基于IEC 62061的機械臂制造單元安全控制系統(tǒng)的功能安全分析及設(shè)計*

王金江 符培倫 黃祖廣 薛瑞娟 蔣 崢

(①中國石油大學(北京) 機械與儲運工程學院，北京 102249；②國家機床質(zhì)量監(jiān)督檢驗中心，北京100102)

工業(yè)生產(chǎn)需要大量引入機械設(shè)備以滿足生產(chǎn)工藝及自動化的需求，如壓縮機、數(shù)控車床及工業(yè)機器人等。機械臂效仿人手通過特定的編程來完成拾放、焊接、裝配等工作，已廣泛應(yīng)用于工業(yè)生產(chǎn)中。與傳統(tǒng)的工業(yè)生產(chǎn)相比，使用包括機械手在內(nèi)的工業(yè)機器人能使操作人員與生產(chǎn)環(huán)境相分離并顯著降低生產(chǎn)風險，但同時也會帶來一些新的安全問題。在德國大眾自動化裝配線曾發(fā)生過由于機械臂誤啟動而導致的傷亡事故[1]。機械安全相關(guān)電氣控制系統(tǒng)(safety-related electrical control system，SRECS)如防護門、安全光幕及聯(lián)鎖保護系統(tǒng)等，作為一個獨立的保護層在工業(yè)機器人的安全中發(fā)揮日益重要的作用。

IEC 62061為工業(yè)機器人SRECS的功能安全提出指導建議及要求。功能安全關(guān)注SRECS可靠的執(zhí)行其安全功能。IEC 61508提出了一種稱為整體安全生命周期的技術(shù)框架[3]，該框架描述了實現(xiàn)安全相關(guān)的電氣/電子/可編程電子系統(tǒng)(electrical/electronic/ programmable electronic system，E/E/PES)功能安全所需的全部活動，但同時也把其他技術(shù)安全相關(guān)系統(tǒng)及外部風險降低設(shè)施考慮在內(nèi)。IEC 62061[2]是IEC 61508在機械領(lǐng)域的衍生標準，在我國已作為國家標準GB 28526接受。IEC 62061并未明確沿用IEC 61508中安全生命周期的概念，其內(nèi)容只包括安全生命周期中從安全要求配置到安全確認過程之間的相關(guān)方面。不同于應(yīng)用于過程工業(yè)由電氣控制主導的安全儀表系統(tǒng)，機械安全控制系統(tǒng)往往是多種類型的，還包括液動、氣動系統(tǒng)等，使用安全生命周期的框架對SRECS的相關(guān)活動進行安排是更加合理的選擇，也更加契合機械領(lǐng)域另一個功能安全標準ISO 13849，該標準為所有類型的機械控制系統(tǒng)的設(shè)計與應(yīng)用提供指導。

鑒于此，本文以機械臂制造單元為對象，在安全生命周期的框架下，對其SRECS設(shè)計實現(xiàn)過程進行了梳理與分析，同時符合IEC 62061 的要求。圖1為SRECS在實現(xiàn)階段相關(guān)的安全生命周期活動，并展示了各部分活動應(yīng)參照的標準。

2 安全功能要求辨識

安全功能要求辨識是使用各種風險識別技術(shù)對機械結(jié)構(gòu)及運轉(zhuǎn)過程進行危害分析，并確定SRECS應(yīng)具有何種安全相關(guān)控制功能(safety-related control function，SRCF)的過程。IEC 62061及IEC 61508未對此部分提供詳細指導，而IEC 31010中列舉了多種適用于風險識別的風險分析技術(shù)，ISO 12100及ISO 14121為機械領(lǐng)域的風險分析提供了一些通用的建議與指導。特別的，ISO 10218為工業(yè)機器人的危害識別提供了指導原則及典型危害示例，并提出了一種基于任務(wù)的風險識別方法。本節(jié)分析了3種風險識別技術(shù)，這些技術(shù)通常以表格的形式輸出風險屬性及安全建議，并可作為進一步安全完整性要求辨識的依據(jù)。

