功能安全的架构设计（六）

在《功能安全的架构设计（一）》（功能安全的架构设计（一）_《功能安全的架构设计(三)》-CSDN博客）一文中我们介绍fail-operational概念时特意提到了自动驾驶，系统的安全和可用性对于高阶自动驾驶都是无法回避的话题，fail-operational架构自然而然也就成了高阶自动驾驶系统设计的必选项，本文我们就来和大家谈谈自动驾驶系统的安全架构设计。

1. 失效可运行架构设计考量

对于SAE Level 3，尤其是SAE Level 4及以上，通过深思熟虑的精巧的解决方案对于功能安全、系统可用性和失效可运行相关的系统冗余是必要的。根据SAE Level 3，驾驶员不能立即接管车辆的控制，并且根据SAE Level 4，驾驶员不能被视为系统后备(fallback)。

因此，在SAE Level 3的情况下，在驾驶员没有参与驾驶任务的时间段内，以及在SAE Level 4和Level 5的情况下（在驾驶员不可用的情况下），系统必须确保安全。这使得失效可运行(fail-operational)系统对于自动驾驶至关重要。系统安全性和系统可用性对于自动驾驶非常重要，应该通过失效可运行(fail-operational)架构来提高。

图1——自动驾驶分级

如上所述，失效可运行(fail-operational)系统对自动驾驶汽车至关重要。SAE L3级自动驾驶车辆只需要在短时间内故障运行，直到驾驶员能够对接管车辆控制的请求做出反应。

SAE等级为L4级和L5级的车辆在整个驾驶循环中必须是安全的且失效可运行的(fail-operational)，才能为客户所接受。如果车辆系统因系统故障而停用，则车辆仍有可能在单车道施工区或隧道内以有限的速度安全行驶。但是，由于可用性是客户接受全自动驾驶汽车的一个重要因素，因此自动驾驶汽车必须设计为故障容忍(fault tolerant)型，即从传感器到执行器具有不同的冗余度。

Jet Note: 我们在《功能安全的架构设计（一）》一文中提到过fail-safe, fail-operational, fault-tolerant，redundancy这些词条对应的设计概念，想要fail-operational，系统功能链路必须redundancy，而redundancy可以提高系统的fault-tolerant能力，所以实际设计过程中这些设计概念都会有所考量。

下图显示了自动驾驶系统通用数据处理链。ADAS/AD系统可以被类比为人类。眼睛是传感器，大脑和神经元是高性能ECU，执行器是手和脚。该过程从传感开始，以检测行人和环境，包括静态和动态物体。目前用于自动驾驶汽车的传感器有摄像头、雷达、激光雷达(LiDAR)、超声波传感器和DGPS。