陈伟康博士  德国莱茵TÜV工业服务副总裁

    Mr.Heinz Gall  德国莱茵TÜV全球负责功能安全的总负责人

    赵斌  德国莱茵TÜV大中华区负责功能安全的总经理。

    陈林  德国莱茵TÜV ISO26262专家

    由德国莱茵TÜV主办的“质胜中国——新能源汽车功能安全论坛”在上海召开，会议期间，德国莱茵TÜV几位专家就新能源汽车功能安全对媒体进行了权威解读。

    与传统的汽车相比，新能源电动汽车在功能安全方面有哪些不同？新能源电动汽车在功能安全方面有哪些技术难点需要加强和突破的？

    陈伟康：传统的汽车从研发到生产、使用、维护都非常成熟。包括其控制系统、执行驱动都是非常成熟的技术。新能源汽车由于三大组件发生了变化：驱动方式由电池代替了柴油汽油；电机变成了新的直流电机；控制大脑也更换了。这就需要一个成熟的过程，也包括电阻汽车零部件和控制软件都在经受考验。

    国内与国外汽车发展不同之处在于：国外是摸索着前进，通常产品生产成熟了，这套系统也就非常成熟了。但是国内不同，往往是先有功能再考虑是不是成熟，这与国外正好是相反的思维逻辑。其实，这也就暗示我们国内和国外的汽车有很大的差距。

    汽车安全可靠性不只是宏观的方面，还体现在所有的细节方面，功能安全是其中之一，还有一些匹配、连接的问题，这都需要从细节做研究。TÜV莱茵作为一个独立的安全检测认证机构，充当的是黄金后卫的角色，如果没有我们这个黄金后卫，新能源汽车的发展可能就到处都有灾难，这很关键。

    除此之外，在体系管理方面国内也有差距，这也是ISO 26262里的部分内容。在国内，整车企业重视产品，而不太重视体系，所以我也希望TÜV莱茵在这方面能够帮助企业建成良好的体系，然后踏踏实实一步一个脚印，从零部件，从基础概念做起。

    赵斌：由于新能源汽车改变了传统的发动机模式，使用电池供电，基本上车上所有与安全相关的控制系统都与电子相关，由于智能化程度的提高，CPU应用可能造成一些功能失效，从而造成危险的发生。CPU应用到不同的控制单元里，如DMS电池管理系统、MCU电机驱动、VCU整车控制器等，CPU相当于控制系统的“大脑”芯片，如果这个芯片出现故障，就会造成很多危险的发生，比如说在开车的时候，电机转动往前走，但是突然由于某种故障往后转了，就有可能发生事故。发生故障时如何保障安全，这就需要功能安全来解决。所以在传统汽车设计的时候，如何设计并实现这个功能，这是传统的电子工程师要考虑的事情。工程师需要考虑，正常的功能执行的同时，一旦出现故障，怎么保证安全，这有很多技术措施要采取。举例来说，如果CPU电源出现问题，不能正常工作了，那就有可能出现控制失效，这样很危险，该怎么做呢？就要诊断电源，一旦电源工作不正常，系统就要进入一种安全状态，通过这种设计来保障安全。实际上，车里有大量的安全措施，即电路设计上有很多安全设施，包括软件也有很多安全要求，都是通过设计来保障安全。

    现在越来越多新技术出现在新能源汽车里，包括智能驾驶。那么要保证智能汽车的安全行驶，在公共安全方面有哪些措施？目前国内外是什么样的水平？

    赵斌：信息安全方面有一个专门针对汽车信息安全的标准——SAE J3061《汽车网络安全指南》。在这个标准发布之前，工业行业有一个标准IEC 62443，这个标准已经被大量应用。这也表明大家很重视汽车信息安全。新闻联播曾报道：有黑客入侵克莱斯勒汽车的娱乐信息系统后，就能通过总线系统控制刹车和车速，这很危险。这个报道之后，很多公司都很重视汽车的信息安全。

    国内虽然也有一些厂家和我们合作，做信息安全的企业标准，其他汽车厂也都在做相关准备，但是还没有像目前功能安全这么热。

    Mr.Heinz Gall：现在信息安全在汽车和工业上都有应用，否则就有可能被黑客攻击。在德国和美国都发生过黑客攻击汽车的案例，因此，我们德国也在考虑信息安全。在工业上，有上述提到的IEC62443标准。实际上，功能安全标准中没有提到信息安全，但提到要参考信息安全相关的标准。我们德国一直在准备，另外TÜV莱茵在德国已经申请得到认证机构颁发信息安全的证书的资格，同时在美国，我们也通过了ISA组织的认可获得颁发美国的信息安全证书的资格，预计10月份拿到其授权证书。目前，TÜV莱茵是唯一受到德国和美国同时认可的信息安全认证机构。

    关于ISO26262标准，当前国内外企业的应用情况是怎样的？

    陈林：产品设计需要考虑产品的整个生命周期，从客户需求、产品概念到软件研发阶段，再到将来的测试阶段（软硬件测试、软硬件集成测试、确认测试等），都要考虑其安全性，ISO26262这套体系可以保证整体设计的安全性。

