(高清版)GBT 41118-2021 機械安全 安全控制系統(tǒng)設計指南

機械安全安全控制系統(tǒng)設計指南2022-07-01實施國家標準化管理委員會I前言 2規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15迭代設計過程 26設計準備 36.1風險評估 36.2識別安全功能 36.3規(guī)定安全功能的特征 36.4確定所需性能等級 46.5編制安全需求說明 57安全控制系統(tǒng)的設計 67.1概述 67.2編制安全設計說明 77.3設計硬件系統(tǒng) 7.4開發(fā)安全相關軟件 7.5驗證安全功能的PL 7.6形成設計文件 8確認 8.1確認原則 8.2分析 8.3測試 8.4歸檔 附錄A(資料性)壓力機安全控制系統(tǒng)設計及驗證示例 附錄B(資料性)木工圓鋸機安全控制系統(tǒng)設計及驗證示例 附錄C(資料性)碼垛機安全控制系統(tǒng)設計及驗證示例 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國機械安全標準化技術(shù)委員會(SAC/TC208)提出并歸口。本文件起草單位：皮爾磁電子(常州)有限公司、上海辰竹儀表有限公司、合肥磐石自動化科技有限公司、深圳國技儀器有限公司、十一維度(廈門)網(wǎng)絡科技有限公司、漳州科暉專用汽車制造有限公司、焙之道食品(福建)有限公司、漳州佳龍科技股份有限公司、浙江武精機器制造有限公司、浙江佛爾泰智能設備有限公司、安士能電器(上海)有限公司、臺州龍江化工機械科技有限公司、南京理工大學、中機生產(chǎn)力促進中心、四川蜀興優(yōu)創(chuàng)安全科技有限公司、泰瑞機器股份有限公司、奧煌檢測技術(shù)服務(上海)有限公司、北京機械工業(yè)自動化研究所有限公司、廣東康鑫新材料有限公司、南京林業(yè)大學、惠州學院、巨力自動化設備(浙江)有限公司、蘇州安高智能安全科技有限公司、江蘇省特種設備安全監(jiān)督檢驗研究院、佛山市南海旋旖機械設備有限公司、廣東利英智能科技有限公司、江蘇長虹智能裝備股份有限公司、佛山市定中機械有限公司、西安凱益金電子科技有限公司、中汽認證中心有限公司、東莞市雄大機械有限公司、西安立貝安智能科技有限公司、江蘇強凱檢測有限公司、西安寧康特數(shù)據(jù)服務有限公司、廣東全偉工業(yè)科技有限公司、上海彩琪信息科技服務中心、平湖李挺機械制造有限公司、山東佐耀智能裝備股份有限公司、棗莊市慧天美亞保溫節(jié)能建材有限公司、廣東雪瑩電器有限公司、義烏市粵鑫模具科技有機械領域安全標準體系由以下幾類標準構(gòu)成：——A類標準(基礎安全標準),給出適用于所有機械的基本概念、設計原則和一般特征；——B類標準(通用安全標準),涉及在機械的一種安全特征或使用范圍較寬的一類安全裝置：——C類標準(機械產(chǎn)品安全標準),對一種特定的機器或一組機器規(guī)定出詳細的安全要求的標準。根據(jù)GB/T15706,本文件屬于B類標準。本文件尤其與下列與機械安全有關的利益相關方有關：——機器制造商；——健康與安全機構(gòu)。其他受到機械安全水平影響的利益相關方有：——機器使用人員；——機器所有者；——服務提供人員；——消費者(針對預定由消費者使用的機械)。上述利益相關方均有可能參與本文件的起草。此外，本文件預定用于起草C類標準的標準化機構(gòu)。本文件規(guī)定的要求可由C類標準補充或修改。對于在C類標準的范圍內(nèi)，且已按照C類標準設計和制造的機器，優(yōu)先采用C類標準中的要求。急停裝置、聯(lián)鎖裝置、雙手操縱裝置等安全防護裝置安全功能的實現(xiàn)依賴于安全控制系統(tǒng)。GB/T16855.1給出了安全控制系統(tǒng)的設計原則，本文件的目的是指導設計人員如何根據(jù)GB/T16855.1設計安全控制系統(tǒng)。本文件的附錄A、附錄B和附錄C分別給出了壓力機、木工圓鋸機及碼垛機安全控制系統(tǒng)的設計及驗證示例。1機械安全安全控制系統(tǒng)設計指南本文件給出了安全控制系統(tǒng)的設計迭代過程、設計準備、設計實施以及確認的指南。本文件適用于GB/T15706—2012界定的機械的安全控制系統(tǒng)的設計及升級。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T15706—2012機械安全設計通則風險評估與風險減小GB/T16855.1—2018機械安全控制系統(tǒng)安全相關部件第1部分：設計通則3術(shù)語和定義GB/T15706—2012和GB/T16855.1—2018界定的以及下列術(shù)語和定義適用于本文件。安全控制系統(tǒng)safetycontrolsystem執(zhí)行規(guī)定的安全功能，以控制或維持某一受控設備的安全狀態(tài)，并通過其自身或其他控制系統(tǒng)，以及外部風險減小措施而實現(xiàn)所需性能等級(PLr)的特定控制系統(tǒng)。平均危險失效周期數(shù)meancyclestodangerousfailureBlop直到10%的元件發(fā)生危險失效時的平均循環(huán)次數(shù)。注：元件通常指機械元件、機電元件、氣動元件或液壓元件。4縮略語下列縮略語適用于本文件。