如之前的章节所述《手把手教你分析自动驾驶功能安全（一）》，功能安全首先是要根据系统实现功能目标进行需求分析，以便在开发设计初期实现安全风险最小化。以下以具体的ADAS系统子功能实例（LKA、ACC）讲解功能安全如何进行分析定义确定相应的ASIL等级，如何根据ASIL等级进行需求分解，以保证最终ADAS系统功能安全满足要求。

一、车道保持辅助系统LKA

1、对象定义

1.1 对象相关项定义

• 定义LKA整车级功能性的需求；

功能描述：根据引导线将车辆保持在车道中央；

• 定义LKA环境要求

工况描述：具有清晰车道线的行车道；

限制条件：

1、转向力矩过小；

2、速度超过上下限制；

3、脱手时间对整个系统激活有影响；

抑制条件：转向灯, 转向力矩, 制动灯/制动力, EPS状态, 加速踏板状态, 脱手状态

• 定义LKA系统要素

输入信号：车辆速度，横摆角速度，转向角

• 定义LKA与其他关联对象的要求

实现方式：通过发送转向力矩给转向系统EPS进行横向控制，将车辆纠偏至车道中央；

1.2对象回路

在对象回路中，设计LKA相应的对象有如下；

2、危险分析和风险评估

2.1 危害识别

针对LKA对象回路可能出现的危害识别如下：

• 感知端：无法正确识别车道线，LKA系统无法对实际环境做出正确的响应；

• 决策：LKA功能逻辑仲裁机制、算法不合理，导致输出错误的转向角或转向扭矩；

• 执行：EPS执行机构错误的执行LKA输出的转向角，难以完美控制；

以上描述中重点体现在整车执行错误的转向角及转向扭矩后，车辆偏离原始路径进入别的车道，甚至驶出正常行车道。

2.2  功能安全ASIL等级分析

ASIL（LKA）= S3+E4+C3 =10，所以LKA的ASIL等级为D级

3、功能安全目标分解

功能安全标准：最大允许的非期望的车道偏离，即当在一定时间内即将偏离车道行驶后，驾驶员需要接管对车辆的控制，若驾驶员未接管车辆控制，则LKA需自动调节控制恢复整车控制；

每一种扭矩波动都存在相同的风险，其风险分析应包含所有的工况，不同的使用工况其抗风险能力不同，ASIL等级也不相同，LKA系统功能要求执行器在判断超过响应限值情况下，可以具备一定的抗风险能力；

LKA系统总体执行目标时ASIL D，可以分解为控制端和执行端分别产生不同的功能安全要求等级，如下图，最终实现功能安全等级为ASIL D=QM（ADAS）+ASIL D（EPS）；

二、自适应巡航控制系统ACC

1、对象定义

1.1 对象相关项定义

• 定义ACC整车级功能性的需求；

功能描述：ACC采用前雷达或融合前视摄像头探测本车前方车辆，通过发动机管理系统EMS或制动系统ESC来控制本车的速度，并保持与前车合适的跟车距离。ACC属于L1级智能驾驶辅助功能，要求驾驶员双手切勿离开方向盘，实时观察车况、路况信息，能及时接管对车辆的控制。；

