工业 vs 汽车功能安全:标准对照、STO 实现、架构差异
本质与导读
本质 工业(机器人 / 数控 / 电梯)和汽车(EV 主驱 / 转向 / BMS)虽然都按"防止失效造成人员伤害"出发,但走的标准是两套体系:工业 IEC 61508/13849/62061/61800-5-2 → SIL 与 PL 等级 + 显式 HFT 要求,汽车 ISO 26262 → ASIL 等级 + 不显式要求 HFT。典型架构也分叉:工业 1oo2(两通道并行,任一通道说"危险"就触发安全状态),汽车 1oo1D(一主通道 + 一诊断通道)。Safe Torque Off (STO) 是两套世界共有的入口安全函数——本页用它当桥梁串起两套标准,以及给出 5 种切断扭矩的物理路径与 3 种 STO 子系统架构。
主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线
1. 标准体系对照
1.1 工业:四层标准
工业 / 机器人 / 数控领域功能安全标准是 4 层叠加:
| 标准 | 角色 |
|---|---|
| IEC 61508 | 电气 / 电子 / 可编程 (E/E/PE) 系统功能安全的"母标准",定义 SIL 1-4 |
| ISO 13849 | 机器安全相关控制系统(Cat / PL 等级,多用 PL a-e 描述能力) |
| IEC 62061 | 机器电气电子可编程系统的功能安全(SIL 表达,机器领域版的 61508) |
| IEC 61800-5-2 | 可调速电气功率传动系统的安全要求(具体到伺服 / VFD / 电机驱动) |
工程经验:机器人 / 数控用 ISO 13849(PL e ⇔ Cat 3 HFT=1);伺服 / VFD 厂用 IEC 61800-5-2(SIL 级);系统集成商两者都看,因为最终交付要 PLC + 伺服 + 安全 IO 都过认证。
1.2 汽车:ISO 26262 单标准
ISO 26262 是单一标准,但内部分 12 个 part 覆盖整个 V-model 生命周期(概念阶段 → 系统级 → 硬件 → 软件 → 生产 / 运营 → 元件适配 → 摩托车适配 → 安全分析)。ASIL A-D 等级根据 HARA(Hazard Analysis & Risk Assessment)的 Severity × Exposure × Controllability 三要素算出。
详见 HARA / ISO 26262 硬件要素三类分类。
2. 工业 vs 汽车的 5 个关键差异
2.1 EUC 概念
工业明确划定 EUC(Equipment Under Control)+ SIF(Safety Instrumented Function)——安全函数和"被控设备"在标准里有清晰边界,降一档 SIL 不需要重新画 EUC。汽车 ISO 26262 不强调 EUC,因为整车是高度耦合的,"安全函数和它的被控对象"边界模糊。
2.2 风险评估维度
工业风险按 Severity × Frequency 二维评估;汽车按 Severity × Exposure × Controllability 三维——多了 Controllability(司机能不能纠正)这一维。所以同样的失效后果,汽车里如果司机能纠正,ASIL 等级可能比工业 SIL 低一档。
2.3 量产体量
工业系统是低批量、定制化生产,关心 lifecycle 全过程;汽车是大批量、流水线生产,关心 ppm 良率 + 全生命周期可追溯(8D / PPAP / SPC)。
2.4 组织结构
工业:终端用户 ↔ 集成商 ↔ 模块厂 三层。汽车:OEM ↔ Tier 1 ↔ Tier 2 ↔ Tier 3 多层 + 半导体厂作为 SEooC 提供商。汽车的安全责任在跨组织传递,所以 ISO 26262 有专门的 part 8 处理 interfaces 之间的责任划分。
2.5 典型架构
这一节先把“典型架构”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。
| 维度 | 工业 | 汽车 |
|---|---|---|
| 高 SIL/ASIL 系统架构 | 1oo2(两通道完全并行,任一说危险就关) | 1oo1D(主通道 + 诊断通道,主通道执行控制,诊断只看出问题就关主通道) |