AOPD:有源光電保護裝置(ActiveOptoelectronicProtectiveDevice)DC:診斷覆蓋率(DiagnosticCoverage)FMEA:失效模式及影響分析(FailureModeandEffectsAnalysis)MTTFp:平均危險失效間隔時間(MeanTimetoDangerousFailure)PFHp:每小時平均危險失效概率(AverageProbabilityofDangerousFailurePerHour)PL:性能等級(PerformanceLevel)2SRASW:安全相關應用軟件(Safety-relatedApplicationSoftware)SRESW:安全相關嵌入式軟件(Safety-relatedEmbeddedSoftware)SRP/CS:控制系統(tǒng)安全相關部件(Safety-relatedPartofaControlSystem)5迭代設計過程安全控制系統(tǒng)的設計和確認宜充分考慮GB/T15706—2012中圖1的風險評估方法和GB/T16855.1—2018中圖1給出的風險評估/風險減小概況，并按本文件的圖1所示流程實現(xiàn)其預定安全功能。來自風險減小來自風險減小見5.2見5.3見5.4見5.5編制安全需求說明見6.2編制安全設計說明見6.3設計硬件系統(tǒng)否見6.5驗證安全功能的PL是見6.6形成設計文件是否見第7章至風險減小規(guī)定安全功能的特征確定所需性能等級開發(fā)安全相關軟件識別安全功能見6.4確認是圖1安全控制系統(tǒng)的迭代設計過程36設計準備6.1風險評估在設計安全控制系統(tǒng)之前，宜對機械進行風險評估。如果風險評估結(jié)果發(fā)現(xiàn)存在不可接受的風險，宜通過GB/T15706—2012中圖1給出的風險減小過程迭代三步法消除危險或者盡可能減小風險。通常，只有在通過安全防護措施無法經(jīng)濟合理地減小風險的情況下，才可以通過使用信息(包括組織措施)減小風險。因此，在大多數(shù)情況下宜采用安全防護措施減小風險，而安全控制系統(tǒng)是實現(xiàn)風險減小的重要措施之一。注：風險評估和風險減小的策略見GB/T15706—2012。6.2識別安全功能通過安全控制系統(tǒng)進行風險減小的起點是識別安全功能，即定義由安全控制系統(tǒng)執(zhí)行的一個或多個安全功能(SF),以實現(xiàn)風險減小。識別安全功能的主要目的就是確定通過控制系統(tǒng)實現(xiàn)的保護措施。通過控制系統(tǒng)實現(xiàn)的保護措施，即為進行風險減小的安全功能。例如，聯(lián)鎖裝置可實現(xiàn)安全聯(lián)鎖這一個安全功能，但不帶聯(lián)鎖裝置的活動式防護裝置無法實現(xiàn)這一安全功能。6.3規(guī)定安全功能的特征宜根據(jù)應用場合和具體危險規(guī)定安全功能需具備的特征。例如，如果存在拋射物，采用光幕就不合適，可以采用活動式防護裝置。如果C類標準沒有相關規(guī)定，安全功能可由機器設計者定義，如：a)運動的受控停止以及在靜止位置宜使用固定抱閘；b)防止軸/氣缸在設定模式下掉落；c)人員進入機械臂危險區(qū)之前機械臂能主動降速；d)防止人員被困；e)人員操作壓力機時，如有其他人員在危險區(qū)內(nèi)，通過光幕檢測來阻止壓力機危險運動的觸發(fā)。表1根據(jù)GB/T16855.1—2018的表8對主要安全功能進行了總結(jié)，并增加了各種可能應用的示例。表1典型安全功能及應用示例安全功能應用示例由安全防護裝置觸發(fā)的安全相關停止功能由安全轉(zhuǎn)矩關斷(STO)、安全停止1(SS1)或安全停止2(SS2)響應防護裝置的觸發(fā)手動復位功能確認已離開防護裝置保護區(qū)域啟動/重啟功能帶啟動功能的聯(lián)鎖防護裝置允許重啟本地控制功能從危險區(qū)內(nèi)的某個位置控制機器運動抑制功能保護裝置臨時性暫停，如材料輸送過程中保持-運行功能從危險區(qū)內(nèi)的某個位置控制機器運動，如設定過程中防止意外啟動操作者在危險區(qū)進行人為干預4表1典型安全功能及應用示例(續(xù))安全功能應用示例受困人員的撤離和營救在危險區(qū)觸發(fā)聯(lián)鎖裝置的緊急逃生裝置能源隔離和耗散功能打開液壓閥門釋放壓力控制模式和模式選擇通過操作模式選擇開關激活安全功能急停功能由安全轉(zhuǎn)矩關斷(STO)或安全停止1(SS1)響應急停裝置的致動6.4確定所需性能等級各安全功能要求的風險減小程度會有差別。在GB/T16855.1—2018中，風險減小的程度由性能等級(PL)確定。安全控制系統(tǒng)實現(xiàn)的安全功能的安全性能評估通過5個性能等級(PL)表示，每一級性能等級對應一個每小時危險失效概率(PFHp)范圍，PL與PFHp的對應關系見表2。表2PL與PFH。的對應關系性能等級(PL)平均每小時危險失效概率(PFHp)abCdePFHp<10-7宜給每一個預定安全功能規(guī)定所需性能等級(PLr),即技術(shù)目標值。宜優(yōu)先按照C類標準確定安全功能的PL,,如注塑設備的C類標準中規(guī)定合模區(qū)操作側(cè)的安全聯(lián)鎖功能的PL需要達到e,即PL,=e。如果沒有合適的C類標準，可根據(jù)圖2直接得出PLr。注：具體參數(shù)的選擇見GB/T16855.1—2018的附錄A。每個安全功能都宜根據(jù)圖2確定PLr。5bCp2ded1——估計安全功能對風險減小的作用的起始點；L——對風險減小的作用?。籋——對風險減小的作用大；PL,——所需性能等級風險參數(shù)；S1——輕微(通常是可恢復的傷害);S2——嚴重(通常是不可恢復的傷害或死亡);F1——很少-不常和/或暴露時間短(通常是累計的暴露時間不超過總運行時間的1/20且頻率不超過每15min/次);F2——頻繁-連續(xù)和/或暴露時間長(不符合F1的情況);P1——在特定條件下可能(見GB/T16855.1—2018的A.2.3);P2——幾乎不可能(見GB/T16855.1—2018的A.2.3)。圖2用于確定安全功能PL,的風險圖6.5編制安全需求說明編制安全需求說明是安全控制系統(tǒng)設計的必要步驟。