“优雅降级的”L2+自动驾驶

　　本文翻译自HANSER automotive

　　作者：Joseph Sylvester，KPIT集团公司自动驾驶技术专家

　　汽车行业内所说的Level2+级（简称为L2+）自动驾驶技术是介于L2级和L3级之间的、有条件的自动驾驶技术。当驾驶员松开握持方向盘的双手、只用双眼关注道路上的交通状况时，L2+级自动驾驶车辆能够在这段道路的行驶过程中始终自主地控制车辆的行驶。

　　自动驾驶技术的等级

　　传统的汽车制造商企业已经在多年的汽车设计制造中采取了有效的故障保护机制：当车辆的控制系统检测到能够影响汽车正常运行的某一功能出现故障时，会立即停止使用受到影响的系统功能并通知驾驶员该功能不可使用，在车辆控制系统的运行设计域ODD设计中也为车辆的安全行驶功能给予了限制或者给出了限制条件。

　　在L0、L1和L2级的自动驾驶中，这样的故障失效管理机制还是可以接受的，因为此时驾驶人的双手始终都放在方向盘上、并能毫无困难地随时恢复对车辆的控制。但在L2+级的自动驾驶中，驾驶员的双手要离开方向盘仅用眼睛观察交通情况，此时的车辆自动驾驶系统接管了从导航地图的行驶路线变道到调整车辆行驶速度的全部功能。如果此时遇到了故障且汽车控制系统没有充足的时间重新掌控车辆驾驶权时，故障管理机制就会关停L2+级的驾驶控制，同时汽车控制系统也会降低车辆的行驶性能、以满足ISO 26262标准的要求，而这些都可能会给驾驶员带来很大的麻烦。

　　汽车生产厂家们试图通过引入故障弱化（又称优雅降级）的管理方法来解决这一问题（参见图1）。也就是说：当因出现故障、错误导致车辆控制系统的性能下降、致使车辆控制系统仅能支持ODD运行设计条件下的自动驾驶、仅支持ISO 26262标准规定的自动驾驶要求时，车辆控制系统会适度降低自动驾驶的控制级别（故障弱化管理方案，也就是所谓的优雅降级）。同时，汽车控制系统也会向驾驶员发出报警提示、由驾驶员控制车辆行驶，这就使自动驾驶控制系统给自己留出更多的时间重启、恢复掌握自动驾驶的控制权。或者系统保持降级后的自动驾驶状态，直到车辆行驶到汽车维修站完成必要的故障诊断和维修为止。

　　L2+车载系统资源的优化和利用

　　过去是通过将多个ECU车载控制器集成到一辆汽车中来实现不同路况下车辆的L0级、L1级自动驾驶功能的。但在L2+级自动驾驶中则要使用性能更加强大的一块ECU芯片：由一个控制器提供L2+级自动驾驶的所有控制功能。以前的车辆控制系统（AV）的控制策略只是禁止使用某项功能。而新的、集成式的ECU配置方案则引进了故障弱化功能以应对自动驾驶系统的故障。这一措施既提高了自动驾驶功能使用时的可靠性又确保了必要的系统完整性。这就可以防止出现ISO 26262标准中所规定的种种风险。图2所示就是典型的多个ECU控制器的碰撞方案，从中可以看出三个控制器中有三、四个功能都是重复的。之所以采取这种控制器配置方式是因为自动驾驶系统中的可用资源有限，其中最大的影响因素有两个，即：

　　● 车载控制器是专门为车载功能设备而设计的、并不是针对车辆自动驾驶而设计的，因此它的车载功能控制资源有限。

　　● 由于车载控制器设计的原因使不同ECU控制器之间相互访问的能力受到了有限。

　　图3所示为集成式的ECU控制器配置示意图：它将所有自动驾驶控制功能都集成到一块高性能的芯片（HPC）中了。这种配置方案试图破除多个ECU控制器之间的访问障碍，使车辆25个以上的控制功能都集成在一块芯片中——合并一些重复的控制功能、整合有限的资源、提高控制效率。

　　高性能HPC计算平台有着足够的、不同功能共享的可用资源并且确保了控制设备有着N+1的冗余，在某些情况下还能实现图4所示的N+2冗余。从图中可以看出功能1和功能3控制着车载设备3和5，功能2和功能3共同控制着车载设备9。

　　故障弱化管理方式

　　由在电子控制器ECU中资源共享而导致某些功能的重复是集成式ECU电子控制器方案必须解决的一个复杂难题。如果没有系统性的分析这些重复的功能，就可能会导致出现各种常见的错误，并有导致发生危险事故的风险。

　　KPIT集团公司按照AIAG-VDA-FMEA结构化的失效模式及影响分析法中的七个步骤来确定某汽车元器件发生故障后对自动驾驶车辆控制功能的影响，同时也确定它对L2+级系统功能完整性的危机程度（参见图5）。这有助于寻找合适的故障弱化管理方法,也为驾驶员提供了在自动驾驶功能减少时系统可用的、仍然支持ODD运行设计条件同时也达到ISO 26262功能安全标准要求的剩余可用资源。

　　这种方法虽然增加了控制系统不同结构层次之间相互连接的复杂性，但同时也确保了各结构层次之间有着更好的可追溯性和系统完整性。为了做到这一切，KPIT集团公司采用了基于模型的系统工程MBSE技术，因此可以很好地解决系统需求、系统特定应用和场景、数据接口和交互等不断增加的难题。因为这些问题都常常要求自动驾驶控制系统的开发需要性能更好的开发工具，有时用户也需要进行一些额外的开发工作。

　　小结

　　汽车行业正致力于在不久的将来让全自动驾驶汽车奔驰在高速公路上，因此也就必须尽快开发出满足L2+智能驾驶标准的车辆。虽然各个汽车零部件供应商企业都能提供集成了全部自动驾驶控制功能的L2+级自动驾驶控制器单元，但开发合适的故障弱化战略的责任却是汽车制造商们的事情，因为他们的任务就是确保车内成员必要的舒适性、同时也要确保在自动驾驶控制系统出现故障的期间能够让ISO 26262标准要求的功能安全保持完整性。

　　KPIT集团公司提出的实现故障弱化的方法也包含了许多业内广泛使用的分析方法，例如了解自动驾驶控制系统出现的故障对L2+自动驾驶功能及其完整性的影响，并得出合适的针对性策略。KPIT公司了解在传统车载控制器整合、集成过程中的复杂性，知道汽车生产厂家们都希望自己生产的L2+级自动驾驶汽车能够在最短的时间内上市，也知道客户们对研发成本有着极高的要求。为此，KPIT集团公司也使用了基于模型的系统工程技术MBSE和技术支持工具。