邁過 2021 年，汽車的智能化已經(jīng)成為行業(yè)內(nèi)無可爭(zhēng)議的事實(shí)，而「量產(chǎn)」也成為了自動(dòng)駕駛圈年度最熱關(guān)鍵詞。

過去的一年里，不管是在 Robotaxi（無人出租）、Robotruck（無人卡車）還是其他賽道，包括百度 Apollo、小馬智行、文遠(yuǎn)知行、毫末智行、友道智途、主線科技、嬴徹科技等自動(dòng)駕駛公司均紛紛劍指無人車量產(chǎn)。

而乘用車領(lǐng)域，蔚來、小鵬、理想、威馬、高合、路特斯、集度等汽車 OEM 也早已將高級(jí)別智能駕駛的量產(chǎn)車型提上了日程，已開始或即將批量化交付。

高合 HiPhi Z

就在最近，特斯拉在 2021 年第四季度車輛安全報(bào)告中表示：Autopilot 讓行車安全達(dá)到美國平均水平的 8.9 倍，再次引發(fā)圈內(nèi)熱議。

隨著高級(jí)別自動(dòng)駕駛量產(chǎn)在即，汽車安全的確成為了越來越多人關(guān)注的話題。

但是，自動(dòng)駕駛汽車真的安全嗎？

如今，智能駕駛、智能座艙在新車中的滲透率不斷提升，智能汽車越來越像四個(gè)輪子的大號(hào)「手機(jī)」。

然而汽車消費(fèi)電子化的過程，本身也給車輛引入了更多的電子電氣部件。相比于傳統(tǒng)的燃油車，電動(dòng)汽車中電子元器件的數(shù)量大約翻了 15 倍。

這些新部件和傳統(tǒng)車輛上以機(jī)械為主的部件有著巨大的不同：無論多么精密的電子電氣部件，都存在著一定隨機(jī)失效概率（隨機(jī)失效指：發(fā)生的時(shí)間無法確定、服從概率分布而發(fā)生的硬件失效，例如電阻開路、短路、阻值的漂移等）。

傳統(tǒng)的燃油車受人所控制，而未來當(dāng)機(jī)器代替人駕駛，一旦出現(xiàn)失效，人卻不能控制，其帶來的后果將十分嚴(yán)重。

隨著電子電氣部件增加而帶來的隨機(jī)失效概率的升高，車輛的整體安全特性將會(huì)受到越來越多的影響。

首先，智駕系統(tǒng)越來越復(fù)雜。無論是制動(dòng)還是轉(zhuǎn)向助力等系統(tǒng)，智能駕駛車輛具有更多的電控、線控部件。

其次，智能傳感器數(shù)量越來越多。車輛的智能駕駛能力越強(qiáng)，其智駕系統(tǒng)的軟硬件也越復(fù)雜。

從傳統(tǒng)的 L1 演變到 L4 級(jí)自動(dòng)駕駛，傳感器數(shù)量從一兩個(gè)，演化到數(shù)十個(gè)，同時(shí)對(duì)算力也提出了更高要求。

高級(jí)別自動(dòng)駕駛功能使電子電氣系統(tǒng)在更多時(shí)間段和更多場(chǎng)景下介入對(duì)車輛的控制，但它們的隨機(jī)失效又威脅到生命安全，傳統(tǒng)汽車的安全體系在面對(duì)新的失效方式時(shí)遇到了挑戰(zhàn)。

如要保障智能汽車的安全，其整車的安全要求、安全設(shè)計(jì)和測(cè)試驗(yàn)證流程都需要發(fā)生變化，而其中能夠解決電子電氣部件隨機(jī)失效問題的重要一環(huán)，就是功能安全。

01、汽車功能安全的血淚教訓(xùn)：豐田剎車門

總體來說，整車安全包括被動(dòng)安全、機(jī)械安全、化學(xué)安全、駕駛行為安全等，而大量電子電氣系統(tǒng)加入后，又增加了主動(dòng)安全、電氣安全、功能安全、預(yù)期功能安全、駕駛行為安全、網(wǎng)絡(luò)安全等要素，并且這些要素之間還存在并行或交叉，使整車安全變得錯(cuò)綜復(fù)雜。

在智能網(wǎng)聯(lián)汽車引入新技術(shù)的同時(shí)，也相當(dāng)于引入了功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全，其中功能安全的問題可能是最早凸顯的。

