汽車功能安全白皮書 2024

50%,創(chuàng)全球歷史新高。汽車行業(yè)正迎來(lái)百年未有之大變局中國(guó)質(zhì)量認(rèn)證中心汽車功能安全中心副主任王江東2023年4月邊俊上海磐時(shí)首席汽車安全專家畢先改合眾新能源哪吒汽車安全總監(jiān)馮亞軍蔚來(lái)汽車系統(tǒng)安全專家胡沖中興通訊操作系統(tǒng)產(chǎn)品部系統(tǒng)架構(gòu)師曲元寧博世汽車部件(蘇州)有限公司高級(jí)系統(tǒng)軟件架構(gòu)師楊虎地平線系統(tǒng)及人工智能安全總監(jiān)畢云天范宏亮江捷康建芳李文星李相華潘文韜翁仁洪吳凡 1 3 6 6 第二章汽車功能安全發(fā)展趨勢(shì) 2.1汽車功能安全的歷史與展望 2.2汽車功能安全的主要發(fā)展方向 2.3汽車功能安全的新興發(fā)展領(lǐng)域 第三章汽車功能安全人才現(xiàn)狀 3.2從業(yè)人員的技術(shù)畫像 3.4功能安全行業(yè)的市場(chǎng)環(huán)境 403.5功能安全從業(yè)人員訪談?wù)x 42第四章主要領(lǐng)域功能安全實(shí)踐 464.1新能源三電系統(tǒng) 4.2智能駕駛系統(tǒng) 4.3智能座艙系統(tǒng) 4.4車控系統(tǒng) 4.5底盤控制系統(tǒng) 844.6汽車芯片 92 1方面。而車規(guī)可靠性與功能安全是衡量汽車電子部件成熟可量產(chǎn)的基礎(chǔ)條件。汽車能安全的白皮書2地平線總裁陳黎明2023年4月3BatteryElectricvehFullHybridElectricVeCommercialElectricSoC(4.1)BatteryManagementSysHazardAnalysisandRiskAssesAutomotiveSafetyIntegratBatteryManagementAdvancedDriverAssistanceSystAutonomousDrivingSolutiGlobalNavigationSatelliteS4AdvancedEmergencyBrakingSystAutonomousEmergencyBrakAntilockBrakeSystDriverMonitoringSServiceOrientedArchitectureElectricParkingBrakeEllipticCurvesCryptSafetyrelatedavailabilityrequirementOriginalEquipmentManufactureRegisterTransferLevelPower,PerformanceaApplicationSpecificIntegratedCircuElectronicsDesignAu562021年4月，麥肯錫公司發(fā)布了《2021汽車消費(fèi)者洞察》報(bào)告，報(bào)告顯示，75A5ETECH82018年到2022年，幾乎所有公司的自動(dòng)駕駛量產(chǎn)計(jì)劃都延期95A5ETECH(一)生產(chǎn)企業(yè)獲得相應(yīng)類別的道路機(jī)動(dòng)車輛生產(chǎn)企業(yè)準(zhǔn)入許可；(二)產(chǎn)品符合安全、環(huán)保、節(jié)能等標(biāo)準(zhǔn)、技術(shù)規(guī)范要求；智能網(wǎng)聯(lián)汽車產(chǎn)品同時(shí)應(yīng)當(dāng)符合預(yù)期功能安全、功能安5A5ETECH但是自2015年開始，由于國(guó)內(nèi)標(biāo)準(zhǔn)GBT34590落地宣傳，及新能源汽車發(fā)展功能安全的野蠻生長(zhǎng)一直持續(xù)到2020年。一方面，國(guó)內(nèi)幾家大型主機(jī)廠與解更是差之千里隊(duì)于2020年5月29日牽頭成立了中國(guó)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟智能網(wǎng)聯(lián)汽車預(yù)截止到2023年3月，SASETECH社區(qū)已覆蓋國(guó)內(nèi)安全技術(shù)學(xué)者、技術(shù)專家、行業(yè)資深從業(yè)者超過(guò)80%,成功舉辦線上下技術(shù)沙龍超過(guò)22次，發(fā)表原創(chuàng)技術(shù)文章1.2.5行業(yè)帶頭人與白皮書第二章汽車功能安全發(fā)展趨勢(shì)2.1汽車功能安全的歷史與展望1950年，美國(guó)在阿特拉斯發(fā)展洲際彈道導(dǎo)彈時(shí)，18個(gè)月內(nèi)就有4個(gè)導(dǎo)彈在發(fā)問(wèn)題變得越來(lái)越重要。