智能驾驶系统:系统架构融合设计案例分析文档
|
文件状态: [√] 草稿 [ ] 正式发布 [ ] 正在修改 |
|
发文件起草分工: 1. |
|
编制: |
签名: 日期: |
|
审核: |
签名: 日期: |
|
批准: |
签名: 日期: |
|
所有权声明 |
|
该文档及其所含的信息是财产。该文档及其所含信息的复制、使用及披露必须得到的书面授权。 |
通过对违反安全目标的异常事件进行异常数分析,按照故障树 FTA 的分析方法,从违反安全目标的顶层事件系统层面出发,进而分析可能造成系统层面顶级事件的模块层面异常,再根据模块层面异常进一步分析造成模块异常事件的组件异常,最后分析可能造成组件异常在安全层面的异常,可能是功能安全、预期功能安全或者网络安全。根据违反安全目标的异常事件导出模块安全要求,再根据违反模块安全要求的异常事件导出相关 项安全 要求,最后将安全要求分配给系统的要素以及组件,并按照 ASIL 分配要求将安全目标的 ASIL 分配给安全要求。安全目标导出安全要求如下所示。
|
ID |
安全目标 |
ASIL |
安全状态 |
|||
|
SG2 |
应避免自动紧急换道系统运行期间车辆非预期的失去主 动换道 与预警导致于其他交通参与者道路基础设施或障碍物发生碰撞 |
D |
系统通过降级或者请求驾驶员接管车辆 |
|||
|
|
||||||
|
ID |
安全要求 |
ASIL |
||||
|
SR2.1 |
自动紧急换道系统运行期间应保证车辆能够感知到前方目标 |
D |
||||
|
SR2.2 |
自动紧急换道系统运行期间应保证车辆能够进行有效的换道决策 |
D |
||||
|
SR2.3 |
自动紧急换道系统运行期间应保证车辆能够进行有效的横向控制 |
D |
||||
|
SR2.4 |
自动紧急换道系统运行期间保证车辆能够进行有效的转向 |
D |
||||
|
SR2.5 |
自动紧急换道系统运行期间保证主 动换道 失效降级处理 |
D |
||||
|
ID |
安全要求 |
ASIL |
|
SR2.1 |
自动紧急换道系统运行期间应保证车辆能够感知到前方目标 |
D |
|
|
||
|
SR2.1.1 |
自动紧急换道系统运行期间应保证车辆感知信息融合能力 |
D |
|
SR2.1.2 |
自动紧急换道系统运行期间应保证车辆各目标跟踪能力 |
D |
|
SR2.1.3 |
自动紧急换道系统运行期间应保证车辆传感器感知能力 |
D |
|
SR2.1.4 |
自动紧急换道系统运行期间应保证车辆感知信息传输能力 |
D |
|
SR2.5.1 |
自动紧急换道系统运行期间保证感知失效降级处理 |
D |
|
ID |
安全要求 |
ASIL |
|
|
||
|
SR2.1.1 |
自动紧急换道系统运行期间应保证车辆感知信息融合能力 |
D |
|
SR2.1.1.1 |
实时监测 知信息融合模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.1.1.2 |
提升感知信息融合性能,确保在多工况下感知融合有效 |
D |
|
SR2.1.1.3 |
实时监测 信息融合模块 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
|
||
|
SR2.1.2 |
自动紧急换道系统运行期间应保证车辆各目标跟踪检测能力 |
D |
|
SR2.1.2.1 |
自动紧急换道系统运行期间应保证图像目标跟踪检测能力 |
D |
|
SR2.1.2.1.1 |
实时监测 图像目标检测模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.1.2.1.2 |
提升图像目标检测性能,确保在多工况下跟踪检测有效 |
D |
|
SR2.1.2.1.3 |
实时监测 图像目标检测模块 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
SR2.1.2.2 |
自动紧急换道系统运行期间应保证点 云目标 跟踪检测能力 |
D |
|
SR2.1.2.2.1 |
实时监测 点 云目标 检测模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.1.2.2.2 |
提升点 云目标 检测性能,确保在多工况下跟踪检测有效 |
D |
|
SR2.1.2.2.3 |
实时监测 点 云目标 检测模块 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
SR2.1.2.3 |
自动紧急换道系统运行期间应保证 V2X 目标跟踪检测能力 |
D |
|
SR2.1.2.3.1 |
实时监测 V2X 目标检测模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.1.2.3.2 |
提升 V2X 目标检测性能,确保在多工况下跟踪检测有效 |
D |
|
SR2.1.2.3.3 |
实时监测 V2X 目标检测模块 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
ID |
安全要求 |
ASIL |
|
SR2.1.3 |
自动紧急换道系统运行期间应保证车辆传感器感知能力 |
D |
|
|
||
|
SR2.1.3.1 |
自动紧急换道系统运行期间应保证车辆摄像头的感知能力 |
D |
|
SR2.1.3.1.1 |
实时监测摄像头的 故障 状态 ,并进行摄像头冗余设计 |
D |
|
SR2.1.3.1.2 |
弥补摄像头的感知 不足提高 系统感知能力 |
D |
|
SR2.1.3.1.3 |
实时监测摄像头的 攻击 状态 ,并进行摄像头安全防护设计 |
C ( D ) |
|
SR2.1.3.2 |
自动紧急换道系统运行期间应保证车辆毫米波雷达的感知能力 |
D |
|
SR2.1.3.2.1 |
实时监测 毫米波雷达 的 故障 状态 ,并进行雷达冗余设计 |
D |
|
SR2.1.3.2.2 |
弥补毫米波雷达的感知 不足提高 系统感知能力 |
D |
|
SR2.1.3.2.3 |
实时监测摄像头的 攻击 状态 ,并进行摄像头安全防护设计 |
C ( D ) |
|
SR2.1.3.3 |
自动紧急换道系统运行期间应保证车辆摄像头的感知能力 |
D |
|
SR2.1.3.3.1 |
实时监测 V2X 的 故障 状态 ,并进行 V2X 冗余设计 |
D |
|
SR2.1.3.3.2 |
弥补 V2X 的感知 不足提高 系统感知能力 |
D |
|
SR2.1.3.3.3 |
实时监测 V2X 的 攻击 状态 ,并进行 V2X 安全防护设计 |
C ( D ) |
|
ID |
安全要求 |
ASIL |
|
SR2.1.4 |
自动紧急换道系统运行期间应保证车辆感知信息传输能力 |
D |
|
|
||
|
SR2.1.4.1 |
自动紧急换道系统运行期间应保证图像传输能力 |
D |
|
SR2.1.4.1.1 |
实时监测 图像传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.1.4.1.2 |
提升图像传输性能,确保在多工况下图像信号传输有效 |
D |
|
SR2.1.4.1.3 |
实时监测 图像传输链路 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
SR2.1.4.2 |
自动紧急换道系统运行期间应保证点云传输能力 |
D |
|
SR2.1.4.2.1 |
实时监测 点云传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.1.4.2.2 |
提升点云传输性能,确保在多工况下点云信号传输有效 |
D |
|
SR2.1.4.2.3 |
实时监测 点云传输链路 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
SR2.1.4.3 |
自动紧急换道系统运行期间应保证 V2X 信号传输能力 |
D |
|
SR2.1.2.3.1 |
实时监测 V2X 信号传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.1.4.3.2 |
提升 V2X 信号传输性能,确保在多工况下 V2X 信号传输有效 |
D |
|
SR2.1.4.3.3 |
实时监测 V2X 信号传输链路 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
ID |
安全要求 |
ASIL |
|
SR2.5.1 |
自动紧急换道系统运行期间保证感知失效降级处理 |
D |
|
SR2.5.1.1 |
根据感知模块的 异常状态 来评估感知失效程度 |
D |
|
SR2.5.1.2 |
根据感知失效程度进行合理的失效处理,建立失效分级处理措施 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.2 |
自动紧急换道系统运行期间应保证车辆能够进行有效的换道决策 |
D |
|
|
||
|
SR2.2.1 |
自动紧急换道系统运行期间应保证车辆感知融合信息传输能力 |
D |
|
SR2.2.2 |
自动紧急换道系统运行期间应保证车辆碰撞风险评估能力 |
D |
|
SR2.2.3 |
自动紧急换道系统运行期间应保证车辆场景理解能力 |
D |
|
SR2.2.4 |
自动紧急换道系统运行期间应保证车辆换道决策规划能力 |
D |
|
SR2.5.2 |
自动紧急换道系统运行期间保证换道决策失效降级处理 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.2.1 |
自动紧急换道系统运行期间应保证车辆感知融合信息传输能力 |
D |
|
|
||
|
SR2.2.1.1 |
实时监测 感知融合信息传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.2.1.2 |
提升感知融合信息传输性能,确保在多工况下融合信息传输有效 |
D |
|
SR2.2.1.3 |
实时监测 感知融合信息传输链路 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.2.2 |
自动紧急换道系统运行期间应保证车辆碰撞风险评估能力 |
D |
|
|
||
|
SR2.2.2.1 |
实时监测 碰撞风险评估模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.2.2.2 |
提升碰撞风险评估性能,确保在多工况下碰撞风险评估有效 |
D |
|
SR2.2.2.3 |
实时监测 碰撞风险评估模块 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.2.3 |
自动紧急换道系统运行期间应保证车辆场景理解能力 |
D |
|
|
||
|
SR2.2.3.1 |
实时监测 场景理解模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.2.3.2 |
提升场景理解性能,确保在多工况下场景理解有效 |
D |
|
SR2.2.3.3 |
实时监测 场景理解模块 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.2.4 |
自动紧急换道系统运行期间应保证车辆换道决策规划能力 |
D |
|
|
||
|
SR2.2.4.1 |
实时监测 换道决策规划模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.2.4.2 |
提升换道决策规划性能,确保在多工况下换道决策规划有效 |
D |
|
SR2.2.4.3 |
实时监测 换道决策规划模块 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.5.2 |
自动紧急换道系统运行期间保证换道决策失效降级处理 |
D |
|
SR2.5.2.1 |
根据换道决策模块的 异常状态 来评估换道决策失效程度 |
D |
|
SR2.5.2.2 |
根据换道决策失效程度进行合理的失效处理,建立失效分级处理措施 |
D |
|
ID |
安全要求 |
ASIL |
|
|
SR2.3 |
自动紧急换道系统运行期间应保证车辆能够进行有效的横向控制 |
D |
|
|
|
|||
|
SR2.3.1 |
自动紧急换道系统运行期间应保证车辆定位能力 |
D |
|
|
SR2.3.2 |
自动紧急换道系统运行期间应保证车辆定位信息传输能力 |
