基于ISO 26262標(biāo)準(zhǔn)的的功能安全產(chǎn)品架構(gòu)設(shè)計(jì)

01本文概述

隨著汽車(chē)行業(yè)電氣化智能化的快速發(fā)展，功能安全標(biāo)準(zhǔn)ISO 26262逐漸被各大汽車(chē)制造企業(yè)及零部件供應(yīng)商重視。近期，《智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入指南》明確將功能安全和預(yù)期功能安全作為汽車(chē)制造和生產(chǎn)的準(zhǔn)入要求，體現(xiàn)了國(guó)家對(duì)于汽車(chē)安全的重視，功能安全的實(shí)施與否已經(jīng)成為了衡量汽車(chē)制造企業(yè)及零部件供應(yīng)商造車(chē)能力的關(guān)鍵性指標(biāo)。

然而，功能安全標(biāo)準(zhǔn)的發(fā)布和實(shí)施歷史并不悠久。根據(jù)筆者觀察，尤其國(guó)內(nèi)大部分汽車(chē)制造和零部件供應(yīng)商企業(yè)，基本從2014年起才開(kāi)始關(guān)注功能安全設(shè)計(jì)。因此功能安全在國(guó)內(nèi)的發(fā)展其實(shí)還遠(yuǎn)未達(dá)到成熟期，可以說(shuō)目前依然處于概念建立期或者快速發(fā)展期。

因此，面對(duì)日新月異的汽車(chē)電子電氣系統(tǒng)的發(fā)展，如何正確地理解或者考慮該產(chǎn)品的安全設(shè)計(jì)給很多同行帶來(lái)了困惑。對(duì)于一個(gè)系統(tǒng)，架構(gòu)設(shè)計(jì)通常決定了該系統(tǒng)的整體性能表現(xiàn)，而功能安全標(biāo)準(zhǔn)對(duì)架構(gòu)設(shè)計(jì)的要求及安全分析方法論引用比較復(fù)雜，如何在系統(tǒng)設(shè)計(jì)之初，合理并充分的考慮其安全設(shè)計(jì)成為了當(dāng)前很多同行在做安全設(shè)計(jì)的一個(gè)難點(diǎn)。

內(nèi)容框架：

安全架構(gòu)設(shè)計(jì)必須了解的術(shù)語(yǔ)及安全方法說(shuō)明

E-GAS三層架構(gòu)的理解及使用約束

ADAS系統(tǒng)安全架構(gòu)設(shè)計(jì)及安全等級(jí)的分解

02安全架構(gòu)設(shè)計(jì)必須了解的術(shù)語(yǔ)及安全方法說(shuō)明

在ISO 26262的第三部分，第四部分及第九部分，提到了很多關(guān)于系統(tǒng)或者相關(guān)項(xiàng)的安全術(shù)語(yǔ)，包括故障類型判斷，安全分解策略，故障控制/避免措施，等。如何正確地理解并應(yīng)用這些術(shù)語(yǔ)及背后的方法論，對(duì)于安全架構(gòu)設(shè)計(jì)尤為重要。本文主要針對(duì)涉及到系統(tǒng)安全架構(gòu)設(shè)計(jì)的必要術(shù)語(yǔ)進(jìn)行一些系統(tǒng)性闡述，幫助大家理解其中關(guān)系。

故障控制措施（Fault control）和故障避免措施（Fault avoidance）

在功能安全標(biāo)準(zhǔn)或者一些教學(xué)中，經(jīng)常會(huì)提到系統(tǒng)性失效和隨機(jī)硬件失效兩個(gè)概念作為電子電氣系統(tǒng)的兩大失效來(lái)源。在安全設(shè)計(jì)時(shí)，我們應(yīng)當(dāng)理解，并非所有的失效都能夠通過(guò)安全機(jī)制來(lái)診斷或者控制，例如，基于系統(tǒng)層面FMEA或者FTA分析，導(dǎo)出可能違背安全目標(biāo)的可能失效來(lái)源后，需要基于具體的失效原因制定對(duì)應(yīng)的安全措施。

