根据国际标准ISO 26262,汽车功能安全定义为:避免因电气/电子系统故障而导致的不合理风险。重点面向电子电气系统故障导致的风险,目标是把该风险导致危险的概率降到足够低。
功能安全的设计与开发首先是对不合理风险的分析评估,即危害分析和风险评估 (HARA),风险的危害程度、暴露程度和可控程度来共同决定风险的等级即ASIL,然后设计和开发符合ISO26262 ASIL等级要求的软硬件产品。即通过故障检测-故障响应-安全状态的逻辑实现功能安全布局,覆盖产品包括策划、概念、设计、验证、生产、运行一直到报废的全生命周期的活动。
而预期功能安全(SOTIF)被定义为:避免因为预期的功能表现局限而导致的不合理风险。SOTIF是在自动驾驶技术发展的大背景下提出,是自动驾驶从L2到L3升级的必然需求。随着自动驾驶技术的发展,人们发现车辆安全问题并非都源于系统错误和失效。在复杂的系统以及场景中,问题时常源于环境影响带来的非预期性安全问题。其目的是基于需求分析、方案设计、安全分析、单元测试、集成测试、验证、确认、检测、监控、维护、组织、管理等先进科学与技术通过自动驾驶全生命周期各阶段的活动,将预期功能引发的相关风险最小化。
SOTIF研究目的是将未知不安全场景减少
图片来源:网络
可以说,预期功能安全是对传统功能安全的补充,是自动和半自动车辆的重要附加组件。SOTIF 意味着即使软件或硬件是错误、故障和无错误的,它仍然必须足够安全。
高等级自动驾驶发展大势下,汽车功能安全与预期功能安全愈发重要
在电气化、智能网联化、EEA变革、集成化以及软件定义汽车等发展驱动下,整车电子电气系统正在变革,而由电子电气失效导致的风险也越来越高,由此功能安全越来越被重视。
首先,仍存在许多汽车因功能安全被召回事件,汽车功能安全需被重视。根据2022年TÜV 报告,17.9%的车辆因"重大"或"危险缺陷"而未能通过一般检查。大约有100,000辆汽车因刹车盘磨损、轮胎严重磨损或损坏或刹车灯完全失效等"危险缺陷"而不得不立即前往维修厂。大约10,000辆汽车立即被专家以"交通不安全"为由从道路上撤下。
主要汽车功能安全召回事件
来源:《2022年汽车功能安全与预期功能安全研究报告》
其次,标准政策层面,除了国际标准ISO26262全球多个国家认可和使用外,多个国家还发布关于自动驾驶及汽车安全相关政策。如德国规定所有零部件制造商、供应商必须向OEM和监管机构证明其产品满足所要求的安全功能,不存在由于产品缺陷而引起的失效风险,并且在设计研发过程中使用了最先进的技术;美国交通部2021年1月发布的自动驾驶汽车综合计划 (AVCP)中也将功能安全和预期安全列入其中。
中国工信部2021年7月发布的《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》关于产品管理中指出应满足功能安全、预期功能安全、网络安全等过程保障要求,以及模拟仿真、封闭场地、实际道路、网络安全、软件升级、数据记录等测试要求,避免车辆在设计运行条件内发生可预见且可预防的安全事故等。
最后,随着自动驾驶系统的发展,自动驾驶准入需要充分考虑汽车研发的各个方面,最重要的是保证驾驶过程中具备足够的安全性,这就要求在设计之初就需要充分考虑到其中的关键一环:功能安全及预期功能安全。
在自动驾驶汽车发展的推动下,汽车功能安全也在不断演变,预计经历故障安全、操作降级模式、故障运行和高可靠性等几方面发展演进。
汽车功能安全发展演进
图片来源:网络
另外,除了功能安全,汽车未来须面对的还有网络信息安全、预期功能安全等多种汽车相关安全,未来的智能网联汽车需要解决汽车相关安全的全部风险,才能大批量交付使用,因为三种安全体系融合开发也是未来汽车安全发展的一大趋势,即企业在进行产品开发时,就要对多重的安全体系进行系统建设。
主机厂加强整车及自研部件工艺流程和产品功能安全布局
