01.前言電腦已經(jīng)是大家日常生活中不可或缺重要工具����,我們使用電腦來(lái)瀏覽網(wǎng)站��、收發(fā)郵件��、編輯照片和視頻����、瀏覽社交媒體以及在線會(huì)議�����。在使用電腦的過(guò)程中或多或少會(huì)遇到系統(tǒng)崩潰��,卡頓��,軟件不響應(yīng)等等問(wèn)題���。那為何手機(jī)經(jīng)?��?D/司機(jī)?可能是因?yàn)椴考匣蜻^(guò)熱��,又或是電腦芯片的一個(gè)關(guān)鍵組件失效或者內(nèi)部接插件接觸不良�,又或者是軟件的BUG從而導(dǎo)致整個(gè)系統(tǒng)隨機(jī)重啟��。
多虧這是安裝在電腦中的處理器�,最糟糕的結(jié)果也只是因?yàn)閿?shù)據(jù)的丟失而片刻的沮喪�����。如果這款處理器安裝在您汽車(chē)的某個(gè)控制系統(tǒng)中���,例如轉(zhuǎn)向/制動(dòng)/智能駕駛����,那么后果可能會(huì)更嚴(yán)重�。 所有電子元件都會(huì)在某個(gè)時(shí)間點(diǎn)失效,這是無(wú)法更改的事實(shí)����。而如今,我們發(fā)現(xiàn)在我們汽車(chē)上越來(lái)越多的執(zhí)行關(guān)鍵功能的電子元件越來(lái)越多�����,涉及轉(zhuǎn)向���、制動(dòng)���、智能輔助駕駛等方面。既然電子元件必然會(huì)隨著時(shí)間的流逝出現(xiàn)各種問(wèn)題���,
并且我們的電子電氣工程師無(wú)法阻止時(shí)間的流逝���,我們?cè)撊绾螏椭褂梦覀冊(cè)南到y(tǒng)設(shè)計(jì)人員來(lái)避免此類(lèi)隨機(jī)事件危及車(chē)輛駕乘人員以及其他交通參與者的生命安全? 答案就是:功能安全�。
02.什么是功能安全“功能安全”是指避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)。功能安全關(guān)注系統(tǒng)故障后的行為�����,而不是系統(tǒng)的原有功能或性能�。 在現(xiàn)代工業(yè)控制領(lǐng)域中,可編程電子硬件����、軟件系統(tǒng)的大量使用,大大提升了自動(dòng)化程度���。但由于設(shè)備設(shè)計(jì)中的缺失��,以及開(kāi)發(fā)制造中風(fēng)險(xiǎn)管理意識(shí)的不足���,這些存在設(shè)計(jì)缺陷的產(chǎn)品大量流入相關(guān)行業(yè)的安全控制系統(tǒng)中�����,已經(jīng)造成了大量的人身安全�、財(cái)產(chǎn)損失和環(huán)境危害事故��。為此�����,世界各國(guó)歷來(lái)對(duì)石化過(guò)程安全控制系統(tǒng)�����、電廠安全控制系統(tǒng)�、核電安全控制系全領(lǐng)域的產(chǎn)品安全性設(shè)計(jì)技術(shù)非常重視,并且將電子�、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的產(chǎn)品安全設(shè)計(jì)技術(shù),即“功能安全”技術(shù)���。 歐美已經(jīng)頒布了成套的功能安全相關(guān)產(chǎn)品指令和設(shè)計(jì)標(biāo)準(zhǔn)�,并深入到各個(gè)領(lǐng)域�����,如:汽車(chē)(ISO26262)軌道控制(EN 5012X)����、核電(EN 61513)、工業(yè)裝備及機(jī)器控制(EN 62601, EN ISO
