隨著機(jī)器人系統(tǒng)在工業(yè)環(huán)境中的應(yīng)用越來(lái)越廣泛，行業(yè)安全要求以及國(guó)家/地區(qū)和國(guó)際安全法規(guī)需要不斷更新，確保人類在靠近機(jī)器的位置工作時(shí)擁有安全的環(huán)境。功能安全評(píng)估可以證明器件滿足安全要求，確保產(chǎn)品能夠負(fù)責(zé)任地被推向市場(chǎng)。

安全評(píng)估可能是一個(gè)漫長(zhǎng)的過(guò)程，會(huì)延遲產(chǎn)品上市時(shí)間并增加產(chǎn)品的總體設(shè)計(jì)成本。本文旨在介紹如何簡(jiǎn)化評(píng)估流程，以面向自主移動(dòng)機(jī)器人 (AMR)的電機(jī)驅(qū)動(dòng)器為例，介紹了在選擇合適的器件、滿足安全要求并縮減總體物料清單 (BOM) 尺寸和成本時(shí)需要考慮的事項(xiàng)，并通過(guò)描述滿足安全要求所需遵循的步驟，闡述了如何加快安全評(píng)估和降低設(shè)計(jì)成本。

引言

工業(yè)依賴自動(dòng)化來(lái)提高生產(chǎn)率和整體效率。為了提高生產(chǎn)率，公司正在工廠中部署機(jī)器人，工人繼續(xù)與這些機(jī)器一起工作。因此，員工會(huì)面臨新型危險(xiǎn)，這就需要對(duì)這類危險(xiǎn)進(jìn)行監(jiān)管以確保人身安全。

為了證明機(jī)器人符合安全要求，在投放市場(chǎng)之前，每件產(chǎn)品都必須經(jīng)過(guò)安全評(píng)估。評(píng)估必須表明機(jī)器符合最低和規(guī)定的安全要求。確保產(chǎn)品符合安全標(biāo)準(zhǔn)通常是一個(gè)漫長(zhǎng)而復(fù)雜的過(guò)程，這會(huì)增加總體設(shè)計(jì)成本、機(jī)器人尺寸和上市時(shí)間。

本文將簡(jiǎn)要說(shuō)明對(duì)電機(jī)驅(qū)動(dòng)器進(jìn)行安全評(píng)估所需遵循的流程。介紹了使用的主要標(biāo)準(zhǔn)、架構(gòu)類型和器件選型，有助于加快系統(tǒng)設(shè)計(jì)過(guò)程。

本文將單通道電機(jī)驅(qū)動(dòng)器設(shè)計(jì)的新安全概念用作基準(zhǔn)。此安全概念提供了塊級(jí)概念，說(shuō)明如何根據(jù)ISO 13849實(shí)現(xiàn) 2 類、性能級(jí)別 2 (2 類、PLd)，或根據(jù)IEC 61508標(biāo)準(zhǔn)實(shí)現(xiàn)安全完整性級(jí)別 2 和硬件容錯(cuò) = 0 (SIL 2、HFT = 0)，此類概念旨在幫助技術(shù)人員以具有成本效益的方式滿足安全要求。例如，本文參考了 ISO 3691-4 標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)側(cè)重于工業(yè)卡車，例如自主移動(dòng)機(jī)器人 (AMR)；但是，相同的程序可用于需要 2 類、PLd 的任何其他機(jī)器。

此概念使用了德州儀器 (TI) 的高性能電機(jī)控制 C2000 實(shí)時(shí)控制器和 PMIC，它們都包含片上安全功能。通過(guò)使用此產(chǎn)品系列、設(shè)計(jì)概念和其他TI 可用的安全資源，設(shè)計(jì)可以實(shí)現(xiàn)整個(gè)系統(tǒng)的較低 BOM 實(shí)現(xiàn)并縮短上市時(shí)間。

了解 2 類、PLd 安全要求

了解所需的產(chǎn)品安全標(biāo)準(zhǔn)是產(chǎn)品設(shè)計(jì)過(guò)程中至關(guān)重要的第一步。本文以移動(dòng)機(jī)器人電機(jī)驅(qū)動(dòng)器為例，因此必須滿足 ISO 3691-4 產(chǎn)品安全標(biāo)準(zhǔn)要求。

