黃祖廣 張承瑞 趙欽志 胡天亮

(①山東大學(xué)機(jī)械工程學(xué)院，山東濟(jì)南 250061;②山東大學(xué)高效與潔凈機(jī)械制造教育部重點(diǎn)實(shí)驗(yàn)室，山東濟(jì)南 250061;③國(guó)家機(jī)床質(zhì)量監(jiān)督檢驗(yàn)中心，北京 100102)

安全風(fēng)險(xiǎn)評(píng)估是指在安全風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒(méi)有結(jié)束)，該事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即安全風(fēng)險(xiǎn)評(píng)估就是量化評(píng)價(jià)安全某一事件或事物帶來(lái)的影響或損失的可能程度。

IEC62061標(biāo)準(zhǔn)是由IEC/TC44技術(shù)委員會(huì)制定的一項(xiàng)重要的功能安全標(biāo)準(zhǔn)，標(biāo)準(zhǔn)中附錄A提供的風(fēng)險(xiǎn)評(píng)估方法和安全完整性等級(jí)(SIL)分配應(yīng)用示例，可適用于機(jī)械或機(jī)器安全相關(guān)控制功能(SRCF)的風(fēng)險(xiǎn)評(píng)估和 SIL分配。在IEC61508－5標(biāo)準(zhǔn)中，也給出了可用于SIL分配的其他技術(shù)的例子，并在IEC/TC44技術(shù)委員會(huì)制定的IEC/TR62061－1中進(jìn)行了描述。

IEC62061標(biāo)準(zhǔn)附錄中所描述的方法適用于定性的風(fēng)險(xiǎn)評(píng)估，通常用于對(duì)機(jī)器的SRCF的SIL分配。對(duì)特定的機(jī)器應(yīng)用這種方法時(shí)所使用的風(fēng)險(xiǎn)參數(shù)(見圖2)和其具體的危險(xiǎn)應(yīng)與相關(guān)方協(xié)商，以確保SRECS能夠?qū)L(fēng)險(xiǎn)降至足夠低。多數(shù)機(jī)械或機(jī)器產(chǎn)品標(biāo)準(zhǔn)(類似于歐盟的“C”類標(biāo)準(zhǔn))中所采用的風(fēng)險(xiǎn)評(píng)估方法，通常按照ISO13849－1標(biāo)準(zhǔn)規(guī)定的選擇要求“類別”執(zhí)行。在ISO13849－1要求的類別和IEC62061標(biāo)準(zhǔn)所要求的SIL之間映射關(guān)系，由ISO/TC199和IEC/TC44組建的聯(lián)合工作組正在研究中。本文著重對(duì)基于IEC62061標(biāo)準(zhǔn)的安全控制系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估方法和SIL分配應(yīng)用等問(wèn)題進(jìn)行了介紹，以便機(jī)床行業(yè)有關(guān)技術(shù)人員更好地理解和應(yīng)用。

1 基本概念

(1)安全相關(guān)電氣控制系統(tǒng)(Safety－Related Electric Control System，SRECS)，是指失效可能導(dǎo)致風(fēng)險(xiǎn)立即增加的機(jī)械電氣控制系統(tǒng)。包括由電源電路和控制電路組成的全部電氣控制系統(tǒng)，其失效可能導(dǎo)致功能安全的降低或喪失。

(2)安全完整性(Safety Integrity)，即在所有規(guī)定情況下，安全控制系統(tǒng)或其子系統(tǒng)圓滿執(zhí)行所要求的安全相關(guān)控制功能的概率。系統(tǒng)的安全完整性等級(jí)越高，其未能執(zhí)行所要求的安全相關(guān)控制功能的概率就越低。安全完整性由硬件安全完整性和系統(tǒng)安全完整性組成。

(3)硬件安全完整性 (Hardware Safety Integrity)，是指安全控制系統(tǒng)或其子系統(tǒng)安全完整性的一部分，包含危險(xiǎn)的隨機(jī)硬件失效概率和結(jié)構(gòu)限制兩方面的要求。