13849-1/2)�����、過(guò)程控制(EN 61511)等����,國(guó)際上,IEC形成的 IEC 61508�,IEC 61511 等系列標(biāo)準(zhǔn)已經(jīng)逐步成為各國(guó)家、行業(yè)廣泛認(rèn)可的基本功能安全標(biāo)準(zhǔn)�,中國(guó)也仿效并形成了的相應(yīng)國(guó)家標(biāo)準(zhǔn),其他行業(yè)性功能安全標(biāo)準(zhǔn)也在參照并將逐步形成為國(guó)家行業(yè)性標(biāo)準(zhǔn)��。 ISO26262是從電子����、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來(lái)的,主要定位在汽車(chē)行業(yè)中特定的電氣器件����、電子設(shè)備��、可編程電子器件等專(zhuān)門(mén)用于汽車(chē)領(lǐng)域的部件����,旨在提高汽車(chē)電子�、電氣產(chǎn)品功能安全的國(guó)際標(biāo)準(zhǔn),國(guó)內(nèi)對(duì)應(yīng)的標(biāo)準(zhǔn)即為GB/T 34590��。 隨著系統(tǒng)復(fù)雜性的提高��,軟件和機(jī)電設(shè)備的應(yīng)用����,來(lái)自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加,制定ISO 26262標(biāo)準(zhǔn)的目的是使得人們對(duì)安全相關(guān)功能有一個(gè)更好的理解�,并盡可能明確地對(duì)它們進(jìn)行解釋?zhuān)瑫r(shí)為避免這些風(fēng)險(xiǎn)提供了可行性的要求和流程。 ISO 26262為汽車(chē)安全提供了一個(gè)生命周期(管理��、開(kāi)發(fā)����、生產(chǎn)、經(jīng)營(yíng)、服務(wù)���、報(bào)廢)理念,并在這些生命周期階段中提供必要的支持����。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開(kāi)發(fā)過(guò)程(包括需求規(guī)劃、設(shè)計(jì)�����、實(shí)施��、集成���、驗(yàn)證���、確認(rèn)和配置)。 ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險(xiǎn)程度對(duì)系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級(jí)(Automotive Safety Integrity Level 汽車(chē)安全完整性等級(jí)ASIL)���,其中D級(jí)為最高等級(jí)����,需要最苛刻的安全需求。伴隨著ASIL等級(jí)的增加�����,針對(duì)系統(tǒng)硬件和軟件開(kāi)發(fā)流程的要求也隨之增強(qiáng)�。對(duì)系統(tǒng)供應(yīng)商而言,除了需要滿足現(xiàn)有的質(zhì)量要求外還必須滿足這些因?yàn)楣δ馨踩燃?jí)增加而提出的更高的要求��。 
整車(chē)主要模塊/功能的功能安全等級(jí)
03.
故障-錯(cuò)誤-失效功能安全中定義的故障是指可引起要素或相關(guān)項(xiàng)失效的異常情況�����。 故障可以分為永久故障和非永久故障�,其分類(lèi)如下圖所示。 永久性故障是指發(fā)生并持續(xù)�,直到被移除或修復(fù)的故障。也就是說(shuō)永久性故障發(fā)生了必須采取相應(yīng)的措施才能夠使其恢復(fù)其正常運(yùn)行�����。其中系統(tǒng)性故障一般表現(xiàn)為永久性故障�����。 非永久性故障可以分為間歇性故障和瞬態(tài)故障�。間歇性故障是指故障一再的發(fā)生����,然后消失�。