GB/T 16855.1-2018
基本信息
标准号: GB/T 16855.1-2018
中文名称:机械安全控制系统安全相关部件 第1部分:设计通则
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准号:GB/T 16855.1-2018
标准名称:机械安全控制系统安全相关部件 第1部分:设计通则
英文名称:Safety of machinery-Safety-related parts of control systems-Part 1: General principles for design
标准格式:PDF
发布时间:2018-12-28
实施时间:2019-07-01
标准大小:39.7M
标准介绍:GB/T16855的本部分规定了包括软件设计在内的控制系统安全相关部件(SRP/CS)设计和集成的安全要求和指导原则。本部分规定了这些SRP/CS部件的特征,包括执行安全功能所需要的性能等级。本部分适用于所有种类机械上具有高要求和连续模式的 SRP/CS,不管其采用何种技术和能量(电气、液压、气动、机械等)。
本部分未规定特殊应用中的安全功能或性能等级。
本部分给出了采用可编程电子系统的 SRP/CS的具体要求
本部分未给出SRP/CS的产品的具体设计要求,但可采用给出的类别或性能等级等原则。
注1:SRP/CS的产品示例:继电器、电磁阀、位置开关、PLC、电机控制单元、双手操纵装置、压敏设备等。这类产品
的设计需参考专门的标准,例如:GB/T19671、GB/T17454.1和GB/T17454.2
注2:所需性能等级的定义见3.1.24。
注3:本部分给出的关于可编程电子系统的要求与IEC62061中给出的机械安全相关的电气、电子和可编程控制系
统的设计和开发方法是一致的
注4:用于PLn=e的元件的安全相关嵌入式软件见IEC61508-3:1998中第7章。 GB/T16855《机械安全控制系统安全相关部件》由以下两部分组成
第1部分:设计通则
第2部分:确认
本部分为GB/T16855的第1部分
本部分按照GB/T1.1-2009给出的规则起草
本部分代替GB/T16855.1—2008《机械安全控制系统有关安全部件第1部分:设计通则》。与GB/T16855,1-2008相比,除编辑性修改外主要技术变化如下
将标准名称修改为《机械安全控制系统安全相关部件第1部分:设计通则》;
删除了引言中的表1(见2008年版的引言);
将术语“系统失效”修改为“系统性失效”(见3.1.72008年版的3.1.7);
将术语“平均危險失效时间”修改为“平均危险失效间隔时间”,并将其缩略语修改为“MTTF”
(见3.1.25,2008年版的3.1.25);
增加了术语“高要求或连续模式”“经使用证明”及其定义(见3.1.38和3.1.39)
修改了图1(见图1,2008年版的图1);
增加了 SRP/CS输出部分按类别描述的要求(见4.5.5);修改了对单个元件MTTF值的计算或估计(见附录C,2008年版的附录C);
重新起草了附录1(见附录1.2008年版的附录1)
本部分使用髒译法等同采用1sO13849-1:2015《机械安全控制系统安全相关部件第1部分:设计通则》
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:
GB28526—2012机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全
(lEC62061:2005,IDT);
GB/T30175—-2013机械安全应用GB/T16855.1和GB28526设计安全相关控制系统的指南(1SO/TR23849:2010,IDT)
标准名称:机械安全控制系统安全相关部件 第1部分:设计通则
英文名称:Safety of machinery-Safety-related parts of control systems-Part 1: General principles for design
标准格式:PDF
发布时间:2018-12-28
实施时间:2019-07-01
标准大小:39.7M
标准介绍:GB/T16855的本部分规定了包括软件设计在内的控制系统安全相关部件(SRP/CS)设计和集成的安全要求和指导原则。本部分规定了这些SRP/CS部件的特征,包括执行安全功能所需要的性能等级。本部分适用于所有种类机械上具有高要求和连续模式的 SRP/CS,不管其采用何种技术和能量(电气、液压、气动、机械等)。
本部分未规定特殊应用中的安全功能或性能等级。
本部分给出了采用可编程电子系统的 SRP/CS的具体要求
本部分未给出SRP/CS的产品的具体设计要求,但可采用给出的类别或性能等级等原则。
注1:SRP/CS的产品示例:继电器、电磁阀、位置开关、PLC、电机控制单元、双手操纵装置、压敏设备等。这类产品
的设计需参考专门的标准,例如:GB/T19671、GB/T17454.1和GB/T17454.2
注2:所需性能等级的定义见3.1.24。
注3:本部分给出的关于可编程电子系统的要求与IEC62061中给出的机械安全相关的电气、电子和可编程控制系
统的设计和开发方法是一致的
注4:用于PLn=e的元件的安全相关嵌入式软件见IEC61508-3:1998中第7章。 GB/T16855《机械安全控制系统安全相关部件》由以下两部分组成
第1部分:设计通则
第2部分:确认