D |
|
|
SR2.3.3 |
自动紧急换道系统运行期间应保证车辆换道规划轨迹信息传输能力 |
D |
|
|
SR2.3.4 |
自动紧急换道系统运行期间应保证车辆横向换道控制能力 |
D |
|
|
SR2.3.5 |
自动紧急换道系统运行期间应保证车辆横向控制指令传输能力 |
D |
|
|
SR2.5.3 |
自动紧急换道系统运行期间保证横向控制失效降级处理 |
D |
|
|
ID |
安全要求 |
ASIL |
|
|
SR2.3.1 |
自动紧急换道系统运行期间应保证车辆定位能力 |
D |
|
|
|
|||
|
SR2.3.1.1 |
自动紧急换道系统运行期间应保证 GPS 定位能力 |
D |
|
|
SR2.3.1.1.1 |
实时监测 GPS 的 故障 状态 ,并进行冗余设计 |
D |
|
|
SR2.3.1.1.2 |
提升 GPS 性能,确保在多工况下 GPS 定位有效 |
D |
|
|
SR2.3.1.1.3 |
实时监测 GPS 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
|
SR2.3.1.2 |
自动紧急换道系统运行期间应保证 IMU 位姿测量能力 |
D |
|
|
SR2.3.1.2.1 |
实时监测 IMU 的 故障 状态 ,并进行冗余设计 |
D |
|
|
SR2.3.1.2.2 |
提升 IMU 性能,确保在多工况下车辆位姿测量有效 |
D |
|
|
SR2.3.1.2.3 |
实时监测 IMU 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
|
SR2.3.1.3 |
自动紧急换道系统运行期间应保证车辆定位模块定位能力 |
D |
|
|
SR2.3.1.3.1 |
实时监测 车辆定位模块 的 故障 状态 ,并进行冗余设计 |
D |
|
|
SR2.3.1.3.2 |
提升车辆定位性能,确保在多工况下车辆定位有效 |
D |
|
|
SR2.3.1.3.3 |
实时监测 车辆定位模块 的 攻击 状态 ,并进行安全防护设计 |
C ( D ) |
|
|
ID |
安全要求 |
ASIL |
|
SR2.3.2 |
自动紧急换道系统运行期间应保证车辆定位信息传输能力 |
D |
|
|
||
|
SR2.3.2.1 |
实时监测 车辆定位信息传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.3.2.2 |
提升车辆定位信息传输性能,确保在多工况下车辆定位信息传输有效 |
D |
|
SR2.3.2.3 |
实时监测 车辆定位信息传输链路 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.3.3 |
自动紧急换道系统运行期间应保证车辆换道规划轨迹信息传输能力 |
D |
|
|
||
|
SR2.3.3.1 |
实时监测 规划轨迹信息传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.3.3.2 |
提升规划轨迹信息传输性能,确保在多工况 下规划 轨迹信息传输有效 |
D |
|
SR2.3.3.3 |
实时监测 规划轨迹信息传输链路 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.3.4 |
自动紧急换道系统运行期间应保证车辆横向换道控制能力 |
D |
|
|
||
|
SR2.3.4.1 |
实时监测 横向换道控制模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.3.4.2 |
提升横向换道控制性能,确保在多工况下横向换道控制有效 |
D |
|
SR2.3.4.3 |
实时监测 横向换道控制模块 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.3.5 |
自动紧急换道系统运行期间应保证车辆横向控制指令传输能力 |
D |
|
|
||
|
SR2.3.5.1 |
实时监测 横向控制指令传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.3.5.2 |
提升横向控制指令传输性能,确保在多工况下横向控制指令传输有效 |
D |
|
SR2.3.5.3 |
实时监测 横向控制指令传输链路 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.5.3 |
自动紧急换道系统运行期间保证横向控制失效降级处理 |
D |
|
SR2.5.3.1 |
根据车辆控制模块的 异常状态 来评估横向控制失效程度 |
D |
|
SR2.5.3.2 |
根据横向换道控制失效程度进行合理的失效处理,建立失效分级处理措施 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.4 |
自动紧急换道系统运行期间保证车辆能够进行有效的转向 |
D |
|
|
||
|
SR2.4.1 |
自动紧急换道系统运行期间应保证转向系统前轮转角控制能力 |
D |
|
SR2.4.2 |
自动紧急换道系统运行期间应保证转向系统前轮转角控制指令传输能力 |
D |
|
SR2.4.3 |
自动紧急换道系统运行期间应保证转向系统转向电机转动能力 |
D |
|
SR2.4.4 |
自动紧急换道系统运行期间应保证转向系统转前轮转动能力 |
D |
|
SR2.5.4 |
自动紧急换道系统运行期间保证转向失效降级处理 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.4.1 |
自动紧急换道系统运行期间应保证转向系统前轮转角控制能力 |
D |
|
|
||
|
SR2.4.1.1 |
实时监测 前轮转角控制模块 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.4.1.2 |
提升前轮转角控制性能,确保在多工况下前轮转角控制有效 |
D |
|
SR2.4.1.3 |
实时监测 前轮转角控制模块 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.4.2 |
自动紧急换道系统运行期间应保证前轮转角控制指令传输能力 |
D |
|
|
||
|
SR2.4.2.1 |
实时监测 前轮转角控制指令传输链路 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.4.2.2 |
提升前轮转角控制指令传输性能,确保在多工况下控制指令传输有效 |
D |
|
SR2.4.2.3 |
实时监测 前轮转角控制指令传输链路攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.4.3 |
自动紧急换道系统运行期间应保证转向系统转向电机转动能力 |
D |
|
|
||
|
SR2.4.4.1 |
实时监测 转向电机 的 故障 状态 ,并进行冗余设计 |
D |
|
SR2.4.4.2 |
实时监测 转向电机 的 攻击 状态 ,并进行安全防护设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.4.4 |
自动紧急换道系统运行期间应保证转向系统转前轮转动能力 |
D |
|
|
||
|
SR2.4.4.1 |
实时监测 转向机械回路 的 故障 状态 ,并进行冗余设计 |
D |
|
ID |
安全要求 |
ASIL |
|
SR2.5.4 |
自动紧急换道系统运行期间保证转向失效降级处理 |
D |
|
SR2.5.4.1 |
根据线控转向系统的 异常状态 来评估转向失效程度 |
D |
|
SR2.5.4.2 |
根据横向换道控制失效程度进行合理的失效处理,建立失效分级处理措施 |
D |
根据安全要求,需要对系统以及相关项的性能局限性进行提升,需要对性能具体的局限性进行分析才能知道具体改进措施,因此需要对系统以及相关项的具体潜在功能不足以及触发条件进行识别, 才能切确地 提高系统对的性能,弥补系统的局限性。对系统中组件与要素潜在功能不足进行分析,采用分级的方式对导致功能不足的触发条件进行识别,根据一级功能不足推导出二级功能不足进一步来识别功能不足的触发条件,确保触发条件识别的周全,保证系统足够的安全。潜在功能不足与触发条件识别如下表 2.1 所示。
表 2.1 潜在功能不足与触发条件
|
潜在功能不足 |
触发条件 |
编号 VSG 2.1.3.1.2 |
||
|
一级不足 |
二级不足 |
|||
|
摄像头获取图像不足 |
图像质量下降 |
光照条件变化 :在强光直射下,目标可能出现反光,导致图像过曝,丢失关键特征;而在低光照环境,图像可能因亮度不足而模糊,降低目标辨识度。 |
TC01 |
|
|
恶劣天气影响:雨、雪、雾等恶劣天气会使图像质量严重下降。雨滴、雪花直接遮挡目标,雾气降低图像对比度和清晰度。 |
TC02 |
|||
|
目标遮挡与误判 |
复杂交通场景:在交通拥堵或复杂道路环境中,车辆、行人、障碍物等相互遮挡,使得摄像头难以获取目标完整信息,导致目标跟踪中断或误判。 |
TC03 |
||
|
相似目标干扰:当场景中存在多个相似目标时,摄像头可能难以准确区分,导致目标识别错误。 |
TC04 |
|||
|
潜在功能不足 |
触发条件 |
编号 VSG 2.1.3.2.2 |
||
|
一级不足 |
二级不足 |
|||
|
毫米波雷达获 取点 云不足 |
分辨率有限 |
毫米波雷达的工作原理决定了其本身分辨率相对较低,特别是在远距离探测时,对于较小目标或目标细节的分辨能力不足 |
TC01 |
|
|
受天气影响大 |
在恶劣天气下,如雨、雾、雪等,毫米波信号会受到散射和衰减,导致点 云数据 出现缺失、噪声增加或目标位置偏移等情况,降低对目标的检测精度和可靠性。 |
TC02 |
||
|
存在多径效应 |
当毫米波信号在传播过程中遇到多个反射面时,会产生多径反射,雷达接收到的信号包含多个路径的回波,导致点 云数据 出现错误的目标位置和形状,干扰对真实目标的识别和定位。 |
TC03 |
||
|
潜在功能不足 |
触发条件 |
编号 VSG 2.1.3.3.2 |
||
|
一级不足 |
二级不足 |
|||
|
V2X 的潜在不足 |
通信延迟与中断 |
网络拥塞:在交通流量大的区域,大量车辆同时进行 V2X 通信,导致网络负载过重,产生通信延迟甚至中断。 |
TC01 |
|
|
信号遮挡:当车辆行驶在高楼林立的城市峡谷、隧道或被大型障碍物阻挡时, V2X 信号可能被遮挡或衰减,影响通信质量。 |
TC02 |
|||
|
|
环境干扰 |
电磁干扰:车辆周围的电磁环境复杂,可能会对 V2X 通信信号产生干扰,导致信号失真或误码率增加。 |
TC04 |
|
|
天气影响:在恶劣天气条件下,如暴雨、暴雪、浓雾等, V2X 信号的传播会受到影响,信号强度减弱,通信距离缩短,甚至可能出现通信中断的情况。 |
TC05 |
|||
|
潜在功能不足 |
触发条件 |
编号 VSG 2.1.2.1.2 |
||
|
一级不足 |
二级不足 |
|||
|
神经网络目标跟踪检测不足 |
泛化能力弱
|
当实际应用场景与训练场景差异较大时,如在训练时未涉及夜晚光照环境,但实际需要在夜间进行目标检测,模型就容易出现检测错误或跟踪失败。
|
TC01 |
|
|
计算资源需求大
|
当部署 在计算资源有限的设备,如一些移动端设备、低配置的嵌入式系统时,硬件无法满足神经网络的计算需求,导致运行速度缓慢甚至无法运行。
|
TC02 |
||
|
对噪声和干扰敏感 |
在实际应用中,当传感器出现故障、受到电磁干扰,,输入到神经网络的图像或数据含有噪声,从而降低目标检测和跟踪的准确性。 |
TC03 |
||
|
|
目标快速运动时性能下降 |
自动驾驶中的车辆高速行驶场景,目标的快速运动导致模型难以捕捉目标的实时位置和轨迹。 |
TC04 |
|
|
潜在功能不足 |
触发条件 |
编号 VSG 2.1.1.2 |
||
|
一级不足 |
二级不足 |
|||
|
感知信息融合不足 |
数据一致性问题 |
当多种传感器同时工作,且数据处理流程没有进行合理的同步和校准,就容易出现数据不一致的情况。 |
TC01 |
|
|
融合算法性能局限 |
在恶劣天气 ( 如雨、雪、雾等 ) 或复杂场景 ( 如城市峡谷、交通拥堵等 ) 下,环境噪声和干扰增加,传感器数据的不确定性增大,现有融合算法难以适应这种变化,从而导致融合性能下降。 |
TC02 |
||
|
传感器故障影响 |
当传感器受到物理损坏、电磁干扰或内部电路故障时,会输出错误数据。这些错误数据进入融合系统后,会误导目标检测和跟踪。 |
