在智能网联汽车时代, ISO 26262正在从一个相对静态的“功能安全”标准,演变为一个动态、开放的“系统安全”框架 。
面对人工智能、自动驾驶和复杂生态带来的新挑战,它通过引入新标准、更新自身版本以及与网络安全等标准融合来积极应对。
挑战一:AI与算法的“黑盒”难题
传统的ISO 26262擅长处理硬件随机失效和软件系统性故障,但面对深度学习这类“黑盒”算法就显得力不从心。算法可能在没有故障的情况下,
因为训练数据不足或场景理解错误而引发事故,这属于 “预期功能安全”(SOTIF, ISO 21448) 的范畴。
应对方式 :
引入互补标准 :ISO 26262正通过与 ISO 21448(SOTIF) 深度结合,来应对传感器局限和算法缺陷导致的风险。目前行业普遍采用“双轨制”,用ISO 26262应对硬件/软件故障,
用ISO 21448应对算法/功能不足。
新版标准回应 :预计 2027年发布的ISO 26262第三版 ,会重点增加对 机器学习和AI应用 的指导,例如新增训练数据处理指南,要求建立可追溯的AI模型版本数据库,
记录数据血缘和超参数变更。
更严格的验证方法 :验证也从传统的故障注入测试,扩展到对抗样本攻击测试,以防范算法缺陷。
挑战二:从“人机共驾”到“无人驾驶”
ISO 26262最初基于“驾驶员可控”的假设,但到了L3级以上自动驾驶,系统故障时可能无法及时移交回驾驶员,这就要求车辆本身具备“失效运行”(Fail-Operational)能力,
即故障后仍能继续运行直到安全停车。
应对方式 :
引入“可转移性”概念 :权威研究提出将传统的“可控性”细化为 “可转移性” ——即系统将控制权转移给后备安全机制的能力。
这为审核自动驾驶系统的故障响应能力提供了可量化、可审计的证据维度。
倡导“多样性”冗余 :国际法规(如UN R157)明确,系统应通过 功能相同的多样性系统 (如不同原理的传感器或算法)来实现故障响应,从架构层面提升鲁棒性。
当前L3级以上系统普遍采用1oo2(一选二)或2oo2D(二选二带诊断)等高阶冗余架构,要求从芯片到域控制器实现全链路冗余。
引入预测性维护 :通过预测性维护来主动识别性能衰退故障(如芯片老化),也是应对方向之一。
挑战三:供应链复杂化与网络安全交织
智能网联汽车涉及从芯片、软件、Tier 1到整车厂的庞大链条,任何一环的安全短板都会影响整体安全。同时,网联功能也引入了网络安全新风险,它可能成为功能安全的“放大器”。
应对方式 :
强化供应链协同 :新版ISO 26262加强了对 “脱离上下文的安全要素”(SEooC) 的指导,帮助IP供应商和芯片厂商更好地与集成商协作。
但在激烈竞争中,如何在成本、开发周期和安全“慢工出细活”间取得平衡仍是巨大挑战。
与网络安全标准融合 :ISO 26262第二版已要求建立功能安全与网络安全团队间的沟通渠道。现实中,ISO 26262(功能安全)正与 ISO 21434(网络安全)
深度整合,未来行业大会的议题热点正是“从芯片到系统的全面防护”和“功能安全与网络安全的深度整合”。
面对这些挑战,真正的关键 已不再是单纯满足标准条文,而是将安全设计前置到系统架构和AI模型定义阶段 。
将ISO 26262与ISO 21448、ISO 21434等标准进行系统性的融合实施,正成为行业共识和新一代智能网联汽车安全开发的基石。
推荐阅读:
亚远景-拒绝“为了评估而评估”:如何让 ASPICE 真正融入日常开发?
亚远景-ASPICE在供应链管理中的角色:如何利用标准评估和选择供应商
亚远景-从仿真测试到实车验证:ISO/PAS 8800 的测试策略
亚远景-ASPICE评估:汽车软件开发过程评估的方法与经验总结
推荐服务:
点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台
