汽車功能安全：軟件與硬件缺一不可

隨著汽車變得越來越智能，功能安全就成為汽車電子系統不可回避的標準體系，日益復雜的功能導致了汽車中電子元件的數量和復雜性的指數級增長（Leen）。如今高級別汽車擁有多達90個電子控制單元（ECU），高階智駕功能如自適應巡航控制、碰撞避免系統和自動泊車等需要基于雷達、激光雷達和攝像頭的數據處理以及傳感器融合的環境識別，隨著復雜性的增加，汽車行業正在采取分而治之的方法，現在要求供應鏈的所有參與者都支持和實現功能安全和可靠性標準。這些指標正在成為汽車電子系統設計流程中不可或缺的一部分。

ISO 26262：道路車輛-功能安全是汽車行業標準，源于更通用的IEC 61508功能安全標準（IEC），專為配備一個或多個E/E子系統、最大總質量不超過3500公斤的量產乘用車中的安全相關系統設計。根據ISO 26262，功能安全被定義為“由于電氣/電子系統（E/E系統）故障行為引起的危害所導致的不合理風險的缺失”。這個定義可以表示為一系列的應用影響鏈，如圖1所示。

圖1：ISO 26262應用影響鏈

面對日益復雜的汽車電子系統，功能安全通過劃分不同汽車電子子系統的汽車安全完整性等級（ASIL），來定義功能故障（例如，防抱死制動系統故障）對整車的重要性，并進行危害和風險評估，以確定對人員和財產造成損害的風險。該分析基于危害的暴露、嚴重性和可控性及其產生的風險，并確定汽車安全完整性等級（ASIL），即實現可容忍風險所需的風險降低水平。

 汽車硬件功能安全？

汽車硬件功能安全是指在車輛硬件中設計和實施安全措施，以防止事故發生并保護乘員和其他道路使用者免受傷害。這可能包括用于檢測和響應道路上潛在危險的傳感器和系統等措施，以及在發生故障或故障時可以接管車輛控制的故障安全系統。汽車硬件功能安全的目標是最大限度地降低車輛中硬件相關問題造成的事故和傷害風險。

ISO 26262 將功能安全 （FuSa） 定義為由于 E/E（電氣和/或電子）系統的故障行為引起的危險而不存在不可接受的風險。與硬件元素相關，目標是防止系統性設計失敗，并檢測和控制隨機硬件故障。強大的算力需要先進工藝節點的支持以滿足性能/瓦特的需求。因此，汽車行業也正在見證向先進技術的遷移，這可能對可靠性提出更大的挑戰（例如，工藝變化、靜電放電、電遷移）。系統故障發生在汽車設計生命周期的開發和制造階段。隨機硬件故障出現在運行中的硬件組件的生命周期內，由隨機缺陷或老化引起。使用 FMEA（失效模式和影響分析）等安全分析技術對系統故障進行定性評估。防止系統性故障需要遵循可信設計原則、驗證和測試的系統化設計方法。

使用 FMEDA（故障模式、影響和診斷分析）對隨機硬件故障進行定量評估，以證明設計達到目標 ASIL（汽車安全完整性等級）。隨機硬件故障分為永久性故障（如開路或短路）或瞬態故障（如電離輻射引起的臨時位翻轉）。它們通過安全機制進行檢測和緩解。有多種硬件 FuSa 機制，例如利用冗余和比較器或多數投票的技術，例如雙核鎖步 （DCLS） 和三重模式/模塊化冗余 （TMR），或內置自檢 （BIST），例如邏輯 BIST （LBIST） 或內存 BIST （MBIST）。

汽車硬件功能安全的工作原理是在車輛的硬件中實施各種安全措施，以防止事故并保護乘員和其他道路使用者免受傷害。汽車硬件功能安全的一個關鍵方面是使用傳感器和系統，這些傳感器和系統可以檢測道路上的潛在危險并做出相應的響應。例如，車輛可能配備傳感器，可以檢測其他車輛、行人或道路上的障礙物，并使用該信息調整車輛的速度或軌跡以避免碰撞。汽車硬件功能安全的另一個重要方面是使用故障安全系統，該系統可以在發生故障或故障時接管車輛的控制。這可能包括備用系統，可以在主系統發生故障時接管車輛的制動、轉向或加速的控制權，或者緊急關閉系統，可以在發生嚴重故障時關閉車輛。

此外，汽車硬件功能安全還包括實施監管機構制定的安全標準和指南，例如 ISO 26262。本標準概述了生產車輛中電氣和/或電子系統的功能安全流程。這包括制定安全計劃、危害分析和風險評估，以及實施安全措施以減輕已識別的危害和風險。總體而言，汽車硬件功能安全的目標是通過實施各種安全措施和故障安全系統，并遵循安全標準和準則，最大限度地降低車輛中硬件相關問題造成的事故和傷害風險。

