GB16855机械安全控制系统：设计通则解读ISO13849-1(CH)

今后的安全设计ISO13849-1:2015实践讲座公司内部培训资料目录1P2１．遵循国际标准的安全设计・风险评价的步骤・风险减小的步骤２．新安全设计所要求的事项・ISO13849-1修订的背景・修订的要点・PL的定义・使用PL的好处・PL的算法・PL的评价・类别（Category）・MTTFd・DCavg・CCFP3目录2３．在实际案例中评价性能等级的步骤・计算实际的PL值・方块（BLOCK）图展开的要点・故障除外（Fault

Exclusion）・通道的对称化・使用指定结构计算（PL计算基础篇）・使用子系统计算（PL计算应用篇）・PL与SIL的关系・可编程设备的注意事项・对复合系统的应用４．欧姆龙安全事业的介绍P4１．遵循国际标准的安全设计P5风险评价风险评价的步骤开始机械限制的确定危险识别风险评估风险评定风险是否充分减小?风险减小风险分析YES结束风险评价NOP6ISO

12100机械限制的确定机械限制的确定机械的设计和制造必须保证其在合理设想的所有状况下的使用都是安全的。「所有状况」需考虑的内容１．机械生命周期的各个阶段制造、改造、搬运、流通、设置、调整、试运行、通常使用、分解、废弃２．目的用途包含可预见的合理误使用、性能不良３．操作员身体能力视觉、听觉等五感的状态，体型、年龄、性别、习惯用手等４．机械从业人员的训练、经验程度熟练程度、经验年数等５．在可预见的合理范围内可能对第三者造成的危险零部件补充、参观者等P7风险评价的步骤开始机械限制的确定危险识别风险评估风险评定风险是否充分减小?风险减小风险分析YES结束风险评价NOP8ISO

12100危险识别①认定机械使用的所有状况（合理预想下的可能状态）下的危险源及危险状态。危险源（HAZARD）的具体举例１．物理类的危险源机械的电气的高温噪音放射线２．材料/物质上的危险源有害物质・刺激・风尘・火灾・爆炸・生物等３．人体工程学上的危险源不自然的姿势・精神上超负荷・人为举动等４．组合式危险源几个微小的危险源相互影响形成了较显着的危险源压伤夹伤接触带电部烫伤噪音放射线P9危险识别②危险源(HAZARD)所包含的内容１．控制系统的故障/错乱２．动力源的故障３．外部对电气设备的影响（电磁干扰、雷击等）４．软件错误５．控制电路的故障确保安全的前提人会出错机器会坏不依赖于人的经验也能确保安全现场调试和保养时也要确保安全P10风险评价的步骤P11开始机械の使用状况范囲の决定危险识别风险评估风险评定风险是否充分减小?风险减小风险分析YES结束风险评价NOISO12100机械限制的确定风险评估受伤程度：ＳＳ１：轻伤Ｓ２：重伤（后遗症、死亡等）遭受危险的频度：ＦＦ１：偶发或短时间Ｆ２：频发或长时间避免危险的可能性：ＰＰ１：可能Ｐ２：不可能P12ISO12100风险评估P13风险评估举例受伤的程度点例致命伤·重伤10死亡、后遗症、骨折（长期住院）轻伤3无需休息磕碰1磕碰的伤害受伤的可能性点例肯定4几乎无法逃避有一定的可能性2可以逃避，但也有逃避不了的时候低1很有可能逃避接近危险源的频度点例频繁4数次/天有时21～2次/天很少1数次/周风险和风险评分点V15～18IV10～12III7～9II4～6I3以下风险评价的步骤P14开始机械の使用状况范囲の决定危险识别风险评估风险评定风险是否充分减小?风险减小风险分析YES结束风险评价NOISO12100机械限制的确定风险评定P15风险和风险评分点评定对应V15～18无法接受最优先采取安全对策或对操作进行调整IV10～12重大的问题1个月以内采取安全对策III7～9中度的问题2～3个月以内采取安全对策II4～6轻度的问题不需要安全对策I3以下轻度以下不需要安全对策风险评定举例风险评价的步骤P16开始机械の使用状况范囲の决定危险识别风险评估风险评定风险是否充分减小?风险减小风险分析YES结束风险评价NOISO12100机械限制的确定遵循ISO12100的设计步骤P17ISO

