謝亞蓮

(上海工業(yè)自動(dòng)化儀表研究院1，上海 200233;上海儀器儀表自控檢驗(yàn)測試所功能安全中心2，上海 200233)

0 引言

企業(yè)的共識(shí)是在企業(yè)內(nèi)部建立ISO 9000質(zhì)量管理體系。質(zhì)量管理體系是組織內(nèi)部建立的、為實(shí)現(xiàn)質(zhì)量目標(biāo)所必需的、系統(tǒng)的質(zhì)量管理模式，是一項(xiàng)戰(zhàn)略決策。它將資源與過程相結(jié)合，是以過程管理方法進(jìn)行的系統(tǒng)管理。質(zhì)量管理體系一般由與管理活動(dòng)、資源提供、產(chǎn)品實(shí)現(xiàn)以及測量、分析與改進(jìn)活動(dòng)相關(guān)的過程組成，可以理解為涵蓋了從確定顧客需求、設(shè)計(jì)研制、生產(chǎn)、檢驗(yàn)、銷售、最終產(chǎn)品交付之前全過程的策劃、實(shí)施、監(jiān)控、糾正與改進(jìn)活動(dòng)的要求。

功能安全管理關(guān)注從需求分析階段直至安全相關(guān)系統(tǒng)完成其使命，這整個(gè)安全生命周期中，為達(dá)到安全相關(guān)系統(tǒng)的功能安全所進(jìn)行的管理活動(dòng)。功能安全管理的目的是確定整體的、E/E/PES的和軟件的安全生命周期所有階段的管理和技術(shù)活動(dòng)的內(nèi)容，并確定人員、部門和組織在安全生命周期各階段的活動(dòng)所擔(dān)負(fù)的責(zé)任。功能安全管理體系應(yīng)建立在質(zhì)量管理體系之下。但是整個(gè)安全生命周期活動(dòng)的參與者包括安全相關(guān)設(shè)備的制造商、安全相關(guān)系統(tǒng)的設(shè)計(jì)集成商以及最終使用的用戶，所以各企業(yè)可以根據(jù)企業(yè)參與安全生命周期數(shù)個(gè)階段的特點(diǎn)選用若干體系要素加以組合。

本文將討論安全相關(guān)產(chǎn)品的制造商應(yīng)建立的功能安全管理體系、在安全相關(guān)產(chǎn)品的設(shè)計(jì)制造過程中為保證功能安全，功能安全管理體系應(yīng)規(guī)定執(zhí)行的活動(dòng)以及這些活動(dòng)的責(zé)任方與應(yīng)承擔(dān)的責(zé)任。

1 安全生命周期

功能安全管理體系的建立，首先要引出安全生命周期的概念，因?yàn)楣δ馨踩芾淼囊髴?yīng)與安全生命周期各階段并行。安全生命周期(safety lifecycle)定義為參與安全相關(guān)系統(tǒng)實(shí)現(xiàn)的所有活動(dòng)，這些活動(dòng)發(fā)生在從一項(xiàng)工程項(xiàng)目的概念開始階段，直至所有的E/E/PES安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低設(shè)施不再使用，所以安全生命周期的主詞是“活動(dòng)”而不是“時(shí)間”。

安全生命周期模型是采用系統(tǒng)化的方法安排整體的、E/E/PES的和軟件的為達(dá)到和保持安全完整性等級所需的全部活動(dòng)。標(biāo)準(zhǔn)IEC 61508(GB/T 20438)包含整體安全生命周期(IEC 61508.1)、E/E/PES安全生命周期(硬件和系統(tǒng))(IEC 61508.2)和軟件安全生命周期(IEC 61508.3)這三個(gè)標(biāo)準(zhǔn)。這三個(gè)標(biāo)準(zhǔn)按照安全生命周期的模型展開，詳述了安全生命周期每個(gè)階段要求的輸入和輸出，從而分解出每個(gè)階段需要進(jìn)行的最基本的活動(dòng)。

安全相關(guān)產(chǎn)品是構(gòu)成E/E/PES安全相關(guān)系統(tǒng)的最基本的單元，安全相關(guān)產(chǎn)品的實(shí)現(xiàn)是由設(shè)備制造商開展的活動(dòng)，所以通常適用的安全生命周期模型為E/E/PES安全生命周期和軟件安全生命周期。適用于安全相關(guān)產(chǎn)品的安全生命周期如圖1所示。

圖1 安全相關(guān)產(chǎn)品的安全生命周期Fig.1 The Safety lifecycle of safety-related products

由圖1可知，安全相關(guān)產(chǎn)品的安全生命周期僅屬于整體安全生命周期的一個(gè)階段，但它是安全相關(guān)產(chǎn)品的開發(fā)過程的所有活動(dòng)。安全生命周期包括以下內(nèi)容。

