當前，汽車產業正在重構，電動化、智慧化、網聯化等新趨勢引領新一輪變革，汽車安全也受到諸多挑戰。TÜV萊因憑藉在汽車安全方面的深厚積澱及前瞻思維，呵護汽車全生命週期的安全。 汽車的邊界完全被打開，從傳統的機械類產品向電子、軟體、智慧終端機融合發展。

TÜV萊因大中華區工業服務總經理趙斌

 

傳統汽車的定義被徹底顛覆，汽車安全也受到了諸多挑戰。新趨勢和新技術對汽車安全提出了哪些新要求？伴隨自動駕駛層級的遞增，車輛在安全設計尤其是資訊安全方面有哪些重要考量？技術跨界融合，系統集成趨勢愈發明顯，未來，汽車的安全標準本身是否會有所進化和升級？帶著這些疑問，本刊記者專訪了TÜV萊因大中華區工業服務總經理趙斌，他解讀了新技術趨勢下汽車安全標準的變革、中國市場的認證現狀，以及未來的發展方向。

 

回應新技術，汽車安全標準不斷更新

汽車行業大部分的創新都源於汽車電子，其在整車上的成本從2000年的19%逐步擴大到現在的35%~40%，未來仍將進一步提升。趙斌談到：“汽車趨向於電動化、網聯化發展，如今大量電子控制單元（ECU）應用到汽車上，很多車上的ECU甚至達到100多個，涵蓋安全氣囊、車燈、天窗、動力控制系統、高級駕駛輔助系統（ADAS）等方方面面。”

新技術發展的同時也埋下了安全隱患，這些ECU所帶來的軟硬體設計、邏輯設計和介面越來越複雜，從而導致其中存在系統性失效和隨機性失效的風險逐步增加，隨之引發的車輛召回會給車企帶來巨大的經濟、品牌損失。如今， 90%以上的整車及零部件廠商都有功能安全需求，如何在產品設計階段就規避潛在的風險，已成為他們迫切需要解決的問題。

響應市場需求，2011年，汽車功能安全標準ISO 26262：2011正式發佈，該標準已經在汽車電子功能安全領域廣泛應用。同時，為了更好地適應不斷更新的技術要求，ISO 26262於2018年正式改版。該標準對產品的整個生命週期進行評估，從需求開始，到概念、系統、軟體、硬體設計，包括最終的生產、操作等，並根據風險分析的結果，將相關項的安全目標定義為ASIL A到ASIL D的安全完整性等級（Automotive Safety Integrity Level），最大程度規避系統、軟硬體設計問題造成的安全隱患。

隨著汽車功能越來越多樣、複雜，電子電氣架構也在不斷變革，逐漸從分散式的架構向網域控制站、伺服器式架構演進，單一的ECU將會連接到多個CAN匯流排，或車載乙太網上，以支援更高級別的智慧網聯、自動駕駛。趙斌表示：“為了滿足汽車軟體發展高品質的標準，ASPICE （Automotive Software Process Improvement and Capacity Determination，汽車軟體流程改進和能力測定）過程模型被建立。ASPICE是系統級軟體流程的要求，也是風險控制和安全保障的基礎，零部件供應商及整車廠已開始大量應用。”

智慧網聯時代，尤其伴隨5G在汽車上的應用，車將與萬物（人、車、路、基礎設施、雲端等）通信，連接點增多，威脅載體也隨之增大，每個計算、控制路徑都有可能存在安全性漏洞，從而被駭客利用或誤操作。行業內，車輛資訊安全威脅帶來的問題已十分突出，但目前還沒有成熟的資訊安全標準。趙斌表示：“國內外相關機構和組織近幾年也在積極地規劃和制定汽車行業的資訊安全標準，相信最受行業關注的ISO 21434發佈後將會是一大進步。”

隨著智慧駕駛汽車的發展，新技術的缺陷也會造成危險。例如，攝像頭和雷達感測器可能出現“視覺故障”，錯誤地將前方行駛過來的牽引車的白色側面識別為天空而不是障礙物，因而發生撞車事故。趙斌強調：“車輛的安全必須立足全域考慮，結合功能安全和汽車安全的標準重要性凸顯，SOTIF（預期功能安全）標準應運而生，它將進一步補充ISO 26262在針對潛在風險方面的不足。”

 

深耕中國市場，助力新能源汽車高附加值化

當下，中國市場新技術浪潮集中、需求激增。尤其是汽車電動化，中國市場無疑是前沿陣地，2018年中國新能源車銷量增長61.7%，並計畫到2025年，其在新車銷量中的占比達到1/5。

