一臺(tái)機(jī)器必須設(shè)計(jì)得安全。因此除系統(tǒng)性錯(cuò)誤之外還必須掌控安全控制部分的偶然性錯(cuò)誤。為此一種適用的途徑就是安全性專業(yè)標(biāo)準(zhǔn)DIN EN ISO 13849-1“機(jī)械設(shè)備的安全-關(guān)于控制系統(tǒng)安全相關(guān)部分。”它是關(guān)于機(jī)器設(shè)備控制功能安全的核心標(biāo)準(zhǔn)。然而該標(biāo)準(zhǔn)的應(yīng)用對(duì)于計(jì)劃人員,設(shè)計(jì)人員而言可能意味著挑戰(zhàn)。如果風(fēng)險(xiǎn)評(píng)價(jià)和審核驗(yàn)證在規(guī)劃和設(shè)計(jì)階段被忽略,則可能導(dǎo)致在最后的標(biāo)準(zhǔn)合格審核中過(guò)不了關(guān)。當(dāng)制作者無(wú)法通過(guò)匯編文獻(xiàn)資料證明其產(chǎn)品符合EG 標(biāo)準(zhǔn)時(shí),那么它將不被授予CE-標(biāo)識(shí) 并且不予簽發(fā)合格證書(shū)。這就意味著:這臺(tái)機(jī)器不準(zhǔn)進(jìn)入歐洲市場(chǎng)。
必要的證明材料直到生產(chǎn)之后才生成,這可能使事情變得困難:即使當(dāng)各個(gè)組成部分本身是安全可靠的,卻也可能由于規(guī)劃錯(cuò)誤或?qū)I(yè)能力不足而致它們的能力(合格)沒(méi)有得到正確的檢驗(yàn)或者沒(méi)有按照實(shí)際的標(biāo)準(zhǔn)對(duì)要求加以調(diào)整。保護(hù)回路所達(dá)到的性能等級(jí)(PL)沒(méi)有給出計(jì)算上的證明或者沒(méi)有正確地以文獻(xiàn)和資料加以說(shuō)明是十分常見(jiàn)的現(xiàn)象。所以,在一臺(tái)機(jī)器的規(guī)劃階段就應(yīng)優(yōu)先考慮標(biāo)準(zhǔn)合格問(wèn)題,而且必須在設(shè)計(jì)階段之前就確定下來(lái)。
缺乏對(duì)安全功能組件的相關(guān)規(guī)定
相關(guān)標(biāo)準(zhǔn)不僅僅只是在設(shè)計(jì)新機(jī)械設(shè)備時(shí)重要。同樣在現(xiàn)有機(jī)器和設(shè)備更新改造時(shí)也經(jīng)常需要重新匹配安全綱要。在進(jìn)行設(shè)備翻新改進(jìn)時(shí)必須達(dá)到使安全技術(shù)措施符合當(dāng)前的技術(shù)水準(zhǔn)這一目標(biāo)。這意味著,在必要時(shí)應(yīng)對(duì)安全技術(shù)加以補(bǔ)充,以滿足操作安全法規(guī)以及在一定情況下機(jī)器設(shè)備指導(dǎo)方針的要求。這涉及到所有的安全功能以及這些功能之下與安全相關(guān)的所有組件(控制系統(tǒng)安全相關(guān)部分; SRP/CS)。
DIN 13849 標(biāo)準(zhǔn)雖然包含了設(shè)計(jì)指導(dǎo)原則,但卻回避了有關(guān)安全控制實(shí)施的具體規(guī)定。風(fēng)險(xiǎn)評(píng)估采用的是概率理論計(jì)算方法。作為規(guī)劃人員就必須對(duì)可能帶來(lái)危險(xiǎn)的安全功能失效的概率,也包括組件和保護(hù)回路失效的概率進(jìn)行計(jì)算。此后作為設(shè)計(jì)人員就必須能夠證明所設(shè)計(jì)保護(hù)回路的能力。雖然該標(biāo)準(zhǔn)允許對(duì)用于規(guī)劃設(shè)計(jì)的參數(shù)采取估算。但是參考相關(guān)的標(biāo)準(zhǔn)值還是必要的。 這些參考值,例如關(guān)于組件的過(guò)載能力,理想情況下應(yīng)該由組件供應(yīng)方在技術(shù)參數(shù)說(shuō)明書(shū)、安全手冊(cè)或者部分情況下的組件合格證書(shū)中提供。
