車載智能計(jì)算平臺(tái)功能安全白皮書2020VIP

1、車載智能計(jì)算平臺(tái)功能安全白皮書（2020 年）目錄編制概要1（一）編制方法1（二）特別說明1一、研究背景3（一）智能網(wǎng)聯(lián)汽車的安全體系不斷完善，其中功能安全是關(guān)鍵要素3（二）國內(nèi)外企業(yè)競相發(fā)力車載智能計(jì)算平臺(tái)，其功能安全備受重視3（三）車載智能計(jì)算平臺(tái)功能安全缺少共識，亟需行業(yè)專家聯(lián)合研究4二、車載智能計(jì)算平臺(tái)功能安全概述5（一）功能安全及相關(guān)標(biāo)準(zhǔn)5（二）安全生命周期7（三）功能安全管理8三、車載智能計(jì)算平臺(tái)概念階段功能安全11（一）相關(guān)項(xiàng)定義及要素劃分11（二）相關(guān)項(xiàng)層面的影響分析12（三）危害分析和風(fēng)險(xiǎn)評估12（四）功能安全概念13四、基于功能安全的車載智能計(jì)算平臺(tái)開發(fā)14（一）系統(tǒng)層面1

2、4（二）硬件層面18（三）軟件層面24五、車載智能計(jì)算平臺(tái)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢30（一）軟件升級30（二）安全事件應(yīng)急響應(yīng)機(jī)制30六、發(fā)展建議31（一）明確需求統(tǒng)一認(rèn)識31（二）推進(jìn)配套工具研發(fā)31（三）完善檢測認(rèn)證體系31（四）加強(qiáng)專業(yè)人才培養(yǎng)32附件：縮略語33編制概要（一）編制方法一是研究學(xué)習(xí)國內(nèi)外相關(guān)文獻(xiàn)，充分參考借鑒國內(nèi)外最新產(chǎn)業(yè)動(dòng)態(tài)和研究成果。二是調(diào)研國內(nèi)外智能網(wǎng)聯(lián)汽車、功能安全相關(guān)企業(yè)，匯集整理和分析來自實(shí)踐應(yīng)用的相關(guān)素材。三是邀請行業(yè)專家進(jìn)行技術(shù)研討和咨詢評審。（二）特別說明1） 研究聚焦車載智能計(jì)算平臺(tái)功能安全汽車產(chǎn)業(yè)是我國國民經(jīng)濟(jì)的重要支柱產(chǎn)業(yè)，是推動(dòng)實(shí)現(xiàn)制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)

3、國建設(shè)的重要支撐和融合載體。在“新四化”背景下，汽車電子電氣架構(gòu)正在由分布式向集中式持續(xù)演進(jìn)，自動(dòng)駕駛成為產(chǎn)業(yè)競爭的焦點(diǎn)，汽車電子產(chǎn)業(yè)鏈和技術(shù)鏈面臨重構(gòu)。在此背景下，支撐實(shí)現(xiàn)自動(dòng)駕駛功能的車載智能計(jì)算平臺(tái)的重要性更加凸顯。國內(nèi)外企業(yè)都在積極布局，加快推進(jìn)產(chǎn)品研發(fā)和應(yīng)用示范。功能安全、預(yù)期功能安全和信息安全構(gòu)成了智能網(wǎng)聯(lián)特別是自動(dòng)駕駛系統(tǒng)的安全要素。為凝聚共識、形成合力，加強(qiáng)車載智能計(jì)算平臺(tái)安全體系的研究，推動(dòng)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展，在車載智能計(jì)算平臺(tái)白皮書（2018 年）車載智能計(jì)算基礎(chǔ)平臺(tái)參考架構(gòu) 1.0（2019 年）研究的基礎(chǔ)上，本白皮書聚焦車載智能計(jì)算平臺(tái)的功能安全。2） 研究內(nèi)容

4、仍有待進(jìn)一步豐富完善本白皮書的主要觀點(diǎn)和內(nèi)容僅代表編制組目前對車載智能計(jì)算平臺(tái)功能安全的研判和思考，與此同時(shí)車載智能計(jì)算平臺(tái)的功能安全仍在探索推進(jìn)，歡迎各方專家學(xué)者和企業(yè)代表提出寶貴意見，共同推動(dòng)研究的及時(shí)更新和糾偏。后續(xù)中國軟件評測中心將會(huì)繼續(xù)推出汽車智能計(jì)算平臺(tái)白皮書（系列）。一、研究背景（一）智能網(wǎng)聯(lián)汽車的安全體系不斷完善，其中功能安全是關(guān)鍵要素在汽車產(chǎn)業(yè)朝著智能化、網(wǎng)聯(lián)化、電動(dòng)化、共享化的“新四化”趨勢不斷深入發(fā)展的同時(shí)，汽車電子電氣系統(tǒng)的復(fù)雜度與集成度不斷提高，新的功能越來越多地觸及到系統(tǒng)安全工程領(lǐng)域。安全是智能網(wǎng)聯(lián)汽車持續(xù)健康發(fā)展的前提。智能網(wǎng)聯(lián)汽車安全體系的內(nèi)涵和外延也在不斷發(fā)生

5、變化，功能安全、預(yù)期功能安全和信息安全構(gòu)成了智能網(wǎng)聯(lián)特別是自動(dòng)駕駛體系的安全要素。功能安全的融入是自動(dòng)駕駛技術(shù)發(fā)展的客觀要求。功能安全在自 動(dòng)駕駛系統(tǒng)的全生命周期中起著指引、規(guī)范、控制的作用。明確的功 能安全要求、技術(shù)方案和規(guī)范的功能安全開發(fā)流程可以降低和避免來 自系統(tǒng)性失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)。系統(tǒng)在運(yùn)行過程中出現(xiàn)故障時(shí)， 也依賴于功能安全機(jī)制確保系統(tǒng)進(jìn)入安全狀態(tài)。（二）國內(nèi)外企業(yè)競相發(fā)力車載智能計(jì)算平臺(tái)，其功能安全備受重視自動(dòng)駕駛技術(shù)不斷發(fā)展，車載智能計(jì)算平臺(tái)是 L3 及以上自動(dòng)駕駛的必要解決方案，也是汽車新型電子電氣架構(gòu)的核心。其包含異構(gòu)處理芯片、模組、接口等硬件以及車控操作系統(tǒng)、應(yīng)用軟

6、件等軟件， 處理海量多源異構(gòu)數(shù)據(jù)，是用于實(shí)現(xiàn)全部或部分動(dòng)態(tài)駕駛?cè)蝿?wù)和（或） 執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)接管功能的軟硬件一體化平臺(tái)。國內(nèi)外企業(yè)如英偉達(dá)、特斯拉、華為、中興、地平線、百度、恒潤等紛紛推出高性能產(chǎn)品。隨著自動(dòng)駕駛等級的提升，汽車的環(huán)境感知、決策權(quán)和控制權(quán)逐 步實(shí)現(xiàn)由駕駛員為主體向自動(dòng)駕駛系統(tǒng)為主體的過渡，智能網(wǎng)聯(lián)汽車 的安全風(fēng)險(xiǎn)急劇增加。車載智能計(jì)算平臺(tái)的功能安全重要性日益凸顯。車載智能計(jì)算平臺(tái)及關(guān)鍵零部件的開發(fā)和集成驗(yàn)證強(qiáng)化了對安全相 關(guān)系統(tǒng)開發(fā)流程的需求。整車企業(yè)和零部件供應(yīng)商重視功能安全的研 究和實(shí)施，重新賦能技術(shù)人員，組織架構(gòu)或隨之調(diào)整。（三）車載智能計(jì)算平臺(tái)功能安全缺少共識，亟需行業(yè)

