ZHCACO8 may 2023 TMS320F280033 , TMS320F280034 , TMS320F280034-Q1 , TMS320F280036-Q1 , TMS320F280036C-Q1 , TMS320F280037 , TMS320F280037-Q1 , TMS320F280037C , TMS320F280037C-Q1 , TMS320F280038-Q1 , TMS320F280038C-Q1 , TMS320F280039 , TMS320F280039-Q1 , TMS320F280039C , TMS320F280039C-Q1
2.1 符合 ISO 3691-4 的安全要求
ISO 3691-4 标准定义了无人驾驶工业卡车的安全要求和验证,包括自主移动机器人 (AMR) 等工业移动机器人。该标准描述了整个机器的安全要求;因此,设计人员负责确定安全功能在工业叉车模块内的位置,如图 2-1 所示。
图 2-1 简化的移动机器人方框图安全标准 ISO 3691-4 描述了在存在危险情况时必须实施的安全注意事项,旨在满足必要的风险降低要求。对于所述的每种风险情况,ISO 3691-4 标准根据 ISO 13849-1 分配所需的最低性能级别 (PL)。PL 是一个通常用于实现每个安全功能所需风险降低的值,并在机械标准 ISO 13849-1 中进行定义。
与 PL 类似,多个标准使用 IEC 61508 中定义的安全完整性等级 (SIL) 参数来衡量系统安全性能。表 2-1 中显示了 PL 和 SIL 级别之间的关系。
| 硬件故障容错 (HFT) | 类别 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| IEC 61508 标准 | ISO 13849 | ||||||||||
0 | 1 | 2 | 0 | 1 | 2 | SFF | 直流 | 1 | 2 | 3 | 4 |
- | SIL 1 | SIL 2 | SIL 1 | SIL 2 | SIL 3 | < 60% | 无 | ||||
SIL 1 | SIL 2 | SIL 3 | SIL 2 | SIL 3 | SIL 4 | 60% 至 < 90% | 低 | c | c | d | |
SIL 2 | SIL 3 | SIL 4 | SIL 3 | SIL 4 | SIL 4 | 90% 至 < 99% | 中 | d | e | ||
SIL 4 | SIL 4 | SIL 4 | SIL 4 | SIL 4 | ≤ 99% | 高 | e | ||||
类型 B | 类型 A | ||||||||||
SIL 和 PL 都是用于确保安全性能的离散级别,这些级别通过使用不同的参数来量化诊断能力。SIL 使用安全失效分数 (SFF) 作为参数来量化系统的安全故障与总故障之间的比率。同样,PL 将 DC 参数称为系统中实施的诊断有效性的度量。但是,SIL 和 PL 通过两个成反比的主要参数相关:MTTF(平均危险失效时间)和 PFH(每小时危险失效概率),前者在 ISO 标准中使用,后者在 IEC 标准中使用。通过使用此关系,可以在评估系统安全性时同时使用 PL 和 SIL 级别。
| PL (ISO 13849) | PFH 目标值 [PFH = 1/MTTF] | SIL(IEC 61508、IEC 62061) |
|---|---|---|
a | ≥ 10-5 至 < 10-4 | 无对应关系 |
b | ≥ 3 x 10-6 至 <10-5 | 1 |
c | ≥ 10-6 至 < 3 x 10-6 | 1 |
d | ≥ 10-7 至 < 10-6 | 2 |
e | ≥ 10-8 至 < 10-7 | 3 |
尽管 PL 或 SIL 适用于完整的安全功能(通常由传感器、数据处理和执行器组成),但这些功能子系统中的每一个都需要满足最低 PL 或 SIL 要求。每个子系统都有不同的标准来描述如何满足安全级别。例如,对于电机驱动器和执行器实施,子系统特定的标准 IEC 61800-5-2 用于指定安全要求。
IEC 61800-5-2 通过描述安全转矩关闭 (STO)、安全限速 (SLS)、安全制动控制 (SBC) 等指定的安全子功能,定义了电机驱动器的设计和开发要求。
在该标准中,IEC 61800-5-2 指的是 ISO 13849-1,其中描述了每个子功能实现最低 PL 所需的要求。此外,上文提到的两个标准都讨论了系统之间的独立性、冗余和处理时间等方面,在实施系统时必须加以考虑。
因此,在开始系统实施之前,务必了解每个应用的安全要求、需要实施的安全子功能和每个子功能所需的风险降低级别(SIL 或 PL)之间的主要关系。
如 ISO 3691-4 的表 1 所示,对于这种特定情况,需要最低 PLd 级别。着眼于电机驱动子系统,使用 IEC 61800-5-2 中定义的安全子功能,以满足 PLd 要求。表 2-3 总结了这三个标准之间的主要关系。
| 符合 EN ISO 3691-4 的 安全功能 | 符合 EN ISO 3691-4 的最低要求 PL | 符合 IEC 61800-5-2 的相关安全子功能 |
|---|---|---|
制动系统 | d/b | SBC、SS1、STO |
速度控制 | d/c | SLS、SOS、STO |
电池自动充电 | b | NR(1) |
负载处理 | b | NR(1) |
转向 | - | SLS |
稳定性 | c | NR(1) |
紧急停止功能 | d | STO |
人员检测系统 | d/c | SLS、SOS、SS1、STO SDI |
自动、手动和维护模式 | d/c | SLS、SOS、STO |
警告系统 | a | NR(1) |
进入受限区域 | d | SOS、STO |