安全 - 伟德app安卓

电动汽车功能安全：不仅关乎电池

riverz — Tue, 12 Aug 2025 07:56:01 +0000

电动汽车功能安全：不仅关乎电池riverz 周二, 08/12/2025 - 15:56

随着出行方式从传统燃油车逐步向电动汽车转变，如何提升电动汽车的安全性，已成为公众普遍关注的焦点。然而，安全问题并不仅限于物理层面的防护。功能安全（FuSa）作为电动汽车设计中的关键环节，旨在预防和减轻因系统故障或功能异常可能带来的风险。在本篇博客中，我们将简要介绍功能安全的重要性，并探讨在电动汽车工程中，为提升操作的一致性与可预测性，所需遵循的相关标准及应重点考虑的关键因素。

ISO 26262：道路车辆 - 功能安全

ISO 26262不仅定义了功能安全的最佳实践，而且在概念、系统、硬件和软件层面为产品开发提供了指导。

ISO 26262 标准为整个产品开发周期提供了系统性的指导和建议，涵盖从概念设计到产品生命周期结束的各个阶段。该标准详细阐述了如何通过在开发阶段（对应系统工程 V 模型的左侧）和测试阶段（V 模型的右侧）实施风险降低措施，将潜在风险控制在可接受范围内。一般来说，ISO 26262：

定义汽车安全生命周期（管理、开发、生产、运营、服务、报废）并在这些生命周期阶段为定制必要的活动提供支持。
提供基于汽车特定风险的评定方法确定风险等级，例如汽车安全完整性等级(ASIL)。
通过应用 ASIL（汽车安全完整性等级）来明确产品所需满足的安全要求，从而将风险控制在可接受的水平。
通过设定验证与确认活动的要求，确保功能安全具备可独立评估的依据。

我们通过应用 ISO 26262 标准，协助识别并制定安全措施，以降低车辆高压系统带来的潜在风险。

危害分析和风险评估

功能安全的实现过程始于危害分析与风险评估。该过程包括：识别潜在的功能性危险与异常；在不同工况下评估其严重程度；分析相关的可控性因素；并确定每类故障所需降低的风险等级。在完成上述分析后，工程师可据此制定相应的安全目标，并明确实现这些目标所需的具体安全要求。

电动汽车设计中的功能安全概念和实践

电动汽车高压系统所带来的热风险和功能性风险通常较容易被快速识别和理解。当然，即使在设计过程中未应用 ISO 26262 标准，系统架构通常也会包含冗余设计与监控机制，以确保在电子系统发生故障时，诸如驱动等关键功能仍能维持正常运行。

仅仅考虑安全因素远远不够，我们还需要借助 ISO 26262 标准中提供的系统化、规范化方法，对风险降低措施进行量化评估。那么，简单地引入冗余是否就足够了呢？事实上，电池管理系统（BMS）在监测和控制电池组状态方面发挥着至关重要的作用。BMS 本身也集成了冗余机制，用于实现精确监测、故障检测，甚至电芯平衡。然而，常规的冗余设计往往难以将风险降至可接受的容忍水平。

为了保护电气元件并确保操作安全，电动汽车集成了过流保护机制与限流装置。这些系统能够实时监测电流变化，并在电流异常增大时及时介入，有效防止组件损坏或潜在的安全风险。

高效热管理和冷却系统对于确保电动汽车维持安全运行温度至关重要。过热会导致性能下降、磨损加速，引发潜在的安全风险。因此，需要加入主动冷却机制，如液体或空气冷却，调节温度，防止热失控。

失效模式

失效模式与影响分析（FMEA）以及系统理论过程分析（STPA）是两种系统化的方法，用于识别潜在的失效模式、其成因及可能带来的影响。通过对这些失效模式的深入分析，可推动设计优化与安全功能的引入，从而有效降低已识别的风险。

网络安全和功能安全

随着电动汽车联网程度的不断提升，网络安全已成为功能安全不可或缺的一部分。为防止未经授权的访问、数据篡改以及对关键系统的远程控制，电动汽车必须集成有效的网络安全防护机制。此外，在研发阶段，我们可通过系统化的优化方法，助力您全面满足 ISO 21434 标准的合规要求。

