马 行,王晓龙,穆春阳,陈雪涛
(北方民族大学信息与通信技术研究所,银川750021)
摘要:以道路车辆功能安全规范标准IS0 26262为准则,对汽车的车道偏离预警系统(LDWS)进行了概念设计。首先分析了IS0 26262功能安全规范概念阶段的活动内容,并在此基础上,完成车道偏离预警系统的项目定义、危险分析和评估,设计了功能安全概念的相关工作,确定了功能安全等级和安全目标。最后搭建了UML仿真模型对LDWS概念设计阶段进行仿真测试,测试结果表明此设计能够满足IS0 26262规范标准,实现了车道偏离预警系统的功能安全概念设计,对车道偏离预警系统的安全开发具有指导意义。
关键词:车辆工程;车道偏离预警系统;IS0 26262;功能安全;危险分析和评估;UML
中图分类号:X913 doi: 10. 11731/j.issn.1673 -193x.2016. 02. 019
0 引言
世界卫生组织( WHO) 2015年12月19日发布《2015年全球道路安全现状报告》(Global status reporton road safety 2015)指出,道路安全虽然获得改善,每年仍有约125万人死于道路交通事故。在这种压力下,汽车产业不得不提供新的或改进的车辆安全系统,如安全气囊系统、车道偏离预警系统( LDWS)和非常复杂的高级驾驶员辅助系统( ADAS),进而提高事故预测和规避能力。当前典型的车道偏离预警系统有美国的AURORA系统、德一美的AtuoVue系统、日本的DSS系统和我国吉林大学的JLUIV系统等,已配备此系统的有大众CC、宝马5系、奔驰E级、英菲尼迪M系等车型。但是,这些车辆安全系统是由非常复杂精密的机械电子系统组成,由于这些系统的系统失效和部件失效等安全问题导致的安全风险也随之提高。因此,为了保证这些复杂系统下汽车的安全性,国际标准化组织ISO针对汽车功能安全根据电子、电气及可编程器件功能安全基本标准IEC 61508发布了《道路车辆功能安全规范——IS0 26262》标准,旨在提高汽车的安全性。
IS0 26262于201 1年11月15日正式公布,共由10个部分组成,如图1所示,提供并支持一个汽车安全生命周期(管理,研发,生产,经营,服务,报废)和风险等级的具体风险评估方法,划分汽车安全综合等级( Automo-tive Safety Integrity Level ASIL)A到D,其中D级为最高安全等级,对系统硬件和软件的开发流程的要求最严格。
目前,中国汽车技术研究中心正牵头制订国内道路车辆功能安全标准GB/T《道路车辆功能安全》,计划于2016年发布实施。以色列Mobileye公司基于IS0 26262标准在2015年第四季度已经发布了第4代ADAS视觉处理器( EyeQ4),满足ASIL B的安全等级。美国德州仪器( TI)公司面向汽车电子设计的HerculesMS570LS12x/11x与TRM46x微控制器以经过TUV SUD的认证,符合IS0 26262标准的ASIL D级。Freescale基于IS0 26262标准设计了应用于汽车电子的BLDC电机控制解决方案。由此可见IS0 26262标准已经得到各国及各大汽车电子芯片供应商的广泛关注及应用推广,基于ISO26262标准的车道偏离预警系统的研究也是势在必行。
本文以道路车辆功能安全IS0 26262规范的第3部分一概念阶段的设计开发为基础,针对汽车的车道偏离预警系统( Lane departure warning system)进行了项目定义、危险分析和评估以及功能安全概念工作,并在最后使用UML状态机对系统概念阶段的功能安全进行了建模仿真测试。
1 IS0 26262概念阶段主要活动
IS0 26262概念阶段(第3部分)已经是安全生命周期的开始,主要任务是对项目开发进行风险分析和风险评估,且在这一过程中,结合汽车的运行情况完成危险事件的识别,然后根据危险事件识别结果的组合进行分类,最终确定汽车安全完整性水平( ASIL)项目。此阶段主要活动如表1所示。
