1920年代利用火星塞啟動的汽油引擎問世,開啟了車用電子時代。在近百年後的今日,車用電子系統,從點火系統跨入了視聽娛樂、動力系統乃至於控制系統。汽車電子所發展出的龐大商機,儼然成為超越消費電子的最新戰場,更是各種新科技應用的最佳實驗場。從實體動力到虛擬實境,一再挑戰了技術的極限。無人電動無線充電車搭載虛擬高速聯網視聽娛樂,成為個人化的移動城堡,不再只是漫畫或小說的癡人說夢。車電系統是邁入科技新紀元的鑰匙,而「安全」更是打造鑰匙的關鍵技術。
安全與性能是車電發展的兩大推手
無論是中國的指南車或西方的羅馬戰車,車輛問世的目的就是為了便於提供人類較為高速的移動方法,車速也因此成為車輛的性能指標之一。然而當人們發現車輛因同軸同速轉向的兩輪會造成車輛傾倒與有危害駕駛人性命風險時,差速器(Differential)的發明與應用,讓車輛達到轉向時內外側輪速不同而能平穩轉向後,車輛的發展就開始與「安全」有著形影不離的關係,甚至在Mercedes Benz的Sprinter 20周年紀念網頁上,就宣示了安全即是該車設計的第一要務,無可妥協。
車電安全與家電安全不一樣 性能/便利/安全難兼顧
當滿足了速度與安全,車輛行駛的距離也逐漸增加,更多舒適與便利的需求相應而生。雨刷是最早電機化的零組件之一,隨後各式各樣的車用電子需求與應用也越來越多。面對五花八門的電子應用,相關的車輛電力系統卻靜止發展,到目前為止,仍以1980年代的12V直流鉛酸電池系統為主流。
低電壓直流系統的電機電子產品設計並不困難,可省去交直流轉換的效率損失,又可免去交流電擊人體的風險,照理來說安全性可大大增加,但是所有系統必須仰賴車上唯一的電源,連在一個不可斷的電路上,系統因為零組件共用同一電力來源,也因此系統失效的機率可能是相加而倍增。
舉例來說,利用點菸器插座所提供12V電源的產品很多,如USB充電器、車內空氣清淨器、GPS、芳香器、音響、風扇等,這些產品的使用皆會提高電源輸出的電流,除了會降低鉛酸電池壽命外,也使電源電力傳輸路徑的發熱量上升,這樣的發熱會產生在電線本身因電流上升而造成的熱,而電力跨接區因為電阻更高,產生更高的熱,透過對流或輻射影響鄰近的組件,也可能透過導線傳導到全部的線路,影響所有的零組件。
以往,房屋內的線路與設備多設有過電流、過電壓監控或斷路設備,在電流過大時能切斷而維持安全,但是倘若以此原理,切斷行進中車輛的供電,即可能會造成熄火失速或安全控制系統如煞車、動力方向盤失效,甚至是電子車鎖失效而無法開門逃生的風險。
除此以外,在公用道路上的移動,更需要考量因為相對速度變化而產生的整體環境安全風險,也必須考量車用準密閉空間與住宅準開放空間對於人的危險性差異。
舉例來說,內部空間起火時,如果屋未上鎖,車也未上鎖,乘客可立即脫離車輛,但如果屋上鎖,車也上鎖的情況時,乘客的可存活時間就明顯地不如在屋內的情況。另外屋內失效傳遞到屋外的風險性小,時間也長,但車內失效時,可能還會殃及路上行人與周邊車輛。
安全控制系統反成安全漏洞
如前所述,其實為了安全而開發的安全控制系統,卻可能造成更大而無法察覺的安全問題,其本身的可靠性是更大的問號。「功能性安全(Functional Safety)」透過功能所創造的安全性議題也就應運而生,也就是功能正常的話環境就安全,功能不正常的話環境就不安全。
1980年代起,歐洲與美國工程師們不約而同地開始發現,原本希望透過自動控制進而改善依賴笨重的機械與材料構成的安全防護,但卻沒有真的改善安全問題,反而造成安全事故的攀升。如圖1所示,由日本職安機構在2010年代進行的累計職安事故調查顯示,1980年代正是開始透過微電腦進行安全控制的年代,其後安全事故反而不斷增加,甚至倒回到1970年代的水準。
|
圖1 日本工業災害統計圖 |
因此,全球與安全相關的主管機關,開始逐步制定與Functional Safety相關的法令與標準,首先是職業安全主管機關,如美國勞工安全衛生局(Occupational Health and Safety Administration, OSHA),接下來是醫療安全主管機關如食品藥物管理局(FDA),聯合國歐盟經濟合作會(United Nations for Economic Commission for Europe)在其境內法規清單從2014年開始,明列了ISO 26262為車輛的相關功能性安全標準。美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA),也開始引用ISO 26262作為道路車輛用的安全設計標準建議之一,ISO 26262也是時至今日全球唯一的道路車輛功能性安全標準。
ISO 26262認證產品難覓?
