2016年9月9日,通用汽车网站上的一份简短召回公告显示,感知和诊断安全气囊和安全带紧固功能(Sensing and Diagnostic Module)在极少数情况下,安全气囊可能无法正常弹出,因此在美国市场召回约364万辆汽车。
第二天,路透社表示,通用召回的汽车数量将达到430万辆,这一缺陷已造成一人死亡,三人受伤。
在当时高田(Takata)在安全气囊事件持续发酵、各大厂商召回数千万辆车的背景下,通用汽车「总共花费12亿美元」小批量召回并没有引起太多关注。然而,在汽车功能安全工程师中,它被广泛传播为功能安全设计缺陷的典型案例。
一、什么是功能安全?
20世纪60年代,在一个连接意大利、德国和奥地利的石油管道工程中,德国人首次使用电子和电气设备来检测安全参数。当时,工程设计团队中没有人知道如何确保电气设备的安全,所以他们邀请了专业的测试机构TüV南德意志(TüV SUD),评估项目的电气安全状态。
功能安全概念的雏形是南德意志对油气行业电气设备的评价和检测。
直到20世纪70年代至80年代,石化领域的爆炸和污染物泄漏事故仍时有发生。专家认为,安全控制系统的功能故障在事故原因中占很大比例,特别是电子、电气和可编程逻辑控制器的安全功能不完善。
为了提高安全性能,世界各地的行业专家希望为电子、电气和可编程控制系统开发一套成熟的设计技术标准。
德国标准化学准化学会(DIN)与德国电气工程师协会德国电气工程师协会(VDE)国际电工委员会于1998年颁布了标准IEC 61508(功能安全基本标准)成为包括核能领域在内的一系列行业功能安全标准的基准IEC 61513.轨道交通领域EN 50128.工艺工业领域IEC 61511等。
其中,道路车辆功能安全专用标准ISO 26262年开始编制,6年后2011年11月正式发布,2018年发布第二版。
回到什么是功能安全的问题。ISO 26262对功能安全(Functional Safety)的定义是:
Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.
电子电气系统气系统功能失效造成的不合理风险。
一般来说,功能安全要求车载电子电气系统通过合理的设计,检测潜在的危害风险,最大限度地降低电子电气系统故障的可能性。即使发生故障,系统也可以通过启动保护或纠正装置来防止危险事件,或在危险事件发生时提供缓解措施来减少伤害。
例如,我们可以认为,由于电子电气系统故障,如汽车反向移动撞倒或滚动行人、电池控制火灾引起烧伤或触电、转向系统控制异常导致撞车或翻车的可能性,已降低到可接受的水平。
二、ISO 26262如何保证功能安全?
功能安全理念是一个结构环环相扣、内部逻辑严谨的完整体系,具有以下特点:
在需求开发、架构设计、详细设计、实现、集成、测试验证、确认等环节的基础上,每个环节都有相应的技术要求; 包括规划、概念、设计、验证、生产、运证、生产、运营,直至报废; 包括传感器、处理器、执行器、硬件电路、基础软件、应用软件、芯片、软件工具等。 项目管理、安全管理、需求管理、配置管理、变更管理、生产管理、售后服务管理等。
作为一套战略性的通用标准,ISO 26262从系统和整个生命周期的高度协调电子电气系统的功能安全。它文档了汽车电子产品或部件的整个生命周期过程,并指导该过程中安全事项的实施。
从ISO 26262标准流程框架图,一窥其在整车开发中的V渗透过程。
图片
当用户面对产品时,如何判断产品是否符合功能安全要求?当汽车制造商对汽车零部件提出功能安全要求时,应使用什么指标来判断和评估零部件的供应商?
