基于ISO 26262的車道偏離預(yù)警系統(tǒng)設(shè)計(jì)

王曉龍 穆春陽(yáng) 馬行 張盼盼

摘 要： 為了實(shí)現(xiàn)車道偏離預(yù)警系統(tǒng)（ LDWS ）在參與汽車輔助駕駛時(shí)的安全功能，按照道路車輛功能安全I(xiàn)SO 26262標(biāo)準(zhǔn)定制了系統(tǒng)的設(shè)計(jì)流程。根據(jù)車道偏離預(yù)警系統(tǒng)的安全目標(biāo)和整車對(duì)其功能安全的要求，對(duì)系統(tǒng)架構(gòu)進(jìn)行了分層設(shè)計(jì)，并對(duì)安全子系統(tǒng)進(jìn)行詳細(xì)設(shè)計(jì)。在此基礎(chǔ)上，基于TMS320DM8168對(duì)車道偏離預(yù)警系統(tǒng)的硬件和軟件進(jìn)行了安全設(shè)計(jì)規(guī)范開(kāi)發(fā)，最后對(duì)系統(tǒng)的設(shè)計(jì)及規(guī)范進(jìn)行檢驗(yàn)。結(jié)果表明，該系統(tǒng)符合ISO 26262功能安全標(biāo)準(zhǔn)的要求，能實(shí)現(xiàn)整車的安全目標(biāo)。

關(guān)鍵詞： 汽車工程； 車道偏離； LDWS； 功能安全； ISO 26262

中圖分類號(hào)： TN919?34； U471.15 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）05?0164?04

0 引 言

由ISO國(guó)際標(biāo)準(zhǔn)化組織聯(lián)合IEC國(guó)際電工協(xié)會(huì)共同制定的ISO 26262道路車輛功能安全標(biāo)準(zhǔn)，源于電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508，目的是提高汽車電子、電氣產(chǎn)品功能安全[1]。該標(biāo)準(zhǔn)定義了汽車生命周期（管理，研發(fā)，生產(chǎn)，運(yùn)行，服務(wù)，退市）內(nèi)功能安全活動(dòng)的要求，現(xiàn)已成為歐洲汽車開(kāi)發(fā)的通用標(biāo)準(zhǔn)并受到世界各大汽車企業(yè)的廣泛關(guān)注，而中國(guó)各汽車企業(yè)尚處于對(duì)該標(biāo)準(zhǔn)的了解和嘗試應(yīng)用階段。

車道偏離預(yù)警系統(tǒng)（Lane Departure Warning System，LDWS）是汽車安全輔助駕駛技術(shù)研究中的重要組成部分，它是通過(guò)主動(dòng)警告疲勞或注意力不集中的駕駛員，使其修正無(wú)意識(shí)的車道偏離，從而減少車輛偏離行駛車道事故的發(fā)生[2?3]。早期車道偏離預(yù)警系統(tǒng)的研究主要集中在如何采用各種傳感器技術(shù)實(shí)現(xiàn)車道線檢測(cè)，辨識(shí)車輛在行駛中車道線的位置，進(jìn)而實(shí)現(xiàn)預(yù)警或控制。隨著研究的深入，道路車輛功能安全標(biāo)準(zhǔn)ISO 26262受到車道偏離預(yù)警系統(tǒng)開(kāi)發(fā)廠商及相關(guān)科研機(jī)構(gòu)的關(guān)注。下面介紹的車道偏離預(yù)警系統(tǒng)是基于標(biāo)準(zhǔn)ISO 26262的開(kāi)發(fā)流程進(jìn)行設(shè)計(jì)的。

