让电子系统远离安全事故——风河VxWorks Cert一揽子安全解决方案

本文作者:admin       点击: 2012-05-10 00:00
前言:

电子设备越来越多地参与到现代社会的各个领域,在为人类提供诸多便捷的同时,也带来了很多潜在的安全风险。近来一系列重大安全事故的出现(其中不乏电子系统安全故障),让安全这一问题受到前所未有的关注。

“2011年日本发生核电站事故之后,德国开始重新审视核电站安全问题,调查显示,德国民众对核电站的安全问题持”零容忍”态度,因此,有消息指出德国正准备有计划地关闭境内所有核电站。这反映了人们对安全问题的重视程度,”风河公司工业控制认证领域项目专家Andreas Buchwieser说道:”一些重大全事故的发生,让设备的安全规范更为严苛,通过安全认证来证明系统符合严格的安全规范,成为制造商们迫切的需求。”

“在欧洲,一旦发生安全事故,而且在责任认定的时候定位到某一电子系统,那么在诉讼举证过程中,如果制造商可以证明,系统是严格按照行业安全标准设计并获得相关安全认证,那么制造商在责任认定方面将不会承担过多责罚。责任事故与非责任事故的处罚结果是完全不同的。” Andreas Buchwieser解释。

听起来安全认证似乎是在帮助制造商逃避事故责任,然而从数学角度,由于使用环境以及其他一系列不确定因素的存在,使得出现安全问题的概率本身不会是零,而系统风险是由可能出错的概率与出错之后的严重性相乘得出的结果,因此安全规范和安全认证更多地是帮助制造商降低安全问题发生的概率,以及避免责任事故的发生,从而最大限度地保证人身安全。

IEC 61508 Functional Safety(功能安全)
IEC(国际电工委员会)开发了IEC 61508工业安全标准,以确保工业系统所秉承的一贯高品质能满足各种临界安全等级的需求,并在制造、认证和部署这些设备时提供必要的技术指导。

功能安全(Functional Safety)也称为机能安全,是指和一个系统或是设备整体安全的组成部份。其达成安全性的方式是靠系统或组成零件在接受输入讯号后,可以正常的动作。例如一个马达中加装温度传感器,若温度超过一定值,即停止马达运转,此机能就属于功能安全。

功能安全的目的是避免直接或间接(经由设备或环境)的造成人员伤亡、财产损失或是环境污染。整个功能安全标准着重在电气/电子/可编程化系统(E/E/PE),但除了使用E/E/PE系统之外,也可能会配合不同技术的系统来达到安全功能或降低风险,因此实务上的功能安全手法,需延伸到系统中非E/E/PE系统的部份。

一个实现了功能安全的系统要包含以下几项内容:
*确认系统存在哪些危险,需要哪些安全机能。哪些是可以在前期避免,哪些是需要控制的风险。
*评估系统的安全完整性等级(Safety Integrity Level,简称SIL)。安全完整性等级可以视为衡量一特定流程的安全性指标。
*失效处理:确认即使有不正确的操作输入,或是出现常见的失效(即失效模式),安全机能仍符合设计意图。为达到这项需求,需要有符合资料的工程师管理产品的设计及整个生命周期,进行要认证功能安全标准的各项程序。目前业界广泛使用的是,欧洲IEC 61508标准或是其他由IEC EN 61508衍生的特定工业标准。
*借由系统的平均故障间隔(MTBF)及安全故障失效比率(Safe Failure Fraction,SSF)来验证系统符合指定的安全完整性等级(SIL)。危险故障失效比率(unsafe failure fraction)是系统处于危险状态或严重状态的比率,可以由失效模式与影响分析(FMEA)或失效模式效应与关键性分析法(FMECA)来推算。