新能源車的電控系統比傳統車更加複雜，安全要求更高，其中最為人們所關注的要點之一就是功能安全。儘管ISO 26262暫時沒有出現官方層面的強制執行要求，但因其能減少電子器件失效造成的交通事故和降低潛在召回風險，在歐美已成趨勢，國際汽車廠商如寶馬、通用、福特等、汽車零部件供應商如博世、大陸等，早已採用ISO 26262標準開發安全相關的電子電氣產品，應用在混合動力汽車、電動車的開發。

中國汽車行業ISO 26262認證的現狀如何？“ISO 26262認證在中國始於2015年，雖然起步較晚，經過這幾年的發展，很多主機廠已在觀念上達成統一，想要引入ISO 26262標準的理念。但現實的處境是：零部件供應商想要符合標準，卻不清楚該如何做，遇到重重困難後容易選擇放棄；另一方面，標準的實施帶來大量額外工作，並增加系統成本，因此在下游用戶沒有強制性要求的情況下，許多企業並不願意承擔這部分成本。” 趙斌強調,“這是從無到有發展過程中的必經之路。如今，中國汽車已從量變向質變進化，我們不能單單考慮成本，要在安全層面有進一步考量，並儲備大量人才。同時為了應對新技術的快速反覆運算，我們要走出去，觀察全球趨勢，綜合考慮安全可靠性設計、軟硬體設計等。”

毋庸置疑，汽車電子零部件符合功能安全標準將為汽車帶來高附加值。趙斌表示：“雖然取得功能安全證書難度較大，而且整個週期一般要2年以上，但沒有安全，再好的汽車功能無疑是捨本逐末。尤其在如今的車市寒冬，市場競爭愈發激烈，正經歷優勝劣汰的選擇，未來誰的產品更安全可靠，將收穫更多機會，這也是中國車企未來能屹立國際市場的根本保障。”

 

前瞻思維，守護汽車全生命週期安全

追溯汽車功能安全標準ISO 26262的前世今生，TÜV萊因無疑佔據了濃墨重彩的一章。它來自於TÜV萊因內部的一份操作手冊，後來逐步演變為IEC 61508，也就是功能安全最初的起始標準。如今的ISO 26262標準在很大程度上參考了IEC 61508，並結合汽車行業特點，最終形成了汽車行業功能安全標準。

作為在中國最早開展功能安全業務的協力廠商認證機構，TÜV萊因也作為編委會成員參與了ISO 26262標準的制定。如今在國內市場，TÜV萊因頒發的汽車功能安全管理體系認證證書占一半以上份額，而汽車產品功能安全認證證書幾乎都由TÜV萊因頒發。

尤其值得一提的是，TÜV萊因在汽車功能安全領域具備前瞻思維。趙斌表示：“我們儲備了大量擁有研發背景的專業人員，並組成汽車功能安全團隊，長期關注產品和系統的功能安全認證，憑藉多年實踐經驗和對標準的精確理解，為企業培養了一批又一批的功能安全專家，獲得眾多知名車企的高度肯定和信任。”

具體而言，TÜV萊因主要提供三大服務：一是針對人員資質的培訓和認證，TÜV萊因具備相應的資質，可提供功能安全、ASPICE、資訊安全等方面人員的培訓，並頒發證書；二是在企業管理體系方面，TÜV萊因提供功能安全和資訊安全管理體系認證，以及ASPICE流程認證等服務；三是針對產品的認證，評估產品的功能安全、資訊安全、軟體流程設計是否符合要求。

對於市場上部分客戶提供研發完成的產品來認證這一現象，趙斌指出，這是傳統測試帶來的一大誤區。“功能安全、資訊安全等新技術的認證不像傳統的認證只依賴于測試，應統籌考慮整個生命週期，尤其要在設計上花費功夫，需要評估需求設計、架構設計、軟硬體設計是否符合要求，用測試檢驗設計只是最後階段。通常來講，汽車電子產品的研發週期和車型的開發一致，在兩年左右。功能安全的認證需要從初期就介入和參與，研發完成才準備認證的客戶一般很難滿足標準，設計需要從頭進行，這無疑會繞很多彎路，浪費研發成本。TÜV萊因將從源頭説明客戶滿足汽車安全標準，節約成本。”

汽車新技術的反覆運算已十分頻繁，如人工智慧（AI）、通信技術等加速融合，那麼，汽車的安全標準本身是否會進化和升級？趙斌表示：“這肯定是一大趨勢。回溯歷史，功能安全標準的建立從來都不僅僅是標準本身的發展，而是受技術升級和創新的推動。因此，未來伴隨技術的推進，尤其是智慧駕駛、無人駕駛時代的到來，汽車的功能安全和資訊安全將融合發展。另一方面，我們看到中國企業正努力躋身國際一流行列，在這些前沿標準還未確定之前，中國的製造企業也應該積極探索並參與標準的制定。”