在作為安全保護(hù)用的組件上,這已經(jīng)形成了常規(guī)。然而在標(biāo)準(zhǔn)組件方面情況卻有所不同,在這方面有效的說(shuō)明和數(shù)據(jù)有時(shí)很難得到。當(dāng)這些組件在設(shè)備控制系統(tǒng)中擔(dān)當(dāng)重要的安全功能時(shí),這將會(huì)帶來(lái)問(wèn)題。于是設(shè)計(jì)人員往往必須向生產(chǎn)廠家詢問(wèn)一些重要的參數(shù)說(shuō)明 ,但是并不能每次都得到所需要的答復(fù)。通過(guò)那些可用于性能等級(jí)PL計(jì)算的數(shù)據(jù),可以推測(cè)到產(chǎn)品的性價(jià)比以及不同生產(chǎn)廠家之間在質(zhì)量,失效概率和使用壽命等方面的差距。正因?yàn)槿绱私M件生產(chǎn)廠家有時(shí)在一些具體的和關(guān)鍵的數(shù)據(jù)上存在保留,因?yàn)楹ε卤┞陡?jìng)爭(zhēng)缺點(diǎn)。 在有疑問(wèn)的情況下機(jī)器制造者必須耗費(fèi)很大精力去設(shè)法獲得必要的數(shù)據(jù)。因此, 從一開(kāi)始就把安全功能的布局作為規(guī)劃過(guò)程中固有組成部分來(lái)考慮顯得更加重要。
圖1 在進(jìn)行設(shè)備翻新改進(jìn)時(shí)必須達(dá)到使安全技術(shù)措施符合當(dāng)前的技術(shù)水準(zhǔn)這個(gè)目標(biāo)。這意味著,在必要時(shí)對(duì)安全技術(shù)加以補(bǔ)充,以滿足操作安全法規(guī)以及可能的情況下機(jī)器設(shè)備指導(dǎo)方針的要求
新標(biāo)準(zhǔn)的變化
現(xiàn)行DIN EN ISO 13849-1文本自2016年7月生效并代替原先2008年的老版本。老版本標(biāo)準(zhǔn)在應(yīng)用中凸顯出一些問(wèn)題。因此,標(biāo)準(zhǔn)委員會(huì)對(duì)章節(jié)劃分和結(jié)構(gòu)作了修訂,包括重新對(duì)一些概念作了更為明確的定義。現(xiàn)行版本還根據(jù)歐洲機(jī)械設(shè)備指導(dǎo)方針2006/42/EG進(jìn)行了調(diào)整。因此,凡根據(jù)該標(biāo)準(zhǔn)的規(guī)定和結(jié)構(gòu)指導(dǎo)原則開(kāi)發(fā),設(shè)計(jì)和制造的機(jī)器設(shè)備,均遵從推測(cè)效應(yīng)。也就是說(shuō),機(jī)器產(chǎn)品視同達(dá)到了現(xiàn)技術(shù)水準(zhǔn)并且由此而具備了安全性。
下面是新標(biāo)準(zhǔn)最重要的幾點(diǎn)變化:
● 風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)圖表現(xiàn)在還考慮到了故障事件的發(fā)生概率。這對(duì)于所要求的性能等級(jí)的分級(jí)產(chǎn)生了影響(PLr-要求的性能等級(jí))。如果上述發(fā)生概率估算結(jié)果為“低”,將使得要求的性能等級(jí)PLr降低一級(jí)。這就意味著,對(duì)于組件可靠性的要求也隨之降低。此外,對(duì)于失效發(fā)生概率關(guān)系密切的還有人為失誤的可能性以及可靠性特征參數(shù)的正確性。
