安全标准参考指南

ENISO13849-1安全标准参考指南从标准EN954-1到标准ENISO13849-1的过渡PublicationSAFETY-RM004A-ZH-PNovember2009.功能安全从标准EN954-1到标准ENISO13849-1的过渡1简介该出版物用于对应用机器安全的法规和标准近期和将来的变更作出说明。这主要是欧盟的要求，但是由于机器安全标准的发展在逐步全球化，许多内容也与世界其他地区有关。机械与过程继续变得越来越快，越来越灵活，功能越来越强大。为了操作员与技师的持续安全，需要提供保护性措施，反过来说，即是为了与自动化日益增长的复杂性保持同步。传统上，安全系统在自动化系统中一直是单独实施，独立运行，并且经常与自动化系统平行运转。这样做有一个很好的理由，那就是安全系统必须一直保持可用状态。在机器的“正常”运行状态下，故障和无法预期的情况一定不能让安全保护措施发生降级或者妥协。然而，随着自动化系统变得越来越智能化，因此要求必须有安全系统的支持，这是一个不可避免的事实。安全功能不断增长的要求取决于机器正在做的事情或者它所处的模式。在某种方式上，这意味着“安全”在与“正常”控制系统进行通讯。这表明我们需要重新考虑，我们如何实现安全系统的独立性以及完整性。其中最显著的一个表现便是新一代的标准通常都会参考功能安全标准。在本出版物中，我们将要考虑最为明显的问题之一：ENISO13849-1标准。除此之外，还有一个欧盟新的机械规范，也将有望成为最新工业环境中的法规。对于供应机器或使用它们的人来说，被告知相关标准与管理机构要求是十分重要的。该出版物旨在协助相关任务，特别是与控制系统方面相关的任务。它并不是在标准和法规中描述过的详细研究具体规定的替代品。它的目的在于进行概述，希望它能有助于澄清有关要求的问题。2从标准EN954-1到标准ENISO13849-1的迁移多年来，对安全系统进行分级最为通用的方法一直是使用标准EN954-1的分类[或者是它的对应标准ISO13849-1:1999]。在2009年12月末，EN954-1将会被撤销[它的对应标准ISO13849-1:1999已经被撤销]。这一做法的主要含义是说在该日期以后，这个标准已经不再用于表明其与机械规范的一致性。代替EN954-1的新标准已经出版。ENISO13849-1:2008，称为“机器安全-控制系统部件的安全”。还有可以使用的另外一种标准：EN/IEC62061“机器安全-电气、电子和可编程电子控制系统的功能安全”。以上两种标准的任何一种可以表明与机械规范的一致性。在该出版物中，我们将会重新考虑两种相关标准之间的关系。选择哪一种标准由用户决定，但我们集中精力于标准ENISO13849-1:2008。它已被具体起草，为使用分类的系统设计者提供一个过渡，因此它很可能成为最为常用的机器安全系统标准。它可用在完整的系统中或用在一个子系统中。标准EN954-1和标准ENISO13849-1之间的基本差别首先让我们来观察一下旧标准EN954-1与新标准ENISO13849-1之间的基本差别。旧标准的输出为类别[B,1,2,3或者4]。新标准的输出为性能[PLa,b,c,d或者e]。类别概念依旧保持，在PL要求一个系统之前，但有一些附加要求需要满足。这些要求以基础表格的形式如下所示：•系统的架构本质上，这会捕获到我们作为类别已经使用过的。•系统组成部分所需的可靠性数据。•系统所需的诊断覆盖率[DC]。这有效了表示系统中故障监控的数量。•保护免受通常原因导致的故障。•保护免受系统性故障•在相关之处，软件的具体要求。功能安全从标准EN954-1到标准ENISO13849-1的过渡3稍后我们将更加深入地观察一下这些因素，但在此之前思考一下整个标准的基本目的和原则是大有帮助的。显而易见的是我们有许多新东西要去学习，但细节会让我们理解正在尝试所做的是什么事情，以及为什么去做这件事。