王金江 符培倫 黃祖廣 薛瑞娟 蔣 崢

(①中國(guó)石油大學(xué)(北京) 機(jī)械與儲(chǔ)運(yùn)工程學(xué)院，北京 102249；②國(guó)家機(jī)床質(zhì)量監(jiān)督檢驗(yàn)中心，北京100102)

工業(yè)生產(chǎn)需要大量引入機(jī)械設(shè)備以滿足生產(chǎn)工藝及自動(dòng)化的需求，如壓縮機(jī)、數(shù)控車(chē)床及工業(yè)機(jī)器人等。機(jī)械臂效仿人手通過(guò)特定的編程來(lái)完成拾放、焊接、裝配等工作，已廣泛應(yīng)用于工業(yè)生產(chǎn)中。與傳統(tǒng)的工業(yè)生產(chǎn)相比，使用包括機(jī)械手在內(nèi)的工業(yè)機(jī)器人能使操作人員與生產(chǎn)環(huán)境相分離并顯著降低生產(chǎn)風(fēng)險(xiǎn)，但同時(shí)也會(huì)帶來(lái)一些新的安全問(wèn)題。在德國(guó)大眾自動(dòng)化裝配線曾發(fā)生過(guò)由于機(jī)械臂誤啟動(dòng)而導(dǎo)致的傷亡事故[1]。機(jī)械安全相關(guān)電氣控制系統(tǒng)(safety-related electrical control system，SRECS)如防護(hù)門(mén)、安全光幕及聯(lián)鎖保護(hù)系統(tǒng)等，作為一個(gè)獨(dú)立的保護(hù)層在工業(yè)機(jī)器人的安全中發(fā)揮日益重要的作用。

IEC 62061為工業(yè)機(jī)器人SRECS的功能安全提出指導(dǎo)建議及要求。功能安全關(guān)注SRECS可靠的執(zhí)行其安全功能。IEC 61508提出了一種稱為整體安全生命周期的技術(shù)框架[3]，該框架描述了實(shí)現(xiàn)安全相關(guān)的電氣/電子/可編程電子系統(tǒng)(electrical/electronic/ programmable electronic system，E/E/PES)功能安全所需的全部活動(dòng)，但同時(shí)也把其他技術(shù)安全相關(guān)系統(tǒng)及外部風(fēng)險(xiǎn)降低設(shè)施考慮在內(nèi)。IEC 62061[2]是IEC 61508在機(jī)械領(lǐng)域的衍生標(biāo)準(zhǔn)，在我國(guó)已作為國(guó)家標(biāo)準(zhǔn)GB 28526接受。IEC 62061并未明確沿用IEC 61508中安全生命周期的概念，其內(nèi)容只包括安全生命周期中從安全要求配置到安全確認(rèn)過(guò)程之間的相關(guān)方面。不同于應(yīng)用于過(guò)程工業(yè)由電氣控制主導(dǎo)的安全儀表系統(tǒng)，機(jī)械安全控制系統(tǒng)往往是多種類型的，還包括液動(dòng)、氣動(dòng)系統(tǒng)等，使用安全生命周期的框架對(duì)SRECS的相關(guān)活動(dòng)進(jìn)行安排是更加合理的選擇，也更加契合機(jī)械領(lǐng)域另一個(gè)功能安全標(biāo)準(zhǔn)ISO 13849，該標(biāo)準(zhǔn)為所有類型的機(jī)械控制系統(tǒng)的設(shè)計(jì)與應(yīng)用提供指導(dǎo)。

鑒于此，本文以機(jī)械臂制造單元為對(duì)象，在安全生命周期的框架下，對(duì)其SRECS設(shè)計(jì)實(shí)現(xiàn)過(guò)程進(jìn)行了梳理與分析，同時(shí)符合IEC 62061 的要求。圖1為SRECS在實(shí)現(xiàn)階段相關(guān)的安全生命周期活動(dòng)，并展示了各部分活動(dòng)應(yīng)參照的標(biāo)準(zhǔn)。