TC03 |
||
|
|
信息丢失与冗余
|
当采用一些简单的数据处理方法,如低分辨率采样、粗糙的特征提取算法时,容易导致信息丢失。而在多传感器布局不合理,采集的数据重叠度过高时,会出现信息冗余。
|
TC04 |
|
|
潜在功能不足 |
触发条件 |
编号 VSG 2.2.4.2 |
||
|
一级不足 |
二级 不足 |
|||
|
决策轨迹 规划不足 |
对复杂路况适应性 差 |
在交通流量大、道路结构复杂的场景下,决策轨迹规划可能无法准确考虑所有因素,导致换道决策不合理或换道过 程不流畅。 |
TC01 |
|
|
对动态障碍物反应滞后 |
当遇到突然出现的动态障碍物,如其他车辆突然变道、行人或动物横穿马路等,决策轨迹规划可能无法及时做出反应,导致无法有效避开障碍物。 |
TC02 |
||
|
缺乏对周边车辆意图的准确判断 |
难以准确推断周边车辆的行驶意图,如相邻车道车辆是否有加速、减速或变道的打算,可能导致换道决策与周边车辆冲突,增加碰撞风险。 |
TC03 |
||
|
|
舒适安全性问题 |
为了紧急避开障碍物或危险,规划的换道轨迹可能过于激进,导致车辆加速度、减速度或横向加速度过大,影响乘客的舒适性,甚至可能引发乘客受伤。 |
TC04 |
|
|
潜在功能不足 |
触发条件 |
编号 VSG 2.3.4.2 |
||
|
一级不足 |
二级不足 |
|||
|
车辆横向控制不足 |
轨迹跟踪偏差 |
在换道过程中,车辆可能无法精确跟踪预设的换道路径,导致与相邻车道车辆的安全间距变小,增加碰撞风险。尤其在高速行驶或路况复杂时,这种偏差可能更为明显。 |
TC01 |
|
|
转向响应滞后 |
当系统发出转向指令后,车辆的转向系统可能不能及时做出反应,使得换道动作延迟,错过最佳换道时机,或者在需要快速转向避开障碍物时无法及时响应,导致危险情况发生。 |
TC02 |
||
|
横向稳定性差 |
在换道过程中,特别是在高速、急弯或路面条件不佳的情况下,车辆容易出现侧倾、侧滑等不稳定现象,影响车辆的操控性和乘坐舒适性,严重时可能导致车辆失控。 |
TC03 |
||
|
潜在功能不足 |
触发条件 |
编号 VSG 2.4.1.2 |
||
|
一级不足 |
二级不足 |
|||
|
车辆转向 不足 |
轮胎抓 地 不足 |
轮胎磨损过度 :轮胎与路面的接触面积减小,摩擦系数降低在转向时,轮胎无法提供足够的 横向抓 地力,导致车辆转向不足。 |
TC01 |
|
|
路面附着系数低 :车辆在转向时,轮胎与路面之间的摩擦力不足以克服离心力,从而出现转向不足,车辆容易偏离预定的转向轨迹 |
TC03 |
|||
|
转向响应滞后 |
转向器间隙过大:转向器内部的齿轮、齿条等部件磨损严重,或连接部件的间隙调整不当,导致转向器的自由行程过大。 |
TC04 |
||
|
助力转向系统不足:助力转向系统提供的助力不足,导致转向不足。 |
TC05 |
|||
根据一级功能不足推导出二级功能不足进一步进行具体的提升与改进措施,为预期功能安全要求导出具体的技术安全要求提供了依据,确保系统全面改进与升级,保证系统足够的安全。预期功能安全改进措施如表 2.2 所示。
表 2.2 潜在功能不足与改进措施
|
潜在功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
摄像头获取图像不足 |
图像不足弥补措施 |
光照应对策略 : 实时检测强光弱光场景进行多传感器融合设计与摄像头感知权重调整 ,并正确进行 安全转态模式 切换与提醒驾驶员确保行车安全。 |
IM01-01 |
|
恶劣天气应对措施: 实时检测天气状况进行多传感器融合设计与摄像头感知权重调整 ,并正确进行 安全转态模式 切换与提醒驾驶员确保行车安全。 |
IM01-02 |
||
|
解决目标遮挡与误判 |
多传感器融合:结合毫米波雷达、 V2X 等其他传感器数据,利用雷达提供的距离、速度信息,辅助摄像头进行目标识别和跟踪。 |
IM01-03 |
|
|
智能算法优化:采用基于深度学习的多目标跟踪算法,通过对大量复杂场景图像的学习,提高算法对目标遮挡和相似目标的识别能力。 |
IM01-04 |
||
|
潜在 功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
毫米波雷达获取点云 |
硬件改进 |
提高发射功率和天线性能:增加毫米波雷达的发射功率,提高信号强度,增强对目标的探测能力,同时优化天线设计,提高波束指向精度和信号增益,改善分辨率和对目标的检测能力。 |
IM02-01 |
|
采用多频段或多模式雷达:集成多个频段的毫米波雷达或设计具有多种工作模式的雷达,根据不同的环境和检测需求,灵活切换频段或模式,以提高对不同目标和环境的适应性。 |
IM02-02 |
||
|
算法优化 |
点云滤波 与去噪算法 :采用先进的滤波算法,如卡尔曼滤波、高斯滤波等,对获取的点 云数据 进行滤波处理,去除噪声和异常点,提高点 云数据 的质量和稳定性。 |
IM02-03 |
|
|
恶劣驾驶状况因对措施:实时检测驾驶条件状况 进行多传感器融合设计与毫米波雷达感知权重调整 ,并正确进行 安全转态模式 切换与提醒驾驶员确保行车安全。 |
IM02-04 |
||
|
潜在功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
V2X 的潜在不足 |
通信优化 |
采用先进的通信技术:引入 5G 等新一代通信技术,利用其高带宽、低延迟和大容量的特点,提高 V2X 通信的可靠性和实时性。 |
IM03-01 |
|
建立冗余通信链路:除了主要的通信链路外,为车辆配备备用通信链路,如卫星通信或其他无线通信方式。 |
IM03-02 |
||
|
环境适应性增强 |
电磁屏蔽和抗干扰设计:对车辆的 V2X 通信设备进行电磁屏蔽设计,减少外界电磁干扰对设备的影响。同时,在设备的硬件和软件设计中采用抗干扰技术,如滤波、纠错等,提高设备在复杂电磁环境下的工作稳定性。 |
IM03-03 |
|
|
恶劣驾驶环境应对措施:实时检测驾驶环境状况 进行多传感器融合设计与 V2X 感知权重调整 ,并正确进行 安全转态模式 切换与提醒驾驶员确保行车安全。 |
IM03-04 |
||
|
潜在 功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
神经网络目标跟踪检测不足 |
提升泛化能力
|
数据增强与多样化:在训练过程中,对原始数据进行多样化的增强操作,同时,收集更广泛的实际场景数据,涵盖不同光照、天气、目标姿态等条件,使模型学习到更全面的特征。 |
IM04-01 |
|
迁移学习:利用迁移学习技术,将在大规模通用数据集上 预训练 的模型参数迁移到特定的目标检测任务中,并在此基础上进行微调。 |
IM04-02 |
||
|
优化计算资源利用
|
模型压缩轻量化:采用模型剪枝技术,去除神经网络中对性能影响较小的连接和神经元,减少模型参数数量。 |
IM04-03 |
|
|
轻量级网络设计:设计专门的轻量级神经网络结构,在保持一定检测精度的前提下,降低计算复杂度,适合在资源受限的设备上运行。 |
IM04-04 |
||
|
增强对噪声和干扰的鲁棒性
|
数据预处理与去噪:在输入数据进入神经网络之前,进行有效的数据预处理 和去噪操作 。 |
IM04-05 |
|
|
对抗训练:通过对抗训练技术,让神经网络学习如何抵抗噪声和干扰。让模型在对抗样本上进行训练,提高模型对噪声和干扰的鲁棒性。 |
IM04-06 |
||
|
提高对快速运动目标的跟踪能力
|
基于时空信息的跟踪算法:结合目标的时间和空间信息,设计专门的跟踪算法。根据历史位置和运动速度,预测下一时刻的位置,提高对快速运动目标的跟踪准确性。 |
IM04-07 |
|
|
改进网络结构:设计能够更好处理时间序列数据的神经网络结构,将这些结构融入到目标检测和跟踪算法中,增强模型对目标快速运动的适应性。 |
IM04-08 |
||
|
潜在功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
感知信息融合不足 |
数据预处理与同步校准
|
统一数据格式:开发通用的数据转换接口,将不同传感器的数据转换为统一的格式,便于后续的融合处理。 |
IM05-01 |
|
时间同步与精度校准:采用高精度的时钟同步技术,确保不同传感器的数据在时间上同步 ; |
IM05-02 |
||
|
优化融合算法
|
自适应融合算法:设计自适应的融合算法:实时对车辆感知信息进行检测,避免感知不足导致车辆感知错误;根据传感器数据的质量、环境条件和目标状态等因素,动态调整融合权重。 |
IM05-03 |
|
|
深度学习融合算法:利用深度学习强大的特征提取和模式识别能力,开发基于深度学习的融合算法。 |
IM05-04 |
||
|
传感器故障检测与容错
|
故障检测机制:建立传感器故障检测模型,通过监测传感器数据的统计特征、变化趋势等,及时发现传感器故障。 |
IM05-05 |
|
|
容错策略:当检测到某个传感器故障时,采用容错策略,如剔除故障传感器的数据,仅依靠其他正常传感器进行信息融合; |
IM05-06 |
||
|
|
信息处理优化
|
信息筛选与保留:采用先进的特征提取和数据筛选技术,在保留关键信息的同时,去除冗余信息。 |
IM05-07 |
|
多模态数据融合架构优化:设计合理的多模态数据融合架构,根据不同传感器数据的特点和融合需求, |
IM05-08 |
||
|
潜在功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
决策轨迹规划不足 |
硬件升级 |
提高控制器的运行能力 :采用更 高性能 的 处理器 , 实时准确进行车辆决策规划,确保车辆控制的高效 。 |
IM06-01 |
|
优化算法与模型 |
提高决策实时性:决策模型轻量化,提高决策模型的运行速度。 提高决策泛化能力:利用深度学习算法对大量复杂路况的样本数据进行学习,提高系统对复杂环境的适应性和对动态障碍物的实时反应能力。 |
IM06-02 |
|
|
IM06-03 |
|||
|
融合多源信息:将车辆自身传感器数据与高精度地图、车联网信息等多 源数据 进行融合,更全面地了解道路环境和周边车辆状态,提高决策的准确性。 |
IM06-04 |
||
|
增强传感器性能 |
采用冗余传感器配置:增加传感器的数量和种类,如同时使用毫米波雷达、激光雷达和摄像头等,通过多传感器的冗余设计提高环境感知的可靠性。 |
IM06-05 |
|
|
提高传感器精度和抗干扰能力:研发更高精度的传感器,采用抗干 扰技术和材料,确保在恶劣天气和电磁干扰环境下仍能正常工作。 |
IM06- 06 |
||
|
改进决策策略 |
考虑多目标优化:在决策轨迹规划时,不仅要考虑避障和安全,还要兼顾舒适性、安全性等多目标,通过优化算法找到最佳的平衡。 |
IM06-07 |
|
|
增加 预瞄距离 和时间:适当增加系统的 预瞄距离 和时间,提前获取更多的道路和交通信息,为决策轨迹规划提供更充足的时间,减少反应滞后。 |
IM06-08 |
||
|
安全 策略 设计 |
设置多重安全阈值:针对车辆的速度、加速度、横向位移等关键参数设置多重安全阈值,当系统检测到参数超出正常范围时,立即采取紧急制动或其他安全措施。 |
IM06-09 |
|
|
潜在功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
车辆横向控制不足 |
硬件升级 |
采用高速传输通讯方式:例如 CANFD ,确保车辆定位信息传输实时可靠,避免定位通讯不足导致车辆控制失效。 |
IM07-01 |
|
提高控制器的运行能力 :采用更 高性能 的 处理器 , 实时准确进行车辆控制,确保车辆控制的高效 。 |
IM07-02 |
||
|
提高控制器的控制鲁棒性 :采用更 高可靠 的 处理器 , 确保车辆控制在多工况下保持有效 。 |
IM07-03 |
||
|
采用高速传输通讯方式 :例如 CANFD ,确保车辆控制信息传输实时可靠,避免车辆控制通讯不足导致车辆控制失效 |
IM07-04 |
||
|
软件算法优化 |
改进轨迹规划算法:结合车辆动力学模型和实时路况信息,采用更精确的轨迹规划算法,如基于模型预测控制的算法,提前预测车辆的运动状态,优化换道轨迹,确保车辆能够准确跟踪。 |
IM07-05 |
|
|
加入自适应控制算法:使系统能够根据车辆的实时状态和外部环境的变化,自动调整控制参数,如根据车速、路面摩擦力等因素实时调整转向增益,提高横向控制的适应性和鲁棒性。 |
IM07-06 |
||
|
安全 策略 设计 |
控制不足场景应对措施: 实时对车辆驾驶条件进行检测,确保控制模块有效 , 并正确进行 安全转态模式 切换与提醒驾驶员确保行车安全。 |
