深度剖析线控底盘功能安全新挑战与系统应对路径

7月18日上午，由 ATC 主办的「2025 汽车软件技术与安全大会」在上海顺利召开。作为国内聚焦智能驾驶软件架构与安全工程的重要会议之一，本次大会汇聚了来自 OEM、Tier1、软硬件企业及专业服务机构的技术专家。

上海云氪汽车技术有限公司技术总监高德海先生受邀参会，并带来题为《线控底盘功能安全的探讨》的主题演讲。从行业趋势出发，深入剖析了纯线控架构下的功能安全新挑战，并提出云氪在系统架构设计、故障容错机制、异构控制及工程实践方面的解决策略，获得现场嘉宾的广泛关注与高度认可。

技术变革推动架构进化，底盘安全进入“融合控制”时代

随着汽车电动化、智能化快速发展，底盘电子控制系统正从原有的分布式控制向集中式融合架构演进。转向、制动、悬架等功能开始高度耦合，尤其是在域控制器、线控技术逐步落地后，“从执行器到架构”的变革也同步提升了对功能安全的系统性要求。

底盘控制正由分散向集成演进

高德海指出，以线控转向（SBW）、线控制动（EMB）、主动电控悬架为代表的纯电控制执行器正在快速取代传统液压与机械系统，而**可用性（Availability）**已从“产品性能指标”转变为“必须考虑的功能安全属性”。

安全挑战升级：纯线控架构引发多重系统级难题

传统的功能安全理念强调“Fail Safe”——即故障发生后进入安全状态，但在没有机械冗余的线控底盘系统中，“持续控制能力”成为系统安全的核心诉求。这意味着系统需具备“Fail Operational”的能力，即在部分失效下依然能维持基本运行。

线控转向主从通道控制策略

图示 SBW 系统中主控通道（Master）与备用通道（Fallback）的任务分配和通信方式。为应对这种新形态的架构需求，云氪提出了涵盖感知、计算、执行、供电多个维度的系统级安全设计原则，并重点分享了线控转向系统在冗余架构中的典型实现方式：

l 主通道采集关键输入、执行运算与控制

l 备用通道监听主通道状态并维持信息同步

l 故障发生后优先选择“信息补偿”而非“主从切换”，避免频繁转换导致的附加风险

主从切换虽然是一种手段，但不应作为唯一策略，信息共享与系统稳态维持才是提升安全性的根本。

异构设计与可行性平衡：安全不是绝对冗余

对于高可靠要求的线控系统，“冗余”与“异构”是核心关键词。但异构设计（如芯片、驱动、电机、软件等使用不同架构）往往也带来高成本与开发复杂度。

冗余系统如何实现“足够独立”

以电机驱动桥两通道如果使用同厂商同一型号MOS器件引起的失效及其引发的系统性问题为示例，高德海指出，在资源受限项目中，可采用以下策略平衡安全性与工程落地性：

l 关键路径采用硬件异构（如主备通道电机控制器分属不同供应商）

l 非关键路径通过软件容错算法（如双路电机四开管补偿、失效信号映射）降低物理冗余成本

l 制造环节通过“批次隔离”降低系统共因失效概率（通道1使用批次A，通道2使用批次B）

安全机制必须贯穿全生命周期，而非堆砌标准

演讲最后，高德海强调：功能安全从来不是“写文档、做评审”这么简单的事，而是一整套“工程理念 + 方法体系 + 实施机制”的综合落地能力。

安全是系统工程，需要体系化支撑

云氪作为一家深耕安全工程的第三方服务机构，已为多家国内外主机厂及一级供应商提供涵盖：功能安全（ISO 26262、SOTIF）、信息安全（ISO 21434）、安全架构设计与测试、安全评估与体系咨询、AUTOSAR 软件平台配置与验证等全流程安全工程服务。未来，云氪将继续以专业能力深度服务汽车智能化、软件化的安全落地。