2 安全功能要求辨識(shí)

安全功能要求辨識(shí)是使用各種風(fēng)險(xiǎn)識(shí)別技術(shù)對(duì)機(jī)械結(jié)構(gòu)及運(yùn)轉(zhuǎn)過(guò)程進(jìn)行危害分析，并確定SRECS應(yīng)具有何種安全相關(guān)控制功能(safety-related control function，SRCF)的過(guò)程。IEC 62061及IEC 61508未對(duì)此部分提供詳細(xì)指導(dǎo)，而IEC 31010中列舉了多種適用于風(fēng)險(xiǎn)識(shí)別的風(fēng)險(xiǎn)分析技術(shù)，ISO 12100及ISO 14121為機(jī)械領(lǐng)域的風(fēng)險(xiǎn)分析提供了一些通用的建議與指導(dǎo)。特別的，ISO 10218為工業(yè)機(jī)器人的危害識(shí)別提供了指導(dǎo)原則及典型危害示例，并提出了一種基于任務(wù)的風(fēng)險(xiǎn)識(shí)別方法。本節(jié)分析了3種風(fēng)險(xiǎn)識(shí)別技術(shù)，這些技術(shù)通常以表格的形式輸出風(fēng)險(xiǎn)屬性及安全建議，并可作為進(jìn)一步安全完整性要求辨識(shí)的依據(jù)。

預(yù)先危險(xiǎn)性分析(preliminary hazards analysis，PrHA)在系統(tǒng)設(shè)計(jì)階段進(jìn)行初始危害分析，目的是充分認(rèn)識(shí)危險(xiǎn)狀態(tài)以及其影響。PrHA關(guān)注機(jī)械臂的固有危險(xiǎn)屬性，如高動(dòng)能、銳利邊緣等，能較好的描述危險(xiǎn)事件嚴(yán)重程度但無(wú)法詳細(xì)分析危險(xiǎn)事件發(fā)生的確切原因[5]。PrHA相當(dāng)依賴實(shí)施團(tuán)隊(duì)的經(jīng)驗(yàn)與能力，討論過(guò)程缺乏明確的邏輯性。此外，危險(xiǎn)事件嚴(yán)重性類別及發(fā)生頻率水平的不確定性，在PrHA中也很少考慮到[6]。但與其他風(fēng)險(xiǎn)識(shí)別方法相比，PrHA可以在信息有限的機(jī)械臂的前期設(shè)計(jì)階段使用，是一種簡(jiǎn)單易行的歸納分析法。

危險(xiǎn)及可操作性分析(hazard and operability analysis，HAZOP)將引導(dǎo)詞與生產(chǎn)參數(shù)結(jié)合形成各種形式對(duì)設(shè)計(jì)意圖的偏離情況，并對(duì)偏差的原因、可能造成的后果及保護(hù)措施進(jìn)行分析。HAZOP最初在流程工業(yè)中被開(kāi)發(fā)，在工藝和儀表流程圖(P&ID)中定義過(guò)程節(jié)點(diǎn)，并對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行偏差描述及進(jìn)一步分析[7]。不同于流程工業(yè)具有較明確的節(jié)點(diǎn)劃分規(guī)則，機(jī)械設(shè)備作為一個(gè)高度集成的物理實(shí)體其節(jié)點(diǎn)劃分策略是模糊的。一般的做法是將機(jī)械設(shè)備涉及的過(guò)程工藝參數(shù)或關(guān)鍵部件的狀態(tài)參數(shù)作為分析對(duì)象[8-10]。針對(duì)機(jī)器人，一種稱為HAZOP-UML的分析方法已被開(kāi)發(fā)[11]，使用UML圖作為機(jī)器臂節(jié)點(diǎn)劃分的依據(jù)，并使用一些新的引導(dǎo)詞進(jìn)行組合分析。

