隨著自動(dòng)駕駛（ADAS）的功能越來(lái)越普及，汽車(chē)的電子系統(tǒng)功能越來(lái)越強(qiáng)大，控制系統(tǒng)架構(gòu)越來(lái)越復(fù)雜，我們也越來(lái)越依賴各種車(chē)載電子系統(tǒng)。

你有沒(méi)有想過(guò)，這些電子控制系統(tǒng)在給人帶來(lái)方便的同時(shí)，帶來(lái)了多大的風(fēng)險(xiǎn)。

萬(wàn)一電子控制系統(tǒng)出現(xiàn)故障，會(huì)發(fā)生什么樣的后果？

目前轉(zhuǎn)向系統(tǒng)一般是電子輔助轉(zhuǎn)向（Electric Powered Steering，簡(jiǎn)稱(chēng) EPS），如果高速行駛過(guò)程中 EPS 發(fā)生故障，駕駛員沒(méi)有輸入轉(zhuǎn)向信號(hào)，系統(tǒng)故障自己發(fā)生助力，急打方向，會(huì)是什么樣的后果？

很多車(chē)輛的制動(dòng)系統(tǒng)系統(tǒng)配置有電子穩(wěn)定系統(tǒng)（Electronic Stability Control，簡(jiǎn)稱(chēng) ESC)，如果在 120 km/h 的速度在高速公路上行駛，駕駛員沒(méi)有踩剎車(chē)踏板，系統(tǒng)故障突然實(shí)施緊急制動(dòng)，后續(xù)車(chē)輛來(lái)不及反應(yīng)，會(huì)發(fā)生什么后果？

據(jù)《產(chǎn)品安全與召回》雜志統(tǒng)計(jì)數(shù)據(jù)，僅 2015 年上半年，42 家汽車(chē)制造商共實(shí)施召回 124 次，共召回缺陷汽車(chē)產(chǎn)品 293.14 萬(wàn)輛。其中，

