基于IEC 62061的机械臂制造单元安全控制系统的功能安全分析及设计*

王金江 符培伦 黄祖广 薛瑞娟 蒋 峥

(①中国石油大学(北京) 机械与储运工程学院，北京 102249；②国家机床质量监督检验中心，北京100102)

工业生产需要大量引入机械设备以满足生产工艺及自动化的需求，如压缩机、数控车床及工业机器人等。机械臂效仿人手通过特定的编程来完成拾放、焊接、装配等工作，已广泛应用于工业生产中。与传统的工业生产相比，使用包括机械手在内的工业机器人能使操作人员与生产环境相分离并显著降低生产风险，但同时也会带来一些新的安全问题。在德国大众自动化装配线曾发生过由于机械臂误启动而导致的伤亡事故[1]。机械安全相关电气控制系统(safety-related electrical control system，SRECS)如防护门、安全光幕及联锁保护系统等，作为一个独立的保护层在工业机器人的安全中发挥日益重要的作用。

IEC 62061为工业机器人SRECS的功能安全提出指导建议及要求。功能安全关注SRECS可靠的执行其安全功能。IEC 61508提出了一种称为整体安全生命周期的技术框架[3]，该框架描述了实现安全相关的电气/电子/可编程电子系统(electrical/electronic/ programmable electronic system，E/E/PES)功能安全所需的全部活动，但同时也把其他技术安全相关系统及外部风险降低设施考虑在内。IEC 62061[2]是IEC 61508在机械领域的衍生标准，在我国已作为国家标准GB 28526接受。IEC 62061并未明确沿用IEC 61508中安全生命周期的概念，其内容只包括安全生命周期中从安全要求配置到安全确认过程之间的相关方面。不同于应用于过程工业由电气控制主导的安全仪表系统，机械安全控制系统往往是多种类型的，还包括液动、气动系统等，使用安全生命周期的框架对SRECS的相关活动进行安排是更加合理的选择，也更加契合机械领域另一个功能安全标准ISO 13849，该标准为所有类型的机械控制系统的设计与应用提供指导。

鉴于此，本文以机械臂制造单元为对象，在安全生命周期的框架下，对其SRECS设计实现过程进行了梳理与分析，同时符合IEC 62061 的要求。图1为SRECS在实现阶段相关的安全生命周期活动，并展示了各部分活动应参照的标准。

2 安全功能要求辨识

安全功能要求辨识是使用各种风险识别技术对机械结构及运转过程进行危害分析，并确定SRECS应具有何种安全相关控制功能(safety-related control function，SRCF)的过程。IEC 62061及IEC 61508未对此部分提供详细指导，而IEC 31010中列举了多种适用于风险识别的风险分析技术，ISO 12100及ISO 14121为机械领域的风险分析提供了一些通用的建议与指导。特别的，ISO 10218为工业机器人的危害识别提供了指导原则及典型危害示例，并提出了一种基于任务的风险识别方法。本节分析了3种风险识别技术，这些技术通常以表格的形式输出风险属性及安全建议，并可作为进一步安全完整性要求辨识的依据。

预先危险性分析(preliminary hazards analysis，PrHA)在系统设计阶段进行初始危害分析，目的是充分认识危险状态以及其影响。PrHA关注机械臂的固有危险属性，如高动能、锐利边缘等，能较好的描述危险事件严重程度但无法详细分析危险事件发生的确切原因[5]。PrHA相当依赖实施团队的经验与能力，讨论过程缺乏明确的逻辑性。此外，危险事件严重性类别及发生频率水平的不确定性，在PrHA中也很少考虑到[6]。但与其他风险识别方法相比，PrHA可以在信息有限的机械臂的前期设计阶段使用，是一种简单易行的归纳分析法。

危险及可操作性分析(hazard and operability analysis，HAZOP)将引导词与生产参数结合形成各种形式对设计意图的偏离情况，并对偏差的原因、可能造成的后果及保护措施进行分析。HAZOP最初在流程工业中被开发，在工艺和仪表流程图(P&ID)中定义过程节点，并对每个节点进行偏差描述及进一步分析[7]。不同于流程工业具有较明确的节点划分规则，机械设备作为一个高度集成的物理实体其节点划分策略是模糊的。一般的做法是将机械设备涉及的过程工艺参数或关键部件的状态参数作为分析对象[8-10]。针对机器人，一种称为HAZOP-UML的分析方法已被开发[11]，使用UML图作为机器臂节点划分的依据，并使用一些新的引导词进行组合分析。

