汽车功能安全知识体系框架构建｜盖世大学堂功能安全系列知识讲解

一、功能安全基本概念

功能安全并非汽车行业所独有，其起源可追溯至1950年，美国在阿特拉斯洲际弹道导弹发展过程中，18个月内发生了4次导弹在发射台测试时的爆炸事件。1967年阿波罗1号发生火灾，牺牲了3名宇航员，此后系统工程和系统安全逐步建立起来。

功能安全领域有诸多重要标准，其中《电气/电子/可编程电子安全系统的功能安全》（IEC 61508）是具有重要意义的母标准，它包含系统安全工程（System Safety Engineering）和系统安全管理（System Safety Management）两个核心维度，其安全设计的核心思路贯穿于汽车行业的ISO 26262标准之中。

基于IEC 61508，还延伸出了其他行业的安全标准，如核能领域的IEC 61513、轨道领域的EN 50126/EN 50128/EN 50129、机械领域的IEC 62061等。在汽车领域，最广为人知的便是ISO 26262，而我国也基于此制定了GB/T 34590 - 2022《道路车辆 功能安全》标准，该标准在2022年颁布了最新版本，为国内相关从业者理解功能安全提供了便利。

汽车行业对功能安全的重视，与一系列安全事件密切相关。2010年，丰田因油门踏板故障召回数百万辆车辆，因潜在刹车问题召回超过30万辆普瑞斯；尼桑因刹车和油量表问题召回超过50万辆车辆；2009年，奥迪因传输控制问题召回超过1万辆车辆。这些事件均因功能安全失效，对车辆造成危害，也给品牌带来了巨大负面影响，促使汽车行业从IEC 61508逐步延伸出ISO 26262这一功能安全相关标准。

车辆的非预期行为是引发危害事件的重要原因，其在横向和纵向两个维度均有体现。横向可能出现非预期转向、转向相反或转向系统突然卡顿等情况；纵向则可能出现非预期加速、加速突然中断、制动过大或漏制动等问题，这些都可能导致车毁人亡的严重后果。

导致车辆非预期行为的现代汽车功能异常来源主要有四个方面。一是汽车电子电气故障，这属于功能安全范畴；二是驾驶环境干扰，如极端恶劣天气、隧道内定位丢失或光线变化等，会导致系统性能局限性下降，这属于预期功能安全问题，主要针对感知系统、辅助驾驶决策系统等，与辅助驾驶面临的动态边界不确定性相关；三是驾驶员功能误用，例如驾驶员对辅助驾驶辅助功能（如Level 2功能，该功能下动态驾驶任务仍由司机负责）存在错误理解或过度依赖，在系统出现问题时未能及时应对；四是汽车网络外部攻击，这属于信息安全领域。功能安全、预期功能安全和信息安全构成了现代汽车智能网联时代安全的三大支柱，本次重点关注的是由汽车电子电气故障导致的功能安全问题。

电子电器元器件的失效是一个概率性事件，其失效率遵循“浴盆曲线”。曲线以失效率为纵坐标，时间为横坐标，呈现出类似浴盆的形状。元器件在生产出来到交付用户的初期，故障率较高，通过加速测试可促使其尽早进入故障率较低且稳定的偶然故障区间。当使用达到一定年限后，进入耗损故障区间，失效率会再次上升，此时产品便需报废。电子电器的失效受电磁冲击（EMC）、热冲击、老化、生产制造工艺等多种因素影响。由于电子电器失效是概率性事件，功能安全无法完全规避其带来的整车危害，而是致力于将风险控制在合理范围内。

汽车对功能安全的需求，源于汽车技术的不断发展。1890年左右，汽车是纯机械器件，无任何电子部件；1910 - 1949年，扬声器、收音机等孤立电子功能出现在车上；1950 - 1979年，机械与电子开始结合，形成机电耦合；1980 - 2009年，包含嵌入式软件的ECU广泛应用；如今，自主智能控制兴起，车载人工智能逐渐成为大部分车辆的标准配置，车辆具备在多种场景下的自主控制能力。

