分组安全标准 / ISO13849-1 | 中国
ISO13849-1是最重要的安全组标准(b类标准)之一,是安全方面的国际标准,对控制系统的安全相关部件提出了要求。本标准规定了系统每小时发生危险故障的概率(性能水平),这是控制系统用作降低风险措施时所要求的。
本标准不仅适用于电气/电子系统,也适用于油/气动系统。因此,它被机械制造商、机器用户和服务提供商以及与健康和安全有关的组织广泛使用,并被视为控制系统安全相关部分设计和评估的重要标准。
提高机器安全的程序从按照ISO12100进行风险评估开始,评估结果然后用于通过称为三步法的风险降低过程,该过程包括“固有安全设计措施”,“保护和补充保护措施”,以及提供“使用信息”。如果在此过程中使用控制系统来降低风险,则本标准适用于控制系统中与安全相关部分的设计和验证(见图1)。
由于本标准ISO13849-1仅涵盖控制系统的安全相关部分,其他防护措施,包括防护装置的设计和安装,必须在其他标准的基础上进行设计。应当指出的是,本标准不能单独涵盖降低风险的所有方面。
2. 控制系统的安全相关部分是什么?
机器的控制系统可分为“安全相关部件”和“非安全相关部件”。
●“控制系统中与安全相关的部分”定义为“控制系统中响应与安全相关的输入信号并产生与安全相关的输出信号的部分”。例如,在图2和图3所示的工业机器人系统中,控制系统的安全相关部分如下:
▪与安全相关的输入信号部分,传递有人在外面守卫,门被关闭,并由联锁开关锁定
▪i传送的安全相关输入信号部分,急停开关未按下(没有问题)
▪安全相关逻辑部分,在安全继电器模块(安全控制器)中确认上述输入信号和安全状态,并确定机器人可以被允许启动
▪安全相关输出信号部分,根据安全相关逻辑部分的判断,通过开/关安全接触器启动/停止机器人
●“非安全相关部件”是控制机器人手臂运动速度和定位等的部件,只有在确认安全相关部件可以正常启动机器人后,才能进行操作。
标准(ISO13849-1)规定了与控制系统的“安全相关部件”相关的事项(见图3)。
控制系统中与安全相关的部分也称为SRP/CS。SRP/CS是“控制系统中与安全相关的部分”的缩写,不仅用于指控制系统中与安全相关的部分,还用于单独指输入、逻辑或输出(参见图4)。
3. 性能水平(PL)是什么?
性能级别定义为“用于指定控制系统安全相关部件(SRP/CS)在可预见条件下执行安全功能(*)的能力的离散级别”,并根据“单位时间内危险故障的平均概率”进行分类,表示为PFHD。
如表1所示,从PL= a到PL= e分为5个级别,其中PL= e表示失败概率最低。例如,PL = a表明,当机器运行一小时时,发生危险故障的概率为10万分之一或更高,小于1万分之一。PL是一种安全功能的指示器,通过控制系统在机器中实现风险降低。
*安全功能:机器的一项功能,故障可能导致风险立即增加(ISO13849-1)
什么是性能水平(PL)?
