在工业机器人、AGV等产品的设计过程中，为了保证产品的安全性，我们通常会增加很多安全回路。在这些回路的设计过程中，我们也会选择很多厂家的提供的组件或者自己设计的组件，例如速度传感器、安全继电器、急停开关、安全PLC等。在这些组件的选型中，很多认证标准或者业主往往会要求需要使用经过功能安全评估，获得SIL证书的产品。那么究竟什么是功能安全评估，什么是SIL的吗？本文将详细介绍。

■功能安全评估的定义

功能安全评估指的是由独立于设计方的组织或个人，通过审查设计方提供的产品技术文件，找出与功能安全标准要求的差异，促使设计方改进产品，满足标准的要求，并出具证书或者报告证明产品符合了特定标准。

■ 功能安全评估的对象

功能安全评估的对象一般分为两类，一类是针对安全回路中的组件的评估，这类评估将根据标准中SIL或PL的要求审核组件的功能安全管理、架构设计、软件设计、硬件设计和测试等内容，找出差异，要求企业改进产品。例如机器人的驱动器、安全控制器、安全继电器、安全光栅等；另一类是针对安全回路集成的评估，目的是通过对集成之后的安全回路评估，判断整体的安全功能是否达到了标准中相应的SIL或PL要求。

■ 功能安全评估对企业的益处

对于一个机器人的研发型企业来说，功能安全评估具有以下益处：

a）提高机器人产品的安全性，减少产品应用中安全事故。功能安全评估依据的是国际上的技术标准，例如IEC61508，ISO 13849，ISO12100，这些标准是国际该行业的精华所在，通过评估，可以发现设计中的缺陷，提高产品的安全水平；

b）提升企业产品安全设计的技术和管理水平。在评估过程中，评估人员会提出各种各样的安全技术或者管理问题，例如产品架构、元器件选型、降额设计、编码、测试和配置管理、验证确认管理、质量管理等方面的问题，这些问题的解决有助于企业提升设计人员的技术水平，提升产品设计的安全管理水平。

c）降低机器人产品的成本，提升企业的核心竞争力。在很多企业里面，安全回路中的器件大多是直接采购的，例如安全继电器、传感器以及驱动器、安全控制器，这些器件本身已通过功能安全评估，价格比较昂贵。如果企业自己设计，并且通过评估，既能满足客户的要求，也能减少大量的成本。

■ 什么是PL和SIL

对机器人行业来说，功能安全评估中最常听到的一个术语SIL或者PL，SIL是Safety integrity level的缩写，又叫安全完整性等级，是安全功能发生危险失效的概率的一个衡量指标，SIL的分级见表1和表2。

表1 安全完整性等级：在低要求运行模式下安全功能的目标失效量

安全完整性等级/SIL	安全功能在要求时的危险失效平均概率/PFD
4	≥10-5  to<10-4
3	≥10-4  to<10-3
2	≥10-3 to<10-2
1	≥10-2  to<10-1

表2 安全完整性等级：在高要求或连续运行模式下安全功能的目标失效量

安全完整性等级/SIL	安全功能的每小时危险失效平均频率/PFH
4	≥10-9  to<10-8
3	≥10-8  to<10-7
2	≥10-7 to<10-6
1	≥10-6  to<10-5

PL是 Performance level的缩写，又称性能等级，也是安全功能发生危险失效的概率的一个衡量指标，PL在机器人行业用的比较多。其分级见表3.

表3 PL等级的定义

PL	每小时平均危险失效概率
A	≥10-5  to<10-4
B	≥3×10-6  to<10-5
C	≥10-6  to<3×10-6
D	≥10-7  to<10-6
E	≥10-8  to<10-7

■ 功能安全评估的内容

对于机器人安全回路的组件的评估，功能安全评估是对安全回路相关产品设计的评估，评估可通过两种方式证明产品符合了SIL或PL的要求：

a）一种方式是对整个设计过程进行评估，这样评估应在设计的早期就要开展，而且要贯穿整个设计过程。例如计划、需求、架构设计、详细设计、单元测试、集成测试等各个阶段，如图1。评估会将会对设计的每一阶段产生的文件进行详细评估，并提出技术问题，保证整个设计都符合功能安全标准的要求。如果在产品设计完成之后再进行评估，将会给产品设计带来大量的改进，增加企业时间和人力成本。

图1功能安全评估涵盖的阶段

b）第二种方式，采用经使用证明。对于长期运行经验的产品，企业可收集产品的运行数据，例如故障数据、运行环境等，并对数据进行一定的计算，对差异进行详细的分析，也可证明产品满足了要求的SIL或PL等级。

对于安全回路的集成的评估，功能安全评估应在集成的过程中，对技术文件进行详细的审核，以判断集成后的安全回路整体上是否满足SIL或PL要求，在此不再详细介绍。

■ 功能安全评估的步骤

对于组件级别的功能安全评估，通常分为两步。

首先是对功能安全管理的评估，主要集中在设计的早期阶段，评估内容及核心如下图所示：

图2 功能安全初步评估

其次，是对设计过程中技术方面的评估。评估将重点关注产品架构、详细设计以及编程、FMEA分析、元器件选型、测试等方面。评估的核心和内容如下图所示：

图3 功能安全详细技术评估

最后，结合作者多年的经验，本文想谈一下功能安全评估过程中第三方咨询的重要性。由于功能安全评估是对组件（继电器、安全控制器和驱动器）的设计审核，尤其是对于包含软件、硬件的产品，评估会涵盖从概念、架构、详细设计、编程、测试等方方面面的内容。对于一个从未接触过功能安全的企业来说，阅读、理解和应用标准将是一个非常大的负担，IEC61508大概有700多页。而且，由于咨询和评估的独立性规则要求，评估方也很少对企业在评估过程中的遇到的问题进行积极的指导。此时，如果能够有一个具有良好的功能安全经验的第三方介入，将对指导企业文档的编写、解决设计人员遇到的技术问题、协助与评估方的沟通具有重要意义，能够协助企业加快整个评估过程。但是，由于功能安全在国内属于新兴领域，发展时间短，优秀人才匮乏，一定要选择专业的咨询公司来做指导。