《《汽车产品安全风险评估与风险控制指南》.doc》由会员分享,可在线阅读,更多相关《《汽车产品安全风险评估与风险控制指南》.doc(15页珍藏版)》请在三一办公上搜索。
1、汽车产品安全 风险评估与风险控制指南国家标准(征求意见稿)编制说明一、 任务来源国家标准汽车产品风险评估与控制策略20XX年12月列入国家标准委国家标准制、修订计划(计划号为20XX1909-T-469),由中国标准化研究院(国家质检总局缺陷产品管理中心)提出并组织起草,由全国产品缺陷与安全管理标准化技术委员会(SAC/TC463)归口。矚慫润厲钐瘗睞枥庑赖。矚慫润厲钐瘗睞枥庑赖賃。二、 目的及意义随着汽车保有量的不断增加,各种质量问题和故障可能对人身安全带来不同程度的风险。有些可能造成严重的事故和人员伤害,有些可能仅是对车辆的舒适性能产生影响,对不同故障问题的处理方式也不相同。缺陷是指由于设
2、计、制造、标识等原因导致的在同一批次、型号或者类别的汽车产品中普遍存在的不符合保障人身、财产安全的国家标准或者行业标准的情形或者其他危及人身、财产安全的不合理危险。缺陷通常只有在汽车使用中才能逐渐暴露出来,造成的人身伤亡和财产损失比一般故障更为严重,缺陷汽车产品风险评估是对这些缺陷风险进行等级评估的过程。同时,针对批次性故障的主要处理方式包括召回、生产者技术服务、延长质保期等,但是在选择处理方式上,尚没有可参考的规范流程。本标准的编制旨在对上述评估过程进行规范化和标准化,为汽车缺陷判定提供科学依据,为政府部门和生产者作出召回决策和其他批次性问题处理方式提供实用性指南。聞創沟燴鐺險爱氇谴净。聞創
3、沟燴鐺險爱氇谴净祸。1、 本标准是落实缺陷汽车产品召回管理条例的重要支撑标准缺陷汽车产品召回管理条例是目前汽车产品召回的主要依据,而缺陷判定是召回实施的前提。缺陷判定是双方或多方权益的权衡和博弈,需要综合考虑公平、效益等多种社会价值,既不能损害消费者的合法权益又要尊重生产者的利益。由于不同的社会属性,生产者和消费者对缺陷的人是角度不同,导致召回争议事件频发。从20XX年爆发的丰田“刹车门”到20XX年央视曝光的大众DSG事件,再到20XX年闹得沸沸扬扬的大众新速腾汽车“断轴事件”,争议的焦点都在缺陷的认定。缺陷汽车产品召回管理条例虽对缺陷做了定义,但比较模糊、抽象,具体实践采用何种标准或方法来
4、衡量尚未明确。本标准提出采用风险评估方法衡量产品缺陷,以风险高低作为判定缺陷的依据。残骛楼諍锩瀨濟溆塹籟。残骛楼諍锩瀨濟溆塹籟婭。2、 本标准是加强缺陷汽车产品召回监管的基础技术标准缺陷汽车产品危及公共安全和公众利益,监督并落实缺陷产品召回是政府职能的应有之义。由于信息不对称、举证困难和个体经济薄弱等因素,消费者利益往往得不到及时保护。通过政府介入,促使生产者通过召回方式消除缺陷,可以有效保障消费者合法权益。政府在实施召回过程中扮演行政监督和重大技术研判两个角色,本标准是政府开展汽车产品缺陷技术研判的重要基础标准。酽锕极額閉镇桧猪訣锥。酽锕极額閉镇桧猪訣锥顧。3、 本标准是生产者加强内部产品安
5、全风险管理的关键技术标准为在激烈的市场竞争中占据优势,生产者普遍加快产品研发和生产速度,缩短上市时间,不可避免的加大了技术风险概率和出现缺陷的可能。市场经济条件下,作为理性经济人的生产者以利润最大化为目标,在没有外部约束的情况下,其会利用消费者信息不对称而将自己的开支转嫁。科学开展缺陷判定并督促其实施召回,可以约束生产者在加快产品研发的同时注重安全投入。本标准则可以为企业加强内部产品安全风险管理投入提供参考依据。彈贸摄尔霁毙攬砖卤庑。彈贸摄尔霁毙攬砖卤庑诒。三、 标准的主要内容本标准申报时名称为汽车产品风险评估与控制策略,在制订过程中,根据标准实际编写内容,并参考相关标准,标准制订小组决定将本
6、标准更名为汽车产品安全 风险评估与风险控制指南。謀荞抟箧飆鐸怼类蒋薔。謀荞抟箧飆鐸怼类蒋薔點。1、范围:本标准规定了汽车产品风险评估基本过程以及风险控制的基本措施。本标准适用于在汽车产品的缺陷分析和认定过程中,对已销售的汽车产品存在的不合理危险进行风险评估,并基于风险评估结果制定相应的风险控制策略。厦礴恳蹒骈時盡继價骚。厦礴恳蹒骈時盡继價骚卺。本标准的主要内容为汽车产品的风险评估基本过程和风险控制基本措施的规定和原则。本标准的缺陷分析和认定过程只针对已销售的汽车产品,属于市场后管理,标准制定的目的不包含未销售的汽车产品的风险评估与风险控制。汽车产品因为其特殊性,具有高速和高能量,本身既是一个危
