自动驾驶TPM技术杂谈 ———— 车辆安全设计思考维度

车辆安全设计的时间维度

 车辆安全的目标是保护所有道路使用者的安全。如下图所示为ACEA安全模型。从碰撞事故发生的时间维度出发，可将行车过程分为5个阶段：普通驾驶阶段、危险阶段、临碰撞阶段、碰撞阶段、碰撞后阶段。据此车辆安全措施可对应于相应的阶段。其中，主动安全措施（又称为一级安全措施）主要对应于普通驾驶阶段，试图完全避免碰撞的发生（Crash Avoidence）；主动整合安全措施对应于第二与第三阶段，通过智能速度管理或高级制动在事故发生前及时减速（减轻碰撞，Crash Mitigation）从而减轻事故发生带来的伤害；被动安全措施（又称为二级安全措施）则针对第四阶段，全力减轻碰撞时的严重程度（碰撞保护，Crash Protection）；三级安全措施则为事故发生后，减轻事故伤害的措施（碰撞后响应，Post-crash response）。此外，除了碰撞的风险，车辆安全还需要考虑环保、噪声等因素。

车辆安全设计的空间维度

 从空间上可以将车辆安全分为内部安全（对驾乘人员的保护）以及外部安全（对行人及周围环境的保护）。外部安全需要最大限度地减少道路交通碰撞和车辆以外的人员地伤害。目前外部安全的决定因素是车身在变形过程中的行为以及车身的外形，仍属于被动安全范畴。在自动驾驶时代，主动安全需要实现对周围环境与行人的自动与精确死别，并及时向行人对可能发生的危险提出警告。
 内部安全需要最大限度的减少交通事故对驾乘人员的伤害。被动安全通过在发生事故时最大限度地减少乘客的加速度和初始内力来保护乘员，并且还需提供足够的生存空间并确保车辆关键部件的可操作性，使得营救人员可以从车内营救乘客。主动安全则需监视行车状态和乘员状态，即使操纵车辆行为以避免事故发生。内部安全从乘员角度又可区分为驾驶员安全和乘客安全。此外，从驾乘人员类别上还需要考虑不同类型的乘员。

车辆安全设计的技术维度

 车辆整体系统的安全性需要通过多种安全措施实现，这些措施以各种技术（例如机械、液压、气动、电气、电子、可编程电子等）实施，并应用于开发过程的各个层面。

电车安全

 以电或油电混合作为动力来源是新能源汽车发展的一大趋势。随着电池性能的提高以及环境污染的压力，电车正迅速普及。电车带来的安全问题是电车设计的一大挑战。

功能安全

 在驾驶员辅助、车辆推进、动力学控制以及主动和被动安全系统等领域的新功能越来越多地涉及系统安全工程（System Safety Engineering）领域。这些功能地开发和集成将加强对安全系统开发过程的需求，并且需要提供满足所有合理系统安全目标的证据。随着技术复杂性、软件和机电一体化实施的趋势，系统故障和随机硬件失效地风险越来越大。面对这一挑战，汽车工业借鉴了IEC标准并提出了汽车功能安全地概念，并于211年进行了标准化（汽车功能安全标准 ISO 26262）。如果一个系统不存在由于电子电力系统失效行为而引发的不合理的风险，则可以说这个系统是功能安全的。举例来说，由于安全气囊地错误弹起可导致乘员受到伤害并引发车祸，对气囊开启的控制就属于功能安全的范畴。虽然ISO 26262只涉及电子电气系统的功能安全性，但它提供了一个框架，在该框架内可以考虑基于其他技术的安全相关系统。

预期功能安全

 功能安全针对系统如何对错误作出反应或者是否可以避免系统错误以实现所需安全目标的问题。与功能安全不同，预期功能安全处理系统正常工作状态下因有限性能所带来的安全问题。例如自动驾驶使用摄像头捕捉画面，即使其分辨率再高也是有限的，那么如何判断其分辨率可以保证相应的物体识别精度以避免事故发生，就属于预期功能安全的范畴。在实践中往往需要所使用技术与设备针对安全目标进行定性与定量的评估，以确保设备可满足安全需要。

信息安全

 功能安全标准ISO 26262中描述的功能安全地标准方法着重于降低由于电子电力系统随机硬件故障或软硬件设计期间的系统故障（例如软件缺陷）而导致灾害带来的风险。然而，随着车辆系统变得复杂且越来越多地连接到物联网，还必须考虑第三个危险源，即（黑客）通过直接物理接触或者系统的开放接口有意操纵电子电气控制系统地可能。随着车辆的自动化程度的增加，保护车辆功能的安全措施也必须不受操纵。为了满足客户对数字时代网络和功能的需求，需要建立可靠的安全概念，为车与车连接的后端系统和客户设备提供足够的保护。汽车信息安全需要保护车辆和用户数据免受未经授权的访问，并防止黑客操纵任何车辆功能。因此，信息安全需要保护客户的隐私和车辆通信数据的完整性，其组件以及功能的安全操作、在智能车联网到来之际，确保以最高安全标准，以最佳方式保护车辆并符合汽车行业地根本利益。