EN954-1和IEC61508：安全标准解读与比较

1.概况

随着社会的进步，产品的安全性已越来越引起人们的重视。现代数控机床的设计不仅要重视设备的性能，而且还需要将人身和设备的安全作为最重要的指标，贯彻到从机械、液压、电气控制系统器件选择、系统设计、安装调试乃至维修服务的全过程。

以国际（地区）性标准的形式正式实施的机电设备安全标准，由欧洲电工标准化委员会（CENELEC）首先提出，并作为欧盟统一的标准（EN954等）颁布并实施；随后，国际电工委员会（IEC）颁布了统一的国际标准（IEC 61508等）；目前，机电产品的设计必须贯彻国际标准化组织（ISO）最新颁布的强制性标准EN ISO 13849等。

EN954是执行最早、使用时间最长的安全标准，直至2012年1月1日才被EN ISO13849所替代^[1]，IEC 61508则一直沿用至今，它们在数控机床设计中应用十分广泛，目前国内所使用的进口数控机床绝大多数按此标准设计。为此，本节将对EN954^[2]、IEC 61508及相关的IEC EN 62061、DIN V19250和DIN V VDE 0801标准进行简介，有关ISO13849的内容将在下一节进行介绍。

2.EN 954-1

EN 954是较早使用的机电设备安全标准，它由欧洲电工标准委员会（CENELEC）于1992年11月公布，1996年正式实施。EN 954原计划的终止日期为2009年12月28日，后决定推迟2年，将EN 954和EN ISO 13849并行使用的过渡期延长至2011年12月31日。

EN 954标准的全称为“机械安全-与安全有关的控制系统部件（Safety of Machinery-Safety-Related Parts of Control System）”。标准包括两个部分，第一部分（Part 1）为设计总则（General Principles of Design），它与机电产品设计密切相关；第二部分（Part 2）为“确认，测试，故障表单”等。EN954标准的基本术语和方法大部分参考了更早的EN 292-1：1991标准。

EN 954-1规定了产品设计和选择安全措施的基本流程，流程包括危险分析和评估、选择措施以减少风险、通过控制系统与安全相关的部件达到规定的安全要求、设计及验证5个基本步骤；提供了停车、紧急停车、手动重置、启动和重启等典型安全功能的列表。标准为确定设备的安全性能提供了一个指导文件。

EN 954-1要求设备生产制造商在产品开发阶段就进行风险评估，确定系统的安全类别，并采取相关措施来降低风险，其核心内容是确定系统的安全类别（Categories）。

根据可能造成的人身伤害程度S（Sever of injury）、风险频度F（Frequency and duration）及避免风险的可能性P（Possibility of avoidance），EN 954-1标准将安全类别分为表5.1-1所示的B、1、2、3、4共5级，B级对安全系统没有特别的要求；4级为最高。

表5.1-1 EN954-1标准规定的安全类别

表中的符号及栏目的含义如下。

安全类别：“●”优先采用的安全类别；“●允许采用的安全类别，但需要补充相关措施；“○”比实际要求更安全的类别。

伤害程度：“S1”为可治愈的擦伤、划伤等轻微伤害；“S2”为重伤或不可治愈的伤害。

风险频度：“F1”为不会或偶尔发生；“F2”为经常或持续发生。

避免风险的可能性：“P1”为特殊情况下可避免；“P2”为几乎不可能避免。

根据的不同安全类别，系统设计必须采用相应的措施，这些措施称为控制类别（Control Categories）。系统控制类别同样分为B、1、2、3、4共5级，各控制类别的电气设计要求见表5.1-2，它是数控机床电气控制系统设计的主要依据。作为安全设计的基本原则，控制系统所采用的控制类别必须等于或高于安全类别。

表5.1-2 电气控制系统设计要求

3.IEC 61508

IEC 61508是国际电工委员会1998年12月颁布的国际标准，2000年5月正式实施。该标准由欧洲率先采用；2003年，美国开始在一些高危行业强制实施；2006年，我国的国家标准化委员会发布了与IEC61508对应的标准GB/T 20438—2006，并于2007年1月1日开始正式实施。

IEC 61508的全称为“电气/电子/可编程电子安全系统的功能安全（Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems）”，该标准适用于以电子为基础的、由电气/电子/可编程电子等部件构成的、起安全作用的系统（简称E/E/PE或E/E/PES）。IEC 61508针对E/E/PE系统的整体安全生命周期，建立了一个基础的评价方法，其目的是为E/E/PE系统提出一个统一、合理的技术方案，统筹考虑传感器、通信设备、控制装置、执行器等元件与安全系统的组合问题。IEC 61508标准包括了以下7部分的内容，作为补充，IEC还同时颁布了“IEC 61511：工艺过程工业的安全仪表系统”等相关标准。

