《安全标准相关说明.ppt》由会员分享,可在线阅读,更多相关《安全标准相关说明.ppt(82页珍藏版)》请在三一文库上搜索。
1、功能安全 新标准理论和实践,EN ISO 13849-1,Agenda,关于标准的当前状态 ISO 13849-1 定义 应用 设计过程 ISO 13849-1和IEC 62061的比较,Agenda,关于标准的当前状态 ISO 13849-1 定义 应用 设计过程 ISO 13849-1和IEC 62061的比较,关于标准的当前状态,安全标准控制系统与安全相关部分 EN 954-1 和机械指令相一致,用于CE认证 应用在电气机械系统、水压系统 IEC 61508 和机械指令不一致 定义了电子系统执行安全功能任务的需求 反映了技术发展水平,EN 954-1存在的问题,没有覆盖复杂的电子系统 可
2、编程电子系统 C单片机和ASICs系统的故障模式 没有关注安全功能的复杂性 没有涉及系统故障概率的要求 安全等级划分不明确,关于标准的当前状态,功能安全标准,IEC 61508: 1999 系统与安全相关的电气、电子、可编程电子系统E/E/PE的功能安全,Generic: Independent of Application,为什么需要功能安全?,过去,安全标准采取的是定性评估方法,但是现在: 控制系统变得越来越复杂 大多数的安全控制系统采用了复杂的零部件 行业需要安全设计,以减少风险,降低伤害,保护人、设备、加工材料 设计人员希望标准有利于应用,不要受标准的约束 系统需求减少系统故障,监控系
3、统的安全功能 依赖于系统或设备在操作条件下正确的输入信号 “功能安全“确保: 在正常条件下 在故障条件下 安全功能不丧失! “功能安全”和“电气安全”是不同的! 电气安全是保护免受触电,关于标准的当前状态,依赖于风险、故障概率的描述 安全等级 B,1,2,3,4 安全等级确定的 和风险之间的关系不明确 现在: SIL (Safety Integrity Level) / PL (Performance Level) 是一种定性评估的方法 明确了与风险之间的关系 系统故障评估的方法,关于标准的当前状态,功能安全标准,DIN EN ISO 13849-1 和2007年5月8日公报EC机械指令相一致
4、 将取代EN 954-1,2009年12月29日将正式生效 覆盖了气压系统、水压系统和机械安全控制系统 至高性能Performance Level等级 “e”(类似于SIL (1 3) MTTFd、 DC 、 CCF,Agenda,关于标准的当前状态 ISO 13849-1 定义 应用 设计过程 ISO 13849-1和IEC 62061的比较,定义,Performance Level (PL) 控制系统执行安全功能的能力,以每小时发生危险故障的概率表示,定义 PL,平均无危险故障时间:MTTFd,系统诊断检测范围:DC,共因故障预防与控制:CCF,=,+,平均无危险故障时间 MTTFd,lo
5、w,middle,high,时间 (年),100 年,30 年,10 年,3 年,Source: BGIA report,Not acceptable,定义,平均无危险故障时间 MTTFd 是统计值, 不是可以保证的寿命值 分成3种等级: 此值如果低于3,是不能接受的,定义,系统诊断检测范围 DC 通过所有的在线测试和诊断结果辨认 DC值来自于制造厂商或参见标准的表格附件E 同样,也可以根据评估,定义,系统诊断检测范围 DC 参考值,定义,共因故障预防与控制 CCF 多结构通道,用于防止由于相同的原因导致的故障 (CCF- common cause failures ) 此措施文件参见附件F表
6、格,定义,CCF值计算,定义,Agenda,关于标准的当前状态 ISO 13849-1 定义 应用 设计过程 ISO 13849-1和IEC 62061的比较,ISO 13849-1应用,安全功能设计,ISO 13849-1,Yes,Yes,Identification of the safety function that should be executed by the control,Determine type of safety function e.g. Stop, Inhibit Start, Muting,Determine Required Performance Leve
7、l (Risk graph) = PLr,Design the safety related part of the control system,Calculate the achieved Performance Level = PL,PL PLr ?,Validation,All safety functions analyzed?,Yes,No,No,No,对于每一个安全功能,ISO 13849-1应用,Safe Construction,Agenda,关于标准的当前状态 ISO 13849-1 定义 应用 设计过程 ISO 13849-1和IEC 62061的比较,设计过程,安全功能
8、设计 方法: PL等级定确定 设计和技术确认 PL等级确认 PL PLr? 控制系统确认,是否所有要求都符合?,PL定义,风险评估图,a,b,c,d,e,低风险,P1,P2,P1,P1,P1,P2,P2,P2,F1,F2,F1,F2,S1,S2,Start,高风险,S = 伤害的严重性 S1:轻微的, S2: 严重的, 不可恢复的 F = 风险发生的频率或暴露的时间 F1: 很少, F2: 频繁 P = 避免风险的可能性 P1: 可能, P2: 几乎不可能,设计过程,安全功能设计 方法: PL等级定确定 设计和技术确认 PL等级确认 PL PLr? 控制系统确认,是否所有要求都符合?,功能安全
