一文读懂新能源轿车的功用安全

消费者买了一辆车，也就购买了汽车带给我们的舒适与愉悦，同时也购买了汽车带给我们的安全感，这是汽车制造商最基本的责任与义务。

功能安全是什么？

随着电动化、智能化的发展，慢慢的变多的汽车配备了电子电气系统，如电传动系统、助力转向系统、无人驾驶系统等，原有的机械部件被电子器件取代。而引入如此复杂的电子电气系统对整车安全带来了极大的风险，简单的一个元器件老化、失效，都有可能引发系统故障，进而导致事故发生。

因此，对汽车及其相关零部件安全的要求也是慢慢的升高。

为了达到更高程度的安全要求，在针对其他行业安全的通用IEC 61508标准的基础上，衍生出针对汽车行业特定的ISO 26262功能安全标准。ISO 26262要求车载电子电气系统在检测到潜在的危险情况，启动保护或纠正装置，以防止发生危险事件或提供缓解措施以减少危险事件的后果。简而言之，功能安全的最终目的是确保产品安全运行，即便出现一些明显的异常问题也能够最大程度减少伤害。

所以，在电动化及智能化程度最高的新能源汽车行业，引入和深入实施ISO 26262功能安全标准，指导相关的产品开发，是十分必要的。

如何实现？

ISO 26262对关键的安全级别进行了四层划分，通过汽车安全完整性等级（ASIL）来衡量。ASIL A是最低等级，要求数目约100个左右，而ASIL D是最高等级，要求数目近200个。等级越高，安全系统就需要提供越多的安全和验证措施，需要增加更多的测试和集成工作，也就从另一方面代表着供应商需要承担更多的开发成本和时间。

为了实现新能源汽车的整车功能安全，需要OEM和各级供应商有着明确的职责划分和合作模式，国外主机厂在与供应商合作中，如博世、电装等，都有着明确的功能安全标准和验证要求。国内不少企业都借鉴了国外的技术或模式，如联合电子借助博世技术，已经实现功能安全电控的本地化研发和生产；阳光电源在完成符合ISO26262标准的电控产品开发的基础上，辅导国内某一线主机厂完成了功能安全理念下的产品开发及流程体系认证。

不同的汽车部件对功能安全的要求是不同的，越核心的部件需要越高等级的功能安全。就新能源汽车车辆自身安全而言，最核心的就是整车动力源及动力控制系统——电池和电机控制器。

动力电池：多重冗余设计

近两年，新能源汽车的安全事故频发，其中电池相关的安全事故占六成左右，究其原因，一方面，行业对电池设计、研发、验证等环节的相应安全标准不完善，另一方面大多电池企业在功能安全理念、开发经验、管理能力等方面存在较大差异。为避免更多安全事故，需要在动力电池的设计开发源头，就引入功能安全流程体系和技术方面的要求，这也有利于提升整车安全。

举个简单的例子，纯电动汽车在发生碰撞后之所以极易发生起火，原因就在于电池组未及时断电，碰撞产生的挤压变形造成电池短路，进而引发火灾。针对这样的一种情况，符合ISO2626标准的动力电池有必要进行冗余设计，通常是同时使用两个独立执行模块，尽量缩短响应时间，也就是碰撞信号的采集、确认以及执行器执行整车切断高压电指令的时间，只有响应时间越短，系统安全性才能越高。在充放电过程的管理、故障诊断等方面都需要有严格的分析、预防、保护等一系列安全管理策略。

电控：安全和性能结合

电机控制器作为新能源汽车的动力控制系统，掌握着整车的加速、刹车等关键性能，电控失效带来的安全风险不容忽视，所以，符合功能安全的电控设计正逐渐成为业内的普遍需求，当前对电控的功能安全需求多为ASIL C等级，但在未来，电控的功能安全需求或将提升为ASIL D级，这需要供应商具备复杂度更高、冗余性更强、可靠性指标更高的电控产品设计能力和水平。

目前，国内OEM和Tier1厂家都在加大对电机控制器的功能安全流程建设和产品开发的投入，也取得了不少成果，北汽新能源已获得流程和产品双认证，阳光电源和某主机厂合作完成产品开发和流程认证，联合电子完成产品研发和生产。

