2025年3月26日-28日��,2025商用車產(chǎn)業(yè)發(fā)展會(huì)議在湖北省十堰市舉辦�。本次會(huì)議由中國(guó)汽車工業(yè)協(xié)會(huì)主辦�,以“開辟新賽道���,匯聚新動(dòng)能——發(fā)展商用車產(chǎn)業(yè)新質(zhì)生產(chǎn)力”為主題��,采用“1+1+6+N”模式�����,即1場(chǎng)閉門會(huì)議��,1場(chǎng)開幕式暨主旨會(huì)議��,6個(gè)主題分會(huì)場(chǎng)和其他相關(guān)對(duì)接��、展示等活動(dòng)��,旨在深入分析商用車發(fā)展面臨的新機(jī)遇���、新挑戰(zhàn),探討商用車產(chǎn)業(yè)未來發(fā)展的新趨勢(shì)�����、新方向��。其中���,在3月27日下午舉辦的“主題分會(huì)場(chǎng)三:商用車安全與可靠性技術(shù)”上����,招商局檢測(cè)車輛技術(shù)研究院有限公司、智能安全測(cè)試研究室主任曾杰發(fā)表精彩演講�。以下內(nèi)容為現(xiàn)場(chǎng)發(fā)言實(shí)錄
感謝本次會(huì)議的主辦方���,感謝各位業(yè)界同仁,大家下午好���!我是曾杰�����,來自招商局車研�。今天我要分享的主題是:商用車功能安全開發(fā)及測(cè)試驗(yàn)證經(jīng)驗(yàn)和我們的一些思考����。
我本人主要是長(zhǎng)期從事功能安全這塊的研究工作����,接下來主要從五個(gè)方面向大家進(jìn)行介紹���。
首先是公司介紹���,我們招商車研是一家主要做法規(guī)測(cè)試業(yè)務(wù)的公司�����。
我們主要有五大業(yè)務(wù)方向:法規(guī)檢測(cè)�����、委托�、工程技術(shù)研發(fā)、標(biāo)準(zhǔn)制定����、政策咨詢。
招商車研在功能安全這塊的服務(wù)領(lǐng)域����,我們現(xiàn)在已經(jīng)授權(quán)了多項(xiàng)的法規(guī)的資質(zhì)���,包括未來我們成立了招商致遠(yuǎn)的認(rèn)證公司,正在做功能安全體系認(rèn)證方面的業(yè)務(wù)����,推出了相關(guān)的產(chǎn)品。
這是我們開發(fā)方面的驗(yàn)證實(shí)例�,包括我們有硬件在環(huán)、整車在環(huán)���、實(shí)車測(cè)試���。
接下來進(jìn)行行業(yè)趨勢(shì)挑戰(zhàn)的介紹。功能安全和預(yù)期功能安全�����,在系統(tǒng)電子電氣架構(gòu)故障下面的時(shí)候可能會(huì)導(dǎo)致的一些危害或者是風(fēng)險(xiǎn)�,而預(yù)期功能安全主要是性能的局限性或人為的誤用。功能安全理論上來講我們可以通過冗余的設(shè)計(jì)或者是降低我們系統(tǒng)操作的極限的限值去進(jìn)行不合理風(fēng)險(xiǎn)的避免����,而預(yù)期功能安全的問題可能會(huì)長(zhǎng)期存在。
商用車電子電氣架構(gòu)進(jìn)展的趨勢(shì)����,從理論上來講現(xiàn)在也是從分布式的域控向域集中的架構(gòu)進(jìn)行發(fā)展���,這樣帶來的優(yōu)勢(shì)就是各個(gè)功能之間的協(xié)調(diào)會(huì)變得更好,同時(shí)我們把OTA的優(yōu)勢(shì)也加入到了集中架構(gòu)下面去����。在未來,高端商用車我們也相信中央集中式的架構(gòu)也會(huì)給我們帶來非常多的優(yōu)勢(shì)��,包括可以減少線束的使用�����。
