购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.3.3 功能安全概念

1.3.3.1 目的和前提条件

【标准内容】

目的:

根据前几阶段的结果,该阶段的目的是定义高级设计概念和系统级需求。

前提条件:

——安全相关功能的AgPL r

——HARA的结果。

索引:本节标准内容源自GB/T38874.2—2020的7.1节和7.2节。

【解析】

1.目的和前提条件解析

目的: 在功能安全的背景下,高级设计阶段的目的是根据前几阶段的结果定义高级设计概念和系统级需求。在此阶段,建立系统的总体架构,包括安全相关功能的规范及安全要求对硬件和软件组件的分配。此阶段对于确保在设计系统时从头开始考虑安全性并考虑到早期阶段识别的潜在危险和风险至关重要。

前提条件: 要正确定义高级设计概念和系统级需求,有必要获得HARA的结果和安全相关功能的AgPL r

为了更详细地说明上述内容,下面使用一个用于进行农作物监测和喷洒农药的农用无人机的假设示例进行介绍。

(1)HARA结果:HARA是功能安全流程的重要组成部分,因为它有助于识别潜在危险并评估相关风险。在HARA期间,要系统地识别危险,并评估危险的严重性、暴露程度和可控性。HARA结果提供了有关系统可能遇到的潜在危险的宝贵信息,用于指导安全相关功能的设计和实现,以降低这些风险。

就农用无人机而言,潜在危险可能包括与障碍物碰撞、意外释放农药和由于软件或硬件故障而失去控制。在HARA期间,根据严重性(如对人类、环境或财产的潜在危险)、暴露(如遇到危险的可能性)和可控性(如控制能力)等因素分析与这些危险相关的风险。例如,与障碍物的碰撞可能具有高严重性(因为它可能对农用无人机和财产造成损害)、中等暴露(因为农业环境中可能存在障碍物)和低可控性(因为机动性或传感器有限)。基于此分析,可确定与此危险相关的风险,指导安全相关功能的设计,以解决相关问题。

(2)安全相关功能的AgPL r :AgPL r 是每个安全相关功能所需安全性能水平的定量表示,是根据HARA结果和特定应用程序可接受的风险级别确定的。AgPL r 有助于确保设计和实现安全相关功能,以实现适当水平的风险降低,同时考虑到潜在危险及其后果。

在示例中,假设防撞功能的AgPL r 确定为AgPL r b,表示风险应降低为1/100。这意味着必须设计和实现安全相关功能(防撞功能)提供足够的风险降低水平,以满足此性能要求。图1.2中的节点代表流程中的步骤,包括HARA、确定安全相关功能的AgPL r 、定义高级设计概念和系统级需求,以及设计和实现安全相关功能。

图1.2 表示功能安全过程的简单有向图

结合HARA结果和安全相关功能的AgPL r 的一个实例是配备防撞系统的自动农林机械。HARA可能会识别出自动农林机械与障碍物发生碰撞、导致设备损坏或对附近人员造成伤害的潜在危险。基于该危险的严重性、暴露程度和可控性,确定防撞功能的AgPL r 。在高级设计阶段,系统架构被设计为包含此功能,将特定的安全要求分配给负责检测障碍物并采取适当措施以避免碰撞障碍物的硬件和软件组件。通过遵循GB/T38874,可在清楚了解潜在危险和所需AgPL r 的情况下开发防撞系统。

总之,GB/T38874提供了一种系统的方法来确保农林拖拉机和机械控制系统的功能安全。通过进行彻底的HARA,确定安全相关功能的AgPL r ,并使用此信息来指导安全相关系统的设计和实现,制造商可以开发出安全、有效运行的农林机械,降低相关风险。

2.高级设计概念

高级设计概念是指在系统设计阶段,通过对系统的功能、性能、安全性、可靠性等进行分析和评估,确定系统的整体设计方案,包括系统的结构、模块划分、接口设计、算法设计等。高级设计概念需要考虑系统的可维护性、可扩展性、可重用性等因素,以保证系统具有良好的可操作性和可维护性。

在设计无差错系统时,需要从系统级需求出发,对系统的各项要求进行分析和评估,确定系统的高级设计概念。具体而言,需要从以下几方面进行考虑。

(1)功能需求:分析系统的各项功能需求,并确定实现这些功能所需的算法、数据结构、接口等。

(2)性能需求:分析系统的各项性能需求,包括响应时间、吞吐量、并发性等,并确定系统的硬件、软件、网络等资源需求。

(3)可靠性需求:分析系统的可靠性需求,包括系统的容错性、可恢复性等,并确定系统的备份、冗余、故障恢复等机制。

(4)安全性需求:分析系统的安全性需求,包括系统的数据安全、身份认证、访问控制等,并确定系统的安全策略、加密算法、身份认证机制等。

通过对这些需求进行分析和评估,可以确定系统的高级设计概念,并从整体上保证系统的正确性、安全性和可靠性。

下面结合GB/T38874通过案例解析高级设计概念。

对实现农林机械功能安全至关重要的高级设计概念是指在安全相关系统中增加冗余和多样性。这种方法可确保系统在出现故障或错误的情况下也能继续安全运行。

以农用无人机为例,农用无人机负责监测农作物的健康状况和喷洒农药,即使存在潜在危险,如碰撞障碍物或意外释放农药,它也需要保持安全运行。

这种农用无人机的一个可能的高级设计概念是采用冗余和多样性的传感器来避免碰撞障碍物。这可以通过使用多种类型的传感器来实现,如摄像头、激光雷达和超声波传感器,每种传感器可提供不同的视角和测量方法。通过结合来自这些传感器的数据,农用无人机可以更准确、更稳健地了解其环境,减小错误检测障碍物的可能性。

冗余机制还可以应用于农用无人机的控制系统。在这种情况下,可以实现多个独立的控制算法,每个控制算法都能够使农用无人机保持稳定飞行并执行所需的任务。如果其中一个控制算法失效或遇到问题,那么农用无人机可以切换到另一个控制算法以保持安全运行。

下面介绍一个具体案例:有一架在葡萄园中使用的无人机,它用于监测葡萄树的健康状况和喷洒杀虫剂。

无人机的控制系统具有3个独立的控制算法:为稳定飞行和精确导航而设计的初级控制算法,专注于避障和安全机动的二级控制算法,以及为紧急情况(如快速下降或返回)设计的三级控制算法。

在操作过程中,无人机会持续监控其控制算法和传感器的性能。如果任何组件出现故障或提供不可靠的数据,那么无人机可以切换到另一个控制算法或依靠其他传感器提供的数据来保持安全运行。

这种高级设计概念结合了控制算法与传感器的冗余和多样性,有助于确保无人机在面临潜在危险和系统故障时能够继续安全、有效地运行。定义高级设计概念可使事故风险显著降低,有助于实施更安全、更高效的农业作业。

3.系统级需求

系统级需求是指在系统开发过程中,从用户需求、系统架构、软硬件平台等角度对系统进行分析,从而定义系统整体的功能、性能、安全性、可靠性等方面的要求和约束条件。系统级需求需要与用户需求进行匹配和协调,以保证系统开发过程中的设计和实现都能够满足用户的期望及需求。

系统级需求通常由系统的利益相关者(如用户、管理者等)提出,并由系统开发团队进行分析、明确和细化。

系统级需求对系统开发具有至关重要的作用。它为系统设计和实现提供了方向与指导,可以确保系统开发的方向正确,并且满足用户的实际需求。同时,系统级需求也为系统测试和验证提供了依据,可以保证系统的质量和安全性。

在通常情况下,系统级需求应当具有以下特征。

(1)明确性:系统级需求应当明确、具体,避免存在歧义和模糊。

(2)可测试性:系统级需求应当是可测试的,以便在开发过程中进行测试和验证。

(3)完整性:系统级需求应当完整,包含系统所需的所有功能和性能要求。

(4)一致性:系统级需求应当相互协调和一致,避免矛盾和重复。

(5)可追溯性:系统级需求应当可追溯,可以从系统开发过程中的各个阶段追溯到最初的需求来源。

在实践中,系统级需求通常以需求规格说明(Requirement Specification,RS)的形式进行记录和维护。需求规格说明应当清晰、详细地描述系统的功能、性能、安全性、可靠性等方面的需求,并对这些需求进行分类和优先级排序,以便系统开发团队根据需求规格说明进行系统设计和实现。

下面通过案例解析系统级需求。

系统级需求是指系统以安全、高效的方式执行其预期功能所必须满足的基本条件和特性。这些需求源自功能安全过程中确定的危险和风险分析及安全目标。在农林机械功能安全的背景下,系统级需求可能包括安全相关功能、性能标准、容错机制和系统接口。

以自动驾驶拖拉机为例,自动驾驶拖拉机用于执行犁地、种植和收割等任务,其安全相关功能包括与其他车辆保持安全距离、避开障碍物,以及在检测到紧急情况时停车。自动驾驶拖拉机的系统级需求可能包括以下几种。

(1)安全相关功能:通过使用控制算法和传感器,与其他车辆和障碍物保持安全距离。

如果在预定义的临界距离内检测到障碍物,则停车。

在发生紧急情况(如火灾或严重系统故障)时,自动关闭发动机和其他子系统。

(2)性能标准:传感器必须具有最小检测范围和精度,以确保实施可靠的障碍物检测和距离测量。

控制算法必须能够在各种环境条件(如不同地形、天气和照明条件)下使车辆保持稳定和安全运行。

制动系统必须能够在各种负载条件和运行速度下使拖拉机在规定的距离内停止。

(3)容错机制:采用用于进行障碍物检测的冗余和多样性的传感器,如摄像头、激光雷达和超声波传感器,以减小错误检测障碍物的可能性。

采用多个独立的控制算法,使自动驾驶拖拉机即使在出现异常或故障的情况下也能保持稳定运行并执行所需的任务。

集成自我监控和诊断功能,持续评估自动驾驶拖拉机系统的健康状况,并在检测到异常或故障时触发适当的操作。

(4)系统接口:为自动驾驶拖拉机系统组件(如传感和感知系统、决策和控制系统和执行系统等)之间的通信定义标准化接口。

确保与外部系统(如农场管理软件、GPS和连接的其他农林机械)的兼容性和安全通信。

通过定义和满足这些系统级需求,自动驾驶拖拉机可以实现其预期功能,同时确保在各种条件下安全运行。这样不仅有助于降低事故风险,还有助于提高农业作业效率和可持续性。

下面探讨不同系统组件之间的关系,以及它们如何促进自动驾驶拖拉机的功能安全,并提供一个流程图来可视化这些组件之间的交互。

(1)传感和感知系统:该系统从各个传感器收集数据,如摄像头、激光雷达、超声波传感器和GPS,以了解自动驾驶拖拉机所处的环境及其在环境中的位置。

(2)决策和控制系统:该系统处理来自传感和感知系统的传感器数据,运行控制算法,并决定自动驾驶拖拉机应该如何操作。它还监视自动驾驶拖拉机系统的健康状况,并在检测到异常或故障时触发适当的操作。

(3)执行系统:该系统接收来自决策和控制系统的控制命令,并将其转化为物理动作,如控制自动驾驶拖拉机的速度、转向和制动。

(4)人机界面(HMI):人机界面为操作者提供与自动驾驶拖拉机进行交互、监控其操作并在必要时进行干预的方法。

图1.3 自动驾驶拖拉机系统组件之间的交互图

图1.3中定义了4个节点,代表自动驾驶拖拉机系统组件:传感和感知系统、决策和控制系统、执行系统,以及人机界面。该交互图还通过标有相应数据类型的有向边说明这些组件之间的数据流,如从传感和感知系统流向决策和控制系统的是“传感器数据”。

