GB/T 16855.1-2008
基本信息
标准号: GB/T 16855.1-2008
中文名称:机械安全 控制系统有关安全部件 第1部分:设计通则
标准类别:国家标准(GB)
标准状态:现行
发布日期:2008-08-25
实施日期:2009-04-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:17567482
标准分类号
标准ICS号:环保、保健与安全>>13.110机械安全
中标分类号:机械>>机械综合>>J09卫生、安全、劳动保护
出版信息
出版社:中国标准出版社
页数:72页
标准价格:44.0 元
计划单号:20075060-T-469
出版日期:2009-04-01
相关单位信息
首发日期:1997-06-06
起草人:张晓飞、李勤、宁燕、富锐、付大为、张维、杨岭、盛晓敏、程红兵
起草单位:机械科学研究总院中机生产力促进中心
归口单位:全国机械安全标准化技术委员会
提出单位:全国机械安全标准化技术委员会(SAC/TC 208)
发布部门:国家标准化管理委员会
主管部门:国家标准化管理委员会
标准简介
GB/T 16855《机械安全 控制系统有关安全部件》由3个部分组成,本部分是GB/T 16855的第1部分。本部分等同采用ISO 13849-1:2006《机械安全 控制系统有关安全部件 第1部分:设计通则》(英文版)。本部分代替GB/T 16855.1-2005。本部分提供了包括软件设计在内的控制系统有关安全部件(SRP/CS)设计和集成的安全要求和指导原则。对于这些SRP/CS的部件,本部分规定了包括执行安全功能所需的性能等级在内的特征。本部分适用于所有种类机械的SRP/CS,不管其采用的何种技术和能量(电、液压、气动、机械等)。本部分未规定特殊应用中的安全功能或性能等级。本部分提供了采用可编程电子系统的SRP/CS的具体要求。本部分未提供设计SRP/CS的部分的具体要求。然而,可使用已给出的原则,例如:类别或性能等级。与GB/T 16855.1-2005相比,主要内容修改如下:——增加了术语:性能等级(PL)、所需的性能等级(PLr)、诊断覆盖率(DC)、平均危险失效时间风险分析、危险失效、共因失效、系统失效、伤害、危险、危险状态、风险、遗留风险、风险评价、风险分析、风险评定、机器的预定使用、可预见的误用、安全功能、监测、可编程电子系统、保护措施、任务时间、检测频率、要求频率、维修率、机器控制系统、安全完整性等级、有限可变语言、全可变语言、应用软件、嵌入式系统;——删除了术语:控制系统安全性、控制系统安全功能;——第4章中增加了确定所需的性能等级(4.3)、所达到的性能等级(PL)的估计及其与SIL的关系(4.5)、软件的安全要求(4.6)和检验所达到的PL是否满足PLr的要求;——第6章内容增加了类别与DCavg、CCF和每个通道MTTFd的关系;——将原标准中的第10章细分为技术文件(第10章)和使用信息(第11章)两章;——修改了附录A、附录B、附录C和附录D,并增加了附录E、附录F、附录G、附录H、附录I、附录J和附录K。 GB/T 16855.1-2008 机械安全 控制系统有关安全部件 第1部分:设计通则 GB/T16855.1-2008 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS_13. 110
中华人民共和国国家标准
GB/T16855.1—2008/1S0O13849-12006代替GB/T16855.1—2005
机械安全
控制系统有关安全部件
第1部分:设计通则
Safety of machinery-Safety-related parts of control systemns-Part 1:General principles for desigr(ISO13849-1:2006,IDT)
2008-08-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2009-04-01实施
前言·
引言·
1范围·
规范性引用文件
3术语、定义、符号和缩写,
4设计方面的考患
4.1设计中的安全目标
风险减小策略
确定所需的性能等级(PL,)·
SRP/CS的设计:
所需的性能等级PL的估计及其与SIL的关系:软件的安全要求,
检验达到的PL.是否满足PL-r
4.8设计的人类功效学方面
5安全功能·
5.1安全功能技术规范,
5.2安全功能详述
6类别以及与DC、CCF和每个通道MTTFa的关系6.1一般要求·
6.2类别规范-
6.3用于实现全部PL.的SRP/CS组合7故障考虑和故障排除·
7.1概述-
7.2故障考虑
7.3故障排除·
8确认-
9维护:
10技术文件,
11使用信息·
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
附录H(资料性附录)
要求的性能等级(PL,)的确定
模块法和有关安全的模块图·
