迈过 2021 年,汽车的智能化已经成为行业内无可争议的事实,而「量产」也成为了自动驾驶圈年度最热关键词。
过去的一年里,不管是在 Robotaxi(无人出租)、Robotruck(无人卡车)还是其他赛道,包括百度 Apollo、小马智行、文远知行、毫末智行、友道智途、主线科技、嬴彻科技等自动驾驶公司均纷纷剑指无人车量产。
而乘用车领域,蔚来、小鹏、理想、威马、高合、路特斯、集度等汽车 OEM 也早已将高级别智能驾驶的量产车型提上了日程,已开始或即将批量化交付。
就在最近,特斯拉在 2021 年第四季度车辆安全报告中表示:Autopilot 让行车安全达到美国平均水平的 8.9 倍,再次引发圈内热议。
随着高级别自动驾驶量产在即,汽车安全的确成为了越来越多人关注的话题。
但是,自动驾驶汽车真的安全吗?
如今,智能驾驶、智能座舱在新车中的渗透率不断提升,智能汽车越来越像四个轮子的大号「手机」。
然而汽车消费电子化的过程,本身也给车辆引入了更多的电子电气部件。相比于传统的燃油车,电动汽车中电子元器件的数量大约翻了 15 倍。
这些新部件和传统车辆上以机械为主的部件有着巨大的不同:无论多么精密的电子电气部件,都存在着一定随机失效概率(随机失效指:发生的时间无法确定、服从概率分布而发生的硬件失效,例如电阻开路、短路、阻值的漂移等)。
传统的燃油车受人所控制,而未来当机器代替人驾驶,一旦出现失效,人却不能控制,其带来的后果将十分严重。
随着电子电气部件增加而带来的随机失效概率的升高,车辆的整体安全特性将会受到越来越多的影响。
首先,智驾系统越来越复杂。无论是制动还是转向助力等系统,智能驾驶车辆具有更多的电控、线控部件。
其次,智能传感器数量越来越多。车辆的智能驾驶能力越强,其智驾系统的软硬件也越复杂。
从传统的 L1 演变到 L4 级自动驾驶,传感器数量从一两个,演化到数十个,同时对算力也提出了更高要求。
高级别自动驾驶功能使电子电气系统在更多时间段和更多场景下介入对车辆的控制,但它们的随机失效又威胁到生命安全,传统汽车的安全体系在面对新的失效方式时遇到了挑战。
如要保障智能汽车的安全,其整车的安全要求、安全设计和测试验证流程都需要发生变化,而其中能够解决电子电气部件随机失效问题的重要一环,就是功能安全。
01、汽车功能安全的血泪教训:丰田刹车门
总体来说,整车安全包括被动安全、机械安全、化学安全、驾驶行为安全等,而大量电子电气系统加入后,又增加了主动安全、电气安全、功能安全、预期功能安全、驾驶行为安全、网络安全等要素,并且这些要素之间还存在并行或交叉,使整车安全变得错综复杂。
在智能网联汽车引入新技术的同时,也相当于引入了功能安全、预期功能安全和网络安全,其中功能安全的问题可能是最早凸显的。
以汽车发动机中的节气门为例,节气门是发动机的咽喉。节气门的开度越大,发动机进气量越大,动力越强,车辆加速越快。最早的节气门是通过机械结构与油门踏板直连。
大约 1988 年前后,电子节气门出现,它取消了油门踏板和节气门之间的机械连接,改用传感器来检测油门踏板的踩踏深度,再经车机系统来控制节气门开度。
由于取消了油门踏板与节气门之间的直连,电子节气门使得汽车具备经济、运动等多种丰富的驾驶模式,提高了驾驶体验和车辆的可玩性。
但新问题也随之产生。大约在 2000 – 2010 年期间,正是因为针对电子节气门的安全设计不足,丰田汽车吃到了惨痛的教训——最终召回 70 万台汽车,支付十几亿美元的和解费用,并先后导致了 89 人在丰田旗下车型相关的事故中丧生。
这一案例就是当时著名的「丰田刹车门」。虽然调查过程中事件一度「反转」,但最终美国 NHSTA 的调查显示,导致丰田刹车门的主要原因,正是当时丰田在控制电子节气门的软件中对关键的变量保护不足,或者说缺乏冗余。
一位汽车功能安全工程师向我们解释:例如部分变量在受到外界干扰(如伽马射线)时,会变成错误值,就会导致车辆不可控的加速。
丰田为「刹车门」付出了惨痛的代价,在整个行业范围内,这个案例也推动了汽车功能安全的建设,尤其是软件安全性的发展。
02、不重视功能安全的智能汽车就是裸奔
汽车功能安全的本质,就是通过一套体系来识别及分析安全风险,推动产品开发过程在设计、生产、售后环节避免系统失效引发人身伤害——通俗来讲,就是把导致危险的概率降到足够低。
车辆的非预期加速减速、无法进行转向、汽车的安全气囊在不该弹出时弹出……这些都是汽车功能安全没有做好可能会引发的严重后果。
一位资深汽车业内人士形象地将功能安全工作之于智能网联汽车企业比喻为「打地基」:如果地基没打稳,上面盖的楼越高,大厦坍塌时带来的后果就越严重。
首先,开展功能安全工作需要在产品架构设计、器件选型阶段就开始,否则未来即使发现了安全设计缺陷,想彻底整改的机会都没有。因为企业将会受制于设计变更可行性、供应链稳定性、生产一致性,以及可验证性等各种全方位的挑战。
其次,就算企业幸运,没有出现类似于「丰田刹车门」的严重事故,但在汽车领域安全事故就是零容忍。一旦离开功能安全,智能网联汽车就像脱缰的野马,销量越高,也许反而会越让管理层睡不着觉。
因为谁都知道存在风险,随着时间推移,卖的越好也就越担心,而且「亡羊补牢」付出的代价也越大。谁知道下一个事故何时发生呢?
