汽车功能安全白皮书 2024

50%,创全球历史新高。汽车行业正迎来百年未有之大变局中国质量认证中心汽车功能安全中心副主任王江东2023年4月边俊上海磐时首席汽车安全专家毕先改合众新能源哪吒汽车安全总监冯亚军蔚来汽车系统安全专家胡冲中兴通讯操作系统产品部系统架构师曲元宁博世汽车部件(苏州)有限公司高级系统软件架构师杨虎地平线系统及人工智能安全总监毕云天范宏亮江捷康建芳李文星李相华潘文韬翁仁洪吴凡 1 3 6 6 第二章汽车功能安全发展趋势 2.1汽车功能安全的历史与展望 2.2汽车功能安全的主要发展方向 2.3汽车功能安全的新兴发展领域 第三章汽车功能安全人才现状 3.2从业人员的技术画像 3.4功能安全行业的市场环境 403.5功能安全从业人员访谈摘选 42第四章主要领域功能安全实践 464.1新能源三电系统 4.2智能驾驶系统 4.3智能座舱系统 4.4车控系统 4.5底盘控制系统 844.6汽车芯片 92 1方面。而车规可靠性与功能安全是衡量汽车电子部件成熟可量产的基础条件。汽车能安全的白皮书2地平线总裁陈黎明2023年4月3BatteryElectricvehFullHybridElectricVeCommercialElectricSoC(4.1)BatteryManagementSysHazardAnalysisandRiskAssesAutomotiveSafetyIntegratBatteryManagementAdvancedDriverAssistanceSystAutonomousDrivingSolutiGlobalNavigationSatelliteS4AdvancedEmergencyBrakingSystAutonomousEmergencyBrakAntilockBrakeSystDriverMonitoringSServiceOrientedArchitectureElectricParkingBrakeEllipticCurvesCryptSafetyrelatedavailabilityrequirementOriginalEquipmentManufactureRegisterTransferLevelPower,PerformanceaApplicationSpecificIntegratedCircuElectronicsDesignAu562021年4月，麦肯锡公司发布了《2021汽车消费者洞察》报告，报告显示，75A5ETECH82018年到2022年，几乎所有公司的自动驾驶量产计划都延期95A5ETECH(一)生产企业获得相应类别的道路机动车辆生产企业准入许可；(二)产品符合安全、环保、节能等标准、技术规范要求；智能网联汽车产品同时应当符合预期功能安全、功能安5A5ETECH但是自2015年开始，由于国内标准GBT34590落地宣传，及新能源汽车发展功能安全的野蛮生长一直持续到2020年。一方面，国内几家大型主机厂与解更是差之千里队于2020年5月29日牵头成立了中国智能网联汽车产业创新联盟智能网联汽车预截止到2023年3月，SASETECH社区已覆盖国内安全技术学者、技术专家、行业资深从业者超过80%,成功举办线上下技术沙龙超过22次，发表原创技术文章1.2.5行业带头人与白皮书第二章汽车功能安全发展趋势2.1汽车功能安全的历史与展望1950年，美国在阿特拉斯发展洲际弹道导弹时，18个月内就有4个导弹在发问题变得越来越重要。1967年，阿波罗1号发生火灾牺牲了3名宇航员后，美国航1.故障模式与影响分析(FMEA)2.能量跟踪与屏障分析(ETBA)3.危险与可操作性分析(HAZOP)4.故障树分析(FTA)5.事件树分析(ETA)6.管理疏忽与风险树(MORT)统安全领域的发展是最早也是最成熟的，其持续的应用及迭代可以追溯到上世纪60SubsystemsandEquipment,GeneraDepartmentofDefense,SepSubsystemsandEquipment,GeneralRequirementsfor.USDepartmentofDefense,J[31]MIL-STD-882,SystemSafetyProgramRequirements,USDepartmentofDefense,1[32]MIL-STD-882A,SystemSDepartmentofDefense,2[33]MIL-STD-882B,SystemSafetyProgramRequirements,USDepartmentofDefense,3[34]MIL-STD-882C,SystemSafetyProgramRequirements,US[35]MIL-STD-882D,StandardPracticeforSystemSafety,USDepartmentofDefense,10Fcbruary2000.