功能安全性與完整性對汽車定位解決方案的重要性

  • 人閱讀
  • 2023-11-30 12:00:01

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

作者:Stefania Sesia,u-blox全球汽車應(yīng)用營銷總監(jiān)

在邁向自動駕駛車輛的道路上,每一代新車的功能集中都會增加一系列駕駛員輔助功能。例如,人工智能與計算機視覺技術(shù)的進步將推動全自動化駕駛的演進,也就是自動駕駛第5級(ADL5)。

到2030年,約70%的新車至少提供車道保持和車道變更功能。如今,中高端市場上已有部分車型具備這些第2級(ADL2)基本自動駕駛功能。到本十年末,市場將發(fā)展到在成本較低的細分市場內(nèi)提供更高的自動駕駛級別。與此同時,基于ADL4/ADL5的出行即服務(wù)(MaaS)大眾市場產(chǎn)品也將在全球各大都市出現(xiàn)。高級駕駛輔助系統(tǒng)(ADAS)和自動駕駛系統(tǒng)(ADS)可解讀來自多個傳感器的數(shù)據(jù)(傳感器融合)。雷達、激光雷達、視頻、超聲波和攝像頭數(shù)據(jù)在經(jīng)過處理后,可生成有關(guān)車輛周邊環(huán)境及其相對位置的精準概要信息。

此外,全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)接收機是唯一能將車輛的絕對位置精確到分米級(即精確到車道)的傳感器。因此,GNSS使車輛能夠精準確定自己在地圖上以及環(huán)境中的位置。

ADAS系統(tǒng)可利用GNSS信息來建議/決定最佳車輛行為,例如路線規(guī)劃。借助無線通信技術(shù)(5G/V2X),車輛還能與附近的車輛和交通基礎(chǔ)設(shè)施共享這些數(shù)據(jù),或通過這些數(shù)據(jù)確定車輛所處的道路類型是否適合使用特定駕駛功能(地理圍欄)。只要車輛依賴于自動駕駛,就等同于依賴車輛的實際位置,并根據(jù)定位做出決策,就有可能威脅到人的生命,因此有必要確定信息的可信度/完整性。

這就要求具備一種完整性的概念,即定位系統(tǒng)所提供信息的正確性有多可信。如下圖所示,危及完整性的潛在風險可分為:與車輛軟硬件相關(guān)的故障、環(huán)境因素和無意的誤用。在汽車領(lǐng)域,使用不安全信息的風險應(yīng)保證低至每個駕駛周期10-8和10-6(一個駕駛周期等于一個小時)。

ISO 26262-功能安全性

汽車在嚴苛的環(huán)境中工作。諸多干擾、熱量和振動來源會降低電路的功能或?qū)ζ湓斐蓳p壞。自主安全系統(tǒng)一旦失靈,可能就會引發(fā)碰撞,造成人員傷亡。這是極其高昂的風險。這其中還牽涉到法律后果。

汽車ISO 26262標準專門用于規(guī)管系統(tǒng)(如自動駕駛系統(tǒng))在故障條件下的行為。汽車制造商必須確保其系統(tǒng)遵循安全標準開發(fā),并提供證據(jù)來表明硬件或系統(tǒng)性開發(fā)故障的風險低到可以接受的程度。通過危險風險評估(HARA),原始設(shè)備制造商或系統(tǒng)所有者,評估不同威脅和錯誤來源造成的潛在風險。隨后需要根據(jù)一系列指標對每項風險評估進行分類,以確定汽車安全完整性等級(ASIL等級),并在此基礎(chǔ)上確定安全目標。

在某些情況下(特別是對于高度自動化的駕駛解決方案),特定安全目標還與具有相應(yīng)目標ASIL等級(通常是ASIL B)的GNSS接收機有關(guān)。目標是設(shè)定實施硬件和軟件的要求,以防止出現(xiàn)故障或危險。

預(yù)期功能安全性(SOTIF)

