汽車與工業(yè)功能安全

直到2011年，汽車功能安全開發(fā)都使用IEC 61508，但在2011年發(fā)布了IS1的修訂版026262，然后在2年底發(fā)布了修訂版2018。我相信修訂版 3 的工作已經(jīng)開始。ISO 26262 是對(duì) ISO 26262 的汽車解釋。如果您不相信我，請(qǐng)參閱ISO 26262-1：2011，介紹的第一行。ISO 26262-10：2012 子條款 4.1 的標(biāo)題為“汽車系統(tǒng)的功能安全（與 IEC 61508 的關(guān)系）”，長(zhǎng)達(dá)兩頁。

以下是一些聲稱的差異。

IEC 61508 專為小容量系統(tǒng)而設(shè)計(jì)

IEC 61508 應(yīng)用允許現(xiàn)場(chǎng)驗(yàn)證

IEC 61508沒有為分布式開發(fā)指定任何措施

IEC 61508沒有強(qiáng)制要求使用特定方法來進(jìn)行危害分析，但I(xiàn)SO 26262指定了風(fēng)險(xiǎn)圖

IEC 61508 基于概率

IEC 61508 不支持連續(xù)模式安全功能

列出的一些比較我同意，但我不同意其他比較。本博客的其余部分將討論對(duì)我來說最重要的差異。

第一個(gè)值得注意的事實(shí)是ISO 26262的大小。版本 1 有 10 個(gè)部件，但版本 2 已擴(kuò)展為包括專用于半導(dǎo)體和摩托車的新部件。IEC 7的61508部分總共約650頁，但僅ISO 11的前26262部分就總共760頁。IEC 61508 的大多數(shù)其他領(lǐng)域特定解釋僅分為 1 部分，而 IEC 61511 則分為 3 部分。

一個(gè)更明顯的區(qū)別是，汽車使用ASIL而不是SIL來衡量對(duì)要實(shí)現(xiàn)的安全性的信心。ASIL僅代表汽車安全完整性等級(jí)。下一個(gè)最明顯的變化是，雖然汽車人保留了四個(gè)級(jí)別，但他們稱它們?yōu)锳，B，C和D，而不是SIL 1到4。我被告知這是為了避免錯(cuò)誤的量化感。ASIL D大約等于SIL 3，因?yàn)檐嚨溨械淖畲髠鋈藬?shù)可能少于4人。不需要等效的SIL 10，通常用于鐵路，過程控制和核工業(yè)，其中100，1000或<>人可能會(huì)死亡。

圖 1：使用診斷覆蓋范圍和危險(xiǎn)故障率指標(biāo)比較 ASIL 和 SIL。

此外，汽車具有QM評(píng)級(jí)，以反映按照正常質(zhì)量管理體系開發(fā)的零件，這實(shí)際上相當(dāng)于SIL 0（不存在，但你知道我的意思）。然而，即使使用QM，您仍然可以獲得APQP（高級(jí)產(chǎn)品質(zhì)量規(guī)劃）所需的所有嚴(yán)格要求，包括需要進(jìn)行DFMEA。對(duì)于汽車開發(fā)，QM系統(tǒng)可能基于ISO / TS 16949，該ISO 9001（用作大多數(shù)工業(yè)質(zhì)量管理體系的基礎(chǔ)）。就我個(gè)人而言，我喜歡 ASIL C，因?yàn)?99% 的診斷覆蓋率在單通道系統(tǒng)中很難實(shí)現(xiàn)，但 97% 的診斷覆蓋率可以通過努力實(shí)現(xiàn)。

我想討論的下一個(gè)區(qū)別是 SIL 分配。ISO 26262指定使用風(fēng)險(xiǎn)圖，其中暴露于危害，傷害嚴(yán)重程度和可控性組合在一個(gè)表格中，以產(chǎn)生ASIL水平。

圖 2：ISO 26262 的 ASIL 分配

在工業(yè)中，有時(shí)會(huì)使用風(fēng)險(xiǎn)圖，例如參見IEC 62061，但量化方法也用于每年暴露小時(shí)數(shù)的工程估計(jì)等。IEC 61508必須允許更多方法，因?yàn)樗沁m合針對(duì)不同領(lǐng)域定制的基本安全標(biāo)準(zhǔn)。

