一、功能安全這個概念的形成與發(fā)展?對中國汽車行業(yè)和企業(yè)而言，重要性何在?

功能安全概念的形成起源于上個世紀。19世紀70年代到80年代，在世界范圍內(nèi)，尤其是石油化工領(lǐng)域中一些大型項目的生產(chǎn)過程中，多次發(fā)生爆炸事故或者嚴重的污染物泄漏事情。當時業(yè)內(nèi)專家通過系列而系統(tǒng)的分析手段，明確了事故發(fā)生的主要原因是因為相關(guān)安全控制系統(tǒng)安全功能失效導致的，而造成這些失效的直接原因中，由于電子、電氣、可編程邏輯控制器產(chǎn)品自身安全功能不完善導致系統(tǒng)失效的比重是非常大的。

為了提高電子、電氣、可編程邏輯控制器產(chǎn)品的安全性能，從1989年開始，世界范圍內(nèi)的業(yè)內(nèi)專家，對產(chǎn)品安全性設(shè)計技術(shù)非常重視，并且計劃將電子、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的安全設(shè)計技術(shù)標準。1993年，在包含TüV SüD技術(shù)專家的專家技術(shù)團隊的不斷努力下，誕生了DIN V VDE 0801標準。之后隨著更多業(yè)內(nèi)專家的參與和積極努力，國際電工委員會終于在1998年的時候，正式頒布了IEC61508(功能安全基礎(chǔ)標準)標準的第一版，并在2010年正式頒布了該標準的第二版。

到目前為止，除功能安全的基礎(chǔ)標準IEC61508之外，其他相關(guān)領(lǐng)域的功能安全系列標準也已經(jīng)頒布并得到大量的應用。如專門針對過程控制行業(yè)的IEC61511標準，專門針對工廠自動化領(lǐng)域的IEC62061和ISO13849-1標準，專門針對鐵路信號控制領(lǐng)域的EN5012X系列標準，專門針對核電領(lǐng)域的IEC61513標準…當然，這其中也包含針對道路車輛功能安全領(lǐng)域的專用標準ISO26262。

ISO26262是從電子、電氣及可編程器件功能安全基本標準IEC61508派生出來的，ISO26262標準主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車控制領(lǐng)域的部件和系統(tǒng)，它旨在提高汽車電子、電氣產(chǎn)品功能安全性能。另外此前路人皆知的“踏板門”、“剎車門”等事件，其實和功能安全都有很大的關(guān)聯(lián)度。

ISO26226標準的核心價值在于，它可以通過系統(tǒng)的功能安全研發(fā)管理流程，以及針對汽車電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗證和確認方法，保證電子系統(tǒng)的安全功能在面對各種嚴酷條件時不失效，從而保證駕乘人員以及路人的安全。對于汽車廠商而言，貫徹執(zhí)行ISO26262標準不僅可以提高安全性能，提升產(chǎn)品內(nèi)在價值，也可以最大程度的控制因為電子部件可靠性問題導致的整車召回風險，避免品牌形象受損，避免蒙受較大的經(jīng)濟損失。

ISO26262標準在今年剛剛正式頒布，雖然世界范圍內(nèi)，暫時沒有出現(xiàn)官方層面的強制執(zhí)行要求，但該標準的執(zhí)行，將減少因為電子器件失效造成的交通事故和降低潛在召回風險，所以目前國際大型車企非常重視ISO26262標準的應用和推廣。

二、ISO26262對中國汽車行業(yè)和企業(yè)而言，提出了什么新要求?

ISO26262標準主要強調(diào)汽車電子電氣部件的可靠性和功能安全要求，同時也給國內(nèi)企業(yè)提出了新的挑戰(zhàn)，主要集中在專業(yè)研發(fā)團隊建設(shè)和系統(tǒng)化的功能安全設(shè)計方法。

人員方面，因為ISO26262標準對相關(guān)的硬件、軟件、質(zhì)量管理人員等工作提出了新的系統(tǒng)化、規(guī)范化的設(shè)計要求，不同的技術(shù)團隊需要協(xié)調(diào)一致才能保證整體系統(tǒng)的可靠性。所以我們認為經(jīng)過系統(tǒng)培訓的研發(fā)團隊，才能保證標準符合度。在此基礎(chǔ)之上，通過系統(tǒng)化的功能安全管理方法，才能保證滿足標準的全部要求。

三、什么是功能安全

按照比較老的ISO8402的定義，功能安全就是：

“A state in which the risk of harm (to persons) or damage is limited to an acceptable level.”

