隨著自動駕駛(ADAS)的功能越來越普及,汽車的電子系統功能越來越強大,控制系統架構越來越復雜,我們也越來越依賴各種車載電子系統。
你有沒有想過,這些電子控制系統在給人帶來方便的同時,帶來了多大的風險。
萬一電子控制系統出現故障,會發生什么樣的后果?
目前轉向系統一般是電子輔助轉向(Electric Powered Steering,簡稱 EPS),如果高速行駛過程中 EPS 發生故障,駕駛員沒有輸入轉向信號,系統故障自己發生助力,急打方向,會是什么樣的后果?
很多車輛的制動系統系統配置有電子穩定系統(Electronic Stability Control,簡稱 ESC),如果在 120 km/h 的速度在高速公路上行駛,駕駛員沒有踩剎車踏板,系統故障突然實施緊急制動,后續車輛來不及反應,會發生什么后果?
據《產品安全與召回》雜志統計數據,僅 2015 年上半年,42 家汽車制造商共實施召回 124 次,共召回缺陷汽車產品 293.14 萬輛。其中,
涉及電子電器 42 次,共 1828019 輛;
發動機 30 次,共 697304 輛;
車身部分 19 次,共 31472 輛;
轉向/懸架 14 次,共 206922 輛;制動/車輪 12 次,共 62030 輛;
動力傳動系統 6 次,共 105102 輛;
其他部分 1 次,涉及車輛 561 輛。
以上數據顯示,電子電器系統已取代動力總成成為了最容易出現缺陷的汽車系統。
背景
隨著機械結構越來越成熟,電子控制越來越普遍,有些高端豪華轎車上有幾十上百個電子控制單元(ECU),其中安全氣囊、底盤控制系統(制動/轉向)、發動機控制系統等都是安全相關的系統。一旦這些電子系統出現功能性故障,將會極大的影響整車功能安全。
怎么去控制這種風險,約束這種行為呢?
從上世紀 60/70 年代開始,歐美各國就陸陸續續出臺了一些法規來定義功能安全。
自動駕駛,汽車電子
圖 1 汽車功能安全法規發展歷程
之前發布的法規只是泛泛的要求,沒有細化,也沒有針對汽車行業去做強制要求。直到 2011 年發布了針對汽車行業的 ISO 26262。
汽車安全完整性等級的定義
首先,從功能安全和成本平衡角度來考慮,不可能所有的系統都是同等對待的,肯定是越是與安全相關的系統,越要重點關注,比如說發動機控制系統和收音機系統相比,肯定是發動機控制系統要重要的多。
所以 ISO26262 定義了汽車安全完整性等級(以下簡稱 ASIL)這個概念,根據子系統失效風險的 ASIL 的等級高低來區分對待。
工程上任何一個概念都是可以用數據量化的,那 ASIL 是如何量化的?
首先,從失效后果造成的傷害的嚴重程度來說,ASIL 定義了嚴重度 S。嚴重度 S 分 4 個等級,S0 到 S3,其中 S0 為無危害,S3 為致命危害。
其次,從該失效發生的概率來說,ASIL 定義了暴露率E。暴露率 E 分為 4 個等級,E1 到 E4,其中 E1 指很低的概率,E4 指高概率(>10%)。
再次,從該失效發生后能夠避免事故或傷害的可能性來說,ASIL 定義了可控性 C。可控性 C 分為 4 個等級,其中 C0 為完全可控,C3 為很難控制(<90% 駕駛員)。
根據實際情況確認好 S、E、C 這三個參數后,ASIL 就可以確定了。具體參考下圖。
表 1 ASIL 等級確認
確定好 ASIL 等級后,就可以按照各個安全等級標準的要求去開發。
舉個例子:對于電子駐車系統來說(EPB),我們對非預期的駐車功能失效為例,即車停好后,EPB 啟動后,駐車功能發生失效。此時最大的失效工況是車輛停在斜坡上,駕駛員不在車上。
嚴重度:車突然滑行,對行人造成嚴重傷害,嚴重度定義為 S3。
暴露率:駕駛場景「斜坡停車,駕駛員不在車上」占整車使用壽命的比例 >10%,暴露率定義為 E4。
可控性:失效時駕駛員不在車上,不具備可控性。可控性定義為 C3。
查詢上表,可以看出電子駐車系統(EPB)非預期性駐車功能失效的 ASIL 等級為 D。
功能安全的設計要求
不同的 ASIL 等級的有不同的設計需求。設計需求主要針對系統性失效和隨機硬件失效。
ISO 26262 定義了評價系統性失效和隨機硬件失效的指標:硬件架構指標目標值和隨機硬件失效率目標值。
表 2 硬件架構指標目標值
通過對系統 ASIL 的等級劃分,然后針對 ASIL 的等級的要求進行功能要求。可以把風險降低到可接受的范圍內。
特斯拉的CEO埃隆穆斯克曾經說過:不存在絕對的安全,唯一可能的是,盡可能的提升安全概率。
汽車安全生命周期
ISO 26262 還規定了汽車安全生命周期,包括了從概念設計、產品開發到生產和運行后的各階段的主要安全活動。
圖 2 功能安全管理
在概念開發階段,要基于系統定義和初步的框架結構,分析可能存在的風險及 ASIL 等級。然后根據 ASIL 等級來定義每個安全目標的功能安全概念。在產品開發階段,按照 V 型開發流程定義相關安全活動。V 型的左側是技術安全需求的制定、系統設計,V 型的右側是系統集成、安全確認和發布。硬件和軟件的開發也遵循相似的 V 型開發流程。
在批產之后的階段,需要提供必要的文檔及方法,以保證在生產、售后服務和報廢等環節中,安全目標不被破壞。同時,需要監控售后產品,發現有違背安全目標的案例要采取相應措施。
以后的發展趨勢
隨著自動駕駛功能的逐漸完善,電子系統將在車輛中發揮越來越大的功能,與此同時,車輛功能安全也將會越來越重視。
與此同時,ISO 26262 雖然沒有被某國法規要求強制實施,但是國外很多車企在開發新車型已經按照 ISO 26262 實行,同時相關的零部件配套供應商等也需要符合 ISO 26262。
據說相關的國標轉換已經在進行中了,不過應該不是強制標準,最多也就是 GB/T 或者行標吧。
由于完全符合 ISO26262 會帶來一定的成本上升,國內自主品牌雖然暫時沒有跟進,但是以后的逐漸跟進幾乎是必然趨勢。
最后總結
ISO 26262 通過系統的功能安全研發管理流程,以及針對汽車電子控制系統硬件和軟件的系統化驗證和確認方法,保證電子系統的安全功能在面對各種嚴酷條件時不失效,從而保證駕乘人員以及路人的安全。
對于汽車廠商而言,貫徹執行 ISO 26262 標準可以提高安全性能,提升產品內在價值,也可以最大程度的控制因為電子部件可靠性問題導致的整車召回風險,避免品牌形象受損以及蒙受較大的經濟損失。
