賦能智能汽車 | ISO 26262和ISO 21448雙重安全保障

前言

近年來(lái)，隨著汽車工業(yè)的快速發(fā)展，尤其是新能源汽車與智能汽車領(lǐng)域的崛起，汽車安全標(biāo)準(zhǔn)和認(rèn)證要求日益嚴(yán)格，應(yīng)用范圍愈加廣泛。ISO 26262和ISO 21448作為兩個(gè)重要的汽車安全標(biāo)準(zhǔn)，它們?cè)凇跋到y(tǒng)安全”中扮演的角色各自不同，但又有一定交集。在智能網(wǎng)聯(lián)汽車的高級(jí)輔助駕駛系統(tǒng)（ADAS）應(yīng)用中，理解這兩個(gè)標(biāo)準(zhǔn)的區(qū)別及其相互關(guān)系，對(duì)于保障車輛的安全性至關(guān)重要。

ISO 26262：汽車功能安全的基石

如圖2.1所示，ISO 26262對(duì)“功能安全”的定義解釋為：不存在由于電子/電氣系統(tǒng)失效引起的危害，而產(chǎn)生不可接受的風(fēng)險(xiǎn)。

圖2.1 “功能安全”的定義（此截圖來(lái)自ISO 26262-1:2018）

ISO 26262是為確保汽車功能安全而制定的標(biāo)準(zhǔn)，通過(guò)安全生命周期管理來(lái)確保系統(tǒng)在設(shè)計(jì)、生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢等各個(gè)階段都符合安全要求。它為汽車電子系統(tǒng)的開(kāi)發(fā)提供了系統(tǒng)性的方法，幫助制造商識(shí)別和管理潛在的安全風(fēng)險(xiǎn)，涵蓋了系統(tǒng)、硬件(包括集成電路)、軟件的設(shè)計(jì)、開(kāi)發(fā)與驗(yàn)證過(guò)程中的安全要求。其核心目標(biāo)是保證汽車電子/電氣系統(tǒng)在故障發(fā)生時(shí)能夠保持足夠的安全性，防止因系統(tǒng)故障導(dǎo)致的危險(xiǎn)。

ISO 26262將汽車系統(tǒng)的安全性劃分為四個(gè)功能安全等級(jí)（ASIL：Automotive Safety Integrity Levels），從ASIL A（最低風(fēng)險(xiǎn)）到ASIL D（最高風(fēng)險(xiǎn)）。每個(gè)級(jí)別要求不同的安全措施和驗(yàn)證過(guò)程。標(biāo)準(zhǔn)的應(yīng)用范圍包括發(fā)動(dòng)機(jī)控制系統(tǒng)、剎車系統(tǒng)、轉(zhuǎn)向系統(tǒng)等傳統(tǒng)汽車電子系統(tǒng)。

然而，隨著自動(dòng)駕駛技術(shù)的興起和越來(lái)越多的汽車系統(tǒng)具備復(fù)雜的互動(dòng)功能，ISO 26262的局限性也逐漸顯現(xiàn)。例如，傳統(tǒng)的功能安全標(biāo)準(zhǔn)往往忽視了系統(tǒng)行為的復(fù)雜性和不可預(yù)測(cè)性，尤其在涉及高級(jí)自動(dòng)駕駛（ADAS）的智能網(wǎng)聯(lián)汽車時(shí)，如何有效地評(píng)估和保障系統(tǒng)在實(shí)際道路環(huán)境中的安全性成為一個(gè)新的挑戰(zhàn)。

ISO 21448：確?！邦A(yù)期功能”安全

如圖3.1所示，ISO 21448對(duì)“預(yù)期功能安全”的定義解釋為：不存在由于預(yù)期功能或功能不足時(shí)引起的危害，而導(dǎo)致不可接受的風(fēng)險(xiǎn)。

