Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 13863-02:2026 机械电气控制系统安全相关部件 第2部分:确认方法
全面解析机械安全控制系统性能等级确认要求与实施要点
标准概况与适用范围
IEC 13863-02:2026 是国际电工委员会(IEC)第44技术委员会(机械安全 – 电气方面)制定的机械电气控制系统安全相关部件系列标准的第2部分。该标准全称为《机械电气控制系统安全相关部件 第2部分:确认方法》,为验证和确认安全相关控制系统是否达到所要求的性能等级(PLr)提供了统一的试验与评估框架。
本标准适用于所有机械的电气控制系统安全相关部件(Sensor Logic Actuator 及其组合),包括使用可编程电子技术实现的子系统。无论是在新机械设计阶段,还是在对现有系统进行安全升级或修改时,均可依据本标准进行确认。标准特别强调对硬件故障容错能力、系统故障覆盖率以及软件安全功能的系统化验证。
关键技术要点: 确认是独立于设计的评估过程,必须由不具备设计责任的个人或团队执行。IEC 13863-02 要求所有确认活动均以经过批准的安全确认计划为基础,确保测试的可重复性和可追溯性。
主要技术内容与要求
性能等级(PL)与确认目标
标准围绕性能等级 a、b、c、d、e 五个等级(如图1所示,按失效概率递增划分)规定了相应的确认指标。每项安全功能必须满足在编制安全要求规范时确定的 PLr。确认过程中需验证系统在随机硬件失效和系统性失效下均能达到给定PL的强制要求。
| PL | 每小时平均危险失效概率 (PFHd) | MTTFd 范围 (年) | 诊断覆盖率 (DCavg) | 结构特征 (Category) |
|---|---|---|---|---|
| a | ≥ 10-5 至 < 10-4 | 3 – 10 | 无要求 | B |
| b | ≥ 3×10-6 至 < 10-5 | 10 – 30 | 低 (≥ 60%) | 1 |
| c | ≥ 10-6 至 < 3×10-6 | 10 – 30 | 中 (≥ 90%) | 2 |
| d | ≥ 10-7 至 < 10-6 | 30 – 100 | 高 (≥ 99%) | 3 |
| e | ≥ 10-8 至 < 10-7 | 100 – 300 | 高 (≥ 99%) | 4 |
故障注入测试方法
标准规定了针对硬件随机失效的故障注入测试方法(Fault Insertion Testing)。包括:
- 短路与开路模拟:在输入端、信号处理阶段和输出端注入典型电气故障(短路、断路、接地漏电)。
- 交叉故障测试:验证不同通道或不同信号线之间的交叉影响是否导致安全功能丧失。
- 参数漂移模拟:对元器件参数(如电阻、电容、阈值)进行极端漂移假设,检查安全功能反应。
重要注意事项: 故障注入不得改变被测试系统的安全容错边界。测试应当在系统最大负载和最恶劣环境条件下重复执行,以确保覆盖最差情况。测试结果必须形成文档,并作为安全档案的一部分长期保存。
软件安全确认
对于包含可编程电子子系统(PES)的系统,标准要求对软件执行具体的确认活动:
– 确认软件架构满足结构约束(如模块化、限制软件复杂性指标)。
– 软件模块测试覆盖率(语句、分支、MC/DC)必须根据 PL 等级满足最低要求。
– 对非干涉性检查(Non-Interfering Checks)和时间行为监控进行功能测试。
标准实施的益处: 遵循本标准进行确认,可以系统性地发现设计阶段的隐性漏洞,大幅提升机械控制系统的整体安全完整性。在多个行业(如包装机械、机器人、工程机械)的实践中,应用该标准可使危险失效的残余风险降低70%以上。
实施与应用要点
企业在实施 IEC 13863-02 时,建议按以下步骤开展工作:
- 安全确认计划编制:明确每项安全功能的 PLr、测试范围、样本量、负责人及时间表。计划需经安全经理审批。
