曾杰:商用车功能安全开发及测试验证

  2025年3月26日-28日,2025商用车产业发展会议在湖北省十堰市举办。本次会议由中国汽车工业协会主办,以“开辟新赛道,汇聚新动能——发展商用车产业新质生产力”为主题,采用“1+1+6+N”模式,即1场闭门会议,1场开幕式暨主旨会议,6个主题分会场和其他相关对接、展示等活动,旨在深入分析商用车发展面临的新机遇、新挑战,探讨商用车产业未来发展的新趋势、新方向。其中,在3月27日下午举办的“主题分会场三:商用车安全与可靠性技术”上,招商局检测车辆技术研究院有限公司、智能安全测试研究室主任曾杰发表精彩演讲。以下内容为现场发言实录:

  感谢本次会议的主办方,感谢各位业界同仁,大家下午好!我是曾杰,来自招商局车研。今天我要分享的主题是:商用车功能安全开发及测试验证经验和我们的一些思考。
  我本人主要是长期从事功能安全这块的研究工作,接下来主要从五个方面向大家进行介绍。
  首先是公司介绍,我们招商车研是一家主要做法规测试业务的公司。
  我们主要有五大业务方向:法规检测、委托、工程技术研发、标准制定、政策咨询。
  招商车研在功能安全这块的服务领域,我们现在已经授权了多项的法规的资质,包括未来我们成立了招商致远的认证公司,正在做功能安全体系认证方面的业务,推出了相关的产品。
  这是我们开发方面的验证实例,包括我们有硬件在环、整车在环、实车测试。
  接下来进行行业趋势挑战的介绍。功能安全和预期功能安全,在系统电子电气架构故障下面的时候可能会导致的一些危害或者是风险,而预期功能安全主要是性能的局限性或人为的误用。功能安全理论上来讲我们可以通过冗余的设计或者是降低我们系统操作的极限的限值去进行不合理风险的避免,而预期功能安全的问题可能会长期存在。
  商用车电子电气架构进展的趋势,从理论上来讲现在也是从分布式的域控向域集中的架构进行发展,这样带来的优势就是各个功能之间的协调会变得更好,同时我们把OTA的优势也加入到了集中架构下面去。在未来,高端商用车我们也相信中央集中式的架构也会给我们带来非常多的优势,包括可以减少线束的使用。
  EI架构高暴露度的风险,因为电子电气系统架构越复杂,我们可能会带来更多的功能安全问题的暴露,这一块增加功能安全设计和测试的成本也会提升。第二个是通信方面的风险,有可能发生通信上面的错误,我们要做更多的测试和验证。第三方面是单点失效的风险,比如说现在集中式的架构,假设ECU发生了单点失效,这块我们可能会加强整个冗余设计。第四个方面是OTA的可靠性,这块可能会带来刷写失败的风险。
  我们总结了功能安全开发领域里面,商用车与乘用车有一些区别。第一个就是商用车的运行场景和乘用车是不太一样的,商用车更加面向于比如说干线的物流或者是重载的运营模式,它的运行环境更加复杂,可能会带来更高暴露度的功能安全的问题。第二个就是安全目标可能会存在一些不同,因为乘用车的设计可能更多考虑的是安全和舒适之间的平衡,商用车要关注一些基础方面的东西。第三个就是侧重点可能不太一样,商用车更多要关注的是基础,比如说转向、制动方面的安全冗余的设计,而乘用车要注重的是驾驶体验。
  商用车的功能安全设计可能会带来三个方面的挑战,第一个最主要的就是开发成本的上升,做功能安全地在主机厂的内部体系里面是比较被讨厌的一帮人,因为它的价值在某些程度上是不易于被展现的,反而会给产品开发带来更多制约的因素,比如说芯片会上更高的等级,一些冗余设计就会带来更多的生产成本的问题,还有培养一个功能安全专门的开发团队也是一种挑战。第二个是我们的设计难度,因为这块有一些创新的设计在里面,我们团队必须要有相关的设计背景。第三个就是驾驶体验方面的限制,比如说我们假如思考了功能安全的问题在里面过后,比如说AEB,它可能的最大减速度的限制会被限制在一个合理的范围之内。
  接下来介绍一下商用车功能安全开发方面的思考。
