薛瑞娟　黃祖廣　趙欽志

(國家機床質(zhì)量監(jiān)督檢驗中心，北京 100102)

?

IEC62061和ISO13849-1在機械安全相關控制系統(tǒng)設計中的應用*

薛瑞娟黃祖廣趙欽志

(國家機床質(zhì)量監(jiān)督檢驗中心，北京 100102)

針對機械行業(yè)兩項重要的功能安全標準IEC62061和ISO13849-1，為了方便技術人員對標準的選擇、理解及應用，介紹了這兩項標準的主要內(nèi)容及適用范圍等，并對這兩項標準在機械安全相關控制系統(tǒng)的設計應用方面進行了簡要的對比分析。

控制系統(tǒng)；安全；標準

工業(yè)革命以來，隨著各種機器機械及自動化設備的大量應用，把人從大量的繁重體力勞動中解放出來和提高生產(chǎn)效率的同時，也給人帶來了各種傷害。為了最大程度地減少這種風險，上世紀90年代，作為發(fā)達國家陣營之一的歐盟，從93/68/EC起，頒布了各種新方法指令，來規(guī)范進入歐盟市場的各種產(chǎn)品，使其符合相關的安全要求，并為滿足要求的產(chǎn)品貼上了“CE”標識，也就是我們通常熟知的CE認證。但隨著技術和人們認知的發(fā)展，發(fā)現(xiàn)由于設備設計不合理、系統(tǒng)失效或者故障、安全相關元器件、零部件的失效或故障、軟件的問題導致的設備故障引發(fā)的危險越來越頻繁，有時甚至會造成巨大的人員傷害及財產(chǎn)損失。要從根本上避免風險，不再僅僅是防護問題，而是需要從產(chǎn)品設計、元器件的選擇、軟件的驗證等根本問題上來解決。

為此，國際兩大標準化技術組織制定并發(fā)布了IEC62061《機械安全相關電氣、電子和可編程電子控制系統(tǒng)的功能安全》和ISO13849-1《機械安全控制系統(tǒng)有關安全部件第1部分：設計通則》。為什么會出現(xiàn)這兩個標準，在機械安全相關控制系統(tǒng)設計中到底應該如何選擇，本文在對這兩項標準內(nèi)容的設計應用部分比對后作如下解析。

1　概述

IEC62061和ISO13849-1是機械行業(yè)兩項重要的功能安全標準。IEC62061由國際電工委員會IEC/TC44機械電氣安全技術委員會制定，于2005年首次發(fā)布，它規(guī)定了機械(機器)設備用安全相關電氣/電子/可編程電子控制系統(tǒng)(SRECS)的設計、集成、確認和評估等要求，適用于單獨的或組合的方式使用的控制系統(tǒng)，以執(zhí)行機械安全相關控制功能。IEC62061不包括需要或要求由其他標準或法規(guī)為保護人身免遭危險的所有要求(例如防護、非電氣聯(lián)鎖或非電氣控制)。ISO13849-1是由國際標準化組織ISO/TC199機械安全技術委員會制定，于2006年首次發(fā)布，它規(guī)定了包括軟件設計在內(nèi)的控制系統(tǒng)安全相關部分(SRP/CS)設計和集成的安全要求和指導原則。對于這些SRP/CS的部件，ISO13849-1規(guī)定了包括執(zhí)行安全功能所需的性能等級在內(nèi)的特征。ISO13849-1適用于所有種類機械的SRP/CS，不管其采用何種技術和能量(電、液壓、氣動、機械等)。

2　幾個重要的基本概念

(1)功能安全：機械及機械控制系統(tǒng)有關的整體安全組成部分，取決于安全相關電氣控制系統(tǒng)(SRECS)的正確功能，以及其他技術安全相關系統(tǒng)和外部風險降低設施的正確執(zhí)行。

(2)安全功能：其失效會立即造成風險增加的機器功能。

(3)每小時危險失效概率(PFHD)：1小時內(nèi)危險失效平均概率。

(4)安全完整性等級(SIL)：一種離散的等級(三種可能的等級之一)，用于規(guī)定分配給SRECS安全相關控制功能的安全完整性要求。在這里，安全完整性等級3是最高的，安全完整性等級1是最低的。

