汽車功能安全白皮書 2024

50%,創(chuàng)全球歷史新高。汽車行業(yè)正迎來百年未有之大變局中國質(zhì)量認(rèn)證中心汽車功能安全中心副主任王江東2023年4月邊俊上海磐時首席汽車安全專家畢先改合眾新能源哪吒汽車安全總監(jiān)馮亞軍蔚來汽車系統(tǒng)安全專家胡沖中興通訊操作系統(tǒng)產(chǎn)品部系統(tǒng)架構(gòu)師曲元寧博世汽車部件(蘇州)有限公司高級系統(tǒng)軟件架構(gòu)師楊虎地平線系統(tǒng)及人工智能安全總監(jiān)畢云天范宏亮江捷康建芳李文星李相華潘文韜翁仁洪吳凡 1 3 6 6 第二章汽車功能安全發(fā)展趨勢 2.1汽車功能安全的歷史與展望 2.2汽車功能安全的主要發(fā)展方向 2.3汽車功能安全的新興發(fā)展領(lǐng)域 第三章汽車功能安全人才現(xiàn)狀 3.2從業(yè)人員的技術(shù)畫像 3.4功能安全行業(yè)的市場環(huán)境 403.5功能安全從業(yè)人員訪談?wù)x 42第四章主要領(lǐng)域功能安全實(shí)踐 464.1新能源三電系統(tǒng) 4.2智能駕駛系統(tǒng) 4.3智能座艙系統(tǒng) 4.4車控系統(tǒng) 4.5底盤控制系統(tǒng) 844.6汽車芯片 92 1方面。而車規(guī)可靠性與功能安全是衡量汽車電子部件成熟可量產(chǎn)的基礎(chǔ)條件。汽車能安全的白皮書2地平線總裁陳黎明2023年4月3BatteryElectricvehFullHybridElectricVeCommercialElectricSoC(4.1)BatteryManagementSysHazardAnalysisandRiskAssesAutomotiveSafetyIntegratBatteryManagementAdvancedDriverAssistanceSystAutonomousDrivingSolutiGlobalNavigationSatelliteS4AdvancedEmergencyBrakingSystAutonomousEmergencyBrakAntilockBrakeSystDriverMonitoringSServiceOrientedArchitectureElectricParkingBrakeEllipticCurvesCryptSafetyrelatedavailabilityrequirementOriginalEquipmentManufactureRegisterTransferLevelPower,PerformanceaApplicationSpecificIntegratedCircuElectronicsDesignAu562021年4月，麥肯錫公司發(fā)布了《2021汽車消費(fèi)者洞察》報告，報告顯示，75A5ETECH82018年到2022年，幾乎所有公司的自動駕駛量產(chǎn)計劃都延期95A5ETECH(一)生產(chǎn)企業(yè)獲得相應(yīng)類別的道路機(jī)動車輛生產(chǎn)企業(yè)準(zhǔn)入許可；(二)產(chǎn)品符合安全、環(huán)保、節(jié)能等標(biāo)準(zhǔn)、技術(shù)規(guī)范要求；智能網(wǎng)聯(lián)汽車產(chǎn)品同時應(yīng)當(dāng)符合預(yù)期功能安全、功能安5A5ETECH但是自2015年開始，由于國內(nèi)標(biāo)準(zhǔn)GBT34590落地宣傳，及新能源汽車發(fā)展功能安全的野蠻生長一直持續(xù)到2020年。