于芳 李天博

摘 要：針對汽車電子電控系統(tǒng)應(yīng)用越來越廣泛，電子電控系統(tǒng)功能安全管理的需求，介紹了功能安全標(biāo)準(zhǔn)，功能安全整體管理，安全計劃，安全分析，功能安全評估。

關(guān)鍵詞：汽車;電子電控;功能安全

0 前言

隨著汽車產(chǎn)業(yè)向電動化、智能化方向發(fā)展和汽車產(chǎn)品技術(shù)的復(fù)雜程度越來越高，汽車產(chǎn)品上的電子電控系統(tǒng)的應(yīng)用越來越多，這些軟件、硬件、系統(tǒng)等失效模式與傳統(tǒng)的機(jī)械件失效模式差別很大，系統(tǒng)性失效的風(fēng)險逐漸增加。汽車的安全成為一個更加復(fù)雜的問題，需要從產(chǎn)品設(shè)計、制造過程設(shè)計、采購、生產(chǎn)、運(yùn)行及報廢等全生命周期，通過一系列的安全措施，進(jìn)行系統(tǒng)性的考慮和預(yù)防。汽車電子電控系統(tǒng)的功能安全越來越得到重視，企業(yè)的功能安全管理的需求也越來越高。下面針對功能安全管理的幾個重要內(nèi)容進(jìn)行介紹。

1 功能安全標(biāo)準(zhǔn)

國際電工委員會在2000年5月正式發(fā)布了IEC 61508《電氣/電子/可編程電子安全系統(tǒng)的功能安全》，針對由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)的整體安全生命周期，建立了一個基礎(chǔ)的評價方法，是功能安全通用標(biāo)準(zhǔn)和基礎(chǔ)安全標(biāo)準(zhǔn)。各工業(yè)領(lǐng)域可基于此標(biāo)準(zhǔn)建立各領(lǐng)域的功能安全標(biāo)準(zhǔn)。在2006年7月轉(zhuǎn)換為國家標(biāo)準(zhǔn)GB/T 20438-2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》，等同采用IEC 61508。國際標(biāo)準(zhǔn)化組織ISO在2011年11月發(fā)布了ISO 26262《道路車輛 功能安全》第一版，是以IEC 61508為基礎(chǔ)，針對道路車輛上電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)。2018年12月，ISO 26262第二版標(biāo)準(zhǔn)修訂發(fā)布。在第一版標(biāo)準(zhǔn)的適用范圍是3500kg以下的量產(chǎn)乘用車。第二版標(biāo)準(zhǔn)的適用范圍擴(kuò)大至卡車、公共汽車及兩輪機(jī)動車，增加了關(guān)于半導(dǎo)體方面的功能安全指南。在2017年10月發(fā)布國家標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛 功能安全》，修改采用ISO 26262：2011。共包括10部分：第1部分-術(shù)語;第2部分-功能安全管理;第3部分-概念階段;第4部分-產(chǎn)品開發(fā)系統(tǒng)層面;第5部分-產(chǎn)品開發(fā)硬件層面;第6部分-產(chǎn)品開發(fā)軟件層面;第7部分-生產(chǎn)和運(yùn)行;第8部分-支持過程;第9部分-以汽車安全完整性等級為導(dǎo)向和以安全為導(dǎo)向的分析;第10部分-指南。在GB/T 34590中，通過危害分析和風(fēng)險評估識別出需要防止、減輕或控制的危害和危害事件，為每個危害事件制定安全目標(biāo)，將汽車安全完整性等級（ASIL）與每個安全目標(biāo)關(guān)聯(lián)。

2 功能安全的整體管理

人員方面，配備功能安全開發(fā)及管理所需的人員，賦予適宜的職責(zé)和權(quán)限，并具備勝任崗位的能力。安全經(jīng)理、概念及開發(fā)、測試等人員應(yīng)熟悉功能安全開發(fā)流程及適用的安全標(biāo)準(zhǔn)，會使用相應(yīng)的工具和方法，有能力達(dá)成功能安全要求。為與產(chǎn)品安全有關(guān)的產(chǎn)品和相關(guān)制造過程中涉及的人員實施培訓(xùn)。資源方面，提供功能安全實現(xiàn)所需的資源，包括相關(guān)的設(shè)計、分析、測試等工具，數(shù)據(jù)庫和模板，硬件測試、軟件測試、集成測試等設(shè)備。流程方面，根據(jù)GB/T 19001、GB/T 18305或等同標(biāo)準(zhǔn)建立質(zhì)量管理體系。同時，根據(jù)GB/T 34590或同類標(biāo)準(zhǔn)建立功能安全管理流程，包括建立功能安全開發(fā)流程、生產(chǎn)發(fā)布后的功能安全管理、開發(fā)接口的功能安全管理、變更管理、技術(shù)狀態(tài)管理、功能安全檔案管理、軟件組件的鑒定、硬件組件的鑒定等。管理方面，發(fā)揮領(lǐng)導(dǎo)作用，宣傳并推廣產(chǎn)品安全意識，從開發(fā)、生產(chǎn)、運(yùn)行及報廢全生命周期內(nèi)，確保相關(guān)人員知曉產(chǎn)品安全的重要性及所帶來的影響。需基于風(fēng)險的思維，策劃和實施應(yīng)對風(fēng)險的措施。創(chuàng)造、建立并倡導(dǎo)安全文化，以產(chǎn)品安全為導(dǎo)向，提高產(chǎn)品安全的優(yōu)先級。

