機(jī)器人與汽車電子的功能安全管理分析與比較

蘇涵誠(chéng) 邢琳鄭軍奇

（1上海電器科學(xué)研究所（集團(tuán)）有限公司，上海，200063；2上海電器科學(xué)研究院，上海，200063；3上海機(jī)器人產(chǎn)業(yè)技術(shù)研究院，上海，200063）

0 引言

隨著技術(shù)的不斷發(fā)展，由電氣和電子器件構(gòu)成的系統(tǒng)也越來越先進(jìn)與復(fù)雜。這些系統(tǒng)執(zhí)行各種產(chǎn)品的安全功能時(shí)存在著隨機(jī)故障、系統(tǒng)故障或共因失效的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)會(huì)引起人員的傷亡、環(huán)境的破壞和設(shè)備財(cái)產(chǎn)的損失。

功能安全是一門安全工程學(xué)科，專門研究復(fù)雜控制系統(tǒng)的功能失效避免。在研究和進(jìn)行相關(guān)開發(fā)工作中，目前業(yè)界普遍認(rèn)可并遵循IEC制定的系列標(biāo)準(zhǔn)，其中IEC 61508：2010（GB/T 20438-2017）作為基礎(chǔ)標(biāo)準(zhǔn)，為安全生命周期內(nèi)的所有活動(dòng)，提出了一致、合理、通用的一套評(píng)價(jià)方法與技術(shù)框架。

在各種應(yīng)用領(lǐng)域中，風(fēng)險(xiǎn)包含的復(fù)雜性取決于不同E/E/PE安全相關(guān)系統(tǒng)，需要根據(jù)特定應(yīng)用的許多因素來確定所需要的安全措施。區(qū)別于石油化工等流程型制造業(yè)，以機(jī)器人、汽車為代表的離散型制造業(yè)的功能安全有其特定的內(nèi)容。而更深入的研究發(fā)現(xiàn)，機(jī)器人和汽車電子對(duì)于安全相關(guān)控制系統(tǒng)的要求以及實(shí)現(xiàn)方式，也有諸多不同。由此，標(biāo)準(zhǔn)族群衍生出了以ISO 13849 和IEC 62061為應(yīng)用的機(jī)械自動(dòng)化行業(yè)功能安全以及ISO 26262為代表的汽車電子功能安全。

對(duì)于機(jī)械自動(dòng)化產(chǎn)品和汽車電子產(chǎn)品，分別由各自行業(yè)龍頭企業(yè)和主機(jī)廠推動(dòng)，并貫徹標(biāo)準(zhǔn)的落地執(zhí)行。本文以IEC 62061、ISO 26262及相關(guān)新發(fā)布國(guó)標(biāo)的實(shí)踐為基礎(chǔ)，進(jìn)行分析論述。

1 功能安全管理

對(duì)于一家非常重視產(chǎn)品的安全性、致力于維護(hù)企業(yè)自身形象的研發(fā)型公司，功能安全管理的不斷完善就是其高端價(jià)值的體現(xiàn)。一個(gè)產(chǎn)品要從根本上避免風(fēng)險(xiǎn)，不再僅僅是防護(hù)問題，而是需要從產(chǎn)品設(shè)計(jì)、元器件選型、軟件驗(yàn)證、團(tuán)隊(duì)搭建、項(xiàng)目管理等更多的維度去籌劃和實(shí)現(xiàn)。在自動(dòng)駕駛等最新領(lǐng)域中，基于場(chǎng)景分析的預(yù)期功能安全也被囊括在安全生命周期當(dāng)中。

1.1 機(jī)器人的功能安全管理活動(dòng)

