家用和類似用途電器可編程電子電路功能安全要求解讀

易壯成 魏 云

（萊茵技術(shù)（上海）有限公司 上海 200072）

引言

在家用電器及其它電子電氣產(chǎn)品中，可編程電子電路除了用于滿足消費(fèi)者使用需求外，也越來越廣泛地被運(yùn)用到功能安全中。家庭和商用機(jī)器人產(chǎn)品是行業(yè)未來的發(fā)展趨勢(shì)，其要面對(duì)復(fù)雜多變的使用場(chǎng)景，必定有更多的功能安全要求。對(duì)于實(shí)驗(yàn)室來說，除了需要具備復(fù)雜電子電路的分析能力，對(duì)于功能安全要求的深入理解顯得尤為重要。

1 保護(hù)電子電路的測(cè)試流程

1.1 保護(hù)電子電路（PEC）的定義

IEC 60335-1 給出了保護(hù)電子電路（后面簡(jiǎn)稱PEC）的定義：防止非正常運(yùn)行狀態(tài)下出現(xiàn)危險(xiǎn)的電子電路；并加了備注：電路中的部分也可以起到功能作用[1]。關(guān)于這個(gè)定義可得出幾個(gè)結(jié)論：

①起保護(hù)作用的電路中至少包括一個(gè)電子元件；

②在正常運(yùn)行情況下，該電路也可能動(dòng)作；

③PEC 動(dòng)作通常表現(xiàn)為電流截止（負(fù)載電路斷開）；

④預(yù)防的危險(xiǎn)包括熱危險(xiǎn)，也包括觸電危險(xiǎn)和機(jī)械危險(xiǎn)。

PEC實(shí)質(zhì)上是針對(duì)19章非正常試驗(yàn)的功能安全概念。除非特殊注明，一般不適用于涉及到其他功能安全的章節(jié)。 本文重點(diǎn)關(guān)注可編程保護(hù)電子電路。

1.2 GB 4706.1 與IEC 60335-1 的19.11.3 要求對(duì)比

GB 4706.1 的19.11.3 規(guī)定，如果器具在19 章試驗(yàn)時(shí)PEC 動(dòng)作，則需要在PEC 中模擬19.11.2 a)- f)的單一故障條件，重復(fù)進(jìn)行相關(guān)非正常試驗(yàn)[2]。這意味著，有關(guān)PEC 的測(cè)試應(yīng)放在非正常試驗(yàn)的最后來進(jìn)行。

IEC 60335-1 的19.11.3 增加了兩個(gè)細(xì)節(jié)規(guī)定。①故障插入時(shí)間的規(guī)定： 在器具開機(jī)前后任一時(shí)間點(diǎn)都需要模擬19.11.2 a)- g)的單一故障。若電路設(shè)計(jì)只有開機(jī)自檢，則無法診斷出開機(jī)一段時(shí)間后的故障。②對(duì)器具工作狀態(tài)的要求，即：如果在PEC 模擬故障后，器具無法正常工作，后續(xù)相關(guān)的非正常試驗(yàn)不需要再重復(fù)[1]。此時(shí)用戶能夠識(shí)別出產(chǎn)品已出現(xiàn)故障，故障累積條件不再成立。

1.3 可編程保護(hù)電子電路的測(cè)試流程

如果器具在進(jìn)行某個(gè)19 章非正常試驗(yàn)時(shí)發(fā)現(xiàn)是由PEC 提供保護(hù)，還需要在PEC 動(dòng)作后進(jìn)行19.11.4.1-19.11.4.7（以下簡(jiǎn)稱19.11.4）的強(qiáng)電磁干擾試驗(yàn)。由于19.11.3 連同19.2, 19.6 以及有人照管產(chǎn)品19.7 試驗(yàn)時(shí)動(dòng)作的PEC 不用進(jìn)行強(qiáng)電磁干擾試驗(yàn)，且19.11.3 的測(cè)試經(jīng)常導(dǎo)致樣品（線路板）的損壞，因此PEC 先應(yīng)考核19.11.4，再考核19.11.3[1]。

