如何理解ISO13849-1？如何得出PLr(Performance Level required)？

good

初涉机械设计安全标准，望专业人士解惑…

原文地址：https://www.zhihu.com/question/293342215

感恩由您

ISO13849

ISO13849是一个国际标准，用于评估机器控制系统的安全性。
该标准通过定义安全性能等级（PL）来衡量安全相关部件（SRP/CS）的性能，这些等级基于组件和电路的故障概率和时间相关的危险分析。安全性能等级可以用于风险评估，以确保适当的安全装置的实施。
ISO13849-1适用于所有类型的安全设备，无论其使用的技术（如电气、液压、气动、机械等）如何。它不仅关注系统的架构，还涉及安全功能的复杂性和系统的故障概率要求。此外，ISO13849-1标准可以覆盖多种安全相关装置的功能安全性能，如安全传感器、安全光幕、安全PLC、双手控制系统、安全控制器等。
性能等级PL

PL（Performance Level）是国际通用的安全性能等级要求，用于规定安全控制系统在预期条件下执行安全功能的离散等级。性能等级分为5级，从最低PL=a到最高PL=e，各自对应一个明确的每小时危险失效概率范围。



性能等级PL

辛米尔自研的安全视觉侦测相机Safety EventCAM 2D获得国际公认的第三方检验认证机构SGS的认定，通过了PL d级别安全性能等级认证标准。




PL d安全认证证书

PL d的级别必须从设计原理上，系统内所有的硬件、系统和软件的设计架构上，要遵循严格的等级要求，做到“硬件冗余、系统异构、软件自洽、交叉校验”的功能；而等相比较于PL c及以下的等级，则没有此要求。
辛米尔自研的安全视觉侦测相机Safety EventCAM 2D是基于AI视觉和边缘计算技术的保障人机交互工作中人员安全的主动智能安全系统。在实际落地的应用中，不仅为市场工业安全系列产品增添了全新的品类，同时也弥补了传统光栅、激光扫描仪等安全防护产品的不足。
据悉截止发稿日，目前国内外市场上尚未有第二家通过此等级的同类产品。




优势对比

▼


如需了解更多辛米尔安全视觉产品，请扫描下方二维码，预约相机测试。



联系我们 了解更多

我们将安排方案工程师在3个工作日内与您联系，帮助您更高效地评估和了解辛米尔。


关于辛米尔视觉

辛米尔研发团队长期致力于计算机视觉、行为分析、边缘计算、硬件加速架构、人工协同方向的研究。其中自研的事件记录追溯系统、工业安全视觉防护系统、生产过程行为理解系统、视频智能分析平台、人工智能训练平台、设备与数据管理平台、工业存储器等多款产品已广泛应用于如：汽车、3C、新能源、半导体、家电、轨道交通、生物医药等行业。
辛米尔视觉科技是一家专注于打造AI边缘视频理解系统的国家高新技术企业，为各行业提供生产过程管理、实时视频分析的整体解决方案。

长长的路

前言
  潜在安全风险的降低是产品或系统整体安全生命周期的重要组成部分，产品制造商和系统集成商需要考虑对于包括概念阶段和开发阶段在内的所有途径，才能确保产品和系统的安全可靠性。
  随着各种电子器件及嵌入式编程技术越来越先进并能有效控制成本，因此被广泛使用到各种工业设备、系统中，也被大量使用在很多需要可靠性高的场合中，比如工业机器人、电梯、石化行业、核电、汽车、轨道交通等，这些应用需要符合安全相关功能的要求。而具备安全相关功能的产品和系统的开发，对制造商提出了功能可靠性的特殊要求---需要符合功能安全通用标准或应用标准的要求。在功能安全应用领域，通过功能安全相关标准的应用，系统化地实施了功能可靠性的要求，从而确保了系统的整体安全。
如何实施功能安全策略？
作为风险管控的措施之一，功能安全着眼于本质设计入手，在满足功能用途以及基本要求的基础上，需要基于相关标准以及风险，考虑合理化的设计优化，降低风险至标准要求或者可接受程度。
1.实施的步骤
作为功能安全的一个分支应用领域，工业机械的安全功能一般包含如下步骤：

