楊莉 董昊旻 隋建鵬

（1.中國第一汽車股份有限公司 智能網(wǎng)聯(lián)開發(fā)院，長春 130013；2.中國第一汽車股份有限公司 研發(fā)總院，長春130013）

主題詞：ISO 26262 硬件功能安全 自動駕駛

縮略語

DV Design Validation

HSR Hardware Safety Requirement

DFMEA Design Failure Mode and Effects Analysis

FTA Fault Tree Analysis

ASIL Automotive Safety Integration Level

FMEDA Failure Mode Effects and Diagnostic Analysis

HARA Hazard Assessment by Risk Analysis

SG Safety Goal

LFM Latent Failure Matric

SPFM Single Point Failure Matric

PMHF Probability Metric for Random Hardware Failures

BOM Bill of Material

FIT Fault Injection Test

GPU Graphics Processing Unit

FPGA Field-Programmable Gate Array

ASIC Application Specific Integrated Circuit

1 前言

在過去的十年中，針對自動駕駛汽車的研究和應(yīng)用呈現(xiàn)了爆發(fā)式的增長，大量的自動駕駛相關(guān)基礎(chǔ)技術(shù)越來越成熟。目前，以戴姆勒、寶馬、奧迪、福特、東風(fēng)日產(chǎn)、沃爾沃、上汽、一汽為代表的國內(nèi)外主流整車廠都在進(jìn)行自動駕駛相關(guān)領(lǐng)域技術(shù)的研發(fā)，每年的國際消費(fèi)類電子產(chǎn)品展覽會（CES：International Consumer Electronics Show）上，可以看到越來越多的自動駕駛樣車的演示[1]。有理由相信顛覆性的自動駕駛技術(shù)將帶來交通和移動出行領(lǐng)域的又一次重大變革。

然而，隨著算法復(fù)雜度的增加和自動駕駛等級的提高，安全性成為了影響自動駕駛汽車真正落地的重要阻礙。2011年，作為汽車行業(yè)專用的功能安全標(biāo)準(zhǔn)，ISO 26262應(yīng)運(yùn)而生。ISO 26262為汽車生產(chǎn)商提供了一整套系統(tǒng)的設(shè)計方法來識別危險源，提升汽車的安全性。

ISO 26262標(biāo)準(zhǔn)包含概念層面、系統(tǒng)層面、硬件層面、軟件層面、管理層面等部分，本文僅重點(diǎn)針對硬件層面，分析硬件功能安全開發(fā)與傳統(tǒng)汽車電子電氣硬件開發(fā)的融合，并基于此，提出自動駕駛汽車計算平臺硬件功能安全開發(fā)面臨的風(fēng)險和挑戰(zhàn)。

2 硬件功能安全開發(fā)與傳統(tǒng)硬件開發(fā)的融合

隨著汽車電動化、智能化、網(wǎng)聯(lián)化、共享化的程度越來越高，汽車電子模塊也越來越多，為整車的性能提升和用戶體驗(yàn)發(fā)揮著巨大的作用。汽車電子的硬件設(shè)計不同于通訊電子、工業(yè)電子和消費(fèi)類電子的硬件設(shè)計，需要特殊考慮汽車電子的使用環(huán)境[2]。汽車電子的氣候條件、機(jī)械條件和電氣條件都要比通訊電子、工業(yè)電子和消費(fèi)類電子的使用環(huán)境更惡劣。在電子產(chǎn)品隨車使用時，汽車的使用環(huán)境條件很大程度上影響著電子產(chǎn)品的功能、性能和壽命。在汽車電子硬件設(shè)計開發(fā)過程中，首先要清楚這些條件和邊界，其次要在設(shè)計過程中考慮這些因素，最后在模擬這些條件的實(shí)驗(yàn)中進(jìn)行檢驗(yàn)。

由于汽車電子特殊的使用環(huán)境，對硬件設(shè)計提出了更高的要求。為了保證汽車在使用環(huán)境下的整車性能，傳統(tǒng)的汽車電子硬件設(shè)計流程如圖1所示，硬件設(shè)計的職責(zé)從項(xiàng)目啟動開始，到生產(chǎn)流程審核結(jié)束，包括計劃制定、需求分析、方案設(shè)計、硬件設(shè)計及測試、設(shè)計驗(yàn)證（DV：Design Validation）、生產(chǎn)準(zhǔn)備。

