自动驾驶和预期功能安全标准取得了哪些进步？

关于ISO 26262

汽车制造商正稳步地将更多的自动驾驶功能集成到公路车辆中，并着手将功能安全上升为整个行业的重中之重。为解决这个问题，汽车巨头和其电气和/或电子（E/E）系统的各供应商遵循国际标准化组织于2011年制定的ISO 26262标准。ISO 26262适用于道路车辆上特定的由电子、电气和软件组成的安全相关系统在安全生命周期内的所有活动。

截至目前，ISO 26262标准已为最大皮重3.5吨的乘用车在功能安全领域解决了很多层面的标准问题。司机辅助设备领域、车辆动力控制领域、主动和被动安全系统的设计研发都需要遵循ISO 26262。如：汽车防抱死制动系统（ABS)；车身稳定控制系统；防撞系统；车道偏离报警系统；自适应助力转向；主动停车辅助系统；自适应悬架控制；安全气囊；司机瞌睡警示系统；自动巡航系统；胎压监控系统等。

2018年发布的ISO 26262新标准包括多处更新，消除了对车身重量的限制，从而将其覆盖范围扩大到其他类型的车辆，包括重型公路车辆、卡车、公共汽车和摩托车。值得注意的是，第二版还将增添一份关于半导体产品的功能安全设计和使用指南。

然而，ISO 26262:2018标准中仍缺少关于自动驾驶车辆开发的细节规定。在第二版ISO 26262发布后，这项遗漏的主题将出现在国际标准化组织公共适用规范标准ISO/PAS 21448之中。这项新标准通常被称为SOTIF，即“预期功能安全”。

ISO 26262标准和SOTIF所最终解决的问题，将涉及汽车供应链的所有部分。例如，设计自动化软件将将用于解决汽车产品环境中部件的质量和可靠性问题。

ISO 26262标准对风险评估软件的功能要求进行了规定，并对使用此类软件具有信心。ISO 2626标准2第8部分第11条对此进行了说明。对于适用于汽车设计、制造和系统操作中使用的所有软件，标准规定了软件工具合格证书的具体要求。

标准的现行版本已经规定了这一要求。但是，哪些规定将产生重大的变更？

第二版ISO 26262标准的增添内容

第二版有何重大的新变化？

第二版ISO 26262标准包括涉及软件供应商的一些重要修改和补充。具体包括：

更新了PMHF（硬件故障概率度量）方程式和安全分析验证。

扩展了过程以确保软件工具包括供应商验证的使用置信度。

ISO 26262新标准中第11部分增加了中半导体应用指南。

ISO 26262标准确立了一套关于功能安全的最低满足标准，但它没有也无法涵盖某个产品的所有安全方面。系统供应商有责任确保产品满足最高的安全性、可靠性和性能指标。确保软件工具符合安全标准是该过程的一部分。

软件工具的使用置信度

从ISO 26262的角度来看，用于制造汽车系统部件的软件工具必须具备在功能安全设计环境中的使用资质。证明文件以合格证书认证报告的方式提交。。

本标准第8部分描述了所有软件工具的认证要求及分类要求。并特别明确规定了一项名改为“工具置信度”（TCL1-3）的标准对置信度进行了分级。因此，TCL可以用来衡量软件对故障的响应能力和故障检测能力。Tcl1为最高等级，Tcl3为最低等级。

对于用于汽车系统开发的软件工具，ISO 26262标准规定，“[分析须确保]，对于因软件工具故障导致的错误输出所产生的系统故障风险，在已开发产品中须控制在最低水平。中由于软件工具故障导致错误输出的系统故障风险最小化。如果ISO 26262标准要求的活动或任务依赖于所用软件工具的正确功能，则此开发过程就符合ISO 26262标准的要求而言是足够的。”

ISO 26262标准描述了是否达到某一置信水平的四种认证方法（如表1和表2所示对TCL2和TCL3进行了分级规定），但并非所有方法都是必要的。建议根据设计的目标汽车安全集成度（ASIL），采用不同的认证方法。例如，如某部件对应的是ASIL-A或ASIL-B等级，则1a和1b是“强烈推荐级方法”（++）， 1c和1d是“推荐级方法”（+）。