也就是说,不重视功能安全的智能汽车,安全无从保障,与「裸奔」无异。
那么如何通过功能安全设计来降低风险概率呢?目前的主要做法是通过各种分析手段来进行风险因素拆解。
找到车辆电子电气系统中可能引发安全问题的点位(比如传感器、感知算法、执行器等),并对该点位进行连续不断的检测和监控,一旦发现点位失效,则使系统进入「安全模式」,比如向用户发出提醒,不要使用车辆或靠边停车。
对不合理风险的分析评估,是功能安全的设计与开发过程中的第一个环节,被称为 HARA(危害分析和风险评估 Hazard Analysis and Risk Assessment),而风险的危害程度、暴露程度和可控程度将共同决定风险的等级,这个我们稍后展开再表。
这种故障检测-故障响应-安全状态的一套逻辑,就是功能安全的基本原理。
正是由于近年来在汽车行业内,功能安全越来越受到车企的重视,因而诞生了专门的业内权威标准——ISO 26262。
汽车行业内大家一般提到「做好功能安全」,就是指对应系统的开发无论是从流程层面还是技术层面都要符合 ISO 26262 的标准要求。
03、做好关键零部件的功能安全,是汽车安全行驶的第一环
在自动驾驶链条中,感知是整个技术栈的第一环。感知传感器扮演了自动驾驶汽车「眼睛」的角色,一旦传感器出现问题,自动驾驶汽车系统后续的决策、执行都将受到极大影响。
面向高级别自动驾驶,功能安全要求其核心传感器要具备自检、故障诊断、报警等功能。
我们以激光雷达为例进行风险分析。作为一种发射激光与接收回波的装置,以下列举了几种激光雷达可能出现的问题:
瞎线:前方存在物体,但没有检测到物体,这种情况可能导致自动驾驶车辆与漏检目标发生碰撞;
鬼影:前方不存在物体,但检测到了物体,这种情况可能导致自动驾驶车辆发生「非预期的制动」;
数据偏差:检测到的数据与真实物体的 (x, y, z) 坐标存在偏差。
进一步分析,针对其中一种出现「瞎线」的情况,激光雷达的组件部分可能存在:发射器端部分没有正常工作;接收器端部分没有正常工作;或者通信部分没有正常工作等情况。
再进一步,发射器端失效又可能是发射触发电路上某些短路、开路等导致。
上图点云可见实际存在车辆,但下图点云由于缺少了几线, 车辆不可见了,这种情况就是「瞎线」
按照这样的风险分析(故障树分析)方式,激光雷达的失效将可被分解出上万种元器件的失效。
而功能安全的设计,则会对发射器、接收器以及通信电路等整条链路上的组件进行监测,如果发现激光雷达传感器的组件存在失效的情况,传感器则会向自动驾驶系统发出报警,系统可能降低激光雷达输入信息的置信度或者选择从自动驾驶状态退出,或者进入最小风险状态,降低车速并停车。
在这个过程中,功能安全开发要覆盖包括整车级、系统级、软件系统级、软件架构级、软件单元级、软件接口级、硬件系统级、硬件架构级、硬件单元级、硬件接口级等 10 多个不同级别的需求。
从产业分工来讲,通常 OEM 主机厂会覆盖整车级与零部件概念级的功能安全需求开发与测试验证,Tier 1 与 Tier 2 们则各自负责其对应的系统以及软硬件层级的功能安全开发和验证。
前面我们提到了风险的危害程度(Severity)、暴露程度(Exposure)和可控程度(Controllability)将共同决定风险的等级,功能安全设计要求覆盖对应的风险等级,分别为 QM、ASIL A、ASIL B、ASIL C 和 ASIL D。
功能安全等级的高低,代表对应电子电气系统在汽车行驶安全中的重要程度的高低,同时也对应了这款产品在开发过程中的安全活动复杂程度的高低。
比如一款用于倒车辅助的摄像头,相应的 ASIL 等级最高也就 ASIL A;
激光雷达作为自动驾驶系统的重要环境感知传感器之一,一般车企都要求其达到 ASIL B 级别;
像电机控制器这种在汽车安全行驶过程中直接决定车速的部件,就必须达到 ASIL D 级别。
