一文读懂汽车功能安全

baoshijie

/ 导读 /

近些年来，功能安全在汽车传统底盘域和动力域的应用已较为成熟，各大汽车企业功能安全意识也逐渐增强。在辅助驾驶和自动驾驶爆发式增长的大趋势下，现代汽车的功能安全在目前尤为复杂的电子电气系统中就显得更为重要，功能安全也是辅助驾驶和自动驾驶系统中不可缺少的组成部分。

然而在现实场景中，由于L3及以下的辅助驾驶系统技术尚未成熟，行业一直在比拼更低的价格成本和更短的开发周期，而这与贯彻功能安全的“昂贵”和“慢工出细活”相矛盾。由此造成在市场激烈的竞争中，功能安全往往要进行必要的妥协，但过多的妥协将失去安全保障的意义，功能安全从业者正在思考如何守住功能安全的底线。



何为汽车功能安全？

随着汽车智能化和电气化技术的快速普及，车内控制器和各种电子部件越来越多，而各类电子部件都存在系统性失效和随机硬件失效的风险，因此相应的汽车功能安全变得越来越重要。在汽车电子行业，功能安全国际标准ISO26262（是基于IEC61508 (Generic standard for Functional Safety of electrical/electronic systems）并适用于汽车行业的标准）和对应国标GB/T34590将功能安全定义为：避免因电子电气系统故障而导致不合理的风险。即随机硬件失效和系统性失效不会导致安全系统的错误功能，从而导致人的伤害死亡。ISO 26262是史上第一个适用于道路车辆的功能安全标准。

在ISO26262国际标准中，汽车功能安全主要包含了以下几类指导：

1. 指导你如何量化产品的安全等级；

2. 指导你如何根据不同安全等级设计对应的安全措施；

3. 指导你如何控制系统性故障和随机硬件故障；

4. 指导你如何管理功能安全（包括流程，安全管理制度、安全流程、安全审核等）。



功能安全等级的定义是为了对失效后带来的风险进行评估并指导风险降低到可接受的程度所需要遵循的要求。一般简称ASIL(Automotive Safety Integration Level-汽车安全完整性等级) ，ISO26262根据汽车的特点，在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。

ASIL按照严重性（Severity ）、可能性（Exposure ）和可控性（Controllability）评估危害事件的风险级别等级，共分为QM、A、B、C、D五个等级，ASIL D是最高的汽车安全完整性等级，对功能安全的要求也最高。



按照以上的划分并进行组合相加得到的5个ASIL等级,原则是：

（1）基本可控的C0组合和无伤害S0的组合不考虑；

（2）其余组合相加等于7分为ASIL A，等于8分为ASIL B，等于9分为 ASIL C，等于10分为 ASIL D；

（3）其余得分安全评定为QM，只要遵循标准的质量管理流程(IATF16949)，与功能安全无关。



ASIL汽车安全完整度等级矩阵

从产品安全的角度说，可以把安全分传统安全和E/E功能安全，传统安全包括：与触电、火灾、烟雾、热、辐射、腐蚀性、能量释放等相关的危害，此类传统安全问题均不属于功能安全考虑范围之内。功能安全只考虑E/E系统安全，例如汽车架构、系统、软件、硬件等方面的失效所导致的整车安全行为，强调在汽车产品的开发过程中如何避免预防、探测、降低或消除风险。它关注的是系统发生故障之后的行为，而不是系统的原有功能或性能。因此功能安全的目的就是系统发生故障后，将系统进入安全可控的模式，避免对人身造成伤害。

目前，欧洲所有OEM整车厂要求必须配备功能安全；美国的OEM整车厂已经在研究如何实施功能安全；亚洲的OEM（丰田，现代，吉利等）也已经明确要求功能安全。功能安全和ASPICE基本成为了目前汽车行业的通识和标准。

只有经过充分的设计讨论，严格的测试验收后的汽车功能安全，才能发挥其最大作用，将车辆的安全性及稳定性保障在一个可以接受的范围内。



汽车功能安全的必要性

目前，辅助驾驶已经逐渐成熟并且大量布局在量产车上，司乘已可切身感受到辅助驾驶带来的方便快捷。但与此同时，由于使用辅助驾驶而造成的事故也逐渐增多。这方面，无论是由于算法的设计缺陷造成的部分全新场景下的失效，亦或是硬件损坏导致的辅助驾驶功能受损失效，都将导致车辆在一定时间内处于失控状态，如果此时驾驶员不能及时接管或者留给人类驾驶员接管的时间所剩无几，就会造成严重的事故。而功能安全想要做到的，便是使得这些故障隐患尽可能地消灭在萌芽之中，即产品的开发设计验证阶段。从这方面来看，功能安全保障了汽车最基本的安全属性，是现代汽车行业内不可或缺和至为重要的一环。

纵使希望将所有的缺陷与故障在汽车售卖前全部发现并修复完毕，但对当前汽车上的电子电气系统来说，完全消除风险是不现实的。现在的车上有几十甚至上百个ECU系统，其中的代码有几亿行，随着使用时间的增长，电子元器件发生故障的可能性也越来越高，更不用说由上亿行代码构成的复杂系统带来的不可预知的风险。因此功能安全的目的并不是为了彻底消除风险，而是把风险降低到一个可接受的范围。



功能安全分析方法

功能安全分析需要在概念设计阶段，根据相关项定义的功能，分析其功能异常表现，识别其可能的潜在危害(Hazard)及危害事件(Hazard Event)，并对其风险进行量化(即确定ASIL等级)，导出功能安全目标(Safety Goal)和ASIL等级，以此作为功能安全开发最初最顶层的安全需求，也就是所谓的为HARA(Hazard Analysis and Risk Assessment)，具体流程如下图：



