本文來源：智車科技

/ 導(dǎo)讀 /

近些年來，功能安全在汽車傳統(tǒng)底盤域和動(dòng)力域的應(yīng)用已較為成熟，各大汽車企業(yè)功能安全意識(shí)也逐漸增強(qiáng)。在輔助駕駛和自動(dòng)駕駛爆發(fā)式增長的大趨勢下，現(xiàn)代汽車的功能安全在目前尤為復(fù)雜的電子電氣系統(tǒng)中就顯得更為重要，功能安全也是輔助駕駛和自動(dòng)駕駛系統(tǒng)中不可缺少的組成部分。

然而在現(xiàn)實(shí)場景中，由于L3及以下的輔助駕駛系統(tǒng)技術(shù)尚未成熟，行業(yè)一直在比拼更低的價(jià)格成本和更短的開發(fā)周期，而這與貫徹功能安全的“昂貴”和“慢工出細(xì)活”相矛盾。由此造成在市場激烈的競爭中，功能安全往往要進(jìn)行必要的妥協(xié)，但過多的妥協(xié)將失去安全保障的意義，功能安全從業(yè)者正在思考如何守住功能安全的底線。

何為汽車功能安全？

隨著汽車智能化和電氣化技術(shù)的快速普及，車內(nèi)控制器和各種電子部件越來越多，而各類電子部件都存在系統(tǒng)性失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)，因此相應(yīng)的汽車功能安全變得越來越重要。在汽車電子行業(yè)，功能安全國際標(biāo)準(zhǔn)ISO26262（是基于IEC61508 (Generic standard for Functional Safety of electrical/electronic systems）并適用于汽車行業(yè)的標(biāo)準(zhǔn)）和對(duì)應(yīng)國標(biāo)GB/T34590將功能安全定義為：避免因電子電氣系統(tǒng)故障而導(dǎo)致不合理的風(fēng)險(xiǎn)。即隨機(jī)硬件失效和系統(tǒng)性失效不會(huì)導(dǎo)致安全系統(tǒng)的錯(cuò)誤功能，從而導(dǎo)致人的傷害死亡。ISO 26262是史上第一個(gè)適用于道路車輛的功能安全標(biāo)準(zhǔn)。

在ISO26262國際標(biāo)準(zhǔn)中，汽車功能安全主要包含了以下幾類指導(dǎo)：

1. 指導(dǎo)你如何量化產(chǎn)品的安全等級(jí)；

2. 指導(dǎo)你如何根據(jù)不同安全等級(jí)設(shè)計(jì)對(duì)應(yīng)的安全措施；

3. 指導(dǎo)你如何控制系統(tǒng)性故障和隨機(jī)硬件故障；

4. 指導(dǎo)你如何管理功能安全（包括流程，安全管理制度、安全流程、安全審核等）。

功能安全等級(jí)的定義是為了對(duì)失效后帶來的風(fēng)險(xiǎn)進(jìn)行評(píng)估并指導(dǎo)風(fēng)險(xiǎn)降低到可接受的程度所需要遵循的要求。一般簡稱ASIL(Automotive Safety Integration Level-汽車安全完整性等級(jí)) ，ISO26262根據(jù)汽車的特點(diǎn)，在產(chǎn)品概念設(shè)計(jì)階段對(duì)系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，識(shí)別出系統(tǒng)的危害，如果系統(tǒng)安全風(fēng)險(xiǎn)越大，對(duì)應(yīng)的安全要求級(jí)別就越高，其具有的ASIL的等級(jí)也越高。

ASIL按照嚴(yán)重性（Severity ）、可能性（Exposure ）和可控性（Controllability）評(píng)估危害事件的風(fēng)險(xiǎn)級(jí)別等級(jí)，共分為QM、A、B、C、D五個(gè)等級(jí)，ASIL D是最高的汽車安全完整性等級(jí)，對(duì)功能安全的要求也最高。