對(duì)于某個(gè)器件的隨機(jī)硬件失效或者某個(gè)功能的系統(tǒng)性失效，如果可以通過(guò)特定安全機(jī)制進(jìn)行診斷或者控制達(dá)到安全狀態(tài)的，我們把這一類安全措施歸納為故障控制措施。(本文提到的故障控制措施包含故障診斷以及容錯(cuò)（fault tolerance）)

對(duì)于某個(gè)算法或者安全控制邏輯設(shè)計(jì)如果沒(méi)有可以采用的安全機(jī)制能夠?qū)λ侠硇赃M(jìn)行診斷及控制，那么就應(yīng)該功能實(shí)現(xiàn)本身設(shè)計(jì)為對(duì)應(yīng)的安全等級(jí)以對(duì)該功能的系統(tǒng)性失效進(jìn)行覆蓋，我們把它歸納為故障避免措施。

需要注意的是，從安全分解的角度，對(duì)于故障控制措施的安全需求，我們通常無(wú)需考慮進(jìn)一步分解，對(duì)該功能直接進(jìn)行對(duì)應(yīng)安全級(jí)別的設(shè)計(jì)即可；對(duì)于故障避免措施的安全需求，如果有必要，我們才需要考慮進(jìn)行進(jìn)一步ASIL分解，進(jìn)行冗余設(shè)計(jì)。（本文提到的故障避免措施，僅指代在功能設(shè)計(jì)時(shí)應(yīng)當(dāng)考慮的通過(guò)符合該功能安全設(shè)計(jì)流程和方法用于降低故障發(fā)生概率，其廣泛含義還包含各階段的安全分析，確認(rèn)等標(biāo)準(zhǔn)要求的安全活動(dòng)。）

安全分解（Decomposition）和分配（Allocation）

對(duì)于安全分解和分配，通常在上游安全需求往下游設(shè)計(jì)細(xì)化時(shí)考慮。其中，安全分解并非是必須的，而安全分配則是必須的。在考慮安全分解或者分配時(shí)，需要有一定程度細(xì)化的系統(tǒng)初始架構(gòu)，包括物理和邏輯架構(gòu)。結(jié)合系統(tǒng)安全分析FTA, FMEA識(shí)別的故障控制措施或者故障避免措施，將安全相關(guān)的診斷或者控制需求分配到架構(gòu)元素中去。

進(jìn)行安全分配和分解考慮時(shí)需要注意：

分配最簡(jiǎn)原則：如果對(duì)于某個(gè)安全目標(biāo)或者故障控制措施，能夠由系統(tǒng)架構(gòu)中的一個(gè)單獨(dú)元素完成。則將該安全功能完全分配到該元素中去，并保持該功能元素與其他非安全功能之間的獨(dú)立性。

分配最后原則：如果對(duì)于某個(gè)安全目標(biāo)或者故障控制措施，能夠由一條安全關(guān)鍵路徑的最后一個(gè)元素來(lái)實(shí)施，那么可以將該安全功能分配到該路徑的最后一個(gè)元素中去。需要保證該元素對(duì)安全需求的實(shí)現(xiàn)不受前級(jí)輸入影響。

分解最大可用性原則：充分利用初始架構(gòu)中已經(jīng)存在的冗余元素進(jìn)行安全需求的分解，而不是去新增新的冗余元素。這里的冗余元素不局限于相同的傳感器或者控制器執(zhí)行機(jī)構(gòu)等，只要兩者之間有固定的算法或者合理性關(guān)系皆可以考慮構(gòu)成分解。

分解最簡(jiǎn)原則：考慮安全分解時(shí)，如果實(shí)現(xiàn)安全目標(biāo)或者故障避免措施的診斷或者實(shí)施過(guò)程比較復(fù)雜，那么采用分解策略時(shí)，應(yīng)當(dāng)采取更為簡(jiǎn)單有效的安全設(shè)計(jì)對(duì)預(yù)期的功能進(jìn)行分解，并給其分配更高的安全等級(jí)，通常推薦QM(X)+X(X)方式進(jìn)行分解。

冗余（Redundant）和獨(dú)立性(Independent) 設(shè)計(jì)

基于標(biāo)準(zhǔn)描述，進(jìn)行安全分解后，需要保證分解后的兩個(gè)功能具備對(duì)上級(jí)安全需求的實(shí)現(xiàn)的冗余并且完全獨(dú)立。

