车路协同路侧系统功能安全研究报告 2025

2025全标准，随后衍生出汽车功能安全ISO26262、铁路在关键问题上形成共识和统一。尤其是，单车智能功能融合C-V 3 5 5 6 7 7 9 21 25 40 42一、研究现状及必要性分析动机来源于单车智能与蜂窝车联网（C-V2X，CellularVehicletoEverything）技术的融合发展趋势，单车智能融合C-V2X技术后，涉及与外部1)跨系统安全边界模糊化：传统汽车功能安全标准）；功能标准研究处于标准迭代与场景验证并行的阶段，ISO26262（功能安全）第三版正将C-V2X技术纳入功能安全框架，重点研究网联场景下的环境感知不确发布《网联自动驾驶功能中的安全处理》（SafetyTreatmentinConnectedandDriving）场景为例，尝试沿用ISO26262方法论进行网联功能安全分析，针对上层协议保障安全数据传输；针对多厂商协同难题，提出“mutualtrust”（多厂联盟（C2C-CC，CAR2CARCommunic交通系统融合，研究基于V2X场景下的厘米级定位精度、信息可用性与功能安国内依托车路云一体化战略加速布局，中国智能网联汽车产业创新联盟发布的《基于C-V2X的智能化网联化融合发展路线图》，系统功能安全需求，尚未形成路侧系统的独立安全评估模型。同时，发布《基于列标准的功能安全分析方法从单车系统拓展至由车辆、路侧单元组成的V2X系统。IMT-2020(5G)推进组发布的《C-V配和交互的路侧系统功能安全框架以实现C-V（二）需求调研及价值分析决策和控制信息逐步上车，与驾驶自动化不断深入融合，当前阶段主要是面向预警的基础安全类场景，在上述进程中，对路侧系统的功能安全需求和性能参数需求都不断提高，车企特别对功能的安全性和责任主体3)虽然设备制造企业和车企，均提出了功能安全的重要性，但关研究和标准的缺失，车联网路侧系统功能安全还处于起步阶段，需要3)需要在哪些环节对路侧系统进行规范，才能保证持续满足车辆功能需二、设计原则及分析框架（一）设计原则术实现、责任主体、维护模式和安全目标等方面存在显著差异（如表1所示表1单车智能系统与路侧系统的核心差异点对比境相对可控的车内环境户外恶劣环境（高现（激光雷达、摄像依赖无线通信（如路侧高度依赖通信网络（有线/无线）的实断或延迟会直接影响构赖车载传感器和计算单元进行环境感-路-云”庞大体系体责任主体明确（车多主体导致安全责任车功能安全责任体系式产，维护由专业经销商和售后体系负责基础设施需要建设部署后才能形成感维护需远程升级和高效以及稳定的运和车端的方式差异较标避免因系统性故障或随机硬件故障导致的人身伤害，关注车辆本身的行为路侧系统的需求不光上述结论也在项目组通过对车企、Tier1、路侧供应商、集成商的调研中得分析方法论应可以实现对现有GB/T34590（ISO26262）功能安全分析体系的兼符合GB/T34590的分解降级逻辑，使得车端RSIL分析框架与路侧系统功能安用，本报告得出的路侧功能安全分析方法论分析效果应对接GB/T34590（ISO），（二）构建方案1.建立分析框架具备可移动性、不存在正常使用与服务阶段直接对交通参与者造成伤害的能力能安全的危害事件分类方法，从信息用途等级（U）、严重度等级（S）以及信26262中暴露等级（E）的逻辑继承，即以不同的信息用途代表了其可能引发安全事故的可能性；同时，路侧信息不可替代（I）则从逻辑上继承了ISO26262），2.信息用途等级（U）对于每一个危害事件,应基于确定的理由评估每个应用场景路侧系统与道路表2信息用途等级分级表不直接用信息将共享至驾信息将共享至车端辅助驾驶/自动驾驶系统作为参参与/代替车辆执关的信息用途等级被指定为U0,则无需为其分配道路安全完整性等级（Road参考作为对车辆控制指令依据的一部分，例如网联式紧急制动（Connected–AutomatedEmergencyBraking,C-AEB）等。在此情况下，路侧系统信息虽然进入了车端控制域，但控制指令仍由车端生成并下达3.严重度等级（S）表3严重度等级分级表严重的和危及生命的伤害（有存危及生命的伤害（存活不确定）,人身物理伤害通过财产损轻度和中度伤害+超过一定价值的活的可能+超过一定价值的财产损超过一定价值的财产损超过一定价值的超过一定价值的大于等于10万元且小于50万考虑到路侧设备与汽车领域功能安全标准的相关性和适用性，将原有ISO），4.