12100ISO

12100机械限制的确定危险识别风险评估风险评定※在执行本质安全设计及安全防护、补充保护措施时，如有其它的危险发生有必要再次确定危险源及危险状态。风险是否充分减小风险是否充分减小风险是否充分减小本质安全设计措施安全防护和补充保护措施公开残留的风险信息制作使用信息是是是否否否风险评价结束安全对策结束风险评价安全对策（风险减小）３步法P18风险减小的步骤＜ ３步法 ＞Step１ ①Step２ ②＋③Step３ ④依次应用4阶段的机械安全化措施P19・・・依次进行。按指南被分为3类的安全对策，其功能面分为以下4部分：① 本质安全设计措施② 安全防护③ 补充保护措施④ 公开残留的风险信息上述4项对策按序号由小至大（安全性高）依次应用非常重要。本质安全设计措施安全防护补充防护措施公开残留的风险信息通过本质安全设计来减小风险通过安全防护来减小风险通过补充保护措施来减小风险通过公开残留的风险信息来减小风险大小优先顺序设计者需要告知使用者的相关风险信息设计时的安全对策步骤Ⅰ例）缩小间隙统一配线颜色Ⅱ例）罩子／防护装置光电式安全传感器Ⅲ例）紧急停止装置避难方法保养的容易程度Ⅳ例）说明书（式样、使用条件）危险源信息（警告等级等）保护器具、教育训练信息P20具体的安全对策P21例：组装机器人如何更安全･･･本质上的安全＝没有围栏/罩子也不会造成大伤害的机器本质上的安全＝没有围栏/罩子也不会造成大伤害的机器。。●功率变小●降低速度●尖锐的部分磨圆●操作臂的材料由金属变成树脂●减轻操作臂的重量●减小运作范围通过本质安全设计来减小风险通过安全防护来减小风险通过补充保护措施来减小风险通过公开残留的风险信息来减小风险大小优先顺序设计者需要告知使用者的相关风险信息设计时的安全对策步骤P22Ⅰ例）缩小间隙统一配线颜色Ⅱ例）罩子／防护装置光电式安全传感器Ⅲ例）紧急停止装置避难方法保养的容易程度Ⅳ例）说明书（式样、使用条件）危险源信息（警告等级等）保护器具、教育训练信息安全防护１：固定式防护装置P23固定式防护装置安全防护２：可动式防护装置P24可动式防护装置保证门打开时机器是保持停止的状态通过控制实现的安全防护联锁保证机器没有完全停止时门不能被打开通过本质安全设计来减小风险通过安全防护来减小风险通过补充保护措施来减小风险通过公开残留的风险信息来减小风险大小优先顺序设计者需要告知使用者的相关风险信息设计时的安全对策步骤P25Ⅰ例）缩小间隙统一配线颜色Ⅱ例）罩子／防护装置光电式安全传感器Ⅲ例）紧急停止装置避难方法保养的容易程度Ⅳ例）说明书（式样、使用条件）危险源信息（警告等级等）保护器具、教育训练信息通过补充保护措施减小风险P26紧急停止装置等急停开关Ａ１６５Ｅ型（φ１６）Ａ２２Ｅ型（φ２２）是紧急避难措施，非预防措施。所以虽重要，但按顺序排在后面。用于逃避及救助的措施用于安全地接近的措施通过本质安全设计来减小风险通过安全防护来减小风险通过补充保护措施来减小风险通过公开残留的风险信息来减小风险大小优先顺序设计时的安全对策步骤P27Ⅰ例）缩小间隙统一配线颜色Ⅱ例）罩子／防护装置光电式安全传感器Ⅲ例）紧急停止装置避难方法保养的容易程度Ⅳ例）说明书（式样、使用条件）危险源信息（警告等级等）保护器具、教育训练信息通过公开残留风险信息减小危险P28危险识别触电电气危险IEC61310,ISO

3864强制记号戴护目镜IEC

61310危险识别卷入危险IEC

61310禁止记号禁烟ANSI

Z535.3警告标贴发出警告（灯、声音）ISO13849-1:2015适用范围P29通过本质安全设计来减小风险通过安全防护来减小风险通过补充保护措施来减小风险通过公开残留的风险信息来减小风险大小优先顺序Ⅰ例）缩小间隙统一配线颜色Ⅱ例）罩子／防护装置光电式安全传感器Ⅲ例）紧急停止装置避难方法保养的容易程度Ⅳ例）说明书（式样、使用条件）危险源信息（警告等级等）保护器具、教育训练信息以控制实现安全防护的适用范围・联锁装置・光电式安全传感器、急停等P30２．新安全设计要求的事项P31ＩＳＯ１３８４９－１修订的背景控风险减小安全功能的操作要求（Demand）控制系统通常的非安全相关 信号部分PLC等制判断功能 动力控制功能接触器等安全检出功能

安全确认信号安全控制器等门开关、光幕等控制系统的安全相关部分一般控制上的动作条件ISO13849-1:2015适用范围P32适用范围是控制系统的安全相关部分1(ISO13849-1:1999)NE954-1C6206指定结构安全控制系统的构成要素IEISO13849-1

2015定义类别B到4类别B到4＋可靠性SIL的定义(基于IEC61508)软件编入软件应用软件ISO13849-1修订的背景P33电气类组件（开关、继电器等）电子组件传感器（光幕）P34修订点风险评估方法的变化P35B123

4S1S2F1F2P1P2P1P2高风险低ISO13849-1:1999

(EN954-1)ISO13849-1:

2006在风险评价的阶段就必须深入了解安全控制系统的结构。并且风险定量化的结果不易理解。将风险定量化时,定量方法变为均等且定义一致，较容易理解。B1234B1234高低确定论的定义安全控制系统的构造（类别）定义安全控制系统时，除了过去的安全类别（Category）外，新增加了可靠性的观点（概率论）。特别是导入平均危险失效时间（MTTFd）这样的概念后，评价将更能符合实际动作的条件。安全控制性能的定义变化P36只区分类别，无法评估时间上的变化要素。ISO13849-1:1999

(EN954-1)ISO13849-1:

2006确定论

+概率论的定义构造（沿袭类别）性能

低＋可靠性高P37何谓ＰＬ高低高低B1234abcde新风险评估方法采用“a”到“e”5阶段来评价系统安全。新方法可将风险水准和与其相对应的安全控制系统的性能等级置于相同的基准中评价。・安全控制要求性能等级称为PLr（RequiredPerformance

Level)・安全控制性能评价等级称为PL(Performance

Level)共同的评价标准P38PLｒPL安全控制系统的性能等级（PL）必须大于或等于要求性能等级（PLr）≦B1234PLｒPLP39开始风险是否已足够减小？降低风险的方案1.

本质安全设计2.

安全防护、补充的防护措施是结束否风险减小风险分析机械限制的确定ISO12100危险识别ISO121003.

