ZHCADK4 December 2023 AM2432 , AM2434 , AM6421 , AM6422 , AM6441 , AM6442
在 HARA 分析过程中,识别的每个危害都会归为 SIL | ASIL 的四个等级之一。SIL | ASIL 等级越高,危害风险越大,因此安全要求也越高。IEC 61508 是一个适用于许多行业(包括工业应用)的功能安全标准,该标准定义了 SIL 等级。ISO 26262 标准定义了 ASIL 等级,该等级特定于汽车行业。国际电工委员会 (IEC) 61508 与 ISO 26262 标准的目标相似,但使用了不同的方法和安全度量指标。
在 IEC 61508 中,根据 C 后果(4 个等级)、F 频率和暴露时间(2 个等级)、P 未能避免特定危害的可能性(2 个等级)和 W 意外事件的可能性(3 个等级)这几个方面对每个危害进行了分类。基于此,使用图 3-1 中的以下风险矩阵将每种危害分类为 SIL 1 至 SIL 4(SIL 1 的伤害风险最低)。
ISO 26262 标准使用 S、E、C(严重度、暴露度、可控性)对每种危害进行分类。伤害的严重度评估分为三个等级。暴露度于潜在危险情况下的概率评估分为四个等级。可控性(即可以避免危害的程度)评估分为三个等级。基于此,每个危害可在质量管理 (QM) 到 ASIL D 范围内进行分级,如图 3-2 所示。QM 等级表示该危害风险不需要专门的安全目标。对于集成电路 (IC),标准半导体质量管理型设计和制造工艺足以满足 QM 等级。
为危害指定 SIL | ASIL 等级后,定义安全目标,将危害降低到 SIL | ASIL 度量指标定义的可接受水平。IEC 61508 和 ISO 26262 都将时基故障率作为定义可接受风险级别的一个关键合规性度量指标。时基故障(FIT,Failures In Time)定义为运行 109 小时(即运行 10 亿个小时)间隔内的时基故障数。
并非所有故障都具有相同的潜在危害,因此故障分为不同的类别,例如非安全相关故障、检测出的安全故障、未检测出的安全故障、检测出的危险故障和未检测出的危险故障。最关键的故障类别是未检测出的危险故障,原因显而易见。其他故障类别不会产生安全问题,或者可以通过硬件诊断和软件诊断来检测,从而得以减轻来消除任何潜在的损害。
表 3-1 和表 3-2 列出了 IEC 61508 SIL 和 ISO 26262 ASIL 度量指标。
HFT = 0 | HFT = 1 | |||
---|---|---|---|---|
SIL 等级(B 类系统) | PFH | SFF | PFH | SFF |
SIL 1 | ≤ 1000 FIT | ≥60% | ≤ 1000 FIT | < 60% |
SIL 2 | ≤ 100 FIT | ≥ 90% | ≤ 100 FIT | ≥ 60% |
SIL 3 | ≤ 10 FIT | ≥ 99% | ≤ 10 FIT | ≥ 90% |
SIL 4 | 无法达到 | ≤ 1 FIT | ≥ 99% |
ASIL 等级 | PMHF | SPFM | LFM |
---|---|---|---|
ASIL A | ≤ 1000 FIT | 未指定 | 未指定 |
ASIL B | ≤ 100 FIT | ≥ 90% | ≥ 60% |
ASIL C | ≤ 100 FIT | ≥ 97% | ≥ 80% |
ASIL D | ≤ 10 FIT | ≥ 99% | ≥ 90% |
IEC 61508 标准使用 PFH (Probability of Failure per Hour),即每小时失效概率,是每小时未检测出的危险故障 总数。SFF 是安全失效分数 (Safe Failure Fraction),表示未分类为未检测出的危险故障在所有故障类型中所占的百分比。
与 PFH 度量指标类似,ISO 26262 使用 PMHF(硬件随机失效度量指标,Probabilistic Metric for random Hardware Failures)表示未检测出的危险故障 总数。单点故障指标(SPFM,Single Point Fault Metric)类似于 IEC 的 61508 SFF。IEC 61508 和 ISO 26262 之间的主要区别之一是,ISO 26262 标准添加了潜在故障度量指标(LFM,Latent Fault Metric)。LFM 是与诊断硬件相关的故障,且可视为一种隐藏的故障,因为在正常运行期间无法检测出 LFM,其仅在未检测出可检测的故障时才会出现。为了改进 LFM 度量指标,必须将硬件诊断设计为在现场部署之前对诊断进行广泛测试。