标签: ISO 26262

当汽车从机械时代迈入智能时代，电子电气系统的复杂度呈指数级增长——L3级自动驾驶系统包含超千万行代码，线控制动系统的信号链路涉及20余个电子控制单元（ECU）。在此技术背景下，ISO 26262-2018作为汽车功能安全的“黄金法则”，通过全生命周期管理框架，为智能汽车建立了从芯片到整车的安全防护体系。本文将结合自动驾驶、车联网等前沿场景，探讨这一标准的框架逻辑与实践要点。 一、标准逻辑及框架逻辑 安全生命周期管理： 标准覆盖汽车设计至报废的全生命周期，各阶段均配置相应活动与任务，以确保功能安全需求达成。 ASIL等级评估： ASIL确定基于危害的严重性、暴露概率及可控性三项要素，通过综合分析潜在危险情况，明确对乘客、行人及其他道路使用者的最坏影响，据此为不同风险等级的系统或组件制定对应安全要求。 基于风险的安全需求工程： 通过HARA方法识别产品潜在危害并评估风险，依据评估结果确立整体安全目标，再将安全目标分解为功能安全需求与非功能安全需求，确保需求覆盖全部安全相关维度，且可经测试、验证追溯至上层安全目标。 二、核心框架：全生命周期的安全闭环 标准确立了贯穿汽车安全全生命周期的管理理念，其覆盖范围包含管理、开发、生产、运行、服务及报废等关键阶段，并在各阶段配置相应管理要求。该标准框架以功能安全管理为基础，围绕概念阶段、产品研发（涵盖系统级、硬件级、软件级）、生产与操作规范、支持过程、基于ASIL的安全分析及配套导则等维度展开技术架构。下文将系统解析标准核心章节的技术内涵。 1. 术语体系：构建安全领域的 “世界语” 这一部分在2018版中进一步提升了术语和定义的准确性及清晰度。术语体系如同在标准解读前开启的理解之门，通过统一行业专业术语，为后续标准内容的理解和应用奠定了基础。 实践价值：某自动驾驶公司在开发自动泊车系统时，借助标准术语体系明确区分“传感器误检导致的失效”（归属预期功能安全范畴）与“控制器软件跑飞”（归属传统功能安全范畴），有效规避需求定义歧义。 2.功能安全管理：从 “流程管控” 到 “数据驱动” 功能安全管理阶段犹如驾驶汽车时的方向盘，该阶段是对整个汽车电子电气系统功能安全方向的把控。通过把相关安全指标的量化，并依据量化指标制定较为精准的决策。 组织架构与权责分配：需明确权责边界，杜绝因职责不清导致的安全管理盲区； 计划协同与风险预见：功能安全计划与质量保证计划需形成双向协同机制，覆盖全生命周期风险预见，强化前瞻性技术储备； 人员能力建设：建立动态能力提升机制，确保人员资质与培训体系适配技术演进需求； 审核评估标准化：需细化审核评估技术指标，形成量化评估模型与可追溯的改进闭环。 3.概念阶段：场景化危害分析的突破 概念阶段作为汽车E/E系统功能安全设计的起点，主要的安全活动如下图所示： 危害分析与风险评估需实现多维场景覆盖，即从传统“功能维度”拓展至“场景维度”。同时，系统初始架构设计需兼容未来技术升级路径与功能扩展需求，为后续研发提供技术基准，其工作质量直接影响系统功能安全水平。 工程实践：需遵循ISO 21448（预期功能安全标准）要求，针对系统预期功能不足引发的不可接受风险，依据车辆的实际预期用途、运行场景及环境条件，界定多维使用场景与受限场景边界。 4.系统级开发：架构安全的 "双重保险" 在产品研发的系统阶段，标准对系统层面的设计、开发及验证提出多维度要求。该阶段基于概念阶段确定的安全目标与需求，对技术需求进行可执行性细化——即需求需满足可实现、可设计、可验证原则，并通过软硬件层级实现。 系统阶段包含开发阶段与系统集成验证阶段： 开发阶段：聚焦技术安全概念（TSC）的开发与验证； 集成验证阶段：涵盖软硬件集成测试及安全确认，需在前期开发完成后启动。 5.