ISO 26262引入了ASIL(Automotive Safety Integrity Level,汽车安全完整性等级)分为电子系统/产品及其安全需求等级——有了全行业统一的评级参考系统,用户和从业者可以直观定量地了解产品的功能安全状态。
ASIL从低到高分A、B、C、D四个等级,ASIL-A代表最低严格水平,ASIL-D代表最高严格水平。此外,还有一个非安全要求QM(Quality Management)等级,标准对其不作为功能安全的要求——可以大致理解为企业负责的常规质量管理。
举例说,车载蓝牙连接失效,可以归为QM,虽然可能造成不便,但不会带来危机安全的后果;窗户可以通过按钮控制上升/下降的需求可以归类为ASIL-A等级,虽然可能造成手夹伤等危害,但风险较低;当司机顺/逆时针转动方向盘时,电子助力的扭矩必须与其转向方向一致是一项ASIL-D等级要求,因为如果司机向左转,电子助力向右转,可能会导致车辆失控和致命碰撞。
另一个例子是倒车辅助摄像头和倒车辅助摄像头L由于两者在汽车驾驶安全中扮演着不同的角色,4级自动驾驶前向感知主摄像头,ASIL等级差异很大-前者是ASIL-A或QM,后者则为ASIL-D。
安全功能或要求ASIL水平来自正确SEC的分析——S、E、C分别表示系统故障后的危害严重程度、系统故障后可能造成危害的场景下的暴露概率和系统故障后的可控性。简单地说,如果系统失效后的危害越严重,风险场景的概率越大,可控性越差,那么ASIL等级越高。ASIL该等级来源于系统故障后的风险评估,并作为指导开发验证的严格依据:
严重度(Severity)指对驾驶员、环境和行人造成伤害的严重程度。分为四个等级:S0指无伤害,S指轻度和中度损伤,S2.严重伤害(可能存活),S三是致命伤害。
暴露概率(Exposure)指在工况下发生风险的概率。E0说不可能,E概率很低,E2为低概率,E三是中等概率,E4为高概率。
可控性(Controlability)驾驶员或其他涉险人员在发生事故时可以避免事故或控制伤害的可能性。C0表示可控,C一是简单可控,C2为一般可控,C三是难以控制或无法控制。
其中,确定严重性和可控性的过程称为危害分析(Hazard Analysis),确定暴露概率的过程称为风险评估(Risk Assessment)。两者结合简称两者结合HARA”。
在理解了上述概念后,我们可以得到以下公式来计算安全功能ASIL等级:
ASIL_X = Func (Sx, Ey, Cz)
x、y、z这里分别代表S、E、C等级。通常,当ASIL_X功能安全等级为7QM;当ASIL_X=7.功能安全等级为A;当ASIL_X=8.功能安全等级为B;当ASIL_X=九、功能安全等级为C;当ASIL_X=功能安全等级为10D。
图片
在实际评级中,安全工程师将制定详细信息SEC根据评分表得出值量化评分表ASIL等级。
确定需求ASIL评而言之,功能安全闭环需要以下四个步骤来完成:
1.根据需要ASIL建立安全目标(Safety Goal):这是继承相应需求的具体定性目标ASIL评级。例如,上述转向助力方向一致的安全目标可以设定为将转向助力的故障风险降低到可容忍风险以下——这是一个ASIL-D等级目标。
2.基于安全目标形成Functional Safety Concept和Technical Safety Concept:以动力转向为例,为了降低转向动力方向一致故障的风险,一种可行的方法是冗余计算,即方法是将动力电机的扭矩限制在较小的值,因此,即使助力方向错误,驾驶员也可以增加控制车辆方向的力度——这两种解决方案是不同的Functional Safety Concept。
为了实现Functional Safety Concept,进一步细化为Technical Safety Concept,具体的技术设计方案也继承了安全目标ASIL评级。
3.基于Technical Safety Concept,形成下一层软件安全要求(Software Safety Requirement)以及硬件安全要求(Hardware Safety Requirement),作为软硬件设计的基础,这些需求也继承了上一层ASIL评级。
4.制定符合ISO 按流程严格执行26262要求的测试验证方案。
综上所述,对于电子电气系统的安全功能,它ASIL该等级不仅代表了该安全功能对汽车驾驶安全的重要性,也代表了开发过程中相应系统和产品设计验证的复杂性。
听起来我们可以认为,只要企业遵循这一点ISO 26262中的规范要求汽车电子产品的开发可以保证产品不存在电子系统功能失效造成的不合理风险。
那么,只要规定所有汽车电子电气开发都必须满足功能安全要求,一切都会好起来吗?
