ZHCADK4A December 2023 – May 2024 AM2432 , AM2434 , AM6421 , AM6422 , AM6441 , AM6442
3 SIL 和 ASIL 分级
对于很多工业应用,SIL 等级用于对危险进行分级并定义安全概念元件的可接受故障率。国际电工委员会 (IEC) 61508 功能安全标准中定义了分配 SIL 等级的条件。IEC 61508 广泛应用于许多行业,涵盖了包含电气、电子或可编程电子器件(或这三种功能的任意组合)的安全相关系统。
在 IEC 61508 中,根据后果、频率和暴露时间、未能避免特定危害的可能性和意外事件的可能性这几个方面对每个危害进行了分类。
图 3-1 展示了用于将每种危害分类为 SIL 1 至 SIL 4(SIL 1 的伤害风险最低)的矩阵。
图 3-1 IEC 61508 风险图、危害分级矩阵对于汽车应用,使用 ASIL 等级对危险进行分级和定义安全概念元件的可接受故障率。国际标准化组织 (ISO) 26262 标准中定义了分配 ASIL 等级的条件。IEC 61508 与 ISO 26262 的目标相似,但使用了不同的方法和安全度量指标
ISO 26262 使用 S 严重性或危害、E 暴露的可能性以及 C 可控性(可以避免危害的程度)对每个危害进行分级。通过使用图 3-2 所示的矩阵,每个危害被归类为质量管理 (QM) 或从 ASIL A 到 ASIL D 的 4 个等级之一。QM 等级表示识别的危害不需要专门的安全目标来降低风险,而 ASIL D 等级表示最高的潜在危害风险。
图 3-2 ISO 26262 危害分级矩阵时基故障率是用于定义 IEC 61508 和 ISO 26262 中可接受风险等级的关键合规性指标。时基故障 (FIT, Failures In Time) 定义为运行 109 小时(即运行 10 亿个小时)间隔内的时基故障数。
并非所有故障都具有相同的潜在危害,因此故障分为不同的类别,例如非安全相关故障、检测出的安全故障、未检测出的安全故障、检测出的危险故障和未检测出的危险故障。原因很明显,最关键的类别是未检测出的危险故障。其他故障类别不会产生严重的安全问题,或者可以通过诊断来检测,从而得以减轻来消除任何潜在的危害。元件级别的时基故障率定义随着时间的推移可能发生的最大未检测出的危险故障数。
表 3-1 和表 3-2 列出了 IEC 61508 SIL 和 ISO 26262 ASIL 度量指标。
| HFT = 0 | HFT = 1 | |||
|---|---|---|---|---|
| SIL 等级(B 类系统) | PFH | SFF | PFH | SFF |
| SIL 1 | ≤ 1000 FIT | ≥60% | ≤ 1000 FIT | < 60% |
| SIL 2 | ≤ 100 FIT | ≥ 90% | ≤ 100 FIT | ≥ 60% |
| SIL 3 | ≤ 10 FIT | ≥ 99% | ≤ 10 FIT | ≥ 90% |
| SIL 4 | 无法达到 | ≤ 1 FIT | ≥ 99% | |
| ASIL 等级 | PMHF | SPFM | LFM |
|---|---|---|---|
| ASIL A | ≤ 1000 FIT | 未指定 | 未指定 |
| ASIL B | ≤ 100 FIT | ≥ 90% | ≥ 60% |
| ASIL C | ≤ 100 FIT | ≥ 97% | ≥ 80% |
| ASIL D | ≤ 10 FIT | ≥ 99% | ≥ 90% |
IEC 61508 标准使用每小时失效概率 (PFH, Probability of Failure per Hour) 来表示每小时未检测出的危险故障 总数。安全失效分数 (SFF, Safe Failure Fraction) 表示不属于未检测出的危险故障的故障所占的百分比。
与 PFH 度量指标类似,ISO 26262 使用硬件随机失效度量指标 (PMHF, Probabilistic Metric for random Hardware Failures) 表示未检测出的危险故障总数。单点故障指标 (SPFM, Single Point Fault Metric) 类似于 SFF。
ISO 26262 添加了一种用于 IEC 61508 中没有的诊断硬件的附加故障度量,称为潜在故障度量指标 (LFM, Latent Fault Metric)。诊断硬件故障被视为潜在故障,因为在正常运行期间无法检测到故障,只有在未检测到可检测到的故障时才会发现故障。为了减少 LFM 故障的数量,诊断硬件的设计必须具有较高的测试覆盖率,并在现场部署之前进行广泛的测试。