(高清版)GBT 41118-2021 機(jī)械安全 安全控制系統(tǒng)設(shè)計(jì)指南

機(jī)械安全安全控制系統(tǒng)設(shè)計(jì)指南2022-07-01實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I前言 2規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15迭代設(shè)計(jì)過程 26設(shè)計(jì)準(zhǔn)備 36.1風(fēng)險(xiǎn)評(píng)估 36.2識(shí)別安全功能 36.3規(guī)定安全功能的特征 36.4確定所需性能等級(jí) 46.5編制安全需求說明 57安全控制系統(tǒng)的設(shè)計(jì) 67.1概述 67.2編制安全設(shè)計(jì)說明 77.3設(shè)計(jì)硬件系統(tǒng) 7.4開發(fā)安全相關(guān)軟件 7.5驗(yàn)證安全功能的PL 7.6形成設(shè)計(jì)文件 8確認(rèn) 8.1確認(rèn)原則 8.2分析 8.3測(cè)試 8.4歸檔 附錄A(資料性)壓力機(jī)安全控制系統(tǒng)設(shè)計(jì)及驗(yàn)證示例 附錄B(資料性)木工圓鋸機(jī)安全控制系統(tǒng)設(shè)計(jì)及驗(yàn)證示例 附錄C(資料性)碼垛機(jī)安全控制系統(tǒng)設(shè)計(jì)及驗(yàn)證示例 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)機(jī)械安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC208)提出并歸口。本文件起草單位：皮爾磁電子(常州)有限公司、上海辰竹儀表有限公司、合肥磐石自動(dòng)化科技有限公司、深圳國(guó)技儀器有限公司、十一維度(廈門)網(wǎng)絡(luò)科技有限公司、漳州科暉專用汽車制造有限公司、焙之道食品(福建)有限公司、漳州佳龍科技股份有限公司、浙江武精機(jī)器制造有限公司、浙江佛爾泰智能設(shè)備有限公司、安士能電器(上海)有限公司、臺(tái)州龍江化工機(jī)械科技有限公司、南京理工大學(xué)、中機(jī)生產(chǎn)力促進(jìn)中心、四川蜀興優(yōu)創(chuàng)安全科技有限公司、泰瑞機(jī)器股份有限公司、奧煌檢測(cè)技術(shù)服務(wù)(上海)有限公司、北京機(jī)械工業(yè)自動(dòng)化研究所有限公司、廣東康鑫新材料有限公司、南京林業(yè)大學(xué)、惠州學(xué)院、巨力自動(dòng)化設(shè)備(浙江)有限公司、蘇州安高智能安全科技有限公司、江蘇省特種設(shè)備安全監(jiān)督檢驗(yàn)研究院、佛山市南海旋旖機(jī)械設(shè)備有限公司、廣東利英智能科技有限公司、江蘇長(zhǎng)虹智能裝備股份有限公司、佛山市定中機(jī)械有限公司、西安凱益金電子科技有限公司、中汽認(rèn)證中心有限公司、東莞市雄大機(jī)械有限公司、西安立貝安智能科技有限公司、江蘇強(qiáng)凱檢測(cè)有限公司、西安寧康特?cái)?shù)據(jù)服務(wù)有限公司、廣東全偉工業(yè)科技有限公司、上海彩琪信息科技服務(wù)中心、平湖李挺機(jī)械制造有限公司、山東佐耀智能裝備股份有限公司、棗莊市慧天美亞保溫節(jié)能建材有限公司、廣東雪瑩電器有限公司、義烏市粵鑫模具科技有機(jī)械領(lǐng)域安全標(biāo)準(zhǔn)體系由以下幾類標(biāo)準(zhǔn)構(gòu)成：——A類標(biāo)準(zhǔn)(基礎(chǔ)安全標(biāo)準(zhǔn)),給出適用于所有機(jī)械的基本概念、設(shè)計(jì)原則和一般特征；——B類標(biāo)準(zhǔn)(通用安全標(biāo)準(zhǔn)),涉及在機(jī)械的一種安全特征或使用范圍較寬的一類安全裝置：——C類標(biāo)準(zhǔn)(機(jī)械產(chǎn)品安全標(biāo)準(zhǔn)),對(duì)一種特定的機(jī)器或一組機(jī)器規(guī)定出詳細(xì)的安全要求的標(biāo)準(zhǔn)。根據(jù)GB/T15706,本文件屬于B類標(biāo)準(zhǔn)。本文件尤其與下列與機(jī)械安全有關(guān)的利益相關(guān)方有關(guān)：——機(jī)器制造商；——健康與安全機(jī)構(gòu)。其他受到機(jī)械安全水平影響的利益相關(guān)方有：——機(jī)器使用人員；——機(jī)器所有者；——服務(wù)提供人員；——消費(fèi)者(針對(duì)預(yù)定由消費(fèi)者使用的機(jī)械)。上述利益相關(guān)方均有可能參與本文件的起草。此外，本文件預(yù)定用于起草C類標(biāo)準(zhǔn)的標(biāo)準(zhǔn)化機(jī)構(gòu)。本文件規(guī)定的要求可由C類標(biāo)準(zhǔn)補(bǔ)充或修改。對(duì)于在C類標(biāo)準(zhǔn)的范圍內(nèi)，且已按照C類標(biāo)準(zhǔn)設(shè)計(jì)和制造的機(jī)器，優(yōu)先采用C類標(biāo)準(zhǔn)中的要求。急停裝置、聯(lián)鎖裝置、雙手操縱裝置等安全防護(hù)裝置安全功能的實(shí)現(xiàn)依賴于安全控制系統(tǒng)。GB/T16855.1給出了安全控制系統(tǒng)的設(shè)計(jì)原則，本文件的目的是指導(dǎo)設(shè)計(jì)人員如何根據(jù)GB/T16855.1設(shè)計(jì)安全控制系統(tǒng)。本文件的附錄A、附錄B和附錄C分別給出了壓力機(jī)、木工圓鋸機(jī)及碼垛機(jī)安全控制系統(tǒng)的設(shè)計(jì)及驗(yàn)證示例。1機(jī)械安全安全控制系統(tǒng)設(shè)計(jì)指南本文件給出了安全控制系統(tǒng)的設(shè)計(jì)迭代過程、設(shè)計(jì)準(zhǔn)備、設(shè)計(jì)實(shí)施以及確認(rèn)的指南。本文件適用于GB/T15706—2012界定的機(jī)械的安全控制系統(tǒng)的設(shè)計(jì)及升級(jí)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T15706—2012機(jī)械安全設(shè)計(jì)通則風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)減小GB/T16855.1—2018機(jī)械安全控制系統(tǒng)安全相關(guān)部件第1部分：設(shè)計(jì)通則3術(shù)語和定義GB/T15706—2012和GB/T16855.1—2018界定的以及下列術(shù)語和定義適用于本文件。安全控制系統(tǒng)safetycontrolsystem執(zhí)行規(guī)定的安全功能，以控制或維持某一受控設(shè)備的安全狀態(tài)，并通過其自身或其他控制系統(tǒng)，以及外部風(fēng)險(xiǎn)減小措施而實(shí)現(xiàn)所需性能等級(jí)(PLr)的特定控制系統(tǒng)。平均危險(xiǎn)失效周期數(shù)meancyclestodangerousfailureBlop直到10%的元件發(fā)生危險(xiǎn)失效時(shí)的平均循環(huán)次數(shù)。注：元件通常指機(jī)械元件、機(jī)電元件、氣動(dòng)元件或液壓元件。4縮略語下列縮略語適用于本文件。