7、险源,此类危险通常划分为合理危险之中。不合理危险是指因设计制造等方面原因,汽车产品在正常使用情况下仍存在危及人身、财产安全的危险。茕桢广鳓鯡选块网羈泪。茕桢广鳓鯡选块网羈泪镀。本标准范围确定的主要依据为20XX年公布20XX年起执行的缺陷汽车产品召回管理条例(国务院令第626号,以下简称条例)。条例第三条给出了“缺陷”的明确定义“是指由于设计、制造、标识等原因导致的在同一批次、型号或者类别的汽车产品中普遍存在的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身、财产安全不合理危险。”根据缺陷的定义,对于缺陷的认定应包括三个方面:1、非人为使用问题或环境问题;2、不符合相关安全标
8、准;3、存在危及安全性的不合理危险。其中,标准符合性的问题,由于相关标准中均有明确规定,可以及时准确地根据标准进行判断,因此,本标准中所提及的风险评估不适用于汽车产品存在不符合保障人身、财产安全的国家标准、行业标准的情形,该类汽车产品应该按照相应的国家标准、行业标准中的有关规定进行管理处置。鹅娅尽損鹌惨歷茏鴛賴。鹅娅尽損鹌惨歷茏鴛賴縈。2、术语和定义:主要给出与风险评估与控制的相关术语及定义。2.1汽车产品安全风险motor vehicle product safety risk:汽车整车、系统、总成或零部件等因故障或失效产生危险事件或情形的严重性与发生可能性的综合。籟丛妈羥为贍偾蛏练淨。籟丛
9、妈羥为贍偾蛏练淨槠。机械安全 风险评价 第1部分 原则(GB/T 16856.1-20XX)中3.12规定,风险定义为:“伤害发生概率和伤害发生的严重程度的综合。”电气设备的安全 风险评估和风险降低 第1部分 总则(GB/T 22696.1-20XX)中3.13规定,风险定义为:“对伤害的一种综合衡量,包括伤害发生的概率和伤害的严重程度。”汽车产品是一种集合上万个零件的复杂产品,任何系统、零部件等出现故障或失效都会引起风险。类比其他行业对于风险的定义,结合汽车产品本身特点,对其风险作此定义。預頌圣鉉儐歲龈讶骅籴。預頌圣鉉儐歲龈讶骅籴買。2.2风险评估risk assessment:确定危险事件
10、或情形的严重性和发生可能性的综合水平等级的过程。渗釤呛俨匀谔鱉调硯錦。渗釤呛俨匀谔鱉调硯錦鋇。机械安全风险评价第1部分原则(GB/T 16856.1-20XX)中3.15规定,风险评估定义为:“确定伤害可能达到的严重程度和伤害发生的概率。”电气设备的安全风险评估和风险降低第1部分总则(GB/T 22696.1-20XX)中3.15规定,风险评估定义为:“包括风险分析和风险评价的全过程。”汽车产品的使用条件和环境十分复杂,因此在由缺陷引发事故、伤害的风险传递过程中具有区别于其它类别产品的特殊性,通过分析汽车产品风险传递过程,对汽车产品发生危险事件或情形的严重性和发生可能性进行评估最为合理。通过对
11、汽车产品风险评估过程的分析和论证,明确汽车产品风险评估包括两个方面,一是根据危险事件或情形发生的可能性和造成伤害后果的严重性来定量风险水平;二根据成本效益原则确定其风险水平是否在可接受范围。因此,本标准在综合上述两方面内容的基础上,对汽车产品的风险评估作此定义。铙誅卧泻噦圣骋贶頂廡。铙誅卧泻噦圣骋贶頂廡缝。2.3风险控制risk control:用于避免或减小危险事件或情形发生的策略。机械安全 风险评价 第2部分 实施指南和方法举例(GB/T 16856.2-20XX)中6.1规定:“风险减小是通过采纳风险评价过程中提出的建议,并采用保护措施而达到的。”电气设备的安全 风险评估和风险降低 第4
12、部分 风险降低(GB/T 22696.4-20XX)中4.1规定:“风险减小是综合风险分析、评价风险过程中提出的建议,实施保护和防护措施而达到。”风险减小是目标,通过风险控制而实现。风险控制是在识别和度量风险的基础上,选择、拟定并实施的一种策略手段,通过减少或避免风险的措施手段,达到保护人员、财产安全的目标。生产者对其制造的汽车产品质量负责,因此风险控制的主体是汽车产品生产者。擁締凤袜备訊顎轮烂蔷。擁締凤袜备訊顎轮烂蔷報。2.4汽车产品危险 motor vehicle hazard:由于设计、制造或标识等原因使汽车整车、系统、总成或零部件等处于一种不安全状态,在这种状态下,将可能导致人身伤害或