以汽車發(fā)動(dòng)機(jī)中的節(jié)氣門為例，節(jié)氣門是發(fā)動(dòng)機(jī)的咽喉。節(jié)氣門的開度越大，發(fā)動(dòng)機(jī)進(jìn)氣量越大，動(dòng)力越強(qiáng)，車輛加速越快。最早的節(jié)氣門是通過機(jī)械結(jié)構(gòu)與油門踏板直連。

大約 1988 年前后，電子節(jié)氣門出現(xiàn)，它取消了油門踏板和節(jié)氣門之間的機(jī)械連接，改用傳感器來檢測(cè)油門踏板的踩踏深度，再經(jīng)車機(jī)系統(tǒng)來控制節(jié)氣門開度。

由于取消了油門踏板與節(jié)氣門之間的直連，電子節(jié)氣門使得汽車具備經(jīng)濟(jì)、運(yùn)動(dòng)等多種豐富的駕駛模式，提高了駕駛體驗(yàn)和車輛的可玩性。

但新問題也隨之產(chǎn)生。大約在 2000 – 2010 年期間，正是因?yàn)獒槍?duì)電子節(jié)氣門的安全設(shè)計(jì)不足，豐田汽車吃到了慘痛的教訓(xùn)——最終召回 70 萬臺(tái)汽車，支付十幾億美元的和解費(fèi)用，并先后導(dǎo)致了 89 人在豐田旗下車型相關(guān)的事故中喪生。

這一案例就是當(dāng)時(shí)著名的「豐田剎車門」。雖然調(diào)查過程中事件一度「反轉(zhuǎn)」，但最終美國 NHSTA 的調(diào)查顯示，導(dǎo)致豐田剎車門的主要原因，正是當(dāng)時(shí)豐田在控制電子節(jié)氣門的軟件中對(duì)關(guān)鍵的變量保護(hù)不足，或者說缺乏冗余。

一位汽車功能安全工程師向我們解釋：例如部分變量在受到外界干擾（如伽馬射線）時(shí)，會(huì)變成錯(cuò)誤值，就會(huì)導(dǎo)致車輛不可控的加速。

豐田為「剎車門」付出了慘痛的代價(jià)，在整個(gè)行業(yè)范圍內(nèi)，這個(gè)案例也推動(dòng)了汽車功能安全的建設(shè)，尤其是軟件安全性的發(fā)展。

02、不重視功能安全的智能汽車就是裸奔

汽車功能安全的本質(zhì)，就是通過一套體系來識(shí)別及分析安全風(fēng)險(xiǎn)，推動(dòng)產(chǎn)品開發(fā)過程在設(shè)計(jì)、生產(chǎn)、售后環(huán)節(jié)避免系統(tǒng)失效引發(fā)人身傷害——通俗來講，就是把導(dǎo)致危險(xiǎn)的概率降到足夠低。

車輛的非預(yù)期加速減速、無法進(jìn)行轉(zhuǎn)向、汽車的安全氣囊在不該彈出時(shí)彈出……這些都是汽車功能安全沒有做好可能會(huì)引發(fā)的嚴(yán)重后果。

一位資深汽車業(yè)內(nèi)人士形象地將功能安全工作之于智能網(wǎng)聯(lián)汽車企業(yè)比喻為「打地基」：如果地基沒打穩(wěn)，上面蓋的樓越高，大廈坍塌時(shí)帶來的后果就越嚴(yán)重。

首先，開展功能安全工作需要在產(chǎn)品架構(gòu)設(shè)計(jì)、器件選型階段就開始，否則未來即使發(fā)現(xiàn)了安全設(shè)計(jì)缺陷，想徹底整改的機(jī)會(huì)都沒有。因?yàn)槠髽I(yè)將會(huì)受制于設(shè)計(jì)變更可行性、供應(yīng)鏈穩(wěn)定性、生產(chǎn)一致性，以及可驗(yàn)證性等各種全方位的挑戰(zhàn)。

其次，就算企業(yè)幸運(yùn)，沒有出現(xiàn)類似于「豐田剎車門」的嚴(yán)重事故，但在汽車領(lǐng)域安全事故就是零容忍。一旦離開功能安全，智能網(wǎng)聯(lián)汽車就像脫韁的野馬，銷量越高，也許反而會(huì)越讓管理層睡不著覺。

