安全系統的案例
針對智能駕駛的預期安全系統架構
通過充分考慮安全風險的來源,系統地實施功能安全、信息安全、SOTIF等安全技術,可以確保自動駕駛實現整體安全,相關自動駕駛汽車實現規模化應用。
提出的自動駕駛汽車的預期安全系統是基于國際上正在實施的 SOTIF 技術標準的發展。該國際技術標準是首個自動駕駛汽車安全技術標準,對自動駕駛汽車系統安全技術的開發和驗證具有重要的指導意義。
前沿 | 針對智能駕駛的預期安全系統架構
結合上一段提到的幾個關鍵技術,智能駕駛有了真正駕駛的技術支撐,而安全技術是自動駕駛汽車能否真正在公共道路上行駛的前提。2011年發布的ISO26262《道路車輛功能安全》國際道路車輛功能安全標準,為電子控制系統故障引起的安全風險提供了系統的解決方案。
由于自動駕駛汽車可以獨立于駕駛員控制車輛的部分或全部行為,任何影響其感知、決策和執行的因素都可能構成車輛危險。根據不同的風險來源和所需的安全技術,比較分析見下表。
導致危害的因素
所需的安全技術
車輛因素
電子電氣系統的故障
功能安全
電子電氣系統功能的局限性
預期功能安全
環境因素
環境干擾
網絡攻擊
信息安全
系統功能限制
主要原因是設計開發過程中的系統功能定義不能完全滿足目標市場的使用要求。對目標場景的考慮不全面,導致系統無法準確識別環境要素;功能仲裁邏輯不合理,導致系統決策錯誤;執行機構響應不足,導致運動控制偏離預期。
環境干擾
自動駕駛受到路況、周邊事物、環境天氣等諸多因素的影響。如何克服環境干擾,可靠地執行環境工作行車識別、駕駛決策和運動控制是確保安全駕駛的關鍵。預期安全系統源于預期功能安全(SOTIF)的概念,旨在為智能駕駛的感知、決策和控制系統(執行響應)設計一種安全監管系統,以克服環境干擾,改善智能駕駛系統的局限性。建議的安全系統架構如下圖所示。
展開 SIS系統緊急切斷閥的在線維護及安全問題
安全儀表SIS系統,作為工業生產的一種安全保障系統,在國內的危險化工生產中逐漸得到應用,特別是近年來國家對安全生產的不斷重視,對新建的化工生產從項目設計之初就進行安全危險評估,根據危害等級重要程度設立安全儀表系統,這種設計屬于一種強制性規范,用戶方沒有選擇權利,因此新建的化工生產中大部分生產裝置都配備了安全儀表系統。
安全儀表系統應用越來越多,但其維修維護尤其是在開車狀態下的故障處理經驗卻非常欠缺。因為安全儀表系統在正常的生產中是不進行動作的,雖然安全儀表系統的各種檢測儀表、控制系統都在正常的運轉,但作為安全儀表系統最重要的一個環節——執行機構,卻始終處于初始的安全工作狀態。
工作狀態的穩定性造成執行機構的切斷閥長期處于不動作狀態,其本身具有的缺陷、隱患以及非動作性故障都無法體現出來,甚至有的切斷閥在長時間不動作過程中已經失效。當危險將要發生,安全儀表SIS系統做出應急安 全 處 理,形成連鎖事件的時候,作為最關鍵的執行機構卻不動作,造成安全儀表系統失去作用,而無法避免裝置的危險發生,使安全儀表系統成為擺設。
任何設備都有出現故障的時候,安全儀表系統也不例外。特別是現場的執行機構緊急切斷閥,長期處于惡劣的現場生產環境中,經受溫度、濕度、灰塵、振動、電磁干擾、雨水、油污,甚至外力破壞,其性能會逐漸下降,甚至突然失靈,觸發連鎖引起誤動作,而造成處于安全狀態下的生產突然終止,造成巨大的經濟損失,甚至產生安全事故。
展開 基于STM32的遠程廚房安全系統設計
本系統采用STM32F103C8T6芯片作為核心處理器,搭配WiFi技術實現無線傳輸,從而把煙霧傳感器和火焰傳感器實時采集到的廚房煙霧濃度和火焰傳送到阿里云服務器。再結合OLED顯示屏、蜂鳴器進行數據的顯示和報警。
1 遠程廚房安全系統設計
1.1 系統性能目標
