ISO26262——保證汽車功能安全的新思路

近年來，汽車行業(yè)大量的技術(shù)創(chuàng)新都來源于汽車電子領(lǐng)域。如今業(yè)界所說的汽車智能化，實則就是汽車電子化程度越來越高后實現(xiàn)的各種智能控制。隨著汽車電子技術(shù)的發(fā)展，動力傳動系統(tǒng)、車身電子系統(tǒng)、駕駛員輔助系統(tǒng)等汽車電子系統(tǒng)日趨復(fù)雜，與功能安全的相關(guān)性不斷提高，與安全相關(guān)的軟件和硬件出現(xiàn)任何一個失效，都有可能會給人員、設(shè)備及環(huán)境帶來嚴(yán)重的后果，而由此引發(fā)的車輛召回也會給企業(yè)帶來巨大的經(jīng)濟損失。如何在產(chǎn)品設(shè)計階段就規(guī)避潛在的風(fēng)險，已成為汽車制造商迫切需要解決的問題。

ISO26262是一個功能安全標(biāo)準(zhǔn)，命名為“道路車輛－功能安全”，由10個部分組成。從2005年11月起，由ISO的TC22（道路車輛技術(shù)委員會）、SC3（電子電器分技術(shù)委員會）、WG16（功能安全工作組）及全球約30家汽車大廠商聯(lián)合開始制定，歷經(jīng)約6年時間，于2011年11月15日作為ISO標(biāo)準(zhǔn)正式頒布。

日前，彼牧汽車（BIIMOAUTO）聯(lián)合國家汽車質(zhì)量監(jiān)督檢驗中心、中國汽車產(chǎn)學(xué)研信息中心在上海嘉定舉辦2015汽車功能安全ISO26262研討會&專題培訓(xùn)。會議邀請整車OEM、一級供應(yīng)商、汽車電子、半導(dǎo)體芯片、主動安全、軟硬件供應(yīng)商、測試及認(rèn)證機構(gòu)等相關(guān)單位負(fù)責(zé)人共同參與研討交流。研討會分為標(biāo)準(zhǔn)現(xiàn)狀和應(yīng)用解決方案兩大討論版塊，從ISO26262系統(tǒng)構(gòu)架的經(jīng)驗分享、實施ISO26262的可行做法、確保功能安全的安全案例和安全論證等具體應(yīng)用方面進行交流分享。

整個生命周期的功能安全

ISO26262功能安全標(biāo)準(zhǔn)是目前非常前沿的標(biāo)準(zhǔn)，它從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來， 主要定位在汽車行業(yè)中特定的電氣件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件。該標(biāo)準(zhǔn)從產(chǎn)品的整個生命周期進行評估，從需求開始，到概念設(shè)計、軟件設(shè)計、硬件設(shè)計，包括最終的生產(chǎn)、操作，整個生命周期都提出了嚴(yán)格的要求，來保證安全相關(guān)的電子產(chǎn)品的功能性失效不會造成危險的發(fā)生。

此外，新標(biāo)準(zhǔn)還根據(jù)安全風(fēng)險程度對系統(tǒng)或系統(tǒng)部件劃分由A到D的安全需求等級（Automotive Safety Integrity Level，汽車安全完整性等級ASIL）。安全風(fēng)險等級越高，針對系統(tǒng)軟硬件開發(fā)流程的要求也就越高。除了更高的要求，開發(fā)方式的改變也是企業(yè)在實施新標(biāo)準(zhǔn)時面臨的問題。

美國exida公司的高級安全專家靈譽森表示，ISO26262第二版預(yù)計將于2018年正式上路，而一些汽車主機廠可能2016年左右就會開始實施。ISO26262第二版會更加深入功能安全的開發(fā)，包括汽車智能化下的自動駕駛，結(jié)合功能安全和汽車安全，并改正ISO26262第一版存在的不足。

新能源汽車引入ISO26262標(biāo)準(zhǔn)

上海捷能汽車技術(shù)有限公司控制集成部馮亞軍認(rèn)為，新能源電控系統(tǒng)比傳統(tǒng)車更加復(fù)雜，安全要求更高。為保證電子系統(tǒng)的安全性，其系統(tǒng)設(shè)計和驗證過程的進步已被提上了歷史議程。其中最為人們所關(guān)注的要點之一就是功能安全的理念。在這一領(lǐng)域，歐洲、日本應(yīng)用ISO26262要早于國內(nèi)，美國則推出SAE J2980標(biāo)準(zhǔn)。技術(shù)咨詢公司在和國內(nèi)OEM合作時會要求引入功能安全。國際汽車廠商（寶馬、通用、福特等）、汽車零部件供應(yīng)商（博世、德爾福等）早已采用該標(biāo)準(zhǔn)開發(fā)安全相關(guān)的電子電器產(chǎn)品，應(yīng)用在混合動力汽車、電動車的開發(fā)。

新能源汽車是一個全新的領(lǐng)域，需要在原有開發(fā)流程基礎(chǔ)上引入符合ISO26262標(biāo)準(zhǔn)的功能安全開發(fā)流程，要采用標(biāo)準(zhǔn)的功能安全相關(guān)的工作流、工作模板，并要進行產(chǎn)品的復(fù)用性分析，同時需要考慮電動車特有的安全屬性。

舉例來看，通用汽車公司針對越來越多由于汽車電子問題引起的召回，2014年3月調(diào)整了公司研發(fā)部門的架構(gòu)以符合功能安全及開發(fā)流程，改善和加強功能安全的控制和管理；寶馬電動汽車i3的電池管理系統(tǒng)達到了ISO26262的ASIL D；特斯拉的電池管理系統(tǒng)的開發(fā)也符合ISO26262的要求等等。未來，ISO26262對于電動汽車產(chǎn)業(yè)的影響程度遠(yuǎn)超傳統(tǒng)汽車產(chǎn)業(yè)的TS16949。