故障模式及影響分析(failure mode and effect analysis，F(xiàn)MEA)作為一種識(shí)別失效模式與確定關(guān)鍵失效模式的方法已在航空、汽車(chē)、機(jī)械及機(jī)器人的風(fēng)險(xiǎn)識(shí)別中得到廣泛應(yīng)用[12]。與HAZOP從偏差確定失效模式的分析思路相反，F(xiàn)MEA以機(jī)械臂設(shè)計(jì)圖紙作為輸入信息，從元件或子系統(tǒng)的失效模式出發(fā)逐級(jí)分析其原因、影響及安全措施[4]。FMEA使用半定量的風(fēng)險(xiǎn)優(yōu)先數(shù)(risk priority number，RPN)對(duì)失效模式進(jìn)行分類及過(guò)濾，RPN為失效嚴(yán)酷度、頻度以及可探測(cè)度三者的乘積，在實(shí)際故障率數(shù)據(jù)可確定的情況下也可對(duì)RPN進(jìn)行定量化。RPN的計(jì)算結(jié)果是決定針對(duì)某個(gè)失效模式是否需要額外SRCF的依據(jù)。傳統(tǒng)的RPN計(jì)算方法存在的問(wèn)題在一些研究中已被指出[13-14]，主要是權(quán)重相等的3個(gè)參數(shù)相乘導(dǎo)致參數(shù)間的相對(duì)重要度被忽略，以及定性確定的參數(shù)值存在較大的不確定性與不準(zhǔn)確性。此外，對(duì)復(fù)雜機(jī)械系統(tǒng)枚舉所有可能的元件故障組合來(lái)評(píng)估耦合故障的影響是難以實(shí)施的，一些研究工作致力于克服這一點(diǎn)[15-16]。但與HAZOP相比，以機(jī)械臂子系統(tǒng)或元件作為分析對(duì)象的FMEA在確定SRCF時(shí)也更有針對(duì)性。

3 安全完整性要求辨識(shí)

安全完整性要求描述SRCF每小時(shí)危險(xiǎn)失效概率(probability of a dangerous failure per hour，PFHD)的目標(biāo)值，并使用對(duì)應(yīng)的安全完整性等級(jí)(safety integrity level，SIL)表示。在IEC 62061 中，該過(guò)程也稱為SIL分配。SIL的分配目的是通過(guò)風(fēng)險(xiǎn)評(píng)估確定必要的風(fēng)險(xiǎn)降低程度，并根據(jù)結(jié)果對(duì)特定的SRCF所需SIL進(jìn)行確定，以避免SRCF的可靠性不足及資源的浪費(fèi)。IEC 61508-5推薦了多種用于確定SIL的方法，包括：風(fēng)險(xiǎn)圖(risk graph)，保護(hù)層分析法(layers of protection analysis，LOPA)以及危險(xiǎn)事件嚴(yán)重度矩陣。

3.1 風(fēng)險(xiǎn)圖

風(fēng)險(xiǎn)圖使用危險(xiǎn)事件嚴(yán)重程度(C)、暴露頻率或持續(xù)時(shí)間(F)、危險(xiǎn)事件發(fā)生概率(W)、規(guī)避或限制傷害的概率(P)的4個(gè)參數(shù)描述某個(gè)危險(xiǎn)，每個(gè)參數(shù)都被劃分為數(shù)個(gè)等級(jí)。在IEC 61508-5中風(fēng)險(xiǎn)圖被描述為一種定性或定量的SIL分配方法，這取決于參數(shù)等級(jí)的劃分是基于定性還是定量的指標(biāo)。使用一個(gè)決策樹(shù)逐級(jí)組合各個(gè)參數(shù)即可確定分配給SRCF的SIL，這種決策樹(shù)的分析思路也在ISO 13849中得到了沿用。

