机械安全安全控制系统设计指南

机械安全安全控制系统设计指南

国家标准 GB/T41118一2021 机械安全安全控制系统设计指南 Safetyofmachinery一Guidelimeforthedesignofsafetycontrolsystems 2021-12-31发布 2022-07-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/41118一2021 目 次 前言 引言 范围 2 规范性引用文件 术语和定义 缩略语 迭代设计过程 设计准备 6.I风险评估 6.2识别安全功能 6.3规定安全功能的特征 6.4确定所需性能等级 6.5编制安全需求说明 安全控制系统的设计 7.1概述 7.2编制安全设计说明 7.3设计硬件系统 7.4开发安全相关软件 11 7.5验证安全功能的PI1 12 7.6形成设计文件 12 确认 13 8.1确认原则 13 13 .2分析 8.3测试 13 8.4归档 13 附录A(资料性)压力机安全控制系统设计及验证示例 14 附录B(资料性)木工圆锯机安全控制系统设计及验证示例 19 附录C资料性码垛机安全控制系统设计及验证示例 22 参考文献 25
GB/41118一2021 前 言 本文件按照GB/T1.1一2020<标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别专利的责任 本文件由全国机械安全标准化技术委员会(SAC/TC208)提出并归口 本文件起草单位;皮尔磁电子常州)有限公司、上海辰竹仪表有限公司.合肥磬石自动化科技有限 公司、深圳国技仪器有限公司、十一维度(厦门)网络科技有限公司、漳州科晖专用汽车制造有限公司、熔 之道食品福建)有限公司、漳州佳龙科技股份有限公司、浙江武精机器制造有限公司、浙江佛尔泰智能 设备有限公司、安士能电器(上海)有限公司台州龙江化工机械科技有限公司南京理工大学、中机生产 力促进中心四川蜀兴优创安全科技有限公司,泰瑞机器股份有限公司、奥煌检测技术服务(上海)有限 惠州学院,巨力 公司、北京机械工业自动化研究所有限公司、广东康鑫新材料有限公司、南京林业大学、 自动化设备(浙江)有限公司、苏州安高智能安全科技有限公司、江苏省特种设备安全监督检验研究院、 佛山市南海旋旖机械设备有限公司、广东利英智能科技有限公司、江苏长虹智能装备股份有限公司 佛山市定中机械有限公司、西安凯益金电子科技有限公司、中汽认证中心有限公司、东莞市雄大机械有 限公司、西安立贝安智能科技有限公司、江苏强凯检测有限公司、西安宁康特数据服务有限公司、广东全 伟工业科技有限公司、上海彩琪信息科技服务中心、平湖李挺机械制造有限公司,山东佐耀智能装备股 份有限公司、枣庄市慧天美亚保温节能建材有限公司、广东雪莹电器有限公司、义乌市粤鑫模具科技有 限公司、黎明职业大学 本文件主要起草人;赵彬,项楠、熊从贵、舒玉恒,黄之炯、周婷,朱平,余海箭、吴建伟、薛从福,蔡松华、 赵阳徐志坚、黄剑锋、居里错、刘治永、陆晓光、秦培均、黄飞、徐文超、魏建鸿,章日平,宋小宁、陈卓贤 庞艳、袁超群、仇云杰、李勤、钟耀华、向梅,吴向亮、程红兵、居荣华、倪燎勇、皮玉林、沈海波、王哲维 付卉青、赖秀珍、李挺、黄勇、沈德红、王洪伟、宋光升,陈小全、颜国霖、林通、王明华,李立言、李忠、钟云山 姜涛、张晓飞
GB:/T41118一2021 引 言 机械领域安全标准体系由以下几类标准构成 A类标准(基础安全标准),给出适用于所有机械的基本概念、设计原则和一般特征; B类标准(通用安全标准),涉及在机械的一种安全特征或使用范围较宽的一类安全装置: B1类,安全特征(如安全距离,表面温度、噪声)标准 2类,安全装置(如双手操纵装置、联锁装置、压敏装置、防护装置)标准; C类标准(机械产品安全标准),对一种特定的机器或一组机器规定出详细的安全要求的标准 根据GB/T15706,本文件属于B类标准 本文件尤其与下列与机械安全有关的利益相关方有关 机器制造商; 健康与安全机构 其他受到机械安全水平影响的利益相关方有: 机器使用人员 机器所有者" 服务提供人员; 消费者(针对预定由消费者使用的机械》. 上述利益相关方均有可能参与本文件的起草 此外,本文件预定用于起草C类标准的标准化机构 本文件规定的要求可由C类标准补充或修改 对于在C类标准的范围内,且已按照c类标准设计和制造的机器,优先采用c类标准中的要求 急停装置,联锁装置、双手操纵装置等安全防护装置安全功能的实现依赖于安全控制系统 GB/T16855.1给出了安全控制系统的设计原则,本文件的目的是指导设计人员如何根据GB/T16855.1 设计安全控制系统 本文件的附录A,附录B和附录C分别给出了压力机、木工圆锯机及码垛机安全控制系统的设计 及验证示例 IN
GB/41118一2021 机械安全安全控制系统设计指南 范围 本文件给出了安全控制系统的设计迭代过程、设计准备、设计实施以及确认的指南 本文件适用于GB/T157062012界定的机械的安全控制系统的设计及升级 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件 GB/T15706一2012机械安全设计通则风险评估与风险减小 GB/T16855.1一2018机械安全控制系统安全相关部件第1部分;设计通则 术语和定义 GB/T15706一2012和GB/T16855.1一2018界定的以及下列术语和定义适用于本文件 3.1 1control 安全控制系统safety system 执行规定的安全功能,以控制或维持某一受控设备的安全状态,并通过其自身或其他控制系统,以 及外部风险减小措施而实现所需性能等级(PL)的特定控制系统 3.2 平均危险失效周期数 mean gyelestodangerostalure BmD 直到10%的元件发生危险失效时的平均循环次数 注元件通常指机械元件,机电元件,气动元件或液压元件 缩略语 下列缩略语适用于本文件 AOPD:有源光电保护装置(ActiveOptoelectronieProtectiveDeviee) CCF;共因失效(CommonCauseFailure DC:诊断覆盖率(DiagnosticCoverage FMEA;失效模式及影响分析(FailureModeandEeetsAnalysis) MTTFp;平均危险失效间隔时间(MeanTimetoDangerousFailure) sFailurePerHour PFHp:每小时平均危险失效概率(Aver ProbabilityofDat rage angerous rmanceLevel PL;性能等级(Perfor RFID射频识别RadioFrequeneyIDentifieation) SF;安全功能(SafetyFuneion)