AOPD:有源光電保護(hù)裝置(ActiveOptoelectronicProtectiveDevice)DC:診斷覆蓋率(DiagnosticCoverage)FMEA:失效模式及影響分析(FailureModeandEffectsAnalysis)MTTFp:平均危險(xiǎn)失效間隔時(shí)間(MeanTimetoDangerousFailure)PFHp:每小時(shí)平均危險(xiǎn)失效概率(AverageProbabilityofDangerousFailurePerHour)PL:性能等級(jí)(PerformanceLevel)2SRASW:安全相關(guān)應(yīng)用軟件(Safety-relatedApplicationSoftware)SRESW:安全相關(guān)嵌入式軟件(Safety-relatedEmbeddedSoftware)SRP/CS:控制系統(tǒng)安全相關(guān)部件(Safety-relatedPartofaControlSystem)5迭代設(shè)計(jì)過程安全控制系統(tǒng)的設(shè)計(jì)和確認(rèn)宜充分考慮GB/T15706—2012中圖1的風(fēng)險(xiǎn)評(píng)估方法和GB/T16855.1—2018中圖1給出的風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)減小概況，并按本文件的圖1所示流程實(shí)現(xiàn)其預(yù)定安全功能。來自風(fēng)險(xiǎn)減小來自風(fēng)險(xiǎn)減小見5.2見5.3見5.4見5.5編制安全需求說明見6.2編制安全設(shè)計(jì)說明見6.3設(shè)計(jì)硬件系統(tǒng)否見6.5驗(yàn)證安全功能的PL是見6.6形成設(shè)計(jì)文件是否見第7章至風(fēng)險(xiǎn)減小規(guī)定安全功能的特征確定所需性能等級(jí)開發(fā)安全相關(guān)軟件識(shí)別安全功能見6.4確認(rèn)是圖1安全控制系統(tǒng)的迭代設(shè)計(jì)過程36設(shè)計(jì)準(zhǔn)備6.1風(fēng)險(xiǎn)評(píng)估在設(shè)計(jì)安全控制系統(tǒng)之前，宜對(duì)機(jī)械進(jìn)行風(fēng)險(xiǎn)評(píng)估。如果風(fēng)險(xiǎn)評(píng)估結(jié)果發(fā)現(xiàn)存在不可接受的風(fēng)險(xiǎn)，宜通過GB/T15706—2012中圖1給出的風(fēng)險(xiǎn)減小過程迭代三步法消除危險(xiǎn)或者盡可能減小風(fēng)險(xiǎn)。通常，只有在通過安全防護(hù)措施無法經(jīng)濟(jì)合理地減小風(fēng)險(xiǎn)的情況下，才可以通過使用信息(包括組織措施)減小風(fēng)險(xiǎn)。因此，在大多數(shù)情況下宜采用安全防護(hù)措施減小風(fēng)險(xiǎn)，而安全控制系統(tǒng)是實(shí)現(xiàn)風(fēng)險(xiǎn)減小的重要措施之一。注：風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減小的策略見GB/T15706—2012。6.2識(shí)別安全功能通過安全控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)減小的起點(diǎn)是識(shí)別安全功能，即定義由安全控制系統(tǒng)執(zhí)行的一個(gè)或多個(gè)安全功能(SF),以實(shí)現(xiàn)風(fēng)險(xiǎn)減小。識(shí)別安全功能的主要目的就是確定通過控制系統(tǒng)實(shí)現(xiàn)的保護(hù)措施。通過控制系統(tǒng)實(shí)現(xiàn)的保護(hù)措施，即為進(jìn)行風(fēng)險(xiǎn)減小的安全功能。例如，聯(lián)鎖裝置可實(shí)現(xiàn)安全聯(lián)鎖這一個(gè)安全功能，但不帶聯(lián)鎖裝置的活動(dòng)式防護(hù)裝置無法實(shí)現(xiàn)這一安全功能。6.3規(guī)定安全功能的特征宜根據(jù)應(yīng)用場(chǎng)合和具體危險(xiǎn)規(guī)定安全功能需具備的特征。例如，如果存在拋射物，采用光幕就不合適，可以采用活動(dòng)式防護(hù)裝置。如果C類標(biāo)準(zhǔn)沒有相關(guān)規(guī)定，安全功能可由機(jī)器設(shè)計(jì)者定義，如：a)運(yùn)動(dòng)的受控停止以及在靜止位置宜使用固定抱閘；b)防止軸/氣缸在設(shè)定模式下掉落；c)人員進(jìn)入機(jī)械臂危險(xiǎn)區(qū)之前機(jī)械臂能主動(dòng)降速；d)防止人員被困；e)人員操作壓力機(jī)時(shí)，如有其他人員在危險(xiǎn)區(qū)內(nèi)，通過光幕檢測(cè)來阻止壓力機(jī)危險(xiǎn)運(yùn)動(dòng)的觸發(fā)。表1根據(jù)GB/T16855.1—2018的表8對(duì)主要安全功能進(jìn)行了總結(jié)，并增加了各種可能應(yīng)用的示例。表1典型安全功能及應(yīng)用示例安全功能應(yīng)用示例由安全防護(hù)裝置觸發(fā)的安全相關(guān)停止功能由安全轉(zhuǎn)矩關(guān)斷(STO)、安全停止1(SS1)或安全停止2(SS2)響應(yīng)防護(hù)裝置的觸發(fā)手動(dòng)復(fù)位功能確認(rèn)已離開防護(hù)裝置保護(hù)區(qū)域啟動(dòng)/重啟功能帶啟動(dòng)功能的聯(lián)鎖防護(hù)裝置允許重啟本地控制功能從危險(xiǎn)區(qū)內(nèi)的某個(gè)位置控制機(jī)器運(yùn)動(dòng)抑制功能保護(hù)裝置臨時(shí)性暫停，如材料輸送過程中保持-運(yùn)行功能從危險(xiǎn)區(qū)內(nèi)的某個(gè)位置控制機(jī)器運(yùn)動(dòng)，如設(shè)定過程中防止意外啟動(dòng)操作者在危險(xiǎn)區(qū)進(jìn)行人為干預(yù)4表1典型安全功能及應(yīng)用示例(續(xù))安全功能應(yīng)用示例受困人員的撤離和營(yíng)救在危險(xiǎn)區(qū)觸發(fā)聯(lián)鎖裝置的緊急逃生裝置能源隔離和耗散功能打開液壓閥門釋放壓力控制模式和模式選擇通過操作模式選擇開關(guān)激活安全功能急停功能由安全轉(zhuǎn)矩關(guān)斷(STO)或安全停止1(SS1)響應(yīng)急停裝置的致動(dòng)6.4確定所需性能等級(jí)各安全功能要求的風(fēng)險(xiǎn)減小程度會(huì)有差別。在GB/T16855.1—2018中，風(fēng)險(xiǎn)減小的程度由性能等級(jí)(PL)確定。安全控制系統(tǒng)實(shí)現(xiàn)的安全功能的安全性能評(píng)估通過5個(gè)性能等級(jí)(PL)表示，每一級(jí)性能等級(jí)對(duì)應(yīng)一個(gè)每小時(shí)危險(xiǎn)失效概率(PFHp)范圍，PL與PFHp的對(duì)應(yīng)關(guān)系見表2。表2PL與PFH。的對(duì)應(yīng)關(guān)系性能等級(jí)(PL)平均每小時(shí)危險(xiǎn)失效概率(PFHp)abCdePFHp<10-7宜給每一個(gè)預(yù)定安全功能規(guī)定所需性能等級(jí)(PLr),即技術(shù)目標(biāo)值。宜優(yōu)先按照C類標(biāo)準(zhǔn)確定安全功能的PL,,如注塑設(shè)備的C類標(biāo)準(zhǔn)中規(guī)定合模區(qū)操作側(cè)的安全聯(lián)鎖功能的PL需要達(dá)到e,即PL,=e。