半導(dǎo)體企業(yè)發(fā)動安全新攻勢

由于現(xiàn)在汽車的電子電器部件越來越復(fù)雜，集成度越高，出現(xiàn)故障可能性也就越多。汽車安全系統(tǒng)也經(jīng)過了一系列的衍變，從被動安全到主動安全，到安全性預(yù)測。作為安全性預(yù)測的標(biāo)志性應(yīng)用就是高級駕駛員輔助系統(tǒng)（ADAS）。 安全性預(yù)測是指在故障發(fā)生之前，汽車?yán)镉幸恍┫到y(tǒng)時時檢測故障是否會發(fā)生，并在故障沒發(fā)生之前發(fā)出預(yù)警，防止故障發(fā)生。

以ISO26262標(biāo)準(zhǔn)對降低系統(tǒng)隨機失效的方式為例，ISO26262主要采用診斷和冗余2種方式來達到這個目的。一種情況是，系統(tǒng)自動診斷出故障，然后進入安全狀態(tài)；另外一種情況是，系統(tǒng)采取冗余設(shè)計，其中一個元件出現(xiàn)故障，另外一個還可以繼續(xù)工作，從而確保系統(tǒng)的安全性。

正是基于對這些安全的要求，功能安全的提升，ISO26262的頒布為能夠?qū)崿F(xiàn)符合功能安全器件的半導(dǎo)體廠商和能夠提供符合功能安全系統(tǒng)的供應(yīng)商帶來更多的商機。例如，飛思卡爾發(fā)布了功能安全整體解決方案——SafeAssure項目，其最終目標(biāo)是實現(xiàn)功能安全，化繁為簡，該計劃構(gòu)建在4個領(lǐng)域的基礎(chǔ)上：安全流程、安全硬件、安全軟件和安全支持。SafeAssure是完整的功能安全解決方案，包括微控制器、傳感器、模擬器件和電源管理IC。再如，具有更高ISO26262要求的新一代EPS系統(tǒng)對傳感器冗余尤為感興趣，這種雙傳感器封裝可支持ASIL D系統(tǒng)，英飛凌提供了ISO26262文檔和安全技術(shù)專長，以協(xié)助汽車系統(tǒng)供應(yīng)商設(shè)計符合ISO標(biāo)準(zhǔn)的系統(tǒng)。

實施中所面臨的巨大挑戰(zhàn)

ISO26262涉及汽車電子電氣系統(tǒng)的整個安全生命周期及其管理過程，滿足該標(biāo)準(zhǔn)對汽車企業(yè)及供應(yīng)商來說必將是巨大的挑戰(zhàn)。為滿足ISO26262，必須在公司安全文化、工作流程制定、產(chǎn)品設(shè)計與開發(fā)等方面進行持續(xù)的改進。

如，針對于像英飛凌這種芯片供應(yīng)商來說，ISO26262所帶來的挑戰(zhàn)是非常大的。最大的挑戰(zhàn)是如果要開發(fā)新的產(chǎn)品，需要非常明確的安全需求和確切的應(yīng)用環(huán)境，這是一個前提。整個需求管理是貫穿在開發(fā)周期的，同時開發(fā)接口協(xié)議是預(yù)先要被討論和跟客戶達成一致的，同時需要一個非常強的全局組織架構(gòu)，然后再進行整個產(chǎn)品體系的管控。

ISO26262標(biāo)準(zhǔn)暫時沒有出現(xiàn)官方層面的強制執(zhí)行要求，但該標(biāo)準(zhǔn)的執(zhí)行，將減少因為電子器件失效造成的交通事故和降低潛在召回風(fēng)險，所以目前國際大型車企非常重視ISO26262標(biāo)準(zhǔn)的應(yīng)用和推廣。之前國內(nèi)汽車廠商在整車電磁兼容、電氣環(huán)境、碰撞防護等領(lǐng)域已經(jīng)作出了較多努力，但目前國內(nèi)汽車電子領(lǐng)域的專用功能安全標(biāo)準(zhǔn)尚屬空白，但部分意識比較超前的民族品牌企業(yè)也關(guān)注ISO26262標(biāo)準(zhǔn)的制定和發(fā)展。然而，有些企業(yè)在接觸功能安全之后，遇到重重困難后選擇了放棄。究其原因，首先，這個標(biāo)準(zhǔn)并非法規(guī)強制性標(biāo)準(zhǔn)，無法引起企業(yè)的重視；其次，標(biāo)準(zhǔn)的實施不僅僅會帶來大量額外的工作，也會增加系統(tǒng)的成本（比如冗余設(shè)計額外增加的零部件），整個研發(fā)及產(chǎn)品的成本就會隨之增加，在下游用戶沒有強制性要求的情況下，許多企業(yè)并不愿意承擔(dān)這部分成本。

但是可喜的是，雖然ISO26262標(biāo)準(zhǔn)不被法規(guī)強制，但是最終也會被市場強制。馮亞軍認(rèn)為，主機廠不去實施ISO26262標(biāo)準(zhǔn)，會面臨一系列法規(guī)的問題，國外已寫入法規(guī)，但國內(nèi)還沒有，國內(nèi)主機廠仍要做充分的準(zhǔn)備，如果沒有實施ISO26262標(biāo)準(zhǔn)而出現(xiàn)任何事故，企業(yè)將會被追責(zé)?？梢哉f，任何一家企業(yè)如果不嚴(yán)格執(zhí)行的話就會被淘汰。