2012年5月31日,美国东海岸麦克莱恩医院的一位学者打开了一台超低温冰箱,准备从中取出一份大脑标本。
麦克莱恩医院以其精神病学研究和治疗闻名,我看过的电影《美丽心灵》的主角、以博弈论闻名并获得诺贝尔数学奖的约翰•纳什等名人都曾在这里就医,这里也是哈佛脑组织资源中心保存大脑标本的地点之一,当时整个哈佛脑组织资源中心共收藏了约 3000 个大脑标本,它们被分散保存在 24 个超低温冰箱中。据《卫报》(the Guardian)报道,这批收藏支撑了 125 个研究项目并催生了 118 篇同行评审论文,哈佛脑组织资源中心主任 Francine Benes 说“那是一笔无价的收藏,你无法用美元来衡量它的价值。”
保存大脑标本的超低温冰箱,内部正常温度是零下 79 摄氏度,刚好比我收到的冷冻鲜品包装里所用的干冰温度低一点点。那位学者打开的冰箱里存放着大约 150 个大脑标本,全部来自生前患有帕金森病、精神分裂症等神经和精神疾病的人,其中的三分之一是自闭症谱系障碍患者捐赠的大脑,数量多达 54 个。这些标本的收集难度很大,首先需要招募到愿意捐赠遗体的患者和家属,其次要在患者去世后的 24 小时里取出并妥善保存,收集到这么多标本总共用了 14 年时间。捐赠遗体确实不是一件容易的事,因为这种意愿很难升起,升起以后也容易产生恐惧,必须有一定的认识作为基础才行,在我父亲决定要捐赠自己的遗体给医学研究部门的时候,我和他对此进行过比较深入的沟通,发现他就有很坚定的认识,所以他的选择也得到了家人的共同支持。
作为标本保存的大脑通常会被切成两半,一半用福尔马林浸泡固化,另一半按不同脑区进行解剖后冷冻保存。上述冰箱里的标本为研究大脑组织结构以及蛋白质等生物标记物提供了条件,一位名叫 Pardo 的研究者就曾用这些标本进行研究并首次证明自闭症与免疫系统之间存在关联,其论文发表于 2004 年。这台冰箱价值 1,2000 美元,被安置在一间配备了监控的房间里,其两把钥匙分别归安保人员和研究团队管理。冰箱自身含有两个相互独立的故障报警系统,实验室员工每天都会检查两次冰箱外部显示的温度数据,他们每次看到的数据都是正常的。按照我们常规的理解,这是一个有冗余的设计,而且还有检查措施,安全应该是有保障的,但是很可惜,迎接那位打开冰箱门的学者的并非扑面而来的冷气,我想ta当时一定是被惊呆了,因为里面的温度已经和常规冰箱的冷藏室相当,里面的大脑标本已经出现发黑和腐败的迹象,完全失去了研究的价值。Benes 在故障发生后检查了标本的状况,她估计这台冰箱大约是三天前停止工作的。
辛辛苦苦收集来的标本就这样毁掉在一次看起来有点不可思议的事故中,严重性是不言而喻的,据说它让自闭症研究的进程倒退了十年。Benes 最初认为这起事故不能排除是人为的恶意破坏,但后续调查表明故障是由冰箱微处理器控制系统的故障引起的,后来便对所有 24 台冰箱及其控制系统都进行了检查并加装了第三个故障报警系统。据《波士顿邮报》报道,一些自闭症研究领域的学者对此次事故的调查结果和改进措施都感到不满,其中最关键的一个焦点是将那么多同类型的标本集中存放在一个冰箱里是不合理的。自闭症研究组织的标本通常会分散保存在多个地点,但在此次故障发生之前一个多月的时候,一批标本被集中到了这台冰箱里供该医院的研究者进行分析,完成项目后的研究人员们又去忙其他事了,没有及时将标本送回原来的位置,从而让一次事故的损失大到了让人吃惊的程度,损坏的标本量占到整个项目拥有量的三分之一。刘易斯维尔大学的 Manuel Casanova 指出:“把大量标本装在同一个冰箱里,并且让它们在那里放置一段时间,这违反了大脑银行的安全准则。要想将冰箱故障带来的风险最小化,你应该把具有相似诊断结果的大脑分开放在多个冰箱里,这是常识。”他还说:“麦克莱恩可以多装报警器,想装多少就装多少,但是他们也该时不时亲眼看看冰箱里面的情况。”但是一般来说超低温冰箱的每天打开次数是有限制的,因为频繁打开冰箱会引起温度波动,增加设备的工作负担,也不利于标本的保存。也有人认为机械故障是无法避免的,许多研究者自己就遇到过这样的倒霉事,麦克莱恩医院已经尽到了责任,并且幸运的是冰箱里的许多大脑都只有一半,另一半已经用福尔马林保存,一些遗传学分析等研究仍然能够进行。这起事件说明无论再忙都不要忘记做好那些基本的细节,用完的东西要及时放回原处,要仔细检查仪器状况,重要的数据要做好备份……我们总是无法避免意外的发生,但严格遵守规范能使你在意外发生时的损失最小化。
这个故事是我从中科院物理所的微信公众号上看来的,重述的时候已经被我重新组织过了,不知它能让你想到什么?安全是不是一个很重要的问题?如何保障安全?