因?yàn)檎l都知道存在風(fēng)險(xiǎn)，隨著時(shí)間推移，賣的越好也就越擔(dān)心，而且「亡羊補(bǔ)牢」付出的代價(jià)也越大。誰知道下一個(gè)事故何時(shí)發(fā)生呢？

也就是說，不重視功能安全的智能汽車，安全無從保障，與「裸奔」無異。

那么如何通過功能安全設(shè)計(jì)來降低風(fēng)險(xiǎn)概率呢？目前的主要做法是通過各種分析手段來進(jìn)行風(fēng)險(xiǎn)因素拆解。

找到車輛電子電氣系統(tǒng)中可能引發(fā)安全問題的點(diǎn)位（比如傳感器、感知算法、執(zhí)行器等），并對(duì)該點(diǎn)位進(jìn)行連續(xù)不斷的檢測(cè)和監(jiān)控，一旦發(fā)現(xiàn)點(diǎn)位失效，則使系統(tǒng)進(jìn)入「安全模式」，比如向用戶發(fā)出提醒，不要使用車輛或靠邊停車。

對(duì)不合理風(fēng)險(xiǎn)的分析評(píng)估，是功能安全的設(shè)計(jì)與開發(fā)過程中的第一個(gè)環(huán)節(jié)，被稱為 HARA（危害分析和風(fēng)險(xiǎn)評(píng)估 Hazard Analysis and Risk Assessment），而風(fēng)險(xiǎn)的危害程度、暴露程度和可控程度將共同決定風(fēng)險(xiǎn)的等級(jí)，這個(gè)我們稍后展開再表。

這種故障檢測(cè)-故障響應(yīng)-安全狀態(tài)的一套邏輯，就是功能安全的基本原理。

正是由于近年來在汽車行業(yè)內(nèi)，功能安全越來越受到車企的重視，因而誕生了專門的業(yè)內(nèi)權(quán)威標(biāo)準(zhǔn)——ISO 26262。

汽車行業(yè)內(nèi)大家一般提到「做好功能安全」，就是指對(duì)應(yīng)系統(tǒng)的開發(fā)無論是從流程層面還是技術(shù)層面都要符合 ISO 26262 的標(biāo)準(zhǔn)要求。

03、做好關(guān)鍵零部件的功能安全，是汽車安全行駛的第一環(huán)

在自動(dòng)駕駛鏈條中，感知是整個(gè)技術(shù)棧的第一環(huán)。感知傳感器扮演了自動(dòng)駕駛汽車「眼睛」的角色，一旦傳感器出現(xiàn)問題，自動(dòng)駕駛汽車系統(tǒng)后續(xù)的決策、執(zhí)行都將受到極大影響。

面向高級(jí)別自動(dòng)駕駛，功能安全要求其核心傳感器要具備自檢、故障診斷、報(bào)警等功能。

我們以激光雷達(dá)為例進(jìn)行風(fēng)險(xiǎn)分析。作為一種發(fā)射激光與接收回波的裝置，以下列舉了幾種激光雷達(dá)可能出現(xiàn)的問題：

• 瞎線：前方存在物體，但沒有檢測(cè)到物體，這種情況可能導(dǎo)致自動(dòng)駕駛車輛與漏檢目標(biāo)發(fā)生碰撞；

• 鬼影：前方不存在物體，但檢測(cè)到了物體，這種情況可能導(dǎo)致自動(dòng)駕駛車輛發(fā)生「非預(yù)期的制動(dòng)」；

• 數(shù)據(jù)偏差：檢測(cè)到的數(shù)據(jù)與真實(shí)物體的 (x, y, z) 坐標(biāo)存在偏差。

進(jìn)一步分析，針對(duì)其中一種出現(xiàn)「瞎線」的情況，激光雷達(dá)的組件部分可能存在：發(fā)射器端部分沒有正常工作；接收器端部分沒有正常工作；或者通信部分沒有正常工作等情況。

再進(jìn)一步，發(fā)射器端失效又可能是發(fā)射觸發(fā)電路上某些短路、開路等導(dǎo)致。

上圖點(diǎn)云可見實(shí)際存在車輛，但下圖點(diǎn)云由于缺少了幾線， 車輛不可見了，這種情況就是「瞎線」

按照這樣的風(fēng)險(xiǎn)分析（故障樹分析）方式，激光雷達(dá)的失效將可被分解出上萬種元器件的失效。

而功能安全的設(shè)計(jì)，則會(huì)對(duì)發(fā)射器、接收器以及通信電路等整條鏈路上的組件進(jìn)行監(jiān)測(cè)，如果發(fā)現(xiàn)激光雷達(dá)傳感器的組件存在失效的情況，傳感器則會(huì)向自動(dòng)駕駛系統(tǒng)發(fā)出報(bào)警，系統(tǒng)可能降低激光雷達(dá)輸入信息的置信度或者選擇從自動(dòng)駕駛狀態(tài)退出，或者進(jìn)入最小風(fēng)險(xiǎn)狀態(tài)，降低車速并停車。

