功能安全標準是針對安全的�,安全又是相對的�,那么首先就要定義什么是不安全,也就是:傷害(harm),危險(hazard)����,風險(risk)���。
根據IEC61508-4的定義:
Harm:Physical injury or damage to the health of people or damage to property or the environment. 即:對環境�、財產或者人員的健康造成的物理性傷害或者損毀��。是指問題發生以后對環境���、財產和人員造成的傷害�����。
Hazard:Potential source of harm. 即潛在的傷害源。是指一個可以導致傷害發生的潛在危險源,如果觸及那個區域�,或者對其防護或控制失效���,即可導致傷害發生��。
Risk:Combination of the probability of occurrence of harm and the severity of that harm. 即:傷害發生的可能性和嚴重性�����。是指某種不安全因素可能導致的傷害和傷害的嚴重程度�。
分清了這幾個概念�����,我們還要明確幾個不同階段對危險的定義:
危險情況(hazardous situation):Circumstance in which people, property or the environment are exposed to one or more hazards. 即:人����,財產或者環境暴露于一個或多個危險中的情況。
危險事件(hazardous event):event that may result in harm.可能導致傷害的事件。
傷害事件(harmful event):occurrence in which a hazardous situation or hazardous event results in harm. 即:導致傷害的危險事件或危險情況的發生���。
殘余風險(residual risk):risk remaining after protective measures have been taken.即:采取防護措施之后仍然存在的風險。
我們以一臺工業制造設備的防護來舉例說明上面的情況:
當操作員站在防護欄外面的時候,正常情況下是沒有危險的�����。
而當進入護欄區域內���,機器還在工作的話����,就會有風險(risk),因為你已經接近了一個危險源(hazard),進入護欄區域內就是一個危險事件(hazard event),而如果發生了某種人身傷害�,那么就是你受到了傷害(harm)�����,也就發生了一起傷害事件(harm event)。
盡管做了這么多的防護措施,可能還有一些不能避免的危險,比如噪聲過大���,這就是殘余風險(residual risk)��,要讓機器來解決這個風險可能要投入相當多的物力和財力����,就不如讓人來自己做防護���,那么就要在醒目的位置加貼警示標識��,以及在說明書上告知用戶�����,操作者需帶個人防護設備來處理設備的殘余風險。
所以����,為了使得機器能夠安全可靠的被人所利用��,根據可能對人造成傷害的不同程度,人接近風險的頻次��,及是否可以避免的可能性等要素�����,對設備進行了分級�����,并按不同的等級做了不同的安全要求,還以上圖為例:
1��、如果機器只可能對人造成輕微擦傷��,則防護欄和安全光幕門等都可以不用�,因為即使在操作過程中發生了危險����,也沒有什么大的問題����,而且控制臺也可能直接裝在設備上,便于操作�。
2�、如果機器可能會對人員造成不可修復的殘疾���,那危險就比較大���,就需要加裝防護欄��,把人與設備隔開一定的距離�����,但如果設備在工作工程中還需要人員適當干預��,且人員經過培訓,并有嚴格操作規程�����,那么只需要安裝防護欄即可��,而無須安裝安全光幕門��。
3、如果機器可能會對人員造成不可修復的殘疾����,甚至死亡�����,而且工作過程中基本不需要人干預�,則要嚴格控制人員對機器的接觸和靠近,則須在防護欄上加裝安全光幕門�����。以便在有人進入危險區域時����,及時使設備停機或者控制到安全的程度。
采取了以上的措施,可能也還有一些比較小的風險沒有被避免,如:小心地面滑倒��、更換刀具時小心夾手等����。這些就是殘余風險,靠增加適當的警示標示來做適當提醒。
以上這些情況是根據設備的危險程度���,在設計上考慮到的一些解決方案,那么是不是做了這樣的設計就一定安全了呢?這些安全防范的措施是不是一定可靠呢�?我們怎么來衡量和考評這套安全系統的可靠程度呢��?
對于防護欄來講,它只是個結構,根據EN ISO 13857等相關標準進行評估就可以了��。但對于安全光幕能否可靠正確的檢測到有人進入�,對于讀取安全光幕的信號來產生停機操作的控制器能否正確發出停機信號,對于執行控制器的停機信號的執行器能否正確執行停機操作,以及整個機器的其他安全控制功能的傳感器,控制器和執行器等元件和系統設計����,包括軟件(如果有)能否正確判斷并執行相關指令和任務�����,就需要用IEC61508和IEC62061(ISO13849)來考評了。
那么這也就引出了功能安全的定義:功能安全是設備安全的一部分,其主要是從E/E/PE相關的控制系統考慮����,著重避免由于受控設備及其相關系統在故障或者失效的情況下導致的風險,而對于非電控的風險�����,如鋒利毛邊��、高溫表面�����、噪聲、輻射等導致的危險���,這里并沒有做考慮,需參見其他相關標準中的要求�����。
以上是舉了個工業機器的例子�,對于其他行業,如過程工業(IEC61511)�����,汽車行業(ISO26262)等,又是不同的分析方法和解決方法�����,但思路和宗旨都是通過采取適當的措施將識別出來的風險減小到最低�,從而實現系統和設備的安全可靠。