1967年，阿波羅1號(hào)發(fā)生火災(zāi)犧牲了3名宇航員后，美國(guó)航1.故障模式與影響分析(FMEA)2.能量跟蹤與屏障分析(ETBA)3.危險(xiǎn)與可操作性分析(HAZOP)4.故障樹分析(FTA)5.事件樹分析(ETA)6.管理疏忽與風(fēng)險(xiǎn)樹(MORT)統(tǒng)安全領(lǐng)域的發(fā)展是最早也是最成熟的，其持續(xù)的應(yīng)用及迭代可以追溯到上世紀(jì)60SubsystemsandEquipment,GeneraDepartmentofDefense,SepSubsystemsandEquipment,GeneralRequirementsfor.USDepartmentofDefense,J[31]MIL-STD-882,SystemSafetyProgramRequirements,USDepartmentofDefense,1[32]MIL-STD-882A,SystemSDepartmentofDefense,2[33]MIL-STD-882B,SystemSafetyProgramRequirements,USDepartmentofDefense,3[34]MIL-STD-882C,SystemSafetyProgramRequirements,US[35]MIL-STD-882D,StandardPracticeforSystemSafety,USDepartmentofDefense,10Fcbruary2000.[36]MIL-STD-882E,StandardPracticeforSystemSafety,USDepartmentofDefense,11May2012.功能安全是系統(tǒng)安全學(xué)科中的一個(gè)分支，最早期的IEC61508標(biāo)準(zhǔn)(工業(yè)功能安全)的構(gòu)建也是系統(tǒng)安全經(jīng)驗(yàn)積累的結(jié)果。imgemenedinhadwweandsstwaearestoyslpsfkant.ThFncdlontreadsintheyptemubeytemndsaftareanalypodaedwrdfedforcdoskpedinthemilungrucbuindaropkeindatrisindthntakanupbyraltanportprccsandcorbdnapedalyaplcatangtisesothwarcommans,contacsgmoritonsasltyoialfandien.ThousandsofpoductsadpocTheUSFAAhwesmlufueclondsfetycoetlosonpocesssthefomofUSRICA00-akctorchwdwnaPwhihkapdiadtrouglouttheaotpwcoindastryFunctienalSaleyanddasignasuancaonangirstdngstayasysk.Thelewlotigor(UORraltytaksperfomofgeifkhintienalfabvrecendionmdharadswwtyplatingtothestetycitlcalbinctlonsS0)hmaemboddedsottwareisthorougyanlyzodandtessedtoFncieoulaktykbecomingthemomalfocusodagproachoncompesotwarehtorshgstesandhghyhtogatodconsgmcn.ThesadsiondlsctwaesleytaksandmodlbssedfncienalsuidecethatthesypstemfunctionaltyandsltyfotrespetosotybegnsoarlyintheprocmbyprlsmirgFurctiordHcradAayonHAoiblewlkavulpatdayhectiordulatyolbert.AnadlyosiedimplementdionreuhedkcumertodinFune0HAorSstemsleyAsesmentagatedaedcomplksatharmistaerahegysomstoundrntandldtthemayitonadfiorsandpredkudbwrilicadonadortfiationpoou提到汽車功能安全自身的發(fā)展史，就繞不開IEC61508。