从EN954-1到EN ISO 13849-1,两种机械安全的指令标准的异同
【摘要】 EN954-1和EN ISO 13849-1都是欧盟制定的关于机械安全的指令标准,现在EN ISO 13849-1 已经取代了EN 954-1,本文介绍了这两种标准的异同。
【关键词】类别 性能等级 诊断覆盖率 控制系统的相关安全部分
Abstract: Both EN 954-1 and EN ISO 13849-1 are European directive standards regarding machinery safety. Today, EN ISO 13849-1 replaces EN 954-1 as a new standard. This article wants to explain what is different between them.
Key word: Cat. PL DC SRC/CS
概述
这篇文章介绍了在机械安全领域,最近刚刚发生的一些变化和实施新标准的情况,聚焦于欧盟的要求,但由于对机械安全标准的全球化需求,所以在EN后面增加了ISO,也即国际标准,因此文中的很多内容是关于全世界的。
机械和过程的自动化正在快速地变化着,更加柔性,更加强劲。为了保证操作员和技术员的安全,利用自动化具有的先进功能,要对机械保护进行连续地测量。从历史上来看,安全系统和自动化系统是完全分开的,操作也是独立的,安全系统通常与自动化系统是并行的。但有一个重要的原则是:安全系统必须总是有效的。在“正常”情况下的机械操作,一个故障或者不期望发生的事件不能产生危险,或者破坏安全保护的测量。
现在,摆在我们面前的一个事实是:自动化系统越来越智能;所以,我们也希望安全系统也应这样。需要增加什么样的安全功能,取决于机械设备做什么工作,或者它在什么模式下工作。这意味着“安全”是,在某些情况下,能与“正常”的控制系统进行通信。也意味着,我们需要重新考虑:怎样实现安全系统的独立性和完整性。新一代安全系统的一个最显著特征是:现在已经实施的新机械安全标准EN ISO 13849-1(原来的EN 954-1还会延期到2011年12月31日废止),它必须遵从功能安全的新标准。在本文里,我们将讨论其中最重要的部分:EN ISO 13849-1。除了这点,欧盟有一个新的机械安全指令,做为法律依据应对相关的机械工业环境。
任何提供机械或者使用这些机械的单位和个人,必须了解相关的标准和法规要求,这一点非常重要。本文试图帮助那些使用控制系统完成这种任务的用户,目的不是替代详细研究标准和法规特定条款,而只是给出一个指南,希望用户能够清楚地了解到底需要什么。
从EN 954-1到EN ISO 13849-1的转移
很多年来,对安全相关系统分类的最常用方法就是使用EN 954-1 [或者它的对应新标准 ISO 13849-1:1999]的类别(Cat)。这个标准即将作废,因为它不遵从新的机械指令,这个标准将在2011年12月31日后不再使用。
替换EN 954-1的新标准已经分布,它就是EN ISO 13849-1:2008。“机械安全-控制系统的安全相关部分”。还有一个选择的标准可以使用:EN/IEC 62061 “机械安全-电气、电子和可编程电气控制系统的功能安全”。使用这两个标准都能够遵从机械指令。本文将讨论这两个标准之间的相互关系。至于选择哪一个标准来使用,这由用户来决定,我们将着重于EN ISO 13849-1:2008。特别针对那些熟悉类别的设计者而言,标准给他们提供了一条转移的路径。因此,对于机械安全系统,它是最通常使用的标准。它既可以用于一个完整的系统,也可以用于一个子系统。
EN 954-1与EN ISO 13849-1基本的不同
首先,让我们看看老EN 954-1和新EN ISO 13849-1有什么不同的地方。老标准的输出是类别Cat [B,1, 2, 3 或 4]。新标准的输出是性能等级PL [a, b, c, d 或 e]。类别概念仍然保留,在系统提出PL之前,还有其他的需求要满足。
把要求列为下面的内容:
• 系统的体系结构。这基本抓住了我们有什么,使用什么样的类别。
• 系统组成部分需要的可靠性数据。
• 需要系统的诊断覆盖率[DC]。它有效地代表了对系统内部故障监视的能力。
• 公因失效的防护。
• 系统故障的防护。
• 软件相关的特定要求。
[DividePage:NextPage]
然后,我们将近距离查看这些因素,但之前我们要考虑整个标准的基本目的和原理。非常清楚的一点是:有很多新内容需要学习,因为了解细节会使我们对安全概念更有心得,那时我们就会理解标准要达到什么目的,为什么要这么做。
首先,我们为什么需要一个新标准?显而易见的是:用于机械安全系统的技术,在过去的十年里,已经有了很大进步,发生了很大变化。稍远的最近,安全系统采用了具有可预测和可预见失效模式的“简单”设备;稍近的最近,我们已经看到在安全系统中,更多地使用比较复杂的电子和可编程设备。这表明在成本、灵活性和兼容性上,我们有更多的技术可供选择,同时也意味着:原来的标准有点过时,不再适用了。要判断一个安全系统是否满足要求,我们必须知道得更多。这就是为什么新标准需要更多的信息。以前的安全系统多采用“黑盒子”的方法,而现在更多地依靠符合标准。因此,实施标准需要具有运用技术的能力。为了达到这个目的,标准必须提出基本的可靠性、故障检测、体系结构和系统集成等要素。这就是提出EN ISO 13849-1的目的。
为了通过这个标准完成一个机械安全项目,非常重要的是要明白:有两类根本不同的用户类型:安全相关子系统的设计者和安全相关系统的设计者。通常来说,子系统的设计者(典型的是安全组件制造商)被认为是复杂的更高一级。他们需要提供相关数据,使系统设计者能够确保系统具有足够的完整性。这要进行很多测试、分析和计算。结果要用标准所规定的数据格式表示。
系统设计者(典型的是机械设计者和集成商)将使用这些数据去完成一些相关的计算,决定系统的整体性能等级(PL)。
为了决定需要什么样的PL(PLr:所需的性能等级),标准提供了风险图,通过此图,要输入应用中伤害严重度、发生的频率和防止的可能性等参数。
输出的是PLr值。老EN 954-1的用户会比较熟悉这种方法,但要注意:S1线现在分为两部分,而老风险图则没有。还要注意:这意味着在低风险级需要安全测量的完整性,有重新考虑的可能性。
/attachment/201102/9/509379_1297221688ghdJ.jpg)
所以现在我们能够看到系统的PLr(通过风险图)和系统达到的PL(通过计算)之间的关系。
我们知道,从标准中,我们可以计算系统需要多好的安全和怎样决定能够使它多好,但我们不知道它需要做什么。我们需要决定安全功能是什么。很清楚,安全功能必须适合于任务,那么我们怎样提供这些?标准怎样来帮助我们?
必须明白,需要的功能可以仅由实际应用的主要特性来决定。这可以看作安全概念的设计阶段。它不能被标准全部覆盖,因为标准不知道具体应用的所有特性。标准常常应用于机械制造商,他们生产机械,但不必知道机械使用的确切条件。
这个标准列出很多通用的安全功能和一些常用的相关要求,希望对用户能够提供一些帮助。其他标准,像EN ISO 12100:基本设计原理和EN ISO 14121:风险评估,在这个阶段,极力推荐给用户使用。还有,大量的机械特殊标准提供了特殊机械的解决方案。在欧盟的EN标准中,这一类称之为C类的标准,大多数等同于ISO标准。
/attachment/201102/9/509379_129722169333Ff.jpg)
因此,我们现在看到安全概念设计阶段是依赖于机械的类型,还依赖于应用的特性和使用的环境。机械制造商要预见这些因素,使之在设计中使用安全概念。使用的预期(比如预计)条件应该在用户手册中给出。机械的用户需要检查他们是否满足实际的使用条件。
我们现在有了安全功能的描述。从标准的附录A中,我们也有了需要的性能等级(PLr),用于控制系统的安全相关部分(SRC/CS),它用于执行这个功能。我们现在需要设计这个系统,并且确保它满足PLr值。