性能水平(PL) | 单位时间内危险失效的平均概率,PFHD (1/h) |
a | ≥10-5 和 <10-4 |
b | ≥3 × 10-6 和 <10-5 |
c | ≥10-6 和 <3 × 10-6 |
d | ≥10-7 和 <10-6 |
e | ≥10-8 和 <10-7 |
性能级别(PL)基于类别(Cat)建立在SRP/CS的电路结构上,但它也考虑了显示所使用设备可靠性的其他因素,即MTTFD(危险故障的平均时间),DC(诊断覆盖率),这是SRP/CS检测到的系统中危险故障的比率,CCF(共因故障),它表示由一个故障原因导致的多个独立故障;因此,它是由四个因素决定的。由此,PL可以描述为图5。
4. ISO13849-1中控制系统安全相关部件(SRP/CS)的设计过程
在进行机器安全时,风险评估和风险降低是按照ISO12100进行的。
当在风险降低过程中使用控制系统时,通过应用ISO13849-1并遵循图6中的过程来评估其有效性。
下一节将详细讨论该过程。
5. 绩效水平评估程序
图7显示了确定使用控制系统降低风险的性能级别(PL)的方法。
5.1. 确定所需性能水平(PLr)
使用如图8所示的风险图法估算PLr *。
所需性能水平(PLr)
“为实现每项安全功能所需的风险降低而采用的性能水平”
ISO13849-1仅处理SRP/CS设计的一般原则,因此基于控制系统以外的保护措施(包括警卫)根据ISO12100正确实施的假设。在此基础上,风险评估的起点假设在一个要构建的控制系统中发生了危险的故障。例如,考虑这样一个情况,打开警卫的门并不能阻止里面的危险。在这种情况下,
·对于S,如果操作员或任何其他人员因危险故障而受伤,请选择“S1(轻伤)”或“S2(重伤)”。
·对于F,根据S遭受伤害的频率在“罕见”和“频繁”之间进行选择。
·对于P,就避免危险的可能性在“可能”或“不可能”之间选择。
因此,从水平a到e中选择一个代表所需的性能水平(PLr)。如图6所示,PLr = a意味着所要构建的控制电路只需要承担低水平的风险降低。同时,当选择PLr = e时,需要构建的控制电路承担更高程度的风险降低。以这种方式确定的PLr并不是要与实际计算的PLr结果进行比较,以确定它是否适合SRP/CS需要解决的危害风险。
5.2. 类别的确定
该类别的定义是“根据控制系统的安全相关部件的抗故障性(故障电阻)及其在故障条件下的后续行为进行分类,并通过部件的结构安排,故障检测和/或可靠性来实现。”也就是说,该类别是用于确定控制系统安全相关部分的电路结构的安全功能要求。
该类别被指定为“指定的体系结构”,并将在后面讨论,分为五种类型:类别B、1、2、3和4。
图9显示了实现的PL与Category、DCavg和MTTFD之间的关系。
例如,当设计一个PL = c的系统时,如图10所示,可以为结构(体系结构)选择类别1-3中的一个。
5.2.1. 每个类别的要求
1) 类别B和类别1
类别B和类别1的指定体系结构如图11所示。这两个类别具有相同的架构图。这两种方法都没有故障诊断功能,信号从I(输入)单向传递到O(输出)。注意,类别1的MTTFD需要比类别b的MTTFD长。这意味着类别1发生危险故障和失去安全功能的概率较低。由于B类和1类不具有故障诊断功能,因此在计算PL时不需要考虑DCavg(诊断覆盖率)和CCF(共因故障)。
2) 类别2
类别2的指定体系结构如图12所示。
该体系结构具有故障诊断功能作为附加功能。表示为TE (Test Equipment)。本测试设备的输出用OTE (output of TE)表示。TE诊断I、L、O,任何故障输出到TE。在某些情况下,TE包含在L中。
由于类别2具有故障诊断功能,因此需要考虑DCavg(诊断覆盖率)和CCF(共因故障)。
3) 类别3
类别3的指定体系结构如图13所示。
该体系结构具有冗余信号路径,通过L1和L2(逻辑)的交叉监控,输入信号相互监控信号差异(故障)。L1和L2(逻辑)监视O1和O2(输出),它们通过将输出信号与输出条件进行比较来执行反向检查,并进行自我诊断。
