您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 综合/其它 > ADAS功能安全2汽车电子咖啡厅
国际顶尖自动驾驶团队功能安全专家智能驾驶系统首席安全架构师智能驾驶功能安全内容&观点•智能驾驶分级定义已清晰提示Hazard•HazardAnalysis可见智能驾驶Level分水岭智能驾驶HazardAnalysis智能驾驶HARAandSafetyValidation智能驾驶SafetyMechanismHighlights:ISO26262Application智能驾驶HazardAnalysis什么是智能驾驶?智能驾驶vs传统汽车电子SAEL0-L5定义智能驾驶分水岭?非L0系统基础HazardL1-L2vsL3-L5Hazard本质区别各级别危害?SAEL1–L5:分级HazardAnalysis典型产品/功能定义/系统结构/事故实例智能驾驶业界现状[NHTSA]SAEL0-L5定义[NHTSA,SAE]SAEL0-L5定义L0系统非L0系统L0/非L0系统基本特征L0系统非L0系统-智能驾驶未对人工控制回路造成直接变化-仅以影响司机的方式参与控制回路-智能驾驶控制回路与人工控制共同直接作用于车辆-多控制源引入的控制冲突、控制缺失、切换延时L0/非L0系统典型控制结构ADAS回路外部环境司机油门/制动/方向盘动作车辆人工环境感知ADAS(L0)人工车辆行为感知执行器司机告警环境传感器人工控制回路ADAS环路外部环境ADAS(非L0)控制切换&司机操作判断控制命令人工/自动控制状态命令执行状态司机操作状态司机油门/制动/方向盘动作动作传感器数字信号车辆执行器动作执行传感器环境传感器人工环境感知控制命令命令执行状态环境状态人工控制回路人工车辆行为感知危险告警司机命令L0系统非L0系统非L0系统Hazard分析-方法论控制器被控对象执行器传感器输入输出被控对象行为模型不恰当的控制算法被控对象随时间变化执行器不恰当运行传感器不恰当运行输入错误或缺失导致危险的输出行为模型不一致、不完整或不正确不合适、无效或错误的控制行为控制输入错误或缺失反馈缺失、延时或错误测量误差、丢失或延时冲突控制行为未预料或超出界限的干扰(a)控制理论模型(b)基于控制理论模型的失效模式适用于耦合复杂控制系统的安全分析方法:STAMP[Leveson,MIT]非L0系统Hazard分析-顶层HazardADAS环路外部环境ADAS(非L0)控制切换&司机操作判断控制命令人工/自动控制状态命令执行状态司机操作状态司机油门/制动/方向盘动作动作传感器数字信号车辆执行器动作执行传感器环境传感器人工环境感知控制命令命令执行状态环境状态人工控制回路人工车辆行为感知危险告警司机命令H1-1:司机、智能驾驶均未控制车辆H1-2:司机、智能驾驶控制命令冲突H1-3:车辆不按司机操作控制H1-4:人工控制切换延时非L0系统Hazard分析-事故实例[Skodadriverdecapitatedafterclaimingcar'scruisecontrolwasstuck]2016.2.2:Denham,Buckinghamshire,UK:无法退出自动控制模式,司机致死车型SkodaOctavia智能驾驶类别Cruisecontrol(L2)事故时速度94mph事故场景车辆被智能驾驶持续加速,司机无法退出自动模式,加速至94mph后与大卡车相撞事故原因1、智能驾驶意外加速2、车辆不按司机操作控制SAEL0-L5定义L1系统L2-L4系统L2以上系统Hazard分析H2-2:加速/制动/转向控制状态不一致执行器ADAS环路外部环境ADAS(非L0)控制切换&司机操作判断命令执行状态司机操作状态司机动作传感器数字信号车辆动作执行传感器环境传感器人工环境感知控制命令命令执行状态环境状态执行器人工控制回路人工车辆行为感知危险告警司机命令执行器司机命令控制命令人工/自动控制状态H2-1:加速/制动/转向命令冲突SAEL0-L5定义L2系统L3-L4系统L2/L3系统的人因因素内容