在车辆部件与外部系统之间引入安全通信协议，有助于防范潜在的重大安全事故。与此同时，加密与认证机制在保障通信数据的完整性与安全性方面发挥着关键作用。

结论

电动汽车已成为一项具有变革意义的技术，并将在未来持续演进。然而，确保其物理安全与功能安全，对于赢得公众信任和实现广泛普及同样至关重要。

我们提供的咨询与培训服务，能够帮助您满足汽车零部件及系统相关的各类标准要求，涵盖电池管理系统（BMS）、车辆控制单元（VCU）、车载充电器（OBC）、热管理系统（TMS）等多个关键模块，助力产品合规与性能提升。

阅读我们的相关内容

功能安全

SIS Blog On CST China 2418000 MCS Yu, Wendy 八月 15, 2025 | 4:03 下午安全功能安全 1199a664-3299-4516-8fc8-61449621ebed natalie.flack@ul.com TIC_NewMobility

STAMP、STPA和CAST介绍

riverz — Tue, 12 Aug 2025 07:56:01 +0000

STAMP、STPA和CAST介绍riverz 周二, 08/12/2025 - 15:56

系统理论事故模型和过程(STAMP)框架是一种基于系统理论开发的事故因果关系模型，其依据的系统理论的开发者是麻省理工学院航空航天系Nancy Leveson教授*，Nancy教授在安全工程领域拥有37年的工作经验，涉及航空、航天、国防、核电、医疗、石化等多个行业。STAMP的出现，为系统安全工程提供了一个新的范例，并且其在整个运输行业中的应用越发广泛。我们将简要介绍STAMP及其相关过程、系统理论过程分析(STPA)以及利用系统理论进行因果分析(CAST)。

系统理论和控制理论背景

需要注意的是，系统理论不同于系统工程。了解这一点有助于理解STAMP。系统理论是一门复杂的交叉学科。其核心是将任意单一个体作为一个系统进行检查，以便充分理解个体构成。

控制理论主要研究工程过程和机器中的动态系统控制。STAMP中广泛采用的核心概念包括建模、反馈、控制和可观察性。STAMP以结构化方式整合理论模型，以确定事故原因以及导致损失的控制失当问题。

从网上可以找到有关STAMP的重要信息。尽管STAMP的许多基本思想在Nancy G. Leveson博士早期工作中即已出现，但实际上STAMP这个术语在2004年的《一种用于设计更安全系统的新事故模型》(A New Accident Model for Engineering Safer Systems)论文中才正式引入。本文将解释STAMP的基本原理和基本原则。

STAMP是一种框架，而非方法或工具。目前STAMP包含两个类似的方法：

系统理论过程分析 - STPA 
运用系统理论进行因果分析 - CAST

STPA基础

STPA是一种用于识别因不安全控制行为引发危险的方法。Leveson博士此前开发了一种包含四个关键步骤的结构化程序来识别这些危险。我们的专家曾在产品开发各个阶段利用STPA为功能安全分析提供支持，最终发现该控制模型很有益处，特别是在复杂的系统中作用尤为明显，如自动驾驶和网络安全。

CAST基础

CAST是一种用于识别可能导致事故的控制失当问题的方法。通过对此前发生的事故进行CAST分析，并利用类似的结构化控制理论方法，就可以了解问题根源，从而获得更多的经验教训。以下是基本步骤概述：

STPA和CAST采用的框架全部依赖于相似的结构化方法：收集输入数据；建立控制结构模型；分析不安全的控制行为/缺陷；减轻影响。此方法的核心是关注控制系统中控制元素之间的关系或相互作用，而这对于许多精通传统安全方法的人而言可能比较陌生。另外，Leveson博士还引入了新的术语和框架，这些术语和框架与传统技术相结合，可以更加精准地确定可能的根本原因以及对应的缓解措施。这些好处可以惠及与安全有关的行业和部门。

STAMP与其他方法的比较

我们的专家利用各种框架，包括失效模式&和影响分析(FMEA)、STPA和故障树分析(FTA)，进行安全分析。每种框架都因系统、操作环境、分析范围和应用不同而显现出不同的优点和缺点。通过比较，我们并未发现有哪种框架优势明显。尽管如此，STAMP还是为传统的安全分析提供了一种补充分析方法 - 其采用控制理论模型而非故障管理模型对事故建模。STAMP的一个重要优点是能够突出控制结构内部的相互作用，以识别可能导致事故或者STPA称之为损失的薄弱点。在进行危险分析时，将传统方法与STAMP相结合可生成一个综合性的、非常有利于在高级驾驶辅助系统(ADAS)和自动驾驶系统(ADS)开发中实现的安全档案。

相似点	不同点
迭代系统分析过程	STAMP基于系统理论而非可靠性理论
依赖文档和可追溯性	STAMP严格分级
灵活性高，可用于任意开发阶段	STAMP关注控制动作，而非错误或失效
识别潜在的危险原因	STAMP输出偏重于定性
被各类行业广泛采用	STAMP复杂度更高

