GBT 12668.502-2013 調(diào)速電氣傳動(dòng)系統(tǒng) 第5-2部分安全要求 功能

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布 Ⅲ 1 2 34特定的安全功能 74.1總則 7 7 9 9 95.3功能安全計(jì)劃 6.1一般要求 6.3故障檢測(cè)行為 20 217使用信息 7.1PDS(SR)安全使用信息及說(shuō)明 8驗(yàn)證和確認(rèn) 23 23 249試驗(yàn)要求 9.1試驗(yàn)計(jì)劃 249.2試驗(yàn)文件 24 24 24 24附錄A(資料性附錄)順序任務(wù)表 261Ⅱ附錄B(資料性附錄)確定PFH的示例 附錄C(資料性附錄)適用的失效率數(shù)據(jù)庫(kù) 38 49一第2部分：一般要求低壓交流變頻電氣傳動(dòng)系統(tǒng)額定值的規(guī)定：—第4部分：一般要求交流電壓1000V以上但不超過(guò)35kV的交流調(diào)速電氣傳動(dòng)系統(tǒng)額定 本部分是GB/T12668的第5-2部分。本部分使用翻譯法等同采用IEC61800-5-2:2007《調(diào)速電氣傳動(dòng)系統(tǒng)第5-2部分：安全要求功—GB/T24339(所有部分)軌道交通通信、信號(hào)和處理系統(tǒng)[IEC62280(所有部分)].—刑除了國(guó)際標(biāo)準(zhǔn)的前言。u1GB/T12668的本部分規(guī)定了從功能安全方面考慮，對(duì)電氣傳動(dòng)系統(tǒng)(安全相關(guān))[PDS(SR)]的設(shè)本部分僅當(dāng)PDS(SR)的功能安全被認(rèn)定和PDS(SR)以高要求或連續(xù)模式(見(jiàn)3.10)操作時(shí)適用。本部分是一個(gè)產(chǎn)品標(biāo)準(zhǔn)，闡述了有關(guān)IEC61508結(jié)構(gòu)體系中PDS(SR)安全相關(guān)考慮，介紹了PDS(SR)做為安全相關(guān)子系統(tǒng)的要求。本部分意在促進(jìn)PDS(SR)的電氣/電子/可編程電子元件(E/E/者等)展示他們?cè)O(shè)備的安全特性。通過(guò)運(yùn)用IEC61508的原理和在其相關(guān)領(lǐng)域中的實(shí)施(例如本部分不說(shuō)明以下要求：—特定應(yīng)用的危險(xiǎn)和風(fēng)險(xiǎn)分析；除接口配置以外的傳動(dòng)設(shè)備；—次生危害(例如生產(chǎn)和制造過(guò)程中的失效);本部分僅適用不大于SIL3的SIL的安全功能的PDS(SR)。圖1給出了本部分中所考慮的PDS(SR)的功能元件。通訊和和控制調(diào)制和GB/T20438.2-2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/GB/T20438.3-2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求GB/T20438.6-2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB/T20438.2和GB/T20438.3的應(yīng)IEC60204-1機(jī)械安全機(jī)械電氣設(shè)備第1部分：通用技術(shù)條件(SafetyofmachineryElectricalcquipmentofmachines-Part1:electrical/electronic/programmableelectronicsafety-reIEC61508-5電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等級(jí)的方法示例(Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsys-tems-Part5:Examplesofmethodsforthedeterminationofsafetyintegritylevels)IEC61800-1調(diào)速電氣傳動(dòng)系統(tǒng)第1部分：一般要求低壓直流調(diào)速電氣傳動(dòng)系統(tǒng)額定值的規(guī)定(AdjustablespeedelectricalpowercationsforlowvoIEC61800-2調(diào)速電氣傳動(dòng)系統(tǒng)第2部分：一般要求低壓交流變頻電氣傳動(dòng)系統(tǒng)額定值的規(guī)定(Adjustablespeedelectricalpowerdrivesystems-ParttionsforlowvoltageadjustaIEC61800-3調(diào)速電氣傳動(dòng)系統(tǒng)第3部分：產(chǎn)品的電磁兼容性標(biāo)準(zhǔn)及其特定的試驗(yàn)方法(Ad-23justablespeedelectricalpowerdrivesystems-Part3:EMCrequirementsandspccifictesIEC62280(所有部分)鐵路應(yīng)用通信，信號(hào)和處理系統(tǒng)(Railwayapplications安全完整性等級(jí)安全要求規(guī)范安全完整性等級(jí)能力運(yùn)行時(shí)間電氣傳動(dòng)系統(tǒng)(安全相關(guān))GB/T12668.502—2013/診斷覆蓋率diagnosticcoverage;DC進(jìn)行自動(dòng)診斷試驗(yàn)而導(dǎo)致的硬件危險(xiǎn)失效概率的降低部分。[GB/T20438.42006,定義3.8.67意在檢測(cè)故障或危險(xiǎn)并且當(dāng)故障或危險(xiǎn)檢測(cè)到時(shí)產(chǎn)生特定輸出信息或動(dòng)作的試驗(yàn)。當(dāng)PDS(SR)內(nèi)部可能引起安全功能損失的故障或失效被檢測(cè)到的時(shí)候，此功能開(kāi)啟，此功能意在維護(hù)裝置的安全狀況，防止裝置出現(xiàn)危險(xiǎn)情況。功能安全functionalsafety與EUC(受控設(shè)備)和EUC控制系統(tǒng)有關(guān)的整體安全的組成部分，它取決于電氣/電子/可編程電子安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施功能的正確行使。[GB/T20438.4-2006,定義3.1.9]危險(xiǎn)hazard潛在的危害源。[iSO/IEC導(dǎo)則51:1999,定義3.5]裝備installation至少包括PDS(SR)和被傳動(dòng)設(shè)備兩者的一臺(tái)或數(shù)臺(tái)設(shè)備。在整個(gè)生命周期中規(guī)定的PDS(SR)的累積運(yùn)行時(shí)間。根據(jù)其要求產(chǎn)生的頻率，安全相關(guān)系統(tǒng)被使用的方式。5電氣傳動(dòng)系統(tǒng)(安全相關(guān))PDS(SR)適用于安全相關(guān)應(yīng)用的調(diào)速電氣傳動(dòng)系統(tǒng)。每小時(shí)危險(xiǎn)隨機(jī)硬件失效的概率?？赡艿慕咏@種狀態(tài)不可能使安全相關(guān)系統(tǒng)處于潛在的危險(xiǎn)或喪失功能狀態(tài)的失效。[GB/T20438.4—2006,定義3.6.8]子系統(tǒng)的平均安全失效率加檢測(cè)到的平均危險(xiǎn)失效率與子系統(tǒng)總平均失效率之比。由一個(gè)PDS(SR)整體或部分實(shí)現(xiàn)，具有特定安全性能的功能，以維持裝備的安全狀態(tài)或防止出現(xiàn)在裝備上的危險(xiǎn)狀態(tài)。安全完整性safetyintegrity注3:改寫(xiě)GB/T20438.4-20一種離散的等級(jí)(四種可能等級(jí)之一),用于規(guī)定分配(整體或部分)給PDS(SR)的安全功能的安全[GB/T20438.4-2006,定義3.6.6][GB/T20438.4-2006,定義3.5.4]674特定的安全功能本章描述了被PDS(SR)供應(yīng)商標(biāo)識(shí)為安全相關(guān)PDS(SR)的功能，本章中所指的安全功能并不是一個(gè)詳盡的列表。在一些情況中，當(dāng)電源斷開(kāi)時(shí)，PDS(SR)外部的其他安全相關(guān)的系統(tǒng)(比如機(jī)械制實(shí)現(xiàn)這些功能要求的技術(shù)措施，取決于SIL能力和要求的危險(xiǎn)硬件失效可能性，如安全要求所指出說(shuō)明。技術(shù)措施在第6章中描述。要安全輸入和/或輸出信號(hào)。接口的完整性應(yīng)被包括在與安全功能結(jié)合在一起的SIL的測(cè)定中。