机械安全标准及风险评估

Copyright©2007RockwellAutomation,Inc.Allrightsreserved.机械安全标准及风险评估徐凯SafetyConsultant，CSMCopyright©2007RockwellAutomation,Inc.Allrightsreserved.Contents2.机械安全标准ISO13849-13.风险评估及风险减少1.机械安全标准EN954-1Copyright©2007RockwellAutomation,Inc.Allrightsreserved.Contents1.机械安全标准EN954-1Copyright©2007RockwellAutomation,Inc.Allrightsreserved.P1P2P1P2F1F2S1S2风险评估等级B1234控制系统防护措施EN954–1S_伤害的程度:1=轻伤2=重伤或死亡F_面临危险的时间和频率:1=从无到经常发生2=从经常发生到持续发生P_避免危险的可能性:1=在特定条件下可能2=几乎不可能根据EN954-1进行风险评估(控制系统安全部分失效）Copyright©2007RockwellAutomation,Inc.Allrightsreserved.等级要求摘要风险评估安全原则B控制器的安全相关部分的选择必须根据最新的技术，并且可以承受预期的运行强度，能够承受运行过程中工作介质的影响和相关外部环境的影响。一个故障可以导致安全功能的丢失一些故障依然不会被监测出来通过元器件和安全原理的选择。1在等级B的基础上，必须使用具有安全功能保证的元器件和原理如同等级B,但在安全功能上更加可靠等级描述,EN954-1Copyright©2007RockwellAutomation,Inc.Allrightsreserved.等级描述,EN954-1等级要求摘要风险评估安全原则2符合等级B和1的要求，在适当的时间，控制系统必须监测安全功能在监测中，一个故障会导致安全功能的丧失通过监测故障可以被检查出来通过设计3符合等级B和1的要求，控制系统必须按照以下步骤设计：a.一个单一的故障不会导致安全功能的丧失。b.通过使用适当的方法，可以监测出单一故障（使用最新的技术）如果单一故障出现，安全功能依然可以保持一些但不是所有的故障都可以被监测出来一个累积的监测不出的故障能够导致安全功能的丧失4符合等级B和1的要求，控制系统必须按照以下步骤设计：a.控制系统中的单一故障不会导致安全功能的丧失b.如果可能，在下一个安全功能实施前，单一错误可以被检测出来c.如果b不可能实现，一个累积的故障不会导致安全功能的丢失甚至在故障出现的时候，安全功能总是保持故障会被及时检测出来，以防止安全功能的丢失Copyright©2007RockwellAutomation,Inc.Allrightsreserved.接线示例一T0T1T1T0O0O1O2O3I0I1I2I3O4O5O6O7I4I5I6I7等级4等级3等级2复位+24VDCCopyright©2007RockwellAutomation,Inc.Allrightsreserved.接线示列二等级4输出接线–接触器T0T1T1T0O0O1O2O3I0I1I2I3O4O5O6O7I4I5I6I7+24VDCCR1CR2Copyright©2007RockwellAutomation,Inc.Allrightsreserved.安全控制电路设计一急停按钮的直接串联主回路不带辅助控制回路EN954-1F1L1L2L3M1M3~UVWF0K1K1S2L1(+)N(-)StartS1StopS0E-Stop10Copyright©2007RockwellAutomation,Inc.Allrightsreserved.M3~K1K2K2STARTSTOPK1E-Stop不允许,K1并没有冗余和监控的安全措施.K1的一个主要的故障就会导致危险状态的出现。急停按钮通过控制辅助回路里中间继电器，来控制主回路里的交流接触器。EN954-1安全控制电路设计二Copyright©2007RockwellAutomation,Inc.Allrightsreserved.EN954-1:等级22符合等级B的要求，并且使用适当的、可靠的安全设计法则:在机器启动的时候，执行一个安全检测功能，若有必要可以周期性的执行该检测功能只有系统是安全的，机器才能够启动...通过一个频繁的检测，故障可以被检测出来也就是高等级的安全特性单通道输入使用启动检测功能的控制器件等级基本要求系统特性典型应用Copyright©2007RockwellAutomation,Inc.Allrightsreserved.外部接线的分类等级2急停按钮的应用（等级2）安全触点根据EN60204安全相关控制部分根据VDE0100电源控制部分故障评估可检测接地故障可检测安全回路故障E-StoponCopyright©2007RockwellAutomation,Inc.Allrightsreserved.EN954-1:等级3等级基本要求系统特性典型应用3符合等级B的要求，并且使用适当的、可靠的安全设计法则安全相关部分必须按照以下设计:-在任何部分的单一故障不会导致安全功能的丢失并且-任何时候，使用适当的方法，单一故障能够被检测出来双通道触点(或两个分离的)安全输入设备，连接至两个独立的电路单元。一个单一故障的出现不会导致安全功能的丢失在下一次安全功能实施前，能够检测出该单一故障但并不是所有的故障都会被检测出来，一个累计的故障会导致安全功能的丢失Copyright©2007RockwellAutomation,Inc.Allrightsreserved.