故障模式及影响分析(failure mode and effect analysis，FMEA)作为一种识别失效模式与确定关键失效模式的方法已在航空、汽车、机械及机器人的风险识别中得到广泛应用[12]。与HAZOP从偏差确定失效模式的分析思路相反，FMEA以机械臂设计图纸作为输入信息，从元件或子系统的失效模式出发逐级分析其原因、影响及安全措施[4]。FMEA使用半定量的风险优先数(risk priority number，RPN)对失效模式进行分类及过滤，RPN为失效严酷度、频度以及可探测度三者的乘积，在实际故障率数据可确定的情况下也可对RPN进行定量化。RPN的计算结果是决定针对某个失效模式是否需要额外SRCF的依据。传统的RPN计算方法存在的问题在一些研究中已被指出[13-14]，主要是权重相等的3个参数相乘导致参数间的相对重要度被忽略，以及定性确定的参数值存在较大的不确定性与不准确性。此外，对复杂机械系统枚举所有可能的元件故障组合来评估耦合故障的影响是难以实施的，一些研究工作致力于克服这一点[15-16]。但与HAZOP相比，以机械臂子系统或元件作为分析对象的FMEA在确定SRCF时也更有针对性。

3 安全完整性要求辨识

安全完整性要求描述SRCF每小时危险失效概率(probability of a dangerous failure per hour，PFHD)的目标值，并使用对应的安全完整性等级(safety integrity level，SIL)表示。在IEC 62061 中，该过程也称为SIL分配。SIL的分配目的是通过风险评估确定必要的风险降低程度，并根据结果对特定的SRCF所需SIL进行确定，以避免SRCF的可靠性不足及资源的浪费。IEC 61508-5推荐了多种用于确定SIL的方法，包括：风险图(risk graph)，保护层分析法(layers of protection analysis，LOPA)以及危险事件严重度矩阵。

3.1 风险图

风险图使用危险事件严重程度(C)、暴露频率或持续时间(F)、危险事件发生概率(W)、规避或限制伤害的概率(P)的4个参数描述某个危险，每个参数都被划分为数个等级。在IEC 61508-5中风险图被描述为一种定性或定量的SIL分配方法，这取决于参数等级的划分是基于定性还是定量的指标。使用一个决策树逐级组合各个参数即可确定分配给SRCF的SIL，这种决策树的分析思路也在ISO 13849中得到了沿用。

在IEC 62061中提供了一种风险图与风险矩阵结合的方法，其也被认为是一种半定量方法[17]。该方法对某个危险事件的严重程度(Se)及损害概率(CI)进行评估，并以CI、Se、SIL三者的关系矩阵确定所需SRECS的SIL等级，如表1所示。CI为暴露频率(Fr)、危害发生概率(Pr)以及避免或限制伤害的概率(Av)三者的和。这种半定量方法的评估参数沿用了风险图中的设定，风险的评估过程与风险图没有本质上的区别。参考文献[18]给出了根据IEC 62061进行SIL分配的详细步骤。在使用风险图对单个机械臂的SRCF进行SIL分配时，参数等级的划分应在整个生产系统内遵循统一的标准。

表1 SIL分配矩阵

注：OM(other measurement)为推荐使用其他风险减低措施

由于主观经验干扰以及行业环境不同，评估者对各种等级参数的解释可能是不同的[19]，这可能导致参数分类数量、取值范围的不一致，从而引起使用风险图法分配SIL的不确定性，已有研究分析了使用风险图法的不确定性来源，并提出了通过蒙特卡洛模拟与模糊集来分析SIL不确定度的方法[20]。尽管存在上述缺点，但由于其易用性，风险图仍是目前最常用的分配SIL的方法[21]。风险图可以作为分阶段方法的第一个筛选工具，筛选出不需要SIL评级的安全功能，进一步可以使用更严格的方法重新评估SIL等级[22]。

