前言

近年來，隨著汽車工業(yè)的快速發(fā)展，尤其是新能源汽車與智能汽車領(lǐng)域的崛起，汽車安全標準和認證要求日益嚴格，應(yīng)用范圍愈加廣泛。ISO 26262和ISO 21448作為兩個重要的汽車安全標準，它們在“系統(tǒng)安全”中扮演的角色各自不同，但又有一定交集。在智能網(wǎng)聯(lián)汽車的高級輔助駕駛系統(tǒng)（ADAS）應(yīng)用中，理解這兩個標準的區(qū)別及其相互關(guān)系，對于保障車輛的安全性至關(guān)重要。

ISO 26262：汽車功能安全的基石

如圖2.1所示，ISO 26262對“功能安全”的定義解釋為：不存在由于電子/電氣系統(tǒng)失效引起的危害，而產(chǎn)生不可接受的風險。

圖2.1 “功能安全”的定義（此截圖來自ISO 26262-1:2018）

ISO 26262是為確保汽車功能安全而制定的標準，通過安全生命周期管理來確保系統(tǒng)在設(shè)計、生產(chǎn)、運行、服務(wù)和報廢等各個階段都符合安全要求。它為汽車電子系統(tǒng)的開發(fā)提供了系統(tǒng)性的方法，幫助制造商識別和管理潛在的安全風險，涵蓋了系統(tǒng)、硬件(包括集成電路)、軟件的設(shè)計、開發(fā)與驗證過程中的安全要求。其核心目標是保證汽車電子/電氣系統(tǒng)在故障發(fā)生時能夠保持足夠的安全性，防止因系統(tǒng)故障導(dǎo)致的危險。

ISO 26262將汽車系統(tǒng)的安全性劃分為四個功能安全等級（ASIL：Automotive Safety Integrity Levels），從ASIL A（最低風險）到ASIL D（最高風險）。每個級別要求不同的安全措施和驗證過程。標準的應(yīng)用范圍包括發(fā)動機控制系統(tǒng)、剎車系統(tǒng)、轉(zhuǎn)向系統(tǒng)等傳統(tǒng)汽車電子系統(tǒng)。

然而，隨著自動駕駛技術(shù)的興起和越來越多的汽車系統(tǒng)具備復(fù)雜的互動功能，ISO 26262的局限性也逐漸顯現(xiàn)。例如，傳統(tǒng)的功能安全標準往往忽視了系統(tǒng)行為的復(fù)雜性和不可預(yù)測性，尤其在涉及高級自動駕駛（ADAS）的智能網(wǎng)聯(lián)汽車時，如何有效地評估和保障系統(tǒng)在實際道路環(huán)境中的安全性成為一個新的挑戰(zhàn)。

ISO 21448：確?！邦A(yù)期功能”安全

如圖3.1所示，ISO 21448對“預(yù)期功能安全”的定義解釋為：不存在由于預(yù)期功能或功能不足時引起的危害，而導(dǎo)致不可接受的風險。

圖3.1 “預(yù)期功能安全”的定義（此截圖來自ISO 21448:2022）

ISO 21448《道路車輛—預(yù)期功能安全》（SOTIF）是ISO 26262的補充標準，特別聚焦于自動駕駛系統(tǒng)（ADAS）和高度復(fù)雜的系統(tǒng)。在ISO 26262的基礎(chǔ)上，ISO 21448增加了對“非故障”模式的關(guān)注，強調(diào)了系統(tǒng)行為的預(yù)期和不確定性問題，要求在系統(tǒng)設(shè)計時應(yīng)更加全面考慮可能發(fā)生的意外的場景和觸發(fā)事件。

如圖3.2所示，ISO 21448將危害場景分為四個區(qū)域，分別是“area 1: 已知無危害”、“area 2: 已知有危害”、“area 3: 未知有危害”和“area 4: 未知無危害”。