按照19.11.3 的要求，如果PEC 插入單一故障后器具無法正常工作，對(duì)應(yīng)的非正常的試驗(yàn)就中止，這里的正常工作是指：

1）連續(xù)運(yùn)行產(chǎn)品能夠工作到穩(wěn)定狀態(tài)；

2）其它產(chǎn)品能夠工作滿一個(gè)周期。

然而試驗(yàn)中止并不意味著PEC 不需要進(jìn)一步的評(píng)估。此時(shí)存在針對(duì)PEC 的故障診斷電路，監(jiān)測(cè)到插入的PEC故障后讓器具無法正常工作。而19.11.3 要求的故障插入可以認(rèn)為是19.11.2 試驗(yàn)的一部分，這時(shí)故障診斷電路就轉(zhuǎn)化為了19.11.2 非正常試驗(yàn)時(shí)的PEC。該P(yáng)EC 不能遺漏對(duì)應(yīng)的19.11.3 和19.11.4 試驗(yàn)，在進(jìn)行測(cè)試時(shí)應(yīng)加以注意。

當(dāng)器具插入19.11.3 要求的故障后，器具在無法正常工作后中止重復(fù)的非正常試驗(yàn)，這一點(diǎn)僅對(duì)一個(gè)特定的故障條件成立。一個(gè)PEC 可能同時(shí)存在多個(gè)故障條件，19.11.3 需要對(duì)PEC 所有的故障條件進(jìn)行模擬。診斷電路不一定能監(jiān)測(cè)出所有故障，需要分別加以考慮以確保測(cè)試的充分性。

插入19.11.2 的單一故障時(shí)，實(shí)際操作中有時(shí)不可能也不必覆蓋所有的測(cè)試點(diǎn)，這就要求從業(yè)人員具備較強(qiáng)的電路分析能力。綜合考慮故障插入測(cè)試的充分性和必要性，找出最有代表性的故障點(diǎn)（能覆蓋其他的故障條件），某些故障無法模擬時(shí)可插入其他等效的故障。

一個(gè)靠可編程電子電路提供保護(hù)的家電產(chǎn)品，其PEC 的詳細(xì)測(cè)試流程總結(jié)如圖1。

圖1 保護(hù)電子電路測(cè)試流程

1.4 軟件評(píng)估的條件

只有當(dāng)可編程PEC 在19 章的某一個(gè)非正常試驗(yàn)下作為最后的必要保護(hù)措施時(shí)，才須對(duì)PEC 進(jìn)行軟件評(píng)估[3]。例如19.11.3 試驗(yàn)時(shí)，在PEC 中插入19.11.2 的故障條件時(shí)失效的軟件，其實(shí)并不需要做軟件評(píng)估，除非這個(gè)軟件會(huì)作為其它故障插入后重復(fù)試驗(yàn)的最后保護(hù)措施的一部分[4]。

同時(shí)，只有當(dāng)最終的符合性依賴可編程電子電路的某個(gè)正確輸出，可編程PEC 才需要進(jìn)行軟件評(píng)估。驅(qū)動(dòng)信號(hào)連到控制芯片并不一定代表對(duì)軟件的依賴。以圖2為例，加熱L 的信號(hào)受芯片控制，驅(qū)動(dòng)繼電器RY 作為執(zhí)行單元。PTC2， PTC3 是熱敏元件，只要其中一個(gè)斷開，即可直接切斷繼電器的線圈電流，確保RY 斷開。這個(gè)保護(hù)機(jī)理與加熱L 的信號(hào)無關(guān)，不依賴芯片的正確輸出。推而廣之，如果模擬19.11.2 條件f） ，將控制芯片所有連接到執(zhí)行單元的輸出都置于故障的條件下，19 章的測(cè)試也能通過，證明非正常試驗(yàn)的符合性完全不依賴可編程電子電路，則不需要進(jìn)行軟件評(píng)估[5]。