一方面，國內(nèi)幾家大型主機(jī)廠與解更是差之千里隊于2020年5月29日牽頭成立了中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟智能網(wǎng)聯(lián)汽車預(yù)截止到2023年3月，SASETECH社區(qū)已覆蓋國內(nèi)安全技術(shù)學(xué)者、技術(shù)專家、行業(yè)資深從業(yè)者超過80%,成功舉辦線上下技術(shù)沙龍超過22次，發(fā)表原創(chuàng)技術(shù)文章1.2.5行業(yè)帶頭人與白皮書第二章汽車功能安全發(fā)展趨勢2.1汽車功能安全的歷史與展望1950年，美國在阿特拉斯發(fā)展洲際彈道導(dǎo)彈時，18個月內(nèi)就有4個導(dǎo)彈在發(fā)問題變得越來越重要。1967年，阿波羅1號發(fā)生火災(zāi)犧牲了3名宇航員后，美國航1.故障模式與影響分析(FMEA)2.能量跟蹤與屏障分析(ETBA)3.危險與可操作性分析(HAZOP)4.故障樹分析(FTA)5.事件樹分析(ETA)6.管理疏忽與風(fēng)險樹(MORT)統(tǒng)安全領(lǐng)域的發(fā)展是最早也是最成熟的，其持續(xù)的應(yīng)用及迭代可以追溯到上世紀(jì)60SubsystemsandEquipment,GeneraDepartmentofDefense,SepSubsystemsandEquipment,GeneralRequirementsfor.USDepartmentofDefense,J[31]MIL-STD-882,SystemSafetyProgramRequirements,USDepartmentofDefense,1[32]MIL-STD-882A,SystemSDepartmentofDefense,2[33]MIL-STD-882B,SystemSafetyProgramRequirements,USDepartmentofDefense,3[34]MIL-STD-882C,SystemSafetyProgramRequirements,US[35]MIL-STD-882D,StandardPracticeforSystemSafety,USDepartmentofDefense,10Fcbruary2000.[36]MIL-STD-882E,StandardPracticeforSystemSafety,USDepartmentofDefense,11May2012.功能安全是系統(tǒng)安全學(xué)科中的一個分支，最早期的IEC61508標(biāo)準(zhǔn)(工業(yè)功能安全)的構(gòu)建也是系統(tǒng)安全經(jīng)驗(yàn)積累的結(jié)果。imgemenedinhadwweandsstwaearestoyslpsfkant.ThFncdlontreadsintheyptemubeytemndsaftareanalypodaedwrdfedforcdoskpedinthemilungrucbuindaropkeindatrisindthntakanupbyraltanportprccsandcorbdnapedalyaplcatangtisesothwarcommans,contacsgmoritonsasltyoialfandien.ThousandsofpoductsadpocTheUSFAAhwesmlufueclondsfetycoetlosonpocesssthefomofUSRICA00-akctorchwdwnaPwhihkapdiadtrouglouttheaotpwcoindastryFunctienalSaleyanddasignasuancaonangirstdngstayasysk.Thelewlotigor(UORraltytaksperfomofgeifkhintienalfabvrecendionmdharadswwtyplatingtothestetycitlcalbinctlonsS0)hmaemboddedsottwareisthorougyanlyzodandtessedtoFncieoulaktykbecomingthemomalfocusodagproachoncompesotwarehtorshgstesandhghyhtogatodconsgmcn.ThesadsiondlsctwaesleytaksandmodlbssedfncienalsuidecethatthesypstemfunctionaltyandsltyfotrespetosotybegnsoarlyintheprocmbyprlsmirgFurctiordHcradAayonHAoiblewlkavulpatdayhectiordulatyolbert.AnadlyosiedimplementdionreuhedkcumertodinFune0HAorSstemsleyAsesmentagatedaedcomplksatharmistaerahegysomstoundrntandldtthemayitonadfiorsandpredkudbwrilicadonadortfiationpoou提到汽車功能安全自身的發(fā)展史，就繞不開IEC61508。2000年5月，國際5A5ETECH的功能安全》。IEC61508標(biāo)準(zhǔn)定義的安全生命周期包含16個階段，粗略地可以分為3塊：1-5階段描述了分析過程；6-13階段描述了實(shí)現(xiàn)過程；14-16階段描述了運(yùn)營過程。所有階段關(guān)注的均是系統(tǒng)安全功能。IEC61508由7個部分組成：1-3部分為標(biāo)準(zhǔn)需求(規(guī)范性的);4-7部分為開發(fā)過程指導(dǎo)和示例。IEC61508是主要針對由電氣電子/可編程電子部件構(gòu)成的系統(tǒng)或者起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)而建立的一種覆蓋整體安全生命周期基礎(chǔ)的評價方法。目的是要針對以電子為基礎(chǔ)的安全系統(tǒng)提出一個一致的、合理的技術(shù)方案，統(tǒng)籌考慮單獨(dú)系統(tǒng)(如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等)中元件與安全系統(tǒng)組合從而導(dǎo)致的安全問題。IEC61508標(biāo)準(zhǔn)的核心是風(fēng)險概念和安全功能。風(fēng)險是指危害事件頻率(或可能性)以及事件后果嚴(yán)重性。通過應(yīng)用包括E/E/PES等技術(shù)構(gòu)成的安全功能，使風(fēng)險降低到可以容忍的水平。置),第1版于2011年發(fā)布，第2版于2018年發(fā)布。NHTSA的文章《AssessmentV√ProbabilityofVVVVAbsenceofunreasonableriNocleardefinitionproNodefinitionprovidimplications.However,oncethestandstandardbasedonmeetingtheestablishedperformancerequirementsISO26262于2011年發(fā)布第一版，2018年更新為第二版。人機(jī)交互人工智能自動駕駛政府建起來，媒體應(yīng)該為此大聲疾呼!”2022年6月正式發(fā)布的ISO21448涵蓋了自動駕駛汽車功能和系統(tǒng)的規(guī)格定析潛在安全風(fēng)險使得在系決安全風(fēng)險或降低由安全風(fēng)險引起的危害。由攻擊者引起的潛在威脅，其目的是造成危害、獲取經(jīng)濟(jì)或其他利益、或僅是得到名聲。度，最終是消除風(fēng)險或采用受的范圍內(nèi)?？紤]攻擊者的知識領(lǐng)域、攻擊意圖，幫助分析人員知道網(wǎng)絡(luò)安全保護(hù)免于受到黑客可能攻擊的行為/擊者必備的特殊裝備等。故障樹分析(FTA)攻擊樹分析(ATA)識別直接影響基礎(chǔ)功能的會有網(wǎng)絡(luò)安全漏洞。