Top
首页 > 正文

机器人功能安全(下)——功能安全评估程序及案例

确定了电路结构后,还要选择元器件,确定平均危险失效时间MTTFd、平均诊断覆盖率DCavg、共因失效等参数,进而评估紧急停止功能所达到的性能等级PL。
发布时间:2019-06-27 12:47        来源:中国软件评测中心        作者:中国软件评测中心

在上期文章中,赛迪机器人检测认证专家结合赛迪机器人在机器人功能安全方面的已有能力和实施经验,对功能安全定义和机器人功能安全标准进行了介绍,在本期文章中,将继续针对机器人功能安全的评估程序和案例进行详细介绍。

一、机器人功能安全评估程序

安全相关控制系统的设计程序,一般包括以下步骤:

1.风险评估,对机器人设计、生产、试运行、维修维护等生命周期相关阶段内的危险进行识别、估计和评价;

2.安全功能确认,识别并确认所需的安全功能,如紧急停止、保护性停止、安全相关的速度限制、安全相关的力控制等;

3.确认性能等级要求PLr,根据产品标准的要求,或根据风险评估的结果进行确定;

4.确认各安全功能的设计要求,包括硬件架构(输入、逻辑控制单元、输出、监控等)、诊断覆盖率(DC)、平均危险失效时间(MTTFd)、共因失效(CCF)等方面。表1和图1给出了性能等级PL与每个通道的类别、诊断覆盖率、平均危险失效时间的关系;

1
图1:性能等级PL与每个通道的类别、诊断覆盖率、平均危险失效时间的关系

2
表1 性能等级关键参数与评估准则

5.评估性能等级PL,一旦确定了类别(Category)、诊断覆盖率(DC)、平均危险失效时间(MTTFd)、共因失效(CCF)四个参数,即可确定安全功能达到的性能等级PL。如果证实性能等级PL≥性能等级要求PLr,即可说明符合功能安全的设计要求。

二、机器人功能安全评估案例

紧急停止功能是机器人功能安全中最重要的安全功能之一,任何安全功能的失效,都会导致非常严重的后果。下面以工业机器人紧急停止功能为例,阐述机器人功能安全评估的实例。

根据工业机器人标准ISO 10218-1:2011,紧急停止功能应满足类别Cat.3,PL d的要求。

首先,紧急停止功能的安全回路应满足Cat.3的要求:

-使用经验证的元件(well-tried component);

-单故障时不可以使安全功能丧失,应于下一安全功能作动时或作动前被侦测到;

-不代表所有的故障都将会被侦测到,可以察觉部分故障,但无法察觉全部故障;

-若发生单故障时,安全功能可以照常作动,还是可以切断危险动作;

-未被察觉之故障的累积,可能会导致安全功能的丧失;

-每一通道的MTTFd应为“低、中、高”;平均诊断覆盖率DCavg应为“低、中”;CCF应为“符合”。

其次,紧急停止功能应符合ISO 13850的0类断电的要求,即通过切断所有危险运动部件制动器的电源来实现紧急停止。

3
图2: 类别3的指定结构

图3为紧急停止安全回路示例[2],其中S1、S2、S3是三个急停按钮,K1是安全继电器,K2、K3是接触器。急停按钮为输入装置,安全继电器为安全逻辑控制器,两个冗余的接触器为输出装置。每个急停按钮有两个触点,急停信号被冗余地读入安全继电器K1以进行故障检测(如断线检测)。安全继电器具有强制导向结构,在发生触点熔结现象时也能确保安全。安全继电器可以保障在紧急停止命令解除时,机器不能再启动,必须进行故障复位才可以重新得电。接触器K2和K3也通过机械连接的触点,在安全继电器K1中进行监控。K2或K3中任何一个出现故障,电机的动力电源都会被立刻切断。K2和K3构成了冗余,保证了电机的危险电源可以被可靠切断。

4
图3:紧急停止安全回路示例

确定了电路结构后,还要选择元器件,确定平均危险失效时间MTTFd、平均诊断覆盖率DCavg、共因失效等参数,进而评估紧急停止功能所达到的性能等级PL。

元件选择:

-急停按钮S1、S2和S3符合IEC 60947-5-1附录K要求,急停装置符合EN ISO 13850标准;

-安全继电器K1可以满足Cat.4和PL e的要求;

-K2和K3具有符合IEC 60947-5-1附录L要求的机械连杆触点。

平均危险失效时间MTTFd:

-急停按钮S1、S2和S3,故障排除适用于强制断开触点和机械设备;

-安全继电器K1符合PL e,MTTFd值250年;

-接触器K2和K3:根据制造商提供的数据,其B10为1000000。假定其中50%为危险失效,其B10d应为2000000。假定1年工作240天,每天工作12小时,每周期28秒,经计算,其MTTFd应为54年;

-系统MTTFd应为“中”。

平均诊断覆盖率DCavg:

-急停按钮S1、S2和S3使用了强制断开触点,其诊断覆盖率可达99%;

-安全继电器的诊断覆盖率可达99%;

-基于安全继电器K1的测试,接触器K2和K3的诊断覆盖率可以达到90%;

-整个系统的诊断覆盖率为“中”。

共因失效:对系统共因失效的措施打分(共70分):分离(15分),经过验证的元件(5分),过压保护等(15分)和环境条件(35分),对系统共因失效采取的措施符合要求(大于65分)。

依据图1,该急停安全回路可以达到的性能等级为PL=d,满足PLr=d的要求。

三、结语

近年来,我国工业机器人市场迅速增长,销量增速屡创历史新高,自2013年起年销量连续5年位居世界首位,同时,我国服务机器人市场也不断壮大,服务机器人企业如雨后春笋般涌现。在机器人市场迅猛发展的形势下,功能安全问题显得尤为重要,北京赛迪机器人测评工程技术中心有限公司正加速开展机器人及系统的功能安全检测认证工作,规范国内机器人市场,提高机器人产品质量与安全,切实保障用户的人身和财产安全。

专题访谈

合作站点
stat