制，能夠探測前方車輛狀況和車道線，自動控制車輛加速、減速和轉向，從而讓車輛保持在車道線內(nèi)跟車行駛或以設定巡航速度行駛，并在駕駛員確認的情況下，通過探測側向車道線及側方車輛情況，提供自動變道。對其進行相關項定義應包含如下內(nèi)容：

2.1.1功能需求

相關項定義的目標是劃定開發(fā)范圍，描述開發(fā)對象和其他Item的交互關系。對于涉及橫縱向組合控制的駕駛輔助系統(tǒng)，需要進一步明確一些前提輸入，包含感知系統(tǒng)、決策單元、動力系統(tǒng)、制動系統(tǒng)、轉向系統(tǒng)、整車通訊和診斷等。在整車層面，HWA功能安全開發(fā)只考慮邊界內(nèi)的各部件[2]。

圖1是HWA功能的功能架構及邊界圖，系統(tǒng)內(nèi)各個要素（Element）通過控制邏輯實現(xiàn)：1）跟車時距控制;2）定速巡航;3）激發(fā)式自動變道控制;4）車道保持。HWA系統(tǒng)HWA初始架構要素及功能分配：

Element01：發(fā)布開關信息（如多功能方向盤模塊Switch）;

Element02：發(fā)布車速、行駛方向、制動踏板狀態(tài)、EPB狀態(tài)等;接收制動扭矩請求;

Element03：發(fā)布方向盤轉角、方向盤轉角速率、駕駛員手力矩等;接收轉向扭矩請求;

Element04：發(fā)布Drive Ready、加速踏板狀態(tài)、駕駛模式等;接收加速扭矩請求;

Element05：環(huán)境感知傳感器（毫米波雷達、角雷達、攝像頭等），感知外部環(huán)境，識別、發(fā)布環(huán)境信息（工況、目標物信息等）

Element06：發(fā)布車門狀態(tài)等;

Element07：發(fā)布安全帶狀態(tài)，氣囊狀態(tài)、橫擺角速度等;

Element08：HMI（接收信息并執(zhí)行顯示、蜂鳴等）

Element09：智能網(wǎng)聯(lián)域控制器，接受其他全部相關項發(fā)布信息，對外發(fā)布控制指令（驅(qū)動扭矩、制動扭矩、轉向扭矩等）、HMI（模式狀態(tài)、Warning等）、燈光（制動燈、前照燈等）;

……：其他輸入和輸出信息。

根據(jù)當前車輛的各項運動參數(shù)，結合各傳感器（毫米波雷達、角雷達、攝像頭等）所感知的外部環(huán)境，所有的信息經(jīng)過智能網(wǎng)聯(lián)域控制器（Element09）處理，判斷車輛當前駕駛狀態(tài)是否處于各子功能設計適用范疇（ODD）以內(nèi)，并發(fā)布控制請求，執(zhí)行整車橫縱向控制。

如上文所述，相關項定義為功能安全開發(fā)的起點，必然處于項目開發(fā)的最早期。在此階段，整車設計任務書并未正式凍結，開發(fā)的設計也不完全成熟，不排除后續(xù)對功能架構和邊界進行調(diào)整的可能。但功能安全工程師應充分地認識到功能安全概念階段的開發(fā)是后續(xù)系統(tǒng)及軟硬件工程師開發(fā)的基礎，所以在進行功能架構和邊界的梳理時應與功能定義工程師充分打合，應盡量包含系統(tǒng)實際工作時所有的模式及其依據(jù)條件，避免后續(xù)工作出現(xiàn)反復，對項目成本、交期產(chǎn)生不良影響。圖2為HWA系統(tǒng)具有的工作模式及狀態(tài)。

通過直觀的狀態(tài)機圖示，可以很清晰的描述功能開啟、關閉、巡航、變道以及故障、降級和禁用等各個狀態(tài)，并通過詳細的定義表單（表1）去描述狀態(tài)跳轉的條件。因涉及企業(yè)保密原則，表中注1、2、3、4、5等條件無法在本論文中體現(xiàn)。

完整的功能邏輯還應包含功能實現(xiàn)的信號交互（信號矩陣）和能量傳遞鏈，同時對邊界外部需要定義清楚與系統(tǒng)內(nèi)交互的接口和信息。邊界外部的要素與邊界內(nèi)部的要素配合完成車輛的HWA各功能達成。如圖1，通過邊界線將系統(tǒng)的組件和要素劃分成兩部分，邊界內(nèi)的要素與系統(tǒng)直接相關、會影響系統(tǒng)功能實現(xiàn)，如Element 1系統(tǒng)開關，其開閉觸發(fā)狀態(tài)直接決定系統(tǒng)能否開始工作，因此需要劃歸邊界內(nèi)。此外有些要素項即承擔了信號發(fā)布的職能，同時也是執(zhí)行段的信號接收單元，會同時出現(xiàn)在邊界內(nèi)和邊界外，這一點在圖1中也有所體現(xiàn)。