EI架構(gòu)高暴露度的風(fēng)險(xiǎn)��,因?yàn)殡娮与姎庀到y(tǒng)架構(gòu)越復(fù)雜�����,我們可能會(huì)帶來更多的功能安全問題的暴露�����,這一塊增加功能安全設(shè)計(jì)和測(cè)試的成本也會(huì)提升���。第二個(gè)是通信方面的風(fēng)險(xiǎn)����,有可能發(fā)生通信上面的錯(cuò)誤����,我們要做更多的測(cè)試和驗(yàn)證。第三方面是單點(diǎn)失效的風(fēng)險(xiǎn)���,比如說現(xiàn)在集中式的架構(gòu)�����,假設(shè)ECU發(fā)生了單點(diǎn)失效�����,這塊我們可能會(huì)加強(qiáng)整個(gè)冗余設(shè)計(jì)�����。第四個(gè)方面是OTA的可靠性��,這塊可能會(huì)帶來刷寫失敗的風(fēng)險(xiǎn)��。
我們總結(jié)了功能安全開發(fā)領(lǐng)域里面�,商用車與乘用車有一些區(qū)別。第一個(gè)就是商用車的運(yùn)行場(chǎng)景和乘用車是不太一樣的��,商用車更加面向于比如說干線的物流或者是重載的運(yùn)營(yíng)模式����,它的運(yùn)行環(huán)境更加復(fù)雜,可能會(huì)帶來更高暴露度的功能安全的問題��。第二個(gè)就是安全目標(biāo)可能會(huì)存在一些不同���,因?yàn)槌擞密嚨脑O(shè)計(jì)可能更多考慮的是安全和舒適之間的平衡����,商用車要關(guān)注一些基礎(chǔ)方面的東西����。第三個(gè)就是側(cè)重點(diǎn)可能不太一樣���,商用車更多要關(guān)注的是基礎(chǔ)���,比如說轉(zhuǎn)向�、制動(dòng)方面的安全冗余的設(shè)計(jì)�,而乘用車要注重的是駕駛體驗(yàn)。
商用車的功能安全設(shè)計(jì)可能會(huì)帶來三個(gè)方面的挑戰(zhàn)�,第一個(gè)最主要的就是開發(fā)成本的上升,做功能安全地在主機(jī)廠的內(nèi)部體系里面是比較被討厭的一幫人�����,因?yàn)樗膬r(jià)值在某些程度上是不易于被展現(xiàn)的�,反而會(huì)給產(chǎn)品開發(fā)帶來更多制約的因素,比如說芯片會(huì)上更高的等級(jí)���,一些冗余設(shè)計(jì)就會(huì)帶來更多的生產(chǎn)成本的問題�,還有培養(yǎng)一個(gè)功能安全專門的開發(fā)團(tuán)隊(duì)也是一種挑戰(zhàn)�。第二個(gè)是我們的設(shè)計(jì)難度,因?yàn)檫@塊有一些創(chuàng)新的設(shè)計(jì)在里面�����,我們團(tuán)隊(duì)必須要有相關(guān)的設(shè)計(jì)背景�。第三個(gè)就是駕駛體驗(yàn)方面的限制,比如說我們假如思考了功能安全的問題在里面過后����,比如說AEB�����,它可能的最大減速度的限制會(huì)被限制在一個(gè)合理的范圍之內(nèi)��。
接下來介紹一下商用車功能安全開發(fā)方面的思考�。
第一個(gè)我們要考慮的是商用車它本身的功能安全開發(fā)和乘用車開發(fā)的差異性�����,也就是從應(yīng)用場(chǎng)景進(jìn)行分析�����,我們的載荷����,包括冗余架構(gòu)的設(shè)計(jì),因?yàn)槌擞密囁赡軙?huì)采用更加靈活的一些冗余設(shè)計(jì)����,而商用車更加偏向于可靠性方面的設(shè)計(jì)��,比如說剛才萬安的領(lǐng)導(dǎo)也介紹過,EMB的功能安全設(shè)計(jì)的方法���。在乘用車��,我在前兩個(gè)月審查了比亞迪仰望系列的線控轉(zhuǎn)向制動(dòng)系統(tǒng)�,因?yàn)楫?dāng)前沒有一個(gè)標(biāo)準(zhǔn)去過公告���,仰望系列相當(dāng)于線控轉(zhuǎn)向系統(tǒng)���,它的功能安全目標(biāo)的實(shí)現(xiàn),假設(shè)我們?cè)诎l(fā)生線控轉(zhuǎn)向失效的時(shí)候靠的四個(gè)獨(dú)立驅(qū)動(dòng)的電機(jī)實(shí)現(xiàn)扭矩轉(zhuǎn)向��,即使在失效情況下仍然可以把車輛在某一個(gè)橫向加速度控制范圍之內(nèi)靠邊停車這種安全目標(biāo)的實(shí)現(xiàn)���。