一些安全功能僅執(zhí)行監(jiān)測(cè)任務(wù)，另一些則執(zhí)行安全相關(guān)的控制或其他動(dòng)作。因此必須進(jìn)行以下的違反極限的反應(yīng)(僅關(guān)于監(jiān)測(cè)功能):在安全功能正確的操作期中，檢測(cè)到兩個(gè)反應(yīng)功能都應(yīng)考慮應(yīng)用中可能的安全狀態(tài)。4.2安全功能4.2.2停止功能總則啟動(dòng)停止程序并且維持一個(gè)保持模式達(dá)到靜止?fàn)顟B(tài)的控制要求是特定應(yīng)用。為了達(dá)到停止功能要裝備設(shè)計(jì)者應(yīng)該說(shuō)明停止性能的任何特定要求。下面停止功能的例子常用于實(shí)際中。安全轉(zhuǎn)矩取消(STO)能夠引起轉(zhuǎn)動(dòng)(或運(yùn)動(dòng)，如果是直線電動(dòng)機(jī))的電源不被應(yīng)用到電動(dòng)機(jī)。PDS(SR)將不對(duì)產(chǎn)生轉(zhuǎn)矩安全停止1(SSI)STO功能(見(jiàn));或89GB/T12668.502—2013/IEC61800安全限位(SLP)安全極限增量(SLI) 0安全方向(SDI)SDI功能防止電動(dòng)機(jī)軸向非預(yù)期的方向移動(dòng)。1安全電動(dòng)機(jī)溫度(SMT)SBC功能提供安全輸出信號(hào)以控制外部SCA功能提供一個(gè)安全輸出信號(hào)來(lái)指示電動(dòng)機(jī)軸承的位置是否在規(guī)定的范圍內(nèi)。4安全速度監(jiān)控器(SSM)SSM功能提供一個(gè)安全輸出信號(hào)來(lái)指示電動(dòng)機(jī)速度是否低于規(guī)定的限值。圖2給出了PDS(SR)的開(kāi)發(fā)生命周期，并同本部分的相關(guān)條款相互參照。附錄A以順序任務(wù)表的形式給出這種信息。PDSPDS(SR)的安全要求說(shuō)明要求說(shuō)明功能安全計(jì)劃維護(hù)規(guī)程PDS(SR)的集成要求說(shuō)明階段2,見(jiàn)5.3階段4,見(jiàn)6.5階段5,見(jiàn)第7章階段6,見(jiàn)8.3功能安全應(yīng)在PDS(SR)的整個(gè)開(kāi)發(fā)過(guò)程中產(chǎn)生，并且進(jìn)行必要的更新。該計(jì)劃規(guī)定為了滿足—為了避免安全要求說(shuō)明產(chǎn)生過(guò)程中錯(cuò)誤的方法選擇；—-產(chǎn)品開(kāi)發(fā)和工程管理系統(tǒng)方法的選擇(見(jiàn)GB/T20438.7—2006中B.1—負(fù)責(zé)設(shè)計(jì)與開(kāi)發(fā)的人員；—工程文件方法學(xué)(見(jiàn)GB/T20438.7-2006中B.1.2);結(jié)構(gòu)設(shè)計(jì)技術(shù)的應(yīng)用(見(jiàn)GB/T20438.7-2006中B.3.2);—模擬或其他基于計(jì)算機(jī)設(shè)計(jì)工具的使用； --必須提供的重要的安全相關(guān)信息表； 完成); —全功能性要求說(shuō)明(見(jiàn)5.4.2);和 安全完整性要求說(shuō)明(見(jiàn)5.4.3)—-清晰； g)故障反應(yīng)功能(見(jiàn)4.1和6.3);用于達(dá)到SIL能力時(shí));電磁);c)對(duì)增大的電磁抗擾性的任何要求(見(jiàn)6.2.5)。6.1一般要求6.1.1操作狀態(tài)的改變?cè)赑DS(SR)操作狀態(tài)中，可能導(dǎo)致危險(xiǎn)狀態(tài)(例如意外的啟動(dòng))的改變，應(yīng)僅由操作者慎重地考慮PDS(SR)應(yīng)依據(jù)IEC61800-5-1,如有必要，也依據(jù)IEC61800系列的其他適用標(biāo)PDS(SR)應(yīng)根據(jù)它的安全要求說(shuō)明(見(jiàn)5.4)去實(shí)現(xiàn)。6.1.4安全完整性和故障檢測(cè)PDS(SR)應(yīng)滿足下面a)～c):a)硬件安全完整性要求包括：-—硬件安全完整性的結(jié)構(gòu)約束(見(jiàn)6.2.2);和——每小時(shí)危險(xiǎn)隨機(jī)硬件失效概率要求(見(jiàn)6.2.1);b)系統(tǒng)安全完整性要求包括：—避免失效的要求(見(jiàn))和系統(tǒng)故障控制的要求(見(jiàn));或c)故障檢測(cè)行為的要求(見(jiàn)6.3)。