概述

傳感器的功能安全要求往往非常通用，包括輸入信號(hào)的故障模式，因此難以實(shí)施和測(cè)試。也許作者關(guān)注的是系統(tǒng)的預(yù)期功能，但預(yù)期功能不在安全要求的范圍內(nèi)。安全要求表達(dá)了作者對(duì)故障模式的期望。本文以雷達(dá)傳感器的對(duì)象列表為例，說(shuō)明了明確這一點(diǎn)的重要性。

背景

雷達(dá)、激光雷達(dá)和攝像頭等傳感器被廣泛用于實(shí)現(xiàn)現(xiàn)代車(chē)輛中的ADAS功能。由于傳感器可能會(huì)發(fā)生故障并提供錯(cuò)誤的對(duì)象數(shù)據(jù)，因此必須指定功能安全要求（FSR）以應(yīng)對(duì)潛在的安全目標(biāo)違規(guī)。如果分配給系統(tǒng)元素的FSR在錯(cuò)誤的級(jí)別（例如車(chē)輛功能級(jí)別）上指定，則從這些要求中得出的技術(shù)安全要求（TSR）將顯示較差的質(zhì)量。不能低估對(duì)功能安全性的影響。本文給出了一個(gè)示例，并解釋了如何提高FSR和TSR質(zhì)量的實(shí)用解決方案。

ADAS常見(jiàn)的功能安全要求

在A(yíng)DAS傳感器規(guī)范中，常見(jiàn)的功能安全要求是針對(duì)誤報(bào)和漏報(bào)：

傳感器不得報(bào)告虛假對(duì)象

傳感器應(yīng)報(bào)告所有相關(guān)對(duì)象

這些要求看似合理，但更詳細(xì)的分析表明，這兩項(xiàng)要求并不適用于傳感器系統(tǒng)。實(shí)際上，這些要求是車(chē)輛功能被錯(cuò)誤地歸咎于傳感器的幾種故障模式中的兩種。

對(duì)象列表故障模式分析

如果在傳感器外部實(shí)施數(shù)據(jù)融合，傳感器通常會(huì)報(bào)告對(duì)象列表。每個(gè)對(duì)象都由幾個(gè)屬性（例如物理屬性）描述。在尋找功能或信號(hào)的故障模式時(shí)，了解感興趣的信號(hào)及其子信號(hào)的組成非常重要。對(duì)象列表可以根據(jù)其目的顯示幾種故障，而每個(gè)對(duì)象可以根據(jù)其屬性顯示其他故障。以下分析并不完整，目的是展示一些潛在的陷阱。

對(duì)象列表的目的是報(bào)告相關(guān)對(duì)象（這里不再進(jìn)一步分析“相關(guān)性”，但必須在項(xiàng)目中定義驗(yàn)證標(biāo)準(zhǔn)）。因此，可以從列表中添加和刪除對(duì)象?？赡艹霈F(xiàn)的問(wèn)題包括：

1）一個(gè)對(duì)象應(yīng)該被添加到列表中，但沒(méi)有被添加（假陰性）

2）一個(gè)對(duì)象不應(yīng)添加到列表中，但被添加了（誤報(bào)）

3）一個(gè)對(duì)象應(yīng)從列表中刪除，但沒(méi)有被刪除（誤報(bào)）

4）一個(gè)對(duì)象不應(yīng)從列表中刪除，但被刪除了（假陰性）

5）一個(gè)對(duì)象應(yīng)添加到列表中，但添加得太早或太晚（灰色正值）

6）一個(gè)對(duì)象應(yīng)從列表中刪除，但刪除得太早或太晚（灰色負(fù)值）

這是與對(duì)象列表相關(guān)的六種故障模式，盡管并非所有這些故障模式都必然與安全相關(guān)（這取決于車(chē)輛功能和車(chē)輛架構(gòu)）。功能所有者（通常是OEM）需要通過(guò)歸納分析方法分析這些故障模式的影響。

