在接下來的幾個月里，我將介紹功能安全和機器人的概念，包括協(xié)作機器人（協(xié)作機器人）和mobots（移動機器人）。 但是，我在以前的安全問題博客中沒有涉及ISO 13849，大多數(shù)機器人安全系統(tǒng)使用ISO 13849中的PL（性能等級）而不是IEC 61508或IEC 62061的SIL（安全完整性等級）來表示需要和實現(xiàn)的安全水平。

因此，在本博客中，我將介紹ISO 13849。這應該對工業(yè)功能安全人員有用，甚至是想要使用自主農業(yè)機械或移動機器人等東西的汽車功能安全人員。

ISO 13849 基于可追溯到 954 年代的舊標準 EN 1990。IEC 61508 FAQ 具有 ISO 13849-1 的良好簡明歷史。

圖1 - 描述ISO 61508的IEC 13849常見問題解答快照

對我來說，EN 954 是一個應用級標準，用于使用激光掃描儀、安全繼電器和傳感器等組件構建系統(tǒng)。典型的機器安全功能是檢查門或防護裝置是打開還是關閉，并在機器打開時停止機器。為了安全，EN 954主要依賴于系統(tǒng)的架構，對于更高的安全級別，需要兩個通道架構。

ISO 13849作為EN 954的繼承者，以PL（性能水平）表示安全水平。實現(xiàn)的PL取決于可靠性（MTTF）、診斷覆蓋率（DC）和類別（架構）的組合。稍后我將逐一討論。我仍然認為有些人喜歡依賴類別（架構），而忘記了可以使用MTTF，DC和CAT的不同組合來實現(xiàn)所需的PL。不幸的是，仍然經?？吹絇L d CAT 3的要求限制了設計選項。

ISO 13849分為兩部分，第2部分包含有關驗證和確認的信息。

PL 和 SIL 之間的對應關系

IEC 61508 中達到的安全級別由 SIL 給出，ISO 13849 中達到的安全級別由 PL給出.PL c 和 SIL 2 每小時發(fā)生危險故障的概率范圍相同。PL d 和 SIL 3 也匹配。PL b 和 PL c 跨越 SIL 1，而 PL a 低于 IEC 61508 涵蓋的范圍，ISO 13849 不包括 SIL 4，因為通常面臨機器風險的人數(shù)有限。

圖2 - PL和SIL之間的對應關系

下圖顯示了如何使用直流電為低 （2%） 和高 MTTFd 的 CAT 60 架構實現(xiàn) PL d。也可以通過 CAT 3 和低 （60%） 或中 （90%） 的直流電以及中或高的 MTTFd 來實現(xiàn)。

圖 3 - 圖表顯示如何結合 MTTFd、DC 和 CAT 以實現(xiàn)所需的 PL

如前所述，ISO 13849允許您權衡可靠性與DC與類別的事實在一些參考ISO 13849的標準中被忽略了，例如ISO 10218（機器人安全）和IEC 61496（人體存在檢測），明確要求CAT 3或CAT 4。根據(jù) ISO 13849，實現(xiàn)的安全性措施由 PL 給出，這可以說明，而無需 CAT 將實現(xiàn)該 PL 的架構選擇權留給系統(tǒng)設計人員。一些混淆與ISO 13849在其范圍內包括機械，氣動和液壓元件有關的事實，對于其中許多，實現(xiàn)的診斷覆蓋范圍和低可靠性意味著通常需要冗余架構（CAT 3或CAT 4）才能達到PL d及以上。將相同的邏輯應用于具有高可靠性和在短時間內運行廣泛診斷能力的電子電路是錯誤的。

根據(jù) ISO 13849 進行風險評估

與IEC 13849相比，ISO 61508是一個簡化的標準。這種簡化旨在使其能夠在工廠車間輕松使用，但多年來ISO 13849的復雜性不斷增加，我想知道在專家之外應用它是多么容易。一個仍然相對簡單的領域是建議用于風險評估的風險圖，以確定所需的PL。

圖 4 - 符合 ISO 13849 的風險評估

使用此風險圖，您必須首先確定可能的傷害是嚴重性為 1 還是 2。然后是F1或F2給出某人暴露的頻率，最后是操作員足夠靈活以避免危險的概率。沿著路徑導致 PL 在 a 到 e 范圍內。例如，S2+F2+P1 導致 PL d。

直流

與IEC 61508、IEC 62061和ISO 26262相比，ISO 13849僅考慮危險的故障。因此，直流實際上是檢測到的危險故障的比例。對于將您帶到安全狀態(tài)的故障，沒有可用的信用額度。因此，這是一個比 SFF（IEC 61508 和 IEC 62061）或單點故障指標 （ISO 26262） 更困難的指標，DC 為 90% 接近 SFF 為 95%（假設 50% 的故障是安全的，50% 是危險的）。否則，直流的刻度與IEC 61508等其他標準相匹配。

圖5 - ISO 13849的診斷覆蓋范圍

類別

ISO 13849沒有提到1或1oo2等的高頻交易，而是使用類別來表示架構。

圖 6 - ISO 13849-1：2015 中類別的定義

2 類架構是具有單獨測試通道的單通道架構，用于實現(xiàn)診斷。有趣的是，根據(jù)ISO 13849，功能和測試通道之間可能存在CCF（常見原因故障），而在IEC 61508中，CCF僅在兩個或多個功能通道之間引起關注。