图1.3有助于理解自动驾驶拖拉机系统的复杂性,并强调了功能安全在确保可靠和安全操作方面的重要性。通过遵循GB/T38874,可以实现自动驾驶拖拉机的系统级需求,最终有助于实施更安全、更高效的农业作业。

1.3.3.2 安全目标和功能安全需求

【标准内容】

安全目标:

AgPL r 大于QM的每种危险状况都应与安全目标相关联。安全目标可涉及多种危险状况。如果已确定了类似的安全目标,则可合并为一个安全目标。

注: 安全目标是UoO的顶层安全目标,由此导出功能安全需求,以避免各种危险状况下的不合理风险。

功能安全需求:

功能安全需求以更具体方式实现安全目标,确保UoO的功能安全。应从安全目标中导出足够的功能安全需求。功能安全需求继承了危险状况的AgPL r 及其相关安全目标。

如果功能安全需求涉及类似的危险状况具有不同的AgPL r ,则应实现最高的AgPL r

如果适用,应对从安全目标中导出的每个功能安全需求进行安全状态评估。在技术安全需求中,应对转移到安全状态、保持安全状态进行定义。

在定义功能安全需求时,应考虑以下因素:

——系统性失效(参见GB/T38874.2—2020的附录E);

——在预定环境条件(例如,参照ISO 15003)下执行安全功能的能力;

——其他典型功能(参见GB/T38874.2—2020的附录F)

索引:本节标准内容源自GB/T38874.2—2020的7.3.1节和7.3.2节。

【解析】

1.安全目标

安全目标是指在系统操作过程中必须满足的安全条件或目标,旨在确保系统在发生故障或错误的情况下,能够保持安全控制。安全目标是UoO的顶层安全目标,通过一系列的安全性确定。安全目标通常定义在系统设计和开发的早期阶段,以确保整个系统的安全性能和功能安全需求得到满足。

(1)安全目标应该具有以下特点。

· 具体、明确:安全目标必须具有明确的定义和具体的操作步骤,以确保能够正确实现。

· 可衡量性:安全目标必须能够被衡量和评估,以确定是否能够达到预期的安全性能。

· 可验证性:安全目标必须能够被测试和验证,以确保系统满足功能安全需求。

· 可追溯性:安全目标必须能够追溯到系统设计的早期阶段,以确保所有的安全性能和功能安全需求得到满足。

· 可操作性:安全目标必须能够在系统实际操作中实现,并且可以在需要时进行修改和调整。

(2)在确定安全目标时,需要考虑以下几方面。

· 参考国际/国家标准:在确定安全目标时,需要参考GB/T38874等标准。

· 考虑系统所处的环境条件:在确定安全目标时,需要考虑系统所处的环境条件,包括温度、湿度、压力等。

· 考虑系统操作模式:在确定安全目标时,需要考虑系统操作模式,以确保在任何操作模式下都能够保持安全控制。

· 参考已有的安全性能和功能安全需求:在确定安全目标时,需要参考已有的安全性能和功能安全需求,以确保新的安全目标与已有的需求相互兼容。

通过确定安全目标,可以确保系统在设计和开发过程中满足预期的安全性能和功能安全需求,并且能够在系统操作过程中保持安全控制,从而保障人员、财产和环境的安全。

安全目标是针对某个特定的危险情况或某一类危险情况所制定的、具体的、可量化的、可验证的目标。安全目标描述的是系统在特定环境条件下需要满足的安全性能要求。在通常情况下,安全目标是从风险评估与危险和可操作性(HAZOP)分析等活动中得出的。

(3)安全目标需要具备以下几个要素。

· 危险情况描述:明确安全目标所针对的危险情况。

· 保护对象描述:明确需要保护的对象,如人、动物、环境、财产等。

· 安全性能描述:明确需要满足的安全性能要求,如减小危险发生的概率、减轻危险状况的影响等。

· 测试/验证描述:明确如何测试/验证安全目标是否得到满足。

安全目标是UoO的顶层安全目标,所有的功能安全需求都要从安全目标中导出。同时,每个AgPL r 都需要与至少一个安全目标相关联,以确保在每种危险状况下都有明确的安全性能要求可供参考。此外,安全目标还需要与系统级需求相结合,以确保系统在满足系统级需求的同时,也能够满足安全目标的要求。

总之,安全目标是确保系统在特定环境条件下满足安全性能要求的关键因素,是从风险评估与HAZOP分析等活动中得出的、具体的、可量化的、可验证的目标。同时,安全目标也是导出功能安全需求的基础,需要与AgPL r 和系统级需求相结合,以确保系统具备必要的安全性能。

2.功能安全需求

功能安全需求是指为了满足安全目标和应对危险状况所提出的针对特定安全功能的详细要求。它们通常是从安全目标中导出的,并且要求对特定的安全功能进行详细描述,以确保它们能够在所需的AgPL r 下实现。

功能安全需求是从安全目标中导出的,是对安全目标所要求的系统功能或性能的具体描述,需要满足GB/T38874对功能安全需求的要求。在定义功能安全需求时,需要考虑参照ISO 15003中提出的在预定环境条件下执行安全功能的能力。

(1)功能安全需求应该具有以下特点。

· 清晰、明确:功能安全需求必须能够清晰地描述系统所需实现的功能或性能,如需要满足的响应时间、控制精度等。

· 可验证性:功能安全需求必须是可验证的,也就是说,它们必须能够被测量、测试或检验。

· 可追溯性:功能安全需求必须能够追溯到安全目标,并与其他系统开发过程中的文档和工件建立连接。

· 完整性:功能安全需求必须覆盖所有的安全目标,以确保系统能够满足设计要求。

· 一致性:功能安全需求应该与其他相关文档和工件一致,如安全目标、安全概念等。

(2)在定义功能安全需求时,需要考虑以下几方面。

· 需求描述:功能安全需求应该清晰、明确、可验证,并能够与相应的安全目标、危险状况和AgPL r 相关联。

· 功能安全级别:每个功能安全需求都应该指定其对应的AgPL r 。这个级别应该基于危险状况的HARA结果指定。

· 功能安全性能:功能安全需求应该清晰地描述特定的功能安全性能,如SIL、失效率、安全运行时间、故障检测和诊断要求等。

· 设计和实现要求:功能安全需求应该明确说明如何设计和实现特定的安全功能,包括硬件和软件要求、测试要求、验证要求、故障检测和诊断要求等。

· 验证和确认要求:功能安全需求应该明确说明如何验证和确认特定的安全功能是否达到了所需的AgPL r 和安全性能。

· 可跟踪性:功能安全需求应该具有可跟踪性,以确保其可以追溯到相应的安全目标和危险状况。

总之,功能安全需求是指确保系统在特定的危险状况下达到所需AgPL r 的详细要求。功能安全需求应该基于HARA和安全目标的分析定义,从而确保系统的功能安全性能可以得到满足。同时,它们应该具有清晰的描述,以便进行有效的测试、验证和确认。

3.在预定环境条件下(参照ISO 15003)执行安全功能的能力

在定义农林机械中的电气和电子设备的功能安全需求时,也可以参考ISO 15003。这个标准专注于评估农业设备在各种环境条件下的性能,确保这些设备即使在极端或变化的环境条件下也能保持其安全功能的可靠性和有效性。

具体来说,在考虑功能安全需求时,应涵盖以下关键环境因素。

(1)温度:设备应能在极端高温或低温环境条件下稳定运行。这包括考虑设备的散热能力、在低温下的启动性能,以及材料在不同温度下的耐久性。

(2)湿度:应确保设备能在高湿或干燥条件下正常工作。这涉及防水防潮设计、电路板和其他敏感组件的保护,以及在湿度变化时保持性能稳定。

(3)电磁干扰:评估设备在强电磁环境下的抗干扰性能。这对于防止误操作或数据损坏至关重要,尤其是在靠近高电压线或在使用大量无线通信设备的场所。

除此之外,还需要考虑以下因素。

(1)振动和冲击:农业机械在操作过程中可能会经历各种振动和冲击。因此,设备的设计应确保能够承受这些物理应力,以确保长期的可靠性和性能稳定。

(2)尘埃和污染:农业环境中的尘土和其他污染物可能会对电子设备造成损害。因此,需要确保设备有适当的密封和过滤系统,以防止尘埃侵入。

(3)日照和紫外线:长时间暴露在阳光下可能对设备的某些部件造成损害,尤其是塑料部件和显示屏。因此,需要考虑使用抗UV材料和设计来减小日照造成的影响。

通过综合考虑这些因素,并在功能安全需求的定义中充分反映,可以确保农业机械和设备在实际的工作环境中能够可靠且安全地运行。这不仅提高了设备的效率和生产力,还大大降低了潜在的安全风险,为农业工作者提供了更高水平的安全保障。

4.系统性失效

在功能安全工程中,系统性失效(Systematic Failures)是指由系统设计、开发或生产阶段的缺陷或错误导致系统或组件无法满足安全要求的失效。与之相对的是随机失效(Random Failures),随机失效是指由材料或使用过程中的意外事件导致系统或组件无法满足安全要求的失效。

系统性失效是指在某一特定条件下,同一系统的多个组件同时失效,导致系统无法满足安全要求的状态。这种失效通常不能通过传统的质量控制方法检测到,因为这些方法通常只能检测单个组件的失效。这种失效对于系统的安全性能来说是非常危险的,因为它可能会导致系统在某些极端情况下无法达到安全要求,从而导致潜在的危险。

系统性失效包括以下几种。

· 规格性失效(Specification Failures):由系统或组件的安全规范或安全要求书中的缺陷或错误导致系统或组件无法满足安全要求的失效。例如,安全规范没有考虑到某些危险状况或安全需求会导致规格性失效。

· 材料失效(Materials Failures):由材料的质量问题或制造过程中的问题导致系统或组件无法满足安全要求的失效。例如,材料强度不足或制造过程中的缺陷会导致材料失效。

· 操作失效(Operational Failures):由人为操作或维护不当导致系统或组件无法满足安全要求的失效。例如,忽略系统或组件的安全规范或要求进行操作或维护会导致操作失效。

为避免发生系统性失效,需要在系统设计、开发和生产过程中采用一系列质量控制方法,如采用严格的设计规范、采用严格的测试流程、进行制造过程的质量控制等,以确保系统或组件能够满足安全要求。同时,需要对系统或组件的运行过程进行监控和维护,以确保其能够持续满足安全要求。

在定义功能安全需求时,必须考虑系统性失效的可能性,并采取必要的措施来降低其风险。这包括采用可靠的设计和制造方法,确保系统的各个组件之间的兼容性和互操作性,并采取适当的维护和保养措施以保持系统的稳定性、可靠性。此外,还应该采用适当的测试和验证方法来检测、识别系统性失效的可能性,并采取必要的措施来纠正这些失效。

5.降低风险的基本安全功能特征

基本安全功能(Basic Safety Function)是一种旨在降低风险的安全措施,通常被视为系统安全的第一道防线。这些措施可能是机械、电气、电子、软件等方面的措施。

