前言

近年來，隨著汽車工業的快速發展，尤其是新能源汽車與智能汽車領域的崛起，汽車安全標準和認證要求日益嚴格，應用范圍愈加廣泛。ISO 26262和ISO 21448作為兩個重要的汽車安全標準，它們在“系統安全”中扮演的角色各自不同，但又有一定交集。在智能網聯汽車的高級輔助駕駛系統（ADAS）應用中，理解這兩個標準的區別及其相互關系，對于保障車輛的安全性至關重要。

ISO 26262：汽車功能安全的基石

如圖2.1所示，ISO 26262對“功能安全”的定義解釋為：不存在由于電子/電氣系統失效引起的危害，而產生不可接受的風險。

圖2.1 “功能安全”的定義（此截圖來自ISO 26262-1:2018）

ISO 26262是為確保汽車功能安全而制定的標準，通過安全生命周期管理來確保系統在設計、生產、運行、服務和報廢等各個階段都符合安全要求。它為汽車電子系統的開發提供了系統性的方法，幫助制造商識別和管理潛在的安全風險，涵蓋了系統、硬件(包括集成電路)、軟件的設計、開發與驗證過程中的安全要求。其核心目標是保證汽車電子/電氣系統在故障發生時能夠保持足夠的安全性，防止因系統故障導致的危險。

ISO 26262將汽車系統的安全性劃分為四個功能安全等級（ASIL：Automotive Safety Integrity Levels），從ASIL A（最低風險）到ASIL D（最高風險）。每個級別要求不同的安全措施和驗證過程。標準的應用范圍包括發動機控制系統、剎車系統、轉向系統等傳統汽車電子系統。

然而，隨著自動駕駛技術的興起和越來越多的汽車系統具備復雜的互動功能，ISO 26262的局限性也逐漸顯現。例如，傳統的功能安全標準往往忽視了系統行為的復雜性和不可預測性，尤其在涉及高級自動駕駛（ADAS）的智能網聯汽車時，如何有效地評估和保障系統在實際道路環境中的安全性成為一個新的挑戰。

ISO 21448：確保“預期功能”安全

如圖3.1所示，ISO 21448對“預期功能安全”的定義解釋為：不存在由于預期功能或功能不足時引起的危害，而導致不可接受的風險。

圖3.1 “預期功能安全”的定義（此截圖來自ISO 21448:2022）

ISO 21448《道路車輛—預期功能安全》（SOTIF）是ISO 26262的補充標準，特別聚焦于自動駕駛系統（ADAS）和高度復雜的系統。在ISO 26262的基礎上，ISO 21448增加了對“非故障”模式的關注，強調了系統行為的預期和不確定性問題，要求在系統設計時應更加全面考慮可能發生的意外的場景和觸發事件。

如圖3.2所示，ISO 21448將危害場景分為四個區域，分別是“area 1: 已知無危害”、“area 2: 已知有危害”、“area 3: 未知有危害”和“area 4: 未知無危害”。

圖3.2 “預期功能安全”的定義（此截圖來自ISO 21448:2022）

ISO 21448的核心理念是將可能觸發意外的area 2場景進行控制，并將未知的危險場景area 3降低至可接受水平。

ISO 21448特別強調以下幾個方面：

非故障行為的安全性：與傳統ISO 26262關注硬件和軟件的故障模式不同，ISO 21448關注系統在非故障情況下的行為和導致非故障行為改變的觸發條件。例如，在自動駕駛系統中，車輛可能遇到不可預見的道路條件或傳感器識別錯誤，ISO 21448要求設計團隊不僅考慮系統在故障時的應對措施，還要考慮在系統沒有故障但環境變化時的行為。

自動駕駛系統的驗證：自動駕駛系統的復雜性要求更加全面的驗證方案，ISO 21448規定了對系統在真實或仿真環境中的行為進行更嚴格的驗證。這包括不同道路、天氣、交通狀況等場景的測試，確保系統能夠在復雜的外部條件下保持安全。

感知系統的安全性：ISO 21448進一步要求在自動駕駛系統的設計中，必須考慮到感知系統（如攝像頭、雷達、激光雷達等）的安全性。這些傳感器需要具有足夠的魯棒性，以應對環境光、天氣變化和傳感器性能受限等因素的影響。

決策與控制算法的安全性：在自動駕駛系統中，決策與控制算法的正確性對安全至關重要。ISO 21448提出，除了硬件冗余之外，軟件算法必須經過嚴格的驗證，確保其在各種駕駛場景下都能做出安全的決策。

