泛亞汽車：智能網聯汽車全域的系統安全融合開發

智能化、數字化、電動化是智能網聯汽車的三大核心，2023年12月7日，在2023中國汽車功能安全與質量管理峰會上，泛亞汽車技術中心有限公司系統安全開發經理李珍珍表示，當前智能網聯汽車面臨著能量類危害、運動類危害、非運動類危害等安全挑戰。

如何預防和緩解系統潛在失效帶來的安全風險?李珍珍表示，我們的安全策略1是分析所有整車安全相關系統的失效和影響，定義安全目標和安全需求；安全策略2是多學科、跨領域的融合電子電氣失效和非電子電氣失效的系統安全開發；安全策略3是融合預期功能安全方法和流程的系統安全開發；安全策略4是整車項目系統安全發布管控，確保安全分析和安全策略落地。

針對怎樣做系統安全開發？為什么做預期功能安全？怎樣做預期功能安全？李珍珍展開了詳細的分享，并對融合功能安全、融合SOTIF的系統安全開發流程進行了分析。

泛亞汽車技術中心有限公司系統安全開發經理

以下為演講內容整理:

智能網聯汽車的安全挑戰

智能網聯時代，汽車面臨著諸多安全挑戰。一是起火、觸電、中毒等能量類危害；二是剎車失靈、轉向卡滯等運動類危害；三是除霧失靈、屏幕卡滯等非運動類危害。在追求智能網聯汽車更加智能和數字化的道路上，功能越豐富的同時，我們面臨的風險越來越多，場景也更加多樣化。如用手機進行泊車時，如果指令卡住應當如何對車進行控制、遠程開門如何確保周圍環境安全等。針對這些整車危害，我們會對整車所有的安全系統的各種使用場景進行充分分析，識別潛在的系統失效和影響，我們都知道功能安全就是關注電子電氣類失效，如何預防和緩解系統潛在失效帶來的安全風險就是我們一直在做的功能安全研究課題。

圖源:演講嘉賓素材

智能網聯汽車安全策略

要想解決智能網聯汽車的安全問題，我們應當分析整車所有安全相關系統的安全失效及相關影響，定義安全目標和安全需求。但是如果只考慮功能安全范疇的電子電氣失效，根本無法破除現階段車輛所面臨的安全挑戰。

我們把系統失效分為電子電氣類、機械結構類、生產管理和材料電化學類。針對這些失效，我們認為電子電氣類是功能安全所要研究的領域，但是系統的安全還應該考慮電化學和機械結構類等失效如何避免或者緩解。

怎樣才能做好系統安全開發？一定需要有多領域、跨學科、全方位的安全分析及評估，提出相應的安全需求，這些安全需求是多領域的。例如，電芯雜質的管理、下線產品質量的把控等都會影響到電芯最終的安全設計，我們認為這類安全需求屬于生產管理類。除此之外，從系統安全工程師的角度來看，需要關注電芯的安全測試和評估，比如在過充過放的性能狀態下如何定義安全邊界等問題。

機械結構類層面，對于客戶所擔憂的新能源車在發生碰撞后是否容易著火的問題，我們主要從底部保護和側邊保護入手，對電池包側邊所有碰撞點做評估，定義量化的安全邊界并通過車身結構設計筑起安全堡壘，并通過充分的測試驗證確保風險控制。電子電氣類層面，我們有ASIL D電池管理系統設計。除此之外，我們還會在整車層面充分考慮用戶駕駛過程中可能面臨的最惡劣的場景。例如，我們發現用戶在最惡劣的場景下駕駛時，電池溫度有可能達到45度及以上，如果在此情況下發生熱失控，與常溫和低溫下熱擴散性能會有差異，我們基于此情況，將最惡劣的場景組合提取做電池系統的測試條件之一，驗證整個電池包的熱擴散性能。除了測試條件，在開發過程中，我們按照至少高于國標10倍的危害控制時間提出相應安全需求，并提供24小時不間斷的電池狀態監控，車內和車外多重報警，并能通過手機或安吉星等方式聯系客戶確認安全風險并提供相應幫助。

我們的系統安全開發融合了功能安全開發的流程體系，這個流程和方法論是一致的。從功能安全開發的角度擴展到系統安全范疇的領域，實質上就是擴展到非電子電氣類的失效以及相關設計措施上。從整個風險評估以及安全分析以及安全需求的定義，到最后的設計實現和測試驗證確認，是符合我們整個V模型的設計開發的。