1 基于ISO 26262的車道偏離預(yù)警系統(tǒng)開(kāi)發(fā)流程

道路車輛功能安全標(biāo)準(zhǔn)ISO 26262提供了關(guān)于汽車電子電氣系統(tǒng)生命周期、功能安全工作流程和管理流程的相關(guān)指導(dǎo)，并通過(guò)對(duì)開(kāi)發(fā)流程和工作文檔的操作規(guī)范來(lái)減少或消除車道偏離預(yù)警系統(tǒng)的潛在引起的危害[4]。根據(jù)ISO 26262中定義的汽車安全生命周期要求，車道偏離預(yù)警系統(tǒng)的開(kāi)發(fā)分為概念設(shè)計(jì)、產(chǎn)品設(shè)計(jì)和生產(chǎn)運(yùn)作3個(gè)開(kāi)發(fā)流程，如圖1所示。

其中，在概念設(shè)計(jì)階段，通過(guò)對(duì)車道偏離預(yù)警系統(tǒng)危險(xiǎn)事故的嚴(yán)重度，事故暴露的可能性及可控性的分析，確定了車道偏離預(yù)警系統(tǒng)的安全完整等級(jí)（ASIL）為汽車安全中的ASIL B級(jí)。產(chǎn)品設(shè)計(jì)開(kāi)發(fā)階段主要是設(shè)計(jì)出本系統(tǒng)的體系架構(gòu)，完成硬件的選型和軟件的設(shè)計(jì)等功能安全設(shè)計(jì)，其開(kāi)發(fā)流程與開(kāi)發(fā)汽車的“V”模基本相同，且硬件和軟件的開(kāi)發(fā)也遵循相似的小“V”型開(kāi)發(fā)流程。

2 車道偏離預(yù)警系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)設(shè)計(jì)

根據(jù)產(chǎn)品設(shè)計(jì)開(kāi)發(fā)階段設(shè)計(jì)出的車道偏離預(yù)警系統(tǒng)體系架構(gòu)，本系統(tǒng)主要由圖像采集單元、TMS320DM8168圖像處理控制單元、報(bào)警顯示單元、圖像存儲(chǔ)單元、其他控制單元CAN信號(hào)組成，其架構(gòu)簡(jiǎn)圖如圖2所示。

在車道偏離預(yù)警系統(tǒng)在運(yùn)行的過(guò)程中，安裝在駕駛室后視鏡處的CCD攝像機(jī)會(huì)拍攝整車行駛過(guò)程中的路況圖像，并在圖像處理單元TMS320DM8168中，經(jīng)車道線識(shí)別算法處理后得到車道標(biāo)志線、道路曲率半徑和側(cè)向偏移等道路動(dòng)態(tài)參數(shù)信息，進(jìn)而判斷是否向報(bào)警顯示單元發(fā)出控制指令，提示駕駛?cè)藛T和輔助控制整車。

2.2 系統(tǒng)的三層監(jiān)控設(shè)計(jì)

根據(jù)標(biāo)準(zhǔn)ISO 26262可將LDWS劃分為安全相關(guān)組件和非安全相關(guān)組件，其中非安全相關(guān)組件在整個(gè)車道偏離預(yù)警系統(tǒng)中占了極大比重，最重要的是ISO 26262對(duì)非安全相關(guān)組件的開(kāi)發(fā)沒(méi)有要求，對(duì)安全相關(guān)組件的開(kāi)發(fā)流程和開(kāi)發(fā)方法做出了非常嚴(yán)格要求[5]。如果將一個(gè)系統(tǒng)的所有組件（非安全和安全相關(guān)組件）都按照ISO 26262規(guī)定流程和設(shè)計(jì)方法進(jìn)行開(kāi)發(fā)制作，必定會(huì)使開(kāi)發(fā)成本大幅提高，造成資源、時(shí)間和人力的極大浪費(fèi)，也使開(kāi)發(fā)復(fù)雜度增加。因此，在對(duì)車道偏離預(yù)警系統(tǒng)開(kāi)發(fā)設(shè)計(jì)時(shí)采用了三層監(jiān)控概念，如圖3所示。

