目录

1.  《GB21670-2025：乘用车制动系统技术要求及试验方法》

• 1.1 标准针对产品范围

• 1.2 标准对功能安全开发流程和技术要求

• 1.3 标准对制动电子控制系统供电要求

• 1.4 标准对制动电子控制系统制动执行器冗余要求

2. 制动电子控制系统功能安全要求(附录A)

• 2.1 制动电子控制系统描述文档

• 2.2 危害分析与风险评估文档

• 2.3 安全措施说明文档

• 2.4 安全分析

• 2.5 整车及系统层面的验证确认计划和结果

• 2.6 功能概念和功能安全概念验证和确认

• 2.7 附录A总结

3. 制动电子控制系统功能安全试验报告要求(附录B)

• 3.1 制动电子控制系统描述

• 3.2 危害分析和风险评估

• 3.3 安全措施说明

• 3.4 安全分析

• 3.5 整车及系统层面的验证确认计划和结果

• 3.6 功能概念和功能安全概念验证和确认

• 3.7 试验报告要求分析总结

4. 制动电子控制系统功能安全描述需求(附录C)

5. 结论

01 GB21670-2025标准

涉及功能安全内容梳理

1.1 标准针对产品范围

《GB21670-2025：乘用车制动系统技术要求及试验方法》于2025年5月30日发布，2016年1月1日正式实施，归口于工业和信息化部，由全国标准化技术委员会制动分会执行标准新增了GB/T 34590：道路车辆，功能安全作为规范性引用文件，强化了对功能安全的重视。其核心内容与联合国UN R13-H（线控制动）国际法规草案高度对齐，使得EMB开发直接面向全球统一标准，减少企业出口障碍。

ETBS，Electrical Transmission Braking System, 电力传输制动系统，行车制动力及其传输完全依赖驾驶人控制的蓄电装置提供电能的制动系统，脱离传统液压介质的传动方式，即行车制动力及其传输完全依赖驾驶人控制的蓄电装置提供电能的制动系统，脱离传统液压介质的传动方式。如下图所示。

需要说明的是，该标准适用于具有如防抱制动，电力再生式制动，采用电子传输的驻车制动，具有电控传输的行车制动，具有电力传输的行车制动等功能的制动电子控制系统。可以说是所以后后续制动相关的控制器都在该标准的强制管理范围内。

1.2 标准对功能安全开发流程和技术要求

尽管在标准中没有明确说明ETBS系统需要满足的功能安全等级，但根据制动系统的较高安全性要求背景，理论上要求ETBS满足ASIL D级设计目标，特别是在标准附录中提到的的功能安全目标：车辆非预期的减速应满足非预期减速的安全度量，这个安全目标不仅应该满足ASIL D的安全要求，而且还说明该要求适用于防抱制动、电力再生式制动、采用电子传输的驻车制动、具有电控传输的行车制动、具有电力传输的行车制动。

要求制动电子控制系统制造商在功能安全开发流程中建立完整的V模型开发体系，覆盖从需求，设计，开发，验证到运维的全生命周期，同时要提供可追溯的功能安全开发文档。

对于制动电子控制系统硬件开发来说，其单点故障指标要满足SPFM≥99%，潜在故障指标应满足LFM≥90%，随机失效率PMHF应该小于10 fit。

1.3 标准对制动电子控制系统供电要求

蓄电装置应该配备能量管理系统，如果供电装置输出功率无法满足电电力传输需求，则应在该情况出现后5s内发出低供电功率报警(Pw，Power Warning)，该报警可采用黄色报警信号;