圖3.1 “預(yù)期功能安全”的定義（此截圖來(lái)自ISO 21448:2022）

ISO 21448《道路車輛—預(yù)期功能安全》（SOTIF）是ISO 26262的補(bǔ)充標(biāo)準(zhǔn)，特別聚焦于自動(dòng)駕駛系統(tǒng)（ADAS）和高度復(fù)雜的系統(tǒng)。在ISO 26262的基礎(chǔ)上，ISO 21448增加了對(duì)“非故障”模式的關(guān)注，強(qiáng)調(diào)了系統(tǒng)行為的預(yù)期和不確定性問(wèn)題，要求在系統(tǒng)設(shè)計(jì)時(shí)應(yīng)更加全面考慮可能發(fā)生的意外的場(chǎng)景和觸發(fā)事件。

如圖3.2所示，ISO 21448將危害場(chǎng)景分為四個(gè)區(qū)域，分別是“area 1: 已知無(wú)危害”、“area 2: 已知有危害”、“area 3: 未知有危害”和“area 4: 未知無(wú)危害”。

圖3.2 “預(yù)期功能安全”的定義（此截圖來(lái)自ISO 21448:2022）

ISO 21448的核心理念是將可能觸發(fā)意外的area 2場(chǎng)景進(jìn)行控制，并將未知的危險(xiǎn)場(chǎng)景area 3降低至可接受水平。

ISO 21448特別強(qiáng)調(diào)以下幾個(gè)方面：

非故障行為的安全性：與傳統(tǒng)ISO 26262關(guān)注硬件和軟件的故障模式不同，ISO 21448關(guān)注系統(tǒng)在非故障情況下的行為和導(dǎo)致非故障行為改變的觸發(fā)條件。例如，在自動(dòng)駕駛系統(tǒng)中，車輛可能遇到不可預(yù)見(jiàn)的道路條件或傳感器識(shí)別錯(cuò)誤，ISO 21448要求設(shè)計(jì)團(tuán)隊(duì)不僅考慮系統(tǒng)在故障時(shí)的應(yīng)對(duì)措施，還要考慮在系統(tǒng)沒(méi)有故障但環(huán)境變化時(shí)的行為。

自動(dòng)駕駛系統(tǒng)的驗(yàn)證：自動(dòng)駕駛系統(tǒng)的復(fù)雜性要求更加全面的驗(yàn)證方案，ISO 21448規(guī)定了對(duì)系統(tǒng)在真實(shí)或仿真環(huán)境中的行為進(jìn)行更嚴(yán)格的驗(yàn)證。這包括不同道路、天氣、交通狀況等場(chǎng)景的測(cè)試，確保系統(tǒng)能夠在復(fù)雜的外部條件下保持安全。

感知系統(tǒng)的安全性：ISO 21448進(jìn)一步要求在自動(dòng)駕駛系統(tǒng)的設(shè)計(jì)中，必須考慮到感知系統(tǒng)（如攝像頭、雷達(dá)、激光雷達(dá)等）的安全性。這些傳感器需要具有足夠的魯棒性，以應(yīng)對(duì)環(huán)境光、天氣變化和傳感器性能受限等因素的影響。

決策與控制算法的安全性：在自動(dòng)駕駛系統(tǒng)中，決策與控制算法的正確性對(duì)安全至關(guān)重要。ISO 21448提出，除了硬件冗余之外，軟件算法必須經(jīng)過(guò)嚴(yán)格的驗(yàn)證，確保其在各種駕駛場(chǎng)景下都能做出安全的決策。

如圖3.3所示，在某些區(qū)域，用具有三維視錯(cuò)幻象的人行橫道來(lái)提醒駕駛員。在道路上繪制圖像的目的是欺騙人類的感知，但也可能欺騙視覺(jué)系統(tǒng)，使其探測(cè)到不存在的物體，從而導(dǎo)致錯(cuò)誤的制動(dòng)。在這種情況下，基于光流的分析機(jī)制可防止錯(cuò)誤制動(dòng)。光流分析和基于雷達(dá)的環(huán)境識(shí)別作為相互替代的應(yīng)對(duì)措施，以應(yīng)對(duì)由視覺(jué)分類局限而導(dǎo)致的此類情況。

