当前位置：首页 > news >正文

汽车功能安全

news 2025/9/25 20:27:16

前言

近些年来，功能安全在汽车传统底盘域和动力域的应用已较为成熟，各大汽车企业功能安全意识也逐渐增强。在辅助驾驶和自动驾驶爆发式增长的大趋势下，现代汽车的功能安全在目前尤为复杂的电子电气系统中就显得更为重要，功能安全也是辅助驾驶和自动驾驶系统中不可缺少的组成部分。

然而在现实场景中，由于L3及以下的辅助驾驶系统技术尚未成熟，行业一直在比拼更低的价格成本和更短的开发周期，而这与贯彻功能安全的“昂贵”和“慢工出细活”相矛盾。由此造成在市场激烈的竞争中，功能安全往往要进行必要的妥协，但过多的妥协将失去安全保障的意义，功能安全从业者正在思考如何守住功能安全的底线。

1、何为汽车功能安全？

随着汽车智能化和电气化技术的快速普及，车内控制器和各种电子部件越来越多，而各类电子部件都存在系统性失效和随机硬件失效的风险，因此相应的汽车功能安全变得越来越重要。在汽车电子行业，功能安全国际标准ISO26262（是基于IEC61508 (Generic standard for Functional Safety of electrical/electronic systems）并适用于汽车行业的标准）和对应国标GB/T34590将功能安全定义为：避免因电子电气系统故障而导致不合理的风险。即随机硬件失效和系统性失效不会导致安全系统的错误功能，从而导致人的伤害死亡。ISO 26262是史上第一个适用于道路车辆的功能安全标准。

在ISO26262国际标准中，汽车功能安全主要包含了以下几类指导：

指导你如何量化产品的安全等级；
指导你如何根据不同安全等级设计对应的安全措施；
指导你如何控制系统性故障和随机硬件故障；
指导你如何管理功能安全（包括流程，安全管理制度、安全流程、安全审核等）。

在这里插入图片描述

功能安全等级的定义是为了对失效后带来的风险进行评估并指导风险降低到可接受的程度所需要遵循的要求。一般简称ASIL(Automotive Safety Integration Level-汽车安全完整性等级) ，ISO26262根据汽车的特点，在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。

ASIL按照严重性（Severity ）、可能性（Exposure ）和可控性（Controllability）评估危害事件的风险级别等级，共分为QM、A、B、C、D五个等级，ASIL D是最高的汽车安全完整性等级，对功能安全的要求也最高。

在这里插入图片描述

按照以上的划分并进行组合相加得到的5个ASIL等级,原则是：

（1）基本可控的C0组合和无伤害S0的组合不考虑；

（2）其余组合相加等于7分为ASIL A，等于8分为ASIL B，等于9分为 ASIL C，等于10分为 ASIL D；

（3）其余得分安全评定为QM，只要遵循标准的质量管理流程(IATF16949)，与功能安全无关。

在这里插入图片描述 ASIL汽车安全完整度等级矩阵

从产品安全的角度说，可以把安全分传统安全和E/E功能安全，传统安全包括：与触电、火灾、烟雾、热、辐射、腐蚀性、能量释放等相关的危害，此类传统安全问题均不属于功能安全考虑范围之内。功能安全只考虑E/E系统安全，例如汽车架构、系统、软件、硬件等方面的失效所导致的整车安全行为，强调在汽车产品的开发过程中如何避免预防、探测、降低或消除风险。它关注的是系统发生故障之后的行为，而不是系统的原有功能或性能。因此功能安全的目的就是系统发生故障后，将系统进入安全可控的模式，避免对人身造成伤害。

目前，欧洲所有OEM整车厂要求必须配备功能安全；美国的OEM整车厂已经在研究如何实施功能安全；亚洲的OEM（丰田，现代，吉利等）也已经明确要求功能安全。功能安全和ASPICE基本成为了目前汽车行业的通识和标准。

只有经过充分的设计讨论，严格的测试验收后的汽车功能安全，才能发挥其最大作用，将车辆的安全性及稳定性保障在一个可以接受的范围内。

2、汽车功能安全的必要性

目前，辅助驾驶已经逐渐成熟并且大量布局在量产车上，司乘已可切身感受到辅助驾驶带来的方便快捷。但与此同时，由于使用辅助驾驶而造成的事故也逐渐增多。这方面，无论是由于算法的设计缺陷造成的部分全新场景下的失效，亦或是硬件损坏导致的辅助驾驶功能受损失效，都将导致车辆在一定时间内处于失控状态，如果此时驾驶员不能及时接管或者留给人类驾驶员接管的时间所剩无几，就会造成严重的事故。而功能安全想要做到的，便是使得这些故障隐患尽可能地消灭在萌芽之中，即产品的开发设计验证阶段。从这方面来看，功能安全保障了汽车最基本的安全属性，是现代汽车行业内不可或缺和至为重要的一环。

