Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 62061:机械安全——安全相关电气控制系统功能安全
基于SIL的机器安全控制系统设计方法
标准概述与适用范围
IEC 62061是机械行业专用的功能安全标准,源自通用的IEC 61508框架。其全称为”机械安全——安全相关电气、电子和可编程电子控制系统的功能安全”,为机械应用中的安全相关电气控制系统(SRECS)的设计和验证提供了结构化的方法论。该标准填补了一个关键空白:随着机器日益自动化并依赖复杂的可编程电子设备来执行安全功能,设计人员需要一种系统化的方法来确保控制系统的故障不会导致危险状况。
该标准适用于单独或组合使用的控制系统,用于执行非手提式机械的安全相关控制功能,包括协同工作的机器组。它涵盖电气、电子和可编程电子技术,设计为技术中立型,同时为每种实现方法提供具体指导。重要的是,IEC 62061不涵盖纯液压或气动安全系统等非电气系统,这些属于ISO 13849等其他标准的范畴。
IEC 62061采用从IEC 61508改编的SIL(安全完整性等级)框架,机械应用可达到的最高等级为SIL 3。这与ISO 13849-1中使用PL(性能等级)体系不同,尽管两个标准在适当的交叉映射下可用于类似应用。
与IEC 61508和ISO 13849-1的关系
IEC 62061在功能安全标准的更广泛生态系统中运作。它是IEC 61508框架内的应用特定标准,继承了IEC 61508的基本概念,同时针对机械环境定制了要求。该标准明确定义了与其他关键标准的关系。
| 技术类型 | ISO 13849-1(修订版) | IEC 62061 |
|---|---|---|
| 非电气(液压、气动) | 覆盖至PL=e | 不覆盖 |
| 机电式(继电器、非复杂电子) | 限制为指定架构至PL=e | 所有架构至SIL 3 |
| 复杂电子(可编程) | 限制为指定架构至PL=d | 所有架构至SIL 3 |
| 组合式(复杂+机电) | 限制至PL=d | 所有架构至SIL 3 |
对于复杂的可编程电子子系统,IEC 62061假定设计符合IEC 61508-2的相关要求,采用Route 1H。标准明确指出,Route 2H(经验证的使用经验)不适用于一般机械应用。这是一个务实的认识——机械控制系统更新换代迅速,通常无法积累Route 2H所需的运行小时数。
设计人员必须仔细考虑适用哪个标准:IEC 62061允许复杂电子系统使用所有架构达到SIL 3,而ISO 13849-1将复杂电子系统限制为指定架构达到PL=d。对于组合多种技术的系统,通常需要进行跨标准评估,并参考IEC/TR 62061-1的指导。
SRECS安全生命周期:从规范到验证
IEC 62061定义了SRECS的完整安全生命周期,涵盖九个关键条款,指导设计人员从初始概念到退役的全过程。该标准的核心围绕以下阶段组织:
第4条 – 功能安全管理:规定了实现所需功能安全所必需的管理和技术活动,包括定义角色和职责、建立安全计划程序以及确保参与安全工作人员的能力。
第5条 – 安全相关控制功能(SRCF)规范:要求创建功能需求规范和安全完整性需求规范。功能规范描述SRECS必须做什么,完整性规范则定义必须以多高的可靠性执行这些功能,以SIL目标值表示。
第6条 – 设计与集成:涵盖系统架构选择、硬件和软件设计及验证。这是技术细节最丰富的部分,涉及架构约束、容错要求、诊断覆盖率和系统能力。标准支持多种架构配置,包括1oo1、1oo2和2oo2投票结构。
第7-9条 – 使用信息、验证和修改:涉及生命周期的后期阶段,确保最终用户获得足够的安全操作和维护文档,确保完成的SRECS经过系统验证,以及任何后续修改遵循受控程序。
| 条款 | 目标 |
|---|---|
| 4 – 管理 | 定义功能安全实现的活动和职责 |
| 5 – SRCF规范 | 建立安全相关控制功能的功能和完整性要求 |
| 6 – 设计与集成 | 选择架构、设计硬件/软件并进行验证 |
