法雷奥的L3/L3+的自动驾驶方案

法雷奥聚焦自动驾驶和二氧化碳减排技术，为开发智能出行创新解决方案，是全球各大汽车制造商的合作伙伴。此外，法雷奥也为汽车制造商和独立售后市场运营商提供和分销备件。

法雷奥全球技术中心(深圳) 高级功能安全经理冯伟以《法雷奥的L3+的自动驾驶方案》为主题，从法雷奥简介、L3及L3+自动驾驶的安全目标与功能安全概念导出、L3+自动驾驶中主ECU和后备ECU的安全性等级几个方面展开演讲。以下是演讲内容整理：

法雷奥全球技术中心(深圳)高级功能安全经理冯伟

法雷奥简介

我叫冯伟，来自于法雷奥全球技术中心（深圳）高级功能安全部门，目前的主要工作是自动泊车系统以及域控制器相关的功能安全开发。

我今天的分享主要包含以下四个部分：第一，法雷奥的简单介绍，让大家了解到法雷奥是一家什么样的公司；第二，有关L3和L3+自动驾驶系统的安全目标；第三，当我们有了安全目标以后，怎么样导出功能安全概念；第四，有了功能安全概念以后，怎么样去定义和分配L3+自动驾驶系统中不同ECU的安全等级。

首先是法雷奥的简单介绍。法雷奥是一家Tier 1公司，主要服务于全球OEM客户，2021年我们的销售额达到了173亿欧元，在全球我们有超过10万名雇员，分布于31个国家，全球共有184个工厂、超过64个研发中心，我们还有16个分销平台。

法雷奥有四大事业部，一是动力总成事业部、二是舒适驾驶辅助事业部、三是热系统事业部、四是视觉系统事业部。再简单介绍一下事业部旗下的主要产品，动力总成事业部的主要产品包括电机系统，集成皮带起动发电机，电动汽车车载充电机（OBC）等等。舒适驾驶辅助系统事业部的主要产品包含前置摄像头、超声波雷达、毫米波雷达、激光雷达、域控制器等相关产品。热系统部门主要是热控制、热管理相关的产品，如电池热管理、空调系统等。视觉系统事业部的主要包含产品是车灯以及行车视觉相关，如雨刮、摄像头清洗系统等系统。

L3及L3+自动驾驶的功能安全概念导出

下面主要介绍怎么去导出L3和L3+自动驾驶系统的安全目标，在此之前，我们需要先了解一下L3+自动驾驶系统的概念。首先是ADS自动驾驶系统。我们基于SAE J3026标准对自动驾驶系统做了定义：其软硬件能够在特定的的Operational Design Domain（ODD运行设计域）范围内实现全部的动态驾驶任务，这样的说法通常针对的是L3、L4、L5级别的自动驾驶系统。

SAE J3026标准里也对自动驾驶的主要功能进行了划分，比如说横向控制、纵向控制、监控周围的驾驶环境、应对视野内障碍物等等，对自动驾驶系统来说还需要对行为做一个规划以及提高可见性的任务，比如转向灯、危险指示灯等。

基于这些功能，我们可以初步定义出来自动驾驶系统的架构图。左边是感知相关的模块，比如车辆状态，我们需要利用HMI去提供输入来激活系统，通过中控屏显示自动驾驶系统当前的工作状态，同时也需要去获得当前一些车身器件的状态，比如车门、安全带等等。感知模块需要利用大量不同的传感器去感知周围的环境，比如毫米波雷达或者激光雷达，前置摄像头等输入数据。对于自动驾驶系统来说，还需要知道当前的位置，所以还要利用GPS以及IMU。

中间是是驱动自动驾驶的关键ECU，包含自动驾驶系统的六大主要功能。右边是执行端，包含横向控制、纵向控制、系统的可见性，执行端可以同时将当前的执行状态传回ECU端。

图片来源：法雷奥

对自动驾驶系统来说，一般会涉及到三个安全状态概念：故障安全、故障降级、故障运行。这里基于ISO TS 5083的定义给大家做一个分享：故障安全是指在故障发生了之后，系统需要退出当前运行的功能，再进入一个安全状态。故障降级是指当故障发生了以后，需要降低一定的功能级别，以保证系统安全方面的资源分配。故障运行是指在故障情况下，系统还可以保持正在运行的全部功能，不需要降级或者强制退出。