失效)。6.1.6使用的SIL如果軟件用于實(shí)現(xiàn)具有特定SIL或SIL能力(見(jiàn)5.4.3)的PDS(SR)安全功能，那么這個(gè)軟件應(yīng)依據(jù)為特定SIL制定的IEC61508-3定義的要求來(lái)實(shí)現(xiàn)，6.1.8要求的重新檢查安全相關(guān)硬件和軟件的要求應(yīng)被重新檢查以保證他們被充分說(shuō)明。實(shí)際上，應(yīng)特別考慮：b)安全完整性要求；c)設(shè)備和操作者界面。6.1.9設(shè)計(jì)文件除了設(shè)計(jì)和實(shí)行的文件外，PDS(SR)的設(shè)計(jì)文件應(yīng)表明用于實(shí)現(xiàn)SIL.聲明的那些技巧和措施(例6.2PDS(SR)的設(shè)計(jì)要求一般要求.1每個(gè)安全功能的PFH由PDS(SR)執(zhí)行的每個(gè)安全功能(或同時(shí)使用的安全功能組)目標(biāo)失效測(cè)量的PFH,按.2和附錄B估計(jì)，應(yīng)等于或少于在安全完整性要求說(shuō)明中規(guī)定的目標(biāo)失效測(cè)量(見(jiàn)表2)。由SIL定義的PFH值涉及一個(gè)完整的安全功能。如果一個(gè)PDS(SR)執(zhí)行相關(guān)的安全控制系統(tǒng)內(nèi)安全功能的一部分，則傳動(dòng)的PFH應(yīng)明顯低于由SIL.定義的值。表2安全完整性等級(jí)：PDS(SR)安全功能目標(biāo)失效測(cè)量321注：PFH有時(shí)指危險(xiǎn)失效頻率或危險(xiǎn)失效率，每小時(shí)危險(xiǎn)失效為一單位。PDS(SR)的每個(gè)安全功能(或同時(shí)使用的安全功能)的PFH應(yīng)單獨(dú)估算。隨機(jī)硬件失效應(yīng)使用GB/T20438.22006中附錄A估算。由PDS(SR)執(zhí)行的每個(gè)安全功能(或同時(shí)使用的安全功能組)的PFH,應(yīng)考慮以下方面：a)考慮每個(gè)安全功能有關(guān)的PDS(SR)的結(jié)構(gòu)；b)在任何模式中PDS(SR)每個(gè)子系統(tǒng)的可預(yù)計(jì)失效率，這種模式能夠?qū)е翽DS(SR)的危險(xiǎn)失c)在任何模式中PDS(SR)每個(gè)子系統(tǒng)中的可預(yù)計(jì)失效率，這種模式能夠?qū)е翽DS(SR)的危險(xiǎn)d)PDS(SR)對(duì)共同原因失效的敏感性(見(jiàn)GB/T20438.62006中附錄D);e)診斷試驗(yàn)(依據(jù)GB/T20438.2-2006中附錄A和附錄C)的診斷覆蓋率(DC)和相關(guān)的診斷試驗(yàn)間隔f)檢驗(yàn)試驗(yàn)的間隔性用于保證揭示不被診斷試驗(yàn)檢測(cè)的危險(xiǎn)故障；g)修復(fù)檢測(cè)到的失效的時(shí)間；h)任何數(shù)據(jù)的通訊過(guò)程的危險(xiǎn)失效概率(見(jiàn)6.4)。任何使用的失效率數(shù)據(jù)應(yīng)至少有60%的可信度等級(jí)。.4診斷試驗(yàn)間隔PDS(SR)的任何子系統(tǒng)的診斷試驗(yàn)間隔應(yīng)能使PDS(SR)滿足PFH的要求(見(jiàn).1)。測(cè)出這個(gè)故障。診斷和故障反應(yīng)功能應(yīng)在給定的最大故障反應(yīng)時(shí)間(見(jiàn)5.4.2)內(nèi)執(zhí)行。6.2.2結(jié)構(gòu)約束SIL的極限在硬件安全完整性環(huán)境中，最高安全完整性等級(jí)可稱(chēng)為由硬件故障裕度和執(zhí)行安全功能的PDS用于執(zhí)行安全功能和PDS(SR)的每個(gè)部分的每個(gè)子系統(tǒng)都表3或表4之一應(yīng)用于任何特定子系統(tǒng)。這些要求是：.1類(lèi)型A為是類(lèi)型B.012如何估計(jì)安全失效分?jǐn)?shù)的細(xì)則見(jiàn)6.2.3.本部分僅適用于具有SIL.但不大于SIL3的安全功能。