单个元件MTTFa值的计算或估计·估计每个通道MTTFa的简化方法·GB/T16855.1—2008/IS013849-1:2006. m
对功能和模块的诊断覆盖率(DC)的估计共因失效(CCF)的估计-
系统性失效
控制系统有关安全部件组合的示例-.42
CB/T 16855.1—200B/ISO 13849-1:2006附录I(资料性附录)
附录」(资料性附录)
附录K(资料性附录)
参考文献·
示例·
图5的数值表示
GB/T16855.1--2008/IS013B49-1:2006GB/T16B55《机械安全控制系统有关安全部件》由以下3部分组成:第1部分:设计通则;
—第2部分:确认,
一第100部分:GB/T16855.1的应用指南。本部分是GB/T16855的第1部分。本部分等同采用IS013849-1:2006《机械安全控制系统有关安全部件第1部分:设计通则》(英文版)。
本部分等同翻译IS013849-1:2006。为便于使用,本部分做了下列编辑性修改:一删除了国际标准的前言并按照我国标准的要求重新起草了前言;一用“本部分\代替\ISO13849的本部分”,用小数点\.\代替作为小数点的逗号“,”:一修改了规范性引用文件的导语;一对IS013849-1:2006引用的其他标准中,用已被等同采用为我国的标准代替对应的国际标准,未被等同采用为我国标准的直接引用国际标准。本部分代替GB/T16855.1一2005。与GB/T16855.12005相比,主要内容修改如下:增加了术语:性能等级(PL)、所需的性能等级(PL,)、诊断覆盖率(DC)、平均危险失效时间(MTTF.)、危险失效、共因失效、系统失效、伤害、危险、危险状态、风险、遗留风险、风险评价、风险分析、风险评定、机器的预定使用、可预见的误用、安全功能、监测、可编程电子系统、保护措施、任务时间、检测频率、要求频率、维修率、机器控制系统、安全完整性等级、有限可变语言、全可变语言、应用软件、嵌人式系统;一删除了术语:控制系统安全性、控制系统安全功能第4章中增加了确定所需的性能等级(4.3)、所达到的性能等级(PL)的估计及其与SII,的关系(4.5)、软件的安全要求(4.6)和检验所达到的P1.是否满足PL,的要求(4.7):第6章内容增加了类别与DC、CCF和每个通道MTTFa的关系!将原标准中的第10章细分为技术文件(第10章)和使用信息(第11章)两章:修改了附录A、附录B、附录C和附录D,并增加了附录E、附录F、附录G、附录H、附录I、附录J和录K。
本部分的所有附录均为资料性附录。本部分由全国机械安全标准化技术委员会(SAC/TC208)提出并归口。本部分起草单位:机械科学研究总院中机生产力促进中心。本部分主要起草人:张晓飞、李勤、宁燕、富锐、付大为、张维、杨岭、盛晓敏、程红兵。本部分所代替标准的历次版本发布情况为:GB/T16855.1—1997.GB/T16855.1—2005。日
GB/T16855.1—2008/ISO13849-1:2006机械安全标准的结构如下:
a)A类标准(基础安全标准),给出适用于所有机械的基本概念、设计原则和一般特征。b)B类标准(通用安全标准),涉及机械的一种安全特征或使用范围较宽的一类安全防护装置:一一B1类,特定的安全特征(如安全距离、表面温度、噪声等)标准:一B2类:安全装置(如双手操纵装置、联锁装置、压敏装置、防护装置)标准。c)C类标准(机器安全标准),对一种特定的机器或一组机器规定出详细的安全要求的标准。依照GB/T15706.1中的规定,本部分属于通用安全标准(B1类)。对于按照C类标准设计和制造的机器.当C类标准中的条款与A类或B类标准中所述的条款不一致时.优先采用C类标准。
本部分的目的是在控制系统的设计和评价中给出对所涉及的控制系统的指南,并为正在准备制定希望符合欧盟指令98/37/EC机械指令》附录“基本安全要求”的B2类或C类标准的各技术委员会(TC)提供指南。本部分不对符合其他欧盟指令给出具体指南。作为机器全面风险减小策略的一部分,设计者通常愿意通过应用具有一种或多种安全功能的防护装置来达到某种程度的风险减小。用于提供安全功能的机器控制系统部件称为控制系统有关安全部件(SRP/CS).它们由硬件和软件组成.既可独立于机器控制系统也可是与机器控制系统的组成部分。除了提供安全功能以外.SRP/CS也能提供操作功能(例如:双手操纵装置作为过程启动的一种手段)。控制系统有关安全部件在预期条件下执行安全功能的能力分为5级,称之为性能等级(PI.)。这些性能等级由每小时发生危险失效的概率来定义(见表3)。安全功能危险失效的概率取决于儿个因素.包括:软硬件结构、故障检测装置的范围诊断盖率(DC)]、部件的可靠性[平均危险失效时间(MTTF)、共因失效(CCF)]、设计流程、工作压力、环境条件和操作程序等。
