功能安全-26262-理论到实践-基础知识
IEC61508是与功能安全相关的最基础标准可见上图 ,它的标题为电气/电子/可编程电子安全相关系统的功能安全(Functional safety of electrical/electronic/programmable electronic safety-
|
IEC61508是与功能安全相关的最基础标准可见上图 ,它的标题为电气/电子/可编程电子安全相关系统的功能安全(Functional safety of electrical/electronic/programmable electronic safety-related systems),包含7个部分,其中前三部分是规范(normative “一份标准的“规范”部分,一般用来定义,允许干什么 和 不允许干什么”)包含项目管理和软硬件开发,后面四个部分是参考信息(informative 标准的信息部分一般是用来提供解释、指南和附加信息的),包含术语与前三部分的应用指南。 IEC61508第一版发布时间是2000年前后(每个部分的发布时间有细微不同)第二版的发布时间是2010年。从第一版到第二版,IEC提供一份光盘(先付钱后发货on receipt of paymen)来解释所有的变更及其理由。 IEC标准中使用的通用模型是,一台设备从固有属性( inherently )上会引起安全危害(safety hazards)(参见汽车电子读书笔记-专业术语解析01),会有一个安全功能来监测这台设备运行,一旦发现危害行为会将设备切换到安全状态(safe state)。从软件开发的角度,IEC61508最有参考价值的是第三部分(part 3)附录A和附录B(Anneses A 和 B)中提供的18个表格(tables)。列出了每个软件开发阶段不推荐、推荐、高度推荐的工具和技术。 从最上方的图中,我们可以看到IEC61508已经在很多领域应用,并且衍生出了行业专用标准。IEC61508与每个行业专用标准之间的联系是不同的。其中铁路行业标准EN5012X,非常明确地依赖IEC61508,标准中的很多表单几乎没有修改就直接拷贝过去了。汽车行业的安全标准,ISO26262同样复制了很多IEC61508的要求只是做了一些并不明显的更改。其他的行业安全标准,如护理机器人安全标准ISO13482,对IE61508的参考就没有那么直接了。尽管如此,依然有一些观点是从IEC61508中引申出来的。 对于IEC61508参考最为有趣的是医疗行业标准IEC62304,这份标准本身并不直接与功能安全相关,所以在写在了下面,而不是放最上方的框架图上。然而,IE62304在它的附录C.7中确实表示了对IEC61508的赞同: “Readers of the standard [IEC 62304] are encouraged to use IEC 61508 as a source for good software methods, techniques and tools, while recognizing that other approaches, both present and future, can provide equally good results 鼓励IEC62304的各位读者,参考IEC61508中关于软件的各种好的方法、技术和工具,同时也要意识到,现在或者将来出现的其他方法也可以达到同样的效果”。 我们可以想象加上这句话的研讨会情景,会上应该是既有IEC61508的支持者也有反对者( enthusiasts and detractors)。 安全(Safety)和失效(Failure) IEC61508和它的衍生标准都根植于一个共同的信念即,研究一个设备的安全性就是研究这个设备的失效( the study of device safety is the study of device failure)。这个信念从20世纪早期安全工程中用来解决飞机是两发动机安全还是四发动机安全开始(四发动机飞机失效可能是两发动机飞机的两倍,但是每种失效都没有那么严重,可参见汽车电子读书笔记-专业术语解析02),在整个20世纪的安全工程中就没有改变过。 表面上看,安全和失效之间的联系是非常强大的。安全功能必须持续有效来保证系统安全,它的失效意味着对安全的威胁。 不过,Nancy Leveson认为这个方法论对于21世纪的系统来说,太过简单了。她在《System Safety Engineering Back To The Future》一书中认为现在的系统非常复杂,不可能预测出所有可能导致失效的交互行为,我们需要更加复杂的方法来评估系统安全。Leveson特别指出了,在某些情况下,所有系统都按照预期运行,没有系统出现故障,但是,系统依然会出现非常危险的危害。Leveson在 Safety Sci., pp. 237–270, 2004《A New Accident Model for Engineering Safer Systems》中介绍了一起发生在英国的电控化学反应堆泄漏事件,这起事件中所有部件都运行正常没有故障。1996年6月4日西班牙发射的阿丽亚娜五号运载火( Ariane 5),所有部件也是按照要求设计的,但是还是自毁了。 Leveson提出了一种不依赖与失效可能性的方法论系统安全理论,即“系统理论事故模型和过程”system-theoretic accident model and processes” (STAMP),这个方法论是基于系统理论而不是可靠性理论提出的。下图是STAMP方法论的简单抽象:
这种具有分层结构的控制系统,每个控制器都包含一个被控过程的“经验模型”(mental model).以司机为例,经验丰富的司机具备的“经验模型”(mental model),可以根据行人以及周围车辆的反应来调整驾驶行为。新手司机,缺乏“经验模型”(mental model)只能更加谨慎的驾驶来避免危险情况。 在STAMP模型中,控制器可以是一家公司,一个人或者软硬件的子系统。因为上图中展示的控制循环本身就是更大系统的一部分。它组成上的任何不正确动作,都会导致更高层次的不一致。 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
