GB28526-2012采
机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全
Electricalsafetyofmachinery-Functionalsafetyofsafety-relatedelectrical,electronicandprogrammableelectroniccontrolsystems
- 中国标准分类号(CCS)K09
- 国际标准分类号(ICS)29.020
- 实施日期2013-05-01
- 文件格式PDF
- 文本页数78页
- 文件大小1.27M
以图片形式预览机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全
机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全
国家标准 GB28526一2012/IEC62061:2005 机械电气安全安全相关电气、电子和 可编程电子控制系统的功能安全 Electriealsafetyofmachinery一Functiomalsafetyofsafety-relatedlelectrieal. eleetronicandprogrammableeleetronmiecontrolsystes (IEC62061:2005,Safetyofmachinery一Funetionalsafetyofsafety-related electrical,electronicandprogrammableelectroniccontrolsystems,lDT) 2012-06-29发布 2013-05-01实施 国家质量监督检监检疫总局 发布 国家标准花管理委员会国家标准
GB28526一2012/IEc62061:2005 目 次 前言 引言 范围 规范性引用文件 术语和定义、缩略语 3.1按字母顺序排列的定义表 3.2 术语和定义 缩写 3 3 功能安全管理 目的 12 4.l 4.2要求 12 安全相关控制功能规范要求(SRCF) 13 目的 5.l 13 sRCF要求规范 安全相关电气控制系统设计与整合(SRECs 6.1 目的 6.2 15 -般要求 15 6.3检测SRECS故障时的行为(SRECS的)要求 16 SRECS系统安全完整性要求 安全相关电气控制系统选择 1" 6.6安全相关电气控制系统(sREcs)设计和开发 21 6.7子系统实现 6
32 实现诊断功能 6.9SRECS硬件实现 33 6.10软件安全要求规范 33 6.11软件设计和开发 34 12安全相关电气控制系统集成和测试 6 39 613sRECS安装 SRE(Ccs使用信息 7.1目的 安装、使用与维护文件 安全相关电气控制系统确认 8.l 目的 8.2 -般要求 3 8 SRECS系统安全完整性确认
GB28526一2012/IEcC62061;2005 修改 9.1 42 目的 42 9.2修改程序 43 9.3配置管理程序 10文件 附录A资料性附录SIL分配 46 附录B(资料性附录)安全相关电气控制系统(sRECS)设计示例使用条款5,6的概念和要求 52 附录c(资料性附录嵌人式软件设计和开发指南 57 附录D(资料性附录电气/电子部件的失效模式 63 附录E(资料性附录)按照GB/T17799.2一2003用于工业环境的sRECS电磁现象(EM)和 提高的抗扰度水平 67 附录F资料性附录)共同原因失效(CCF)敏感度评估方法 69 图1IEC62061与其他有关标准的关系 图2sRECs设计和开发过程的工作流程 图3子系统的功能模块安全要求配置(见6.6.2.1.1) 20 图4子系统设计和开发流程(见图2的6B框 2: 图5功能块分解成冗余功能块元素和其相关的子系统元素 图6子系统A逻辑表示 28 图7子系统B逻辑表示 28 图8子系统c逻辑表示 2g 图g子系统D逻辑表示 30 图A.!SL分配过程的工作流程 图A.2用于风险评估的参数 图A.3sIL分配过程形式示例 功能分解的术语 图B.1 52 图B.2机器示例 53 图B3SRCF要求说明 53 图B,4分解功能块结构 53 图B.5SRECs的结构的初步概念 5 55 图B.6各子系统(sS1到sS4)内嵌诊断功能的sSRECs体系结构 图B.7子系统Ss3内嵌诊断功能的sRECs体系结构 55 56 图B.8对于SRECs的PFIHD评估 表1IEC62061和ISOl3849-1建议应用范围修订中) ---+ 表2本标准概述和目标
GB28526一2012/IEc62061:2005 14 表3安全完整性等级:SRCF目标失效值 21 表4本例使用的子系统1和子系统2的特性(见6.6.3.3注 25 表5子系统体系结构限制:使用本子系统的SRCF可能要求的最大SIL 26 表6体系结构限制;分类相关的SIlCI 表7危险失效概率 表8sRBcs的信息和文件 ++++#+##+##* 表A.1严重程度(Se)分类 表A.2暴露的频率(Fr)和持续时间分级 48 表A.3概率(Pm)分类 表A.4避免或限制伤害的概率(Av)等级 50 表A.5用于决定伤害概率级别的参数(CI 50 表A.6sL分配矩阵 50 表D.1电气/电子部件失效模式率示例 63 表E.1sRECS的电磁现象(EM)和提高的抗扰度 67 表E.2RF场试验选择频率 68 表E,3传导RF场选择频率 68 表F.1cCF评估准则 69 表F.2cCF因素(9)评估 70
GB28526一2012/IEc62061:2005 前 言 本标准的5,6.4,6.6.3,6.10,6.12为强制性,其余为推荐性条款 本标准按照GB/T1.1一2009给出的规则起草 本标准使用翻译法等同采用IEC62061;2005《机械安全安全相关电气电子和可编程电子控制 系统安全功能》. 本标准作了下列编辑性修改 -标准名称改为《机械电气安全安全相关电气.电子和可编程电子控制系统安全功能》 -剔除国际标准前言 本标准由机械工业联合会提出. 本标准由全国工业机械电气系统标准化技术委员会(SAc/Tc231)归口
本标准负责起草单位:国家机床质量监督检验中心、科学院沈阳计算技术研究所有限公司
本标准参加起草单位;固高科技(深圳)有限公司,北京凯恩宿数控技术有限责任公司,济南凌康数 控技术有限公司,苏州市华测检测技术有限公司,浙江凯达机床集团有限公司
本标准主要起草人;黄祖广、尹震宇、赵钦志、杨京彦、黄麟、于东、龚小云、张承瑞、杨洪丽、朱平、 何宇军,胡毅
GB28526一2012/IEcC62061;2005 引 言 由于自动化的结果,要求增加生产、降低操作人员体力,机械安全相关电气控制系统(以下简称 SRECS)在实现整个机械安全方面发挥日益重要的作用
此外,SRECS自身日益采用复杂的电子技术
在没有标准之前,人们不太情愿接受sREcS的安全相关功能来处理重大机器危险,因为这类技术 的性能存在不确定性
本标准为机械设计师、控制系统制造商和集成厂商和规范涉及的其他人员、SREcs的设计和确认 人员使用
它为达到所需的性能陈述方法和规定要求
本标准阐述了IEC61508框架内机器领域的具体应用
它主要为了完善在发生重大机器危险(见 ISO12100-1第3.8项)情况下执行安全相关电气控制系统的规范
本标准提供机器sRECS机械部分特有的功能安全框架
它只包括安全生命周期中从安全要求配 置到安全确认过程之间的相关方面
各项要求提供了安全使用机器的sRECS的相关信息,它与 SRE(CSs寿命的后阶段有关
当sRECS用作安全评估的一部分时,在很多情况下,可以达到降低机器风险的目的
典型的案例 是联锁防护装置的使用,当它被打开,意味着危险区域被访问时,便主动向电气控制系统发出信号,停止 危险的机器操作
同样,在自动化操作中,通常用来实现机器加工正确操作的电气控制系统,经常可以 通过减少控制系统失效直接造成的危险,以达到安全
本标准提供下列方法和要求 -指定由SRECS执行的各个安全相关控制功能要求的安全完整性等级; 使sRECs设计适合指定的安全相关控制功能 -设计的集成安全相关子系统符合ISO13849 确认SRECS
本标准预期用于ISO12100-1描述的降低系统风险的框架范围内.并根据IsO14121(EN1050)描 述的原则,同风险评估一起使用
安全完整性等级(sL.)分配的建议性方法在资料性附录A中抛供
考虑到电气控制系统内随机故障或系统故障的概率和结果,给出了协调SRECS性能和预期风险 降低的措施
图1显示本标准与其他相关标准的关系
表1对应用本标准和ISO13849-1的修订版提出建议
IEC62061和IsO13849-1(修订中)规定机械安全相关控制系统设计和实施的要求