(4)軟件安全完整性(Software Safety Integrity)，是指SRECS或其子系統(tǒng)的系統(tǒng)安全完整性部分，涉及軟件在所有規(guī)定條件下，規(guī)定時(shí)間段內(nèi)，在可編程電子系統(tǒng)中執(zhí)行其安全相關(guān)控制功能的能力。一般不能精確量化。

(5)系統(tǒng)安全完整性(Systematic Safety Integrity)，是指SRECS或其子系統(tǒng)安全完整性的一部分，關(guān)于在危險(xiǎn)模式下，與其阻止系統(tǒng)失效有關(guān)。系統(tǒng)安全完整性通常不能精確量化。系統(tǒng)安全完整性要求適用于SRECS或其子系統(tǒng)的硬件和軟件兩方面。

(6)安全完整性等級(jí)(Safety Integrity Level，SIL)，是一種離散的等級(jí)，用于規(guī)定分配給SRECS的安全相關(guān)控制功能的安全完整性要求。在這里，安全完整性等級(jí)3(SIL3)是最高的，安全完整性等級(jí)1(SIL1)是最低的。IEC62061標(biāo)準(zhǔn)不考慮SIL4，SIL4等級(jí)一般情況下也不適合與機(jī)械相關(guān)聯(lián)的風(fēng)險(xiǎn)降低要求。

(7)功能安全(Functional Safety)，是指機(jī)械及機(jī)械控制系統(tǒng)的安全部分，取決于SRECS的正確功能、其它技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施。IEC62061標(biāo)準(zhǔn)只考慮機(jī)械應(yīng)用中取決于SRECS正確功能的功能安全。

(8)安全功能(Safety Function)指失效會(huì)立即造成風(fēng)險(xiǎn)增加的機(jī)器功能。

(9)安全相關(guān)控制功能(Safety－related Control Function，SRCF)，是指由具有規(guī)定的完整性等級(jí)的SRECS執(zhí)行的控制功能，預(yù)期用于保持機(jī)器的安全狀況或防止風(fēng)險(xiǎn)立即增加。

2 SIL分配流程

對(duì)于每一個(gè)特定危險(xiǎn)，其安全完整性要求由SRECS執(zhí)行的安全相關(guān)控制功能分別決定。對(duì)于SRECS功能，在導(dǎo)致評(píng)估SIL要求的具體危險(xiǎn)時(shí)，圖1是執(zhí)行風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)際方法的例子，使用時(shí)應(yīng)與本文中的有關(guān)信息結(jié)合使用。對(duì)于每個(gè)風(fēng)險(xiǎn)應(yīng)執(zhí)行這種方法，這些風(fēng)險(xiǎn)會(huì)通過(guò)SRECS執(zhí)行的安全相關(guān)控制功能而減少。

風(fēng)險(xiǎn)估計(jì)是一個(gè)迭代過(guò)程，這是指該過(guò)程需要不止一次地執(zhí)行。

圖1所示指向風(fēng)險(xiǎn)評(píng)估的反饋箭頭。因?yàn)樘峁┨厥獗Ｗo(hù)措施來(lái)執(zhí)行SRCF可能對(duì)風(fēng)險(xiǎn)參數(shù)有影響(例如，使用安全光幕可能會(huì)導(dǎo)致更大頻率進(jìn)入)。光幕的失效將操作者暴露到比最初設(shè)想的更大的風(fēng)險(xiǎn)。這要求應(yīng)遵循相同的方法不斷重復(fù)過(guò)程，但使用的是修改過(guò)的風(fēng)險(xiǎn)參數(shù)。