IEC 61508的一個(gè)關(guān)鍵概念是安全功能。工業(yè)中的安全功能通常由傳感器、邏輯和執(zhí)行器組成，旨在實(shí)現(xiàn)或保持安全狀態(tài)。我相信它在ISO 26262中最接近的等價(jià)物是安全機(jī)制。在安全機(jī)制之上，ISO 26262討論了安全目標(biāo)（高級(jí)安全目標(biāo)），這導(dǎo)致了功能安全概念，從而導(dǎo)致功能安全要求，從而導(dǎo)致安全措施。安全措施包括安全機(jī)制。在這兩種情況下，安全功能或安全目標(biāo)都是解決特定的危險(xiǎn)事件。

兩個(gè)標(biāo)準(zhǔn)對(duì)安全和危險(xiǎn)故障的定義不同。ISO 26262 中安全失效的定義更接近于未引入影響失效之前的 IEC 61508 修訂版 1 中的定義。根據(jù)ISO 26262有效，如果故障不危險(xiǎn)，則它是安全的。ISO 26262還具有潛在故障指標(biāo)的概念，該指標(biāo)可有效診斷您的診斷。在IEC 61508中，情況并不那么清楚，許多人認(rèn)為危險(xiǎn)故障的定義需要在診斷中包含診斷，而其他人則認(rèn)為，由于診斷失敗不會(huì)導(dǎo)致安全功能的立即故障，因此沒有必要。此外，雖然工業(yè)允許以需求率的100倍運(yùn)行診斷申請(qǐng)信用，但I(xiàn)SO 26262沒有這樣的津貼。根據(jù)ISO 26262要求診斷信用，系統(tǒng)需要能夠在過程安全時(shí)間內(nèi)達(dá)到安全狀態(tài)。

關(guān)于冗余和硬件容錯(cuò)，ISO 26262 不知道 MooN 架構(gòu)，這對(duì)于需要故障安全并在某些情況下繼續(xù)在出現(xiàn)故障的情況下繼續(xù)運(yùn)行的系統(tǒng)來說似乎是一個(gè)遺漏。預(yù)期似乎是系統(tǒng)將是單通道的，而特別是工業(yè)和機(jī)器安全仍然受到EN 954和雙通道安全要求的嚴(yán)重影響。在實(shí)施雙通道安全的情況下，IEC 61508確實(shí)允許降低診斷測(cè)試率，這是有用的，但I(xiàn)SO 26262沒有明顯的余量。我還發(fā)現(xiàn) ISO 26262 中與 ASIL 分解相關(guān)的要求比 IEC 61508 中的要求復(fù)雜得多，但 ISO26262 在允許 ASIL A （D） + ASIL C （D） 等東西制作 ASIL D 系統(tǒng)方面更加靈活，而 IEC 61508 中的元素合成會(huì)將您限制為 SIL 2 + SIL 2 = SIL 3，而不允許 SIL 1 + SIL2 = SIL 3。

環(huán)境也存在差異。例如，20年的使用壽命在工業(yè)中并不罕見，因?yàn)樵O(shè)備每天24小時(shí)運(yùn)行。然而，在6年的使用壽命中，汽車的使用壽命可能只有15個(gè)月的有效運(yùn)行。事實(shí)上，對(duì)于汽車來說，典型的使用場(chǎng)景是系統(tǒng)開機(jī)一小時(shí)，然后關(guān)閉幾個(gè)小時(shí)。實(shí)際上，操作的占空比非常低。這需要納入任何可靠性預(yù)測(cè)中。此外，每次汽車啟動(dòng)時(shí)都是運(yùn)行診斷的好時(shí)機(jī)。幾十毫秒可能不會(huì)被注意到。這對(duì)于運(yùn)行診斷以幫助滿足潛在故障指標(biāo)特別有用。汽車的缺點(diǎn)是汽車是移動(dòng)的，因此可能會(huì)給自己帶來麻煩。這是汽車對(duì)EMC要求非?？量痰牟糠衷颉?/p>

審核編輯：郭婷