评估风险

“只要告诉我，我应该如何建造这些东西，以符合当前的安全要求，避免受伤、罚款和诉讼。”这是工程师想知道的。然而，最新的安全法规增加了灵活性，特别是对于离散制造应用，其中应用安全完整性水平(SIL)概念相对较新。

通过马克·霍斯克二六年一月一日

一目了然

离散制造的安全完整性等级
评估、分析、缓和、重复
变化?再次检查
最安全的方式应该是最有效的

栏:
工具有助于将SIL应用于离散制造
风险领域

“只要告诉我，我应该如何制造这些东西，以符合目前的安全要求，避免受伤、罚款和诉讼。”这正是工程师们想知道的。
然而，最新的安全法规增加了灵活性，特别是对于离散制造应用，其中应用安全完整性水平(SIL)概念相对较新。(之前控制工程文章已经解释了在过程应用程序中使用SIL。SIL使用统计数据来表示通过系统需求发生的过程的安全仪表系统的可靠性。与安全类别0到4一样，SIL级别越高，控制越可靠。

监管的灵活性可以解放一些工程师，也可以让另一些工程师感到困惑。解决风险应该是任何设计过程的一部分，在人员、流程、机械和生产线发生变化时继续进行。当法规以性能为目标时，那些设计、集成和应用系统的人将使设计与期望的风险相匹配。虽然一些特定应用程序的规定仍然适用，但在其他应用程序中没有规定特定的设计，这为优化成本提供了巨大的灵活性。

优势和挑战在于，你可以做工程。

终身学习

与风险评估相关的国际电工委员会标准包括IEC 61508和最近的IEC 60204-1和功能安全标准IEC 62061 (BS EN 62061:2005)。在对这些标准有了一定的了解之后——这可能需要经常的，有些人说是终生的学习——是时候应用它们了，或者在公司内外聘请工具和专家来提供帮助。(参见“工具帮助应用SIL”侧栏。)

为了应用安全标准，专家建议对您选择采取的步骤进行周期性审查和分析，以及应用降低风险的设备和培训。(见“风险评估”图表。)

以下是在任何开始风险降低计划的设施中使用的顶级风险评估步骤的描述。

确定可接受的风险水平通过选择评估应该满足的SIL级别或类别级别评级。

SIL等级(1、2、3和4)提供了随着时间的推移发生危险故障的概率，可用于测量设备提供的风险降低范围。SIL的选择决定了需要降低多少风险。用SIL安全措施降低风险是:

1级- 10 - 100次;
2级:100 - 1000次;和
3级风险降低1000 - 10000倍。

SIL 3被认为是使用一个可编程电子系统可达到的最高风险降低水平。(参见“安全完整性等级……”表格和“SIL选择……”图表。)风险降低是指当前的风险水平与寻求的风险水平之间的差异。

SIL是一个类似于安全类别级别0-4 (EN 954)的概念，这可能在离散制造商中更常见。然而，对于混合过程和离散制造的工厂，使用过程危害分析(包含SIL)或类别)，可以比使用SIL更容易和类别。这种类型的分析可能是饮料厂的首选选择，同时也装瓶和装箱的产品，或金属拉伸过程，然后印章件。

从选择谁来寻找危险开始。跨职能团队可以提供超越个人观点的视角。控制工程师、操作员、维护技术人员和保管员都可能对不同情况下的风险和风险规避有见解。(见“风险领域”图。)

谁，在哪里，什么时候……

找出需要评估的领域设备、机器设计、一般区域或完整的生产线或系统。

一般来说，安全仪表系统是由传感器、逻辑解算器和最终控制元件(执行器)组成的系统，当违反安全条件时，系统允许安全操作/关闭，以减轻进一步的危险。条例允许将安全和控制结合起来，使以前需要单独的安全机制和控制的地方成为一个系统。

为过程执行评估时选择的时间会在工作、时间和费用方面产生差异。在设计过程中做得越早越好。与设备就位后相比，在设计或模拟阶段进行安全更改成本更低，效率更高。

列出危险从多个角度和环境来审视每一种情况。确保在调试、操作和维护模式之间有清晰的描述;看看每一个以及它们之间的过渡。确保所有设计和安装的安全设备成为任何能够接近该区域的人员的培训文件的一部分。

机器人单元可以锁得很紧，但维护和设置可能需要人员与机器人近距离接触，以便逐步通过或教授程序。

传输线在正常运行时可能是安全的，直到物料以不稳定的方式倒流或发生严重堵塞。

团队多样性也可以提高工作效率。作业公司可能会对潜在的危险事件提供见解，这些事件可能是罕见的、季节性的，或者只发生在特定的设置中，或者在运行特定的作业时(但仍然需要改变设计)。如果错过了一项维护，维护人员可能会指出潜在的故障(和解决方案)。

应用程序问题

应用程序会产生影响。例如，如果电源有单点故障，冗余控制器的设计可能会提供远低于预期的安全性。

再举一个例子，在要求使用4类光幕保护的应用中使用2类光幕会产生不必要的风险。

如果有些东西“需要”非正式的变通方法，那么设计肯定需要重新审视。

分析风险根据严重性和概率。评估和概率分析是基于故障率和失效模式数据。对于任何潜在的危害来源，要弄清楚风险有多严重，它们发生的频率有多高，并将两者结合起来。

典型的保护功能是，一台机器通常会有不止一种保护手段，可能是主要的外围保护或电子保护，如光幕。如果他们失败了会有多糟糕;他们失败的频率是多少?