如圖1在過(guò)程的結(jié)尾，經(jīng)過(guò)評(píng)估的SIL就是安全相關(guān)控制功能要求的SIL。

3 風(fēng)險(xiǎn)估計(jì)和SIL分配

3.1 危險(xiǎn)識(shí)別

識(shí)別危險(xiǎn)，包括可預(yù)見的誤用所引起的危險(xiǎn)，通過(guò)執(zhí)行SRCF減少風(fēng)險(xiǎn)。在表5中的“危險(xiǎn)”列(欄)列出。

3.2 風(fēng)險(xiǎn)評(píng)估

應(yīng)通過(guò)確定風(fēng)險(xiǎn)參數(shù)為每個(gè)危險(xiǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。如圖2所示，風(fēng)險(xiǎn)參數(shù)來(lái)源于下列要素:

傷害嚴(yán)重程度和發(fā)生傷害的概率，它是下列因子的函數(shù):(1)人們暴露在危險(xiǎn)中的頻率和持續(xù)時(shí)間，F(xiàn)r;(2)危害事件發(fā)生的概率，Pr;(3)避免或者限制傷害的可能性，Av。

進(jìn)入表5的評(píng)估通常是以對(duì)SRCF的最壞情況考慮為基礎(chǔ)的。然而，在一種情況下，例如:有一個(gè)不能挽回的傷害可能發(fā)生，但是比可以挽回的傷害的發(fā)生概率要低很多，那么每一個(gè)的嚴(yán)重程度等級(jí)應(yīng)在表格中占單獨(dú)一行?？赡苊恳恍卸紙?zhí)行不同的SRCF。如果兩行執(zhí)行同一個(gè)SRCF，那么應(yīng)使用最高目標(biāo)SIL要求。

3.3 嚴(yán)重程度(Se)

傷害或者損壞健康的嚴(yán)重程度能夠通過(guò)考慮可以挽回的傷害、不可挽回的傷害和死亡來(lái)進(jìn)行評(píng)估。根據(jù)傷害的后果從表1選擇嚴(yán)重程度的適當(dāng)值，其中:

“4”代表致命的或者嚴(yán)重且不能挽回的傷害，在康復(fù)后難以進(jìn)行相同的工作，即使有也極少;

“3”代表嚴(yán)重或不能挽回的傷害，但在康復(fù)后存在可以繼續(xù)從事相同工作的可能性。同時(shí)它還包括重大的但可以挽回的傷害，比如斷肢;

“2”代表可以挽回但需要專業(yè)醫(yī)療護(hù)理的傷害，包括嚴(yán)重的破口、刺傷及嚴(yán)重的撞傷;

“1”代表需要急救護(hù)理的較小傷害，包括擦傷和較輕的撞傷。

對(duì)于傷害后果(Se)，在表1選擇適當(dāng)?shù)男?、在?的選擇適當(dāng)?shù)牧刑钊脒m當(dāng)數(shù)字。

表1 嚴(yán)重程度(Se)分類

3.4 傷害發(fā)生概率

危害發(fā)生概率的3個(gè)參數(shù)(即Fr，Pr和Av)互相應(yīng)獨(dú)立地進(jìn)行評(píng)估。每個(gè)參數(shù)需使用最壞情況的設(shè)想，從而確保SRCF沒(méi)有被錯(cuò)誤指定比必需的等級(jí)低的SIL。通常，強(qiáng)烈建議使用基于任務(wù)分析的形式，以確保傷害發(fā)生概率的評(píng)估被給予適當(dāng)?shù)目紤]。

3.4.1 暴露頻率和持續(xù)時(shí)間

確定暴露的等級(jí)考慮如下方面:

(1)在所有使用方式的基礎(chǔ)上，需要進(jìn)入危險(xiǎn)區(qū)，例如，正常運(yùn)行、維護(hù)。

(2)進(jìn)入的性質(zhì)，例如，手工送料、設(shè)置。

那么應(yīng)能評(píng)估暴露和進(jìn)入的平均頻率之間的時(shí)間間隔。同樣，可以預(yù)見暴露在危險(xiǎn)中的持續(xù)時(shí)間，例如長(zhǎng)于10min。當(dāng)持續(xù)時(shí)間短于10min時(shí)，數(shù)值可能會(huì)減少到下一個(gè)等級(jí)。這并不適用于暴露頻率≤1h的情況，當(dāng)暴露頻率≤1h時(shí)，任何時(shí)間都不會(huì)減少。這個(gè)因素不包括SRCF的失效考慮。

