自動駕駛的主要目標是消除人為錯誤造成的事故。在全自動駕駛汽車中,在系統發生故障時恢復駕駛員控制不是一種選擇;沒有驅動程序,也沒有提供手動控制來接管。安全關鍵系統必須采取行動,而不是使用“人為后備系統”作為故障保險。雖然這可以通過系統的完全冗余來實現,但需要替代架構來最大限度地減少功能和系統的重復,以避免增加成本和重量。
汽車網絡架構正在采用分區結構來減輕車輛重量和成本,從而提高燃油經濟性、節省空間和經濟性。
域和區域體系結構
圖 1 比較了域和區域車輛架構的典型拓撲。在左側基于域的架構中,傳感器和執行器根據它們所屬的功能域進行連接。每個域都有一個專用處理器作為域控制器的一部分。在右側的區域架構中,傳感器和執行器根據其在車輛中的物理位置進行連接。區域控制器、中央計算模塊或兩者的組合處理傳統上由域控制器和中央網關執行的處理任務。
圖 1:域和區域車輛架構的典型拓撲。
高優先級數據通信量(如安全關鍵型控制命令和某些類型的傳感器數據)必須在特定的最大時間范圍內到達目的地并做出響應。對于中等優先級的流量,例如車載娛樂數據,可以通過確保通信子系統中平均有足夠的傳輸帶寬來保持可接受的傳輸和響應時間。盡力而為的數據流量沒有特定的延遲要求。數據最終“盡可能快”地到達就足夠了,包括在通信子系統達到限制的情況下重新傳輸信息。
演進與功能安全
研究自動制動系統(圖2)有助于解釋域和區域架構對ISO 26262中定義的所需汽車安全完整性等級(ASIL)等級的影響。
圖 2:典型自動制動系統中的數據流方案。
圖2中的黑色標記框是電子控制單元(ECU),灰色標記框表示ECU之間交換的信息。雷達單元將雷達數據發送到目標檢測功能,該功能提取有關檢測到的對象的數據,這些數據是距離閾值功能的輸入。距離閾值計算與前方車輛保持距離所需的減速,并在距離低于預定義限制的情況下向制動ECU發送適當的制動命令。
該系統的安全目標旨在避免意外制動,并避免在需要時無法獲得所需的制動扭矩。由于在發生故障時可能會危及生命或致命傷害,因此根據ISO 26262,這兩個目標都應滿足ASIL D的要求,這是最高的完整性要求。
領域和區域車輛架構對這些安全目標的影響不同。圖3顯示了基于域的架構中自動制動的相關部件示例。
圖 3:基于域的自主制動控制。
在這里,雷達、制動器和域控制器通過單個CAN總線連接。雷達模塊從雷達前端接收數據,執行目標檢測,并執行距離閾值任務。制動控制命令通過CAN總線發送到制動模塊,制動模塊執行命令任務。
圖 4 顯示了如何在區域架構中實現相同的功能。雷達和制動單元通過兩個獨立的CAN總線連接到兩個獨立的區域模塊。這些模塊都連接到中樞大腦,也可能連接到車輛內的其他區域模塊。雷達模塊僅包含一個傳感器,制動模塊包含一個執行器。與基于域的體系結構中的雷達和制動模塊不同,區域體系結構中的這兩個模塊中都沒有主要處理。相反,中央計算模塊執行對象檢測和距離閾值(計算)。因此,此體系結構稱為具有中央處理的區域體系結構。
圖 4:具有中央處理的區域架構中的自動制動。
可以采用其他方法,例如在區域模塊A和/或B內執行目標檢測和距離閾值任務。此類變體稱為具有本地區域處理的區域體系結構。
計算 ASIL-D 合規性的 FIT
硬件故障概率指標 (PMHF) 是公認的 ISO 26262 安全指標,是違反安全目標的平均概率,表示為時間故障 (FIT)。ISO 26262 要求 ASIL D 的 PMHF 低于 10 FIT(每小時 10-8 次故障概率),ASIL C 的 PMHF 低于 100 FIT(每小時 10-7 次故障概率)。
根據其ASIL等級和ISO 26262標準為每個安全目標分配最大PMHF值。該值分為示例體系結構中區分的三個不同組件組:傳感器融合和處理、通信和執行器組件。
