TOP>关于功能安全(IS O26262)
为了让大家能够更容易地理解「功能安全」,我们解释一下「功能安全」和「本质安全」的两个概念。
在这里我们以铁道的路口为例,比较一下基于两种安全概念的避免路口事故的方法。
理所当然,如果我们把铁道路口撤掉,改为铁道和普通道路的立交桥结构的话,那么就不会发生源于人或车辆横穿铁道路口的事故。
像这样,根据系统的特性把危险源直接除掉的方法是「本质安全」。相反,在铁道路口设置信号灯和道口遮断器,通过其功能来抑制事故风险的技术叫做「功能安全」。
理想的情况是不管什么场合都采用 「本质安全」,但事实上,在很多场合里,由于系统自身的原因,不可能把危险源除掉。
特别是象车载电控系统这样非常复杂的电子化系统,以上所述的本质安全很难被实现和应用。因此近年来功能安全的必要性得到越来越的肯定和重视。
-
<功能安全> 警报器和道口遮断器
-
<本质安全> 立交桥
ISO 26262是在2011年11月发布的适合公路车辆(以下,汽车)的功能安全规格。之前的功能安全规格IEC 61508主要适用于化工业工厂设备。因为其中一些内容很难适合于汽车,所以专门制定了汽车专用的功能安全规格。
特别在欧洲,今后对应ISO 26262可能与Automotive SPICE一样,有可能被作为评估供应商,投标选择的要求。所以我们认为,您在继续收集信息的同时,需要尽快开始对应ISO 26262的准备。
ISO 26262的对象是安全相关的电气・电子系统。ISO 26262 通过规定流程,风险评估和基准・手法,将功能安全标准化。
规格中定义了,适合汽车的SIL(ASIL=Automotive Safety Integrity Level [汽车安全完整性等级:汽车安全要求和安全对策的指标] )的确定方法,但是关于各部件,有由汽车制造商指定的倾向。
近几年来,比如象电动汽车,动力混合汽车等,汽车中的电子部件的比率不断增高。特别是电子部件相互之间通过网络进行连接,电控系统判断一个部件的异常究竟会影响到什么地方变得越来越困难。需要确立跨越多个不同功能的安全概念和基准,而不应仅仅考虑单独的安全。
ISO 26262的要求事项涉及组织,开发项目和产品等非常广的范围。这些要求事项可概括成两个方面,一个是针对「东西会坏」的对策,另一个是针对「人会犯错误」的对策。
关于前者的「东西会坏」,为了防止由「故障或误动作」引起的危险现象,或为了降低其影响程度,需要掌握存在的风险,实施降低风险的安全设计。另外,为了主张安全性,需要展示可证实安全性的明确的证据(包括设计基准,适用手法的正当性)
至于后者的「人会犯错误」,为了防止起因于「人为错误或不正当行为」(例如,规范的理解错误,设计错误,记载不足,沟通错误,遗忘,窜改,隐瞒等)的问题的发生,或为了检验出这样的问题,需要有定义适当的流程,并保证其实施的流程方法(Process Approach)
流程的建设和改进,非一早一夕之工,需要有中长期的达成目标,并能够根据计划实施活动。如果只是定义满足ISO 26262要求事项的流程的话,短期内便可实现这样的目标。但是想实现ISO 26262的本来目的,即「安全的产品制造」,则需要使组织的标准流程在组织内扎根,而且形成组织的文化。
ISO 26262对以上所述的活动用「安全文化」这个单词来提出要求。为了使「安全文化」在组织内渗透扎根,最重要的一点是,为了实现组织的目标和目的,能够确实感觉到组织的流程产生妥当的结果。并且,所有的本流程的使用方・人员能够赞同这样的想法,积极地参与到流程改进的活动中。
本公司,与开发现场的大家一同思考,解决课题,为了使「真正的流程」能够渗透到开发现场,提供各种各样的支持。 通过对应ISO 26262,贵公司与我们一同思考「安全的应有的形态」,如何。