從功能安全開發(fā)的角度出發(fā)�,我們認(rèn)為主要遵從的體系還是ISO26262和34590的方法���。
在功能安全概念設(shè)計(jì)�����、功能安全等級(jí)的確定��,最終會(huì)導(dǎo)出相關(guān)系統(tǒng)的需求��。
舉個(gè)例子����,整車在做HARA分析的時(shí)候,要關(guān)注駕駛員的操作�����,在這些場(chǎng)景下面進(jìn)行危害場(chǎng)景的分析��,包括嚴(yán)重度�、暴露度、可控度����。在嚴(yán)重度這塊可以使用一些歷史的經(jīng)驗(yàn),包括碰撞的數(shù)據(jù)��,比如說追尾卡車���,追尾其他車型的測(cè)試結(jié)果�。暴露度可以根據(jù)我們長(zhǎng)期開發(fā)過程當(dāng)中的一些歷史的經(jīng)驗(yàn)去把失效的概率給暴露出來�。可控度可以根據(jù)當(dāng)前的一些測(cè)試結(jié)果�,比如說現(xiàn)在我們的可控度的測(cè)試,我們?cè)诔擞密嚿厦嬉呀?jīng)做了非常多的工作���,但商用車可控度測(cè)試驗(yàn)證非常困難�,我之前也做了ESC主觀方面的評(píng)價(jià)�����,有可能會(huì)導(dǎo)致這種車型的翻車�。
在功能安全概念階段的設(shè)計(jì)過后,我們會(huì)導(dǎo)出一些安全目標(biāo)����,導(dǎo)出安全目標(biāo)過后,我們會(huì)根據(jù)我們系統(tǒng)具體的架構(gòu)輸出我們功能安全的需求��,下沉到每一個(gè)子系統(tǒng)的層面����,這樣我們就可以把整個(gè)功能安全的理念給執(zhí)行下去。
在功能安全概念設(shè)計(jì)階段有一個(gè)非常重要的指標(biāo)�,就是故障的FTTI的容錯(cuò)時(shí)間,它表示從故障發(fā)生到相關(guān)項(xiàng)可能發(fā)生危害事件最短的時(shí)間間隔����,比如說我舉的例子叫非移區(qū)轉(zhuǎn)向�����,這個(gè)事件最短容錯(cuò)時(shí)間的計(jì)算有三種方法:第一種就是基于理論分析的方法進(jìn)行計(jì)算����,比如說我們列一些動(dòng)力學(xué)的公式進(jìn)行計(jì)算����;第二種方法叫故障注入的方法;第三種是直接根據(jù)前面的開發(fā)經(jīng)驗(yàn)進(jìn)行FTTI的計(jì)算�。
在軟硬件設(shè)計(jì)層面,硬件層面還是要去做一些硬件的功能安全概念實(shí)現(xiàn)的設(shè)計(jì)��,包括分析硬件潛在失效的模式和影響�����。在軟件層面要去協(xié)同軟件功能的設(shè)計(jì)����,包括軟件機(jī)制的設(shè)計(jì)。最重要的就是軟硬件的結(jié)合�����,這樣可以降低我們的成本。因?yàn)楣δ馨踩O(shè)計(jì)不是一味去做冗余或者是去做軟件方面的監(jiān)控�����,更多的是一種成本方面的考慮�����。
因?yàn)樽詣?dòng)駕駛在商用車和乘用車它的應(yīng)用都非常多���,特別是在不同自動(dòng)駕駛等級(jí)下面這個(gè)功能安全設(shè)計(jì)需求是完全不一樣的。比如說我們?cè)贚1��、L2駕駛輔助系統(tǒng)層面的時(shí)候�����,責(zé)任核心是在人員����,即使我們發(fā)生了一些功能失效,人員應(yīng)該也及時(shí)進(jìn)行接管����,這一塊主要考慮的就是駕駛員的可控度���,如果我們的可控度越高,理論上來講在發(fā)生危害事件的時(shí)候功能安全等級(jí)就會(huì)越低�。