公开残留的风险信息ISO12100风险评估ISO12100基于控制的安全防护装置较多。・联锁装置P40・光电式安全传感器等风险评价的步骤风险减小的迭代过程P41开始风险是否已足够减小？是结束机械限制的确定ISO12100危险识别ISO12100求PLｒ值设计安全控制部分评价PL(类别,MTTFd,DCavg,

CCF)PL≧PLr决定对策否风险减小风险分析是否风险评估ISO12100若是基于控制的对策时ISO13849-1P42使用ＰＬ的优点1．较容易向机械设计者（设备商）表达被要求的安全相关部分的性能等级（PLr）2．提高了轻伤部分风险的定量化精度对于用户的优点P43高风险

低abcde变化：将风险定量化时，定量方法变为均等且定义一致，较容易理解。ISO13849-1:

2006对设备商的优点P44B1234ISO13849-1:

2006确定论

+概率论的定义＋可靠性高性能

低变化：对安全相关部分的定义，在类别的基础上加入了可靠性（概率论）的观点。特别是引入了平均危险失效时间（MTTFd）这一概念，可按照实际动作条件进行评价。通过结构+可靠性的组合，部件的选择范围增大了同时考虑到可靠性，需设想机械的使用方式（运作次数）。P45ＰＬ的算法PLｒabcdeS：受伤的程度(Severityof

Injury)・S1：轻伤・S2：重伤（后遗症、死亡等）F：遭受危险的频度(Frequencyand/orExposureto

Hazard)・F1：偶发或短时间・F2：频发或长时间P：避开危险或限制损害的可能性(PossibilityofAvoidingHazardorLimiting

Harm)・P1：特定条件下可能・P2：不可能ISO13849-1:2006S1S2F1F2P2P2P1P2P1P1P2P1F1F2风险的大小性能等级要求值PLr的算法P46P47ＰＬ的评价安全相关部分性能等级PL的评价P48LIO安全检出功能非安全相关部分通常的控制信号安全确认信号判断功能动力控制功能安全相关部分PLC等门开关、光幕等安全控制器等控制系统接触器等方块（Block

）图的展开评价ＰＬ的4个参数P49LIOBlock图CategoryMTTFdDCavgCCF・评价PL的参数评价PLMTTFd=LowMTTFd=MediumMTTFd=HighabP50cdeCat.BDCavg

noneCat.1 Cat.2 Cat.2 Cat.3 Cat.3 Cat.4DCavgnone

DCavg

low DCavgmediumDCavglowDCavgmediumDCavg

high通过包含类别在内的4个参数，可根据下列图表决定PL值PL安全相关部分性能等级PL的评价方法MTTFdd=LLoowMTTFdd=MeediumMTTFdd=HiighPLabcdeCat.BCattt...1Cattt...2Cat.2Cattt...3Cattt...3Cattt...4DCavavavgggnoneDCavgnonnneeeDDDCCCavg

lololowwwDDDCCCavavavggg

medddiiiuuummmDDDCCCavg

lololowwwDDDCCCavg

medddiiiumDDDCCCavg

hihihiggghhhPL的评价步骤MTTFd

0.1

NopB10

dMTTFd

ni1

MTTFdi 1 1PL的参数硬件的结构部件的平均危险失效时间系统的可靠性设计的确定性CCFCategoryMTTFdDCavgB10dNopMTTFdDC安全控制系统的架构（I,L,O的构成）B,1,2,3,4判断标准５种３种４种２种②整个系统nMTTFdiMTTFdi

DCi DCavg

i

1i

11①单个部件②整个系统n从Annex

E的表1选择DC如果是满足类别构造要求的控制器，则可简单求出AnnexF的确认表（checklist）得分须在65分以上。・EMC・设计步骤・故障解析确认很重要P51HighMediumLow无HighMediumLowYes/NoPL①单个部件１．生产商提供的MTTFd2.Annex

C记载的MTTFd3B10d

为已知的情况下机械设计者自身必须掌握NopP52类别(Category)类别的概念P53Category（类别）控制系统的安全相关部分的构造例：「防风雨的空间」帐篷木制住宅造住宅办公楼各类别的必要条件P54•与以前ISO13849-1:1999

(EN954-1)的内容相同类别必要条件的概要B实现机械控制系统安全相关部分的目标功能。可承受预想的压力（例：振动、EMC等）。1类别B＋使用经验证的元器件和经验证的安全原则。2类别B和经验证的安全原则＋以适当的时间间隔检查安全功能。3类别B和经验证的安全原则＋单一故障不会导致安全功能丧失。只要合理可行，尽可能检出单一故障。4类别B和经验证的安全原则＋单一故障不会导致安全功能丧失。执行安全功能时或在其之前检出单一故障。若未能检测到，故障的累计不应导致安全功能的丧失。ILOInput

signalOutput

signalO

：输出设备例：接触器适用于类别B、类别1的指定结构I：输入设备

例：传感器L

：逻辑控制器适用于各类别的指定结构P55ILOInput

signalOutput

signalTEOTEOutput

signalmｍ

：监视TE

：检测设备OTE：输出检测结果适用于类别2的指定结构I1L1O1Input

signalOutput

signalmI2L2O2Input

signalOutput

signalmCｍ

：监视Ｃ

：交叉监视＊这个示意图所要求的构架的冗余结构不仅是指物理上的意义

٫同时也包含经确认的抗单一故障的内部逻辑。适用于类别3、类别4的指定结构P56类别BILOInput

signalOutput

signal符合类别B的构造选择可以承受使用环境的部件。其他的相关外部影响，比如：机械振动、EMC、控制回路的电源的中断和扰动。类别B没有诊断覆盖率（DCavg=0%）。各个通道的MTTFd可能较低。另外，不考虑CCF。类别B可达成的最大PL为PL=b。故障的发生会导致安全功能丧失。例：传感器Ｉ：输入设备Ｌ