*bet韦德官方网站与 Leveson 博士无任何关联。本文中的所有观点和分析均仅代表 bet韦德官方网站的立场。

阅读我们的相关内容

功能安全

SIS Blog On CST China 2418000 MCS Yu, Wendy 八月 15, 2025 | 4:02 下午安全 1523d88e-26d5-47ef-98c7-22f8f7de508a natalie.flack@ul.com TIC_NewMobility

兼顾独立性与价值：引入第三方安全管理专家

riverz — Tue, 12 Aug 2025 07:56:01 +0000

兼顾独立性与价值：引入第三方安全管理专家riverz 周二, 08/12/2025 - 15:56

人们常常误以为安全管理是一项独立于产品开发和项目管理之外的活动，实际上恰恰相反。功能安全管理应作为项目计划中不可或缺的重要组成部分，贯穿整个开发周期。在汽车行业中，ISO 26262 标准明确要求制造商指定专门的管理人员，以确保安全相关活动的及时开展与有效落实。

在选择合适的安全经理人选时，需要综合考虑多个因素。安全经理负责监督那些对实现功能安全至关重要的关键活动，因此必须具备扎实的系统知识和对安全标准的深入理解。通常，安全经理还需确保安全计划能够获得充分且正确的资源支持，从而推动其有效实施。因此，该职位应由具备权威性和高度可信度的人员担任。鉴于开发活动可能分布在多个地点，加之安全管理本身的复杂性，实际项目中往往需要配备多名安全经理，以协同推进各项安全工作。

然而，事实证明，在组织内部寻找合适且具备授权能力的安全经理往往具有一定挑战性。如果由企业内部人员担任安全经理，其可能会受到来自产品安全以外事务的干扰，难以专注于实现安全目标。同样地，若从不直接参与研发设计的人员中选任安全经理，该人员可能因缺乏必要的技术背景和组织影响力，难以有效履行职责，进而影响安全管理工作的质量与效率。

为应对上述挑战，企业可考虑聘请第三方专家担任功能安全经理。通过引入具备独立性的外部责任人，可有效降低因内部决策偏见或业务压力所带来的安全风险。同时，企业的开发团队也将从这些具备功能安全、汽车系统及开发流程专业背景的专家中受益。独立的外部安全经理能够专注于安全保障工作，帮助识别合规性差距，并提出切实可行的改进措施，从而提升整体安全管理水平。

最终，独立的安全经理还可作为客户与其上下游合作方之间在安全事务上的沟通桥梁，并执行独立的认可评审工作。具备相关行业项目经验的第三方功能安全经理，能够为安全性评估提供有力支持。我们的专家团队具备担任功能安全管理职责的能力，能够为您的项目提供专业指导，助力构建高效、合规的功能安全保障体系。

阅读我们的相关内容

功能安全性

SIS Blog On CST China 2418000 MCS Yu, Wendy 八月 15, 2025 | 3:58 下午安全 ed74ccf2-d6ee-4f61-988c-e190aa14754c natalie.flack@ul.com TIC_NewMobility

bet韦德官方网站荣获年度自动驾驶汽车培训平台汽车技术突破奖

riverz — Tue, 12 Aug 2025 07:56:01 +0000

bet韦德官方网站荣获年度自动驾驶汽车培训平台汽车技术突破奖riverz 周二, 08/12/2025 - 15:56

作为全球应用安全科学专家，bet韦德官方网站服务全球100多个国家和地区的客户，助力将产品安全、信息安全和可持续性挑战转化为客户的机遇。bet韦德官方网站提供测试、检验、认证（TIC），以及软件产品和咨询服务，以支持客户的产品创新和业务增长。UL认证标志代表着高质量的性能和独立第三方认证，是我们赋予客户产品的广为认可的信任标识。我们助力客户创新，推出新产品和服务，应对全球市场和复杂的供应链，并以可持续和负责任的方式走向未来。

AutoTech Breakthrough 对 bet韦德官方网站在推动自动驾驶技术安全发展方面所做的努力给予了高度评价。评审团特别指出，bet韦德官方网站通过帮助汽车行业从业人员深入理解、准确把握并有效实施相关标准与要求，切实支持了更安全的自动驾驶技术的开发与落地，相关标准包括：