2.1.2非功能需求

本節(jié)包含功能涉及的相關法律法規(guī)、國家標準以及國際標準。同時也應包含環(huán)境約束信息，如溫度、海拔、濕度、振動、電磁干擾等;系統(tǒng)運行要求，如工作電壓、電流等其他的限制條件。因該項內(nèi)容較為簡單、清晰，本文不做詳細展開。

2.1.3失效后果及影響

本節(jié)需要定義相關項系統(tǒng)已知的失效模式和潛在的危害，造成的潛在后果，包括系統(tǒng)要素、軟硬件失效對系統(tǒng)造成的危害，用于指導HA&RA和系統(tǒng)設計。如HWA系統(tǒng)開關單元功能卡滯，無法正常開啟、關閉;以及當系統(tǒng)執(zhí)行無目標物的巡航駕駛任務時，若攝像頭軟硬件故障導致的相關后果及影響。因篇幅限制，表2中選取開啟/關閉和巡航兩個子行為作為案例來闡述。

2.2 ? 危害分析與風險評估HA&RA

在ISO 26262的第3部分對危害分析與風險評估（Hazard Analysis and Risk Assessment）的方法論做了細致的闡述。但這些概念的定義過于抽象拗口，讓人很難快速理解其中的要點?；诖耍疚慕Y合HWA功能實例來梳理危害分析與風險評估的方法及其中的關鍵點。

危害分析和風險評估基于相關項定義的功能和接口來展開，通過識別出相關項的功能失效可能導致的危害和風險，并對風險進行ASIL等級評估從而得到相關項的安全目標。有了安全目標后，才能按照V模型對相關項進行功能安全開發(fā)。因此，危害分析與風險評估是進行功能安全開發(fā)的關鍵一步。

HA&RA分析流程如圖3，根據(jù)相關項定義確定系統(tǒng)邊界和定義系統(tǒng)框圖;然后進行整車級的危害分析，識別確定整車級危害，并通過運行場景的ASIL評估確定每一個整車級危害的ASIL等級，最后確定相關危害的安全目標（Safety Goals），并輸出功能安全概念。

2.2.1整車級危害分析

前文所述，通過相關項定義已經(jīng)確定了研究的系統(tǒng)和其范圍（System Description），并通過分析，提取出系統(tǒng)組件用來執(zhí)行的所有功能。

通過采用適當?shù)墓ぞ叻椒ㄈネ诰蛳到y(tǒng)潛在的風險，目前較多的方法有危害和可操作性分析HAZOP（Hazard and Operability Analysis）、系統(tǒng)論過程分析STPA（Systems-Theoretic Process Analysis）。HAZOP分析是一種用于辨識設計缺陷、工藝過程危害及操作性問題的結構化、系統(tǒng)化分析方法，被廣泛用于汽車E/E系統(tǒng)的潛在危害識別，其理論依據(jù)是：當在實際執(zhí)行中的狀態(tài)參數(shù)（如轉向扭矩、制動扭矩、驅(qū)動扭矩、電壓、電流、溫度等）一旦偏離設計規(guī)定的基準狀態(tài)，就會發(fā)生問題或出現(xiàn)危險。

HAZOP方法對每個已識別的功能，應用一組引導詞描述功能可能偏離其設計意圖的各種方式。IEC61882列出了11個建議的“引導詞”，但是這些引導詞可以根據(jù)所分析的特定系統(tǒng)進行篩選。在功能安全領域采用篩選后的7個引導詞，見表3。從整車層面評估以上功能偏差會帶來的影響，如果偏離設計預期可能導致整車級危險，則記錄該整車級危害。

表3 HAZOP引導詞

通過HAZOP定位某一組件的失效危害，即分析了產(chǎn)生危險的原因，同時導出該危險會給整個系統(tǒng)所帶來的后果。HAZOP方法利用系統(tǒng)參數(shù)和引導詞辨識偏差，能夠很大程度上辨識出存在于系統(tǒng)的危險，但是不和引導詞關聯(lián)的危險就可能不能被辨別。

在權衡人力資源、技術儲備、成本和周期的權衡，筆者團隊在HWA實際開發(fā)中僅采用了HAZOP方法，同步也在構建新的分析方法和體系能力。表4選擇HWA功能中“觸發(fā)式自動變道”進行HAZOP分析案例，分析上述7種失效，確定每種失效導致的整車級危害，并確定需要考慮的多種運行環(huán)境，給出可能的控制措施，最后將所有屬于危害事件的整車級危害匯總，以進行后續(xù)分析。

