一���、目前市場上主流的ADAS解決方案大體分為兩種:
1.以Mobileye為首的使用采用SmartSensor的解決方案,即在SensorECU給出識別對象信息�����,給到ADASECU做決策與執(zhí)行機構控制�����。
2.以Aptiv等Tier1為主導的域控制器方案,攝像頭激光雷達直接傳遞RawData給到域控制器���,域控制器進行決策并控制執(zhí)行機構�����。
方案一:
在整車電子電器架構的設計上相比方案二較為簡單�����,傳感器供應商可以直接通過CAN通訊給出車輛執(zhí)行機構所需要的信息�����,以傳統(tǒng)攝像頭模組搭配CAN通訊的組合可以很輕松的達到ASILB的等級�����,但由于單一傳感器在探測能力上面的局限性���,對于Level3以上的功能如高速公路自動駕駛、城鎮(zhèn)自動駕駛等復雜場景來講本方案在乘用車上難以落地����。
方案二:
以域控制器為自動駕駛大腦的解決方案在奧迪新款zFAS平臺上大放異彩���,作為全球第一款量產Level3車型,TTTech&Mobileye&Aptiv對該域控制器做出了大量貢獻���。同時該產品的面世也證明了域控制器將為高階自動駕駛功能的實現(xiàn)提供技術支持和安全保障���。在此膜拜Aptiv!
這里補充一個對于CAN通訊的解釋���,在Ethernet通訊如此火熱的今天為什么還要在ADAS系統(tǒng)上繼續(xù)選擇CAN通訊?CANFD是否將被使用��?
答:對于ASILB以上的安全要求�����,在架構上傳統(tǒng)的Ethernet不足以符合要求���,目前各大廠家采用的傳感器通訊解決方案大多為Maxim的GMSL或傳統(tǒng)CAN��。CANFD將會在下一代量產車型中被使用��。根據CiA(CANinAutomation)主席HolgerZeltwanger先生的預測�����,CANFD的商用將于2022年初步實現(xiàn)�����。
二����、域控制器解決方案功能安全分析
ISO26262-456分別對系統(tǒng)、軟件����、硬件做出了詳細的設計與驗證規(guī)范,下面將以這三個維度對域控制器方案做進一步分析����。
系統(tǒng)方面:
在系統(tǒng)架構上,域控制器作為整車電子電器中的一員�����,與其他ECU在安全等級上ASILD的要求并無二致��,在量產車的解決方案上對上承接Conti,Dephi����,Bosch,Sony等大廠冗余的傳感器���,對下與BoschESPEPBEPS等全家桶緊密結合���,加之Baidu,四維圖新等廠的高精度地圖信息加持�����,基本可滿足全部Level2的功能需求與部分Level3的功能需求����。對于系統(tǒng)ASILD的設計來說���,冗余是一種途徑�����,SafeStop則是最終的結果���。對于冗余的解釋為:域控制器內部冗余和除Lidar外的傳感器均采用傳感器及其通訊冗余策略以達到ASILB的標準��,即多傳感器多路通訊����;對于SafeStop的解釋為:對于任何一種系統(tǒng)失效(硬件��、軟件)的發(fā)生�����,系統(tǒng)都可以完成對駕駛員的警示和路權交接或安全停車以保證駕駛員的安全����。
軟件方面:
在軟件架構方面,對于標準軟件:Vector的PREEvision���、VectorCAST等大禮包負責ClassicalAUTOSARBSW中RTE�����、RTOS�����、Mem���、ECUAbstraction�����、Diag��、CommunicationProtocal等下層服務����,Mathwork的大禮包用于應用層服務�����,BSP則由芯片廠商提供�����。這種約定俗成的定制方案可以解決大部分MISRA需求����,但對于神經網絡的存在目前并無低成本的、可靠的���、復用性強的方案出現(xiàn)����。這部分黑盒的存在引入了SOTIF的概念并導致了Validation策略和框架對比傳統(tǒng)ECU的變化����。
這里馬克一下RTE和SOTIF,目前絕大多數廠商的Demo都是基于ROS的框架搭配Unix系統(tǒng)實現(xiàn)�����,個人的理解為缺點是不能量產��、安全等級低��,優(yōu)點是低硬件依賴度���、更適應快速迭代開發(fā)的過程�����。SOTIF目前還未推出正式版本�����,在當前版本的SOTIF中���,系統(tǒng)需求���,場景分析和測試都被重點提及,測試方面會后續(xù)說明����。
硬件方面:
對于域控制器的硬件方案來說,ASILD是必備的��,目前各家半導體廠商均給出了自家的拳頭產品����,其中較為出色的就是Nvidia的DrivePX、Pegasus系列����,Renesas的R-Car系列,NXP的BlueBox系列��。對于硬件來說“概念林志玲�����,量產羅玉鳳”的情況不大可能出現(xiàn)�����,而且域控制器中并不一定所有的SoC都需要ASILD����,在SoC的選擇上ASILD的SoC通常用于執(zhí)行機構的控制和診斷,其他QM��、ASILA���、ASILB的SoC則負責感知和計算���,SoC間互相監(jiān)控冗余,也可以做到ASILD的效果���。在實際項目中往往其最大的風險來自于量產的時間���。
在這種高冗余的設計模式下,自動駕駛系統(tǒng)可以完成理論上ASILD的實現(xiàn)����。但ASILD并不代表絕對的安全�����,功能安全是一種藝術�����。在自動駕駛系統(tǒng)開發(fā)的過程中����,被所有人質疑的神經網絡模型將使用新的Validation策略和框架予以驗證�����。
個人認為Validation是在自動駕駛量產過程中非常大的難題����,對于如此特殊的系統(tǒng)來說,好的軟件開發(fā)決定了基礎�����,而好的驗證則決定了客戶及市場的滿意度���。
Validation方面:
自動駕駛的驗證在內容上不再局限于單元測試����,集成測試����,軟件測試,系統(tǒng)測試����,系統(tǒng)集成測試,整車測試等幾塊VCycle的定義��。由于在SOTIF中SimulationScenario的提出�����,Validation被賦予了更重要的意義�����,對于黑盒系統(tǒng)�����,新形式系統(tǒng)測試和整車測試不但可以增加產品置信度,更可以加速產品迭代效率�����,增加黑盒可靠性�����。一般來說系統(tǒng)測試及之后的測試內容會分為三塊����,功能測試,系統(tǒng)測試����,和整車測試,對于三塊不同的測試內容����,ASPICE中對于測試覆蓋度和測試深度對于同的安全目標有著詳細的定義,ISO26262中也針對不同的安全等級做出了不同的推薦����。最后,各大歐洲主機廠的量產方案大多以“脫離比例”為SoftwareRelease指標����,這點在各大SafetyReport上也可見一斑����。
三��、個人感想
自動駕駛的系統(tǒng)設計最終很可能偏離傳統(tǒng)的汽車電子路線�����,AdaptiveAUTOSAR和SOTIF等新標準的出現(xiàn)證明了這一點���,但無論如何,ISO26262的意義不僅針對最終的產品�����,更存在于每個汽車電子工程師點滴的產品開發(fā)生涯中�����,產品手中過����,安全心中留�����。
返回首頁 
網站客服
粵公網安備 44030402000946號