ANSI/UL 4600，自动驾驶产品评估标准，明确了评估无人类驾驶员监督的全自动驾驶产品的安全原则和过程。
ISO 26262，道路车辆 - 功能安全，适用于车辆中与安全相关的电气或电子(E/E)系统，强调系统故障时的功能安全管理。
ISO 21448，道路车辆 - 预期功能安全，适用于没有ISO 26262故障的情况下系统的意外行为，该标准适用于自动驾驶、高级驾驶员辅助和紧急干预系统。
ISO/SAE 21434，道路车辆 - 网络安全工程，其规定了车辆网络安全风险管理要求，包括组件和接口。

了解有关bet韦德官方网站自动驾驶汽车安全培训和咨询的详细信息。

关于bet韦德官方网站

媒体联系人

Tyler Khan
bet韦德官方网站
ULNews@UL.com
电话：+1 (847) 664.2139

Steven Brewster
bet韦德官方网站
ULNews@UL.com
电话：+1 (847) 664.8425

阅读我们的相关内容

自动驾驶安全和SOTIF

功能安全

SIS Blog On CST China 2418000 MCS Yu, Wendy 八月 15, 2025 | 3:55 下午安全 Automotive SPICE 和扩展 242a1aa7-9faf-4b3a-a1af-a259d3dd692a natalie.flack@ul.com TIC_NewMobility

ISO 26262第三版值得期待的新内容

riverz — Tue, 12 Aug 2025 07:56:01 +0000

ISO 26262第三版值得期待的新内容riverz 周二, 08/12/2025 - 15:56

为应对快速变化的汽车技术格局，功能安全也在不断演进。近年来，面对自动驾驶、电动汽车、软件定义汽车以及数字孪生等新兴技术带来的全新要求与挑战，我们必须保持灵活应变，以适应不断更新的标准与实践。

虽然第三版ISO 26262标准的准备工作在去年秋天即已开始，但预计2027年才会正式发布。

ISO 26262行业标准将会涵盖以下主题： 人工智能和机器学习的最新更新：ISO 26262 第三版将在保留现有要求的基础上，进一步调整并优化第六部分在机器学习（ML）应用中的适用性。此外，附录C机器学习配置将得到扩展，同时新增了关于训练数据处理的指导原则。

必须与最新发布的标准 ISO TS 5083 和 PAS 8800 保持一致。

预测性维护：许多行业正在采取主动措施，通过预测性维护来控制降级故障。预测性维护不仅可以检测降级故障，还可以预测剩余使用寿命。关于预测性维护的安全机制，ISO 26262:2018中并没有明确讨论。

失效运行：电气/电子(E/E)系统的设计需要兼顾安全性和可用性。可用性是可维护性和可靠性的组合。ISO 26262仅对故障行为进行了限定，未涉及态势感知、预期功能或其实现方式。

随着我们向自动驾驶方向不断发展，车辆必须有足够的冗余，才能在检测到故障后仍然保持正常运行。失效运行架构必须有着很高的安全完整性和可用性，这两点通常通过独立的硬件实现。

预期功能安全(SOTIF)：是ISO 21448中引入的一个概念，它旨在解决系统运行在其预期运行条件之外时的危害。业内公司在为汽车工业设计组件和系统时应该考虑SOTIF。

软件开发：ISO 26262第三版将包括更新后的软件开发要求。业内公司需要确保软件开发过程符合新的要求。此外，当您考虑车辆内外的连接性时，包括数字孪生功能、OTA更新等，那么可能会出现由安全故障引发的新风险。

过程安全：若要管理不同的安全标准，必须构建健全的功能安全管理体系；这可能是下一版ISO 26262中的要求。

其他技术：为了提高汽车的安全性，必须采取综合性的安全措施。这里应包括安全论证中的其他技术。对此，ISO 26262应制定一些要求。

随着了解的深入，我们将持续分享有关ISO 26262标准的更新内容。

安全 - 伟德app安卓

电动汽车功能安全：不仅关乎电池

ISO 26262：道路车辆 - 功能安全

危害分析和风险评估

电动汽车设计中的功能安全概念和实践

失效模式

网络安全和功能安全

结论

阅读我们的相关内容

STAMP、STPA和CAST介绍

系统理论和控制理论背景

STPA基础

CAST基础

STAMP与其他方法的比较

阅读我们的相关内容

兼顾独立性与价值：引入第三方安全管理专家

阅读我们的相关内容

bet韦德官方网站荣获年度自动驾驶汽车培训平台汽车技术突破奖

关于bet韦德官方网站

阅读我们的相关内容

ISO 26262第三版值得期待的新内容

阅读更多内容