风险评估

　　运用安全完整性等级（SIL）提供了不同的、也许是更加灵活的手段来评估风险程度，加强离散制造业现场的安全性。需要及早并且经常考虑到风险的因素。
　　“告诉我你们需要我怎样建造这些东西来符合当前的安全要求，并且避免受到伤害、被罚款以及被起诉。”这些就是工程师们想知道的。
　　目前大多数的安全规范已经增加了灵活性，特别是对于离散制造的应用而言，在这类应用中使用安全完整性等级（SIL）概念还是一个相对来说比较新式的做法。SIL等级根据系统需求，采用统计数据来描绘一个用于过程的安全仪表系统的可靠性。SIL的安全级别从0到4，SIL等级越高，控制就越可靠。
　　规范的灵活性可以使一些工程师获得解放，同时也会把另一些工程师搞糊涂。确定风险程度应该是任何设计过程中必不可少的一部分，只要人员、过程或机械设备以及生产线发生了变化，就应该持续不断地进行风险评估。由于规范的目的是为了获得高的系统性能，因此那些设计者、系统集成者以及应用系统的人需要使设计能够达到必要的风险等级。一方面，为了某些特定应用而使用了相应的安全规范，在另外一些应用当中却没有任何人给定相应的设计，这种状况为优化成本提供了极大的灵活性。
　　其中的优势和挑战，就是你在工程中需要做的。

资料来源：Control Engineering以及来自exida.com的数据

　　永无止境的学习
　　国际电工委员会关于风险评估的标准包括IEC 61508和更新的IEC 60204-1以及功能性安全标准IEC 62061（BS EN 62061:2005）。当你对这些标准有了某种程度的理解（事实上，这需要你经常的，甚或某种程度上来说是终身不断的学习），你就应该在实践当中应用这些标准，或者在你的公司里配备，或从公司以外雇佣相应的专家和工具来帮助你。（参见补充报道“帮助你在离散制造中应用SIL等级的工具”。）
　　为了应用安全规范，专家们推荐：对你所采取的步骤，风险降低设备的使用以及相应的培训，反复循环地进行检查和分析（参见图“风险评估”）。
　　下面将描述最高水平的风险评估步骤，适用于任何正在进行风险降低项目的机构。
　　基于评估应达到的目标，通过选定一个SIL等级或类别等级，确定一个可接受的风险水平。
　　SIL等级（1、2、3和4）可以给出危险性事故在时间上发生的概率，你可以用它来衡量一件设备相应降低风险的程度。SIL等级的选择决定了你需要在何种水平上减少风险。基于SIL安全性衡量的风险降低程度如下：
　　●1级－10倍到100倍之间；
　　●2级－100倍到1000倍之间
　　● 3级－降低风险程度1000倍到10000倍。
　　SIL3被认为是使用可编程电子系统所能达到的最高风险降低等级（参见表格“安全完整性等级”和图“SIL等级的选定过程”）。风险降低意味着目前的风险水平和要求达到的风险水平之间有差别。SIL等级是与安全类别等级0～4（EN954）相似的概念，而后者也许更为离散制造商所熟悉。然而，对于同时具有连续过程和离散制造的工厂来说，采用过程危险性分析（结合使用SIL等级或安全类别等级）的方法会比单独使用SIL等级或安全类别等级更加容易一些。这种类型的分析可能会成为受饮料工厂欢迎的一个选项，因为饮料工厂也是将产品装瓶以及装箱。这种过程危险性分析还会受到金属拉伸和压片类过程的欢迎。
　　让我们从找谁来负责监视危险因素开始我们的风险降低过程。一个跨专业的团队能够提供比个人观点更广的视野。控制工程师、操作员、维护技术员和保管员，他们各自都有关于各种各样环境中的风险和避免风险的认识和观点（参见补充报道“危险区域”）。
　　谁、在哪儿、什么时候...
　　找一找什么区域应该进行风险评估：一台设备、一个机器设计、常规区域或是整个生产线或系统。总的来说，一个安全仪表系统是由传感器、逻辑运算器和最终的控制单元（执行器）组成的，这个系统在设计时要求：当安全条件被破坏时，系统将允许安全操作或停车来减轻进一步的危害。规范允许安全措施和常规控制被集成到一个系统，而在此之前，安全机构和控制是分离的。选择何时对一个过程实行风险评估会对评估的效果、花费的时间以及成本有不同的影响。在设计过程中越早进行风险评估越好。与设备就位了以后再进行风险评估相比，在设计或是仿真阶段就做出安全方面的调整，花费更少，而且效果更好。

