IEC62061和ISO13849-1在机械安全相关控制系统设计中的应用*
2016-08-31薛瑞娟黄祖广赵钦志
薛瑞娟 黄祖广 赵钦志
(国家机床质量监督检验中心,北京 100102)
IEC62061和ISO13849-1在机械安全相关控制系统设计中的应用*
薛瑞娟黄祖广赵钦志
(国家机床质量监督检验中心,北京 100102)
针对机械行业两项重要的功能安全标准IEC62061和ISO13849-1,为了方便技术人员对标准的选择、理解及应用,介绍了这两项标准的主要内容及适用范围等,并对这两项标准在机械安全相关控制系统的设计应用方面进行了简要的对比分析。
控制系统;安全;标准
工业革命以来,随着各种机器机械及自动化设备的大量应用,把人从大量的繁重体力劳动中解放出来和提高生产效率的同时,也给人带来了各种伤害。为了最大程度地减少这种风险,上世纪90年代,作为发达国家阵营之一的欧盟,从93/68/EC起,颁布了各种新方法指令,来规范进入欧盟市场的各种产品,使其符合相关的安全要求,并为满足要求的产品贴上了“CE”标识,也就是我们通常熟知的CE认证。但随着技术和人们认知的发展,发现由于设备设计不合理、系统失效或者故障、安全相关元器件、零部件的失效或故障、软件的问题导致的设备故障引发的危险越来越频繁,有时甚至会造成巨大的人员伤害及财产损失。要从根本上避免风险,不再仅仅是防护问题,而是需要从产品设计、元器件的选择、软件的验证等根本问题上来解决。
为此,国际两大标准化技术组织制定并发布了IEC62061《机械安全相关电气、电子和可编程电子控制系统的功能安全》和ISO13849-1《机械安全控制系统有关安全部件第1部分:设计通则》。为什么会出现这两个标准,在机械安全相关控制系统设计中到底应该如何选择,本文在对这两项标准内容的设计应用部分比对后作如下解析。
1 概述
IEC62061和ISO13849-1是机械行业两项重要的功能安全标准。IEC62061由国际电工委员会IEC/TC44机械电气安全技术委员会制定,于2005年首次发布,它规定了机械(机器)设备用安全相关电气/电子/可编程电子控制系统(SRECS)的设计、集成、确认和评估等要求,适用于单独的或组合的方式使用的控制系统,以执行机械安全相关控制功能。IEC62061不包括需要或要求由其他标准或法规为保护人身免遭危险的所有要求(例如防护、非电气联锁或非电气控制)。ISO13849-1是由国际标准化组织ISO/TC199机械安全技术委员会制定,于2006年首次发布,它规定了包括软件设计在内的控制系统安全相关部分(SRP/CS)设计和集成的安全要求和指导原则。对于这些SRP/CS的部件,ISO13849-1规定了包括执行安全功能所需的性能等级在内的特征。ISO13849-1适用于所有种类机械的SRP/CS,不管其采用何种技术和能量(电、液压、气动、机械等)。
2 几个重要的基本概念
(1)功能安全:机械及机械控制系统有关的整体安全组成部分,取决于安全相关电气控制系统(SRECS)的正确功能,以及其他技术安全相关系统和外部风险降低设施的正确执行。
(2)安全功能:其失效会立即造成风险增加的机器功能。
(3)每小时危险失效概率(PFHD):1小时内危险失效平均概率。
(4)安全完整性等级(SIL):一种离散的等级(三种可能的等级之一),用于规定分配给SRECS安全相关控制功能的安全完整性要求。在这里,安全完整性等级3是最高的,安全完整性等级1是最低的。
(5)平均失效间隔时间(MTTFd):预期的危险失效平均间隔的时间。
(6)诊断覆盖率(DC):进行自动诊断试验操作而导致危险硬件失效概率的降低。
(7)性能等级(PL):在可预期条件下,用于规定控制系统安全相关部分执行安全功能的离散等级。
(8)安全相关电气控制系统(SRECS):其失效可能导致风险立即增加的机械电气控制系统。
(9)安全相关控制功能(SRCF):由具有规定的完整性等级的SRECS执行的控制功能,预期用于保持机器的安全状况或防止风险立即增加。
(10)控制系统安全相关部分(SRP/CS):控制系统中响应有关安全输入信号并产生有关安全输出信号的部件。
(11)故障容错率(HFT):在故障或者错误出现时,硬件功能模块连续执行要求功能的能力。通常用数值“N”来表示,意思是:N+1个故障将会导致安全相关控制功能的丧失。