为了帮助设计者对所到的PL容易进行评价.本部分采用了根据故障条件下具体设计准则和具体行为来进行结构分类的方法。这些类别分为5类.称之为B类、1类、2类、3类和4类。性能等级和类别适用于如下控制系统有关安全部件,例如:保护装置(例如:双手操纵装置、联锁装置)、电敏保护装置(例如:光栅)、压敏装置:一控制单元(例如;控制功能、数据处理、监测等的逻辑单元):一动力控制元件(例如:继电器、阀门等)。以及所有机械上执行安全功能的控制系统一一从简单装置(例如:小型厨房炊机具或自动门等)到复杂制造业设备(例如:包装机械、印刷机械、压力机等)。本部分的目的是提供明确的基础用以评价应用SRP/CS(以及机器)的设计和性能.例如:第三方评价、自我评价或独立实验室评价。应用IEC62061和本部分时推荐的信息IEC62061和本部分规定了设计和执行机器控制系统有关安全部件的要求。根据这两个标准的范围,采用其中任何一个标准都可假定满足了相关的基本安全要求。表1概括了IEC62061和本部分的范围。
GB/T16855.1—2008/IS013849-1:2006表1IEC62061和本部分的应用推荐执行有关安全控制功能的技术
非电,例如:液压
机电,例如:继电器和(或)单电子器件复杂电子器件.例如:可缩程的
A与B组合
C与B组合
C与A组合·或C与A,B组合
GB/T16855.1
限制在指定结构\内且最大为PL=e限制在指定结构\内且最大为PL=d限制在指定结构\内且最大为PL=e限制在指定结构内且最大为 PL=dx
表示此项由该栏标题中所示的标准处理。指定结构在6.2中规定.目的是给出血化性能等级的简单方法。IEC62061
没有包括
所有结构,最大为SII.3
所有结构最大为 SIL.3
所有结构最大为 SIL.3
b对于复杂电子器件,果用按照本部分的指定结构.且最大为PL=d,或者IEC62061中的任意结构。‘对于非电技术,采用本部分中的部件作为子系统1范围
GB/T16855.1—2008/IS013849-1:2006机械安全控制系统有关安全部件第1部分:设计通则
本部分提供了包括软件设计在内的控制系统有关安全部件(SRP/CS)设计和集成的安全要求和指导原则。对于这些SRP/CS的部件.本部分规定了包括执行安全功能所据的性能等级在内的特征。本部分适用于所有种类机械的SRPS.不管其采用的何种技术和能量(电、液压、气动、机械等)。本部分未规定特殊应用中的安全功能或性能等级。本部分提供了采用可编程电子系统的SRP!CS的具体要求。本部分未提供设计RS的部件的具体要求。然而,可使用母给出的原则.例如:类别或性能等级。
注1:SRP/CS的部件示例:继电器、电磁阀、位置开关,PLC、电动机控制单元、双李操纵装、压敏设备等,对于这些产品的设画要的是要昏考特别适用的标准.例如GBT19671、GB'T1T454.1和GB/T17454.2,证2:所需的性能等级的定义见3.1.24.注3:本部分摄供的于可编程电子系统的要求与1EC62061.中给出的设计和开发机械有关安全的电气、电子和可编程控敲系统的方法原理是-致的注4:对于P1*的嵌人软件中的有关安全部件见iHT20138.3-2007中的第7章。注5:也可见裹1
2规范性引用文件
下列文件中的条款通过本标的引用而成为本标准的条款.凡是注日期的引用文件.其随后所有的修改单(不包括勘的内容)或修订版均不适用于本部分.然而.鼓励根据本部分达成协议的各方研究是否可使用这些件的般新版本,凡是不注日期的引用文件·其最新版本适用于本部分。GB/T15706.1-:2097机械安全基本概念与设计通则第1部分:基本术语和方法(IS)12100-1:2003.IDT
GB'T15706.2--2007·机械安全基本概念与设计通则第2部分:技术原则(1SO12100-1:2003.IDT)
GB/T16855.22007:机械安全控制系统有关安全部件第2部分:确认(1SO13849-2:2003.IDT)
GB/T16856.1一2008机械安全风险评价第1部分原则(IS)141211:2007,IDT)GB,T20438.3-2006
5电气电子,可程电子安全相关系统的功能安全第3部分:软件要求(IEC61508-3:1998.IDT)
GBT20438.4一2006电气电子可编程电子安全相关系统的功能安全第4部分:定义和缩略语(IEC61508-4:1998.IDT)
IEC60050-191:1990国际电工词汇第191章:可靠性与业务质站3术语、定义、符号和缩写
3.1术语和定义
GBT15706.12007、1EC60050-191:1990确立的以及下列术语和定义适用于本部分。1
GB/T16855.1—2008/ISO13849-1:20063. 1. 1
控制系统有关安全部件
Fsafety-related parl of a control systemSRP/CS
控制系统中响应有关安全输人信号并产生有关安全输出信号的部件。注1:控制系统有关安全部件的组成.以有关安全的输人信号被触发为起始点(例如:致动凸轮和位置开关滚轮等).以控制元件的动力输出(例如:接触器的主触点等)为终止点。注2:如果监测系统用于诊断,也可认为它们是SRP/CS。3.1.2
类别 calegory