：逻辑控制器Ｏ

：输出设备例：接触器符合安全功能的目的P57类别B•–要求事项使用部件可以承受可预见的使用环境•••机械压力化学影响电磁影响例：动作次数例：化学药品的腐蚀例：干扰等。–•––基本安全原则的使用对策按照用途选择符合标准要求的部件例如：为在断线时达到OFF状态，选择NC接点输入输出控制回路K1KM1 接触器M急停开关NC接点RESET防止非预期的启动K1自保持继电器符合FA用途的部件P58类别1ILOInput

signalOutput

signal※类别1与类别B相同，没有诊断覆盖率（DCavg=0%）

。不用考虑CCF。故障的发生会导致安全功能丧失，但由于MTTFd值较类别B高，安全功能丧失的可能性较低。须明确区分「经验证的高度安全部件」与「故障除外」。例：传感器符合类别1的构造Ｉ：输入设备Ｌ

：逻辑控制器Ｏ

：输出设备例：接触器＊这个示意图所要求的构架的冗余结构不仅是指物理上的意义，同时也包含经确认的抗单一故障的内部逻辑。除类别B的要求事项之外，采用经验证的安全元器件、遵循经验证的安全原则进行设计及组装。（参照ISO13849-2）所谓经验证的安全元器件是指符合下列条件的元器件。过去在类似的用途中被广泛使用，并具有实绩的产品。在有关安全的应用中，采用证明了其适用性和可靠性的原则而制造的且经过验证的元器件。※复杂电子部件构成的产品（比如一般PLC），不认为是有实绩的。每个通道的MTTFd值应是高的。类别1可达成的最大PL为PL=c。经充分验证的安全原则P59类别1•––•––要求事项类别B的要求事项使用经验证的安全元器件＆经充分验证的安全原则对策所使用元器件是第三方机构的认定品使用直接断开动作结构等被充分验证的安全原则输入输出控制回路K1KM1KM1 K1M急停开关RESET直接断开动作结构(IEC60947-5-1认证品）安全・继电器强制导向结构(EN50205认证品）接触器镜像接触器(IEC60947-4-1认证品)ILOInput

signalOutput

signalTEOTEOutput

signalP60mｍ

：监视TE

：检测机器OTE：输出检测结果＊类别2：在发生故障时可能导致点与点之间的安全功能丧失。符合类别2的构造类别2类别B的要求事项加上类别1的要求事项即遵照经充分论证的安全原则进行设计及组装。SRP/CS是机械控制系统的安全功能以适当的时间间隔进行检查。安全功能检查的实施如下：・机械启动时危险状态发生前（例如新周期的开始，或其他运动开始时，和（或）是经风险评价和操作类别表明有必要的话，周期性运行中定期进行。）以自动开始检查为佳。安全功能的检查需符合以下要求。没有检出故障时，允许运行。检出故障时，发出开始合适机械动作的输出信号。可以的话，这个输出信号须维持安全状态。且此安全状态须能维持到故障排除。若不能维持安全状态则发出警报。检测本身不会造成危险状态（例如应答时间的增大）。检测机器与安全相关部分也可分离。类别2可达到的最大PL为PL=d。两次点检间的故障可损坏安全功能。MTTFｄ、DCavg的计算只针对I，L，O。没有必要计算TE和OTE。检出危险故障※SRP/CS=safety-relatedpartsofcontrolsystems：控制系统的安全相关部分P61类别2•–––•–要求事项类别B的要求事项使用经充分讨论的安全原则按适当的间隔时间进行安全功能的检查对策Proof・Check、BackCheckProof・Check为检出安全系统的故障而进行的周期性的测试输入输出控制回路23476

510981112

1输出K1M控制部Back・CheckProof・checkType2

以光幕为例输出点检结果（创造安全状态）K2投光部受光部P62I1L1O1Input

signalOutput

signalmI2L2O2Input

signal Output

signalmCｍ

：监视Ｃ

：交叉监视＊类别3中存在由于累计的检出故障导致安全功能丧失的情形。＊这个示意图所表示的构造的双回路不仅是指物理上的意义٫有时也指经确认的单一故障的内部结构。符合类别3的构造类别3类别B的要求事项加上类别1的要求事项即遵照经充分论证的安全原则进行设计及组装。SRP/CS要求即使发生单一故障也不会丧失安全功能的设计。可合理进行实施时，单一故障在安全功能进行下一个动作要求时或之前检出。类别3可达到的最大PL为PL=e。即使发生了单一故障仍能维持安全功能。但是由于一部分的单一故障无法检出，故障的累积会使安全功能丧失。冗余性恢复＋检出危险故障P63类别3•––––•––要求事项类别B的要求事项使用经充分论证的安全原则单一故障不会损坏安全功能要合理进行实施，需检出单一故障对策回路二重化实现冗余性用BackCheck检出故障冗余性一个构成部件故障时，其他部件仍发挥作用，安全功能得以维持。输入1输出1输入2输出2控制回路1控制回路2E-STOPMK1K2控制系统输入冗余性输出冗余性RESETBack・CheckP64I1L1O1Input

signalOutput

signalmI2L2O2Input

signal Output

signalmCｍ

：监视Ｃ

：交叉监视＊这个示意图所表示的构造的双回路不仅是指物理上的意义٫有时也指经确认的单一故障的内部结构。符合类别4的构造类别4类别B的要求事项加上类别1的要求事项即遵照经充分论证的安全原则进行设计及组装。SRP/CS要求在安全相关部分即使发生单一故障也不会丧失安全功能的设计。该单一故障在下一次执行安全功能时或之前检出。若无法检出，该无法检出故障的累积也不会致使安全功能丧失。类别4可达到的最大PL为PL=e。即使发生单一故障仍能维持安全功能。由于DC较高，故障积累的概率较低。为防止安全功能的丧失，在某段时间内检出故障。类别3与类别4的区别只在DCavg及各线路的MTTFd