随着电子电气系统日益复杂化，原有的TS16949质量管理体系已无法满足需求，且产品愈发复杂，许多控制单元包含安全相关功能，因此汽车对功能安全的需求愈发迫切。

众多汽车功能与安全息息相关，如自适应前照明系统，若其在夜间突然熄灭或远近光灯错误切换，可能导致驾驶员视线受阻或对向车辆驾驶员受强光干扰，引发危险；汽车防抱死制动系统、车身稳定控制系统若在需要启用时未能正常工作，会使车辆稳定性丧失，难以控制；牵引力控制系统、电子刹车力分配系统、紧急制动辅助系统、防撞系统、车道偏离警报系统、自适应助力转向系统、主动停车辅助系统、自适应悬架控制系统和电子制动系统等，在方便驾驶和控制车辆的同时，若出现非预期控制，也会带来危害。功能安全的目标就是解决这些潜在风险。

汽车标准体系的演化与电子电器器件在车辆上的应用逐步增多相契合。最初，产品开发主要遵循9001、TS16949等质量管理体系，侧重于流程本身；随着电子软件系统的增加，为应对软件可能出现的人为导致的系统性失效，引入了CMMI/SPICE等标准，强调详细的软件开发流程和产品设计；而随着电子电器器件和功能的进一步复杂化，传统标准已无法满足对安全性的高要求，ISO 26262应运而生，它在关注流程的同时，更强调针对安全性的开发，会对产品设计产生影响，如系统架构、软件架构、硬件架构乃至芯片设计都可能因此变更。若在产品开发后期再引入功能安全要求，会面临巨大困难和成本，因此最好在项目初期就导入安全体系、流程和相关资源。

ISO 26262 - 1对功能安全的定义为：不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险。要理解这一定义，需明确几个关键术语。“不合理的风险（unreasonable risk）”，风险在数学上是伤害发生的概率与严重度的乘积（Risk = P×S），由于电子电器失效是概率性事件，功能安全旨在将高风险降至合理水平，而非零风险。“功能异常（malfunctioning behavior）”指电子电器系统的失效表现，如轮速传感器失效导致轮速信号异常（报零、过大或过小等）。“危害（hazard）”则指整车层级的非预期行为，以“item”（功能安全术语中定义的整车层级功能）为考量，例如轮速信号错误导致整车车速计算异常，进而影响转向、纵向加速度等计算，产生的整车级横纵向非预期行为。危害事件是整车级非预期行为与周边场景元素结合所形成的，基于危害事件进行风险评估，得出的风险等级是功能安全工作的重要依据。功能安全的所有工作都是围绕这一定义展开的。

功能安全的方法论是一套工程化思路，旨在实现上述定义的目标。首先确定分析对象的风险等级。若风险过高，则进入功能安全开发体系，增加安全措施以降低风险至可接受水平；若风险处于可接受范围，则按标准流程进行。

增加安全措施主要通过两个手段：一是避免系统性故障，这可通过完善功能安全流程实现；二是控制随机硬件失效，需通过功能安全相关诊断及处理来达成。功能安全流程体系的搭建需以质量管理体系为基础，公司需先具备质量管理体系能力，才能有效建立功能安全开发体系。

功能安全流程体系是避免系统性失效的有效措施，为功能安全开发工作的协调和监控提供核心流程框架，包括功能安全管理、概念阶段、系统阶段、硬件阶段、软件阶段的开发以及支持流程等。

将功能安全流程体系与原有流程体系融合是关键。原有功能开发遵循V字形流程，包括产品设计、需求分析、架构设计、具体设计、测试验证、生产部署等阶段。引入功能安全后，在概念阶段需制定安全计划、进行item定义、开展危害分析和风险评估以产生功能安全需求；架构设计阶段需基于功能架构叠加安全属性，进行安全架构设计，并引入FTA、FMEA等安全分析方法；实现阶段需同步进行安全设计；测试验证阶段需开展安全测试；最后通过确认措施进行审核，确保流程和技术实施符合要求，最终出具功能安全评估报告，宣称产品符合对应功能安全等级。

随着汽车行业的发展，功能安全、预期功能安全、信息安全等多种安全要求叠加，如何将质量开发体系与这些安全标准体系融入公司层级的产品开发流程，是各企业面临的复杂且需因地制宜解决的问题，这需要时间和工程师经验的积累。

功能安全管理是支撑功能安全流程体系运转的核心，包括公司层级管理、项目层级管理以及生产、运行、服务、报废相关的安全管理。公司层级管理需培育安全文化、建立安全异常管理机制、提升人员能力；项目层级管理需根据项目特点进行裁剪、开展影响分析、分配安全管理角色和职责、编写安全档案、执行认可措施、制定安全计划等；生产、运行、服务和报废阶段的安全管理，需确保设计阶段产生的安全需求在产线得到有效管理、监控和执行，并妥善处理变更。

控制随机硬件失效需要具体的方法和设计。以电池管理系统为例，安全目标是在充电和再生过程中避免过压。基于此，衍生出功能安全需求：当检测到任何电池单体电压超出范围时，BMS应切断充电回路。进一步细化为技术安全需求：BMS中的BMU单元应每10ms获取电压信号。再到软硬件安全需求：电压信号通过CAN传输，软件需采用滚动计数器和保护值对电压信号进行保护。不同ASIL等级对故障控制的要求不同，这些安全机制的引入会影响系统、软硬件架构，因此功能安全需尽早介入项目。

另一个例子是油门踏板控制，为避免无踩踏板时的非预期加速或踩踏板时的异常加速，可采用ASIL分解思路。对于复杂的电驱系统，若直接满足ASIL C代价过高或软件难以修改，可引入低性能芯片，设计安全机制：计算合理的加速比例值，当油门踏板开合度对应的加速超出该比例值时，切断加速输出，使车辆进入不加速的安全状态。这种分解需保证要素的充分独立性，以降低各要素的ASIL等级。

FMEDA是功能安全中用于量化评估随机硬件失效风险的重要方法。它基于硬件架构的度量和随机硬件失效导致违背安全目标的评估结果，为硬件架构设计针对安全相关随机硬件失效的探测和控制的合理性提供证据。硬件架构的度量包括单点故障度量和潜伏故障度量，均以百分比表示，反映在整体安全相关失效率中单点故障和潜伏故障所占比例。随机硬件失效度量以“fit”为单位，不同ASIL等级对这些度量值有明确要求，通过FMEDA可验证硬件设计是否满足风险控制目标。

二、汽车功能安全标准框架

ISO 26262标准有其特定的适用范围，适用于量产道路车辆上包含一个或多个电气/电子系统的安全相关系统，但不包含轻便摩托车及为残疾驾驶者设计的特殊用途车辆。对于已经完成生产发布的系统，该标准也不适用。同时，由于电气电子系统导致的物理化学危害需要考虑，但直接的物理化学危害，如触电、火灾、热、辐射等不在标准考虑范围内。2018版ISO 26262将适用范围从3.5吨以下轿车扩展至道路车辆，包括商用车、摩托车等，使得功能安全在更多车型的项目中受到重视。

ISO 26262标准框架主要包含12个部分。第1部分（ISO 26262 - 1:2018）为术语，定义了汽车功能安全相关专业术语及对应缩写。2第2部分（ISO 26262 - 2:2018）是功能安全管理，涉及功能安全管理的实施及流程体系构建。第3部分（ISO 26262 - 3:2018）为概念阶段，更多与整车功能安全设计相关，主机厂关注度较高，芯片公司或Tier 1供应商了解即可。第4部分（ISO 26262 - 4:2018）至第6部分分别涉及产品开发的系统层面、硬件层面和软件层面的功能安全闭环开发。第7部分（ISO 26262 - 7:2018）关注生产、运行、服务和报废相关的功能安全。第8部分（ISO 26262 - 8:2018）是支持过程，为上述各阶段提供支持，如文档管理、工具评估等。第9部分（ISO 26262 - 9:2018）是以汽车安全完整性等级（ASIL）为导向和以安全为导向的分析，包括独立性分析、FTA、FMEA等。第10部分（ISO 26262 - 10:2018）是应用指南，对标准中的关键要点进行解释，方便工程实施理解。第11部分（ISO 26262 - 11:2018）是半导体应用指南，针对芯片层级的失效模式、安全机制等提供指导。第12部分（ISO 26262 - 12:2018）是摩托车的功能安全适用性开发。

这些部分构成了一个静态架构，其中术语是基础，功能安全管理是核心支撑，产品开发各阶段是主体，支持流程和分析方法是重要保障，指南则提供了实施指导。

安全生命周期是ISO 26262框架下的动态架构，它既包含产品的设计实现阶段，也涵盖量产后市场的安全运营、服务和报废阶段。基于ISO 26262框架建立工作流，对公司层级安全流程搭建具有重要指导意义，明确了各模块活动的先后顺序、输入输出及协同方式。

ISO 26262各章节结构大致相同，包含前言、引言、范围、引用标准、词汇术语、符合性要求、目的、总则、输入、要求和建议、产出物及附件等。前四章内容相对统一，第五章及以后各章因涉及具体开发活动，在要求和产出物等方面存在差异，需重点关注各章对具体活动的要求、所需输入及应产生的产出物，附件则提供了补充说明或样例。

在阅读标准时，需注意条款编号和符号的含义。连续编号（如1、2、3）的条款需按ASIL等级要求执行；可选编号（如2A、2B、2C）则根据ASIL等级选择执行。符号方面，双加号表示必须执行，单加号表示推荐执行，圆圈表示不做要求，横杠表示不适用。例如，若FTA和FMEA标有双加号，则在相应ASIL层级上均需执行。

三、汽车功能安全的常见术语

汽车功能安全领域有诸多专业术语，理解这些术语是掌握功能安全知识体系的基础。

汽车安全完整性等级（Automotive Safety Integrity Level）是其中极为重要的术语，共分为A、B、C、D四个等级，用于表征相关项或要素需要满足的对应等级要求和安全措施，以避免不合理风险。其中，D代表最高严格等级，A代表最低严格等级。不同的汽车功能和系统通常对应不同的ASIL等级，例如安全气囊的误触发可能对应ASIL-D，防抱死制动系统的非预期全功率制动也可能对应ASIL-D，而自适应前照明系统、牵引力控制系统等部分功能可能对应ASIL-B等级。

质量管理（Quality Management）指遵循标准的质量管理流程，如IATF16949，无需额外的安全措施。当某一功能或系统的风险评估结果处于较低水平，通过常规的质量管理即可确保其安全性时，便适用QM等级。

认可措施（Confirmation Measure）涵盖与功能安全相关的认可评审、审核或评估，是确保功能安全目标和相关需求得以实现的重要环节。其中，认可评审（Confirmation Review）的目标是确认相关交付物能够提供充分且具有说服力的证明，证明其实现了功能安全目标和相关需求，更像是对各项要求落实情况的清单式检查，其评审清单在标准的第2部分有严格定义。验证评审（Verification Review）则侧重于确认相关项或要素的技术正确性和完整性，关注所实施的安全机制和安全措施在技术层面是否合理有效，其要求融合在各章节中，作为产出物的一部分进行考量。在实际操作中，认可评审和验证评审可结合进行，共用一个模板，但需保证其独立性。

审核（Audit）主要是对安全流程的检查，确保流程的合理性和规范性。评估（Assessment）则是对相关项或要素的特性是否实现安全目标的全面检查，其输入包括认可评审、验证评审和审核的结果，同时还需审查开发过程中所做假设的正确性、依赖外部机制的合理性等，最终出具评估报告，是最为严格和全面的检查。

安全措施（Safety Measure）是用来避免或控制系统性失效、探测或控制随机硬件失效或减轻它们有害影响的活动或技术解决方案，涵盖范围较广。安全机制（Safety Mechanism） 是安全措施的一种，指为了保持预期功能或者达到、保持某种安全状态，由电气/电子系统的功能、要素或者其他技术来实施的技术解决方案，用于探测并减轻、容许故障，或者控制、避免失效，主要针对随机硬件失效的控制。

开发接口协议（DIA，Development Interface Agreement）是客户与供应商之间签订的协议，规定了与相关项或要素开发相关的各方在待开展的活动、待评审的证据或待交换的工作成果方面所承担的责任。其目的是在分布式开发模式下，确保各方负责的开发阶段能够有机衔接，共同构成完整的功能安全V字形闭环。供应协议（Supply Agreement） 则是客户和供应商之间针对生产制造阶段的协议，规定了各项活动的责任划分，以及各方要执行或交换的与相关项和要素生产相关的证据或工作成果。不过，目前也有部分公司将生产相关内容融入DIA中一并签订。

ASIL等级分解（ASIL decomposition）是为有助于实现同一安全目标，将冗余的安全要求分配给具有充分独立性的要素，以降低分配给相关要素的冗余安全要求的ASIL等级的方法。其前提是要素需具备充分的冗余性和独立性。独立性（Independence）指两个或者多个要素间不存在会导致违背安全要求的相关失效，或从组织上分隔执行某一活动的各方。

级联失效（cascading failure）是由一个根本原因（来自要素内部或外部）导致某个相关项的要素失效，进而引起相同或不同相关项的另一个或多个要素失效的现象，呈现出串行失效的特点。共因失效（common cause failure，CCF）则是由单一特定事件或根本原因直接导致一个相关项中两个或多个要素的失效，该事件或根本原因可来自所有这些要素的内部或外部，例如因输入信号错误同时导致多个模块失效。

