第3章:危险识别与风险评估

大家好,我是你们的老朋友。今天咱们聊聊功能安全里最核心、也最容易被忽视的一步——危险识别与风险评估。

说实话,我见过太多项目,一上来就急着写代码、画电路板,结果做到一半发现安全目标没定清楚,回头再补风险分析,那叫一个痛苦。所以,我个人的习惯是:先花足够的时间把危险源找全,把风险评明白。这一步省下来的时间,后面会加倍还给你。

3.1 危险源识别方法

危险源识别,说白了就是回答一个问题:我的设备到底会出什么幺蛾子?

常用的方法有两种:HAZOP 和 FMEA。我分别说说我的体会。

3.1.1 HAZOP(危险与可操作性分析)

HAZOP 这玩意儿,最早是化工行业用的,后来被 IEC 62061 拿过来用在了机械安全上。它的核心思路是:用引导词 + 工艺参数,系统性地找出偏差

举个例子,你设计一个液压冲压机。引导词是“无”、“多”、“少”、“反向”等,工艺参数是“压力”、“流量”、“温度”等。组合起来问:

  • “压力无” → 是不是油管爆了?
  • “压力多” → 是不是溢流阀卡住了?
  • “流量反向” → 是不是单向阀装反了?

嗯,这里要注意:HAZOP 特别适合连续过程,比如化工、制药、食品加工。对于离散制造(比如机器人抓取、冲压机),我个人觉得 FMEA 更顺手。

我的经验:做 HAZOP 时,一定要拉上工艺工程师、电气工程师、机械工程师一起开会。一个人闭门造车,很容易漏掉关键偏差。我曾经有个项目,就是因为没叫上操作工,漏掉了“手动模式下的误操作”这个危险源,后来差点出事故。

3.1.2 FMEA(失效模式与影响分析)

FMEA 是我用得最多的方法。它的逻辑很简单:每个部件会怎么坏?坏了会怎样?

比如一个安全继电器,它的失效模式可能有:

  • 触点粘连(常开变常闭)
  • 线圈断路(不吸合)
  • 响应时间变慢(超出安全时间)

每个失效模式都要分析:对系统的影响是什么?严重度多高?发生概率多大?检测手段有没有?

避坑指南:我曾经犯过一个错——只分析了“硬件失效”,忽略了“软件失效”和“人为操作失误”。后来被审核老师怼了一顿。记住:IEC 62061 要求覆盖所有可预见的危险,包括软件 bug、操作工走神、维护时没断电等等。

3.2 风险矩阵与风险降低

找出了危险源,接下来要评估风险大小。这里就要用到风险矩阵了。

3.2.1 风险矩阵长什么样?

IEC 62061 里推荐的风险矩阵,通常有两个维度:

  • 严重度(Se):从轻微擦伤(Se=1)到多人死亡(Se=4)
  • 概率(Pr):从几乎不可能(Pr=1)到频繁发生(Pr=5)

两者相乘,得到一个风险等级(R = Se × Pr)。然后对照下表,决定是否需要降低风险:

风险等级 R 风险描述 行动要求
1-3 可接受风险 无需额外措施
4-6 有条件接受 需监控或轻微改进
8-12 不可接受 必须降低风险
15-20 极度危险 立即停止,重新设计

你想想看,如果某个危险源的严重度是 Se=4(死亡),概率是 Pr=3(偶尔发生),那 R=12,属于不可接受。这时候就必须加安全措施,比如加光栅、加双手启动按钮、加安全 PLC 等。

3.2.2 风险降低的层次

降低风险不是瞎降,IEC 62061 规定了明确的层次:

  1. 本质安全设计:比如把尖锐边角改成圆角,或者用低压代替高压。这是最根本的。
  2. 安全防护:加防护罩、光栅、安全门锁等。
  3. 安全功能:通过控制系统实现安全停机、急停等。
  4. 使用信息:贴警告标签、写操作手册。这是最后一道防线。

我个人习惯:能用本质安全解决的,绝不用安全功能。因为安全功能再可靠,也有失效的可能。而本质安全设计,比如把危险区域直接隔离掉,那才是真正的“一劳永逸”。

注意:风险降低不是一次性的。每次加了新措施,都要重新评估风险,直到风险等级降到可接受范围。我曾经见过一个项目,加了光栅后以为万事大吉,结果没考虑光栅的响应时间,导致操作工手伸进去时机器还没停住。嗯,这就是典型的“风险降低不彻底”。

3.3 安全目标定义

风险降低完了,接下来要定义安全目标。安全目标说白了就是:我的安全系统到底要做到什么程度?

3.3.1 安全目标包含什么?

一个完整的安全目标,至少包含以下要素:

  • 危险事件描述:比如“操作工手伸入冲压区时,冲头意外下行”
  • 安全状态:比如“冲头停止在上死点,且保持不动”
  • 安全功能要求:比如“当光栅被遮挡时,在 100ms 内切断动力源”
  • 安全完整性等级(SIL):比如 SIL 2 或 SIL 3

举个例子,我最近做的一个包装机项目,安全目标是这样写的:

安全目标编号:ST-001
危险事件:操作工在更换膜卷时,手被卷入切刀机构
安全状态:切刀停止在打开位置,电机断电抱闸
安全功能:当安全门锁打开时,在 50ms 内切断切刀电机电源
SIL 要求:SIL 2
验证方法:FTA + 可靠性计算

3.3.2 安全目标怎么定?

安全目标的 SIL 等级,是从风险矩阵里推导出来的。一般来说:

  • 风险等级 R 越高,需要的 SIL 越高
  • 严重度 Se 越高,SIL 要求也越高
  • 如果风险降低措施已经用了很多,但风险还是高,那就得提高 SIL
我的建议:别一上来就定 SIL 3。SIL 3 的成本是 SIL 2 的 3-5 倍,而且验证起来非常麻烦。先试试能不能通过本质安全设计把风险降下来,实在不行再上高 SIL。我见过有人为了“保险”,所有安全功能都定 SIL 3,结果项目预算直接翻倍,老板脸都绿了。

3.4 知识体系总览

为了让大家更直观地理解本章的知识结构,我画了一张图:

第3章:危险识别与风险评估 危险源识别 风险评估 安全目标定义 HAZOP FMEA 风险矩阵 风险降低层次 安全状态定义 SIL 等级分配 核心逻辑: 找出危险源 → 评估风险等级 → 降低风险 → 定义安全目标

这张图把本章的三个核心环节串起来了。你从左边开始,先做危险源识别,然后评估风险,最后定义安全目标。每一步都环环相扣,缺一不可。

3.5 本章小结

好了,咱们来捋一捋今天的内容:

  • 危险源识别:HAZOP 适合连续过程,FMEA 适合离散制造。别漏了软件和人为因素。
  • 风险评估:用风险矩阵算 R 值,R≥8 就必须降风险。降风险要按层次来,本质安全优先。
  • 安全目标定义:写清楚危险事件、安全状态、安全功能、SIL 等级。别一上来就定 SIL 3,先试试能不能用低成本方案解决。

我个人觉得,这一章是整个功能安全设计的地基。地基没打好,后面盖的楼再漂亮也是危楼。所以,多花点时间在危险识别和风险评估上,绝对值得。

最后送大家一句话:安全不是检查出来的,是设计出来的。而好的设计,从一次认真的危险识别开始。

公众号:蓝海资料掘金营,微信deep3321