GB/T41118一2021 SRAsw;安全相关应用软件(Safety-relatedApplicationSoftware) sREsw;安全相关嵌人式软件(SafetyrelatedEmbeddedSoftware) SRP/Cs:控制系统安全相关部件(Safety-relatedPartofaControlSystem 迭代设计过程 安全控制系统的设计和确认宜充分考虑GB/T15706一2012中图1的风险评估方法和 GB/T16855.1一2018中图1给出的风险评估/风险减小概况,并按本文件的图1所示流程实现其预定 安全功能 来自风险M小 GB/T15706 见5.2 识别安全功能 规定安全功能的特征 见5.3 确定所需性能等级 见5.4 见5.5 编制安全需求说明 编制安全设计说明 见6.2 见6.3 设计硬件系统 对于每个 安全功能 开发安全相关软件 见6.4 见6.5 验证安全功能的P 形成设计义件 见6.6 是 见第7章 确认 至风险减小 GBT15706 图1安全控制系统的迭代设计过程
GB/41118一2021 设计准备 6.1风险评估 在设计安全控制系统之前,宜对机械进行风险评估 如果风险评估结果发现存在不可接受的风险 宜通过GB/T157062012中图1给出的风险减小过程迭代三步法消除危险或者尽可能减小风险 通 常,只有在通过安全防护措施无法经济合理地减小风险的情况下,才可以通过使用信息(包括组织措施 减小风险 因此,在大多数情况下宜采用安全防护措施减小风险,而安全控制系统是实现风险减小的重 要措施之 注:风险评估和风险碱小的策略见GB/T157062012 6.2识别安全功能 通过安全控制系统进行风险减小的起点是识别安全功能,即定义由安全控制系统执行的一个或多 个安全功能(SF),以实现风险减小 识别安全功能的主要目的就是确定通过控制系统实现的保护措 施 通过控制系统实现的保护措施,即为进行风险减小的安全功能 例如,联锁装置可实现安全联锁这 个安全功能,但不带联锁装置的活动式防护装置无法实现这一安全功能 规定安全功能的特征 宜根据应用场合和具体危险规定安全功能需具备的特征 例如,如果存在抛射物,采用光幕就不合 适,可以采用活动式防护装置 如果C类标准没有相关规定,安全功能可由机器设计者定义,如: 运动的受控停止以及在静止位置宜使用固定抱闸 a 防止轴/气缸在设定模式下掉落; b 人员进人机械臂危险区之前机械臂能主动降速; c d)防止人员被困; 人员操作压力机时,如有其他人员在危险区内,通过光幕检测来阻止压力机危险运动的触发 e 表1根据GB/T16855.1一2018的表8对主要安全功能进行了总结,并增加了各种可能应用的 示例 表1典型安全功能及应用示例 安全功能 应用示例 由安全防护装置触发的安全相关停止由安全转矩关断(STO)、安全停止1(SS1)或安全停止2SS2)响应防护 功能 装置的触发 手动复位功能 确认已离开防护装置保护区域 启动/重启功能 带启动功能的联锁防护装置允许重启 本地控制功能 从危险区内的某个位置控制机器运动 抑制功能 保护装置临时性暂停,如材料输送过程中 保持-运行功能 从危险区内的某个位置控制机器运动,如设定过程中 防止意外启动 操作者在危险区进行人为干预
GB:/T41118一2021 表1典型安全功能及应用示例(续 安全功能 应用示例 受困人员的撤离和营救 在危险区触发联锁装置的紧急逃生装置 能源隔离和耗散功能 打开液压阀门释放压力 控制模式和模式选择 通过操作模式选择开关激活安全功能 急停功能 由安全转矩关断(STo)或安全停止1(ss1)响应急停装置的致动 6.4确定所需性能等级 各安全功能要求的风险减小程度会有差别 在GB/T16855.1一2018中,风险减小的程度由性能 等级(PL)确定 安全控制系统实现的安全功能的安全性能评估通过5个性能等级(PL)表示,每一级性 能等级对应一个每小时危险失效概率(PFH,)范围,PL与PFH,的对应关系见表2 表2PL与PFI,,的对应关系 平均每小时危险失效概率(PFH, 性能等级(PL h" 10-GB/41118一2021 P2 F2 P2 F2 标引序号说明 -估计安全功能对风险减小的作用的起始点 对风险减小的作用小 H -对风险减小的作用大; PL 所需性能等级风险参数; S -轻微(通常是可恢复的伤害); -严重(通常是不可恢复的伤害或死亡) F -很少-不常和/或暴露时间短通常是累计的暴露时间不超过总运行时间的1/20且频率不超过每15min/ 次); F2 频繁-连续和/或暴露时间长(不符合F1的情况) P -在特定条件下可能(见GB/T16855.l一2018的A.2.3); P2 几乎不可能(见GB/T16855.1一2018的A.2.3) 图2用于确定安全功能PL，的风险图 6.5编制安全需求说明 编制安全需求说明是安全控制系统设计的必要步骤 安全需求说明宜通过文档的方式,识别出实 现安全功能的各个安全控制子系统,并对相应的安全功能加以阐述 安全需求说明宜详细说明机器安 全控制系统中包含的各个安全功能,包括每个安全功能需要达到的PL.,实现每个安全功能所需的安全 控制子系统(包括相关的输人,逻辑和输出)以及各安全控制子系统之间的逻辑关系 安全需求说明宜包含以下内容: 文档状态 文档编号; 1) 22) 模板版本管理; 33 项目版本管理; 术语; b c 安全控制系统设计责任约定; d)系统概览: 1 安全功能定义; 功能名称; 22) 3)功能描述;