• 风险评估，对机器人生命周期相关阶段内的风险进行识别，并做评估和评价，导出安全需求
  
• 依据风险评估结果，对于需要电气控制措施参与的降低风险的解决方式，提出预计的安全策略，确认安全功能需求；或者如果有针对该产品的标准要求，需要直接参考标准要求的安全需求；
  
• 应用安全需求的架构设计（输入单元、逻辑单元、输出单元）(Cat)，查找或计算各单元器件的失效率或者平均无故障时间（MTTFd）、诊断覆盖率 (DC)以及影响架构因素的共因失效等关键因素；
  
• 评估性能等级PL是否满足性能需求PLr。一旦确定第三点提及到的4类参数，可通过计算确定结果。如果结果是PL≥PLr，即该设计符合安全需求。
  

PL的关键参数	评估准则
形式上的架构	标准给出的类别：规定SRP/CS可实现的构架，包含输入，逻辑以及输出单元；1类是通过选择和应用合适的元件来保障安全回路；2类是通过对器件进行一定周期的检查保障安全回路；3类是通过冗余设计保障发生单一故障时不会导致安全回路失效；4类是通过冗余设计避免累计发生故障的可能性；	12344类架构
部件的可靠性	平均危险失效时间MTTFd或者PFHd安全部件的可靠性 MTTFd, MTBF, B10d，nop等；MTTFd=B10d0.1*nop​系统的可靠性：1MTTFd=i=1N1MTTFdi​PFHd:每小时发生的危险失效的概率MFFFd: 通道的平均危险无故障时间；B10d: 知道有10%的原件发生危险失效时的平均周期数；Nop: 年平均操作次数；MTBF:评估无故障工作时间	高中低3种
故障的诊断能力	平均诊断覆盖率DCavg: 部件的诊断覆盖率DC系统的诊断覆盖率 DCavg=DC1MTTFd1+DC2MTTFd2+⋯+DCNMTTFdN1MTTFd1+1MTTFd2+⋯+1MTTFdN​	无低中高4种
设计的可靠性	共因失效6项基本原则	高于65分架构符合；低于65分需重新考虑架构两种结果

• 如果该过程涉及到自行开发的软件，则需要按照V模型依据IEC 61508-3 进行对软件进行开发验证。
  

2.涉及的工作内容：

• 开发设计文档类；
  
• 过程计算类；
  
• 测试验证类；
  
• 评审结论类；
  

我们的服务范畴有那些？
MUNIK秒尼科专业的工业功能安全技术团队，由国内外的安全研发人员组成专业技术团队，我们提供功能安全标准的全程技术服务，如：

• 机械安全培训；
  
• 个人资质证书颁发；
  
• 风险性分析和改进
  
• 和机械安全相关的咨询，测试以及技术支持
  
• 标准和法规的研究
  
• 基于ISO 13849，IEC 62061等规范上的功能安全的技术解决方案的测试和咨询
  
• 技术文件的审核；
  
• 依据相关标准对机械产品或者机械安全组件测试和发证；
  

运行中的机器

• 旧机器和设备的改造评估，咨询以及相关的附加测试或者整修测试；
  

如果您需要技术交流，欢迎和我们邮件联系！Shmunik@munik.com
交流内容如下但不限于以下内容 ：

• ISO 13849最新版的内容变化是什么？
  
• 如何实施安全认证流程?
  