较高这一点。更高的检出能力P65类别4•––––•––要求事项类别B的要求事项使用经充分论证的安全原则单一故障或故障的累积不会损坏安全功能单一故障在执行安全功能或之前被检出对策回路二重化实现的冗余性（多样性）由BackCheck实现故障检出多样性一个构成部件故障时，为了让其他部件不发生同样故障，安全功能得以维持，使用不同的方法来组合输入1输出1输入2输出2控制回路1控制回路2类别3与类别4的区别只在DCavg及各通道的MTTFd

谁较高这一点。MK1K2控制系统输入冗余性E-STOP输出冗余性RESETBackCheckMTTFdP66铝管、栓MTTFd(MeanTimetoDangerous

Failure)P67木材H钢1，2回/年24小时、365天每天8小时、200天/年耐用年数使用频率帐篷木制住宅办公楼部件预测发生故障时间∑ 11ni1

MTTFdiMTTFd

(式1)…L…I1O…

ni系统整体MTTFd的算法P68：系统（构成1通道的各个部件）系统（1通道）：类别B、1的举例系统整体（1通道）的MTTFd值按以下公式计算：各个MTTFd的倒数和的倒数。各个部件的MTTFd的算法P69MTTFd

= B10

d0.1

×

NOP由B10d计算MTTFd由B10d（周期）决定的MTTFd可通过右边公式进行计算。B10d ：10%的部件平均危险故障时间内运转次数（适用于消耗品）NOP： 应用对象每年的总运转次数。（单位：cycle/year）tcycle：每个操作周期的平均时间间隔

（单位：second/cycle）hop

：每天的运转时间（单位：hour/day）dop：每年的运转天数（单位：day/year）由以上3项决定tcycleNOP

=

dop

×

hop

×

3,600与EN954-1的区别：机械设计者需掌握或预测安全相关部分的操作频率(式2)(式3)P70MTTFdLow3年≦MTTFd＜10年Medium10年≦MTTFd＜30年High30年≦MTTFd≦100年MTTFd的算法根据计算结果可分为Low,Medium,

High3种。注意：100年以上仍属于High时间故障概率故障概率随时间的变化（参考）何谓Mission

Time？P71初期故障因寿命的故障Mission

Time随机故障P72DCavg安全侧危険侧DC(Diagnostic

Coverage)P73故障的全部可检出・恢复不可检出・恢复DC

(%)危险侧故障诊断覆盖率DCavg的概念P74AverageDiagnostic

Coverage：平均诊断覆盖率包含软件在内的系统可靠性检查整体功能是否正常并实施对策。帐篷木制住宅办公楼使用前检查必要时采取措施除虫、防雨等定期对大楼进行维护、提早发现问题DCavg的计算方法P75∑ ∑ nn1i=1MTTFd

ii=1MTTFd

iDC

iDCavg =•I、L、O各个部件是采用哪个安全设计原则的，可从Annex

E的表1中选出相对应的值，该值就是各个部件的DC。•系统整体的DCavg按下式计算DCavg的计算方法P76按计算结果可分为None,Low,Medium,High

4种。DCavgNoneDC<60%Low60%≦DC<90%Medium90%≦DC<99%High99%≦DC（参考）机械部件的DCP77部件DC(%)Annex

E对应项目条件两个开关的NC触点与NO触点的组合99合规性检查･至少NC触点的开关为设有直接断开动作结构的部件･逻辑控制器比如用安全控制器同时对2个输入信号进行检测一个开关的两个NC触点99直接监视（通过机械式连接触点监视电气机械装置）･2个触点设有机械连接构造・至少1个触点设有直接断开动作结构･没有共因故障（例如通过逻辑控制器、测试阀进行检测或是通过2输入的反转极性输入来检测系统间的短路等）＊在PL

e时使用1个开关的2个触点的方法无效继电器99直接监视（通过机械式连接触点监视电气机械装置）･设有强制导向结构的继电器･逻辑控制器比如对被安全控制器强制引导的NC触点进行监视、反馈。接触器99直接监视（通过机械式连接触点监视电气机械装置）･设有镜面接触的接触器･逻辑控制器比如对被安全控制器强制引导的NC触点进行监视、反馈。P78CCF松软地基ＣＣＦ的概念P79坚固地基CCF（CommonCause

Failure）：共因失效•几个部件不因同一原因同时发生故障。不是单纯的双重化。P80CCF

的计算方法No.CCF得分1分离与隔离信号路径之间的物理分离。152多样性采用不同的技术/设计及物理的原则203设计／应用／经验3.1对过电压、过压力及过电流等的保护153.2采用经充分认证的部件54评价／分析为了避免共因失效，在设计中是否考虑了失效模式及影响分析的结果55能力／培训设计者／维护作业人员是否经过了培训，使其了解共因失效的原因和结果56环境6.1根据适当的标准，通过防止污染和EMC来防止CCF256.2其他影响是否已考虑了对所有环境因素，如温度、冲击、振动、湿度等在相关标准中所规定的抗扰性的要求？1065分以上则满足要求。合计最大100CCF对策的记分过程及定量化（引用ISO13849-1:2006附件F）例：分离考虑CCF的对策例P81若电源破坏则整个安全回路遭受损失安全相关部分动力回路电源分开安全相关部分动力回路例：多样性用正理论起动用负理论起动不起动用负理论检测起动条件（例 NO触点的开关）不检测考虑CCF的对策例P82误起动电涌I1I2安全相关部分L1 O1L2 O2