GB/T41118一2021 涉及的安全控制子系统 4 5)所需性能等级; 6)信号处理(如果存在 在编制安全需求说明时,即使用于实现安全功能的安全控制子系统都相同,这些安全功能也宜分开 定义 因为,其中的逻辑处理可能不同,例如一个安全功能需要断电延时切断执行机构,而另一个则需 要瞬时切断执行机构 与之相类似,如果使用相同的逻辑实现不同的安全功能,也宜将安全功能分开描 述 因为用于实现安全功能的安全控制子系统可能不同,从而导致安全功能可靠性存在差异 安全控制系统软件、硬件设计以及安全功能验证等后续步骤均需根据安全需求说明的内容实施 安全控制系统的设计 7.1概述 -旦定义了确切的安全功能、所要求的风险减小以及PL,宜确定执行安全功能的安全相关部件、 如选择安全光幕作为输人子系统、安全可编程控制器作为逻辑/处理子系统、接触器作为输出/动力子系 统以及相互连接方式 典型安全控制系统如图3所示 sRPcs sRPcs SRPcs 标引序号说明: SfRP/cS.,.SRP/cs,sRP/cs 安全控制子系统 -输人例如;限位开关、传感器、AOPD); 逻辑(例如安全继电器、安全可编程控制器). 输出(例如;阀接触器) 触发事件(例如:手动致动按钮、打开防护装置,中断AOPD光束); 机器执行器(例如;电动机、气缸); ii山、i 相互连接方式(例如;电气连接. 图3实现安全功能的典型安全控制系统示意图 进一步的安全控制系统设计包括定性设计和定量设计两方面 在定性设计阶段，主要考虑安全控 制系统的架构类别 系统架构类别共有5种(由低到高分为B,1,2,3和4),架构的类别越高,则安全控 制系统越容易实现更高的性能等级 在定量设计阶段,需分别考虑元器件的平均危险失效间隔时间 MTTFo),平均诊断覆盖率(DC)以及系统共因失效三个因素 此外,还宜采取合理措施避免系统性 失效 如果安全控制系统包含软件设计,则还宜遵循安全相关软件设计规范 宜确定控制系统中实现安全功能的所有安全相关部件,将其纳人安全控制系统之中,并在安全设计 说明中明确安全功能 基于确定的安全功能以及PL,,选择安全相关部件,构成安全控制系统,通常需要考虑以下因素 安全功能实现的途径,如
GB/41118一2021 实现安全联锁输人,可以采用机械式、非接触式、RFID等; 实现逻辑控制,可以采用安全继电器、安全可编程控制器等; 实现输出控制,可以采用阀、伺服控制器等 安全相关部件的安全特性,宜考虑 部件可以实现的PL. 部件可以构建的类别 确定所有安全相关部件后,可以考虑以下因素评估安全控制系统的性能等级PL 系统架构类别 MTTFD; DC; CCF 系统性失效 安全相关部件的软件(如果有); 预期环境条件下,执行安全功能的能力 根据上述因素进行系统设计后,可确定实际系统的PL 对于每个安全功能,宜评估实际PL是否 达到或超过PL 若是,则说明该安全功能设计达到要求 反之,则需重新考虑上述设计因素,需改进 设计以达到要求 7.2编制安全设计说明 宜根据安全需求说明编制安全设计说明 安全设计说明宜通过文档的方式,识别出实现安全功能 的安全控制子系统在设计时需考虑的内容,包括 每个安全功能中涉及的安全相关部件的品牌型号、数量; 安全相关部件符合的标准; 安全相关部件的参数MTTP,.B oD、PFH，等); 安全相关部件初始状态; -安全相关部件电气编号; 安全功能的触发频率; 各安全控制子系统之间的逻辑关系(包括反馈、复位、延时、监控阔值等信息》. 安全设计说明可以独立于安全需求说明,也可以与安全需求说明相互补充并且整合在一个文档 之中 7.3设计硬件系统 7.3.1概述 每一个安全功能可通过几个安全控制子系统的组合来实现输人子系统、逻辑/处理子系统、输出 动力子系统 硬件系统设计的主要目标是确定每个安全功能的实际PL,以判断是否达到PL 由于 PL对应每小时危险失效概率(PFHp),因此,确定每一个安全功能的安全控制系统的每小时危险失效 概率PFHp,是完成硬件系统设计的主要目标 常规的安全控制系统有输人子系统(输人装置,“I”),逻辑/处理子系统(逻辑,“L”)和输出/动力子 系统(输出装置,“O”)三部分组成(见图3) 有两种方式可以获得各个子系统的PFH 安全相关部件的生产厂家提供,如制造商一般可以提供安全继电器的PFH值; 通过确定类别.MTTF，和Dc后,根据GB/T16855.1一2018的表K.1得出 宜以子系统为单位,分别确定各个子系统的PFH,,再进行累加,得出整个安全控制系统的PFHn
GB/T41118一2021 如图4所示,一个安全功能由N个安全控制子系统的组合来实现时,每一个安全控制子系统对应 各自的PL,即为PFHN 所有实现这个安全功能的安全控制子系统的PFH的总和,即为此安全功 能的总的PFHp,然后根据GB/T16855.1一2018的表K.1,即可以得出对应的PL SRP/CS SRP/CS, SRP/CSy 巴 巴 叫 安全控制系统 PL PFHPFH,+PFH,++PFH, 图4实现总PL的安全控制子系统组合 7.3.2指定架构/类别 安全控制系统的架构决定其容错能力,并且是其他所有可量化指标的基础,以此得到安全控制系统 的PL 类别是指将安全控制系统按照其故障耐受能力及故障条件下的后续行为,以部件的可靠性和/ 或结构布置为基础进行的分类 评价由安全控制系统达到的PL的简化程序见表3 故障耐受能力越 高,风险减小的可能性越大 类别与五种基本架构形式之间存在对应关系,称为指定架构 表3评价由安全控制系统达到的PL的简化程序 类别 无 中 中 D 无 低 低 每个通道的MTTF 低 不包括 o 不包括 中 不包括 不包括 高 不包括 宜按照输人子系统(输人装置,“I”)、逻辑/处理子系统(逻辑,“L”)和输出/动力子系统(输出装置 “O")进行“垂直”划分进行架构和类别的设计 GB/T16855.1一2018定义了五种架构作为类别 GB/T16855.1一2018采用对平均危险失效间隔 时间(MTTFD),平均诊断覆盖率(IDC)以及防止共因失效(CCF)能力的量化要求对此前的类别定义 进行补充 基于所需性能等级PL,可以根据表3进行指定架构的预设,如: PL,=a或b,类别选择B PL=c,类别宜选择1或2,但对类别1有高的可靠性要求; PL,=d,类别宜选择3; PL,=e,类别宜选择4 以上选择仅通过简化程序给出预期的指定架构 结合对应MTTF，及DC,.,可进行安全相关部件 的选择 但是，最终所实现的PL还需要通过计算PFH所得出 类别B为基本类别,所有其他类别都需要满足类别B的要求 类别B和类别1主要通过选择和使 用合适的元件实现故障耐受能力 发生一个故障就可使安全功能失效 由于使用了特殊元件和经验证 的安全原则,类别1的抗共因失效能力要高于类别B.