而根據(jù)ISO26262, 功能安全被定義為：

“Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.”

所以綜合一下、按通俗的理解而言，功能安全就是指汽車即便出現(xiàn)了故障，這個故障也是可控的，不會出現(xiàn)“玩脫了”的情況。實現(xiàn)功能安全是汽車設(shè)計的主要目標，也是評價汽車設(shè)計的重要標準。

四. 什么是ISO26262

ISO26262: Road Vehicles – Functional Safety 是一個適用于汽車電子/電氣系統(tǒng)的國際標準。這個標準對汽車的研發(fā)、生產(chǎn)、測試、售后等整個生命周期，在文檔管理、流程規(guī)劃、功能設(shè)計和任務(wù)執(zhí)行等方面進行了具體的指導，并提出了一系列要求，最終使產(chǎn)品達到功能安全的目標。

可以說，“功能安全”好比一位童顏巨乳、溫婉善良、人人都想追的妹子，而“ISO26262”則是一本針對這個妹子的詳細把妹教程。而且ISO26262比把妹教程更牛逼：沒有哪本教程可以保證你把妹成功，但只要企業(yè)詳細遵循了ISO26262標準，其設(shè)計出的產(chǎn)品就一定能滿足功能安全的目標。只要了解了ISO26262，可以說就了解了功能安全的絕大部分內(nèi)容。

ISO26262內(nèi)容非常豐富，但對于非安全工程師而言，我認為了解到ISO26262中最重要的三部分內(nèi)容就可以了，它們是：1. “V”型開發(fā)流程 2. ASIL概念 3. 功能安全設(shè)計開發(fā)流程

1.“V”模型開發(fā)流程

2. ASIL

2.1 ASIL 的定義

ASIL(Automotive Safety Integrity Level)是用來描述一項需求(Requirement)的安全嚴格等級的概念。它由低到高分為A、B、C、D四個級別，除此之外還有一個非安全需求的QM(Quality Management)級。粗略而言，ASIL D級別的需求，一旦發(fā)生故障則具有相當高的安全風險，會導致嚴重的安全后果，往往危及人員生命安全;而對于ASIL A級別的需求，安全風險就很小了，就算出了故障也無所謂。

比如需求“順/逆時針轉(zhuǎn)動方向盤時，電子助力的力矩須與其保持同方向”是ASIL D級，因為如果駕駛員向左打方向盤而助力向右，汽車很快就會失控并撞向道路一側(cè)，這是要出人命的;而“車窗可通過按鈕控制上行/下行”就是ASIL A級——你的車窗就算壞了，除了淋點雨，并不會發(fā)生什么了不起的事情。

于是，當汽車研發(fā)人員拿到一份需求文檔，首先要做的就是對其中每一項需求進行ASIL評級。

2.2 ASIL 的評級

那么一項需求的ASIL具體是怎么確定的呢?為了詳細說明，還要引入幾個ISO26262中定義的概念。

第一個概念：Exposure(E)。Exposures是指故障發(fā)生的時長占平均運行時長的比例，用來表征故障發(fā)生的概率大小。E值越大則故障發(fā)生的概率越大。

第二個概念：Controllability(C)。Controllability是指故障發(fā)生以后，駕駛員是否可以人為對故障狀態(tài)加以控制。C值越大則越難以控制。比如前面的例子中，如果反向的轉(zhuǎn)向助力非常大，以至于駕駛員靠手臂的力量無法控制方向盤，則C值也就很大。

第三個概念：Severity(S)。這個比較好理解了，就是故障的嚴重程度。S值越大則故障越嚴重。轉(zhuǎn)向助力失靈是很嚴重的故障，而車窗失靈就不嚴重。S值分由輕微到嚴重為S0至S3共四級。

聰明的你一定已經(jīng)意識到了，一項需求發(fā)生故障以后的安全風險，可以用公式

Risk = E * C * S

來表示。

第四個概念：Tolerable Risk。前面我們已經(jīng)得到了安全風險的量化公式，那么進行評級還需要一個對比標準，這個標準就是Tolerable Risk。