圖2 不依賴芯片輸出的保護(hù)電路

注意，圖2 中加熱L 的信號(hào)不能被正常工作時(shí)動(dòng)作的溫度傳感器控制，讓RY 反復(fù)動(dòng)作。因?yàn)檫@種情況下19.14 章試驗(yàn)要求短路RY[1]，相當(dāng)于所有的傳感器同時(shí)失效，無法滿足非正常試驗(yàn)的要求。

2 B 級(jí)控制功能與保護(hù)電子電路的三種指定架構(gòu)

2.1 IEC 60730-1 B 級(jí)控制功能的相關(guān)要求[6]與保護(hù)電子電路的聯(lián)系

IEC 60730-1 的附錄 H 對(duì)電子控制器定義了三種控制功能：其中A 級(jí)控制功能與產(chǎn)品的使用性有關(guān)而與安全無關(guān)；B 級(jí)控制功能的失效不會(huì)直接導(dǎo)致危險(xiǎn)，但如果與其他的故障結(jié)合，則會(huì)導(dǎo)致危險(xiǎn)；對(duì)于PEC 來說，其他故障相當(dāng)于19 章規(guī)定的各種非正常工作條件。而C級(jí)控制功能的失效，會(huì)直接導(dǎo)致危險(xiǎn)的產(chǎn)生 。

B 級(jí)控制功能要求插入單一故障后，進(jìn)入如下模式之一：

1）控制器失效且與安全相關(guān)的輸出斷電；或進(jìn)入確保安全的模式；

2）控制器在故障反應(yīng)時(shí)間內(nèi)觸發(fā)動(dòng)作，但可重置。重置后故障觸發(fā)功能保持不變；

3）控制器繼續(xù)工作，故障在隨后的運(yùn)行序列中被診斷出，導(dǎo)致1）或2）的狀態(tài)；

4）控制器持續(xù)工作，所有的安全功能不受損。

IEC 60335-1 中 19.11.3 的要求在PEC 內(nèi)插入19.11.2中的某一個(gè)故障下重復(fù)考察19 章，實(shí)際上就是要求PEC符合B 級(jí)控制功能的要求。在單一故障插入后，器具如果進(jìn)入上述的第1）2）3）種狀態(tài)，視為相關(guān)電路具備某種故障診斷措施，由于器具不具備持續(xù)的工作能力，因此不需要考慮故障疊加（不需要重復(fù)19 章測(cè)試）。只有進(jìn)入第4）種狀態(tài)時(shí)，需要考慮與其他故障的結(jié)合，重復(fù)測(cè)試才是必須的。

由于某些方面的要求（比如元器件的單一故障的規(guī)定，電磁干擾測(cè)試等）存在差異，IEC 60335-1 的標(biāo)準(zhǔn)不再采用B 級(jí)和C 級(jí)控制功能的定義。IEC 60335-1 附錄R 中的軟件評(píng)估最低要求是需要符合表R.1，這其實(shí)對(duì)應(yīng)IEC 60730-1 中的B 級(jí)控制功能，符合B 級(jí)控制功能的三種指定架構(gòu)也被IEC 60335-1 引用； C 級(jí)指定架構(gòu)則被認(rèn)為自動(dòng)符合B 級(jí)控制功能的要求。

2.2 沒有比較監(jiān)測(cè)的雙通道架構(gòu)