如果沒有合適的C類標(biāo)準(zhǔn)，可根據(jù)圖2直接得出PLr。注：具體參數(shù)的選擇見GB/T16855.1—2018的附錄A。每個(gè)安全功能都宜根據(jù)圖2確定PLr。5bCp2ded1——估計(jì)安全功能對(duì)風(fēng)險(xiǎn)減小的作用的起始點(diǎn)；L——對(duì)風(fēng)險(xiǎn)減小的作用??；H——對(duì)風(fēng)險(xiǎn)減小的作用大；PL,——所需性能等級(jí)風(fēng)險(xiǎn)參數(shù)；S1——輕微(通常是可恢復(fù)的傷害);S2——嚴(yán)重(通常是不可恢復(fù)的傷害或死亡);F1——很少-不常和/或暴露時(shí)間短(通常是累計(jì)的暴露時(shí)間不超過總運(yùn)行時(shí)間的1/20且頻率不超過每15min/次);F2——頻繁-連續(xù)和/或暴露時(shí)間長(zhǎng)(不符合F1的情況);P1——在特定條件下可能(見GB/T16855.1—2018的A.2.3);P2——幾乎不可能(見GB/T16855.1—2018的A.2.3)。圖2用于確定安全功能PL,的風(fēng)險(xiǎn)圖6.5編制安全需求說明編制安全需求說明是安全控制系統(tǒng)設(shè)計(jì)的必要步驟。安全需求說明宜通過文檔的方式，識(shí)別出實(shí)現(xiàn)安全功能的各個(gè)安全控制子系統(tǒng)，并對(duì)相應(yīng)的安全功能加以闡述。安全需求說明宜詳細(xì)說明機(jī)器安全控制系統(tǒng)中包含的各個(gè)安全功能，包括每個(gè)安全功能需要達(dá)到的PLr、實(shí)現(xiàn)每個(gè)安全功能所需的安全控制子系統(tǒng)(包括相關(guān)的輸入、邏輯和輸出)以及各安全控制子系統(tǒng)之間的邏輯關(guān)系。安全需求說明宜包含以下內(nèi)容：a)文檔狀態(tài)：2)模板版本管理；3)項(xiàng)目版本管理；b)術(shù)語；c)安全控制系統(tǒng)設(shè)計(jì)責(zé)任約定；d)系統(tǒng)概覽：1)安全功能定義；2)功能名稱；3)功能描述；64)涉及的安全控制子系統(tǒng)；5)所需性能等級(jí)；6)信號(hào)處理(如果存在)。在編制安全需求說明時(shí)，即使用于實(shí)現(xiàn)安全功能的安全控制子系統(tǒng)都相同，這些安全功能也宜分開定義。因?yàn)椋渲械倪壿嬏幚砜赡懿煌?，例如一個(gè)安全功能需要斷電延時(shí)切斷執(zhí)行機(jī)構(gòu)，而另一個(gè)則需要瞬時(shí)切斷執(zhí)行機(jī)構(gòu)。與之相類似，如果使用相同的邏輯實(shí)現(xiàn)不同的安全功能，也宜將安全功能分開描述。因?yàn)橛糜趯?shí)現(xiàn)安全功能的安全控制子系統(tǒng)可能不同，從而導(dǎo)致安全功能可靠性存在差異。安全控制系統(tǒng)軟件、硬件設(shè)計(jì)以及安全功能驗(yàn)證等后續(xù)步驟均需根據(jù)安全需求說明的內(nèi)容實(shí)施。7安全控制系統(tǒng)的設(shè)計(jì)一旦定義了確切的安全功能、所要求的風(fēng)險(xiǎn)減小以及PLr,宜確定執(zhí)行安全功能的安全相關(guān)部件，如選擇安全光幕作為輸入子系統(tǒng)、安全可編程控制器作為邏輯/處理子系統(tǒng)、接觸器作為輸出/動(dòng)力子系統(tǒng)以及相互連接方式。典型安全控制系統(tǒng)如圖3所示。212SRP/CS,SRPSRP/CS,標(biāo)引序號(hào)說明：SRP/CS、SRP/CS、SRP/CS.——安全控制子系統(tǒng)；L——邏輯(例如：安全繼電器、安全可編程控制器);1——觸發(fā)事件(例如：手動(dòng)致動(dòng)按鈕、打開防護(hù)裝置、中斷AOPD光束);inh、ihe——相互連接方式(例如：電氣連接)。圖3實(shí)現(xiàn)安全功能的典型安全控制系統(tǒng)示意圖進(jìn)一步的安全控制系統(tǒng)設(shè)計(jì)包括定性設(shè)計(jì)和定量設(shè)計(jì)兩方面。在定性設(shè)計(jì)階段，主要考慮安全控制系統(tǒng)的架構(gòu)類別。系統(tǒng)架構(gòu)類別共有5種(由低到高分為B、1、2、3和4),架構(gòu)的類別越高，則安全控制系統(tǒng)越容易實(shí)現(xiàn)更高的性能等級(jí)。在定量設(shè)計(jì)階段，需分別考慮元器件的平均危險(xiǎn)失效間隔時(shí)間(MTTFp)、平均診斷覆蓋率(DCg)以及系統(tǒng)共因失效三個(gè)因素。此外，還宜采取合理措施避免系統(tǒng)性失效。如果安全控制系統(tǒng)包含軟件設(shè)計(jì)，則還宜遵循安全相關(guān)軟件設(shè)計(jì)規(guī)范。宜確定控制系統(tǒng)中實(shí)現(xiàn)安全功能的所有安全相關(guān)部件，將其納入安全控制系統(tǒng)之中，并在安全設(shè)計(jì)說明中明確安全功能?；诖_定的安全功能以及PL,,選擇安全相關(guān)部件，構(gòu)成安全控制系統(tǒng)，通常需要考慮以下因素：——安全功能實(shí)現(xiàn)的途徑，如：7●實(shí)現(xiàn)邏輯控制，可以采用安全繼電器、安全可編程控制器等；——安全相關(guān)部件的安全特性，宜考慮：●部件可以構(gòu)建的類別。確定所有安全相關(guān)部件后，可以考慮以下因素評(píng)估安全控制系統(tǒng)的性能等級(jí)PL:——系統(tǒng)架構(gòu)類別；——MTTFp;——DC;——CCF;——系統(tǒng)性失效；——安全相關(guān)部件的軟件(如果有);——預(yù)期環(huán)境條件下，執(zhí)行安全功能的能力。根據(jù)上述因素進(jìn)行系統(tǒng)設(shè)計(jì)后，可確定實(shí)際系統(tǒng)的PL。對(duì)于每個(gè)安全功能，宜評(píng)估實(shí)際PL是否達(dá)到或超過PLr。若是，則說明該安全功能設(shè)計(jì)達(dá)到要求。反之，則需重新考慮上述設(shè)計(jì)因素，需改進(jìn)設(shè)計(jì)以達(dá)到要求。7.2編制安全設(shè)計(jì)說明宜根據(jù)安全需求說明編制安全設(shè)計(jì)說明。安全設(shè)計(jì)說明宜通過文檔的方式，識(shí)別出實(shí)現(xiàn)安全功能的安全控制子系統(tǒng)在設(shè)計(jì)時(shí)需考慮的內(nèi)容，包括：——每個(gè)安全功能中涉及的安全相關(guān)部件的品牌型號(hào)、數(shù)量；——安全相關(guān)部件符合的標(biāo)準(zhǔn)；——安全相關(guān)部件的參數(shù)(MTTFp、Blop、PFHp等);——安全相關(guān)部件初始狀態(tài)；——安全相關(guān)部件電氣編號(hào)；——安全功能的觸發(fā)頻率；——各安全控制子系統(tǒng)之間的邏輯關(guān)系(包括反饋、復(fù)位、延時(shí)、監(jiān)控閾值等信息)。安全設(shè)計(jì)說明可以獨(dú)立于安全需求說明，也可以與安全需求說明相互補(bǔ)充并且整合在一個(gè)文檔之中。7.3設(shè)計(jì)硬件系統(tǒng)每一個(gè)安全功能可通過幾個(gè)安全控制子系統(tǒng)的組合來實(shí)現(xiàn)：輸入子系統(tǒng)、邏輯/處理子系統(tǒng)、輸出/動(dòng)力子系統(tǒng)。硬件系統(tǒng)設(shè)計(jì)的主要目標(biāo)是確定每個(gè)安全功能的實(shí)際PL,以判斷是否達(dá)到PL,。