在這個(gè)過程中，功能安全開發(fā)要覆蓋包括整車級(jí)、系統(tǒng)級(jí)、軟件系統(tǒng)級(jí)、軟件架構(gòu)級(jí)、軟件單元級(jí)、軟件接口級(jí)、硬件系統(tǒng)級(jí)、硬件架構(gòu)級(jí)、硬件單元級(jí)、硬件接口級(jí)等 10 多個(gè)不同級(jí)別的需求。

從產(chǎn)業(yè)分工來講，通常 OEM 主機(jī)廠會(huì)覆蓋整車級(jí)與零部件概念級(jí)的功能安全需求開發(fā)與測(cè)試驗(yàn)證，Tier 1 與 Tier 2 們則各自負(fù)責(zé)其對(duì)應(yīng)的系統(tǒng)以及軟硬件層級(jí)的功能安全開發(fā)和驗(yàn)證。

前面我們提到了風(fēng)險(xiǎn)的危害程度（Severity）、暴露程度（Exposure）和可控程度（Controllability）將共同決定風(fēng)險(xiǎn)的等級(jí)，功能安全設(shè)計(jì)要求覆蓋對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)，分別為 QM、ASIL A、ASIL B、ASIL C 和 ASIL D。

功能安全等級(jí)的高低，代表對(duì)應(yīng)電子電氣系統(tǒng)在汽車行駛安全中的重要程度的高低，同時(shí)也對(duì)應(yīng)了這款產(chǎn)品在開發(fā)過程中的安全活動(dòng)復(fù)雜程度的高低。

比如一款用于倒車輔助的攝像頭，相應(yīng)的 ASIL 等級(jí)最高也就 ASIL A；

激光雷達(dá)作為自動(dòng)駕駛系統(tǒng)的重要環(huán)境感知傳感器之一，一般車企都要求其達(dá)到 ASIL B 級(jí)別；

像電機(jī)控制器這種在汽車安全行駛過程中直接決定車速的部件，就必須達(dá)到 ASIL D 級(jí)別。

而一款高階智能駕駛汽車的自動(dòng)駕駛系統(tǒng)，整體也要符合 ASIL D 級(jí)別。

盡管不少車企已經(jīng)在 2021 年將高階智能駕駛量產(chǎn)提上日程，甚至 2022 年一部分旗艦車型將正式發(fā)布 L3 及 L4 自動(dòng)駕駛系統(tǒng)，但整體上目前市面上的攝像頭、毫米波雷達(dá)、激光雷達(dá)等傳感器中的一大部分仍非常缺乏完善的功能安全設(shè)計(jì)，能夠通過權(quán)威機(jī)構(gòu)的 ASIL 安全認(rèn)證的此類產(chǎn)品更是鳳毛麟角。

從公開信息上，我們可以看到一小部分的國內(nèi)外廠商已經(jīng)在功能安全領(lǐng)域有所行動(dòng)：

• 在攝像頭領(lǐng)域，安森美在內(nèi)部開發(fā)了針對(duì)功能安全的整套工藝流程。根據(jù)其公開的信息，目前其 CMOS 傳感器、汽車多輸出電源管理 IC、紅外 LED 照明控制器等產(chǎn)品都是符合功能安全標(biāo)準(zhǔn)。

• 毫米波雷達(dá)領(lǐng)域，國內(nèi)的加特蘭微電子 Alps 系列毫米波雷達(dá) SoC 在去年獲得了 ISO 26262 功能安全產(chǎn)品認(rèn)證證書。據(jù)加特蘭方面介紹：這是國內(nèi)首個(gè)完全符合 ISO 26262 標(biāo)準(zhǔn)并獲得第三方認(rèn)證的芯片產(chǎn)品，達(dá)到 ASIL B 級(jí)別。

• 在激光雷達(dá)領(lǐng)域，禾賽科技的 Pandar128 在 2021 年 9 月獲得德國 SGS-TüV ISO 26262 ASIL B 功能安全產(chǎn)品認(rèn)證，成為全球第一款獲 ASIL B 認(rèn)證的激光雷達(dá)。

