近期，国家市场监督管理总局、国家标准化管理委员会发布推荐性国家标准GB/T 34590-2022《道路车辆 功能安全》系列标准，包含术语、功能安全管理、概念阶段、指南等12部分。据悉，该系列标准将在2023年7月1日正式实施，届时将全面取代现行的GB/T 34590-2017版本标准。

为进一步了解该系列标准制定的过程、背景、意义、主要内容及亮点，探讨标准即将发挥的作用及相关企业应做好的准备，《产品安全与召回》记者邀请到主要标准起草人之一、中国汽车技术研究中心有限公司工程师李波博士对该系列标准进行解读。

功能安全标准相继出台

(资料图片)

关于车辆的功能安全，其定义为：不存在由电气电子系统的功能异常表现引起的危害而导致不合理的风险。李波解释道：“这里的功能异常表现指的是因电气电子系统发生故障进而导致功能失效所引起的非预期表现。例如，车辆制动或转向控制系统发生故障，导致车辆发生非预期制动或转向进而引发碰撞等人身伤害事故。”

现代化的电气器件、电子设备、可编程电子器件在汽车控制领域的大量应用已成为一种趋势，伴随而来与安全相关的问题越发突出。尤其是近年来频发的汽车召回事件如制动失效、发动机或变速箱控制软件故障等，不仅给汽车企业造成了巨大的经济损失，也给人民的生命财产安全带来了严重的威胁。“造成事故的主要原因在于车辆安全相关控制系统的安全功能失效，其中，车辆电子电气系统的失效最为突出。”李波指出。

因此，政府、企业和用户越来越关注产品的功能安全，自1989年全球的业内专家开始对产品安全性设计技术加以重视，并将电子电气及可编程电子安全控制系统相关的技术发展为一套成熟的安全设计技术标准。为此，国际电工委员会（IEC）于2000年颁布了关于电子电气和可编程电子系统（E/E/PE）的功能安全国际标准IEC 61508。IEC 61508一经颁布就得到了广泛采用，在其基础上，各个工业应用领域的标准也陆续出台。

以ISO 26262为基础制定

然而，起源于过程工业领域的IEC 61508并不完全适用于汽车工业。随着安全相关的电子电气系统在汽车上的广泛应用，汽车工业对电子电气系统功能安全标准的需求也越来越迫切。因此，从2005年11月起，国际标准化组织(ISO)在IEC 61508的基础上，由ISO的TC22（道路车辆技术委员会）、SC3（电子电器分技术委员会）、WG16（功能安全工作组）联合全球约30多家汽车厂商，经过约6年时间，制定出了专门针对汽车电子电气系统的功能安全标准，即ISO 26262（Road vehicles- Functional safety），名称为“道路车辆－功能安全”，并于2011年11月15日正式颁布。

“推荐性国家标准GB/T 34590-2022《道路车辆 功能安全》在充分理解ISO 26262内涵的基础上，根据我国汽车行业的特点和实际情况，加入了自身的理解和要求，是更加符合我国汽车电子产业发展需求的标准。”李波表示。

标准将提升汽车电子电气产品的功能安全

安全是道路车辆开发的关键点之一。汽车功能的开发和集成强化了对功能安全的需求，以及对提供证据证明满足功能安全目标的需求。

据介绍，GB/T 34590-2022《道路车辆 功能安全》系列标准适用于安装在除轻便摩托车以外的量产道路车辆上的包含一个或多个电子电气系统与安全相关的系统，涵盖乘用车、客车、卡车、挂车、半挂车、摩托车（轻便摩托车除外），适用于道路车辆上由电子电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。

李波认为，该系列标准的制定将切实提高汽车电子电气产品的功能安全。一方面，在产品的研发流程和管理流程中，预先分析、评估潜在的危害和风险，通过实施科学的安全技术措施、规范和方法来降低风险。另一方面，利用软、硬件系统化的测试、验证和确认方法，使电子电气产品的安全功能在安全生命周期内满足汽车安全完整性等级的要求，提升系统或产品的可靠性，避免过度设计而增加成本以及避免因系统失效、随机硬件失效、设计缺陷所带来的风险，使电子系统的安全功能在各种严酷条件下保持正常运作，确保驾乘人员及路人的安全。

