2016年9月9日,通用汽车网站上一条简短的召回公告显示,由于“负责控制安全气囊和安全带束紧功能的感知和诊断模块(Sensing and Diagnostic Module)存在缺陷,在极少数情况下可能导致安全气囊无法正常弹出”,因此在美国市场召回约364万辆汽车。SQwednc
次日,路透社称通用召回的汽车数量将达430万辆,且该缺陷已造成一人死亡、三人受伤。SQwednc
在当时高田(Takata)安全气囊事件持续发酵、各大厂商召回规模数以千万辆计的背景下,通用汽车的这次「共计花费12亿美元的」“小批量召回”并未得到太多关注。然而,在汽车功能安全工程师的群体里,它却被作为功能安全设计缺陷的典型案例而广泛传述。SQwednc
一、功能安全是什么?SQwednc
1960年代,在一条连接意大利、德国和奥地利的石油管道工程中,德国人首次将电子电气设备用于检测安全参数。在那个年代,工程设计团队中没人知道如何保障电气设备的安全,于是他们请来专业的检测机构TÜV南德意志(TÜV SUD),负责评估项目的电气安全状态。SQwednc
南德意志对油气行业电气设备的评估检测,便是“功能安全”概念的雏形。SQwednc
直到1970-80年代,石油化工领域的爆炸和污染物泄漏事故仍时有发生。专家分析认为,相关项目中安全控制系统的功能失效——特别是电子、电气、可编程逻辑控制器的安全功能不完善导致的系统失效——在事故原因中占据很大比例。SQwednc
为提高安全性能,全世界的业内专家,希望针对电子、电气、可编程控制系统的安全控制技术,发展出一套成熟的设计技术标准。SQwednc
在早期由德国标准化学会(DIN)和德国电气工程师协会(VDE)制定的标准基础上,1998年,国际电工委员会颁布IEC 61508(功能安全基础标准),这成为后续一系列各行业功能安全标准的基准——包括核能领域的IEC 61513、轨道交通领域的EN 50128、过程工业领域的IEC 61511等。SQwednc
其中,针对道路车辆功能安全的专用标准ISO 26262,于2005年开始编制,6年后的2011年11月正式颁布,并于2018年发布了第2版。SQwednc
回到“功能安全到底是什么”的问题。ISO 26262对“功能安全”(Functional Safety)的定义是:SQwednc
Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.SQwednc
不出现因电子电气系统的功能失效行为导致的不合理的风险。SQwednc
通俗地说,功能安全要求车载电子电气系统检测潜在的危害风险,通过合理的设计,最大限度地降低电子电气系统失效的可能性。即使发生失效,系统也能通过启动保护或纠正装置防止危险事件发生,或在危险事件发生时提供缓解措施以降低伤害。SQwednc
举例而言,我们可以认为:符合功能安全要求的车辆,其因电子电气系统失效导致的诸如汽车反向移动撞倒或碾压行人、电池控制失火引起人员烧伤或触电、转向系统控制异常导致撞车或翻车等情况的概率,已经被降低到了一个可接受的水平。SQwednc
二、ISO 26262如何保证功能安全?SQwednc
功能安全理念,是一个结构环环相扣、内部逻辑严谨的完整体系,它具有以下特点:SQwednc
-
基于流程驱动,包括需求开发、架构设计、详细设计、实现、集成、测试验证、确认等环节,在每个环节都有相应的技术要求;
-
覆盖产品的全生命周期,包括策划、概念、设计、验证、生产、运行,直到报废;
-
覆盖电子电气的各个方面,包括传感器、处理器、执行器、硬件电路、基础软件、应用软件、芯片、软件工具等;
-
覆盖影响上述内容的支持过程,包括项目管理、安全管理、需求管理、配置管理、变更管理、生产管理、售后服务管理等。
作为一套高屋建瓴的通用型标准,ISO 26262从系统的、全生命周期的高度统筹电子电气系统的功能安全。它将汽车电子产品或组件的全生命周期过程文档化,以系统的方法指导这一过程中的安全事项的实施。
从ISO 26262标准的流程框架图,可一窥其在整车开发“V流程”中的渗透。
当用户面对一个产品,在该产品尚未出现安全功能失效的情况下,该如何判断其是否符合功能安全要求?当整车厂对汽车某个部件提出功能安全要求,又该用何指标评判、考核该部件的供应商?