在定义功能安全需求时,应考虑其他典型功能中的基本安全功能特征,主要包括以下几点。

· 具有单一目标:基本安全功能只能实现一项特定的安全目标。

· 可靠性高:基本安全功能需要具备高可靠性,以确保在需要时起作用。

· 独立性:基本安全功能应该独立于其他系统组件,以避免其他组件失效对其产生影响。

· 有效性:基本安全功能必须能够有效地降低风险,并且能够满足指定的安全性能。

· 监控性:基本安全功能应该具备监控机制,以确保其可靠性和有效性,并且能够发现故障或失效情况。

考虑以上特征有助于确保基本安全功能成功实现安全目标,并且降低风险。在定义功能安全需求时,还应该考虑如何对基本安全功能进行测试和验证,以确保其可靠性和有效性。

对于典型安全功能,降低风险的基本安全功能特征是指通过一定的设计和措施降低潜在危险发生的概率,并确保系统在发生故障或失效时能够自动进入安全状态,从而降低风险。

具体来说,这些特征可以包括以下几方面。

· 安全控制功能:在系统发生故障或失效时,可以使系统进入安全状态,从而降低风险。

· 信号处理功能:对于系统中的信号,应该采取适当的处理方法,以确保在发生故障或失效时,系统可以自动进入安全状态。

· 输入和输出功能:对于输入和输出功能,需要确保输入数据的可靠性和准确性,并对输出数据进行测试和验证,从而避免对系统造成不良影响。

· 数据存储和处理功能:对于数据存储和处理功能,需要采取适当的措施来确保数据的完整性和安全性,从而避免对系统造成危害。

· 通信功能:对于通信功能,需要采取适当的安全措施来确保通信的安全性和可靠性,从而避免对系统造成不良影响。

在定义功能安全需求时,考虑这些基本安全功能特征,可以确保系统在设计和实现过程中有效地降低风险,并且满足用户的功能安全需求。

1.3.3.3 MTTF D

【标准内容】

危险失效(Dangerous Failure):

SRP/CS不能保持预期功能并由此产生的机械行为可导致危险状况的失效(以及共因失效导致的多种失效)。

危险失效率(Dangerous Failure Rate), λ D

单位时间内所有危险失效组件所占的比例。

注: λ D 是MTTF D 的倒数。

平均危险失效前时间(Mean Time to Dangerous Failure), 即MTTF D

预期危险失效前的平均时间。

注: MTTF D λ D 的倒数。

MTTF D 值:

在GB/T38874中,MTTF D

——分为低、中、高3个等级;

——应考虑SRP/CS的每个通道(MTTF DC )。

可根据表1.6直接计算MTTF D ,或参见GB/T38874.2—2020的附录B中的方法确定MTTF D

表1.6 平均危险失效前时间

注: 由于GB/T38874.2—2020的附录B中定义的MTTF D 计算方法仅适用于硬件,因此本书不对其进行详述。

索引:本节标准内容源自GB/T38874.1—2020的3.8节、3.9节、3.32节和GB/T38874.2—2020的7.3.3节。

【解析】

1.MTTF D 概述

根据GB/T38874中的规定,MTTF D 是衡量功能安全的一个重要的指标,它代表系统或组件在达到危险失效状态之前预期的平均运行时间。MTTF D 主要分为三个等级,分别对应不同的安全要求级别。

(1)Low(低):这个等级适用于较低的安全要求。在这个等级下,MTTF D 的范围是3年到10年之间。这意味着在这个等级下的系统或组件应在3年到10年的时间里运行而不发生危险失效。

(2)Medium(中等):这个等级适用于一般的安全要求。在这个等级下,MTTF D 的范围是10年到30年之间。这意味着在这个等级下的系统或组件应在10年到30年的时间里运行而不发生危险失效。

(3)High(高):这个等级适用于较高的安全要求。在这个等级下,MTTF D 的最小值是30年。这意味着在这个等级下的系统或组件应至少在30年的时间里运行而不发生危险失效。

不同的MTTF D 反映了系统或组件在不同安全要求级别下所需的安全、可靠性水平。一般来说,安全要求越高,相应的MTTF D 也应越高,表明系统或组件能在更长的时间内保持其安全功能而不发生危险失效。因此,这些等级的设定依据的是系统或组件的安全要求的严格程度,以及应用环境的危险性。

在定义功能安全要求时,正确理解和应用MTTF D 的概念是至关重要的,它直接影响系统设计的安全性和可靠性。

在功能安全领域,MTTF D 不仅是衡量单个组件或系统可靠性的指标,而且在整个安全生命周期管理中扮演着关键角色。在设计和评估安全相关系统时,MTTF D 的准确估计和分类有助于确定必要的安全措施,以确保系统在预期的使用寿命内保持功能安全性。

对于不同的应用和行业,MTTF D 的具体要求可能有所不同。例如,在工业自动化、医疗设备或汽车行业中,系统和组件的可靠性要求往往更为严格,因此可能需要更高等级的MTTF D 。而在某些低风险的应用中,较低等级的MTTF D 可能就足够了。因此,在设计阶段就需要明确确定MTTF D ,这有助于引导后续的工程决策和安全措施的实施。

此外,为了确保MTTF D 的准确性,通常需要进行详尽的可靠性分析和测试。这包括对组件和系统的失效模式、效应和临界性的分析,以及定期的性能监测和维护。通过这些措施,可以及时发现潜在的危险失效并采取措施以防止其发生。

在实际应用中,还需要考虑外部环境因素对MTTF D 的影响。例如,温度、湿度、振动和电磁干扰等环境因素可能加速系统的磨损和失效。因此,在评估MTTF D 时,需要考虑这些环境因素,并确保系统设计能够在预期的工作环境中保持其安全性能。

MTTF D 的管理和优化是一个持续的过程。随着技术的发展和运行经验的积累,系统的安全性能可以不断提升。这可能包括采用新材料、改进设计或更新控制算法等措施,以延长系统的MTTF D ,从而提高其整体的功能安全性。

2.MTTF D 、危险失效和 λ D 的关系

衡量系统的可靠性,常常使用MTTF D λ D 这两个指标。

危险失效是指系统在发生故障的情况下无法满足安全要求的失效状态。 λ D 是指单位时间内系统发生危险失效的概率。可以通过对系统进行设计和实验来计算、评估 λ D 。在危险失效模式下,系统失效会导致一个或多个危险事件的发生,包括有潜在危险的故障和不安全的故障。MTTF D 是指系统在设计寿命周期内,平均多长时间会发生一次危险失效,其单位通常是小时。

MTTF D λ D 是与系统可靠性相关的两个重要指标。MTTF D 表示在危险失效模式下,系统平均可以运行多长时间而不会发生失效,而 λ D 则表示在单位时间内系统发生危险失效的概率。这两个指标有以下关系:

即MTTF D λ D 的倒数。这是因为在假设故障率是常数的情况下,可靠性与时间呈指数关系。因此,可以通过计算单位时间内系统发生危险失效的概率,即 λ D ,得出MTTF D

计算MTTF D λ D ,可以采用FMEA和故障树分析(Fault Tree Analysis,FTA)等可靠性分析方法。FMEA用于识别系统可能发生的故障模式、故障后果及故障的原因;FTA则用于识别系统失效的所有可能原因,以及每个原因对系统失效的贡献度。

通过对系统进行可靠性分析,可以计算出系统的MTTF D λ D ,以便进行评估和验证系统的可靠性是否符合安全要求。

1.3.3.4 DC值

【标准内容】

危险失效检测率(Dangerous Detected Failure Rate), λ DD

UoO内检测到的失效率,检测到的失效不会导致风险增加或使风险增幅最小。如果未检测到,将导致风险立即增加。

诊断覆盖率(Diagnostic Coverage,DC):

危险失效检测率 λ DD 与总危险失效率 λ D 的比值。

DC值:

在GB/T38874中,DC分为低、中、高3个等级。可根据表1.7直接计算DC或参见GB/T38874.2—2020的附录C中的方法计算DC。

注1: 诊断覆盖率适用于全部或部分的高风险功能系统。例如,传感器和/或逻辑系统和/或末端部件。

注2: 对包含多个部件的SRP/CS,使用平均值DC avg (参见GB/T38874.2—2020的附录C)。

表1.7 诊断覆盖率(DC)

索引:本节标准内容源自GB/T38874.1—2020的3.7节、3.10节和GB/T38874.2—2020的7.3.4节。

【解析】

在GB/T38874中,DC是指对于一个特定的安全相关功能,能够通过故障检测和诊断来发现其故障并采取必要的措施的能力,通常表示为百分数。DC分为以下3个等级。

(1)低:0≤DC<60%。

如果0≤DC<60%,则系统的诊断能力被认为有限。此时,对于该功能的故障检测和诊断可能存在漏洞,导致该功能的性能降低或不可用。

0≤DC<60%表明系统诊断能力不足,难以检测到危险失效事件,不能满足安全要求。因此,DC必须大于或等于60%。

(2)中:60%≤DC<90%。

如果60%≤DC<90%,则系统的诊断能力被认为一般。此时,系统能够检测到大多数故障,并采取必要的措施来保证安全性能。

60%≤DC<90%表明系统可以检测和识别大多数危险失效事件,但是依然存在未检测到的事件。在这种情况下,必须进行风险评估,以确定未检测到的事件的影响和频率。

(3)高:DC≥90%。

如果DC≥90%,则系统的诊断能力被认为良好。此时,系统能够高效地检测到故障,并采取必要的措施来保证安全性能。

DC≥90%表明系统能够检测和识别几乎所有的危险失效事件。在这种情况下,风险评估的结果可以相对可靠地反映系统的风险水平。

对DC的计算,通常采用以下公式:

式中,PFD avg 为平均故障率下降(Probability of Failure on Demand average)指标,表示在系统需要执行安全功能时,系统未能正确响应的概率。

除DC的等级外,GB/T38874还规定了DC的具体内容,主要包括以下几点。

(1)故障检测的能力:系统能够检测到发生的故障,如传感器损坏、信号线路故障等。

(2)故障隔离的能力:当检测到故障时,系统能够确定故障的原因并采取必要的措施进行隔离。

(3)故障诊断的能力:系统能够确定故障的具体类型和位置,并采取必要的措施进行修复或替换。

(4)故障恢复的能力:当故障被隔离或修复后,系统能够恢复正常工作。

对于包含多个部件的SRP/CS,可以使用平均诊断覆盖率(DC avg )来代表整个系统的诊断能力。

具体来说,若对于一个包含 n 个部件的SRP/CS,各个部件的诊断覆盖率分别为DC 1 ,DC 2 ,…,DC n ,则整个系统的DC avg 可以通过以下公式计算:

通过计算DC avg ,可以更准确地评估整个系统的诊断能力,而不是只考虑单个部件的DC。这有助于更全面地评估系统的安全性和可靠性,从而制定更好的功能安全策略。

1.3.3.5 类别、MTTF DC 、DC与SRL的选择

【标准内容】

共因失效(Common-Cause Failure,CCF):

UoO内单一事件引起的多种失效,这些失效无因果关系。

注: 共因失效与共模失效不同,共模失效可由多种原因引起。

软件需求等级(Software Requirement Level,SRL):

在预知条件下,安全相关部件执行软件安全相关功能的能力等级。

注: SRL分为4类,即SRL=B、1、2、3。

类别、MTTF DC 、DC与SRL的选择:

AgPL与以下4个因素有关:

——类别(参见GB/T38874.2—2020的附录A);

——MTTF DC (参见GB/T38874.2—2020的附录B);

——DC(参见GB/T38874.2—2020的附录C);