3.2 保护层分析法

与风险图类似，LOPA是一种半定量的风险分析方法，在各种数据可确定的情况下同样可实现量化分析。该方法从危险场景出发，分析危害场景的各个起始原因的发生概率及用于防止和减轻危害的各个保护层的失效概率，可得出总体的危险概率Ph。可接受的危险事件概率Pt取决于危险事件后果的严重程度，该值一般通过风险矩阵确定。使用式(1)即可得出附加的SRECS应满足的PFHD值，进一步可确定所需的SIL。IEC 61508建议从最坏的角度确定各个概率值，即将概率值向上舍入更高的十进制范围，这将导致一个保守的SIL估计值。

(1)

在量化风险分析方面，LOPA提供了比其他方法更好的精确度与更少的时间花费[23]。由于其与危险情景的相关性，LOPA可以揭示过去的定性危害分析中未识别的安全问题[24]。但LOPA本身不包含危险情景的识别过程，故应用该方法还需要HAZOP或PrHA等分析结果的支持。已有研究比较分析了风险图法与LOPA，认为LOPA是比风险图法更为严谨全面的方法，但二者均存在难以量化不同风险措施间的共因失效(common cause failure)的局限性[22]。

4 基于功能块的SRECS设计与集成

IEC 62061 为SRECS提出一种自上而下的结构化的设计方法，以功能块(function block，FB)为基本元素构建SRECS的初始概念，并从功能块映射到具有物理实体的子系统(subsystem，SS)。这主要包括功能分解与功能分配两个过程。

功能分解是基于概念的设计过程，从安全功能要求与安全完整性要求出发，将各个SRCF以FB的概念分解为3个主要FB，包括输入FB、逻辑求解FB及输出FB，并继承所属SRCF的SIL。当需要设计容错结构时，功能块还可进一步细分为功能块元素(function block element，FBE)。功能分配将分解得到的各个FB分配到具有物理实体的SS中。类似的，子系统元素(subsystem element，SSE)作为SS的一部分由对应的FBE分配得到。此外，不同的SRCF中具有相似功能的多个FB可以多对一的关系分配给单个子系统。IEC 62061以数控车床防护门的SRECS设计为例介绍了使用功能块的SRECS设计过程，本文第六节在此基础上进行了扩展，解释了具有多个SRCF的SRECS设计集成过程。

5 SRECS安全确认

SRECS在现场实施之前，还需对SRECS的安全完整性进行评估。主要任务包括PFHD的评估与体系结构限制的分析。其中体系结构限制根据子系统的安全失效系数以及硬件故障裕度限定子系统所能达到的最大SIL等级。安全失效系数通过式(2)计算[2]。在SRECS的设计过程中，可通过増加冗余或增加安全失效如采用高等级的元器件、元器件降级设计等方式降低结构约束从而提高系统设计的安全性[25]。

(2)

式中：λs为安全失效率，安全失效不导致SRCF的失效；λDD为诊断功能检测到的危险失效比率；λD为危险失效率。

PFHD评估是一个相当困难的活动，IEC 61508-5针对这部分提出了诸多参考方法，包括可靠性框图、故障树分析、马尔可夫分析、Petri网等，PFHD的评估方法也已成为了功能安全领域的研究重点。IEC 62061提供的PFHD的评估方法是基于可靠性框图的，SRECS的危险随机硬件失效概率为参与执行SRCF的所有子系统危险随机硬件失效概率的和，适当时，还包括数字数据通信过程危险传输错误的概率[2]，如式(3)所示。

PFHD=PFHD1+…+PFHDN+PTE

(3)

式中：PFHD为SRECS的危险失效概率；PFHDN为参与执行SRCF各子系统的危险失效概率；PTE为通信过程的错误率，该值的确定可以参照IEC 61784-3[26]，此标准为实现数据通信的功能安全提供指导。

IEC 62061为具有不同冗余结构及诊断结构下的子系统PFHD给出了计算公式，这些公式基于布尔逻辑，要求输入各子系统的失效率λ、诊断覆盖率DC、共因失效敏感度β以及测试间隔T。这种计算方法相当依赖输入数据的准确性，并难以对冗余结构超出标准提供公式范围的复杂子系统进行分析。在这种情况下，可以使用其他在IEC 61508-5中被推荐的方法进行评估。

