苍学俊:智能网联汽车功能安全及预期功能安全检测方案研究

2021年6月17日-19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。站在新五年起点上,本届论坛以“新起点 新战略 新格局——推动汽车产业高质量发展”为主题,设置“1场闭门峰会+1个大会论坛+2个中外论坛+12个主题论坛”,全面集聚政府主管领导、全球汽车企业领袖、汽车行业精英,共商汽车强国大计,落实国家提出的“碳达峰、碳中和”战略目标要求,助力构建“双循环”新发展格局。其中,在6月19日上午举办的主题论坛“中德智能网联汽车产业发展论坛”上,上海机动车检测认证技术研究中心有限公司副总经理苍学俊发表了演讲。以下内容为现场演讲实录:

各位领导,各位行业同仁,非常荣幸今天有机会能和大家分享一下关于智能网联汽车功能安全和预期功能安全在的一些思考。

谈到智能网联汽车的功能安全,不得不涉及未来汽车电子架构的变化趋势。众所周知,我们正经历着汽车产品的重大变化,核心就是汽车底层电子架构的变化。电子架构的变化是基于汽车电动化、也是基于信息技术、电子技术的发展催生而来的的。

汽车诞生100多年来,汽车功能不断增加,不断累计和堆砌了大量的电器系统,上百个分布在汽车各个系统中的ECU为汽车带来了各种各样的功能。但是这些ECU来自不同的供应商,底层的软件和代码各不相同,OEM无法对各个ECU板块进行升级和维护,整体算力低,无法协同,给功能扩展和智能化带来很多困难。

汽车行业已经认识到这些问题,并采取了很多措施,比如说基于AUTOSAR协议,但是AUTOSAR只能解决一些底层基础的问题,对于未来汽车大规模智能化的功能扩展还是有一定的局限。

未来的电子架构是什么呢?汽车电子架构正经历着从分布式向集中域架构再到区架构变化的过程,最后形成中央架构,精简为数个高算力的GPU或者是中央计算机。实现更灵活的功能更新迭代,更强的信息交互处理能力,大幅减少了汽车线束的长度和中央处理器的重量以及空间的尺寸,能够为未来汽车智能化的扩展以及新的商业模式的诞生奠定了很强的基础。

传统OEM企业再这方面已经下了很多功夫,做了很多工作,这里简单举了几个例子:丰田提出了区概念、特斯拉标杆式分区域的计算平台架构、上汽从域架构逐步过渡到中央计算功能,同时华为也提出了芯、网、云融合的CC架构,大众推出的MQB平台等等。

未来汽车将从机电产品演变成为数字化产品。大家知道,手机是数字化产品,在深圳华强北市场上转一天,就可以攒出一个山寨机出来。这是数字产品特点决定的,数字化产品算力是集中的,软硬件是解耦的,协议接口标准化、开放性,硬件架构是模块化、平台化,软件控制系统是集中的,很多的功能是可以定制的,就是说很多的商业模式可以在里面附加进去的。如果一旦实现了汽车中央电子架构,将带来什么好处呢?软硬件解耦、接口标准化的模式能够有效降低整车厂的开发成本,软件和硬件可以分布式进行开发和测试,由于实现了统一操作系统、统一的协议和接口之后,可以专业化的对软件、硬件分工,大大降低成本。据有关机构测算,研发成本可以降低一半以上,比传统架构减轻约30%计算平台总重和空间占用,并相应减轻20%线束重量。

汽车产品供应链也很长,供应商的层次也很长,TL1、TL2。。。这样排下去,如果一旦实现中央架构以后,供应商的层次将大幅减少,另外制造成本在价值链中比重大幅下降,手机可以代工的,为什么汽车很少代工?因为传统汽车制造价值在整体价值链中占比较高,未来一旦汽车成为数字数字产品,可以想象制造的价值在价值链中占的比例相对下降。后续的软件服务等等成本价值链当中大幅度上升。汽车也会出现可以代工的现象。
中央架构出现以后,可能重构产业的模式,催生很多新的模态,产业链大幅延长,推动汽车由产品向出行服务的加速演变,实现真正的软件定义汽车,将产生一个巨大的开放生态。

由于OTA大规模应用,会大大延长汽车的生命周期,特斯拉会用OTA推送非常炫的功能升级,会使很多追求科技感的年轻人眼前亮。上述这些,催生汽车产业发生重大的变革。

原来预计传统OEM自身电子架构的演变会比较慢,但是目前出现比较新的状态,很多鲶鱼涌入了,很多的互联网企业,很多制造数字产品的企业,他们用制造数字产品的思维进入汽车行业,有著名的IT行业的大佬讲:“汽车说难也难,说简单也难,你当一个产品做就好了”。就像很多人说的,未来汽车就是一个电脑加四个轮子。由于这些鲶鱼的进入,汽车成为数字产品的时代会加快到来,应该讲未来十年汽车行业经历的变化比过去100年都要大,一个新的时代将要来临了。在这个新的时代当中,中国肯定成为主角,为什么这么讲?第一,中国的市场规模非常巨大,这是全世界最大的汽车市场,一个新的技术,一个新的商业模式的应用,必须要有一定的市场规模支撑的。第二,在中国,资本对数字汽车的追逐非常狂热,一些互联网车企的市值增长非常快,中国资本市场对新技术追逐比较狂热。第三,中国消费者对新技术的接受程度,对科技感的追求是全世界最强的,他们非常开放,而且非常激进,对科技感的体验非常向往,尤其是年轻的Z世代的消费者。