在IEC 62061中提供了一種風(fēng)險(xiǎn)圖與風(fēng)險(xiǎn)矩陣結(jié)合的方法，其也被認(rèn)為是一種半定量方法[17]。該方法對(duì)某個(gè)危險(xiǎn)事件的嚴(yán)重程度(Se)及損害概率(CI)進(jìn)行評(píng)估，并以CI、Se、SIL三者的關(guān)系矩陣確定所需SRECS的SIL等級(jí)，如表1所示。CI為暴露頻率(Fr)、危害發(fā)生概率(Pr)以及避免或限制傷害的概率(Av)三者的和。這種半定量方法的評(píng)估參數(shù)沿用了風(fēng)險(xiǎn)圖中的設(shè)定，風(fēng)險(xiǎn)的評(píng)估過(guò)程與風(fēng)險(xiǎn)圖沒(méi)有本質(zhì)上的區(qū)別。參考文獻(xiàn)[18]給出了根據(jù)IEC 62061進(jìn)行SIL分配的詳細(xì)步驟。在使用風(fēng)險(xiǎn)圖對(duì)單個(gè)機(jī)械臂的SRCF進(jìn)行SIL分配時(shí)，參數(shù)等級(jí)的劃分應(yīng)在整個(gè)生產(chǎn)系統(tǒng)內(nèi)遵循統(tǒng)一的標(biāo)準(zhǔn)。

表1 SIL分配矩陣

注：OM(other measurement)為推薦使用其他風(fēng)險(xiǎn)減低措施

由于主觀經(jīng)驗(yàn)干擾以及行業(yè)環(huán)境不同，評(píng)估者對(duì)各種等級(jí)參數(shù)的解釋可能是不同的[19]，這可能導(dǎo)致參數(shù)分類數(shù)量、取值范圍的不一致，從而引起使用風(fēng)險(xiǎn)圖法分配SIL的不確定性，已有研究分析了使用風(fēng)險(xiǎn)圖法的不確定性來(lái)源，并提出了通過(guò)蒙特卡洛模擬與模糊集來(lái)分析SIL不確定度的方法[20]。盡管存在上述缺點(diǎn)，但由于其易用性，風(fēng)險(xiǎn)圖仍是目前最常用的分配SIL的方法[21]。風(fēng)險(xiǎn)圖可以作為分階段方法的第一個(gè)篩選工具，篩選出不需要SIL評(píng)級(jí)的安全功能，進(jìn)一步可以使用更嚴(yán)格的方法重新評(píng)估SIL等級(jí)[22]。

3.2 保護(hù)層分析法

與風(fēng)險(xiǎn)圖類似，LOPA是一種半定量的風(fēng)險(xiǎn)分析方法，在各種數(shù)據(jù)可確定的情況下同樣可實(shí)現(xiàn)量化分析。該方法從危險(xiǎn)場(chǎng)景出發(fā)，分析危害場(chǎng)景的各個(gè)起始原因的發(fā)生概率及用于防止和減輕危害的各個(gè)保護(hù)層的失效概率，可得出總體的危險(xiǎn)概率Ph?？山邮艿奈ｋU(xiǎn)事件概率Pt取決于危險(xiǎn)事件后果的嚴(yán)重程度，該值一般通過(guò)風(fēng)險(xiǎn)矩陣確定。使用式(1)即可得出附加的SRECS應(yīng)滿足的PFHD值，進(jìn)一步可確定所需的SIL。IEC 61508建議從最壞的角度確定各個(gè)概率值，即將概率值向上舍入更高的十進(jìn)制范圍，這將導(dǎo)致一個(gè)保守的SIL估計(jì)值。

(1)

在量化風(fēng)險(xiǎn)分析方面，LOPA提供了比其他方法更好的精確度與更少的時(shí)間花費(fèi)[23]。由于其與危險(xiǎn)情景的相關(guān)性，LOPA可以揭示過(guò)去的定性危害分析中未識(shí)別的安全問(wèn)題[24]。但LOPA本身不包含危險(xiǎn)情景的識(shí)別過(guò)程，故應(yīng)用該方法還需要HAZOP或PrHA等分析結(jié)果的支持。已有研究比較分析了風(fēng)險(xiǎn)圖法與LOPA，認(rèn)為L(zhǎng)OPA是比風(fēng)險(xiǎn)圖法更為嚴(yán)謹(jǐn)全面的方法，但二者均存在難以量化不同風(fēng)險(xiǎn)措施間的共因失效(common cause failure)的局限性[22]。