ISO26262标准中对流程建设有着清晰的指标，但并不涉及具体的产品设计，所以在摸索过程中，符合功能安全的电控产品开发面临的挑战更多，如何在过设计和欠设计中寻找平衡，如何在保证安全的同时实现性能最优化等等。阳光电源在其功能安全的产品技术方案中，采用多层程序监控、双软解码等技术，通过软硬件结合的方式来简化所需安全层级的任务，同时采用单管并联技术、低载波比控制技术等有效提高功率密度，确保产品性能，同时兼顾了产品的安全与性能。

结语

无论是国家政策导向还是汽车市场大环境所迫，新能源汽车都成了大势所趋。跟着时间的推移，我们也看到市场上有着慢慢的变多优秀的新能源汽车涌现，尤其是在关乎行车安全的“三电”系统的安全方面，国家标准、行业规范和创新技术都在不断完善和丰富起来，上文分享的功能安全ISO26262标准内容只是冰山一角，但是只有各个车企和供应商不断推出扎实可靠的产品，才能赢得更多消费者的认可和选择。

ISO 26262汽车功能安全

TüV认证功能安全专家资质培训（3天）

2020年6月5号-7号

培训地 点：上海市

课程概述

本课程颁发的FSE(Function Safety Engineer)资质证书为全球认可的ISO 26262功能安全能力认证和从业资质证书。FSE资质证书是工程技术人员担任功能安全经理、培训讲师或咨询师的最具影响力且得到全球广泛接受的能力凭证。

三天课程详细讲解ISO26262标准内容和要求，包括标准第1,2,3,4,5,6,7,8,9,10部分的要求，（简要介绍11，12部分），并根据该标准要求阐述如何采取相应的行动实施功能安全管理体系，以满足ISO26262的要求。

三天课程，通过汽车某电子电器系统项目案例讲解，和五个小组练习（项目定义、危害分析和风险评估、功能安全概念、技术安全概念、硬件安全要求规格、软件安全要求规格），和功能安全专家的答疑和指导：

培训目标

帮助学员理解汽车安全生命周期和开发流程的功能安全要素；

帮助学员掌握ASIL 的含义以及如何利用ASIL来确定安全和技术方面的要求进而达到可接受的残余风险；

帮助学员掌握风险确认和认可的方法，确保安全水平达到可以接受的水平；

帮助学员掌握ISO 26262企业内部实施策略和计划；

解决了学员在硬件开发和软件开发过程中，应用ISO26262中的难题；

课程收益

理解汽车安全生命周期，包括管理、开发、生产、操作、售后服务和报废。

理解开发流程的功能安全要素，包括要求制定、设计、实施、集成、验证、认可和配置等。

掌握ASIL 的含义以及如何利用ASIL来确定安全和技术方面的要求进而达到可接受的残余风险。

了解制定ISO 26262实施策略的必要信息。

掌握汽车行业独特的基于风险模式的风险分级汽车安全完整水平 - ASIL (Automotive Safety Integrity Levels, ASILs) 。

