Functional Safety: השגת בטיחות מירבית במוצרים מסכני חיים
4 יולי, 2022
“בטיחות פונקציונלית” ( FuSa) היא תהליך מובנה שיש בכל מוצר שהשימוש בו כולל סיכוי לסכנת חיים, כמו למשל רכב אוטונומי. המאמר מתאר את השיטה, התקנים ותהליך היישום
מאת אורית גבע, קואלקום *
האם קיימת שיטה מסודרת למזער תאונות בין כלי-רכב אוטונומיים, לצמצם אי-דיוקים במסלול של טילים מונחים ולוודא מינימום נזקים במכשור רפואי? התשובה לשאלה היא כן. הדרך להבטיח מינימום פגיעה היא שיטה הנדסית בשם "בטיחות פונקציונלית" (Functional Safety) או בקיצור FuSa, אשר צריך ליישם בכל מוצר שהשימוש בו כולל סיכוי לסכנת חיים, כמו כלי-רכב אוטונומיים למשל. המאמר מתאר את הטכניקה, הסטנדרטים ותהליך היישום של השיטה הזאת.
ההבדל בין Safety ל-Functional Safety
המונח Safety מוגדר כ-"חופש מסיכון בלי צפוי של פגיעה פיזית". אם נחשוב על מוצרים יומיומיים שכולנו מכירים, נוכל בקלות לזהות את מנגננוני ה-Safety שלהם. למשל, גלאי עשן השולח פקודת התזת מים כאשר הוא מזהה עשן בקרבתו, דלתות רכבת הנשמרות סגורות כל זמן שהרכבת בתנועה ונפתחות רק בעת עצירה מוחלטת ועוד. המושג בטיחות פונקציונלית מתאר את הדרך שבאמצעותה מפחיתים את סיכויי הסיכון בעת שימוש במכשיר או במערכת מסוימת.
שיטה הנדסית זו מאתרת תנאים שיש בהם פוטנציאל להתפתח למצב מסוכן ולפגיעה באדם, מוכנים בצורה פוטנציאלית שיכולים לגרום לפגיעה מסוימת באדם, ובהתאם מגדירה תגובה אוטומטית אשר תמנע או תפחית משמעותית את סיכויי הפגיעה. מערכות אלו מחויבות להיות דינמיות ובעלות יכולת להגיב בזמן אמת, כאשר ההנחה היא שסיכון ברמה אפסית הינה שאיפה בלתי מציאותית.
דרישות רגולטוריות
האם כל המוצרים והמערכות נדרשים לממש FuSa? כמובן שלא, אולם קיימת הגדרה עבור תחומי תעשייה מסוימיים אשר נדרשים לעמוד בדרישות הרגולציה בחלוקה לפי תקנים:
- IEC 61508 התקן הכללי אשר מגדיר תקנות עבור מוצרים אלקטרוניים.
- ISO 26262 מוצרי אוטומוטיב.
- EN 50128 מוצרי רכבת.
- IEC 62304 מוצרים רפואיים.
- IEC 62061 תקנות ייצור.
- IEC 60880 מוצרים גרעיניים.
אלא שהעניין לא מסתיים בזאת. כל תקן מגדיר את תהליכי הפיתוח שהמוצר נדרש לעמוד בהם, אשר נקבעים על-יד פרמטרים אשר נקבעים בהתאם למערכת הספציפית ולתכונותיה. לצורך המחשה נתייחס לתקן ISO 2626 עבור רכיבים בתעשיית הרכב. כל מוצר בקבוצה הזאת מסווג לפי רמת הבטיחות (Safety) אשר נקראת Automotive Safety Integrity Level – ASIL. קיימות ארבע רמות ASIL בסימון A, B,C, D כאשר ASIL A היא הרמה המקילה ביותר ו-ASIL D היא הרמה המחמירה ביותר.
רמת ה-ASIL נקבעת באמצעות שלושה פרמטרים: Exposure (E) – שיעור ההסתברות למפגע או לתקלה במערכת; Controllability (C) – היכולת של הנהג או המפעיל לשלוט במערכת במידה ומופיע כשל; Severity (S) – רמת החומרה של התוצאה אשר תיגרם אם יופיע כשל במערכת. מכאן ברור מדוע רכיבי רכב בעלי רגישות בטיחותית גבוהה כמו בלמים וכריות אוויר מוגדרים ברמת ASIL-D, בשעה שרכיבים בעלי רגישות בטיחותית נמוכה, כמו מערכות הבידור, והתאורה יוגדרו ASIL-A.
יישום Functional Safety כחלק מתהליך פיתוח המוצר
לאחר שהגדרנו את רמת ה-ASIL שהמוצר צריך לעמוד בו, יש להבין ולהגדיר את הדרישות שהדבר מעמיד בפני צוותי הפיתוח מכיוון שרמת ה-ASIL קובעת את קצב התקלות המותר. הקצב זה נקבע לפי שלושה פרמטרים: Single-point fault metric (SPFM); Latent fault metric (LFM) ו-Probabilistic metrics for hardware failures (PMHF) המופיע בטבלה למטה בתור Failure Rate. זאת כאשר יחידת Failure in Time – FIT מוגדרת כקצב התקלות של מוצר במהלך מיליארד שעות שימוש.