表4功能安全與網(wǎng)絡(luò)安全的關(guān)系功能安全如果ADS未收到ESP制動踏板踩下信號，D網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全需求描述防護(hù)等級防止ADS控制器狀態(tài)機(jī)的保密性及完整性受非法披露和復(fù)改b日號D接口帶TRNG種子內(nèi)部32位數(shù)器5A5ETECH2.3汽車功能安全的新興發(fā)展領(lǐng)域根據(jù)麥肯錫測算，2030年的車企軟件驅(qū)動收入占比將會從2010年的7%增長到30%,對于車企端，售賣智能駕駛相關(guān)軟件將會成為車企新的盈利增長點(diǎn)。從整披露的數(shù)據(jù)，以德國車企為例，2017-2018年汽車軟件工程師規(guī)模增長56%,而機(jī)械工程師規(guī)模大幅下降21%。毋庸置疑，隨著軟件占比的增加，軟件的開發(fā)安全性 件外外年甲臺年WT程康早的技來車機(jī)器學(xué)習(xí)(ML)是對算法和統(tǒng)計模型的科學(xué)研究，計算機(jī)系統(tǒng)使用這些算法和被視為人工智能的子集。機(jī)器學(xué)習(xí)算法基于樣本數(shù)據(jù)(稱為“訓(xùn)練數(shù)據(jù)”)建立數(shù)學(xué)0HarmonizeconceptsalreadydescribedinAnHarmonizeconceptsalreadydescribedinAndrivingfunctionsorspecificMLtechniquesAutomotheOSAutomotN數(shù)字化時代，也就是我們常說的運(yùn)用計算機(jī)將我們生活中的信息轉(zhuǎn)化為0和1術(shù)和普遍技術(shù)。10010110101111000010101000101010010110101110010010010010圖15計算機(jī)是靠0和1來存儲信息vehicles—Applicationofpredictive26262-5,這是技術(shù)數(shù)字化手段解決硬件失效預(yù)測的標(biāo)準(zhǔn)。管理方面上，相信汽車功5A5ETECH系統(tǒng)安全第三章汽車功能安全人才現(xiàn)狀那么,功能安全行業(yè)的人才現(xiàn)狀是怎樣的?基于這個問題，編輯小組抽取了超過200個功能安全從業(yè)者樣本做了多維度的調(diào)研。本章將從功能安全從業(yè)人員的基礎(chǔ)畫像、技術(shù)畫像、未來偏好及功能安全行業(yè)的市場環(huán)境的角度，通過不同的圖表，為大家呈現(xiàn)功能安全行業(yè)的從業(yè)者與市場現(xiàn)狀，并做簡要分析，以供參考。3.1從業(yè)人員的基礎(chǔ)畫像汽車安全功能從業(yè)人員男性居多，性別比例約為1:6;從學(xué)歷分布來看，碩士占最大比重，達(dá)到61.2%;其次是本科及以下，占比33.3%;博士的比重約為5%;意味著汽車功能安全從業(yè)者多為高學(xué)歷者；表3從業(yè)人員男女比例■男■女表4從業(yè)人員的學(xué)歷分布從業(yè)人員的學(xué)歷專業(yè)大多集中在車輛工程與電子工程，與車輛相關(guān)及電子相關(guān)的專業(yè)流入行業(yè)內(nèi)更多，大多數(shù)行業(yè)從業(yè)者的專業(yè)與行業(yè)要求的技術(shù)本身匹配度較高；從薪資角度來看，功能安全頂級人才是14%,比較符合二八定律中拔尖的那部分人是10%,他們的年薪是百萬以上，能夠在企業(yè)獨(dú)當(dāng)一面，包括搭建功能安全體系和流程。中位薪資水平普遍在40-70多萬，占比接近70%,這部分人有獨(dú)立負(fù)責(zé)功能安全中部分模塊的可能。30萬以下的從業(yè)者，大多可能剛畢業(yè)，或剛工作2-3年，表5從業(yè)人員的學(xué)習(xí)專業(yè)集成電路設(shè)計表6從業(yè)人員的薪資范圍100萬以上從功能安全從業(yè)年限的角度來看，資深從業(yè)者較多，新入較大一部分人為轉(zhuǎn)行做功能安全，大多數(shù)工作年限超過5年，具備了一定行業(yè)經(jīng)驗(yàn)。