汽车系统功能安全架构的设计与发展展望

童菲 尚世亮 熊志刚

（泛亚汽车技术中心有限公司，上海，201201）

主题词：功能安全 系统功能安全架构 系统架构

0 前言

安全是汽车产品在信息化、集成化、自动化、网络化和智能化方向发展过程中面临的核心和关键问题，汽车电控系统日趋复杂，新的功能越来越多地触及到系统安全工程领域，来自系统性失效和随机硬件失效的风险逐渐增加[1]。此外，智能驾驶车辆中的人员误用、系统局限以及环境影响也会使电控系统在不发生故障的情况下产生安全风险[2]。因此，如何设计有效的系统安全架构，确保及时探测到潜在风险并可靠执行安全缓解机制[3]，成为汽车系统功能安全以及预期功能安全开发的关键点之一[4]。本文将符合功能安全要求的系统架构特征抽取出来，形成系统功能安全架构，从“失效安全”和“失效可运行”两种功能安全状态出发，重点研究车载系统功能安全架构在控制、输入、通信、电源、人机交互以及外部措施等方面的设计与未来发展，为汽车系统功能安全架构的设计提供了有益的参考和借鉴。

1 功能安全对系统架构设计的影响

不论是针对系统性故障及随机硬件失效的功能安全，还是针对人员误用、系统局限以及环境影响的预期功能安全，它们的目的都是在潜在安全风险发生时通过一定的缓解机制将系统及时地导向安全状态。在这个过程中，对潜在风险的识别、安全状态的定义、缓解机制的设计等都与功能本身有着极为密切的关联，会对系统架构的设计产生深度影响，须在设计初期就充分考虑功能安全以及预期功能安全的需求，并从系统架构的设计层面就融合这些“安全需求”。

尽管车载功能千变万化，但在系统架构设计层面，对“冗余性”、“独立性”等高层面安全需求的架构设计还是有一些共通之处的。本文尝试将符合这些高层面安全需求的系统架构特征抽取出来，形成系统功能安全架构，着力探讨系统功能安全架构的设计与未来发展。

2 汽车系统功能安全架构的分类

依照功能失效后是否需要继续提供服务来维持安全状态，车载功能可分为“失效安全（Fail Safe）”和“失效可运行（Fail Operational）”两种类型。

“失效安全（Fail Safe）”型是指功能失效后可直接进入预定义的安全状态，无需继续提供服务也不会产生潜在危害。例如“非预期的失去驱动力“，”电动车窗/尾门失去防夹功能“等。

“失效可运行（Fail Operational）”型是指功能在失效的情况下，即使系统已经转入预定义的安全状态，但如果没能继续提供基本服务，仍将产生潜在的危害。例如，车辆在运行中突然”失去转向助力“或者”失去刹车助力“等。当这些情况发生时，如果不能继续提供一定的转向助力或制动助力也将导致车辆失去可控性或违背预期的功能设计目标，影响人身安全。

针对上述两种类型的功能，其系统功能安全架构的设计侧重点也有所不同。“失效安全”型系统功能安全架构设计的重点在于如何及时发现功能的失效并确保在故障容错时间间隔（FTTI）内转至预定义的安全状态。“失效可运行型”系统功能安全架构设计的重点在于如何及时发现功能的失效，并及时启动备用或者冗余系统控制，确保在失效发生后的一段时间内（例如预定义的人员接管时间），系统仍能继续维持安全相关功能，使车辆处于可控状态，避免危害的发生。

3 汽车系统功能安全架构设计

3.1 典型的失效安全型系统功能安全架构

典型的“失效安全型“系统功能安全架构是由德国汽车工业协会（VDA）提出的E-Gas架构[5]。E-GAS采用三层架构设计方式，其架构简化框图如图1所示，其中第一层主要运行系统功能，第二层是对系统安全关键功能的实时监控，第三层负责对系统运行的底层软硬件进行实时监控，每一层都有独立的失效路径控制，最终通过一定的逻辑组合使得系统快速进入“失效安全状态”。这种分层的架构设计有助于探测安全相关的失效，并可通过分层失效控制路径，及时限制或者终止系统的错误输出，让系统进入安全状态，避免潜在危害的发生。

