车路协同路侧系统功能安全研究报告

2025在关键问题上形成共识和统一。尤其是，单车智能功能融合C-V 3 5 5 6 7 7 9 一、研究现状及必要性分析动机来源于单车智能与蜂窝车联网（C-V2X，Cellula）；功能标准研究处于标准迭代与场景验证并行的阶段，ISO26262（功能安全）第三版正将C-V2X技术纳入功能安全框架，重点研究网联场景下的环境感知不确发布《网联自动驾驶功能中的安全处理》（SafetyTreatmentinConnectedandDriving）场景为例，尝试沿用ISO26262方法论进行网联功能安全分析，针对无线信道不可靠性，提出将无线信道作为“blackchannel”（黑色通道），需通过上层协议保障安全数据传输；针对多厂商协同难题，提出“mutualtrust”（多厂商协同信任机制）机制，不同实体间可通过安全验证建立双向信任。车辆间通讯联盟（C2C-CC，CAR2CARCommunicationConsortium）聚焦自交通系统融合，研究基于V2X场景下的厘米级定位精度、信息可用性与功能安全协同关系，但路侧设备仍依赖传统信息技术安全标准，与汽车功能安全体系存国内依托车路云一体化战略加速布局，中国智能网联汽车产业创新联盟功能安全需求，尚未形成路侧系统的独立安全评估模型。同时，发布《基于（二）需求调研及价值分析3)虽然设备制造企业和车企，均提3)需要在哪些环节对路侧系统进行规范，才能保证持续满足车辆功能需二、设计原则及分析框架（一）设计原则表1单车智能系统与路侧系统的核心差异点对比境境户外恶劣环境（高现依赖无线通信（如路侧高度依赖通信网断或延迟会直接影响构-路-云”庞大体系体多主体导致安全责任车功能安全责任体系式责基础设施需要建设部署后才能形成感维护需远程升级和高效以及稳定的运和车端的方式差异较标路侧系统的需求不光分析方法论应可以实现对现有GB/T34590（ISO26262）功能安全分析体系的兼用，本报告得出的路侧功能安全分析方法论分析效果应对接GB/T34590（ISO），（二）构建方案1.建立分析框架具备可移动性、不存在正常使用与服务阶段直接对交通参与者造成伤害的能力），能安全的危害事件分类方法，从信息用途等级（U）、严重度等级（S）以及信26262中暴露等级（E）的逻辑继承，即以不同的信息用途代表了其可能引发安全事故的可能性；同时，路侧信息不可替代（I）则从逻辑上继承了ISO26262），2.信息用途等级（U）对于每一个危害事件,应基于确定的理由评估每个应用场景路侧系统与道路表2信息用途等级分级表不直接用信息将共享至驾信息将共享至车端辅助驾参与/代替车辆执关的信息用途等级被指定为U0,则无需为其分配道路安全完整性等级（Road参考作为对车辆控制指令依据的一部分，例如网联式紧急制动（Connected–AutomatedEmergencyBraking,C-AEB）等。在此情况下，路侧系统信息虽然进入了车端控制域，但控制指令仍由车端生成并下达3.严重度等级（S）表3严重度等级分级表严重的和危及生命的伤害（有存危及生命的伤害人身物理伤害通过财产损超过一定价值的活的可能+超过一定价值的财产损超过一定价值的财产损超过一定价值的超过一定价值的考虑到路侧设备与汽车领域功能安全标准的相关性和适用性，将原有ISO），4.信息不可替代等级（I）对于每一个危害事件,应基于一个确定的理由预估路侧系统在此事件中提供表4信息不可替代等级分级表可完全由车端车端与驾驶员可部分代替且不会造成车端与驾驶员可部分代替但会造一个典型例子是红绿灯完全受前车（大巴等）遮挡的场景。若无路侧信息提供，5.路侧系统安全完整性等级（RSIL）量管理流程确保产品可靠性。