智能化、數(shù)字化、電動(dòng)化是智能網(wǎng)聯(lián)汽車的三大核心，2023年12月7日，在2023中國(guó)汽車功能安全與質(zhì)量管理峰會(huì)上，泛亞汽車技術(shù)中心有限公司系統(tǒng)安全開發(fā)經(jīng)理李珍珍表示，當(dāng)前智能網(wǎng)聯(lián)汽車面臨著能量類危害、運(yùn)動(dòng)類危害、非運(yùn)動(dòng)類危害等安全挑戰(zhàn)。

如何預(yù)防和緩解系統(tǒng)潛在失效帶來(lái)的安全風(fēng)險(xiǎn)?李珍珍表示，我們的安全策略1是分析所有整車安全相關(guān)系統(tǒng)的失效和影響，定義安全目標(biāo)和安全需求；安全策略2是多學(xué)科、跨領(lǐng)域的融合電子電氣失效和非電子電氣失效的系統(tǒng)安全開發(fā)；安全策略3是融合預(yù)期功能安全方法和流程的系統(tǒng)安全開發(fā)；安全策略4是整車項(xiàng)目系統(tǒng)安全發(fā)布管控，確保安全分析和安全策略落地。

針對(duì)怎樣做系統(tǒng)安全開發(fā)？為什么做預(yù)期功能安全？怎樣做預(yù)期功能安全？李珍珍展開了詳細(xì)的分享，并對(duì)融合功能安全、融合SOTIF的系統(tǒng)安全開發(fā)流程進(jìn)行了分析。

泛亞汽車技術(shù)中心有限公司系統(tǒng)安全開發(fā)經(jīng)理

以下為演講內(nèi)容整理:

智能網(wǎng)聯(lián)汽車的安全挑戰(zhàn)

智能網(wǎng)聯(lián)時(shí)代，汽車面臨著諸多安全挑戰(zhàn)。一是起火、觸電、中毒等能量類危害；二是剎車失靈、轉(zhuǎn)向卡滯等運(yùn)動(dòng)類危害；三是除霧失靈、屏幕卡滯等非運(yùn)動(dòng)類危害。在追求智能網(wǎng)聯(lián)汽車更加智能和數(shù)字化的道路上，功能越豐富的同時(shí)，我們面臨的風(fēng)險(xiǎn)越來(lái)越多，場(chǎng)景也更加多樣化。如用手機(jī)進(jìn)行泊車時(shí)，如果指令卡住應(yīng)當(dāng)如何對(duì)車進(jìn)行控制、遠(yuǎn)程開門如何確保周圍環(huán)境安全等。針對(duì)這些整車危害，我們會(huì)對(duì)整車所有的安全系統(tǒng)的各種使用場(chǎng)景進(jìn)行充分分析，識(shí)別潛在的系統(tǒng)失效和影響，我們都知道功能安全就是關(guān)注電子電氣類失效，如何預(yù)防和緩解系統(tǒng)潛在失效帶來(lái)的安全風(fēng)險(xiǎn)就是我們一直在做的功能安全研究課題。

圖源:演講嘉賓素材

智能網(wǎng)聯(lián)汽車安全策略

要想解決智能網(wǎng)聯(lián)汽車的安全問(wèn)題，我們應(yīng)當(dāng)分析整車所有安全相關(guān)系統(tǒng)的安全失效及相關(guān)影響，定義安全目標(biāo)和安全需求。但是如果只考慮功能安全范疇的電子電氣失效，根本無(wú)法破除現(xiàn)階段車輛所面臨的安全挑戰(zhàn)。

我們把系統(tǒng)失效分為電子電氣類、機(jī)械結(jié)構(gòu)類、生產(chǎn)管理和材料電化學(xué)類。針對(duì)這些失效，我們認(rèn)為電子電氣類是功能安全所要研究的領(lǐng)域，但是系統(tǒng)的安全還應(yīng)該考慮電化學(xué)和機(jī)械結(jié)構(gòu)類等失效如何避免或者緩解。

怎樣才能做好系統(tǒng)安全開發(fā)？一定需要有多領(lǐng)域、跨學(xué)科、全方位的安全分析及評(píng)估，提出相應(yīng)的安全需求，這些安全需求是多領(lǐng)域的。例如，電芯雜質(zhì)的管理、下線產(chǎn)品質(zhì)量的把控等都會(huì)影響到電芯最終的安全設(shè)計(jì)，我們認(rèn)為這類安全需求屬于生產(chǎn)管理類。除此之外，從系統(tǒng)安全工程師的角度來(lái)看，需要關(guān)注電芯的安全測(cè)試和評(píng)估，比如在過(guò)充過(guò)放的性能狀態(tài)下如何定義安全邊界等問(wèn)題。

