机械安全风险评估基础
在机械设备生命周期的早期阶段进行安全设计,不论从效果还是成本来看,都是最优的。上一篇,我们简单的描述了机械安全的危险。虽然这些基础工作很重要,但随着机械设备复杂度增加,功能实现难度也随之提升。单纯的这种“危险源⇌治理”的方式和思路很难去解决这些复杂的安全问题。那这个时候,我们就要考虑系统化的思维去解决。当然危险的识别是系统化处理风险的第一步。整体步骤可以按以下进行,最终实现安全完整性。
| 步骤 | 考虑的内容 | 方法 |
|---|---|---|
| Step 1 | 对象的危险有哪些 | 危险识别 |
| Step 2 | 危险的风险有多大 | 风险评估 |
| Step 3 | 这些风险如何转化为安全要求 | 安全功能辨识 |
| Step 4 | 这些安全功能的能力高低 | 安全完整性确定 |
风险评估工具:常用工具包括安全检查表、HAZOP(危险与可操作性分析)、FTA(故障树分析)、SISTEMA 软件等。这些工具可以帮助系统化识别危险并评估风险等级。
危险(源)和风险的概念,这里也澄清一下,对后续的文章就不再解释。ISO45001 的定义如下:
危险源 hazard: 可能导致伤害和健康伤害的来源;
风险 Risk:不确定的影响。
注 4:通常,风险以潜在“事件”的后果以及其发生的“可能性”的组合来表述。
所以安全的风险,一般是以危险源造成预期伤害后果的严重性和可能性来表示。
在机械安全文章的第一篇文章,我们提到了关于法律法规和标准体系。在我国标准全面对标ISO,IEC,EN 的大背景下,我们就以这些标准作为工作标准,去完善我们的安全评价和管理工作。
既然是系统的工程,那这个工作量不小,难度也不小,需要掌握的知识点也不少。在风险评估中,机械安全性能等级 PL(Performance Level) 和 安全性完整性等级 SIL(Safety Integrity Level) 是关键指标,它们帮助我们衡量和设计机械设备的安全性能。本篇文章用最基础的方式来谈风险评估,这也是我们作为EHS 人员的一个基本入门的操作。完整的,高阶的需要比较长的时间学习,作为设备的制造商的设计人员,就必须掌握。
术语
性能等级 Performance level,简称 PL: 用于规定控制系统安全相关部件在预期条件下执行安全功能的离散等级。
安全完整性等级 Safety integrity level,简称 SIL:一种离散的等级(四中可能等级之一),用�于规定分配给 E/E/PE( Electrical/Electronic/Programmable Electronic 电气,电子和可编程电子)安全相关系统的安全功能的安全完整性要求。
注:SIL 在机械安全中,只用到 SIL1, SIL 2和 SIL3,等级依次提升。
PL 更适合机械系统中简单和低复杂度的安全功能,而 SIL 通常适用于高复杂度、带编程或电子控制的系统
基础工具(标准)
- ISO 12100:2010 对应的国家标准是GB/T 15706-2012 机械安全 设计通则 风险评估与风险减小
- ISO 13849-1:2023 最新版没有对应国家标准,旧版 ISO 13849-1:2015 对应的是 GB/T 16855.1-2018 机械安全 控制系统相关安全部件 第1 部分:设计通则。新标准已经将 ISO 13849-2部分进行了修订并融合。
- IEC 62061:2021 目前最新版没有对应的国家标准,旧版 IEC 62061:2005 对应的是 GB 28526-2012 机械电气安全 安全相关电气、电子和可编程电子控制系统的工程安全
为什么一定要用这些工具呢?