• 如何执行风险分析？
  
• 对于工业安全应用的软件部分需要做哪些工作内容？
  

清风寡欲

在上一篇文章《功能安全的架构设计（二）》（功能安全的架构设计（二） - 知乎 (zhihu.com)）中我们谈了谈常见的MooN(D)架构表现形式及结构特点, 并就每种MooN(D)架构的结构特点与是否能实现fail-safe和fail-operational的系统作了个简单的辨析。
此篇我们来谈谈《功能安全的架构设计（一）》（功能安全的架构设计（一） - 知乎 (zhihu.com)）一文中提到的另一种架构概念——指定架构(designated architecture), 看看这种架构概念和MooN(D), fail-safe及fail-operational这些架构概念又有什么区别与联系。

• Designated architecture — 指定架构
  

在《功能安全的架构设计（一）》一文中我们提到过这个这是ISO 13849-1（机械安全控制系统的安全设计原则）标准中的一个概念，机械设备安全控制系统(SCS)的架构形式是一种对机械系统性能等级(PL)有重大影响的关键特征, 由于架构的表现形式多样, ISO 13849根据机械系统的特点给不同形式的控制系统架构制定了典型的安全相关框图, 这些典型的框图被称为指定架构(designated architecture)。
ISO 13849中给出了五类指定架构(Category B, 1, 2, 3, 4), 分别用于满足不同PL等级系统的要求。



接下来简单介绍下这五类指定架构。

• Category B (CB)
  

这类架构对应系统没有诊断覆盖率的要求 （即DC= 0），其结构通常是单通道的，由于与 CCF无关，该安全类别不考虑 CCF。
根据上图，B类架构系统可以达到的最高性能等级为 PL=b。
单通道设计意味着单个故障即可导致安全功能的丧失，该类架构是机械系统指定架构里的基础架构。其对应架构模型如下：


架构特点：单通道设计
其中，
I: 输入设备，如传感器(如，行程开关)；
L: 逻辑单元，如安全继电器；
O: 输出设备，如接触器；

• Category 1（C1）
  

采用1类架构的控制系统其安全相关部件必须采用经过验证的/久经考验的组件(well-tried component)，此外还必须严格遵守经过验证的安全原则 （见 ISO13849-2）。
1类架构系统可以实现的最高性能等级为 PL=c。其对应架构模型如下：


架构特点：
> 单通道设计;
> 采用经过验证的/久经考验的组件；
"经过验证的/久经考验的组件"(well-tried component)是指:
a） 过去广泛使用，并在类似应用中取得成功，或
b） 使用证明其在安全相关应用中的适用性和可靠性的原理进行制造和验证。
如果新开发的组件和安全原则满足b）的条件，则可以认为它们相当于“经过验证的/久经考验的” (well-tried)。
Jet Note: 1类架构和B类架构一样也是单通道系统架构，对单点故障非常敏感，两者区别在于1类架构强调对应的系统中要使用"经过验证的/久经考验的组件"(well-tried component)，也即1类架构系统对于组件的可靠性指标(e.g. 失效率)要求更高。

• Category 2 (C2)
  

2类架构的控制系统其安全相关部件必须通过机器的控制器在合适的间隔时间进行测试。
出现危险性故障的情况下，只有在下一个安全功能要求出现之前进行故障检测测试，才能获得有效的 （或者说有意义的）故障检测结果。因此，要求的测试速度必须比安全功能的要求速度快 100倍。
对于安全功能的测试，机器的控制器必须在以下条件下完成：
> 机器起动期间；
> 各种危险状态出现之前，例如新的机器循环开始时，或者其他动作开始等。
测试结果：
1）检测到某个故障时，必须产生合适的故障响应；
2）检测到某个故障时，运行必须被禁止。
无论什么情况下，故障响应都必须使机器进入某种安全状态。故障排除之后，机器才可以继续正常运行。若无法进入安全状态 （例如继电器触头粘接），则必须给出危险警告信息。
2类架构系统可以实现的最高性能等级为 PL=d。其对应架构模型如下：