2 车道偏离预警系统的概念设计
车道偏离预警系统是汽车安全辅助驾驶技术研究中的重要组成部分,用于警告驾驶员因疲劳或注意力不集中造成的车道偏离,使其得以修正,从而减少因车辆偏离行驶车道而造成的交通事故。车道偏离预警系统主要由微处理器、控制器、报警提示和道路信息获取等子系统组成。为了提高系统及其子系统的抗风险能力,这里根据道路车辆功能安全IS0 26262规范概念阶段的主要活动内容,对LDWS系统概念设计的总体流程如图2所示。
2.1 项目的定义
车道偏离预警系统主要包括纵向和横向车道偏离预警两个基本功能,由电子控制单元ECU、运动中获取道路信息的摄像头感知单元、报警提示单元和CAIN信号等子系统组成,其架构简图如图3所示。
根据IS0 26262项目定义中涉及的相关内容,车道偏离预警系统的工作环境为:项目开发人员的设计和测试调试时,系统制造生产时,车辆驾驶时,系统维护维修时和回收报废时;工作条件为:系统零部件的裁解和替换,测试设备的链接和监控,系统的运输、安装、运行、停止,意外状况(非常规安装,碰撞,极端环境下工作);实现的功能为:车辆在行驶时实时获取道路图像,处理图像获取道路信息确定车辆的当前位置和方向,危险情况报警管理,判断转向灯是否打开,控制报警子系统工作,设备监控安全保护功能。
2.2 危险分析和评估
车道偏移预警系统的危险分析和评估的主要作用是辨别其可能的危害、确定可能的风险、确定安全完整性等级ASIL和安全目标。
2.2.1 安全完整等级ASIL概述
IS0 26262规范规定应该辨别和确认出所有可能影响系统功能安全的风险,并对其执行风险辨别、评估和持续安全改进。其中风险评估的主要手段是确定“功能安全完整等级”,是通过“严重性”、“发生概率”、和“可控性”这三个指标进行量化评估的,并作为后续阶段流程的输入,具体的三个指标与ASIL的等级关系查询表见表2。
其中,S0~S3表示该危险对驾驶员或乘客潜在造成伤害的严重等级(严重性),S0是无伤害,S3是致命伤害;EO~ E4表示该风险在实际工况环境中的发生概率(发生概率),EO表示不可能发生,E4表示常见的;CO~ C3表示该风险出现后驾驶员或其他人员及时采取措施控制并避免伤害的能力(可控性),CO总是可控的,C3是非常难或不控制。
此外,QM表示风险可以不被接受,只需按照正常的质量管理流程设计开发。A、B、C、D为ASIL的级别,其越高代表的风险越大,都是不可容忍,需按照IS0 26262设计开发管理。
2.2.2 风险分析和评估
在车道偏离预警系统中,主要失效模式有摄像头感知单元失效、电子控制单元(ECU)失效和报警单元失效,其中报警单元失效又分为语音提示失效、LCD显示失效和车座震动提示装置失效。下面将对各个失效进行风险分析和评估。
1)摄像头感知单元失效
严重性:如果摄像头失效,行驶的车辆则无法实时获取道路图像,甚至获取了错误的道路图像,这样的图像经处理器处理后可能产生错误的车道偏离角度,进而报警提示干预驾驶,使驾驶员无法全神贯注的驾驶车辆,最坏情况造成交通事故危及生命,定义严重程度为S3。发生概率:只要车道偏离预警系统工作,其就在工作中,但是每次系统开机时都需自检,发生实效的概率较低,定义发生概率为E3。可控性:失效发生时,驾驶员获知后能及时采取措施避免发生危险,可控性为C1。
2)电子控制单元失效
严重性:电子控制单元作为车道偏离预警系统的大脑,其一旦失效,对整个系统的子系统都将有严重影响,甚至通过CAN总线影响其它的汽车电子控制单元,定义严重程度为S3。发生概率:作为系统的中枢核心,其在设计选型时是经过筛选的,正常环境下正确的使用是不会产生的失效的,定义发生概率为E2。可控性:当在汽车行驶在复杂的极端环境(极端温度和电磁环境)下,可能造成暂时失效且迅速恢复正常,这种失效是不易察觉的,不可控制的,定义可控性为C3。
3)报警单元失效
