芯耀
535
很多人第一次听到 ISO 26262,都会有这样的反应:
“又一个标准?”
“是不是工程师才看得懂?”
“和我有什么关系?”
其实一句话就能说明白:ISO 26262,本质上是在防止“车自己出错,把人害了”。不是防你不会开车,而是防 系统在你没犯错的情况下出问题。
一、先讲人话:什么是“功能安全”?
我们先不说 ISO 26262。想象一个真实场景:
你在高速上正常行驶
没踩油门
突然车辆自己加速了
请问: 这是驾驶问题,还是系统问题?
答案很清楚:这是系统功能失效导致的风险。
功能安全(Functional Safety)要解决的就是这一类问题:
当系统“功能不正常”时,
能不能避免伤害人?
注意两个关键词:
❌ 不是性能好不好
❌ 不是功能多不多
✅ 而是:出故障时,是否仍然安全
二、ISO 26262 是什么?一句话版本
ISO 26262 是汽车行业的功能安全标准。
再翻译成人话:
它规定了一整套方法,
确保汽车的电子和软件系统
即使出错,也不会造成不可接受的安全风险。
它主要管的是:
电子系统
软件系统
电控相关的机械系统
比如:
制动系统(Brake by Wire)
转向系统(EPS)
加速系统(电门)
电池管理系统(BMS)
三、为什么偏偏是“汽车”要搞 ISO 26262?
因为现代汽车,已经变成了
四个轮子 + 一个大型电子系统
一辆车里通常有:
70~150 个 ECU
上亿行代码
问题来了:
软件是一定会出 Bug 的
电子是一定会出故障的
那如果:
Bug 发生在娱乐系统 → 最多黑屏
Bug 发生在制动系统 → 可能是人命
ISO 26262 的出现,就是为了回答这个问题:
哪些错误可以接受?哪些绝对不可以?
四、ISO 26262 到底在干哪几件事?
我用一个极简逻辑链讲清楚
1️⃣ 先问一个问题:
“这个功能出错,会不会伤人?”
比如:
倒车影像失效
电子助力转向突然锁死
自动刹车误触发
ISO 26262 的第一步,叫: 危险分析与风险评估(HARA)
本质就是:系统性地想象“最坏情况”
2️⃣ 给风险分级:
不是所有问题都一样严重。ISO 26262 用一个等级来表示风险严重程度:
ASIL:A → D
ASIL A:风险低
ASIL B / C:中等风险
ASIL D:最高风险(致命)
举个例子:
车窗升降失效 → 可能 QM(无需 ASIL)
转向失效 → 几乎一定 ASIL D
等级越高,要求越严。
3️⃣ 从“想清楚”到“设计出来”
一旦风险等级确定,后面的事情就很工程化了:
架构上要不要冗余?
软件要不要监控?
传感器坏了怎么检测?
系统异常时进入什么“安全状态”?
比如:
刹车系统故障 → 降级但仍可制动
转向异常 → 限制速度 + 提醒驾驶员
ISO 26262 不关心你用什么技术,只关心:你有没有系统性地防止风险。
4️⃣ 最关键的一点:
不是“做出来就算”,而是“能证明你是安全的”
ISO 26262 非常“烦人”的一点是:
一切都要有证据
为什么这样设计?
为什么认为是安全的?
谁评审过?
有没有独立确认?
这就是为什么大家都说:
功能安全 = 技术 + 流程 + 文档
五、ISO 26262 和“质量标准”有什么不同?
这是很多人容易混淆的地方。
我用一句话区分
质量(如 IATF 16949)
防止“做得不好”
功能安全(ISO 26262)
防止“出错会死人”
质量关注:
一致性
稳定性
合格率
功能安全关注:
极端情况下会发生什么
出错时是否仍然安全
两者不是替代关系,而是层级不同。
六、为什么现在大家越来越重视 ISO 26262?
原因其实很现实:
1️⃣ 新能源车 & 智能车太“软件化”了
2️⃣ 自动驾驶责任边界越来越敏感
3️⃣ 法规、客户、事故调查都在倒逼
一句话总结:
当“人”逐渐不再直接控制车辆,
系统就必须为安全负责。
而 ISO 26262,就是目前全球汽车行业最基础、最通用的功能安全共识。
七、最后用一句话总结
如果你只记住一句话:ISO 26262 不是让汽车更聪明,而是防止汽车“犯错时把人害了”。
它不追求“永不出错”,而是追求:即使出错,后果也可控。