——SRL(参见GB/T38874.3—2020的第7章)。

此外,系统设计时应考虑以下内容:

——第3类和第4类架构的CCF(参见GB/T38874.2—2020的附录D);

——仅允许由系统制造商授权的负责人(或服务商)对AgPL大于或等于“a”的SRP/CS进行修改。

根据GB/T38874.4—2020的第11章,应禁止未经授权的修改。

如图1.4所示,可采用可靠性指标(DC、SRL)和硬件类别(Cat)的多种组合实现AgPL r 。例如,高可靠的单通道体系结构与低可靠的双通道体系结构具有相同的AgPL(见图1.4)。

图1.4 AgPL、类别、MTTF DC 、DC和SRL之间的关系

图1.4中纵轴为AgPL值,横轴为硬件类别。对于给定的AgPL,每个类别都有关联的DC、MTTF DC 和SRL。

设计者应为AgPL r 选择一个硬件类别。

注: 当AgPL选择较高类别时,允许有较小的MTTF DC 和/或SRL值。

索引:本节标准内容源自GB/T38874.1—2020的3.5节、3.48节和GB/T38874.2—2020的7.3.5节。

【解析】

1.AgPL、类别、MTTF DC 、DC和SRL之间的关系

在GB/T38874中,AgPL、类别、MTTF DC 、DC和SRL等用于评估系统或组件的功能安全性能,它们之间的关系如下。

(1)AgPL和类别的关系:AgPL和类别是对危险进行分类的方法。在确定AgPL和类别时,需要考虑危险性、暴露度和伤害可控性等因素。根据GB/T38874,AgPL和类别之间的关系如下:AgPL b对应类别1、2,AgPL c对应类别3,AgPL d对应类别4。

(2)AgPL和MTTF DC 的关系:MTTF DC 是指平均危险失效前时间,考虑诊断覆盖率的影响。它是指当系统或组件在发生危险失效时,需要多长时间进行修复或重新配置,以确保系统或组件可以恢复到安全状态。MTTF DC 越长,系统或组件的可靠性越高。

(3)DC和SRL的关系:DC是指诊断覆盖率,即当系统或组件在发生危险失效时,能够检测到该失效的能力。DC越大,系统或组件的可靠性越高。SRL是指安全完整性水平,是对系统或组件功能安全性能的综合评估指标。根据GB/T38874,DC和SRL之间的关系如下:DC≥90%对应SRL=3,60%≤DC<90%对应SRL=2,0≤DC<60%对应SRL=1。

AgPL、类别、MTTF DC 、DC和SRL是GB/T38874中常用的功能安全性能指标。它们在系统或组件的设计、开发和评估过程中起着重要的作用,有助于保证系统或组件的安全性和可靠性。

同时,AgPL、类别、DC、MTTF DC 和SRL也是功能安全的重要参数,它们之间的关系如下。

(1)AgPL与类别、DC、MTTF DC 和SRL有关。AgPL是针对某种危险状况的安全性能指标,与类别和DC直接相关。通常,AgPL越高,要求的类别和DC越高,MTTF DC 越长,SRL越高。

(2)类别与DC、MTTF DC 和SRL有关。类别是安全功能需求的分类指标,用于指导系统安全功能设计和验证。通常,类别越高,要求的DC也越高,MTTF DC 越长,SRL越高。

(3)DC与MTTF DC 和SRL有关。DC是诊断能力的度量指标,与诊断方法和可靠性有关。DC越高,要求的MTTF DC 越长,SRL越高。

(4)MTTF DC 与SRL有关。MTTF DC 是安全相关部件的可靠性要求指标,与SRL直接相关。通常,MTTF DC 越长,要求的SRL越高。

综上所述,这些参数在系统功能安全设计和验证过程中相互作用,需要综合考虑。在设计和验证过程中,需要根据实际情况选择合适的参数值,并进行充分的分析和评估,以确保系统满足安全性能要求。

2.计算MTTF DC 的方法

MTTF DC 是指在考虑系统性失效的情况下,SRP/CS每个通道的平均危险失效前时间。计算MTTF DC 的方法如下。

(1)对于SRP/CS每个通道,确定其分类和SIL。

(2)对于SRP/CS每个通道,计算其 λ D

(3)对于SRP/CS每个通道,根据其DC和失效概率(PFD)计算其MTTF D

(4)对于SRP/CS每个通道,根据其DC和MTTF D ,计算其 λ DD

(5)对于SRP/CS每个通道,根据其DC和 λ DD ,计算其平均危险失效前时间(MTTF DC )。

(6)对于整个系统,计算所有通道的MTTF DC 的平均值,即系统的MTTF DC

在GB/T38874中,计算MTTF DC 的方法包括以下步骤。

(1)识别每个通道中的所有部件,包括传感器、执行器、控制器和其他相关设备。

(2)确定每个部件的 λ D 和DC,以及每个部件是否具有内部或外部故障诊断能力。

(3)根据所识别的每个部件的 λ D 和DC,计算每个部件的MTTF D

(4)根据通道的结构和部件的 λ D ,计算每个通道的MTTF DC

(5)对于具有多个通道的系统,计算MTTF avg ,并将其用于确定系统的AgPL。

需要注意的是,在计算MTTF DC 时,应考虑到所有可能导致危险失效的部件和系统级失效。此外,还应考虑所有可能影响部件和系统可用性的因素,如环境条件和操作、维护要求。

MTTF DC 的计算方法与通道分类相关。对于单独通道(CC1、CC2、CC3)和首要通道(PC),MTTF DC 的计算方法为

式中,MTTF D 为每个部件的平均危险失效前时间;DC为诊断覆盖率; k 为修正因子。修正因子 k 取决于通道分类和诊断方式(如硬件或软件)。

对于平等切换通道(HC)和不等切换通道(NC),MTTF DC 的计算方法与上述方法略有不同。

3.系统设计中对CCF的考虑

根据GB/T38874,第3类和第4类架构的CCF是系统设计中需要考虑的重要因素。

CCF代表共因失效,即由同一因素或同一问题引起的多个部件或系统故障。第3类和第4类架构的CCF更为复杂,因为它们可能包括更多的复杂电子、软件和机械系统,并且它们在系统设计中需要更严格的要求和更高的安全性能水平。

为了减少第3类和第4类架构的CCF,设计人员应该采用不同的策略,如增加冗余、隔离、防护和监测,以确保系统中的部件不会由于同一原因或同一问题而发生故障。此外,还需要对部件进行多样性评估和CCF评估,并进行必要的风险评估和测试,以验证系统的安全性。

当使用第3类和第4类架构时,需要考虑共性故障的影响。共性故障是指可能在多个通道或部件中出现的同一类型的故障。这些故障可能会导致故障树中的顶事件或底事件(故障树中的最终事件)的发生,从而导致系统的失效。

为了避免共性故障对系统性能的影响,需要采取一些措施。例如,使用不同的设计策略来避免共性故障,如冗余设计、隔离设计和多样性设计。此外,还需要采取一些测试和验证措施来确保系统不会受到共性故障的影响。例如,对系统进行完整性测试、边界值测试和应力测试,以识别和解除共性故障。

在考虑第3类和第4类架构时,还需要对CCF进行评估。CCF代表共因失效,是指多个通道或部件之间的故障共同作用,导致系统失效。为了评估CCF,需要分析系统中每个通道或部件之间的交互作用,并识别可能导致共性故障的因素。之后要采取措施来减小CCF的可能性,如采用隔离设计和多样性设计。

当考虑第3类和第4类架构时,需要采取一系列措施来避免共性故障和CCF的影响,以确保系统的安全性和可靠性。

4.采用DC.SRL和Cat的多种组合实现AgPL r

根据GB/T38874,在确定农业机械的AgPL r 时,需要综合考虑DC、SRL和Cat这三个关键因素。这些因素的不同组合能够满足相同的AgPL r ,体现了该标准在安全要求上的灵活性和多样性。

· DC:DC衡量的是系统在发生危险失效时,能够检测到该失效的能力。DC越大,意味着系统在发现和响应潜在故障方面的能力越强。

· SRL:SRL是评估软件在满足特定安全功能要求方面的能力。不同的SRL表示软件在实现安全功能方面的不同需求和复杂度。

· Cat:Cat指的是系统的架构类型,如单通道系统或双通道系统。架构类型会影响系统的冗余和故障容忍能力。

基于GB/T38874,通过合理地选择DC、SRL和Cat的组合,可以实现相同的AgPL r 。例如,一个单通道系统(Cat B)可能通过较高的SRL和相对较大的DC来满足特定的AgPL r 要求。相反,一个双通道系统(Cat A)可能通过较低的SRL但配合更大的DC来达到相同的AgPL r 要求。这种差异反映了不同系统设计和安全策略在实现相同功能安全目标时的多样性。

这种组合方法强调了在系统设计过程中考虑所有相关因素的重要性,以确保既满足功能安全要求,又适应特定的应用环境和操作条件。因此,系统设计师在确定AgPL r 时,应全面评估DC、SRL和Cat的组合,以选择最合适的配置,确保系统的安全性和可靠性。

我们可以通过比较两个案例——高可靠的单通道体系结构和低可靠的双通道体系结构来展示如何通过不同的DC、SRL和Cat组合来实现相同的AgPL r 。这两种体系结构虽然在设计和可靠性方面有所不同,但它们可以通过不同的参数组合达到相同的AgPL r

(1)案例一:高可靠的单通道体系结构。

· 结构特点:单通道系结构通常具有较高的SRL,因为它依赖于单个通道的可靠性和性能。由于没有冗余,因此这种体系结构对单通道的可靠性和错误检测能力有更高的要求。

· DC.SRL组合:假设这个系统的DC为90%,SRL为3,Cat为B。虽然DC较高,但由于只有一个通道,所以系统的整体故障检测能力受限。

· AgPL r 实现:单通道体系结构由于其较高的SRL,因此可以补偿较低的DC,从而实现所需的AgPL r

(2)案例二:低可靠的双通道体系结构。

· 结构特点:双通道体系结构提供了冗余,即使一个通道发生故障,另一个通道仍可维持系统运行。这种体系结构在单个通道的可靠性方面可能较低,但总体上提供了更高的故障容忍性。

· DC.SRL组合:假设这个系统的DC为70%,SRL为2,Cat为A。虽然单个通道的可靠性可能较低,但较高的DC和双通道设计共同提高了系统的整体可靠性。

· AgPL r 实现:双通道体系结构通过其冗余设计和相对较高的DC,即使在SRL较低的情况下,也能满足相同的AgPL r 要求。

通过以上两个案例可以看出,不同的DC、SRL和Cat组合可以实现相同的AgPL r 。高可靠的单通道体系结构通过较高的SRL补偿了较低的DC,而低可靠的双通道体系结构则通过其冗余设计和相对较高的DC来弥补SRL的不足。这种灵活性允许系统设计者根据具体的应用需求和环境条件选择最合适的安全策略和系统架构,同时确保满足功能安全的要求。

总之,GB/T38874提供了一个灵活的框架,允许通过不同的DC、SRL和Cat组合来满足相同的AgPL r ,这使设计人员能够根据具体的应用需求和环境条件,选择最适合的安全策略和系统架构。

1.3.3.6 AgPL r 的实现

【标准内容】

E/E/PES架构(E/E/PES Architecture):

安全相关功能在电子控制单元(ECU)中的配置以及软硬件分类,包括通信。

AgPL r 的实现:

安全功能可由一个或多个SRP/CS实现。设计者可使用一种技术或多种技术组合。每个元素可包含基于E/E/PES的不同技术。SRP/CS可与其他技术的安全措施相结合。例如,机械安全功能(如机械连接接触器)。

注: 非E/E/PES的失效不在本部分范围内。

功能安全概念的开发应指定符合功能安全需求的单个或组合SRP/CS的特性。选择硬件类别、MTTF DC 、DC和SRL时,应使单个或组合SRP/CS的最终AgPL等于或超过所分配的功能安全需求的所有AgPL r

图1.5为执行安全相关功能任务的典型控制通道及其相关元件,包括输入(I)、E/E/PES(L)、输出/功率控制元件(O)及互连方法(如电气、光)。所有互连方法包含在SRP/CS中。

图1.5 安全相关部件组合框图

索引:本节标准内容源自GB/T38874.2—2020的3.12节和GB/T38874.2—2020的7.3.6节。

示例:输入端包含的速度传感器与光触发信号转换器相连接。

【解析】

1.基于SRP/CS结合其他技术实现安全功能

在GB/T38874中,安全功能可以由一个或多个SRP/CS实现,设计者可以采用一种技术或多种技术的组合。在实现安全功能时,可以使用多种技术来满足安全性能要求,包括硬件技术、软件技术、操作系统技术、信号处理技术、控制算法技术等。

每个SRP/CS元素可以包含基于E/E/PES(Electrical/Electronic/Programmable Electronic System)的不同技术,如硬件技术中包含自检、红外传感器、红外探头、电子稳定器等;软件技术中包含错误检测和校正码、多重处理器、自适应软件等。

此外,SRP/CS还可以与其他技术的安全措施相结合,如机械安全措施、操作者安全措施、环境安全措施等。例如,在汽车制造业中,当采用自动制动系统时,不仅需要通过制动系统的硬件技术和软件技术来保证安全性能,还需要通过驾驶员的反应时间、路面情况等多种因素来实现安全功能。

在选择安全技术时,需要考虑成本、安全性、可靠性等多个因素,确保选择的技术能够满足所需的安全性能要求。同时,需要对所选技术进行评估和验证,以确保其实际效果与设计要求相符。

例如,在某个系统中,可以使用一个由软件和硬件组成的SRP/CS,还可以使用其他技术,如加密、防篡改等,以增强系统的安全性。在这种情况下,设计者需要对每个安全功能进行分析和评估,确定使用哪些技术实现,并且需要对不同技术之间的交互进行考虑和分析,以确保整个系统的安全性。

设计者还应该考虑各种技术的可靠性和复杂性,以确保系统的安全功能能够在整个寿命周期内保持可靠和有效。例如,使用一个高度复杂的加密算法来实现一个简单的安全功能,可能会增加系统的成本和复杂性,并且可能导致系统的可靠性下降。

在设计安全功能时,需要综合考虑多种技术和因素,以确保系统的安全性和可靠性。

除采用多个SRP/CS的组合实现安全功能以外,还可以采用其他技术的安全措施来提高安全性。例如,可以在SRP/CS中采用多重冗余,同时还可以采用一些诊断技术,如故障检测和隔离、多通道比较等,以提高系统的安全性。

此外,还可以在SRP/CS之外采用其他技术来提高系统的安全性。例如,可以在电源供应和地线上采用双重和/或冗余电气极性,以减小发生电气故障的可能性;可以采用外部监测和控制设备,如断路器、电子保护装置等,以保护电气设备免受故障的影响。这些技术措施可以与SRP/CS的措施结合使用,以提高系统的安全性。

总之,在设计安全功能时,需要考虑采用多种技术的组合,以提供最佳的安全性能,还需要根据系统的特点和要求选择最合适的技术方案,并在整个系统的寿命周期中对其进行评估和验证。

2.功能安全概念的开发

在GB/T38874中,要开发一个功能安全概念,需要定义并满足一系列功能安全需求。这些功能安全需求应指定符合需求的单个或组合SRP/CS的特性,以确保系统可以达到预期的安全性能水平。在选择合适的硬件类别、MTTF DC 、DC和SRL等指标时,需要考虑这些指标的综合效果,以确保所选择的SRP/CS能够满足所有功能安全需求的AgPL r

具体来说,为了达到所需的AgPL r ,SRP/CS的选择和设计应该考虑以下因素来实现功能安全需求的AgPL。

(1)硬件类别:硬件类别是指硬件的可靠性等级。不同的硬件类别具有不同的MTTF DC 和DC。选择合适的硬件类别可以确保系统满足MTTF DC 和DC的要求,以避免系统中的故障导致危险事件的发生。硬件类别越高,SRP/CS的可靠性越高,可以支持的AgPL越高。在选择硬件类别时,应该根据系统安全性能需求进行评估,并选择符合要求的最低硬件类别。

(2)MTTF DC :MTTF DC 是指单个通道的平均危险失效前时间。MTTF DC 越长,意味着单个通道越可靠,系统发生危险事件的风险越低。选择合适的MTTF DC 可以确保单个通道的可靠性满足系统的要求,从而提高系统的安全性。对于SRP/CS的每个通道,应计算其MTTF DC 。通常,MTTF DC 越长,SRP/CS的可靠性越高,可以支持的AgPL越高。在选择SRP/CS时,应考虑其MTTF DC ,以确保其可靠性足以支持所需的AgPL。

(3)DC:DC是指诊断覆盖率,即在故障发生时,系统能够检测到故障并进行处理的能力。DC越高,意味着系统对故障的检测和处理能力越强,系统发生危险事件的风险越低。选择合适的DC可以确保系统能够检测和处理故障,从而提高系统的安全性。DC越高,系统越能检测到SRP/CS中的故障,可以支持的AgPL越高。在选择SRP/CS时,应考虑其DC,并根据所需的AgPL选择足够高的DC。

(4)SRL:SRL是指软件需求等级,它是根据系统的安全性能要求和可能产生的危险程度来确定的。不同的SRL需要满足不同的AgPL要求。选择合适的SRL可以确保系统的安全性满足要求。SRL越高,SRP/CS的安全性和可靠性越高,可以支持的AgPL越高。在选择SRP/CS时,应考虑其SRL,并根据所需的AgPL选择足够高的SRL。

考虑以上因素,可以选择单个或组合SRP/CS来实现所需的AgPL。对于单个SRP/CS,可以通过选择硬件类别、MTTF DC 、DC和SRL来满足所需的AgPL。对于组合SRP/CS,可以将它们的AgPL r 相加,并选择符合要求的组合SRP/CS。在选择组合SRP/CS时,应考虑它们的相互作用和兼容性,并确保它们能够满足所需的AgPL。

计算出单个或组合SRP/CS的AgPL是为了确保系统能够满足所有功能安全需求的AgPL r ,需要不断地调整和优化SRP/CS的硬件类别、MTTF DC 、DC、SRL等指标,直到达到所需的AgPL r 为止。

3.安全相关部件组合框图解析

安全相关部件组合框图是一个用于表示执行安全相关功能任务的典型控制通道的图示。其中包括4个基本元件:输入(I)、E/E/PES(L)、输出/功率控制元件(O)及互连方法(如电气、光)。

(1)输入(I)表示从传感器、开关、按钮等设备中接收输入信号。这些信号可能是电气信号、光信号等,需要通过适当的电路将其转换成数字信号。在安全相关部件组合框图中,输入(I)部分包含速度传感器和光触发信号转换器。速度传感器用于检测运动部件的速度,它可以是机械式的传感器(如轮速传感器)或非接触式的传感器(如霍尔传感器或磁编码器)。光触发信号转换器用于将传感器的输出信号转换成数字信号,输入E/E/PES(L)。在这里,速度传感器是一个输入设备,其输出的模拟信号需要通过光触发信号转换器转换成数字信号,并输入E/E/PES(L)。

(2)E/E/PES(L)是一个执行逻辑运算的设备,它接收输入信号,根据预设的逻辑算法进行运算,并输出相应的结果。E/E/PES(L)表示电子/电气/可编程电子系统,是控制系统的主体,执行安全相关功能任务。L表示E/E/PES的所有元素,包括微控制器、逻辑电路、传感器接口等。在安全相关部件组合框图中,E/E/PES(L)接收由输入(I)输出的数字信号,通过逻辑运算获得相应的控制信号,并将其输出到输出/功率控制元件(O)中。

(3)输出/功率控制元件(O)是控制设备的一部分,其任务是接收来自E/E/PES(L)的控制信号,将其转换成相应的电气信号、光信号,并输出到执行器或负载中。输出/功率控制元件(O)用于将E/E/PES(L)的输出信号转换成机械控制信号或电气控制信号。例如,它可以是执行器,用于控制制动器或电动机的电源电压或电流。在安全相关部件组合框图中,输出元件由电动机和电源控制器组成。输出/功率控制元件(O)接收来自E/E/PES(L)的控制信号,将其转换成光信号,并将其发送到执行器中。

(4)互连方法表示连接所有部件的方法,包括电气连接和光学连接。在安全相关部件组合框图中,互连方法通过SRP/CS实现,它是所有元件的安全相关部件的组合。互连方法(如电气连接、光学连接)连接各个部件的方式包括电缆、连接器、光纤等。在安全相关部件组合框图中,互连方法连接了各个部件,并将其组成一个完整的SRP/CS。

总之,安全相关部件组合框图的设计目的是可视化执行安全相关功能任务所需的所有元件和它们之间的关系,以便评估系统的安全性能和确定安全要求。同时,安全相关部件组合框图还可以作为系统开发和验证的参考。安全相关部件组合框图提供了一个清晰的视觉表示,可以帮助人们理解系统中不同元素之间的关系和交互方式。它是功能安全开发过程中的一个重要工具,能够帮助开发人员识别潜在的故障点和风险,并采取相应的措施来提高系统的安全性和可靠性。

1.3.3.7 与其他功能安全标准的兼容性

【标准内容】

概述:

在以下情况下,允许使用由GB/T38874以外的方法开发或评估系统和SRP/CS,表明整个系统符合GB/T38874。

(1)应使用GB/T38874中的风险分析确定AgPL r 。由表1.8,应根据AgPL r 确定PL或SIL以确定其他标准的要求。

表1.8 AgPL r 与其他功能安全标准的兼容性

续表

(2)当评估相同应用程序和表1.8中的等效AgPL r 时,系统或SRP/CS应满足替代标准的所有要求。

注: QM是一种具有很低风险的质量度量,与安全相关功能无关,因此与其他功能安全标准无对应关系。

IEC 61508兼容系统或SRP/CS:

(1)根据IEC 61508开发的硬件,高需求模式下的平均危险失效率完全满足GB/T38874中的等效值,前提是硬件符合表1.8中相应的SIL。

(2)如果IEC 61508使用的工具显示相应数值的危险失效率,则SIL 1硬件等同于AgPL r 的c级。

(3)根据IEC 61508开发的软件,只要软件符合表1.8中相应的SIL,就满足要求。GB/T38874过程也可用于软件开发。

(4)SIL1软件可用于AgPL r =b或c。

ISO 13849兼容系统或SRP/CS兼容系统:

符合ISO 13849的系统,如果满足以下要求,则符合GB/T38874要求。

(1)根据表1.8,ISO 13849 PL等于或超过GB/T38874的等效AgPL r

(2)表1.8中等效AgPL r 满足软件需求,或表1.8中等效SIL参照IEC 61508的要求。GB/T38874过程也可用于软件开发。

符合ISO 26262的兼容系统或SRP/CS的兼容系统:

如果满足以下要求,则符合ISO 26262的系统也符合GB/T38874。

(1)根据ISO 26262开发的硬件,只要硬件符合表1.8中相应的ASIL,则高需求模式下的平均危险失效率完全满足GB/T38874中的等效值。

(2)根据ISO 26262开发的软件,只要软件符合表1.8中相应的ASIL,则完全满足GB/T38874的要求。GB/T38874的过程也可用于软件开发。

(3)ASILA软件可用于AgPL r =b或c。

索引:本节标准内容源自GB/T38874.2—2020的7.3.7节和附录H。

【解析】

1.GB/T38874与ISO 13849、IEC 61508、ISO 26262确定安全性能水平方法的异同

GB/T38874、ISO 13849、IEC 61508和ISO 26262这些标准都提供了确定安全性能水平的方法,但是它们针对的行业和应用场景略有不同,因此在确定AgPL r 上的PL或SIL的要求方面也存在一些异同。GB/T38874、ISO 13849、IEC 61508和ISO 26262采用了不同的安全性能水平等级。

(1)GB/T38874是应用于农林机械领域的功能安全标准。

在GB/T38874中,安全性能水平通过AgPL r 来表示。AgPL r 由DC和SRL两个指标组成,其中DC是诊断覆盖率,SRL是软件需求等级。DC越高,表示系统对故障的诊断能力越强;SRL越高,表示系统的安全性能要求越高。GB/T38874还引入了MTTF DC 来表示安全相关部件的可靠性水平。

(2)ISO 13849适用于机器安全的电气、电子和编程控制系统。

在ISO 13849中,安全性能水平通过PL来表示。ISO 13849定义了5个不同的PL:PL a到PL e。PL a表示最低的安全性能要求,而PL e表示最高的安全性能要求。PL是根据危险事件的影响和发生的概率来确定的。PL由PFH d 和DC avg 两个指标组成,其中PFH d 表示每小时发生危险故障的概率,DC avg 表示对危险故障的平均诊断覆盖率。PL越高,表示系统的安全性能要求越高。

(3)IEC 61508是应用于工业自动化控制系统、铁路信号系统等领域的功能安全标准。

IEC 61508定义了4个不同的SIL:SIL 1到SIL 4。SIL 1表示最低的安全性能要求,而SIL 4表示最高的安全性能要求。SIL是根据危险事件的影响和发生的概率来确定的。在IEC 61508中,安全性能水平通过SIL来表示。SIL由PFH和R两个指标组成,其中PFH表示故障发生的概率,R表示安全功能降低故障造成的风险的能力。SIL越高,表示系统的安全性能要求越高。

(4)ISO 26262是应用于汽车电子领域的功能安全标准。

在ISO 26262中,安全性能水平通过ASIL来表示。ISO 26262定义了4个不同的ASIL:ASIL A到ASIL D。ASIL A表示最低的安全性能要求,而ASIL D表示最高的安全性能要求。ASIL是根据危险事件的影响和发生的概率来确定的。ASIL由DAL和PMHF两个指标组成,其中DAL表示开发过程的保障等级,PMHF表示硬件故障的概率。ASIL越高,表示系统的安全性能要求越高。

尽管这些标准使用了不同的术语和符号来表示安全性能水平,但它们的基本原则是相同的,即根据危险事件的影响和发生的概率来确定安全性能水平等级。

GB/T38874、ISO 13849、IEC 61508和ISO 26262定义了不同的安全性能水平等级,具体如下。

GB/T38874:

AgPL r a、b、c、d、e。

ISO 13849:

PL a、b、c、d、e。

IEC 61508:

SIL 1、2、3、4。

ISO 26262:

ASIL A、B、C、D。

其中,a、b、c、d、e和1、2、3、4及A、B、C、D分别表示不同的安全性能水平等级,它们之间的等效关系如下(基于表1.8)。

AgPL r a等效于SIL A等效于ASIL A等效于PL a。

AgPL r b等效于SIL 1等效于ASIL A等效于PL b。

AgPL r c等效于SIL 1等效于ASIL A等效于PL c。

AgPL r d等效于SIL 2等效于ASIL B等效于PL d。

AgPL r e等效于SIL 3等效于ASIL C等效于PL e。

SIL 4等效于ASIL D,AgPL r 和PL无匹配项。

这些等效关系是相对的,不同标准所定义的具体等级可能会存在一些差异,因此在具体应用中需要根据实际情况进行具体分析和确定。

GB/T38874、ISO 13849、IEC 61508和ISO 26262均采用安全性能水平指标来描述系统或部件的安全性能,但它们在定义、评估和应用这些指标的方法上有所不同。

总体而言,虽然GB/T38874、ISO 13849、IEC 61508和ISO 26262都是功能安全标准,但它们的范围和重点略有不同。在确定AgPL r 上的PL或SIL的要求方面,它们的总体异同点如下。

· 定义安全性能水平的方法:虽然GB/T38874、ISO 13849、IEC 61508和ISO 26262都是安全性能标准,但它们的范围和重点略有不同。在确定安全性能水平的方法上,GB/T38874主要适用于农林机械,使用AgPL r 作为安全性能的描述;ISO 13849专注于机械安全,使用PL作为安全性能的描述;IEC 61508是一个跨行业的通用功能安全标准,使用SIL作为安全性能的描述;ISO 26262专门针对道路车辆安全,使用ASIL作为安全性能的描述。这些不同的术语和方法反映了这些标准在应用领域和安全要求方面的特定重点。

· 评估方法:GB/T38874、ISO 13849和ISO 26262采用定量方法,即使用概率计算方法来确定系统或部件的安全性能水平;IEC 61508采用定性方法,即基于经验、历史数据等因素来确定系统或部件的安全性能水平。

· 定义:GB/T38874、ISO 13849、IEC 61508和ISO 26262都提供了对PL或SIL的定义,但它们的定义略有不同,如在确定安全性能时应考虑的因素、适用范围等不同。

· 相关标准:GB/T38874适用于农林机械,ISO 13849适用于机械系统,IEC 61508适用于所有行业的电气、电子和编程控制系统,ISO 26262适用于汽车行业的电气、电子系统。虽然这些标准的适用范围略有不同,但它们都旨在确保系统或部件的安全性能。

· 对技术措施的要求:GB/T38874、ISO 13849、IEC 61508和ISO 26262都要求采取适当的措施来确保系统或部件的安全性能,但它们采取的措施略有不同。例如,ISO 26262对硬件和软件的控制要求更加严格,而IEC 61508注重系统整体的安全性能,不仅包括硬件和软件,还包括人员和环境因素。

相同点:

· 它们都采用了安全性能水平指标,分别是AgPL r 、PL、SIL、ASIL,用于描述系统或部件的安全性能。

· 它们都采用了类似的方法来评估系统或部件的安全性能,如通过分析系统或部件的失效率、失效模式和失效影响等,计算出AgPL r 、PL、SIL或ASIL。

· 它们都要求采用特定的技术和方法来实现、验证系统或部件的安全性能,并要求采取相应的安全措施来降低安全风险。

不同点:

· 它们定义的安全性能水平指标不完全相同。GB/T38874定义了AgPL r ,ISO 13849定义了PL,IEC 61508定义了SIL,ISO 26262定义了ASIL。

· 它们的评估方法和标准也有所不同。例如,GB/T38874针对农林机械的安全性能进行了特别的规定和要求,ISO 13849主要针对机械和电气系统,IEC 61508主要针对工业控制系统和电气系统,ISO 26262主要针对汽车电子系统。

· 它们定义和要求的技术及方法不完全相同。例如,GB/T38874要求采用FMEA等方法进行分析和评估,ISO 13849要求采用可靠性分析与验证技术进行分析和评估,IEC 61508要求采用HAZOP、FTA等技术进行分析和评估,ISO 26262要求采用HARA、FTA、FMEA等技术进行分析和评估。

· 它们要求采取的安全措施不完全相同。例如,GB/T38874要求采取适当的措施来确保SRP/CS的安全性能和连通性,ISO 13849要求采取可靠的电气、机械和软件措施来降低安全风险,IEC 61508要求采取适当的控制措施来降低系统的安全风险,ISO 26262要求采取适当的措施来保证系统的安全性、可靠性和完整性。

总体而言,GB/T38874、ISO 13849、IEC 61508和ISO 26262这些标准在安全性能水平的表示及计算方法上存在差异,但是它们都强调了安全性能的重要性,并提供了一套完整的安全性能表示和评估方法,目标都是确保系统或部件的安全性能,以防止潜在的人员伤亡或财产损失。

2.GB/T38874、ISO 13849、IEC 61508和ISO 26262的危险失效率等效情况

GB/T38874、ISO 13849、IEC 61508和ISO 26262都是功能安全标准,它们对危险失效率都有相应的要求,但是它们的定义和计算方法略有不同。

GB/T38874将危险失效率定义为安全相关部件失效导致系统失效的概率。该标准使用了AgRL r 来表示安全性能水平,共有5个等级,从AgRL r a到AgRL r e等级升高,对应的危险失效率要求升高。其中,AgPL r e要求最高,其危险失效率要求为10 -8 /h。

ISO 13849将危险失效率定义为一个安全功能在特定时间内不能按照其预期执行的概率。该标准使用了PL来表示安全性能水平,共有5个等级,从PL a到PL e等级升高,对应的危险失效率要求也升高。其中,PL e要求最高,其危险失效率要求为10 -8 ~10 -7 /h 。

IEC 61508将危险失效率定义为安全相关系统或部件失效时导致危险事件发生的概率。该标准使用了SIL来表示安全性能水平,共有4个等级,从SIL 1到SIL 4等级升高,对应的危险失效率要求也升高。其中,SIL 4要求最高,其危险失效率要求为10 -9 ~10 -8 /h 。

ISO 26262将危险失效率定义为安全相关系统或部件失效导致无法满足其安全性能要求的概率。该标准使用了ASIL来表示安全性能水平,共有4个等级,从ASIL A到ASIL D等级升高,对应的危险失效率要求也升高。其中,ASIL D要求最高,其危险失效率要求<10 -8 /h。

需要注意的是,这些标准虽然在危险失效率的定义和计算方法上略有不同,但其最高等级的危险失效率要求非常接近,都在<10 -9 /h 到<10 -10 /h之间。这说明这些标准都非常注重安全性能的保证,并且要求在设计、开发、测试和验证等各个阶段都严格控制危险失效率。

1.3.3.8 E/E/PES的组合

【标准内容】

(1)每个系统制造商应根据ISO 12100对组合系统进行危险分析。还应根据GB/T38874.2对组合系统进行风险分析评估(适用时)。假定第一个系统中的故障已由第一个系统制造商处理。因此,附加系统的制造商无须考虑第一个系统未改变部分是否符合GB/T38874。

(2)除通常认为第一个系统无失效以外,附加系统和系统之间控制交互应符合GB/T38874的所有适用部分。

(3)系统之间的电子通信应根据GB/T38874的相关要求进行评估,包括源自第一个系统的故障。

(4)系统应由制造商设计和评估,确保整机符合ISO 4254或ISO 26322的相应要求。

索引:本节标准内容源自GB/T38874.2—2020的7.3.8节和附录I。

【解析】

1.组合系统的ISO 12100危险分析和GB/T38874风险分析评估

ISO 12100是一个国际标准,描述了机械安全的基本概念、设计和评估方法。在对组合系统进行危险分析时,首先应对系统的所有单独部件进行危险分析,并评估可能产生的危险和风险。其次应对组合系统进行危险分析,考虑系统中各个部件之间的相互作用,以及可能产生的新的危险和风险。