ISO 26262標(biāo)準(zhǔn)2011版本第5章[3]對硬件功能安全開發(fā)流程推薦如圖2所示。硬件功能安全開發(fā)承接系統(tǒng)設(shè)計的輸出物，并通過硬件板級測試對硬件元器件進(jìn)行質(zhì)量認(rèn)可，提交輸出物給生產(chǎn)、運(yùn)行維護(hù)及系統(tǒng)集成測試。注意，標(biāo)準(zhǔn)中推薦的硬件功能安全開發(fā)流程只是概況，并不詳細(xì)，與實(shí)際硬件開發(fā)中執(zhí)行的開發(fā)流程有一定差距。

圖1 傳統(tǒng)汽車電子硬件設(shè)計流程

圖2 ISO 26262推薦的硬件功能安全開發(fā)流程[3]

結(jié)合項(xiàng)目實(shí)際開發(fā)流程，將傳統(tǒng)的汽車電子硬件開發(fā)流程與功能安全進(jìn)行了融合，得到了符合功能安全的硬件開發(fā)流程，如圖3所示。

由圖3可見，功能安全貫穿于整個硬件開發(fā)流程中。融合后的汽車電子硬件功能安全開發(fā)流程從功能安全的角度對傳統(tǒng)的汽車電子硬件開發(fā)流程進(jìn)行了完善和補(bǔ)充。

完善和補(bǔ)充體現(xiàn)在以下幾個方面：

（1）項(xiàng)目計劃中，新建功能安全開發(fā)計劃，統(tǒng)籌管理整個項(xiàng)目中的功能安全開發(fā)工作，包括工作內(nèi)容、工作起始/結(jié)束時間、責(zé)任人、輸入條件、提交物等；

（2）在進(jìn)行需求分析時，除了考慮傳統(tǒng)硬件開發(fā)的需求外，還需要考慮功能安全需求。每一條硬件需求均需要關(guān)聯(lián)ASIL（Automotive Safety Integration Level）等級，非功能安全相關(guān)的需求ASIL等級為QM。形成硬件安全需求文檔，并進(jìn)行設(shè)計團(tuán)隊(duì)內(nèi)部評審。

（3）在方案設(shè)計階段，需要充分考慮為了滿足功能安全需求而需要進(jìn)行的復(fù)位邏輯設(shè)計、看門狗電路模塊設(shè)計、電源監(jiān)控設(shè)計、輔監(jiān)控單片機(jī)模塊設(shè)計等。

圖3 功能安全硬件開發(fā)流程

（4）硬件設(shè)計階段，需要開展設(shè)計失效模式及后果分析（DFMEA：Design Failure Mode and Effects Analysis）、故障樹分析（FTA：Fault Tree Analysis）、失效模式影響及診斷分析（FMEDA：Failure Mode Effects and Diagnostic Analysis）等分析工作。其中FTA只在ASIL等級為C或D時開展，F(xiàn)MEDA只在ASIL等級為B或C或D時開展。同時在該階段還需要編寫軟硬件接口文檔和硬件設(shè)計規(guī)范文檔。硬件測試階段，針對ASIL C或D等級的系統(tǒng)需要開展故障注入測試。

（5）在設(shè)計驗(yàn)證和生產(chǎn)準(zhǔn)備階段，均需要額外考慮不同的功能安全等級對測試深度、測試方法、測試標(biāo)準(zhǔn)的不同要求。

根據(jù)不同的地質(zhì)條件、潮汐風(fēng)浪等環(huán)境因素，對具有相同建設(shè)條件、有代表性的燈樁進(jìn)行設(shè)計（包括基礎(chǔ)選擇、選材、作用、尺寸、樓梯設(shè)計），以此為依據(jù)編制燈樁標(biāo)準(zhǔn)化設(shè)計施工圖紙。

3 自動駕駛硬件功能安全開發(fā)面臨的挑戰(zhàn)

自動駕駛的初衷是保證道路參與者的生命安全，功能安全是讓自動駕駛比手動駕駛更安全的基本保障之一。然而ISO 26262的最新版本[4]并不完全適用于自動駕駛相關(guān)控制器的功能安全[5]。

首先，按照SAE J3016道路車輛自動駕駛系統(tǒng)分類和定義[6]，將自動駕駛技術(shù)等級分為6級，分別為0級-5級。L4級及以上的自動駕駛系統(tǒng)中，駕駛員將不再接管對車輛的控制權(quán)。傳統(tǒng)的功能安全中失效安全（fail-safe）的實(shí)現(xiàn)手段取決于駕駛員能夠控制車輛，并使車輛進(jìn)入安全狀態(tài)。因此對于自動駕駛汽車的功能安全要求變?yōu)槭Э晒ぷ鳎╢ail-operational）[7]。其次，ISO 26262是以相關(guān)項(xiàng)為導(dǎo)向，這意味著一個駕駛功能是通過一個運(yùn)行于硬件系統(tǒng)上的軟件系統(tǒng)來實(shí)現(xiàn)的。然而自動駕駛來的發(fā)展趨勢是在一個域控制器上實(shí)現(xiàn)多個駕駛功能。這種架構(gòu)使得ISO 26262中強(qiáng)調(diào)的“互相獨(dú)立”概念很難實(shí)現(xiàn)。最后，自動駕駛中深度學(xué)習(xí)算法帶來的不確定性和非線性使得傳統(tǒng)的失效分析方法不再適用。