機(jī)器人一般分為工業(yè)機(jī)器人與服務(wù)機(jī)器人。從產(chǎn)業(yè)鏈劃分，工業(yè)機(jī)器人還包括整機(jī)與系統(tǒng)集成。工業(yè)機(jī)器人行業(yè)普遍執(zhí)行的標(biāo)準(zhǔn)中明確提到安全相關(guān)控制系統(tǒng)的性能等級(jí)（Performance Level）或安全完整性等級(jí)SIL。ISO 13849側(cè)重于分析控制電路的結(jié)構(gòu)，由繼電器、行程開關(guān)、急停、安全光柵等搭建而成的工業(yè)機(jī)器人集成安全控制系統(tǒng)適用于此標(biāo)準(zhǔn)。對(duì)于使用了集成電路，包括單獨(dú)的安全板等未經(jīng)過元器件安全評(píng)估的電子系統(tǒng)，則需要計(jì)算每個(gè)控制通道的PFH（每小時(shí)的危險(xiǎn)失效概率），使用IEC 62061更適合。

ISO 13849的功能安全管理僅涉及架構(gòu)設(shè)計(jì)以及確認(rèn)兩個(gè)環(huán)節(jié)，不能滿足全生命周期對(duì)于安全的需求。IEC 62061沿用了IEC 61508中從安全要求配置到安全確認(rèn)過程之間的概念。本文參照國(guó)標(biāo)《服務(wù)機(jī)器人功能安全評(píng)估》所提出的功能安全管理策略，以居家服務(wù)機(jī)器人開發(fā)項(xiàng)目為案例，介紹服務(wù)機(jī)器人功能安全管理的內(nèi)容，包括功能安全計(jì)劃、安全功能要求及安全完整性要求辨識(shí)、全相關(guān)電氣控制系統(tǒng)設(shè)計(jì)與整合及服務(wù)機(jī)器人功能安全評(píng)估等幾個(gè)階段。

1.1.1 功能安全計(jì)劃

功能安全計(jì)劃包括：

a)功能安全相關(guān)策略和方針；

b)設(shè)計(jì)、實(shí)現(xiàn)、集成SRECS（安全相關(guān)電氣控制系統(tǒng)）的負(fù)責(zé)人員及職責(zé)分配；

c)風(fēng)險(xiǎn)評(píng)估計(jì)劃；

d)設(shè)計(jì)SRCF(安全相關(guān)控制功能)的需求規(guī)格書；

e)檢驗(yàn)計(jì)劃；

f)確認(rèn)、變更：實(shí)際記錄確認(rèn)跟蹤、變更結(jié)果的文檔的建立。

1.1.2 安全功能要求及安全完整性要求辨識(shí)

安全功能要求辨識(shí)是使用各種風(fēng)險(xiǎn)識(shí)別技術(shù)對(duì)機(jī)器人進(jìn)行危害分析，并確定SRECS應(yīng)具有何種安全相關(guān)控制功能的過程。安全完整性要求辨識(shí)也稱為SIL分配，目的是通過風(fēng)險(xiǎn)評(píng)估確定必要的風(fēng)險(xiǎn)降低程度，并根據(jù)結(jié)果將特定SRCF所需的SIL進(jìn)行確定和分解。SRCF的需求規(guī)格書準(zhǔn)確描述了各個(gè)需要執(zhí)行的SRCF的細(xì)節(jié)，如表1所示。

表1 安全需求規(guī)格書

圖1 燃?xì)馓綔y(cè)功能

1.1.3 安全相關(guān)電氣控制系統(tǒng)設(shè)計(jì)與整合

安全相關(guān)電氣控制系統(tǒng)設(shè)計(jì)與整合是將帶有功能和完備性要求的SRECS概念分配至功能塊；每個(gè)功能塊被分配到SRECS結(jié)構(gòu)內(nèi)的子系統(tǒng)，各子系統(tǒng)內(nèi)含子系統(tǒng)元素；采取適當(dāng)行動(dòng)，搭配診斷功能。

1.1.4 整體安全確認(rèn)

整體安全確認(rèn)通過檢驗(yàn)和測(cè)試來保證產(chǎn)品的符合性。

1.1.5 服務(wù)機(jī)器人功能安全評(píng)估

服務(wù)機(jī)器人功能安全評(píng)估適用于獨(dú)立的第三方檢測(cè)認(rèn)證機(jī)構(gòu)評(píng)估服務(wù)機(jī)器人SRCS（安全相關(guān)控制系統(tǒng)）是否達(dá)到功能安全的要求。這里需要強(qiáng)調(diào)的是，IEC 61508中指出：所有從事相關(guān)安全系統(tǒng)的功能安全的人員都應(yīng)具備對(duì)其工作的勝任能力。