安全需求說明宜通過文檔的方式，識別出實現(xiàn)安全功能的各個安全控制子系統(tǒng)，并對相應的安全功能加以闡述。安全需求說明宜詳細說明機器安全控制系統(tǒng)中包含的各個安全功能，包括每個安全功能需要達到的PLr、實現(xiàn)每個安全功能所需的安全控制子系統(tǒng)(包括相關的輸入、邏輯和輸出)以及各安全控制子系統(tǒng)之間的邏輯關系。安全需求說明宜包含以下內(nèi)容：a)文檔狀態(tài)：2)模板版本管理；3)項目版本管理；b)術(shù)語；c)安全控制系統(tǒng)設計責任約定；d)系統(tǒng)概覽：1)安全功能定義；2)功能名稱；3)功能描述；64)涉及的安全控制子系統(tǒng)；5)所需性能等級；6)信號處理(如果存在)。在編制安全需求說明時，即使用于實現(xiàn)安全功能的安全控制子系統(tǒng)都相同，這些安全功能也宜分開定義。因為，其中的邏輯處理可能不同，例如一個安全功能需要斷電延時切斷執(zhí)行機構(gòu)，而另一個則需要瞬時切斷執(zhí)行機構(gòu)。與之相類似，如果使用相同的邏輯實現(xiàn)不同的安全功能，也宜將安全功能分開描述。因為用于實現(xiàn)安全功能的安全控制子系統(tǒng)可能不同，從而導致安全功能可靠性存在差異。安全控制系統(tǒng)軟件、硬件設計以及安全功能驗證等后續(xù)步驟均需根據(jù)安全需求說明的內(nèi)容實施。7安全控制系統(tǒng)的設計一旦定義了確切的安全功能、所要求的風險減小以及PLr,宜確定執(zhí)行安全功能的安全相關部件，如選擇安全光幕作為輸入子系統(tǒng)、安全可編程控制器作為邏輯/處理子系統(tǒng)、接觸器作為輸出/動力子系統(tǒng)以及相互連接方式。典型安全控制系統(tǒng)如圖3所示。212SRP/CS,SRPSRP/CS,標引序號說明：SRP/CS、SRP/CS、SRP/CS.——安全控制子系統(tǒng)；L——邏輯(例如：安全繼電器、安全可編程控制器);1——觸發(fā)事件(例如：手動致動按鈕、打開防護裝置、中斷AOPD光束);inh、ihe——相互連接方式(例如：電氣連接)。圖3實現(xiàn)安全功能的典型安全控制系統(tǒng)示意圖進一步的安全控制系統(tǒng)設計包括定性設計和定量設計兩方面。在定性設計階段，主要考慮安全控制系統(tǒng)的架構(gòu)類別。系統(tǒng)架構(gòu)類別共有5種(由低到高分為B、1、2、3和4),架構(gòu)的類別越高，則安全控制系統(tǒng)越容易實現(xiàn)更高的性能等級。在定量設計階段，需分別考慮元器件的平均危險失效間隔時間(MTTFp)、平均診斷覆蓋率(DCg)以及系統(tǒng)共因失效三個因素。此外，還宜采取合理措施避免系統(tǒng)性失效。如果安全控制系統(tǒng)包含軟件設計，則還宜遵循安全相關軟件設計規(guī)范。宜確定控制系統(tǒng)中實現(xiàn)安全功能的所有安全相關部件，將其納入安全控制系統(tǒng)之中，并在安全設計說明中明確安全功能。基于確定的安全功能以及PL,,選擇安全相關部件，構(gòu)成安全控制系統(tǒng)，通常需要考慮以下因素：——安全功能實現(xiàn)的途徑，如：7●實現(xiàn)邏輯控制，可以采用安全繼電器、安全可編程控制器等；——安全相關部件的安全特性，宜考慮：●部件可以構(gòu)建的類別。確定所有安全相關部件后，可以考慮以下因素評估安全控制系統(tǒng)的性能等級PL:——系統(tǒng)架構(gòu)類別；——MTTFp;——DC;——CCF;——系統(tǒng)性失效；——安全相關部件的軟件(如果有);——預期環(huán)境條件下，執(zhí)行安全功能的能力。根據(jù)上述因素進行系統(tǒng)設計后，可確定實際系統(tǒng)的PL。對于每個安全功能，宜評估實際PL是否達到或超過PLr。若是，則說明該安全功能設計達到要求。反之，則需重新考慮上述設計因素，需改進設計以達到要求。7.2編制安全設計說明宜根據(jù)安全需求說明編制安全設計說明。安全設計說明宜通過文檔的方式，識別出實現(xiàn)安全功能的安全控制子系統(tǒng)在設計時需考慮的內(nèi)容，包括：——每個安全功能中涉及的安全相關部件的品牌型號、數(shù)量；——安全相關部件符合的標準；——安全相關部件的參數(shù)(MTTFp、Blop、PFHp等);——安全相關部件初始狀態(tài)；——安全相關部件電氣編號；——安全功能的觸發(fā)頻率；——各安全控制子系統(tǒng)之間的邏輯關系(包括反饋、復位、延時、監(jiān)控閾值等信息)。安全設計說明可以獨立于安全需求說明，也可以與安全需求說明相互補充并且整合在一個文檔之中。7.3設計硬件系統(tǒng)每一個安全功能可通過幾個安全控制子系統(tǒng)的組合來實現(xiàn)：輸入子系統(tǒng)、邏輯/處理子系統(tǒng)、輸出/動力子系統(tǒng)。硬件系統(tǒng)設計的主要目標是確定每個安全功能的實際PL,以判斷是否達到PL,。由于PL對應每小時危險失效概率(PFHp),因此，確定每一個安全功能的安全控制系統(tǒng)的每小時危險失效概率PFHp,是完成硬件系統(tǒng)設計的主要目標。常規(guī)的安全控制系統(tǒng)有輸入子系統(tǒng)(輸入裝置，“I”)、邏輯/處理子系統(tǒng)(邏輯，“L”)和輸出/動力子系統(tǒng)(輸出裝置，“O”)三部分組成(見圖3)。有兩種方式可以獲得各個子系統(tǒng)的PFHp:——安全相關部件的生產(chǎn)廠家提供，如制造商一般可以提供安全繼電器的PFHp值；——通過確定類別、MTTF。和DC后，根據(jù)GB/T16855.1—2018的表K.1得出。宜以子系統(tǒng)為單位，分別確定各個子系統(tǒng)的PFHp,再進行累加，得出整個安全控制系統(tǒng)的PFHp。