圖3.3 可能欺騙視覺(jué)系統(tǒng)的錯(cuò)覺(jué)圖例子（此截圖來(lái)自ISO 21448:2022）

ISO 26262與ISO 21448的協(xié)同作用

ISO 26262和ISO 21448雖然是兩個(gè)獨(dú)立的標(biāo)準(zhǔn)，但它們之間是互為補(bǔ)充、協(xié)同作用的關(guān)系。ISO 26262主要側(cè)重于系統(tǒng)硬件和軟件的功能安全，關(guān)注如何通過(guò)設(shè)計(jì)、冗余、檢測(cè)等手段降低系統(tǒng)故障帶來(lái)的風(fēng)險(xiǎn)。而ISO 21448則聚焦于功能的“預(yù)期安全”，即系統(tǒng)在沒(méi)有明顯故障的情況下，如何在復(fù)雜和不可預(yù)見(jiàn)的環(huán)境中保持安全。

圖4.1 ISO 26262和ISO 21448協(xié)同

如圖4.1所示，結(jié)合上述兩種安全理念的應(yīng)用，可以讓安全開(kāi)發(fā)活動(dòng)更完整，更全面地確保智能網(wǎng)聯(lián)汽車安全相關(guān)系統(tǒng)的安全性，尤其是高級(jí)輔助/自動(dòng)駕駛系統(tǒng)。

從系統(tǒng)設(shè)計(jì)的初期階段開(kāi)始，制造商需要在ISO 26262的框架下進(jìn)行詳細(xì)的功能安全分析，并在此基礎(chǔ)上應(yīng)用ISO 21448來(lái)考慮系統(tǒng)的實(shí)際行為和環(huán)境適應(yīng)性，確保車輛在高度自動(dòng)化的駕駛場(chǎng)景下依然具備足夠的安全保障。

未來(lái)展望

隨著汽車技術(shù)的不斷進(jìn)步，特別是自動(dòng)駕駛和電動(dòng)化技術(shù)的快速發(fā)展，ISO 26262和ISO 21448的標(biāo)準(zhǔn)也在不斷發(fā)展和完善。在未來(lái)，這些標(biāo)準(zhǔn)可能會(huì)更加注重以下幾個(gè)方面：

多領(lǐng)域安全融合：自動(dòng)駕駛不僅僅依賴于車輛內(nèi)部的電子系統(tǒng)，還涉及到車與車、車與基礎(chǔ)設(shè)施之間的通信（V2X），以及環(huán)境感知和決策。ISO 26262和ISO 21448可能會(huì)進(jìn)一步擴(kuò)展到這些領(lǐng)域，制定更加綜合的安全框架。

增強(qiáng)的仿真與測(cè)試要求：隨著自動(dòng)駕駛系統(tǒng)的復(fù)雜性增加，標(biāo)準(zhǔn)可能會(huì)要求更多的仿真和場(chǎng)景測(cè)試，特別是對(duì)極限情景的驗(yàn)證，以確保系統(tǒng)在真實(shí)世界中的安全性。

人工智能與機(jī)器學(xué)習(xí)的安全：AI和機(jī)器學(xué)習(xí)算法在自動(dòng)駕駛系統(tǒng)中的應(yīng)用日益增多，如何驗(yàn)證這些算法的安全性，尤其是算法的可解釋性和透明度，將成為未來(lái)標(biāo)準(zhǔn)的重要議題。