硬件级开发：从 “可靠性”到 “可诊断性” 硬件级开发流程以系统需求为基准，依次执行以下技术路径： （1）需求分解与安全定义：拆解系统需求，明确安全目标及ASIL等级； （2）架构设计与器件选型：基于可靠性原则开展冗余设计，完成架构设计并执行车规级元器件选型； （3）电路设计与验证：实施详细电路设计及仿真验证，确保功能与性能达标； （4）样品测试与迭代优化：制作原型件并通过功能、性能、可靠性测试，持续收集反馈并实施迭代优化； （5）量产准备与质量管控：建立量产工艺规范，通过过程数据监控实现持续改进。 基于标准要求，需集成内置自测（BIST）、故障检测电路等安全机制，实现故障实时监测与定位精度提升，提升系统安全性与维护效率，硬件阶段其技术路径如下图所示。 6.软件级开发：应对 “代码爆炸”的安全范式 功能安全软件级开发以需求分析为起点，将系统级技术安全需求转化为软件安全需求并明确ASIL等级。随后进行架构设计与代码实现，依次开展单元测试、集成测试等多轮验证，通过形式化验证与故障注入测试确保安全机制有效性。最终与硬件集成完成联合调试，并通过持续优化迭代完善系统。同时，依托全生命周期需求追溯与代码管控，构建全生命周期安全管控体系，为汽车软件安全构建技术屏障。 软件阶段安全活动如下图所示。 7.生产与运维 在项目安全管理阶段，需基于开发成果对技术相关项实施确认评审、审核及评估，并归档形成安全档案集。完成上述技术确认后，发布生产许可文件，标志着产品具备量产准入资质。生产运行及报废过程旨在建立维护安全要素的全周期管控体系，通过制定工艺规范与操作指南，确保安全部件在全生命周期内的功能安全。 典型应用：生产追溯体系——需构建“芯片-电路板-整车”三级溯源架构。例如某工厂采用区块链技术记录ECU焊接工艺参数及测试数据，实现全生命周期数据溯源与防篡改。 8.支持过程：筑造隐形支柱 在汽车功能安全中，功能安全支持过程虽不直接参与产品开发，却是确保整个功能安全体系稳定运行的关键环节，犹如汽车的隐形支柱，默默支撑起安全大厦。支持过程的活动如下图所示。它们贯穿于汽车开发的全生命周期，与各个开发环节紧密相连。它通过对工具、文档、变更和人员等方面的有效协同机制，为功能安全提供了坚实的保障，确保功能安全管理要求的有效落实。 9.安全分析与ASIL等级分解 安全分析活动需贯穿概念阶段、系统阶段及软硬件阶段的开发全流程。根据安全目标ASIL等级差异，需选择适配的安全分析方法。ASIL等级分解作为ISO 26262的核心策略，通过将高等级安全需求合理分配至多个子系统，实现开发复杂度与成本的有效控制。 10.应用导则：从 “标准解读” 到 “实战指南” ISO 26262 第 10 部分是功能安全领域极具价值的指南性内容，不具强制约束效力。它详细阐释标准核心概念，以实际案例展示如何确立安全目标、划分安全完整性等级，助力理解其他部分。适用于安全相关电子电气系统，能帮从业者深入掌握标准，推动功能安全工作开展 。 11.新增：Part 11 对半导体产业的重塑 ISO 26262-2018 的 Part 11 首次将半导体设计纳入功能安全管理范畴，聚焦汽车电气与电子系统的半导体层面。该部分为半导体设计、生产及测试全流程提供技术规范，它为半导体开发、生产、测试等环节提供详尽指引，助力企业满足功能安全需求，例如规范芯片设计中的故障检测与容错机制，确保半导体在复杂工况下可靠运行，降低汽车因半导体失效引发的安全风险。 其中一些典型实践应用，如芯片设计中IP核安全认证的需求，针对跨国团队分布式开发的协同，以及针对量产阶段监控，比如建立芯片现场失效数据反馈机制等。 三、总结与展望 ISO 26262-2018 不仅是一套合规性框架，更是智能汽车时代的安全技术创新指南。在车企聚焦算力、算法与数据的竞争格局下，功能安全已成为隐藏在技术冰山之下的基石 ——其价值未必直接体现为用户感知价值，却是所有创新可行性的前提条件。 未来，随着标准的持续演进与技术的深度融合，汽车功能安全将从 “后置验证”走向“前置设计”，从 “单点管控”走向 “系统协同”。这一进程中，真正的挑战不仅是技术的突破，更是安全文化在研发、生产、运维全链条的渗透 —— 毕竟，可靠的安全解决方案，最好是 “从一开始就做对”。