ISO 26262引入了ASIL(Automotive Safety Integrity Level,汽车安全完整性等级)为电子系统/产品和它们的安全需求划分等级——有了全行业统一的评级参考系,用户和从业者得以对产品的功能安全状态有了直观、量化的认识。
ASIL由低到高分为A、B、C、D四个等级,ASIL-A代表最低严格级别,ASIL-D代表最高严格级别。此外,还有一个非安全需求的QM(Quality Management)级,标准对其不作功能安全方面的要求——可粗略理解为,企业自行负责的常规质量管理。
举例说,车载蓝牙连接失效,可以归为QM,虽然可能造成不便,但并不会带来危机安全的后果;“车窗可通过按钮控制上升/下降”这一需求,可归为ASIL-A级别,虽然可能造成手夹伤等危害,但风险较低;而“驾驶员顺/逆时针转动方向盘时,电子助力的力矩须与其转动方向一致”,便是一项ASIL-D级别的需求,因为假如驾驶员向左转而电子助力向右,可能会导致车辆失控并发生致命的碰撞。
再例如,用于倒车辅助的摄像头,和用于L4级自动驾驶前向感知的主摄像头,由于二者在汽车驾驶安全中承担的角色不同,ASIL等级也相差很大——前者为ASIL-A或QM,后者则为ASIL-D。
一个安全功能或需求的ASIL级别,来自于对SEC的分析——S、E、C分别表示失效后造成危害的严重度、处于系统失效后可能造成危害的场景下的暴露概率和系统失效后的可控性。简单来说,如果系统失效后的危害越严重,处于风险场景的概率越大,可控性越差,那么ASIL等级越高。ASIL等级来源于对系统失效后的风险评估,并作为指导开发验证的严格程度的依据:
严重度(Severity)指危害发生后,对驾驶人员、环境和行人产生伤害的严重程度。分为四个等级:S0指无伤害,S1指轻度和中度伤害,S2指严重伤害(有存活可能),S3指致命伤害。
暴露概率(Exposure)指风险于所在工况中发生的概率。E0表示不可能,E1为非常低的概率,E2为低概率,E3为中等概率,E4为高概率。
可控性(Controlability)指发生事故情况下,驾驶员或其他涉险人员能够避免事故或控制伤害的可能性。C0表示可控,C1为简单可控,C2为一般可控,C3为难以控制或不可控。
其中,确定严重度和可控性的过程称为“危害分析”(Hazard Analysis),确定暴露概率的过程称为“风险评估”(Risk Assessment)。二者相合简称“HARA”。
了解以上几个概念后,我们可以得出以下公式,用以计算一项安全功能的ASIL等级:
ASIL_X = Func (Sx, Ey, Cz)
x、y、z在此处分别代表S、E、C的级别。通常情况下,当ASIL_X<7,功能安全等级为QM;当ASIL_X=7,功能安全等级为A;当ASIL_X=8,功能安全等级为B;当ASIL_X=9,功能安全等级为C;当ASIL_X=10,功能安全等级为D。
在实际评级中,安全工程师会制定详细的SEC值量化评分表,并对照评分表得出ASIL等级。
在确定一项需求的ASIL评级后,简要地说,还需要以下4步完成功能安全的闭环:
1.根据该需求的ASIL评级建立安全目标(Safety Goal):这是一个具体的、定性的目标,并继承对应需求的ASIL评级。例如,上文所述的“转向助力方向一致”需求,其安全目标可设定为“将转向助力的故障风险降低至可容忍风险以下”——这便是一个ASIL-D级别的目标。
2.基于安全目标,形成Functional Safety Concept和Technical Safety Concept:仍以助力转向为例,要降低“转向助力方向一致”出现故障时风险,一个可行的办法是冗余计算,即用2套独立的算法计算助力方向;另一个可行的办法是将助力电机的力矩限制在一个较小的值,从而确保即使助力方向出错,驾驶员也能加大力度控制车辆方向——这两种解决办法即为不同的Functional Safety Concept。
为了实现Functional Safety Concept,将其进一步细化为Technical Safety Concept,表现为具体的技术设计方案,同样继承安全目标的ASIL评级。
3.基于Technical Safety Concept,形成更下一层的软件安全要求(Software Safety Requirement)和硬件安全要求(Hardware Safety Requirement),作为软、硬件设计的依据,这些需求,同样也继承上一层的ASIL评级。
4.制定符合ISO 26262要求的测试及验证方案,并按流程严格执行。
综上,对一个电子电气系统的安全功能而言,其ASIL等级既代表了这项安全功能对于汽车行驶安全的重要程度,也代表了其对应的系统、产品在开发过程中的设计验证复杂程度。
听上去,我们似乎可以认为:只要企业按照ISO 26262中的规范要求进行汽车电子产品开发,就可以确保产品“不出现因电子系统功能失效而导致的不合理的风险”。
既如此,是否只要规定“所有的汽车电子电气开发,都必须满足功能安全要求”就万事大吉了呢?