符合 ISO 3691-4 的安全要求

ISO 3691-4 標(biāo)準(zhǔn)定義了無(wú)人駕駛工業(yè)卡車的安全要求和驗(yàn)證，包括自主移動(dòng)機(jī)器人 (AMR) 等工業(yè)移動(dòng)機(jī)器人。該標(biāo)準(zhǔn)描述了整個(gè)機(jī)器的安全要求；因此，設(shè)計(jì)人員負(fù)責(zé)確定安全功能在工業(yè)叉車模塊內(nèi)的位置，如圖 2-1 所示。

圖 2-1： 簡(jiǎn)化的移動(dòng)機(jī)器人方框圖

安全標(biāo)準(zhǔn)ISO 3691-4描述了在存在危險(xiǎn)情況時(shí)必須實(shí)施的安全注意事項(xiàng)，旨在滿足必要的風(fēng)險(xiǎn)降低要求。對(duì)于所述的每種風(fēng)險(xiǎn)情況，ISO 3691-4 標(biāo)準(zhǔn)根據(jù) ISO 13849-1 分配所需的最低性能級(jí)別 (PL)。PL 是一個(gè)通常用于實(shí)現(xiàn)每個(gè)安全功能所需風(fēng)險(xiǎn)降低的值，并在機(jī)械標(biāo)準(zhǔn) ISO 13849-1 中進(jìn)行定義。

與 PL 類似，多個(gè)標(biāo)準(zhǔn)使用IEC 61508中定義的安全完整性等級(jí) (SIL)參數(shù)來(lái)衡量系統(tǒng)安全性能。表 2-1 中顯示了 PL 和 SIL 級(jí)別之間的關(guān)系。

表 2-1： IEC 61508 和 ISO 13849 SIL 和 PL 關(guān)系

SIL 和 PL 都是用于確保安全性能的離散級(jí)別，這些級(jí)別通過(guò)使用不同的參數(shù)來(lái)量化診斷能力。SIL 使用安全失效分?jǐn)?shù) (SFF) 作為參數(shù)來(lái)量化系統(tǒng)的安全故障與總故障之間的比率。同樣，PL 將 DC 參數(shù)稱為系統(tǒng)中實(shí)施的診斷有效性的度量。但是，SIL 和 PL 通過(guò)兩個(gè)成反比的主要參數(shù)相關(guān)：MTTF（平均危險(xiǎn)失效時(shí)間）和 PFH（每小時(shí)危險(xiǎn)失效概率），前者在 ISO 標(biāo)準(zhǔn)中使用，后者在 IEC 標(biāo)準(zhǔn)中使用。通過(guò)使用此關(guān)系，可以在評(píng)估系統(tǒng)安全性時(shí)同時(shí)使用 PL 和 SIL 級(jí)別。

表 2-2： 通過(guò) PFH 和 MTTF 參數(shù)建立的 PL 和 SIL 關(guān)系

盡管 PL 或 SIL 適用于完整的安全功能（通常由傳感器、數(shù)據(jù)處理和執(zhí)行器組成），但這些功能子系統(tǒng)中的每一個(gè)都需要滿足最低 PL 或 SIL 要求。每個(gè)子系統(tǒng)都有不同的標(biāo)準(zhǔn)來(lái)描述如何滿足安全級(jí)別。例如，對(duì)于電機(jī)驅(qū)動(dòng)器和執(zhí)行器實(shí)施，子系統(tǒng)特定的標(biāo)準(zhǔn) IEC 61800-5-2 用于指定安全要求。

IEC 61800-5-2通過(guò)描述安全轉(zhuǎn)矩關(guān)閉 (STO)、安全限速 (SLS)、安全制動(dòng)控制 (SBC)等指定的安全子功能，定義了電機(jī)驅(qū)動(dòng)器的設(shè)計(jì)和開(kāi)發(fā)要求。

在該標(biāo)準(zhǔn)中，IEC 61800-5-2指的是ISO 13849-1，其中描述了每個(gè)子功能實(shí)現(xiàn)最低 PL 所需的要求。此外，上文提到的兩個(gè)標(biāo)準(zhǔn)都討論了系統(tǒng)之間的獨(dú)立性、冗余和處理時(shí)間等方面，在實(shí)施系統(tǒng)時(shí)必須加以考慮。

因此，在開(kāi)始系統(tǒng)實(shí)施之前，務(wù)必了解每個(gè)應(yīng)用的安全要求、需要實(shí)施的安全子功能和每個(gè)子功能所需的風(fēng)險(xiǎn)降低級(jí)別（SIL 或 PL）之間的主要關(guān)系。

