一文讀懂汽車功能安全

本文來源：智車科技

/導讀/

近些年來，功能安全在汽車傳統底盤域和動力域的應用已較為成熟，各大汽車企業功能安全意識也逐漸增強。在輔助駕駛和自動駕駛爆發式增長的大趨勢下，現代汽車的功能安全在目前尤為復雜的電子電氣系統中就顯得更為重要，功能安全也是輔助駕駛和自動駕駛系統中不可缺少的組成部分。

然而在現實場景中，由于L3及以下的輔助駕駛系統技術尚未成熟，行業一直在比拼更低的價格成本和更短的開發周期，而這與貫徹功能安全的“昂貴”和“慢工出細活”相矛盾。由此造成在市場激烈的競爭中，功能安全往往要進行必要的妥協，但過多的妥協將失去安全保障的意義，功能安全從業者正在思考如何守住功能安全的底線。

何為汽車功能安全？

隨著汽車智能化和電氣化技術的快速普及，車內控制器和各種電子部件越來越多，而各類電子部件都存在系統性失效和隨機硬件失效的風險，因此相應的汽車功能安全變得越來越重要。在汽車電子行業，功能安全國際標準ISO26262（是基于IEC61508 (Generic standard for Functional Safety of electrical/electronic systems）并適用于汽車行業的標準）和對應國標GB/T34590將功能安全定義為：避免因電子電氣系統故障而導致不合理的風險。即隨機硬件失效和系統性失效不會導致安全系統的錯誤功能，從而導致人的傷害死亡。ISO 26262是史上第一個適用于道路車輛的功能安全標準。

在ISO26262國際標準中，汽車功能安全主要包含了以下幾類指導：

1. 指導你如何量化產品的安全等級；

2. 指導你如何根據不同安全等級設計對應的安全措施；

3. 指導你如何控制系統性故障和隨機硬件故障；

4. 指導你如何管理功能安全（包括流程，安全管理制度、安全流程、安全審核等）。

功能安全等級的定義是為了對失效后帶來的風險進行評估并指導風險降低到可接受的程度所需要遵循的要求。一般簡稱ASIL(Automotive Safety Integration Level-汽車安全完整性等級) ，ISO26262根據汽車的特點，在產品概念設計階段對系統進行危害分析和風險評估，識別出系統的危害，如果系統安全風險越大，對應的安全要求級別就越高，其具有的ASIL的等級也越高。

ASIL按照嚴重性（Severity ）、可能性（Exposure ）和可控性（Controllability）評估危害事件的風險級別等級，共分為QM、A、B、C、D五個等級，ASIL D是最高的汽車安全完整性等級，對功能安全的要求也最高。

按照以上的劃分并進行組合相加得到的5個ASIL等級,原則是：

（1）基本可控的C0組合和無傷害S0的組合不考慮；

（2）其余組合相加等于7分為ASIL A，等于8分為ASIL B，等于9分為 ASIL C，等于10分為 ASIL D；

（3）其余得分安全評定為QM，只要遵循標準的質量管理流程(IATF16949)，與功能安全無關。

ASIL汽車安全完整度等級矩陣

從產品安全的角度說，可以把安全分傳統安全和E/E功能安全，傳統安全包括：與觸電、火災、煙霧、熱、輻射、腐蝕性、能量釋放等相關的危害，此類傳統安全問題均不屬于功能安全考慮范圍之內。功能安全只考慮E/E系統安全，例如汽車架構、系統、軟件、硬件等方面的失效所導致的整車安全行為，強調在汽車產品的開發過程中如何避免預防、探測、降低或消除風險。它關注的是系統發生故障之后的行為，而不是系統的原有功能或性能。因此功能安全的目的就是系統發生故障后，將系統進入安全可控的模式，避免對人身造成傷害。

目前，歐洲所有OEM整車廠要求必須配備功能安全；美國的OEM整車廠已經在研究如何實施功能安全；亞洲的OEM（豐田，現代，吉利等）也已經明確要求功能安全。功能安全和ASPICE基本成為了目前汽車行業的通識和標準。

只有經過充分的設計討論，嚴格的測試驗收后的汽車功能安全，才能發揮其最大作用，將車輛的安全性及穩定性保障在一個可以接受的范圍內。

汽車功能安全的必要性

目前，輔助駕駛已經逐漸成熟并且大量布局在量產車上，司乘已可切身感受到輔助駕駛帶來的方便快捷。但與此同時，由于使用輔助駕駛而造成的事故也逐漸增多。這方面，無論是由于算法的設計缺陷造成的部分全新場景下的失效，亦或是硬件損壞導致的輔助駕駛功能受損失效，都將導致車輛在一定時間內處于失控狀態，如果此時駕駛員不能及時接管或者留給人類駕駛員接管的時間所剩無幾，就會造成嚴重的事故。而功能安全想要做到的，便是使得這些故障隱患盡可能地消滅在萌芽之中，即產品的開發設計驗證階段。從這方面來看，功能安全保障了汽車最基本的安全屬性，是現代汽車行業內不可或缺和至為重要的一環。

縱使希望將所有的缺陷與故障在汽車售賣前全部發現并修復完畢，但對當前汽車上的電子電氣系統來說，完全消除風險是不現實的。現在的車上有幾十甚至上百個ECU系統，其中的代碼有幾億行，隨著使用時間的增長，電子元器件發生故障的可能性也越來越高，更不用說由上億行代碼構成的復雜系統帶來的不可預知的風險。因此功能安全的目的并不是為了徹底消除風險，而是把風險降低到一個可接受的范圍。

