功能安全
与电子电气架构相关的功能安全,指不存在由电子电气系统功能异常行为引起的危害而造成的不合理风险,适用于道路车辆上由电子、电气和软件组件组成的安全相关系统的所有活动。功能安全旨在消除由电子电气系统失效造成的不合理风险,电子电气要满足的功能目标及要达到的功能安全的等级,决定了电子电器的架构设计或选型。
随着电子电气架构技术的不断升级,整车越来越多的系统和组件对功能安全产生影响,为此,功能安全也从部分关键系统开发,向整车各系统全面开发拓展。同时,由于域集中式、中央集中式等新架构形态的出现,对功能安全提出了新的技术挑战,功能安全必须建立针对这些复杂系统及软件的开发和测评手段。与此同时,功能安全技术也影响着电子电气架构技术的发展,从传统的失效安全(fail-safe)向失效运行(fail-operational)衍变,电子电气架构设计中引入了更多的冗余(如通信冗余、冗余控制器等)及安全保障措施(如E2E 保护)。未来,车辆智能化生态的形成,将促进功能安全技术走出单车,向全链路延伸,实现整体智能生态的整体安全。
1. 功能安全活动
(1)功能安全文化与流程建设:功能安全规章制度;组织架构;功能安全相关岗位与职责;
(2)概念阶段功能安全需求分析:系统需求(法规标准、利益相关方);系统运行域(包括文化、市场、自然环节);系统功能安全需求(SG,FSR,TSR)等;
(3)系统设计与集成阶段功能安全活动:系统级功能安全要求;功能安全功能分配与功能要求分解;功能安全接口定义;系统集成与功能安全测试;系统集成功能安全评估;
(4)硬件单元设计与测试:硬件功能安全要求;硬件功能安全分析;硬件技术安全分析;硬件功能安全措施;硬件功能安全测试与验证;硬件功能安全评估;
(5)软件单元设计与测试:软件功能安全要求;软件功能安全分析;软件技术安全分析;软件功能安全措施(冗余方案、监测防护);软件功能安全测试与验证;软件功能安全评估;
(6)产品生产与交付:功能安全生产要求;生产过程功能安全评估;产品功能安全评估;产品交付;
(7)运行阶段概念安全功能安全实时监测与防护:功能安全相关故障诊断;功能安全风险实时防护/风险实时最小化策略;
(8)功能安全管理:配置管理;变更管理;文档管理;知识管理。
2. 功能安全技术体系:
(1)研究整车和各关键系统的危害行为并进行风险分析,将危害风险聚类为n 类,定义出量化功能安全指标若干,作为系统和车辆安全目标;
(2)根据整车量化安全指标要求,开展关键功能/系统安全架构技术研究,制定功能安全产品策略和方案,制定量化安全技术需求,形成功能/系统量化安全需求库;
(3)开展安全分析,将量化安全需求进一步落实到软硬件安全设计,建立软硬件功能安全需求库;
(4)针对软硬件和系统,分析不同ASIL 等级的故障模式及测试要求,建立功能安全测试系统和测试规范,开展功能安全测试;
(5)基于软/硬件在环测试平台,实现功能安全验证和测试,优化安全门限,检验安全响应,评估集成效果;
(6)进行整车安全测试和评估发布,确保整车实现功能安全。
3. 功能安全关键技术:
(1)整车量化安全开发技术:针对整车危害风险及安全目标,定义量化指标,定量衡量整车危害风险行为。
(2)安全架构设计及量化安全需求开发技术:根据安全指标和产品方案,设计整车及系统安全架构方案,分配安全指标,并开发量化安全需求,实现对整车指标的具体化和客观化实现。
(3)安全分析和软硬件基础安全需求开发技术:开展FMEA、FTA、FMEDA 等安全分析,识别软硬件故障及风险,制定应对机制和措施,完成软硬件基础安全需求开发及详细设计实现。
(4)故障注入测试技术:通过故障模拟手段,准确模拟电子电气系统、组件及软件安全相关故障,开展各层级测试,检验相关安全机制的有效性。
(5)功能安全台架测试技术:基于软硬件在环测试台架,开展功能安全仿真和集成测试,检验相关安全机制、安全响应及集成效果。
(6)功能安全整车测试和评估技术:开展不同场景下的整车验证及确认测试,基于相关测试及开发成果,评估功能安全的整体实现,完成量产发布。