本部分为GB/T16855的第1部分
本部分按照GB/T1.1-2009给出的规则起草
本部分代替GB/T16855.1—2008《机械安全控制系统有关安全部件第1部分:设计通则》。与GB/T16855,1-2008相比,除编辑性修改外主要技术变化如下
将标准名称修改为《机械安全控制系统安全相关部件第1部分:设计通则》;
删除了引言中的表1(见2008年版的引言);
将术语“系统失效”修改为“系统性失效”(见3.1.72008年版的3.1.7);
将术语“平均危險失效时间”修改为“平均危险失效间隔时间”,并将其缩略语修改为“MTTF”
(见3.1.25,2008年版的3.1.25);
增加了术语“高要求或连续模式”“经使用证明”及其定义(见3.1.38和3.1.39)
修改了图1(见图1,2008年版的图1);
增加了 SRP/CS输出部分按类别描述的要求(见4.5.5);修改了对单个元件MTTF值的计算或估计(见附录C,2008年版的附录C);
重新起草了附录1(见附录1.2008年版的附录1)
本部分使用髒译法等同采用1sO13849-1:2015《机械安全控制系统安全相关部件第1部分:设计通则》
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:
GB28526—2012机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全
(lEC62061:2005,IDT);
GB/T30175—-2013机械安全应用GB/T16855.1和GB28526设计安全相关控制系统的指南(1SO/TR23849:2010,IDT)
标准图片预览
标准内容
ICS13.110
iiiKAa~cJouaKAa-
中华人民共和国国家标准
GB/T16855.1—2018/IS013849-1:2015代替GB/T16855.1—2008
机械安全
控制系统安全相关部件
第1部分:设计通则
Safety of machinerySafety-related partsof control systems-Part1:Generalprinciplesfordesign(ISO13849-1:2015.IDT)
2018-12-28发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-07-01实施
iiiKAa~cJouaKAa
iiiKAa~cJouaKAa
规范性引用文件
3术语和定义、符号及缩略语·
术语和定义
符号及缩略语
设计方面的考虑
设计中的安全目标
风险减小策略
确定所需性能等级(PL,)
SRPCS的设计
所需性能等级PL的评估及其与SIL的关系软件的安全要求…
验证达到的PL是否满足PL
人类功效学方面的设计
5安全功能·
安全功能规范
安全功能详述
6类别及其与DC,CCF和每个通道MTTF的关系6.1
一般要求
类别规范
实现总的PL的SRP/CS组合
7故障考虑和故障排除
一般要求
故障考虑
故障排除
维护:
技术文件
使用信息
附录A(资料性附录)所需性能等级(PL,)的确定附录B(资料性附录)
模块法和安全相关模块图
附录C(资料性附录)
附录D(资料性附录)
单个元件MTTF,值的计算或评估
估算各通道MTTF。的简化方法
GB/T16855.1—2018/IS013849-1:2015m
iiiKAacJouaKAa-
GB/T16855.1—2018/ISO13849-1:2015功能和模块诊断覆盖率(DC)的估计附录E(资料性附录)
附录F(资料性附录)共因失效(CCF)的估计附录G(资料性附录)
附录H(资料性附录)
附录1(资料性附录)
附录」(资料性附录)
附录K(资料性附录)
参考文献
系统性失效
控制系统安全相关部件组合的示例….示例
图5的数值表示
iiiKAacJouaKAa
GB/T16855.1—2018/IS013849-1:2015GB/T16855《机械安全控制系统安全相关部件》由以下两部分组成:一第1部分:设计通则;
第2部分:确认
本部分为GB/T16855的第1部分
本部分按照GB/T1.1-2009给出的规则起草。本部分代替GB/T16855.12008《机械安全控制系统有关安全部件第1部分:设计通则》。与GB/T16855.1-2008相比.除编辑性修改外主要技术变化如下:将标准名称修改为《机械安全控制系统安全相关部件牛第1部分:设计通则》;
删除了引言中的表1(见2008年版的引言);—将术语“系统失效\修改为\系统性失效”(见3.1.7,2008年版的3.1.7);将术语“平均危险失效时间”修改为“平均危险失效间隔时间”,并将其缩略语修改为“MTTF,”(见3.1.25,2008年版的3.1.25);增加了术语“高要求或连续模式”“经使用证明”及其定义(见3.1.38和3.1.39);修改了图1(见图1.2008年版的图1);增加了SRP/CS输出部分按类别描述的要求(见4.5.5);修改了对单个元件MTTF值的计算或估计(见附录C,2008年版的附录C):一重新起章了附录I(见附录I.2008年版的附录I)。本部分使用翻译法等同采用ISO13849-1:2015《机械安全控制系统安全相关部件第1部分:设计通则》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:GB28526一2012机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全(1EC62061:2005.IDT);