在中国,类似于IEC61508的国家级安全标准尚在制定之中,行业用户普遍采用IEC61508及其衍生标准作为系统的安全认证依据。

近日,风河宣布了新的商业现货(COTS)解决方案VxWorks Cert 平台,从而提供必须获得RTCA DO-178B和EUROCAE ED-12B(”机载系统和设备认证中的软件考虑事项”)、IEC 61508、以及其他相关软件标准严格要求认证的安全关键型应用程序。通过VxWorks Cert平台,开发人员可以充分利用微处理器方面的技术进步 - VxWorks COTS实时操作系统(RTOS)能够确保微处理器拥有强健的操作系统基础,以满足最苛刻的安全认证标准。

附:RTCADO-178B与EUROCAE ED-12B:航空电子设备市场中成功使用标准商用微处理器的范例比比皆是,此类微处理器主要用于许多可直接影响到航空器安全性与可靠性的那些关键的飞行应用程序。为确保航空机载系统所秉承的一贯高品质能满足各种临界安全等级的需求,全球航天航空业共同开发了RTCA DO-178B与EUROCAE ED-12B机载航空电子设备标准。这些规范现统一由许多商业航空管制机构予以强制执行,其中包括美国联邦航空管理局(FAA)、欧洲航空安全局(EASA)和加拿大交通部等。航空协会对全球各家航空航天制造商提交的输入信息进行评审后制定了此项标准。该标准指定有66条目标,其中具体说明了航空工业的软件生命周期和测试准则。

“在我所接触的中国客户之中,在安全意识方面他们不落后于世界上任何一个地区。唯一不同的是,对绝大多数中国客户而言,设计符合安全要求的产品是一个全新的项目。对中国的设计人员来说,理解安全标准并在设计过程中付诸实行是主要的挑战。” Andreas Buchwieser说道

VxWorks Cert平台基于VxWorks 6.6 操作系统的标准商业版。VxWorks 6.6开发环境还包括风河的运行时分析工具模拟器、系统查看器和源代码分析器。VxWorks Cert平台覆盖从底层硬件一直到软件应开发的全部层级,也就是提供系统级的安全解决方案,强调客户在系统设计之初,就全面考量整个系统的安全问题,降低系统发生事故的概率,避免出现责任事故。
 
相较于VxWorks 6平台,VxWorks Cert去掉了原系统中不符合最严格安全规范的功能,比如动态内存分配。

最为全面的安全规范资料——认证证据DVD
风河的DO-178B和ED-12B COTS Certification Evidence DVD:包含所有必需的DO-178B A级文件资料、软件易损性分析文档、完整源代码、测试、代码及测试评论、所有测试结果以及完整的对象级代码覆盖清单。所有文件都带有完整的超链接,这样就能使用简单的浏览器根据具体要求、设计、源代码和二进制码及测试案例快速对认证数据进行跟踪性分析。

IEC 61508 认证证据DVD:VxWorks Cert平台以业界最全面的一套认证工件为凭据,此类工件支持所有IEC 61508 SIL 3 要求。该DVD带有完整的超链接,这样就能使用简单的浏览器根据具体要求、设计、源代码和二进制码及测试案例阶段快速对认证数据进行跟踪性分析。该认证包DVD包含VxWorks Cert 平台安全手册和所有必需的IEC 61508 SIL 3文档资料。还包含用于VxWorks Cert平台的TÜV证书。

使用该认证证据DVD光盘即可进行认证,无需对连篇累牍的打印工件或基于个人计算机的认证工件进行审查。

国内市场增长可期
第三方的统计数据表明,在全球的高端工业电子系统应用中,有66%的项目采用了风河的产品,而其中33%”的产品与敏感安全问题相关,且这一数字还在不断增长。正是市场对安全问题关注度的提升,驱动了VxWorks Cert产品问世。经济高速成长的中国,对安全的需求同样将成为VxWorks Cert市场的沃土,风河认为中国市场的预期增长率将至少保持在20%~30%。

“中国市场,高铁、核电、化工、石化等领域纷纷加强了对系统安全的要求,因此这些领域成为VxWorks Cert的重点目标。目前已经有国内制造商在使用VxWors Cert开发产品,预计2013年将有相应产品上市,这将大大改变这一领域技术状况参差不齐的现状。