点击看原图

图：随着人员、过程、设备的不断变化，需要不断的进行风险评估以及采取相应的措施。

　　把危险因素列出来，从不同的视角和情形检查每一种状况。确保在调试、操作和维护等各种模式下都有清楚的风险状况描述；检查每一个危险因素以及它们的变化。确保所有设计和安装的安全设备都成为培训的一部分

，并有相应文档，确保任何能够靠近该区域的人都接受了培训。
　　你可以将一个自动机械单元紧锁，但是维护和安装工作可能需要工作人员与其有非常紧密的接近，以便一步步的检查或设定程序。
　　一条传送线在正常操作时可能是安全的，但是当物料以不稳定的方式堆放或是发生了严重的堵塞时就不是这样了。团队的多样性可以改善这种状况。操作人员能够对那些也许非常少见、季节性的、或是只会发生在特定设置下、或者只在进行某种工作时才会发生的潜在危险事件提出自己的看法（但是依然对改变设计很有好处）。维护人员可能会指出某项维护工作被漏掉时可能造成的潜在故障（及其解决方案）。
　　应用问题
　　具体应用中的情况将会是不同的。一个具备冗余控制器的设计所提供的安全效果可能会远远低于预期，例如，假设电源发生了一个单点的故障。
　　举一个更进一步的例子，在一个需要安全类别4级的光幕应用中使用安全类别2级的光幕将会造成不必要的风险。
　　如果某些东西“需要”一个非正式的工作区，这个设计肯定需要重做。

危险区域
　　你应该从那些方面来评估危险呢？
　　需要考虑的位置因素同机械设备的种类一样繁多。
　　固然，没有人会考虑在生产制造现场有一个小孩自由玩耍的情况，但是多思考自己经验范围以外的事情能够帮助你发现风险。如果你不知道你现在具备的那些机械知识，那么哪些行为可能会带来潜在的伤害？
　　在最近由RWD进行的机械设备安全检查中，风险区域包括：
　　● 飞轮保护；
　　● 离合器保护；
　　● 操作点；
　　● 空气控制；
　　● 主配电盘；和
　　● 主操作控制盘 （在操作人员的视线之内）。

　　根据严重性和可能性进行风险分析。评估和可能性分析的基础是故障率及故障模式数据。应该对任何潜在的事故源都进行分析，计算其危害程度、发生频繁程度，然后把两者结合起来。
　　对于保护功能来说情况尤其典型，一台机器通常会有不止一种保护手段，也许是主体视野计或是电子保安系统，例如光幕。如果这些保护功能失效了，情况会有多糟，其出现的频率又有多高呢？
　　例如一个人正在走路，然后摔了一跤，跌倒在地；对于大多数的地面来说，这个人可能只会受到很轻微的伤害或者根本不会受伤。仅仅因为由站立状态跌倒而造成生命危险是及其罕见的事情，因此它的风险程度很低。如果这种低风险是可接受的，那么你不需要做出任何调整。但是如果在某些区域跌倒会造成严重的伤害，那么你就需要对保护措施进行一定的改动。
　　首先应该把所有的安全功能都列出表格，然后为它们分配一个SIL等级。然后机器设备的设计者或系统集成商应该设计相应的保护功能来达到所要求的SIL等级（和/或安全类别等级）。
　　如果需要的话，采取措施减低风险程度。
　　例如，在上面的步行者例子中，在绊倒可能造成很大伤害的地方增加扶手可以降低风险。

帮助你在离散制造中应用SIL 等级的工具
　　在评估一个安全设计时仅仅阅读一种规范是不够的，因为设计中广泛参考了其它的“标准”。顾问、系统集成商和软件供应商能够帮助你使用安全完整性等级，来降低离散制造业应用中的风险程度。安全性的应用随着工业行业、设备和地区的不同而大相径庭！
　　●  有关规范的知识能提供帮助。
　　2005年10月发布了IEC 60204-1{Ed.5.0}机械设备－机器的电气设备－安全性规范Part 1：总体要求。这个规范“用于机械系统的非手持式电气、电子和可编程电子设备以及系统，也包括以协作方式在一起工作的一组机械装置。”（与NFPA 70相关。）
　　2005年7月发布了IEC 62061 Corr.1 {Ed.1.0} 双语版，勘误表1—机械设备安全性－安全相关的电气、电子和可编程电子控制系统规范。参见www.iec.ch。
　　其它包括用于机器人的ANSI RIA 15.06安全性要求，用于安全装置的ANSI B11.19性能标准，用于单个房间安全装置的ANSI B11.20规范，以及ISO 13849-1和13849-2。
　　●  一个最近在www.google.com上进行的关于IEC 62061安全培训的搜索返回了25个搜索结果。
　　●  在www.controleng.com/integrators上的Control Engineering自动化系统集成商指南中，你可以在Engineering Specialties栏目下找到安全方面的专业知识。
　　●  在www.cesuppliersearch.com网站上的有关类目包括健康和安全培训，风险评估和电气安全系统，设计、制造和安装。有关的设备类目，机器安全是被频繁搜索的条目。许多设备供应商也提供详细的帮助信息。
　　●  使用风险评估软件来帮助你掌握了解规范。例如这种软件内置有



