在标准范围 内,使用其中任何一个,可以推定满足相关基本安全要求
表1总结IEC62061和Iso13849-1(修订 中)的范围
注Iso13849-1当前正由IsoTc199和cEN.Tc114制定中
GB28526一2012/IEc62061:2005 机械设计和风险评估 ISo12100,机械安全基本概念与设计通则 ISO14121,机械安全风险评估 机械的安全相关电气、电子和可编程电子控制系统(SRECS)设计 使用以下方法 安全相关控制功能 基于系统的方法 安全最化指数 安全指数 安全完整性等级(sIl 分类/性能等级 机器sRcss指定方法 量化风险图表指定的类型 定位后体系结构 定位后体系结构 系统故障避兔/控制要求 sRECs有关标准的设计目标 相关标准 分类子系统的低复杂性设计 机械电气安全方面IEC60204-1,机械电气安全机械的 ISo1384g9-1、2机械安全 电气设备 第1部分:遭用技术条件 控制系统有关安全部件(SRPCsy 第1部分:设计通则 第2部分:确认 非电气SRCs (机械、气动等 至sIL复杂子系统设计 Ec61,电气电子和可编程电子相关 安全系统 电气SRPCS Ec62061机械电气安全安全相关电气、电子和可编程电子控制系统 关键 的功能安全 电气安全方面 功能安全方面 图1IEC62061与其他有关标准的关系
GB28526一2012/IEcC62061;2005 表1IEC62061和Iso13849g-1建议应用范围(修订中 执行安全相关控制功能的技术 so13849-1(修订中) IEC62061 非电气,例如液压 未包括在内 B 机电,例如继电器或非复杂电子 限指定结构(见注1)并达到P-e所有结构并达到sIL3 复杂电子,例如可编程 限指定结构(见注1)并达到PL=d 所有结构并达到SIL3 A与B组合 限指定结构(见注1)并达到PL=e X见注3 C与B组合 限指定结构(见注1)并达到PL=d 所有结构并达到SL3 C与A组合,或C与A和B组合 X见注" X见注3 “x”表示该项目由本列标题所示的标准处理
注1:指定结构在ENIsO13849-1修订版)附录B规定,提供性能等级量化的简化方法
注2;对于复杂电子;按照ENIso13849-1(修订版)使用指定的结构,达到PL=d或按照IEc62061的任何 结构
注3:对于非电气技术,按照ENIso13849-1(修订版)规定的部件作为子系统
GB28526一2012/IEc62061:2005 机械电气安全安全相关电气、电子和 可编程电子控制系统的功能安全 范围 本标准对机械安全相关电气电子和可编程电子控制系统(SRECS)的设计,集成和确认,规定要求 和给出建议(见注1和注2). 本标准适用于单独的或组合的方式来使用的控制系统,以使工作时非便携式的机器执行安全相关 控制功能,包括以协调方式共同工作的一组机器,而不适用于手提工作机器
注1:在本标准里,“电气控制系统”这一术语表示“电气、电子和可编程电子E/E/PE)控制系统”,“SRECS”表示 “安全相关电气、电子和可编程电子控制系统" 注2在本标准里,假设复杂可编程电子子系统或子系统元素的设计符合IEc61508有关要求
本标雅提供使用方 法,而不是这类子系统和子系统元素作为SRECS的部件的开发
本标准是应用标准,不限制或阻碍技术进步
它不包括需要或要求由其他标准或法规为保护人身 免遭危险的所有要求(例如防护,非电气联锁或非电气控制)
各类型的机器都有独特的要求需要满足, 以提供充分的安全
本标准: 仅涉及预期降低直接接近机器或直接使用机器而造成的人身伤害或健康危害的风险的功能安 全要求 限于机器自身或以协调方式共同工作的机器组的危险直接引起的风险 注3,降低由其他危险引起的风险的要求在有关领域的标准中提供
例如,机器是加工活动的一部分时,机械电气 控制系统功能安全要求应满足其他要求(如GB/T21109),只要有关加工安全 没有规定机械非电气(例如液压、气动)控制元素性能要求; 注4:虽然本标准要求特别针对电气控制系统,但规定的框架和方法可以适用于使用其他技术的控制系统的安全 相关部件
-不包括电气控制设备自身引起的电气危险(例如电击,见GB5226.1)
本标准特定条款的目标见表2 表2本标准概述和目标 条 款 标 为达到sREcs功能安全要求,规定必要的管理和技术活动 功能安全管理 建立程序,规定安全有关控制功能的要求
这些要求以功能要求规范和安全完整 安全相关控制功能规范要求 性要求规范的术语表述 为满足功能安全要求,规定sRBcs的选择准则和/或设计和实现方法
包括 选择系统结构 安全相关电气控制系统的设计选择安全相关硬件和软件 与整合 设计硬件和软件; 验证设计的硬件和软件满足功能安全要求
GB28526一2012/IEcC62061;2005 表2(续 款 条 标 规定提供SRECS使用信息的要求,这些资料随机器提供
包括: 提供用户手册和程序 sRECs使用信息 提供维修手册和程序 规定适用于SR:cS的确认流程的要求
包括对SR(cS的检查和测试,确保其达 到安全要求规范中所述的要求
安全相关电气控制系统的确认 当修改SR:CS时,规定修改程序的要求,包括 对sREcS进行任何修改前,做适当计划和验证 安全相关电气控制系统的修改 完成任何修改后,满足SRECS安全要求规范 规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB5226.1一2008机械电气安全机械电气设备第1部分;通用技术条件(IEcC60204-1;2005 DT) GB/T15706.1一2007机械安全基本概念与设计通则第1部分;基本术语和方法 Iso12100-1;2003,IDT) GB/T15706.2一2007机械安全基本概念与设计通则第2部分;技术原则(ISO12100-2 2003,IDT) GB/T16855.1一2008机械安全控制系统有关安全部件第1部分;设计通则(ISO13849-1: 2006,IDT GB/T16855.22007 机械安全控制系统有关安全部件第2部分;确认IsO13849-2:2003. IDT) GB/T16856.1一2008机械安全风险评价第1部分:原则(ISO14121-1:2007,IDT) GB/T16856.2一2008机械安全风险评价第2部分:实施指南和方法举例(ISO/TRl4121-2 2007,IDT 工业环境中的抗扰度试验(IEc61000-6-2:1999. GB/T17799.22003电磁兼容通用标准 IDT GB18209.1一2010机械电气安全指示、标志和操作第1部分;关于视觉、听觉和触觉信号的 要求(IEc61310-1;2007,IDT) GB18209.2一2010机械电气安全指示、标志和操作第2部分;标志要求(IEC61310-2:2007 DT) GB18209.32010机械电气安全指示、标志和操作第3部分;操动器的位置和操作的要求 (IEC61310-3;2007,IDT) GB/T20438.2一2006电气/电子/可编程电子安全相关系统的功能安全第2部分;电气/电子 可编程电子安全相关系统的要求(IEC61508-2;2000,IDT) GB/T20438.4一2006电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略 语(IEC61508-4:1998,IDT