冗余理解為：分解后的兩個(gè)或者多個(gè)功能能夠分別獨(dú)立地完成上游安全需求。注意，通常預(yù)期功能和其安全機(jī)制不能直接構(gòu)成冗余，除非該安全機(jī)制能夠完全執(zhí)行預(yù)期功能的安全要求并能獨(dú)立的控制系統(tǒng)進(jìn)入安全狀態(tài)。

例如，MCU的功能控制與外部看門(mén)狗不能構(gòu)成安全分解的關(guān)系，因?yàn)橥獠靠撮T(mén)狗并不能取代MCU單獨(dú)的完成所有安全診斷和控制任務(wù)；而對(duì)于CAN通訊的E2E安全機(jī)制可以與CAN總線協(xié)議的診斷功能構(gòu)成安全分解，因?yàn)镋2E機(jī)制可以通過(guò)CRC和Rolling Counter覆蓋信號(hào)傳輸過(guò)程中的信號(hào)安全診斷要求，并且獨(dú)立于CAN總線協(xié)議使系統(tǒng)進(jìn)入安全狀態(tài)。（E2E診斷要求可以作為安全控制措施成為FSR，而對(duì)通訊整體不提安全要求，這種情況下則無(wú)需考慮分解，將該控制措施直接按照對(duì)應(yīng)的安全級(jí)別實(shí)施即可。）

獨(dú)立性理解為：分解后的兩個(gè)或者多個(gè)功能之間不存在共同的導(dǎo)致初始安全需求被違背的失效來(lái)源或者該類型的失效能夠被合理的安全機(jī)制覆蓋；

注意，標(biāo)準(zhǔn)不僅要求對(duì)分解后的安全功能之間做共因失效分析，用于評(píng)估安全機(jī)制的有效性也需要做分析（預(yù)期功能與安全機(jī)制之間的獨(dú)立性）。

要素共存的需要，如果在系統(tǒng)或者軟件層面存在不同安全級(jí)別或非安全的功能運(yùn)行在同一塊資源區(qū)間，則需要保證低安全等級(jí)的功能失效不會(huì)導(dǎo)致高安全等級(jí)的功能失效，或者該失效類型能夠被合理的安全機(jī)制覆蓋。

以上獨(dú)立性的要求，可以被概括為避免共因失效（Common Cause Failure）和避免級(jí)聯(lián)失效（Cascading Failure）,這兩類失效通常由FTA及FFI分析后識(shí)別，通過(guò)DFA分析才能確認(rèn)分解后的元素完全獨(dú)立。

失效安全（Fail safe）

失效靜默（Fail silent）

失效運(yùn)行（Fail operational）

及緊急運(yùn)行（Emergency operation）

在考慮不同產(chǎn)品的功能失效時(shí)，需要基于產(chǎn)品功能的可用性要求，在行業(yè)內(nèi)，經(jīng)常會(huì)有如下幾個(gè)關(guān)于安全架構(gòu)概念階段的名詞，用于定義產(chǎn)品架構(gòu)級(jí)別的失效屬性，從而判斷該采取哪一種設(shè)計(jì)作為安全狀態(tài)。

失效安全（Fail safe）：是指一個(gè)系統(tǒng)失效后特定功能關(guān)閉能夠讓系統(tǒng)維持在安全狀態(tài)。例如，對(duì)于發(fā)動(dòng)機(jī)管理系統(tǒng)的避免非預(yù)期扭矩輸出這個(gè)安全目標(biāo)，可以考慮采用關(guān)閉發(fā)動(dòng)機(jī)扭矩輸出作為安全狀態(tài)?；蛘邔?duì)于L2及以下的自動(dòng)駕駛系統(tǒng)功能，也通?？紤]采用關(guān)閉該特定功能作為安全狀態(tài)。

失效靜默（Fail silent）：失效靜默類似于失效安全，但是通常理解為系統(tǒng)失效后的一種狀態(tài)屬性，失效靜默表示系統(tǒng)失效后對(duì)外表現(xiàn)為靜默狀態(tài)，不對(duì)其他的功能和輸出產(chǎn)生干擾。該詞匯用于描述功能失效后的影響，不常用于安全狀態(tài)定義。