這些單獨的組件組中的每一個都有自己的故障概率 PMHFx,其中“x”是組件的訂購號。應用程序的總體 PMHF 值是各個組件的 PMHFx 值的總和。為了滿足應用的整體功能安全要求,總和應小于或等于與ASIL安全目標相關的最大PMHF值。
在從域體系結構過渡到區域體系結構的過程中,體系結構更改和相關任務重新映射會影響應用程序的 PMHF 值。在區域體系結構中,與基于域的體系結構相比,執行同一應用程序需要更多數量的通信和處理組件。
我們在示例應用程序中計算了安全目標的總體 PMHF,從而將基于域的體系結構與我們之前描述的區域體系結構的兩種變體進行了比較。然后計算每個組分組對整體PMHF的相對貢獻,結果如圖5所示。該圖證實,更加分散的區域架構導致車載網絡(IVN)通信對整個應用PMHF的貢獻顯著增加。還發現處理的貢獻沒有顯著變化。這是因為處理總量在不同的體系結構中不會改變。
圖 5:每個組件組和架構的相對 PMHF 貢獻。
自動駕駛的故障運行
當乘客在發生故障時無法接管時,全自動駕駛需要故障操作系統,以確保在發生故障時功能完整或降級。各種架構都可以實現這一點,盡管每種架構都有優點和缺點。
架構變體 1
同構冗余將系統復制到兩個獨立的并行實現中(圖 6)。此變體在兩個實現之一中存在隨機故障時提供故障操作行為。目前只有一個并行實現處于活動狀態,盡管備用(冗余)路徑可能會定期自檢以檢測潛在故障。如果主路徑發生故障,可以選擇第二條路徑以確??捎眯浴?/p>
圖 6:全冗余架構。
這種方法基于這樣的假設,即系統故障不太可能同時影響兩個實現,但通過在兩條路徑中使用不同的組件,可以將系統故障的影響降至最低。這被稱為多元化。缺點包括硅元件數量翻倍,因此增加了整體系統成本。
架構變體 2
第二種變體(圖7)使用單個CAN總線連接傳感器融合、處理和執行器組件。這避免了重復CAN總線結構(即電纜),而是使用新型CAN收發器,允許在網絡結構內的單個故障下運行。區域內CAN可用性得到提高,而骨干網絡保持完全冗余。它節省了與冗余收發器相關的費用和布線的重量,同時允許與完全冗余架構相同的可用性。
圖 7:CAN 和主干網提高了可用性。
架構變體 3
第三種變體的特點是不重復處理模塊和以太網交換機,如圖8所示。
圖 8:處理器可用性改進和完全冗余網絡。
并行運行的第二個處理器提高了處理模塊的可用性。此處理器可能具有較低的性能規格,因此必須采用故障降級的操作模式。對于某些用例,這是可以接受的,例如安全地將車輛移開道路。
架構變體 4
第四種變體(圖 9)將區域內 CAN 和處理可用性改進與完全冗余的主干網絡相結合。這種布置提高了CAN和處理可用性,從而節省了變體2中的電纜,減少了變體3中的控制器模塊數量。
圖 9:使用冗余主干網提高區域內 CAN 和處理器可用性。
車輛網絡架構的未來
更高水平的車輛自主性避免了人類參與駕駛過程。在這些更高的級別上,自動駕駛系統必須無法進入運行狀態。盡管完全冗余是滿足此要求的不切實際的解決方案,但深思熟慮地采用可用性改進的通信和處理功能可以以較低的總體系統成本實現相同的可用性。
車輛網絡架構正在轉向區域架構,旨在支持更強大的功能,同時最大限度地減輕車輛重量和成本。另一方面,區域化需要仔細設計,以確保安全關鍵系統(如自動制動)能夠達到所需的ASIL。我們已經表明,與傳統的車輛網絡拓撲相比,區域網絡中由于車載網絡的貢獻而違反安全目標的平均概率顯著增加。
審核編輯:郭婷
-
控制器
+關注
關注
112文章
16422瀏覽量
178867 -
CAN總線
+關注
關注
145文章
1955瀏覽量
130938 -
自動駕駛
+關注
關注
784文章
13905瀏覽量
166748
發布評論請先 登錄
相關推薦
評論