从上篇文章风险管理相关国际标准和国际组织,我们从标准类别上将风险管理的国际标准分为通用性标准及各行业特殊应用型标准。
这里我们谈谈风险管理通过功能安全上来实现风险控制的部分,从功能安全最基础的部分开始,有一个系统性的框架认知,再延伸到各个行业。
基础标准IEC 61058《电气/电子/可编程电子安全相关系统的功能安全》
IEC 61508标准的核心是风险概念和安全功能。
什么是风险?
形象点说:空气污染,飞机故障,汽车失灵,工厂爆炸,火灾危害等等都是风险的一种。风险是指危害事件频率(或可能性)以及事件后果严重性的组合,具体更详细的定义、原则和分析工具,可以参考风险管理相关国际标准和国际组织基础性标准,也可以参考风险评估和风险管理的技术工具-统计模型和方法论原理性的分析。
什么是功能安全?
有点拗口的定义:不存在不可接受的风险,风险包括人身伤害,对人体健康的危害,直接或间接的造成对财产或环境的危害。
这里可接受风险指根据当今社会的水准所能够接受的风险。
Freedom from unacceptable risk of physical injury or of damage to the health of people, either directly, or indirectly as a result of damage to property or to the environment.
如何实现安全保护,控制风险?从系统性角度来全面理解,功能安全只是整体安全的一部分,它依赖于设备或系统能够正确的按照输入进行工作。
形象点说:失火以后,烟雾报警器能否正常检测到火灾信号,引发报警功能,引发喷水系统。
自动驾驶汽车是否会按照既定的安全设定进行行驶,是否能够在探测到行人时及时减速刹车?还是会横冲直撞?
IEC 61508将功能安全定义为3个部分:
相关受控设备(EUC)总体安全的一部分;
依赖于电气/电子/可编程电子(E/E/PE)安全相关系统功能正确的EUC控制系统;
以及其它安全相关系统技术和外部风险降低措施。
上面提到了概率和可能性,安全是为了使不可接受的风险消失,那么如何分析概率,如何降低安全失败的可能性?
标准中通过失效识别,也就是要分辨出不同部件的各种失效原因,估算出系统失效概率。而安全系统的安全完整性水平,则是用来评估安全失败的可能性等级的方法。
那么从横向维度上,哪些过程中会出现失效风险?和欧盟低电压指令对产品安全风险管理框架类似,61508标准对风险管理也从产品生命周期进行了全方面的评估,产品设计、技术指标安装、使用、维护、修改等各个环节进行了失效分析和评估。
IEC 61058系列标准由IEC分委会65A负责,自2000年第一版标准公布,目前发展到第二版,标准从系统总体,子系统和元器件若干层面对功能安全进行详细的定义、要求、指引和工具等基础性规范。
IEC 61508-1:2010
Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 1: General requirements
第1部分:一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。
IEC 61508-2:2010Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems
第2部分是对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。
IEC 61508-3:2010
Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 3: Software requirements
第3部分是对软件的要求,描述避免失效的方法,与第7部分的附录相关。
IEC 61508-4:2010
Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 4: Definitions and abbreviations
第4部分是定义和缩略语。
IEC 61508-5:2010
Functional safety of electrical/electronic/programmable electronic safety related systems – Part 5: Examples of methods for the determination of safety integrity levels
第5部分给出一些确定安全完整性水平的方法示例。
IEC 61508-6:2010
Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
第6部分包括第2和第3部分的应用指南。
IEC 61508-7:2010
Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 7: Overview of techniques and measures
第7部分给出测试方法,简短的注释并提供部分参考书目。
行业性功能安全标准
由于汽车、核电、医疗、工业设备等各行业和系统的内在差异性,单独一个IEC 61058并不能覆盖所有行业的特殊性,所以基于基础性标准,又衍生了各行业的特殊标准。
例如过程工业的IEC 61511和ANSI 61511标准,机械设备的IEC 62061和ISO 13849标准,铁道标准IEC 62278,医疗器械IEC 60601, IEC 62304,汽车标准ISO 26262、MISRA-SA,航空飞机JAR/FAR 25 1309标准,机器人ISO 10218,工业通信网络IEC 61784等。
那么对于家电产品,或自动控制器产品,对于其中的可编程电子元器件,如果其软件功能涉及到安全性,软件评估标准IEC 60730和IEC 60335等标准中相关条款,也是基于,约等于直接抄录IEC 61058-3标准中关于软件评估的要求。
小结:
产品安全,或功能安全,或卫生安全,或其他安全概念,和风险概念紧密相连,也和产品生命周期、产品供应链有一定关联。
在对风险管理和安全设计等母标准或基础性标准的深入了解、对市场监管和市场准入等环节的宏观背景有全面认识的基础上,再来分析了解产品安全特定标准或规范的了解将会更加系统化,也会对系统性安全保护、全面质量管理有更多层次的认识。
在了解了风险是什么,为什么等基础性概念和原则之后,再去使用工具,才会更加得心应手,并且能够举一反三,融会贯通,无论是主要风险分析法、情景分析法、结构化假设分析SWIFT、失效模式分析FMEA,还是Delphi法、因果分析、故障树法等,能够有更追根溯源的认识,再去迁移应用上则会更加容易。
