背景
最近的新车发布会上,“功能安全”这个词越来越多地被提到,似乎不考虑功能安全的车,就已经不符合这个时代了。而只要提到功能安全,就一定是“实现ASIL D”,仿佛达不到ASIL D就不安全。
事实果真如此吗?“功能安全”是什么?ASIL等级是什么?ASIL D有什么要求?全车所有系统都要做到ASIL D才安全吗?这些问题,需要结合道路车辆功能安全标准(ISO 26262)逐一解答。
ASIL等级
1. 什么是功能安全?
ISO26262中对道路车辆功能安全(Functional Safety)的定义是不存在由电子/电气系统的功能异常表现引起的危害而导致不合理的风险。
功能安全定义关注的三个关键点分别为。
1)谁会出问题?汽车E/E系统(如制动系统、转向系统等)。
2)出什么问题?功能异常(如非预期制动、转向卡滞等)。
3)造成什么后果?不合理的风险(如严重追尾、车辆失控等)。
对于前两个关键点比较好理解,开发过程中我们需明确是哪一个E/E系统、E/E系统实现哪些功能、系统功能会出现哪些故障、故障会带来什么样的危害。但是如何判断不合理的风险呢?这就需要用到ASIL这个概念。
2. 什么是ASIL等级?
ASIL(Automotive Safety Integrity Level),即汽车安全完整性等级,是ISO26262 中定义的用来评估功能失效后所产生风险大小的度量,从低到高分为A、B、C、D四个等级,等级越高,风险越大。
什么是不合理的风险呢?对于一个功能的失效,经过风险评估之后,如果会产生具有ASIL等级的危害事件,则认为该功能失效所产生的风险是不合理的风险。如果产生的危害事件均是QM(Quality Management)等级,那么从功能安全的角度,该功能失效所产生的风险则是可以接受的。
若功能失效产生的危害事件均为QM等级,则该功能的开发和测试按照传统的质量管理流程进行即可,无需特殊考虑ISO 26262的要求。若功能失效会产生具有ASIL等级的危害事件,则需要按照ISO 26262的要求进行功能的开发和测试,以降低功能失效或者发生特定危害事件的概率,实现总体风险的可接受。ASIL等级越高,功能失效所产生的风险越大,对功能本身发生失效的容忍度也就越低,进而功能开发和测试过程的要求越严格。在我们阅读ISO 26262标准的时候,可以发现标准对各项措施、方法、原则的要求,与ASIL等级密切相关。因此并不是说ASIL等级越高,产品就越安全。
3. 如何确定ASIL等级?
在功能安全开发过程中,我们采用HARA(Hazard Analysis and Risk Assessment,危害分析和风险评估)来评估功能失效后所产生危害事件的ASIL等级,评估综合考虑危害事件的严重度S、暴露率E、可控度C三个维度。
1)功能失效发生后,对人的伤害有多严重?——严重度S:危害事件可能导致的对人(驾驶员、乘客、行人等交通参与者)伤害的严重程度,评级从低到高为S0(无伤害)到S3(有生命危险)。
2)危险场景常见吗?——暴露率E:发生危害事件的运行场景的暴露概率,评级从低到高为E0(几乎不可能发生)到E4(高概率)。
3)故障发生时,驾驶员或乘客能控制住局面吗?——可控度C:危害事件发生时,驾驶员等交通参与者对危害的控制程度,评级从低到高为C0(完全可控)到C3(难以控制或不可控)。
将S、E、C的评分进行组合,即可确定相应危害事件的ASIL等级,如下表所示。
4. 不同ASIL的要求是什么?
上文提到,功能安全需要“不存在不合理的风险”,风险是由危害事件带来的,而危害事件的发生是系统(功能)的失效引起的,系统的失效又是系统要素(硬件或软件单元)的故障导致的。因此,对不合理的风险的要求,本质上是对硬件或软件单元开发和测试过程的要求。
在ISO26262中,对不同ASIL等级提出的不同要求可以归纳为以下几个方面。
1)架构的设计原则和验证方法;
2)安全分析方法;
3)认可评审的独立性等级;
4)安全机制的诊断覆盖率;
5)随机硬件失效的量化指标(SPFM单点故障度量、LFM潜伏故障度量、PMHF随机硬件失效概率度量);
6)软件建模和编码的原则;
7)测试与验证过程的要求(如测试用例导出方法选择、测试方法选择、结构覆盖率等)。
5. 不同功能域的典型ASIL等级划分
那么,对于车辆上常见的各种电子电气系统,其ASIL等级是什么样呢?