2000年5月，國(guó)際5A5ETECH的功能安全》。IEC61508標(biāo)準(zhǔn)定義的安全生命周期包含16個(gè)階段，粗略地可以分為3塊：1-5階段描述了分析過(guò)程；6-13階段描述了實(shí)現(xiàn)過(guò)程；14-16階段描述了運(yùn)營(yíng)過(guò)程。所有階段關(guān)注的均是系統(tǒng)安全功能。IEC61508由7個(gè)部分組成：1-3部分為標(biāo)準(zhǔn)需求(規(guī)范性的);4-7部分為開發(fā)過(guò)程指導(dǎo)和示例。IEC61508是主要針對(duì)由電氣電子/可編程電子部件構(gòu)成的系統(tǒng)或者起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)而建立的一種覆蓋整體安全生命周期基礎(chǔ)的評(píng)價(jià)方法。目的是要針對(duì)以電子為基礎(chǔ)的安全系統(tǒng)提出一個(gè)一致的、合理的技術(shù)方案，統(tǒng)籌考慮單獨(dú)系統(tǒng)(如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等)中元件與安全系統(tǒng)組合從而導(dǎo)致的安全問(wèn)題。IEC61508標(biāo)準(zhǔn)的核心是風(fēng)險(xiǎn)概念和安全功能。風(fēng)險(xiǎn)是指危害事件頻率(或可能性)以及事件后果嚴(yán)重性。通過(guò)應(yīng)用包括E/E/PES等技術(shù)構(gòu)成的安全功能，使風(fēng)險(xiǎn)降低到可以容忍的水平。置),第1版于2011年發(fā)布，第2版于2018年發(fā)布。NHTSA的文章《AssessmentV√ProbabilityofVVVVAbsenceofunreasonableriNocleardefinitionproNodefinitionprovidimplications.However,oncethestandstandardbasedonmeetingtheestablishedperformancerequirementsISO26262于2011年發(fā)布第一版，2018年更新為第二版。人機(jī)交互人工智能自動(dòng)駕駛政府建起來(lái)，媒體應(yīng)該為此大聲疾呼!”2022年6月正式發(fā)布的ISO21448涵蓋了自動(dòng)駕駛汽車功能和系統(tǒng)的規(guī)格定析潛在安全風(fēng)險(xiǎn)使得在系決安全風(fēng)險(xiǎn)或降低由安全風(fēng)險(xiǎn)引起的危害。由攻擊者引起的潛在威脅，其目的是造成危害、獲取經(jīng)濟(jì)或其他利益、或僅是得到名聲。度，最終是消除風(fēng)險(xiǎn)或采用受的范圍內(nèi)?？紤]攻擊者的知識(shí)領(lǐng)域、攻擊意圖，幫助分析人員知道網(wǎng)絡(luò)安全保護(hù)免于受到黑客可能攻擊的行為/擊者必備的特殊裝備等。故障樹分析(FTA)攻擊樹分析(ATA)識(shí)別直接影響基礎(chǔ)功能的會(huì)有網(wǎng)絡(luò)安全漏洞。表4功能安全與網(wǎng)絡(luò)安全的關(guān)系功能安全如果ADS未收到ESP制動(dòng)踏板踩下信號(hào)，D網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全需求描述防護(hù)等級(jí)防止ADS控制器狀態(tài)機(jī)的保密性及完整性受非法披露和復(fù)改b日號(hào)D接口帶TRNG種子內(nèi)部32位數(shù)器5A5ETECH2.3汽車功能安全的新興發(fā)展領(lǐng)域根據(jù)麥肯錫測(cè)算，2030年的車企軟件驅(qū)動(dòng)收入占比將會(huì)從2010年的7%增長(zhǎng)到30%,對(duì)于車企端，售賣智能駕駛相關(guān)軟件將會(huì)成為車企新的盈利增長(zhǎng)點(diǎn)。