汽车功能安全标准“ISO 26262”导入实践（上）

1. 前言

近年来，在汽车行业中伴随自动驾驶技术的持续创新和发展需求愈发显著的功能（即功能安全）以及遵循 ISO 26262 标准来规范功能安全的做法愈发受到重视。尤其是在中国这一全球技术创新前沿阵地中 ISO 2626₂的功能安全标准已被确立为中国首版推荐性国家标准其首版中文译本《GB/T34590》已于当年10月面世自次年5月起投入实际应用

在这种背景下，在全球范围内看的话，在不仅是OEM的汽车制造商之外，在不断增多的 Tier1 汽车电子产品制造商中也同样出现了加快功能安全支持的趋势。

本文将以半导体制造商为视角，在关注程度持续上升且当前恰逢实施关键期的背景下, 展望阐述功能安全与 ISO 26262 的定义及其内涵, 并深入探讨它们在当今最前沿的汽车技术发展中的作用与意义。

2. 什么是功能安全？

首先，让我们重新思考一下什么是“功能安全”。

2-1. “安全”的定义

当人们突然被问及"如何解释安全的状态"时（或当人们突然被问及"请您解释一下安全是怎样的状态"时），许多人可能都难以立即作答（或都难以立即作答）。顺便提一下，在国际基本安全标准第一版 ISO/IEC Guide 51 中（或在国际基本安全标准第一版 ISO/IEC Guide 51 中），对安全的定义是 "安全 = 免于不可接受的风险"（或 '安全 = 免于不可接受的风险'）。这句话采用了双重否定的形式，在中文中可能较难立即理解（或在中文中则较难立即理解），但在英文中则被描述为 "Freedom from risk which is not tolerable"（或 "Freedom from risk which is not tolerable"），这种表达方式可能更容易被理解。（但无论如何也很难用一句话来解释清楚 '安全' 到底是什么）（但无论如何也无法用一句话清晰解释 'security' 的本质）。因此我们先来解释一下什么是安全的定义。（因此我们先来阐述什么是 'security' 的定义）

其对立面是"dangerous"（即high risk）。然而,"dangerous"作为一个状态具体指的是什么呢？有时人们也会称"dangerous"这一状况为"具有风险的状态"（state with risk）。通常情况下, risk具有大小之分,有的较大,有的较小。因此,如果采取相应措施将潜在 risk降至可接受水平,那么'dangerous'这一状况就会转化为'safe'的状态（即无不可承受之 high risk）。换句话说,'safe'这一状况也可以被视为'无不可承受之 high risk的状态'（state without inacceptable high risk）。现在你是否明白了原文中的'safe = no inacceptable risk'这句话的意思呢？

2-2. “本质安全”与“功能安全”的比较

那么说，“功能性保障”具体指什么？在讲解这一概念时，默认会使用到"本质安全性"这一术语。为了更好地理解"功能性保障"这一概念，在比较中引入它是个好方法："本质安全性"是指通过消除危险诱因实现保障性目标的一种方法；而"功能性保障"则是指在功能性设计的基础上减少潜在风险可能性，并将潜在风险降至可容忍范围之内的一种保障方式。

举个例子来说吧，在道路与铁路交汇处我们应当探讨如何采取哪些措施防止汽车与火车相撞（图1）。

为了避免道路和铁路交叉区域存在的危险因素，将道路与铁路分离并设置立交桥结构的做法是基于'本质安全'理念的应用。根据'本质安全'思路，在交通管理中采取立交桥方式能够有效减少车辆与火车之间的碰撞风险。而采用'功能安全'方法则可能通过设置铁路道口来降低相撞概率。在交叉区域部署警报装置并配置栏杆系统，在铁路上安装传感器装置当检测到火车驶近时触发警报并降下栏杆以阻止非必要性交通冲突当另一台传感器确认火车已完全通过时则解除警报并提升栏杆以保障行车安全性这就是'功能安全'策略的核心内容

