1、1汽车产品安全 风险评估与风险控制指南国家标准(征求意见稿)编制说明、 任务来源国家标准汽车产品风险评估与控制策略2014 年 12 月列入国家标准委国家标准制、修订计划(计划号为 20141909-T-469),由中国标准化研究院(国家质检总局缺陷产品管理中心)提出并组织起草,由全国产品缺陷与安全管理标准化技术委员会(SAC/TC463)归口。、 目的及意义随着汽车保有量的不断增加,各种质量问题和故障可能对人身安全带来不同程度的风险。有些可能造成严重的事故和人员伤害,有些可能仅是对车辆的舒适性能产生影响,对不同故障问题的处理方式也不相同。缺陷是指由于设计、制造、 标识等原因 导致的在同一批次
2、、型号或者类别的汽车产品中普遍存在的不符合保障人身、财产安全的国家标准或者行业标准的情形或者其他危及人身、财产安全的不合理危险。缺陷通常只有在汽车使用中才能逐渐暴露出来,造成的人身伤亡和财产损失比一般故障更为严重,缺陷汽车产品风险评估是对这些缺陷风险进行等级评估的过程。同时,针对批次性故障的主要处理方式包括召回、生产者技术服务、延长质保期等,但是在选择处理方式上,尚没有可参考的规范流程。本标准的编制旨在对上述评估过程进行规范化和标准化,为汽车缺陷判定提供科学依据,为政府部门和生产者作出召回决策和其他批次性问题处理方式提供实用性指南。1、本标准是落实缺陷汽车产品召回管理条例的重要支撑标准缺陷汽车
3、产品召回管理条例是目前汽车产品召回的主要依据,2而缺陷判定是召回实施的前提。缺陷判定是双方或多方权益的权衡和博弈,需要综合考虑公平、效益等多种社会价值,既不能损害消费者的合法权益又要尊重生产者的利益。由于不同的社会属性,生产者和消费者对缺陷的人是角度不同,导致召回争议事件频发。从 2009 年爆发的丰田“刹车门” 到 2013 年央视曝光的大众 DSG 事件,再到2014 年闹得沸沸扬扬的大众新速腾汽车“断轴事件” ,争议的焦点都在缺陷的认定。 缺陷汽车产品召回管理条例虽对缺陷做了定义,但比较模糊、抽象,具体实践采用何种标准或方法来衡量尚未明确。本标准提出采用风险评估方法衡量产品缺陷,以风险高
4、低作为判定缺陷的依据。2、本标准是加强缺陷汽车产品召回监管的基础技术标准缺陷汽车产品危及公共安全和公众利益,监督并落实缺陷产品召回是政府职能的应有之义。由于信息不对称、举证困难和个体经济薄弱等因素,消费者利益往往得不到及时保护。通过政府介入,促使生产者通过召回方式消除缺陷,可以有效保障消费者合法权益。政府在实施召回过程中扮演行政监督和重大技术研判两个角色,本标准是政府开展汽车产品缺陷技术研判的重要基础标准。3、本标准是生产者加强内部产品安全风险管理的关键技术标准为在激烈的市场竞争中占据优势,生产者普遍加快产品研发和生产速度,缩 短上市时间,不可避免的加大了技术风险概率和出现缺陷的可能。市场经济
5、条件下,作为理性经济人的生产者以利润最大化为目标,在没有外部约束的情况下,其会利用消费者信息不对称而将自己的开支转嫁。科学开展缺陷判定并督促其实施召回,可以约束生产者在加快产品研发的同时注重安全投入。本标准则可以为企业加强内部产品安全风险管理投入提供参考依据。3、 标准的主要内容本标准申报时名称为汽车产品风险评估与控制策略,在制订过程中,根据标准实际编写内容,并参考相关标准,标准制订小组决定将本标准更名为汽车产品安全 风险评估与风险控制指南。1、范围:本标准规定了汽车产品风险评估基本过程以及风险控制的基本措施。本标准适用于在汽车产品的缺陷分析和认定过程中,对已销售的汽车产品存在的不合理危险进行