规范的编目清单、数据库、文档、设备列表、图表、数据矩阵、目标、表格和文件。参见：
　　www.dyadem.com；
　　www.exsilentia.com；
　　www.pilz.com（PAScal）；和
　　www.siemens.com/safety
　　（Safety Matrix）。

　　为了降低某些机械设备的风险，可能会需要温度超限停车、速度超限保护或安全停车功能。对于上述每一种保护，你都需要辨别和指定所需要减低的风险程度，以达到每一种SIL等级的要求。
　　一台收缩包装机可能造成勒伤或其它机械伤害。用其它保护设备设置一个防护或隔离装置就可以避免这种伤害。
　　如果其中包含有火焰或加热装置，你就需要温度超限保护或是火焰探测器保护功能。
　　在某些情况下，你可能需要改变设计；因为没有任何一种安全设备能够降低所有类型的危险。幸运的是，实际生活中的大多数事情经过讨论后都不需要安全功能。
　　即便是这样，人们还是编写了安全规范，并进行相应的检查和测试。对每一个设备的故障可能性分析应该根据SIL等级的规范要求进行。为每一个设备设置安全功能，进行风险评估，然后重新检查设计。打印输出、报告以及文档编制都是必需的。保护分析层（LOPA）的研究可以应用于各种危险情形，据称，在不需要额外工作或是复杂程序的情况下，它可以给出风险的可能性估计。
　　如果伤害的可能性或是后果超过了为这个设备选择的计算水平，那么设计者、集成商或最终用户就不得不改用更好的设备，增加更多安全/冗余措施或是进行更加频繁的测试。这三种方法可以使保护功能更加安全。

　　□ 串行流技术缩短嵌入式系统设计周期
　　CONTROL ENGINEERING China
　　对电机进行变速控制，可在正常运转的条件下选择效率最高的运行速度。由于仅仅使用速度控制就可提高效率30%以上，设计工程师已热衷于在下一代家电产品中使用变速电机驱动。
　　□ 改进电机调速控制应对环保设计挑战
　　CONTROL ENGINEERING China
　　采用极小型嵌入式计算平台的新浪潮正在涌入工业、医疗、消费和其他重要的应用领域。除了有小尺寸以外，小型的现成计算部件为设计者提供了完整的处理性能和 I/O 特性，而且具有专有的和标准的两种形状因子。
　　□ 水质观测站的控制和视窗
　　CONTROL ENGINEERING China
　　在与莱茵兰—法尔茨州的水力经济州级主管部门商谈的计划基础之上精选出来的系统结构，可以低成本和有效的解决预先规定的任务。特别是传导系统和SPS软件的结合使用更有助于成本的降低。
　　以上选登文章全文刊登在CONTROL ENGINEERING China网站www.cechinamag.com上。

　　从这一点来说，整个过程同通常的工程过程一样。唯一的不同就是风险的可能性评估。
　　不要采取过多的措施；你可以再做一遍
　　超过工程要求的安全措施可能反倒与最初目的背道而驰；最好的设计应该确保最快、最有效的操作手段也是最安全和最可行的。这个过程需要始终保持活力。不管人员、过程、设备或规章制度发生了任何改变，你都应该对人员再次进行培训，并且重新评估风险。
　　本文的写作过程中采访了Exida.com的合作创始人和董事长William Goble博士、RWD的安全和风险评估经理Scott Krumwiede；参考了Emerson Process Management公司安全相关的研讨会和培训；Pilz公司和Rockwell Automation公司也为我们提供了自己的观点。
如果需要更多信息请访问：
　　www.controleng.com
　　www.emersonprocess.com
　　www.exida.com
　　www.pilz.com
　　www.rockwellautomation.com
　　www.rwd.com/solutions/performanceimprovementandsafetytraining
文章编号：060503
　　发送短信“文章编号+评语代码”至13816124995，告诉我们您对此文的意见。
　　1-很好，有很高的参考价值
　　2-一般，有一定的参考价值      
　　3-不好，没有参考价值