事实是,在中国,尽管与ISO 26262内容相似的国家标准GB/T 34590《道路车辆功能安全》于2017年正式发布,但并非强制执行的标准。
自2016年开始,随着智能汽车的概念兴起,且由于智能电动车包含的电子电气器件和软件系统数量远超传统燃油车,功能安全在中国汽车行业成为热词。
经过几年“试水”,主流的中国车企,即使尚未完整地走完一轮,但也都对功能安全尝试了引进和导入。然而直到今天,真正在产品的功能安全量产落地上走在外资传统Tier1前面的国内企业并不多。
“太虚了”;“流程太复杂”;“项目进度紧,没有时间和资源做”;“技术指标要求太高,做不到”;“这成本太高了”;“先把功能实现了再说吧”……
在实践中,由于汽车功能安全的实施并非一个隔绝的独立项目,而是充分渗透在汽车开发的各个环节,ISO 26262的落地遇到了4个方面的挑战:
1.融合的挑战:作为通用性较强的纲领型标准,ISO 26262需要以产品的架构设计、参数规格、开发流程等,作为实施的基础——企业现有产品的研发流程体系越完善,功能安全就越容易落地。
在导入功能安全之前,绝大多数中国汽车企业都已拥有自己的产品或产品原型,通过企业内部的常规控制,这些产品原本已经具备投放市场的条件。在将功能安全融入现有产品的过程中,经常出现的情况是——以ISO 26262的标准衡量,现有产品的文档严重缺失,无法提供有效的输入。
如此一来,在推进功能安全之前,需要完善产品开发流程作为先决条件,若再向上追溯,又多半会涉及到企业组织形式的变革。
2.平衡的挑战:在“安全高于一切”的原则下,从功能安全角度提出的要求,很容易陷入与产品其他属性相矛盾的场景。
安全固然是重中之重,但假设极端的例子:一个实现了绝对的功能安全但产品力低下、无人问津的产品,因为没有人使用,其安全功能也就失去了意义。
因此,功能安全负责人需要从产品开发的高度思考问题,将功能安全作为产品诸多属性中的一个,日常性地与各个研发团队沟通协调,找寻最折中合理的方案。
3.周期的挑战:汽车正在从机械移动工具演变为电子智能终端,市场节奏加快迫使产品迭代速度加快,这与ISO 26262按部就班的V型组织流程产生了冲突。
在实际研发过程中,经常会出现由于赶不上SOP时间,部分企业对客户的安全需求不强的产品选择暂缓或停止功能安全任务的情况。
针对此,互联网思维和敏捷开发,正在从软件领域渗透到汽车行业,或许在未来,成功落地的功能安全开发模式,将会是ISO 26262与敏捷开发理念相结合的中间产物。
4.成本的挑战:导入功能安全,会增加企业在硬件、软件、工具链、管理等方面的投入。
长期看,导入功能安全能推动企业完善产品的研发体系,打造出安全性更高、竞争力更强的产品。因此,在功能安全方面投入的成本会带来长远收益。
但同时,投入的节奏至关重要,企业需面向市场竞争环境,根据用户需求和合理的产品节奏,决定投入功能安全这项工作的资源。
面对这些挑战,汽车功能安全的推广和落地,既非朝夕之功,也不是整车厂能够独自推动实现的。
显然,需求是旺盛的——线控底盘的引入、软件定义功能的增多,都会使功能安全在汽车安全语境中的分量变得越来越重。
供给方面,笔者以为,自动驾驶技术的发展,将会促进汽车功能安全更快速地完善和落地。
从整车开发角度看,造车新势力们的最初创业目标便是(可实现自动驾驶的)智能电动车产品,因此在组织搭建和初代产品开发阶段,就已开始考虑和引入功能安全体系。
传统阵营中,国内领先的自主车企大致经历了与造车新势力们相同时长的对功能安全的探索,且自一开始便拥有更多资源,再加上面对电动车市场,传统车企纷纷建立新品牌,既有革新的动力也有推倒重来所需的灵活度——这些因素都会有利于功能安全的导入。
而在供应商层面,面向自动驾驶的新兴汽车供应商,例如AI计算芯片和激光雷达厂商,由于其产品固有的电子属性,以及自动驾驶与汽车安全的高度相关性,这些厂商从一开始便有更强、更主动的功能安全意识。
例如,今年7月,地平线宣布其车规级AI芯片“征程5”获得了SGS-TÜV颁发的ISO 26262 ASIL-B认证。
随后的9月,激光雷达厂商禾赛科技宣布,旗下激光雷达产品Pandar128获得由德国SGS-TÜV颁发的ISO 26262 ASIL-B认证——这也是全球首款通过该项认证的激光雷达产品。