GB28526一2012/IEc62061:2005 GB/T21109.1一2007过程工业领域安全仪表系统的功能安全第1部分:框架、定义、系统、硬 件和软件要求(IEC61511-l;2003,IDT IEC61508-3电气/电子/可编程电子安全相关系统功能安全第3部分软件要求(Funetio onal -Part3:Softwarere nnic/programme sadetyoelectrieal/eleetron nableeleetronicsafety-related systems quirementS 术语和定义、缩略语 按字母顺序排列的定义表 话语 义编号 定 应用软件application.software 3.2.46 体系结构限制architectureconstraint 3.2.36 体系结构 3.2.35 architecture 共同原因失效 3,2.43 commoncausefailure 复杂部件complexcomponent 3.2.8 控制功能controlfunction 3.2.14 危险失效 dangerousfailure 3,2.40 要求 demand 3.2.25 诊断覆盖率diagnosticcoverage 3.2.38 电气控制系统electricalcontrolsystem 3.2.3 嵌人式软件 3.2.47 embeddedsoftware 失效failure 3.2.39 故障fault 3.2.30 容错 3.2.31 faulttolerance (FVL) 全可变语言类型 fulvariabilitylanguage 3.2.48 功能块funetionbloek 3,2.32 功能块元素functionblockeement 3.2.33 功能安全 functionalsafety 硬件安全完整性hardwaresafetyintegrity 3.2.20 危险(来自机械的hazardfrommachinery) 3.2.1o 危险状况 3.2.1n hazardoussituation 高要求或连续模式higehdemandorcontinuousmode 3.2.27 有限可变语言类型limitedvariabilitylanguageLVI) 3.2.49 低复杂性部件 3.2." owcomplexitycomponent 低要求模式 lowdemandmode 3.2.26 机械控制系统machinecontrolsystem 3.2.2
GB28526一2012/IEcC62061;2005 表续 术 语 定义编号 机械(机器machinerymachine 3.2.1 平均失效间隔时间MeanTimeToFailureMTTF 3.2.34 每小 时危险失效概率probabilityodangerousfalureperhour(PFH, 3.2.28 验证试验prooftest 3.2.37 防护措施proteetivemeasure 3.2.12 随机硬件失效randomhardwarefailure 3.2.44 risk 安全失效safefailure 3.2.41 3.2.42 安全失效系数 safefailurefraction 安全功能safetyfunetion 3.2.15 安全完整性safetyintegrity 3.2,19 安全完整性等级safetyintegritylevelSIL) 3.2.23 安全相关控制功能 safety-relatedcontrolfunction(SRCF) 3.2.16 安全相关电气控制系统safety-relatedelectriccontrolsystemSRECS) 3.2.4 安全相关软件 3.2.50 Safety-relatedsoftware SII要求限度 SI .claimlimit 3.2.24 软件安全完整性 softwaresafetyintegrity 3.2.21 SRCS诊断功能SRECSdiagnosticfunetion 3.2.17 SRECS故障反应功能SRECSfaultreactionfunetion 3.2.18 子系统subsystem" 子系统元素subsystemelement 3.2.6 3.2.45 系统失效 systematicfailure 系统安全完整性systematicsafetyintegrity 3.2.22 目标失效值 targetailurevalue 3.2.29 确认validation 3.2.52 验证 3.2.51 verification 3.2术语和定义 下列术语和定义适用于本文件
3.2.1 机械machinery 机器machine 由着干零、解件组合而成.其中至少有一个零件是可w运动的,并具有适当的机械操作执行机构控 制和动力电路等
它们的组合具有一定应用目的,如物料的加工、处理、搬运或包装等
“机械”这一术语也包括机器的组合,即将同一应用目的若干台机器安排、控制得如同一台完整机器 那样发挥它们的功能
注1;在这用的“组合"这一术语在通常意义上不仅是电气部件的组合 注2:改写GB/T15706.1 7,定义3.1. 一2007
GB28526一2012/IEc62061:2005 3.2.2 机械控制系统machineeomtrolsystem 对来自于过程、其他机械元素、操作人员或外部控制设备的输人作出响应,并且生成输出,使机械按 照预定方式工作的系统
3.2.3 电气控制系统eleetriealcontrolsystem 包括机械控制系统的所有电气、电子和可编程电子部件,用于提供操作控制、监控、联锁、通信、保护 和安全相关控制功能
注:安全相关控制功能可以由执行非安全相关功能的机械控制系统的一个完整的或独立的部件执行
3.2.4 安全相关电气控制系统Safety-relateleleetrieeontrol lsystem SRECS 其失效可能导致风险立即增加的机械电气控制系统
注,sRECS包括由电源电路和控制电路组成的全部电气控制系统,其失效可能导致功能安全的降低或丧失
3.2.5 子系统subsystem SRECS高层结构设计的实体,其中任何子系统的失效将导致安全相关控制功能失效
注1,完整的子系统可能由许多可识别的及单独的子系统单元构成,,一起分配到子系统执行功能块的作用. 注2:该定义局限于GB/T20438.4的一般定义;按照设计相互作用的一组元素,可能包括相互作用的硬件、软件和 人
系统中的某一元素可以自成另外的系统,成为子系统
注3:在公开语言中,"子系统”可以指一个实体的任何细节部分
与此不同的是,本标准使用的术语“子系统”是术 语学明确规定的层次范围内;“子系统”是系统的第一级细分
由子系统进一步细分而产生的部分称为“子系 统元素”" 3.2.6 子系统元素subsystemelement 子系统的一部分,由单一元件或任何元件组构成
3.2.7 低复杂性元件 Iow complexityeomponent 该类元件 失效模式已很好确定;并且 故障情况下的行为能完全确定
注1,改写GB/T20438.4一2006,定义3.4.4 注2在故障条件下,低复杂性元件的行为可以通过分析和/或试验方法确定
注3:子系统或子系统元素包含一个或多个限位开关,可能通过插人其中的机电继电器操作,一个或多个触头切断 电动机就是低复杂性元件的示例
3.2.8 复杂元件 complexcomponent 该类元件 失效模式没有很好确定;或 -故障情况下的行为不能完全确定
3.2.9 功能安全funetionals safety 机械及机械控制系统的安全部分,取决于sREcs的正确功能、其他技术安全相关系统和外部风险 降低设施
注1改写GB/T20438.4一2006,定义3.l.9.
GB28526一2012/IEcC62061;2005 注2:本标准只考虑机械应用中取决于SRECS正确功能的功能安全
注3;ISo/IEC指南51定义安全为免除不能接受的风险
3.2.10 危险(来自机器的》hard 潜在的伤害身体或损害健康源
注1;改写GB/T15706.1一2007,定义3.6
注2:危险这一术语可由其起源或预计伤害的性质(如,电击危险、挤压危险、切剐危险、中毒危险、火灾危险)进行 规定
3.2.11 危险状况 hazard0ussituati0nm 人员暴露于有危险的环境
注:改写GB/T15706.1一2007,定义3.9
3.2.12 防护措施proteetiemeasure 降低风险的措施
注;改写GB/T15706.1一2007,定义3.18
3.2.13 风险risk 伤害发生概率和伤害发生严重程度的综合
[GB/T15706.1一2007,定义3.11 3.2.14 控制功能controlfunetion 评估输人信息或信号并产生输出信息或动作的功能
3.2.15 安全功能safetytunetion 其失效会立即造成风险增加的机器功能
[GB/T15706.1一2007,定义3.28] 注:该定义不同于GB/T20438.4和GB/T16855.1的定义
3.2.16 安全相关控制功能safety-ReatedlcontrolFunetionm SRCF 由具有规定的完整性等级的sRECS执行的控制功能,预期用于保持机器的安全状况或防止风险 立即增加
3.2.17 SRECs诊断功能SRECsdiagmosticfunctionm 预期用于检测SRECS故障,并在检测出故障时产生特定输出信息或动作的功能
注:该功能预期用于检测可能导致sRCF危险失效并引发特定故障反应功能
3.2.18 sRECs故障反应功能sRECsfautreactionfunection" 当SRECS范围内的故障由sRECS诊断功能检测出时,引发该功能
3.2.19 安全完整性safetyintegrity 在所有规定情况下,SRRECs或其子系统圆满执行所要求的安全相关控制功能的概率
注1:改写GB/T20438.4一2006,定义3.5.2.