4 基于功能塊的SRECS設(shè)計(jì)與集成

IEC 62061 為SRECS提出一種自上而下的結(jié)構(gòu)化的設(shè)計(jì)方法，以功能塊(function block，F(xiàn)B)為基本元素構(gòu)建SRECS的初始概念，并從功能塊映射到具有物理實(shí)體的子系統(tǒng)(subsystem，SS)。這主要包括功能分解與功能分配兩個(gè)過(guò)程。

功能分解是基于概念的設(shè)計(jì)過(guò)程，從安全功能要求與安全完整性要求出發(fā)，將各個(gè)SRCF以FB的概念分解為3個(gè)主要FB，包括輸入FB、邏輯求解FB及輸出FB，并繼承所屬SRCF的SIL。當(dāng)需要設(shè)計(jì)容錯(cuò)結(jié)構(gòu)時(shí)，功能塊還可進(jìn)一步細(xì)分為功能塊元素(function block element，F(xiàn)BE)。功能分配將分解得到的各個(gè)FB分配到具有物理實(shí)體的SS中。類似的，子系統(tǒng)元素(subsystem element，SSE)作為SS的一部分由對(duì)應(yīng)的FBE分配得到。此外，不同的SRCF中具有相似功能的多個(gè)FB可以多對(duì)一的關(guān)系分配給單個(gè)子系統(tǒng)。IEC 62061以數(shù)控車(chē)床防護(hù)門(mén)的SRECS設(shè)計(jì)為例介紹了使用功能塊的SRECS設(shè)計(jì)過(guò)程，本文第六節(jié)在此基礎(chǔ)上進(jìn)行了擴(kuò)展，解釋了具有多個(gè)SRCF的SRECS設(shè)計(jì)集成過(guò)程。

5 SRECS安全確認(rèn)

SRECS在現(xiàn)場(chǎng)實(shí)施之前，還需對(duì)SRECS的安全完整性進(jìn)行評(píng)估。主要任務(wù)包括PFHD的評(píng)估與體系結(jié)構(gòu)限制的分析。其中體系結(jié)構(gòu)限制根據(jù)子系統(tǒng)的安全失效系數(shù)以及硬件故障裕度限定子系統(tǒng)所能達(dá)到的最大SIL等級(jí)。安全失效系數(shù)通過(guò)式(2)計(jì)算[2]。在SRECS的設(shè)計(jì)過(guò)程中，可通過(guò)増加冗余或增加安全失效如采用高等級(jí)的元器件、元器件降級(jí)設(shè)計(jì)等方式降低結(jié)構(gòu)約束從而提高系統(tǒng)設(shè)計(jì)的安全性[25]。

(2)

式中：λs為安全失效率，安全失效不導(dǎo)致SRCF的失效；λDD為診斷功能檢測(cè)到的危險(xiǎn)失效比率；λD為危險(xiǎn)失效率。

PFHD評(píng)估是一個(gè)相當(dāng)困難的活動(dòng)，IEC 61508-5針對(duì)這部分提出了諸多參考方法，包括可靠性框圖、故障樹(shù)分析、馬爾可夫分析、Petri網(wǎng)等，PFHD的評(píng)估方法也已成為了功能安全領(lǐng)域的研究重點(diǎn)。IEC 62061提供的PFHD的評(píng)估方法是基于可靠性框圖的，SRECS的危險(xiǎn)隨機(jī)硬件失效概率為參與執(zhí)行SRCF的所有子系統(tǒng)危險(xiǎn)隨機(jī)硬件失效概率的和，適當(dāng)時(shí)，還包括數(shù)字?jǐn)?shù)據(jù)通信過(guò)程危險(xiǎn)傳輸錯(cuò)誤的概率[2]，如式(3)所示。

