童菲 尚世亮 熊志剛

（泛亞汽車技術(shù)中心有限公司，上海，201201）

主題詞：功能安全 系統(tǒng)功能安全架構(gòu) 系統(tǒng)架構(gòu)

0 前言

安全是汽車產(chǎn)品在信息化、集成化、自動(dòng)化、網(wǎng)絡(luò)化和智能化方向發(fā)展過程中面臨的核心和關(guān)鍵問題，汽車電控系統(tǒng)日趨復(fù)雜，新的功能越來越多地觸及到系統(tǒng)安全工程領(lǐng)域，來自系統(tǒng)性失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)逐漸增加[1]。此外，智能駕駛車輛中的人員誤用、系統(tǒng)局限以及環(huán)境影響也會(huì)使電控系統(tǒng)在不發(fā)生故障的情況下產(chǎn)生安全風(fēng)險(xiǎn)[2]。因此，如何設(shè)計(jì)有效的系統(tǒng)安全架構(gòu)，確保及時(shí)探測(cè)到潛在風(fēng)險(xiǎn)并可靠執(zhí)行安全緩解機(jī)制[3]，成為汽車系統(tǒng)功能安全以及預(yù)期功能安全開發(fā)的關(guān)鍵點(diǎn)之一[4]。本文將符合功能安全要求的系統(tǒng)架構(gòu)特征抽取出來，形成系統(tǒng)功能安全架構(gòu)，從“失效安全”和“失效可運(yùn)行”兩種功能安全狀態(tài)出發(fā)，重點(diǎn)研究車載系統(tǒng)功能安全架構(gòu)在控制、輸入、通信、電源、人機(jī)交互以及外部措施等方面的設(shè)計(jì)與未來發(fā)展，為汽車系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)提供了有益的參考和借鑒。

1 功能安全對(duì)系統(tǒng)架構(gòu)設(shè)計(jì)的影響

不論是針對(duì)系統(tǒng)性故障及隨機(jī)硬件失效的功能安全，還是針對(duì)人員誤用、系統(tǒng)局限以及環(huán)境影響的預(yù)期功能安全，它們的目的都是在潛在安全風(fēng)險(xiǎn)發(fā)生時(shí)通過一定的緩解機(jī)制將系統(tǒng)及時(shí)地導(dǎo)向安全狀態(tài)。在這個(gè)過程中，對(duì)潛在風(fēng)險(xiǎn)的識(shí)別、安全狀態(tài)的定義、緩解機(jī)制的設(shè)計(jì)等都與功能本身有著極為密切的關(guān)聯(lián)，會(huì)對(duì)系統(tǒng)架構(gòu)的設(shè)計(jì)產(chǎn)生深度影響，須在設(shè)計(jì)初期就充分考慮功能安全以及預(yù)期功能安全的需求，并從系統(tǒng)架構(gòu)的設(shè)計(jì)層面就融合這些“安全需求”。

盡管車載功能千變?nèi)f化，但在系統(tǒng)架構(gòu)設(shè)計(jì)層面，對(duì)“冗余性”、“獨(dú)立性”等高層面安全需求的架構(gòu)設(shè)計(jì)還是有一些共通之處的。本文嘗試將符合這些高層面安全需求的系統(tǒng)架構(gòu)特征抽取出來，形成系統(tǒng)功能安全架構(gòu)，著力探討系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)與未來發(fā)展。

2 汽車系統(tǒng)功能安全架構(gòu)的分類

依照功能失效后是否需要繼續(xù)提供服務(wù)來維持安全狀態(tài)，車載功能可分為“失效安全（Fail Safe）”和“失效可運(yùn)行（Fail Operational）”兩種類型。

“失效安全（Fail Safe）”型是指功能失效后可直接進(jìn)入預(yù)定義的安全狀態(tài)，無需繼續(xù)提供服務(wù)也不會(huì)產(chǎn)生潛在危害。例如“非預(yù)期的失去驅(qū)動(dòng)力“，”電動(dòng)車窗/尾門失去防夾功能“等。