外部接线的分类等级3急停按钮的应用（等级3）安全触点反馈回路反馈回路E-Stopon根据EN60204安全相关控制部分根据VDE0100电源控制部分故障评估可检测接地故障可检测安全电路中的故障可检测急停按钮的故障Copyright©2007RockwellAutomation,Inc.Allrightsreserved.EN954-1:等级4等级基本要求系统特性典型应用4符合等级B的要求，并且使用适当的、可靠的安全设计法则安全相关部分必须按照以下设计:-在任何部分的单一故障不会导致安全功能的丢失并且-任何时候，使用适当的方法，单一故障能够被检测出来-一个累计的故障不会导致安全功能的丢失能够及时检测出单一故障以防止安全功能的丢失.先前的、累计的故障不会导致安全功能的丢失Copyright©2007RockwellAutomation,Inc.Allrightsreserved.反馈回路安全触点反馈回路安全触点E-Stopon故障评估可检测接地故障可检测安全电路中的故障可检测急停按钮的故障可检测急停按钮接线的故障急停按钮的应用（等级4）外部接线的分类等级4根据EN60204安全相关控制部分根据VDE0100电源控制部分Copyright©2007RockwellAutomation,Inc.Allrightsreserved.Contents2.机械安全标准ISO13849-1Copyright©2007RockwellAutomation,Inc.Allrightsreserved.机器控制系统的安全标准2005.9.27ENIEC61508•基本安全出版物•国际应用•不调整ENIEC62061•机器标准部分•综合标准多参照ENIEC61508ENISO13849(EN954)•在欧洲调整•参考300+C标准13849旧FDIS200613849修订13849旧200913849修订Copyright©2007RockwellAutomation,Inc.Allrightsreserved.ENISO13849-1:2006EN954-1:1996确定性IEC61508:2000可能性确定性和可能性之间的平衡关系•安全功能•风险图表•类型可靠的原理新的概念•分析：可靠性，测试和共同原因的故障•软件Copyright©2007RockwellAutomation,Inc.Allrightsreserved.PL的定义及其与SIL的关系危险故障的概率（每小时）10-410-5310-610-610-710-8ENISO13849-1PLabcdeSILIEC61508123无特殊安全要求高风险要求低风险要求Copyright©2007RockwellAutomation,Inc.Allrightsreserved.ENISO13849-1的关键：性能水平PL•安全功能•PLr:必需的性能水平•确定SRP/CS•确定PL值•PL≥PLr?•验证类型软件MTTFdDCavgCCF200119962005Copyright©2007RockwellAutomation,Inc.Allrightsreserved.简单的方法：通过风险图表进行风险分析•S:伤害的程度•F:危险暴露的频率和/或时间•P:避免危险或限制伤害的可能性风险评估的起点低风险必需的性能水平PLr高风险Copyright©2007RockwellAutomation,Inc.Allrightsreserved.对于类型发生了什么？类型（冗余，测试）EN954-1(1997)CCF2、3、4类需要MTTFd（元件）1+4类需要高MTTFd值DCavg（测试）2+3类只需低DCavg值，4类需要高DCavg值Copyright©2007RockwellAutomation,Inc.Allrightsreserved.每个类型的特定结构3I1I2L1L2O1O2ILOB或1ITELOOTE2或4Copyright©2007RockwellAutomation,Inc.Allrightsreserved.MTTFd–到（危险）故障的平均时间MTTFd:系统的单个通道预计不发生危险故障的平均操作时间Copyright©2007RockwellAutomation,Inc.Allrightsreserved.MTTFd–到（危险）故障的平均时间MTTFd:系统的单个通道预计不发生危险故障的平均操作时间opddnBMTTF1,010典型值元件Copyright©2007RockwellAutomation,Inc.Allrightsreserved.MTTFd:系统的单个通道预计不发生危险故障的平均操作时间opddnBMTTF1,010元件计算法iiddMTTFMTTF,11典型值元件通道MTTFd–到（危险）故障的平均时间Copyright©2007RockwellAutomation,Inc.Allrightsreserved.MTTFd:系统的单个通道预计不发生危险故障的平均操作时间opddnBMTTF1,010元件计算法iiddMTTFMTTF,11212111132dCdCdCdCMTTFMTTFMTTFMTTFMTTFd=典型值综合元件通道系统MTTFd–到（危险）故障的平均时间Copyright©2007RockwellAutomation,Inc.Allrightsreserved.denotationrangeofMTTFdlow3yearsMTTFd10yearsmedium10yearsMTTFd30yearshigh30yearsMTTFd100yearsMTTFd:系统的单个通道预计不发生危险故障的平均操作时间opddnBMTTF1,010元件计算法iiddMTTFMTTF,11212111132dCdCdCdCMTTFMTTFMTTFMTTFMTTFd=典型值综合等级元件通道系统MTTFd–到（危险）故障的平均时间Copyright©2007RockwellAutomation,Inc.Allrightsreserved.DC–诊断覆盖率已发现