何为软件功能安全
划重点
01
功能安全的历史
一直以来,核电站是生活的重要动力来源。自1957年英国核电站发生火灾后,安全(Safety)成为至关重要的问题。该事件中数百人因放射性物质死亡,安全成为机器或装置需要重视的问题。当时大部分的安全概念主要是指安全装置(Safety Device), 安全屏障(Safety Barrier), 预防(Prevention) 以及安保(Preservation)。从1980年开始,软件安全产品的生产赋予了安全新的定义,IEC 61508功能安全(Functional Safety)国际标准于1998年顺势而出。
划重点
02
功能安全的概念
功能安全是“安全”概念的进化,ISO 26262派生于电子、电气及可编程器件功能安全基本标准IEC61508,在ISO 26262标准中是这样来定义功能安全的:absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems. 即不存在由于电子电气系统的功能故障造成的危害而导致的不合理风险。
▣ “不合理”的定义 (Unreasonable)
不可接收的 (Unacceptable)
过度的(Excessive)
▣ “风险”的定义(Risk)
受损害的概率和程度的组合
▣ 举例
意外加速
意外减速
意外加速损失
意外减速损失
意外车辆动作
功能安全是系统或设备整体安全的一环,是指对硬件故障、软件错误、运营者错误以及环境影响等的安全管理(management of safety)。以铰链覆盖的旋转刀片机器为例,为清洗该机器,需将刀片的保护装置抬起,此时电路会切断电机电源,并启动制动装置。这种防止对人造成伤害的操作,就是功能安全。
划重点
03
安全和功能安全的区别
划重点
04
功能安全标准
即在IEC 61508基础之上,为保证各领域软件品质而制定的标准。IEC 61508向汽车、航空、铁路等各领域发展,例如汽车产业的ISO 26262、核能发电站的IEC 60880、航空产业的DO-178B 等。
※ IEC 61508 : 囊括全产业领域的电器/电子/软件相关安全系统的功能安全性标准
划重点
05
各行业软件功能安全
汽车领域
2011年制定的ISO 26262适用于汽车系统开发,ISO 26262不只是软件的标准,是囊括软硬件系统的标准,共10 Parts,在 Part 6提出了软件标准要求事项。
依据相应系统的危险要素,定义Automotive Safety Integrity Level(ASIL),因此验证活动的种类及完成标准也不同。
根据相应系统可发生危险的严重性、可暴露性、可控制性来定义ASIL,不同系统ASIL验证活动的种类及完成标准不同。例如,为满足单元测试完成标准,ASIL越高,就需要越多的测试用例。
铁路领域
新制定软件形式承认制度,铁路车辆技术标准part51 – 3.2.7中标明了铁路的软件标准。
• 标明以IEC 62279为基础的开发及验证活动(KRRI测试评价中心组主导的认证制度化)
• 韩国铁路研究所的铁路事业条件包含 RAMS 活动
• 通过海外认证企业确认
核能领域
IEC 60880是可提供核电站控制系统软件需具备条件的标准。针对核电站控制系统,各国管制机关采取自行标准。例如美国 United States Nuclear Regulatory Commission(USNRC)、韩国核能安全技术院(Korea Institute of Nuclear Safety, KINS) 等。
各管制机关采用的主要标准有IEC 60880和 IEEE 1012,IEC 60880提出 V-curve 基础的软件开发生命周期。各阶段认证要以书面化、系统要求的事项验证等原则为基础。
IEEE 1012提出了软件验证体系指南及标准,是软件验证最普遍的国际标准,提出了最体系的指南及标准,美国USNRC会和韩国KINS院采用此基准,与ISO26262一致,通过分析软件危险要素来定义SW Integrity level(SIL),由于SIL不同,软件验证活动的方法和种类也不同。
例) SIL 4 : 若软件构成要素无法正确动作,会带来人员伤亡、系统破坏及经济损失。
航空领域
DO-178C阐述了飞机软件要求事项,需要最高信赖性等级,飞机软件需要最高信赖性等级。
其他 Mission critical 软件发生错误时可终止系统运行,但飞机无法在飞行过程中停止飞行,需要验证其他领域标准不具备的编译程序功能,验证开发代码和执行代码间的一致性。
- 用户评论
