机器安全标准ISO 13849简介

在接下来的几个月里，我将介绍功能安全和机器人的概念，包括协作机器人（协作机器人）和mobots（移动机器人）。 但是，我在以前的安全问题博客中没有涉及ISO 13849，大多数机器人安全系统使用ISO 13849中的PL（性能等级）而不是IEC 61508或IEC 62061的SIL（安全完整性等级）来表示需要和实现的安全水平。

因此，在本博客中，我将介绍ISO 13849。这应该对工业功能安全人员有用，甚至是想要使用自主农业机械或移动机器人等东西的汽车功能安全人员。

ISO 13849 基于可追溯到 954 年代的旧标准 EN 1990。IEC 61508 FAQ 具有 ISO 13849-1 的良好简明历史。

图1 - 描述ISO 61508的IEC 13849常见问题解答快照

对我来说，EN 954 是一个应用级标准，用于使用激光扫描仪、安全继电器和传感器等组件构建系统。典型的机器安全功能是检查门或防护装置是打开还是关闭，并在机器打开时停止机器。为了安全，EN 954主要依赖于系统的架构，对于更高的安全级别，需要两个通道架构。

ISO 13849作为EN 954的继承者，以PL（性能水平）表示安全水平。实现的PL取决于可靠性（MTTF）、诊断覆盖率（DC）和类别（架构）的组合。稍后我将逐一讨论。我仍然认为有些人喜欢依赖类别（架构），而忘记了可以使用MTTF，DC和CAT的不同组合来实现所需的PL。不幸的是，仍然经常看到PL d CAT 3的要求限制了设计选项。

ISO 13849分为两部分，第2部分包含有关验证和确认的信息。

PL 和 SIL 之间的对应关系

IEC 61508 中达到的安全级别由 SIL 给出，ISO 13849 中达到的安全级别由 PL给出.PL c 和 SIL 2 每小时发生危险故障的概率范围相同。PL d 和 SIL 3 也匹配。PL b 和 PL c 跨越 SIL 1，而 PL a 低于 IEC 61508 涵盖的范围，ISO 13849 不包括 SIL 4，因为通常面临机器风险的人数有限。

图2 - PL和SIL之间的对应关系

下图显示了如何使用直流电为低 （2%） 和高 MTTFd 的 CAT 60 架构实现 PL d。也可以通过 CAT 3 和低 （60%） 或中 （90%） 的直流电以及中或高的 MTTFd 来实现。

图 3 - 图表显示如何结合 MTTFd、DC 和 CAT 以实现所需的 PL

如前所述，ISO 13849允许您权衡可靠性与DC与类别的事实在一些参考ISO 13849的标准中被忽略了，例如ISO 10218（机器人安全）和IEC 61496（人体存在检测），明确要求CAT 3或CAT 4。根据 ISO 13849，实现的安全性措施由 PL 给出，这可以说明，而无需 CAT 将实现该 PL 的架构选择权留给系统设计人员。一些混淆与ISO 13849在其范围内包括机械，气动和液压元件有关的事实，对于其中许多，实现的诊断覆盖范围和低可靠性意味着通常需要冗余架构（CAT 3或CAT 4）才能达到PL d及以上。将相同的逻辑应用于具有高可靠性和在短时间内运行广泛诊断能力的电子电路是错误的。

根据 ISO 13849 进行风险评估

与IEC 13849相比，ISO 61508是一个简化的标准。这种简化旨在使其能够在工厂车间轻松使用，但多年来ISO 13849的复杂性不断增加，我想知道在专家之外应用它是多么容易。一个仍然相对简单的领域是建议用于风险评估的风险图，以确定所需的PL。

图 4 - 符合 ISO 13849 的风险评估

使用此风险图，您必须首先确定可能的伤害是严重性为 1 还是 2。然后是F1或F2给出某人暴露的频率，最后是操作员足够灵活以避免危险的概率。沿着路径导致 PL 在 a 到 e 范围内。例如，S2+F2+P1 导致 PL d。

直流

与IEC 61508、IEC 62061和ISO 26262相比，ISO 13849仅考虑危险的故障。因此，直流实际上是检测到的危险故障的比例。对于将您带到安全状态的故障，没有可用的信用额度。因此，这是一个比 SFF（IEC 61508 和 IEC 62061）或单点故障指标 （ISO 26262） 更困难的指标，DC 为 90% 接近 SFF 为 95%（假设 50% 的故障是安全的，50% 是危险的）。否则，直流的刻度与IEC 61508等其他标准相匹配。