下图是SAE对自动驾驶系统的等级划分，在这里我们列出了后面即将用到的危害分析中里比较关键的几个概念。首先是驾驶员的参与程度和责任划分。L0和L2级别需要驾驶员始终掌控的，也就是说也就是说对L0至L2来说驾驶员始终负全部责任。L3级别中驾驶员要负部分责任，当遇到需要驾驶员的特殊场景时才去接管。L4和L5级别不要求驾驶员接管，所以系统承担全部动态运行中的驾驶责任。

图片来源：法雷奥

对应功能来看，L1级别时，系统可以提供转向或刹车加速的支持，包括横向控制或者纵向控制；L2级别时，系统会提供横向控制和纵向控制的功能；L3和L4级别下，系统不仅要提供横向控制和纵向控制的功能，还要在一个限定的区域里运行。对于L5来说，就没有限定区域了，需要系统在所有条件下都是可运行的。

基于刚才的定义，我们可以得出结论：不同的功能对应于不同的自动驾驶等级。比如盲区检测对应L0级的自动驾驶。而自适应巡航（ACC）因为提供了横向控制的功能，且是驾驶员一直在环的，所以我们认为它是L1级的。对于全自动泊车辅助系统（APA）而言，因为APA需要纵向控制以及横向控制，驾驶员也是在环的，所以我们认为是L2级的。

对于交通拥堵自动驾驶（TJP）功能而言，因为TJP需要控制横纵向，而驾驶员可以是在环，也可以是不在环，对运行区域有限制，基于以上几点，我们认为TJP对应L3级别自动驾驶。对于自主代客泊车系统（AVP）而言，由于它的横纵向控制都是由系统进行的，驾驶员也是不在环的，我们认为AVP对应L4级。对于Robotaxi而言，因为系统进行横纵向控制都由系统进行，驾驶员不在环，在限定或者不限定区域运行，这种情况下，我们认为Robotaxi是一个L4或L5等级的自动驾驶。

L3及L3+自动驾驶的安全目标导出

对功能进行定义和等级划分之后，如何导出安全目标，在这里以TJP为例并分析其安全目标。基于UN157的定义，TJP功能主要包含了以下三个核心定义：1、功能是保持车辆在车道范围内；2、需要控制车辆的横向和纵向功能；3、在整个驾驶过程中不需要驾驶员做任何操作。目前TJP功能被限定在60公里/小时以下的时速中进行，在未来这一限制也会逐步放宽。

这是我们对危害分析的假设：在车速处于0~60公里，在高速范围内运行TJP功能。对于它的可控性，我们假设驾驶员一直不在环。基于前面的假设，我们可以得出来部分安全目标的列表，总结来看，我们将SGC01-SGC04总结为：系统应该避免错误的输出指令，将SGC05总结为：系统的控制命令应该一直可用。

现在已经有了安全目标，下一步就是根据安全目标导出功能安全概念。以SGC02（系统应该避免丢失控制命令）为例，基于这个安全目标，我们需要配备两个ECU：如果主ECU失效，一定需要后备ECU来接管，才可以保持持续的命令输出。此外，我们还增加了一个重配置单元（reconfiguration），这个配置单元主要是用来对主ECU和后备ECU的等命令做综合。

我们对这个系统架构做了四个假定：首先是热冗余，这个主要目的是降低切换时间；第二，重配置单元可以是独立ECU、也可以按照底盘ECU的命令进行，当然主ECU具有优先级，这个意味着命令首先来源于命令1，只有命令1失效的的时候才会切换到命令2。第三，主ECU失效时，会处于不提供服务的静默状态。第四，我们限定了后备ECU的工作时间，对于L3来说就是10~20秒，对于L4来说是10分钟到1小时，对L5来说就是10小时。

图片来源：法雷奥

以下是一个性能架构图，包含主ECU、后备ECU与重配置单元。主ECU里面包含了初级路径和次级路径，针对这两个单元我们做了一个临界选择器，用以打开或者关闭安全性检查开关。在这里会遇到一个问题，我们怎么样去确定偏差值，什么时候去打开开关。因为现实情况下，如果遇到不一致的情况就频繁打开，会明显地影响用户体验。

根据实际操作环境，车辆需要切换横纵向控制时，下图绿色范围的路径转换都是安全的，这也就意味着这些转换是偏差值范围内的。比如说需要ECU发出刹车指令的场景，不管发出比较重的刹车还是比较轻的刹车，实际上都不会发生碰撞，这意味着纵向命令其实允许一个比较大的偏差值，但是特殊情况下肯定还是要缩小偏差值。