7、專家聯(lián)合研究車載智能計(jì)算平臺(tái)的功能安全目前尚未形成行業(yè)共識。功能安全在 ADAS（Advanced Driver Assistance System，高級駕駛輔助系統(tǒng)） 領(lǐng)域的實(shí)踐已形成一定的共識，并主要由 Tier 1（汽車零部件一級供應(yīng)商）巨頭企業(yè)主導(dǎo)。當(dāng)前對于整車企業(yè)、零部件供應(yīng)商以及自動(dòng)駕駛解決方案提供商，功能安全在 L3 及以上自動(dòng)駕駛領(lǐng)域的具體實(shí)踐仍在探索推進(jìn)，行業(yè)共識尚未形成，影響了車載智能計(jì)算平臺(tái)產(chǎn)品功能安全開發(fā)以及上車應(yīng)用。聯(lián)合行業(yè)優(yōu)勢資源共同研究車載智能計(jì)算平臺(tái)的功能安全，可以為我國車載智能計(jì)算平臺(tái)的技術(shù)創(chuàng)新、標(biāo)準(zhǔn)研制、試驗(yàn)驗(yàn)證、應(yīng)用實(shí)踐、產(chǎn)業(yè)生態(tài)構(gòu)建等提供指導(dǎo)，促進(jìn)行業(yè)上

8、下游達(dá)成共識，加速汽車產(chǎn)業(yè)和電子產(chǎn)業(yè)的融合，推動(dòng)車載智能計(jì)算平臺(tái)的持續(xù)健康發(fā)展。二、車載智能計(jì)算平臺(tái)功能安全概述（一）功能安全及相關(guān)標(biāo)準(zhǔn)道路車輛功能安全的提出主要是降低汽車電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致的不合理風(fēng)險(xiǎn)。電子電氣系統(tǒng)的失效包括硬件自身的隨機(jī)失效及研發(fā)過程中引入的系統(tǒng)性失效（軟件失效屬于系統(tǒng)性失效）。車載智能計(jì)算平臺(tái)實(shí)現(xiàn)自動(dòng)駕駛功能，需要具備可靠冗余的安全設(shè)計(jì)，其核心系統(tǒng)須達(dá)到功能安全相關(guān)標(biāo)準(zhǔn)的要求。1）ISO 26262ISO 26262 Road vehicles Functional safety 為汽車電子電氣系統(tǒng)提供了整個(gè)安全生命周期功能安全活動(dòng)的指導(dǎo)。該標(biāo)準(zhǔn)定

9、義了汽車安全生命周期，同時(shí)還提出 ASIL（Automotive Safety Integrity Level，汽車安全完整性等級）概念。ASIL 分為A、B、C、D 四個(gè)級別，系統(tǒng)的功能安全風(fēng)險(xiǎn)越大，對應(yīng)的安全要求越高。ASIL D 為最高安全完整性等級，對功能安全的要求最高。ISO 26262 于 2011 年發(fā)布第一版，2018 年發(fā)布第二版，目前第三版正在研制過程中。國家標(biāo)準(zhǔn) GB/T34590-2017道路車輛 功能安全修改采用了 ISO 26262-2011。2）SAE J2980SAE（SAE International，國際自動(dòng)機(jī)工程師學(xué)會(huì)）發(fā)布了 SAE J2980 Cons

10、iderations for ISO 26262 ASIL Hazard Classification（ISO 26262 ASIL 危險(xiǎn)分類的注意事項(xiàng)）標(biāo)準(zhǔn)，用于指導(dǎo)ASIL 定級。SAE J2980 標(biāo)準(zhǔn)基于 ISO 26262 的既有定義，在 S（Severity，嚴(yán)重度）、E（Exposure，暴露率）、C（Controllability，可控性）三個(gè)指標(biāo)的評估 方面做了更詳細(xì)的說明，為整車及零部件企業(yè)功能安全開發(fā)提供參考。3）UL 4600UL 4600 自動(dòng)駕駛安全評價(jià)標(biāo)準(zhǔn)由UL（Underwriters Laboratories，美國保險(xiǎn)商實(shí)驗(yàn)室）與Edge Case Resea

11、rch（自動(dòng)駕駛研究機(jī)構(gòu)）合作開發(fā)，是針對自動(dòng)駕駛系統(tǒng)的安全評估標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)旨在為自動(dòng)駕駛設(shè)計(jì)提供完整的安全評價(jià)原則和體系，為機(jī)器學(xué)習(xí)、感知操作環(huán)境和自動(dòng)駕駛所需的硬件和軟件提供安全性及可靠性評估。UL 4600 根據(jù)自動(dòng)駕駛系統(tǒng)的當(dāng)前狀態(tài)和對其操作環(huán)境的感知，評估自動(dòng)駕駛系統(tǒng)在無人為干預(yù)的情況下安全地執(zhí)行預(yù)期功能的能力，幫助廠商梳理所有與自動(dòng)駕駛安全相關(guān)的領(lǐng)域，標(biāo)明所有必需測試的項(xiàng)目，從而建立系統(tǒng)的方法，確保設(shè)計(jì)團(tuán)隊(duì)不會(huì)遺漏某個(gè)可合理預(yù)見的問題。4）ISO TR48042019 年，由寶馬發(fā)起，安波福、奧迪、百度、寶馬、大陸、戴姆勒、克萊斯勒、HERE、英飛凌、英特爾、大眾等 11 家公司共

12、同發(fā)布了自動(dòng)駕駛 安全第一白皮書，闡述了如何在自動(dòng)駕駛系統(tǒng)上綜合運(yùn)用功能安全、 預(yù)期功能安全和信息安全的方法論。 ISO（International Organization for Standardization，國際標(biāo)準(zhǔn)化組織）基于這份白皮書，將發(fā)布全球第一個(gè)專門針對自動(dòng)駕駛的應(yīng)用安全標(biāo)準(zhǔn)ISO TR4804 Road vehicles - Safety and cybersecurity for automated driving systems - Design, verification and validation（道路車輛自動(dòng)駕駛系統(tǒng)的功能安全和網(wǎng)絡(luò)安全設(shè)計(jì)、驗(yàn)證和確認(rèn)）。5）A

13、-SPICEA-SPICE（Automotive Software Process Improvement and Capacity dEtermination，汽車軟件過程改進(jìn)及能力評定）是汽車行業(yè)用于評價(jià)軟件開發(fā)團(tuán)隊(duì)的研發(fā)能力水平的模型框架。最初由歐洲 20 多家整車企業(yè)在 SPICE（ISO 15504）的基礎(chǔ)上共同制定，是專門針對汽車軟件開發(fā)的行業(yè)標(biāo)準(zhǔn)。多年以來，A-SPICE 在歐洲汽車行業(yè)內(nèi)被廣泛用于研發(fā)流程改善及供應(yīng)商的研發(fā)能力評價(jià)。A-SPICE 根據(jù)度量框架將企業(yè)的軟件研發(fā)能力劃分為 6 個(gè)級別，0 級為最低，5 級為最高。（二）安全生命周期功能安全明確定義了安全生命周期，要

14、求將安全生命周期要求融入到自身的流程體系中，建立安全文化，對企業(yè)的功能安全做全面管理，滿足 ISO 26262 中對流程活動(dòng)的要求。功能安全生命周期包括概念階段、產(chǎn)品研發(fā)、生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢等階段。概念階段包括相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評估、功能安全概念的確定。系統(tǒng)層面的產(chǎn)品開發(fā)基于V 模型，包含技術(shù)安全要求、系統(tǒng)架構(gòu)、系統(tǒng)設(shè)計(jì)和實(shí)施、集成、驗(yàn)證和安全確認(rèn)。硬件層面的開發(fā)過程也是基于 V 模型，包括硬件需求規(guī)范、硬件設(shè)計(jì)和實(shí)現(xiàn)、硬件集成和驗(yàn)證。軟件層面的開發(fā)過程同樣是基于 V 模型，包括軟件需求規(guī)范、軟件架構(gòu)設(shè)計(jì)、軟件單元設(shè)計(jì)和實(shí)現(xiàn)、軟件單元測試、集成和驗(yàn)證。生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢階段的計(jì)