• 定义ACC环境要求

工况描述：一般情况的道路均可正常使用ACC，在隧道或反射面过多的场景下功能可能受影响；

限制条件：

1、加速力矩超过限值；

2、速度超过上下限制；

3、减速度响应超过限值；

抑制条件：制动力/电子手刹, ESP功能状态，加速踏板, 安全带/车门/, ESC/EMS/TCU状态, 驾驶员状态；

• 定义ACC系统要素

输入信号：车辆速度，车辆横纵向加速度，横摆角速度，转向角

• 定义ACC与其他关联对象的要求

实现方式：通过发送正向扭矩给动力系统EMS进行加速控制，将车辆加速至期望的速度值；通过发送减速度给制动系统ESC进行减速控制，将车辆减速至期望的速度值；

1.2对象回路

在对象回路中，设计ACC相应的对象有如下；

2、危险分析和风险评估

2.1 危害识别

针对ACC 对象回路可能出现的危害识别如下：

• 感知端：无法正确探测到前方目标，ACC系统无法对实际环境做出正确的响应；

• 决策：ACC功能逻辑仲裁机制、算法不合理，导致输出错误的制动力或驱动扭矩；

• 执行：EMS错误的执行ACC输出的扭矩请求，ESP错误的执行ACC输出的制动请求；

以上描述中重点体现在整车执行错误的扭矩请求及制动请求后，车辆加速异常或减速异常。

2.2  功能安全ASIL等级分析

针对不同的功能安全目标输出进行不同的风险分析，最终得出每一项功能安全目标对应的ASIL等级。

3、功能安全目标分解

功能安全标准：最大允许的非期望的自车加速或制动，即当在一定时间内自车产生非期望的加速或制动后，驾驶员需要接管对车辆的控制，若驾驶员未接管车辆控制，则ACC需自动调节恢复整车控制；

3.1功能安全分解

• 危害性分析（HazardAnalysis）：避免执行太高或非期望的制动力；

• 功能安全目标：ASIL C

• 危害性分析（HazardAnalysis）：避免执行太低的制动力；

• 功能安全目标：ASIL D

• 危害性分析（HazardAnalysis）：避免太高或非期望驱动扭矩；

• 功能安全目标：ASIL B；

• 危害性分析（HazardAnalysis）：避免太低的驱动扭矩；

• 功能安全目标：ASIL A；

• 危害性分析（Hazard Analysis）：避免非期望的保压力（此工况完全有执行器控制）；

• 功能安全目标：ASIL A；

• 危害性分析（HazardAnalysis）：避免过低的保压力；

• 功能安全目标：ASIL C；

三、硬件安全需求策略

由于以上分解方式，LKA端的功能安全为QM，ACC端功能安全也为QM，也即无功能安全要求，具体到每种工况下相应系统的功能安全将由相关执行器EPS/ESP/EMS来实现。根据ISO26262推荐查表，可以从减少EPS硬件单点失效率，潜在失效率，随机硬件失效率来实现。比如针对LKA要求EPS功能安全为ASIL D，则对EPS硬件失效的要求可表示如下。

• Signal-point fault metric > 99%

• Latent fault metric > 90%

• Random hardware failure rate < 10-8/h

1.软件安全需求策略

ADAS软件开发层面需要重点关注由于发送或执行端失效即将违反功能安全目标时，如何通过软件控制整车不失控并维持在一个安全状态。

如下举例针对部分软件控制对功能安全的策略：

• LKA通过从执行器EPS软件层面上可通过限制执行的最大扭矩，当ADAS发送端扭矩过大超过执行端限制扭矩值时，执行端只执行到其功能安全允许的最大扭矩值。

• ACC通过发送保压请求给ESP进行保压，当驾驶工况进入的是坡道或其他极端工况时，车辆溜车，则ADAS系统可以通过ESP进行二次加压，或直接拉起电子手刹保持车辆不溜车，维持安全目标。

四、功能安全对ADAS开发建议

目前大致了解了功能安全如何进行分析，对于工程师来说，开发的进阶性远不止如此，比如针对市场对ADAS系统的其中一个抱怨点就是ACC跟停时间太短（目前行业标准是3s），但是针对功能安全分析我们不难发现，该时间受限于驾驶员是否在车内这一因素，因为系统需要确保重新起步过程中，整车具有足够的横向受控力。如下图描述了相应的提升方案，从系统层面上需要达到功能安全B级，ADAS端只能满足QM，那么剩余的要求是对系统需要保证驾驶员在车内的要求，那么就可以通过要求另外的关联系统如车门、安全带等输入信号告诉系统驾驶员在车内，并且这些信号满足ASIL B即可。

总结：本文分别从典型的横向控制功能LKA和纵向控制功能ACC详细解析了ADAS功能安全如何分析，分析主要涉及感知层、控制层和执行层，工程师在分析各个系统功能安全时，应该充分重严重度、暴露度、可控度三个方面进行分析，并全面预测可能出现的失效，制定相应的软硬件解决指标要求。尽管这些指标通常被视为标准要求，但在实际应用中，它们一般只被视为建议，供应商可以自行制定目标参数。最重要的目标是打造安全的产品，而不是在产品参数表上多加几个数字。