失效運(yùn)行（Fail operational）：如果一個(gè)安全狀態(tài)無(wú)法通過(guò)功能關(guān)閉來(lái)實(shí)現(xiàn)，而是要保證系統(tǒng)的可用性，那么就需要選擇失效運(yùn)行作為其安全狀態(tài)。例如對(duì)于L4及以上的自動(dòng)駕駛系統(tǒng)，如果設(shè)計(jì)要求系統(tǒng)失效后車(chē)輛依然可以按照既定的操作進(jìn)行自動(dòng)駕駛，則需要設(shè)計(jì)一套冗余的控制系統(tǒng)，在主控制系統(tǒng)失效后，F(xiàn)allback系統(tǒng)能夠及時(shí)接管車(chē)輛在既定的ODD運(yùn)行。類似失效運(yùn)行的概念，還有失效降級(jí)（fail degraded, fail partial）,通常對(duì)于有失效后可用性要求，又不需要完整的冗余接管的系統(tǒng)，例如，對(duì)于車(chē)輛燈光控制系統(tǒng)的防止近光燈非預(yù)期的完全關(guān)閉，這個(gè)安全目標(biāo)需要考慮通過(guò)雙電源和日間行車(chē)燈對(duì)近光燈的冗余，保證失效后至少有一個(gè)近光燈或者日間行車(chē)燈對(duì)路面進(jìn)行照明。

緊急運(yùn)行（Emergency operation）：這個(gè)術(shù)語(yǔ)不等同于失效運(yùn)行。緊急運(yùn)行是指如果安全狀態(tài)無(wú)法在可接受的時(shí)間內(nèi)實(shí)現(xiàn)，則需要定義一個(gè)緊急操作，讓系統(tǒng)在FTTI時(shí)間之內(nèi)能夠順利的過(guò)渡到安全狀態(tài)。這里的安全狀態(tài)可能是指fail silent或者fail operational。例如，對(duì)于L3級(jí)別的自動(dòng)駕駛系統(tǒng)，如果MRC作為系統(tǒng)的安全狀態(tài)（fail silent）,那么fallback系統(tǒng)的MRM功能則可以定義為緊急運(yùn)行。

限于篇幅，對(duì)于概念和系統(tǒng)階段其他的術(shù)語(yǔ)筆者不作展開(kāi)，主要闡述在安全架構(gòu)設(shè)計(jì)時(shí)應(yīng)當(dāng)考慮的幾個(gè)基本點(diǎn)，即：

如何分配安全需求；

如何考慮安全分解；

如何考慮安全狀態(tài)設(shè)計(jì)。

在開(kāi)展具體的安全架構(gòu)設(shè)計(jì)時(shí)，還需要充分地參考安全標(biāo)準(zhǔn)具體要求。

03E-GAS三層架構(gòu)的理解及使用約束

早期從事功能安全的同行對(duì)汽油發(fā)動(dòng)機(jī)管理系統(tǒng)的E-GAS三層安全架構(gòu)應(yīng)該都有了解。雖然該架構(gòu)并非為實(shí)現(xiàn)功能安全而專門(mén)設(shè)計(jì)，但是該架構(gòu)提供了一個(gè)很好的應(yīng)用安全分解的解決方案?；谀壳笆袌?chǎng)上的類似電控系統(tǒng)設(shè)計(jì)，該架構(gòu)基于Lockstep Core設(shè)計(jì)可以支持到最高ASIL D級(jí)別的設(shè)計(jì)要求。

圖3.1-E-GAS三層安全架構(gòu)帶LC示意圖

對(duì)于三層架構(gòu)，如果運(yùn)用安全分解策略，我們應(yīng)該要注意：

L2層級(jí)的安全控制功能的輸入需要獨(dú)立于L1層級(jí)，以保證兩者的獨(dú)立性

L2可以對(duì)L1層級(jí)的輸出信號(hào)進(jìn)行診斷，診斷輸出控制應(yīng)該獨(dú)立于L1的輸出控制，能夠直接對(duì)系統(tǒng)進(jìn)行關(guān)斷控制，以保證安全狀態(tài)控制的獨(dú)立性

L2 也可以通過(guò)輸入信號(hào)進(jìn)行獨(dú)立的功能診斷，診斷輸出控制應(yīng)該獨(dú)立于L1的輸出控制，能夠直接對(duì)系統(tǒng)進(jìn)行關(guān)斷控制，以保證安全狀態(tài)控制的獨(dú)立性