3 标准对比分析
3.1基本情况分析
首先,从标准的出处来看,IEC62061是国际电工委员会(IEC)颁布的标准,主要是对安全相关的电气、电子、可编程电子控制系统的功能安全要求;而ISO13849-1是国际标准化组织(ISO)颁布的标准,主要是对控制系统的安全相关部分的要求。两者是由不同组织依据不同的架构和考虑颁布。
其次,从标准的传承来看,IEC62061主要参考了IEC61508的第二、第三部分,也就是软、硬件开发的部分,所以,IEC62061更适合用来评估比较复杂的电子系统,其根据相关计算得出每个控制通道的每小时危险失效概率(PFHD),将元件或者系统分为了三个安全完整性等级(SIL),即SIL1级、SIL2级、SIL3级,但只是针对电子电气系统。ISO13849-1主要是传承了EN14121及EN954的基本原则,侧重于分析控制电路的结构,按照电路结构,将电路分成B、1、2、3、4共5个类别,再辅以适当平均失效间隔时间(MTTFd)值和诊断覆盖率(DC)值,来达到预期的性能等级(PL)a、b、c、d、e这5个等级,并且其中涵盖了液压和气动元件的分析。
两项标准均规定了机械安全相关控制系统设计和实施的相关要求,开发的方法虽然不同,但正确使用时,降低风险可达到相类似等级,选择和使用哪一项标准需要考虑以下因素:
(1)在机械安全相关控制系统设计中,以往的知识和经验是基于ISO13849-1描述的类别概念,则可能意味着使用ISO13849-1更合适;
(2)基于介质而不是电气技术的安全相关控制系统,则使用ISO13849-1更合适;
(3)用户要求以术语SIL证明机械安全相关控制系统的安全完整性等级时,则使用IEC62061更合适;
(4)机械安全相关控制系统用于例如过程工业领域时,当其他安全相关系统(例如符合GB/T 21109的安全仪表系统)以SIL表征,则使用IEC62061更合适。
3.2技术要求分析
IEC62061和ISO13849-1均给出了用于安全评估的PFHD和MTTFd的简化数学公式,通过对两项标准的术语、风险评估和性能分配、安全要求规范、系统完整性要求、诊断功能、软件安全要求等技术要求的对比得出:
(1)通过集成分别遵照IEC62061和ISO13849-1设计的非复杂SRECS子系统或SRP/CS,使用这两项标准中的任一项设计的安全相关控制系统均能达到可接受的功能安全等级;
(2)通过集成依照GB/T20438(IEC61508)设计的电气/电子/可编程电子设备子系统,这两项标准也可用于为复杂的SRECS和SRP/CS提供设计的解决方法;
(3)经验表明,这两项标准目前对机械行业是很有价值的,使用者可从中受益,经过一段时间实际应用的反馈,对于推动这两项标准内容的合并将起到很重要的作用;
(4)由于细节上存在着差异及确认,某些概念(例如功能安全管理)仍需要进一步研究,以建立各自设计的方法和一些技术要求之间的对应关系。
4 风险评估和所需性能分配
对IEC62061和ISO13849-1中给出的具体安全功能分配SIL或 PL的方法进行比较得出,每个标准的附录A中各自提供的方法之间有很好的对应等级。无论使用哪种方法来进行风险评估和所需性能分配,首先需要确保对风险参数进行适当的判断,确定能够适用于具体安全功能的SIL或PL,并且在做判断时,最好可以请相关工作人员(如设计、维护和操作人员)共同参与,以确保正确理解机械可能出现的危险。
此外,有关风险评估过程和所需性能目标分配的更多详细信息可参考ISO14121-1和IEC61508-5。
5 安全要求规范
IEC62061和ISO13849-1各自的安全相关控制功能规范均要求安全功能首先由安全相关控制系统实现。对控制电路执行的每一项安全功能应使用IEC62061附录A或ISO13849-1附录A进行评估,以确定每个机械特定安全功能提供怎样的风险降低水平,依次确定执行该安全功能的控制电路要求的置信水平。作为SIL或PL给定的置信水平与具体的安全功能有关。还有一些与安全功能相关的信息应由产品标准(C类)提供,例如由控制电路执行的安全功能应包括安全功能的名称、功能描述、按照IEC62061要求的安全完整性等级SIL 1~SIL3或按照ISO13849-1要求的性能等级PLa~PLe。
