正在 SAE J3016:2018 中确认的六个等第的车辆主动化体例中，一至二级被称为驾驶员辅助体例，三级以上则被划分为主动驾驶体例，三级以上主动驾驶效用中车辆和驾驶员

正在 SAE J3016:2018 中确认的六个等第的车辆主动化体例中，一至二级被称为驾驶员辅助体例，三级以上则被划分为主动驾驶体例，三级以上主动驾驶效用中车辆和驾驶员职守的决裂带来了效用职守的交割，进而带来了效用策画和体例架构上的改造。

以 TTTech zFAS 正在 Audi A8 量产的主动驾驶效用 Traffic Jam Pilot（交通拥堵驾驶）为例，正在效用上简内陆说即是，用户正在效用策画运转区间内启动效用后，车辆通过境遇修模做出旅途筹备和职掌，竣工车道线内的主动跟车效用。

Audi A8 正在前向传感器计划上拣选了一枚前向激光雷达，一枚前向长隔绝毫米波雷达，两枚中隔绝毫米波角雷达，一枚前向广角镜头和两枚侧鱼眼镜头。正在传感器性子方面可能竣工物体识别，车道线识别，相对隔绝测距等效用。自量产以还，Audi A8 的传感器计划就受到了大宗的合怀，激光雷达的存正在需要性饱受争议，但究其传感器选型的性质起因，除了本能央求外，平和央求也是此中的需要考量要素。

按照 ISO26262-4 中「车辆 E/E 体例阻滞导致的平和违规动作」以及 SOTIF 中「导致 E/E 无阻滞体例下过错传感器数据以及基于统治算法正在传感器输入上该当避免和减轻的，以使体例处于平和形态」的需求。正在映现阻滞时，体例必需合上或必需通过（告急）操作驱动。这意味着正在 SAE Level 3 之后，卓殊是正在 SAE Level 4 之后，有需要为失效操作供应效用平和、体例可用性和体例冗余的革新处理计划。革新处理计划正在体例平和范围中的央求可能剖释为假使映现效用失效，必需正在短时候内使体例连结正在开启形态。为了告竣这一方针，一方面可能通过策画危急最小化的简便效用抵达效用失效形态下危急职掌的方针，另一方面则可能通过精确开辟体例平和架构机制和失效操作平和架构机制的办法来职掌危急。SAE Level 3 的效用策画受限于高速公途等策画运转区间，而策画运转区间正在分别时候空间上呈现出的性子往往分别，正在无相干类型诱导的处境下，体例平和架构机制和失效操作平和机制就成为了杰出的危急职掌首选计划。目前正在体例平和架构机制上梗概分为两种，古板的 Fail-safe 平和机制以及摩登的 Fail-operational 平和机制，Fail-safe 平和机制央求体例监控要害的部件以抵达失效后体例合断的宗旨，如正在效用运转经过中监控摄像头体例，正在摄像头无法平常做事时合上体例以避免体例伤害。

上图是经典的驾驶辅助体例上等级效用架构模块示图谋，Sensor，Processing，Actuator 为体例平常做事形态下的效用通道，下方地位的 Monitoring 模块通过音信的反应监控效用的形态。这种基于 Fail-safe 平和机制的架构计划正在竣工上与古板 ECU 好像，正在体例架构中操纵 SEooC 的办法满意效用平和的需求。但虽然效用平和的需求正在 Fail-safe 的计划下可能被满意，主动驾驶效用自己「性子」的需求却无法满意。正在 TJP 形态下 50KM/H 做事的经过中，当驾驶员并未做好驾驶打定时映现了 Fail-safe 架构下的体例失效，体例倏地的宕时机紧要影响驾驶平和性，形成最高 AIS 6 等第的人身妨害。