GB/41118一2021 类别2,类别3和类别4主要通过结构措施实现更好的安全功能表现 类别2的安全功能表现通 常由技术检测设备TE)通过自检定期自动检查 如果两次检测中间发生故障,安全功能就可能失败 通过选择适当的测试间隔,应用类别2可实现合适的风险减小 类别3和类别4发生单一故障不会导 致安全功能丧失 类别4可自动检测到此类故障 在合理可行的情况下,类别3也能自动检测到此类 故障 另外,类别4还具备抵抗未检测故障累积的能力 注:有关指定构架示意图和类别要求总结见GB/T16855.l一2018的6.2 7.3.3平均危险失效间隔时间(MTF,) 在确定MTTFD之前,宜选定安全控制系统中的相关部件 无论是单个元件,如晶体管、阀门或接触器,还是模块,通道及安全控制系统作为一个整体,都有 MTTF 安全控制系统总的MTTF可根据组成系统的所有元件的MTTF,按照GB/T16855.1 2018的附录D给出的简化方法计算得出 单个元件的MTTF宜通过以下顺序获得: 制造商给出的MTTFD aa b)根据制造商给出的Bun按照GB/T16855.1一2018的附录C通过计算得出; 如果无可获得的数据,则选为10年 c 宜分别估算各个子系统的MTTFn 如子系统采用类别3或类别4的构架,则需要考虑并联通道 的平衡[见GB/T16855.1一2018的公式(D.2] 7.3.4诊断覆盖率(DC 对L有重要影响的另一个变量是安全控制系统的(自我)检渊和监控措施 例如,有效的检测可 以对元件的可靠性进行一定补偿 GB/T16855.1-2018采用诊断覆盖率IDC来衡量检测质量 基准 一个元件、一个模块或者整个安全控制系统 对于整个安全控制系统,Dc为平均诊断覆盖率 量可以是- C的值分4级,见表4 DC g 表4诊断覆盖率(Dc' 指标 范围 无 DC<60% 低 60%GB/T41118一202 DC的计算宜采用第二种简单的方法,这种方法基于直接对元件或模块层的DC进行合理保守的 估算,然后再采用平均公式利用各DC值计算DCe 许多措施都可以按照典型标准措施进行分类 GB/T16855.12018的附录E列出了各类措施的DC估计值 这些数值采用有四个分值(0%、60%、 90%和99%)组成的粗略系统进行分类 常用的Dc估计如下 类别B和1的架构,DC为0; a b 针对输人装置,采用双通道但无法检测到短路故障,DC为90%; 针对输人装置,采用双通道可检测短路故障,DC为99%; c d针对输出装置,如接触器,采用双通道且对接触器安全相关触点进行直接监控(通过机械连接 触点元件监控),DC为99%. -旦知道了所有元件的DC值,就可以采用近似计算公式(2)计算系统的DC值 此公式适合用 于采用不同Dc值的冗余通道的子系统的DC估计 DC DCN TF十TF十十TTF .(2 DC T下十MTT+TT下F 对于类别2,宜注意检测频率和检测可靠性 检测频率至少为安全功能平均要求率的100倍 如 果要求安全功能后检测执行的很快,并且能够在危险发生前达到安全状态,则检测频率没有任何要求 整个检测通道的MTTF，值不宜低于功能通道MTTF值的一半 7.3.5确定PL 确定类别,.MTIFn.Ic.之后,可以确定安全控制系统中安全功能的PL 实现安全功能的安全控制系统由不同的子系统组成 这些子系统采用不同的技术和/或实现不同 的类别/性能等级 不同的子系统可通过线性(串联)或冗余(并联)方式连接,实现安全控制系统中的安 全功能 宜采用以下步骤进行P的确定 按照输人系统、信号处理单元和输出系统进行分类,构成独立的子系统 a b确定每一个子系统的PFHD: -如子系统直接给出PFH,,可以直接使用,如安全光幕,安全可编程控制器; 对于未直接给出PFH的子系统,宜根据每一个子系统类别,MTTF,,DC来确定该子 系统的PFH 将所有子系统的PFH,数值相加,通过求和得出整体PL的相关数值,见公式(3) FH-习PFH-PFHn十PFH回十+PFH 式中 安全功能所使用子系统的数量 PFHD 第个子系统的平均每小时危险失效慨率 此处需特别注意子系统之间的接口: -所有连接(如导体或总线系统实现的数据通信)需已在某个子系统的PL中考虑,或者连 接故障已经排除或可以忽略不计; 串联布置的安全子系统接口宜兼容,即发出要求安全功能信号的子系统的各输出状态能 够触发下游子系统安全状态 根据GB/T16855.1一2018的表K.1,对照总的PFH数值确定对应的PL,即得出安全功能 d 的性能等级 7.3.6防止共因失效(cCF)的措施 共因失效(CCF)为冗余安全控制系统两个通道都发生的因相同原因造成的相关危险失效 在实现 10
GB/41118一2021 PI一PL，的基础上,且采用类别2,类别3和类别4的构架下,宜采取措施防止共因失效 GB/T16855.1 2018的附录F给出了一个包含8种重要防范措施的检查清单 这8种措施分别被赋予了525不等 的分值: 不同通道的信号路径之间的物理隔离(15分) a b 技术相异,通道的设计结构或物理原理相异(20分); 防止可能发生的过电压、过电流、过压力,过热等(15分)以及采用经验证的元件(5分); c d 开发过程中进行失效模式和影响分析,识别可能发生的共因失效(5分); 就CCF及如何避免对设计者/维护者进行培训(5分) f 防止污染(机械或流体系统)以及电磁干扰(电气系统)触发共因失效(25分) 防止不利环境条件触发共因失效(10分) 8 对于以上每种措施,只能得满分或零分 如果只是部分满足某种措施,则该措施的得分为零 足够防止CCF的措施要求最低得分为65分 7.3.7故障考虑和故障排除 宜考虑以下的故障判别准则 如果由于一个故障的结果而导致更多元件失效,则第一个故障和随后发生的所有故障宜一起 视为单一故障 由共同原造成的两个或两个以上单独的故障宜视为单一故障,即通常所说的共因失效" b 由各自原因同时发生的两个或多个故障被认为是极不可能的,因此无需考虑; c 在技术上不大可能发生的某些故障 d 普遍认可的、独立于所考虑的应用的技术经验; e 与应用和特定危险有关的技术要求 7.4开发安全相关软件 安全软件包括安全相关应用软件(SRAsw)及安全相关嵌人式软件(sREsw) 在安全控制系统设 计中,通常是进行安全相关应用软件(SRAsw)的开发 对于安全控制系统中的安全相关应用软件(sRAsw)的开发，一般要求参照“V”模型 如图5 所示 11
