标准机构 Standards Body
起草标准的人通常高度关注怎么定义最佳过程实践 (Best Practice),而常常忽视一个问题“遵循标准的人如何向别人证明,我开发的产品是安全的这个问题”。并不是说,我们遵循了一些预先设计好的开发过程,那些所谓的最佳实践,就能证明我们开发的产品是安全的。我们需要通过评估危害(assess hazards),设计减轻(mitigation hazards) 这些危害的手段,最终剩下那些可以接受 (acceptable) 的残余危害 (residual hazards) 的方式来向他人证明我们的产品安全。
对于标准来说,如果你不喜欢,你总能够找到替代标准。很难说的清楚到底有多少种与功能安全相关的标准 (safety sthandards),可能会有几百种。为什么这么说,是因为安全相关的标准(safety sthandards) 没有明确的边界定义(no clear boundary),像 IEC 29119 这种涉及到软件测试的标准,就很难说的清楚它是否是安全相关的标准。
有很多组织在发布标准,后续更新的汽车电子开发文章中的参考标准主要来自于两个标准化组织,一个是国际电工委员会 (International Electrotechnical Commission)IEC 另外一个是国际标准组织(International Organization for Standards)ISO,同时会涉及一些欧洲电工技术标准化委员会(European Committee for Electrotechnical Standardization)CENELEC 的标准。IEC 和ISO都在瑞士的日内瓦办公,尽管,每个组织都会发布自己的标准,但是,还有一些标准是联合发布的。比如系统架构描述标准 42010 就是这样的标准,它使用混合前缀 (prefixes)ISO/IEC/IEEE(ISO/IEC/IEEE 42010)。CENELEC 在比利时的布鲁塞尔主要负责欧洲地区的电气工程标准起草。尽管 CENELEC 是一个欧洲标准组织(前缀 EN),但是,它起草的铁路系统安全标准在全世界范围内使用广泛。
IEC,ISO,CENELEC 不像互联网工程任务组 (Internet Engineering Task Force)IETF 和分布管理任务组(Distributed Management Task Force)DMTF 一样按照标准收费,而是按照看标准的人头来收费。一般 IEC61508 标准的英文版一个单人授权(single-user license)是 3000 美元,大约 4.5 美元每页(670 页),注意这只是给一个用户来用的授权 License,理论上,如果一家公司有多人需要读这份标准的话,必须按照人数来买授权 license。
有很多互联网站点可以提供 24 小时标准访问服务,这种通常只需要几美元就可以看到完整标准,这种一般只适合简单了解一下标准,而不是拿到完整备份重复使用。
IEC 和 ISO 的这种标准授权方式,偶尔会遇到一种奇葩情况。比如,一个公司的工程师通过采购部门买了一份单人授权(single-user license)标准,结果买回来的标准上每一页都打着采购的名字,理论上,这份标准只有采购能看,工程师是无权看这份标准的。
ISO 和 IEC 的这种收钱方式经常被批,因为,它使小公司获取“合法”的标准十分困难。很多人建议 ISO 和 IEC 免费提供标准,然后,从执行标准的过程中收费:每当认证机构根据标准颁发认证的时候,才收取版税。这样不但利于标准普及,也能够推动标准化组织发布更多有用的标准,因为越多人用标准,标委会收入越高。然而,这种方式也存在利益冲突的问题,通常要求标委会不能参与认证过程,不能一个人既参与考试又要监考。
上面三个标委会的标准制定过程基本上是一样的,行业专家们创建一个标准,标准能否通过取决于标委会参与国的投票结果。IEC 和 ISO 标准投票过程中,大家都是平等的,每个国家一票(中国、美国、德国各一票,蒙古、不丹、拉夫堡也是各一票)。但是 CENELEC 的投票是有权重的(德国、法国、英国比冰岛有更大的权重)。
如果想参与标准投票,工程师必须参加本国的标准化组织比如德国的 DIN,美国的 ANSI,我们国家的国标委。
认可 Accrediation 与 认证 Certification
产品认证(Product Certification)\ 过程认证 (Process Certification)
