Australia
选择国家
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

IEC 62061 SIL - 结论

 

注意

如果用于构建 SRECS安全相关的 PLC 系统、安全总线、驱动器、安全光幕,以及配有完整的可编程逻辑和嵌入式软件的安全设备都应当符合适当的产品标准(如适用)和 IEC 61508

 

机器安全 – 安全相关电气、电子和可编程电子控制系统的功能安全

 

IEC 62061 IEC 61508 演化而来安全相关电气、电子和可编程电子控制系统的功能安全。

IEC 61508 是电气、电子、可编程电子系统的安全功能的国际参照标准。该标准由 7 部分组成。前 3 个部分指定硬件和软件的安全要求,其余部分则是为了更好地应用前 3 个部分介绍的应用。

IEC 62061 保留了 IEC 61508 的特点,但简化了安全要求(硬件和软件),以适用工业机械的特定需求。

 

安全要求仅针对高要求模式,即安全功能要高于一年。

该标准基于 2 个基本方面:

  • 安全功能的管理
  • 安全完整性等级

操作安全管理

规定了功能安全等级在设计方面的要求,内容包括分派安全要求、文件编制、设计管理,以及最终的验证确认。

每项设计都要有相应的功能安全方案,此类方案应妥善编写、归档并在必要时进行更新。

功能安全方案须指定设计和实施安全系统所需的人员、功能和资源。

安全完整性等级 (SIL )

评级的方法及要求如下:

  • 明确每种要采用的安全相关功能的功能化要求
  • 为每种设想的安全功能评定安全完整性等级 (SIL)
  • 允许 SRECS 设计与要采用的安全功能相适应
  • 确认 SRECS

 

SIL等级评定

请使用附录 A 中评定 SIL 等级的方法(虽然标准也允许使用 IEC 61508-5 中的技术)。

必须对下列各项危险进行评估:

  • 可能发生损伤的严重程度 (Se)
  • 暴露在危险中的频率和时间 (Fr)
  • 发生与机器运行模式相关的危险事件概率 (Pr)
  • 避免危险的能力 (Av)。避免危险的难度越大,避免危险的能力数值就越高。

下表取自标准 IEC 62061 的表 A3,有助于评定安全功能的 SIL 等级。


fig9
OM(其他措施)= 推荐使用其他参数。

将危险发生频率、危险发生可能性和避免危险能力的数值求和,即为预估的危险等级:

Cl = Fr + Pr + Av

 

为计算 SIL 等级,须根据认定的严重程度 (Se) 调整实际的 CI 值。

该过程需要反复进行。实际上,根据所执行的保护操作,部分参数(如 Fr 或者 Pr)可能会有所变化,而在 SIL 等级评定过程中,必须针对参数变化反复采用新数值。

内含 3 个等级: SIL 1SIL 2SIL 3

 

平均每小时发生严重故障的概率 (PFHd)

 

fig10

 

图3 IEC 62061

 

因此,SIL 等级是指为 SRECS 在制定的操作环境和时间内所达到的安全完整性评定的安全等级。

 

用于定义 SIL 等级(安全完整性等级)的参数是平均每小时发生严重故障的概率 (PFHd)

 

SIL 等级越高,SRECS 没有按照预期安全运行的可能性就越低。

 

SIL 等级必须根据风险分析的结果为每个安全功能进行定义。

研发和设计流程

每一个通过风险分析认定的安全相关功能,应当按照如下内容进行描述:

  • 运行要求(运行模式、循环时间、环境条件、响应时间、连接其他部件或项目的接口类型、EMC 电磁兼容等级等)
  • 安全要求 (SIL)

每一个安全功能都要分解为功能模块,如输入数据的功能模块、逻辑数据处理的功能模块、输出数据的功能模块。

 

子系统与每一个功能模块相联系。
子系统由依次相互形成交叉连接的电气部件组成。电气部件又称为子系统部件。

 

运用SRECS技术会产生下图所示的典型结构(该实例为通过光电幕布进行进入控制)。


fig11

 

为了符合认定的操作和安全要求,SRECS 应当满足以下要求:



fig12
每一个子系统应当由与所要求的 SIL 等级相匹配的电气电路组成。

子系统所能达到的 SIL 等级最大值是由 SILCLSIL 公开限制)决定的。

子系统的 SILCL 取决于PFHd、结构限制、机器故障时的性能,以及控制和避免系统故障的能力。

安全相关软件

根据软件的类型,软件设计代码必须依据参考标准制定:


fig13

 

 

重要信息!
概率只是影响达到 SIL 的因素之一。
如要申请特定的 SIL,申请者必须拥有相关的文件证明:
  • 采取适当的管理措施和技术,以达到要求的运行安全等级
  • 现场摆放最新的运行安全方案
  • 尽可能避免系统性故障
  • 在实际环境下,通过检查和测试对安全系统性能进行评估
  • 采取所有必要的组织措施之后,再进行软件开发