控制系统有关安全部件在防止放障能力以及故障条件下后续行为方面的分类,它通过部件的结构布置、故障检测和(或)部件可靠性来达到。3.1.3
故障faull
产品不能执行所需功能的状态,预防性维修或其他计划性活动或缺乏外部资源的情况除外。注1:故障通常是产品本身失效后的状态-但也可能在失效前就存在。[1EC60050-191:1990.05-01]
注2:本部分中。故障\意思是随机故障。3.1.4
失效failure
产品执行所要求功能能力的终止。注1:失效后·产品就有故障,
注2:\失效\是事件.区别于作为一种状态的\故障\。注3:定义的概念不使用与仅由软件组成的产品。[IEC 60050-191:1990.04-01]
注4:本部分不包括只影响控制器进程的失效,3.1.5
危险失效dangerous failure
使控制系统有关安全部件(SRP/CS)处于潜在的危险状态或丧失功能状态的失效,注1:潜在是否成为事实取决于系统的通道结构·元余系统中.危险硬件失效不太可能导致全面的危险状态或功能丧失状态
注2:改自GB/T20438.4—2006中的定义3.6.7.3.1.6
共因失效
commoncausefailure
同一事件引起的不同产品的失效·这些失效相互之间没有因果关系。[1EC60050-191-aml:1999,04-23]注:共因失效不宜与共模失效相混通(见GB/T15706.1—2007.3.34)。3.1.7
tsystematicfailure
系统失效
原因确定的失效,只有对设计或制造过程、操作规程、文档或其他相关因素进行修改后,才有可能排除这种失效。
注1:设有修正的矫正性维护通常不能消除失效原因。注2:系统尖效可通过模拟失效原因引起。2
[IEC 60050-191:1990.04-19]
注3:以下情况中系统失效的原因包括人员错误:安全要求规范:
硬件的设计、制造、安装和操作,软件的设计和执行等。
muting
SRP/CS安全功能暂时的自动暂停。3.1.9
手动复位
manoal reset
GB/T16855.1—2008/IS013849-1:2006重新启动机器前,控制系统有关安全部件(SRP/CS)中用作手动恢复一种或多种安全功能的功能。3.1.10
伤寄harm免费标准bzxz.net
对健康产生的生理上的损伤或危害。[GB/T15706.1—2007,3.5]
危险 hazard
潜在的伤害源,
注1:危险\一词可由其起源(例如:机械危险和电气危险),或其潜在伤害的性质(例如:电击危险、切割危险、中再危险和火灾危险)进行限定。
注2:本定义中的危险包括:
在机器的预定使用期间.始整存在的危险(例如:危险运动部件的运动、焊接过程中产生的电弧、不健康的姿势、噪声、高温);
或者意外出现的危险(例如:爆炸意外启动引起的挤压危险·泄漏引起的喷射:加速/避速引起的坠落),[GB/T15706.1—2007.3.6]]
危险状态hazardous situation
指人员暴露于具有至少一种危险的环境。这类暴露可能会立即或在一定时间之后对人员产生伤害。
[GB/T15706.1—2007.3.9]
风险risk
伤害发生概率和伤害发生的严重程度的综合。[GB/T15706.1—2007.3.11]
遗留风险
residual risk
采取保护措施之后仍然存在的风险。见图2。
注:改自GB/T15706.1—2007中的定义3.12,3.1.15
风险评价riskassessment
包括风险分析和风险评定在内的全过程。[GB/T15706.1-—2007.3.13]
风险分析risk analysis
机器限制的确定,危险的识别和风险的评估的组合。3
GB/T16855.1—2008/IS013B49-1:2006GB T15706.1-2007,3.14)
riskevaluation
风险评定
以风险分析为基础,判断是否已达到减小风险的目标。GBT15706.1-2007,3.16]
月inlended useof amachine
机器的预定使用
按照使用说明书提供的信息使用机器。GB/T15706.1-20073.22]
月reasonablyforeseeablemisuse可预见的误用
不是按设计者预定的方法而是按照容易预见的人的习惯来使用机器。GHT15706.1-2007.3.2J
安全功能
safetyfanction
其失效后会立即避成风脸增加的机器功能。_GBT15706.1-2007,3.28
monitoring
部件或元件执行其功能的能力下降或过程条件的改变使风险增加时.保证触发保护措施的安全功能。
可编程电子系统programmable electronic systemPES
基于一个或多个可编程电子装置的控制防护或监视系统.包括系统中所有的部件诸如电源、传感器和其他输人装置,接触器及其他输出装置。注:改自BT20438.+-2GC6中的3.3.2。3.1.23
性能等级
performantedevet
在可预期条件下,用于规定控制系统有关安全部件执行安全功能的离散等级。注:见4.5.1.