图片来源：法雷奥

基于此，我们引入了一个叫作时间单元的模块，主要是用次级路径里面的环境模型评估车辆和周围车辆以及障碍物的距离，如果车辆和周围障碍物、车辆的距离较远，偏差值就会设置的更大。如果车辆和周围车辆距离比较近，偏差值就比较低。所以基于比较器输入和时间单元输入，基于这两个输入去判断偏差值设置的大小。

L3+自动驾驶中主ECU和后备ECU的安全性等级分配

刚才已经有了功能安全的概念，下一步需要进一步去定义主ECU和后备ECU等级。ECU等级和安全目标是高度相关的。我们对于主ECU和后备ECU做了一个分解，对于主ECU而言，它需要持续输出正确指令达到ASILB。对于后备ECU而言也是如此。对于SGC01：系统应该避免错误指令来说，我们对主路径以及次级路径做了分解，这两个路径里面都需要避免错误地输出指令，对三级路径，也就是后备ECU来说，它也需要避免输出错误的指令。因为如果主ECU输出指令正确，但是后备ECU输出指令错误，这也会导致安全目标无法达成。

由于ASIL分解的运用，需要考虑相关性失效，如电源供应，CPU，传感器等等。最终我们得出结论：对主ECU来说，它是需要按照ASILD开发的，对于后备ECU来说，它是需要按照ASILB开发的。

我们这里就会有一个问题，之前是通过分解方式来定义主ECU和后备ECU的安全等级，实际上我们并不知道之前所假定的L3级别设置10~20秒紧急故障运行时间是不是合理的，那么怎样来验证它？根据ISO 26262第10章里面的介绍，可以利用PMHF的方法来确定紧急故障运行时间的合理性。以下是整个ECU的命令运行过程：如果发生故障，丢失了主ECU的命令，就会切换到后备ECU的命令，系统工作完成之后就会进入到安全状态。

图片来源：法雷奥

我们知道，PMHF的意义是评估单位时间内故障发生的可能性，我们整个系统中的PMHF值，乘以无故障运行的时间，最终可以得出系统在正常工作的时候发生故障的可能性。另外一个部分是降级运行，也就是我们的后备ECU运行的时间内故障发生的可能性，这两个的和要小于目标值乘以运行时间的值。我们这里主CEU的目标值是10的负8次方，后备ECU的目标值是10的负7次方。把这些值放到之前的公式里，就可以得出来紧急运行时间，最大值是100个小时，我们当前设定的是10-20s，这个是满足要求的。

这里就会有另外一个问题，因为10~20秒远远低于100个小时的限制，那么是不是可以考虑降低ASIL等级。由于紧急运行时间可能会对系统暴露度有影响，所以说在这里的方法是将后备ECU当作新的项目做评估，通过运行时间来评估它的暴露度。基于不同的紧急运行周期，去看它的运行时间在整个设定里的占比，这里还加了一个开关的运行时间，这里假定了一个小时有三秒的时间是被切换到了后备ECU工作，主要是因为瞬态故障。

这两个加起来除以1万个小时，也就是小于0.1％，我们得出来暴露度是E1，对应最终的安全等级是从ASILA到ASILC，这样我们可以看到对L3系统来说，它的后备ECU只需要达到ASILA等级就足够了，从而合理的降低了我们的开发难度。

我们今天的讨论里面可以得出一些观点：第一，L3自动驾驶系统架构是基于ASILD等级的命令；避免错误的输出指令这两个需求。这不仅适用于L3自动驾驶，对于L4、L5也适用，这就意味着我们目前的架构还可以进一步拓展。第二，可以用时间单元辅助定义偏差值，避免系统频繁切换ECU。第三，最开始评估ASIL等级时没有将工作时间考虑在内，导致安全等级过于保守或者偏高，而将后备ECU当作一个新系统进行评估，可以让安全等级和技术难度都得到合理降低。

这就是我今天所要分享的全部内容，非常谢谢大家。

（以上内容来自法雷奥全球技术中心(深圳)高级功能安全经理冯伟于2022年8月26日由盖世汽车主办的2022中国汽车信息安全与功能安全大会发表的《法雷奥的L3+的自动驾驶方案》主题演讲。）