• 在計(jì)算平臺(tái)領(lǐng)域，華為 MDC 在 2020 年 12 月拿到了 TüV 南德意志集團(tuán)頒發(fā)的針對(duì) MDC 610 的 ASIL D 功能安全認(rèn)證。地平線也在 2021 年 7 月宣布，其征程 5 芯片的功能安全架構(gòu)和具體設(shè)計(jì)通過 ISO 26262 ASIL B 產(chǎn)品認(rèn)證。

華為 MDC 610

04、國內(nèi)外車企愈發(fā)重視，功能安全成必打的硬仗

實(shí)際上不管是自動(dòng)駕駛公司還是 OEM 主機(jī)廠，都越來越重視功能安全。在國內(nèi)外市場(chǎng)，功能安全成為自動(dòng)駕駛落地量產(chǎn)前必打的一場(chǎng)硬仗。

大型國際車企通過三電等技術(shù)的開發(fā)，已經(jīng)積累了比較深厚的技術(shù)訣竅（know-how）。其針對(duì)零部件的功能安全，往往也有非常深入、系統(tǒng)性的要求。

例如通用汽車在考察零部件供應(yīng)商時(shí)，就會(huì)將是否擁有「獨(dú)立安全團(tuán)隊(duì)」作為供應(yīng)商選拔的一個(gè)重要基礎(chǔ)標(biāo)準(zhǔn)。

一位前通用汽車的工程師告訴我們，通用汽車對(duì)于供應(yīng)商在零部件功能安全上的要求實(shí)際要高于 ISO 26262。

與此同時(shí)，國內(nèi)車企近幾年也對(duì)功能安全加大了重視與投入。

國際知名認(rèn)證機(jī)構(gòu) SGS 的工程師趙益宏告訴汽車之心，以國內(nèi)吉利、上汽、廣汽、長(zhǎng)城等頭部自主品牌和頭部新勢(shì)力車企為代表，目前車企對(duì)功能安全的理解已經(jīng)非常深刻，當(dāng)前國內(nèi)汽車行業(yè)正迎來智能駕駛產(chǎn)品/零部件功能安全需求的高速增長(zhǎng)期。

智能汽車開辟的新賽道，一定程度上加劇了車企之間的產(chǎn)品競(jìng)爭(zhēng)，眾多車企都希望在更短周期內(nèi)開發(fā)出功能更強(qiáng)、體驗(yàn)更好的汽車產(chǎn)品。背靠百度與吉利的集度汽車就是其中的代表。

集度汽車的首款概念車設(shè)計(jì)， 車前左右兩側(cè)的跳燈設(shè)計(jì)為激光雷達(dá)

集度汽車方面告訴汽車之心，集度通過將軟硬件解耦，以并行開發(fā)的方式來縮短開發(fā)周期，提高開發(fā)效率。

在智能駕駛上，集度將在 2023 年交付時(shí)，即提供領(lǐng)先、安全可靠的自動(dòng)駕駛體驗(yàn)，而不是靠后續(xù)的 OTA 實(shí)現(xiàn)。因此，其智能駕駛軟件的開發(fā)已經(jīng)做了大量的前置工作。

針對(duì)智能駕駛、智能座艙的零部件，集度要求智艙相關(guān)的芯片、傳感器至少達(dá)到 ASIL B 功能安全等級(jí)，智駕相關(guān)硬件至少達(dá)到 ASIL D 功能安全等級(jí)。

線控底盤作為智能駕駛的執(zhí)行器，對(duì)于安全冗余設(shè)計(jì)、執(zhí)行器本身的安全等級(jí)都有 ASIL D 最高等級(jí)的要求。另外，還需要考慮智能駕駛系統(tǒng)和線控底盤執(zhí)行器之間的交互的安全可靠。

零部件供應(yīng)商在零部件研發(fā)和量產(chǎn)方面要有非常深的技術(shù)積累和實(shí)戰(zhàn)經(jīng)驗(yàn)。特別是硬件載體上，通過更新迭代，使產(chǎn)品更加穩(wěn)定可靠。

