Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC Guide 116 — 安全相关风险评估
电气设备安全性的系统化风险评估框架
1. IEC Guide 116 的目的与范围
IEC Guide 116 为电气设备的安全相关风险评估建立了系统框架。它为产品委员会提供了一致的方法论,用于识别危险、估计风险水平、评估风险可接受性,并在产品整个生命周期(从设计和制造到安装、操作和退役)中指定风险降低措施。
该指南旨在补充 IEC 61508(功能安全)和 ISO 12100(一般机械安全)。这些标准侧重于特定的安全领域,而 Guide 116 为所有电气产品提供了通用的风险评估方法论。
其范围涵盖所有可信危险:电击、火灾、机械危险、热危险、辐射、化学暴露和人机工程学因素。风险评估过程是迭代的——随着设计变更,必须更新风险评估以确认没有引入新的危险且残余风险仍然可接受。
2. 风险评估方法论
Guide 116 定义了三个阶段的风险评估过程:危险识别、风险估计和风险评价。危险识别涉及在所有可预见条件下系统地审查设备——正常运行、单一故障条件、可合理预见的误用和外部影响。
| 风险参数 | 描述 | 评估标准 | 缓解示例 |
|---|---|---|---|
| 伤害严重程度 | 伤害或损害的程度 | 轻微 / 中等 / 严重 / 灾难性 | 绝缘等级、防护装置 |
| 发生概率 | 危险事件发生的可能性 | 极低 / 不太可能 / 可能 / 非常可能 | 可靠性数据、现场返修 |
| 暴露频率 | 人员进入危险区域的频率 | 极少 / 偶尔 / 频繁 / 持续 | 进入限制、自动化 |
| 避免可能性 | 危险发生后能否避免伤害 | 可能 / 有条件 / 不可能 | 急停按钮、警告标识 |
| 风险等级(综合) | 风险矩阵输出 | 可接受 / ALARP / 不可容忍 | 降至 ALARP 或重新设计 |
风险评估不是一次性的文书工作。Guide 116 强调风险评估必须是贯穿产品生命周期的动态过程。设计变更、现场故障数据和新的法规要求都会触发重新评估。
3. 风险降低与工程控制措施
该指南建立了明确的风险降低措施层级:本质安全设计(最优先)、防护和保护装置(第二优先)、以及使用信息包括警告和培训(第三优先)。本质安全设计——例如消除夹点、减少存储能量或使用本安电路——始终是首选,因为它消除危险而不仅仅是防护。
来自 Guide 116 的工程设计见解包括容错架构的重要性、安全关键功能使用冗余的必要性以及诊断覆盖率的必要性。例如,在安全相关控制系统中,诊断覆盖率(DC)量化了自动检测到的危险故障比例——对于 SIL 2 应用,可能需要 DC > 90%。
最具成本效益的风险降低是在概念设计阶段实现的。需求阶段的安全审查可以识别出那些在原型测试后修复成本高出 100 倍的危险。将风险评估关卡评审整合到产品开发流程中。
残余风险——在应用所有保护措施后仍然存在的风险——必须被记录和传达。Guide 116 要求根据产品委员会预先确定的标准评估残余风险的可接受性,通常使用 ALARP(”尽可能低”)原则。
4. 常见问题
问:Guide 116 适用于低压消费产品吗?
答:适用。该方法论适用于所有电气设备,无论电压等级如何。即使是低压产品也可能存在火灾、机械或热危险,需要进行系统性风险评估。
答:适用。该方法论适用于所有电气设备,无论电压等级如何。即使是低压产品也可能存在火灾、机械或热危险,需要进行系统性风险评估。
问:Guide 116 与 IEC 61508 的关系是什么?
答:IEC 61508 为电气/电子/可编程电子安全相关系统提供了具体要求,而 Guide 116 为所有设备类型提供了通用的风险评估框架。
答:IEC 61508 为电气/电子/可编程电子安全相关系统提供了具体要求,而 Guide 116 为所有设备类型提供了通用的风险评估框架。
问:什么是 ALARP 以及如何证明?
答:ALARP 意味着风险已降低到合理可行的最低水平。证明需要显示任何进一步的风险降低在成本上与所获得的效益相比是严重不成比例的。
答:ALARP 意味着风险已降低到合理可行的最低水平。证明需要显示任何进一步的风险降低在成本上与所获得的效益相比是严重不成比例的。