按照以上的劃分并進(jìn)行組合相加得到的5個(gè)ASIL等級(jí),原則是：

（1）基本可控的C0組合和無傷害S0的組合不考慮；

（2）其余組合相加等于7分為ASIL A，等于8分為ASIL B，等于9分為 ASIL C，等于10分為 ASIL D；

（3）其余得分安全評(píng)定為QM，只要遵循標(biāo)準(zhǔn)的質(zhì)量管理流程(IATF16949)，與功能安全無關(guān)。

ASIL汽車安全完整度等級(jí)矩陣

從產(chǎn)品安全的角度說，可以把安全分傳統(tǒng)安全和E/E功能安全，傳統(tǒng)安全包括：與觸電、火災(zāi)、煙霧、熱、輻射、腐蝕性、能量釋放等相關(guān)的危害，此類傳統(tǒng)安全問題均不屬于功能安全考慮范圍之內(nèi)。功能安全只考慮E/E系統(tǒng)安全，例如汽車架構(gòu)、系統(tǒng)、軟件、硬件等方面的失效所導(dǎo)致的整車安全行為，強(qiáng)調(diào)在汽車產(chǎn)品的開發(fā)過程中如何避免預(yù)防、探測、降低或消除風(fēng)險(xiǎn)。它關(guān)注的是系統(tǒng)發(fā)生故障之后的行為，而不是系統(tǒng)的原有功能或性能。因此功能安全的目的就是系統(tǒng)發(fā)生故障后，將系統(tǒng)進(jìn)入安全可控的模式，避免對(duì)人身造成傷害。

目前，歐洲所有OEM整車廠要求必須配備功能安全；美國的OEM整車廠已經(jīng)在研究如何實(shí)施功能安全；亞洲的OEM（豐田，現(xiàn)代，吉利等）也已經(jīng)明確要求功能安全。功能安全和ASPICE基本成為了目前汽車行業(yè)的通識(shí)和標(biāo)準(zhǔn)。

只有經(jīng)過充分的設(shè)計(jì)討論，嚴(yán)格的測試驗(yàn)收后的汽車功能安全，才能發(fā)揮其最大作用，將車輛的安全性及穩(wěn)定性保障在一個(gè)可以接受的范圍內(nèi)。

汽車功能安全的必要性

縱使希望將所有的缺陷與故障在汽車售賣前全部發(fā)現(xiàn)并修復(fù)完畢，但對(duì)當(dāng)前汽車上的電子電氣系統(tǒng)來說，完全消除風(fēng)險(xiǎn)是不現(xiàn)實(shí)的?，F(xiàn)在的車上有幾十甚至上百個(gè)ECU系統(tǒng)，其中的代碼有幾億行，隨著使用時(shí)間的增長，電子元器件發(fā)生故障的可能性也越來越高，更不用說由上億行代碼構(gòu)成的復(fù)雜系統(tǒng)帶來的不可預(yù)知的風(fēng)險(xiǎn)。因此功能安全的目的并不是為了徹底消除風(fēng)險(xiǎn)，而是把風(fēng)險(xiǎn)降低到一個(gè)可接受的范圍。

功能安全分析方法

功能安全分析需要在概念設(shè)計(jì)階段，根據(jù)相關(guān)項(xiàng)定義的功能，分析其功能異常表現(xiàn)，識(shí)別其可能的潛在危害(Hazard)及危害事件(Hazard Event)，并對(duì)其風(fēng)險(xiǎn)進(jìn)行量化(即確定ASIL等級(jí))，導(dǎo)出功能安全目標(biāo)(Safety Goal)和ASIL等級(jí)，以此作為功能安全開發(fā)最初最頂層的安全需求，也就是所謂的為HARA(Hazard Analysis and Risk Assessment)，具體流程如下圖：