基于上述幾點(diǎn)，本節(jié)主要分析硬件功能安全開發(fā)在自動駕駛領(lǐng)域面臨的挑戰(zhàn)。

3.1 輸入條件不明確

硬件功能安全設(shè)計的根本依據(jù)是系統(tǒng)層危害分析和風(fēng)險評估（Hazard Assessment by Risk Analysis，HARA）分析輸出的安全目標(biāo)（Safety Goal，SG）。根據(jù)ISO 26262標(biāo)準(zhǔn)，危害的定義是基于對工作情況的分析而開展的。工作情況包括運(yùn)行條件和工作狀態(tài)。這意味著，HARA分析通常包含很多區(qū)別很小的工作情況。將自動駕駛的駕駛參數(shù)適配到如此細(xì)化的工作狀態(tài)中，工作量是很大的，有時甚至是不可能完成的。同時對如此復(fù)雜的工作情況進(jìn)行管理也是存在問題的[8]。另外，不管是采用機(jī)器學(xué)習(xí)，還是深度學(xué)習(xí)，都存在一定的不確定性。這種不確定性導(dǎo)致不同的網(wǎng)絡(luò)參數(shù)情況有可能具有不同的安全目標(biāo)，很難得出一個確定的可以實(shí)施的安全目標(biāo)[9]。這對硬件功能安全開發(fā)的影響可以說是巨大的，沒有了明確的依據(jù)，硬件功能安全開發(fā)將舉步維艱。

3.2 ASIL等級較高

在傳統(tǒng)汽車開發(fā)中，人、車和路三個要素組成一個封閉的在環(huán)系統(tǒng)。其中，人指的就是駕駛員。對于自動駕駛等級L3以上的系統(tǒng)，駕駛員不再是這個系統(tǒng)中的要素。當(dāng)駕駛員不在環(huán)的情況下，可控性面臨巨大挑戰(zhàn)。在ISO 26262標(biāo)準(zhǔn)中，可控性是直接決定ASIL等級的三要素之一[10]。駕駛員對車輛的可控性能越差，可控性參數(shù)分值（Controllability）越高。行業(yè)內(nèi)正在探討除了ASIL D之外是不是上面還應(yīng)該有個更高的層次。依據(jù)ISO 26262標(biāo)準(zhǔn)，ASIL C或ASIL D意味著無論是從硬件開發(fā)流程還是硬件設(shè)計工作的復(fù)雜性來講，都必須滿足更高的要求。如果是ASIL D以上，還需要一個更高的層級，那么硬件開發(fā)工作的工作量和復(fù)雜度不可估量。

3.3 硬件架構(gòu)復(fù)雜

傳統(tǒng)的汽車電子電氣架構(gòu)已經(jīng)很難滿足自動駕駛應(yīng)用中對計算性能、軟件升級、關(guān)鍵信息高速高效處理的需求，比如攝像頭、毫米波雷達(dá)、激光雷達(dá)乃至GPS（Global Positioning System）的數(shù)據(jù)都需要在一個計算中心內(nèi)進(jìn)行處理以保證輸出結(jié)果對整車自動駕駛性能最優(yōu)。新興的整車域集中式電子電氣架構(gòu)如圖4[11]所示。

由圖4可見，根據(jù)汽車電子部件的功能將整車劃分為駕駛輔助、車輛安全、車輛運(yùn)動、娛樂信息、車身電子等幾個域。域控制器的核心發(fā)針時芯片計算能力的提升?；谡囉蚣惺诫娮与姎饧軜?gòu)概念的提出，域控制器硬件架構(gòu)更復(fù)雜。

圖4 整車域集中式電子電氣架構(gòu)圖[11]

硬件架構(gòu)復(fù)雜度的提升主要體現(xiàn)在以下幾個方面。

（1）計算能力高，功耗大，散熱問題突出；

（2）數(shù)據(jù)吞吐率高，板內(nèi)通信速率高，信號完整性問題顯著；

（3）板內(nèi)供電時序復(fù)雜。

典型的自動駕駛域控制器硬件架構(gòu)如圖5[12]所示。該架構(gòu)中尚未充分考慮功能安全，如何設(shè)計出滿足系統(tǒng)功能安全等級需求的完整架構(gòu)還有待探索和實(shí)踐。