图5 - ISO 13849的诊断覆盖范围

类别

ISO 13849没有提到1或1oo2等的高频交易，而是使用类别来表示架构。

图 6 - ISO 13849-1：2015 中类别的定义

2 类架构是具有单独测试通道的单通道架构，用于实现诊断。有趣的是，根据ISO 13849，功能和测试通道之间可能存在CCF（常见原因故障），而在IEC 61508中，CCF仅在两个或多个功能通道之间引起关注。

图 7 - ISO 3-13849：1 中的第 2015 类架构

如上所示，CAT 3 是一种双通道架构，两个逻辑单元之间的虚线表示通过比较进行诊断，包括共享输出设备状态的数据回读。然而，ISO 6-2：1的子条款13849.1.2015确实指出：“指定的架构不能只被视为电路图，也可以视为逻辑图。对于类别3和4，这意味着并非所有部件都必须是物理冗余的，但有冗余方法可以确保故障不会导致安全功能的丧失。这意味着在一定程度上可以忽略图表，您应该专注于描述的文本。对我来说，文本的关键部分如下所示。

图8 - 类别3系统描述中的关键文本

这意味着根据ISO 13849被视为单容错的电路的某些部分不是IEC 61508或IEC 62061的单容错部分。ISO 13849 在考虑诊断的情况下具有单次容错要求，但 IEC 61508-2 7.4.4.1.1 a） 不允许在计算高频交易时考虑诊断。很容易看出双通道系统如何满足上述单容错要求。任一通道中的单个故障意味着另一个通道仍将执行安全功能。只有在“合理可行”的情况下，才没有绝对的要求检测到一个通道中的故障，因此故障的累积可能导致安全功能的丧失。这种故障的累积可能意味着两个通道在调用时都无法响应。值得记住的是，ISO 13849-1：2015 子条款 7.2 规定“应将具有共同原因的两个或多个独立故障视为”单个故障”。因此，ISO 13849-1：2015附录F对于确保采取足够的措施来防止此类故障非常重要。检测到所有危险故障的单通道系统也将满足ISO 13849的单一容错要求。对于这种单通道系统，如果诊断失败，然后是设计用于诊断的项目，则会导致安全功能丧失的故障累积。失败的顺序很重要，因为如果被监视的项目首先失败，诊断将检测到故障。

然而，检测这种故障累积是类别 4 架构的属性，而不是类别 3 的绝对要求，除非“合理可行”。类别 3 的故障检测间隔不像类别 2 那样指定，即使类别 3 也可以通过单个通道实现（如果诊断涵盖非冗余部分）。给出了两个选项。选项 1 是在下一个需求之前检测故障，我将其解释为类似于 CAT 2 要求，因此意味着诊断测试率为需求率的 100 倍。选项 2 是在出现需求时运行诊断。因此，例如在机器人应用中，这可能意味着当有人进入受保护区域时，诊断将作为存在算法的一部分运行，并且在检测到故障时仍有时间达到安全状态。

根据 ISO 3-13849：2 验证第 2012 类系统的要求如下所示。

图 9 - ISO 3 第 2 部分中第 13849 类的验证要求

类别 4 与类别 3 非常相似，只是现在需要防止故障累积。如果无法检测到故障，则必须进行分析，以确定该故障是否与其他故障相结合，从而导致安全功能的丧失。同样，双通道架构在这里应该会有所帮助，标准指出“在实践中，考虑两个故障的故障组合可能就足够了”。

有趣的是，该标准意味着高直流可以防止故障累积。对我来说，这只是部分正确。是的，如果检测到第一个故障是好的，但我认为真正的微妙之处在于安全或无效果故障的组合导致安全功能的丧失。但是，ISO 13849仅定义了危险故障，而没有定义安全或无影响故障。无论哪种方式，如果要实施单通道 CAT 4 系统，都意味着您可能需要对诊断进行诊断，以防止故障累积。

MTTFd

ISO 13849 中的可靠性由 MTTFd 变量给出。这代表危险故障的平均时间。假设故障率恒定 MTTFd = 1/λD其中 lD是危险的故障率。

图10 - 测量MTTFd

系统要求

ISO 13849 未涵盖 IEC 61508 或 ISO 26262 中的详细系统故障。例如，只有几页的软件要求，对于PL e，您被告知参考IEC 61508。缺乏细节是有道理的，因为对于机械来说，实际上有两个标准。IEC 62061是IEC 61508的机械解释，使用SIL和HFT的术语，任何研究过IEC 61508的人都会熟悉这些术语。该图表指出，对于最容易发生系统故障的更复杂的系统，应使用IEC 62061甚至61508。尽管如此，机械人员似乎像瘟疫一样避免使用IEC 61508，但下面的图表向我表明，它应该更频繁地用于机器人，协作机器人和mobot的安全。

图 11 - IEC 62061 关于使用哪种标准的指南

审核编辑：郭婷