危害分析和风险评估（HARA，hazard analysis and risk assessment）是为了避免不合理的风险，对相关项的危害事件进行识别和归类，并定义防止和减轻相关危害的安全目标和ASIL等级的方法。通过从危害事件的严重度、暴露度和可控性三个维度进行分析，完成风险评级。

安全目标（safety goal，SG）是作为整车层面危害分析和风险评估结果的最高层面的安全要求，是功能安全开发的核心导向。功能安全概念（functional safety concept，FSC）是为了实现安全目标，定义功能安全要求及相关信息，并将要求分配到架构中的要素上，以及定义要素之间必要交互的方案。技术安全概念（technical safety concept，TSC）则是技术安全要求的定义、在系统要素间的分配，以及为系统层面功能安全提供依据的相关信息，是功能安全概念在技术层面的具体体现。

故障容错时间间隔（FTTI，fault tolerant time interval）指在安全机制未被激活情况下，从相关项内部故障发生到可能发生危害事件的最短时间间隔，是安全目标的一个属性，需通过仿真等方式确定，因为实车测试可能存在危险。故障探测时间间隔（FDTI，fault detection time interval）是从故障发生到被探测到的时间间隔。

故障响应时间间隔（FRTI，fault reaction time interval）是从故障被探测到到系统做出响应的时间间隔。故障处理时间间隔（FHTI，fault handling time interval）等于FDTI与FRTI之和，且必须小于FTTI，以确保在危害事件发生前，系统能将故障处理并迁移至安全状态。在芯片层面，要在毫秒级甚至更短时间内完成故障探测和响应，对芯片设计提出了很高要求。

四、汽车功能安全行业发展现状

从国内情况来看，功能安全已被纳入汽车行业的重要管理要求。2021年4月，工信部发布《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿），将智能网联汽车准入和配套标准的制定作为政府工作优先点，明确功能安全及预期功能安全正式纳入汽车企业及汽车产品准入管理要求。2021年7月，工信部《关于加强智能网联汽车生产企业及产品准入管理的意见》进一步明确，智能网联汽车产品应满足功能安全、预期功能安全和网络安全等过程保障要求，企业生产具有辅助驾驶功能的汽车产品的，也需满足相关要求，以避免车辆在设计运行条件内发生可预见且可预防的安全事故。

国内功能安全法规正形成以GB/T 34590系列为基础的庞大体系，该系列标准涵盖道路车辆功能安全的术语、管理、概念阶段、产品开发各层面（系统、硬件、软件）、生产运行、支持过程、安全分析及指南等内容，被认证强制性标准引用。同时，该体系不断扩展，覆盖了新能源整车、动力电池、电池管理系统、驱动电机、制动、转向等多个领域，如GB 18384 - 2020《电动汽车安全要求》、GB 38031 - 2020《电动汽车用动力蓄电池安全要求》、GB/T 39086 - 2020《电动汽车用电池管理系统功能安全要求及试验方法》等，且逐步被纳入认证强制管理。目前，国内外主流整车厂都已将功能安全要求列入整车开发流程，并将其作为关键零部件供应商准入的必要条件，这也促使上下游的软件、硬件及芯片供应商不断提升自身的功能安全开发能力和产品的安全性能。

在国际上，功能安全的法规和要求也在不断完善。2020年6月25日，联合国欧洲经济委员会世界车辆法规协调论坛通过了有关自动车道保持系统（ALKS）的型式批准统一规定（UN - R157法规），这是首个针对SAE L3级别辅助驾驶功能决议的具有约束力的国际法规，已于2021年1月22日正式生效。此外，制动与行驶系工作组负责的ECE R13及ECE R79等法规，均将功能安全要求写入标准附录中。

北美地区的主机厂和供应商也在积极推进功能安全体系建设，如着手建立自己的功能安全体系（SAE J2980），严厉的召回制度成为推动供应商主动满足ISO 26262要求的强大动力，各大主机厂也逐步要求供应商满足功能安全相关标准。日本的供应商由于面向全球市场（包括欧洲），紧跟行业潮流，着手建立自己的标准体系和通用性工作流程（如JAMA），到2016、2017年，主流的OEM已要求供应商全面符合ISO 26262。

总体而言，功能安全已成为汽车行业发展的长期趋势。在国内，随着行业生态的不断成熟，工程师的专业能力也在持续提升。对于汽车行业的从业者和企业而言，构建和完善功能安全体系，提升功能安全开发能力，是适应行业发展、参与国际竞争的必然要求。

打赏 点赞