事实是,在中国,虽然和ISO 26262内容相似的国家标准GB/T 《道路车辆功能安全》于2017年正式发布,但并非强制性标准。
三、实施挑战
自2016年以来,随着智能汽车概念的兴起,由于智能电动汽车包含的电子电气设备和软件系统数量远远超过传统燃料汽车,功能安全已成为中国汽车行业的热门词汇。
经过几年的试水,即使主流的中国汽车公司还没有完全完成一轮,他们也尝试引进和引进功能安全。然而,直到今天,在产品的功能安全和大规模生产方面,我们真正走上了外国传统Tier国内企业不多。
行业对功能安全的普遍反映是:/>
“太虚了”;“流程太复杂”;“项目进度紧,没有时间和资源做”;“技术指标要求太高,做不到”;“这成本太高了”;“先把功能实现了再说吧”……
在实践中,由于汽车功能安全的实施并非一个隔绝的独立项目,而是充分渗透在汽车开发的各个环节,ISO 26262的落地遇到了4个方面的挑战:
1.融合的挑战:作为通用性较强的纲领型标准,ISO 26262需要以产品的架构设计、参数规格、开发流程等,作为实施的基础——企业现有产品的研发流程体系越完善,功能安全就越容易落地。
在导入功能安全之前,绝大多数中国汽车企业都已拥有自己的产品或产品原型,通过企业内部的常规控制,这些产品原本已经具备投放市场的条件。在将功能安全融入现有产品的过程中,经常出现的情况是——以ISO 26262的标准衡量,现有产品的文档严重缺失,无法提供有效的输入。
如此一来,在推进功能安全之前,需要完善产品开发流程作为先决条件,若再向上追溯,又多半会涉及到企业组织形式的变革。
2.平衡的挑战:在“安全高于一切”的原则下,从功能安全角度提出的要求,很容易陷入与产品其他属性相矛盾的场景。
安全固然是重中之重,但假设极端的例子:一个实现了绝对的功能安全但产品力低下、无人问津的产品,因为没有人使用,其安全功能也就失去了意义。
因此,功能安全负责人需要从产品开发的高度思考问题,将功能安全作为产品诸多属性中的一个,日常性地与各个研发团队沟通协调,找寻最折中合理的方案。
3.周期的挑战:汽车正在从机械移动工具演变为电子智能终端,市场节奏加快迫使产品迭代速度加快,这与ISO 26262按部就班的V型组织流程产生了冲突。
在实际研发过程中,经常会出现由于赶不上SOP时间,部分企业对客户的安全需求不强的产品选择暂缓或停止功能安全任务的情况。
针对此,互联网思维和敏捷开发,正在从软件领域渗透到汽车行业,或许在未来,成功落地的功能安全开发模式,将会是ISO 26262与敏捷开发理念相结合的中间产物。
4.成本的挑战:导入功能安全,会增加企业在硬件、软件、工具链、管理等方面的投入。
长期看,导入功能安全能推动企业完善产品的研发体系,打造出安全性更高、竞争力更强的产品。因此,在功能安全方面投入的成本会带来长远收益。
但同时,投入的节奏至关重要,企业需面向市场竞争环境,根据用户需求和合理的产品节奏,决定投入功能安全这项工作的资源。
面对这些挑战,汽车功能安全的推广和落地,既非朝夕之功,也不是整车厂能够独自推动实现的。
四、自动驾驶与功能安全
当功能安全遇到自动驾驶,会碰撞出何样的火花呢?