而一款高阶智能驾驶汽车的自动驾驶系统,整体也要符合 ASIL D 级别。
尽管不少车企已经在 2021 年将高阶智能驾驶量产提上日程,甚至 2022 年一部分旗舰车型将正式发布 L3 及 L4 自动驾驶系统,但整体上目前市面上的摄像头、毫米波雷达、激光雷达等传感器中的一大部分仍非常缺乏完善的功能安全设计,能够通过权威机构的 ASIL 安全认证的此类产品更是凤毛麟角。
从公开信息上,我们可以看到一小部分的国内外厂商已经在功能安全领域有所行动:
在摄像头领域,安森美在内部开发了针对功能安全的整套工艺流程。根据其公开的信息,目前其 CMOS 传感器、汽车多输出电源管理 IC、红外 LED 照明控制器等产品都是符合功能安全标准。
毫米波雷达领域,国内的加特兰微电子 Alps 系列毫米波雷达 SoC 在去年获得了 ISO 26262 功能安全产品认证证书。据加特兰方面介绍:这是国内首个完全符合 ISO 26262 标准并获得第三方认证的芯片产品,达到 ASIL B 级别。
在激光雷达领域,禾赛科技的 Pandar128 在 2021 年 9 月获得德国 SGS-TÜV ISO 26262 ASIL B 功能安全产品认证,成为全球第一款获 ASIL B 认证的激光雷达。
在计算平台领域,华为 MDC 在 2020 年 12 月拿到了 TÜV 南德意志集团颁发的针对 MDC 610 的 ASIL D 功能安全认证。地平线也在 2021 年 7 月宣布,其征程 5 芯片的功能安全架构和具体设计通过 ISO 26262 ASIL B 产品认证。
04、国内外车企愈发重视,功能安全成必打的硬仗
实际上不管是自动驾驶公司还是 OEM 主机厂,都越来越重视功能安全。在国内外市场,功能安全成为自动驾驶落地量产前必打的一场硬仗。
大型国际车企通过三电等技术的开发,已经积累了比较深厚的技术诀窍(know-how)。其针对零部件的功能安全,往往也有非常深入、系统性的要求。
例如通用汽车在考察零部件供应商时,就会将是否拥有「独立安全团队」作为供应商选拔的一个重要基础标准。
一位前通用汽车的工程师告诉我们,通用汽车对于供应商在零部件功能安全上的要求实际要高于 ISO 26262。
与此同时,国内车企近几年也对功能安全加大了重视与投入。
国际知名认证机构 SGS 的工程师赵益宏告诉汽车之心,以国内吉利、上汽、广汽、长城等头部自主品牌和头部新势力车企为代表,目前车企对功能安全的理解已经非常深刻,当前国内汽车行业正迎来智能驾驶产品/零部件功能安全需求的高速增长期。
智能汽车开辟的新赛道,一定程度上加剧了车企之间的产品竞争,众多车企都希望在更短周期内开发出功能更强、体验更好的汽车产品。背靠百度与吉利的集度汽车就是其中的代表。
集度汽车的首款概念车设计, 车前左右两侧的跳灯设计为激光雷达
集度汽车方面告诉汽车之心,集度通过将软硬件解耦,以并行开发的方式来缩短开发周期,提高开发效率。
在智能驾驶上,集度将在 2023 年交付时,即提供领先、安全可靠的自动驾驶体验,而不是靠后续的 OTA 实现。因此,其智能驾驶软件的开发已经做了大量的前置工作。
针对智能驾驶、智能座舱的零部件,集度要求智舱相关的芯片、传感器至少达到 ASIL B 功能安全等级,智驾相关硬件至少达到 ASIL D 功能安全等级。
线控底盘作为智能驾驶的执行器,对于安全冗余设计、执行器本身的安全等级都有 ASIL D 最高等级的要求。另外,还需要考虑智能驾驶系统和线控底盘执行器之间的交互的安全可靠。
零部件供应商在零部件研发和量产方面要有非常深的技术积累和实战经验。特别是硬件载体上,通过更新迭代,使产品更加稳定可靠。
我们也从激光雷达技术公司禾赛科技方面了解到,其对功能安全的高度重视源于客户的切实需求。