在决定使用(EN ISO 13849-1或者EN/IEC 62061)一个最重要的因素是安全功能的复杂性。大多数情况,对于机械设备,安全功能相对简单,使用EN ISO 13849-1 更适合。为了评估PL值,使用已经提到的因素:可靠性数据、诊断覆盖率(DC)、系统结构(类别)和相应的软件要求。
这只是一个简单的描述,仅意味着给了你一个概念。重要的是理解:标准的内容给出了所有必须执行的规定。无论如何,帮助就在手边。现在有一种很棒的软件工具,可以帮助我们解决计算问题。它的名字叫SISTEMA。它是由德国的BGIA(德国社会事故保险职业安全和健康研究所)开发的。这个软件可以免费下载供用户使用,详情请登录:(暂不可见)/bgia/en/pra/softwa/sistema
现在这个软件版本只支持德语和英语,其他语言版本会在不远的将来发布。这个工具不是一个商业化产品,BGIA, SISTEMA的开发商, 是一个基于德国政府的著名研究和测试机构。它特别参与了德国意外保险和预防法令中相关安全科学和技术问题的解决。它已经与二十多个国家的职业健康和安全部门合作工作。来自BGIA的专家, 与他们的BG同事一起,积极参与了EN ISO13849-1和IEC/EN 62061草案的制定。
[DividePage:NextPage]
罗克韦尔自动化产品的数据可以使用SISTEMA
罗克韦尔自动化安全产品的“数据库”现在可以使用SISTEMA软件,计算性能等级(PL)。请登录下面网站,获得这个数据库:
(暂不可见)/safety
无论什么方法,PL的计算是非常重要的,是一个正确的开始。我们需要按标准以同样的方式来观察我们的系统,下面就从这里开始。
系统结构
/attachment/201102/9/509379_12972216934gat.jpg)
任何系统能够拆分成基本系统组件或者“子系统”。每个子系统都有自己离散功能。多数系统能够拆分成三个基本功能;输入、逻辑解算和输出(一些简单系统可以没有逻辑解算)。组件组执行这些子系统的功能。
/attachment/201102/9/509379_12972216948VrD.jpg)
一个简单通道电气系统例子见上图。它仅由输入和输出子系统组成。
/attachment/201102/9/509379_1297221694Z3v5.jpg)
本系统稍微复杂一点,因为还需要一些逻辑。安全控制器本身具有内部故障冗余功能(比如:双通道),但整个系统仍然受限于单通道,因为限位开关和接触器都是单通道的。
/attachment/201102/9/509379_1297221695555K.jpg)
使用前一幅图的基本结构,还要考虑其他一些问题。首先,这个系统具有多少个“通道”? 一个单通道系统,一旦它的子系统失效,它就会失效。一个双通道(也称为冗余)系统,一个通道失效,它还能工作,只有两个通道都失效时,它才失效。因为它有两个通道,可以容忍一个通道的故障。上图显示了一个双通道系统。
非常清楚,双通道系统比起单通道系统来说,更不容易走向危险的条件。如果我们包含对故障检测的诊断测量,我们还能够使它更加可靠(根据它的安全功能)。当然,有了故障检测,我们还需要做出反应,把系统切到安全状态。下面的图表示了具有监视技术进行的诊断测量。
/attachment/201102/9/509379_1297221696mvvg.jpg)
通常(但不总是)的情形是:系统由两个通道,全部由子系统构成。因此,我们能够看到:这种情况下,每个子系统有两个“子通道”。标准描述这些为“模块”。一个两通道子系统至少有两个模块,一个单通道子系统至少有一个模块。有些系统是由双通道和单通道模块组合而成的。
如果我们想深入研究这个系统,我们需要考虑模块的组件部分。SISTEMA 工具使用了术语“元件”(elements)表示这些组件部分。
/attachment/201102/9/509379_1297221697Ee5R.jpg)
见上图,限位开关子系统被分解到了元件级。输出接触器子系统分解到模块级,逻辑子系统没有再分。对限位开关和接触器的监视功能由逻辑控制器执行。因此,方块表示的限位开关和接触器子系统与逻辑子系统有小小的重叠。