外部監(jiān)控設(shè)備需要能夠獨(dú)立的對(duì)系統(tǒng)進(jìn)行關(guān)斷控制而不必依賴于L1或者L2的控制指令，用于避免L1和L2的相關(guān)性失效。

在考慮應(yīng)用E-GAS架構(gòu)時(shí)，對(duì)其安全分解策略并無(wú)固定要求，但是通常推薦采用QM(X) + X(X)的分解策略。主要考慮：

如果系統(tǒng)功能設(shè)計(jì)已經(jīng)比較成熟，而引入功能安全后，對(duì)該系統(tǒng)進(jìn)行功能重構(gòu)復(fù)雜程度高。因此采用QM(X) + X(X)的分解能夠讓系統(tǒng)設(shè)計(jì)本身保持QM的等級(jí)，而只是對(duì)安全要求進(jìn)行冗余的設(shè)計(jì)，這樣能夠最小化的影響功能的穩(wěn)定性。

系統(tǒng)功能安全需求數(shù)量不多，并且該系統(tǒng)能夠采用相對(duì)簡(jiǎn)單的策略對(duì)故障避免措施進(jìn)行額外的冗余設(shè)計(jì)。這樣能夠最小化地增加開(kāi)發(fā)成本。

L2 也可以通過(guò)輸入信號(hào)進(jìn)行獨(dú)立的功能診斷，診斷輸出控制應(yīng)該獨(dú)立于L1的輸出控制，能夠直接對(duì)系統(tǒng)進(jìn)行關(guān)斷控制，以保證安全狀態(tài)控制的獨(dú)立性

例如，傳統(tǒng)的三電系統(tǒng)，發(fā)動(dòng)機(jī)管理系統(tǒng)，變速箱控制系統(tǒng)及車(chē)身控制系統(tǒng)皆可以采用上述架構(gòu)。通過(guò)E-GAS三層架構(gòu)，對(duì)安全的功能和系統(tǒng)控制功能進(jìn)行合理的分解，再配合目前主流的英飛凌AURIX（帶Lockstep）+SBC(ASIL D)硬件解決方案，能夠高效快速的實(shí)現(xiàn)高等級(jí)的功能安全設(shè)計(jì)。除此之外，對(duì)于VCU, MCU等新能源汽車(chē)上的一些控制器，通過(guò)E-GAS三層架構(gòu)來(lái)實(shí)現(xiàn)ASIL D等級(jí)的設(shè)計(jì)也是很多主機(jī)廠和供應(yīng)商的優(yōu)先選擇。

需要注意的是，對(duì)于一個(gè)復(fù)雜的新系統(tǒng)開(kāi)發(fā)，或者系統(tǒng)功能安全需求數(shù)量大且不易做安全分解的，則不建議首先采用E-GAS三層架構(gòu)。例如，對(duì)于自動(dòng)駕駛系統(tǒng)的域控制器及備份控制器開(kāi)發(fā)，安全需求除了MCU本身控制功能之外，對(duì)于感知，定位和規(guī)劃算法均有涉及，而SoC和MCU之間很難采取統(tǒng)一的安全監(jiān)控架構(gòu)。因此，即使采用E-GAS架構(gòu)實(shí)施安全分解策略后，也需要做大量冗余功能及獨(dú)立性設(shè)計(jì)，并不能獲得很好的時(shí)間或者成本的收益。對(duì)于這樣的系統(tǒng)，可以考慮直接對(duì)安全的功能路徑進(jìn)行對(duì)應(yīng)級(jí)別的開(kāi)發(fā)，并做好獨(dú)立性設(shè)計(jì)。

04ADAS系統(tǒng)安全架構(gòu)設(shè)計(jì)及安全等級(jí)的分解

在考慮ADAS系統(tǒng)的安全設(shè)計(jì)時(shí)，應(yīng)當(dāng)首先考慮該系統(tǒng)的自動(dòng)駕駛等級(jí)以幫助判斷該系統(tǒng)安全狀態(tài)，參考SAE J3016定義：