從整披露的數(shù)據(jù)，以德國(guó)車企為例，2017-2018年汽車軟件工程師規(guī)模增長(zhǎng)56%,而機(jī)械工程師規(guī)模大幅下降21%。毋庸置疑，隨著軟件占比的增加，軟件的開發(fā)安全性 件外外年甲臺(tái)年WT程康早的技來(lái)車機(jī)器學(xué)習(xí)(ML)是對(duì)算法和統(tǒng)計(jì)模型的科學(xué)研究，計(jì)算機(jī)系統(tǒng)使用這些算法和被視為人工智能的子集。機(jī)器學(xué)習(xí)算法基于樣本數(shù)據(jù)(稱為“訓(xùn)練數(shù)據(jù)”)建立數(shù)學(xué)0HarmonizeconceptsalreadydescribedinAnHarmonizeconceptsalreadydescribedinAndrivingfunctionsorspecificMLtechniquesAutomotheOSAutomotN數(shù)字化時(shí)代，也就是我們常說(shuō)的運(yùn)用計(jì)算機(jī)將我們生活中的信息轉(zhuǎn)化為0和1術(shù)和普遍技術(shù)。10010110101111000010101000101010010110101110010010010010圖15計(jì)算機(jī)是靠0和1來(lái)存儲(chǔ)信息vehicles—Applicationofpredictive26262-5,這是技術(shù)數(shù)字化手段解決硬件失效預(yù)測(cè)的標(biāo)準(zhǔn)。管理方面上，相信汽車功5A5ETECH系統(tǒng)安全第三章汽車功能安全人才現(xiàn)狀那么,功能安全行業(yè)的人才現(xiàn)狀是怎樣的?基于這個(gè)問(wèn)題，編輯小組抽取了超過(guò)200個(gè)功能安全從業(yè)者樣本做了多維度的調(diào)研。本章將從功能安全從業(yè)人員的基礎(chǔ)畫像、技術(shù)畫像、未來(lái)偏好及功能安全行業(yè)的市場(chǎng)環(huán)境的角度，通過(guò)不同的圖表，為大家呈現(xiàn)功能安全行業(yè)的從業(yè)者與市場(chǎng)現(xiàn)狀，并做簡(jiǎn)要分析，以供參考。3.1從業(yè)人員的基礎(chǔ)畫像汽車安全功能從業(yè)人員男性居多，性別比例約為1:6;從學(xué)歷分布來(lái)看，碩士占最大比重，達(dá)到61.2%;其次是本科及以下，占比33.3%;博士的比重約為5%;意味著汽車功能安全從業(yè)者多為高學(xué)歷者；表3從業(yè)人員男女比例■男■女表4從業(yè)人員的學(xué)歷分布從業(yè)人員的學(xué)歷專業(yè)大多集中在車輛工程與電子工程，與車輛相關(guān)及電子相關(guān)的專業(yè)流入行業(yè)內(nèi)更多，大多數(shù)行業(yè)從業(yè)者的專業(yè)與行業(yè)要求的技術(shù)本身匹配度較高；從薪資角度來(lái)看，功能安全頂級(jí)人才是14%,比較符合二八定律中拔尖的那部分人是10%,他們的年薪是百萬(wàn)以上，能夠在企業(yè)獨(dú)當(dāng)一面，包括搭建功能安全體系和流程。中位薪資水平普遍在40-70多萬(wàn)，占比接近70%,這部分人有獨(dú)立負(fù)責(zé)功能安全中部分模塊的可能。30萬(wàn)以下的從業(yè)者，大多可能剛畢業(yè)，或剛工作2-3年，表5從業(yè)人員的學(xué)習(xí)專業(yè)集成電路設(shè)計(jì)表6從業(yè)人員的薪資范圍100萬(wàn)以上從功能安全從業(yè)年限的角度來(lái)看，資深從業(yè)者較多，新入較大一部分人為轉(zhuǎn)行做功能安全，大多數(shù)工作年限超過(guò)5年，具備了一定行業(yè)經(jīng)驗(yàn)。表7從業(yè)年限與工作年限占比 6行業(yè)的跳槽率平均2年/次；新勢(shì)力互聯(lián)網(wǎng)造車以來(lái)，智能駕駛算法和軟件方向涌入好行情的時(shí)候，很多從事智能駕駛算法的人，已達(dá)到幾個(gè)月一跳的情況。表8從業(yè)人員的穩(wěn)定性(跳槽頻率)3.2從業(yè)人員的技術(shù)畫像從功能安全從業(yè)者負(fù)責(zé)的產(chǎn)品方向來(lái)看，負(fù)責(zé)智能駕駛產(chǎn)品方向的人最多，占比接近30%。