[36]MIL-STD-882E,StandardPracticeforSystemSafety,USDepartmentofDefense,11May2012.功能安全是系统安全学科中的一个分支，最早期的IEC61508标准(工业功能安全)的构建也是系统安全经验积累的结果。imgemenedinhadwweandsstwaearestoyslpsfkant.ThFncdlontreadsintheyptemubeytemndsaftareanalypodaedwrdfedforcdoskpedinthemilungrucbuindaropkeindatrisindthntakanupbyraltanportprccsandcorbdnapedalyaplcatangtisesothwarcommans,contacsgmoritonsasltyoialfandien.ThousandsofpoductsadpocTheUSFAAhwesmlufueclondsfetycoetlosonpocesssthefomofUSRICA00-akctorchwdwnaPwhihkapdiadtrouglouttheaotpwcoindastryFunctienalSaleyanddasignasuancaonangirstdngstayasysk.Thelewlotigor(UORraltytaksperfomofgeifkhintienalfabvrecendionmdharadswwtyplatingtothestetycitlcalbinctlonsS0)hmaemboddedsottwareisthorougyanlyzodandtessedtoFncieoulaktykbecomingthemomalfocusodagproachoncompesotwarehtorshgstesandhghyhtogatodconsgmcn.ThesadsiondlsctwaesleytaksandmodlbssedfncienalsuidecethatthesypstemfunctionaltyandsltyfotrespetosotybegnsoarlyintheprocmbyprlsmirgFurctiordHcradAayonHAoiblewlkavulpatdayhectiordulatyolbert.AnadlyosiedimplementdionreuhedkcumertodinFune0HAorSstemsleyAsesmentagatedaedcomplksatharmistaerahegysomstoundrntandldtthemayitonadfiorsandpredkudbwrilicadonadortfiationpoou提到汽车功能安全自身的发展史，就绕不开IEC61508。2000年5月，国际5A5ETECH的功能安全》。IEC61508标准定义的安全生命周期包含16个阶段，粗略地可以分为3块：1-5阶段描述了分析过程；6-13阶段描述了实现过程；14-16阶段描述了运营过程。所有阶段关注的均是系统安全功能。IEC61508由7个部分组成：1-3部分为标准需求(规范性的);4-7部分为开发过程指导和示例。IEC61508是主要针对由电气电子/可编程电子部件构成的系统或者起安全作用的电气/电子/可编程电子系统(E/E/PE)而建立的一种覆盖整体安全生命周期基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合从而导致的安全问题。IEC61508标准的核心是风险概念和安全功能。风险是指危害事件频率(或可能性)以及事件后果严重性。通过应用包括E/E/PES等技术构成的安全功能，使风险降低到可以容忍的水平。置),第1版于2011年发布，第2版于2018年发布。NHTSA的文章《AssessmentV√ProbabilityofVVVVAbsenceofunreasonableriNocleardefinitionproNodefinitionprovidimplications.However,oncethestandstandardbasedonmeetingtheestablishedperformancerequirementsISO26262于2011年发布第一版，2018年更新为第二版。人机交互人工智能自动驾驶政府建起来，媒体应该为此大声疾呼!”2022年6月正式发布的ISO21448涵盖了自动驾驶汽车功能和系统的规格定析潜在安全风险使得在系决安全风险或降低由安全风险引起的危害。由攻击者引起的潜在威胁，其目的是造成危害、获取经济或其他利益、或仅是得到名声。度，最终是消除风险或采用受的范围内。