系統設計目標主要是每個家庭廚房內的煙霧、火焰等環境狀態。現代化信息技術以及物聯網技術的發展,人們的生活變得更加舒適,從而對廚房的安全性也有了更高的期待。其總體設計主要體現在以下幾個方面。
1)將廚房的遠程控制優勢發揮出來,使用戶可通過阿里云服務器隨時查看廚房內各類電器的相關參數。在對整個系統進行設計之前,不僅要考慮成本的高低,還需要滿足通用性的需求。
2)主控芯片能實現對各類信息的集中控制,保證系統運行的可靠性和安全性。
3)所設計的網絡通信系統在保障各項功能的同時,提升信息傳遞速率。
4)為實現對系統的控制,每個傳感器都能與中心系統通信,以便完成信息實時傳輸與采集。
1.2 系統總體框架設計
遠程廚房安全系統主要由主控單元、傳感器模塊、WiFi通信模塊和阿里云服務器4個部分組成。各種傳感器主要負責采集各種數據傳遞到主控芯片,主控芯片對數據進行接收并處理,然后通過WiFi模塊傳遞到阿里云服務器[3]。總體框架如圖1所示。
圖1 遠程廚房安全總體框架設計圖
1.3 各子模塊介紹
1.3.1 STM32主控模塊
本系統用STM32F103C8T6作為主控芯片,是控制遠程節點的核心。
展開 
文檔 I 將安全系統和未來的汽車設計相結合
隨著自動駕駛車輛 (AV) 和車輛電氣化的發展,汽車行業正在經歷一場更加安全、更加環保的轉型。
將安全系統集成到車輛中的重要性正在日漸提高,這也使穩健、快速和準確的數值仿真在其開發過程中變得至關重要。
本白皮書討論了汽車行業正在發生的轉變,以及集成式安全系統設計目前有哪些或者未來會出現哪些相關考慮因素。
應對汽車安全系統設計挑戰
集成式安全解決方案或許沒有一個普適性答案。當務之急是優化設計,使其適合不同身高、不同族群和不同性別的人,以確保全球范圍的所有類別的乘員的安全,而不僅僅是部分乘員的安全。實現最佳設計還需要大量時間。物理碰撞測試雖然可以提供洞察,但卻是一個枯燥乏味的過程,而且測試所有可能的安全悠關場景并不是最具成本效益的途徑;此時就需要一個數值仿真框架。
在汽車安全系統中實施 Simcenter? Madymo? 軟件
Simcenter? Madymo? 是一款用于車輛乘員和弱勢道路使用者安全仿真的軟件解決方案。多體動力學的概念與多物理場求解器相結合可以方便安全仿真建模。該軟件配備多種人體和假人多體模型,可用于分析各種各樣的安全悠關場景。得益于人體和假人模型的生物力學反應研究,工程師能夠開發經過驗證的多體仿真模型。通過使用這些經過驗證的模型,工程師可以借助多體動力學相較于有限元分析 (FEA) 的計算速度優勢,設計高效的安全系統。
展開 系統安全和人的可靠性
系統安全和人的可靠性
1 系統安全
所謂系統安全就是工作系統的安全,是指工作系統的這樣一種狀態:在規定的條件下,整個系統發生事故的風險值被控制在可接受的水平。
由此可見,系統的安全程度是以該系統事故風險值來衡量的,而風險值大小則取決于事故發生頻率和事故后果嚴重程度2個因素,因此不能只把是否出事故作為衡量該系統安全程度的標準,不能因為某個時期系統沒有出事故就以為該系統的安全程度很高。把一時不出事故與整個系統的安全等同起來,這是不全面的,事故的發生有隨機性,只要發生事故的隱患存在,也就是存在不安全因素,就很可能在這段時間之后不久會出事故,也就是說存在著一定的事故風險值。即使事故發生的頻率很小,而一旦發生其后果很嚴重的話,系統的風險值仍然是很大的。所以我們評價一個系統的安全性,不光是看它過去事故發生的次數和后果,這只是一個重要的參考,更要對它潛在的各種不安全因素做出全面、客觀的評價,從而預測可能的風險值。這就不光要評價系統中機(設備、工具等硬件)的不安全因素,如先天的缺陷、老化、磨損等以及環境中可能存在的不安全因素,如火情,有毒物質等;還要評價組織管理中的不安全因素,如規章制度的缺陷、操作規程缺陷等;特別是要評價存在于操作人員中的不安全因素,如可能的失誤、違章行為、人事變更等,人員的不安全因素是最重要的也是最不容易評價而且常常被忽略的。系統的安全或系統的風險還取決于系統中人-機-環境的整體協調,例如操作人員的知識水平高、學歷高,從事知識性的工作時不容易失誤,但從事技能性的工作時操作失誤的可能性就比較大,反而不利于安全,所以還必須評價這三者的相互協調性。
