机械安全风险评估基础
在机械设备生命周期的早期阶段进行安全设计,不论从效果还是成本来看,都是最优的。上一篇,我们简单的描述了机械安全的危险。虽然这些基础工作很重要,但随着机械设备复杂度增加,功能实现难度也随之提升。单纯的这种“危险源⇌治理”的方式和思路很难去解决这些复杂的安全问题。那这个时候,我们就要考虑系统化的思维去解决。当然危险的识别是系统化处理风险的第一步。整体步骤可以按以下进行,最终实现安全完整性。
| 步骤 | 考虑的内容 | 方法 |
|---|---|---|
| Step 1 | 对象的危险有哪些 | 危险识别 |
| Step 2 | 危险的风险有多大 | 风险评估 |
| Step 3 | 这些风险如何转化为安全要求 | 安全功能辨识 |
| Step 4 | 这些安全功能的能力高低 | 安全完整性确定 |
风险评估工具:常用工具包括安全检查表、HAZOP(危险与可操作性分析)、FTA(故障树分析)、SISTEMA 软件等。这些工具可以帮助系统化识别危险并评估风险等级。
危险(源)和风险的概念,这里也澄清一下,对后续的文章就不再解释。ISO45001 的定义如下:
危险源 hazard: 可能导致伤害和健康伤害的来源;
风险 Risk:不确定的影响。
注 4:通常,风险以潜在“事件”的后果以及其发生的“可能性”的组合来表述。
所以安全的风险,一般是以危险源造成预期伤害后果的严重性和可能性来表示。
在机械安全文章的第一篇文章,我们提到了关于法律法规和标准体系。在我国标准全面对标ISO,IEC,EN 的大背景下,我们就以这些标准作为工作标准,去完善我们的安全评价和管理工作。
既然是系统的工程,那这个工作量不小,难度也不小,需要掌握的知识点也不少。在风险评估中,机械安全性能等级 PL(Performance Level) 和 安全性完整性等级 SIL(Safety Integrity Level) 是关键指标,它们帮助我们衡量和设计机械设备的安全性能。本篇文章用最基础的方式来谈风险评估,这也是我们作为EHS 人员的一个基本入门的操作。完整的,高阶的需要比较长的时间学习,作为设备的制造商的设计人员,就必须掌握。
术语
性能等级 Performance level,简称 PL: 用于规�定控制系统安全相关部件在预期条件下执行安全功能的离散等级。
安全完整性等级 Safety integrity level,简称 SIL:一种离散的等级(四中可能等级之一),用于规定分配给 E/E/PE( Electrical/Electronic/Programmable Electronic 电气,电子和可编程电子)安全相关系统的安全功能的安全完整性要求。
注:SIL 在机械安全中,只用到 SIL1, SIL 2和 SIL3,等级依次提升。
PL 更适合机械系统中简单和低复杂度的安全功能,而 SIL 通常适用于高复杂度、带编程或电子控制的系统
基础工具(标准)
- ISO 12100:2010 对应的国家标准是GB/T 15706-2012 机械安全 设计通则 风险评估与风险减小
- ISO 13849-1:2023 最新版没有对应国家标准,旧版 ISO 13849-1:2015 对应的是 GB/T 16855.1-2018 机械安全 控制系统相关安全部件 第1 部分:设计通则。新标准已经将 ISO 13849-2部分进行了修订并融合。
- IEC 62061:2021 目前最新版没有对应的国家标准,旧版 IEC 62061:2005 对应的是 GB 28526-2012 机械电气安全 安全相关电气、电子和可编程电子控制系统的工程安全
为什么一定要用这些工具呢?