6、风险评估,并基于风险评估结果制定相应的风险控制策略。本标准的主要内容为汽车产品的风险评估基本过程和风险控制基本措施的规定和原则。本标准的缺陷分析和认定过程只针对已销售的汽车产品,属于市场后管理, 标准制定的目的不包含未销售的汽车产品的风险评估与风险控制。汽 车产品因为其特殊性,具有高速和高能量,本身既是一个危险源,此 类危险通常划分为合理危险之中。不合理危险是指因设计制造等方面原因,汽车产品在正常使用情况下仍存在危及人身、财产安全的危险。本标准范围确定的主要依据为 2012 年公布 2013 年起执行的缺陷汽车产品召回管理条例(国务院令第 626 号,以下 简称条例)。 条例第三条给出了“缺陷
7、 ”的明确定义“是指由于 设计、制造、标识等原因导致的在同一批次、型号或者类别的汽车产品中普遍存在的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身、财产安全不合理危险。 ”根据缺陷的定义,对于缺陷的认定应包括4三个方面:1、非人为使用问题或环境问题;2、不符合相关安全标准;3、存在危及安全性的不合理危险。其中, 标准符合性的问题,由于相关标准中均有明确规定,可以及时准确地根据标准进行判断,因此,本标准中所提及的风险评估不适用于汽车产品存在不符合保障人身、财产安全的国家标准、行业标准的情形,该类汽车产品应该按照相应的国家标准、行业标准中的有关规定进行管理处置。2、术语和定义:
8、主要给出与风险评估与控制的相关术语及定义。2.1 汽车产品安全风险 motor vehicle product safety risk:汽车整车、系统、 总成或零部件等因故障或失效 产生危险事件或情形的严重性与发生可能性的综合。机械安全 风险评价 第 1 部分 原则(GB/T 16856.1-2008)中3.12 规定,风险定义为:“ 伤 害发生概率和伤 害发生的严重程度的综合。”电 气设备的安全 风险评估和风险降低 第 1 部分 总则(GB/T 22696.1-2008)中 3.13 规定, 风险定义为:“对伤害的一种综合衡量,包括伤害发生的概率和伤害的严重程度。 ”汽车产 品是一种集合上万
9、个零件的复杂产品,任何系统、零部件等出现故障或失效都会引起风险。类比其他行业对于风险的定义,结合汽车产品本身特点,对其风险作此定义。2.2 风险评估 risk assessment:确定危险事件或情形的 严重性和发生可能性的综合水平等级的过程。机械安全风险评价第 1 部分原则(GB/T 16856.1-2008)中 3.15规定,风险评 估定义为:“ 确定伤害可能达到的 严重程度和伤害发生的概率。 ”电气设备的安全风险评估和风险降低第 1 部分总则(GB/T 522696.1-2008)中 3.15 规定,风险评估定义为 :“包括风险分析和风险评价的全过程。 ”汽车产品的使用条件和环境十分复杂
10、,因此在由缺陷引发事故、伤害的风险传递过程中具有区别于其它类别产品的特殊性,通过分析汽车产品风险传递过程,对汽车产品发生危险事件或情形的严重性和发生可能性进行评估最为合理。通过对汽车产品风险评估过程的分析和论证,明确汽车产品风险评估包括两个方面,一是根据危险事件或情形发生的可能性和造成伤害后果的严重性来定量风险水平;二根据成本效益原则确定其风险水平是否在可接受范围。因此,本标准在综合上述两方面内容的基础上,对汽车产品的风险评估作此定义。2.3 风险控制 risk control:用于避免或减小危险事件或情形发生的策略。机械安全 风险评价 第 2 部分 实施指南和方法举例(GB/T 16856.