例：多样性安全相关部分钥

匙钥匙脱落钥匙式的门开关考虑CCF的对策例P83安全相关部分限位开关钥匙易发生感应干扰的回路安全相关部分感应产生的干扰电流磁场屏蔽

为屏蔽感应干扰改变走线方式例：电磁隔离性考虑CCF的对策例P84EMC有2种■IMMUNITY（EMI）从外部对机械施加影响的测试■EMISSION（EMS）测定机械传到外部的干扰考虑CCF的对策例P85考虑高温将开关等输入部件安装在加工部附近，经温度(高温、低温）、化学物质的影响（将部件放在超过其规格的环境或超越其规格的使用方法）会导致部件的损坏及性能不良，所以须考虑尽量避免这类情况。考虑振动继电器等机械触点部件不要安装在振动较大的地方。例如：加热装置的表面安装的开关例如：冲压机的控制盘应进行分隔安装。考虑CCF的对策例P86考虑机械的压力不采取无法发挥机械压力效力的开关安装方法。例如・进行不会使限位开关的检出体发生过行程的设计及安装・设置防护挡块使钥匙式门开关的头部不受冲击。・钥匙式门开关的钥匙插入半径应遵守其设计要求值是指执行器的动作位置（OP）到动作极限位置的移动距离。※图例为控制杆型若对开关施加超过OT的行程，会引起执行器或开关本身破损进而导致开关功能丧失。OverTravel

(OT)P87３．性能等级的评价步骤P88实际PL计算P89装置例装置构成工件安全功能１:防护装置1安全功能2:防护装置2限位开关１限位开关２复合的危险源：机器人X轴 Y轴PLr=

c安全功能3:使能开关＊维修保养是将防护装置1、2同时打开时进行。K1KM1

ResetK1

控制电源控制电源限位开关(SW1）安全继电器限位开关(SW2）KM1动力电源接触器危险源安全功能１防护装置１安全功能2防护装置SW3使能开关KM2接触器M2KM2

动力电源安全功能3机器人M1X轴

P90Y轴安全相关部分的电气回路图例P91方块（Block）图展开的要点两个安全功能相互独立安全功能１SW1K1限位开关(SW1）限位开关(SW2）安全功能１防护装置1安全功能2防护装置２K1K1

控制电源SW2SW1 短路无法检出※但不存在这类共因失效（CCF）控制电源安全功能２SW2K1输入设备的串行连接（安全功能1与安全功能2）输入设备的串行连接P92K1K1

控制电源限位开关(SW1）限位开关(SW2）安全功能１防护装置１安全功能2防护装置２SW3使能开关输入设备的并行连接 （对安全功能１、安全功能２的影响）SW1K1SW3安全功能１SW2K1SW3安全功能２输入设备的并行连接P93使能开关SW3的危险故障对安全功能１、２产生影响K1K1

控制电源限位开关(SW1）限位开关(SW2）

安全防护１安全防护２SW3使能开关安全功能3K1SW3安全功能3SW1SW2※但2个开关的危险故障不存在累积控制电源输入设备的并行连接（对安全功能3的影响）同时焊着输入设备的并行连接P94安全功能１，２的危险故障不会影响安全功能３K1KM1动力电源接触器M1危险源KM2接触器M2动力电源机器人输出设备的并行连接KM2KM1K1X轴Y轴复合的危险源输出设备的并行连接P95X轴Y轴→ X轴、Y轴同时停止）→ X轴、Y轴同时停止）安全功能3（使能开关→ X轴、Y轴同时停止）K1安全功能１（防护装置１SW1 SW3KM2KM1KM2K1安全功能2（防护装置２SW2 SW3KM1K1SW3KM2KM1各安全功能的Block图P96P97故障除外（Fault

Exclusion）i1o1i2o2l2l1输入设备逻辑控制器输出设备导体导体故障除外有定义故障除外有定义故障除外无定义故障除外P98故障除外举例P99故障判定故障除外备注触点不闭合无－触点不断开依照IEC60947-5-1中附录K，触点可打开－相互绝缘的相邻触点间短路依照IEC60947-5-1

触点之间短路故障能够被排除的触点短路可作除外情况。松动的导电部分不应该在触点之间桥接绝缘切换触点的3个端子间同时短路依照IEC60947-5-1开关同时短路的故障能够被排除。位置开关（限位开关）、操作开关的故障除外事项（ISO13849-2

附属书D）故障判定故障除外备注线间短路电线具有适宜的保护和符合IEC60204-1的构造－电线的故障除外事项（ISO13849-2

附属书D）P100通道的对称化通道对称化计算式∑ ni=1

MTTFdic111MTTFdc1=I１L1O1I2L2O2∑ ni=1

MTTFdic211MTTFdc2

=⎥P101⎤⎢⎣⎡⎥MTTFdc2

⎦MTTFdc1 1

1 ⎥11

MTTFdc2

3

⎢MTTFdcMTTFd

2

⎢通过ISO13849-1:2006AnnexD

式D.2对称化计算式２通道的对称化计算式2P1021MTTFdc1113 2

MTTFdc1

2

3

MTTFdc13

⎢⎣

⎥⎦

2⎡2MTTFdc1

MTTFdc1⎤⎥MTTFdc1⎦⎤⎥⎥3

⎢MTTFdc⎢⎣⎡1

MTTFdc1MTTFd

2

⎢通道1与通道2

的MTTFd相同的情况任一通道都能代表整体通过指定结构的计算方式ILOInput

signalOutput

signalILOInput

signalOutput

signalTEOTEOutput

signalmI1L1O1Input

signalOutput

signalmI2L2O2Input

signalOutput

signalmCP103ＰＬ计算基本篇P104１）单一系统指定结构为类别Ｂ、１的情形风险减小的措施例：设置可移动的防护装置M安全防护对策例：通过切断马达动力来使其动能丧失。「连接防护装置的联动装置」对应标准:ISO14119「停止等级