预期功能安全
电子电气架构相关的预期功能安全(SOTIF),指不存在由预期功能或其功能实现的不足引起的危害而导致不合理的风险。根据自动驾驶功能及其运行设计域,分析满足预期功能安全要求的系统配置方案,基于系统配置方案确定或选择合适的电子电气架构方案。
1. 预期功能安全活动
(1)预期功能安全文化与流程建设;
(2)预期功能安全需求分析:系统需求分析(标准法规要求、目标市场需求、利益相关者分析);系统功能定义(功能、环境、交互);系统预期功能安全分析(SOTIF 场景、功能不足与人员误用、SOTIF-HARA,SOTIF-Criteria,SOTIF-SG);
(3)预期功能安全系统设计、集成与测试:预期功能安全功能分配与安全要求分解;系统级预期功能安全分析与系统方案细化;
(4)预期功能安全部件和算法级设计、测试:部件功能不足与算法缺陷分析;部件与算法预期功能安全测试;
(5)预期功能安全相关产品生产与交付;
(6)运行阶段概念预期功能安全实时监测与防护:预期功能安全实时监测;预期功能安全实时防护/风险最小化策略;
(7)系统预期功能安全优化与升级;
(8)预期功能安全管理:配置管理、知识管理等。
2. 预期功能安全技术体系
(1)通过定义自动驾驶安全接受准则,作为自动驾驶产品开发的首要安全目标,指导相关安全需求的制定;
(2)基于自动驾驶功能方案及场景,分析潜在的功能不足、性能局限、环境干扰、人员误用等安全相关因素,制定应对措施和需求,改进产品设计;
(3)针对开发的产品,开展仿真测试、定场景测试和道路测试,全面检验产品安全表现;
(4)基于相关安全准则、产品设计、安全分析和测试结果,制定预期功能安全档案,开展GSN 论证,评价自动驾驶产品的安全风险,完成预期功能安全发布;
(5)针对量产后的自动驾驶产品,开展运行过程的安全风险监测,对于识别出的不合理风险,启动风险控制措施,确保自动驾驶的运行安全。
3. 预期功能安全关键技术:
(1)自动驾驶安全准则制定技术:针对自动驾驶已知场景和未知场景下的安全表现,制定客观量化准则,科学判定自动驾驶的安全水平。
(2)安全分析技术:通过STPA(系统理论过程分析)等安全分析手段,识别自动驾驶安全相关功能不足、性能局限及危害触发条件,制定针对性措施,开展功能更新。
(3)多支柱法测试技术:由仿真测试、定场景测试和真实道路测试组成的自动驾驶预期功能安全测试体系。
(4)安全论证技术:基于安全开发、分析、测试等结果,制定预期功能安全档案策略,通过GSN 等论证手段,评估自动驾驶安全风险,完成预期功能安全发布。
(5)安全监控技术:通过车载和远程手段,监测自动驾驶运行过程中的安全表现,识别安全风险并开展必要的风险控制措施,以确保自动驾驶运行安全。
信息安全
智能联网生态系统是车内网、车际网和车载移动互联网三大部分组成,只有全面理解智能网联汽车的生态系统,才能真正理解汽车行业面临的安全挑战和风险。到2025 年,智能联网汽车将占全球汽车市场的近86%,从而为黑客带来许多易受攻击的威胁点。网络攻击和数据泄露事件将对汽车行业构成严重风险,因为它们直接影响驾驶员安全、数据隐私和服务连续性。
随着世界首部欧洲WP29 R155 的汽车强制实施准入法规于2021 年1 月22 日生效,新车型于2022 年7 月6 日起强制实施,在产车型于2024 年7 月6 日起实施。销往欧洲/日本/韩国市场的车型需要获取CSMS(Cybersecurity Management System)认证和VTA(Vehicle TypeApproval)认证后方可在当地注册和销售。另外,中央网信办牵头的“汽车安全管理若干规定(试行)”(“规定”)于2021 年10 月1 日正式施行,新上市的汽车须符合“规定”中的数据安全要求。各大整车企业都根据各个强制标准的要求,纷纷积极地应对及整改合规。与此同时,国家信息安全强制性标准、推荐标准以及各种团体标准都在积极制定当中。国内整车企业也在积极地逐步部署全面的数据安全防护体系。