13、财产损失。贓熱俣阃歲匱阊邺镓騷。贓熱俣阃歲匱阊邺镓騷鯛。机械安全风险评价第1部分原则(GB/T 16856.1-20XX)中3.2规定:“危险是潜在的危害源。”电气设备的安全风险评估和风险降低第1部分总则(GB/T 22696.1-20XX)中3.17规定:“危险即不可接受风险。”汽车产品具有结构复杂,同一性高,数量大等特点。依据上述汽车产品特点,从以下三个方面考虑对其汽车产品危险作出定义:一是指出汽车产品危险的来源,即设计、制造或者标识等过程中出现错误或遗漏;二是确定危险的属性,危险是一种不安全状态,并且危险主体是汽车产品的系统或部件;三是预测结果,危险将可能导致人身伤害或财产损失。坛摶乡囂
14、忏蒌鍥铃氈淚。坛摶乡囂忏蒌鍥铃氈淚跻。2.5严重性 severity:危险事件或情形对人身、财产安全的损害程度。机械安全 风险评价 第1部分 原则(GB/T 16856.1-20XX)中7.2.2规定:“伤害的严重程度可通过伤害损坏健康的严重程度(轻微、严重、死亡)或者伤害的限度(一个人、几个人)进行评估。”电气设备的安全 风险评估和风险降低 第1部分 总则(GB/T 22696.1-20XX)中7.2.2规定:“伤害的严重程度可通过伤害的程度(轻微、严重或死亡)或者伤害的广度(一个人员、一件设备或多个人员、较广范环境的损害)进行预估。”潜在的风险可能导致危害事件的发生,而危害事件的严重性是评
15、判风险的重要指标蜡變黲癟報伥铉锚鈰赘。蜡變黲癟報伥铉锚鈰赘籜。2.6可能性 probability:汽车产品在其使用寿命周期内发生“危险事件或情形”的概率。机械安全风险评价第1部分原则(GB/T 16856.1-20XX)、电气设备的安全风险评估和风险降低第1部分总则(GB/T 22696.1-20XX)中均指出,“风险的重要因素之一可能性即发生伤害的概率。”本标准是针对已销售的汽车产品进行评估,风险主体就是汽车产品使用者,可能性是指汽车产品在使用寿命周期内存在发生危害事件或情形的概率预测值。需要说明的是,概率预测值是通过相关预测模型计算获得的,并不来源于市场数据的处理。買鲷鴯譖昙膚遙闫撷凄。
16、買鲷鴯譖昙膚遙闫撷凄届。2.7风险评估对象:可能存在故障或失效问题的批次汽车产品。汽车产品是由上万个零部件组成,使用条件和环境十分复杂,在设计、制造及标识等原因很可能产生缺陷,存在风险。将具有潜在风险的汽车产品批量投放市场,将会带来大范围、系统性的安全风险,社会危害性极大。因此,本标准将风险评估对象界定为可能存在风险的批次汽车产品。綾镝鯛駕櫬鹕踪韦辚糴。綾镝鯛駕櫬鹕踪韦辚糴飙。3、总则主要说明风险评估和风险控制的基本流程,指出风险评估的对象为“危险事件或情形”,指明风险控制主体制定风险控制的基本要求。驅踬髏彦浃绥譎饴憂锦。驅踬髏彦浃绥譎饴憂锦諑。风险评估与风险控制是一项系统工程,因此,制定出基
17、本框架与策略是保障其顺利实施的首要条件。本标准是针对于汽车产品系统或部件失效/故障导致的危害事件进行风险评估。在传统生产安全领域对于事故进行风险评估,需考虑具体场景条件下中使用者的处置措施,而汽车产品缺陷判定工作往往排除使用者主观影响因素;根据对于汽车产品由于缺陷导致伤害的风险传递路径的不确定性分析结果,不同伤害模式发生的概率是无法预测的。例如:汽车产品的电气线路短路(故障或失效)会导致电气线路过热,可能引发火灾(危险事件或情形),造成人员轻度烧伤(伤害情形A)、重度烧伤(伤害情形B)或烧死(伤害情形C),在风险评估时,要对上述A、B、C三种伤害情形的发生概率进行预测几乎无法完成,但“引发火灾
18、”这一危险事件或情形具有相对确定性。故综合上述考虑,选择对“危险事件或情形”进行风险评估,易于相关工作的开展。猫虿驢绘燈鮒诛髅貺庑。猫虿驢绘燈鮒诛髅貺庑献。图1 风险评估与风险控制基本流程是参考相关汽车风险评估、机械安全评价及消费品风险评估与控制等综合考虑的结果。例如产品安全与风险评估第3章产品直接伤害的风险评估中的图36直接伤害的产品风险评估程序如下图。锹籁饗迳琐筆襖鸥娅薔。锹籁饗迳琐筆襖鸥娅薔嗚。图1 直接伤害的产品风险评估程序消费品安全管理导则(GB/T 2880320XX)第8/9/10条列出的对风险估计、风险评价、风险控制的说明;以及消费品质量安全因子评估和控制通则(GB/T 282
