随着中国制造业的崛起，机械行业似乎终于要迎来自己的春天了。目前政府力挺制造业的决心愈加明显。机电产品的出口呈现局部行业井喷的状态。从三年前的锂电设备，到汽车生产制造设备到光伏半导体设备，中国制造业在逐步的摘掉低端的帽子。

提到设备出口就绕不过国际安全认证。不管是欧盟的CE还是北美市场的UL标准，对机械设备都提出了基本的安全要求。 然而，看似基本要求，对于很多的中国制造商来说，安全相关标准仍然普及率不高。这一方面是由于我们过去的快速发展落下了功课。另一方面也是因为我们多数的中小企业目前在制造业领域取得的成就很大层面是借鉴参考国外设备而来，而这，不可避免的就忽略了安全相关的设计和规范要求。

在执行相关国际认证的时候，工业设计当中，如何保证一个回路满足了相应的安全PL等级？ 从而保证这个控制回路是足够安全的呢?这个是各位设计者一个头疼的问题，设计这样是否正确呢，客户的要求有没有满足呢？有没有相关指导教导我们如何设计安全回路呢，或者有没有相关参数的数据来支撑这个回路的验证呢，今天在这里举一反三，讲解一下安全回路的要点。希望可以为大家带来一点点启发。

一，引言

为避免机械设备运行时重要信号失效，工程技术人员在设计电气原理图时会增加冗余设计，例如将行程开关双动作信号设计为双触点输出，或将接触器辅助触点接入PLC监测其动作状态，以增加电气回路的可靠性。然而这样的设计方法缺乏可量化的安全指标。自EN ISO 13849-1:2008出版以来，沿用了多年的EN 954-1被逐渐取代[1-2]。随着EN ISO 13849-1:2008中的安全设计原则开始被多国接受，目前已成为自动化机械设备安全功能设计的首要原则。我国也发布了基于ISO 13849标准的GB/T 16855《机械安全 控制系统安全相关部件》在机械自动化行业内推广使用[3]。

ISO 13849原则的经典应用是双手操作装置、双控制回路、动作监测等设计；元器件厂商提供安全元器件的PL（性能等级，Performance Level）等级、低压元器件B10D（10%元件危险失效时的周期数）等参数。目前机械设备正不断走向高度自动化、智能化，更多的液压、气动、传感器、电气元件被集成在机械设备中，使其变得更灵活、功能更强大。但是复杂程度高的机械设备，其控制电路出现信号被干扰、元器件失效、线缆损坏等故障的概率也会相应增加，因此会造成机械设备的损坏，甚至严重的安全生产事故。所以在设计控制电路之初对重要的控制回路进行安全指标评估就显得尤为重要。

二、安全回路设计考虑的相关标准：

ISO12100，风险评估及风险降低一般原则

ISO 13849-1,机械安全 控制系统安全相关部件 设计原则（GB/T 16855.1）

13849这个标准都是安全部件组合的相关标准，从输入（input）到逻辑处理（logic）再到输出（output）组成的一个控制回路，这些控制回路可以通过以上这个标准来设计。

三、如何设计一个足够安全控制回路

控制回路的安全等级如何确定，有一般有两种办法来确定。

第一 采用该设备的安全相关的标准，就是我们所说的C类标准，里面就有明确规定的了该设备应该采用相对应的安全等级.

例如:

1.机床安全 小规格的数控车床(GB 22997)，“带防护锁定的联锁——3类”

2.注塑机 安全要求 (EN 201) “联锁防护装置——PLr=d“

3. 工业机器人 安全要求（ISO 10218）“控制系统的安全相关部件的设计应确保其结构符合PLr=d ,3类”

4.机械安全 激光加工设备 （ISO 11553-1）“通常情况，安全需求要3类”

5.剪板机 安全技术要求（GB 28240）”剪板机控制系统应该满足4类要求“

以上这些提到”3类”或者”PLr”都是来自于ISO 13849-1(GB/T 16855.1)，

第二 C类标准没有提出来的安全需求的，需要工程师安全风险的三个特征定性+定量的考虑原则来确定

①根据现场的工作环境，确定风险区域和风险源，

②定义风险，例如危险会造成的伤害程度（S），以及危险暴露的频率（F）,和躲避危险的可能性（P）来确定所需要的安全等级。具体如何定义风险，后续会拿出一个章节来单独普及风险识别和风险评估的相关内容。

③使用风险图表（如下）确定PLr

④设计和实施所要求的的安全功能，确定硬件回路架构及硬件安全等级要求。

在机械行业，常见的有如下四种回路设计结构

下面举例这几种常见的硬件设计回路及其对应的PL等级帮助大家更好的理解如何实现相应的PL等级。根据不同的等级给出相对于的简图，图中有未详尽的参数默认为符合标准范围内的。

示例一：B类 ，对应PLb，B类系统不考虑风险诊断率（DC avg 默认等于0），且通道的MTTFd(平均失效前时间）可降低至中等水平。

范例如下：

安全功能描述：移动式的防护罩（如安全门等）由B1接近开关检测，当防护罩打开时，Q1会断开，电机停止工作(STO)。

示例二：1类，可达到的最大安全等级为PLc，与上面的B类系统同样，1类架构亦不考虑风险诊断率（DC avg 默认等于0），对单通道硬件的MTTFd(平均失效前时间）要求高一个等级。这样，安全功能发生故障的概率要小一些。