GB28526一2012/IEc62061:2005 注2:项目的安全完整性等级越高,其未能执行所要求的安全相关控制功能的概率就越低
注3:安全完整性由硬件安全完整性(见3.2.20)和系统安全完整性(见3.2.22)组成
3.2.20 硬件安全完整性hardwaresafetyintegrity SRECS或其子系统安全完整性的一部分,包含危险的随机硬件失效概率和结构限制两方面的 要求
注改写GB/T20438.4一2006,定义3.5. o 3.2.21 软件安全完整性softwaresafetyintegrity SRECS或其子系统的系统安全完整性部分,涉及软件在所有规定条件下,规定时间段内,在可编程 电子系统中执行其安全相关控制功能的能力. 注1:改写GB/T20438.4一2006,定义3.5.3 注2:软件安全完整性一般不能精确量化
3.2.22 系统安全完整性systematicsafetyinteg" sRECS或其子系统安全完整性的一部分,关于在危险模式下,与其阻止系统失效(见3.2.45 有关
注1:改写GB/T20438一2006,定义3.5.4
注2;系统安全完整性通常不能精确量化
注3,系统安全完整性要求适用于sRECS或其子系统的硬件和软件两方面 3.2.23 安全完整性等级safetyintegritylevel SI -种离散的等级(三种可能的等级之一),用于规定分配给SREECS安全相关控制功能的安全完整 性要求
在这里,安全完整性等级3是最高的,安全完整性等级1是最低的
注1改写GB/T20438.4一 ,定义3.5.6. -2006 注2:本标准不考虑sl4,通常不适合与机械相关联的风险降低要求
适合sl4的要求,见GB/T20438.1和 GB/T20438.2
3.2.24 SIL要求限度(子系统SILClaimLimitforsubsystemm) SILCL 可被称作sRECs子系统关于结构限制和系统安全完整性的最大sIL
3.2.25 要求 demand 引起sRECs执行sRCF的事件
3.2.26 低要求模式lowdemandmde 指操作模式,在该模式下,对sREcs提出操作要求的频率不大于每年一次或不大于两倍验证试验 频率
注,按照GBy/T20438.1和GBy/T20438.2对于低要求操作模式设计的设备,在本标准中,不适合用做sREcs的一 部分
低要求操作模式被认为与sREcs的机械应用无关
3.2.27 高要求或连续模式highdemandorcontinuousmode 指操作模式,在该模式下,对sRECs提出操作要求频率大于每年一次,或大于两倍验证试验频率 注1:改写GB/T20438.42006,定义3.5.12 注2:低要求操作模式被认为与sREcS的机械应用无关
所以,在本标准里,SREcs仅认为是工作在高要求或连
GB28526一2012/IEcC62061;2005 续模式
注3;要求模式指为了使机器转换到规定状态,安全相关控制功能只根据请求(要求)执行
对安全相关控制功能 提出要求前,SRECS不影响机械工作
注4;连续模式指安全相关控制功能永久(连续)执行
如sRECs连续控制机械和其功能会导致危险的(危险》 失效
3.2.28 Failun Hour 每小时危险失效概率probabilityofda angerous ureper PFH 1小时内危险失效平均概率
注:PrFH不应与要求失效概率(PFD)相混消
3.2.29 tfailurevalue 目标失效值target 预期要达到的PFH.,为满足规定的安全完整性要求
注1:改写GB/T20438,4一2006,定义3,5.l3
注2:目标失效值以每小时危险失效概率的术语定义 3.2.30 故障fault 指异常状态,该状态可能引起SRBCS,子系统或子系统元素降低或丧失执行所要求功能的能力
注:改写GB/T20438.42006,定义3.6,1
3.2.31 容错faulttolerance 在出现故障或失效时,SRECS,子系统或子系统元素继续执行要求功能的能力
注:改写GB/T20438.42006,定义3.6,3
3.2.32 功能块funetionbloek SRCF最小的元素,其失效可以导致SRCF失效
注1:在本标准中,SRCF(F)可以被看作是功能块(FB)的逻辑与,如;F=FB与FB与FB 注2;功能块这样定义与GB/T15969.3及其他标准所使用的不同 3.2.33 功能块元素funetionbloekelement 功能块的一部分
3.2.34 平均失效间隔时间MeanTimeIoFailure MITE 平均失效间隔时间期望
[IEV191-12-07,修改] 注,MTTF通常表示失效间隔时间的平均期望值
3.2.35 体系结构architeecture sRECs中硬件和软件元素的具体配置
注;改写GB/T -2006,定义3.3.5.
20438.4 3.2.36 体系结构限制architecturecnstraint -套体系结构要求,用于限制可以乘坐子系统的sI
注;体系结构限制的要求见6.7.6.
GB28526一2012/IEc62061:2005 3.2.37 验证试验prftest 在SRECS系统及其子系统中,该试验可以检测其故障和降级,如必要,以便SRECS及其子系统可 以回复到“新”状况或尽量接近该状况
注1:改写GB/T20438.42006,定义3.8.5
注2;验证试验用于确认sRECs是否处于保证规定的安全完整性状态
3.2.38 诊断覆盖率diagsticcerue 进行自动诊断试验操作而导致危险硬件失效概率的降低
注1;改写GB/T20438.4一2006,定义3.8.6
注2:诊断覆盖率(DC)可用下列公式计算; DC=习A/A Dotal 其中,A为检测到的危险硬件失效比率,A为总的危险硬件失效比率
3.2.39 失效ftailure sRECs、子系统或子系统元素执行要求功能的能力的终止
注1,改写GB/T20438.!2006,定义3.6.4和GB/T15706.1一2007,定义3.32 注2;失效是随机的(硬件)或系统的(硬件或软件) 3.2.40 危险失效dangerousfailure 使sSRECS,子系统或子系统元素处于潜在危险或非功能状态的失效
注1:改写GB/T20438.42006,定义3.6.7
注2潜在是否变成事实取决系统的通道结构,例如,在为提高安全性的多通道系统中,危险硬件失效很少会导致 整体危险或非功能状态
注3,在多通道子系统中,该子系统危险失效概率可能比构成子系统的通道的危险失效率低
而sRECs的危险失 效概率不会比构成SRECS的任何子系统的危险失效概率低(这出自本标准子系统的特别定义)
注4危险失效通常导致执行sRCF出现失效或潜在失效
3.2.41 安全失效safefailure sREcS,SRECs子系统或sREcs子系统元素的失效不引起潜在的危险
注1改写GB/T20438.4一2006,定义3.6.8. 注2:安全失效不会导致执行SRCF出现失效或潜在失效
3.2.42 安全失效系数safeFailureFraetion SFr 不会导致危险失效的子系统整体失效率系数
注,安全失效系数(SFF)可用下列公式计算 十习m SFF=习入s D/(入s十入n 式中 -安全失效比率; 入s 习A十习AD -整体失效比率; -诊断功能检测的危险失效比率; D 危险失效比率 Ap 在计算随机硬件失效概率时考虑了SRCS中每个子系统的诊断覆盖率如果有);在确定硬件安全完整性的结构体 系限制时已经考虑了安全失效系数(见6.7.7).