11、2-2008)中 6.1 规定:“风险减小是通过采纳风险评价过程中提出的建议,并采用保护措施而达到的。 ”电气 设备的安全 风险评估和风险降低 第 4 部分 风险降低(GB/T 22696.4-2008)中 4.1 规定:“风险减小是综合风险分析、评价风险过程中提出的建议,实施保护和防护措施而达到。 ”风险减小是目标,通过风险控制而 实现。风险控制是在识别和度量风险的基础上,选择、拟定并实施的一种策略手段,通过减少或避免风险的措施手段,达到保护人员、财产安全的目标。生产者对其制造的汽车产品质量负责,因此风险控制的主体是汽车产品生产者。2.4 汽车产品危险 motor vehicle hazar
12、d:由于设计、制造或标识等原因使汽车整车、系统、总成或零部件等处于一种不安全状态,在这6种状态下,将可能导致人身伤害或财产损失。机械安全风险评价第 1 部分原则(GB/T 16856.1-2008)中 3.2规定:“危险 是潜在的危害源。 ”电气设备的安全风险评估和风险降低第 1 部分总则(GB/T 22696.1-2008)中 3.17 规定:“危险即不可接受风险。 ”汽车产品具有结构复杂,同一性高,数量大等特点。依据上述汽车产品特点,从以下三个方面考虑对其汽车产品危险作出定义:一是指出汽车产品危险的来源,即设计、制造或者标识等过程中出现错误或遗漏;二是确定危险的属性,危险是一种不安全状态,
13、并且危险主体是汽车产品的系统或部件;三是预测结果,危险将可能导致人身伤害或财产损失。2.5 严 重性 severity:危 险事件或情形对人身、 财产安全的损害程度。机械安全 风险评价 第 1 部分 原则(GB/T 16856.1-2008)中7.2.2 规定:“ 伤害的严 重程度可通过伤害损坏健康的严重程度(轻微、严重、死亡)或者伤害的限度(一个人、几个人)进行评估。 ”电气设备的安全 风险评估和风险降低 第 1 部分 总则(GB/T 22696.1-2008)中 7.2.2 规定:“ 伤害的 严重程度可通过伤害的程度(轻微、严重或死亡)或者伤害的广度(一个人员、一件设备或多个人员、较广范环
14、境的损害)进行预估。 ”潜在的风险可能导致危害事件的 发生,而危害事件的严重性是评判风险的重要指标2.6 可能性 probability:汽车产品在其使用寿命周期内 发生“危险事件或情形”的概率。机械安全风险评价第 1 部分原则(GB/T 16856.1-2008)、电气7设备的安全风险评估和风险降低第 1 部分总则(GB/T 22696.1-2008)中均指出, “风险的重要因素之一可能性即发生伤害的概率。 ”本标准是针对已销售的汽车产品进行评估,风险主体就是汽车产品使用者,可能性是指汽车产品在使用寿命周期内存在发生危害事件或情形的概率预测值。需要说明的是,概率预测值是通过相关预测模型计算获
15、得的,并不来源于市场数据的处理。2.7 风险评估对象:可能存在故障或失效问题的批次汽车产品。汽车产品是由上万个零部件组成,使用条件和环境十分复杂,在设计、制造及 标识等原因很可能产生缺陷,存在风险。将具有潜在风险的汽车产品批量投放市场,将会带来大范围、系统性的安全风险,社会危害性极大。因此,本标准将风险评估对象界定为可能存在风险的批次汽车产品。3、总则主要说明风险评估和风险控制的基本流程,指出风险评估的对象为“ 危险事件或情形 ”,指明风险控制主体制定风险控制的基本要求。风险评估与风险控制是一项系统工程,因此,制定出基本框架与策略是保障其顺利实施的首要条件。本标准是针对于汽车产品系统或部件失效