如圖3 所示的電路中，NTC1， NTC2， NTC3 分別是三個(gè)傳感元件，其溫度設(shè)置由低到高；對(duì)應(yīng)的T1，T2，T3 是三個(gè)電子執(zhí)行元件， T1 是正常工作時(shí)動(dòng)作，T2，T3 是非正常工作時(shí)動(dòng)作。R 是工作負(fù)載。正常工作時(shí)，NTC1/T1 的組合相當(dāng)于溫控器（A 級(jí)控制功能）。19.11.2 試驗(yàn)中T2 短路時(shí)，T1 動(dòng)作，此時(shí)NTC1/T1 轉(zhuǎn)變成PEC。按照19.11.3 的要求，繼續(xù)短路T1，此時(shí)T3 動(dòng)作。相應(yīng)地，T3 短路時(shí)，最終保護(hù)措施是T2。因此T2+T3+芯片+NTC2+NTC3 所在的保護(hù)電子電路的軟件，需要軟件評(píng)估。NTC1+T1 雖然在測(cè)試過程中一度轉(zhuǎn)變成了PEC，但都沒有作為最終保護(hù)措施，因此相關(guān)輸入/輸出不需要做軟件評(píng)估。

圖3 雙通道架構(gòu)示意圖[4]

這種架構(gòu)，相當(dāng)于B 級(jí)控制功能在插入單一故障后，器具進(jìn)入模式4）。

如果制造商為了降低返修率，對(duì)溫控電路進(jìn)行冗余設(shè)計(jì)，T2 與T1 都在正常工作時(shí)動(dòng)作，則在短路T3 的情況下，NTC1+T1 也會(huì)成為提供最終保護(hù)的PEC，從而相關(guān)輸入輸出需要軟件評(píng)估[4]。

2.3 帶有功能檢查的單通道架構(gòu)

如圖4 所示的電路圖，只有PT100 一個(gè)傳感器在非正常測(cè)試時(shí)動(dòng)作，如何滿足19.11.3 的要求呢？

圖4 帶有功能檢查的單通道電路示意圖[3]

以19.4 的測(cè)試為例，由于T1 作為溫控器已經(jīng)需要短路，此時(shí)如果繼續(xù)失效PT100， 如果缺少功能檢查的設(shè)計(jì)，則T2, T3 均不會(huì)斷開從而讓電路失去安全功能。因此，針對(duì)PT100 的信號(hào)輸入，芯片一定要有內(nèi)置的診斷軟件，能夠診斷到PT100 的各種故障情況（開路，短路，或保持恒定值）從而斷開T2/T3，器具不能繼續(xù)工作。相當(dāng)于器具進(jìn)入模式1）或模式2），從而19 章測(cè)試不需要重復(fù)進(jìn)行。

但是在執(zhí)行（輸出）單元，考慮到T2，T3 是PEC中的元件，若短路其中一個(gè)，器具進(jìn)入模式4）。還需要另外一個(gè)來提供保護(hù)。若沒有T3，則同時(shí)短路T1/T2時(shí)，無論芯片輸出什么信號(hào)，負(fù)載常通，19.11.3 不可能符合。

2.4 帶有周期自檢的單通道架構(gòu)

在如圖5 所示的電路中，軟件除了對(duì)PT100 的信號(hào)進(jìn)行功能檢查外，還有一個(gè)進(jìn)行周期診斷的電路T Monitoring（比如電流監(jiān)測(cè)），軟件按照不同的時(shí)序截?cái)郥1 和T2，與PT100 讀取的溫度信號(hào)做比較，可以判斷出PT100 的溫度信號(hào)與設(shè)定的時(shí)間/溫度參數(shù)是否一致。從而可以診斷出T1 或T2 的短路故障，作為最終的保護(hù)措施。

圖5 帶有周期自檢的單通道電路示意圖[3]

在非正常試驗(yàn)的測(cè)試過程中，軟件參與了PT100 的信號(hào)讀取，溫度-時(shí)間的監(jiān)測(cè)，周期自檢電路的輸入輸出讀取，以及T1/T2 的驅(qū)動(dòng)等。由于對(duì)芯片的輸入和輸出都進(jìn)行了診斷，在PEC 插入單一故障條件下，器具工作一個(gè)自檢周期后就會(huì)停止工作。因此19 章的測(cè)試不再需要重復(fù)進(jìn)行。

這種架構(gòu)下，PEC 的單一故障將讓器具進(jìn)入模式3），一段時(shí)間后進(jìn)入模式1）或2）。

3 自動(dòng)控制器控制功能在家電功能安全上的運(yùn)用

3.1 自動(dòng)控制器的界定狀態(tài)下的故障插入[6]

