汽车电子电气系统的功能安全标准 ISO26262（深度介绍）

本文首先介绍功能安全的概念及 ISO26262的由来，然后解读 ISO 26262 的内容和关键概念，最后分析 ISO26262的应用方法。 

功能安全是指避免由系统功能性故障导致的 不可接受的风险。功能安全关注系统故障后的行 为，而不是系统的原有功能或性能。以采用电子 节气门的发动机管理系统为例，加速踏板位置传 感器信号是发动机输出转矩主要决定因素，若该 传感器发生故障使其指示位置大于实际位置，则 可能导致发动机输出转矩过大，造成车辆发生非 驾驶员期望的加速，这是发动机管理系统的一个 功能安全风险。从设计上采取措施，使加速踏板 传感器故障发生时发动机转矩仍然可控，则提高 了发动机管理系统的安全性。

20 世纪 90 年代，德国、美国相继颁布了功能安全相关标准( DINV 19250 和 ISA S 84. 01) ，在 此基础之上，国际电工协会( IEC) 于 2000 年颁布 了关于电子、电气和可编程电子系统 ( E/E/PE)的功能安全国际标准 IEC 61508。IEC 61508 一经颁布就得到了广泛采用，在它的基础上，各个工业应用领域的标准也陆续出台。

然而，起源于过程工业领域的 IEC61508 并不完全适用于汽车工业，例如: 它没有考虑汽车工业 的分布式开发模式; 它定义了一个与汽车工业不同的生命周期( 测试在产品发布后进行); 它的量化要求( 如失效率) 没有考虑大规模批量生产的情况。随着安全相关的电子电气系统在汽车上的广泛应用，汽车工业对电子电气系统功能安全标准的需求也越来越迫切。因此，国际标准化组织( ISO) 在 IEC 61508 的基础上，制定了专门针对汽车电子电气系统的功能安全标准，即 ISO26262。 

ISO26262 为汽车电子电气系统的整个生命周期中与功能安全相关的工作流程和管理流程提 供了指导。在 ISO26262 中，定义了汽车安全生命周期，汽车安全完整性等级( ASIL) 两个关键概念，对这两个关键概念的理解是解读 ISO26262 的基础。

图 1 展示了 ISO26262 中定义的汽车安全生命周期，包含了从概念设计、产品开发到批产后各阶段的主要安全活动。

功能安全的概念设计必须与整个系统的概念 设计同步进行。在概念设计阶段，要基于系统定义和系统初步架构，分析可能存在的功能安全风险并评估风险的等级。然后根据功能安全风险定义安全目标和针对每个安全目标的功能安全概 念。

在产品开发阶段，ISO26262 按汽车工业中常用的 V 型开发流程定义相关安全活动: V 型的左 侧是技术安全需求(功能安全概念的技术实现途径) 的制定、系统设计; V 型的右侧是系统集成、安全确认和发布。硬件和软件的开发也遵循相似的小 V 型开发流程。

在批产之后的阶段，需要提供必要的文档及 方法，以保证在生产、售后服务和报废等环节中，安全目标不被破坏。同时，需要监控售后产品，发现有违背安全目标的案例要采取相应措施。

2. 2 汽车安全完整性等级( ASIL)
IEC 61508 中通过失效概率的方式定义了安全完整性等级( SIL) ，但在汽车领域应用实践中，只有随机硬件失效可以通过统计数据评估失效概率，软件失效难以量化评估。因此，ISO 26262 中根据汽车行业的特点定义了 ASIL。

ASIL 在概念设计阶段通过对功能安全风险的评估中得到。如果系统的功能安全风险越大，对应的安全要求就越高，则具有更高等级的 ASIL。ASIL 分为 A、B、C、D 4 个级别，ASIL D 为最高汽车安全完整性等级，对功能安全的要求最高。

ISO 26262 中定义的 ASIL 使用 3 个参数进行评估，分别是: 危险对驾驶员或其他交通参与人员造成伤害的严重程度 S，危险所在工况的发生概率E，危险涉及的驾驶员和其他交通参与人员及时采取控制行动避免特定伤害的能力C。S 分为 0~ 3级，S0 代表无伤害，S3 代表危及生命的重伤或致命伤; E 分为 0~ 4 级，E0 代表工况不可能发生，E4代表工况是常见的; C 分为 0~ 3 级，C0 代表完全可控，C3 代表非常难于控制。对于每一个识别到的危险，按表 1 评估风险等级( 即汽车安全完整性 等级) ，其中 QM 表示与安全无关。 

ISO26262 为以上 3 个参数的评定提供了指 导，下面以发动机管理系统为例进行说明。首先，识别发动机管理系统的可能故障及其影响: 发动 机管理系统的一个可能故障是控制发动机输出过大的转矩，其影响是造成非驾驶员期望的车辆加速; 其次，确定已识别故障可导致危险的工况，例如: 工况为车辆高速转弯、接近失稳; 最后，按ISO26262 的指导分别评定 S、E、C 级别: 上述工况下 加速，将导致车辆失稳并与其他车辆或路边设施相撞，可能造成人员死亡，S 评为 3; 上述工况的发 生概率相对较低，E 可评为 2; 车辆失稳后，驾驶员几乎无法进行有效控制避免伤害，C 可评为 3; 按 表 1，ASIL 为 B( 仅为示例，不代表标准明确要求或实际工程应用) 。