当电量地址红色阈值的声学报警信号发出后60s内，车辆应自动逐步降低车速至不超过20km/h，以避免高速失控风险。

装备 ETBS 的车辆应配备分别显示各蓄电装置老化效应的指示器，在达到蓄电装置维护临界点之前，至少具有 4 个级差均等的老化水平提示，如下图所示。

1.4 标准对制动电子控制系统制动执行器冗余要求

至少有两个独立的行车制动回路，每个回路都应达到规定的应急制动性能，当车辆不能达到规定的行车制动性能时，应点亮红色报警信号；

发生控制装置一处电气失效，连接控制装置和电子控制单元（ECU）之间的电控传输内部线路（供电线路除外）一处损坏、ECU 一处电气失效、ECU 和执行器之间的电控传输内部线路（供电线路除外）一处损坏的情况之一等单点失效时，仍然需要通过电气或者机械备份来实现驻车保持功能，避免坡道溜车。

标准允许电子冗余代替机械冗余，条件是能量源驱动装置或者供电装置的工作方式应在实际使用的范围内保证安全。

制动电子控制系统功能安全要求应满足附录A。制动电子控制系统功能安全试验报告应满足附录B。制动电子控制系统功能安全描述要求应满足附录C。

02 制动电子控制系统功能安全要求

(附录A)

要求制造商提供功能安全相关文档，考虑到各个供应商对核心技术的保密性，文档的提供分为两个等级：一个是需要提交的文档，侧重于总结性的功能安全相关文档，包含制动电子控制系统描述，危害分析与风向评估总结，安全措施说明，整车层面安全分析总结，系统层面安全分析总结，系统层面验证计划和结果总结，整车层面验证确认计划和结果总结；另一个是备查的文档，需要的是完整的开发工作产物，包括详细危害分析和风险评估，详细整车层面安全分析，详细系统层面安全分析，详细系统层面验证计划和结果，详细整车层面验证确认计划和结果等。

2.1 制动电子控制系统描述文档

制造商提交的制动电子控制系统描述，要包含基本信息(制动电子控制器系统型号，生产企业，软件版本号等)，功能描述(制动电子控制系统基本信息，包括目的和功能描述清单等)，系统的范围、边界、接口(以系统架构框图展示，描述制动电子控制系统范围，边界，接口，内部包含的子系统和要素，并识别与其存在交互关系的外部系统或要素)，系统运行条件和约束限制(针对相应的系统功能，说明有效工作范围的界限)，系统在整车上的布置及外观(示意图展示)，系统布局及原理图：包含系统组件清单，单元功能，相互连接，信号流和优先顺序，单元识别（识别每个单元并提供相应的说明，多次出现的单元应仅用一个识别标志）

2.2 危害分析与风险评估文档

制造商应该提交危害分析与风险评估总结，描述制动电子控制系统的功能异常表现，整车层面危害，汽车安全完整性等级(ASIL)，安全目标等。其中安全目标应该至少包含以下内容：车辆非预期减速应满足非预期减速的安全度量，车辆非预期减速能力下降应满足非预期减速能力下降的安全度量，车辆非预期纵向运动位移应满足非预期纵向运动的安全度量，车辆非预期侧向运动应满足非预期侧向运动的安全度量。

2.3 安全措施说明文档

制动电子控制系统发生故障时，为满足安全目标而在设计时可采取的安全措施包括：利用部分系统维持工作，切换到独立的备用系统，通过关闭功能而进入安全状态，通过警告驾驶人等。

对于芯片等二级供应商，虽然标准没有明确提出对芯片层级的功能安全需求，但正常情况下制动电子控制系统制造商为了满足功能安全目标，一定会对核心芯片提出需要提供安全手册等能说明芯片安全机制的文档，这些芯片主要包括电源管理芯片SBC或者PMIC， 驱动管理芯片Driver，以及微控制器MCU等，理论上这些新品都应满足功能安全ASIL D的安全目标。

2.4 安全分析

整车层面的安全分析，可采用危害分析和风险评估，FMEA，FTA或适合整车安全分析的其他类似方法，制造商应提交整车层面的安全分析总结。

系统层面的安全分析，可以采用FMEA，FTA或者适合系统安全分析的其他类似方法，制造商应具有详细系统层面的安全分析总结，安全分析总结至少包括：系统架构层级要素，要素功能描述，要素潜在安全相关失效模式，失效影响，安全机制说明等。