15、劃以及相關(guān)要求規(guī)范是在系統(tǒng)層面的產(chǎn)品開發(fā)階段開始的，并且與系統(tǒng)層面的產(chǎn)品開發(fā)、硬件層面的開發(fā)、軟件層面的開發(fā)同步進(jìn)行。此階段確保相關(guān)項(xiàng)或要素的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的功能安全。車載智能計(jì)算平臺(tái)開發(fā)一般為 SEooC（Safety Element out of Context，獨(dú)立于環(huán)境的安全要素）方式。這種開發(fā)方式不會(huì)受限于某個(gè)具體的項(xiàng)目，需要基于前期市場調(diào)研或以往項(xiàng)目積累，對車載智能計(jì)算平臺(tái)承接的安全目標(biāo)、功能安全要求以及汽車電子電氣架構(gòu)做基礎(chǔ)假設(shè)。企業(yè)可根據(jù)自身的產(chǎn)品和業(yè)務(wù)特性對 ISO 26262 中不必要的章節(jié)進(jìn)行裁剪，將裁剪后的安全生命周期應(yīng)用到實(shí)際的項(xiàng)目中。圖 1 為車載智能計(jì)算平

16、臺(tái)功能安全生命周期參考示意圖。圖 1 車載智能計(jì)算平臺(tái)功能安全生命周期參考示意圖（三）功能安全管理車載智能計(jì)算平臺(tái)功能安全管理貫穿于整個(gè)安全生命周期，并與安全生命周期的每個(gè)階段并行，大體可以分為整體安全管理、產(chǎn)品開發(fā)階段安全管理以及產(chǎn)品發(fā)布后的安全管理。整體安全管理側(cè)重于企業(yè)或部門層面，聚焦功能安全文化建設(shè)、功能安全能力建設(shè)等。開發(fā)階段安全管理側(cè)重于產(chǎn)品開發(fā)過程中的組織架構(gòu)、人員配置、開發(fā)活動(dòng)計(jì)劃以及文檔交付計(jì)劃等。產(chǎn)品發(fā)布后的安全管理主要是關(guān)注生產(chǎn)和售后層面，包括生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢。在整體安全管理中，質(zhì)量管理是功能安全管理的基礎(chǔ)，相關(guān)企業(yè)或部門須具備質(zhì)量體系，具有獨(dú)立的質(zhì)量部門實(shí)施產(chǎn)品質(zhì)

17、量審核。功能安全部門和質(zhì)量管理部門可以合二為一，但是功能安全需要滿足獨(dú)立性要求。功能安全的管理要求應(yīng)該融入到基礎(chǔ)質(zhì)量管理活動(dòng)中，根據(jù)產(chǎn)品不同的功能安全等級要求選擇不同的安全活動(dòng)以及安全措施。在企業(yè)或部門內(nèi)部要建立一種正向的功能安全文化，鼓勵(lì)能夠提升產(chǎn)品安全性的活動(dòng)。對于功能安全相關(guān)人員必須建立完整的能力培養(yǎng)及評定體系，培養(yǎng)識別優(yōu)秀的功能安全經(jīng)理及功能安全工程師。同時(shí)應(yīng)當(dāng)建立起必要的溝通機(jī)制以及異常管理機(jī)制。在產(chǎn)品開發(fā)過程中，需要配備獨(dú)立的安全經(jīng)理跟蹤安全相關(guān)的活動(dòng)，解決安全相關(guān)的問題。對每個(gè)開發(fā)階段，需要制定詳細(xì)的開發(fā)計(jì)劃、驗(yàn)證計(jì)劃以及認(rèn)可評審計(jì)劃。如果涉及到供應(yīng)商，需要通過簽署DIA（Dev

18、elopment Interface Agreement，開發(fā)接口協(xié)議）明確雙方責(zé)任和義務(wù)。在開發(fā)計(jì)劃中，必須定義各個(gè)階段的交付產(chǎn)物以及責(zé)任人、交付時(shí)間點(diǎn)等。在交付產(chǎn)物中相關(guān)內(nèi)容要建立關(guān)聯(lián)關(guān)系，做到需求和設(shè)計(jì)、設(shè)計(jì)和開發(fā)、開發(fā)和測試雙向可追溯。安全經(jīng)理需要跟蹤這些活動(dòng)以及要求的落地，對因?yàn)榘踩珜?dǎo)致的成本問題、交付時(shí)間問題需要及時(shí)溝通，合理有效地協(xié)調(diào)資源以更好地平衡功能安全和成本、開發(fā)時(shí)間之間關(guān)系。認(rèn)可評審產(chǎn)品不同的 ASIL 等級需要滿足不同的獨(dú)立性要求，必要時(shí)可以引入第三方機(jī)構(gòu)進(jìn)行獨(dú)立功能安全評估。在生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢階段，功能安全管理需要定義明確的生產(chǎn)操作規(guī)范、維修流程、報(bào)廢回收流程保

19、證最終產(chǎn)品在全生命周期不會(huì)影響環(huán)境及人身安全。三、車載智能計(jì)算平臺(tái)概念階段功能安全（一）相關(guān)項(xiàng)定義及要素劃分相關(guān)項(xiàng)是實(shí)現(xiàn)車輛層面或部分功能的系統(tǒng)或者系統(tǒng)組。相關(guān)項(xiàng)定義并描述系統(tǒng)或系統(tǒng)組，以及其與環(huán)境、其他相關(guān)項(xiàng)之間的依賴關(guān)系和交互影響，為充分理解相關(guān)項(xiàng)提供支持，以便執(zhí)行后續(xù)階段的活動(dòng)。車輛層面的相關(guān)項(xiàng)定義如圖 2 所示，主要包括相關(guān)項(xiàng)的功能、系統(tǒng)邊界與接口、環(huán)境條件和法律要求等。車載智能計(jì)算平臺(tái)的相關(guān)要素主要包括傳感器接入及管理、AI（Artificial Intelligence，人工智能）計(jì)算、通用計(jì)算、車控、內(nèi)部通信、V2X（Vehicle to Everything，車用無線通信技術(shù)）

20、、高精度地圖數(shù)據(jù)存儲(chǔ)等。圖 2 相關(guān)項(xiàng)定義（二）相關(guān)項(xiàng)層面的影響分析車載智能計(jì)算平臺(tái)的開發(fā)項(xiàng)目分為新開發(fā)、修改或復(fù)用，若為修改和復(fù)用，則需要進(jìn)行相關(guān)項(xiàng)層面的影響分析。影響分析應(yīng)識別和指出因相關(guān)項(xiàng)的修改、相關(guān)項(xiàng)使用條件的修改所帶來的影響，可能的修改包括運(yùn)行場景和運(yùn)行模式、與環(huán)境的接口、安裝特性、環(huán)境條件等。高級別自動(dòng)駕駛相對于輔助駕駛在運(yùn)行環(huán)境感知范圍和駕駛?cè)蝿?wù)上會(huì)發(fā)生變化，例如：1） 設(shè)計(jì)運(yùn)行范圍對感知要求的變化相對于輔助駕駛系統(tǒng)面臨的運(yùn)行環(huán)境條件，高級別自動(dòng)駕駛系統(tǒng)相對減少對駕駛員的依賴，需要感知的車內(nèi)外環(huán)境范圍更廣，以確保自車行駛過程中的道路安全。在某些場景和系統(tǒng)設(shè)計(jì)中，需要對自車周圍影響