由于PL對(duì)應(yīng)每小時(shí)危險(xiǎn)失效概率(PFHp),因此，確定每一個(gè)安全功能的安全控制系統(tǒng)的每小時(shí)危險(xiǎn)失效概率PFHp,是完成硬件系統(tǒng)設(shè)計(jì)的主要目標(biāo)。常規(guī)的安全控制系統(tǒng)有輸入子系統(tǒng)(輸入裝置，“I”)、邏輯/處理子系統(tǒng)(邏輯，“L”)和輸出/動(dòng)力子系統(tǒng)(輸出裝置，“O”)三部分組成(見圖3)。有兩種方式可以獲得各個(gè)子系統(tǒng)的PFHp:——安全相關(guān)部件的生產(chǎn)廠家提供，如制造商一般可以提供安全繼電器的PFHp值；——通過確定類別、MTTF。和DC后，根據(jù)GB/T16855.1—2018的表K.1得出。宜以子系統(tǒng)為單位，分別確定各個(gè)子系統(tǒng)的PFHp,再進(jìn)行累加，得出整個(gè)安全控制系統(tǒng)的PFHp。8如圖4所示，一個(gè)安全功能由N個(gè)安全控制子系統(tǒng)的組合來實(shí)現(xiàn)時(shí)，每一個(gè)安全控制子系統(tǒng)對(duì)應(yīng)各自的PL,即為PFHpv。所有實(shí)現(xiàn)這個(gè)安全功能的安全控制子系統(tǒng)的PFHpv的總和，即為此安全功能的總的PFHp,然后根據(jù)GB/T16855.1—2018的表K.1,即可以得出對(duì)應(yīng)的PL。SRP/CS?SRP/CS?SRP/CS.PLx安全控制系統(tǒng)PLPFTIp-PFII?IPFTIp?…PTIIx圖4實(shí)現(xiàn)總PL的安全控制子系統(tǒng)組合7.3.2指定架構(gòu)/類別安全控制系統(tǒng)的架構(gòu)決定其容錯(cuò)能力，并且是其他所有可量化指標(biāo)的基礎(chǔ)，以此得到安全控制系統(tǒng)的PL。類別是指將安全控制系統(tǒng)按照其故障耐受能力及故障條件下的后續(xù)行為，以部件的可靠性和/或結(jié)構(gòu)布置為基礎(chǔ)進(jìn)行的分類。評(píng)價(jià)由安全控制系統(tǒng)達(dá)到的PL的簡(jiǎn)化程序見表3。故障耐受能力越高，風(fēng)險(xiǎn)減小的可能性越大。類別與五種基本架構(gòu)形式之間存在對(duì)應(yīng)關(guān)系，稱為指定架構(gòu)。表3評(píng)價(jià)由安全控制系統(tǒng)達(dá)到的PL的簡(jiǎn)化程序類別B122334DCavg無無低中低中高低a不包括abbc不包括中b不包括bccd不包括高不包括CCddde宜按照輸入子系統(tǒng)(輸入裝置，“I”)、邏輯/處理子系統(tǒng)(邏輯，“L”)和輸出/動(dòng)力子系統(tǒng)(輸出裝置，“O”)進(jìn)行“垂直”劃分進(jìn)行架構(gòu)和類別的設(shè)計(jì)。GB/T16855.1—2018定義了五種架構(gòu)作為類別。GB/T16855.1—2018采用對(duì)平均危險(xiǎn)失效間隔時(shí)間(MTTFp)、平均診斷覆蓋率(DC)以及防止共因失效(CCF)能力的量化要求對(duì)此前的類別定義進(jìn)行補(bǔ)充?；谒栊阅艿燃?jí)PL,,可以根據(jù)表3進(jìn)行指定架構(gòu)的預(yù)設(shè)，如：——PL,=a或b,類別選擇B;——PL,=c,類別宜選擇1或2,但對(duì)類別1有高的可靠性要求；——PL,=d,類別宜選擇3;——PL,=e,類別宜選擇4。以上選擇僅通過簡(jiǎn)化程序給出預(yù)期的指定架構(gòu)。結(jié)合對(duì)應(yīng)MTTF。及DCag,可進(jìn)行安全相關(guān)部件的選擇。但是，最終所實(shí)現(xiàn)的PL還需要通過計(jì)算PFH,所得出。類別B為基本類別，所有其他類別都需要滿足類別B的要求。類別B和類別1主要通過選擇和使用合適的元件實(shí)現(xiàn)故障耐受能力。發(fā)生一個(gè)故障就可使安全功能失效。由于使用了特殊元件和經(jīng)驗(yàn)證的安全原則，類別1的抗共因失效能力要高于類別B。9GB/T41118—2021類別2、類別3和類別4主要通過結(jié)構(gòu)措施實(shí)現(xiàn)更好的安全功能表現(xiàn)。類別2的安全功能表現(xiàn)通常由技術(shù)檢測(cè)設(shè)備(TE)通過自檢定期自動(dòng)檢查。如果兩次檢測(cè)中間發(fā)生故障，安全功能就可能失敗。通過選擇適當(dāng)?shù)臏y(cè)試間隔，應(yīng)用類別2可實(shí)現(xiàn)合適的風(fēng)險(xiǎn)減小。類別3和類別4發(fā)生單一故障不會(huì)導(dǎo)致安全功能喪失。類別4可自動(dòng)檢測(cè)到此類故障。在合理可行的情況下，類別3也能自動(dòng)檢測(cè)到此類故障。另外，類別4還具備抵抗未檢測(cè)故障累積的能力。注：有關(guān)指定構(gòu)架示意圖和類別要求總結(jié)見GB/T16855.1—2018的6.2。7.3.3平均危險(xiǎn)失效間隔時(shí)間(MTTFp)在確定MTTF。之前，宜選定安全控制系統(tǒng)中的相關(guān)部件。無論是單個(gè)元件，如晶體管、閥門或接觸器，還是模塊、通道及安全控制系統(tǒng)作為一個(gè)整體，都有MTTFp。安全控制系統(tǒng)總的MTTFp可根據(jù)組成系統(tǒng)的所有元件的MTTFp,按照GB/T16855.1—2018的附錄D給出的簡(jiǎn)化方法計(jì)算得出。單個(gè)元件的MTTFp宜通過以下順序獲得：a)制造商給出的MTTFp;b)根據(jù)制造商給出的Blop按照GB/T16855.1—2018的附錄C通過計(jì)算得出；c)如果無可獲得的數(shù)據(jù)，則選為10年。宜分別估算各個(gè)子系統(tǒng)的MTTF,。如子系統(tǒng)采用類別3或類別4的構(gòu)架，則需要考慮并聯(lián)通道的平衡[見GB/T16855.1—2018的公式(D.2)]。7.3.4診斷覆蓋率(DC)對(duì)PL有重要影響的另一個(gè)變量是安全控制系統(tǒng)的(自我)檢測(cè)和監(jiān)控措施。例如，有效的檢測(cè)可以對(duì)元件的可靠性進(jìn)行一定補(bǔ)償。GB/T16855.1—2018采用診斷覆蓋率DC來衡量檢測(cè)質(zhì)量。基準(zhǔn)量可以是一個(gè)元件、一個(gè)模塊或者整個(gè)安全控制系統(tǒng)。對(duì)于整個(gè)安全控制系統(tǒng)，DC為平均診斷覆蓋率DCg。DC的值分4級(jí)，見表4。表4診斷覆蓋率(DC)指標(biāo)范圍無DC<60%低中高DC≥99%有兩種方法可以計(jì)算DC,一種更精確，但更復(fù)雜；另一種則較簡(jiǎn)單。精確但復(fù)雜的方法涉及失效模式和影響分析(FMEA),且以DC定義為基礎(chǔ)。這種情況下，需要確定各元件的可檢測(cè)的危險(xiǎn)(dd)失效類型和不可檢測(cè)的危險(xiǎn)(du)失效類型，以及它們占元件總失效率的比例。最后，對(duì)這一比例進(jìn)行求和并列式運(yùn)算后，得出所考慮單元的DC值，見公式(1):式中：λaui——組成安全功能的每個(gè)元件的可檢測(cè)的危險(xiǎn)失效率；λaut——組成安全功能的每個(gè)元件的不可檢測(cè)的危險(xiǎn)失效率；λai——組成安全功能的每個(gè)元件的危險(xiǎn)失效率。