沃德检测-解读IEC61508（2010版）——安全及功能安全的概念

功能安全标准是针对安全的，安全又是相对的，那么首先就要定义什么是不安全，也就是：伤害（harm），危险（hazard），风险（risk）。

根据IEC61508-4的定义：

Harm：Physical injury or damage to the health of people or damage to property or the environment. 即：对环境、财产或者人员的健康造成的物理性伤害或者损毁。是指问题发生以后对环境、财产和人员造成的伤害。

Hazard：Potential source of harm. 即潜在的伤害源。是指一个可以导致伤害发生的潜在危险源，如果触及那个区域，或者对其防护或控制失效，即可导致伤害发生。

Risk：Combination of the probability of occurrence of harm and the severity of that harm. 即：伤害发生的可能性和严重性。是指某种不安全因素可能导致的伤害和伤害的严重程度。

分清了这几个概念，我们还要明确几个不同阶段对危险的定义：

危险情况（hazardous situation）：Circumstance in which people, property or the environment are exposed to one or more hazards. 即：人，财产或者环境暴露于一个或多个危险中的情况。

危险事件（hazardous event）：event that may result in harm.可能导致伤害的事件。

伤害事件（harmful event）：occurrence in which a hazardous situation or hazardous event results in harm. 即：导致伤害的危险事件或危险情况的发生。

残余风险（residual risk）：risk remaining after protective measures have been taken.即：采取防护措施之后仍然存在的风险。

我们以一台工业制造设备的防护来举例说明上面的情况：

而当进入护栏区域内，机器还在工作的话，就会有风险（risk），因为你已经接近了一个危险源（hazard），进入护栏区域内就是一个危险事件（hazard event），而如果发生了某种人身伤害，那么就是你受到了伤害（harm），也就发生了一起伤害事件（harm event）。

尽管做了这么多的防护措施，可能还有一些不能避免的危险，比如噪声过大，这就是残余风险（residual risk），要让机器来解决这个风险可能要投入相当多的物力和财力，就不如让人来自己做防护，那么就要在醒目的位置加贴警示标识，以及在说明书上告知用户，操作者需带个人防护设备来处理设备的残余风险。

所以，为了使得机器能够安全可靠的被人所利用，根据可能对人造成伤害的不同程度，人接近风险的频次，及是否可以避免的可能性等要素，对设备进行了分级，并按不同的等级做了不同的安全要求，还以上图为例：

1、如果机器只可能对人造成轻微擦伤，则防护栏和安全光幕门等都可以不用，因为即使在操作过程中发生了危险，也没有什么大的问题，而且控制台也可能直接装在设备上，便于操作。

2、如果机器可能会对人员造成不可修复的残疾，那危险就比较大，就需要加装防护栏，把人与设备隔开一定的距离，但如果设备在工作工程中还需要人员适当干预，且人员经过培训，并有严格操作规程，那么只需要安装防护栏即可，而无须安装安全光幕门。

3、如果机器可能会对人员造成不可修复的残疾，甚至死亡，而且工作过程中基本不需要人干预，则要严格控制人员对机器的接触和靠近，则须在防护栏上加装安全光幕门。以便在有人进入危险区域时，及时使设备停机或者控制到安全的程度。

采取了以上的措施，可能也还有一些比较小的风险没有被避免，如：小心地面滑倒、更换刀具时小心夹手等。这些就是残余风险，靠增加适当的警示标示来做适当提醒。

以上这些情况是根据设备的危险程度，在设计上考虑到的一些解决方案，那么是不是做了这样的设计就一定安全了呢？这些安全防范的措施是不是一定可靠呢？我们怎么来衡量和考评这套安全系统的可靠程度呢？

对于防护栏来讲，它只是个结构，根据EN ISO 13857等相关标准进行评估就可以了。但对于安全光幕能否可靠正确的检测到有人进入，对于读取安全光幕的信号来产生停机操作的控制器能否正确发出停机信号，对于执行控制器的停机信号的执行器能否正确执行停机操作，以及整个机器的其他安全控制功能的传感器，控制器和执行器等元件和系统设计，包括软件（如果有）能否正确判断并执行相关指令和任务，就需要用IEC61508和IEC62061（ISO13849）来考评了。

那么这也就引出了功能安全的定义：功能安全是设备安全的一部分，其主要是从E/E/PE相关的控制系统考虑，着重避免由于受控设备及其相关系统在故障或者失效的情况下导致的风险，而对于非电控的风险，如锋利毛边、高温表面、噪声、辐射等导致的危险，这里并没有做考虑，需参见其他相关标准中的要求。

以上是举了个工业机器的例子，对于其他行业，如过程工业（IEC61511），汽车行业（ISO26262）等，又是不同的分析方法和解决方法，但思路和宗旨都是通过采取适当的措施将识别出来的风险减小到最低，从而实现系统和设备的安全可靠。

沃德检测是首家民营机器人检测认证机构，集检测、检验、认证、验货、技术培训、实验室建设和资质申请为一体的综合性第三方公共服务平台。

主要服务项目如下：

1、标准制修订：与机器人相关标委会对接、参与机器人行业相关标准制修订等；

2、检测和检验：电气安全、电磁兼容EMC、可靠性测试（高低温、冷热冲击、振动、盐雾等）、性能测试（位姿精度、轨迹精度、避障、越障、导航精度、停车精度、碰撞力等等）、理化测试（RoHS、reach等）、风险评估和风险减少、功能安全（SIL或PL等级咨询、培训、评估和认证等）；

3、认证服务：中国CR、CCC、入网、SRRC等；欧盟CE、ROHS等；美国UL、FCC等；韩国KCS、KS、KC等；日本PSE、JET-Robot、VCCI等；巴西NR12等；体系认证ISO9001、ISO14001、TS16949等等；