21、道路安全及自車定位的動(dòng)態(tài)和靜態(tài)物體感知。2） 動(dòng)態(tài)駕駛?cè)蝿?wù)和人為因素的變化L3 及以上的自動(dòng)駕駛系統(tǒng)相對于輔助駕駛系統(tǒng)容許一定程度的駕駛員不在環(huán)。在系統(tǒng)發(fā)現(xiàn)預(yù)期無法處理或者無法保證動(dòng)態(tài)駕駛?cè)蝿?wù)安全執(zhí)行等緊急情況時(shí)，為使車輛控制權(quán)被快速接管并避免危害，駕駛員狀態(tài)也需要被感知（如監(jiān)測駕駛員專注度、心率等生理狀態(tài)）。（三）危害分析和風(fēng)險(xiǎn)評估通過危害分析和風(fēng)險(xiǎn)評估確定 ASIL 等級和安全目標(biāo)，以避免不合理的風(fēng)險(xiǎn)。為此，根據(jù)相關(guān)項(xiàng)中潛在的危害事件，對相關(guān)項(xiàng)進(jìn)行評估。安全目標(biāo)以及分配給它們的 ASIL 等級是通過對危害事件進(jìn)行系統(tǒng)性的評估所確定的。ASIL 等級是通過對影響因子嚴(yán)重度、暴露率和可控性的預(yù)

22、估所確定的，影響因子的確定基于相關(guān)項(xiàng)的功能行為， 因而不一定需要知道相關(guān)項(xiàng)的設(shè)計(jì)細(xì)節(jié)。關(guān)鍵步驟具體包括場景分析及危害識別、危害分級、ASIL 等級的確定、安全目標(biāo)的確定。由于在動(dòng)態(tài)駕駛?cè)蝿?wù)中，L3 及以上自動(dòng)駕駛相對于輔助駕駛，容許一定程度的駕駛員不在環(huán)，將會(huì)導(dǎo)致對危害的可控性降低，在進(jìn)行危害分析與風(fēng)險(xiǎn)評估時(shí)，可控性或?qū)⒆優(yōu)?C3，可能會(huì)引起功能安全等級需求的提升。（四）功能安全概念功能安全概念是從安全目標(biāo)中導(dǎo)出功能安全要求，并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。功能安全概念包括安全目標(biāo)、初步安全架構(gòu)設(shè)計(jì)、安全分析、安全要求。安全架構(gòu)設(shè)計(jì)方面，L3 自動(dòng)駕駛系統(tǒng)已經(jīng)允許駕駛員的手長時(shí)間脫

23、離方向盤，無需時(shí)刻觀察道路狀況，從系統(tǒng)出現(xiàn)失效到駕駛員反應(yīng)并接管控制存在一定時(shí)間間隔。在這段時(shí)間間隔內(nèi)，系統(tǒng)要確保車輛的安全性，需要做到某一個(gè)單元失效的情況下，車輛能夠維持橫縱向控制直到駕駛員接管或安全停車，因此需要冗余的架構(gòu)設(shè)計(jì)。一般來說，對于整個(gè)自動(dòng)駕駛系統(tǒng)的冗余設(shè)計(jì)又可以細(xì)分為電源冗余、執(zhí)行機(jī)構(gòu)冗余、傳感器冗余、計(jì)算平臺(tái)冗余、用戶交互鏈路冗余等。從安全目標(biāo)可以導(dǎo)出安全要求，安全要求繼承安全目標(biāo)的 ASIL 等級。一個(gè)安全要求可以分解為兩個(gè)或多個(gè)子安全要求，分配到獨(dú)立冗余的安全架構(gòu)設(shè)計(jì)中。獨(dú)立性是ASIL 分解的重要要求，即冗余單元之間應(yīng)避免共因失效和級聯(lián)失效。四、基于功能安全的車載智能計(jì)

24、算平臺(tái)開發(fā)（一）系統(tǒng)層面1） 應(yīng)用環(huán)境車載智能計(jì)算平臺(tái)，作為自動(dòng)駕駛的主要部件，其應(yīng)用環(huán)境參考如圖 3 所示：圖 3 車載智能計(jì)算平臺(tái)應(yīng)用環(huán)境參考示意圖車載智能計(jì)算平臺(tái)的應(yīng)用環(huán)境主要包含用于環(huán)境感知（如攝像頭、激光雷達(dá)、毫米波雷達(dá)、超聲波雷達(dá)等）和位置定位（如 GNSS、高精度地圖等）的傳感器，整車底盤域、動(dòng)力域以及車身域的執(zhí)行器， 人機(jī)交互的HMI（Human Machine Interface，人機(jī)界面），以及外部互聯(lián)與通信的 T-Box（Telematics Box，遠(yuǎn)程車載信息交互系統(tǒng)）和 OBD（On Board Diagnostics，車載自動(dòng)診斷系統(tǒng)）等。隨著自動(dòng)駕駛等級的不斷提

25、高，車載智能計(jì)算平臺(tái)對應(yīng)用環(huán)境中的傳感器、執(zhí)行器、人機(jī)接口和外部互聯(lián)通信有更高的功能要求及功能安全要求。2） 功能劃分車載智能計(jì)算平臺(tái)按照功能可以分為傳感器接入及管理、AI 計(jì)算、通用計(jì)算、通信、存儲(chǔ)和車控等。不同的功能依賴不同的系統(tǒng)模塊實(shí)現(xiàn)。傳感器接入與管理單元提供豐富的軟硬件接口，使能傳感器接入及管理。AI 計(jì)算提供深度神經(jīng)網(wǎng)絡(luò)算法加速計(jì)算能力。通用計(jì)算主要是指面向常規(guī)算法的計(jì)算能力。車載智能計(jì)算平臺(tái)內(nèi)部通信提供車載智能計(jì)算平臺(tái)內(nèi)部各個(gè)要素之間通信能力。V2X 通信提供車載智能計(jì)算平臺(tái)連接車輛外部設(shè)備能力。存儲(chǔ)功能提供諸如高精度地圖存儲(chǔ)及服務(wù)能力。車控提供車控下發(fā)能力，對接車輛執(zhí)行器。車載

26、智能計(jì)算平臺(tái)功能單元參考 ASIL 等級如表 1 所示。表 1 車載智能計(jì)算平臺(tái)功能單元參考ASIL 等級1功能單元ASIL 等級傳感器接入與管理BAI 計(jì)算B通用計(jì)算D計(jì)算平臺(tái)內(nèi)部通信DV2XD存儲(chǔ)B車控D1 鑒于各企業(yè)的解決方案并不相同，表 1 提供的部分功能單元 ASIL 等級并非通用性參考。3） 安全策略自動(dòng)駕駛功能目前的系統(tǒng)安全策略大體分為兩種，即 Fail-Safe（失效-安全）以及 Fail-Operational（失效-可操作）。Fail-Safe 要求系統(tǒng)監(jiān)控關(guān)鍵的部件以達(dá)到失效后系統(tǒng)關(guān)斷的目的。但是對于 L3 及以上的功能，駕駛員處于脫眼、脫手的狀態(tài)，系統(tǒng)的關(guān)閉并不能保證可

27、靠地完成駕駛權(quán)的轉(zhuǎn)移。例如，高速公路場景中，車輛緊急停止在本車道是一種潛在的風(fēng)險(xiǎn)狀態(tài)，很容易發(fā)生高速追尾。Fail-Operational 安全策略解決了這一問題，即使在主功能系統(tǒng)失效的情況下，仍然有備份系統(tǒng)可以保證車輛進(jìn)行降級操作，讓車輛轉(zhuǎn)移到安全區(qū)域。4） 系統(tǒng)設(shè)計(jì)車載智能計(jì)算平臺(tái)的安全策略可以是獨(dú)立的監(jiān)控模塊或冗余的系統(tǒng)設(shè)計(jì)。獨(dú)立的監(jiān)控模塊實(shí)時(shí)監(jiān)控功能實(shí)現(xiàn)模塊的軟硬件故障，一旦檢測到有安全相關(guān)故障，車輛即進(jìn)入安全狀態(tài)，如需要可先進(jìn)入緊急運(yùn)行模式（Emergency Operation）。例如，功能降級、當(dāng)前車道停車、安全地點(diǎn)停車等。冗余的系統(tǒng)設(shè)計(jì)是指兩個(gè)或多個(gè)功能模塊互為備份。例如，車載