(1)安全相關(guān)產(chǎn)品的安全要求規(guī)范階段包括硬件(產(chǎn)品)安全要求規(guī)范和軟件安全要求規(guī)范的制訂;(2)安全確認(rèn)計(jì)劃編制階段即是編制產(chǎn)品的安全確認(rèn)計(jì)劃，安全確認(rèn)計(jì)劃的編制階段是與產(chǎn)品的設(shè)計(jì)開發(fā)和集成階段并行;(3)設(shè)計(jì)和開發(fā)階段包括硬件的設(shè)計(jì)和軟件的設(shè)計(jì)，設(shè)計(jì)和開發(fā)階段又可擴(kuò)展為設(shè)計(jì)和開發(fā)的V模型，將設(shè)計(jì)和開發(fā)階段的活動(dòng)再進(jìn)行細(xì)分，如系統(tǒng)設(shè)計(jì)、模塊設(shè)計(jì)、模塊測試等;(4)集成階段指對軟硬件進(jìn)行集成調(diào)試并測試其性能;(5)安全手冊也就是操作維護(hù)規(guī)程，但對于安全相關(guān)產(chǎn)品的安全手冊，它有其特殊性，在安全手冊中有安全相關(guān)產(chǎn)品的關(guān)于功能安全的特殊的參數(shù)以及對驗(yàn)證測試的要求;(6)安全確認(rèn)階段就是對安全產(chǎn)品的確認(rèn)測試，包括功能測試、性能測試、環(huán)境適應(yīng)性測試、EMC試驗(yàn)、故障插入測試等。

在安全生命周期的每個(gè)階段還必須完成下列活動(dòng)。

①要求的輸入;

②達(dá)到的目的即輸出，并且給出目的是否達(dá)到的判據(jù);

③用輸入信息驗(yàn)證輸出，以確定輸出是否正確;

④所有的活動(dòng)必須文檔化，基于有效文檔，安全生命周期的每個(gè)階段都必須可再現(xiàn)。

2 功能安全管理體系的要求

采用安全生命周期定義了實(shí)現(xiàn)安全相關(guān)產(chǎn)品的所有的活動(dòng)，同時(shí)也給出了安全相關(guān)產(chǎn)品的實(shí)現(xiàn)過程，這個(gè)過程由安全生命周期的每個(gè)階段構(gòu)成。所有的活動(dòng)的執(zhí)行者都是人和組織，任何實(shí)現(xiàn)目標(biāo)的活動(dòng)以及任何參與實(shí)現(xiàn)目標(biāo)的組織都需要管理。當(dāng)管理與功能安全相關(guān)時(shí)，則為功能安全管理。為有效開展功能安全管理，必須設(shè)計(jì)、建立、實(shí)施和保持功能安全管理體系。功能安全管理體系的設(shè)計(jì)和建立，應(yīng)結(jié)合組織的功能安全目標(biāo)、產(chǎn)品類別、過程特點(diǎn)和實(shí)踐經(jīng)驗(yàn)。因此，不同組織的功能安全管理體系有不同的特點(diǎn)。

設(shè)計(jì)和建立功能安全管理體系，首先要建立功能安全管理體系文件。功能安全管理體系文件可以和質(zhì)量管理體系文件相類似，即可以包括以下三個(gè)層次。

第一層次為大綱，內(nèi)容應(yīng)包括達(dá)到功能安全的方針和戰(zhàn)略、評價(jià)是否達(dá)到的方法、組織內(nèi)部進(jìn)行交流的方法，安全生命周期各階段負(fù)責(zé)執(zhí)行和審查的人員、部門或組織的識(shí)別等。

第二層次為程序文件，根據(jù)GB/T 20438的標(biāo)準(zhǔn)要求形成的程序文件。

第三層次為作業(yè)指導(dǎo)文件，公司為確保過程有效策劃、運(yùn)行和控制的作業(yè)指導(dǎo)文件、規(guī)定及其他文件。

過程中的一些質(zhì)量記錄和表單，作為程序文件或作業(yè)指導(dǎo)文件的附件型式規(guī)定。

應(yīng)用于安全相關(guān)產(chǎn)品，同時(shí)滿足GB/T 20438要求的功能安全管理體系文件如表1所示。在實(shí)際操作中體系文件可能會(huì)有所增加或減少，但內(nèi)容不能少于表1的要求。

表1中所列的功能安全管理體系文件是根據(jù)IEC 61508.1:1998 ed1.0 的版本(GB/T 20438-2006)的要求建立的。IEC 61508.1:2010 ed 2.0的版本在功能安全管理要求上有所變化，譬如由不同組織執(zhí)行安全生命周期時(shí)，在不同階段之間的接口的要求。符合新版標(biāo)準(zhǔn)的安全相關(guān)產(chǎn)品的功能安全管理體系的建立此處暫不做論述。