預先危險性分析(preliminary hazards analysis，PrHA)在系統(tǒng)設(shè)計階段進行初始危害分析，目的是充分認識危險狀態(tài)以及其影響。PrHA關(guān)注機械臂的固有危險屬性，如高動能、銳利邊緣等，能較好的描述危險事件嚴重程度但無法詳細分析危險事件發(fā)生的確切原因[5]。PrHA相當依賴實施團隊的經(jīng)驗與能力，討論過程缺乏明確的邏輯性。此外，危險事件嚴重性類別及發(fā)生頻率水平的不確定性，在PrHA中也很少考慮到[6]。但與其他風險識別方法相比，PrHA可以在信息有限的機械臂的前期設(shè)計階段使用，是一種簡單易行的歸納分析法。

危險及可操作性分析(hazard and operability analysis，HAZOP)將引導詞與生產(chǎn)參數(shù)結(jié)合形成各種形式對設(shè)計意圖的偏離情況，并對偏差的原因、可能造成的后果及保護措施進行分析。HAZOP最初在流程工業(yè)中被開發(fā)，在工藝和儀表流程圖(P&ID)中定義過程節(jié)點，并對每個節(jié)點進行偏差描述及進一步分析[7]。不同于流程工業(yè)具有較明確的節(jié)點劃分規(guī)則，機械設(shè)備作為一個高度集成的物理實體其節(jié)點劃分策略是模糊的。一般的做法是將機械設(shè)備涉及的過程工藝參數(shù)或關(guān)鍵部件的狀態(tài)參數(shù)作為分析對象[8-10]。針對機器人，一種稱為HAZOP-UML的分析方法已被開發(fā)[11]，使用UML圖作為機器臂節(jié)點劃分的依據(jù)，并使用一些新的引導詞進行組合分析。

故障模式及影響分析(failure mode and effect analysis，F(xiàn)MEA)作為一種識別失效模式與確定關(guān)鍵失效模式的方法已在航空、汽車、機械及機器人的風險識別中得到廣泛應(yīng)用[12]。與HAZOP從偏差確定失效模式的分析思路相反，F(xiàn)MEA以機械臂設(shè)計圖紙作為輸入信息，從元件或子系統(tǒng)的失效模式出發(fā)逐級分析其原因、影響及安全措施[4]。FMEA使用半定量的風險優(yōu)先數(shù)(risk priority number，RPN)對失效模式進行分類及過濾，RPN為失效嚴酷度、頻度以及可探測度三者的乘積，在實際故障率數(shù)據(jù)可確定的情況下也可對RPN進行定量化。RPN的計算結(jié)果是決定針對某個失效模式是否需要額外SRCF的依據(jù)。傳統(tǒng)的RPN計算方法存在的問題在一些研究中已被指出[13-14]，主要是權(quán)重相等的3個參數(shù)相乘導致參數(shù)間的相對重要度被忽略，以及定性確定的參數(shù)值存在較大的不確定性與不準確性。此外，對復雜機械系統(tǒng)枚舉所有可能的元件故障組合來評估耦合故障的影響是難以實施的，一些研究工作致力于克服這一點[15-16]。但與HAZOP相比，以機械臂子系統(tǒng)或元件作為分析對象的FMEA在確定SRCF時也更有針對性。

3 安全完整性要求辨識

安全完整性要求描述SRCF每小時危險失效概率(probability of a dangerous failure per hour，PFHD)的目標值，并使用對應(yīng)的安全完整性等級(safety integrity level，SIL)表示。在IEC 62061 中，該過程也稱為SIL分配。SIL的分配目的是通過風險評估確定必要的風險降低程度，并根據(jù)結(jié)果對特定的SRCF所需SIL進行確定，以避免SRCF的可靠性不足及資源的浪費。IEC 61508-5推薦了多種用于確定SIL的方法，包括：風險圖(risk graph)，保護層分析法(layers of protection analysis，LOPA)以及危險事件嚴重度矩陣。

