更多精彩内容欢迎关注微信公众号:功能安全落地漫谈
本期聚焦
> ISO26262标准功能安全概要介绍
> ISO26262标准的结构和关键要求介绍
> 公司和个人在功能安全项目中的典型工作分配
> ISO标准对于自身责任范围的隐意
> 关于产品责任与风险控制
本期话题
1. 术语及定义
2. 为什么功能安全
3. 关于道路车辆功能安全标准
4. ISO26262标准概览
5. ISO26262标准分解通览
6. 功能安全概述小结
在整体性地介绍标准之前,有必要了解下ISO 26262标准的一些专业术语,这有助于更好地理解标准。ISO 26262花了整整一个部分来介绍标准的所有术语,说明这些术语定义对于标准的理解非常重要,其使用也便于行业从业人员在公司搭建功能安全流程,实施功能安全开发、管理的工作过程中与同行及公司内部形成统一的沟通语言。
1. 术语及定义
Safety:Absence of unreasonable risk. => 不存在不合理的风险。
Tips: "安全,按一般的概念就是没有风险,不受威胁,不出事故。按照这种概念安全是不可控的,因为这是一个绝对安全的概念,而绝对安全是不存在的。"
“不存在不合理的风险这一定义就将安全问题转化为风险问题了,这样一来安全就变得可控制了,因为风险是可控的。"
Q1.1: 那么该如何控制风险?
Q1.2: 什么叫“不合理的”?或者如何去界定合不合理?
Unreasonable risk: risk judged to be unacceptable in a certain context according to valid societal moral concepts. =>按照现行的安全观念, 被判断为在某种环境下不可接受的风险。
Q1.3: 那么又如何判定风险是否可接受呢?要做的风险可接受功能安全要做出哪些努力?
下图标识出了功能安全要在哪些方面做出努力来做到风险可接受。图中有两个词,“Acceptable risk” 和 “Tolerable risk”, 这两者有什么区别呢?
Jet Note: 上方"Unreasonable risk"的定义中用到一个状语叫 “valid societal moral concepts”,直译为“有效的社会道德观念”,直白点讲就是社会大众认可的道德观。从这个角度讲,风险可不可接受可从该地区社会大众对其接受的程度进行评判。
关于风险的分级评价不同国家有着自己的一些评价准则,比如英国的ALARP, 法国的GAMAB和德国的MEM等,这里暂不对这几种评价准则进行介绍,先简单举例说明。
举个例子,加油站有人边加油边打火点香烟,这种情况你敢过去加油不?再比如,一台没有装任何安全气囊的乘用车,这样的车以高于60kph的时速行驶在道路上的风险你是否能接受?
接着上面的举例,边加油边点香烟导致起火、爆炸的风险显然是非常高的,几乎所有的社会大众对这样的风险都是不可接受的,那离加油站多远进行点火吸烟导致的风险是可接受的呢?换句话说,风险可接受的标准又是如何界定?
关于这个问题这里分享一则钢铁大王安德鲁·卡内基实施修建了第一座跨越密西西比河连接美国东西部的铁路桥的故事作为启示。
卡内基导师斯科特设想建设一条跨过密西西比河的桥,当时桥需要至少长1.6公里,当时还没有人建过这么长的铁路桥,当时建造的桥,有1/4会倒坍,但卡耐基勇敢接受了这个风险和挑战。经过七年的努力,世界上第一座宏伟的钢结构铁路大桥,圣路易斯大桥竟然被建成。
然而,大部分人却觉得,大桥有塌了的危险。
“当时的人们认为,大象不会踏上不结实的建筑。于是,卡内基要让大象过桥。1874年,圣路易斯的一阵秋风中,圣路易斯大桥迎来了它的第一批过客,一支卡内基公司的员工和好事之徒组成的游行队伍,由一头巨象带头,走出了他们的步伐。巨象竟然非常自信从容地跨上大桥,人们欢呼了,他们看到了世界奇迹:铁桥能够承受压力,把美国东西连接。”
故事涉及到铁桥承受压力后倒塌的风险有多大人们才能接受的问题,人们选择大象作为参照物,如果铁桥能承受住大象的压力,那人走在铁桥上自然也不会有问题,人们因此能够接受他们走在这座铁桥上发生倒塌的风险,此时的风险就可认为是reasonable的,也是acceptable的。
Risk: Combination of the probability of occurrence of harm and the severity of that harm. =>伤害发生的概率及其严重度的组合。
Functional safety: Absence of unreasonable risk due to hazards caused by malfunctioning behaviour of E/E systems. =>不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。
E/E system: System that consists of electrical and/or electronic elements, including programmable electronic elements. =>由电子和/或电子要素组成的系统,包括可编制电子要素。