如圖3.3所示，在某些區域，用具有三維視錯幻象的人行橫道來提醒駕駛員。在道路上繪制圖像的目的是欺騙人類的感知，但也可能欺騙視覺系統，使其探測到不存在的物體，從而導致錯誤的制動。在這種情況下，基于光流的分析機制可防止錯誤制動。光流分析和基于雷達的環境識別作為相互替代的應對措施，以應對由視覺分類局限而導致的此類情況。

圖3.3 可能欺騙視覺系統的錯覺圖例子（此截圖來自ISO 21448:2022）

ISO 26262與ISO 21448的協同作用

ISO 26262和ISO 21448雖然是兩個獨立的標準，但它們之間是互為補充、協同作用的關系。ISO 26262主要側重于系統硬件和軟件的功能安全，關注如何通過設計、冗余、檢測等手段降低系統故障帶來的風險。而ISO 21448則聚焦于功能的“預期安全”，即系統在沒有明顯故障的情況下，如何在復雜和不可預見的環境中保持安全。

圖4.1 ISO 26262和ISO 21448協同

如圖4.1所示，結合上述兩種安全理念的應用，可以讓安全開發活動更完整，更全面地確保智能網聯汽車安全相關系統的安全性，尤其是高級輔助/自動駕駛系統。

從系統設計的初期階段開始，制造商需要在ISO 26262的框架下進行詳細的功能安全分析，并在此基礎上應用ISO 21448來考慮系統的實際行為和環境適應性，確保車輛在高度自動化的駕駛場景下依然具備足夠的安全保障。

未來展望

隨著汽車技術的不斷進步，特別是自動駕駛和電動化技術的快速發展，ISO 26262和ISO 21448的標準也在不斷發展和完善。在未來，這些標準可能會更加注重以下幾個方面：

多領域安全融合：自動駕駛不僅僅依賴于車輛內部的電子系統，還涉及到車與車、車與基礎設施之間的通信（V2X），以及環境感知和決策。ISO 26262和ISO 21448可能會進一步擴展到這些領域，制定更加綜合的安全框架。

增強的仿真與測試要求：隨著自動駕駛系統的復雜性增加，標準可能會要求更多的仿真和場景測試，特別是對極限情景的驗證，以確保系統在真實世界中的安全性。

人工智能與機器學習的安全：AI和機器學習算法在自動駕駛系統中的應用日益增多，如何驗證這些算法的安全性，尤其是算法的可解釋性和透明度，將成為未來標準的重要議題。

結論

ISO 26262和ISO 21448作為汽車行業功能安全的兩個重要標準，共同構成了確保汽車電子系統安全性的框架。ISO 26262專注于故障安全，而ISO 21448則進一步拓展了對復雜駕駛環境下系統行為的安全要求。隨著自動駕駛技術的不斷發展，這些標準的拓展將有助于構建更加安全、可靠的未來汽車系統。制造商需要積極適應這些新興標準，持續改進汽車設計和驗證流程，以滿足日益嚴格的安全要求。

廣電計量功能安全服務能力

廣電計量在汽車、鐵路系統產品檢測方面擁有豐富的技術經驗和成功案例，能為主機廠、零部件供應商、芯片設計企業提供整機、零部件、半導體、原材料等全面的檢測、認證服務，保障產品的可靠性、可用性、可維護性和安全性。

廣電計量擁有技術領先的功能安全團隊，專注于功能安全（包括工業、軌道、汽車、集成電路等領域）、信息安全和預期功能安全領域的專家，具有豐富的集成電路、零部件和整機功能安全實施經驗，可根據相應行業的安全標準為不同行業的客戶提供培訓、檢測、審核和認證一站式服務。

廣電計量半導體服務優勢

1. · 工業和信息化部“面向集成電路、芯片產業的公共服務平臺”。

·工業和信息化部“面向制造業的傳感器等關鍵元器件創新成果產業化公共服務平臺”。

·國家發展和改革委員會“導航產品板級組件質量檢測公共服務平臺”。

·廣東省工業和信息化廳“汽車芯片檢測公共服務平臺”。

·江蘇省發展和改革委員會“第三代半導體器件性能測試與材料分析工程研究中心”。

·上海市科學技術委員會“大規模集成電路分析測試平臺”。

·在集成電路及SiC領域是技術能力最全面、知名度最高的第三方檢測機構之一，已完成MCU、AI芯片、安全芯片等上百個型號的芯片驗證，并支持完成多款型號芯片的工程化和量產。

·在車規領域擁有AEC-Q及AQG324全套服務能力，獲得了近50家車廠的認可，出具近400份AEC-Q及AQG324報告，助力100多款車規元器件量產。

·在衛星互聯網領域，獲委任為空間環境地面模擬裝置用戶委員會委員單位，建設了行業領先的射頻高精度集成電路檢測能力，致力成為北斗導航芯片工程化量產測試的領航者。