聊一聊 - 功能安全 CAT3

文章目录前言1. 功能安全简介1.1 历史背景1.2 功能安全的种类2. CAT3 是什么2.1 CAT 的五个等级2.2 CAT3 的核心特征2.3 CAT3 的量化要求3. 我的疑问3.1 PLa~e是什么意思3.2 PL 与 CAT 的关系3.3 IEC 63327 是个什么它与 CAT3 的关系4. 总结前言最近在做产品的过程中碰到了一个之前做IOT时没有了解过的概念叫功能安全认证然后里面有个CAT3架构整体上来说就是围绕着失效情况下的安全要去怎么实现之类的。这里趁这个机会做个简单的梳理属于学习笔记了部分内容参考自AI。1. 功能安全简介在聊 CAT3 之前得先知道功能安全这玩意儿是怎么来的不然直接看概念会很飘。1.1 历史背景1996 年的老标准EN 954-1很单纯只要你的安全回路是双通道两根线、两个继电器就认为你安全等级高。就像买车时只看有没有安全气囊不看气囊质量好不好、传感器灵不灵。那时候控制系统主要是继电器、接触器、硬布线逻辑安全与否很大程度上取决于物理接线结构。但后来的机器开始大量用芯片、MOSFET、软件控制老标准遇到了根本性的麻烦继电器时代双通道就是两根线断了就断了肉眼都能看出来电子时代芯片可能假死输出错误但不断线、软件可能跑飞、电磁干扰可能让两个通道同时出错EN 954-1无法覆盖电气/电子/可编程电子E/E/PE系统也没有定量可靠性指标。所以 2006 年出了新标准ISO 13849-1不再只看有几根线而是要看这套系统到底有多可靠。新标准的核心理念保留CATB/1/2/3/4作为架构基础但新增PLa~e作为最终安全指标并引入MTTFd平均危险失效时间、DC诊断覆盖率、CCF共因失效作为定量参数。这意味着CAT 3不再是终点而是实现某个PL的架构手段之一。1.2 功能安全的种类功能安全主要关注的是“在发生故障时系统能否保持安全状态”。根据实现方式的不同常见有这么几类类型核心思路典型场景被动安全不依赖电子系统纯机械结构保证安全机械联锁、安全门、急停按钮的物理断开主动安全通过电子/电气系统检测危险并主动干预安全 PLC、安全继电器、光幕、激光扫描仪功能安全系统本身的功能执行过程中故障不会导致危险安全回路设计、双通道冗余、故障检测机制CAT3 属于功能安全的范畴具体来说是一种主动安全 功能安全的硬件架构设计。它不是某个具体的元器件而是一套设计思路和架构要求。2. CAT3 是什么现在进入正题。CAT3 是ISO 13849-1定义的五种架构类别之一从B到4安全等级逐级提升。2.1 CAT 的五个等级类别架构特征发生故障时的安全行为诊断要求 (DC)典型可达到的 PL通俗理解B单通道无冗余无诊断故障可能导致安全功能丧失无要求a ~ b“基础版”靠单个元件正常工作坏了就坏1单通道无冗余无诊断同 B但要求使用经验证的安全元件和高 MTTFd无要求b ~ c“长寿版”还是单通道但用更可靠的元件2单通道定期测试单一故障可能被检测出来但测试间隔内存在风险低~中 (≥60%)c ~ d“体检版”只有一个通道但定期自检3双通道冗余单故障安全一个通道故障时另一个仍能执行安全功能尽可能检测该故障低 (≥60%)c ~ d“双保险”两套独立回路一套坏了另一套顶上4双通道冗余 高诊断所有单一故障安全累积故障也能被检测高 (≥90%)d ~ e“终极版”双保险 几乎能发现所有故障关键差异快速理解B → 1从随便用到用好的。CAT 1仍然是单通道但要求使用经验证的安全元件且MTTFd必须是高30~100 年。本质上是用元件可靠性来弥补架构的不足。1 → 2从靠命硬到会体检。CAT 2增加了定期测试机制。比如安全 PLC 每 100ms 测试一次输出回路。但测试间隔内如果元件刚好坏了系统处于不安全状态——这是CAT 2的致命弱点。2 → 3从单通道体检到双通道实时互锁。CAT 3是双通道冗余。一个通道故障另一个立刻接管且系统实时比较两个通道发现不一致就进入安全状态。没有测试间隔的盲区。3 → 4从尽可能检测到必须检测所有单一故障 累积故障。CAT 4要求检测所有单一故障DC ≥ 90%并且要考虑累积故障两个通道各自发生独立故障刚好互补掩盖。通常需要动态测试如脉冲测试、交叉比较 时序监控来确保没有 stuck-at 故障被隐藏。2.2 CAT3 的核心特征ISO 13849-1对CAT 3的核心要求可以概括为一句话“单故障安全Single-fault safety”——系统的安全功能在发生单一故障时不会丧失且尽可能检测该单一故障。