1.2 ISO 26262中的汽車電子功能安全管理活動(dòng)

ISO 26262標(biāo)準(zhǔn)體系使汽車電子電氣系統(tǒng)中的安全生命周期中涉及到功能安全的工作和管理流程有了V型開發(fā)準(zhǔn)則，V型開發(fā)準(zhǔn)則是針對(duì)相關(guān)開發(fā)的一套流程，其對(duì)于不同項(xiàng)目角色能夠轉(zhuǎn)化為不同的過程體系供實(shí)踐使用。對(duì)企業(yè)實(shí)踐而言，建立符合ISO 26262要求的過程體系是實(shí)施ISO 26262的前提條件。過程體系主要包括管理體系和產(chǎn)品開發(fā)體系。因此，ISO 26262所指的管理并不僅僅包含管理體系，它是整個(gè)過程體系的整合。

除了開發(fā)體系，在功能安全管理體系方面，實(shí)施ISO 26262的有效方式是在企業(yè)已建成的過程體系基礎(chǔ)上（比如基于IATF 16949或是汽車軟件過程改進(jìn)及能力評(píng)定“Automotive SPICE?”），進(jìn)行ISO 26262的補(bǔ)充與改進(jìn)。較典型的功能安全管理體系如圖2所示。

在產(chǎn)品開發(fā)方面，有效實(shí)施ISO 26262的途徑是將產(chǎn)品安全生命周期融進(jìn)產(chǎn)品生命周期中。

2 比較與分析

2.1 功能安全管理過程的實(shí)施特點(diǎn)

圖2 典型功能安全管理體系

首先，汽車和機(jī)器人的功能安全目標(biāo)都是把失效風(fēng)險(xiǎn)降低到可接受的范圍。其次，汽車和機(jī)器人都是具有很多復(fù)雜功能，有著較為類似的產(chǎn)品生命周期。所以，對(duì)于不同的階段，汽車和機(jī)器人的功能安全活動(dòng)相關(guān)措施可以相互比較，其中國(guó)標(biāo)《服務(wù)機(jī)器人功能安全評(píng)估》繼承延續(xù)了IEC 62061的概念與內(nèi)容，也可將其進(jìn)行對(duì)比。

機(jī)械自動(dòng)化的功能安全規(guī)定了傷害嚴(yán)重程度、暴露持續(xù)頻率、危害發(fā)生概率、避免可能性等衡量指標(biāo)，在風(fēng)險(xiǎn)評(píng)估時(shí)，即安全功能要求及安全完整性要求辨識(shí)階段的重要一步，是根據(jù)這些指標(biāo)判定出損害概率的級(jí)別，并由此分配SIL要求。在ISO 26262中，基于由于失效故障引起的汽車危害事故，汽車行業(yè)提出了有別于傳統(tǒng)風(fēng)險(xiǎn)評(píng)估的評(píng)估維度，以滿足ASIL分配，這其中包括嚴(yán)重度、暴露概率和可控性，可控性的衡量突出了駕駛員的主觀意識(shí)，從而使風(fēng)險(xiǎn)評(píng)估的可操作性更強(qiáng)。

對(duì)于IEC 62061提出的SRCF要求規(guī)范，ISO 26262中的相關(guān)項(xiàng)定義可與之參照。該相關(guān)項(xiàng)定義了被開發(fā)的汽車電子電氣部件的邊界、特性和接口。以汽車天窗控制器為例，需要明確天窗側(cè)與整車側(cè)的交互邊界，天窗控制器的所有交互接口以及它們需要實(shí)現(xiàn)的功能。而這些部分，在IEC 62061當(dāng)中僅作為可用信息進(jìn)行參考和使用，實(shí)際操作往往以安全需求規(guī)格書為準(zhǔn)，相關(guān)規(guī)格到設(shè)計(jì)整合環(huán)節(jié)才能被功能塊真正明確。以機(jī)器人和汽車同樣擁有的速度控制為例，汽車可能牽涉到VCU、ACC多個(gè)安全功能控制系統(tǒng)，而機(jī)器人往往基于單一安全相關(guān)控制系統(tǒng)，功能安全要求相對(duì)單一。

