人机界面(HMI)系统的功能安全
功能安全是现代机械设备和车辆的关键要求。随着电子化、互联和自动化技术的迅猛发展,系统复杂性与日俱增,新的故障模式也随之涌现。这些潜在故障若不加以有效控制,将带来巨大风险。
而功能安全的作用就在于确保系统能够在遭遇故障时正确响应并切换到安全状态,从而将危险事件可能造成的后果降至最低限度。
对原始设备制造商(OEM)而言,功能安全绝非可有可无的选项。遵循ISO 13849、ISO 26262、欧盟机械法规(EU)2023/1230或IEC 61508等国际标准,不仅是确保设备合规的基础,更是限制责任风险、保护操作员安全的重要保障。
在此背景下,APEM作为技术合作伙伴,能够提供可靠性数据、故障分析以及经认证的人机界面(HMI)构建模块,全方位支持系统的整体安全方案。
功能安全的真正含义
功能安全常常被误解为产品的某种特性,但实际上,它是一种系统级方法。
其目标在于:
降低因系统故障引发的不可接受风险
确保故障发生时系统行为具有可预测性
保证安全功能达到既定的可靠性水平
💡关键洞见:
功能安全适用于整机及其控制系统,而非单一组件。
单个组件(如开关或操纵杆),虽然能够为实现安全功能提供支持,但自身无法单独决定整个系统的安全等级。
基于标准的方法
功能安全依托于国际广泛认可的标准体系构建而成,具体标准的选用取决于应用范围和所属行业。
ISO 13849 – 机械(性能等级,PL)
广泛应用于工业设备和非道路车辆
定义了从 PL a 到 PL e 的性能等级
基于:
系统平均无危险故障时间(MTTFd)
诊断覆盖率(DC)
系统架构(类别)
IEC 61508 / EN 62061 – 安全完整性等级(SIL)
跨行业通用的框架标准
定义了从 SIL 1 到 SIL 3(或4,依据 IEC 61508)的安全等级
基于危险故障发生概率
ISO 26262 – 汽车(ASIL)
专门针对道路车辆和新型移动载具
定义了从 ASIL A 到 ASIL D 的汽车安全等级
基于:
严重程度
暴露频率
可控性
ISO 19014 – 非道路机械
对移动设备的重要性日益凸显
参考了 ISO 26262 的原则
👉 关键原则:项目必须始终遵循同一套标准—不得随意混用。
从风险到安全等级:OEM如何定义需求
功能安全的实现始于OEM,通常遵循以下步骤:
识别非预期事件
例如:非预期运动、控制受阻、功能丧失
风险评估
基于:
潜在伤害的严重程度
危险暴露频率
情景的可控性
定义安全目标
设定可接受的剩余风险
分配到子系统
将安全需求分解到系统各个元素,包括人机界面(HMI)
👉 通过这一流程,能够精准确定某项功能所需的安全等级,例如PL e、SIL 2或ASIL D。
APEM在安全方案中的作用
功能安全是OEM与供应商之间的协作过程。APEM通过提供构建方案所需的技术数据,为安全评估提供支持。
APEM可提供:
故障模式分析
预先危险性分析
可靠性计算
产品级安全数据(例如 B10d、MTTFd)
这些要素对于以下环节至关重要:
故障树分析
系统可靠性计算
安全验证流程
APEM对OEM的支持需求
为确保APEM所提供的支持具有针对性,OEM需向APEM提供以下信息:
应用描述
已识别的非预期事件
目标安全等级(PL/SIL/ASIL)
包含安全要求的技术规范
功能安全中的关键可靠性指标
功能安全依赖于对故障概率的定量评估。这些指标使OEM能够量化剩余风险并验证安全目标。
系统平均无危险故障时间(MTTFd)
发生危险故障前的平均时间
ISO 13849 的核心参数
B10d值
10% 的组件在发生危险故障前所能承受的循环次数
尤其适用于机电设备
➡️根据ISO 13849-1,B10d值可用于计算MTTFd值。
诊断覆盖率(DC)
系统检测危险故障的能力
安全架构:超越单个组件
实现安全等级需要采用系统级设计策略,例如:
冗余
- 双通道或重复信号
- 示例:双触点(NO/NC)开关
自诊断
- 持续监控内部状态
- 检测不一致或故障
故障检测和响应
- 错误信号(如通过 CAN 总线)
- 切换到安全状态(停止、降级、警报)
APEM的功能安全承诺
APEM始终致力于强化自身能力,以更好地支持OEM的安全策略:
发布可靠性数据(B10d、MTTFd)
完善故障模式表征
网络安全韧性
集成诊断和冗余特性
符合不断演进的规范(ISO 26262、IEC 62443)
结构化的开发和验证流程
通过上述方法确保APEM的解决方案能够可靠地集成到安全关键应用中,覆盖非道路车辆、材料处理和新型移动出行等行业。
将功能安全融入人机界面(HMI)设计
携手APEM,您将获取可靠数据和工程专业知识,以及专为支持您的安全架构而设计的人机界面(HMI)解决方案。