圖4.1-SAE J3016自動(dòng)駕駛功能等級(jí)定義

基于定義來(lái)看，如果一個(gè)ADAS功能定義在SAE LEVEL 2及以下，則駕駛員需要時(shí)刻監(jiān)督系統(tǒng)的運(yùn)行用于保證駕駛安全。那么在定義該系統(tǒng)安全狀態(tài)時(shí)，可以考慮采用失效靜默架構(gòu)，當(dāng)系統(tǒng)失效時(shí)，對(duì)功能進(jìn)行關(guān)閉即可滿足該要求。

而對(duì)于SAE LEVEL 3級(jí)別的ADAS功能，由于系統(tǒng)定義在發(fā)生失效后的一定時(shí)間內(nèi)（通常規(guī)定10s及以上），系統(tǒng)仍然需要正確的執(zhí)行DDT，或者進(jìn)行功能降級(jí)運(yùn)行狀態(tài)。因此在考慮該系統(tǒng)的安全架構(gòu)時(shí)，需要設(shè)計(jì)緊急操作或者失效運(yùn)行功能（L4及以上）。當(dāng)主控制器發(fā)生安全相關(guān)失效而又無(wú)法進(jìn)入安全狀態(tài)時(shí)，備份系統(tǒng)至少需要在規(guī)定時(shí)間以內(nèi)保持動(dòng)態(tài)駕駛?cè)蝿?wù)并提示駕駛員接管。

值得注意的是，SAE 并沒(méi)有要求自動(dòng)駕駛系統(tǒng)設(shè)計(jì)必須要做完全的失效運(yùn)行，只要求接管系統(tǒng)在系統(tǒng)失效時(shí)一定時(shí)間內(nèi)能夠讓車(chē)輛到達(dá)最小風(fēng)險(xiǎn)狀態(tài)。因此在考慮ADAS架構(gòu)設(shè)計(jì)時(shí)，不一定需要考慮系統(tǒng)失效時(shí)還能執(zhí)行完整DDT的能力，只需要考慮接管系統(tǒng)是否有能力通過(guò)功能降級(jí)及駕駛員未接管后由緊急運(yùn)行使車(chē)輛最小風(fēng)險(xiǎn)狀態(tài)即可。

L3及以上級(jí)別自動(dòng)駕駛系統(tǒng)安全等級(jí)評(píng)估

從功能安全的角度出發(fā)，由于高安全等級(jí)自動(dòng)駕駛系統(tǒng)允許駕駛員脫眼或者脫手，在評(píng)估某系統(tǒng)的功能安全目標(biāo)時(shí)，部分危害事件S,E,C會(huì)評(píng)定為最高分，繼而得到ASIL D級(jí)別的安全目標(biāo)。而當(dāng)安全目標(biāo)被違背時(shí)，系統(tǒng)又無(wú)法通過(guò)功能靜默直接進(jìn)入安全狀態(tài)，因此對(duì)于控制信號(hào)的可用性設(shè)計(jì)也會(huì)要求滿足ASIL D。

當(dāng)前市場(chǎng)上ADAS系統(tǒng)的設(shè)計(jì)有很多，各家都在自研架構(gòu)，但是整體的功能安全目標(biāo)及最高級(jí)別通常均為ASIL D。為了實(shí)現(xiàn)最小成本的解決方案，我們需要從系統(tǒng)架構(gòu)層級(jí)，在滿足安全要求的前提下盡量簡(jiǎn)化系統(tǒng)的設(shè)計(jì)。因此建議在基于SAE標(biāo)準(zhǔn)下的系統(tǒng)架構(gòu)要素，用于功能安全需求的分解。例如，將fallback系統(tǒng)與Main系統(tǒng)進(jìn)行冗余，將控制指令可用性失效需求分解由fallback和Main系統(tǒng)實(shí)現(xiàn)，考慮兩者之間的獨(dú)立性設(shè)計(jì)，及可以將部分的安全指標(biāo)降級(jí)。本文將引入一個(gè)抽象的ADAS系統(tǒng)架構(gòu)，用于描述功能安全ASILD級(jí)別在架構(gòu)上的分解及分配關(guān)系。假設(shè)該ADAS架構(gòu)抽象為如下圖：

圖4.2-L3+ADAS自動(dòng)駕駛系統(tǒng)抽象架構(gòu)

