首页 > 制动知识 > 正文
制动课堂∣主机厂和供应商ISO 26262功能安全的布局
作者: 佐思汽研 来源: 佐思汽车研究 日期: 2022年3月30日

根据国际标准ISO 26262,汽车功能安全定义为:避免因电气/电子系统故障而导致的不合理风险。重点面向电子电气系统故障导致的风险,目标是把该风险导致危险的概率降到足够低。
 
功能安全的设计与开发首先是对不合理风险的分析评估,即危害分析和风险评估 (HARA),风险的危害程度、暴露程度和可控程度来共同决定风险的等级即ASIL,然后设计和开发符合ISO26262 ASIL等级要求的软硬件产品。即通过故障检测-故障响应-安全状态的逻辑实现功能安全布局,覆盖产品包括策划、概念、设计、验证、生产、运行一直到报废的全生命周期的活动。
 
而预期功能安全(SOTIF)被定义为:避免因为预期的功能表现局限而导致的不合理风险。SOTIF是在自动驾驶技术发展的大背景下提出,是自动驾驶从L2到L3升级的必然需求。随着自动驾驶技术的发展,人们发现车辆安全问题并非都源于系统错误和失效。在复杂的系统以及场景中,问题时常源于环境影响带来的非预期性安全问题。其目的是基于需求分析、方案设计、安全分析、单元测试、集成测试、验证、确认、检测、监控、维护、组织、管理等先进科学与技术通过自动驾驶全生命周期各阶段的活动,将预期功能引发的相关风险最小化。
 
 

SOTIF研究目的是将未知不安全场景减少
\
图片来源:网络
 
可以说,预期功能安全是对传统功能安全的补充,是自动和半自动车辆的重要附加组件。SOTIF 意味着即使软件或硬件是错误、故障和无错误的,它仍然必须足够安全。
 
高等级自动驾驶发展大势下,汽车功能安全与预期功能安全愈发重要
在电气化、智能网联化、EEA变革、集成化以及软件定义汽车等发展驱动下,整车电子电气系统正在变革,而由电子电气失效导致的风险也越来越高,由此功能安全越来越被重视。
 
首先,仍存在许多汽车因功能安全被召回事件,汽车功能安全需被重视。根据2022年TÜV 报告,17.9%的车辆因"重大"或"危险缺陷"而未能通过一般检查。大约有100,000辆汽车因刹车盘磨损、轮胎严重磨损或损坏或刹车灯完全失效等"危险缺陷"而不得不立即前往维修厂。大约10,000辆汽车立即被专家以"交通不安全"为由从道路上撤下。
 
主要汽车功能安全召回事件
\
 
其次,标准政策层面,除了国际标准ISO26262被全球多个国家认可和使用外,多个国家还发布关于自动驾驶及汽车安全相关政策。如德国规定所有零部件制造商、供应商必须向OEM和监管机构证明其产品满足所要求的安全功能,不存在由于产品缺陷而引起的失效风险,并且在设计研发过程中使用了最先进的技术;美国交通部2021年1月发布的自动驾驶汽车综合计划 (AVCP)中也将功能安全和预期安全列入其中。
 
中国工信部2021年7月发布的《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》关于产品管理中指出应满足功能安全、预期功能安全、网络安全等过程保障要求,以及模拟仿真、封闭场地、实际道路、网络安全、软件升级、数据记录等测试要求,避免车辆在设计运行条件内发生可预见且可预防的安全事故等。
 
最后,随着自动驾驶系统的发展,自动驾驶准入需要充分考虑汽车研发的各个方面,最重要的是保证驾驶过程中具备足够的安全性,这就要求在设计之初就需要充分考虑到其中的关键一环:功能安全及预期功能安全。
 
在自动驾驶汽车发展的推动下,汽车功能安全也在不断演变,预计经历故障安全、操作降级模式、故障运行和高可靠性等几方面发展演进。
 
汽车功能安全发展演进
\
图片来源:网络
 
另外,除了功能安全,汽车未来须面对的还有网络信息安全、预期功能安全等多种汽车相关安全,未来的智能网联汽车需要解决汽车相关安全的全部风险,才能大批量化交付使用,因此三种安全体系融合开发也是未来汽车安全发展的一大趋势,即企业在进行产品开发时,就要对多重的安全体系进行系统建设。
 
主机厂加强整车及自研部件工艺流程和产品功能安全布局
ISO 26262不是全球强制性标准,但已获得汽车界的广泛认可,成为汽车供应链厂商的准入门槛之一。没有通过ISO 26262认证的产品或厂商,OEM、Tier1将不得不将其拒之门外。
 
