?

?

汽車安全合規(guī)是汽車制造商和零部件制造商必須完成的一項工作，以便開發(fā)對確保安全性來說至關(guān)重要的硬件和軟件產(chǎn)品，并達(dá)到汽車行業(yè)標(biāo)準(zhǔn)所要求的功能安全目標(biāo)。

隨著汽車行業(yè)迅速采用各種先進(jìn)的電子技術(shù)，將互聯(lián)汽車和自動駕駛汽車的想法變?yōu)楝F(xiàn)實，務(wù)必要確保這些新零部件的安全合規(guī)性。如今，這一點比以往任何時候都更加重要。越來越多的硬件零部件被替換成了標(biāo)準(zhǔn)化的嵌入式電子和軟件零部件。

雖然這些新系統(tǒng)讓汽車制造商能夠通過軟件和固件空中（OTA）升級來提供新功能和修復(fù)錯誤，但這些軟件定義的電子和電氣（E/E）系統(tǒng)的廣泛使用也伴隨著潛在風(fēng)險。一輛典型的汽車包含數(shù)百萬行軟件代碼以及諸多電子和電氣零部件，硬件或軟件發(fā)生任何故障，都可能危及司機和乘客的生命安全。

為了有效地解決安全問題，如今的汽車技術(shù)開發(fā)人員依賴于越來越多的標(biāo)準(zhǔn)。其中有一項關(guān)鍵的汽車功能安全標(biāo)準(zhǔn)——ISO 26262，它定義了汽車安全完整性等級（ASIL 等級）。這些不同的安全等級旨在減少由 E/E 系統(tǒng)故障引起的潛在危險，確保汽車部件按預(yù)期安全運行。

為什么汽車安全合規(guī)非常重要？

2016 年，美國的汽車制造商出于安全原因被迫召回超過 5300 萬輛汽車，創(chuàng)下了歷史紀(jì)錄。近年來在中國，由于安全原因召回汽車的事件屢見不鮮。汽車事故是道路事故的主要原因之一，汽車安全合規(guī)成為一項必須滿足的基本要求。

如今的汽車都集成了復(fù)雜的安全和舒適解決方案，如防抱死制動系統(tǒng)（ABS）、安全氣囊、高級駕駛輔助系統(tǒng)（ADAS）和自動駕駛功能，使得今天的汽車堪稱是一項偉大的技術(shù)創(chuàng)新成果。然而，隨著車輛變得更加智能，自主程度變得更高，如果基礎(chǔ)技術(shù)設(shè)計不當(dāng)，可能會導(dǎo)致更多的安全問題。例如，用于控制車輛 ABS 或安全氣囊的硬件發(fā)生故障，可能危及車內(nèi)人員的生命安全。同樣，在純電動汽車中，如果沒有按照標(biāo)準(zhǔn)進(jìn)行適當(dāng)?shù)墓芾砗驮O(shè)計，高壓電源總線和電池組也會造成安全風(fēng)險。

隨著汽車的自動駕駛水平進(jìn)一步提高，我們也對未來的互聯(lián)車輛充滿期待，而控制這些部件的嵌入式電子和軟件系統(tǒng)的功能安全將成為重中之重。幸運的是，目前業(yè)內(nèi)已制定了一些汽車安全標(biāo)準(zhǔn)，其中最受關(guān)注的是 ISO 26262，它提供了一個框架，用于開發(fā)需要滿足功能安全的電子硬件和軟件系統(tǒng)，從而大大降低了相關(guān)的風(fēng)險。

汽車安全合規(guī)如何發(fā)揮作用？

ISO 26262 面向努力確保車輛安全合規(guī)性的汽車供應(yīng)商和技術(shù)開發(fā)人員，概述了技術(shù)安全要求（TSR）和規(guī)范。該準(zhǔn)則必須貫穿車輛的整個生命周期—從車輛的設(shè)計、開發(fā)、生產(chǎn)、上路到報廢，從而實現(xiàn)功能安全。

ISO 26262 標(biāo)準(zhǔn)遵循基于風(fēng)險的方法，以確定電氣或電子元件在實際運行中遇到危險操作狀況時的風(fēng)險水平。在此過程中，每個汽車部件（硬件或軟件）都會進(jìn)行危險分析和風(fēng)險評估（HARA），以確定所有的潛在危險，并根據(jù)三個變量劃分風(fēng)險水平：嚴(yán)重程度、暴露程度和可控程度。