當(dāng)一個(gè)組件處于損壞的邊緣時(shí),或者例如由于開(kāi)關(guān)的電涌(電壓的瞬態(tài)激烈變化)��,間歇性故障可能會(huì)發(fā)生�。某些系統(tǒng)性故障(例如時(shí)序混亂)也可能導(dǎo)致間歇性故障�����。 瞬態(tài)故障是指發(fā)生一次且隨后消失的故障����。瞬態(tài)故障可由電磁干擾引起,其可導(dǎo)致位翻轉(zhuǎn)��。比如由于單粒子翻轉(zhuǎn)效應(yīng)(SEU)和單粒子瞬態(tài)脈沖(SET)發(fā)生的軟錯(cuò)誤��,均為瞬態(tài)故障�����。(單粒子翻轉(zhuǎn)是宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū)�,使器件邏輯狀態(tài)翻轉(zhuǎn)的現(xiàn)象�。) ISO 26262中定義的錯(cuò)誤是指計(jì)算的��、觀測(cè)的���、測(cè)量的值或條件與真實(shí)的���、規(guī)定的、理論上正確的值或條件之間的差異�。錯(cuò)誤可由未預(yù)見(jiàn)的工作條件引起或由所考慮的系統(tǒng)、子系統(tǒng)或組件的內(nèi)部故障引起����。故障可表現(xiàn)為所考慮要素內(nèi)的錯(cuò)誤,該錯(cuò)誤可最終導(dǎo)致失效����。 比如由于宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū),使存儲(chǔ)器邏輯狀態(tài)翻轉(zhuǎn)的單粒子翻轉(zhuǎn)效應(yīng)SEU�����,使得軟件中某個(gè)bit位從0到1或者從1變成0是屬于一個(gè)軟錯(cuò)誤(硬件沒(méi)有損害)���。 從上可以看出故障�,錯(cuò)誤和失效的大概關(guān)系是故障可引起錯(cuò)誤,錯(cuò)誤再導(dǎo)致失效�����。下文會(huì)再做詳細(xì)說(shuō)明�。 失效,按照ISO26262的定義是要素按要求執(zhí)行功能的能力的終止�。(英文:terminationof the ability of an element
to perform a function as required) 注:不正確的規(guī)范是失效的來(lái)源之一。 在這里失效針對(duì)的是功能的喪失或者終止�。比如對(duì)于電機(jī)控制器來(lái)說(shuō),其主要的功能之一是根據(jù)整車(chē)控制器VCU的扭矩請(qǐng)求�����,對(duì)電機(jī)進(jìn)行轉(zhuǎn)矩和轉(zhuǎn)速的控制�����,因此無(wú)論輸出的扭矩非預(yù)期的偏大或者偏小都是一種失效����。 1.系統(tǒng)性失效和隨機(jī)硬件失效在功能安全中依據(jù)失效的原因可以將失效分為兩種:系統(tǒng)性失效和隨機(jī)硬件失效��。而功能安全的主要目的就是盡可能的將由于這兩類(lèi)失效導(dǎo)致的整車(chē)層面安全風(fēng)險(xiǎn)降低到一個(gè)可以接受的水平�。 (1)系統(tǒng)性失效(systematic
failure)以確定的方式與某個(gè)原因相關(guān)的失效��,只有對(duì)設(shè)計(jì)或生產(chǎn)流程�、操作規(guī)程����、文檔或其它相關(guān)因素進(jìn)行變更后才可能排除這種失效。 系統(tǒng)性失效存在三個(gè)特征: A- 僅僅進(jìn)行正確維護(hù)而不加修改的情況下����,無(wú)法消除故障。 B-通過(guò)模擬失效原因可以使其重復(fù)出現(xiàn)�。 C-是人為錯(cuò)誤引起,失效原因比如:安全要求規(guī)范的錯(cuò)誤��;硬件的設(shè)計(jì)�,制造,安裝�����,操作的錯(cuò)誤���;軟件的設(shè)計(jì)和實(shí)現(xiàn)的錯(cuò)誤等��。 軟件故障和部分的硬件故障是屬于系統(tǒng)性故障�。比如coding的時(shí)候沒(méi)有考慮使用數(shù)據(jù)類(lèi)型的錯(cuò)誤,某變量(比如精度為1�����,offset為0)本應(yīng)該使用U16的���,結(jié)果用成了U8���,使得計(jì)算的最大數(shù)值只能到255。這里的軟件bug是屬于系統(tǒng)性失效����。 (2)隨機(jī)硬件失效(random hardware