其次是新能源三電方向占比接近20%,人數(shù)分布最少的產(chǎn)品方向是智能座艙7.8%和操作系統(tǒng)約5.8%。智能駕駛方向的人最多，主要原因可能是產(chǎn)品方向的熱門屬性，另一方面可能是由于智能駕駛產(chǎn)品復(fù)雜度較高，而智能座艙對(duì)功能安全的需求和要求本身不高。表9從業(yè)前的業(yè)務(wù)方向表10從事產(chǎn)品方向從行業(yè)使用工具來(lái)看，安全分析類工具更加獲得從業(yè)人員的青睞，使用率偏高，也說(shuō)明了此類工具的重要程度。表11行業(yè)主流工具分布·功能安全管理，例如安全計(jì)劃安全分析，例如FTA/FMEA/FMEDA·概念及系統(tǒng)階段設(shè)計(jì)，例如HARA、FSC·軟件/硬件相關(guān)的開發(fā)3.3從業(yè)人員的未來(lái)偏好從功能安全從事產(chǎn)品來(lái)看，ECU和整車層級(jí)開發(fā)是最熱門的方向；從業(yè)人員的企業(yè)偏好較為平均，相對(duì)而言除了咨詢公司較弱外，其余選擇均無(wú)明顯差距。表12熱門產(chǎn)品表13從業(yè)人員的企業(yè)偏好·ECU產(chǎn)品從未來(lái)的角度來(lái)看.清晰可見(jiàn)的是超過(guò)71%的人愿意繼續(xù)從事功能安全的T作.較好。表14行業(yè)從業(yè)穩(wěn)定性接近一半的從業(yè)人員集中在零部件/算法公司，約三分之一的從業(yè)人員服務(wù)于整車廠，芯片公司的從業(yè)人員則不超過(guò)20%,最少的是咨詢與認(rèn)證相關(guān)公司；表15所在企業(yè)分布對(duì)干企業(yè)的功能安全人員配置.有2個(gè)關(guān)鍵數(shù)據(jù)值得關(guān)注：所在企業(yè)功能安全團(tuán)隊(duì)人數(shù)超過(guò)20人的占了三分之一，根據(jù)業(yè)內(nèi)調(diào)研分析，這部分應(yīng)該集中于主機(jī)廠；還有三分之一的企業(yè)功能安全團(tuán)隊(duì)人數(shù)只有5個(gè)人以內(nèi)，應(yīng)該集中于零部件企業(yè)或算法公司。從團(tuán)隊(duì)人數(shù)配置來(lái)看，零部件企業(yè)普遍不重視功能安全。表16所在企業(yè)的功能安全人員數(shù)量從功能安全在企業(yè)的獨(dú)立性來(lái)看，有接近一半的企業(yè)并不重視功能安全；同時(shí)可以看出，更多的企業(yè)沒(méi)有功能安全意識(shí)，重視程度不高，因此本應(yīng)傾向的資源配置和支持無(wú)法達(dá)到要求，其中包括人員配置、財(cái)務(wù)預(yù)算等，這直接說(shuō)明了企業(yè)對(duì)功能安全的重視程度不夠。表17所在企業(yè)是否具有獨(dú)立的功能安全部門或功能安全委員會(huì)表18所在公司是否有獨(dú)立于項(xiàng)目的功能安全從業(yè)人員表19所在企業(yè)推動(dòng)功能安全產(chǎn)品開發(fā)時(shí)的阻礙為了更客觀、直觀的了解本章所展現(xiàn)的數(shù)據(jù)，本節(jié)特邀請(qǐng)了國(guó)內(nèi)功能安全相關(guān)專業(yè)學(xué)術(shù)帶頭人、龍頭企業(yè)功能安全負(fù)責(zé)人等資深人士，就功能安全行業(yè)及從業(yè)者的相關(guān)話題進(jìn)行了訪談。以下為訪談結(jié)果的整理摘選。問(wèn)：功能安全的價(jià)值是什么?答：價(jià)值主要體現(xiàn)在三方面：對(duì)企業(yè)的價(jià)值：控制產(chǎn)品安全風(fēng)險(xiǎn)，對(duì)終端用戶生命安全負(fù)責(zé)，維護(hù)品牌形象和口碑；對(duì)產(chǎn)品的價(jià)值：提成產(chǎn)品安全設(shè)計(jì)，增強(qiáng)產(chǎn)品安全屬性和魯棒性；對(duì)從業(yè)者價(jià)值：惠及社會(huì)與人群安全的自我價(jià)值實(shí)現(xiàn)，較不錯(cuò)的經(jīng)濟(jì)匯報(bào)。此外，無(wú)論對(duì)于企業(yè)、產(chǎn)品、用戶、還是從業(yè)者，可以統(tǒng)一到“完整性”這一個(gè)核心點(diǎn)上來(lái)。