GB:/T41118一2021 安全功能 经确认的 规范 软件 安全相关软件的规花 确认 确认 系统设计 综合测试 模块设计 模块测试 结测 验证 编 图5安全相关软件开发用简化V模型 在开发安全相关应用软件(SRAsw)的过程中,安全设计说明可视为安全功能规范 宜严格参照安全设计说明,进行系统、模块设计及程序编写 宜将安全相关应用程序和非安全相关 应用程序分开编写 编写安全相关应用程序时,为了避免错误,需要考虑以下几个方面 宜采用经过认证的编程软件; 使用经认证的编程软件编写安全相关程序时,宜采用编程软件中经认证的安全软件功能块,如 急停、安全联锁,安全光幕、安全速度监控等; 采用经认证的安全软件功能块时,功能块的配置需满足PL; 避免采用任何非安全相关信号旁路安全相关信号; 代码宜清晰易懂,便于后期的测试和无故障修改 安全相关软件设计完成后,宜安排非本项目开发人员通过软件仿真执行测试工作 测试完成后,需 验证安全相关应用软件(SRAsw)满足安全相关软件规范 注:关于安全相关软件设计的更多信息,见GB/T16855.1 7.5验证安全功能的PL 对于每种单独的安全功能,有关的SRP/CS的PL宜与PL，匹配 因此,需要将此PL与PL，进行 比较 如果某项安全功能实现的PL小于PL,则需要采用GB/T16855.1一2018的图3中描述的迭代 过程进行设计改进(如使用MTTF，更优的其他元件),直到满足PI>PL 7.6形成设计文件 验证和确认行为要求提供详细的文件资料 这些文件资料已经在开发过程中形成,根据所用技术 12
GB/41118一2021 不同会有差别 宜充分考虑以下内容 a 提出对安全功能以及执行这些安全功能的安全控制系统全部要求的规范文件,性能指标、全部 操作模式的列表,全面的功能描述、过程描述 b 适用标准的工作和环境条件,以及预定应用涉及的强度(额定数据); 安全控制系统的设计描述(包括所采用机械、电气、电子、液压和气动元件的细节)、布线图以及 c 接头和接口描述电路图,装配图,元件的技术数据和额定数据,适用的数据表; d 所有相关故障的分析,如以FMEA(失效模式和影响分析)形式,并引用涉及的故障列表 确定PL的数据量化文件); f 全部软件文件 设计和实施遵循的质量保证准则,如模拟和数字电路设计准则编程指南; 8 h)已经完成测试的元件、模块或安全控制系统的测试证书 文件资料宜完整,内容不相互抵触,结构具有逻辑性,容易理解,能够验证 确认 8.1确认原则 完成验证之后,宜对sRPy/cs的设计进行确认,确认每个安全功能的要求均得到满足,对不满足要 求的安全功能,则按照图1进行迭代设计,直至完成所有安全控制系统中所有安全功能的确认 确认工作宜由独立于安全控制系统设计工作的人员来完成 确认包括分析以及必要时按确认计 划进行的测试 分析和测试之间的平衡取决于使用的技术 以下对确认程序一些最重要的内容进行了 简要的说明 注，确认的详细要求见GB/T16855.2. 8.2分析 宜通过分析对安全控制系统进行评价 分析的目的是为了通过审查文件或适当时可采用分析工 具,如静态和动态软件分析工具或FMEA工具来确定是否满足规定的要求 MTTFp、DC以及CCF可以通过所提供的文件进行评价 8.3测试 如果仅通过分析进行评价还不够,则需要进行测试来证明能够满足要求 测试宜系统规划并合理 实施,通常与实际开发过程同步,如原型阶段、功能模型阶段或软件/代码阶段 测试所采用的配置宜尽可能接近预定使用的配置 进行测试的环境条件宜事先确定 测试可手动完成,也可以自动完成 8.4归档 所有分析和测试宜形成文件并记录最终结果(合格或不合格). 如果安全控制系统规范规定的要求未全部满足,此时需要返回设计和实施过程的适当阶段 否则 则宜结束确认过程，评价是否已经对全部安全功能进行分析 如果全部分析过，则按照 GB/T16855.1一2018完成安全控制系统的评估 否则，继续对仍未完成确认的安全功能进行测试 13
GB:/T41118一2021 附 录 A (资料性) 压力机安全控制系统设计及验证示例 A.1 风险评估 A.1.1机器限制 使用限制;压力机由接受过专业培训的操作人员每天16h进行持续生产操作 由专业的维修人 员进行日常保养和维修 操作人员仅使用双手模式进行生产,但维修人员根据具体的间题,会使用寸动 模式,连续模式等其他操作模式 每一小时需要进人到压机背后,进行取废料及润滑操作,操作时间为 4min 空间限制:滑块行程为800mm,合模力为250t,每次循环时间大约为8s 操作人员需要手动将原 料放置在模具上,并按下双手按钮启动压机 完成冲压作业后,操作人员需要手动将加工完成的工件 取出 A.1.2危险识别 由于滑块的上下移动产生的模具夹紧点,造成的上肢挤压危险 A.1.3风险评价 由于滑块的上下移动产生对人员双手造成的挤压危险,最严重时可能造成操作员手臂截肢甚至是 死亡,并且人员在16h内会持续暴露在该风险之下 因此,在不使用任何防护措施的情况下,该风险是 不可接受的 A.2识别安全功能 需考虑通过安全防护,如联锁装置、安全光幕和双手操纵装置作为安全功能进行风险减小 A.3规定安全功能特征 在危险区增加一个带有安全联锁的活动式防护装置,确保活动式防护装置打开时,危险运动停止 在上料部位增加安全光幕,确保人员在危险区域内的时候,安全光幕被触发 增加双手操纵装置,确保 滑块下落时,操作人员的双手不在危险区域内 本示例仅对联锁装置的安全功能加以分析 A.4确定所需性能等级(PL, 根据图2,确定s,F,P的值以确定PL 伤害的严重程度 a 滑块的下落会对操作人员造成骨折甚至死亡的伤害,取值S2 暴露于危险的猴率和时间 b F 人员累积的暴露时间为nin(4ninm/h),超过总运行时间的1/2n(48min)取值r2. 规避危险或限制伤害的可能性 滑块运动速度较快,惯性较大,因此发生危险情况时操作人员较难以回避,取值P2 根据图2,得出实现该联锁功能的安全控制系统的所需性能等级PL,=e 14