DCawg的計(jì)算宜采用第二種簡(jiǎn)單的方法，這種方法基于直接對(duì)元件或模塊層的DC進(jìn)行合理保守的估算，然后再采用平均公式利用各DC值計(jì)算DCag。許多措施都可以按照典型標(biāo)準(zhǔn)措施進(jìn)行分類，GB/T16855.1—2018的附錄E列出了各類措施的DC估計(jì)值。這些數(shù)值采用有四個(gè)分值(0%、60%、90%和99%)組成的粗略系統(tǒng)進(jìn)行分類。常用的DC估計(jì)如下：b)針對(duì)輸入裝置，采用雙通道但無法檢測(cè)到短路故障，DC為90%;c)針對(duì)輸入裝置，采用雙通道可檢測(cè)短路故障，DC為99%;d)針對(duì)輸出裝置，如接觸器，采用雙通道且對(duì)接觸器安全相關(guān)觸點(diǎn)進(jìn)行直接監(jiān)控(通過機(jī)械連接觸點(diǎn)元件監(jiān)控),DC為99%。一旦知道了所有元件的DC值，就可以采用近似計(jì)算公式(2)計(jì)算系統(tǒng)的DCa值。此公式適合用于采用不同DC值的冗余通道的子系統(tǒng)的DC估計(jì)。對(duì)于類別2,宜注意檢測(cè)頻率和檢測(cè)可靠性。檢測(cè)頻率至少為安全功能平均要求率的100倍。如果要求安全功能后檢測(cè)執(zhí)行的很快，并且能夠在危險(xiǎn)發(fā)生前達(dá)到安全狀態(tài)，則檢測(cè)頻率沒有任何要求。整個(gè)檢測(cè)通道的MTTFp值不宜低于功能通道MTTFp值的一半。確定類別、MTTF,、DCg之后，可以確定安全控制系統(tǒng)中安全功能的PL。實(shí)現(xiàn)安全功能的安全控制系統(tǒng)由不同的子系統(tǒng)組成。這些子系統(tǒng)采用不同的技術(shù)和/或?qū)崿F(xiàn)不同的類別/性能等級(jí)。不同的子系統(tǒng)可通過線性(串聯(lián))或冗余(并聯(lián))方式連接，實(shí)現(xiàn)安全控制系統(tǒng)中的安全功能。宜采用以下步驟進(jìn)行PL的確定：a)按照輸入系統(tǒng)、信號(hào)處理單元和輸出系統(tǒng)進(jìn)行分類，構(gòu)成獨(dú)立的子系統(tǒng)。b)確定每一個(gè)子系統(tǒng)的PFHp:——如子系統(tǒng)直接給出PFHp,可以直接使用，如安全光幕、安全可編程控制器；——對(duì)于未直接給出PFHp的子系統(tǒng)，宜根據(jù)每一個(gè)子系統(tǒng)類別、MTTFp、DC來確定該子系統(tǒng)的PFHp。c)將所有子系統(tǒng)的PFHp數(shù)值相加，通過求和得出整體PL的相關(guān)數(shù)值，見公式(3):PFH=≥APFH=PFHm+PFH+…+PFH…N——安全功能所使用子系統(tǒng)的數(shù)量；PFHp;——第i個(gè)子系統(tǒng)的平均每小時(shí)危險(xiǎn)失效概率。此處需特別注意子系統(tǒng)之間的接口：——所有連接(如導(dǎo)體或總線系統(tǒng)實(shí)現(xiàn)的數(shù)據(jù)通信)需已在某個(gè)子系統(tǒng)的PL中考慮，或者連接故障已經(jīng)排除或可以忽略不計(jì)；——串聯(lián)布置的安全子系統(tǒng)接口宜兼容，即發(fā)出要求安全功能信號(hào)的子系統(tǒng)的各輸出狀態(tài)能夠觸發(fā)下游子系統(tǒng)安全狀態(tài)。d)根據(jù)GB/T16855.1—2018的表K.1,對(duì)照總的PFH,數(shù)值，確定對(duì)應(yīng)的PL,即得出安全功能的性能等級(jí)。7.3.6防止共因失效(CCF)的措施共因失效(CCF)為冗余安全控制系統(tǒng)兩個(gè)通道都發(fā)生的因相同原因造成的相關(guān)危險(xiǎn)失效。在實(shí)現(xiàn)PL≥PL的基礎(chǔ)上，且采用類別2、類別3和類別4的構(gòu)架下，宜采取措施防止共因失效。GB/T16855.1—2018的附錄F給出了一個(gè)包含8種重要防范措施的檢查清單。這8種措施分別被賦予了5～25不等a)不同通道的信號(hào)路徑之間的物理隔離(15分);b)技術(shù)相異，通道的設(shè)計(jì)結(jié)構(gòu)或物理原理相異(20分);c)防止可能發(fā)生的過電壓、過電流、過壓力、過熱等(15分)以及采用經(jīng)驗(yàn)證的元件(5分);d)開發(fā)過程中進(jìn)行失效模式和影響分析，識(shí)別可能發(fā)生的共因失效(5分);e)就CCF及如何避免對(duì)設(shè)計(jì)者/維護(hù)者進(jìn)行培訓(xùn)(5分);f)防止污染(機(jī)械或流體系統(tǒng))以及電磁干擾(電氣系統(tǒng))觸發(fā)共因失效(25分);g)防止不利環(huán)境條件觸發(fā)共因失效(10分)。對(duì)于以上每種措施，只能得滿分或零分。如果只是部分滿足某種措施，則該措施的得分為零。足夠防止CCF的措施要求最低得分為65分。7.3.7故障考慮和故障排除宜考慮以下的故障判別準(zhǔn)則：a)如果由于一個(gè)故障的結(jié)果而導(dǎo)致更多元件失效，則第一個(gè)故障和隨后發(fā)生的所有故障宜一起視為單一故障；b)由共同原因造成的兩個(gè)或兩個(gè)以上單獨(dú)的故障宜視為單一故障，即通常所說的共因失效；c)由各自原因同時(shí)發(fā)生的兩個(gè)或多個(gè)故障被認(rèn)為是極不可能的，因此無需考慮；d)在技術(shù)上不大可能發(fā)生的某些故障；e)普遍認(rèn)可的、獨(dú)立于所考慮的應(yīng)用的技術(shù)經(jīng)驗(yàn)；f)與應(yīng)用和特定危險(xiǎn)有關(guān)的技術(shù)要求。7.4開發(fā)安全相關(guān)軟件安全軟件包括安全相關(guān)應(yīng)用軟件(SRASW)及安全相關(guān)嵌入式軟件(SRESW)。在安全控制系統(tǒng)設(shè)計(jì)中，通常是進(jìn)行安全相關(guān)應(yīng)用軟件(SRASW)的開發(fā)。對(duì)于安全控制系統(tǒng)中的安全相關(guān)應(yīng)用軟件(SRASW)的開發(fā)，一般要求參照“V”模型。如圖5所示。安全功能破認(rèn)確認(rèn)經(jīng)確認(rèn)的軟件系統(tǒng)設(shè)計(jì)綜合測(cè)試模塊測(cè)試結(jié)果驗(yàn)證編碼圖5安全相關(guān)軟件開發(fā)用簡(jiǎn)化V模型在開發(fā)安全相關(guān)應(yīng)用軟件(SRASW)的過程中，安全設(shè)計(jì)說明可視為安全功能規(guī)范。宜嚴(yán)格參照安全設(shè)計(jì)說明，進(jìn)行系統(tǒng)、模塊設(shè)計(jì)及程序編寫。宜將安全相關(guān)應(yīng)用程序和非安全相關(guān)應(yīng)用程序分開編寫。編寫安全相關(guān)應(yīng)用程序時(shí)，為了避免錯(cuò)誤，需要考慮以下幾個(gè)方面：——宜采用經(jīng)過認(rèn)證的編程軟件；——使用經(jīng)認(rèn)證的編程軟件編寫安全相關(guān)程序時(shí)，宜采用編程軟件中經(jīng)認(rèn)證的安全軟件功能塊，如——采用經(jīng)認(rèn)證的安全軟件功能塊時(shí)，功能塊的配置需滿足PLr;——避免采用任何非安全相關(guān)信號(hào)旁路安全相關(guān)信號(hào)；——代碼宜清晰易懂，便于后期的測(cè)試和無故障修改。安全相關(guān)軟件設(shè)計(jì)完成后，宜安排非本項(xiàng)目開發(fā)人員通過軟件仿真執(zhí)行測(cè)試工作。