● 2類保護(hù)回路:對(duì)于測(cè)試率的要求作了調(diào)整, 該測(cè)試率用于監(jiān)視2類保護(hù)回路功能通道的邏輯單位以及為此進(jìn)行數(shù)據(jù)流分析(傳感器、邏輯單位、執(zhí)行器)。 類別中結(jié)合它們抵御故障的能力和故障狀態(tài)下的表現(xiàn)劃分出與安全相關(guān)的各控制系統(tǒng)部件(SRP/CS) ,基于這些部件的可靠性和/或結(jié)構(gòu)上的要求。在2類保護(hù)回路中安全功能的執(zhí)行情況按照一定的時(shí)間間隔,通常通過(guò)技術(shù)裝備自動(dòng)進(jìn)行檢驗(yàn)。
● 估算性能等級(jí) PL:通常對(duì)于機(jī)械的,液壓的或氣動(dòng)的部件(或者包含各種工藝的混合體的一些部件)沒(méi)有現(xiàn)成的應(yīng)用專有可靠性數(shù)據(jù)。因此就使得 PL值的估算方法趨于簡(jiǎn)化,以至于可不必計(jì)算平均危險(xiǎn)失效時(shí)間MTTFd(Mean Time to Dangerous Failure)。必要的安全功能可靠性可以借助于從屬的每小時(shí)危險(xiǎn)失效概率PFHd- 值(Probability of Dangerous Failure per Hour)來(lái)估算。
● 帶有安全功能的液壓部件:對(duì)用于推算 MTTFd的特性參數(shù)值切合實(shí)際作了調(diào)整。在先前的標(biāo)準(zhǔn)中,像單位時(shí)間內(nèi)操作次數(shù)等對(duì)于那些應(yīng)用于安全功能的液壓部件并不重要。現(xiàn)在,動(dòng)作的次數(shù)(所謂操作次數(shù),英文縮寫nop)這個(gè)參數(shù)在估算各單個(gè)部件的MTTFd值時(shí)被納入計(jì)算并且為MTTFd明確了典型的結(jié)合實(shí)際的參數(shù)值。
● 診斷覆蓋率(DC):對(duì)于冗余路徑的綜合考慮被表明目的不明顯。現(xiàn)在,診斷覆蓋率必須對(duì)每個(gè)關(guān)斷路徑分別予以估算。診斷覆蓋率DC的計(jì)算結(jié)果由所有可能導(dǎo)致危險(xiǎn)失效的總和來(lái)決定。為了簡(jiǎn)化PL的計(jì)算,平均診斷覆蓋率(DCavg)也得到應(yīng)用。
關(guān)于新舊標(biāo)準(zhǔn)的區(qū)別以及選擇
在13849-1標(biāo)準(zhǔn)之前很長(zhǎng)一段時(shí)間一直是DIN EN 954-1作為機(jī)械設(shè)備功能安全的基本標(biāo)準(zhǔn),然而該標(biāo)準(zhǔn)相對(duì)于目前的技術(shù)水準(zhǔn)來(lái)講存在缺陷。例如它并沒(méi)有覆蓋依靠電子類可編程系統(tǒng)來(lái)保證安全的應(yīng)用情形。由于該標(biāo)準(zhǔn)已經(jīng)不合時(shí)勢(shì),于是便起草了適應(yīng)現(xiàn)技術(shù)水平的新標(biāo)準(zhǔn)。在機(jī)械設(shè)備安全領(lǐng)域除了ISO 13849-1,主要要面對(duì)的還有DIN EN/IEC 62061。
圖2 現(xiàn)行的DIN EN ISO 13849-1相對(duì)于老的標(biāo)準(zhǔn)提供了諸多優(yōu)點(diǎn)。規(guī)劃人員和設(shè)計(jì)人員現(xiàn)在在開(kāi)發(fā)控制系統(tǒng)架構(gòu)時(shí)具有了更多的靈活性,這一點(diǎn)也同樣體現(xiàn)在組件的選擇上
