2.1 汽车产品风险评估的基本原理

从2009年爆发的丰田“踏板门”事件到2013年央视曝光的大众DSG直接换挡变速器事件，再到2014年闹得沸沸扬扬的大众新速腾汽车“断轴事件”，以及近几年全球最大召回事件的“高田气囊事件”，其争议的焦点都聚焦在缺陷的认定上。但由于生产者和消费者对缺陷的认识角度不同，常常导致双方对是否应该召回各执一词。

政府在召回工作中扮演行政监管和重大技术研判两个角色，既要科学开展缺陷判定，也要督促生产者实施召回。

技术研判就需要按照一定技术标准进行。根据2017年12月发布的国家标准《汽车产品安全风险评估与风险控制指南（GB/T 34402-2017）》（以下简称《指南》或国家标准），规定于2018年4月1日起实施。《指南》主要内容就是风险评估的流程和风险控制，定义了风险评估的术语、流程、方法和原则。《指南》是支撑《缺陷汽车产品召回管理条例》（以下简称《条例》）实施的重要标准。它规定了汽车产品安全风险评估的基本过程以及风险控制的基本方法，为汽车产品缺陷判定和风险控制策略的制定提供了科学依据。这项国家标准将为汽车产品缺陷与安全领域相关法律法规的落实提供有效支撑，为汽车行业实施缺陷产品召回提供业务指导，具有重要的现实意义和实用价值。

汽车产品危险是由于设计、制造或标识等原因使汽车整车、系统、总成或零部件等处于一种不安全状态，在这种状态下，将可能导致人身伤害或财产损失。风险评估是指确定危险事件或情形的严重性与发生可能性的综合水平等级的过程。风险控制是用于避免或减小危险事件或情形发生的策略。缺陷汽车产品召回是一种有效的风险控制方式。

危险的严重性是指危险事件或情形对人身、财产安全的损害程度。危险的可能性是汽车产品在其使用寿命周期内发生“危险事件或情形”的概率。可能性是对危险事件或情形发生的概率预测，不等同于过往市场故障/失效数据的统计。

（1）风险评估与风险控制的基本流程

风险评估与风险控制基本流程如图2-1所示。系统缺陷风险评估实施准则包括：确定风险主体、风险识别、确定危险的严重性和可能性、确定风险等级、风险处理措施决策。

本标准的风险评估对象是“危险事件或情形”，通过评估危险事件或情形的严重性和发生可能性等级，代入风险矩阵，确定危险事件或情形的最终风险水平等级。

本标准中的风险控制针对已销售车辆，风险控制责任主体在综合考虑风险评估结果、相关法规、技术条件、社会影响等因素的基础上，制定相对应的风险控制策略，以减小或避免危险事件或情形的发生，减少人身伤害、财产损失。

图2-1 风险评估与风险控制的基本流程

（2）风险评估基本程序

风险评估基本程序包括5个步骤，即：确定风险评估对象、识别危险事件或情形、评估危险事件或情形的严重性、评估危险事件或情形发生的可能性、确定综合风险水平等级。

（3）确定风险评估对象。

在评估过程中，需要根据汽车产品失效、故障的具体情况进行合理的分析后才能确定批次范围，尤其是要追溯是否与汽车产品的设计、制造或标识等原因相关。

如果由设计原因导致了汽车产品失效/故障，风险评估对象是可能采用了同样设计的批次汽车产品；如果由制造原因导致了汽车产品失效/故障，风险评估对象是可能采用了同样制造过程的批次汽车产品；如果由标识原因导致了汽车产品失效/故障，风险评估对象是可能采用了同样标识的批次汽车产品。

（4）风险识别及评估方法

风险识别是对安全隐患进行技术分析、研究风险传递过程、模拟危险发生和引起伤害的可能场景。常用的风险识别方法有流程图法、现场调查法、故障树分析法、历史记录统计法、聚类分析法、模糊识别法和专家调查法等。风险分析的理论和实践证明，没有任何一种方法的功能是万能的，它们都有其特定的适用性，表2-1讨论了风险识别方法的适用性。

表2-1 风险识别方法的适用性

风险评估是在风险识别的基础上，对风险的影响进行定性和定量分析，并估算出各风险发生的概率及其危害，从而确定关键风险，为重点处置这些风险提供依据。常用的风险评估方法有风险矩阵法、失效模式、影响及危害性分析（Failure Mode, Effects and Criticality Analysis, FMECA）、事件树分析、故障树分析法、原因—后果分析等多种方法。其中有些方法既可以用于风险评估，又可用于风险识别，如故障树分析法。表2-2讨论了常用的风险评估方法的特点与优缺点。

表2-2 风险评估方法比较