&观点智能驾驶HazardAnalysis•ISO26262HARA标准可类比应用•部分Hazard需建立新的评估标准智能驾驶HARAandSafetyValidation智能驾驶SafetyMechanismHighlights:ISO26262Application智能驾驶HARAandSafetyValidation功能安全已有的工具?ISO26262:HARA方法论ISO26262:SafetyValidation能用于智能驾驶吗?S、E、C在智能驾驶中的应用类比ISO26262HARA适用的Hazards足够吗?环境感知的安全目标SafetyValidation标准ISO26262:HARA方法论汽车安全完整度等级[ISO26262]S、E、C在智能驾驶中的应用类比Severity严重度Exposure驾驶场景频度Controllability可控性传统汽车电子-通常由速度衡量-针对普适的人工驾驶场景,速度范围较宽,S等级跨度S1-S3.-危害在驾驶场景中暴露的频度-通常考虑其持续时间和发生频率。-驾驶员/乘客/行人控制避免伤害的可能性-通常与特定事故类型相关智能驾驶-智能驾驶最高限速直接影响S等级-例如仅用于低速情况的自动摆渡车。-智能驾驶应衡量适用场景范围内的ExposureL2与L3的分水岭:-L2系统对智能驾驶失效的可控性为C1;-L3以上系统对智能驾驶失效的可控性为C3S、E、C在智能驾驶中的应用类比可控性指标C?[TUVSUD,EasonDong]环境感知失效环境感知失效模式ActualActual虚警:-可用性失效-与用户体验相关-低于合理数值即可接受漏报:-安全相关失效-与系统安全性能相关-需额外安全设计(概率可信度;可达性分析等.)PerceptionPerception环境预测失效模式难点:多种类、多姿态的移动障碍物速度、方向预测[googlepatent]失效率指标及评估方式累积路测里程司机平均致死里程失效率指标:-目前尚无标准政策-ASIL失效率定量值无意义-可对标人为失效概率-人因失效率约为10^-2评估方式:-仿真测试-封闭路测-公共路测内容&观点智能驾驶HazardAnalysis智能驾驶HARAandSafetyValidation•不同智能驾驶级别安全状态差异安全设计差异•传统安全设计不足以防范智能驾驶风险智能驾驶SafetyMechanismHighlights:ISO26262Application智能驾驶SafetyMechanism危害产生原因?部件失效软件失效AI引入的新失效模式怎样识别?传感器失效模式、传感器能力识别基于概率的检测算法失效模式深度学习模型引入的失效如何防范?Fail-safety:不同level的安全侧定义Fail-safety:实时性要求3-Levelconcept3-Levelconcept在智能驾驶的应用挑战:-Monitoringfunction完整性的度量?-实施Monitoring的硬件独立性?Safetymechanism:safestate关键时间指标(车辆失去控制时间)安全状态:-靠边停车-紧急制动-平缓制动-司机接管司机接管典型延时6s(L3)失效检测给出TOR报警各级别智能驾驶的Fail-safetyL1&L2:-Fail–takeoverL3:-Fail–TORL4&L5:-Fail–operational[TUVSUD,EasonDong]内容&观点智能驾驶HazardAnalysis智能驾驶HARAandSafetyValidation智能驾驶SafetyMechanism•系统方法论对智能驾驶具有重要借鉴意义•挑战与局限:失效模式、人因影响、环境影响、软件规模......Highlights:ISO26262Application汽车电子咖啡厅,产品研发加速器汽车电子咖啡厅,产品研发加速器【汽车电子咖啡厅】创始人:董工手机/微信:18101935012
本文标题:ADAS功能安全2汽车电子咖啡厅
链接地址:https://www.777doc.com/doc-60164 .html