信息不可替代等级（I）对于每一个危害事件,应基于一个确定的理由预估路侧系统在此事件中提供表4信息不可替代等级分级表可完全由车端车端与驾驶员可部分代替且不会造成车端与驾驶员可部分代替但会造前车状态等，则其信息显著性可为I0。如果一个危害一个典型例子是红绿灯完全受前车（大巴等）遮挡的场景。若无路侧信息提供，5.路侧系统安全完整性等级（RSIL）量管理流程确保产品可靠性。路侧QM级别的开发需参考ISO9001等通用质量U1范畴下，即仅用于驾驶员提醒类的应用，仍可能出现对路侧系统的功能安全表5路侧系统安全等级分级表注1：“无”表示路侧系统相关产品开发、设计到交付无需严格遵循标准化三、基于RSIL的用例分析（一）RSIL分析原则2)风险聚焦原则：针对应用场景本质特征，锁定核心风险（如AEB场景3)分层分级原则：基于信息用途、严重度、信息不可替代性等维度，对（二）用例选取与定义《C-V2X与单车智能融合功能及应用》研究报告，从车路协同场景中，遴阶段的分析，其中，涉及路侧系统的用例，其功能安全分析结果如表6所示：表6选取分析的用例以及功能安全等级需求车路协同系协同交通信警无功能安全无功能安全等无功能安全无功能安全等协同前向碰交叉路口遮挡横穿无功能安全无功能安全等协同自适应基于交通信号灯的协同自适应巡航控制无功能安全无功能安全等协同自动紧1.十字路口闯红灯预警十字路口闯红灯预警场景的相关项要求如表7所示：表7十字路口闯红灯预警场景的相关项要求.HV可以通过路侧系统或云端获取信号灯的相位、倒计时等信息；.如果以当前车速能够绿灯通过，则不需要进行预警；.如果以当前车速不能绿灯通过，则在车辆到停止线碰撞时间（Timeto.极端天气情况在此场景下不做考虑；.HV通过路口包含直行、左转、右转的场景。），.车辆减速过晚，导致闯红灯，甚至与其他车辆相撞；.车辆被误报的预警干扰导致减速，与后方车辆追尾。.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；.HV在车端具备预警判断算法，或能够接受云端下发的预警信息；.路侧系统或云端平台持续发送前方信号灯信息。2.绿灯起步提醒绿灯起步提醒场景的相关项要求如表8所示：表8绿灯起步提醒场景的相关项要求.HV在交叉路口停车等待；.HV可以通过路侧系统获取信号灯的相位、倒计时等信息；.天气情况在此场景下不作考虑；.HV通过路口包含直行、左转、右转的场景。.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；.HV可以根据信号灯相位信息，在HMI上进行相应的提示；.路侧系统持续通过路侧单元（RoadSideUnit，RSU）广播前方信号灯信息。3.网联交叉路口遮挡横穿预警网联交叉路口遮挡横穿预警场景的相关项要求如表9所示：表9网联交叉路口遮挡横穿预警的相关项要求.HV是L2车辆，行驶在最右侧车道，行驶速度30km/h（此场景下的典型或），左侧车道有两辆车会遮挡自车视野，横穿车辆RV以不超过60km/h匀速行.HV可以使用路侧提供的感知信息，在TTC=（1.7s-4s）时给出碰撞预警。.信号灯在此场景下不作考虑（包括没有信号灯或信号灯损坏的情况）；.天气情况在此场景下不作考虑；.交通参与者仅考虑车辆，但需注意，其他交通参与者可能会造成更高的功能.此场景不考虑城市高架路、高速等道路情况；），.HV感知到横穿的RV时，由于时间过晚，制动力不足造成碰.HV被误报的预警干扰导致减速，与后方车辆追尾。.HV自车具备L2级组合驾驶辅助车辆的感知能力（至少包括前雷达、前摄像.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；.HV可以通过获取的路侧感知信息，将其转换成车侧坐标系下的感知信息；.HV可以通过合理的感知融合策略，融合车侧和路侧的感知信息；.HV可以通过判断横穿车辆与自车的碰撞关系来计算预警的时间；.路侧系统可以通过路侧的传感器获取物理世界原始信息；.路侧系统可以通过路侧融合单元融合生成路侧目标信息；.路侧系统可以将这些融合结果通过C-V2X广播到空口。4.