ISO 26262-10(2018)应用指南:与 IEC 61508 关系 / SEooC 用例 / PMHF 解释

IEC 61508 围绕 "Equipment Under Control" + "Safety Instrumented Function"——SIF 是独立保护系统,EUC 是被控对象。汽车里两者边界模糊——主驱 ECU 既是控制(产生扭矩)又是安全(扭矩监控)。所以 ISO 26262 不强制 EUC / SIF 划分。

IEC 61508 的 SIL 由 Severity × Frequency 决定。ISO 26262 ASIL 加了 Controllability(司机能否纠正)——这是汽车 specific 的:司机踩刹车能避免一些 hazard,所以同样的 S/E,有 controllability 后 ASIL 可降。

IEC 61508 适合"低批量定制系统"(化工厂)——build → install → validate。汽车是"千万量产 + release 前 validate"——Validation 在量产前完成,Part 7 处理量产后阶段(IEC 61508 没有对应)。

IEC 61508 不处理多 supplier 协作;ISO 26262 有专门的 DIA(Development Interface Agreement,在 Part 8 Clause 5)规定 OEM ↔ Tier 1 ↔ Tier 2 责任划分。

FIT = Failure In Time = 每 $10^9$ 小时一次失效 = $1/10^9$ 失效率/小时。等价 = 每年每 1 万颗器件 ~0.0876 次失效。

10 FIT × Vehicle lifetime(15 年 × 8000 hr 驾驶 = 120,000 hr)= 1.2 × 10⁻³ 次/车 = 0.12% 概率单车寿命内发生 dangerous failure。

实际工程:一个 ECU 几百 FIT 总失效率,要降到 ≤ 10 FIT dangerous failure rate 必须靠周期诊断把 70%+ 失效转成 detected(见 Part 5 hardware)。

简化公式:

工程实务:latent fault 项是关键贡献——前两项 SPFM 控制后较小,latent fault 经过 lifetime 累积变大,所以周期诊断把 latent 转 detected 是降 PMHF 的最有效手段。

例:Inverter 模块作为 SEooC 卖给多个 Tier 1。

工作产品:

• Assumed Item Definition(假设 inverter 用在哪种 vehicle / 怎么用)
• Assumed safety goals(假设 SG1/2/3,包含 ASIL)
• Assumed FSC + TSC
• 自己做完 Part 5/6 设计 / 验证
• AoU(integrator 必须遵守的假设)

例:MCU 作为 SEooC 卖给多个 inverter 厂(NXP MPC5744P 类)。

工作产品:

• Assumed system context(MCU 怎么用,跑什么任务)
• Assumed ASIL (典型 ASIL D)
• 完整 Part 5 work products(SPFM/LFM/PMHF + FMEDA)
• AoU(系统级要做什么诊断 / 配什么 SBC)

例:RTOS / motor control library / SecOC stack 作为 SEooC。

工作产品:

• Assumed software context(在哪个 MCU 上跑,什么 RTOS)
• Assumed ASIL
• 完整 Part 6 work products(单元测试 / 覆盖率 / MISRA)
• AoU(integrator 怎么调 API / 配置参数)