本文敘述選擇一個駕駛者監(jiān)控系統(tǒng)的原型來進行研究及證明，經由以模型為基礎的設計，如何可以加速端到端的AUTOSAR自適應軟體系統(tǒng)開發(fā)。

由Elektrobit（EB）開發(fā)的嵌入式軟體被執(zhí)行在全世界超過一百輛車上至少一億個裝置。這些EB開發(fā)的嵌入式軟體大多使用標準的V模型（V-model）和ASPICE流程來開發(fā)和驗證。雖然這些裝置運作情況良好，但因為手動編寫程式碼和其他需要大量勞力的手動任務，讓應用軟體開發(fā)速度變得緩慢。

我們團隊要來證明以模型為基礎的設計可以加速端到端的AUTOSAR自適應（AUTOSAR Adaptive）軟體系統(tǒng)開發(fā)。選擇一個駕駛者監(jiān)控系統(tǒng)的原型來進行這項專案，該系統(tǒng)會在駕駛閉上眼睛，而且沒有馬上再睜開時發(fā)出警報，因為這可能代表駕駛者睡著了（圖1）。

圖1 : 駕駛者監(jiān)控系統(tǒng)的模擬，可以看到從串流影片偵測到的人臉和眼睛。

為了要展現以模型為基礎的設計來開發(fā)的效率，設定下一個野心勃勃的期限：要在三個月之內完成設計、實現、測試、以及整個系統(tǒng)的驗證。如果使用傳統(tǒng)的設計方法來進行同樣的專案，可能會要花上至少一年的時間。

定義需求及劃分設計

我們從定義需求來開始這項專案。高層級的需求包含即使是在駕駛者帶著眼鏡時也要偵測到閉眼，將錯誤警報率維持在3%以下，以及透過自適應AUTOSAR （Adaptive AUTOSAR）發(fā)送警報給EB的人機介面（human machine interface；HMI）。

在初期，與MathWorks工程師合作開發(fā)系統(tǒng)架構，並且將我們的需求映射到架構內的功能模塊（圖2）。

圖2 : 駕駛者監(jiān)控系統(tǒng)的頂層Simulink模型。

在設計的頂層有兩個主要的模塊。第一個是電腦視覺元件，它負責處理從攝影機來的輸入資料，並且依串流影片產生訊號—例如偵測到人臉、偵測到眼睛、閉眼。第二個模塊是AUTOSAR自適應函式模塊，它負責過濾這些訊號，並且決定是否要啟動警報。這個模塊包含一個連接到EB corbos AdaptiveCore軟體架構的介面，這個架構是用來整合模塊與HMI。

設計的建模與驗證

將設計劃分成具備清楚定義介面之元件（圖3）可獨立處理每一個元件。在Simulink建立電腦視覺元件，它使用一個預先訓練的深度學習網路以及電腦視覺工具箱（Computer Vision Toolbox）來偵測人臉及眼睛。

為了要驗證這個模型，我們讓模型處理預先錄製好的駕駛者臉部影片來執(zhí)行模擬。這些影片是從各種角度和不同的周遭照明條件來錄製。影片也包含駕駛者帶著眼鏡及不戴眼鏡的條件，以確保系統(tǒng)可以在各種操作場景下偵測閉眼。

圖3 : 電腦視覺元件的Simulink模型（上）和過濾元件（下）。

過濾元件以電腦視覺元件的輸出資料作為輸入。它追蹤「偵測到眼睛」和「閉眼」的訊號值，過濾掉短時間的眨眼，並且當訊號顯示駕駛者眼睛閉上的時間太長時透過AUTOSAR自適應啟動警訊，與EB AdaptiveCore軟體架構溝通。從頂層的Simulink模型產生了一個單元測試模型，可以執(zhí)行系統(tǒng)驗證與評估設計是否符合ISO 26262。

程式碼生成與硬體部署

透過模擬驗證設計之後，我們把設計部署到原型硬體設置來測試它。這個設置包含兩塊Raspberry Pi 3 B+板，其中一個作為DMS系統(tǒng)，另一個做為測試設置用，包含HMI、駕駛者輸入資料、以及環(huán)境。兩塊板子都透過乙太網路來連接（圖4）。

圖4 : 硬體測試設置。

我們將電腦視覺元件和過濾元件轉換為符合MISRA的C/C++程式碼。在電腦視覺元件的程式碼完成之後，直接把它部署到第一塊Raspberry Pi板。

至於過濾元件，將產生出包含ARXML檔案的程式碼匯入到EB corbos Studio。在corbos Studio編譯元件，並且將它當作一個AUTOSAR軟體元件部署到同一塊Raspberry Pi上。電腦視覺與過濾元件透過一個行程間通訊（interprocess communication；IPC）介面來連接。第二塊Raspberry板子是用來執(zhí)行基礎EB corbos AdaptiveCore軟體和EB GUIDE HMI來當作一個車輛儀表板。

當程式碼執(zhí)行在兩塊板子上，透過即時的攝影機串流影片測試系統(tǒng)，並且驗證HMI正確地在影片中的人閉上眼睛時發(fā)出「閉眼」警報。

從概念驗證到現實世界應用

由於駕駛者管理系統(tǒng)是一個作為概念驗證的原型，它在開發(fā)階段不要求完全符合ISO準則。然而，專案的準備則確實需要符合ISO，因此我們使用Model Advisor來檢查模型是否涵蓋了所有的要求，並且符合ISO 26262、ISO 61508和MISRA C:2012等標準。

在以模型為基礎的設計展現出能夠加快自適應AUTOSAR軟體開發(fā)速度的實力之後，我們現在打算擴大使用它。我們團隊計畫將安全性功能以及處理器迴圈（processor-in-the-loop）測試納入工作流程，也正在幫助EB其他工作地點的同事開始使用以模型為基礎的設計。

（本文由鈦思科技提供；作者Thomas Kleinhenz、Seyed Nourbakhsh、Stefan Zurbes任職於Elektrobit公司）