由圖3可知，車道偏離預(yù)警系統(tǒng)的控制器硬件部分分為兩個(gè)核，分別為系統(tǒng)功能實(shí)現(xiàn)控制器和安全監(jiān)控控制器。而在軟件上共分為三層，分別為：

第一層的基本功能控制層，是非安全相關(guān)的功能軟件，用來(lái)實(shí)現(xiàn)系統(tǒng)對(duì)各個(gè)功能模塊的基本驅(qū)動(dòng)控制。

第二層的功能監(jiān)控限制層，是安全相關(guān)的監(jiān)控軟件。主要作用是監(jiān)控第一層是否正確運(yùn)行，如果計(jì)算出來(lái)的道路參數(shù)信息不符合實(shí)際情況或錯(cuò)誤，則進(jìn)入無(wú)效模式，并通過(guò)發(fā)出允許的相關(guān)命令對(duì)第一層的功能進(jìn)行管控限制，使整車進(jìn)入安全狀態(tài)或盡量降低安全風(fēng)險(xiǎn)。

第三層的控制器監(jiān)控層，同樣是安全相關(guān)的監(jiān)控軟件。主要功能是利用其安全監(jiān)控控制器實(shí)現(xiàn)對(duì)功能實(shí)現(xiàn)控制器硬件故障及失效的檢測(cè)，盡量能夠診斷出失效硬件的位置，為維護(hù)起到指導(dǎo)作用。

根據(jù)以上分析，車道偏離預(yù)警系統(tǒng)的第二層和第三層需按照標(biāo)準(zhǔn)ISO 26262安全相關(guān)組件的開(kāi)發(fā)流程和要求進(jìn)行開(kāi)發(fā)，而第一層按照一般的E/E/PE開(kāi)發(fā)流程開(kāi)發(fā)即可。這樣的設(shè)計(jì)開(kāi)發(fā)模式即符合ISO 26262標(biāo)準(zhǔn)，實(shí)現(xiàn)系統(tǒng)的功能安全，又可最大程度的減少企業(yè)的開(kāi)發(fā)成本和工作量，實(shí)現(xiàn)雙贏。

2.3 系統(tǒng)的安全子系統(tǒng)設(shè)計(jì)

2.3.1 技術(shù)安全概念設(shè)計(jì)

技術(shù)安全概念是在系統(tǒng)設(shè)計(jì)的啟動(dòng)階段根據(jù)系統(tǒng)架構(gòu)提煉的功能安全需求創(chuàng)建的。針對(duì)車道偏離預(yù)警系統(tǒng)，技術(shù)安全概念設(shè)計(jì)如下：

（1） 根據(jù)LDWS的系統(tǒng)架構(gòu)和從整車得到的該系統(tǒng)功能安全概念，將安全相關(guān)的各個(gè)功能模塊詳細(xì)列出，再結(jié)合各模塊之間的信息傳遞和控制關(guān)系，進(jìn)而制定出本系統(tǒng)三層監(jiān)控概念中的第二層功能安全子系統(tǒng)邏輯框架，如圖4所示。

（2） 在圖4基礎(chǔ)上，結(jié)合故障樹(shù)分析（FTA）、預(yù)先危險(xiǎn)性分析（PHA）、危險(xiǎn)與可操作性分析（HAZOP）和影響分析（FMEA）等安全分析方法，制定出各模塊實(shí)現(xiàn)車道偏離預(yù)警系統(tǒng)功能安全的技術(shù)解決方案，并細(xì)化為模塊間的安全功能機(jī)制。

（3） 最后分配這些具體的技術(shù)安全需求到相應(yīng)的模塊與通信控制信號(hào)中，從而形成技術(shù)安全概念。

2.3.2 硬件的安全規(guī)范設(shè)計(jì)

標(biāo)準(zhǔn)ISO 26262對(duì)硬件的安全需求指標(biāo)分為硬件架構(gòu)失效率和隨機(jī)硬件失效率[1]，其中硬件架構(gòu)失效率主要由單點(diǎn)失效率和潛伏失效率組成，制定的用以評(píng)價(jià)系統(tǒng)在此方面的安全性量化指標(biāo)如表1，表2所示。