范例如下：

安全功能描述：移动式的防护罩（如安全门等）由B1安全门开关检测，当防护罩打开时，Q1会断开，电机停止工作(STO)。

注：B1使用经过验证的元件，安全门开关，这些经验证元件有个特点是带有明确的唯一断开功能。

示例三：2类，可以达成的最高安全等级为PLc，2类架构要求控制回路的功能按照适当的时间间隔通过机器的控制系统进行检查，如果没有检查到故障，才运行相关的功能，当检测到故障包括没有返回对应的信息时，能够自动触发适当控制动作的输出，其动作要保持安全状态直至故障清除为止。当没办法保证安全状态时，需要发出危险警告。对于硬件回路中相关安全器件的配置选择，每一个通道的MTTFd应为low to high。全SRP/CS的DC avg为low，CCF为Yes。

范例如下：

安全功能描述：安全光幕SLC1被触发后，电机停止工作

注：SLC1:2类安全光幕，KA1：继电器，Pilot lamp：指示灯

推荐用2系列的光幕，自带指示灯的那种.

2类其实有很多的缺点，用单一元件做到PLd这个是一件比较麻烦的事情。但是这个可以省下一些成本，但是在认证时会有时候被判定不及格。

示例四：3类，P可以达成的最高安全等级为PLd，3类架构要求控制回路中的任何部件的单一故障都不会导致安全功能丧失。只要合理可行，在有关安全功能的下一个指令发出时或发出之前应该检测到这一单一故障。包含故障检测在内的整个SRC/CS的诊断覆盖率（DC）等级为低。每个冗余通道的MTTFd应该高低均可选，应该采取防止CCF的有效可靠措施。然而，需要明确，即便是考虑了冗余，考虑了检测，对于3类架构，仍然有如下缺点需要注意：a:并不是所有故障都可以被可靠的检测到。b:未检测到的故障的累积可能会导致安全工作的丧失。

范例如下：

B1

安全功能描述：安全门解锁后打开，变频器停止工作，电机停止

注：B1: 安全门开关、安全电磁锁

Safety module：安全继电器

KM1:接触器

示例五：4类，P可以达成的最高安全等级为PLe，4类架构要求控制回路中的任何部件的单一故障都不会导致安全功能丧失。只要合理可行，在有关安全功能的下一个指令发出时或发出之前应该检测到这一单一故障。区别于3类，未发现故障的累计不会导致安全功能的丧失。包含故障检测在内的整个SRC/CS的诊断覆盖率（DC）等级为高。每个冗余通道的MTTFd必须是高的，应该采取防止CCF的有效可靠措施。

安全模块

安全功能描述：安全防护门打开时，电机停止工作

注：B1,限位开关，B2限位开关，建议用自带安全等级的系列产品可以一个代替两个限位开关。安全模块：SRB系列的安全继电器， Q1,Q2：接触器

综上，对于一个复杂的系统，往往存在安全保护的多种形式。安全回路控制架构往往比较形态复杂，为方便工程技术人员对安全回路所达到的PL进行评估，需要遵循ISO 13849原则计算出安全回路的PFHD（平均每小时危险失效概率）从而确定安全回路PL。在ISO 13849中，将安全等级都被划分为五个等级，其中PL=e为最高，PL=a为最低，如表1所述。因此对每项安全功能进行评估是设计过程中重要的工作。

四、基于SISTEMA的安全计算

SISTEMA软件是德国社会意外保险职业安全与健康研究所（IFA）开发的一款符合ISO 13849原则的安全回路计算软件[5]。随着计算机技术的发展，对于大型项目或复杂系统而言，可以使用SISTEMA软件实现安全回路建模和计算，尤其对于大型工程，使用SISTEMA软件大幅降低了工程技术人员工作强度、提高设计效率、缩短设计周期。本文使用2.0.8 Build 4版本的SISTEMA软件计算。急停功能在物流行业使用最为广泛，以PLr=d的急停功能为例，计算急停安全回路的PL等级。

在该系统中急停按钮使用施耐德XA2系列产品作为输入元器件；安全输入选用西门子SIMATIC ET200SP 系列的安全DI模块作为逻辑模块的输入元器件；PLC选择SIMATIC S7 F-CPU系列CPU作为逻辑元器件；输出模块选用施耐德ALTIVAR 340变频器作为输出元器件。利用施耐德和西门子安全元器件Library中的元器件信息，添加到建立的Safety Function中，如图5所示。完成元器件添加后，SISTEMA软件即可计算出该回路的PL等级，计算结果如图6所示。由计算结果可知，该急停安全回路PL=d，PFHD=4.2E-9，符合PLr=d的设计目标。

通过以上这些示例，各位对安全回路的设计应该有个大概的理解了。

最近比较火的马斯克，他的SPACE X就是采用冗余的做法，正常那些芯片需要大量的可靠性实验来验证的，但不走寻常路的他，所用芯片就是普通的工业芯片，有5芯片对应，如果其中一个出现问题，会有多个检测回路来发现问题并有对应的控制回路来纠正问题。防止失效的故障率，所以安全就是要冗余！

如各位在设计工作中遇到有关于PL设计或计算相关的问题，欢迎随时联系交流探讨。