严重性:作为车道偏离预警系统的执行部分,起着举足轻重的作用,失效后轻则不能起到警示作用,重则对驾驶员驾驶造成影响,特殊情况下还可能导致车毁人亡,定义严重程度为S3。发生概率:作为执部分,需要时刻保持工作状态,且由机械和电子两部分组成,更为复杂,定义发生概率为E3。可控性:每次系统工作时可检测,且都可以手动配置关闭,显而易见语音提示、LCD显示可控性为C0,而车座震动提示装置一旦在汽车运行时发生失效,控制难度加大,可控性为C1,因此报警单元失效最终定义C1。
2.2.3 安全的目标
对照表2并结合车道偏离预警系统的风险评估结果,摄像头感知单元的功能安全等级为ASIL A,安全目标是防止摄像机发生故障且和ECU通信正常;电子控制单元失效为ASIL B,安全目标是防止死机或者工作异常(短暂失效或错误);报警单元失效为ASIL A,安全目标防止发生故障或者可提前发现故障。根据IS0 26262标准,不同的安全等级的软件设计实现和检测效验流程有不同的要求,且具有向下兼容的原则。考虑到采用不同的流程和检测效验流程对软件进行开发,会无形的增加LDWS的开发工作量和开发成本,延长产品的开发周期。在IS0 26262标准第3部分的第7小节规定,相似的安全目标可以合并为一个安全目标,但要达到ASIL等级应该是合并项目中最高的,最终定义了整个车道偏离预警系统ASIL等级为汽车安全中的ASIL B级,且安全目标是:能够检测和识别车道线,并为驾驶员提供安全、准确可靠的报警信息,完成提前预警的功能。
2.3 功能安全概念
功能安全概念的目标是通过功能安全目标得出功能安全要求,然后分配给项目的初始结构要素以及外部量,主要包括故障的检测和指示、失效的缓和方法、系统的容错措施、安全状态的转换和系统逻辑仲裁五个方面工作。
针对本文中提到的车道偏离预警系统,对其进行安全概念定制,实现2.2.3节得出的安全目标。具体的安全措施为:
1)开机自检,具有故障提示功能。
2)使用三层监控的思想,对系统的各个子系统(硬件和软件)进行全方位监控,如道路参数信息和航向角的计算值等,图4为系统的三层监控的概念图。
3)增加系统的冗余设计,减少单点随机失效率和潜在随机失效率,提升系统的硬件架构指标目标值,实现安全目标设计。
3 系统的功能安全UML仿真测试
根据汽车电子V模型开发流程,需要对车道偏离预警系统的概念设计进行建模仿真测试。经过分析对比当前众多的面向对象建模语言,最终选择了统一建模语言UML作为本系统的建模语言,且实现环境为Matlab的Stateflow。同时,根据文中提出的车道偏离预警系统功能安全概念,UML建模仿真测试主要对对象是系统的开机自检和运行时的三层监控。
3.1 开机自检仿真测试
系统的开机自检的对象是道路信息感知单元(摄像头)、报警显示单元(LCD、车座震动装置和语音提示装置)和ECU。图5为自检的状态仿真图,主要由各个模块的事件触发输入信号开关、定时器、相关状态机和显示单元组成。其中,事件触发信号使用的是Simulink库中的Constant和Manual Switch模块构成,且通过Mux模块连接到相应的状态机,如Shake Error和video Switch等;定时器主要作用是定时采集系统的运行状态,其信号的输入为图5中的Sys State,并将输入信号(sys_Qt)传输到第三层;各个状态机的作用是根据内部运行逻辑,判断系统的各个安全单元是否在IS0 26262标准正常工作,其内部的逻辑关系如图6和图7所示。
图6为报警单元状态机的内部状态变迁图,主要有4种状态和3个事件组成。其中状态的标识符为8位siren_ state,其对应的真值表如表3所示,默认全部为“0”,siren_ state相应的位值是通过函数get_ state()被改变,作用是标记和记录每一个设备是否正常,且1号表示车座震动设备,2号表示LCD显示设备,3号表示语音设备。当有外部事件(lcd_ error、shake_ error和speak _er-ror)输入时,状态变迁到相应的状态,状态机输入非“0”提示错误。