IEC 60730-1 還定義了三種界定狀態(tài)（defined state）:

控制器默認(rèn)輸出端處于安全的狀態(tài)。當(dāng)轉(zhuǎn)換到界定狀態(tài)的因數(shù)缺失時(shí)，應(yīng)用程序?qū)凑辗弦蟮姆绞竭\(yùn)行。

控制器在規(guī)定的時(shí)間內(nèi)觸發(fā)保護(hù)動(dòng)作，導(dǎo)致斷電，或阻止危險(xiǎn)的情況發(fā)生；

控制器保持工作，且不喪失安全功能；

該定義與功能安全息息相關(guān)。對(duì)于B 級(jí)控制功能，在界定狀態(tài)下插入單一故障后，應(yīng)該進(jìn)入如下模式之一：

1）控制器維持在界定狀態(tài)，安全相關(guān)的輸出被截止；

2）安全相關(guān)的輸出截止，控制器失效;

3）在安全相關(guān)輸出通電時(shí)間不超過故障反應(yīng)時(shí)間前，控制器再次運(yùn)行后，將進(jìn)入模式1）或2）。當(dāng)界定狀態(tài)（或斷電）的條件不再存在，控制器應(yīng)在安全功能未受損的條件下恢復(fù)運(yùn)行。

對(duì)于C 級(jí)控制功能，在界定狀態(tài)下插入單一故障后，也需要進(jìn)入以上三種模式。但在3）模式下，恢復(fù)運(yùn)行后需繼續(xù)插入第二重故障，控制器仍將進(jìn)入以上三種模式之一。

3.2 一般家用電器的功能安全要求

在眾多家用電器中，功能安全的理念得到了廣泛的運(yùn)用，如掃地機(jī)器人，固定式炊具，洗衣機(jī)，廚房機(jī)械，激光美容儀等。這些產(chǎn)品的功能會(huì)導(dǎo)致某種特定的安全隱患，因此存在功能安全的問題。由于相關(guān)控制功能的喪失不會(huì)直接導(dǎo)致危險(xiǎn)，一般還需要結(jié)合偶然的環(huán)境因數(shù)和人為誤操作因數(shù)，因此B 級(jí)控制功能的要求是足夠的。

以家用掃地機(jī)器人為例，當(dāng)運(yùn)行到臺(tái)階邊緣時(shí)，器具需要停止運(yùn)動(dòng)；或者轉(zhuǎn)向運(yùn)行離開臺(tái)階邊緣后繼續(xù)正常工作。并要求在該狀態(tài)下插入19.11.2 的單一故障，或者在強(qiáng)電磁干擾條件下重復(fù)該測(cè)試，器具仍能符合要求；若依賴可編程電子電路，則要軟件評(píng)估[7]。這說明掃地機(jī)器人在感應(yīng)到臺(tái)階后，應(yīng)進(jìn)入3.1 中規(guī)定的某種界定狀態(tài)；且在插入單一故障后，其需要進(jìn)入到3.1 中的1），2），3）三種模式之一。

3.3 家用車庫門驅(qū)動(dòng)器的功能安全要求

門驅(qū)動(dòng)器由于特殊的使用環(huán)境，功能安全的考核尤為重要。IEC 60335-2-95 2017[8]19.13 章規(guī)定，19.11.2 的測(cè)試條件下，如果器具仍能工作，則需要考核防止機(jī)械危險(xiǎn)的功能安全要求。但該版本沒有明確是否需要考慮故障累積。如果不考核19.11.3， 其實(shí)是要求所有預(yù)防機(jī)械傷害的線路達(dá)到B 級(jí)控制的要求即可。如果相關(guān)控制系統(tǒng)不能診斷出故障，則未診斷出的故障累積會(huì)導(dǎo)致危險(xiǎn)。