显然,需求是旺盛的——线控底盘的引入、软件定义功能的增多,都会使功能安全在汽车安全语境中的分量变得越来越重。
供给方面,笔者以为,自动驾驶技术的发展,将会促进汽车功能安全更快速地完善和落地。
从整车开发角度看,造车新势力们的最初创业目标便是(可实现自动驾驶的)智能电动车产品,因此在组织搭建和初代产品开发阶段,就已开始考虑和引入功能安全体系。
传统阵营中,国内领先的自主车企大致经历了与造车新势力们相同时长的对功能安全的探索,且自一开始便拥有更多资源,再加上面对电动车市场,传统车企纷纷建立新品牌,既有革新的动力也有推倒重来所需的灵活度——这些因素都会有利于功能安全的导入。
而在供应商层面,面向自动驾驶的新兴汽车供应商,例如AI计算芯片和激光雷达厂商,由于其产品固有的电子属性,以及自动驾驶与汽车安全的高度相关性,这些厂商从一开始便有更强、更主动的功能安全意识。
例如,今年7月,地平线宣布其车规级AI芯片“征程5”获得了SGS-TÜV颁发的ISO 26262 ASIL-B认证。
随后的9月,激光雷达厂商禾赛科技宣布,旗下激光雷达产品Pandar128获得由德国SGS-TÜV颁发的ISO 26262 ASIL-B认证——这也是全球首款通过该项认证的激光雷达产品。
尽管已有这样的开路先锋,但与发展更成熟的电动化(如BMS电池管理系统、电机控制器)领域相比,当前自动驾驶零部件供应商中获得ASIL认证的企业数量还非常少。究其原因,一是因为针对这些新兴汽车部件,可参考的实践非常少,厂商多处于摸索阶段;二是因为对于复杂电子系统,涉及的分析对象多、对应的工作产物多、安全机制需要覆盖的对象多,因此需要企业付出更大量的资源。
以禾赛为例:在Pandar128获得ASIL-B认证过程中,其团队产出的功能安全文件多达300余份,其中一些文件的内容甚至超过万行,整体认证时间跨度长达一年。
具体来说,在认证过程中,激光雷达功能安全主要关注:①安全分析是否完整地覆盖了LiDAR中的各个元器件;②产品设计时,安全机制是否对各个元器件的失效模式都覆盖到了;③测试文档是否将边边角角的情况都涵盖、测全了。
例如,激光雷达中,发射器和接收器是分别负责激光的收、发功能的器件。其中激光发射器中的元件“发射二极管”,有可能出现开路故障。开路是二极管常见的失效之一,当开路发生时,发射器无法将电转化成光、发射出去。这时,通过功能安全设计,需要在可容忍的时间内,将开路故障报告给系统。而后,根据激光雷达报出的数据,整车端将会判断并选择让车辆进入安全状态,或执行倒退机制(Fallback),例如将时速由120km降至60km,直至靠边停车。
然而,如何准确、迅速地判断二极管究竟是否发生了开路,又涉及到更具体的难题。
以Pandar128这款128线的激光雷达为例:当开路故障发生时,意味着出现开路的线束将没有激光发出,直观的反映便是,接收器接收并生成的激光点云图上,将会有缺失的线束,出现“瞎线”故障。
但点云图上出现“瞎线”,也可能是激光在发射或接收途中受到遮挡,或者在探测范围内本身就没有障碍物,不存在激光的回波,因此并不能仅根据线束缺失就判定为开路故障。
图片 雷达检测行人出现瞎线,在人的胸腹部区域垂直角度上瞎了数十条线
图片 通过故障注入的方式,对比正常点云和瞎线点云
为解决上述问题,禾赛的在激光雷达内部设计出一种特别的方法,可以分辨究竟是因探测范围内无障碍物而导致的正常线束缺失,还是因发射器出现开路导致的下线故障,从而确保在可接受的时间内,向系统传输准确的故障信息。
正是无数个诸如此类的,在功能安全框架下进行的产品设计方案,造就了全球第一个满足ISO 26262 ASIL-B的车载激光雷达。
禾赛和地平线在功能安全方面的率先布局,将会助推他们的产品在竞争中占据优势地位。不难预料地,竞争对手们为获取ASIL认证的努力,已经提上日程。
需要强调的是,对于自动驾驶安全而言,功能安全并非唯一的参照系。来自某新势力造车企业的功能安全经理浩宇,在接受《建约车评》采访时如此表达自己的工作感悟:
“就自动驾驶而言,如果相关ECU仍然延续嵌入式开发模式,功能安全的方法论的确非常适用;但对于依赖复杂的神经网络算法做识别、决策,这套方法论并不完全适用,或许会演化出新的方法论。在智能网联汽车语境下,网络安全和SOTIF(预期功能安全)的热度其实已超过了功能安全。其中,网络安全,可直接基于IT行业的成熟经验做方法论的迁移;而SOTIF并没有可借鉴的经验,而且有些超前于工程实践,更像是提出了自动驾驶将会面临的独特问题。”
方法论和标准总是随着技术的发展而不断演进。笔者认为,由于针对的风险来源不同,网络安全、预期功能安全与功能安全之间并无替代作用,更像是互补。越来越多的车企开始关注三者的融合,提出了系统安全的概念。