系统的 ASIL 等级越高，ISO 26262 对设计方法、安全技术、测试方法以及需要达到的技术指标的要求越严格，开发流程和工作产品的审核和确认也越严格。

ISO26262 为功能安全相关的开发提供了方法论，将保证汽车电子电气系统的安全性，减少安全事故的发生，产生巨大的社会效益; 与此同时，安全相关的投诉和召回事件的减少也将为汽车企业和供应商带来经济效益。然而，ISO 26262 涉及汽车电子电气系统的整个安全生命周期及其管理 过程，满足该标准对汽车企业及供应商来说必将是巨大的挑战。为满足 ISO26262，必须在公司安 全文化、工作流程制定、产品设计与开发等方面进行持续的改进。

在公司组织内部建立和保持安全文化是 ISO26262 标准的要求，也是促进功能安全有效实现的前提条件。在具有良好安全文化的公司中: 安全 应具有最高优先级; 奖励系统应支持和鼓励功能安全的有效成果，处罚为取捷径而危及安全和质量的行为。

3. 2 工作流程制定
ISO26262 对一个完整的汽车安全生命周期定义了安全活动要求。同时，ISO 26262 标准中规定组织内部应建立、执行和保持特定的流程，以满足标准的各项要求。

在一个公司内部为每一个标准单独设立一个 流程是不现实的，一个可行的方案是将包括 ISO26262 在内的所有标准融合为公司内部流程，工程师仅需要按照内部流程工作，即可满足所有标准。 

举例来讲，安全计划是 ISO26262 要求的重要流程步骤和工作产品，在公司内部流程中，安全计划可以不是一个独立的文档，而是标准项目计划的一部分，可以在已有的质量评审中增加相关问题，对其进行检查。

在产品设计和开发阶段即采取措施，尽可能减少甚至避免系统性失效和随机硬件失效，是提高功能 安全最有效和最经济的方法，也是使产品满足 ISO26262 的必要条件。

系统性失效往往由产品设计缺陷导致。在设计中应用演绎的和归纳的分析方法，是及早识别 并避 免 潜在 系 统 性 失 效 行 之 有 效 的 途 径。ISO26262要求所有功能安全相关的设计均需采用 归纳分析方法，如失效模式和影响分析( FMEA) ;并要求具有 ASILC 和 D 的功能安全相关设计还 需采用演绎分析方法，如故障树分析( FTA) 。除此之外，重用久经实践验证并受信任的设计、安全架构和标准接口等，也是避免系统性失效的有效途径。ISO 26262 鼓励重用受信任的设计原则，并规定对于具有 ASILD 的系统，弃用受信任的设计原则的决定需要论证。

随机硬件失效是指由系统中某一个或几个元 器件的随机故障导致的失效，是功能安全风险另一个主要来源。ISO 26262 制定了量化指标，如表2 、 3 ，用 以 评 价 系 统 在 此 方 面 的 安 全 性 。 产品 硬 件 设计必须达到要求的指标，才能满足 ISO26262 要求。 

硬件架构指标主要用于衡量硬件架构的合理 性。其中单点故障指标等于除单点故障和残余故障之外的故障占所有故障的比率。以前文所述发 

动机管理系统为例，假设对于加速踏板传感器没有任何诊断和安全机制，加速踏板传感器信号线与电源短接将被视为加速踏板完全踩下，直接导 致车辆发生非驾驶员期望的加速。如此，该故障即成为一个单点故障，将导致低的单点故障指标，可能无法达到 ASILB 的要求。提高单点故障指标的一个方法是设计诊断功能，例如设计加速踏 板传感器信号线对电源短路的诊断。由于诊断功能具有一定的覆盖率，在某些工况下可能不能检查到目标故障，该单点故障未被诊断功能覆盖的部分将成为残余故障。因此，设计诊断功能可以降低单点故障指标，但作用有限。降低单点故障指标的另外一种方法是设计冗余概念，如设计两 个独立的加速踏板传感器，使其信号可相互校验。如此，两个传感器同时发生故障才可能导致失效发生，单点故障转化为多点故障( 此处为两点故 障)，单点故障指标得到了提高。

潜伏故障指标等于安全故障和非潜伏故障占 多点故障的比率。在上例中，如果诊断功能故障，可能不会被检测到或被驾驶员察觉，在这种情况下如果发生短路，将导致安全风险。该诊断功能的故障可视为潜伏故障。与单点故障指标相同，设计 冗 余 、诊断 等 安 全 机 制 ，可减 少 潜 伏 故 障 ，提高潜伏故障指标。

高的硬件架构指标表明系统具有好的安全架 构，但并不一定代表系统足够安全。如上例中的冗余概念，如果两只传感器的失效率都很高，那么系统仍可能无法满足表 3 中随机硬件失效率指标 的要求。ISO 26262 规定随机失效率考虑单点故障、残余故障和双点故障，在硬件元件本身失效率的基础上，考虑诊断和监控技术覆盖率，可得出该随机失效率指标。因此，降低该指标需要结合低失效率的硬件和高诊断覆盖率的安全机制。

ISO26262 是针对汽车电子电气系统的功能安全标准，是 IEC61508 在汽车行业中的应用。该标准定义了完整的汽车安全生命周期，提供了一 套方法用于评估汽车安全完整性等级 ASIL，并基 于 ASIL 定义了用于实现安全目标的安全活动要求。作为 ISO 组织发布的国际标准，其实施将规范汽车电子电气系统的功能安全相关开发，为保 障汽车安全提供帮助，将产生相应的社会和经济效益。

同时，ISO26262 的实施也带来巨大的挑战:整车厂商和供应商要在公司安全文化、工作流程制定和产品设计与开发等方面进行持续改进，以 满足 ISO26262 要求，提高产品的安全性与竞争力。