19、1620XX)中消费品质量安全因子评估与控制,如下图。構氽頑黉碩饨荠龈话骛。構氽頑黉碩饨荠龈话骛門。图2消费品质量安全因子评估和控制过程具体风险控制水平可参阅汽车相关标准和条例,例如缺陷汽车产品召回管理条例等。4、风险评估4.1风险评估基本流程风险评估的应用在不同的安全领域应用中虽然略有差异,但原理和过程是基本一致的。本标准在综合分析不同领域的风险评估流程的基础上,结合多年以来汽车产品缺陷判定工作的实际情况,以风险评估的理论方法为指导,将风险评估的流程分为五步:确定风险评估对象、识别危险事件或情形、评估危险事件或情形的严重性、评估危险事件或情形发生的可能性、确定综合风险水平等级。輒峄陽檉簖疖網
20、儂號泶。輒峄陽檉簖疖網儂號泶蛴。4.2确定风险评估对象。主要说明评估对象,并指出具体的批次范围需经过合理的分析。汽车产品的生产具有批次性,当发现某一车型的一辆或几辆车出现失效/故障,政府部门和生产者应该分析找出该车的批次范围,追根溯源,从该车的设计、制造、标识等角度进行分析,不能局限于特定范围或数量的汽车,要以可能存在风险的批次汽车产品这一群体来作为风险评估的对象。本标准根据缺陷的定义,从设计、制造和标识三个方面设定了风险评估的对象。尧侧閆繭絳闕绚勵蜆贅。尧侧閆繭絳闕绚勵蜆贅瀝。4.3识别危险事件或情形。主要说明风险传递的过程,以及在多种危险事件或情形中要分清主次。1)风险传递过程对风险传递过
21、程的分析在整个风险评估流程中具有重要的作用,也是风险评估工作中的重点和难点。分析风险传递过程,可产生如下积极意义:识饒鎂錕缢灩筧嚌俨淒。识饒鎂錕缢灩筧嚌俨淒侬。(1)识别汽车系统中可能存在的风险分析风险传递过程,对汽车产品故障或失效进行技术分析,模拟危险事件或情形发生和可能引起伤害的场景,识别风险,有利于提高汽车企业对风险的认识,从汽车设计及生产上出发,优化改良系统,提高系统可靠性,减少事故的发生。凍鈹鋨劳臘锴痫婦胫籴。凍鈹鋨劳臘锴痫婦胫籴铍。(2)从宏观角度分析系统中可能发生的事故,掌握事故发生的规律通过对风险传递过程的分析,掌握事故的规律及其主要影响因素,对其伤害模式与伤害的严重程度进行总
22、结,对多发事故及其伤害模式进行重点分析,加强事故发生后的维护措施,将损失减少到最低。恥諤銪灭萦欢煬鞏鹜錦。恥諤銪灭萦欢煬鞏鹜錦聰。(3)指出消除事故的根本措施,改善汽车系统的安全状况从系统安全角度出发,进一步对造成的系统失效或故障进行分析,从而可以对系统可靠度进行定量的计算,判断系统可靠性。通过选用可靠性高的设备部件、采用提高系统冗余量、改善系统运行条件及加强检测和预防性维修保养等方式提高系统可靠性,从而减少事故的发生。鯊腎鑰诎褳鉀沩懼統庫。鯊腎鑰诎褳鉀沩懼統庫摇。本标准中展示的风险传递过程图,其基本理论来源于事件树分析法(ETA-Event Tree Analysis)。事件树分析方法是一种
23、逻辑演绎分析方法,在给定的一个初因条件的前提下,分析次事件可能导致的后续事件的结果,从而可以评价系统的可靠性和安全性。硕癘鄴颃诌攆檸攜驤蔹。硕癘鄴颃诌攆檸攜驤蔹鸶。任何事故都是一个多环节事件发展变化过程的结果,因此事件树分析也称为事故过程分析,其实质是利用逻辑思维的规律和形式,分析事故的起因、发展和结果的整个过程。阌擻輳嬪諫迁择楨秘騖。阌擻輳嬪諫迁择楨秘騖輛。本标准所涉及的汽车风险传递过程为事后分析过程,汽车产品缺陷判定工作也是基于汽车产品产生失效或故障后分析出其风险等级,与事件树分析法具有一定契合度,因此适合采用基于事件树分析理论的风险传递过程进行风险识别。氬嚕躑竄贸恳彈瀘颔澩。氬嚕躑竄贸恳
24、彈瀘颔澩纷。由于事件树是一种时序逻辑分析方法,将其应用在汽车风险传递过程中能够清楚的展现事故发生的环节,对事故中的初因事件及环节事件进行剖析。其关键在于分析汽车系统或零部件由于存在缺陷造成的失效或故障,推断产生的后果和伤害的场景,并对造成的危害及伤害的可能性和严重性进行定量或半定量的分析。釷鹆資贏車贖孙滅獅赘。釷鹆資贏車贖孙滅獅赘慶。事件树分析中定量计算在风险传递中起着重要的作用,对了解事故发展过程有着很大的帮助,其实质就是计算每个分支发生的概率。在各个因素的可靠度已知的情况下根据事件树可以确定系统的可靠度。汽车的风险从最初的零部件设计制造因素导致产品缺陷故障危险事故人身伤害,风险从原因端向结