图1 E-GAS简化框图

“失效安全”型系统功能安全架构在实际开发中根据系统的其他设计需求可有两种应用方式。其一是采用多芯片的方式，将“功能层“和”功能监控层“分开布置，例如第一层（功能）布置在芯片#1内，将第二层（对安全关键功能）布置在芯片#2内，将第三层（底层软硬件的监控）分散在芯片#1和#2内，并采用外部Watchdog的方式进行整体把控。需要注意的是，实施安全机制的芯片需要具备较高的ASIL（Automotive Safety Integrity Level）等级，以满足GB/T 34590.9[6]对于ASIL分解的要求。

另一种是采用单芯片的方式，将“功能层”和“功能监控层“部署在一块芯片内。这主要归功于芯片技术的发展，双核锁步芯片使得“功能层”和“功能监控层”可以共存于一块芯片的两个核中，通过锁步技术实现两者的同步，同时保持对功能监控的独立性。对于高ASIL等级的系统，采用单芯片的部属方式可以节省成本，因此推广性较好。

3.2 典型的失效可运行型系统功能安全架构

与“失效安全“型不同，”失效可运行“型系统功能安全架构的设计重点在于识别到安全相关失效后能及时启动备用/冗余系统控制机制，确保系统在失效发生后的一段时间内仍能继续维持安全相关的基本功能。针对这类系统，典型的系统功能安全架构设计是”冗余”架构，如图2所示。与功能安全相关的输入信号、控制、信号输出到执行等全过程冗余，两条链路互为备份。正常情况下，系统以其中一条为主控制链路，控制主执行器；与此同时另一条备用控制链路仍保持工作状态，但不做控制类输出（可有通信信号类输出）或者执行器不执行备用控制器的命令。当主控链路出现故障或者违背预期功能需求而引发失效时，备用链路会越过（Override）主控链路，继续维持系统运行，达到失效可运行的安全状态。

图2 冗余的系统功能安全架构框图

“冗余”的系统功能安全架构不可避免的导致系统成本的增加，在实际开发中，根据系统的其他设计需求，可有多种实现方式。

（1）“主从式”，即将“失效可运行“型功能分配在两个控制单元中，其中以控制器#1为主控单元，控制器#2为辅助单元。在运行中，控制器#2保持对控制器#1状态的实时监控，但不会执行输出动作，只有当检测到控制器#1存在危害安全的失效时，才会启动输出（如图3-a中的输出高电平，继续维持继电器吸合），保持系统处于继续安全状态。

（2）“并行式“，即将“失效可运行“型功能分配在两个控制单元和一个执行单元中，通过总线通信保持互相联系，如图3-b所示。在运行中，控制器#1和控制器#2均执行控制功能，并互相监控；两者通过总线报文把控制结果和对自身以及对方的监控结果输出给执行单元中，最终由执行单元决定执行输出。这种架构对执行控制单元的功能安全等级要求较高，一般该单元内部也需要有冗余控制和执行的能力。

（3）“分布式“，即将“失效可运行“型功能分配在多个并行控制单元中，并设置一个主控单元，负责监控各控制单元的健康情况，各单元互相之间通过总线通信保持互相联系。如图3-c1所示，主控单元（Mas⁃ter）可以采用轮询的方式监控各控制单元的工作情况，同时各控制单元也可主动上报自己的失效状态。”分布式“的系统功能安全架构适用于复杂的多功能系统中，例如部分”失效可运行“型安全功能布置在ECU#1和ECU#2内，而另一部分”失效可运行“型安全功能布置在ECU#2和ECU#n内，采用一个主控单元（Master）对这些ECU进行全局监控，这样既有利于系统功能安全的整体把控，也充分利用了各ECU的处理资源。随着芯片技术的发展，多核MCU的出现使得“分布式“的系统功能安全架构也可被布置到单一芯片中，如图3-c2所示，芯片内部通过SPI（Serial Peripheral Interface）等内部通信实现核间通信，另配有核内watchdog和共用的watchdog实现局部监控和全局监控。

图3 “失效可运行“型系统功能安全架构的三种实现方式

3.3 系统功能安全架构的辅助设计

除了系统控制，系统功能安全架构的设计还需涵盖系统的输入、通信、电源以及人机交互等多方面，甚至可以借助有效的外部措施来构建系统功能安全架构。下文将主要探讨系统功能安全架构中的这些辅助设计。

