安全是一个产品的基本属性,举个例子,无论是路边小摊还是米其林餐厅,我们购买食物的默认标准就是这个食物是安全的(我们不会因为吃它而丧命),那么对于汽车这个与我们生活密切相关的工业品,安全更是其首要属性。所以,我们国家产品质量法2018年修订版第13条有明确规定“可能危及人体健康和人身、财产安全的工业产品,必须符合保障人体健康和人身、财产安全的国家标准、行业标准”。而汽车作为一个十分普遍存在的工业产品,自然需要满足行业标准,我们国家针对汽车电子电器系统安全的国家推荐标准就是(GB/T 34590 -2017),这份标准对标的国际标准,就是ISO26262-2011,这个系列行业标准讲的就是我们今天的主角“功能安全”。
抛开晦涩的专业解释,何为“安全”?对于一个消费者来说,不在正常使用过程中受到伤害即为安全。从一个企业角度,安全是企业不会因为使用某款产品而造成巨额损失。从一个生产者的角度看,安全是这个企业提供的产品和服务不会伤害它的客户,企业不会因为产品问题倒闭。所以,无论是谁,只要其参与市场活动,安全就是其绕不开的话题。既然,安全这么重要,如何保证工业品和服务的安全,尤其是交通运输这种民生产业,功能安全标准就为此而生。功能安全就是利用一系列的规范来帮助企业识别产品风险,设计产品开发策略,维护产品生产运行,从而保证企业提供的产品不会对其用户造成巨大的身体伤害。此处用巨大的含义就是企业是逐利的,需要评估危害与风险的等级,设计不同的策略,如果一切都按照最高要求开发,企业就没办法维持其正常有序的生产(成本太高)。所以,这份标准推荐的方法,根据不同的严重等级对于产品的开发维护,提出了QM、ASIL A/B/C/D五个级别。最高等级的要求就是ASIL D,翻译成白话就是,如果打这个标签的需求出了问题,就会致人死亡。针对这种类型的需求开发者需要的不只是“做好”而是要“尽全力去做好”。所以,针对这种高风险等级的设计要求,标准提供了非常多的参考方法和参考模型,帮助开发达到目标。
说到这里,需要提醒从业者的是,功能安全规定的方法论不是给功能安全工程师或者功能安全经理用的,它是给开发、测试、生产、维护人员用的。功能安全经理只是一个监督者,因为最终如果遇到重大事故,需要负责任的是对应的责任人而不是监督者(功能安全经理)。
功能安全研究的对象不是失效,不是失效,不是失效(重要的事情要强调三遍),功能安全研究的是危害。何为危害,能够造成伤害和损失的失效才能构成危害。举个例子,雨刮如果在平时晴天时坏了,没有问题只是坏了并不构成危害,但是,如果雨刮在暴雨高速上坏了,此时雨刮器的故障就形成了危害。这种情况我们就需要格外注意,甚至要设计对应的策略来改善安全性。所以,对于可以造成危害的失效,尤其是造成严重危害的失效,我们是零容忍的。也就是说系统必须采取措施缓解这种危害,相应的缓解措施必须严格落实,否则对应的责任人必须负责。如果落实出了问题就形成了功能安全上常说的系统性失效,比如过程配合出了问题,比如设计方法有问题等等。高等级系统性失效的后果是非常严重的,因为危害影响大,车厂不仅要召回还要承受名誉损失,比如丰田意外加速事件,通用安全气囊问题等。
安全是系统属性,貌似所有的责任都在设计的源头OEM,所有责任都可以归类为上游没做好。问题显然不是这样的,设计者需要有“系统中的系统”的概念,在人车系统中,OEM因为更加专业而且作为提供商,所以需要承担分析责任。同样在子系统中,供应商往往比OEM更加专业,自然也要承担分析责任,所以HARA不是一次性的。因为到了子系统层级,尤其是脱离上下文的设计,也需要从相关项定义,HARA分析开始。世界并不完美,失效随时存在,但是风险必须遏制,这是企业保护消费者也是保护自己的底线。
最后笔者想说,功能安全关乎用户生死,关乎企业存亡,更是产品的底线。功能安全对于日益丰富的汽车电子系统来说不是可选项是必选项。
1163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