3 制定安全計劃

為策劃產(chǎn)品的安全生命周期的安全活動，制定安全計劃。安全經(jīng)理負(fù)責(zé)維護(hù)安全計劃，協(xié)調(diào)安全活動，監(jiān)督安全活動的進(jìn)度。需明確安全計劃時間節(jié)點(diǎn)、所需資源、責(zé)任部門/崗位、相應(yīng)的工作成果。安全計劃應(yīng)進(jìn)行評審并由授權(quán)人進(jìn)行批準(zhǔn)，評審人員的獨(dú)立性根據(jù)安全目標(biāo)的ASIL等級不同要求也不同。當(dāng)ASIL等級為ASIL D時，應(yīng)由來自不同部門或組織的人員進(jìn)行安全計劃的評審。安全計劃是一系列安全活動的安排，包括：實現(xiàn)功能安全的活動計劃和流程計劃;獨(dú)立于項目的安全活動;剪裁的安全活動的定義（適用時）;危害分析和風(fēng)險評估計劃;功能安全概念開發(fā)活動計劃;產(chǎn)品系統(tǒng)層面的開發(fā)活動計劃;產(chǎn)品硬件層面的開發(fā)活動計劃;產(chǎn)品軟件層面的開發(fā)活動計劃;開發(fā)接口協(xié)議計劃（適用時）;支持過程計劃;驗證活動計劃;認(rèn)可評審的計劃，包括功能安全審核和功能安全評估;相關(guān)失效分析的計劃;候選項的在用證明（適用時）;軟件工具的可信度（適用時）。

4 安全分析

安全分析的目的是檢查相關(guān)項及要素的功能、表現(xiàn)及設(shè)計中的故障和失效后果，有助于識別出在之前的危害分析和風(fēng)險評估過程中未被發(fā)現(xiàn)的新的功能性危害或非功能性危害。安全分析有定性分析和定量分析。定性安全分析方法包括：系統(tǒng)、設(shè)計或過程層面的定性FMEA;定性FTA;危害與可操作性分析（HAZOP）;定性ETA。定量安全分析是對定性安全分析的補(bǔ)充，方法包括：定量FEMA;定量FTA;定量ETA;馬爾科夫模型;可靠性框圖。安全分析包括對安全目標(biāo)和安全概念的確認(rèn)，對安全概念和安全要求的驗證，對可導(dǎo)致違背安全目標(biāo)或安全要求的條件及包括故障和失效的原因的識別，對關(guān)于故障探測或失效探測的額外要求的識別，對探測故障或失效所需的響應(yīng)行為/響應(yīng)措施的制定，對為驗證安全目標(biāo)和安全要求是否得到滿足所需的二外要求的識別。

5 功能安全評估

若相關(guān)項安全目標(biāo)的最高ASIL等級是ASIL C或D，需開展功能安全評估以評價相關(guān)項是否實現(xiàn)功能安全。在分布式開發(fā)的情況下，還需開展相關(guān)項供應(yīng)鏈中的供應(yīng)商生成的工作成果、實施的功能安全管理流程及安全措施。功能安全評估工作包括：對已實施的、可在相關(guān)項開發(fā)過程中評估的安全措施的恰當(dāng)性和有效性的評審;對安全計劃所要求的工作成果進(jìn)行評審，確認(rèn)工作成果符合相關(guān)要求;開展功能安全審核，評估功能安全流程實施情況。功能安全評估應(yīng)對相關(guān)項的功能安全得出完全接受、有條件接受、拒絕的結(jié)論。當(dāng)結(jié)論是拒絕時，應(yīng)進(jìn)行充分的整改措施，并重新進(jìn)行功能安全評估。

6 結(jié)語

功能安全管理體現(xiàn)了基于風(fēng)險的思維，提前識別功能的安全風(fēng)險，采取措施應(yīng)對風(fēng)險，以降低產(chǎn)品的功能安全風(fēng)險。功能安全管理涉及產(chǎn)品的設(shè)計開發(fā)、采購、生產(chǎn)到運(yùn)行、報廢等整個生命周期的各個環(huán)節(jié)，但設(shè)計開發(fā)是其中最關(guān)鍵最重要的部分，實施功能安全管理流程的企業(yè)與未實施功能安全管理流程的企業(yè)相比，產(chǎn)品設(shè)計開發(fā)的難度和復(fù)雜程度增加了很多，開發(fā)的產(chǎn)品的功能安全風(fēng)險大大減少。因此，電子電控系統(tǒng)的企業(yè)應(yīng)建立并實施功能安全管理流程，提高產(chǎn)品的安全性。