failure)按照ISO 26262的定義,隨機(jī)硬件失效是在硬件要素的生命周期中�,非預(yù)期發(fā)生并服從概率分布的失效�。并且可在合理的精度范圍內(nèi)進(jìn)行預(yù)測(cè)。 非預(yù)期發(fā)生的含義是盡管硬件的設(shè)計(jì)是正確的����,比如電子元器件的選型,電阻值����,電容值�,電路設(shè)計(jì)等都是正確的�,且器件是符合質(zhì)量標(biāo)準(zhǔn)的。但是卻無(wú)法預(yù)知在哪里發(fā)生�,以怎樣的形式發(fā)生的失效。 服從概率分布的含義是失效可以在合理的精度范圍內(nèi)進(jìn)行預(yù)測(cè)����。比如通過(guò)可靠性或者分析得到失效率。 隨機(jī)硬件失效的起因是由于物理過(guò)程��,比如疲勞���、物理退化或環(huán)境應(yīng)力等���。比如上面提到的位翻轉(zhuǎn),比如電阻的開(kāi)路�����,短路�,阻值漂移等等。 2.相關(guān)失效和非相關(guān)失效此外功能安全中還定義了相關(guān)失效和非相關(guān)失效����。 相關(guān)失效是指失效同時(shí)或相繼發(fā)生的概率不能表示為每個(gè)失效無(wú)條件發(fā)生概率的簡(jiǎn)單乘積��。比如當(dāng)失效A和失效B同時(shí)發(fā)生的概率不等于兩個(gè)失效概率的乘機(jī)�,用數(shù)學(xué)關(guān)系式表示為Pab =Pa*Pb��,失效A和B可被定義為相關(guān)失效����。反之非相關(guān)失效可以表示為每個(gè)失效無(wú)條件發(fā)生概率的簡(jiǎn)單乘積。 相關(guān)失效可以分為共因失效和級(jí)聯(lián)失效���。 共因失效是指在相關(guān)項(xiàng)中����,有一個(gè)單一特定事件或根源引起的兩個(gè)或多個(gè)要素的失效���。如下圖所示����。我們無(wú)法避免隨機(jī)故障的發(fā)生���,因此,功能安全在系統(tǒng)中構(gòu)建安全監(jiān)控和緩解機(jī)制�,從而解決隨機(jī)故障��。功能安全機(jī)制可持續(xù)監(jiān)控汽車(chē)中的制動(dòng)信號(hào)�����,從而檢查它是否偏離預(yù)期范圍�。如果確實(shí)偏離了預(yù)期范圍�����,安全機(jī)制會(huì)標(biāo)記出可能出現(xiàn)的問(wèn)題并需要對(duì)其進(jìn)行檢查��。 
級(jí)聯(lián)失效 
公因失效
故障�����,錯(cuò)誤和失效之間的關(guān)系
故障�����,錯(cuò)誤和失效之間的關(guān)系如下圖所示����。圖中從三個(gè)不同類(lèi)型的原因(系統(tǒng)性軟件問(wèn)題、隨機(jī)硬件問(wèn)題和系統(tǒng)性硬件問(wèn)題)描述了故障到錯(cuò)誤并從錯(cuò)誤到失效的發(fā)展過(guò)程。 系統(tǒng)性故障起因于設(shè)計(jì)和規(guī)范的問(wèn)題��;軟件故障和部分硬件故障是系統(tǒng)性的��。 隨機(jī)硬件故障起因于物理過(guò)程����,比如疲勞、物理退化或環(huán)境應(yīng)力�。 在組件層面,每個(gè)不同類(lèi)型的故障會(huì)導(dǎo)致不同的失效�����。然而���,組件層面的失效是相關(guān)項(xiàng)層面的故障�。 