25、果端传递,表现形式由确定的系统或部件发生失效/故障分化到若干不同的危险形态,最终产生后果(伤害、环境损失、财产损失)。这种从系统或部件失效/故障到伤害的风险传递,与危险演变的过程是一致的,结合事件树获得如标准所示的风险传递过程。怂阐譜鯪迳導嘯畫長凉。怂阐譜鯪迳導嘯畫長凉馴。当汽车系统或零部件由于设计、制造或标识等原因形成缺陷,造成了汽车在使用过程中的系统或零部件的失效或故障,进而引发一系列可能的危险事件或情形,而每一种情形都会导致一种或多种事故的产生,而每一种事故都会对人造成一种或多种形式的伤害。谚辞調担鈧谄动禪泻類。谚辞調担鈧谄动禪泻類谨。以某汽车产品的电气线路短路(故障或失效)为例,构建风
26、险传递模型。顶上事件为电气线路设计缺陷,导致其无法满足工作温度要求,发生短路。该故障可能导致两个危险情形:电气线路过热、人员直接接触带电部位。嘰觐詿缧铴嗫偽純铪锩。嘰觐詿缧铴嗫偽純铪锩癱。当电气线路过热时可能引发火灾,人员直接接触带电部位会发生触电现象。这两种情况都可能会造成人员伤害或财产损失,但人员伤害和财产损失难以进行定量判定,“引发火灾”和“人员接触”这两个危险事件和情形具有相对的确定性,易于展开风险评估。因此本标准只针对危险事件或情形进行风险评估。熒绐譏钲鏌觶鷹緇機库。熒绐譏钲鏌觶鷹緇機库圆。图3 某汽车电气线路过热风险传递示意图2)主要危险事件或情形的辨识从风险传递的分析中可以知道,
27、汽车产品的系统或部件出现失效或故障并不一定导致单一的危险事件或情形发生,实际情况往往是多种危险事件或情形的综合。直接对多种危险事件或情形进行综合分析在实际工作中较为困难,因此本标准中规定,将多种危险事件或情形按照主次进行初步排序,对主要危险事件或情形进行展开风险评估工作。当不能轻易选出主次危险事件或情形时,则可以通过专家或专业技术人员评判设定一个危险事件或情形作为主要危险事件或情形。对主要危险事件或情形进行了风险水平等级判定后,再对其他危险事件或情形进行分析,考虑对已经得出的风险评估结果的影响,由专家小组得出结论,并适当提高风险水平等级。鶼渍螻偉阅劍鲰腎邏蘞。鶼渍螻偉阅劍鲰腎邏蘞阕。4.4评估
28、危险事件或情形的严重性。本标准给出了危险事件或情形的严重性等级的说明。5.4.1危险事件或情形的严重性等级说明风险严重性评估是指分析和评价危险事件或情形对人身、财产安全的危害程度。严重性分为5个等级:高、较高、中、较低和低。纣忧蔣氳頑莶驅藥悯骛。纣忧蔣氳頑莶驅藥悯骛覲。严重性等级严重性等级说明高故障为突发性,且不可控,可能造成严重的人身伤害或财产损失。危险事件或情形中严重性等级“高”(以下简称“高”)的关键描述词为“失效”,主要是指车辆的整体使用功能完全丧失,或者车辆某一项操纵功能完全丧失,严重影响车辆使用安全,将可能导致极为严重的安全事故。“高”的具体说明为“故障为突发性,且不可控,可能造成
29、严重的人身伤害或财产损失”,重点强调了“突发性”、“不可控”和“严重人身伤害或财产损失”。颖刍莖蛺饽亿顿裊赔泷。颖刍莖蛺饽亿顿裊赔泷涨。“突发性”是指危险事件或情形出现没有任何的预兆,突然发生。例如:转向系统中转向横拉杆突然断裂,造成车辆转向功能突然丧失,没有给驾驶员任何警示信息。濫驂膽閉驟羥闈詔寢賻。濫驂膽閉驟羥闈詔寢賻減。“不可控”既包括车辆行驶或操控功能的不可控,同时也包括危险事件的发生和发展过程不可控。例如:转向横拉杆突然断裂,造成车辆转向功能突然丧失,即会导致车辆方向的完全不可控;燃料系统泄露,在接触到外界明火或者高温表面时,会引发迅速起火,这个事件的发展过程也是不可控的;气囊在不具
30、备点爆条件下发生点爆,这个过程也是不可控的。銚銻縵哜鳗鸿锓謎諏涼。銚銻縵哜鳗鸿锓謎諏涼鏗。“造成严重人身伤害或财产损失”是指危险事件或情形会直接导致事件接触人员死亡、重伤等严重医学后果,例如:气囊的异常点爆会直接导致人员受到严重外力伤害,转向功能突然丧失会直接导致事故的发生。挤貼綬电麥结鈺贖哓类。挤貼綬电麥结鈺贖哓类芈。严重性等级严重性等级说明较高故障为突发性,且可控性降低,可能造成人身伤害或财产损失。危险事件或情形中严重性等级“较高”(以下简称“较高”)的关键表述词为“异常”,主要是指车辆的使用功能或某一项操纵功能无法正常完成或功能实施过程中断,对车辆的使用安全性有较严重的影响,将可能导致较
