道路車輛功能安全的案例
SafeTpack — 基于 AURIX? 2G 實現功能安全目標
SafeTpack 是基于英飛凌 AURIXTM 第二代微控制器的安全相關系統中必不可少的元素。按照道路車輛功能安全標準ISO 26262 的定義,AURIXTM 微控制器硬件和 SafeTpack 軟件可作為電子 / 電氣系統的組成部分一起使用。SafeTpack 由 Hitex 公司根據 ISO 26262-10 作為獨立安全單元(SEooC)研發,Hitex 公司于 1976 年在德國成立,為客戶提供嵌入式開發工具及解決方案,自 2003 年起成為英飛凌集團的一部分。
產品介紹
外部設備依賴于應用程序,如果要正確地實現 AURIXTM安全手冊中的要求,必須實現對它們的測試。SafeTpack 為AURIXTM 2G 的關鍵部件實現了內置安全機制的測試。它確保了 CPU 在運行用戶應用時是安全的。SafeTpack 作為一個AUTOSAR 復雜驅動程序來實現,也可以被任何非 AUTOSAR的 AURIXTM 應用程序使用。
SafeTpack 是 Hitex 公司數十年努力的成果,企業自己開發則會耗費大量人力物力。
SafeTpack 的形式
SafeTpack 以基于 xmakefile 的形式提供,如果需要的話,也可以導入到英飛凌 BIFACES Eclipse。通常它會被編譯成一個可鏈接到主程序的庫文件。
展開 智能駕駛車輛功能安全測試解決方案
在功能安全測試領域,經緯恒潤致力于為客戶規劃定制化的功能安全測試方案、構建功能安全測試工具鏈、提供貼身的測試服務與測試培訓,助力智能駕駛車輛功能安全設計落地。
電動汽車電機驅動控制器功能安全架構研究
0 引言
伴隨著新能源汽車產業的發展,車用電子電氣系統的功能也日趨復雜,如何確保電子電氣系統的功能安全已成為行業關注的重點和研究的熱點。國際標準化組織(ISO)于2011年正式發布了ISO26262《道路車輛功能安全》標準,其提供了一套涵蓋系統(包括硬件和軟件)及其生產制造的完整功能安全設計流程與認證制度,以確保汽車行駛的安全性,并已成為汽車行業目前普遍接受的一套完整的評估并降低風險的方法,獲得了全球主要汽車制造商以及零部件供應商的廣泛認可和采用。盡管該標準針對功能安全性給出了完整的設計流程,對功能安全理念的引入發揮了至關重要的作用,但由于其并不涉及特定產品的具體設計,同時國內外的相關文獻也鮮有介紹,因此如何正確地實現產品級的功能安全,對設計人員而言仍然具有一定的難度。
作為純電動汽車核心動力部件,電機驅動控制器其功能安全的正確實施顯得尤為重要。本文將從純電動汽車電機驅動控制器的安全目標出發,詳細闡述針對不同微處理器結構如何實現系統架構設計層面的功能安全。
1 電動汽車電機驅動控制器安全完整性等級分析
1.1 安全目標及安全完整性等級ASIL
產品安全性開發的最終目的是為了符合安全目標。安全目標是系統最高層面的安全要求,是危害分析和風險評估(HARA)的結果。基于HARA分析可以得出針對安全目標的汽車安全完整性等級(ASIL)。根據文獻可知,ASIL等級的確定需要針對危害事件綜合考慮嚴重度(S)、暴露概率(E)和可控性(C)的因素,如表1所示,其中D代表最高等級,A代表最低等級,QM表示質量管理。
對于S,E,C指標,文獻中均有明確定義,本文不再贅述。需要說明的是,一個安全目標可能與多種危害相關,而多個安全目標也可能與某種單一的危害有關。
展開 道路是危險的,如何讓道路越來越安全?
