時(shí)間:2018-12-04 10:47:45來源:網(wǎng)絡(luò)轉(zhuǎn)載
一、目前市場上主流的ADAS解決方案大體分為兩種:
1.以Mobileye為首的使用采用SmartSensor的解決方案,即在SensorECU給出識別對象信息,給到ADASECU做決策與執(zhí)行機(jī)構(gòu)控制。
2.以Aptiv等Tier1為主導(dǎo)的域控制器方案,攝像頭激光雷達(dá)直接傳遞RawData給到域控制器,域控制器進(jìn)行決策并控制執(zhí)行機(jī)構(gòu)。
方案一:
在整車電子電器架構(gòu)的設(shè)計(jì)上相比方案二較為簡單,傳感器供應(yīng)商可以直接通過CAN通訊給出車輛執(zhí)行機(jī)構(gòu)所需要的信息,以傳統(tǒng)攝像頭模組搭配CAN通訊的組合可以很輕松的達(dá)到ASILB的等級,但由于單一傳感器在探測能力上面的局限性,對于Level3以上的功能如高速公路自動駕駛、城鎮(zhèn)自動駕駛等復(fù)雜場景來講本方案在乘用車上難以落地。
方案二:
以域控制器為自動駕駛大腦的解決方案在奧迪新款zFAS平臺上大放異彩,作為全球第一款量產(chǎn)Level3車型,TTTech&Mobileye&Aptiv對該域控制器做出了大量貢獻(xiàn)。同時(shí)該產(chǎn)品的面世也證明了域控制器將為高階自動駕駛功能的實(shí)現(xiàn)提供技術(shù)支持和安全保障。在此膜拜Aptiv!
這里補(bǔ)充一個(gè)對于CAN通訊的解釋,在Ethernet通訊如此火熱的今天為什么還要在ADAS系統(tǒng)上繼續(xù)選擇CAN通訊?CANFD是否將被使用?
答:對于ASILB以上的安全要求,在架構(gòu)上傳統(tǒng)的Ethernet不足以符合要求,目前各大廠家采用的傳感器通訊解決方案大多為Maxim的GMSL或傳統(tǒng)CAN。CANFD將會在下一代量產(chǎn)車型中被使用。根據(jù)CiA(CANinAutomation)主席HolgerZeltwanger先生的預(yù)測,CANFD的商用將于2022年初步實(shí)現(xiàn)。
二、域控制器解決方案功能安全分析
ISO26262-456分別對系統(tǒng)、軟件、硬件做出了詳細(xì)的設(shè)計(jì)與驗(yàn)證規(guī)范,下面將以這三個(gè)維度對域控制器方案做進(jìn)一步分析。
系統(tǒng)方面:
在系統(tǒng)架構(gòu)上,域控制器作為整車電子電器中的一員,與其他ECU在安全等級上ASILD的要求并無二致,在量產(chǎn)車的解決方案上對上承接Conti,Dephi,Bosch,Sony等大廠冗余的傳感器,對下與BoschESPEPBEPS等全家桶緊密結(jié)合,加之Baidu,四維圖新等廠的高精度地圖信息加持,基本可滿足全部Level2的功能需求與部分Level3的功能需求。對于系統(tǒng)ASILD的設(shè)計(jì)來說,冗余是一種途徑,SafeStop則是最終的結(jié)果。對于冗余的解釋為:域控制器內(nèi)部冗余和除Lidar外的傳感器均采用傳感器及其通訊冗余策略以達(dá)到ASILB的標(biāo)準(zhǔn),即多傳感器多路通訊;對于SafeStop的解釋為:對于任何一種系統(tǒng)失效(硬件、軟件)的發(fā)生,系統(tǒng)都可以完成對駕駛員的警示和路權(quán)交接或安全停車以保證駕駛員的安全。
軟件方面:
在軟件架構(gòu)方面,對于標(biāo)準(zhǔn)軟件:Vector的PREEvision、VectorCAST等大禮包負(fù)責(zé)ClassicalAUTOSARBSW中RTE、RTOS、Mem、ECUAbstraction、Diag、CommunicationProtocal等下層服務(wù),Mathwork的大禮包用于應(yīng)用層服務(wù),BSP則由芯片廠商提供。這種約定俗成的定制方案可以解決大部分MISRA需求,但對于神經(jīng)網(wǎng)絡(luò)的存在目前并無低成本的、可靠的、復(fù)用性強(qiáng)的方案出現(xiàn)。這部分黑盒的存在引入了SOTIF的概念并導(dǎo)致了Validation策略和框架對比傳統(tǒng)ECU的變化。
