范學 鄒圣星 湯志鑫 陸宏國

【摘? 要】ADAS系統普及對功能安全提出了新挑戰(zhàn)。本文對LKA系統進行功能安全分解，繼而利用預期功能對執(zhí)行器EPS功能安全目標及安全需求進行SOTIF安全區(qū)域確認，并梳理測試用例及驗證方式，利用轉向五通道試驗臺及dSPACE控制器搭建EPS_LKA HIL臺架，首次實現模擬實車加載的系統級別HIL測試，發(fā)現不滿足預期功能安全的風險項，并協助整改。本次研究將很好地補充我司EPS_LKA系統臺架驗證手段，并為后續(xù)建立符合預期功能安全開發(fā)和評價提供前期的數據支撐。

【關鍵詞】LKA；APA；預期功能安全；臺架測試研究

中圖分類號：U463.6? ? 文獻標志碼：A? ? 文章編號：1003-8639（ 2023 ）04-0072-05

【Abstract】The more popular the ADAS system is，the bigger challenge it brings to the vehicle safety. This paper，based on driving-assist function incorporated into the company's new flatbed car，used the method of HARA analysis，and work with the safety goals and safety requirements of LKA and APA system to complete the SOTIF safety region verification and sort out test method. By using the original MTS steering equipment and dSPACE controller，set up a suit of test system for EPS_LKA and APA system. The test bench can load as real car and carry on the system level of HIL test first time. Through the test，we find the issue which obeyed the SOTIF，and guidance the products improving，and have completed the test system of the steering system and provide a clear basis for system development and test.

【Key words】LKA；APA；SOTIF；bench test research

1? 前言

隨著車輛電動化、智能化的發(fā)展，預期功能安全越來越受到各廠商的重視。下文將介紹汽車功能安全體系，以及在功能安全體系指導下，對LKA功能安全分析、測試用例策劃和驗證方法進行舉例說明。

2? 預期功能安全的理論

ISO針對功能安全制定標準體系及分工，見表1。

2.1? 汽車預期功能安全的核心

SOTIF應對ADAS挑戰(zhàn)，作為FUSA的擴展，也不再僅關注電子電器失效造成的危害，而SOTIF的兩個核心點可概括為：預期功能安全不足及人為誤用[2]。預期功能安全及功能安全標準體系差異如圖1所示。

SOTIF意義在于通過場景、情景及事件的排列組合有效劃分事件所處區(qū)域的位置，通過合理驗證，將已知不安全區(qū)域轉為安全區(qū)域，并發(fā)現未知不安全區(qū)域，如圖2所示。

2.2? 預期功能安全開發(fā)流程及驗證方式

從行業(yè)共識來看，SOTIF體系與FUSA體系并無沖突，二者共同為全類型ADAS功能在故障和非故障情況下安全運行提供支撐，因此應結合二者，共同構建產品V型開發(fā)驗證流程，如圖3所示。鑒于預期功能安全HARA的評價指標未明確，SOTIF的HARA可以借鑒FUSA的HARA，產品開發(fā)及驗證過程應是軟硬件開發(fā)與測試同步執(zhí)行，但SOTIF應著眼于確定合理驗證，將已知不安全轉為安全，并發(fā)現未知不安全區(qū)域。

ADAS系統三大核心問題：場景感知能力、決策算法合理性、執(zhí)行層能力。SOTIF典型驗證和確認方法可參照表2。

3? 整車LKA預期功能安全分解

LKA系統中，EPS是實現功能的關鍵執(zhí)行器。與傳統EPS系統比，除提供助力外，EPS_LKA不僅需響應LKA控制器力矩請求，還為LKA橫向控制策略實現安全冗余。因此，對執(zhí)行器EPS_LKA進行驗證，首先需對所屬系統整體進行功能安全分解，獲取相關功能安全目標及功能安全需求，劃分并確認所屬預期功能安全區(qū)域，制定驗證工況，從而制定對應的EPS_LKA模塊的驗證方法。

下文將以某車型LKA功能為基礎，借鑒FUSA功能安全分解流程，先以對LKA分解為示例獲取系統功能安全目標及功能安全需求。

3.1? LKA要素及功能定義

LKA網絡拓撲[4]如圖4所示。經分析，LKA的主要功能要素及要素功能描述分別在表3中被給出。

通過對整車上LKA功能進行歸納和總結，整車實現的功能見表4。

3.2? HAZOP分析

采取HAZOP方法進行系統功能失效分析，功能層面失效表現形式關鍵詞有：功能喪失、過度、延時、不足、間歇性、無規(guī)律、相反、錯誤、駕駛員無法接管、無法識別變道信息。下文展示利用HAZOP方法對LKA系統功能進行失效分析。整車坐標系六自由度運動如圖5所示。