比如此前某新势力车企就对禾赛的车规级半固态激光雷达提出了 40 余个大项的功能安全要求,包括要避免感知距离大于实际距离、避免丢点、避免鬼影、避免不正常的数据延迟等等,以及在出现各类异常时要具备监测能力并及时向车辆上报。
目前车企的智能驾驶系统设计目标普遍为 L2+级别,更有不少头部自动驾驶公司以开发 L4 级自动驾驶系统为目标,对零部件提出了更高要求。
Waymo、Nuro、百度 Apollo 等公司已经先后发布自动驾驶安全白皮书,其在系统设计中对功能安全均有明确要求。
不难看出,未来汽车零部件需要对功能安全投入更大精力,实现相应的功能安全 ASIL 等级,才能持续获得车企的认可。
05、近万条失效分析、28 个月迭代,才造就一个「持证上岗」
既然功能安全如此重要,为什么至今获得权威认证的零部件产品仍是少数呢?简单来说,功能安全开发需要投入的成本是巨大的。
业内通常认为,达到 ASIL B 要增加项目 30% 的成本,而达到 ASIL D 要增加项目的 60% 的成本。显然,这个过程费时费力费钱,必须要得到公司高层的重视才能顺利开展。
粗算了一下,这其中的成本包括且不限于:
硬件成本。ASIL 等级的功能安全常常需要增加冗余和检测部件,也就是增加硬件组件,核心芯片也都需要经过功能安全认证,而且往往不止一个芯片;随机硬件失效概率度量不达标,需要更换可靠性更高/失效率更低/已有功能安全设计的芯片或者电子元器件等等。
软件成本。需要开发新的承担功能安全的软件;软件分区等措施的引入可能对原有软件架构影响很大;白盒测试(一种测试用例设计方法)的覆盖率指标要求很高,达不到的话需要返工;增加安全机制有可能造成软件不稳定,需要大量时间来调试、修改、验证,在保证安全性的同时尽可能少地影响可用性。
工具链成本。需求管理工具;安全分析工具;软件开发工具;软件测试工具等
管理成本。流程体系建立需要投入人力;项目安全管理需要投入人力;功能安全审计需要投入人力;功能安全评估需要投入人力。
一位功能安全工程师评估,「(对一家车企而言,从零开始投入)开发一套完整的功能安全体系,保守估计也要上亿人民币。」
此外,新型电子电气零部件也给汽车功能安全建设引入了未知和挑战。
以激光雷达为例,禾赛科技系统安全负责人告诉汽车之心,由于激光雷达是高精度、高实时性的传感器,其功能安全设计与认证,要比过去汽车上大部分零部件的功能安全认证更复杂。粗略估计,激光雷达的认证要比毫米波雷达、摄像头复杂 1.5 倍以上。
据了解,Pandar128 内有 6095 个元器件,大致相当于一台中档燃油车上的电子元器件数量。其安全需求不仅分配到了系统的软件和硬件层面,很大部分还分配到了 FPGA 来实现对激光雷达安全相关故障的监控和反馈。
另外,为了功能安全的合规,实现程序正义,禾赛还引入第三方权威认证公司对产品进行全流程深度考察,经过近万条失效分析、300 多份工作成果、28 个月的数轮迭代后 Pandar128 成为了全球第一款获得 ASIL B 产品认证的激光雷达。
即便成本巨大,功能安全这件事仍是一项必要的工作。
集度汽车表示,在选择零部件供应商时,首先要考察的就是供应商是否能够提供满足相应 ASIL 功能安全等级的档案,以证明相关的安全要求有落地并验证通过。
同时,来自车企与认证机构的信息都显示,2021 年大量的零部件企业,尤其是智能驾驶零部件公司,都在进行对应产品功能安全的开发与认证。
由于当下智能驾驶系统仍处于开发和快速迭代的阶段,这意味着智能驾驶零部件也在快速迭代,从而进一步影响产品的功能安全设计。
对于车企而言,在选择智能驾驶电气部件时,具备功能安全经验丰富的第三方权威机构的认证,相当于双重保险,同时降低了考察供应商的时间成本。
06、未来的汽车是智能的竞争 更是安全的竞争
随着新势力的入场、互联网巨头开始造车,汽车行业也越来越内卷。而未来行业的竞争不仅仅是智能的竞争,更是安全的竞争。