結(jié)論

ISO 26262和ISO 21448作為汽車行業(yè)功能安全的兩個(gè)重要標(biāo)準(zhǔn)，共同構(gòu)成了確保汽車電子系統(tǒng)安全性的框架。ISO 26262專注于故障安全，而ISO 21448則進(jìn)一步拓展了對(duì)復(fù)雜駕駛環(huán)境下系統(tǒng)行為的安全要求。隨著自動(dòng)駕駛技術(shù)的不斷發(fā)展，這些標(biāo)準(zhǔn)的拓展將有助于構(gòu)建更加安全、可靠的未來(lái)汽車系統(tǒng)。制造商需要積極適應(yīng)這些新興標(biāo)準(zhǔn)，持續(xù)改進(jìn)汽車設(shè)計(jì)和驗(yàn)證流程，以滿足日益嚴(yán)格的安全要求。

廣電計(jì)量功能安全服務(wù)能力

廣電計(jì)量在汽車、鐵路系統(tǒng)產(chǎn)品檢測(cè)方面擁有豐富的技術(shù)經(jīng)驗(yàn)和成功案例，能為主機(jī)廠、零部件供應(yīng)商、芯片設(shè)計(jì)企業(yè)提供整機(jī)、零部件、半導(dǎo)體、原材料等全面的檢測(cè)、認(rèn)證服務(wù)，保障產(chǎn)品的可靠性、可用性、可維護(hù)性和安全性。

廣電計(jì)量擁有技術(shù)領(lǐng)先的功能安全團(tuán)隊(duì)，專注于功能安全（包括工業(yè)、軌道、汽車、集成電路等領(lǐng)域）、信息安全和預(yù)期功能安全領(lǐng)域的專家，具有豐富的集成電路、零部件和整機(jī)功能安全實(shí)施經(jīng)驗(yàn)，可根據(jù)相應(yīng)行業(yè)的安全標(biāo)準(zhǔn)為不同行業(yè)的客戶提供培訓(xùn)、檢測(cè)、審核和認(rèn)證一站式服務(wù)。

廣電計(jì)量半導(dǎo)體服務(wù)優(yōu)勢(shì)

1. · 工業(yè)和信息化部“面向集成電路、芯片產(chǎn)業(yè)的公共服務(wù)平臺(tái)”。

·工業(yè)和信息化部“面向制造業(yè)的傳感器等關(guān)鍵元器件創(chuàng)新成果產(chǎn)業(yè)化公共服務(wù)平臺(tái)”。

·國(guó)家發(fā)展和改革委員會(huì)“導(dǎo)航產(chǎn)品板級(jí)組件質(zhì)量檢測(cè)公共服務(wù)平臺(tái)”。

·廣東省工業(yè)和信息化廳“汽車芯片檢測(cè)公共服務(wù)平臺(tái)”。

·江蘇省發(fā)展和改革委員會(huì)“第三代半導(dǎo)體器件性能測(cè)試與材料分析工程研究中心”。

·上海市科學(xué)技術(shù)委員會(huì)“大規(guī)模集成電路分析測(cè)試平臺(tái)”。

·在集成電路及SiC領(lǐng)域是技術(shù)能力最全面、知名度最高的第三方檢測(cè)機(jī)構(gòu)之一，已完成MCU、AI芯片、安全芯片等上百個(gè)型號(hào)的芯片驗(yàn)證，并支持完成多款型號(hào)芯片的工程化和量產(chǎn)。

·在車規(guī)領(lǐng)域擁有AEC-Q及AQG324全套服務(wù)能力，獲得了近50家車廠的認(rèn)可，出具近400份AEC-Q及AQG324報(bào)告，助力100多款車規(guī)元器件量產(chǎn)。

·在衛(wèi)星互聯(lián)網(wǎng)領(lǐng)域，獲委任為空間環(huán)境地面模擬裝置用戶委員會(huì)委員單位，建設(shè)了行業(yè)領(lǐng)先的射頻高精度集成電路檢測(cè)能力，致力成為北斗導(dǎo)航芯片工程化量產(chǎn)測(cè)試的領(lǐng)航者。