我們也從激光雷達(dá)技術(shù)公司禾賽科技方面了解到，其對(duì)功能安全的高度重視源于客戶的切實(shí)需求。

比如此前某新勢(shì)力車企就對(duì)禾賽的車規(guī)級(jí)半固態(tài)激光雷達(dá)提出了 40 余個(gè)大項(xiàng)的功能安全要求，包括要避免感知距離大于實(shí)際距離、避免丟點(diǎn)、避免鬼影、避免不正常的數(shù)據(jù)延遲等等，以及在出現(xiàn)各類異常時(shí)要具備監(jiān)測(cè)能力并及時(shí)向車輛上報(bào)。

目前車企的智能駕駛系統(tǒng)設(shè)計(jì)目標(biāo)普遍為 L2+級(jí)別，更有不少頭部自動(dòng)駕駛公司以開發(fā) L4 級(jí)自動(dòng)駕駛系統(tǒng)為目標(biāo)，對(duì)零部件提出了更高要求。

Waymo、Nuro、百度 Apollo 等公司已經(jīng)先后發(fā)布自動(dòng)駕駛安全白皮書，其在系統(tǒng)設(shè)計(jì)中對(duì)功能安全均有明確要求。

不難看出，未來汽車零部件需要對(duì)功能安全投入更大精力，實(shí)現(xiàn)相應(yīng)的功能安全 ASIL 等級(jí)，才能持續(xù)獲得車企的認(rèn)可。

05、近萬條失效分析、28 個(gè)月迭代，才造就一個(gè)「持證上崗」

既然功能安全如此重要，為什么至今獲得權(quán)威認(rèn)證的零部件產(chǎn)品仍是少數(shù)呢？簡(jiǎn)單來說，功能安全開發(fā)需要投入的成本是巨大的。

業(yè)內(nèi)通常認(rèn)為，達(dá)到 ASIL B 要增加項(xiàng)目 30% 的成本，而達(dá)到 ASIL D 要增加項(xiàng)目的 60% 的成本。顯然，這個(gè)過程費(fèi)時(shí)費(fèi)力費(fèi)錢，必須要得到公司高層的重視才能順利開展。

粗算了一下，這其中的成本包括且不限于：

• 硬件成本。ASIL 等級(jí)的功能安全常常需要增加冗余和檢測(cè)部件，也就是增加硬件組件，核心芯片也都需要經(jīng)過功能安全認(rèn)證，而且往往不止一個(gè)芯片；隨機(jī)硬件失效概率度量不達(dá)標(biāo)，需要更換可靠性更高/失效率更低/已有功能安全設(shè)計(jì)的芯片或者電子元器件等等。

• 軟件成本。需要開發(fā)新的承擔(dān)功能安全的軟件；軟件分區(qū)等措施的引入可能對(duì)原有軟件架構(gòu)影響很大；白盒測(cè)試（一種測(cè)試用例設(shè)計(jì)方法）的覆蓋率指標(biāo)要求很高，達(dá)不到的話需要返工；增加安全機(jī)制有可能造成軟件不穩(wěn)定，需要大量時(shí)間來調(diào)試、修改、驗(yàn)證，在保證安全性的同時(shí)盡可能少地影響可用性。

• 工具鏈成本。需求管理工具；安全分析工具；軟件開發(fā)工具；軟件測(cè)試工具等

• 管理成本。流程體系建立需要投入人力；項(xiàng)目安全管理需要投入人力；功能安全審計(jì)需要投入人力；功能安全評(píng)估需要投入人力。

一位功能安全工程師評(píng)估，「（對(duì)一家車企而言，從零開始投入）開發(fā)一套完整的功能安全體系，保守估計(jì)也要上億人民幣?！?/p>

此外，新型電子電氣零部件也給汽車功能安全建設(shè)引入了未知和挑戰(zhàn)。

以激光雷達(dá)為例，禾賽科技系統(tǒng)安全負(fù)責(zé)人告訴汽車之心，由于激光雷達(dá)是高精度、高實(shí)時(shí)性的傳感器，其功能安全設(shè)計(jì)與認(rèn)證，要比過去汽車上大部分零部件的功能安全認(rèn)證更復(fù)雜。粗略估計(jì)，激光雷達(dá)的認(rèn)證要比毫米波雷達(dá)、攝像頭復(fù)雜 1.5 倍以上。

禾賽 Pandar128 高性能激光雷達(dá)

據(jù)了解，Pandar128 內(nèi)有 6095 個(gè)元器件，大致相當(dāng)于一臺(tái)中檔燃油車上的電子元器件數(shù)量。其安全需求不僅分配到了系統(tǒng)的軟件和硬件層面，很大部分還分配到了 FPGA 來實(shí)現(xiàn)對(duì)激光雷達(dá)安全相關(guān)故障的監(jiān)控和反饋。

