机器人与汽车电子的功能安全管理分析与比较

2020-10-19 09:47苏涵诚邢琳郑军奇
机器人技术与应用 2020年4期
关键词:生命周期机器人评估

苏涵诚 邢琳郑军奇

(1上海电器科学研究所(集团)有限公司,上海,200063;2上海电器科学研究院,上海,200063;3上海机器人产业技术研究院,上海,200063)

0 引言

随着技术的不断发展,由电气和电子器件构成的系统也越来越先进与复杂。这些系统执行各种产品的安全功能时存在着随机故障、系统故障或共因失效的风险,这些风险会引起人员的伤亡、环境的破坏和设备财产的损失。

功能安全是一门安全工程学科,专门研究复杂控制系统的功能失效避免。在研究和进行相关开发工作中,目前业界普遍认可并遵循IEC制定的系列标准,其中IEC 61508:2010(GB/T 20438-2017)作为基础标准,为安全生命周期内的所有活动,提出了一致、合理、通用的一套评价方法与技术框架。

在各种应用领域中,风险包含的复杂性取决于不同E/E/PE安全相关系统,需要根据特定应用的许多因素来确定所需要的安全措施。区别于石油化工等流程型制造业,以机器人、汽车为代表的离散型制造业的功能安全有其特定的内容。而更深入的研究发现,机器人和汽车电子对于安全相关控制系统的要求以及实现方式,也有诸多不同。由此,标准族群衍生出了以ISO 13849 和IEC 62061为应用的机械自动化行业功能安全以及ISO 26262为代表的汽车电子功能安全。

对于机械自动化产品和汽车电子产品,分别由各自行业龙头企业和主机厂推动,并贯彻标准的落地执行。本文以IEC 62061、ISO 26262及相关新发布国标的实践为基础,进行分析论述。

1 功能安全管理

对于一家非常重视产品的安全性、致力于维护企业自身形象的研发型公司,功能安全管理的不断完善就是其高端价值的体现。一个产品要从根本上避免风险,不再仅仅是防护问题,而是需要从产品设计、元器件选型、软件验证、团队搭建、项目管理等更多的维度去筹划和实现。在自动驾驶等最新领域中,基于场景分析的预期功能安全也被囊括在安全生命周期当中。

1.1 机器人的功能安全管理活动

机器人一般分为工业机器人与服务机器人。从产业链划分,工业机器人还包括整机与系统集成。工业机器人行业普遍执行的标准中明确提到安全相关控制系统的性能等级(Performance Level)或安全完整性等级SIL。ISO 13849侧重于分析控制电路的结构,由继电器、行程开关、急停、安全光栅等搭建而成的工业机器人集成安全控制系统适用于此标准。对于使用了集成电路,包括单独的安全板等未经过元器件安全评估的电子系统,则需要计算每个控制通道的PFH(每小时的危险失效概率),使用IEC 62061更适合。

ISO 13849的功能安全管理仅涉及架构设计以及确认两个环节,不能满足全生命周期对于安全的需求。IEC 62061沿用了IEC 61508中从安全要求配置到安全确认过程之间的概念。本文参照国标《服务机器人功能安全评估》所提出的功能安全管理策略,以居家服务机器人开发项目为案例,介绍服务机器人功能安全管理的内容,包括功能安全计划、安全功能要求及安全完整性要求辨识、全相关电气控制系统设计与整合及服务机器人功能安全评估等几个阶段。

1.1.1 功能安全计划

功能安全计划包括:

a)功能安全相关策略和方针;

b)设计、实现、集成SRECS(安全相关电气控制系统)的负责人员及职责分配;

c)风险评估计划;

d)设计SRCF(安全相关控制功能)的需求规格书;

e)检验计划;

f)确认、变更:实际记录确认跟踪、变更结果的文档的建立。

1.1.2 安全功能要求及安全完整性要求辨识

安全功能要求辨识是使用各种风险识别技术对机器人进行危害分析,并确定SRECS应具有何种安全相关控制功能的过程。安全完整性要求辨识也称为SIL分配,目的是通过风险评估确定必要的风险降低程度,并根据结果将特定SRCF所需的SIL进行确定和分解。SRCF的需求规格书准确描述了各个需要执行的SRCF的细节,如表1所示。

表1 安全需求规格书

图1 燃气探测功能

1.1.3 安全相关电气控制系统设计与整合

安全相关电气控制系统设计与整合是将带有功能和完备性要求的SRECS概念分配至功能块;每个功能块被分配到SRECS结构内的子系统,各子系统内含子系统元素;采取适当行动,搭配诊断功能。

1.1.4 整体安全确认

整体安全确认通过检验和测试来保证产品的符合性。

1.1.5 服务机器人功能安全评估

服务机器人功能安全评估适用于独立的第三方检测认证机构评估服务机器人SRCS(安全相关控制系统)是否达到功能安全的要求。这里需要强调的是,IEC 61508中指出:所有从事相关安全系统的功能安全的人员都应具备对其工作的胜任能力。