ASIL（Automotive Safety Integrity Level，汽车安全完整性等级）作为 ISO 26262 功能安全标准的核心评估指标，采用A、B、C、D的分级体系（D级为最高风险等级）。通常在项目开发初期概念阶段就要根据相关项的功能进行失效分析，从而确定ASIL等级，以量化的方法平衡该项目开发时的安全与成本。 一、ASIL等级定义 ASIL等级的确定基于三个主要因素S（Severity，严重性）、E（Exposure，暴露概率）、C（Controllability，可控性） 评估风险参数，再分配相应失效下的ASIL等级。 ● 严重性（Severity, S）：衡量故障可能导致的伤害或损伤的严重程度。 ● 暴露率（Exposure, E）：衡量人员在特定操作条件下暴露于危险中的可能性。 ● 可控性（Controllability, C）：衡量驾驶员或其他涉险人员避免事故或伤害的可能性。 二、ASIL等级确定步骤 图1 ASIL等级确定流程 其中S、E、C 的评估顺序可以调整。 表1 严重度等级S 表2 暴露概率等级 表3 可控性等级 通过一套组合拳，确定严重性、暴露度和可控性三维风险参数量化分析后，即可依据风险矩阵确定ASIL等级，以下表格提供了相关的参考。 表4 ASIL等级确定 三、ASIL等级与FMEA 实际项目开发过程中，已有的FMEA流程和ASIL等级确定步骤有何关系？危害分析与风险评估（HARA）的步骤与FMEA较为详细，应如何结合并进行融合？ 其实ASIL等级的确定方法HARA与FMEA中前几个步骤很相似，两者均属于安全分析方法，我理解它们可以在系统安全工程中相互补充，二者分别通过风险量化和失效分析的方式协同工作，共同支撑产品的安全设计。ASIL 的确定弥补了FMEA在侧重单一失效模式、缺乏系统性风险评估方面的不足，同样ASIL等级的确定可以系统性地量化风险，确保高风险场景被优先处理。 针对两者交集部分，例如，S严重度或严重性的确定，可以充分考虑双方对失效模式的分析方法，同时分别关注安全合规性与其他法规符合性要求；又例如，在暴露概率E与发生概率O的评估中，需明确其评分准则的对应关系等。 具体整合建议如下 ● 通过ASIL确定FMEA范围，在项目初期进行ASIL等级确定后，针对高等级的ASIL，如C、D，需要开展更深入的FMEA，如硬件FMEA、软件FMEA等； ● 针对新版FMEA，可以结合ASIL中S/E/C的评估准则，参考补充FMEA中的S/O/D评分说明； ● FMEA中输出的纠正措施需要与相应的ASIL等级要求一致，例如ASIL D需要故障注入测试，在FMEA的纠正措施中就不能只有简单的测试措施； ●ASIL等级适当地修订AP值，针对新版FMEA，虽然AP的评分已经比老版更加注重了高风险项的处理，但是针对自动驾驶感知系统的某些功能失效，例如未识别前方行人，在FMEA中需要确保该失效是高优先级； ●FMEA是ASIL的具体实践类工具，可以在FMEA中适当增加安全目标、ASIL等级、诊断覆盖率等信息，提供具体的实施方案。 四、注意事项 基于ISO 26262标准，ASIL等级由危害事件的三个属性（S/E/C）决定。当对这三个属性进行准确评估后，即可确定ASIL等级。但需注意，ISO 26262仅提供方法论框架，实际应用中需通过多部门协同、充分沟通及集体决策确定较为合理的ASIL等级。 ASIL等级反映产品安全底线要求，与产品实际安全水平无必然关联。高等级ASIL表明产品可能会带来比较高的安全风险，需在全生命周期内实施更严格的开发流程和管理规范，需要按照标准满足更为严苛的技术和管理要求。