在HARA過程中，以及從SG到FSG都需要進(jìn)行安全分析，一般有歸納分析法和演繹分析法兩種方法，其中FMEA(Failure mode and effects analysis,即失效模式與影響分析)和FTA(Fault tree analysis,即故障樹分析)是歸納和演繹最具代表性的分析方法，也是功能安全開發(fā)最常用的安全分析方法。

(1) FMEA失效模式與影響分析(Failure mode and effects analysis)是一種自下而上的故障分析方式。對(duì)構(gòu)成產(chǎn)品的子系統(tǒng)、部件逐一進(jìn)行分析，找出潛在的失效模式，并分析其可能的后果，從而預(yù)先采取必要的安全措施。從多個(gè)個(gè)別事物中獲得普遍規(guī)律的方法。

(2) FTA故障樹分析(Fault tree analysis)是一種自上而下的故障分析方式。從追溯失效開始，辨別出導(dǎo)致故障的情況或事件，從而找出導(dǎo)致故障的根本事件或原因。從已知定律經(jīng)過邏輯推演得到新的定律的方法。

評(píng)估出風(fēng)險(xiǎn)的ASIL等級(jí)后，需要采取一定的安全措施把風(fēng)險(xiǎn)降低到可以接受的范圍。當(dāng)達(dá)到這個(gè)目標(biāo)后，此系統(tǒng)可以稱為具有相應(yīng)的ASIL功能安全等級(jí)，也就是說功能安全等級(jí)是和風(fēng)險(xiǎn)的等級(jí)相對(duì)應(yīng)的。

宏景智駕——功能安全“緩解”理念的執(zhí)行者

一個(gè)好的功能安全系統(tǒng)，能夠在事故發(fā)生時(shí)，快速檢測出問題出現(xiàn)的來源，并根據(jù)定位到問題發(fā)生的原因來行之有效地做出緩解的解決措施，讓事故發(fā)生的時(shí)機(jī)延緩一些，從而留出更多的時(shí)間并將更明顯的信號(hào)給到駕駛員以接管，從而避免事故的發(fā)生或降低事故的傷害。

目前，受限于市場競爭及落地需求，功能安全缺少足夠的重視與關(guān)注，做的好的企業(yè)更是少之又少。這一方面是由于功能安全系統(tǒng)設(shè)計(jì)的復(fù)雜性，導(dǎo)致這方面沒有足夠積累的企業(yè)難以設(shè)計(jì)并執(zhí)行如此復(fù)雜的系統(tǒng)；另一方面也是由于當(dāng)前激烈的市場競爭下，企業(yè)更多考慮的是投資與收益的風(fēng)險(xiǎn)，在消費(fèi)者看不到的功能安全領(lǐng)域投入過多卻看不到相應(yīng)的收益，使得企業(yè)望而卻步。

其實(shí)只要功能安全系統(tǒng)的頂層設(shè)計(jì)好，擁有成熟的理論儲(chǔ)備及理念，一樣可以有成本低且有效的功能安全落地方案。宏景智駕便是將功能安全“低本高效”理念推到臺(tái)前并堅(jiān)定實(shí)施的一家企業(yè)，并借助輔助駕駛中人類駕駛員的參與作用，將貫徹功能安全的“緩解”理念（緩解事故發(fā)生時(shí)間及嚴(yán)重程度等），從而實(shí)現(xiàn)了一整套兼顧現(xiàn)階段技術(shù)可行性及高性價(jià)比的功能安全方案。