展開 采埃孚推出新型主動控制卷收器安全帶系統
除了與現代先進駕駛輔助系統(ADAS)配合工作的類似如消除安全帶松弛量功能,還有其他可選功能,例如通過安全帶震動的提醒功能(觸覺反饋);在避免碰撞和發生碰撞之前的可逆預緊功能。在自主駕駛應用中,主動控制卷收器還有助于在可能發生危險事故的情況下,讓車輛乘員處于更有利的乘坐位置。安全帶系統與其他安全系統(例如安全氣囊)相互配合,進一步提高對乘員安全的保護,并且控制在碰撞過程中人體所受的力值水平。
ACR8還有可能集成在自動駕駛系統中。由自主駕駛模式切換到手動駕駛模式時,主動控制卷收器在需要駕駛員接管并采取行動的情況下通過高頻震動安全帶發出警告,來提醒駕駛員接管車輛。這需將安全帶系統集成到自主駕駛車輛的用戶界面中,作為一種有效方式來獲取駕駛員注意力。
來源:蓋世汽車
展開 葉向東老師細說安全儀表系統(中)
13
到底是單體儀表還是系統?
SIS這個術語是否包括測量儀表和執行機構?不同的場景和語境有不同的答案。
如TRICONEX的設備叫什么?答案是:安全儀表系統。
包括檢測元件和執行元件嗎?答案是:不包括。
這是用詞的問題:tank在軍事上叫坦克,在煉油廠叫油罐,cock在水管子上叫水龍頭,在雞窩里是公雞。
IEC標準把測量儀表、執行機構+開關閥稱為“元件”也說明這兩項標準是脫離實際的。把安全控制器稱為“邏輯解算器”,一是表示可以采用不同的設備實現,二來也表明SIS的作用是根據預定的程序執行邏輯動作,停止或緩解裝置運行,確實不管過程控制的事兒。
SIS采用開關信號為主,根據信號變化的邏輯輸出開關信號驅動執行機構。
SIS有兩個含義:一是實現邏輯控制功能的控制器,有人翻譯成“邏輯解算器”;二是包括過程檢測器、邏輯控制器和執行機構在內的系統,有人還加上邏輯控制器的軟件。
SIS是Safety Instrumentation System的縮寫,但常常指用于安全系統的PLC,如《×××裝置安全儀表系統SIS招標技術文件》一定是采購“邏輯解算器”的,多年來已經成為專有名詞。
IEC標準說SIS是“由測量儀表、邏輯控制器和最終元件等組成”,但在核算SIL等級或響應失效概率PFD時又多以單體儀表為單位。另外,如果說SIS是“實現安全功能”的系統,就不僅應該包括“測量儀表、邏輯控制器和最終元件”,還應該包括測量管路、電線、電氣連接、氣動連接等環節,這些環節就不需要“核算”了嗎?有的人還提出包括PLC中的軟件,軟件包括PLC的系統軟件(操作系統和程序語言)和工程實現軟件(組態或應用程序)。
展開 閥井(室)密閉空間安全監測系統:守護城市地下設施安全
閥井(室)密閉空間安全監測系統的應用,不僅提高了地下設施的安全性,降低了事故發生的概率,同時也為城市的安全運行提供了有力保障。在未來,隨著技術的不斷進步,相信這一系統將會更加完善,為城市的可持續發展貢獻更大的力量。
葉向東老師細說安全儀表系統(上)
03
誰是安全儀表系統的主人
IEC標準描述了SIS的設計、集成、運行、維護過程。包括:概念設計和定義、工程設計方案、過程風險評估與操作可行分析、系統技術規格書、基礎工程設計、詳細工程設計、招標采購、系統集成、調試驗收、現場裝配施工、操作、維護、變更及測試、停用等。不同的時期SIS的歸屬和宿主不一樣,系統多次易主,難以銜接。另外,標準里所說的工程設計是指石油化工建設項目的工程設計嗎?