要了解什么是安全,首先需要从风险开始谈起。所谓风险,指的是出现伤害的概率以及该伤害严重性的组合。每台冰箱都可能出问题,但拥有两个相互独立的控制系统的冰箱出问题的几率显然要低很多,但这样的问题还是会发生。如果故障恰好发生在很多标本都放在其中的时候,造成的损失就很大了。我们常说“不怕一万,就怕万一”,这“万一”实在是太恐怖了。
实际上,所谓的风险总是存在于每一个时间、每一个地点和每一件事物上的,但有的风险比较小,是可以被接受的,被称为可接受风险。有的风险一旦出现就很麻烦,会造成很大的损失,它们构成了不可接受的风险。当社会、环境、个人发生了变化的时候,同样风险的可接受程度也会发生变化,所以谈风险的可接受程度时必须根据当下的情况来进行具体的考虑。如果不存在不可接受的风险,我们便说是安全的,所以说安全便是不存在不可接受的风险。为了确保安全,人们需要采取各种措施去避免不可接受的风险成为现实,这样的措施便是安全措施。电源管理因为需要和各种能量源打交道,稍有不慎就可能造成物资的损毁,所以我们在谈论电源管理的时候常常会用到 OVP、UVP、OCP、UVLO、OTP等缩写词,其中的 P 即 Protection = 保护,V 即 Voltage = 电压,C 即 Current = 电流,O 即 Over = 超出,U 即 Under = 低于,T 即 Temperature = 温度,LO 即 Lock up = 锁定/栓锁,它们被组合在一起并被实施就代表了一项项的安全措施。
不同应用对安全性的要求是不一样的。普通的个人消费品和家用产品出了问题的时候,影响面会比较小,相应的风险也比较小。到了商用场合,一次故障就可能让一家公司的运作陷入瘫痪,风险就明显增加了。一个产品如果在工厂的生产线上出现问题,造成的损失可能就会大许多,到了车辆上则可能造成人员伤亡,这样的问题就更大了,再加上这些环境的恶劣性,同样的产品也面临更大的压力,反过来就要求用于这些环境的产品要有更高的可靠性,所以工业级产品和车用产品的开发过程、制造过程就有了更高的要求。
一种应用对出现于其中的同一类对象通常具有同等的安全性要求,这为制订并实施同样的安全性标准带来了可能性。ISO26262 是国际标准化组织针对总重不超过 3.5 吨的 8 座以下乘用车、以与安全相关的电子电气系统的特点为基础制订的《道路车辆功能安全》标准,其基础是IEC 61508《安全相关电气/电子/可编程电子系统功能安全》标准,首次发布于 2011年,2018 年又做了新的修订,其适用面也得到了扩大,更新后的编号为 ISO 26262-1:2018。
按照百度百科的解释,“ISO 26262为汽车安全提供了一个生命周期(管理、开发、生产、经营、服务、报废)理念,并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程(包括需求规划、设计、实施、集成、验证、确认和配置)。ISO 26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级(Automotive Safety Integrity Level 汽车安全完整性等级ASIL),其中D级为最高等级,需要最苛刻的安全需求。伴随着ASIL等级的增加,针对系统硬件和软件开发流程的要求也随之增强。对系统供应商而言,除了需要满足现有的高质量要求外还必须满足这些因为安全等级增加而提出的更高的要求。”
目前,立锜科技已经通过了 SGS 提供的 ISO26262 ASIL D 流程认证,说明立锜已经建立了完整的安全保证流程,可以用完全符合安全标准的流程为车用电子厂商提供满足最严苛安全标准的集成电路产品,与此相关的新闻内容如下:
本文原文发表于立锜科技微信公众号,欢迎扫码关注更多内容。
评论