1、课程导论:功能安全为什么重要?LKA系统的安全目标与ASIL等级确定

1.1 功能安全——不是锦上添花,是底线

各位同学,大家好。我是你们这门课的老朋友。今天咱们聊点实在的。

功能安全,说白了就是「别让系统出人命」。你想想看,一个车道保持系统(LKA),如果它在高速上突然抽风,把车往护栏上带——那后果是什么?

我入行那会儿,有个项目让我印象特别深。当时我们做LKA的早期原型,功能验证都过了,但安全分析做得比较糙。结果有一次路测,系统在弯道里误识别了车道线,方向盘猛地一打——幸好测试员反应快,一把抢回了控制权。从那以后,我每次做安全设计,脑子里都会浮现那个场景。

所以,功能安全不是「加分项」,是「必选项」。ISO 26262标准为什么被各大车厂奉为圭臬?因为它定义了「怎么证明你的系统是安全的」。没有这个证明,你的车就不允许上路。

核心观点:功能安全的目标是「将系统失效导致的不可接受风险,降低到可接受的水平」。

1.2 LKA系统的安全目标——到底要保什么?

咱们先明确一下LKA是干什么的。LKA(Lane Keeping Assist)的核心功能是:当车辆无意识偏离车道时,主动施加转向力矩,把车拉回来。

那么,它的安全目标是什么?

我个人习惯这样拆解:

  • 首要目标:不能产生非预期的转向干预。说白了,就是系统不能在没有偏离风险的时候乱打方向。
  • 次要目标:当需要干预时,必须及时、正确地干预。不能该转的时候不转,或者转错了方向。
  • 底线目标:即使系统发生故障,也不能导致车辆失控。比如传感器坏了,系统要能安全降级,而不是直接「躺平」。

嗯,这里要注意。安全目标不是功能需求。功能需求说「系统要在偏离车道0.5米内启动纠正」,安全目标说的是「系统不能因为自身故障,导致纠正力矩超出安全范围」。

避坑指南:我曾经见过一个团队,把「系统响应时间小于200ms」写进了安全目标。这是不对的。响应时间属于功能性能指标,安全目标应该关注的是「故障发生后,系统能否在安全时间内进入安全状态」。

1.3 ASIL等级——怎么给LKA定级?

ASIL(Automotive Safety Integrity Level)是ISO 26262里最核心的概念之一。它分为A、B、C、D四个等级,D最高,A最低。还有一个QM(质量管理),表示不需要额外安全措施。

怎么确定ASIL等级?标准里给了三个参数:

参数 含义 等级范围
Severity (S) 危害的严重程度 S0(无伤害)~ S3(致命)
Exposure (E) 暴露在危害场景中的概率 E0(极低)~ E4(极高)
Controllability (C) 驾驶员能否控制住局面 C0(可控)~ C3(不可控)

然后查表:

S E C ASIL
S3 E4 C3 D
S3 E3 C2 B
S2 E4 C2 A

对于LKA系统,我给大家一个典型的分析结果:

  • 危害场景:高速行驶中,LKA误激活,导致车辆突然转向相邻车道。
  • S(严重度):S3。因为可能引发多车连环碰撞,致死风险极高。
  • E(暴露率):E4。高速行驶是常见工况,几乎每次开车都会遇到。
  • C(可控性):C2~C3。驾驶员在毫秒级反应时间内,很难完全控制住突然的转向干预。我个人认为C3更合理。

查表结果:ASIL D

注意:ASIL等级不是拍脑袋定的。每个OEM和Tier1都有自己的安全分析流程。我建议你们在实际项目中,一定要做完整的HARA(危害分析与风险评估),并且保留所有分析记录。审核的时候,这些文档就是你的「护身符」。

1.4 从安全目标到技术需求——怎么落地?

确定了ASIL D之后,下一步就是把安全目标分解成具体的技术需求。举个例子:

安全目标:防止LKA在无偏离风险时产生非预期的转向力矩。

分解后的技术需求:

  1. 转向力矩指令必须经过双重校验(比如:主控制器和监控控制器交叉验证)。
  2. 当检测到传感器信号异常时,系统必须在100ms内进入安全状态(比如:释放转向力矩,并发出声音警告)。
  3. 软件必须满足ASIL D的流程要求,包括单元测试覆盖率、代码走查、静态分析等。

这里我多说一句。很多新手工程师觉得「ASIL D就是堆硬件冗余」。其实不是。冗余只是手段之一。更重要的是「独立性」和「多样性」。比如,你用两个相同的芯片做冗余,如果它们有共同的软件bug,那冗余就失效了。我见过一个项目,两个控制器用的都是同一套算法库,结果一个边界条件触发了两边同时误判——嗯,那场面,挺尴尬的。

我的建议:做安全设计时,永远假设「任何单一故障都可能发生」。然后问自己:如果这个故障发生了,系统还能安全运行吗?如果不能,那就需要加安全机制。

1.5 小结——这门课你会学到什么?

好了,咱们第一节课就讲到这里。总结一下:

  • 功能安全不是「可有可无」,是「必须要有」。
  • LKA的安全目标核心是「防止非预期转向」和「确保正确转向」。
  • ASIL D是LKA系统的典型等级,需要从S、E、C三个维度论证。
  • 安全目标要分解成可验证的技术需求,才能落地。

接下来的课程,我会带大家一步步走完LKA功能安全的完整流程:从HARA分析,到安全架构设计,再到软件实现和测试验证。每一节课都会有真实的项目案例和代码示例。

记住一句话:安全不是测试出来的,是设计出来的。

咱们下节课见。


公众号:蓝海资料掘金营,微信deep3321