黄祖广 张承瑞 赵钦志 胡天亮

(①山东大学机械工程学院，山东济南 250061;②山东大学高效与洁净机械制造教育部重点实验室，山东济南 250061;③国家机床质量监督检验中心，北京 100102)

安全风险评估是指在安全风险事件发生之前或之后(但还没有结束)，该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即安全风险评估就是量化评价安全某一事件或事物带来的影响或损失的可能程度。

IEC62061标准是由IEC/TC44技术委员会制定的一项重要的功能安全标准，标准中附录A提供的风险评估方法和安全完整性等级(SIL)分配应用示例，可适用于机械或机器安全相关控制功能(SRCF)的风险评估和 SIL分配。在IEC61508－5标准中，也给出了可用于SIL分配的其他技术的例子，并在IEC/TC44技术委员会制定的IEC/TR62061－1中进行了描述。

IEC62061标准附录中所描述的方法适用于定性的风险评估，通常用于对机器的SRCF的SIL分配。对特定的机器应用这种方法时所使用的风险参数(见图2)和其具体的危险应与相关方协商，以确保SRECS能够将风险降至足够低。多数机械或机器产品标准(类似于欧盟的“C”类标准)中所采用的风险评估方法，通常按照ISO13849－1标准规定的选择要求“类别”执行。在ISO13849－1要求的类别和IEC62061标准所要求的SIL之间映射关系，由ISO/TC199和IEC/TC44组建的联合工作组正在研究中。本文着重对基于IEC62061标准的安全控制系统的安全风险评估方法和SIL分配应用等问题进行了介绍，以便机床行业有关技术人员更好地理解和应用。

1 基本概念

(1)安全相关电气控制系统(Safety－Related Electric Control System，SRECS)，是指失效可能导致风险立即增加的机械电气控制系统。包括由电源电路和控制电路组成的全部电气控制系统，其失效可能导致功能安全的降低或丧失。

(2)安全完整性(Safety Integrity)，即在所有规定情况下，安全控制系统或其子系统圆满执行所要求的安全相关控制功能的概率。系统的安全完整性等级越高，其未能执行所要求的安全相关控制功能的概率就越低。安全完整性由硬件安全完整性和系统安全完整性组成。

(3)硬件安全完整性 (Hardware Safety Integrity)，是指安全控制系统或其子系统安全完整性的一部分，包含危险的随机硬件失效概率和结构限制两方面的要求。

(4)软件安全完整性(Software Safety Integrity)，是指SRECS或其子系统的系统安全完整性部分，涉及软件在所有规定条件下，规定时间段内，在可编程电子系统中执行其安全相关控制功能的能力。一般不能精确量化。

(5)系统安全完整性(Systematic Safety Integrity)，是指SRECS或其子系统安全完整性的一部分，关于在危险模式下，与其阻止系统失效有关。系统安全完整性通常不能精确量化。系统安全完整性要求适用于SRECS或其子系统的硬件和软件两方面。

(6)安全完整性等级(Safety Integrity Level，SIL)，是一种离散的等级，用于规定分配给SRECS的安全相关控制功能的安全完整性要求。在这里，安全完整性等级3(SIL3)是最高的，安全完整性等级1(SIL1)是最低的。IEC62061标准不考虑SIL4，SIL4等级一般情况下也不适合与机械相关联的风险降低要求。

(7)功能安全(Functional Safety)，是指机械及机械控制系统的安全部分，取决于SRECS的正确功能、其它技术安全相关系统和外部风险降低设施。IEC62061标准只考虑机械应用中取决于SRECS正确功能的功能安全。

(8)安全功能(Safety Function)指失效会立即造成风险增加的机器功能。

(9)安全相关控制功能(Safety－related Control Function，SRCF)，是指由具有规定的完整性等级的SRECS执行的控制功能，预期用于保持机器的安全状况或防止风险立即增加。