GB28526一2012/IEcC62061;2005 3.2.43 ComonCauseFailure 共同原因失效 CCF -种失效,它是一个或多个事件导致的结果,在多通道(冗余结构)子系统中引起两个或多个单独通 道同时失效,从而导致sRCF失效
注1:改写GB/T20438.4一2006,定义3.6.10. 注2;该定义与GB/T15706.1和IEV1910423给出的不同 3.2.44 随机硬件失效randomhardwarefailure 在硬件中,由一种或多种机能下降可能产生的、按随机时间出现的失效 注:改写GB/T20438.42006,定义3.6,5
3.2.45 系统失效systematicfailure 有确定方式和原因的失效,只能通过修改设计或制造过程、操作步骤、文件或其他有关因素予以 消除
[GB/T20438.4一2006,定义3.6.6 注1仅正确维修而不修改通常将不能消除失效原因
注2,通过模拟失效原因可能诱发系统失效 注3包括人为错误的系统失效原因的示例有 安全要求规范;
硬件设计、制造、安装和/或操作; 软件设计和/或执行
3.2.46 应用软件applieaionm software 由sSRCS设计人员研发的特定应用的软件,一般包含逻辑流程图、限制条件以及用于控制适当输 人、输出、计算和决定的表达式,以满足SRECS的功能要求
3.2.47 embeddedsoftware 嵌入式软件 软件,由制造商提供
该软件是SRECs的一部分,通常不能修改
注;固件和系统软件为嵌人式软件的例子
3.2.48 全可变语言FllYariabilityLanguage F 语言的一种类型,可提供实现多种功能和应用的能力
注1;改写GB/T21109.12007,定义3.2.81.1.3
注2:使用FV1系统的典型的例子是通用计算机
注3;FVL通常用于嵌人式软件,很少用于应用软件
注4;FVL例子包括 Ada,c,Paseal,指令表,汇编语言,c++,Java.sQL. 3.2.49 有限可变语言LimitedVariability language LVL 语言的一种类型,为实现安全要求规范提供组合预定的、应用特定的、库功能的能力
注1:改写GB/T21109.l一2007,定义3.2.81.1.2
注2:LVL提供与要求功能相一致的接近功能以获得应用
10
GB28526一2012/IEc62061:2005 注3:GB/T15969.3给出1VL典型例子
它们包括梯形图、功能方块图和顺序功能图
LVL.不考虑指令表和结 构文本
注4:使用LVL的系统典型例子;为机械控制配置的可编程逻辑控制器(PLc
3.2.50 安全相关软件safety-relatedsoftware 在安全相关系统中,用于实现安全相关控制功能的软件
3.2.51 验证 verification 通过检查如试验,分析),证实SRECS,其子系统或子系统元素满足有关规范设定的要求
注1:改写GB/T20438.4一2006,定义3.8.1和GB/T21109.1一2007,定义3.2.92
注2验证结果应提供证明文档作为客观性凭证
示例验证活动包括 -对输出(各阶段文件)评审,保证符合该阶段的目标,要求,同时考虑该阶段的特定输人; -设计评审; 对设计产品进行试验,确保按照其相关规范执行; 在系统的不同部分以逐步方式集成时,要进行整合试验,通过环境试验,确保所有部分以规定的方式协 同工作
3.2.52 确认validation 通过检查(如试验,分析)证实sRECS满足具体应用的功能安全要求
注;改写GB/T20438.4一2006,定义3.8.2 3.3缩写 共同原因失效CommonCauseFailure(s) DC 诊断覆盖率DiagnosticCoveruge EMC 电磁兼容性EleetromagnetieCompatibility FB 功能模块FunctionBock 全可变语言FulVariabilityl.anguage FVL 输 1/O LV 有限可变语言LimitedVariabilityL.anguage PFHm 每小时危险失效概率ProbabilityofdangerousFailureperHour MTTF 效间隔时间MeanTimeToFailure MTTR MeanTimeToRestoration 危险 P ProbabilityofdangerousTransmissionEror SFF SafeFailureFraetion SaetyntegrityLevel SL 完整性等级(SIL)要求限度(针对子系统 SILCL. IntegrityIevelILClaimIimit forsubsystems/ SR 安全相关Safety-Reated RECS 安全相关电气控制系统Safety-RelatedEleetriealControlSystem SRCF 安全相关控制功能Safety-RelatedControlFunction 安全要求规范SafetyRequirementsSpeeificationm SRS SYS 系统System
GB28526一2012/IEcC62061;2005 功能安全管理 目的 本条规定了为了达到SRECS所要求的功能安全所必需的管理和技术工作
4.2要求 4.2.1对于每个SRECS设计项目,都应起草功能安全计划,并形成文档,必要时,应及时更新
该计 划应包括第5章至第9章上规定的运行控制程序
注1;功能安全计划内容应按照根据具体情况而定,其中包括 -项目规模; -复杂程度; 设计和技术新颖程度; 设计特点标准化程度 如果失效可能的后果
该计划尤其应注意下列各项: 确定第5章至第9章规定的有关活动
a b)描述为满足规定的功能安全要求而采取的方针和策略
描述为实现应用软件,开发,集成、验证和确认的功能安全的策略
d)确定第5章至第9章中规定对执行和检查各项工作负责的人员、部门或者其他单位和资源
确定或建立相关程序和资源以便记录和维护同sSRECS功能安全相关的信息 e 注2:应考虑下列因素 危险识别和风险评价的结果 用于安全相关功能及其安全要求的设备 负责维护功能安全的机构" -达到和保持功能安全(包括SRECS修改)所需的程序
描述考虑相关机构问题时的配置管理(见9.3)策略,例如被授权的人及该机构的内部结构
f 建立验证计划,应包括 g 进行验证的细节; 执行验证的人员,部门或单位的详细情况 验证策略和技术的选择; 试验设备的选择和使用 验证活动的选择; 验收准则 用于评估验证结果的方法
建立确认计划,其中包括 h 进行确认的细节; 机器操作有关模式(如正常操作,设置)的确定; 对照受验证的SRECs的要求; 适用于确认的技术策略,例如分析方法或统计试验; 验收准则; 出现失效时采取的行动,以满足验收要求
注3确认计划应指出sRECs及其子系统是否进行常规测试、型式测试及/或抽样测试
12
GB28526一2012/IEc62061:2005 4.2.2应实施功能安全计划,确保立即跟踪,并完满地解决由于下列原因造成的SRECS相关的问题 -第5章至第9章规定的活动; 验证活动; -确认活动 安全相关控制功能规范要求(SRCF 目的 5.1 本条规陈述程序,它规定由sREcS执行sRCF要求
5.2SRCF要求规范 5.2.1概述 5.2.1.1依据GB/T15706.1,GB/T15706.2和GB/T16856提出的风险降低策略,安全功能的任何 需要将可能被确定
5.2.1.2如果被选择的安全功能由SRECS执行(全部或部分地),那么,应规定相关SRCF(见3.2.16). 5.2.1.3各SRCF规范应包括 功能要求规范(见5.2.3); 安全完整性要求规范(见5.2.4)
上述项目应在安全要求规范(SRS)中形成文件
注1,当非电气设备结合电气手段来执行安全功能时,本标准将不考虑应用于非电气设备的目标失效值
电气手 段诵盖了所有依据电气原理操作的装置和系统,包括 -机电装置; -非可编程电子装置; 可编程电子装置
注2sRs需要按照版本控制,作为配置管理程序的一部分(见9.3). 5.2.1.4安全要求规范应该经过验证确保在预期应用中的一致性和完整性
