?

?

汽車安全合規(guī)是汽車制造商和零部件制造商必須完成的一項(xiàng)工作，以便開發(fā)對(duì)確保安全性來說至關(guān)重要的硬件和軟件產(chǎn)品，并達(dá)到汽車行業(yè)標(biāo)準(zhǔn)所要求的功能安全目標(biāo)。

隨著汽車行業(yè)迅速采用各種先進(jìn)的電子技術(shù)，將互聯(lián)汽車和自動(dòng)駕駛汽車的想法變?yōu)楝F(xiàn)實(shí)，務(wù)必要確保這些新零部件的安全合規(guī)性。如今，這一點(diǎn)比以往任何時(shí)候都更加重要。越來越多的硬件零部件被替換成了標(biāo)準(zhǔn)化的嵌入式電子和軟件零部件。

雖然這些新系統(tǒng)讓汽車制造商能夠通過軟件和固件空中（OTA）升級(jí)來提供新功能和修復(fù)錯(cuò)誤，但這些軟件定義的電子和電氣（E/E）系統(tǒng)的廣泛使用也伴隨著潛在風(fēng)險(xiǎn)。一輛典型的汽車包含數(shù)百萬行軟件代碼以及諸多電子和電氣零部件，硬件或軟件發(fā)生任何故障，都可能危及司機(jī)和乘客的生命安全。

為了有效地解決安全問題，如今的汽車技術(shù)開發(fā)人員依賴于越來越多的標(biāo)準(zhǔn)。其中有一項(xiàng)關(guān)鍵的汽車功能安全標(biāo)準(zhǔn)——ISO 26262，它定義了汽車安全完整性等級(jí)（ASIL 等級(jí)）。這些不同的安全等級(jí)旨在減少由 E/E 系統(tǒng)故障引起的潛在危險(xiǎn)，確保汽車部件按預(yù)期安全運(yùn)行。

為什么汽車安全合規(guī)非常重要？

2016 年，美國的汽車制造商出于安全原因被迫召回超過 5300 萬輛汽車，創(chuàng)下了歷史紀(jì)錄。近年來在中國，由于安全原因召回汽車的事件屢見不鮮。汽車事故是道路事故的主要原因之一，汽車安全合規(guī)成為一項(xiàng)必須滿足的基本要求。

如今的汽車都集成了復(fù)雜的安全和舒適解決方案，如防抱死制動(dòng)系統(tǒng)（ABS）、安全氣囊、高級(jí)駕駛輔助系統(tǒng)（ADAS）和自動(dòng)駕駛功能，使得今天的汽車堪稱是一項(xiàng)偉大的技術(shù)創(chuàng)新成果。然而，隨著車輛變得更加智能，自主程度變得更高，如果基礎(chǔ)技術(shù)設(shè)計(jì)不當(dāng)，可能會(huì)導(dǎo)致更多的安全問題。例如，用于控制車輛 ABS 或安全氣囊的硬件發(fā)生故障，可能危及車內(nèi)人員的生命安全。同樣，在純電動(dòng)汽車中，如果沒有按照標(biāo)準(zhǔn)進(jìn)行適當(dāng)?shù)墓芾砗驮O(shè)計(jì)，高壓電源總線和電池組也會(huì)造成安全風(fēng)險(xiǎn)。

隨著汽車的自動(dòng)駕駛水平進(jìn)一步提高，我們也對(duì)未來的互聯(lián)車輛充滿期待，而控制這些部件的嵌入式電子和軟件系統(tǒng)的功能安全將成為重中之重。幸運(yùn)的是，目前業(yè)內(nèi)已制定了一些汽車安全標(biāo)準(zhǔn)，其中最受關(guān)注的是 ISO 26262，它提供了一個(gè)框架，用于開發(fā)需要滿足功能安全的電子硬件和軟件系統(tǒng)，從而大大降低了相關(guān)的風(fēng)險(xiǎn)。

汽車安全合規(guī)如何發(fā)揮作用？

ISO 26262 面向努力確保車輛安全合規(guī)性的汽車供應(yīng)商和技術(shù)開發(fā)人員，概述了技術(shù)安全要求（TSR）和規(guī)范。該準(zhǔn)則必須貫穿車輛的整個(gè)生命周期—從車輛的設(shè)計(jì)、開發(fā)、生產(chǎn)、上路到報(bào)廢，從而實(shí)現(xiàn)功能安全。

ISO 26262 標(biāo)準(zhǔn)遵循基于風(fēng)險(xiǎn)的方法，以確定電氣或電子元件在實(shí)際運(yùn)行中遇到危險(xiǎn)操作狀況時(shí)的風(fēng)險(xiǎn)水平。在此過程中，每個(gè)汽車部件（硬件或軟件）都會(huì)進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估（HARA），以確定所有的潛在危險(xiǎn)，并根據(jù)三個(gè)變量劃分風(fēng)險(xiǎn)水平：嚴(yán)重程度、暴露程度和可控程度。

