精通标准 ISO 13849-1评估方法

大v

“A state in which the risk of harm (to persons) or damage is limited to an acceptable level. ”
在众多标准中我们选择了ISO 13849-1的标准来举例进行入门。有几个方面:

• 此标准作为功能安全评估入门最为简单，标准实施步骤详尽。
  
• 此标准覆盖面广，适用性强。机器人、带逻辑控制单元的控制器和设备都适用此标准。
  
• 德国IFA免费软件SISTEMA 2.0 也是充分才用此标准量身定制，伴随着软件更容易协同上手。
  

EN ISO 13849有两部分：
第1部分：设计的一般原则（BS EN ISO 13849-1：2008）-EN ISO 13849的这一部分为参与控制系统设计和评估的人员提供了指导。
第2部分：验证（BS EN ISO 13849-2：2012） - EN ISO 13849的本部分规定了控制系统安全相关部件的安全功能，类别和性能等级的验证过程。
01 OVERVIEW

ISO 13849提供了一种方法，用于识别任何给定安全功能所需的性能水平（PLr），并确定机器控制系统所达到的性能水平（PLa）是否足够。最简单的是，标准向用户显示如何识别PLr并给出计算PLa的方法。只要PLa大于或等于PLr，那么设计就足够了; 如果PLa小于PLr，则需要采取额外的整改措施。
当然，在系统设计层面的介入评估是最好的时机。
根据标准的指引，我们可以简化成如下的步骤：


确定风险------根据EUC系统的工作环境总结危险来源，进行风险评估；
根据风险评估内容确定需要的性能等级PLr；
控制系统相关安全部件SRP/CS进行设计分析和评估；
对系统进行性能定级PL，确定MTTFd和DC的值并对CCF进行验证，计算出PL等级，看是否小于要求2部分确定的需要的性能等级PLr；
验证过程的所有方面，以确认符合标准的要求。符合则结束，不符合重新进行系统设计整改。

02 风险评估

风险评估的作用是确定需要的性能等级PLr。很简单的办法就是通过SISTEMA软件来选择参数来确认此数值。当然，作为设计者的你不需要纠结，买家或者说甲方一般会给出实际的要求。然后通过此要求来选择就行了。
当然，此处我们举例简化，只需要考虑一个安全功能！


注释：通过风险图里的参数S, F ,P 来确定此安全功能需要的性能等级PLr。
S 危害程度：
S1：轻伤；S2：重伤
F 暴露于危险中的频率：
F1：偶尔或者短时间； F2：频繁或者长时间
P 避开危险的来源：
P1：有可能； P2：不可能



简化的风险评估方法

03 SRP/CS控制系统相关安全部件的Category（安全等级）


安全部件可以简化为 输入--逻辑--输出 三部分。如图所示可以具像化：


输入部件举个例子：按钮，传感器；
逻辑控制：安全控制单元、控制器和MUC；
输出部件：电机、安全继电器等等。

SRP/CS的类别说明了其抵御故障的必要的行为。SRP/CS共有五个类别Category：

B	实现机械控制系统系统安全相关部件的功能，可承受预期的使用环境。
1	等级B+使用可靠性搞的组件并按照安全原则确保安全性。
2	等级B+安全相关的设计必须让机器控制系统按适当间隔来检查安全功能。
3	等级B+单一故障不会导致安全功能丧失。只要可行，必须在下一次需要安全功能时或之前进行检测。
4	等级B+单一故障不能导致安全功能丧失，并会再下次需要安全功能时之前进行检测。如不可行，则一再无法检测到故障不一定会导致安全功能丧失。

Cat. B : 最简单的电路等级B为


在此等级中，任何单一的故障就会使机器会丧失安全功能。
Cat. 安全等级1：  在满足等级B的基础上，附加了Well-tried 元件及 Well-tried  安全原理。

• Well-tried 元件的定义：广泛用于相同情况并取得满意结果的元件或是以工作原理就可以论证其安全可靠的元件。可以不考虑这种元件自身故障发生的可能性(其概率是极低的)Well-tried 元件的选择取决于它应用的场合。
  
• Well-tried安全原理：为避免短路，减少故障的发生率，确定故障的类别，准确地检测故障以及避免二次故障的发生，可以采用诸如：隔离电路，充分的承载能力，当遇故障时及时开路断电，良好的接地等措施。
  

Cat. 安全等级2:   是指首先满足等级1的要求，其次要对安全控制系统的功能实施周期性检验。



这种周期性检验可在机器启动时和运转过程中由控制系统或电子监控系统自动或手动来执行，如果没有发现故障，允许检验系统继续工作，反之产生故障输出，触发可能的安全功能，发出警告信息，同时检测系统自身不应导致危险，它可以是安全控制回路中的一部分，也可以是单独的系统，在检验间隙中漏检的故障应当在下一个检验周期中被识别出来。一般认为，手动检验是有效的办法，但需取决于对机器的危险性分析。