機(jī)械結(jié)構(gòu)類層面，對(duì)于客戶所擔(dān)憂的新能源車在發(fā)生碰撞后是否容易著火的問(wèn)題，我們主要從底部保護(hù)和側(cè)邊保護(hù)入手，對(duì)電池包側(cè)邊所有碰撞點(diǎn)做評(píng)估，定義量化的安全邊界并通過(guò)車身結(jié)構(gòu)設(shè)計(jì)筑起安全堡壘，并通過(guò)充分的測(cè)試驗(yàn)證確保風(fēng)險(xiǎn)控制。電子電氣類層面，我們有ASIL D電池管理系統(tǒng)設(shè)計(jì)。除此之外，我們還會(huì)在整車層面充分考慮用戶駕駛過(guò)程中可能面臨的最惡劣的場(chǎng)景。例如，我們發(fā)現(xiàn)用戶在最惡劣的場(chǎng)景下駕駛時(shí)，電池溫度有可能達(dá)到45度及以上，如果在此情況下發(fā)生熱失控，與常溫和低溫下熱擴(kuò)散性能會(huì)有差異，我們基于此情況，將最惡劣的場(chǎng)景組合提取做電池系統(tǒng)的測(cè)試條件之一，驗(yàn)證整個(gè)電池包的熱擴(kuò)散性能。除了測(cè)試條件，在開發(fā)過(guò)程中，我們按照至少高于國(guó)標(biāo)10倍的危害控制時(shí)間提出相應(yīng)安全需求，并提供24小時(shí)不間斷的電池狀態(tài)監(jiān)控，車內(nèi)和車外多重報(bào)警，并能通過(guò)手機(jī)或安吉星等方式聯(lián)系客戶確認(rèn)安全風(fēng)險(xiǎn)并提供相應(yīng)幫助。

我們的系統(tǒng)安全開發(fā)融合了功能安全開發(fā)的流程體系，這個(gè)流程和方法論是一致的。從功能安全開發(fā)的角度擴(kuò)展到系統(tǒng)安全范疇的領(lǐng)域，實(shí)質(zhì)上就是擴(kuò)展到非電子電氣類的失效以及相關(guān)設(shè)計(jì)措施上。從整個(gè)風(fēng)險(xiǎn)評(píng)估以及安全分析以及安全需求的定義，到最后的設(shè)計(jì)實(shí)現(xiàn)和測(cè)試驗(yàn)證確認(rèn)，是符合我們整個(gè)V模型的設(shè)計(jì)開發(fā)的。

圖源:演講嘉賓素材

在智能網(wǎng)聯(lián)汽車面臨的挑戰(zhàn)下，我們不僅要做多學(xué)科跨領(lǐng)域的安全分析及設(shè)計(jì)，還要基于用戶最真實(shí)和惡劣的使用場(chǎng)景定義測(cè)試要求，落實(shí)在系統(tǒng)安全開發(fā)流程上。

在智能駕駛層面，智能網(wǎng)聯(lián)汽車也面臨諸多風(fēng)險(xiǎn)。如算法的不確定性導(dǎo)致功能的偏離，無(wú)法識(shí)別推著自行車過(guò)馬路的人、靜止的清掃車、白色貨車等，以及環(huán)境對(duì)系統(tǒng)的影響，例如攝像頭因?yàn)樘鞖饣璋禑o(wú)法識(shí)別車道線。這一類問(wèn)題屬于功能局限和性能局限所導(dǎo)致的系統(tǒng)相關(guān)風(fēng)險(xiǎn)。另外，其他原因也有可能導(dǎo)致整車出現(xiàn)風(fēng)險(xiǎn)，、如駕駛員對(duì)車輛功能的不理解或者錯(cuò)誤理解導(dǎo)致的誤用等。在此背景下，預(yù)期功能安全應(yīng)運(yùn)而生。

預(yù)期功能安全是指不存在因功能或其實(shí)現(xiàn)不充分引起的危害行為而導(dǎo)致不合理的風(fēng)險(xiǎn)，主要關(guān)注功能局限和合理可預(yù)見的誤用。

我們將系統(tǒng)開發(fā)流程融入了SOTIF開發(fā)流程，主要有安全分析和安全驗(yàn)證兩大核心。我們應(yīng)用這個(gè)核心作為領(lǐng)域的融合關(guān)鍵點(diǎn)，在融合非電子電氣類安全開發(fā)的系統(tǒng)安全開發(fā)流程的基礎(chǔ)上，融合預(yù)期功能安全相關(guān)的安全分析與驗(yàn)證確認(rèn)，確定工作過(guò)程和相關(guān)責(zé)任人以及輸入輸出等。

