一、功能安全這個概念的形成與發(fā)展?對中國汽車行業(yè)和企業(yè)而言，重要性何在?

功能安全概念的形成起源于上個世紀(jì)。19世紀(jì)70年代到80年代，在世界范圍內(nèi)，尤其是石油化工領(lǐng)域中一些大型項(xiàng)目的生產(chǎn)過程中，多次發(fā)生爆炸事故或者嚴(yán)重的污染物泄漏事情。當(dāng)時(shí)業(yè)內(nèi)專家通過系列而系統(tǒng)的分析手段，明確了事故發(fā)生的主要原因是因?yàn)橄嚓P(guān)安全控制系統(tǒng)安全功能失效導(dǎo)致的，而造成這些失效的直接原因中，由于電子、電氣、可編程邏輯控制器產(chǎn)品自身安全功能不完善導(dǎo)致系統(tǒng)失效的比重是非常大的。

為了提高電子、電氣、可編程邏輯控制器產(chǎn)品的安全性能，從1989年開始，世界范圍內(nèi)的業(yè)內(nèi)專家，對產(chǎn)品安全性設(shè)計(jì)技術(shù)非常重視，并且計(jì)劃將電子、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的安全設(shè)計(jì)技術(shù)標(biāo)準(zhǔn)。1993年，在包含TüV SüD技術(shù)專家的專家技術(shù)團(tuán)隊(duì)的不斷努力下，誕生了DIN V VDE 0801標(biāo)準(zhǔn)。之后隨著更多業(yè)內(nèi)專家的參與和積極努力，國際電工委員會終于在1998年的時(shí)候，正式頒布了IEC61508(功能安全基礎(chǔ)標(biāo)準(zhǔn))標(biāo)準(zhǔn)的第一版，并在2010年正式頒布了該標(biāo)準(zhǔn)的第二版。

到目前為止，除功能安全的基礎(chǔ)標(biāo)準(zhǔn)IEC61508之外，其他相關(guān)領(lǐng)域的功能安全系列標(biāo)準(zhǔn)也已經(jīng)頒布并得到大量的應(yīng)用。如專門針對過程控制行業(yè)的IEC61511標(biāo)準(zhǔn)，專門針對工廠自動化領(lǐng)域的IEC62061和ISO13849-1標(biāo)準(zhǔn)，專門針對鐵路信號控制領(lǐng)域的EN5012X系列標(biāo)準(zhǔn)，專門針對核電領(lǐng)域的IEC61513標(biāo)準(zhǔn)…當(dāng)然，這其中也包含針對道路車輛功能安全領(lǐng)域的專用標(biāo)準(zhǔn)ISO26262。

ISO26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來的，ISO26262標(biāo)準(zhǔn)主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車控制領(lǐng)域的部件和系統(tǒng)，它旨在提高汽車電子、電氣產(chǎn)品功能安全性能。另外此前路人皆知的“踏板門”、“剎車門”等事件，其實(shí)和功能安全都有很大的關(guān)聯(lián)度。

ISO26226標(biāo)準(zhǔn)的核心價(jià)值在于，它可以通過系統(tǒng)的功能安全研發(fā)管理流程，以及針對汽車電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗(yàn)證和確認(rèn)方法，保證電子系統(tǒng)的安全功能在面對各種嚴(yán)酷條件時(shí)不失效，從而保證駕乘人員以及路人的安全。對于汽車廠商而言，貫徹執(zhí)行ISO26262標(biāo)準(zhǔn)不僅可以提高安全性能，提升產(chǎn)品內(nèi)在價(jià)值，也可以最大程度的控制因?yàn)殡娮硬考煽啃詥栴}導(dǎo)致的整車召回風(fēng)險(xiǎn)，避免品牌形象受損，避免蒙受較大的經(jīng)濟(jì)損失。

ISO26262標(biāo)準(zhǔn)在今年剛剛正式頒布，雖然世界范圍內(nèi)，暫時(shí)沒有出現(xiàn)官方層面的強(qiáng)制執(zhí)行要求，但該標(biāo)準(zhǔn)的執(zhí)行，將減少因?yàn)殡娮悠骷г斐傻慕煌ㄊ鹿屎徒档蜐撛谡倩仫L(fēng)險(xiǎn)，所以目前國際大型車企非常重視ISO26262標(biāo)準(zhǔn)的應(yīng)用和推廣。

二、ISO26262對中國汽車行業(yè)和企業(yè)而言，提出了什么新要求?

ISO26262標(biāo)準(zhǔn)主要強(qiáng)調(diào)汽車電子電氣部件的可靠性和功能安全要求，同時(shí)也給國內(nèi)企業(yè)提出了新的挑戰(zhàn)，主要集中在專業(yè)研發(fā)團(tuán)隊(duì)建設(shè)和系統(tǒng)化的功能安全設(shè)計(jì)方法。

人員方面，因?yàn)镮SO26262標(biāo)準(zhǔn)對相關(guān)的硬件、軟件、質(zhì)量管理人員等工作提出了新的系統(tǒng)化、規(guī)范化的設(shè)計(jì)要求，不同的技術(shù)團(tuán)隊(duì)需要協(xié)調(diào)一致才能保證整體系統(tǒng)的可靠性。所以我們認(rèn)為經(jīng)過系統(tǒng)培訓(xùn)的研發(fā)團(tuán)隊(duì)，才能保證標(biāo)準(zhǔn)符合度。在此基礎(chǔ)之上，通過系統(tǒng)化的功能安全管理方法，才能保證滿足標(biāo)準(zhǔn)的全部要求。

三、什么是功能安全

按照比較老的ISO8402的定義，功能安全就是：

“A state in which the risk of harm (to persons) or damage is limited to an acceptable level.”