8如圖4所示，一個安全功能由N個安全控制子系統(tǒng)的組合來實現(xiàn)時，每一個安全控制子系統(tǒng)對應各自的PL,即為PFHpv。所有實現(xiàn)這個安全功能的安全控制子系統(tǒng)的PFHpv的總和，即為此安全功能的總的PFHp,然后根據(jù)GB/T16855.1—2018的表K.1,即可以得出對應的PL。SRP/CS?SRP/CS?SRP/CS.PLx安全控制系統(tǒng)PLPFTIp-PFII?IPFTIp?…PTIIx圖4實現(xiàn)總PL的安全控制子系統(tǒng)組合7.3.2指定架構(gòu)/類別安全控制系統(tǒng)的架構(gòu)決定其容錯能力，并且是其他所有可量化指標的基礎，以此得到安全控制系統(tǒng)的PL。類別是指將安全控制系統(tǒng)按照其故障耐受能力及故障條件下的后續(xù)行為，以部件的可靠性和/或結(jié)構(gòu)布置為基礎進行的分類。評價由安全控制系統(tǒng)達到的PL的簡化程序見表3。故障耐受能力越高，風險減小的可能性越大。類別與五種基本架構(gòu)形式之間存在對應關系，稱為指定架構(gòu)。表3評價由安全控制系統(tǒng)達到的PL的簡化程序類別B122334DCavg無無低中低中高低a不包括abbc不包括中b不包括bccd不包括高不包括CCddde宜按照輸入子系統(tǒng)(輸入裝置，“I”)、邏輯/處理子系統(tǒng)(邏輯，“L”)和輸出/動力子系統(tǒng)(輸出裝置，“O”)進行“垂直”劃分進行架構(gòu)和類別的設計。GB/T16855.1—2018定義了五種架構(gòu)作為類別。GB/T16855.1—2018采用對平均危險失效間隔時間(MTTFp)、平均診斷覆蓋率(DC)以及防止共因失效(CCF)能力的量化要求對此前的類別定義進行補充?；谒栊阅艿燃塒L,,可以根據(jù)表3進行指定架構(gòu)的預設，如：——PL,=a或b,類別選擇B;——PL,=c,類別宜選擇1或2,但對類別1有高的可靠性要求；——PL,=d,類別宜選擇3;——PL,=e,類別宜選擇4。以上選擇僅通過簡化程序給出預期的指定架構(gòu)。結(jié)合對應MTTF。及DCag,可進行安全相關部件的選擇。但是，最終所實現(xiàn)的PL還需要通過計算PFH,所得出。類別B為基本類別，所有其他類別都需要滿足類別B的要求。類別B和類別1主要通過選擇和使用合適的元件實現(xiàn)故障耐受能力。發(fā)生一個故障就可使安全功能失效。由于使用了特殊元件和經(jīng)驗證的安全原則，類別1的抗共因失效能力要高于類別B。9GB/T41118—2021類別2、類別3和類別4主要通過結(jié)構(gòu)措施實現(xiàn)更好的安全功能表現(xiàn)。類別2的安全功能表現(xiàn)通常由技術(shù)檢測設備(TE)通過自檢定期自動檢查。如果兩次檢測中間發(fā)生故障，安全功能就可能失敗。通過選擇適當?shù)臏y試間隔，應用類別2可實現(xiàn)合適的風險減小。類別3和類別4發(fā)生單一故障不會導致安全功能喪失。類別4可自動檢測到此類故障。在合理可行的情況下，類別3也能自動檢測到此類故障。另外，類別4還具備抵抗未檢測故障累積的能力。注：有關指定構(gòu)架示意圖和類別要求總結(jié)見GB/T16855.1—2018的6.2。7.3.3平均危險失效間隔時間(MTTFp)在確定MTTF。之前，宜選定安全控制系統(tǒng)中的相關部件。無論是單個元件，如晶體管、閥門或接觸器，還是模塊、通道及安全控制系統(tǒng)作為一個整體，都有MTTFp。安全控制系統(tǒng)總的MTTFp可根據(jù)組成系統(tǒng)的所有元件的MTTFp,按照GB/T16855.1—2018的附錄D給出的簡化方法計算得出。單個元件的MTTFp宜通過以下順序獲得：a)制造商給出的MTTFp;b)根據(jù)制造商給出的Blop按照GB/T16855.1—2018的附錄C通過計算得出；c)如果無可獲得的數(shù)據(jù)，則選為10年。宜分別估算各個子系統(tǒng)的MTTF,。如子系統(tǒng)采用類別3或類別4的構(gòu)架，則需要考慮并聯(lián)通道的平衡[見GB/T16855.1—2018的公式(D.2)]。7.3.4診斷覆蓋率(DC)對PL有重要影響的另一個變量是安全控制系統(tǒng)的(自我)檢測和監(jiān)控措施。例如，有效的檢測可以對元件的可靠性進行一定補償。GB/T16855.1—2018采用診斷覆蓋率DC來衡量檢測質(zhì)量。基準量可以是一個元件、一個模塊或者整個安全控制系統(tǒng)。對于整個安全控制系統(tǒng)，DC為平均診斷覆蓋率DCg。DC的值分4級，見表4。表4診斷覆蓋率(DC)指標范圍無DC<60%低中高DC≥99%有兩種方法可以計算DC,一種更精確，但更復雜；另一種則較簡單。精確但復雜的方法涉及失效模式和影響分析(FMEA),且以DC定義為基礎。這種情況下，需要確定各元件的可檢測的危險(dd)失效類型和不可檢測的危險(du)失效類型，以及它們占元件總失效率的比例。最后，對這一比例進行求和并列式運算后，得出所考慮單元的DC值，見公式(1):式中：λaui——組成安全功能的每個元件的可檢測的危險失效率；λaut——組成安全功能的每個元件的不可檢測的危險失效率；λai——組成安全功能的每個元件的危險失效率。DCawg的計算宜采用第二種簡單的方法，這種方法基于直接對元件或模塊層的DC進行合理保守的估算，然后再采用平均公式利用各DC值計算DCag。許多措施都可以按照典型標準措施進行分類，GB/T16855.1—2018的附錄E列出了各類措施的DC估計值。這些數(shù)值采用有四個分值(0%、60%、90%和99%)組成的粗略系統(tǒng)進行分類。