作為ISO 26262汽車功能安全性標準的補充,ISO 21448標準涵蓋了預(yù)期功能安全性,即系統(tǒng)中的電氣和/或電子(E/E)元件因外部環(huán)境條件等造成的性能缺陷而導致的危險不存在不合理的風險。

就GNSS而言,與環(huán)境條件有關(guān)的風險來自于更廣泛的星座和GNSS系統(tǒng)部件的故障。此類故障可能是因以下因素造成的重大誤差:對流層和電離層風暴等大氣擾動、電離層閃爍、直接信號或反射信號的多徑畸變(非視距-NLOS)以及來自其他傳感器(如慣性或輪速傳感器)的其他威脅。

保護級別-完整性衡量指標

為解決完整性問題,航空業(yè)過去曾經(jīng)推出過“保護等級”(PL)。這是一種實時統(tǒng)計計算界限。以有保證的統(tǒng)計概率顯示用戶所在區(qū)域,而且確保能在無法提供此類保證時及時發(fā)出警報。

PL與稱為警報限值(AL)的閾值一起使用,AL取決于應(yīng)用。下圖所示的斯坦福圖展示了PL、AL和實際誤差(AE)之間的關(guān)系,以及認為系統(tǒng)正常工作的條件。特別是在實際誤差大于PL和AL時,如果未能檢測到這種誤差情況,未在“告警時間”之前發(fā)出告警,則認為系統(tǒng)處于危險、誤導性工作(不安全工作)狀態(tài)。這種情況發(fā)生的概率必須保證低于目標完整性風險(TIR)。

[斯坦福圖]Pr-概率,PL-保護級別,AE-實際(位置)誤差,AL-警報限值,TTA-告警時間,TIR-目標完整性風險

完整性概念的主要挑戰(zhàn)之一是,確定足夠嚴格的保護級別界限以及極低的目標完整性風險,例如每個駕駛周期10-6或更低。這就需要考慮到法律概率極低的錯誤。這一領(lǐng)域的研究非常活躍,u-blox公司率先開發(fā)了先進技術(shù),如參考文獻[1-3]所示。

為了表明完整性的重要性,我們可以舉一個例子??紤]這樣一種應(yīng)用場景,車輛使用位置信息來激活特定的自動駕駛功能。在下圖的第一種情況(左)中,車輛位置被錯誤地投射到錯誤的街道上,誤差大于平均值,而PL值低于平均值。如果沒有檢測到這種誤差,也沒有發(fā)送告警,可能會錯誤地激活特定自動駕駛功能,而這種功能并不適合車輛當前實際所在的特定道路類型。在第二個例子(右)中,位置誤差在PL和AL范圍內(nèi)。這是正常工作狀態(tài)。有必要注意,在這個例子中,還需要精確可靠的地圖。

結(jié)論

為保證自主安全系統(tǒng)正常工作,必須了解車輛在環(huán)境中的位置,以及與其他車輛和物體的距離。該位置為估計值,受環(huán)境影響、硬件故障和系統(tǒng)性開發(fā)故障的影響。完整性是指所提供信息正確性的可信度。

GNSS傳感器可提供絕對定位信息,是傳感器融合系統(tǒng)中其他ADAS/ADS傳感器的補充。系統(tǒng)內(nèi)的完整性包括及時警告用戶何時不應(yīng)在系統(tǒng)內(nèi)使用相應(yīng)信息。如符合汽車標準ISO 26262,即可確保自主安全系統(tǒng)在故障情況下的行為具有可預(yù)見性。符合補充性ISO 21448標準(SOTIF)則可確保系統(tǒng)在嚴苛條件下的功能性。

未來將有更多新車配備自主安全功能,我們相信,隨著高度自動化駕駛和高級V2X應(yīng)用場景的部署,GNSS等安全組件的需求將在未來大幅度增加。

參考文獻:

[1]Julien 等,Extended Results of Single Epoch Position Bound (SEPB)

[2]Martini 等,Galileo High Accuracy Service Performance and Anomaly Mitigation Capabilities,2023 年 6 月 13 日,PREPRINT (Version 1) of journal GPS solutions

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )