焦点热议:【深度探讨功能安全系列】汽车功能安全的前世今生（1）

深度探讨汽车功能安全是基于《汽车电子功能安全实战应用》书籍的扩展和介绍。第一期是关于前世今生，主要会聚焦汽车功能安全是如何发展起来的以及未来汽车功能安全有哪些热点方向。

追历史，从系统安全到功能安全，从IEC61508到ISO26262

(资料图片)

看到过很多关于汽车功能安全发展历程的介绍，大多数时候都会涉及到IEC61508到ISO26262的这个标准转变过程。但从事一个工程领域，更重要的是要理解学科发展便于在遇到新问题或者复杂问题的时候能够有更全面的解决方案。

这篇文章，发展历程我会从系统安全工程到功能安全的学科领域转化以及IEC61508到ISO26262的标准演化两个方面展开：

先谈一下系统安全（System Safety），系统安全是运用科学和工程技术手段辨识、消除或控制系统中的危险源，包括系统危险源辨识、危险性评价、危险源控制等内容。即在系统的初步设计开始进行安全分析和危险控制活动，并且在随后的生产、试验、使用、废弃处理的各个阶段中继续进行。

这门学科是伴随着第二次世界大战之后的快速经济发展恢复中各种复杂化工业系统建设而引发的，在这个阶段原子能、石油化学、航空航天等领域不约而同的都开展了相关研究，系统安全作为安全工程的一种独特的方法，在这些行业悄然兴起。

1950年，美国在阿特拉斯发展洲际弹道导弹时，18个月内就有4个导弹在发射台测试时发生了爆炸事件，空军对前期事故造成的损失进行调查，结果发现大部分事故发生的原因都可以追溯到设计、生产和管理上的缺陷，以系统问题来对待安全问题的重要性逐渐明朗。1967年阿波罗1号发生火灾牺牲了3名宇航员后，美国航空航天局委任在代顿海滩市的通用电气公司同其他公司一起制定系统安全政策和程序，这些后来都成为了民航飞行安全的行为准则。杰罗姆莱德勒先生受聘为美国航空航天局首席系统安全专家，在他的领导下，为了航天安全，建立了一个更为广泛的系统安全项目。因此，系统工程和系统安全就慢慢地发展起来了(系统安全是系统工程的一个分支学科)。

实施系统安全需要进行两类活动：系统安全工程（System Safety Engineering）、系统安全管理（System Safety Management），系统安全工程偏向于工程技术开发，系统安全管理偏向于体系化运营管理。

相应的危险分析技术：

看到这里，是不是各位小伙伴变得熟悉起来了，FMEA、FTA、HAZOP等功能安全熟知的方法出现了。这一时期系统安全领域发展的最早也是最成熟的可以说是以美国军方航空航天的“MIL-STD-882E”及“DO-178C/254”为代表的系统安全工程及管理标准。我们可以到60s开始就已经持续应用及迭代。

功能安全是系统安全学科中的一个分支，最早期的IEC61508标准（工业功能安全）的构建也是系统安全经验积累的结果。

Wiki百科中” Functional safety”页面中的描述

转眼回到汽车功能安全自身的发展史，就要延续到上面的IEC61508开始。2000 年5 月，国际电工委员会正式发布了IEC 61508 标准，名为《电气/ 电子/ 可编程电子安全系统的功能安全》。IEC 61508 标准定义的安全生命周期包含16个阶段，粗略地可以分为3 块：1—5 阶段描述了分析过程；6—13 阶段描述了实现过程；14—16 阶段描述了运营过程。所有阶段关注的均是系统安全功能。IEC 61508 由7 个部分组成：1—3 部分为标准需求（规范性的）；4—7 部分为开发过程指导和示例。IEC 61508 主要针对由电气/ 电子/ 可编程电子部件构成系统或者起安全作用的电气/ 电子/ 可编程电子系统(E/E/PE)，建立一个覆盖整体安全生命周期基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统( 如传感器、通信系统、控制装置、执行器等) 中元件与安全系统组合的问题。IEC 61508 标准的核心是风险概念和安全功能。风险是指危害事件频率（或可能性）以及事件后果严重性。通过应用包括E/E/PES和/ 或其他技术构成的安全功能，使风险降低到可以容忍的水平。

ISO 26262 是从IEC 61508 中派生出来的，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准。ISO 26262 为汽车安全提供了一个生命周期（管理、开发、生产、经营、运行、报废）理念，并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程（包括需求定义、设计、实施、集成、验证、确认和配置），于2011 年发布了第1 版，2018 年发布了第2 版。NHTSA的文章Assessment of Safety Standards for Automotive Electronic Control Systems中也针对早期的系统安全标准及汽车功能安全标准开展比较，对比中可以看到技术的演进中，汽车功能安全还是在大系统安全理念中重点扩展了汽车属性（感兴趣的小伙伴可以参考文献找链接或者微信小编）。

简短做一个总结：

60年代的经济快速发展推动大规模复杂系统工程建设，与安全相关的航空航天、石油化工等领域的事故催生了系统安全学科，建立了基本的系统安全工程及管理思维、技术标准。工业功能安全在这个大背景下逐步发展，并且形成IEC61508这个基础性安全标准，随后衍生出汽车功能安全ISO26262、铁路功能安全EN50128等行业标准。汽车功能安全标准ISO26262于2011年发布第 一版，2018年更新为第二版。

放眼未来，智能网联新技术涌入，汽车功能安全面临全新挑战

汽车的智能网联化是科学技术进步与用户需求的共同作用助力推动的，是包括交通、城市、生活等巨大的产业变革。整个汽车产业及周边产业都面临巨大变革和再分工，这其中既牵扯到传统OEM、Tier1、Tier2等，同时也涉及到软件、硬件芯片以及智能网联通讯行业等一系列企业。新四化、软件定义汽车等都是汽车的智能网联化发展过程中的建设重点及方向。

智能化、网联化的核心技术发展也同样对汽车功能安全提出全新挑战。

01

预 期功能安全的国家级战略高度及技术全面性发展

SOTIF在ISO/PAS 21448中的官方定义为：“Safety Of The Intended Functionality (SOTIF): absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or from reasonably foreseeable misuse by persons.”

这个规范用于降低由于系统的预期功能不足（设计不足或性能局限）或可预见的人员误操作导致的不可接受风险，如下图展示的功能安全与预期功能安全关联关系。

2020年专访李骏院士提到，99％自动驾驶事故源于预期功能安全。“当前，国内汽车行业对预期功能安全的重视程度远远不够，很多车企也没有自己的安全白皮书。可以说，国内车企的安全策略、安全技术、安全保障、安全文化体系全都没有搭建起来，媒体应该为此大声疾呼！”李骏院士提到。也由此拉开了国家级战略性建设。

以CAICV-SOTIF工作组为代表的预期功能安全工作组经过几年的努力，已经取得了非常不错的成绩，2022年也发布了《智能汽车感知系统预期功能安全评价体系与改进措施研究报告》及开展多项标准研究。主编也很荣幸能够参与其中作为感知领域的专家。

同样，OEM也有令人很惊喜的进展，就在本月早期，长城汽车正式通过ISO 21448 预期功能安全流程认证，获得UL Solutions在全球范围内颁发的首张ISO 21448道路车辆预期功能安全标准认证证书。

随着L2.x及Robotaxi、Robotruck的普及，相信预期功能安全会是智能网联汽车领域未来3~5年非常需要突破的技术方向，包括分析、测评、认证及相关的工具链，相信ISO21448也会随着正式版发布开启新一轮的迭代优化。

0 2

软件定义汽车，AI算法/操作系统OS要应对Safety

根据麦肯锡测算，2030年车企软件驱动收入占比将会从2010年的7%增长到30%，对于车企端，通过售卖智能驾驶相关软件，将会成为车企新的盈利增长点。从整车厂的工程师结构来看，软件地位日益吃重，根据罗兰贝格、德国工程师协会等披露数据，以德国车企为例，2017-2018年汽车软件工程师规模增长56%，而机械工程师规模大幅下降21%。 毋庸置疑，随着软件占比的增加，软件的开发安全性及运营安全性都是需要重点解决的。

机器学习（ML）是对算法和统计模型的科学研究，计算机系统使用这些算法和统计模型来执行特定任务，无须使用明确的指令，而是依靠模式和推理。它被视为人工智能的子集。机器学习算法基于样本数据（称为“训练数据”）建立数学模型，以便进行预测或决策而无需明确地编程以执行任务。在自动驾驶领域，机器学习被广泛地应用于物体检测。可以看到，相对于软件代码的白盒分析和测试，神经网络的中间过程对于安全工程师而言是黑盒和无法理解的，这对于代码级的安全分析和测试是非常困难的。而且对于神经网络输出的结果是可能性的百分比（例如80%），这对于安全分析是缺乏严谨的。

操作系统，随着自动驾驶的发展，Linux还占据一席之地。 Linux是一款开源的操作系统，同时由于Linux是宏内核架构，驱动、内存分配、调度都是内核完成的，对于汽车电子开发者而言，并不能完成安全分析中的控制流、数据流分析，也很难开展测试。针对Linux 的车载应用目前也有两个方向在开展，一个是Linux 的车规化及安全性优化，另一个是QNX。

ISO TC22/SC32的专家们显然也是意识到相关问题，也开展以上多个方向的研究；在软件方面，ISO/AWI PAS 8926 Functional safety — Qualification of pre-existing software products for safety-related applications用来针对既有软件产品的审核评估；在AI方面，ISO/AWI PAS 8800 Road Vehicles – Safety and Artificial Intelligence用来解决汽车引入的AI相关算法技术的安全性，This document defines safety-related properties and risk factors impacting insufficient performance andmalfunctioning behaviour of Artificial Intelligence (AI) within a road vehicle context

对于操作系统，目前还处在持续解决阶段，有autosar的混合兼顾方向、有AGL/ELISA的改良方向、有QNX方向、也有全新系统。相信多操作系统共存及多技术方向安全性研究会依据占据主流。

0 3

数字化与汽车功能安全擦出火花，期待化学反应

数字化时代也就是我们常说的运用计算机将我们生活中的信息转化为0和1的过程，是指信息领域的数字技术向人类生活各个领域全面推进的过程。其中通信领域包括、大众传播领域内的传播技术手段以数字制式全面替代传统模拟制式的转变过程。数字化时代是一个伟大的时代尤其是在我们的传媒领域通过计算机存储、处理和传播的我们的信息得到了最大速度的推广和传播，数字技术已经成为了当代各类传媒的核心技术和普遍技术。

数字化时代的关键特征是“数据驱动决策 ”，对于工业化技术而言“数字化诊断、数字化控制 ”会更进一步。功能安全作为汽车领域的新兴技术管理领域，相对其他业务方向整体的数据化进程是缓慢的，无论是技术应用上还是体系化管理上。

技术领域上，ISO工作组也有相关的研究正在进行，即ISO/TR 9839 Road vehicles — Application of predictive maintenance to hardware with ISO 26262-5，这个是技术数字化手段解决硬件失效预测的标准。

管理方面上，相信汽车功能安全会涌现出更多的数字化工具用来支撑运营管理，涵盖到供应链上下游及产品开发过程。

0 4

全方位体系融合是必然趋势

新四化的技术直接引入功能安全、网络安全、预期功能安全等相关分风险，如何有效将安全体系同企业的产品开发、运营管理、质量管理体系结合是挑战之一，另一个方面在于售后的安全响应，“安全运营”体系。

除了安全体系的融合之外，同产品开发流程（GVDP/APQP）、软件质量体系（ASPICE/CMMI）、质量管理体系（IATF16949）、信息安全相关体系（ISO27001/TISAX）等都是非常重要的。

简短做一个总结：

智能网联的快速发展引入新技术的同时也对安全性提出了更高的要求，对于从事汽车功能安全的人员是全面利好。新的技术方向及新业务带来的新体系是未来的汽车功能安全主要发展方向。

2023年底预计会开始的ISO26262 3rd version也许会着手回答这个问题。

参考文献：

图书《汽车电子功能安全实战应用》，赵鑫，李明勋

https://en.wikipedia.org/wiki/Functional_safety

https://en.wikipedia.org/wiki/IEC_61508

https://baijiahao.baidu.com/s？id=1697021391737002283&wfr=spider&for=pc

https://www.docin.com/p-64490226.html

https://paris.utdallas.edu/reu/document/01-Publications/04-Software-Safety-Standards-TSA.pdf

https://www.nhtsa.gov/sites/nhtsa.gov/files/812285_electronicsreliabilityreport.pdf

预期功能安全国际标准ISO21448及中国实践白皮书，汽标委中国专家组