Finland
选择国家
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

ISO 13849-1 PL

 

注意

EN954-1 等级选择相反,PLrs 完全是严格的“等级制度”。
PLr(e) 可最大限度降低风险,而 PLr(a) 所能降低的风险最小。

控制系统安全相关部件,第 1 部分:一般设计准则

ISO 13849-1 EN 954-1 的修订版。

计算系统可靠性的复杂数学公式理论被预计算表格所代替。

EN 954 中的部分概念得以保留的,如等级、冗余、监测等。

但也有很多内容进行了改动,如危险图示、等级、选择等。

EN 954-1 中,等级已经不是很重要了。

评估危险故障的抵抗能力时,ISO 13849-1 已经不再使用等级概念,而采用全新的性能等级来评定安全相关机械控制系统在特定工作条件下的防护能力(下称 SRP/CS)。

估算安全相关系统 PL 时,采用的参数为每小时的危险失效概率 (PFH D)。当发生的错误阻碍了系统的保护功能时却又未检测出时,则认为是危险失效。

PL 共分为 5 个等级,依次为 PLa PLe



fig3

 

图3 - ISO 13849-1表3

 

危险因素减少的越多,每小时危险失效概率就越低

PL 是针对控制系统构造、安全组件的可靠性、主动检测内部危险(影响安全功能以及产品设计)的能力进行的评级。

下列图表中汇总了 ISO 13849-1 对安全控制系统的强制性质量和数量要求。

请参见术语表

 



fig4

图4 - 强制性质量和数量要求

 

要声明产品的 PL 等级,除要估算出控制系统的每小时危险失效概率,还必须要符合标准中指定的质量要求。

对于产品声称的 PL,必须使用“ISO 13849-2 控制系统的安全部件验证确定测试和分析的流程,并从以下方面对产品进行评估,以验证产品的 PL 是否属实:

  •  提供的安全功能
  •  所达到的安全等级
  •  达到的性能等级

 

重要须知!
每小时危险失效概率仅仅是 PL 估算需要的参数之一。
要达到特定的 PL 等级,还必须证明符合了所有的要求标准,包括:
• 对系统性故障进行监控
• 使用坚固、可靠的组件(符合相关产品标准)
• 运行时遵循良好的工程实践惯例
• 充分考虑安全系统所处的运行环境
• 如果是新开发的软件,应该采用所有V型开发模型的组织特性(参见 ISO 13849-1 标准的图 6),并满足应用程序和嵌入式软件的开发要求。



SRP/CS (依照 ISO 13849-1)的设计总结为下列 8 个步骤

1 – 通过风险分析,确定安全功能
2 – 运用风险图,评定所需要的性能等级 (PLr)
3 – 选择系统结构(架构)和自我诊断技术
4 – 对控制系统进行技术开发
5 – 计算 MTTFd DCavg 的数值,并对 CCF 进行验证
6 – 用表 5 计算 PL
7 – 验证 PL 值(如果计算出的 PL 值小于 PLr,请返回第 3 步)
8 – 确认

安全相关项目的界定和性能等级所需的评定 - PLh

对于每一项安全功能(参见ISO 14121 – 风险评估),SRP/CS 的设计者都要确定该功能对于降低风险的作用,即 PLr

 

功能所具有的作用并非针对整个机器的风险,而只是针对与安全性功能应用相关的部分风险。

 

参数 PLr 指的是安全功能要求的性能等级。

 

而参数 PL 指的是硬件应用要求的性能等级。硬件的 PL 必须等于或高于指定的 PLr

 

树形图用来指出某项安全相关功能在降低风险方面的作用,以便清晰地判断出其 PLr。如果采用了多项安全功能,则每项安全功能均可获得指定的 PLr

 

fig5

 图 5 - 树形图

 

 

安全相关控制系统的设计PL估算

确定所需的 PLr 之后,需要设计合适的 SRP/CS,以此计算出 PL 值,并保证 PL 值不小于 PLr 的数值。

如图 3 所示,为了获得 PL 值,必须计算出所设计的 SRP/CS 平均每小时失效概率。

安全相关控制系统平均每小时失效概率可以通过几种不同的方法进行估算。

以下几种方法均假定以下各个因素已知:

  • 失效率 (λ)
  • 所有部件失效模式下失效率百分比的分布(比如,一个正向动作开关的故障模式是:接触器不开 = 20%,接触器不关= 80%
  • 每个故障对安全系统性能的影响(比如,危险失效 = λd,非危险失效 = λs
  • 检测到的危险失效(利用自动运行的自我诊断技术)占全部危险失效的百分比:λdd = λd x DC
  • 未检测到的危险失效(利用自动运行的自我诊断技术)占全部危险失效的百分比:λdu = λd x (1-DC)


通过一个以马尔可夫模型为基础的表格,ISO 13849-1 简化了计算过程。针对不同的安全类别,该表格已经预先计算好平均每小时危险失效概率以及 MTTFd DCavg 的取值范围,因而使用该表格可以依次算出 MTTFd DCavg 的数值。

MTTFd等级 MTTFd的取值范围   DCavg等级 DC/ DCavg的取值范围
3 年 ≤ MTTFd < 10 年   DC < 60%
中等 10 年 ≤ MTTFd < 30 年   60% ≤ DC < 90%
30 年 ≤ MTTFd < 100 年   中等 90% ≤ DC < 99%
      Alto 99% ≤ DC

 

 

