安全标准相关说明

功能平安

－新标准理论和实践ENISO13849-1Agenda关于标准的当前状态ISO13849-1定义应用设计过程ISO13849-1和IEC62061的比较Agenda关于标准的当前状态ISO13849-1定义应用设计过程ISO13849-1和IEC62061的比较关于标准的当前状态EN954-1存在的问题没有覆盖复杂的电子系统可编程电子系统μC单片机和ASICs系统的故障模式没有关注平安功能的复杂性没有涉及系统故障概率的要求平安等级划分不明确B1234关于标准的当前状态功能平安标准IEC61508:1999系统与平安相关的电气、电子、可编程电子系统E/E/PE的功能平安Generic:IndependentofApplicationEN954-1/-2:1996机器安全机器安全–控制系统与安全相关的部分ENISO13849-1:2007机器安全–控制系统与安全相关的部分(SRPCS)IEC/EN62061:2005机器安全–控制系统与安全相关的电气、电子、可编程电子系统E/E/PE的功能安全机器安全协调标准为什么需要功能平安?过去，平安标准采取的是定性评估方法，但是现在：控制系统变得越来越复杂大多数的平安控制系统采用了复杂的零部件行业需要平安设计，以减少风险,降低伤害,保护—人、设备、加工材料……设计人员希望标准有利于应用，不要受标准的约束系统需求—减少系统故障监控系统的平安功能依赖于系统或设备在操作条件下正确的输入信号“功能平安“确保：在正常条件下在故障条件下平安功能不丧失！“功能平安〞和“电气平安〞是不同的！电气平安是保护免受触电关于标准的当前状态依赖于风险、故障概率的描述平安等级B,1,2,3,4平安等级确定的和风险之间的关系不明确现在:SIL(SafetyIntegrityLevel)/PL(PerformanceLevel)是一种定性评估的方法明确了与风险之间的关系系统故障评估的方法B1234关于标准的当前状态功能平安标准DINENISO13849-1和2007年5月8日公报EC机械指令相一致将取代EN954-1，2021年12月29日将正式生效覆盖了气压系统、水压系统和机械平安控制系统至高性能PerformanceLevel等级“e〞(类似于SIL(1～3)MTTFd、DC、CCFDINENISO13849-1Agenda关于标准的当前状态ISO13849-1定义应用设计过程ISO13849-1和IEC62061的比较定义

PerformanceLevel(PL) 控制系统执行平安功能的能力,以每小时发生危险故障的概率表示10-410-53x10-610-610-710-8abcde低风险高风险定义PLDINENISO13849-1EN954-1

B1423

平均无危险故障时间：MTTFd系统诊断检测范围：DC共因故障预防与控制：CCFISOEN13849-1PLrabecd=+平均无危险故障时间MTTFdDINENISO13849-1lowmiddlehigh时间(年)100年30