以当下主流的域控制器集成式电子电气架构为例,该架构通过高度集成化,将车辆的控制功能逻辑性地分成五大核心功能域,分别为动力域、底盘域、车身域、智驾域和座舱域。接下来我们逐一解析各域常见功能的ASIL等级。
5.1 动力域
5.1.1扭矩计算与分配(VCU)
VCU系统主要用于根据整车工况,例如油门、刹车、车速等信号输入,计算和分配扭矩,发送给电机(或发动机)实现。一般评估为ASIL C或ASIL D。
一种典型的危害事件是:城市道路,车辆在路口礼让行人,非预期扭矩输出,车辆前窜撞上行人,S2或S3+E4+C3=ASIL C或ASIL D。
5.1.2 电池管理(BMS)
BMS系统主要用于动力电池的充放电管理、电量评估,以及紧急状况下的断电控制。一般评估为ASIL C或ASIL D。
一种典型的危害事件是:地下车库,充电,过充保护功能失效,车辆起火甚至爆炸,S3+E4+C2或C3=ASIL C或ASIL D。
5.1.3 电机控制(MCU)
MCU通过解析来自VCU的控制指令,控制电机输出扭矩或转速。一般评估为ASIL C或ASIL D。
一种典型的危害事件是:高速公路,跟车行驶,非预期输出驱动扭矩,车辆加速与前车碰撞,S3+E4+C2或C3=ASIL C或ASIL D。
5.2 底盘域
5.2.1 电动助力转向(EPS)
EPS通过电机提供转向助力,让转向更轻便,同时也是车道保持等自动驾驶辅助功能的执行器。一般评估为ASIL C或ASIL D。
一种典型的危害事件是:城市道路变换车道时,EPS输出反向助力,车辆反向行驶,与相邻车道车辆或障碍物发生碰撞,S2或S3+E4+C3=ASIL C或ASIL D。
5.2.2 电子制动系统(EBS)
EBS是车辆制动功能的核心控制系统,负责调节制动力、防止车轮抱死等。一般评估为ASIL D。
一种典型的危害事件是:高速公路,跟车行驶,前方车辆急刹,制动力丢失,导致车轮无法减速,追尾前车,S3+E4+C3=ASIL D。
5.2.3 电子驻车制动系统(EPB)
EPB通过接收驾驶员的操作信息和车辆状态信息,判断是否需要实施驻车制动或释放驻车制动力。一般评估为ASIL D。
一种典型的危害事件是:高速公路,正常行驶,EPB非预期启动,导致车轮抱死,车辆失稳横摆,撞向护栏或其他车辆,S3+E4+C3=ASIL D。
5.2.4 主动悬架(Active Suspension)
主动悬架能根据路况、车速、驾驶模式实时调整悬架刚度和高度,以兼顾车辆的操作稳定性和乘车舒适性。一般评估为ASIL C。
一种典型的危害事件是:车辆高速过弯时,主动悬架输出反向助力,将外侧悬架变软,内侧悬架变硬,车辆失稳,发生侧翻,S3+E3+C3=ASIL C。
5.2.5 换挡(TCU)
TCU根据车速、油门开度、发动机转速等信息,控制变速箱执行换挡等动作,确保动力平顺、高效地传递。一般评估为ASIL D。
一种典型的危害事件是:高速公路正常行驶,TCU非预期挂入P挡,车轮抱死,导致车辆失去稳定性,与周围车辆或障碍物发生碰撞,S3+E4+C3=ASIL D。
5.3 车身域
5.3.1 自适应远近光切换
自适应远近光切换系统会自动捕捉其它道路交通参与者的信息,并自动控制远光灯的点亮与熄灭,进行自动远近光切换,避免对其它道路交通参与者造成眩目,保证驾驶安全性。一般评估为ASIL A。
一种典型的危害事件是:城市道路夜间行驶,对向有车辆会车,此时非预期切换到远光灯,导致对向驾驶员视野受限,撞向行人或路侧障碍物,S3+E3+C1=ASIL A。
5.3.2 雨刮控制
通过调整不同的刮水模式,雨刮执行器按照不同的速度进行刮水,使驾驶员的视线更清晰。一般评估为ASIL A。
一种典型的危害事件是:城市道路,雨天直线行驶过程中前方有行人,雨刮执行功能失效,影响驾驶员的视线,撞向前方行人,S3+E3+C1=ASIL A。
5.3.3 座椅调节
调节座椅位置(前后、高度、角度等),为驾驶员提供舒适安全的驾驶姿势。一般评估为ASIL A。
一种典型的危害事件是:干燥路面上直线行驶,前方有行人,驾驶员脚踩在油门踏板上,主驾座椅非预期向前,导致车辆非预期加速,撞到前方行人,S3+E3+C1=ASIL A。
5.3.4 电动车窗控制系统
车窗控制系统为驾乘人员提供良好的通风和视野调节,需要具备防夹功能。一般评估为ASIL A。