對(duì)于SIL4安全功012如何估計(jì)安全失效分?jǐn)?shù)的細(xì)則見(jiàn)6.2.3。本部分僅適用于具有SIL但不大于SIL3的安全功能。對(duì)于SIL4安全功能，宜采用IEC61508的要求。d)驗(yàn)證和確認(rèn) d)在軟件中的潛在設(shè)計(jì)故障(見(jiàn)GB/T了應(yīng)用外。危險(xiǎn)狀態(tài)的引入驗(yàn)證給出的任何附加緩解措施(見(jiàn)GB/T具有硬件故障裕度性大于零的任何子系統(tǒng)的危險(xiǎn)故障檢測(cè)(由診斷試驗(yàn)或由任何其他方式)應(yīng)修復(fù)不是在危險(xiǎn)隨機(jī)硬件失效概率計(jì)算所假定的平均恢復(fù)時(shí)間MTTR內(nèi)結(jié)束，那么應(yīng)啟動(dòng)故試驗(yàn)或由任何其他方式)應(yīng)啟動(dòng)故障反應(yīng)功能。6.4數(shù)據(jù)通訊附加要求為保證通訊過(guò)程要求的失效措施的必要測(cè)量，應(yīng)依據(jù)GB/T20438.2和IEC61508-3的要求來(lái)執(zhí)行完成。這允許兩種可能的方法：下，為保證通訊過(guò)程的失效性能的必要測(cè)量，應(yīng)在與通訊通道接口的PD當(dāng)數(shù)據(jù)通訊用于安全相關(guān)數(shù)據(jù)與PDS(SR)外的子系統(tǒng)交換時(shí)，上述要求適用于PDS(SR)及相關(guān)a)白色通道SR子系統(tǒng)b)黑色通道SR:安全相關(guān)6.5PDS(SR)的集成和試驗(yàn)要求PDS(SR)應(yīng)依據(jù)其規(guī)定的設(shè)計(jì)進(jìn)行集成。因?yàn)樗凶酉到y(tǒng)和PDS(SR)應(yīng)依據(jù)給定的集成試驗(yàn)進(jìn)行試驗(yàn)。這些試驗(yàn)按驗(yàn)證計(jì)劃上的規(guī)定，并且應(yīng)表明所有模塊正確果操作與說(shuō)明中給出的預(yù)期操作進(jìn)行比較。(見(jiàn)第9章)6.5.5試驗(yàn)文件一故障反應(yīng)功能--每個(gè)安全相關(guān)功能以及相關(guān)故障反應(yīng)功能的響應(yīng)時(shí)間；—安全功能計(jì)劃被激活或禁止的狀態(tài)(例如 c)將被使用的PDS(SR)的環(huán)境和操作條件(包括電磁性)的定義(亦見(jiàn)IEC61800-1或d)PDS(SR)的任何約束的明示·故障診斷及維護(hù)的規(guī)程； 20438.22006中表20438.22006中表8.4文件9.2試驗(yàn)文件b)影響分析的結(jié)果；GB/T12668.502—2013/IEC61800-5-2:2007(資料性附錄)順序任務(wù)表依據(jù)IEC61508中描述的生命周期，以下設(shè)計(jì)步驟適用于PDS(SR),表A.1給出了必要開(kāi)發(fā)階段的順序以及所參照的本部分或IEC61508中的相應(yīng)條款。表A.1順序任務(wù)表1GB/T20438.12006中第5章；GB/T20438.2-2006中7.3,7.7,7.8、7.9:GB/T20438.3—2006中6、7.3、.7.7、72見(jiàn)5.4:GB/T20438.1-2006中7.6;GB/T20438.2-2006中7.2、表B.1,B.6;GB/T20438.2-2006中7,4.4-6,附錄A;GB/T20438.3-2006中7.2.表A.1.B.7;GB/T20438.3-2006中7.4.2/4.表A.3,B.1;GB/T20438.7—2006中表C.1;IEC61508-5中示例；3a)PDS(SR)安全性要求規(guī)范的復(fù)查；a)見(jiàn)8.2;b)GB/T20438.2—2006和GB/T20438.3-200用戶與程序界面；●安全相關(guān)的信號(hào)路線；●供電電源；●獨(dú)立通道隔離以達(dá)到故障裕度；GB/T20438.2-2006中7.4、附最A(yù).表BGB/T20438.6—2006中示例、附GB/T12668.502—2013/I4●有安全相關(guān)軟件提供的功能描述；b)GB/T20438.22006中(h);GB/T20438.32006中.0,7,4.2/3.