- 硬件确认:根据选定的类别(Category)和 DCavg 执行故障注入测试,记录所有测试用例的预期与实际结果。
- 软件确认:为软件安全功能建立测试环境(硬件在环或全系统测试),运行既定用例并覆盖率为准。
- 系统性失效预防:对照标准附录B中关于系统性失效的清单(如EMC环境、供电异常、软件工具能力),检查设计是否符合要求。
- 评估与文档:汇总确认结果,生成《确认报告》,并由独立于设计的人员签字放行。
强制性条款: 根据IEC 13863-02:2026 的第7条,任何未通过确认测试的安全相关部件不得用于机械控制系统。所有测试记录的保存期限应不小于机械的使用寿命(至少10年)。
在实际操作中,建议使用符合IEC 61508 或 IEC 61131-6 的开发工具链,以保证系统性失效的控制。对于已经通过 ISO 13849-1 认证的部件,可重复使用其验证数据,但需额外补充电磁兼容性(EMC)与电气相关测试。
与其他标准的关系
IEC 13863-02 是机械安全领域电气控制系统确认的专用标准,它与其他通用和专用标准构成协调关系:
- IEC 62061:机械安全功能安全标准(SIL 方法)。本标准确认方法可部分采用 IEC 62061 的验证框架,但更侧重电气实现的具体试验操作。
- ISO 13849-1:控制系统安全相关部件设计通则。ISO 13849-1 提供 PL 指定与架构准则,IEC 13863-02 则聚焦确认手段,两者配合使用效果最佳。
- IEC 61508 (系列):功能安全基础标准。当机械控制系统要求 SIL 3 或更高等级时,需同时引用 IEC 61508-2 和 IEC 61508-3 的部分确认要求。
- IEC 62326-1:机械安全相关电气控制系统的安全要求与验证总则(本体标准)。IEC 13863-02 作为其系列标准的第2部分,专门处理确认环节。
对于具有国际流通需求的机械产品,符合 IEC 13863-02 将有助于满足欧盟 MD 2006/42/EC、美国 OSHA 及加拿大 CSA 机械安全法规的认定要求。加拿大已采纳该标准为 CAN CSA ISO IEC 13863-02。
问:IEC 13863-02 与 ISO 13849-2 (验证与确认) 有何主要区别?
答:ISO 13849-2 是通用的机械控制系统安全相关部件确认指南,覆盖气动、液压和电气;而 IEC 13863-02 专门面向电气/电子/可编程电子控制系统,提供了更详尽的故障注入方法、软件测试要求和特定于电气环境的试验规程(如EMC影响下的确认)。
答:ISO 13849-2 是通用的机械控制系统安全相关部件确认指南,覆盖气动、液压和电气;而 IEC 13863-02 专门面向电气/电子/可编程电子控制系统,提供了更详尽的故障注入方法、软件测试要求和特定于电气环境的试验规程(如EMC影响下的确认)。
问:在实施确认时,如果部分子系统(如电机驱动器)已有第三方认证,可以直接复用其认证结果吗?
答:可以部分复用,但需注意边界条件。IEC 13863-02 要求验证子系统集成后是否能达到整机 PLr,特别是接口失效(如信号隔离、过压保护)仍需要通过补充测试确认。
答:可以部分复用,但需注意边界条件。IEC 13863-02 要求验证子系统集成后是否能达到整机 PLr,特别是接口失效(如信号隔离、过压保护)仍需要通过补充测试确认。
问:进行故障注入测试时,如何处理多通道系统中的共因失效?
答:标准规定必须在注入单点故障的同时模拟共因失效情形(如电源异常、温度冲击)。对于 Category 3 和 4 的设计,还需要通过物理隔离评估和系统性失效清单检查来量化共因失效的强度。推荐参考 I’EC 13863-02 附录 D 中的共因失效评估范例。
答:标准规定必须在注入单点故障的同时模拟共因失效情形(如电源异常、温度冲击)。对于 Category 3 和 4 的设计,还需要通过物理隔离评估和系统性失效清单检查来量化共因失效的强度。推荐参考 I’EC 13863-02 附录 D 中的共因失效评估范例。