在機(jī)器人行業(yè)設(shè)計(jì)開發(fā)時(shí)，實(shí)際安全相關(guān)電氣控制系統(tǒng)設(shè)計(jì)與整合階段，可參照IEC 61508-2：2010附錄A的類似監(jiān)控與診斷的技術(shù)方法未被普遍囊括進(jìn)功能安全管理的范疇。而對(duì)于汽車電子功能安全，ISO 26262明確了技術(shù)手段，并對(duì)應(yīng)不同的汽車安全完整性等級(jí)。

2.2 整體觀察與分析

整體而言，汽車電子的功能安全標(biāo)準(zhǔn)及標(biāo)準(zhǔn)使用者已提出了較為細(xì)致的措施，這使得整車廠、零部件供應(yīng)商和第三方評(píng)估機(jī)構(gòu)有明確的工作職責(zé)和方向，能夠互相配合完成項(xiàng)目。機(jī)器人行業(yè)作為新興領(lǐng)域，整體的管理和開發(fā)具有更大的靈活性，進(jìn)一步對(duì)標(biāo)準(zhǔn)的理解迫在眉睫，這也對(duì)其領(lǐng)域的功能安全從業(yè)者提出了考驗(yàn)。

3 改進(jìn)與提升

3.1 機(jī)器人生命周期中功能安全管理的提升

機(jī)器檢測(cè)認(rèn)證行業(yè)經(jīng)過多年的發(fā)展，越來越多的手段與標(biāo)準(zhǔn)正在涌現(xiàn)。除《服務(wù)機(jī)器人功能安全評(píng)估》作為國(guó)標(biāo)計(jì)劃發(fā)布，還有一系列標(biāo)準(zhǔn)。在標(biāo)準(zhǔn)的指導(dǎo)和引領(lǐng)下，機(jī)器人行業(yè)企業(yè)的項(xiàng)目開發(fā)能力必將不斷優(yōu)化和完善。

3.2 功能安全管理技術(shù)展望

不可否認(rèn)的是，電子/電氣/可編程控制系統(tǒng)已經(jīng)融入人們生活的方方面面。業(yè)界已經(jīng)認(rèn)識(shí)到，只有更加可靠安全的控制系統(tǒng)才能真正為人們所利用，人們才能更加堅(jiān)定地去發(fā)展新一代工程控制技術(shù)，從而不斷迭代與發(fā)展新技術(shù)。一旦出現(xiàn)安全功能隱患的爆雷，勢(shì)必會(huì)減緩整體行業(yè)技術(shù)的發(fā)展，影響人們對(duì)于新技術(shù)的接納度。

最近發(fā)生的相關(guān)典型例子是埃塞航和獅航的波音飛機(jī)墜機(jī)事件。從功能安全管理的視角看，波音737MAX8在美聯(lián)邦航空管理局（FAA）進(jìn)行新飛機(jī)的安全批準(zhǔn)時(shí)，為了加快進(jìn)度，把安全相關(guān)控制系統(tǒng)的安全評(píng)估交給了波音公司自己，這一舉措極大地降低了監(jiān)管的力度和有效性，并且違反了標(biāo)準(zhǔn)中獨(dú)立第三方給出評(píng)估結(jié)果的要求。

無論是技術(shù)還是管理，都是與時(shí)俱進(jìn)的，機(jī)器人行業(yè)的發(fā)展也是如此。在摒棄規(guī)模、利潤(rùn)、成本的舊有束縛后，以產(chǎn)品項(xiàng)目為導(dǎo)向、完善的功能安全管理會(huì)幫助機(jī)器人產(chǎn)業(yè)涌現(xiàn)一個(gè)又一個(gè)最佳工程實(shí)踐，助力行業(yè)騰飛。