問(wèn)：如果與功能安全相關(guān)的企業(yè)或產(chǎn)品不執(zhí)行功能安全相關(guān)的工作，會(huì)對(duì)其產(chǎn)生什么5A5ETECH第四章主要領(lǐng)域功能安全實(shí)踐5A5ETECH擋位管理系統(tǒng)擋位管理系統(tǒng)U/NW驅(qū)動(dòng)電機(jī)高壓電池主動(dòng)緊急制動(dòng)車輛驅(qū)動(dòng)車輪車輛踏板的基本功能。借鑒標(biāo)準(zhǔn)SAEJ2980-2015,整車控制系統(tǒng)的基本功能概述如表20所表20整車控制系統(tǒng)的基本功能示例列表提供系統(tǒng)啟/停選擇向表示為：前進(jìn)(D),后退(R),空擋(N)和駐車(P),提供駕駛員需求的驅(qū)動(dòng)包括純發(fā)動(dòng)機(jī)、純電機(jī)或混合驅(qū)動(dòng)力矩，并不代表底盤制動(dòng)系統(tǒng)的機(jī)械制動(dòng)力按照國(guó)標(biāo)的定義，驅(qū)動(dòng)電機(jī)系統(tǒng)(以下簡(jiǎn)稱電驅(qū))是指安裝在電動(dòng)汽車上，為車制器，通過(guò)CAN(ControllerAreaNetwork)總線進(jìn)行連接?，F(xiàn)在的電機(jī)及電機(jī)控制器通常被包含在多合一集成的動(dòng)力總成產(chǎn)品中。最多的器(DCDC)、雙向車載充電器(OBC)、高壓配電箱(PDU)集成，甚至有的將電池5A5ETECH·全混電動(dòng)汽車(FHEV)(8)充電控制：慢充和快充控制：(9)電池一致性控制：采集單體電壓信息、采用均衡方式使電池達(dá)到一致性，均衡方(12)信息存儲(chǔ)：存儲(chǔ)關(guān)鍵數(shù)據(jù)如SoC、SoH、充放電安時(shí)數(shù)、故障碼等。更簡(jiǎn)要的圖19示如下：電池歷史信息存儲(chǔ)電池歷史信息存儲(chǔ)電池充電控制管理過(guò)溫保護(hù)閉充過(guò)放保護(hù)団流保護(hù)電池的老化程度評(píng)估電池電流測(cè)電池電國(guó)監(jiān)測(cè)電池管理系統(tǒng)1的加速意圖2非預(yù)期加速丟失34非預(yù)期減速丟失5非預(yù)期縱向移動(dòng)車輛靜止停車過(guò)程，突然行車移動(dòng)6非預(yù)期縱向移動(dòng)丟失7非預(yù)期反方向的縱向移動(dòng)考慮到不同企業(yè)對(duì)可控度的評(píng)估方法或原則不一致，安全目標(biāo)的ASIL 123避免非預(yù)期移動(dòng)4避免移動(dòng)反向51防止電機(jī)無(wú)法輸出驅(qū)動(dòng)轉(zhuǎn)矩A2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過(guò)大C發(fā)出警示，終止轉(zhuǎn)矩輸出3防止電機(jī)轉(zhuǎn)矩輸出方向反向C發(fā)出警示，終止轉(zhuǎn)矩輸出4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出5防止電機(jī)無(wú)法輸出制動(dòng)轉(zhuǎn)矩A6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過(guò)大C發(fā)出警示，終止轉(zhuǎn)矩輸出7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出單單Ca11.電池單體oIc.水性體系魚模材料的主要粘合劑礦展內(nèi)在(日志記錄) 輸電線…通信線略一補(bǔ)給線表24電池系統(tǒng)的安全目標(biāo)及其屬性1高壓電池必須防止自身起火、爆炸2高壓電池必須防止電芯電壓過(guò)壓3高壓電池必須防止電芯模組或電池包電壓過(guò)壓4高壓電池必須防止電流過(guò)流56高壓電池必須防止自身絕緣異常12秒7高壓電池必須保證自身高壓互鎖正常1秒8高壓電池必須保證自身繼電器控制正常B9高壓電池必須保證碰撞檢測(cè)正常1秒5A5ETECH碼a用理提青0·邏輯運(yùn)算單元(ArithmeticandLogicUnit,以下簡(jiǎn)稱ALU)保護(hù)：運(yùn)算單元5機(jī)后相病其地力通擔(dān)運(yùn)物控上片稱電控名葉持九位置蛙a4.1.3.2電驅(qū)動(dòng)系統(tǒng)對(duì)于國(guó)標(biāo)中的安全狀態(tài)終止轉(zhuǎn)矩輸出，當(dāng)前市面上主要有兩種實(shí)現(xiàn)方式：Circuit產(chǎn)生的瞬態(tài)大電流會(huì)導(dǎo)致永磁電機(jī)中的永磁體退磁。