一、概述
简单来说吧,就是一个产品在它的使用过程中如果出现故障了会带来伤害,这个产品就是功能安全相关的。因此Functional Safety翻译为“功能的安全”更为贴切。
举个例子来说明,如一把椅子。
椅子之所以成为椅子,其中核心的一点就是其设计、生产和使用的目的是让人坐在上面。“让人坐”是一把椅子的核心功能。一把不能坐的椅子不能称其为椅子。
明晰了椅子“功能”后,我们可以将椅子的“功能安全”描述为:一把椅子在人坐的时候应该是没有危险的,不会倒、不会扎到人等,即人坐到椅子上的时候不会产生伤害。
安全,按一般的概念是没有危险,不受威胁,不出事故。按照这样的概念,安全是不可控制的。因为这是一个绝对安全的概念,而绝对安全是不存在的。
在IEC61508中将安全定义为“不存在不可接受的风险”,这样就将绝对化的安全转化为相对化的风险控制,使得可以通过控制风险的手段来解决安全问题,为安全的实现提供了可供遵循的路径—“功能的安全的本质就是控制风险”。
二、随机失效和系统失效
了解功能安全,首先要了解失效。以一个控制系统为例,无论它应用在工控领域,轨道交通领域还是汽车领域,控制系统都是由软件和硬件组成。
1.随机失效
对于硬件,属于实实在在的有形产品,随着时间的推移,它会逐步老化,在这个过程中会产生随机失效,由一个最底层元器件的随机失效,可能引发整个模块、设备、系统层面的失效,最终产生危险输出,发生事故。
2.系统失效
对于软件,它属于无形产品,软件人员能力,需求和设计过程,测试的情况都会影响最终软件的质量,这些不可量化的失效统称为系统性失效,世界上没有绝对完美的软件代码,优质的软件也不过每千行代码平均20个左右BUG,这些BUG都像一枚枚炸弹隐藏在软件代码之中,当运行环境、外部或内部条件达到触发条件时,便会一触即发,在系统中造成巨大的负面影响,可能最终导致事故的发生。
因此功能安全的使命就是尽可能的降低随机性失效和系统性失效,将风险降到可接受的范围内。
三、ISO26262
ISO26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。
ISO26262从2005年11月起正式开始制定,经历了大约6年左右的时间,已于2011年11月正式颁布,成为国际标准。中国也正在积极进行相应国标的制定。
安全在将来的汽车研发中是关键要素之一,新的功能不仅用于辅助驾驶,也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。将来,这些功能的研发和集成必将加强安全系统研发过程的需求,同时,也为满足所有预期的安全目的提供证据。
随着系统复杂性的提高,软件和机电设备的应用,来自系统失效和随机硬件失效的风险也日益增加,制定ISO 26262标准的目的是使得人们对安全相关功能有一个更好的理解,并尽可能明确地对它们进行解释,同时为避免这些风险提供了可行性的要求和流程。。
ISO 26262为汽车安全提供了一个生命周期(管理、开发、生产、经营、服务、报废)理念,并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程(包括需求规划、设计、实施、集成、验证、确认和配置)。
ISO 26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级(Automotive Safety Integrity Level 汽车安全完整性等级ASIL),其中D级为最高等级,需要最苛刻的安全需求。
伴随着ASIL等级的增加,针对系统硬件和软件开发流程的要求也随之增强。对系统供应商而言,除了需要满足现有的高质量要求外还必须满足这些因为安全等级增加而提出的更高的要求。
四、补充
在汽车电子行业,这一标准就是ISO 26262,它将功能安全定义为:
“避免因电气/电子系统故障而导致的不合理风险”。
理想情况下,功能安全不会影响系统性能;但现实生活中,现行的许多安全措施都会严重影响系统性能、功率和面积(PPA)。如何在保证功能安全的前提下减轻对系统性能的不利影响以及设计制造成本的上升,是设计师们面临的一大难题。
还有一种故障类型被称为随机硬件故障。它们可能是图2显示的永久性故障,比如短路;也有可能是由于天然辐射而造成的软性故障。这类故障可以利用集成在软硬件的方案进行处理,因此系统级的技术也同样重要。
举例来说,逻辑内建自测试(BIST)可以应用于系统启动和关闭,区分软性和永久性故障。