袁蘭秀

摘 要：針對汽車電子電氣系統(tǒng)功能安全標(biāo)準(zhǔn)ISO26262的概念、執(zhí)行背景、現(xiàn)狀、執(zhí)行困難等進行了說明和分析，提出企業(yè)實施推行ISO26262過程中的幾點建議。

關(guān)鍵詞：汽車 功能安全 現(xiàn)狀 建議

中圖分類號：U463 文獻標(biāo)識碼：A 文章編號：1672-3791（2013）03（b）-0245-02

車輛交通事故的經(jīng)驗教訓(xùn)告訴我們，預(yù)防事故，實現(xiàn)汽車安全，必須建立汽車安全管理的長效機制，這是防患于未然，保障乘駕人員的生命安全及財產(chǎn)安全，保障企業(yè)長久穩(wěn)定發(fā)展的根本措施。

影響汽車安全的因素很多，有些是釀成事故的直接原因，個人認(rèn)為主要包括人的不安全行為、汽車的不安全狀態(tài)及外部環(huán)境的惡劣。具體反映為：一是乘駕人員本身，包括技能、安全意識、情緒與性格等；二是汽車技術(shù)的客觀因素，包括車況、汽車本身結(jié)構(gòu)缺陷、電器控制缺陷、及隱蔽性隱患等；三是管理制度因素，包括汽車安全的標(biāo)準(zhǔn)、規(guī)程、流程、制度等；四是環(huán)境的影響，包括氣候條件、外部環(huán)境、路況等等。這些因素在特定的時間和空間內(nèi)相遇，就會導(dǎo)致安全事故的發(fā)生。

汽車電子技術(shù)的快速發(fā)展，基于電子控制的汽車功能復(fù)雜性和功能性增加，系統(tǒng)故障與隨機故障帶來的風(fēng)險也增加。同時汽車電子技術(shù)的快速發(fā)展也為汽車安全技術(shù)帶來了全新的理念，從被動安全到主動安全以及設(shè)計階段就導(dǎo)入的功能安全體系等，都因為汽車電子技術(shù)的發(fā)展帶來全新更革和方向。被動安全主要有如行人保護吸能車體、安全帶、駕駛員和副駕駛氣囊和簾幕氣囊，氣囊控制模塊和碰撞傳感器等，及阻燃器件、自動報警、汽車黑匣子；到主動安全主要有如ABS、ESP、前方防撞警示系統(tǒng)、車道維持系統(tǒng)、車道偏移警示系統(tǒng)、駕駛者狀態(tài)監(jiān)控系統(tǒng)、指紋辨識免鑰系統(tǒng)、盲點偵測與開門警示系統(tǒng)、自動停車導(dǎo)引系統(tǒng)等。這些汽車安全技術(shù)已成為滿足乘坐舒適、操縱方便和改善汽車安全性、減少車輛交通事故的有效手段。汽車安全系統(tǒng)已經(jīng)過了一系列的衍變，從被動安全到主動安全，到安全性預(yù)測，尤其是汽車主動安全系統(tǒng)和功能安全研發(fā)設(shè)計系統(tǒng)，是作為汽車技術(shù)方面的預(yù)防性安全對策，以主動預(yù)防汽車交通事故的發(fā)生。

基于以上，汽車工業(yè)對電子電氣系統(tǒng)功能安全標(biāo)準(zhǔn)的需求也越來迫切，因此起源于過程工業(yè)領(lǐng)域IEC 61508、專門針對汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)的ISO26262應(yīng)運而生。

1 ISO26262進展

1.1 ISO26262內(nèi)容簡介

ISO26262（Road vehicles-Functional safety）道路車輛功能安全系列標(biāo)準(zhǔn)于2011年11月15日正式頒布，該標(biāo)準(zhǔn)的目的在于提高汽車電子、電氣產(chǎn)品的功能安全，在產(chǎn)品的研發(fā)流程和管理流程中，預(yù)先分析和評估潛在的危害和風(fēng)險，通過實施科學(xué)的安全技術(shù)措施、規(guī)范和方法來降低風(fēng)險，利用軟、硬件系統(tǒng)化的測試、驗證和確認(rèn)方法，使電子、電氣產(chǎn)品的安全功能在安全生命周期內(nèi)滿足汽車安全完整性等級的要求，提升系統(tǒng)或產(chǎn)品的可靠性，避免過當(dāng)設(shè)計而增加成本以及避免因系統(tǒng)失效、隨機硬件失效、設(shè)計缺陷所帶來的風(fēng)險，使電子系統(tǒng)的安全功能在各種嚴(yán)酷條件下保持正常運作，確保駕乘人員及路人的安全。