9、设计,等级 B 4 EN 954-1指定的结构 (结构图) 根据需要达到的PLr等级选择合适的结构 等级对应关系一览: ISO 13849-1标准中没有其它的对应关系!,等级 B 4 根据需要达到的PLr等级选择合适的结构,功能安全设计,a,b,c,d,e,PL,Cat.B,Cat.1,Cat.2,Cat.2,Cat.3,Cat.3,Cat.4,DC 无,DC 无,DC 低,DC 中,DC 高,DC 低,DC 中,传感器 安全输入设备,电源控制设备 安全输出设备,逻辑处理设备 安全控制设备,安全功能设计 控制系统与安全相关的部分,安全防护装置 安全传感器 (输入),急停按钮,电磁门开关,双手控
10、制按钮,安全光栅,安全继电器,总线控制器,安全防护装置 安全控制部分 (逻辑),联动装置,接触器,AC驱动,ELR固态接触器,安全防护装置 安全输出部分 (输出),等级 B 系统组件: I:输入,传感器 L:逻辑,控制设备 O:输出,(马达-)开关 Im:相连线,定义,I,L,O,Im,Im,系统结构,等级 B 按照相关标准设计 应用基本安全原理 在指定的操作条件下使用 系统可容许故障 = 0 一个故障发生会导致安全功能的丧失! 主要通过选择比较好的零部件 至高可达到: PLmax = b,I,L,O,Im,Im,定义,等级 1 系统组件: I:输入,传感器 L:逻辑,控制设备 O:输出,(马
11、达-)开关 Im:相连线,系统结构,等级 1 满足等级B的要求 设计时使用比较好的零部件,以及使用安全设计原则(参见ISO 13849-2) 系统可容许故障 = 0 一个故障发生会导致安全功能的丧失!(但概率比等级B要低) 主要通过选择比较好的零部件 至高可达到: PLmax = c,等级 2 系统组件: TE:测试设备 OTE:测试设备输出部分,定义,系统结构,等级 2 满足等级B的要求 使用安全设计原则(参见ISO 13849-2) 安全功能必须在合理的时间间隔之间进行检测 设备启动时 优先于任何危险情况,系统结构,等级 2 系统可容许故障 = 0 在两个测试周期之间,一个故障可能导致安全
12、功能的丧失! 然而,周期性的测试可以发现这个故障。 主要通过结构设计 至高可达到: PLmax = d,等级 3,定义,系统结构,等级 3 满足等级B的要求 使用安全设计原则(参见ISO 13849-2) 系统可容许故障 = 1 当一个故障发生时,安全功能仍然保持; 一些,但不是所有的故障都能被发现; 未检测到的故障累计起来可能导致安全功能的丧失! 主要通过结构设计 至高可达到: PLmax = e,等级 4,定义,系统结构,等级 4 满足等级B的要求 使用安全设计原则(参见ISO 13849-2) 系统可容许故障 = 1 一个故障不会导致安全功能的丧失! 在下一个命令发生的时候或之前(例如:
13、接通或机器操作周期结束),这个故障会被发现,如果The single fault is detected at or before the next demand upon the safety functions, e.g. immediately, at switch on, or at end of a machine operating cycle 如果没有发现,累计故障也不会导致安全功能的丧失! 主要通过结构设计 至高可达到: PLmax = e,系统结构,对于电子系统,此标准适用于需要执行以下要求中的一种: 性能等级PLr = “a” 或 “b” 通过在故障条件下其特点已经有明确定
14、义的硬件,执行安全功能 可编程电子系统最高PLr 等级为“d” 例如:监视 最高PLr “d”安全功能通过不同的可编程电子系统执行 不同的应用软件、操作系统或硬件 与安全相关的部分(包括软件)需要执行合适的标准 (e.g. IEC 61508),软件,软件要求 All lifecycle activities of safety-related embedded or application software shall primarily consider the avoidance of faults introduced during the software lifecycle. Th
15、e main objective of requirements is to have readable, understandable, testable and maintainable software.,软件,软件类型 内置软件 硬件、 操作系统 应用软件 某种类型机械设备特殊控制软件 参数 参数配置的软件,软件,软件安全需求 软件安全生命周期 V 模型,技术规范,系统设计,模块设计,编码,模块测试,综合测试,确认,确认,Software,For safety-related embedded software (SRESW) components (PL a to d) Limite
16、d variability Language (LVL) Software safety lifecycle with V and V activities Documentation of specification and design Modular and structured design and coding Appropriate lifecycle activities after modifications,Software,Additional measures for PL c or d (Excerpt) Project management and quality m