04.為一切可能性做好準(zhǔn)備功能安全中描述的問(wèn)題其實(shí)也會(huì)經(jīng)常出現(xiàn)在我們?nèi)粘5募彝ズ凸ぷ鲌?chǎng)所��。如果您曾經(jīng)注意到�,你的手機(jī)因?yàn)殚L(zhǎng)時(shí)間放在陽(yáng)光下而自動(dòng)關(guān)機(jī),這是因?yàn)槭謾C(jī)實(shí)時(shí)的在監(jiān)控手機(jī)的溫度����,一點(diǎn)溫度上升到危險(xiǎn)閾值���,手機(jī)就會(huì)自動(dòng)關(guān)機(jī)防止電池過(guò)溫起火�,這就是一個(gè)典型的功能安全機(jī)制在起作用。 功能安全無(wú)法避免隨機(jī)硬件故障的發(fā)生����,但是功能安全可以在系統(tǒng)中構(gòu)建安全監(jiān)控以及對(duì)應(yīng)的安全機(jī)制,更好的應(yīng)對(duì)隨機(jī)故障�,降低安全風(fēng)險(xiǎn)。例如��,功能安全機(jī)制可持續(xù)監(jiān)控汽車(chē)中的某個(gè)傳感器的信號(hào)���,從而檢查它是否偏離預(yù)期范圍�����。一旦發(fā)現(xiàn)偏離了預(yù)期范圍��,安全機(jī)制就會(huì)被觸發(fā)����,將系統(tǒng)帶入到預(yù)先定義好的一種工作狀態(tài)當(dāng)中�����,這這種預(yù)定義的狀態(tài)下,對(duì)應(yīng)功能不會(huì)產(chǎn)生安全風(fēng)險(xiǎn)�����。 為了預(yù)測(cè)這些潛在的危險(xiǎn)���,系統(tǒng)層面的功能安全工程師必須了解這些電路層面危險(xiǎn)故障的所有可能原因�����、發(fā)生的可能性以及如何設(shè)計(jì)對(duì)應(yīng)的軟硬件實(shí)現(xiàn)對(duì)故障的及時(shí)&準(zhǔn)確的診斷���。實(shí)現(xiàn)了功能安全的集成電路可以將風(fēng)險(xiǎn)降低到可接受的水平,并在失效模式�����、影響和診斷分析 (FMEDA) 中具體說(shuō)明其診斷覆蓋范圍�。 然而,要確保產(chǎn)品滿足功能安全要求����,為應(yīng)對(duì)隨機(jī)硬件失效做好充足準(zhǔn)備只是其中之一����。另一個(gè)風(fēng)險(xiǎn)來(lái)源是開(kāi)發(fā)過(guò)程本身的系統(tǒng)失效�。因?yàn)闊o(wú)論診斷覆蓋率多高����,打造功能安全應(yīng)用的時(shí)候都必須遵循合適的流程才能有效避免人為因素引入的失效(系統(tǒng)性失效)——這也是標(biāo)準(zhǔn)體系最大的益處。無(wú)論功能安全措施設(shè)計(jì)得如何完善�,嚴(yán)格的質(zhì)量管理流程都是實(shí)現(xiàn)功能安全的前提條件之一。 開(kāi)展功能安全活動(dòng)的時(shí)候���,“循規(guī)蹈矩”非常重要�����。這個(gè)過(guò)程必須從一開(kāi)始就將安全納入考慮����,而且還必須營(yíng)造支持安全的文化��。完整的開(kāi)發(fā)流程必須包含以下幾個(gè)重要方面: 安全管理:包括團(tuán)隊(duì)組織架構(gòu)�,具體內(nèi)容如:明確不同職位的定義和職責(zé)、打造安全文化�����、定義安全生命周期,定義功能安全支持級(jí)別����。安全生命周期的設(shè)定包括制定一份成功計(jì)劃,選擇合適的開(kāi)發(fā)工具�����,確保團(tuán)隊(duì)接受充分的培訓(xùn)�����。 