另外，為了功能安全的合規(guī)，實(shí)現(xiàn)程序正義，禾賽還引入第三方權(quán)威認(rèn)證公司對(duì)產(chǎn)品進(jìn)行全流程深度考察，經(jīng)過近萬條失效分析、300 多份工作成果、28 個(gè)月的數(shù)輪迭代后 Pandar128 成為了全球第一款獲得 ASIL B 產(chǎn)品認(rèn)證的激光雷達(dá)。

即便成本巨大，功能安全這件事仍是一項(xiàng)必要的工作。

集度汽車表示，在選擇零部件供應(yīng)商時(shí)，首先要考察的就是供應(yīng)商是否能夠提供滿足相應(yīng) ASIL 功能安全等級(jí)的檔案，以證明相關(guān)的安全要求有落地并驗(yàn)證通過。

同時(shí)，來自車企與認(rèn)證機(jī)構(gòu)的信息都顯示，2021 年大量的零部件企業(yè)，尤其是智能駕駛零部件公司，都在進(jìn)行對(duì)應(yīng)產(chǎn)品功能安全的開發(fā)與認(rèn)證。

由于當(dāng)下智能駕駛系統(tǒng)仍處于開發(fā)和快速迭代的階段，這意味著智能駕駛零部件也在快速迭代，從而進(jìn)一步影響產(chǎn)品的功能安全設(shè)計(jì)。

對(duì)于車企而言，在選擇智能駕駛電氣部件時(shí)，具備功能安全經(jīng)驗(yàn)豐富的第三方權(quán)威機(jī)構(gòu)的認(rèn)證，相當(dāng)于雙重保險(xiǎn)，同時(shí)降低了考察供應(yīng)商的時(shí)間成本。

06、未來的汽車是智能的競(jìng)爭(zhēng) 更是安全的競(jìng)爭(zhēng)

隨著新勢(shì)力的入場(chǎng)、互聯(lián)網(wǎng)巨頭開始造車，汽車行業(yè)也越來越內(nèi)卷。而未來行業(yè)的競(jìng)爭(zhēng)不僅僅是智能的競(jìng)爭(zhēng)，更是安全的競(jìng)爭(zhēng)。

除了功能安全之外，預(yù)期功能安全與網(wǎng)絡(luò)安全也是與汽車電子電氣部件強(qiáng)相關(guān)的安全要求。有時(shí)，這三類安全要求也被稱為「智能汽車安全三劍客」，缺一不可。

例如傳感器性能限制引發(fā)的預(yù)期功能安全問題，可能引發(fā)如特斯拉一樣的汽車事故。

而開源/第三方軟件、OTA 技術(shù)、網(wǎng)聯(lián)技術(shù)等新技術(shù)的引用而導(dǎo)致的網(wǎng)絡(luò)安全問題，可能引發(fā)通用汽車安吉星被攻破、黑客直接開車走人這樣的事故。

這意味著，未來的智能網(wǎng)聯(lián)汽車需要解決功能安全、網(wǎng)絡(luò)安全、預(yù)期功能安全相關(guān)的全部風(fēng)險(xiǎn)，才能大批量化交付使用。三種安全體系融合開發(fā)，比單單做好功能安全，又上了一個(gè)維度。

這三類安全相互獨(dú)立又相互依存，但又同時(shí)會(huì)對(duì)產(chǎn)品設(shè)計(jì)產(chǎn)生影響。因此，最理想的方式，是企業(yè)在進(jìn)行產(chǎn)品開發(fā)時(shí)，就要對(duì)多重的安全體系進(jìn)行系統(tǒng)建設(shè)，否則各類安全體系的建設(shè)會(huì)相互干擾，反倒降低了效率。

比如為了信息傳遞中的網(wǎng)絡(luò)安全，而引入一個(gè)新的加密芯片，新的加密芯片也需要滿足功能安全設(shè)計(jì)。

事實(shí)上，為了最大程度實(shí)現(xiàn)三類安全的體系融合、架構(gòu)設(shè)計(jì)融合，標(biāo)準(zhǔn) ISO 21434 和 ISO 21448 本身就是基于 ISO 26262 框架設(shè)計(jì)的，三者有著較高的相似度。