安全检查表之类的,就是我们说的第一步,可以说只是解决了是与否的问题。而且解决到什么水平才能被接受,有时候很难说清楚。 用风险评估的工具,在一定程度上能够去量化风险,然后借助风险降低的手段,再次评价这些手段能否让这风险达到可以接受的水平。
我们知道,绝对的安全是不存在的,安全与危险相伴随行,只要达到可以接受,我们就认为是相对安全。
机械安全PL
使用标准——ISO 13849
PL 的计算包括两种,我们以简单的风险图方式来计算。
其�中: S:伤害的严重性(Severity) S1 - 轻微(可逆伤害,如擦伤,可以恢复的轻微骨折) S2 - 严重(致命、不可逆伤害,如死亡,失明)
F:暴露于危险的频率(Frequency of Exposure) F1 - 较低(每年几次或更少) F2 - 较高(每天或每小时)
P:避免危险的可能性(Possibility of Avoidance) P1 - 容易避免 P2 - 难以避免
其中P 由五个因素进行确认:
- 由专家或非专业人员操作
- 危险产生的速度(例如快速或缓慢)
- 避免危险的可能性(例如通过逃逸)
- 与流程相关的实际安全经验
- 在有或没有监督的情况下操作
| 参数P的确定 - 因素 | A | B | C |
|---|---|---|---|
| 作业人员水平 | 专家 | 非专业人士 | |
| 可能导致危险事件的 机器部件的速度 | 低速或极低速时的事件 例:速度 ≤0.2m/s | 中速事件 例:0.2~1m/s | 高速 >1m/s |
| 避开危险的实际可能性 | 在至少50 %的情况下可能 | 在不到50 %的情况下可能 | 不可能 |
| 识别/感知危险的可能性 | 在至少50 %的情况下可能 | 只有在不到50%的情况下 才可能 | 不可能 |
| 操作的复杂性 | 低复杂性或无交互作用 | 中到高复杂性 |
确定 P(可能性)
如果C 列被选中,或者 B 列有 3 个以上,P 就为 P2。
通过 S,F,P 三个参数,确认最终的 PLr 是哪个等级。实际选用的使用只要高于或者等于这个等级即可。
风险图是最简单的计算方法,此外,还可以通过 PL 的三个参数【MTTFd(平均危险失效间隔时间)、DC(诊断覆盖率)、CCF(共因失效)】进行计算,过程相对复杂。可以简化如下:
| 参数/类别 | Cat B | Cat 1 | Cat 2(低 DCavg) | Cat 2(中 DCavg) | Cat 3(中 DCavg) | Cat 3(高 DCavg) | Cat 4 |
|---|---|---|---|---|---|---|---|
| 诊断覆盖率 (DCavg) | 无要求 | 无要求 | 低(<60%) | 中(60%-99%) | 中(60%-99%) | 高(≥99%) | 高(≥99%) |
| MTTFd - 低 | PL a | 不适用 | PL a | PL b | PL b | PL c | 不适用 |
| MTTFd - 中 | PL b | 不适用 | PL b | PL c | PL c | PL d | 不适用 |
| MTTFd - 高 | 不适用 | PL c | PL c | PL d | PL d | PL d | PL e |
| 共因失效 (CCF) | 无要求 | 无要求 | ≥ 65% | ≥ 65% | ≥ 65% | ≥ 65% | ≥ 65% |
| 特点 | 满足基础机械要求 | 可靠元件,无冗余或检测能�力 | 单通道,故障前提供预警 | 单通道,故障前提供更可靠预警 | 冗余设计,部分故障不影响安全功能 | 冗余设计,故障检测覆盖更高 | 完全冗余设计,可检测所有危险故障 |
| 应用场景 | 风险低场景 | 风险低但要求元件可靠的场景 | 中等风险的简单机械设备 | 中等风险的复杂机械设备 | 中高风险机械,如机器人防护门 | 高风险机械,需更高诊断能力 | 极高风险设备,如协作机器人或危险设备 |
这样,对应的系统设计类别(Category, 简写 Cat.)也有了。之后的系统设计就要思考如何去达到这些要求【具体见 GB/T 16855.1-2018 第6章:安全相关部件的类别(Category of SRP/CS)】。其实真正的计算过程远比这个复杂,还需要查询元器件的相关参数。EHS 需要掌握的是验证的方法,验证的方法可以通过机械设计人员通过一些软件进行计算并展示,如SISTEMA。
安全完整性等级-SIL
