直到2011年，汽車功能安全開發(fā)都使用IEC 61508，但在2011年發(fā)布了IS1的修訂版026262，然后在2年底發(fā)布了修訂版2018。我相信修訂版 3 的工作已經(jīng)開始。ISO 26262 是對 ISO 26262 的汽車解釋。如果您不相信我，請參閱ISO 26262-1：2011，介紹的第一行。ISO 26262-10：2012 子條款 4.1 的標題為“汽車系統(tǒng)的功能安全（與 IEC 61508 的關(guān)系）”，長達兩頁。

以下是一些聲稱的差異。

IEC 61508 專為小容量系統(tǒng)而設(shè)計

IEC 61508 應(yīng)用允許現(xiàn)場驗證

IEC 61508沒有為分布式開發(fā)指定任何措施

IEC 61508沒有強制要求使用特定方法來進行危害分析，但ISO 26262指定了風險圖

IEC 61508 基于概率

IEC 61508 不支持連續(xù)模式安全功能

列出的一些比較我同意，但我不同意其他比較。本博客的其余部分將討論對我來說最重要的差異。

第一個值得注意的事實是ISO 26262的大小。版本 1 有 10 個部件，但版本 2 已擴展為包括專用于半導體和摩托車的新部件。IEC 7的61508部分總共約650頁，但僅ISO 11的前26262部分就總共760頁。IEC 61508 的大多數(shù)其他領(lǐng)域特定解釋僅分為 1 部分，而 IEC 61511 則分為 3 部分。

一個更明顯的區(qū)別是，汽車使用ASIL而不是SIL來衡量對要實現(xiàn)的安全性的信心。ASIL僅代表汽車安全完整性等級。下一個最明顯的變化是，雖然汽車人保留了四個級別，但他們稱它們?yōu)锳，B，C和D，而不是SIL 1到4。我被告知這是為了避免錯誤的量化感。ASIL D大約等于SIL 3，因為車禍中的最大傷亡人數(shù)可能少于4人。不需要等效的SIL 10，通常用于鐵路，過程控制和核工業(yè)，其中100，1000或<>人可能會死亡。

圖 1：使用診斷覆蓋范圍和危險故障率指標比較 ASIL 和 SIL。

此外，汽車具有QM評級，以反映按照正常質(zhì)量管理體系開發(fā)的零件，這實際上相當于SIL 0（不存在，但你知道我的意思）。然而，即使使用QM，您仍然可以獲得APQP（高級產(chǎn)品質(zhì)量規(guī)劃）所需的所有嚴格要求，包括需要進行DFMEA。對于汽車開發(fā)，QM系統(tǒng)可能基于ISO / TS 16949，該ISO 9001（用作大多數(shù)工業(yè)質(zhì)量管理體系的基礎(chǔ)）。就我個人而言，我喜歡 ASIL C，因為 99% 的診斷覆蓋率在單通道系統(tǒng)中很難實現(xiàn)，但 97% 的診斷覆蓋率可以通過努力實現(xiàn)。

我想討論的下一個區(qū)別是 SIL 分配。ISO 26262指定使用風險圖，其中暴露于危害，傷害嚴重程度和可控性組合在一個表格中，以產(chǎn)生ASIL水平。

圖 2：ISO 26262 的 ASIL 分配

在工業(yè)中，有時會使用風險圖，例如參見IEC 62061，但量化方法也用于每年暴露小時數(shù)的工程估計等。IEC 61508必須允許更多方法，因為它是適合針對不同領(lǐng)域定制的基本安全標準。

IEC 61508的一個關(guān)鍵概念是安全功能。工業(yè)中的安全功能通常由傳感器、邏輯和執(zhí)行器組成，旨在實現(xiàn)或保持安全狀態(tài)。我相信它在ISO 26262中最接近的等價物是安全機制。在安全機制之上，ISO 26262討論了安全目標（高級安全目標），這導致了功能安全概念，從而導致功能安全要求，從而導致安全措施。安全措施包括安全機制。在這兩種情況下，安全功能或安全目標都是解決特定的危險事件。

兩個標準對安全和危險故障的定義不同。ISO 26262 中安全失效的定義更接近于未引入影響失效之前的 IEC 61508 修訂版 1 中的定義。根據(jù)ISO 26262有效，如果故障不危險，則它是安全的。ISO 26262還具有潛在故障指標的概念，該指標可有效診斷您的診斷。在IEC 61508中，情況并不那么清楚，許多人認為危險故障的定義需要在診斷中包含診斷，而其他人則認為，由于診斷失敗不會導致安全功能的立即故障，因此沒有必要。此外，雖然工業(yè)允許以需求率的100倍運行診斷申請信用，但ISO 26262沒有這樣的津貼。根據(jù)ISO 26262要求診斷信用，系統(tǒng)需要能夠在過程安全時間內(nèi)達到安全狀態(tài)。

關(guān)于冗余和硬件容錯，ISO 26262 不知道 MooN 架構(gòu)，這對于需要故障安全并在某些情況下繼續(xù)在出現(xiàn)故障的情況下繼續(xù)運行的系統(tǒng)來說似乎是一個遺漏。預(yù)期似乎是系統(tǒng)將是單通道的，而特別是工業(yè)和機器安全仍然受到EN 954和雙通道安全要求的嚴重影響。在實施雙通道安全的情況下，IEC 61508確實允許降低診斷測試率，這是有用的，但ISO 26262沒有明顯的余量。我還發(fā)現(xiàn) ISO 26262 中與 ASIL 分解相關(guān)的要求比 IEC 61508 中的要求復雜得多，但 ISO26262 在允許 ASIL A （D） + ASIL C （D） 等東西制作 ASIL D 系統(tǒng)方面更加靈活，而 IEC 61508 中的元素合成會將您限制為 SIL 2 + SIL 2 = SIL 3，而不允許 SIL 1 + SIL2 = SIL 3。

環(huán)境也存在差異。例如，20年的使用壽命在工業(yè)中并不罕見，因為設(shè)備每天24小時運行。然而，在6年的使用壽命中，汽車的使用壽命可能只有15個月的有效運行。事實上，對于汽車來說，典型的使用場景是系統(tǒng)開機一小時，然后關(guān)閉幾個小時。實際上，操作的占空比非常低。這需要納入任何可靠性預(yù)測中。此外，每次汽車啟動時都是運行診斷的好時機。幾十毫秒可能不會被注意到。這對于運行診斷以幫助滿足潛在故障指標特別有用。汽車的缺點是汽車是移動的，因此可能會給自己帶來麻煩。這是汽車對EMC要求非?？量痰牟糠衷颉?/p>

審核編輯：郭婷