汽車(chē)功能安全：軟件與硬件缺一不可

隨著(zhù)汽車(chē)變得越來(lái)越智能，功能安全就成為汽車(chē)電子系統不可回避的標準體系，日益復雜的功能導致了汽車(chē)中電子元件的數量和復雜性的指數級增長(cháng)（Leen）。如今高級別汽車(chē)擁有多達90個(gè)電子控制單元（ECU），高階智駕功能如自適應巡航控制、碰撞避免系統和自動(dòng)泊車(chē)等需要基于雷達、激光雷達和攝像頭的數據處理以及傳感器融合的環(huán)境識別，隨著(zhù)復雜性的增加，汽車(chē)行業(yè)正在采取分而治之的方法，現在要求供應鏈的所有參與者都支持和實(shí)現功能安全和可靠性標準。這些指標正在成為汽車(chē)電子系統設計流程中不可或缺的一部分。

ISO 26262：道路車(chē)輛-功能安全是汽車(chē)行業(yè)標準，源于更通用的IEC 61508功能安全標準（IEC），專(zhuān)為配備一個(gè)或多個(gè)E/E子系統、最大總質(zhì)量不超過(guò)3500公斤的量產(chǎn)乘用車(chē)中的安全相關(guān)系統設計。根據ISO 26262，功能安全被定義為“由于電氣/電子系統（E/E系統）故障行為引起的危害所導致的不合理風(fēng)險的缺失”。這個(gè)定義可以表示為一系列的應用影響鏈，如圖1所示。

圖1：ISO 26262應用影響鏈

面對日益復雜的汽車(chē)電子系統，功能安全通過(guò)劃分不同汽車(chē)電子子系統的汽車(chē)安全完整性等級（ASIL），來(lái)定義功能故障（例如，防抱死制動(dòng)系統故障）對整車(chē)的重要性，并進(jìn)行危害和風(fēng)險評估，以確定對人員和財產(chǎn)造成損害的風(fēng)險。該分析基于危害的暴露、嚴重性和可控性及其產(chǎn)生的風(fēng)險，并確定汽車(chē)安全完整性等級（ASIL），即實(shí)現可容忍風(fēng)險所需的風(fēng)險降低水平。

 汽車(chē)硬件功能安全？

汽車(chē)硬件功能安全是指在車(chē)輛硬件中設計和實(shí)施安全措施，以防止事故發(fā)生并保護乘員和其他道路使用者免受傷害。這可能包括用于檢測和響應道路上潛在危險的傳感器和系統等措施，以及在發(fā)生故障或故障時(shí)可以接管車(chē)輛控制的故障安全系統。汽車(chē)硬件功能安全的目標是最大限度地降低車(chē)輛中硬件相關(guān)問(wèn)題造成的事故和傷害風(fēng)險。

ISO 26262 將功能安全 （FuSa） 定義為由于 E/E（電氣和/或電子）系統的故障行為引起的危險而不存在不可接受的風(fēng)險。與硬件元素相關(guān)，目標是防止系統性設計失敗，并檢測和控制隨機硬件故障。強大的算力需要先進(jìn)工藝節點(diǎn)的支持以滿(mǎn)足性能/瓦特的需求。因此，汽車(chē)行業(yè)也正在見(jiàn)證向先進(jìn)技術(shù)的遷移，這可能對可靠性提出更大的挑戰（例如，工藝變化、靜電放電、電遷移）。系統故障發(fā)生在汽車(chē)設計生命周期的開(kāi)發(fā)和制造階段。隨機硬件故障出現在運行中的硬件組件的生命周期內，由隨機缺陷或老化引起。使用 FMEA（失效模式和影響分析）等安全分析技術(shù)對系統故障進(jìn)行定性評估。防止系統性故障需要遵循可信設計原則、驗證和測試的系統化設計方法。

使用 FMEDA（故障模式、影響和診斷分析）對隨機硬件故障進(jìn)行定量評估，以證明設計達到目標 ASIL（汽車(chē)安全完整性等級）。隨機硬件故障分為永久性故障（如開(kāi)路或短路）或瞬態(tài)故障（如電離輻射引起的臨時(shí)位翻轉）。它們通過(guò)安全機制進(jìn)行檢測和緩解。有多種硬件 FuSa 機制，例如利用冗余和比較器或多數投票的技術(shù)，例如雙核鎖步 （DCLS） 和三重模式/模塊化冗余 （TMR），或內置自檢 （BIST），例如邏輯 BIST （LBIST） 或內存 BIST （MBIST）。