例如，一个人走路，然后掉到大多数地板上，几乎不会受伤。从垂直方向跌落到水平方向可能会危及生命的情况非常罕见，所以风险很低。如果低风险是可以接受的，那么就不需要修改。然而，在某些地区，跌倒可能会造成很大的伤害，所以可能需要一些改变。

列出安全功能，并为每个功能指定一个SIL等级。然后机械设计师或系统集成商需要设计保护功能以满足SIL等级(和/或类别)。

降低风险，如有需要。

在步行的例子中，栏杆可以降低在绊倒可能造成巨大伤害的地方的风险。

一些基于机器的风险降低可能需要超温停机、速度限制或机器安全停机。对于每种情况，都需要确定并指定每种SIL等级需要减少多少。

收缩包装机可能存在挤压或机械危险。用其他防护装置防护或隔离可能会阻止伤害。

如果涉及到火焰或加热器，可以使用过热保护或火焰探测器保护。

对一些人来说，可能需要改变设计;没有一件安全设备可以减轻所有的危险。幸运的是，生活中的大多数事情在讨论结束时都不需要安全功能。

即便如此，还有规则编写、检查和测试要做。设备的概率失效分析应符合每台设备的SIL要求。为每一个应用安全功能，做一个风险评估，然后重新检查设计。打印输出，报告和文件是必需的。保护层分析(LOPA)研究，据说可以在没有过度努力或复杂程序的情况下进行可能性估计，可以对各种危害进行评估。

如果伤害的后果和可能性超过了为设备选择的计算风险水平，那么设计师、集成商或最终用户必须选择更好的设备，增加更多的安全/冗余，或更频繁地测试——这三种方法可以使保护功能更安全。

从这一点开始，通常的工程流程随之而来。唯一的新东西是风险的概率评估。

不要做过头;再来一次

过度设计安全会违背目的;最好的设计应该确保最快、最有效的操作方式同时也是最安全、最实用的。这个过程需要保持活跃。当人员、流程、设备或法规发生变化时，提供培训并重新检查风险。

安全完整性等级(SIL)可以帮助降低风险

银	目标风险降低系数和安全可用性	按需故障的目标平均概率
注:很少需要sil -4级的应用(例如核发电厂的某些区域);标准警告说，不应该使用一个可编程安全系统来满足SIL 4的要求。源:控制工程数据来自IEC 61511-1表3
1(90 - 99%)	10到100	0.1 ~ 0.01
2(99 - 99.9%)	100到1000	0.01 ~ 0.001
3.(99.9 - -99.99%	1000到10000	0.001 ~ 0.0001
4(> 99.99%)	> 10000	0.0001

相关资源控制工程包括:

“开放系统可靠性”
机器改造和安全
“接触机器安全”

其他资源包括:

ANSI(美国国家标准协会)
EN(欧洲标准)
国际电工委员会
ISA(仪表、系统和自动化学会)
美国(美国消防协会)
OSHA(职业安全与健康管理局)
RIA(机器人工业协会)
UL(Underwriters Laboratories, Inc.)

作者信息

威廉·戈布尔博士，联合创始人兼总裁

工具有助于将SIL应用于离散制造

仅仅阅读一项法规对于评估一个安全设计是远远不够的，因为它会与其他“标准”进行自由的交叉参考。顾问、系统集成商和软件供应商可以帮助应用安全完整性水平来降低离散制造应用的风险。安全应用的方式因行业、设备和地区而异。

监管知识会有所帮助。
2005年10月是IEC 60204-1机械安全-机器电气设备-第1部分:一般要求的发布日期，它适用于在工作时不能用手携带的机器上的电气、电子和可编程电子设备和系统的应用，包括以协调方式一起工作的一组机器。(NFPA 70相关)。
2005年7月是IEC 62061 Corr.1 {Ed.1.0}双语勘误表1 -机械安全-与安全相关的电气、电子和可编程电子控制系统的功能安全的发布日期。“看到
其他包括ANSI RIA 15.06机器人安全要求，ANSI B11.19防护性能标准，ANSI B11.20细胞防护要求，以及ISO 13849-1和13849-2。

参加课程。最近的一项研究

在控制工程自动化集成商指南www.globalelove.com/integrators，安全专业知识可在以下“工程专业”中找到:机器制造/改造;机械设计/控制;机床;制造工程;制造计划;法规遵从性;以及安全/安保等。

在

使用风险评估软件帮助遵守法规。内置清单，数据库，文档，设备清单，图形，矩阵，目标，表和文档可以帮助。例如，参见:

在线阅读这篇文章