汽车安全之声 | 从上海车展看新时代的功能安全

引言

从2023上海车展看新时代的功能安全

➡本文（约2200字，7分钟阅读）

“全栈自研”时代的OEM和Tier1

正如很多媒体感叹，在 2023 上海车展上，技术的革新大部分由车企本身完成 :

从比亚迪的云辇到易四方。

从华为的ADS2.0，到理想的AD MAX3.0城市NOA。

从小鹏SPEA2.0扶摇架构，到蔚来的第三代换电站。

图片来源：界面新闻

不管是出于成本考虑，还是为了“软件定义汽车模式”下的智能化自主可控。“全栈自研”这个口号，自打被第一次喊出后，各自主品牌OEM真的是在不折不扣地严格执行着。

传统Tier1显然是对这种趋势最为敏感的群体。面对业务量的变化，传统Tier1也并未坐以待毙。

它们或调整业务方向，从单纯的系统提供方，成为平台件/中间件的方案商；或抱紧OEM大腿，绑定OEM开展深度定制化合作。但不管如何，核心技术的话语权，肉眼可见地在逐步往OEM迁移着。

正如2023上海车展的主题“拥抱汽车行业新时代”，新时代不仅是表面上的电动化和智能化，更隐含着整个汽车行业新的运作和分工模式，滚滚趋势，不可阻挡。

在这个新时代下，会给功能安全带来哪些变化？

天花板和地板

毫无疑问，在“旧时代”，供应商通常是功能安全的最佳实践群体。总体看，有两种力量驱动着Tier1。

从内部驱动的角度，传统Tier1，尤其是头部Tier1，本着强大的技术储备和开发实力，在ISO26262问世前，已具备完整的产品安全开发能力。功能安全很自然地作为了技术标杆中的一个环节，体现着企业的实力，构建着自己的技术壁垒，同时也帮助塑造了品牌的价值。

从外部驱动的角度，不管是面对OEM客户的高要求，还是同行竞争对手的步步紧逼，功能安全成为了一个敲门砖。所谓千言万语，胜不过一张第三方的产品认证证书。特别是对新晋的供应商企业来说，是否具备功能安全的开发能力，是涉及企业能否生存的现实问题。

内部和外部两种驱动力，都在促使着Tier1在功能安全领域做到足够“体面”，换句话说：朝着安全的天花板为目标来实践。

当OEM开始全栈自研后，情况就发生了微妙的变化。

很显然，OEM并不是天生就会干Tier1的活，在缺乏部分know-how的基础上摸索前行是全栈自研的必经之路。

与此同时，自研产品的功能和技术指标往往又是激进的，在功能调通之前，功能安全往往在实践中需要让路于功能开发，以满足功能实现和项目进度的要求。

再或者当降本压力到来时，功能安全似乎又成为了人力成本和物料成本的“贡献方”。

在这种情况下，只能通过功能安全相关的行业法规或标准，来构筑功能安全实践的最后一道“防线”。

比起第三方的流程认证或产品认证，法规认证虽说没那么细致的需求，但也算囊括了主要的整车或系统的功能安全验证活动，约束着OEM在全栈自研时，在功能安全上不至于彻底放飞。

全栈自研过程中的各种因素，往往促使着OEM在功能安全上做到“够用就好”，换句话说：朝着安全的“地板”来实践。

审核方的挑战

如何构筑全栈自研时代的功能安全堡垒，对审核方，尤其是法规审核方，无疑提出了更大的挑战。

因为没有办法像产品认证那般，花费1-2年时间，要求产品方以白盒的形式，按ISO26262的每一条需求逐条评审。

OEM也不会再拉着成熟供应商陪在身边，把传统Tier1几十年技术功底下的完整功能安全证据链以白盒或准白盒的方式，清晰地展示在审核人面前。

因此，如何在有限的时间内，在一个基于“安全地板”开发的产品中，从“灰盒”乃至“黑盒”中准确地找出失效链中潜在影响顶层安全目标的关键薄弱环节，从而完成一次有效的审核活动，确保审核的有效性和完整性，是对审核工作的一个重大的挑战。

当然，所谓的上述挑战，绝对不是把锅甩给审核方。

只有OEM自身，才应该是功能安全的第一责任人。

置信度的建立

在航空安全领域，民航局的适航审核单位会代表公众的安全利益，按照航空适航技术法规，对飞行器进行安全审查，并颁发适航证书，准予OEM进入市场。

在美国联邦航空局（FAA）和欧洲航空局（EASA）数十年漫长的技术审查过程中，随着适航审核方对波音和空客等OEM的信心逐步增加，诞生了名为ODA（Organization Designation Authorization）的审查机制。在该机制下，FAA和EASA会授予OEM相当大一部分的适航审查权限。

也就是说，经过长期适航审查，适航当局已有足够理由相信OEM内部有能力通过过程控制，来实现航空安全的自我审查监管，并使产品满足适航安全要求。

审核方完成了从“信任白盒”到“信任黑盒”的转变，这完全取决于置信度的建立。

汽车行业的功能安全虽然还没有到这个阶段，但从建立置信度的角度看，也是同样的意义。

想借助法规审核方来监管设计安全是否完整，客观上讲是很难做到的。只有OEM自己最清楚自己处在地板和天花板间的哪个位置（当然也可能处在地下室）。因此，实事求是地应审是建立OEM企业置信度的第一步。

其本质和人与人之间建立信任一样，藏着掖着一定不是一个建立信任的好方法。

是否尽可能多地做了安全分析？是否对每一个安全风险项都做了预案？是否尽可能识别出了Corner Case？

法规级的审核往往不追求逐条对标ISO26262，但一个积极的、实事求是的态度往往决定着能否快速建立置信度，让审核人员愿意在面对一个黑盒时，能够相信你守住了功能安全的最低防线，并且相信你能在此基础上不断筑高安全屏障。

和航空安全审查的ODA的建立过程一样，置信度的建立是个长期的过程。建立功能安全的置信度不应是OEM的最终目的，而是代表着在这个新时代下，企业为产品安全高度负责的态度。

结语

在这个汽车行业的新时代下，瞄着安全的地板并不一定是错误的，功能安全毕竟不是非黑即白的学术问题，而是一项需要和技术发展相匹配的工程活动。

但不去脚踏实地地建立安全置信度，只低头看地板而不抬头看天花板，一定不是个正确的选择。

James LI / 作者

闻继伟 | 校阅

文章转载自公众号：Sasetech