在接下來(lái)的幾個(gè)月里，我將介紹功能安全和機(jī)器人的概念，包括協(xié)作機(jī)器人（協(xié)作機(jī)器人）和mobots（移動(dòng)機(jī)器人）。 但是，我在以前的安全問(wèn)題博客中沒(méi)有涉及ISO 13849，大多數(shù)機(jī)器人安全系統(tǒng)使用ISO 13849中的PL（性能等級(jí)）而不是IEC 61508或IEC 62061的SIL（安全完整性等級(jí)）來(lái)表示需要和實(shí)現(xiàn)的安全水平。

因此，在本博客中，我將介紹ISO 13849。這應(yīng)該對(duì)工業(yè)功能安全人員有用，甚至是想要使用自主農(nóng)業(yè)機(jī)械或移動(dòng)機(jī)器人等東西的汽車功能安全人員。

ISO 13849 基于可追溯到 954 年代的舊標(biāo)準(zhǔn) EN 1990。IEC 61508 FAQ 具有 ISO 13849-1 的良好簡(jiǎn)明歷史。

圖1 - 描述ISO 61508的IEC 13849常見問(wèn)題解答快照

對(duì)我來(lái)說(shuō)，EN 954 是一個(gè)應(yīng)用級(jí)標(biāo)準(zhǔn)，用于使用激光掃描儀、安全繼電器和傳感器等組件構(gòu)建系統(tǒng)。典型的機(jī)器安全功能是檢查門或防護(hù)裝置是打開還是關(guān)閉，并在機(jī)器打開時(shí)停止機(jī)器。為了安全，EN 954主要依賴于系統(tǒng)的架構(gòu)，對(duì)于更高的安全級(jí)別，需要兩個(gè)通道架構(gòu)。

ISO 13849作為EN 954的繼承者，以PL（性能水平）表示安全水平。實(shí)現(xiàn)的PL取決于可靠性（MTTF）、診斷覆蓋率（DC）和類別（架構(gòu)）的組合。稍后我將逐一討論。我仍然認(rèn)為有些人喜歡依賴類別（架構(gòu)），而忘記了可以使用MTTF，DC和CAT的不同組合來(lái)實(shí)現(xiàn)所需的PL。不幸的是，仍然經(jīng)?？吹絇L d CAT 3的要求限制了設(shè)計(jì)選項(xiàng)。

ISO 13849分為兩部分，第2部分包含有關(guān)驗(yàn)證和確認(rèn)的信息。

PL 和 SIL 之間的對(duì)應(yīng)關(guān)系

IEC 61508 中達(dá)到的安全級(jí)別由 SIL 給出，ISO 13849 中達(dá)到的安全級(jí)別由 PL給出.PL c 和 SIL 2 每小時(shí)發(fā)生危險(xiǎn)故障的概率范圍相同。PL d 和 SIL 3 也匹配。PL b 和 PL c 跨越 SIL 1，而 PL a 低于 IEC 61508 涵蓋的范圍，ISO 13849 不包括 SIL 4，因?yàn)橥ǔＣ媾R機(jī)器風(fēng)險(xiǎn)的人數(shù)有限。

圖2 - PL和SIL之間的對(duì)應(yīng)關(guān)系

下圖顯示了如何使用直流電為低 （2%） 和高 MTTFd 的 CAT 60 架構(gòu)實(shí)現(xiàn) PL d。也可以通過(guò) CAT 3 和低 （60%） 或中 （90%） 的直流電以及中或高的 MTTFd 來(lái)實(shí)現(xiàn)。

圖 3 - 圖表顯示如何結(jié)合 MTTFd、DC 和 CAT 以實(shí)現(xiàn)所需的 PL

如前所述，ISO 13849允許您權(quán)衡可靠性與DC與類別的事實(shí)在一些參考ISO 13849的標(biāo)準(zhǔn)中被忽略了，例如ISO 10218（機(jī)器人安全）和IEC 61496（人體存在檢測(cè)），明確要求CAT 3或CAT 4。根據(jù) ISO 13849，實(shí)現(xiàn)的安全性措施由 PL 給出，這可以說(shuō)明，而無(wú)需 CAT 將實(shí)現(xiàn)該 PL 的架構(gòu)選擇權(quán)留給系統(tǒng)設(shè)計(jì)人員。一些混淆與ISO 13849在其范圍內(nèi)包括機(jī)械，氣動(dòng)和液壓元件有關(guān)的事實(shí)，對(duì)于其中許多，實(shí)現(xiàn)的診斷覆蓋范圍和低可靠性意味著通常需要冗余架構(gòu)（CAT 3或CAT 4）才能達(dá)到PL d及以上。將相同的邏輯應(yīng)用于具有高可靠性和在短時(shí)間內(nèi)運(yùn)行廣泛診斷能力的電子電路是錯(cuò)誤的。

