功能安全设计中如何考虑脱手驾驶(高速公路辅助-HWA)...


高速公路辅助(HWA

功能安全设计中如何考虑脱手驾驶

注:本图来源网络

作者简介

Allen,【汽车功能安全】公众号专栏作者,热爱自动驾驶的功能安全工程师。


目 录
目 录

1、本文概要

2、HWA功能描述

3、HWA功能安全开发

3.1    HARA分析

3.2    安全设计

3.2.1  安全分析

3.2.1  安全概念设计

4、本文小结

1、概要
Ø  HWA在做功能安全危害分析时是否应该考虑脱手驾驶?如何考虑脱手驾驶?
Ø  HWA功能运行时,如果横向辅助能力丧失是否有功能安全等级?
Ø  如果横向辅助能力丧失有安全等级,安全设计该如何做,是否必须增加冗余?
不知各位功能安全行业的同仁在做HWA功能安全设计时,有没有遇到以上问题。笔者已经在项目开发中遇到了,并希望将个人经验想法与大家分享,抛砖引玉。
笔者观点:HWA功能在做功能安全危害分析时,应该考虑脱手驾驶的场景,理由如下:
  • HWA功能定义及Item Definition都明确定义允许驾驶员脱手驾驶,而ID为功能安全设计的主要输入;
  • 目前市场上HWA功能已经被各方媒体进行了测试,并进行了对比宣传,相当于变相告知用户,HWA功能支持脱手驾驶;
  • 驾驶员注意力集中的情况下,从脱手状态到完全接管方向盘,人体依旧需要反应时间,某些场景下可能会有危害;
由于HWA功能较为复杂,功能安全分析后所得安全目标较多,本文只针对HWA系统丢失横向扭矩输出能力此种失效模式进行功能安全分析,从“失效安全(Fail Safe)”和“失效可运行(Fail Operational)”两种功能安全状态出发,分别进行阐述。
本篇主要阐述“失效安全(Fail Safe)”概念设计,“失效可运行(Fail Operational)”概念设计思路在后续篇幅中阐述。
2、

HWA功能描述

高速公路辅助系统(HWA)在全速范围内为驾驶员提供车辆的纵向和横向辅助,工作场景为高速公路主干道(不含匝道)。当满足变道条件且经驾驶员确认后,系统进行路径规划并自主完成车道变换动作。系统监控到脱手条件满足时,可允许驾驶员一段时间内脱手驾驶。
3、HWA功能安全开发

3.1 HARA分析

HWA功能运行过程中,驾驶员脱手驾驶时的危害事件简要分析示例:
HWA子功能
单车道巡航

危害事件
山地丘陵地带高速公路,弯道曲率较小,HWA功能巡航居中行驶时,驾驶员处于脱手状态,车辆非预期地失去横向辅助能力;
严重度(S)
S3
车辆无法居中行驶,偏离出本车道,与其他车辆或道路基础设施发生前碰撞,且相对碰撞速度Delta V>40kph;

暴露度(E)
E2
山地丘陵地带高速公路,弯道曲率较小,驾驶员脱手驾驶;
可控度(C)
C3
驾驶员脱手驾驶,车速较高的情况下,车辆偏离本车道,驾驶员来不及接管方向盘,同时驾驶员只通过制动去避免伤害也比较困难,所以评估为C3;
安全目标(SG)
HWA_SG13
HWA功能横向扭矩输出能力丢失应该被避免;
ASIL等级
ASIL B

安全状态
失效安全(Fail Safe
HWA功能报警并退出
目前HWA功能HARA分析,对于横向扭矩丢失,其他场景比如变道等经过分析,均无安全目标,所以不再列举其他危害事件分析示例。

3.2 安全设计

3.2.1 安全分析

考虑到HWA功能用户体验,笔者不考虑驾驶员脱手驾驶时,HWA系统一直报警提醒接管车辆的策略。
从Fail Safe安全状态出发,提出了如下功能安全策略:
考虑驾驶员接管时间,HWA功能使用期间,根据不同的弯道曲率半径,限制车辆最大通过速度,如果由于EE故障导致超出限制速度,HWA系统退出并提醒接管;
 
笔者根据危害场景、车型参数及中国高速公路修建标准-《公路工程技术标准》(JTG B01-2014)做了个简单的计算:

图1. 高速公路示意图

A:车辆左侧边缘距离左侧车道线的距离,允许车辆最大偏离距离;
B:车道线距离弯道圆弧中心点的距离;
C:车辆失去横向扭矩输出能力后,到偏离本车道前,最短行进距离;
D:高速内侧车道线外边缘距离高速弯道中心线的距离;
E:车辆左侧边缘距离弯道圆弧中点的距离;
R:高速弯道曲率半径;
图2. 分析数据
图3. 弯道曲率与最大车速对应关系图
由以上分析得出,曲线上方为安全区域,HWA功能在对HWA_SG13进行功能安全设计时,需要保证曲线下方区域的达成。

3.2.2 安全概念设计

安全概念构思如下:

图4. 安全架构构思

  • 输入:

Ø  制动系统提供轮速信息,产生影响安全目标的EE故障时进入安全状态:发送无效的轮速信息;ASIL B
Ø  传感器系统提供高速弯道曲率及方向盘转角等信息,产生影响安全目标的EE故障时进入安全状态:发送无效的弯道曲率信息及方向盘转角错误信号;ASIL B

  • 控制:

Ø  HWA域控制器根据轮速、方向盘转角、弯道曲率等信息进行融合计算并输出对应的运动请求,产生影响安全目标的EE故障时进入安全状态:退出HWA功能并请求HMI系统进行报警;ASIL B
Ø  如果轮速、方向盘转角、弯道曲率等信息无效或表征error,域控制器应该退出HWA功能并请求HMI系统进行报警;ASIL B

  • 执行:

Ø  动力系统根据HWA的扭矩请求输出加速扭矩,发生EE故障时进入安全状态:不再响应HWA功能的扭矩请求;ASIL B
Ø  制动系统根据HWA的扭矩请求输出减速扭矩,发生EE故障时进入安全状态:不再响应HWA功能的减速请求;ASIL B
Ø  转向系统根据HWA的扭矩请求输出横向扭矩,发生EE故障时不再响应HWA功能的横向扭矩请求;QM

  • HMI:

Ø  HMI系统根据域控制器的报警请求输出对应的声光报警信息;QM
Ø  HMI系统根据域控制器的报警请求,主驾座椅进行振动;QM

  • 通讯:

Ø  制动系统需要对轮速信号所在的通讯报文增加E2E保护;ASIL B
Ø  传感器系统需要对转角、弯道曲率信号锁在的通讯报文增加E2E保护;ASIL B
Ø  域控制器对接收到的通讯报文进行E2E校验,如果校验失败则进入安全状态:HWA功能退出并请求HMI系统进行报警;ASIL B
Ø  动力系统需要对动力扭矩请求所在的通讯报文进行E2E校验,如果校验失败则进入安全状态:不再响应HWA功能的扭矩请求;ASIL B
Ø  制动系统需要对减速请求所在的通讯报文进行E2E校验,如果校验失败则进入安全状态:不再响应HWA功能的减速请求;ASIL B

  • 供电:

Ø  供电系统需要给HWA系统提供稳定的电源;ASIL B
4、小结
上述安全分析方案只是从失效安全方面考虑的一个初步的构思,并未考虑在安全状态中增加其他策略(比如故障后自行制动策略等)。
如果分析有遗漏或不足之处,希望各位同仁指正交流。欢迎大家在留言区留言互动,也欢迎大家添加小编微信(foauto),进【功能安全交流群】,与作者一起分享项目案例交流讨论,共同学习成长。
专栏 | 介绍

1. 本公众号的《专栏》板块,汇集行业内优秀作者,内容包括:标准解读,工作学习总结、项目经验交流、专题技术分享、培训课程资料、论坛现场演讲PPT等,欢迎推荐或自荐入住,分享更多原创作品;

2. 本文由专栏作者首发于《汽车功能安全》公众号,供学习参考,如需转摘,请注明出处及作者详细信息,获得原文作者授权;

3. 文章只是学习交流的媒介之一,希望更多的行业人士通过本文能够有所得,也欢迎加入到技术交流群进行深入交流,互动分享,包括线上线下的标准、技术、项目讨论...

4. 本公众号原创作者权利和享受的福利正在开发中,敬请期待!

(0)

相关推荐