其中：
TE: test equipment 测试设备
OTE: output of TE 测试设备的输出
虚线：表示合理可行的故障检测
架构特点：
> 单通道设计;
> 采用测试设备进行功能监控。
Jet Note: 2类架构依然是单通道架构，但从2类架构开始，明确要求系统中要加入“检查装置”(checking equipment)用于检测安全功能的各种故障并控制系统进入安全状态。另外，相较于Category 1, 功能通道/处理单元的MTTFd值比Category 1小一个量级，同时Category 2对“测试装置"的检测频率要求大于处理单元的MTTFd值一半、测试频率要大于需求率的100倍、诊断覆盖率至少为60%，并且要考虑共因失效，这些在Category 1中都没有明确提出。

• Category 3 （C3）
  

3类架构的控制系统其所采用的设计必须可以确保单一故障不会导致安全功能的丧失。无论在什么情况下，必须在下一个安全功能要求执行时 （或之前）完成单一故障的检测。如果无法检测某种故障，则这类故障的累积可能会导致安全功能的丧失。
3类架构系统可以实现的最高性能等级为 PL=e。其对应架构模型如下：


其中：
> I1和 I2：传感器 1和 2（例如两个带有强制断开触头的行程开关）；
> L1和 L2：逻辑单元 1和 2（例如已经集成了两个微处理器的某种型号的安全继电器；
> O1和 O2：执行器 1和 2（例如两个带有强制断开触头的接触器）；
架构特点：
> 采用冗余架构设计;
> 传感器监控 （同步输入监控）；
> 使能回路 （即安全输出回路）监控 （监控和反馈回路的比较）;
Jet Note：从3类架构开始对应系统需要采用冗余架构设计，是一种双通道系统，且此类架构从输入到输出路径上的主要构成要素（传感器、逻辑处理单元、执行器）都要实施对应的监控。

• Category 4 （C4）
  

4类架构的控制系统其所采用的设计必须可以确保单一故障不会导致安全功能的丧失。必须在下一个安全功能要求执行时 （或之前）完成单一故障的检测。如果无法检测某种故障，则这类故障的累积不得导致安全功能的丧失。
4类架构系统可以实现的最高性能等级为 PL=e。其对应架构模型如下：


由上图可看出4类架构的构成和3类架构的构成一样, 两者的关系有点类似1类和B类架构之间的关系。
架构特点：
> 采用冗余架构设计;
> 传感器监控 （同步输入监控）；
> 使能回路 （即安全输出回路）监控 （监控和反馈回路的比较）;
> 所有子系统都具备高诊断覆盖率;
Category 4指定架构中用于监测的实线表示诊断覆盖率(DC)高于Category 3指定架构中的诊断覆盖率。
Jet Note: Category 4系统指定架构在Category 3的基础上，对单个故障的监测要全覆盖，对“累计故障”也要考虑，但只考虑两个单独故障累计导致安全功能丧失的组合，另外，4类系统指定架构总的诊断覆盖率DCavg为high, 对每一通道的MTTFD要求都为high，最高能满足PL e的系统设计要求。
系统的PL等级与系统的架构类别(Category x)、系统的平均诊断覆盖率(DCavg)和平均危险失效间隔时间(MTTFd)这些系统属性有关，他们之间的关系可参考下表。


Q: 综上并根据《功能安全的架构设计（二）》（功能安全的架构设计（二） - 知乎 (zhihu.com)）一文中关于MooN(D)架构的介绍，这里的指定架构(designated architecture)是不是看起来有些眼熟？它们和MooN(D)架构有哪些对应关系？每种指定架构是能实现fail-safe的还是fail-operational呢？
以上关于机械安全领域的指定架构(designated architecture)的概念及其表现形式就和大家谈到这里，详细内容可参考ISO 13849的标准原文。

参考：
[1] ISO 13849-1
[2] 机械安全技术及应用

大力水手

根据安全系统的框架结构确定Category,单通道的MTTFd,和诊断覆盖率DC查表查出来的