淺談汽車電子電控系統(tǒng)企業(yè)的功能安全管理

于芳 李天博

摘 要：針對(duì)汽車電子電控系統(tǒng)應(yīng)用越來(lái)越廣泛，電子電控系統(tǒng)功能安全管理的需求，介紹了功能安全標(biāo)準(zhǔn)，功能安全整體管理，安全計(jì)劃，安全分析，功能安全評(píng)估。

關(guān)鍵詞：汽車;電子電控;功能安全

0 前言

隨著汽車產(chǎn)業(yè)向電動(dòng)化、智能化方向發(fā)展和汽車產(chǎn)品技術(shù)的復(fù)雜程度越來(lái)越高，汽車產(chǎn)品上的電子電控系統(tǒng)的應(yīng)用越來(lái)越多，這些軟件、硬件、系統(tǒng)等失效模式與傳統(tǒng)的機(jī)械件失效模式差別很大，系統(tǒng)性失效的風(fēng)險(xiǎn)逐漸增加。汽車的安全成為一個(gè)更加復(fù)雜的問(wèn)題，需要從產(chǎn)品設(shè)計(jì)、制造過(guò)程設(shè)計(jì)、采購(gòu)、生產(chǎn)、運(yùn)行及報(bào)廢等全生命周期，通過(guò)一系列的安全措施，進(jìn)行系統(tǒng)性的考慮和預(yù)防。汽車電子電控系統(tǒng)的功能安全越來(lái)越得到重視，企業(yè)的功能安全管理的需求也越來(lái)越高。下面針對(duì)功能安全管理的幾個(gè)重要內(nèi)容進(jìn)行介紹。

1 功能安全標(biāo)準(zhǔn)

國(guó)際電工委員會(huì)在2000年5月正式發(fā)布了IEC 61508《電氣/電子/可編程電子安全系統(tǒng)的功能安全》，針對(duì)由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)的整體安全生命周期，建立了一個(gè)基礎(chǔ)的評(píng)價(jià)方法，是功能安全通用標(biāo)準(zhǔn)和基礎(chǔ)安全標(biāo)準(zhǔn)。各工業(yè)領(lǐng)域可基于此標(biāo)準(zhǔn)建立各領(lǐng)域的功能安全標(biāo)準(zhǔn)。在2006年7月轉(zhuǎn)換為國(guó)家標(biāo)準(zhǔn)GB/T 20438-2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》，等同采用IEC 61508。國(guó)際標(biāo)準(zhǔn)化組織ISO在2011年11月發(fā)布了ISO 26262《道路車輛 功能安全》第一版，是以IEC 61508為基礎(chǔ)，針對(duì)道路車輛上電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)。2018年12月，ISO 26262第二版標(biāo)準(zhǔn)修訂發(fā)布。在第一版標(biāo)準(zhǔn)的適用范圍是3500kg以下的量產(chǎn)乘用車。第二版標(biāo)準(zhǔn)的適用范圍擴(kuò)大至卡車、公共汽車及兩輪機(jī)動(dòng)車，增加了關(guān)于半導(dǎo)體方面的功能安全指南。在2017年10月發(fā)布國(guó)家標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛 功能安全》，修改采用ISO 26262：2011。共包括10部分：第1部分-術(shù)語(yǔ);第2部分-功能安全管理;第3部分-概念階段;第4部分-產(chǎn)品開(kāi)發(fā)系統(tǒng)層面;第5部分-產(chǎn)品開(kāi)發(fā)硬件層面;第6部分-產(chǎn)品開(kāi)發(fā)軟件層面;第7部分-生產(chǎn)和運(yùn)行;第8部分-支持過(guò)程;第9部分-以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析;第10部分-指南。在GB/T 34590中，通過(guò)危害分析和風(fēng)險(xiǎn)評(píng)估識(shí)別出需要防止、減輕或控制的危害和危害事件，為每個(gè)危害事件制定安全目標(biāo)，將汽車安全完整性等級(jí)（ASIL）與每個(gè)安全目標(biāo)關(guān)聯(lián)。

