1. 前言

近年來，在汽車領域，隨著自動駕駛技術的持續(xù)創(chuàng)新并迅速發(fā)展，越來越需要有助于在緊急情況下防患于未然的功能（功能安全）、以及將功能安全標準化的 ISO 26262 等標準。特別是在技術創(chuàng)新卓著的中國，ISO 26262（功能安全）已被確立為以“GB/T”開頭的推薦性國家標準，ISO 26262 的第一版中文譯本“GB/T 34590”已于2017 年 10 月發(fā)布，并且已于 2018 年 5 月起開始施行。

在這種背景下，不僅汽車制造商（OEM），越來越多的汽車電子產品制造商（Tier1）也紛紛加速了功能安全支持，從全球范圍來看，實現(xiàn)功能安全已經是必經之路。

本文將從半導體制造商的角度，在對功能安全和 ISO 26262 的關注度日益增加，并需要采取行動積極應對的背景下，介紹功能安全和ISO 26262是什么，以及它們如何影響最新的汽車領域。

2. 什么是功能安全？

首先，讓我們重新思考一下什么是“功能安全”。

2-1. “安全”的定義

當突然被問及“請您解釋一下安全是怎樣的狀態(tài)”時，可能很多人都難以立即作答。順便提一下，在安全問題相關的基礎導則--國際基本安全標準第一版 ISO/IEC Guide 51 中，對安全的定義是“安全 ＝ 免于不可接受的風險”。這是一句雙重否定句，可能在中文里很難立即理解，但是在英文中被描述為“Freedom from risk which is not tolerable”，可能更容易理解。但是，無論如何也很難用一句話來解釋清楚“安全”到底是什么，因此我們先來解釋一下安全的定義。

“安全”的反義詞是“危險”。那么，“危險”是怎樣的狀態(tài)呢？有時會將“危險”狀態(tài)稱為“有風險”。通常，“風險”有大有小。因此，通過針對“危險”（即高風險）采取措施并使風險降低到能夠接受范圍，“危險”狀態(tài)就會變?yōu)椤鞍踩睜顟B(tài)。換句話說，“安全”狀態(tài)也可以稱之為“沒有不可接受的高風險的狀態(tài)”?，F(xiàn)在能夠理解開頭的“安全 ＝ 免于不可接受的風險”這句話了吧。

2-2. “本質安全”與“功能安全”的比較

那么，“功能安全”是什么意思？在介紹“功能安全”時，經常引用的術語是“本質安全”。在此我們想通過與“本質安全”的比較來介紹“功能安全”?！氨举|安全”是一種通過消除危險原因來確保安全的方法。而“功能安全”是通過功能方面的努力將風險降低到可接受水平來確保安全的方法。

例如，以道路和鐵路交叉口為例，讓我們來思考一下應該采取什么措施來避免汽車和火車之間發(fā)生碰撞（圖 1）。

為了消除道路和鐵路交叉的危險原因，將道路和鐵路分開，建立交橋來避免碰撞的做法就是基于“本質安全”的思路。按照“本質安全”的思路，采用立交橋的做法，可以從物理上消除汽車與火車之間的碰撞。而“功能安全”的方法則可能是通過設置鐵路道口來避免碰撞。在道路與鐵路的交叉處設置警報器和欄桿，在鐵路上安裝傳感器，當傳感器檢測到火車接近時，警報器響起，并降下欄桿。當另外的傳感器檢測到火車已經通過時，警報器停止，并升起欄木機。雖然道路與鐵路在物理上仍然交叉，但可通過設置鐵路道口的方法將把汽車和火車相撞的風險降低到可接受的水平。這就是“功能安全”的思路。

