自动化和安全技术是两个密切相关的领域。通过集成安全功能和安全模块,复杂的自动化解决方案的设计、安装及运行均可得到简化。
安全技术要求通常均和具体应用有关。此外,要求还取决于应用中的风险和潜在危险以及适用的法规。
机器安全设计的宗旨在于人身保护。带电控驱动器的机器的相关风险主要源自机器运动件和电本身。
只有用户、机器制造商或系统集成商才知道机器应用设计中所实现的各种状况和因素。因此,也只有这些人才能确定合适的自动化设备及相关的安全和联锁装置,并确保这些设备和装置的有效使用。
|
|
|
不符合安全功能要求 |
|
o在风险分析中明确要实施的要求和措施。 o确保您的安全相关应用符合相应的安全规范和标准。 o确保(根据相应的行业标准)制定了相应的程序和措施,以帮助避免机器操作时发生危险情况。 o在存在人员和/或设备危害的地方,使用相应的安全联锁装置。 o检查所有安全相关功能,并进行全面的应用测试。 |
|
不遵循上述说明可能导致人员伤亡或设备损坏。 |
IEC 61508 标准“与安全相关的电气/电子/可编程电子系统的功能安全性”所定义的就是系统的安全问题。标准所考虑的不仅仅是某一安全系统的单个功能单元,而是将一条功能链(例如从传感器、逻辑处理单元直至执行机构)的全部元件作为一个整体来看待。这些元件所构成的整体必须满足相应安全集成等级的要求。
标准 IEC 61800-5-2“可调转速的电气功率驱动系统 – 安全要求 – 功能安全”是一个产品标准,它对驱动放大器的安全要求做出了规定。此外,该标准还定义了驱动放大器的安全功能。
必须根据系统配置和使用对系统开展危险与风险分析(例如,根据 EN ISO 12100 或 EN ISO 13849-1)。在机器设计以及随后的安全相关设备和安全相关功能的应用中,必须考虑这些分析结果。分析结果可能与本文档或相关文档中的应用示例存在偏差。例如,有可能需要额外的安全元件。原则上,应首要考虑危险与风险分析的结果。
|
|
|
意外动作 |
|
o执行危害和风险分析,明确相应的安全完整性级别,并基于所有适用标准明确您具体应用应达到的所有其他安全要求。 o确保在机器设计期间进行了危害和风险分析并且符合 EN/ISO 12100 的要求。 |
|
不遵循上述说明可能导致人员伤亡或设备损坏。 |
EN ISO 13849-1(机器的安全 - 安全相关的控制系统部件 - 第 1 部分:设计通则)描述了用于选择和设计控制系统有关安全的部件的叠动过程,其目标是将机器的风险减小到可接受的地步。
如要根据 EN ISO 12100 执行风险评估和分析降低,请执行以下步骤:
1.明确机器边界。
2.明确与机器相关的风险。
3.审查风险。
4.评估风险。
5.通过以下方式最大程度降低风险:
o本质安全设计
o使用保护设备
o遵循用户说明(请参阅 EN ISO 12100)
6.通过互动交流设计安全相关的控制器部件 (SRP/CS, Safety-Related Parts of the Control System)。
如要通过互动交流设计安全相关的控制器部件,请执行以下步骤:
|
步骤 |
操作 |
|---|---|
|
1 |
明确通过 SRP/CS (Safety-Related Parts of the Control System 执行的必要安全功能。 |
|
2 |
确定每个安全功能的所需特性。 |
|
3 |
确定所需的性能等级 PLr。 |
|
4 |
明确执行安全功能的安全相关部件。 |
|
5 |
明确上述安全相关部件的性能等级 PL。 |
|
6 |
检查安全功能的性能等级 PL (PL ≥ PLr)。 |
|
7 |
检查是否达到所有相关要求(检验)。 |
其他信息见 www.schneider-electric.com。
标准 IEC 61508 规定了 4 个安全完整性等级 (Safety Integrity Level (SIL))。安全完整性等级 SIL1 是最低等级,安全完整性等级 SIL4 是最高等级。确定应用所需的安全完整性等级的基础是基于危险和风险分析对潜在的危险进行评估。由此可推断出相关功能链是否必须具有安全功能,以及何种潜在的危险必须消除。
Average Frequency of a Dangerous Failure per Hour (PFH)