“失效可運(yùn)行（Fail Operational）”型是指功能在失效的情況下，即使系統(tǒng)已經(jīng)轉(zhuǎn)入預(yù)定義的安全狀態(tài)，但如果沒能繼續(xù)提供基本服務(wù)，仍將產(chǎn)生潛在的危害。例如，車輛在運(yùn)行中突然”失去轉(zhuǎn)向助力“或者”失去剎車助力“等。當(dāng)這些情況發(fā)生時(shí)，如果不能繼續(xù)提供一定的轉(zhuǎn)向助力或制動(dòng)助力也將導(dǎo)致車輛失去可控性或違背預(yù)期的功能設(shè)計(jì)目標(biāo)，影響人身安全。

針對(duì)上述兩種類型的功能，其系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)側(cè)重點(diǎn)也有所不同?！笆О踩毙拖到y(tǒng)功能安全架構(gòu)設(shè)計(jì)的重點(diǎn)在于如何及時(shí)發(fā)現(xiàn)功能的失效并確保在故障容錯(cuò)時(shí)間間隔（FTTI）內(nèi)轉(zhuǎn)至預(yù)定義的安全狀態(tài)?！笆Э蛇\(yùn)行型”系統(tǒng)功能安全架構(gòu)設(shè)計(jì)的重點(diǎn)在于如何及時(shí)發(fā)現(xiàn)功能的失效，并及時(shí)啟動(dòng)備用或者冗余系統(tǒng)控制，確保在失效發(fā)生后的一段時(shí)間內(nèi)（例如預(yù)定義的人員接管時(shí)間），系統(tǒng)仍能繼續(xù)維持安全相關(guān)功能，使車輛處于可控狀態(tài)，避免危害的發(fā)生。

3 汽車系統(tǒng)功能安全架構(gòu)設(shè)計(jì)

3.1 典型的失效安全型系統(tǒng)功能安全架構(gòu)

典型的“失效安全型“系統(tǒng)功能安全架構(gòu)是由德國(guó)汽車工業(yè)協(xié)會(huì)（VDA）提出的E-Gas架構(gòu)[5]。E-GAS采用三層架構(gòu)設(shè)計(jì)方式，其架構(gòu)簡(jiǎn)化框圖如圖1所示，其中第一層主要運(yùn)行系統(tǒng)功能，第二層是對(duì)系統(tǒng)安全關(guān)鍵功能的實(shí)時(shí)監(jiān)控，第三層負(fù)責(zé)對(duì)系統(tǒng)運(yùn)行的底層軟硬件進(jìn)行實(shí)時(shí)監(jiān)控，每一層都有獨(dú)立的失效路徑控制，最終通過一定的邏輯組合使得系統(tǒng)快速進(jìn)入“失效安全狀態(tài)”。這種分層的架構(gòu)設(shè)計(jì)有助于探測(cè)安全相關(guān)的失效，并可通過分層失效控制路徑，及時(shí)限制或者終止系統(tǒng)的錯(cuò)誤輸出，讓系統(tǒng)進(jìn)入安全狀態(tài)，避免潛在危害的發(fā)生。

圖1 E-GAS簡(jiǎn)化框圖

“失效安全”型系統(tǒng)功能安全架構(gòu)在實(shí)際開發(fā)中根據(jù)系統(tǒng)的其他設(shè)計(jì)需求可有兩種應(yīng)用方式。其一是采用多芯片的方式，將“功能層“和”功能監(jiān)控層“分開布置，例如第一層（功能）布置在芯片#1內(nèi)，將第二層（對(duì)安全關(guān)鍵功能）布置在芯片#2內(nèi)，將第三層（底層軟硬件的監(jiān)控）分散在芯片#1和#2內(nèi)，并采用外部Watchdog的方式進(jìn)行整體把控。需要注意的是，實(shí)施安全機(jī)制的芯片需要具備較高的ASIL（Automotive Safety Integrity Level）等級(jí)，以滿足GB/T 34590.9[6]對(duì)于ASIL分解的要求。