类别3的指定体系结构如图13所示。
4) 类别4
类别4的指定体系结构如图14所示。
该架构的结构与类别3的结构相同,但类别4中C(交叉监控)和m(监控)的自诊断功能的性能更高。为了突出这一点,使用实线代替虚线。
5.3. MTTFD的计算
MTTFD代表危险失效的平均时间,表示相关设备或控制系统的安全相关部分发生危险失效的平均时间预期,并以年数表示。从系统可靠性的角度考虑,需要这个参数。
为了确定PL,计算整个系统的MTTFD。首先,确定每个相关组件的MTTFD,然后确定每个通道的MTTFD,在此基础上计算整个系统的MTTFD(在有多个通道的系统中)。每个通道的MTTFD值分为三个,各有上限和下限,如表3所示。
如果信道MTTFD的计算结果小于三年,则不符合MTTFD范围的要求。允许每个组件的MTTFD值超过100年。同时,即使计算结果超过100年,每个通道的MTTFD值也以100年为上限。然而,由于其电路结构(冗余)和高直流值,第4类结构允许每个通道的最大MTTFD为2500年。
5.3.1. 每个设备的MTTFD
每个组件的MTTFD值按以下优先顺序确定:第一优先考虑制造商提供的MTTFD值,第二优先考虑本标准附件C或D中提供的值,第三优先考虑附件C中未提供值的MTTFD = 10年。
5.3.1.1. 从组件的B10D计算MTTFD
并非所有与安全相关的部件都具有MTTFD值。对于具有机械触点(即接触器、联锁开关)等元件,其寿命受操作频率(次数)的影响,则提供B10D(注1)值代替MTTFD值。元件的MTTFD值是在此B10D的基础上通过考虑称为nop的参数(注2)(见式(1)和(2))来计算的。
注1 B10D:循环次数(操作次数),直到10%的组件发生危险故障
注2 nop:年平均运行周期数(运行次数),计算时需提供以下信息:
Hop:是平均操作,以小时为单位
是平均操作,以每年的天数为单位
T周期:为元件连续两个周期开始之间的平均运行时间。单位为秒/周期
控制系统安全部件的设计者估计系统及其部件的运行频率(次数),在此基础上计算nop并考虑B10D来确定MTTFD。与MTTFD的情况一样,如果制造商提供B10D值,则优先使用该值。
5.3.2. 计算整个通道MTTFD的方法:零件计数法
每个设备的MTTFD值确定后,用于计算每个通道的MTTFD(见(3))。
例如,MTTFD1 = 30年,MTTFD2 = 30年,MTTFD3 = 30年,则1/ MTTFD = 1/30+1/30+1/30,表示该通道的MTTFD为10年。
5.3.3 不同通道MTTFD不同情况下MTTFD的确定方法
对于2通道结构,如第3类或第4类,整体MTTFD是使用以下其中一种方法计算的:
▪ 为了假设最坏的情况,将具有较低值的通道的MTTFD值作为一个整体使用
▪ 用式(4)将其作为一个整体进行计算。
采用式(4)时,若MTTFD1 = 3年,MTTFD2 = 100年,则MTTFD整体为66年。
这与假设两个通道的MTTFD均为66年是一样的。
5.4. DC(诊断覆盖率)和DCavg的计算
为了估计性能水平,需要计算整个系统的DCavg(平均诊断覆盖率)。在计算中,需要确定每个组件的DC(诊断覆盖率)。DC(诊断覆盖率)是可以检测到的危险故障的级别,以百分比表示。具体来说,它表示为检测到的危险故障故障率(λDD)与总危险故障故障率(λtotal)之比(见(5))。
DC(诊断范围)不考虑组件或系统的安全故障。它只考虑危险的失败。DC分为四类(见表4)。
逻辑设备(如安全控制器)和电气/电子设备(如安全光幕)具有嵌入式自诊断功能,但机械部件,包括联锁开关和紧急停止开关,通常不具有自诊断功能。然而,使与逻辑设备的连接冗余并监测信号的差异,例如,逻辑部分(例如,安全控制器)将为整个控制系统的安全相关部分实现高直流。
在为每个组件选择直流电源时,从ISO13849-1附录E中选择一个直流电源,该直流电源适用于输入设备、逻辑设备和输出设备所描述的诊断技术。
