浅谈汽车电子电控系统企业的功能安全管理

于芳 李天博

摘 要：针对汽车电子电控系统应用越来越广泛，电子电控系统功能安全管理的需求，介绍了功能安全标准，功能安全整体管理，安全计划，安全分析，功能安全评估。

关键词：汽车;电子电控;功能安全

0 前言

随着汽车产业向电动化、智能化方向发展和汽车产品技术的复杂程度越来越高，汽车产品上的电子电控系统的应用越来越多，这些软件、硬件、系统等失效模式与传统的机械件失效模式差别很大，系统性失效的风险逐渐增加。汽车的安全成为一个更加复杂的问题，需要从产品设计、制造过程设计、采购、生产、运行及报废等全生命周期，通过一系列的安全措施，进行系统性的考虑和预防。汽车电子电控系统的功能安全越来越得到重视，企业的功能安全管理的需求也越来越高。下面针对功能安全管理的几个重要内容进行介绍。

1 功能安全标准

国际电工委员会在2000年5月正式发布了IEC 61508《电气/电子/可编程电子安全系统的功能安全》，针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统的整体安全生命周期，建立了一个基础的评价方法，是功能安全通用标准和基础安全标准。各工业领域可基于此标准建立各领域的功能安全标准。在2006年7月转换为国家标准GB/T 20438-2006《电气/电子/可编程电子安全相关系统的功能安全》，等同采用IEC 61508。国际标准化组织ISO在2011年11月发布了ISO 26262《道路车辆 功能安全》第一版，是以IEC 61508为基础，针对道路车辆上电子电气系统的功能安全标准。2018年12月，ISO 26262第二版标准修订发布。在第一版标准的适用范围是3500kg以下的量产乘用车。第二版标准的适用范围扩大至卡车、公共汽车及两轮机动车，增加了关于半导体方面的功能安全指南。在2017年10月发布国家标准GB/T 34590-2017《道路车辆 功能安全》，修改采用ISO 26262：2011。共包括10部分：第1部分-术语;第2部分-功能安全管理;第3部分-概念阶段;第4部分-产品开发系统层面;第5部分-产品开发硬件层面;第6部分-产品开发软件层面;第7部分-生产和运行;第8部分-支持过程;第9部分-以汽车安全完整性等级为导向和以安全为导向的分析;第10部分-指南。在GB/T 34590中，通过危害分析和风险评估识别出需要防止、减轻或控制的危害和危害事件，为每个危害事件制定安全目标，将汽车安全完整性等级（ASIL）与每个安全目標关联。

2 功能安全的整体管理

人员方面，配备功能安全开发及管理所需的人员，赋予适宜的职责和权限，并具备胜任岗位的能力。安全经理、概念及开发、测试等人员应熟悉功能安全开发流程及适用的安全标准，会使用相应的工具和方法，有能力达成功能安全要求。为与产品安全有关的产品和相关制造过程中涉及的人员实施培训。资源方面，提供功能安全实现所需的资源，包括相关的设计、分析、测试等工具，数据库和模板，硬件测试、软件测试、集成测试等设备。流程方面，根据GB/T 19001、GB/T 18305或等同标准建立质量管理体系。同时，根据GB/T 34590或同类标准建立功能安全管理流程，包括建立功能安全开发流程、生产发布后的功能安全管理、开发接口的功能安全管理、变更管理、技术状态管理、功能安全档案管理、软件组件的鉴定、硬件组件的鉴定等。管理方面，发挥领导作用，宣传并推广产品安全意识，从开发、生产、运行及报废全生命周期内，确保相关人员知晓产品安全的重要性及所带来的影响。需基于风险的思维，策划和实施应对风险的措施。创造、建立并倡导安全文化，以产品安全为导向，提高产品安全的优先级。

3 制定安全计划

为策划产品的安全生命周期的安全活动，制定安全计划。安全经理负责维护安全计划，协调安全活动，监督安全活动的进度。需明确安全计划时间节点、所需资源、责任部门/岗位、相应的工作成果。安全计划应进行评审并由授权人进行批准，评审人员的独立性根据安全目标的ASIL等级不同要求也不同。当ASIL等级为ASIL D时，应由来自不同部门或组织的人员进行安全计划的评审。安全计划是一系列安全活动的安排，包括：实现功能安全的活动计划和流程计划;独立于项目的安全活动;剪裁的安全活动的定义（适用时）;危害分析和风险评估计划;功能安全概念开发活动计划;产品系统层面的开发活动计划;产品硬件层面的开发活动计划;产品软件层面的开发活动计划;开发接口协议计划（适用时）;支持过程计划;验证活动计划;认可评审的计划，包括功能安全审核和功能安全评估;相关失效分析的计划;候选项的在用证明（适用时）;软件工具的可信度（适用时）。

4 安全分析

安全分析的目的是检查相关项及要素的功能、表现及设计中的故障和失效后果，有助于识别出在之前的危害分析和风险评估过程中未被发现的新的功能性危害或非功能性危害。安全分析有定性分析和定量分析。定性安全分析方法包括：系统、设计或过程层面的定性FMEA;定性FTA;危害与可操作性分析（HAZOP）;定性ETA。定量安全分析是对定性安全分析的补充，方法包括：定量FEMA;定量FTA;定量ETA;马尔科夫模型;可靠性框图。安全分析包括对安全目标和安全概念的确认，对安全概念和安全要求的验证，对可导致违背安全目标或安全要求的条件及包括故障和失效的原因的识别，对关于故障探测或失效探测的额外要求的识别，对探测故障或失效所需的响应行为/响应措施的制定，对为验证安全目标和安全要求是否得到满足所需的二外要求的识别。

5 功能安全评估

若相关项安全目标的最高ASIL等级是ASIL C或D，需开展功能安全评估以评价相关项是否实现功能安全。在分布式开发的情况下，还需开展相关项供应链中的供应商生成的工作成果、实施的功能安全管理流程及安全措施。功能安全评估工作包括：对已实施的、可在相关项开发过程中评估的安全措施的恰当性和有效性的评审;对安全计划所要求的工作成果进行评审，确认工作成果符合相关要求;开展功能安全审核，评估功能安全流程实施情况。功能安全评估应对相关项的功能安全得出完全接受、有条件接受、拒绝的结论。当结论是拒绝时，应进行充分的整改措施，并重新进行功能安全评估。

6 结语

功能安全管理体现了基于风险的思维，提前识别功能的安全风险，采取措施应对风险，以降低产品的功能安全风险。功能安全管理涉及产品的设计开发、采购、生产到运行、报废等整个生命周期的各个环节，但设计开发是其中最关键最重要的部分，实施功能安全管理流程的企业与未实施功能安全管理流程的企业相比，产品设计开发的难度和复杂程度增加了很多，开发的产品的功能安全风险大大减少。因此，电子电控系统的企业应建立并实施功能安全管理流程，提高产品的安全性。