首先,进行危险分析,步骤如下。

(1)识别机械系统可能产生的危险和危险源。这些危险源包括机械运动、噪声、震动、温度、辐射、电磁场等。

(2)对机械系统的不同部件进行评估,确定其潜在的危险和风险。

(3)对机械系统进行风险分析评估,确定每个危险发生的概率和严重性,并对其进行分类。评估应考虑不同类型的操作者,如训练有素的操作者和非专业操作者。

(4)根据评估结果,采取必要的措施来消除或减少危险。这些措施包括设计改进、安全设备、警示标志、指示标志等。

其次,按照ISO 12100执行机械安全风险分析评估,步骤如下。

(1)定义机械系统:确定机械系统的范围、功能和特性,包括所有可能产生危险的部件和情况。

(2)危险识别:识别机械系统可能产生的危险和危险源,以及危险对人员、财产或环境可能产生的影响。

(3)危险评估:评估每个危险的严重程度和发生的可能性,并确定控制危险所需采取的措施。

(4)风险分析评估:评估危险的风险,即危险发生的可能性和可能产生的损害的严重程度。

(5)风险控制:确定采取的控制措施的类型和强度,并制定一份安全技术文件,包括必要的说明和警告。

(6)核查:检查控制措施是否有效,并记录安全技术文件的更改。

在GB/T38874中,对于使用E/E/PES的组合系统,需要在适当的时候进行风险分析评估。具体来说,在以下情况下需要进行风险分析评估。

(1)组合系统或E/E/PES的设计发生重大变化时。

(2)组合系统或E/E/PES的应用范围发生重大变化时。

(3)事故或故障发生,导致机械系统或E/E/PES的性能下降或不符合预期时。

(4)需要确认控制措施是否适当和有效时。

(5)GB/T38874规定的其他情况。

风险分析评估应遵循ISO 12100的原则和方法,并根据GB/T38874的要求进行,包括确定组合系统的应用和使用情况,识别潜在的危险和危险源,并评估其严重程度和发生的可能性,以及确定风险的级别及应采取的控制措施的类型和强度。所有这些信息都应记录在适当的文档中,供有关方面参考。

GB/T38874要求,在开发和评估农林机械的安全性时,根据ISO 12100进行危险分析,并在适用时进行风险分析评估。具体来说,当GB/T38874中的AgPL r 超过ISO 12100中所述的PL r ,或者系统中包含与GB/T38874定义的E/E/PES相关的功能时,应根据GB/T38874进行风险分析评估。

最后,ISO 12100和GB/T38874都涉及对机械设备的危险分析和风险分析评估,但二者在方法和应用方面存在一些差异。

ISO 12100是一个通用标准,适用于所有类型的机械设备,包括非电气设备和电气设备。该标准要求进行两个阶段的危险分析:首先,通过分析机械设备的各个部分、系统和功能来识别潜在的危险;其次,对已识别的危险进行评估和分类,确定相应的风险等级,并制定相应的风险控制措施。ISO 12100提供了一些指导原则和方法,但没有规定具体的指标和计算方法,实际上,制造商可以自由选择采用何种方法。

GB/T38874是专门针对农林机械电气/电子系统的功能安全标准,主要用于对农林机械的SRP/CS进行风险分析评估。GB/T38874规定了具体的风险分析评估流程,包括几个特定的步骤和计算方法。例如,GB/T38874要求计算每个SRP/CS的危险失效率、MTTF D 和SIL,并考虑多个SRP/CS在组合系统中的交互作用。

因此,ISO 12100和GB/T38874的主要区别在于以下几点。

· ISO 12100适用于所有类型的机械设备,而GB/T38874仅适用于农林机械电气/电子系统。

· ISO 12100提供了一些指导原则和方法,而GB/T38874规定了具体的风险分析评估流程。

· ISO 12100没有规定具体的指标和计算方法,而GB/T38874规定了计算危险失效率、MTTF D 、SIL等指标的具体方法和公式。

综上所述,ISO 12100和GB/T38874都是重要的功能安全标准,但应用于不同的领域,并且具有不同的应用方法。

2.组合系统符合GB/T38874的要求

组合系统的要求包括第一个系统无失效、附加系统和系统之间控制交互符合GB/T38874的所有适用部分。这意味着组合系统需要满足以下要求。

(1)第一个系统无失效:在组合系统中,第一个系统应当能够安全地执行其预定功能,并且不会产生任何危险或失效。第一个系统通常是指能够与其他系统进行交互的系统。

(2)附加系统的要求:组合系统中的附加系统应满足GB/T38874的所有适用部分,包括对硬件、软件的安全性评估和验证,以及对硬件、软件的开发和测试的要求。附加系统的设计和开发应该基于整个组合系统的风险分析评估结果。

(3)系统之间控制交互:组合系统中的系统之间控制交互应该符合GB/T38874的所有适用部分,包括对通信安全性的要求和对通信失效的处理。此外,还应当考虑组合系统中的控制策略、控制模式和控制变量的影响,并确保系统之间控制交互满足整个组合系统的安全性能要求。

组合系统的要求强调了系统之间的整合和控制交互安全性,需要满足GB/T38874的相关要求,以确保整个组合系统的安全性。

在GB/T38874中,要求附加系统和系统之间控制交互符合GB/T38874的所有适用部分。这意味着在设计组合系统时,必须考虑附加系统和系统之间控制交互,以确保整个系统能够满足安全性能要求。

具体而言,组合系统必须满足以下要求。

(1)确定控制交互:需要确定附加系统和系统之间控制交互,并进行评估。

(2)确定控制交互的影响:需要评估控制交互对组合系统安全性的影响,并采取适当的措施减轻影响。

(3)采取措施确保控制交互的安全性:需要采取适当的措施来确保控制交互的安全性,如采取隔离措施、采用安全接口等。

总之,GB/T38874要求组合系统不仅要考虑附加系统本身的安全性,还要考虑附加系统和系统之间控制交互对组合系统安全性的影响,并采取相应的措施来确保控制交互的安全性。这样才能保证整个组合系统的安全性符合标准要求。

3.根据GB/T38874评估系统之间的电子通信

在系统之间的电子通信中,故障的发生可能会导致通信中断或信息错误,从而导致安全性风险。因此,为确保组合系统的安全性,GB/T38874要求对系统之间的电子通信进行评估。

对于组合系统中的电子通信,GB/T38874要求进行以下评估。

(1)识别每个系统之间的通信通道,包括输入通道、输出通道、数据传输通道等。

(2)对每个通信通道,进行电磁兼容性(EMC)分析,以确定是否存在电磁干扰问题。EMC分析应考虑系统中所有可能存在的干扰源,包括电气干扰源、磁性干扰源、电磁辐射干扰源等。

(3)根据分析结果,采取必要的措施,如屏蔽、隔离、滤波等,以确保通信通道的可靠性和稳定性,并避免干扰问题对系统性能和安全性的影响。

(4)对于源自第一个系统的故障,应考虑其对其他系统通信通道的影响。例如,第一个系统发生故障导致通信中断,其他系统是否能够识别该故障并采取适当的措施,如切换到备用通道,以确保通信的可靠性和稳定性。

(5)对于所有通信通道,应进行必要的测试和验证,以确保其符合GB/T38874的相关要求,包括可靠性、实时性、容错能力等。

针对组合系统中的电子通信,GB/T38874要求采取综合性的评估方法和措施,以确保其符合高安全性能要求。具体而言,评估应包括以下几方面。

(1)电子通信的安全性能要求:电子通信应满足相应的安全性能要求,包括保密性、完整性和可用性。例如,在汽车系统中,保密性要求防止未经授权的数据访问或信息泄露,完整性要求保证数据不会被篡改或损坏,可用性要求保证通信的稳定性和可靠性。

(2)通信故障的影响评估:评估应包括通信故障的影响,如通信中断或信息错误可能导致的安全性风险,以及如何处理这些风险。

(3)通信故障的诊断和恢复:应对通信故障进行诊断和恢复,以确保系统在故障发生时能够及时识别和处理,从而降低安全性风险。

(4)故障源头的识别和处理:评估还应包括故障源头的识别和处理。例如故障可能源自第一个系统,需要对第一个系统进行故障排除和修复,以避免对其他系统造成影响。

综上所述,GB/T38874要求对组合系统中系统之间的电子通信进行全面的评估和管理,以确保通信的安全性和可靠性,同时降低因通信故障导致的安全性风险。

4.ISO 4254和ISO 26322的系统设计和评估要求

ISO 4254和ISO 26322都是农林机械安全标准,旨在确保农林机械的设计与制造符合安全、卫生和环境保护的要求,以保障操作人员、环境和动物的安全。

ISO 4254是一个农林机械安全标准,适用于农业中使用的悬挂式、半悬挂式和牵引式动力驱动机器等,不适用于农林拖拉机、农用飞机和气垫车辆、草坪和花园设备、机器特定的组件或功能。ISO 4254要求适用的农林机械在设计及制造过程中必须考虑到使用与维修时可能存在的危险和风险,并采取相应的措施来消除或减少这些危险和降低其风险。该标准规定了农林机械的安全要求、风险评估和减轻措施。在GB/T38874中,要求系统符合ISO 4254的相关要求,以确保整机的安全性。因此,系统制造商需要对整机进行风险评估,并采取必要的风险降低措施,以使系统满足ISO 4254的相关要求。

ISO 26322也是一个农林机械安全标准,与ISO 4254的不同之处在于,其适用于农林窄轨和小型拖拉机,具体来讲,其适用于至少有两个轴为气胎轮,或者以履带代替车轮且最小固定或可调履带宽度不超过1150mm的窄履带拖拉机,以及空载质量不超过600kg的小型拖拉机。该标准规定了农林机械的安全要求、风险评估和降低措施。在GB/T38874中,要求系统符合ISO 26322的相关要求,以确保整机的安全性。因此,系统制造商需要对整机进行风险评估,并采取必要的风险降低措施,以使系统满足ISO 26322的相关要求。

在GB/T38874中,要求系统由制造商设计和评估,确保整机符合ISO 4254或ISO 26322的相应要求,这是为了保障农林机械或动物驱赶设备在设计与制造过程中的安全性和可靠性,以防止在使用与维修过程中对操作人员、环境和动物造成危害。

1.3.3.9 SRP/CS的交联组合的总体AgPL

【标准内容】

当具有各自独立AgPL的多个SRP/CS相结合时,可采用GB/T38874.2—2020的附录J中的方法确定总体AgPL。

索引:本节标准内容源自GB/T38874.2—2020的7.3.9节。

【解析】

1.SRP/CS串联估计和计算

在GB/T38874中,SRP/CS的交联组合是实现总体AgPL的一种方法。SRP是指对于机器或车辆的安全性能水平有关键作用的部件,如制动系统、转向系统等;CS是指通过监测和控制SRP来保证机器或车辆安全性能的系统,如安全控制器、传感器等。

在实现总体AgPL时,必须考虑SRP和CS之间的相互作用与交联,以确保系统可以达到所需的安全性能水平。具体来说,需要考虑以下几方面。

(1)SRP的失效对CS的影响:必须确定每个SRP失效的影响,以及这些影响如何传递到CS中。例如,制动系统失效,那么CS必须能够检测到这种失效并采取适当的措施来确保车辆停止。

