(1)目的
安全相关(控制)系统必须正确无误地执行安全功能。即使出现故障,安全相关(控制)系统的行为方式必须确保机器或工厂处于(或者进入)某种安全状态。
(2)确定必要的安全性能(安全完整性)
安全功能的要求,通过风险评估过程进行确定。参见章节“用于机器控制的安全相关部件。
标准13849-1规定了必要的性能等级PLr。参见章节“用于机器控制的安全相关部件”。
(3)控制器的安全相关部件的设计过程
和IEC 62061相比,标准ISO 13849-1中的安全类别也涉及安全相关系统(的安全功能)及其子系统。根据标准ISO 13849-1的要求,设计和实现安全相关控制系统时,同样的安全相关系统的结构设计原则也可以用作标准IEC 62061中所描述的相关部分。此时,以这种方式划分的各个子系统都必须达到安全功能所要求的性能等级。安全类别的相关要求同样适用于子系统彼此之间的连接。
标准ISO 13849-1中,还将性能等级PLr引入了设计阶段,将其作为与安全类别有关的故障概率的定量分析的指标。
图3-10中描述了用于设计控制器安全相关部件(SRP/CS)的迭代过程:
(4)根据标准ISO 13849-1进行设计
结构设计围绕着所要求的性能等级PLr进行。
ISO 13849-1中的设计方案基于事先专门定义的控制器安全相关部件的结构。
某个安全功能可能由一或多个安全相关控制器部件(SRP/CS)组成。
此外,安全功能也可能是诸如用于启动某个过程的双手控制装置等的操作功能。
典型的安全功能通常由以下安全相关部件组成:
1)输入(SRP/CSa);
2)逻辑/过程(SRP/CSb);
3)输出/能量传输单元(SRP/CSb);
注:安全相关部件可能包含一或多个组件;每个组件可以包括一或多个单元。
所连接的全部单元都包括在安全相关部件内。
确定了控制器的安全功能之后,必须确定控制器的安全相关部件。此外,还必须评估它们在风险降低过程中的作用(ISO 12100)。
(5)性能等级PL
对于标准ISO 13849,安全相关部件实现某个安全功能的能力可以通过性能等级的确定来描述。
对于选择用来完成某个安全功能的每个SRP/CS和(或)SRP/CS组合都必须进行PL评估。
确定SRP/CS的PL时,必须进行以下评估:
1)MTTFd(平均危险故障时间);
2)DC(诊断覆盖率);
3)CCF(共因故障);
4)结构;
5)安全功能在故障条件下的表现;
6)安全相关软件;
图3-10 用于设计控制器安全相关部件的迭代过程
7)系统性故障。
(6)各个通道的平均危险故障时间(MTTFd)
各个通道的MTTFd值的定义有三个级别(见表3-3)。对于每一个通道,必须单独地考虑该值(例如单个通道或者冗余系统中的每一个通道)。关于MTTFd,可以确定年数的最大值是100。
(7)诊断覆盖率(DC)
诊断覆盖率的值定义为四个级别(见表3-4)。评估诊断覆盖率时,大多数情况下,可以采用失效模式和后果分析(FMEA)程序或者类似程序。在这种情况下,必须考虑所有的相关故障和(或)失效模式,而且,还必须参照目标性能等级(PLr),检查用于完成相关安全功能的SRP/CS组合的PL值。标准ISO 13849-1附录E给出了一种简单的DC评估方法。
表3-3 平均危险故障时间(MTTFd)
表3-4 诊断覆盖率(DC)
类别的设计和实现
(1)类别B
为了实现类别B,控制器的安全相关部件必须符合以下要求,此外,还必须根据这些要求完成这些部件的结构设计、选择和组合使用。
1)满足基本安全原则;
2)可以在预期的操作要求下持续地工作。这些要求包括组件的开关容量或操作频率;
3)必须可以抵抗需要加工的材料和环境条件(例如油、清洁剂、盐雾等)产生的影响作用;
4)必须可以抵抗其他相关外部因素(包括机械震动、电磁干扰、供电中断或电源故障等)的影响作用。
对于类别B的系统,各个通道的平均危险故障时间(MTTFd)可以是从低至高。这类系统没有诊断覆盖率的要求(平均诊断覆盖率=无)。其结构通常是单通道的,由于与CCF无关,该安全类别不考虑CCF。类别B的系统可以达到的最高性能等级为PL=b。单通道设计意味着单个故障即可导致安全功能的丧失。
上述类别B的结构的示例:
2)L1:逻辑单元1(例如,安全继电器);
3)O1:执行器1(例如,接触器)。
结构特点:单通道设计(见图3-11)。
图3-11 类别B的结构示例
(2)类别1
为了实现类别1,必须满足类别B的全部要求。此外还必须满足以下要求:
控制器的安全相关部件必须采用经过现场验证的组件,此外还必须严格遵守经过现场验证的安全原则(见ISO 13849-2)。