GB/T30175—2013机械安全应用GB/T16855.1和GB28526设计安全相关控制系统的指南(ISO/TR23849:2010.IDT)。本部分做了以下编辑性修改:
修改了表1中的编辑性错误,“表3”改为“表2”,“表4改为\表3”,“表7”改为“表6”。本部分由全国机械安全标准化技术委员会(SAC/TC208)提出并归口。本部分起草单位:皮尔磁电子(常州)有限公司、中机生产力促进中心、安徽乐库智能停车设备有限公司、苏州安高智能安全科技有限公司、厦门日拓电器科技有限公司、南安市中机标准化研究院有限公司、福建省闽旋科技股份有限公司、软控股份有限公司、中国软件评测中心、安士能(上海)机电商贸有限公司、华测检测认证集团股份有限公司、南京理工大学、西安旭迈智能家电科技有限公司、南京林业大学/机电产品包装生物质材料国家与地方联合工程研究中心、南安市质量计量检测所、立宏安全设备工程(上海)有限公司、浙江雷鸟供应链管理有限公司。本部分主要起草人:张晓飞、黄之炯、季勤、朱斌、孙振超、李立言、赵阳阳、主宝珍、于明进、刘发旺、陆晓光、郭永振、刘攀超、居里错、程红兵、白洪海、居荣华、吉坤、侯红英、黄东升、尹之尧、付卉青、刘英、陈卓贤、李忠、刘治永、宋小宁、李亚莉、周爱萍。本部分所代替标准的历次版本发布情况为:GB/T16855.11997、GB/T16855.12005、GB/T16855.12008I
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:2015引言
机械领域安全标准的结构如下:a)A类标准(基础安全标准),给出适用于所有机械的基本概念、设计原则和一般特征:b)B类标准(通用安全标准),涉及机械的一种安全特征或使用范围较宽的一类安全装置:B类,特定的安全特征(如安全距离、表面温度、噪声)标准;B2类,安全装置(如双手操纵装置、联锁装置、压敏装置、防护装置)标准):C类标准(机械产品安全标准),对一种特定的机器或一组机器规定出详细的安全要求的标准。依照GB/T15706中的规定,本部分属于B类标准。本部分尤其与下列与机械安全有关的利益相关方有关:机器制造商:
健康与安全机构
其他受到机械安全水平影响的利益相关方有:—机器使用人员;
机器所有者:
服务提供人员;
消费者(针对预定由消费者使用的机械)。上述利益相关方均有可能参与本部分的起草。此外,本部分预定用于起草C类标准的标准化机构。本部分规定的要求可由C类标准补充或修改对于在C类标准的范围内,且已按照C类标准设计和制造的机器,优先采用C类标准中的要求,本部分的目的是在控制系统的设计和评估中给出对所涉及的控制系统的指南,并为制修订B类或C类标准提供指南。作为机器全面风险减小策略的一部分,设计者一般愿意通过采用具有一种或多种安全功能的防护装置来达到某种程度的风险减小。用于提供安全功能的机器控制系统部件称为控制系统安全相关部件(SRP/CS),它们由硬件和软件组成,既可独立于机器控制系统,也可以是机器控制系统的组成部分。除了提供安全功能以外,SRPCS也能提供操作功能(例如:双手操纵装置作为过程启动的一种手段)。控制系统安全相关部件在预期条件下执行安全功能的能力分为5级,称之为性能等级(PL)。这些性能等级由每小时发生危险失效的概率来定义(见表2)。安全功能危险失效的概率取决于几个因索,包括:软硬件结构、故障检测机制的范围诊断覆盖率(DC)、部件的可靠性平均危险失效间隔时间(MTTF)、共因失效(CCF)、设计流程、运行负荷、环境条件和操作程序等。
为了使于设计者对所达到的PL进行评估,本部分采用了根据故障条件下具体设计准则和具体行为来进行结构分类的方法。这些类别分为5类:类别B、类别1、类别2、类别3、类别4。性能等级和类别适用于如下控制系统安全相关部件,例如:保护装置(例如:双手操纵装置、联锁装置)、电敏保护装置(例如:光栅)、压敏装置;控制单元(例如:控制功能、数据处理、监控等的逻辑单元);一动力控制元件(例如:继电器、阀等);以及所有机械上执行安全功能的控制系统充一一从简单装置(例如:小型厨房炊机具或自动门等)到复杂制造业设备(例如:包装机械、印刷机械、压力机等)。IN
iiiKAacJouaKAa
GB/T16855.1—2018/IS013849-1:2015本部分的目的是提供明确的基础用以评价应用SRP/CS(以及机器)的设计和性能,例如:第三方评价、自我评价或独立实验室评价关于IEC62061和本部分推荐应用的信息IEC62061和本部分都规定了机器控制系统安全相关部件的设计和实施要求。按照这两项标准的范围采用其中任何一个标准都可假定满足了相关的基本安全要求。ISO/TR23849为机器安全相关控制系统设计中应用IEC62061和本部分标准提供了指导V
iiiKAa~cJouaKAa
1范围
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:2015机械安全控制系统安全相关部件第1部分:设计通则
GB/T16855的本部分规定了包括软件设计在内的控制系统安全相关部件(SRP/CS)设计和集成的安全要求和指导原则。本部分规定了这些SRP/CS部件的特征,包括执行安全功能所需要的性能等级。本部分适用于所有种类机械上具有高要求和连续模式的SRP/CS,不管其采用何种技术和能量(电气、液压、气动、机械等)。