該系列標(biāo)準(zhǔn)適用于安裝在最大總質(zhì)量為3.5噸的量產(chǎn)乘用車上的與安全相關(guān)的電子電氣系統(tǒng)（包括電子、電氣和軟件組件）。該標(biāo)準(zhǔn)所涵蓋的范圍廣泛，幾乎所涉及到了所有與功能安全相關(guān)的汽車電子、電氣產(chǎn)品，包括傳統(tǒng)汽車和新能源汽車。該系列標(biāo)準(zhǔn)如下。

（1）提出了一個汽車安全生命周期概念（管理、開發(fā)、生產(chǎn)、運行、維護、停用）。

（2）提出了一個專用于汽車的基于風(fēng)險分析的方法，以確定汽車安全完整性等級（ASIL：Automotive Safety Integrity Level）。

（3）利用汽車安全完整性等級來制定相應(yīng)的規(guī)范和措施以避免不合理的殘余風(fēng)險。

（4）提出了驗證和確認(rèn)方法的規(guī)范以確保達到可接受的安全完整性等級。

（5）提出了與供應(yīng)商相關(guān)的規(guī)范要求。

功能安全受開發(fā)過程（包括規(guī)范要求、設(shè)計、應(yīng)用、集成、驗證、確認(rèn)和配置）、生產(chǎn)過程和管理過程的影響。ISO26262系列標(biāo)準(zhǔn)由以下十部分組成：術(shù)語、功能安全管理、概念階段、系統(tǒng)層產(chǎn)品開發(fā)、硬件層產(chǎn)品開發(fā)、軟件層產(chǎn)品開發(fā)、生產(chǎn)和運行、支持過程、安全完整性等級導(dǎo)向和安全導(dǎo)向分析、指南。

1.2 ISO26262執(zhí)行現(xiàn)狀

在歐洲，ISO26262標(biāo)準(zhǔn)主要是針對一級和二級供應(yīng)商的要求，并在5前首次起草時就已經(jīng)開始執(zhí)，現(xiàn)在執(zhí)此標(biāo)準(zhǔn)只是一個平穩(wěn)過渡；在美國，ISO26262發(fā)布之前，功能性安全標(biāo)準(zhǔn)根據(jù)IEC61508執(zhí)行，自從ISO26262標(biāo)準(zhǔn)出臺后，美國的整車制造商就著手照此修訂其功能性安全標(biāo)準(zhǔn)；而在中國，中國汽車標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC114）根據(jù)提出的推薦性國家標(biāo)準(zhǔn)《道車輛功能安全》立項申請，國家標(biāo)準(zhǔn)委于2012年8月批復(fù)了該立項申請。由此可見，ISO26262相對全國來看尚屬于新生事物。

由于歐美國家執(zhí)行相關(guān)標(biāo)準(zhǔn)時機早，與之配套的芯片供應(yīng)商、傳感器執(zhí)行器供應(yīng)商、模塊供應(yīng)商或零部件等企業(yè)相應(yīng)遵照了ISO26262的要求已執(zhí)行。由于該標(biāo)準(zhǔn)的導(dǎo)入對企業(yè)的人員要求、流程規(guī)范、財務(wù)實力、企業(yè)文化、經(jīng)營導(dǎo)向等等方面有較高要求，國內(nèi)絕大部分中小企業(yè)甚至主機廠目前還處于標(biāo)準(zhǔn)的試運行或摸索階段，但隨著標(biāo)準(zhǔn)的國標(biāo)轉(zhuǎn)化工作的進展，ISO26262的執(zhí)行必成行業(yè)趨勢，其對企業(yè)的影響不亞于TS16949。

2 執(zhí)行ISO2626的優(yōu)勢分析

汽車已走進千家萬戶，同時人民更加關(guān)注汽車的舒適、操穩(wěn)、安全、環(huán)保等諸多要求，從而促使汽車制造商在配置方面加入諸如車載娛樂、自動泊車、車道維持、高級輔助駕駛甚至自動駕駛等高端功能。然而就是這些高端功能要求使電子電器部件越來越復(fù)雜，集成度越高，出現(xiàn)故障可能性也就越多，因此如何提升產(chǎn)品的可靠性與安全性是我們面臨的最重要的課題之一，越來越多汽車OEM和零部件廠家將把功能安全作為今后發(fā)展的重要方向。