28、 智能計(jì)算平臺(tái)可以采用“主處理單元+輔處理單元”雙處理架構(gòu)，以 確保 L3 及以上自動(dòng)駕駛車輛的安全。在該架構(gòu)下，主處理單元對車輛的運(yùn)動(dòng)軌跡進(jìn)行規(guī)劃和控制，輔處理單元的作用是監(jiān)控主處理單元。同時(shí)兩個(gè)單元不斷地進(jìn)行交叉檢查，當(dāng)兩個(gè)通道在規(guī)劃軌跡和控制策 略存在較大偏差時(shí)，系統(tǒng)就會(huì)進(jìn)入降級模式。主處理單元和輔處理單 元可以按照ASIL B 設(shè)計(jì)開發(fā)，仲裁模塊可以按照 ASIL D 設(shè)計(jì)開發(fā)。在系統(tǒng)階段進(jìn)行設(shè)計(jì)時(shí)，需要考慮不同系統(tǒng)單元的故障以及對應(yīng)的處理策略，具體包括傳感器接入能力失效，比如丟幀、亂序等；通用計(jì)算能力或 AI 計(jì)算能力失效，比如代碼跑飛、執(zhí)行超時(shí)等；內(nèi)部或 V2X 通信能力失效，比如

29、超時(shí)等；存儲(chǔ)失效，比如高精度地圖數(shù)據(jù)損壞等；車控失效，比如非預(yù)期發(fā)送車控等；電源失效；時(shí)鐘失效。5） 技術(shù)安全概念技術(shù)安全概念是車載智能計(jì)算平臺(tái)系統(tǒng)設(shè)計(jì)中安全策略與安全 設(shè)計(jì)的集合。技術(shù)安全概念的內(nèi)容主要包含基于系統(tǒng)架構(gòu)的功能安全 分析，基于上級功能安全要求與功能安全分析導(dǎo)出的技術(shù)安全要求， 最終集成安全設(shè)計(jì)的系統(tǒng)架構(gòu)，以及后續(xù)生產(chǎn)過程中需要采取的安全 措施。技術(shù)安全要求需要定義具體的安全機(jī)制并分配到相應(yīng)的架構(gòu)要 素中，以確保在下一級的開發(fā)過程中，安全機(jī)制可以被進(jìn)一步細(xì)化與 實(shí)施。在車載智能計(jì)算平臺(tái)的開發(fā)過程中，技術(shù)安全概念可能針對于 某一系統(tǒng)或子系統(tǒng)，因而技術(shù)安全要求涉及的架構(gòu)層級可以不止一

30、層。在車載智能計(jì)算平臺(tái)的技術(shù)安全要求中，若采取多層次的技術(shù)安全要 求，其基本原則不變，即技術(shù)安全要求要與架構(gòu)層級相映射并最終被 分配到軟件與硬件中，以保證軟件與硬件的功能安全開發(fā)有明確和完 整的輸入。6） 測試驗(yàn)證車載智能計(jì)算平臺(tái)在功能安全概念階段開發(fā)或假設(shè)了上層的安 全目標(biāo)和功能安全要求，安全要求在之后各個(gè)階段被逐漸細(xì)化和實(shí)現(xiàn)。最終完成硬件層面及軟件層面開發(fā)和集成的車載智能計(jì)算平臺(tái)能否正確實(shí)現(xiàn)安全要求，以及是否存在非預(yù)期的功能，需要通過系統(tǒng)層面的集成測試進(jìn)行驗(yàn)證。系統(tǒng)層面的測試驗(yàn)證，一方面需要確保安全要求能夠被正確地使能，另一方面還需要確保車載智能計(jì)算平臺(tái)不會(huì)因?yàn)榘踩蠓穷A(yù)期使能而導(dǎo)致系統(tǒng)

31、可用性降低。制定有序的系統(tǒng)層面測試計(jì)劃，并進(jìn)行持續(xù)的過程跟蹤管理，是保障車載智能計(jì)算平臺(tái)測試驗(yàn)證工作有序可靠進(jìn)行的必要途徑。開發(fā)測試團(tuán)隊(duì)?wèi)?yīng)重點(diǎn)考慮項(xiàng)目整體時(shí)間計(jì)劃、測試驗(yàn)證的人員安排與責(zé)任分工、測試方法、測試環(huán)境、測試工具等方面的內(nèi)容，綜合評估和確認(rèn)之后形成測試計(jì)劃?；?SEooC 模式開發(fā)的車載智能計(jì)算平臺(tái)實(shí)際應(yīng)用到目標(biāo)車型時(shí)，系統(tǒng)集成測試和整車集成測試是發(fā)現(xiàn)系統(tǒng)性故障不可或缺的安全活動(dòng)。在系統(tǒng)集成測試和整車集成測試活動(dòng)中，需重點(diǎn)驗(yàn)證目標(biāo)車型的功能安全要求是否得到正確實(shí)現(xiàn)，集成真實(shí)的傳感器和執(zhí)行器等其他其它要素之后的系統(tǒng)響應(yīng)是否滿足安全機(jī)制的要求，車載智能計(jì)算平臺(tái)與目標(biāo)車型其他要素之間的接

32、口與交互過程是否正確，以及安全要求在外界嚴(yán)苛的環(huán)境條件和運(yùn)行工況下能否正常實(shí)現(xiàn)。（二）硬件層面作為車載智能計(jì)算平臺(tái)功能軟件與系統(tǒng)軟件的載體，硬件的失效可能直接導(dǎo)致功能軟件輸出不可信任的結(jié)果，從而違背安全目標(biāo)。由于硬件故障在硬件生命周期中發(fā)生時(shí)間的隨機(jī)性，在通過改善流程降低系統(tǒng)性失效的同時(shí)，ISO 26262 功能安全標(biāo)準(zhǔn)在硬件層面重點(diǎn)關(guān)注識別安全相關(guān)的硬件故障以及采取安全機(jī)制診斷相應(yīng)硬件故障，并對發(fā)現(xiàn)的硬件故障進(jìn)行處理（例如進(jìn)入安全狀態(tài)），從而將硬件隨機(jī)失效對安全目標(biāo)的影響降低到可接受的程度。1） 隨機(jī)失效概率量化指標(biāo)根據(jù)硬件故障對安全目標(biāo)產(chǎn)生影響的不同，硬件故障可分為安全相關(guān)故障與非安全相關(guān)

33、故障，其中安全相關(guān)故障又進(jìn)一步分為單點(diǎn)故障、殘余故障、多點(diǎn)可探測故障、多點(diǎn)可感知故障、多點(diǎn)潛伏故障與安全故障。其中，單點(diǎn)故障和殘余故障可以直接導(dǎo)致安全目標(biāo)的違背。多點(diǎn)潛伏故障雖然不會(huì)單獨(dú)導(dǎo)致安全目標(biāo)的違背，但可能會(huì)在與其它故障同時(shí)發(fā)生時(shí)導(dǎo)致安全目標(biāo)的違背。因此用于表示單點(diǎn)故障與殘余故障診斷覆蓋率的 SPFM（Single-Point Fault Metric，單點(diǎn)故障度量），多點(diǎn)潛伏故障診斷覆蓋率的 LFM（Latent Fault Metric，潛伏故障度量）與 PMHF（Probabilistic Metric for random Hardware Failures，隨機(jī)硬件失效概率度量