其實作為車輛功能性安全標準的ISO 26262,嚴格來說並不是一本能夠完全獨立用於產品認證的單一標準,其中牽涉到標準的架構。ISO/IEC Guide 51中說明了安全標準的分類方式,主要依據安全標準適用範圍如表1。
功能性安全如前所述,是必須依附在「安全」之上的功能,而「安全」又是必須依附在「產品」上,「產品安全」又是依附在環境與使用者之上而定義,所以安全相關的功能須先依照產品的安全需求而存在。然而,產品安全卻不必然完全仰賴由控制而產生的防護功能而達成,也就是說,功能性安全標準僅適用於產品內安全防護的功能,並非是定義產品最終安全目標的標準。
以車輛來說,最終必須要達到道路安全的目標,包含乘客與路人的安全,這個目標不會隨任何科技與時代而變化,因此整車安全標準並不會改變,但是因為達到這個目標的方式變了,因此評估車輛安全的做法與流程就必須更動。
舉例來說,安全氣囊與安全帶的設計,均為達到乘客安全的目標,但是安全帶的失效原因跟安全氣囊的失效原因並不相同,安全帶可能因為纖維材料受到溫度、日光曝晒或長期摩擦而損壞,但是安全氣囊的感應晶片卻可能是受到冷熱溫度變化產生對晶片結構的機械應力而破壞。
如同前述案例,車輛的應用安全要求是固定的,但是安全氣囊與安全帶是否需要進行認證,就必須先了解車輛的安全防護架構與安全氣囊還有安全帶的關聯性與風險分配關係,譬如安全帶如果啟動與失效條件都跟安全氣囊無關,那安全氣囊就是輔助的安全系統,風險分配少,可靠度要求就比較低,相反如果車上沒有配置安全帶,僅透過安全氣囊作為最後一道防護,那安全氣囊分配的風險就高,可靠度要求就會提高,因此零組件本身的安全不見得與產品的安全有直接關係。所以產品無法單獨取得ISO 26262認證的原因在於其並不是完整的產品安全標準,零組件也不容易取得ISO 26262認證則是因為往往不知最終應用的情境,換句話說,ISO 26262是輔助但是必要的安全評估技術標準,並非用於個別產品或零組件的認證標準。
沒辦法單獨認證 如何強制與落實車電安全
拜台灣成熟與低廉的資通訊產業優勢之賜,車輛電子化近年大幅加速,但由於供應鏈的失衡,製造地與使用地分屬不同地點,車電的法規與管理也出現了跟不上產業發展的情況。法規訂定多是使用地的規範,但因並不從事生產,不易調查產業發展的情況而無法及早制定相關的法規與標準,顯得有點忙亂。
歐盟的車用電子法規就是一個實例。歐盟對於車輛與其零組件的法規可追溯到1970年代所制定的70/56/EEC型式驗證指令,其強制車輛與零組件的型式驗證要求,並定義了以「e」標示作為取得零組件(無論帶電與否)驗證的證明。
到了1972年,又發現點火系統與其他電機零部件會產生電磁相容問題,因此增訂了72/245/EEC做為車用電子零組件的電磁相容指令,所有車上的電機電子零組件均必須進行電磁相容測試,至此這兩項要求形成了雙頭馬車,一邊是驗證程序的要求,一邊是電磁相容的要求。
1995年起,歐盟發現車上的電機電子不斷增加,其不限應用於動力傳輸,有更多用於便利駕駛、資通訊與娛樂的電機電子設備。由於這些設備也會影響駕駛,其又並不一定是原廠配備,造成了是否要搭配原廠車輛進行測試的爭議,因此在1999年增訂了1999/5/EC,擴張到原本的適用部件範圍以外,也一併規定定售後(Aftermarket)安裝的組件仍然必須進行電磁相容測試的驗證要求,但可以不用搭配車輛一起進行測試。
經過了5年的觀察,最終2004/104/EC成為72/245/EC的全附錄修訂指令,為目前通用的車電電磁相容指令,排除了售後件「e」標示的強制性,但仍強制售後車電組件必須進行89/336/EEC一般電子電機產品的電磁相容指令方式的驗證。隨後70/56/EEC也透過2007/46/EC的修訂,增加採納了UNECE全境作為適用區域,也增加了車輛分類的驗證作法差異。
上述錯綜複雜的法令增修實例只是全球車電法令複雜性的一角,全球化與車輛的可移動性更是造成全球法令嚴重的混亂與衝突。
台灣是大多數售後車電的製造地,是不是可以援用歐盟法令做法在台上市?美國是全球汽車的最大消費市場,該直接採用歐盟做法還是另訂法源與標準,或是透過責任保險的系統進行自願性的強制?由美國高速公路局應對ISO 26262與最近的車電召回的做法看來,似乎還未有最終的公告措施。