本部分未规定特殊应用中的安全功能或性能等级本部分给出了采用可编程电子系统的SRP/CS的具体要求。本部分未给出SRP/CS的产品的具体设计要求,但可采用给出的类别或性能等级等原则注1:SRP/CS的产品示例:继电器、电磁阀、位置开关、PLC、电机控制单元、双手操纵装置、压敏设备等。这类产品的设计需参考专门的标准,例如:GB/T19671、GB/T17454.1和GB/T17454.2。注2:所需性能等级的定义见3.1.24。注3:本部分给出的关于可编程电子系统的要求与IEC62061中给出的机械安全相关的电气、电子和可编程控制系统的设计和开发方法是一致的。注4:用于PL,=e的元件的安全相关嵌人式软件见IEC61508-3:1998中第7章。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2900.13—2008电工术语可信性与服务质量[IEC60050(191):1990.IDTGB/T15706—2012机械安全设计通则风险评估与风险减小(ISO12100:2010.IDT)GB/T16855.2一2015机械安全控制系统安全相关部件第2部分:确认(ISO13849-2:2012,IDT)
GB/T20438.3—2017
电气/电子/可编程电子安全相关系统的功能安全第3部分:软件要求(IEC61508-3:2010.IDT)
GB/T20438.4一2017电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语(IEC61508-4:2010.IDT)
ISO/TR22100-2:2013
relatestoISO13849-1
SafetyofmachineryRelationshipwithISO12100Part2:HowSO12100ISO/TR23849应用ISO13849-1和IEC62061设计机械的安全相关控制系统的指南(GuidanceontheapplicationofISO13849-1andIEC62061inthedesignofsafety-relatedcontrolsystemsformachinery)
IEC62061:2012机械安全安全相关电气、电子和可编程电子控制系统的功能安全(SafetyofmachineryFunctional safety of safety-related electrical,electronic and programmable electronic controlsystems)
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:20153术语和定义、符号及缩略语
3.1术语和定义
GB/T15706和GB/T2900.13界定的以及下列术语和定义适用于本文件。3.1.1
控制系统安全相关部件
safety-relatedpartofacontrolsystem;SRP/CS控制系统中响应安全相关输入信号并产生安全相关输出信号的部件。注1:控制系统安全相关部件的组成,以安全相关的输入信号被触发为起始点(例如:致动凸轮和位置开关的滚轮等),以动力控制组件的输出(例如:接触器的主触点等)为终止点。注2:如果监控系统用于诊断,也可认为是SRP/CS.3.1.2
类别category
控制系统安全相关部件在防止故障能力以及故障条件下后续行为方面的分类,它通过部件的结构布置、故障检测和/或部件可靠性来达到。3.1.3
产品不能完成要求的功能的状态。预防性维修或其他计划的行动或因缺乏外部资源的情况除外。注1:故障通常是产品自身失效后引起的,但即使失效未发生,故障也可能存在注2;本部分中,“故障”是指随机故障。[GB/T2900.13—2008.191-05-01]3.1.4
failure
产品完成要求的功能的能力的中断注1:失效后,产品处于故障状态,注2:“失效(failure)\与\故障(fault)\的区别在于失效是一次事件,故障是一种状态注3:这里定义的\失效”,不适用于仅由软件构成的产品。注4:本部分不包括只影响控制器进程的失效『GB/T2900.13-2008.定义191-04-013.1.5
危险失效
dangerousfailure
使控制系统安全相关部件(SRP/CS)有可能处于危险状态或功能丧失状态的失效注1:这种可能性是否成为事实取决于系统的通道架构;完余系统中,危险硬件失效不太可能导致全面的危险状态或功能丧失状态
注2:改写GB/T20438.4-2017.定义3.6.7。3.1.6
共因失效
common causefailure;CCF
由单一事件引发的不同产品的失效,这些失效不互为因果。注:共因失效不宜与共模失效(见GB/T15706—2012.定义3.36)相混淆[GB/T2900.13—2008,定义191-04-23]3.1.7
系统性失效
systematicfailure
与某个原因必然有关的,只有通过修改设计或制造工艺、操作程序、文档或其他关联因素才能消除的失效。
iiiKAacJouaKAa
注1:仅作修复性维修而无修改措施通常不能消除这种失效原因。注2:这种失效可以通过模拟失效原因诱发注3:以下情况中系统性失效的原因包括人为错误:安全要求规范:
硬件的设计、制造、安装和操作;软件的设计和实施等。
[GB/T2900.13—2008.定义191-04-19]3.1.8
muting
由SRP/CS实现的安全功能临时性自动暂停3.1.9
手动复位