随着智能汽车的发展,OEM主机厂都越来越重视功能安全。目前,欧洲所有OEM整车厂要求功能安全;美国的OEM整车厂已在研究如何实施功能安全;亚洲OEM如丰田、现代、吉利、长安、比亚迪等也已明确要求功能安全。功能安全和ASPICE基本成为了目前汽车行业的通识和标准。
 
中国OEM近几年也对功能安全加大了重视与投入,主流OEM如长城、上汽、吉利、广汽、长安、比亚迪等均已对重要控制系统进行功能安全开发要求,除具备功能安全团队外,积极参加功能安全培训,与第三方机构合作等方式对整车级功能安全以及自研零部件等产品及流程进行严格把关及认证,并将供应商的功能安全开发能力和产品功能安全能力作为供应链准入的准则之一。
 
吉利汽车:2018年1月,吉利汽车新能源获得了SGS为其颁发的功能安全流程体系FSM证书, 2020年10月,获得了SGS为其颁发的智能电子软件中心功能安全ASIL D流程认证证书,2022年1月吉利研究院获得了整车功能安全ASIL D流程DAkkS和UL双认证。吉利汽车功能安全理念不断受到重视。
 
\
来源:网络
 
长安汽车:功能安全通过逐步从培训、标准解读与研究流程体系、模版与能力建立、成立安全团队、进入长安开发流程,最终实现功能安全能力的建立与落地。其具备功能安全如UNI系列车型已量产交付。
 
上汽集团:2020年6月,上汽集团前瞻技术研究部获得了由TÜV北德颁发的智能驾驶领域ISO 26262:2018 ASIL D功能安全流程体系证书;同年8月,SGS为上汽变速器颁发了ISO 26262:2018流程认证ASIL D证书;2021年1月,上汽合资公司创时汽车科技获得了智能驾驶域控制器平台ISO26262:2018 ASIL D产品认证证书;2022年3月,上汽子公司零束科技先后通过了ISO9001:2015质量管理体系认证及ISO26262:2018 ASIL D功能安全管理认证证书等。
 
汽车功能安全标准认证已成为零部件供应商的必修课
零部件供应商对功能安全的高度重视主要源于客户的切实需求,从公开信息上,部分国内外供应商在功能安全领域已有所布局:
 
在激光雷达领域,2021年9月,禾赛科技Pandar128激光雷达获得SGS颁发的ISO 26262 ASIL B 功能安全产品认证证书,且公司计划对其他雷达产品继续进行功能安全认证;
 
在摄像头领域,安森美在内部开发了针对功能安全的整套工艺流程。目前其 CMOS 传感器、汽车多输出电源管理 IC、红外 LED 照明控制器等产品均符合功能安全标准;
 
在计算平台领域,华为 MDC于2020年12月拿到了 TÜV 南德意志集团颁发的针对 MDC 610 的 ASIL D功能安全认证;
 
在域控制器领域,2020年9月,创时智驾公司的智能驾驶域控制器平台获得了SGS颁发的 ISO26262: 2018 ASIL D产品认证证书;
 
在半导体领域,除了AEC-Q汽车电子元器件可靠性检测标准以外,通过严苛的功能安全标准ISO 26262 ASIL 认证已成了时下汽车供应链厂商们的准入规则。座舱SoC领域,三星、NXP、瑞萨、Telechip等企业座舱SoC产品均达到ISO26262标准的ASIL B等级,高通最新座舱SoC8295也按照ASIL B等级设计。自动驾驶SoC领域,瑞萨、Infineon 、Mobileye等企业产品均达到ISO26262 ASIL D等级,TÜV SÜD已确认英伟达Xavier系统芯片满足ASIL C等级的随机硬件完整性和ASIL D等级的系统能力(最高安全完整性)要求。另外,如地平线、黑芝麻智能、芯驰科技等多家国内厂商相关产品也纷纷获得了ISO 26262标准相关等级认证;
 
在操作系统领域,2022年2月,斑马智行智能驾驶操作系统内核获得TÜV莱茵颁发了ISO 26262功能安全ASIL-D等级的产品认证证书。2022年1月,中兴通讯的汽车操作系统GoldenOS微内核产品获得了SGS颁发的ISO 26262:2018汽车功能安全ASIL D等级的产品认证证书。
 
主要操作系统功能安全认证情况
\
 
不难看出,未来汽车零部件需要对功能安全投入更大精力,实现相应的功能安全 ASIL 等级,才能持续获得车企的认可。
 
*本文摘自:《2022年汽车功能安全与预期功能安全研究报告》

(转载请注明来源: 汽车制动网/chebrake.com 责任编辑:Jack)

推荐好友:
加入收藏: 加入收藏夹
】【打印本页】【发表评论】【关闭窗口
 
   
   
 
联系电话:021-50325218
Copyright 2007 www.chebrake.com. All rights reserved.
© 2007 汽车制动网 版权所有|法律声明 沪ICP备13016240号-2