最新资讯
面向高级驾驶辅助系统(ADAS)的ISO 26262合规性挑战主要源于系统复杂性、功能安全与预期功能安全的交叉风险、硬件与软件协同验证的难度以及成本与安全性的平衡问题。
以下从挑战与对策两方面展开分析:
系统复杂性导致的风险评估难度
ADAS系统集成多种传感器(摄像头、雷达、激光雷达等)、算法(目标检测、路径规划)和执行机构(制动、转向),其交互逻辑复杂。ISO 26262要求通过危害分析与风险评估(HARA)确定ASIL等级,但多传感器融合、深度学习算法的不可解释性增加了风险场景识别的难度。例如,传感器在恶劣天气下的性能衰减可能引发误判,但此类场景的暴露概率和可控性难以量化。
功能安全(ISO 26262)与预期功能安全(SOTIF)的交叉风险
ISO 26262聚焦系统故障(如传感器失效、软件崩溃),而SOTIF(ISO 21448)关注系统功能正常但因设计局限或环境干扰导致的风险(如AI算法对罕见物体的识别错误)。ADAS需同时满足两者要求,例如:
功能安全:需通过冗余设计(如双ECU、双电源)确保故障后系统进入安全状态;
SOTIF:需通过大规模场景测试和仿真验证系统在未知场景下的安全性。
硬件与软件协同验证的复杂性
ADAS依赖高性能芯片(如SoC)和复杂软件,其硬件随机故障(如单粒子翻转)和软件系统性故障(如内存泄漏)需通过FMEDA(失效模式、影响和诊断分析)和代码审查验证。例如,ASIL D级系统要求单点故障度量(SPFM)≥99%,潜伏故障度量(LPFM)≥90%,这对硬件设计和软件编码标准(如MISRA C)提出极高要求。
成本与安全性的平衡
ADAS需在商业可行性与安全性之间权衡。例如,冗余设计(如双制动系统)虽能提升ASIL等级,但显著增加成本。特斯拉Autopilot通过模块化架构和渐进式功能释放(如从L2向L4过渡)降低风险,但曾因功能宣传与实际安全性不符引发争议。
模块化设计与安全隔离
架构设计:将ADAS分解为独立模块(如感知、决策、控制),通过接口通信隔离风险。例如,传感器融合模块可独立验证,确保数据可靠性。
冗余机制:关键模块(如制动、转向)采用双通道设计,主模块故障时备份模块立即接管。例如,电动助力转向系统(EPS)通过双核冗余设计实现ASIL D合规。
基于场景的测试与仿真
HIL测试:通过硬件在环(HIL)仿真模拟极端场景(如传感器失效、算法误判),验证系统响应。
故障注入测试:人为模拟模块故障,验证系统容错能力。例如,在感知模块中注入错误数据,触发安全响应(如切换至备用传感器)。
大规模场景库:结合真实交通数据和AI生成场景,覆盖长尾风险(如罕见物体识别)。
编码标准与静态分析工具的应用
编码规范:采用MISRA C/C++或AUTOSAR标准,避免常见错误(如内存泄漏、指针越界)。
静态分析工具:使用Perforce QAC等工具自动检测代码缺陷,确保符合ISO 26262第6部分要求(如低代码复杂度、单一入口/出口函数)。
形式化验证:对关键算法(如路径规划)进行数学建模,证明其正确性。
全生命周期安全管理
V模型开发流程:从概念阶段到生产阶段,每个环节需明确安全要求并验证。例如,概念阶段定义安全目标(如“避免碰撞”),开发阶段设计安全机制(如冗余模块),验证阶段通过测试确认目标达成。
工具链认证:确保开发工具(如编译器、仿真器)符合ISO 26262第8部分要求,避免工具引入风险。
成本优化与分阶段部署
渐进式功能释放:从L2级ADAS(如ACC、LKA)逐步向L4级过渡,降低初期开发成本和风险。
供应链协同:与芯片供应商、算法提供商共同制定安全标准,分摊合规成本。例如,车规级芯片需通过AEC-Q100可靠性认证和ISO 26262功能安全认证。
推荐阅读:
亚远景-ASPICE评估:汽车软件开发过程评估的方法与经验总结
亚远景-ISO/PAS 8800与全球汽车AI监管趋同下的中国企业合规策略与技术适配
亚远景-ASPICE与ISO 26262:汽车软件安全与质量的双标
亚远景-ISO 26262与ISO 21434:汽车安全标准的双基石
亚远景-从标准到文化:ISO/PAS 8800能否定义“可信AI”的全球伦理?
推荐服务:
点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台
