标准机构 Standards Body
起草标准的人通常高度关注怎么定义最佳过程实践(Best Practice),而常常忽视一个问题“遵循标准的人如何向别人证明,我开发的产品是安全的这个问题”。并不是说,我们遵循了一些预先设计好的开发过程,那些所谓的最佳实践,就能证明我们开发的产品是安全的。我们需要通过评估危害(assess hazards),设计减轻(mitigation hazards)这些危害的手段,最终剩下那些可以接受(acceptable)的残余危害(residual hazards)的方式来向他人证明我们的产品安全。
对于标准来说,如果你不喜欢,你总能够找到替代标准。很难说的清楚到底有多少种与功能安全相关的标准(safety sthandards),可能会有几百种。为什么这么说,是因为安全相关的标准(safety sthandards)没有明确的边界定义(no clear boundary),像IEC 29119这种涉及到软件测试的标准,就很难说的清楚它是否是安全相关的标准。
有很多组织在发布标准,后续更新的汽车电子开发文章中的参考标准主要来自于两个标准化组织,一个是国际电工委员会(International Electrotechnical Commission)IEC另外一个是国际标准组织(International Organization for Standards)ISO,同时会涉及一些欧洲电工技术标准化委员会(European Committee for Electrotechnical Standardization )CENELEC的标准。IEC和ISO都在瑞士的日内瓦办公,尽管,每个组织都会发布自己的标准,但是,还有一些标准是联合发布的。比如系统架构描述标准42010就是这样的标准,它使用混合前缀(prefixes)ISO/IEC/IEEE(ISO/IEC/IEEE 42010)。CENELEC在比利时的布鲁塞尔主要负责欧洲地区的电气工程标准起草。尽管CENELEC是一个欧洲标准组织(前缀EN),但是,它起草的铁路系统安全标准在全世界范围内使用广泛。
IEC,ISO,CENELEC不像互联网工程任务组(Internet Engineering Task Force)IETF和分布管理任务组(Distributed Management Task Force )DMTF一样按照标准收费,而是按照看标准的人头来收费。一般IEC61508标准的英文版一个单人授权( single-user license )是3000美元,大约4.5美元每页(670页),注意这只是给一个用户来用的授权License,理论上,如果一家公司有多人需要读这份标准的话,必须按照人数来买授权license。
有很多互联网站点可以提供24小时标准访问服务,这种通常只需要几美元就可以看到完整标准,这种一般只适合简单了解一下标准,而不是拿到完整备份重复使用。
IEC和ISO的这种标准授权方式,偶尔会遇到一种奇葩情况。比如,一个公司的工程师通过采购部门买了一份单人授权( single-user license )标准,结果买回来的标准上每一页都打着采购的名字,理论上,这份标准只有采购能看,工程师是无权看这份标准的。
ISO和IEC的这种收钱方式经常被批,因为,它使小公司获取“合法”的标准十分困难。很多人建议ISO和IEC免费提供标准,然后,从执行标准的过程中收费:每当认证机构根据标准颁发认证的时候,才收取版税。这样不但利于标准普及,也能够推动标准化组织发布更多有用的标准,因为越多人用标准,标委会收入越高。然而,这种方式也存在利益冲突的问题,通常要求标委会不能参与认证过程,不能一个人既参与考试又要监考。
上面三个标委会的标准制定过程基本上是一样的,行业专家们创建一个标准,标准能否通过取决于标委会参与国的投票结果。IEC和ISO标准投票过程中,大家都是平等的,每个国家一票(中国、美国、德国各一票,蒙古、不丹、拉夫堡也是各一票)。但是CENELEC的投票是有权重的(德国、法国、英国比冰岛有更大的权重)。
如果想参与标准投票,工程师必须参加本国的标准化组织比如德国的DIN,美国的ANSI,我们国家的国标委。
认可Accrediation 与 认证Certification
产品认证(Product Certification)\ 过程认证(Process Certification)
一个公司希望它的产品(Product)或者过程(Process)能够按照某个标准进行认证(Certification),通常有两种方式,一种是自己声明(self-declare)它的产品(Product)或者过程(Process)满足该标准的全部要求(meets all the requirements),然后找另外一家外部的公司来确认自己的声明(confirm the declaration)。另一种是雇佣一个认证机构(Certification body)来认证(certify)自己的产品(Product)或者过程(Process)。
认证机构(Certification body)的认可Accrediation
原则上,任何公司都可以作为认证机构(Certification body),不过,有些公司可以得到认可(Accrediation)来针对某些标准进行认证(Certification)。被认可(Accrediation)的认证机构(Certification body)提供的标准认证(Certification)比非认可认证机构(Certification body)的认证(Certification)具有更高的商业价值(公信力更好).认证机构(Certification body),的认可(Accrediation)一般都是由所在国的认监委(Accrediation Authority)来进行。比如,一个认证机构(Certification body)可以被认可(Accrediation)根据IEC61508执行最高SIL2等级的硬件安全产品认证。所以,一般公司寻找认证机构(Certification body)合作时,一定要检查候选认证机构(Certification body)被认可(Accrediation)的等级来保证最终执行的认证(Certification)可信且具有更高的商业价值。
比如,ISO26262的认证就可以在认监委查询认证机构的备案,大家感兴趣的可以在如下网址查询:
德国认监委DAkkS: https://www.dakks.de/en/content/accredited-bodies-dakks
中国认监委CNCA:http://www.cnca.gov.cn/
认可人(Accreditor)的认可(Accrediting),
每个参与International Accreditation Forum (IAF)国际认可论坛的国家都有至少一位认可人(Accreditor)进行认证机构(Certification body)的认可(Accrediation)。因为,没有更高等级的组织存在,对于认可人(Accreditor)来说,谁来认可他们呢?答案是,他们会在持续的评估周期中相互验证对方的合规性(they verify each other’s compliance in an ongoing cycle of evaluations.)。
没有任何说法说,你的公司在那个国家,你就一定要找那个国家认可的认证机构(Certification body)来进行认证(Certification)。公司选择认证机构的关键还是要看你的主要客户在哪里,你的客户认可那些机构,满足主要客户需求的认证才有价值。
得到安全标准认证并不容易,英国的两位认证专家Martin Lloyd and Paul Reeve 在( “IEC 61508 and IEC 61511 Assessments—Some Lessons Learned,” in 4th IET International Conference on Systems Safety 2009, 2009. )统计过IEC61508和IEC61511的认证情况,在提交审核的12家公司中,只有3家通过了认证,其他公司尽管也花了很多人力物力,最后还是失败了。不过他们统计的2011到2015的数据(M. Lloyd, “Trying to Introduce IEC 61508: Successes and Failures,” in Warsaw Functional Safety Conference, 25-26 February 2015. )显示,虽然还有和以前一样的失败案例,但是,总体失败的概率在不断下降。他们认为失败率下降,主要是因为参与认证的公司更加清楚要求是什么,而且在没有准备好必要材料的情况下,不会盲目开始认证。
为了最大化产品认证的成功率,公司最好在开发的前期阶段就开始与认证机构合作。在进行最终审核之前,与认证机构(Certification body)的审核员(auditor)沟通清楚安全档案(safety case)的结构(structure)以及需要那些关键证据(argument)。在安全档案(safety case)中添加证据(argument)时,那些证据(argument)更让人信服,在添加之前达成共识是对认证非常有帮助的。