這里馬克一下RTE和SOTIF,目前絕大多數(shù)廠商的Demo都是基于ROS的框架搭配Unix系統(tǒng)實(shí)現(xiàn),個(gè)人的理解為缺點(diǎn)是不能量產(chǎn)、安全等級低,優(yōu)點(diǎn)是低硬件依賴度、更適應(yīng)快速迭代開發(fā)的過程。SOTIF目前還未推出正式版本,在當(dāng)前版本的SOTIF中,系統(tǒng)需求,場景分析和測試都被重點(diǎn)提及,測試方面會后續(xù)說明。
硬件方面:
對于域控制器的硬件方案來說,ASILD是必備的,目前各家半導(dǎo)體廠商均給出了自家的拳頭產(chǎn)品,其中較為出色的就是Nvidia的DrivePX、Pegasus系列,Renesas的R-Car系列,NXP的BlueBox系列。對于硬件來說“概念林志玲,量產(chǎn)羅玉鳳”的情況不大可能出現(xiàn),而且域控制器中并不一定所有的SoC都需要ASILD,在SoC的選擇上ASILD的SoC通常用于執(zhí)行機(jī)構(gòu)的控制和診斷,其他QM、ASILA、ASILB的SoC則負(fù)責(zé)感知和計(jì)算,SoC間互相監(jiān)控冗余,也可以做到ASILD的效果。在實(shí)際項(xiàng)目中往往其最大的風(fēng)險(xiǎn)來自于量產(chǎn)的時(shí)間。
在這種高冗余的設(shè)計(jì)模式下,自動駕駛系統(tǒng)可以完成理論上ASILD的實(shí)現(xiàn)。但ASILD并不代表絕對的安全,功能安全是一種藝術(shù)。在自動駕駛系統(tǒng)開發(fā)的過程中,被所有人質(zhì)疑的神經(jīng)網(wǎng)絡(luò)模型將使用新的Validation策略和框架予以驗(yàn)證。
個(gè)人認(rèn)為Validation是在自動駕駛量產(chǎn)過程中非常大的難題,對于如此特殊的系統(tǒng)來說,好的軟件開發(fā)決定了基礎(chǔ),而好的驗(yàn)證則決定了客戶及市場的滿意度。
Validation方面:
自動駕駛的驗(yàn)證在內(nèi)容上不再局限于單元測試,集成測試,軟件測試,系統(tǒng)測試,系統(tǒng)集成測試,整車測試等幾塊VCycle的定義。由于在SOTIF中SimulationScenario的提出,Validation被賦予了更重要的意義,對于黑盒系統(tǒng),新形式系統(tǒng)測試和整車測試不但可以增加產(chǎn)品置信度,更可以加速產(chǎn)品迭代效率,增加黑盒可靠性。一般來說系統(tǒng)測試及之后的測試內(nèi)容會分為三塊,功能測試,系統(tǒng)測試,和整車測試,對于三塊不同的測試內(nèi)容,ASPICE中對于測試覆蓋度和測試深度對于同的安全目標(biāo)有著詳細(xì)的定義,ISO26262中也針對不同的安全等級做出了不同的推薦。最后,各大歐洲主機(jī)廠的量產(chǎn)方案大多以“脫離比例”為SoftwareRelease指標(biāo),這點(diǎn)在各大SafetyReport上也可見一斑。
三、個(gè)人感想
自動駕駛的系統(tǒng)設(shè)計(jì)最終很可能偏離傳統(tǒng)的汽車電子路線,AdaptiveAUTOSAR和SOTIF等新標(biāo)準(zhǔn)的出現(xiàn)證明了這一點(diǎn),但無論如何,ISO26262的意義不僅針對最終的產(chǎn)品,更存在于每個(gè)汽車電子工程師點(diǎn)滴的產(chǎn)品開發(fā)生涯中,產(chǎn)品手中過,安全心中留。
標(biāo)簽:
中國傳動網(wǎng)版權(quán)與免責(zé)聲明:凡本網(wǎng)注明[來源:中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國傳動網(wǎng)(m.u63ivq3.com)獨(dú)家所有。如需轉(zhuǎn)載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個(gè)人轉(zhuǎn)載使用時(shí)須注明來源“中國傳動網(wǎng)”,違反者本網(wǎng)將追究其法律責(zé)任。
本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請保留稿件來源及作者,禁止擅自篡改,違者自負(fù)版權(quán)法律責(zé)任。
相關(guān)資訊