3.3.1 系统输入

准确的系统输入是系统能否满足功能安全目标的首要前提。GB/T 34590.5[7]的附录中列举了多种对输入端口的诊断实现机制。除了部分简单诊断机制可以通过单路传感器实现以外，大多数的高诊断覆盖率机制需要通过一定的系统设计来实现。这里简要总结系统功能安全架构的典型输入端设计，如图4所示。

图4 典型的系统功能安全架构输入端设计

图4 -（a）、（b）、（c）所示的是同类型传感器冗余输入的典型架构，其中（a）属于“同构冗余“，即采用相同的传感器以及相同的连接方式，两路信号独立输入到处理单元中，例如汽车轮速信号便属于此类应用；（b）和（c）属于非完全”同构冗余“，即采用同类型的传感器，输出同类型的信号，但不同的位置布置会对信号值产生影响，可能存在差异（b）或者互为反相（c）。

图4-（d），（e），（f）所示的是不同类型输入互为冗余的典型架构，可称为“异构冗余“。其中（d）针对系统输入的正负极性进行了冗余；（e）采用了不同的输入信号传送方式，确保信号内容可以经过硬线输入或者总线报文抵达处理单元；（f）则是（e）的进一步拓展，先对不同源信号进行预处理，再输出到处理单元进行对比或融合，例如智能驾驶系统中对前方障碍物的判别就可以同时采用雷达（智能传感器#1）和摄像头（智能传感器#2）输出的总线数据加以比较和融合，以弥补夜晚对摄像头的不利或减少金属物体对雷达波的漫反射所以引起的误识别。

3.3.2 通信设计

功能安全对各模块之间的安全相关信号交互提出了端对端（End-to-End，E2E）的保护需求，从信号产生的源头到信号的发送、被接收以及解析都需要伴随特定的保护机制，以免安全相关的信号值被破坏，引起潜在危害。在系统功能架构设计中，通信设计也是重要的一环。

对于“失效安全”型系统功能安全架构，较为常用的安全相关信号保护机制是“滚码（Rolling Count）”以及“校验和（Checksum）”，它们在信号产生的源头就被计算出并随着信号值一起打包到总线通信的报文中，接收方在收到信息的时候先解析其自带的滚码及校验和，以确保当前的信号值的有效性，然后再进入下一个环节（例如信号值合理性判断等）。应用层需要等到所有的校验都完成并且通过后才能使用安全信号值。

对于“失效可运行”型系统功能安全架构，仅通过端对端的保护是无法满足功能安全需求的，因为当关键信号意外丢失的情况下，功能可能无法支持“失效可运行”。对于这类信号，须额外设计冗余且独立的传送通道，确保信号在传送过程中没有单点失效。这将对系统的整体架构产生重大影响，必须提前考虑。

针对传统的车载通信网络，典型的冗余通信设计是采用双路总线发送/接收安全信号。这需要相关模块支持双路总线收发机制。当某路信号丢失、延时超标或不可信的情况下，可采用另一路传送过来的信号，继续支持“失效可运行”的系统功能。

随着车载以太网技术的不断发展，时间敏感网络（TSN）标准日趋成熟。作为TSN的重要特性之一，“帧的复制和消除”能确保关键流量的复本在网络中以各自的路径进行传送，不产生交集，只保留首先到达目的地的任何封包，以实现无缝冗余，达到超高的可靠性目的。未来，车载以太网络将逐步成为汽车的核心网络骨干，基于TSN的“帧复制和消除”技术或将逐步成为系统功能安全通信架构设计的主流方向。

3.3.3 电源设计

车载控制器一般使用12 V低压电源，从功能安全的角度，“丢失低压电源”是潜在影响系统功能安全的“单点失效”源。没有低压供电，所有车载模块都将无法工作。特别对于“失效可运行”型的功能，非预期的失去供电将直接影响车辆行驶安全。在设计系统功能安全架构的时候，电源的冗余设计也是非常重要的环节。