功能安全分析方法

功能安全分析需要在概念設計階段，根據相關項定義的功能，分析其功能異常表現，識別其可能的潛在危害(Hazard)及危害事件(Hazard Event)，并對其風險進行量化(即確定ASIL等級)，導出功能安全目標(Safety Goal)和ASIL等級，以此作為功能安全開發最初最頂層的安全需求，也就是所謂的為HARA(Hazard Analysis and Risk Assessment)，具體流程如下圖：

在HARA過程中，以及從SG到FSG都需要進行安全分析，一般有歸納分析法和演繹分析法兩種方法，其中FMEA(Failure mode and effects analysis,即失效模式與影響分析)和FTA(Fault tree analysis,即故障樹分析)是歸納和演繹最具代表性的分析方法，也是功能安全開發最常用的安全分析方法。

(1) FMEA失效模式與影響分析(Failure mode and effects analysis)是一種自下而上的故障分析方式。對構成產品的子系統、部件逐一進行分析，找出潛在的失效模式，并分析其可能的后果，從而預先采取必要的安全措施。從多個個別事物中獲得普遍規律的方法。

(2) FTA故障樹分析(Fault tree analysis)是一種自上而下的故障分析方式。從追溯失效開始，辨別出導致故障的情況或事件，從而找出導致故障的根本事件或原因。從已知定律經過邏輯推演得到新的定律的方法。

評估出風險的ASIL等級后，需要采取一定的安全措施把風險降低到可以接受的范圍。當達到這個目標后，此系統可以稱為具有相應的ASIL功能安全等級，也就是說功能安全等級是和風險的等級相對應的。

宏景智駕——功能安全“緩解”理念的執行者

一個好的功能安全系統，能夠在事故發生時，快速檢測出問題出現的來源，并根據定位到問題發生的原因來行之有效地做出緩解的解決措施，讓事故發生的時機延緩一些，從而留出更多的時間并將更明顯的信號給到駕駛員以接管，從而避免事故的發生或降低事故的傷害。

目前，受限于市場競爭及落地需求，功能安全缺少足夠的重視與關注，做的好的企業更是少之又少。這一方面是由于功能安全系統設計的復雜性，導致這方面沒有足夠積累的企業難以設計并執行如此復雜的系統；另一方面也是由于當前激烈的市場競爭下，企業更多考慮的是投資與收益的風險，在消費者看不到的功能安全領域投入過多卻看不到相應的收益，使得企業望而卻步。

其實只要功能安全系統的頂層設計好，擁有成熟的理論儲備及理念，一樣可以有成本低且有效的功能安全落地方案。宏景智駕便是將功能安全“低本高效”理念推到臺前并堅定實施的一家企業，并借助輔助駕駛中人類駕駛員的參與作用，將貫徹功能安全的“緩解”理念（緩解事故發生時間及嚴重程度等），從而實現了一整套兼顧現階段技術可行性及高性價比的功能安全方案。

讓我們想象這樣一類場景：在自動駕駛領域，感知子系統的失效必然會導致車輛非期望的行為，如加速、減速、錯誤的轉向，而其中某些非期望的行為是存在不可接受的安全風險的。在實際應用中，針對感知子系統的失效，安全概念可以是針對感知子系統的故障偵測，然后進入安全狀態。當繼續進行故障偵測概念的分解時，可能會采用大量的分析方法、如FTA或FMEA，理論上是完全有可能把各種失效模式都能分析清楚的，但事實上卻耗費了大量的時間。即使獲取了失效模式，也并不一定意味著所有的失效都能有對應的診斷技術來解決，并且過多的診斷技術對于成本的壓力是巨大的。而自動駕駛感知的子系統包括了智能傳感器、AI算法以及融合算法等，復雜度遠超傳統傳感器，僅感知系統所引申出的安全概念就很難適應現有量產系統的技術水平及開發周期。

針對上述場景，為實現L2中的ADAS功能如ACC、LCA等，宏景智駕將功能安全方案換成了以下幾類：

1、駕駛員是系統故障檢測的主體（虛擬成安全機制-故障偵測）

2、當故障發生后，駕駛員主動控制系統進入安全狀態（虛擬成安全機制-故障響應）

3、當人作為安全機制時，應當確保人的有效性，需要確保人在線和人及時反應。

4、橫縱向都控制的功能必須具備駕駛員在線偵測手段，如DMS系統、駕駛員脫手檢測等5、為確保在系統失效的場景下，人有足夠的反應方式和反應時間，需要確保系統的功能輸出處于一個被限制的狀態，將減緩失效后果或延長危害傳播時間，以上均有利于駕駛員接管。例如，限制橫向控制的最大角度、變化率、力矩，確保系統故障后仍然能確保車輛偏出車道的時間在可接受的范圍內，普通駕駛員在注意力集中的條件下，能輕易的接管轉向并控制車輛在本車道內的行駛。

6、提供駕駛員接管車輛可靠的路徑，即當駕駛員接管車輛進入安全狀態時，系統確保完全響應駕駛員的請求，如制動退巡航功能、方向盤接管橫向控制功能等。

從以上方案中我們能看出，宏景智駕充分利用在輔助駕駛的情況下，駕駛員必須隨時監控以接管車輛的特點，提出的功能安全理念能夠更加行之有效地避免事故的發生，從功能安全系統的設計層面便領先其他廠商一步，進而實現一套低成本且高效的功能安全系統方案。

總結

在汽車行業越來越發達的今天，汽車上的電子電氣系統也變得日趨復雜，功能安全系統也越來越受到重視，擁有一整套好的功能安全解決方案也被越來越多的車企提上了日程。自動駕駛作為未來汽車上必不可少的功能，是人工智能技術從科研走向商業化應用的最重要的落地場景，其最終目的是提升效率和解放人類的時間。而追求效率的前提，是保障駕乘人員和其他交通參與者的安全，有著成本低且有效的功能安全落地方案的宏景智駕，已然走在了行業前列。

- End -