04
安全儀表系統誰說了算
一個裝置該不該上SIS,由兩種方式確定:
一是對裝置的工藝、流程、設備、配管、儀表等進行危險與可操作分析(HAZOP),評估并確定裝置是否有SIL1,2,3的回路,如果有,則需要SIS,否則不需要SIS。
二是管理者(業主或保險公司)有權自行決定是否采用SIS,可以不經HAZOP分析確定決策,如果管理者說需要SIS,SIL等級也由管理者確定,該說法來自IEC61511。如果說不需要SIS,則可以不要,風險和災難后果由決策者自行承擔。
原國家安監局發布的一系列指令文件、通知、指導意見(相當于法令)就是第二種,例如:安監總管三[2014]116號等。
05
安全儀表系統由哪個專業負責
有人說:既然是“儀表系統”,理所應當是儀表專業的活兒了。
SIS原來叫安全聯鎖系統、緊急停車系統。
展開 利用HyperWorks和ProductDesign為軌道車輛開發創新的新型安全系統
多個成品安全氣囊充氣機的數據和外殼幾何結構詳情由Key Safety Systems (KSS)提供,安全氣囊幾何結構、 旋轉/包裝詳情和漏損量由 Altair ProductDesign 和 KSS 共同調整,旨在確保最終解決方案能夠制造并能夠與組件級的樣機安全氣囊降塔試驗相關聯。此外, Altair ProductDesign 將初始的有限元安全模型與 KSS 提供的分析性MADYMO (數學動態模型)結果相關聯,以便為模型提供一個基準。然后可調整FE模型,獲取項目的適當性能指標。 Altair ProductDesign 快速且高效地將FE組件級細節關聯到安全氣囊本身與護膝墊板支架的硬度,使團隊能夠將整個安全系統調整到最佳的性能。
在考慮了多套安全系統和安全氣囊結構后,才得到最終設計(右)
分析安全氣囊和護膝墊板性能
仿真結構與物理測試之間具有極高的關聯度
團隊開發的EPS系統使用了汽車乘客類型的安全氣囊系統,并結合了可壓碎式護膝墊板,整個系統旨在將傷害降至最低,并滿足區域劃分以及未系安全帶乘員疏散和功能要求。
為了獲得并展現出系統級的性能,在開發過程中進行了系統和子系統級的分析建模,并用 HyperWorks 的 RADIOSS 求解器進行了一系列的準靜態和動態臺車試驗。
展開 
淺談系統安全架構設計
對于一個系統,架構設計通常決定了該系統的整體性能表現,而功能安全標準對架構設計的要求及安全分析方法論引用比較復雜,如何在系統設計之初,合理并充分的考慮其安全設計成為了當前很多同行在做安全設計的一個難點。
筆者從事功能安全領域工作八年有余,有過多家外企合資企業的三電系統,ADAS系統相關產品的安全開發設計經驗。此次受SESETECH安全技術論壇邀請,結合個人經驗分享一下對系統安全架構設計的淺薄理解,希望能夠解決部分同行對于安全架構設計的痛點。限于個人認知,此文僅供各位同行交流討論,不針對任何企業或者產品安全提出設計建議。
內容框架:
安全架構設計必須了解的術語及安全方法說明
E-GAS三層架構的理解及使用約束
ADAS系統安全架構設計及安全等級的分解
02
安全架構設計必須了解的
術語及安全方法說明
在ISO 26262的第三部分,第四部分及第九部分,提到了很多關于系統或者相關項的安全術語,包括故障類型判斷,安全分解策略,故障控制/避免措施,等。如何正確地理解并應用這些術語及背后的方法論,對于安全架構設計尤為重要。本文主要針對涉及到系統安全架構設計的必要術語進行一些系統性闡述,幫助大家理解其中關系。
故障控制措施(Fault control)
和故障避免措施(Fault avoidance)
在功能安全標準或者一些教學中,經常會提到系統性失效和隨機硬件失效兩個概念作為電子電氣系統的兩大失效來源。
展開 多無人系統協同中的人工智能安全探索
2017年7月,我國國務院首次頒布的人工智能戰略性文件《新一代人工智能發展規劃》,提出了2030年人工智能核心產業規模應超過1萬億元,帶動相關產業規模超過10萬億元的目標,并對多無人系統協同中的人工智能基礎理論框架給出了定義,提出了“加強人工智能相關法律、倫理和社會問題研究,建立保障人工智能健康發展的法律法規和倫理道德框架”[2]。但該框架在自主協同控制與優化決策理論的定義中,更側重于協同控制的實現與優化,對于多無人系統中可能存在的安全性隱患沒有較多闡述。2020年12月,中國信息通信研究院安全研究所發布了《人工智能安全框架(2020年)》,制定了一個較為全面的人工智能安全框架,但其中對于多無人系統協同中特有的安全問題表述仍不詳細 [3]。
