GB/T 34136-2017
基本信息
标准号: GB/T 34136-2017
中文名称:机械电气安全 GB 28526和GB/T 16855.1用于机械安全相关控制系统设计的应用指南
标准类别:国家标准(GB)
英文名称:Electrical safety of machinery—Guidance on the application of GB 28526 and GB/T 16855.1 in the design of safety-related control systems for machinery
标准状态:现行
发布日期:2017-07-31
实施日期:2018-02-01
下载格式:pdf zip
相关标签: 机械 电气 安全 用于 相关 控制系统 设计 应用 指南
标准分类号
标准ICS号: 电气工程>>29.020电气工程综合
中标分类号:机械>>机械综合>>J07电子计算机应用
关联标准
采标情况:IEC/TR 62061-1:2010 IDT
出版信息
出版社:中国标准出版社
页数:16 页
标准价格:31.0
出版日期:2017-08-01
相关单位信息
起草人:薛瑞娟、黄祖广、赵钦志、尹震宇、胡天亮、蒋峥、黄麟
起草单位:国家机床质量监督检验中心
归口单位:全国工业机械电气系统标准化技术委员会(SAC/TC 231)
提出单位:中国机械工业联合会
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:全国工业机械电气系统标准化技术委员会(SAC/TC 231)
标准简介
本标准规定了GB 28526和GB/T 16855.1用于机械安全相关控制系统设计的应用指南。
标准图片预览
标准内容
ICS_29.020
中华人民共和国国家标准
GB/T34136—2017/IEC/TR62061-1:2010机械电气安全GB28526和
GB/T16855.1用于机械安全
相关控制系统设计的应用指南
Electrical safety of machinery-Guidance on the application of GB 28526 andGB/T 16855.1 in the design of safety-related control systems for machinery(IEC/TR62061-1:2010,GuidanceontheapplicationofISO13849-1andIEC 62061inthedesignof safety-related control systems for machinery,IDT)2017-07-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-02-01实施
本标准按照GB/T1.1一2009给出的规则起草。GB/T34136—2017/IEC/TR62061-1:2010本标准使用翻译法等同采用IEC/TR62061-1:2010《ISO13849-1和IEC62061中用于机械的安全相关控制系统设计的应用指南》(英文版)。本标准做了下列编辑性修改:
一为了与其他相应的标准名称相协调,标准名称改为《机械电气安全GB28526和GB/T16855.1用于机械安全相关控制系统设计的应用指南》。本标准由中国机械工业联合会提出。本标准由全国工业机械电气系统标准化技术委员会(SAC/TC231)归口。本标准负责起草单位:国家机床质量监督检验中心。本标准参加起草单位:中国科学院沈阳计算技术研究所有限公司、山东大学。本标准主要起草人:薛瑞娟、黄祖广、赵钦志,尹震宇、胡天亮、蒋、黄麟。I
Hii KAoNhi KAca
HiiKAoNhiKAca
1范围
GB/T34136—2017/IEC/TR62061-1:2010机械电气安全GB28526和
GB/T16855.1用于机械安全
相关控制系统设计的应用指南
本标准规定了GB28526和GB/T16855.1用于机械安全相关控制系统设计的应用指南。2概述
2.1GB28526和GB/T16855.1均规定了机械安全相关控制系统设计和实施的相关要求。这两项标准规定的方法虽然不同,但正确使用时,均可降低风险至相应等级。2.2这两项标准将所执行安全功能的安全相关控制系统,根据每小时的危险失效概率进行分级。GB/T16855.1分为5个性能等级(PL):a、b、C、d和e;而GB28526则分为3个安全完整性等级(SIL):1、2和3。
2.3产品标准(C类)技术委员会规定的安全相关控制系统的安全要求,建议这些技术委员会按照PL和SIL所要求的置信度等级进行分类。2.4机械设计人员可按照具体的应用特点选用GB28526或GB/T16855.1标准。2.5选择和使用哪一项标准需要考虑以下因素确定,例如:在机械安全相关控制系统设计中,以往的知识和经验是基于GB/T16855.1一2008描述的类别概念,则可能意味着使用GB/T16855.1一2008更合适;一基于介质不是电气技术的安全相关控制系统,则使用GB/T16855.1更合适;一用户要求以术语SIL证明机械安全相关控制系统的安全完整性等级时,则使用GB28526更合适:
机械安全相关控制系统用于例如过程工业领域时,当其他安全相关系统(例如符合GB/T21109的安全仪表系统)以SIL表征,则使用GB28526更合适。3标准对比