31、严重的安全事故。关于“较高”的具体说明为“故障为突发性,且可控性降低,可能造成人身伤害或财产损失”,与“高”的主要差异为“可控性降低”,包括车辆行驶或操控功能的异常,危险事件的发展过程的可控性差。例如:转向助力在行驶中完全失效,车辆的转向功能依然存在,但是操控性能出现异常;气囊展开形态异常,虽然故障的出现存在突然性,但是气囊的保护作用依然存在,只是无法达到应有的保护作用。赔荊紳谘侖驟辽輩袜錈。赔荊紳谘侖驟辽輩袜錈極。严重性等级严重性等级说明中等故障造成车辆行驶性能或功能下降,但可控,车辆有可能继续使用,如继续使用可能会导致高、较高的严重性等级。危险事件或情形中严重性等级“中等”的关键表述词为“
32、下降”,主要是指车辆的行驶性能或某一项操纵功能出现降低,无法完全满足实现预定的功能要求。关于“中等”的具体说明为“故障造成车辆行驶性能或功能下降,但可控,车辆有可能继续使用,如继续使用可能会导致高、较高的严重性等级”,重点强调了“行驶性能或功能下降”、“可控”和“可能到导致高、较高的严重性等级”,例如:车辆转向助力效能下降,车辆转向功能和转向助力功能都存在,只是助力效能存在降低,车辆可控也可继续使用,但是若持续使用,可能会导致转向助力完全失效的情形。塤礙籟馐决穩賽釙冊庫。塤礙籟馐决穩賽釙冊庫麩。严重性等级严重性等级说明较低故障对车辆行驶性能或功能有部分影响,但可控,车辆可继续使用,如继续使用可
33、能会导致较高、中等的严重性等级。危险事件或情形中严重性等级“较低”的关键表述词为“一般故障”,主要是指车辆在使用过程中出现的常见性功能缺失,但可以基本满足完成规定功能要求。关于“较低”的具体说明为“故障对车辆行驶性能或功能有部分影响,但可控,车辆可继续使用,如继续使用可能会导致较高、中等的严重性等级”,与“中等”的主要差异为“对行驶性能或功能有部分影响”和“可能会导致较高、中等的严重性等级”,例如:车辆转向无法自动回正,车辆转向功能和转向助力功能都存在,只是对转向性能有部分影响,但是若持续使用,根据故障产生的原因可能会导致进一步的危险事件。裊樣祕廬廂颤谚鍘羋蔺。裊樣祕廬廂颤谚鍘羋蔺递。严重性等
34、级严重性等级说明低故障对车辆安全性无直接影响。危险事件或情形中严重性等级“低”的关键表述词为“轻微故障”,主要是指车辆在使用过程中出现的轻微性功能影响,但可以满足正常完成规定功能要求。关于“低”的具体说明为“故障对车辆安全性无直接影响”。例如:车辆外观生锈,对车辆的安全性能无直接的影响。仓嫗盤紲嘱珑詁鍬齊驁。仓嫗盤紲嘱珑詁鍬齊驁絛。4.4.2 严重性初步评估危险事件或情形的严重性等级评估包括初步评估和结果修正两个步骤,在进行严重性等级初步评估时,依据上述危险事件或情形的严重性等级说明,在技术资料分析的基础上,由专业技术人员进行分析评估,初步确定严重性等级。绽萬璉轆娛閬蛏鬮绾瀧。绽萬璉轆娛閬蛏鬮
35、绾瀧恒。5.4.3 初步评估结果修正危险事件或情形的严重性等级评估的第二个步骤为初步评估结果修正,结果修正主要考虑两个因素:易受伤人员和车辆类型。骁顾燁鶚巯瀆蕪領鲡赙。骁顾燁鶚巯瀆蕪領鲡赙骠。对于易受伤人员,主要考虑车辆的主要使用人群,例如:校车的主要使用人群为学生,对于与其他车辆同一类型的故障事件或情形,在进行评估修正时,可提高严重性等级。瑣钋濺暧惲锟缟馭篩凉。瑣钋濺暧惲锟缟馭篩凉貿。对于车辆类型,主要考虑车辆的用途和使用性质等,例如:危化品运输车,主要用于运输危险化学品,对于与其他载货车同一类型的故障事件或情形,在进行评估修正时,可提高严重性等级。鎦诗涇艳损楼紲鯗餳類。鎦诗涇艳损楼紲鯗餳類
36、碍。除此之外,在进行结果修正时,也可参考实际故障或事故案例分析、试验结论等做进一步的调整。例如,车辆转向助力完全失效的故障,在实际故障案例分析时发现,故障仅发生在车辆启动自检时,在进行评估修正时,可降低严重性等级。栉缏歐锄棗鈕种鵑瑶锬。栉缏歐锄棗鈕种鵑瑶锬奧。4.5评估危险事件或情形发生的可能性。主要说明可能性等级分级,以及根据定性法或定量定性综合法来进行初步评估,并根据相关要求对初步评估结果进行修正。辔烨棟剛殓攬瑤丽阄应。辔烨棟剛殓攬瑤丽阄应頁。风险发生可能性不同于对以往失效/故障的统计,而是风险发生的概率预测,即缺陷车辆在其寿命周期内发生“危险事件或情形”的概率。峴扬斕滾澗辐滠兴渙藺。峴扬