圖 1. 本質安全與功能安全的思路

如前面的案例所示，“本質安全”可以確保絕對的安全性，但是通常會很昂貴。相比之下“功能安全”很多時候只要相對較低的成本就可實現(xiàn)，但在設計時必須考慮到當附加的功能發(fā)生故障時應如何確保安全。在上述“功能安全”的案例中，如果傳感器損壞，那么即使火車接近時，警報器和欄桿也不會工作。這樣，就會立即變?yōu)椤拔ｋU”狀態(tài)，因此就需要一種即使傳感器損壞也不會引發(fā)危險狀態(tài)的設計。例如，對傳感器增加自我診斷電路，設計為如診斷出自身有問題就會降下欄桿。這樣即使發(fā)生故障也會導向安全的方向，這就是“故障安全（Fail Safe）”的思路。或者需要進行“冗余設計”，比如設置雙重傳感器，即使一個傳感器損壞，另一個傳感器也會工作，在此期間可以對損壞的傳感器進行修復。順便提一下，作為雙重保險的案例，還有鐵路道口警報器的紅燈、汽車的前燈／尾燈等。這些不僅是出于外觀設計的考慮，而且還有雙重保險的考慮，即使一個燈滅了也能確保最低限度的安全。

2-3 如何實現(xiàn)功能安全

為了避免嚴重事故的發(fā)生，需要基于“人會犯錯”、“東西會損壞”的考慮來進行制造，因而有了“功能安全”。要想實現(xiàn)功能安全，需要防止人受到設計對象的動作或行為的危害，而要想實現(xiàn)這一目標，就需要同時考慮到“系統(tǒng)性故障”和“隨機性故障”這兩方面。

“系統(tǒng)性故障”是指在設計時就隱含的潛在故障，通常稱為“Bug(漏洞，缺陷)”。要想防止系統(tǒng)性故障，就需要構建一個不會引起設計漏洞的設計流程。具體而言，需要從根據(jù)要求制定規(guī)格開始，明確每一個流程（如設計、驗證、試制、評估等），并在各階段進行評審。而且還需要管理各階段制作的表單類文件，確?？梢噪S時取用。而“隨機性故障”則是指制造后發(fā)生的故障。由于不能完全預防隨機性故障，因此有必要設立一種安全機制，以確保即使發(fā)生這種故障也不會對人造成危害。

2-4 半導體的功能安全

隨著以車載和工業(yè)設備為中心的技術創(chuàng)新，電子產品變得越來越高難度，越來越復雜，半導體的作用也越來越大，對半導體采取功能安全措施的要求也越來越高。

通常，半導體產品是在硅電路板上形成電路、并被稱為“模塑”的黑色樹脂固封，因此內部是看不見的。然而，在這種小黑塊中卻包含著成千上萬的晶體管和電阻等元件，因此，電路和模塊結構等也很復雜。為了應對這些半導體產品的故障，需要從開始設計之前的規(guī)格制定階段就納入適當?shù)墓δ馨踩拍?。因?#xff0c;半導體本身也需要同時考慮到對應系統(tǒng)性故障和隨機性故障的“功能安全”支持。

3. 與 ISO 26262 相關的標準

我們已經對“功能安全”的概念有所了解，下面來概述介紹本文的主題--功能安全標準“ISO 26262”。另外，請記住功能安全標準不僅僅局限于汽車領域，在其他領域也有各種功能安全標準。

3-1 主要的標準

在詳細介紹“ISO 26262”標準之前，先來介紹一下主要標準。首先，“ISO”是指 International Organization for Standardization（國際標準化組織），是總部位于瑞士日內瓦的非政府機構，旨在制定并推廣國際標準（IS：International Standard）。其中 ISO 9001（質量管理體系）和 ISO 14001（環(huán)境管理體系）是非常有名的標準，估計很多人可能都聽說過。

其次是“IATF 16949”，汽車行業(yè)的國際質量管理體系標準。順便提一下，IATF 標準是由國際汽車工業(yè)特別工作組制定的?！癐ATF 16949”是在“ISO 9001:2015”的基礎上添加了汽車工業(yè)相關的必要事項，因此必須與 ISO 9001 一起使用。“ISO 26262”是以已經存在“IATF 16949”這樣的質量管理體系為前提制定的。

