机器安全和过程安全的区别

剑指工控星期五, 04/18/2014 - 16:27 发表

”SIL，TUV，容错，冗余 “ 当我们大家看到这几个词的时候第一反应是什么，没错那就是安全。很多刚进入工控行业的朋友对于什么标准控制和什么是安全控制并不了解，这里我将做一个简单比喻大家就知道了.

首先让我们来照一下镜子，好你看到了自己了吧！往深入里看，用大家平时看美女的眼力看自己，看入血液看入骨髓。大家都知道，人体有运行系统和免疫系统，运行系统就是支配大家平时工作生活的系统，比如视觉，触觉，听觉等。运行系统就犹如工控领域中的标准控制，是用来完成工艺控制或者机械控制。而人体还有一个非常重要的免疫系统。

比如当你感冒了有了病毒浸入，免疫系统就会启动，通过白血球来吞噬细菌，如果吞噬不了就通过提高身体温度，来控制细菌的蔓延，这也就是大家常说的发烧。

人体的免疫系统就类似工控领域安全控制，平时安全控制属于等待和监测状态，一旦发现危险立即启动并切断危险随之带来的危害。

安全控制分为两大种类，一类是针对机器安全（ICE61508和IEC62061），另一类是针对过程安全（IEC61511）。那我们再来看看这两大类的不同。

机器安全主要是面对机械设备，oem设备，比如汽车行业，轮胎行业等

机械安全标准是针对安全的，安全又是相对的，那么首先就要定义什么是不安全，也就是：伤害（harm），危险（hazard），风险（risk）。

根据IEC61508-4的定义：

Harm：Physical injury or damage to the health of people or damage to property or the environment. 即：对环境、财产或者人员的健康造成的物理性伤害或者损毁。是指问题发生以后对环境、财产和人员造成的伤害。

Hazard：Potential source of harm. 即潜在的伤害源。是指一个可以导致伤害发生的潜在危险源，如果触及那个区域，或者对其防护或控制失效，即可导致伤害发生。

Risk：Combination of the probability of occurrence of harm and the severity of that harm. 即：伤害发生的可能性和严重性。是指某种不安全因素可能导致的伤害和伤害的严重程度。

分清了这几个概念，我们还要明确几个不同阶段对危险的定义：

危险情况（hazardous situation）： Circumstance in which people, property or the environment are exposed to one or more hazards. 即：人，财产或者环境暴露与一个或多个危险中的情况。

危险事件（hazardous event）：event that may result in harm.可能导致伤害的事件。

伤害事件（harmful event）：occurrence in which a hazardous situation or hazardous event results in harm. 即：导致伤害的危险事件或危险情况的发生。

残余风险（residual risk）：risk remaining after protective measures have been taken.即：采取防护措施之后仍然存在的风险。

我们以一台工业制造设备的防护来举例说明上面的情况：

当操作员站在防护栏外面的时候，正常情况下是没有危险的。

而当进入护栏区域内，机器还在工作的话，就会有风险（risk），因为你已经接近了一个危险源（hazard），进入护栏区域内就是一个危险事件（hazard event），而如果发生了某种人身伤害，那么就是你受到了伤害（harm），也就发生了一起伤害事件（harm event）。

尽管做了这么多的防护措施，可能还有一些不能避免的危险，比如噪声过大，这就是残余风险（residual risk），要让机器来解决这个风险可能要投入相当多的物力和财力，就不如让人来自己做防护，那么就要在醒目的位置加贴警示标识，以及在说明书上告知用户，操作者需带个人防护设备来处理设备的残余风险。所以，为了使得机器能够安全可靠的被人所利用，根据可能对人造成伤害的不同程度，人接近风险的频次，及是否可以避免的可能性等要素，对设备进行了分级，并按不同的等级做了不同的安全要求，还以上图为例：

1、如果机器只可能对人造成轻微擦伤，则防护栏和安全光幕门等都可以不用，因为即使在操作过程中发生了危险，也没有什么大的问题，而且控制台也可能直接装在设备上，便于操作。

2、如果机器可能会对人员造成不可修复的残疾，那危险就比较大，就需要加装防护栏，把人与设备隔开一定的距离，但如果设备在工作工程中还需要人员适当干预，且人员经过培训，并有严格操作规程，那么只需要安装防护栏即可，而无须安装安全光幕门。

3、如果机器可能会对人员造成不可修复的残疾，甚至死亡，而且工作过程中基本不需要人干预，则要严格控制人员对机器的接触和靠近，则须在防护栏上加装安全光幕门。以便在有人进入危险区域时，及时使设备停机或者控制到安全的程度。

