基于ISO 26262的車道偏離預警系統設計

王曉龍 穆春陽 馬行 張盼盼

摘 要： 為了實現車道偏離預警系統（ LDWS ）在參與汽車輔助駕駛時的安全功能，按照道路車輛功能安全ISO 26262標準定制了系統的設計流程。根據車道偏離預警系統的安全目標和整車對其功能安全的要求，對系統架構進行了分層設計，并對安全子系統進行詳細設計。在此基礎上，基于TMS320DM8168對車道偏離預警系統的硬件和軟件進行了安全設計規范開發，最后對系統的設計及規范進行檢驗。結果表明，該系統符合ISO 26262功能安全標準的要求，能實現整車的安全目標。

關鍵詞： 汽車工程； 車道偏離； LDWS； 功能安全； ISO 26262

中圖分類號： TN919?34； U471.15 文獻標識碼： A 文章編號： 1004?373X（2016）05?0164?04

0 引 言

由ISO國際標準化組織聯合IEC國際電工協會共同制定的ISO 26262道路車輛功能安全標準，源于電子、電氣及可編程器件功能安全基本標準IEC61508，目的是提高汽車電子、電氣產品功能安全[1]。該標準定義了汽車生命周期（管理，研發，生產，運行，服務，退市）內功能安全活動的要求，現已成為歐洲汽車開發的通用標準并受到世界各大汽車企業的廣泛關注，而中國各汽車企業尚處于對該標準的了解和嘗試應用階段。

車道偏離預警系統（Lane Departure Warning System，LDWS）是汽車安全輔助駕駛技術研究中的重要組成部分，它是通過主動警告疲勞或注意力不集中的駕駛員，使其修正無意識的車道偏離，從而減少車輛偏離行駛車道事故的發生[2?3]。早期車道偏離預警系統的研究主要集中在如何采用各種傳感器技術實現車道線檢測，辨識車輛在行駛中車道線的位置，進而實現預警或控制。隨著研究的深入，道路車輛功能安全標準ISO 26262受到車道偏離預警系統開發廠商及相關科研機構的關注。下面介紹的車道偏離預警系統是基于標準ISO 26262的開發流程進行設計的。

1 基于ISO 26262的車道偏離預警系統開發流程

道路車輛功能安全標準ISO 26262提供了關于汽車電子電氣系統生命周期、功能安全工作流程和管理流程的相關指導，并通過對開發流程和工作文檔的操作規范來減少或消除車道偏離預警系統的潛在引起的危害[4]。根據ISO 26262中定義的汽車安全生命周期要求，車道偏離預警系統的開發分為概念設計、產品設計和生產運作3個開發流程，如圖1所示。

其中，在概念設計階段，通過對車道偏離預警系統危險事故的嚴重度，事故暴露的可能性及可控性的分析，確定了車道偏離預警系統的安全完整等級（ASIL）為汽車安全中的ASIL B級。產品設計開發階段主要是設計出本系統的體系架構，完成硬件的選型和軟件的設計等功能安全設計，其開發流程與開發汽車的“V”模基本相同，且硬件和軟件的開發也遵循相似的小“V”型開發流程。

2 車道偏離預警系統設計

2.1 系統架構設計

根據產品設計開發階段設計出的車道偏離預警系統體系架構，本系統主要由圖像采集單元、TMS320DM8168圖像處理控制單元、報警顯示單元、圖像存儲單元、其他控制單元CAN信號組成，其架構簡圖如圖2所示。

在車道偏離預警系統在運行的過程中，安裝在駕駛室后視鏡處的CCD攝像機會拍攝整車行駛過程中的路況圖像，并在圖像處理單元TMS320DM8168中，經車道線識別算法處理后得到車道標志線、道路曲率半徑和側向偏移等道路動態參數信息，進而判斷是否向報警顯示單元發出控制指令，提示駕駛人員和輔助控制整車。

2.2 系統的三層監控設計

根據標準ISO 26262可將LDWS劃分為安全相關組件和非安全相關組件，其中非安全相關組件在整個車道偏離預警系統中占了極大比重，最重要的是ISO 26262對非安全相關組件的開發沒有要求，對安全相關組件的開發流程和開發方法做出了非常嚴格要求[5]。如果將一個系統的所有組件（非安全和安全相關組件）都按照ISO 26262規定流程和設計方法進行開發制作，必定會使開發成本大幅提高，造成資源、時間和人力的極大浪費，也使開發復雜度增加。因此，在對車道偏離預警系統開發設計時采用了三層監控概念，如圖3所示。