网联交叉路口遮挡横穿AEB网联交叉路口遮挡横穿AEB场景的相关项要求如表10表10网联交叉路口遮挡横穿预警的相关项要求.HV是L2车辆，行驶在最右侧车道，行驶速度30km/h（此场景下的典型或），.HV可以使用路侧提供的感知信息，在TTC=（1.7s-4s）时给出碰撞预警；.HV在判断存在碰撞风险时，采取紧急制动（经验值-6m/s2~-9m/s2）.信号灯在此场景下不作考虑（包括没有信号灯或信号灯损坏的情况）；.天气情况在此场景下不作考虑；.交通参与者仅考虑车辆，但需注意，其他交通参与者可能会造成更高的功能.此场景不考虑城市高架路高速等道路情况；），.HV被错误的信息干扰导致紧急制动，与后方车辆追尾。.HV自车具备L2级组合驾驶辅助车辆的感知能力（至少含前雷达、前摄像），.HV自车具备L2级组合驾驶辅助车辆的执行能力，可以进行制动等纵向控.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；.HV可以通过获取的路侧感知信息，将其转换成车侧坐标系下的感知信息；.HV可以通过合理的感知融合策略，融合车侧和路侧的感知信息；.HV可以通过判断横穿车辆与自车的碰撞关系来计算预警的时间；.HV可以通过判断制动状态、预警状态、目标状态的实时情况来采取制动策.路侧系统可以通过路侧的传感器获取物理世界原始信息；.路侧系统可以通过路侧融合单元融合生成路侧目标信息；.路侧系统可以将这些融合结果通过C-V2X广播到空口。5.基于交通信号灯的协同自适应巡航控制基于交通信号灯的协同自适应巡航控制场景的相关项要求如表11所示：表11基于交通信号灯的协同自适应巡航控制的相关项要求.HV是L2车辆，行驶在最右侧车道，行驶速度30km/h（此场景下的典型或），.HV可以通过路侧系统获取信号灯的相位、倒计时等信息；.HV可以使用路侧系统提供的信号灯信息，规划自车的行驶速度，控制车辆.外部环境，例如温度、湿度、路况、天气等在此场景下不作考虑；.环境干扰对信号质量的影响在此场景中不作考虑；.交通参与者仅考虑车辆，但需注意，其他交通参与者可能会造成更高的功能.此场景不考虑城市高架路、高速等道路情况。），.车辆被错误的信息干扰导致绿灯时减速或停车，与后方车辆追尾。.（注：从实际感知能力和实际能达成效果的角度来判断）.HV拥有C-V2X通信模块，可以使用PC5直连通信，通过RSM/SSM消息获.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；.路侧系统具备数据采集功能，支持道路交通管控设施、路侧通信单元RSU、.路侧系统具备数据处理功能，能够生成、发送、接收和处理数据；），.路侧系统具备安全存储与安全通信能力，并能正确识别和上报异常行为；.路侧系统与道路交通管理设施连接正常。（三）RSIL安全分析），1.十字路口闯红灯预警andRiskAssessment，HARA）分析如表12和表13所示：表12十字路口闯红灯预警场景下路侧系统的HARA(1/2)路侧或云端发送的信号灯数据有延迟，导致车端预警过晚；或表13十字路口闯红灯预警场景下路侧系统的HARA(2/2)路侧或云端发送的信号灯数据有延迟，导致车端预警过晚；或I1，车端与驾驶员可部分代替且不会造成显著信息缺失，仍可2.绿灯起步提醒绿灯起步提醒场景的路侧系统HARA分析如表14和表15所示：表14绿灯起步提醒场景下路侧系统的HARA(1/2)表15绿灯起步提醒场景下路侧系统的HARA(2/2)I0，本车驾驶员仍然可正常观察路口情况，提醒信息可完全由3.网联交叉路口遮挡横穿预警网联交叉路口遮挡横穿预警场景路侧系统的HARA分析如表16和表17所表16网联交叉路口遮挡横穿预警场景下路侧系统的HARA(1/2)口车挡横穿预警场景下，单车感知和驾驶员可部分感知，或通驾驶员会更加注意前面路况，但不会采取紧急刹车，一般的预警制动（可能会有用于提醒驾驶员的点刹措施）设置较小的制表17网联交叉路口遮挡横穿预警场景下路侧系统的HARA(2/2)口车挡横穿预警场景下，单车感知和驾驶员可部分感知，或通撞4.网联交叉路口遮挡横穿AEB网联交叉路口遮挡横穿AEB场景的路侧系统HARA分析如表18和表19表18网联交叉路口遮挡横穿AEB场景下路侧系统的HARA(1/2)），），害表19网联交叉路口遮挡横穿AEB场景下路侧系统的HARA(2/2)），5.