可以理解成此時(shí)為了達(dá)功能安全策略和解決方案(介紹過(guò)壓/欠壓/過(guò)流)CMC采集單體電芯電壓，并將電壓信號(hào)給到BMU(BatteryManagementUnit),BMU內(nèi)部雙核，進(jìn)行安全電壓限制判斷(過(guò)壓限值或欠壓限值),如果違反安全限制，則在高邊/低邊控制器觸發(fā)繼電器控制信號(hào)，驅(qū)動(dòng)繼電器斷開，達(dá)到安全表25電池管理系統(tǒng)安全需求：過(guò)壓欠壓安全電器邊驅(qū)動(dòng)WC-一級(jí)報(bào)警：>4.1(v),或小于2.7V護(hù)制號(hào)護(hù)制號(hào)號(hào)電物制號(hào)電物制電5A5ETECH全當(dāng)車在行駛/充電工況時(shí)，每隔100ms,BMU必須檢測(cè)高壓電池電流是否超過(guò)安全閾值。C*電池包過(guò)流條件：按項(xiàng)目標(biāo)定4.1.4功能安全相關(guān)標(biāo)準(zhǔn)ADAS(AdvancedDriverAssistanceSyst測(cè)等5A5ETECH4.2.1.2典型系統(tǒng)方案及關(guān)鍵組件介紹車輛5功感知車輛筑通預(yù)商4.2.1.2.2決策規(guī)劃4.2.1.2.3控制執(zhí)行Design,verificationandvalidation4.2.2.2功能安全策略4.2.2.2.2自動(dòng)駕駛系統(tǒng)的安全-可用性和可靠性4.2.2.2.3預(yù)期功能安全對(duì)于智能駕駛系統(tǒng)安全來(lái)說(shuō)，影響系統(tǒng)安全的因素不能被傳統(tǒng)功能安全I(xiàn)SO●在功能設(shè)計(jì)預(yù)期內(nèi)的場(chǎng)景，發(fā)生功能介入(正常工作)●在非功能設(shè)計(jì)預(yù)期的場(chǎng)景，發(fā)生功能介入(誤觸發(fā))·在功能設(shè)計(jì)預(yù)期內(nèi)的場(chǎng)景，發(fā)生功能不介入(漏觸發(fā))·在非功能設(shè)計(jì)預(yù)期的場(chǎng)景，發(fā)生功能不介入(正常關(guān)閉)4.2.3智駕功能安全面臨的挑戰(zhàn)·表27智能座艙安全目標(biāo)1外后視鏡延時(shí)、卡帶2外后視鏡亮度過(guò)低3時(shí)提醒駕駛員接管或指示▲4期提示駕5員接管狀態(tài)監(jiān)控失效4.3.3智能座艙相關(guān)的國(guó)標(biāo)和行業(yè)標(biāo)準(zhǔn)4.3.4座艙系統(tǒng)主流的安全策略和方案座艙交互模塊控制器1控制器2圖31智能座艙安全策略2觸覺(jué)、視覺(jué)、聽覺(jué)是最常見(jiàn)，如圖32所示。針對(duì)駕駛員提醒類的功能安全要求，儀表(IP)視覺(jué)燈光(方向盒燈帶。氛圍燈)點(diǎn)剩(車輛運(yùn)動(dòng)狀態(tài))圖32常見(jiàn)接管HMI提醒方式5A5ETECH4.3.5.1DMS安全策略4.3.5.2車控相關(guān)安全策略座艙中，對(duì)其提出了更大的算力需求。在業(yè)內(nèi)常用的例如8155A5ETECH(1)無(wú)功能安全階段——2000年以前(2)功能安全起步發(fā)展階段——2000年至2011年2000年5月，國(guó)際電工委員會(huì)正式發(fā)布了IEC61508《電氣/電子/可編程電子(3)功能安全發(fā)展成熟階段——2011年至今1防止在夜晚駕駛時(shí)突然丟失前照2防止丟失所有的制動(dòng)燈ASILB3防止轉(zhuǎn)向燈與實(shí)際的轉(zhuǎn)向燈請(qǐng)求4防止轉(zhuǎn)向燈非預(yù)期丟失ASILA5防止遠(yuǎn)光燈非預(yù)期開啟且不能關(guān)6防止位置燈非預(yù)期丟失ASILA7防止整車低壓電源非預(yù)期掉電8防止前雨刮非預(yù)期丟失ASILA9ASILD4.4.1.3.1整體安全架構(gòu)車控系統(tǒng)一般采用功能軟件為QM,即不承接安全等級(jí)，而在功能軟件之下部署一個(gè)功能軟膠校驗(yàn)?zāi)K來(lái)承接安全等級(jí)的架構(gòu)方案，方案示意如下圖33所示：qq(2)Level2層級(jí)——功能邏輯校驗(yàn)這一層級(jí)安全等級(jí)為ASILB,在滿足安全目標(biāo)的前提下功能盡量簡(jiǎn)化，對(duì)自動(dòng)控制指令。