氣車電子電氣系統功能安全標準ISO26262的幾點探討①

袁蘭秀

摘 要：針對汽車電子電氣系統功能安全標準ISO26262的概念、執行背景、現狀、執行困難等進行了說明和分析，提出企業實施推行ISO26262過程中的幾點建議。

關鍵詞：汽車 功能安全 現狀 建議

中圖分類號：U463 文獻標識碼：A 文章編號：1672-3791（2013）03（b）-0245-02

車輛交通事故的經驗教訓告訴我們，預防事故，實現汽車安全，必須建立汽車安全管理的長效機制，這是防患于未然，保障乘駕人員的生命安全及財產安全，保障企業長久穩定發展的根本措施。

影響汽車安全的因素很多，有些是釀成事故的直接原因，個人認為主要包括人的不安全行為、汽車的不安全狀態及外部環境的惡劣。具體反映為：一是乘駕人員本身，包括技能、安全意識、情緒與性格等；二是汽車技術的客觀因素，包括車況、汽車本身結構缺陷、電器控制缺陷、及隱蔽性隱患等；三是管理制度因素，包括汽車安全的標準、規程、流程、制度等；四是環境的影響，包括氣候條件、外部環境、路況等等。這些因素在特定的時間和空間內相遇，就會導致安全事故的發生。

汽車電子技術的快速發展，基于電子控制的汽車功能復雜性和功能性增加，系統故障與隨機故障帶來的風險也增加。同時汽車電子技術的快速發展也為汽車安全技術帶來了全新的理念，從被動安全到主動安全以及設計階段就導入的功能安全體系等，都因為汽車電子技術的發展帶來全新更革和方向。被動安全主要有如行人保護吸能車體、安全帶、駕駛員和副駕駛氣囊和簾幕氣囊，氣囊控制模塊和碰撞傳感器等，及阻燃器件、自動報警、汽車黑匣子；到主動安全主要有如ABS、ESP、前方防撞警示系統、車道維持系統、車道偏移警示系統、駕駛者狀態監控系統、指紋辨識免鑰系統、盲點偵測與開門警示系統、自動停車導引系統等。這些汽車安全技術已成為滿足乘坐舒適、操縱方便和改善汽車安全性、減少車輛交通事故的有效手段。汽車安全系統已經過了一系列的衍變，從被動安全到主動安全，到安全性預測，尤其是汽車主動安全系統和功能安全研發設計系統，是作為汽車技術方面的預防性安全對策，以主動預防汽車交通事故的發生。

基于以上，汽車工業對電子電氣系統功能安全標準的需求也越來迫切，因此起源于過程工業領域IEC 61508、專門針對汽車電子電氣系統的功能安全標準的ISO26262應運而生。

1 ISO26262進展

1.1 ISO26262內容簡介

ISO26262（Road vehicles-Functional safety）道路車輛功能安全系列標準于2011年11月15日正式頒布，該標準的目的在于提高汽車電子、電氣產品的功能安全，在產品的研發流程和管理流程中，預先分析和評估潛在的危害和風險，通過實施科學的安全技術措施、規范和方法來降低風險，利用軟、硬件系統化的測試、驗證和確認方法，使電子、電氣產品的安全功能在安全生命周期內滿足汽車安全完整性等級的要求，提升系統或產品的可靠性，避免過當設計而增加成本以及避免因系統失效、隨機硬件失效、設計缺陷所帶來的風險，使電子系統的安全功能在各種嚴酷條件下保持正常運作，確保駕乘人員及路人的安全。

該系列標準適用于安裝在最大總質量為3.5噸的量產乘用車上的與安全相關的電子電氣系統（包括電子、電氣和軟件組件）。該標準所涵蓋的范圍廣泛，幾乎所涉及到了所有與功能安全相關的汽車電子、電氣產品，包括傳統汽車和新能源汽車。該系列標準如下。

（1）提出了一個汽車安全生命周期概念（管理、開發、生產、運行、維護、停用）。

（2）提出了一個專用于汽車的基于風險分析的方法，以確定汽車安全完整性等級（ASIL：Automotive Safety Integrity Level）。

（3）利用汽車安全完整性等級來制定相應的規范和措施以避免不合理的殘余風險。

（4）提出了驗證和確認方法的規范以確保達到可接受的安全完整性等級。

（5）提出了與供應商相關的規范要求。

功能安全受開發過程（包括規范要求、設計、應用、集成、驗證、確認和配置）、生產過程和管理過程的影響。ISO26262系列標準由以下十部分組成：術語、功能安全管理、概念階段、系統層產品開發、硬件層產品開發、軟件層產品開發、生產和運行、支持過程、安全完整性等級導向和安全導向分析、指南。

