在科技高速发展,现代工业水平日益提高的今天,大量具备智能化及自动化功能的电子电气设备及系统,正不断应用于各种生产制造场景当中。但电子电气系统复杂性的提升,也提高了硬件随机性失效和系统性失效风险的可能性,一旦运作时出现失效、失控等情况,便有可能会带来人员及财产的损失。
1977年,美国芝加哥发生两车相撞事故,导致列车坠落,代价极其惨痛。
2018年,美国亚马逊公司的机器人误戳穿驱熊喷剂罐,导致24名工人受伤。
而这些事故的发生,究其原因都是安全相关控制系统的功能失效。
因此,重视功能安全有利于预防、阻断危险事故的发生,并且能缓解危险发生所带来的后果。
为了帮助大家更好地理解功能安全是什么,本期文章将从它的定义和评估目的、评估步骤和方法、相关标准簇等方面来做一些简单的入门介绍。
一、功能安全的定义和评估目的
1、定义
首先来看IEC 61508标准中功能安全的定义:
FS (Functional Safety) is part of the overall safety relating to the EUC and the EUC control system that depends on the correct functioning of the E/E/PE safety-related and other risk reduction measures.
参考译文:功能安全是整体安全中与EUC 和EUC 控制系统相关的部分,它取决于E/ E/ PE 安全相关系统和其他风险降低措施正确执行其功能。
通俗来说,功能安全是要求系统达到预设的安全完整性等级SIL(Safety Integrity Level)或者性能等级PL(Performance level)。
①SIL等级的主要参数TFFR(Tolerable Functional Failure Rate)指标:表示每小时可容许的失效数。
表1:SIL等级定级
②PL等级的主要参数PFHd:表示平均每小时危险失效概率。
表2:PL等级定级
2、评估目的
功能安全的评估目的是调查并判断E/E/PE安全相关系统所达到的功能安全。
第一,评估为了确保满足功能安全目的所必需的管理活动是否有效。
第二,评估设备设计是否达到要求的SIL等级或者PL等级。
二、功能安全评估步骤和方法
怎么实现系统的功能安全呢?
1. FSM功能安全管理;
2. FSA功能安全评估;
3. E/E/PE系统和软件安全生命周期的每个阶段的技术要求。
主要有几个关键点:
1. 经过风险评估确认安全目标;
2. 系统设计与系统管理匹配目标;
3. 评估确认是否能达到安全目标,若不行,则需整改设计重新进行评估。
相关评估方法标准如下表所示:
FMECA分析 |
EN60812 |
HAZOP分析 |
EN61882 |
故障树分析 |
EN61025 |
马尔可夫分析 |
EN61165 |
可靠性框图分析 |
EN61078 |
区域分析 |
EN61508-7 |
共因失效分析 |
EN60812/EN61025 |
事件树分析 |
EN62502 |
表3:相关评估标准
三、功能安全相关标准簇
功能安全的评估标准有很多,不过都是基于母标准IEC 61508在各行各业延展开来的。不同标准对安全等级有不同的定义,但实施和评估的思路是一样的。
图1:功能安全标准簇
下面以国内机器人行业为例,讲解功能安全认证评估的实施步骤。
图2:机器人相关标准
机器人功能安全认证实施步骤:
初步评估
1. 准备评估方案、文件清单
2. 计划类文件(安全计划、验证/确认计划、质量保障计划、配置管理计划)
3. 危险与风险分析
4. 需求评估(系统/子系统需求)
架构(系统安全需求)
5. 系统概念讨论及文件审阅
安全审核(安全计划、需求配置管理等)
详细评估
1. 根据功能安全使用标准进行详细的技术评估
2. 硬件设计评估(FMEA、电气原理图等)和软件设计评估(代码设计、代码单元及集成测试等)
3. 故障插入测试与功能确定测试
4. 安全管理、质量管理、配置管理审核
5. 确认及验证
6. 最终评估报告及证书