所需的性能等级
required performance level
每种安全功能为达到所需的风险减小所应用的性能等级(PL)。见图2和A.1。
平均危险失效时间
mean time to dangerous failureMTTFa
预期的危险失效平均时间。
注:改自IEC62061:2005中的定义3.2.24→
诊断覆益率diagnostic coverageDC
GB/T16B55.1—2008/IS013849-1:2006诊断有效性的度量,它可以是可诊断的危险失效的失效率与所有的危险失效的失效率之间的比率。注1:诊断接盖率存在于整个有关安全系统中或其部件中。例如:诊断盖率可存在于传感器、逻辑系统和(或)执行元件中。
注2:改自GBT20438.+2006中的定义3.8.6.3.1.27
保护措施protectivemeasure
用于达到风险减小的措施。
示例1通过设计者实现:本质安全设计、安全防护和附加保护措施、使用信息示例2通过用户实现:组织(安全工作程序、监督、工作许可制度)、附加安全防护装置的提供和使用:个人防护装置的使用培州,
注:改自CB'T15706.1--2007中的定义3.18。3.1.28
任务时间
mission time
SRPCS预定使用的时间周期。
检测频率
testrate
SRP/CS中检测故障的自动检测频率,即诊断检测时间间隔的倒数。3.1.30
要求频率
demandrate
要求SRPCS进行有关安全动作的频率。3.1.31
维修率repatrrate
从在线检测发现危险失效或系统出现明显故障到系统·部件维修或替换后重启之间时间间隔的倒数。
注:维修时间不包括进行失效检所需要的时间段。3.1.32
Emachine control system
机器控制系统
确应来自机器元件,操作者、外部控制设备或它们的组合的抢人信专·并产生输出信号使机器按照预定方式工作的系统,
注:机器控制系统能可使用任何技术或各种技术的组合(例如:电气电子、液压、“(动、机械等),3.1.33
安全完整性等级
safety inlegrily level
-种离散的等级(四种可能等级之-).用于规定分配给FEPF有关安全系统的安全功能的安全完整性要求。在这里安全完整性等级4是最高的,安全完整性等级1匙圾低的。5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T16855.1—2008/1S0O13849-12006代替GB/T16855.1—2005
机械安全
控制系统有关安全部件
第1部分:设计通则
Safety of machinery-Safety-related parts of control systemns-Part 1:General principles for desigr(ISO13849-1:2006,IDT)
2008-08-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2009-04-01实施
前言·
引言·
1范围·
规范性引用文件
3术语、定义、符号和缩写,
4设计方面的考患
4.1设计中的安全目标
风险减小策略
确定所需的性能等级(PL,)·
SRP/CS的设计:
所需的性能等级PL的估计及其与SIL的关系:软件的安全要求,
检验达到的PL.是否满足PL-r
4.8设计的人类功效学方面
5安全功能·
5.1安全功能技术规范,
5.2安全功能详述
6类别以及与DC、CCF和每个通道MTTFa的关系6.1一般要求·
6.2类别规范-
6.3用于实现全部PL.的SRP/CS组合7故障考虑和故障排除·
7.1概述-
7.2故障考虑
7.3故障排除·
8确认-
9维护:
10技术文件,
11使用信息·
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
附录H(资料性附录)
要求的性能等级(PL,)的确定
模块法和有关安全的模块图·
单个元件MTTFa值的计算或估计·估计每个通道MTTFa的简化方法·GB/T16855.1—2008/IS013849-1:2006. m
对功能和模块的诊断覆盖率(DC)的估计共因失效(CCF)的估计-
系统性失效
控制系统有关安全部件组合的示例-.42
CB/T 16855.1—200B/ISO 13849-1:2006附录I(资料性附录)
附录」(资料性附录)
附录K(资料性附录)
参考文献·
示例·
图5的数值表示
GB/T16855.1--2008/IS013B49-1:2006GB/T16B55《机械安全控制系统有关安全部件》由以下3部分组成:第1部分:设计通则;
—第2部分:确认,
一第100部分:GB/T16855.1的应用指南。本部分是GB/T16855的第1部分。本部分等同采用IS013849-1:2006《机械安全控制系统有关安全部件第1部分:设计通则》(英文版)。