| 7 – 使用信息 | 提供安全操作和维护手册 |
| 8 – 验证确认 | 检查和测试以确保满足安全要求规范 |
| 9 – 修改 | 在实施前规划并验证修改 |
SIL分配与架构考虑
IEC 62061中的安全完整性等级分配遵循基于风险的方法。机械应用的SIL确定考虑三个参数:伤害严重程度(Se)、暴露于危险中的频率和持续时间(Fr)以及避免危险的概率(Av)。这些参数的组合产生从SIL 1(最低)到SIL 3(机械最高)的目标SIL等级。
每个SRECS被分解为子系统,每个子系统进一步分为子系统元素。任何子系统的危险故障都会导致安全相关控制功能的危险故障。标准区分两种基本组件类型:
- 低复杂度组件:故障模式明确定义,故障条件下的行为可完全确定(例如机电继电器、限位开关、接触器)。
- 复杂组件:故障模式未明确定义或故障条件下的行为无法完全定义(例如微处理器、可编程逻辑控制器)。
对于每个子系统,设计人员必须计算每小时危险故障概率(PFHD),并确保其不超过分配SIL的目标失效值。同时必须满足安全失效分数(SFF)和硬件容错(HFT)相关的架构约束。标准提供了表格,用于确定不同子系统架构可达到的最大SIL等级,考虑诊断覆盖率和检验测试间隔。
设计良好的SRECS应为SIL 2及以上等级的子系统实现超过90%的诊断覆盖率。这通常需要为处理器实现自动自检、为传感器实现交叉监测、为机电输出采用强制导向触点。与所实现的责任减轻和安全改进相比,额外的工程成本是适度的。
工程设计启示
从实际工程角度来看,应用IEC 62061可以得出几个重要经验。首先,系统性和随机性硬件故障之间的区分是基础性的。系统性故障(设计错误、软件缺陷、规格错误)必须通过严格的开发过程和验证来解决,而随机硬件故障则通过架构措施和诊断覆盖率来管理。标准要求综合应用这两种方法。
其次,”安全失效分数”的概念对机械领域尤为重要,因为大多数机械安全功能的请求模式是”高请求”或”连续”模式而非”低请求”模式。这意味着SRECS必须在机器运行期间连续维持其安全功能,每小时危险故障概率(PFHD)是相关指标,而非请求时失效概率(PFD)。
第三,标准的修改条款(第9条)的重要性常被低估。对SRECS的任何修改——无论是硬件、软件还是参数变更——都必须经过结构化的影响分析和重新验证。现场经验表明,相当大比例的安全相关事件发生在对已验证系统进行未记录修改之后。
切勿为故障排除而绕过安全功能而不采取补偿措施。运维团队应建立安全功能临时超控的明确程序,包括时间限制、授权级别和恢复后的强制重新测试。被旁路的安全功能实际上等同于从风险降低措施中消失。
常见问题解答
问1:IEC 62061和ISO 13849-1有何区别?
IEC 62061使用SIL等级(1-3),专用于电气/电子/可编程电子控制系统;ISO 13849-1使用PL等级(a-e),覆盖包括液压、气动和机械在内的所有技术。两个标准可实现相当的安全完整性等级。IEC 62061允许复杂电子系统使用更灵活的架构,而ISO 13849-1为使用指定架构的机电系统提供更简便的路径。
问2:IEC 62061能否用于现有机械的安全系统改造?
可以,该标准适用于新设计和现有机械的修改。然而,改造可能需要额外考虑与可能不符合现代功能安全要求的遗留控制元件的集成。在这种情况下,风险评估应确定遗留组件是包含在SRECS范围内还是与其隔离。
问3:IEC 62061合规需要哪些文档?
关键文档包括:安全要求规范、风险评估报告、SRECS架构设计、硬件和软件设计文档、验证报告、验证确认计划和结果、使用信息(用户手册)和修改记录。详细程度应与SIL目标成比例——更高的SIL需要更严格的文档要求。
问4:IEC 62061如何处理软件安全?
该标准通过软件安全完整性要求来处理软件问题,规定了避免系统性故障的技术(结构化设计、模块化分解、编码标准)和故障控制技术(多样监控、测试覆盖率、静态分析)。对于复杂的可编程电子设备,它引用IEC 61508-3以获取详细的软件安全生命周期要求。