表A.2、表B.7、表B.9;GB/T20438.7-2006中表C.1c)GB/T20438.12006中表2;GB/T20438.2—2006中7.4.3,表3,A.1,附錄C;GB/T20438.3—2006中表B.4(FMEA);示例見(jiàn)GB/T20438.6—200與硬件的相互作用；故障檢查可能性和故障反饋；安全性相關(guān)數(shù)據(jù)的控制和存儲(chǔ)；版本程序；5a)系統(tǒng)設(shè)計(jì)的復(fù)查；a)見(jiàn)8.2:b)GB/T20438.2-2006和GB/T20438.2—2006a)相關(guān)PDS(SR)安全性驗(yàn)證的詳細(xì)安排；a)見(jiàn)8.3;b)GB/T20438.2-2006中7.3,表B.5和GB/T2047a)見(jiàn)8.2;b)GB/T20438.2-2006和GB/T20438.3—2008b)軟件設(shè)計(jì)；PDS(SR)類(lèi)型；功能框圖；可靠性模型；模型(裝置列表)數(shù)據(jù)基礎(chǔ)；PFH計(jì)算；運(yùn)行時(shí)間；(如果相關(guān))a)GB/T20438.2-2006中7.4,附錄A,表B.2.B.3,B.6;b)GB/T20438.32006中7.4.5,7.4.6,表A.4;c)GB/T20438.1-2006中表2;GB/T20438.2-2006中7.4.3,表3,A.1.附錄C;GB/T20438.3—2006中表B.4(FMEA);示例見(jiàn)GB/T20438.6-200GB/T12668.502—2013/IEC61800-5-2:20079a)見(jiàn)8.2c)GB/T20438.22006中7.9;GB/T20438.3-2006中.GB/T20438.2-2006中7.5,7.9.表B.3.B.6;GB/T20438.2—2006中(f),,,7.4.7.安裝，調(diào)試和操作(用戶文件)用戶文件增加對(duì)PDS(SR)的安裝、試運(yùn)行、操作和維護(hù)的說(shuō)明GB/T20438.2—2006中7.a)見(jiàn)8.2;b)GB/T20438.2-2006和GB/T20438.3200a)為PDS(SR)確認(rèn)提供所有所需信息；b)全套軟件和合適的文件；c)依據(jù)確認(rèn)計(jì)劃確認(rèn)試驗(yàn)和步驟；a)見(jiàn)8.3;c)GB/T20438.2-2006中7.7,表B.5,B.6;GB/T20438.3—2006中,7.7,7.a)修改請(qǐng)求和分析；b)PDS(SR)所有被修改部分的合適文性預(yù)測(cè)更新：b)GB/T20438.1—2006中7.16;GB/T20438.2—2006中,7.8;示例見(jiàn)GB/T20438.1-2006中圖9.D)GB/T20438.3-2006中.,.8.2,(資料性附錄)確定PFH的示例本章以帶有安全轉(zhuǎn)矩取消(STO)安全功能的PDS為例，描述PFH值的確定，通過(guò)詳細(xì)給出PDSB.2.1總則本章所述的PDS(SR)包括安全功能STO,它是由兩個(gè)冗余數(shù)字輸入接口觸發(fā)，并通過(guò)一個(gè)數(shù)字輸出接口給出單個(gè)反饋信號(hào)(見(jiàn)圖B.1)。通訊和輸入/輸出——連續(xù)運(yùn)行模式在PDS(SR)內(nèi)，利用幾個(gè)安全功能專(zhuān)用組件使安全功能STO與PDS(SR)的標(biāo)準(zhǔn)功能一起執(zhí)行。子系統(tǒng)PS/VM(見(jiàn)圖B.2)。本例PDS(SR)安全功能(STO)的PFH值計(jì)算如下：B.2.2子系統(tǒng)A/BB型(復(fù)雜的硬件);硬件故障裕度1(兩通道執(zhí)行),須至少為60%, 須至少為90%。在PDS(SR)內(nèi)，子系統(tǒng)A/B是安全功能STO的一部分。由于硬件故障裕度為1,子圖B.3子系統(tǒng)A/B的功能模塊P5供電電壓5V;PI-A(B)脈沖抑制通道A(B);DIAG-A(B)——診斷信號(hào)通道A(B);RC-阻容濾波器；DRV——輸出驅(qū)動(dòng)器；功率模塊內(nèi)的組件失效不會(huì)引起安全功能的丟失，因而功率模塊沒(méi)有必要包含任何與確定PFH值有關(guān)的子系統(tǒng)。B.功能模塊分析對(duì)于每個(gè)功能模塊，必須確定哪種失效是屬于危險(xiǎn)失效。其結(jié)果意味著功能模塊的組件進(jìn)行下面的FMEA(失效模式效應(yīng)分析)。