4.4.1.6.2車控功能軟件架構(gòu)變更帶來(lái)的挑戰(zhàn)5A5ETECH縱向自由度(前后運(yùn)動(dòng))橫向自由度(左右運(yùn)動(dòng))垂向自由度(上下運(yùn)動(dòng))汽車懸架系統(tǒng)是連接車輪(或車橋)和車架(或車身)的一套傳力連接機(jī)構(gòu)的總4.5.2危害分析與風(fēng)險(xiǎn)評(píng)估縱向自由度(前后運(yùn)動(dòng))非預(yù)期加速丟失非預(yù)期減速丟失橫向自由度(左右運(yùn)動(dòng))非預(yù)期轉(zhuǎn)向5A5ETECH非預(yù)期轉(zhuǎn)向丟失垂向自由度(上下運(yùn)動(dòng))非預(yù)期垂向運(yùn)動(dòng)(導(dǎo)致錯(cuò)誤的縱向或橫向運(yùn)動(dòng))ASIL等級(jí)，國(guó)內(nèi)外的相關(guān)標(biāo)準(zhǔn)中提供了具有參考價(jià)值的分析，其中J298012345避免非預(yù)期轉(zhuǎn)向67車輛，如果底盤系統(tǒng)(如制動(dòng)系統(tǒng))被定義成failoperational的系統(tǒng)，那么當(dāng)系統(tǒng)5A5ETECH對(duì)于ECU的安全設(shè)計(jì)，雙核鎖步(DualCorewithLockStep)也是常見(jiàn)的安全設(shè)計(jì)方案，以避免控制器芯片故障導(dǎo)致計(jì)算異常從而引起風(fēng)險(xiǎn)。在一個(gè)芯片中包含兩個(gè)相同的處理器，一個(gè)作為master,一個(gè)作為slave,它們執(zhí)行相同的代碼并嚴(yán)格同步，master可以訪問(wèn)系統(tǒng)內(nèi)存并輸出指令，而slave不斷執(zhí)行在總線上的指令(即由主處理器獲取的指令)。slave產(chǎn)生的輸出，包括地址位和數(shù)據(jù)位，發(fā)送到比較邏輯模塊，由master和slave總線接口的比較器電路組成，檢查它們之間的數(shù)據(jù)、地址和控制線的一致性。檢測(cè)到任何總線的值不一致時(shí)，認(rèn)為其中一個(gè)CPU上存在故障，系統(tǒng)降級(jí)進(jìn)入安全狀態(tài)。FL圖34雙核鎖步的安全設(shè)計(jì)方案而對(duì)于ECU內(nèi)存故障，通常采取ECC作為安全措施來(lái)進(jìn)行故障診斷。當(dāng)模塊A將數(shù)據(jù)傳遞給模塊B時(shí)，為了保證數(shù)據(jù)傳輸?shù)恼_性，在傳輸?shù)倪^(guò)程中會(huì)通過(guò)ECC產(chǎn)生一個(gè)校驗(yàn)碼，該校驗(yàn)碼始終伴隨原始的數(shù)據(jù)傳輸。一旦模塊B接收到數(shù)據(jù)和校驗(yàn)碼之后便會(huì)進(jìn)行數(shù)據(jù)校驗(yàn)，如果發(fā)現(xiàn)數(shù)據(jù)某個(gè)bit錯(cuò)誤，ECC能夠?qū)蝏it故障進(jìn)行糾正以及對(duì)多bit故障進(jìn)行識(shí)別，識(shí)別故障后會(huì)將報(bào)警信息傳遞給控制器經(jīng)進(jìn)入安4.5.4功能安全相關(guān)標(biāo)準(zhǔn)4.5.5未來(lái)展望的挑戰(zhàn)，以確保系統(tǒng)之間的控制不會(huì)出現(xiàn)沖突，也不會(huì)出現(xiàn)兩不管的情況，5A5ETECH片本身沒(méi)有做功能安全方面的考量，部分情況下也可以通過(guò)系統(tǒng)層/硬件架構(gòu)層級(jí)的冊(cè)查確認(rèn)品可性程樣片畫片件圖35芯片流程開發(fā)不同階段對(duì)應(yīng)的功能安全活動(dòng)需求(如usecase,f