功能安全量产落地的三座大山(三)

 融合与平衡(二)

平衡的必要性

在功能安全与现有产品融合的过程中,不可避免的会遇到平衡的问题。所以,笔者将融合与平衡放在一起论述。

什么是平衡问题?很多功能安全工程师在项目实施过程中,自始至终的关注点都是安全目标能不能实现、会不会违背,安全性非常重要、甚至高于一切。从功能安全的角度出发,这是理所应当的做法。但是对于整个项目而言,安全性只是产品的属性之一。除了安全性之外,我们耳熟能详的产品属性还包括可用性、可靠性、可维护性、可测试性、可扩展性、可移植性、可重用性……,这些都是产品研发需要考虑的方面。所以,最终的产品设计,一定是各个方面综合考虑、折中平衡的结果

很多功能安全工程师都有过切身经历,就是在项目组中常常要和别人“吵架”,有的时候甚至要争论很久才能达成一致。这其实就是平衡问题的现实反映:每个人都有自己的立场,每个人都希望自己的观点能够变成最终结论,而其他人能够接受自己的观点,并为之做出让步和妥协。

但现实情况哪可能如此理想?你眼中的人命关天,别人可能根本就不理解、不接受,甚至都不关心。所以,对功能安全工程师来说,沟通能力非常重要。因为你需要不断的说服别人,上到管理层、下到普通员工,都可能是你需要说服的对象。如果你只会特别强硬的坚持自己的观点,最后很可能就是你一个人站在所有人的对立面,结局可想而知。

除了加强沟通之外,我们也可以尝试换位思考一下:为什么会有这么多反对的声音?有没有可能是我们的立场太狭隘、视角太片面呢?有句话叫“不忘初心,方得始终”。我们做功能安全的初衷是什么?是为了降低产品风险,防止人员伤亡。但我们不能忽略一个事实:产品是由企业研发、生产、制造、销售和维护的,产品可能造成人员伤亡的前提是有用户使用该产品

我们来设想一些极端的例子:

  • 一架永不起降的飞机;

  • 一列永不出站的火车;

  • 一辆永不发动的汽车;

  • 一台永不运行的X光机;

  • ……

这些设备都非常安全,但是没有用!因为没有人使用它们。于是一个悖论出现了:

当使用该产品的用户很少时,类似的悖论仍然有可能出现:

如果真的遇到了上面这样的情况,你会不会产生自我怀疑?坚持了这么久的功能安全,到底有什么意义和价值?

实际上,功能安全的意义和价值,是通过产品传递给用户的。产品首先需要销售给用户、让用户来使用,然后用户在使用产品的过程中可能会遇到由于电子电气故障引发的风险,这种风险可以通过功能安全来降低至合理水平。使用产品的用户越多,功能安全的意义和价值就越大

基于此,笔者想再次强调:功能安全永远是也只能是产品的一部分,安全性只是产品的属性之一。所以,功能安全工程师千万不要把自己局限在功能安全里面。实现功能安全没有什么了不起的,这本来就是你的职责所在。如果做不到,只能说明你还不够称职,还需要继续努力。但如果仅仅只是实现了功能安全,你可以称得上合格,但还谈不上优秀。真正牛逼的功能安全工程师,需要更上一层楼,站在产品的角度来看问题,在确保产品安全性的同时,平衡好安全性和产品其它属性的关系

案例分享

给大家分享一个笔者在实际项目中遇到的案例。系统架构如图所示,MCU通过驱动器控制执行器,并且定时对SBC喂狗。安全目标对应的FTTI为3秒,而MCU复位一次的时间约为500毫秒。将SBC的延时切断设置为2秒,既不违背FTTI,又可以容许MCU多次复位,在保证安全性的同时提高可用性。

实施建议

如何解决平衡问题?笔者认为,首先是要树立全局意识。我们的目标决不是仅仅为产品的Safety负责,我们要为产品的Dependability负责。Dependability包括Reliability、Availability、Maintainability和Safety等RAMS的各个方面。这样慢慢的你就会站在更高的层面来看待功能安全,也就能更好的将功能安全融合到产品当中去。

其次,需要具备灵活运用功能安全原理的能力,知其然并知其所以然,做到收放自如。如果只是生搬硬套、照本宣科,片面强调安全性,那就肯定无法平衡好产品的各个属性。这一点将在“理论与实践”部分再与大家详细讨论。

To Be Continued

说明:

* 文章仅代表作者个人观点,不代表'仨人谈起'立场

(0)

相关推荐

  • ISO 26262 是否足以应对自动驾驶系统的功能安全?(一)

    ISO 26262 连载  第 1 章 连载简介 ADAS(高级驾驶辅助系统)是ADS(自动驾驶系统)这个大概念的一部分.基于现有 ADAS 的高度连接和联网的信息物理系统,可以实现比较先进的 ADS ...

