内容提要：本连载学习课堂分为三章，此为第一章，ADS 所面临的普遍问题和挑战。

连载学习课堂：

ADAS（高级驾驶辅助系统）是ADS（自动驾驶系统）这个大概念的一部分。基于现有 ADAS 的高度连接和联网的信息物理系统，可以实现比较先进的 ADS 功能。

自动化需要信息与其环境的交互，这些交互增加了系统的复杂性。为了确定预期的系统行为，必须知道所有可能的交互所产生的作用，以便识别 ADS 的所有失效，这些失效可能会通过系统边界传递，导致其他系统失效。隐形连接能够影响非期望的系统运行状态，使其不能被识别为失效模式。

在复杂的汽车系统中，功能安全是降低失效引起的安全关键风险的重要课题。

本连载学习课堂分为三章，重点讨论以下几个方面：

第一章：ADS 所面临的普遍问题和挑战

第二章：ADS 在功能安全方面所面临的挑战

第三章：在功能安全的概念阶段，如何对 ADS 的具体项目进行功能抽象？（包含：相关项定义、HARA、ASIL、安全目标和 FSC 五个详细步骤）

第四章：为了解决复杂的 ADS 系统中的安全分析问题，详细介绍了三种技术：MBSE、CBD以及仿真和协同仿真技术

在过去的30年里，汽车行业的E/E系统技术已经实现了许多重大创新，例如，1978年的防抱死制动系统（ABS）、1995年的电子稳定程序（ESP）和2010年的防撞系统（见图1）。

图1：高级车辆功能的演变

新一代高级驾驶辅助系统（ADAS）更加复杂，主要体现在两个方面：

从技术角度来看，引进新技术来实现所需功能。

从组织的角度来看，涉及到整个供应链，包括汽车生命周期中不同种类服务和产品的供应商。

我们将重点讨论技术方面的问题，以及自动驾驶功能的挑战和如何应用现有的 ISO 26262 汽车功能安全标准。

01从 ADAS 到 ADS

如今，市面上的每辆汽车都或多或少配置了驾驶辅助系统（如电子稳定控制 - ESC）。出于安全角度考虑，一些豪车还配备了各种附加的ADAS功能（如自适应巡航控制-ACC）。这些配置能减少致命事故的发生。然而，90%以上的事故仍然是由于人类的不当行为或错误操作而发生的。因此，如何通过在汽车中引入 ADS 来减少人为因素造成的交通事故，对欧盟来言，是一个重要的课题。

表1

表1中展示了SAE在标准J3016中对道路车辆驾驶自动化的不同定义，以及BASt和NHTSA的建议，并进行了比较。各个标准/建议所提出的等级之间的比较可以达到BASt的L4级，即"完全自动化"（见表1中的蓝线）。

驾驶系统的演变(根据BASt/Lx.Level x的定义)：

L0. 仅限驾驶员 - 驾驶员辅助舒适系统（如限速器）。

责任人：驾驶员

安全状态：驾驶员始终控制车辆

L1. 辅助 - 高级驾驶辅助提供安全改进，ADAS支持驾驶员的驾驶行为（如EBA、ACC、LKA）。

责任人：驾驶员

安全状态：驾驶员完全控制车辆

L2. 部分自动化 - 驾驶系统在少数情况下进行一定时间的横向和纵向控制（如高速公路辅助）。

责任人：驾驶员

安全状态：驾驶员完全控制车辆

L3. 高度自动化 - 驾驶系统在特定情况下控制横向和纵向运动一定时间（如motorway chauffeur 技术）。

责任人：驾驶员或系统

安全状态：驾驶员在特定的时间范围内完全控制车辆，或者如果驾驶员没有完全控制车辆，系统必须在规定的驾驶情况下控制车辆。

L4. 全自动 - 驾驶系统在规定的应用情况下，对横向和纵向运动有完全的控制能力(如机动车道试点)

责任人：系统

安全状态：系统在某些驾驶情况下控制车辆

在SAE J3016中，最高级别是 "完全自动化"，也就是能够在没有驾驶员的情况下自动驾驶的车辆。本文暂时不讨论这个级别，目前的技术达不到。

未来几年，在引入自动驾驶功能同时，驾驶员的作用还是很重要的。对于高度的自动化，不应该要求驾驶员去应对出现的关键驾驶情况。如果出现了紧急情况，则自动驾驶系统应该能够自主处理任何一种驾驶情况 - 但这个概念仍然是一个前景预期，有望在2025-2035年左右成为现实。

过去，各大汽车制造商在独立完成的基础上实现车辆特定的 ADAS 功能，对这些相同的功能，OEM的功能命名还各不相同，例如自适应巡航控制（ACC）、主动巡航控制（ACC）、协同自适应巡航（CACC）、车距保持系统（Distronic Plus）。

为了保证汽车整车厂（OEM）的特定原创性，汽车功能本身以及操作和用户交互通常略有不同。对于自动驾驶系统功能，其自动化程度必须统一，否则，如果驾驶员在没有经过培训或取得NHTSA推荐的自动化车辆专用扩展驾驶执照，驾驶员将无法操作不同系统。