注:例如,它可以通过检验,分析、核对表获得
见GB/T20438.7中B.2.6
可用信息 5.2.2 应使用下列信息来制定各SRF功能要求规范和安全完整性要求规范 机器风险评价结果应包括针对各种特定危险的风险降低过程所必需的所有安全功能; 机器操作特性,包括 操作模式; 循环时间; 响应时间性能; 环境条件; 人机交互(例如修理.设置.请请) -所有和SRCF相关的信息,都可能影响SRECS的设计,例如 SRCF预期实现或防止的机器行为的描述; SRCF之间以及SRCF与任何其他功能(无论机器内外)之间的所有界面 SRCF要求的故障反应功能
注:在开始SREcS重复设计过程前,有些信息可能不可用或未被充分定义,故在设计过程中,可能要求更新 13
GB28526一2012/IEcC62061;2005 SRECS安全要求规范
5.2.3sRCr功能要求规范 5.2.3.1SRCF功能要求规范应描述各个需要执行的SRRCF的细节,包括 SRCF应激活或禁用的机器条件(例如操作模式); 可能是同时激活,但会造成冲突动作的那些功能之间的优先权 各个sRCF的工作频率; 各SRCF要求的响应时间; SRRCF、同其他机器功能之间的接口 要求的响应时间(例如输人、,输出装置); SRCF的描述; 各 故障反应功能以及例如机器重新启动或继续运转等操作的各种限制的描述,以防初始故障即 导致机器停止运行; 工作环境描述(例如温度、湿度,灰尘,化学物质、机械振动和冲击) 试验以及各种相关设施例如试验设备,试验接人端口); -预期用于SRCF机电装置的操作循环周期、工作循环周期和/或使用类别
5.2.3.2除了GB/T17799.2要求外,当sRECS计划用于工业环境时,电磁(EM)抗扰度等级在附录E 有规定
计划用于另外的EM环境的sRECs(例如住宅)应具有其他的EMC标准规定的抗扰度等级 例如住宅环境,应具有GB/T17799.l)
注1:在规定EM抗扰度等级时,需要考虑在不同的EMC标准中的使用的等级是否涵盖了SRECS应用中可能发 生的情况,即使这种情况发生概率很低
注2:SRECS功能安全的EM抗扰度性能准则见6.4.3
5.2.4SRCF的安全完整性要求规范 每个sRF的安全完整性要求应来自风险评价,以确保达到必要的风险降低
在本标准中 5.2.4.1 安全完整性要求表示为SRCF每小时危险失效概率的目标失效值
5.2.4.2每个SRCF的安全完整性要求应按照表3依照SI规定并形成文档
方法实例见附录A
表3安全完整性等级:sRCr目标失效值 安全完整性等级(SIL) 每小时危险失效概率(PFHo >10-着<10- >10-7<10-" >10-《<10- 注:当要求的sRCF安全完整性低于sLl时,应满足GB/T16855.1B最低要求的B类
5.2.4.3如果产品标准为SRCF规定了sIL,那么,该规定应优先于附录A
安全相关电气控制系统设计与整合(SRECs) 6.1目的 本条款规定SRECS设计或选择要求,以满足安全要求规范中规定的功能和安全完整性要求(见5.2)
14
GB28526一2012/IEc62061:2005 6.2 一般要求 6.2.1SRECS的选择或设计应符合安全要求规范(见5.2)和有关软件安全要求规范(见6.10),并考 虑本标准的适当要求
6.2.2sRECs的选择或设计(包括总体硬件、软件体系结构、传感器、执行元件,可编程电子器件、嵌人 式软件,应用软件等)应符合6.5或6.6
不管使用哪种方法.SRECS均应符合下列要求 硬件安全完整性要求,包括 硬件安全完整性体系结构限制见6.6.3.3); 随机硬件危险失效概率要求(见6.6.3.2); 系统安全完整性要求(见6.4),包括 失效避免要求; 系统故障控制要求; 对故障检测sRECS行为要求(见6.3); 安全相关软件设计和开发要求(见6.10和6.11). 6.2.3SRECS设计应考虑人的能力和局限(包括可合理预见的误操作),且分配给操作人员,维护人员 和其他可能与SRECS交互的人员的工作合适
所有操作员界面的设计应遵循良好人为因素的惯例 见GB/T18209系列),并应提供合适等级的培训和操作员知识,尤其对大批量生产的子系统,其操作 员可能是公众成员
注设计目标应是防止或消除由操作人员或维护人员所造成的可合理遇见错误
如不可能,应采用其他方法(例如 完成前用手动再次确认),将操作员错误的可能性将至最低,保证可预见错误不会导致风险增加
6.2.4在设计和集成时,应考虑可维护性和可测试性以便执行sRE(Cs的这些特性
6.2.5sRECcs设计,包括诊断和故障反应功能,应形成文件
文件应 精确、完整、简明; -适合预期目的; 可存取、可维护; -版本可以控制
6.2.6在SRE(CS设计,开发和执行期间,执行的工作结果应在适当阶段验证
6.3检测sREcS故障时的行为(SRECs的)要求 硬件容错大于零的任何子系统的危险故障检测可导致特定故障反应功能的运行
6.3.1 在故障部分修理期间,规范可以允许隔离子系统的故障部分以便机器可以继续安全操作
在这种 情况下,如故障部分未在估计的最长,即假设以随机硬件失效概率(见6.7.8)计算的时间内修理,那么, 应执行第二故障反应,以保持安全状态
如sRECS在最初设计为在线维修时.隔离故障部分只能在sRS规定的部分而不增加sRECs随机 硬件危险失效概率的情形下使用 在硬件已经没有容错的能力的故障出现后,应采用6.3.2的规定
注:在可靠性模式下,恢复系统运行的平均时间见IEV191-13-08)需要考虑诊断试验间隔、维修时间以及恢复前 的任何其他迟延 6.3.2需要故障诊断功能以得到需要的随机硬件危险失效概率和子系统为零容错的场合,故障检测和 规定的故障反应在sRCF产生的危险情况可能出现前执行
例外(对于6.3.2)就执行特定sRCF子系统而言如硬件容错率为零且诊断试验率与要求的比率 之比超过100,那么,该子系统的诊断试验间隔应能使子系统满足随机硬件危险失效概率的要求
15
GB28526一2012/IEcC62061;2005 6.3.3故障反应功能作为SRCF的一部分被规定为SL3,该故障反应导致机器停止,继而,通过 SRECS的机器正常操作例如使机器重新启动)将不可能进行,直到该故障已经修复或校正
对于规定 的安全完整性低于SIL.3的SRCF,故障反应功能(例如重启正常操作)执行后机器的行为应根据有关故 障反应功能规范而定(见5.2.3). sREcs系统安全完整性要求 注,这些要求在“系统级"应用,在该级别,子系统互连以实现sREcS
有关子系统实现的相关要求见6.7.8. 避免系统硬件失效的要求 6. 4.1.1应采取以下措施 a)SREC'S应按照功能安全计划设计和执行(见4.2); b) 子系统的适当选择、组合,安排、组装、安装,包括电线、电缆以及任何内部连接, 按照制造商规范使用sRECs. 使用制造商的应用说明书,例如目录表,安装说明书和使用良好的工程惯例(见GB/T16855.2 D.1); 使用具有可兼容操作特性的子系统(见Iso 13849-2,D.1); e f SRECS应按照GB5226.1予以保护; g按照GB5226.1规定防止功能接地的损失 h 不应使用部件工作未加说明的模式(例如可编程设备的“保留”寄存器); i 考虑可预见的误用、环境变化或更改
6.4.1.2另外,考虑到sRECS的复杂性和由sRECcs执行这些功能需要的sIL,至少应采用下列一项 技术和/或措施 sRECS硬件设计审查(例如检查或浏览);通过审查和/或分析,找出规范和执行之间的差异; a 注1;为了揭示规范与执行之间的差异,与实现执行和产品使用相关的任何疑点或潜在弱点应以文档记录,以期 能得到解决;考虑到,对于检查程序,作者是被动的,而检查员是主动的,而在程序上,作者是主动的,检查员 是被动的 咨询工具诸如模拟或分析的计算机辅助设计包装能力和/或为执行系统设计程序使用的计算 b 机辅助设计工具,该计算机辅助设计工具带可用的和已经试验过的预设计元素 注2,这些工具的完整性可以通过具体渊试.或广泛的使用悄意的历史,或通过独立的正在设计的特定的sRE(es 输出验证予以证明