表7從業(yè)年限與工作年限占比 6行業(yè)的跳槽率平均2年/次；新勢力互聯(lián)網(wǎng)造車以來，智能駕駛算法和軟件方向涌入好行情的時候，很多從事智能駕駛算法的人，已達(dá)到幾個月一跳的情況。表8從業(yè)人員的穩(wěn)定性(跳槽頻率)3.2從業(yè)人員的技術(shù)畫像從功能安全從業(yè)者負(fù)責(zé)的產(chǎn)品方向來看，負(fù)責(zé)智能駕駛產(chǎn)品方向的人最多，占比接近30%。其次是新能源三電方向占比接近20%,人數(shù)分布最少的產(chǎn)品方向是智能座艙7.8%和操作系統(tǒng)約5.8%。智能駕駛方向的人最多，主要原因可能是產(chǎn)品方向的熱門屬性，另一方面可能是由于智能駕駛產(chǎn)品復(fù)雜度較高，而智能座艙對功能安全的需求和要求本身不高。表9從業(yè)前的業(yè)務(wù)方向表10從事產(chǎn)品方向從行業(yè)使用工具來看，安全分析類工具更加獲得從業(yè)人員的青睞，使用率偏高，也說明了此類工具的重要程度。表11行業(yè)主流工具分布·功能安全管理，例如安全計劃安全分析，例如FTA/FMEA/FMEDA·概念及系統(tǒng)階段設(shè)計，例如HARA、FSC·軟件/硬件相關(guān)的開發(fā)3.3從業(yè)人員的未來偏好從功能安全從事產(chǎn)品來看，ECU和整車層級開發(fā)是最熱門的方向；從業(yè)人員的企業(yè)偏好較為平均，相對而言除了咨詢公司較弱外，其余選擇均無明顯差距。表12熱門產(chǎn)品表13從業(yè)人員的企業(yè)偏好·ECU產(chǎn)品從未來的角度來看.清晰可見的是超過71%的人愿意繼續(xù)從事功能安全的T作.較好。表14行業(yè)從業(yè)穩(wěn)定性接近一半的從業(yè)人員集中在零部件/算法公司，約三分之一的從業(yè)人員服務(wù)于整車廠，芯片公司的從業(yè)人員則不超過20%,最少的是咨詢與認(rèn)證相關(guān)公司；表15所在企業(yè)分布對干企業(yè)的功能安全人員配置.有2個關(guān)鍵數(shù)據(jù)值得關(guān)注：所在企業(yè)功能安全團(tuán)隊人數(shù)超過20人的占了三分之一，根據(jù)業(yè)內(nèi)調(diào)研分析，這部分應(yīng)該集中于主機(jī)廠；還有三分之一的企業(yè)功能安全團(tuán)隊人數(shù)只有5個人以內(nèi)，應(yīng)該集中于零部件企業(yè)或算法公司。從團(tuán)隊人數(shù)配置來看，零部件企業(yè)普遍不重視功能安全。表16所在企業(yè)的功能安全人員數(shù)量從功能安全在企業(yè)的獨(dú)立性來看，有接近一半的企業(yè)并不重視功能安全；同時可以看出，更多的企業(yè)沒有功能安全意識，重視程度不高，因此本應(yīng)傾向的資源配置和支持無法達(dá)到要求，其中包括人員配置、財務(wù)預(yù)算等，這直接說明了企業(yè)對功能安全的重視程度不夠。表17所在企業(yè)是否具有獨(dú)立的功能安全部門或功能安全委員會表18所在公司是否有獨(dú)立于項(xiàng)目的功能安全從業(yè)人員表19所在企業(yè)推動功能安全產(chǎn)品開發(fā)時的阻礙為了更客觀、直觀的了解本章所展現(xiàn)的數(shù)據(jù)，本節(jié)特邀請了國內(nèi)功能安全相關(guān)專業(yè)學(xué)術(shù)帶頭人、龍頭企業(yè)功能安全負(fù)責(zé)人等資深人士，就功能安全行業(yè)及從業(yè)者的相關(guān)話題進(jìn)行了訪談。以下為訪談結(jié)果的整理摘選。問：功能安全的價值是什么?