需求管理和故障檢測(cè)及控制措施(功能安全需求)的可追溯性���。為精確實(shí)現(xiàn)需求追溯�����,需求本身定義必須要明確��,精準(zhǔn)��,且具備唯一性�。追溯等級(jí)取決于完整性的要求,文件可以高等級(jí)�;產(chǎn)品則需要從故障檢測(cè)到驗(yàn)證等各個(gè)環(huán)節(jié)面面俱到——計(jì)劃過(guò)程不得空穴來(lái)風(fēng),必須經(jīng)過(guò)詳細(xì)驗(yàn)證�。 文檔管理和問(wèn)題管理?����?闭`表必須得到妥善管理和使用�����。為實(shí)現(xiàn)文檔的精確管控����,文檔本身版本信息和識(shí)別ID必須要明確����,精準(zhǔn),且具備唯一性�����,文檔變更的記錄也需要保證完整性����。產(chǎn)品在開(kāi)發(fā)過(guò)程中對(duì)于設(shè)計(jì)和驗(yàn)證階段所出現(xiàn)的所有功能安全相關(guān)的問(wèn)題�,從問(wèn)題出現(xiàn)->關(guān)閉的整個(gè)過(guò)程必須經(jīng)過(guò)詳細(xì)記錄和驗(yàn)證�。
05.總結(jié)最后,我們?cè)賮?lái)強(qiáng)調(diào)一下功能安全標(biāo)準(zhǔn)中對(duì)功能安全的定義“避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)”��。 標(biāo)準(zhǔn)的描述從來(lái)都是嚴(yán)謹(jǐn)而晦澀�,簡(jiǎn)單來(lái)說(shuō),就是一個(gè)功能在它的使用過(guò)程中如果出現(xiàn)故障了會(huì)帶來(lái)傷害���,這個(gè)功能就是功能安全相關(guān)的�����。因此Functional Safety翻譯為“功能的安全”更為貼切����。舉個(gè)略顯不恰當(dāng)?shù)睦樱喝缫话岩巫樱ú皇褂脴?biāo)準(zhǔn)里說(shuō)的E/ E�����,是因?yàn)檫@些產(chǎn)品和系統(tǒng)比較復(fù)雜��,功能比較多不如椅子這種描述的直觀)。椅子之所以成為椅子���,其中核心的一點(diǎn)就是其設(shè)計(jì)�����、生產(chǎn)和使用的目的是讓人坐在上面��?���!白屓俗笔且话岩巫拥暮诵墓δ?����。一把不能坐的椅子不能稱(chēng)其為椅子���。明晰了椅子“功能”后,我們可以將椅子的“功能安全”描述為:一把椅子在人坐的時(shí)候應(yīng)該是沒(méi)有危險(xiǎn)的�����,不會(huì)倒����、不會(huì)扎到人等��,即人坐到椅子上的時(shí)候不會(huì)產(chǎn)生傷害���。 安全,按一般的概念是沒(méi)有危險(xiǎn)��,不受威脅��,不出事故��。按照這樣的概念��,安全是不可控制的��。因?yàn)檫@是一個(gè)絕對(duì)安全的概念�����,而絕對(duì)安全是不存在的���。但是在ISO 26262中將安全定義為“不存在不可接受的風(fēng)險(xiǎn)”��,這樣就將絕對(duì)化的安全轉(zhuǎn)化為相對(duì)化的風(fēng)險(xiǎn)控制�,使得可以通過(guò)控制風(fēng)險(xiǎn)的手段來(lái)解決安全問(wèn)題,為安全的實(shí)現(xiàn)提供了可供遵循的路徑—“功能的安全的本質(zhì)就是控制風(fēng)險(xiǎn)”�����。 功能安全是一個(gè)復(fù)雜而龐大的體系�,涉及的內(nèi)容多而繁雜,而要更好地理解功能安全的端到端��、全系統(tǒng)和全生命周期的科學(xué)理論與方法���,了解和掌握就是功能安全的基本概念非常必要的且重要的�����。 ------------- END --------------
|