    新能源汽车在功能安全上有其特殊性，技术很新，可靠性和安全性没有很多经验可以借鉴，所以用ISO26262标准可以保证设计安全。

    现在出现很多新技术，如摄像头检测行人、车道偏移、自动驾驶等，这些新兴技术是不是安全和可靠，我们经验少，很难去做评估。ISO26262标准对新技术也起到了很好的作用，能够引导汽车厂、相关零部件厂按照标准去做，来满足标准的要求，这是一个发展趋势。

    最近几年新能源汽车以每年几倍的速度在增长，在细分行业里，新能源在功能安全方面走得比较靠前。随着新能源汽车产量的上升，暴露的问题也越来越多，今年到6月份已经有十几起起火的事故，这些事故一大半以上都是因为设计的问题，很多企业都在开展公共安全研究。

    目前针对整车设计，国内的厂家可能有30%～40%已经开始导入功能安全。做功能安全这件事情需要时间比较长，国外花了约5年的时间，国内从今年开始大家特别关注，今年算是刚刚起步，现在有30%～40%的企业开始着手做一些准备和试点项目。

    赵斌：实际上，在国外规模大一点公司在ISO26262标准出现之前，已经在用功能安全的基本标准（母标准）IEC61580。  

     陈林：这些虽然不是强制标准，但是像国际大厂商，比如宝马就要求所有供应商必须要满足标准，所以这些厂商需要先符合标准才能给宝马提供产品。

    TÜV莱茵作为第三方检测机构，在认证行业有什么优势？

    陈伟康：公司的业务是随着市场在发展，这两年因为ISO26262的推广，引进了很多专家，在德国总部专家的支持下，国内专家非常饱满地发挥他们的能力。我们的优势有几个方面，一是，TÜV莱茵的专家都来源于汽车设计一线，他们有近10年或10年以上的汽车设计经验，熟悉中外汽车行业。二是，TÜV莱茵的这些专家，中文是母语，本地化程度高。在时间上、技术上，可以确保翻译的准确度。三是，从中外融合的角度来讲，TÜV莱茵的工程师完全被德国专家认可，德国专家也全身心地支持我们。我们更多会帮助客户结合公司的情况，会帮助他们找到相对快速的捷径打造功能安全。

    Mr.Heinz Gall：如果企业开展功能安全，给整车做配套，拿到ISO26262的证书的时间周期除了与零部件的复杂程度有关外，还与企业的经验有关，一般需要几个月或一年左右。因为功能安全的认证与研发周期非常相关。

    ISO26262在国内的情况是怎样的？TÜV莱茵是否参与了国内标准的相关工作？

    陈林： 据我所知，目前ISO26262我们国家标准相关部门已经翻译起草了征求意见稿，预期明年上半年会最终发布行业标准。内容方面，ISO26262中有安全等级，但并没有明确什么样的产品等级是多少，这部分内容对应国外ICE298。但国内行业没有统一评判的标准，国家相关正在起草相关等级标准，预计2018年底完成。目前，新能源汽车起火事故非常多，国家也非常重视，我们国家将从电池管理系统着手，强制要求必须要做功能安全。这就说明将来在电池管理系统中一定要做功能安全，如果不做，车辆就不能出售。

    陈伟康：在国家标准的制定中，我们国家不允许第三方外资企业介入，可以参与讨论，但没有表决权和投票权。我们呼吁，国家相关部门在标准制定上，尤其是国际标准引入方面，能开放一些，畅通交流渠道，像ISO26262的转化，如果我们能参与更多，对中国新能源汽车发展也更有好处。

    现在主机厂对汽车安全有标准，这样会不会导致零部件或者整车厂在设计研发的时候会增加成本？

    陈林：成本分为两个方面：一方面是物料成本，电子产品中主要是芯片的成本。芯片是在走集成化的发展，其成本是在下降的。但是，从功能安全角度来说，集成度越高，功能安全需要增加很多措施，这样就可能会提升研发物料的成本。但也有可能新一代芯片，很多方面都符合功能安全，这个成本就不一定会高，也有可能是下降的。另一方面是隐形成本，即人力成本。如果没有功能安全标准，开发工作是混乱的，之后花一大半精力来做返工。如果有功能安全标准，则会详细规定开发、需求、设计、分析、测试、生产怎么去做。从这个角度来说，有可能研发的成本会降低。

    ISO26262标准不仅指导企业如何设计功能安全，也可以防止安全过度设计。举例来说，国外供应商是双核保护，国内的供应商可能会做五重保护，这就意味着成本就会成倍的上升。因此说，功能安全标准会帮助企业把“度”的问题做到恰到好处，这样成本就不一定会上升。

    陈伟康：把整个设计过程和程序管理好，会节约大量成本。Mr.Heinz Gall指出，中国如果学德国的话，一百年、两百年以后再开发电动汽车，可能早就被别人抛弃了，所以中国先有标准再有经验的路子是对的，关键问题是在转型过程当中要和国际接轨，多听他们的意见，这样可以节约大量的时间，才能沿着德国的脚印往前走，甚至超过德国。