התקן מגדיר תהליך פיתוח לפי מודל W אשר מורכב משני מודלים של V במוצרים משולבים תוכנה וחומרה (ראו איור למטה). המודל מגדיר תהליך פיתוח Top-to-Bottom אשר מתחיל מהגדרות מפרט המוצר ועד המימוש (צד שמאלי של ה-V). בשלב השני של הפיתוח (הצד הימני של ה-V) מתבצע אימות של כל שלבי הפיתוח, מהאלמנט הקטן ביותר ועד לאימות המערכת השלמה, במקביל לווידוא עמידה במטרות ASIL המקוריות של המוצר.
Functional Safety Development Process
עבור תהליך פיתוח מסוג זה נוצרו כלי ניתוח, תיעוד ומעקב אחר הנעשה במוצר, במטרה לעזור לצוותי הפיתוח ומנהלי הפרוייקטים לוודא את רמות הבטיחות שהם התחייבו אליהן. מצ"ב שלוש דוגמאות לכלים אשר נועדו לוודא את רמת הבטיחות של המוצר:
- Failure mode effect and diagnostic analysis (FMEDA) – גישה להגדרת סוגי כשלים, קצב כשלים וניתוח יכולות של רכיבי חומרה במוצר.
- Timing analysis – הגדרת כשלים במרחב הזמן. תחת הגדרות אלו מצויינים מושגים כמו Diagnostic Test Interval-DTI), וכמו Fault Tolerant Time Interval-FTTI.
- Dependent failure analysis (DFA) – כלי אשר נועד לקחת בחשבון את הגורמים לכשלון שאינם ברכיב-מערכת כזה או אחר, או מקשר בין שני רכיבים בלי תלויים. דוגמאות לגורמים לכשלים כאלו הם קצרים במערכת, Latch up ו- Crosstalk.
השימוש בכלים האלו ובכלים אחרים נעשה לרוב על-ידי יועצים וחברות חיצוניות אשר מתמחים בנושאי FuSa.
תהליכי Functional Safety במבט לעתיד
תהליכי הפיתוח לטובת וידוא רמת FuSa מספקת אשר צוינו במאמר הזה הינם חלקיים בלבד. דרישות נוספות כוללת יכולות תיעוד תהליכים, יכולות בדיקתיות ושחזור ועד רמת תקן שבה המעבדה בה מפותחים המוצרים צריכה לעמוד בה. אין ספק שתחום ה-FuSa הוא כאן כדי להישאר. יצרניות מערכות רכב, מכשור רפואי, תעופה ועוד משכללות את מנגנוני ההגנה והבטיחות שלהן. מנגנונים אלו דורשים מאמצים, זמן, כוח אדם, עולים כסף, ומשפיעים גם על גורם הצורה של המוצר (במידה ומוסיפים מנגנונים לבדיקתיות ושיפור הבטיחות). עם זאת, נראה שעדיין יש מקום לשיפור. לאחרונה אנחנו שומעים על תאונות שבהן מעורבים כלי-רכב אוטונומיים. תאונות אשר סיבותיהן לא נחשפות במלואן ואשר סיכוי גדול שנגרמו על-ידי גירויים חיצוניים למערכת כמו למשל סינוור של החיישנים האופטיים על-ידי השמש, הפרעות אלקטרומגנטיות חיצוניות וכדומה.
כל זאת, עוד לפני שעסקנו בהגנת סייבר ובהתמודדות עם מנגנוני הפריצה ושליטה מבחוץ המופעלים על-ידי האקרים. לאור זאת, יצרני הרכיבים והמערכות אשר נדרשים לעמוד בתקני בטיחות צריכים לוודא עמידה בתקנים אלו גם כאשר המערכות נחשפות אל גורמיים חיצוניים אקראיים, אשר לא מאפיינים את תפעול המערכת במסגרת מעבדה סטרילית. במידה והמערכות יאותגרו על-ידי הפרעות ותהליכים חיצוניים אקראיים מסוגים שונים, רמת הבטיחות שלהן תשתפר משמעותית.
* אורית גבע היא בוגרת תואר שני בהנדסת חשמל, מומחית מערכות תקשורת, Technical Leader בחברת קואלקום ומנהלת קהילות Hardware Engineering Israel ו-Women in Hardware Israel.
מקורות לקריאה נוספת:
Understanding How ISO 26262 ASIL is Determined for Automotive Applications
Holistic FMEDA-Driven Safety Design and Verification for Analog, Digital, and Mixed-Signal Design
ISO 26262 IEC 61508 Functional Safety Processes Development Consulting
פורסם בקטגוריות: Automotive , חדשות , תוכנה ותכנון אלקטרוני , תעשייה וניהול
כתבות נוספות העשויות לעניין אותך