确定组件DC后,用该值计算整个系统的DCavg(见式(6))。
请注意,对于未检测到故障的组件(未诊断的部件),DC = 0。
5.5. CCF(共因故障)估计
CCF(共因故障)被定义为“由单个事件导致的不同项目的故障,其中这些故障不是彼此的结果。”这意味着由单个原因导致的故障的后果不会触发导致多个故障的下一个故障,而是单个原因导致多个独立的故障。
例如,它是指由于过电压/环境温度异常而导致的相互独立的电路(多个)部分的故障。CCF是一个指示器,显示系统中采取了哪些措施来响应可能导致此类故障的事件。
如果采取了某些措施,则认为满足了CCF的要求,通过对ISO13849-1附件F表F.1(见表5)中提供的多个问题回答“是”或“否”,获得至少65分(满分100分)来证明这一点。
请注意,对于表5所示的CCF措施的每个项目,部分响应将不会获得部分积分,但对于适用的项目将获得0(零)。
一般来说,这些问题由设计控制系统安全相关部件的人员来回答。
5.6. 绩效水平评估(PL)
将控制系统安全相关部分所需的PLr与系统的PL进行比较,根据实际设计电路的类别、MTTFD、DCavg、CCF的评估结果,根据ISO13849-1附录K表K.1进行计算,以确认PL水平等于或高于PLr水平。如果确认PLr≤PL(即危险失效的平均概率相等或更小),则认为降低风险的目标已经实现。
6. Examples of performance level calculations according to ISO13849-1: 2015
在紧急停止开关+安全继电器模块+安全接触器的情况下
Examples of products of safety-related parts of a control system is shown in Figure 15, and the circuit diagram in Figure 16.
1. 行动顺序和安全原则
1) 按下急停开关
安全继电器模块输出为OFF,释放接触器(K3、K4)的励磁,使接触器主触点(无触点)断开,电机停止(危险)。
2) 急停开关保持按下位置(闭锁功能)
接触器的主触点保持OFF状态,从而防止电机意外启动。
3) 复位急停开关
复位动作本身不会启动电机。
4) 按下启动开关
马达启动了。
2. 安全原则和条件
(1) 使用符合IEC60947-5-5和IEC60947-5-1(附件K)的急停开关
(2) 使用符合ISO13849-1中PL = e和Category 4规定的安全继电器模块。
(3) 使用符合IEC60947-1的接触器(带镜像触点),两个接触器单独排列。
(4) 将接触器的镜像触点(NC触点)接至安全继电器模块的回检电路。
3. 系统运行状况
(1) 运行小时/天及频率
▪ 年平均运营天数:365天。
▪ 每天平均工作时间:24小时。
▪ 紧急停机平均运行频率:1次/天(t = 86400 s/循环)。
(2) B10D、DC等为元器件
▪ 急停开关
B10D(各NC触点):100,000次循环(根据附件C,表C.1)
DC: 99%(根据附件E表E.1)
▪ 接触器
B10D: 2,000,000个周期(按附件C,表C.1)
DC: 99%(根据附件E表E.1)
▪ 安全继电器模块
MTTFD: 243年(厂家提供的值)
DC: 99%(厂家提供)
4. 框图
框图用于表示,例如,SRP/CS中各个部分之间的逻辑连接(这是基于可靠性框图的思想)。框图可以表示为图17。
如图所示,此图与Category 4架构相同(图18)。
注意本电路对急停开关的最大操作次数进行了限制,并采用ISO13849-2: 2012表D.8中规定的机械方面的故障排除。
5. 计算结果、PL、单位时间内发生危险故障的概率
表6左侧为急停开关、安全继电器模块、安全接触器的MTTFD、DC等参数,右侧为系统的MTTFD↓、类别、DCavg等参数。
