要求可靠性:机器控制系统的新安全标准

欧洲机械指令2006/42/EC于2009年12月29日生效。由于它的引入，全球所有在欧洲经济区销售机器的制造商都有义务满足额外的安全要求。该指令还伴随着一系列协调标准(图1)。除了遵循指令本身，在欧洲销售其机器的制造商必须根据机器特定的产品标准(c型标准)进行调整，这反过来又参考了基本(a型)和通用安全(b型)标准的要求。

这些新规则的结果是，机器控制系统的安全性现在是根据可靠性来评估的，现在参考了一个新的标准:EN ISO 13849。这为控制系统设计带来了一个全新的视角。

合规、期限

根据欧洲机械指令(EMD)，必须根据EN ISO 14121对每台机器进行风险评估。如果发现了相关的风险，必须采取措施将这些风险最小化。为了降低风险，必须采用以下顺序:

1.内在设计的回避;

2.通过保障措施加以避免;

3.利用信息回避。

如果一个措施依赖于一个控制系统，那么它执行一个安全功能。为了确保控制系统的设计符合安全要求，在这种情况下，EMD参考了EN ISO 13849。该标准处理控制系统(SRP/CS)安全相关部件的设计和集成，独立于所使用的技术-与IEC 62061(适用于电子-电子控制系统)相反。如果机器制造商不使用这个协调标准，并且发生了损坏，制造商必须能够证明其机器控制系统至少符合EMD的要求。

EN ISO 13849已经有效并取代了EN 954。虽然EMD在2011年12月31日之前仍然允许在一些特殊情况下应用EN 954(例如，对于没有机器特定标准的交钥匙系统)，但从产品责任的角度来看，建议应用EN ISO 13849。此外，如果Type-C标准已经引用了EN ISO 13849，则必须应用新标准。

控制系统设计的新程序

新标准引入了设计安全相关控制系统的新程序。它提供了统计方法，在设计工程师中促进了一种新的心态:现在必须从各种安全工程的角度考虑控制系统中不同组件的互操作性。

一方面，对于已建立安全技术的机器，这种新方法将产生定量证据，证明已达到的安全水平。另一方面，对于存在安全弱点的机器，它提供了明确的建议，说明如何改进这些弱点。因此，本标准为系统地提高机器安全性提供了指南。这些指导方针还有助于通过降低生命周期成本来优化机器可用性。

新视角

EN ISO 13849以要求的性能水平(PLr)的形式描述了每个确定的安全功能的安全要求。如果这些在机器特定的标准中没有规定，设计人员使用EN ISO 13849的风险图。根据有关影响、频率、持续时间和预防风险的可能性的问题，可按“a”至“e”进行评估，“a”代表低风险，“e”代表高风险。

性能水平(PL)是用于安全相关设计的特征，并根据EN ISO 13849对控制系统进行评估。它描述了控制系统对降低风险的贡献，并根据每小时发生危险故障的平均概率(PFHd)来定义。这意味着控制系统的安全性现在是根据其故障概率(或可靠性)来评估的。

对于控制系统的设计，EN ISO 13849纳入了EN 954的系统架构，现在与PL直接相关(图2)。控制类别根据它们是单通道还是双通道，它们是否设计有或没有监控，它们是否能够抵抗系统错误，以及它们的可靠性值而有所不同。

基本上，EN ISO 13849为设计工程师提供了更大的自由，以找到实现PLr的最具成本效益的解决方案。根据所选择的类别，在安全框图中设计和建模电路。该安全模型决定了在PL计算中考虑单个组件的方式。这种建模意味着一个全新的视角与各自的工作包，特别是对于复杂系统的设计师与流体动力技术。

除控制类别外，元器件可靠性在PL计算中也起着重要作用。为了将组件应用于安全功能，EN ISO 13849要求遵守特定安全设计原则的先决条件。

例如，根据断电原理，组件必须通过切断电源并在所有批准的操作条件(振动、温度等)下保持此位置来达到安全状态;见产品数据表)。如果一个产品不符合这些安全原则，它就不适合基于EN ISO 13849的安全功能。

确定可靠性

根据不同的技术，供应商必须提供不同的可靠性特性，例如液压元件的平均无危险故障时间(MTTFd)， B¹⁰气动元件的值或电子子系统的PL (PFHd)。这些是统计期望值，在很大程度上取决于确定方法和操作条件。