 


子系统 PFHd 的计算

为了计算出子系统 PFHd,首先要选择框架类型。标准推荐了四种预定义框架,并为每种框架都提供了不同的简化公式。
该计算需要使用以下参数:

λd
每个子系统发生危险失效的概率。通过已知的故障率 A、所有故障模式的失效率百分比和失效后的子系统性能分。

T1 验证测试。工业机械的验证测试间隔(外部检查和维修,以确保系统完好如初)通常与产品使用寿命(20 年)相一致。

T2诊断功能的测试间隔。根据所使用的设计和设备,可以通过同一 SRECS 或者其它 SRECS 的内部电路执行诊断功能。

DC诊断覆盖率:
该参数表示检测出的危险故障占所有可能的危险故障的百分比。
DC 数值取决于所应用的自诊断技术。
如果以下假设成立,那么我们所定义的诊断覆盖率 (DC) 参数可以用来估计所采用的自诊断技术的有效性:故障总有可能发生(否则对 A 的定义将毫无意义);故障检测机制并不一定都有效而灵敏(取决于某些可能需要花费更长时间的故障类型);无法检测出所有的故障;采用合适的电路架构并进行有效的测试,可以检测出最危险的故障。
由于所应用的诊断技术,IEC 62061 并没有提供获取 DC 的数据。然而,可以使用 IEC 61508-2 附录 A 的数据机型计算。

β共因失效的因素。可以用来测量冗余通道系统独立运行的程度。

通过 IEC 62061 的公式,已经计算了子系统的 PFHd,这对于确保通过 IEC 62061 表格 3 计算 SILCL 十分重要(参见第 21 页)。该 SILCL 要与子系统上所得的 SILCL 的最大值在结构限制上相兼容,这受到结构的硬件故障容差和下表所列 SFF 的限制。

 

安全失效分数 (SFF) 硬件故障容差
0 1 2
SFF < 60% 不允许 SIL 1 SIL 2
60% ≤ SFF < 90% SIL 1 SIL 2 SIL 3
90% ≤ SFF < 99% SIL 2 SIL 3 SIL 3
SFF ≥ 99% SIL 3 SIL 3 SIL 3
(IEC 62061的表5)

 

根据定义,子系统安全失效分数 (SFF) 是指不包括危险失效的所有失效率的百分比。

SFF = (Σλs + Σλdd) / (Σλs + Σλdd + Σλdu).


通过已知的诊断技术的有效性,可以算出 λdd(检测到危险失效的概率)和 λdu(检测不到危险失效的概率)。

如果已知每个子系统的 PFHd 值和 SILCL 值,那么就可以计算出所有的 SRECS SIL

SRECS 每小时发生危险故障的总体概率等同于所有子系统每小时发生危险失效概率的总和,如有必要,还应当包含安全通讯线路每小时发生危险失效的概率 (PTE)

PFHD = PFHD1 + ... + PFHDN +PTE


如果已知 PFHd 值,可以通过表 3 获取 SRECS SIL
应将 SIL 与每个子系统的 SILCL 相比较,公开声明的 SRECS SIL 等级应小于或者等于任何子系统的 SILCL 最低值。


示例:


fig14

当子系统包含两个或两个以上不同 SIL 等级要求的安全相关功能时,应当取最高的 SIL 等级。

 

结论


IEC 61508 相比,ISO 13849-1 所规定的流程简化了估算平均每小时危险故障概率的过程,从而提供了更加满足机床工业要求的实用方法。

 

通过保留等级和其他基本概念(如久经考验的组件等),确保了与 EN 954:1996 的概念无缝对接。

 

虽然与 EN 954-1:1996 保持了紧密的连续性,但是EN ISO 13849-1还是存在局限性。预计采用复杂技术以及不同的架构时,根据 IEC 62061 进行设计则更为恰当。

 

如使用依照 EN ISO 13849-1 标准设计的设备和/或子系统,IEC 62061 标准已阐释了将其整合进 SRECS 的方法。

 

很难界定 PL SIL 之间明确的一一对等关系。

 

然而,当 PL SIL 使用相同的概念(即平均每小时危险失效概率)时,即可在概率方面将两者进行比较,以此明确克服故障的难易程度。

 

另外,尽管两个标准中过对于概率的定义相同,但是由于计算的精确程度不同,最终的PFHd结果也会有所不同。

 

实际上,为了评估 PFHdIEC 62061 基于可靠性理论公式指定了相应的流程。在部分情形下(如采取减少部件数量、应用高效的自诊断技术),计算出的结果数值可能极低,即最终评定结果极佳。

 

为了简化并加快平均每小时危险失效概率的评估过程,ISO 13849-1 采用了近似值表格,这一方法需要考虑最坏的情形,因此计算出的结果数值偏高,即评级低于运用 IEC 62061 计算出的评级结果。