  第一个我们要考虑的是商用车它本身的功能安全开发和乘用车开发的差异性,也就是从应用场景进行分析,我们的载荷,包括冗余架构的设计,因为乘用车它可能会采用更加灵活的一些冗余设计,而商用车更加偏向于可靠性方面的设计,比如说刚才万安的领导也介绍过,EMB的功能安全设计的方法。在乘用车,我在前两个月审查了比亚迪仰望系列的线控转向制动系统,因为当前没有一个标准去过公告,仰望系列相当于线控转向系统,它的功能安全目标的实现,假设我们在发生线控转向失效的时候靠的四个独立驱动的电机实现扭矩转向,即使在失效情况下仍然可以把车辆在某一个横向加速度控制范围之内靠边停车这种安全目标的实现。
  从功能安全开发的角度出发,我们认为主要遵从的体系还是ISO26262和34590的方法。
  在功能安全概念设计、功能安全等级的确定,最终会导出相关系统的需求。
  举个例子,整车在做HARA分析的时候,要关注驾驶员的操作,在这些场景下面进行危害场景的分析,包括严重度、暴露度、可控度。在严重度这块可以使用一些历史的经验,包括碰撞的数据,比如说追尾卡车,追尾其他车型的测试结果。暴露度可以根据我们长期开发过程当中的一些历史的经验去把失效的概率给暴露出来。可控度可以根据当前的一些测试结果,比如说现在我们的可控度的测试,我们在乘用车上面已经做了非常多的工作,但商用车可控度测试验证非常困难,我之前也做了ESC主观方面的评价,有可能会导致这种车型的翻车。
  在功能安全概念阶段的设计过后,我们会导出一些安全目标,导出安全目标过后,我们会根据我们系统具体的架构输出我们功能安全的需求,下沉到每一个子系统的层面,这样我们就可以把整个功能安全的理念给执行下去。
  在功能安全概念设计阶段有一个非常重要的指标,就是故障的FTTI的容错时间,它表示从故障发生到相关项可能发生危害事件最短的时间间隔,比如说我举的例子叫非移区转向,这个事件最短容错时间的计算有三种方法:第一种就是基于理论分析的方法进行计算,比如说我们列一些动力学的公式进行计算;第二种方法叫故障注入的方法;第三种是直接根据前面的开发经验进行FTTI的计算。
  在软硬件设计层面,硬件层面还是要去做一些硬件的功能安全概念实现的设计,包括分析硬件潜在失效的模式和影响。在软件层面要去协同软件功能的设计,包括软件机制的设计。最重要的就是软硬件的结合,这样可以降低我们的成本。因为功能安全设计不是一味去做冗余或者是去做软件方面的监控,更多的是一种成本方面的考虑。
  因为自动驾驶在商用车和乘用车它的应用都非常多,特别是在不同自动驾驶等级下面这个功能安全设计需求是完全不一样的。比如说我们在L1、L2驾驶辅助系统层面的时候,责任核心是在人员,即使我们发生了一些功能失效,人员应该也及时进行接管,这一块主要考虑的就是驾驶员的可控度,如果我们的可控度越高,理论上来讲在发生危害事件的时候功能安全等级就会越低。在L3这个系统的时候有一个非常关键的临界点,就是我们驾驶责任的转移,比如说从L2到L3,L3的责任里面有一个人机共驾的过程,这一块就需要把驾驶的责任部分归属给车辆或者是驾驶员,这里面就需要设计后备策略,这块即使我们发生了故障,这个后备策略在芯片里面也有一个类似于备份去进行执行。L3可以做的是什么?因为它危害的等级也会非常高。
  这是我之前做的一些总结,在底盘、转向、智能域各个域情况下不同设计功能安全等级的推荐,包括刚才说的线控制动、线控转向,理论上来说这都是D等级的设计。包括L2这块有一个系统需要值得注意的就是AES,它的功能安全等级的设计应该就是D等级的,因为它的极限超重的速度非常高,假设发生了故障这块带来的危害非常严重。另外就是L3、L4功能安全的关键机制的设计,L2可以做一些传感器的交叉校验,L3需要的就是安全独立监控的芯片,包括更高等级的就要做更多的资信度的评估、备份冗余设计在里面。
  第四个部分主要是讲功能安全测试验证方面的一些介绍。