GB/41118一2021 A.5安全需求说明 安全功能名称;联锁装置(控制滑块运动. 安全功能定义;安全防护装置,与活动式防护装置一同作为人员进人危险区域的保护措施,进行风 险减小 安全功能描述联锁装置,通常采用安全门开关,安装在安全门上 当安全门打开的时候,触发安全 门开关,开关输出可靠信号至安全控制系统,确保压力机滑块停止运动 安全控制子系统:安全门开关为输人子系统,安全继电器为逻辑子系统,液压阀为输出子系统 根据A.4的评估,所需求性能等级;PL,=e A.6安全设计说明 压力机的安全设计说明示例见表A.1 表A.1安全设计说明内容示例 电气 品牌及 子系统 名称 数量 安全参数 符合的标准 备注 标识符 型号 GB/T14048.5， 见GB/T16855.l一2018的 B1 BD=2000000 直接断开 表c.1,位置开关 安全门 输人 开关 B2 B=1000000GB/T14048.5 制造商给出Bmn0 本文件 PFH= GB/T16855.1 安全继 逻辑 K1 不做 制造商给出PFH 2.31×10" 电器 2018 细化 见GB/T16855.1一2018的 YV1 MTTFp=150年 GB/T3766 表c.1,液压元件 输出 液压阀 见GB/T16855.1一2018的 YV2 MTTF=150年 GB/T3766 表c,1,液压元件 安全门开关B和安全门开关2被触发,安全继电器K1断开液压阀YV1,液压阀YV2,并监控这两个阀 逻辑关系 的阀芯位置 指定构架/类别 A.7 根据表3,如需要实现PL,=e,选择类别4作为系统构架 针对三个子系统的构架构建如下: 采用两个物理上分离的安全开关B1和安全开关B2,采用双通道的方式由安全继电器K1监 aa 控,可以检测两个输人通道间的短路故障,电气回路图示例见图A.l; 选择满足GB/T16855.l一2018的要求,可以实现类别4的安全继电器 b 输出采用液压阀YV1和液压阀YrV2切断液压回路,阀芯位置信号反馈至安全继电器,液压回 路图见图A.2 15
GB/T41118一2021 DC24V 开房 L41 KI K1 -k1--" 42 -SB 走就Rc镇脚触点 复位按锁 菜部 安全继电器安全继 -1S1 阀芯检测 -1S2 阀芯检测？2 关所 点 -喂喂"心 安全继电器1 LED灯 复位按钮1 DCOV/ Yv1换向阀线圈Yv2换向阀线圈 图A.1电气回路图示例 他陷动作 Z YV1 临s YV2 VDB RF 图A.2液压回路图示例 16
GB/41118一2021 A.8平均危险失效间隔时间(MIF 按每年3865个工作日、每天工作16h以及每次安全门打开1h的间隔时间,即;d那=3865.hm =16， =3600,代人GB/T16855.1一2018的公式(C.2),计算得出n师=5840. lcyce 两个安全门开关的Bm值分别为2000000和1000000见表A.1),代人GB/T16855.1一2018的 公式(C.1),计算输人子系统各个通道的MTTF，值分别为 =3424年,取最大值2500年 MTTFDM -MTTFn聪=1712年 带直接断开操作的位置开关B1的电气触点可以进行故障排除 根据GB/T16855.1一2018的公式(D.2),计算输人子系统的MTTFp,和MTTFn.o: MTTF=2130年; MTTF.o=MTTF MTTF Fn,wg=MTTFn.ww=150年 FD,wv一 A.9诊断覆盖率(C 针对输人子系统;双通道结构,且安全继电器K1对两个安全门开关状态的真实性监控,因此B1和 2的Dc值取99% 针对输出子系统;液压阀取D值99%的依据是K1对两个液压阀开关状态的直援监控 根据7.3.d中的公式(2),得出两个子系统的c都是99%("高”). A.10确定PL 针对输人子系统 a 类别为4; MTTF,=2130年; DC.,=99%高. 根据GB/T16855.12018的表K.1,PFH,=1.13×10-" b)针对输出子系统 类别为4 -MTTF0=150年; Ic.a一99%(高》. 根据GB/T16855,1一2018的表K.1,PFHpo=1.61×10-" 针对逻辑子系统 根据安全继电器制造商给出的参数见表A.1),PFHD=2.31×10-" 针对整个安全控制系统 d PFH,=PFHp.1+PFHD.L十PFHp0=1.13X10-"十2.31×10-"十1.61×10-》=1.954×10-" 根据表2,得出PL=e A.11防止共因失效(cCF)的措施 本示例采取的防止共因失效的措施包括: 隔离(15); 经验证元件(5): FMEA(5); 过电压保护等(15); 环境条件(25+10) 17
GB/T41118一2021 根据7.3.6,采取的措施总计得分为75分,满足防止CCF的措施要求最低得分为65分的要求 A.12故障考虑和故障排除 安全联锁功能的输人子系统由两个独立的开关组成,从物理上确保开关本身故障不会导致安全功 能失效 安全继电器分别采用两个安全触点分别控制两个液压阀,避免短路故障导致安全功能失效 考虑到液压管路泄漏导致的安全功能失效,宜在液压回路中采用防爆阀,并定期保养检查 A.13验证安全功能的PL 通过安全设计所构成的安全控制系统的PL=e,满足PL>PL 18
GB/41118一2021 附录 B (资料性) 木工圆锯机安全控制系统设计及验证示例 B.1风险评估 B.1.1机器限制 使用限制该木工机械由接受过专业培训的操作人员,每天8h进行间歇性的生产操作 由专业的 维修人员进行日常保养和维修 操作人员在每个操作循环前,需手动打开防护罩,手工控制木材上下料 进行切割,切割完成后将完成品取走 因此设备的主要仅有手动工作一种操作模式,根据加工零件的不 同,单个零件加工时间约0.5min~1min 空间限制:大锯片直径p40 大锯切厚度120mm、 ,机床外形尺寸850mm×500mmX mm、 786mm 电机功率3kw,主锯转数:4000r/min6000r/min B.1.2危险识别 当圆锯机在非工作状态时,锯片旋转造成的切割伤害 B.1.3风险评价 锯片旋转造成的切割伤害,最严重情况下可能造成人员截肢,因此在不使用任何防护措施的情况 下,该风险是不可接受的 B.2识别安全功能 为了防止人员在非操作时误触及旋转的锯片,需考虑通过安全防护,如联锁装置作为安全功能进行 风险减小 B.3规定安全功能特征 为防止圆锯机处于非工作状态时,锯片旋转对人员造成切割伤害 在大锯片处增加一个带有联锁 的活动式防护装置,确保活动式防护打开时,锯片旋转运动停止并刹车 B.4确定所需性能等级 根据ISO19085-1;2017中5.3的要求,得出实现该联锁功能的安全控制系统所需的性能等级 PL=c B.5安全需求说明 安全功能名称;联锁装置(控制锯片 安全功能定义;安全防护装置,与活动式防护装置一同作为人员进人危险区域的安全防护措施,进 行风险降低 安全功能描述;联锁装置,通常采用安全开关,安装在活动式防护装置上 当活动式防护装置打开 的时候,触发联锁装置,开关输出可靠信号至相关控制系统,确保锯片停止运动 安全控制子系统:位置开关为输人子系统,接触器为输出子系统 根据B.4的评估,所需求性能等级.PL c 19
