機(jī)械安全 安全控制系統(tǒng) 第1部分：設(shè)計(jì)通則 征求意見稿

I V 9 4.1機(jī)器的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減小過程 4.2對(duì)風(fēng)險(xiǎn)減小的作用 4.6采用子系統(tǒng)實(shí)現(xiàn)安全功能 5.1安全功能識(shí)別和總體描述 6.2實(shí)現(xiàn)總的安全功能性能等級(jí)的子系統(tǒng)組合 6.3基于軟件的手動(dòng)參數(shù)化 7.2有限可變語(yǔ)言（LVL）及全可變語(yǔ)言（FVL） VI 9 表6每個(gè)通道的平均危險(xiǎn)失效間隔時(shí)間（MTTFD） 表A.1基于五個(gè)因素確定參數(shù)P 表C.3二極管、功率半導(dǎo)體和集成電路 表E.1診斷覆蓋率（DC）的估計(jì) 表J.1軟件安全生命周期內(nèi)的活動(dòng)和文件 表M.1適用于典型機(jī)械安全功能的文件示例及其部分特性 表M.2對(duì)部分安全功能和安全相關(guān)參數(shù)提出要求的文件示例 表N.4確認(rèn)接線及硬件輸入/輸出信號(hào) 表N.8軟件代碼審查文件 表O.1設(shè)備類型的特性值 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件是GB/T16855《機(jī)械安全）；）；——細(xì)化了人類工效學(xué)方面的設(shè)計(jì)要求（見第9章，2018年版的4.8——增加了抗電磁干擾能力的信息（見附錄L）；）；——增加了避免安全相關(guān)軟件系統(tǒng)性失效的措——增加了控制系統(tǒng)元件或部件的安全相關(guān)值（見附錄O）。本文件使用翻譯法等同采用ISO13849-1:2023《機(jī)械安全安全控制系統(tǒng)第1部分：設(shè)計(jì)通則》——……本文件由全國(guó)機(jī)械安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC208）提出并歸口?！狦B/T16855.1－1997、GB/T16855.1－2005、GB/T16855.1－20V），），對(duì)于在C類標(biāo)準(zhǔn)的范圍內(nèi)，且已按照C類標(biāo)準(zhǔn)設(shè)計(jì)和制造的機(jī)考慮某些機(jī)械（如移動(dòng)式機(jī)械）是否有特殊要求，但本文件盡可能做到適用于跨行業(yè)使用，且作為C類標(biāo)本文件的目的是在控制系統(tǒng)的設(shè)計(jì)和評(píng)估中給出對(duì)所涉及的控制系統(tǒng)的指南，并為制修訂B2類或C按本質(zhì)安全設(shè)計(jì)措施、安全防護(hù)和/或補(bǔ)充風(fēng)險(xiǎn)減小措施、使用信息的順序采取風(fēng)險(xiǎn)減小措施，實(shí)的設(shè)計(jì)和評(píng)價(jià)。本文件的范圍只包括安全相否是X注：基于GB/T35081—2018中的圖2。注3：圖1給出了SRP/CS對(duì)GB/T15706—2012的風(fēng)險(xiǎn)減小過程第2步的貢獻(xiàn)。SRP/CS通過執(zhí)行安全功能措施的組合。安全控制系統(tǒng)在預(yù)期條件下執(zhí)行安全功能的能力分為5級(jí)，稱之為價(jià)準(zhǔn)則的主觀性，不同的風(fēng)險(xiǎn)估計(jì)方法之間存在差異。與附錄A相比，C類標(biāo)準(zhǔn)能夠針對(duì)特定機(jī)器給出功能安全考慮執(zhí)行安全功能的組件/元件的失效特征。對(duì)于每種安全功能，其失效特征）；）；1本文件適用于包括子系統(tǒng)在內(nèi)的用于高需求和連續(xù)操作模式的SRP/CS，不管其采用何種技術(shù)和能注1：低需求操作模式見3.1.44和GB本文件未規(guī)定特定應(yīng)用的安全功能或所需性注2：本文件規(guī)定SRP/CS設(shè)計(jì)方法時(shí)未考慮某些機(jī)械（如移動(dòng)式機(jī)械）的特殊要求。