圖3.2 “預(yù)期功能安全”的定義（此截圖來自ISO 21448:2022）

ISO 21448的核心理念是將可能觸發(fā)意外的area 2場景進行控制，并將未知的危險場景area 3降低至可接受水平。

ISO 21448特別強調(diào)以下幾個方面：

非故障行為的安全性：與傳統(tǒng)ISO 26262關(guān)注硬件和軟件的故障模式不同，ISO 21448關(guān)注系統(tǒng)在非故障情況下的行為和導(dǎo)致非故障行為改變的觸發(fā)條件。例如，在自動駕駛系統(tǒng)中，車輛可能遇到不可預(yù)見的道路條件或傳感器識別錯誤，ISO 21448要求設(shè)計團隊不僅考慮系統(tǒng)在故障時的應(yīng)對措施，還要考慮在系統(tǒng)沒有故障但環(huán)境變化時的行為。

自動駕駛系統(tǒng)的驗證：自動駕駛系統(tǒng)的復(fù)雜性要求更加全面的驗證方案，ISO 21448規(guī)定了對系統(tǒng)在真實或仿真環(huán)境中的行為進行更嚴格的驗證。這包括不同道路、天氣、交通狀況等場景的測試，確保系統(tǒng)能夠在復(fù)雜的外部條件下保持安全。

感知系統(tǒng)的安全性：ISO 21448進一步要求在自動駕駛系統(tǒng)的設(shè)計中，必須考慮到感知系統(tǒng)（如攝像頭、雷達、激光雷達等）的安全性。這些傳感器需要具有足夠的魯棒性，以應(yīng)對環(huán)境光、天氣變化和傳感器性能受限等因素的影響。

決策與控制算法的安全性：在自動駕駛系統(tǒng)中，決策與控制算法的正確性對安全至關(guān)重要。ISO 21448提出，除了硬件冗余之外，軟件算法必須經(jīng)過嚴格的驗證，確保其在各種駕駛場景下都能做出安全的決策。

如圖3.3所示，在某些區(qū)域，用具有三維視錯幻象的人行橫道來提醒駕駛員。在道路上繪制圖像的目的是欺騙人類的感知，但也可能欺騙視覺系統(tǒng)，使其探測到不存在的物體，從而導(dǎo)致錯誤的制動。在這種情況下，基于光流的分析機制可防止錯誤制動。光流分析和基于雷達的環(huán)境識別作為相互替代的應(yīng)對措施，以應(yīng)對由視覺分類局限而導(dǎo)致的此類情況。

圖3.3 可能欺騙視覺系統(tǒng)的錯覺圖例子（此截圖來自ISO 21448:2022）

ISO 26262與ISO 21448的協(xié)同作用

ISO 26262和ISO 21448雖然是兩個獨立的標準，但它們之間是互為補充、協(xié)同作用的關(guān)系。ISO 26262主要側(cè)重于系統(tǒng)硬件和軟件的功能安全，關(guān)注如何通過設(shè)計、冗余、檢測等手段降低系統(tǒng)故障帶來的風險。而ISO 21448則聚焦于功能的“預(yù)期安全”，即系統(tǒng)在沒有明顯故障的情況下，如何在復(fù)雜和不可預(yù)見的環(huán)境中保持安全。

圖4.1 ISO 26262和ISO 21448協(xié)同

如圖4.1所示，結(jié)合上述兩種安全理念的應(yīng)用，可以讓安全開發(fā)活動更完整，更全面地確保智能網(wǎng)聯(lián)汽車安全相關(guān)系統(tǒng)的安全性，尤其是高級輔助/自動駕駛系統(tǒng)。

從系統(tǒng)設(shè)計的初期階段開始，制造商需要在ISO 26262的框架下進行詳細的功能安全分析，并在此基礎(chǔ)上應(yīng)用ISO 21448來考慮系統(tǒng)的實際行為和環(huán)境適應(yīng)性，確保車輛在高度自動化的駕駛場景下依然具備足夠的安全保障。

未來展望

隨著汽車技術(shù)的不斷進步，特別是自動駕駛和電動化技術(shù)的快速發(fā)展，ISO 26262和ISO 21448的標準也在不斷發(fā)展和完善。在未來，這些標準可能會更加注重以下幾個方面：

