赋能智能汽车 | ISO 26262和ISO 21448双重安全保障

前言

近年来，随着汽车工业的快速发展，尤其是新能源汽车与智能汽车领域的崛起，汽车安全标准和认证要求日益严格，应用范围愈加广泛。ISO 26262和ISO 21448作为两个重要的汽车安全标准，它们在“系统安全”中扮演的角色各自不同，但又有一定交集。在智能网联汽车的高级辅助驾驶系统（ADAS）应用中，理解这两个标准的区别及其相互关系，对于保障车辆的安全性至关重要。

ISO 26262：汽车功能安全的基石

如图2.1所示，ISO 26262对“功能安全”的定义解释为：不存在由于电子/电气系统失效引起的危害，而产生不可接受的风险。

图2.1 “功能安全”的定义（此截图来自ISO 26262-1:2018）

ISO 26262是为确保汽车功能安全而制定的标准，通过安全生命周期管理来确保系统在设计、生产、运行、服务和报废等各个阶段都符合安全要求。它为汽车电子系统的开发提供了系统性的方法，帮助制造商识别和管理潜在的安全风险，涵盖了系统、硬件(包括集成电路)、软件的设计、开发与验证过程中的安全要求。其核心目标是保证汽车电子/电气系统在故障发生时能够保持足够的安全性，防止因系统故障导致的危险。

ISO 26262将汽车系统的安全性划分为四个功能安全等级（ASIL：Automotive Safety Integrity Levels），从ASIL A（最低风险）到ASIL D（最高风险）。每个级别要求不同的安全措施和验证过程。标准的应用范围包括发动机控制系统、刹车系统、转向系统等传统汽车电子系统。

然而，随着自动驾驶技术的兴起和越来越多的汽车系统具备复杂的互动功能，ISO 26262的局限性也逐渐显现。例如，传统的功能安全标准往往忽视了系统行为的复杂性和不可预测性，尤其在涉及高级自动驾驶（ADAS）的智能网联汽车时，如何有效地评估和保障系统在实际道路环境中的安全性成为一个新的挑战。

ISO 21448：确保“预期功能”安全

如图3.1所示，ISO 21448对“预期功能安全”的定义解释为：不存在由于预期功能或功能不足时引起的危害，而导致不可接受的风险。

图3.1 “预期功能安全”的定义（此截图来自ISO 21448:2022）

ISO 21448《道路车辆—预期功能安全》（SOTIF）是ISO 26262的补充标准，特别聚焦于自动驾驶系统（ADAS）和高度复杂的系统。在ISO 26262的基础上，ISO 21448增加了对“非故障”模式的关注，强调了系统行为的预期和不确定性问题，要求在系统设计时应更加全面考虑可能发生的意外的场景和触发事件。

如图3.2所示，ISO 21448将危害场景分为四个区域，分别是“area 1: 已知无危害”、“area 2: 已知有危害”、“area 3: 未知有危害”和“area 4: 未知无危害”。

图3.2 “预期功能安全”的定义（此截图来自ISO 21448:2022）

ISO 21448的核心理念是将可能触发意外的area 2场景进行控制，并将未知的危险场景area 3降低至可接受水平。

ISO 21448特别强调以下几个方面：

非故障行为的安全性：与传统ISO 26262关注硬件和软件的故障模式不同，ISO 21448关注系统在非故障情况下的行为和导致非故障行为改变的触发条件。例如，在自动驾驶系统中，车辆可能遇到不可预见的道路条件或传感器识别错误，ISO 21448要求设计团队不仅考虑系统在故障时的应对措施，还要考虑在系统没有故障但环境变化时的行为。

自动驾驶系统的验证：自动驾驶系统的复杂性要求更加全面的验证方案，ISO 21448规定了对系统在真实或仿真环境中的行为进行更严格的验证。这包括不同道路、天气、交通状况等场景的测试，确保系统能够在复杂的外部条件下保持安全。

感知系统的安全性：ISO 21448进一步要求在自动驾驶系统的设计中，必须考虑到感知系统（如摄像头、雷达、激光雷达等）的安全性。这些传感器需要具有足够的鲁棒性，以应对环境光、天气变化和传感器性能受限等因素的影响。

决策与控制算法的安全性：在自动驾驶系统中，决策与控制算法的正确性对安全至关重要。ISO 21448提出，除了硬件冗余之外，软件算法必须经过严格的验证，确保其在各种驾驶场景下都能做出安全的决策。