第1部分：一般要求。描述了主要概念、组织、生命期、文档编制、引导证据及安全等级（SIL）的定义。(www.xing528.com)

第2部分：电气/电子/可编程电子（E/E/PE）系统安全的要求，包括对设备和控制系统的要求，很多内容与第7部分的鉴别方法的应用有关，这些方法可解决随机或系统失效的问题。

第3部分：对软件的要求、描述避免失效的方法，它与第7部分的附录相关。

第4部分：定义和缩略语。

第5部分：确定安全完整性水平的方法示例。

第6部分：第2和第3部分的应用指南。

第7部分：测试方法、简短的注释和部分参考书目。

IEC 61508标准的核心是风险概念和安全功能。风险是指危害事件频率（或可能性）以及事件后果严重性，标准要求产品的设计和制造者应通过应用E/E/PE和/或其他技术构成的安全功能，使风险降低到可容忍的水平。虽然，其他技术也可能被用来降低风险，但IEC61508标准的详细需求只覆盖了采用E/E/PE技术的安全功能。

IEC 61508标准的功能安全保证主要包括失效识别和安全完整性水平两部分内容。

①失效识别。失效是指功能单元失去实现功能的能力，系统的功能是根据所达到的行为进行规定的，在执行功能时，某些特定的行为是不允许的，这些行为的出现就是失效。失效可能是随机失效，它通常因硬件故障所致，但也可能是系统失效，这在硬件和软件中都可能出现。失效识别就是分辨不同部件的各种失效原因，估算出系统失效概率。

②安全完整性水平（safety integrity level，简称SIL）。用来规定E/E/PE系统安全功能的完整性要求，系统的安全完整性水平越高，所要求的安全功能失败的可能性就越低。根据发生故障的可能性，IEC61508将安全完整性水平规定了SIL1～4共4个等级，以SIL4为最高、SIL1最低。

IEC61508标准是对系统安全理论和技术的描述，没有指定具体的应用领域，但标准并不适用于低复杂性的E/E/PE安全系统。所谓低复杂性的E/E/PE安全系统是指已很好确定了每个部件的失效模式，系统在故障状况下的动作可完全确定的控制系统，如包装机械，印刷机械系统等。

4.IEC EN 62061

IEC EN 62061是国际电工委员会颁布的标准，标准的全称是“机械安全-与安全有关的电气、电子和可编程电子控制系统的功能安全（Safety of machinery-Functional safety of safe-ty-related electrical，electronic and programmable electronic control systems）”，该标准与后述的ISO 13849同样包含了与安全有关的电气控制系统，采用这两种标准可获得同样等级的安全性能与安全完整性，故今后可能合并为统一的标准。

IEC EN 62061和ISO 13849的区别在于其适用范围有所不同，IEC EN 62061限于在电气控制系统，而ISO 13849则适用于起动、液压、机械以及电气控制系统，因此，数控机床的设计一般更多地参照ISO 13849标准。此外，两者所采用的方法上也存在一些的差异，例如，ISO 13849在其说明部分给出一种限定情况：当系统采用复杂的可编程技术时，应将设备的安全等级定义为PLd，而IEC EN 62061则提供了相应的方法。

IEC EN 62061衡量系统安全性能的指标是安全完整性水平（Safety Integrity Level，SIL），它根据系统故障可能造成的伤害程度（Sever of injury，Se）及风险频度（Frequency and du_- ration，Fr）、危险发生的可能性（Possibility of hazardous event，Pr）、避免危险的可能性（Possibility of avoidance，Av）三者的等级Cl（Class，Cl=Fr+Pr+Av），将安全完整性水平SIL分为表5.1-3所示的3级，表中的OM建议用其他方式评估。

表5.1-3 IEC EN 62061安全完整性水平SIL

5.DIN V 19250和DIN V VDE 0801

DIN V19250和DIN V VDE 0801是德国1994年颁布并实施的安全标准，在IEC 61508发布之前，它是德国TUV认证的依据。IEC 61508标准的第2部分大都参照该两个标准制定，第5部分的风险曲线与DIN 19250标准类似。

DIN V19250标准要求安全系统的设计等级必须与生产过程现场的危险性等级（AK1～AK8）相适应。标准采用了一种风险曲线，根据后果分析、面临危险的时间和频率、避免危险的可能性及危险出现的可能性这4个参数来确定安全系统必需的等级。

DIN V VDE 0801标准是针对安全系统计算机的标准，判定某种控制器从设计、编码、程序执行到确定是否符合DIN V 19250标准的要求。

DIN V19250和DIN V VDE 0801在2004年8月被IEC 61508标准所替代，现在，TUV对PE安全系统的认证依据采用IEC 61508。