在L3這個(gè)系統(tǒng)的時(shí)候有一個(gè)非常關(guān)鍵的臨界點(diǎn),就是我們駕駛責(zé)任的轉(zhuǎn)移����,比如說從L2到L3,L3的責(zé)任里面有一個(gè)人機(jī)共駕的過程�,這一塊就需要把駕駛的責(zé)任部分歸屬給車輛或者是駕駛員,這里面就需要設(shè)計(jì)后備策略���,這塊即使我們發(fā)生了故障�,這個(gè)后備策略在芯片里面也有一個(gè)類似于備份去進(jìn)行執(zhí)行��。L3可以做的是什么���?因?yàn)樗:Φ牡燃?jí)也會(huì)非常高�����。
這是我之前做的一些總結(jié)�����,在底盤���、轉(zhuǎn)向�����、智能域各個(gè)域情況下不同設(shè)計(jì)功能安全等級(jí)的推薦,包括剛才說的線控制動(dòng)���、線控轉(zhuǎn)向���,理論上來說這都是D等級(jí)的設(shè)計(jì)。包括L2這塊有一個(gè)系統(tǒng)需要值得注意的就是AES�,它的功能安全等級(jí)的設(shè)計(jì)應(yīng)該就是D等級(jí)的,因?yàn)樗臉O限超重的速度非常高�����,假設(shè)發(fā)生了故障這塊帶來的危害非常嚴(yán)重����。另外就是L3�、L4功能安全的關(guān)鍵機(jī)制的設(shè)計(jì)��,L2可以做一些傳感器的交叉校驗(yàn)�,L3需要的就是安全獨(dú)立監(jiān)控的芯片,包括更高等級(jí)的就要做更多的資信度的評(píng)估��、備份冗余設(shè)計(jì)在里面����。
第四個(gè)部分主要是講功能安全測(cè)試驗(yàn)證方面的一些介紹。
功能安全測(cè)試到底測(cè)試什么�?有三個(gè)階段,第一個(gè)階段就是在軟硬件階段�,如果在軟件階段可以做單元測(cè)試,看一下當(dāng)前軟件的要求有沒有得到正確的實(shí)施�����。在軟件集成方面主要是驗(yàn)證的是什么�?所有的安全策略得到合理的解釋。第四個(gè)方面就是硬件集成的測(cè)試�����,包括故障注入,包括電子電氣的測(cè)試����。
功能安全系統(tǒng)集成測(cè)試核心的目的就是驗(yàn)證我們系統(tǒng)架構(gòu),比如說FSR定義安全措施得到了實(shí)施���,并滿足安全設(shè)計(jì)的要求��。整車層面的測(cè)試主要安全目標(biāo)�,能不能得到實(shí)施�����,這塊有非常多測(cè)試的方法�,包括用實(shí)車測(cè)試等一系列的方法去做相關(guān)的測(cè)試驗(yàn)證���。
功能安全測(cè)試的方法論�����,比如說基于仿真測(cè)試可以做的比如可控性SIL�,包括FTTI理論的計(jì)算�����,以及功能安全需求的驗(yàn)證,實(shí)車的驗(yàn)證手段���,驗(yàn)證安全目標(biāo)的達(dá)成����。
測(cè)試用例的設(shè)計(jì)方法���,一條FSR也可以展開成為多條TSR�����,從SG到FSR到TSR這樣展開下去���,一個(gè)整車的測(cè)試用例可以達(dá)到2000條以上。
功能安全的一些典型的測(cè)試方法��,比如說可以通過電子電氣故障的注入���,包括模擬短路開路過壓���、欠壓等一些方式���,還可以通過看報(bào)文進(jìn)行總線攔截,模擬通信內(nèi)在故障�����,ECU參數(shù)標(biāo)定��,可以標(biāo)定每個(gè)電芯的電壓不平衡的場(chǎng)景�。
這是一個(gè)典型的我們做的功能安全的用例,避免制動(dòng)故障時(shí)激活NOA的功能����,看這個(gè)系統(tǒng)退出NOA時(shí)間響應(yīng)情況。
