汽车功能安全：软件与硬件缺一不可

随着汽车变得越来越智能，功能安全就成为汽车电子系统不可回避的标准体系，日益复杂的功能导致了汽车中电子元件的数量和复杂性的指数级增长（Leen）。如今高级别汽车拥有多达90个电子控制单元（ECU），高阶智驾功能如自适应巡航控制、碰撞避免系统和自动泊车等需要基于雷达、激光雷达和摄像头的数据处理以及传感器融合的环境识别，随着复杂性的增加，汽车行业正在采取分而治之的方法，现在要求供应链的所有参与者都支持和实现功能安全和可靠性标准。这些指标正在成为汽车电子系统设计流程中不可或缺的一部分。

ISO 26262：道路车辆-功能安全是汽车行业标准，源于更通用的IEC 61508功能安全标准（IEC），专为配备一个或多个E/E子系统、最大总质量不超过3500公斤的量产乘用车中的安全相关系统设计。根据ISO 26262，功能安全被定义为“由于电气/电子系统（E/E系统）故障行为引起的危害所导致的不合理风险的缺失”。这个定义可以表示为一系列的应用影响链，如图1所示。

图1：ISO 26262应用影响链

面对日益复杂的汽车电子系统，功能安全通过划分不同汽车电子子系统的汽车安全完整性等级（ASIL），来定义功能故障（例如，防抱死制动系统故障）对整车的重要性，并进行危害和风险评估，以确定对人员和财产造成损害的风险。该分析基于危害的暴露、严重性和可控性及其产生的风险，并确定汽车安全完整性等级（ASIL），即实现可容忍风险所需的风险降低水平。

 汽车硬件功能安全？

汽车硬件功能安全是指在车辆硬件中设计和实施安全措施，以防止事故发生并保护乘员和其他道路使用者免受伤害。这可能包括用于检测和响应道路上潜在危险的传感器和系统等措施，以及在发生故障或故障时可以接管车辆控制的故障安全系统。汽车硬件功能安全的目标是最大限度地降低车辆中硬件相关问题造成的事故和伤害风险。

ISO 26262 将功能安全 （FuSa） 定义为由于 E/E（电气和/或电子）系统的故障行为引起的危险而不存在不可接受的风险。与硬件元素相关，目标是防止系统性设计失败，并检测和控制随机硬件故障。强大的算力需要先进工艺节点的支持以满足性能/瓦特的需求。因此，汽车行业也正在见证向先进技术的迁移，这可能对可靠性提出更大的挑战（例如，工艺变化、静电放电、电迁移）。系统故障发生在汽车设计生命周期的开发和制造阶段。随机硬件故障出现在运行中的硬件组件的生命周期内，由随机缺陷或老化引起。使用 FMEA（失效模式和影响分析）等安全分析技术对系统故障进行定性评估。防止系统性故障需要遵循可信设计原则、验证和测试的系统化设计方法。

使用 FMEDA（故障模式、影响和诊断分析）对随机硬件故障进行定量评估，以证明设计达到目标 ASIL（汽车安全完整性等级）。随机硬件故障分为永久性故障（如开路或短路）或瞬态故障（如电离辐射引起的临时位翻转）。它们通过安全机制进行检测和缓解。有多种硬件 FuSa 机制，例如利用冗余和比较器或多数投票的技术，例如双核锁步 （DCLS） 和三重模式/模块化冗余 （TMR），或内置自检 （BIST），例如逻辑 BIST （LBIST） 或内存 BIST （MBIST）。

汽车硬件功能安全的工作原理是在车辆的硬件中实施各种安全措施，以防止事故并保护乘员和其他道路使用者免受伤害。汽车硬件功能安全的一个关键方面是使用传感器和系统，这些传感器和系统可以检测道路上的潜在危险并做出相应的响应。例如，车辆可能配备传感器，可以检测其他车辆、行人或道路上的障碍物，并使用该信息调整车辆的速度或轨迹以避免碰撞。汽车硬件功能安全的另一个重要方面是使用故障安全系统，该系统可以在发生故障或故障时接管车辆的控制。这可能包括备用系统，可以在主系统发生故障时接管车辆的制动、转向或加速的控制权，或者紧急关闭系统，可以在发生严重故障时关闭车辆。

此外，汽车硬件功能安全还包括实施监管机构制定的安全标准和指南，例如 ISO 26262。本标准概述了生产车辆中电气和/或电子系统的功能安全流程。这包括制定安全计划、危害分析和风险评估，以及实施安全措施以减轻已识别的危害和风险。总体而言，汽车硬件功能安全的目标是通过实施各种安全措施和故障安全系统，并遵循安全标准和准则，最大限度地降低车辆中硬件相关问题造成的事故和伤害风险。