6 机械臂制造单元的SRECS实现

本节使用机械臂制造单元为例对整个SRECS实过程进行描述。大多数工业机器人事故发生在人机交互的过程中，这包括计划内的交互过程，如调试，设置，编程，测试，检查，故障排除和维护等；也包括非预期的交互过程，如意外闯入工作单元等。在这些情况下人员通常处于危险区域，需要安全措施来保护他们免受机械的危害。表2展示了针对该设备进行PrHA的部分结果，每个危害至少部署了一个SRCF。

表3为基于IEC 62061的安全完整性要求辨识结果，对表2中得出的各个危害类型做进一步伤害发生概率分析，结合表1可得出各个SRCF应具有的SIL。

以上述分析结果为基础，图2给出了基于功能块的SRECS设计与集成过程。在实际设计过程中可能会引入更多的冗余结构以减少各SS的失效概率，如例中的速度传感FB进一步分解为两个功能块元素，二者执行相同的速度传感功能。3个SRCF的输出功能块均为与电机的动力切换相关，故均分配到了同一个电机驱动器子系统中，电机驱动器的SIL继承3个功能块中最高的SIL3，与之类似的还有逻辑解决功能块的分配。在某些情况下，即使功能块具有类似的功能，也要分配在不同的子系统中以避免共因失效，但同时会带来成本的上升。

表2 机械臂PrHA的部分分析结果

完成上述步骤后即可对子系统进行设备选型、细节设计，并进一步进行安全完整性确认。安全完整性确认需要各个设备的失效率数据，这可从设备供应商、第三方的功能安全认证机构或其他可靠性数据库获取。若经确认未能达到目标SIL，则应对设计进行修改，如选择可靠性更高的元件、增加容错结构、设置诊断功能、缩短验证测试周期等，以满足安全完整性要求。

表3 SIL分配结果

7 结语

本文遵循IEC 61508提出的安全生命周期的脉络，结合IEC 62061中的相关要求，分析梳理了基于安全生命周期的机械臂制造单元SRECS的实现过程，总结如下：

(1)本文分析了3种SRCF辨识技术，PrHA可在设计初期信息有限的情况下进行并可作为其他风险识别及分析技术的基础；开发于流程工业的HAZOP经过一定的修改后也可自上而下的进行SRCF辨识；FMEA与HAZOP相反提供了一种自下而上的分析视角，也较适用于机械领域，但难以对多部件故障耦合导致的风险进行准确识别。

(2)IEC 62061提供的基于风险矩阵的SIL分配方法本质上是基于风险图的，它易于实施但具有较大不确定性；LOPA能在其他类型的风险降低措施如气动、液动安全系统存在的情况下进行更准确的SIL分配。有关SIL分配的研究大部分面向过程工业，而在机械领域还有待深入。

(3)基于功能块的SRECS设计符合IEC 62061的要求，该过程主要包括功能分解及功能分配两个步骤，能够快速形成SRECS的整体架构并确定各个子系统应具有的SIL等级。

(4)IEC 62061仅为简单子系统的安全完整性评估提供了参考方法，复杂子系统的安全完整性评估应参照IEC 61508-5的方法与要求。若SRECS的SIL未达到预期SIL分配的要求，还需返回修改，SRECS在整个安全生命周期内的实现过程是动态循环的。

[1]JustinHuggler.Robot kills man at Volkswagen plant in Germany [OL].http://www.telegraph.co.uk/news/worldnews/europe/germany/11712513/Robot-kills-man-at-Volkswagen-plant-in-Germany.html, 2015.

[2]International Electrontechnical Commission.Safety of machinery-Functional safety of safety-related electrical, electronic and programmable electronic controlsystems:IEC 62061[S].Geneva, Switzerland,2012.

[3]International Electrontechnical Commission.Functional safety of electrical/electronic/Programmable electronic safety-relatedsystems:IEC 61508[S].Geneva, Switzerland,2010.

[4]International ElectrontechnicalCommission.Risk management-Risk assessment techniques: IEC 31010[S].Geneva,Switzerland,2009.

