汽車功能安全：軟件與硬件缺一不可

隨著汽車變得越來越智能，功能安全就成為汽車電子系統(tǒng)不可回避的標(biāo)準(zhǔn)體系，日益復(fù)雜的功能導(dǎo)致了汽車中電子元件的數(shù)量和復(fù)雜性的指數(shù)級增長（Leen）。如今高級別汽車擁有多達(dá)90個電子控制單元（ECU），高階智駕功能如自適應(yīng)巡航控制、碰撞避免系統(tǒng)和自動泊車等需要基于雷達(dá)、激光雷達(dá)和攝像頭的數(shù)據(jù)處理以及傳感器融合的環(huán)境識別，隨著復(fù)雜性的增加，汽車行業(yè)正在采取分而治之的方法，現(xiàn)在要求供應(yīng)鏈的所有參與者都支持和實(shí)現(xiàn)功能安全和可靠性標(biāo)準(zhǔn)。這些指標(biāo)正在成為汽車電子系統(tǒng)設(shè)計(jì)流程中不可或缺的一部分。

ISO 26262：道路車輛-功能安全是汽車行業(yè)標(biāo)準(zhǔn)，源于更通用的IEC 61508功能安全標(biāo)準(zhǔn)（IEC），專為配備一個或多個E/E子系統(tǒng)、最大總質(zhì)量不超過3500公斤的量產(chǎn)乘用車中的安全相關(guān)系統(tǒng)設(shè)計(jì)。根據(jù)ISO 26262，功能安全被定義為“由于電氣/電子系統(tǒng)（E/E系統(tǒng)）故障行為引起的危害所導(dǎo)致的不合理風(fēng)險(xiǎn)的缺失”。這個定義可以表示為一系列的應(yīng)用影響鏈，如圖1所示。

圖1：ISO 26262應(yīng)用影響鏈

面對日益復(fù)雜的汽車電子系統(tǒng)，功能安全通過劃分不同汽車電子子系統(tǒng)的汽車安全完整性等級（ASIL），來定義功能故障（例如，防抱死制動系統(tǒng)故障）對整車的重要性，并進(jìn)行危害和風(fēng)險(xiǎn)評估，以確定對人員和財(cái)產(chǎn)造成損害的風(fēng)險(xiǎn)。該分析基于危害的暴露、嚴(yán)重性和可控性及其產(chǎn)生的風(fēng)險(xiǎn)，并確定汽車安全完整性等級（ASIL），即實(shí)現(xiàn)可容忍風(fēng)險(xiǎn)所需的風(fēng)險(xiǎn)降低水平。

 汽車硬件功能安全？

汽車硬件功能安全是指在車輛硬件中設(shè)計(jì)和實(shí)施安全措施，以防止事故發(fā)生并保護(hù)乘員和其他道路使用者免受傷害。這可能包括用于檢測和響應(yīng)道路上潛在危險(xiǎn)的傳感器和系統(tǒng)等措施，以及在發(fā)生故障或故障時可以接管車輛控制的故障安全系統(tǒng)。汽車硬件功能安全的目標(biāo)是最大限度地降低車輛中硬件相關(guān)問題造成的事故和傷害風(fēng)險(xiǎn)。

ISO 26262 將功能安全 （FuSa） 定義為由于 E/E（電氣和/或電子）系統(tǒng)的故障行為引起的危險(xiǎn)而不存在不可接受的風(fēng)險(xiǎn)。與硬件元素相關(guān)，目標(biāo)是防止系統(tǒng)性設(shè)計(jì)失敗，并檢測和控制隨機(jī)硬件故障。強(qiáng)大的算力需要先進(jìn)工藝節(jié)點(diǎn)的支持以滿足性能/瓦特的需求。因此，汽車行業(yè)也正在見證向先進(jìn)技術(shù)的遷移，這可能對可靠性提出更大的挑戰(zhàn)（例如，工藝變化、靜電放電、電遷移）。系統(tǒng)故障發(fā)生在汽車設(shè)計(jì)生命周期的開發(fā)和制造階段。隨機(jī)硬件故障出現(xiàn)在運(yùn)行中的硬件組件的生命周期內(nèi)，由隨機(jī)缺陷或老化引起。使用 FMEA（失效模式和影響分析）等安全分析技術(shù)對系統(tǒng)故障進(jìn)行定性評估。防止系統(tǒng)性故障需要遵循可信設(shè)計(jì)原則、驗(yàn)證和測試的系統(tǒng)化設(shè)計(jì)方法。