除了功能安全之外,预期功能安全与网络安全也是与汽车电子电气部件强相关的安全要求。有时,这三类安全要求也被称为「智能汽车安全三剑客」,缺一不可。
例如传感器性能限制引发的预期功能安全问题,可能引发如特斯拉一样的汽车事故。
而开源/第三方软件、OTA 技术、网联技术等新技术的引用而导致的网络安全问题,可能引发通用汽车安吉星被攻破、黑客直接开车走人这样的事故。
这意味着,未来的智能网联汽车需要解决功能安全、网络安全、预期功能安全相关的全部风险,才能大批量化交付使用。三种安全体系融合开发,比单单做好功能安全,又上了一个维度。
这三类安全相互独立又相互依存,但又同时会对产品设计产生影响。因此,最理想的方式,是企业在进行产品开发时,就要对多重的安全体系进行系统建设,否则各类安全体系的建设会相互干扰,反倒降低了效率。
比如为了信息传递中的网络安全,而引入一个新的加密芯片,新的加密芯片也需要满足功能安全设计。
事实上,为了最大程度实现三类安全的体系融合、架构设计融合,标准 ISO 21434 和 ISO 21448 本身就是基于 ISO 26262 框架设计的,三者有着较高的相似度。
如此一来,只要产品研发之初就能同时考虑到多种安全设计,设计人员完全可以依据互相融通的安全标准高效地并行开展这三类安全工作。
以激光雷达来说,作为智能网联汽车必不可少的感知传感器,自然也要解决由激光雷达引发的三方面安全风险:
例如激光器损坏引发的功能安全问题、点云数据被篡改引发的网络安全问题及光罩赃污引发的预期功能安全问题等。
网络安全攻击示例:雷达和整车之间的通信被黑客进行重放攻击,将有人的点云(左图)替换成提前录好的无人的点云(右图), 可能导致与行人发生碰撞
作为激光雷达的龙头厂商,禾赛科技也是传感器安全领域的先行者。
在有些企业可能连功能安全都没有达到的当下,禾赛科技已经先一步进入了功能安全、预期功能安全、网络安全「三合一」的阶段。
据禾赛科技系统安全负责人透露,禾赛的系统安全战略是从解决激光雷达电子电气失效引发的功能安全出发,同时开展网络安全、预期功能安全的技术预研;在体系建设和架构设计上,已经完成了「三合一」的融合,以及同传统产品开发流程的融合。
在产品安全技术方面,随着 Pandar128 获得全球首个 ASIL B 的激光雷达产品认证,网络安全、预期功能安全的技术开发及认证也会陆续完成。
目前,禾赛在上海的超级工厂「麦克斯韦」智造中心将在今年投入使用,设计年产能为百万台级别。安全体系建设完备,也是百万销量背后有力的支撑。
随着头部车企量产高级别自动驾驶的目标临近,车规级激光雷达的大规模量产也箭在弦上。以蔚小理三家为例,其下一代旗舰车型蔚来 ET7、小鹏 G9 以及理想 X01 均将搭载激光雷达。
背靠巨头的集度汽车和小米汽车也都蓄势待发:集度宣布新车将于今年发布、2023年交付,小米也公开宣称将于2024年发布首款车型。
在新能源汽车渗透率超预期增长、智能汽车的头部玩家数量和规模都在快速扩张的背景下,智能驾驶被消费者赋予了更多的期待。
在这样的高预期下,任何微小的安全问题都会被数倍放大,造成极大的影响。因此对整个行业而言,围绕智能化技术的安全体系构建愈加重要而又紧迫。
随着汽车的竞争加剧,过去一款车型通常 3 – 5 年的开发周期,如今已普遍压缩至 24 – 36 个月。
这些都意味着需要在更短周期内,对越发复杂的汽车智能化功能进行全面的安全开发与验证,全产业链都必须加大对安全的投入力度,提速开发量产的经验积累。
也只有如此,自动驾驶才能真正让汽车更加安全。毕竟「无安全 不智能」,安全才是一切的先置条件。
来源:第一电动网
作者:汽车之心
本文地址:https://www.d1ev.com/kol/168443
文中图片源自互联网,如有侵权请联系admin#d1ev.com(#替换成@)删除。