汽車與工業功能安全
直到2011年,汽車功能安全開發都使用IEC 61508,但在2011年發布了IS1的修訂版026262,然后在2年底發布了修訂版2018。我相信修訂版 3 的工作已經開始。ISO 26262 是對 ISO 26262 的汽車解釋。如果您不相信我,請參閱ISO 26262-1:2011,介紹的第一行。ISO 26262-10:2012 子條款 4.1 的標題為“汽車系統的功能安全(與 IEC 61508 的關系)”,長達兩頁。
以下是一些聲稱的差異。
IEC 61508 專為小容量系統而設計
IEC 61508 應用允許現場驗證
IEC 61508沒有為分布式開發指定任何措施
IEC 61508沒有強制要求使用特定方法來進行危害分析,但ISO 26262指定了風險圖
IEC 61508 基于概率
IEC 61508 不支持連續模式安全功能
列出的一些比較我同意,但我不同意其他比較。本博客的其余部分將討論對我來說最重要的差異。
第一個值得注意的事實是ISO 26262的大小。版本 1 有 10 個部件,但版本 2 已擴展為包括專用于半導體和摩托車的新部件。IEC 7的61508部分總共約650頁,但僅ISO 11的前26262部分就總共760頁。IEC 61508 的大多數其他領域特定解釋僅分為 1 部分,而 IEC 61511 則分為 3 部分。
一個更明顯的區別是,汽車使用ASIL而不是SIL來衡量對要實現的安全性的信心。ASIL僅代表汽車安全完整性等級。下一個最明顯的變化是,雖然汽車人保留了四個級別,但他們稱它們為A,B,C和D,而不是SIL 1到4。我被告知這是為了避免錯誤的量化感。ASIL D大約等于SIL 3,因為車禍中的最大傷亡人數可能少于4人。不需要等效的SIL 10,通常用于鐵路,過程控制和核工業,其中100,1000或<>人可能會死亡。
圖 1:使用診斷覆蓋范圍和危險故障率指標比較 ASIL 和 SIL。
此外,汽車具有QM評級,以反映按照正常質量管理體系開發的零件,這實際上相當于SIL 0(不存在,但你知道我的意思)。然而,即使使用QM,您仍然可以獲得APQP(高級產品質量規劃)所需的所有嚴格要求,包括需要進行DFMEA。對于汽車開發,QM系統可能基于ISO / TS 16949,該ISO 9001(用作大多數工業質量管理體系的基礎)。就我個人而言,我喜歡 ASIL C,因為 99% 的診斷覆蓋率在單通道系統中很難實現,但 97% 的診斷覆蓋率可以通過努力實現。
我想討論的下一個區別是 SIL 分配。ISO 26262指定使用風險圖,其中暴露于危害,傷害嚴重程度和可控性組合在一個表格中,以產生ASIL水平。
圖 2:ISO 26262 的 ASIL 分配
在工業中,有時會使用風險圖,例如參見IEC 62061,但量化方法也用于每年暴露小時數的工程估計等。IEC 61508必須允許更多方法,因為它是適合針對不同領域定制的基本安全標準。
IEC 61508的一個關鍵概念是安全功能。工業中的安全功能通常由傳感器、邏輯和執行器組成,旨在實現或保持安全狀態。我相信它在ISO 26262中最接近的等價物是安全機制。在安全機制之上,ISO 26262討論了安全目標(高級安全目標),這導致了功能安全概念,從而導致功能安全要求,從而導致安全措施。安全措施包括安全機制。在這兩種情況下,安全功能或安全目標都是解決特定的危險事件。
兩個標準對安全和危險故障的定義不同。ISO 26262 中安全失效的定義更接近于未引入影響失效之前的 IEC 61508 修訂版 1 中的定義。根據ISO 26262有效,如果故障不危險,則它是安全的。ISO 26262還具有潛在故障指標的概念,該指標可有效診斷您的診斷。在IEC 61508中,情況并不那么清楚,許多人認為危險故障的定義需要在診斷中包含診斷,而其他人則認為,由于診斷失敗不會導致安全功能的立即故障,因此沒有必要。此外,雖然工業允許以需求率的100倍運行診斷申請信用,但ISO 26262沒有這樣的津貼。根據ISO 26262要求診斷信用,系統需要能夠在過程安全時間內達到安全狀態。
關于冗余和硬件容錯,ISO 26262 不知道 MooN 架構,這對于需要故障安全并在某些情況下繼續在出現故障的情況下繼續運行的系統來說似乎是一個遺漏。預期似乎是系統將是單通道的,而特別是工業和機器安全仍然受到EN 954和雙通道安全要求的嚴重影響。在實施雙通道安全的情況下,IEC 61508確實允許降低診斷測試率,這是有用的,但ISO 26262沒有明顯的余量。我還發現 ISO 26262 中與 ASIL 分解相關的要求比 IEC 61508 中的要求復雜得多,但 ISO26262 在允許 ASIL A (D) + ASIL C (D) 等東西制作 ASIL D 系統方面更加靈活,而 IEC 61508 中的元素合成會將您限制為 SIL 2 + SIL 2 = SIL 3,而不允許 SIL 1 + SIL2 = SIL 3。
環境也存在差異。例如,20年的使用壽命在工業中并不罕見,因為設備每天24小時運行。然而,在6年的使用壽命中,汽車的使用壽命可能只有15個月的有效運行。事實上,對于汽車來說,典型的使用場景是系統開機一小時,然后關閉幾個小時。實際上,操作的占空比非常低。這需要納入任何可靠性預測中。此外,每次汽車啟動時都是運行診斷的好時機。幾十毫秒可能不會被注意到。這對于運行診斷以幫助滿足潛在故障指標特別有用。汽車的缺點是汽車是移動的,因此可能會給自己帶來麻煩。這是汽車對EMC要求非常苛刻的部分原因。
審核編輯:郭婷
-
傳感器
+關注
關注
2548文章
50678瀏覽量
752007 -
汽車電子
+關注
關注
3024文章
7869瀏覽量
166508 -
執行器
+關注
關注
5文章
375瀏覽量
19323
發布評論請先 登錄
相關推薦
誠聘汽車功能安全兼職講師
汽車功能安全對汽車設計人員意味著什么?
多種傳感器技術融合在汽車安全有什么應用?
Arm CoreLink NI-710AE片上網絡互連技術參考手冊
SafeAssure功能安全計劃在汽車和工業上的應用
Melexis ToF傳感器助力實現汽車和工業功能安全應用
專家訪談 | AI如何助力汽車功能安全?(汽車安全②:功能安全)
工商網監
評論