中央隆聲帶最早使用者之一,美國德拉威爾州保留了一段2.9英里道路在安裝前3年和后6年的數據。比對顯示,在安裝中央隆聲帶后迎頭相撞事故減少了90%,側面碰撞事故減少到0。1996年,科羅拉多州在一段17英里的道路上安裝中央隆聲帶后,44個月的數據顯示,迎頭相撞事故減少了22%,對向側面碰撞事故減少了25%。美國加州等7個州通過對210英里道路(日均車流量在5000到22000輛)上的98個事故點進行觀測后得出結論,這種措施減少了14%的事故率,迎頭相撞事故減少了21%。隆聲帶還有一個很重要的作用是預防駕駛人疲勞駕駛,當車輛發生車道偏移時,隆聲帶的震動感會起到提醒和警示駕駛人的作用。
讓道路更安全,需要有專業的研究做基礎
? 當駕駛任務需求超過駕駛人能力時,車輛很容易失去控制
英國有一個很重要的關于任務需求與能力接口模式的研究。如下圖所示,這是駕駛人的駕駛任務需求與能力接口,反映的是交通事故是怎么發生的。一方是可控制,一方是車輛碰撞,碰撞前一定會有車輛失控,但車輛失控不一定導致碰撞事故,因為失控后還有糾正錯誤的各種機會和因素,比如對方車輛的緊急避讓、路側凈區的容錯功能等。人在駕駛車輛時,車輛在可控制與失控之間,一方是駕駛人的能力,一方是駕駛任務需求。
駕駛任務需求包括物理環境、車輛性能、速度以及其他道路使用者等因素,而駕駛人的能力受到生理特性、教育、培訓、經驗、個人能力等因素的影響。當駕駛任務需求小于駕駛人能力時,車輛可以被駕駛人控制;當駕駛任務需求超過駕駛人能力時,車輛就很容易失去控制。在這里,英國重點強調的是道路交通安全對策主要是想辦法降低駕駛任務需求,讓駕駛任務變的簡單。我們常說十次事故九次快,降速其實就是降低駕駛人的駕駛壓力,從而提升駕駛安全。
展開 
BMS功能安全開發流程詳解
在這個表格里面,在城市道路上發生電芯熱失控導致車輛起火,定的ASIL Level是C;車輛在速度比較低的時候,定的ASIL Level是A。
下表是另外一個文章中過放的HRAR分析:
這兩個表格中參數C(Controllability)很大程度上取決于駕駛員將車輛停靠在安全位置的速度,車速越快,車速越快駕駛員需要更多的時間找一個安全位置將電芯熱失控的車輛安置好。這兩個表格中第二行S/E/C的值都是一樣,而ASIL LEVEL卻不一樣。
有個很簡單的公式來確定確定ASIL LEVEL。如果S+E+C的值小于7,那么ASIL LEVEL是A,詳細如下表。所以第二個表格中的ASIL LEVEL應該C,文章的小瑕疵。
下表是一篇文章對一個高壓電池包HARA分析后給出的Safety Goal.同上面兩個對比,不同的公司或組織對相同的Malfunction給出的ASIL LEVEL是不同的,上面兩個表格對過充的ASIL LEVEL是C,下表為D。
由Saftey Goal衍生出的安全目標應該考慮一下內容
運行模式
故障容錯時間區間(間隔);或故障容錯時
安全狀態
緊急操作時間區間
功能冗余(例如故障容錯)
應為每一個安全目標定義至少一項功能安全要求,盡管一個功能安全要求能夠cover不止一條安全目標,每一條FSR從相關SG繼承最高的ASIL。然后將FSR分配給相關項。
展開 功能安全管理(四):功能安全審核及功能安全評估
作者 | HYZY
出品 | 焉知
知圈 | 進“芯片社群”請加微信13636581676,備注芯片
功能安全開發流程的終點應該是對相關項的安全認可,以確認其達到了生產發布的安全條件。
一、認可措施的關系
ISO 26262標準中定義的認可措施包括認可評審、功能安全審核和功能安全評估三種類型,ISO 26262標準中允許將認可評審和功能安全審核與功能安全評估合并、聯合,以支持相關項類似變型的處理。
下圖1展示了三種認可措施及驗證評審之間的關系,可以看出:
認可評審/驗證評審與功能安全審核相對獨立,分別是針對工作成果及功能安全開發流程;
功能安全評估的范圍最廣,除涵蓋了認可評審、驗證評審和功能安全審核外,還包括安全措施的適宜性和有效性、功能安全實現的論證、安全檔案提供的論證、安全異常原因已按規定關閉等其它內容。