3.1GB/T16855.1和GB28526的技术要求对比如下:一术语:
一风险评估和性能分配:
一安全要求规范;
一系统完整性要求;
一诊断功能;
软件安全要求。
3.2此外,这两项标准均给出了用于评估的每小时危险失效概率(PFHp)和平均失效间隔时间(MTTF.)的简化数学公式。
HTi KAoNi KAca
GB/T34136—2017/IEC/TR62061-1:20103.3标准对比结论如下:
通过集成按照GB28526或GB/T16855.1标准要求设计的非复杂的安全相关电气控制系统(SRECS)的子系统或控制系统安全相关部件(SRP/CS),使用这两项标准中的任一项设计的安全相关控制系统均能达到可接受的功能安全等级;一一通过集成按照GB/T20438设计的电气/电子/可编程电子设备的子系统,这两项标准也可用于为复杂的SRECS和SRP/CS提供设计的解决方法;一目前机械行业使用这两项标准是有意义的,经验表明使用者将受益。一段合理时期的实际应用反馈,对于推动GB28526和GB/T16855.1这两项标准内容的合并是必需的;一由于细节上存在着差异,及某些概念(例如功能安全管理)需要进一步工作以建立各自设计方法和一些技术要求之间的对应关系。4风险评估和所需性能分配
4.1对具体安全功能分配SIL和/或PL的方法进行比较。每个标准的附录A中各自提供的方法之间有很好的对应等级。
4.2无论使用哪种方法,注意确保对风险参数进行适当的判断,以确定能够适用于具体安全功能的SIL和/或PLr。这种判断最好让相关人员(如设计、维护和操作人员)共同参与,以确保正确理解机械可能出现的危险。
4.3有关风险评估过程和性能目标分配的更多信息可见GB/T15706和GB/T20438.5。5安全要求规范
5.1GB/T16855.1和GB28526各自的方法在第一阶段均要求安全功能由安全相关控制系统实现。5.2对控制电路执行的每一项安全功能应进行评估,例如使用GB/T16855.1附录A或GB28526的附录A。宜确定每台机械的具体安全功能提供怎样的风险降低水平,依次确定执行该安全功能的控制电路所要求置信度等级。
5.3PL和/或SIL给定的置信度等级与具体的安全功能有关。5.4以下显示的与安全功能相关信息宜由产品标准(C类)提供:由控制电路要执行的安全功能:安全功能的名称;
功能的描述;
—按GB/T16855.1要求的性能等级:PLa~e;或/和一按GB28526要求的安全完整性等级:SIL1~36性能目标分配:PL与SIL比较此内容来自唯久标准下载网
表1给出了基于每小时平均危险失效概率的PL和SIL之间的关系。然而对于这些概率自标,两项标准还规定了其他要求(如系统安全完整性等),同样也适用于安全相关控制系统。这些要求的严酷等级与各自的PL和SIL有关。
iiKAoNniKAca
GB/T34136—2017/IEC/TR62061-1:2010表1基于每小时平均危险失效概率的PL和SIL的关系性能等级(PL)
系统设计
每小时平均危险失效概率(1/h)10-5~<10-4
3×10-6~<10-5
10-~<3×10-5
10-7~<10-
10-~<10-7
使用GB28526和GB/T16855.1进行系统设计的一般要求当设计一个SRECS/SRP/CS时,应考虑下列方面:安全完整性等级(SIL)
无特殊安全要求
当在各自限定范围内使用时,两标准的任一个都可用于设计具有合适功能安全的安全相关控制系统,用SIL或PL表示。
按照GB/T16855.1设计具有相关PL的非复杂的安全相关部件可以作为子系统集成到按照GB28526设计的安全相关电气控制系统中。任何按照GB/T16855.1设计相关PL的复杂安全相关部件都可以集成到按照GB/T16855.1设计的控制系统的安全相关部件。任何按照GB28526设计实现具有相关SIL的非复杂子系统都可以作为安全相关部件集成到按照GB/T16855.1设计的SRP/CS组合中。任何按照GB/T20438设计具有相关SIL的复杂子系统都可以作为安全相关部件集成到按照GB/T16855.1设计的SRP/CS组合中,或者作为子系统集成到按照GB28526设计的SRECS中。
7.2PFH,和MTTF。的估计以及故障排除的使用7.2.1PFH和MTTF.
7.2.1.1GB/T16855.1中的MTTFa值与不带诊断的单通道SRP/CS相关时,只在这种情况下为GB28526中PFHp的倒数。
7.2.1.2MTTFa是不考虑任何给定因素(如诊断或架构)的部件和/或单通道的参数,而PFHD是考虑了由设计结构决定的诊断和架构因素的子系统的参数。7.2.1.3GB/T16855.1的附录K给出了以类别和诊断覆盖率分类的不同架构SRP/CS中MTTFa和PFHD的关系。
7.2.1.4按照GB/T16855.1串联组合的SRP/CS的PFHp的估计,可以采用GB28526中子系统使用的相似方法,以累加各SRP/CS的PFHp值(例如源于GB/T16855.1的附录K)的方法计算。7.2.2故障排除的使用
7.2.2.1两项标准都充许故障排除的使用,见GB28526的6.7.7和GB/T16855.1的7.3。GB28526不允许SRECS在无硬件故障容错(在无硬件故障容错的情况下要求达到SIL3)的情况下,使用故障排除。
HiiKAoNhiKAca