由于車道偏離預(yù)警系統(tǒng)實(shí)現(xiàn)的安全目標(biāo)最高ASIL 等級(jí)為ASIL B，且根據(jù)表1，表2可確定本系統(tǒng)安全目標(biāo)相關(guān)硬件指標(biāo)要求的參數(shù)（表中灰色部分）。同時(shí)考慮到本系統(tǒng)由攝像頭、TMS320DM8168和報(bào)警顯示等子系統(tǒng)組成，且上述參數(shù)指標(biāo)也僅是對(duì)各個(gè)子系統(tǒng)總指標(biāo)，因此，在安全目標(biāo)由多個(gè)子系統(tǒng)共同作用實(shí)現(xiàn)時(shí)，這些子系統(tǒng)失效率之和不能高于上述指標(biāo)。

在硬件開(kāi)發(fā)階段，LDWS的圖像處理單元、報(bào)警顯示等單元組件比較復(fù)雜，且系統(tǒng)中要求至少存在兩個(gè)控制核，因此為了達(dá)到標(biāo)準(zhǔn)ISO 26262的要求，這些組件都必須嚴(yán)格按照ISO 26262的開(kāi)發(fā)流程進(jìn)行設(shè)計(jì)開(kāi)發(fā)，并生成文檔保存。硬件和傳感器需按照ISO 26262的要求對(duì)其進(jìn)行功能安全資格驗(yàn)證，只要能滿足LDWS的安全參數(shù)要求，就可在安全子系統(tǒng)中使用。此外，可以通過(guò)增加冗余設(shè)計(jì)，減少單點(diǎn)隨機(jī)失效率和潛在隨機(jī)失效率，進(jìn)一步提升系統(tǒng)的硬件架構(gòu)指標(biāo)目標(biāo)值，實(shí)現(xiàn)安全目標(biāo)。

2.3.3 軟件安全規(guī)范設(shè)計(jì)

車道偏離預(yù)警系統(tǒng)安全子系統(tǒng)軟件安全規(guī)范設(shè)計(jì)主要是針對(duì)三層監(jiān)控系統(tǒng)的第二層功能監(jiān)控限制層設(shè)計(jì)的。由于在本設(shè)計(jì)LDWS中包含兩種不同安全等級(jí)的安全目標(biāo)：ASIL A和ASIL B，而標(biāo)準(zhǔn)ISO 26262對(duì)不同的安全等級(jí)的軟件設(shè)計(jì)實(shí)現(xiàn)和檢測(cè)效驗(yàn)流程有不同的要求，且具有向下兼容的原則?？紤]到采用不同的流程和檢測(cè)效驗(yàn)流程對(duì)軟件進(jìn)行開(kāi)發(fā)，會(huì)無(wú)形的增加LDWS的開(kāi)發(fā)工作量和開(kāi)發(fā)成本，延長(zhǎng)產(chǎn)品的開(kāi)發(fā)周期，因此功能監(jiān)控限制層軟件開(kāi)發(fā)全部按照ASIL B等級(jí)的開(kāi)發(fā)流程進(jìn)行開(kāi)發(fā)設(shè)計(jì)，其流程開(kāi)發(fā)實(shí)現(xiàn)原則如表3所示。其中：“++”表示最高的推薦指數(shù)；“+”表示建議使用；“0”表示不建議使用或不需使用；灰色標(biāo)注的為本設(shè)計(jì)選擇的開(kāi)發(fā)流程標(biāo)準(zhǔn)。