使用 FMEDA（故障模式、影響和診斷分析）對隨機(jī)硬件故障進(jìn)行定量評估，以證明設(shè)計(jì)達(dá)到目標(biāo) ASIL（汽車安全完整性等級）。隨機(jī)硬件故障分為永久性故障（如開路或短路）或瞬態(tài)故障（如電離輻射引起的臨時位翻轉(zhuǎn)）。它們通過安全機(jī)制進(jìn)行檢測和緩解。有多種硬件 FuSa 機(jī)制，例如利用冗余和比較器或多數(shù)投票的技術(shù)，例如雙核鎖步 （DCLS） 和三重模式/模塊化冗余 （TMR），或內(nèi)置自檢 （BIST），例如邏輯 BIST （LBIST） 或內(nèi)存 BIST （MBIST）。

汽車硬件功能安全的工作原理是在車輛的硬件中實(shí)施各種安全措施，以防止事故并保護(hù)乘員和其他道路使用者免受傷害。汽車硬件功能安全的一個關(guān)鍵方面是使用傳感器和系統(tǒng)，這些傳感器和系統(tǒng)可以檢測道路上的潛在危險(xiǎn)并做出相應(yīng)的響應(yīng)。例如，車輛可能配備傳感器，可以檢測其他車輛、行人或道路上的障礙物，并使用該信息調(diào)整車輛的速度或軌跡以避免碰撞。汽車硬件功能安全的另一個重要方面是使用故障安全系統(tǒng)，該系統(tǒng)可以在發(fā)生故障或故障時接管車輛的控制。這可能包括備用系統(tǒng)，可以在主系統(tǒng)發(fā)生故障時接管車輛的制動、轉(zhuǎn)向或加速的控制權(quán)，或者緊急關(guān)閉系統(tǒng)，可以在發(fā)生嚴(yán)重故障時關(guān)閉車輛。

此外，汽車硬件功能安全還包括實(shí)施監(jiān)管機(jī)構(gòu)制定的安全標(biāo)準(zhǔn)和指南，例如 ISO 26262。本標(biāo)準(zhǔn)概述了生產(chǎn)車輛中電氣和/或電子系統(tǒng)的功能安全流程。這包括制定安全計(jì)劃、危害分析和風(fēng)險(xiǎn)評估，以及實(shí)施安全措施以減輕已識別的危害和風(fēng)險(xiǎn)?？傮w而言，汽車硬件功能安全的目標(biāo)是通過實(shí)施各種安全措施和故障安全系統(tǒng)，并遵循安全標(biāo)準(zhǔn)和準(zhǔn)則，最大限度地降低車輛中硬件相關(guān)問題造成的事故和傷害風(fēng)險(xiǎn)。

 汽車硬件功能安全非常重要，因?yàn)樗梢源_保車輛中的系統(tǒng)和組件按預(yù)期運(yùn)行，并以安全的方式發(fā)生故障。這包括制動、轉(zhuǎn)向和動力總成等系統(tǒng)，以及電子穩(wěn)定控制和高級駕駛員輔助系統(tǒng) （ADAS） 等電子系統(tǒng)。確保功能安全可以防止事故和傷害，并在發(fā)生故障時保護(hù)車輛及其乘員。汽車硬件功能安全的優(yōu)勢包括：

• 防止事故并保護(hù)車內(nèi)人員

• 降低汽車公司被追究事故責(zé)任的風(fēng)險(xiǎn)

• 提高汽車公司在客戶中的聲譽(yù)

• 幫助汽車公司遵守安全法規(guī)

• 為汽車公司節(jié)省資金并提高汽車性能

• 開發(fā)新的安全技術(shù)

軟件功能安全同樣重要

 除了硬件問題外，基于軟件的故障在汽車行業(yè)越來越常見。實(shí)際上，軟件集成和軟件缺陷已成為近年來最常見的故障類型。究其原因，一些制造商和軟件供應(yīng)商在開發(fā)新車時對汽車功能安全的關(guān)注不足。它們不遵循 ISO 26262 和其他有助于防止汽車解決方案系統(tǒng)性故障的安全概念。