17、anagement system comparable to, e.g. IEC 61508 or ISO 9001; Documentation of all relevant activities during software safety lifecycle; Configuration management to identify all configuration items and documents related to a SRESW release; Structured specification with safety requirements and design;
18、Use of suitable programming languages and computer-based tools with confidence from use; etc,Design,Designing a Safety Function Method: Determination of the required PL Design and technical realization Verification of the achieved PL; PL PLr? Validation of the control system; have all requirements b
19、een fulfilled?,Verification of PL,Evaluation of the probability of failure To determine the PL, the following is required MTTFd DC CCF Goal: a single value is to be determined for each characteristic,Interlock,Timer,Speed Monitor,SSM Relay,Verification of PL,Example: Protective door with inhibit,Fau
20、lt exclusion on F1,Category 3 structure,Protective Door,Verification of PL,Determination of MTTFd MTTFd Details from supplier Good engineering practice for MTTFd DIN EN ISO 13849-1, Appendix C The component manufacturer confirms well-tried safety principles (ISO 13849-2) The component manufacturer s
21、pecifies deterministic usage or application Well-tried safety principles are applied MTTFd = 10 years,Verification of PL,Evaluation of MTTFd Manufacturers information Downtime monitor for safety applications MTTFdK1 = 15,220 years Proof Test Interval 4.5 years,PL评估参数,电动机械部件MTTFd B10d- 值 发生10危险故障概率时,
22、开关动作的次数 B10d- 来自于制造厂商,或 B10d = 0.5 x B10 (发生故障,开关动作的次数) B10 供应商提供,我们认为其中50为危险故障 取决于应用中开关动作的频率,PL确认,MTTFd 和 B10d参数,来源: ISO 13849-1, 附件 C,PL确认,B10d 值转换成MTTFd,计算公式,= 平均动作次数/年 = 工作天数/年 = 工作小时/天 = 动作一次的时间(以s为时间单位),例如600s动作一次,Verification of PL,更换时间 T10d 零部件更换时间 零部件发生10%危险故障的平均时间 在故障概率太高时,零部件必须更换,Verifica
23、tion of PL,MTTFd评估 良好的工程使用习惯 限位开关 B10d = 400,000 动作次数 = MTTFdG1 = 76 years = T10dG1 = 7.6 years 即7.6年,产品需要更换一次,Verification of PL,MTTFd评估 良好的工程使用习惯 时间继电器 B10d = 400,000 动作次数 = MTTFdK2 = 76 years (机械的!) MTTFd(电气的) = 1,000 years (评估) MTTFdK2 (机械的!) + MTTFd(电气的) ?,Verification of PL,Evaluation of MTTFd
24、 由各个零部件的MTTFd,可以计算出整个系统的MTTFd值!,Verification of PL,Evaluation of MTTFd Using the Parts count method“ on K2 MTTFdMechanic = 76 years MTTFdElectronic = 1,000 years MTTFdK2 = 70.7 years T10dK2 = 7.6 years,Verification of PL,Evaluation of MTTFd Using the Parts count method“ on G1 and K1 MTTFdG1 = 76 yea
25、rs MTTFdK1 = 15,220 years MTTFdKanal1 = 75,6 years,Verification of PL,Evaluation of MTTFd Symmetrization of 2 channels,Verification of PL,Evaluation of DC Evaluation of DC for the components Manufacturers data Estimation according to measures in Annex E Example: G1: cross comparison without dynamic