PFHD=PFHD1+…+PFHDN+PTE

(3)

式中：PFHD為SRECS的危險(xiǎn)失效概率；PFHDN為參與執(zhí)行SRCF各子系統(tǒng)的危險(xiǎn)失效概率；PTE為通信過(guò)程的錯(cuò)誤率，該值的確定可以參照IEC 61784-3[26]，此標(biāo)準(zhǔn)為實(shí)現(xiàn)數(shù)據(jù)通信的功能安全提供指導(dǎo)。

IEC 62061為具有不同冗余結(jié)構(gòu)及診斷結(jié)構(gòu)下的子系統(tǒng)PFHD給出了計(jì)算公式，這些公式基于布爾邏輯，要求輸入各子系統(tǒng)的失效率λ、診斷覆蓋率DC、共因失效敏感度β以及測(cè)試間隔T。這種計(jì)算方法相當(dāng)依賴輸入數(shù)據(jù)的準(zhǔn)確性，并難以對(duì)冗余結(jié)構(gòu)超出標(biāo)準(zhǔn)提供公式范圍的復(fù)雜子系統(tǒng)進(jìn)行分析。在這種情況下，可以使用其他在IEC 61508-5中被推薦的方法進(jìn)行評(píng)估。

6 機(jī)械臂制造單元的SRECS實(shí)現(xiàn)

本節(jié)使用機(jī)械臂制造單元為例對(duì)整個(gè)SRECS實(shí)過(guò)程進(jìn)行描述。大多數(shù)工業(yè)機(jī)器人事故發(fā)生在人機(jī)交互的過(guò)程中，這包括計(jì)劃內(nèi)的交互過(guò)程，如調(diào)試，設(shè)置，編程，測(cè)試，檢查，故障排除和維護(hù)等；也包括非預(yù)期的交互過(guò)程，如意外闖入工作單元等。在這些情況下人員通常處于危險(xiǎn)區(qū)域，需要安全措施來(lái)保護(hù)他們免受機(jī)械的危害。表2展示了針對(duì)該設(shè)備進(jìn)行PrHA的部分結(jié)果，每個(gè)危害至少部署了一個(gè)SRCF。

表3為基于IEC 62061的安全完整性要求辨識(shí)結(jié)果，對(duì)表2中得出的各個(gè)危害類型做進(jìn)一步傷害發(fā)生概率分析，結(jié)合表1可得出各個(gè)SRCF應(yīng)具有的SIL。

以上述分析結(jié)果為基礎(chǔ)，圖2給出了基于功能塊的SRECS設(shè)計(jì)與集成過(guò)程。在實(shí)際設(shè)計(jì)過(guò)程中可能會(huì)引入更多的冗余結(jié)構(gòu)以減少各SS的失效概率，如例中的速度傳感FB進(jìn)一步分解為兩個(gè)功能塊元素，二者執(zhí)行相同的速度傳感功能。3個(gè)SRCF的輸出功能塊均為與電機(jī)的動(dòng)力切換相關(guān)，故均分配到了同一個(gè)電機(jī)驅(qū)動(dòng)器子系統(tǒng)中，電機(jī)驅(qū)動(dòng)器的SIL繼承3個(gè)功能塊中最高的SIL3，與之類似的還有邏輯解決功能塊的分配。在某些情況下，即使功能塊具有類似的功能，也要分配在不同的子系統(tǒng)中以避免共因失效，但同時(shí)會(huì)帶來(lái)成本的上升。

表2 機(jī)械臂PrHA的部分分析結(jié)果

完成上述步驟后即可對(duì)子系統(tǒng)進(jìn)行設(shè)備選型、細(xì)節(jié)設(shè)計(jì)，并進(jìn)一步進(jìn)行安全完整性確認(rèn)。安全完整性確認(rèn)需要各個(gè)設(shè)備的失效率數(shù)據(jù)，這可從設(shè)備供應(yīng)商、第三方的功能安全認(rèn)證機(jī)構(gòu)或其他可靠性數(shù)據(jù)庫(kù)獲取。若經(jīng)確認(rèn)未能達(dá)到目標(biāo)SIL，則應(yīng)對(duì)設(shè)計(jì)進(jìn)行修改，如選擇可靠性更高的元件、增加容錯(cuò)結(jié)構(gòu)、設(shè)置診斷功能、縮短驗(yàn)證測(cè)試周期等，以滿足安全完整性要求。