多領(lǐng)域安全融合：自動駕駛不僅僅依賴于車輛內(nèi)部的電子系統(tǒng)，還涉及到車與車、車與基礎(chǔ)設(shè)施之間的通信（V2X），以及環(huán)境感知和決策。ISO 26262和ISO 21448可能會進一步擴展到這些領(lǐng)域，制定更加綜合的安全框架。

增強的仿真與測試要求：隨著自動駕駛系統(tǒng)的復(fù)雜性增加，標準可能會要求更多的仿真和場景測試，特別是對極限情景的驗證，以確保系統(tǒng)在真實世界中的安全性。

人工智能與機器學習的安全：AI和機器學習算法在自動駕駛系統(tǒng)中的應(yīng)用日益增多，如何驗證這些算法的安全性，尤其是算法的可解釋性和透明度，將成為未來標準的重要議題。

結(jié)論

ISO 26262和ISO 21448作為汽車行業(yè)功能安全的兩個重要標準，共同構(gòu)成了確保汽車電子系統(tǒng)安全性的框架。ISO 26262專注于故障安全，而ISO 21448則進一步拓展了對復(fù)雜駕駛環(huán)境下系統(tǒng)行為的安全要求。隨著自動駕駛技術(shù)的不斷發(fā)展，這些標準的拓展將有助于構(gòu)建更加安全、可靠的未來汽車系統(tǒng)。制造商需要積極適應(yīng)這些新興標準，持續(xù)改進汽車設(shè)計和驗證流程，以滿足日益嚴格的安全要求。

廣電計量功能安全服務(wù)能力

廣電計量在汽車、鐵路系統(tǒng)產(chǎn)品檢測方面擁有豐富的技術(shù)經(jīng)驗和成功案例，能為主機廠、零部件供應(yīng)商、芯片設(shè)計企業(yè)提供整機、零部件、半導(dǎo)體、原材料等全面的檢測、認證服務(wù)，保障產(chǎn)品的可靠性、可用性、可維護性和安全性。

廣電計量擁有技術(shù)領(lǐng)先的功能安全團隊，專注于功能安全（包括工業(yè)、軌道、汽車、集成電路等領(lǐng)域）、信息安全和預(yù)期功能安全領(lǐng)域的專家，具有豐富的集成電路、零部件和整機功能安全實施經(jīng)驗，可根據(jù)相應(yīng)行業(yè)的安全標準為不同行業(yè)的客戶提供培訓、檢測、審核和認證一站式服務(wù)。

廣電計量半導(dǎo)體服務(wù)優(yōu)勢

1. · 工業(yè)和信息化部“面向集成電路、芯片產(chǎn)業(yè)的公共服務(wù)平臺”。

·工業(yè)和信息化部“面向制造業(yè)的傳感器等關(guān)鍵元器件創(chuàng)新成果產(chǎn)業(yè)化公共服務(wù)平臺”。

·國家發(fā)展和改革委員會“導(dǎo)航產(chǎn)品板級組件質(zhì)量檢測公共服務(wù)平臺”。

·廣東省工業(yè)和信息化廳“汽車芯片檢測公共服務(wù)平臺”。

·江蘇省發(fā)展和改革委員會“第三代半導(dǎo)體器件性能測試與材料分析工程研究中心”。

·上海市科學技術(shù)委員會“大規(guī)模集成電路分析測試平臺”。

·在集成電路及SiC領(lǐng)域是技術(shù)能力最全面、知名度最高的第三方檢測機構(gòu)之一，已完成MCU、AI芯片、安全芯片等上百個型號的芯片驗證，并支持完成多款型號芯片的工程化和量產(chǎn)。

·在車規(guī)領(lǐng)域擁有AEC-Q及AQG324全套服務(wù)能力，獲得了近50家車廠的認可，出具近400份AEC-Q及AQG324報告，助力100多款車規(guī)元器件量產(chǎn)。

·在衛(wèi)星互聯(lián)網(wǎng)領(lǐng)域，獲委任為空間環(huán)境地面模擬裝置用戶委員會委員單位，建設(shè)了行業(yè)領(lǐng)先的射頻高精度集成電路檢測能力，致力成為北斗導(dǎo)航芯片工程化量產(chǎn)測試的領(lǐng)航者。