王晓龙 穆春阳 马行 张盼盼

摘 要： 为了实现车道偏离预警系统（ LDWS ）在参与汽车辅助驾驶时的安全功能，按照道路车辆功能安全ISO 26262标准定制了系统的设计流程。根据车道偏离预警系统的安全目标和整车对其功能安全的要求，对系统架构进行了分层设计，并对安全子系统进行详细设计。在此基础上，基于TMS320DM8168对车道偏离预警系统的硬件和软件进行了安全设计规范开发，最后对系统的设计及规范进行检验。结果表明，该系统符合ISO 26262功能安全标准的要求，能实现整车的安全目标。

关键词： 汽车工程； 车道偏离； LDWS； 功能安全； ISO 26262

中图分类号： TN919?34； U471.15 文献标识码： A 文章编号： 1004?373X（2016）05?0164?04

0 引 言

由ISO国际标准化组织联合IEC国际电工协会共同制定的ISO 26262道路车辆功能安全标准，源于电子、电气及可编程器件功能安全基本标准IEC61508，目的是提高汽车电子、电气产品功能安全[1]。该标准定义了汽车生命周期（管理，研发，生产，运行，服务，退市）内功能安全活动的要求，现已成为欧洲汽车开发的通用标准并受到世界各大汽车企业的广泛关注，而中国各汽车企业尚处于对该标准的了解和尝试应用阶段。

车道偏离预警系统（Lane Departure Warning System，LDWS）是汽车安全辅助驾驶技术研究中的重要组成部分，它是通过主动警告疲劳或注意力不集中的驾驶员，使其修正无意识的车道偏离，从而减少车辆偏离行驶车道事故的发生[2?3]。早期车道偏离预警系统的研究主要集中在如何采用各种传感器技术实现车道线检测，辨识车辆在行驶中车道线的位置，进而实现预警或控制。随着研究的深入，道路车辆功能安全标准ISO 26262受到车道偏离预警系统开发厂商及相关科研机构的关注。下面介绍的车道偏离预警系统是基于标准ISO 26262的开发流程进行设计的。

1 基于ISO 26262的车道偏离预警系统开发流程

道路车辆功能安全标准ISO 26262提供了关于汽车电子电气系统生命周期、功能安全工作流程和管理流程的相关指导，并通过对开发流程和工作文档的操作规范来减少或消除车道偏离预警系统的潜在引起的危害[4]。根据ISO 26262中定义的汽车安全生命周期要求，车道偏离预警系统的开发分为概念设计、产品设计和生产运作3个开发流程，如图1所示。

其中，在概念设计阶段，通过对车道偏离预警系统危险事故的严重度，事故暴露的可能性及可控性的分析，确定了车道偏离预警系统的安全完整等级（ASIL）为汽车安全中的ASIL B级。产品设计开发阶段主要是设计出本系统的体系架构，完成硬件的选型和软件的设计等功能安全设计，其开发流程与开发汽车的“V”模基本相同，且硬件和软件的开发也遵循相似的小“V”型开发流程。

2 车道偏离预警系统设计

2.1 系统架构设计

根据产品设计开发阶段设计出的车道偏离预警系统体系架构，本系统主要由图像采集单元、TMS320DM8168图像处理控制单元、报警显示单元、图像存储单元、其他控制单元CAN信号组成，其架构简图如图2所示。

在车道偏离预警系统在运行的过程中，安装在驾驶室后视镜处的CCD摄像机会拍摄整车行驶过程中的路况图像，并在图像处理单元TMS320DM8168中，经车道线识别算法处理后得到车道标志线、道路曲率半径和侧向偏移等道路动态参数信息，进而判断是否向报警显示单元发出控制指令，提示驾驶人员和辅助控制整车。

2.2 系统的三层监控设计

根据标准ISO 26262可将LDWS划分为安全相关组件和非安全相关组件，其中非安全相关组件在整个车道偏离预警系统中占了极大比重，最重要的是ISO 26262对非安全相关组件的开发没有要求，对安全相关组件的开发流程和开发方法做出了非常严格要求[5]。如果将一个系统的所有组件（非安全和安全相关组件）都按照ISO 26262规定流程和设计方法进行开发制作，必定会使开发成本大幅提高，造成资源、时间和人力的极大浪费，也使开发复杂度增加。因此，在对车道偏离预警系统开发设计时采用了三层监控概念，如图3所示。