這兩個(gè)標(biāo)準(zhǔn)在功能安全設(shè)計(jì)應(yīng)用上都是適用的,要明確的是,哪些技術(shù)措施對(duì)于降低安全風(fēng)險(xiǎn)是必需的和適用的。 風(fēng)險(xiǎn)評(píng)估在兩種情況下均依據(jù)一個(gè)風(fēng)險(xiǎn)圖表來(lái)進(jìn)行。IEC 62061 標(biāo)準(zhǔn) 在2016年也作了修正和補(bǔ)充,并且根據(jù)歐洲機(jī)械設(shè)備指導(dǎo)方針進(jìn)行了調(diào)整。
到2019年年底,一個(gè)聯(lián)合的ISO-IEC控制委員會(huì)會(huì)將兩個(gè)標(biāo)準(zhǔn)合并。但直至現(xiàn)在這兩個(gè)標(biāo)準(zhǔn)仍然平行并列同時(shí)有效。因此設(shè)計(jì)人員在任何特定情況下有權(quán)選擇采用哪一個(gè)指導(dǎo)原則來(lái)進(jìn)行風(fēng)險(xiǎn)評(píng)估和對(duì)自己的安全功能進(jìn)行證明。根據(jù)任務(wù)不同,兩個(gè)標(biāo)準(zhǔn)存在著各自的優(yōu)點(diǎn)和缺點(diǎn),這就需要認(rèn)真地作出權(quán)衡,還要看規(guī)劃人員,設(shè)計(jì)人員和文獻(xiàn)資料匯編全權(quán)代表對(duì)于規(guī)定的熟悉和精通程度。決定性的一點(diǎn)還在于,任何時(shí)候僅只應(yīng)用一個(gè)標(biāo)準(zhǔn)而非兩個(gè)。否則會(huì)由于要求和結(jié)構(gòu)指導(dǎo)原則混淆而導(dǎo)致標(biāo)準(zhǔn)合格評(píng)審不必要的復(fù)雜化。
功能安全專家們?cè)谶x型上幫助企業(yè)并且對(duì)其提出的關(guān)于應(yīng)用問(wèn)題作出解釋。專業(yè)鑒定人員熟悉這些新標(biāo)準(zhǔn),了解它們的變化、要求和對(duì)于風(fēng)險(xiǎn)評(píng)估以及安全相關(guān)組件定型的影響。
現(xiàn)行標(biāo)準(zhǔn)DIN EN ISO 13849-1相對(duì)于老標(biāo)準(zhǔn)有諸多優(yōu)點(diǎn)。規(guī)劃人員和設(shè)計(jì)人員在開(kāi)發(fā)控制系統(tǒng)架構(gòu)時(shí)具有了更多靈活性,這一點(diǎn)也同樣體現(xiàn)在組件的選擇上。機(jī)械設(shè)備制造者由此通過(guò)更好的選型和比較可能性而節(jié)約成本。
所選解決辦法的可計(jì)算性為機(jī)械設(shè)備制造者提供了確證,要求的安全等級(jí)能夠得到遵守。他們?cè)鯓幼霾拍茉跈C(jī)器的預(yù)期使用壽命內(nèi)保持一定的安全水準(zhǔn),對(duì)此設(shè)備使用者得到明確的規(guī)定。因?yàn)楦鞑考kU(xiǎn)失效的時(shí)間能夠很好地估計(jì)到,所以人們也能夠更好地計(jì)劃維護(hù)。此外,正確的審核驗(yàn)證在處理?yè)p失和質(zhì)保情況時(shí)能給予制作者司法保障。
為此,風(fēng)險(xiǎn)評(píng)估必須伴隨從規(guī)劃之前直至設(shè)備驗(yàn)收的整個(gè)開(kāi)發(fā)過(guò)程。風(fēng)險(xiǎn)評(píng)估是一個(gè)重復(fù)的過(guò)程。也就是說(shuō),安全綱要必須持續(xù)不斷地更新以適應(yīng)現(xiàn)實(shí)情況。為了保持對(duì)于分過(guò)程有一個(gè)清晰總覽和必要時(shí)對(duì)其進(jìn)行優(yōu)化,可借助一種功能管理系統(tǒng)(FMS)。第三方,例如來(lái)自TUV Sud(TUV南德)的專家們?cè)跇?biāo)準(zhǔn)合規(guī)核驗(yàn)方面還包括在合適的功能管理系統(tǒng)的選擇上能為企業(yè)提供幫助。