16、/故障导致的危害事件进行风险评估。在传统生产安全领域对于事故进行风险评估,需考虑具体场景条件下中使用者的处置措施,而汽车产品缺陷判定工作往往排除使用者主观影响因素;根据对于汽车产品由于缺陷导致伤害的风险传递路径的不确定性分析结果,不同伤害模式发生的概率是无法预测的。例如:汽车产品的电气线路短路(故障或失效)会导致电气线路过热,可能引发火灾(危险事件或情形),造成人员轻度烧伤(伤害情形 A)、重度烧伤 (伤害情形 B)或烧死(伤害情形 C),在风险评估 时,要 对上述 A、B、C 三种伤害情形的发生概8率进行预测几乎无法完成,但“引发火灾”这一危险事件或情形具有相对确定性。故综合上述考虑,选择对
17、“危险事件或情形 ”进行风险评估,易于相关工作的开展。图 1 风险评估与风险 控制基本流程是参考相关汽车风险评估、机械安全评价及消费品风险评估与控制等综合考虑的结果。例如产品安全与风险评估第 3 章产品直接伤害的风险评估中的图 36 直接伤害的产品风险评估程序如下图。图 1 直接伤害的产品风险评估程序消费品安全管理导则(GB/T 288032012)第 8/9/10 条列出的对风险估计、 风险评价、风险控制的说明;以及消费品质量安全因子评估和控制通则(GB/T 282162011)中消 费品质量安全因子评估与控制,如下图。9图 2 消费品质量安全因子评估和控制过程具体风险控制水平可参阅汽车相关
18、标准和条例,例如缺陷汽车产品召回管理条例等。4、风险评估4.1 风险评估基本流程风险评估的应用在不同的安全领域应用中虽然略有差异,但原理和过程是基本一致的。本标准在综合分析不同领域的风险评估流程的基础上,结 合多年以来汽车产品缺陷判定工作的实际情况,以风险评估的理论方法为指导,将风险评估的流程分为五步:确定风险评估对象、识别危 险事件或情形、评估危险事件或情形的严重性、评估危险事件或情形发生的可能性、确定综合风险水平等级。4.2 确定 风险评估对象。主要说明评估对象,并指出具体的批次范围需经过合理的分析。汽车产品的生产具有批次性,当发现某一车型的一辆或几辆车出现失效/ 故障,政府部 门 和生产
19、者应该分析找出 该车的批次范围,追10根溯源,从该车的设计、制造、 标识等角度进行分析,不能局限于特定范围或数量的汽车,要以可能存在风险的批次汽车产品这一群体来作为风险评估的对象。本标准根据缺陷的定义,从设计、制造和标识三个方面设定了风险评估的对象。4.3 识别危险事件或情形。主要说明风险传递的过程,以及在多种危险事件或情形中要分清主次。1)风险传递过程对风险传递过程的分析在整个风险评估流程中具有重要的作用,也是风险评估工作中的重点和难点。分析风险传递过程,可产生如下积极意义:(1)识别汽车系统中可能存在的风险分析风险传递过程,对汽车产品故障或失效进行技术分析,模拟危险事件或情形发生和可能引起
20、伤害的场景,识别风险,有利于提高汽车企业对风险的认识,从汽车设计及生产上出发,优化改良系统,提高系统可靠性,减少事故的发生。(2)从宏观角度分析系统中可能发生的事故,掌握事故发生的规律通过对风险传递过程的分析,掌握事故的规律及其主要影响因素,对其伤害模式与伤害的严重程度进行总结,对多发事故及其伤害模式进行重点分析,加强事故发生后的维护措施,将损失减少到最低。(3)指出消除事故的根本措施,改善汽车系统的安全状况从系统安全角度出发,进一步对造成的系统失效或故障进行分析,从而可以对系统可靠度进行定量的计算,判断系统可靠性。通过选用可靠性高的设备部件、采用提高系统冗余量、改善系统运行条件及加强检测和预防性维修保养等方式提高系统可靠性,从而减少事故的发