对于芯片供应商，同样需要提供芯片层级的FMEDA，FTA，DFA相关文档或者总结报告，确保芯片开发满足功能安全要求。

2.5 整车及系统层面的验证确认计划和结果

验证确认的方法应采用硬件在环测试，实车测试或者其他适当的方法。

制造商应提交系统层面的验证计划和结果总结，说明对所有影响系统功能安全概念的系统内部故障，外部接口故障及安全措施的有效性进行了验证。

制造商应提交整车层面的验证确认计划和结果总结，说明针对定义安全目标及功能安全概念的系统内部故障，外部接口故障及安全措施的有效性进行了验证，对安全目标的充分性及达成效果进行了确认。

对于芯片供应商，同样要准备好前仿，后仿，甚至是故障注入测试相关报告，提交测试报告总结。

2.6 功能概念和功能安全概念验证和确认

要根据功能概念，执行制动电子控制系统非故障状态下的功能试验，确认系统正常运行。

要根据功能安全概念，通过向电子电气组件或者机械组件施加内部故障对整车运动行为的影响，以检查单个组件失效时的反应。

故障注入测试的强制性不仅仅提留在制造商开发流程，或者开发意愿的角度，而是上升到了法规的角度，要求制造商应配合检测机构开展故障模拟测试，以验证可能导致整车危害的相关故障已被安全措施有效覆盖，并确认系统及整车实现了功能安全目标。

2.7 附录A总结

附录A文档的输出对象为制动电子控制系统产品制造商。

标准要求制动电子控制系统产品制造商要按照ISO 26262功能安全标准的要求，完成相关文档的撰写。相关文档覆盖了产品从概念阶段的系统架构与Item definition，危害分析与风险评估，安全措施及安全机制，安全分析到验证测试，可以说覆盖了产品开发的各个阶段；如何撰写相关的文档，从业者可以参考星球中的扩展阅读材料，相信对相关文档的撰写会起到非常关键的帮助。

03 制动电子控制系统

功能安全试验报告要求

(附录B)

标准要求检测机构针对制造商提交及备查的制动电子控制系统功能安全相关文档，进行文档审核评估及抽查试验，本根据以下要求在试验报告中记录文档审核评估的内容和结果，验证确认试验步骤和结果。

3.1 制动电子控制系统描述

检测机构应对制动电子控制系统描述文档进行审核，并在试验报告中对所审核的内容进行记录。

3.2  危害分析和风险评估

检测机构根据制造商提供的危害分析与风险评估相关文档，审核分析结果是否覆盖了非预期的减速、非预期的减速能力下降、非预期的纵向运动、非预期的侧向运动等整车危害，及对应的安全目标，记录并总结描述审核的内容。

3.3 安全措施说明

检测机构根据制造商提交和备查的相关文档，总结并列出制动电子控制系统发生的功能异常表现，导致的整车危害，对应采取的安全措施。

3.4 安全分析

检测机构根据制造商提交和备查的相关文档，描述制动电子控制系统与车辆其他系统的交互（含故障条件下）可能导致的潜在安全风险及对应的安全措施，描述分析功能异常表现引起的整车安全风险及对应的安全措施的有效性，描述系统层面安全分析结果；描述系统所监测的参数，针对安全分析中的每一种故障情况，列出给予驾驶人、维修人员、检测机构人员的警告信号。描述对应的措施，确保系统在性能受环境条件（如气候、温度、灰尘进入、进水、冰封等）影响时，不会妨碍车辆的安全运行。

3.5 整车及系统层面的验证确认计划和结果

检测机构根据制造商提交和备查的相关文档，至少包含系统层面和整车层面的验证计划和结果总结，详细系统和整车层面的验证确认计划和结果，总结说明对影响安全目标的所有故障进行了验证，同时对所有安全目标进行完整确认。