Category selection
CATEGORY REQUIREMENTS BEHAVIOUR SAFETY PRINCIPLES
B SRP/CS and/or their protective equipment, as well as their components, shall be designed, constructed, selected, assembled and combined in accordance with relevant standards so that they can withstand the expected influence. Basic safety principles shall be used The occurrence of a fault can led to the loss of the safety function Mainly characterized by selection of components
1 Requirements of B shall apply. Well-tried components and well-tried safety principles shall be used The occurrence of a fault can led to the loss of the safety function but the probability of occurrence is lwer than for category B
2 Requirements of B and the use of well-tried safety principles shall apply. Safety function shall be checked at suitable intervals by the machine The occurrence of a fault can led to the loss of the safety function between the checks. the loss of safety function is detected Mainly characterized by
structures
3 Requirements of B and the use of well-tried safety principles shall apply. Safety-related parts shall be designed, so that:
- a single fault in any of these parts does
  not lead to the loss of the safety
  function, and
- whenever reasonably practicable, the
  single fault is detected.
When a single fault occurs, the safety function is always performed. Some, but not all faults will be detected. Accumulation of undetected faults can lead to the loss of the safety function
4 Requirements of B and the use of well-tried safety principles shall apply. Safety-related parts shall be designed, so that:
- a single fault in any of these parts does
  not lead to the loss of the safety
  function, and
- the single fault is detected at or
  before the next demand upon the
  safety function, but that if this
  detection is not possible, an
  accumulation of undetected faults shall
  not lead to the loss of the safety function
When a single fault occurs, the safety function is always performed.
Detection of accumulated faults reduces the probability of the loss of the safety function (high DC).
the fault will be detected in time to prevent the loss of the safety function

 

For Cat. B and Cat.1 the ability to resist failure  is due to robustness of components (avoid failures as far as possible).


For Cat. 2,3,4 the ability to resist failure is due to the system structure (control of the failure). Failure is controlled through cycle monitoring for Cat.2, redundancy for Cat.3 , redundancy plus monitoring for Cat.4.


Operational requirements are specified for each Category. The failure modes of the electric components are defined and listed. The relationship among Categories and the safety performance of the control system in case of failure is well defined (deterministic approach).

 



因此,问题简化为:选择架构、为所采用的自我诊断技术计算出相关的 DCavg 值、为所设计电路计算出简化的 MTTFd值、验证是否符合冗余架构(第 2、第 3 和第 4 类)和独立通道操作 (CCF) 的要求。

将安全类别和 DCavg 值相结合,所得结果可以与 ISO 13859-1 5 中七个纵列之一相对应。计算出的 MTTFd 值可用于确定纵列中的具体部分。相应的 PL 分布如表所示。

 

fig6
图 6 - ISO 13849-1

 


纵列中所选定的部分可能包含两个或者三个可能的 PL 值,比如第 3 类安全类别,在 DCavg = 中等、MTTFd = 低的情况下,以下三个值都有可能:PLbPLc PLd。在这些情况下,为了获得准确的 PL 值,需要使用标准中附录 K 的表 K1(本文未显示),该表提供了与实际 MTTFd 值以及所采用的安全类别与 DCavg 组合有关的具体数值,包括平均每小时失效概率和 PL 值。

 

若控制系统的设计采用了一个或多个指定结构(共 5 个),则需调整相应的标准。

 

每种结构对应着 EN 954-1 中定义的一个安全等级。针对 EN 954-1 设计的系统,风险通过风险图直接对应于相应的安全等级选择。

 

13849-1 则较为灵活,其针对指定的各个性能等级提供了若干种选项。

 

5 中所给的示例针对的 PL c 级的系统,其便有以下五种选项:

1. 3 级,MTTFd = 低,DCavg = 中等。
2. 3 级,MTTFd = 中等,DCavg = 低。
3. 2 级,MTTFd = 中等,DCavg = 中等。
4. 2 级,MTTFd = 高,DCavg = 低。
5. 1 级,MTTFd = 高。

 

Exception only for the output part of the SRP/CS.


If for machanical, hydraulic or pneumatic components (or components comprising a mixture of technologies) no application-specific reliability data are available, the machine manufacturer may evaluate the quantificable aspects of the PL without any MTTFd calculation.


For such cases, the safety-related performance level (PL) is implemented by the architecture, the diagnostic and the measures against CCF. The next table shows the relationship between achievable PL and categories.

  PFHd 1/h) Cet. B Cat. 1 Cat. 2 Cat. 3 Cat. 4
PL a 2*10-5 * 0 0 0 0
PL b 5*10-6 * 0 0 0 0
PL c 1,7*10-6 - *2 *1 0 0
PL d 2,9*10-7 - - - *1 0
PL e 4,7*10-8 - - - - *1
* Applied category is recommended
0 Applied category is optional
- Category is not allowed
*1 Proven in use or well-tried (confirmed by the component manufacturer to be suitable for particular appllication) components and well-tried safety priciples must be used
*2     Well-tried components and well-tried safety priciples must be used. For safety-related components that are not monitored in the process, the T10d value can be dtermined based on proven in use data by the machine manufacturer

组合若干个SRC/PS获得总的 PL等级

安全相关功能可能包括一个或多个 SRP/CS,还可能有若干项安全相关功能同时使用 SRP/CS

 

各个 SRP/CS 功能亦可能通过其他结构获得。

 

鉴于安全相关功能通过若干 SRP/CS (如安全光幕、控制逻辑、电源输出)串联获得,若假定此类 SRP/CS PL 等级已知,则该标准提供了一种简单的整体 PL 等级计算方法。

 

找到具有 PL 低等级的部件
找到具有 PL 低等级的部件数 n
在下列表格输入数据,即可计算出整体 PL

 

 

fig7

 

根据ISO 13849-1 的表3,本例计算出的 PL 等级为中等。

 

fig8

 

已知:    PL 低 = d              N 低 = 1 (< 3) 

因此:   PL 总 = d 

对于整个系统而言,平均每小时失效概率应该是 1 x 10-6 1 x 10-7 之间的某个数值(参见 ISO 13849-1 中的表 3)。