在类别1的系统中,各个通道的MTTFd必须为高。
其可以实现的最高性能等级为PL=c。(www.daowen.com)
上述类别1的结构的示例:
1)I1:传感器1(例如行程开关);
2)L1:逻辑单元1(例如安全继电器);
3)O1:执行器1(例如接触器)。
结构特点:
1)单通道设计(见3-12);
2)采用经过现场验证的组件。
图3-12 类别1的结构示例
(3)类别2
为了实现类别2,必须满足类别B的全部要求;必须严格遵守经过现场验证的安全原则;此外还必须满足以下要求:
类别2系统的控制器的安全相关部件,必须通过机器的控制器在合适的间隔时间进行测试。对于安全功能的测试,机器的控制器必须在以下条件下完成:
1)机器起动期间;
2)各种危险状态出现之前,例如新的机器循环开始时,或者其他动作开始,等。
测试结果:
1)检测到某个故障时,必须产生合适的故障响应;
2)检测到某个故障时,运行必须被禁止。
无论什么情况下,故障响应都必须使机器进入某种安全状态。故障排除之后,机器才可以继续正常运行。若无法进入安全状态(例如触头出现粘接),则必须给出危险警告信息。
对于类别2的系统,各个通道的MTTFd为从低至高,具体视所要求的PLr而定。控制系统的安全相关部件的诊断覆盖率必须达到从低至平均水平。与些同时,还必须采取相应的CCF措施(见标准ISO 13849-1附录F)。
此外,测试本身不得导致任何其他危险。测试设备可以是控制系统的某个安全相关部件,也可以是单独实现测试功能的设备。
类别2的系统可以达到的最高性能等级为PL=d。
注:类别2的系统是单通道被测系统,标准ISO 13849-1中的简单流程对其进行了定义:出现危险性故障的情况下,只有在下一个安全功能要求出现之前进行故障检测测试,才能获得有效的(或者说,有意义的)故障检测结果。因此,要求的测试速度必须比安全功能的要求速度快100倍。
上述类别2的结构示例:
1)I1:传感器1(例如行程开关);
2)L1:逻辑单元1(例如安全继电器);
3)O1:执行器1(例如接触器);
4)TE:测试设备
结构特点:
1)单通道结构设计(见图3-13);
2)采用测试设备进行监控。
图3-13 类别2的结构示例
(4)类别3
为了实现类别3,必须满足类别B的全部要求;必须严格遵守经过现场验证的安全原则;此外还必须满足以下要求:
类别3的控制系统的安全相关部件所采用的设计必须可以确保单一故障不会导致安全功能的丧失。无论在什么情况下,必须在下一个安全功能要求执行时(或之前)完成单一故障的检测。
对于类别3的系统,各个冗余通道的MTTFd为从低至高,具体视所要求的PLr而定。控制系统的安全相关部件的诊断覆盖率必须达到从低至平均水平。与些同时,还必须采取相应的CCF措施(见标准ISO 13849-1附录F)。
上述类别3的结构的示例:
1)I1和I2:传感器1和2(例如两个带有强制断开触头的行程开关);
2)L1和L2:逻辑单元1和2(例如已经集成了两个微处理器的某种型号的安全继电器);
3)O1和O2:执行器1和2(例如两个带有强制断开触头的接触器)。
结构特点:
1)采用冗余结构设计(见图3-14);
2)传感器监控(同步输入监控);
3)使能回路(即安全输出回路)监控(监控和反馈回路的比较)。
图3-14 类别3的结构示例
(5)类别4
为了实现类别4,必须满足类别B的全部要求;必须严格遵守经过现场验证的安全原则;此外还必须满足以下要求:
类别4的控制系统的安全相关部件所采用的设计必须可以确保单一故障不会导致安全功能的丧失。必须在下一个安全功能要求执行时(或之前)完成单一故障的检测。如果无法检测某种故障,则这类故障的累积不得导致安全功能的丧失。
在类别4的系统中,各个冗余通道的MTTFd必须为高。控制系统的安全相关部件的诊断覆盖率必须为高。与些同时,还必须采取相应的CCF措施(见标准ISO 13849-1附录F)。
上述类别4的结构示例:
1)I1和I2:传感器1和2(例如两个带有强制断开触头的行程开关);
2)L1和L2:逻辑单元1和2(例如已经集成了两个微处理器的某种型号的安全继电器);
3)O1和O2:执行器1和2(例如两个带有强制断开触头的接触器)。
结构特点:
1)采用冗余结构设计(见图3-15);
2)传感器监控(同步输入监控);
3)使能回路(即安全输出回路)监控(监控和反馈回路的比较);
4)所有子系统都具备高诊断覆盖率。
图3-15 类别4的结构示例
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
