【工程师博客】汽车与工业功能安全

六年前,我成了ADI公司工业产品功能安全负责人。但是,在此之前,我在汽车部门工作了九年,在那里,我学到了有关汽车EMC的大量知识,并开启了我的功能安全职业生涯,开始从事安全气囊传感器方面的工作。

2011年之前,汽车功能安全开发采用IEC 61508,但在2011年,第1版IS026262发布,接着在2018年底,第2版发布。我想,第3版的修订工作已经开始。ISO 26262是ISO 26262派生出的汽车版本标准。如果你不相信,可以查看ISO 26262-1:2011简介部分第一行。ISO 26262-10:2012第4.1条标题为“汽车系统的功能安全(与IEC 61508的关系)”,内容共有两页。

下面列出了部分不同之处。

  • IEC 61508为低容量系统设计
  • IEC 61508的应用允许现场验证
  • IEC 61508未指定任何分布式开发措施
  • IEC 61508没有强制要求通过某个具体方法来执行危害分析,但ISO 26262指定了风险图
  • IEC 61508以概率为基础
  • IEC 61508不支持连续模式安全功能

在列出的对比中,我对部分内容表示认同,对其他内容则不认同。这篇博客的剩余部分将讨论我认为最重要的差异。

第一个值得注意的事实是ISO 26262的大小。第1版有10个部分,但第2版扩充了内容,新增了专门介绍半导体和摩托车的部分。IEC 61508的7个部分总归约650页,但ISO 26262仅前11个部分就有760页。大多数其他特定于领域的IEC 61508解读只占用1个部分,但IEC 61511则不同,占用了3个部分。

一个更加明显的不同之处是,汽车使用ASIL来衡量对要实现的安全性的信心,而不是SIL。ASIL是汽车安全完整性等级的缩写。下一个最明显的变化是,汽车领域划分了四个等级,分别称之为A、B、C和D,而不是SIL中的1到4。据说这是为了避免产生错误的量化感。ASIL D大约相当于SIL 3,依据是一起汽车事故中的最大伤亡人数可能少于6人。SIL 4不需要相应等级,因为它通常用于铁路、过程控制及核工业,死亡人数可能高达数十、数百或数千人。

图1:使用诊断覆盖率和危险故障率指标比较ASIL和SIL

此外,汽车具备QM等级,以体现专为正常质量管理体系开发的部分,该等级实际上相当于SIL 0(并不存在,明白这个意思就好)。然而,即使有了QM,你仍然需要遵守APQP(高级产品质量规划)的所有严格要求,包括执行DFMEA的需求。对于汽车开发,QM体系可能基于ISO/TS 16949,而ISO/TS 16949基于ISO 9001(用作大多数行业质量管理体系的基础)。个人而言,我喜欢ASIL C,因为在单通道系统中,99%的诊断覆盖率非常难实现,但只要努力,就可以达到97%。

我要讨论的下一个不同之处是SIL分配。ISO 26262指定使用风险图,人们综合考虑表中的危害风险、受伤严重程度和可控性来确定ASIL等级。

图2:来自ISO 26262的ASIL分配

在工业领域,有时会使用风险图,例如参见IEC 62061,但也会使用量化方法与每年暴露时间等工程估算。IEC 61508必须允许更多方法,因为其作为基本安全标准的角色适合针对不同领域进行定制。

IEC 61508中的一个关键概念是安全功能。在工业领域,安全功能通常包括旨在实现或维持安全状态的传感器、逻辑和执行器。我认为,在ISO 26262中,最接近的概念应该是安全机制。根据安全机制,ISO 26262探讨了安全目标(高水平安全目标),从而依次引出了功能安全概念、功能安全要求、安全措施。安全措施包括安全机制。在这两种情况下,安全功能或安全目标都是为了解决特定危险事件。

这两个标准对安全和危险故障的定义不同。ISO 26262中的安全故障定义更类似于IEC 61508第1版中没有引入影响故障之前的定义。实际上,在ISO 26262中,如果故障不危险,那么就是安全的。ISO 26262还提出了潜在故障指标的概念,这是基于你的诊断进行的有效诊断。IEC 61508中的概念并不明确,关于危险故障的定义是否需要包含基于你的诊断的诊断,许多人争论不休,而既然诊断失败不会导致安全功能立即发生故障,那么安全功能毫无必要,这一问题也是争论重点。虽然行业允许将以100倍需求率运行的诊断作为基础,但ISO 26262中并未有此规定。如果ISO 26262也允许以诊断为基础,那么系统需要能够在过程安全时间内达到安全状态。

关于冗余和硬件容错,ISO 26262没有MooN架构的概念,对于需要故障保护且有时在存在故障的情况下需要继续操作的系统,似乎遗漏了相关内容。预期是系统将为单通道,而EN 954仍然会对工业和机器安全产生重要影响,并且需要双通道安全。实施双通道安全后,IEC 61508允许降低诊断测试率,这很有用,但ISO 26262并未明确允许。我还发现,ISO 26262中与ASIL分解相关的要求比IEC 61508复杂得多,但在允许ASIL A (D) + ASIL C (D)构成ASIL D系统方面,ISO26262更加灵活,而IEC 61508中的综合元素仅限制使用SIL 2 + SIL 2 = SIL 3,不允许SIL 1 + SIL2 = SIL 3。

关于环境,也存在不同之处。例如,在工业领域,对于每天24小时运转的设备,20年寿命是常见要求。然而,汽车领域的寿命可能长达15年,但只有6个月有效操作时间。事实上,汽车领域的一个典型使用场景是系统通电一小时,然后关闭数小时。操作的占空比其实非常低。在任何可靠性预测中都需要考虑到这一点。此外,每次启动汽车时,都是运行诊断的好时机。数十毫秒可能不会引起人们的注意。这对于运行诊断以帮助满足潜在故障指标特别有用。汽车的缺点在于,汽车是移动的,因此会遇到麻烦。再加上其他一些原因,这就导致了汽车的EMC要求非常严格。汽车的另一个问题是,在大多数工业应用领域,用户是经过专业培训且受监督的操作员和工程师;而汽车领域更多的是面向普罗大众。因此,可以说注意义务更高。

我没有详细介绍的一些其他差异包括

  • 汽车领域没有检验的概念。主要关注的是工业中的过程控制。
  • 汽车领域没有低需求,各方面需求都非常高或者是连续需求(尽管根据IEC 61508,对于安全气囊,没有任何火灾危害是低需求)
  • IEC 61508具有大量支持标准,包括用于网络的IEC 61784-3,而ISO 26262必须处理所有方面

上述内容概括总结了这篇博客的主要内容。其中一个标准中的缺陷或许可以通过该标准应用中的某个其他步骤来缓解。因此,只关注技术和措施而不考虑整体情况是错误的。总而言之,这两个标准具有相同的目标,即保护人们的安全,工作重叠率可能达到90%;但是,如果你想要选择为一个领域开发的产品,并将其用于另一个领域,就会出现问题。ISO 26262的确提出了一些不错的概念,如SEooC(独立安全单元)(你不知道将如何在最终系统中使用的设计)、DIA(开发接口协议)、安全文化等,我认为这些内容是对IEC 61508的重要补充。

最后,我必须抱怨一下首字母缩略词FuSa。就不能使用FS作为功能安全(Functional Safety)的首字母缩略词吗?我在IEC 61508工作小组会议上提出了这一问题,所有人都表示没有听过FuSa。我想,在半导体公司工作时,你肯定也会碰到汽车功能安全。