路侧QM级别的开发需参考ISO9001等通用质量U1范畴下，即仅用于驾驶员提醒类的应用，仍可能出现对路侧系统的功能安全员驾驶决策的用例（例如对向借道超车场景路侧系统须通过表5路侧系统安全等级分级表注1：“无”表示路侧系统相关产品开发、设计到交付无需严格遵循标准化三、基于RSIL的用例分析（一）RSIL分析原则2)风险聚焦原则：针对应用场景本质3)分层分级原则：基于信息用途、严重度、信息不可替代性等维度，对（二）用例选取与定义《C-V2X与单车智能融合功能及应用》研究报告，从车路协同场景中，遴阶段的分析，其中，涉及路侧系统的用例，其功能安全分析结果如表6所示：表6选取分析的用例以及功能安全等级需求车路协同系协同交通信警协同前向碰协同自适应基于交通信号灯的协同自适应巡航控制协同自动紧1.十字路口闯红灯预警十字路口闯红灯预警场景的相关项要求如表7所表7十字路口闯红灯预警场景的相关项要求.HV可以通过路侧系统或云端获取信号灯的相位、倒计时等信息；.如果以当前车速不能绿灯通过，则在车辆到停止线碰撞时间（Timeto），.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；.HV在车端具备预警判断算法，或能够接受云端下发的预警信息；2.绿灯起步提醒表8绿灯起步提醒场景的相关项要求.HV可以通过路侧系统获取信号灯的相位、倒计时等信息；.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；3.网联交叉路口遮挡横穿预警表9网联交叉路口遮挡横穿预警的相关项要求4.网联交叉路口遮挡横穿AEB），.信号灯在此场景下不作考虑（包括没有信号灯或信号灯损坏的情况）；.交通参与者仅考虑车辆，但需注意，其他交通参与者可能会造成更高的功能），.HV被误报的预警干扰导致减速，与后方车辆追尾。表10网联交叉路口遮挡横穿预警的相关项要求），.HV在判断存在碰撞风险时，采取紧急制动（经验值-6m/s2~-9m/s2）.信号灯在此场景下不作考虑（包括没有信号灯或信号灯损坏的情况）；.交通参与者仅考虑车辆，但需注意，其他交通参与者可能会造成更高的功能），.HV自车具备L2级组合驾驶），.HV自车具备L2级组合驾驶.HV拥有定位模块，可以通过定位模块获取实时的物理位置信息；.HV可以通过获取的路侧感知信息，将其.HV可以通过合理的感知融合策略，融合车侧和路侧的感知信息；.HV可以通过判断横穿车辆与自车的碰撞关系来计算预警的时间；.路侧系统可以通过路侧的传感器获取物理世界原始信息；.路侧系统可以通过路侧融合单元融合生成路侧目标信息；5.基于交通信号灯的协同自适应巡航控制表11基于交通信号灯的协同自适应巡航控制的相关项要求），.HV可以通过路侧系统获取信号灯的相位、倒计时等信息；.HV可以使用路侧系统提供的信号灯信息，规划自车的行驶速度，控制车辆.外部环境，例如温度、湿度、路况、天气等在此场景下不作考虑；.交通参与者仅考虑车辆，但需注意，其他交通参与者可能会造成更高的功能），.车辆被错误的信息干扰导致绿灯时减速或停车，与后方车辆追尾。.（注：从实际感知能力和实际能达成效果的角度来判断）.路侧系统具备数据采集功能，支持道路交通管控设施、路侧通信单元RSU、.路侧系统具备数据处理功能，能够生成、发），.路侧系统具备安全存储与安全通信能力，并能正确（三）RSIL安全分析），1.十字路口闯红灯预警表12十字路口闯红灯预警场景下路侧系统的HARA(1/2)路侧或云端发送的信号灯数据有延迟，导致车端预警过晚；或表13十字路口闯红灯预警场景下路侧系统的HARA(2/2)路侧或云端发送的信号灯数据有延迟，导致车端预警过晚；或2.绿灯起步提醒表14绿灯起步提醒场景下路侧系统的HARA(1/2)表15绿灯起步提醒场景下路侧系统的HARA(2/2)3.