考虑攻击者的知识领域、攻击意图，帮助分析人员知道网络安全保护免于受到黑客可能攻击的行为/击者必备的特殊装备等。故障树分析(FTA)攻击树分析(ATA)识别直接影响基础功能的会有网络安全漏洞。表4功能安全与网络安全的关系功能安全如果ADS未收到ESP制动踏板踩下信号，D网络安全网络安全需求描述防护等级防止ADS控制器状态机的保密性及完整性受非法披露和复改b日号D接口带TRNG种子内部32位数器5A5ETECH2.3汽车功能安全的新兴发展领域根据麦肯锡测算，2030年的车企软件驱动收入占比将会从2010年的7%增长到30%,对于车企端，售卖智能驾驶相关软件将会成为车企新的盈利增长点。从整披露的数据，以德国车企为例，2017-2018年汽车软件工程师规模增长56%,而机械工程师规模大幅下降21%。毋庸置疑，随着软件占比的增加，软件的开发安全性 件外外年甲台年WT程康早的技来车机器学习(ML)是对算法和统计模型的科学研究，计算机系统使用这些算法和被视为人工智能的子集。机器学习算法基于样本数据(称为“训练数据”)建立数学0HarmonizeconceptsalreadydescribedinAnHarmonizeconceptsalreadydescribedinAndrivingfunctionsorspecificMLtechniquesAutomotheOSAutomotN数字化时代，也就是我们常说的运用计算机将我们生活中的信息转化为0和1术和普遍技术。10010110101111000010101000101010010110101110010010010010图15计算机是靠0和1来存储信息vehicles—Applicationofpredictive26262-5,这是技术数字化手段解决硬件失效预测的标准。管理方面上，相信汽车功5A5ETECH系统安全第三章汽车功能安全人才现状那么,功能安全行业的人才现状是怎样的?基于这个问题，编辑小组抽取了超过200个功能安全从业者样本做了多维度的调研。本章将从功能安全从业人员的基础画像、技术画像、未来偏好及功能安全行业的市场环境的角度，通过不同的图表，为大家呈现功能安全行业的从业者与市场现状，并做简要分析，以供参考。3.1从业人员的基础画像汽车安全功能从业人员男性居多，性别比例约为1:6;从学历分布来看，硕士占最大比重，达到61.2%;其次是本科及以下，占比33.3%;博士的比重约为5%;意味着汽车功能安全从业者多为高学历者；表3从业人员男女比例■男■女表4从业人员的学历分布从业人员的学历专业大多集中在车辆工程与电子工程，与车辆相关及电子相关的专业流入行业内更多，大多数行业从业者的专业与行业要求的技术本身匹配度较高；从薪资角度来看，功能安全顶级人才是14%,比较符合二八定律中拔尖的那部分人是10%,他们的年薪是百万以上，能够在企业独当一面，包括搭建功能安全体系和流程。中位薪资水平普遍在40-70多万，占比接近70%,这部分人有独立负责功能安全中部分模块的可能。30万以下的从业者，大多可能刚毕业，或刚工作2-3年，表5从业人员的学习专业集成电路设计表6从业人员的薪资范围100万以上从功能安全从业年限的角度来看，资深从业者较多，新入较大一部分人为转行做功能安全，大多数工作年限超过5年，具备了一定行业经验。表7从业年限与工作年限占比 6行业的跳槽率平均2年/次；新势力互联网造车以来，智能驾驶算法和软件方向涌入好行情的时候，很多从事智能驾驶算法的人，已达到几个月一跳的情况。表8从业人员的稳定性(跳槽频率)3.2从业人员的技术画像从功能安全从业者负责的产品方向来看，负责智能驾驶产品方向的人最多，占比接近30%。其次是新能源三电方向占比接近20%,人数分布最少的产品方向是智能座舱7.8%和操作系统约5.8%。智能驾驶方向的人最多，主要原因可能是产品方向的热门属性，另一方面可能是由于智能驾驶产品复杂度较高，而智能座舱对功能安全的需求和要求本身不高。表9从业前的业务方向表10从事产品方向从行业使用工具来看，安全分析类工具更加获得从业人员的青睐，使用率偏高，也说明了此类工具的重要程度。表11行业主流工具分布·功能安全管理，例如安全计划安全分析，例如FTA/FMEA/FMEDA·概念及系统阶段设计，例如HARA、FSC·软件/硬件相关的开发3.3从业人员的未来偏好从功能安全从事产品来看，ECU和整车层级开发是最热门的方向；从业人员的企业偏好较为平均，相对而言除了咨询公司较弱外，其余选择均无明显差距。表12热门产品表13从业人员的企业偏好·ECU产品从未来的角度来看.清晰可见的是超过71%的人愿意继续从事功能安全的T作.较好。表14行业从业稳定性接近一半的从业人员集中在零部件/算法公司，约三分之一的从业人员服务于整车厂，芯片公司的从业人员则不超过20%,最少的是咨询与认证相关公司；表15所在企业分布对干企业的功能安全人员配置.