汽車(chē)硬件功能安全的工作原理是在車(chē)輛的硬件中實(shí)施各種安全措施，以防止事故并保護乘員和其他道路使用者免受傷害。汽車(chē)硬件功能安全的一個(gè)關(guān)鍵方面是使用傳感器和系統，這些傳感器和系統可以檢測道路上的潛在危險并做出相應的響應。例如，車(chē)輛可能配備傳感器，可以檢測其他車(chē)輛、行人或道路上的障礙物，并使用該信息調整車(chē)輛的速度或軌跡以避免碰撞。汽車(chē)硬件功能安全的另一個(gè)重要方面是使用故障安全系統，該系統可以在發(fā)生故障或故障時(shí)接管車(chē)輛的控制。這可能包括備用系統，可以在主系統發(fā)生故障時(shí)接管車(chē)輛的制動(dòng)、轉向或加速的控制權，或者緊急關(guān)閉系統，可以在發(fā)生嚴重故障時(shí)關(guān)閉車(chē)輛。

此外，汽車(chē)硬件功能安全還包括實(shí)施監管機構制定的安全標準和指南，例如 ISO 26262。本標準概述了生產(chǎn)車(chē)輛中電氣和/或電子系統的功能安全流程。這包括制定安全計劃、危害分析和風(fēng)險評估，以及實(shí)施安全措施以減輕已識別的危害和風(fēng)險?？傮w而言，汽車(chē)硬件功能安全的目標是通過(guò)實(shí)施各種安全措施和故障安全系統，并遵循安全標準和準則，最大限度地降低車(chē)輛中硬件相關(guān)問(wèn)題造成的事故和傷害風(fēng)險。

 汽車(chē)硬件功能安全非常重要，因為它可以確保車(chē)輛中的系統和組件按預期運行，并以安全的方式發(fā)生故障。這包括制動(dòng)、轉向和動(dòng)力總成等系統，以及電子穩定控制和高級駕駛員輔助系統 （ADAS） 等電子系統。確保功能安全可以防止事故和傷害，并在發(fā)生故障時(shí)保護車(chē)輛及其乘員。汽車(chē)硬件功能安全的優(yōu)勢包括：

• 防止事故并保護車(chē)內人員

• 降低汽車(chē)公司被追究事故責任的風(fēng)險

• 提高汽車(chē)公司在客戶(hù)中的聲譽(yù)

• 幫助汽車(chē)公司遵守安全法規

• 為汽車(chē)公司節省資金并提高汽車(chē)性能

• 開(kāi)發(fā)新的安全技術(shù)

軟件功能安全同樣重要

 除了硬件問(wèn)題外，基于軟件的故障在汽車(chē)行業(yè)越來(lái)越常見(jiàn)。實(shí)際上，軟件集成和軟件缺陷已成為近年來(lái)最常見(jiàn)的故障類(lèi)型。究其原因，一些制造商和軟件供應商在開(kāi)發(fā)新車(chē)時(shí)對汽車(chē)功能安全的關(guān)注不足。它們不遵循 ISO 26262 和其他有助于防止汽車(chē)解決方案系統性故障的安全概念。

功能安全特別是軟件功能安全是一個(gè)廣泛的概念，其中包含了軟件或硬件在執行預期功能時(shí)運行而不會(huì )對任何人造成傷害的能力，以及一套指導制造商實(shí)施風(fēng)險降低和全面系統測試的方法、方法和標準，以確保最終產(chǎn)品安全并確保最終用戶(hù)不會(huì )受到傷害。由于軟件已成為現代汽車(chē)不可或缺的一部分，因此它對功能安全的重要性不亞于硬件。

車(chē)輛由數十個(gè)部件組成，電子系統越智能，連接這些組件所需的軟件就越復雜。例如，配備高級駕駛輔助系統 （ADAS） 的車(chē)輛的安全性直接取決于軟件可靠性。如果系統無(wú)法對道路上的潛在危險做出反應，駕駛員最終可能會(huì )撞到另一輛車(chē)。顯示危險道路的錯誤導航、分散注意力的信息娛樂(lè )軟件、不可靠的胎壓監測系統以及其他與汽車(chē)軟件相關(guān)的問(wèn)題會(huì )直接影響人們的安全。因此，汽車(chē)制造商必須從符合 ISO 26262 和其他有助于實(shí)現安全性標準的公司訂購軟件。遵守核心功能安全實(shí)踐是質(zhì)量的標志，可以最大限度地降低軟件崩潰和由此產(chǎn)生的事故風(fēng)險。因此，制造商生產(chǎn)更可靠的車(chē)輛以在市場(chǎng)上取得成功。

 隨著(zhù)用于輔助駕駛的微處理器控制系統的出現，其復雜性和功能開(kāi)始迅速擴展。這增加了對軟件解決方案的需求，以確保這些系統的安全并降低系統性或偶發(fā)性故障的風(fēng)險。從 1998 年開(kāi)始，汽車(chē)制造商一直使用 IEC 61508，直到 2011 年開(kāi)發(fā)出 ISO 26262 道路車(chē)輛的第一個(gè)版本。從那時(shí)起，ISO 26262 一直是道路車(chē)輛（不包括卡車(chē)和自行車(chē)）的核心安全標準。