IM07-07 |
|
|
潜在功能不足 |
改进措施 |
编号 |
|
|
相关措施 |
具体措施 |
||
|
车辆转向控制不足 |
软件算法优化 |
加入自适应控制算法:使系统能够根据车辆轮胎的实时状态和外部环境的变化,自动调整控制参数,如根据车速、路面摩擦力等因素实时调整转向增益,提高前轮转角控制的适应性和鲁棒性。 |
IM08-01 |
|
安全 策略 设计 |
转向不足场景应对措施: 实时对车辆驾驶条件进行检测,确保转向模块有效, 并正确进行 安全转态模式 切换与提醒驾驶员确保行车安全。 |
IM08-02 |
|
图 3.1 融合安全机制
本案例中系统架构融合设计安全机制如图 3.1 所示,该融合设计方法将功能安全、预期功能安全以及信息安全措施融入到系统的各个组成部分中,包括传感器、控制器、执行器以及通信安全,以确保整个系统的可靠性、稳定性和安全性。
传感器部分的安全设计包括硬件冗余、独立供电、自检、信号正确性检验、感知改进、安全网络分离、安全 V2X 通信、防火墙和入侵检测等措施。这些措施旨在提高传感器的容错能力,确保其在电源故障时仍能正常工作,定期检查状态,验证输出信号的准确性,提升感知能力,隔离网络以防止数据泄露,确保车辆与其他车辆或基础设施的安全通信,以及监测并响应潜在的安全威胁。
控制器的安全设计涵盖了功能冗余、安全启动、在线监控、有线诊断、安全诊断、故障隔离、异常诊断、安全隔离、故障响应、系统降级、安全更新、安全存储和硬件循环锁点等措施。这些措施旨在提高控制器的可靠性,确保其在启动时处于安全状态,实时监控运行状态,通过有线连接进行故障诊断,对控制器进行安全相关的诊断检查,隔离故障部件,识别并处理异常情况,将控制器与潜在的安全威胁隔离,对故障进行快速响应,降低系统性能以保证安全,定期更新系统以修复安全漏洞,确保数据的安全存储,以及通过硬件机制防止系统被非法操作。
执行器的安全设计包括硬件冗余、信号正确性检验、功能改进和安全网络分离等措施。这些措施旨在提高执行器的可靠性,确保执行器接收到的信号是正确 的,不断改进执行器的功能以提高性能,以及将执行器网络与其它网络隔离,防止数据泄露。通信安全部分的安全设计则包括信息冗余、问答机制、时间监控、功能改进、安全网络分离、安全通信和入侵检测等措施,旨在提高通信的可靠性,验证通信双方的身份,监控通信的时间,防止延迟攻击,不断改进通信功能以提高安全性,确保通信过程中的数据安全,以及监测并响应潜在的通信安全威胁。
根据安全要求结合安全机制以及改进措施,对安全要求进行技术安全要求导出,在技术安全的导出时,融合安全设计的过程中,不同安全层面对应的安全措施会相互影响,它们可能是毫无关联、加强补充、相关依赖、甚至是相互矛盾。毫无关联的措施不需要考虑它们的相互影响;加强补充可以确保系统能够更加的安全,但是可能会导致安全措施的过度冗余以及资源的浪费,增加设计难度以及生产成本;相关依赖确保资源的充分利用减低生产成本以及确保系统更加安全,但是需要弄清主次依赖关系,否则会造成不合理的设计,出现本末倒置的情况;相互矛盾是最严重的一种情况,它会使得本来用来保证安全的措施都失效,增加了生产成本确没能保证系统的安全甚至使得系统更加的不安全,因此相互矛盾的安全措施时必须要避免的。为了确保不同安全层面的安全措施可以按照要求正常的起到作用,并且充分的利用资源以及减低生产成本,需要理清楚不同安全层面安全措施之间的关系。
在加强补充方面,功能安全中的故障检测与网络安全中的网络攻击检测相互加强与补充,主要图 3.2 两种情况。当故障引发的系统或组件的失效模式与网络攻击下造成的系统或组件的失效模式相似或者相同,此时网络攻击检测就可以覆盖一部分的故障,因此就可以加强系统的故障检测;当网络攻击造成组件或者系统故障,此时 MCU 的自检措施就可以覆盖造成故障的网络攻击,因此可以加强系统的网络攻击检测。
图 3.2 故障与网络攻击交互
在相关依赖方面,为了 确保资源的充分利用, 主要考虑在功能安全中的冗余安全措施与预期功能安全以及网络安全中的相互影响。如图 3.3 所示,为了充分利用主冗余模块的资源,在进行网络攻击时可以采取信号正确性检验的方法,通过仲裁对比相同信号,即主要信号与冗余信号来进行攻击检测,可以不采取额外的复杂方法来实现攻击检测,同时为了充分利用主冗余模块的资源,不仅仅是在主模块故障时才切换到冗余模块工作,在主模块运行条件不佳或者遭到网络攻击时,也切换到冗余模块进行工作。
图 3.3 冗余设计的资源利用
在相关依赖方面,为了 使得系统更加的安全可靠, 主要考虑在预期功能安全中的自适应调整措施与功能安全以及网络安全中的相互影响;功能安全中的冗余安全措施在预期功能安全以及网络安全中需要的改进以及安全防护。如图 3.4 所示,为了提高系统的可靠性,确保系统在各种工况下均能有效的运行,系统根据运行工况进行自适应的调整,为了保证当系统轻微的故障或者遭到较轻的网络攻击不会失效不需要进行降级处理,系统不仅仅因为运行工况进行调整,还需要针对故障以及网络攻击进行自适应的调整从而达到 容错与 抗攻击的性能,进一步增强系统的鲁棒性提高系统失效运行能力。为了确保在主模块失效时,冗余模块能够正常的使用,主模块与冗余模块的性能应该相当,因此在预期功能安全中提出的改进与提升的措施,只要涉及到主冗余设计,主冗余模块均需要进行改进与提升;同时当需要进行安全防护时,为了避免网络攻击漏洞,主冗余模块也都需要进行网络安全防护。
图 3.4 异常自适应调整
在相互矛盾方面,主要考虑网络安全中的安全防护措施与功能安全和预期功能安全中有关实时性的措施之间的影响。如图 3.5 所示,当信号需要进行加密解密认证,同时需要进行故障检测与故障响应时,由于对信号的加密解密认证需要一定的时间,可能就会导致故障检测的不及时,从而不能及时的做出故障响应,造成故障响应失效,使车辆发生危险;当需要进行安全通信,同时该信号的传输需要非常高的实时性要求进行高速通讯,信号的安全通信势必会造成传输速度的减低,甚至可能造成严重的延迟,从而导致系统判断执行错误,给车辆带来危险。
图 3.5 加密与响应及高速通讯的矛盾
根据上面的分析,主要 总结出表 3. 1 所示中不同 安全层面措施中的相互关系。
表 3.1 不同安全层面措施中的相互关系
|
功能安全 |
预期功能安全 |
网络安全 |
关系 |
|
实时故障检测 |
|
加密认证 |
矛盾 |
|
|
实时通信 |
安全通信 |
矛盾 |
|
冗余 |
性能提升 |
|
相关 / 依赖 |
|
冗余 |
|
安全防护 |
相关 / 依赖 |
|
冗余 |
|
信号正确性检测 |
相关 / 依赖 |
|
冗余切换 |
运行条件 |
|
相关 / 依赖 |
|
冗余切换 |
|
攻击状态 |
相关 / 依赖 |
|
故障转态 |
自适应调整 |
|
相关 / 依赖 |
|
|
自适应调整 |
攻击状态 |
相关 / 依赖 |
|
MCU 自检 |
|
攻击状态 |
加强 |
|
故障状态 |
|
攻击检测 |
加强 |
|
MCU 自检 |
|
攻击检测 |
互补加强 |
为了更加清晰的表示不同安全层面安全措施之间的相互关系,本案例中通过绘制关系矩阵图来说明安全措施之间的关系,如图 3.6 所示, ISR1.1 、 ISR1.2 、 ISR1.3 分别表示功能安全要求、预期功能安全改进措施以及网络 安全安全 要求, TSR 为对应的技术安全措施,技术安全措施与故障、局限、攻击的延伸出虚线的交点表示该技术安全对异常的覆盖情况,通过菱形的颜色深浅来表示覆盖程度,一共分为绝大部分、中等、较低三种情况,无菱形时则无法覆盖异常。技术安全措施间延伸出虚线的交点表示技术安全措施之间的相互关系,一共有四种关系:加强补充、相互矛盾、相关依赖以及毫无关联,分别通过 ⊕ 、 ⊖ 、 ⊗ 、 + 来表示。
图 3.6 安全措施关系矩阵图
摄像头失效技术安全要求如表 3.2 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.7 所示。
表 3.2 摄像头失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.1.3.1.1.1 |
实时 持续监 测 摄像头 自检信号来识别故障状态 |
D |
|
TSR2.1.3.1.1.2 |
摄像头的冗余设计与故障隔离,包含冗余摄像头以及冗余通讯回路 |
B |
|
TSR2.1.3.1.1.3 |
根据主冗余摄像头故障状态来切换摄像头工作 |
D |
|
TSR2.1.3.1.1.4 |
实时评估故障状态对工作摄像头感知的影响程度 |
D |
|
TSR2.1.3.1.2.1 |
实时 感知信息进行检测 来识别摄像头的运行工作状况 |
D |
|
TSR2.1.3.1.2.2 |
实时评估运行工作状况对摄像头感知的影响程度 |
D |
|
TSR2.1.3.1.2.3 |
根据摄像头的影响程度来对多传感器感知融合权重的调整 |
D |
|
TSR2.1.3.1.2.4 |
根据主冗余摄像头运行工况来切换摄像头工作 |
D |
|
TSR2.1.3.1.3.1 |
实时持续进行 ( 主冗余 ) 摄像头信号正确性检验来识别网络攻击 |
C |
|
TSR2.1.3.1.3.2 |
摄像头的身份验证与加密处理 |
C |
|
TSR2.1.3.1.3.3 |
T-BOX 网络流量入侵检测 |
C |
|
TSR2.1.3.1.3.4 |
根据主冗余摄像头攻击状态来切换摄像头工作 |
D |
|
TSR2.1.3.1.3.5 |
实时评估网络攻击状态对工作摄像头感知的影响程度 |
D |
图 3.7 摄像头失效安全措施关系矩阵图
毫米波雷达失效技术安全要求如表 3.3 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.8 所示。
表 3.3 雷达失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.1.3.2.1.1 |
实时 持续监 测毫米波雷达自检信号来识别故障状态 |
D |
|
TSR2.1.3.2.1.2 |
雷达的冗余设计与故障隔离,包含冗余雷达以及冗余通讯回路 |
B |
|
TSR2.1.3.2.1.3 |
根据主冗余毫米波雷达故障状态来切换雷达工作 |
D |
|
TSR2.1.3.2.1.4 |
实时评估故障状态对工作雷达感知的影响程度 |
D |
|
TSR2.1.3.2.2.1 |
实时 评估驾驶场景来识别运行工作状况 |
D |
|
TSR2.1.3.2.2.2 |
实时评估运行工作状况对毫米波雷达感知的影响程度 |
D |
|
TSR2.1.3.2.2.3 |
根据毫米波雷达的影响程度来对多传感器感知融合权重的调整 |
D |
|
TSR2.1.3.2.2.4 |
根据主冗余毫米波雷达运行工况来切换雷达工作 |
D |
|
TSR2.1.3.2.3.1 |
实时持续进行 ( 主冗余 ) 毫米波雷达信号正确性检验来识别网络攻击 |
C |
|
TSR2.1.3.2.3.2 |
( 主冗余 ) 毫米波雷达的身份验证与加密处理 |
C |
|
TSR2.1.3.2.3.3 |
T-BOX 网络流量入侵检测 |
C |
|
TSR2.1.3.2.3.4 |
根据主冗余毫米波雷达攻击状态来切换雷达工作 |
D |
|
TSR2.1.3.2.3.5 |
实时评估网络对工作毫米波雷达感知的影响程度 |
D |
图 3.8 雷达失效安全措施关系矩阵图
V2X 失效技术安全要求如表 3.4 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.9 所示。
表 3.4 V2X 失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.1.3.3.1.1 |
实时 持续监 测 V2X 自检信号来识别故障状态 |
D |
|
TSR2.1.3.3.1.2 |
V2X 的冗余设计,包含冗余 V2X 以及冗余通讯回路 |
B |
|
TSR2.1.3.3.1.3 |
根据主冗余 V2X 故障状态来切换摄像头工作 |
D |
|
TSR2.1.3.3.1.4 |
实时评估故障状态对工作 V2X 感知的影响程度 |
D |
|
TSR2.1.3.3.2.1 |
实时 评估 V2X 通讯状况来识别运行工作状况 |
D |
|
TSR2.1.3.3.2.2 |
实时评估运行工作状况对 V2X 感知的影响程度 |
D |
|
TSR2.1.3.3.2.3 |
根据 V2X 的影响程度来对多传感器感知融合权重的调整 |
D |
|
TSR2.1.3.3.2.4 |
根据主冗余 V2X 运行工况来切换 V2X 工作 |
D |
|
TSR2.1.3.3.3.1 |
实时持续检测 ( 主冗余 ) V2X 的信号进行攻击检测 |
C |
|
TSR2.1.3.3.3.2 |
( 主冗余 ) V2X 的身份验证与加密处理 |