由图3可知，车道偏离预警系统的控制器硬件部分分为两个核，分别为系统功能实现控制器和安全监控控制器。而在软件上共分为三层，分别为：

第一层的基本功能控制层，是非安全相关的功能软件，用来实现系统对各个功能模块的基本驱动控制。

第二层的功能监控限制层，是安全相关的监控软件。主要作用是监控第一层是否正确运行，如果计算出来的道路参数信息不符合实际情况或错误，则进入无效模式，并通过发出允许的相关命令对第一层的功能进行管控限制，使整车进入安全状态或尽量降低安全风险。

第三层的控制器监控层，同样是安全相关的监控软件。主要功能是利用其安全监控控制器实现对功能实现控制器硬件故障及失效的检测，尽量能够诊断出失效硬件的位置，为维护起到指导作用。

根据以上分析，车道偏离预警系统的第二层和第三层需按照标准ISO 26262安全相关组件的开发流程和要求进行开发，而第一层按照一般的E/E/PE开发流程开发即可。这样的设计开发模式即符合ISO 26262标准，实现系统的功能安全，又可最大程度的减少企业的开发成本和工作量，实现双赢。

2.3 系统的安全子系统设计

2.3.1 技术安全概念设计

技术安全概念是在系统设计的启动阶段根据系统架构提炼的功能安全需求创建的。针对车道偏离预警系统，技术安全概念设计如下：

（1） 根据LDWS的系统架构和从整车得到的该系统功能安全概念，将安全相关的各个功能模块详细列出，再结合各模块之间的信息传递和控制关系，进而制定出本系统三层监控概念中的第二层功能安全子系统逻辑框架，如图4所示。

（2） 在图4基础上，结合故障树分析（FTA）、预先危险性分析（PHA）、危险与可操作性分析（HAZOP）和影响分析（FMEA）等安全分析方法，制定出各模块实现车道偏离预警系统功能安全的技术解决方案，并细化为模块间的安全功能机制。

（3） 最后分配这些具体的技术安全需求到相应的模块与通信控制信号中，从而形成技术安全概念。

2.3.2 硬件的安全规范设计

标准ISO 26262对硬件的安全需求指标分为硬件架构失效率和随机硬件失效率[1]，其中硬件架构失效率主要由单点失效率和潜伏失效率组成，制定的用以评价系统在此方面的安全性量化指标如表1，表2所示。

由于车道偏离预警系统实现的安全目标最高ASIL 等级为ASIL B，且根据表1，表2可确定本系统安全目标相关硬件指标要求的参数（表中灰色部分）。同时考虑到本系统由摄像头、TMS320DM8168和报警显示等子系统组成，且上述参数指标也仅是对各个子系统总指标，因此，在安全目标由多个子系统共同作用实现时，这些子系统失效率之和不能高于上述指标。

在硬件开发阶段，LDWS的图像处理单元、报警显示等单元组件比较复杂，且系统中要求至少存在两个控制核，因此为了达到标准ISO 26262的要求，这些组件都必须严格按照ISO 26262的开发流程进行设计开发，并生成文档保存。硬件和传感器需按照ISO 26262的要求对其进行功能安全资格验证，只要能满足LDWS的安全参数要求，就可在安全子系统中使用。此外，可以通过增加冗余设计，减少单点随机失效率和潜在随机失效率，进一步提升系统的硬件架构指标目标值，实现安全目标。

2.3.3 软件安全规范设计

车道偏离预警系统安全子系统软件安全规范设计主要是针对三层监控系统的第二层功能监控限制层设计的。由于在本设计LDWS中包含两种不同安全等级的安全目标：ASIL A和ASIL B，而标准ISO 26262对不同的安全等级的软件设计实现和检测效验流程有不同的要求，且具有向下兼容的原则。考虑到采用不同的流程和检测效验流程对软件进行开发，会无形的增加LDWS的开发工作量和开发成本，延长产品的开发周期，因此功能监控限制层软件开发全部按照ASIL B等级的开发流程进行开发设计，其流程开发实现原则如表3所示。其中：“++”表示最高的推荐指数；“+”表示建议使用；“0”表示不建议使用或不需使用；灰色标注的为本设计选择的开发流程标准。

车道偏离预警系统安全子系统软件设计的主要内容为：评估和校验在整车行驶工程中计算出来的道路参数信息是否符合实际情况，是否计算发生错误，并在此基础上对报警提示控制单元发出相应的允许或者不允许的执行信号，从而使行驶中的整车在LDWS发生故障的情况下仍然处在安全状态。