另一種是采用單芯片的方式，將“功能層”和“功能監(jiān)控層“部署在一塊芯片內(nèi)。這主要?dú)w功于芯片技術(shù)的發(fā)展，雙核鎖步芯片使得“功能層”和“功能監(jiān)控層”可以共存于一塊芯片的兩個(gè)核中，通過鎖步技術(shù)實(shí)現(xiàn)兩者的同步，同時(shí)保持對(duì)功能監(jiān)控的獨(dú)立性。對(duì)于高ASIL等級(jí)的系統(tǒng)，采用單芯片的部屬方式可以節(jié)省成本，因此推廣性較好。

3.2 典型的失效可運(yùn)行型系統(tǒng)功能安全架構(gòu)

與“失效安全“型不同，”失效可運(yùn)行“型系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)重點(diǎn)在于識(shí)別到安全相關(guān)失效后能及時(shí)啟動(dòng)備用/冗余系統(tǒng)控制機(jī)制，確保系統(tǒng)在失效發(fā)生后的一段時(shí)間內(nèi)仍能繼續(xù)維持安全相關(guān)的基本功能。針對(duì)這類系統(tǒng)，典型的系統(tǒng)功能安全架構(gòu)設(shè)計(jì)是”冗余”架構(gòu)，如圖2所示。與功能安全相關(guān)的輸入信號(hào)、控制、信號(hào)輸出到執(zhí)行等全過程冗余，兩條鏈路互為備份。正常情況下，系統(tǒng)以其中一條為主控制鏈路，控制主執(zhí)行器；與此同時(shí)另一條備用控制鏈路仍保持工作狀態(tài)，但不做控制類輸出（可有通信信號(hào)類輸出）或者執(zhí)行器不執(zhí)行備用控制器的命令。當(dāng)主控鏈路出現(xiàn)故障或者違背預(yù)期功能需求而引發(fā)失效時(shí)，備用鏈路會(huì)越過（Override）主控鏈路，繼續(xù)維持系統(tǒng)運(yùn)行，達(dá)到失效可運(yùn)行的安全狀態(tài)。

圖2 冗余的系統(tǒng)功能安全架構(gòu)框圖

“冗余”的系統(tǒng)功能安全架構(gòu)不可避免的導(dǎo)致系統(tǒng)成本的增加，在實(shí)際開發(fā)中，根據(jù)系統(tǒng)的其他設(shè)計(jì)需求，可有多種實(shí)現(xiàn)方式。

（1）“主從式”，即將“失效可運(yùn)行“型功能分配在兩個(gè)控制單元中，其中以控制器#1為主控單元，控制器#2為輔助單元。在運(yùn)行中，控制器#2保持對(duì)控制器#1狀態(tài)的實(shí)時(shí)監(jiān)控，但不會(huì)執(zhí)行輸出動(dòng)作，只有當(dāng)檢測(cè)到控制器#1存在危害安全的失效時(shí)，才會(huì)啟動(dòng)輸出（如圖3-a中的輸出高電平，繼續(xù)維持繼電器吸合），保持系統(tǒng)處于繼續(xù)安全狀態(tài)。

（2）“并行式“，即將“失效可運(yùn)行“型功能分配在兩個(gè)控制單元和一個(gè)執(zhí)行單元中，通過總線通信保持互相聯(lián)系，如圖3-b所示。在運(yùn)行中，控制器#1和控制器#2均執(zhí)行控制功能，并互相監(jiān)控；兩者通過總線報(bào)文把控制結(jié)果和對(duì)自身以及對(duì)方的監(jiān)控結(jié)果輸出給執(zhí)行單元中，最終由執(zhí)行單元決定執(zhí)行輸出。這種架構(gòu)對(duì)執(zhí)行控制單元的功能安全等級(jí)要求較高，一般該單元內(nèi)部也需要有冗余控制和執(zhí)行的能力。