如 ISO 3691-4 的表 1 所示，對(duì)于這種特定情況，需要最低 PLd 級(jí)別。著眼于電機(jī)驅(qū)動(dòng)子系統(tǒng)，使用IEC 61800-5-2中定義的安全子功能，以滿足 PLd 要求。表 2-3 總結(jié)了這三個(gè)標(biāo)準(zhǔn)之間的主要關(guān)系。

表 2-3：符合 ISO 3691-4 的安全要求

(1) NR：實(shí)現(xiàn)與機(jī)器人電機(jī)驅(qū)動(dòng)器無(wú)關(guān)

系統(tǒng)架構(gòu)選擇

ISO 13849-1標(biāo)準(zhǔn)定義了所需診斷覆蓋率和與系統(tǒng)的冗余量相關(guān)的架構(gòu)類別之間的關(guān)系。如前所述，ISO 3691-4 標(biāo)準(zhǔn)要求最低 PLd 安全級(jí)別，這可通過(guò)使用 IEC 13849-1 標(biāo)準(zhǔn)中定義的 2 類、HFT = 0 或 3 類、HFT=1 架構(gòu)來(lái)實(shí)現(xiàn)。此選項(xiàng)會(huì)影響系統(tǒng)中所需的冗余量和診斷覆蓋率，如圖 2-2 所示。

I= 輸入，L= 邏輯，O= 輸出，TE= 測(cè)試設(shè)備，OTE= 輸出測(cè)試設(shè)備，m= 監(jiān)控，c= 比較

圖 2-2：符合 IEC 13849-1 標(biāo)準(zhǔn)的 2 類和 3 類的指定架構(gòu)

如表 2.1 的 2 類、HFT = 0 所示，系統(tǒng)實(shí)現(xiàn)需要較少的冗余，以換取更高的 90% 診斷覆蓋率 (DCavg = 90%)。為滿足所需的 DCavg 要求，需要在定義的時(shí)間間隔內(nèi)執(zhí)行診斷功能，以確保按時(shí)達(dá)到安全狀態(tài)。相反，3 類架構(gòu)需要雙通道設(shè)計(jì)，以換取較低的診斷覆蓋率和更寬松的時(shí)序約束。

對(duì)于AMR，關(guān)鍵的限制因素之一是系統(tǒng)的整體尺寸和重量。因此，更緊湊的 2 類架構(gòu)適用于這些類型的應(yīng)用程序。但是，在優(yōu)先選擇 3 類實(shí)施的情況下，TI 還提供了C2000 實(shí)時(shí)微控制器的工業(yè)功能安全產(chǎn)品概述和有關(guān)如何實(shí)施此類系統(tǒng)的指導(dǎo)。

基于過(guò)程安全時(shí)間的器件選擇

了解了初始安全要求以及要實(shí)施的架構(gòu)后，就需要進(jìn)行器件選擇。作為一個(gè)常見(jiàn)的起點(diǎn)，MCU或處理器的選擇優(yōu)先于其他器件，而安全特性或處理能力等方面是選擇過(guò)程中的關(guān)鍵結(jié)果。

在安全標(biāo)準(zhǔn)中，ISO 13849-1描述不同的時(shí)序要求，以確保系統(tǒng)能夠檢測(cè)到故障并在規(guī)定的過(guò)程安全時(shí)間內(nèi)達(dá)到安全狀態(tài)。圖 2-3 顯示了用于定義時(shí)間間隔的典型命名規(guī)則。

圖 2-3：與功能安全相關(guān)的時(shí)序注意事項(xiàng)

診斷時(shí)間間隔包括可用于執(zhí)行診斷功能和處理從這些功能接收到的輸入的時(shí)間量。在給定定義的診斷時(shí)間間隔時(shí)，診斷覆蓋率越高，則意味著需要功能越強(qiáng)大的處理器。

由于危害的不可預(yù)測(cè)性，在AMR中，診斷需要持續(xù)運(yùn)行。通過(guò)持續(xù)運(yùn)行，可瞬時(shí)檢測(cè)到故障，并可在所需的過(guò)程安全時(shí)間內(nèi)使器件進(jìn)入安全狀態(tài)。

此外，ISO 3691-4還通過(guò)根據(jù)與物體的距離定義AMR的最大速度，進(jìn)一步限制了此測(cè)試時(shí)間間隔。通過(guò)考慮最壞的情況，設(shè)計(jì)人員必須計(jì)算規(guī)避風(fēng)險(xiǎn)所需的過(guò)程安全時(shí)間，并確保在物體碰撞之前達(dá)到安全狀態(tài)。

