ISO 26262和ISO 21448双重标准护航，驱动智能汽车安全升级（一）

ISO 26262：汽车功能安全的基石

如图2.1所示，ISO 26262对“功能安全”的定义解释为：不存在由于电子/电气系统失效引起的危害，而产生不可接受的风险。

图2.1 “功能安全”的定义（此截图来自ISO 26262-1:2018）

ISO 26262是为确保汽车功能安全而制定的标准，通过安全生命周期管理来确保系统在设计、生产、运行、服务和报废等各个阶段都符合安全要求。它为汽车电子系统的开发提供了系统性的方法，帮助制造商识别和管理潜在的安全风险，涵盖了系统、硬件(包括集成电路)、软件的设计、开发与验证过程中的安全要求。其核心目标是保证汽车电子/电气系统在故障发生时能够保持足够的安全性，防止因系统故障导致的危险。

ISO 26262将汽车系统的安全性划分为四个功能安全等级（ASIL：Automotive Safety Integrity Levels），从ASIL A（最低风险）到ASIL D（最高风险）。每个级别要求不同的安全措施和验证过程。标准的应用范围包括发动机控制系统、刹车系统、转向系统等传统汽车电子系统。

然而，随着自动驾驶技术的兴起和越来越多的汽车系统具备复杂的互动功能，ISO 26262的局限性也逐渐显现。例如，传统的功能安全标准往往忽视了系统行为的复杂性和不可预测性，尤其在涉及高级自动驾驶（ADAS）的智能网联汽车时，如何有效地评估和保障系统在实际道路环境中的安全性成为一个新的挑战。

ISO 21448：确保“预期功能”安全

如图3.1所示，ISO 21448对“预期功能安全”的定义解释为：不存在由于预期功能或功能不足时引起的危害，而导致不可接受的风险。

图3.1 “预期功能安全”的定义（此截图来自ISO 21448:2022）

ISO 21448《道路车辆—预期功能安全》（SOTIF）是ISO 26262的补充标准，特别聚焦于自动驾驶系统（ADAS）和高度复杂的系统。在ISO 26262的基础上，ISO 21448增加了对“非故障”模式的关注，强调了系统行为的预期和不确定性问题，要求在系统设计时应更加全面考虑可能发生的意外的场景和触发事件。

如图3.2所示，ISO 21448将危害场景分为四个区域，分别是“area 1: 已知无危害”、“area2: 已知有危害”、“area 3: 未知有危害”和“area 4: 未知无危害”。

图3.2 “预期功能安全”的定义（此截图来自ISO 21448:2022）

ISO 21448的核心理念是将可能触发意外的area 2场景进行控制，并将未知的危险场景area 3降低至可接受水平。

（cr.网络）