关于IEC 61508的功能安全认证项目FSCP

关于IEC61508的功能安全认证项目FSCP（functional safety certification program）的认证进程

我刚刚结束一个安全继电器的工作，完成了TüV SüD的功能安全认证项目FSCP （functional safety certification program），拿下了国内首个德国TüV FS MARK。

我该如何开始呢？谁将提供的认证？在什么时候，没有一个认证机构需要参与进来？——这是开始认证过程时可能遇到的所有问题。

结合个人经历，我总结了认证项目的启动的正常进展，会分几次进行介绍：

第1步：充分了解市场信息，明确您的客户需要什么认证，是否需要一个独立的第三方的评估和认证。

第2步：认证机构介入后，它需要开始了解这个项目的概念。这个过程是一个沟通的过程，可以在项目的开始阶段就避免走上错误的道路。

一般认证公司都会建议功能安全项目从研发初始就开始开展认证评估就是这个原因。但是，会有不少的公司会选择先把产品样机完成后，才选择开始认证——后果...应该会有很大比例的项目，有从头再来的经历。

第3步：获得和认证相关的标准副本。认证机构会为研发工程师提供标准的解析，以帮助工程师理解标准。尽管如此，当您第一次开展FSCP时，这些工作还是漫长和繁重的。有能力的公司如果有可能可以让认证机构提供培训，以加速这个阶段的工作。

第4步：工程师依据相关标准的规定，比较项目内部流程（包括管理和技术活动）的差距；此时，认证机构在你的开发过程中提供的公正和独立的评估。

第5步：通过上述评估，在项目开始之前能够确定项目的差距。一般认证机构会建议项目团队进行一次功能安全培训项目，这样其实可以使项目组的每个成员都能充分了解功能安全认证体系的全貌，使大家都站在同一个起跑线上。

这个环节，其实我个人感觉很深。针对我们这个项目来说，项目进程中，特别是项目前期，我参加过很多培训，如莱茵的IEC61508和ISO13849的普及课程，械工业仪器仪表综合技术经济研究所的IEC61508培训等。这些培训在项目的初期的特定时期还是起了必要的

作用——建立基本概念，启动项目。

但是，想通过这些培训了解功能安全认证，了解IEC61508标准还是远不够的。我们也是通过项目的推进和认证工作的开展，逐渐深入了解其实质。

另外，功能安全项目其实包含了很大一部分项目管理成分。因此，功能安全认证不仅仅是开发者去了解概念和标准，公司的各层领导其实也应该要有更多的了解——但是，这正是国内开展项目时所缺乏的。

第6步：将你已经掌握的知识应用于项目。项目将从规划和计划开始，而不是直接进入实施阶段！

在安全计划和安全需求建立过程中，需要充分的考虑V模型。V模型是贯穿于功能安全开发的每个环节，如顶层设计，确认测试计划，详细设计，集成测试计划等等。而项目的具体实施只是位于V模型的最底层。

步骤7：目前的情况，一个新的功能安全的评估认证时间会较长（一般大于10个月），这个过程中，功能安全项目的开发团队和认证评估机构沟通会有很多。在制定计划时，最好指定专人负责项目的协调。建立一个功能安全管理（FSM）计划，也就安全计划（safety plan）。该计划应包括与该项目安全相关的各个方面内容以及项目预期的安全完成性等级（SIL）；并且记录在开发过程中使用的所有软件工具；如果相关人员参加了培训（无论是专业培训或自学），还需提供这些培训记录。

其实FSM是一个管理体系内容，范围比较宽泛，safety plan也是一个较大的概念，我无法详细说明，大家可以结合自己的项目再参看ICE61508的第一部分，相信感悟会更深。只是在认证的过程中，管理体系的选择方式是比较灵活的，大家可以依据所在企业的特点开展工作。有的公司已经建立了完善的功能安全管理体系，项目直接依托公司管理体系即可；有的公司已经有了ISO9000体系，其项目可以依托这个体系再补充项目级别的安全相关管理文件即可；如果标准的公司级别的管理体系也没有，就可以考虑直接在安全计划中建立项目级别安全管理体系。

