什么是功能安全
Part 1:定义
Part 3:概念阶段
Part 5:产品研发:硬件级
Part 7:生产和操作
Part 9:基于ASIL 和安全的分析
从ISO 26262的结构构成可以看到,标准涵盖了全生命周期的安全要求,功能安全管理、概念阶段、系统研发、硬件研发、软件研发、生产和操作过程、售后,但比例最大的是站在产品设计阶段这个时间节点上,考虑怎样从设计上实现产品安全,可以基于原有的功能实现安全,也可以额外添加功能,实现安全。总之,标准给设计研发阶段的流程要求和建议比较详细,是研发技术人员开发产品的好参考。标准的基本认知是系统过于复杂以后,复杂的相互作用,使得外人很难通过测试或者预测的方式,全面估计失效的位置和失效方式。因此使得预防显得非常重要。
功能安全是整体安全的一部分,它依赖于一个系统或设备对其输入的正确响应。
基于这段的定义和阐述,对功能安全有几个方面的理解。
理解二、IEC61508讨论的安全功能都是由电气、电子、可编程电子技术实现的,与机械的、材料的等等其他手段相区别,但可以同时施加在一个系统中。这个区分并不是说其余安全形势不重要或者安全效果没有电子电气的好,只是这个标准所提示的安全系统不对那些措施做出考虑和评价。
理解三、功能安全系统分两部分,功能安全要求和安全完整性要求。
安全完整性要求,由风险评估确定,按照一个安全功能能够完整执行的可能性的大小,安全等级划分成4个级别,SIL1最低,SIL4最高。安全等级越高,发生危险的概率越低。
安全完整性也可以分成两部分看待,一个是指定系统的风险评估结果,具体落实到哪个安全措施必须实施,这个评估跟风险发生后的危害性高低、风险发生的频率有关。另一个是确定应对这个风险的安全措施的等级。风险越评估结果越严重,需要配置的安全等级也越高。
2 IEC 61508讲什么?
所谓端到端的概念,就是明确安全要素的目标与当前能力水平的一种思路。标准提出了安全性等级的概念,把系统和它的每一级子系统进行标准评估,指明每个层级组成元素的安全指标和实际能力与安全指标的距离,得出每一个评估主体的具体安全等级作为标签。给每个安全因素分配明确的努力方向,并逐级分解,这个思路使得每个底层产品的供应商都有了自己的具体目标,避免了目标不清带来的失效。有研究提出了一个数字,40%,研究认为40%的失效都是因为安全要求不清晰造成的。
全生命周期理念,一般的性能测试或者质量检查,都是针对某一个时刻的产品状态,是整个生命周期中的一个切片。IEC61508要求系统考虑产品系统从概念到设计直至使用以后的寿命终结各个阶段,考虑时间因素在产品安全中产生的影响。
ISO 26262延续了IEC61508的思想,并把它应用于汽车领域。IEC61508在一些方面不适合于汽车行业。刘佳熙在他的论文《汽车电子电气系统的功能安全标准ISO 26262》中指出,IEC61508没有考虑汽车工业的分布式开发模式; 它定义了一个与汽车工业不同的生命周期( 测试在产品发布后进行) ; 它的量化要求( 如失效率) 没有考虑大规模批量生产的情况。随着安全相关的电子电气系统在汽车上的广泛应用,汽车工业对电子电气系统功能安全标准的需求也越来越迫切。
注:
1 刘佳熙,汽车电子电气系统的功能安全标准ISO 26262;
3 GBT 20438-2006 电气 电子 可编程电子安全相关系统的功能安全
- 用户评论