3.6 功能概念和功能安全概念验证和确认

检测机构要在功能概念实验报告中至少记录测试目的，测试内容，测试方法及步骤，测试结果等内容。

检测结构要在试验报告中至少记录试验方式，测试目的，测试内容，测试方法及步骤，测试设备，测试环境，接受准则，测试结果，试验照片，样车参数表等内容。

3.7 试验报告要求分析总结

附录B文档的输出对象为检测机构。

要求检测结构的从业人员也需要加强对被检测产品的了解，特别是功能安全开发方法论的理解，相关从业人员可以阅读知识星球中的扩展文件，对各位了解熟悉功能安全工作产物会有很大帮助。

04 制动电子控制系统功能安全描述需求

(附录C)

制动电子控制系统功能安全描述要包含：系统描述(制动电子控制系统功能描述，系统范围，边界，接口，系统运行条件和约束限值，系统在整车上的布置及外观，系统布局及原理图等)，危害分析与风险评估总结(说明制动电子控制的功能异常表现，导致的整车危害，对应的ASIL等级及安全目标)，安全措施说明(说明针对整车危害采取的安全措施)，其他要求(对于控制系统功能减少，整车布置及外观变更，系统组件清单变更，信号流和优先顺序变更等，制造商应提供变更内容说明及相应声明)。

附录C文档的输出对象为制动电子控制系统产品制造商。

附录C相当于是对附录A所有功能安全工作产物的总结文档，制造商在开发产品过程中，如果按照功能安全开发流程，将所有相关工作产物都准备好后，只需要将相关文档内容进行总结编制，即可输出该文档，所以说编制附录C文档的基础还是在于将附录A中所有内容输出完整。

05 结论

针对汽车智能底盘的强制国标的落地，意味着功能安全从单纯的认证型导向工作，转向汽车行业切实加强产品功能安全开发实战的里程碑。这意味着所有产品制造商要改变思维，从依赖认证公司找咨询团队写文档的过程，切实改变为企业内部加强功能安全团队建设，将功能安全开发融入产品开发过程的转换，切实将功能安全相关要求落地。

在认证导向性时代，欧美认证机构的一众代理商在国内赚的盆满钵满，其结果是国内的汽车行业公司网站上多了不少认证证书和存在硬盘里基本不会再用的文档模版，甚至于某些国外认证机构国内分公司，可以在开发商不进行任何功能安全开发的前提下，只要给钱就可以发证的不良风气。

在当前有了强制法规后，企业在产品开发的初期就需要对功能安全相关要求考虑在内，毕竟国标是严格安全功能安全需求(概念)，安全分析，和功能安全测试的闭环来推动工作落地的，即使企业可以在相关文档方面注入水分，但是在测试验证环节，相信所有的水分都会被拿到阳关下来炙烤。行业对功能安全，从之前只看认证机构的证书，到如今要求检测机构开展真实的故障注入测试，这样一来产品开发者的要求就会越来越高。

对于功能安全从业者，由于有了强制国标，相关工程师间盛传的“说起来重要，做起来次要，忙起来不要；对外重要，对内次要，实际不要；宣传重要，实践次要，花钱不要”的局面要有所改观了，没有国标之前，公司管理层只相信认证公司的证书，不在乎切实落地的工作，并将认证公司的证书神化，以为认证公司对产品的理解高于开发团队，且本质原因还是对功能安全的不重视，其实从事过完整认证流程的公司应该都比较清楚，认证公司的专家在体系流程方面确实是专业的，但将公司的产品与功能安全思想结合并落地，认证公司的老师并不擅长，甚至是只能作为组织者，真正安全机制的设计和落地，还是要靠对产品充分理解的工程开发团队，要靠自己。

对于汽车智能底盘相关产品，制动层面的功能安全要求仅仅是个开始，后续对线控制动等高安全控制系统的国标，相信一定会同样有相关的功能安全强制要求。同时随着ADAS等智能辅助驾驶系统的不断与底盘和动力相融合，相关功能安全的要求也会越来越严格。

如果你是一名功能安全从业者，或者想转向功能安全开发方向，相信星球中的相关功能安全文档一定能够帮助到你。

知识星球会员可联系公众号作者

领取文章PDF版本