当人命关天时，可接受的风险水平是多少？

海洋之门公司（OceanGate）的实验性潜水器泰坦号（Titan）在考察泰坦尼克号残骸 1 小时 45 分钟后发生 5 人死亡的悲剧，使人们开始关注安全问题，关注我们对风险的偏好，关注那些使我们能够以冒险为乐的公司和个人。

对我来说，作为一名职能安全专业人员，风险是一个基于社会道德观念和数学概率的有趣话题。

人们普遍认为，风险与回报之间存在着平衡，将风险降低到可接受的水平几乎总是要付出代价的。这些可接受程度是以我们所处社会的规范为基础的，通常以法律法规的形式正式确定下来。

OceanGate 的首席执行官概述了他对风险与回报平衡的看法，他说："你知道，在某些时候，安全纯粹是一种浪费。我的意思是，如果你只想安全，那就别下床，别上车，什么都别做。在某些时候，你会冒一些风险，这确实是一个风险与回报的问题"。

在考虑功能安全时，问题是：是否已将风险降低到合理的水平，从而使回报与风险相称。 通常情况下，不可能消除所有风险，但所有行业的通用方法都是在合理可行的范围内尽一切努力保护人们免受伤害。这就意味着要在风险水平与控制实际风险所需的措施（金钱、时间和精力）之间取得平衡。

在汽车领域，为了管理风险，汽车类型认证规定必须符合功能安全要求。这些规定与车辆有关，但并不总是规定证明符合规定的方法。

ISO 26262 标准对汽车电子和电气系统的风险管理进行了定义，而 ISO 21448 标准则对高度自动驾驶或自动驾驶汽车进行了补充。这些标准被定义为指导原则，因此在部署产品时没有法律要求必须遵守。不过，遵循这些标准可以作为产品功能安全的证明。

作为一家生产产品的公司，伊特龙受到产品责任法的约束，该法规定了生产产品时的谨慎和尽责义务。此外，作为专业人士，我们都受专业机构条款的约束，这些条款规定我们有责任在健康、安全和环境问题上维护公众利益。因此，伊特龙及其员工都有责任防止我们的产品可能造成的伤害。

制定标准和准则通常是为了帮助公司和个人提供尽职调查的证据，通常也是为了确定最佳做法。这些标准和准则被业界同行一致认为是 "最先进的"。遵循这些标准并不能免除公司和个人的责任，但可以提供有据可查的论据，证明已经进行了尽职调查。

对于试验性潜水器来说，标准的情况更加不透明。在海事法中，船只的注册国或船旗国决定了有关船只运营的法律。如果船只进入某个国家的领海，还必须符合该国的规定。对这些标准和法规的遵守通常通过认证来证明。潜水器可由劳氏船级社、美国船级社或 DNV 等海事组织认证（和入级）。这类认证可以证明潜水器达到了有关稳定性、强度、安全性和性能的特定标准。但认证并不是强制性的，尤其是当潜水器在船上运输并随后在任何国家管辖范围以外的国际水域运行时。

海洋之门公司表示，每年对潜水器进行独立的分级和认证并不能确保安全的潜水操作程序得到遵守，而且如果每次创新都要对授权机构进行教育，他们的快速创新周期就会被扼杀。海洋技术协会是一个海洋技术和工业团体，他们表示担心，如果不遵守行业公认的标准，潜水器的乘员将面临巨大风险。

有趣的是，自动驾驶汽车制造商也有类似的问题。创新周期长，而现行标准并不总是涵盖这些创新的具体内容。自动驾驶汽车制造商也雇用了最聪明的人来开发他们的自动驾驶系统，导致评估和审核行业缺乏技能和理解。即使是较简单的系统，评估人员也不可能对产品及其开发的方方面面进行调查和审核。解决的办法是提出一个令人信服的安全案例，概述产品及其开发情况，并说明为什么它不存在不合理的残余风险。MISRA 制定了 "汽车安全论证指南"，明确说明如何根据现有标准制定安全论证。审核员可通过记录在案的论据和证据，对这一已披露的推理进行调查。

Eatron正在生产创新产品，以提高电池性能和使用寿命，同时通过先进的人工智能功能和云计算来保证安全性。ISO 26262 的使用与这些类型应用的开发和部署或用于确保其安全使用的方法并不完全一致。ISO 26262 主要关注车辆层面的故障影响以及驾驶员对后续风险的可控性。电池不是驾驶员可控的执行器，但其故障模式确实会影响车辆的可控性。目前正在制定新的标准来纠正这种偏差，例如与可充电储能系统相关的ISO TR 9968标准以及与安全和人工智能相关的ISO/AWI PAS 8800标准。伊特龙将继续利用这些标准和行业最佳实践进行创新，生产出坚固、可靠、安全的世界级产品，并以安全案例论证我们的理念。

Gareth Price，保证与安全总监 @Eatron Technologies

Eatron 开发的智能电池管理软件解决方案可部署在边缘和云端。如果您有兴趣了解更多信息，请点击 "与专家交流 "并填写联系表，或直接发送电子邮件至 info@eatron.com。