6 性能目标分配:PL与SIL比较
表1给出了基于每小时平均危险失效概率的PL和SIL之间的关系,除了这些适用于安全相关控制系统的概率目标之外,两标准都规定了其他要求(如系统安全完整性等),这些要求的严格等级与各自的PL和SIL有关。
表1基于每小时平均危险失效概率的PL和SIL的关系
性能等级(PL)每小时平均危险失效概率安全完整性等级(SIL)aw10-5至<10-4无特殊安全要求bw3×10-6至<10-51cw10-6至<3×10-61dw10-7至<10-62ew10-8至<10-73
7 系统设计
7.1使用IEC62061和ISO13849-1进行系统设计的一般要求
当设计一个SRECS/SRP/CS时,应考虑下列方面:
(1)当在各自限定范围内使用时,两项标准均可用于设计具有合适功能安全的安全相关控制系统,用达到的SIL或PL表示。
(2)按照ISO13849-1设计具有相关PL的非复杂的安全相关部分可以作为子系统集成到按照IEC62061设计的SRECS中。任何按照ISO13849-1设计具有相关PL的复杂安全相关部分均可以集成到按照ISO13849-1设计的SRP/CS。
(3)任何按照IEC62061设计具有相关SIL的非复杂子系统都可以作为安全相关部分集成到按照ISO13849-1设计的SRP/CS组合中。
(4)任何按照IEC61508设计具有相关SIL的复杂子系统都可以作为安全相关部件集成到按照ISO13849-1设计的SRP/CS组合中,或者作为子系统集成到按照IEC62061设计的SRECS中。
7.2PFHD和MTTFd的估计以及故障排除的使用
7.2.1PFHD和MTTFd
当ISO13849-1中MTTFd的值与不带诊断的单通道SRP/CS相关时,MTTFd为 IEC62061中PFHD的倒数。MTTFd是不考虑任何给定因素(如诊断或架构)的部件或单通道的参数,而PFHD是考虑了由设计结构决定的诊断和架构因素的子系统的参数。ISO13849-1的附录K中描述了以类别和诊断覆盖率分类的不同架构SRP/CS中MTTFd和PFHD的关系。按照ISO13849-1串联组合的SRP/CS的PFHD的估计可以采用IEC62061中子系统使用的类似方法,以累加各SRP/CS的PFHD值的方式得出。
7.2.2故障排除的使用
两项标准都允许故障排除的使用,见IEC62061的6.7.7 和ISO13849-1的7.3。IEC62061不允许SRECS在无硬件故障容错率(无硬件故障容错率的情况下达到SIL 3除外)的情况下使用故障排除。使用故障排除重要的是对它们的正确判断和对SRP/CS或SRECS预期生命周期有效。
通常,通过SRP/CS或SRECS实现安全功能为PL e 或SIL 3等级的地方,不应仅单独依赖于故障排除获得这样的性能等级,还需要考虑采用的技术和预期操作的环境,因此,设计者若通过使用故障排除来增加PL 或SIL需非常谨慎。同时,在SRP/CS或SRECS的设计中为达到PL e或SIL 3,故障排除不适用于机电位置开关和手操作开关(例如紧急停止装置)的机械部分,这些故障排除可以应用的特定机械故障条件(如:磨损/腐蚀,断裂)可参考ISO 13849-2 中的描述。此外,更多关于故障排除使用的信息将会在由ISO/TC 199/WG 8开发的新版ISO 13849-2中给出。
7.3使用符合IEC62061或ISO 13849-1的子系统或SRP/CS 的系统设计
按照ISO13849-1或IEC 62061设计的子系统或控制系统安全相关部分只有满足相关系统等级标准的所有要求,才可声称符合系统等级标准。子系统或者控制系统安全相关部分在设计过程中,应满足相应的IEC62061或ISO13849-1的要求,同时满足一个以上标准的要求是允许的,但应充分符合所有标准的要求,不允许混合使用不同标准的要求。
7.4使用已由其他IEC或ISO标准设计的子系统或SRP/CS进行系统设计
在系统设计中,可以选择符合相关IEC或 ISO产品标准或IEC61508、IEC62061及ISO13849-1的子系统(例如,电敏保护设备)。各种型号子系统的供应商需要提供按照IEC62061或ISO13849-1将子系统整合到安全相关控制系统的必要信息。