  功能安全测试到底测试什么?有三个阶段,第一个阶段就是在软硬件阶段,如果在软件阶段可以做单元测试,看一下当前软件的要求有没有得到正确的实施。在软件集成方面主要是验证的是什么?所有的安全策略得到合理的解释。第四个方面就是硬件集成的测试,包括故障注入,包括电子电气的测试。
  功能安全系统集成测试核心的目的就是验证我们系统架构,比如说FSR定义安全措施得到了实施,并满足安全设计的要求。整车层面的测试主要安全目标,能不能得到实施,这块有非常多测试的方法,包括用实车测试等一系列的方法去做相关的测试验证。
  功能安全测试的方法论,比如说基于仿真测试可以做的比如可控性SIL,包括FTTI理论的计算,以及功能安全需求的验证,实车的验证手段,验证安全目标的达成。
  测试用例的设计方法,一条FSR也可以展开成为多条TSR,从SG到FSR到TSR这样展开下去,一个整车的测试用例可以达到2000条以上。
  功能安全的一些典型的测试方法,比如说可以通过电子电气故障的注入,包括模拟短路开路过压、欠压等一些方式,还可以通过看报文进行总线拦截,模拟通信内在故障,ECU参数标定,可以标定每个电芯的电压不平衡的场景。
  这是一个典型的我们做的功能安全的用例,避免制动故障时激活NOA的功能,看这个系统退出NOA时间响应情况。
  在集成测试层面我们要评价主要是评价几个方面,功能安全集成测试评价三个方面,第一个我们是否在规定时间内进入安全状态,是否违背功能安全需求的情况,以及是否能够覆盖所有功能安全需求。在安全确认可接受准则方面,可以考虑限速值,包括最大的加速度、减速度的表现,比如最终结果层面,比如会不会撞车,会不会越线,在弯道驾驶员接管的时候如果发生了撞线,这块可能功能安全的目标是没有达成的。
  可控度数据库的建立,刚才我在前面也讲了,特别是在做分析的时候,可控度数据库建立是非常关键的,因为它可以直接决定的是什么?功能安全的等级。如果我们在飞移区转向场景下面用的是线控转向,我们经过一些深度的分析,我们把驾驶员的可控度数据摸得非常清晰,这个边界的数据库拿到过后,可以把原来D等级的功能安全降到C等级去,这是一种技术的处理方式。乘用车的可控度的数据库建立远远要比商用车更容易,因为商用车的试验本身就会带来非常多的风险,这一块我们做乘用车做得比较多,商用车反而比较少。
  最后一个总结,当前在法规趋势里面,我们看了一下所有的法规,包括GB类的或者是公告类的,现在主要是针对功能安全采用的是附录审核的方式,并没有进行实质性的类似于测试。但是在下一步的比如说乘用车制动系统这一块就会进行强制性的测试和做文件的审查。未来的趋势也是这样的,比如说主管部门对功能安全的问题会越来越严格,功能安全的标准也会越来越多,包括这次两部委发布的通知,里面有沙盒监管,沙盒监管我有相关的经验,在这个里面就要做深度测试,深度测试就会渗透到功能安全板块,功能安全讲的是用户深度测试进行追踪。
  电动化、智能化、平台化我认为是不可逆的趋势。功能安全设计这一块对于主机厂,特别是商用车企业挑战是最大的,因为你要去推动企业内部建立起一个完整的功能安全开发的团队,真正把开发、生产、管理全部执行下去,这是非常有难度的一件事情,这个也是对我们企业一个全新的挑战。但是在未来类似于出口的法规里面,就要求功能安全是一个强制性实施的法规,包括我们出口到欧洲的产品,功能安全设计如果你用了EMB必须要进行审查。最后总结一下,功能安全设计并非强制性的追求冗余的设计,而是在风险可接受的前提下去实现成本和安全目标达成的一种平衡。
  以上代表我个人的观点,谢谢大家。
  (注:本文根据现场速记整理,未经演讲嘉宾审阅)
版权声明:本文系汽车纵横网原创文章,如需转载请注明出处和作者,并加上指向链接:http://www.autoreview.com.cn,谢谢合作。

地址:北京市丰台区五圈南路30号院1号楼D座3层302室 邮编:100160 电话:010-63429223 E-mail:autoreview@caam.org.cn
《汽车纵横》杂志社有限公司 京ICP备17066428号-2