在ISO 26262中，功能安全目标是指在汽车系统中确保安全运作的关键要求。功能安全目标旨在应对系统故障可能导致的风险，以降低对人员安全的威胁。制定功能安全目标是实现汽车电子电气系统安全性的核心步骤，通常通过风险评估来确定其适用的安全等级（ASIL等级：A到D，其中D级最高）。

功能安全目标通常涵盖以下关键方面：

 1. 避免不安全的系统行为

  - 控制系统失效状态：在出现系统故障时，确保车辆不会进入不受控的状态。例如，制动系统在故障时必须能够使车辆减速至可控状态。

  - 保护关键控制功能：确保与车辆操控、安全、稳定相关的功能（如转向、制动、动力传动等）在发生故障时不失控或能够在故障后进入安全模式。

 2. 减少功能失效的风险

  - 故障检测与响应：确保系统在发生故障时可以检测到错误，并迅速做出响应，如进入故障安全模式或触发警告机制，以减轻风险。

  - 故障隔离：在功能模块出现故障时，确保问题不会传播到其他模块，从而影响整体系统的安全。

 3. 保证系统的冗余和故障容错

  - 冗余设计：在高风险系统中引入冗余设计，以确保关键功能在单点故障或双点故障的情况下仍然能够正常运行。例如，在自动驾驶系统中，通过冗余传感器、冗余控制器来提高系统的可靠性。

  - 故障容忍能力：使系统能够在特定故障情况下继续工作，或者在必要时安全地关闭。例如，如果自动转向系统发生故障，系统能够立即切换到手动控制或进入安全停车模式。

 4. 确保系统功能的可预测性

  - 监控与诊断：通过定期监控系统的状态和诊断系统的健康状态，确保系统在故障发生前有预警机制，从而采取预防措施。

  - 防止非预期的操作：系统在特定条件下应避免非预期的功能激活或关闭。例如，在高压电池管理中，系统应避免在车辆运行时突然切断电源。

 5. 限制危害暴露时间

  - 快速响应机制：一旦发生潜在的危险故障，系统应迅速响应，将故障状态隔离或进入安全模式，以减少乘客和其他交通参与者的暴露时间。

  - 紧急操作功能：在发生严重故障时，提供应急模式（如安全制动、动力限制），使驾驶员能够将车辆带至安全位置。

 6. 减轻系统故障带来的二次风险

  - 安全状态切换：确保系统可以在出现危及安全的故障后立即进入“安全状态”（Safe State），如减速、停止或禁用某些功能，以减少潜在的危害。

  - 故障信息传递：故障发生时向驾驶员或其他系统模块提供明确的故障信息，使其了解当前系统状态并采取适当的行动。

 7. 确保整个生命周期的功能安全

  - 设计和验证：功能安全目标贯穿产品生命周期，包括设计、开发、测试、生产和维护。通过符合ASIL等级的设计方法和严格的测试流程来验证功能安全目标是否达成。

  - 持续性功能安全保障：系统在其整个生命周期内，应能够满足其定义的功能安全目标，如通过持续的系统监控、软件更新、维护等方式来保障系统在长期使用中的安全性。

 示例：功能安全目标实例

例如，针对电动转向系统（EPS）的功能安全目标可能包括：

  - 防止失控：在出现转向系统失效时，确保车辆不会突然失去控制。

  - 安全模式：在检测到转向系统的功能故障时，系统能立即进入一个安全模式，如限速或提示驾驶员手动操控。

  - 故障检测和报警：检测系统失效时，通过仪表盘指示灯或报警声音向驾驶员提供及时的警告。

以下是一些ISO 26262产品安全目标的示例，这些目标根据汽车不同的关键系统定义，以确保在发生故障或危险情况时能够保持足够的安全性：

 1. 制动系统

  - 目标：在制动控制系统（如电子稳定控制系统或防抱死制动系统）发生故障时，车辆仍然能够可靠地制动并避免失控。

  - 安全目标示例：在电子制动系统出现故障时，车辆必须切换至机械备份制动，并提示驾驶员问题所在。

  - ASIL等级：通常为ASIL D，因为制动系统故障可能直接危及乘客和行人安全。

 2. 转向系统

  - 目标：在电子助力转向系统（EPS）故障时，驾驶员仍应具备基本的手动转向能力，以便安全停车。

  - 安全目标示例：在电子转向辅助失效时，系统应立即通知驾驶员，并允许转向系统在无助力状态下继续使用。

  - ASIL等级：通常为ASIL D或ASIL C，因为转向失控会导致严重的安全隐患。

 3. 动力控制系统

  - 目标：在动力控制系统（如电动加速系统）发生故障时，避免车辆意外加速或完全失去动力控制。

  - 安全目标示例：如果检测到油门传感器故障，系统应自动切换至怠速模式，并通知驾驶员进行手动干预。

  - ASIL等级：通常为ASIL C或ASIL D，取决于系统对车辆安全控制的重要性。

 4. 气囊系统

  - 目标：在发生碰撞时确保气囊能够正确触发，同时在非碰撞情况下避免意外触发。

  - 安全目标示例：在检测到碰撞时，前排和侧边气囊必须在规定时间内部署，同时在非碰撞情况下防止气囊误触发。

  - ASIL等级：通常为ASIL C或ASIL D，因为气囊系统直接关系到乘员的生命安全。

 5. 高级驾驶辅助系统 (ADAS)

  - 目标：在高级驾驶辅助系统（如自适应巡航控制、车道保持等）故障时，系统应退出自动控制，将控制权交还驾驶员。

  - 安全目标示例：在车道保持系统失效时，系统应提示驾驶员接管控制，并在失效发生时通过警示灯或声音提醒。

  - ASIL等级：通常为ASIL B或ASIL C，具体取决于功能的自动化程度和对车辆控制的影响。

 6. 电池管理系统（对于电动汽车）

  - 目标：确保在电池管理系统出现故障时不会导致电池过热、燃烧或爆炸。

  - 安全目标示例：在电池温度异常升高的情况下，系统应通过降低输出功率或切断电源来防止进一步升温，并提醒驾驶员安全停车。

  - ASIL等级：通常为ASIL C或D，因为电池管理系统故障可能导致火灾等严重安全事故。

 7. 自动驾驶控制系统（对于自动驾驶汽车）

  - 目标：在自动驾驶系统发生故障时，车辆应能安全停车或将控制权平稳交还给驾驶员。

  - 安全目标示例：如果自动驾驶控制系统无法维持车辆安全行驶，应触发安全停车功能，将车辆减速至停止，并告知驾驶员。

  - ASIL等级：视自动驾驶系统的自动化等级而定，可能达到ASIL D，因为自动驾驶系统的失效可能导致严重的安全事故。

这些安全目标的定义会随着具体产品和应用的不同而有所调整，但核心原则是确保在关键系统失效时，系统依然能提供最基本的安全保护。每个安全目标的ASIL等级是根据潜在故障的严重性、暴露概率和可控性来确定的。

总之，ISO 26262的功能安全目标集中于确保系统在任何故障情况下都能进入安全状态或尽量减少对人和车辆的危害。通过这些功能安全目标的设计和实现，来提升系统的容错能力和整体安全性。

文章来源：中豪安全专家团队（如需转载，请注明文章来处）