在HARA过程中，以及从SG到FSG都需要进行安全分析，一般有归纳分析法和演绎分析法两种方法，其中FMEA(Failure mode and effects analysis,即失效模式与影响分析)和FTA(Fault tree analysis,即故障树分析)是归纳和演绎最具代表性的分析方法，也是功能安全开发最常用的安全分析方法。
(1) FMEA失效模式与影响分析(Failure mode and effects analysis)是一种自下而上的故障分析方式。对构成产品的子系统、部件逐一进行分析，找出潜在的失效模式，并分析其可能的后果，从而预先采取必要的安全措施。从多个个别事物中获得普遍规律的方法。
(2) FTA故障树分析(Fault tree analysis)是一种自上而下的故障分析方式。从追溯失效开始，辨别出导致故障的情况或事件，从而找出导致故障的根本事件或原因。从已知定律经过逻辑推演得到新的定律的方法。
评估出风险的ASIL等级后，需要采取一定的安全措施把风险降低到可以接受的范围。当达到这个目标后，此系统可以称为具有相应的ASIL功能安全等级，也就是说功能安全等级是和风险的等级相对应的。



宏景智驾——功能安全“缓解”理念的执行者

一个好的功能安全系统，能够在事故发生时，快速检测出问题出现的来源，并根据定位到问题发生的原因来行之有效地做出缓解的解决措施，让事故发生的时机延缓一些，从而留出更多的时间并将更明显的信号给到驾驶员以接管，从而避免事故的发生或降低事故的伤害。

目前，受限于市场竞争及落地需求，功能安全缺少足够的重视与关注，做的好的企业更是少之又少。这一方面是由于功能安全系统设计的复杂性，导致这方面没有足够积累的企业难以设计并执行如此复杂的系统；另一方面也是由于当前激烈的市场竞争下，企业更多考虑的是投资与收益的风险，在消费者看不到的功能安全领域投入过多却看不到相应的收益，使得企业望而却步。
其实只要功能安全系统的顶层设计好，拥有成熟的理论储备及理念，一样可以有成本低且有效的功能安全落地方案。宏景智驾便是将功能安全“低本高效”理念推到台前并坚定实施的一家企业，并借助辅助驾驶中人类驾驶员的参与作用，将贯彻功能安全的“缓解”理念（缓解事故发生时间及严重程度等），从而实现了一整套兼顾现阶段技术可行性及高性价比的功能安全方案。
让我们想象这样一类场景：在自动驾驶领域，感知子系统的失效必然会导致车辆非期望的行为，如加速、减速、错误的转向，而其中某些非期望的行为是存在不可接受的安全风险的。在实际应用中，针对感知子系统的失效，安全概念可以是针对感知子系统的故障侦测，然后进入安全状态。当继续进行故障侦测概念的分解时，可能会采用大量的分析方法、如FTA或FMEA，理论上是完全有可能把各种失效模式都能分析清楚的，但事实上却耗费了大量的时间。即使获取了失效模式，也并不一定意味着所有的失效都能有对应的诊断技术来解决，并且过多的诊断技术对于成本的压力是巨大的。而自动驾驶感知的子系统包括了智能传感器、AI算法以及融合算法等，复杂度远超传统传感器，仅感知系统所引申出的安全概念就很难适应现有量产系统的技术水平及开发周期。



针对上述场景，为实现L2中的ADAS功能如ACC、LCA等，宏景智驾将功能安全方案换成了以下几类：
1、驾驶员是系统故障检测的主体（虚拟成安全机制-故障侦测）2、当故障发生后，驾驶员主动控制系统进入安全状态（虚拟成安全机制-故障响应）3、当人作为安全机制时，应当确保人的有效性，需要确保人在线和人及时反应。4、横纵向都控制的功能必须具备驾驶员在线侦测手段，如DMS系统、驾驶员脱手检测等5、为确保在系统失效的场景下，人有足够的反应方式和反应时间，需要确保系统的功能输出处于一个被限制的状态，将减缓失效后果或延长危害传播时间，以上均有利于驾驶员接管。例如，限制横向控制的最大角度、变化率、力矩，确保系统故障后仍然能确保车辆偏出车道的时间在可接受的范围内，普通驾驶员在注意力集中的条件下，能轻易的接管转向并控制车辆在本车道内的行驶。6、提供驾驶员接管车辆可靠的路径，即当驾驶员接管车辆进入安全状态时，系统确保完全响应驾驶员的请求，如制动退巡航功能、方向盘接管横向控制功能等。
从以上方案中我们能看出，宏景智驾充分利用在辅助驾驶的情况下，驾驶员必须随时监控以接管车辆的特点，提出的功能安全理念能够更加行之有效地避免事故的发生，从功能安全系统的设计层面便领先其他厂商一步，进而实现一套低成本且高效的功能安全系统方案。


总结
在汽车行业越来越发达的今天，汽车上的电子电气系统也变得日趋复杂，功能安全系统也越来越受到重视，拥有一整套好的功能安全解决方案也被越来越多的车企提上了日程。自动驾驶作为未来汽车上必不可少的功能，是人工智能技术从科研走向商业化应用的最重要的落地场景，其最终目的是提升效率和解放人类的时间。而追求效率的前提，是保障驾乘人员和其他交通参与者的安全，有着成本低且有效的功能安全落地方案的宏景智驾，已然走在了行业前列。

正文 END