涉及電子電器 42 次，共 1828019 輛；

發(fā)動(dòng)機(jī) 30 次，共 697304 輛；

車(chē)身部分 19 次，共 31472 輛；

轉(zhuǎn)向/懸架 14 次，共 206922 輛；
制動(dòng)/車(chē)輪 12 次，共 62030 輛；
動(dòng)力傳動(dòng)系統(tǒng) 6 次，共 105102 輛；
其他部分 1 次，涉及車(chē)輛 561 輛。
以上數(shù)據(jù)顯示，電子電器系統(tǒng)已取代動(dòng)力總成成為了最容易出現(xiàn)缺陷的汽車(chē)系統(tǒng)。
背景
隨著機(jī)械結(jié)構(gòu)越來(lái)越成熟，電子控制越來(lái)越普遍，有些高端豪華轎車(chē)上有幾十上百個(gè)電子控制單元（ECU），其中安全氣囊、底盤(pán)控制系統(tǒng)（制動(dòng)/轉(zhuǎn)向）、發(fā)動(dòng)機(jī)控制系統(tǒng)等都是安全相關(guān)的系統(tǒng)。一旦這些電子系統(tǒng)出現(xiàn)功能性故障，將會(huì)極大的影響整車(chē)功能安全。
怎么去控制這種風(fēng)險(xiǎn)，約束這種行為呢？
從上世紀(jì) 60/70 年代開(kāi)始，歐美各國(guó)就陸陸續(xù)續(xù)出臺(tái)了一些法規(guī)來(lái)定義功能安全。
自動(dòng)駕駛,汽車(chē)電子
之前發(fā)布的法規(guī)只是泛泛的要求，沒(méi)有細(xì)化，也沒(méi)有針對(duì)汽車(chē)行業(yè)去做強(qiáng)制要求。
直到 2011 年發(fā)布了針對(duì)汽車(chē)行業(yè)的 ISO 26262。
汽車(chē)安全完整性等級(jí)的定義
首先，從功能安全和成本平衡角度來(lái)考慮，不可能所有的系統(tǒng)都是同等對(duì)待的，肯定是越是與安全相關(guān)的系統(tǒng)，越要重點(diǎn)關(guān)注，比如說(shuō)發(fā)動(dòng)機(jī)控制系統(tǒng)和收音機(jī)系統(tǒng)相比，肯定是發(fā)動(dòng)機(jī)控制系統(tǒng)要重要的多。
所以 ISO26262 定義了汽車(chē)安全完整性等級(jí)（以下簡(jiǎn)稱(chēng) ASIL）這個(gè)概念，根據(jù)子系統(tǒng)失效風(fēng)險(xiǎn)的 ASIL 的等級(jí)高低來(lái)區(qū)分對(duì)待。
工程上任何一個(gè)概念都是可以用數(shù)據(jù)量化的，那 ASIL 是如何量化的？
首先，從失效后果造成的傷害的嚴(yán)重程度來(lái)說(shuō)，ASIL 定義了嚴(yán)重度 S。嚴(yán)重度 S 分 4 個(gè)等級(jí)，S0 到 S3，其中 S0 為無(wú)危害，S3 為致命危害。
其次，從該失效發(fā)生的概率來(lái)說(shuō)，ASIL 定義了暴露率E。暴露率 E 分為 4 個(gè)等級(jí)，E1 到 E4，其中 E1 指很低的概率，E4 指高概率（>10%）。
再次，從該失效發(fā)生后能夠避免事故或傷害的可能性來(lái)說(shuō)，ASIL 定義了可控性 C。可控性 C 分為 4 個(gè)等級(jí)，其中 C0 為完全可控，C3 為很難控制（<90% 駕駛員）。
根據(jù)實(shí)際情況確認(rèn)好 S、E、C 這三個(gè)參數(shù)后，ASIL 就可以確定了。具體參考下圖。
表 1  ASIL 等級(jí)確認(rèn)
ASIL 分 4 個(gè)等級(jí)，其中 A 代表最低等級(jí)，D 為最高等級(jí)，QM 代表不需要考慮安全設(shè)計(jì)。
確定好 ASIL 等級(jí)后，就可以按照各個(gè)安全等級(jí)標(biāo)準(zhǔn)的要求去開(kāi)發(fā)。
舉個(gè)例子：對(duì)于電子駐車(chē)系統(tǒng)來(lái)說(shuō)（EPB），我們對(duì)非預(yù)期的駐車(chē)功能失效為例，即車(chē)停好后，EPB 啟動(dòng)后，駐車(chē)功能發(fā)生失效。此時(shí)最大的失效工況是車(chē)輛停在斜坡上，駕駛員不在車(chē)上。
嚴(yán)重度：車(chē)突然滑行，對(duì)行人造成嚴(yán)重傷害，嚴(yán)重度定義為 S3。
暴露率：駕駛場(chǎng)景「斜坡停車(chē)，駕駛員不在車(chē)上」占整車(chē)使用壽命的比例 >10%，暴露率定義為 E4。
可控性：失效時(shí)駕駛員不在車(chē)上，不具備可控性。可控性定義為 C3。