功能安全特別是軟件功能安全是一個廣泛的概念，其中包含了軟件或硬件在執(zhí)行預(yù)期功能時運(yùn)行而不會對任何人造成傷害的能力，以及一套指導(dǎo)制造商實(shí)施風(fēng)險(xiǎn)降低和全面系統(tǒng)測試的方法、方法和標(biāo)準(zhǔn)，以確保最終產(chǎn)品安全并確保最終用戶不會受到傷害。由于軟件已成為現(xiàn)代汽車不可或缺的一部分，因此它對功能安全的重要性不亞于硬件。

車輛由數(shù)十個部件組成，電子系統(tǒng)越智能，連接這些組件所需的軟件就越復(fù)雜。例如，配備高級駕駛輔助系統(tǒng) （ADAS） 的車輛的安全性直接取決于軟件可靠性。如果系統(tǒng)無法對道路上的潛在危險(xiǎn)做出反應(yīng)，駕駛員最終可能會撞到另一輛車。顯示危險(xiǎn)道路的錯誤導(dǎo)航、分散注意力的信息娛樂軟件、不可靠的胎壓監(jiān)測系統(tǒng)以及其他與汽車軟件相關(guān)的問題會直接影響人們的安全。因此，汽車制造商必須從符合 ISO 26262 和其他有助于實(shí)現(xiàn)安全性標(biāo)準(zhǔn)的公司訂購軟件。遵守核心功能安全實(shí)踐是質(zhì)量的標(biāo)志，可以最大限度地降低軟件崩潰和由此產(chǎn)生的事故風(fēng)險(xiǎn)。因此，制造商生產(chǎn)更可靠的車輛以在市場上取得成功。

 隨著用于輔助駕駛的微處理器控制系統(tǒng)的出現(xiàn)，其復(fù)雜性和功能開始迅速擴(kuò)展。這增加了對軟件解決方案的需求，以確保這些系統(tǒng)的安全并降低系統(tǒng)性或偶發(fā)性故障的風(fēng)險(xiǎn)。從 1998 年開始，汽車制造商一直使用 IEC 61508，直到 2011 年開發(fā)出 ISO 26262 道路車輛的第一個版本。從那時起，ISO 26262 一直是道路車輛（不包括卡車和自行車）的核心安全標(biāo)準(zhǔn)。

與汽車硬件和軟件開發(fā)相關(guān)的其他一些標(biāo)準(zhǔn)和安全法規(guī)包括：

• SAE J1739 - 規(guī)定了設(shè)計(jì)中的潛在失效模式和影響分析

• SAE J3061 - 確保信息物理車輛系統(tǒng)的安全

• FMVSS 126 - 要求新車配備電子穩(wěn)定控制系統(tǒng)

• ISO 21448 - 規(guī)范道路車輛中自動駕駛系統(tǒng) （ADS） 的安全性

• IATF 16949 - 為汽車行業(yè)的組織引入質(zhì)量管理體系

總體而言，汽車軟件開發(fā)團(tuán)隊(duì)遵循以下方法：

因此，在開發(fā)汽車軟件并追求功能安全目標(biāo)時，您必須采用列出的方法。當(dāng)它們結(jié)合在一起時，可以幫助汽車工程師構(gòu)建強(qiáng)大且高質(zhì)量的系統(tǒng)。

實(shí)現(xiàn)功能安全的 6 個核心步驟

ISO 26262 汽車功能安全標(biāo)準(zhǔn)為工程師提供了確保道路車輛安全的主要指導(dǎo)方針。其實(shí)現(xiàn)有助于防止系統(tǒng)性和偶發(fā)性故障，包括以下步驟：

1. 風(fēng)險(xiǎn)檢測

查找并識別與系統(tǒng)對用戶健康的負(fù)面影響相關(guān)的所有可能風(fēng)險(xiǎn)，以指定減少這些風(fēng)險(xiǎn)的要求。

