聊一聊 - 功能安全 CAT3
文章目录
- 前言
- 1. 功能安全简介
- 1.1 历史背景
- 1.2 功能安全的种类
- 2. CAT3 是什么?
- 2.1 CAT 的五个等级
- 2.2 CAT3 的核心特征
- 2.3 CAT3 的量化要求
- 3. 我的疑问
- 3.1 PL(a~e)是什么意思?
- 3.2 PL 与 CAT 的关系
- 3.3 IEC 63327 是个什么?它与 CAT3 的关系
- 4. 总结
前言
最近在做产品的过程中碰到了一个之前做IOT时没有了解过的概念,叫功能安全认证,然后里面有个CAT3架构,整体上来说就是围绕着失效情况下的安全要去怎么实现之类的。
这里趁这个机会做个简单的梳理,属于学习笔记了,部分内容参考自AI。
1. 功能安全简介
在聊 CAT3 之前,得先知道功能安全这玩意儿是怎么来的,不然直接看概念会很飘。
1.1 历史背景
1996 年的老标准EN 954-1很"单纯":只要你的安全回路是双通道(两根线、两个继电器),就认为你安全等级高。就像买车时只看"有没有安全气囊",不看气囊质量好不好、传感器灵不灵。
那时候控制系统主要是继电器、接触器、硬布线逻辑,安全与否很大程度上取决于物理接线结构。但后来的机器开始大量用芯片、MOSFET、软件控制,老标准遇到了根本性的麻烦:
- 继电器时代:双通道就是两根线,断了就断了,肉眼都能看出来
- 电子时代:芯片可能"假死"(输出错误但不断线)、软件可能跑飞、电磁干扰可能让两个通道同时出错
EN 954-1无法覆盖电气/电子/可编程电子(E/E/PE)系统,也没有定量可靠性指标。所以 2006 年出了新标准ISO 13849-1,不再只看"有几根线",而是要看这套系统到底有多可靠。
新标准的核心理念:保留CAT(B/1/2/3/4)作为架构基础,但新增PL(a~e)作为最终安全指标,并引入MTTFd(平均危险失效时间)、DC(诊断覆盖率)、CCF(共因失效)作为定量参数。
这意味着:CAT 3不再是终点,而是实现某个PL的"架构手段"之一。
1.2 功能安全的种类
功能安全主要关注的是==“在发生故障时,系统能否保持安全状态”==。根据实现方式的不同,常见有这么几类:
