赛迪功能安全系列报道(九)IEC 61508安全相关产品的硬件
导读:
机器人功能安全专门研究机器人安全相关控制系统的功能失效避免,旨在防止危险故障的发生或至少在出现故障时能够进行有效控制,主要涉及功能安全管理、硬件实现和软件实现三个方面的内容。其中功能安全管理和机器人安全相关控制系统的软件实现与验证,已经在前面的文章详细介绍,本文将继续着重介绍机器人安全相关控制系统硬件实现的设计方法和要求,包括硬件安全完整性要求、系统安全完整性要求以及检测到故障时系统的行为要求三个部分。
1. 硬件安全完整性要求
机器人安全相关控制系统的硬件要求包括硬件安全架构约束要求和量化随机失效影响要求。
(1)硬件安全架构约束要求。机器人安全相关控制系统的设计主要围绕满足架构约束要求进行,分为架构设计和诊断功能设计两个步骤。
①架构设计需用功能块图表示构成产品的模块、输入、输出,确定功能模块的硬件故障裕度以及考虑组件的复杂性、安全失效分数等级、硬件故障裕度和可声明的最大安全完整性等级。
②诊断功能的设计包括诊断测试方法和诊断测试时间间隔两个方面。诊断测试方法及可达到的诊断覆盖率在IEC 61508-2: 2010表A.1~表A.14中有详细介绍。确定诊断测试时间间隔的输入确定和标准要求为:产品的工作模式、要求模式或连续模式;上电时间间隔;诊断出故障后的平均修理时间(mean repair time,MRT);安全相关系统的平均恢复时间(mean time to restoration,MTTR);过程安全时间;受控装置的要求率;实现功能的模块的硬件故障裕度。
(2)量化随机失效影响要求。对机器人安全相关控制系统的每个安全功能在随机硬件失效与数据通信过程随机影响下的安全完整性进行估算的过程如下。
①对机器人安全相关控制系统每个安全功能的实现进行建模;
②对功能模块中的每一个元器件估计其失效率;
③采用FMECA法(故障模式、影响和危害度分析)或诊断覆盖率对每一功能模块进行分析;
④对可靠性框图为并联的冗余功能模块部分,需确定共因失效因子;
⑤按照可靠性框图对机器人安全相关控制系统进行计算。
2. 系统安全完整性要求
机器人安全相关控制系统的要求包括避免系统性故障要求和控制系统性故障要求。
(1)避免系统性故障要求。
设计和开发机器人安全相关控制系统的硬件时,为避免引入故障,应采用适当的技术和措施,具体参见IEC 61508-2: 2010表B.2。
(2)控制系统性故障要求。为控制系统性故障,机器人安全相关控制系统应能容许:硬件中的任何残余设计故障,除非能排除硬件设计故障的可能性(参见IEC 61508-2: 2010表A.15);环境应力,包括电磁干扰(参见IEC 61508-2: 2010表A.16);操作员造成的失误(参见IEC 61508-2: 2010表A.17)。
3. 检测到故障时系统行为的要求
当诊断测试检测到机器人安全相关控制系统的一个危险失效时,启动报警功能将故障信息输出。
机器人功能安全的设计理念在于提出安全完整性指标,并通过采取诊断措施和结构冗余的方法来实现安全完整性。建立机器人功能安全的设计理念和掌握机器人安全相关控制系统的设计方法后,只有按照标准的要求来进行设计,才能实现机器人安全相关控制系统的安全功能和安全完整性这两个目标。
赛迪机器人作为中国机器人CR认证服务的权威机构,将持续推进机器人相关标准的制定工作,关注产品质量和安全问题,促进产业的标准化和规模化,为机器人产业的安全保驾护航。