34、）2是功能安全用于衡量隨機(jī)硬件失效率是否達(dá)到可接受程度的重要衡量指標(biāo)。針對于不同的功能安全等級，ISO 26262針對上述指標(biāo)給出了表 2 中的參考性量化目標(biāo)。下列數(shù)值是廣泛應(yīng)用于業(yè)界評估安全系統(tǒng)是否滿足相應(yīng)功能安全等級的重要指標(biāo)。2 對違背安全目標(biāo)的每個(gè)原因進(jìn)行評估（EEC）是另一種可選度量，參考 ISO 26262-5。表 2 硬件隨機(jī)失效度量參考量化目標(biāo)硬件度量指標(biāo)ASIL BASIL CASIL DSPFM90 %97 %99 %LFM60 %80 %90 %PMHF<107 h1<107h1<108 h12） 關(guān)鍵器件的選型與集成車載智能計(jì)算平臺(tái)的硬件主要由 AI

35、單元、計(jì)算單元與控制單元組成。根據(jù)不同的架構(gòu)需求，上述單元可由一個(gè)或多個(gè)芯片組成，芯片的種類可能包含GPU（Graphics Processing Unit，圖形處理器）/FPGA（Field Programmable Gate Array，現(xiàn)場可編程邏輯門陣列）/ASIC（Application Specific Integrated Circuit，專用集成電路）、SoC（System on Chip，系統(tǒng)級芯片）、MCU（Micro Control Unit，微控制單元）等。芯片多采取 SEooC 開發(fā)模式。安全相關(guān)芯片供應(yīng)商在提供產(chǎn)品的同時(shí)會(huì)提供給車載智能計(jì)算平臺(tái)的系統(tǒng)集成者相應(yīng)的安全

36、使用手冊。安全使用手冊一般包含芯片供應(yīng)商對系統(tǒng)功能安全要求的假設(shè)， 可支持的最高功能安全等級，集成的安全機(jī)制以及實(shí)現(xiàn)承諾功能安全等級需要滿足的假設(shè)條件。車載智能計(jì)算平臺(tái)選用的安全相關(guān)器件需要滿足分配到該器件的技術(shù)安全要求。芯片通常會(huì)對內(nèi)部處理單元、存儲(chǔ)單元、通信總線、接口等元件提供相應(yīng)的安全機(jī)制以滿足安全相關(guān)故障的診斷覆蓋率要求。除此之外，由于芯片的正常性能表現(xiàn)受限于一定的條件約束， 保證時(shí)鐘、溫度、供電等在可操作范圍內(nèi)的安全機(jī)制也對功能安全的實(shí)現(xiàn)極為重要。車載智能計(jì)算平臺(tái)需要按照各芯片廠商提供的安全手冊搭建安全芯片外圍電路和配置內(nèi)部參數(shù)，確保芯片的安全內(nèi)外部安全機(jī)制正常運(yùn)行，從而在出現(xiàn)故障時(shí)

37、能夠及時(shí)進(jìn)入安全狀態(tài)。確保每個(gè)芯片正確集成的同時(shí)，還需確保集成后的硬件架構(gòu)滿足所有安全目標(biāo)的隨機(jī)失效概率量化指標(biāo)要求。3） 硬件架構(gòu)設(shè)計(jì)由于現(xiàn)有關(guān)鍵器件的功能安全能力的局限性與 ASIL D 系統(tǒng)對單點(diǎn)失效度量的嚴(yán)格要求，硬件冗余是實(shí)現(xiàn)高功能安全等級安全目標(biāo)的 常見方式。冗余式硬件架構(gòu)的主體是通過對冗余計(jì)算單元輸出結(jié)果的 相互校驗(yàn)達(dá)到提高計(jì)算單元硬件故障診斷覆蓋率的目的。由于對相互 冗余系統(tǒng)的獨(dú)立性要求，相互冗余的系統(tǒng)需盡可能的避免由同源輸入、共用資源、環(huán)境影響等因素引起的共因失效。功能安全在硬件層面，關(guān)注硬件器件中的安全相關(guān)故障可以通過 自檢或外部監(jiān)控的方式被檢測到，并在故障容忍時(shí)間內(nèi)實(shí)現(xiàn)安

38、全狀態(tài)。硬件器件實(shí)現(xiàn)安全狀態(tài)的方式多為重啟、斷電、報(bào)錯(cuò)、禁言等，因此 單硬件通路的硬件架構(gòu)可以滿足 Fail-Safe 概念的需求。根據(jù)車載智能計(jì)算硬件平臺(tái)所承載功能與功能安全要求分配的不同，AI 單元、計(jì)算單元與控制單元所選用的芯片可通過單器件或冗余的方式實(shí)現(xiàn) 相應(yīng)的功能安全等級，如圖 4 所示。圖 4 單硬件通路 Fail-Safe 抽象硬件架構(gòu)示例隨著自動(dòng)駕駛的發(fā)展，F(xiàn)ail-Safe 的安全策略難以滿足高級別自動(dòng)駕駛的安全要求?；?L3 以上自動(dòng)駕駛功能對系統(tǒng) Fail-Operational 的需求，越來越多的車載智能計(jì)算平臺(tái)在主通路實(shí)現(xiàn) ASIL C-ASIL D 的基礎(chǔ)上增加與

39、主通路相互監(jiān)控的 Fail-Operational 通路，實(shí)現(xiàn)主通路失效情況下硬件層面的失效可操作性，以提高系統(tǒng)的安全性和可用性， 如圖 5 所示。需要注意的是，根據(jù)自動(dòng)駕駛功能等級對 Fail-Operational 系統(tǒng)在主通路失效情況下需要完成的緊急運(yùn)行模式的不同，F(xiàn)ail-Operational 通路所包含的硬件單元可能會(huì)有所差異。圖 5 多硬件通路 Fail-Operational 抽象硬件架構(gòu)示例4） 供電系統(tǒng)設(shè)計(jì)電源是整車電子電氣架構(gòu)中最基礎(chǔ)的共用資源。如若電源系統(tǒng)發(fā)生失效，則可能導(dǎo)致車載智能計(jì)算平臺(tái)的所有功能失效，對于 L3 及以上自動(dòng)駕駛系統(tǒng)是不可接受的風(fēng)險(xiǎn)。車載智能計(jì)算平臺(tái)

40、的供電系統(tǒng)需要滿足 Fail-Operational 的要求，通常會(huì)采用雙電源供電的方式。需要考慮雙路電源供電有足夠的隔離措施，確保一路供電出現(xiàn)故障（電壓過高、過低甚至出現(xiàn)短路）時(shí)，另外一路供電不受影響。為滿足車載智能計(jì)算平臺(tái)系統(tǒng)ASIL D 的要求，參考 ISO 26262- 5 附錄E 中關(guān)于電源系統(tǒng)失效模式與應(yīng)對措施的要求，車載智能計(jì)算平臺(tái)的供電系統(tǒng)需要能夠監(jiān)控電源輸入和輸出是否存在異常，尤其是電源系統(tǒng)輸出的監(jiān)測和控制。若電源系統(tǒng)出現(xiàn)輸出電壓過高或過低故障時(shí)，車載智能計(jì)算平臺(tái)內(nèi)部的主芯片有可能會(huì)因?yàn)楣╇婋妷翰环€(wěn)而導(dǎo)致運(yùn)算結(jié)果異常，最終導(dǎo)致違反安全目標(biāo)。因此，電源系統(tǒng)需在輸出電壓異常時(shí)，及

41、時(shí)關(guān)斷對應(yīng)的主芯片供電，確保車載智能計(jì)算平臺(tái)輸出為確定狀態(tài)。5） 通信系統(tǒng)設(shè)計(jì)車載智能計(jì)算平臺(tái)作為 L3 及以上自動(dòng)駕駛的運(yùn)算核心，通常通過專用的通信通道傳輸外界環(huán)境信息，而車載智能計(jì)算平臺(tái)實(shí)現(xiàn)融合決策和車輛控制之后，將車輛運(yùn)動(dòng)控制指令通過通信總線發(fā)送至車輛的縱向和橫向控制執(zhí)行器?？偩€通信通道可能因?yàn)榫€束破損、外界電磁干擾和其他節(jié)點(diǎn)損壞等因素導(dǎo)致通信失效，包括報(bào)文丟失、報(bào)文延遲和報(bào)文篡改等多種類型的失效模式。參考 ISO 26262-5 附錄D 的要求，采用多種安全監(jiān)測工具的組合可以滿足高診斷覆蓋率的要求，但此種方法只能滿足 Fail-Safe 的要求，即發(fā)現(xiàn)通信故障，但無法維持系統(tǒng)正常工作。