車道偏離預(yù)警系統(tǒng)安全子系統(tǒng)軟件設(shè)計(jì)的主要內(nèi)容為：評(píng)估和校驗(yàn)在整車行駛工程中計(jì)算出來(lái)的道路參數(shù)信息是否符合實(shí)際情況，是否計(jì)算發(fā)生錯(cuò)誤，并在此基礎(chǔ)上對(duì)報(bào)警提示控制單元發(fā)出相應(yīng)的允許或者不允許的執(zhí)行信號(hào)，從而使行駛中的整車在LDWS發(fā)生故障的情況下仍然處在安全狀態(tài)。

3 系統(tǒng)的檢驗(yàn)與評(píng)估

按照標(biāo)準(zhǔn)ISO 26262開(kāi)發(fā)流程設(shè)計(jì)出的車道偏離預(yù)警系統(tǒng)如圖5所示。道路參數(shù)和報(bào)警顯示單元的響應(yīng)速度進(jìn)測(cè)試數(shù)據(jù)如表4，表5所示。

表4為在晴天白天場(chǎng)景下測(cè)試過(guò)程中選擇的6個(gè)典型測(cè)試角度，由測(cè)量的偏離角度平均值[x]可知，經(jīng)車道偏離預(yù)警系統(tǒng)計(jì)算處理得到的車輛與車道線偏離角度與實(shí)際值基本相同。但是隨著角度的增大，標(biāo)準(zhǔn)差[σ]也隨之增大，且在30°時(shí)出現(xiàn)一次嚴(yán)重錯(cuò)誤，可見(jiàn)隨著偏離角度的增大，測(cè)得的數(shù)據(jù)波動(dòng)越嚴(yán)重，相對(duì)變得不穩(wěn)定，但相對(duì)于測(cè)試的300次，出現(xiàn)的概率為0.33%（見(jiàn)表6），仍為小概率事件。因此系統(tǒng)測(cè)量到的數(shù)據(jù)是可靠的。

由表5可知，報(bào)警顯示單元響應(yīng)速度能達(dá)到要求，且測(cè)量到的數(shù)據(jù)也符合相應(yīng)執(zhí)行機(jī)構(gòu)的規(guī)律和設(shè)計(jì)需求。機(jī)械結(jié)構(gòu)執(zhí)行時(shí)間要慢于電子器件，相對(duì)設(shè)計(jì)復(fù)雜的設(shè)備執(zhí)行時(shí)間要長(zhǎng)于簡(jiǎn)單設(shè)備的執(zhí)行時(shí)間。在不同場(chǎng)景進(jìn)行功能性測(cè)試，測(cè)試數(shù)據(jù)如表6所示。

從表6的數(shù)據(jù)可以得到光線強(qiáng)弱、行駛速度和路況清晰度對(duì)系統(tǒng)的正確執(zhí)行有影響。對(duì)比每一種場(chǎng)景的低速（35～40 km/h）和中速（65k～70 km/h）下的誤判率可知，車速快易造成誤判，經(jīng)分析確認(rèn)問(wèn)題為：系統(tǒng)使用的算法復(fù)雜度高，速度越快，實(shí)時(shí)性也越差。對(duì)比晴天白天、晴天傍晚和陰天三種場(chǎng)景下的誤判率可知：光線越暗越易出現(xiàn)誤判，其實(shí)質(zhì)是影響CCD攝像頭感光，使系統(tǒng)采集的圖像干擾噪聲增加，對(duì)車道線特征的提取造成了影響，但是誤判率依舊能保持3.00%以下。但是，在雨天和霧天測(cè)試時(shí)，誤判率明顯提高，分析原因?yàn)椋捍藞?chǎng)景下，行車周圍環(huán)境的能見(jiàn)度變低，使拍攝的道路圖像質(zhì)量變低，車道線特征明顯。通過(guò)以上分析說(shuō)明本文設(shè)計(jì)的系統(tǒng)是可行的，但相關(guān)算法有待優(yōu)化和提高，降低復(fù)雜度。