通常，确定所需可靠性特性的主要方法有三种:寿命计算、寿命测试和现场寿命数据。

寿命计算可根据零件计数法或零件应力法进行。这些方法用于计算组件的可靠性，特别是电子组件，基于每个部分(如电阻，电容器等)的寿命特性(MTTF)。

温度等环境条件在寿命计算中起着重要作用。EN ISO 13849建议，当满足EN 982的安全原则和要求时，液压元件的MTTFd为150年。然而，对于集成了多个液压元件的产品，MTTFd必须根据EN ISO 13849使用零件计数法计算。例如，对于先导阀和主阀的组合，MTTFd将是75年而不是150年。

寿命测试可用于确定B¹⁰可靠性特性，如气动元件的可靠性特性。B¹⁰在规定条件下，在10%的元件超过规定限值(响应时间、泄漏、开关压力等)之前所发生的循环次数的期望值。这一统计证据在很大程度上依赖于测试条件和样本数量。

如果存在一个关于产品在该领域应用的足够大的数据库，则可以从该领域数据中获得MTTF。该寿命特性代表了该领域整体应用的平均值。为了确保显著的统计证据，仔细收集和评估数据是非常重要的。

EN ISO 13849只考虑危险故障(即对机器安全有危险的故障)。由于危险故障的百分比通常不能直接识别，因此本标准假设所有故障中有50%是危险的:MTTFd = 2 × MTTF，即B^{10 d}= 2 × B¹⁰．机器安全功能的MTTFd使用零件计数程序计算(图3)。德国机械和工厂建设协会(VDMA)建议使用德国社会意外保险职业安全与健康研究所(IFA)的Sistema软件，该研究所参与了本标准的制定)。

诊断范围，常见原因故障

诊断覆盖率(DC)是影响PL的另一个因素，它指定了可以检测到的危险故障的比例。

为了确定组件的诊断特征，用户需要知道所有类型的危险故障，以及它们发生和检测的概率。此计算是针对特殊产品进行的。对于标准部件，EN ISO 13849提供了具有典型直流值的测量列表，例如具有直接位置监测的阀门的DC = 99%。

然而，在高级控制系统中，位置信号的适当处理是非常重要的。最后，为组件指定直流是极其困难的，因为它们的测量依赖于诊断信号的完整处理。

EN ISO 13849也考虑了共因故障(CCFs)。这表示由于常见事件(如高温)导致的冗余单元故障。因此，对于双通道控制系统，必须遵守围绕ccf电阻的特定要求。针对ccf的措施(如防超压/过电压保护)使用一个表进行评估，每个应用的措施都有不同的点，其中至少必须达到100分中的65分。

最后，EN ISO 13849要求考虑控制和避免系统故障的措施。这意味着任何专门创建的软件也必须满足相应的需求。还必须确保在整个控制系统的设计中也符合基本的和久经考验的安全原则。

一旦机器设计完成，EN ISO 13849-2规定了一个验证程序，以检查计划的安全功能是否已正确实施和记录。这个过程包括检查错误列表:关于故障排除的假设是否得到确认?假设的类别也必须得到确认:现有的电路实际上代表了进行计算的类别吗?

www.boschrexroth-us.com

博世力士乐的指导方针，“达到绩效水平的10个步骤”，可在www.boschrexroth.com/safety．欲了解更多信息，请联系亚历山大·奥斯，alexandre.orth@boschrexroth.de

---

- Alexandre Orth博士在德国维尔茨堡博世力士乐公司的质量方法部门协调“可靠性和可维护性”的主题。他是VDMA(德国机械和工厂建设协会)和ZVEI(德国电气和电子工业)功能安全和可靠性工作组的成员。

- j rgen Barg博士是德国洛尔博世力士乐公司应用中心电液驱动部门的负责人。他在有关欧洲机械指令的各种标准委员会和VDMA工作组中发挥积极作用。

- Renee Robbins Basset编辑，rrobbins3000@comcast.net。为控制工程，www.globalelove.com。

---

还读:

控制工程机器安全博客在www.globalelove.com/blogs-添加您的评论和问题。

从系统集成商的角度看安全

En iso 13849-1;2006 -我们准备好了吗?

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。