圖 1 認可措施及驗證評審范圍
二、功能安全審核
1、功能安全審核內涵
功能安全審核可類比ASPICE過程能力審核與TS 16949體系審核,可由公司的體系審核員或第三方機構審核員按照ISO 26262標準中對于過程的要求,審核項目開發中的安全流程實施情況。
功能安全審核可與ASPICE過程能力評估一同進行(特別是對于支持過程的審核),但ASPICE過程能力評估不能代替功能安全審核。
展開 美國道路安全局對L2安全性采用同行評議
隨著美國特斯拉的保有量的迅速上升,包括特斯拉在美國使用Autopilot的安全事故增多,8月美國道路安全局開始對特斯拉的Autopilot駕駛輔助系統展開正式的安全調查,這份郵件的目的是并要求特斯拉提供駕駛輔助系統的相關信息和使用數據,如下圖所示。
圖1 8月31日美國道路安全局的郵件
調查涵蓋了2014年至今生產銷售的Model Y、X、S和3,包含Autopilot的車輛為765000輛,NHTSA確認這些車禍都被證實使用了Autopilot或TACC。這12起事故大多發生在天黑之后,軟件忽視了警示燈、信號燈、警示錐和箭頭指示燈等現場警示標識,并撞向了路邊緊急停車的車輛。如果NHTSA確定任何車輛、部件或系統存在設計缺陷或安全隱患,該機構有權進行強制召回。但是NHTSA在要求召回之前,首先會從調查深入到工程分析,這兩個步驟的調查過程通常需要一年以上。
圖2 特斯拉12起Autopilot的事故
一、NHTSA所需要的信息
NHTSA第一部分索要的信息,主要是和車企有關的基本內容,包括車輛的VIN、車型,軟硬件版本(底層),FSD的時間和里程,相關的時間信息。
第二部分索要的信息包括客戶投訴、現場報告、事故報告、第三方處理和訴訟,公司已經收到的原始信息。
而主要的技術細節,主要是車輛自動駕駛輔助系統的運行范圍的信息,如下所示,這些信息主要和技術內容有直接的關聯。
而下面這部分的內容,對于特斯拉的驗證過程。針對系統和事故之間的關聯,也是從失效機理和失效模式去考慮的,從整體的過程來看,NHTSA是想要思考得到特斯拉對于Autopilot這套系統的工作機制完整的失效分析的。
展開 國際標準 ISO11898-5 道路車輛-----控制器局域網絡(CAN)
ISO11898-5是由ISO/TC22,道路汽車,下屬委員會 SC3,電子電氣設備。
ISO 11898 由以下部分組成,在標題道路汽車 ——控制器局域網絡(CAN)下:
-----1部分:數據鏈路層和物理信號理論
-----2部分:高速介質訪問單元
-----3部分:低速,容錯和媒體專用接口
-----4部分:觸發時間通信
-----5部分:低功耗模式下的高速訪問介質單元
簡介
ISO11898于1993年第一次出版,它涵蓋了CAN的數據鏈路層和高速物理層。
復習和調整ISO11898系列:
----1部分:描述數據鏈路層包括邏輯鏈接控制(LLC)子層和介質訪問控制(MAC)控制子層以及物理信號傳輸(PLS)子層。
----2部分:定義高速介質訪問單元(MAU)
----3部分:定義低速,容錯和介質訪問單元(MAU)
----4部分:定義時間觸發通信。
----5部分:定義高速介質訪問單元(MAU)的功耗模式
ISO 11898-1和ISO 11898-2已經取消并被ISO 11898:1993替代。
道路汽車-----控制器局域網絡(CAN)
第5部分:
低功耗模式下的高速介質訪問單元
1.適用范圍
ISO 11898的這部分規定CAN的物理層傳輸速率達到1Mbit/S以供道路汽車適用。這部分按照ISO/IEC 8802-2描述了介質訪問接口單元的功能和媒體專用接口的特征。
ISO 11898的這部分體現了ISO 11898-2的擴展,即滿足低功耗的曾經的新功能。
物理層按照ISO 11898與ISO 11898-2實現了兼容,但是重新定義了ISO 11898的一部分。