圖源:演講嘉賓素材

預(yù)期功能安全主要圍繞兩個(gè)問(wèn)題。一是把已知不安全和未知不安全場(chǎng)景轉(zhuǎn)化成已知安全場(chǎng)景，二是如何評(píng)估可接受的準(zhǔn)則。在預(yù)期功能安全領(lǐng)域，我們已有初步探索。針對(duì)已知不安全和未知不安全場(chǎng)景轉(zhuǎn)化為已知安全場(chǎng)景的問(wèn)題，我們建立了SOTIF的場(chǎng)景庫(kù)，基于這個(gè)場(chǎng)景庫(kù)不斷通過(guò)仿真/測(cè)試驗(yàn)證和相關(guān)數(shù)據(jù)分析積累進(jìn)行迭代，將新發(fā)現(xiàn)的未知的場(chǎng)景轉(zhuǎn)化為已知場(chǎng)景，也將已知不安全場(chǎng)景通過(guò)設(shè)計(jì)方案轉(zhuǎn)化為已知安全場(chǎng)景。形成整車實(shí)際的測(cè)試用例。這是一個(gè)長(zhǎng)期并需要一直迭代的事情。做場(chǎng)景庫(kù)也是一個(gè)比較煩瑣的過(guò)程。我們最初將所有場(chǎng)景進(jìn)行排列后有幾百萬(wàn)條，如何從幾百萬(wàn)的場(chǎng)景中挑選出我們需要的場(chǎng)景是一大問(wèn)題。針對(duì)場(chǎng)景庫(kù)和我們系統(tǒng)的傳感器或者算法局限，需要找到它們的權(quán)重匹配關(guān)系，分析在某場(chǎng)景組合下的關(guān)聯(lián)因子。匹配完成后，我們把較為重要的場(chǎng)景優(yōu)先篩選出來(lái)。另一種方法是先分析傳感器或者算法在單個(gè)因素的場(chǎng)景的影響，再將所有單一因素場(chǎng)景下關(guān)聯(lián)因子結(jié)合起來(lái)考慮實(shí)際生活中場(chǎng)景組合的權(quán)重，就可以幫助我們簡(jiǎn)化相關(guān)工作。例如攝像頭如果遇到大雨，無(wú)論其是城市路還是高架路，影響其目標(biāo)識(shí)別功能的關(guān)聯(lián)度最高的還是大雨這個(gè)要素，我們可以先把這個(gè)關(guān)鍵要素挑出來(lái)，再進(jìn)行雙場(chǎng)景和多場(chǎng)景的組合分析。

針對(duì)如何評(píng)估接受準(zhǔn)則的問(wèn)題，我們也做了許多探索。我們通過(guò)虛擬場(chǎng)景的搭建，開發(fā)相關(guān)測(cè)試用例，評(píng)估人在某個(gè)場(chǎng)景下開車的情景，利用六自由度的駕駛員在環(huán)的虛擬場(chǎng)景測(cè)試平臺(tái)進(jìn)行信心度和可控度評(píng)估。我們也會(huì)做一些實(shí)車相關(guān)測(cè)試，形成車輛主觀以及客觀的數(shù)據(jù)庫(kù)，提煉成我們想要的接受準(zhǔn)則。

智能網(wǎng)聯(lián)汽車安全策略3是融合預(yù)期功能安全方法和流程的系統(tǒng)安全開發(fā)。目前我們需要盡可能降低造車的成本，提高效率，而且車的功能越來(lái)越多，也越來(lái)越智能，這之中存在著諸多矛盾。做”費(fèi)錢又費(fèi)設(shè)計(jì)”的系統(tǒng)安全開發(fā)，不論功能安全、預(yù)期功能安全都面臨著很大的挑戰(zhàn)。這個(gè)就需要安全策略4來(lái)保障。

智能網(wǎng)聯(lián)汽車安全策略4是整車項(xiàng)目系統(tǒng)安全發(fā)布管控，確保安全分析和安全策略落地。以泛亞為例，我們建立整車項(xiàng)目的系統(tǒng)安全發(fā)布有兩個(gè)重點(diǎn)，一是獨(dú)立性，我們團(tuán)隊(duì)獨(dú)立于系統(tǒng)開發(fā)和產(chǎn)品定義團(tuán)隊(duì)，保持獨(dú)立思考，完成整車級(jí)/系統(tǒng)級(jí)/零部件級(jí)的安全分析以及安全需求定義，并通過(guò)評(píng)審測(cè)試驗(yàn)證等手段確認(rèn)需求的落地；二是否決權(quán)，我們有整車的系統(tǒng)安全發(fā)布的管控，在整車項(xiàng)目的各大關(guān)鍵節(jié)點(diǎn)，基于安全需求實(shí)施狀態(tài)評(píng)估發(fā)布整車安全狀態(tài)，換句話說(shuō)如果安全需求實(shí)施不到位，項(xiàng)目無(wú)法正常開展。

這些系統(tǒng)安全開發(fā)流程的建立實(shí)施才能確保安全需求的最終落地，但是這些需要充分的系統(tǒng)安全的文化為基礎(chǔ)才可能推進(jìn)，。

我們積極配合行業(yè)內(nèi)的預(yù)期功能安全、功能安全相關(guān)標(biāo)準(zhǔn)法規(guī)，如34590、43267道路預(yù)期功能安全標(biāo)準(zhǔn)等。更多標(biāo)準(zhǔn)的發(fā)布將為我們行業(yè)的發(fā)展和功能安全和預(yù)期功能安全開發(fā)的工作中產(chǎn)生助力。

針對(duì)非電子電氣類的失效，我們積極參加并推動(dòng)了ISOTR9968的制定工作，在ISOTR里把非電子電氣類的失效融入整個(gè)功能安全的開發(fā)領(lǐng)域中。ISO26262的第三版修訂過(guò)程中，我們也在考慮相關(guān)建議，比如從電池的角度考慮非電子電氣類的失效。