表3 SIL分配結(jié)果

7 結(jié)語(yǔ)

本文遵循IEC 61508提出的安全生命周期的脈絡(luò)，結(jié)合IEC 62061中的相關(guān)要求，分析梳理了基于安全生命周期的機(jī)械臂制造單元SRECS的實(shí)現(xiàn)過(guò)程，總結(jié)如下：

(1)本文分析了3種SRCF辨識(shí)技術(shù)，PrHA可在設(shè)計(jì)初期信息有限的情況下進(jìn)行并可作為其他風(fēng)險(xiǎn)識(shí)別及分析技術(shù)的基礎(chǔ)；開(kāi)發(fā)于流程工業(yè)的HAZOP經(jīng)過(guò)一定的修改后也可自上而下的進(jìn)行SRCF辨識(shí)；FMEA與HAZOP相反提供了一種自下而上的分析視角，也較適用于機(jī)械領(lǐng)域，但難以對(duì)多部件故障耦合導(dǎo)致的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確識(shí)別。

(2)IEC 62061提供的基于風(fēng)險(xiǎn)矩陣的SIL分配方法本質(zhì)上是基于風(fēng)險(xiǎn)圖的，它易于實(shí)施但具有較大不確定性；LOPA能在其他類型的風(fēng)險(xiǎn)降低措施如氣動(dòng)、液動(dòng)安全系統(tǒng)存在的情況下進(jìn)行更準(zhǔn)確的SIL分配。有關(guān)SIL分配的研究大部分面向過(guò)程工業(yè)，而在機(jī)械領(lǐng)域還有待深入。

(3)基于功能塊的SRECS設(shè)計(jì)符合IEC 62061的要求，該過(guò)程主要包括功能分解及功能分配兩個(gè)步驟，能夠快速形成SRECS的整體架構(gòu)并確定各個(gè)子系統(tǒng)應(yīng)具有的SIL等級(jí)。

(4)IEC 62061僅為簡(jiǎn)單子系統(tǒng)的安全完整性評(píng)估提供了參考方法，復(fù)雜子系統(tǒng)的安全完整性評(píng)估應(yīng)參照IEC 61508-5的方法與要求。若SRECS的SIL未達(dá)到預(yù)期SIL分配的要求，還需返回修改，SRECS在整個(gè)安全生命周期內(nèi)的實(shí)現(xiàn)過(guò)程是動(dòng)態(tài)循環(huán)的。

[1]JustinHuggler.Robot kills man at Volkswagen plant in Germany [OL].http://www.telegraph.co.uk/news/worldnews/europe/germany/11712513/Robot-kills-man-at-Volkswagen-plant-in-Germany.html, 2015.

[2]International Electrontechnical Commission.Safety of machinery-Functional safety of safety-related electrical, electronic and programmable electronic controlsystems:IEC 62061[S].Geneva, Switzerland,2012.

[3]International Electrontechnical Commission.Functional safety of electrical/electronic/Programmable electronic safety-relatedsystems:IEC 61508[S].Geneva, Switzerland,2010.

[4]International ElectrontechnicalCommission.Risk management-Risk assessment techniques: IEC 31010[S].Geneva,Switzerland,2009.

[5]John C.Wincek CSP.Two safety reviews before formal PHAs[J].Process Safety Progress, 2011, 30(3):212-215.

[6]Markowski A S, Siuta D.Selection of representative accident scenarios for major industrial accidents[J].Process Safety & Environmental Protection, 2017.