圖源:演講嘉賓素材

在智能網聯汽車面臨的挑戰下，我們不僅要做多學科跨領域的安全分析及設計，還要基于用戶最真實和惡劣的使用場景定義測試要求，落實在系統安全開發流程上。

在智能駕駛層面，智能網聯汽車也面臨諸多風險。如算法的不確定性導致功能的偏離，無法識別推著自行車過馬路的人、靜止的清掃車、白色貨車等，以及環境對系統的影響，例如攝像頭因為天氣昏暗無法識別車道線。這一類問題屬于功能局限和性能局限所導致的系統相關風險。另外，其他原因也有可能導致整車出現風險，、如駕駛員對車輛功能的不理解或者錯誤理解導致的誤用等。在此背景下，預期功能安全應運而生。

預期功能安全是指不存在因功能或其實現不充分引起的危害行為而導致不合理的風險，主要關注功能局限和合理可預見的誤用。

我們將系統開發流程融入了SOTIF開發流程，主要有安全分析和安全驗證兩大核心。我們應用這個核心作為領域的融合關鍵點，在融合非電子電氣類安全開發的系統安全開發流程的基礎上，融合預期功能安全相關的安全分析與驗證確認，確定工作過程和相關責任人以及輸入輸出等。

圖源:演講嘉賓素材

預期功能安全主要圍繞兩個問題。一是把已知不安全和未知不安全場景轉化成已知安全場景，二是如何評估可接受的準則。在預期功能安全領域，我們已有初步探索。針對已知不安全和未知不安全場景轉化為已知安全場景的問題，我們建立了SOTIF的場景庫，基于這個場景庫不斷通過仿真/測試驗證和相關數據分析積累進行迭代，將新發現的未知的場景轉化為已知場景，也將已知不安全場景通過設計方案轉化為已知安全場景。形成整車實際的測試用例。這是一個長期并需要一直迭代的事情。做場景庫也是一個比較煩瑣的過程。我們最初將所有場景進行排列后有幾百萬條，如何從幾百萬的場景中挑選出我們需要的場景是一大問題。針對場景庫和我們系統的傳感器或者算法局限，需要找到它們的權重匹配關系，分析在某場景組合下的關聯因子。匹配完成后，我們把較為重要的場景優先篩選出來。另一種方法是先分析傳感器或者算法在單個因素的場景的影響，再將所有單一因素場景下關聯因子結合起來考慮實際生活中場景組合的權重，就可以幫助我們簡化相關工作。例如攝像頭如果遇到大雨，無論其是城市路還是高架路，影響其目標識別功能的關聯度最高的還是大雨這個要素，我們可以先把這個關鍵要素挑出來，再進行雙場景和多場景的組合分析。

針對如何評估接受準則的問題，我們也做了許多探索。我們通過虛擬場景的搭建，開發相關測試用例，評估人在某個場景下開車的情景，利用六自由度的駕駛員在環的虛擬場景測試平臺進行信心度和可控度評估。我們也會做一些實車相關測試，形成車輛主觀以及客觀的數據庫，提煉成我們想要的接受準則。

智能網聯汽車安全策略3是融合預期功能安全方法和流程的系統安全開發。目前我們需要盡可能降低造車的成本，提高效率，而且車的功能越來越多，也越來越智能，這之中存在著諸多矛盾。做”費錢又費設計”的系統安全開發，不論功能安全、預期功能安全都面臨著很大的挑戰。這個就需要安全策略4來保障。

智能網聯汽車安全策略4是整車項目系統安全發布管控，確保安全分析和安全策略落地。以泛亞為例，我們建立整車項目的系統安全發布有兩個重點，一是獨立性，我們團隊獨立于系統開發和產品定義團隊，保持獨立思考，完成整車級/系統級/零部件級的安全分析以及安全需求定義，并通過評審測試驗證等手段確認需求的落地；二是否決權，我們有整車的系統安全發布的管控，在整車項目的各大關鍵節點，基于安全需求實施狀態評估發布整車安全狀態，換句話說如果安全需求實施不到位，項目無法正常開展。

這些系統安全開發流程的建立實施才能確保安全需求的最終落地，但是這些需要充分的系統安全的文化為基礎才可能推進，。

我們積極配合行業內的預期功能安全、功能安全相關標準法規，如34590、43267道路預期功能安全標準等。更多標準的發布將為我們行業的發展和功能安全和預期功能安全開發的工作中產生助力。

針對非電子電氣類的失效，我們積極參加并推動了ISOTR9968的制定工作，在ISOTR里把非電子電氣類的失效融入整個功能安全的開發領域中。ISO26262的第三版修訂過程中，我們也在考慮相關建議，比如從電池的角度考慮非電子電氣類的失效。