manual reset
GB/T16855.1—2018/ISO13849-1:2015重新启动机器前,控制系统安全相关部件(SRP/CS)中用作手动恢复一种或多种安全功能的功能。3.1.10
对健康产生的生理上的损伤或危害。GB/T15706—2012.定义3.5
hazard
潜在的伤害源。
注1:“危险”一词可由其起源(例如:机械危险和电气危险),或其潜在伤害的性质(例如:电击危险、切割危险、中毒危险和火灾危险)进行限定:
注2:本定义中的危险包括:
在机器的预定使用期间,始终存在的危险(例如:危险运动部件的运动、焊接过程中产生的电弧、不健康的姿势、噪声、高温);
或者意外出现的危险(例如:爆炸、意外启动引起的挤压危险,泄漏引起的喷射,加速/减速引起的坠落)注3:改写GB/T15706—2012.定义3.6。3.1.12
危险状况
hazardoussituation
人员暴露于具有至少一种危险的环境。注:这类暴露可能立即或在一定时间之后对人员产生伤害。[GB/T15706—2012.定义3.10]
伤害发生概率和伤害发生的严重程度的组合[GB/T15706—2012,定义3.12]3.1.14
剩余风险
residual risk
采取保护措施之后仍然存在的风险注1:见图2。
注2:改写GB/T15706—2012.定义3.13。3.1.15
风险评估
riskassessmentwwW.bzxz.Net
包括风险分析和风险评价在内的全过程。3
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:2015[GB/T15706—2012.定义3.17]
风险分析
risk analysis
机器限制的确定,危险识别和风险估计的组合[GB/T15706—2012,定义3.15]3.1.17
风险评价
risk evaluation
以风险分析为基础,判断是否已达到减小风险的目标。[GB/T15706—2012.定义3.16]
intendeduseofamachine
机器的预定使用
按照使用说明书提供的信息使用机器。[GB/T15706—2012.定义3.23]
可合理预见的误用
reasonablyforeseeablemisuse
不是按设计者预定的方法而是按照容易预见的人的习惯来使用机器[GB/T157062012.定义3.24]
安全功能
safetyfunetion
其失效后会立即造成风险增加的机器功能[GB/T15706—2012.定义3.30]]3.1.21
monitoring
组件或元件执行其功能的能力下降或过程条件的改变而削弱风险减小能力时,确保保护措施被触发的安全功能。
可编程电子系统
programmableelectronicsystem;PES基于二个或多个可编程电子装置的控制、防护或监视系统包括系统中所有的组件,如电源、传感器和其他输入装置,以及接触器及其他输出装置等。注:改写IEC61508-4:1998.定义3.3.23.1.23
性能等级
performancelevel
用于规定控制系统安全相关部件在预期条件下执行安全功能的离散等级。注:见4.5.1。
所需性能等级
requiredperformancelevel
每种安全功能为达到所需的风险减小所采用的性能等级(PL)注:见图2和A.1
平均危险失效间隔时间
meantimetodangerousfailure
平均危险失效间隔时间期望。
注:改写GB285262012,定义3.2.34。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
iiiKAa~cJouaKAa-
中华人民共和国国家标准
GB/T16855.1—2018/IS013849-1:2015代替GB/T16855.1—2008
机械安全
控制系统安全相关部件
第1部分:设计通则
Safety of machinerySafety-related partsof control systems-Part1:Generalprinciplesfordesign(ISO13849-1:2015.IDT)
2018-12-28发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-07-01实施
iiiKAa~cJouaKAa
iiiKAa~cJouaKAa
规范性引用文件
3术语和定义、符号及缩略语·
术语和定义
符号及缩略语
设计方面的考虑
设计中的安全目标
风险减小策略
确定所需性能等级(PL,)
SRPCS的设计
所需性能等级PL的评估及其与SIL的关系软件的安全要求…
验证达到的PL是否满足PL
人类功效学方面的设计
5安全功能·
安全功能规范
安全功能详述
6类别及其与DC,CCF和每个通道MTTF的关系6.1
一般要求
类别规范
实现总的PL的SRP/CS组合
7故障考虑和故障排除
一般要求
故障考虑
故障排除
维护:
技术文件
使用信息
附录A(资料性附录)所需性能等级(PL,)的确定附录B(资料性附录)
模块法和安全相关模块图
附录C(资料性附录)
附录D(资料性附录)
单个元件MTTF,值的计算或评估
估算各通道MTTF。的简化方法
GB/T16855.1—2018/IS013849-1:2015m
iiiKAacJouaKAa-
GB/T16855.1—2018/ISO13849-1:2015功能和模块诊断覆盖率(DC)的估计附录E(资料性附录)