ISO 26262不是全球强制性标准,但已获得汽车界的广泛认可,成为汽车供应链厂商的准入门槛之一。没有通过ISO 26262认证的产品或厂商,OEM、Tier1将不得不将其拒之门外。
随着智能汽车的发展,OEM主机厂都越来越重视功能安全。目前,欧洲所有OEM整车厂要求功能安全;美国的OEM整车厂已在研究如何实施功能安全;亚洲OEM如丰田、现代、吉利、长安、比亚迪等也已明确要求功能安全。功能安全和ASPICE基本成为了目前汽车行业的通识和标准。
中国OEM近几年也对功能安全加大了重视与投入,主流OEM如长城、上汽、吉利、广汽、长安、比亚迪等均已对重要控制系统进行功能安全开发要求,除具备功能安全团队外,积极参加功能安全培训,与第三方机构合作等方式对整车级功能安全以及自研零部件等产品及流程进行严格把关及认证,并将供应商的功能安全开发能力和产品功能安全能力作为供应链准入的准则之一。
• 吉利汽车:2018年1月,吉利汽车新能源获得了SGS为其颁发的功能安全流程体系FSM证书, 2020年10月,获得了SGS为其颁发的智能电子软件中心功能安全ASIL D流程认证证书,2022年1月吉利研究院获得了整车功能安全ASIL D流程DAkkS和UL双认证。吉利汽车功能安全理念不断受到重视。
来源:网络
• 长安汽车:功能安全通过逐步从培训、标准解读与研究流程体系、模版与能力建立、成立安全团队、进入长安开发流程,最终实现功能安全能力的建立与落地。其具备功能安全如UNI系列车型已量产交付。
• 上汽集团积极布局功能安全:认证方面,2020年6月,上汽集团前瞻技术研究部获得了由TÜV北德颁发的智能驾驶领域ISO 26262 2018 ASIL D功能安全流程体系证书;同年8月,SGS为上汽变速器颁发了ISO 26262:2018流程认证ASIL D证书;2021年1月,上汽合资公司创时汽车科技获得了智能驾驶域控制器平台ISO26262 ASIL D产品认证证书;2022年3月,上汽子公司零束科技先后通过了ISO9001:2015质量管理体系认证及ISO26262:2018 ASIL D功能安全管理认证证书等。
汽车功能安全标准认证已成为零部件供应商的必修课
零部件供应商对功能安全的高度重视主要源于客户的切实需求,从公开信息上,部分国内外供应商在功能安全领域已有所布局:
• 在激光雷达领域,2021年9月,禾赛科技Pandar128激光雷达获得SGS颁发的ISO 26262 ASIL B 功能安全产品认证证书,且公司计划对其他雷达产品继续进行功能安全认证;
• 在摄像头领域,安森美在内部开发了针对功能安全的整套工艺流程。目前其 CMOS 传感器、汽车多输出电源管理 IC、红外 LED 照明控制器等产品均符合功能安全标准;
• 在计算平台领域,华为 MDC 于 2020 年 12 月拿到了 TÜV 南德意志集团颁发的针对 MDC 610 的 ASIL D 功能安全认证;
• 在域控制器领域,2020年9月,创时智驾公司的智能驾驶域控制器平台获得了SGS颁发的 ISO26262: 2018 ASIL D 产品认证证书;
• 在半导体领域,除了AEC-Q汽车电子元器件可靠性检测标准以外,通过严苛的功能安全标准ISO 26262 ASIL 认证已成了时下汽车供应链厂商们的准入规则。座舱SoC领域,三星、NXP、瑞萨、Telechip等企业座舱SoC产品均达到ISO26262标准的ASIL B等级,高通最新座舱SoC8295也按照ASIL B等级设计。自动驾驶SoC领域,瑞萨、Infineon 、Mobileye等企业产品均达到ISO26262 ASIL D等级,TÜV SÜD已确认英伟达Xavier系统芯片满足ASIL C等级的随机硬件完整性和ASIL D等级的系统能力(最高安全完整性)要求。另外,如地平线、黑芝麻智能、芯驰科技等多家国内厂商相关产品也纷纷获得了ISO 26262标准相关等级认证;