网联交叉路口遮挡横穿预警表16网联交叉路口遮挡横穿预警场景下路侧系统的HARA(1/2)表19网联交叉路口遮挡横穿AEB场景下路侧系统的HARA(2/2)口车挡横穿预警场景下，单车感知和驾驶员可部分感知，或通驾驶员会更加注意前面路况，但不会采取紧急刹车，一般的预警制动（可能会有用于提醒驾驶员的点刹措施）设置较小的制表17网联交叉路口遮挡横穿预警场景下路侧系统的HARA(2/2)口车挡横穿预警场景下，单车感知和驾驶员可部分感知，或通撞4.网联交叉路口遮挡横穿AEB表18网联交叉路口遮挡横穿AEB场景下路侧系统的HARA(1/2)），），害），5.基于交通信号灯的协同自适应巡航控制表21和表22所示：表20基于交通信号灯的协同自适应巡航控制场景下路侧系统的HARA(1/3)绿灯通行状态，路侧系统发送的消息内容不准确，导致误识别表21基于交通信号灯的协同自适应巡航控制场景下路侧系统的HARA(2/3)红灯禁行状态，路口横向车流且有行人正在穿行人行横道，路侧系统发送的消息内容不准确，导致误识别为绿灯造成不能实表22基于交通信号灯的协同自适应巡航控制场景下路侧系统的HARA(3/3)路侧系统的功能模块故障，导致路侧系统漏报消息或消息无法U2信息将共享至车端辅助驾驶/自动驾驶系统作为参（四）RSIL分析总结上述场景的RSIL等级分析结果如表23所示，十字路口闯红灯预警、绿灯即无功能安全要求，但是需要满足基本流程要求（例如ISO9001，或制定路侧表23场景及RSIL等级总结协同前向碰撞醒基于交通信号灯的协各阶段的主要区别如表24所示。表24车辆和路侧系统的生命周期阶段比较主产用试为熟四、基于RSIL的安全生命周期GB/T34590（ISO26262），形成对称结构。每个层级的开发对应同层级的测试，确保需求与实路侧系统开发生产流程与车端的最大差异，在于生产后阶段的部分图1和图2简要描述了车端和路侧系统流程的异同点。图1车端和路侧系统流程示意图图2路侧系统生命周期流程图1.产品开发避免系统性失效的措施、运行过程中随机硬件失效的控制措施、分配到硬件和软）：概念及要求，避免系统性失效和控制硬件随机失效的措施，RSIL）；b)对于生产，安装，维护和报废的安全要求规2.硬件开发本节探讨路侧系统硬件开发功能安全的相关方法。路侧系统硬b)硬件功能安全需求分析，对新表25硬件设计原则及RSIL等级对照表12341++++23++++4++++5++6++7+注：路侧系统以单个设备为节点，通过物理通信链路连接。硬件顶层设计应a)根据系统设计完成测试指标定义，完注：此过程需软件参与，完成测试用例评审、测试用例开发、参与测试流程b)对于各个工作产物的交付应有正确性，合理性，完整性的验3.软件开发中的规定符合GB/T34590-6所规定的软件层面功能安全的要求，也统软件开发对功能安全的专有要求。若无其他说明，对于路侧功能安全等级），计算、发送等，功能上可分为感知模块、决策模块、通信模块。对于路侧软件开发的功能安全需求，可归类为三个方面，即实时性、准确性、可靠性。实时性保证路侧发送的数据时延低，对于运动中的车辆具有应用参考价值；准确性保证路侧感知提供的目标定位准确，在车端可以应用；可靠性保证路侧算法能够覆盖多图3路侧系统软件开发流程参考模型方式和方法的使用不能省略安全措施或忽略实现功能安全所必需的基本文档、4.集成开发a)定义集成步骤并集成系统要素，直到b)验证由系统架构层级安全分析定义的安全措施是否得到正确实c)提供证据表明集成的路侧系统要素满足按照系统架构设计的安全b)各路侧子系统的安全目标、接c)车路云一体化系统中除路侧系统外的其它系本章提出在功能安全相关项上对生产过程的总体要求：确保生产的系统能够环境和财产造成的损害。为了实现功能安全，相关项或要素在其生产中，需满足如增加检验次数、增加生产过程中的检查和完成品检验频次、统计评价、增加审6.部署b)硬件设计阶段输出的壳体安全方7.联合集成和测试a)定义集成步骤并集成协同系统要素，直到b)验证由联合系统架构层级安全分