举例：采用Category安全等级2设计的电磁阀


Cat. 安全等级3:



等级3:   是指首先满足等级2的要求，其次控制系统中的单一故障不会导致安全功能的丧失，关键故障必须在安全功能实施时或实施以前被检验出来，不要求可以监测出所有的故障，但故障的积累将会导致安全功能的丧失。


举例：采用Category安全等级3、4设计的电磁阀


Cat. 安全等级4:



等级4:   是指必须满足等级3的要求，在控制系统中单一故障不会导致安全功能的丧失，在下一个安全功能实施时或实施之前，或在启动机器时或机器运转一个周期结束时应将故障立即检验出来；如果这种一般检验和实时检验无法实施，则故障的积累也不应造成安全功能的丧失。


04 确定PL性能等级

Performance Levels： 性能等级

PL	平均每小时危险失效概率（PFHd）1/h	SIL
A	≥10^-5 ~ < 10^-4	无对应
B	≥3x10^-6 ~ < 10^-5	1
C	≥10^-6 ~ < 3x10^-6	1
D	≥10^-7 ~ < 10^-6	2
E	≥10^-8 ~ < 10^-7	3

PL等级的决定参数
对于控制系统每个安全相关部分和/或执行安全功能的组合，必须透过估算以下主要方面来判定（评量）其性能等级PL。
(1) Category安全类型（五种类型：B、1、2、3 及 4）
(2) MTTFd（三种类型：高、中、低）
(3) DCavg（四种类型：高、中、低、無）
(4) CCF (两种类型  ≥65 分与 <65 分)
根据图表粗来估计
如果已经知道决定的参数，通过下图基本可以简单确定系统的PL等级。


各个参数的关系以及简化程序如下：


软件辅助方式定量评估
当然，通过SISTEMA软件可以通过PFHd定量的得出PL等级，如下图所示。


具体的评估方法如下：

• Category 安全等级：
  

安全等级已经在上面详细介绍过了，实际评估中只需要再SISTEMA的子系统的界面选择Category安全类型就可以轻松完成。当然，5种类型都是简化模型，如果系统或者说安全功能更为复杂的话，可以灵活处理。

• （气动、机械、机电元件的）MTTFd：
  

MTTFd：mean time to dangerous failure 平均危险失效间隔时间
MTTFd可以通过进口原件的出厂清单查到，当然国产的元件就另当别论了。如果元件是根据相关标准进行设计和制造的，则MTTFd可以根据以下的方式进行计算：


当然，实际的评估和确认通过SISTEMA软件就能搞定了。不需要进行太多的公式记忆。
举例：录入参数，轻松得出结果。


当然，标准中会给出很多常用元件的典型值区间。可以在软件中选择Enter Mttfd value directly直接录入。




上面所示的都是单通道的MTTFd的简单计算方法。如果是多通道的，标准也给出去了系统的计算方法，比如说：


根据MTTFd的计算结果，标准将其分为3类。

MTTFd
Low	3年<=MTTFd<10年
Medium	10年<=MTTFd<30年
High	30年<=MTTFd<100年

• DCavg  Average Diagnostic Coverage：平均诊断覆盖率
  

DC为诊断有效性的度量，它可以是可诊断的危险失效的失效率与所有的危险失效的失效率的比值。
“诊断覆盖率”（DC）是在安全设备中使用传感器相关元件时的一项重要参数。由于单通道，特别是双通道安全电路经常发生故障或者可能存在缺陷，因此已知的诊断覆盖率有助于正确地分析并解决这一问题。


λdd - Dangerous detectable 能够检测到的危险
λdu - Dangerous undetectable 不能够检测到的危险

指标	范围
无	DC < 60%
低	60% ≤ DC ＜ 90%
中	90% ≤ DC ＜ 99%
高	99% ≤ DC

标准给出的诊断覆盖率（DC）的示例

措施	DC
输入装置
测试输入信号的动态变化所产生的循环测试	90%
真实性确认：比如：使用机械上相连的NO,NC接点	99%
输入的交叉监控(无动态测试)	0～99%，取决于应用中信号改变的频率
如果无法检测出短路的情况下，对于动态测试的输入信号的交叉监控(用于多路I/O)	90%
对于逻辑(L)中和程序流的临时逻辑软件监控器中输入型号和中间结果的交叉监控，以及静态故障和短路的检测(用于多路I/O)	99%
间接检测(例如：通过压力开关进行监测，通过使能器的电气位置进行监测)	90%～99%
直接检测(例如：控制阀的电气位置监测，通过机械连接的接触器元件检测机电装置)	99%
通过过程实施故障监测	0～99%，取决于实际应用，单用本措施是达不到要求的PL=d的要求。
检测某些传感器的特征(响应时间，相似信号的范围，例如：电阻，电容)	60%