• 在操作系统领域,2022年2月,斑马智行智能驾驶操作系统内核获得了TÜV莱茵颁发的ISO 26262功能安全ASIL D等级产品认证证书。2022年1月,中兴通讯的汽车操作系统GoldenOS微内核产品获得了SGS颁发的ISO 26262:2018汽车功能安全ASIL D等级的产品认证证书。
来源:《2022年汽车功能安全与预期功能安全研究报告》
不难看出,未来汽车零部件需要对功能安全投入更大精力,实现相应的功能安全 ASIL 等级,才能持续获得车企的认可。
第一章 汽车功能安全概述及演进趋势
1.1 汽车功能安全概述
1.1.1 汽车功能安全的定义
1.1.2 汽车功能安全的需求原因
1.1.3 汽车功能安全的主要特点
1.1.4 汽车功能安全发展历史(1)
1.1.5 汽车功能安全发展历史(2)
1.1.6 汽车功能安全的目的
1.1.7 汽车功能安全设计基本原理
1.1.8 一般汽车功能安全工作流程
1.1.9 SEooC 软件开发流程示例
1.1.10 汽车功能安全主要成本构成
1.1.11 汽车功能安全软件工具分类
1.1.12 汽车功能安全设计与验证方法
1.1.13 汽车功能安全基本分析方法
1.1.14 汽车功能安全相关的基本定义
1.2 汽车功能安全发展演进
1.2.1 汽车功能安全量产落地的难点
1.2.2 汽车功能安全的演进(1)
1.2.3 汽车功能安全的演进(2)
1.2.4 汽车功能安全的演进:Fail Operational
1.2.5 Fail Operational案例:SoCs的隔离与重启
1.2.6 汽车安全融合发展趋势
第二章 汽车预期功能安全概述及趋势
2.1 汽车预期功能安全概述
2.1.1 汽车预期功能安全的定义
2.1.2 汽车预期功能安全提出的原因
2.1.3 汽车预期功能安全开发流程(1)
2.1.4 汽车预期功能安全开发流程(2)
2.1.5 汽车预期功能安全场景分析
2.1.6 汽车预期功能安全的目的
2.1.7 汽车预期功能安全系统分析方法
2.1.8 L3预期功能安全设计典型案例
2.2 ISO 21448标准介绍
2.2.1 汽车预期功能安全标准ISO21448发展情况
2.2.2 汽车预期功能安全标准ISO/CD 21448 目录
2.3 汽车预期功能安全发展
2.3.1 汽车功能安全 VS 预期功能安全
2.3.2 汽车功能安全与预期功能安全的融合(1)
2.3.3 汽车功能安全与预期功能安全的融合(2)
2.3.4 机器学习与汽车功能安全及预期功能安全(1)
2.3.5 机器学习与汽车功能安全及预期功能安全(2)
2.4 典型ADAS相关系统预期功能安全研究
2.4.1 车道保持系统的预期功能安全
2.4.2 自动刹车辅助系统的预期功能安全
2.4.3 自适应巡航系统预期功能安全
2.4.4 交通拥堵系统预期功能安全
2.4.5 自主泊车系统预期功能安全
2.5 自动驾驶相关系统预期功能安全研究
2.5.1 自动驾驶系统构成
2.5.2 感知相关的预期功能安全
2.5.3 预测相关的预期功能安全
2.5.4 决策相关的预期功能安全
2.5.5 控制相关的预期功能安全技术
2.5.6 人机交互相关的预期功能安全
2.5.7 V2X中的预期功能安全
第三章 汽车功能安全及预期功能安全相关标准政策
3.1 主要国家汽车功能安全标准及政策
3.1.1 国外功能安全与预期功能安全标准发展情况
3.1.2 国际功能安全标准ISO26262发展
3.1.3 欧盟汽车功能安全
3.1.4 美国汽车功能安全发展
3.1.5 中国汽车功能安全发展
3.1.6 中国汽车功能安全标准研究组织机构
3.1.7 汽车功能安全标准GB/T34590简介
3.1.8 中国汽车功能安全专项标准