纵使希望将所有的缺陷与故障在汽车售卖前全部发现并修复完毕，但对当前汽车上的电子电气系统来说，完全消除风险是不现实的。现在的车上有几十甚至上百个ECU系统，其中的代码有几亿行，随着使用时间的增长，电子元器件发生故障的可能性也越来越高，更不用说由上亿行代码构成的复杂系统带来的不可预知的风险。因此功能安全的目的并不是为了彻底消除风险，而是把风险降低到一个可接受的范围。

3、功能安全分析方法

功能安全分析需要在概念设计阶段，根据相关项定义的功能，分析其功能异常表现，识别其可能的潜在危害(Hazard)及危害事件(Hazard Event)，并对其风险进行量化(即确定ASIL等级)，导出功能安全目标(Safety Goal)和ASIL等级，以此作为功能安全开发最初最顶层的安全需求，也就是所谓的为HARA(Hazard Analysis and Risk Assessment)，具体流程如下图：
在这里插入图片描述

在HARA过程中，以及从SG到FSG都需要进行安全分析，一般有归纳分析法和演绎分析法两种方法，其中FMEA(Failure mode and effects analysis,即失效模式与影响分析)和FTA(Fault tree analysis,即故障树分析)是归纳和演绎最具代表性的分析方法，也是功能安全开发最常用的安全分析方法。

(1) FMEA
失效模式与影响分析(Failure mode and effects analysis)是一种自下而上的故障分析方式。对构成产品的子系统、部件逐一进行分析，找出潜在的失效模式，并分析其可能的后果，从而预先采取必要的安全措施。从多个个别事物中获得普遍规律的方法。

(2) FTA
故障树分析(Fault tree analysis)是一种自上而下的故障分析方式。从追溯失效开始，辨别出导致故障的情况或事件，从而找出导致故障的根本事件或原因。从已知定律经过逻辑推演得到新的定律的方法。

评估出风险的ASIL等级后，需要采取一定的安全措施把风险降低到可以接受的范围。当达到这个目标后，此系统可以称为具有相应的ASIL功能安全等级，也就是说功能安全等级是和风险的等级相对应的。

汽车功能安全

相关文章：

汽车功能安全

【Python】数据分析与可视化实践：收支日统计数据可视化的实现

Halcon 中_xld算子的概念与应用？ select_shape_std 和 select_shape_xld区别?

[pgrx开发postgresql数据库扩展]7.返回序列的函数编写（3）多行表序列

刚入职，就想跑路了...

如何让技术架构师具有预知未来业务发展的能力

卷麻了，新来的00后实在是太卷了...

单片机--实战练习

Go Etcd 分布式锁实战

Windows环境下pcl点云库安装配置教程

岗位分析与可视化系统（三）

unity进阶学习笔记：json和xml

数据结构之初识树与堆

虚拟化技术 — VirtIO 虚拟设备接口标准

Dubbo——SpringBoot集成Dubbo（@Autowired和@Reference的区别、Dubbo的服务治理）

高并发系统的三把利器

AppiumWinAppDriver自动化测试 Failed to locate opened application window with appid问题

渗透测试--6.1.aircrack-ng破解wifi密码

C++中的继承、以及赋值兼容转换。

js浏览器实现简单的实时扫一扫功能

Linux 文件类型，目录与路径，文件与目录管理

Leetcode 3577. Count the Number of Computer Unlocking Permutations

跨链模式：多链互操作架构与性能扩展方案

根据万维钢·精英日课6的内容，使用AI（2025）可以参考以下方法：

Android 之 kotlin 语言学习笔记三（Kotlin-Java 互操作）

基于matlab策略迭代和值迭代法的动态规划

python报错No module named ‘tensorflow.keras‘

2025年渗透测试面试题总结-腾讯[实习]科恩实验室-安全工程师（题目+回答）

代码规范和架构【立芯理论一】（2025.06.08）

python爬虫——气象数据爬取