GB/T34136—2017/IEC/TR62061-1:20107.2.2.2使用故障排除,重要的是对它们的正确判断和SRP/CS或SRECS预期生命周期有效。7.2.2.3通常,通过SRP/CS或SRECS实现安全功能为PLe或SIL3等级的地方,不应仅单独依赖于故障排除获得这样的性能等级。这取决于采用的技术和预期操作的环境。因此,设计者使用故障排除来增加PL或SIL,需要额外小心。7.2.2.4在SRP/CS或SRECS设计中为达到PLe或SIL3,故障排除不适用于机电位置开关和手操作开关(例如,紧急停止装置)的机械部分。这些故障排除可以应用的特定机械故障条件(如:磨损/腐蚀,断裂)在GB/T16855.2—2007已经描述。7.2.2.5例如,须达到PLe或SIL3的门联锁系统通常不通过排除故障(例如停止开关操动器)来判断,为了达到这样的性能等级,将需要合并一个最小故障容错1(例如两个传统的机械位置开关)。然而,排除按相关标准设计的控制面板内布线电路短路的故障是可以接受的。7.2.2.6更多关于故障排除使用的信息见GB/T16855.2。7.3使用符合GB28526或GB/T16855.1的子系统或SRP/CS的系统设计7.3.1按照GB/T16855.1或GB28526设计的子系统或控制系统安全相关部分的所有情况,如果满足相关系统等级标准的所有要求,才能声称与系统等级标准一致。7.3.2在子系统或控制系统安全相关部件部分的设计应满足相应的GB28526或GB/T16855.1要求。充许符合一个以上充分满足这些标准的要求。7.3.3当设计子系统或者控制系统安全相关部件部分时,不允许混合标准的要求。7.4使用已由其他标准设计的子系统或SRP/CS进行系统设计7.4.1在系统设计中,可以选择符合相关产品标准和GB/T20438、GB28526或GB/T16855.1的子系统(例如,电敏保护设备)。各种型号子系统的供应商,宜依照GB28526或GB/T16855.1提供便于将子系统整合到安全相关控制系统的必要信息。7.4.2使用产品标准(例如GB/T12668.502一2013)设计的子系统(例如调速电气传动系统)实现了GB/T20438的要求,可以用于依照GB28526(见GB28526中6.7.3)和GB/T16855.1设计的安全相关控制系统中。
7.4.3根据GB28526中的要求,使用其他标准设计的子系统要符合GB28526中6.7.3的规定。8示例
8.1概述
以下示例假定已满足两项标准的所有要求。这个示例只是为了演示标准应用的特定方面。8.2执行规定的安全相关控制功能的安全相关控制系统的设计和确认的简化示例8.2.1这个简化的示例,意为演示符合GB28526和/或GB/T16855.1的子系统或SRP/CS在SRECS/SRP/CS中的使用。这个示例是以实现安全功能为基础,是与活动式防护装置的位置监控关联的安全相关停止功能,并且规定了安全完整性等级SIL3或所需的性能等级PL,e,如图1中所示。HiikAoNnikAca
说明:
显示动作位置:
一打开;
闭合;
起动;
反馈电路。
GB/T34136—2017/IEC/TR62061-1:2010Q2
图1安全功能的实现示例
8.2.2以下为本示例的安全要求规范相关信息:安全功能
安全相关停止功能,由保护装置引发:活动式防护装置的打开引发安全功能STO(安全转矩取消)。
功能描述
通过活动式防护装置(防护栅)防护。联锁防护装置的打开靠两个位置开关B1/B2检测,使用断开触点/接通触点组合,并由中央安全模块K1进行评估。K1使两个接触器Q1和Q2动作,退出中断或阻止危险运动或状态;位置开关被监测是为了K1故障检测的合理性。Q1和Q2中的故障由K1起动试验来检测。只有当Q1和Q2已经退出,起动命令才能执行。不需要通过打开和关闭联锁防护装置进行起动测试;
万一元器件失效,安全功能应保持完整。在可导致Q1和Q2退出和操作失效的联锁防护装置的操作或执行(打开和闭合)期间可检测故障;两个连续执行之间的两个以上故障累加,可导致安全功能丧失。8.2.3下列特性要求也宜提供:
基本的和经验证过的安全规则得到遵守(例如,接触器Q1和Q2的负载电流为其定额的50%),类别B的要求得到满足。保护电路被执行(例如,触点保护);5
HiikAoNikAca
GB/T34136—2017/IEC/TR62061-1:2010保护装置的牢固安装,以确保位置开关正常动作:依照GB14048.5一2008附录K,开关B1是带有直接断开功能的位置开关;位置开关B1和B2的供电导线单独放置或带有保护。8.2.4下列是来自制造商的SRP/CS设计内的每部分有效信息:由制造商声明,安全模块K1满足类别4、PLe和SILCL3的要求;接触器Q1和Q2具有符合IEC60947-5-1:2003中附录L的要求的机械连接接触元件。8.2.5SRP/CS和/或SRECS的设计宜注意:只有在不同保护装置的数个机械位置开关不是串联(即不级联)连接的场合,才能实现类别4。否则,开关的故障检测不到。
8.2.6按照GB/T16855.1失效概率的计算:图2示连有双通道输人输出单元的逻辑子系统(安全模块K1)。由于硬件层的抽象概念已经在安全相关框图中给出了,子系统序列原则上可以互换。因此,建议共用相同结构的子系统组合在一起,如图3所示。在评估时,通过减少通道的MTTF。次数限制到100年,可以简化PL的计算。B1
图2安全相关框图
关键点:
硬件相关表示:三个SRP/CS作为子系统;2