7. Examples of performance level calculations according to ISO/TR 23849
在ISO13849-1中,对系统的每个通道进行MTTFD的计算,然后计算DCavg和其他参数。同时,ISO/TR23849采用将整个系统划分为子系统的方法,计算每个子系统的PL(和PFHD),并将各自的值相加,确定整体PL和PFHD。下面描述的是基于ISO/TR23849的计算示例。
限位开关情况下× 2个单元(NC触点+ NO触点)+一个安全继电器模块+安全接触器(2个)
电路图见图19。
1. 行动顺序和安全原则
1) 打开活动防护罩。
安全继电器模块输出为OFF,释放接触器(K3、K4)的励磁,使接触器主触点(无触点)断开,电机停止(危险)。
2) 保持活动防护罩打开。
接触器的主触点保持OFF状态,从而防止电机意外启动。
3) 关闭活动防护罩。
仅关闭活动护罩不会启动电机。
4) 按下启动开关
马达启动了。
2. 安全原则和条件
(1) 位置开关S1为带直开机构NC触点的限位开关,符合IEC60947-5-1附录K的要求。
(2) 位置开关S2采用无触点限位开关。
(3) 使用符合ISO13849-1中PL = e和Category 4规定的安全继电器模块。
(4) 对于K3和K4,使用符合IEC60947-1的产品(带镜像触点),并单独放置两个单元。
(5) 将接触器的镜像触点(NC触点)接至安全继电器模块的回检电路。
3. 系统运行状况
(1) 运行小时/天及频率
▪ 年平均运营天数:365天。
▪· 每天平均工作时间:24小时。
▪ ·活动防护罩启闭频率:每15分钟一次(t = 900秒/周期)
(2) 元件采用B10D、DC等方式
▪· S1限位开关B10D: 1,000,000循环(制造商提供的值),DC: 99%(附件E,表E.1)
▪ S2限位开关B10D: 500,000循环(制造商提供的值),DC: 99%(附件E,表E.1)
▪· K3接触器B10D: 2,000,000次循环(制造商提供的值),DC: 99%(附件E,表E.1)
▪· K4接触器B10D: 2,000,000次循环(制造商提供的值),DC: 99%(附件E,表E.1)
4. 框图
如图20所示,框图是通过将系统划分为子系统来表示的:输入、逻辑和输出。
由于ISO/TR23849允许集成具有相同结构的子系统,因此子系统的数量可以减少到两个,如图21所示。子系统1分为通道1和通道2,分别计算各自的参数如MTTFD、DCavg,而PL (PFHD)由附件K确定,最终加入到K1中提供的PL (PFHD)中。
5. 计算结果、PL、单位时间内发生危险故障的概率
表7中,限位开关、安全继电器模块、安全接触器的MTTFD、DC等参数列在左侧,各分系统PFHD及PFHD、PL整体列在右侧,详见附件K。
(参考)
1. 在SRP/CS结合实现整体PL的情况下的PL评估方法
当控制系统(SRP/CS)的多个安全相关部分(每个部分都有自己的PL)串联在一起时,如图22所示,使用以下方法确定总体PL。
方法1)
单个SRP/CSn串联连接的系统的总体PFHD,如图23所示,可以通过将各自的PFHDn相加得到。
方法2)
在SRP/CSn的PFHDn未知的情况下,有一种简化的方法,使用表9来确定它。
需要遵循以下步骤:
1) 确定整个系统中PL最低的SRP/CS,并表示为“PLlow”。
2) 识别PLlow的编号(N),表示为“Nlow”
3) 根据表8确定总体PL。
例如,图24中所示系统的PL确定如下
在这个例子中,。PLlow是PL=c的SRP/CS部分。PLlow的个数为2 (Nlow = 2)。
从表8中,确定总体PL为PL = c。
本系统有1类或2类部件,因此如果发生单一故障,可能会失去其安全功能。
在这个例子中,。PLlow是PL=c的SRP/CS部分。PLlow的个数为2 (Nlow = 2)。
从表8中,确定总体PL为PL = c。
本系统有1类或2类部件,因此如果发生单一故障,可能会失去其安全功能。
