万字长文：功能安全量产落地的三座大山.docVIP

功能安全量产落地的三座大山 导读： 如果说实践是检验真理的唯一标准，那么量产是检验功能安全落地的唯一标准。基于此，笔者根据以往的项目经验，总结了现阶段功能安全量产落地的三大主要困难，取名为“三座大山”。它们是： 融合与平衡 周期与成本 理论与实践 笔者将详细描述这“三座大山”，希望能抛砖引玉，促进国内同行之间的交流讨论，为功能安全在国内推广普及贡献一丝力量。 1 序言 功能安全在汽车行业突然走红可以追溯到2016年。当时，大大小小的造车新势力如雨后春笋般层出不穷，汽车行业在技术革命的浪潮中呈现出一派欣欣向荣景象，也带红了实际上早在2011年就发布的ISO 26262标准。功能安全一时间风头无两，谈新能源、谈智能网联就必谈功能安全。 经过17、18、19三年，国内各大主机厂和零部件供应商基本上都试着进行了功能安全的引进和导入。即便没有完整的走完一轮，但起码都或多或少的试过水。然而到了2020年，能够真正实现功能安全量产落地的国内企业却寥寥无几。 大家对功能安全的普遍反映包括： “太虚了。” “流程太复杂，做起来很麻烦。” “项目太紧，没有资源去做。” “技术指标要求太高，做不到。” “动不动就进安全状态，车没法开了。” …… 作为一名从2012年开始担任功能安全岗位的老兵，笔者先后待过两个不同的行业。坦率的说，有国家/政府/行业强制要求的话，功能安全更容易推动一些。比如说在欧洲、尤其是在德国，所有产品都受到《产品责任法》管辖。该法规定，产品的销售和展示，不管是被预期使用，还是被可预见的误用，都不能损害个人安全、健康以及其它公众利益，否则就是违法行为。零部件制造商、供应商必须向OEM和监管机构证明其产品满足所要求的安全功能，不存在由于产品缺陷而引起的失效风险，并且在设计研发过程中使用了最先进的技术。也就是说，产品制造商负有举证责任。在这种大环境下，功能安全非常普及。 但国家/政府/行业强制并不是功能安全量产落地的根本原因，这只是表象。笔者认为，起源于欧洲、尤其是德、法等发达国家的功能安全，是建立在其国家发展实际情况基础之上的，这包括社会文化、经济水平、工业基础等各个方面。事实上，发达国家已经针对工业控制的各个子行业，建立了完善的功能安全标准体系。这说明了什么？这说明，功能安全标准本质上其实是一种生产关系的反映，它必须与生产力相匹配才能落地生根。所以，功能安全在不同国家的推广进程肯定是不一样的，每个国家都有自己的国情。功能安全想要在国内企业落地，就必须适配国内企业的实际情况，同时国内企业也有一些方面需要调整，双方都往中间靠拢，最终才可能汇合。 话虽如此，但实际做起来又哪有那么容易？接触过功能安全的人都知道，功能安全有以下几个特点： 基于流程驱动，包括需求开发、架构设计、详细设计、实现、集成、测试验证、确认等环节，在每个环节都有相应的技术要求； 覆盖产品的全生命周期，包括策划、概念、设计、验证、生产、运行一直到报废； 覆盖电子电气的各个方面，包括传感器、处理器、执行器、硬件电路、基础软件、应用软件、芯片、软件工具等； 覆盖影响上述内容的支持过程，包括项目管理、安全管理、需求管理、配置管理、变更管理、生产管理、售后服务管理等。 可以看到，功能安全是一个系统的、完整的体系，内部逻辑非常严谨，环环相扣。对其中任何一个部分进行调整，都有可能造成整体性逻辑链条的损害或缺失。任何局部的改动，都必须从整体上来考虑，否则就有可能形成逻辑上的漏洞。想想也是，ISO 26262标准从2005年开始制定，在6年后、也就是2011年发布了第一版，又在7年后、也就是2018年发布了第二版，它已经很成熟了。所以，要想让ISO 26262标准适配国内企业的实际情况，需要国内整个行业的共同努力，大家一起学习、讨论、提炼、调整、完善，才有可能让ISO 26262真正在国内落地生根。 这几年项目做下来，笔者也遇到过大大小小的问题，有的已经解决了，有的还在想办法解决。如果说实践是检验真理的唯一标准，那么量产是检验功能安全落地的唯一标准。基于此，笔者根据以往的项目经验，总结了现阶段功能安全量产落地的三大主要困难，取名为“三座大山”。它们是： 融合与平衡 周期与成本 理论与实践 笔者将详细描述这“三座大山”，希望能抛砖引玉，促进国内同行之间的交流讨论，为功能安全在国内推广普及贡献一丝力量。 2 融合与平衡 2.1 融合的必要性 在某些行业比如轨道交通、过程工业等，安全防护设备（如SIS）和常规控制设备（如DCS）常常是分开的。也就是说，它们在物理上是独立的实体。从系统自顶向下分解而来的安全功能，基本上都由安全防护设备来承担，而安全防护设备基本上也只承担安全功能。功能安全只针对安全防护设备，以及安全防护设备和常规控制设备的系统集成。这样的系统架构泾渭分明，非常清晰，也比较容易理