有2个关键数据值得关注：所在企业功能安全团队人数超过20人的占了三分之一，根据业内调研分析，这部分应该集中于主机厂；还有三分之一的企业功能安全团队人数只有5个人以内，应该集中于零部件企业或算法公司。从团队人数配置来看，零部件企业普遍不重视功能安全。表16所在企业的功能安全人员数量从功能安全在企业的独立性来看，有接近一半的企业并不重视功能安全；同时可以看出，更多的企业没有功能安全意识，重视程度不高，因此本应倾向的资源配置和支持无法达到要求，其中包括人员配置、财务预算等，这直接说明了企业对功能安全的重视程度不够。表17所在企业是否具有独立的功能安全部门或功能安全委员会表18所在公司是否有独立于项目的功能安全从业人员表19所在企业推动功能安全产品开发时的阻碍为了更客观、直观的了解本章所展现的数据，本节特邀请了国内功能安全相关专业学术带头人、龙头企业功能安全负责人等资深人士，就功能安全行业及从业者的相关话题进行了访谈。以下为访谈结果的整理摘选。问：功能安全的价值是什么?答：价值主要体现在三方面：对企业的价值：控制产品安全风险，对终端用户生命安全负责，维护品牌形象和口碑；对产品的价值：提成产品安全设计，增强产品安全属性和鲁棒性；对从业者价值：惠及社会与人群安全的自我价值实现，较不错的经济汇报。此外，无论对于企业、产品、用户、还是从业者，可以统一到“完整性”这一个核心点上来。问：如果与功能安全相关的企业或产品不执行功能安全相关的工作，会对其产生什么5A5ETECH第四章主要领域功能安全实践5A5ETECH挡位管理系统挡位管理系统U/NW驱动电机高压电池主动紧急制动车辆驱动车轮车辆踏板的基本功能。借鉴标准SAEJ2980-2015,整车控制系统的基本功能概述如表20所表20整车控制系统的基本功能示例列表提供系统启/停选择向表示为：前进(D),后退(R),空挡(N)和驻车(P),提供驾驶员需求的驱动包括纯发动机、纯电机或混合驱动力矩，并不代表底盘制动系统的机械制动力按照国标的定义，驱动电机系统(以下简称电驱)是指安装在电动汽车上，为车制器，通过CAN(ControllerAreaNetwork)总线进行连接。现在的电机及电机控制器通常被包含在多合一集成的动力总成产品中。最多的器(DCDC)、双向车载充电器(OBC)、高压配电箱(PDU)集成，甚至有的将电池5A5ETECH·全混电动汽车(FHEV)(8)充电控制：慢充和快充控制：(9)电池一致性控制：采集单体电压信息、采用均衡方式使电池达到一致性，均衡方(12)信息存储：存储关键数据如SoC、SoH、充放电安时数、故障码等。更简要的图19示如下：电池历史信息存储电池历史信息存储电池充电控制管理过温保护闭充过放保护団流保护电池的老化程度评估电池电流测电池电国监测电池管理系统1的加速意图2非预期加速丢失34非预期减速丢失5非预期纵向移动车辆静止停车过程，突然行车移动6非预期纵向移动丢失7非预期反方向的纵向移动考虑到不同企业对可控度的评估方法或原则不一致，安全目标的ASIL 123避免非预期移动4避免移动反向51防止电机无法输出驱动转矩A2防止电机非预期的输出驱动转矩过大C发出警示，终止转矩输出3防止电机转矩输出方向反向C发出警示，终止转矩输出4防止电机非预期的输出驱动转矩C发出警示，终止转矩输出5防止电机无法输出制动转矩A6防止电机非预期的输出制动转矩过大C发出警示，终止转矩输出7防止电机非预期的输出制动转矩C发出警示，终止转矩输出单单Ca11.电池单体oIc.水性体系鱼模材料的主要粘合剂矿展内在(日志记录) 输电线…通信线略一补给线表24电池系统的安全目标及其属性1高压电池必须防止自身起火、爆炸2高压电池必须防止电芯电压过压3高压电池必须防止电芯模组或电池包电压过压4高压电池必须防止电流过流56高压电池必须防止自身绝缘异常12秒7高压电池必须保证自身高压互锁正常1秒8高压电池必须保证自身继电器控制正常B9高压电池必须保证碰撞检测正常1秒5A5ETECH码a用理提青0·逻辑运算单元(ArithmeticandLogicUnit,以下简称ALU)保护：运算单元5机后相病其地力通担运物控上片称电控名叶持九位置蛙a4.1.3.2电驱动系统对于国标中的安全状态终止转矩输出，当前市面上主要有两种实现方式：Circuit产生的瞬态大电流会导致永磁电机中的永磁体退磁。可以理解成此时为了达功能安全策略和解决方案(介绍过压/欠压/过流)CMC采集单体电芯电压，并将电压信号给到BMU(BatteryManagementUnit),BMU内部双核，进行安全电压限制判断(过压限值或欠压限值),如果违反安全限制，则在高边/低边控制器触发继电器控制信号，驱动继电器断开，达到安全表25电池管理系统安全需求：过压欠压安全电器边驱动WC-一级报警：>4.1(v),或小于2.7V护制号护制号号电物制号电物制电5A5ETECH全当车在行驶/充电工况时，每隔100ms,BMU必须检测高压电池电流是否超过安全阈值。