逻辑控制
间接检测(例如：通过压力开关进行监测，通过使能器的电气位置进行监测)	0～99%，取决于实际应用
直接检测(例如：控制阀的电气位置监测，通过机械连接的接触器元件检测机电装置)	99%
逻辑模块的简单暂时时间监测(例如：定时器用作监视器，逻辑模块程序中的触发点)	60%
当试验设备进行逻辑模块性能的真实性检查时，由监视器暂时对逻辑进行逻辑监测	90%
启动自检以监测逻辑中部件的潜在故障(例如：程序和数据存储器，输入/输出端口，接口)	90%(取决于测试技术)
启动时通过主通道，或者进行安全功能或外部信号所要求的输入设备来检查监测设备(例如：监视器)的反应能力	90%
动态原则(安全功能需要时，逻辑模块的所有元件需要按状态ON-OFF-ON状态改变)，例如：由继电器执行的联锁电路。	99%
恒定存储器； 单字节信号(8bit)	90%
恒定存储器； 单字节信号(16bit)	99%

输出
无动态试验的由一个通道对输出的监测	0～99%，取决于应用中信号改变的频率
无动态试验的输出的交叉监测	0～99%，取决于应用中信号改变的频率
带动态试验，无短路检测的输出信号交叉监测(多路I/O)	90%
对逻辑(L)中和程序流的临时逻辑软件监视器中的输出信号和中间结果的交叉监测，以及对静态故障和短路的监测(用于多路I/O)	99%
无使能器监测的冗余截至路径	0
通过逻辑模块或者试验设备监测其中一个使能器的冗余截至路径	90%
间接检测(例如：通过压力开关进行监测，通过使能器的电气位置进行监测)	90～99%，取决于实际应用
通过过程实施故障监测	0～99%，取决于实际应用，单用本措施是达不到要求的PL=d的要求。
直接检测(例如：控制阀的电气位置监测，通过机械连接的接触器元件检测机电装置)	99%

• CCF共因失效
  

由一个原因能引起多起故障的失效叫做共因失效。
防止CCF措施评分如下，保证总分≥65分，既可以满足要求。此部分评估人员的经验和客观评价尤为重要。

编号	防止CCF的措施	得分
1	分离/隔离	15
信号路径之间的物理隔离：----以配线/管路方式分离；T----在线路中通过动态测试检测出短路或开路；----每个通道信号路径分别屏蔽；----印刷电路板上足够的间隙和爬电距离。T
2	相异	20
采用不同的技术/设计或物理原则，例如：----第一个通道为电子的或可编程电子的，第二个通道为机电硬接线的；----每个通道采用不同的安全功能启动方式（例如：位置、压力、温度）；和/或   采用数字量或模拟量（例如：距离、压力或温度）；和/或   不同制造商制造的元件
3	设计/应用/经验
3.1	防止过电压、过压力、过电流、过热等的保护	15
3.2	所用的元件是经验证的	5
4	评估/分析
为了避免共因失效，设计仲对控制系统安全相关部件中每个部件进行了失效模式和影响分析并考虑其结果	5
5	能力/培训
设计者接受了培训，以了解共因失效的原因和后果	5
6	环境
6.1	电气/电子系统：根据适当的标准（例如IEC 61326-3-1），通过防止污染和电磁干扰（EMI）来防止CCF。流体系统：按照元件制造商关于传压介质净化的要求，过滤传压介质、防止污垢进入以及排放压缩空气。注：对于流体和电气组合的系统，这两方面都宜予以考虑	25
6.2	其他影响：已考虑了对所有的环境因素，例如温度、冲击、振动、湿度等（例如：相关标准中所规定的）的抗扰性的要求	10
总分：  （满分100分）

通过SISTEMA软件也很容易清晰确认评估分数。


小结：
下图总括了各个参数的关系和简单算法，可以帮助记忆。


05 案例举例和总结

安全功能案例：


安全排气（性能等级PL e, CAT. 4）
意外启动的预防（性能等级PL e，CAT. 4）
初始状态
安全门打开时，定会造成气动系统排气。这种情况下，如果设备处于危险区或维护期间，可能会引发设备意外启动。
回路说明：
在本案例中，理想的“安全排气”和意外启动的预防功能，均由安全元件来实现。安全排气通过1S1及1S2检测阀芯位置得到保障。但必须确保，二级阀即使在断电或响应失效的情况下 也能够排气。


网络案例
由于具体案例不方面公开，所以搜集了网络上的一些典型案例，供参考。
Pilz：结合ISO 13849-1的注塑机安全回路设计评估-中国传动网 (chuandong.com)
http://weixin.qq.com/r/XxCvt-3E9qCJrbnU90VN (二维码自动识别)
文章总结内容很多，如有错误或者问题，请帮忙指正。转载请注明出处。

欢迎技术交流和问询：
willi: huangjian3098@hotmail.com
13005170555

原文地址：https://zhuanlan.zhihu.com/p/584419313