讓我們想象這樣一類場景：在自動(dòng)駕駛領(lǐng)域，感知子系統(tǒng)的失效必然會(huì)導(dǎo)致車輛非期望的行為，如加速、減速、錯(cuò)誤的轉(zhuǎn)向，而其中某些非期望的行為是存在不可接受的安全風(fēng)險(xiǎn)的。在實(shí)際應(yīng)用中，針對(duì)感知子系統(tǒng)的失效，安全概念可以是針對(duì)感知子系統(tǒng)的故障偵測，然后進(jìn)入安全狀態(tài)。當(dāng)繼續(xù)進(jìn)行故障偵測概念的分解時(shí)，可能會(huì)采用大量的分析方法、如FTA或FMEA，理論上是完全有可能把各種失效模式都能分析清楚的，但事實(shí)上卻耗費(fèi)了大量的時(shí)間。即使獲取了失效模式，也并不一定意味著所有的失效都能有對(duì)應(yīng)的診斷技術(shù)來解決，并且過多的診斷技術(shù)對(duì)于成本的壓力是巨大的。而自動(dòng)駕駛感知的子系統(tǒng)包括了智能傳感器、AI算法以及融合算法等，復(fù)雜度遠(yuǎn)超傳統(tǒng)傳感器，僅感知系統(tǒng)所引申出的安全概念就很難適應(yīng)現(xiàn)有量產(chǎn)系統(tǒng)的技術(shù)水平及開發(fā)周期。

針對(duì)上述場景，為實(shí)現(xiàn)L2中的ADAS功能如ACC、LCA等，宏景智駕將功能安全方案換成了以下幾類：

1、駕駛員是系統(tǒng)故障檢測的主體（虛擬成安全機(jī)制-故障偵測）

2、當(dāng)故障發(fā)生后，駕駛員主動(dòng)控制系統(tǒng)進(jìn)入安全狀態(tài)（虛擬成安全機(jī)制-故障響應(yīng)）

3、當(dāng)人作為安全機(jī)制時(shí)，應(yīng)當(dāng)確保人的有效性，需要確保人在線和人及時(shí)反應(yīng)。

4、橫縱向都控制的功能必須具備駕駛員在線偵測手段，如DMS系統(tǒng)、駕駛員脫手檢測等5、為確保在系統(tǒng)失效的場景下，人有足夠的反應(yīng)方式和反應(yīng)時(shí)間，需要確保系統(tǒng)的功能輸出處于一個(gè)被限制的狀態(tài)，將減緩失效后果或延長危害傳播時(shí)間，以上均有利于駕駛員接管。例如，限制橫向控制的最大角度、變化率、力矩，確保系統(tǒng)故障后仍然能確保車輛偏出車道的時(shí)間在可接受的范圍內(nèi)，普通駕駛員在注意力集中的條件下，能輕易的接管轉(zhuǎn)向并控制車輛在本車道內(nèi)的行駛。

6、提供駕駛員接管車輛可靠的路徑，即當(dāng)駕駛員接管車輛進(jìn)入安全狀態(tài)時(shí)，系統(tǒng)確保完全響應(yīng)駕駛員的請(qǐng)求，如制動(dòng)退巡航功能、方向盤接管橫向控制功能等。

從以上方案中我們能看出，宏景智駕充分利用在輔助駕駛的情況下，駕駛員必須隨時(shí)監(jiān)控以接管車輛的特點(diǎn)，提出的功能安全理念能夠更加行之有效地避免事故的發(fā)生，從功能安全系統(tǒng)的設(shè)計(jì)層面便領(lǐng)先其他廠商一步，進(jìn)而實(shí)現(xiàn)一套低成本且高效的功能安全系統(tǒng)方案。

總結(jié)

在汽車行業(yè)越來越發(fā)達(dá)的今天，汽車上的電子電氣系統(tǒng)也變得日趨復(fù)雜，功能安全系統(tǒng)也越來越受到重視，擁有一整套好的功能安全解決方案也被越來越多的車企提上了日程。自動(dòng)駕駛作為未來汽車上必不可少的功能，是人工智能技術(shù)從科研走向商業(yè)化應(yīng)用的最重要的落地場景，其最終目的是提升效率和解放人類的時(shí)間。而追求效率的前提，是保障駕乘人員和其他交通參與者的安全，有著成本低且有效的功能安全落地方案的宏景智駕，已然走在了行業(yè)前列。

- End -

標(biāo)簽：