一、功能安全基本概念

功能安全并非汽車行業(yè)所獨(dú)有，其起源可追溯至1950年，美國在阿特拉斯洲際彈道導(dǎo)彈發(fā)展過程中，18個(gè)月內(nèi)發(fā)生了4次導(dǎo)彈在發(fā)射臺(tái)測(cè)試時(shí)的爆炸事件。1967年阿波羅1號(hào)發(fā)生火災(zāi)，犧牲了3名宇航員，此后系統(tǒng)工程和系統(tǒng)安全逐步建立起來。

功能安全領(lǐng)域有諸多重要標(biāo)準(zhǔn)，其中《電氣/電子/可編程電子安全系統(tǒng)的功能安全》（IEC 61508）是具有重要意義的母標(biāo)準(zhǔn)，它包含系統(tǒng)安全工程（System Safety Engineering）和系統(tǒng)安全管理（System Safety Management）兩個(gè)核心維度，其安全設(shè)計(jì)的核心思路貫穿于汽車行業(yè)的ISO 26262標(biāo)準(zhǔn)之中。

基于IEC 61508，還延伸出了其他行業(yè)的安全標(biāo)準(zhǔn)，如核能領(lǐng)域的IEC 61513、軌道領(lǐng)域的EN 50126/EN 50128/EN 50129、機(jī)械領(lǐng)域的IEC 62061等。在汽車領(lǐng)域，最廣為人知的便是ISO 26262，而我國也基于此制定了GB/T 34590 - 2022《道路車輛 功能安全》標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)在2022年頒布了最新版本，為國內(nèi)相關(guān)從業(yè)者理解功能安全提供了便利。

汽車行業(yè)對(duì)功能安全的重視，與一系列安全事件密切相關(guān)。2010年，豐田因油門踏板故障召回?cái)?shù)百萬輛車輛，因潛在剎車問題召回超過30萬輛普瑞斯；尼桑因剎車和油量表問題召回超過50萬輛車輛；2009年，奧迪因傳輸控制問題召回超過1萬輛車輛。這些事件均因功能安全失效，對(duì)車輛造成危害，也給品牌帶來了巨大負(fù)面影響，促使汽車行業(yè)從IEC 61508逐步延伸出ISO 26262這一功能安全相關(guān)標(biāo)準(zhǔn)。

車輛的非預(yù)期行為是引發(fā)危害事件的重要原因，其在橫向和縱向兩個(gè)維度均有體現(xiàn)。橫向可能出現(xiàn)非預(yù)期轉(zhuǎn)向、轉(zhuǎn)向相反或轉(zhuǎn)向系統(tǒng)突然卡頓等情況；縱向則可能出現(xiàn)非預(yù)期加速、加速突然中斷、制動(dòng)過大或漏制動(dòng)等問題，這些都可能導(dǎo)致車毀人亡的嚴(yán)重后果。

導(dǎo)致車輛非預(yù)期行為的現(xiàn)代汽車功能異常來源主要有四個(gè)方面。一是汽車電子電氣故障，這屬于功能安全范疇；二是駕駛環(huán)境干擾，如極端惡劣天氣、隧道內(nèi)定位丟失或光線變化等，會(huì)導(dǎo)致系統(tǒng)性能局限性下降，這屬于預(yù)期功能安全問題，主要針對(duì)感知系統(tǒng)、輔助駕駛決策系統(tǒng)等，與輔助駕駛面臨的動(dòng)態(tài)邊界不確定性相關(guān)；三是駕駛員功能誤用，例如駕駛員對(duì)輔助駕駛輔助功能（如Level 2功能，該功能下動(dòng)態(tài)駕駛?cè)蝿?wù)仍由司機(jī)負(fù)責(zé)）存在錯(cuò)誤理解或過度依賴，在系統(tǒng)出現(xiàn)問題時(shí)未能及時(shí)應(yīng)對(duì)；四是汽車網(wǎng)絡(luò)外部攻擊，這屬于信息安全領(lǐng)域。功能安全、預(yù)期功能安全和信息安全構(gòu)成了現(xiàn)代汽車時(shí)代安全的三大支柱，本次重點(diǎn)關(guān)注的是由汽車電子電氣故障導(dǎo)致的功能安全問題。

電子電器元器件的失效是一個(gè)概率性事件，其失效率遵循“浴盆曲線”。曲線以失效率為縱坐標(biāo)，時(shí)間為橫坐標(biāo)，呈現(xiàn)出類似浴盆的形狀。元器件在生產(chǎn)出來到交付用戶的初期，故障率較高，通過加速測(cè)試可促使其盡早進(jìn)入故障率較低且穩(wěn)定的偶然故障區(qū)間。當(dāng)使用達(dá)到一定年限后，進(jìn)入耗損故障區(qū)間，失效率會(huì)再次上升，此時(shí)產(chǎn)品便需報(bào)廢。電子電器的失效受電磁沖擊（EMC）、熱沖擊、老化、生產(chǎn)制造工藝等多種因素影響。由于電子電器失效是概率性事件，功能安全無法完全規(guī)避其帶來的整車危害，而是致力于將風(fēng)險(xiǎn)控制在合理范圍內(nèi)。

汽車對(duì)功能安全的需求，源于汽車技術(shù)的不斷發(fā)展。1890年左右，汽車是純機(jī)械器件，無任何電子部件；1910 - 1949年，揚(yáng)聲器、收音機(jī)等孤立電子功能出現(xiàn)在車上；1950 - 1979年，機(jī)械與電子開始結(jié)合，形成機(jī)電耦合；1980 - 2009年，包含嵌入式軟件的ECU廣泛應(yīng)用；如今，自主智能控制興起，車載人工智能逐漸成為大部分車輛的標(biāo)準(zhǔn)配置，車輛具備在多種場(chǎng)景下的自主控制能力。

隨著電子電氣系統(tǒng)日益復(fù)雜化，原有的TS16949質(zhì)量管理體系已無法滿足需求，且產(chǎn)品愈發(fā)復(fù)雜，許多控制單元包含安全相關(guān)功能，因此汽車對(duì)功能安全的需求愈發(fā)迫切。

眾多汽車功能與安全息息相關(guān)，如自適應(yīng)前照明系統(tǒng)，若其在夜間突然熄滅或遠(yuǎn)近光燈錯(cuò)誤切換，可能導(dǎo)致駕駛員視線受阻或?qū)ο蜍囕v駕駛員受強(qiáng)光干擾，引發(fā)危險(xiǎn)；汽車防抱死制動(dòng)系統(tǒng)、車身穩(wěn)定控制系統(tǒng)若在需要啟用時(shí)未能正常工作，會(huì)使車輛穩(wěn)定性喪失，難以控制；牽引力控制系統(tǒng)、電子剎車力分配系統(tǒng)、緊急制動(dòng)輔助系統(tǒng)、防撞系統(tǒng)、車道偏離警報(bào)系統(tǒng)、自適應(yīng)助力轉(zhuǎn)向系統(tǒng)、主動(dòng)停車輔助系統(tǒng)、自適應(yīng)懸架控制系統(tǒng)和電子制動(dòng)系統(tǒng)等，在方便駕駛和控制車輛的同時(shí)，若出現(xiàn)非預(yù)期控制，也會(huì)帶來危害。功能安全的目標(biāo)就是解決這些潛在風(fēng)險(xiǎn)。

汽車標(biāo)準(zhǔn)體系的演化與電子電器器件在車輛上的應(yīng)用逐步增多相契合。最初，產(chǎn)品開發(fā)主要遵循9001、TS16949等質(zhì)量管理體系，側(cè)重于流程本身；隨著電子軟件系統(tǒng)的增加，為應(yīng)對(duì)軟件可能出現(xiàn)的人為導(dǎo)致的系統(tǒng)性失效，引入了CMMI/SPICE等標(biāo)準(zhǔn)，強(qiáng)調(diào)詳細(xì)的軟件開發(fā)流程和產(chǎn)品設(shè)計(jì)；而隨著電子電器器件和功能的進(jìn)一步復(fù)雜化，傳統(tǒng)標(biāo)準(zhǔn)已無法滿足對(duì)安全性的高要求，ISO 26262應(yīng)運(yùn)而生，它在關(guān)注流程的同時(shí)，更強(qiáng)調(diào)針對(duì)安全性的開發(fā)，會(huì)對(duì)產(chǎn)品設(shè)計(jì)產(chǎn)生影響，如系統(tǒng)架構(gòu)、軟件架構(gòu)、硬件架構(gòu)乃至芯片設(shè)計(jì)都可能因此變更。若在產(chǎn)品開發(fā)后期再引入功能安全要求，會(huì)面臨巨大困難和成本，因此最好在項(xiàng)目初期就導(dǎo)入安全體系、流程和相關(guān)資源。

ISO 26262 - 1對(duì)功能安全的定義為：不存在由電氣/電子系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。要理解這一定義，需明確幾個(gè)關(guān)鍵術(shù)語。“不合理的風(fēng)險(xiǎn)（unreasonable risk）”，風(fēng)險(xiǎn)在數(shù)學(xué)上是傷害發(fā)生的概率與嚴(yán)重度的乘積（Risk = P×S），由于電子電器失效是概率性事件，功能安全旨在將高風(fēng)險(xiǎn)降至合理水平，而非零風(fēng)險(xiǎn)。“功能異常（malfunctioning behavior）”指電子電器系統(tǒng)的失效表現(xiàn)，如輪速傳感器失效導(dǎo)致輪速信號(hào)異常（報(bào)零、過大或過小等）。“危害（hazard）”則指整車層級(jí)的非預(yù)期行為，以“item”（功能安全術(shù)語中定義的整車層級(jí)功能）為考量，例如輪速信號(hào)錯(cuò)誤導(dǎo)致整車車速計(jì)算異常，進(jìn)而影響轉(zhuǎn)向、縱向加速度等計(jì)算，產(chǎn)生的整車級(jí)橫縱向非預(yù)期行為。危害事件是整車級(jí)非預(yù)期行為與周邊場(chǎng)景元素結(jié)合所形成的，基于危害事件進(jìn)行風(fēng)險(xiǎn)評(píng)估，得出的風(fēng)險(xiǎn)等級(jí)是功能安全工作的重要依據(jù)。功能安全的所有工作都是圍繞這一定義展開的。

功能安全的方法論是一套工程化思路，旨在實(shí)現(xiàn)上述定義的目標(biāo)。首先確定分析對(duì)象的風(fēng)險(xiǎn)等級(jí)。若風(fēng)險(xiǎn)過高，則進(jìn)入功能安全開發(fā)體系，增加安全措施以降低風(fēng)險(xiǎn)至可接受水平；若風(fēng)險(xiǎn)處于可接受范圍，則按標(biāo)準(zhǔn)流程進(jìn)行。

增加安全措施主要通過兩個(gè)手段：一是避免系統(tǒng)性故障，這可通過完善功能安全流程實(shí)現(xiàn)；二是控制隨機(jī)硬件失效，需通過功能安全相關(guān)診斷及處理來達(dá)成。功能安全流程體系的搭建需以質(zhì)量管理體系為基礎(chǔ)，公司需先具備質(zhì)量管理體系能力，才能有效建立功能安全開發(fā)體系。

功能安全流程體系是避免系統(tǒng)性失效的有效措施，為功能安全開發(fā)工作的協(xié)調(diào)和監(jiān)控提供核心流程框架，包括功能安全管理、概念階段、系統(tǒng)階段、硬件階段、軟件階段的開發(fā)以及支持流程等。

將功能安全流程體系與原有流程體系融合是關(guān)鍵。原有功能開發(fā)遵循V字形流程，包括產(chǎn)品設(shè)計(jì)、需求分析、架構(gòu)設(shè)計(jì)、具體設(shè)計(jì)、測(cè)試驗(yàn)證、生產(chǎn)部署等階段。引入功能安全后，在概念階段需制定安全計(jì)劃、進(jìn)行item定義、開展危害分析和風(fēng)險(xiǎn)評(píng)估以產(chǎn)生功能安全需求；架構(gòu)設(shè)計(jì)階段需基于功能架構(gòu)疊加安全屬性，進(jìn)行安全架構(gòu)設(shè)計(jì)，并引入FTA、FMEA等安全分析方法；實(shí)現(xiàn)階段需同步進(jìn)行安全設(shè)計(jì)；測(cè)試驗(yàn)證階段需開展安全測(cè)試；最后通過確認(rèn)措施進(jìn)行審核，確保流程和技術(shù)實(shí)施符合要求，最終出具功能安全評(píng)估報(bào)告，宣稱產(chǎn)品符合對(duì)應(yīng)功能安全等級(jí)。

隨著汽車行業(yè)的發(fā)展，功能安全、預(yù)期功能安全、信息安全等多種安全要求疊加，如何將質(zhì)量開發(fā)體系與這些安全標(biāo)準(zhǔn)體系融入公司層級(jí)的產(chǎn)品開發(fā)流程，是各企業(yè)面臨的復(fù)雜且需因地制宜解決的問題，這需要時(shí)間和工程師經(jīng)驗(yàn)的積累。

功能安全管理是支撐功能安全流程體系運(yùn)轉(zhuǎn)的核心，包括公司層級(jí)管理、項(xiàng)目層級(jí)管理以及生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢相關(guān)的安全管理。公司層級(jí)管理需培育安全文化、建立安全異常管理機(jī)制、提升人員能力；項(xiàng)目層級(jí)管理需根據(jù)項(xiàng)目特點(diǎn)進(jìn)行裁剪、開展影響分析、分配安全管理角色和職責(zé)、編寫安全檔案、執(zhí)行認(rèn)可措施、制定安全計(jì)劃等；生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢階段的安全管理，需確保設(shè)計(jì)階段產(chǎn)生的安全需求在產(chǎn)線得到有效管理、監(jiān)控和執(zhí)行，并妥善處理變更。

控制隨機(jī)硬件失效需要具體的方法和設(shè)計(jì)。以電池管理系統(tǒng)為例，安全目標(biāo)是在充電和再生過程中避免過壓。基于此，衍生出功能安全需求：當(dāng)檢測(cè)到任何電池單體電壓超出范圍時(shí)，BMS應(yīng)切斷充電回路。進(jìn)一步細(xì)化為技術(shù)安全需求：BMS中的BMU單元應(yīng)每10ms獲取電壓信號(hào)。再到軟硬件安全需求：電壓信號(hào)通過CAN傳輸，軟件需采用滾動(dòng)計(jì)數(shù)器和保護(hù)值對(duì)電壓信號(hào)進(jìn)行保護(hù)。不同ASIL等級(jí)對(duì)故障控制的要求不同，這些安全機(jī)制的引入會(huì)影響系統(tǒng)、軟硬件架構(gòu)，因此功能安全需盡早介入項(xiàng)目。

另一個(gè)例子是油門踏板控制，為避免無踩踏板時(shí)的非預(yù)期加速或踩踏板時(shí)的異常加速，可采用ASIL分解思路。對(duì)于復(fù)雜的電驅(qū)系統(tǒng)，若直接滿足ASIL C代價(jià)過高或軟件難以修改，可引入低性能芯片，設(shè)計(jì)安全機(jī)制：計(jì)算合理的加速比例值，當(dāng)油門踏板開合度對(duì)應(yīng)的加速超出該比例值時(shí)，切斷加速輸出，使車輛進(jìn)入不加速的安全狀態(tài)。這種分解需保證要素的充分獨(dú)立性，以降低各要素的ASIL等級(jí)。

FMEDA是功能安全中用于量化評(píng)估隨機(jī)硬件失效風(fēng)險(xiǎn)的重要方法。它基于硬件架構(gòu)的度量和隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估結(jié)果，為硬件架構(gòu)設(shè)計(jì)針對(duì)安全相關(guān)隨機(jī)硬件失效的探測(cè)和控制的合理性提供證據(jù)。硬件架構(gòu)的度量包括單點(diǎn)故障度量和潛伏故障度量，均以百分比表示，反映在整體安全相關(guān)失效率中單點(diǎn)故障和潛伏故障所占比例。隨機(jī)硬件失效度量以“fit”為單位，不同ASIL等級(jí)對(duì)這些度量值有明確要求，通過FMEDA可驗(yàn)證硬件設(shè)計(jì)是否滿足風(fēng)險(xiǎn)控制目標(biāo)。

二、汽車功能安全標(biāo)準(zhǔn)框架

ISO 26262標(biāo)準(zhǔn)有其特定的適用范圍，適用于量產(chǎn)道路車輛上包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的安全相關(guān)系統(tǒng)，但不包含輕便摩托車及為殘疾駕駛者設(shè)計(jì)的特殊用途車輛。對(duì)于已經(jīng)完成生產(chǎn)發(fā)布的系統(tǒng)，該標(biāo)準(zhǔn)也不適用。同時(shí)，由于電氣電子系統(tǒng)導(dǎo)致的物理化學(xué)危害需要考慮，但直接的物理化學(xué)危害，如觸電、火災(zāi)、熱、輻射等不在標(biāo)準(zhǔn)考慮范圍內(nèi)。2018版ISO 26262將適用范圍從3.5噸以下轎車擴(kuò)展至道路車輛，包括商用車、摩托車等，使得功能安全在更多車型的項(xiàng)目中受到重視。

ISO 26262標(biāo)準(zhǔn)框架主要包含12個(gè)部分。第1部分（ISO 26262 - 1:2018）為術(shù)語，定義了汽車功能安全相關(guān)專業(yè)術(shù)語及對(duì)應(yīng)縮寫。2第2部分（ISO 26262 - 2:2018）是功能安全管理，涉及功能安全管理的實(shí)施及流程體系構(gòu)建。第3部分（ISO 26262 - 3:2018）為概念階段，更多與整車功能安全設(shè)計(jì)相關(guān)，主機(jī)廠關(guān)注度較高，芯片公司或Tier 1供應(yīng)商了解即可。第4部分（ISO 26262 - 4:2018）至第6部分分別涉及產(chǎn)品開發(fā)的系統(tǒng)層面、硬件層面和軟件層面的功能安全閉環(huán)開發(fā)。第7部分（ISO 26262 - 7:2018）關(guān)注生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的功能安全。第8部分（ISO 26262 - 8:2018）是支持過程，為上述各階段提供支持，如文檔管理、工具評(píng)估等。第9部分（ISO 26262 - 9:2018）是以汽車安全完整性等級(jí)（ASIL）為導(dǎo)向和以安全為導(dǎo)向的分析，包括獨(dú)立性分析、FTA、FMEA等。第10部分（ISO 26262 - 10:2018）是應(yīng)用指南，對(duì)標(biāo)準(zhǔn)中的關(guān)鍵要點(diǎn)進(jìn)行解釋，方便工程實(shí)施理解。第11部分（ISO 26262 - 11:2018）是半導(dǎo)體應(yīng)用指南，針對(duì)芯片層級(jí)的失效模式、安全機(jī)制等提供指導(dǎo)。第12部分（ISO 26262 - 12:2018）是摩托車的功能安全適用性開發(fā)。

這些部分構(gòu)成了一個(gè)靜態(tài)架構(gòu)，其中術(shù)語是基礎(chǔ)，功能安全管理是核心支撐，產(chǎn)品開發(fā)各階段是主體，支持流程和分析方法是重要保障，指南則提供了實(shí)施指導(dǎo)。

安全生命周期是ISO 26262框架下的動(dòng)態(tài)架構(gòu)，它既包含產(chǎn)品的設(shè)計(jì)實(shí)現(xiàn)階段，也涵蓋量產(chǎn)后市場(chǎng)的安全運(yùn)營、服務(wù)和報(bào)廢階段。基于ISO 26262框架建立工作流，對(duì)公司層級(jí)安全流程搭建具有重要指導(dǎo)意義，明確了各模塊活動(dòng)的先后順序、輸入輸出及協(xié)同方式。

ISO 26262各章節(jié)結(jié)構(gòu)大致相同，包含前言、引言、范圍、引用標(biāo)準(zhǔn)、詞匯術(shù)語、符合性要求、目的、總則、輸入、要求和建議、產(chǎn)出物及附件等。前四章內(nèi)容相對(duì)統(tǒng)一，第五章及以后各章因涉及具體開發(fā)活動(dòng)，在要求和產(chǎn)出物等方面存在差異，需重點(diǎn)關(guān)注各章對(duì)具體活動(dòng)的要求、所需輸入及應(yīng)產(chǎn)生的產(chǎn)出物，附件則提供了補(bǔ)充說明或樣例。

在閱讀標(biāo)準(zhǔn)時(shí)，需注意條款編號(hào)和符號(hào)的含義。連續(xù)編號(hào)（如1、2、3）的條款需按ASIL等級(jí)要求執(zhí)行；可選編號(hào)（如2A、2B、2C）則根據(jù)ASIL等級(jí)選擇執(zhí)行。符號(hào)方面，雙加號(hào)表示必須執(zhí)行，單加號(hào)表示推薦執(zhí)行，圓圈表示不做要求，橫杠表示不適用。例如，若FTA和FMEA標(biāo)有雙加號(hào)，則在相應(yīng)ASIL層級(jí)上均需執(zhí)行。

三、汽車功能安全的常見術(shù)語

汽車功能安全領(lǐng)域有諸多專業(yè)術(shù)語，理解這些術(shù)語是掌握功能安全知識(shí)體系的基礎(chǔ)。

汽車安全完整性等級(jí)（Automotive Safety Integrity Level）是其中極為重要的術(shù)語，共分為A、B、C、D四個(gè)等級(jí)，用于表征相關(guān)項(xiàng)或要素需要滿足的對(duì)應(yīng)等級(jí)要求和安全措施，以避免不合理風(fēng)險(xiǎn)。其中，D代表最高嚴(yán)格等級(jí)，A代表最低嚴(yán)格等級(jí)。不同的汽車功能和系統(tǒng)通常對(duì)應(yīng)不同的ASIL等級(jí)，例如安全氣囊的誤觸發(fā)可能對(duì)應(yīng)ASIL-D，防抱死制動(dòng)系統(tǒng)的非預(yù)期全功率制動(dòng)也可能對(duì)應(yīng)ASIL-D，而自適應(yīng)前照明系統(tǒng)、牽引力控制系統(tǒng)等部分功能可能對(duì)應(yīng)ASIL-B等級(jí)。

質(zhì)量管理（Quality Management）指遵循標(biāo)準(zhǔn)的質(zhì)量管理流程，如IATF16949，無需額外的安全措施。當(dāng)某一功能或系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果處于較低水平，通過常規(guī)的質(zhì)量管理即可確保其安全性時(shí)，便適用QM等級(jí)。

認(rèn)可措施（Confirmation Measure）涵蓋與功能安全相關(guān)的認(rèn)可評(píng)審、審核或評(píng)估，是確保功能安全目標(biāo)和相關(guān)需求得以實(shí)現(xiàn)的重要環(huán)節(jié)。其中，認(rèn)可評(píng)審（Confirmation Review）的目標(biāo)是確認(rèn)相關(guān)交付物能夠提供充分且具有說服力的證明，證明其實(shí)現(xiàn)了功能安全目標(biāo)和相關(guān)需求，更像是對(duì)各項(xiàng)要求落實(shí)情況的清單式檢查，其評(píng)審清單在標(biāo)準(zhǔn)的第2部分有嚴(yán)格定義。驗(yàn)證評(píng)審（Verification Review）則側(cè)重于確認(rèn)相關(guān)項(xiàng)或要素的技術(shù)正確性和完整性，關(guān)注所實(shí)施的安全機(jī)制和安全措施在技術(shù)層面是否合理有效，其要求融合在各章節(jié)中，作為產(chǎn)出物的一部分進(jìn)行考量。在實(shí)際操作中，認(rèn)可評(píng)審和驗(yàn)證評(píng)審可結(jié)合進(jìn)行，共用一個(gè)模板，但需保證其獨(dú)立性。

審核（Audit）主要是對(duì)安全流程的檢查，確保流程的合理性和規(guī)范性。評(píng)估（Assessment）則是對(duì)相關(guān)項(xiàng)或要素的特性是否實(shí)現(xiàn)安全目標(biāo)的全面檢查，其輸入包括認(rèn)可評(píng)審、驗(yàn)證評(píng)審和審核的結(jié)果，同時(shí)還需審查開發(fā)過程中所做假設(shè)的正確性、依賴外部機(jī)制的合理性等，最終出具評(píng)估報(bào)告，是最為嚴(yán)格和全面的檢查。

安全措施（Safety Measure）是用來避免或控制系統(tǒng)性失效、探測(cè)或控制隨機(jī)硬件失效或減輕它們有害影響的活動(dòng)或技術(shù)解決方案，涵蓋范圍較廣。安全機(jī)制（Safety Mechanism） 是安全措施的一種，指為了保持預(yù)期功能或者達(dá)到、保持某種安全狀態(tài)，由電氣/電子系統(tǒng)的功能、要素或者其他技術(shù)來實(shí)施的技術(shù)解決方案，用于探測(cè)并減輕、容許故障，或者控制、避免失效，主要針對(duì)隨機(jī)硬件失效的控制。

開發(fā)接口協(xié)議（DIA，Development Interface Agreement）是客戶與供應(yīng)商之間簽訂的協(xié)議，規(guī)定了與相關(guān)項(xiàng)或要素開發(fā)相關(guān)的各方在待開展的活動(dòng)、待評(píng)審的證據(jù)或待交換的工作成果方面所承擔(dān)的責(zé)任。其目的是在分布式開發(fā)模式下，確保各方負(fù)責(zé)的開發(fā)階段能夠有機(jī)銜接，共同構(gòu)成完整的功能安全V字形閉環(huán)。供應(yīng)協(xié)議（Supply Agreement） 則是客戶和供應(yīng)商之間針對(duì)生產(chǎn)制造階段的協(xié)議，規(guī)定了各項(xiàng)活動(dòng)的責(zé)任劃分，以及各方要執(zhí)行或交換的與相關(guān)項(xiàng)和要素生產(chǎn)相關(guān)的證據(jù)或工作成果。不過，目前也有部分公司將生產(chǎn)相關(guān)內(nèi)容融入DIA中一并簽訂。

ASIL等級(jí)分解（ASIL decomposition）是為有助于實(shí)現(xiàn)同一安全目標(biāo)，將冗余的安全要求分配給具有充分獨(dú)立性的要素，以降低分配給相關(guān)要素的冗余安全要求的ASIL等級(jí)的方法。其前提是要素需具備充分的冗余性和獨(dú)立性。獨(dú)立性（Independence）指兩個(gè)或者多個(gè)要素間不存在會(huì)導(dǎo)致違背安全要求的相關(guān)失效，或從組織上分隔執(zhí)行某一活動(dòng)的各方。

級(jí)聯(lián)失效（cascading failure）是由一個(gè)根本原因（來自要素內(nèi)部或外部）導(dǎo)致某個(gè)相關(guān)項(xiàng)的要素失效，進(jìn)而引起相同或不同相關(guān)項(xiàng)的另一個(gè)或多個(gè)要素失效的現(xiàn)象，呈現(xiàn)出串行失效的特點(diǎn)。共因失效（common cause failure，CCF）則是由單一特定事件或根本原因直接導(dǎo)致一個(gè)相關(guān)項(xiàng)中兩個(gè)或多個(gè)要素的失效，該事件或根本原因可來自所有這些要素的內(nèi)部或外部，例如因輸入信號(hào)錯(cuò)誤同時(shí)導(dǎo)致多個(gè)模塊失效。

危害分析和風(fēng)險(xiǎn)評(píng)估（HARA，hazard analysis and risk assessment）是為了避免不合理的風(fēng)險(xiǎn)，對(duì)相關(guān)項(xiàng)的危害事件進(jìn)行識(shí)別和歸類，并定義防止和減輕相關(guān)危害的安全目標(biāo)和ASIL等級(jí)的方法。通過從危害事件的嚴(yán)重度、暴露度和可控性三個(gè)維度進(jìn)行分析，完成風(fēng)險(xiǎn)評(píng)級(jí)。

安全目標(biāo)（safety goal，SG）是作為整車層面危害分析和風(fēng)險(xiǎn)評(píng)估結(jié)果的最高層面的安全要求，是功能安全開發(fā)的核心導(dǎo)向。功能安全概念（functional safety concept，F(xiàn)SC）是為了實(shí)現(xiàn)安全目標(biāo)，定義功能安全要求及相關(guān)信息，并將要求分配到架構(gòu)中的要素上，以及定義要素之間必要交互的方案。技術(shù)安全概念（technical safety concept，TSC）則是技術(shù)安全要求的定義、在系統(tǒng)要素間的分配，以及為系統(tǒng)層面功能安全提供依據(jù)的相關(guān)信息，是功能安全概念在技術(shù)層面的具體體現(xiàn)。

故障容錯(cuò)時(shí)間間隔（FTTI，fault tolerant time interval）指在安全機(jī)制未被激活情況下，從相關(guān)項(xiàng)內(nèi)部故障發(fā)生到可能發(fā)生危害事件的最短時(shí)間間隔，是安全目標(biāo)的一個(gè)屬性，需通過仿真等方式確定，因?yàn)閷?shí)車測(cè)試可能存在危險(xiǎn)。故障探測(cè)時(shí)間間隔（FDTI，fault detection time interval）是從故障發(fā)生到被探測(cè)到的時(shí)間間隔。

故障響應(yīng)時(shí)間間隔（FRTI，fault reaction time interval）是從故障被探測(cè)到到系統(tǒng)做出響應(yīng)的時(shí)間間隔。故障處理時(shí)間間隔（FHTI，fault handling time interval）等于FDTI與FRTI之和，且必須小于FTTI，以確保在危害事件發(fā)生前，系統(tǒng)能將故障處理并遷移至安全狀態(tài)。在芯片層面，要在毫秒級(jí)甚至更短時(shí)間內(nèi)完成故障探測(cè)和響應(yīng)，對(duì)芯片設(shè)計(jì)提出了很高要求。

四、汽車功能安全行業(yè)發(fā)展現(xiàn)狀

從國內(nèi)情況來看，功能安全已被納入汽車行業(yè)的重要管理要求。2021年4月，工信部發(fā)布《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南（試行）》（征求意見稿），將智能網(wǎng)聯(lián)汽車準(zhǔn)入和配套標(biāo)準(zhǔn)的制定作為政府工作優(yōu)先點(diǎn)，明確功能安全及預(yù)期功能安全正式納入汽車企業(yè)及汽車產(chǎn)品準(zhǔn)入管理要求。2021年7月，工信部《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》進(jìn)一步明確，智能網(wǎng)聯(lián)汽車產(chǎn)品應(yīng)滿足功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全等過程保障要求，企業(yè)生產(chǎn)具有輔助駕駛功能的汽車產(chǎn)品的，也需滿足相關(guān)要求，以避免車輛在設(shè)計(jì)運(yùn)行條件內(nèi)發(fā)生可預(yù)見且可預(yù)防的安全事故。

國內(nèi)功能安全法規(guī)正形成以GB/T 34590系列為基礎(chǔ)的龐大體系，該系列標(biāo)準(zhǔn)涵蓋道路車輛功能安全的術(shù)語、管理、概念階段、產(chǎn)品開發(fā)各層面（系統(tǒng)、硬件、軟件）、生產(chǎn)運(yùn)行、支持過程、安全分析及指南等內(nèi)容，被認(rèn)證強(qiáng)制性標(biāo)準(zhǔn)引用。同時(shí)，該體系不斷擴(kuò)展，覆蓋了新能源整車、動(dòng)力電池、電池管理系統(tǒng)、驅(qū)動(dòng)電機(jī)、制動(dòng)、轉(zhuǎn)向等多個(gè)領(lǐng)域，如GB 18384 - 2020《安全要求》、GB 38031 - 2020《電動(dòng)汽車用動(dòng)力蓄電池安全要求》、GB/T 39086 - 2020《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》等，且逐步被納入認(rèn)證強(qiáng)制管理。目前，國內(nèi)外主流整車廠都已將功能安全要求列入整車開發(fā)流程，并將其作為關(guān)鍵零部件供應(yīng)商準(zhǔn)入的必要條件，這也促使上下游的軟件、硬件及芯片供應(yīng)商不斷提升自身的功能安全開發(fā)能力和產(chǎn)品的安全性能。

在國際上，功能安全的法規(guī)和要求也在不斷完善。2020年6月25日，聯(lián)合國歐洲經(jīng)濟(jì)委員會(huì)世界車輛法規(guī)協(xié)調(diào)論壇通過了有關(guān)自動(dòng)車道保持系統(tǒng)（ALKS）的型式批準(zhǔn)統(tǒng)一規(guī)定（UN - R157法規(guī)），這是首個(gè)針對(duì)SAE L3級(jí)別輔助駕駛功能決議的具有約束力的國際法規(guī)，已于2021年1月22日正式生效。此外，制動(dòng)與行駛系工作組負(fù)責(zé)的ECE R13及ECE R79等法規(guī)，均將功能安全要求寫入標(biāo)準(zhǔn)附錄中。

北美地區(qū)的主機(jī)廠和供應(yīng)商也在積極推進(jìn)功能安全體系建設(shè)，如著手建立自己的功能安全體系（SAE J2980），嚴(yán)厲的召回制度成為推動(dòng)供應(yīng)商主動(dòng)滿足ISO 26262要求的強(qiáng)大動(dòng)力，各大主機(jī)廠也逐步要求供應(yīng)商滿足功能安全相關(guān)標(biāo)準(zhǔn)。日本的供應(yīng)商由于面向全球市場(chǎng)（包括歐洲），緊跟行業(yè)潮流，著手建立自己的標(biāo)準(zhǔn)體系和通用性工作流程（如JAMA），到2016、2017年，主流的OEM已要求供應(yīng)商全面符合ISO 26262。

總體而言，功能安全已成為汽車行業(yè)發(fā)展的長期趨勢(shì)。在國內(nèi)，隨著行業(yè)生態(tài)的不斷成熟，工程師的專業(yè)能力也在持續(xù)提升。對(duì)于汽車行業(yè)的從業(yè)者和企業(yè)而言，構(gòu)建和完善功能安全體系，提升功能安全開發(fā)能力，是適應(yīng)行業(yè)發(fā)展、參與國際競(jìng)爭(zhēng)的必然要求。