B.組件的FMEA功能模塊電路組件的FMEA決定哪些組件與安全功能有關(guān)，然后利用B.功能模塊分析中失效模式和危險(xiǎn)失效模式這兩部分沒(méi)有可靠性數(shù)據(jù)，則單個(gè)危險(xiǎn)失效模式將導(dǎo)致所有組件失效。對(duì)于復(fù)雜的組件，GB/T20438.62006中的附錄C假定安全失效模式和危險(xiǎn)失效模式各占50%。除此之外，F(xiàn)MEA定義了由有效診斷功能檢測(cè)的每個(gè)組件的危險(xiǎn)失效率。對(duì)于復(fù)雜組件，必須使用IEC61508-2中表定義被檢測(cè)出危險(xiǎn)失效的那一部分。這個(gè)比例定義了組件的失效率λ(可檢測(cè)到失效率以及檢測(cè)不到危險(xiǎn)失效率的總和。在多組件的復(fù)雜硬件電路中，在組件基礎(chǔ)上對(duì)一組件進(jìn)行FMEA并不總是真實(shí)的。所以，依據(jù)50%。利用GB/T20438.22006中的表可確定被檢測(cè)到失效的那一部分。印制線路板失效中安全故障所占比例為50%(見(jiàn)注)。方法(GB/T20438.2-2006)表A.4通過(guò)軟件(浸步位)自檢(一個(gè)通道)表A.12)通過(guò)RAM試驗(yàn)實(shí)現(xiàn)模塊A:λA(總失效率)450FITλADpDCx×λADλApe(1-DCA)×λAD(1-0.9)×225λns(安全失效比率比例)0.5×70FITλen(危險(xiǎn)失效比例)0.5×70FIT35FITλaroDCg×λap0.9×35FITλspe(1-DC?)×λap(1-0.9)×35FITSFFab=[(λAs+λms)+(DCA×λp)+(DC?×λap)]/=[(225+35)+(0.9×225)+(0.9×35)]FIT/[(225+35)+(225+3B.3.1.4共同原因失效因數(shù)β子系統(tǒng)A/B的可靠性模型被當(dāng)做Markov模型來(lái)執(zhí)行，其狀態(tài)圖見(jiàn)圖B.“D”S模塊A失效)“D”在狀態(tài)S?中，功能模塊A已經(jīng)出現(xiàn)危險(xiǎn)失效。依據(jù)診斷試驗(yàn)的操作，可能會(huì)有以下3種狀態(tài)：如果在診斷試驗(yàn)檢測(cè)到功能模塊A失效之前，功能模塊B出現(xiàn)失效，則接著進(jìn)入狀態(tài)S,。在狀態(tài)S.,功能模塊A已經(jīng)出現(xiàn)檢測(cè)不到的危險(xiǎn)失效。如果模塊B出現(xiàn)危險(xiǎn)失效，則接著進(jìn)入狀態(tài)Sg。狀態(tài)S,代表安全功能失效以及試驗(yàn)不再起作用的危險(xiǎn)狀態(tài)。對(duì)于PDS(SR)假定的連續(xù)試驗(yàn)?zāi)８郊拥亩x：-rta=1/8h,1/24h,1/168h,…(診斷試驗(yàn)率);rn=1/8h(修復(fù)率);Tw=10年或20年(運(yùn)行時(shí)間).為了確定PFH值，必須計(jì)算Markov模型的每個(gè)狀態(tài)[S.]以時(shí)間為變量的概率級(jí)數(shù)[p,(t)].除了狀態(tài)S,外所有狀態(tài)的概率初值為0,狀態(tài)S,的概率初值為1,一直計(jì)算到運(yùn)行時(shí)間Tu。表B.2子系統(tǒng)A/B的PFH值計(jì)算結(jié)果(年)注：黑體數(shù)值為依據(jù)上一行給出的修正值。表B.2表明試驗(yàn)率影響的結(jié)果，持續(xù)操作時(shí)間和共同原因失效因數(shù)對(duì)PFH值的影響。通過(guò)參數(shù)變化給出了每個(gè)參數(shù)對(duì)PFH值的影響。B.3.2子系統(tǒng)“PS/VM”B.3.2.1功能模塊的劃分對(duì)于安全功能STO,子系統(tǒng)PS/VM內(nèi)含有一個(gè)帶有專(zhuān)用的監(jiān)控器的通道。圖B.5表明子系統(tǒng)被進(jìn)一步分為兩個(gè)功能模塊，一個(gè)為內(nèi)部單獨(dú)電源(PS),一個(gè)為電壓監(jiān)控器電路(VM)。I印制線路板中安全失效所占失效比例為50%(見(jiàn)注)。