基于功能安全的车载计算平台开发：概念阶段

01

相关项定义及要素划分

相关项是实现车辆层面或部分功能的系统或者系统组。相关项定义并描述系统或系统组，以及其与环境、其他相关项之间的依赖关系和交互影响，为充分理解相关项提供支持，以便执行后续阶段的活动。车辆层面的相关项定义如图所示，主要包括相关项的功能、系统边界与接口、环境条件和法律要求等。车载智能计算平台的相关要素主要包括传感器接入及管理、AI计算、通用计算、车控、内部通信、V2X、高精度地图数据存储等。

相关项定义

02

相关项层面的影响分析

车载智能计算平台的开发项目分为新开发、修改或复用，若为修改和复用，则需要进行相关项层面的影响分析。影响分析应识别和指出因相关项的修改、相关项使用条件的修改所带来的影响，可能的修改包括运行场景和运行模式、与环境的接口、安装特性、环境条件等。

高级别自动驾驶相对于辅助驾驶在运行环境感知范围和驾驶任务上会发生变化，例如：

1）设计运行范围对感知要求的变化相对于辅助驾驶系统面临的运行环境条件，高级别自动驾驶系统相对减少对驾驶员的依赖，需要感知的车内外环境范围更广，以确保自车行驶过程中的道路安全。在某些场景和系统设计中，需要对自车周围影响道路安全及自车定位的动态和静态物体感知。

2）动态驾驶任务和人为因素的变化L3及以上的自动驾驶系统相对于辅助驾驶系统容许一定程度的驾驶员不在环。在系统发现预期无法处理或者无法保证动态驾驶任务安全执行等紧急情况时，为使车辆控制权被快速接管并避免危害，驾驶员状态也需要被感知（如监测驾驶员专注度、心率等生理状态）。

03

危害分析和风险评估

通过危害分析和风险评估确定ASIL等级和安全目标，以避免不合理的风险。为此，根据相关项中潜在的危害事件，对相关项进行评估。安全目标以及分配给它们的ASIL等级是通过对危害事件进行系统性的评估所确定的。

ASIL等级是通过对影响因子严重度、暴露率和可控性的预估所确定的，影响因子的确定基于相关项的功能行为，因而不一定需要知道相关项的设计细节。关键步骤具体包括场景分析及危害识别、危害分级、ASIL等级的确定、安全目标的确定。由于在动态驾驶任务中，L3及以上自动驾驶相对于辅助驾驶，容许一定程度的驾驶员不在环，将会导致对危害的可控性降低，在进行危害分析与风险评估时，可控性或将变为C3，可能会引起功能安全等级需求的提升。

04

功能安全概念

功能安全概念是从安全目标中导出功能安全要求，并将其分配给相关项的初步架构要素或外部措施。功能安全概念包括安全目标、初步安全架构设计、安全分析、安全要求。

安全架构设计方面，L3自动驾驶系统已经允许驾驶员的手长时间脱离方向盘，无需时刻观察道路状况，从系统出现失效到驾驶员反应并接管控制存在一定时间间隔。在这段时间间隔内，系统要确保车辆的安全性，需要做到某一个单元失效的情况下，车辆能够维持横纵向控制直到驾驶员接管或安全停车，因此需要冗余的架构设计。一般来说，对于整个自动驾驶系统的冗余设计又可以细分为电源冗余、执行机构冗余、传感器冗余、计算平台冗余、用户交互链路冗余等。

从安全目标可以导出安全要求，安全要求继承安全目标的ASIL等级。一个安全要求可以分解为两个或多个子安全要求，分配到独立冗余的安全架构设计中。独立性是ASIL分解的重要要求，即冗余单元之间应避免共因失效和级联失效。