首先，我们为什么需要新的标准?很显然，过去十年间机器安全系统中所用的技术已经前进并且有相当程度的更改。相对而言，最近的安全系统所依靠的“简单”设备带有可预见到的以及可预测的故障模式。最近一些时间内，我们观察到安全系统中更加复杂的电子和可编程设备的使用正在增长。这在成本、灵活性与兼容性方面给予了我们极大好处，但它也意味着之前存在的标准已经不再胜任。为了理解安全系统是否已经足够好，我们需要知道更多有关信息。这就是新标准需要更多信息的原因所在。由于安全系统开始使用更为“黑盒子”式的方法，我们开始更加依赖标准的一致性。因此这些标准需要能够合理质问该技术。为了实现这一目标，他们必须提到基础因素，如可靠性、故障检测、架构完整性和系统完整性。这就是标准ENISO13849-1存在的目的。为了规划标准的逻辑方式，重要的是要意识到它在功能上有着两种不同的用户类型：安全子系统设计者与安全系统设计者。通常子系统设计者[典型上称为安全部件生产商]会倾向于高等级的复杂性。他们需要提供所需数据，这是为了系统设计者能确保系统的充足完整性。通常这将会需要一些测试、分析和计算过程。结果将会以标准需要的数据格式表示出来。系统设计者[典型上称为机器设计者或集成商]将会使用该数据，执行一些相对而言简单计算，以确定系统的整体性能等级[PL]。为了确定PL所需的[PLr]，标准提供风险图，使之进入损坏严重性、接触次数和避免可能性的应用因素为输入。输出为PLr。旧标准EN954-1的用户将会熟悉这种方式，但是现在请注意S1线在旧的风险图位置进行细分。请注意它意味着在较低风险等级进安全措施的完整性可能会进行重新配置。4现在，我们可以观察到系统的PLr[来自风险图]与通过系统获得的PL[通过计算]之间的直接关系。然而，有一样非常重要的零件需要覆盖。我们现在可以区分系统需要多么好的标准，并且如何确定它有多好，但是我们不知道它应该做些什么。我们需要确定安全功能是什么。很明显，安全功能一定对任务是合适的，我们怎么提供?标准怎样帮助我们?意识到所需功能只能通过考虑特性战胜实际应用的方法来进行确定，这是十分重要的。这可以被视为安全概念设计阶段。它不能被标准完全覆盖，因为标准不了解具体应用的全部特性。这也经常应用在机器制造商，它们制造机器但不一定解它会使用的准确条件。列出通常使用的安全功能，标准会提供一些帮助，并且给出了一些正常的要求。其他标准，例如ENISO12100：基础设计原则和ENISO14121：风险评估在此阶段强烈推荐使用。也有大型范围的机器具体标准，将会提供具体机器的解决方案。在欧洲EN标准中，他们被定义为C类型标准，它们中的大多数在ISO标准中都有对等的标准。因此我们现在可以观察到安全概念设计阶段是由于机器类型和应用特性以及使用环境决定的。机器制造商预计到了这些因素，为了能够设计安全概念。使用特定的[即预期的]条件在用户手册可以找到。机器用户需要检查比较他们的实际使用情况。Bૌ՚S1S2F2P2P1P2P1F11234来自EN945-1标准附录B中的风险图P2P1P2P1P2P1P2P1F2F1F2F1S2S1bacdePerformanceLevel,PLrStart来自ENISO13849-1标准附录A中的风险图功能安全从标准EN954-1到标准ENISO13849-1的过渡5因些我们现在需要描述一下安全功能。从标准的附录A中，我们可以得到控制系统[SRP/CS]的安全零件所需的性能等级[PLr]，该系统将会用于实施该功能。现在我们需要设计系统，确保它符合PLr。在决定使用标准[ENISO13849-1或者EN/IEC62061]的明显因素之一便是安全功能的复杂性。在大多数情况下，对于机械而言，安全功能相对而言是简单的，标准ENISO13849-1将会是最为适宜的。为了评估PL，它利用了已经提及的因素：可靠性数据、诊断覆盖率[DC]、系统架构[类别]以及相关位置、软件要求等。