對(duì)于暴露的頻次和持續(xù)時(shí)間在表2中選擇適當(dāng)?shù)男?、在?中“Fr”列填入適當(dāng)?shù)臄?shù)字。

表2 暴露的頻率(Fr)和持續(xù)時(shí)間分級(jí)

3.4.2 危險(xiǎn)事件發(fā)生概率

傷害發(fā)生的概率應(yīng)獨(dú)立于其他相關(guān)參數(shù)Fr和Av進(jìn)行評(píng)估。每個(gè)參數(shù)應(yīng)作最壞情況的設(shè)想，以確保SRCF沒(méi)有被錯(cuò)誤指定比所需等級(jí)低的SIL。為防止以上事件的發(fā)生，建議使用基于任務(wù)分析的形式，以確保傷害發(fā)生概率的評(píng)估被給予適當(dāng)考慮。

參數(shù)評(píng)估應(yīng)考率下述因素:

(1)在不同的使用方式(例如正常操作、維護(hù)、故障發(fā)現(xiàn))與危險(xiǎn)有關(guān)的機(jī)器零部件行為的可預(yù)見性下，有必要仔細(xì)考慮控制系統(tǒng)，特別是與意外啟動(dòng)風(fēng)險(xiǎn)相關(guān)的控制系統(tǒng)，但是不要考慮任何SRECS的保護(hù)效應(yīng)。

(2)規(guī)定的或可預(yù)見的與相關(guān)危險(xiǎn)的機(jī)器零部件間的交互作用有關(guān)的人類行為特性，以下列因素為特征:工作壓力(例如，由于時(shí)間限制，工作任務(wù)，可感覺(jué)的損壞限制);缺乏危險(xiǎn)相關(guān)的認(rèn)識(shí)，這會(huì)受一些因素的影響，例如:技能、培訓(xùn)、經(jīng)驗(yàn)、機(jī)器/加工的復(fù)雜性。

這些屬性通常并不直接受SRECS設(shè)計(jì)者的影響，但是任務(wù)分析將暴露那些不能完全預(yù)見所有可能方面(包括不可預(yù)見的結(jié)果)的活動(dòng)。危險(xiǎn)事件的發(fā)生概率“非常高”應(yīng)選擇反映正常生產(chǎn)限制和最壞情況的考慮。對(duì)于使用任何較低值，正確的原因(例如，良好定義的應(yīng)用和用戶高水平知識(shí)的能力)是必需的。對(duì)于危險(xiǎn)事件發(fā)生概率(Pr)，在表3中選擇適當(dāng)?shù)男?、在?中Pr列標(biāo)示適當(dāng)?shù)臄?shù)字。

表3 概率(Pr)分類

3.4.3 避免或限制傷害的概率(Av)

這個(gè)參數(shù)可以通過(guò)考慮機(jī)器設(shè)計(jì)和其預(yù)期應(yīng)用方面來(lái)評(píng)估:預(yù)期應(yīng)用有助于避免或限制來(lái)自危險(xiǎn)的傷害。這些方面包括，例如:

(1)危險(xiǎn)事件的發(fā)生是突發(fā)的，快速的，或是緩慢的。

(2)撤離危險(xiǎn)的空間可能性。

(3)元件或系統(tǒng)的性質(zhì)，例如，刀通常是鋒利的，日常環(huán)境里的管道通常是熱的，電雖然看不見，但其性質(zhì)通常是危險(xiǎn)的。

