在机器人的设计过程中，为了提高产品安全性，或者通过欧盟的CE、MD或者SIL认证，往往会增加很多安全回路，例如紧急停止、使能、障碍物检测、速度控制、安全光栅、轴限位、供电等等。很多相关标准中都提出了这些安全回路的架构需求，那么这些安全回路应该遵循什么架构呢？怎样才算满足这些架构呢？本文将重点介绍ISO13849-1-2015中所涉及的5种架构。为机器人的设计者设计和论证安全回路满足相关标准要求提供指导。

在ISO13849-1中介绍了5种安全回路的架构，这些架构可以用于整条安全回路的设计，也可以用于回路中各组成部分的设计，例如输入单元（传感器、开关、按钮等）、逻辑控制单元（安全PLC、安全继电器、控制板等）和输出单元（接触器、继电器等），对于比较简单的安全回路，往往是整体条回路满足架构要求即可。对于比较复杂的安全回路，输入单元、逻辑控制单元和输出单元可以单独满足架构的要求，最后再组合到一起判定。目前来看，逻辑控制单元在设计时单独满足架构的要求比较多，而且往往都要通过SIL认证。

下文将详细介绍每一种架构、架构特点以及如何满足：

1、CB 架构

a）典型的图样

im连接方式；

1、I 输入装置，例如传感器；

2、 L 逻辑单元；

3、O 输出装置，如主接触器。

b）架构特点：

1、单故障即可导致安全功能失去；

2、没有诊断覆盖率要求（DC）；

3、最大可实现的性能等级PL=b。

c）判定条件

1、回路的设计应该满足基本的安全原则（见ISO 13849-2 2013附录表A.1（机械回路），B.1（气动传动回路），C.1(液压传动回路)和D.1（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由。

2、Ø  每个通道的平均危险失效时间MTTFd至少三年。这个指标需要通过计算满足，计算常用Sistema的免费软件进行。

3、Ø  应该通过必要的环境测试。需要根据实际使用环境条件，制定测试计划，并选择有资质的实验室执行测试，出具试验报告。

2、C1架构

a） 典型的图样

im连接方式；

1、I 输入装置，例如传感器；

2、 L 逻辑单元；

3、O 输出装置，如主接触器。

b） 架构特点

1、要求使用经过验证的或遵循安全原则（ISO 13849-2附录A.3和D.3）的元器件。

2、没有诊断覆盖率（DC）；

3、Ø  最大可实现的PL=C.

c） 判定条件

1、满足CB的架构要求;

2、Ø  要求使用经过验证的或遵循安全原则（ISO 13849-2 附录A.3和D.3）的元器件;

3、Ø  要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由;

4、MTTFd至少30年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算。

3 、C2架构

a）典型的图样

im连接方式；

1、 I 输入装置，例如传感器；

2、 L 逻辑单元；

3、O 输出装置，如主接触器；

4、m  监测；

5、TE  测试设备；

6、OTE 测试设备的输出。

b） 结构特点

1、在两次诊断测试的间隔期间发生故障，会导致安全功能的失去；检查频率的设计最为重要(测试率应是需求率的100倍或安全功能需要时立刻检测，但检测+拒绝时间应小于导致隐患存在的时间)；

2、最大的可实现的PL=d；

3、测试设备可以集成进SRP/CS 或分开；

4、检测出故障之后的响应时间的确定非常重要；

5、共因失效CCF需要考虑（见ISO 13849-1 2015附录F）;

6、不需要检测出所有故障. 诊断覆盖率（DC）应达到60%-99%。

c） 判定条件

1、满足架构CB的要求；

2、要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由;

3、监测设备在检查出安全回路的故障后，应激发一个安全状态，如果不可能的话，则需要报警。

4、监测设备本身不能引入一个非安全状态，这个可以通过借助失效模式及影响分析FMEA，避免测试设备故障影响安全回路；

5、监测设备需要在设备启动时和运营过程中周期性在线监测；

6、安全回路的平均危险失效时间MTTFd至少3年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算。

7、Ø  监测设备的平均危险失效时间MTTFd至少大于安全回路的MTTFd的一半；

8、测试频率大于100倍的需求率，安全功能的需求率可以通过计算设备本体的危险失效率来得到；

9、诊断覆盖率（DC）至少60%；

10、共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）。

4、C3架构

a） 架构图样

im连接方式；

1、I1，I2输入装置，例如传感器；

2、 L1，L2逻辑单元；

3、O1，O2输出装置，如主接触器；

4、c交叉监测；

5、m监测；

6、虚线代表合理的故障诊断即可。

b） 架构特点

1、任何单故障不能导致安全功能丧失；

2、诊断覆盖率（DC）至少是low；

3、共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）;

4、最大可实现PL=e。

c）判定条件

1、满足CB的要求；

2、要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由；

3、单故障不能导致安全功能的丢失；

4、单故障应该被检测；

5、每个通道的MTTFd至少3年，安全回路的平均危险失效时间MTTFd至少3年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算。

6、诊断覆盖率（DC）至少60%；

7、共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）。

5、C4架构

a）架构图样

im连接方式；

1、I1，I2输入装置，例如传感器；

2、L1，L2逻辑单元；

3、O1，O2输出装置，如主接触器；

4、c交叉监测；

5、m监测；

6、实线代表故障诊断要求比架构3高。

b） 架构特点

1、诊断覆盖率要求为High 90%-99%.

2、平均危险失效时间MTTFd 要求为High；

3、CCF需要考虑（附录F）;

4、任何单点故障都不能导致安全功能丧失，响应时间也应足够；

5、不可检测的累积故障也应考虑。

c）判定条件

1、满足CB的要求；

2、要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由；

3、单故障不能导致安全功能的丧失；

4、单故障应该被诊断，诊断覆盖率至少99%；

5、如果单故障的诊断覆盖率不到99%，则累积故障应该被考虑；

6、MTTFd至少30年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算；

7、共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）。

以上是机器人安全标准中常提到安全回路的架构，这些架构在安全回路的设计时是要糅合到设计中的。这样既能提高机器人的安全性，降低事故发生的频率，也为后续的CE\MD\SIL认证打好基础。

沃德检测是首家民营机器人检测认证机构，集检测、检验、认证、验货、技术培训、实验室建设和资质申请为一体的综合性第三方公共服务平台。目前开展的与机器人相关的业务有：机器人性能评估、安规、EMC、功能安全与风险评估、零部件测试等等。

沃德检测拥有专业的技术团队，主要认证项目有：机器人CR，中国CCC、SRRC、欧盟CE、ROHS、REACH、美国UL、ETL、韩国KC、体系ISO9001、ISO14001以及机器人性能测试（GB12642 & ISO9283）等等，欢迎来电咨询。

更多详情请点击：

http://www.worldtest.cn

http://www.robot-testing.com

更多资讯请关注沃德检测微信公众号