图 1. 本质安全与功能安全的思路

以前面所述的案例为例，“本质安全”的实现能够保证绝对的安全性；然而这种方法通常成本较高。相比之下，“功能安全”的理念在多数情况下只需投入相对较低的成本即可实现；但设计时必须充分考虑到当附加功能出现故障时如何确保整体系统的安全性。例如，在功能安全的设计中若传感器失效，则即使火车接近警报器与栏杆也不会工作；这将立即导致系统处于危险状态；因此需要一种即使传感器出现故障也不会导致危险状态的设计方案：例如通过为传感器增添自我诊断电路使其在诊断出自身问题后降低栏杆；或者采用冗余设计：例如设置双重传感器系统即使其中一个传感器失效另一个仍能正常工作；在此期间可对失效的传感器进行修复以维持系统安全性：此外作为双重保险的例子铁路道口警报装置红灯与汽车前灯尾灯等虽然主要考虑外观美学因素但同时也具有双重保险功能：即使一个设备失灵也能确保最低限度的安全水平得以实现

2-3 如何实现功能安全

为了避免严重事故的发生，在制造过程中必须考虑到"人会犯错"以及"东西会损坏"这两个因素的影响。由此形成了"功能安全"的概念。要实现功能安全的目的，必须防止操作者遭受设计对象动作或行为的危害。为了达到这一目的，必须同时考虑两种故障类型：系统性和随机性。

"系统性的潜在缺陷"是指在系统设计阶段就已经隐含存在的潜在问题或不足之处，在技术领域中通常被称作'Bug（漏洞或缺陷）'。为了防止出现这样的'系统性缺陷'或'系统性的潜在问题'，《实现无懈可击的设计流程》是必要的前提条件和重要保障手段。具体而言，在实际操作中，《从根据具体要求制定详细的技术规范开始》，明确每个环节的具体内容（包括但不限于：方案设计、需求分析、原型制作、性能测试等），并在各个阶段进行严格评审和把关工作；同时还需要建立完整的文件管理系统，《确保在任何时候都能快速获取相关资料》，以便及时查阅和参考各种支持材料；此外《合理配置和管理各类记录档案》，使其成为项目进程中不可或缺的重要参考资料库。对于另一类称为'随机性问题或现象'的问题，《制造过程中的问题》往往是在产品完成之后才会暴露出来的状况，在这种情况下，《尽管无法完全消除随机性问题的影响》，但《通过建立相应的安全防护措施来保障系统的稳定运行》仍然是必要的策略选择

2-4 半导体的功能安全

随着围绕以车载和工业设备为核心的技术创新不断发展推进，在这一过程中电子产品呈现出愈发复杂的特征，并且在技术难度上也不断攀升。与此同时，在这一背景下对半导体的功能安全性要求日益提高的同时其作用的重要性也在持续增强。

通常情况下，在硅电路板上制造出集成电路上后会将其表面进行"模塑"处理并覆盖黑色树脂固封层因此内部结构是完全不可见的。然而，在这微小的黑色块内却集成了一万多个晶体管和其他电阻等元器件由此可知其内部电路架构和模块化结构也非常复杂为了应对这些半导体产品的故障问题在设计初期就需要充分考虑其功能安全要求因此在设计半导体时需要同时兼顾系统性故障与随机性故障下的功能安全需求

3. 与 ISO 26262 相关的标准

我们已对"功能安全"这一概念有了一定的了解，并将重点阐述本文的核心主题——ISO 26262标准。此外，请注意功能安全标准不仅局限于汽车领域，在其他领域同样有着丰富的相关标准。

3-1 主要的标准

在深入讲解"ISO 26262"这一行业标准之前，请先了解一些主要的标准背景知识。首先，请知道"ISO"是International Organization for Standardization（国际标准化组织），它是一个总部位于瑞士日内瓦的非政府性机构，在全球推动标准化工作的使命下制定了大量国际通用标准（IS：International Standard）。其中非常著名的是ISO 9001（质量管理体系）和ISO 14001（环境管理体系），据称有很多人可能已经听说过这些具体的子标准。