注意：在圖4.2 架構(gòu)中，為實(shí)現(xiàn)ADAS域控制指令的獨(dú)立性，實(shí)現(xiàn)安全分解，將ADAS指令仲裁功能分配給底盤(pán)動(dòng)力域控制器。在實(shí)際項(xiàng)目中，指令仲裁功能也可能由ADAS Main控制器實(shí)現(xiàn)，通過(guò)一定的機(jī)制實(shí)現(xiàn)自動(dòng)指令轉(zhuǎn)換，基于此結(jié)構(gòu)，運(yùn)動(dòng)域控可以不需要；另外指令仲裁功能也可以集成在底盤(pán)域控系統(tǒng)中。對(duì)于執(zhí)行器端的冗余設(shè)計(jì)，可以基于不同的ADAS功能和安全降級(jí)的要求進(jìn)行必要冗余，而非橫縱向完全冗余。執(zhí)行器端具體方案在本文不做詳細(xì)展開(kāi)。

如果定義ADAS系統(tǒng)的整體安全目標(biāo)簡(jiǎn)化為：

防止非預(yù)期的不能提供控制指令，ASIL D：

基于圖4.2，F(xiàn)allback系統(tǒng)作為Main系統(tǒng)的冗余系統(tǒng)，通過(guò)完全的冗余和獨(dú)立可以將安全指令的可用性需求分解為ASIL B（D）即：

1. Main 系統(tǒng)需要提供正確的橫向和縱向控制指令A(yù)SIL B（D）

2. Fallback 系統(tǒng)需要提供正確的橫向和縱向控制指令A(yù)SIL B（D）

3. Main 系統(tǒng)和Fallback系統(tǒng)的控制指令需要完全獨(dú)立 ASIL D（獨(dú)立性要求）

需要注意的是，F(xiàn)allback和Main控制器需要”熱冗余”。熱冗余是指在Main運(yùn)行過(guò)程中，F(xiàn)allback也應(yīng)當(dāng)同時(shí)運(yùn)行，主要用于減少主控制器失效時(shí)指令切換的時(shí)間。同時(shí)，從安全角度，兩者對(duì)自身失效進(jìn)行診斷以防止非預(yù)期的失效導(dǎo)致自身控制指令不可用，無(wú)論哪個(gè)控制器診斷出自身失效，ADAS系統(tǒng)需要在一次駕駛循環(huán)內(nèi)進(jìn)行MRM或者不允許ADAS功能下次激活

防止非預(yù)期的發(fā)出錯(cuò)誤控制指令，ASIL D

基于圖4.2，由于ADAS系統(tǒng)運(yùn)行時(shí)主要由Main系統(tǒng)進(jìn)行仲裁及整車(chē)控制，因此對(duì)于Main系統(tǒng)，其安全診斷級(jí)別應(yīng)當(dāng)做到ASIL D。

由于 Fallback的整車(chē)接管控制在Main失效后才會(huì)啟動(dòng)。因此，在考慮Fallback系統(tǒng)安全級(jí)別時(shí)，可以從如下角度考慮適度降低：

例如，如果我們定義SAE ADAS L4系統(tǒng),在主系統(tǒng)失效后，F(xiàn)allback系統(tǒng)接管后最大有效運(yùn)行時(shí)間為1小時(shí), 對(duì)Fallback接管功能做HARA分析：

1.Fallback系統(tǒng)的失效造成嚴(yán)重度與Main系統(tǒng)失效相同 （S3）;

2. Fallback系統(tǒng)失效后可控度與Main系統(tǒng)失效相同 （C3）；

3. 在評(píng)估暴露度時(shí)，基于Fallback功能控車(chē)總共時(shí)長(zhǎng)不超過(guò)1小時(shí)，相比較Main系統(tǒng)失效場(chǎng)景暴露度E，可以降低其指標(biāo)，分析過(guò)程如下表：

