气车电子电气系统功能安全标准ISO26262的几点探讨①

袁兰秀

摘 要：针对汽车电子电气系统功能安全标准ISO26262的概念、执行背景、现状、执行困难等进行了说明和分析，提出企业实施推行ISO26262过程中的几点建议。

关键词：汽车 功能安全 现状 建议

中图分类号：U463 文献标识码：A 文章编号：1672-3791（2013）03（b）-0245-02

车辆交通事故的经验教训告诉我们，预防事故，实现汽车安全，必须建立汽车安全管理的长效机制，这是防患于未然，保障乘驾人员的生命安全及财产安全，保障企业长久稳定发展的根本措施。

影响汽车安全的因素很多，有些是酿成事故的直接原因，个人认为主要包括人的不安全行为、汽车的不安全状态及外部环境的恶劣。具体反映为：一是乘驾人员本身，包括技能、安全意识、情绪与性格等；二是汽车技术的客观因素，包括车况、汽车本身结构缺陷、电器控制缺陷、及隐蔽性隐患等；三是管理制度因素，包括汽车安全的标准、规程、流程、制度等；四是环境的影响，包括气候条件、外部环境、路况等等。这些因素在特定的时间和空间内相遇，就会导致安全事故的发生。

汽车电子技术的快速发展，基于电子控制的汽车功能复杂性和功能性增加，系统故障与随机故障带来的风险也增加。同时汽车电子技术的快速发展也为汽车安全技术带来了全新的理念，从被动安全到主动安全以及设计阶段就导入的功能安全体系等，都因为汽车电子技术的发展带来全新更革和方向。被动安全主要有如行人保护吸能车体、安全带、驾驶员和副驾驶气囊和帘幕气囊，气囊控制模块和碰撞传感器等，及阻燃器件、自动报警、汽车黑匣子；到主动安全主要有如ABS、ESP、前方防撞警示系统、车道维持系统、车道偏移警示系统、驾驶者状态监控系统、指纹辨识免钥系统、盲点侦测与开门警示系统、自动停车导引系统等。这些汽车安全技术已成为满足乘坐舒适、操纵方便和改善汽车安全性、减少车辆交通事故的有效手段。汽车安全系统已经过了一系列的衍变，从被动安全到主动安全，到安全性预测，尤其是汽车主动安全系统和功能安全研发设计系统，是作为汽车技术方面的预防性安全对策，以主动预防汽车交通事故的发生。

基于以上，汽车工业对电子电气系统功能安全标准的需求也越来迫切，因此起源于过程工业领域IEC 61508、专门针对汽车电子电气系统的功能安全标准的ISO26262应运而生。

1 ISO26262进展

1.1 ISO26262内容简介

ISO26262（Road vehicles-Functional safety）道路车辆功能安全系列标准于2011年11月15日正式颁布，该标准的目的在于提高汽车电子、电气产品的功能安全，在产品的研发流程和管理流程中，预先分析和评估潜在的危害和风险，通过实施科学的安全技术措施、规范和方法来降低风险，利用软、硬件系统化的测试、验证和确认方法，使电子、电气产品的安全功能在安全生命周期内满足汽车安全完整性等级的要求，提升系统或产品的可靠性，避免过当设计而增加成本以及避免因系统失效、随机硬件失效、设计缺陷所带来的风险，使电子系统的安全功能在各种严酷条件下保持正常运作，确保驾乘人员及路人的安全。

该系列标准适用于安装在最大总质量为3.5吨的量产乘用车上的与安全相关的电子电气系统（包括电子、电气和软件组件）。该标准所涵盖的范围广泛，几乎所涉及到了所有与功能安全相关的汽车电子、电气产品，包括传统汽车和新能源汽车。该系列标准如下。

（1）提出了一个汽车安全生命周期概念（管理、开发、生产、运行、维护、停用）。

（2）提出了一个专用于汽车的基于风险分析的方法，以确定汽车安全完整性等级（ASIL：Automotive Safety Integrity Level）。

（3）利用汽车安全完整性等级来制定相应的规范和措施以避免不合理的残余风险。

（4）提出了验证和确认方法的规范以确保达到可接受的安全完整性等级。

（5）提出了与供应商相关的规范要求。

功能安全受开发过程（包括规范要求、设计、应用、集成、验证、确认和配置）、生产过程和管理过程的影响。ISO26262系列标准由以下十部分组成：术语、功能安全管理、概念阶段、系统层产品开发、硬件层产品开发、软件层产品开发、生产和运行、支持过程、安全完整性等级导向和安全导向分析、指南。