答：價值主要體現(xiàn)在三方面：對企業(yè)的價值：控制產(chǎn)品安全風(fēng)險，對終端用戶生命安全負(fù)責(zé)，維護(hù)品牌形象和口碑；對產(chǎn)品的價值：提成產(chǎn)品安全設(shè)計，增強(qiáng)產(chǎn)品安全屬性和魯棒性；對從業(yè)者價值：惠及社會與人群安全的自我價值實(shí)現(xiàn)，較不錯的經(jīng)濟(jì)匯報。此外，無論對于企業(yè)、產(chǎn)品、用戶、還是從業(yè)者，可以統(tǒng)一到“完整性”這一個核心點(diǎn)上來。問：如果與功能安全相關(guān)的企業(yè)或產(chǎn)品不執(zhí)行功能安全相關(guān)的工作，會對其產(chǎn)生什么5A5ETECH第四章主要領(lǐng)域功能安全實(shí)踐5A5ETECH擋位管理系統(tǒng)擋位管理系統(tǒng)U/NW驅(qū)動電機(jī)高壓電池主動緊急制動車輛驅(qū)動車輪車輛踏板的基本功能。借鑒標(biāo)準(zhǔn)SAEJ2980-2015,整車控制系統(tǒng)的基本功能概述如表20所表20整車控制系統(tǒng)的基本功能示例列表提供系統(tǒng)啟/停選擇向表示為：前進(jìn)(D),后退(R),空擋(N)和駐車(P),提供駕駛員需求的驅(qū)動包括純發(fā)動機(jī)、純電機(jī)或混合驅(qū)動力矩，并不代表底盤制動系統(tǒng)的機(jī)械制動力按照國標(biāo)的定義，驅(qū)動電機(jī)系統(tǒng)(以下簡稱電驅(qū))是指安裝在電動汽車上，為車制器，通過CAN(ControllerAreaNetwork)總線進(jìn)行連接?，F(xiàn)在的電機(jī)及電機(jī)控制器通常被包含在多合一集成的動力總成產(chǎn)品中。最多的器(DCDC)、雙向車載充電器(OBC)、高壓配電箱(PDU)集成，甚至有的將電池5A5ETECH·全混電動汽車(FHEV)(8)充電控制：慢充和快充控制：(9)電池一致性控制：采集單體電壓信息、采用均衡方式使電池達(dá)到一致性，均衡方(12)信息存儲：存儲關(guān)鍵數(shù)據(jù)如SoC、SoH、充放電安時數(shù)、故障碼等。更簡要的圖19示如下：電池歷史信息存儲電池歷史信息存儲電池充電控制管理過溫保護(hù)閉充過放保護(hù)団流保護(hù)電池的老化程度評估電池電流測電池電國監(jiān)測電池管理系統(tǒng)1的加速意圖2非預(yù)期加速丟失34非預(yù)期減速丟失5非預(yù)期縱向移動車輛靜止停車過程，突然行車移動6非預(yù)期縱向移動丟失7非預(yù)期反方向的縱向移動考慮到不同企業(yè)對可控度的評估方法或原則不一致，安全目標(biāo)的ASIL 123避免非預(yù)期移動4避免移動反向51防止電機(jī)無法輸出驅(qū)動轉(zhuǎn)矩A2防止電機(jī)非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大C發(fā)出警示，終止轉(zhuǎn)矩輸出3防止電機(jī)轉(zhuǎn)矩輸出方向反向C發(fā)出警示，終止轉(zhuǎn)矩輸出4防止電機(jī)非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出5防止電機(jī)無法輸出制動轉(zhuǎn)矩A6防止電機(jī)非預(yù)期的輸出制動轉(zhuǎn)矩過大C發(fā)出警示，終止轉(zhuǎn)矩輸出7防止電機(jī)非預(yù)期的輸出制動轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出單單Ca11.電池單體oIc.