3.1.9 中国汽车功能安全相关标准
3.1.10 中国主要汽车预期功能安全相关标准
3.1.11 中国汽车预期功能安全相关标准建设
3.1.12 汽车功能安全测试评价方法研究
3.1.13 中国汽车功能安全和标准研究中长期规划
3.2 功能安全相关标准
3.2.1 汽车功能安全相关标准
3.2.2 汽车预期功能安全相关标准
3.3 ISO26262标准介绍
3.3.1 汽车功能安全标准ISO 26262
3.3.2 ISO 26262 第一版 VS 第二版
3.3.3 ISO 26262标准内容介绍
3.3.4 ISO 26262-2:功能安全管理(1)
3.3.5 ISO 26262-2:功能安全管理(2)
3.3.6 ISO 26262-3:功能安全概念
3.3.7 ISO 26262-3:危害分析与风险评估HARA(1)
3.3.8 ISO 26262-3:危害分析与风险评估HARA(2)
3.3.9 ISO 26262-3:功能安全目标和安全需求层次
3.3.10 ISO 26262-4:系统级产品开发
3.3.11 ISO 26262-4:技术安全概念
3.3.12 ISO 26262-4:系统项目集成与测试(1)
3.3.13 ISO 26262-4:系统项目集成与测试(2)
3.3.14 ISO 26262-4:系统项目集成与测试(3)
3.3.15 ISO 26262-4:系统项目集成与测试(4)
3.3.16 ISO 26262-5:硬件层产品开发(1)
3.3.17 ISO 26262-5:硬件层产品开发(2)
3.3.18 ISO 26262-5:硬件设计
3.3.19 ISO 26262-5:硬件安全分析
3.3.20 ISO 26262-5:硬件设计验证
3.3.21 ISO 26262-5:硬件架构度量的评估
3.3.22 ISO 26262-5:因随机硬件故障而违反安全目标的评估(1)
3.3.23 ISO 26262-5:因随机硬件故障而违反安全目标的评估(2)
3.3.24 ISO 26262-5:因随机硬件故障而违反安全目标的评估(3)
3.3.25 ISO 26262-5:硬件集成和验证(1)
3.3.26 ISO 26262-5:硬件集成和验证(2)
3.3.27 ISO 26262-6:软件功能安全
3.3.28 ISO 26262-6:软件级产品开发概述
3.3.29 ISO 26262-6:软件开发计划
3.3.30 ISO 26262-6:软件安全需求
3.3.31 ISO 26262-6:软件架构设计
3.3.32 ISO 26262-6:软件架构设计-软件安全机制
3.3.33 ISO 26262-6:软件架构设计-软件错误处理机制
3.3.34 ISO 26262-6:软件架构设计-软件架构验证方法
3.3.35 ISO 26262-6:软件单元设计和实现
3.3.36 ISO 26262-6:软件单元验证
3.3.37 ISO 26262-6:软件单元测试用例导出及覆盖率分析
3.3.38 ISO 26262-6:软件的集成和验证
3.3.39 ISO 26262-6:软件的集成测试覆盖度
3.3.40 ISO 26262-6:嵌入式软件测试
第四章 汽车功能安全相关认证及机构概述
4.1 汽车功能安全认证简介
4.1.1 汽车功能安全认证简介
4.1.2 功能安全认证类别
4.1.3 汽车功能安全认证主要流程
4.1.4 汽车功能安全流程认证基本步骤
4.1.5 汽车功能安全产品认证基本步骤
4.1.6 汽车功能安全产品认证流程案例(1)
4.1.7 汽车功能安全产品认证研发流程案例(2)
4.1.8 汽车功能安全认证工作成果
4.1.9 汽车功能安全认证等级ASIL
4.1.10 工具信赖度TCL
4.1.11 工具信赖度TCL评估流程
