01、什么是功能安全
1、背景简介

ISO 26262是一项国际标准，旨在确保汽车电子系统的功能安全。它提供了一套方法和要求，以帮助汽车制造商和供应商在整个汽车开发过程中识别、评估和管理潜在的安全风险。也是史上第一个适用于大批量量产产品的功能安全（Functional Safety）标准。

ISO 26262标准是从电子、电气及可编程器件功能安全基本标准IEC 61508派生出来的，用以满足道路车辆电子电气系统的特殊需求；ISO 26262标准适用于汽车业电气器件、电子设备、可编程电子器件等相关汽车领域的零部件。

由于汽车的复杂性，整个行业正在致力于提供符合安全要求的零部件系统。比如，线控油门系统，当驾驶员踩下油门踏板，踏板上的传感器向控制器发送信号时，控制器会综合分析如发动机转速、车辆速度、踏板位置等信号，然后将控制指令发送给油门本体。测试和验证线控油门系统等是汽车行业面临的一个挑战。ISO 26262的目标就是为所有汽车E/E系统提供一个统一的安全标准。
脱胎于IEC-61508的功能安全ISO-26262的国际标准草案于2009年6月发布。从草案发布开始，ISO-26262已经在汽车行业获得了广泛的关注。工程师将ISO-26262视为最先进的技术状态（state-of-the-art）。该技术的技术状态在特定时间是开发设备或流程的最高水准。汽车制造商一般要对因产品故障而造成的损害负责。ISO-26262在汽车行业是一个通用标准，它提供了一种衡量系统安全性的方法。

ISO-26262使用V-Model来管理功能安全，并在系统、软件和硬件级别上规范产品的开发。ISO-26262标准提供了整个产品开发过程中的法规和建议——从概念阶段到产品报废阶段。它详细说明了如何为系统和组件分配一个可接受的风险级别，并对整个测试过程进行记录。一般来说，ISO 26262：
提供了汽车整个安全生命周期 （管理，开发，生产，运营，服务，退役），并支持在这些生命周期阶段中定制必要的活动；
提供了一种基于汽车特定风险的方法来确定风险类别（ASIL）;
使用ASIL来指定项目的必要安全要求，以实现可接受的残余风险；
提供了验证和确认措施的要求，以确保达到足够和可接受的安全水平；

2、评估风险——危害分析和风险评估（HARA）
当我们对新开发的车型有了清晰的定义后，也就打响了汽车功能安全的第一枪。我们需要用HARA来识别和评估潜在的危险。一般来讲， OEM的功能安全工程师会对车辆级的功能进行HARA分析，以识别潜在的危险场景，并确定每个潜在危险所需的风险降低水平。HARA考虑了在特定驾驶场景中暴露于潜在危险情况的频率和持续时间（Exposure），纠正故障行为以减轻潜在危险所需的控制量（Controllability），以及在故障行为发生时潜在后果的严重程度（Severity）。
HARA是在车辆层面的特性上进行的，而不是在零部件或者要素层面。对于每一个潜在的危险，都考虑了一些潜在的驾驶方案。比如：在前向碰撞缓解系统中，将根据不同的驾驶场景，如操作速度和驾驶条件，评估非预期制动的潜在危险。

3、分配安全等级——功能安全完整性等级（ASIL）
在HARA过程中，OEM为每个已识别的潜在风险分配了一个ASIL （Automotive Safety Integrity Level）等级。ASIL在开发过程中就已经确定了。根据可能存在的风险。
比如：如果某辆车的迈速表出了故障，从车子启动开始就不显示任何信息，场景可以归类为QM，因为司机可以很容易地感知故障，并且选择不开车或者非常谨慎的驾驶。换言之，场景的可控性非常高，而严重程度则很低。相比之下，如果车辆无法进行控制，驾驶员在高速行驶时刹车失灵的情况可以归类于ASIL-D，因为这时导致人严重受伤的概率很高。

为了适当地解决这些情况，ISO 26262使用ASIL评级来确定供应商必须采取的开发步骤的严格性，并定义了安全目标（safety goal）的要求：
1. FIT率（Failure In Time）: FIT率是车辆在给定时间段内可接受的故障率。车辆必须满足ASIL评级所规定的FIT率，但OEM也可以灵活地为系统内的基础组件选择FIT率。
2. 安全概念（Safety Concept）：安全概念决定如何检测顾故障及如何控制故障，具有更高ASIL评级的系统需要更严格的故障检测和响应能力。
3. 安全要求（Safety Requirements）：安全要求规定了对任何给定故障的适当响应。比如，传感器检测到与内部安全相关的问题，如内存损坏，故障响应系统可能会在规定的时间内终止通过控制器的通信，以便向其他系统指示其故障状态。这是安全要求所描述的典型的安全机制——但故障响应系统并不总是恰当合适的。如：对于智驾功能，车辆可能采用故障操作系统，这要求冗余系统接管必要的时间，以使车辆处于最小的风险状态（比如，安全停车在路边）。对于系统故障，遵循严格的开发过程有助于增加该功能将以一种安全的方式运行的信心。

4、持续的测试和集成
汽车功能安全在整个开发过程中都采用了V模型。V模型要求，对于开发的每一步骤，在测试中都必须对应有一个相应的步骤。供应商定期评估其开发过程，以确保硬件和软件开发都遵循了所需要的步骤。
OEM，供应商或者独立的第三方公司对所有相关的工作产出物进行功能安全审核和评估，以确保功能安全的实现。