常用的DC估計如下：b)針對輸入裝置，采用雙通道但無法檢測到短路故障，DC為90%;c)針對輸入裝置，采用雙通道可檢測短路故障，DC為99%;d)針對輸出裝置，如接觸器，采用雙通道且對接觸器安全相關觸點進行直接監(jiān)控(通過機械連接觸點元件監(jiān)控),DC為99%。一旦知道了所有元件的DC值，就可以采用近似計算公式(2)計算系統(tǒng)的DCa值。此公式適合用于采用不同DC值的冗余通道的子系統(tǒng)的DC估計。對于類別2,宜注意檢測頻率和檢測可靠性。檢測頻率至少為安全功能平均要求率的100倍。如果要求安全功能后檢測執(zhí)行的很快，并且能夠在危險發(fā)生前達到安全狀態(tài)，則檢測頻率沒有任何要求。整個檢測通道的MTTFp值不宜低于功能通道MTTFp值的一半。確定類別、MTTF,、DCg之后，可以確定安全控制系統(tǒng)中安全功能的PL。實現(xiàn)安全功能的安全控制系統(tǒng)由不同的子系統(tǒng)組成。這些子系統(tǒng)采用不同的技術(shù)和/或?qū)崿F(xiàn)不同的類別/性能等級。不同的子系統(tǒng)可通過線性(串聯(lián))或冗余(并聯(lián))方式連接，實現(xiàn)安全控制系統(tǒng)中的安全功能。宜采用以下步驟進行PL的確定：a)按照輸入系統(tǒng)、信號處理單元和輸出系統(tǒng)進行分類，構(gòu)成獨立的子系統(tǒng)。b)確定每一個子系統(tǒng)的PFHp:——如子系統(tǒng)直接給出PFHp,可以直接使用，如安全光幕、安全可編程控制器；——對于未直接給出PFHp的子系統(tǒng)，宜根據(jù)每一個子系統(tǒng)類別、MTTFp、DC來確定該子系統(tǒng)的PFHp。c)將所有子系統(tǒng)的PFHp數(shù)值相加，通過求和得出整體PL的相關數(shù)值，見公式(3):PFH=≥APFH=PFHm+PFH+…+PFH…N——安全功能所使用子系統(tǒng)的數(shù)量；PFHp;——第i個子系統(tǒng)的平均每小時危險失效概率。此處需特別注意子系統(tǒng)之間的接口：——所有連接(如導體或總線系統(tǒng)實現(xiàn)的數(shù)據(jù)通信)需已在某個子系統(tǒng)的PL中考慮，或者連接故障已經(jīng)排除或可以忽略不計；——串聯(lián)布置的安全子系統(tǒng)接口宜兼容，即發(fā)出要求安全功能信號的子系統(tǒng)的各輸出狀態(tài)能夠觸發(fā)下游子系統(tǒng)安全狀態(tài)。d)根據(jù)GB/T16855.1—2018的表K.1,對照總的PFH,數(shù)值，確定對應的PL,即得出安全功能的性能等級。7.3.6防止共因失效(CCF)的措施共因失效(CCF)為冗余安全控制系統(tǒng)兩個通道都發(fā)生的因相同原因造成的相關危險失效。在實現(xiàn)PL≥PL的基礎上，且采用類別2、類別3和類別4的構(gòu)架下，宜采取措施防止共因失效。GB/T16855.1—2018的附錄F給出了一個包含8種重要防范措施的檢查清單。這8種措施分別被賦予了5～25不等a)不同通道的信號路徑之間的物理隔離(15分);b)技術(shù)相異，通道的設計結(jié)構(gòu)或物理原理相異(20分);c)防止可能發(fā)生的過電壓、過電流、過壓力、過熱等(15分)以及采用經(jīng)驗證的元件(5分);d)開發(fā)過程中進行失效模式和影響分析，識別可能發(fā)生的共因失效(5分);e)就CCF及如何避免對設計者/維護者進行培訓(5分);f)防止污染(機械或流體系統(tǒng))以及電磁干擾(電氣系統(tǒng))觸發(fā)共因失效(25分);g)防止不利環(huán)境條件觸發(fā)共因失效(10分)。對于以上每種措施，只能得滿分或零分。如果只是部分滿足某種措施，則該措施的得分為零。足夠防止CCF的措施要求最低得分為65分。7.3.7故障考慮和故障排除宜考慮以下的故障判別準則：a)如果由于一個故障的結(jié)果而導致更多元件失效，則第一個故障和隨后發(fā)生的所有故障宜一起視為單一故障；b)由共同原因造成的兩個或兩個以上單獨的故障宜視為單一故障，即通常所說的共因失效；c)由各自原因同時發(fā)生的兩個或多個故障被認為是極不可能的，因此無需考慮；d)在技術(shù)上不大可能發(fā)生的某些故障；e)普遍認可的、獨立于所考慮的應用的技術(shù)經(jīng)驗；f)與應用和特定危險有關的技術(shù)要求。7.4開發(fā)安全相關軟件安全軟件包括安全相關應用軟件(SRASW)及安全相關嵌入式軟件(SRESW)。在安全控制系統(tǒng)設計中，通常是進行安全相關應用軟件(SRASW)的開發(fā)。對于安全控制系統(tǒng)中的安全相關應用軟件(SRASW)的開發(fā)，一般要求參照“V”模型。如圖5所示。安全功能破認確認經(jīng)確認的軟件系統(tǒng)設計綜合測試模塊測試結(jié)果驗證編碼圖5安全相關軟件開發(fā)用簡化V模型在開發(fā)安全相關應用軟件(SRASW)的過程中，安全設計說明可視為安全功能規(guī)范。宜嚴格參照安全設計說明，進行系統(tǒng)、模塊設計及程序編寫。宜將安全相關應用程序和非安全相關應用程序分開編寫。編寫安全相關應用程序時，為了避免錯誤，需要考慮以下幾個方面：——宜采用經(jīng)過認證的編程軟件；——使用經(jīng)認證的編程軟件編寫安全相關程序時，宜采用編程軟件中經(jīng)認證的安全軟件功能塊，如——采用經(jīng)認證的安全軟件功能塊時，功能塊的配置需滿足PLr;——避免采用任何非安全相關信號旁路安全相關信號；——代碼宜清晰易懂，便于后期的測試和無故障修改。安全相關軟件設計完成后，宜安排非本項目開發(fā)人員通過軟件仿真執(zhí)行測試工作。測試完成后，需驗證安全相關應用軟件(SRASW)滿足安全相關軟件規(guī)范。7.5驗證安全功能的PL對于每種單獨的安全功能，有關的SRP/CS的PL宜與PL,匹配。