測(cè)試完成后，需驗(yàn)證安全相關(guān)應(yīng)用軟件(SRASW)滿足安全相關(guān)軟件規(guī)范。7.5驗(yàn)證安全功能的PL對(duì)于每種單獨(dú)的安全功能，有關(guān)的SRP/CS的PL宜與PL,匹配。因此，需要將此PL與PL,進(jìn)行比較。如果某項(xiàng)安全功能實(shí)現(xiàn)的PL小于PL,則需要采用GB/T16855.1—2018的圖3中描述的迭代過程進(jìn)行設(shè)計(jì)改進(jìn)(如使用MTTF。更優(yōu)的其他元件),直到滿足PL≥PLr。7.6形成設(shè)計(jì)文件驗(yàn)證和確認(rèn)行為要求提供詳細(xì)的文件資料。這些文件資料已經(jīng)在開發(fā)過程中形成，根據(jù)所用技術(shù)不同會(huì)有差別。宜充分考慮以下內(nèi)容：a)提出對(duì)安全功能以及執(zhí)行這些安全功能的安全控制系統(tǒng)全部要求的規(guī)范文件、性能指標(biāo)、全部操作模式的列表、全面的功能描述、過程描述；b)適用標(biāo)準(zhǔn)的工作和環(huán)境條件，以及預(yù)定應(yīng)用涉及的強(qiáng)度(額定數(shù)據(jù));c)安全控制系統(tǒng)的設(shè)計(jì)描述(包括所采用機(jī)械、電氣、電子、液壓和氣動(dòng)元件的細(xì)節(jié))、布線圖以及接頭和接口描述、電路圖、裝配圖、元件的技術(shù)數(shù)據(jù)和額定數(shù)據(jù)，適用的數(shù)據(jù)表；d)所有相關(guān)故障的分析，如以FMEA(失效模式和影響分析)形式，并引用涉及的故障列表；e)確定PL的數(shù)據(jù)(量化文件);f)全部軟件文件；g)設(shè)計(jì)和實(shí)施遵循的質(zhì)量保證準(zhǔn)則，如模擬和數(shù)字電路設(shè)計(jì)準(zhǔn)則、編程指南；h)已經(jīng)完成測(cè)試的元件、模塊或安全控制系統(tǒng)的測(cè)試證書。8確認(rèn)8.1確認(rèn)原則完成驗(yàn)證之后，宜對(duì)SRP/CS的設(shè)計(jì)進(jìn)行確認(rèn)，確認(rèn)每個(gè)安全功能的要求均得到滿足，對(duì)不滿足要求的安全功能，則按照?qǐng)D1進(jìn)行迭代設(shè)計(jì)，直至完成所有安全控制系統(tǒng)中所有安全功能的確認(rèn)。確認(rèn)工作宜由獨(dú)立于安全控制系統(tǒng)設(shè)計(jì)工作的人員來完成。確認(rèn)包括分析，以及必要時(shí)按確認(rèn)計(jì)劃進(jìn)行的測(cè)試。分析和測(cè)試之間的平衡取決于使用的技術(shù)。以下對(duì)確認(rèn)程序一些最重要的內(nèi)容進(jìn)行了簡(jiǎn)要的說明。注：確認(rèn)的詳細(xì)要求見GB/T16855.2。宜通過分析對(duì)安全控制系統(tǒng)進(jìn)行評(píng)價(jià)。分析的目的是為了通過審查文件或適當(dāng)時(shí)可采用分析工具，如靜態(tài)和動(dòng)態(tài)軟件分析工具或FMEA工具來確定是否滿足規(guī)定的要求。MTTFp、DC以及CCF可以通過所提供的文件進(jìn)行評(píng)價(jià)。如果僅通過分析進(jìn)行評(píng)價(jià)還不夠，則需要進(jìn)行測(cè)試來證明能夠滿足要求。測(cè)試宜系統(tǒng)規(guī)劃并合理實(shí)施，通常與實(shí)際開發(fā)過程同步，如原型階段、功能模型階段或軟件/代碼階段。測(cè)試所采用的配置宜盡可能接近預(yù)定使用的配置。進(jìn)行測(cè)試的環(huán)境條件宜事先確定。測(cè)試可手動(dòng)完成，也可以自動(dòng)完成。所有分析和測(cè)試宜形成文件并記錄最終結(jié)果(合格或不合格)。如果安全控制系統(tǒng)規(guī)范規(guī)定的要求未全部滿足，此時(shí)需要返回設(shè)計(jì)和實(shí)施過程的適當(dāng)階段。否則，則宜結(jié)束確認(rèn)過程，評(píng)價(jià)是否已經(jīng)對(duì)全部安全功能進(jìn)行分析。如果全部分析過，則按照GB/T16855.1—2018完成安全控制系統(tǒng)的評(píng)估。否則，繼續(xù)對(duì)仍未完成確認(rèn)的安全功能進(jìn)行測(cè)試。(資料性)壓力機(jī)安全控制系統(tǒng)設(shè)計(jì)及驗(yàn)證示例A.1風(fēng)險(xiǎn)評(píng)估使用限制：壓力機(jī)由接受過專業(yè)培訓(xùn)的操作人員，每天16h進(jìn)行持續(xù)生產(chǎn)操作。由專業(yè)的維修人員進(jìn)行日常保養(yǎng)和維修。操作人員僅使用雙手模式進(jìn)行生產(chǎn)，但維修人員根據(jù)具體的問題，會(huì)使用寸動(dòng)模式、連續(xù)模式等其他操作模式。每一小時(shí)需要進(jìn)入到壓機(jī)背后，進(jìn)行取廢料及潤(rùn)滑操作，操作時(shí)間為4min。空間限制：滑塊行程為800mm,合模力為250t,每次循環(huán)時(shí)間大約為8s。操作人員需要手動(dòng)將原料放置在模具上，并按下雙手按鈕啟動(dòng)壓機(jī)。完成沖壓作業(yè)后，操作人員需要手動(dòng)將加工完成的工件取出。A.1.2危險(xiǎn)識(shí)別由于滑塊的上下移動(dòng)產(chǎn)生的模具夾緊點(diǎn)，造成的上肢擠壓危險(xiǎn)。A.1.3風(fēng)險(xiǎn)評(píng)價(jià)由于滑塊的上下移動(dòng)產(chǎn)生對(duì)人員雙手造成的擠壓危險(xiǎn)，最嚴(yán)重時(shí)可能造成操作員手臂截肢甚至是死亡，并且人員在16h內(nèi)會(huì)持續(xù)暴露在該風(fēng)險(xiǎn)之下。因此，在不使用任何防護(hù)措施的情況下，該風(fēng)險(xiǎn)是不可接受的。A.2識(shí)別安全功能需考慮通過安全防護(hù)，如聯(lián)鎖裝置、安全光幕和雙手操縱裝置作為安全功能進(jìn)行風(fēng)險(xiǎn)減小。A.3規(guī)定安全功能特征在危險(xiǎn)區(qū)增加一個(gè)帶有安全聯(lián)鎖的活動(dòng)式防護(hù)裝置，確?；顒?dòng)式防護(hù)裝置打開時(shí)，危險(xiǎn)運(yùn)動(dòng)停止。在上料部位增加安全光幕，確保人員在危險(xiǎn)區(qū)域內(nèi)的時(shí)候，安全光幕被觸發(fā)。增加雙手操縱裝置，確?；瑝K下落時(shí)，操作人員的雙手不在危險(xiǎn)區(qū)域內(nèi)。本示例僅對(duì)聯(lián)鎖裝置的安全功能加以分析。A.4確定所需性能等級(jí)(PLr)根據(jù)圖2,確定S、F、P的值，以確定PLr。a)S——傷害的嚴(yán)重程度?；瑝K的下落會(huì)對(duì)操作人員造成骨折甚至死亡的傷害，取值S2。b)F——暴露于危險(xiǎn)的頻率和時(shí)間。人員累積的暴露時(shí)間為64min(4min/h),超過總運(yùn)行時(shí)間的1/20(48min),取值F2。c)P——規(guī)避危險(xiǎn)或限制傷害的可能性?；瑝K運(yùn)動(dòng)速度較快，慣性較大，因此發(fā)生危險(xiǎn)情況時(shí)操作人員較難以回避，取值P2。根據(jù)圖2,得出實(shí)現(xiàn)該聯(lián)鎖功能的安全控制系統(tǒng)的所需性能等級(jí)PL,=e。安全功能名稱：聯(lián)鎖裝置(控制滑塊運(yùn)動(dòng))。