根據(jù) ISO 13849 進(jìn)行風(fēng)險(xiǎn)評(píng)估

與IEC 13849相比，ISO 61508是一個(gè)簡(jiǎn)化的標(biāo)準(zhǔn)。這種簡(jiǎn)化旨在使其能夠在工廠車間輕松使用，但多年來(lái)ISO 13849的復(fù)雜性不斷增加，我想知道在專家之外應(yīng)用它是多么容易。一個(gè)仍然相對(duì)簡(jiǎn)單的領(lǐng)域是建議用于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)圖，以確定所需的PL。

圖 4 - 符合 ISO 13849 的風(fēng)險(xiǎn)評(píng)估

使用此風(fēng)險(xiǎn)圖，您必須首先確定可能的傷害是嚴(yán)重性為 1 還是 2。然后是F1或F2給出某人暴露的頻率，最后是操作員足夠靈活以避免危險(xiǎn)的概率。沿著路徑導(dǎo)致 PL 在 a 到 e 范圍內(nèi)。例如，S2+F2+P1 導(dǎo)致 PL d。

直流

與IEC 61508、IEC 62061和ISO 26262相比，ISO 13849僅考慮危險(xiǎn)的故障。因此，直流實(shí)際上是檢測(cè)到的危險(xiǎn)故障的比例。對(duì)于將您帶到安全狀態(tài)的故障，沒(méi)有可用的信用額度。因此，這是一個(gè)比 SFF（IEC 61508 和 IEC 62061）或單點(diǎn)故障指標(biāo) （ISO 26262） 更困難的指標(biāo)，DC 為 90% 接近 SFF 為 95%（假設(shè) 50% 的故障是安全的，50% 是危險(xiǎn)的）。否則，直流的刻度與IEC 61508等其他標(biāo)準(zhǔn)相匹配。

圖5 - ISO 13849的診斷覆蓋范圍

類別

ISO 13849沒(méi)有提到1或1oo2等的高頻交易，而是使用類別來(lái)表示架構(gòu)。

圖 6 - ISO 13849-1：2015 中類別的定義

2 類架構(gòu)是具有單獨(dú)測(cè)試通道的單通道架構(gòu)，用于實(shí)現(xiàn)診斷。有趣的是，根據(jù)ISO 13849，功能和測(cè)試通道之間可能存在CCF（常見原因故障），而在IEC 61508中，CCF僅在兩個(gè)或多個(gè)功能通道之間引起關(guān)注。

圖 7 - ISO 3-13849：1 中的第 2015 類架構(gòu)

如上所示，CAT 3 是一種雙通道架構(gòu)，兩個(gè)邏輯單元之間的虛線表示通過(guò)比較進(jìn)行診斷，包括共享輸出設(shè)備狀態(tài)的數(shù)據(jù)回讀。然而，ISO 6-2：1的子條款13849.1.2015確實(shí)指出：“指定的架構(gòu)不能只被視為電路圖，也可以視為邏輯圖。對(duì)于類別3和4，這意味著并非所有部件都必須是物理冗余的，但有冗余方法可以確保故障不會(huì)導(dǎo)致安全功能的喪失。這意味著在一定程度上可以忽略圖表，您應(yīng)該專注于描述的文本。對(duì)我來(lái)說(shuō)，文本的關(guān)鍵部分如下所示。

圖8 - 類別3系統(tǒng)描述中的關(guān)鍵文本

這意味著根據(jù)ISO 13849被視為單容錯(cuò)的電路的某些部分不是IEC 61508或IEC 62061的單容錯(cuò)部分。ISO 13849 在考慮診斷的情況下具有單次容錯(cuò)要求，但 IEC 61508-2 7.4.4.1.1 a） 不允許在計(jì)算高頻交易時(shí)考慮診斷。很容易看出雙通道系統(tǒng)如何滿足上述單容錯(cuò)要求。任一通道中的單個(gè)故障意味著另一個(gè)通道仍將執(zhí)行安全功能。只有在“合理可行”的情況下，才沒(méi)有絕對(duì)的要求檢測(cè)到一個(gè)通道中的故障，因此故障的累積可能導(dǎo)致安全功能的喪失。這種故障的累積可能意味著兩個(gè)通道在調(diào)用時(shí)都無(wú)法響應(yīng)。值得記住的是，ISO 13849-1：2015 子條款 7.2 規(guī)定“應(yīng)將具有共同原因的兩個(gè)或多個(gè)獨(dú)立故障視為”單個(gè)故障”。因此，ISO 13849-1：2015附錄F對(duì)于確保采取足夠的措施來(lái)防止此類故障非常重要。檢測(cè)到所有危險(xiǎn)故障的單通道系統(tǒng)也將滿足ISO 13849的單一容錯(cuò)要求。對(duì)于這種單通道系統(tǒng)，如果診斷失敗，然后是設(shè)計(jì)用于診斷的項(xiàng)目，則會(huì)導(dǎo)致安全功能喪失的故障累積。失敗的順序很重要，因?yàn)槿绻槐O(jiān)視的項(xiàng)目首先失敗，診斷將檢測(cè)到故障。