因此，需要將此PL與PL,進行比較。如果某項安全功能實現(xiàn)的PL小于PL,則需要采用GB/T16855.1—2018的圖3中描述的迭代過程進行設計改進(如使用MTTF。更優(yōu)的其他元件),直到滿足PL≥PLr。7.6形成設計文件驗證和確認行為要求提供詳細的文件資料。這些文件資料已經(jīng)在開發(fā)過程中形成，根據(jù)所用技術(shù)不同會有差別。宜充分考慮以下內(nèi)容：a)提出對安全功能以及執(zhí)行這些安全功能的安全控制系統(tǒng)全部要求的規(guī)范文件、性能指標、全部操作模式的列表、全面的功能描述、過程描述；b)適用標準的工作和環(huán)境條件，以及預定應用涉及的強度(額定數(shù)據(jù));c)安全控制系統(tǒng)的設計描述(包括所采用機械、電氣、電子、液壓和氣動元件的細節(jié))、布線圖以及接頭和接口描述、電路圖、裝配圖、元件的技術(shù)數(shù)據(jù)和額定數(shù)據(jù)，適用的數(shù)據(jù)表；d)所有相關故障的分析，如以FMEA(失效模式和影響分析)形式，并引用涉及的故障列表；e)確定PL的數(shù)據(jù)(量化文件);f)全部軟件文件；g)設計和實施遵循的質(zhì)量保證準則，如模擬和數(shù)字電路設計準則、編程指南；h)已經(jīng)完成測試的元件、模塊或安全控制系統(tǒng)的測試證書。8確認8.1確認原則完成驗證之后，宜對SRP/CS的設計進行確認，確認每個安全功能的要求均得到滿足，對不滿足要求的安全功能，則按照圖1進行迭代設計，直至完成所有安全控制系統(tǒng)中所有安全功能的確認。確認工作宜由獨立于安全控制系統(tǒng)設計工作的人員來完成。確認包括分析，以及必要時按確認計劃進行的測試。分析和測試之間的平衡取決于使用的技術(shù)。以下對確認程序一些最重要的內(nèi)容進行了簡要的說明。注：確認的詳細要求見GB/T16855.2。宜通過分析對安全控制系統(tǒng)進行評價。分析的目的是為了通過審查文件或適當時可采用分析工具，如靜態(tài)和動態(tài)軟件分析工具或FMEA工具來確定是否滿足規(guī)定的要求。MTTFp、DC以及CCF可以通過所提供的文件進行評價。如果僅通過分析進行評價還不夠，則需要進行測試來證明能夠滿足要求。測試宜系統(tǒng)規(guī)劃并合理實施，通常與實際開發(fā)過程同步，如原型階段、功能模型階段或軟件/代碼階段。測試所采用的配置宜盡可能接近預定使用的配置。進行測試的環(huán)境條件宜事先確定。測試可手動完成，也可以自動完成。所有分析和測試宜形成文件并記錄最終結(jié)果(合格或不合格)。如果安全控制系統(tǒng)規(guī)范規(guī)定的要求未全部滿足，此時需要返回設計和實施過程的適當階段。否則，則宜結(jié)束確認過程，評價是否已經(jīng)對全部安全功能進行分析。如果全部分析過，則按照GB/T16855.1—2018完成安全控制系統(tǒng)的評估。否則，繼續(xù)對仍未完成確認的安全功能進行測試。(資料性)壓力機安全控制系統(tǒng)設計及驗證示例A.1風險評估使用限制：壓力機由接受過專業(yè)培訓的操作人員，每天16h進行持續(xù)生產(chǎn)操作。由專業(yè)的維修人員進行日常保養(yǎng)和維修。操作人員僅使用雙手模式進行生產(chǎn)，但維修人員根據(jù)具體的問題，會使用寸動模式、連續(xù)模式等其他操作模式。每一小時需要進入到壓機背后，進行取廢料及潤滑操作，操作時間為4min?？臻g限制：滑塊行程為800mm,合模力為250t,每次循環(huán)時間大約為8s。操作人員需要手動將原料放置在模具上，并按下雙手按鈕啟動壓機。完成沖壓作業(yè)后，操作人員需要手動將加工完成的工件取出。A.1.2危險識別由于滑塊的上下移動產(chǎn)生的模具夾緊點，造成的上肢擠壓危險。A.1.3風險評價由于滑塊的上下移動產(chǎn)生對人員雙手造成的擠壓危險，最嚴重時可能造成操作員手臂截肢甚至是死亡，并且人員在16h內(nèi)會持續(xù)暴露在該風險之下。因此，在不使用任何防護措施的情況下，該風險是不可接受的。A.2識別安全功能需考慮通過安全防護，如聯(lián)鎖裝置、安全光幕和雙手操縱裝置作為安全功能進行風險減小。A.3規(guī)定安全功能特征在危險區(qū)增加一個帶有安全聯(lián)鎖的活動式防護裝置，確?；顒邮椒雷o裝置打開時，危險運動停止。在上料部位增加安全光幕，確保人員在危險區(qū)域內(nèi)的時候，安全光幕被觸發(fā)。增加雙手操縱裝置，確?；瑝K下落時，操作人員的雙手不在危險區(qū)域內(nèi)。本示例僅對聯(lián)鎖裝置的安全功能加以分析。A.4確定所需性能等級(PLr)根據(jù)圖2,確定S、F、P的值，以確定PLr。a)S——傷害的嚴重程度。滑塊的下落會對操作人員造成骨折甚至死亡的傷害，取值S2。b)F——暴露于危險的頻率和時間。人員累積的暴露時間為64min(4min/h),超過總運行時間的1/20(48min),取值F2。c)P——規(guī)避危險或限制傷害的可能性?；瑝K運動速度較快，慣性較大，因此發(fā)生危險情況時操作人員較難以回避，取值P2。根據(jù)圖2,得出實現(xiàn)該聯(lián)鎖功能的安全控制系統(tǒng)的所需性能等級PL,=e。安全功能名稱：聯(lián)鎖裝置(控制滑塊運動)。安全功能定義：安全防護裝置，與活動式防護裝置一同作為人員進入危險區(qū)域的保護措施，進行風險減小。安全功能描述：聯(lián)鎖裝置，通常采用安全門開關，安裝在安全門上。當安全門打開的時候，觸發(fā)安全門開關，開關輸出可靠信號至安全控制系統(tǒng)，確保壓力機滑塊停止運動。