1

嚴(yán)重程度：對司機和乘客的傷害程度

2

暴露程度：車輛暴露在危險中的頻率如何

3

可控程度：駕駛員能在多大程度上控制車輛以防止受傷

例如，假設(shè)我們要對電動助力轉(zhuǎn)向（EPS）系統(tǒng)評估所有可能的故障行為。對 EPS 系統(tǒng)進(jìn)行安全分析后，為分析得出的每個危險事件分別分配相應(yīng)的嚴(yán)重程度、暴露程度和可控程度等級。

嚴(yán)重程度有四個等級，從“無傷害”（S0）到“致命傷害”（S3）

暴露程度有五個等級，E0 代表“幾乎不可能”，E4 代表“非?？赡堋?/p>

可控程度也有四個等級，從“一般可控”（C0）到“不可控”（C3）

然后，將這三個變量與其各自的等級結(jié)合起來，以此確定 ASIL 等級。ASIL-A 代表潛在危險水平最低，而 ASIL-D 代表潛在危險水平最高。如果所有三個變量的潛在危險水平都是最高的（S3+E4+C3），即屬于 ASIL-D 等級。

EPS 系統(tǒng)就需要達(dá)到 ASIL-D 等級，因為如果該系統(tǒng)發(fā)生故障，所導(dǎo)致的相關(guān)風(fēng)險是最高的。相比之下，如果某個部件對于確保車輛安全來說不太重要，它就只需達(dá)到 ASIL-A 等級。

雖然 ISO 26262 標(biāo)準(zhǔn)提供了所有必要的指導(dǎo)方針，以解決汽車內(nèi)每個硬件和軟件零部件的功能安全問題，但它已無法跟上日益復(fù)雜的汽車嵌入式系統(tǒng)的步伐。因此，監(jiān)管機構(gòu)正在努力修訂現(xiàn)有的標(biāo)準(zhǔn)并著手開發(fā)新的標(biāo)準(zhǔn)，以確保最新的汽車技術(shù)能夠符合安全要求。ISO/SAE 21434 正是順應(yīng)了這種趨勢，它是第一個旨在解決汽車網(wǎng)絡(luò)安全問題的標(biāo)準(zhǔn)。

通過 Cadence 實現(xiàn)汽車安全合規(guī)

盡管未來可能會有更多的標(biāo)準(zhǔn)問世，目前的標(biāo)準(zhǔn)也會不斷更新，但高瞻遠(yuǎn)矚的汽車制造商和整車廠（OEM）必須實施相應(yīng)的戰(zhàn)略，開發(fā)質(zhì)量和安全性能符合當(dāng)前最高標(biāo)準(zhǔn)的汽車。這種方法將有助于汽車廠商推出面向未來的產(chǎn)品，確保它們符合仍在制定中的嚴(yán)格安全規(guī)范。

Cadence 提供先進(jìn)的汽車電子功能安全解決方案，幫助部件開發(fā)人員成功地為現(xiàn)代汽車打造安全產(chǎn)品。

Cadence Tensilica ConnX B10 和 ConnX B20 DSP 是業(yè)界率先針對汽車?yán)走_(dá)、激光雷達(dá)和車聯(lián)萬物（V2X）經(jīng)過優(yōu)化的 DSP，助力開發(fā)人員更快獲得 ASIL-B 隨機故障和 ASIL-D 系統(tǒng)故障標(biāo)準(zhǔn)認(rèn)證。帶有 FlexLock 的 Cadence Tensilica Xtensa 處理器也通過了完全符合 ASIL-D 標(biāo)準(zhǔn)的認(rèn)證，能夠為功能安全（FuSa）應(yīng)用提供 ASIL-D 系統(tǒng)性故障和 ASIL-D 隨機故障保護(hù)。

?

互聯(lián)車輛軟件開發(fā)人員還可以使用我們的 Midas Safety Platform，在早期階段探索功能安全架構(gòu)。該安全平臺支持全自動執(zhí)行故障注入和 IP、SoC 及系統(tǒng)設(shè)計的結(jié)果分析，使汽車技術(shù)開發(fā)人員能夠驗證其軟件在故障注入硬件時能否安全運行。借助 FMEDA 和認(rèn)證報告自動生成功能，開發(fā)人員可以加快安全合規(guī)評估流程，達(dá)到 ASIL 目標(biāo)，快速完成 ISO 26262 驗證。