詳細(xì)列表中的前四種故障模式涵蓋了上述兩種故障模式，因此不禁要問(wèn)，這份簡(jiǎn)單的列表是否錯(cuò)誤。答案是肯定的。這兩種故障模式指的是車(chē)輛功能（例如，對(duì)物體進(jìn)行緊急制動(dòng)），而六種故障模式指的是傳感器實(shí)現(xiàn)的功能（提供對(duì)象列表）。在車(chē)輛層面，尚無(wú)法知道傳感器是否會(huì)發(fā)送對(duì)象列表。在車(chē)輛層面，很明顯，車(chē)輛應(yīng)對(duì)與預(yù)期功能相關(guān)的對(duì)象做出反應(yīng)，而不應(yīng)對(duì)其他對(duì)象做出反應(yīng)。然而，簡(jiǎn)單地將這些要求分配給傳感器并不能確保足夠安全的實(shí)現(xiàn)，這一點(diǎn)從更完整的六項(xiàng)要求列表中可以看出。

對(duì)象屬性故障模式分析

下一個(gè)問(wèn)題是：距離或相對(duì)速度等對(duì)象屬性怎么辦？如何考慮這些屬性的故障模式？此示例表明，在識(shí)別故障模式之前正確定義信號(hào)類(lèi)型非常重要。傳感器提供對(duì)象列表，列表的故障模式如上所示。列表的每個(gè)元素（報(bào)告的對(duì)象）都有幾個(gè)屬性，報(bào)告的數(shù)據(jù)也可能以不同的方式失效。例如，如果使用動(dòng)態(tài)范圍的很大一部分通過(guò)12位信號(hào)描述偏航率等物理屬性，則以下模擬信號(hào)故障模型適用：

1）值停滯

2）超出上限（超出范圍）

3）低于下限（超出范圍）

4）正偏移（偏差）

5）負(fù)偏移（偏差）

6）積極跳躍

7）負(fù)跳躍

8）正向漂移

9）負(fù)漂移

10）振蕩

因此，這為此類(lèi)對(duì)象屬性提供了另外10種故障模式。其他故障模型通常適用于狀態(tài)數(shù)較少的信號(hào)或通信總線(xiàn)。

安全目標(biāo)違規(guī)分析

對(duì)于對(duì)象列表和對(duì)象屬性的每種故障模式，必須通過(guò)歸納分析方法分析其對(duì)安全目標(biāo)違規(guī)的影響，這是功能或系統(tǒng)所有者（通常是OEM）的責(zé)任。然后可以得出所有安全相關(guān)故障模式的安全要求。

通用要求的問(wèn)題

最后但并非最不重要的一點(diǎn)是，通用要求的另一個(gè)問(wèn)題是它們可能涵蓋損壞的輸入信號(hào)對(duì)輸出信號(hào)質(zhì)量的影響。在系統(tǒng)無(wú)法檢測(cè)和/或控制此類(lèi)故障的情況下，無(wú)法完全實(shí)現(xiàn)“傳感器不得發(fā)送損壞的對(duì)象數(shù)據(jù)”之類(lèi)的要求，因?yàn)闈撛诘母驹蚴禽斎胄盘?hào)本身。讓我們更詳細(xì)地看一下。

傳感器接收系統(tǒng)外部產(chǎn)生的信號(hào)。例如，雷達(dá)傳感器檢測(cè)來(lái)自物體的回聲。傳感器提供的對(duì)象列表可能會(huì)失效（見(jiàn)上文）。列表可能會(huì)失效，列表中的每個(gè)對(duì)象也可能會(huì)失效。這種失效的根本原因是什么？根據(jù) (1)，系統(tǒng)元素的每個(gè)輸出信號(hào)失效都可能源于系統(tǒng)本身或損壞的輸入信號(hào)。因此，每當(dāng)傳感器提供損壞的對(duì)象列表時(shí)，根本原因可能是系統(tǒng)本身，也可能是系統(tǒng)檢測(cè)到的損壞信號(hào)。因此，將以下要求分配給傳感器根本沒(méi)有意義：