基于交通信号灯的协同自适应巡航控制基于交通信号灯的协同自适应巡航控制场景的路侧系统HA表21和表22所示：表20基于交通信号灯的协同自适应巡航控制场景下路侧系统的HARA(1/3)绿灯通行状态，路侧系统发送的消息内容不准确，导致误识别表21基于交通信号灯的协同自适应巡航控制场景下路侧系统的HARA(2/3)红灯禁行状态，路口横向车流且有行人正在穿行人行横道，路侧系统发送的消息内容不准确，导致误识别为绿灯造成不能实S2，相对速度不超过40km/h的追表22基于交通信号灯的协同自适应巡航控制场景下路侧系统的HARA(3/3)路侧系统的功能模块故障，导致路侧系统漏报消息或消息无法U2信息将共享至车端辅助驾驶/自动驾驶系统作为参S2，相对速度不超过40km/h的追（四）RSIL分析总结上述场景的RSIL等级分析结果如表23所示，十字路口闯红灯预警、绿灯即无功能安全要求，但是需要满足基本流程要求（例如ISO9001，或制定路侧表23场景及RSIL等级总结协同前向碰撞绿灯起步提醒基于交通信号灯的协RSIL1或RSIL2各阶段的主要区别如表24所示。表24车辆和路侧系统的生命周期阶段比较主产用试为熟四、基于RSIL的安全生命周期GB/T34590（ISO26262）对汽车功能安全的核心开发流程通常采用V型开），形成对称结构。每个层级的开发对应同层级的测试，确保需求与实现的一致性。路侧系统开发生产流程与车端的最大差异，在于生产后阶段的部分。其中服务、图1和图2简要描述了车端和路侧系统流程的异同点。图1车端和路侧系统流程示意图图2路侧系统生命周期流程图1.产品开发a)系统任务：长时间运行和维护的安全策略；c)系统安全分析（演绎和归纳，具体工具可效模式及影响分析(FailureModesandEffects）：概念及要求，避免系统性失效和控制硬件随机失效的措施，RSIL等级的分解参考GB/T34590（ISO26262），降低和管理分解给软a)技术安全规范（保护对硬件和软件的安全要求）；b)对于生产，安装，维护和报废的安全要求规2.硬件开发a)硬件需求分析，形成分析报告，如b)硬件功能安全需求分析，对新硬件设计原则和RSIL等级对应关系如表25所示。表25硬件设计原则及RSIL等级对照表12341++++23++++4++++5++6++7+注：路侧系统以单个设备为节点，通过物理通信链路连接。硬件顶层设计应硬件功能安全问题分析参照GB/T34590-5所规定的单点、多点、随机失效a)根据系统设计完成测试指标定义，完成测试程序的开发。注：此过程需软件参与，完成测试用例评审、测试用例开发、参与测试流程c)样机测试与评审：应核对失效问题是否解a)记录要求完成的任务，形成文档；b)对于各个工作产物的交付应有正确性，合理性，完整性的验3.软件开发中的规定符合GB/T34590-6所规定的软件层面功能安全的要求，也包括路侧系统软件开发对功能安全的专有要求。若无其他说明，对于路侧功能安全等级图3路侧系统软件开发流程参考模型路侧系统软件开发流程按照图3中V字流程进行开展，在每一子阶段完成方式和方法的使用不能省略安全措施或忽略实现功能安全所必需的基本文档、4.集成开发a)定义集成步骤并集成系统要素，直到路侧系统完全集成；b)验证由系统架构层级安全分析定义的安全措施是否得到正确实c)提供证据表明集成的路侧系统要素满足按照系统架构设计的安全b)各路侧子系统的安全目标、接c)车路云一体化系统中除路侧系统外的其它系统的技术安全概念。a)定义各路侧子系统的集成和测试策略；c)建立运营方对路侧系统的验收和定期检查机制；e)对每个功能和技术安全要求，应至少进b)参考GB/T34590.4-20227.4.4.2.2中列出的测试方法来提供功能安c)参考GB/T34590.4-20227.4.4.2.3中列出的测试方法对路侧系统层d)参考GB/T34590.4-20227.4.3.2.4中列出的测试方法来提供外部和e)参考GB/T34590.4-20227.4.3.2.5中列出的测试方法对路侧系统层a)路侧系统的集成和测试策略；6.部署b)硬件设计阶段输出的壳体安全方c)软件设计阶段输出的配置方案。7.联合集成和测试a)定义集成步骤并集成协同系统要素，直到联合系统完全集成；b)验证由联合系统架构层级安全分析定义的安全措施是否得到正确c)提供证据表明所集成