见6.11.3.4 模拟按照子系统的性能和正确的计算以及其子系统交互作用,执行sRECs设计的系统性和 完整性同一化
示例sRBcs功能可以通过软件行为模式在计算机上模拟(见6.11.3.4),如单独的子系统或子系统元素具有各自 的模拟行为,它们连接的线路响应通过查看各个子系统或子系统元素的页边数据进行检查 6.4.2 系统性故障的控制要求 应采取下列措施 掉电的使用:SRECS应予以设计该功能,以使在失去供电时,可以达到或保持机器的安全 状态; 控制临时子系统失效影响的措施:SRECS应按下列方式设计,如 单独子系统或子系统的一部分的电压变化(例如中断,电压降)不会导致危险(例如电压 中断将影响电动机的电路,而不应在电源恢复时,造成意外启动. 注1见GB 1的有关要求
5226
16
GB28526一2012/IEc62061:2005 特别是:过电压或欠电压应尽早查明,这样,可以通过掉电程序或切换到第二个动力单元使所有输 出可以转换到安全状态; 必要时,过电压或欠电压应尽早查明,内部状态可以保存在非易失性存储器中,这样,可以通过掉电 程序使所有输出设置为安全状态,或通过掉电程序或切换到第二个动力单元使所有输出可以转换安全 状态
-来自物理环境或子系统的电磁干扰影响不会导致危险 为控制来自任何数据通信过程(包括传输差错、重复、删除、插人,重新排序、程序或数据残缺、 延迟和假消息)所引起的错误影响和其他影响的措施; 注2;更多信息见GB/T18657.1,GB/T24339.1,EN50159-2和GB/T20438.2
注3;术语“假消息"指的是信息的真实内容未经正确鉴别
例如,从不安全的组件发来的消息被错误地鉴别为来 自安全组件的消息
当危险故障在某个界面出现时,在因该故障可能出现而造成的危险前,应执行故障反应功能
当使硬件容错降低至零的故障发生时,该故障反应应在估计的MTTR(见6.7.4.4.2g)超过时 发生
列项d)要求适用于子系统和子系统的所有其他部分输人、输出的界面(例如,光帘的输出信号 切换设备,防护装置位置传感器的输出),该子系统集成时包含或需要电缆连接
注4:不要求对其自身的子系统或子系统元素必须检测它的输出故障
在诊断测试执行后,故障反应功能也可以 由后续的任何子系统引发
6.4.3电磁(EM)抗扰度 除cw/T17799.忽和附录E给出的EM现象外.,sRERcs应满足以下功能安全性能准则 不应引进非安全条件或危险 不损失sRCF; 由可能会受到暂时或永久骚扰的sRECS来执行sRCF,则应在危险可能出现前,达到或维持 机械的安全状态
若EM现象可能导致元件破坏,应例如通过分析)确保功能安全不受影 响,包括通过降低会造成局部破坏的EM现象的值
注,对应EM现象在附录E给出的所有值而考虑sRBcs的行为
6.5安全相关电气控制系统选择 若供方对SRECS提供安全要求规范涉及的特别功能,可以选择满足安全要求规范以及6.3,6.4 和6.6
1的预设计的SREC'S,而不用客户设计
注预设计的sREcS是根据6.6中专用sREcS设计与开发的一种可选选择
6.6安全相关电气控制系统(SRsCs)设计和开发 6.6.1 一般要求 6.6.1.1SRECS应按照SRECS安全要求规范设计和开发(见5.2). 6.6.1.2应遵照明确的结构化设计过程并形成文件(见6.6.2) 6.6.1.3在检测出故障时,如有必要使用诊断以达到要求的安全完整性,sREcs应执行规定的故障反 应功能(见5.2和6.3 6.6.1.4如果sRECS或SRECS的一部分(即其子系统)既要执行SRCF,还要执行其他功能,那么应 该认为其硬件、软件在安全上是相关的,除非它可以显示执行sRCF和其他功能之间是充分独立的即 17
GB28526一2012/IEcC62061;2005 正常操作或任何其他功能的失效不影响SRCF)
注,执行的充分独立可以通过显示非安全和安全相关部分之间的相关失效概率等同于sRECs的安全完整性等级 来确定
6.6.1.5对于执行不同安全完整性等级的安全相关控制功能的SRECS或其子系统,其硬件、软件应 要求最高安全完整性等级,除非它能显示执行不同安全完整性等级的安全相关控制功能是充分独立的
注执行时的充分独立性可以通过显示执行不同完整性等级的sRCFs的部分之间的依赖性失效概率等同于由 sREcs取得的安全完整性等级来确定 6.6.1.6非数字数据通信的互联(例如电线、电缆)应被视为与其相连接的某个子系统的一部分(见 6.4.2中d)
当数字数据通信用作sRE(Cs执行的一部分时,它应按照sR(cF的sH目标满足GB/T20438.2 6.6.1.7 的有关要求
6.6.1.8sRE:cS的使用信息应规定SRECS设计年限必需的技术和措施,以保持其安全完整性等级
6.6.2设计和开发过程 设计和开发应遵照明确规定的程序,应考虑由图2所示过程包含的所有方面
注本标准的方法是从安全要求规范规定的要求开始,对sRECS采用结构化设计程序
图3显示该设计过程的工 作流程和适用于不同层面的术语
6.6.2.1系统结构设计 6.6.2.1.1sRECcs安全要求规范内规定的各个sRCF应分解成功能块结构,如图3所示
该结构应 形成文档,包含下列内容 -结构描述 各功能块安全要求(功能,完整性); 各功能块输人和输出定义 注1:分解过程应面向全面描述SRCF的功能和完整性要求的功能块结构
该过程应向下加至这一层面,它允许 将各功能块确定的功能和完整性要求配置到各子系统,在该场合下,将功能块的完整功能要求配置到子系统 是可能的
然而,虽然将多个功能块配置到单一子系统是可能的,但不可能将一个功能块配置到儿个具有单 独功能和完整性要求的子系统中
欲配置 个功能块的功能要求到冗余子系统元素,见6.7.4A. 注2:各功能块的输人输出是传输信息,例如速度、位置、操作模式等
注3;功能块是SRCF(见3.2.16)的功能表示,不包括SRE(CS的诊断功能(见3.2.17)
针对本标准,诊断功能被 认为是单独的功能,对于SRCF(见6.8),可以拥有不同的结构
6.6.2.1.2sRECS体系结构的初始概念应按照功能块结构创建 注:安全相关控制体系结构的开发商,负责设备配置的机构以及软件开发者之间应进行协作
由于软件安全要求 和可能的软件结构变得更加精确,可能对sREcs硬件结构造成影响
由于这个原因,只有sRBcs结构设计 人员、子系统供方、软件开发者以及机械设计人员(必要时)或用户之间的密切合作才有助于减少潜在的系统 失效
18
GB28526一2012/IEc62061:2005 1,识别来自SRs的每个SRCF计划的sRECS(见5.2) 2.对每个功能分解成SRCF功能块(6.6.2.1.l),创建 sREcs体系结构的初始概念(6.6.2.1.2) 3.详绷说明各功能块的安全要求(6.6.2.1.6) 4.分配功能块至sREcs子系统(6.6.2.1.3和6.6.2.1.7) 5,验证 6A.选择子系统设备 6B, .没设计开发子系 6.7.3 统(6.7.4 7.根据要求设计诊断功能(6.8) 8确定各S-R控制功能体系结构达到的 如未达到要求 SIL6.6.3 返回至有关阶段 默,证明sREcs体系结构(662.5) 10.设计的SRECs的实施(6.9 图2sRECS设计和开发过程的工作流程 6.6.2.1.3各功能块应配置到sSRECs体系结构内的子系统
一个以上的功能块可以配置到一个子 系统
6.6.2.1.4每个子系统和为该子系统配置的功能块应清楚识别
6.6.2.1.5体系结构应设文档,描述其子系统和相互关系
19
GB28526一2012/IEcC62061;2005 安全功能B 安全功能A 虚拟视图 功能分解 F=Fbl'AND'hb2'AND'Fb3)y 安全块B1 安全块B2 安全块B3 安全块A 安全块A 安全块A3 分配 子系统1 子系统2 子系统3 真实视图:体系结构设计 SRECS 图3子系统的功能模块安全要求配置(见6.6.2.1.1) 6.6.2.1.6各功能块的安全要求应按对应SRCF的安全要求规范中的规定,依照 -功能要求(例如输人信息、内部操作(逻辑)和功能块输出); -安全完整性要求