安全功能定義：安全防護(hù)裝置，與活動(dòng)式防護(hù)裝置一同作為人員進(jìn)入危險(xiǎn)區(qū)域的保護(hù)措施，進(jìn)行風(fēng)險(xiǎn)減小。安全功能描述：聯(lián)鎖裝置，通常采用安全門開關(guān)，安裝在安全門上。當(dāng)安全門打開的時(shí)候，觸發(fā)安全門開關(guān)，開關(guān)輸出可靠信號(hào)至安全控制系統(tǒng)，確保壓力機(jī)滑塊停止運(yùn)動(dòng)。安全控制子系統(tǒng)：安全門開關(guān)為輸入子系統(tǒng)，安全繼電器為邏輯子系統(tǒng)，液壓閥為輸出子系統(tǒng)。A.6安全設(shè)計(jì)說明壓力機(jī)的安全設(shè)計(jì)說明示例見表A.1。表A.1安全設(shè)計(jì)說明內(nèi)容示例子系統(tǒng)名稱電氣標(biāo)識(shí)符品牌及型號(hào)數(shù)量安全參數(shù)符合的標(biāo)準(zhǔn)備注輸入安全門開關(guān)本文件不做細(xì)化1Blop=2000000直接斷開見GB/T16855.1—2018的表C.1,位置開關(guān)1Blop=1000000制造商給出Blon邏輯安全繼電器1制造商給出PFH輸出液壓閥1MTTFo=150年見GB/T16855.1—2018的表C.1,液壓元件1MTTFp=150年見GB/T16855.1—2018的表C.1,液壓元件邏輯關(guān)系安全門開關(guān)B1和安全門開關(guān)B2被觸發(fā)，安全繼電器K1斷開液壓閥YV1,液壓閥YV2,并監(jiān)控這兩個(gè)閥的閥芯位置。根據(jù)表3,如需要實(shí)現(xiàn)PL,=e,選擇類別4作為系統(tǒng)構(gòu)架。針對(duì)三個(gè)子系統(tǒng)的構(gòu)架構(gòu)建如下：a)采用兩個(gè)物理上分離的安全開關(guān)B1和安全開關(guān)B2,采用雙通道的方式由安全繼電器K1監(jiān)控，可以檢測(cè)兩個(gè)輸入通道間的短路故障，電氣回路圖示例見圖A.1;b)選擇滿足GB/T16855.1—2018的要求，可以實(shí)現(xiàn)類別4的安全繼電器；c)輸出采用液壓閥YV1和液壓閥YV2切斷液壓回路，閥芯位置信號(hào)反饋至安全繼電器，液壓回路圖見圖A.2。-20口l-20口l9島2à99上--SB1復(fù)位按鈕1閥芯檢測(cè)1主觸點(diǎn)1主觸點(diǎn)1主觸點(diǎn)2主觸點(diǎn)2-K1-NC輔助觸點(diǎn)-K]23-24古AlS21QlQS1203Pwer]In20ul2元日fX293DCOv/-圖A.1電氣回路圖示例圖A.2液壓回路圖示例A.8平均危險(xiǎn)失效間隔時(shí)間(MTTFp)按每年365個(gè)工作日、每天工作16h以及每次安全門打開1htgee=3600,代入GB/T16855.1—2018的公式(C.2),計(jì)算得出nop=5840。兩個(gè)安全門開關(guān)的Blop值分別為2000000和1000000(見表A.1),代入GB/T16855.1—2018的公式(C.1),計(jì)算輸入子系統(tǒng)各個(gè)通道的MTTFp值分別為：——MTTFp.B?=3424年，取最大值2500年；帶直接斷開操作的位置開關(guān)B1的電氣觸點(diǎn)可以進(jìn)行故障排除。根據(jù)GB/T16855.1—2018的公式(D.2),計(jì)算輸入子系統(tǒng)的MTTFp.和MTTFp.o:——MTTFp.i=2130年；——MTTFp.o=MTTFp.wv?=MTTFp.wvg=MTTFp.wv?=150年。A.9診斷覆蓋率(DC)針對(duì)輸入子系統(tǒng)：雙通道結(jié)構(gòu)，且安全繼電器K1對(duì)兩個(gè)安全門開關(guān)狀態(tài)的真實(shí)性監(jiān)控，因此B1和B2的DC值取99%。針對(duì)輸出子系統(tǒng)：液壓閥取DC值99%的依據(jù)是K1對(duì)兩個(gè)液壓閥開關(guān)狀態(tài)的直接監(jiān)控。根據(jù)7.3.4中的公式(2),得出兩個(gè)子系統(tǒng)的DCay都是99%(“高”)。A.10確定PLa)針對(duì)輸入子系統(tǒng)：——類別為4;——MTTFp.i=2130年；——DCavg,?=99%(高)。根據(jù)GB/T16855.1—2018的表K.1,PFHp.i=1.13×10-9。b)針對(duì)輸出子系統(tǒng)：——類別為4;——MTTFp.o=150年；——DCag.o=99%(高)。根據(jù)GB/T16855.1—2018的表K.1,PFHp.o=1.61×10-*。c)針對(duì)邏輯子系統(tǒng)：根據(jù)安全繼電器制造商給出的參數(shù)(見表A.1),PFHp.r=2.31×10-9。d)針對(duì)整個(gè)安全控制系統(tǒng)：PFH,=PFHp?+PFHpt+PFHpo=1.13×10-?+2.31×10-?+1.61×10-8=1.954×10-8根據(jù)表2,得出PL=e。A.11防止共因失效(CCF)的措施本示例采取的防止共因失效的措施包括：——隔離(15);——經(jīng)驗(yàn)證元件(5);——FMEA(5);——過電壓保護(hù)等(15);——環(huán)境條件(25+10)。根據(jù)7.3.6,采取的措施總計(jì)得分為75分，滿足防止CCF的措施要求最低得分為65分的要求。A.12故障考慮和故障排除安全聯(lián)鎖功能的輸入子系統(tǒng)由兩個(gè)獨(dú)立的開關(guān)組成，從物理上確保開關(guān)本身故障不會(huì)導(dǎo)致安全功能失效。安全繼電器分別采用兩個(gè)安全觸點(diǎn)分別控制兩個(gè)液壓閥，避免短路故障導(dǎo)致安全功能失效?？紤]到液壓管路泄漏導(dǎo)致的安全功能失效，宜在液壓回路中采用防爆閥，并定期保養(yǎng)檢查。A.13驗(yàn)證安全功能的PL通過安全設(shè)計(jì)所構(gòu)成的安全控制系統(tǒng)的PL=e,滿足PL≥PLr。(資料性)木工圓鋸機(jī)安全控制系統(tǒng)設(shè)計(jì)及驗(yàn)證示例B.1風(fēng)險(xiǎn)評(píng)估使用限制：該木工機(jī)械由接受過專業(yè)培訓(xùn)的操作人員，每天8h進(jìn)行間歇性的生產(chǎn)操作。由專業(yè)的維修人員進(jìn)行日常保養(yǎng)和維修。操作人員在每個(gè)操作循環(huán)前，需手動(dòng)打開防護(hù)罩，手工控制木材上下料進(jìn)行切割，切割完成后將完成品取走。因此設(shè)備的主要僅有手動(dòng)工作一種操作模式，根據(jù)加工零件的不同，單個(gè)零件加工時(shí)間約0.5min～1min。空間限制：大鋸片直徑φ40mm、大鋸切厚度120mm、機(jī)床外形尺寸850mm×500mm×786mm。電機(jī)功率3kW,主鋸轉(zhuǎn)數(shù)：4000r/min～6000r/min。B.1.2危險(xiǎn)識(shí)別當(dāng)圓鋸機(jī)在非工作狀態(tài)時(shí)，鋸片旋轉(zhuǎn)造成的切割傷害。B.1.3風(fēng)險(xiǎn)評(píng)價(jià)鋸片旋轉(zhuǎn)造成的切割傷害，最嚴(yán)重情況下可能造成人員截肢，因此在不使用任何防護(hù)措施的情況下，該風(fēng)險(xiǎn)是不可接受的。B.2識(shí)別安全功能為了防止人員在非操作時(shí)誤觸及旋轉(zhuǎn)的鋸片，需考慮通過安全防護(hù)，如聯(lián)鎖裝置作為安全功能進(jìn)行風(fēng)險(xiǎn)減小。