融合與平衡(一)
1 融合的必要性
在某些行業(yè)比如軌道交通、過(guò)程工業(yè)等,安全防護(hù)設(shè)備(如SIS)和常規(guī)控制設(shè)備(如DCS)常常是分開(kāi)的。也就是說(shuō),它們?cè)谖锢砩鲜仟?dú)立的實(shí)體。從系統(tǒng)自頂向下分解而來(lái)的安全功能,基本上都由安全防護(hù)設(shè)備來(lái)承擔(dān),而安全防護(hù)設(shè)備基本上也只承擔(dān)安全功能。功能安全只針對(duì)安全防護(hù)設(shè)備,以及安全防護(hù)設(shè)備和常規(guī)控制設(shè)備的系統(tǒng)集成。這樣的系統(tǒng)架構(gòu)涇渭分明,非常清晰,也比較容易理解。
然而在汽車行業(yè)就不一樣了,安全功能和非安全功能常常是由同一個(gè)設(shè)備來(lái)承擔(dān)的。不管是為了降低產(chǎn)品成本,還是為了節(jié)省布置空間,除了個(gè)別情況下使用ASIL分解來(lái)隔離安全功能和非安全功能外,總體上而言,我們面臨的項(xiàng)目基本上都是需要ASIL和QM混合開(kāi)發(fā)的,ASIL的內(nèi)容只是項(xiàng)目的一部分。所以,功能安全永遠(yuǎn)是也只能是產(chǎn)品的一部分。筆者認(rèn)為,這是汽車功能安全從業(yè)人員首先需要端正的態(tài)度和認(rèn)識(shí)。
由于ISO26262標(biāo)準(zhǔn)自身非常完備,功能安全工程師很容易產(chǎn)生一種錯(cuò)覺(jué):我已經(jīng)有了葵花寶典,還要紫霞神功干啥?這種觀點(diǎn)其實(shí)大錯(cuò)特錯(cuò)。首先,你誤解了ISO 26262標(biāo)準(zhǔn)的真正含義,這一點(diǎn)后文會(huì)講到。其次,你有沒(méi)有想過(guò):在目前沒(méi)有國(guó)家/政府/行業(yè)強(qiáng)制要求的情況下,產(chǎn)品研發(fā)可以不導(dǎo)入功能安全。
但反過(guò)來(lái)卻完全不同,要導(dǎo)入功能安全必須依托產(chǎn)品研發(fā)。也就是說(shuō),功能安全必須與現(xiàn)有的產(chǎn)品研發(fā)融合,才有落地的可能。其中包括:
安全管理流程與現(xiàn)有產(chǎn)品流程融合;
安全需求開(kāi)發(fā)與現(xiàn)有產(chǎn)品需求融合;
安全架構(gòu)設(shè)計(jì)與現(xiàn)有產(chǎn)品架構(gòu)融合;
安全軟件設(shè)計(jì)與現(xiàn)有產(chǎn)品軟件融合;
……
這里筆者想著重強(qiáng)調(diào)一下“現(xiàn)有”,是因?yàn)榇蠖鄶?shù)企業(yè)在導(dǎo)入功能安全之前,基本上都已經(jīng)有自己的產(chǎn)品或者產(chǎn)品原型了。甚至說(shuō)該產(chǎn)品是可以投放市場(chǎng)的,只不過(guò)沒(méi)有按照功能安全標(biāo)準(zhǔn)的要求進(jìn)行研發(fā)而已。也就是說(shuō),先有常規(guī)控制,后有功能安全,這是汽車功能安全項(xiàng)目面臨的普遍情況。既然功能安全是后來(lái)的,那么就應(yīng)該主動(dòng)的融合到現(xiàn)有的產(chǎn)品當(dāng)中去。導(dǎo)入功能安全不是為了推翻和顛覆,而是為了繼承和發(fā)揚(yáng),在與現(xiàn)有產(chǎn)品融合的過(guò)程中對(duì)其施行必要的改進(jìn)和優(yōu)化,這樣才能以最少的成本將功能安全落地。