年10年3年Source:BGIAreport

Notacceptable定义平均无危险故障时间MTTFd是统计值,不是可以保证的寿命值分成3种等级:此值如果低于3,是不能接受的DINENISO13849-1MTTFd等级范围低3～10年中10～30年高30～100年定义系统诊断检测范围DC通过所有的在线测试和诊断结果识别DC值来自于制造厂商或参见标准的表格附件E同样,也可以根据评估DINENISO13849-1DC等级DC值无DC<60%低60%≤DC<90%中90%≤DC<99%高99%≤DC定义系统诊断检测范围DC参考值DINENISO13849-1部件措施DC传感器通过改变输入信号，反复测试90%逻辑部件简单的定时监视，例如：看门狗监视60%输出部件直接监视，例如：停止监视99%继电器/接触器通过触点机械联动测试99%定义共因故障预防与控制CCF多结构通道,用于防止由于相同的原因导致的故障(CCF-commoncausefailures)此措施文件参见附件F表格DINENISO13849-1通道2故障通道1故障CCF定义CCF值计算DINENISO13849-1方法分值从物理上将信号通道隔开:配线隔开,PCB板上足够的空间,保证足够的爬电距离15采用不同的技术/设计/物理特性,例如:第一个通道采用可编程电子系统,第二个通道采用硬接线20采用过电压保护,过电流保护,过压力保护措施15采用可靠的零部件5设计过程中考虑FMEA失效模式和影响分析,以防止共因故障CCF5设计人员/维护人员都经过培训,明白共因故障CCF的原因和后果5依照标准,考虑了外部污染防护和电磁兼容性(EMC),以防止共因故障25其它影响:对所有和环境相关的需求,例如:温度,震动,潮湿……10定义Agenda关于标准的当前状态ISO13849-1定义应用设计过程ISO13849-1和IEC62061的比较ISO13849-1应用平安功能设计DINENISO13849-1此机器安全吗？结束风险降低方法：设计安全防护使用者有足够的知识安全防护是依靠控制系统吗？控制系统与安全相关部分(SRP/CS)设计标准是否有其它危险？否否是是NoISO13849-1YesYesIdentificationofthesafetyfunctionthatshouldbeexecutedbythecontrolDeterminetypeofsafetyfunctione.g.Stop,InhibitStart,Muting…DetermineRequiredPerformanceLevel(Riskgraph)=>PLrDesignthesafetyrelatedpartofthecontrolsystemCalculatetheachievedPerformanceLevel=>PLPL>PLr?ValidationAllsafetyfunctionsanalyzed?YesNoNoNo对于每一个平安功能ISO13849-1应用SafeConstructionDINENISO13849-1Agenda关于标准的当前状态ISO13849-1定义应用设计过程ISO13849-1和IEC62061的比较设计过程DINENISO13849-1PL定义风险评估图DINENISO13849-1abcde低风险P1P2P1P1P1P2P2P2F1F2F1F2S1S2Start高风险S=伤害的严重性S1:轻微的,S2:严重的,不可恢复的F=风险发生的频率或暴露的时间F1:很少,F2:频繁P=防止风险的可能性P1:可能,P2:几乎不可能设计过程DINENISO13849-1功能平安设计等级B～4EN954-1指定的结构(结构图)根据需要到达的PLr等级选择适宜的结构等级对应关系一览:ISO13849-1标准中没有其它的对应关系!DINENISO13849-1B1234PLa-bca-da-ee等级B～4根据需要到达的PLr等级选择适宜的结构DINENISO13849-1功能平安设计MTTFd=低MTTFd=中MTTFd=高abcdePLCat.BCat.1Cat.2Cat.2Cat.3Cat.3Cat.4DC无DC无DC低DC中DC高DC低DC中InputLogicOutput传感器平安输入设备电源控制设备平安输出设备逻辑处理设备平安控制设备平安功能设计

控制系统与平安相关的局部平安防护装置

平安传感器(输入)急停按钮电磁门开关双手控制按钮平安光栅平安继电器总线控制器平安防护装置

平安控制局部(逻辑)联动装置接触器AC驱动ELR固态接触器平安防护装置

平安输出局部(输出)等级B系统组件:I:输入,传感器L:逻辑,控制设备O:输出,(马达-)开关Im:相连线定义ILOImImDINENISO13849-1MTTFd低–中DC--CCF--系统结构等级B按照相关标准设计应用根本平安原理在指定的操作条件下使用系统可容许故障=0一个故障发生会导致平安功能的丧失！主要通过选择比较好的零部件至高可到达:PLmax=bDINENISO13849-1ILOImImDINENISO13849-1MTTFd高DC--CCF--定义等级1系统组件:I:输入,传感器L:逻辑,控制设备O:输出,(马达-)开关Im:相连线系统结构等级1满足等级B的要求设计时使用比较好的零部件，以及使用平安设计原那么(参见ISO13849-2)系统可容许故障=0一个故障发生会导致平安功能的丧失！〔但概率比等级B要低〕主要通过选择比较好的零部件至高可到达:PLmax=cDINENISO13849-1等级2系统组件:TE:测试设备OTE:测试设备输出局部ILOImImTEOTEImmDINENISO13849-1MTTFd低–高DC低、中CCF满足定义系统结构等级2满足等级B的要求使用平安设计原那么(参见ISO13849-2)平安功能必须在合理的时间间隔之间进行检测设备启动时优先于任何危险情况DINENISO13849-1系统结构等级2系统可容许故障=0在两个测试周期之间，一个故障可能导致平安功能的丧失！然而，周期性的测试可以发现这个故障。主要通过结构设计至高可到达:PLmax=dDINENISO13849-1等级3I1L1O1ImcI2L2O2ImImmImmDINENISO13849-1MTTFd低–高DC低、中CCF满足定义系统结构等级3满足等级B的要求使用平安设计原那么(参见ISO13849-2)系统可容许故障=1当一个故障发生时，平安功能仍然保持；一些，但不是所有的故障都能被发现；未检测到的故障累计起来可能导致平安功能的丧失！主要通过结构设计至高可到达:PLmax=eDINENISO13849-1等级4I1L1O1ImcI2L2O2ImImmImmDINENISO13849-1MTTFd高DC高CCF满足定义系统结构等级4满足等级B的要求使用平安设计原那么(参见ISO13849-2)系统可容许故障=1一个故障不会导致平安功能的丧失！在下一个命令发生的时候或之前〔例如：接通或机器操作周期结束〕，这个故障会被发现，如果Thesinglefaultisdetectedatorbeforethenextdemanduponthesafetyfunctions,e.g.immediately,atswitchon,oratendofamachineoperatingcycle如果没有发现，累计故障也不会导致平安功能的丧失！主要通过结构设计至高可到达:PLmax=eDINENISO13849-1系统结构对于电子系统，此标准适用于需要执行以下要求中的一种：性能等级PLr=“a〞或“b〞通过在故障条件下其特点已经有明确定义的硬件，执行平安功能可编程电子系统最高PLr等级为“d〞例如：监视最高PLr“d〞平安功能通过不同的可编程电子系统执行不同的应用软件、操作系统或硬件与平安相关的局部(包括软件)需要执行适宜的标准(e.g.IEC61508)DINENISO13849-1软件软件要求Alllifecycleactivitiesofsafety-relatedembeddedorapplicationsoftwareshallprimarilyconsidertheavoidanceoffaultsintroducedduringthesoftwarelifecycle.Themainobjectiveofrequirementsistohavereadable,understandable,testableandmaintainablesoftware.DINENISO13849-1软件软件类型内置软件硬件、