0」对应标准：IEC60204-1通过控制实现安全功能打开防护装置则切断马达的动力提供P105「控制系统的安全相关部分」对应标准:ISO13849-1ＰＬ计算例P106传递路线及安全相关部件的确定M

SW1 动力电源安全防护的操作要求（需求）打开带有联锁装置的防护装置K1KM1ResetK1控制电源控制电源限位开关安全继电器接触器安全相关部件安全相关部件安全相关部件安全限位开关（NC接点)接触器SW1KM1K1安全继电器展开成方块图MCategory=

1风险减小切断危险源的动力计算各安全相关部件的MTTFd风险减小安全限位开关（NC接点)接触器SW1KM1安全防护的操作要求（需求）K1安全继电器M①确认生产商提供的数据例:欧姆龙型号:D4NB10d=

20,000,000例:欧姆龙型号:G7SA(最大负荷）B10d=

400,000例:其他公司接触器（额定负荷）B10d=

2,000,000②通过安全功能的年使用次数计算各部件的Nop年使用次数(Nop)Tcycle=300秒/回、hop=16小时（２班制）、dop=240日、

所有部件通用NOP

dop

hop

3,600

24016

3,600

46,080tcycle 300③计算各部件的MTTFdB10d0.1

NOPMTTFd

20,000,000

4340

.20.1

46,0804340.2年400,000

86.80.1

46,0802,000,000P107

434.00.1

46,08086.8年434.0年计算通道整体的MTTFd1P1081 111 11MTTFdSW1 MTTFdK1 MTTFdCC14340.2 86.8 434.0

71.1

MTTFd

71.1年计算公式・Category

1・68≦MTTFd＜75AnnexK

に基づくPL判定表CategoryB1234DcavgNoneLowMediumLowMediumHighCCF评価対象外65≦

CCF65≦

CCF65≦

CCF65≦

CCF65≦

CCFLow3≦MTTFdaaaab3.3≦MTTFdaaaab3.6≦MTTFdaaaab3.9≦MTTFdaaabb4.3≦MTTFdaaabb4.7≦MTTFdaaabb5.1≦MTTFdaaabb5.6≦MTTFdaabbc6.2≦MTTFdaabbc6.8≦MTTFdaabbc7.5≦MTTFdabbbc8.2≦MTTFdabbbc9.1≦MTTFdabbbcMedium10

≦MTTFdabbbc11≦MTTFdabbcc12≦MTTFdbbbcc13≦MTTFdbbbcd15≦MTTFdbbbcd16≦MTTFdbbccd18≦MTTFdbbccd20≦MTTFdbbccd22≦MTTFdbcccd24≦MTTFdbccdd27≦MTTFdbccddHigh30

≦MTTFdbccdde33≦MTTFdbccdde36≦MTTFdbcddde39≦MTTFdccddde43≦MTTFdccddde47≦MTTFdccddde51≦MTTFdccddde56≦MTTFdccddde62≦MTTFdcdddee68≦MTTFdcdddee75≦MTTFdcdddee82≦MTTFdcdddee91≦MTTFdcdddee100≦MTTFdcdddee*全てのCategoryにおいてMTTFd<3

は规定外*Category2,3,4において

DCavg=NoneまたはCCF<65

は规定外PLcP109ＰＬ判定P110２）冗余系统指定结构为类别3、4的情形虽然类别2是单一系统，但因为也需要考虑ＤＣavg、ＣＣＦ，通常作为冗余系统考虑。安全相关部分的确定风险减小安全防护的操作要求（需求）打开带有联锁装置的防护装置切断危险源的动力M安全控制器动力电源KM2KM1ResetP111限位开关NC接点SW1限位开关NO接点SW2风险减小安全防护的操作要求（需求）打开带有联锁装置的防护装置切断危险源的动力M安全控制器动力电源KM2KM1ResetNC接点SW1限位开关NO接点SW2传递路线及安全相关部件的确定①②安全相关部件限位开关安全相关部件安全相关部件安全相关部件安全相关部件安全相关部件P112P113方块图图表化及类别的确定Category=

4风险减小打开带有联锁装置的防护装置安全限位开关（NC接点)接触器SW1KM1Ch1接触器安全控制器Ch2SW2KM2M切断动力安全防护的操作要求（需求）限位开关（NO接点)安全控制器L1L2风险减小打开带有联锁装置的防护装置安全限位开关（NC接点)接触器SW1KM1Ch1接触器安全控制器Ch2SW2KM2M切断动力安全防护的操作要求（需求）限位开关（NO接点)安全控制器计算MTTFd（注）Nop（年操作次数）假定为3,200回／年MTTFd：100年（制造商提供值）MTTFd：62,500（通过B10d：20,000,000及Nop计算）MTTFd：62,500（通过B10d：20,000,000及Nop计算）MTTFd：6,250（通过B10d：2,000,000及Nop计算）MTTFd：6,250（通过B10d：2,000,000及Nop计算）L1L2MTTFd：100年P114（制造商提供值）6,250162,500 1001 11111MTTFdKM