與汽車(chē)硬件和軟件開(kāi)發(fā)相關(guān)的其他一些標準和安全法規包括：

• SAE J1739 - 規定了設計中的潛在失效模式和影響分析

• SAE J3061 - 確保信息物理車(chē)輛系統的安全

• FMVSS 126 - 要求新車(chē)配備電子穩定控制系統

• ISO 21448 - 規范道路車(chē)輛中自動(dòng)駕駛系統 （ADS） 的安全性

• IATF 16949 - 為汽車(chē)行業(yè)的組織引入質(zhì)量管理體系

總體而言，汽車(chē)軟件開(kāi)發(fā)團隊遵循以下方法：

因此，在開(kāi)發(fā)汽車(chē)軟件并追求功能安全目標時(shí)，您必須采用列出的方法。當它們結合在一起時(shí)，可以幫助汽車(chē)工程師構建強大且高質(zhì)量的系統。

實(shí)現功能安全的 6 個(gè)核心步驟

ISO 26262 汽車(chē)功能安全標準為工程師提供了確保道路車(chē)輛安全的主要指導方針。其實(shí)現有助于防止系統性和偶發(fā)性故障，包括以下步驟：

1. 風(fēng)險檢測

查找并識別與系統對用戶(hù)健康的負面影響相關(guān)的所有可能風(fēng)險，以指定減少這些風(fēng)險的要求。

2. 風(fēng)險分析

分析檢測到的風(fēng)險，以找出導致這些風(fēng)險的產(chǎn)品、系統或人類(lèi)行為的元素。您必須了解觸發(fā)因素、風(fēng)險的概率以及產(chǎn)品或系統的不同部分如何影響此概率。

3. 實(shí)施安全措施

實(shí)施安全措施，闡明哪些系統設計更改（通常是額外的安全元素）可以減少每個(gè)檢測到的風(fēng)險以及如何降低。

4. 檢查降低風(fēng)險的措施

驗證針對每個(gè)已識別風(fēng)險實(shí)施的風(fēng)險降低措施。您需要在各種情況下測試系統，以檢查當發(fā)生不同故障或故障組合時(shí)它的行為。

5. 記錄所有內容

為所有措施、方法和檢查結果創(chuàng )建文檔。它將使您能夠繼續研究系統的穩健性，并在必要時(shí)證明符合安全標準。

6. 確定達到的安全級別

完成上述所有步驟后，您就可以根據 ASIL 為您的系統分配特定的安全級別。這是了解解決方案是否可靠并準備好進(jìn)行大規模生產(chǎn)的最后一步。

值得一提的是，該標準不是強制性的，每個(gè)制造商或汽車(chē)軟件提供商都決定其實(shí)施范圍和所需的安全水平。然而，合規性是系統和產(chǎn)品可靠性的有力證明，對大多數最終用戶(hù)來(lái)說(shuō)都很重要。

軟件定義汽車(chē)如何改變功能安全

在汽車(chē)產(chǎn)業(yè)的發(fā)展歷程中，我們已經(jīng)見(jiàn)證了從機械控制到電子控制系統的轉變，現在一個(gè)新時(shí)代又將到來(lái)，車(chē)輛不再由螺母和螺栓定義，而是由比特和字節定義，這就是軟件定義汽車(chē)（SDV）的世界。SDV代表了一種革命性的轉變，其中車(chē)輛中的軟件優(yōu)先于其硬件，定義了其特性、能力和安全功能。通過(guò)這種變革性的方法，功能安全的概念已經(jīng)發(fā)生了徹底的改革，其中網(wǎng)絡(luò )安全是確保安全客戶(hù)體驗的必要先決條件。 

前面我們分析了硬件功能安全和軟件功能安全，現在我們來(lái)深入探討一下為什么SDV會(huì )迫使新的功能安全方法。 

借助SDV方法，創(chuàng )新將很快變得像推出應用程序更新一樣簡(jiǎn)單。無(wú)需再等待新硬件來(lái)提高車(chē)輛性能或安全性;開(kāi)發(fā)人員將能夠通過(guò)軟件更新引入高級特性、功能和修復程序。同樣，以前固定的和靜態(tài)的安全功能可以而且應該迭代改進(jìn)，以跟上快速發(fā)展的技術(shù)領(lǐng)域的步伐。 