附录F(资料性附录)共因失效(CCF)的估计附录G(资料性附录)
附录H(资料性附录)
附录1(资料性附录)
附录」(资料性附录)
附录K(资料性附录)
参考文献
系统性失效
控制系统安全相关部件组合的示例….示例
图5的数值表示
iiiKAacJouaKAa
GB/T16855.1—2018/IS013849-1:2015GB/T16855《机械安全控制系统安全相关部件》由以下两部分组成:一第1部分:设计通则;
第2部分:确认
本部分为GB/T16855的第1部分
本部分按照GB/T1.1-2009给出的规则起草。本部分代替GB/T16855.12008《机械安全控制系统有关安全部件第1部分:设计通则》。与GB/T16855.1-2008相比.除编辑性修改外主要技术变化如下:将标准名称修改为《机械安全控制系统安全相关部件牛第1部分:设计通则》;
删除了引言中的表1(见2008年版的引言);—将术语“系统失效\修改为\系统性失效”(见3.1.7,2008年版的3.1.7);将术语“平均危险失效时间”修改为“平均危险失效间隔时间”,并将其缩略语修改为“MTTF,”(见3.1.25,2008年版的3.1.25);增加了术语“高要求或连续模式”“经使用证明”及其定义(见3.1.38和3.1.39);修改了图1(见图1.2008年版的图1);增加了SRP/CS输出部分按类别描述的要求(见4.5.5);修改了对单个元件MTTF值的计算或估计(见附录C,2008年版的附录C):一重新起章了附录I(见附录I.2008年版的附录I)。本部分使用翻译法等同采用ISO13849-1:2015《机械安全控制系统安全相关部件第1部分:设计通则》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:GB28526一2012机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全(1EC62061:2005.IDT);
GB/T30175—2013机械安全应用GB/T16855.1和GB28526设计安全相关控制系统的指南(ISO/TR23849:2010.IDT)。本部分做了以下编辑性修改:
修改了表1中的编辑性错误,“表3”改为“表2”,“表4改为\表3”,“表7”改为“表6”。本部分由全国机械安全标准化技术委员会(SAC/TC208)提出并归口。本部分起草单位:皮尔磁电子(常州)有限公司、中机生产力促进中心、安徽乐库智能停车设备有限公司、苏州安高智能安全科技有限公司、厦门日拓电器科技有限公司、南安市中机标准化研究院有限公司、福建省闽旋科技股份有限公司、软控股份有限公司、中国软件评测中心、安士能(上海)机电商贸有限公司、华测检测认证集团股份有限公司、南京理工大学、西安旭迈智能家电科技有限公司、南京林业大学/机电产品包装生物质材料国家与地方联合工程研究中心、南安市质量计量检测所、立宏安全设备工程(上海)有限公司、浙江雷鸟供应链管理有限公司。本部分主要起草人:张晓飞、黄之炯、季勤、朱斌、孙振超、李立言、赵阳阳、主宝珍、于明进、刘发旺、陆晓光、郭永振、刘攀超、居里错、程红兵、白洪海、居荣华、吉坤、侯红英、黄东升、尹之尧、付卉青、刘英、陈卓贤、李忠、刘治永、宋小宁、李亚莉、周爱萍。本部分所代替标准的历次版本发布情况为:GB/T16855.11997、GB/T16855.12005、GB/T16855.12008I
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:2015引言
机械领域安全标准的结构如下:a)A类标准(基础安全标准),给出适用于所有机械的基本概念、设计原则和一般特征:b)B类标准(通用安全标准),涉及机械的一种安全特征或使用范围较宽的一类安全装置:B类,特定的安全特征(如安全距离、表面温度、噪声)标准;B2类,安全装置(如双手操纵装置、联锁装置、压敏装置、防护装置)标准):C类标准(机械产品安全标准),对一种特定的机器或一组机器规定出详细的安全要求的标准。依照GB/T15706中的规定,本部分属于B类标准。本部分尤其与下列与机械安全有关的利益相关方有关:机器制造商:
健康与安全机构
其他受到机械安全水平影响的利益相关方有:—机器使用人员;
机器所有者:
服务提供人员;
消费者(针对预定由消费者使用的机械)。上述利益相关方均有可能参与本部分的起草。此外,本部分预定用于起草C类标准的标准化机构。本部分规定的要求可由C类标准补充或修改对于在C类标准的范围内,且已按照C类标准设计和制造的机器,优先采用C类标准中的要求,本部分的目的是在控制系统的设计和评估中给出对所涉及的控制系统的指南,并为制修订B类或C类标准提供指南。作为机器全面风险减小策略的一部分,设计者一般愿意通过采用具有一种或多种安全功能的防护装置来达到某种程度的风险减小。用于提供安全功能的机器控制系统部件称为控制系统安全相关部件(SRP/CS),它们由硬件和软件组成,既可独立于机器控制系统,也可以是机器控制系统的组成部分。除了提供安全功能以外,SRPCS也能提供操作功能(例如:双手操纵装置作为过程启动的一种手段)。控制系统安全相关部件在预期条件下执行安全功能的能力分为5级,称之为性能等级(PL)。这些性能等级由每小时发生危险失效的概率来定义(见表2)。安全功能危险失效的概率取决于几个因索,包括:软硬件结构、故障检测机制的范围诊断覆盖率(DC)、部件的可靠性平均危险失效间隔时间(MTTF)、共因失效(CCF)、设计流程、运行负荷、环境条件和操作程序等。