掌握风险确认和认可的方法，确保安全水平达到可以接受的水平。

培训对象

汽车行业管理层人员

系统、软件和硬件工程师

开发部和系统/软件/硬件经理

因为该标准和汽车行业密切相关，建议参加培训的人员应了解基本的软件和硬件开发。

培训大纲

第一天 9:00-12:00

ISO 26262介绍和标准第1部分

标准第2部分：功能安全管理

标准第2部分主要条款和内容

安全管理概要：批量前和批量后

新产品开发的角色和安全经理、项目经理

在概念阶段和产品开发阶段的安全管理

项目计划与功能安全计划

安全档案

审核、评估、评审

认可评审和认可评审措施报告

功能安全审核、功能安全评估计划

产品放行后的活动

小组练习题练习（测试）

第一天 13:30-17:30

标准第3部分：概念阶段

概念开发流程说明、小组流程练习

项目定义：定义和描述项目，提供对项目的充分理解，以便使得安全生命周期中定义的每一项活动可以执行。

汽车某电子电器系统项目，项目定义案例讲解

项目定义小组练习（企业或学员公司产品）

安全生命周期启动和定义将要执行的安全生命周期活动

危险分析和风险评估

汽车某电子电器系统项目，危害分析和风险评估案例讲解

危害分析和风险评估小组练习（企业或学员公司产品）

第二天 9:00-12:00

第一天内容复习

标准第3部分：概念阶段

功能安全概念（功能安全需求和初级架构元素或外部降低风险的措施）

汽车某电子电器系统项目，功能安全概念案例讲解

功能安全概念小组练习（企业或学员公司产品）

小组练习题练习（测试）

第二天 13:30-17:30

第4部分：产品开发 - 系统级

系统级开发流程说明、小组流程练习

系统级产品开发的启动

技术安全要求中的规格

系统设计

项目集成和测试

安全验证

功能安全评估

产品发布

汽车某电子电器系统项目，技术安全概念案例讲解

技术安全概念小组练习（企业或学员公司产品）

小组练习题练习（测试）

第三天 9:00-12:00

第二天内容复习

第5部分：产品开发 - 硬件级

硬件级开发流程说明、小组流程练习

硬件产品开发的启动

硬件开发的目标

硬件设计开发的原则

硬件安全规格的要求

汽车某电子电器系统项目，硬件安全要求规格案例讲解

硬件安全要求规格小组练习（企业或学员公司产品）

失效率的要求和随机失效率目标值

硬件架构设计和详细设计

第9部分：分解

ASIL分解、基本原则

ASIL分解的逻辑

ASIL分解案例与场景

小组练习题练习（测试）

回到第5部分：产品开发 - 硬件级

硬件的认证

认证硬件

安全分析与硬件

硬件的设计安全分析

硬件要求验证

硬件设计验证

硬件设计分析、硬件集成

硬件集成测试用例、集成测试

硬件安全机制

硬件架构指标总结：诊断覆盖率；安全可靠性指标

小组练习题练习（测试）

第三天 13:00-17:30

第6部分：产品开发 – 软件级

软件开发流程说明、小组流程练习

软件级产品开发的启动

软件安全要求的规格

汽车某电子电器系统项目，软件安全要求的规格案例讲解

软件安全要求的规格小组练习（企业或学员公司产品）

软件架构设计

软件单元设计与执行

软件单元测试

软件集成和测试

软件安全要求的验证

小组练习题练习（测试）

回到第4部分：产品开发 - 系统级

项目系统集成和测试

安全确认

功能安全评估

产品发布（投产）

回到标准第2部分：安全档案

安全档案

安全档案实例

小组练习题练习（测试）

标准第7部分: 生产和运营

生产：建立一个安全相关产品的生产计划，通过相关产品制造商或主管 生产的全部过程的人或组织来达到功能安全。

操作、维护和废弃：为了维持车辆操作期间的功能安全；定义了安全相关产品的维护、客户信息和维修指南的范围；提供拆卸前涉及的有关安全的活动要求

标准第8部分：支持流程

分布式开发接口；安全需求管理

配置管理或技术状态管理；变更管理

验证；文件

软件工具使用的信心；软件组件的认可

硬件组件的认可；使用中数据证明；独立安全元件

标准第9部分：安全分析

标准第10部分-指南

第11、12部分简要介绍

第三天内容复习、课程总结和考试

培训证书

学员成功完成课程并通过考试后，可获得由TüV-NORD颁发，由标准起草人签字的FSE(Function Safety Engineer)资质证书，该证书为全球认可的ISO 26262功能安全能力认证和从业资质证书。是担任功能安全经理、培训讲师或咨询师的最具影响力且全球广泛接受的能力凭证。

关于SCCM

SCCM（出行安全技术中心）是一个由来自中国、北美和欧洲的资深专家管理和运营的全球性安全技术服务平台。这些专家为功能安全和信息安全领域的最新技术带来了丰富的知识和经验。我们通过业界领先的培训、咨询、测试和认证服务为您解决产品安全问题。

关于TüV

TüV(Technischer überwachungs Verein)是德国技术监督协会，是国际权威的认证机构，在成立初期各州都有独立的TüV机构，承担很多国家授权的任务。而随着兼并和重组，逐渐形成TüV NORd(北德)、TüV S D(南德)、TüV Rheinland(莱茵)和SGS-TüV SAAR四个检测认证集团。他们在世界范围得到广泛的认可。