一简化的逻辑表示:两个SRP/CS作为子系统。2
图3按照GB/T16855.1进行计算的安全相关框图安全模块K1失效概率,由制造商声明并加至计算结果[每小时2.31×10-(制造商给定值),适用于PLe]。其余子系统,失效概率的计算如下:-MTTFa:1000000个周期的B10d值(制造商给定值)是为说明B1的机械部分。对于位置开关B2,B10a值为500000个周期(制造商给定值)。以一年365个工作日,一天24个工作小时,以及900s(15min)的周期时间,由GB/T16855.1中式(C.2)和式(C.7)计算的部件每年的工作周期nop是35040。
dm×h×3.600秒/小时_365天/年×24小时/天×3.600秒/小时=35 040周期/年nop
t周期
900秒/周期
GB/T34136—2017/IEC/TR62061-1:2010B1od
1000000周期
MTTFa.l=0.1xng0.1×35 040周期/年=285年
1000000周期
35040周期/年
一28.5年
500000周期
MTTFa.B2=0.1Xnop
=143年
。—0.1X35040周期/年
500000周期
35040周期/年
一14.3年
B2的T10a值为14.3年。如果整个SRP/CS的预期任务时间为20年,当超过14.3年时,B2将被替换。
一对于接触器Q1和Q2,在感应负载(AC3)下,B1值相应为1000000个周期的电气寿命(制造商给定值)。如果假定50%失效是危险的,B1oa的值为2倍的B1。值:Brod
2000000周期
MTTFa.g/az=0.1X-ng=0.1×35 040周期/年=571年
T1oa.Q/Q2
2000000周期
35040周期/年
一对于两个通道,MTTFa通过使用GB/T16855.1中的式(D.1)计算:1
台MTTF
MTTFa.chl—285年十571年=190年1
MTTFa.ch2一143年十571年114年这里给定MTTFa.Ch值为190年,MTTFd.Ch2值为114年。依照GB/T16855.1两个通道的MTTF被限制到100年,在这种情况下,限制后两个通道的MTTF是相等的,不必执行对称。DC:B1和B2取99%的DC是基于K1中断开/连接触点组合的合理监测。接触器Q1和Q2取99%的DC是源自K1起动期间的定期监测。对于每一个子系统陈述的DC值相当于DCag。DC值可以根据GB/T16855.1中的式(E.1)计算。由于每个单独的DC都是99%,所以DCag也是99%。
一在子系统B1/B2和Q1/Q2中有足够的防共因失效措施(70点):分离(15),经验证的部件(5),防止过压等(15)和环境条件(25+10)。任务时间:作为GB/T16855.1的简化方法,假设任务时间为20年。一子系统B1/B2/Q1/Q2对应具有高MTTFa(100年)和高DCg(99%)的类别4。这导致每小时2.47X10-的危险失效平均概率(见GB/T16855.1中表K.1)。下列附加的子系统K1,危险失效平均概率为每小时2.70×10-。这相当于PLe。8.2.7按照GB28526计算失效概率。8.2.7.1依照GB28526中6.6.2,电路安排可分成三个子系统:B1/B2,K和Q1/Q2,如安全相关框图所示。
8.2.7.2对于子系统K的失效概率为每小时2.31X10-9和安全模块K1的安全完整性等级3是由制造商给定的。
8.2.7.3对于其他的子系统,失效概率可以估计如下:子系统B1/B2:B10d值为1O00000周期(制造商给定值)是为B1的机械部分规定的。对于位置开关B2,Biod值为500000周期(制造商给定值)。以每年365个工作日,每天24个工作小时和15min的周期时间,这些部件的C值为每小时4周期。失效率计算为:0.1XC/Biod=4×10-1每7
GB/T34136—2017/IEC/TR62061-1:2010小时。B2给定的失效率为每小时8×10-7注:按照GB28526应用的操作周期次数C与按照GB/T16855.1的年平均操作次数nop相对应。由于C确定为每小时的周期数,而n。确定为每年的周期数,下列关系适用:年
C=nop×365×24小时
因此,以一天中每小时平均操作数和一年中每天平均操作数会影响C值和n子系统的逻辑结构相当于图4中给出的GB28526中6.7.8.2.5的图D。关键点:
1—子系统D:
2———子系统元素ADel
3——诊断功能
4—-子系统元素入De2
共因失效。
图4子系统D的逻辑表示
子系统元素(开关B1和B2)设计不同,因此以下公式(GB28526中的6.7.8.2.5的公式D.1)可用于确定子系统的PFHD。
ADD=(1-β)([ADXAD2X(DC+DC)XT2/2+[ADXAD2X(2-DC-DC)XT/2)+βX(Del+AD2)/2
PFHpD=ADDX1小时
式中:
诊断试验间隔,对于子系统B1/B2,它是15minTi
A Del
验证试验间隔或生命周期的较小值。对于子系统B1/B2,基于最低子系统元素T10d值(见GB/T16855.1,C.4.2)给定的使用率,生命周期间隔为125000h(14.3年)。开关B2具有最低的T10d值。验证试验间隔(见GB28526前言)假定为20年(175200h),要比寿命周期长。所以Ti为125000h。