6.6.2.1.7子系统的安全要求应是为其配置的各个功能模块的安全要求
如果为子系统配置多个功 能块,那么最高的完整性要求适用(见6.6.3)
这些要求应形成文档并作为子系统安全要求规范
6.6.3sECS安全完整性评估要求 6.6.3.1概述 由SRECS实现的sIL,对于每一个SRCF应认为由SRECS分别完成 由SRECSs完成的SIL应由子系统的危险随机硬件失效概率、体系结构限制和构成SRECs的子系 统的系统安全完整性来确定
已实现的sII小于或等于系统安全完整性和体系结构限制的任何子系 统的最低sIL.CL值
6.6.3.2硬件安全完整性 6.6.3.2.1由于危险随机硬件失效而导致的各SRECS的危险失效概率应等于或小于安全要求规范 规定的目标失效值
注,与s相关的目标值在表3中列出 6.6.3.2.2由于危险随机硬件失效而导致的各SRECS危险失效概率的评估,考虑下列因素 a 与各SRCF相关的SREECS的体系结构在考虑中 注:这包括子系统的哪些失效模式是串行配置即任何失效引起相关要执行的SRCF的失效)和哪些是并行(冗余 配置(即同时发生的失效》 b 各子系统其各个分配功能块的失效率的估计值,在任何模式为执行其配置的功能块可能会引 20
GB28526一2012/IEc62061:2005 起SRECS的危险失效
6.6.3.2.3危险失效概率的评估应基于各相关子系统危险随机硬件失效概率,源于使用6.7.2.2要求 的信息,对于子系统之间的数字数据通信过程,如适用,包括6.7.2.2(k)
SRECs的危险随机硬件失 效概率为参与执行SRCF的所有子系统危险随机硬件失效概率的和,适当时,还应包括数字数据通信过 程危险传输错误的概率 PFHp=PFH十十PFH十P代 注1:该方法以功能块定义为基础,它表明任何功能块失效将会导致SRCF失效(见3.2.16)
注2除了数字数据通信以外的互联被认为是子系统的一部分
6.6.3.3体系结构限制 根据体系结构限制,由sRECs实现的sIL小于或等于参与执行sRCF的任何子系统的最低 SLCL(见6.7.6)
注,例如,sREcS包括两个串联的子系统(子系统1和子系统2),假设SFF和各子系统容错率如表4所示
对于 SRCS评估的PFHp为8×10*,相当于SIL3
但是,根据表5,子系统2的体系结构限制可能由SRECS实现 的sIL限定为sIL.2
表4本例使用的子系统1和子系统2的特性(见6.6.3.3注 子系统 硬件容错 SF 根据体系结构的sL要求限制见表5) 95% sIL3 80% SIL2 6.6.3.4系统安全完整性 sREcs实现的sL小于或等于参与执行sRCF的任何子系统的最低s.cL 注:按照6.7.4实现的子系统的系统安全完整性,以6.7.9描述的措施给定SIlCL为SIl.3
子系统实现 6.7.1目标 目标是实现子系统满足其配置的功能块的所有安全要求(见图3)
可以考虑两种方法
-选择足以满足该子系统的要求的设备,即应该满足配置功能块的各安全要求规范和本标准的 要求; 通过组合功能块元素和规定他们如何安排及交互,进行子系统的设计和开发
6.7.2子系统实现的一般要求 6.7.2.1子系统应按照其安全要求规范(见6.6.2.1.7)通过选择见6.7.3)或设计(见6.7.4)来实 现,并考虑6.2的所有要求
包含复杂部件的子系统,对于要求的SIL,适当时,应遵照GB/T20438.2 和IEC61508-3的规定
例外:子系统设计包含了复杂部件作为子系统元素的场合,可采用6.7.4.2.3. 6.7.2.2下列信息应适用于各个子系统: a SRCF使用的子系统的功能规范和界面; b任何模式下声明的评估失效率(源于随机硬件失效),它可能引起SRECs的危险失效 注1:对于机电子系统,应考虑制造商声明的工作周期数和工作循环(见5.2.3)后进行失效概率估计
该信息应基 于B值(即总体10%的预计时间将失效)
也见IEC61810-2. 21
GB28526一2012/IEcC62061;2005 子系统限制 -应观察环境和工作条件,以保持评估的失效率的有效性,该失效率归因于随机硬件失效 -不应超过子系统寿命,以保持评估的失效率的有效性,该失效率归因于随机硬件失效
D 任何试验和/或维护要求; 诊断覆盖率和诊断测试的时间间隔(必要时,见注2); 注2:e)项涉及子系统外部诊断功能
在SRECS可靠性模型中,子系统执行的诊断功能的行为需要信用保证时, 才需要该信息
任何必要的附加信息(例如修理次数),从而能够按照诊断学故障检测推算平均维修时间MTTR). 注3,需要b)~)项以估计sRCF每小时失效概率 由于体系结构限制造成的sIL.CL(见6.7.6)或, g 能够推导出应用于sRECs的子系统的安全失效系数(SFF)所需的所有信息;和 注4;要求的信息是子系统可能的失效模式
根揣子系统失效模式,可以确定子系统失效是否引起sRBcs安全或 危险失效
注5:有关SFF评估的细节,见6.7.7
子系统硬件失效容错; 为避免系统失效应遵守对子系统应用上的任何限制 h 对使用子系统的sRCF可能具备的最高安全完整性等级依据下列因素 在子系统硬件、软件设计和执行期间用于预防系统故障而采用的措施和技术; 预防系统故障的子系统容错设计特点
注6,需要h)和i)项以根据体系结构限制确定 sRcF可能具有的最商安全完整性等级
而且.这些项目能够用于 对GB/T16855.1在故障检测和硬件容错两方面的安全类别要求提供链接(见表4,表5)
为了能够按照6.11.3.2对sRECcs进行配置管理,需要识别子系统硬件、软件配置的所有 j 信息 数字数据通信过程中危险传输错误概率(如适用) k 选择现有(预设计)子系统的要求 6.7.3.1如供方为安全规范涉及的专用sRCF提供子系统,则可能选择这类预设计子系统而不用客户 设计,只要它满足子系统的安全要求规范,6.4.3和6.7.3.2或6.7.3.3, 为了适合所要求的sIL.,包括复杂部件的子系统应遵照GB/T20438.2和IECG15083 6.7.3.2 例外;如子系统设计包括作为子系统元素的复杂部件,6.7.4.2.3适用
6.7.3.3只包括低复杂性部件的子系统应遵照本标准的6.7.4.4.1,6.7.6.2,6.7.6.3,6.7.7.6.7.8 和6.8
6.7.4 子系统设计和开发 6.7.4.1目标 第一个目标是设计满足配置功能块安全要求的子系统
6.7.4.1.1 6.7.4.1.2 第二个目标是按照以组合方式一起工作的子系统元素创建体系结构,以满足配置给子系统 的所有功能块的功能和安全完整性要求
6.7.4.2 一般要求 6.7.4.2.1子系统应按照其安全要求规范设计
子系统应符合下列a)e)的所有要求 6.7.4.2.2 硬件安全完整性的要求包括 a 22
机械电气安全相关的电气和电子控制系统功能安全GB28526-2012
机械电气安全是指在使用和维护机械设备时,对人类、环境和设备自身的保护。在现代工业中,机械设备的控制离不开电气和电子控制系统,因此电气和电子控制系统的安全性关系到整个机械设备的安全性。
为了规范电气和电子控制系统的安全性,中国国家质量监督检验检疫总局于2012年发布了《机械电气安全相关电气、电子和可编程电子控制系统的功能安全GB28526-2012》标准。
该标准通过对电气和电子控制系统进行等级划分和风险评估,明确了控制系统设计、构建、测试和维护的要求。具体来说,标准中对控制系统的安全性设计原则、硬件和软件架构、故障诊断和容错能力、可靠性评估等方面进行了规定。
标准中还具体规定了控制系统的安全性等级划分方法和标准,包括SIL(Safety Integrity Level)和PL(Performance Level)。其中,SIL是一种用于衡量控制系统在安全方面的指标,通常从SIL 1到SIL 4逐级划分;而PL是一种用于衡量控制系统在执行某一特定任务时的指标,通常从PL a到PL e逐级划分。
总的来说,机械电气安全相关电气、电子和可编程电子控制系统的功能安全GB28526-2012标准为普及和提高机械设备控制系统的安全性提供了有效的规范和标准,同时也促进了我国机械制造产业向绿色、智能、安全、可靠的方向发展。