圖5 典型域控制器硬件架構(gòu)[12]

3.4 上游芯片功能安全開展不成熟

由于自動駕駛高算力和低功耗的強(qiáng)烈需求，傳統(tǒng)控制芯片已不能滿足該領(lǐng)域的應(yīng)用需求。目前，應(yīng)用于L3以上自動駕駛領(lǐng)域的主控制芯片主要分為三類：GPU（Graphics Processing Unit）、FPGA（Field-Programmable Gate Array）和專用ASIC（Application Specific Integrated Circuit）。GPU以英偉達(dá)公司的PX2平臺為代表，F(xiàn)PGA以Xilinx公司的ZYNQ系列為代表，專用ASIC以地平線公司的征程系列為代表。以上三類主控制芯片在架構(gòu)上均不同于傳統(tǒng)的控制芯片，在車載領(lǐng)域的應(yīng)用尚不成熟，對功能安全的開展更不成熟。該三類芯片的供應(yīng)商很少能夠提供完善的芯片級功能安全手冊及芯片級FMEDA分析結(jié)果，不利于板級硬件功能安全的開發(fā)。

3.5 硬件功能安全分析工作量巨大

對于硬件的安全分析，計算的結(jié)果作為失效隨機(jī)發(fā)生的可能性考慮。這些失效可能是僅發(fā)生一次，也可能是永久發(fā)生。發(fā)生的可能性通過FIT值來表征，1FIT意味著在109小時內(nèi)發(fā)生1次。硬件功能安全關(guān)注點(diǎn)在于限制失效的發(fā)生及/或防止危害安全目標(biāo)。

硬件功能安全分析包含兩部分。第一部分是硬件架構(gòu)可靠性的分析，是否存在冗余機(jī)制及診斷覆蓋率的數(shù)值決定潛在失效度量(LFM)或單點(diǎn)故障度量(SPFM)的計算結(jié)果。另一部分是對于特定安全目標(biāo)產(chǎn)生危害的可能性，通過硬件隨機(jī)失效率(PMHF)來表征。對于不同的功能安全等級，上述三個度量的可接受限值如表1所示。

表1 ISO 26262功能安全等級評估指標(biāo)表

潛在失效度量和單點(diǎn)失效度量通過FMEDA計算得到結(jié)果，硬件隨機(jī)失效率通過FMEDA或FTA計算得到結(jié)果。無論是FMEDA還是FTA，均需要針對每個安全目標(biāo)分析所有BOM（Bill of Material）中元器件。因此，安全目標(biāo)和BOM中元器件數(shù)量及復(fù)雜度的增加意味著工作量成倍數(shù)的增長。

3.6 硬件測試難度增加

ISO 26262中明確規(guī)定，對于ASIL C/D的電子電氣系統(tǒng)需要進(jìn)行故障注入測試（Fault Injection Test）。硬件故障注入測試的目的是驗(yàn)證硬件元器件發(fā)生隨機(jī)故障時，軟件是否可以診斷出相應(yīng)的故障。該測試要求覆蓋板內(nèi)所有元器件的所有隨機(jī)失效模式。自動駕駛電子電器系統(tǒng)的板內(nèi)元器件眾多，且主處理芯片的引腳數(shù)目動輒成百上千，每個元器件的每個引腳在均需要注入開路、短路的故障。同時，需要基礎(chǔ)軟件開發(fā)配合實(shí)現(xiàn)該測試，將診斷到的故障上報到測試操作界面并存儲到測試日志文件（log文件）。由此帶來的工作量和開發(fā)難度可想而知。

4 結(jié)論及啟示

隨著國內(nèi)外整車廠、科技公司、新創(chuàng)公司自動駕駛業(yè)務(wù)如火如荼的開展，針對如何將ISO 26262標(biāo)準(zhǔn)應(yīng)用到自動駕駛領(lǐng)域的思考和研究逐漸提上日程。然而目前尚未有明確的標(biāo)準(zhǔn)或草案出臺。

作為決定整車自動駕駛性能關(guān)鍵一環(huán)的電子電氣系統(tǒng)硬件設(shè)計來說，有責(zé)任和義務(wù)進(jìn)一步考慮到將功能安全應(yīng)用于自動駕駛電子電氣硬件設(shè)計存在的問題和挑戰(zhàn)。明晰問題和挑戰(zhàn)對我們實(shí)際開展硬件設(shè)計工作具有指導(dǎo)意義。