采取了以上的措施，可能也还有一些比较小的风险没有被避免，如：小心地面滑倒、更换刀具时小心夹手等。这些就是残余风险，靠增加适当的警示标示来做适当提醒。

以上这些情况是根据设备的危险程度，在设计上考虑到的一些解决方案，那么是不是做了这样的设计就一定安全了呢？这些安全防范的措施是不是一定可靠呢？我们怎么来衡量和考评这套安全系统的可靠程度呢？

对于防护栏来讲，它只是个结构，根据EN ISO 13857等相关标准进行评估就可以了。但对于安全光幕能否可靠正确的检测到有人进入，对于读取安全光幕的信号来产生停机操作的控制器能否正确发出停机信号，对于执行控制器的停机信号的执行器能否正确执行停机操作，以及整个机器的其他安全控制功能的传感器，控制器和执行器等元件和系统设计，包括软件（如果有）能否正确判断并执行相关指令和任务，就需要用IEC61508和IEC62061（ISO13849）来考评了。

那么这也就引出了功能安全的定义：功能安全是设备安全的一部分，其主要是从E/E/PE相关的控制系统考虑，着重避免由于受控设备及其相关系统在故障或者失效的情况下导致的风险，而对于非电控的风险，如锋利毛边、高温表面、噪声、辐射等导致的危险，这里并没有做考虑，需参见其他相关标准中的要求。

过程安全（IEC61511）

谈过过程安全很多人会想到ESD紧急关断系统，F&G火气系统，SIS安全仪表系统等，过程安全就是为了这些应用而设计得，过程安全主要是应用于石油化工，冶金，电力，轻工，纺织，压缩机,重大危险源处等需要安全保护及自动联锁保护的场合，属于易燃、易爆或有毒介质,生产过程稍有闪失就会酿成灾难性的事故,造成生产、设备、人员等方面的重大损失。这种控制系统作为过程工业安全。

安全控制系统：用于监视、控制或保护工厂机械和设备的设备总合。这包括控制器、传感器和最终的执行单元。

可靠性

这个词有很多质量和数量方面的定义，像可靠性和可用率。对于这篇文章的主题，下面这些词将会被用到。

可用率：一个系统或设备被起用后正常工作的时间的百分数。

故障率：一个设备或系统在一段指定时间内的故障次数。例如，每百万小时中的故障次数就是一个通用的测量单位。

平均到失效时间（MTTF） ：设备或系统可靠性的另一个公用的检测指标，它代表了一种产品在发生失效前的平均运行时间。

平均修复时间（MTTR） ：系统从检测到故障、完成修复到恢复生产过程所需的平均时间。

平均失效间隔时间（ MTBF）：系统在二次失效之间的平均间隔时间（MTTF+MTTR）。对双重化和三重化系统的平均失效间隔时间的考虑远比对单配置系统的要复杂，关于这一点的详细讨论将在本文的后面提到。平均失效间隔时间是最通用的评估产品质量的指标。

系统的可用率：一个控制系统在具体的使用操作条件下满意和有效操作时间的百分数。

可靠性：一个设备或系统在一段给定的时间内、指定的条件下完成要求的功能的可能性。

故障避免、故障掩盖和容错

“容错”被广泛用来描述一个控制器或一个控制系统的关于提高其可用性的属性。为了有助于这个讨论，它将使与控制器和控制系统的故障有关的各种概念有一个严格的定义。故障避免是控制器或控制系统在故障被阻止的情况下正常运行的能力。当一个设备的故障率低的时候它的故障避免水平就提高。故障避免是好的设计、在构架和封装中选用好的材料、以及整体制造的结果。它还会受操作和维护的影响。

故障屏蔽是控制器或控制系统在出现故障时仍能正常工作的能力。这通常需要一定水平的硬件冗余，但它不意味着故障检测。让我们来想一下冗余电源供电的设备情况：一个电源可能失效了但设备仍能正常工作，即使这一故障没有被检测到。当然，这种方式的问题是设备得不到维护，系统继续工作在比故障发生前可靠性下降的情况下。

容错是控制器或控制系统在出现故障时仍能正常工作同时又能查出故障的能力。它需要一定的冗余。容错也包括故障检测能力。

容错包括三种不同的功能：

故障检测—控制器或控制系统诊断确定是否发生了故障

故障鉴别—确定故障来源

故障隔离—控制器或控制系统重新组态以隔离故障，从而在发生故障时能继续工作