如图3.3所示，在某些区域，用具有三维视错幻象的人行横道来提醒驾驶员。在道路上绘制图像的目的是欺骗人类的感知，但也可能欺骗视觉系统，使其探测到不存在的物体，从而导致错误的制动。在这种情况下，基于光流的分析机制可防止错误制动。光流分析和基于雷达的环境识别作为相互替代的应对措施，以应对由视觉分类局限而导致的此类情况。

图3.3 可能欺骗视觉系统的错觉图例子（此截图来自ISO 21448:2022）

ISO 26262与ISO 21448的协同作用

ISO 26262和ISO 21448虽然是两个独立的标准，但它们之间是互为补充、协同作用的关系。ISO 26262主要侧重于系统硬件和软件的功能安全，关注如何通过设计、冗余、检测等手段降低系统故障带来的风险。而ISO 21448则聚焦于功能的“预期安全”，即系统在没有明显故障的情况下，如何在复杂和不可预见的环境中保持安全。

图4.1 ISO 26262和ISO 21448协同

如图4.1所示，结合上述两种安全理念的应用，可以让安全开发活动更完整，更全面地确保智能网联汽车安全相关系统的安全性，尤其是高级辅助/自动驾驶系统。

从系统设计的初期阶段开始，制造商需要在ISO 26262的框架下进行详细的功能安全分析，并在此基础上应用ISO 21448来考虑系统的实际行为和环境适应性，确保车辆在高度自动化的驾驶场景下依然具备足够的安全保障。

未来展望

随着汽车技术的不断进步，特别是自动驾驶和电动化技术的快速发展，ISO 26262和ISO 21448的标准也在不断发展和完善。在未来，这些标准可能会更加注重以下几个方面：

多领域安全融合：自动驾驶不仅仅依赖于车辆内部的电子系统，还涉及到车与车、车与基础设施之间的通信（V2X），以及环境感知和决策。ISO 26262和ISO 21448可能会进一步扩展到这些领域，制定更加综合的安全框架。

增强的仿真与测试要求：随着自动驾驶系统的复杂性增加，标准可能会要求更多的仿真和场景测试，特别是对极限情景的验证，以确保系统在真实世界中的安全性。

人工智能与机器学习的安全：AI和机器学习算法在自动驾驶系统中的应用日益增多，如何验证这些算法的安全性，尤其是算法的可解释性和透明度，将成为未来标准的重要议题。

结论

ISO 26262和ISO 21448作为汽车行业功能安全的两个重要标准，共同构成了确保汽车电子系统安全性的框架。ISO 26262专注于故障安全，而ISO 21448则进一步拓展了对复杂驾驶环境下系统行为的安全要求。随着自动驾驶技术的不断发展，这些标准的拓展将有助于构建更加安全、可靠的未来汽车系统。制造商需要积极适应这些新兴标准，持续改进汽车设计和验证流程，以满足日益严格的安全要求。

广电计量功能安全服务能力

广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例，能为主机厂、零部件供应商、芯片设计企业提供整机、零部件、半导体、原材料等全面的检测、认证服务，保障产品的可靠性、可用性、可维护性和安全性。

广电计量拥有技术领先的功能安全团队，专注于功能安全（包括工业、轨道、汽车、集成电路等领域）、信息安全和预期功能安全领域的专家，具有丰富的集成电路、零部件和整机功能安全实施经验，可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。

广电计量半导体服务优势

1. · 工业和信息化部“面向集成电路、芯片产业的公共服务平台”。

·工业和信息化部“面向制造业的传感器等关键元器件创新成果产业化公共服务平台”。

·国家发展和改革委员会“导航产品板级组件质量检测公共服务平台”。

·广东省工业和信息化厅“汽车芯片检测公共服务平台”。

·江苏省发展和改革委员会“第三代半导体器件性能测试与材料分析工程研究中心”。

·上海市科学技术委员会“大规模集成电路分析测试平台”。

·在集成电路及SiC领域是技术能力最全面、知名度最高的第三方检测机构之一，已完成MCU、AI芯片、安全芯片等上百个型号的芯片验证，并支持完成多款型号芯片的工程化和量产。

·在车规领域拥有AEC-Q及AQG324全套服务能力，获得了近50家车厂的认可，出具近400份AEC-Q及AQG324报告，助力100多款车规元器件量产。

·在卫星互联网领域，获委任为空间环境地面模拟装置用户委员会委员单位，建设了行业领先的射频高精度集成电路检测能力，致力成为北斗导航芯片工程化量产测试的领航者。