本部分等同翻译IS013849-1:2006。为便于使用,本部分做了下列编辑性修改:一删除了国际标准的前言并按照我国标准的要求重新起草了前言;一用“本部分\代替\ISO13849的本部分”,用小数点\.\代替作为小数点的逗号“,”:一修改了规范性引用文件的导语;一对IS013849-1:2006引用的其他标准中,用已被等同采用为我国的标准代替对应的国际标准,未被等同采用为我国标准的直接引用国际标准。本部分代替GB/T16855.1一2005。与GB/T16855.12005相比,主要内容修改如下:增加了术语:性能等级(PL)、所需的性能等级(PL,)、诊断覆盖率(DC)、平均危险失效时间(MTTF.)、危险失效、共因失效、系统失效、伤害、危险、危险状态、风险、遗留风险、风险评价、风险分析、风险评定、机器的预定使用、可预见的误用、安全功能、监测、可编程电子系统、保护措施、任务时间、检测频率、要求频率、维修率、机器控制系统、安全完整性等级、有限可变语言、全可变语言、应用软件、嵌人式系统;一删除了术语:控制系统安全性、控制系统安全功能第4章中增加了确定所需的性能等级(4.3)、所达到的性能等级(PL)的估计及其与SII,的关系(4.5)、软件的安全要求(4.6)和检验所达到的P1.是否满足PL,的要求(4.7):第6章内容增加了类别与DC、CCF和每个通道MTTFa的关系!将原标准中的第10章细分为技术文件(第10章)和使用信息(第11章)两章:修改了附录A、附录B、附录C和附录D,并增加了附录E、附录F、附录G、附录H、附录I、附录J和录K。
本部分的所有附录均为资料性附录。本部分由全国机械安全标准化技术委员会(SAC/TC208)提出并归口。本部分起草单位:机械科学研究总院中机生产力促进中心。本部分主要起草人:张晓飞、李勤、宁燕、富锐、付大为、张维、杨岭、盛晓敏、程红兵。本部分所代替标准的历次版本发布情况为:GB/T16855.1—1997.GB/T16855.1—2005。日
GB/T16855.1—2008/ISO13849-1:2006机械安全标准的结构如下:
a)A类标准(基础安全标准),给出适用于所有机械的基本概念、设计原则和一般特征。b)B类标准(通用安全标准),涉及机械的一种安全特征或使用范围较宽的一类安全防护装置:一一B1类,特定的安全特征(如安全距离、表面温度、噪声等)标准:一B2类:安全装置(如双手操纵装置、联锁装置、压敏装置、防护装置)标准。c)C类标准(机器安全标准),对一种特定的机器或一组机器规定出详细的安全要求的标准。依照GB/T15706.1中的规定,本部分属于通用安全标准(B1类)。对于按照C类标准设计和制造的机器.当C类标准中的条款与A类或B类标准中所述的条款不一致时.优先采用C类标准。
本部分的目的是在控制系统的设计和评价中给出对所涉及的控制系统的指南,并为正在准备制定希望符合欧盟指令98/37/EC机械指令》附录“基本安全要求”的B2类或C类标准的各技术委员会(TC)提供指南。本部分不对符合其他欧盟指令给出具体指南。作为机器全面风险减小策略的一部分,设计者通常愿意通过应用具有一种或多种安全功能的防护装置来达到某种程度的风险减小。用于提供安全功能的机器控制系统部件称为控制系统有关安全部件(SRP/CS).它们由硬件和软件组成.既可独立于机器控制系统也可是与机器控制系统的组成部分。除了提供安全功能以外.SRP/CS也能提供操作功能(例如:双手操纵装置作为过程启动的一种手段)。控制系统有关安全部件在预期条件下执行安全功能的能力分为5级,称之为性能等级(PI.)。这些性能等级由每小时发生危险失效的概率来定义(见表3)。安全功能危险失效的概率取决于儿个因素.包括:软硬件结构、故障检测装置的范围诊断盖率(DC)]、部件的可靠性[平均危险失效时间(MTTF)、共因失效(CCF)]、设计流程、工作压力、环境条件和操作程序等。
为了帮助设计者对所到的PL容易进行评价.本部分采用了根据故障条件下具体设计准则和具体行为来进行结构分类的方法。这些类别分为5类.称之为B类、1类、2类、3类和4类。性能等级和类别适用于如下控制系统有关安全部件,例如:保护装置(例如:双手操纵装置、联锁装置)、电敏保护装置(例如:光栅)、压敏装置:一控制单元(例如;控制功能、数据处理、监测等的逻辑单元):一动力控制元件(例如:继电器、阀门等)。以及所有机械上执行安全功能的控制系统一一从简单装置(例如:小型厨房炊机具或自动门等)到复杂制造业设备(例如:包装机械、印刷机械、压力机等)。本部分的目的是提供明确的基础用以评价应用SRP/CS(以及机器)的设计和性能.例如:第三方评价、自我评价或独立实验室评价。应用IEC62061和本部分时推荐的信息IEC62061和本部分规定了设计和执行机器控制系统有关安全部件的要求。根据这两个标准的范围,采用其中任何一个标准都可假定满足了相关的基本安全要求。表1概括了IEC62061和本部分的范围。
GB/T16855.1—2008/IS013849-1:2006表1IEC62061和本部分的应用推荐执行有关安全控制功能的技术
非电,例如:液压
机电,例如:继电器和(或)单电子器件复杂电子器件.例如:可缩程的
A与B组合
C与B组合
C与A组合·或C与A,B组合
GB/T16855.1
限制在指定结构\内且最大为PL=e限制在指定结构\内且最大为PL=d限制在指定结构\内且最大为PL=e限制在指定结构内且最大为 PL=dx
表示此项由该栏标题中所示的标准处理。指定结构在6.2中规定.目的是给出血化性能等级的简单方法。IEC62061
没有包括
所有结构,最大为SII.3
所有结构最大为 SIL.3
所有结构最大为 SIL.3
b对于复杂电子器件,果用按照本部分的指定结构.且最大为PL=d,或者IEC62061中的任意结构。‘对于非电技术,采用本部分中的部件作为子系统1范围