1.2 ISO26262執行現狀

在歐洲，ISO26262標準主要是針對一級和二級供應商的要求，并在5前首次起草時就已經開始執，現在執此標準只是一個平穩過渡；在美國，ISO26262發布之前，功能性安全標準根據IEC61508執行，自從ISO26262標準出臺后，美國的整車制造商就著手照此修訂其功能性安全標準；而在中國，中國汽車標準化技術委員會（SAC/TC114）根據提出的推薦性國家標準《道車輛功能安全》立項申請，國家標準委于2012年8月批復了該立項申請。由此可見，ISO26262相對全國來看尚屬于新生事物。

由于歐美國家執行相關標準時機早，與之配套的芯片供應商、傳感器執行器供應商、模塊供應商或零部件等企業相應遵照了ISO26262的要求已執行。由于該標準的導入對企業的人員要求、流程規范、財務實力、企業文化、經營導向等等方面有較高要求，國內絕大部分中小企業甚至主機廠目前還處于標準的試運行或摸索階段，但隨著標準的國標轉化工作的進展，ISO26262的執行必成行業趨勢，其對企業的影響不亞于TS16949。

2 執行ISO2626的優勢分析

汽車已走進千家萬戶，同時人民更加關注汽車的舒適、操穩、安全、環保等諸多要求，從而促使汽車制造商在配置方面加入諸如車載娛樂、自動泊車、車道維持、高級輔助駕駛甚至自動駕駛等高端功能。然而就是這些高端功能要求使電子電器部件越來越復雜，集成度越高，出現故障可能性也就越多，因此如何提升產品的可靠性與安全性是我們面臨的最重要的課題之一，越來越多汽車OEM和零部件廠家將把功能安全作為今后發展的重要方向。

ISO26262的實施為零部件企業、芯片廠家等的競爭力提供了一個籌碼，是企業在危險分析、風險評估和安全目標管理等方面的優勢體現，企業更能緊隨相關標準的趨勢動向，提升從開發到生產、服務的整個流程以滿足質量和安全的極高要求，提高產品質量降低產品缺陷。同時能促進提升企業管理及產品設計優化，為企業帶來更多機遇。

ISO26262的實施為主機廠帶來一定程度的風險規避，如上海汽車的DSG事故，就是一個典型功能安全問題，如果其產品能嚴格按照ISO26262道路車輛功能安全標準的要求開發制造，則不會出現如此嚴重的安全問題。

3 影響執行ISO26262的障礙因素

功能安全標準本身的解讀和轉化，ISO26262標準的國標轉化工作目前還未完成，對于英文版標準的存在理解差異，汽車整車系統的切割、功能需求的定義、危險分析和風險評估、ASIL等級的確定、功能安全的審核評估檢查確認等等工作開展都基于對標準的理解上；其次，功能安全管理體系的建立是一個系統工程，不是一蹴而就的，企業在現有體系、文化層面等轉變需要時間和決心；同時，鑒于標準的專業性強，對管理者及設計人員有更高要求；最后是成本考慮，標準的前期推進必定增加企業費用。以上都是制約ISO26262實施的障礙因素。

4 推行ISO26262的對策與建議

對供應商的建議方向如下。

（1）主動尋求主機廠的輔導，以支持他們在ISO26262方面的設計能。（2）尋找外部資源，提早準備。（3）盡量使用已獲ISO26262認證許可的下級供應商生產的芯片、模塊、組件等。

對主機廠的建議方向如下。

借助第三方認證機構的協助，建立功能安全團隊，定義系統功能安全需求和目標，執行內部工程活動，審核評估供應商的功能安全報告，利用工具測試分析供應商的軟硬件設計。

無論是供應商還是主機廠，都需制定一個功能安全標準推行計劃，并嚴格按計劃進行，以確保在國標發布前，企業能通過ISO26262方面的認證。

5 結語

汽車產業是一個不允許系統失效發生的產業，因為一旦發生失效，汽車廠商和相關方將面臨官司賠償與商譽受損的巨大風險，為了防止系統失效的發生，ISO26262道路車輛功能安全標準提供了一套嚴謹且可靠的開發流程，使汽車設計開發、管理、生產、運行、維護、停用等在車輛的功能安全方面有了依循。符合ISO26262標準，將對汽車功能安全的改善是一個非常大的貢獻，僅對傳統汽車的電器/電子系統，尤其對混合動汽車、純電動汽車。

參考文獻

[1] 王春喜.功能安全標準及應用研究[J].山東大學學報：工學版，2005（6）.

[2] ISO /DIS 26262. Road Vehicles-Functional Safety[S].Geneva IEC，2009.