1.2 ISO 26262中的汽车电子功能安全管理活动

ISO 26262标准体系使汽车电子电气系统中的安全生命周期中涉及到功能安全的工作和管理流程有了V型开发准则,V型开发准则是针对相关开发的一套流程,其对于不同项目角色能够转化为不同的过程体系供实践使用。对企业实践而言,建立符合ISO 26262要求的过程体系是实施ISO 26262的前提条件。过程体系主要包括管理体系和产品开发体系。因此,ISO 26262所指的管理并不仅仅包含管理体系,它是整个过程体系的整合。

除了开发体系,在功能安全管理体系方面,实施ISO 26262的有效方式是在企业已建成的过程体系基础上(比如基于IATF 16949或是汽车软件过程改进及能力评定“Automotive SPICE®”),进行ISO 26262的补充与改进。较典型的功能安全管理体系如图2所示。

在产品开发方面,有效实施ISO 26262的途径是将产品安全生命周期融进产品生命周期中。

2 比较与分析

2.1 功能安全管理过程的实施特点

图2 典型功能安全管理体系

首先,汽车和机器人的功能安全目标都是把失效风险降低到可接受的范围。其次,汽车和机器人都是具有很多复杂功能,有着较为类似的产品生命周期。所以,对于不同的阶段,汽车和机器人的功能安全活动相关措施可以相互比较,其中国标《服务机器人功能安全评估》继承延续了IEC 62061的概念与内容,也可将其进行对比。

机械自动化的功能安全规定了伤害严重程度、暴露持续频率、危害发生概率、避免可能性等衡量指标,在风险评估时,即安全功能要求及安全完整性要求辨识阶段的重要一步,是根据这些指标判定出损害概率的级别,并由此分配SIL要求。在ISO 26262中,基于由于失效故障引起的汽车危害事故,汽车行业提出了有别于传统风险评估的评估维度,以满足ASIL分配,这其中包括严重度、暴露概率和可控性,可控性的衡量突出了驾驶员的主观意识,从而使风险评估的可操作性更强。

对于IEC 62061提出的SRCF要求规范,ISO 26262中的相关项定义可与之参照。该相关项定义了被开发的汽车电子电气部件的边界、特性和接口。以汽车天窗控制器为例,需要明确天窗侧与整车侧的交互边界,天窗控制器的所有交互接口以及它们需要实现的功能。而这些部分,在IEC 62061当中仅作为可用信息进行参考和使用,实际操作往往以安全需求规格书为准,相关规格到设计整合环节才能被功能块真正明确。以机器人和汽车同样拥有的速度控制为例,汽车可能牵涉到VCU、ACC多个安全功能控制系统,而机器人往往基于单一安全相关控制系统,功能安全要求相对单一。

在机器人行业设计开发时,实际安全相关电气控制系统设计与整合阶段,可参照IEC 61508-2:2010附录A的类似监控与诊断的技术方法未被普遍囊括进功能安全管理的范畴。而对于汽车电子功能安全,ISO 26262明确了技术手段,并对应不同的汽车安全完整性等级。

2.2 整体观察与分析

整体而言,汽车电子的功能安全标准及标准使用者已提出了较为细致的措施,这使得整车厂、零部件供应商和第三方评估机构有明确的工作职责和方向,能够互相配合完成项目。机器人行业作为新兴领域,整体的管理和开发具有更大的灵活性,进一步对标准的理解迫在眉睫,这也对其领域的功能安全从业者提出了考验。

3 改进与提升

3.1 机器人生命周期中功能安全管理的提升

机器检测认证行业经过多年的发展,越来越多的手段与标准正在涌现。除《服务机器人功能安全评估》作为国标计划发布,还有一系列标准。在标准的指导和引领下,机器人行业企业的项目开发能力必将不断优化和完善。

3.2 功能安全管理技术展望

不可否认的是,电子/电气/可编程控制系统已经融入人们生活的方方面面。业界已经认识到,只有更加可靠安全的控制系统才能真正为人们所利用,人们才能更加坚定地去发展新一代工程控制技术,从而不断迭代与发展新技术。一旦出现安全功能隐患的爆雷,势必会减缓整体行业技术的发展,影响人们对于新技术的接纳度。

最近发生的相关典型例子是埃塞航和狮航的波音飞机坠机事件。从功能安全管理的视角看,波音737MAX8在美联邦航空管理局(FAA)进行新飞机的安全批准时,为了加快进度,把安全相关控制系统的安全评估交给了波音公司自己,这一举措极大地降低了监管的力度和有效性,并且违反了标准中独立第三方给出评估结果的要求。

无论是技术还是管理,都是与时俱进的,机器人行业的发展也是如此。在摒弃规模、利润、成本的旧有束缚后,以产品项目为导向、完善的功能安全管理会帮助机器人产业涌现一个又一个最佳工程实践,助力行业腾飞。

猜你喜欢
生命周期机器人评估
全生命周期下呼吸机质量控制
第四代评估理论对我国学科评估的启示
从生命周期视角看并购保险
民用飞机全生命周期KPI的研究与应用
企业生命周期及其管理
评估依据
机器人来帮你
认识机器人
机器人来啦
立法后评估:且行且尽善