根據(jù)ISO 3691-4 表 A.1中規(guī)定的最大速度以及與物體的距離，估計(jì)安全過(guò)程時(shí)間需要小于 415ms。在此時(shí)序內(nèi)，必須完成MCU的診斷功能，如果檢測(cè)到故障，則必須達(dá)到安全狀態(tài)。為了留出足夠的反應(yīng)時(shí)間，診斷時(shí)間間隔必須小于整個(gè)過(guò)程安全時(shí)間的 10%。這意味著，在系統(tǒng)功能運(yùn)行期間，允許進(jìn)行完整診斷掃描的最長(zhǎng)時(shí)間為 41.5ms。

由于這些時(shí)序限制和 2 類架構(gòu)選擇，務(wù)必?fù)碛泄δ軓?qiáng)大的實(shí)時(shí)MCU以及集成的安全機(jī)制，此類機(jī)制可以同時(shí)滿足電機(jī)控制和安全要求。TIC2000 實(shí)時(shí)控制器和PMIC 器件是確保同時(shí)滿足過(guò)程安全時(shí)間和診斷覆蓋率的理想之選，可實(shí)現(xiàn) PLd。

實(shí)施移動(dòng)機(jī)器人電機(jī)驅(qū)動(dòng)器安全要求

了解系統(tǒng)的安全要求和架構(gòu)類別后，設(shè)計(jì)人員必須選擇其余器件并實(shí)施完整的電機(jī)驅(qū)動(dòng)器，以確保滿足安全要求。

圖 3-1：電機(jī)驅(qū)動(dòng)系統(tǒng)方框圖

如圖 3-1 所示，電機(jī)驅(qū)動(dòng)系統(tǒng)通常由MCU組成，MCU 是一個(gè)可集成模擬前端、編碼器和電源的功率級(jí)。

在IEC 61508中，所需的安全失效分?jǐn)?shù) (SFF) 取決于器件的類型（可以是 A 類或 B 類）。根據(jù) IEC 61508，A 類子系統(tǒng)具有明確定義的故障模式，其中確定了故障條件下的行為并且有足夠的故障數(shù)據(jù)來(lái)聲明故障率得以滿足。相反，B 類子系統(tǒng)是更復(fù)雜的子系統(tǒng)，其中故障模式?jīng)]有完全定義，故障條件無(wú)法完全確定，并且沒(méi)有足夠的數(shù)據(jù)來(lái)支持故障率得以滿足。IEC61508 標(biāo)準(zhǔn)的第 7.4.4 節(jié)提供了這兩種類型的子系統(tǒng)的完整定義。

此外，IEC61508 標(biāo)準(zhǔn)的 CNB-M-11.059 修訂版規(guī)定，診斷子系統(tǒng)只需達(dá)到這樣一個(gè)安全級(jí)別：低于達(dá)到最低安全級(jí)別所需的系統(tǒng) SIL 級(jí)別。盡管該修訂版是 IEC61508 標(biāo)準(zhǔn)的一部分，但在分析診斷子系統(tǒng)時(shí)，將其與 ISO 13849-2 機(jī)械標(biāo)準(zhǔn)一起使用更符合目前的趨勢(shì)。

因此，對(duì)于這種特定情況，由于需要 SIL 2 系統(tǒng)，因此診斷相關(guān)模塊必須至少滿足 SIL 1 且最低 SFF = 0%，才能滿足 SIL 2 系統(tǒng)要求。但是，安全和非診斷功能仍必須滿足 SIL 2 要求，且最低 SFF 為 60%。

通過(guò)了解哪些子系統(tǒng)是 A 類和 B 類，可以根據(jù)可用的安全文檔或診斷功能等特性輕松選擇器件本身。

由于MCU是 B 類器件且用于實(shí)現(xiàn)安全功能，因此MCU要求最低 SFF = 60%。這意味著，必須使用診斷功能對(duì)器件使用的每個(gè)子系統(tǒng)進(jìn)行監(jiān)控，以達(dá)到所需的 60% 覆蓋率。

第一步，需要選擇需使用的器件功能以及每項(xiàng)功能所需的診斷覆蓋率。一旦定義，安全文檔就成為關(guān)鍵，旨在證明是否有足夠的診斷可用于每個(gè)預(yù)期功能或是否需要外部診斷器件。