SIL——安全完整性等级不仅仅用于机械安全,在其他更加复杂的领域都会有涉及。用于机械安全的 SIL 分为 3 个等级,SIL1,SIL2,SIL3。计算方式如下:
方法1:可以通过与 PL 之间的关系来确定完整性等级(SIL)。
| PL | SIL |
|---|---|
| a | 无对应 |
| b | 1 |
| c | 1 |
| d | 2 |
| e | 3 |
⚠️注意:PL 和 SIL 的关系是对应,但不是完全相同的。
方法 2:用 IEC 62061 的方法计算
与安全功能相关的风险是根据IEC 62061标准估算的,并考虑到以下参数:
- 伤害严重程度(SE)
- 暴露的频率和持续时间(FR)
- 发生危险事件的概率(PR)
- 避免或限制伤害的可能性(AV
符合EN 62061的SIL分类
严重程度分类(Se)
| 后果 | 严重程度(S) |
|---|---|
| 不可逆:死亡,失去眼睛或手臂 | 4 |
| 不可逆:肢体骨折,手�指丢失 | 3 |
| 可逆:需要医生护理 | 2 |
| 可逆:需要急救 | 1 |
暴露频率和持续时间分类(Fr)
| 暴露频率 | 持续时间(FR) <= 10分钟 | 持续时间(Fr) > 10分钟 |
|---|---|---|
| ≥ 1 每小时 | 5 | 5 |
| <1每小时至≥ 1每天 | 4 | 5 |
| < 1每天至多≥ 1 每2周 | 3 | 4 |
| < 每2周1次,至多每年≥1次 | 2 | 3 |
| <1 每年 | 1 | 2 |
概率分类(Pr)
| 发生概率 | 概率(Pr) |
|---|---|
| 非常高 | 5 |
| 或许 | 4 |
| 可能 | 3 |
| 很少 | 2 |
| 可忽略 | 1 |
避免或限制危害的可能性分类(Av)
| 避免或限制伤害 | 避免和限制(P) |
|---|---|
| 不可能 | 5 |
| 极少发生 | 3 |
| 可能 | 1 |
最终的 SIL计算分配矩阵如下
此外,整个系统还需要考虑控制系统的结构,故障容错,安全失效比例以及随机风险。
SIL 相对 PL 来说相对复杂一些,如果需要的话,具体的就需要参考标准学习了。
举个例子
背景:
某工厂的机械手臂用于高强度生产环境,涉及搬运重物和精细装配工作。由于该设备操作频率高且接近人工作业区,工厂需要对其进行安全性评估并设计控制系统,确保风险在可接受范围内。
评估过程:
-
危险识别与风险评估:
- 使用 ISO 12100 标准对机械手臂的潜在危险进行识别,包括��夹持风险、碰撞风险和电气故障风险。
- 初步评估结果显示,机械手臂存在高风险,需要采用适当的安全功能进行控制。
-
性能等级(PL)的确定:
- 依据 ISO 13849 的风险图法:
- 严重性 S:S2(致命或不可逆伤害)。
- 暴露频率 F:F2(高频率,每天操作)。
- 避免可能性 P:P2(难以避免)。
- 根据风险图确定目标性能等级为 PL d。
- 依据 ISO 13849 的风险图法:
-
安全完整性等级(SIL)的确认:
- 根据 IEC 62061 标准计算:
- 伤害严重性(Se):4(死亡)。
- 暴露频率和持续时间(Fr):5(高频,持续时间>10分钟)。
- 危险事件的概率(Pr):4(可能)。
- 避免伤害的可能性(Av):3(极少发生)。
- 根据 SIL 评估矩阵确定安全完整性等级为 SIL 2。
- 根据 IEC 62061 标准计算:
-
设计与实施:
- 采用双冗余电路设计,确保一个通道发生故障时,另一个通道仍能正常工作。
- 引入实时诊断系统,持续监测设备状态,及时发现潜在故障。
- 选用符合标准的安全元件(如急停按钮、光栅传感器、地面扫描仪、检修安全门)和控制系统。
-
验证与测试:
- 使用 SISTEMA 软件计算设计方案是否达到 PL d 要求,同时确保 SIL 2 的安全功能覆盖率。
- 通过模拟常见故障(如传感器失效、电路断开),测试冗余电路和诊断系统的响应能力。
总结
风险评估永远是安全管理中非常重要的一步,对于机械安全来说,不管是设计,还是组装,还是使用,或者变更,都可以使用风险评估的方式对机械安全的性能以及完整性进行评估。当然,我们希望在设计阶段去完成,这样可以取得成本以及实现程度的优势。此外,确认 PL 和 SIL 之后,还需要通过系统,子系统和部件确认他们的能力,如果没有达到设计的要求,就应该提升Cat.类别,安全元件的能力,也可以是使用本质安全技术,防护或者信息减少等技术进行迭代。降低风险,达到可以接受的水平。