 汽車硬件功能安全非常重要，因為它可以確保車輛中的系統和組件按預期運行，并以安全的方式發生故障。這包括制動、轉向和動力總成等系統，以及電子穩定控制和高級駕駛員輔助系統 （ADAS） 等電子系統。確保功能安全可以防止事故和傷害，并在發生故障時保護車輛及其乘員。汽車硬件功能安全的優勢包括：

• 防止事故并保護車內人員

• 降低汽車公司被追究事故責任的風險

• 提高汽車公司在客戶中的聲譽

• 幫助汽車公司遵守安全法規

• 為汽車公司節省資金并提高汽車性能

• 開發新的安全技術

軟件功能安全同樣重要

 除了硬件問題外，基于軟件的故障在汽車行業越來越常見。實際上，軟件集成和軟件缺陷已成為近年來最常見的故障類型。究其原因，一些制造商和軟件供應商在開發新車時對汽車功能安全的關注不足。它們不遵循 ISO 26262 和其他有助于防止汽車解決方案系統性故障的安全概念。

功能安全特別是軟件功能安全是一個廣泛的概念，其中包含了軟件或硬件在執行預期功能時運行而不會對任何人造成傷害的能力，以及一套指導制造商實施風險降低和全面系統測試的方法、方法和標準，以確保最終產品安全并確保最終用戶不會受到傷害。由于軟件已成為現代汽車不可或缺的一部分，因此它對功能安全的重要性不亞于硬件。

車輛由數十個部件組成，電子系統越智能，連接這些組件所需的軟件就越復雜。例如，配備高級駕駛輔助系統 （ADAS） 的車輛的安全性直接取決于軟件可靠性。如果系統無法對道路上的潛在危險做出反應，駕駛員最終可能會撞到另一輛車。顯示危險道路的錯誤導航、分散注意力的信息娛樂軟件、不可靠的胎壓監測系統以及其他與汽車軟件相關的問題會直接影響人們的安全。因此，汽車制造商必須從符合 ISO 26262 和其他有助于實現安全性標準的公司訂購軟件。遵守核心功能安全實踐是質量的標志，可以最大限度地降低軟件崩潰和由此產生的事故風險。因此，制造商生產更可靠的車輛以在市場上取得成功。

 隨著用于輔助駕駛的微處理器控制系統的出現，其復雜性和功能開始迅速擴展。這增加了對軟件解決方案的需求，以確保這些系統的安全并降低系統性或偶發性故障的風險。從 1998 年開始，汽車制造商一直使用 IEC 61508，直到 2011 年開發出 ISO 26262 道路車輛的第一個版本。從那時起，ISO 26262 一直是道路車輛（不包括卡車和自行車）的核心安全標準。

與汽車硬件和軟件開發相關的其他一些標準和安全法規包括：

• SAE J1739 - 規定了設計中的潛在失效模式和影響分析

• SAE J3061 - 確保信息物理車輛系統的安全

• FMVSS 126 - 要求新車配備電子穩定控制系統

• ISO 21448 - 規范道路車輛中自動駕駛系統 （ADS） 的安全性

• IATF 16949 - 為汽車行業的組織引入質量管理體系

總體而言，汽車軟件開發團隊遵循以下方法：

因此，在開發汽車軟件并追求功能安全目標時，您必須采用列出的方法。當它們結合在一起時，可以幫助汽車工程師構建強大且高質量的系統。

實現功能安全的 6 個核心步驟

ISO 26262 汽車功能安全標準為工程師提供了確保道路車輛安全的主要指導方針。其實現有助于防止系統性和偶發性故障，包括以下步驟：

1. 風險檢測

查找并識別與系統對用戶健康的負面影響相關的所有可能風險，以指定減少這些風險的要求。

2. 風險分析

分析檢測到的風險，以找出導致這些風險的產品、系統或人類行為的元素。您必須了解觸發因素、風險的概率以及產品或系統的不同部分如何影響此概率。

3. 實施安全措施

實施安全措施，闡明哪些系統設計更改（通常是額外的安全元素）可以減少每個檢測到的風險以及如何降低。

4. 檢查降低風險的措施

驗證針對每個已識別風險實施的風險降低措施。您需要在各種情況下測試系統，以檢查當發生不同故障或故障組合時它的行為。

5. 記錄所有內容

為所有措施、方法和檢查結果創建文檔。它將使您能夠繼續研究系統的穩健性，并在必要時證明符合安全標準。

6. 確定達到的安全級別

完成上述所有步驟后，您就可以根據 ASIL 為您的系統分配特定的安全級別。這是了解解決方案是否可靠并準備好進行大規模生產的最后一步。

值得一提的是，該標準不是強制性的，每個制造商或汽車軟件提供商都決定其實施范圍和所需的安全水平。然而，合規性是系統和產品可靠性的有力證明，對大多數最終用戶來說都很重要。