2. 風(fēng)險(xiǎn)分析

分析檢測到的風(fēng)險(xiǎn)，以找出導(dǎo)致這些風(fēng)險(xiǎn)的產(chǎn)品、系統(tǒng)或人類行為的元素。您必須了解觸發(fā)因素、風(fēng)險(xiǎn)的概率以及產(chǎn)品或系統(tǒng)的不同部分如何影響此概率。

3. 實(shí)施安全措施

實(shí)施安全措施，闡明哪些系統(tǒng)設(shè)計(jì)更改（通常是額外的安全元素）可以減少每個檢測到的風(fēng)險(xiǎn)以及如何降低。

4. 檢查降低風(fēng)險(xiǎn)的措施

驗(yàn)證針對每個已識別風(fēng)險(xiǎn)實(shí)施的風(fēng)險(xiǎn)降低措施。您需要在各種情況下測試系統(tǒng)，以檢查當(dāng)發(fā)生不同故障或故障組合時它的行為。

5. 記錄所有內(nèi)容

為所有措施、方法和檢查結(jié)果創(chuàng)建文檔。它將使您能夠繼續(xù)研究系統(tǒng)的穩(wěn)健性，并在必要時證明符合安全標(biāo)準(zhǔn)。

6. 確定達(dá)到的安全級別

完成上述所有步驟后，您就可以根據(jù) ASIL 為您的系統(tǒng)分配特定的安全級別。這是了解解決方案是否可靠并準(zhǔn)備好進(jìn)行大規(guī)模生產(chǎn)的最后一步。

值得一提的是，該標(biāo)準(zhǔn)不是強(qiáng)制性的，每個制造商或汽車軟件提供商都決定其實(shí)施范圍和所需的安全水平。然而，合規(guī)性是系統(tǒng)和產(chǎn)品可靠性的有力證明，對大多數(shù)最終用戶來說都很重要。

軟件定義汽車如何改變功能安全

在汽車產(chǎn)業(yè)的發(fā)展歷程中，我們已經(jīng)見證了從機(jī)械控制到電子控制系統(tǒng)的轉(zhuǎn)變，現(xiàn)在一個新時代又將到來，車輛不再由螺母和螺栓定義，而是由比特和字節(jié)定義，這就是軟件定義汽車（SDV）的世界。SDV代表了一種革命性的轉(zhuǎn)變，其中車輛中的軟件優(yōu)先于其硬件，定義了其特性、能力和安全功能。通過這種變革性的方法，功能安全的概念已經(jīng)發(fā)生了徹底的改革，其中網(wǎng)絡(luò)安全是確保安全客戶體驗(yàn)的必要先決條件。 

前面我們分析了硬件功能安全和軟件功能安全，現(xiàn)在我們來深入探討一下為什么SDV會迫使新的功能安全方法。 

借助SDV方法，創(chuàng)新將很快變得像推出應(yīng)用程序更新一樣簡單。無需再等待新硬件來提高車輛性能或安全性;開發(fā)人員將能夠通過軟件更新引入高級特性、功能和修復(fù)程序。同樣，以前固定的和靜態(tài)的安全功能可以而且應(yīng)該迭代改進(jìn)，以跟上快速發(fā)展的技術(shù)領(lǐng)域的步伐。 

主動安全：新范式 

車輛中的傳統(tǒng)功能安全在本質(zhì)上更具被動性，傾向于“一盎司的預(yù)防勝過一磅的治療”。它在危急情況下嚴(yán)重依賴人類進(jìn)行決策。然而，SDV 的出現(xiàn)已將重點(diǎn)轉(zhuǎn)移到主動安全措施上。借助傳感器、LiDAR 和雷達(dá)系統(tǒng)，SDV 可以預(yù)測潛在危險(xiǎn)并做出相應(yīng)的響應(yīng)，通常比人類的反應(yīng)時間更快。這就像擁有蜘蛛俠的“蜘蛛俠感覺”，但適用于您的汽車。對于這些子系統(tǒng)中的每一個，都使用 FMEA、FTA 和 DFA 等主動方法來識別故障及其對安全目標(biāo)的影響——然后根據(jù)分析對流程和設(shè)計(jì)進(jìn)行更改。但是，完整的 SDV 還必須確保符合 ISO 21448 的 SOTIF（預(yù)期功能的安全性）。

