ISO 26262标准名称《道路车辆功能安全》是IEC 61508标准在汽车行业的具体应用。IEC 61508标准在2000年由国际电工委员会TC65委员会提出并制定,我国于2006年发布了系列标准《GB/T 20438 电气/ 电子/可编程电子安全相关系统的功能安全》共7个部分,等同采用IEC61508:1998。
ISO 26262基本框架
Part 1:定义
Part 2:功能安全管理
Part 3:概念阶段
Part 4:产品研发:系统级
Part 5:产品研发:硬件级
Part 6:产品研发:软件级
Part 7:生产和操作
Part 8:支持过程
Part 9:基于ASIL 和安全的分析
Part 10:ISO26262 导则
ISO26262在汽车产品开发过程中的作用流程顺序,如下图所示。
1 什么是功能安全?
从ISO 26262的结构构成可以看到,标准涵盖了全生命周期的安全要求,功能安全管理、概念阶段、系统研发、硬件研发、软件研发、生产和操作过程、售后,但比例最大的是站在产品设计阶段这个时间节点上,考虑怎样从设计上实现产品安全,可以基于原有的功能实现安全,也可以额外添加功能,实现安全。总之,标准给设计研发阶段的流程要求和建议比较详细,是研发技术人员开发产品的好参考。标准的基本认知是系统过于复杂以后,复杂的相互作用,使得外人很难通过测试或者预测的方式,全面估计失效的位置和失效方式。因此使得预防显得非常重要。
IEC 61508中一段标准原文:“安全是指避免会造成人体健康损害或人身损伤的不可接受风险,而这种风险是由于对财产或环境的破坏而直接或者间接地导致的。
功能安全是整体安全的一部分,它依赖于一个系统或设备对其输入的正确响应。
例如,在电机绕组上装一个热传感器,可以在电机过热前实现断电的过热保护装置。是功能安全的一个例子。但采用特殊的隔热材料来抵御高温就不是功能安全的例子(虽然这也是实现安全的一个例子,并能抵御同样的危险)”
基于这段的定义和阐述,对功能安全有几个方面的理解。
理解一,功能安全在规定其他安全设计流程等细节之前,首先是一种意识,一种思考问题的角度,一种设计人员的方法论。从理论层面和流程层面,建立安全保障的防火墙。
理解二、IEC61508讨论的安全功能都是由电气、电子、可编程电子技术实现的,与机械的、材料的等等其他手段相区别,但可以同时施加在一个系统中。这个区分并不是说其余安全形势不重要或者安全效果没有电子电气的好,只是这个标准所提示的安全系统不对那些措施做出考虑和评价。
安全功能系统,可以与原来的功能系统融合在一起,也可以以独立的形式存在。
理解三、功能安全系统分两部分,功能安全要求和安全完整性要求。
安全功能要求,由危险分析决定,需要清晰阐述某个具体的安全功能的目的,实现方法;
安全完整性要求,由风险评估确定,按照一个安全功能能够完整执行的可能性的大小,安全等级划分成4个级别,SIL1最低,SIL4最高。安全等级越高,发生危险的概率越低。
安全功能要求,需要清晰表述的要素一般包括风险相关参数,风险发生频率,措施实施后造成最严重后果是怎样的,事故率上限是多少等等。
安全完整性也可以分成两部分看待,一个是指定系统的风险评估结果,具体落实到哪个安全措施必须实施,这个评估跟风险发生后的危害性高低、风险发生的频率有关。另一个是确定应对这个风险的安全措施的等级。风险越评估结果越严重,需要配置的安全等级也越高。
进一步说明安全完整性要求。原来系统中,可能出现危险的频率越高,则要求安全功能的等级必须相应提高。比如一个开门断电安全功能,系统开门频率是每天10次和每年1次,则对这个安全功能要求的安全等级前者比后者要高。总体上,安全功能追求的是人们能够接受的一个事故率的范围。
2 IEC 61508讲什么?
IEC61508完整的名称是《电气/电子/可编程电子安全相关系统的功能安全》,它针对采用了硬件、软件、电子、电气、机械等多种技术的综合系统,提出了端到端、全系统和全生命周期的安全评估理念,意在解决科技发展中,越来越复杂的工程系统带来系统失效模式和失效率预测困难的问题。
所谓端到端的概念,就是明确安全要素的目标与当前能力水平的一种思路。标准提出了安全性等级的概念,把系统和它的每一级子系统进行标准评估,指明每个层级组成元素的安全指标和实际能力与安全指标的距离,得出每一个评估主体的具体安全等级作为标签。给每个安全因素分配明确的努力方向,并逐级分解,这个思路使得每个底层产品的供应商都有了自己的具体目标,避免了目标不清带来的失效。有研究提出了一个数字,40%,研究认为40%的失效都是因为安全要求不清晰造成的。
全系统理念,是在端到端理念的基础上,要求考虑全系统的结构、逻辑等系统才能体现出来的性质对安全的影响,要求除了明确每个零件的具体参数指标可靠性指标之外,这些零件组合以后产生的新的性质,也必须得到考察,指定安全目标,衡量安全级别。
全生命周期理念,一般的性能测试或者质量检查,都是针对某一个时刻的产品状态,是整个生命周期中的一个切片。IEC61508要求系统考虑产品系统从概念到设计直至使用以后的寿命终结各个阶段,考虑时间因素在产品安全中产生的影响。
3 IEC 61508为何不适用于汽车的要求
ISO 26262延续了IEC61508的思想,并把它应用于汽车领域。IEC61508在一些方面不适合于汽车行业。刘佳熙在他的论文《汽车电子电气系统的功能安全标准ISO 26262》中指出,IEC61508没有考虑汽车工业的分布式开发模式; 它定义了一个与汽车工业不同的生命周期( 测试在产品发布后进行) ; 它的量化要求( 如失效率) 没有考虑大规模批量生产的情况。随着安全相关的电子电气系统在汽车上的广泛应用,汽车工业对电子电气系统功能安全标准的需求也越来越迫切。
参考文献:
1 刘佳熙,汽车电子电气系统的功能安全标准ISO 26262;
2 史学玲,IEC61508标准的基本原理与方法研究;
3 GBT 20438-2006 电气 电子 可编程电子安全相关系统的功能安全;
4 未知,ISO 26262的安全档案概述;
5 未知,IEC61508介绍;