展開 道路車輛電氣和電子設備環境應力試驗 附ISO 16750-3-2012 Mechanical loa
為了保護人身安全不受帶電設備傷害,還需對產品做防護測試。防護測試的等級則有IP1X~IP4X。
氙弧燈、金屬鹵素燈測試主要考察汽車涂漆件、內飾件等部件的耐光老化的能力。金屬鹵素燈廣泛應用于汽車產品,而氙弧燈則廣泛應用于日常生活用品,諸如紡織品、涂料、顏料等等。光老化測試結束后,一般會對試樣進行色差、灰卡評級、光澤度、力學性能等方面的檢測,驗證 產品抗光老化能力的高低。
冰水沖擊測試模擬低溫冷水飛濺落在汽車的熱的系統或組件上這一過程,類似狀況常在冬季濕滑路面駕駛時發生。整個測試應用于車上受水飛濺的區域。另外,為了模擬實際狀態下飛濺水 含沙塵,一些測試中還會在冰水中添加亞利桑那粉塵。
高壓射流清洗測試即防水試驗中的IPX9K等級測試。測試分別在四個角度0°、30°、60°、90°角度向產品噴溫度為80℃的高溫水3秒鐘。一般測試完成后,均需打開產品,檢查內部的進水狀況。
蒸汽噴射測試主要考察汽車涂漆或鍍漆部件抗高溫高壓水沖擊的能力,檢驗涂鍍層的附著性能。一般在大眾、福特、通用、奔馳、馬自達、沃爾沃、奇瑞等知名品牌的汽車企業標準中均有 此項測試要求。
耐化學試劑測試模擬各類化學試劑(諸如汽油、柴油、潤滑油、防凍液、清洗液等)滴落或涂抹到設備表面時對設備的功能及外觀造成的影響。一些測試則是將產品浸泡于某一化學試劑中 一段時間,取出后靜置再檢查產品外觀和功能。
下載地址:ISO 16750-3-2012 Mechanical loads
展開 EPB系統功能安全筆記 (19): 功能安全的認可措施(Confirmation Measures)理解與辨析
,是否真的能夠實現功能安全。
MSC在虛擬試駕中引入可靠的車輛動力學技術以加快安全型自動駕駛車輛的開發
MSC 軟件公司(簡稱 MSC,隸屬于海克斯康制造智能分公司)日前推出支持 Adams 的 VTD,它集業界領先的車輛動力學和虛擬試駕仿真于一身,可加快下一代高級駕駛員輔助系統(ADAS)及安全型自動駕駛車輛的開發。
乘用車已經可以讀取交通標志或者發現過往車輛,但這些 ADAS 2+ 功能依賴于改進的傳感器融合技術——合并來自多個傳感器的數據,通過處理更接近事實,因此電子系統可以進行安全決策。與此同時,未來的自動駕駛算法需要真實的測試數據供研究和模型訓練。日前推出的支持 Adams 的 VTD 可仿真動態移動車輛及其傳感器在復雜道路環境中的行為表現,有助于加快此類車輛的開發。
通過 Adams 仿真軟件,汽車制造商可獲得經過驗證的車輛動力學模型和道路試驗,從而了解車輛的運動和操控特性。通過開放接口,現在能夠在由虛擬試駕(VTD)平臺提供的仿真道路環境中“駕駛”這些車輛。
安全系統開發
即便是處在車輛物理極限的極端情況下,ADAS 系統也必須為人員提供保護。支持 Adams 的 VTD 可以根據道路狀況(例如坡度、摩擦力)仿真車輛的各種運動,以確定車輛行為(例如汽車是否打滑或翻滾)并評估行動的最佳路線(例如是否改變車道或者何時剎車)。
展開 
CDOT打造路聯網項目 提升道路安全性并降低事故率
據外媒報道,科羅拉多州交通部(Colorado Department of Transportation,CDOT)要求駕駛員們想象下,若有300萬輛互聯汽車在道路上行駛,那么每小時所產生的數據量會有多驚人。
該州官員在會議中討論了該州的路聯網項目(互聯公路項目,Internet of the Roads project),該項目目前正在進行中,其采用先進技術來提升該州道路的安全性及移動出行效率,為科羅拉多州居民及過境的民眾提供便利的交通服務。
CDOT的項目是美國境內最大的路聯網項目,為道路提供新興技術。該項目其旨在創建一個實時數據中心,配置車聯網技術。
在過去六年中,該州的交通事故致死率高達45%,預計到2040年,交通延誤率將提升122%,CDOT計劃在未來3-5年內打造基礎設施,覆蓋1500英里長的科羅拉多州道路,建立互聯公路廊道。該類技術所需基礎設施的成本與打造5英里長的道路成本相當。