由圖3可知，車道偏離預警系統的控制器硬件部分分為兩個核，分別為系統功能實現控制器和安全監控控制器。而在軟件上共分為三層，分別為：

第一層的基本功能控制層，是非安全相關的功能軟件，用來實現系統對各個功能模塊的基本驅動控制。

第二層的功能監控限制層，是安全相關的監控軟件。主要作用是監控第一層是否正確運行，如果計算出來的道路參數信息不符合實際情況或錯誤，則進入無效模式，并通過發出允許的相關命令對第一層的功能進行管控限制，使整車進入安全狀態或盡量降低安全風險。

第三層的控制器監控層，同樣是安全相關的監控軟件。主要功能是利用其安全監控控制器實現對功能實現控制器硬件故障及失效的檢測，盡量能夠診斷出失效硬件的位置，為維護起到指導作用。

根據以上分析，車道偏離預警系統的第二層和第三層需按照標準ISO 26262安全相關組件的開發流程和要求進行開發，而第一層按照一般的E/E/PE開發流程開發即可。這樣的設計開發模式即符合ISO 26262標準，實現系統的功能安全，又可最大程度的減少企業的開發成本和工作量，實現雙贏。

2.3 系統的安全子系統設計

2.3.1 技術安全概念設計

技術安全概念是在系統設計的啟動階段根據系統架構提煉的功能安全需求創建的。針對車道偏離預警系統，技術安全概念設計如下：

（1） 根據LDWS的系統架構和從整車得到的該系統功能安全概念，將安全相關的各個功能模塊詳細列出，再結合各模塊之間的信息傳遞和控制關系，進而制定出本系統三層監控概念中的第二層功能安全子系統邏輯框架，如圖4所示。

（2） 在圖4基礎上，結合故障樹分析（FTA）、預先危險性分析（PHA）、危險與可操作性分析（HAZOP）和影響分析（FMEA）等安全分析方法，制定出各模塊實現車道偏離預警系統功能安全的技術解決方案，并細化為模塊間的安全功能機制。

（3） 最后分配這些具體的技術安全需求到相應的模塊與通信控制信號中，從而形成技術安全概念。

2.3.2 硬件的安全規范設計

標準ISO 26262對硬件的安全需求指標分為硬件架構失效率和隨機硬件失效率[1]，其中硬件架構失效率主要由單點失效率和潛伏失效率組成，制定的用以評價系統在此方面的安全性量化指標如表1，表2所示。

由于車道偏離預警系統實現的安全目標最高ASIL 等級為ASIL B，且根據表1，表2可確定本系統安全目標相關硬件指標要求的參數（表中灰色部分）。同時考慮到本系統由攝像頭、TMS320DM8168和報警顯示等子系統組成，且上述參數指標也僅是對各個子系統總指標，因此，在安全目標由多個子系統共同作用實現時，這些子系統失效率之和不能高于上述指標。

在硬件開發階段，LDWS的圖像處理單元、報警顯示等單元組件比較復雜，且系統中要求至少存在兩個控制核，因此為了達到標準ISO 26262的要求，這些組件都必須嚴格按照ISO 26262的開發流程進行設計開發，并生成文檔保存。硬件和傳感器需按照ISO 26262的要求對其進行功能安全資格驗證，只要能滿足LDWS的安全參數要求，就可在安全子系統中使用。此外，可以通過增加冗余設計，減少單點隨機失效率和潛在隨機失效率，進一步提升系統的硬件架構指標目標值，實現安全目標。

2.3.3 軟件安全規范設計

車道偏離預警系統安全子系統軟件安全規范設計主要是針對三層監控系統的第二層功能監控限制層設計的。由于在本設計LDWS中包含兩種不同安全等級的安全目標：ASIL A和ASIL B，而標準ISO 26262對不同的安全等級的軟件設計實現和檢測效驗流程有不同的要求，且具有向下兼容的原則。考慮到采用不同的流程和檢測效驗流程對軟件進行開發，會無形的增加LDWS的開發工作量和開發成本，延長產品的開發周期，因此功能監控限制層軟件開發全部按照ASIL B等級的開發流程進行開發設計，其流程開發實現原則如表3所示。其中：“++”表示最高的推薦指數；“+”表示建議使用；“0”表示不建議使用或不需使用；灰色標注的為本設計選擇的開發流程標準。

車道偏離預警系統安全子系統軟件設計的主要內容為：評估和校驗在整車行駛工程中計算出來的道路參數信息是否符合實際情況，是否計算發生錯誤，并在此基礎上對報警提示控制單元發出相應的允許或者不允許的執行信號，從而使行駛中的整車在LDWS發生故障的情況下仍然處在安全狀態。