| 类型 | 核心思路 | 典型场景 |
|---|---|---|
| 被动安全 | 不依赖电子系统,纯机械结构保证安全 | 机械联锁、安全门、急停按钮的物理断开 |
| 主动安全 | 通过电子/电气系统检测危险并主动干预 | 安全 PLC、安全继电器、光幕、激光扫描仪 |
| 功能安全 | 系统本身的功能执行过程中,故障不会导致危险 | 安全回路设计、双通道冗余、故障检测机制 |
CAT3 属于"功能安全"的范畴,具体来说是一种"主动安全 + 功能安全"的硬件架构设计。它不是某个具体的元器件,而是一套设计思路和架构要求。
2. CAT3 是什么?
现在进入正题。CAT3 是ISO 13849-1定义的五种架构类别之一,从B到4安全等级逐级提升。
2.1 CAT 的五个等级
| 类别 | 架构特征 | 发生故障时的安全行为 | 诊断要求 (DC) | 典型可达到的 PL | 通俗理解 |
|---|---|---|---|---|---|
| B | 单通道,无冗余,无诊断 | 故障可能导致安全功能丧失 | 无要求 | a ~ b | “基础版”:靠单个元件正常工作,坏了就坏 |
| 1 | 单通道,无冗余,无诊断 | 同 B,但要求使用经验证的安全元件和高 MTTFd | 无要求 | b ~ c | “长寿版”:还是单通道,但用更可靠的元件 |
| 2 | 单通道+定期测试 | 单一故障可能被检测出来,但测试间隔内存在风险 | 低~中 (≥60%) | c ~ d | “体检版”:只有一个通道,但定期自检 |
| 3 | 双通道冗余 | 单故障安全:一个通道故障时,另一个仍能执行安全功能,尽可能检测该故障 | 低 (≥60%) | c ~ d | “双保险”:两套独立回路,一套坏了另一套顶上 |
| 4 | 双通道冗余 + 高诊断 | 所有单一故障安全+累积故障也能被检测 | 高 (≥90%) | d ~ e | “终极版”:双保险 + 几乎能发现所有故障 |
关键差异快速理解:
B → 1:从"随便用"到"用好的"。CAT 1仍然是单通道,但要求使用经验证的安全元件,且MTTFd必须是高(30~100 年)。本质上是用元件可靠性来弥补架构的不足。1 → 2:从"靠命硬"到"会体检"。CAT 2增加了定期测试机制。比如安全 PLC 每 100ms 测试一次输出回路。但测试间隔内如果元件刚好坏了,系统处于不安全状态——这是CAT 2的致命弱点。2 → 3:从"单通道体检"到"双通道实时互锁"。CAT 3是双通道冗余。一个通道故障,另一个立刻接管,且系统实时比较两个通道,发现不一致就进入安全状态。没有"测试间隔"的盲区。3 → 4:从"尽可能检测"到"必须检测所有单一故障 + 累积故障"。CAT 4要求检测所有单一故障(DC ≥ 90%),并且要考虑累积故障(两个通道各自发生独立故障,刚好互补掩盖)。通常需要动态测试(如脉冲测试、交叉比较 + 时序监控)来确保没有 stuck-at 故障被隐藏。
2.2 CAT3 的核心特征
ISO 13849-1对CAT 3的核心要求可以概括为一句话:
“单故障安全(Single-fault safety)”——系统的安全功能在发生单一故障时不会丧失,且尽可能检测该单一故障。
最常见的实现方式是双通道架构:
输入通道 1 ──► 逻辑处理 1 ──┐ ├──► 交叉比较/监控 ──► 输出 输入通道 2 ──► 逻辑处理 2 ──┘- 两个通道独立执行相同的安全功能
- 结果传递到另一个通道进行交叉比较(Cross-monitoring)
- 如果两个通道结果不一致,系统进入安全状态
简单说:CAT 3就是"双通道 + 交叉比较 + 自检"。它不是"双通道就完事了",而是"双通道 + 能自检 + 防共因失效"的完整设计思路。
2.3 CAT3 的量化要求
CAT 3不是纯架构,必须满足以下定量要求:
| 参数 | CAT 3 要求 | 说明 |
|---|---|---|
| DC(诊断覆盖率) | 至少为 Low(≥60%) | 系统必须能检测出至少 60% 的危险故障 |
| MTTFd | 根据目标 PL 确定(低/中/高) | 元器件平均危险失效时间 |
| CCF(共因失效) | 必须采取措施,评分 ≥65/100 | 防止同一原因导致双通道同时失效 |
| 架构 | 双通道冗余 | 单一故障不应导致安全功能丧失 |
CAT 3就是:做两套独立的安全回路,让它们互相监督,而且系统得能发现其中一套是不是坏了,同时还得防止"同一碗坏牛奶把两个人一起放倒"。
3. 我的疑问
在查 CAT3 的过程中,脑子里冒出了几个疑问,记录一下当时的思考过程。
3.1 PL(a~e)是什么意思?
PL(Performance Level,性能等级)是ISO 13849-1用来定量衡量一个安全控制系统有多可靠的标尺。简单说,它回答一个问题:“这个安全回路(比如急停、防撞、防跌落)每小时出致命故障的概率是多少?”