3.1 風險圖

風險圖使用危險事件嚴重程度(C)、暴露頻率或持續(xù)時間(F)、危險事件發(fā)生概率(W)、規(guī)避或限制傷害的概率(P)的4個參數(shù)描述某個危險，每個參數(shù)都被劃分為數(shù)個等級。在IEC 61508-5中風險圖被描述為一種定性或定量的SIL分配方法，這取決于參數(shù)等級的劃分是基于定性還是定量的指標。使用一個決策樹逐級組合各個參數(shù)即可確定分配給SRCF的SIL，這種決策樹的分析思路也在ISO 13849中得到了沿用。

在IEC 62061中提供了一種風險圖與風險矩陣結(jié)合的方法，其也被認為是一種半定量方法[17]。該方法對某個危險事件的嚴重程度(Se)及損害概率(CI)進行評估，并以CI、Se、SIL三者的關(guān)系矩陣確定所需SRECS的SIL等級，如表1所示。CI為暴露頻率(Fr)、危害發(fā)生概率(Pr)以及避免或限制傷害的概率(Av)三者的和。這種半定量方法的評估參數(shù)沿用了風險圖中的設(shè)定，風險的評估過程與風險圖沒有本質(zhì)上的區(qū)別。參考文獻[18]給出了根據(jù)IEC 62061進行SIL分配的詳細步驟。在使用風險圖對單個機械臂的SRCF進行SIL分配時，參數(shù)等級的劃分應(yīng)在整個生產(chǎn)系統(tǒng)內(nèi)遵循統(tǒng)一的標準。

表1 SIL分配矩陣

注：OM(other measurement)為推薦使用其他風險減低措施

由于主觀經(jīng)驗干擾以及行業(yè)環(huán)境不同，評估者對各種等級參數(shù)的解釋可能是不同的[19]，這可能導致參數(shù)分類數(shù)量、取值范圍的不一致，從而引起使用風險圖法分配SIL的不確定性，已有研究分析了使用風險圖法的不確定性來源，并提出了通過蒙特卡洛模擬與模糊集來分析SIL不確定度的方法[20]。盡管存在上述缺點，但由于其易用性，風險圖仍是目前最常用的分配SIL的方法[21]。風險圖可以作為分階段方法的第一個篩選工具，篩選出不需要SIL評級的安全功能，進一步可以使用更嚴格的方法重新評估SIL等級[22]。

3.2 保護層分析法

與風險圖類似，LOPA是一種半定量的風險分析方法，在各種數(shù)據(jù)可確定的情況下同樣可實現(xiàn)量化分析。該方法從危險場景出發(fā)，分析危害場景的各個起始原因的發(fā)生概率及用于防止和減輕危害的各個保護層的失效概率，可得出總體的危險概率Ph?？山邮艿奈ｋU事件概率Pt取決于危險事件后果的嚴重程度，該值一般通過風險矩陣確定。使用式(1)即可得出附加的SRECS應(yīng)滿足的PFHD值，進一步可確定所需的SIL。IEC 61508建議從最壞的角度確定各個概率值，即將概率值向上舍入更高的十進制范圍，這將導致一個保守的SIL估計值。

(1)

在量化風險分析方面，LOPA提供了比其他方法更好的精確度與更少的時間花費[23]。由于其與危險情景的相關(guān)性，LOPA可以揭示過去的定性危害分析中未識別的安全問題[24]。但LOPA本身不包含危險情景的識別過程，故應(yīng)用該方法還需要HAZOP或PrHA等分析結(jié)果的支持。已有研究比較分析了風險圖法與LOPA，認為LOPA是比風險圖法更為嚴謹全面的方法，但二者均存在難以量化不同風險措施間的共因失效(common cause failure)的局限性[22]。

4 基于功能塊的SRECS設(shè)計與集成

IEC 62061 為SRECS提出一種自上而下的結(jié)構(gòu)化的設(shè)計方法，以功能塊(function block，F(xiàn)B)為基本元素構(gòu)建SRECS的初始概念，并從功能塊映射到具有物理實體的子系統(tǒng)(subsystem，SS)。這主要包括功能分解與功能分配兩個過程。