此類特殊要求由C類標(biāo)準(zhǔn)考慮。本文件未規(guī)定物理安全、IT安全和網(wǎng)絡(luò)安全等方面的具體措施。注3：物理安全、IT安全和網(wǎng)絡(luò)安全等問題會(huì)影響安全功能。更多信息見ISO/TR22100-4和IEC/TR6GB/T15706－2012機(jī)械安全設(shè)計(jì)通則風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)減小（ISO161508-3:2010，IDT）GB/T42598－2023機(jī)械安全使用說明書起草通則（ISO20607:2019，IDT）IEC62061:2021機(jī)械安全安全相關(guān)控制系統(tǒng)的功能安全（Safetyofmachinery—IEC62046:2018機(jī)械安全檢測(cè)人體存在的保護(hù)設(shè)備應(yīng)用（Safetyofmachinery—Applicationofprotectiveequipmentt3.1.12注：執(zhí)行安全功能的控制系統(tǒng)，以安全輸入被觸發(fā)為起始點(diǎn)（例如：位置開關(guān)的致動(dòng)凸輪和3.1.2機(jī)器控制系統(tǒng)machinecon注：機(jī)器控制系統(tǒng)可使用任何技術(shù)或不同技術(shù)的組合（例如：電氣/電子的、液壓的、3.1.3SRS包含安全控制系統(tǒng)從安全功能特性（功能要求）和所需性能等級(jí)（P3.1.43.1.5用于規(guī)定安全控制系統(tǒng)（SRP/CS3.1.1）在預(yù)期條件下執(zhí)行安全功能（3.1.27）的離散等級(jí)。注：性能等級(jí)概述見6.1。3.1.6每種安全功能（3.1.27）為達(dá)到所需的風(fēng)險(xiǎn)（3.1.19注：更多信息見5.3和圖A.1。3.1.7SIL注：本文件只考慮了SIL1~SIL3。3.1.833.1.93.1.103.1.11采取糾正性維護(hù)措施前一直持續(xù)存在的產(chǎn)品故障3.1.12a)安全功能被要求時(shí)（需求模式）無(wú)法運(yùn)行或者造成安全功能失敗（連續(xù)模式從而使機(jī)3.1.13CCF注：共因失效與共模失效不同（見GB/T15706—2012，3.36）。3.1.14——安全要求規(guī)范（SRS3.1.33.1.1543.1.163.1.17——意外出現(xiàn)的危險(xiǎn)（例如：爆炸、意外啟動(dòng)引起的擠壓危險(xiǎn)、破碎引起的拋射、加速/減速引起的墜落）。3.1.18注：這類暴露可能立即或在一定時(shí)間之后對(duì)人員產(chǎn)生傷害（3.1.17）。3.1.193.1.20采取風(fēng)險(xiǎn)減小措施（保護(hù)措施3.1.22）之注：見圖3。3.1.213.1.22保護(hù)措施protectivemeasu示例：本質(zhì)安全設(shè)計(jì)、保護(hù)措施、個(gè)體防護(hù)裝備、3.1.2353.1.243.1.253.1.26可合理預(yù)見的誤用reasonableforesee3.1.273.1.28注：子功能由控制系統(tǒng)安全相關(guān)部分的子系統(tǒng)（3.1.45）實(shí)施。另見IEC61800-5-2:2016。GB/T12668.502-20133.1.29注：實(shí)現(xiàn)診斷的方法包括：真實(shí)性檢查（3.1.52）、直接/間接/交叉監(jiān)控（3.1.30見附錄E3.1.30對(duì)冗余子系統(tǒng)（3.1.45）兩個(gè)通道（3.1.31可編程電子系統(tǒng)programmablee器和其他輸入裝置、數(shù)據(jù)總線和其他通信路徑，以及執(zhí)行器及其他3.1.32平均危險(xiǎn)失效間隔時(shí)間meantimetodangeMTTFD注：如果產(chǎn)品的無(wú)危險(xiǎn)失效前運(yùn)行時(shí)間呈指），3.1.33平均失效間隔時(shí)間meantimebet6MTBF3.1.34RDF3.1.35注：診斷覆蓋率的適用對(duì)象可以是整個(gè)安全相關(guān)系統(tǒng)或其部件。