實務上,ISO 26262中列出了評估與認證的程序做法。首先,必須考慮了解該電機電子組件在道路安全上扮演的角色。如果該組件的正常工作狀態與異常工作狀態均不會產生任何道路安全的疑慮時,該組件就不須引用ISO 26262進行潛在風險評估,僅須進行一般性的安全評估。如果該組件只有在其異常狀態下會造成道路安全的疑慮,就必須要引用ISO 26262做為道路安全風險的評估標準。
舉例來說,車速顯示儀表板雖然依賴12VDC系統,正常操作情況下並不會造成駕駛人觸電與車輛起火的風險,但是失效時就會可能引起駕駛誤判而造成錯誤加減速等行車危險,此時就必須引用ISO 26262評估潛在的失效風險。也就是可以IEC 60950-1或IEC 62368做為產品認證標準,但須另外引用ISO 26262作為風險的評估標準。如同圖2所示,就是加列「Functional Safety」做為額外進行評估的可視依據。
|
圖2 加列功能性安全評估的認證標示,左為產品標示,右為零組件標示。 |
無人車吹皺一池春水 開闢車電新戰場
不甩車電法令的落後,為補強消費電子落後的經濟,全球各大工業國無不將重點轉向車用電子,無人車口號吹響了最新一代車電產業戰爭的號角。
無人車概念並不新鮮,似乎從車輛誕生的那一刻就存在了,目前可追溯到汽油引擎發展的年代,但最早期的無人化概念是來自於「無線遙控」,也就是透過無線通訊從遠端操控車輛的行進。
其實跟遙控汽車玩具的做法一樣,原本主要目的並不是在解決安全的問題,而是在解決道路因用路人大增而產生的堵塞問題,期待透過第三方系統控制道路車輛的行進速度與方向,縮短車間距離並分流而達到增加行車速率的要求。想法很簡單,但是受限於車載與遠距資通訊的成本投入太高,一直到筆電售價低於自行車的今日,夢想才有了實現的曙光。
隨著無人車在美國加州開放示範運行的成功,美國高速公路安全管理局資助了一份名為「Safety and Liability of Autonomous Vehicle Technologies」的無人車法令研究報告,除了建議將無人車定名為自動車輛(Autonomous Vehicle)外,並將無人車依照自動化程度分成了五級,如表2所示。
車聯網安全 王者之劍上的寶石
大多數傳統車廠的技術位在Level 2的自動駕駛,正向Level 3邁進中。若要達到Level 4的自動駕駛,就必須仰賴龐大的聯網能力,而且分為車對車(Vehicle to Vehicle, V2V),車對基礎設施(Vehicle to Infrastructure, V2I)等兩個龐大的物聯網架構,在均速100公里下能夠確保200∼400公尺內所有物件的資訊與動態。
為了發展支持無人駕駛的車聯網架構,自動工程師協會(Society of Automotive Engineer, SAE)從2011年開始討論適用於車聯網架構的通訊頻段與相關標準,為了避免與現有的所有通訊頻段產生干擾,至今SAE所定義的通信頻段為5.9GHz,目前已經發展出的標準如表3所示。
而主宰通訊網路發展的關鍵之一:互通性(Interoperability),其測試程序尚未制定,網路資通安全(Cybersecurity)的問題更令人頭痛也是更為重要的新興安全問題,其不僅創造出新興的商業行為,如租賃、貸款、大眾交通乃至於大數據等,同時也是駭客社群最關注的新目標之一。如何利用車聯網監控同時抵擋面臨各式各樣的網路攻擊行為,如垃圾封包、木馬程式、資訊竊取、殭屍化、遠端控制甚至匿名攻擊據點等,除了是前所未有的技術挑戰外,更是無人車技術必須克服的社會心理障礙,在前述報告中引用問卷調查顯示,仍然有超過60%的人關注Level 3與Level 4無人車的安全問題。
革命尚未成功 商機無可限量
車載電子安全雖然困難重重,也面臨錯綜複雜的法規架構,更有各種不同形式的安全考量,除了電安、車安、人安也加上了資安,技術密集與挑戰也屬空前,然而所開創的商機規模至今仍然逐年調高,如果面臨全球資通訊技術與產業挑戰的台商能夠主動引導安全入設計之中,將能掌握未來無可限量的車輛商機!
(本文作者為UL亞太區事業發展經理)