GB/T41118一2021 B.6安全设计说明 木工圆锯机的全设计说明示例见表B.1 表B.1安全设计说明内容示例 子系统 名称 电气标识符品牌及型号数量 安全参数 符合的标准 备注 GB/T14048.5. B Bp=2000000 参数由制造商给出 输人 位置开关 本文件 直接断开 不做细化 输出 接触器 Q Bn=2000000GB/T14048.5 参数由制造商给出 B.7 指定构架/类别 根据表3,如需要实现PL=e,可以选择类别1作为系统构架 针对子系统的构架构建如下 采用一个工作在直接断开方式下的安全开关B; 输出采用一个接触器Q1切断锯片电机供电 电气控制回路图示例见图B1 该设计遵守基本的安全原则,满足类别B架构的要求 采用断电安全原则作为基本安全原则,控 制回路的接地可以被认为是一个经验证的安全原则 位置开关B1是符合GB/T14048.5-2017中附录K的直接断开动作位置开关,因此可认为是经验 证的元件 当保护装置不在安全位置时,断开触点直接以机械方式切断电路 接触器Q1符合GB/T16855.2一2015中表D.4的附加条件,是一个经验证的元件 开启 B1 手 O1 关闭 M3 图B.1电气控制回路图示例 B.8平均危险失效间隔时间(MITIF 按每年200个工作日、每天工作8h以及每次防护罩打开10min的间隔时间即d=200,h哪= 8,leh=600,根据GB/T16855.1l一2018的公式(C.2),计算得到n=9600 位置开关的Bm值为2000000(见表B.1),代人GB/T16855.1一2018的公式(C.l),计算输人子系 统的MTTFD,m: MTTF.=2083年 20
GB/41118一2021 带直接断开操作的位置开关B1的电气触点可以进行故障排除 类似的,输出子系统的MTTFpa=2083年 B.9诊断覆盖率(DC)的测试和检测措施 针对输人子系统;B1无故障监控功能,因此C=0% 针对输出子系统,Q1无故障监控功能,因此DC=0% B.10确定PL a 针对输人子系统: 类别为l; MTTF1=2083年 DC Cwx.I1=0%(无. 根据GB/T16855.1一2018的表K.1,PFHp1=1.14×10-" b 针对输出子系统: 类别为l; -MTTFpo=2083年; DC ,=0%(无. avg.0 根据GB/T16855.1一2018的表K.1,PFHno=1.14×10- 针对整个安全控制系统 PFH,=PFHp1十PFHo=1.l4×10-看+1.14×10-"=2.28×10-" 根据表2,PL=c B.11防止共因失效(cCF)的措施 由于采用类别1的指定架构,此时无需考虑防止共因失效的措施 B.12故障考虑和故障排除 安装上采用位置开关进行位置监控 防护装置的稳定布置保证了位置开关的启动 位置开关的执 行元件受到保护,不会发生位移 仅使用刚性机械部件连接(在执行器和触点之间没有弹簧元件) B.13验证安全功能的PL 通过安全设计所构成的安全控制系统的P- c,满足PLPL 21
GB:/T41118一2021 附 录 C (资料性) 码垛机安全控制系统设计及验证示例 C.1 风险评估 C.1.1机器限制 使用限制;该码垛机由接受过专业培训的操作人员,每天24h进行持续生产操作 由于生产过程 中的需求,操作人员需要偶尔进人码垛区域进行调节作业,整理箱子箱型或捡起掉落在地面的纸箱,但 人员进人时,需要打开维护门才能进人 正常每8h,需要进人危险区域2次,每次5min 正常生产 时,人员无需进人 由专业的维修人员进行日常保养和维修 但维修人员进人危险区域前,会按照码垛机厂商的安全 说明,对危险能源进行上锁挂牌,并针对存在重力坠落危险的机构使用安全插销进行机械方式锁定 空间限制;码垛机在低位产品进料的情况下,最高速度为300层/h. C.1.2危险识别 由于码垛机构上下移动,推板的前后移动,以及输送带运动产生的夹紧点和卷人点,造成的人员上 肢或身体的挤压或卷人危险 C.1.3风险评价 由于码垛机构上下移动产生对人员双手造成的挤压危险,最严重时可能造成操作员死亡,并且人员 在每4h就会进人码垛机内部,暴露在该风险之下,因此在不使用任何防护措施的情况下,该风险是不 可接受的 C.2识别安全功能 考虑通过安全防护,如固定式防护装置、联锁装置和安全光幕作为安全功能进行风险减小 规定安全功能特征 C3 在危险区域四周增加固定式防护,针对需要物料进出的位置,增加带有屏蔽功能的安全光幕,当物 料通过且正确触发屏蔽逻辑时,码垛机可保持运行状态,针对人员需要进人进行调节作业或维修的位 置,增加带有安全联锁的活动式防护,确保活动式防护打开时,危险运动停止 本示例仅对联锁装置的安全功能加以分析 C.4确定所需性能等级 根据图2,确定s,F,P的值,以确定所需性能等级 -伤害的严重程度 a 码垛机结构的移动会对操作人员造成骨折,截肢甚至死亡的伤害,取值S2 b F 暴露于危险的频率和时间 人员累积的暴露时间每个班次为10min,低于每个班次的运行时间的1/20(24min),取 值F1 -规避危险或限制伤害的可能性 22
