道路车辆功能安全标准（FuSa）基础(一)

什么是功能安全？所谓的“功能安全”，就是通过安全功能和安全措施来避免不可容许的功能风险的技术总称。功能安全（Functional Safety）的“功能”指的是监控受控对象和控制器的安全装置起的作用。通常我们将计算机作为安全装置，如果控制器发生故障，则该计算机将会关闭受控对象，并向用户发出危险警告。安全装置所实现的这种安全性作用，被称为“功能安全”。功能安全可以说是通过使用计算机等的安全装置所设计出的安全措施。
但是，在这里不得不提醒大家，安全本身并不是通过增加某种电子安全设备来保证的，而是通过“去除”导致危险发生的设计或机械故障的安全机制来保证。这种安全机制被称为“本质安全”（IntrinsicSafety）。
举个例子，这是一个非常经典的例子：

比如在铁路道口，我们常常有这样的危险顾虑，就是有人或者车辆进入到了铁道入口，和火车相撞，导致死亡。“本质安全”就是从根本上避免危险的措施，把危险源直接“除掉”，方法是可以把这个铁道道口改为立交桥。但是在某些情况或某些制约下，不能把铁道道口“除掉”，自然就会想到附加一个安全设施，这就是功能安全。因为某些制约，不得不设置铁路道口，但大家还要想避免这样的交通事故，那怎么办呢？这是功能安全。
欧美已经颁布了成套的功能安全相关产品指令和设计标准，并深入到各个领域，在核电行业、石油、化工、电厂等过程工业，工业机器、电梯扶梯、智能电网、家电软件评估、汽车行业、医疗软件评估领域广泛应用。
功能安全标准化的运动起源于20世纪90年代。

上世纪70年代开始，随着各种现代化技术的发展及其广泛的使用，以及工业生产过程的自动化程度越来越高，以电气、电子、可编程电子产品的大量应用为标志的现代化控制系统越来越多的渗透到各个领域，参与着各种控制过程。

但是，工业文明在给人类带来利益的同时，也带来了灾难。由于系统设计不合理、设备元器件故障或失效、软件系统的故障导致的事故、人身伤害、环境污染，越来越频繁的危及着我们的生命安全和赖以生存的环境。

人们开始认识到，必须采取措施，用标准和法规来规范领域内安全相关系统的使用，使技术在安全的框架内发展，使人类既能尽可能享受新技术带来的安全和舒适，同时又能掌控危险。功能安全标准研究从此展开。

然而，安全控制系统或设备执行安全功能时的可靠性问题，限制了用户使用新技术的积极性。由于没有公认的评价体系，制造商很难说服用户使用新技术，尤其在关系人身财产安全的重要领域使用新技术。另外，不同行业对安全要求的不同，也限制了安全设备的产业化生产规模。制造商迫切需要一个公认的标准来建立一个与用户对接的公共平台。

于是，2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全相关系统的功能安全》。IEC61508中，系统中的安全设备（减少风险的手段）由中继控制器或PLC（Programmablelogic控制器）等设备构成，我们把安全设备将实现其安全功能的可靠性的概率称为安全完整性水平，即SIL（Safety Integrity Level）。换句话说，基于这个等级标准，即，如果与构成安全系统的部件的故障率低，则由此构成的整个安全系统的故障率也是低的。
但是，有一种观点认为，在SIL定义中加入概率因素并不合适的。为什么不合适呢？那是因为功能安全标准不仅涉及了硬件部分，还涉及了软件部分。仅论硬件故障发生的概率，除了初始故障和损耗故障以外，偶发故障基本是随机发生的，如果把设计错误分开，那么加入概率因素是非常合适的。与此相对的软件故障可不是随机的了，所以软件故障(bug)是很难去计算其发生的概率的。例如，如果软件的设计中混入了bug，只要其发生路径和条件具备，那么故障的发生概率就是百分百！

针对这个问题，对IEC61508重新修订制定了ISO 26262标准。所以说ISO26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准。

ISO26262从2005年11月起正式开始制定，经历了大约6年左右的时间，于2011年11月正式颁布，成为国际标准。中国也已经在积极进行相应国标的制定。

安全在将来的汽车研发中是关键要素之一，新的功能不仅用于辅助驾驶，也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。将来，这些功能的研发和集成必将加强安全系统研发过程的需求，同时，也为满足所有预期的安全目的提供证据。

随着系统复杂性的提高，软件和机电设备的应用，来自系统失效和随机硬件失效的风险也日益增加，制定ISO26262标准的目的是使得人们对安全相关功能有一个更好的理解，并尽可能明确地对它们进行解释，同时为避免这些风险提供了可行性的要求和流程。

ISO 26262为汽车安全提供了一个生命周期（管理、开发、生产、经营、服务、报废）理念，并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程（包括需求规划、设计、实施、集成、验证、确认和配置）。
ISO 26262 不同于IEC 61508，它“不是一个可靠性标准”，它并没有为可接受失效概率设定准确的数字。ISO 26262基于概率论的定量危害分析仅限适用于硬件，其次，基于目标产品的使用条件和使用方法，针对整个系统进行危害分析和风险评估，识别出系统危害并对危害的风险等级——ASIL等级（Automotive Safety Integration Level，汽车安全完整性等级）进行评估。IEC61508定义了安全完整性等级 (SIL)，而 ISO26262 则定义了汽车安全完整性等级 (ASIL)。

ISO 26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的四个安全需求等级（Automotive SafetyIntegrity Level 汽车安全完整性等级ASIL），其中A是最低的等级，D级为最高等级，需要最苛刻的安全需求。然后，针对每种危害确定至少一个安全目标，安全目标是系统的最高级别的安全需求，由安全目标导出系统级别的安全需求，再将安全需求分配到硬件和软件。ASIL等级决定了对系统安全性的要求，ASIL等级越高，对系统的安全性要求越高，为实现安全付出的代价越高，意味着硬件的诊断覆盖率越高，开发流程越严格，相应的开发成本增加、开发周期延长，技术要求严格。

伴随着ASIL等级的增加，针对系统硬件和软件开发流程的要求也随之增强。对系统供应商而言，除了需要满足现有的高质量要求外还必须满足这些因为安全等级增加而提出的更高的要求。