Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 26262-7:2018 — 汽车功能安全的生产、运行、服务和报废
安全生产规划、现场监控、维护保养与车辆全生命周期安全管理
ISO 26262-7:2018 概述
ISO 26262-7:2018涉及汽车安全生命周期中常被忽视但至关重要的阶段:生产、运行、服务(维护和维修)和报废。虽然行业内大部分功能安全关注点集中在开发阶段,但本标准认识到,安全缺陷可能在制造、现场服务甚至车辆报废过程中被引入——或者现有的安全功能可能被削弱。
该标准确保通过设计和开发阶段(ISO 26262-3至ISO 26262-6)实现的功能安全在车辆的整个生命周期中得以保持。它在产品开发与实际使用之间架起了桥梁,提供了生产过程控制、现场监控、服务文档和报废处理的要求。
ISO 26262-7是核心安全生命周期中最小的部分,但具有巨大的实际影响。许多安全召回可以追溯到生产过程中的偏差或不适当的维护程序,这些损害了原有的安全设计。
生产、运行、服务和报废的规划
第5章要求对所有开发后生命周期阶段进行系统性规划。这种规划必须在产品开发期间开始,而非之后。关键要素包括:
| 生命周期阶段 | 规划要求 | 关键交付物 |
|---|---|---|
| 生产 | 生产流程、工具、设备、追溯措施、软件编程验证 | 生产计划、生产控制计划、PFMEA |
| 运行 | 用户手册、警告和降级策略、安全相关用户信息 | 车主手册安全章节、警告标签 |
| 服务 | 维护程序、维修说明、保养间隔、特殊工具要求 | 维修手册、修理说明、服务公告 |
| 报废 | 生命周期结束程序、组件处置、数据擦除、环保考虑 | 报废说明、回收指南 |
本条引入的一个关键概念是安全相关特殊特性(SRSCs)。这些是必须在生产过程中控制以维持功能安全的项或元素的特定属性。示例包括:
- 安全关键紧固件的扭矩值
- 安全相关组件的回流焊接温度曲线
- 传感器的校准参数(如转向角传感器零点标定)
- ECU软件的在线编程验证
安全相关特殊特性必须在开发阶段(ISO 26262-4第6章和ISO 26262-5第7章)识别,并清晰地传达给生产规划部门。如果将制动系统紧固件的扭矩规格确定为SRSC,则生产控制计划必须包括100%检验或带有SPC(统计过程控制)的过程控制。
生产要求与过程控制
第6章规定了生产阶段本身的要求。关键要求包括:
- 按照生产计划执行过程,特别关注SRSCs
- 安全相关元素在生产过程中的可追溯性,通常通过序列号、条码或RFID标签实现
- 软件和标定数据验证——确保在生产过程中为每台ECU加载正确的软件版本和标定数据
- 不合格品管理——通过定义的过程处理生产偏差,评估对功能安全的影响
- 人员能力——确保生产人员接受与其工作安全相关方面的培训
标准特别要求将正确版本的嵌入式软件和标定数据编程到ECU中。这通常通过校验和验证或与每个特定车辆配置的物料清单进行回读比较来实现。
最有效的生产安全措施往往是最简单的:防错(poka-yoke)设计。例如,使用物理上无法错误插入的键控连接器,或使用使目视检查变得显而易见的颜色编码组件。这些比基于检验的质量控制可靠得多。
运行、服务和报废
第7章涉及运行、服务和报废阶段,确保在整个车辆使用寿命期间乃至寿命终止时维持功能安全。
运行要求侧重于为车辆用户提供足够的信息以安全操作车辆,包括:
- 警告和降级策略信息(警告灯含义、如何响应)
- 安全相关系统的安全操作说明(例如ADAS局限性)
- 影响安全系统的所需保养间隔信息
服务要求确保维护和维修活动不损害安全:
- 服务程序必须指定哪些安全功能在维修后需要重新标定或重新验证
- 替换零件必须满足原始安全要求(包括ASIL等级的电子元件)
- 服务人员必须能够访问安全相关技术信息