2 功能安全的整體管理

人員方面，配備功能安全開(kāi)發(fā)及管理所需的人員，賦予適宜的職責(zé)和權(quán)限，并具備勝任崗位的能力。安全經(jīng)理、概念及開(kāi)發(fā)、測(cè)試等人員應(yīng)熟悉功能安全開(kāi)發(fā)流程及適用的安全標(biāo)準(zhǔn)，會(huì)使用相應(yīng)的工具和方法，有能力達(dá)成功能安全要求。為與產(chǎn)品安全有關(guān)的產(chǎn)品和相關(guān)制造過(guò)程中涉及的人員實(shí)施培訓(xùn)。資源方面，提供功能安全實(shí)現(xiàn)所需的資源，包括相關(guān)的設(shè)計(jì)、分析、測(cè)試等工具，數(shù)據(jù)庫(kù)和模板，硬件測(cè)試、軟件測(cè)試、集成測(cè)試等設(shè)備。流程方面，根據(jù)GB/T 19001、GB/T 18305或等同標(biāo)準(zhǔn)建立質(zhì)量管理體系。同時(shí)，根據(jù)GB/T 34590或同類標(biāo)準(zhǔn)建立功能安全管理流程，包括建立功能安全開(kāi)發(fā)流程、生產(chǎn)發(fā)布后的功能安全管理、開(kāi)發(fā)接口的功能安全管理、變更管理、技術(shù)狀態(tài)管理、功能安全檔案管理、軟件組件的鑒定、硬件組件的鑒定等。管理方面，發(fā)揮領(lǐng)導(dǎo)作用，宣傳并推廣產(chǎn)品安全意識(shí)，從開(kāi)發(fā)、生產(chǎn)、運(yùn)行及報(bào)廢全生命周期內(nèi)，確保相關(guān)人員知曉產(chǎn)品安全的重要性及所帶來(lái)的影響。需基于風(fēng)險(xiǎn)的思維，策劃和實(shí)施應(yīng)對(duì)風(fēng)險(xiǎn)的措施。創(chuàng)造、建立并倡導(dǎo)安全文化，以產(chǎn)品安全為導(dǎo)向，提高產(chǎn)品安全的優(yōu)先級(jí)。

3 制定安全計(jì)劃

為策劃產(chǎn)品的安全生命周期的安全活動(dòng)，制定安全計(jì)劃。安全經(jīng)理負(fù)責(zé)維護(hù)安全計(jì)劃，協(xié)調(diào)安全活動(dòng)，監(jiān)督安全活動(dòng)的進(jìn)度。需明確安全計(jì)劃時(shí)間節(jié)點(diǎn)、所需資源、責(zé)任部門/崗位、相應(yīng)的工作成果。安全計(jì)劃應(yīng)進(jìn)行評(píng)審并由授權(quán)人進(jìn)行批準(zhǔn)，評(píng)審人員的獨(dú)立性根據(jù)安全目標(biāo)的ASIL等級(jí)不同要求也不同。當(dāng)ASIL等級(jí)為ASIL D時(shí)，應(yīng)由來(lái)自不同部門或組織的人員進(jìn)行安全計(jì)劃的評(píng)審。安全計(jì)劃是一系列安全活動(dòng)的安排，包括：實(shí)現(xiàn)功能安全的活動(dòng)計(jì)劃和流程計(jì)劃;獨(dú)立于項(xiàng)目的安全活動(dòng);剪裁的安全活動(dòng)的定義（適用時(shí)）;危害分析和風(fēng)險(xiǎn)評(píng)估計(jì)劃;功能安全概念開(kāi)發(fā)活動(dòng)計(jì)劃;產(chǎn)品系統(tǒng)層面的開(kāi)發(fā)活動(dòng)計(jì)劃;產(chǎn)品硬件層面的開(kāi)發(fā)活動(dòng)計(jì)劃;產(chǎn)品軟件層面的開(kāi)發(fā)活動(dòng)計(jì)劃;開(kāi)發(fā)接口協(xié)議計(jì)劃（適用時(shí)）;支持過(guò)程計(jì)劃;驗(yàn)證活動(dòng)計(jì)劃;認(rèn)可評(píng)審的計(jì)劃，包括功能安全審核和功能安全評(píng)估;相關(guān)失效分析的計(jì)劃;候選項(xiàng)的在用證明（適用時(shí)）;軟件工具的可信度（適用時(shí)）。