点击图片/下述课程文字跳转链接立即购课，道路功能安全概览只需0.01元！ 广电计量功能安全培训课程 ▶ 道路功能安全概览（0.01元即可学习） ▶功能安全管理（199元） ▶聊一聊功能安全概念的开发（199元） ▶如何基于功能安全系统级的开发与验证（199元） ▶如何进行基于功能安全硬件级开发与验证（199元） ▶如何进行基于功能安全软件级开发与验证（199元） 更多功能安全课程： ISO 26262功能安全基础培训 ISO 26262 功能安全中级工程师培训（工信部备案资质） ISO 26262 功能安全内审员培训 功能安全相关技术服务： ISO 26262 功能安全流程搭建技术服务 ISO 26262 功能安全产品开发技术服务

前言 近年来，随着汽车工业的快速发展，尤其是新能源汽车与智能汽车领域的崛起，汽车安全标准和认证要求日益严格，应用范围愈加广泛。 ISO 26262 和 ISO 21448 作为两个重要的汽车安全标准，它们在“系统安全”中扮演的角色各自不同，但又有一定交集。在智能网联汽车的高级辅助驾驶系统（ADAS）应用中，理解这两个标准的区别及其相互关系，对于保障车辆的安全性至关重要。 ISO 26262：汽车功能安全的基石 如图2.1所示，ISO 26262对“功能安全”的定义解释为：不存在由于电子/电气系统失效引起的危害，而产生不可接受的风险。 图2.1 “功能安全”的定义（此截图来自ISO 26262-1:2018） ISO 26262是为确保汽车功能安全而制定的标准，通过安全生命周期管理来确保系统在设计、生产、运行、服务和报废等各个阶段都符合安全要求。它为汽车电子系统的开发提供了系统性的方法，帮助制造商识别和管理潜在的安全风险，涵盖了系统、硬件(包括集成电路)、软件的设计、开发与验证过程中的安全要求。其核心目标是保证汽车电子/电气系统在故障发生时能够保持足够的安全性，防止因系统故障导致的危险。 ISO 26262将汽车系统的安全性划分为四个功能安全等级（ASIL：Automotive Safety Integrity Levels），从ASIL A（最低风险）到ASIL D（最高风险）。每个级别要求不同的安全措施和验证过程。标准的应用范围包括发动机控制系统、刹车系统、转向系统等传统汽车电子系统。 然而，随着自动驾驶技术的兴起和越来越多的汽车系统具备复杂的互动功能，ISO 26262的局限性也逐渐显现。例如，传统的功能安全标准往往忽视了系统行为的复杂性和不可预测性，尤其在涉及高级自动驾驶（ADAS）的智能网联汽车时，如何有效地评估和保障系统在实际道路环境中的安全性成为一个新的挑战。 ISO 21448：确保“预期功能”安全 如图3.1所示，ISO 21448对“预期功能安全”的定义解释为：不存在由于预期功能或功能不足时引起的危害，而导致不可接受的风险。 图3.1 “预期功能安全”的定义（此截图来自ISO 21448:2022） ISO 21448《道路车辆—预期功能安全》（SOTIF）是ISO 26262的补充标准，特别聚焦于自动驾驶系统（ADAS）和高度复杂的系统。在ISO 26262的基础上，ISO 21448增加了对“非故障”模式的关注，强调了系统行为的预期和不确定性问题，要求在系统设计时应更加全面考虑可能发生的意外的场景和触发事件。 如图3.2所示，ISO 21448将危害场景分为四个区域，分别是“area 1: 已知无危害”、“area 2: 已知有危害”、“area 3: 未知有危害”和“area 4: 未知无危害”。 图3.2 “预期功能安全”的定义（此截图来自ISO 21448:2022） ISO 21448的核心理念是将可能触发意外的area 2场景进行控制，并将未知的危险场景area 3降低至可接受水平。 ISO 21448特别强调以下几个方面： 非故障行为的安全性 ：与传统ISO 26262关注硬件和软件的故障模式不同，ISO 21448关注系统在非故障情况下的行为和导致非故障行为改变的触发条件。