共因失效敏感性。由GB28526的附录F简化方法中的42点导出其值为5%(0.05)。分离(5十5十5),评估/分析(9)和环境条件(9十9)。子系统元素1的危险失效率。对于开关B1,它等于每小时4X×10-7(见上述)。子系统元素1的诊断覆盖率。基于与K1相连的B1和B2的断开/连接触点的合理性监测,开关B1的估计值应为99%。
子系统元素2的危险失效率。对于开关B2,它等于每小时8X10-7(见上述)。子系统元素2的诊断覆盖率。基于与K1相连的B1和B2的断开/连接触点的合理性监测,开关B2的估计值应为99%。
将上述数据输入公式得出PFHp值为3.04X10-。8.2.7.4
8.2.7.5同样,对于子系统Q1/Q2:接触器Q1和Q2在感应负载(AC3)下有10°周期电气寿命相应的8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T34136—2017/IEC/TR62061-1:2010机械电气安全GB28526和
GB/T16855.1用于机械安全
相关控制系统设计的应用指南
Electrical safety of machinery-Guidance on the application of GB 28526 andGB/T 16855.1 in the design of safety-related control systems for machinery(IEC/TR62061-1:2010,GuidanceontheapplicationofISO13849-1andIEC 62061inthedesignof safety-related control systems for machinery,IDT)2017-07-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-02-01实施
本标准按照GB/T1.1一2009给出的规则起草。GB/T34136—2017/IEC/TR62061-1:2010本标准使用翻译法等同采用IEC/TR62061-1:2010《ISO13849-1和IEC62061中用于机械的安全相关控制系统设计的应用指南》(英文版)。本标准做了下列编辑性修改:
一为了与其他相应的标准名称相协调,标准名称改为《机械电气安全GB28526和GB/T16855.1用于机械安全相关控制系统设计的应用指南》。本标准由中国机械工业联合会提出。本标准由全国工业机械电气系统标准化技术委员会(SAC/TC231)归口。本标准负责起草单位:国家机床质量监督检验中心。本标准参加起草单位:中国科学院沈阳计算技术研究所有限公司、山东大学。本标准主要起草人:薛瑞娟、黄祖广、赵钦志,尹震宇、胡天亮、蒋、黄麟。I
Hii KAoNhi KAca
HiiKAoNhiKAca
1范围
GB/T34136—2017/IEC/TR62061-1:2010机械电气安全GB28526和
GB/T16855.1用于机械安全
相关控制系统设计的应用指南
本标准规定了GB28526和GB/T16855.1用于机械安全相关控制系统设计的应用指南。2概述
2.1GB28526和GB/T16855.1均规定了机械安全相关控制系统设计和实施的相关要求。这两项标准规定的方法虽然不同,但正确使用时,均可降低风险至相应等级。2.2这两项标准将所执行安全功能的安全相关控制系统,根据每小时的危险失效概率进行分级。GB/T16855.1分为5个性能等级(PL):a、b、C、d和e;而GB28526则分为3个安全完整性等级(SIL):1、2和3。
2.3产品标准(C类)技术委员会规定的安全相关控制系统的安全要求,建议这些技术委员会按照PL和SIL所要求的置信度等级进行分类。2.4机械设计人员可按照具体的应用特点选用GB28526或GB/T16855.1标准。2.5选择和使用哪一项标准需要考虑以下因素确定,例如:在机械安全相关控制系统设计中,以往的知识和经验是基于GB/T16855.1一2008描述的类别概念,则可能意味着使用GB/T16855.1一2008更合适;一基于介质不是电气技术的安全相关控制系统,则使用GB/T16855.1更合适;一用户要求以术语SIL证明机械安全相关控制系统的安全完整性等级时,则使用GB28526更合适:
机械安全相关控制系统用于例如过程工业领域时,当其他安全相关系统(例如符合GB/T21109的安全仪表系统)以SIL表征,则使用GB28526更合适。3标准对比
3.1GB/T16855.1和GB28526的技术要求对比如下:一术语:
一风险评估和性能分配:
一安全要求规范;
一系统完整性要求;
一诊断功能;
软件安全要求。
3.2此外,这两项标准均给出了用于评估的每小时危险失效概率(PFHp)和平均失效间隔时间(MTTF.)的简化数学公式。
HTi KAoNi KAca
GB/T34136—2017/IEC/TR62061-1:20103.3标准对比结论如下:
通过集成按照GB28526或GB/T16855.1标准要求设计的非复杂的安全相关电气控制系统(SRECS)的子系统或控制系统安全相关部件(SRP/CS),使用这两项标准中的任一项设计的安全相关控制系统均能达到可接受的功能安全等级;一一通过集成按照GB/T20438设计的电气/电子/可编程电子设备的子系统,这两项标准也可用于为复杂的SRECS和SRP/CS提供设计的解决方法;一目前机械行业使用这两项标准是有意义的,经验表明使用者将受益。一段合理时期的实际应用反馈,对于推动GB28526和GB/T16855.1这两项标准内容的合并是必需的;一由于细节上存在着差异,及某些概念(例如功能安全管理)需要进一步工作以建立各自设计方法和一些技术要求之间的对应关系。4风险评估和所需性能分配