圖 7 - ISO 3-13849：1 中的第 2015 類架構

如上所示，CAT 3 是一種雙通道架構，兩個邏輯單元之間的虛線表示通過比較進行診斷，包括共享輸出設備狀態(tài)的數(shù)據(jù)回讀。然而，ISO 6-2：1的子條款13849.1.2015確實指出：“指定的架構不能只被視為電路圖，也可以視為邏輯圖。對于類別3和4，這意味著并非所有部件都必須是物理冗余的，但有冗余方法可以確保故障不會導致安全功能的喪失。這意味著在一定程度上可以忽略圖表，您應該專注于描述的文本。對我來說，文本的關鍵部分如下所示。

圖8 - 類別3系統(tǒng)描述中的關鍵文本

這意味著根據(jù)ISO 13849被視為單容錯的電路的某些部分不是IEC 61508或IEC 62061的單容錯部分。ISO 13849 在考慮診斷的情況下具有單次容錯要求，但 IEC 61508-2 7.4.4.1.1 a） 不允許在計算高頻交易時考慮診斷。很容易看出雙通道系統(tǒng)如何滿足上述單容錯要求。任一通道中的單個故障意味著另一個通道仍將執(zhí)行安全功能。只有在“合理可行”的情況下，才沒有絕對的要求檢測到一個通道中的故障，因此故障的累積可能導致安全功能的喪失。這種故障的累積可能意味著兩個通道在調用時都無法響應。值得記住的是，ISO 13849-1：2015 子條款 7.2 規(guī)定“應將具有共同原因的兩個或多個獨立故障視為”單個故障”。因此，ISO 13849-1：2015附錄F對于確保采取足夠的措施來防止此類故障非常重要。檢測到所有危險故障的單通道系統(tǒng)也將滿足ISO 13849的單一容錯要求。對于這種單通道系統(tǒng)，如果診斷失敗，然后是設計用于診斷的項目，則會導致安全功能喪失的故障累積。失敗的順序很重要，因為如果被監(jiān)視的項目首先失敗，診斷將檢測到故障。

然而，檢測這種故障累積是類別 4 架構的屬性，而不是類別 3 的絕對要求，除非“合理可行”。類別 3 的故障檢測間隔不像類別 2 那樣指定，即使類別 3 也可以通過單個通道實現(xiàn)（如果診斷涵蓋非冗余部分）。給出了兩個選項。選項 1 是在下一個需求之前檢測故障，我將其解釋為類似于 CAT 2 要求，因此意味著診斷測試率為需求率的 100 倍。選項 2 是在出現(xiàn)需求時運行診斷。因此，例如在機器人應用中，這可能意味著當有人進入受保護區(qū)域時，診斷將作為存在算法的一部分運行，并且在檢測到故障時仍有時間達到安全狀態(tài)。

根據(jù) ISO 3-13849：2 驗證第 2012 類系統(tǒng)的要求如下所示。

圖 9 - ISO 3 第 2 部分中第 13849 類的驗證要求

類別 4 與類別 3 非常相似，只是現(xiàn)在需要防止故障累積。如果無法檢測到故障，則必須進行分析，以確定該故障是否與其他故障相結合，從而導致安全功能的喪失。同樣，雙通道架構在這里應該會有所幫助，標準指出“在實踐中，考慮兩個故障的故障組合可能就足夠了”。

有趣的是，該標準意味著高直流可以防止故障累積。對我來說，這只是部分正確。是的，如果檢測到第一個故障是好的，但我認為真正的微妙之處在于安全或無效果故障的組合導致安全功能的喪失。但是，ISO 13849僅定義了危險故障，而沒有定義安全或無影響故障。無論哪種方式，如果要實施單通道 CAT 4 系統(tǒng)，都意味著您可能需要對診斷進行診斷，以防止故障累積。

MTTFd

ISO 13849 中的可靠性由 MTTFd 變量給出。這代表危險故障的平均時間。假設故障率恒定 MTTFd = 1/λD其中 lD是危險的故障率。

圖10 - 測量MTTFd

系統(tǒng)要求

ISO 13849 未涵蓋 IEC 61508 或 ISO 26262 中的詳細系統(tǒng)故障。例如，只有幾頁的軟件要求，對于PL e，您被告知參考IEC 61508。缺乏細節(jié)是有道理的，因為對于機械來說，實際上有兩個標準。IEC 62061是IEC 61508的機械解釋，使用SIL和HFT的術語，任何研究過IEC 61508的人都會熟悉這些術語。該圖表指出，對于最容易發(fā)生系統(tǒng)故障的更復雜的系統(tǒng)，應使用IEC 62061甚至61508。盡管如此，機械人員似乎像瘟疫一樣避免使用IEC 61508，但下面的圖表向我表明，它應該更頻繁地用于機器人，協(xié)作機器人和mobot的安全。

圖 11 - IEC 62061 關于使用哪種標準的指南

審核編輯：郭婷