(5)平均失效間隔時間(MTTFd)：預期的危險失效平均間隔的時間。

(6)診斷覆蓋率(DC)：進行自動診斷試驗操作而導致危險硬件失效概率的降低。

(7)性能等級(PL)：在可預期條件下，用于規(guī)定控制系統(tǒng)安全相關部分執(zhí)行安全功能的離散等級。

(8)安全相關電氣控制系統(tǒng)(SRECS)：其失效可能導致風險立即增加的機械電氣控制系統(tǒng)。

(9)安全相關控制功能(SRCF)：由具有規(guī)定的完整性等級的SRECS執(zhí)行的控制功能，預期用于保持機器的安全狀況或防止風險立即增加。

(10)控制系統(tǒng)安全相關部分(SRP/CS)：控制系統(tǒng)中響應有關安全輸入信號并產(chǎn)生有關安全輸出信號的部件。

(11)故障容錯率(HFT)：在故障或者錯誤出現(xiàn)時，硬件功能模塊連續(xù)執(zhí)行要求功能的能力。通常用數(shù)值“N”來表示，意思是：N+1個故障將會導致安全相關控制功能的喪失。

3　標準對比分析

3.1基本情況分析

首先，從標準的出處來看，IEC62061是國際電工委員會(IEC)頒布的標準，主要是對安全相關的電氣、電子、可編程電子控制系統(tǒng)的功能安全要求；而ISO13849-1是國際標準化組織(ISO)頒布的標準，主要是對控制系統(tǒng)的安全相關部分的要求。兩者是由不同組織依據(jù)不同的架構和考慮頒布。

其次，從標準的傳承來看，IEC62061主要參考了IEC61508的第二、第三部分，也就是軟、硬件開發(fā)的部分，所以，IEC62061更適合用來評估比較復雜的電子系統(tǒng)，其根據(jù)相關計算得出每個控制通道的每小時危險失效概率(PFHD)，將元件或者系統(tǒng)分為了三個安全完整性等級(SIL)，即SIL1級、SIL2級、SIL3級，但只是針對電子電氣系統(tǒng)。ISO13849-1主要是傳承了EN14121及EN954的基本原則，側(cè)重于分析控制電路的結(jié)構，按照電路結(jié)構，將電路分成B、1、2、3、4共5個類別，再輔以適當平均失效間隔時間(MTTFd)值和診斷覆蓋率(DC)值，來達到預期的性能等級(PL)a、b、c、d、e這5個等級，并且其中涵蓋了液壓和氣動元件的分析。

兩項標準均規(guī)定了機械安全相關控制系統(tǒng)設計和實施的相關要求，開發(fā)的方法雖然不同，但正確使用時，降低風險可達到相類似等級，選擇和使用哪一項標準需要考慮以下因素：

(1)在機械安全相關控制系統(tǒng)設計中，以往的知識和經(jīng)驗是基于ISO13849-1描述的類別概念，則可能意味著使用ISO13849-1更合適；

(2)基于介質(zhì)而不是電氣技術的安全相關控制系統(tǒng)，則使用ISO13849-1更合適；

(3)用戶要求以術語SIL證明機械安全相關控制系統(tǒng)的安全完整性等級時，則使用IEC62061更合適；

(4)機械安全相關控制系統(tǒng)用于例如過程工業(yè)領域時，當其他安全相關系統(tǒng)(例如符合GB/T 21109的安全儀表系統(tǒng))以SIL表征，則使用IEC62061更合適。

3.2技術要求分析

IEC62061和ISO13849-1均給出了用于安全評估的PFHD和MTTFd的簡化數(shù)學公式，通過對兩項標準的術語、風險評估和性能分配、安全要求規(guī)范、系統(tǒng)完整性要求、診斷功能、軟件安全要求等技術要求的對比得出：

(1)通過集成分別遵照IEC62061和ISO13849-1設計的非復雜SRECS子系統(tǒng)或SRP/CS，使用這兩項標準中的任一項設計的安全相關控制系統(tǒng)均能達到可接受的功能安全等級；

(2)通過集成依照GB/T20438(IEC61508)設計的電氣/電子/可編程電子設備子系統(tǒng)，這兩項標準也可用于為復雜的SRECS和SRP/CS提供設計的解決方法；

(3)經(jīng)驗表明，這兩項標準目前對機械行業(yè)是很有價值的，使用者可從中受益，經(jīng)過一段時間實際應用的反饋，對于推動這兩項標準內(nèi)容的合并將起到很重要的作用；

(4)由于細節(jié)上存在著差異及確認，某些概念(例如功能安全管理)仍需要進一步研究，以建立各自設計的方法和一些技術要求之間的對應關系。

4　風險評估和所需性能分配

對IEC62061和ISO13849-1中給出的具體安全功能分配SIL或 PL的方法進行比較得出，每個標準的附錄A中各自提供的方法之間有很好的對應等級。無論使用哪種方法來進行風險評估和所需性能分配，首先需要確保對風險參數(shù)進行適當?shù)呐袛?，確定能夠適用于具體安全功能的SIL或PL，并且在做判斷時，最好可以請相關工作人員(如設計、維護和操作人員)共同參與，以確保正確理解機械可能出現(xiàn)的危險。