（3）“分布式“，即將“失效可運(yùn)行“型功能分配在多個(gè)并行控制單元中，并設(shè)置一個(gè)主控單元，負(fù)責(zé)監(jiān)控各控制單元的健康情況，各單元互相之間通過總線通信保持互相聯(lián)系。如圖3-c1所示，主控單元（Mas?ter）可以采用輪詢的方式監(jiān)控各控制單元的工作情況，同時(shí)各控制單元也可主動(dòng)上報(bào)自己的失效狀態(tài)?！狈植际健暗南到y(tǒng)功能安全架構(gòu)適用于復(fù)雜的多功能系統(tǒng)中，例如部分”失效可運(yùn)行“型安全功能布置在ECU#1和ECU#2內(nèi)，而另一部分”失效可運(yùn)行“型安全功能布置在ECU#2和ECU#n內(nèi)，采用一個(gè)主控單元（Master）對(duì)這些ECU進(jìn)行全局監(jiān)控，這樣既有利于系統(tǒng)功能安全的整體把控，也充分利用了各ECU的處理資源。隨著芯片技術(shù)的發(fā)展，多核MCU的出現(xiàn)使得“分布式“的系統(tǒng)功能安全架構(gòu)也可被布置到單一芯片中，如圖3-c2所示，芯片內(nèi)部通過SPI（Serial Peripheral Interface）等內(nèi)部通信實(shí)現(xiàn)核間通信，另配有核內(nèi)watchdog和共用的watchdog實(shí)現(xiàn)局部監(jiān)控和全局監(jiān)控。

圖3 “失效可運(yùn)行“型系統(tǒng)功能安全架構(gòu)的三種實(shí)現(xiàn)方式

3.3 系統(tǒng)功能安全架構(gòu)的輔助設(shè)計(jì)

除了系統(tǒng)控制，系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)還需涵蓋系統(tǒng)的輸入、通信、電源以及人機(jī)交互等多方面，甚至可以借助有效的外部措施來構(gòu)建系統(tǒng)功能安全架構(gòu)。下文將主要探討系統(tǒng)功能安全架構(gòu)中的這些輔助設(shè)計(jì)。

3.3.1 系統(tǒng)輸入

準(zhǔn)確的系統(tǒng)輸入是系統(tǒng)能否滿足功能安全目標(biāo)的首要前提。GB/T 34590.5[7]的附錄中列舉了多種對(duì)輸入端口的診斷實(shí)現(xiàn)機(jī)制。除了部分簡(jiǎn)單診斷機(jī)制可以通過單路傳感器實(shí)現(xiàn)以外，大多數(shù)的高診斷覆蓋率機(jī)制需要通過一定的系統(tǒng)設(shè)計(jì)來實(shí)現(xiàn)。這里簡(jiǎn)要總結(jié)系統(tǒng)功能安全架構(gòu)的典型輸入端設(shè)計(jì)，如圖4所示。

圖4 典型的系統(tǒng)功能安全架構(gòu)輸入端設(shè)計(jì)

圖4 -（a）、（b）、（c）所示的是同類型傳感器冗余輸入的典型架構(gòu)，其中（a）屬于“同構(gòu)冗余“，即采用相同的傳感器以及相同的連接方式，兩路信號(hào)獨(dú)立輸入到處理單元中，例如汽車輪速信號(hào)便屬于此類應(yīng)用；（b）和（c）屬于非完全”同構(gòu)冗余“，即采用同類型的傳感器，輸出同類型的信號(hào)，但不同的位置布置會(huì)對(duì)信號(hào)值產(chǎn)生影響，可能存在差異（b）或者互為反相（c）。