3.3? 危害及場景定義

3.3.1? 系統的異常表現

使用HAZOP分析方法得出LKA系統在車道居中、偏離告警等幾方面可能的異常表現，分析可能導致的整車層面危害，表5為LKA系統功能異常表現的部分案例。

3.3.2? 整車層面的危害

上述問題在整車層面功能異常表現的危害見表6。

3.4? 駕駛場景及工況定義

參照SAE J2980：2018 Considerations for ISO 26262 ASIL Hazard Classification中場景概括如下，如圖6所示。

3.5? ASIL等級：（Automotive Safety Integrity Level）定義

基于上述Hazard、工況和環(huán)境，進行排列組合，然后對Hazard與工況及環(huán)境進行compliance分析，可進行相應ASIL等級定義。ASIL等級分解圖如圖7所示。

3.6? 系統危害分析和風險評估（HARA分析）

根據HARA進行分類、總結，從而得到LKA的功能安全目標，如圖8所示。

3.7? 系統安全目標的和安全需求

綜上，得出LKA系統功能安全目標見表7。

4? EPS_LKA的預期功能安全測試分析及測試用例策劃

上述功能安全目標及安全需求需進行安全區(qū)域劃分，以SR2區(qū)域確認為例，確認流程如圖9所示。圖9中，①功能定義為開啟LKA時不進行脫手檢測。②功能危害進行識別和評估：高速路開啟LKA，突發(fā)非預期轉向，但駕駛員發(fā)生脫手。上述①②引發(fā)危害及風險能否被評審通過，如未通過，進行③觸發(fā)事件分析預估是否正確識別道線標記，如不能，則④功能提升：加脫手檢測。如果符合區(qū)域2（已知不安全），則⑤定義驗證和確認策略。如符合區(qū)域3（未知不安全），則⑥～⑦功能安全區(qū)域的確認，最后是⑦SOTIF確認驗收。

SOTIF驗證和確認過程主要是對區(qū)域2和區(qū)域3的探測和轉化過程。EPS_LKA作為關鍵執(zhí)行機構之一，測試用例測試參考圖10。EPS_LKA功能安全部分用例及期望結果見表8。

4.1? EPS_LKA臺架測試系統搭建和介紹

自建LKA測試系統，EPS_LKA預期功能安全測試系統控制原理如圖11所示。

4.2? 搭建LKA、APA測試系統模型

模型構架案例如圖12～圖14所示。搭建的測試控制軟件界面如圖15所示。

5? 試驗結果分析

以某版本系統為例，測試發(fā)現LKA模式下不符合的部分案例如下，試驗過程如圖11所示。

5.1? 問題1：LKA駕駛員脫手判定時長過長

1）測試方法：轉向系統按實車裝配，用臺架對轉向系統模擬實車加載，并為系統供電，試驗人員先手扶方向盤通過自檢再脫手模擬駕駛員未手扶方向盤狀態(tài)。通過LKA系統測試工程向EPS_LKA模塊發(fā)送模擬MPC控制器規(guī)劃的目標路徑（發(fā)送虛擬零扭矩請求時），利用MTS測試系統及dSPACE控制器分別回采系統響應。

2）測試結果：實測系統扭矩為0.18N·m扭矩下保持24.8s，EPS_LKA報文狀態(tài)位跳變，系統跳出LKA狀態(tài)，測試結果見圖16，高車速狀態(tài)下，MPC異常時有7～10s時間差顯然存在較高功能安全風險。

5.2? 問題2：LKA駕駛員脫手力矩判定值不合理

1）測試方法：轉向系統按實車裝配，用臺架對轉向系統模擬實車加載，并為系統供電，試驗人員先手扶方向盤通過自檢后再脫手模擬駕駛員未手扶方向盤狀態(tài)。通過LKA系統測試工程向EPS_LKA模塊發(fā)送模擬MPC控制器規(guī)劃的目標路徑（發(fā)送虛擬連續(xù)0.1N·m正弦請求時），利用MTS測試系統及dSPACE控制器分別回采系統響應。

2）測試結果：駕駛員脫手狀態(tài)下，系統扭矩均值在0.4N·m，EPS_LKA無法檢測到脫手狀態(tài)，如圖17所示，存在嚴重安全風險。

6? 結論

本文主要研究預期功能安全問題，并利用我司現有轉向五軸試驗系統及dSPACE控制器來完成EPS_LKA測試臺架搭建，并發(fā)現了系統不足，為我司EPS_LKA模式功能開發(fā)驗證提供了更多有效驗證的手段。

參考文獻：

[1] ISO 26262，Road Vehicles——Functional Safety[S]. 2011.

[2] ISO 21448，Road Vehicles——Safety of the intended functionality[S]. 2019.

[3] 尚世亮，崔海峰，郭夢鴿，等. 自動化測試在SOTIF開發(fā)中的應用[J]. 汽車技術，2018（11）：23-26.

[4] 吳建康. LKA與LC系統控制軟件開發(fā)與集成測試研究[D]. 長春：吉林大學，2018.

（編輯? 凌? 波）