所有功能安全的方法目的都是在有故障时把系统导向安全状态[8]，根据“失效可运行”型功能的具体需求，电源的冗余设计可分以下几种类型：

（1）针对供电失效后仅需短暂功能支持且耗电量较少的情况，例如非预期断电后继续完成安全气囊引爆功能，可以通过增加板载大电容的方式来提前储能，以支持电源冗余。

（2）针对供电失效后仅需短暂功能支持但耗电量较大的情况，例如非预期断电后继续完成紧急电话求助（拨号）功能，可以通过增加板载备用小电池的方式来做电源冗余。

（3）针对供电失效后仍需功能支持的情况，例如L3（SAE J3016[9]自动驾驶技术等级）及以上的智能驾驶对于电源失效后的功能，可以通过增加车载小电池（传统车辆），或者利用高压电池通过逆变器后的低压输出（新能源车）的方式来做电源冗余。

3.3.4 人机交互（HMI）设计

随着智能驾驶技术的快速发展，人机交互（HMI）逐渐成为重要的设计领域，尤其是对于低于L3的智能驾驶车辆，当系统出现故障需要被接管时，能否及时、有效的发出HMI提醒将直接影响系统的功能安全状态。在此类系统功能安全架构的HMI设计中，“失效可运行”是必须满足的要求，应将“提醒或者警告”通过互相独立的通道，同时、冗余的传递给驾驶员。例如，通过听觉、视觉、振感，将声音告警，显示告警、振动告警独立、同时、冗余的发送给驾驶员，确保他及时、有效的接收到报警信息，进而采取行动接管车辆。

3.3.5 外部措施

尽管功能安全主要关注电子电器系统的设计，但适当的引入外部措施将有助于合理简化系统功能安全架构的设计。外部措施可以包括特定的操作步骤、人员的介入、机械装置、限定工作场景等，例如制定高压维修流程，设计物理下电机制（例如高压维修开关MSD）防止维修时高压触电；采用特定的机械设计防止尾门意外跌落（合理降低对尾门电机控制的要求）等等。通过这些有效的外部措施，帮助降低相关潜在危害的暴露度（E）和可控度（C），进而降低ASIL等级，合理简化系统功能安全架构的设计需求。

4 汽车系统功能安全架构的发展趋势

随着不断升级的智能化技术，汽车行业正经历着前所未有的高速发展。随着智能化技术复杂程度的增加，智能化需要越来越多的多学科交叉技术来确保安全[10]，也需要从系统工程体系（SoSE）的角度进行顶层设计[11]。传感器和执行器日趋智能化，控制器则不断集成化，数据处理将逐步云端化，基于服务的系统架构、机器学习、边缘计算等智能技术的发展趋势不可逆，汽车系统功能安全架构也需要不断革新、不断进化。一方面，得益于智能化的传感与执行设备，系统功能安全架构的设计正在往分布式方向不断发展；另一方面，与云端的交互日益增多，网络安全与功能安全相互结合也成为一种必然趋势。

图5示意了未来汽车系统功能安全架构的简要框图。从图5可以看到，未来汽车将不断借助-于云端进行大数据的处理，并通过带有网络安全保护机制的无线通道与车端控制系统进行双向数据交互。考虑到云端通信信号时延的不确定性，对于失效可运行的安全功能，车端仍需具备较强大的控制处理能力。在车端，随着智能传感器和执行器的功能日趋强大，部分功能可由这些模块分担，减轻主控制器的运算负荷，系统的功能安全架构将进一步分布化。对于控制器，一主一副两个控制单元的设计或将成为趋势，但在功能分配上，备用控制单元将主要负责失效可运行类的功能，而非全部的安全相关功能冗余，这将有助于合理的降低系统成本。此外，系统功能安全架构在设计的过程中还需要充分考虑到日后车辆通过OTA（Over The Air transmission）技术或者用户自行付费而打开的新功能，它们有可能会潜在危害车辆功能安全。因此，需要在系统功能安全架构设计的时候预留这些功能的功能安全架构设计（尤其是硬件），以便后续安全的支持车载功能升级。

图5 未来汽车系统功能安全架构设计框图

5 结束语与展望

在汽车智能化、互联化发展趋势下，车辆安全逐渐成为汽车的核心领域之一。如何设计有效的系统安全架构，确保及时探测到潜在风险并可靠执行安全缓解机制，成为汽车功能安全开发的关键点之一。本文从“失效安全”和“失效可运行”两种类型出发，着重探讨了汽车系统功能安全架构的设计以及发展趋势。未来，随着汽车智能互联技术的不断提升以及对成本控制的需求，系统的功能安全架构或将朝分布式方向快速发展，并充分利用云端、车端的各类机制，合理地实现安全功能冗余，确保车辆的安全。