查詢上表，可以看出電子駐車(chē)系統(tǒng)（EPB）非預(yù)期性駐車(chē)功能失效的 ASIL 等級(jí)為 D。
功能安全的設(shè)計(jì)要求
不同的 ASIL 等級(jí)的有不同的設(shè)計(jì)需求。設(shè)計(jì)需求主要針對(duì)系統(tǒng)性失效和隨機(jī)硬件失效。
ISO 26262 定義了評(píng)價(jià)系統(tǒng)性失效和隨機(jī)硬件失效的指標(biāo)：硬件架構(gòu)指標(biāo)目標(biāo)值和隨機(jī)硬件失效率目標(biāo)值。
表 2  硬件架構(gòu)指標(biāo)目標(biāo)值
表 3  隨機(jī)硬件失效率目標(biāo)值
如果當(dāng)前設(shè)計(jì)方案不滿足目標(biāo)值要求，則可以通過(guò)增加設(shè)計(jì)診斷功能和設(shè)計(jì)冗余來(lái)降低故障率。
通過(guò)對(duì)系統(tǒng) ASIL 的等級(jí)劃分，然后針對(duì) ASIL 的等級(jí)的要求進(jìn)行功能要求。可以把風(fēng)險(xiǎn)降低到可接受的范圍內(nèi)。
特斯拉的CEO埃隆穆斯克曾經(jīng)說(shuō)過(guò)：不存在絕對(duì)的安全，唯一可能的是，盡可能的提升安全概率。
汽車(chē)安全生命周期
ISO 26262 還規(guī)定了汽車(chē)安全生命周期，包括了從概念設(shè)計(jì)、產(chǎn)品開(kāi)發(fā)到生產(chǎn)和運(yùn)行后的各階段的主要安全活動(dòng)。
在概念開(kāi)發(fā)階段，要基于系統(tǒng)定義和初步的框架結(jié)構(gòu)，分析可能存在的風(fēng)險(xiǎn)及 ASIL 等級(jí)。然后根據(jù) ASIL 等級(jí)來(lái)定義每個(gè)安全目標(biāo)的功能安全概念。
在產(chǎn)品開(kāi)發(fā)階段，按照 V 型開(kāi)發(fā)流程定義相關(guān)安全活動(dòng)。V 型的左側(cè)是技術(shù)安全需求的制定、系統(tǒng)設(shè)計(jì)，V 型的右側(cè)是系統(tǒng)集成、安全確認(rèn)和發(fā)布。硬件和軟件的開(kāi)發(fā)也遵循相似的 V 型開(kāi)發(fā)流程。
在批產(chǎn)之后的階段，需要提供必要的文檔及方法，以保證在生產(chǎn)、售后服務(wù)和報(bào)廢等環(huán)節(jié)中，安全目標(biāo)不被破壞。同時(shí)，需要監(jiān)控售后產(chǎn)品，發(fā)現(xiàn)有違背安全目標(biāo)的案例要采取相應(yīng)措施。
以后的發(fā)展趨勢(shì)
隨著自動(dòng)駕駛功能的逐漸完善，電子系統(tǒng)將在車(chē)輛中發(fā)揮越來(lái)越大的功能，與此同時(shí)，車(chē)輛功能安全也將會(huì)越來(lái)越重視。
與此同時(shí)，ISO 26262 雖然沒(méi)有被某國(guó)法規(guī)要求強(qiáng)制實(shí)施，但是國(guó)外很多車(chē)企在開(kāi)發(fā)新車(chē)型已經(jīng)按照 ISO 26262 實(shí)行，同時(shí)相關(guān)的零部件配套供應(yīng)商等也需要符合 ISO 26262。
據(jù)說(shuō)相關(guān)的國(guó)標(biāo)轉(zhuǎn)換已經(jīng)在進(jìn)行中了，不過(guò)應(yīng)該不是強(qiáng)制標(biāo)準(zhǔn)，最多也就是 GB/T 或者行標(biāo)吧。
由于完全符合 ISO26262 會(huì)帶來(lái)一定的成本上升，國(guó)內(nèi)自主品牌雖然暫時(shí)沒(méi)有跟進(jìn)，但是以后的逐漸跟進(jìn)幾乎是必然趨勢(shì)。
最后總結(jié)
ISO 26262 通過(guò)系統(tǒng)的功能安全研發(fā)管理流程，以及針對(duì)汽車(chē)電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗(yàn)證和確認(rèn)方法，保證電子系統(tǒng)的安全功能在面對(duì)各種嚴(yán)酷條件時(shí)不失效，從而保證駕乘人員以及路人的安全。
對(duì)于汽車(chē)廠商而言，貫徹執(zhí)行 ISO 26262 標(biāo)準(zhǔn)可以提高安全性能，提升產(chǎn)品內(nèi)在價(jià)值，也可以最大程度的控制因?yàn)殡娮硬考煽啃詥?wèn)題導(dǎo)致的整車(chē)召回風(fēng)險(xiǎn)，避免品牌形象受損以及蒙受較大的經(jīng)濟(jì)損失。