4.1.12 功能安全认证主要方式
4.1.13 汽车功能安全主要第三方认证机构
4.2 主要汽车功能安全认证机构
4.2.1.1 SGS公司功能安全服务
4.2.1.2 SGS公司ISO26262认证
4.2.1.3 SGS公司ISO26262认证主要客户:国际
4.2.1.4 SGS公司ISO26262认证主要客户:中国(1)
4.2.1.5 SGS公司ISO26262认证主要客户:中国(2)
4.2.2.1 TÜV南德意志集团汽车功能安全认证服务
4.2.2.2 TÜV南德意志集团功能安全培训服务
4.2.3.1 TÜV莱茵汽车领域服务能力
4.2.3.2 TÜV莱茵ISO 26262认证服务
4.2.3.3 TÜV莱茵ASPICE认证
4.2.4 DNV公司功能安全产品
4.3 ASPICE标准介绍
4.3.1 ASPICE标准介绍
4.3.2 ASPICE标准内容
4.3.3 ASPICE标准能力等级
4.3.4 ASPICE标准开发流程
4.3.5 ASPICE流程建设及工具商
4.3.6 ASPICE与ISO 26262的关系
4.3.7 ASPICE与功能安全的融合
4.3.8 ASPICE与整车开发的融合
4.4 ASPICE认证介绍
4.4.1 ASPICE认证简介
4.4.2 ASPICE认证流程
4.4.3 ASPICE认证审核
4.4.4 ASPICE认证审核:准备审核
4.4.5 ASPICE认证审核:执行审核
第五章 主机厂与供应商汽车功能安全布局情况
5.1 主机厂及供应商功能安全布局介绍
5.1.1 全球汽车功能安全失效召回案例
5.1.2 汽车功能安全产业分工(1)
5.1.3 汽车功能安全产业分工(2)
5.1.4 针对汽车功能安全,主机厂和零部件公司的主要工作
5.1.5 主机厂整车项目功能安全实施步骤
5.1.6 主机厂对供应商功能安全能力评估案例
5.1.7 供应商功能安全布局案例(1)
5.1.8 供应商功能安全布局案例(2)
5.1.9 主机厂与零部件汽车功能安全布局
5.1.10 本土主要OEM功能安全布局情况
5.1.11 主要操作系统及基础软件相关企业功能安全认证情况
5.1.12 主要BMS、电动控制器、电池等领域产品及企业功能安全认证情况
5.1.13 部分芯片、域控制器、计算平台等产品及企业功能安全认证情况
5.1.14 OTA、DMS、激光雷达等其他产品功能安全认证情况
5.2 主要主机厂功能安全布局
5.2.1.1 宝马安全策略
5.2.1.2 宝马自动驾驶平台架构的功能安全(1)
5.2.1.3 宝马自动驾驶平台架构的功能安全(2)
5.2.2 奔驰汽车功能安全
5.2.3 福特安全策略
5.2.4.1 长安汽车功能安全布局现状
5.2.4.2 长安汽车功能安全组织团队
5.2.4.3 长安汽车功能安全业务理念
5.2.5 广汽最新电子电气架构功能安全
5.2.6 长城汽车GEEP 4.0架构
5.2.7 天际汽车功能安全:功能安全项目实施(扭矩)
第六章 主要汽车零部件功能安全要求及案例
6.1 汽车主要零部件功能安全要求
6.1.1 汽车功能安全涉及的领域
6.1.2 汽车主要零部件产品功能安全ASIL要求
6.2 汽车主要零部件功能安全案例
6.2.1 数字芯片功能安全
6.2.2 车载智能计算平台功能安全
6.2.3 汽车计算基础平台功能安全评估
6.2.4 Linux功能安全(1)
6.2.5 Linux功能安全(2)
6.2.6 车控操作系统功能安全
6.2.7 汽车SoC中功能安全的典型分配
6.2.8 汽车SoC功能安全解决方案
6.2.9 ADAS控制器的安全架构
6.2.10 ADAS车道偏离预警功能安全
6.2.11 AUTOSAR功能安全
6.2.12 L2级自动驾驶系统端到端的功能安全示例
6.2.13 激光雷达功能安全设计特点