为了使于设计者对所达到的PL进行评估,本部分采用了根据故障条件下具体设计准则和具体行为来进行结构分类的方法。这些类别分为5类:类别B、类别1、类别2、类别3、类别4。性能等级和类别适用于如下控制系统安全相关部件,例如:保护装置(例如:双手操纵装置、联锁装置)、电敏保护装置(例如:光栅)、压敏装置;控制单元(例如:控制功能、数据处理、监控等的逻辑单元);一动力控制元件(例如:继电器、阀等);以及所有机械上执行安全功能的控制系统充一一从简单装置(例如:小型厨房炊机具或自动门等)到复杂制造业设备(例如:包装机械、印刷机械、压力机等)。IN
iiiKAacJouaKAa
GB/T16855.1—2018/IS013849-1:2015本部分的目的是提供明确的基础用以评价应用SRP/CS(以及机器)的设计和性能,例如:第三方评价、自我评价或独立实验室评价关于IEC62061和本部分推荐应用的信息IEC62061和本部分都规定了机器控制系统安全相关部件的设计和实施要求。按照这两项标准的范围采用其中任何一个标准都可假定满足了相关的基本安全要求。ISO/TR23849为机器安全相关控制系统设计中应用IEC62061和本部分标准提供了指导V
iiiKAa~cJouaKAa
1范围
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:2015机械安全控制系统安全相关部件第1部分:设计通则
GB/T16855的本部分规定了包括软件设计在内的控制系统安全相关部件(SRP/CS)设计和集成的安全要求和指导原则。本部分规定了这些SRP/CS部件的特征,包括执行安全功能所需要的性能等级。本部分适用于所有种类机械上具有高要求和连续模式的SRP/CS,不管其采用何种技术和能量(电气、液压、气动、机械等)。
本部分未规定特殊应用中的安全功能或性能等级本部分给出了采用可编程电子系统的SRP/CS的具体要求。本部分未给出SRP/CS的产品的具体设计要求,但可采用给出的类别或性能等级等原则注1:SRP/CS的产品示例:继电器、电磁阀、位置开关、PLC、电机控制单元、双手操纵装置、压敏设备等。这类产品的设计需参考专门的标准,例如:GB/T19671、GB/T17454.1和GB/T17454.2。注2:所需性能等级的定义见3.1.24。注3:本部分给出的关于可编程电子系统的要求与IEC62061中给出的机械安全相关的电气、电子和可编程控制系统的设计和开发方法是一致的。注4:用于PL,=e的元件的安全相关嵌人式软件见IEC61508-3:1998中第7章。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2900.13—2008电工术语可信性与服务质量[IEC60050(191):1990.IDTGB/T15706—2012机械安全设计通则风险评估与风险减小(ISO12100:2010.IDT)GB/T16855.2一2015机械安全控制系统安全相关部件第2部分:确认(ISO13849-2:2012,IDT)
GB/T20438.3—2017
电气/电子/可编程电子安全相关系统的功能安全第3部分:软件要求(IEC61508-3:2010.IDT)
GB/T20438.4一2017电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语(IEC61508-4:2010.IDT)
ISO/TR22100-2:2013
relatestoISO13849-1
SafetyofmachineryRelationshipwithISO12100Part2:HowSO12100ISO/TR23849应用ISO13849-1和IEC62061设计机械的安全相关控制系统的指南(GuidanceontheapplicationofISO13849-1andIEC62061inthedesignofsafety-relatedcontrolsystemsformachinery)
IEC62061:2012机械安全安全相关电气、电子和可编程电子控制系统的功能安全(SafetyofmachineryFunctional safety of safety-related electrical,electronic and programmable electronic controlsystems)
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:20153术语和定义、符号及缩略语
3.1术语和定义
GB/T15706和GB/T2900.13界定的以及下列术语和定义适用于本文件。3.1.1
控制系统安全相关部件
safety-relatedpartofacontrolsystem;SRP/CS控制系统中响应安全相关输入信号并产生安全相关输出信号的部件。注1:控制系统安全相关部件的组成,以安全相关的输入信号被触发为起始点(例如:致动凸轮和位置开关的滚轮等),以动力控制组件的输出(例如:接触器的主触点等)为终止点。注2:如果监控系统用于诊断,也可认为是SRP/CS.3.1.2
类别category
控制系统安全相关部件在防止故障能力以及故障条件下后续行为方面的分类,它通过部件的结构布置、故障检测和/或部件可靠性来达到。3.1.3