- 必须规定服务后验证(例如试车、诊断扫描)
报废要求涉及车辆寿命终止:
- 安全相关组件的正确处置说明
- 从包含安全相关配置数据的ECU中擦除数据
- 处理含有危险材料的组件(例如安全气囊引爆器、高压电池系统)
一个经常被忽视的安全风险:售后改装。当车主或维修店安装未经批准的组件(例如售后悬挂、轮毂或灯具)时,他们可能会从根本上改变车辆的安全特性。ISO 26262-7不直接监管售后市场,但服务文档必须明确标识哪些改装会使安全论证失效。
工程洞见与最佳实践
基于实施ISO 26262-7的实际经验,以下是关键的工程洞见:
- 尽早开始:生产和维护要求应在概念阶段而非设计完成后就予以考虑。这样可以实现保护安全的面向制造的设计(DFM)和面向服务的设计(DFS)。
- PFMEA是您的朋友:生产规划期间的过程FMEA可识别制造过程本身的故障模式。这通常比产品FMEA更有价值,因为制造缺陷可能影响100%的生产单元。
- 现场监控反馈回路:建立将现场故障数据反馈回开发过程的流程。ISO 26262-2018引入了改进的安全异常管理要求(ISO 26262-2),这些要求与第7部分的现场监控活动直接交互。
- 软件更新:随着OTA(空中下载)软件更新的日益普及,服务阶段现在与网络安全要求(UN R155、ISO 21434)有显著重叠。组织应协调软件更新的安全和安防流程。
常见问题解答
问:ISO 26262-7是否适用于仅制造零部件的一级供应商?
答:是的。如果一级供应商生产安全相关元素(ECU、传感器、执行器),他们必须向其客户(OEM或集成商)提供必要的生产、运行、服务和报废信息。这包括OEM在其车辆生产过程中需要管理的安全相关特殊特性。
答:是的。如果一级供应商生产安全相关元素(ECU、传感器、执行器),他们必须向其客户(OEM或集成商)提供必要的生产、运行、服务和报废信息。这包括OEM在其车辆生产过程中需要管理的安全相关特殊特性。
问:ISO 26262-7如何处理服务阶段的软件更新?
答:标准要求软件更新遵循ISO 26262-8中定义的变更管理过程。任何影响安全功能的软件更新都需要重新验证受影响的安全需求。标准还要求在更新后可验证正确的软件版本和标定数据。随着OTA更新的兴起,组织还应考虑ISO 21434网络安全要求。
答:标准要求软件更新遵循ISO 26262-8中定义的变更管理过程。任何影响安全功能的软件更新都需要重新验证受影响的安全需求。标准还要求在更新后可验证正确的软件版本和标定数据。随着OTA更新的兴起,组织还应考虑ISO 21434网络安全要求。
问:ISO 26262-7与IATF 16949的关系是什么?
答:ISO 26262-7引用IATF 16949(汽车质量管理标准)作为生产过程控制的基础。但是,仅靠IATF 16949是不够的——对于安全相关特殊特性(SRSCs)、安全元素可追溯性和软件编程验证,需要额外的安全特定控制。可以将IATF 16949视为基线,ISO 26262-7视为安全覆盖层。
答:ISO 26262-7引用IATF 16949(汽车质量管理标准)作为生产过程控制的基础。但是,仅靠IATF 16949是不够的——对于安全相关特殊特性(SRSCs)、安全元素可追溯性和软件编程验证,需要额外的安全特定控制。可以将IATF 16949视为基线,ISO 26262-7视为安全覆盖层。
问:报废要求适用于车辆制造商还是最终用户?
答:标准要求车辆制造商(或其授权代表)提供报废说明。这些通常提供给授权服务中心和回收设施,而非个别车主。但是,某些信息(例如高压系统安全程序)可能需要传达给应急响应人员和救援服务部门。
答:标准要求车辆制造商(或其授权代表)提供报废说明。这些通常提供给授权服务中心和回收设施,而非个别车主。但是,某些信息(例如高压系统安全程序)可能需要传达给应急响应人员和救援服务部门。