汽车在经历这样变革当中主要的制约什么呢?这个过程当中不是一帆风顺的,会遇到很多问题,大家可能会想到从分布计算到中央计算会存在什么瓶颈呢?是带宽、主频、实时性、算力?计算机硬件半导体行业的发展非常迅速,遵循摩尔定律的发展,这些问题在不远的时间里面可以得到解决,最大的问题就是功能安全与预期功能安全问题,很多数字产品的制造商对功能安全和预期功能安全是忽视的,他们认为汽车就像手机一样,当成数字产品做就可以了,其实不是这样的。他们可能认为出现bug的时候重启一下不就可以了吗?但是实际上真正运行过程当中,一旦有一些问题,其实有一些教训了,比如说刹车的算法出现bug会带来交通事故和人的生命遭到损害,功能安全和预期功能安全是制约我们变革当中最重要的问题。

集中仙子架构的对功能安全整体的思考、设计、验证以及测试、管理都带来了新的问题。大家知道传统的电子架构是独立的,像电源、传感器、计算器、执行器、通信线路、嵌入式算法都是分布式相对独立的。未来的集中式电子架构,很多功能是复用或者说共用的,中央网络部署的电源和线路,复用的传感器、计算器、执行器、集中部署的算法都是共用的这对功能安全就带来了一定的挑战。

集中式架构和分布式架构相比,系统与驱动程序中央架构依赖关系和交互,以及板内时序更加复杂,我们功能安全标准ISO26262中强调“互相独立”概念很难实现。故障探测、逻辑仲裁输入变量增多,输入条件不明确,更为复杂。功能独立性与复用性之间在逻辑上的平衡,物理隔离与逻辑隔离结合要做好。故障注入覆盖大部分的硬件和软件,要想断路、短路等等之后,输入的用例更复杂,同时需要覆盖基础软件将故障上报,设计起来相当复杂。还有测试当中要考虑多个输入变量实现逻辑,深度学习的算法,用传统的方法很难确定。我们知道特斯拉这种,在路上不断地进行学习功能,算法的迭代,通过OTA在车端进行升级。传统的V型的功能安全开发流程是不是未来的人工智能算法当中再适用呢?可能会遇到一些挑战,更应该是W型的,或者是L型的,在产品全生命周期中不断地开发验证。还有就是生产发布的时候,刚才讲过可能是W型的,可能是L型的,变量因素增多,逻辑复杂,需要进行多层级的验证,各种各样反复的验证的工作,工作量也会增加很多。

解决相关问题我们有一些思考:

一是要建立公共的传感冗余。过去功能安全最好的解决方法就是增加冗余,但是分布架构下的冗余会造成成本的灾难,但是在集中架构下可以建立公共冗余。比如说就像打仗一样,设立一个战略预备队,在发生问题的时候,战略预备队会顶上去,进行反复的交叉验证,增加可靠性。

二是适度的计算和存储硬件冗余,计算过程当中和存储过程当中要有适时的备份和冗余,这个在宝马推出的新的中央式的电子架构上实施实时的备份,进行了已经充分考虑了。

三是物理隔离与逻辑隔离相结合。在硬件方面,在计算系统和处理系统,对重要安全信号设置独立输入接口,避免复用接口产生时序、频率之间的干扰,重要的功能要部署在CPU独立核内,设有独立的时钟。从软件方面,从物理隔离转变为逻辑独立。

四是多层次的试验验证,不同输入变量考虑下,丰富变量库,同时做成多层次验证,东功能、系统到集成的多层次试验验证。

从上述介绍看起来,似乎中央架构更复杂,给功能安全带来很大问题。但是中央架构,会使整车成本会大幅降低,包括公而能安全的验证,这事因为一旦形成了统一的标准,统一的架构,统一的接口,统一的协议,我们就会形成统一的验证用例库,统一的验证的工具,统一的验证方法,这对功能安全未来的发展是有好处的。

刚才王耀博士介绍了我们依托中德中心,与嘉定国际汽车城和北德一起合作建立了功能安全的行业公共服务平台,这个平台里面除了引用很重要的方法之外,对中央架构的基于功能验证的方法测试验证和评审的方法进行新的研究,实际上这项工作已经开展了。另外这个平台还建立了大量的试验验证技术能力,基于MIL/SIL、HIL测试、感知系统、车载计算系统、线控系统,整个集成系统的硬件,整车集成验证的方法。也希望跟在座的行业同仁共同努力,提高汽车产品的功能安全和预期功能安全的水平,为消费者提供更安全、更好用,更满意的产品,谢谢大家!

(注:本文根据现场速记整理,未经演讲嘉宾审阅)

报道 日程 顶部