安全控制子系統(tǒng)：安全門開關為輸入子系統(tǒng)，安全繼電器為邏輯子系統(tǒng)，液壓閥為輸出子系統(tǒng)。A.6安全設計說明壓力機的安全設計說明示例見表A.1。表A.1安全設計說明內(nèi)容示例子系統(tǒng)名稱電氣標識符品牌及型號數(shù)量安全參數(shù)符合的標準備注輸入安全門開關本文件不做細化1Blop=2000000直接斷開見GB/T16855.1—2018的表C.1,位置開關1Blop=1000000制造商給出Blon邏輯安全繼電器1制造商給出PFH輸出液壓閥1MTTFo=150年見GB/T16855.1—2018的表C.1,液壓元件1MTTFp=150年見GB/T16855.1—2018的表C.1,液壓元件邏輯關系安全門開關B1和安全門開關B2被觸發(fā)，安全繼電器K1斷開液壓閥YV1,液壓閥YV2,并監(jiān)控這兩個閥的閥芯位置。根據(jù)表3,如需要實現(xiàn)PL,=e,選擇類別4作為系統(tǒng)構(gòu)架。針對三個子系統(tǒng)的構(gòu)架構(gòu)建如下：a)采用兩個物理上分離的安全開關B1和安全開關B2,采用雙通道的方式由安全繼電器K1監(jiān)控，可以檢測兩個輸入通道間的短路故障，電氣回路圖示例見圖A.1;b)選擇滿足GB/T16855.1—2018的要求，可以實現(xiàn)類別4的安全繼電器；c)輸出采用液壓閥YV1和液壓閥YV2切斷液壓回路，閥芯位置信號反饋至安全繼電器，液壓回路圖見圖A.2。-20口l-20口l9島2à99上--SB1復位按鈕1閥芯檢測1主觸點1主觸點1主觸點2主觸點2-K1-NC輔助觸點-K]23-24古AlS21QlQS1203Pwer]In20ul2元日fX293DCOv/-圖A.1電氣回路圖示例圖A.2液壓回路圖示例A.8平均危險失效間隔時間(MTTFp)按每年365個工作日、每天工作16h以及每次安全門打開1htgee=3600,代入GB/T16855.1—2018的公式(C.2),計算得出nop=5840。兩個安全門開關的Blop值分別為2000000和1000000(見表A.1),代入GB/T16855.1—2018的公式(C.1),計算輸入子系統(tǒng)各個通道的MTTFp值分別為：——MTTFp.B?=3424年，取最大值2500年；帶直接斷開操作的位置開關B1的電氣觸點可以進行故障排除。根據(jù)GB/T16855.1—2018的公式(D.2),計算輸入子系統(tǒng)的MTTFp.和MTTFp.o:——MTTFp.i=2130年；——MTTFp.o=MTTFp.wv?=MTTFp.wvg=MTTFp.wv?=150年。A.9診斷覆蓋率(DC)針對輸入子系統(tǒng)：雙通道結(jié)構(gòu)，且安全繼電器K1對兩個安全門開關狀態(tài)的真實性監(jiān)控，因此B1和B2的DC值取99%。針對輸出子系統(tǒng)：液壓閥取DC值99%的依據(jù)是K1對兩個液壓閥開關狀態(tài)的直接監(jiān)控。根據(jù)7.3.4中的公式(2),得出兩個子系統(tǒng)的DCay都是99%(“高”)。A.10確定PLa)針對輸入子系統(tǒng)：——類別為4;——MTTFp.i=2130年；——DCavg,?=99%(高)。根據(jù)GB/T16855.1—2018的表K.1,PFHp.i=1.13×10-9。b)針對輸出子系統(tǒng)：——類別為4;——MTTFp.o=150年；——DCag.o=99%(高)。根據(jù)GB/T16855.1—2018的表K.1,PFHp.o=1.61×10-*。c)針對邏輯子系統(tǒng)：根據(jù)安全繼電器制造商給出的參數(shù)(見表A.1),PFHp.r=2.31×10-9。d)針對整個安全控制系統(tǒng)：PFH,=PFHp?+PFHpt+PFHpo=1.13×10-?+2.31×10-?+1.61×10-8=1.954×10-8根據(jù)表2,得出PL=e。A.11防止共因失效(CCF)的措施本示例采取的防止共因失效的措施包括：——隔離(15);——經(jīng)驗證元件(5);——FMEA(5);——過電壓保護等(15);——環(huán)境條件(25+10)。根據(jù)7.3.6,采取的措施總計得分為75分，滿足防止CCF的措施要求最低得分為65分的要求。A.12故障考慮和故障排除安全聯(lián)鎖功能的輸入子系統(tǒng)由兩個獨立的開關組成，從物理上確保開關本身故障不會導致安全功能失效。安全繼電器分別采用兩個安全觸點分別控制兩個液壓閥，避免短路故障導致安全功能失效?？紤]到液壓管路泄漏導致的安全功能失效，宜在液壓回路中采用防爆閥，并定期保養(yǎng)檢查。A.13驗證安全功能的PL通過安全設計所構(gòu)成的安全控制系統(tǒng)的PL=e,滿足PL≥PLr。(資料性)木工圓鋸機安全控制系統(tǒng)設計及驗證示例B.1風險評估使用限制：該木工機械由接受過專業(yè)培訓的操作人員，每天8h進行間歇性的生產(chǎn)操作。由專業(yè)的維修人員進行日常保養(yǎng)和維修。操作人員在每個操作循環(huán)前，需手動打開防護罩，手工控制木材上下料進行切割，切割完成后將完成品取走。因此設備的主要僅有手動工作一種操作模式，根據(jù)加工零件的不同，單個零件加工時間約0.5min～1min。空間限制：大鋸片直徑φ40mm、大鋸切厚度120mm、機床外形尺寸850mm×500mm×786mm。電機功率3kW,主鋸轉(zhuǎn)數(shù)：4000r/min～6000r/min。B.1.2危險識別當圓鋸機在非工作狀態(tài)時，鋸片旋轉(zhuǎn)造成的切割傷害。B.1.3風險評價鋸片旋轉(zhuǎn)造成的切割傷害，最嚴重情況下可能造成人員截肢，因此在不使用任何防護措施的情況下，該風險是不可接受的。