一个公司希望它的产品 (Product) 或者过程 (Process) 能够按照某个标准进行认证 (Certification),通常有两种方式, 一种是 自己声明(self-declare)它的产品 (Product) 或者过程 (Process) 满足该标准的全部要求 (meets all the requirements),然后找另外一家外部的公司来确认自己的声明(confirm the declaration)。 另一种是 雇佣一个认证机构 (Certification body) 来认证 (certify) 自己的产品 (Product) 或者过程(Process)。
认证机构 (Certification body) 的认可 Accrediation
原则上,任何公司都可以作为认证机构 (Certification body), 不过,有些公司可以得到认可(Accrediation)来针对某些标准进行认证(Certification)。被 认可 (Accrediation)的 认证机构 (Certification body) 提供的 标准认证 (Certification) 比非认可 认证机构 (Certification body) 的认证 (Certification) 具有更高的商业价值 (公信力更好). 认证机构 (Certification body), 的认可(Accrediation)一般都是由所在国的 认监委(Accrediation Authority)来进行。比如,一个 认证机构 (Certification body) 可以被 认可(Accrediation)根据 IEC61508 执行最高 SIL2 等级的硬件安全产品认证。所以,一般公司寻 找认证机构 (Certification body) 合作时,一定要检查候选 认证机构 (Certification body) 被认可 (Accrediation) 的等级来保证最终执行的认证 (Certification) 可信且具有更高的商业价值。
比如,ISO26262 的认证就可以在认监委查询认证机构的备案,大家感兴趣的可以在如下网址查询:
德国认监委 DAkkS: https://www.dakks.de/en/content/accredited-bodies-dakks
中国认监委 CNCA:http://www.cnca.gov.cn/
认可人 (Accreditor) 的认可(Accrediting),
每个参与 International Accreditation Forum (IAF)国际认可论坛的国家都有至少一位 认可人 (Accreditor) 进行认证机构 (Certification body) 的认可(Accrediation)。因为,没有更高等级的组织存在,对于 认可人 (Accreditor) 来说,谁来认可他们呢?答案是,他们会在持续的评估周期中相互验证对方的合规性(they verify each other’s compliance in an ongoing cycle of evaluations.)。
没有任何说法说,你的公司在那个国家,你就一定要找那个国家认可的 认证机构 (Certification body) 来进行 认证 (Certification)。公司选择认证机构的 关键 还是要看你的主要客户在哪里,你的客户认可那些机构,满足主要客户需求的认证才有价值。
得到安全标准认证并不容易,英国的两位认证专家 Martin Lloyd and Paul Reeve 在(“IEC 61508 and IEC 61511 Assessments—Some Lessons Learned,”in 4th IET International Conference on Systems Safety 2009, 2009.)统计过 IEC61508 和 IEC61511 的认证情况,在提交审核的 12 家公司中,只有 3 家通过了认证,其他公司尽管也花了很多人力物力,最后还是失败了。不过他们统计的 2011 到 2015 的数据(M. Lloyd,“Trying to Introduce IEC 61508: Successes and Failures,”in Warsaw Functional Safety Conference, 25-26 February 2015.)显示,虽然还有和以前一样的失败案例,但是,总体失败的概率在不断下降。他们认为失败率下降,主要是因为参与认证的公司更加清楚要求是什么,而且在没有准备好必要材料的情况下,不会盲目开始认证。
为了最大化产品认证的成功率,公司 最好在开发的前期阶段就开始与认证机构合作 。在进行最终审核之前,与 认证机构 (Certification body) 的审核员 (auditor) 沟通清楚 安全档案(safety case)的 结构(structure)以及需要那些关键 证据(argument)。在 安全档案(safety case)中添加 证据(argument)时,那些 证据(argument)更让人信服,在添加之前达成共识是对认证非常有帮助的。