表4.1-1 Fallback系統(tǒng)暴露度指標(biāo)評(píng)估參考

發(fā)生永久性故障后接管系統(tǒng)的最大操作時(shí)間：假定在最壞情況下，Main控制器在其操作時(shí)間內(nèi)失效。

假定系統(tǒng)運(yùn)行過(guò)程由于瞬態(tài)切換而累積的接管操作持續(xù)時(shí)間：假定主系統(tǒng)由于系統(tǒng)性原因或者SOTIF影響短暫切換到Fallback系統(tǒng)，恢復(fù)后退回Main控制器。考慮在1000小時(shí)的ADAS操作時(shí)間內(nèi)，每小時(shí)切換3s。

基于以上分析，我們可以看到，對(duì)于fallback系統(tǒng)，其實(shí)際的operation time只占ADAS系統(tǒng)operation time不到1%， 因此，可以將其E值由E4降為E2。繼而，對(duì)Fallback系統(tǒng)發(fā)出錯(cuò)誤的控制指令A(yù)SIL級(jí)別由ASIL D降為 ASIL B。

備注：1. 以上分析假定的前提為Main控制器與Fallback控制器完全獨(dú)立，其指令仲裁在底盤(pán)系統(tǒng)中實(shí)施；2. HARA分析中對(duì)暴露度E值的評(píng)估方法與本文提及的降低策略有偏差，從本文的角度，實(shí)際上基于產(chǎn)品Operation time定義來(lái)降解，更多的是從降低隨機(jī)硬件失效概率。對(duì)于Fallback控制器系統(tǒng)性失效，很多同行會(huì)認(rèn)為需要按照原始等級(jí)（ASIL D）來(lái)實(shí)施。該分析僅做參考。

基于以上兩點(diǎn)，可以簡(jiǎn)單總結(jié)ADAS系統(tǒng)的安全概念：

FSR-1:在ADAS系統(tǒng)運(yùn)行過(guò)程中，如果Fallback控制器診斷出自身失效，導(dǎo)致無(wú)法發(fā)出控制指令，Main控制器應(yīng)當(dāng)基于Fallback狀態(tài)，控制系統(tǒng)運(yùn)行一段時(shí)間或者進(jìn)入MRC*。ASIL B(D)（FSR a，可用性設(shè)計(jì)，*這里也可以考慮在一個(gè)駕駛循環(huán)內(nèi)持續(xù)進(jìn)行DDT）;

FSR-2:在ADAS系統(tǒng)運(yùn)行過(guò)程中，如果Main控制器診斷出自身失效，導(dǎo)致無(wú)法發(fā)出控制指令，F(xiàn)allback控制器應(yīng)當(dāng)基于當(dāng)前失效狀態(tài)，控制系統(tǒng)運(yùn)行或者降級(jí)一段時(shí)間或者緊急操作進(jìn)入MRC。ASIL B(D)（FSR a，可用性設(shè)計(jì)）;

FSR-3:Main控制器應(yīng)當(dāng)監(jiān)控并正確的發(fā)出橫縱向控制指令，如果Main控制器失效導(dǎo)致無(wú)法發(fā)出正確的控制指令，Main控制器應(yīng)當(dāng)關(guān)閉控制輸出。ASIL D（FSR b, 防止提供錯(cuò)誤的控制指令)；

FSR-4:Fallback系統(tǒng)在進(jìn)行緊急操作或者接管系統(tǒng)駕駛?cè)蝿?wù)過(guò)程中，如果Fallback系統(tǒng)監(jiān)測(cè)到自身失效，導(dǎo)致無(wú)法發(fā)出正確的控制指令，則應(yīng)當(dāng)停止發(fā)送控制指令 ASIL B(FSR b， 防止提供錯(cuò)誤的控制指令)

由于目前行業(yè)內(nèi)ADAS系統(tǒng)設(shè)計(jì)，國(guó)內(nèi)外還沒(méi)有一個(gè)權(quán)威且受認(rèn)可的方案，因此以上分析及見(jiàn)解僅作為參考。

05總結(jié)

本文基于ISO 26262標(biāo)準(zhǔn)的定義，并結(jié)合當(dāng)前部分汽車(chē)零部件供應(yīng)商或者主機(jī)廠對(duì)于產(chǎn)品的功能安全架構(gòu)設(shè)計(jì)實(shí)踐以及個(gè)人經(jīng)驗(yàn)，嘗試對(duì)功能安全產(chǎn)品架構(gòu)設(shè)計(jì)進(jìn)行了一些淺薄的描述。

審核編輯：郭婷