圖4-（d），（e），（f）所示的是不同類型輸入互為冗余的典型架構(gòu)，可稱為“異構(gòu)冗余“。其中（d）針對(duì)系統(tǒng)輸入的正負(fù)極性進(jìn)行了冗余；（e）采用了不同的輸入信號(hào)傳送方式，確保信號(hào)內(nèi)容可以經(jīng)過硬線輸入或者總線報(bào)文抵達(dá)處理單元；（f）則是（e）的進(jìn)一步拓展，先對(duì)不同源信號(hào)進(jìn)行預(yù)處理，再輸出到處理單元進(jìn)行對(duì)比或融合，例如智能駕駛系統(tǒng)中對(duì)前方障礙物的判別就可以同時(shí)采用雷達(dá)（智能傳感器#1）和攝像頭（智能傳感器#2）輸出的總線數(shù)據(jù)加以比較和融合，以彌補(bǔ)夜晚對(duì)攝像頭的不利或減少金屬物體對(duì)雷達(dá)波的漫反射所以引起的誤識(shí)別。

3.3.2 通信設(shè)計(jì)

功能安全對(duì)各模塊之間的安全相關(guān)信號(hào)交互提出了端對(duì)端（End-to-End，E2E）的保護(hù)需求，從信號(hào)產(chǎn)生的源頭到信號(hào)的發(fā)送、被接收以及解析都需要伴隨特定的保護(hù)機(jī)制，以免安全相關(guān)的信號(hào)值被破壞，引起潛在危害。在系統(tǒng)功能架構(gòu)設(shè)計(jì)中，通信設(shè)計(jì)也是重要的一環(huán)。

對(duì)于“失效安全”型系統(tǒng)功能安全架構(gòu)，較為常用的安全相關(guān)信號(hào)保護(hù)機(jī)制是“滾碼（Rolling Count）”以及“校驗(yàn)和（Checksum）”，它們?cè)谛盘?hào)產(chǎn)生的源頭就被計(jì)算出并隨著信號(hào)值一起打包到總線通信的報(bào)文中，接收方在收到信息的時(shí)候先解析其自帶的滾碼及校驗(yàn)和，以確保當(dāng)前的信號(hào)值的有效性，然后再進(jìn)入下一個(gè)環(huán)節(jié)（例如信號(hào)值合理性判斷等）。應(yīng)用層需要等到所有的校驗(yàn)都完成并且通過后才能使用安全信號(hào)值。

對(duì)于“失效可運(yùn)行”型系統(tǒng)功能安全架構(gòu)，僅通過端對(duì)端的保護(hù)是無法滿足功能安全需求的，因?yàn)楫?dāng)關(guān)鍵信號(hào)意外丟失的情況下，功能可能無法支持“失效可運(yùn)行”。對(duì)于這類信號(hào)，須額外設(shè)計(jì)冗余且獨(dú)立的傳送通道，確保信號(hào)在傳送過程中沒有單點(diǎn)失效。這將對(duì)系統(tǒng)的整體架構(gòu)產(chǎn)生重大影響，必須提前考慮。

針對(duì)傳統(tǒng)的車載通信網(wǎng)絡(luò)，典型的冗余通信設(shè)計(jì)是采用雙路總線發(fā)送/接收安全信號(hào)。這需要相關(guān)模塊支持雙路總線收發(fā)機(jī)制。當(dāng)某路信號(hào)丟失、延時(shí)超標(biāo)或不可信的情況下，可采用另一路傳送過來的信號(hào)，繼續(xù)支持“失效可運(yùn)行”的系統(tǒng)功能。

隨著車載以太網(wǎng)技術(shù)的不斷發(fā)展，時(shí)間敏感網(wǎng)絡(luò)（TSN）標(biāo)準(zhǔn)日趨成熟。作為TSN的重要特性之一，“幀的復(fù)制和消除”能確保關(guān)鍵流量的復(fù)本在網(wǎng)絡(luò)中以各自的路徑進(jìn)行傳送，不產(chǎn)生交集，只保留首先到達(dá)目的地的任何封包，以實(shí)現(xiàn)無縫冗余，達(dá)到超高的可靠性目的。未來，車載以太網(wǎng)絡(luò)將逐步成為汽車的核心網(wǎng)絡(luò)骨干，基于TSN的“幀復(fù)制和消除”技術(shù)或?qū)⒅鸩匠蔀橄到y(tǒng)功能安全通信架構(gòu)設(shè)計(jì)的主流方向。