26、test through K1: DC = 90 % K1: manufacturers data: DC = 90 % K2: forcibly guided contacts: DC = 99 %,Verification of PL,Evaluation of DC Estimation of DC for the complete control system Non tested parts DC = 0 Parts with fault exclusion MTTFd = ,Verification of PL,Evaluation of DC Estimation of DC f
27、or the complete control system Categorization DCavg: 90% DC 99% = middle,Verification of PL,Measures against CCF,Verification of PL,Determination of the achieved PL Possibilities to determine the PL Table in Annex K Category 3 DC = middle MTTFd = 73.2 years Resulting PL e“ 6.62 x 10-8 PFHd 7.68 x 10
28、-8,Verification of PL,Determination of the achieved PL From the diagram,PL e“,Verification of PL,Determination of the achieved PL Calculation with software Software: SiSteMa Support calculation of the PL Estimation of DC and CCF Includes documentation BG-Institute for Occupational Safety and Health
29、Internet: www.dguv.de/bgia,Verification of PL,Determination of the PL Alternative: Combination of different safety related control parts,PLInput,PLOutput,PLLogic,Verification of PL,Determination of the PL,Verification of PL,Example,功能需求 当有人站在下方的时候,安全门不能关闭 操作模式 自动,Verification of PL,PLr等级定义举例,S: 伤害的严
30、重性 F: 风险发生频率 P: 避免风险的可能性,Verification of PL,控制系统设计案例,Eingang,Logik,Ausgang,PL e,PL e,PL e,Result: PLlow = e; n (PLlow) =3 = PL e,Design,Designing a Safety Function Method: Determination of the required PL; = PLr from risk graph Design and technical realization Verification of the achieved PL; PL PLr
31、? Validation of the control system; have all requirements been fulfilled?,Validation,Use of ISO 13849-2 Validation Proven tests (analysis and testing) of the safety function and categories Objective: Test of compliancy with the general safety requirements and proof of compliancy with ISO 13849-1 Met
32、hod: Tests and analysis in accordance with the validation plan,Validation,Validation in Detail Tests: Have all requirements of the stated category been fulfilled? Are the safety characteristics fulfilled? Elements of a validation Validation plan Test specification, test and analysis procedure Documentation,Agenda,关于标准的当前状态 ISO 13849-1 定义 应用 设计过程 ISO 13849-1和IEC 62061的比较,IEC 62061 和 EN 13849-1 比较,10-4,10-5,3 x 10-6,10-6,10-7,10-8,a,b,c,d,e,PFHd,PL,SIL 1,SIL 2,SIL 3,SIL Level,功能安全标准,低风险,高风险,IEC 13849-1 和 ISO 62061,功能安全标准,