你有没有担心过汽车电子系统故障导致车辆失控？

随着自动驾驶（ADAS）的功能越来越普及，汽车的电子系统功能越来越强大，控制系统架构越来越复杂，我们也越来越依赖各种车载电子系统。

你有没有想过，这些电子控制系统在给人带来方便的同时，带来了多大的风险。

万一电子控制系统出现故障，会发生什么样的后果？

目前转向系统一般是电子辅助转向（Electric Powered Steering，简称 EPS），如果高速行驶过程中 EPS 发生故障，驾驶员没有输入转向信号，系统故障自己发生助力，急打方向，会是什么样的后果？

很多车辆的制动系统系统配置有电子稳定系统（Electronic Stability Control，简称 ESC)，如果在 120 km/h 的速度在高速公路上行驶，驾驶员没有踩刹车踏板，系统故障突然实施紧急制动，后续车辆来不及反应，会发生什么后果？

据《产品安全与召回》杂志统计数据，仅 2015 年上半年，42 家汽车制造商共实施召回 124 次，共召回缺陷汽车产品 293.14 万辆。其中，

涉及电子电器 42 次，共 1828019 辆；

发动机 30 次，共 697304 辆；

车身部分 19 次，共 31472 辆；

转向/悬架 14 次，共 206922 辆；

制动/车轮 12 次，共 62030 辆；

动力传动系统 6 次，共 105102 辆；

其他部分 1 次，涉及车辆 561 辆。

以上数据显示，电子电器系统已取代动力总成成为了最容易出现缺陷的汽车系统。

背景

随着机械结构越来越成熟，电子控制越来越普遍，有些高端豪华轿车上有几十上百个电子控制单元（ECU），其中安全气囊、底盘控制系统（制动/转向）、发动机控制系统等都是安全相关的系统。一旦这些电子系统出现功能性故障，将会极大的影响整车功能安全。

怎么去控制这种风险，约束这种行为呢？

从上世纪 60/70 年代开始，欧美各国就陆陆续续出台了一些法规来定义功能安全。

图 1 汽车功能安全法规发展历程

之前发布的法规只是泛泛的要求，没有细化，也没有针对汽车行业去做强制要求。

直到 2011 年发布了针对汽车行业的 ISO 26262。

汽车安全完整性等级的定义

首先，从功能安全和成本平衡角度来考虑，不可能所有的系统都是同等对待的，肯定是越是与安全相关的系统，越要重点关注，比如说发动机控制系统和收音机系统相比，肯定是发动机控制系统要重要的多。

所以 ISO26262 定义了汽车安全完整性等级（以下简称 ASIL）这个概念，根据子系统失效风险的 ASIL 的等级高低来区分对待。

工程上任何一个概念都是可以用数据量化的，那 ASIL 是如何量化的？

首先，从失效后果造成的伤害的严重程度来说，ASIL 定义了严重度 S。严重度 S 分 4 个等级，S0 到 S3，其中 S0 为无危害，S3 为致命危害。

其次，从该失效发生的概率来说，ASIL 定义了暴露率E。暴露率 E 分为 4 个等级，E1 到 E4，其中 E1 指很低的概率，E4 指高概率（>10%）。

再次，从该失效发生后能够避免事故或伤害的可能性来说，ASIL 定义了可控性 C。可控性 C 分为 4 个等级，其中 C0 为完全可控，C3 为很难控制（

根据实际情况确认好 S、E、C 这三个参数后，ASIL 就可以确定了。具体参考下图。

表 1 ASIL 等级确认

ASIL 分 4 个等级，其中 A 代表最低等级，D 为最高等级，QM 代表不需要考虑安全设计。

确定好 ASIL 等级后，就可以按照各个安全等级标准的要求去开发。

举个例子：对于电子驻车系统来说（EPB），我们对非预期的驻车功能失效为例，即车停好后，EPB 启动后，驻车功能发生失效。此时最大的失效工况是车辆停在斜坡上，驾驶员不在车上。

严重度：车突然滑行，对行人造成严重伤害，严重度定义为 S3。

暴露率：驾驶场景「斜坡停车，驾驶员不在车上」占整车使用寿命的比例 >10%，暴露率定义为 E4。

可控性：失效时驾驶员不在车上，不具备可控性。可控性定义为 C3。

查询上表，可以看出电子驻车系统（EPB）非预期性驻车功能失效的 ASIL 等级为 D。

功能安全的设计要求

不同的 ASIL 等级的有不同的设计需求。设计需求主要针对系统性失效和随机硬件失效。

ISO 26262 定义了评价系统性失效和随机硬件失效的指标：硬件架构指标目标值和随机硬件失效率目标值。

表 2 硬件架构指标目标值

表 3 随机硬件失效率目标值

如果当前设计方案不满足目标值要求，则可以通过增加设计诊断功能和设计冗余来降低故障率。

通过对系统 ASIL 的等级划分，然后针对 ASIL 的等级的要求进行功能要求。可以把风险降低到可接受的范围内。

特斯拉的CEO埃隆穆斯克曾经说过：不存在绝对的安全，唯一可能的是，尽可能的提升安全概率。

汽车安全生命周期

ISO 26262 还规定了汽车安全生命周期，包括了从概念设计、产品开发到生产和运行后的各阶段的主要安全活动。

图 2 功能安全管理

在概念开发阶段，要基于系统定义和初步的框架结构，分析可能存在的风险及 ASIL 等级。然后根据 ASIL 等级来定义每个安全目标的功能安全概念。

在产品开发阶段，按照 V 型开发流程定义相关安全活动。V 型的左侧是技术安全需求的制定、系统设计，V 型的右侧是系统集成、安全确认和发布。硬件和软件的开发也遵循相似的 V 型开发流程。

在批产之后的阶段，需要提供必要的文档及方法，以保证在生产、售后服务和报废等环节中，安全目标不被破坏。同时，需要监控售后产品，发现有违背安全目标的案例要采取相应措施。

以后的发展趋势

随着自动驾驶功能的逐渐完善，电子系统将在车辆中发挥越来越大的功能，与此同时，车辆功能安全也将会越来越重视。

与此同时，ISO 26262 虽然没有被某国法规要求强制实施，但是国外很多车企在开发新车型已经按照 ISO 26262 实行，同时相关的零部件配套供应商等也需要符合 ISO 26262。

据说相关的国标转换已经在进行中了，不过应该不是强制标准，最多也就是 GB/T 或者行标吧。

由于完全符合 ISO26262 会带来一定的成本上升，国内自主品牌虽然暂时没有跟进，但是以后的逐渐跟进几乎是必然趋势。

最后总结

ISO 26262 通过系统的功能安全研发管理流程，以及针对汽车电子控制系统硬件和软件的系统化验证和确认方法，保证电子系统的安全功能在面对各种严酷条件时不失效，从而保证驾乘人员以及路人的安全。

对于汽车厂商而言，贯彻执行 ISO 26262 标准可以提高安全性能，提升产品内在价值，也可以最大程度的控制因为电子部件可靠性问题导致的整车召回风险，避免品牌形象受损以及蒙受较大的经济损失。