这是一种简单的描述，意味着的只是概述。理解标准结构中必须应用的全部条款是十分重要的。不过，帮助垂手可得。有一种优秀的软件工具可以帮助我们计算方向。这种软件工具被称为SISTEMA。由在德国的BGIA公司生产。使用和下载更多详细信息请访问网址：在该出版物即将打印时，它有德语和英语两个版本，其他语种的版本将在日后发布。该工具并不是商业生产。SISTEMA的开发者BGIA是一家位于德国的，备受尊敬的研究与实验机构。依照德国的法定事故保险与保护准则，该机构特别擅长处理与安全相关的科学与技术难题。它与全球超过二十多家的职业健康与安全机构有合作关系。BGIA的专家与他们的BG同事一起重点参与起草了ENISO13849-1标准和IEC/EN62061标准。RockwellAutomation®带SISTEMA使用的数据罗克韦尔安全设备的“library”(文献库)是可用的带有SISTEMA性能等级计算工具。为获得该文献请登陆到：无论是PL以何种方式完成，从正确的基础开始是非常重要的。我们需要以标准允许我们开始的相同方式浏览系统。6系统结构任何一个系统都可以被分为基础系统部件或者称为“子系统”。每个子系统都拥有它自己的离散功能。大多数系统可被分成三个基础功能：输入、逻辑求解和激活[有些简单的系统可能没有逻辑求解功能]。实施这些功能的部件组称为子系统。一个简单的单通道电气系统示例如上图所示。它只包括输入和输出子系统。系统稍微复杂一些，因此也需要一些逻辑。安全控制器内部将会产生容错(即双通道)，但整体系统依然限制在单通道状态，这是由于单一限位开关和单接触器的缘故。๼෇ጱဣཥट၌ਸ࠲SmartGuard600๼؜ڟഄ໱ဣཥҾඇথةഗஇडጱဣཥ๼؜ጱဣཥ互锁开关、安全控制器与安全接触器๼෇ጱဣཥट၌ਸ࠲Ҿඇথةഗ๼؜ጱဣཥ互锁开关与安全接触器๼෇ጱဣཥஇडጱဣཥ๼؜ጱဣཥ功能安全从标准EN954-1到标准ENISO13849-1的过渡7拿起以前图画中的基础架构，也有其他需要考虑的地方。首先，系统一共有多少个“通道”？如果它的子系统失效，单通道系统将会失效。双通道系统[也称冗余系统]需要拥有两处故障，在系统失效之前每个通道中有一处。因为它有两个通道，它能容忍一个单独的故障，并且依然继续工作。上面的图中展示了一个双通道系统。很明显，对于危险条件下时，双通道系统更不容易发生失效，不是单通道系统。如果我们包括故障检测的诊断措施，我们可以让它变得更加可靠[在它的安全功能方面]。当然，检测故障的同时，我们也需要理解它，并将系统转换为安全状态。下图显示包括通过监控技术实现的诊断措施SmartGuard600॔੦॔੦॔੦๼෇ጱဣཥट၌ਸ࠲Ҿඇথةഗஇडጱဣཥ๼؜ጱဣཥ带双通道安全系统的诊断SmartGuard600๼෇ጱဣཥट၌ਸ࠲Ҿඇথةഗஇडጱဣཥ๼؜ጱဣཥ双通道安全系统8通常[但并不总是这样]在所有的子系统中，系统由两个通道组成。因此我们可以看到，在这种情况下，子系统有两个“子通道”。标准中将它们描述为“模块”。双通道子系统会有一个最小的双模块，且单通道子系统会有一个最小的单模块。有可能一些系统是由双通道和单通道模块一起组成的。如果我们想要更加深入地调查系统，我们需要观看一下模块的部件零件。SISTEMA工具使用“元素”这个术语描述这些部件零件。限位开关子系统显示细分成了元素等级。输出接触器子系统被细分成了模块等级，且逻辑子系统根本未被细分。两个限位开关的监控功能和接触器用逻辑控制器执行。因此，盒子代表限位开关，且接触器子系统与逻辑子系统盒体拥有小部分的重叠。系统细分的原则可在标准ENISO13849-1和SISTEMA工具的基础系统结构原则指定的方法辨别出来。然而，注意有一些细微差别是十分重要的。该标准并不限制具体方法，但为了简化方法将预估结果确定为PL，通常的第一步是打破系统结构，闯入每个通道中的通道和模块。带有SISTEMA工具，系统通常首