在集成測(cè)試層面我們要評(píng)價(jià)主要是評(píng)價(jià)幾個(gè)方面�����,功能安全集成測(cè)試評(píng)價(jià)三個(gè)方面��,第一個(gè)我們是否在規(guī)定時(shí)間內(nèi)進(jìn)入安全狀態(tài)�,是否違背功能安全需求的情況��,以及是否能夠覆蓋所有功能安全需求�����。在安全確認(rèn)可接受準(zhǔn)則方面,可以考慮限速值���,包括最大的加速度�����、減速度的表現(xiàn)���,比如最終結(jié)果層面,比如會(huì)不會(huì)撞車�����,會(huì)不會(huì)越線���,在彎道駕駛員接管的時(shí)候如果發(fā)生了撞線�����,這塊可能功能安全的目標(biāo)是沒有達(dá)成的����。
可控度數(shù)據(jù)庫的建立,剛才我在前面也講了�����,特別是在做分析的時(shí)候�,可控度數(shù)據(jù)庫建立是非常關(guān)鍵的,因?yàn)樗梢灾苯記Q定的是什么��?功能安全的等級(jí)����。如果我們?cè)陲w移區(qū)轉(zhuǎn)向場(chǎng)景下面用的是線控轉(zhuǎn)向,我們經(jīng)過一些深度的分析�����,我們把駕駛員的可控度數(shù)據(jù)摸得非常清晰��,這個(gè)邊界的數(shù)據(jù)庫拿到過后����,可以把原來D等級(jí)的功能安全降到C等級(jí)去����,這是一種技術(shù)的處理方式���。乘用車的可控度的數(shù)據(jù)庫建立遠(yuǎn)遠(yuǎn)要比商用車更容易,因?yàn)樯逃密嚨脑囼?yàn)本身就會(huì)帶來非常多的風(fēng)險(xiǎn)����,這一塊我們做乘用車做得比較多,商用車反而比較少�。
最后一個(gè)總結(jié),當(dāng)前在法規(guī)趨勢(shì)里面�����,我們看了一下所有的法規(guī)�����,包括GB類的或者是公告類的�,現(xiàn)在主要是針對(duì)功能安全采用的是附錄審核的方式,并沒有進(jìn)行實(shí)質(zhì)性的類似于測(cè)試�。但是在下一步的比如說乘用車制動(dòng)系統(tǒng)這一塊就會(huì)進(jìn)行強(qiáng)制性的測(cè)試和做文件的審查。未來的趨勢(shì)也是這樣的�����,比如說主管部門對(duì)功能安全的問題會(huì)越來越嚴(yán)格�,功能安全的標(biāo)準(zhǔn)也會(huì)越來越多�,包括這次兩部委發(fā)布的通知�,里面有沙盒監(jiān)管,沙盒監(jiān)管我有相關(guān)的經(jīng)驗(yàn)�����,在這個(gè)里面就要做深度測(cè)試��,深度測(cè)試就會(huì)滲透到功能安全板塊�����,功能安全講的是用戶深度測(cè)試進(jìn)行追蹤��。
電動(dòng)化�、智能化、平臺(tái)化我認(rèn)為是不可逆的趨勢(shì)��。功能安全設(shè)計(jì)這一塊對(duì)于主機(jī)廠����,特別是商用車企業(yè)挑戰(zhàn)是最大的,因?yàn)槟阋ネ苿?dòng)企業(yè)內(nèi)部建立起一個(gè)完整的功能安全開發(fā)的團(tuán)隊(duì)��,真正把開發(fā)、生產(chǎn)��、管理全部執(zhí)行下去�,這是非常有難度的一件事情�,這個(gè)也是對(duì)我們企業(yè)一個(gè)全新的挑戰(zhàn)。但是在未來類似于出口的法規(guī)里面�����,就要求功能安全是一個(gè)強(qiáng)制性實(shí)施的法規(guī)���,包括我們出口到歐洲的產(chǎn)品��,功能安全設(shè)計(jì)如果你用了EMB必須要進(jìn)行審查�����。最后總結(jié)一下��,功能安全設(shè)計(jì)并非強(qiáng)制性的追求冗余的設(shè)計(jì)��,而是在風(fēng)險(xiǎn)可接受的前提下去實(shí)現(xiàn)成本和安全目標(biāo)達(dá)成的一種平衡����。
以上代表我個(gè)人的觀點(diǎn),謝謝大家�����。
(注:本文根據(jù)現(xiàn)場(chǎng)速記整理���,未經(jīng)演講嘉賓審閱)
0