为了保证安全相关系统的持续性能,IEC 61508 标准根据相应的安全完整性等级 (Safety Integrity Level (SIL)) 规定了各种衡量等级,旨在规避和控制故障。所有组件均必须进行概率分析,以便对所采取之故障控制措施的有效性加以评估。测定的是每小时发生危险性故障失效的平均频率(Average Frequency of a Dangerous Failure per Hour (PFH))。这就是在一小时之内,某一安全系统因失灵而引起危险且无法继续执行功能的频率。每小时发生危险性故障失效的平均频率(视安全完整性等级而定)不得超过整个安全系统的特定值。可将某一功能链的单个 PFH 值合并计算。结果不得超过标准中所规定的最大值。
|
SIL |
高要求率或者连续要求条件下的 PFH |
|---|---|
|
4 |
≥10-9 ... <10-8 |
|
3 |
≥10-8 ... <10-7 |
|
2 |
≥10-7 ... <10-6 |
|
1 |
≥10-6 ... <10-5 |
Hardware Fault Tolerance (HFT) 和 Safe Failure Fraction (SFF)
根据安全系统的安全完整性等级(Safety Integrity Level (SIL)),IEC 61508 标准要求达到一定的硬件容错性(Hardware Fault Tolerance (HFT))和非危险性故障失效比率(Safe Failure Fraction (SFF))。硬件容错性是安全系统的一种属性,即尽管存在某个或者多个硬件故障,仍然可以执行所要求的功能。安全系统的非危险性故障失效比率指的是非危险性故障失效率与安全系统总故障失效率之比。依据 IEC 61508,某一安全系统能够达到的最高安全完整性等级,由硬件容错性和安全系统的非危险性故障失效比率共同决定。
IEC 61800-5-2 区分了两种类型的子系统(A 型子系统、B 型子系统)。根据安全部件标准中定义的原则区分两种类型。
|
SFF |
HFT 类型 A - 子系统 |
HFT 类型 B - 子系统 |
||||
|---|---|---|---|---|---|---|
|
|
0 |
1 |
2 |
0 |
1 |
2 |
|
<60 % |
SIL1 |
SIL2 |
SIL3 |
--- |
SIL1 |
SIL2 |
|
60 ... <90 % |
SIL2 |
SIL3 |
SIL4 |
SIL1 |
SIL2 |
SIL3 |
|
90 ... <99 % |
SIL3 |
SIL4 |
SIL4 |
SIL2 |
SIL3 |
SIL4 |
|
≥99 % |
SIL3 |
SIL4 |
SIL4 |
SIL3 |
SIL4 |
SIL4 |
规范、硬件和软件中的系统性故障以及安全系统的使用故障和检修故障必须尽可能加以避免。为了满足这些要求,IEC 61508 指定了多种故障防范措施,这些措施必须根据相应的安全完整性等级 (Safety Integrity Level (SIL)) 来实施。这些故障防范措施必须伴随安全系统的整个寿命周期,即从设计一直到安全系统停止使用。
必须定期对安全功能进行检查。时间间隔取决于整个系统的危险及风险分析。最短间隔为 1 年(依据 IEC 61508 为高使用率)。
使用如下 STO 安全功能的数据用于维护计划和安全功能的计算:
|
安全功能 STO 的寿命 (IEC 61508)(1) |
年 |
20 |
|
SFF (IEC 61508) Safe Failure Fraction |
% |
90 |
|
HFT (IEC 61508) Hardware Fault Tolerance 类型 A 零件系统 |
|
1 |
|
安全完整性等级 IEC 61508 IEC 62061 |
|
SIL3 SILCL3 |
|
PFH (IEC 61508) Probability of Dangerous Hardware Failure per Hour |
1/h (FIT) |
1*10-9 (1) |
|
PL (ISO 13849-1) Performance Level |
|
e(分类3) |
|
MTTFd (ISO 13849-1) Mean Time to Dangerous Failure |
年 |
>100 |
|
DC (ISO 13849-1) Diagnostic Coverage |
% |
90 |
|
(1) 请参阅章节寿命安全功能 STO. |
||
更多数据可按需从您的 Schneider Electric 联络人处获取。
eSM安全模块的数据请参见本产品手册中的安全模块一章。