| PL | 每小时危险失效概率(PFHD) | 通俗理解 | 类比场景 |
|---|---|---|---|
| a | 10 − 5 10^{-5}10−5~< 10 − 4 <10^{-4}<10−4 | 较低安全等级 | 家用电器的简单保护 |
| b | 3 × 10 − 5 3 \times 10^{-5}3×10−5~< 10 − 4 <10^{-4}<10−4 | 比 a 稍高 | 低风险自动化设备 |
| c | 10 − 6 10^{-6}10−6~< 3 × 10 − 5 <3 \times 10^{-5}<3×10−5 | 中等安全等级 | 普通工业机器人围栏门 |
| d | 10 − 7 10^{-7}10−7~< 10 − 6 <10^{-6}<10−6 | 高安全等级 | 商用清洁机器人白天人机协作场景 |
| e | 10 − 8 10^{-8}10−8~< 10 − 7 <10^{-7}<10−7 | 最高安全等级 | 汽车安全气囊、高速冲压线双手按钮 |
说白了,PL d就是"每小时发生危险失效的概率要控制在百万分之一以内"。对于商用清洁机器人这种白天在公共场所和人一起工作的设备,这个等级是比较常见的目标。
3.2 PL 与 CAT 的关系
这是我最开始最 confused 的地方。客户说"我要 PL d,CAT 3",我当时以为这两个是一回事。
搞清楚后:PL是目标(安全等级),CAT是手段(硬件架构)。
同一个PL d目标,可以用不同的CAT架构 + 不同的MTTFd+ 不同的DC组合来实现。比如:
| 目标 PL | 常见 CAT 选择 | 说明 |
|---|---|---|
| PL a~b | CAT B 或 1 | 低安全等级,单通道即可 |
| PL c | CAT 2 或 3 | 中等安全等级,需要诊断或冗余 |
| PL d | CAT 3 或 4 | 高安全等级,通常需要双通道冗余 |
| PL e | CAT 4 | 最高安全等级,必须双通道 + 高诊断 |
所以CAT 3只是实现PL d的常见手段之一,不是唯一手段。PL d也可以用CAT 4架构实现。
正确的表述应该是:“目标 PL d,采用 CAT3 架构,配合 MTTFd=高 和 DC=中 来实现。”
3.3 IEC 63327 是个什么?它与 CAT3 的关系
IEC 63327是产品安全标准,可以理解为==考纲:规定商用清洁机器人必须考哪些科目(急停、防跌落、避障、电气安全等)==。
CAT3是硬件架构类别,是实现PL d的答题技巧——双通道冗余 + 诊断。
ISO 13849-1是评分标准,用PL(a~e)给你打分,用MTTFd、DC、CCF定量计算。
一句话总结:IEC 63327告诉你"要考什么",ISO 13849-1告诉你"怎么算分",CAT 3告诉你"用什么套路答题"。
要达到PL d,常见的组合是:
CAT 3(双通道冗余) + MTTFd = 高(30~100 年) + DC = 中(90~99%)这意味着:
- 硬件上用双通道冗余设计(比如急停、碰撞检测、边界识别等关键安全回路)
- 选用的元器件平均危险失效时间要足够长(30~100 年级别)
- 系统要能检测出 90%~99% 的故障(比如通道不一致、信号丢失、超时等)
当然,这不是唯一的组合。PL d也可以用CAT 4架构实现,或者用CAT 3+ 更高的MTTFd和DC来实现。
4. 总结
CAT 3的核心是"双通道冗余 + 交叉比较 + 尽可能检测单一故障",不是简单的"做两套一样的电路"就算达标。它还需要满足DC ≥ 60%、MTTFd根据目标 PL 确定、CCF评分 ≥65/100 等定量要求。
PL是目标(安全等级),CAT是手段(硬件架构),MTTFd和DC是参数(元器件可靠性和诊断能力)。这四个东西通过ISO 13849-1的计算矩阵关联在一起,最终算出来你的系统到底能不能达到客户要求的 例如PL d。
IEC 63327则是产品层面的安全标准,告诉我们这款商用清洁机器人需要满足哪些具体的安全功能(急停、防跌落、避障等),而ISO 13849-1是评估这些安全功能控制系统的方法论。