3 系统的检验与评估

按照标准ISO 26262开发流程设计出的车道偏离预警系统如图5所示。道路参数和报警显示单元的响应速度进测试数据如表4，表5所示。

表4为在晴天白天场景下测试过程中选择的6个典型测试角度，由测量的偏离角度平均值[x]可知，经车道偏离预警系统计算处理得到的车辆与车道线偏离角度与实际值基本相同。但是随着角度的增大，标准差[σ]也随之增大，且在30°时出现一次严重错误，可见随着偏离角度的增大，测得的数据波动越严重，相对变得不稳定，但相对于测试的300次，出现的概率为0.33%（见表6），仍为小概率事件。因此系统测量到的数据是可靠的。

由表5可知，报警显示单元响应速度能达到要求，且测量到的数据也符合相应执行机构的规律和设计需求。机械结构执行时间要慢于电子器件，相对设计复杂的设备执行时间要长于简单设备的执行时间。在不同场景进行功能性测试，测试数据如表6所示。

从表6的数据可以得到光线强弱、行驶速度和路况清晰度对系统的正确执行有影响。对比每一种场景的低速（35～40 km/h）和中速（65k～70 km/h）下的误判率可知，车速快易造成误判，经分析确认问题为：系统使用的算法复杂度高，速度越快，实时性也越差。对比晴天白天、晴天傍晚和阴天三种场景下的误判率可知：光线越暗越易出现误判，其实质是影响CCD摄像头感光，使系统采集的图像干扰噪声增加，对车道线特征的提取造成了影响，但是误判率依旧能保持3.00%以下。但是，在雨天和雾天测试时，误判率明显提高，分析原因为：此场景下，行车周围环境的能见度变低，使拍摄的道路图像质量变低，车道线特征明显。通过以上分析说明本文设计的系统是可行的，但相关算法有待优化和提高，降低复杂度。

最后还需要根据ISO 26262道路车辆功能安全标准的要求，对系统及其各安全子系统进行检测确认和评估。因为系统的最高安全等级为ASIL B，因此采用独立性为i2的效验确认和评估方法。效验确认主要对所设计的系统的硬件安全计划、FTA、FMEA和FMA进行检测验证，结果证明设计的系统在技术安全概念和功能安全概念上符合ISO 26262的要求。为了能够对系统的各个安全子系统进行评估，在LDWS的开发过程中，共设置了3个评估节点，以方便在不同的开发阶段对系统进行评估并纠正可能出现的问题，并与开发过程构成“V”型模式；当整个系统设计完成后，对各个安全子系统的工程设计文档、开发流程和设计实现工程的安全活动进行第2次评估，结果证明所设计的LDWS同样符合标准ISO 26262，可以实现功能安全。

4 结 语

本文基于ISO 26262标准，以车道偏离预警系统为研究对象，进行了系统设计与规范验证测试。依据车道偏离预警系统在整车的实际需要和当前技术，将三层监控概念应用到了S车道偏离预警系统的开发流程中，并且实现了各个安全子系统的设计。车道偏离预警系统的开发流程和设计方法对汽车安全辅助驾驶其他的设备开发也具有一定的参考价值。

注：本文通讯作者为马行。

参考文献

[1] International Organization Standardization. Road vehicles?functional safety， part3： concept phase： ISO/FDIS 26262?3， 2011 [S]. New York： International Organization Standardization， 2011： 6.

[2] JORDAN N， FRANCK M， MYRIAM E J， et al. Objective and subjective evaluation of motor priming and warning systems applied to lateral control assistance [J]. Accident， analysis and prevention， 2010， 42 （3）： 904?912.

[3] 葛平淑，郭烈，杜元虎，等.基于CCD参数智能调节的车道线检测[J].汽车工程，2014，36（7）：779?784.

[4] 刘佳熙，郭辉，李君.汽车电子电气系统的功能安全标准ISO26262[J].上海汽车，2011（10）：57?61.

[5] 葛鹏，陈勇，罗大国，等.基于道路车辆功能安全标准ISO 26262的7DCT电控系统设计[J].汽车技术，2014（9）：21?23.

[6] 金涛，张海峰，李沁南，等.高速公路ETC车道单双天线布局的分析与比较[J].现代电子技术，2012，35（17）：150?153.