随着汽车智能化电气化技术的快速普及很多朋友感兴趣功能安全方向应该往整车或系统方向走，还是软件功能安全方向发展？整车和系统主要关注功能层面的失效，软件功能安全则关注底层软件+硬件接口的功能安全设计。哪个方向更具有竞争力？或者说买车选车怎么才能知道功能安全好不好？今天跟着小星来聊聊汽车功能安全的细节吧。

什么是功能安全

如果去看一个汽车电子控制系统的话，主要关注的是它的功能性、安全性和保密性。在汽车电子行业，功能安全国际标准ISO26262和对应国标GB/T34590将功能安全定义为：避免因电子电气系统故障而导致不合理的风险。即随机和系统性失效不会导致安全系统的错误功能，从而导致人的伤害死亡，或环境污染，或设备财产损失。

功能安全适用范围

其实功能安全并不对应任何特定的芯片。那为什么它和车规级芯片相关度那么高呢？这就要提到功能安全的适用范围。

功能安全它不对应特定的零件，而对应的是特定安全功能，也就是说系统有潜在能力去支持安全功能达到相应的ASIL安全等级。安全相关系统功能用来减少风险并且达到和保持安全状态。安全功能总是针对一个安全回路而言，而不是针对一个设备或部件。

功能安全的双重视角系统架构与底层实现

功能安全国际标准ISO26262和国标GB/T34590将功能安全定义为避免因电子电气系统故障而导致不合理的风险。在这一定义下功能安全工作涵盖了从系统到软件的完整链条，形成了两个不同但相互依存的工作视角。

系统功能安全方向关注的是功能层面的失效分析与防护。这一方向需要工程师对整车架构有全局认知，理解各子系统之间的交互关系，并能够从顶层设计保障系统安全。以ISO26262标准开发流程为基础，系统功能安全工程师需要通过HARA危害分析与风险评估确定安全目标、完成安全架构设计并将安全需求分配至各子系统。

新能源电池系统功能安全案例

以新能源汽车电池管理系统(BMS)为例从系统功能安全视角看，BMS功能安全首先需要明确安全目标。依据中汽研NESTA标准体系下的电安全专项评价要求，对新能源动力电池系统的主要安全目标包括防止热失控、防止电芯排气/化学释放、防止电击以及防止非预期减速和动力丢失。系统功能安全工程师需要基于HARA分析确定这些安全目标的ASIL等级，例如防止热失控事件通常被定义为ASIL-D级别，故障容错时间间隔(FTTI)要求为200ms。

在此基础上系统功能安全工程师需要设计BMS安全架构，将其划分为电池监测模块(CMU)和电池控制模块(BMU)，并明确定义系统内的能量流和信息流。通过采用类似VCTA(Vehicle Control Technical Assessment)的汽车行车控制安全技术验证体系方法进行整车级危险场景分析和评测验证。系统工程师能够识别如"BCM发出断路器断开指令延迟"等潜在危险动作，并从系统层面设计防护措施及验证。

在中汽研NESTA电安全专项评价体系下整车功能安全需要应对"动力失效"和"非常规驾驶"两个主要评价方向在内的多种技术挑战。例如在传感器短路等故障条件下，软件需要能够快速检测故障并切换到安全状态。在驾驶员误操作等非常规驾驶场景中，软件需要具备足够的鲁棒性以防止系统异常行为。在最近小星到访中汽研与功能安全专家进行了深入探讨。中汽研依托NESTA电安全标准正在与整车厂一起建立安全用例库保证更完善的功能安全测试覆盖以及通过全面的功能安全评测体系让消费者能够买到更加放心的新能源汽车。

随着汽车电子架构向集中式发展，功能安全也呈现出从分散式向集中式演进的趋势。这种演进对两个方向的功能安全提出了不同的要求。对系统功能安全而言，需要更加关注域控制器之间的安全交互以及车载计算平台的整体安全架构设计。特别是中国汽车市场正加速向软件定义汽车转型，中汽研等机构正在推动建立更加完善的功能安全评价体系。随着SOA(面向服务架构)的普及和功能更新OTA的常态化，软件安全实现面临更高的复杂度挑战。不仅需要掌握传统的软件安全机制实现，还需要理解微服务架构下的安全隔离与通信，以及OTA场景下的版本兼容性与回滚机制。

"Fail Operational"趋势下的新挑战

值得注意的是，随着自动驾驶技术的发展，传统功能安全"失效即安全停车"的理念正在转变为"Fail Operational"，即系统发生故障后仍能维持关键功能运行一段时间，以完成更安全的处置。系统功能安全需要重新思考安全状态的定义，构建更为复杂的降级策略和冗余架构，以实现关键功能的持续可用。这要求对整车功能的优先级有清晰理解，能够在系统层面设计可靠的故障检测、隔离与恢复机制。软件功能安全则需要实现更复杂的安全机制，如多级监控、动态资源分配、异构冗余等，以支持"Fail Operational"能力。

功能安全作为汽车电子电气系统安全的基石，其重要性将随着汽车智能化、电气化的深入而持续提升。无论是选择系统功能安全方向还是软件功能安全方向，都需要工程师持续学习和深入理解行业发展趋势。小星也在此推荐有意向在汽车领域长期发展的工程师们尽早系统学习功能安全标准成为持证工程师。从而助力中国新能源汽车的发展也为自身的职业长远发展奠定基础。