6.2.14 DRAM的功能安全
6.2.15 PACK功能安全工作思路
6.2.16 自动驾驶计算与决策系统平台的功能安全
6.2.17 自动驾驶整体系统安全设计案例
第七章 主要企业汽车功能安全解决方案
7.1 新思科技
7.1.1 新思科技原生汽车解决方案
7.1.2 新思科技 TestMAX测试解决方案
7.1.3 新思科技功能安全验证解决方案
7.1.4 VC功能安全管理
7.1.5 用于汽车 ISO 26262 功能安全的 IP
7.1.6 用于ADAS SoC且符合功能安全标准的 IP
7.1.7 用于互联汽车和信息娱乐系统SoC且符合功能安全标准的 IP
7.1.8 用于网关SoC且符合功能安全标准的 IP
7.1.9 DesignWare IP 子系统
7.1.10 DesignWare ARC 功能安全软件
7.1.11 相关动态
7.2 经纬恒润
7.2.1 公司简介
7.2.2 智能网联汽车功能安全开发解决方案(1)
7.2.3 智能网联汽车功能安全开发解决方案(2)
7.2.4 智能网联汽车功能安全开发解决方案(3)
7.2.5 智驾功能安全开发平台(1)
7.2.6 智驾功能安全开发平台(2)
7.2.7 智能网联汽车功能安全测试解决方案
7.2.8 智驾功能安全&预期功能安全开发及验证平台
7.3 Vector
7.3.1 Vector功能安全解决方案
7.3.2 PREEvision设计工具支持功能安全流程
7.3.3 MICROSAR Safe
7.4 博世
7.4.1 博世功能安全性服务
7.4.2 博世TARA工程
7.4.3 博世系统冗余设计方案
7.5 大陆集团
7.5.1 大陆集团功能安全服务
7.5.2 大陆集团功能安全培训服务
7.6 NXP
7.6.1 NXP汽车功能安全组织结构
7.6.2 NXP功能安全解决方案(1)
7.6.3 NXP功能安全解决方案(2)
7.6.4 NXP功能安全解决方案(3)
7.6.5 NXP ISO26262确认措施
7.6.6 NXP开发流程符合ISO26262
7.6.7 NXP系统基础芯片功能安全等级
7.6.8 下一代平台功能安全架构
7.6.9 下一代平台功能安全架构:硬件安全
7.6.10 下一代平台功能安全架构:安全软件SDK(1)
7.6.11 下一代平台功能安全架构:安全软件SDK(2)
7.6.12 下一代平台功能安全架构:安全软件组合
7.6.13 NXP具备功能安全ASIL-D级的ECU架构设计
7.6.14 NXP 符合功能安全ASIL D级的L3/L4级自动驾驶架构
7.6.15 NXP自动驾驶整套功能安全解决方案
7.7 瑞萨
7.7.1 瑞萨电子汽车电子功能安全技术支持项目
7.7.2 瑞萨电子定量分析工具,简化汽车功能安全标准ISO 26262认证
7.7.3 瑞萨电子汽车电子功能安全技术支持项目
7.7.4 瑞萨电子V3U具有自我诊断能力的ASIL D系统安全机制
7.8 德州仪器
7.8.1 TI用于功能安全设计的产品类型
7.8.2 TI德州仪器功能安全活动
7.8.3 TI德州仪器标准质量管理开发流程
7.9 英飞凌
7.9.1 英飞凌功能安全方案
7.9.2 英飞凌整体功能安全方法
7.9.3 英飞凌功能安全方法
7.9.4 英飞凌提供集成功能安全的构建块
7.10 eSOL
7.10.1 eSOL公司功能安全主要工具
7.10.2 面向功能安全标准中的活动及相关工具产品
7.10.3 面向功能安全标准的咨询服务
7.10.4 汽车功能安全相关文档包产品
7.11 国汽智联
7.11.1 国汽智联简介
7.11.2 功能安全相关软件工具
7.11.3 功能安全质量管理功能和工具树
7.11.4 功能安全软件工具评测
7.11.5 成立预期功能安全工作组
7.11.6 预期功能安全开发流程