ISO26262的實施為零部件企業(yè)、芯片廠家等的競爭力提供了一個籌碼，是企業(yè)在危險分析、風(fēng)險評估和安全目標(biāo)管理等方面的優(yōu)勢體現(xiàn)，企業(yè)更能緊隨相關(guān)標(biāo)準(zhǔn)的趨勢動向，提升從開發(fā)到生產(chǎn)、服務(wù)的整個流程以滿足質(zhì)量和安全的極高要求，提高產(chǎn)品質(zhì)量降低產(chǎn)品缺陷。同時能促進提升企業(yè)管理及產(chǎn)品設(shè)計優(yōu)化，為企業(yè)帶來更多機遇。

ISO26262的實施為主機廠帶來一定程度的風(fēng)險規(guī)避，如上海汽車的DSG事故，就是一個典型功能安全問題，如果其產(chǎn)品能嚴(yán)格按照ISO26262道路車輛功能安全標(biāo)準(zhǔn)的要求開發(fā)制造，則不會出現(xiàn)如此嚴(yán)重的安全問題。

3 影響執(zhí)行ISO26262的障礙因素

功能安全標(biāo)準(zhǔn)本身的解讀和轉(zhuǎn)化，ISO26262標(biāo)準(zhǔn)的國標(biāo)轉(zhuǎn)化工作目前還未完成，對于英文版標(biāo)準(zhǔn)的存在理解差異，汽車整車系統(tǒng)的切割、功能需求的定義、危險分析和風(fēng)險評估、ASIL等級的確定、功能安全的審核評估檢查確認(rèn)等等工作開展都基于對標(biāo)準(zhǔn)的理解上；其次，功能安全管理體系的建立是一個系統(tǒng)工程，不是一蹴而就的，企業(yè)在現(xiàn)有體系、文化層面等轉(zhuǎn)變需要時間和決心；同時，鑒于標(biāo)準(zhǔn)的專業(yè)性強，對管理者及設(shè)計人員有更高要求；最后是成本考慮，標(biāo)準(zhǔn)的前期推進必定增加企業(yè)費用。以上都是制約ISO26262實施的障礙因素。

4 推行ISO26262的對策與建議

對供應(yīng)商的建議方向如下。

（1）主動尋求主機廠的輔導(dǎo)，以支持他們在ISO26262方面的設(shè)計能。（2）尋找外部資源，提早準(zhǔn)備。（3）盡量使用已獲ISO26262認(rèn)證許可的下級供應(yīng)商生產(chǎn)的芯片、模塊、組件等。

對主機廠的建議方向如下。

借助第三方認(rèn)證機構(gòu)的協(xié)助，建立功能安全團隊，定義系統(tǒng)功能安全需求和目標(biāo)，執(zhí)行內(nèi)部工程活動，審核評估供應(yīng)商的功能安全報告，利用工具測試分析供應(yīng)商的軟硬件設(shè)計。

無論是供應(yīng)商還是主機廠，都需制定一個功能安全標(biāo)準(zhǔn)推行計劃，并嚴(yán)格按計劃進行，以確保在國標(biāo)發(fā)布前，企業(yè)能通過ISO26262方面的認(rèn)證。

5 結(jié)語

汽車產(chǎn)業(yè)是一個不允許系統(tǒng)失效發(fā)生的產(chǎn)業(yè)，因為一旦發(fā)生失效，汽車廠商和相關(guān)方將面臨官司賠償與商譽受損的巨大風(fēng)險，為了防止系統(tǒng)失效的發(fā)生，ISO26262道路車輛功能安全標(biāo)準(zhǔn)提供了一套嚴(yán)謹(jǐn)且可靠的開發(fā)流程，使汽車設(shè)計開發(fā)、管理、生產(chǎn)、運行、維護、停用等在車輛的功能安全方面有了依循。符合ISO26262標(biāo)準(zhǔn)，將對汽車功能安全的改善是一個非常大的貢獻，僅對傳統(tǒng)汽車的電器/電子系統(tǒng)，尤其對混合動汽車、純電動汽車。

參考文獻

[1] 王春喜.功能安全標(biāo)準(zhǔn)及應(yīng)用研究[J].山東大學(xué)學(xué)報：工學(xué)版，2005（6）.

[2] ISO /DIS 26262. Road Vehicles-Functional Safety[S].Geneva IEC，2009.