想要解决这个问题，一个重要方面就是让所有 OEM 的自动驾驶系统功能标准化和统一化。标准化不仅包括车辆本身，还包括实现自动驾驶系统功能所需的生态系统整体方面，如基础设施（如地图数据）或环境（如安全的C2X通信）。比如在航空领域，规则制定咨询委员会ARAC统一了所有的航空专用标准（如系统失效、空中交通状况不确定和人为因素故障）。

汽车行业也已经意识到有必要为公路车辆设立这样一个类似于航空领域的规则制定咨询委员会，因为未来的自动车辆，不会像过去的车辆那样，是一个独立的封闭系统了。

如果将航空业的安全规定和公路交通的安全标准相比较，ISO 26262标准只涵盖了系统安全规定的一个部分。举例来说，更像是对驾驶员的警告，支持驾驶员做出适当的反应，对驾驶员反应的反馈等等，关于自动驾驶系统与驾驶员的互动是我们非常关心的方面。只有明确了车辆的反应，驾驶员才能知道哪些动作是由车辆自行完成的，才能在需要时，在特定的驾驶情况下，期望驾驶员做出正确的决定或反应。

02 ISO 26262标准的功能安全

安全是道路车辆发展的首要且关键问题。创新车辆功能不能仅看作是为了增加驾驶辅助功能而增设的。越来越多的关于动力、车辆动态控制以及主动和被动安全系统已进入系统安全工程领域。这些功能的开发和集成使得在系统开发时，工作人员必须认真考虑安全问题，并提供证据证明实现了所有合理的系统安全目标。

图2：不同的安全等级（LoS）

LoS1. 与产品耐用性有关的安全问题，其中必须涵盖产品的安全方面，以获得在特定客户市场上推出该产品的许可(例如高压系统的电气安全)。

LoS2. 功能安全，对机电系统中任何类型的失效(如可能导致危险事件的机械部件失效)进行跨部门的观察。

LoS3. 功能安全，强调电气和/或电子(E/E)系统的产品类型的失效(例如，必须监测和处理硬件内的失效，以实现系统的安全状态。对于汽车行业来说，这就意味着必须满足ISO 26262标准。

ISO 26262《道路车辆 - 功能安全》是通用工业功能安全标准 IEC 61508 的汽车行业专用衍生标准。ISO 26262于2011年11月发布，是乘用车E/E系统的最新国际标准。它为汽车E/E系统的设计、开发、生产、服务过程和正式停止使用的完整安全生命周期提供了结构化的通用方法。ISO 26262将汽车安全完整性等级(ASIL)定义为项目的安全关键危险情况的风险分类参数。这是安全生命周期中所有后续安全活动的重要参数。ASIL可以看作是一个参数，说明了要达到可容忍的风险水平时可以降低的风险要求。

整个系统工程必须包括可靠性、可用性、可维护性、信息安全和（功能）安全性等系统的各种特性。可靠性工程与安全工程和系统安全密切相关。两者采用相同的方法进行分析，并需要彼此有输入端。通常，可靠性工程主要侧重于系统停机引起的失效成本、备件成本、维修设备成本、人员成本和保修索赔成本。安全性工程通常不强调成本，而是强调对生命和自然的保护。因此，安全性工程只处理特定的安全关键和危险的系统失效模式。安全性和可靠性是不同的特性。一个系统可以是可靠但不安全的，同时也可以是不安全但可靠的(见图3)。此外，在某些情况下，这些属性甚至会相互冲突。

图3：不可靠和不安全场景之间的关系

ISO 26262标准规定："即使 ISO 26262（如主动和被动安全系统、制动系统、自适应巡航控制）存在专门的功能性能标准，但该标准不涉及E/E系统的标称性能。" ASIL不是自动驾驶系统功能的其他系统属性（如可维护性、可靠性、可用性）的标称性能指标。在对特定范围的某些分析中，需要研究其他问题的具体指标(如可维护系统的平均维修时间(MTTR))。

通过向 ISO 26262 标准引入要求和建议的方式，ISO 26262 标准提供了相关指导，以降低系统开发失败的风险，同时能应对E/E系统的复杂性。然而，遵守该标准对企业来说是一个巨大的挑战，因为ISO 26262设定了要求和建议，但并没有明确规定在特定的应用环境中应该如何有效地实施这些要求和建议。为了在特定的应用中实施ISO 26262 的要求和建议，功能安全方面的专家知识必须针对特定的应用对ISO 26262 进行深思熟虑的论证和记录。

ISO26262是一种基于V模型的系统工程方法，其特点是自上而下。标准从系统的系统(SoS)层面开始，然后到子系统和组件层面，再到硬件(HW)和软件(SW)模块的实现层面。在HW和SW的实施和验证之后，在V模型的右侧采用自下而上的方法进行集成：即通过HW和SW模块在组件中的集成（如ECU中的HW+SW），组件在子系统中的集成（如ECU中的HV电池），子系统到系统的集成（如动力系统中的HV电池），系统在SoS中的集成（如车辆中的动力系统）。

