功能安全的重要性
Posted 02/06/2018 by Jatinder (JP) Singh
在前阵子的假日中,我抽空更新了车载固件,我的孩子问为什么要更新车载软件。我告诉他现在用的软件是一个老版本,更新的软件改进了汽车的一些安全功能。最近莱迪思Diamond设计软件取得了ISO 26262道路车辆功能安全认证,我想是时候谈谈“功能安全”这个词了。作为一名工程师,我不禁感叹我们在功能安全方面走了那么远。
功能安全始终贯穿着人们的生活。随着人机交互和自动化技术在我们的工厂和汽车领域的进一步应用,它已经成为一门专业的技术领域和工程科学。功能安全的主旨是确保安全的机械和车辆性能,杜绝对人的生命造成任何风险。在向年轻人介绍功能安全性的同时,也使我加深了其对整个安全系统重要性的认识。
如果将旧款的汽车和满是大型开放(危险程度众所周知)车床工厂与配备自动刹车、雷达和安全锯以及能够在几十纳秒(或者是皮秒)内关闭的现代汽车比较,我们取得的进步是显而易见的。随着机械和汽车的不断发展,功能安全的复杂程度也在不断提高。人们想要工厂车间内的自动机器人能够在意外发生时执行正确的操作作。由于缺乏保障措施而导致机器损坏产生的损失可能会非常巨大,有时候对于操作人员来说也是极其危险的。
功能安全是什么?
工业功能安全标准(Industrial Functional Safety Standard, IEC 61508)规范中的确切定义是“...是受控设备(EUC)或受控设备系统总体安全中的一部分;其安全性是依赖于电气/电子/可编程电子(E/E/PE)安全相关系统、其他技术的安全相关系统或外部风险降低措施的正确机能。”受控设备(EUC)是指所涉及的机器或汽车,而E/E/ PE指的是电子、电气或可编程电子器件,实质上就是现代机器。功能安全是系统(机器或汽车)整体安全性的一部分,也是系统中使用的各个组件,这些组件也可以执行设计的功能。
功能安全涵盖哪些系统?
功能安全的理念仅适用于主动系统。房子的前门锁提供了安全保障,但并不能主动避免任何故障。这样的门是被动安全的实例。功能安全的范围涵盖具有安全机制的主动系统。这些机制是检测、避免和控制这些故障或减轻其有害影响的行为或技术解决方案。其中许多也是通过实现功能、部件或其他冗余技术来实现的;如自动机器人中的内置传感器,在运营中心移动大件物品的同时检测和规避障碍物。安全机制可以切换或保持目标处于安全状态(如待机状态下的装配机器人,如果检测到其运动路径上有物体阻挡可按需关闭),或是提醒驾驶员接管汽车以控制风险(如在结冰的道路上行驶的自动驾驶汽车)。如果机器无法执行预定功能,任何时候这都会带来危险。
故障机制
请想一想硬件和软件故障是怎么回事,它们可能是由于在系统生命周期中发生的不可预知的错误、系统故障以及在开发、制造或维护过程中难以避免的元器件或项目故障引起的。导致故障发生的因素有很多,例如:
- 硬件或软件的随机或系统故障
- 人为错误
- 环境条件,如温度、天气、电磁干扰或机械性能
- 电力供应中断
现代机器是软件和硬件的结合。软件控制硬件及其操作的各个方面。这意味着软件操作系统也要囊括在功能安全要求中。
安全完整性等级
安全完整性等级(SIL)的定义为由安全功能提供的相对风险降低水平或者指定风险降低的目标水平。简而言之,SIL是安全仪表功能(SIF)所要求的性能测量。
符合功能安全规范的系统旨在自动防止危险故障或在发生危险故障时进行控制。该规范可以帮助我们设计一套系统,即使发生未知情况(或者误操作)时也可以正确执行指定功能。制造商需要定义可能导致危险事件的系统潜在意外行为,并进行风险评估。
与系统相关的风险被称为工业应用的安全完整性等级(SIL)或汽车应用的汽车安全完整性等级(ASIL)。这有助于评估与系统相关的风险或危害的严重程度。每个SIL和ASIL都有一个级别;级别越高,风险越低。
下表显示了不同SIL(如IEC 61508所述)和ASIL(如ISO 26262所述)的低需求运行下故障请求(PFD)和风险降低因子(RRF)的概率。
功能安全的目标是将风险降低到可以接受的水平,并减少其负面影响。
我经常听到零风险设备这种说法;但事实上并不存在零风险的东西。风险可以减少,但永远不能完全消除。每个系统制造商都传达一个明确的、全面的、合乎情理的论据(由证据支持),该系统在特定的环境下可以安全地运行。这可能包括涉及到安全要求的参考文献以及支持证据所描述的安全要求如何被解释、分配、分解等以及如何实现的依据。