TI C2000 實(shí)時(shí)控制器在設(shè)計(jì)時(shí)將功能安全考慮在內(nèi)。通過(guò)利用所提供的安全特性和文檔，可以簡(jiǎn)化和加速安全評(píng)估。C2000 實(shí)時(shí)微控制器的工業(yè)功能安全產(chǎn)品概述中介紹了一些主要的C2000安全特性和器件。

此外，對(duì)于不太復(fù)雜的器件，具有安全文檔也很重要。如前所述，考慮采用 A 類器件的條件之一是必須明確定義器件功能和故障模式。為此，TI 安全文檔結(jié)果有利于證明采用相應(yīng)器件類型的合理性，以及因此滿足所需的最低 SFF 要求。

TI 多通道 IC (PMIC) 器件十分有助于縮減電機(jī)控制模塊的總體 BOM 和尺寸，同時(shí)確保滿足安全要求。憑借內(nèi)置 LDO、監(jiān)控器、BIST、看門狗和直流/直流穩(wěn)壓器等集成功能，這些 IC 有助于簡(jiǎn)化設(shè)計(jì)，同時(shí)提供監(jiān)控MCU和需要的電源軌所需的診斷功能。

根據(jù) ISO 13849 第 6.1 節(jié)，鑒于無(wú)法定期執(zhí)行安全功能，診斷和安全功能無(wú)法在同一個(gè) IC 中，因而無(wú)法實(shí)現(xiàn)這一 60% 的診斷覆蓋率。ISO 13849 認(rèn)為，IC 中的單一故障會(huì)導(dǎo)致該 IC 的功能完全喪失，對(duì)于類別 2，應(yīng)通過(guò)診斷功能來(lái)檢測(cè)這類功能喪失問(wèn)題。因此，為確保這一功能喪失不會(huì)導(dǎo)致診斷功能喪失，不可能在同一 IC 內(nèi)使用電壓監(jiān)控和看門狗問(wèn)答。在本例中，使用了外部電壓監(jiān)控器和PMIC 器件的內(nèi)部問(wèn)答 (Q&A) 看門狗。監(jiān)控器和復(fù)位 IC 電源管理文件夾詳細(xì)介紹了 TI 廣泛的支持功能安全的電壓監(jiān)控器產(chǎn)品系列。

圖 3-2 顯示了可用于實(shí)現(xiàn) SIL 2 的一些診斷功能的高度簡(jiǎn)化示例。

圖 3-2：包含安全特性的簡(jiǎn)化電機(jī)驅(qū)動(dòng)系統(tǒng)

一旦在系統(tǒng)級(jí)定義了安全功能，就需要進(jìn)行塊級(jí)分析，以證明每個(gè)子系統(tǒng)都滿足所需的安全要求。

在這種情況下，安全子系統(tǒng)劃分為安全功能和診斷功能。診斷功能用于確保安全功能符合依據(jù)子系統(tǒng)類型定義的最低 SFF。表 3-1 總結(jié)了詳細(xì)信息。

表 3-1：每個(gè)器件類型所需的診斷覆蓋率示例

通過(guò)正確定義和證明每個(gè)預(yù)期功能均可達(dá)到所需的最小診斷覆蓋率，這表明系統(tǒng)能夠達(dá)到所需的 PL 和 SIL 并可獲得安全認(rèn)證。

結(jié)論

本文介紹了實(shí)現(xiàn)安全認(rèn)證系統(tǒng)應(yīng)遵循的過(guò)程。清晰的產(chǎn)品設(shè)計(jì)和開(kāi)發(fā)策略可進(jìn)一步縮短上市時(shí)間。此外，通過(guò)正確地了解確保滿足安全級(jí)別所需的要求，可以通過(guò)更大限度地利用器件的內(nèi)部特性來(lái)減少總 BOM。因此，TI 在功能安全方面的專業(yè)知識(shí)可以在產(chǎn)品開(kāi)發(fā)過(guò)程中發(fā)揮巨大優(yōu)勢(shì)。

TI 提供了廣泛的以功能安全為中心的器件和資源產(chǎn)品系列。TI 功能安全頁(yè)面提供了有關(guān)配套資料和產(chǎn)品的信息，可供您選擇更佳器件并了解更多安全相關(guān)知識(shí)。

您可從 TI 銷售團(tuán)隊(duì)獲取本文中示例的完整安全概念。總體概念極大地簡(jiǎn)化了移動(dòng)機(jī)器人的安全認(rèn)證過(guò)程，也可用于任何需要 HFT = 0、PLD 的電機(jī)驅(qū)動(dòng)器。