傳感器不得報(bào)告虛假對(duì)象。

在這種情況下，底層車(chē)輛功能要求在系統(tǒng)層面上尚未得到正確細(xì)化。相反，對(duì)傳感器的可行要求可能是：

傳感器應(yīng)檢測(cè)任何可能導(dǎo)致對(duì)象列表安全相關(guān)損壞的內(nèi)部系統(tǒng)故障。

（注意：當(dāng)然也必須定義“任何故障”和“安全相關(guān)”。）以這種方式制定的要求明確排除了輸入信號(hào)側(cè)的任何故障。對(duì)于雷達(dá)傳感器，回波質(zhì)量可能會(huì)受到影響，即偏離在未受干擾環(huán)境中產(chǎn)生的預(yù)期回波。實(shí)際上，物體屬性（傳感器測(cè)量的屬性除外）和環(huán)境都會(huì)影響信號(hào)，從而導(dǎo)致傳感器的輸出信號(hào)損壞。在分析故障模式和規(guī)范安全要求時(shí)，必須考慮完整的內(nèi)部和外部（從傳感器的角度來(lái)看）信號(hào)路徑：

傳感器發(fā)射雷達(dá)脈沖

雷達(dá)脈沖從天線(xiàn)發(fā)射到物體

雷達(dá)脈沖在物體上反射

回聲從物體傳輸?shù)教炀€(xiàn)

傳感器接收回聲

第一步和最后一步可能會(huì)因傳感器故障而失敗。第二步和第四步可能會(huì)因環(huán)境條件而失敗。第三步可能會(huì)因物體屬性對(duì)信號(hào)質(zhì)量的影響而失敗。因此，五個(gè)步驟中至少有三個(gè)步驟可能會(huì)對(duì)雷達(dá)傳感器提供的對(duì)象數(shù)據(jù)產(chǎn)生影響，因此根本原因在傳感器之外。因此，不能將“傳感器不得報(bào)告虛假對(duì)象”之類(lèi)的安全要求分配給傳感器。

功能安全要求的細(xì)化

功能安全要求通常源自功能的故障模式。因此，上述通用安全要求（“傳感器應(yīng)檢測(cè)任何內(nèi)部系統(tǒng)故障……”）需要針對(duì)所有這些故障模式進(jìn)行細(xì)化。

對(duì)象列表示例：

傳感器應(yīng)檢測(cè)任何可能將不存在的對(duì)象添加到對(duì)象列表中（誤報(bào)）的系統(tǒng)內(nèi)部故障。

對(duì)象數(shù)據(jù)示例：

傳感器應(yīng)檢測(cè)出任何可能導(dǎo)致相對(duì)速度人為增加5%以上的系統(tǒng)內(nèi)部故障。

可以為對(duì)象列表和對(duì)象數(shù)據(jù)的所有其他故障模式指定類(lèi)似的要求。

總結(jié)

為了規(guī)范系統(tǒng)的安全要求，功能故障的根本原因需要是系統(tǒng)故障和輸入信號(hào)故障。分配給系統(tǒng)的安全要求應(yīng)明確規(guī)定導(dǎo)致正在調(diào)查的輸出信號(hào)故障（=功能故障）的系統(tǒng)內(nèi)部故障。特別是，系統(tǒng)的安全要求不應(yīng)過(guò)于籠統(tǒng)，以至于它們還涵蓋環(huán)境對(duì)系統(tǒng)輸入信號(hào)的影響。此類(lèi)要求不能由系統(tǒng)實(shí)現(xiàn)。整體功能安全概念必須涵蓋環(huán)境（一般而言：系統(tǒng)外部）對(duì)系統(tǒng)輸入信號(hào)的影響。