Ref：SAE J3016:2018 Use case sequence for a level 3 feature showing ADS engaged, occurrence of a failure or out-of-ODD condition, and the fallback-ready user performing the fallback, or, if the fallback-ready user fails to do so, a failure mitigation strategy, such as stop-in-lane.nal 平和架构的存正在处理了体例倏地失效宕机也许形成的伤害，这种架构可能竣工要害体例模块的冗余，通过正在两个或者众个分别的硬件和软件中竣工众样性陈设的办法，正在体例失效的处境下供应备用处理计划。这些分别的硬件和软件也许有分别的物理特色，乃至来自于不必的开辟团队和公司，效用即是供应要害音信的异构冗余。正在 Fail-operational 的平和架构下有众种策画思绪，常睹的有 1-Out-Of-2 Safety Architecture （1oo2），2-Out-Of-3 Safety Architecture （2oo3） etc。

1-Out-Of-2 Safety Architecture （1oo2）的平和架构往往由两个独立的统治单位构成，两个独立的统治单位或许独立职掌践诺器，当一个统治单位发作阻滞时，通过诊断模块供应的阻滞音信，体例仍可正在第二通道运转，这种处理计划通俗存正在于极少低本钱的要害零部件中。

2-Out-Of-3 Safety Architecture （2oo3）的平和架构被通常地运用正在航空电子兴办中，正在这种平和架构计划下，三个独立的统治单位相互冗余并两两校验正在输出端操纵两个独立的判别单位对统治单位的输出举行校验，若三途输出同等则体例做事平常，若一块映现阻滞体例仍然可能持续运转此外两途运算单位，这种高本钱的处理计划正在代价兴奋的同时也会带来开辟经过中如功耗散热题目的大宗手艺困难和供应链治理的繁复题目。nal 平和架构的思思扩展到 SAE Level 3 以上的实在主动驾驶体例开辟中，体例失效形态下的鲁棒性即是一个要害的议题，假使体例正在失效形态下正在车辆道途上倏地截至做事，联络高鲁棒性和本钱的探讨，正在主动驾驶职掌器的拣选上可能操纵 1oo2 的处理计划。

这种策画形式央求异构的传感器输入被独立即统治，异构的传感器摄像头，毫米波雷达以及激光雷达（等）供应冗余的感知计划，这也就疏解了 Audi A8 上搭载激光雷达的需要性。正在效用平常运转的经过中，摄像头供应物体车道线D 音信，毫米波雷达供应物体相对地位音信，激光雷达供应物体车道线音信，通过冗余的传感器协调计划供应冗余的车道线和物体要害音信，Core 1 和 Core 2 两块高本能统治器同时做事统治效用逻辑，并将输出转达到平和芯片的 Core 3 长进行比照。当比照结果映现过失则进入降级失效通道，运转正在 Core 1 或 Core 2 上的平和泊车效用。

正在 1oo2 的架构层面思思下，TJP 的效用正在逻辑层面上可能被理解为三个通道，通道 1 和通道 2 相互独立，相互冗余，正在平常做事形态下彼此校验做事。正在两异构通道输出分别时，由 Safe Chip 上的阻滞检测机制转入第三通道举行告急操作至平和形态。

正在面向如 TJP 一类 SAE Level 3 效用 ASIL D 平和方针的处理计划中，按照 ISO26262 5&6 的需求，体例平和观念正在 SoC 上效用平和的央求可能分为软件和硬件两个层面，软件片面正在 SEooC 观念下，通过 AUTOSAR 的办法供应高内聚低耦合的体例组件架构央求。

硬件层面上效用平和看待 SoC 的央求则要紧呈现正在单点失效怀抱 Single-Point Fault Metric 和潜正在阻滞怀抱 Latent Fault Metric 两个方面，前者显示体例阻滞的鲁棒性以及正在阻滞处境下看待非阻滞效用的影响水准，值越高，必需采纳的程序越众，后者则更合怀体例阻滞之后带来的阻滞解析。

从体例平和观念层面理解下来看待硬件上的需求最初是具有锁步效用的众核统治器以支柱高本能策画需求下的冗余计划，其次须要具有内存扞卫体例，信号量可能支柱众个人例依时器的硬件扩展，以支柱闪存分段和效用分开的需求。内部的自检效用和每个 CPU 的孑立重置效用以支柱体例层面效用平和等等。

汽车测试网-创始于2008年，报道汽车测试手艺与产物、趋向、动态等 合系邮箱 marketing#auto-testing.net (把#改成@)