而根據(jù)ISO26262, 功能安全被定義為：

“Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.”

所以綜合一下、按通俗的理解而言，功能安全就是指汽車即便出現(xiàn)了故障，這個故障也是可控的，不會出現(xiàn)“玩脫了”的情況。實(shí)現(xiàn)功能安全是汽車設(shè)計(jì)的主要目標(biāo)，也是評價(jià)汽車設(shè)計(jì)的重要標(biāo)準(zhǔn)。

四. 什么是ISO26262

ISO26262: Road Vehicles – Functional Safety 是一個適用于汽車電子/電氣系統(tǒng)的國際標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)對汽車的研發(fā)、生產(chǎn)、測試、售后等整個生命周期，在文檔管理、流程規(guī)劃、功能設(shè)計(jì)和任務(wù)執(zhí)行等方面進(jìn)行了具體的指導(dǎo)，并提出了一系列要求，最終使產(chǎn)品達(dá)到功能安全的目標(biāo)。

可以說，“功能安全”好比一位童顏巨乳、溫婉善良、人人都想追的妹子，而“ISO26262”則是一本針對這個妹子的詳細(xì)把妹教程。而且ISO26262比把妹教程更牛逼：沒有哪本教程可以保證你把妹成功，但只要企業(yè)詳細(xì)遵循了ISO26262標(biāo)準(zhǔn)，其設(shè)計(jì)出的產(chǎn)品就一定能滿足功能安全的目標(biāo)。只要了解了ISO26262，可以說就了解了功能安全的絕大部分內(nèi)容。

ISO26262內(nèi)容非常豐富，但對于非安全工程師而言，我認(rèn)為了解到ISO26262中最重要的三部分內(nèi)容就可以了，它們是：1. “V”型開發(fā)流程 2. ASIL概念 3. 功能安全設(shè)計(jì)開發(fā)流程

1.“V”模型開發(fā)流程

2. ASIL

2.1 ASIL 的定義

ASIL(Automotive Safety Integrity Level)是用來描述一項(xiàng)需求(Requirement)的安全嚴(yán)格等級的概念。它由低到高分為A、B、C、D四個級別，除此之外還有一個非安全需求的QM(Quality Management)級。粗略而言，ASIL D級別的需求，一旦發(fā)生故障則具有相當(dāng)高的安全風(fēng)險(xiǎn)，會導(dǎo)致嚴(yán)重的安全后果，往往危及人員生命安全;而對于ASIL A級別的需求，安全風(fēng)險(xiǎn)就很小了，就算出了故障也無所謂。

比如需求“順/逆時(shí)針轉(zhuǎn)動方向盤時(shí)，電子助力的力矩須與其保持同方向”是ASIL D級，因?yàn)槿绻{駛員向左打方向盤而助力向右，汽車很快就會失控并撞向道路一側(cè)，這是要出人命的;而“車窗可通過按鈕控制上行/下行”就是ASIL A級——你的車窗就算壞了，除了淋點(diǎn)雨，并不會發(fā)生什么了不起的事情。

于是，當(dāng)汽車研發(fā)人員拿到一份需求文檔，首先要做的就是對其中每一項(xiàng)需求進(jìn)行ASIL評級。

2.2 ASIL 的評級

那么一項(xiàng)需求的ASIL具體是怎么確定的呢?為了詳細(xì)說明，還要引入幾個ISO26262中定義的概念。

第一個概念：Exposure(E)。Exposures是指故障發(fā)生的時(shí)長占平均運(yùn)行時(shí)長的比例，用來表征故障發(fā)生的概率大小。E值越大則故障發(fā)生的概率越大。

第二個概念：Controllability(C)。Controllability是指故障發(fā)生以后，駕駛員是否可以人為對故障狀態(tài)加以控制。C值越大則越難以控制。比如前面的例子中，如果反向的轉(zhuǎn)向助力非常大，以至于駕駛員靠手臂的力量無法控制方向盤，則C值也就很大。

第三個概念：Severity(S)。這個比較好理解了，就是故障的嚴(yán)重程度。S值越大則故障越嚴(yán)重。轉(zhuǎn)向助力失靈是很嚴(yán)重的故障，而車窗失靈就不嚴(yán)重。S值分由輕微到嚴(yán)重為S0至S3共四級。

聰明的你一定已經(jīng)意識到了，一項(xiàng)需求發(fā)生故障以后的安全風(fēng)險(xiǎn)，可以用公式

Risk = E * C * S

來表示。

第四個概念：Tolerable Risk。前面我們已經(jīng)得到了安全風(fēng)險(xiǎn)的量化公式，那么進(jìn)行評級還需要一個對比標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)就是Tolerable Risk。