2.2.2確定ASIL等級

功能安全并不需要考慮功能異常所對應的所有危害，而是需要結合危害和危害發(fā)生時刻車輛運行的場景來分析危害所導致的風險是否在可接受的范圍內(nèi)。車輛的運行場景，可以理解為是表5中各個因素的排列組合。簡單來說，運行場景=道路場景+駕駛場景，比如“高速公路+直行加速”或者“高速公路+直線制動”等[3]。

當列出了相關項的所有場景與危害的組合后，接下來就是對其進行分類和篩選，確定哪些風險是可接受的，哪些是不可接受的。ISO 26262采用的方法是使用風險圖評估風險，即使用一種定性的方法，根據(jù)嚴重程度、暴露時間和可控性來判斷風險。

S（severity 嚴重度）：危害發(fā)生對駕駛員或乘客或路人或周邊車輛中人員會造成的傷害等級，見表6;E（Exposure 暴露時間）：運行場景在日常駕駛過程中發(fā)生的概率，見表7;C（controllability 可控度）：駕駛員或其他涉險人員控制危害以避免傷害的概率，見表8。

基于先前的分類，在最后一步根據(jù)標準中的風險圖給每個可能發(fā)生危險的事件得出所要求的ASIL級別。為了便于對標準中風險圖的理解，本文引入危險遭遇概率作為中間量，即危險的遭遇概率=暴露的頻度（危險工況的遭遇頻度）×可控性（危險可回避的程度），如圖4較為直觀的描述潛在的危險等級導出的因果關系。

ASIL A、ASIL B 、ASIL C和ASIL D要求采取特殊的措施。如果分析結果是QM（質(zhì)量管理），只需按照企業(yè)流程開發(fā)就認為可以滿足ISO 26262要求，無需額外進行功能安全開發(fā)。為確保思維的一致性以及邏輯的合理性，依然按表5（HWA_TLC功能的HAZOP分析示例）完成后續(xù)的HARA分析案例，具體見表9。

2.2.3確定安全目標

根據(jù)危害分析及風險評估的結果，描述安全目標，及對應的ASIL等級、安全狀態(tài)及故障容錯時間等參數(shù)，作為所有功能安全需求的最頂層需求，延續(xù)上文的HARA分析，導出合并后的安全目標。表10為HWA安全目標。

2.3 ? 功能安全概念

功能安全概念（Function Safety Concept）的目的是針對相關項定義（Item Definition）的系統(tǒng)和系統(tǒng)的功能，依據(jù)危害分析及風險評估的結果，導出安全目標對應的功能安全需求及相應的ASIL等級、并將功能安全需求分配到系統(tǒng)的初始架構、外部措施或者其他技術方法上。功能安全概念從三個層面展開[3]：

明確安全狀態(tài)（Safety State）。安全狀態(tài)是系統(tǒng)或功能不存在任何由于系統(tǒng)導致的不能接受的風險的一種狀態(tài)，主要根據(jù)危害情況從三個角度提出。分別是功能正常的運行、執(zhí)行、操作狀態(tài)，功能故障后的降級反應和功能故障后關閉并報警。但應注意明確安全狀態(tài)并不是說每一個危害都要按照這三條來提出，要結合具體的功能來定義，切忌生搬硬套，例如EMS可能涉及到的安全狀態(tài)包含了以上三項內(nèi)容。高速駕駛輔助（HWA）的安全狀態(tài)屬于第三類，故障后直接關閉該系統(tǒng)，不存在保持操作和降級的概念。

明確功能安全需求（Function Safety ? ? Requirement，F(xiàn)SR）。功能安全需求仍然是從管理人員的角度來看待問題，故不涉及具體的實現(xiàn)技術。功能安全需求對應于整個系統(tǒng)的頂層設計（Top-Level-Design），并為技術安全需求的必須輸入信息建立了相應的基礎。對OEM而言，如系統(tǒng)級和軟硬件開發(fā)都是外委供應商來完成，則整個系統(tǒng)級的功能安全需求充當了OEM與Tier1之間，針對“開發(fā)接口協(xié)議（DIA）”的合同文件的角色，因為在這里系統(tǒng)屬性也已確定。圖5描述了功能安全需求導出的層級關系和責任主體[4]。

由圖5可知FSR是OEM功能安全開發(fā)的重點工作項之一，OEM需要將FSR覆蓋到Item的每一個Element。在需求分配期間，ASIL等級和諸多要求必須繼承自相關的安全目標，主要的要求為：功能正常運行、操作模式;故障發(fā)生時的容錯時間間隔;如何轉換為安全狀態(tài);應急操作時需要在多長時間內(nèi)完成的時間間隔和功能冗余。