B.3規(guī)定安全功能特征為防止圓鋸機(jī)處于非工作狀態(tài)時(shí)，鋸片旋轉(zhuǎn)對(duì)人員造成切割傷害。在大鋸片處增加一個(gè)帶有聯(lián)鎖的活動(dòng)式防護(hù)裝置，確?；顒?dòng)式防護(hù)打開時(shí)，鋸片旋轉(zhuǎn)運(yùn)動(dòng)停止并剎車。B.4確定所需性能等級(jí)的要求，得出實(shí)現(xiàn)該聯(lián)鎖功能的安全控制系統(tǒng)所需的性能等級(jí)B.5安全需求說明安全功能名稱：聯(lián)鎖裝置(控制鋸片)安全功能定義：安全防護(hù)裝置，與活動(dòng)式防護(hù)裝置一同作為人員進(jìn)入危險(xiǎn)區(qū)域的安全防護(hù)措施，進(jìn)行風(fēng)險(xiǎn)降低。安全功能描述：聯(lián)鎖裝置，通常采用安全開關(guān)，安裝在活動(dòng)式防護(hù)裝置上。當(dāng)活動(dòng)式防護(hù)裝置打開的時(shí)候，觸發(fā)聯(lián)鎖裝置，開關(guān)輸出可靠信號(hào)至相關(guān)控制系統(tǒng)，確保鋸片停止運(yùn)動(dòng)。安全控制子系統(tǒng)：位置開關(guān)為輸入子系統(tǒng)，接觸器為輸出子系統(tǒng)。GB/T41118—2021B.6安全設(shè)計(jì)說明木工圓鋸機(jī)的全設(shè)計(jì)說明示例見表B.1。表B.1安全設(shè)計(jì)說明內(nèi)容示例子系統(tǒng)名稱電氣標(biāo)識(shí)符品牌及型號(hào)數(shù)量安全參數(shù)符合的標(biāo)準(zhǔn)備注輸入位置開關(guān)本文件不做細(xì)化1B?op=2000000直接斷開參數(shù)由制造商給出輸出接觸器1B?op=2000000參數(shù)由制造商給出B.7指定構(gòu)架/類別根據(jù)表3,如需要實(shí)現(xiàn)PL,=c,可以選擇類別1作為系統(tǒng)構(gòu)架。針對(duì)子系統(tǒng)的構(gòu)架構(gòu)建如下：——采用一個(gè)工作在直接斷開方式下的安全開關(guān)B1;——輸出采用一個(gè)接觸器Q1切斷鋸片電機(jī)供電。電氣控制回路圖示例見圖B.1。該設(shè)計(jì)遵守基本的安全原則，滿足類別B架構(gòu)的要求。采用斷電安全原則作為基本安全原則，控制回路的接地可以被認(rèn)為是一個(gè)經(jīng)驗(yàn)證的安全原則。位置開關(guān)B1是符合GB/T14048.5—2017中附錄K的直接斷開動(dòng)作位置開關(guān)，因此可認(rèn)為是經(jīng)驗(yàn)證的元件。當(dāng)保護(hù)裝置不在安全位置時(shí)，斷開觸點(diǎn)直接以機(jī)械方式切斷電路。接觸器Q1符合GB/T16855.2—2015中表D.4的附加條件，是一個(gè)經(jīng)驗(yàn)證的元件。圖B.1電氣控制回路圖示例B.8平均危險(xiǎn)失效間隔時(shí)間(MTTFp)按每年200個(gè)工作日、每天工作8h以及每次防護(hù)罩打開10min的間隔時(shí)間，即：do=200,ho=8,teyele=600,根據(jù)GB/T16855.1—2018的公式(C.2),計(jì)算得到nop=9600。位置開關(guān)的Blop值為2000000(見表B.1),代入GB/T16855.1—2018的公式(C.1),計(jì)算輸入子系統(tǒng)的MTTFp.B:MTTFp.s?=2083年。帶直接斷開操作的位置開關(guān)B1的電氣觸點(diǎn)可以進(jìn)行故障排除。類似的，輸出子系統(tǒng)的MTTFD.ai=2083年。B.9診斷覆蓋率(DC)的測(cè)試和檢測(cè)措施針對(duì)輸入子系統(tǒng)：B1無故障監(jiān)控功能，因此DCwg=0%針對(duì)輸出子系統(tǒng)，Q1無故障監(jiān)控功能，因此DCag=0%。a)針對(duì)輸入子系統(tǒng)：——類別為1;——DCavg,I=0%(無)。根據(jù)GB/T16855.1—2018的表K.1,PFHp.?=1.14×10-6。b)針對(duì)輸出子系統(tǒng)：——類別為1;根據(jù)GB/T16855.1—2018的表K.1,PFHp.o=1.14×10-6。c)針對(duì)整個(gè)安全控制系統(tǒng)：PFHp=PFHp?+PFHp.o=1.14×10-6+1.14×10-?=2.28×10-6根據(jù)表2,PL=c。由于采用類別1的指定架構(gòu)，此時(shí)無需考慮防止共因失效的措施。B.12故障考慮和故障排除安裝上采用位置開關(guān)進(jìn)行位置監(jiān)控。防護(hù)裝置的穩(wěn)定布置保證了位置開關(guān)的啟動(dòng)。位置開關(guān)的執(zhí)行元件受到保護(hù)，不會(huì)發(fā)生位移。僅使用剛性機(jī)械部件連接(在執(zhí)行器和觸點(diǎn)之間沒有彈簧元件)。通過安全設(shè)計(jì)所構(gòu)成的安全控制系統(tǒng)的PL=c,滿足PL≥PLr。(資料性)碼垛機(jī)安全控制系統(tǒng)設(shè)計(jì)及驗(yàn)證示例C.1風(fēng)險(xiǎn)評(píng)估使用限制：該碼垛機(jī)由接受過專業(yè)培訓(xùn)的操作人員，每天24h進(jìn)行持續(xù)生產(chǎn)操作。由于生產(chǎn)過程中的需求，操作人員需要偶爾進(jìn)入碼垛區(qū)域進(jìn)行調(diào)節(jié)作業(yè)，整理箱子箱型或撿起掉落在地面的紙箱，但人員進(jìn)入時(shí)，需要打開維護(hù)門才能進(jìn)入。正常每8h,需要進(jìn)入危險(xiǎn)區(qū)域2次，每次5min。正常生產(chǎn)時(shí)，人員無需進(jìn)入。由專業(yè)的維修人員進(jìn)行日常保養(yǎng)和維修。但維修人員進(jìn)入危險(xiǎn)區(qū)域前，會(huì)按照碼垛機(jī)廠商的安全說明，對(duì)危險(xiǎn)能源進(jìn)行上鎖掛牌，并針對(duì)存在重力墜落危險(xiǎn)的機(jī)構(gòu)使用安全插銷進(jìn)行機(jī)械方式鎖定。空間限制：碼垛機(jī)在低位產(chǎn)品進(jìn)料的情況下，最高速度為300層/h。C.1.2危險(xiǎn)識(shí)別由于碼垛機(jī)構(gòu)上下移動(dòng)，推板的前后移動(dòng)，以及輸送帶運(yùn)動(dòng)產(chǎn)生的夾緊點(diǎn)和卷入點(diǎn)，造成的人員上肢或身體的擠壓或卷入危險(xiǎn)。C.1.3風(fēng)險(xiǎn)評(píng)價(jià)由于碼垛機(jī)構(gòu)上下移動(dòng)產(chǎn)生對(duì)人員雙手造成的擠壓危險(xiǎn)，最嚴(yán)重時(shí)可能造成操作員死亡，并且人員在每4h就會(huì)進(jìn)入碼垛機(jī)內(nèi)部，暴露在該風(fēng)險(xiǎn)之下，因此在不使用任何防護(hù)措施的情況下，該風(fēng)險(xiǎn)是不可接受的。C.2識(shí)別安全功能考慮通過安全防護(hù)，如固定式防護(hù)裝置、聯(lián)鎖裝置和安全光幕作為安全功能進(jìn)行風(fēng)險(xiǎn)減小。C.3規(guī)定安全功能特征在危險(xiǎn)區(qū)域四周增加固定式防護(hù)，針對(duì)需要物料進(jìn)出的位置，增加帶有屏蔽功能的安全光幕，當(dāng)物料通過且正確觸發(fā)屏蔽邏輯時(shí)，碼垛機(jī)可保持運(yùn)行狀態(tài)，針對(duì)