盡管CDOT正在為旗下車隊配置車聯網技術,旨在采集數千輛車輛的車載數據。松下與車企開展合作,計劃到2020年為數百萬輛汽車配置V2I等車聯網技術。
CDOT正在為科羅拉多州打造路聯網,該技術還能與其他地區的設備實現共享及沿用。
目前,該類路聯網網絡分為兩大類:1、無信號控制廊道(non-signalized corridors)——高速、大容量州際公路,可用于展示路況并分享碰撞事故通知。2、信號控制廊道——通常位于市內地鐵、市區,該類技術能夠在交通燈即將變燈時向車輛發送相關信息、幫助應急車輛導航等。
CDOT在配置的這類技術使人工駕駛的常規車輛與自動駕駛車輛同時受益。
來源:蓋世汽車網
展開 汽車軟件測試:需求和最佳實踐
無論是何種類型的產品(安全、儀表盤、導航系統或其他),軟件在獲準用于車輛之前都必須經過廣泛測試。
SIL的優點包括:
軟件測試可隨每個程序模塊完成后定期進行測試,而無需等待最終構建
測試可以實現自動化并同時運行
測試結果可共享且易于分析
它可以將軟件開發與硬件開發分離,因此軟件制造商可以在不受硬件行業瓶頸制約的情況下持續創新
無需要專用的測試臺(下文中提到的HIL測試則需要此類測試臺)
SIL測試易于擴展、可重復性高并且比手動測試更快
硬件在環仿真(HIL)測試
硬件在環仿真測試,顧名思義,是一種與車輛硬件相關的測試和驗證方法。這些模擬器是最終產品的大致模型,在將真實的ECU接入測試系統之前,對其進行全面測試。
HIL測試臺使用來自攝像頭和雷達等設備的數據輸入并實時運行數學仿真模型來模擬實際的汽車發動機動力學。一般來說,HIL測試比SIL測試成本更高,也更耗時,所以要在SIL測試完成之后進行。
汽車軟件測試的重要性并非完全是出于道路安全考慮,同時也需要考慮諸如網絡安全、OEM的信任度和可靠性,以及汽車品牌健康和形象等其他因素。
汽車軟件測試相關法規
當然,針對汽車硬件和軟件組件的測試有著非常嚴格的規定。
《道路車輛功能安全》(ISO 26262)
汽車安全的主要法規是《道路車輛功能安全》(ISO 26262),這一標準適用于量產乘用車,并為公共汽車、卡車、拖車和半掛車的E/E系統提供指導。
《道路車輛網絡安全工程》(ISO 21434)
ISO 21434是基于ISO 26262的后續標準,但它主要側重于汽車軟件及子系統設計和開發中的網絡安全。
展開 智能網聯汽車道路測試與示范應用中的息安全問題與思考
來源 | IoVSecurity
智能街燈概念產品 利用V2I及亮度提升道路安全
據外媒報道,Cohda Wireless設計了一款智能街燈概念產品,用于向警示駕駛人員其周邊存在故障(拋錨)車輛。該智能街燈的亮度可從20%增至100%,用于提醒駕駛員,在臨近的智能街燈附近存在一輛故障車輛。
據該互聯與自動駕駛(connected autonomous vehicle,CAV)軟件研發商透露,該款智能街燈智能產品可利用互聯智能城市基礎設施,提升道路安全性。該設備可標示重大道路險情,鼓勵駕駛員減緩車速并提高警惕,避免發生碰撞事故。
Cohda Wireless首席執行官Paul Gray表示:“對所有道路使用者而言,故障車輛是極大的安全隱患,特別是夜晚在高速公路行駛時,由于光線較暗或轉彎口,容易造成危險。”
“公司的這款概念產品提議,憑借專用短程通信(DSRC)技術,利用車載應用向距離事故車輛最近的智能街燈發送通知信息。”
該街燈配置了硬件,可接收并解讀該信息,然后向智能街燈操控人員發送消息,其利用了云端技術。操控人員則調整該街燈的亮度,直到其他車輛通過該安全區域后,再重新調整其亮度。
目前全球有許多款智能街燈創意,旨在實現街燈基礎設施的網聯互聯性,同時增強其功能性,將車輛到基礎設施技術(V2I)嵌入到智能交通網絡內,提升道路安全性。該技術的理念很簡單,但或許能拯救更多的生命。
來源:蓋世汽車網
展開 