C*电池包过流条件：按项目标定4.1.4功能安全相关标准ADAS(AdvancedDriverAssistanceSyst测等5A5ETECH4.2.1.2典型系统方案及关键组件介绍车辆5功感知车辆筑通预商4.2.1.2.2决策规划4.2.1.2.3控制执行Design,verificationandvalidation4.2.2.2功能安全策略4.2.2.2.2自动驾驶系统的安全-可用性和可靠性4.2.2.2.3预期功能安全对于智能驾驶系统安全来说，影响系统安全的因素不能被传统功能安全ISO●在功能设计预期内的场景，发生功能介入(正常工作)●在非功能设计预期的场景，发生功能介入(误触发)·在功能设计预期内的场景，发生功能不介入(漏触发)·在非功能设计预期的场景，发生功能不介入(正常关闭)4.2.3智驾功能安全面临的挑战·表27智能座舱安全目标1外后视镜延时、卡带2外后视镜亮度过低3时提醒驾驶员接管或指示▲4期提示驾5员接管状态监控失效4.3.3智能座舱相关的国标和行业标准4.3.4座舱系统主流的安全策略和方案座舱交互模块控制器1控制器2图31智能座舱安全策略2触觉、视觉、听觉是最常见，如图32所示。针对驾驶员提醒类的功能安全要求，仪表(IP)视觉灯光(方向盒灯带。氛围灯)点剩(车辆运动状态)图32常见接管HMI提醒方式5A5ETECH4.3.5.1DMS安全策略4.3.5.2车控相关安全策略座舱中，对其提出了更大的算力需求。在业内常用的例如8155A5ETECH(1)无功能安全阶段——2000年以前(2)功能安全起步发展阶段——2000年至2011年2000年5月，国际电工委员会正式发布了IEC61508《电气/电子/可编程电子(3)功能安全发展成熟阶段——2011年至今1防止在夜晚驾驶时突然丢失前照2防止丢失所有的制动灯ASILB3防止转向灯与实际的转向灯请求4防止转向灯非预期丢失ASILA5防止远光灯非预期开启且不能关6防止位置灯非预期丢失ASILA7防止整车低压电源非预期掉电8防止前雨刮非预期丢失ASILA9ASILD4.4.1.3.1整体安全架构车控系统一般采用功能软件为QM,即不承接安全等级，而在功能软件之下部署一个功能软胶校验模块来承接安全等级的架构方案，方案示意如下图33所示：qq(2)Level2层级——功能逻辑校验这一层级安全等级为ASILB,在满足安全目标的前提下功能尽量简化，对自动控制指令。4.4.1.6.2车控功能软件架构变更带来的挑战5A5ETECH纵向自由度(前后运动)横向自由度(左右运动)垂向自由度(上下运动)汽车悬架系统是连接车轮(或车桥)和车架(或车身)的一套传力连接机构的总4.5.2危害分析与风险评估纵向自由度(前后运动)非预期加速丢失非预期减速丢失横向自由度(左右运动)非预期转向5A5ETECH非预期转向丢失垂向自由度(上下运动)非预期垂向运动(导致错误的纵向或横向运动)ASIL等级，国内外的相关标准中提供了具有参考价值的分析，其中J298012345避免非预期转向67车辆，如果底盘系统(如制动系统)被定义成failoperational的系统，那么当系统5A5ETECH对于ECU的安全设计，双核锁步(DualCorewithLockStep)也是常见的安全设计方案，以避免控制器芯片故障导致计算异常从而引起风险。在一个芯片中包含两个相同的处理器，一个作为master,一个作为slave,它们执行相同的代码并严格同步，master可以访问系统内存并输出指令，而slave不断执行在总线上的指令(即由主处理器获取的指令)。slave产生的输出，包括地址位和数据位，发送到比较逻辑模块，由master和slave总线接口的比较器电路组成，检查它们之间的数据、地址和控制线的一致性。检测到任何总线的值不一致时，认为其中一个CPU上存在故障，系统降级进入安全状态。FL图34双核锁步的安全设计方案而对于ECU内存故障，通常采取ECC作为安全措施来进行故障诊断。当模块A将数据传递给模块B时，为了保证数据传输的正确性，在传输的过程中会通过ECC产生一个校验码，该校验码始终伴随原始的数据传输。一旦模块B接收到数据和校验码之后便会进行数据校验，如果发现数据某个bit错误，ECC能够对单bit故障进行纠正以及对多bit故障进行识别，识别故障后会将报警信息传递给控制器经进入安4.5.4功能安全相关标准4.5.5未来展望的挑战，以确保系统之间的控制不会出现冲突，也不会出现两不管的情况，5A5ETECH片本身没有做功能安全方面的考量，部分情况下也可以通过系统层/硬件架构层级的册查确认品可性程样片画片件图35芯片流程开发不同阶段对应的功能安全活动需求(如usecase,f