表1： TCL3等级的软件工具资格（ISO 26262标准）

表2： TCL2等级的软件工具资格（ISO 26262标准）

TCL 2等级的软件工具认证仅提供“强烈推荐级方法”（++）（1c）。 开发过程方法认证（1d）已降级为“推荐级方法”（+）。

这四种方法只是工具认证过程的一部分。作为执行摘要的软件工具认证报告将包括分类、验证过程、结果、建议、特殊项目过程认证、和有关工具使用的详细信息。分类为TCL1等级的软件开发工具适用于ASIL-D等级的部件，这是汽车安全集成度4个等级中最严格的等级。

新ISO 26262标准第11部分关于半导体的规定

作为二级汽车供应商的半导体公司，必须满足其原始设备制造商和一级客户提出的各项苛刻要求。他们必须证明，交付给客户的集成电路和系统的开发遵循或已经遵循其所用软件工具的合理设计、验证和验证流程。ISO 26262标准通过对工具认证要求的描述，也印证了这一点。

c、错误和故障模式的部分。它还涉及知识产权（IP），特别是涉及到了同ISO 26262标准知识产权规定相关的任何单个或多个安全要求。

自动驾驶和预期功能安全标准的进步

2014年，国际汽车工程师学会（SAE International）在J3016标准中确立了自动驾驶的通用术语。它描述了六个等级的自动驾驶。更高程度的自动驾驶（AD）这一概念，也称为无人驾驶或自动驾驶，正从第2级开始逐步引入。

图1：自动驾驶的6个等级（国际汽车工程师学会）

目前，自动驾驶处于早期发展阶段。我们今天在路上看到的汽车通常是二级车。汽车工业现在刚刚迈出了三级自动驾驶汽车商业化的第一步。尽管三级车辆已成为现实，但仍然面临着来自阻碍其实施的法律和监管的挑战。未来还将出现能够满足“高度”自动驾驶和“完全”自动驾驶—4级和5级的自动驾驶车辆。

ISO 26262标准仍是提供安全系统、安全硬件和安全软件的基础。其目的是确保在发生故障时车辆能够独立、安全地运行。ISO 26262标准建立了最先进的流程和体系结构，明确规定了保障系统安全的规则。

目前仍处于讨论阶段的预期功能安全标准将为0级、1级和2级自动驾驶（AD）车辆提供指南。即便如此，全球的自动驾驶专家仍在努力制定如何使系统安全的规定。

他们面临一个难题：即使没有故障，自动驾驶汽车也必须是安全的。因此，正在起草指导性的预期功能安全标准，以确保自动驾驶车辆在正常运行期间的功能和安全。

因此，预期功能安全涵盖的主题将包括：

自动驾驶设计高级概念的细节；

如何评估预期功能安全和ISDO 26262标准对危害的不同规定；

如何识别和评估场景和触发事件；

如何降低预期功能安全的相关风险；

如何检查和验证预期功能安全的相关风险；

以及在向市场投放自动驾驶车辆之前要满足的标准。

这将构成自动驾驶方法的基础。接下来是具体实施。自动检查和验证必须满足从模拟到整车的多项测试，其中包括涵盖整个四维环境的因素，如天气、道路状况、周围景观、产品质地和可能存在的驾驶员误用。

对于环境场景的前期概念分析和后期验证，预期功能安全将提供许多方法和指南。预期功能安全委员会希望通过不同的场景资料、这些场景的安全分析、安全场景验证、触发事件验证、以及在环境中验证车辆搭载的安全系统，来指导广大用户。这些因素对于遵守即将发布的自动驾驶标准至关重要。

这些高级概念、评估和测试将远超以往的开发过程。有鉴于此，我们对测试平台、软件工具、数字双模拟或硬件在环的依赖将比以往任何时候更重要。

因此，在开发自动驾驶系统时，您必须确信您的团队能够使用一流的软件工具。

参考资料

ISO 26262：2011国际标准化组织国际标准：《公路车辆—功能安全》，第1-9部分，第一版，2011年11月15日出版物；

ISO / DIS 26262：2016国际标准化组织国际标准草案，《公路车辆—功能安全》，2016年9月出版物；

ISO / DIS 26262-11：2016（E）国际标准化组织国际标准草案，《公路车辆—功能安全》，第11部分：“ISO 26262半导体应用指南”；

ISO / FDIS 26262-8：2018（E）国际标准化组织最终国际标准版草案，《公路车辆—功能安全》，第8部分：支持过程；

《ISO 26262第二版：半导体测试的新内容有哪些？》，明导白皮书；

《人工智能控制车辆的功能安全》，明导白皮书。