 安全性：新時代安全帶

 隨著軟件開始定義車輛的越來越多的方面，安全性成為功能安全的關(guān)鍵方面。畢竟，我們不希望一些精通技術(shù)的惡棍控制我們的車輛，不是嗎？這就是為什么 SDV 在設(shè)計(jì)時采用了與防抱死制動系統(tǒng)一樣重要的強(qiáng)大網(wǎng)絡(luò)安全措施。它們確保我們的乘車安全，不僅在路上，而且在龐大、互聯(lián)的數(shù)字世界中也是如此。

通過 SDV 實(shí)現(xiàn)的功能安全轉(zhuǎn)型證明了軟件和技術(shù)為汽車行業(yè)帶來的革命。隨著創(chuàng)新能力的釋放并賦予軟件，我們現(xiàn)在正駛向一個比以往任何時候都更加安全和令人振奮的未來。但我們不要忘記，雖然我們的車輛變得越來越智能，但安全責(zé)任并不僅僅落在它們的硅肩上。

 功能安全的端到端方法

 SDV 的出現(xiàn)對 FuSa 的端到端 （E2E） 方法產(chǎn)生了重大影響 — SDV 正在改變概念開發(fā)、設(shè)計(jì)、系統(tǒng)測試和驗(yàn)證 （ST&V） 以及生產(chǎn)的傳統(tǒng)方法。過去，F(xiàn)uSa 主要專注于以硬件為中心的安全措施，例如機(jī)械組件和物理冗余。然而，SDV 的出現(xiàn)帶來了新的復(fù)雜性，因?yàn)殛P(guān)鍵安全功能現(xiàn)在嚴(yán)重依賴軟件算法和電子控制系統(tǒng)。因此，F(xiàn)uSa 的 E2E 方法現(xiàn)在需要對軟件架構(gòu)、強(qiáng)大的編碼實(shí)踐以及有效的軟件驗(yàn)證和確認(rèn)技術(shù)的全面理解。

在概念階段，E2E 方法涉及評估特定于軟件集成和互作性的安全影響。設(shè)計(jì)階段強(qiáng)調(diào)開發(fā)安全的軟件架構(gòu)、容錯機(jī)制和有效的錯誤處理。軟件測試和驗(yàn)證活動現(xiàn)在包括嚴(yán)格的軟件測試，包括靜態(tài)分析、動態(tài)測試和基于仿真的評估。此外，生產(chǎn)階段需要嚴(yán)格的軟件配置管理、安全的無線更新和持續(xù)監(jiān)控，以解決潛在的漏洞。通過將 FuSa 整合到每個階段，組織可以更好地應(yīng)對與現(xiàn)代汽車系統(tǒng)相關(guān)的獨(dú)特安全挑戰(zhàn)，確保充分緩解與軟件相關(guān)的風(fēng)險(xiǎn)并增強(qiáng)整體車輛安全性。

展望未來

 SDV 的出現(xiàn)帶來了功能安全方法的變革性轉(zhuǎn)變。SDV 使汽車創(chuàng)新大眾化，允許持續(xù)的軟件更新和迭代改進(jìn)，以提高車輛性能和安全性。由先進(jìn)傳感器和系統(tǒng)實(shí)現(xiàn)的主動安全措施已經(jīng)取代了被動方法，使 SDV 能夠比人類反應(yīng)時間更快地預(yù)測和響應(yīng)潛在危險(xiǎn)。此外，SDV 的興起需要強(qiáng)大的網(wǎng)絡(luò)安全措施，以確保車輛數(shù)據(jù)的安全并防止未經(jīng)授權(quán)的訪問。

功能安全的 E2E 方法已經(jīng)發(fā)展到包括對軟件架構(gòu)、編碼實(shí)踐和驗(yàn)證技術(shù)的全面理解，從而應(yīng)對軟件定義系統(tǒng)帶來的獨(dú)特挑戰(zhàn)。雖然技術(shù)在推進(jìn)功能安全方面發(fā)揮著關(guān)鍵作用，但負(fù)責(zé)任的駕駛員在駕駛時保持知情、參與和專心，在確保 SDV 的安全作方面仍然至關(guān)重要。隨著汽車行業(yè)不斷擁抱 SDV 的潛力，未來既有令人興奮的機(jī)遇，也需要持續(xù)致力于優(yōu)先考慮功能安全。