四、多無人系統協同面臨的挑戰
區別于傳統無人系統研究,多無人系統協同的核心要素包括通信交互,合作博弈,以及群體智能演化等。結合多無人系統協同的上述特點,堅持以問題為導向分析其具體戰略舉措,圍繞多無人系統本身的內生安全和多無人系統對外界的衍生安全兩大模塊構建了多無人系統協同中的人工智能安全框架,如圖1所示。
圖1 多無人系統協同中的人工智能安全框架
(一)內生安全
為了多無人系統任務的可靠執行,內生安全主要考慮的是系統本身是否穩定可靠,能否在通信交互過程中不泄密,能否保證控制權始終在自己手中,以及能否在出現故障后繼續完成任務。多無人系統協同的內生安全要關注多無人系統工作的各個環節,從保證局部每個環節的安全以確保整體的安全,這其中涵蓋了各無人系統單體間交互的數據安全、多無人系統所處的網絡安全、搭載于多無人系統的軟件及其算法安全、多無人系統本身的系統架構安全等。多無人系統協同的內生安全包括了通信與交互安全、協同決策與集群演化算法安全和系統架構安全三部分。
展開 石油化工罐區安全儀表系統(SIS)的設計及SIL驗證
安全儀表系統
按照IEC 61511中的定義,SIS是由傳感器、邏輯控制器及執行機構組成的、能夠行使一項或多項SIF的儀表系統。一套SIS中包括多個回路,任何SIF回路均由傳感器子系統、邏輯控制器子系統和執行器子系統組成。
安全儀表系統的SIL驗證
SIS的SIL驗證工作主要驗算SIF回路能否達到SIL分級報告中確定的目標SIL等級的要求。SIS的SIL驗證工作主要如下:
1)根據各個SIF回路的配置,以及檢驗測試等相關因素,對各SIF回路的要求時平均失效概率(PFDavg)進行了驗算。
2)評估各SIF回路的硬件結構約束。
3)對SIF回路的誤動作停車率進行了計算,分析其對系統可用性的影響。
4)對不滿足SIF目標SIL要求的回路進行敏感性分析,提出改進優化方案。
5)確定每一條回路的檢驗測試周期(TI)。安全儀表系統每個SIF回路的SIL等級由PFDavg和硬件結構約束共同制約。
SIS中每一個SIF的PFDavg計算是將該SIF分解為傳感器、邏輯控制器、執行器等子系統,然后將各子系統的PFDavg相加,根據表1判斷其結果滿足的相應SIL級別。
計算如式(1)所示:
硬件結構約束的安全完整性由儀表類型(邏輯控制器、傳感器、最終元件)、安全失效分數(SFF)和硬件故障裕度(HFT)共同決定。
展開 產品設計之——安全氣囊系統設計指南
點擊上方“汽車零部件模具與注塑”,選擇“置頂公眾號”
第一時間接收汽車及模具行業最前沿技術及最新動態
打造汽車零部件及模具人都愛看的行業公眾號品牌
汽車零部件模具與注塑
專業 實用 前沿
? 點擊進入了解 ?
安全氣囊主要用來防止乘員在碰撞事故中的二次碰撞的裝置,屬于汽車的被動安全系統。主要工作原理:當發生碰撞事故時,傳感器接收汽車碰撞信號,并將接收到的信號傳送到控制器,控制器接收傳感器的信號并進行處理。當判斷須打開氣囊時,發出點火信號以觸發氣體發生器,氣體發生器接收到點火信號后,迅速點火并產生大量氣體填充氣囊,使乘員通過氣囊的吸能緩沖降低碰撞
時的傷害。通常情況下,如果將氣囊沖破模塊面蓋的時刻定為0ms,則10ms 時氣囊沖出,20ms 時氣囊已基本展開,30ms 后氣囊完全充滿氣體。
1.安全氣囊系統構成與命名
安全氣囊一般由傳感器、控制器、氣體發生器、氣袋、時鐘彈簧等組成,通常氣體發生器和氣袋等做在一起構成氣囊模塊。
2.安全氣囊系統分類
根據布置位置不同,安全氣囊主要分為:駕駛員安全氣囊、乘員安全氣囊、左右側氣囊和側氣簾。駕駛員安全氣囊:英文名稱Driver Airbag(DAB),在發生嚴重正面碰撞時,直接保護駕駛員的上軀干,可在一定程度上阻止駕駛員向前運動。一般安裝在方向盤里面,通常DAB 的飾蓋作為方向盤的喇叭蓋。
展開 