軟件定義汽車如何改變功能安全

在汽車產業的發展歷程中，我們已經見證了從機械控制到電子控制系統的轉變，現在一個新時代又將到來，車輛不再由螺母和螺栓定義，而是由比特和字節定義，這就是軟件定義汽車（SDV）的世界。SDV代表了一種革命性的轉變，其中車輛中的軟件優先于其硬件，定義了其特性、能力和安全功能。通過這種變革性的方法，功能安全的概念已經發生了徹底的改革，其中網絡安全是確保安全客戶體驗的必要先決條件。 

前面我們分析了硬件功能安全和軟件功能安全，現在我們來深入探討一下為什么SDV會迫使新的功能安全方法。 

借助SDV方法，創新將很快變得像推出應用程序更新一樣簡單。無需再等待新硬件來提高車輛性能或安全性;開發人員將能夠通過軟件更新引入高級特性、功能和修復程序。同樣，以前固定的和靜態的安全功能可以而且應該迭代改進，以跟上快速發展的技術領域的步伐。 

主動安全：新范式 

車輛中的傳統功能安全在本質上更具被動性，傾向于“一盎司的預防勝過一磅的治療”。它在危急情況下嚴重依賴人類進行決策。然而，SDV 的出現已將重點轉移到主動安全措施上。借助傳感器、LiDAR 和雷達系統，SDV 可以預測潛在危險并做出相應的響應，通常比人類的反應時間更快。這就像擁有蜘蛛俠的“蜘蛛俠感覺”，但適用于您的汽車。對于這些子系統中的每一個，都使用 FMEA、FTA 和 DFA 等主動方法來識別故障及其對安全目標的影響——然后根據分析對流程和設計進行更改。但是，完整的 SDV 還必須確保符合 ISO 21448 的 SOTIF（預期功能的安全性）。

 安全性：新時代安全帶

 隨著軟件開始定義車輛的越來越多的方面，安全性成為功能安全的關鍵方面。畢竟，我們不希望一些精通技術的惡棍控制我們的車輛，不是嗎？這就是為什么 SDV 在設計時采用了與防抱死制動系統一樣重要的強大網絡安全措施。它們確保我們的乘車安全，不僅在路上，而且在龐大、互聯的數字世界中也是如此。

通過 SDV 實現的功能安全轉型證明了軟件和技術為汽車行業帶來的革命。隨著創新能力的釋放并賦予軟件，我們現在正駛向一個比以往任何時候都更加安全和令人振奮的未來。但我們不要忘記，雖然我們的車輛變得越來越智能，但安全責任并不僅僅落在它們的硅肩上。

 功能安全的端到端方法

 SDV 的出現對 FuSa 的端到端 （E2E） 方法產生了重大影響 — SDV 正在改變概念開發、設計、系統測試和驗證 （ST&V） 以及生產的傳統方法。過去，FuSa 主要專注于以硬件為中心的安全措施，例如機械組件和物理冗余。然而，SDV 的出現帶來了新的復雜性，因為關鍵安全功能現在嚴重依賴軟件算法和電子控制系統。因此，FuSa 的 E2E 方法現在需要對軟件架構、強大的編碼實踐以及有效的軟件驗證和確認技術的全面理解。

在概念階段，E2E 方法涉及評估特定于軟件集成和互作性的安全影響。設計階段強調開發安全的軟件架構、容錯機制和有效的錯誤處理。軟件測試和驗證活動現在包括嚴格的軟件測試，包括靜態分析、動態測試和基于仿真的評估。此外，生產階段需要嚴格的軟件配置管理、安全的無線更新和持續監控，以解決潛在的漏洞。通過將 FuSa 整合到每個階段，組織可以更好地應對與現代汽車系統相關的獨特安全挑戰，確保充分緩解與軟件相關的風險并增強整體車輛安全性。

展望未來

 SDV 的出現帶來了功能安全方法的變革性轉變。SDV 使汽車創新大眾化，允許持續的軟件更新和迭代改進，以提高車輛性能和安全性。由先進傳感器和系統實現的主動安全措施已經取代了被動方法，使 SDV 能夠比人類反應時間更快地預測和響應潛在危險。此外，SDV 的興起需要強大的網絡安全措施，以確保車輛數據的安全并防止未經授權的訪問。

功能安全的 E2E 方法已經發展到包括對軟件架構、編碼實踐和驗證技術的全面理解，從而應對軟件定義系統帶來的獨特挑戰。雖然技術在推進功能安全方面發揮著關鍵作用，但負責任的駕駛員在駕駛時保持知情、參與和專心，在確保 SDV 的安全作方面仍然至關重要。隨著汽車行業不斷擁抱 SDV 的潛力，未來既有令人興奮的機遇，也需要持續致力于優先考慮功能安全。