主動(dòng)安全：新范式 

車(chē)輛中的傳統功能安全在本質(zhì)上更具被動(dòng)性，傾向于“一盎司的預防勝過(guò)一磅的治療”。它在危急情況下嚴重依賴(lài)人類(lèi)進(jìn)行決策。然而，SDV 的出現已將重點(diǎn)轉移到主動(dòng)安全措施上。借助傳感器、LiDAR 和雷達系統，SDV 可以預測潛在危險并做出相應的響應，通常比人類(lèi)的反應時(shí)間更快。這就像擁有蜘蛛俠的“蜘蛛俠感覺(jué)”，但適用于您的汽車(chē)。對于這些子系統中的每一個(gè)，都使用 FMEA、FTA 和 DFA 等主動(dòng)方法來(lái)識別故障及其對安全目標的影響——然后根據分析對流程和設計進(jìn)行更改。但是，完整的 SDV 還必須確保符合 ISO 21448 的 SOTIF（預期功能的安全性）。

 安全性：新時(shí)代安全帶

 隨著(zhù)軟件開(kāi)始定義車(chē)輛的越來(lái)越多的方面，安全性成為功能安全的關(guān)鍵方面。畢竟，我們不希望一些精通技術(shù)的惡棍控制我們的車(chē)輛，不是嗎？這就是為什么 SDV 在設計時(shí)采用了與防抱死制動(dòng)系統一樣重要的強大網(wǎng)絡(luò )安全措施。它們確保我們的乘車(chē)安全，不僅在路上，而且在龐大、互聯(lián)的數字世界中也是如此。

通過(guò) SDV 實(shí)現的功能安全轉型證明了軟件和技術(shù)為汽車(chē)行業(yè)帶來(lái)的革命。隨著(zhù)創(chuàng )新能力的釋放并賦予軟件，我們現在正駛向一個(gè)比以往任何時(shí)候都更加安全和令人振奮的未來(lái)。但我們不要忘記，雖然我們的車(chē)輛變得越來(lái)越智能，但安全責任并不僅僅落在它們的硅肩上。

 功能安全的端到端方法

 SDV 的出現對 FuSa 的端到端 （E2E） 方法產(chǎn)生了重大影響 — SDV 正在改變概念開(kāi)發(fā)、設計、系統測試和驗證 （ST&V） 以及生產(chǎn)的傳統方法。過(guò)去，FuSa 主要專(zhuān)注于以硬件為中心的安全措施，例如機械組件和物理冗余。然而，SDV 的出現帶來(lái)了新的復雜性，因為關(guān)鍵安全功能現在嚴重依賴(lài)軟件算法和電子控制系統。因此，FuSa 的 E2E 方法現在需要對軟件架構、強大的編碼實(shí)踐以及有效的軟件驗證和確認技術(shù)的全面理解。

在概念階段，E2E 方法涉及評估特定于軟件集成和互作性的安全影響。設計階段強調開(kāi)發(fā)安全的軟件架構、容錯機制和有效的錯誤處理。軟件測試和驗證活動(dòng)現在包括嚴格的軟件測試，包括靜態(tài)分析、動(dòng)態(tài)測試和基于仿真的評估。此外，生產(chǎn)階段需要嚴格的軟件配置管理、安全的無(wú)線(xiàn)更新和持續監控，以解決潛在的漏洞。通過(guò)將 FuSa 整合到每個(gè)階段，組織可以更好地應對與現代汽車(chē)系統相關(guān)的獨特安全挑戰，確保充分緩解與軟件相關(guān)的風(fēng)險并增強整體車(chē)輛安全性。

展望未來(lái)

 SDV 的出現帶來(lái)了功能安全方法的變革性轉變。SDV 使汽車(chē)創(chuàng )新大眾化，允許持續的軟件更新和迭代改進(jìn)，以提高車(chē)輛性能和安全性。由先進(jìn)傳感器和系統實(shí)現的主動(dòng)安全措施已經(jīng)取代了被動(dòng)方法，使 SDV 能夠比人類(lèi)反應時(shí)間更快地預測和響應潛在危險。此外，SDV 的興起需要強大的網(wǎng)絡(luò )安全措施，以確保車(chē)輛數據的安全并防止未經(jīng)授權的訪(fǎng)問(wèn)。

功能安全的 E2E 方法已經(jīng)發(fā)展到包括對軟件架構、編碼實(shí)踐和驗證技術(shù)的全面理解，從而應對軟件定義系統帶來(lái)的獨特挑戰。雖然技術(shù)在推進(jìn)功能安全方面發(fā)揮著(zhù)關(guān)鍵作用，但負責任的駕駛員在駕駛時(shí)保持知情、參與和專(zhuān)心，在確保 SDV 的安全作方面仍然至關(guān)重要。隨著(zhù)汽車(chē)行業(yè)不斷擁抱 SDV 的潛力，未來(lái)既有令人興奮的機遇，也需要持續致力于優(yōu)先考慮功能安全。