為了吹噓我家的汽車安全，我可能會說:“我們生產(chǎn)的軟件狗牌轉(zhuǎn)向機的故障的風險，比空難的風險還低!”這里就選擇了空難作為對比標準。事實上，安全工程師在制定Tolerable Risk的時候，確實類比了諸如空難、七級以上大地震、嚴重車禍等等事件的量化風險做標準——如果我做出來的汽車部件的安全風險，比大地震的風險還低，你作為消費者，是不是已經(jīng)可以安心使用了呢?

把以上四個概念繪制在一個圖表中，以S為橫軸，E*C 為縱軸，就可以得到以下一張ASIL評級圖：

從圖中我們可以看出，左下角的安全風險最低，而右上角部分的安全風險最高，并且有Tolerable Risk線把圖分為了兩部分。Tolerable Risk 線以下的部分，就好比“比地震風險還低”的部分，不需要給予特別關(guān)注，可以直接評為非安全需求的QM級;而線以上的部分，就具有顯著的安全風險，需要進行ASIL評級，最右上角評為D級，向左下依次評為C、B、A級。

在實際評級中，安全工程師會制定詳細的E、C、S值量化評分表，于是對于任意一項需求，都可以對照評分表得出其E、C、S的值。其中，確定E值的過程叫做Risk Assessment，而確定C值和S值的過程叫做 Hazard Analysis。有了E、C、S值，再對照ASIL評級圖，就可以得出這項需求的ASIL 評級了。

注意: ASIL 評級過程和DFMEA中PRN值的計算以及PRN值的降低過程有些相似，卻又有本質(zhì)上的不同。

3. ISO26262如何保證功能安全?

前面說了那么多各種概念，現(xiàn)在來談一下為什么說執(zhí)行ISO26262后一定能保證功能安全。

根據(jù)ISO26262，對于任何一項需求，其功能安全大致可以通過以下幾個步驟來保證：

1)進行Hazard Analysis 和 Risk Assessment。前文已敘，這個步驟是為了獲得需求的E、C、S值。

2)評出此需求的ASIL評級并建立Safety Goal。Safety Goal 是一個具體的、定性的安全目標，比如轉(zhuǎn)向助力那個例子中，“助力方向一致”這個需求一定是ASIL D級，故障后會有相當大的安全風險。其Safety Goal就是把故障風險降低至可容忍風險以下。Safety Goal繼承對應需求的ASIL評級。

3) 將Safety Goal 進一步分解為 Functional Safety Concept 和 Technical Safety Concept。還舉前例，要怎樣降低“助力方向一致”故障的風險呢?一個可行的辦法是進行冗余計算：用兩套不同的算法計算助力方向，保證結(jié)果的正確性?；蛘?，把助力電機的力矩限制在一個較小的值也是個好辦法，因為這樣一來即便助力方向錯誤，由于助力有限，駕駛員還是可以控制汽車。

這些解決方法就是Functional Safety Concept。把Functional Safety Concept進一步在技術(shù)上具體化，就是Technical Safety Concept。它們將繼承步驟2)評出的ASIL等級。不同的ASIL等級對Functional Safety Concept 和 Technical Safety Concept有不同的要求。

4)由Technical Safety Concept 形成Software Safety Requirements 和 Hardware Safety Requirements。這些就是非常具體的安全需求了，可以直接作為軟/硬件設(shè)計的依據(jù)。這些需求也繼承了相同的ASIL等級。

5)根據(jù)4)步得到的安全需求，結(jié)合其ASIL 等級制定測試與驗證方案。對于不同等級的安全需求，ISO26262對測試方案有著硬性的要求。比如ASIL D級需求除了進行MISRA、PolySpace等測試外，還要進行完備的功能測試和覆蓋率100%的MCDC測試，并對Traceability (可溯性?)也有相應要求。

功能安全設(shè)計開發(fā)流程

在進行這套流程的同時，還需配合FMEA 和 DRBFM 對系統(tǒng)設(shè)計進行分析和評價?？梢哉f，全套流程結(jié)束以后，功能安全能夠得到有效的保障。