GB/41118一2021 码垛机机构的运动速度较快,惯性较大,因此发生危险情况时操作人员较难以回避,取值P2 根据图3,得出实现该联锁功能的安全控制系统所需的性能等级PL d C.5安全需求说明 安全功能名称;联锁装置(控制码垛机构运动) 安全功能定义;安全防护装置,与活动式防护装置一同作为人员进人危险区域的安全防护措施,进 行风险降低 安全功能描述联锁装置,通常采用安全门开关,安装在安全门上 当安全门打开的时候,触发安全 门开关,开关输出可靠信号至安全控制系统,确保码垛机构停止运动 安全控制子系统:安全门开关为输人子系统,安全PLC为逻辑子系统,控制码垛机构动作的变频器 为输出子系统 根据C.4的评估,所需求性能等级:PL=d C.6安全设计说明 码垛机的安全设计说明示例见表C.1. 表C.1 安全设计说明内容示例 电气 品牌及 子系统 名称 数量 安全参数 符合的标准 备注 标识符 型号 安全门 PFH 一 GB/T18831 输人 参数由制造商给出 开关 2.62×10 2017,4型 本文件 PFH GB/T16855.1 逻辑 安全PIc K1 不做 参数由制造商给出 4.47×10-" PL=e 细化 PFHa= sTo功能符合 Q 参数由制造商给出 输出 变频器 7.05×10" GB/T12668.502 指定构架/类别 根据表3,如果需要实现PL=d,可选择类别3作为系统构架 针对三个子系统的构架构建如下 一根据设备制造商手册,安全门开关B1采用RFI原理,其两个通道符合类别4的要求， 选择满足GB/T16855.1一2018的要求,可以实现类别4的安全PLC 变频器的安全转矩关断功能符合GB/T16855.1一2018中类别3要求,并且该功能满足 GB/T12668.502 电气控制回路图示例见图C.1 23
GB:/T41118一2021 R K1 10.010.1 安全PLc T O0 变颊器 STO1 STO2 图c.1电气回路图示例 C.8确定PL 针对输人子系统;根据制造商提供的参数(见表C.1),PFHp1=2.62×10" a D针对逻辑子系统;根据制造商提供的参数(见表C.1),PFHD儿=4.47×10-" c 针对输出子系统;根据制造商提供的参数(见表c.1),PFHn Ip.o=7.05×10- d 针对整个安全控制系统 PFH,=PFHp1+PFHL+PFHp0=2.62×10-"十4.47×10-"+7.05×10-》=17.357×10-" 根据表2,PL =d C.9防止共因失效(cCF)的措施 本示例采取的防止共因失效措施包括: 隔离15); 经验证元件(5); FMEA(5); 过电压保护等(15); -环境条件(25十10) 根据7.3.6,采取的措施总计得分为75分,满足防止CCF的措施要求最低得分为65分的要求 C.10故障考虑和故障排除 安全门开关牢固安装,确保联锁装置正确动作 安全门开关的供电导线可以单独敷设,也可以采用 防止机械损伤的保护措施 安全PLC满足类别4和PL=e的所有要求 安全相关软件(SRAsw)按照PL=d的要求和7.4的 说明进行编程 安全PILC的每个输出都是由PLC的两个处理通道驱动 针对伺服电机驱动的码垛机构,如存在重力坠落危险的,宜增加防坠落装置(如插销气缸),并定期 保养检查 C.11验证安全功能的PL 通过安全设计所构成的安全控制系统的PL=d,满足PL>PL 24
GB/41118一2021 参 考文献 [1]GB/T3766液压传动系统及其元件的通用规则和安全要求 [[2]GB/T12668.502调速电气传动系统第5-2部分:安全要求功能 [[3]GB/T14048.5低压开关设备和控制设备第5-1部分;控制电路电器和开关元件机电式 控制电路电器 [4]GB/T16855.2机械安全控制系统安全相关部件第2部分;确认 [叮 G;B/T18831机械安全与防护装置相关的联锁装置设计和选择原则 [ GB/T30175一2013机械安全应用GB/T16855.1和GB28526设计安全相关控制系统 的指南 [7]GB/T35081一2018机械安全GB/T16855.1与GB/T15706的关系 woodworkingmaehines一Safety-Partl.Common [[8]IsO19085-1:2017 req urementS [[9]BGIAReport2/2008e,Funectionalsafetyofmachinecontrols一ApplicationofENIs013849

机械安全安全控制系统设计指南GB/T41118-2021

在工业生产中，机械设备的安全性至关重要。一个好的安全控制系统能够有效地减少机械事故的发生，避免人员伤亡和财产损失。因此，机械安全控制系统的设计非常重要。

为了规范机械安全控制系统的设计过程，保障机械设备的操作安全，国家标准化管理委员会于2021年发布了新标准GB/T41118-2021《机械安全安全控制系统设计指南》。该标准详细介绍了机械安全控制系统的设计原则、流程、方法和技术要求等方面内容。

根据GB/T41118-2021标准，机械安全控制系统设计应该遵循以下原则：

• 风险评估：应该对机械设备所涉及的所有风险进行评估，并采取相应的安全措施。
• 合理性：应该根据机械设备的实际情况和使用要求，设计出合理、可靠的安全控制系统。
• 可行性：设计出来的安全控制系统应该在技术上具有可操作性和可维护性。
• 先进性：应该选择符合现代技术发展趋势和工程技术要求的安全控制系统方案。

针对每个原则，GB/T41118-2021标准都详细介绍了相应的设计流程、方法和技术要求。例如，在风险评估方面，该标准推荐采用ISO 12100标准进行风险评估，以确保对所有潜在风险进行全面评估。在安全控制系统的硬件设计和软件编程方面，该标准也提供了一些具体指导。

除此之外，GB/T41118-2021标准还特别强调了机械安全控制系统的维护和检修。为了保证机械设备的安全性能，安全控制系统应该定期进行检修和维护，并记录相关数据。同时，对于发生故障或者需要更换的部件，也应该及时采取措施。

综上所述，GB/T41118-2021标准为机械安全控制系统的设计提供了重要的指导和规范。在实际工程中，我们应该根据该标准的要求，对机械安全控制系统进行科学、合理的设计，以确保机械设备的安全运行。

机械安全安全控制系统设计指南的相关资料

和机械安全安全控制系统设计指南类似的标准