水性體系魚模材料的主要粘合劑礦展內(nèi)在(日志記錄) 輸電線…通信線略一補(bǔ)給線表24電池系統(tǒng)的安全目標(biāo)及其屬性1高壓電池必須防止自身起火、爆炸2高壓電池必須防止電芯電壓過壓3高壓電池必須防止電芯模組或電池包電壓過壓4高壓電池必須防止電流過流56高壓電池必須防止自身絕緣異常12秒7高壓電池必須保證自身高壓互鎖正常1秒8高壓電池必須保證自身繼電器控制正常B9高壓電池必須保證碰撞檢測正常1秒5A5ETECH碼a用理提青0·邏輯運(yùn)算單元(ArithmeticandLogicUnit,以下簡稱ALU)保護(hù)：運(yùn)算單元5機(jī)后相病其地力通擔(dān)運(yùn)物控上片稱電控名葉持九位置蛙a4.1.3.2電驅(qū)動系統(tǒng)對于國標(biāo)中的安全狀態(tài)終止轉(zhuǎn)矩輸出，當(dāng)前市面上主要有兩種實(shí)現(xiàn)方式：Circuit產(chǎn)生的瞬態(tài)大電流會導(dǎo)致永磁電機(jī)中的永磁體退磁。可以理解成此時為了達(dá)功能安全策略和解決方案(介紹過壓/欠壓/過流)CMC采集單體電芯電壓，并將電壓信號給到BMU(BatteryManagementUnit),BMU內(nèi)部雙核，進(jìn)行安全電壓限制判斷(過壓限值或欠壓限值),如果違反安全限制，則在高邊/低邊控制器觸發(fā)繼電器控制信號，驅(qū)動繼電器斷開，達(dá)到安全表25電池管理系統(tǒng)安全需求：過壓欠壓安全電器邊驅(qū)動WC-一級報警：>4.1(v),或小于2.7V護(hù)制號護(hù)制號號電物制號電物制電5A5ETECH全當(dāng)車在行駛/充電工況時，每隔100ms,BMU必須檢測高壓電池電流是否超過安全閾值。C*電池包過流條件：按項(xiàng)目標(biāo)定4.1.4功能安全相關(guān)標(biāo)準(zhǔn)ADAS(AdvancedDriverAssistanceSyst測等5A5ETECH4.2.1.2典型系統(tǒng)方案及關(guān)鍵組件介紹車輛5功感知車輛筑通預(yù)商4.2.1.2.2決策規(guī)劃4.2.1.2.3控制執(zhí)行Design,verificationandvalidation4.2.2.2功能安全策略4.2.2.2.2自動駕駛系統(tǒng)的安全-可用性和可靠性4.2.2.2.3預(yù)期功能安全對于智能駕駛系統(tǒng)安全來說，影響系統(tǒng)安全的因素不能被傳統(tǒng)功能安全I(xiàn)SO●在功能設(shè)計預(yù)期內(nèi)的場景，發(fā)生功能介入(正常工作)●在非功能設(shè)計預(yù)期的場景，發(fā)生功能介入(誤觸發(fā))·在功能設(shè)計預(yù)期內(nèi)的場景，發(fā)生功能不介入(漏觸發(fā))·在非功能設(shè)計預(yù)期的場景，發(fā)生功能不介入(正常關(guān)閉)4.2.3智駕功能安全面臨的挑戰(zhàn)·表27智能座艙安全目標(biāo)1外后視鏡延時、卡帶2外后視鏡亮度過低3時提醒駕駛員接管或指示▲4期提示駕5員接管狀態(tài)監(jiān)控失效4.3.3智能座艙相關(guān)的國標(biāo)和行業(yè)標(biāo)準(zhǔn)4.3.4座艙系統(tǒng)主流的安全策略和方案座艙交互模塊控制器1控制器2圖31智能座艙安全策略2觸覺、視覺、聽覺是最常見，如圖32所示。針對駕駛員提醒類的功能安全要求，儀表(IP)視覺燈光(方向盒燈帶。氛圍燈)點(diǎn)剩(車輛運(yùn)動狀態(tài))圖32常見接管HMI提醒方式5A5ETECH4.3.5.1DMS安全策略4.3.5.2車控相關(guān)安全策略座艙中，對其提出了更大的算力需求。