最新版的IEC 60335-2-95: 2019[9]進(jìn)一步明確，不僅要考慮19.11.2 的單一故障，而且需要結(jié)合19.11.3。其附錄R 要求在一個(gè)操作周期內(nèi)診斷出故障，但并未要求軟件符合表R.2。這時(shí)候的PEC 應(yīng)理解為與機(jī)械危險(xiǎn)相關(guān)的電路，如果PEC 插入單一故障器具仍能運(yùn)行，則需要插入雙重故障后再來考核機(jī)械危險(xiǎn)。即考核了未診斷出的故障累積對(duì)功能安全的影響，這和3.1 中C 級(jí)控制功能要求是一致的。也就是說，高風(fēng)險(xiǎn)產(chǎn)品部分參考了C 級(jí)控制功能的要求。因?yàn)橐坏┌踩δ苁軗p，則會(huì)直接帶來安全風(fēng)險(xiǎn)（比如擠壓），這符合車庫門的使用場(chǎng)景。

4 機(jī)械功能安全要求在輕型自動(dòng)駕駛系統(tǒng)上的運(yùn)用

4.1 ISO 13849-1 功能安全基本概念簡(jiǎn)介[10]

ISO 13849-1 的內(nèi)容是機(jī)械控制系統(tǒng)的功能安全設(shè)計(jì)通則，引入了更完整的功能安全的概念。這里只介紹影響性能等級(jí)（PL）的兩個(gè)最重要的概念：

平均危險(xiǎn)失效時(shí)間(MTTFD), 表示元器件（或系統(tǒng)）預(yù)期的危險(xiǎn)失效平均時(shí)間。這個(gè)概念與機(jī)械的預(yù)期使用周期長(zhǎng)有關(guān)。

單通道的MTTFD 的計(jì)算公式為：

式中：

MTTFDi—對(duì)功能安全有影響的每一個(gè)元器件的平均危險(xiǎn)失效時(shí)間。

標(biāo)準(zhǔn)規(guī)定了大多數(shù)常用元件的MTTFD。從(1)式可看出，控制系統(tǒng)越復(fù)雜，參與計(jì)算的元器件越多，通道的MTTFD越小。

診斷覆蓋率（DC），診斷有效性的度量。DC 存在于整個(gè)有關(guān)安全系統(tǒng)中或其部件中，包括傳感器，邏輯單元和（或）執(zhí)行元件。標(biāo)準(zhǔn)給出了不同診斷措施的DC估計(jì)。這個(gè)概念強(qiáng)調(diào)的是，盡量診斷出安全部件中的故障，讓機(jī)器在故障發(fā)生時(shí)處于安全狀態(tài)。

在很多系統(tǒng)中，可能用到多種故障診斷措施，這些措施診斷不同的部件且有不同的DC。只有平均診斷覆蓋率（DCavg）可用于評(píng)估執(zhí)行安全功能的整個(gè)系統(tǒng)的性能等級(jí)，其計(jì)算方法為：

式中：

DCi—每個(gè)診斷措施的診斷覆蓋率；

MTTFDi—對(duì)應(yīng)的部件的平均危險(xiǎn)失效時(shí)間。

如果存在無診斷措施的安全元件，其DC=0。其對(duì)應(yīng)的MTTFd 依然會(huì)加入（2）式的分母參與計(jì)算，因此會(huì)降低整個(gè)系統(tǒng)的平均診斷覆蓋率。

顯然，MTTFD和DCavg越大，系統(tǒng)的安全性越高。MTTFD，DCavg，PL 各個(gè)指標(biāo)等級(jí)的含義在ISO 13849-1中都有明確定義。

4.2 移動(dòng)機(jī)器人產(chǎn)品的功能安全性能等級(jí)及設(shè)計(jì)架構(gòu)

移動(dòng)機(jī)器人的自驅(qū)動(dòng)系統(tǒng)實(shí)際上是一個(gè)輕量的自動(dòng)駕駛系統(tǒng)。IEC 63327[11]強(qiáng)制規(guī)定了自動(dòng)商用地面處理機(jī)的各種安全功能所需要達(dá)到的性能等級(jí)（PLr），很多控制功能都要達(dá)到PLr=d。