3-2? ISO 26262 的由來及其他功能安全標準

前面提到的 ISO 26262 是汽車電氣／電子系統(tǒng)相關的“功能安全”標準，是基于 IEC 61508（也被稱為功能安全的母標準）制定的（圖 2）。

IEC 61508 是由 IEC（International Electrotechnical Commission：國際電工委員會）制定的電氣、電子、可編程電子系統(tǒng)的功能安全國際標準，對象為工廠、發(fā)電廠、機械、鐵路、醫(yī)療設備、家用電器等。ISO 26262 是遵循 IEC 61508 的基本思路和框架，并根據(jù)汽車的電氣／電子系統(tǒng)進行修改而成的。

圖 2. 功能安全的標準體系

順便提一下，在其他行業(yè)中也有很多基于 IEC 61508 的功能安全標準。具有代表性的標準有：流程工業(yè)（IEC 61511）、工業(yè)機械（IEC 62061）、機械類的控制系統(tǒng)（IEC13849）、可調速電力驅動系統(tǒng)（IEC61800-5-2）、家用電器（IEC 60335-1）、核能（IEC 61513）、鐵路（IEC 62278）、機器人設備（ISO13482）、醫(yī)療設備（IEC 60601）、電梯（EN81）、爐用電氣設備（EN50156-1）等。

應該指出的是，雖然 ISO 26262 旨在實現(xiàn)功能安全，但它并不是法律。因此，不遵守 ISO 26262 標準并不違法。但是，汽車制造商不會購買不符合標準的產品。汽車制造商通過根據(jù) ISO 26262 設計電氣／電子系統(tǒng)來證明能夠確保汽車的安全。而且，設計應確保即使發(fā)生了電氣／電子系統(tǒng)故障，也不會造成人身（不僅包括駕駛員和乘客，還包括行人等）傷害。

3-3 如何滿足 ISO 26262 標準？

要想滿足 ISO 26262 標準，就需要從“流程支持”和“產品支持”這兩方面來對應。這種標準中所說的“流程”是指包括輸入、處理、輸出在內的整個流程，“流程支持”是指在包括開發(fā)步驟在內的整個開發(fā)流程中進行對應。要求通過完善公司內部規(guī)定和開發(fā)標準等，來建立開發(fā)時所需的文件和評審等開發(fā)流程。

“產品支持”是指在產品功能方面的對應，在設計的產品中設置一種安全機制，能夠在產品的哪里發(fā)生了故障時檢測出該故障，并進行某種處理，從而避免危險。接下來再稍微具體一些思考一下流程支持和產品支持。

前面介紹過，從“人會犯錯”的角度看，設計時隱含的潛在故障（＝即 Bug，缺陷，漏洞）是系統(tǒng)性故障，作為避免這種系統(tǒng)性故障的對策，就需要流程支持。要想在設計時不存在潛在缺陷，應規(guī)定開發(fā)時所需的文件和評審等，并將其作為文檔保留以用作證據(jù)。所有的軟件故障都是系統(tǒng)性故障。

另外，前面也介紹過，從“東西會損壞”的角度看，將市場（或工廠）發(fā)生的故障歸為隨機性故障（或隨機性硬件故障），作為應對這種隨機性故障的對策，就需要產品支持。在設計時需要考慮到各種余量以避免產品損壞。從功能安全的角度出發(fā)，要求即使發(fā)生故障也不會造成人身傷害。

因此，需要設立一種安全機制，以確保能夠檢測出故障并針對不同的故障做出適當?shù)奶幚?。在設計初期的規(guī)格探討階段，需要研究并探討每種功能可能會發(fā)生的故障，以及針對該故障應該設立什么樣的安全機制。產品支持是指為了對應隨機性故障從而增加安全機制。

3-4 設計者的產品責任

可能您沒有聽說過“產品責任（Product Liability）”吧。產品責任是指由于產品的缺陷，造成了人身傷害或財產損失，甚至危及人的生命安全時，應該由產品的生產者承擔賠償責任。設計者需要證明自己設計的產品不存在設計缺陷（即 Bug），因此設計者需要保留設計依據(jù)和設計時的假設等各種證據(jù)，因此應對產品責任也可以被視為流程支持的一部分。

汽車功能安全標準“ISO 26262”導入實踐（下），請持續(xù)關注我

總結

以上是生活随笔為你收集整理的汽车功能安全标准“ISO 26262”导入实践（上）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。