在机器人的设计过程中，为了提高产品安全性，或者通过欧盟的CE、MD或者SIL认证，往往会增加很多安全回路，例如紧急停止、使能、障碍物检测、速度控制、安全光栅、轴限位、供电等等。很多相关标准中都提出了这些安全回路的架构需求，那么这些安全回路应该遵循什么架构呢？怎样才算满足这些架构呢？本文将重点介绍ISO13849-1-2015中所涉及的5种架构。为机器人的设计者设计和论证安全回路满足相关标准要求提供指导。

在ISO 13849-1中介绍了5种安全回路的架构，这些架构可以用于整条安全回路的设计，也可以用于回路中各组成部分的设计，例如输入单元（传感器、开关、按钮等）、逻辑控制单元（安全PLC、安全继电器、控制板等）和输出单元（接触器、继电器等），对于比较简单的安全回路，往往是整体条回路满足架构要求即可。对于比较复杂的安全回路，输入单元、逻辑控制单元和输出单元可以单独满足架构的要求，再组合到一起判定。目前来看，逻辑控制单元在设计时单独满足架构的要求比较多，而且往往都要通过SIL认证。

下文将详细介绍每一种架构、架构特点以及如何满足：

1、 CB 架构

a）典型的图样

i_m连接方式；

 I 输入装置，例如传感器；

 L 逻辑单元；

 O 输出装置，如主接触器。

b）架构特点：

Ø  单故障即可导致安全功能失去；

Ø  没有诊断覆盖率要求（DC）；

Ø  大可实现的性能等级PL=b。

c）判定条件

Ø  回路的设计应该满足基本的安全原则（见ISO 13849-2 2013附录表A.1（机械回路），B.1（气动传动回路），C.1(液压传动回路)和D.1（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由。

Ø  每个通道的平均危险失效时间MTTFd至少三年。这个指标需要通过计算满足，计算常用Sistema的免费软件进行。

Ø  应该通过必要的环境测试。需要根据实际使用环境条件，制定测试计划，并选择有资质的实验室执行测试，出具试验报告。

2、 C1架构

a） 典型的图样

i_m连接方式；

 I 输入装置，例如传感器；

 L 逻辑单元；

 O 输出装置，如主接触器。

b） 架构特点

Ø  要求使用经过验证的或遵循安全原则（ISO 13849-2附录A.3和D.3）的元器件。

Ø  没有诊断覆盖率（DC）；

Ø  大可实现的PL=C.

c） 判定条件

Ø  满足CB的架构要求;

Ø  要求使用经过验证的或遵循安全原则（ISO 13849-2 附录A.3和D.3）的元器件;

Ø  要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由;

Ø  MTTFd至少30年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算。

3、 C2架构

a） 典型的图样

i_m连接方式；

 I 输入装置，例如传感器；

 L 逻辑单元；

 O 输出装置，如主接触器；

m  监测；

 TE  测试设备；

 OTE 测试设备的输出。

b） 结构特点

Ø  在两次诊断测试的间隔期间发生故障，会导致安全功能的失去；检查频率的设计为重要(测试率应是需求率的100倍或安全功能需要时立刻检测，但检测+拒绝时间应小于导致隐患存在的时间)；

Ø  大的可实现的PL=d；

Ø  测试设备可以集成进SRP/CS 或分开；

Ø  检测出故障之后的响应时间的确定非常重要；

Ø  共因失效CCF需要考虑（见ISO 13849-1 2015附录F）;

Ø  不需要检测出所有故障. 诊断覆盖率（DC）应达到60%-99%。

c） 判定条件

Ø  满足架构CB的要求；

Ø  要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由;

Ø  监测设备在检查出安全回路的故障后，应激发一个安全状态，如果不可能的话，则需要报警。

Ø  监测设备本身不能引入一个非安全状态，这个可以通过借助失效模式及影响分析FMEA，避免测试设备故障影响安全回路；

Ø  监测设备需要在设备启动时和运营过程中周期性在线监测；

Ø  安全回路的平均危险失效时间MTTFd至少3年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算。

Ø  监测设备的平均危险失效时间MTTFd至少大于安全回路的MTTFd的一半；

Ø  测试频率大于100倍的需求率，安全功能的需求率可以通过计算设备本体的危险失效率来得到；

Ø  诊断覆盖率（DC）至少60%；

Ø  共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）。

4、 C3架构

a） 架构图样

i_m连接方式；

I1，I2输入装置，例如传感器；

 L1，L2逻辑单元；

 O1，O2输出装置，如主接触器；

c交叉监测；

 m监测；

虚线代表合理的故障诊断即可。

b） 架构特点

Ø  任何单故障不能导致安全功能丧失；

Ø  诊断覆盖率（DC）至少是low；

Ø  共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）;

Ø  大可实现PL=e。

c） 判定条件

Ø  满足CB的要求；

Ø  要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由；

Ø  单故障不能导致安全功能的丢失；

Ø  单故障应该被检测；

Ø  每个通道的MTTFd至少3年，安全回路的平均危险失效时间MTTFd至少3年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算。

Ø  诊断覆盖率（DC）至少60%；

Ø  共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）。

5、 C4架构

a） 架构图样

i_m连接方式；

I1，I2输入装置，例如传感器；

 L1，L2逻辑单元；

 O1，O2输出装置，如主接触器；

c交叉监测；

 m监测；

实线代表故障诊断要求比架构3高。

b） 架构特点

Ø  诊断覆盖率要求为High 90%-99%.

Ø  平均危险失效时间MTTFd 要求为High；

Ø  CCF需要考虑（附录F）;

Ø  任何单点故障都不能导致安全功能丧失，响应时间也应足够；

Ø  不可检测的累积故障也应考虑。

c） 判定条件

Ø  满足CB的要求；

Ø  要求使用经过证明的比较的好的安全原则（见13849-2 附录表A.2（机械回路），B.2（气动传动回路），C.2(液压传动回路)和D.2（电子电气回路）的要求）。这些原则可以根据回路实际情况使用，对于不适用的应说明理由；

Ø  单故障不能导致安全功能的丧失；

Ø  单故障应该被诊断，诊断覆盖率至少99%；

Ø  如果单故障的诊断覆盖率不到99%，则累积故障应该被考虑；

Ø  MTTFd至少30年，这个指标需要通过计算满足，计算常用Sistema的免费软件进行。必要时，需要进行失效模式及影响分析（FMEA）来计算；

Ø  共因失效CCF得分至少大于65分（打分表见ISO 13849-1 附录F）。

以上是机器人安全标准中常提到安全回路的架构，这些架构在安全回路的设计时是要糅合到设计中的。这样既能提高机器人的安全性，降低事故发生的频率，也为后续的CE\MD\SIL认证打好基础。