安全需求的ASIL等級的分解和分配依據(jù)ISO 26262-9：2018，在本章節(jié)中對分解、分配規(guī)則進行簡單闡述。本文以表11中“SG-HWA-05：防止激發(fā)式自動變道過度，車輛離開目標車道”為例來詳細如何設計一份FSR，下表12即為安全目標SG-HWA-05的安全需求分解示例。

這里還需要補充一個概念，系統(tǒng)要保障安全除了應設計合理的安全機制和安全狀態(tài)，系統(tǒng)必須能夠檢測故障并在容錯時間間隔（FTTI）內(nèi)轉換到安全狀態(tài)。否則，故障仍然會成為系統(tǒng)級危害。FTTI與由功能異常行為引起的危害相關，其最小的時間間隔則是通過評估所有先關的危險事件來獲得，具體的數(shù)值取決于危害的特征。在概念階段，F(xiàn)TTI僅在相關項級定義，不需要進一步考慮到要素級[5]。

安全目標（SG）分解為功能安全需求（FSR），F(xiàn)SR繼承了ASIL。在此過程中，高等級的ASIL可以分解為若干低等級的ASIL。ASIL分解是作為需求的分解，分解后的需求落在要素（element）上面、要素（element）具有ASIL Capability。事實上只要是需求就可以進行ASIL分解，在功能安全開發(fā)過程中，F(xiàn)SR只是第一次可以做分解地方，后續(xù)的需求也可以再分解，如在系統(tǒng)設計、軟件設計、硬件設計等階段分解不限制次數(shù)。

ASIL分解的原則如圖6所示，ASIL分解可能分多次進行，應通過在括號中給出安全目標的ASIL等級，對每個分解后的安全要求的ASIL等級做標注。分解后的ASIL等級后面括號里是指明初始安全目標的ASIL等級，比如一個ASIL D的安全目標分解成一個ASIL C的要求和一個ASIL A的要求，則應標注成ASIL C（D）和ASIL A（D），如果其中的ASIL C（D）要求還可進一步分解成一個ASIL B 的要求和一個ASIL A的要求，則應使用初始安全目標的ASIL等級將其標注為ASIL B（D）和ASIL A（D），后續(xù)集成和安全目標的驗證仍然依據(jù)其初始的ASIL等級。

ASIL等級分解需要滿足需求的冗余性，即分解之后的需求應能獨立滿足分解之前的需求。且要素應符合獨立性原則，所謂的獨立性就是指要素之間不應發(fā)生從屬失效，常見的從屬失效分為共因失效和級聯(lián)失效。共因失效是指兩個要素因為共同的原因?qū)е率В壜?lián)失效是指一個要素的失效導致另一個要素的失效。

3 ? ?總結

功能安全開發(fā)開始于概念階段，對應標準的part3。本文針對高速輔助系統(tǒng)這個相對復雜的汽車駕駛輔助功能，進行了相關項定義、危害分析和風險評估、功能安全要求的分解，并確定了系統(tǒng)的ASIL等級為D（最高的安全目標ASIL），完成了功能安全概念的設計工作，最終實現(xiàn)了對高速輔助系統(tǒng)功能安全概念設計。

參考文獻：

[1]趙鑫，李明勛. 汽車電子功能安全實戰(zhàn)應用[M]，同濟大學出版社，2021年4月第1版.

[2] Kai Borgeest，汽車電子系統(tǒng)電磁兼容與功能安全[M]，機械工業(yè)出版社，2020年8月第1版.

[3]王俊明，周宏偉，基于ISO 26262的車道保持輔助的功能安全概念設計[J]，重慶交通大學學報（自然科學版）、2019年3月第38卷第3期.

[4]Vera Gebhardt，Gerhard M.Rieger，基于ISO26262的功能安全[M]，機械工業(yè)出版社，2021年4月第一版.

[5]賈天樂. 基于ISO26262標準的EPB控制器設計研究[D].南京：南京理工大學， 2019：21-29.

吳 ?坷

畢業(yè)于華中師范大學，工學碩士?，F(xiàn)就職于東風汽車公司技術中心架構開發(fā)中心，任功能安全工程師，主要研究方向：整車功能安全，預期功能安全。

專家推薦語

盛 ? 凱

西安電子科技大學 前沿交叉研究院

信息感知與智能系統(tǒng) ?教授

本文以高速公路輔助系統(tǒng)（HWA）為例，說明了功能安全概念設計階段相關項定義、危害分析和風險評估、功能安全要求分解等工作內(nèi)容，確定了該系統(tǒng)的ASIL等級。針對復雜的HWA系統(tǒng)開發(fā)，從實踐角度對功能安全概念設計工作進行了詳細闡述，具有實際的工程參考價值。