42、為了實(shí)現(xiàn) L3 自動(dòng)駕駛功能 Fail-Operation 的要求，可采用硬件冗余的方式，一方面提高了診斷覆蓋率，另一方面可滿足 Fail- Operation 的要求。通信通道的冗余設(shè)計(jì)需要考慮二者的獨(dú)立性，例如采用不同類型的通信協(xié)議（如 CAN-FD 和 FlexRay），避免發(fā)生共因失效。6） 硬件測試車載智能計(jì)算平臺(tái)的硬件集成完成后，需要對硬件的安全性做全面的測試。硬件測試用例的導(dǎo)出方法包含硬件安全要求分析、內(nèi)部及外部接口分析、等價(jià)類生成和分析、邊界值分析等。硬件測試需要涵蓋功能測試、故障注入測試、電氣測試等測試方法來驗(yàn)證硬件安全要求的正確性和完整性，另外還需要涵蓋最惡劣情況測試、超限

43、測試、EMC（Electromagnetic Compatibility，電磁兼容）測試和 ESD（Electro- Static Discharge，靜電放電）測試等測試方法來驗(yàn)證車載智能計(jì)算平臺(tái)硬件的魯棒性和耐久性。測試完成后需要輸出全面的測試報(bào)告作為硬件安全的佐證。（三）軟件層面車載智能計(jì)算平臺(tái)作為智能汽車的安全關(guān)鍵系統(tǒng)，軟件層面的安全性至關(guān)重要。由于車載智能計(jì)算平臺(tái)功能豐富，應(yīng)用場景復(fù)雜，對軟件的實(shí)時(shí)性、安全性、可靠性要求極高，應(yīng)通過技術(shù)和流程兩個(gè)方面保障軟件的功能安全。技術(shù)上確保軟件層級的每個(gè)功能安全相關(guān)軟件節(jié)點(diǎn)都有相應(yīng)的故障監(jiān)測和處理機(jī)制，流程上按照軟件安全生命周期模型規(guī)范軟件開發(fā)

44、過程。1） 軟件安全要求車載智能計(jì)算平臺(tái)軟件安全要求是對軟件安全相關(guān)的功能和性能的具體要求，主要是通過技術(shù)安全要求在軟件層面的分配得到，并通過繼承或分配得到相應(yīng)的 ASIL 等級。另外，在軟件架構(gòu)階段執(zhí)行的軟件安全分析也可能會(huì)識別出額外的軟件安全要求。采用專業(yè)的需求管理工具來實(shí)現(xiàn)需求的編寫、評審、管理以及雙向追溯性檢查可大幅降低軟件層面的系統(tǒng)性安全風(fēng)險(xiǎn)。2） 軟件架構(gòu)設(shè)計(jì)軟件架構(gòu)設(shè)計(jì)是對軟件需求的設(shè)計(jì)與實(shí)現(xiàn)，用來描述軟件的框架要素和軟件各分層結(jié)構(gòu)之間的相互作用，其范圍層面應(yīng)到能夠識別所有軟件單元的程度。軟件架構(gòu)設(shè)計(jì)不僅需滿足相應(yīng) ASIL 等級的軟件安全要求，還應(yīng)滿足軟件其他非安全要求。在軟件

45、架構(gòu)層面，軟件安全要求會(huì)分層次地分配給軟件組件直到軟件單元，每個(gè)軟件組件應(yīng)按照分配給它的安全要求中最高的 ASIL 等級來開發(fā)。車載智能計(jì)算平臺(tái)應(yīng)在軟件架構(gòu)設(shè)計(jì)階段進(jìn)行軟件安全分析和相關(guān)失效分析，完善錯(cuò)誤探測和錯(cuò)誤處理的安全機(jī)制，以便識別或確認(rèn)軟件安全相關(guān)部分， 證明軟件的安全相關(guān)的功能和性能滿足相應(yīng)的 ASIL 要求，支持安全措施的定義及其有效性。車載智能計(jì)算平臺(tái)軟件架構(gòu)設(shè)計(jì)完成后，應(yīng)對其開展驗(yàn)證活動(dòng)，輸出軟件驗(yàn)證報(bào)告，證明軟件架構(gòu)設(shè)計(jì)嚴(yán)格遵守設(shè)計(jì)規(guī)則，兼容目標(biāo)環(huán)境，滿足相應(yīng)ASIL 等級的需求，并且相關(guān)評審證據(jù)充足。3） 軟件單元設(shè)計(jì)與實(shí)現(xiàn)在軟件單元設(shè)計(jì)與實(shí)現(xiàn)階段，基于軟件架構(gòu)設(shè)計(jì)對車載智

46、能計(jì)算平臺(tái)的軟件單元進(jìn)行詳細(xì)設(shè)計(jì)。軟件單元設(shè)計(jì)應(yīng)滿足其所分配的ASIL 等級要求，與軟件架構(gòu)設(shè)計(jì)和軟硬件接口設(shè)計(jì)相關(guān)內(nèi)容保持一致。為了避免系統(tǒng)性失效，應(yīng)確保軟件單元設(shè)計(jì)的一致性、可理解性、可維護(hù)性和可驗(yàn)證性，應(yīng)采用自然語言與半形式化方法相結(jié)合的方式進(jìn)行描述。說明書應(yīng)描述實(shí)施細(xì)節(jié)層面的功能行為和內(nèi)部設(shè)計(jì)，包括數(shù)據(jù)存儲(chǔ)和寄存器的使用限制。在源代碼層面的設(shè)計(jì)與實(shí)施應(yīng)使得軟件單元設(shè)計(jì)簡單易懂，軟件修改適宜，具有可驗(yàn)證性和魯棒性，確保軟件單元中子程序或函數(shù)執(zhí)行的正確次序，軟件單元之間接口的一致性，軟件單元內(nèi)部及軟件單元之間數(shù)據(jù)流和控制流的正確性。車載智能計(jì)算平臺(tái)軟件包含數(shù)百個(gè)軟件單元，軟件單元的標(biāo)準(zhǔn)化、

47、單元間解耦是高效實(shí)現(xiàn)軟件功能安全的基礎(chǔ)。車載智能計(jì)算平臺(tái)中不同安全等級的軟件可以采用硬件虛擬化、容器、內(nèi)存隔離等技術(shù)進(jìn)行隔離，防止軟件單元之間的級聯(lián)失效。軟件代碼設(shè)計(jì)過程中應(yīng)遵守成熟的代碼設(shè)計(jì)規(guī)范，例如 MISRA C（汽車產(chǎn)業(yè)軟件可靠性協(xié)會(huì)嵌入式 C 編碼標(biāo)準(zhǔn)）。企業(yè)可以基于 MISRA C 建立一套滿足車載智能計(jì)算平臺(tái)安全編碼要求的內(nèi)部編碼規(guī)范，并嚴(yán)格執(zhí)行。4） 軟件單元驗(yàn)證軟件單元驗(yàn)證是通過評審、分析和測試的方法對功能安全相關(guān)的軟件單元設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行驗(yàn)證，證明軟件相關(guān)安全措施已經(jīng)在設(shè)計(jì)與實(shí)現(xiàn)中全部落實(shí)。軟件單元設(shè)計(jì)滿足相應(yīng)的 ASIL 等級的軟件需求和軟硬件接口規(guī)范要求，軟件源代碼的實(shí)現(xiàn)