3.3.3 電源設(shè)計(jì)

車載控制器一般使用12 V低壓電源，從功能安全的角度，“丟失低壓電源”是潛在影響系統(tǒng)功能安全的“單點(diǎn)失效”源。沒有低壓供電，所有車載模塊都將無法工作。特別對(duì)于“失效可運(yùn)行”型的功能，非預(yù)期的失去供電將直接影響車輛行駛安全。在設(shè)計(jì)系統(tǒng)功能安全架構(gòu)的時(shí)候，電源的冗余設(shè)計(jì)也是非常重要的環(huán)節(jié)。

所有功能安全的方法目的都是在有故障時(shí)把系統(tǒng)導(dǎo)向安全狀態(tài)[8]，根據(jù)“失效可運(yùn)行”型功能的具體需求，電源的冗余設(shè)計(jì)可分以下幾種類型：

（1）針對(duì)供電失效后僅需短暫功能支持且耗電量較少的情況，例如非預(yù)期斷電后繼續(xù)完成安全氣囊引爆功能，可以通過增加板載大電容的方式來提前儲(chǔ)能，以支持電源冗余。

（2）針對(duì)供電失效后僅需短暫功能支持但耗電量較大的情況，例如非預(yù)期斷電后繼續(xù)完成緊急電話求助（撥號(hào)）功能，可以通過增加板載備用小電池的方式來做電源冗余。

（3）針對(duì)供電失效后仍需功能支持的情況，例如L3（SAE J3016[9]自動(dòng)駕駛技術(shù)等級(jí)）及以上的智能駕駛對(duì)于電源失效后的功能，可以通過增加車載小電池（傳統(tǒng)車輛），或者利用高壓電池通過逆變器后的低壓輸出（新能源車）的方式來做電源冗余。

3.3.4 人機(jī)交互（HMI）設(shè)計(jì)

隨著智能駕駛技術(shù)的快速發(fā)展，人機(jī)交互（HMI）逐漸成為重要的設(shè)計(jì)領(lǐng)域，尤其是對(duì)于低于L3的智能駕駛車輛，當(dāng)系統(tǒng)出現(xiàn)故障需要被接管時(shí)，能否及時(shí)、有效的發(fā)出HMI提醒將直接影響系統(tǒng)的功能安全狀態(tài)。在此類系統(tǒng)功能安全架構(gòu)的HMI設(shè)計(jì)中，“失效可運(yùn)行”是必須滿足的要求，應(yīng)將“提醒或者警告”通過互相獨(dú)立的通道，同時(shí)、冗余的傳遞給駕駛員。例如，通過聽覺、視覺、振感，將聲音告警，顯示告警、振動(dòng)告警獨(dú)立、同時(shí)、冗余的發(fā)送給駕駛員，確保他及時(shí)、有效的接收到報(bào)警信息，進(jìn)而采取行動(dòng)接管車輛。

3.3.5 外部措施

盡管功能安全主要關(guān)注電子電器系統(tǒng)的設(shè)計(jì)，但適當(dāng)?shù)囊胪獠看胧⒂兄诤侠砗?jiǎn)化系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)。外部措施可以包括特定的操作步驟、人員的介入、機(jī)械裝置、限定工作場(chǎng)景等，例如制定高壓維修流程，設(shè)計(jì)物理下電機(jī)制（例如高壓維修開關(guān)MSD）防止維修時(shí)高壓觸電；采用特定的機(jī)械設(shè)計(jì)防止尾門意外跌落（合理降低對(duì)尾門電機(jī)控制的要求）等等。通過這些有效的外部措施，幫助降低相關(guān)潛在危害的暴露度（E）和可控度（C），進(jìn)而降低ASIL等級(jí)，合理簡(jiǎn)化系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)需求。

4 汽車系統(tǒng)功能安全架構(gòu)的發(fā)展趨勢(shì)

