功能安全标准概念梳理

【写在前面】

记录功能安全开发学习&实践过程中遇到的坎，此篇为概念（即行业/标准术语）的梳理。实践过程中发现不清楚概念，交流即没法进行，反之，理清概念的过程，即是把整个开发过程串联的过程。而有些含义接近的概念，尤其有必要理解清楚。

Verification与validation的区别

verification：验证。验证产品是否符合设计策略，参照标准为设计需求文档。一般由测试部门实施。测试方法包括：review、test、safety analysis和simulation。

validation：确认 。测试产品是否符合产品需求，参照标准为产品需求文档。一般由需求部门和应用部门实施。确认方法包括：review、trial、experiment

CMMI中有VER和VAL两个过程域 
Verification (验证) : You do it right. 
侧重在软件系统是否正确地反映了需求. 
Validation (确认) : You do the right thing. 
侧重在是否按照客户的意图来进行系统开发

参考链接：验证(Verification) 确认（Validation）鉴定（ Qualification） 的区别

Fault与Failure的区别

Fault的定义：可能导致系统或功能失效的异常条件（Abnormal condition that can cause an element or an item to fail.），可译为“故障”。

Error的定义：计算、观察或测量值或条件，与真实、规定或理论上正确的值或条件之间的差异（Discrepancy between a computed, observed or measured value or condition and the true, specified, or theoretically correct value or condition.），可译为“错误”。Error是能够导致系统出现Failure的系统内部状态。

Failure的定义：当一个系统不能执行所要求的功能时，即为Failure，可译为“失效”。（Termination of the ability of an element or an item to perform a function as required.）

三者关系分析：

由于人类试图通过上述3个基本术语来覆盖所有现实中的失效场景，所以就有“Fault -> Error -> Failure”。即，故障发生了，会导致错误，错误有可能造成系统功能的减弱或丧失。

当Fault是另外一个组件/系统的失效时，则有Failure (Fault) -> Error -> Failure；当将Fault说成是某组件状态Error时，则有Error (Fault) -> Error -> Failure。

参考链接：工程上fault和failure区别
 

功能安全审核（Audit）与功能安全评估（Assess）的区别？

功能安全audit和功能安全assessment。前者认证流程，后者认证产品。

 功能安全的确认措施报告包括：

         1.Confirmation review (认可评审)

         2.Functional safety audit (功能安全审核)       

         3.Functional safety assessment (功能安全评估)

参考链接：功能安全-三种确认措施报告-对比情况

 走查与审查的区别？

代码走查：程序员和测试员组成审查小组，通过逻辑运行程序。
第一步：小组成员提前阅读设计规格书、程序文本等相关文档。
第二步：利用测试用例，使程序逻辑运行，记录程序的踪迹，发现、讨论、解决问题

代码审查：程序员和测试员组成审查小组。
第一步：小组成员提前阅读设计规格书、程序文本等相关文档;
第二步：召开程序审查会，开发人员读程序，审查小组讨论、发现、解决问题。

两者的区别：代码审查是一种正式的评审活动，而代码走查的讨论过程是非正式的。

参考链接：代码走查与代码审查区别

 risk、harm、hazard的区别？

根据IEC61508-4的定义：

Harm：Physical injury or damage to the health of people or damage to property or the environment. 即：对环境、财产或者人员的健康造成的物理性伤害或者损毁。是指问题发生以后对环境、财产和人员造成的伤害。

Hazard：Potential source of harm. 即潜在的伤害源。是指一个可以导致伤害发生的潜在危险源，如果触及那个区域，或者对其防护或控制失效，即可导致伤害发生。

Risk：Combination of the probability of occurrence of harm and the severity of that harm. 即：伤害发生的可能性和严重性。是指某种不安全因素可能导致的伤害和伤害的严重程度。

参考链接：沃德检测-解读IEC615082010版——安全及功能安全的概念

FMEDA、FTA和FMEA的区别

FMEDA：Failure Modes Effects and Diagnostic Analysis，失效模式、影响及其诊断分析。FMEDA法在功能安全工作中起到很重要的作用，它对功能安全产品的失效风险、是否可诊断进行定性分析，同时也为平均失效概率和安全完整性等级的计算提供了有效的数据支撑

FTA：Fault Tree Analysis，故障树分析。以故障树的形式进行分析的方法。它用于确定哪些组成部分的故障模式或外界事件或它们的组合可能导致产品的一种已给定的故障模式。[GB/T 2099.13-2008 《电工术语 可信性与服务质量》]、分析系统非理想状态的演绎故障分析法，通过创建整个系统的逻辑框图，故障树分析法显示出各故障、子系统及冗余设计要素之间的关系。[IATF 16949:2016]

FMEA：Failure Modes Effects Analysis，失效模式影响分析。FMEA是以预防为主，主要目的是查找产品/过程中潜在的失效模式，评估其后果和风险的大小，并制定相应的预防/探测措施，对产品或过程进行修改，避免或减少潜在失效模式的发生，也避免或减轻了事后修改带来的危机和成本。

FMEA、FTA、FMEDA三者之间关系

• FTA可以做定性分析，也可以做定量分析；
• FMEA是定性分析工具；FMEDA则是定量分析工具；
• FTA采用自上而下的演绎分析方法，而FMEA和FMEDA则采用自下而上的归纳分析方法。

从时间顺序上，在FMEA单点故障的基础上，进行FTA分析；在FMEA和FTA的基础上，进行FMEDA分析。如下图

参考链接1：QMS-质量工具之故障树分析FTA(2) - FTA的基本概念

参考链接2：FMEDA是什么意思？FMEDA和FTA, FMEA的区别, 应用案例，五大步骤

参考链接3：FMEA 失效分析

更新记录：

20230611：第一次发布