汽车与工业功能安全

直到2011年，汽车功能安全开发都使用IEC 61508，但在2011年发布了IS1的修订版026262，然后在2年底发布了修订版2018。我相信修订版 3 的工作已经开始。ISO 26262 是对 ISO 26262 的汽车解释。如果您不相信我，请参阅ISO 26262-1：2011，介绍的第一行。ISO 26262-10：2012 子条款 4.1 的标题为“汽车系统的功能安全（与 IEC 61508 的关系）”，长达两页。

以下是一些声称的差异。

IEC 61508 专为小容量系统而设计

IEC 61508 应用允许现场验证

IEC 61508没有为分布式开发指定任何措施

IEC 61508没有强制要求使用特定方法来进行危害分析，但ISO 26262指定了风险图

IEC 61508 基于概率

IEC 61508 不支持连续模式安全功能

列出的一些比较我同意，但我不同意其他比较。本博客的其余部分将讨论对我来说最重要的差异。

第一个值得注意的事实是ISO 26262的大小。版本 1 有 10 个部件，但版本 2 已扩展为包括专用于半导体和摩托车的新部件。IEC 7的61508部分总共约650页，但仅ISO 11的前26262部分就总共760页。IEC 61508 的大多数其他领域特定解释仅分为 1 部分，而 IEC 61511 则分为 3 部分。

一个更明显的区别是，汽车使用ASIL而不是SIL来衡量对要实现的安全性的信心。ASIL仅代表汽车安全完整性等级。下一个最明显的变化是，虽然汽车人保留了四个级别，但他们称它们为A，B，C和D，而不是SIL 1到4。我被告知这是为了避免错误的量化感。ASIL D大约等于SIL 3，因为车祸中的最大伤亡人数可能少于4人。不需要等效的SIL 10，通常用于铁路，过程控制和核工业，其中100，1000或<>人可能会死亡。

图 1：使用诊断覆盖范围和危险故障率指标比较 ASIL 和 SIL。

此外，汽车具有QM评级，以反映按照正常质量管理体系开发的零件，这实际上相当于SIL 0（不存在，但你知道我的意思）。然而，即使使用QM，您仍然可以获得APQP（高级产品质量规划）所需的所有严格要求，包括需要进行DFMEA。对于汽车开发，QM系统可能基于ISO / TS 16949，该ISO 9001（用作大多数工业质量管理体系的基础）。就我个人而言，我喜欢 ASIL C，因为 99% 的诊断覆盖率在单通道系统中很难实现，但 97% 的诊断覆盖率可以通过努力实现。

我想讨论的下一个区别是 SIL 分配。ISO 26262指定使用风险图，其中暴露于危害，伤害严重程度和可控性组合在一个表格中，以产生ASIL水平。

图 2：ISO 26262 的 ASIL 分配

在工业中，有时会使用风险图，例如参见IEC 62061，但量化方法也用于每年暴露小时数的工程估计等。IEC 61508必须允许更多方法，因为它是适合针对不同领域定制的基本安全标准。

IEC 61508的一个关键概念是安全功能。工业中的安全功能通常由传感器、逻辑和执行器组成，旨在实现或保持安全状态。我相信它在ISO 26262中最接近的等价物是安全机制。在安全机制之上，ISO 26262讨论了安全目标（高级安全目标），这导致了功能安全概念，从而导致功能安全要求，从而导致安全措施。安全措施包括安全机制。在这两种情况下，安全功能或安全目标都是解决特定的危险事件。

两个标准对安全和危险故障的定义不同。ISO 26262 中安全失效的定义更接近于未引入影响失效之前的 IEC 61508 修订版 1 中的定义。根据ISO 26262有效，如果故障不危险，则它是安全的。ISO 26262还具有潜在故障指标的概念，该指标可有效诊断您的诊断。在IEC 61508中，情况并不那么清楚，许多人认为危险故障的定义需要在诊断中包含诊断，而其他人则认为，由于诊断失败不会导致安全功能的立即故障，因此没有必要。此外，虽然工业允许以需求率的100倍运行诊断申请信用，但ISO 26262没有这样的津贴。根据ISO 26262要求诊断信用，系统需要能够在过程安全时间内达到安全状态。

关于冗余和硬件容错，ISO 26262 不知道 MooN 架构，这对于需要故障安全并在某些情况下继续在出现故障的情况下继续运行的系统来说似乎是一个遗漏。预期似乎是系统将是单通道的，而特别是工业和机器安全仍然受到EN 954和双通道安全要求的严重影响。在实施双通道安全的情况下，IEC 61508确实允许降低诊断测试率，这是有用的，但ISO 26262没有明显的余量。我还发现 ISO 26262 中与 ASIL 分解相关的要求比 IEC 61508 中的要求复杂得多，但 ISO26262 在允许 ASIL A （D） + ASIL C （D） 等东西制作 ASIL D 系统方面更加灵活，而 IEC 61508 中的元素合成会将您限制为 SIL 2 + SIL 2 = SIL 3，而不允许 SIL 1 + SIL2 = SIL 3。

环境也存在差异。例如，20年的使用寿命在工业中并不罕见，因为设备每天24小时运行。然而，在6年的使用寿命中，汽车的使用寿命可能只有15个月的有效运行。事实上，对于汽车来说，典型的使用场景是系统开机一小时，然后关闭几个小时。实际上，操作的占空比非常低。这需要纳入任何可靠性预测中。此外，每次汽车启动时都是运行诊断的好时机。几十毫秒可能不会被注意到。这对于运行诊断以帮助满足潜在故障指标特别有用。汽车的缺点是汽车是移动的，因此可能会给自己带来麻烦。这是汽车对EMC要求非常苛刻的部分原因。

审核编辑：郭婷