隨著不斷升級(jí)的智能化技術(shù)，汽車行業(yè)正經(jīng)歷著前所未有的高速發(fā)展。隨著智能化技術(shù)復(fù)雜程度的增加，智能化需要越來越多的多學(xué)科交叉技術(shù)來確保安全[10]，也需要從系統(tǒng)工程體系（SoSE）的角度進(jìn)行頂層設(shè)計(jì)[11]。傳感器和執(zhí)行器日趨智能化，控制器則不斷集成化，數(shù)據(jù)處理將逐步云端化，基于服務(wù)的系統(tǒng)架構(gòu)、機(jī)器學(xué)習(xí)、邊緣計(jì)算等智能技術(shù)的發(fā)展趨勢(shì)不可逆，汽車系統(tǒng)功能安全架構(gòu)也需要不斷革新、不斷進(jìn)化。一方面，得益于智能化的傳感與執(zhí)行設(shè)備，系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)正在往分布式方向不斷發(fā)展；另一方面，與云端的交互日益增多，網(wǎng)絡(luò)安全與功能安全相互結(jié)合也成為一種必然趨勢(shì)。

圖5示意了未來汽車系統(tǒng)功能安全架構(gòu)的簡(jiǎn)要框圖。從圖5可以看到，未來汽車將不斷借助-于云端進(jìn)行大數(shù)據(jù)的處理，并通過帶有網(wǎng)絡(luò)安全保護(hù)機(jī)制的無線通道與車端控制系統(tǒng)進(jìn)行雙向數(shù)據(jù)交互。考慮到云端通信信號(hào)時(shí)延的不確定性，對(duì)于失效可運(yùn)行的安全功能，車端仍需具備較強(qiáng)大的控制處理能力。在車端，隨著智能傳感器和執(zhí)行器的功能日趨強(qiáng)大，部分功能可由這些模塊分擔(dān)，減輕主控制器的運(yùn)算負(fù)荷，系統(tǒng)的功能安全架構(gòu)將進(jìn)一步分布化。對(duì)于控制器，一主一副兩個(gè)控制單元的設(shè)計(jì)或?qū)⒊蔀橼厔?shì)，但在功能分配上，備用控制單元將主要負(fù)責(zé)失效可運(yùn)行類的功能，而非全部的安全相關(guān)功能冗余，這將有助于合理的降低系統(tǒng)成本。此外，系統(tǒng)功能安全架構(gòu)在設(shè)計(jì)的過程中還需要充分考慮到日后車輛通過OTA（Over The Air transmission）技術(shù)或者用戶自行付費(fèi)而打開的新功能，它們有可能會(huì)潛在危害車輛功能安全。因此，需要在系統(tǒng)功能安全架構(gòu)設(shè)計(jì)的時(shí)候預(yù)留這些功能的功能安全架構(gòu)設(shè)計(jì)（尤其是硬件），以便后續(xù)安全的支持車載功能升級(jí)。

圖5 未來汽車系統(tǒng)功能安全架構(gòu)設(shè)計(jì)框圖

5 結(jié)束語與展望

在汽車智能化、互聯(lián)化發(fā)展趨勢(shì)下，車輛安全逐漸成為汽車的核心領(lǐng)域之一。如何設(shè)計(jì)有效的系統(tǒng)安全架構(gòu)，確保及時(shí)探測(cè)到潛在風(fēng)險(xiǎn)并可靠執(zhí)行安全緩解機(jī)制，成為汽車功能安全開發(fā)的關(guān)鍵點(diǎn)之一。本文從“失效安全”和“失效可運(yùn)行”兩種類型出發(fā)，著重探討了汽車系統(tǒng)功能安全架構(gòu)的設(shè)計(jì)以及發(fā)展趨勢(shì)。未來，隨著汽車智能互聯(lián)技術(shù)的不斷提升以及對(duì)成本控制的需求，系統(tǒng)的功能安全架構(gòu)或?qū)⒊植际椒较蚩焖侔l(fā)展，并充分利用云端、車端的各類機(jī)制，合理地實(shí)現(xiàn)安全功能冗余，確保車輛的安全。