3 系統的檢驗與評估

按照標準ISO 26262開發流程設計出的車道偏離預警系統如圖5所示。道路參數和報警顯示單元的響應速度進測試數據如表4，表5所示。

表4為在晴天白天場景下測試過程中選擇的6個典型測試角度，由測量的偏離角度平均值[x]可知，經車道偏離預警系統計算處理得到的車輛與車道線偏離角度與實際值基本相同。但是隨著角度的增大，標準差[σ]也隨之增大，且在30°時出現一次嚴重錯誤，可見隨著偏離角度的增大，測得的數據波動越嚴重，相對變得不穩定，但相對于測試的300次，出現的概率為0.33%（見表6），仍為小概率事件。因此系統測量到的數據是可靠的。

由表5可知，報警顯示單元響應速度能達到要求，且測量到的數據也符合相應執行機構的規律和設計需求。機械結構執行時間要慢于電子器件，相對設計復雜的設備執行時間要長于簡單設備的執行時間。在不同場景進行功能性測試，測試數據如表6所示。

從表6的數據可以得到光線強弱、行駛速度和路況清晰度對系統的正確執行有影響。對比每一種場景的低速（35～40 km/h）和中速（65k～70 km/h）下的誤判率可知，車速快易造成誤判，經分析確認問題為：系統使用的算法復雜度高，速度越快，實時性也越差。對比晴天白天、晴天傍晚和陰天三種場景下的誤判率可知：光線越暗越易出現誤判，其實質是影響CCD攝像頭感光，使系統采集的圖像干擾噪聲增加，對車道線特征的提取造成了影響，但是誤判率依舊能保持3.00%以下。但是，在雨天和霧天測試時，誤判率明顯提高，分析原因為：此場景下，行車周圍環境的能見度變低，使拍攝的道路圖像質量變低，車道線特征明顯。通過以上分析說明本文設計的系統是可行的，但相關算法有待優化和提高，降低復雜度。

最后還需要根據ISO 26262道路車輛功能安全標準的要求，對系統及其各安全子系統進行檢測確認和評估。因為系統的最高安全等級為ASIL B，因此采用獨立性為i2的效驗確認和評估方法。效驗確認主要對所設計的系統的硬件安全計劃、FTA、FMEA和FMA進行檢測驗證，結果證明設計的系統在技術安全概念和功能安全概念上符合ISO 26262的要求。為了能夠對系統的各個安全子系統進行評估，在LDWS的開發過程中，共設置了3個評估節點，以方便在不同的開發階段對系統進行評估并糾正可能出現的問題，并與開發過程構成“V”型模式；當整個系統設計完成后，對各個安全子系統的工程設計文檔、開發流程和設計實現工程的安全活動進行第2次評估，結果證明所設計的LDWS同樣符合標準ISO 26262，可以實現功能安全。

4 結 語

本文基于ISO 26262標準，以車道偏離預警系統為研究對象，進行了系統設計與規范驗證測試。依據車道偏離預警系統在整車的實際需要和當前技術，將三層監控概念應用到了S車道偏離預警系統的開發流程中，并且實現了各個安全子系統的設計。車道偏離預警系統的開發流程和設計方法對汽車安全輔助駕駛其他的設備開發也具有一定的參考價值。

注：本文通訊作者為馬行。

參考文獻

[1] International Organization Standardization. Road vehicles?functional safety， part3： concept phase： ISO/FDIS 26262?3， 2011 [S]. New York： International Organization Standardization， 2011： 6.

[2] JORDAN N， FRANCK M， MYRIAM E J， et al. Objective and subjective evaluation of motor priming and warning systems applied to lateral control assistance [J]. Accident， analysis and prevention， 2010， 42 （3）： 904?912.

[3] 葛平淑，郭烈，杜元虎，等.基于CCD參數智能調節的車道線檢測[J].汽車工程，2014，36（7）：779?784.

[4] 劉佳熙，郭輝，李君.汽車電子電氣系統的功能安全標準ISO26262[J].上海汽車，2011（10）：57?61.

[5] 葛鵬，陳勇，羅大國，等.基于道路車輛功能安全標準ISO 26262的7DCT電控系統設計[J].汽車技術，2014（9）：21?23.

[6] 金濤，張海峰，李沁南，等.高速公路ETC車道單雙天線布局的分析與比較[J].現代電子技術，2012，35（17）：150?153.