如此一來，只要產(chǎn)品研發(fā)之初就能同時(shí)考慮到多種安全設(shè)計(jì)，設(shè)計(jì)人員完全可以依據(jù)互相融通的安全標(biāo)準(zhǔn)高效地并行開展這三類安全工作。

以激光雷達(dá)來說，作為智能網(wǎng)聯(lián)汽車必不可少的感知傳感器，自然也要解決由激光雷達(dá)引發(fā)的三方面安全風(fēng)險(xiǎn)：

例如激光器損壞引發(fā)的功能安全問題、點(diǎn)云數(shù)據(jù)被篡改引發(fā)的網(wǎng)絡(luò)安全問題及光罩贓污引發(fā)的預(yù)期功能安全問題等。

網(wǎng)絡(luò)安全攻擊示例：雷達(dá)和整車之間的通信被黑客進(jìn)行重放攻擊，將有人的點(diǎn)云（左圖）替換成提前錄好的無人的點(diǎn)云（右圖）， 可能導(dǎo)致與行人發(fā)生碰撞

作為激光雷達(dá)的龍頭廠商，禾賽科技也是傳感器安全領(lǐng)域的先行者。

在有些企業(yè)可能連功能安全都沒有達(dá)到的當(dāng)下，禾賽科技已經(jīng)先一步進(jìn)入了功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全「三合一」的階段。

據(jù)禾賽科技系統(tǒng)安全負(fù)責(zé)人透露，禾賽的系統(tǒng)安全戰(zhàn)略是從解決激光雷達(dá)電子電氣失效引發(fā)的功能安全出發(fā)，同時(shí)開展網(wǎng)絡(luò)安全、預(yù)期功能安全的技術(shù)預(yù)研；在體系建設(shè)和架構(gòu)設(shè)計(jì)上，已經(jīng)完成了「三合一」的融合，以及同傳統(tǒng)產(chǎn)品開發(fā)流程的融合。

在產(chǎn)品安全技術(shù)方面，隨著 Pandar128 獲得全球首個(gè) ASIL B 的激光雷達(dá)產(chǎn)品認(rèn)證，網(wǎng)絡(luò)安全、預(yù)期功能安全的技術(shù)開發(fā)及認(rèn)證也會(huì)陸續(xù)完成。

目前，禾賽在上海的超級(jí)工廠「麥克斯韋」智造中心將在今年投入使用，設(shè)計(jì)年產(chǎn)能為百萬臺(tái)級(jí)別。安全體系建設(shè)完備，也是百萬銷量背后有力的支撐。

正在建設(shè)中的禾賽「麥克斯韋」超級(jí)工廠

隨著頭部車企量產(chǎn)高級(jí)別自動(dòng)駕駛的目標(biāo)臨近，車規(guī)級(jí)激光雷達(dá)的大規(guī)模量產(chǎn)也箭在弦上。以蔚小理三家為例，其下一代旗艦車型蔚來 ET7、小鵬 G9 以及理想 X01 均將搭載激光雷達(dá)。

背靠巨頭的集度汽車和小米汽車也都蓄勢(shì)待發(fā)：集度宣布新車將于今年發(fā)布、2023年交付，小米也公開宣稱將于2024年發(fā)布首款車型。

在新能源汽車滲透率超預(yù)期增長(zhǎng)、智能汽車的頭部玩家數(shù)量和規(guī)模都在快速擴(kuò)張的背景下，智能駕駛被消費(fèi)者賦予了更多的期待。

在這樣的高預(yù)期下，任何微小的安全問題都會(huì)被數(shù)倍放大，造成極大的影響。因此對(duì)整個(gè)行業(yè)而言，圍繞智能化技術(shù)的安全體系構(gòu)建愈加重要而又緊迫。

隨著汽車的競(jìng)爭(zhēng)加劇，過去一款車型通常 3 – 5 年的開發(fā)周期，如今已普遍壓縮至 24 – 36 個(gè)月。

這些都意味著需要在更短周期內(nèi)，對(duì)越發(fā)復(fù)雜的汽車智能化功能進(jìn)行全面的安全開發(fā)與驗(yàn)證，全產(chǎn)業(yè)鏈都必須加大對(duì)安全的投入力度，提速開發(fā)量產(chǎn)的經(jīng)驗(yàn)積累。

也只有如此，自動(dòng)駕駛才能真正讓汽車更加安全。畢竟「無安全 不智能」，安全才是一切的先置條件。