例如，在自动驾驶系统中，车辆可能遇到不可预见的道路条件或传感器识别错误，ISO 21448要求设计团队不仅考虑系统在故障时的应对措施，还要考虑在系统没有故障但环境变化时的行为。 自动驾驶系统的验证 ：自动驾驶系统的复杂性要求更加全面的验证方案，ISO 21448规定了对系统在真实或仿真环境中的行为进行更严格的验证。这包括不同道路、天气、交通状况等场景的测试，确保系统能够在复杂的外部条件下保持安全。 感知系统的安全性 ：ISO 21448进一步要求在自动驾驶系统的设计中，必须考虑到感知系统（如摄像头、雷达、激光雷达等）的安全性。这些传感器需要具有足够的鲁棒性，以应对环境光、天气变化和传感器性能受限等因素的影响。 决策与控制算法的安全性 ：在自动驾驶系统中，决策与控制算法的正确性对安全至关重要。ISO 21448提出，除了硬件冗余之外，软件算法必须经过严格的验证，确保其在各种驾驶场景下都能做出安全的决策。 如图3.3所示，在某些区域，用具有三维视错幻象的人行横道来提醒驾驶员。在道路上绘制图像的目的是欺骗人类的感知，但也可能欺骗视觉系统，使其探测到不存在的物体，从而导致错误的制动。在这种情况下，基于光流的分析机制可防止错误制动。光流分析和基于雷达的环境识别作为相互替代的应对措施，以应对由视觉分类局限而导致的此类情况。 图3.3 可能欺骗视觉系统的错觉图例子（此截图来自ISO 21448:2022） ISO 26262与ISO 21448的协同作用 ISO 26262和ISO 21448虽然是两个独立的标准，但它们之间是互为补充、协同作用的关系。ISO 26262主要侧重于系统硬件和软件的功能安全，关注如何通过设计、冗余、检测等手段降低系统故障带来的风险。而ISO 21448则聚焦于功能的“预期安全”，即系统在没有明显故障的情况下，如何在复杂和不可预见的环境中保持安全。 图4.1 ISO 26262和ISO 21448协同 如图4.1所示，结合上述两种安全理念的应用，可以让安全开发活动更完整，更全面地确保智能网联汽车安全相关系统的安全性，尤其是高级辅助/自动驾驶系统。 从系统设计的初期阶段开始，制造商需要在ISO 26262的框架下进行详细的功能安全分析，并在此基础上应用ISO 21448来考虑系统的实际行为和环境适应性，确保车辆在高度自动化的驾驶场景下依然具备足够的安全保障。 未来展望 随着汽车技术的不断进步，特别是自动驾驶和电动化技术的快速发展，ISO 26262和ISO 21448的标准也在不断发展和完善。在未来，这些标准可能会更加注重以下几个方面： 多领域安全融合 ：自动驾驶不仅仅依赖于车辆内部的电子系统，还涉及到车与车、车与基础设施之间的通信（V2X），以及环境感知和决策。ISO 26262和ISO 21448可能会进一步扩展到这些领域，制定更加综合的安全框架。 增强的仿真与测试要求 ：随着自动驾驶系统的复杂性增加，标准可能会要求更多的仿真和场景测试，特别是对极限情景的验证，以确保系统在真实世界中的安全性。 人工智能与机器学习的安全 ：AI和机器学习算法在自动驾驶系统中的应用日益增多，如何验证这些算法的安全性，尤其是算法的可解释性和透明度，将成为未来标准的重要议题。 结论 ISO 26262和ISO 21448作为汽车行业功能安全的两个重要标准，共同构成了确保汽车电子系统安全性的框架。 ISO 26262专注于故障安全，而ISO 21448则进一步拓展了对复杂驾驶环境下系统行为的安全要求。 随着自动驾驶技术的不断发展，这些标准的拓展将有助于构建更加安全、可靠的未来汽车系统。制造商需要积极适应这些新兴标准，持续改进汽车设计和验证流程，以满足日益严格的安全要求。 