尽管已有这样的开路先锋,但与发展更成熟的电动化(如BMS电池管理系统、电机控制器)领域相比,当前自动驾驶零部件供应商中获得ASIL认证的企业数量还非常少。究其原因,一是因为针对这些新兴汽车部件,可参考的实践非常少,厂商多处于摸索阶段;二是因为对于复杂电子系统,涉及的分析对象多、对应的工作产物多、安全机制需要覆盖的对象多,因此需要企业付出更大量的资源。
以禾赛为例:据该公司负责功能安全的专家向《建约车评》透露,在Pandar128获得ASIL-B认证过程中,其团队产出的功能安全文件多达300余份,其中一些文件的内容甚至超过万行,整体认证时间跨度长达一年。
具体来说,在认证过程中,激光雷达功能安全主要关注:①安全分析是否完整地覆盖了LiDAR中的各个元器件;②产品设计时,安全机制是否对各个元器件的失效模式都覆盖到了;③测试文档是否将边边角角的情况都涵盖、测全了。
例如,激光雷达中,发射器和接收器是分别负责激光的收、发功能的器件。其中激光发射器中的元件“发射二极管”,有可能出现开路故障。开路是二极管常见的失效之一,当开路发生时,发射器无法将电转化成光、发射出去。这时,通过功能安全设计,需要在可容忍的时间内,将开路故障报告给系统。而后,根据激光雷达报出的数据,整车端将会判断并选择让车辆进入安全状态,或执行倒退机制(Fallback),例如将时速由120km降至60km,直至靠边停车。
然而,如何准确、迅速地判断二极管究竟是否发生了开路,又涉及到更具体的难题。
以Pandar128这款128线的激光雷达为例:当开路故障发生时,意味着出现开路的线束将没有激光发出,直观的反映便是,接收器接收并生成的激光点云图上,将会有缺失的线束,出现“瞎线”故障。
但点云图上出现“瞎线”,也可能是激光在发射或接收途中受到遮挡,或者在探测范围内本身就没有障碍物,不存在激光的回波,因此并不能仅根据线束缺失就判定为开路故障。
雷达检测行人出现瞎线,在人的胸腹部区域垂直角度上瞎了数十条线SQwednc
通过故障注入的方式,对比正常点云和瞎线点云SQwednc
为解决上述问题,禾赛的在激光雷达内部设计出一种特别的方法,可以分辨究竟是因探测范围内无障碍物而导致的正常线束缺失,还是因发射器出现开路导致的瞎线故障,从而确保在可接受的时间内,向系统传输准确的故障信息。
正是无数个诸如此类的,在功能安全框架下进行的产品设计方案,造就了全球第一个满足ISO 26262 ASIL-B的车载激光雷达。
禾赛和地平线在功能安全方面的率先布局,将会助推他们的产品在竞争中占据优势地位。不难预料地,竞争对手们为获取ASIL认证的努力,已经提上日程。
需要强调的是,对于自动驾驶安全而言,功能安全并非唯一的参照系。来自某新势力造车企业的功能安全经理浩宇,在接受《建约车评》采访时如此表达自己的工作感悟:
“就自动驾驶而言,如果相关ECU仍然延续嵌入式开发模式,功能安全的方法论的确非常适用;但对于依赖复杂的神经网络算法做识别、决策,这套方法论并不完全适用,或许会演化出新的方法论。在智能网联汽车语境下,网络安全和SOTIF(预期功能安全)的热度其实已超过了功能安全。其中,网络安全,可直接基于IT行业的成熟经验做方法论的迁移;而SOTIF并没有可借鉴的经验,而且有些超前于工程实践,更像是提出了自动驾驶将会面临的独特问题。”
方法论和标准总是随着技术的发展而不断演进。笔者认为,由于针对的风险来源不同,网络安全、预期功能安全与功能安全之间并无替代作用,更像是互补。越来越多的车企开始关注三者的融合,提出了系统安全的概念。
自动驾驶,是人工智能技术从科研走向商业化应用的最重要的落地场景。自动驾驶的最终目的是提升效率和解放人类的时间。而追求效率的前提,是保障驾乘人员和其他交通参与者的安全。
今天的中国,已经是全球自动驾驶技术发展的最前沿阵地——地球上算力最强的AI芯片、探测距离最远和点频最高的激光雷达,都将首发上车的产品投向了中国市场。
历史上第一次地,整个人类的能源革命、科技革命的成果,将率先在这片位于远东太平洋西岸的土地上落地,开花。
功能安全理论与自动驾驶应用的摩擦与融合,也在中国。
作者微信:najlepsi(欢迎交流,添加时请做自我介绍)
SQwednc