37、斕滾澗辐滠兴渙藺诈。5.5.1危险事件或情形发生的可能性等级国内外风险评估标准中,可能性等级的划分都是通过定性方法确定。欧盟非食品类消费品风险评估指南对包括汽车在内的通用产品风险评估进行了统一和规范,将消费者被产品固有危险实际伤害的概率分为“几乎肯定,完全可以预见到”、“相当可能”、“不常有,但有可能”、“只有极小的可能”、“可以想象的,但是极不可能”、“实际上不可能”、“除非有帮助,否则不可能”和“不可能”八个等级。国际标准ISO26262-道路车辆功能安全车辆安全综合等级-ASILs中将操作条件下暴露于危险中的可能性分为“不可能”、“非常低的概率”、“低概率”、“中等概率”和“高概率”五个
38、等级。QS9000故障模式及影响分析中关于故障发生度分为“很高”、“高”、“中等”、“低”和“极低”五个等级,分别表示“失效几乎不可避免”、“失效反复发生”、“失效偶尔发生”、“失效相对很少发生”、“失效不可能发生”。风险影响因素等级划分表征评估人员对风险的认知要程度。等级划分过细易导致认知混乱或交叉,等级划分太少不能准确界定。鉴于风险评估在产品缺陷判定领域的应用处于起步阶段,相关理论模型和方法应用处于探索阶段,对缺陷的相关认识不够深入,可能性等级划分不易过细。参考严重性等级划分和QS9000中故障模式发生度等级划分,将可能性等级也分为五级,分别用高、较高、中、较低和低表示“危险不可避免,几乎
39、肯定会发生”、“危险很可能发生”、“危险偶尔发生”、“危险不太可能发生”、“危险极不可能发生”。詩叁撻訥烬忧毀厉鋨骜。詩叁撻訥烬忧毀厉鋨骜靈。4.5.2可能性初步评估一般情况下,缺陷汽车风险以零部件故障或失效形式表现,一旦缺陷零部件发生故障或失效,危险可能同时发生。因此,风险发生的可能性可用汽车零部件的故障率或失效率等效预测。失效预测的关键是能确定产品的失效模式,构造函数模型,使得观测值与分析结果符合。则鯤愜韋瘓賈晖园栋泷。则鯤愜韋瘓賈晖园栋泷华。我国关于产品可靠性的研究相对成熟,数据收集和运算模型比较完善,可借鉴可靠性分析方法进行零部件故障率和失效率预测。可靠性关注的是产品功能故障、性能失效
40、,核心是失效分析。安全性关注的产品导致的事故以及事故带来的影响,核心是危险分析。如车辆座椅存在尖锐凸出物,从可靠性来说不存在失效与否的概念,但就安全性却存在对使用者构成伤害的潜在危险。因此,在故障率或失效率预测的基础上,需再进一步分析危险事件或情形发生的可能性。由于不同零部件故障率或失效率等级不同,且同一零部件的不同失效模式也不同,因此无法形成统一的故障/失效模式可能性等级。针对典型的失效模式,可采用可靠性分析中的故障失效率预测模型(如韦伯尔分布模型)计算出其失效率,然后交由零部件行业确定其水平。胀鏝彈奥秘孫戶孪钇賻。胀鏝彈奥秘孫戶孪钇賻锵。零部件失效率或故障率预测需要大量相关数据,若样本数量
41、或质量不满足要求时,可直接对危险事件或情形发生的可能性进行专家定性评估。定性评估首要考虑的是缺陷产生原因,主要包括设计原因、制造原因和标识原因。一般来讲,因汽车设计制造的一致性和批次性,致使存在设计缺陷的汽车产品发生危险的概率较高,如不采取措施其在寿命周期内一定会发生危险,风险可能性相对较高;制造缺陷具有一定的离散特征,在可追溯的区域内,缺陷原因的分布形态可能是随机的,需要采样预测缺陷的实际存在率。所以制造缺陷导致的危险(在寿命周期内)发生率相对较低,其风险可能性也相对较低。鳃躋峽祷紉诵帮废掃減。鳃躋峽祷紉诵帮废掃減萵。4.5.3初步评估结果修正实际应用中,危险事件或情形发生的可能性受到各种因
42、素影响,如发生的场景(发生条件、车辆使用频次、车辆运行环境、车辆行驶里程)和故障的技术特点(故障或失效能否被发现、故障或失效可控性),通过分析影响因素修正风险可能性。稟虛嬪赈维哜妝扩踴粜。稟虛嬪赈维哜妝扩踴粜椤。(1)危险事件或情形发生的条件危险事件或情形发生的条件非常苛刻,可适当降低可能性等级。(2)危险事件或情形发生前能否可以被感知而被排除或限制如果在危险事件或情形发生前能够感知到危险即将发生,或危险发生前车辆有明显的警示信息,可适当降低可能性等级。如车辆有异常状态的指示信号、警示音,表现出明显的振动、操纵异常等。陽簍埡鲑罷規呜旧岿錟。陽簍埡鲑罷規呜旧岿錟麗。(3)日常维修可排除危险事件或