C |
|
TSR2.1.3.3.3.3 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.1.3.3.3.4 |
根据主冗余 V2X 攻击状态来切换摄像头工作 |
D |
|
TSR2.1.3.3.3.5 |
实时评估网络对工作 V2X 感知的影响程度 |
D |
图 3.9 V2X 失效安全措施关系矩阵图
定位失效技术安全要求如表 3.5 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.10 所示。
表 3.5 定位失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.3.1.3.1.1 |
实时 持续监 测 P-BOX 的自检信号来识别定位单元故障状态 |
D |
|
TSR2.3.1.3.1.2 |
车辆定位单元 的冗余设计 |
B |
|
TSR2.3.1.3.1.3 |
根据主冗余车辆定位单元故障状态来切换定位模块工作 |
D |
|
TSR2.3.1.3.2.1 |
提升 ( 主冗余 ) 车辆定位单元硬件性能,确保在多工况下车辆定位实时有效 |
D |
|
TSR2.3.1.3.2.2 |
实时评估运行工作状况对车辆定位的影响程度 |
D |
|
TSR2.3.1.3.2.3 |
( 主冗余车辆定位单元 ) 根据定位的影响程度来对 IMU 与 GPS 融合定位进行相应弥补 |
D |
|
TSR2.3.1.3.3.1 |
实时持续检测车辆定位单元组件进行攻击检测 |
C |
|
TSR2.3.1.3.3.2 |
( 主冗余 ) 车辆定位单元防护与安全隔离防护设计 |
C |
|
TSR2.3.1.3.3.3 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.3.1.3.3.4 |
根据主冗余车辆定位模块攻击状态来切换定位单元工作 |
D |
图 3.10 定位失效安全措施关系矩阵图
定位通讯失效技术安全要求如表 3.6 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.11 所示。
表 3.6 定位通讯失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.3.2.1.1 |
实时 持续监 测问答机制检测信号来识别定位信息通讯状态 |
D |
|
TSR2.3.2.1.2 |
车辆定位信息传输链路 的冗余设计与故障隔离 |
B |
|
TSR2.3.2.1.3 |
根据主冗余车辆定位信息传输链路故障状态来切换传输链路工作 |
D |
|
TSR2.3.2.1.4 |
主冗余定位信息传输故障定位估计容错横向换道控制 |
D |
|
TSR2.3.2.2.1 |
提升 ( 主冗余 ) 车辆定位链路硬件性能,确保在车辆定位信息传输实时可靠 |
D |
|
TSR2.3.2.2.2 |
( 主冗余车辆定位信息传输 ) 采用高速传输通讯方式,确保车辆定位信息传输实时可靠 |
D |
|
TSR2.3.2.3.1 |
实时持续对 ( 主冗余 ) 车辆定位信息进行攻击检测 |
C |
|
TSR2.3.2.3.2 |
( 主冗余 ) 车辆定位信息安全通信 |
C |
|
TSR2.3.2.3.3 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.3.2.3.4 |
定位信息传输网络攻击定位估计抗攻击横向换道控制 |
D |
|
TSR2.3.2.3.5 |
根据主冗余车辆定位模块攻击状态来切换定位模块工作 |
D |
图 3.11 定位通讯失效安全措施关系矩阵图
决策信息通讯失效技术安全要求如表 3.7 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.12 所示。
表 3.7 决策信息通讯失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.3.3.1.1 |
实时 持续监 测问答机制检测信号来识别规划轨迹信息通讯状态 |
D |
|
TSR2.3.3.1.2 |
规划轨迹信息传输链路 的冗余 与故障隔离 设计 |
B |
|
TSR2.3.3.1.3 |
根据主冗余车辆规划轨迹信息传输链路故障状态来切换链路工作 |
D |
|
TSR2.3.3.2.1 |
提升 ( 主冗余 ) 规划轨迹链路硬件性能,确保在规划轨迹信息传输实时可靠 |
D |
|
TSR2.3.3.2.2 |
( 主冗余规划轨迹传输 ) 采用高速传输通讯方式,确保规划轨迹信息 传输实时可靠 |
D |
|
TSR2.3.3.3.1 |
实时持续对 ( 主冗余 ) 车辆规划轨迹信息进行攻击检测 |
C |
|
TSR2.3.3.3.2 |
( 主冗余 ) 车辆规划轨迹信息安全通信 |
C |
|
TSR2.3.3.3.3 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.3.3.3.4 |
根据主冗余车辆定位模块攻击状态来切换定位模块工作 |
D |
图 3.12 决策信息通讯失效安全措施关系矩阵图
换道控制失效技术安全要求如表 3.8 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.12 所示。
表 3.8 换道控制失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.3.4.1.1 |
算法数据冗余备份,确保车辆控制正常启动 |
D |
|
TSR2.3.4.1.2 |
实时 持续监 测 MCU 的自检信号来识别横向控制模块故障状态 |
D |
|
TSR2.3.4.1.3 |
横向换道控制单元 的冗余与故障隔离设计 |
B |
|
TSR2.3.4.1.4 |
根据主冗余横向控制单元故障状态来切换横向控制单元工作 |
D |
|
TSR2.3.4.2.1 |
提升 ( 主冗余 ) 横向控制单元硬件性能,确保在横向控制实时可靠准确 |
D |
|
TSR2.3.4.2.2 |
实时检测车辆实时状态以及外部驾驶条件 |
D |
|
TSR2.3.4.2.3 |
结合车辆动力学模型和实时路况信息,采用更合适的轨迹规划算法 |
D |
|
TSR2.3.4.2.4 |
( 主冗余 ) 横向控制单元根据车辆的实时状态和外部环境的变化,自 动调整控制参数 |
D |
|
TSR2.3.4.3.1 |
算法数据安全存储,确保车辆控制正常启动 |
C |
|
TSR2.3.4.3.2 |
实时持续检测 ( 主冗余 ) 横向控制单元组件进行攻击检测 |
C |
|
TSR2.3.4.3.3 |
( 主冗余 ) 横向控制单元安全隔离与防护设计 |
C |
|
TSR2.3.4.3.4 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.3.4.3.5 |
根据主冗余横向控制单元攻击状态来切换控制单元工作 |
D |
图 3.12 换道控制失效安全措施关系矩阵图
横向控制指令通讯失效技术安全要求如表 3.9 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.13 所示。
表 3.9 横向控制指令通讯失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.3.5.1.1 |
实时 持续监 测问答机制检测信号来识别横向控制指令通讯状态 |
D |
|
TSR2.3.5.1.2 |
横向控制指令传输链路 的冗余与故障隔离设计 |
B |
|
TSR2.3.5.1.3 |
根据主冗余横向控制指令传输链路故障状态来切换链路工作 |
D |
|
TSR2.3.5.2.1 |
提升 ( 主冗余 ) 控制指令链路硬件性能,确保在规划轨迹信息传输实时可靠 |
D |
|
TSR2.3.5.2.2 |
( 主冗余 ) 控制指令传输采用高速传输通讯方式,确保横向控制指令 传输实时可靠 |
D |
|
TSR2.3.5.3.1 |
实时持续检测 ( 主冗余 ) 横向控制指令传输进行攻击检测 |
C |
|
TSR2.3.5.3.2 |
( 主冗余 ) 横向控制指令安全通信 |
C |
|
TSR2.3.5.3.3 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.3.5.3.4 |
根据主冗余横向控制指令传输链路攻击状态来切换定位模块工作 |
D |
图 3.13 横向控制指令通讯失效安全措施关系矩阵图
决策失效技术安全要求如表 3.10 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.14 所示。
表 3.10 决策失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.2.4.1.1 |
算法数据冗余备份,确保车辆换道决策正常启动 |
D |
|
TSR2.2.4.1.2 |
实时 持续监 测 MCU 的自检信号来识别换道决策模块故障状态 |
D |
|
TSR2.2.4.1.3 |
换道决策规划单元 的冗余与故障隔离设计 |
B |
|
TSR2.2.4.1.4 |
根据主冗余 换道决策 单元故障状态来切换 换道决策 单元工作 |
D |
|
TSR2.2.4.2.1 |
提升 ( 主冗余 ) 换道决策 单元硬件性能,确保在 换道决策 实时可靠准确 |
D |
|
TSR2.2.4.2.2 |
提高系统对复杂环境的适应性和对动态障碍物的实时反应能力 |
D |
|
TSR2.2.4.2.3 |
实时检验车辆的实时状态和外部环境 |
D |
|
TSR2.2.4.2.4 |
( 主冗余 ) 换道决策单元根据车辆的实时状态和外部环境的变化,结 合车辆动力学模型,采用更合适的轨迹规划算法 |
D |
|
TSR2.2.4.3.1 |
算法数据安全存储,确保车辆 换道决策 正常启动 |
C |
|
TSR2.2.4.3.2 |
实时持续检测 ( 主冗余 ) 换道决策 单元组件进行攻击检测 |
C |
|
TSR2.2.4.3.3 |
( 主冗余 ) 换道决策 单元安全隔离与防护设计 |
C |
|
TSR2.2.4.3.4 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.2.4.3.5 |
根据主冗余 换道决策 单元攻击状态来切换 换道决策 单元工作 |
D |
图 3.14 决策失效安全措施关系矩阵图
转向控制失效技术安全要求如表 3.11 所示,表中灰色为技术安全调整结果,矩阵关系如图 3.15 所示。
表 3.11 转向控制失效技术安全要求
|
ID |
技术安全要求 |
ASIL |
|
TSR2.4.1.1.1 |
算法数据冗余备份,确保车辆转向控制正常启动 |
D |
|
TSR2.4.1.1.2 |
实时 持续监 测 MCU 的自检信号来识别转向控制模块故障状态 |
D |
|
TSR2.4.1.1.3 |
转向转角控制单元 的冗余与故障隔离设计 |
B |
|
TSR2.4.1.1.4 |
根据主冗余 转向控制 单元故障状态来切换 转向控制 单元工作 |
D |
|
TSR2.4.1.2.1 |
实时检验车辆的实时状态和外部环境 |
D |
|
TSR2.4.1.2.2 |
( 主冗余 ) 换道决策单元根据车辆的实时状态和外部环境的 变化自 适 应调整前轮转角的控制 |
D |
|
TSR2.4.1.3.1 |
算法数据安全存储,确保车辆 转向控制 正常启动 |
C |
|
TSR2.4.1.3.2 |
实时持续检测 ( 主冗余 ) 换道转向控制 组件进行攻击检测 |
C |
|
TSR2.4.1.3.3 |
( 主冗余 ) 转向控制 单元安全隔离与防护设计 |
C |
|
TSR2.4.1.3.4 |
T-BOX 网络流量入侵检测与防火墙 |
C |
|
TSR2.4.1.3.5 |
根据主冗余 转向控制 单元攻击状态来切换 转向控制 单元工作 |
D |
图 3.15 转向控制失效安全措施关系矩阵图
感知失效降级、决策失效降级、控制失效降级技术安全要求如表 3.12 、 3.13 、 3.14 所示。
表 3.12 感知失效降级技术安全要求
|
ID |
感知失效降级技术安全要求 |
ASIL |
|
TSR2.5.1.1.1 |
根据感知信息融合单元的 异常状态 来评估感知失效程度 |
D |
|
TSR2.5.1.1.2 |
根据 个 目标跟踪检测单元的 异常状态 来评估感知失效程度 |
D |
|
TSR2.5.1.1.3 |
根据感知传感器的 异常状态 来评估感知失效程度 |
D |
|
TSR2.5.1.1.4 |