第8步：当完成safety plan后，我们可以把重心放在产品需求规范（functional requirements）方面了。我个人感觉，其实在认证过程和IEC61508标准钟强调的“安全需求规范”（Functional safety requirements），就是来源于产品需求规范要求；只是安全类产品更强调这个概念而已。这个步骤说起来很简单，但这往往是在开发过程中最难的步骤——很多的项目可能会直接跳过这步，进入开发实施阶段。举个例子，认证公司曾经提及西门子在进行安全PLC的开发过程，为完成“安全需求规范”，西门子花了2年多的时间，用了大量的金钱和精力去走访用户和元件供应商，从而获得现场的第一手资料完成“风险分析”（risk analysis），然后有针对性的进行产品需求分析。

第9步，当需求分析完成后，我们开始建立验证和确认计划（Verification plan and Validation planning）。随之而来的，正规的文件要求（Documentation）、测试计划，以及每个过程的复审都是项目开发必须的流程，均必须予以认真的规划。

第10步：结构设计将确定如何划分安全项目产品的硬件和软件的功能。硬件和软件要求的分配也将完成。——由于我这个项目不涉及软件，因此我会以硬件架构为例子进行说明。在准备做详细设计之前，团队还是花了不少精力分析系统的结构。

我们的安全继电器还参考了一个标准ISO13849-1：2008——机械行业的安全标准。这个标准如果大家陌生，对另外一个机械相关安全标准EN954-1（ISO13849-1的前身——由于新的机械指令在2006年已发布，ISO13849-1将EN954-1取代，并在今年12月份结束过渡期并生效）熟悉的人一定很多。在EN954-1里，结构（Architecture）是一个重要的概念，着力于评判系统的安全等级的高低。虽然，IEC61508已经弱化了结构的概念，但是其作用还是很重要的。

在这个阶段完成的其他任务包括：

•集成测试规划

•正式文件

•故障模式与影响分析（FMEA）——其主要目标是，以确定硬件的故障模式为手段或方法，可以从设计初始就检测和预防产品故障。

第11步：在这里，想强调两个重要的概念。可追溯性——其实这个概念在认证过程中是会被重复提及的内容。设计过程需要确保设计细节的可追溯性。另外一个问题就是“计划的确定”，所有的开发工作都应依据计划开展。因此，计划很重要！

第12步：为满足所需的SIL等级，应选择合适技术和措施。一旦原理图设计和元件的选择完成后，硬件元件的FMEDA（Failure Modes Effects and Diagnostic Analysis------“失效模式影响和诊断分析”）或FMEA应该分析完成。

第13步：这时最好做一次审查，以确保您是在正确的轨道方向上。如果审查通过，设计看起来不错，项目可以按照计划实施。后面需要完成的便是测试和文档工作。这将是认证项目生命周期中的最后一个步骤。

第14步：开始最底层的测试：单元或模块级别。按照既定的计划进行，监控所有的执行和失败，并记录所有测试结果——这个过程非常重要，德国人是很讲究证据的。建议把所有的数据，甚至采用视频或拍照的形式留下你的实验过程——千万别失去了宝贵的信息。

同时，这是一个良好的开端去记录错误和bug修复。开始进行更改之前，最好建立变更控制过程的规程。改进您的产品，最简单的方法是从开始就是就不断完善您的设计。

第15步：当所有的单元测试（或大部分）已被完成并且这些测试通过，应该就到了集成测试，以评价安全项目产品的特性了。这个阶段可以执行故障注入测试，这个过程需要和认证机构工程师密切协调，以完成认证评估。这个过程可以进一步对之前做的FMEDA进行评估。尤其对高风险、高失效率的组件，就是基于这种类型的集成测试。同时这个阶段也可验证安全设备的诊断功能。