汽车行业最近几年开始推行功能安全。并且功能安全在越来越复杂的汽车系统中，越来越被重视。

目前，欧洲所有OEM整车厂要求功能安全；美国的OEM整车厂已经在研究如何实施功能安全；亚洲的OEM（丰田，现代，吉利等）也已经明确要求功能安全。功能安全和ASPICE基本成为了目前汽车行业的通识和标准。随着即将发布的信息安全ISO标准，汽车行业将会是“三驾马车”——ASPICE，功能安全，信息安全——齐头并进，相辅相成。汽车行业将又是风云变幻，群雄争霸。

什么是汽车功能安全？

其实汽车功能安全不是新鲜事物。ISO26262是基于IEC61508（Generic standard for Functional Safety of electrical/electronic systems）并适用于汽车行业的标准。ISO26262和ASPICE有着类似甚至相同的概念：都是基于过程描述；都是基于V模型的开发模型；都是适用于汽车行业。但ISO26262并不会告诉你如何实施/实现不同的安全等级，也不能保证产品的绝对安全可靠，也不会指导你如何实施/实现所有汽车功能模块的需求。

那么ISO26262，汽车功能安全到底是什么？

功能安全（ISO262262）主要包含了：

1.      指导你如何量化产品的安全等级；

2.      指导你如何根据不同安全等级设计对应的安全措施；

3.      指导你如何规避/控制系统性故障和随机故障；

4.      指导你如何管理功能安全（包括流程，技术分析方法等）。

ISO26262的适用范围

ISO2626-2011版规定的适用范围是：Safety-relevant systems which include one or several E/E systems and are installed in production passenger cars (up to 3500kg). (Excluding vehicles for disabled persons) 。简单来讲，ISO26262-2011版只是适用于车身重量大于3500kg的乘用车，不包括特种车/摩托车/货车等。

ISO26262-2018版规定的适用范围是：This document is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production road vehicles, excluding mopeds. This document does not address unique E/E systems in special vehicles such as E/E systems designed for drivers with disabilities.简单来讲，ISO26262-2018版的适用范围没有了车身重量限制，没有乘用车限制，也没有了摩托车限制，也没有了货车的限制。ISO26262-2018版适用于所有的汽车/电动车，除了轻便摩托车，特种车。

对比这两个ISO26262标准就可以明显看出，新版的ISO26262多了很多东西。

ISO26262-2011版

ISO26262-2018版

功能安全流程简介

上图显示了功能安全开发的流程和生命周期。主要分为了三部分：1. 概念设计阶段——一般由OEM整车厂负责定义；2. 产品开发阶段——一般由供应商负责；3. 产品量产阶段——一般由供应商负责。

概念设计阶段

虽然从图中感觉概念设计阶段需要的东西很少，并不复杂，但是概念设计阶段才是最重要的，也是所有功能设计的基础。如果遇到一个不懂的整车厂，概念设计阶段将是艰难又漫长的阶段。如果整车厂不懂功能安全，一般供应商需要自己概念设计。前段时间遇到的某整车厂，光是讨论功能安全基本概念都花了一个多月的时间，更不用说概念设计了。

Item definition（项目定义）：明确定义项目的边界，功能，及其需要交互的其他系统。比如是BCM产品，就需要明确定义BCM在车上的功能，和其他系统的交互。这步完成了，接下来的危害风险分析才能是准确的。

Hazard analysis &Risk analysis（危害风险分析）：简称H&R。H&R是根据项目在车上不同使用场景，具体分析每个场景可能存在的危害风险。这也是为什么Item definition十分重要。

ASIL 等级评估参考表

评估每个使用场景的危害风险等级由三个参数决定：严重程度，概率大小，可控性。具体如何操作，比较复杂，可以在另外一篇文章中单独介绍。

H&R最终的输出会有：1.      ASIL（Automotive Safety Integrity Level）等级；

2.      安全目标（safety goal）；

3.      安全状态（safe state）；

4.      容错时间间隔（Fault Tolerant Time Interval, FTTI）。

功能安全概念（Functional Safety Concept，FSC）：FSC是对安全目标，安全状态，容错时间间隔，安全等级的一个系统性分析。FSC需要站在整车的角度分析定义出项目中的功能安全概念。FSC需要定义出项目中需要实现哪些安全功能。

产品开发阶段

技术安全概念（Technical Safety Concept， TSC）：产品开发阶段中最为重要的一步。TSC是对FSC的完善和深化。FSC定义了需要实现的安全功能，而TSC就需要研究设计出怎么实现安全功能。在实际项目中，负责TSC的人都是对项目需求/架构十分了解，技术能力很强的人。

软件/硬件开发：软件/硬件团队根据TSC的需求和设计，最终实现产品的安全功能的开发。

功能安全审核：和ASPICE一样，功能安全会有一个功能安全审核。不一样的ASIL等级，审核的标准是不一样的。

ISO26262-2011版 - Table 1

产品量产阶段

产品量产阶段代表了产品研发已经结束，产品的功能安全审核也完成了。这时候工厂需要做的就是根据功能安全的要求，相应的在生产制造过程中加入特别的安全措施或者提示。