隨著自動駕駛（ADAS）的功能越來越普及，汽車的電子系統(tǒng)功能越來越強大，控制系統(tǒng)架構(gòu)越來越復(fù)雜，我們也越來越依賴各種車載電子系統(tǒng)。

你有沒有想過，這些電子控制系統(tǒng)在給人帶來方便的同時，帶來了多大的風險。

萬一電子控制系統(tǒng)出現(xiàn)故障，會發(fā)生什么樣的后果？

目前轉(zhuǎn)向系統(tǒng)一般是電子輔助轉(zhuǎn)向（Electric Powered Steering，簡稱 EPS），如果高速行駛過程中 EPS 發(fā)生故障，駕駛員沒有輸入轉(zhuǎn)向信號，系統(tǒng)故障自己發(fā)生助力，急打方向，會是什么樣的后果？

很多車輛的制動系統(tǒng)系統(tǒng)配置有電子穩(wěn)定系統(tǒng)（Electronic Stability Control，簡稱 ESC)，如果在 120 km/h 的速度在高速公路上行駛，駕駛員沒有踩剎車踏板，系統(tǒng)故障突然實施緊急制動，后續(xù)車輛來不及反應(yīng)，會發(fā)生什么后果？

據(jù)《產(chǎn)品安全與召回》雜志統(tǒng)計數(shù)據(jù)，僅 2015 年上半年，42 家汽車制造商共實施召回 124 次，共召回缺陷汽車產(chǎn)品 293.14 萬輛。其中，