4.1对具体安全功能分配SIL和/或PL的方法进行比较。每个标准的附录A中各自提供的方法之间有很好的对应等级。
4.2无论使用哪种方法,注意确保对风险参数进行适当的判断,以确定能够适用于具体安全功能的SIL和/或PLr。这种判断最好让相关人员(如设计、维护和操作人员)共同参与,以确保正确理解机械可能出现的危险。
4.3有关风险评估过程和性能目标分配的更多信息可见GB/T15706和GB/T20438.5。5安全要求规范
5.1GB/T16855.1和GB28526各自的方法在第一阶段均要求安全功能由安全相关控制系统实现。5.2对控制电路执行的每一项安全功能应进行评估,例如使用GB/T16855.1附录A或GB28526的附录A。宜确定每台机械的具体安全功能提供怎样的风险降低水平,依次确定执行该安全功能的控制电路所要求置信度等级。
5.3PL和/或SIL给定的置信度等级与具体的安全功能有关。5.4以下显示的与安全功能相关信息宜由产品标准(C类)提供:由控制电路要执行的安全功能:安全功能的名称;
功能的描述;
—按GB/T16855.1要求的性能等级:PLa~e;或/和一按GB28526要求的安全完整性等级:SIL1~36性能目标分配:PL与SIL比较此内容来自唯久标准下载网
表1给出了基于每小时平均危险失效概率的PL和SIL之间的关系。然而对于这些概率自标,两项标准还规定了其他要求(如系统安全完整性等),同样也适用于安全相关控制系统。这些要求的严酷等级与各自的PL和SIL有关。
iiKAoNniKAca
GB/T34136—2017/IEC/TR62061-1:2010表1基于每小时平均危险失效概率的PL和SIL的关系性能等级(PL)
系统设计
每小时平均危险失效概率(1/h)10-5~<10-4
3×10-6~<10-5
10-~<3×10-5
10-7~<10-
10-~<10-7
使用GB28526和GB/T16855.1进行系统设计的一般要求当设计一个SRECS/SRP/CS时,应考虑下列方面:安全完整性等级(SIL)
无特殊安全要求
当在各自限定范围内使用时,两标准的任一个都可用于设计具有合适功能安全的安全相关控制系统,用SIL或PL表示。
按照GB/T16855.1设计具有相关PL的非复杂的安全相关部件可以作为子系统集成到按照GB28526设计的安全相关电气控制系统中。任何按照GB/T16855.1设计相关PL的复杂安全相关部件都可以集成到按照GB/T16855.1设计的控制系统的安全相关部件。任何按照GB28526设计实现具有相关SIL的非复杂子系统都可以作为安全相关部件集成到按照GB/T16855.1设计的SRP/CS组合中。任何按照GB/T20438设计具有相关SIL的复杂子系统都可以作为安全相关部件集成到按照GB/T16855.1设计的SRP/CS组合中,或者作为子系统集成到按照GB28526设计的SRECS中。
7.2PFH,和MTTF。的估计以及故障排除的使用7.2.1PFH和MTTF.
7.2.1.1GB/T16855.1中的MTTFa值与不带诊断的单通道SRP/CS相关时,只在这种情况下为GB28526中PFHp的倒数。
7.2.1.2MTTFa是不考虑任何给定因素(如诊断或架构)的部件和/或单通道的参数,而PFHD是考虑了由设计结构决定的诊断和架构因素的子系统的参数。7.2.1.3GB/T16855.1的附录K给出了以类别和诊断覆盖率分类的不同架构SRP/CS中MTTFa和PFHD的关系。
7.2.1.4按照GB/T16855.1串联组合的SRP/CS的PFHp的估计,可以采用GB28526中子系统使用的相似方法,以累加各SRP/CS的PFHp值(例如源于GB/T16855.1的附录K)的方法计算。7.2.2故障排除的使用
7.2.2.1两项标准都充许故障排除的使用,见GB28526的6.7.7和GB/T16855.1的7.3。GB28526不允许SRECS在无硬件故障容错(在无硬件故障容错的情况下要求达到SIL3)的情况下,使用故障排除。
HiiKAoNhiKAca
GB/T34136—2017/IEC/TR62061-1:20107.2.2.2使用故障排除,重要的是对它们的正确判断和SRP/CS或SRECS预期生命周期有效。7.2.2.3通常,通过SRP/CS或SRECS实现安全功能为PLe或SIL3等级的地方,不应仅单独依赖于故障排除获得这样的性能等级。这取决于采用的技术和预期操作的环境。因此,设计者使用故障排除来增加PL或SIL,需要额外小心。7.2.2.4在SRP/CS或SRECS设计中为达到PLe或SIL3,故障排除不适用于机电位置开关和手操作开关(例如,紧急停止装置)的机械部分。这些故障排除可以应用的特定机械故障条件(如:磨损/腐蚀,断裂)在GB/T16855.2—2007已经描述。7.2.2.5例如,须达到PLe或SIL3的门联锁系统通常不通过排除故障(例如停止开关操动器)来判断,为了达到这样的性能等级,将需要合并一个最小故障容错1(例如两个传统的机械位置开关)。