B.2識別安全功能為了防止人員在非操作時誤觸及旋轉(zhuǎn)的鋸片，需考慮通過安全防護，如聯(lián)鎖裝置作為安全功能進行風險減小。B.3規(guī)定安全功能特征為防止圓鋸機處于非工作狀態(tài)時，鋸片旋轉(zhuǎn)對人員造成切割傷害。在大鋸片處增加一個帶有聯(lián)鎖的活動式防護裝置，確保活動式防護打開時，鋸片旋轉(zhuǎn)運動停止并剎車。B.4確定所需性能等級的要求，得出實現(xiàn)該聯(lián)鎖功能的安全控制系統(tǒng)所需的性能等級B.5安全需求說明安全功能名稱：聯(lián)鎖裝置(控制鋸片)安全功能定義：安全防護裝置，與活動式防護裝置一同作為人員進入危險區(qū)域的安全防護措施，進行風險降低。安全功能描述：聯(lián)鎖裝置，通常采用安全開關，安裝在活動式防護裝置上。當活動式防護裝置打開的時候，觸發(fā)聯(lián)鎖裝置，開關輸出可靠信號至相關控制系統(tǒng)，確保鋸片停止運動。安全控制子系統(tǒng)：位置開關為輸入子系統(tǒng)，接觸器為輸出子系統(tǒng)。GB/T41118—2021B.6安全設計說明木工圓鋸機的全設計說明示例見表B.1。表B.1安全設計說明內(nèi)容示例子系統(tǒng)名稱電氣標識符品牌及型號數(shù)量安全參數(shù)符合的標準備注輸入位置開關本文件不做細化1B?op=2000000直接斷開參數(shù)由制造商給出輸出接觸器1B?op=2000000參數(shù)由制造商給出B.7指定構(gòu)架/類別根據(jù)表3,如需要實現(xiàn)PL,=c,可以選擇類別1作為系統(tǒng)構(gòu)架。針對子系統(tǒng)的構(gòu)架構(gòu)建如下：——采用一個工作在直接斷開方式下的安全開關B1;——輸出采用一個接觸器Q1切斷鋸片電機供電。電氣控制回路圖示例見圖B.1。該設計遵守基本的安全原則，滿足類別B架構(gòu)的要求。采用斷電安全原則作為基本安全原則，控制回路的接地可以被認為是一個經(jīng)驗證的安全原則。位置開關B1是符合GB/T14048.5—2017中附錄K的直接斷開動作位置開關，因此可認為是經(jīng)驗證的元件。當保護裝置不在安全位置時，斷開觸點直接以機械方式切斷電路。接觸器Q1符合GB/T16855.2—2015中表D.4的附加條件，是一個經(jīng)驗證的元件。圖B.1電氣控制回路圖示例B.8平均危險失效間隔時間(MTTFp)按每年200個工作日、每天工作8h以及每次防護罩打開10min的間隔時間，即：do=200,ho=8,teyele=600,根據(jù)GB/T16855.1—2018的公式(C.2),計算得到nop=9600。位置開關的Blop值為2000000(見表B.1),代入GB/T16855.1—2018的公式(C.1),計算輸入子系統(tǒng)的MTTFp.B:MTTFp.s?=2083年。帶直接斷開操作的位置開關B1的電氣觸點可以進行故障排除。類似的，輸出子系統(tǒng)的MTTFD.ai=2083年。B.9診斷覆蓋率(DC)的測試和檢測措施針對輸入子系統(tǒng)：B1無故障監(jiān)控功能，因此DCwg=0%針對輸出子系統(tǒng)，Q1無故障監(jiān)控功能，因此DCag=0%。a)針對輸入子系統(tǒng)：——類別為1;——DCavg,I=0%(無)。根據(jù)GB/T16855.1—2018的表K.1,PFHp.?=1.14×10-6。b)針對輸出子系統(tǒng)：——類別為1;根據(jù)GB/T16855.1—2018的表K.1,PFHp.o=1.14×10-6。c)針對整個安全控制系統(tǒng)：PFHp=PFHp?+PFHp.o=1.14×10-6+1.14×10-?=2.28×10-6根據(jù)表2,PL=c。由于采用類別1的指定架構(gòu)，此時無需考慮防止共因失效的措施。B.12故障考慮和故障排除安裝上采用位置開關進行位置監(jiān)控。防護裝置的穩(wěn)定布置保證了位置開關的啟動。位置開關的執(zhí)行元件受到保護，不會發(fā)生位移。僅使用剛性機械部件連接(在執(zhí)行器和觸點之間沒有彈簧元件)。通過安全設計所構(gòu)成的安全控制系統(tǒng)的PL=c,滿足PL≥PLr。(資料性)碼垛機安全控制系統(tǒng)設計及驗證示例C.1風險評估使用限制：該碼垛機由接受過專業(yè)培訓的操作人員，每天24h進行持續(xù)生產(chǎn)操作。由于生產(chǎn)過程中的需求，操作人員需要偶爾進入碼垛區(qū)域進行調(diào)節(jié)作業(yè)，整理箱子箱型或撿起掉落在地面的紙箱，但人員進入時，需要打開維護門才能進入。正常每8h,需要進入危險區(qū)域2次，每次5min。正常生產(chǎn)時，人員無需進入。由專業(yè)的維修人員進行日常保養(yǎng)和維修。但維修人員進入危險區(qū)域前，會按照碼垛機廠商的安全說明，對危險能源進行上鎖掛牌，并針對存在重力墜落危險的機構(gòu)使用安全插銷進行機械方式鎖定?？臻g限制：碼垛機在低位產(chǎn)品進料的情況下，最高速度為300層/h。C.1.2危險識別由于碼垛機構(gòu)上下移動，推板的前后移動，以及輸送帶運動產(chǎn)生的夾緊點和卷入點，造成的人員上肢或身體的擠壓或卷入危險。C.1.3風險評價由于碼垛機構(gòu)上下移動產(chǎn)生對人員雙手造成的擠壓危險，最嚴重時可能造成操作員死亡，并且人員在每4h就會進入碼垛機內(nèi)部，暴露在該風險之下，因此在不使用任何防護措施的情況下，該風險是不可接受的。C.2識別安全功能考慮通過安全防護，如固定式防護裝置、聯(lián)鎖裝置和安全光幕作為安全功能進行風險減小。C.3規(guī)定安全功能特征在危險區(qū)域四周增加固定式防護，針對需要物料進出的位置，增加帶有屏蔽功能的安全光幕，當物料通過且正確觸發(fā)屏蔽邏輯時，碼垛機可保持運行狀態(tài)，針對