通过设定适当的要求与流程降低风险

随着技术日益复杂，软件和机电一体化应用不断增加，来自系统性失效和随机硬件失效的风险逐渐增加，这些都在功能安全的考虑范畴之内。“GB/T 34590-2022《道路车辆 功能安全》系列标准通过设定适当的要求和流程来降低风险。”李波表示。

具体而言，为了实现功能安全，GB/T 34590-2022《道路车辆 功能安全》提供了一个汽车安全生命周期（开发、生产、运行、服务、报废）的参考，并支持在这些生命周期阶段内对执行的活动进行剪裁；提供了一种汽车特定的基于风险的分析方法，以确定汽车安全完整性等级（ASIL）；使用ASIL等级来定义GB/T 34590-2022中适用的要求，以避免不合理的残余风险；提出了对于功能安全管理、设计、实现、验证、确认和认可措施的要求；并提出了客户与供应商之间关系的要求。

企业应从两方面采取措施

GB/T 34590-2022系列标准的发布实施将对行业、企业有哪些意义？对此，李波指出：“对企业来说，该标准将对规范其电控系统的功能安全开发，提升产品安全质量具有重要的发展指导意义。在国际层面，相关国际法规中也将功能安全要求引入，对于我国车企出口带来同样的挑战，因此，该标准的发布实施对于推动国内车企、供应商加快对于功能安全的符合性，适应国际法规走出国门具有战略意义。”

李波建议，企业应考虑从两个方面采取应对措施：

第一，进行整体安全管理。

具体而言，即建立并维护用于支持和鼓励功能安全的有效实现、促进与功能安全相关的其他领域有效沟通的安全文化；建立并维护功能安全规章和流程；建立并维护确保能充分识别出安全异常的流程；建立并维护可确保参与人员的能力与其职责相匹配的能力管理体系；建立并维护用以支持功能安全的质量管理体系。

第二，设定安全生命周期内关于管理活动的要求，及设计开发、验证确认的功能安全要求，包括概念阶段、产品开发阶段（系统层面、硬件层面、软件层面）以及生产、运行、服务和报废阶段。

据悉，为帮助行业、企业充分理解该系列标准，保证该标准更好地落地实施，中国汽车技术研究中心计划将于2023年6月份开展GB/T 34590-2022《道路车辆 功能安全》的宣贯会议。

国家标准计划20203970-T-339《道路车辆 预期功能安全》作为补充

GB/T 34590-2022《道路车辆 功能安全》描述了如何开展危害分析和风险评估，以确定整车层面的危害及其安全目标。同时，该系列标准提供了避免和控制可能违背安全目标的随机硬件失效和系统性失效的要求和建议。

然而，对于一些电气电子系统，例如依靠感知车辆外部或内部环境来建立态势感知的系统，尽管没有发生GB/T 34590-2022《道路车辆 功能安全》中所提到的故障，其预期功能及实现仍可能会导致产生危害行为。李波举例说：“造成此类潜在危害行为的原因，包括：功能无法正确感知环境；功能、系统和算法在传感器输入变化、融合策略或不同环境条件等方面缺乏鲁棒性；由于决策算法和/或人的不同期望而导致的非预期的行为等。”

区别于GB/T 34590-2022《道路车辆 功能安全》中所提到的故障而引发的安全风险，对于智能网联汽车如何避免因功能不足（包括整车层面预期功能规范定义的不足，系统中电气电子要素实现的规范定义不足或性能局限）带来的安全风险，国家标准计划20203970-T-339《道路车辆 预期功能安全》应运而生。

李波认为，20203970-T-339《道路车辆 预期功能安全》将为实现和保持预期功能安全所需的设计、验证和确认措施以及在运行阶段的活动提供指导。该标准适用于依靠复杂传感器和处理算法进行态势感知，且感知的正确性会对安全产生重要影响的预期功能，特别是紧急干预系统的功能和驾驶自动化等级为L1～L5级的系统的相关功能。目前，该国家标准已进入批准阶段。

来源：《产品安全与召回》杂志2023年第2期，转载请标明来源。

国家市场监管总局主管

关注产品安全与产品召回的权威媒体