广电计量功能安全服务能力 广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例，能为主机厂、零部件供应商、芯片设计企业提供 整机、零部件、半导体、原材料 等全面的检测、认证服务，保障产品的可靠性、可用性、可维护性和安全性。 广电计量拥有技术领先的功能安全团队，专注于功能安全（包括工业、轨道、汽车、集成电路等领域）、信息安全和预期功能安全领域的专家，具有丰富的集成电路、零部件和整机功能安全实施经验，可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。 广电计量半导体服务优势 工业和信息化部“面向集成电路、芯片产业的公共服务平台”。 工业和信息化部“面向制造业的传感器等关键元器件创新成果产业化公共服务平台”。 国家发展和改革委员会“导航产品板级组件质量检测公共服务平台”。 广东省工业和信息化厅“汽车芯片检测公共服务平台”。 江苏省发展和改革委员会“第三代半导体器件性能测试与材料分析工程研究中心”。 上海市科学技术委员会“大规模集成电路分析测试平台”。 在集成电路及SiC领域是技术能力最全面、知名度最高的第三方检测机构之一，已完成MCU、AI芯片、安全芯片等上百个型号的芯片验证，并支持完成多款型号芯片的工程化和量产。 在车规领域拥有AEC-Q及AQG324全套服务能力，获得了近50家车厂的认可，出具近400份AEC-Q及AQG324报告，助力100多款车规元器件量产。 在卫星互联网领域，获委任为空间环境地面模拟装置用户委员会委员单位，建设了行业领先的射频高精度集成电路检测能力，致力成为北斗导航芯片工程化量产测试的领航者。

随着汽车功能的不断升级，汽车电气和电子系统相关的安全问题也越来越受到关注。为此，国际标准化组织（ISO）制定了ISO 26262标准，旨在为汽车电气和电子系统提供统一的安全标准，确保汽车行驶中的安全性和可靠性。为了满足日益增长的市场需求，各汽车制造商、零部件商都在加快推进标准的实施，并需要大量对标准理解深入并能在产品开发中实现标准要求的高技能人才。 为此，《ISO 26262功能安全工程师资质认证培训》应运而生。该培训旨在为企业培养具有满足ISO26262要求的系统开发能力的高级工程技术人才，并能够获取国际认可的资质证书。学员通过课程学习并通过考试后，由TUV颁发汽车功能安全个人资质证书。 滕老师是本次培训的授课专家。他拥有自动化专业硕士学位，毕业于德国达姆施塔特工业大学，并曾在多家知名汽车企业担任功能安全负责人。滕老师深耕不辍，已在汽车功能安全领域深耕十年之久。针对智能驾驶辅助、自动驾驶和V2X等领域，滕老师具有丰富的实战经验，专业背景涵盖了功能系统开发、功能安全、预期安全、信息安全等多个方面。 在本次汽车功能安全工程师培训中，学员将有机会深入了解功能安全的基本原理、概念以及管理目标。同时，还将掌握ISO 26262所要求的方法和工具，以及产品和过程监控的方法。经过本次培训并通过考试后，学员将具备“功能安全工程师”的资质，能够更加有效地运用自身专业知识解决实际问题。 该培训课程内容丰富，涵盖多个方面。首先，学员将了解到汽车电子系统的相关知识，包括汽车电子系统的分类、结构和功能等。其次，学员将了解到安全概念、相关标准和法规，并了解ISO 26262标准的基本框架和组织机构。此外，学员还将学习到安全项目管理、安全规划和生命周期管理等方面的内容。 为了加深学员的理解和实际操作能力，本次课程还设置了相关实验和案例，以帮助学员更好地理解课程内容。通过理论结合实践，学员将更加深入地了解安全工程和ISO 26262标准的实施方法。 总之，本次ISO 26262功能安全工程师资质认证培训是一次集理论与实践于一体的高水平培训课程，旨在为汽车行业培养高端汽车安全专业人才，满足市场需求。通过该培训，学员将掌握实用的技能和知识，能够更好地应对汽车电气和电子系统的安全问题，为汽车行业的安全发展做出重要贡献。