2 案例分享
給大家分享一個(gè)筆者在實(shí)際項(xiàng)目中遇到的案例。如圖所示,信號(hào)傳輸路徑為:傳感器-->采集板-->主控板-->執(zhí)行器。對(duì)于傳感器的電路故障(開(kāi)路、短路)診斷,一般放在采集板實(shí)施,這個(gè)通常沒(méi)有異議。但對(duì)于傳感器的合理性故障診斷,可以放在采集板,也可以放在主控板,這兩種方式都不違背功能安全的原則。
到底哪種方式更合理,其實(shí)很大程度上取決于現(xiàn)有產(chǎn)品的設(shè)計(jì)。也就是說(shuō),在導(dǎo)入功能安全之前,主控板和采集板的分工是什么?采集板有沒(méi)有協(xié)助主控板進(jìn)行算法處理,還是單純的采集和傳輸?采集板有沒(méi)有開(kāi)發(fā)軟件標(biāo)定功能?主控板和采集板之間的通信帶寬是否允許傳輸更多的原始數(shù)據(jù),還是只能增加一些故障信息?主控板和采集板的硬件余量(RAM空間、ROM空間、CPU負(fù)載率等)分別還有多大?……這些都是需要考慮的因素。筆者最后綜合考慮各方面因素,選擇了在主控板完成對(duì)傳感器的合理性故障診斷。
3 實(shí)施建議
既然與現(xiàn)有產(chǎn)品融合如此重要,那么到底應(yīng)該怎么做呢?ISO 26262標(biāo)準(zhǔn)里其實(shí)提供了一個(gè)解決方案:從現(xiàn)有產(chǎn)品研發(fā)中獲得輸入。下面是幾個(gè)例子:
開(kāi)發(fā)FSC需要的輸入:
開(kāi)發(fā)TSC需要的輸入:
開(kāi)發(fā)HSR需要的輸入:
開(kāi)發(fā)SSR需要的輸入:
以上這些內(nèi)容可能平日里大家關(guān)注沒(méi)那么多,但事實(shí)上ISO 26262標(biāo)準(zhǔn)隱含的要求就是功能安全要與現(xiàn)有產(chǎn)品相融合。這個(gè)思路本身挺好,但在項(xiàng)目實(shí)際過(guò)程中,常常會(huì)遇到另一個(gè)現(xiàn)實(shí)問(wèn)題:現(xiàn)有產(chǎn)品文檔嚴(yán)重缺失,無(wú)法提供關(guān)鍵有效的輸入。稍微夸張一點(diǎn)說(shuō),它就是一個(gè)黑盒。這種情況下,就算功能安全想要主動(dòng)去融合,實(shí)際操作起來(lái)也有很大的困難。所以,現(xiàn)有產(chǎn)品研發(fā)流程體系越完善,功能安全越容易落地。一般來(lái)說(shuō),如果CMMI或者A-SPICE達(dá)到Level 3,可以認(rèn)為產(chǎn)品研發(fā)流程體系比較完善。
遇到上面這種情況怎么辦?其實(shí)也沒(méi)有更好的辦法,只能是功能安全工程師投入更多的時(shí)間、精力,通過(guò)調(diào)查、訪談、甚至是逆向工程等方法,將缺失的信息補(bǔ)上。畢竟,與現(xiàn)有產(chǎn)品實(shí)現(xiàn)融合并不意味著功能安全就能量產(chǎn)落地,這只是需要解決的問(wèn)題之一。但是,放棄與現(xiàn)有產(chǎn)品的融合就意味著功能安全的導(dǎo)入必然以失敗而告終,這一點(diǎn)毋庸置疑。
地址:北京市海淀區(qū)花園北路10號(hào)高德大廈1206室
電話:010-82315623
地址:西安市高新區(qū)西部大道170號(hào)豐澤科技園3幢4層
電話:029-81145100