GB/T16855.1—2008/IS013849-1:2006机械安全控制系统有关安全部件第1部分:设计通则
本部分提供了包括软件设计在内的控制系统有关安全部件(SRP/CS)设计和集成的安全要求和指导原则。对于这些SRP/CS的部件.本部分规定了包括执行安全功能所据的性能等级在内的特征。本部分适用于所有种类机械的SRPS.不管其采用的何种技术和能量(电、液压、气动、机械等)。本部分未规定特殊应用中的安全功能或性能等级。本部分提供了采用可编程电子系统的SRP!CS的具体要求。本部分未提供设计RS的部件的具体要求。然而,可使用母给出的原则.例如:类别或性能等级。
注1:SRP/CS的部件示例:继电器、电磁阀、位置开关,PLC、电动机控制单元、双李操纵装、压敏设备等,对于这些产品的设画要的是要昏考特别适用的标准.例如GBT19671、GB'T1T454.1和GB/T17454.2,证2:所需的性能等级的定义见3.1.24.注3:本部分摄供的于可编程电子系统的要求与1EC62061.中给出的设计和开发机械有关安全的电气、电子和可编程控敲系统的方法原理是-致的注4:对于P1*的嵌人软件中的有关安全部件见iHT20138.3-2007中的第7章。注5:也可见裹1
2规范性引用文件
下列文件中的条款通过本标的引用而成为本标准的条款.凡是注日期的引用文件.其随后所有的修改单(不包括勘的内容)或修订版均不适用于本部分.然而.鼓励根据本部分达成协议的各方研究是否可使用这些件的般新版本,凡是不注日期的引用文件·其最新版本适用于本部分。GB/T15706.1-:2097机械安全基本概念与设计通则第1部分:基本术语和方法(IS)12100-1:2003.IDT
GB'T15706.2--2007·机械安全基本概念与设计通则第2部分:技术原则(1SO12100-1:2003.IDT)
GB/T16855.22007:机械安全控制系统有关安全部件第2部分:确认(1SO13849-2:2003.IDT)
GB/T16856.1一2008机械安全风险评价第1部分原则(IS)141211:2007,IDT)GB,T20438.3-2006
5电气电子,可程电子安全相关系统的功能安全第3部分:软件要求(IEC61508-3:1998.IDT)
GBT20438.4一2006电气电子可编程电子安全相关系统的功能安全第4部分:定义和缩略语(IEC61508-4:1998.IDT)
IEC60050-191:1990国际电工词汇第191章:可靠性与业务质站3术语、定义、符号和缩写
3.1术语和定义
GBT15706.12007、1EC60050-191:1990确立的以及下列术语和定义适用于本部分。1
GB/T16855.1—2008/ISO13849-1:20063. 1. 1
控制系统有关安全部件
Fsafety-related parl of a control systemSRP/CS
控制系统中响应有关安全输人信号并产生有关安全输出信号的部件。注1:控制系统有关安全部件的组成.以有关安全的输人信号被触发为起始点(例如:致动凸轮和位置开关滚轮等).以控制元件的动力输出(例如:接触器的主触点等)为终止点。注2:如果监测系统用于诊断,也可认为它们是SRP/CS。3.1.2
类别 calegory
控制系统有关安全部件在防止放障能力以及故障条件下后续行为方面的分类,它通过部件的结构布置、故障检测和(或)部件可靠性来达到。3.1.3
故障faull
产品不能执行所需功能的状态,预防性维修或其他计划性活动或缺乏外部资源的情况除外。注1:故障通常是产品本身失效后的状态-但也可能在失效前就存在。[1EC60050-191:1990.05-01]
注2:本部分中。故障\意思是随机故障。3.1.4
失效failure
产品执行所要求功能能力的终止。注1:失效后·产品就有故障,
注2:\失效\是事件.区别于作为一种状态的\故障\。注3:定义的概念不使用与仅由软件组成的产品。[IEC 60050-191:1990.04-01]
注4:本部分不包括只影响控制器进程的失效,3.1.5
危险失效dangerous failure
使控制系统有关安全部件(SRP/CS)处于潜在的危险状态或丧失功能状态的失效,注1:潜在是否成为事实取决于系统的通道结构·元余系统中.危险硬件失效不太可能导致全面的危险状态或功能丧失状态
注2:改自GB/T20438.4—2006中的定义3.6.7.3.1.6
共因失效
commoncausefailure
同一事件引起的不同产品的失效·这些失效相互之间没有因果关系。[1EC60050-191-aml:1999,04-23]注:共因失效不宜与共模失效相混通(见GB/T15706.1—2007.3.34)。3.1.7
tsystematicfailure
系统失效
原因确定的失效,只有对设计或制造过程、操作规程、文档或其他相关因素进行修改后,才有可能排除这种失效。
注1:设有修正的矫正性维护通常不能消除失效原因。注2:系统尖效可通过模拟失效原因引起。2
[IEC 60050-191:1990.04-19]
注3:以下情况中系统失效的原因包括人员错误:安全要求规范:
硬件的设计、制造、安装和操作,软件的设计和执行等。
muting
SRP/CS安全功能暂时的自动暂停。3.1.9
手动复位
manoal reset