操作系统应用软件某种类型机械设备特殊控制软件参数参数配置的软件DINENISO13849-1软件软件平安需求软件平安生命周期V模型DINENISO13849-1系统设计模块设计编码模块测试综合测试确认确认SoftwareForsafety-relatedembeddedsoftware(SRESW)components(PLatod)LimitedvariabilityLanguage(LVL)SoftwaresafetylifecyclewithVandVactivitiesDocumentationofspecificationanddesignModularandstructureddesignandcodingAppropriatelifecycleactivitiesaftermodificationsDINENISO13849-1SoftwareAdditionalmeasuresforPLcord(Excerpt)Projectmanagementandqualitymanagementsystemcomparableto,e.g.IEC61508orISO9001;Documentationofallrelevantactivitiesduringsoftwaresafetylifecycle;ConfigurationmanagementtoidentifyallconfigurationitemsanddocumentsrelatedtoaSRESWrelease;Structuredspecificationwithsafetyrequirementsanddesign;Useofsuitableprogramminglanguagesandcomputer-basedtoolswithconfidencefromuse;etc…..DINENISO13849-1DesignDesigningaSafetyFunctionMethod:DeterminationoftherequiredPLDesignandtechnicalrealizationVerificationoftheachievedPL;

PL≥PLr?Validationofthecontrolsystem;

haveallrequirementsbeenfulfilled?DINENISO13849-1VerificationofPLEvaluationoftheprobabilityoffailureTodeterminethePL,thefollowingisrequiredMTTFdDCCCFGoal:asinglevalueistobedeterminedforeachcharacteristicDINENISO13849-1InterlockTimerSpeedMonitorSSMRelayVerificationofPLExample:ProtectivedoorwithinhibitG1K1F1K2FaultexclusiononF1Category3structureProtectiveDoorVerificationofPLDeterminationofMTTFdMTTFdDetailsfromsupplierGoodengineeringpracticeforMTTFdDINENISO13849-1,AppendixCThecomponentmanufacturerconfirmswell-triedsafetyprinciples

(ISO13849-2)ThecomponentmanufacturerspecifiesdeterministicusageorapplicationWell-triedsafetyprinciplesareappliedMTTFd=10yearsDINENISO13849-1VerificationofPLEvaluationofMTTFdManufacturer’sinformationDowntimemonitorforsafetyapplicationsMTTFdK1=15,220yearsProofTestInterval4.5yearsDINENISO13849-1K1PL评估参数DINENISO13849-1电动机械部件MTTFdB10d-值发生10％危险故障概率时，开关动作的次数B10d-来自于制造厂商,或B10d=0.5xB10(发生故障,开关动作的次数)B10供给商提供，我们认为其中50％为危险故障取决于应用中开关动作的频率PL确认MTTFd

和B10d参数DINENISO13849-1来源：ISO13849-1,附件CPL确认B10d值转换成MTTFd,计算公式DINENISO13849-1=平均动作次数/年=工作天数/年=工作小时/天=动作一次的时间(以s为时间单位)，例如600s动作一次VerificationofPL更换时间T10d

零部件更换时间零部件发生10%危险故障的平均时间在故障概率太高时,零部件必须更换DINENISO13849-1VerificationofPLMTTFd评估良好的工程使用习惯限位开关B10d=400,000动作次数=>MTTFdG1=76years=>T10dG1=7.6years即7.6年，产品需要更换一次DINENISO13849-1G1VerificationofPLMTTFd评估良好的工程使用习惯时间继电器B10d=400,000动作次数=>MTTFdK2=76years(机械的!)MTTFd(电气的)