然而,排除按相关标准设计的控制面板内布线电路短路的故障是可以接受的。7.2.2.6更多关于故障排除使用的信息见GB/T16855.2。7.3使用符合GB28526或GB/T16855.1的子系统或SRP/CS的系统设计7.3.1按照GB/T16855.1或GB28526设计的子系统或控制系统安全相关部分的所有情况,如果满足相关系统等级标准的所有要求,才能声称与系统等级标准一致。7.3.2在子系统或控制系统安全相关部件部分的设计应满足相应的GB28526或GB/T16855.1要求。充许符合一个以上充分满足这些标准的要求。7.3.3当设计子系统或者控制系统安全相关部件部分时,不允许混合标准的要求。7.4使用已由其他标准设计的子系统或SRP/CS进行系统设计7.4.1在系统设计中,可以选择符合相关产品标准和GB/T20438、GB28526或GB/T16855.1的子系统(例如,电敏保护设备)。各种型号子系统的供应商,宜依照GB28526或GB/T16855.1提供便于将子系统整合到安全相关控制系统的必要信息。7.4.2使用产品标准(例如GB/T12668.502一2013)设计的子系统(例如调速电气传动系统)实现了GB/T20438的要求,可以用于依照GB28526(见GB28526中6.7.3)和GB/T16855.1设计的安全相关控制系统中。
7.4.3根据GB28526中的要求,使用其他标准设计的子系统要符合GB28526中6.7.3的规定。8示例
8.1概述
以下示例假定已满足两项标准的所有要求。这个示例只是为了演示标准应用的特定方面。8.2执行规定的安全相关控制功能的安全相关控制系统的设计和确认的简化示例8.2.1这个简化的示例,意为演示符合GB28526和/或GB/T16855.1的子系统或SRP/CS在SRECS/SRP/CS中的使用。这个示例是以实现安全功能为基础,是与活动式防护装置的位置监控关联的安全相关停止功能,并且规定了安全完整性等级SIL3或所需的性能等级PL,e,如图1中所示。HiikAoNnikAca
说明:
显示动作位置:
一打开;
闭合;
起动;
反馈电路。
GB/T34136—2017/IEC/TR62061-1:2010Q2
图1安全功能的实现示例
8.2.2以下为本示例的安全要求规范相关信息:安全功能
安全相关停止功能,由保护装置引发:活动式防护装置的打开引发安全功能STO(安全转矩取消)。
功能描述
通过活动式防护装置(防护栅)防护。联锁防护装置的打开靠两个位置开关B1/B2检测,使用断开触点/接通触点组合,并由中央安全模块K1进行评估。K1使两个接触器Q1和Q2动作,退出中断或阻止危险运动或状态;位置开关被监测是为了K1故障检测的合理性。Q1和Q2中的故障由K1起动试验来检测。只有当Q1和Q2已经退出,起动命令才能执行。不需要通过打开和关闭联锁防护装置进行起动测试;
万一元器件失效,安全功能应保持完整。在可导致Q1和Q2退出和操作失效的联锁防护装置的操作或执行(打开和闭合)期间可检测故障;两个连续执行之间的两个以上故障累加,可导致安全功能丧失。8.2.3下列特性要求也宜提供:
基本的和经验证过的安全规则得到遵守(例如,接触器Q1和Q2的负载电流为其定额的50%),类别B的要求得到满足。保护电路被执行(例如,触点保护);5
HiikAoNikAca
GB/T34136—2017/IEC/TR62061-1:2010保护装置的牢固安装,以确保位置开关正常动作:依照GB14048.5一2008附录K,开关B1是带有直接断开功能的位置开关;位置开关B1和B2的供电导线单独放置或带有保护。8.2.4下列是来自制造商的SRP/CS设计内的每部分有效信息:由制造商声明,安全模块K1满足类别4、PLe和SILCL3的要求;接触器Q1和Q2具有符合IEC60947-5-1:2003中附录L的要求的机械连接接触元件。8.2.5SRP/CS和/或SRECS的设计宜注意:只有在不同保护装置的数个机械位置开关不是串联(即不级联)连接的场合,才能实现类别4。否则,开关的故障检测不到。
8.2.6按照GB/T16855.1失效概率的计算:图2示连有双通道输人输出单元的逻辑子系统(安全模块K1)。由于硬件层的抽象概念已经在安全相关框图中给出了,子系统序列原则上可以互换。因此,建议共用相同结构的子系统组合在一起,如图3所示。在评估时,通过减少通道的MTTF。次数限制到100年,可以简化PL的计算。B1
图2安全相关框图
关键点:
硬件相关表示:三个SRP/CS作为子系统;2
一简化的逻辑表示:两个SRP/CS作为子系统。2
图3按照GB/T16855.1进行计算的安全相关框图安全模块K1失效概率,由制造商声明并加至计算结果[每小时2.31×10-(制造商给定值),适用于PLe]。其余子系统,失效概率的计算如下:-MTTFa:1000000个周期的B10d值(制造商给定值)是为说明B1的机械部分。对于位置开关B2,B10a值为500000个周期(制造商给定值)。以一年365个工作日,一天24个工作小时,以及900s(15min)的周期时间,由GB/T16855.1中式(C.2)和式(C.7)计算的部件每年的工作周期nop是35040。
dm×h×3.600秒/小时_365天/年×24小时/天×3.600秒/小时=35 040周期/年nop
t周期
900秒/周期
GB/T34136—2017/IEC/TR62061-1:2010B1od