IEC 61508和ISO 26262标准
诸如IEC 61508、工业功能安全和ISO 26262等功能安全标准和道路车辆功能安全为系统制造商提供了指导原则。原来的IEC 61508系列是安全相关系统的国际标准。ISO 26262是适用于道路车辆或汽车系统的标准。这些标准支持在任何时间和情况下对风险进行评估,以尽量减少系统故障。
IEC 61508规定了确保系统设计、实施、运行和维护以满足所需安全完整性等级(SIL)的要求。这些标准中的每一个都被分成许多部分,也被称为部件框架。
这些标准由七个部分组成:
- IEC 61508-1,一般要求
- IEC 61508-2,电气/电子/可编程电子安全相关系统的要求
- IEC 61508-3,软件要求
- IEC 61508-4,定义和缩略语
- IEC 61508-5,确定安全完整性水平的方法实例
- IEC 61508-6,IEC 61508-2和IEC 61508-3应用指南
- IEC 61508-7,技术和措施概述
这些框架为系统制造商在系统安全方面提供了全局的指导。下方的莱迪思Diamond功能安全手册图表显示了在规划(需求)、设计(架构、建模和FPGA开发)、测试、验证和验证阶段,FPGA设计如何满足功能安全标准。它涵盖了制造商使用FPGA开发产品用于安全关键应用的流程。
系统级功能安全
在上文中我们提到了电气、电子或可编程电子(E/E/PE)系统。这差不多包含了所有领域——传感器、控制逻辑、通信系统或网络、执行器,包括自主系统或操作人员的任何关键行动。这些使用电子机械技术或固态电子元件的安全相关系统现在使用可编程器件。诸如可编程控制器、可编程逻辑控制器(PLC)和数字通信系统(例如总线系统)等器件是应用趋势。即便是这个领域中的ASSP也正在被FPGA和处理器的组合取代。特别是FPGA,提供了管理实现的系统功能的灵活性——测试、检验和验证功能,使得设计工程师能够更新功能或算法。
许多已经实现的技术,如处理器和传感器,正越来越多地被集成到更可靠和安全的系统中。可编程器件的低成本和灵活性使得能够以安全、可靠、封闭的方式为网络边缘系统实现智能功能。
安全相关系统
功能安全的概念适用于日常生活以及您能想到的每一个行业。以下是各行业功能安全的例子。
汽车
在汽车领域中,功能安全确保安全气囊仅在冲击时迅速展开,而不是在正常驾驶时展开。此外,燃料喷射器系统控制确保汽车仅在指令发出时加速。制动系统在需要时启动。在现代汽车中,功能安全确保所有汽车电子设备(包括控制软件)的正确操作。
制造业
功能安全可以降低工厂车间、化工厂和仓库等危险工业环境的风险。我曾经为发电厂系统的控制系统工作。自动阀机构将确保危险化学品或高压蒸汽系统被隔离。在世界各地的仓库中,起重机的安全载荷指示器有助于避免超载导致的坍塌以及人身伤害事故。当人或物体进入其活动范围时,激光指示将自动关闭汽车制造设施中的自主机器人。所有这些系统都有助于防止人身伤害以及对机器造成的昂贵损失。
运输
当你乘火车旅行时,功能安全用于确保在火车开始行驶之前车门关闭,并且在行驶中不打开。您可能已经听说航空旅行是最安全的交通方式——这是由于航空业是对功能安全的要求是极高的。请想象一个控制飞机俯仰、滚转和偏航的自动飞行控制系统,包括航向和高度。如果发生紧急情况,系统会向经过培训的飞行员发出警报以便飞行员接管控制。
医疗
医疗行业有着最严格的安全要求——它直接关乎患者的生死存亡。X射线和磁共振成像(MRI)机器的功能安全性确保了设备在电气和机械方面都能正确运行,并在人体可接受的范围内产生射线。当输液泵发生故障时,功能安全协议将确保报警被激活以指示故障并停用泵以保护患者。
总结
在过去十年里,功能安全已经变得越来越重要,它已经成为每个制造商必须要遵守的规范。随着软件和硬件系统的整合变得更加紧密,这些系统越来越依赖于这些标准。看到所有行业中的进步,我觉得我们在功能安全方面还处于起步阶段;想想自动驾驶汽车和同伴机器人的安全系统的数量。功能安全相关的应用将会像我们看到的科幻小说所描绘的那样爆炸式发展。
所以,下一次当你乘电梯或开车时,请停下来想一想,为了让这个产品能够安全地进行人机交互人们付出了多少努力。