43、情形的发生车辆在日常使用维护过程中,存在故障/失效的零部件、总成或系统能够得到更换、刷新、调整,可适当降低危险发生的可能性等级。沩氣嘮戇苌鑿鑿槠谔應。沩氣嘮戇苌鑿鑿槠谔應釵。(4)车辆使用频次如果风险评估范围内的车辆使用频次超过正常车辆,风险发生的可能性将会增加,例如出租车、公共汽车、载货车等,可适当提高可能性等级。钡嵐縣緱虜荣产涛團蔺。钡嵐縣緱虜荣产涛團蔺缔。(5)车辆运行环境对于长期在山地、高寒、高热等特殊气候环境以及路面状况差、减速带过密、含水量、含盐量过大等道路环境下运行的车辆,如果上述运行环境能够增加危险事件或情形的发生,可适当提高可能性等级。懨俠劑鈍触乐鹇烬觶騮。懨俠劑鈍触乐鹇烬觶
44、騮揚。(6)已引发危险事故案例获知已引发危及人身、财产安全的事故案例时,可适当提高可能性等级,尤其已获知导致人员死亡事故案例,可将危险事件或情形发生的可能性等级提高到较高或高两个等级。謾饱兗争詣繚鮐癞别瀘。謾饱兗争詣繚鮐癞别瀘鯽。(7)同一故障/失效引发多种危险因同一故障/失效引发多种危险,以主要危险发生的可能性进行评估,结合考虑其他其它次要危险,可适当提高可能性等级。呙铉們欤谦鸪饺竞荡赚。呙铉們欤谦鸪饺竞荡赚趱。除了上述结果修正因素外,在进行可能性等级修正时,可根据已知的故障/失效率、已知案例发生的情形、车辆现场查看情况以及缺陷工程分析试验等因素,进行进一步的综合分析后进行修正。莹谐龌蕲賞组
45、靄绉嚴减。莹谐龌蕲賞组靄绉嚴减籩。4.6确定风险等级水平。给出风险评估矩阵表,根据风险评估矩阵图来得出风险等级。风险矩阵作为一种易于执行、输出结果明确的评估方法得到广泛应用,表征风险等级的矩阵元素与严重性、发生可能性等级划分标准构成具体形式,简洁确定风险事态的评估结果。本标准也采用风险矩阵表确定风险水平,与风险影响因素(严重性、发生可能性)等级划分一致,风险水平包括高、较高、中、较低、低五级,用不同数字分别表示,5表示高;4表示较高;3表示中;2表示较低;1表示低。缺陷一般指导致人身、财产安全的不合理危险,其风险更关注危险的严重性,因此对于危险严重性较低、可能性较高的缺陷情况的风险等级进行了调
46、低。麸肃鹏镟轿騍镣缚縟糶。麸肃鹏镟轿騍镣缚縟糶尔。严重性可能性低较低中较高高低12233较低22334中23344较高33445高33455图4 风险评估矩阵5风险控制:主要说明风险控制主体根据不同风险水平等级,应采取相应的风险控制策略。汽车产品生产者是汽车产品质量的责任主体,也是汽车风险处置的主体。由于已销售车辆进入了流通环节,所影响范围较大,属于后市场管理的环节,依据汽车后市场管理重要的法规缺陷汽车产品召回管理条例的相关要求,本标准中风险控制是针对已销售车辆。納畴鳗吶鄖禎銣腻鰲锬。納畴鳗吶鄖禎銣腻鰲锬颤。风险处置主体应参照风险水平等级,制定相应的风险处置措施。风险等级为高(第5级)和较高(
47、第4级)的,风险处置主体应根据相应的法律法规通过实施召回活动消除车辆的安全风险。风险水平等级为中等(第3级)的,风险控制主体可分析国内外相关的召回案例,如果存在类似召回案例的,生产者可采取召回活动;如果没有类似召回案例,风险处置主体可自主处置。风险水平等级为低(第1级)和较低(第2级)的,风险处置主体可自主处置。風撵鲔貓铁频钙蓟纠庙。風撵鲔貓铁频钙蓟纠庙誑。四、 工作过程1、成立国家标准起草组中国标准化研究院于20XX年初成立了标准起草组,起草组的人员组成兼顾了行政管理、整车企业代表、维修行业代表、研究人员等,结构完善、来源广泛。灭嗳骇諗鋅猎輛觏馊藹。灭嗳骇諗鋅猎輛觏馊藹狰。2、形成标准草案标
48、准起草组通过对20XX20XX年汽车召回案例(1200例)进行分析梳理,总结缺陷可能导致的危险事件或情形,分析典型原因。结合对相关企业的深入调研,确定了危险事件或情形的严重等级说明,并初步拟定了标准的内容,形成了标准草案。铹鸝饷飾镡閌赀诨癱骝。铹鸝饷飾镡閌赀诨癱骝吶。3、形成标准征求意见稿起草组分别于20XX年7月13日和20XX年8月10日召开标准草案研讨会,经过研讨,根据与会专家意见修改完善,于20XX年9月形成了标准征求意见稿。攙閿频嵘陣澇諗谴隴泸。攙閿频嵘陣澇諗谴隴泸鐙。现将汽车产品安全 风险评估与风险控制指南国家标准征求意见稿向各有关单位征求意见。汽车产品安全 风险评估与风险控制指南国家标准起草工作组 二一六年九月