此外，有關風險評估過程和所需性能目標分配的更多詳細信息可參考ISO14121-1和IEC61508-5。

5　安全要求規(guī)范

IEC62061和ISO13849-1各自的安全相關控制功能規(guī)范均要求安全功能首先由安全相關控制系統(tǒng)實現(xiàn)。對控制電路執(zhí)行的每一項安全功能應使用IEC62061附錄A或ISO13849-1附錄A進行評估，以確定每個機械特定安全功能提供怎樣的風險降低水平，依次確定執(zhí)行該安全功能的控制電路要求的置信水平。作為SIL或PL給定的置信水平與具體的安全功能有關。還有一些與安全功能相關的信息應由產(chǎn)品標準(C類)提供，例如由控制電路執(zhí)行的安全功能應包括安全功能的名稱、功能描述、按照IEC62061要求的安全完整性等級SIL 1～SIL3或按照ISO13849-1要求的性能等級PLa～PLe。

6　性能目標分配：PL與SIL比較

表1給出了基于每小時平均危險失效概率的PL和SIL之間的關系，除了這些適用于安全相關控制系統(tǒng)的概率目標之外，兩標準都規(guī)定了其他要求(如系統(tǒng)安全完整性等)，這些要求的嚴格等級與各自的PL和SIL有關。

表1基于每小時平均危險失效概率的PL和SIL的關系

性能等級(PL)每小時平均危險失效概率安全完整性等級(SIL)aw10-5至<10-4無特殊安全要求bw3×10-6至<10-51cw10-6至<3×10-61dw10-7至<10-62ew10-8至<10-73

7　系統(tǒng)設計

7.1使用IEC62061和ISO13849-1進行系統(tǒng)設計的一般要求

當設計一個SRECS/SRP/CS時，應考慮下列方面：

(1)當在各自限定范圍內(nèi)使用時，兩項標準均可用于設計具有合適功能安全的安全相關控制系統(tǒng)，用達到的SIL或PL表示。

(2)按照ISO13849-1設計具有相關PL的非復雜的安全相關部分可以作為子系統(tǒng)集成到按照IEC62061設計的SRECS中。任何按照ISO13849-1設計具有相關PL的復雜安全相關部分均可以集成到按照ISO13849-1設計的SRP/CS。

(3)任何按照IEC62061設計具有相關SIL的非復雜子系統(tǒng)都可以作為安全相關部分集成到按照ISO13849-1設計的SRP/CS組合中。

(4)任何按照IEC61508設計具有相關SIL的復雜子系統(tǒng)都可以作為安全相關部件集成到按照ISO13849-1設計的SRP/CS組合中，或者作為子系統(tǒng)集成到按照IEC62061設計的SRECS中。

7.2PFHD和MTTFd的估計以及故障排除的使用

7.2.1PFHD和MTTFd

當ISO13849-1中MTTFd的值與不帶診斷的單通道SRP/CS相關時，MTTFd為 IEC62061中PFHD的倒數(shù)。MTTFd是不考慮任何給定因素(如診斷或架構)的部件或單通道的參數(shù)，而PFHD是考慮了由設計結(jié)構決定的診斷和架構因素的子系統(tǒng)的參數(shù)。ISO13849-1的附錄K中描述了以類別和診斷覆蓋率分類的不同架構SRP/CS中MTTFd和PFHD的關系。按照ISO13849-1串聯(lián)組合的SRP/CS的PFHD的估計可以采用IEC62061中子系統(tǒng)使用的類似方法，以累加各SRP/CS的PFHD值的方式得出。

7.2.2故障排除的使用

兩項標準都允許故障排除的使用，見IEC62061的6.7.7 和ISO13849-1的7.3。IEC62061不允許SRECS在無硬件故障容錯率(無硬件故障容錯率的情況下達到SIL 3除外)的情況下使用故障排除。使用故障排除重要的是對它們的正確判斷和對SRP/CS或SRECS預期生命周期有效。

