汽车电子功能安全FuSa之二：L3级以上故障运行及安全机制

前言

M&S可能很适合有效地评估ADS可能经历的各种潜在的失效模式，以及它可能失效的各种初始条件。

一些故障模式的常见根源，包括噪音和延迟，可以被建模用于虚拟测试。

故障注入和故障分析可以在虚拟环境中安全进行，但在封闭道路或开放道路测试中使用真实系统时，它们会带来危险。

此外，在ADS设计和开发过程中，M&S可以支持故障模式分析的早期和迭代，远在原型测试车辆或系统可用之前。

概述

本文描述了对ADS的FO和FS机制的评估方法。

当系统不能按预期运行时，ADS将使用FO和FS机制。

这些机制使ADS能够在最大程度上达到使车辆及其乘员脱离危险的MRC。

定义、测试和验证实现MRC的FO和FS策略是确保ADS安全运行和部署的重要步骤。

MRC

MRC在SAE J3016中被定义为：

用户或ADS在执行DDT接管后可使车辆达到的状态，以减少在特定行程不能或不应该完成时发生碰撞的风险。

DDT