图7为系统自检单元状态机的内部状态变迁图,有两部分组成,且采用并行处理方式。LDWS_ Qt1是监控系统子单元输入的2个信号,判断方法和报警单元状态机的类似,输出状态为sys _state。LDWS_Qt2作用是通过定时器事件( time_ event)输出sys_ Qt信号,用以和监控层交互信息判断系统是否正常运行,仿真时通过外部输入变量sys实现输出信号的变迁,且“0”为正常,“1”为故障。
第三层ECU监控状态机,其伴随在整个LDWS系统的工作过程(自检和运行)中,主要作用是接受LDWS功能实现控制层定时发送来的信号,如果超时或发送了故障信号,将主动关闭车道偏离预警系统,降低风险。仿真时是通过work_ state输出经第三层监控后的信号,用以判断系统是否出现问题。
表4为自检仿真时测试的数据,其中测试各个功能子单元的方法是通过拨动Manual Switch产生电平信号,可以同时触发多个信号,进而实现状态变迁信号的输入;而系统自身测试是通过发送错误信号和改变定时周期来判断其是否正常工作。由数据可知本仿真能够实现车道偏离预警系统自检时的功能安全,识别出系统那个子单元出现故障,并做出相应的提示,关闭系统使其不进入运行状态。
3.2 运行实时仿真测试
图8为系统运行实时状态仿真图。为了实现LDWS系统真实运行状态的仿真,报警单元多了故障关闭输入信号,可以让驾驶员在突发事件时关闭相关设备,尽量不影响其它子系统;系统运行状态机( Sys Run)采用定时采集各个单元信号,且采用闭环的方式检测系统自身运行状态,其信号输入源为自检输出信号、经第三层监控后的输出信号和系统对各个子系统的监控信号,并实现了行车和车道线相对角度的状态仿真。
运行状态下的报警单元内部状态变迁图的仿真测试原理与自检时的类似,且与自检时的相比,每个状态多了一个关闭功能的事件( xxxx _off),默认输出状态为“0”,正常。
图9是系统在运行状态下定时采集各个单元信号的内部状态变迁图,由三个并行的状态机组成,且都是通过外部定时器( time)产生定时事件time_ event同时驱动,实现状态变迁的。其中运行状态( LDWS_ runl)和自检时的类似,增加了恢复正常状态条件,可以在系统出现故障的情况下通过相应的操作使系统恢复正常状态。Angle_ run状态变迁图主要是实现对经过图像处理后得到的行车和车道线相对角度的仿真。其中,状态变迁的依据是an gle(得到的现场数据)、min(最小阈值)和max(最大阈值)三个外部输入条件;输出的状态为ang _flag,“0”为可信值,执行报警显示提示,非“0”为置信区间以外值,不执行动作,且“-1”表示偏小,“1”表示偏大。
根据LDWS运行时的实时状态仿真系统,对摄像头感知单元失效、电子控制单元( ECU)失效和报警单元失效经行了测试,测试的数据如表5所示。其中可控率=可以控制的次数/注入故障次数。
由表5的数据可知,系统运行实时状态仿真图能够正确的检测出人工注入的故障,且通过相关操作可以控制故障,使由于系统失效造成的损失降到最低,满足ISO26262道路安全标准,实现了概念阶段的LDWS的功能安全设计。
4 结束语
IS0 26262作为汽车电子及其电气产品功能安全的国际标准,为从事汽车相关的研发机构和生产企业提供了新的思路和方法,尤其是在当下汽车电子产品快速发展和复杂性不断提高的趋势下,表现的更为重要。在此背景下,文中基于IS0 26262,针对车道偏离预警系统这个相对复杂的汽车电子产品,进行了项目定义、风险分析和风险评估,并确定了系统的ASIL等级为B级,完成了功能安全概念的设计工作,最终实现了对车道偏离预警系统的概念设计。同时,根据车道偏离预警系统功能安全概念,通过UML建模对概念阶段的设计进行了系统仿真测试,且测试数据表明本文提出的基于ISO26262车道偏离预警系统设计开发流程能够满足ISO26262规范标准。此外,整个系统的概念设计流程和实现方法对其他汽车电子产品也有指导借鉴作用。