1

嚴(yán)重程度：對(duì)司機(jī)和乘客的傷害程度

2

暴露程度：車輛暴露在危險(xiǎn)中的頻率如何

3

可控程度：駕駛員能在多大程度上控制車輛以防止受傷

例如，假設(shè)我們要對(duì)電動(dòng)助力轉(zhuǎn)向（EPS）系統(tǒng)評(píng)估所有可能的故障行為。對(duì) EPS 系統(tǒng)進(jìn)行安全分析后，為分析得出的每個(gè)危險(xiǎn)事件分別分配相應(yīng)的嚴(yán)重程度、暴露程度和可控程度等級(jí)。

嚴(yán)重程度有四個(gè)等級(jí)，從“無傷害”（S0）到“致命傷害”（S3）

暴露程度有五個(gè)等級(jí)，E0 代表“幾乎不可能”，E4 代表“非常可能”

可控程度也有四個(gè)等級(jí)，從“一般可控”（C0）到“不可控”（C3）

然后，將這三個(gè)變量與其各自的等級(jí)結(jié)合起來，以此確定 ASIL 等級(jí)。ASIL-A 代表潛在危險(xiǎn)水平最低，而 ASIL-D 代表潛在危險(xiǎn)水平最高。如果所有三個(gè)變量的潛在危險(xiǎn)水平都是最高的（S3+E4+C3），即屬于 ASIL-D 等級(jí)。

EPS 系統(tǒng)就需要達(dá)到 ASIL-D 等級(jí)，因?yàn)槿绻撓到y(tǒng)發(fā)生故障，所導(dǎo)致的相關(guān)風(fēng)險(xiǎn)是最高的。相比之下，如果某個(gè)部件對(duì)于確保車輛安全來說不太重要，它就只需達(dá)到 ASIL-A 等級(jí)。

雖然 ISO 26262 標(biāo)準(zhǔn)提供了所有必要的指導(dǎo)方針，以解決汽車內(nèi)每個(gè)硬件和軟件零部件的功能安全問題，但它已無法跟上日益復(fù)雜的汽車嵌入式系統(tǒng)的步伐。因此，監(jiān)管機(jī)構(gòu)正在努力修訂現(xiàn)有的標(biāo)準(zhǔn)并著手開發(fā)新的標(biāo)準(zhǔn)，以確保最新的汽車技術(shù)能夠符合安全要求。ISO/SAE 21434 正是順應(yīng)了這種趨勢(shì)，它是第一個(gè)旨在解決汽車網(wǎng)絡(luò)安全問題的標(biāo)準(zhǔn)。

通過 Cadence 實(shí)現(xiàn)汽車安全合規(guī)

盡管未來可能會(huì)有更多的標(biāo)準(zhǔn)問世，目前的標(biāo)準(zhǔn)也會(huì)不斷更新，但高瞻遠(yuǎn)矚的汽車制造商和整車廠（OEM）必須實(shí)施相應(yīng)的戰(zhàn)略，開發(fā)質(zhì)量和安全性能符合當(dāng)前最高標(biāo)準(zhǔn)的汽車。這種方法將有助于汽車廠商推出面向未來的產(chǎn)品，確保它們符合仍在制定中的嚴(yán)格安全規(guī)范。

Cadence 提供先進(jìn)的汽車電子功能安全解決方案，幫助部件開發(fā)人員成功地為現(xiàn)代汽車打造安全產(chǎn)品。

Cadence Tensilica ConnX B10 和 ConnX B20 DSP 是業(yè)界率先針對(duì)汽車?yán)走_(dá)、激光雷達(dá)和車聯(lián)萬物（V2X）經(jīng)過優(yōu)化的 DSP，助力開發(fā)人員更快獲得 ASIL-B 隨機(jī)故障和 ASIL-D 系統(tǒng)故障標(biāo)準(zhǔn)認(rèn)證。帶有 FlexLock 的 Cadence Tensilica Xtensa 處理器也通過了完全符合 ASIL-D 標(biāo)準(zhǔn)的認(rèn)證，能夠?yàn)楣δ馨踩‵uSa）應(yīng)用提供 ASIL-D 系統(tǒng)性故障和 ASIL-D 隨機(jī)故障保護(hù)。

?

互聯(lián)車輛軟件開發(fā)人員還可以使用我們的 Midas Safety Platform，在早期階段探索功能安全架構(gòu)。該安全平臺(tái)支持全自動(dòng)執(zhí)行故障注入和 IP、SoC 及系統(tǒng)設(shè)計(jì)的結(jié)果分析，使汽車技術(shù)開發(fā)人員能夠驗(yàn)證其軟件在故障注入硬件時(shí)能否安全運(yùn)行。借助 FMEDA 和認(rèn)證報(bào)告自動(dòng)生成功能，開發(fā)人員可以加快安全合規(guī)評(píng)估流程，達(dá)到 ASIL 目標(biāo)，快速完成 ISO 26262 驗(yàn)證。