| HFT 要求 | ISO 13849 Cat 3/4 显式 HFT=1 | ISO 26262 不显式要求 HFT,但 ASIL D 实际通常 HFT=1 |
| 共因失效防护 | 强制 DFA 论证 | 强制 DFA 论证(IEC 61508 沿用) |
工业 1oo2 倾向"不要漏报危险",汽车 1oo1D 倾向"主通道高可用 + 诊断兜底"——背后是工业宁可误关闭(production loss 可接受),汽车不能误关闭(高速行驶时刹车失效比传动失效更危险)。
3. IEC 61800-5-2 安全函数族
3.1 关停类(电机急停)
这一节先把“关停类(电机急停)”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。
4. STO 的 5 种物理实现
切断对电机产生扭矩的功率有 5 个不同物理点可下手——按"上游到下游"排:
- 断开 inverter 与 AC 电源(机械接触器):响应慢,但最彻底。维修锁定用
- 断开 motor 与 inverter(机械继电器 / 电子开关):中等响应,常见于工业柜
- 关掉栅极驱动 IC 的供电(safe pulse block):快(μs 级),量产多用
- disable PWM 信号(MCU 软件 / FPGA 硬件):快但软件路径,需诊断覆盖
- 设扭矩参考为 0(纯软件):最快但单通道软件,不能单独达 SIL 3
工程上单一路径不能达 SIL 3——必须组合多条。典型 SIL 3 STO 实现:路径 3(关栅极驱动供电) + 路径 4(MCU 关 PWM)+ 路径 1(关供电用作冗余 + 维修锁定)。
5. STO 子系统三种架构
5.1 架构 1:每边一个 load switch
每个半桥栅极驱动器的 isolated 后侧供电(典型 5V/3.3V)各加一个 load switch,STO-A 控制 top side,STO-B 控制 bottom side。两个 load switch 在 isolated 区,信号经 isolated comparator 进。
- 优:沿用现有隔离运放 / opto-input 设计(IEC 61800-5-2 Annex B)
- 劣:需要每边独立 STO 信号 + 5V/3V load switch 元件多
5.2 架构 2:24V isolated supply 切
把 24V isolated supply 中间一刀切——所有 isolated gate drive supply 全部断电。STO-A 切 24V supply,STO-B 切下游 isolated 区的 logic supply。
5.3 架构 3:24V supply 一刀切(简化)
完全把 24V isolated supply 全切,STO-A / STO-B 串联在 24V supply 路径上。同时单独的 3.3V/5V supply 给 isolated CMOS 信号继续提供。
- 优:最通用,易于做成独立模块改造老机器
- 劣:需要 2 个 24V load switches(冗余)
- 适用场景:retrofit 老 VFD 加 STO 模块
核心要点
- 工业(IEC 61508 体系)和汽车(ISO 26262)是两套独立的功能安全标准,但 DFA / HFT / 安全函数概念可互通
- 工业用 1oo2(双并行,任一危险即触发),汽车用 1oo1D(主+诊断),反映两个领域对"误关闭"代价的不同认知
- IEC 61800-5-2 有 10+ 安全函数,工程实践 STO + SS1 + SLS 覆盖 80%
- STO 有 5 种物理路径,单一路径不能达 SIL 3,必须组合(典型 3+4+1 三路)
- STO 子系统三种架构对应不同设计场景,TIDA-01599 是 TUEV 评审过的 SIL 3 参考
Cross-references
- ← 索引
- 功能安全(Functional Safety):FuSa 总框架
- HARA:汽车 ASIL 等级评估
- ISO 26262 硬件要素三类分类:汽车硬件元件分类
- 扭矩安全(Torque Safety ASIL D):汽车主驱 STO 等价物
- SBC / 伴随 IC:工业 / 汽车通用安全 IC
- 栅极驱动诊断 SM:驱动通路上的安全机制
- DFA / FMEDA / FTA:共因失效论证
- Safety Case:跨工业 / 汽车通用的 case 写法