4 安全分析

安全分析的目的是檢查相關(guān)項(xiàng)及要素的功能、表現(xiàn)及設(shè)計(jì)中的故障和失效后果，有助于識(shí)別出在之前的危害分析和風(fēng)險(xiǎn)評(píng)估過(guò)程中未被發(fā)現(xiàn)的新的功能性危害或非功能性危害。安全分析有定性分析和定量分析。定性安全分析方法包括：系統(tǒng)、設(shè)計(jì)或過(guò)程層面的定性FMEA;定性FTA;危害與可操作性分析（HAZOP）;定性ETA。定量安全分析是對(duì)定性安全分析的補(bǔ)充，方法包括：定量FEMA;定量FTA;定量ETA;馬爾科夫模型;可靠性框圖。安全分析包括對(duì)安全目標(biāo)和安全概念的確認(rèn)，對(duì)安全概念和安全要求的驗(yàn)證，對(duì)可導(dǎo)致違背安全目標(biāo)或安全要求的條件及包括故障和失效的原因的識(shí)別，對(duì)關(guān)于故障探測(cè)或失效探測(cè)的額外要求的識(shí)別，對(duì)探測(cè)故障或失效所需的響應(yīng)行為/響應(yīng)措施的制定，對(duì)為驗(yàn)證安全目標(biāo)和安全要求是否得到滿足所需的二外要求的識(shí)別。

5 功能安全評(píng)估

若相關(guān)項(xiàng)安全目標(biāo)的最高ASIL等級(jí)是ASIL C或D，需開(kāi)展功能安全評(píng)估以評(píng)價(jià)相關(guān)項(xiàng)是否實(shí)現(xiàn)功能安全。在分布式開(kāi)發(fā)的情況下，還需開(kāi)展相關(guān)項(xiàng)供應(yīng)鏈中的供應(yīng)商生成的工作成果、實(shí)施的功能安全管理流程及安全措施。功能安全評(píng)估工作包括：對(duì)已實(shí)施的、可在相關(guān)項(xiàng)開(kāi)發(fā)過(guò)程中評(píng)估的安全措施的恰當(dāng)性和有效性的評(píng)審;對(duì)安全計(jì)劃所要求的工作成果進(jìn)行評(píng)審，確認(rèn)工作成果符合相關(guān)要求;開(kāi)展功能安全審核，評(píng)估功能安全流程實(shí)施情況。功能安全評(píng)估應(yīng)對(duì)相關(guān)項(xiàng)的功能安全得出完全接受、有條件接受、拒絕的結(jié)論。當(dāng)結(jié)論是拒絕時(shí)，應(yīng)進(jìn)行充分的整改措施，并重新進(jìn)行功能安全評(píng)估。

6 結(jié)語(yǔ)

功能安全管理體現(xiàn)了基于風(fēng)險(xiǎn)的思維，提前識(shí)別功能的安全風(fēng)險(xiǎn)，采取措施應(yīng)對(duì)風(fēng)險(xiǎn)，以降低產(chǎn)品的功能安全風(fēng)險(xiǎn)。功能安全管理涉及產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)、采購(gòu)、生產(chǎn)到運(yùn)行、報(bào)廢等整個(gè)生命周期的各個(gè)環(huán)節(jié)，但設(shè)計(jì)開(kāi)發(fā)是其中最關(guān)鍵最重要的部分，實(shí)施功能安全管理流程的企業(yè)與未實(shí)施功能安全管理流程的企業(yè)相比，產(chǎn)品設(shè)計(jì)開(kāi)發(fā)的難度和復(fù)雜程度增加了很多，開(kāi)發(fā)的產(chǎn)品的功能安全風(fēng)險(xiǎn)大大減少。因此，電子電控系統(tǒng)的企業(yè)應(yīng)建立并實(shí)施功能安全管理流程，提高產(chǎn)品的安全性。