2. 排除故障和故障
1. 故障和失败
在本标准中,术语fault和failure的定义如下:
▪ 故障
它指的是设备或系统的“状态”,其特征是无法执行所需的功能。
在本标准中,它主要是指随机的硬件故障。
▪ 失败
它指的是设备或系统执行所需功能的能力的终止。故障发生后,设备或系统处于故障状态。
需要满足特定PL要求的SRP/CS来验证对故障的抵抗力。在这一核查中,需要考虑到以下几点:
▪ 单故障
如果某个部件(部件)发生故障,导致另一个部件失效,则第一个和所有后续故障视为单个故障。
▪ CCF(共因失效)评估
两个或多个具有共同原因的单独故障需要被视为单个故障。
请注意,由不同原因引起的两个或多个故障的并发可能被认为几乎不可能,因此不需要考虑
2. 故障排除
有关故障排除的信息,请参见ISO13849-2。
例如,ISO13849-2表D. 8规定,如果触点在位置开关和紧急停止开关等项目中具有符合IEC60947-5-1附件K的直接开启机构(NC触点),则可以消除触点因焊接而卡合的故障可能性。
3. Type-C标准要求的性能等级(PL)
对于属于c类标准范围的机器,c类标准的规定优先于其他标准的规定。如果标准规定了与安全相关系统的PL或类别的要求,则优先考虑该PL或类别。
由于部分c类标准允许根据风险评估结果确定PLr,请参考相关标准。
4. PL和SIL之间的关系
ISO 13849-1 999版中的类别和IEC 61508中的安全完整性等级(SIL)*不能相互关联。然而,在最新的ISO13849-1中,它开始使用性能等级(PL)根据危险失效的平均概率来评估安全功能,将PL与安全完整性等级(SIL)联系起来已经成为可能(见表2)。
注意,在SIL中不存在PL = a的分类级别。此外,虽然SIL有1到4的级别,但SIL4用于化工厂和核能发电/铁路等领域的主要风险,因此被解释为不属于机器安全领域应用范围的级别。因此,SIL3与PL = e相对应,PL = e表示危险故障的最低概率。SIL中失败的概率见表9。
表9所示。性能级别与SIL的比较
性能水平(PL) | 安全完整性等级(SIL)频繁操作要求或连续模式 |
a | - |
b | 1 |
c | 1 |
d | 2 |
e | 3 |
*安全完整性等级(SIL) SIL是功能安全标准(IEC61508)中规定的安全等级指标,用于确保使用可编程控制器或软件的工业机械,化工厂和铁路系统的安全。从SIL1到SIL4分为四个等级,有低需求运行模式和高需求运行模式(连续运行模式)。表10显示了高需求操作模式(连续操作模式)的SIL类别,可以与PL联系起来参考。
表10 SIL和PFHD值限值
Safety integ安全完整性等级(SIL) | 频繁的操作要求或连续模式(每小时危险故障的平均概率,PFHD) |
1 | ≥ 10-6 和 < 10-5 |
2 | ≥ 10-7 和 < 10-6 |
3 | ≥ 10-8 和 < 10-7 |
4 | ≥ 10-9 和 < 10-8 |
5. 类别到性能级别(最新版本和第一版之间的比较)
1) 风险评估和第一版iso13849 - 1:19 99 (EN954-1)规定的类别
图25显示了第1版中指定的安全相关部件的风险评估和类别确定过程
在风险估计中,使用风险图法,在“危害严重程度(S)”、“暴露频率(F)”和“避免危害可能性(P)”这两个项目之间进行选择,进行五级分类。
然而,在S1(轻度)的情况下,无论暴露频率和避免伤害的可能性如何,都选择第1类。
对于S2 (Severe)、F2 (frequency)和P2 (Low),选择“Category 4”。对于大多数其他情况,选择两类中的一类。
此外,旧版本使用表11所示的解释性语句提供了每个类别的性能要求(安全功能对故障的抵抗力),从B到4的类别本身表示安全级别。风险等级为B < 1 < 2 < 3,其中4级风险最高。
B类和1类没有自诊断功能。如果发生单一故障,则需要3类和4类来维持安全功能。