功能分解是基于概念的設(shè)計過程，從安全功能要求與安全完整性要求出發(fā)，將各個SRCF以FB的概念分解為3個主要FB，包括輸入FB、邏輯求解FB及輸出FB，并繼承所屬SRCF的SIL。當需要設(shè)計容錯結(jié)構(gòu)時，功能塊還可進一步細分為功能塊元素(function block element，F(xiàn)BE)。功能分配將分解得到的各個FB分配到具有物理實體的SS中。類似的，子系統(tǒng)元素(subsystem element，SSE)作為SS的一部分由對應(yīng)的FBE分配得到。此外，不同的SRCF中具有相似功能的多個FB可以多對一的關(guān)系分配給單個子系統(tǒng)。IEC 62061以數(shù)控車床防護門的SRECS設(shè)計為例介紹了使用功能塊的SRECS設(shè)計過程，本文第六節(jié)在此基礎(chǔ)上進行了擴展，解釋了具有多個SRCF的SRECS設(shè)計集成過程。

5 SRECS安全確認

SRECS在現(xiàn)場實施之前，還需對SRECS的安全完整性進行評估。主要任務(wù)包括PFHD的評估與體系結(jié)構(gòu)限制的分析。其中體系結(jié)構(gòu)限制根據(jù)子系統(tǒng)的安全失效系數(shù)以及硬件故障裕度限定子系統(tǒng)所能達到的最大SIL等級。安全失效系數(shù)通過式(2)計算[2]。在SRECS的設(shè)計過程中，可通過増加冗余或增加安全失效如采用高等級的元器件、元器件降級設(shè)計等方式降低結(jié)構(gòu)約束從而提高系統(tǒng)設(shè)計的安全性[25]。

(2)

式中：λs為安全失效率，安全失效不導致SRCF的失效；λDD為診斷功能檢測到的危險失效比率；λD為危險失效率。

PFHD評估是一個相當困難的活動，IEC 61508-5針對這部分提出了諸多參考方法，包括可靠性框圖、故障樹分析、馬爾可夫分析、Petri網(wǎng)等，PFHD的評估方法也已成為了功能安全領(lǐng)域的研究重點。IEC 62061提供的PFHD的評估方法是基于可靠性框圖的，SRECS的危險隨機硬件失效概率為參與執(zhí)行SRCF的所有子系統(tǒng)危險隨機硬件失效概率的和，適當時，還包括數(shù)字數(shù)據(jù)通信過程危險傳輸錯誤的概率[2]，如式(3)所示。

PFHD=PFHD1+…+PFHDN+PTE

(3)

式中：PFHD為SRECS的危險失效概率；PFHDN為參與執(zhí)行SRCF各子系統(tǒng)的危險失效概率；PTE為通信過程的錯誤率，該值的確定可以參照IEC 61784-3[26]，此標準為實現(xiàn)數(shù)據(jù)通信的功能安全提供指導。

IEC 62061為具有不同冗余結(jié)構(gòu)及診斷結(jié)構(gòu)下的子系統(tǒng)PFHD給出了計算公式，這些公式基于布爾邏輯，要求輸入各子系統(tǒng)的失效率λ、診斷覆蓋率DC、共因失效敏感度β以及測試間隔T。這種計算方法相當依賴輸入數(shù)據(jù)的準確性，并難以對冗余結(jié)構(gòu)超出標準提供公式范圍的復雜子系統(tǒng)進行分析。在這種情況下，可以使用其他在IEC 61508-5中被推薦的方法進行評估。

6 機械臂制造單元的SRECS實現(xiàn)

本節(jié)使用機械臂制造單元為例對整個SRECS實過程進行描述。大多數(shù)工業(yè)機器人事故發(fā)生在人機交互的過程中，這包括計劃內(nèi)的交互過程，如調(diào)試，設(shè)置，編程，測試，檢查，故障排除和維護等；也包括非預期的交互過程，如意外闖入工作單元等。在這些情況下人員通常處于危險區(qū)域，需要安全措施來保護他們免受機械的危害。表2展示了針對該設(shè)備進行PrHA的部分結(jié)果，每個危害至少部署了一個SRCF。

表3為基于IEC 62061的安全完整性要求辨識結(jié)果，對表2中得出的各個危害類型做進一步傷害發(fā)生概率分析，結(jié)合表1可得出各個SRCF應(yīng)具有的SIL。