然而，檢測(cè)這種故障累積是類別 4 架構(gòu)的屬性，而不是類別 3 的絕對(duì)要求，除非“合理可行”。類別 3 的故障檢測(cè)間隔不像類別 2 那樣指定，即使類別 3 也可以通過(guò)單個(gè)通道實(shí)現(xiàn)（如果診斷涵蓋非冗余部分）。給出了兩個(gè)選項(xiàng)。選項(xiàng) 1 是在下一個(gè)需求之前檢測(cè)故障，我將其解釋為類似于 CAT 2 要求，因此意味著診斷測(cè)試率為需求率的 100 倍。選項(xiàng) 2 是在出現(xiàn)需求時(shí)運(yùn)行診斷。因此，例如在機(jī)器人應(yīng)用中，這可能意味著當(dāng)有人進(jìn)入受保護(hù)區(qū)域時(shí)，診斷將作為存在算法的一部分運(yùn)行，并且在檢測(cè)到故障時(shí)仍有時(shí)間達(dá)到安全狀態(tài)。

根據(jù) ISO 3-13849：2 驗(yàn)證第 2012 類系統(tǒng)的要求如下所示。

圖 9 - ISO 3 第 2 部分中第 13849 類的驗(yàn)證要求

類別 4 與類別 3 非常相似，只是現(xiàn)在需要防止故障累積。如果無(wú)法檢測(cè)到故障，則必須進(jìn)行分析，以確定該故障是否與其他故障相結(jié)合，從而導(dǎo)致安全功能的喪失。同樣，雙通道架構(gòu)在這里應(yīng)該會(huì)有所幫助，標(biāo)準(zhǔn)指出“在實(shí)踐中，考慮兩個(gè)故障的故障組合可能就足夠了”。

有趣的是，該標(biāo)準(zhǔn)意味著高直流可以防止故障累積。對(duì)我來(lái)說(shuō)，這只是部分正確。是的，如果檢測(cè)到第一個(gè)故障是好的，但我認(rèn)為真正的微妙之處在于安全或無(wú)效果故障的組合導(dǎo)致安全功能的喪失。但是，ISO 13849僅定義了危險(xiǎn)故障，而沒(méi)有定義安全或無(wú)影響故障。無(wú)論哪種方式，如果要實(shí)施單通道 CAT 4 系統(tǒng)，都意味著您可能需要對(duì)診斷進(jìn)行診斷，以防止故障累積。

MTTFd

ISO 13849 中的可靠性由 MTTFd 變量給出。這代表危險(xiǎn)故障的平均時(shí)間。假設(shè)故障率恒定 MTTFd = 1/λD其中 lD是危險(xiǎn)的故障率。

圖10 - 測(cè)量MTTFd

系統(tǒng)要求

ISO 13849 未涵蓋 IEC 61508 或 ISO 26262 中的詳細(xì)系統(tǒng)故障。例如，只有幾頁(yè)的軟件要求，對(duì)于PL e，您被告知參考IEC 61508。缺乏細(xì)節(jié)是有道理的，因?yàn)閷?duì)于機(jī)械來(lái)說(shuō)，實(shí)際上有兩個(gè)標(biāo)準(zhǔn)。IEC 62061是IEC 61508的機(jī)械解釋，使用SIL和HFT的術(shù)語(yǔ)，任何研究過(guò)IEC 61508的人都會(huì)熟悉這些術(shù)語(yǔ)。該圖表指出，對(duì)于最容易發(fā)生系統(tǒng)故障的更復(fù)雜的系統(tǒng)，應(yīng)使用IEC 62061甚至61508。盡管如此，機(jī)械人員似乎像瘟疫一樣避免使用IEC 61508，但下面的圖表向我表明，它應(yīng)該更頻繁地用于機(jī)器人，協(xié)作機(jī)器人和mobot的安全。

圖 11 - IEC 62061 關(guān)于使用哪種標(biāo)準(zhǔn)的指南

審核編輯：郭婷