通常，通過SRP/CS或SRECS實現(xiàn)安全功能為PL e 或SIL 3等級的地方，不應僅單獨依賴于故障排除獲得這樣的性能等級，還需要考慮采用的技術和預期操作的環(huán)境，因此，設計者若通過使用故障排除來增加PL 或SIL需非常謹慎。同時，在SRP/CS或SRECS的設計中為達到PL e或SIL 3，故障排除不適用于機電位置開關和手操作開關(例如緊急停止裝置)的機械部分，這些故障排除可以應用的特定機械故障條件(如：磨損/腐蝕，斷裂)可參考ISO 13849-2 中的描述。此外，更多關于故障排除使用的信息將會在由ISO/TC 199/WG 8開發(fā)的新版ISO 13849-2中給出。

7.3使用符合IEC62061或ISO 13849-1的子系統(tǒng)或SRP/CS 的系統(tǒng)設計

按照ISO13849-1或IEC 62061設計的子系統(tǒng)或控制系統(tǒng)安全相關部分只有滿足相關系統(tǒng)等級標準的所有要求，才可聲稱符合系統(tǒng)等級標準。子系統(tǒng)或者控制系統(tǒng)安全相關部分在設計過程中，應滿足相應的IEC62061或ISO13849-1的要求，同時滿足一個以上標準的要求是允許的，但應充分符合所有標準的要求，不允許混合使用不同標準的要求。

7.4使用已由其他IEC或ISO標準設計的子系統(tǒng)或SRP/CS進行系統(tǒng)設計

在系統(tǒng)設計中，可以選擇符合相關IEC或 ISO產(chǎn)品標準或IEC61508、IEC62061及ISO13849-1的子系統(tǒng)(例如，電敏保護設備)。各種型號子系統(tǒng)的供應商需要提供按照IEC62061或ISO13849-1將子系統(tǒng)整合到安全相關控制系統(tǒng)的必要信息。

使用產(chǎn)品標準(如IEC61800-5-2)設計的子系統(tǒng)(如調(diào)速電氣傳動系統(tǒng))，若滿足IEC61508的要求，則可用于依照IEC62061 (見IEC62061中6.7.3)和ISO13849-1設計的安全相關控制系統(tǒng)中。為了與IEC62061保持一致，使用其他IEC或ISO標準設計的子系統(tǒng)需符合IEC62061 6.7.3的規(guī)定。

8　結(jié)語

總之，IEC62061和ISO13849-1兩項安全標準的正確使用，不僅可以規(guī)范和引導國內(nèi)機械行業(yè)安全相關技術的發(fā)展，完善機械安全相關控制系統(tǒng)的設計和驗證能力，而且可以實現(xiàn)對人員和設備的保護，減少事故危害，確保機械設備的高效、安全加工。兩項標準內(nèi)容豐富，因筆者能力有限，本文僅從個人理解對標準的一些應用問題進行了說明。詳盡內(nèi)容請閱讀標準原始文本。

[1]黃祖廣，尹震宇，趙欽志，等.GB 28526-2012 機械電氣安全安全相關電氣、電子和可編程電子控制系統(tǒng)的功能安全[S]. 北京：中國標準出版社, 2012.

[2] 張曉飛,李勤,寧燕,等.GB/T 16855.1-2008 機械安全控制系統(tǒng)有關安全部件第1部分：設計通則[S]. 北京：中國標準出版社, 2009.

[3] IEC 62061:2005 Safety of machinery- Functional safety of safety-related electrical, electronic and programmable electronic control systems[S].

[4] ISO 13849-1:2006 Safety of machinery - Safety-related parts of control systems - Part 1:General principles for design[S].

[5]IEC/TR 62061-1:2010 Guidance on the application of ISO 13849-1 and IEC 62061 in the design ofsafety-related control systems for machinery[S].

如果您想發(fā)表對本文的看法，請將文章編號填入讀者意見調(diào)查表中的相應位置。

Introduction on the application of IEC 62061and ISO 13849-1 in the design of safety-related control systems for machinery

XUE Ruijuan, HUANG Zuguang, ZHAO Qinzhi

(National Machine Tool Quality Supervision and Inspection Center, Beijing 100102, CHN)

For the convenience of technical personnel on the selection, understanding and application of IEC62061 and ISO13849-1, two important functional safety standards of machinery industry, this paper introduces the main content and the scope of application etc about these two standards. At the same time, it gives brief comparison and analysis on the application of the two standards in the design of safety-related control systems for machinery.

control systems; safety; standard

TH122

B

薛瑞娟，女，1987年生，碩士，全國工業(yè)機械電氣系統(tǒng)標準化技術委員會秘書，主要研究方向為數(shù)控系統(tǒng)測試與評價技術及機械電氣系統(tǒng)安全相關標準化等。

160553