L1,L2,L3輔助駕駛滿足ISO26262相對來說是「很容易」的,
而L4和L5自動駕駛滿足ISO26262目前來說就是一個」不可能「事件。
原因也很簡單:
在HARA分析的時候,需要對Severity(嚴重程度),Exposure (潛在發生機率)和 Controllability(可控度)來進行評價。
ADAS相關的控制在Severity上肯定是最高級別S3,Exposure肯定都是常見的駕駛環境E4,而Controllability對於L4和L5自動駕駛來說因為沒有駕駛員基本就是不存在的,完全需要依靠ECU來控制,於是Controllability的等級是C3。
S3+E4+C3的話ASIL等級就是D。。。
ASIL D是主機廠都想盡量避免的ASIL等級。從A到D,研發成本指數級上升:
比如所有傳感器都要滿足ASIL D要求,否則就要用FTA(Fault Tree Analysis)來分解和做冗余設計。而目前一般的傳感器都是QM或者ASIL A的,ASIL B的硬體都很少見,ASIL D的話就意味著大多數控制器輸入都要做多重冗余。。。
如果說傳感器冗余設計只是成本和開發周期問題的話,那麽ASIL D的測試要求對於自動駕駛來說就是mission impossible。
比如對於ASIL C和ASIL D的零部件系統,都必須要有Fault Injection的測試,保證控制系統在註入錯誤的時候功能安全軟體模組會及時響應並保證整體系統不違背Safety Goal。
對於一般的非自動駕駛系統這個測試是相對容易的,因為有駕駛員的存在一般Safety Goal都和環境相對獨立。。。比如在高速上意外橫向或者縱向加速度不能高於XXX,和具體你是在中國開車,美國開車,路上有沒有其他障礙物,是否在過彎,限速多少等等都沒關系。
這個時候我們只需要對最差的情況進行測試就可以了(worst scenario)。
但是自動駕駛就是完全不一樣的情景。就像問題裏所提到的,針對L4,L5等級的自動駕駛,因為沒有駕駛員,Safety Goal不僅要覆蓋縱向加速度,還需要覆蓋轉向機構,而且必須要針對不同的駕駛工況和環境,是否有障礙物,城市還是郊區,是否是封閉道路,限速多少,是否有行人等等都會導致滿足Safety Goal的具體控制策略差異。
於是類似Fault Injection這樣的測試就變得無比復雜,理論上是要覆蓋所有可能的駕駛工況的,但這個在實際操作上根本無法實作,因為不同的國家,不同的路況,不同的駕駛環境有無數種排列組合。。。也就是說以目前的標準,L4和L5基本無法保證完整的安全。
關於題主的問題:
- 傳感器冗余設計一方面取決於HARA的結果,L4和L5的自動駕駛ASIL D沒跑,傳感器肯定要有冗余。具體有多少個冗余取決於每個傳感器所能滿足的ASIL等級以及互動檢查(correlation)的策略,不可能一概而論。
- 關於失效之後的情況,我猜你想問的是功能安全的監控策略。再一次,這個取決於你具體的Safety Goal和傳感器失效的程度,也取決於每個車企各自主觀評價分析。這裏只能舉一個可能的策略的例子:比如如果是部份失效但是可控的情況,那麽多由診斷策略來控制(safety mitigation),采取譬如向乘客警示,限制軔力,選擇安全地點停車這樣的策略。但如果是關鍵系統失效的話,情況就要復雜的多。一方面從傳統Safety的理念考慮,應該讓車輛降扭為0並且穩定在當前車道停車,但是因為完全自動駕駛,和前面提到的一樣,這個策略又必須和是否有障礙物,是否過彎,是否有行人等等環境因素結合起來。。。
據我目前看到的情況,車企量產計劃中只到L3為止,L4和L5離我們還很遠很遠。
不考慮功能本身,只是功能安全這一項,如何適應ISO標準的要求就是個大大的問號,這裏還沒有考慮額外的巨額成本。
所以目前看到的L4計畫,大多是內部研發沒有具體量產計劃的原型車,這個時候是否滿足功能安全要求也就沒那麽重要了。
