安全等级PLd与PLe的回路设计要求

确定机械设备的风险等级是设计安全回路的第一步。根据 ISO 13849-1 标准，性能等级（PL）从 a 到 e 分为五级，其中 PLd 和 PLe 适用于高风险场景，如冲压机、机器人单元格等可能发生严重伤害的设备。遵循以下步骤构建符合要求的回路。

1. 明确设计目标与架构类别

查看机械危险源，确认所需的安全等级。PLd 通常对应类别 Category 3，PLe 通常对应 Category 4。

选择合适的回路架构。架构决定了系统在故障发生时的行为：

• Category 3：单故障不会导致安全功能丧失，但故障累积可能导致丧失。需定期检测。
• Category 4：单故障不会导致安全功能丧失，且故障累积也不会导致丧失。需即时或高频检测。

绘制安全回路逻辑图，标识输入（传感器）、逻辑（安全继电器/PLC）、输出（接触器）三部分。

2. 选型与参数计算

筛选符合安全等级的元器件。所有安全相关部件（急停按钮、安全门开关、光幕、安全继电器）必须具有有效的认证证书。

计算平均危险故障时间 MTTFd。该值表示元件发生危险故障的平均时间。

• 查找元器件手册中的 B10d 值（达到 10% 危险故障的操作次数）。
• 估算年操作次数 nop。
• 应用公式计算 MTTFd（单位：年）：

$$ MTTFd = \frac{B10d}{0.1 \times nop} $$

确保整个通道的 MTTFd 满足要求。PLd 要求中到高（通常 10 \le MTTFd < 100 年），PLe 要求高（通常 MTTFd \ge 100 年）。若单元件不足，更换更高寿命型号或增加冗余。

评估诊断覆盖率 DC。DC 表示系统检测故障的能力。

• 低：0\% \le DC < 60\%
• 中：60\% \le DC < 90\%
• 高：90\% \le DC \le 99\%

实施以下措施以提高 DC：

1. 监控反馈回路。连接执行器的辅助触点回到安全模块，对比指令与反馈状态。
2. 使用强制导向触点继电器。确保常开与常闭触点机械联动，防止粘连。
3. 配置交叉监测。在双通道系统中，检查通道 1 与通道 2 的信号是否一致。

3. 防止共因故障 (CCF)

共因故障指两个独立通道因同一原因同时失效。必须采取措施防止 CCF，否则无法达到 PLd 或 PLe。

执行以下检查清单，确保得分达到 65 分以上（ISO 13849-1 附录 F）：

记录所选措施及其得分。确保总分 ≥ 65。若不足，增加物理隔离或更换不同品牌的元器件。

4. 回路接线与实施

连接双通道输入信号。对于 PLd 和 PLe，使用常闭触点串联或双通道常开触点监控。

• 急停按钮：选用双通道常闭触点，接入安全模块的两个独立输入端。
• 安全门：选用带编码片的磁开关或双锁舌机械开关，防止欺骗操作。
• 光幕：直接连接到安全模块的光幕专用接口，启用外部设备监控 (EDM)。

布线时遵循抗干扰原则：

1. 分开安全回路与动力线。间距至少 20cm，若交叉需 90 度垂直。
2. 使用屏蔽电缆。接地屏蔽层单端接地，避免地环路。
3. 标识线号。打印永久性标签，对应电路图编号。

配置安全继电器或安全 PLC 参数。

• 设置复位模式。选择手动复位（通过独立复位按钮）以防止自动重启。
• 启用交叉故障检测。激活模块内部的通道对比功能。
• 定义响应时间。确认系统停止时间 T 小于光幕计算公式要求的安全距离。

5. 验证与文档归档

测试所有安全功能。在通电前，使用万用表检查接线短路与接地情况。

执行故障注入测试：

1. 模拟传感器断线。断开通道 1 接线，触发运行命令，系统应拒绝启动。
2. 模拟触点粘连。短接安全门信号，打开安全门，系统应立即停止。
3. 模拟电源波动。断开控制电源再恢复，系统应保持锁定直至手动复位。

计算最终性能等级。综合 Category、MTTFd、DC 三个参数，对照 ISO 13849-1 图表确认最终 PL 值。

编写安全手册。包含以下内容：

• 电路原理图（含安全回路部分）。
• 元器件清单（含型号、认证编号）。
• 参数计算书（MTTFd、DC、CCF 计算过程）。
• 测试报告（故障注入测试结果）。

张贴安全警示标签。在设备操作面板粘贴安全等级标识，注明“未经授权的修改将导致安全功能失效”。