以上述分析結(jié)果為基礎(chǔ)，圖2給出了基于功能塊的SRECS設(shè)計與集成過程。在實際設(shè)計過程中可能會引入更多的冗余結(jié)構(gòu)以減少各SS的失效概率，如例中的速度傳感FB進一步分解為兩個功能塊元素，二者執(zhí)行相同的速度傳感功能。3個SRCF的輸出功能塊均為與電機的動力切換相關(guān)，故均分配到了同一個電機驅(qū)動器子系統(tǒng)中，電機驅(qū)動器的SIL繼承3個功能塊中最高的SIL3，與之類似的還有邏輯解決功能塊的分配。在某些情況下，即使功能塊具有類似的功能，也要分配在不同的子系統(tǒng)中以避免共因失效，但同時會帶來成本的上升。

表2 機械臂PrHA的部分分析結(jié)果

完成上述步驟后即可對子系統(tǒng)進行設(shè)備選型、細節(jié)設(shè)計，并進一步進行安全完整性確認。安全完整性確認需要各個設(shè)備的失效率數(shù)據(jù)，這可從設(shè)備供應(yīng)商、第三方的功能安全認證機構(gòu)或其他可靠性數(shù)據(jù)庫獲取。若經(jīng)確認未能達到目標SIL，則應(yīng)對設(shè)計進行修改，如選擇可靠性更高的元件、增加容錯結(jié)構(gòu)、設(shè)置診斷功能、縮短驗證測試周期等，以滿足安全完整性要求。

表3 SIL分配結(jié)果

7 結(jié)語

本文遵循IEC 61508提出的安全生命周期的脈絡(luò)，結(jié)合IEC 62061中的相關(guān)要求，分析梳理了基于安全生命周期的機械臂制造單元SRECS的實現(xiàn)過程，總結(jié)如下：

(1)本文分析了3種SRCF辨識技術(shù)，PrHA可在設(shè)計初期信息有限的情況下進行并可作為其他風險識別及分析技術(shù)的基礎(chǔ)；開發(fā)于流程工業(yè)的HAZOP經(jīng)過一定的修改后也可自上而下的進行SRCF辨識；FMEA與HAZOP相反提供了一種自下而上的分析視角，也較適用于機械領(lǐng)域，但難以對多部件故障耦合導致的風險進行準確識別。

(2)IEC 62061提供的基于風險矩陣的SIL分配方法本質(zhì)上是基于風險圖的，它易于實施但具有較大不確定性；LOPA能在其他類型的風險降低措施如氣動、液動安全系統(tǒng)存在的情況下進行更準確的SIL分配。有關(guān)SIL分配的研究大部分面向過程工業(yè)，而在機械領(lǐng)域還有待深入。

(3)基于功能塊的SRECS設(shè)計符合IEC 62061的要求，該過程主要包括功能分解及功能分配兩個步驟，能夠快速形成SRECS的整體架構(gòu)并確定各個子系統(tǒng)應(yīng)具有的SIL等級。

(4)IEC 62061僅為簡單子系統(tǒng)的安全完整性評估提供了參考方法，復雜子系統(tǒng)的安全完整性評估應(yīng)參照IEC 61508-5的方法與要求。若SRECS的SIL未達到預期SIL分配的要求，還需返回修改，SRECS在整個安全生命周期內(nèi)的實現(xiàn)過程是動態(tài)循環(huán)的。

[1]JustinHuggler.Robot kills man at Volkswagen plant in Germany [OL].http://www.telegraph.co.uk/news/worldnews/europe/germany/11712513/Robot-kills-man-at-Volkswagen-plant-in-Germany.html, 2015.

[2]International Electrontechnical Commission.Safety of machinery-Functional safety of safety-related electrical, electronic and programmable electronic controlsystems:IEC 62061[S].Geneva, Switzerland,2012.

[3]International Electrontechnical Commission.Functional safety of electrical/electronic/Programmable electronic safety-relatedsystems:IEC 61508[S].Geneva, Switzerland,2010.

[4]International ElectrontechnicalCommission.Risk management-Risk assessment techniques: IEC 31010[S].Geneva,Switzerland,2009.

[5]John C.Wincek CSP.Two safety reviews before formal PHAs[J].Process Safety Progress, 2011, 30(3):212-215.

