欢迎访问中国软件评测中心!


 
官方微信公众号
扫码观看电子版宣传册

赛迪功能安全系列报道(十)IEC 62061在机器人领域的应用

2021-11-01

机器人涉及到的功能安全标准主要有ISO13849、IEC 62061、IEC61508-1、IEC61508-2、IEC61508-3等标准。在前面的文章中,已经系统介绍了机器人功能安全标准要求和标准ISO13849、IEC61508-1、IEC61508-2、IEC61508-3在机器人领域的应用。本篇是赛迪功能安全系列文章最后一篇,将着重介绍IEC 62061在机器人领域的应用。

IEC 62061主要面向机器人领域与安全相关的电气、电子、可编程电子控制系统,内容源于IEC 61508系列标准,其安全完整性等级分为SIL1、SIL2和SIL3三个等级。


1. 开展功能安全管理

功能安全管理,即实现安全相关控制系统(以下简称SRECS)的功能安全所必须的管理和技术活动。目标是实现SRECS的功能安全,主要是通过计划、执行、记录来实现的。一个详细的计划应包括以下具体内容:
(1) 明确安全相关控制功能(以下简称SRCF)的具体要求,SRECS的整体设计,SRECS的使用信息,SRECS的验证方法,不符合要求时的整改流程。
(2) 描述指定功能安全的执行方针和策略。
(3) 描述应用软件、研发、整合、检验和验证来达到功能安全的策略。
(4) 明确执行每项活动的人员、部门或资源。
(5) 明确或建立记录或保存相关SRECS功能安全相关信息的流程和资源。
(6) 描述相关组织问题的配置管理策略,如:组织的内部架构等。

(7) 确认计划。

(8) 验证计划。


2. 明确安全相关控制功能规范(SRCF)要求

根据安全相关控制功能的定义,识别出机器人产品涉及所有的SRCF,形成需求规范,来指导研发的过程。安全需求规范应该考虑以下几个方面:
(1) 满足ISO 12100和ISO 14121中指出的任何相关安全的要求。
(2) 找出需要由SRECS执行的全部或部分安全功能,给出明确的定义。
(3) 对每个SRCF进行定义,包括功能和安全两个方面,并且这些内容应写在安全要求规范(以下简称SRS)中。
(4) 安全需求规范应通过验证,如按照IEC 61508-7中B.2.6提供的检查、分析、清单检查等方法,来确保其与产品预期使用的一致性和完整性。


3. 指定安全完整性等级 SIL

IEC62061将安全完整性分为三级,并给出了每个等级对应的PFHD的值。安全完整性等级的确定通常会依据风险评估的结果和标准中的相关规定。以工业机器人为例, 工业机器人产品标准ISO 10218-1:2011中明确规定工业机器人安全控制系统相关的安全功能需要符合ISO 13849-1:2006中所描述的PL=d、结构类别3,或标准IEC 62061:2005所描述的SIL2、硬件1级容错,验证测试间隔不少于20年,详见下图:


4. 安全相关控制系统 (SRECS)设计和整合


一个SRECS可能只有硬件,也可能包括了硬件和软件两部分,那么不论是只靠硬件实现,还是需要软硬件来实现,都需要在硬件以及相应软件的选择和设计上满足安全需求规范(包括:硬件结构,软件架构,传感器,执行器,可编程电子,嵌入式软件,应用软件等)。
那么对于硬件来讲,应该满足如下一些基本要求:
(1) 硬件安全完整性要求,包括:
a)硬件安全完整性体系结构限制
b)随机硬件危险失效概率要求
(2) 系统安全完整性要求,包括:
a)失效避免要求
b)系统故障控制要求
(3) 对故障检测SRECS行为的要求


5. 安全相关子系统的实现

有了子系统的架构之后,就要考虑子系统的实现。IEC 62061当中的子系统不同于通常所说的子系统,通常所说的子系统可能是一个整体任何可以拆分出来的部分,但在IEC 62061中,明确定义子系统是指整个系统的第一级细分,而组成子系统的可以是一个元件,也可以是若干元件,但都被成为子系统元素。实现子系统有两种基本的方式:
  • 选用经验证的装置,可以完全实现子系统的要求。

  • 研发一个子系统,使其满足功能模块定义的各种安全要求规范。

如果子系统中有复杂元器件,还要满足IEC61508-2和IEC61508-3对SIL的要求。一般来讲,子系统都要满足以下三个要求:
a) 硬件安全要求,包括:硬件综合安全对系统架构的要求和硬件随机危险失效概率。
b) 系统安全要求,包括:避免失效和控制系统失效的要求,或使用经验证的设备。
c) 对子系统故障检测行为的要求。
对硬件的安全要求取决于SRECS的安全完整性等级,而SRCF可以宣称的最高的安全完整性等级则受到执行SRCF的子系统的HFT(硬件故障裕度)和SFF(安全失效分数)的限制。
硬件故障裕度是指:在故障或者错误出现时,硬件功能模块连续执行要求功能的能力。通常用数值“N”来表示,意思是:N+1个故障将会导致安全相关控制功能的丧失。
安全失效分数(SFF)是指:不会导致危险的失效与所有失效的比率。
针对SFF和HFT与SIL的关系,在下表中,给出了子系统架构与子系统的SRCF可以宣称的最大SIL的关系。



要评估SFF,就要按照SRECS执行的预期控制功能,对每个子系统进行相关的故障和失效模式分析(如故障树分析,FMEA,电子元器件的失效模式及失效率可参见附录D的内容),包括故障反应功能,区分出安全失效和危险失效,再按照上面的计算公式得出SFF。系统的危险硬件随机失效概率应小于等于子系统的功能安全需求规范中要求的目标失效值。

(1)子系统结构类型A(硬件故障裕度为0,不带诊断功能):


(2)子系统结构类型B(硬件故障裕度为1,不带诊断功能):

(3)子系统结构类型C(硬件故障裕度为0,带有诊断功能):

(4)子系统结构类型D(硬件故障裕度为1,带有诊断功能):


6. IEC 62061 中关于 SRECS 的集成与测试

在完成了设计和研发之后,需要按照具体的设计将相关的子系统元素、子系统和系统进行集成,相关的嵌入式软件,应用软件进行安装,再按照相关的计划进行验证,如SRECS系统是否能正确执行预期功能,是否有效屏蔽了非预期功能,是否存在软件的兼容性问题以及是否满足相关功能和安全性能要求等。


随着技术的发展,“人机协作”、“人机共融”成为机器人应用新趋势,其安全应用的复杂性也在不断增加。在机器人市场迅猛发展的形势下,功能安全问题显得尤为重要。

赛迪机器人作为中国机器人CR认证服务的权威机构,将持续推进机器人相关标准的制定工作,定期组织机器人功能安全相关线下沙龙、研讨会、公开课等活动,推动相关标准的普及应用,推广优秀功能安全解决方案,帮助企业掌握机器人功能安全的最佳实践,实现功能安全专家与机器人企业之间的资源整合与全面对接,共同提升功能安全水平,为机器人产业的安全保驾护航。


3349381607