- 发布
- 常州新维新机电检测技术服务有限公司
- 电话
- 13961169095
- 手机
- 13961169095
- 发布时间
- 2026-06-12 08:00:00
这个产品要做到 PLr = c。
但这句话如果不拆开,很容易变成口号。
因为 ISO 13849 真正关注的,不是整机"聪不聪明”,而是:
当危险发生时,控制系统中负责安全的那一部分,能不能可靠地把机器带到安全状态。
对于割草机器人来说,这一点尤其关键。
它不是普通智能家电。它有旋转刀片, 行走电机, 自动导航, 边界判断和户外复杂环境。普通程序出错, 可能只是体验不好; 割草机器人判断错误, 可能意味着刀片继续转,机器继续走,人或宠物还在危险区内。
1. ISO 13849 管的是 SRP/CSISO 13849 不是直接评价整台机器的所有功能,而是评价:
SRP/CS:Safety-related parts of control systems,安全相关控制系统部分。
简单说,就是一条安全功能链路中负责“发现危险,做出判断,执行安全动作”的部分。
例如割草机器人里:
普通功能包括:
导航、建图、路径规划、APP 通信、割草效率优化。
安全相关功能包括:
急停,碰撞保护,抬升保护,倾斜 / 翻倒保护,边界丢失保护,停刀,刹车,电机切断。
ISO 13849 不会只问:
这台机器是不是安全?
它会进一步问:
这个安全功能是什么?
输入信号从哪里来?
由谁判断?
最后由谁切断危险动作?
中间任一环节故障时,还能不能进入安全状态?
这就是 SRP/CS 的意义。
2. PLr = c 不是整机等级,而是安全功能目标
这是最容易误解的地方。
PLr = c 不是整机贴一个“安全等级 c”。
更准确的说法是:
某一个安全功能,经过风险评估后,需要达到 PLr = c。
比如一台割草机器人里,可能有多个安全功能:
急停 | 按下后停止刀盘和行走电机 |
碰撞保护 | 撞到障碍物或人体后停止前进 |
抬升保护 | 机器被抬起时停止刀片 |
倾斜 / 翻倒 | 姿态异常时停止危险运动 |
边界丢失 | 无法确认工作区域时停止割草 |
刀盘异常 | 堵转,过流,转速异常时切断动力 |
这些功能的风险不完全一样,不能笼统说:
整机 PLr = c。
更合理的表达是:
某些安全功能的目标等级为 PLr = c,每个功能都要分别定义,分别分析,分别证明。
3. Safety Function:先说清楚“危险发生时要做什么”做 ISO 13849,第一步不是问:
有没有双通道?
MCU 是不是安全芯片?
传感器有没有认证?
第一步应该问:
这个 Safety Function 到底是什么?
例如:
急停功能可以定义为:
按下急停后,系统应在规定时间内停止刀盘和行走电机,并防止自动重新启动。
抬升保护可以定义为:
机器被抬起后,系统应停止切割装置,使刀片不再继续旋转。
碰撞保护可以定义为:
前部碰撞装置触发后,系统应停止或限制牵引运动,避免机器继续向危险方向推进。
只有安全功能定义清楚,后面的 SRP/CS、PLr、PL、Category、MTTFd、DC、CCF 才有意义。
4. 一个安全功能,不是一个传感器很多设计评估容易犯一个错误:
看到两个霍尔,就说“双通道”;
看到 MCU 有检测,就说“有诊断”;
看到驱动芯片有保护,就说“满足 PL c”。
这都太早了。
ISO 13849 看的是完整链路:
输入 → 逻辑 → 输出 → 安全状态
以抬升保护为例:
抬升霍尔 / 开关
→ MCU 输入检测
→ 软件诊断和状态判断
→ 电机驱动控制
→ 刀盘断电或刹车
→ 进入安全状态
如果传感器触发了,但 MCU 没处理;
或者 MCU 判断了,但电机驱动没有真正切断;
或者刀盘停了,但机器自动重新启动;
这条安全功能链路都不能算完整。
5. PLr 和 PL:一个是目标,一个是结果ISO 13849 里有两个很像的词:
PLr:Required Performance Level,要求的性能等级。
PL:Performance Level,实际达到的性能等级。
可以简单理解为:
PLr 是目标,PL 是结果。
例如某个抬升保护功能,风险评估后要求:
PLr = c。
工程设计完成后,需要根据架构,元件可靠性,诊断能力,共因失效控制,软件措施等,评估它实际达到的 PL。
如果结果达到 PL c 或更高,才可以说:
这个安全功能满足 PLr = c。
如果结果只有 PL b,就不能说满足要求。
6. Category:看的是架构和故障行为Category 不是简单的数字越大越好。
它主要看:
系统是什么结构?
有没有冗余?
有没有诊断?
单一故障发生后,安全功能会不会丧失?
故障能不能被发现?
简单理解:
Category B / 1:偏单通道,主要依赖基本安全原则和元件可靠性。
Category 2:单通道加测试,靠周期性检测发现故障。
Category 3:通常是冗余结构,单一故障不应导致安全功能丧失。
Category 4:更高的故障容忍和诊断能力。
但要注意:
Category 不等于 PL。
PL 还要结合 MTTFd、DC、CCF、软件和系统性失效措施一起判断。
7. MTTFd, DC, CCF 分别看什么?这三个词是 ISO 13849 里最常见,也很抽象的概念;如果仅仅是看标准,而不结合实际工程场景,是很难理解的清楚的。
MTTFd:危险失效可靠性
它不是普通产品寿命,而是关注安全链路中元件发生危险失效的概率。
比如传感器坏了以后,机器直接报错停机,不一定是危险失效。
但传感器坏了以后,系统还以为一切正常,危险动作继续发生,这才可能是危险失效。
DC:诊断覆盖率
DC 不是“有没有检测”,而是:
危险故障发生时,系统能不能发现它?
例如断线,短路,信号卡死,电机堵转,过流,转速异常,能否被及时识别,并触发安全状态。
CCF:共因失效
双通道最怕的不是少一路,而是两路由于同一个原因一起失效。
比如:
两个传感器共用同一个连接器;
两路信号共用同一根供电;
两路线束紧贴在一起;
两路输入都被同一次进水、振动、EMC 干扰影响。
有两路信号,不一定就等于真正的双通道安全架构。
还要看它们是否足够独立,是否有诊断,是否能防止共因失效。
9. PLr = c 的正确理解
PLr = c 不是一句我们产品要过 c。
它真正意味着:
某一个安全功能,经过风险评估后,需要由对应的安全相关控制系统提供 PL c 水平的风险降低能力。
它背后至少要回答这些问题:
这个安全功能是什么?
危险是什么?
安全状态是什么?
输入、逻辑、输出分别是什么?
响应时间是多少?
Category 是什么?
MTTFd 是否足够?
DC 是否足够?
CCF 是否控制住?
实际 PL 是否达到 PLr?
对于割草机器人来说,急停,碰撞,抬升,倾斜,边界丢失,停刀,刹车,供电切断,每一个都应该被拆成独立的 Safety Function 来分析。