[6]Markowski A S, Siuta D.Selection of representative accident scenarios for major industrial accidents[J].Process Safety & Environmental Protection, 2017.

[7]Vaughen B K, Mudd J O, Pierce B E.Using the ISA 84/HAZOP/LOPA procedure to design a safety instrumented system for a fumed silica burner[J].Process Safety Progress, 2011, 30(2):132-137.

[8]Kavita Patwardhan.Hazop Study Report[R].Assam Gas Company Ltd,2010.

[9]Bu X.Hazard and operability safety analysis on natural gas compressor based on signed directed graph[C].International Conference on Education, Sports, Arts and Management Engineering.2016.

[10]任藝靖.壓氣站壓縮機組儀表系統(tǒng)安全完整性等級評估研究[D].北京：中國石油大學(北京),2013.

[11]Guiochet J.Hazard analysis of human-robot interactions with HAZOP-UML[J].Safety Science, 2016, 84:225-237.

[12]Bowles J B,Pelaez C E.Fuzzy logic prioritization of failures in a system failure mode, effects and criticality analysis.Reliab Eng Syst Saf[J].Reliability Engineering & Systems Safety, 1995, 50(2):203-213.

[13]Wen Jiang,Chunhe Xie, Miaoyan Zhuang, et al.Failure mode and effects analysis based on a novel fuzzy evidential method[J].Applied Soft Computing, 2017:1-8.

[14]Certa A, Hopps F, Inghilleri R, et al.A dempster-shafer theory-based approach to the Failure Mode, Effects and Criticality Analysis (FMECA) under epistemic uncertainty: application to the propulsion system of a fishing vessel[J].Reliability Engineering & System Safety, 2017, 159(69):69-79.

[15]Xiao N, Huang H Z, Li Y, et al.Multiple failure modes analysis and weighted risk priority number evaluation in FMEA[J].Engineering Failure Analysis, 2011, 18(4):1162-1170.

[16]Tsai S B, Zhou J, Gao Y, et al.Combining FMEA with DEMATEL models to solve production process problems[J].Plos One, 2017, 12(8):e0183634.

[17]Fuchs P,Zajicek J.Safety lintegrity level (SIL) versus full quantitative risk value[J].Eksploatacja i Niezawodnosc - Maintenance and Reliability, 2013, 15(2):99-105.

[18]黃祖廣,張承瑞,趙欽志,等.基于IEC62061標準的SRECS風險評估與SIL分配[J].制造技術(shù)與機床,2013(9):162-165.

[19]Naitsaid R, Zidani F, Ouzraoui N.Modified risk graph method using fuzzy rule-based approach.[J].Journal of Hazardous Materials, 2009, 164(2-3):651.

[20]Kwangpil Chang, Sungteak Kim, Daejun Chang, et al. Enrico Zio Uncertainty analysis for target SIL determination in the offshore industry[J].Journal of Loss Prevention in the Process Industries, 2015,34:151-162.

[21]Kim S T, Chang K P, Kim Y H.Risk-based design for implementation of SIS functional safety in the offshore industry[C].Safety, Reliability And Risk Analysis: Beyond The Horizon,2014:1875-1880.

[22]Torres-Echeverria, Alejandro C.On thethe use of LOPA and risk graphs for SIL determination[J].Journal of Loss Prevention in The Process Industries,2016(5):333-343.

[23]Yun G W, Rogers W J, Mannan M S.Risk assessment of LNG importation terminals using the Bayesian-LOPA methodology[J].Journal of Loss Prevention in the Process Industries, 2009, 22(1):91-96.

[24]Summers A E.Introduction to layers of protection analysis[J].Journal of Hazardous Materials, 2003, 104(1-3):163.

[25]黃祖廣.基子功能安全的數(shù)控系統(tǒng)設(shè)計方法及關(guān)鍵技術(shù)研究[D].濟南：山東大學, 2015.

[26]International Electrontechnical Commission.Industrial communication networks - Profiles - Part 3: Functional safety fieldbuses - General rules and profile definitions: IEC 61784-3[S].Geneva, Switzerland,2016.