=1,000years

(评估)MTTFdK2(机械的!)+MTTFd(电气的)

?DINENISO13849-1K2VerificationofPLEvaluationofMTTFd由各个零部件的MTTFd，可以计算出整个系统的MTTFd值！DINENISO13849-1VerificationofPLEvaluationofMTTFdUsingthe„Partscountmethod“onK2MTTFdMechanic=76yearsMTTFdElectronic=1,000yearsMTTFdK2=70.7yearsT10dK2=7.6yearsDINENISO13849-1K2VerificationofPLEvaluationofMTTFdUsingthe„Partscountmethod“onG1andK1MTTFdG1=76yearsMTTFdK1=15,220yearsMTTFdKanal1=75,6yearsDINENISO13849-1G1K1VerificationofPLEvaluationofMTTFdSymmetrizationof2channelsDINENISO13849-1VerificationofPLEvaluationofDCEvaluationofDCforthecomponentsManufacturer’sdataEstimationaccordingtomeasuresinAnnexEExample:G1:crosscomparisonwithoutdynamictestthroughK1:

DC=90%K1:manufacturer’sdata:DC=90%K2:forciblyguidedcontacts:DC=99%DINENISO13849-1VerificationofPLEvaluationofDCEstimationofDCforthecompletecontrolsystemNontestedpartsDC=0PartswithfaultexclusionMTTFd=∞

DINENISO13849-1VerificationofPLEvaluationofDCEstimationofDCforthecompletecontrolsystemCategorizationDCavg:90%≤DC<99%=middleDINENISO13849-1VerificationofPLMeasuresagainstCCFDINENISO13849-1MeasurePointsPhysicalseparationbetweensignalpaths:Separationinwiringpiping,sufficientclearanceandcreepagedistancesonPCBs15Differenttechnologies/designorphysicalpropertiesareused,forexample:firstchannelprogrammableelectronicandthesecondchannelhardwired20Protectionagainstover-voltage,over-current,over-pressureetc.15Componentsusedarewelltried5AretheresultsofanFMEAtakenintoaccounttoavoidCCFindesign5Designers/maintainersbeentrainedtounderstandthecausesandconsequencesofCCF?5Preventionofcontaminationandelectromagneticcompatibility(EMC)againstCCFinaccordancewithstandards25Otherinfluences:Havetherequirementsforimmunitytoallrelevantenvironmentalinfluencessuchastemperature,shockvibration,humiditybeenconsidered10VerificationofPLDeterminationoftheachievedPLPossibilitiestodeterminethePLTableinAnnexKCategory3DC=middleMTTFd=73.2yearsResultingPL„e“6.62x10-8<PFHd<7.68x10-8DINENISO13849-1VerificationofPLDeterminationoftheachievedPLFromthediagramDINENISO13849-1Cat.1DCavgnoneCat.BDCavgnoneabcdeCat.4DCavghighCat.2DCavglowCat.2DCavgmiddleCat.3DCavglowCat.3DCavgmiddleMTTFdlowMTTFdmiddleMTTFdhighPL„e“VerificationofPLDeterminationoftheachievedPLCalculationwithsoftwareSoftware:SiSteMaSupportcalculationofthePLEstimationofDCandCCFIncludesdocumentationBG-InstituteforOccupationalSafetyandHealthInternet:DINENISO13849-1VerificationofPLDeterminationofthePLAlternative:

CombinationofdifferentsafetyrelatedcontrolpartsEingangLogikAusgangPLInputPLOutputPLLogicDINENISO13849-1VerificationofPLDeterminationofthePLLowestPL

PLlowAnzahlderTeile

n(PLlow)ResultingPLa>3

≤3none

ab>2

≤2a

bc>2

≤2b

cd>3

≤3c

de>3

≤3d

eDINENISO13849-1VerificationofPLExampleDINENISO13849-1功能需求当有人站在下方的时候,平安门不能关闭操作模式自动VerificationofPLDINENISO13849-1PLr等级定义举例开始需要的PL等级abcdeP1P2P1P2P1P2P1P2F1F2F1F2S2S1低

风险高

风险S:伤害的严重性F:风险发生频率P:防止风险的可能性VerificationofPL控制系统设计案例EingangLogikAusgangPLePLePLeResult:PLlow=e;n(PLlow)=3 => PLeDINENISO13849-1DesignDesigningaSafetyFunctionMethod:Dete