Midas Safety Platform
新的 Midas Safety Platform 支持对功能安全早期阶段架构设计探索,并利用既有的芯片原生设计数据进行有效准确的安全分析。
FMEDA 驱动的安全设计和验证-Cadence 功能安全解决方案
Watch Now
汽车安全合规
汽车安全合规是什么,它为何如此重要,及其工作原理
汽车安全合规是汽车制造商和组件制造商必须完成的一项工作,以便开发对确保安全性来说至关重要的硬件和软件产品,并达到汽车行业标准所要求的功能安全目标。
随着汽车行业迅速采用各种先进的电子技术,将互联汽车和自动驾驶汽车的想法变为现实,务必要确保这些新组件的安全合规性。如今,这一点比以往任何时候都更加重要。越来越多的硬件组件被替换成了标准化的嵌入式电子和软件组件。虽然这些新系统让汽车制造商能够通过软件和固件空中 (OTA) 升级来提供新功能和修复错误,但这些软件定义的电子和电气 (E/E) 系统的广泛使用也伴随着潜在风险。一辆典型的汽车包含数百万行软件代码以及诸多电子和电气组件,硬件或软件发生任何故障,都可能危及司机和乘客的生命安全。
为了有效地解决安全问题,如今的汽车技术开发人员依赖于越来越多的标准。其中有一项关键的汽车功能安全标准——ISO 26262,它定义了一个风险分类系统,即汽车安全完整性等级(ASIL 等级)。这些不同的安全等级旨在减少由 E/E 系统故障引起的潜在危险,确保汽车部件按预期安全运行。
本文解释了汽车安全合规性的重要性、ASIL 等级的作用,还介绍了各种有用的工具,帮助您开发出色的互联车辆软件,通过安全措施避免硬件故障带来的风险。
为什么汽车安全合规非常重要?
美国交通统计局 (BTS) 提供的车辆安全数据显示,仅在美国,平均每年就会发生 600 万起汽车碰撞事故。为了减少此类意外的发生,避免道路交通死亡事故,当发现车辆不再符合最低安全标准或存在潜在的安全风险时,美国国家公路交通安全管理局 (NHTSA) 经常会要求召回汽车。2016 年,美国的汽车制造商出于安全原因被迫召回超过 5300 万辆汽车,创下了历史纪录。这些统计数据表明,汽车仍然是道路事故的主要原因之一,因此汽车安全合规成为一项必须满足的基本要求。
如今的汽车都集成了复杂的安全和舒适解决方案,如防抱死制动系统 (ABS)、安全气囊、高级驾驶辅助系统 (ADAS) 和自动驾驶功能,使得今天的汽车堪称是一项伟大的技术创新成果。然而,随着车辆变得更加智能,自主程度变得更高,如果基础技术设计不当,可能会导致更多的安全问题。例如,用于控制车辆 ABS 或安全气囊的硬件发生故障,可能危及车内人员的生命安全。同样,在纯电动汽车中,如果没有按照标准进行适当的管理和设计,高压电源总线和电池组也会造成安全风险。
随着汽车的自动驾驶水平进一步提高,我们也对未来的互联车辆充满期待,而控制这些部件的嵌入式电子和软件系统的功能安全将成为重中之重。幸运的是,目前业内已制定了一些汽车安全标准,其中最受关注的是 ISO 26262,它提供了一个框架,用于开发需要满足功能安全的电子硬件和软件系统,从而大大降低了相关的风险。
汽车安全合规如何发挥作用?
ISO 26262 面向努力确保车辆安全合规性的汽车供应商和技术开发人员,概述了技术安全要求 (TSR) 和规范。该准则必须贯穿车辆的整个生命周期—从车辆的设计、开发、生产、上路到报废,从而实现功能安全。
ISO 26262 标准遵循基于风险的方法,以确定电气或电子元件在实际运行中遇到危险操作状况时的风险水平。在此过程中,每个汽车部件(硬件或软件)都会进行危险分析和风险评估 (HARA),以确定所有的潜在危险,并根据三个变量划分风险水平:严重程度、暴露程度和可控程度。
- 严重程度:对司机和乘客的伤害程度
- 暴露程度:车辆暴露在危险中的频率如何
- 可控程度:驾驶员能在多大程度上控制车辆以防止受伤
例如,假设我们要对电动助力转向 (EPS) 系统评估所有可能的故障行为。对 EPS 系统进行安全分析后,为分析得出的每个危险事件分别分配相应的严重程度、暴露程度和可控程度等级。严重程度有四个等级,从“无伤害”(S0) 到“致命伤害”(S3)。同样,暴露程度有五个等级,E0 代表“几乎不可能”,E4 代表“非常可能”。可控程度也有四个等级,从“一般可控” (C0) 到“不可控” (C3)。
然后,将这三个变量与其各自的等级结合起来,以此确定 ASIL 等级。ASIL-A 代表潜在危险水平最低,而 ASIL-D 代表潜在危险水平最高。如果所有三个变量的潜在危险水平都是最高的(S3+E4+C3),即属于 ASIL-D 等级。EPS 系统就需要达到 ASIL-D 等级,因为如果该系统发生故障,所导致的相关风险是最高的。相比之下,如果某个部件对于确保车辆安全来说不太重要,它就只需达到 ASIL-A 等级。
虽然 ISO 26262 标准提供了所有必要的指导方针,以解决汽车内每个硬件和软件组件的功能安全问题,但它已无法跟上日益复杂的汽车嵌入式系统的步伐。因此,监管机构正在努力修订现有的标准并着手开发新的标准,以确保最新的汽车技术能够符合安全要求。ISO/SAE 21434 正是顺应了这种趋势,它是第一个旨在解决汽车网络安全问题的标准。
通过 Cadence 实现汽车安全合规
尽管未来可能会有更多的标准问世,目前的标准也会不断更新,但高瞻远瞩的汽车制造商和整车厂 (OEM) 必须实施相应的战略,开发质量和安全性能符合当前最高标准的汽车。这种方法将有助于汽车厂商推出面向未来的产品,确保它们符合仍在制定中的严格安全规范。Cadence 提供先进的汽车功能安全解决方案,帮助部件开发人员成功地为现代汽车打造安全产品。
Cadence Tensilica ConnX B10 和 ConnX B20 DSP 是业界率先针对汽车雷达、激光雷达和车联万物 (V2X) 经过优化的 DSP,助力开发人员更快获得 ASIL-B 随机故障和 ASIL-D 系统故障标准认证。带有 FlexLock 的 Cadence Tensilica Xtensa 处理器也通过了完全符合 ASIL-D 标准的认证,能够为功能安全 (FuSa) 应用提供 ASIL-D 系统性故障和 ASIL-D 随机故障保护。
互联车辆软件开发人员还可以使用我们的 Midas Safety Platform,在早期阶段探索功能安全架构。该安全平台支持全自动执行故障注入和 IP、SoC 及系统设计的结果分析,使汽车技术开发人员能够验证其软件在故障注入硬件时能否安全运行。借助 FMEDA 和认证报告自动生成功能,开发人员可以加快安全合规评估流程,达到 ASIL 目标,快速完成 ISO 26262 验证。