什么是功能安全?
产品、系统和装置的安全可分为两部分:
i)“基本”安全:触电、高温、过度辐射、火灾、爆炸、内爆、擦伤、挤压、切割、有毒气体排放等。
ii)“功能”安全:被控制的物品不能正常工作,这可能会增加健康风险。
功能安全一直存在于机械、气动和液压控制系统中,也存在于机电、气动和电液控制系统中。但直到微处理器开始用于控制事物时,它才成为一个值得拥有自己的IEC和ISO标准的主题。
这是因为没有办法测试微处理器(或微控制器或FPGA等)和/或其软件可能失败的所有可能方式。没有足够的时间可用,例如,一些现代的“计算机化”控制系统,例如自动驾驶汽车,将需要比宇宙年龄更长的时间(约150亿年)来对每个可能的数字状态执行一次测试,即使每次测试只有1微秒!
这是一个问题,因为数字系统本质上是非线性的——这意味着即使我们可以测试它们99%的可能状态(这是我们做不到的),我们得到的结果也不能告诉我们关于尚未测试的1%的状态的任何信息。
这是在20世纪70年代初实现的,在此之后,在如何确保“可编程电子系统”能够被证明是足够安全的问题上,国际上进行了大量的努力,从而在2000年产生了IEC 61508
IEC关于可编程电子系统功能安全的基本安全标准。
IEC基本安全标准由专家创建,可单独使用,但主要用于指导标准团队创建通用标准或产品系列标准。
根据IEC 61508制定的标准包括:
- IEC 61511过程工业部门安全仪表系统(美国:ANSI/ISA S84)
- IEC 62061,机械安全
- IEC 62278 / EN 50126:铁路。可靠性、可用性、可维护性和安全性的规范和演示
- IEC/EN 50128,软件,铁路控制和保护
- IEC/EN 50129铁路信号
- IEC 61513,核电厂控制系统
- RTCA DO-178B,北美航空电子软件公司
- RTCA DO-254,北美航空电子硬件
- 欧洲飞行安全系统
- ISO 26262,汽车功能安全
- IEC 62304,医疗设备软件
- IEC/EN 50402,固定气体检测系统
- DEF STAN 00-56,事故后果(英国军方)
风险管理如何融入?
IEC 61508采用了风险管理方法。
风险管理是一种基于统计分析的通用方法,不同于任何处理基本安全的标准。它可用于控制任何类型的可量化风险,例如财务风险、任务风险、安全风险等,当然在IEC 61508中,它还用于控制功能安全风险。
所有这些和EMC或EMI有什么关系?
所有电子产品无一例外都会受到电磁干扰(EMI)的影响。
同时控制电磁发射和抗扰度以避免EMI的工程规程称为电磁兼容性(EMC)。
当电子电路或系统中的错误、故障或故障会增加功能安全风险时,EMC测试不足以证明功能安全风险足够低。毕竟,由于不可能只测试一次现代数字系统的所有可能状态,在EMC抗扰度测试期间,当系统依次暴露于各种频率或瞬态时,更不可能测试其所有状态。
欧洲EMC指令涵盖功能,但不包括功能安全(它在文本中这样说)。我们可能会期望,正确遵守EMC指令会在一定程度上降低电磁干扰可能导致的功能安全风险,但我们不能说降低了多少,而且降低的程度也不够。
那么,我们如何将风险管理应用于电子系统,以证明EMI不会导致不可接受的功能安全风险水平?
Keith Armstrong 20年来一直积极参与这一问题(自1998年以来),主持了许多IEEE、IET和IEEE工作组,并在两个不同的IEC标准小组中担任英国代表(涵盖IEC 61000-1-2、IEC 61000-6-7和IEC 60601-1-2)。
直到2010年,我们才开发出一种实用的、可用的方法来解决这个问题,并于2013年由IET首次在世界各地发表。
2013年的出版物被改进和更新为IET的“电磁弹性实践规范”,于2017年发布,可从以下地址获取:https://www.theiet.org/publishing/iet-standards/?utm_source=redirect&utm_medium=legacyredirects&utm_campaign=2019relaunch