ISO 26262和数字孪生汽车体系中的安全挑战

近期数字孪生体联盟联合中国系统工程学会等主办了第三期“系统工程沙龙”，邀请瑞典皇家理工大学博士，TUV认证的ISO 26262功能安全工程师张新海做了《系统性分析自动驾驶中的关键场景》的分享，介绍了在ISO 26262安全体系中引入SOTIF方法论。

该分享引起了数字孪生体联盟部分成员的热议，如何在数字孪生汽车体系中遵循相关标准，成为了行业创新发展的一种障碍。数字孪生汽车作为新兴概念，如何跟ISO 26262融合，张新海博士给出了一个解决方案。

针对ISO 26262安全体系以及数字孪生汽车相关进展，本文做一个简要介绍。

ISO 26262《道路车辆功能安全》针对总重不超过3.5吨八座乘用车，以安全相关电子电气系统的特点所制定的功能安全标准，基于IEC 61508《安全相关电气/电子/可编程电子系统功能安全》制定，在2011年11月15日正式发布。

这是第一个适用于大批量量产产品的功能安全（Functional Safety）标准。特别需要注意的是，ISO 26262仅针对安全相关电子电气系统，包含电机、电子与软件零件，不应用于非电子电气系统（如机械、液压等）。

由于大量人工智能等新一代数字技术的引入，仅仅依靠固化的ISO 26262不能适应新的需要，毕竟它是2005年开始制定，2011年确定的标准，在过于10年期间，相关技术发展非常迅速，特别是数字孪生体技术的引入，需要引入新的体系。

工业4.0研究院称之为“数字孪生汽车”（Digital Twin Car），沿袭“数字孪生+”的特征，数字孪生汽车也具有开放体系，那么它的安全自然是一个难题，不能用ISO 26262体系来描述和判定，应制定新的汽车安全体系。

从全球正在探索数字孪生汽车安全体系的组织和企业来看，主要有NIST、工业4.0研究院、翼络数字和西门子等，它们构建了一套数字孪生测试验证方法，适应智能驾驶和自动驾驶等趋势需要。

相关报道介绍，ISO 26262主要由驾驶汽车和火车的相关人员发起，并非电子行业人士、OEM和Tier 1人员，所以对电子设备的安全标准并不清楚，只是在2018年修订的时候，增加了半导体等要求，还针对基于模型的开发、软件安全及失效分析等添加了指导纲要。

即便如此，数字孪生汽车完整体系的引入，超出了ISO 26262安全标准所能够承载的内容。

正如第三期系统工程沙龙分享嘉宾张新海所讲，ISO 26262标准不适应智能汽车和自动驾驶的需要。工业4.0研究院院长胡权表示，数字孪生汽车必须建立新的安全标准，毕竟不少内容可以通过数字孪生汽车自身来验证。

*张新海博士分享链接（视频）：

https://www.bilibili.com/video/BV1mL411g7Kv/