产品不能完成要求的功能的状态。预防性维修或其他计划的行动或因缺乏外部资源的情况除外。注1:故障通常是产品自身失效后引起的,但即使失效未发生,故障也可能存在注2;本部分中,“故障”是指随机故障。[GB/T2900.13—2008.191-05-01]3.1.4
failure
产品完成要求的功能的能力的中断注1:失效后,产品处于故障状态,注2:“失效(failure)\与\故障(fault)\的区别在于失效是一次事件,故障是一种状态注3:这里定义的\失效”,不适用于仅由软件构成的产品。注4:本部分不包括只影响控制器进程的失效『GB/T2900.13-2008.定义191-04-013.1.5
危险失效
dangerousfailure
使控制系统安全相关部件(SRP/CS)有可能处于危险状态或功能丧失状态的失效注1:这种可能性是否成为事实取决于系统的通道架构;完余系统中,危险硬件失效不太可能导致全面的危险状态或功能丧失状态
注2:改写GB/T20438.4-2017.定义3.6.7。3.1.6
共因失效
common causefailure;CCF
由单一事件引发的不同产品的失效,这些失效不互为因果。注:共因失效不宜与共模失效(见GB/T15706—2012.定义3.36)相混淆[GB/T2900.13—2008,定义191-04-23]3.1.7
系统性失效
systematicfailure
与某个原因必然有关的,只有通过修改设计或制造工艺、操作程序、文档或其他关联因素才能消除的失效。
iiiKAacJouaKAa
注1:仅作修复性维修而无修改措施通常不能消除这种失效原因。注2:这种失效可以通过模拟失效原因诱发注3:以下情况中系统性失效的原因包括人为错误:安全要求规范:
硬件的设计、制造、安装和操作;软件的设计和实施等。
[GB/T2900.13—2008.定义191-04-19]3.1.8
muting
由SRP/CS实现的安全功能临时性自动暂停3.1.9
手动复位
manual reset
GB/T16855.1—2018/ISO13849-1:2015重新启动机器前,控制系统安全相关部件(SRP/CS)中用作手动恢复一种或多种安全功能的功能。3.1.10
对健康产生的生理上的损伤或危害。GB/T15706—2012.定义3.5
hazard
潜在的伤害源。
注1:“危险”一词可由其起源(例如:机械危险和电气危险),或其潜在伤害的性质(例如:电击危险、切割危险、中毒危险和火灾危险)进行限定:
注2:本定义中的危险包括:
在机器的预定使用期间,始终存在的危险(例如:危险运动部件的运动、焊接过程中产生的电弧、不健康的姿势、噪声、高温);
或者意外出现的危险(例如:爆炸、意外启动引起的挤压危险,泄漏引起的喷射,加速/减速引起的坠落)注3:改写GB/T15706—2012.定义3.6。3.1.12
危险状况
hazardoussituation
人员暴露于具有至少一种危险的环境。注:这类暴露可能立即或在一定时间之后对人员产生伤害。[GB/T15706—2012.定义3.10]
伤害发生概率和伤害发生的严重程度的组合[GB/T15706—2012,定义3.12]3.1.14
剩余风险
residual risk
采取保护措施之后仍然存在的风险注1:见图2。
注2:改写GB/T15706—2012.定义3.13。3.1.15
风险评估
riskassessmentwwW.bzxz.Net
包括风险分析和风险评价在内的全过程。3
iiiKAacJouaKAa
GB/T16855.1—2018/ISO13849-1:2015[GB/T15706—2012.定义3.17]
风险分析
risk analysis
机器限制的确定,危险识别和风险估计的组合[GB/T15706—2012,定义3.15]3.1.17
风险评价
risk evaluation
以风险分析为基础,判断是否已达到减小风险的目标。[GB/T15706—2012.定义3.16]
intendeduseofamachine
机器的预定使用
按照使用说明书提供的信息使用机器。[GB/T15706—2012.定义3.23]
可合理预见的误用
reasonablyforeseeablemisuse
不是按设计者预定的方法而是按照容易预见的人的习惯来使用机器[GB/T157062012.定义3.24]
安全功能
safetyfunetion
其失效后会立即造成风险增加的机器功能[GB/T15706—2012.定义3.30]]3.1.21
monitoring
组件或元件执行其功能的能力下降或过程条件的改变而削弱风险减小能力时,确保保护措施被触发的安全功能。
可编程电子系统
programmableelectronicsystem;PES基于二个或多个可编程电子装置的控制、防护或监视系统包括系统中所有的组件,如电源、传感器和其他输入装置,以及接触器及其他输出装置等。注:改写IEC61508-4:1998.定义3.3.23.1.23
性能等级
performancelevel
用于规定控制系统安全相关部件在预期条件下执行安全功能的离散等级。注:见4.5.1。
所需性能等级
requiredperformancelevel
每种安全功能为达到所需的风险减小所采用的性能等级(PL)注:见图2和A.1
平均危险失效间隔时间
meantimetodangerousfailure
平均危险失效间隔时间期望。
注:改写GB285262012,定义3.2.34。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。