简单讲构成一个系统的三要素为:输入,处理,执行。如下图
Harm: physical injury or damage to the health of persons. => 对人身造成的物理伤害或损坏。
Tips: 由于财产或环境的破坏而导致的直接或间接地对人体健康的损害或对人身的损伤。(ISO/IEC 指南51:1990)。由定义可知,ISO26262里的安全关注的是人身的安全。
Hazard: potential source of harm caused by malfunctioning behaviour of the item. => 由相关项的功能异常表现而导致的伤害的潜在来源。
Systematic failure: failure (1.39), related in a deterministic way to a certain cause, that can only be eliminated by a change of the design or of the manufacturing process, operational procedures, documentation or other relevant factors. =>系统性失效, 以确定的方式与某个原因相关的失效, 只有对设计或生产流程、操作规程、文档或其他相关因素进行变更后才可能排除这种失效。
Random hardware failure: failure (1.39) that can occur unpredictably during the lifetime of a hardware element (1.32) and that follows a probability distribution. => 随机硬件失效, 在硬件要素的生命周期中, 非预期发生并服从概率分布的失效。
Jet Note: 由定义可知,系统性失效是原因确定的失效,即只要导致原因发生的条件具备那失效就一定会发生,如软件bug。随机硬件失效顾名思义其失效是随机发生的,但其随机性服从一定的概率分布。想想此类失效服从某种概率分布是怎么一回事?
Fault tolerant time interval(FTTI): minimum time-span from the occurrence of a fault (3.54) in an item (3.84) to a possible occurrence of a hazardous event (3.77), if the safety mechanisms (3.142) are not activated.
=>故障容错时间间隔(FTTI): 在安全机制(3.142)未被激活情况下,从相关项(3.84)内部故障(3.54)发生到可能发生危害事件(3.77)的最短时间间隔。
Jet Note: 定义里明确FTTI是在没有安全机制的情况下/安全机制未起作用的情况下从故障发生到导致危害事件的时间,思考下如何得到这个时间?
Automotive Safety Integrity Level (ASIL): one of four levels to specify the item's (3.84) or element's (3.41) necessary ISO 26262 requirements and safety measures (3.141) to apply for avoiding an unreasonable risk (3.176), with D representing the most stringent and A the least stringent level. =>四个等级中的一个等级,用于定义相关项(3.84)或要素(3.41)需要满足的ISO26262中的要求和安全措施(3.141),以避免不合理的风险(3.176),其中,D代表最高严格等级,A代表最低严格等级。
Jet Note: ASIL其实是一个表征需求严苛程度的指标,ASIL等级越高意味着在实现功能安全上需要满足更严苛的要求。
safe state: operating mode (3.102), in case of a failure (3.50), of an item (3.84) without an unreasonable level of risk (3.128). =>相关项(3.84)在失效(3.50)的情况下,没有不合理风险(3.128)的运行模式(3.102)。
Jet Note: 由定义可知,安全状态是一种运行模式。其实安全状态可理解为一种过渡后的状态,因为他是在失效发生后进入的一种运行模式,系统正常运行模式下虽然也是安全的状态,但安全状态考虑的是发生某种失效后进入的状态,故不把正常运行模式定义为安全状态。