使用产品标准(如IEC61800-5-2)设计的子系统(如调速电气传动系统),若满足IEC61508的要求,则可用于依照IEC62061 (见IEC62061中6.7.3)和ISO13849-1设计的安全相关控制系统中。为了与IEC62061保持一致,使用其他IEC或ISO标准设计的子系统需符合IEC62061 6.7.3的规定。
8 结语
总之,IEC62061和ISO13849-1两项安全标准的正确使用,不仅可以规范和引导国内机械行业安全相关技术的发展,完善机械安全相关控制系统的设计和验证能力,而且可以实现对人员和设备的保护,减少事故危害,确保机械设备的高效、安全加工。两项标准内容丰富,因笔者能力有限,本文仅从个人理解对标准的一些应用问题进行了说明。详尽内容请阅读标准原始文本。
[1]黄祖广,尹震宇,赵钦志,等.GB 28526-2012 机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全[S]. 北京:中国标准出版社, 2012.
[2] 张晓飞,李勤,宁燕,等.GB/T 16855.1-2008 机械安全控制系统有关安全部件第1部分:设计通则[S]. 北京:中国标准出版社, 2009.
[3] IEC 62061:2005 Safety of machinery- Functional safety of safety-related electrical, electronic and programmable electronic control systems[S].
[4] ISO 13849-1:2006 Safety of machinery - Safety-related parts of control systems - Part 1:General principles for design[S].
[5]IEC/TR 62061-1:2010 Guidance on the application of ISO 13849-1 and IEC 62061 in the design ofsafety-related control systems for machinery[S].
如果您想发表对本文的看法,请将文章编号填入读者意见调查表中的相应位置。
Introduction on the application of IEC 62061and ISO 13849-1 in the design of safety-related control systems for machinery
XUE Ruijuan, HUANG Zuguang, ZHAO Qinzhi
(National Machine Tool Quality Supervision and Inspection Center, Beijing 100102, CHN)
For the convenience of technical personnel on the selection, understanding and application of IEC62061 and ISO13849-1, two important functional safety standards of machinery industry, this paper introduces the main content and the scope of application etc about these two standards. At the same time, it gives brief comparison and analysis on the application of the two standards in the design of safety-related control systems for machinery.
control systems; safety; standard
TH122
B
薛瑞娟,女,1987年生,硕士,全国工业机械电气系统标准化技术委员会秘书,主要研究方向为数控系统测试与评价技术及机械电气系统安全相关标准化等。
160553