表1 功能安全管理體系文件Tab.1 The documents related to functional safety management system

3 項(xiàng)目實(shí)施中的功能安全管理

功能安全管理體系建立后，便應(yīng)將功能安全管理落實(shí)到具體的項(xiàng)目實(shí)施中，也就是在安全相關(guān)產(chǎn)品的開發(fā)過程中進(jìn)行功能安全管理。功能安全管理就是對安全生命周期活動(dòng)的管理，對參與活動(dòng)的人員和組織的資質(zhì)和承擔(dān)責(zé)任的管理。功能安全管理如圖2所示。

圖2 功能安全管理Fig.2 Functional safety management

在具體的項(xiàng)目實(shí)施中，首先要求制訂安全計(jì)劃，安全計(jì)劃涵蓋安全相關(guān)產(chǎn)品的安全生命周期中所有活動(dòng)、參與活動(dòng)的人員和組織的資質(zhì)及職責(zé)，具體包括以下內(nèi)容。

①定義項(xiàng)目范圍;②確定參與項(xiàng)目的人員、組織的資質(zhì)和職責(zé)，及相互間的溝通方式;③定義項(xiàng)目的安全生命周期;④根據(jù)文檔要求程序文件，定義項(xiàng)目在安全生命周期的每個(gè)階段的輸入、輸出文檔;⑤規(guī)劃控制和避免系統(tǒng)失效措施;⑥確定功能安全評估活動(dòng)的執(zhí)行間斷、執(zhí)行者和執(zhí)行者的獨(dú)立性要求;⑦修改安全相關(guān)產(chǎn)品，引用程序文件;⑧制定針對項(xiàng)目要求的人員培訓(xùn)計(jì)劃;⑨ 項(xiàng)目的配置管理，引用配置管理程序文件;⑩對供方的管理，引用合格供方程序文件。

在制訂針對項(xiàng)目的安全計(jì)劃后，隨著按安全生命周期進(jìn)程的項(xiàng)目的開展，需要制定相應(yīng)的一些計(jì)劃、文件，相應(yīng)的一些引用措施、使用工具、測試結(jié)果、評估結(jié)果都應(yīng)記錄，以符合功能安全管理的要求，安全生命周期的每個(gè)階段都可再現(xiàn)的要求。如制訂驗(yàn)證計(jì)劃、安全確認(rèn)計(jì)劃、安全評估計(jì)劃、集成測試規(guī)范，記錄驗(yàn)證、測試過程和結(jié)果并完成驗(yàn)證報(bào)告、集成測試報(bào)告、確認(rèn)報(bào)告等。

為保持功能安全管理體系，功能安全管理體系所需求過程及其活動(dòng)應(yīng)持續(xù)受控，并定期進(jìn)行功能安全管理評審，以改進(jìn)、完善和持續(xù)功能安全管理體系。

4 功能安全管理與安全相關(guān)產(chǎn)品的實(shí)現(xiàn)

在第一講講到達(dá)到目標(biāo)安全完整性等級的安全相關(guān)產(chǎn)品關(guān)鍵在于在安全相關(guān)產(chǎn)品的開發(fā)過程中使其軟硬件安全完整性等級都達(dá)到目標(biāo)安全完整性等級。在設(shè)計(jì)開發(fā)過程中采取一些措施和手段降低隨機(jī)硬件失效中不可診斷的危險(xiǎn)失效的份額，同時(shí)也是采取一些措施和手段避免和控制產(chǎn)品在開發(fā)過程中引入的系統(tǒng)失效。而功能安全管理達(dá)到的效果就是在規(guī)范、設(shè)計(jì)開發(fā)、維護(hù)和修改中避免失效。

安全相關(guān)產(chǎn)品安全生命周期各階段的失效類型以及針對失效類型采取的措施如表2所示，可以說功能安全管理是保證安全相關(guān)產(chǎn)品的系統(tǒng)安全完整性達(dá)到系統(tǒng)安全完整性等級的必要手段。

表2 安全生命周期階段的失效與功能安全管理Tab.2 The failure in safety lifecycle phase and functional safety management

5 結(jié)束語

功能安全管理貫穿于安全相關(guān)產(chǎn)品實(shí)現(xiàn)的全過程中。功能安全管理體系是公司內(nèi)部的功能安全活動(dòng)能夠得以切實(shí)管理的基礎(chǔ)，是安全相關(guān)產(chǎn)品的功能安全得以實(shí)現(xiàn)和保持的基礎(chǔ)。

因此，安全相關(guān)產(chǎn)品的制造商可以通過功能安全管理體系的建立、實(shí)施和保持來實(shí)現(xiàn)功能安全目標(biāo)，進(jìn)而滿足顧客的需求和期望以及法律法規(guī)的要求。

[1] 國家質(zhì)量技術(shù)監(jiān)督檢驗(yàn)總局.GB/T 20438.1－2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分:一般要求〔S〕.北京:中國標(biāo)準(zhǔn)出版社，2006:4－6.

[2] IEC 61508-4 Edition 2.0[S].Functional safety of electrical/electronic/programmble electronic safety-related systems-part 4:Definitions and abbreviations，2010:27