2 SIL分配流程

对于每一个特定危险，其安全完整性要求由SRECS执行的安全相关控制功能分别决定。对于SRECS功能，在导致评估SIL要求的具体危险时，图1是执行风险评价的实际方法的例子，使用时应与本文中的有关信息结合使用。对于每个风险应执行这种方法，这些风险会通过SRECS执行的安全相关控制功能而减少。

风险估计是一个迭代过程，这是指该过程需要不止一次地执行。

图1所示指向风险评估的反馈箭头。因为提供特殊保护措施来执行SRCF可能对风险参数有影响(例如，使用安全光幕可能会导致更大频率进入)。光幕的失效将操作者暴露到比最初设想的更大的风险。这要求应遵循相同的方法不断重复过程，但使用的是修改过的风险参数。

如图1在过程的结尾，经过评估的SIL就是安全相关控制功能要求的SIL。

3 风险估计和SIL分配

3.1 危险识别

识别危险，包括可预见的误用所引起的危险，通过执行SRCF减少风险。在表5中的“危险”列(栏)列出。

3.2 风险评估

应通过确定风险参数为每个危险进行风险评估。如图2所示，风险参数来源于下列要素:

伤害严重程度和发生伤害的概率，它是下列因子的函数:(1)人们暴露在危险中的频率和持续时间，Fr;(2)危害事件发生的概率，Pr;(3)避免或者限制伤害的可能性，Av。

进入表5的评估通常是以对SRCF的最坏情况考虑为基础的。然而，在一种情况下，例如:有一个不能挽回的伤害可能发生，但是比可以挽回的伤害的发生概率要低很多，那么每一个的严重程度等级应在表格中占单独一行。可能每一行都执行不同的SRCF。如果两行执行同一个SRCF，那么应使用最高目标SIL要求。

3.3 严重程度(Se)

伤害或者损坏健康的严重程度能够通过考虑可以挽回的伤害、不可挽回的伤害和死亡来进行评估。根据伤害的后果从表1选择严重程度的适当值，其中:

“4”代表致命的或者严重且不能挽回的伤害，在康复后难以进行相同的工作，即使有也极少;

“3”代表严重或不能挽回的伤害，但在康复后存在可以继续从事相同工作的可能性。同时它还包括重大的但可以挽回的伤害，比如断肢;

“2”代表可以挽回但需要专业医疗护理的伤害，包括严重的破口、刺伤及严重的撞伤;

“1”代表需要急救护理的较小伤害，包括擦伤和较轻的撞伤。

对于伤害后果(Se)，在表1选择适当的行、在表5的选择适当的列填入适当数字。

表1 严重程度(Se)分类

3.4 伤害发生概率

危害发生概率的3个参数(即Fr，Pr和Av)互相应独立地进行评估。每个参数需使用最坏情况的设想，从而确保SRCF没有被错误指定比必需的等级低的SIL。通常，强烈建议使用基于任务分析的形式，以确保伤害发生概率的评估被给予适当的考虑。

3.4.1 暴露频率和持续时间

确定暴露的等级考虑如下方面:

(1)在所有使用方式的基础上，需要进入危险区，例如，正常运行、维护。

(2)进入的性质，例如，手工送料、设置。

那么应能评估暴露和进入的平均频率之间的时间间隔。同样，可以预见暴露在危险中的持续时间，例如长于10min。当持续时间短于10min时，数值可能会减少到下一个等级。这并不适用于暴露频率≤1h的情况，当暴露频率≤1h时，任何时间都不会减少。这个因素不包括SRCF的失效考虑。

对于暴露的频次和持续时间在表2中选择适当的行、在表5中“Fr”列填入适当的数字。

表2 暴露的频率(Fr)和持续时间分级

3.4.2 危险事件发生概率

伤害发生的概率应独立于其他相关参数Fr和Av进行评估。每个参数应作最坏情况的设想，以确保SRCF没有被错误指定比所需等级低的SIL。为防止以上事件的发生，建议使用基于任务分析的形式，以确保伤害发生概率的评估被给予适当考虑。

参数评估应考率下述因素:

(1)在不同的使用方式(例如正常操作、维护、故障发现)与危险有关的机器零部件行为的可预见性下，有必要仔细考虑控制系统，特别是与意外启动风险相关的控制系统，但是不要考虑任何SRECS的保护效应。

(2)规定的或可预见的与相关危险的机器零部件间的交互作用有关的人类行为特性，以下列因素为特征:工作压力(例如，由于时间限制，工作任务，可感觉的损坏限制);缺乏危险相关的认识，这会受一些因素的影响，例如:技能、培训、经验、机器/加工的复杂性。

这些属性通常并不直接受SRECS设计者的影响，但是任务分析将暴露那些不能完全预见所有可能方面(包括不可预见的结果)的活动。危险事件的发生概率“非常高”应选择反映正常生产限制和最坏情况的考虑。对于使用任何较低值，正确的原因(例如，良好定义的应用和用户高水平知识的能力)是必需的。对于危险事件发生概率(Pr)，在表3中选择适当的行、在表5中Pr列标示适当的数字。

表3 概率(Pr)分类

3.4.3 避免或限制伤害的概率(Av)

这个参数可以通过考虑机器设计和其预期应用方面来评估:预期应用有助于避免或限制来自危险的伤害。这些方面包括，例如:

(1)危险事件的发生是突发的，快速的，或是缓慢的。

(2)撤离危险的空间可能性。

(3)元件或系统的性质，例如，刀通常是锋利的，日常环境里的管道通常是热的，电虽然看不见，但其性质通常是危险的。

(4)识别危险的可能性，例如电气危险:铜棒不因其是否带电压而改变它的外观;人们需要用仪器来确定电气设备是否通电;环境条件，例如高噪声级可能妨碍人们听到机器的启动。

对于避免或限制损害概率(Av)，从表4中选择适当的行、在表5中的Av列填入适当的数字。

表4 避免或限制伤害的概率(Av)等级

3.5 损害概率的级别(CI)

对每一种危险，如果适用，则对每一个严重等级，叠加在Fr、Pr和Av列的分数，然后在表5的CI列中输入总和。

表5 用于决定伤害概率级别的参数(CI)

3.6 SIL 分配

如图3所示，其中表示严重程度(Se)的行与有关的列(CI)相交，交叉点即表示是否需要采取措施。黑色区域表示SIL被指定为SRCF目标，浅阴影区域表示应使用其他措施的建议。

例如:如果一个特定的危害的Se为3，Fr为 4，Pr为5，Av为5，则:

根据图3，将会分配SIL3给 SRCF，从而减轻特定的危险。图4是基于IEC62061标准的用于记录SIL分配练习结果的文件示例图。

4 结语

IEC62061标准是由IEC/TC44技术委员会制定的一项重要的功能安全标准，现已转化成我国GB28526－2012强制性国家标准，并于2013年5月1日起在我国强制实施。因标准内容丰富，受篇幅限制，本文仅对标准中的风险评估方法和SIL分配应用示例等关键内容进行了介绍和说明。为了便于机床行业更好地理解和实施本标准，全国工业机械电气系统标准化技术委员会后续还将对该标准的其他一些难点问题进行详尽解读，敬请关注。

［1］黄祖广，张承瑞，赵钦志，等.数控系统功能安全标准综述［J］.制造技术与机床，2013(8).

［2］黄祖广，尹震宇，赵钦志.GB 28526－2012机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全［S］.北京:中国标准出版社，2012.

［3］IEC 62061:2005 Safety of machinery－functional safety of safety－ related electrical，electronic and programmable electronic control systems［S］.

［4］黄祖广，赵钦志，杨京彦.GB 5226.1－2008机械电气安全 机械电气设备 第1部分:通用技术条件［J］.北京:中国标准出版社，2009.

［5］IEC 60204－1:2009 Safety of machinery－electrical equipment of machines–Part 1:General requirements［S］.

［6］黄祖广，赵钦志，黄麟.机械电气系统安全标准汇编［S］.北京:中国标准出版社，2010.