1.2 ISO26262执行现状

在欧洲，ISO26262标准主要是针对一级和二级供应商的要求，并在5前首次起草时就已经开始执，现在执此标准只是一个平稳过渡；在美国，ISO26262发布之前，功能性安全标准根据IEC61508执行，自从ISO26262标准出台后，美国的整车制造商就着手照此修订其功能性安全标准；而在中国，中国汽车标准化技术委员会（SAC/TC114）根据提出的推荐性国家标准《道车辆功能安全》立项申请，国家标准委于2012年8月批复了该立项申请。由此可见，ISO26262相对全国来看尚属于新生事物。

由于欧美国家执行相关标准时机早，与之配套的芯片供应商、传感器执行器供应商、模块供应商或零部件等企业相应遵照了ISO26262的要求已执行。由于该标准的导入对企业的人员要求、流程规范、财务实力、企业文化、经营导向等等方面有较高要求，国内绝大部分中小企业甚至主机厂目前还处于标准的试运行或摸索阶段，但随着标准的国标转化工作的进展，ISO26262的执行必成行业趋势，其对企业的影响不亚于TS16949。

2 执行ISO2626的优势分析

汽车已走进千家万户，同时人民更加关注汽车的舒适、操稳、安全、环保等诸多要求，从而促使汽车制造商在配置方面加入诸如车载娱乐、自动泊车、车道维持、高级辅助驾驶甚至自动驾驶等高端功能。然而就是这些高端功能要求使电子电器部件越来越复杂，集成度越高，出现故障可能性也就越多，因此如何提升产品的可靠性与安全性是我们面临的最重要的课题之一，越来越多汽车OEM和零部件厂家将把功能安全作为今后发展的重要方向。

ISO26262的实施为零部件企业、芯片厂家等的竞争力提供了一个筹码，是企业在危险分析、风险评估和安全目标管理等方面的优势体现，企业更能紧随相关标准的趋势动向，提升从开发到生产、服务的整个流程以满足质量和安全的极高要求，提高产品质量降低产品缺陷。同时能促进提升企业管理及产品设计优化，为企业带来更多机遇。

ISO26262的实施为主机厂带来一定程度的风险规避，如上海汽车的DSG事故，就是一个典型功能安全问题，如果其产品能严格按照ISO26262道路车辆功能安全标准的要求开发制造，则不会出现如此严重的安全问题。

3 影响执行ISO26262的障碍因素

功能安全标准本身的解读和转化，ISO26262标准的国标转化工作目前还未完成，对于英文版标准的存在理解差异，汽车整车系统的切割、功能需求的定义、危险分析和风险评估、ASIL等级的确定、功能安全的审核评估检查确认等等工作开展都基于对标准的理解上；其次，功能安全管理体系的建立是一个系统工程，不是一蹴而就的，企业在现有体系、文化层面等转变需要时间和决心；同时，鉴于标准的专业性强，对管理者及设计人员有更高要求；最后是成本考虑，标准的前期推进必定增加企业费用。以上都是制约ISO26262实施的障碍因素。

4 推行ISO26262的对策与建议

对供应商的建议方向如下。

（1）主动寻求主机厂的辅导，以支持他们在ISO26262方面的设计能。（2）寻找外部资源，提早准备。（3）尽量使用已获ISO26262认证许可的下级供应商生产的芯片、模块、组件等。

对主机厂的建议方向如下。

借助第三方认证机构的协助，建立功能安全团队，定义系统功能安全需求和目标，执行内部工程活动，审核评估供应商的功能安全报告，利用工具测试分析供应商的软硬件设计。

无论是供应商还是主机厂，都需制定一个功能安全标准推行计划，并严格按计划进行，以确保在国标发布前，企业能通过ISO26262方面的认证。

5 结语

汽车产业是一个不允许系统失效发生的产业，因为一旦发生失效，汽车厂商和相关方将面临官司赔偿与商誉受损的巨大风险，为了防止系统失效的发生，ISO26262道路车辆功能安全标准提供了一套严谨且可靠的开发流程，使汽车设计开发、管理、生产、运行、维护、停用等在车辆的功能安全方面有了依循。符合ISO26262标准，将对汽车功能安全的改善是一个非常大的贡献，仅对传统汽车的电器/电子系统，尤其对混合动汽车、纯电动汽车。

参考文献

[1] 王春喜.功能安全标准及应用研究[J].山东大学学报：工学版，2005（6）.

[2] ISO /DIS 26262. Road Vehicles-Functional Safety[S].Geneva IEC，2009.