最常见的实现方式是双通道架构输入通道 1 ──► 逻辑处理 1 ──┐ ├──► 交叉比较/监控 ──► 输出 输入通道 2 ──► 逻辑处理 2 ──┘两个通道独立执行相同的安全功能结果传递到另一个通道进行交叉比较Cross-monitoring如果两个通道结果不一致系统进入安全状态简单说CAT 3就是双通道 交叉比较 自检。它不是双通道就完事了而是双通道 能自检 防共因失效的完整设计思路。2.3 CAT3 的量化要求CAT 3不是纯架构必须满足以下定量要求参数CAT 3 要求说明DC诊断覆盖率至少为 Low≥60%系统必须能检测出至少 60% 的危险故障MTTFd根据目标 PL 确定低/中/高元器件平均危险失效时间CCF共因失效必须采取措施评分 ≥65/100防止同一原因导致双通道同时失效架构双通道冗余单一故障不应导致安全功能丧失CAT 3就是做两套独立的安全回路让它们互相监督而且系统得能发现其中一套是不是坏了同时还得防止同一碗坏牛奶把两个人一起放倒。3. 我的疑问在查 CAT3 的过程中脑子里冒出了几个疑问记录一下当时的思考过程。3.1 PLa~e是什么意思PLPerformance Level性能等级是ISO 13849-1用来定量衡量一个安全控制系统有多可靠的标尺。简单说它回答一个问题“这个安全回路比如急停、防撞、防跌落每小时出致命故障的概率是多少”PL每小时危险失效概率PFHD通俗理解类比场景a10 − 5 10^{-5}10−5~ 10 − 4 10^{-4}10−4较低安全等级家用电器的简单保护b3 × 10 − 5 3 \times 10^{-5}3×10−5~ 10 − 4 10^{-4}10−4比 a 稍高低风险自动化设备c10 − 6 10^{-6}10−6~ 3 × 10 − 5 3 \times 10^{-5}3×10−5中等安全等级普通工业机器人围栏门d10 − 7 10^{-7}10−7~ 10 − 6 10^{-6}10−6高安全等级商用清洁机器人白天人机协作场景e10 − 8 10^{-8}10−8~ 10 − 7 10^{-7}10−7最高安全等级汽车安全气囊、高速冲压线双手按钮说白了PL d就是每小时发生危险失效的概率要控制在百万分之一以内。对于商用清洁机器人这种白天在公共场所和人一起工作的设备这个等级是比较常见的目标。3.2 PL 与 CAT 的关系这是我最开始最 confused 的地方。客户说我要 PL dCAT 3我当时以为这两个是一回事。搞清楚后PL是目标安全等级CAT是手段硬件架构。同一个PL d目标可以用不同的CAT架构 不同的MTTFd 不同的DC组合来实现。比如目标 PL常见 CAT 选择说明PL a~bCAT B 或 1低安全等级单通道即可PL cCAT 2 或 3中等安全等级需要诊断或冗余PL dCAT 3 或 4高安全等级通常需要双通道冗余PL eCAT 4最高安全等级必须双通道 高诊断所以CAT 3只是实现PL d的常见手段之一不是唯一手段。PL d也可以用CAT 4架构实现。正确的表述应该是“目标 PL d采用 CAT3 架构配合 MTTFd高 和 DC中 来实现。”3.3 IEC 63327 是个什么它与 CAT3 的关系IEC 63327是产品安全标准可以理解为考纲规定商用清洁机器人必须考哪些科目急停、防跌落、避障、电气安全等。CAT3是硬件架构类别是实现PL d的答题技巧——双通道冗余 诊断。ISO 13849-1是评分标准用PLa~e给你打分用MTTFd、DC、CCF定量计算。一句话总结IEC 63327告诉你要考什么ISO 13849-1告诉你怎么算分CAT 3告诉你用什么套路答题。要达到PL d常见的组合是CAT 3双通道冗余 MTTFd 高30~100 年 DC 中90~99%这意味着硬件上用双通道冗余设计比如急停、碰撞检测、边界识别等关键安全回路选用的元器件平均危险失效时间要足够长30~100 年级别系统要能检测出 90%~99% 的故障比如通道不一致、信号丢失、超时等当然这不是唯一的组合。PL d也可以用CAT 4架构实现或者用CAT 3 更高的MTTFd和DC来实现。4. 总结CAT 3的核心是双通道冗余 交叉比较 尽可能检测单一故障不是简单的做两套一样的电路就算达标。它还需要满足DC ≥ 60%、MTTFd根据目标 PL 确定、CCF评分 ≥65/100 等定量要求。PL是目标安全等级CAT是手段硬件架构MTTFd和DC是参数元器件可靠性和诊断能力。这四个东西通过ISO 13849-1的计算矩阵关联在一起最终算出来你的系统到底能不能达到客户要求的 例如PL d。IEC 63327则是产品层面的安全标准告诉我们这款商用清洁机器人需要满足哪些具体的安全功能急停、防跌落、避障等而ISO 13849-1是评估这些安全功能控制系统的方法论。