淺談汽車電子電控系統企業的功能安全管理

于芳 李天博

摘 要：針對汽車電子電控系統應用越來越廣泛，電子電控系統功能安全管理的需求，介紹了功能安全標準，功能安全整體管理，安全計劃，安全分析，功能安全評估。

關鍵詞：汽車;電子電控;功能安全

0 前言

隨著汽車產業向電動化、智能化方向發展和汽車產品技術的復雜程度越來越高，汽車產品上的電子電控系統的應用越來越多，這些軟件、硬件、系統等失效模式與傳統的機械件失效模式差別很大，系統性失效的風險逐漸增加。汽車的安全成為一個更加復雜的問題，需要從產品設計、制造過程設計、采購、生產、運行及報廢等全生命周期，通過一系列的安全措施，進行系統性的考慮和預防。汽車電子電控系統的功能安全越來越得到重視，企業的功能安全管理的需求也越來越高。下面針對功能安全管理的幾個重要內容進行介紹。

1 功能安全標準

國際電工委員會在2000年5月正式發布了IEC 61508《電氣/電子/可編程電子安全系統的功能安全》，針對由電氣/電子/可編程電子部件構成的、起安全作用的電氣/電子/可編程電子系統的整體安全生命周期，建立了一個基礎的評價方法，是功能安全通用標準和基礎安全標準。各工業領域可基于此標準建立各領域的功能安全標準。在2006年7月轉換為國家標準GB/T 20438-2006《電氣/電子/可編程電子安全相關系統的功能安全》，等同采用IEC 61508。國際標準化組織ISO在2011年11月發布了ISO 26262《道路車輛 功能安全》第一版，是以IEC 61508為基礎，針對道路車輛上電子電氣系統的功能安全標準。2018年12月，ISO 26262第二版標準修訂發布。在第一版標準的適用范圍是3500kg以下的量產乘用車。第二版標準的適用范圍擴大至卡車、公共汽車及兩輪機動車，增加了關于半導體方面的功能安全指南。在2017年10月發布國家標準GB/T 34590-2017《道路車輛 功能安全》，修改采用ISO 26262：2011。共包括10部分：第1部分-術語;第2部分-功能安全管理;第3部分-概念階段;第4部分-產品開發系統層面;第5部分-產品開發硬件層面;第6部分-產品開發軟件層面;第7部分-生產和運行;第8部分-支持過程;第9部分-以汽車安全完整性等級為導向和以安全為導向的分析;第10部分-指南。在GB/T 34590中，通過危害分析和風險評估識別出需要防止、減輕或控制的危害和危害事件，為每個危害事件制定安全目標，將汽車安全完整性等級（ASIL）與每個安全目標關聯。

2 功能安全的整體管理

人員方面，配備功能安全開發及管理所需的人員，賦予適宜的職責和權限，并具備勝任崗位的能力。安全經理、概念及開發、測試等人員應熟悉功能安全開發流程及適用的安全標準，會使用相應的工具和方法，有能力達成功能安全要求。為與產品安全有關的產品和相關制造過程中涉及的人員實施培訓。資源方面，提供功能安全實現所需的資源，包括相關的設計、分析、測試等工具，數據庫和模板，硬件測試、軟件測試、集成測試等設備。流程方面，根據GB/T 19001、GB/T 18305或等同標準建立質量管理體系。同時，根據GB/T 34590或同類標準建立功能安全管理流程，包括建立功能安全開發流程、生產發布后的功能安全管理、開發接口的功能安全管理、變更管理、技術狀態管理、功能安全檔案管理、軟件組件的鑒定、硬件組件的鑒定等。管理方面，發揮領導作用，宣傳并推廣產品安全意識，從開發、生產、運行及報廢全生命周期內，確保相關人員知曉產品安全的重要性及所帶來的影響。需基于風險的思維，策劃和實施應對風險的措施。創造、建立并倡導安全文化，以產品安全為導向，提高產品安全的優先級。

3 制定安全計劃

為策劃產品的安全生命周期的安全活動，制定安全計劃。安全經理負責維護安全計劃，協調安全活動，監督安全活動的進度。需明確安全計劃時間節點、所需資源、責任部門/崗位、相應的工作成果。安全計劃應進行評審并由授權人進行批準，評審人員的獨立性根據安全目標的ASIL等級不同要求也不同。當ASIL等級為ASIL D時，應由來自不同部門或組織的人員進行安全計劃的評審。安全計劃是一系列安全活動的安排，包括：實現功能安全的活動計劃和流程計劃;獨立于項目的安全活動;剪裁的安全活動的定義（適用時）;危害分析和風險評估計劃;功能安全概念開發活動計劃;產品系統層面的開發活動計劃;產品硬件層面的開發活動計劃;產品軟件層面的開發活動計劃;開發接口協議計劃（適用時）;支持過程計劃;驗證活動計劃;認可評審的計劃，包括功能安全審核和功能安全評估;相關失效分析的計劃;候選項的在用證明（適用時）;軟件工具的可信度（適用時）。

4 安全分析

安全分析的目的是檢查相關項及要素的功能、表現及設計中的故障和失效后果，有助于識別出在之前的危害分析和風險評估過程中未被發現的新的功能性危害或非功能性危害。安全分析有定性分析和定量分析。定性安全分析方法包括：系統、設計或過程層面的定性FMEA;定性FTA;危害與可操作性分析（HAZOP）;定性ETA。定量安全分析是對定性安全分析的補充，方法包括：定量FEMA;定量FTA;定量ETA;馬爾科夫模型;可靠性框圖。安全分析包括對安全目標和安全概念的確認，對安全概念和安全要求的驗證，對可導致違背安全目標或安全要求的條件及包括故障和失效的原因的識別，對關于故障探測或失效探測的額外要求的識別，對探測故障或失效所需的響應行為/響應措施的制定，對為驗證安全目標和安全要求是否得到滿足所需的二外要求的識別。

5 功能安全評估

若相關項安全目標的最高ASIL等級是ASIL C或D，需開展功能安全評估以評價相關項是否實現功能安全。在分布式開發的情況下，還需開展相關項供應鏈中的供應商生成的工作成果、實施的功能安全管理流程及安全措施。功能安全評估工作包括：對已實施的、可在相關項開發過程中評估的安全措施的恰當性和有效性的評審;對安全計劃所要求的工作成果進行評審，確認工作成果符合相關要求;開展功能安全審核，評估功能安全流程實施情況。功能安全評估應對相關項的功能安全得出完全接受、有條件接受、拒絕的結論。當結論是拒絕時，應進行充分的整改措施，并重新進行功能安全評估。

6 結語

功能安全管理體現了基于風險的思維，提前識別功能的安全風險，采取措施應對風險，以降低產品的功能安全風險。功能安全管理涉及產品的設計開發、采購、生產到運行、報廢等整個生命周期的各個環節，但設計開發是其中最關鍵最重要的部分，實施功能安全管理流程的企業與未實施功能安全管理流程的企業相比，產品設計開發的難度和復雜程度增加了很多，開發的產品的功能安全風險大大減少。因此，電子電控系統的企業應建立并實施功能安全管理流程，提高產品的安全性。