ISO13849功能安全从入门到精通（2）：安全功能及其对降低风险的贡献3

功能安全从入门到精通（2）：安全功能及其对降低风险的贡献3"/>

ISO13849功能安全从入门到精通（2）：安全功能及其对降低风险的贡献3

目录

3 所需的安全功能及其特性的识别

3.1 安全功能的定义

3.2 安全功能的定义对PFHD的后续计算有影响的示例

3.2.1 例子1

3.2.2 例子2

3.2.3 例子3

前往《ISO13849功能安全从入门到精通-总目录》

3 所需的安全功能及其特性的识别

如果评价确定了(到目前为止)不可接受的风险，则必须提供适当的保障措施。然而，应优先考虑通过对机器进行设计修改来避免危险(固有安全设计)，或至少在最大程度上减少危险。原则上，用于使用的信息(包括组织度量)也是降低风险的一种可能手段。但是，只有在不可能通过技术保护措施在经济上合理地降低风险的例外情况下，才可以接受这类措施;然而，在大多数情况下，将需要采取安全措施。在这种情况下，安全功能被定义为由SRP/CS(控制系统的安全相关部分)执行(见下图)。

3.1 安全功能的定义

必要的安全功能是在考虑到应用和危害的情况下定义的。例如，如果必须预料到飞行碎片，则光幕将是不合适的解决方案，并且需要避雷器(防护装置)。因此，安全功能是一种功能，通过这种功能，各种措施(包括控制技术中的措施)可以将特定危害所带来的风险降低到可接受的水平。在C类标准中没有相关规定的情况下，安全功能由机器的设计者定义，例如:

1. 有控制地停止运动并在静止位置施加抱闸
2. 防止机器零件下降造成破碎点
3. 降低直接暴露眼睛的切割激光的功率
4. 防止轴在安装模式下掉落
5. 当有人进入机器人的危险区域时，机器人会逃避
6. 防止诱捕人员
7. 当第二个人进入危险区域时(通过光幕启动)，双手操作控制的关闭动作停止。

下表是在ISO13849-1中描述的安全功能：

下表是在IEC61800-5-2中描述的安全功能：

执行安全功能的方式可以采取非常不同的形式。因此，在选择时必须观察某些特性，并根据具体情况加以说明。这些包括:

• 在不同的操作模式下使用(如自动模式、设置模式、故障排除)
• 根据电源是否可用或故障使用不同的安全功能
• 对安全功能跳闸的响应
• 对安全功能故障检测的响应
• 响应时间
• 驱动频率
• 优先级，在几个安全功能可能同时激活的情况下
• 安全相关参数的说明，如最大允许速度
• 要求的性能水平

3.2 安全功能的定义对PFHD的后续计算有影响的示例

后面将展示如何计算安全功能的每小时危险故障的平均概率(PFHD)。然而，在这个阶段，安全功能的定义奠定了基础。就其性质而言，安全功能的技术实现决定了其所需组件的类型和规模。因此，安全功能的定义对安全相关可靠性的确定具有相当大的影响。这将在下面的例子中解释。

3.2.1 例子1

安全功能“当防护门打开时停止”

当防护门打开时，机器操作员可以进入危险区域，其中有五个驱动器控制机器部件的运动。打开防护门会使所有五个驱动器尽快停止。
后续在计算安全功能的PFHD时，将以下blocks的PFHD值相加:

• 监视防护门的位置，包括机械部件
• 逻辑
• 1至5号驱动器

计算得出的PFHD可能不再适合应用，即使可能只有驱动器1和3在操作人员的瞬时位置启动危险运动，其余驱动器纯粹“功能性”停止。在这种情况下，建议仅考虑实际存在危险的运动，以达到安全功能的目的，并且考虑到对操作人员安全至关重要的驱动器，重新制定安全功能。相关的功能图如下图所示。
如果在考虑的危险区域中有多个驱动器参与危险运动，则认为危险重叠。如果要考虑的驱动器数量太高，则单个驱动器的PFHD值的总和可能再次成为对于安全功能所需的PL太高的总PFHD。修订后的标准规定了重叠危害的考虑。因此，所讨论的安全功能中所考虑的危险在某些情况下可以简化为离散的危险，即危险的机器运动可以简化为机器的离散部件的运动。在某一特定病例中，这是否可能，必须在风险评估期间确定。

3.2.2 例子2

安全功能“当一扇防护门打开时驱动器停止”

危险的活动由带有五扇门的栅栏保护。打开任何一扇门都会停止移动。由于一个人一次只能打开其中一扇安全门，所以每一扇门都有自己的安全功能，从SF1到SF5，由以下模块组成:

• 防护门位置监控x (x = 1,2，…)5)、包括机械部件
• 逻辑
• 驱动器

3.2.3 例子3

安全功能“当急停装置执行时停止所有驱动器”

大型机器上安装20个急停装置;当启动时，它们会尽可能快地使所有50个驱动器停止。在这种情况下，在实施安全功能时必须考虑哪些组件?无法预测哪个紧急停止装置将被启动以启动安全功能。由于用户在任何时候只能启动一个紧急停止装置，因此定义了安全功能SF1至SF20。当紧急停止启动时，暴露在危险中的人员的位置是未知的。然而，不管这个人在哪里，并不是所有50辆车都有危险。因此，最坏的情况应被视为代表所有可能的情况。最坏的情况由最坏的PFHD决定，因此部分取决于安全链中在最不利位置产生危险运动的驱动器的数量，以及各自的PFHD值。相关的框图如下图示。

因此，在随后计算安全功能的PFHD时，必须考虑以下区块的PFHD值:

• 紧急停止装置03
• 逻辑
• 驱动器21
• 驱动器35
• 驱动器47

这些例子显示了“局部方法”在定义安全功能方面的优势，其中考虑了以下方面:

• 在被分析的时间点上，人在什么位置?
• 在人员所在位置有哪些动作会造成危险?
• 什么保障措施在分析的时间点启动安全功能? 

 前往《ISO13849功能安全从入门到精通-总目录》