相关项 Item :适用于GB/T 34590,实现整车层面功能或部分功能的系统(3.163)或系统组合。
Jet Note: 简单理解,相关项即要开发的对象。
单点故障 single-point fault:要素(3.41)中直接导致违背安全目标(3.139)的硬件故障(3.54),且该要素(3.41)中的故障(3.54)未被任何安全机制(3.142)覆盖。
Jet Note: 简单理解,失效后能直接导致违反安全目标的故障且该失效没有相应措施来应对。如,VCU控制功能中,因加速踏板传感器故障导致踏板行程采样值错误(e.g. 过高/过低)导致输出扭矩过大/过小,将直接违反安全目标。
多点故障 multiple-point fault:在未被探测且未被感知到的情况下,与其他独立故障(3.54)组合可能导致一个多点失效(3.96)的一个故障(3.54)。
注:一个多点故障仅在识别出(例如,通过故障树的割集分析)多点失效(3.96)后才能被辨认出来。
Jet Note: 简单理解,需要两个独立的故障结合才能导致违反安全目标的故障。如,BMS的继电器驱动,高、低边继电器都发生了故障导致高压回路断开失败,将导致违法安全目标。
潜伏故障 latent fault:在多点故障探测时间间隔(3.98)内,未被安全机制(3.142)探测到且未被驾驶员感知到的多点故障(3.97)。
Jet Note: 由定义可知潜伏故障首先是一种多点故障,那意味需要两个及以上的独立的故障相结合才能导致这种故障。这种故障既没有被安全机制探测也无法让驾驶员知道,这样来讲如果不加相关措施进行检测那这种故障将伴随着相关项的整个生命周期。此类故障往往是安全机制的故障与基本功能本身故障相结合导致。
下面以Memory的ECC机制为例,谈谈潜伏是如何产生的。如下图Memory中某位发生了反转(见红色数字)故障。
当Memory发生位反转时由于有ECC,错误位被直接纠正没有发出任何故障标志,由于被纠正了又没有任何故障标志,此位反转故障也就成了潜伏,只能祈祷ECC不要出错。
反过来再看,当ECC机制失效时,memory功能并未受到影响,即ECC机制失效潜伏在那,当memory恰巧也发生了位反转时,此时因ECC已失效对此无能为力那势必会导致功能异常进而违反安全目标,使其也成了潜伏故障。
Q: 那潜伏如何应对呢?
按照定义,既然没被探测那就得给造成潜伏的故障加上检测机制;此故障发生后驾驶员感知不到那就通过告警告知驾驶员故障的存在,以提示驾驶员要及时去实施对应维修。
可用性 availability:在特定时间或给定的期间内, 假设所需的外部资源是可用的, 在给定条件下, 产品处于执行所需功能的状态的能力。
Q1.4: 可用性和功能安全性两者是什么关系?两者在具体实现层面会有什么差异?
Jet Note: 从定义来看可用性更多的是实现基本功能的一种能力,而安全关注的是如何控制功能实现过程中出现异常时引起的风险,两者虽属产品的两种不同属性,但在实现层面具有一定的依存关系。比如刹车这个功能,可用性强调踩下刹车踏板能起到预期的刹车效果即可,而功能安全考虑的是刹车这个功能出现故障时该怎么办。如行驶在高速行驶的车辆非预期的执行刹车功能,这时其可用性并未受到破坏但安全性却受到威胁,所以从实现层面来看,功能安全需要对涉及安全的功能进行适当的监控、诊断,以及时应对基本功能的故障行为。
关于两者实现上的区别,可参考下图。
基线 baseline:在配置管理下,通过变更管理流程,作为进一步开发的基础的一组单一或多个工作成果、相关项或要素的版本。
错误 error:计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异。
注1: 错误可由未预见的工作条件引起或由所考虑的系统、子系统或组件的内部故障引起。
降级 degradation:通过设计提供失效发生后的安全的策略。
注: 降级可包含功能缩减,性能降低,或两者均降低。如跛行就是一种降级后的运行模式。
现场数据 field data:从相关项或要素的使用中获得的数据,包含累加的运行时间、所有的失效和服务中的异常。
注: 现场数据通常来自客户的使用。
预期功能 intended functionality:为相关项、系统或要素定义的不包含安全机制的行为。
Jet Note: 预期功能可以理解为使系统运转的基本功能,即使系统能够满足产品使用预期的最小功能组合。如一把能钉钉子和取钉子的锤子,那功能设计上就需要一头锤子一头夹的设计。
生命周期 lifecycle:相关项从概念到报废的全部阶段。
标准还有其他专业术语,本文先挑个人认为使用频率较高的术语进行说明,在后面文章中遇到其他术语时将随文进行同步说明。当然本文未进行说明的其他术语也是同等重要的,从业人员需要结合实践时不时翻看标准进行对比理解。
参考:
[1] ISO 26262-1:2018, Vocabulary
更多精彩内容欢迎关注微信公众号:功能安全落地漫谈
扫一扫
1015
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