根据感知信息通讯的 异常状态 来评估感知失效程度 |
D |
|
TSR2.5.1.2.1 |
建立感知轻微失效、中度失效、严重失效的感知失效程度分级 |
D |
|
TSR2.5.1.2.2 |
感知轻微失效系统维持自动紧急换道能力 |
D |
|
TSR2.5.1.2.3 |
感知中度失效系统退出换道功能采取制动降级处理并提醒驾驶员 |
D |
|
TSR2.5.1.2.4 |
感知严重失效系统减速并请求驾驶员接管 |
D |
表 3.13 决策失效降级技术安全要求
|
ID |
决策失效降级技术安全要求 |
ASIL |
|
TSR2.5.2.1.1 |
根据感知融合信息通讯的 异常状态 来评估换道决策失效程度 |
D |
|
TSR2.5.2.1.2 |
根据碰撞风险评估单元的 异常状态 来评估换道决策失效程度 |
D |
|
TSR2.5.2.1.3 |
根据场景理解单元的 异常状态 来评估换道决策失效程度 |
D |
|
TSR2.5.2.1.4 |
根据换道决策规划单元的 异常状态 来评估换道决策失效程度 |
D |
|
TSR2.5.2.2.1 |
建立换道决策轻微失效、中度失效、严重失效的换道决策失效程度分级 |
D |
|
TSR2.5.2.2.2 |
换道决策轻微失效系统维持自动紧急换道能力 |
D |
|
TSR2.5.2.2.3 |
换道决策中度失效系统退出换道功能采取制动降级处理并提醒驾驶员 |
D |
|
TSR2.5.2.2.4 |
换道决策严重失效系统采取制动降级处理并请求驾驶员接管 |
D |
表 3.14 控制失效降级技术安全要求
|
ID |
控制失效降级技术安全要求 |
ASIL |
|
TSR2.5.3.1.1 |
根据车辆定位模块的 异常状态 来评估横向控制失效程度 |
D |
|
TSR2.5.3.1.2 |
根据定位信息通讯的 异常状态 来评估横向控制失效程度 |
D |
|
TSR2.5.3.1.3 |
根据换道规划轨迹信息通讯的 异常状态 来评估横向控制失效程度 |
D |
|
TSR2.5.3.1.4 |
根据横向换道控制单元的 异常状态 来评估横向控制失效程度 |
D |
|
TSR2.5.3.1.5 |
根据横向控制指令通讯的 异常状态 来评估横向控制失效程度 |
D |
|
TSR2.5.3.2.1 |
建立换道控制轻微失效、中度失效、严重失效的控制失效程度分级 |
D |
|
TSR2.5.3.2.2 |
换道控制轻微失效系统维持自动紧急换道能力 |
D |
|
TSR2.5.3.2.3 |
换道控制中度失效系统退出换道功能采取制动降级处理并提醒驾驶员 |
D |
|
TSR2.5.3.2.4 |
换道控制严重失效系统采取制动降级处理并请求驾驶员接管 |
D |
系统架构设计如图 4.1 所示,该系统架构设计主要分为六大模块进行设计,分别为传感器冗余架构设计、传感器数据选取架构设计、感知信息融合冗余架构设计、决策规划冗余架构设计、横向控制冗余架构设计以及执行器冗余架构设计。
图
4.1
系统架构设计图
4.1.1 传感器冗余架构设计
该架构分为传感器主通道和传感器冗余通道两部分,架构图如图 4. 2 所示主通道 与冗余通道中的传感器类型相同,均包含单目摄像头、毫米波雷达和 V2X 通道,且各传感器功能安全均需要达到 ASIL B (D) 。
a) 传感器主通道
主单目摄像头:作为主通道的重要组成部分,负责采集车辆前方的图像信息,通过图像识别技术来检测前方的障碍物、车道线、交通标志等目标物,为系统提供视觉层面的感知数据,其安全性等级为 ASIL B (D) 。
主毫米波雷达:主要用于测量目标物的距离、速度和角度等信息,能够在各种天气条件下稳定工作,弥补摄像头在恶劣天气下性能下降的不足,同样具有 ASIL B (D) 的安全等级。
主 V2X 通道: V2X ( Vehicle - to - Everything ) 即车与万物互联,该通道支持车辆与其他车辆 ( V2V ) 、基础设施 ( V2I ) 、行人 ( V2P ) 等之间的通信,获取更广泛的交通信息,如前方道路的交通状况、其他车辆的行驶意图等,安全性等级为 ASIL B (D) 。
b) 传感器冗余通道
冗余单目摄像头:与主单目摄像头功能相同,作为备份存在。当主单目摄像头出现故障 ( 如硬件损坏、软件错误等 ) 时,冗余单目摄像头可以继续提供图像信息,确保系统的视觉感知功能不会中断,其安全等级为 ASIL B (D) 。
冗余毫米波雷达:作为主毫米波雷达的冗余设备,在主毫米波雷达失效时, 能够接替其工作,持续监测目标物的距离、速度和角度等信息,维持系统的环境感知能力,安全等级为 ASIL B (D) 。
冗余 V2X 通道:在主 V2X 通道发生故障时,冗余 V2X 通道可以继续保持车辆与外界的通信连接,获取关键的交通信息,其安全等级同样为 ASIL B (D) 。
c) 信号传输与通讯
自检信号:主通道和冗余通道中的各传感器都有自检信号传输,用于实时监测自身的工作状态,及时发现传感器是否出现故障,确保传感器数据的可靠性。
传感器信号:传感器将采集到的环境感知数据通过该信号传输给后续的处理模块,为系统的决策和控制提供依据。
加密冗余通讯:主通道与冗余通道之间通过加密冗余通讯进行连接,保障数据传输的安全性和可靠性。即使在部分通讯线路出现故障的情况下,仍能保证数据的正常传输和系统的稳定运行,且通讯的安全性等级也为 ASIL B (D) 。
图 4.2 传感器冗余架构设计图
4.1.2 传感器数据选取架构设计
架构图如图 4.3 所示,该架构以数据监控模块为核心,围绕传感器故障模式监控、传感器网络安全监控、基于预期功能安全 ( SOTIF ) 的传感器检测以及传感器信号仲裁输出等方面展开设计,目的是确保传感器数据的可靠性、安全性以及系统的稳定运行。且各模块功能安全、预期功能安全以及均需要达到 ASIL D 。
图 4.3 传感器信息选取架构设计图
a) 基于 FuSa 传感器故障模式监控
自检信号监控:实时监测传感器的自检信号,及时发现传感器硬件或软件故障,确保传感器处于正常工作状态,安全性等级为 ASIL D 。
通讯问答机制:通过特定的通讯问答机制,检查传感器与系统其他部分之间的通讯是否正常,避免因通讯故障导致数据传输异常,安全性等级为 ASIL D 。
b) 基于 CSec 传感器网络安全监控
流量异常检测:对传感器网络中的数据流量进行监测,识别异常流量模式,防范网络攻击或恶意软件对传感器数据的篡改或干扰,安全性等级为 ASIL D 。
安全通信监控:监控传感器与系统间的通信过程,确保数据传输的安全性和完整性,防止数据在传输过程中被窃取或篡改,安全性等级为 ASIL D 。
c) 基于 SOTIF 传感器检测
图像质量检测:针对摄像头等图像传感器,检测采集图像的质量,如清晰度、分辨率、光照条件等,避免因图像质量问题影响系统对环境的感知,安全性等级为 ASIL D 。
点 云质量 检测:对于激光雷达等输出点 云数据 的传感器,检测点 云数据 的质量,包括点云密度、分布均匀性等,确保点 云数据 能够准确反映周围环境信息,安全性等级为 ASIL D 。
时延丢包检测:监测传感器数据传输过程中的时延和丢包情况,保障数据能够及时、完整地传输到系统中,避免因数据传输延迟或丢失影响系统决策,安全性等级为 ASIL D 。
d) 基于融合安全传感器信号仲裁输出
对来自不同传感器的信号进行融合处理,并通过仲裁机制决定最终输出的传感器信号。该模块综合考虑各传感器的状态、数据质量等因素,选取最可靠的传感器数据提供给后续系统,确保系统获取准确有效的环境感知信息,安全性等级为 ASIL D 。
4.1.3 感知信息融合冗余架构设计
架构图如图 4.4 所示,该架构主要由感知融合信息模块构成,包含感知信息融合主通路和感知信息融合冗余通路两条路径,目的是通过冗余设计提高系统感知信息的可靠性和安全性。两条通路均包含多种目标检测跟踪功能,且各模块功能安全、预期功能安全均需要分别达到 ASIL B (D) 、 ASIL D 。
图 4.4 感知信息融合冗余架构设计图
a) 感知信息融合主通路
YOLO 目标检测跟踪:利用 YOLO ( You Only Look Once ) 算法对传感器数据进行目标检测与跟踪,该算法具有速度快、实时性强的特点,可快速识别图像中的目标物体,如车辆、行人等,并跟踪其运动轨迹,安全性等级为 ASIL B (D) 。
点 云目标 跟踪:针对激光雷达等设备产生的点云数据,通过特定算法对目标进行检测和跟踪,能精确获取目标的三维位置信息,有助于系统更准确地感知周围环境,安全性等级为 ASIL B (D) 。
V2X 目标检测跟踪:基于车与万物互联 ( V2X ) 技术,检测和跟踪来自其他车辆、基础设施等的目标信息,获取更广泛的交通动态,如前方车辆的行驶意图、道路状况等,安全性等级为 ASIL B (D) 。
传感器置信度权重感知融合:综合考虑各传感器的置信度权重,对上述三种目标检测跟踪的结果进行融合处理,根据不同传感器在不同场景下的可靠性,赋予相应权重,得出更准确的感知结果,安全性等级为 ASIL B (D) 。
b) 仲裁输出切换模块
位于主通路和冗余通路之间,负责根据系统状态和检测结果,在主通路和冗余通路的输出之间进行仲裁和切换。当主通路出现故障或数据异常时,能够及时切换到冗余通路,确保系统感知信息的连续性和可靠性。
c) 感知信息融合冗余通路
与主通路结构和功能类似,同样包含 YOLO 目标检测跟踪、点 云目标 跟踪、 V2X 目标检测跟踪以及传感器置信度权重感知融合等功能模块,且安全等级均为 ASIL B (D) 。作为主通路的备份,在主通路失效时接替其工作,提供可靠的感知信息。
d) 运行监控管理模块
以 ASIL D 的安全等级对感知信息融合主通路、冗余通路以及仲裁输出切换模块的运行状态进行实时监控和管理。一旦检测到异常情况,如某个模块出现故障、数据异常等,及时采取相应措施,如切换通路、发出警报等,保障整个系统的安全稳定运行。
4.1.4 决策规划冗余架构设计
架构图如图 4.5 所示, 该架构由决策规划模块构成,包含主通路和冗余通路,通过冗余设计增强系统决策规划的可靠性和安全性。主通路和冗余通路 功能安全、预期功能安全均需要分别达到 ASIL B (D) 、 ASIL D ,运行监控管理模块以 ASIL D 的安全等级对整个架构进行监控管理。
图 4.5 决策规划冗余架构设计图
a) 主通路
基于 TTC 的五次多项式轨迹规划: TTC ( Time - To - Collision ,碰撞时间 ) 是衡量车辆与前方障碍物碰撞风险的重要指标。该模块基于 TTC 计算结果,采用五次多项式轨迹规划算法,生成合适的行驶轨迹。五次多项式轨迹规划能使轨迹更加平滑,满足车辆动力学要求,安全性等级为 ASIL B (D) 。
b) 仲裁输出切换模块
位于主通路和冗余通路之间,负责对主通路和冗余通路的输出进行仲裁和切换。当主通路出现故障、规划结果异常或不满足安全要求时,能够及时切换到冗余通路,保证系统决策规划功能的连续性。
c) 冗余通路
基于距离的五次多项式轨迹规划:此模块基于车辆与周边障碍物或目标的距离信息,运用五次多项式轨迹规划算法生成行驶轨迹。与主通路基于不同的输入参数 进行轨迹规划,作为主通路的备份,在主通路失效时提供可靠的决策规划结果,安全性等级为 ASIL B (D) 。
d) 运行监控管理模块
以 ASIL D 的安全等级对决策规划模块的主通路、冗余通路以及仲裁输出切换模块的运行状态进行实时监控。持续监测轨迹规划的结果是否合理、各模块是否正常工作等。一旦发现异常情况,如算法运行错误、规划轨迹不可行等,立即采取相应措施,如切换通路、发出警报等,确保整个决策规划系统的安全稳定运行。
4.1.5 横向控制冗余架构设计
架构图如图 4.6 所示, 该架构由控制模块组成,包含主通路和冗余通路两条路径,通过冗余设计来提升系统横向控制的可靠性与安全性。 主通路和冗余通路 功能安全、预期功能安全均需要分别达到 ASIL B (D) 、 ASIL D ,运行监控管理模块以 ASIL D 的安全等级对整个架构进行监控管理。
图 4.6 横向控制冗余架构设计图
a) 主通路
基于自适应 MPC 算法: MPC 即模型预测控制 ( Model Predictive Control ) ,自适应 MPC 算法能够根据车辆当前的状态和周围环境信息,实时预测车辆未 来的运动状态,并据此计算出最优的前轮转角控制指令,以实现精确的横向控制。该算法的自适应特性使其可以适应不同的行驶工况和车辆参数变化,安全性等级为 ASIL B (D) 。
b) 仲裁输出切换模块
处于主通路和冗余通路之间,负责对主通路和冗余通路的输出进行仲裁和切换。当主通路出现故障、计算结果异常或无法满足控制要求时,仲裁输出切换模块会及时将控制输出切换到冗余通路,确保车辆横向控制的连续性。
c) 冗余通路