診斷覆蓋率可依據(jù)GB/T20438.2—2006中附錄A的表進(jìn)行估方法(IEC61508-2)高模塊PS:λs(總失效率)250FITλpss(安全失效比例)0.5×250FITλpspoDCps×λsD0.99×125FIT模塊VM:λvM(總失效率)250FITλvyp(危險(xiǎn)失效比例)0.5×250FIT125FITNilis-Bamn(AM2d“D”圖B.6子系統(tǒng)PS/VM的可靠性模型(Markov)rRcp=1/8h(修復(fù)率);(年)注：黑體字值為依據(jù)上一行給出的修正值。PFHsoPs(sw;(Tw=10年)=(6.84×10-10/h+4.39×103/h)=5.074×103/h;PFHsro,posso(Tx=20年)=(7.38×100/h+5.03×10-/h)=5.768×10-3/h。 munication(www.utc-fr.西門(mén)子標(biāo)準(zhǔn)SN29500.組件失效率，(1～14部分);可獲得于SicmensAG,CTSRSI.Otto-Hahn-Ring6.D-81739,M電氣設(shè)備可靠性預(yù)測(cè)過(guò)程，TeleordiaSR-332,Issue01,5月(tclecom-info,telcordiaEPRD-電氣零件可靠性數(shù)據(jù)(RACSTD-6100),可靠性分析中心，201MillStrcet,Rome,NY13440(rac.alionscicnce,com)?！狽NPRD-95-非電子零件可靠性數(shù)據(jù)(RAC-STD-6100),可靠性分析中心，201MRome,NY13440(rac.alionscienc-AT&.T可靠性手冊(cè)-Klinger,Dav NJ08855-1331,U.S.A.,電話：+1800678IEEE(美國(guó)和加拿大)或美國(guó)和加拿大之外),傳真：電-IRPHITALTEL可靠性預(yù)測(cè)手冊(cè)-是意大利DirezioneQualita,Ita PRISM(RAC/EPRD)。該軟件可通過(guò)以下地址獲得，或包含在幾個(gè)商業(yè)化的可靠性IEC60300-3-2可靠性管理第3-2部分：應(yīng)用導(dǎo)則現(xiàn)場(chǎng)收集可信性數(shù)據(jù)IEC60300-3-5可靠性管理第3-5部分：應(yīng)用導(dǎo)則可靠性試驗(yàn)條件和統(tǒng)計(jì)試驗(yàn)原則IEC61709電子元器件可靠性失效率的基準(zhǔn)條件和應(yīng)力模型轉(zhuǎn)換D.1總則D.3故障模型表D.1導(dǎo)體/電纜比如通過(guò)電纜管道或鎧裝，進(jìn)行永1)如果導(dǎo)體和外殼都滿足相應(yīng)要求(見(jiàn)IEC60204-1)電氣外殼內(nèi)導(dǎo)體間的短路，見(jiàn)備注1)表D.2印刷線路板/部件61800-5-1的要求。線路都由一個(gè)SELV/PELV供電，污染等級(jí)2/安裝類(lèi)別Ⅱ采用3)安裝板安裝在能夠防止導(dǎo)至少達(dá)到IP54的外殼，印刷面被依照備注1)或2)相鄰端子間1)使用的端子和連接點(diǎn)符合IEC61800-5-1的要求。注2)也適用1)在多股線上使用端套或其他合1992安裝類(lèi)別Ⅲ.少為IP54(見(jiàn)EN60529)的外殼并且依照IEC60664-3組裝板的印刷面被涂上抗老化漆或保護(hù)層井能致覆蓋所有導(dǎo)體路線3)電纜芯被看作是多針連接器的當(dāng)線圈失電，所有觸點(diǎn)仍然保持在得電位置(例如由于機(jī)械故豬)當(dāng)電源通電，所有觸點(diǎn)仍然保持在開(kāi)路)1)爬電距離和電氣間隙的最小值符合IEC60664-1:1992污染等級(jí)2/過(guò)電壓類(lèi)別Ⅲ.圈端子間短路3)使用強(qiáng)制性驅(qū)動(dòng)(或機(jī)械鏈接)的觸點(diǎn)間短路可被排除1)應(yīng)滿足IEC61558中相關(guān)部分的2)在不同的繞組間使用雙層或加依據(jù)IEC61558-1中第18章試驗(yàn)。用試驗(yàn)電壓，需要采取適當(dāng)?shù)拇胧┍苊饩€圈和一在繞組導(dǎo)體絕緣和高溫級(jí)別內(nèi)—向布線軸向安裝0.5LN<L<Ls+容許偏差他范圍表D.8電阻器施，以防止一旦電阻器破損，導(dǎo)線iMELF或μMELF范圍表D.9電阻網(wǎng)絡(luò)1)依據(jù)結(jié)構(gòu)的類(lèi)型，可以