安全检查表之类的,就是我们说的第一步,可以说只是解决了是与否的问题。而且解决到什么水平才能被接受,有时候很难说清楚。 用风险评估的工具,在一定程度上能够去量化风险,然后借助风险降低的手段,再次评价这些手段能否让这风险达到可以接受的水平。
我们知道,绝对的安全是不存在的,安全与危险相伴随行,只要达到可以接受,我们就认为是相对安全。
机械安全PL
使用标准——ISO 13849
PL 的计算包括两种,我们以简单的风险图方式来计算。
其中: S:伤害的严重性(Severity) S1 - 轻微(可逆伤害,如擦伤,可以恢复的轻微骨折) S2 - 严重(致命、不可逆伤害,如死亡,失明)
F:暴露于危险的频率(Frequency of Exposure) F1 - 较低(每年几次或更少) F2 - 较高(每天或每小时)
P:避免危险的可能性(Possibility of Avoidance) P1 - 容易避免 P2 - 难以避免
其中P 由五个因素进行确认:
- 由专家或非专业人员操作
- 危险产生的速度(例如快速或缓慢)
- 避免危险的可能性(例如通过逃逸)
- 与流程相关的实际安全经验
- 在有或没有监督的情况下操作
| 参数P的确定 - 因素 | A | B | C |
|---|---|---|---|
| 作业人员水平 | 专家 | 非专业人士 | |
| 可能导致危险事件的 机器部件的速度 | 低速或极低速时的事件 例:速度 ≤0.2m/s | 中速事件 例:0.2~1m/s | 高速 >1m/s |
| 避开危险的实际可能性 | 在至少50 %的情况下可能 | 在不到50 %的情况下可能 | 不可能 |
| 识别/感知危险的可能性 | 在至少50 %的情况下可能 | 只有在不到50%的情况下 才可能 | 不可能 |
| 操作的复杂性 | 低复杂性或无交互作用 | 中到高复杂性 |
确定 P(可能性)
如果C 列被选中,或者 B 列有 3 个以上,P 就为 P2。
通过 S,F,P 三个参数,确认��最终的 PLr 是哪个等级。实际选用的使用只要高于或者等于这个等级即可。
风险图是最简单的计算方法,此外,还可以通过 PL 的三个参数【MTTFd(平均危险失效间隔时间)、DC(诊断覆盖率)、CCF(共因失效)】进行计算,过程相对复杂。可以简化如下:
| 参数/类别 | Cat B | Cat 1 | Cat 2(低 DCavg) | Cat 2(中 DCavg) | Cat 3(中 DCavg) | Cat 3(高 DCavg) | Cat 4 |
|---|---|---|---|---|---|---|---|
| 诊断覆盖率 (DCavg) | 无要求 | 无要求 | 低(<60%) | 中(60%-99%) | 中(60%-99%) | 高(≥99%) | 高(≥99%) |
| MTTFd - 低 | PL a | 不适用 | PL a | PL b | PL b | PL c | 不适用 |
| MTTFd - 中 | PL b | 不适用 | PL b | PL c | PL c | PL d | 不适用 |
| MTTFd - 高 | 不适用 | PL c | PL c | PL d | PL d | PL d | PL e |
| 共因失效 (CCF) | 无要求 | 无要求 | ≥ 65% | ≥ 65% | ≥ 65% | ≥ 65% | ≥ 65% |
| 特点 | 满足基础机械要求 | 可靠元件,无冗余或检测能力 | 单通道,故障前提供预警 | 单通道,故障前提供更可靠预警 | 冗余设计,部分故障不影响安全功能 | 冗余设计,故障检测覆盖更高 | 完全冗余设计,可检测所有危险故障 |
| 应用场景 | 风险低场景 | 风险低但要求元件可靠的场景 | 中等风险的简单机械设备 | 中等风险的复杂机械设备 | 中高风险机械,如机器人防护门 | 高风险机械,需更高诊断能力 | 极高风险设备,如协作机器人或危险设备 |
这样,对应的系统设计类别(Category, 简写 Cat.)也有了。之后的系统设计就要思考如何去达到这些要求【具体见 GB/T 16855.1-2018 第6章:安全相关部件的类别(Category of SRP/CS)】。其实真正的计算过程远比这个复杂,还需要查询元器件的相关参数。EHS 需要掌握的是验证的方法,验证的方法可以通过机械设计人员通过一些软件进行计算并展示,如SISTEMA。
安全完整性等级-SIL