(4)識(shí)別危險(xiǎn)的可能性，例如電氣危險(xiǎn):銅棒不因其是否帶電壓而改變它的外觀;人們需要用儀器來(lái)確定電氣設(shè)備是否通電;環(huán)境條件，例如高噪聲級(jí)可能妨礙人們聽到機(jī)器的啟動(dòng)。

對(duì)于避免或限制損害概率(Av)，從表4中選擇適當(dāng)?shù)男?、在?中的Av列填入適當(dāng)?shù)臄?shù)字。

表4 避免或限制傷害的概率(Av)等級(jí)

3.5 損害概率的級(jí)別(CI)

對(duì)每一種危險(xiǎn)，如果適用，則對(duì)每一個(gè)嚴(yán)重等級(jí)，疊加在Fr、Pr和Av列的分?jǐn)?shù)，然后在表5的CI列中輸入總和。

表5 用于決定傷害概率級(jí)別的參數(shù)(CI)

3.6 SIL 分配

如圖3所示，其中表示嚴(yán)重程度(Se)的行與有關(guān)的列(CI)相交，交叉點(diǎn)即表示是否需要采取措施。黑色區(qū)域表示SIL被指定為SRCF目標(biāo)，淺陰影區(qū)域表示應(yīng)使用其他措施的建議。

例如:如果一個(gè)特定的危害的Se為3，F(xiàn)r為 4，Pr為5，Av為5，則:

根據(jù)圖3，將會(huì)分配SIL3給 SRCF，從而減輕特定的危險(xiǎn)。圖4是基于IEC62061標(biāo)準(zhǔn)的用于記錄SIL分配練習(xí)結(jié)果的文件示例圖。

4 結(jié)語(yǔ)

IEC62061標(biāo)準(zhǔn)是由IEC/TC44技術(shù)委員會(huì)制定的一項(xiàng)重要的功能安全標(biāo)準(zhǔn)，現(xiàn)已轉(zhuǎn)化成我國(guó)GB28526－2012強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，并于2013年5月1日起在我國(guó)強(qiáng)制實(shí)施。因標(biāo)準(zhǔn)內(nèi)容豐富，受篇幅限制，本文僅對(duì)標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)評(píng)估方法和SIL分配應(yīng)用示例等關(guān)鍵內(nèi)容進(jìn)行了介紹和說(shuō)明。為了便于機(jī)床行業(yè)更好地理解和實(shí)施本標(biāo)準(zhǔn)，全國(guó)工業(yè)機(jī)械電氣系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會(huì)后續(xù)還將對(duì)該標(biāo)準(zhǔn)的其他一些難點(diǎn)問(wèn)題進(jìn)行詳盡解讀，敬請(qǐng)關(guān)注。

［1］黃祖廣，張承瑞，趙欽志，等.數(shù)控系統(tǒng)功能安全標(biāo)準(zhǔn)綜述［J］.制造技術(shù)與機(jī)床，2013(8).

［2］黃祖廣，尹震宇，趙欽志.GB 28526－2012機(jī)械電氣安全安全相關(guān)電氣、電子和可編程電子控制系統(tǒng)的功能安全［S］.北京:中國(guó)標(biāo)準(zhǔn)出版社，2012.

［3］IEC 62061:2005 Safety of machinery－functional safety of safety－ related electrical，electronic and programmable electronic control systems［S］.

［4］黃祖廣，趙欽志，楊京彥.GB 5226.1－2008機(jī)械電氣安全 機(jī)械電氣設(shè)備 第1部分:通用技術(shù)條件［J］.北京:中國(guó)標(biāo)準(zhǔn)出版社，2009.

［5］IEC 60204－1:2009 Safety of machinery－electrical equipment of machines–Part 1:General requirements［S］.

［6］黃祖廣，趙欽志，黃麟.機(jī)械電氣系統(tǒng)安全標(biāo)準(zhǔn)匯編［S］.北京:中國(guó)標(biāo)準(zhǔn)出版社，2010.