ISO 26262 合规性不会造成高昂的开销

通过将 ISO 26262 作为商定的一套规则使用，工程师和销售人员可以更好地相处，客户可以获得更安全的汽车。

“射击工程师并发运产品”是一个经得起时间考验的有趣格言。工程师和开发人员喜欢把事情做好，退一步，为自己的工作之美而自豪。首席执行官、市场营销和销售人员希望按时、按预算发货。

如果是小型无人机，那还好，但说到汽车安全，谁是赢家？

与直觉相反，功能安全的迷宫式 ISO 26262 标准实际上可能为这种看似永恒的拔河比赛提供了快速的解决方案，但双方必须认识到该标准的重要性，并共同努力以最大程度地降低遵守该标准的成本。

ISO 26262 在 2011 年被国际标准组织定义为生产汽车中电气和/或电子系统功能安全的国际标准。它是对功能安全 IEC 61508 的改编，适时赶上了汽车驾驶辅助系统 (ADAS) 的电子和软件的快速采用，以及对自动驾驶汽车的日益关注（图 1）。

 

图 1：ISO 26262 的出台及时地为日益依赖电子硬件和软件的汽车制定了明确的功能安全要求。（图来源：克莱姆森大学汽车电子实验室）

这是基于风险的安全标准，目标是评估风险并确定措施以减轻其影响，以避免或管控灾难性故障。由于复杂程度高，代码行数达数亿行，很有可能出现问题。但是，即使这种故障发生在关键子系统中，遵守 ISO 26262 要求和指南后，车上的司机和乘客将安然无恙。。

生命周期安全

ISO 26262 具有广泛的范围，从产品概念化到设计、开发、操作、服务和报废。这一点很重要，因为在这条道路上任何一点的失误都可能破坏之前和之后发生的事情。

该标准针对汽车系统以及乘客和驾驶员安全，具有四个汽车安全完整性级别 (ASIL)，即 A、B、C 和 D。在产品开发之初就对 ASIL 进行评估，并提出一个基本问题，即如果发生故障，车辆乘员和其他道路使用者将会发生什么情况？例如，防抱死制动器或发动机电子控制单元 (ECU) 的故障比座舱 USB 充电器的故障更需要注意。

这一估计是基于暴露的可能性、司机可能的可控性以及如果发生关键事件时可能的后果的严重性的综合考虑。此问题的答案决定了 ASIL 级别，D 具有最安全的关键流程和最严格的测试规定。例如，防抱死制动器或发动机电子控制单元 (ECU) 的故障可能是 ASIL-D，而座舱中的 USB 充电器则是“A”问题。

降低 ISO 26262 合规性成本

硬件和软件都是由 ISO 26262 规定的，需要通过广泛的测试来获得认证。对于硬件，许多问题都可以在可能的情况下通过使用预先限定的模块来解决或规避，但必须随附文档，优秀的供应商可以帮助您完成认证流程。

对于软件，关键字是标准：使用 MISRA 编码准则。该小组甚至还制定了 MISRA 自动编码，这是控制系统建模软件包用户的指南，与开发 MISRA-C 作为直接开发代码的指南的方式大体相同。

还有另一个关键字，虽然它同时适用于硬件和软件，但它主要是软件问题。关键字是测试。值得重复的是：测试、测试、测试。值得庆幸的是，该标准确实需要测试工具认证，并且多个供应商提供了各种工具链（图 2）。只需确保根据在设计周期早期开始的软件工具认证计划 (STQP) 中的内容验证工具置信度（1 至 4）。

图 2：软件是系统设计中日益重要和复杂的元素，在 ISO 26262 第 6 部分中以 V 形循环进行了讨论。Ansys 为基于相关安全模型的方法类应用提供了有用的技术文件。（图来源：Ansys）

测试阶段非常艰难，但回报远远超过了花时间正确完成测试的成本。在现场发现的故障可能比在开发阶段发现的故障昂贵 10 倍。但是，测试和测量公司以及嵌入式工具提供商提供了许多资源来进行合规性计划建模和执行。

似乎需要执行许多额外步骤，因此 ISO 26262 及其认证流程的即时增益可能看起来像是额外的工作、时间和费用。但是，请放心，这是值得的。在现场发生的未缓解灾难性事件可能会困扰品牌多年，尤其是在导致死亡的情况下。

在这一点上，工程师、销售人员和市场营销人员都可以达成一致。因此，ISO 26262 提供了一套通用规则，他们全都可以遵循这些规则，而且主观性更低，对最终产品的质量更有信心。如果工程部门仍然面临着发货压力，那么通常会有勇气说“不”，这是为了客户、您的公司和您的开发团队。

关于安全与安全性的小说明：一个系统采取了加密措施也可能是不安全的，但不采取加密措施的系统肯定是不安全的。