PLr=d 需要2 類或3 類架構(gòu)[10]，正好對(duì)應(yīng)自動(dòng)控制器的C 級(jí)控制功能的指定架構(gòu)[6]。圖6 所示的是2 類架構(gòu)。

圖6 帶有周期自檢和測(cè)試模塊的單通道（2 類架構(gòu)）[10]

對(duì)于PLr=d，如果采用2 類架構(gòu)，則整個(gè)控制系統(tǒng)的MTTFD要高（≥30 年），DCavg要達(dá)到中（≥90 %）。且當(dāng)故障被診斷出時(shí)，OTE 要產(chǎn)生一個(gè)安全狀態(tài)，直到故障清除。IEC 63327 也同樣規(guī)定：機(jī)器在啟動(dòng)前及運(yùn)行過程中，應(yīng)對(duì)控制系統(tǒng)中所有與安全有關(guān)的控制部件的運(yùn)行狀態(tài)進(jìn)行監(jiān)控（診斷）。任何診斷出的控制系統(tǒng)安全相關(guān)部分的故障將導(dǎo)致0 類停機(jī)或1 類停機(jī)，并使驅(qū)動(dòng)輪處于鎖定狀態(tài)。1 類停機(jī)需要操作者介入才能重啟機(jī)器；0 類停機(jī)則一般需要操作者經(jīng)由訪問控制才能重啟機(jī)器[11]。這其實(shí)是要求機(jī)器進(jìn)入3.1 中的模式2）。

在停止區(qū)外的避障功能測(cè)試中，允許2 類停機(jī)。即，當(dāng)障礙物清除后，機(jī)器將自動(dòng)恢復(fù)正常運(yùn)行。障礙物接觸2 類停機(jī)的機(jī)器時(shí)，機(jī)器不能運(yùn)動(dòng)，或在5 min 內(nèi)遠(yuǎn)離障礙物；而當(dāng)障礙物在停止區(qū)內(nèi)移動(dòng)時(shí)，由于預(yù)期機(jī)器會(huì)與障礙物接觸，應(yīng)啟動(dòng)0 類停機(jī)或1 類停機(jī)[11]。如果把整個(gè)自動(dòng)駕駛系統(tǒng)當(dāng)成一個(gè)控制功能，這其實(shí)是表明，機(jī)器在行駛中一直處于3.1 中的某種界定狀態(tài)。由于風(fēng)險(xiǎn)始終存在，自動(dòng)駕駛機(jī)器需要有多種界定狀態(tài)以應(yīng)對(duì)復(fù)雜多變的場(chǎng)景。

5 結(jié)語

當(dāng)可編程電子電路作為家電非正常工作和功能安全的保護(hù)機(jī)制時(shí)，實(shí)質(zhì)上是其控制系統(tǒng)啟用了B 級(jí)控制功能。某些情況下，功能安全需要考慮故障累積以進(jìn)一步降低產(chǎn)品的殘余風(fēng)險(xiǎn)，采用診斷措施可以降低故障累積的可能性。至于具有自動(dòng)駕駛功能的商用機(jī)器人產(chǎn)品，則直接引用了機(jī)械的功能安全評(píng)估標(biāo)準(zhǔn)，不少安全功能須采用C 級(jí)控制功能的指定架構(gòu)，以匹配需要達(dá)到的性能等級(jí)。這些具體的技術(shù)方案都是針對(duì)不同的風(fēng)險(xiǎn)等級(jí)和使用場(chǎng)景而采取的恰當(dāng)措施。雖然家電，自動(dòng)控制器以及機(jī)械的有關(guān)標(biāo)準(zhǔn)中關(guān)于功能安全的定義和具體表述存在不少區(qū)別，但是安全邏輯有不少相通性，實(shí)際工作中可相互借鑒。