基于自适应 PID 算法: PID 即比例 - 积分 - 微分 ( Proportional - Integral - Derivative ) 控制。自适应 PID 算法可以根据系统的运行状态自动调整比例、积分和微分参数,以达到更好的控制效果。在紧急制动驾驶系统的横向控制中,它能够根据车辆的横向偏差等信息计算出合适的前轮转角控制指令,作为主通路的备份控制策略,安全性等级为 ASIL B (D) 。
d) 输出与通讯
前轮转角:主通路和冗余通路的控制指令最终会转化为前轮转角信号,用于控制车辆的行驶方向。这些信号通过加密冗余通讯 ( ASIL B (D) ) 进行传输,以确保信号在传输过程中的安全性和可靠性,防止信号被篡改或丢失。
制动压力与交互信号:除了前轮转角控制信号外,系统还涉及制动压力等其他控制信号以及交互信号,这些信号同样通过加密冗余通讯 ( ASIL B (D) ) 进行传输,以保障整个系统控制指令传输的安全和稳定。
e) 运行监控管理模块
以 ASIL D 的安全等级对控制模块的主通路、冗余通路以及仲裁输出切换模块的运行状态进行实时监控。持续监测控制算法的运行情况、控制指令的合理性等。一旦检测到异常,如算法故障、控制指令错误等,立即采取相应措施,如切换通路、发出警报等,保障整个横向控制系统的安全稳定运行。
4.1.6 执行器冗余架构设计
架构图如图 4.7 所示, 该架构通过在各执行子系统中设置主 ECU ( 电子控制单元 ) 、冗余 ECU 和监控 ECU ,并采用加密冗余通讯,实现执行器层面的冗余设计,以提高系统的可靠性和安全性。
图 4.7 执行器冗余架构设计图
a) 线控转向系统
主 ECU :负责根据系统的控制指令,计算并输出合适的前轮转角控制信号,直接控制车辆的转向操作,安全性等级为 ASIL B (D) 。
冗余 ECU :作为主 ECU 的备份,当主 ECU 出现故障 ( 如硬件损坏、软件错误等 ) 时,冗余 ECU 能够接替其工作,继续输出正确的前轮转角控制信号,维持车辆的转向功能,安全性等级为 ASIL B (D) 。
监控 ECU :实时监测主 ECU 和冗余 ECU 的工作状态,包括检测控制指令的合理性、 ECU 自身的运行状况等。一旦发现异常,立即采取相应措施,如发出警报或进行 ECU 切换,安全性等级为 ASIL D 。
加密冗余通讯:主 ECU 、冗余 ECU 和监控 ECU 之间通过加密冗余通讯进行连接,确保信号传输的安全性和可靠性。即使部分通讯线路出现故障,仍能保证数据的正常传输,安全性等级为 ASIL B (D) 。
b) 线控制动系统
主 ECU :接收系统的制动指令,计算并输出合适的制动压力控制信号,控 制车辆的制动系统产生相应的制动力,安全性等级为 ASIL B (D) 。
冗余 ECU :在主 ECU 失效时,迅速接管制动压力控制任务,输出正确的制动压力控制信号,保证车辆的制动功能正常运行,安全性等级为 ASIL B (D) 。
监控 ECU :对主 ECU 和冗余 ECU 的工作状态进行实时监控,及时发现并处理异常情况,确保制动系统的安全可靠运行,安全性等级为 ASIL D 。
加密冗余通讯:各 ECU 之间通过加密冗余通讯进行数据传输,防止信号被干扰或篡改,保障制动控制指令的准确传达,安全性等级为 ASIL B (D) 。
c) 人机交互系统
主 ECU :负责处理与驾驶员的交互信号,如接收驾驶员的操作指令,并将系统的状态信息反馈给驾驶员,安全性等级为 ASIL B (D) 。
冗余 ECU :在主 ECU 出现故障时,接替其与人机交互相关的工作,确保驾驶员与系统之间的信息交互不受影响,安全性等级为 ASIL B (D) 。
监控 ECU :实时监控主 ECU 和冗余 ECU 在人机交互方面的工作状态,保证交互信号的正常处理和传输,安全性等级为 ASIL D 。
加密冗余通讯:采用加密冗余通讯方式,保障交互信号在传输过程中的安全性和完整性,防止信息泄露或错误传输,安全性等级为 ASIL B (D) 。
4.2.1 模式管理组成
a) 模式状态控制模块
负责管理自动驾驶系统的整体模式状态,包括主路正常运行、主路降级运行、主路失效、冗余通路正常运行、冗余通路降级 / 报警接管请求等状态的维护与切换控制。
b) 传感器控制器 与执行器 监控模块
实时监测主路和冗余通路的传感器 ( 如摄像头、雷达、 V2X 等 ) 、自动驾驶域 控制器 ( 各子系统控制器 ) 以及执行器 ( 转向系统、制动系统、 HMI ) 的工作状态,采集状态数据并进行分析处理。
c) 冗余管理模块
评估系统主路和冗余通路的冗余能力,判断在故障发生时系统是否具备足够的冗余支持,为模式状态切换提供冗余情况依据。
d) 切换逻辑决策 策略
根据传感器与控制器监控模块提供的部件状态信息以及冗余管理模块提供的冗余评估结果,按照预设的切换策略逻辑,决策系统应进行的模式状态转换,并发出切换指令。
e) 人机交互模块
实现与驾驶员的信息交互,在系统状态发生变化时,向驾驶员发出相应的提示、报警信息,同时接收驾驶员的手动干预指令 。
4.2.2 运行模式切换策略
系统包含主路和冗余通路两条路径,各有正常运行、降级运行、失效等不同状态,并且在不同状态之间存在基于传感器和控制器状态变化的切换机制,系统的失效运行逻辑如图 4.8 所示。
图 4.8 运行模式切换策略
a) 主路正常运行状态
状态描述:主路正常执行系统功能,系统各项传感器和控制器均正常工作。
状态转换:当出现瞬态故障时,若故障能快速恢复 ( 如传感器短暂信号异常后恢复正常 ) ,主路可保持正常运行状态,即仍在主路正常运行状态内循环。若发生传感器或控制器失效但系统仍然有冗余 ( 即冗余通路可正常工作 ) ,则主路进入 降级运行状态。
b) 主路降级运行状态
状态描述:主路部分功能受限,可能是由于部分传感器或控制器失效,但因系统存在冗余,仍能维持一定功能。
状态转换:若出现瞬态故障,且故障能快速恢复,主路可回到降级运行状态的循环。当传感器恢复且系统仍有冗余时,主路可恢复到正常运行状态。若再次发生传感器或控制器失效且此时无冗余 ( 即冗余通路也无法正常工作 ) ,主路将进入失效状态。
c) 主路失效状态
状态描述:主路完全无法正常工作,系统功能严重受损。
状态转换:当传感器或控制器恢复正常 ( 意味着冗余通路恢复正常工作能力 ) ,系统可从主路失效状态转换到冗余通路正常运行状态。
d) 冗余通路正常运行状态
状态描述:冗余通路正常执行系统功能,在主路出现故障或功能受限等情况下接替主路工作。
状态转换:当出现瞬态故障时,若故障能快速恢复,冗余通路可保持正常运行状态,即仍在冗余通路正常运行状态内循环。
若发生传感器或控制器失效但系统仍然有冗余 ( 此时可理解 为主路 可提供一定支持或自身部分冗余组件仍正常 ) ,冗余通路可能进入降级 / 报警接管请求状态。
e) 冗余通路 ( 降级 / 报警接管请求 ) 状态
状态描述:冗余通路部分功能受限,可能发出报警提示,并请求接管更多系统功能以维持运行。
状态转换:当传感器功能恢复且系统仍然有冗余时,冗余通路可恢复到正常运行状态;若传感器或控制器失效情况持续且导致无冗余,系统可能陷入更严重的故障状态。
f) 状态转换关键因素
传感器和控制器状态:传感器或控制器的失效、恢复情况是触发系统状态转换的关键因素。例如,主路因传感器或控制器失效且无冗余支持时会进入失效状 态;而当失效部件恢复正常时,系统可转换到其他有效运行状态。
冗余情况:系统是否具备冗余能力决定了在故障发生时能否维持一定功能或进行状态切换。有冗余时,系统可能仅进入降级运行状态;无冗余时,则可能导致更严重的失效状态。
4.2.3 系统转态监控 与响应机制
a) 实时监控内容
1) 故障状态监控
传感器状态监控:实时监控主路和冗余通路的摄像头、毫米波雷达、 V2X 等传感器的工作状态,包括信号强度、数据准确性、故障码等。摄像头的图像清晰度、雷达的探测距离和精度、 V2X 的数据质量等。通过阈值比较、信号特征分析、冗余校验等方法,及时发现传感器的异常情况。
控制器状态监控:监控主路和冗余通路各控制器的运行状态,包括 CPU 使用率、内存占用、温度、硬件故障或软件异常等。通过实时监测控制器的关键参数,确保其正常运行。
执行器状态监控:监控主路和冗余通路各执行器的运行状态,包括硬件故障或软件异常等。通过实时监测执行器的关键参数,确保其正常运行。
冗余状态评估:持续评估系统主路和冗余通路的冗余能力,判断在当前各部件状态下,系统是否具备足够的冗余支持,以维持相应的运行状态或进行状态切换。
2) 网络攻击状态监控
通信链路异常检测:实时监控 V2X 、车载以太网等通信链路的数据包完整性,检测非法接入设备 ( 如伪装成路侧单元的恶意节点 ) 。当异常数据包占比突然上升或出现未授权的密钥交换请求时,触发预警。针对 CAN 总线设置错误 帧 计数阈值,若短时间内错误 帧 数量增加,判定为可能遭受总线干扰攻击。
控制器安全状态监测:对中央控制单元 ( CCU ) 和子系统控制器实施内存地址访问监控,当出现非授权的固件写入操作 ( 如通过 OBD 接口的非法刷写 ) 或异常中断向量调用时,立即启用安全锁机制。监控控制器温度传感器数据,若短时间内温度骤升 ( 排除正常负载变化 ) ,可能为恶意代码导致的 CPU 超频攻击。
传感器数据篡改干扰识别:建立摄像头、雷达等传感器的原始数据特征库,通过数字签名技术验证数据完整性。当激光雷达点 云数据 出现非物理规律的突变 ( 如同一帧中多个目标位置跳跃式偏移 ) ,或摄像头图像中出现不符合透视原理的物体变形,判定为数据篡改攻击并启动冗余传感器数据融合。
3) 预期功能安全 ( SOTIF ) 运行条件监控
环境感知性能退化监测:监控主路和冗余通路的摄像头、毫米波雷达、 V2X 等传感器的运行环境,包含驾驶场景、天气以及网络连接状况。通过摄像头的图像以及 V2X 的信号状况来检测驾驶运行环境。
决策层面运行条件监控:对驾驶场景、天气、网络连接状况、 车辆转态以及 驾乘人员进行监控,确保系统在 ODD 范围内有效的进行换道以及避免在 ODD 范围 外错误 换道导致碰撞事故。
控制算法稳定性监控:监控主路和冗余通路的 GPS 、 IMU 、轮速传感器等的运行环境,包含路面状况、车辆驾驶状况以及网络连接状况。
执行器响应可靠性监控:监控转向系统的运行条件,包含路面状况以及车辆状态。通过路面附着条件、车速以及规划的换道轨迹来检测执行器的响应运行,确保执行器正常响应。
人机交互可靠性评估:实时评估 驾驶员转态检测 、报警请求接管的有效性以及交互界面的可用性。包含监控主路和冗余通路的摄像头、方向盘电容传感器、座椅压力传感器、 仪表盘、扬声器、振动马达 、 触摸屏、旋钮、语音识别 等的运行环境,
b) 异常诊断与分类
1) 异常检测
通过传感器与控制器监控模块对采集的数据进行分析,采用阈值比较、信号特征分析、冗余校验等方法,检测是否存在故障、网络攻击或预期功能安全风险。
2) 异常分类
故障分类:将检测到的故障分为瞬态故障和永久性故障。瞬态故障是指短暂出现且能快速恢复的故障,如传感器短暂的信号干扰;永久性故障是指 持续存在且无法自行恢复的故障,如传感器硬件损坏、控制器芯片失效等。
网络攻击分类:网络攻击可分为拒绝服务 ( DoS ) 攻击、数据篡改攻击、伪装攻击和固件植入攻击等。
预期功能安全风险分级:预期功能安全风险可分为高风险、中风险和低风险。低风险情况为驾驶条件对系统或组件性能的影响程度较小,如小雨天气对摄像头的影响,此时摄像头感知正常运行无需采取措施来减低风险;中风险情况为驾驶条件对系统或组件性能大大减低,此时系统功能部分失效,需要通过系统降级的措施来保证安全;高风险情况为驾驶条件使系统或组件性能几乎丧失,此时系统失效,需要通过驾驶员接管车辆来保证安全。
3) 异常严重程度评估
根据异常的类型、影响范围和对系统功能的损害程度,对异常的严重程度进行评估,为模式状态切换提供依据。例如,单个传感器失效但系统有冗余属于较轻程度异常,可能导致系统进入降级运行状态;主路和冗余通路多个关键控制器失效属于严重异常,可能导致系统进入失效状态。
c) 异常响应 处理流程
1) 瞬态异常处理
当检测到瞬态异常时,模式管理器记录异常信息,若异常能快速恢复,系统维持当前状态;若异常持续一段时间未恢复,则按照永久性异常处理流程进行处理。
2) 永久性异常处理
对于永久性异常,模式管理器根据异常的严重程度和系统的冗余情况,触发相应的模式状态切换。同时,通过数据记录与日志模块记录异常详细信息,包括异常发生时间、异常类型、影响部件等,以便后续异常分析和维修。
4.2.4 人机交互与驾驶员接管机制
a) 信息交互设计
1) 状态信息显示
在车辆仪表盘和中控屏上实时显示自动驾驶系统的当前模式状态,如主路正常运行、冗余通路接管等,让驾驶员清楚了解系统的工作情况。
2) 异常报警提示
当系统检测到异常或进行状态切换时,根据异常的严重程度,向驾驶员发出不同级别的报警提示。例如,轻微异常时显示文字提示;严重异常时发出声音报警并伴随灯光提示。
3) 接管请求提示
