Amiya · 2021年03月30日

车载操作系统(九):功能安全等级(ASIL)

往期回顾

车载操作系统(一):软件定义汽车

车载操作系统(二):车控操作系统

车载操作系统(三):智能座舱操作系统

车载操作系统(四):国内外车载OS布局

车载操作系统(五):AUTOSAR规范

车载操作系统(六):域控制器

车载操作系统(七):虚拟化(Hypervisor)

车载操作系统(八):系统级芯片(SoC)

什么是汽车功能安全?

传统汽车的结构相对简单,针对驾驶人员的操作,多采用机械方式来实现,一旦机械故障,其危险程度很大。而现在的汽车更加智能化,对于驾驶人员的操作,先将操作命令转换为相应的信号,传送给ECU,再由ECU对该信号解析后控制相应的器件,最终完成操作,因此,整车的安全性很大程度上取决于ECU的安全性。由于ECU失效的可预见性非常低,无法保证电子器件100%不会出问题。为了保证即使出现部分电子器件故障,汽车系统也能在短期(故障容错时间内)内安全进行,2011年11月,ISO(International Organization for Standardization,国际标准化组织)正式发布ISO 26262,为开发汽车安全相关系统提供了指南

WeChat Image_20210330102514.jpg

ISO 26262标准对汽车功能安全的定义

Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.

功能安全是为了避免因电气/电子系统故障导致的不合理风险

总体来说,功能安全是指避免由系统功能性故障导致的不可接受的风险。**它关注的是系统发生故障之后的行为,而不是系统的原有功能或性能。**因此,功能安全的目的就是当系统发生故障后,将系统进入安全的可控模式,避免对人身、财产造成伤害

功能安全等级评估方法

ISO 26262标准对E/E系统做功能安全设计时,一个重要的步骤是对系统进行危害分析和风险评估,识别出系统的危害并且对危害的风险等级——ASIL等级(Automotive Safety Integration Level,汽车安全完整性等级)进行评估

ASIL有四个等级,分别为A、B、C、D,其中,A是最低的等级,D是最高的等级**。这四个等级的划分,主要是依据三个指标:严重度(Severity)、暴露率(Exposure)和可控性(Controllability)。

WeChat Image_20210330102547.jpg

1、严重度:危险事件所导致伤害或损失的潜在严重性(Severity of failure,S)

该伤害主要是指对人的伤害,包括车上的司机与乘客、路边行人、旁边车辆上的行人、非机动车上的行人、以及其它车辆上的行人。根据伤害的严重程度,可以划分为:S0、S1、S2、S3四个等级。

WeChat Image_20210330102602.jpg

2、暴露率:在操作条件下,人员暴露于危险当中的可能性(Probability of Exposure,E)

E0仅是在风险评估中的一些建议项,当暴露风险为E0时,无需考虑ASIL等级。

E1和E2的区分,主要是看车辆在目标市场合理、正常的使用情况。

WeChat Image_20210330102613.jpg

3、可控性:驾驶员或其他涉险人员能够避免事故或伤害的可能性(Controllability,C)

假设司机正常的条件下(非疲劳驾驶、酒驾、无证驾驶等),可以分为C0、C1、C2、C3四个等级。

WeChat Image_20210330102627.jpg

按照以上划分并进行组合相加得到5个ASIL等级(QM,A,B,C,D),原则是:

  • 基本可控C0的组合不考虑;
  • 无伤害S0的组合不考虑;
  • 其余组合相加:
  • 等于7分为ASIL A
  • 等于8分为ASIL B
  • 等于9分为ASIL C
  • 等于10分为最高等级ASIL D
  • ASIL A、B、C、D都是与功能安全相关的(Safety Relevant Function),其余的得分安全评定为QM,代表与安全无关的功能(Non Safety Relevant Function)。

image.png

ASIL等级确定举例

以EPB(Electrical Park Brake,电子手刹)的驻车功能为例。

当驻车时,驾驶员通过按钮或者其它方式触发制动请求,EPB在汽车的后轮上施加制动力,以防止汽车出现非期望的滑行。该系统的危害有:非期望的制动失效、非期望的制动启动。相同的危害在不同场景下风险是不一样的,因此需要对不同的场景进行分析。

为了简化问题,这里我们仅对“非预期制动失效”这种功能故障进行风险评估。下表给出了EPB风险评估表,在该表中,我们考虑的驾驶场景是车停在斜坡上,驾驶员不在车上。如果驾驶员在车上的话,驾驶员可通过踩刹车控制汽车滑行,可控性增加,那么所评估的ASIL等级会比表中的ASIL D低,但是对于同一个安全目标,如果评估的ASIL等级不同的话,要选择ASIL等级最高的那个。

image.png

通过以上分析,得出EPB系统的安全目标为:防止制动失效,ASIL等级为D。

ASIL D级SoC芯片的现实意义

ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长、技术要求更严格。下表是ASIL等级评估对照表,可以看出,如果安全等级到达D级,则意味着整个系统范围内单点故障率不超过1%。

WeChat Image_20210330103108.jpg

如果您的汽车整体符合ISO 26262 ASIL-D级标准,那意味着在面对某些临界安全问题时,汽车已经可以代替您做出决策了。而对于整车ASIL-B级标准的汽车来说,汽车只会提醒驾驶员危险来临,具体动作仍需要驾驶员执行。

就目前来说,实际落地的ADAS系统仍需要驾驶员随时准备介入控制。那么,为什么业界对ASIL-D级芯片产生了如此迫切的需求呢?ASIL-D级的SoC真的有现实意义么?

问题的答案在汽车OEM厂商身上,因为OEM厂商需要在产品稳定性与开发速度之间做取舍,而可靠性不足极其容易导致诉讼缠身。

一方面,整个业界正在快马加鞭地部署高性能计算系统,为自动驾驶决策提供算力;另一方面,在自动驾驶汽车上,品类繁多的汽车控制子系统必须保证提供多种智能化功能的同时,保持高级别的安全性。

基于此,业界在拥抱自动驾驶的同时,OEM厂商也在寻找工程上可行的解决方案。这种方案必须在满足苛刻安全标准的同时,提供快速的产品迭代能力,并提供足够的算力。而符合安全标准的SoC芯片正是解决这个棘手问题的最优解

汽车领域独立数据调研机构IHS Markit则从另一个角度得出了相似的结论。他们认为,OEM厂商尚未对ASIL-D提出明确的要求,因为从需求层面上目前还不紧迫。但是,如果ASIL-D级别的芯片与普通芯片价格相同,所有OEM厂商都将很乐意使用并推广,因为这种方案显然能够节省他们的研发成本,而且还让OEM厂商避免因器件稳定性不足导致的诉讼。


作者:欧珊瑚
来源:https://mp.weixin.qq.com/s/pyRk21OBOdRgVFmz0Rw8EA
qrcode_vTechnologies_1.jpg

相关文章推荐

更多汽车电子干货请关注汽车电子设计专栏。
推荐阅读
关注数
11947
内容数
697
专注于汽车电子工程领域,紧跟技术创新,助力行业发展
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息