在業(yè)內(nèi)常用的例如8155A5ETECH(1)無功能安全階段——2000年以前(2)功能安全起步發(fā)展階段——2000年至2011年2000年5月，國際電工委員會正式發(fā)布了IEC61508《電氣/電子/可編程電子(3)功能安全發(fā)展成熟階段——2011年至今1防止在夜晚駕駛時突然丟失前照2防止丟失所有的制動燈ASILB3防止轉(zhuǎn)向燈與實(shí)際的轉(zhuǎn)向燈請求4防止轉(zhuǎn)向燈非預(yù)期丟失ASILA5防止遠(yuǎn)光燈非預(yù)期開啟且不能關(guān)6防止位置燈非預(yù)期丟失ASILA7防止整車低壓電源非預(yù)期掉電8防止前雨刮非預(yù)期丟失ASILA9ASILD4.4.1.3.1整體安全架構(gòu)車控系統(tǒng)一般采用功能軟件為QM,即不承接安全等級，而在功能軟件之下部署一個功能軟膠校驗(yàn)?zāi)K來承接安全等級的架構(gòu)方案，方案示意如下圖33所示：qq(2)Level2層級——功能邏輯校驗(yàn)這一層級安全等級為ASILB,在滿足安全目標(biāo)的前提下功能盡量簡化，對自動控制指令。4.4.1.6.2車控功能軟件架構(gòu)變更帶來的挑戰(zhàn)5A5ETECH縱向自由度(前后運(yùn)動)橫向自由度(左右運(yùn)動)垂向自由度(上下運(yùn)動)汽車懸架系統(tǒng)是連接車輪(或車橋)和車架(或車身)的一套傳力連接機(jī)構(gòu)的總4.5.2危害分析與風(fēng)險評估縱向自由度(前后運(yùn)動)非預(yù)期加速丟失非預(yù)期減速丟失橫向自由度(左右運(yùn)動)非預(yù)期轉(zhuǎn)向5A5ETECH非預(yù)期轉(zhuǎn)向丟失垂向自由度(上下運(yùn)動)非預(yù)期垂向運(yùn)動(導(dǎo)致錯誤的縱向或橫向運(yùn)動)ASIL等級，國內(nèi)外的相關(guān)標(biāo)準(zhǔn)中提供了具有參考價值的分析，其中J298012345避免非預(yù)期轉(zhuǎn)向67車輛，如果底盤系統(tǒng)(如制動系統(tǒng))被定義成failoperational的系統(tǒng)，那么當(dāng)系統(tǒng)5A5ETECH對于ECU的安全設(shè)計，雙核鎖步(DualCorewithLockStep)也是常見的安全設(shè)計方案，以避免控制器芯片故障導(dǎo)致計算異常從而引起風(fēng)險。在一個芯片中包含兩個相同的處理器，一個作為master,一個作為slave,它們執(zhí)行相同的代碼并嚴(yán)格同步，master可以訪問系統(tǒng)內(nèi)存并輸出指令，而slave不斷執(zhí)行在總線上的指令(即由主處理器獲取的指令)。slave產(chǎn)生的輸出，包括地址位和數(shù)據(jù)位，發(fā)送到比較邏輯模塊，由master和slave總線接口的比較器電路組成，檢查它們之間的數(shù)據(jù)、地址和控制線的一致性。檢測到任何總線的值不一致時，認(rèn)為其中一個CPU上存在故障，系統(tǒng)降級進(jìn)入安全狀態(tài)。FL圖34雙核鎖步的安全設(shè)計方案而對于ECU內(nèi)存故障，通常采取ECC作為安全措施來進(jìn)行故障診斷。當(dāng)模塊A將數(shù)據(jù)傳遞給模塊B時，為了保證數(shù)據(jù)傳輸?shù)恼_性，在傳輸?shù)倪^程中會通過ECC產(chǎn)生一個校驗(yàn)碼，該校驗(yàn)碼始終伴隨原始的數(shù)據(jù)傳輸。一旦模塊B接收到數(shù)據(jù)和校驗(yàn)碼之后便會進(jìn)行數(shù)據(jù)校驗(yàn)，如果發(fā)現(xiàn)數(shù)據(jù)某個bit錯誤，ECC能夠?qū)蝏it故障進(jìn)行糾正以及對多bit故障進(jìn)行識別，識別故障后會將報警信息傳遞給控制器經(jīng)進(jìn)入安4.5.4功能安全相關(guān)標(biāo)準(zhǔn)4.5.5未來展望的挑戰(zhàn)，以確保系統(tǒng)之間的控制不會出現(xiàn)沖突，也不會出現(xiàn)兩不管的情況，5A5ETECH片本身沒有做功能安全方面的考量，部分情況下也可以通過系統(tǒng)層/硬件架構(gòu)層級的冊查確認(rèn)品可性程樣片畫片件圖35芯片流程開發(fā)不同階段對應(yīng)的功能安全活動需求(如usecase,f