(2)CS的失效对SRP的影响:必须确定每个CS失效的影响,以及这些影响如何传递到SRP中。例如,安全控制器失效,那么制动系统必须能够采取适当的措施来确保车辆停止。

(3)SRP和CS之间的相互作用:需要评估SRP和CS之间的相互作用,以确定它们如何协同工作来实现总体AgPL。例如,在制动系统和安全控制器之间需要确保正确的信号传递与响应时间,以确保车辆在需要时能够停止。

(4)SRP/CS的交联组合对于实现总体AgPL至关重要,必须对它们之间的相互作用进行详细的分析和评估,以确保机器或车辆的安全性能可以达到所需的水平。

串联估计是在SRP/CS的交联组合中使用的一种方法,用于计算整个系统的总体AgPL。它涉及对多个SRP/CS进行连接,以评估整个系统的安全性。

在串联估计中,每个SRP/CS的PL或SIL被视为输入。这些输入被组合起来,用于计算整个系统的AgPL。这种计算方法要求每个SRP/CS都满足其安全性能要求,并且每个SRP/CS都必须与其前面的SRP/CS正确地交联。

例如,一个系统包括两个SRP/CS,第一个具有PL d,第二个具有PL e,则整个系统的AgPL可以通过将两个SRP/CS的PL相加得出,即AgPL=PL d + PL e。在这种情况下,假设两个SRP/CS之间的交联是正确的,则系统的总体AgPL将等于PL d和PL e的和。

值得注意的是,串联估计是一种相对简单的方法,但它需要保证各个SRP/CS之间的交联是正确的。如果这些交联没有正确实现,那么串联估计可能会高估系统的安全性。因此,在进行串联估计之前,必须对系统的安全性设计进行仔细规划和实施。

2.计算执行安全功能的组合SRP/CS的总体AgPL

在计算执行安全功能的组合SRP/CS的总体AgPL时,需要按照串联估计的方法进行计算。该方法包括以下步骤。

(1)确定每个SRP/CS的AgPL:根据GB/T38874的要求,对于每个SRP/CS,应该根据其安全功能的重要性、复杂性和可靠性等指标,确定其AgPL。

(2)计算每个SRP/CS的失效率:根据GB/T38874的要求,每个SRP/CS的失效率应该根据其设计和实现过程中的安全性分析、测试数据、实验结果等进行计算。

(3)计算组合SRP/CS的失效率:根据串联估计的方法,计算组合SRP/CS的失效率。具体而言,对于每个SRP/CS,将其失效率与后续SRP/CS的失效率进行组合计算,即可得到组合SRP/CS的失效率。

(4)确定组合SRP/CS的总体AgPL:根据GB/T38874的要求,根据组合SRP/CS的失效率和要求的AgPL,确定组合SRP/CS的总体AgPL。

需要注意的是,串联估计方法只适用于仅由SRP/CS组成的系统,而不能用于涉及其他元素(如传感器、执行器等)的系统。对于这些系统,需要使用并联估计方法计算总体AgPL。此外,在计算总体AgPL时,还需要考虑SRP/CS之间的交联关系和其他因素的影响,以确保整个系统的安全性。

以下是两种SRP/CS的总体AgPL计算方法。

方法1: 可根据GB/T38874.2—2020的附录G,计算执行安全功能的组合SRP/CS的总体AgPL,步骤如下。

(1)确定最低AgPL i ,即AgPL low

(2)确定SRP/CS i 中AgPL i =AgPL low 的个数 N low :AgPL i =AgPL low N low N

(3)查找表G.1中系统故障——意外停止情况,以表G.2和表G.3为例,通过GB/T38874.2—2020中的图1.1最终确认AgPL r

方法2 :计算执行安全功能的组合SRP/CS的总体AgPL需要进行串联和交联的估计。具体来说,串联估计涉及将所有的SRP/CS按照串联方式连接起来,并计算得出总体失效率,从而估计整个系统的AgPL。交联估计则将不同的SRP/CS按照交联方式连接起来,计算得出总体失效率,从而估计整个系统的AgPL。

对于串联估计,计算方法为

式中, P 1 P 2 ,…, P n 分别表示各个SRP/CS的PL,由失效率 λ 计算得出。

对于交联估计,计算方法为

式中, D 表示修正因子,由于不同的SRP/CS之间的交联方式不同,因此修正因子的计算方法也不同; P 1 P 2 ,…, P n 分别表示各个SRP/CS的PL,由失效率 λ 计算得出。

需要注意的是,对于交联估计,修正因子 D 的取值不应超过1,否则会使总体AgPL超过实际可达到的最大值。此外,在进行总体AgPL计算时,还需要考虑到不同SRP/CS之间的相互影响,以及不同失效模式的概率分布等因素。因此,计算总体AgPL需要进行详细的失效率分析和概率计算。

3.数据通信

在组合系统中,不同的SRP/CS之间需要进行数据通信,如传输传感器信号或控制命令等。因此,在设计和评估组合系统时,需要特别注意数据通信的可靠性和兼容性。

首先,需要考虑布线方案,确保所有数据传输线路的可靠性和稳定性。这包括选择合适的传输介质和信号处理方法,以确保数据传输的准确性和可靠性。在GB/T38874中,还要求进行EMC评估,以确保数据传输线路的兼容性和抗干扰能力。

其次,需要考虑软件的兼容性和互操作性。在组合系统中,不同的SRP/CS可能使用不同的软件和编程语言,因此需要考虑软件的兼容性和互操作性。此外,还需要对软件进行详细的测试和验证,以确保其在组合系统中正常运行,并且满足安全性能要求。

组合系统中的数据通信和软件兼容性是影响总体AgPL的重要因素之一。在设计和评估组合系统时,需要特别注意这些问题,并采取相应的措施来确保系统的安全性和可靠性。

在设计组合系统时,需要注意不同SRP/CS之间的数据通信,这些数据通信可能涉及布线和传输协议等方面。因此,在组合系统的设计中,需要考虑所有布线和数据通信,以确保整个系统的稳定性和可靠性。在数据通信的实现过程中,需要考虑软件的兼容性,以确保软件可以在组合系统中正常运行。

为了实现数据通信的兼容性,需要考虑以下因素。

(1)传输协议的兼容性:组合系统中的不同SRP/CS可能使用不同的传输协议,这些传输协议需要兼容才能确保数据通信的顺利进行。因此,在组合系统的设计中需要考虑各个SRP/CS之间的传输协议的兼容性。

(2)数据格式的兼容性:不同的SRP/CS可能使用不同的数据格式,这些数据格式需要兼容才能确保数据的正确传输和解析。因此,在组合系统的设计中需要考虑数据格式的兼容性。

(3)数据传输的实时性:在组合系统中,数据传输的实时性也是一个重要因素。不同的SRP/CS需要实时地传输数据,以确保整个系统的稳定性和可靠性。因此,在组合系统的设计中需要考虑数据传输的实时性。

总之,组合系统的设计需要考虑到所有SRP/CS之间的数据通信和软件兼容性问题,以确保整个系统的稳定性和可靠性。

4.SRP/CS的复杂组合实现总体AgPL

当SRP/CS的复杂组合实现需要进行总体AgPL评估时,在SRP/CS的复杂组合实现总体AgPL的情况下,可能需要使用IEC 61508或ISO 26262的适用部分中的方法来处理更复杂的硬件架构组合。这是因为这些标准中提供了一些原则和方法,以便人们更好地处理系统的安全性问题。

首先,需要根据实际情况选择使用AgPL、ASIL或SIL进行整体安全性评估。AgPL适用于农林机械的安全性评估,而ASIL、SIL则分别适用于汽车电子和工业自动化等领域的安全性评估。

其次,需要考虑AgPL、ASIL和SIL之间的相关性。虽然这些评估指标之间存在一定的差异,但它们都关注在不同程度上减小系统失效的可能性和危险事件发生的概率。因此,可以通过考虑它们之间的相关性来选择适当的整体安全性评估方法。

如果需要对SRP/CS的复杂组合实现总体AgPL与ASIL或SIL进行比较,则需要确定它们之间的相关性。这可以通过对每个等级的安全需求和安全措施进行比较来实现。通过比较可以确定哪些安全需求和安全措施是相似的,以及哪些安全需求和安全措施是不同的。

在这个过程中,需要考虑到SRP/CS的复杂组合实现总体AgPL所需要满足的所有要求,并确保与其他级别的要求一致。此外,还需要根据实际情况和需求,确定合适的安全完整性水平,以便在复杂组合实现中采取相应的安全措施。

在更复杂的硬件架构组合中,通常需要考虑多个SRP/CS之间的交互作用和数据通信,这会增加系统的整体复杂性和安全风险。为了解决这些问题,可以使用IEC 61508或ISO 26262的适用部分中的方法,通过AgPL、ASIL和SIL之间的相关性来评估系统的整体安全性。

具体而言,需要先对每个SRP/CS的AgPL、ASIL或SIL进行评估,然后考虑它们之间的交互作用和数据通信。如果SRP/CS之间存在关键的交互作用,那么系统的AgPL、ASIL或SIL水平将受到影响。在评估系统的整体安全性时,需要考虑每个SRP/CS的贡献和它们之间的交互作用,以及系统中可能存在的其他因素,如环境和操作条件等。

举例说明:

某汽车制造商使用ISO 26262对汽车的安全相关系统进行评估。在汽车中,安全相关系统需要执行许多安全功能,如制动、稳定性控制和气囊部署等。安全相关系统通常由多个SRP/CS组成,如传感器、控制单元和执行器等。

对于汽车制造商来说,组合系统的总体AgPL至关重要,因为安全相关系统的失效可能会导致严重的后果。例如,制动系统失效,则车辆可能无法停止,从而导致交通事故。因此,汽车制造商需要对每个安全相关系统进行安全性分析,并计算组合系统的总体AgPL。

汽车制造商可以使用ISO 26262中的原则和方法来计算组合系统的总体AgPL。对于更复杂的硬件架构组合,可以使用ASIL和SIL之间的相关性来确定总体AgPL。例如,一个组合系统包含一个高ASIL的组件和一个低ASIL的组件,那么组合系统的总体AgPL将取决于这两个组件的相关性,以及系统的整体可靠性。

因此,对于汽车制造商来说,评估组合系统的总体AgPL需要综合考虑硬件、软件和系统之间的相互作用,以确保汽车的安全相关系统可以在各种情况下正常工作。

总而言之,在进行组合系统的设计和评估时,需要考虑多个标准,包括GB/T38874、ISO 13849、IEC 61508和ISO 26262。其中,GB/T38874是针对农林机械的功能安全标准,要求制造商根据ISO 12100进行危险分析,同时在适用时进行风险分析评估。组合系统中的各个SRP/CS需要满足要求的PL,可以使用串联估计来计算总体AgPL,还需要注意组合SRP/CS之间的数据通信和软件兼容性。对于更复杂的硬件架构组合,可以使用IEC 61508或ISO 26262的适用部分中的方法,通过AgPL、ASIL和SIL之间的相关性来评估系统的整体安全性。整个设计和评估过程需要细致、严谨,以确保组合系统的安全性和可靠性。 7wQ02lx5xITU7rA+0BplUdiTREqGvfbSuUMKhqOkxSPiIGCqxQehixIhKoUTTKKc

点击中间区域
呼出菜单
上一章
目录
下一章
×