涉及電子電器 42 次，共 1828019 輛；

發(fā)動機 30 次，共 697304 輛；

車身部分 19 次，共 31472 輛；

轉(zhuǎn)向/懸架 14 次，共 206922 輛；
制動/車輪 12 次，共 62030 輛；
動力傳動系統(tǒng) 6 次，共 105102 輛；
其他部分 1 次，涉及車輛 561 輛。
以上數(shù)據(jù)顯示，電子電器系統(tǒng)已取代動力總成成為了最容易出現(xiàn)缺陷的汽車系統(tǒng)。
背景
隨著機械結(jié)構(gòu)越來越成熟，電子控制越來越普遍，有些高端豪華轎車上有幾十上百個電子控制單元（ECU），其中安全氣囊、底盤控制系統(tǒng)（制動/轉(zhuǎn)向）、發(fā)動機控制系統(tǒng)等都是安全相關(guān)的系統(tǒng)。一旦這些電子系統(tǒng)出現(xiàn)功能性故障，將會極大的影響整車功能安全。
怎么去控制這種風險，約束這種行為呢？
從上世紀 60/70 年代開始，歐美各國就陸陸續(xù)續(xù)出臺了一些法規(guī)來定義功能安全。
自動駕駛,汽車電子
之前發(fā)布的法規(guī)只是泛泛的要求，沒有細化，也沒有針對汽車行業(yè)去做強制要求。
直到 2011 年發(fā)布了針對汽車行業(yè)的 ISO 26262。
汽車安全完整性等級的定義
首先，從功能安全和成本平衡角度來考慮，不可能所有的系統(tǒng)都是同等對待的，肯定是越是與安全相關(guān)的系統(tǒng)，越要重點關(guān)注，比如說發(fā)動機控制系統(tǒng)和收音機系統(tǒng)相比，肯定是發(fā)動機控制系統(tǒng)要重要的多。
所以 ISO26262 定義了汽車安全完整性等級（以下簡稱 ASIL）這個概念，根據(jù)子系統(tǒng)失效風險的 ASIL 的等級高低來區(qū)分對待。
工程上任何一個概念都是可以用數(shù)據(jù)量化的，那 ASIL 是如何量化的？
首先，從失效后果造成的傷害的嚴重程度來說，ASIL 定義了嚴重度 S。嚴重度 S 分 4 個等級，S0 到 S3，其中 S0 為無危害，S3 為致命危害。
其次，從該失效發(fā)生的概率來說，ASIL 定義了暴露率E。暴露率 E 分為 4 個等級，E1 到 E4，其中 E1 指很低的概率，E4 指高概率（>10%）。
再次，從該失效發(fā)生后能夠避免事故或傷害的可能性來說，ASIL 定義了可控性 C?？煽匦?C 分為 4 個等級，其中 C0 為完全可控，C3 為很難控制（<90% 駕駛員）。
根據(jù)實際情況確認好 S、E、C 這三個參數(shù)后，ASIL 就可以確定了。具體參考下圖。
表 1  ASIL 等級確認
ASIL 分 4 個等級，其中 A 代表最低等級，D 為最高等級，QM 代表不需要考慮安全設(shè)計。
確定好 ASIL 等級后，就可以按照各個安全等級標準的要求去開發(fā)。
舉個例子：對于電子駐車系統(tǒng)來說（EPB），我們對非預(yù)期的駐車功能失效為例，即車停好后，EPB 啟動后，駐車功能發(fā)生失效。此時最大的失效工況是車輛停在斜坡上，駕駛員不在車上。
嚴重度：車突然滑行，對行人造成嚴重傷害，嚴重度定義為 S3。
暴露率：駕駛場景「斜坡停車，駕駛員不在車上」占整車使用壽命的比例 >10%，暴露率定義為 E4。
可控性：失效時駕駛員不在車上，不具備可控性?？煽匦远x為 C3。
查詢上表，可以看出電子駐車系統(tǒng)（EPB）非預(yù)期性駐車功能失效的 ASIL 等級為 D。
功能安全的設(shè)計要求
不同的 ASIL 等級的有不同的設(shè)計需求。設(shè)計需求主要針對系統(tǒng)性失效和隨機硬件失效。
ISO 26262 定義了評價系統(tǒng)性失效和隨機硬件失效的指標：硬件架構(gòu)指標目標值和隨機硬件失效率目標值。
表 2  硬件架構(gòu)指標目標值
表 3  隨機硬件失效率目標值
如果當前設(shè)計方案不滿足目標值要求，則可以通過增加設(shè)計診斷功能和設(shè)計冗余來降低故障率。
通過對系統(tǒng) ASIL 的等級劃分，然后針對 ASIL 的等級的要求進行功能要求?？梢园扬L險降低到可接受的范圍內(nèi)。
特斯拉的CEO埃隆穆斯克曾經(jīng)說過：不存在絕對的安全，唯一可能的是，盡可能的提升安全概率。
汽車安全生命周期
ISO 26262 還規(guī)定了汽車安全生命周期，包括了從概念設(shè)計、產(chǎn)品開發(fā)到生產(chǎn)和運行后的各階段的主要安全活動。
在概念開發(fā)階段，要基于系統(tǒng)定義和初步的框架結(jié)構(gòu)，分析可能存在的風險及 ASIL 等級。然后根據(jù) ASIL 等級來定義每個安全目標的功能安全概念。
在產(chǎn)品開發(fā)階段，按照 V 型開發(fā)流程定義相關(guān)安全活動。V 型的左側(cè)是技術(shù)安全需求的制定、系統(tǒng)設(shè)計，V 型的右側(cè)是系統(tǒng)集成、安全確認和發(fā)布。硬件和軟件的開發(fā)也遵循相似的 V 型開發(fā)流程。
在批產(chǎn)之后的階段，需要提供必要的文檔及方法，以保證在生產(chǎn)、售后服務(wù)和報廢等環(huán)節(jié)中，安全目標不被破壞。同時，需要監(jiān)控售后產(chǎn)品，發(fā)現(xiàn)有違背安全目標的案例要采取相應(yīng)措施。
以后的發(fā)展趨勢
隨著自動駕駛功能的逐漸完善，電子系統(tǒng)將在車輛中發(fā)揮越來越大的功能，與此同時，車輛功能安全也將會越來越重視。
與此同時，ISO 26262 雖然沒有被某國法規(guī)要求強制實施，但是國外很多車企在開發(fā)新車型已經(jīng)按照 ISO 26262 實行，同時相關(guān)的零部件配套供應(yīng)商等也需要符合 ISO 26262。
據(jù)說相關(guān)的國標轉(zhuǎn)換已經(jīng)在進行中了，不過應(yīng)該不是強制標準，最多也就是 GB/T 或者行標吧。
由于完全符合 ISO26262 會帶來一定的成本上升，國內(nèi)自主品牌雖然暫時沒有跟進，但是以后的逐漸跟進幾乎是必然趨勢。
最后總結(jié)
ISO 26262 通過系統(tǒng)的功能安全研發(fā)管理流程，以及針對汽車電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗證和確認方法，保證電子系統(tǒng)的安全功能在面對各種嚴酷條件時不失效，從而保證駕乘人員以及路人的安全。
對于汽車廠商而言，貫徹執(zhí)行 ISO 26262 標準可以提高安全性能，提升產(chǎn)品內(nèi)在價值，也可以最大程度的控制因為電子部件可靠性問題導(dǎo)致的整車召回風險，避免品牌形象受損以及蒙受較大的經(jīng)濟損失。