当系统进入冗余通路降级 / 报警接管请求状态或主路失效状态时,向驾驶员发出明确的接管请求提示,包括接管时间要求、接管方式等信息,如 “请立即接管车辆” 并伴随声音和视觉提示。
b) 驾驶员接管响应处理
1) 接管时间计时
当模式 管理器发出接管请求后,开始计时,记录驾驶员的接管响应时间。根据自动驾驶系统的安全要求,设定合理的接管时间阈值,如 10 秒。
2) 接管有效性判断
检测驾驶员是否进行了有效的接管操作,如转动方向盘、踩下制动踏板等。若驾驶员在规定时间内进行了有效的接管操作,模式管理器将系统控制权移交给驾驶员,进入人工驾驶模式,并记录接管成功信息。
3) 未接管应急处理
若驾驶员在规定时间内未进行接管操作,模式管理器根据系统的安全设计采取相应的应急措施。先进行更强烈的报警提示,若驾驶员仍未接管,系统会采取减速停车等安全措施,确保车辆和人员的安全,并记录未接管情况。
c) 手动干预机制
1) 驾驶员主动接管
在自动驾驶过程中,驾驶员可随时通过操作方向盘、制动踏板、加速踏板等方式主动接管车辆,模式管理器检测到驾驶员的操作后,立即将系统控制权移交给驾驶员,进入人工驾驶模式。
2) 模式切换请求
驾驶员可通过人机交互接口发出模式切换请求,如从自动驾驶模式切换到人工驾驶模式,或在特定条件下请求系统切换到不同的自动驾驶子模式。模式管理器接收到请求后,根据当前系统状态和安全条件,判断是否允许切换,并执行相应的切换操作。
4.2.5 失效降级要求与最低风险状况策略
a) 失效降级的定义与性能限制
1) 正常运行模式
系统实时感知驾驶环境,前方道路出现障碍物时可通过转向换道来完成避障。
2) 失效降级模式
系统实时感知驾驶环境,由于系统组件失效导致系统 ( 感知、决策、控制、执行 ) 性能部分下降无法通过转向换道来完成避障或者无法保证转向换道的安全,前方道路出现障碍物时通过制动减速来完成避障。
3) 请求接管模式
由于系统组件失效导致系统 ( 感知、决策、控制、执行 ) 性能丧失无法通过转向换道、制动减速来完成避障或者无法保证转向换道、制动减速的安全,此时系统请求驾驶员接管车辆来保证行车安全。
4) 最小风险状况模式
由于系统组件失效导致系统 ( 感知、决策、控制、执行 ) 性能丧失,在系统向驾驶员发出接管请求后驾驶员不能及时的接管车辆,为了保证行车安全,系统进行最小风险措施,车辆进行减速,并且尽可能向路边停车。
b) 失效降级模式的具体运行范围
失效降级模式的具体运行范围为 1) + 5) + 6) ( 2) or 3) or 4) ) ,即 1) 5) 6) 的条件应该同时满足,在 2) or 3) or 4) 任何一种条件只要发生时就会进行失效运行。
1) 感知性能良好或下降
当感知模块没有异常或者异常程度较小对感知模块性能降低较小时间,此时感知模块能够有效的感知到正前方的障碍物,为制动避障提供有效的决策依据。
2) 换道决策性能下降或丧失
当换道决策模块异常时,换道决策性能大大降低甚至失去换道决策能力时,此时换道决策模块没有办法做出正确的避障决策甚至没有办法进行换道决策,就会导致车辆换道过程中没有办法避开障碍或者在避障中与周围的交通参与者发生碰撞、或者直接撞上前方的障碍物。
3) 横向控制性能下降或丧失
当横向控制模块异常时,横向控制性能大大降低甚至失去横向控制能力时,此时横向控制模块没有办法精确的跟踪换道的轨迹甚至没有办法进行横向控制,就会导致车辆换道过程中没有办法避开障碍或者在避障中与周围的交通参与者发生碰撞、或者直接撞上前方的障碍物、甚至出现车辆完全失控。
4) 转向系统性能下降或丧失
当转向系统模块异常时,转向系统性能大大降低甚至失去转向系统能力时,此时转向系统没有办法精确的控制前轮转角甚至没有办法进行前轮转角控制,就会导致车辆换道过程中没有办法避开障碍或者在避障中与周围的交通参与者发生碰撞、或者直接撞上前方的障碍物、甚至出现车辆完全失控。
5) 纵向控制性能良好或下降
当纵向控制没有异常或者异常程度较小对纵向控制性能降低较小时,此时纵向控制能够有效的进行纵向控制,为制动避障提供有效的控制。
6) 制动系统性能良好或下降
当制动系统没有异常或者异常程度较小对制动系统性能降低较小时间,此时制动系统能够有效的进行制动,为制动避障提供有效的动作。
c) 安全模式的转换
1) 降级模式状态检测
为了使得系统组件发生异常时,能够有效的进行降级处理,需要对自动驾驶模式管理器进行监控,检测模式管理器工作状态,除此之外需要保证系统处理失效降级模式的范围内,才能保证正确的进行失效降级处理。
2) 降级模式安全运行
应该实时检测整个系统的工作状态,确保只有在失效降级模式的运行范围内才启动降级模式。
d) 最小风险状况策略
1) 触发条件
正常 MRM :
ODD 退出:车辆接近运行设计域边界 ( 如非结构化道路、车道线消失 ) 。
驾驶员误用 / 分心: DMS 检测到睡眠、 未握方向盘 ( >15 秒 ) 、使用手 机等行为。
紧急 MRM :
严重部件故障: ESP 、 EPS 、主 ECU 、传感器组 ( ≥ 2 种失效 ) 等关键部件故障,导致系统部分 / 完全失效。
2) 决策流程
启动 MRM :驾驶员在警告期内未接管,系统进入 MRM 模式。
系统状态判断:
无故障 ( 正常 MRM ) :
靠近应急车道:
应急车道 可用且 空闲:减速,驶向路肩停车 ( 优先利用应急车道,减少对主车道的占用 ) 。
应急车道 不 可用 / 不 空闲:原车道减速停车 ( 避免强行换道引发碰撞 ) 。
远离应急车道:
应急车道 可用且 空闲:先换道至应急车道 ( 通过传感器验证后方安全 ) ,再驶向路肩停车 ( 分步操作,降低风险 ) 。
应急车道 不 可用 / 不 空闲:原车道减速停车 ( 直接稳定停车,避免长距离换道 ) 。
有故障 ( 紧急 MRM ) :
靠近应急车道:
应急车道可用、空闲 且故障下换道安全 ( 如转向系统故障时仍能控制方向 ) :减速,驶向路肩停车 ( 依赖冗余控制,确保换道可行性 ) 。
否则:原车道减速停车 ( 故障下换道风险高,优先稳定车辆 ) 。
远离应急车道:
应急车道可用、空闲 且故障下换道安全 ( 如冗余传感器支持路径规划 ) :换道至应急车道,再驶向路肩停车 ( 利用剩余可用功能,最大化安全空间 ) 。
否则:原车道减速停车 ( 故障下功能受限,避免冒险操作 ) 。
系统的软硬件接口规范如图 4.9 、表 4.1 所示。
图 4.9 软硬件接口规范图
表 4.1 软硬件接口规范
|
信号输入类型 |
输入接口 |
信号处理软件 |
信号处理硬件 |
输出接口 |
信号输出类型 |
|
图像数据 |
>>MAX96712 >>RX0/1 |
图像质量检测 |
SOC0 |
RGMII1 >>RGMII1 ( ETH_SW1 ) |
图像质量结果 |
|
点 云数据 |
>>TJA1462 >>RX2/3 |
点 云质量 检测 |
SOC0 |
RGMII2 >>RGMII1 ( ETH_SW1 ) |
点 云质量 结果 |
|
图像质量结果 |
(ETH_SW 1)MDIO 2 >>MDIO |
信号仲 裁输出 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
摄像头状态 |
|
点 云质量 结果 |
(ETH_SW 1)MDIO 2 >>MDIO |
信号仲裁输出 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
雷达状态 |
|
运行信号 |
SOC0 >>MCU ( 内部 ) |
运行监控管理 |
MCU ( 内部 ) |
SPI0 >>SPI0 ( MCU0 ) |
SOC0 状态 |
|
V2X 信号 |
>>TJA1462 >>TX/RX0/1 |
V2X 信号质量检测 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
V2X 信号质量 |
|
图像数据 |
>>MAX96712 >>RX0/1 |
故障模式监控 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
摄像头状态 |
|
点 云数据 |
>>TJA1462 >>RX2/3 |
故障模式监控 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
雷达状态 |
|
V2X 信号 |
>>TJA1462 >>TX/RX0/1 |
故障模式监控 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
T-BOX 状态 |
|
图像数据 |
>>MAX96712 >>RX0/1 |
网络安全监控 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
摄像头状态 |
|
点 云数据 |
>>TJA1462 >>RX2/3 |
网络安全监控 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
雷达状态 |
|
V2X 信号 |
>>TJA1462 >>TX/RX0/1 |
网络安全监 控 |
MCU0 |
>> 信号仲裁模块 ( 内部 ) |
T-BOX 状态 |
|
图像数据 |
>>MAX96712 >>RX0/1 |
信号仲裁输出 |
MCU0 |
>>TX0/1 |
图像数据 / 状态 |
|
点 云数据 |
>>TJA1462 >>RX2/3 |
信号仲裁输出 |
MCU0 |
>>TX2/3 |
点 云数据 / 状态 |
|
V2X 信号 |
>>TJA1462 >>TX/RX0/1 |
信号仲裁输出 |
MCU0 |
>>TX4/5 |
V2X 信号 / 状态 |
|
图像数据 / 状态 |
TX0/1 ( MCU0 ) >>RX0/1 |
主感知融合 |
SOC1 |
>> 主决策规划 ( 内部 ) |
主感知信息 |
|
点 云数据 / 状态 |
>>TJA1462 >>RX2/3 |
主感知融合 |
SOC1 |
>> 主决策规划 ( 内部 ) |
主感知信息 |
|
V2X 信号 / 状态 |
>>TJA1462 >>TX/RX0/1 |
主感知融合 |
SOC1 |
>> 主决策规划 ( 内部 ) |
主感知信息 |
|
感知信息 |
主感知融合 ( 内部 ) >> |
主决策规划 |
SOC1 |
RGMII1 >>RGMII1 ( ETH_SW2 ) |
主决策信息 |
|
运行信号 |
SOC1 >>MCU ( 内部 ) |
运行监控管理 |
MCU ( 内部 ) |
SPI0 >>SPI0 ( MCU1 ) |
SOC1 状态 |
|
图像数据 / 状态 |
TX0/1 ( MCU0 ) >>RX0/1 |
冗余感知融合 |
SOC2 |
>> 冗余决策规划 ( 内部 ) |
冗余感知信息 |
|
点 云数据 / 状态 |
>>TJA1462 >>RX2/3 |
冗余感知融合 |
SOC2 |
>> 冗余决策规划 ( 内部 ) |
冗余感知信息 |
|
V2X 信号 / 状态 |
>>TJA1462 >>TX/RX0/1 |
冗 余感知融合 |
SOC2 |
>> 冗余决策规划 ( 内部 ) |
冗余 感知信息 |
|
感知信息 |
主感知融合 ( 内部 ) >> |
冗余决策规划 |
SOC2 |
RGMII1 >>RGMII1 ( ETH_SW2 ) |
冗余决策信息 |
|
运行信号 |
SOC2 >>MCU ( 内部 ) |
运行监控管理 |
MCU ( 内部 ) |
SPI0 >>SPI0 ( MCU1 ) |
SOC2 状态 |
|
主决策信息 |
(ETH_SW 2)MDIO 1 >>MDIO2 |
感知决策仲裁 |
MCU1 |
>> 车辆控制 ( 内部 ) /TX/RX2/3 |
仲裁决策信息 |
|
冗余决策信息 |
(ETH_SW 2)MDIO 2 >>MDIO3 |
感知决策仲裁 |
MCU1 |
>> 车辆控制 ( 内部 ) /TX/RX2/3 |
仲裁决策信息 |
|
主车辆控制 |
主决策仲裁 ( 内部 ) >> |
车辆控制仲裁 |
MCU1 |
>>TX/RX1 |
转向信息 |
|
冗余车辆控制 |
主决策仲裁 ( 内部 ) >> |
车辆控制仲裁 |
MCU1 |
>>TX/RX1 |
转向信息 |
|
SOC0/(MCU0) 异常信号 |
(ETH_SW 1)MDIO 1 >>MDIO1 |
故障 异常响应 |
MCU1 |
>> 降级处理 ( 内部 ) |
降级信号 |
|
SOC1/(MCU) 异常信号 |
(MCU)SPI0 >>SPI0 |
故障 异常响应 |
MCU1 |
>> 降级处理 ( 内部 ) |
降级信号 |
|
SOC2/(MCU) 异常信号 |
(MCU)SPI1 >>SPI1 |
故障 异常响 应 |
MCU1 |
>> 降级处理 ( 内部 ) |
降级信号 |