1000000周期
MTTFa.l=0.1xng0.1×35 040周期/年=285年
1000000周期
35040周期/年
一28.5年
500000周期
MTTFa.B2=0.1Xnop
=143年
。—0.1X35040周期/年
500000周期
35040周期/年
一14.3年
B2的T10a值为14.3年。如果整个SRP/CS的预期任务时间为20年,当超过14.3年时,B2将被替换。
一对于接触器Q1和Q2,在感应负载(AC3)下,B1值相应为1000000个周期的电气寿命(制造商给定值)。如果假定50%失效是危险的,B1oa的值为2倍的B1。值:Brod
2000000周期
MTTFa.g/az=0.1X-ng=0.1×35 040周期/年=571年
T1oa.Q/Q2
2000000周期
35040周期/年
一对于两个通道,MTTFa通过使用GB/T16855.1中的式(D.1)计算:1
台MTTF
MTTFa.chl—285年十571年=190年1
MTTFa.ch2一143年十571年114年这里给定MTTFa.Ch值为190年,MTTFd.Ch2值为114年。依照GB/T16855.1两个通道的MTTF被限制到100年,在这种情况下,限制后两个通道的MTTF是相等的,不必执行对称。DC:B1和B2取99%的DC是基于K1中断开/连接触点组合的合理监测。接触器Q1和Q2取99%的DC是源自K1起动期间的定期监测。对于每一个子系统陈述的DC值相当于DCag。DC值可以根据GB/T16855.1中的式(E.1)计算。由于每个单独的DC都是99%,所以DCag也是99%。
一在子系统B1/B2和Q1/Q2中有足够的防共因失效措施(70点):分离(15),经验证的部件(5),防止过压等(15)和环境条件(25+10)。任务时间:作为GB/T16855.1的简化方法,假设任务时间为20年。一子系统B1/B2/Q1/Q2对应具有高MTTFa(100年)和高DCg(99%)的类别4。这导致每小时2.47X10-的危险失效平均概率(见GB/T16855.1中表K.1)。下列附加的子系统K1,危险失效平均概率为每小时2.70×10-。这相当于PLe。8.2.7按照GB28526计算失效概率。8.2.7.1依照GB28526中6.6.2,电路安排可分成三个子系统:B1/B2,K和Q1/Q2,如安全相关框图所示。
8.2.7.2对于子系统K的失效概率为每小时2.31X10-9和安全模块K1的安全完整性等级3是由制造商给定的。
8.2.7.3对于其他的子系统,失效概率可以估计如下:子系统B1/B2:B10d值为1O00000周期(制造商给定值)是为B1的机械部分规定的。对于位置开关B2,Biod值为500000周期(制造商给定值)。以每年365个工作日,每天24个工作小时和15min的周期时间,这些部件的C值为每小时4周期。失效率计算为:0.1XC/Biod=4×10-1每7
GB/T34136—2017/IEC/TR62061-1:2010小时。B2给定的失效率为每小时8×10-7注:按照GB28526应用的操作周期次数C与按照GB/T16855.1的年平均操作次数nop相对应。由于C确定为每小时的周期数,而n。确定为每年的周期数,下列关系适用:年
C=nop×365×24小时
因此,以一天中每小时平均操作数和一年中每天平均操作数会影响C值和n子系统的逻辑结构相当于图4中给出的GB28526中6.7.8.2.5的图D。关键点:
1—子系统D:
2———子系统元素ADel
3——诊断功能
4—-子系统元素入De2
共因失效。
图4子系统D的逻辑表示
子系统元素(开关B1和B2)设计不同,因此以下公式(GB28526中的6.7.8.2.5的公式D.1)可用于确定子系统的PFHD。
ADD=(1-β)([ADXAD2X(DC+DC)XT2/2+[ADXAD2X(2-DC-DC)XT/2)+βX(Del+AD2)/2
PFHpD=ADDX1小时
式中:
诊断试验间隔,对于子系统B1/B2,它是15minTi
A Del
验证试验间隔或生命周期的较小值。对于子系统B1/B2,基于最低子系统元素T10d值(见GB/T16855.1,C.4.2)给定的使用率,生命周期间隔为125000h(14.3年)。开关B2具有最低的T10d值。验证试验间隔(见GB28526前言)假定为20年(175200h),要比寿命周期长。所以Ti为125000h。
共因失效敏感性。由GB28526的附录F简化方法中的42点导出其值为5%(0.05)。分离(5十5十5),评估/分析(9)和环境条件(9十9)。子系统元素1的危险失效率。对于开关B1,它等于每小时4X×10-7(见上述)。子系统元素1的诊断覆盖率。基于与K1相连的B1和B2的断开/连接触点的合理性监测,开关B1的估计值应为99%。
子系统元素2的危险失效率。对于开关B2,它等于每小时8X10-7(见上述)。子系统元素2的诊断覆盖率。基于与K1相连的B1和B2的断开/连接触点的合理性监测,开关B2的估计值应为99%。
将上述数据输入公式得出PFHp值为3.04X10-。8.2.7.4
8.2.7.5同样,对于子系统Q1/Q2:接触器Q1和Q2在感应负载(AC3)下有10°周期电气寿命相应的8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。