其次介绍IATF 16949作为汽车行业的质量管理体系标准。顺便补充一点的是：该标准是由国际汽车工业特别工作组发布。值得指出的是，“IATF 16949”是建立在“ISO 9001:2015”的基础上，并结合了与汽车行业相关的必要补充条款而形成的体系。“ISO 26262”则是在现有“IATF 16949”管理体系的基础上进一步完善和发展形成的规范。

3-2 ISO 26262 的由来及其他功能安全标准

在之前的讨论中涉及的是汽车电气／电子系统相关的'功能安全性'标准。它被设定为根据IEC 61508规范而产生的一个基准版的标准（图 2）。这也被视为功能安全的标准基准版。

IEC 61508 是国际电工委员会（IEC: International Electrotechnical Commission）修订后的功能安全国际标准,主要涵盖工业生产设施中的电气和电子系统,包括工厂发电厂机械铁路医疗设备和家用电器等应用领域. ISO 26262 则是基于 IEC 61508 标准并结合汽车电气/电子系统的实际需求而形成的专门安全标准.

图 2. 功能安全的标准体系

此外，在其他行业中也同样存在基于 IEC 61508 的功能安全标准体系。其中最具代表性的领域包括：流程自动化领域中的 IEC 61511 标准、工业机械领域的 IEC 62061 标准、涉及机械控制系统的类别中的 IEC 13849 标准、可变速度电力驱动系统的 IEC 61800-5-2 标准、家用电器产品中的 IEC 60335-1 标准、核能领域的 IEC 61513 标准、铁路领域的 IEC 62278 标准以及机器人设备方面采用 ISO/IEC 13482 标准等。

值得指出的是，在制定ISO 26262时其主要目的是追求功能安全但它本质上并非法定要求因此未遵守该国际标准的企业并不会触犯相关法规然而汽车制造商通常不会采购那些不符合该标准的车辆因为他们必须依赖基于ISO 2626的标准来开发电动汽车以确保车辆的安全性能此外设计方案必须保证即使在出现电动汽车或车载电子系统的故障情况也不会导致人员伤亡不仅限于驾驶员和乘客还包括路旁行走的人群

3-3 如何满足 ISO 26262 标准？

要满足ISO 26262标准，则应在'过程管理'与'产品保障'两个维度上予以应对。该标准所指的'过程'即为涵盖输入端接收信息直至输出端生成结果的完整链条,'过程管理'则特指在整个研发阶段涵盖各环节的过程规范。具体而言,则需通过健全公司内部制度与研发规范等手段,以便建立所需的技术文档以及评审机制。

基于当前的设计理念，在产品的功能模块中构建了一种智能化的安全监控系统，在发生设备故障时能够实时检测异常信号并自动触发应急保护装置来隔离问题区域以防止潜在的系统风险。随后将从技术实现层面进一步细化讨论这一方案与整体系统的其他保障措施之间的相互作用关系

前面已经介绍过相关内容

除此之外，在之前的部分已经介绍过从‘损坏’这一角度分析的问题。从‘东西会损坏’这一角度分析的话，在市场上（或工厂）出现的故障被归类为随机性故障（或随机性硬件故障）。作为应对这种随机性故障的对策措施，则需要产品具备一定的支持能力。在设计时就需要考虑到适当的冗余量以避免产品损坏的发生。从功能安全性的角度出发的规定，则要求即使发生故障也不会造成人身伤害。

为此，在设计初期的初步规划阶段就需要建立一套全面的安全防护体系。这不仅是为了保证能够及时识别各类异常情况，并且根据不同类型的异常采取相应的处理措施。而产品支持的主要目标则是通过强化安全架构来有效应对由系统运行中的随机因素导致的问题。

3-4 设计者的产品责任

也许您还不知道"产品责任（Product Liability）"是什么。它主要涉及因产品质量问题导致的人身伤害或财产损失事件,特别是在严重威胁到人们生命安全的情况下,生产者应当承担相应的赔偿责任。研发人员必须证明其开发的产品在设计阶段并未包含任何缺陷（称为Bug）,为此,他们需要提供详尽的设计依据以及开发时期所作的假设等证据,而这实际上可以被视为流程管理的一个组成部分。

汽车功能安全标准“ISO 26262”导入实践（下），请持续关注我