一种典型的危害事件是:正常行驶过程中,乘客将身体部位(如胳膊、手等)探出车窗外,车窗非预期上升,发生夹人的可能,严重者造成骨折,S2+E3+C2=ASIL A。
5.3.5 中控锁控制系统
车门中控锁方便驾驶员锁止或解锁所有车门,在行车过程中自动落锁,防止车门意外打开,在发生碰撞时自动解锁,便于逃生和救援,一般评估为ASIL A。
一种典型的危害事件是:车辆发生事故时,中控锁无法解锁,驾驶员和乘客无法及时逃离车辆,导致二次伤害,S3+E1+C3=ASIL A。
5.4 智驾域
5.4.1 自适应巡航ACC
ACC通过传感器监测前方目标车辆的方位、相对距离、角度和相对速度等,通过本车与前方目标的距离、车速、驾驶员的命令,控制车辆加减速动作以确保维持设定速度或车间时距。一般评估为ASIL B。
一种典型的危害事件是:高速公路正常行驶,输出制动力过大,车辆减速度过大,后车来不及刹车,造成追尾。S3+E4+C1=ASIL B。
5.4.2 自动紧急制动AEB
AEB能在自车前方有碰撞风险时进行预警,预警后驾驶员未采取措施且达到AEB触发条件时,AEB主动刹车以避免碰撞事故或降低碰撞事故的危害。一般评估为ASIL C。
一种典型的危害事件是:湿滑路面上正常行驶,AEB非预期激活,车辆非预期刹车,造成车辆失去稳定性,偏离车道撞向其他车辆或行人。S3+E3+C3=ASIL C。
5.4.3 自动泊车辅助APA
APA通过接收车身周围超声波雷达信号,识别障碍物和泊车车位,然后由APA控制器自动规划泊车路径,辅助驾驶员将车辆停入车位。一般评估为ASIL B。
一种典型的危害事件是:停车场,自动泊车过程中出现非预期转向,与周围行人或车辆发生碰撞。S1+E4+C3=ASIL B。
5.4.4 车道保持辅助LKA
LKA探测车辆相对于左侧和右侧车道线的距离,控制电子助力转向系统为驾驶员提供转向辅助,阻止车辆在驾驶员未意识到的情况下偏离出自身车道。一般评估为ASIL B。
一种典型的危害事件是:高速公路,直线行驶,LKA反向纠偏,车辆继续偏离本车道,与相邻车道车辆或障碍物碰撞。S3+E4+C1=ASIL B。
5.5 座舱域
5.5.1 故障报警显示
在仪表盘上通过图标或声音向驾驶员提示车辆的故障,例如制动系统故障提示、安全气囊故障提示等。一般评估为ASIL A。
一种典型的危害事件是:正常行驶过程中,安全气囊发生故障但并未提示,车辆发生碰撞,安全气囊未弹出,导致驾乘人员严重受伤,S2+E2+C3=ASIL A。
5.5.2 车速显示
在仪表盘上实施显示车辆当前的行驶速度,使驾驶员正确做出超车、保持车距等驾驶决策。一般评估为ASIL B。
一种典型的危害事件是:车辆转向时,车速显示明显低于实际车速,导致驾驶员以过高的车速转向,造成车辆失去稳定性,撞向路边,S2+E4+C2=ASIL B。
5.5.3 驾驶模式切换
驾驶员根据车辆实际行驶情况或个人喜好调节车辆的动态响应特性,主要影响扭矩响应时间、转向助力大小、悬架硬度等。一般评估为ASIL A。
一种典型的危害事件是:冰雪路面行驶时,系统非预期切换为“运动模式”,导致油门响应过快,车辆打滑失控,造成碰撞,S2+E3+C2=ASIL A。
答疑
最后,请大家思考及回顾以下问题:
问:通过HARA评估ASIL等级时,主要从哪几个维度考虑?
答:严重度S、暴露率E、可控度C三个维度
问:ASIL等级越高是否代表越安全?
答:不是,ASIL等级是用来评估功能失效后所产生风险大小的度量,等级越高,风险越大,对功能本身发生失效的容忍度也就越低,进而功能开发和测试过程的要求越严格。
小结
ASIL等级意义在于两个方面,首先它衡量了功能失效后的风险大小,ASIL等级越高,风险越大。其次也直接决定了车辆功能从概念设计到报废的整个生命周期中,需要遵循的流程和技术手段的严格程度,以降低功能失效发生的概率,ASIL等级越高,要求越严格。
文中给出的常见功能的ASIL等级是经验之谈,并非一成不变。在不同的项目中,需要根据不同的车型,结合系统实现的功能和性能,合理评估其ASIL等级,“好钢用在刀刃上”,才能兼顾产品的安全性与开发的高效性。
本文转自:HiFusa,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。