2MTTFdL

2MTTFdSW

21

MTTFd_c2

计算MTTFd162,500

100

6,2501 111111MTTFdKM

1MTTFdL1MTTFdSW

1

98.27

year

MTTFd_c1

通道1：通道2：

98.27

year通道１、２的年数相同所以不需要对称化计算。P115风险减小打开带有联锁装置的防护装置安全限位开关（NC接点)接触器SW1KM1Ch1接触器安全控制器Ch2SW2KM2M切断动力安全防护的操作要求（需求）限位开关（NO接点)安全控制器L1L2确定各个部件的DC99%用机械连接式触点进行功能监视99%用机械连接式触点进行功能监视99%自我测试（由制造商给出）99%合规性检查99%合规性检查99%自我测试（由制造商给出）P116计算DCavgDCavg＝99％1P117∑ ∑ nni1

MTTFdi

0.99i1

MTTFdiDCiDCavg0.99

0.99

62,500 1000.990.99

0.99

0.9962,500 100 6,2506,2501

1

162,500 100 6,2501

1

162,500 100 6,250通道1通道2P118PL判定表 （引用ISO13849-1AnnexKTable

K.1）PL的判定CategoryB1234DCavgNoneLow60≦DCavgMedium90≦DCavgLow60≦DCavgMedium90≦DCavgHigh99≦DCavgCCF评価対象外65≦

CCF65≦

CCF65≦

CCF65≦

CCF65≦

CCFLow3

≦MTTFdaaaab3.3≦MTTFdaaaab3.6≦MTTFdaaaab3.9≦MTTFdaaabb4.3≦MTTFdaaabb4.7≦MTTFdaaabb5.1≦MTTFdaaabb5.6≦MTTFdaabbc6.2≦MTTFdaabbc6.8≦MTTFdaabbc7.5≦MTTFdabbbc8.2≦MTTFdabbbc9.1≦MTTFdabbbcMedium10

≦MTTFdabbbc11≦MTTFdabbcc12≦MTTFdbbbcc13≦MTTFdbbbcd15≦MTTFdbbbcd16≦MTTFdbbccd18≦MTTFdbbccd20≦MTTFdbbccd22≦MTTFdbcccd24≦MTTFdbccdd27≦MTTFdbccddHigh30

≦MTTFdbccdde33≦MTTFdbccdde36≦MTTFdbcddde39≦MTTFdccddde43≦MTTFdccddde47≦MTTFdccddde51≦MTTFdccddde56≦MTTFdccddde62≦MTTFdcdddee68≦MTTFdcdddee75≦MTTFdcdddee82≦MTTFdcdddee91≦MTTFdcdddee100≦MTTFdcdddee・Category

4・DCavg：High・91≦MTTFd＜100PLeP119（参考）标准附录I.4的电路例解说安全相关部分的确定风险减小安全防护的操作要求（需求）打开带有联锁装置的防护装置切断危险源动力MSW2 RS

K1BPLCCC动力电源SW1BP129＊以ISO13849-1:2006附录I.4所示的电路为例评价PL。可能与实际计算/评价的结果不同。传递路线及安全相关部件的确定MCCPLC RS

风险减小打开带有联锁装置的保护装置SW2SW1BK1B动力电源安全防护的操作要求（需求）通道1的非安全相关部件安全相关部件安全相关部件安全相关部件安全相关部件切断危险源动力通道２的安全相关部件①P121②P122方块图图解化及类别确定风险减小打开带有联锁装置的防护装置安全限位开关（NC接点)SW1BK1BCh1伺服驱动PLCCh2RSSW2CCPLC编码器M切断动力接触器Category=

3安全防护的操作要求（需求）限位开关（NO接点)计算MTTFd安全限位开关（NC接点)伺服驱动PLC接触器SW1BK1BCh1Ch2RSM危险源动力故障除外SW2CCPLC编码器K1B的MTTFd为30年（假定值）假定SW2、PLC、CC、RS各个的MTTFd为20年（条件是制造商可以提供这些数据）安全防护的操作要求（需求）限位开关（NO接点)P123计算MTTFd通道1：通道2：30year11MTTFdK1BMTTFdc1

320 20 2011 11MTTFdSW

2

MTTFdPLC

MTTFdCC1

20

year1

1

1

MTTFdc2

P124通道的对称化3P1251 11

20.8year

1

3

30 20

3

30

20

1

2

MTTFdc1 MTTFdc23

MTTFdc1

MTTFdc2

MTTFd

2MTTFd＝20.8年确定各部件的DCM危险源安全限位开关（NC接点)接触器SW1BK1BCh1伺服驱动限位开关（NO接点)P126PLCCh2RSSW2PLC编码器99%用机械连接式触点进行功能监视90%输出通道的冗余化+执行机构状态的功能监视故障除外60%不带动态测试的交叉监视30%CC自我测试（由制造商给出）安全防护的操作要求（需求）计算DCavg10.183

0.67120 30 20 20

0.1231

1

1

10.6

0.99

0.3

0.9

20

30

20

20MTTFdCCMTTFdPLCMTTFdSW

2

MTTFdK1BMTTFdCC1DCCCMTTFdPLC1DCPLCMTTFdK1B1DCK1BDCSW

2DCavg

MTTFdSW

2DCavg＝67.1％P127P128PL的判定表 （引用ISO13849-1AnnexKTableK.1

）PL的判定CategoryB1234DCavgNoneLow60≦DCavgMedium90≦DCavgLow60≦DCavgMedium90≦DCavgHigh99≦DCavgCCF评価対象外65≦

CCF65≦

CCF65≦

CCF65≦

CCF65