 汽车硬件功能安全非常重要，因为它可以确保车辆中的系统和组件按预期运行，并以安全的方式发生故障。这包括制动、转向和动力总成等系统，以及电子稳定控制和高级驾驶员辅助系统 （ADAS） 等电子系统。确保功能安全可以防止事故和伤害，并在发生故障时保护车辆及其乘员。汽车硬件功能安全的优势包括：

• 防止事故并保护车内人员

• 降低汽车公司被追究事故责任的风险

• 提高汽车公司在客户中的声誉

• 帮助汽车公司遵守安全法规

• 为汽车公司节省资金并提高汽车性能

• 开发新的安全技术

软件功能安全同样重要

 除了硬件问题外，基于软件的故障在汽车行业越来越常见。实际上，软件集成和软件缺陷已成为近年来最常见的故障类型。究其原因，一些制造商和软件供应商在开发新车时对汽车功能安全的关注不足。它们不遵循 ISO 26262 和其他有助于防止汽车解决方案系统性故障的安全概念。

功能安全特别是软件功能安全是一个广泛的概念，其中包含了软件或硬件在执行预期功能时运行而不会对任何人造成伤害的能力，以及一套指导制造商实施风险降低和全面系统测试的方法、方法和标准，以确保最终产品安全并确保最终用户不会受到伤害。由于软件已成为现代汽车不可或缺的一部分，因此它对功能安全的重要性不亚于硬件。

车辆由数十个部件组成，电子系统越智能，连接这些组件所需的软件就越复杂。例如，配备高级驾驶辅助系统 （ADAS） 的车辆的安全性直接取决于软件可靠性。如果系统无法对道路上的潜在危险做出反应，驾驶员最终可能会撞到另一辆车。显示危险道路的错误导航、分散注意力的信息娱乐软件、不可靠的胎压监测系统以及其他与汽车软件相关的问题会直接影响人们的安全。因此，汽车制造商必须从符合 ISO 26262 和其他有助于实现安全性标准的公司订购软件。遵守核心功能安全实践是质量的标志，可以最大限度地降低软件崩溃和由此产生的事故风险。因此，制造商生产更可靠的车辆以在市场上取得成功。

 随着用于辅助驾驶的微处理器控制系统的出现，其复杂性和功能开始迅速扩展。这增加了对软件解决方案的需求，以确保这些系统的安全并降低系统性或偶发性故障的风险。从 1998 年开始，汽车制造商一直使用 IEC 61508，直到 2011 年开发出 ISO 26262 道路车辆的第一个版本。从那时起，ISO 26262 一直是道路车辆（不包括卡车和自行车）的核心安全标准。

与汽车硬件和软件开发相关的其他一些标准和安全法规包括：

• SAE J1739 - 规定了设计中的潜在失效模式和影响分析

• SAE J3061 - 确保信息物理车辆系统的安全

• FMVSS 126 - 要求新车配备电子稳定控制系统

• ISO 21448 - 规范道路车辆中自动驾驶系统 （ADS） 的安全性

• IATF 16949 - 为汽车行业的组织引入质量管理体系

总体而言，汽车软件开发团队遵循以下方法：

因此，在开发汽车软件并追求功能安全目标时，您必须采用列出的方法。当它们结合在一起时，可以帮助汽车工程师构建强大且高质量的系统。

实现功能安全的 6 个核心步骤

ISO 26262 汽车功能安全标准为工程师提供了确保道路车辆安全的主要指导方针。其实现有助于防止系统性和偶发性故障，包括以下步骤：

1. 风险检测

查找并识别与系统对用户健康的负面影响相关的所有可能风险，以指定减少这些风险的要求。

2. 风险分析

分析检测到的风险，以找出导致这些风险的产品、系统或人类行为的元素。您必须了解触发因素、风险的概率以及产品或系统的不同部分如何影响此概率。

3. 实施安全措施

实施安全措施，阐明哪些系统设计更改（通常是额外的安全元素）可以减少每个检测到的风险以及如何降低。

4. 检查降低风险的措施

验证针对每个已识别风险实施的风险降低措施。您需要在各种情况下测试系统，以检查当发生不同故障或故障组合时它的行为。

5. 记录所有内容

为所有措施、方法和检查结果创建文档。它将使您能够继续研究系统的稳健性，并在必要时证明符合安全标准。

6. 确定达到的安全级别

完成上述所有步骤后，您就可以根据 ASIL 为您的系统分配特定的安全级别。这是了解解决方案是否可靠并准备好进行大规模生产的最后一步。

值得一提的是，该标准不是强制性的，每个制造商或汽车软件提供商都决定其实施范围和所需的安全水平。然而，合规性是系统和产品可靠性的有力证明，对大多数最终用户来说都很重要。