為了吹噓我家的汽車安全，我可能會說:“我們生產(chǎn)的軟件狗牌轉(zhuǎn)向機(jī)的故障的風(fēng)險(xiǎn)，比空難的風(fēng)險(xiǎn)還低!”這里就選擇了空難作為對比標(biāo)準(zhǔn)。事實(shí)上，安全工程師在制定Tolerable Risk的時(shí)候，確實(shí)類比了諸如空難、七級以上大地震、嚴(yán)重車禍等等事件的量化風(fēng)險(xiǎn)做標(biāo)準(zhǔn)——如果我做出來的汽車部件的安全風(fēng)險(xiǎn)，比大地震的風(fēng)險(xiǎn)還低，你作為消費(fèi)者，是不是已經(jīng)可以安心使用了呢?

把以上四個概念繪制在一個圖表中，以S為橫軸，E*C 為縱軸，就可以得到以下一張ASIL評級圖：

從圖中我們可以看出，左下角的安全風(fēng)險(xiǎn)最低，而右上角部分的安全風(fēng)險(xiǎn)最高，并且有Tolerable Risk線把圖分為了兩部分。Tolerable Risk 線以下的部分，就好比“比地震風(fēng)險(xiǎn)還低”的部分，不需要給予特別關(guān)注，可以直接評為非安全需求的QM級;而線以上的部分，就具有顯著的安全風(fēng)險(xiǎn)，需要進(jìn)行ASIL評級，最右上角評為D級，向左下依次評為C、B、A級。

在實(shí)際評級中，安全工程師會制定詳細(xì)的E、C、S值量化評分表，于是對于任意一項(xiàng)需求，都可以對照評分表得出其E、C、S的值。其中，確定E值的過程叫做Risk Assessment，而確定C值和S值的過程叫做 Hazard Analysis。有了E、C、S值，再對照ASIL評級圖，就可以得出這項(xiàng)需求的ASIL 評級了。

注意: ASIL 評級過程和DFMEA中PRN值的計(jì)算以及PRN值的降低過程有些相似，卻又有本質(zhì)上的不同。

3. ISO26262如何保證功能安全?

前面說了那么多各種概念，現(xiàn)在來談一下為什么說執(zhí)行ISO26262后一定能保證功能安全。

根據(jù)ISO26262，對于任何一項(xiàng)需求，其功能安全大致可以通過以下幾個步驟來保證：

1)進(jìn)行Hazard Analysis 和 Risk Assessment。前文已敘，這個步驟是為了獲得需求的E、C、S值。

2)評出此需求的ASIL評級并建立Safety Goal。Safety Goal 是一個具體的、定性的安全目標(biāo)，比如轉(zhuǎn)向助力那個例子中，“助力方向一致”這個需求一定是ASIL D級，故障后會有相當(dāng)大的安全風(fēng)險(xiǎn)。其Safety Goal就是把故障風(fēng)險(xiǎn)降低至可容忍風(fēng)險(xiǎn)以下。Safety Goal繼承對應(yīng)需求的ASIL評級。

3) 將Safety Goal 進(jìn)一步分解為 Functional Safety Concept 和 Technical Safety Concept。還舉前例，要怎樣降低“助力方向一致”故障的風(fēng)險(xiǎn)呢?一個可行的辦法是進(jìn)行冗余計(jì)算：用兩套不同的算法計(jì)算助力方向，保證結(jié)果的正確性。或者，把助力電機(jī)的力矩限制在一個較小的值也是個好辦法，因?yàn)檫@樣一來即便助力方向錯誤，由于助力有限，駕駛員還是可以控制汽車。

這些解決方法就是Functional Safety Concept。把Functional Safety Concept進(jìn)一步在技術(shù)上具體化，就是Technical Safety Concept。它們將繼承步驟2)評出的ASIL等級。不同的ASIL等級對Functional Safety Concept 和 Technical Safety Concept有不同的要求。

4)由Technical Safety Concept 形成Software Safety Requirements 和 Hardware Safety Requirements。這些就是非常具體的安全需求了，可以直接作為軟/硬件設(shè)計(jì)的依據(jù)。這些需求也繼承了相同的ASIL等級。

5)根據(jù)4)步得到的安全需求，結(jié)合其ASIL 等級制定測試與驗(yàn)證方案。對于不同等級的安全需求，ISO26262對測試方案有著硬性的要求。比如ASIL D級需求除了進(jìn)行MISRA、PolySpace等測試外，還要進(jìn)行完備的功能測試和覆蓋率100%的MCDC測試，并對Traceability (可溯性?)也有相應(yīng)要求。

功能安全設(shè)計(jì)開發(fā)流程

在進(jìn)行這套流程的同時(shí)，還需配合FMEA 和 DRBFM 對系統(tǒng)設(shè)計(jì)進(jìn)行分析和評價(jià)?？梢哉f，全套流程結(jié)束以后，功能安全能夠得到有效的保障。