  • NOR闪存|MCU加油站

    目前,智能汽车已经成为一个潜力巨大的热点市场.不论是已经上市的半自动驾驶汽车,还是处于测试阶段的完全自动驾驶汽车,它们都要采用大量值得信赖的半导体器件. 也就是说,智能汽车不仅需要数量更多的半导体器件 ...

  • 指纹锁真的安全吗?三方面分析给出中肯的答案,换锁问题不纠结

    我们都知道,门锁是家居中用来保障人身财产安全的重要物品.而智能锁的出现,改变了人们的生活方式,同时也是很多家庭开启智能家居生活的第一步.说实话,指纹锁的出现并不是这几年的事情,相反,它发展到现在已经有 ...

  • ​网红电动平衡车七成不合格,九号等头部品牌要敢于亮剑

    电动平衡车当前市场上的竞争乱局,特别是多达三成产品质量不合格,对于九号等头部企业来说,要敢于承担责任.敢于市场亮剑,通过市场化手段推高行业进入门槛. 荀玉||撰稿 近年来,电动平衡车一下子成了网红产品 ...

  • 说出你的新年愿望赢《MCU工程师炼成记》

    今天是2016年的最后一个工作日,在过去的一年中,你过得怎么样? 年初制定的计划完成了吗?工作和学习中遇到过的困难都解决了吗? 在这一年,又败了多少板子呢? 和昨天的你相比,你又有了哪些收获?哪些遗憾 ...

  • 这可能是今年最重磅的STM32新品——揭秘STM32U5

    近日,ST发布了一款超低功耗旗舰级MCU产品--STM32U5.这款MCU上凝聚了ST在MCU领域的最新技术积累,在Coremark的ULPBENCH跑分获得了240 DMIPS/651Coremar ...

  • 《功能安全量产落地的三座大山》番外篇

    导读: 在<功能安全量产落地的三座大山>文章中,笔者曾提出功能安全必须与现有的产品研发相融合,才有落地的可能.因为大多数企业在导入功能安全之前,基本上都已经有自己的产品或者产品原型了.既然 ...

  • 谈谈功能安全量产落地的三座大山

    导读: 如果说实践是检验真理的唯一标准,那么量产是检验功能安全落地的唯一标准.基于此,笔者根据以往的项目经验,总结了现阶段功能安全量产落地的三大主要困难,取名为"三座大山".它们是 ...

  • 功能安全量产落地的三座大山(七)

    理论与实践(二) 实施建议 功能安全的精髓在于灵活运用,而灵活运用的前提在于深刻理解.那么,到底应该如何努力来提升对ISO 26262标准的理解呢?笔者根据自身的学习经历,在这里给大家提几点建议: 1 ...

  • 功能安全量产落地的三座大山(六)

    理论与实践(一) ISO 26262你真的理解了吗 其实严格来说,"理论与实践"应该放到最前面来讲.因为不管是"融合与平衡",还是"周期与成本&quo ...

  • 功能安全量产落地的三座大山(五)

    周期与成本(二) 导入功能安全的成本到底有多高 上一篇我们讨论了交付周期,其实严格来说,交付周期也是成本的一种--时间成本.只不过在当前的市场环境下,交付周期的问题特别突出,所以有必要单独进行讨论. ...

  • 功能安全量产落地的三座大山(四)

    周期与成本(一) 交付周期的重要性 我们先来看一些汽车企业高管的公开言论: 在未来五年中,沃尔沃汽车公司将每年推出一款纯电动汽车,力争到2025年纯电动汽车占全球销量的50%,其余为混动车型. --沃 ...

  • 功能安全量产落地的三座大山(二)

    融合与平衡(一) 融合的必要性 在某些行业比如轨道交通.过程工业等,安全防护设备(如SIS)和常规控制设备(如DCS)常常是分开的.也就是说,它们在物理上是独立的实体.从系统自顶向下分解而来的安全功能 ...

  • 功能安全量产落地的三座大山(一)

    序言 功能安全在汽车行业突然走红可以追溯到2016年.当时,大大小小的造车新势力如雨后春笋般层出不穷,汽车行业在技术革命的浪潮中呈现出一派欣欣向荣景象,也带红了实际上早在2011年就发布的ISO 26 ...

  • 固态电池又成风口?宝马1.3亿美元加速电池量产落地

    去年年末,固态电池"一夜成名",一直到现在还不断有固态电池新产品的消息传出.行业似乎看到了新风口,不管是初创企业新势力还是老牌车企,对固态电池皆是跃跃欲试的状态.但截至目前,全固态 ...