[5]John C.Wincek CSP.Two safety reviews before formal PHAs[J].Process Safety Progress, 2011, 30(3):212-215.

[6]Markowski A S, Siuta D.Selection of representative accident scenarios for major industrial accidents[J].Process Safety & Environmental Protection, 2017.

[7]Vaughen B K, Mudd J O, Pierce B E.Using the ISA 84/HAZOP/LOPA procedure to design a safety instrumented system for a fumed silica burner[J].Process Safety Progress, 2011, 30(2):132-137.

[8]Kavita Patwardhan.Hazop Study Report[R].Assam Gas Company Ltd,2010.

[9]Bu X.Hazard and operability safety analysis on natural gas compressor based on signed directed graph[C].International Conference on Education, Sports, Arts and Management Engineering.2016.

[10]任艺靖.压气站压缩机组仪表系统安全完整性等级评估研究[D].北京：中国石油大学(北京),2013.

[11]Guiochet J.Hazard analysis of human-robot interactions with HAZOP-UML[J].Safety Science, 2016, 84:225-237.

[12]Bowles J B,Pelaez C E.Fuzzy logic prioritization of failures in a system failure mode, effects and criticality analysis.Reliab Eng Syst Saf[J].Reliability Engineering & Systems Safety, 1995, 50(2):203-213.

[13]Wen Jiang,Chunhe Xie, Miaoyan Zhuang, et al.Failure mode and effects analysis based on a novel fuzzy evidential method[J].Applied Soft Computing, 2017:1-8.

[14]Certa A, Hopps F, Inghilleri R, et al.A dempster-shafer theory-based approach to the Failure Mode, Effects and Criticality Analysis (FMECA) under epistemic uncertainty: application to the propulsion system of a fishing vessel[J].Reliability Engineering & System Safety, 2017, 159(69):69-79.

[15]Xiao N, Huang H Z, Li Y, et al.Multiple failure modes analysis and weighted risk priority number evaluation in FMEA[J].Engineering Failure Analysis, 2011, 18(4):1162-1170.

[16]Tsai S B, Zhou J, Gao Y, et al.Combining FMEA with DEMATEL models to solve production process problems[J].Plos One, 2017, 12(8):e0183634.

[17]Fuchs P,Zajicek J.Safety lintegrity level (SIL) versus full quantitative risk value[J].Eksploatacja i Niezawodnosc - Maintenance and Reliability, 2013, 15(2):99-105.

[18]黄祖广,张承瑞,赵钦志,等.基于IEC62061标准的SRECS风险评估与SIL分配[J].制造技术与机床,2013(9):162-165.

[19]Naitsaid R, Zidani F, Ouzraoui N.Modified risk graph method using fuzzy rule-based approach.[J].Journal of Hazardous Materials, 2009, 164(2-3):651.

[20]Kwangpil Chang, Sungteak Kim, Daejun Chang, et al. Enrico Zio Uncertainty analysis for target SIL determination in the offshore industry[J].Journal of Loss Prevention in the Process Industries, 2015,34:151-162.

[21]Kim S T, Chang K P, Kim Y H.Risk-based design for implementation of SIS functional safety in the offshore industry[C].Safety, Reliability And Risk Analysis: Beyond The Horizon,2014:1875-1880.

[22]Torres-Echeverria, Alejandro C.On thethe use of LOPA and risk graphs for SIL determination[J].Journal of Loss Prevention in The Process Industries,2016(5):333-343.

[23]Yun G W, Rogers W J, Mannan M S.Risk assessment of LNG importation terminals using the Bayesian-LOPA methodology[J].Journal of Loss Prevention in the Process Industries, 2009, 22(1):91-96.

[24]Summers A E.Introduction to layers of protection analysis[J].Journal of Hazardous Materials, 2003, 104(1-3):163.

[25]黄祖广.基子功能安全的数控系统设计方法及关键技术研究[D].济南：山东大学, 2015.

[26]International Electrontechnical Commission.Industrial communication networks - Profiles - Part 3: Functional safety fieldbuses - General rules and profile definitions: IEC 61784-3[S].Geneva, Switzerland,2016.