这个系统细分的原则,在EN ISO 13849-1中的方法论中给予了认可,也是SISTEMA工具中基本系统结构的原则。然而要注意的是:这里有些微小的差异。标准在它的方法论中没有强制,但为了简化评估PL的方法,通常第一步是把系统结构拆分成通道,再把每个通道拆分成模块。使用SISTEMA,系统通常第一步分成子系统。标准没有明确描述一个子系统概念,但在SISTEMA中使用,提供了更易理解和更直观的方法。当然,这对最后的计算没有任何影响。SISTEMA和标准两者使用相同的原理和公式。非常有趣的是:子系统的方法也用在EN/IEC 62061中。
我们做为例子使用的系统正好是标准指定的五种基本系统结构类型中的一种。熟悉系统类别的读者能够辨认出:我们的例子是典型的类别3或者类别4。
[DividePage:NextPage]
新标准使用原EN 954-1的类别,做为它指定系统结构的五种基本类型。把它们称之为指定结构类别。对类别的要求几乎(但不完全)与EN 954-1中给出的相同。指定结构类别由下面的各图表示。要注意的是:它们既可以应用于整个系统,也可以应用于子系统。图中表示的不是纯粹的物理结构,它们只是概念要求的图形表示。
/attachment/201102/9/509379_12972216979a4u.jpg)
指定结构类别B必须使用基本安全原则(请参看EN ISO 13849-2附录)。这种系统或者子系统会在单一故障事件中失效。见EN ISO 13849-1的全部要求。
指定结构类别1具有和类别B相同的结构,在单一故障事件中,仍然会失效。但因为它也使用良好验证的安全原则(见EN ISO 13849-2附录),故失效概率比类别B低。见EN ISO 13849-1 的全部要求。
指定结构类别2必须使用基本安全的原则(见EN ISO 13849-2的附录)。也必须有通过系统或者子系统功能测试的诊断监视。这个测试必须在启动、然后在每个安全功能要求中至少进行一百次测试的频率周期出现。如果故障在功能测试时发生,这个系统或者子系统仍然会失效,但通常失效概率比类别1小。见EN ISO13849-1的全部要求。
/attachment/201102/9/509379_1297221699Iu8J.jpg)
指定结构类别3必须使用基本安全原则(见EN ISO 13849-2的附件)。还有一个在单一故障发生时,系统/子系统必须不能失效的要求。这意味着:系统需要具有单一故障容错的安全功能。实现这一要求的通常做法是采用上图所示的双通道结构。另外,还要求对单通道的故障能够进行检测。这个要求同原来的EN 954-1中的类别3的要求是相同的。它意味着类别3的系统,冗余涵盖了所有部分,冗余系统的所有单一故障都能检测,但没有整体的故障检测(常常被描述为“愚蠢的冗余”)。为了解决这个问题,在EN ISO 13849-1的要求中提出,由诊断覆盖率(DC)的品质来评估。我们可以看出,系统的可靠性(MTTFd:平均危险失效时间)越高,需要的诊断覆盖率(DC)越低。无论如何,已经清楚地表明,在类别3的结构中,DC至少达到60%。
指定结构类别4必须使用安全基本原则(见EN ISO 13849-2的附录)。它与类别3的要求很相似,但需要更多的监视,比如更高的诊断覆盖率。这里用虚线表示了这种监视功能。类别3和类别4基本的不同点是:类别3能够检测大多数的故障,而类别4能检测所有的单一故障。 DC值至少达到99%。甚至在故障的组合的情况下,也不能引起危险失效。
(罗克韦尔自动化(中国)有限公司 全球标准及贸易部中国地区经理 华镕)
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。本站部分作品是由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。如果您发现网站上所用视频、图片、文字如涉及作品版权问题,请第一时间告知,我们将根据您提供的证明材料确认版权并按国家标准支付稿酬或立即删除内容,以保证您的权益!联系电话:010-58612588 或 Email:editor@mmsonline.com.cn。
- 暂无反馈
