在汽车电子领域，**功能安全（Functional Safety）**的十年（2015–2025）是从“关注电子故障”到“保障复杂场景安全”的深度演进。

这十年中，核心标准 ISO 26262 完成了从 1.0 到 2.0 的更迭，并催生了 SOTIF（预期功能安全） 等新范式，支撑起自动驾驶从 L2 向 L4 的跨越。

一、 标准与范式的代际跨越

1. ISO 26262 1.0 时代 (2015–2017)：关注“坏没坏”

• 核心概念： 专注于电子/电气（E/E）系统的随机硬件故障和系统性失效。
• 逻辑： 只要硬件没烧、软件没 Bug，系统就是安全的。
• 局限： 无法涵盖摩托车、卡车，且对自动驾驶中的“感知性能不足”束手无策。

2. ISO 26262 2.0 时代 (2018–2021)：全车型覆盖

• 里程碑： 2018 版标准发布。
• 突破： 将范围扩大至卡车、巴士和摩托车。增加了关于半导体、架构设计和预测性维护的深度指导，确立了 ASIL-D（最高安全等级）在智驾域控中的霸权地位。

3. SOTIF 与多维安全阶段 (2022–2025)：关注“行不行”

• 预期功能安全 (ISO 21448 - SOTIF)： 针对自动驾驶的新挑战——即便系统没故障，感知能力不足也会导致事故（如：大雾天看不清、没训练过的特种车辆识别不出）。
• 核心转变： 安全从“防止故障”进化为“处理不确定性”。

二、 系统架构：从 Fail-safe 到 Fail-operational

• 过去（2015）：Fail-safe（失效安全）

• 当系统检测到故障，直接关闭功能。

• 场景： 辅助驾驶报错，仪表盘亮灯，请驾驶员接管。

• 现在（2025）：Fail-operational（失效可用）

• 当系统部分失效，仍能维持运行或降级运行。

• 突破： 为了 L3/L4 无人驾驶，平台引入了双冗余架构。例如：Orin 芯片内部的两个独立处理岛，如果一个崩溃，另一个必须能接管并把车安全停下。

三、 功能安全核心维度对比 (2015 vs 2025)

四、 2025 年的技术巅峰：全栈可观测性与实时自愈

在 2025 年，功能安全已经深深植入智驾芯片和 OS 的每一寸肌理：

1. eBPF 与任务级确定性： 2025 年的系统引入了 eBPF 监控。它不再只是看系统有没有“死机”，而是实时监控神经网络推理任务的执行确定性。如果某个 ASIL-D 等级的路径规划任务被低优先级的娱乐应用干扰，产生超过 的调度抖动，系统会立刻触发内核级的任务优先级重置。
2. 动态诊断 (Dynamic Diagnostics)： 借助 SOVD 协议，诊断不再是离线的。车辆在行驶过程中会不断进行“自我体检”。一旦传感器置信度下降，系统会自动下发补丁或切换至预设的冗余链路。
3. 安全日志与闭环： 发生任何接管或微小异常时，系统会自动捕捉全栈 4D 数据快照回传云端，通过 AI 自动分析是否违反了安全目标，实现“安全性能的自动迭代”。

总结：安全是智驾的底线

过去十年的演进证明：功能安全不再是开发过程中的“枷锁”，而是自动驾驶规模化落地的“通行证”。

• 2015 年： 安全是“没出故障”的幸运。
• 2025 年： 安全是“在极端不确定下依然可控”的算法本能。