最后還需要根據(jù)ISO 26262道路車輛功能安全標(biāo)準(zhǔn)的要求，對(duì)系統(tǒng)及其各安全子系統(tǒng)進(jìn)行檢測(cè)確認(rèn)和評(píng)估。因?yàn)橄到y(tǒng)的最高安全等級(jí)為ASIL B，因此采用獨(dú)立性為i2的效驗(yàn)確認(rèn)和評(píng)估方法。效驗(yàn)確認(rèn)主要對(duì)所設(shè)計(jì)的系統(tǒng)的硬件安全計(jì)劃、FTA、FMEA和FMA進(jìn)行檢測(cè)驗(yàn)證，結(jié)果證明設(shè)計(jì)的系統(tǒng)在技術(shù)安全概念和功能安全概念上符合ISO 26262的要求。為了能夠?qū)ο到y(tǒng)的各個(gè)安全子系統(tǒng)進(jìn)行評(píng)估，在LDWS的開(kāi)發(fā)過(guò)程中，共設(shè)置了3個(gè)評(píng)估節(jié)點(diǎn)，以方便在不同的開(kāi)發(fā)階段對(duì)系統(tǒng)進(jìn)行評(píng)估并糾正可能出現(xiàn)的問(wèn)題，并與開(kāi)發(fā)過(guò)程構(gòu)成“V”型模式；當(dāng)整個(gè)系統(tǒng)設(shè)計(jì)完成后，對(duì)各個(gè)安全子系統(tǒng)的工程設(shè)計(jì)文檔、開(kāi)發(fā)流程和設(shè)計(jì)實(shí)現(xiàn)工程的安全活動(dòng)進(jìn)行第2次評(píng)估，結(jié)果證明所設(shè)計(jì)的LDWS同樣符合標(biāo)準(zhǔn)ISO 26262，可以實(shí)現(xiàn)功能安全。

4 結(jié) 語(yǔ)

本文基于ISO 26262標(biāo)準(zhǔn)，以車道偏離預(yù)警系統(tǒng)為研究對(duì)象，進(jìn)行了系統(tǒng)設(shè)計(jì)與規(guī)范驗(yàn)證測(cè)試。依據(jù)車道偏離預(yù)警系統(tǒng)在整車的實(shí)際需要和當(dāng)前技術(shù)，將三層監(jiān)控概念應(yīng)用到了S車道偏離預(yù)警系統(tǒng)的開(kāi)發(fā)流程中，并且實(shí)現(xiàn)了各個(gè)安全子系統(tǒng)的設(shè)計(jì)。車道偏離預(yù)警系統(tǒng)的開(kāi)發(fā)流程和設(shè)計(jì)方法對(duì)汽車安全輔助駕駛其他的設(shè)備開(kāi)發(fā)也具有一定的參考價(jià)值。

注：本文通訊作者為馬行。

參考文獻(xiàn)

[1] International Organization Standardization. Road vehicles?functional safety， part3： concept phase： ISO/FDIS 26262?3， 2011 [S]. New York： International Organization Standardization， 2011： 6.

[2] JORDAN N， FRANCK M， MYRIAM E J， et al. Objective and subjective evaluation of motor priming and warning systems applied to lateral control assistance [J]. Accident， analysis and prevention， 2010， 42 （3）： 904?912.

[3] 葛平淑，郭烈，杜元虎，等.基于CCD參數(shù)智能調(diào)節(jié)的車道線檢測(cè)[J].汽車工程，2014，36（7）：779?784.

[4] 劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)ISO26262[J].上海汽車，2011（10）：57?61.

[5] 葛鵬，陳勇，羅大國(guó)，等.基于道路車輛功能安全標(biāo)準(zhǔn)ISO 26262的7DCT電控系統(tǒng)設(shè)計(jì)[J].汽車技術(shù)，2014（9）：21?23.

[6] 金濤，張海峰，李沁南，等.高速公路ETC車道單雙天線布局的分析與比較[J].現(xiàn)代電子技術(shù)，2012，35（17）：150?153.