技术干货|智能汽车预期功能安全研究

汽车技术平台说 2024-03-28 22:47:02

引言

当前对智能驾驶汽车预期功能安全研究尚处于起步阶段,主要集中在讨论研究范畴及对内涵的理解。本文以全自动泊车辅助系统为例,介绍一下预期功能安全开发分析流程。

概述

在电动化、网联化、智能化的技术发展大背景下,预期功能安全(Safety Of The Intended Functionality,以下简称SOTIF)成为汽车安全领域一个很热门的概念。旨在解决由功能不足、或由可合理预见的人员误用所导致的危害和风险,其危害不源于功能失效,而是系统功能不足或合理人为误用。例如,传感系统在恶劣环境情况下,本身并未发生故障,但不能按照预期执行预期的功能。SOTIF是在自动驾驶技术发展的大背景下提出,是自动驾驶从L2到L3升级的必然需求。随着自动驾驶技术的发展,人们发现车辆安全问题并非都源于系统错误和失效。在复杂的系统以及场景中,问题时常源于外部环境影响带来的非预期性安全问题。在SOTIF标准中,将车辆运行场景分为4个区域::已知安全场景1、已知不安全场景2、未知不安全场景3以及未知安全场景4。SOTIF标准的目标为:

减小区域2和区域3, 并证明区域2和区域3足够小,且系统的残余风险可接受。

图1 SOTIF标准危害场景分类

作为功能安全的补充,预期功能安全针对系统或组件的性能受限,导致预期功能不可达或系统的可预见人为误操作的场景,通过规范化的流程,期望从系统层面做到功能设计完备。

SOTIF标准为预期功能安全开发提供了先进的指导思想和分析开发流程,指导预期功能安全活动开展。

分析方法与应用实践

分析可能引起危害事件的功能和乘员误操作,进行危害识别和风险评估,方法和ISO 26262中类似。与ISO26262不同是,分析SOTIF相关的危害时,危害事件不需要定义ASIL等级。

城市拥挤,停车困难,我们以全自动泊车辅助系统为例,介绍一下预期功能安全开发分析流程。

全自动泊车辅助系统应用传感器进行车位和障碍物识别,基于这些信息进行车辆轨迹的计算,并代替驾驶员控制车辆横完成泊车入位操作。功能实现依赖于传感器对外部环境的感知,可能存在由系统的预期功能和性能局限导致的潜在危害。

基于全自动泊车辅助系统的功能定义,对其SOTIF相关的潜在风险进行系统性的识别和评估。其相关危害识别如下(举例):

传感器性能限制相关的危害事件:摄像头受识别率和盲区的影响,未能识别到矮小障碍物,当障碍物是小孩时,可能发生严重的人身伤害,危害不可控。

传感器受环境影响的危害事件:暴风雪或强光影响,摄像头变盲。驾驶员可能依赖于自动泊车系统,而不会接管车辆,危害不可控。

对于自动泊车辅助系统的SOTIF相关危害事件进行触发事件识别和评估,如下(举例):

传感器性能限制的危害事件:特殊障碍物条件

传感器受环境影响的事件:特殊天气条件

驾驶员误用的危害事件:驾驶员误操作

功能定义优化:按照SOTIF开发过程流程,当完成危害分析和风险评估以及触发事件评估后,若风险不能接受,则需要对系统功能 定义进行优化和更新,采取优化措施:

传感器性能限制的危害事件:为提高障碍物识别率,采用多种传感器技术。

传感器受环境影响的事件:限制功能使用场景说明,通过人机交互界面提示用户接管车辆。

驾驶员误用的危害事件:限制功能使用场景说明,增加车速阈值条件,速度大于阈值后不响应按键请求。

功能更新后风险评估:完成系统功能更新后,需要重新进行风险评估。

应用传感技术多样性,提高了障碍物识别率,降低障碍物漏识别风险,降低了可能出现的危害事件严重度,风险可接受。

处于恶劣环境条件时,及时提示驾驶员接管车辆,避免车辆因传感器受环境影响而发生危害事件。

车速较高时,系统不响应开关请求信号,因此不会造成危害事件。

验证和确认:当通过评估认为风险可接受后,应对SOTIF相关潜在危险表现开展系统验证和确认活动,以确认风险得到有效的控制。通过对系统需求和功能、传感器特性、环境条件、系统架构以及触发事件等分析来定义SOTIF验证和确认的策略。

最后就是系统HIL测试、实车功能测试和长期的路试。

结束语

综上所述,随着智能汽车的快速发展,需要预期功能安全扮演更重要的角色。依托预期功能安全标准提供的指导性方法,开展预期功能安全分析,不断丰富标准。通过虚拟测试和路试的方法积累场景数据库。建立智能驾驶汽车预期功能安全需求准则和整车预期功能安全综合评价体系。

安全是传统车企和造车新势力都绕不开的话题,未来对于智能汽车SOTIF的研究热度会只增不减。该技术也值得更多高校、研究机构和车企给予关注,在研究深度和研究广度上进行进一步扩展。相信伴随着SOTIF的指导,智能汽车的安全性能会跨上一个新的台阶。

0 阅读:0

汽车技术平台说

简介:感谢大家的关注