48、與單元設(shè)計(jì)一致，不存在非期望的功能和性能，且支持功能和性能實(shí)現(xiàn)的相關(guān)資源充足。車載智能計(jì)算平臺(tái)的軟件單元驗(yàn)證可通過需求分析、等價(jià)類的生成與分析、邊界值分析和錯(cuò)誤推測相結(jié)合的方法合理設(shè)計(jì)測試用例， 確保對軟件單元進(jìn)行充分驗(yàn)證。為了評估軟件單元驗(yàn)證的完整性，為單元測試的充分性提供證據(jù)，應(yīng)確定在軟件單元層面的需求覆蓋率， 同時(shí)對結(jié)構(gòu)覆蓋率進(jìn)行測定。車載智能計(jì)算平臺(tái)軟件單元測試的結(jié)構(gòu)覆蓋率目標(biāo)為 100%，如果已實(shí)現(xiàn)結(jié)構(gòu)覆蓋率不能達(dá)到目標(biāo)，可以定義額外的測試用例并提供接受理由。車載智能計(jì)算平臺(tái)軟件單元的結(jié)構(gòu)覆蓋率測試應(yīng)采用滿足相關(guān)安全要求的測試工具，確保在測試過程中測試工具和檢測代碼不會(huì)對測試結(jié)果產(chǎn)生

49、影響。車載智能計(jì)算平臺(tái)軟件單元測試應(yīng)根據(jù)測試范圍，選用適當(dāng)?shù)臏y試環(huán)境。測試環(huán)境應(yīng)適合完成測試目標(biāo)，盡可能接近目標(biāo)環(huán)境，如果不是在目標(biāo)環(huán)境執(zhí)行，應(yīng)分析源代碼與目標(biāo)代碼的差異、測試環(huán)境和目標(biāo)環(huán)境之間的差異，以便在后續(xù)測試階段的目標(biāo)環(huán)境中，定義額外的測試。5） 軟件集成驗(yàn)證軟件集成驗(yàn)證需要根據(jù)軟件驗(yàn)證計(jì)劃、接口規(guī)范、軟件架構(gòu)設(shè)計(jì)規(guī)范、軟件驗(yàn)證規(guī)范等對軟件架構(gòu)中所描述的集成層次、接口、功能等進(jìn)行持續(xù)測試，以驗(yàn)證其與設(shè)計(jì)的符合性。由于車載智能計(jì)算平臺(tái)軟件的復(fù)雜性，實(shí)時(shí)性、可靠性、安全性既是設(shè)計(jì)目標(biāo)也是基礎(chǔ)性能，集成測試設(shè)計(jì)階段應(yīng)對其功能、邏輯、性能、邊界、接口進(jìn)行詳細(xì)分析。車載智能計(jì)算平臺(tái)的軟件集成驗(yàn)證

50、，不僅需涵蓋所有應(yīng)用軟件、功能軟件、系統(tǒng)軟件以及與硬件之間的接口，并且應(yīng)涵蓋軟件單元之間的接口。測試用例在測試工作中至關(guān)重要，其輸出需要考慮功能需求、性能需求、邊界值、接口、邏輯關(guān)系等。6） 嵌入式軟件測試車載智能計(jì)算平臺(tái)嵌入式軟件測試主要是基于軟件安全要求的測試，并針對軟件安全要求進(jìn)行充分的故障注入測試，最終確保軟件安全要求的正確實(shí)現(xiàn)。為了驗(yàn)證車載智能計(jì)算平臺(tái)軟件在目標(biāo)環(huán)境下是否滿足軟件安全要求，應(yīng)進(jìn)行硬件在環(huán)測試、車輛電控系統(tǒng)和網(wǎng)絡(luò)通信環(huán)境下的測試以及實(shí)車測試。硬件在環(huán)測試是將車載智能計(jì)算平臺(tái)軟件燒寫到目標(biāo)芯片中，在目標(biāo)芯片的硬件異構(gòu)平臺(tái)環(huán)境下驗(yàn)證軟件的安全要求。然后，將車載智能計(jì)算平臺(tái)與

51、部分或全部的車輛電子電氣設(shè)備進(jìn)行網(wǎng)絡(luò)通信，在車輛電控系統(tǒng)和網(wǎng)絡(luò)環(huán)境下驗(yàn)證軟件的安全要求。最后，將車載智能計(jì)算平臺(tái)安裝到實(shí)際車輛中，進(jìn)行軟件安全要求的驗(yàn)證與確認(rèn)。7） 人工智能通過實(shí)施完善的開發(fā)流程可降低車載智能計(jì)算平臺(tái)人工智能的系統(tǒng)性安全風(fēng)險(xiǎn)。車載智能計(jì)算平臺(tái)人工智能的開發(fā)包含需求分析、算法設(shè)計(jì)、數(shù)據(jù)采集和標(biāo)注、模型訓(xùn)練、測試驗(yàn)證以及運(yùn)行等流程。人工智能的需求分析應(yīng)包含算法的基本功能需求和功能安全要求（如算法精度目標(biāo)、算法 Fail-Operational 等）。算法設(shè)計(jì)階段應(yīng)考慮采用多算法、多模型、多幀數(shù)據(jù)、多傳感器等多種冗余機(jī)制的組合以提升 安全性。數(shù)據(jù)采集和標(biāo)注階段應(yīng)確保數(shù)據(jù)標(biāo)注精度、數(shù)

52、據(jù)場景分布， 并避免數(shù)據(jù)錯(cuò)標(biāo)和漏標(biāo)，從而確保模型訓(xùn)練不受影響。模型訓(xùn)練階段 采用業(yè)界成熟、文檔全面的人工智能框架。測試驗(yàn)證階段對所有需求 進(jìn)行閉環(huán)的測試，同時(shí)全面考慮各種潛在應(yīng)用場景及環(huán)境影響因素， 進(jìn)行長距離的實(shí)車試驗(yàn)。根據(jù)測試結(jié)果不斷重復(fù)進(jìn)行數(shù)據(jù)的采集、標(biāo) 注、模型訓(xùn)練和測試驗(yàn)證的階段，通過迭代的方式逐步提高人工智能 的安全性。在運(yùn)行階段，應(yīng)持續(xù)地對實(shí)際運(yùn)行數(shù)據(jù)和人工智能的安全 性進(jìn)行監(jiān)控，通過分析實(shí)際運(yùn)行數(shù)據(jù)對人工智能算法和模型不斷優(yōu)化。五、車載智能計(jì)算平臺(tái)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢（一）軟件升級在智能網(wǎng)聯(lián)汽車中應(yīng)用 OTA（Over-the-Air，空中升級）已經(jīng)成為當(dāng)前市場上一種主流的趨

53、勢。使用 OTA 進(jìn)行軟件升級能夠快速更新迭代整車功能，或者修復(fù)軟件缺陷。車載智能計(jì)算平臺(tái)搭載的深度學(xué)習(xí)和視覺模塊和地圖數(shù)據(jù)等部件甚至基礎(chǔ)固件均可以通過 OTA 及時(shí)更新，甚至完全擴(kuò)展出新的功能，更新內(nèi)部軟件程序后的車載高性能運(yùn)算平臺(tái)仍需要保證原有的安全性，杜絕因?yàn)?OTA 過程中存在系統(tǒng)性失效而引發(fā)人身傷害。此外，OTA 過程通常發(fā)生在車輛 SOP（Standard Operation Procedure，標(biāo)準(zhǔn)作業(yè)程序）之后的運(yùn)行維護(hù)過程中，整車企業(yè)和軟件開發(fā)工程師難以直觀地控制所有車輛的 OTA 過程，因此保證 OTA 完整流程的安全性是車載智能計(jì)算平臺(tái)必須考慮的因素。作為整車企業(yè)與Tier 1，應(yīng)當(dāng)從安裝