内容提要：本连载学习课堂分为三章，此为第二章，ADS 在功能安全方面所面临的挑战。

连载学习课堂：

ADAS（高级驾驶辅助系统）是ADS（自动驾驶系统）这个大概念的一部分。基于现有 ADAS 的高度连接和联网的信息物理系统，可以实现比较先进的 ADS 功能。

自动化需要信息与其环境的交互，这些交互增加了系统的复杂性。为了确定预期的系统行为，必须知道所有可能的交互所产生的作用，以便识别 ADS 的所有失效，这些失效可能会通过系统边界传递，导致其他系统失效。隐形连接能够影响非期望的系统运行状态，使其不能被识别为失效模式。

在复杂的汽车系统中，功能安全是降低失效引起的安全关键风险的重要课题。

本连载分为三章，重点讨论以下几个方面：

第一章：ADS 所面临的普遍问题和挑战

第二章：ADS 在功能安全方面所面临的挑战

第三章：在功能安全的概念阶段，如何对 ADS 的具体项目进行功能抽象？（包含：相关项定义、HARA、ASIL、安全目标和 FSC 五个详细步骤）

第四章：为了解决复杂的 ADS 系统中的安全分析问题，详细介绍了三种技术：MBSE、CBD以及仿真和协同仿真技术

汽车的自动化水平越高，就更“接近驾驶员人工驾驶”，随之而来的是更复杂的各种技术难题！所以，自动化中的安全性分析比常规系统更加困难。

在“传统”车辆中，驾驶员负责协调所有的功能（驱动、减速、转向、前大灯、方向指示器等）。原则上来说，意味着功能安全所要考虑的是在驾驶员人工驾驶的情况下，处理该车辆功能的特定故障的可能性，对每个独立的系统功能进行单独研究。但是，随着自动化程度的提高，驾驶员不再是整体协调员，所以需要开发新的功能来对故障进行处理。然而现实情况是，由于不同功能之间的相互作用现在变得更加错综复杂、相互依赖，同时汽车系统中各功能之间的定义和界限变得越来越模糊，因此一次只能检查一个功能（或“项目”，即实际或想象的功能实现系统）的ISO 26262 方法已经不适用。

基于现有的汽车工程最佳实践，汽车行业未来技术的开发将会不断发展创新，而不仅仅是简单地复制。文中介绍了汽车行业的技术创新，同时也提出了创新所带来的问题和挑战。

01车辆基本驾驶功能平台

现如今，很多有关 ADS 的讨论普遍是关于通过其他 ADS 功能代替单个驾驶员，其余的则是主要关注用于实现车辆运动的基本驱动功能（例如加速、制动和转向）。为了实现这些基本的驱动功能，驾驶员通常通过车辆制动系统中的液压或电动制动器以实现特定的功能操作。相比之下，为了在无驾驶员情况下完全提供所需的制动力，需要对自动驾驶功能系统进行改进。此外，由于电控单元ECU（例如转向系统）需要检测所有类型的故障并降低其影响，且现有的系统安全功能需要在无驾驶人员的情况下实时监控并自行作出反应，因此必须对当前系统安全的概念进行更新。例如：将转向系统的安全目标定义成：“避免任何由于E/E系统的影响而使转向系统产生反向和非反向请求”（例如，转向角传感器或ECU）。德国OEM厂商发布的三级监控概念（EGAS概念）提供了一种可能的技术解决方案，主要用于规范车辆发动机控制安全的设计原则。

未来汽车行业中，新的安全概念将被引入到车辆架构之中（例如，线控转向系统中的安全概念将与现在截然相反），也就是说，无论发什么失效，都要停用相关功能，进入fail-silent的安全状态（因为可以通过冗余系统架构实现故障下功能运行）。所以，不应仅仅将ADS在现有车辆平台上的实施视为一种附加组件，系统更新还必须根据高度自动化车辆的容错和失效操作功能进行。

问题：现有的车辆平台是否能够兼容 ADS ？

02 从 ADAS 到 href="https://www.i-newcar.com/">ADS 功能

如今，ADAS 功能已成为实现 ADS 功能的基础，而 ADAS 功能涉及汽车特定方面的特定用途，例如：

• 驾驶场景：从简单到复杂的场景（如通过自适应巡航系统ACC早高速公路上保持车距，以及在城市道路交叉口行驶）

• 车速：从低速到高速（例如，从停车到高速驾驶）

• 车辆安全风险：从“常规”到“低”风险（例如，从紧急制动辅助到高速公路自动驾驶）

自动驾驶系统的难点在于实现基本功能的结合和交互。而为了避免非预期的时序和数值的交互，需要将以上特定方面考虑在内来对相关结合和交互进行分析和处理。同时，所有类型的功能和技术交互必须在系统设计阶段得到解决。

问题：要实现 ADS 的功能，是否可以沿用现有的 ADAS 技术？

03传感器与执行器共享

在满足所有功能和技术条件的前提下，不同的车辆功能共享相同的传感器和执行器。由于在功能交互和同步的情况下，传感器信号和执行器命令信号往往不会出错，所以在实际应用时需要对传感器数据和执行器信号机构进行充分融合。特别是需要对所有非必要的交互进行处理分析，从而避免任何隐藏的关联的影响和失效行为的发生。

问题：现有技术是否足能够满足传感器数据和执行器信号融合所需的功能？

04从多个电子控制单元到主机电子控制单元

如今，随着越来越多的车辆功能在现有单核 ECU 上的实现，相关功能（例如时钟频率、散热、车门尺寸）的更新会慢慢达到其极限。在此背景下，需要从单核ECU转变到多核ECU，即从多个ECU的分布式功能向较少多核主机ECU的转变，从而实现更多不同的功能。但是这项全新的技术还需要新的安全功能。对于符合 ISO 26262 的安全关键应用，这些带有共享资源的多核 ECU 必须与硬件中的特定安全措施兼容（例如，使用锁步内核或内存保护），同时，安全措施需要有软件和软件工程约束的支持。新的安全功能操作系统和应用软件必须考虑到实时性（例如核心负载）、功能性（例如序列）和安全性（例如空间冗余）。此外，多核主机ECU所面临的另一个挑战是将来自不同供应商的各种新算法集成到平台中以进行协调和配置。所有多核主机ECU的相关应用都必须符合ISO 26262，并需要证明和评估其安全性。

问题：新技术是否与安全关键应用兼容？

这些问题将在后续更新的文章中得到答案，下一篇将信息说明在技术创新的情况下，如何应用ISO 26262来达到安全性的目的。学习更多技术，可申请牛喀学城的安全技术培训班或辅导服务，关注牛喀网，敬请期待下期！

作者：牛喀网特邀专家
牛喀网文章，未经授权不得转载！