[7]Vaughen B K, Mudd J O, Pierce B E.Using the ISA 84/HAZOP/LOPA procedure to design a safety instrumented system for a fumed silica burner[J].Process Safety Progress, 2011, 30(2):132-137.

[8]Kavita Patwardhan.Hazop Study Report[R].Assam Gas Company Ltd,2010.

[9]Bu X.Hazard and operability safety analysis on natural gas compressor based on signed directed graph[C].International Conference on Education, Sports, Arts and Management Engineering.2016.

[10]任藝靖.壓氣站壓縮機(jī)組儀表系統(tǒng)安全完整性等級(jí)評(píng)估研究[D].北京：中國(guó)石油大學(xué)(北京),2013.

[11]Guiochet J.Hazard analysis of human-robot interactions with HAZOP-UML[J].Safety Science, 2016, 84:225-237.

[12]Bowles J B,Pelaez C E.Fuzzy logic prioritization of failures in a system failure mode, effects and criticality analysis.Reliab Eng Syst Saf[J].Reliability Engineering & Systems Safety, 1995, 50(2):203-213.

[13]Wen Jiang,Chunhe Xie, Miaoyan Zhuang, et al.Failure mode and effects analysis based on a novel fuzzy evidential method[J].Applied Soft Computing, 2017:1-8.

[14]Certa A, Hopps F, Inghilleri R, et al.A dempster-shafer theory-based approach to the Failure Mode, Effects and Criticality Analysis (FMECA) under epistemic uncertainty: application to the propulsion system of a fishing vessel[J].Reliability Engineering & System Safety, 2017, 159(69):69-79.

[15]Xiao N, Huang H Z, Li Y, et al.Multiple failure modes analysis and weighted risk priority number evaluation in FMEA[J].Engineering Failure Analysis, 2011, 18(4):1162-1170.

[16]Tsai S B, Zhou J, Gao Y, et al.Combining FMEA with DEMATEL models to solve production process problems[J].Plos One, 2017, 12(8):e0183634.

[17]Fuchs P,Zajicek J.Safety lintegrity level (SIL) versus full quantitative risk value[J].Eksploatacja i Niezawodnosc - Maintenance and Reliability, 2013, 15(2):99-105.

[18]黃祖廣,張承瑞,趙欽志,等.基于IEC62061標(biāo)準(zhǔn)的SRECS風(fēng)險(xiǎn)評(píng)估與SIL分配[J].制造技術(shù)與機(jī)床,2013(9):162-165.

[19]Naitsaid R, Zidani F, Ouzraoui N.Modified risk graph method using fuzzy rule-based approach.[J].Journal of Hazardous Materials, 2009, 164(2-3):651.

[20]Kwangpil Chang, Sungteak Kim, Daejun Chang, et al. Enrico Zio Uncertainty analysis for target SIL determination in the offshore industry[J].Journal of Loss Prevention in the Process Industries, 2015,34:151-162.

[21]Kim S T, Chang K P, Kim Y H.Risk-based design for implementation of SIS functional safety in the offshore industry[C].Safety, Reliability And Risk Analysis: Beyond The Horizon,2014:1875-1880.

[22]Torres-Echeverria, Alejandro C.On thethe use of LOPA and risk graphs for SIL determination[J].Journal of Loss Prevention in The Process Industries,2016(5):333-343.

[23]Yun G W, Rogers W J, Mannan M S.Risk assessment of LNG importation terminals using the Bayesian-LOPA methodology[J].Journal of Loss Prevention in the Process Industries, 2009, 22(1):91-96.

[24]Summers A E.Introduction to layers of protection analysis[J].Journal of Hazardous Materials, 2003, 104(1-3):163.

[25]黃祖廣.基子功能安全的數(shù)控系統(tǒng)設(shè)計(jì)方法及關(guān)鍵技術(shù)研究[D].濟(jì)南：山東大學(xué), 2015.

[26]International Electrontechnical Commission.Industrial communication networks - Profiles - Part 3: Functional safety fieldbuses - General rules and profile definitions: IEC 61784-3[S].Geneva, Switzerland,2016.