SIL——安全完整性等级不仅仅用于机械安全,在其他更加复杂的领域都会有涉及。用于机械安全的 SIL 分为 3 个等级,SIL1,SIL2,SIL3。计算方式如下:
方法1:可以通过与 PL 之间的关系来确定完整性等级(SIL)。
| PL | SIL |
|---|---|
| a | 无对应 |
| b | 1 |
| c | 1 |
| d | 2 |
| e | 3 |
⚠️注意:PL 和 SIL 的关系是对应,但不是完全相同的。
方法 2:用 IEC 62061 的方法计算
与安全功能相关的风险是根据IEC 62061标准估算的,并考虑到以下参数:
- 伤害严重程度(SE)
- 暴露的频率和持续时间(FR)
- 发生危险事件的概率(PR)
- 避免或限制伤害的可能性(AV
符合EN 62061的SIL分类
严重程度分类(Se)
| 后果 | 严重程度(S) |
|---|---|
| 不可逆:死亡,失去眼睛或手臂 | 4 |
| 不可逆:肢体骨折,手指丢失 | 3 |
| 可逆:需要医生护理 | 2 |
| 可逆:需要急救 | 1 |
暴露频率和持续时间分类(Fr)
| 暴露频率 | 持续时间(FR) <= 10分钟 | 持续时间(Fr) > 10分钟 |
|---|---|---|
| ≥ 1 每小时 | 5 | 5 |
| <1每小时至≥ 1每天 | 4 | 5 |
| < 1每天至多≥ 1 每2周 | 3 | 4 |
| < 每2周1次,至多每年≥1次 | 2 | 3 |
| <1 每年 | 1 | 2 |
概率分类(Pr)
| 发生概率 | 概率(Pr) |
|---|---|
| 非常高 | 5 |
| 或许 | 4 |
| 可能 | 3 |
| 很少 | 2 |
| 可忽略 | 1 |
避免或限制危害的可能性分类(Av)
| 避免或限制伤�害 | 避免和限制(P) |
|---|---|
| 不可能 | 5 |
| 极少发生 | 3 |
| 可能 | 1 |
最终的 SIL计算分配矩阵如下
此外,整个系统还需要考虑控制系统的结构,故障容错,安全失效比例以及随机风险。
SIL 相对 PL 来说相对复杂一些,如果需要的话,具体的就需要参考标准学习了。
举个例子
背景:
某工厂的机械手臂用于高强度生产环境,涉及搬运重物和精细装配工作。由于该设备操作频率高且接近人工作业区,工厂需要对其进行安全性评估并设计控制系统,确保风险在可接受范围内。
评估过程:
-
危险识别与风险评估:
- 使用 ISO 12100 标准对机械手臂的潜在危险进行识别,包括夹持风险、碰撞风险和电气故障风险。
- 初步评估结果显示,机械手臂存在高风险,需要采用适当的安全功能进行控制。
-
性能等级(PL)的确定:
- 依据 ISO 13849 的风险图法:
- 严重性 S:S2(致命或不可逆伤害)。
- 暴露频率 F:F2(高频率,每天操作)。
- 避免可能性 P:P2(难以避免)。
- 根据风险图确定目标性能等级为 PL d。
- 依据 ISO 13849 的风险图法:
-
安全完整性等级(SIL)的确认:
- 根据 IEC 62061 标准计算:
- 伤害严重性(Se):4(死亡)。
- 暴露频率和持续时间(Fr):5(高频,持续时间>10分钟)。
- 危险事件的概率(Pr):4(可能)。
- 避免伤害的可能性(Av):3(极少发生)。
- 根据 SIL 评估矩阵确定安全完整性等级为 SIL 2。
- 根据 IEC 62061 标准计算:
-
设计与实施:
- 采用双冗余电路设计,确保一个通道发生故障时,另一个通道仍能正常工作。
- 引入实时诊断系统,持续监测设备状态,及时发现潜在故障。
- 选用符合标准的安全元件(如急停按钮、光栅传感器、地面扫描仪、检修安全门)和控制系统。
-
验证与测试:
- 使用 SISTEMA 软件计算设计方案是否达到 PL d 要求,同时确保 SIL 2 的安全功能覆盖率。
- 通过模拟常见故障(如传感器失效、电路断开),测试冗余电路和诊断系统的响应能力。
总结
风险评估永远是安全管理中非常重要的一步,对于机械安全来说,不管是设计,还是组装,还是使用,或者变更,都可以使用风险评估的方式对机械安全的性能以��及完整性进行评估。当然,我们希望在设计阶段去完成,这样可以取得成本以及实现程度的优势。此外,确认 PL 和 SIL 之后,还需要通过系统,子系统和部件确认他们的能力,如果没有达到设计的要求,就应该提升Cat.类别,安全元件的能力,也可以是使用本质安全技术,防护或者信息减少等技术进行迭代。降低风险,达到可以接受的水平。