03 ADS所面临的普遍问题及挑战

与“传统”汽车电子系统相比，汽车自动化系统面临着有效性、可用性和可靠性方面的各种挑战。本章主要介绍了ADS开发过程中所面临的与汽车安全性相关的各种挑战。

— 提高ADS的有效性

通常情况下，相互协作和交互以支持正常运行的元素或组件的集合体统称为系统。在一个系统中，交互是指通过物质、能量和信息（组件关系）之间的交流来实现各组件交换的过程。一旦发生失效，系统应该能够通过容错处理做出反应，从而捕获故障—以保证“系统及其预期功能继续有效”。

作为一种系统属性，安全旨在通过精确的错误检测来避免系统失效或失效导致任何实质性损坏（如人身伤害或环境破坏）。如果检测到错误，系统必须切换到被动安全状态，从而失去可用性或可靠性，以确保安全（失效完整性）。由于ADS的安全并不意味着系统的可用或安全，所以系统中的属性（如可用性、可靠性、安全性、保密性）对于整个系统的影响必须相互协调和平衡。

更高有效性的系统架构是保证系统可用性和失效运行特性的前提。因此，需不断扩充系统中的组件数量及其之间的交互，从而努力增加系统安全性并提高有效性。另外，当通过增加组件之间的非线性功能来进行重复地相互作用时，也会产生意想不到的效果。一个复杂系统中最重要的属性包括：

• 非透明—仅部分系统及其组件的状态、交互和行为已知；

• 灵敏度—系统结果因意外改变而受到干扰；

• 不稳定性—极小的干扰会导致未知、有害的系统行为；

• 内部动态—系统状态因系统本身而发生连续变化，且不受任何外部影响。

以上属性会促使其他故障的出现并将故障识别复杂化。尽管设置了最简单的组件和交互作用，但整个系统仍会生成无法从特定组件派生的形式、模式和行为动态。此属性称为突现，它是由系统组件的各种信号反馈引起的。

现实抽象化是一种常见的开发方法，它通过构建一个模型来简化现实状态并捕获系统典型的行为。因为并未考虑所有影响组件的参数（例如温度和摩擦），所以模型的状态空间始终小于现实世界的状态空间，且组件模型的合成无法显示所有操作状态或链接条件，特别是可能导致不良影响的和隐藏的链接。

在系统建模期间，组件之间未识别的以及不同集成度的联结可能会导致系统性失效。这些不透明的链接和对信号的反应会造成不良影响，包括突现（自发的系统行为，由最低水平的最小状态变化导致的自发无法直接推导的系统行为）、常见失效（单个失效、以及多个组件失效），驱动失控（未在概念或信号流中指定的功能被激活）和隐藏连接（系统中非预期的未被标识为失效的运行状态）。在这些情况下，当错误状态不可见时，系统将无法正常工作，并且可能导致系统中所有安全存储数据的丢失。由于功能链未知，必须在系统设计过程中发现这些不透明链接，否则已实施的安全机制会无效且无法激活。

为及时控制上述影响并防止造成伤害，需要通过安全的系统设计和增加系统的透明度来掌握复杂的系统任务。设计的质量、鲁棒性和容错性取决于所应用开发程序的预测潜力。

— 严格的ADS可用性和可靠性要求

汽车系统的高度自动化意味着以往很多（或者全部）需要驾驶员执行的任务现在将由控制系统的正确操作来执行。也就是说，当驾驶员“不直接操作车辆”时，某个功能的失效（例如，无法执行自动制动或自动转向）比驾驶员“直接操作”时更为关键。在系统安全性方面，如果系统中检测到错误（如ESP或ASR之类的稳定功能或某些其他触发条件被激活），在告知驾驶员停用信息的情况下可快速停用某些半自动功能（例如常规巡航控制或自适应巡航控制）。在车辆连续数个小时的自动驾驶之后，自动驾驶能力可能会突然丧失，这对于自动驾驶系统的安全性来说是至关重要的。在极端情况下，车辆会继续完全自主运行，甚至导致驾驶员没有任何可能接管车辆控制的能力。

因此，随着全自动汽车驾驶的发展，确保自动功能完全可用就变得尤其重要，然而传统的仅仅依靠功能停用和告知驾驶员 “fail-safe”的设计解决方案已不再适用。为此，fail-safe 设计需将容错设计考虑在内，以保证功能在系统故障时的正常运行。

由于高度自动化驾驶功能的潜在失效可能会导致严重后果，所以针对功能相关的安全完整性提出了严格的要求，因为它直接决定了车辆的性能。然而，值得注意的是，包括制动系统和转向系统在内的许多常规系统也需要高水平的安全完整性。因此，完整安全性并非ADS功能与其他车辆功能之间的根本区别，但是自动化功能往往意味着更严格的安全要求。

作者：牛喀网特邀专家
牛喀网文章，未经授权不得转载！