软件定义汽车如何改变功能安全

在汽车产业的发展历程中，我们已经见证了从机械控制到电子控制系统的转变，现在一个新时代又将到来，车辆不再由螺母和螺栓定义，而是由比特和字节定义，这就是软件定义汽车（SDV）的世界。SDV代表了一种革命性的转变，其中车辆中的软件优先于其硬件，定义了其特性、能力和安全功能。通过这种变革性的方法，功能安全的概念已经发生了彻底的改革，其中网络安全是确保安全客户体验的必要先决条件。 

前面我们分析了硬件功能安全和软件功能安全，现在我们来深入探讨一下为什么SDV会迫使新的功能安全方法。 

借助SDV方法，创新将很快变得像推出应用程序更新一样简单。无需再等待新硬件来提高车辆性能或安全性;开发人员将能够通过软件更新引入高级特性、功能和修复程序。同样，以前固定的和静态的安全功能可以而且应该迭代改进，以跟上快速发展的技术领域的步伐。 

主动安全：新范式 

车辆中的传统功能安全在本质上更具被动性，倾向于“一盎司的预防胜过一磅的治疗”。它在危急情况下严重依赖人类进行决策。然而，SDV 的出现已将重点转移到主动安全措施上。借助传感器、LiDAR 和雷达系统，SDV 可以预测潜在危险并做出相应的响应，通常比人类的反应时间更快。这就像拥有蜘蛛侠的“蜘蛛侠感觉”，但适用于您的汽车。对于这些子系统中的每一个，都使用 FMEA、FTA 和 DFA 等主动方法来识别故障及其对安全目标的影响——然后根据分析对流程和设计进行更改。但是，完整的 SDV 还必须确保符合 ISO 21448 的 SOTIF（预期功能的安全性）。

 安全性：新时代安全带

 随着软件开始定义车辆的越来越多的方面，安全性成为功能安全的关键方面。毕竟，我们不希望一些精通技术的恶棍控制我们的车辆，不是吗？这就是为什么 SDV 在设计时采用了与防抱死制动系统一样重要的强大网络安全措施。它们确保我们的乘车安全，不仅在路上，而且在庞大、互联的数字世界中也是如此。

通过 SDV 实现的功能安全转型证明了软件和技术为汽车行业带来的革命。随着创新能力的释放并赋予软件，我们现在正驶向一个比以往任何时候都更加安全和令人振奋的未来。但我们不要忘记，虽然我们的车辆变得越来越智能，但安全责任并不仅仅落在它们的硅肩上。

 功能安全的端到端方法

 SDV 的出现对 FuSa 的端到端 （E2E） 方法产生了重大影响 — SDV 正在改变概念开发、设计、系统测试和验证 （ST&V） 以及生产的传统方法。过去，FuSa 主要专注于以硬件为中心的安全措施，例如机械组件和物理冗余。然而，SDV 的出现带来了新的复杂性，因为关键安全功能现在严重依赖软件算法和电子控制系统。因此，FuSa 的 E2E 方法现在需要对软件架构、强大的编码实践以及有效的软件验证和确认技术的全面理解。

在概念阶段，E2E 方法涉及评估特定于软件集成和互作性的安全影响。设计阶段强调开发安全的软件架构、容错机制和有效的错误处理。软件测试和验证活动现在包括严格的软件测试，包括静态分析、动态测试和基于仿真的评估。此外，生产阶段需要严格的软件配置管理、安全的无线更新和持续监控，以解决潜在的漏洞。通过将 FuSa 整合到每个阶段，组织可以更好地应对与现代汽车系统相关的独特安全挑战，确保充分缓解与软件相关的风险并增强整体车辆安全性。

展望未来

 SDV 的出现带来了功能安全方法的变革性转变。SDV 使汽车创新大众化，允许持续的软件更新和迭代改进，以提高车辆性能和安全性。由先进传感器和系统实现的主动安全措施已经取代了被动方法，使 SDV 能够比人类反应时间更快地预测和响应潜在危险。此外，SDV 的兴起需要强大的网络安全措施，以确保车辆数据的安全并防止未经授权的访问。

功能安全的 E2E 方法已经发展到包括对软件架构、编码实践和验证技术的全面理解，从而应对软件定义系统带来的独特挑战。虽然技术在推进功能安全方面发挥着关键作用，但负责任的驾驶员在驾驶时保持知情、参与和专心，在确保 SDV 的安全作方面仍然至关重要。随着汽车行业不断拥抱 SDV 的潜力，未来既有令人兴奋的机遇，也需要持续致力于优先考虑功能安全。