GB/T16855.1—2008/IS013849-1:2006重新启动机器前,控制系统有关安全部件(SRP/CS)中用作手动恢复一种或多种安全功能的功能。3.1.10
伤寄harm免费标准bzxz.net
对健康产生的生理上的损伤或危害。[GB/T15706.1—2007,3.5]
危险 hazard
潜在的伤害源,
注1:危险\一词可由其起源(例如:机械危险和电气危险),或其潜在伤害的性质(例如:电击危险、切割危险、中再危险和火灾危险)进行限定。
注2:本定义中的危险包括:
在机器的预定使用期间.始整存在的危险(例如:危险运动部件的运动、焊接过程中产生的电弧、不健康的姿势、噪声、高温);
或者意外出现的危险(例如:爆炸意外启动引起的挤压危险·泄漏引起的喷射:加速/避速引起的坠落),[GB/T15706.1—2007.3.6]]
危险状态hazardous situation
指人员暴露于具有至少一种危险的环境。这类暴露可能会立即或在一定时间之后对人员产生伤害。
[GB/T15706.1—2007.3.9]
风险risk
伤害发生概率和伤害发生的严重程度的综合。[GB/T15706.1—2007.3.11]
遗留风险
residual risk
采取保护措施之后仍然存在的风险。见图2。
注:改自GB/T15706.1—2007中的定义3.12,3.1.15
风险评价riskassessment
包括风险分析和风险评定在内的全过程。[GB/T15706.1-—2007.3.13]
风险分析risk analysis
机器限制的确定,危险的识别和风险的评估的组合。3
GB/T16855.1—2008/IS013B49-1:2006GB T15706.1-2007,3.14)
riskevaluation
风险评定
以风险分析为基础,判断是否已达到减小风险的目标。GBT15706.1-2007,3.16]
月inlended useof amachine
机器的预定使用
按照使用说明书提供的信息使用机器。GB/T15706.1-20073.22]
月reasonablyforeseeablemisuse可预见的误用
不是按设计者预定的方法而是按照容易预见的人的习惯来使用机器。GHT15706.1-2007.3.2J
安全功能
safetyfanction
其失效后会立即避成风脸增加的机器功能。_GBT15706.1-2007,3.28
monitoring
部件或元件执行其功能的能力下降或过程条件的改变使风险增加时.保证触发保护措施的安全功能。
可编程电子系统programmable electronic systemPES
基于一个或多个可编程电子装置的控制防护或监视系统.包括系统中所有的部件诸如电源、传感器和其他输人装置,接触器及其他输出装置。注:改自BT20438.+-2GC6中的3.3.2。3.1.23
性能等级
performantedevet
在可预期条件下,用于规定控制系统有关安全部件执行安全功能的离散等级。注:见4.5.1.
所需的性能等级
required performance level
每种安全功能为达到所需的风险减小所应用的性能等级(PL)。见图2和A.1。
平均危险失效时间
mean time to dangerous failureMTTFa
预期的危险失效平均时间。
注:改自IEC62061:2005中的定义3.2.24→
诊断覆益率diagnostic coverageDC
GB/T16B55.1—2008/IS013849-1:2006诊断有效性的度量,它可以是可诊断的危险失效的失效率与所有的危险失效的失效率之间的比率。注1:诊断接盖率存在于整个有关安全系统中或其部件中。例如:诊断盖率可存在于传感器、逻辑系统和(或)执行元件中。
注2:改自GBT20438.+2006中的定义3.8.6.3.1.27
保护措施protectivemeasure
用于达到风险减小的措施。
示例1通过设计者实现:本质安全设计、安全防护和附加保护措施、使用信息示例2通过用户实现:组织(安全工作程序、监督、工作许可制度)、附加安全防护装置的提供和使用:个人防护装置的使用培州,
注:改自CB'T15706.1--2007中的定义3.18。3.1.28
任务时间
mission time
SRPCS预定使用的时间周期。
检测频率
testrate
SRP/CS中检测故障的自动检测频率,即诊断检测时间间隔的倒数。3.1.30
要求频率
demandrate
要求SRPCS进行有关安全动作的频率。3.1.31
维修率repatrrate
从在线检测发现危险失效或系统出现明显故障到系统·部件维修或替换后重启之间时间间隔的倒数。
注:维修时间不包括进行失效检所需要的时间段。3.1.32
Emachine control system
机器控制系统
确应来自机器元件,操作者、外部控制设备或它们的组合的抢人信专·并产生输出信号使机器按照预定方式工作的系统,
注:机器控制系统能可使用任何技术或各种技术的组合(例如:电气电子、液压、“(动、机械等),3.1.33
安全完整性等级
safety inlegrily level
-种离散的等级(四种可能等级之-).用于规定分配给FEPF有关安全系统的安全功能的安全完整性要求。在这里安全完整性等级4是最高的,安全完整性等级1匙圾低的。5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。