例如：診斷覆蓋率可適用于傳感器和/或邏輯系統(tǒng)3.1.36TM3.1.37SRP/CS中檢測(cè)故障（3.1.8）的測(cè)試3.1.383.1.39LVL能夠通過組合預(yù)定義和專用的庫(kù)函數(shù)來(lái)實(shí)現(xiàn)安全要求規(guī)范（SRS3.1.33.1.40FVL3.1.417安全相關(guān)應(yīng)用軟件safety-relatedSRASW3.1.42安全相關(guān)嵌入式軟件safety-relatSRESW注：嵌入式軟件也稱作固件或系統(tǒng)軟件。見全可變語(yǔ)言（FVL3.1.40）。3.1.43高需求或連續(xù)模式highdeman3.1.44一種運(yùn)行模式，在該模式下，要求SRP/CS注：本文件未討論低需求模式。更多細(xì)節(jié)見第1章。3.1.45SRP/CS經(jīng)一級(jí)分解后得到的實(shí)體，其危險(xiǎn)失效（3.1注2：一個(gè)子系統(tǒng)可以是一個(gè)或若干個(gè)SRP/CS的組成部分，例如同一接觸器組合可用于檢測(cè)到危險(xiǎn)區(qū)內(nèi)有人時(shí)以及3.1.463.1.473.1.48注1：針對(duì)每種特定的操作模式都實(shí)施了相關(guān)的安全功能（3.1.27）和83.1.49經(jīng)驗(yàn)證的安全原則well-triedsafetyprinciple注3：GB/T16855.2-2018中的3.1.50經(jīng)驗(yàn)證的元件well-triedsafetyc注：具體要求見6.1.11，公認(rèn)的經(jīng)驗(yàn)證元件清單見GB/T13.1.51采用受控或系統(tǒng)性方式執(zhí)行軟件和/或操作硬件，以證明具備所要求的行為，同時(shí)沒有不需要的行3.1.523.1.533.1.543.1.553.1.5693.1.573.1.58每小時(shí)平均危險(xiǎn)失效頻率averagefrequena、b、c、d、eB、1、2、3、4B10DDCavgλDM~NlowPLlowTM4.1機(jī)器的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減小過程GB/T15706—2012給出了風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減小過程，見圖2。注2：更多信息，見GB/T35081—2018。本文件不是是否否是是否是是否是否是是是否否是是否是是否?否注3：特殊情況下，本文件也可適用于圖2中的第3步。如顯示和報(bào)警4.2對(duì)風(fēng)險(xiǎn)減小的作用注：關(guān)于風(fēng)險(xiǎn)減小的更多信息見GB/T157是否?類別（6.1.3）?MTTFD（6.1.4）?DC（6.1.5）?CCF（6.1.6）?系統(tǒng)性失效（6.1.7）?經(jīng)驗(yàn)證的安全原則（3.1.49）?經(jīng)驗(yàn)證的元件（3.1.50）?軟件（第7章和附錄I）否否否4.4方法abcdePFH＜10-7注：可認(rèn)為此處的PFH值與IEC62061:2021和GB/T20438規(guī)定的PF子系統(tǒng)（見5.5）應(yīng)采用SRP/CS相同的過程按照第5章~第13章進(jìn)行評(píng)估。每一種安全功能所實(shí)現(xiàn)的4.5所需的信息——每種安全功能的詳細(xì)描述，包括其對(duì)風(fēng)險(xiǎn)減小的作用（見5.2——確定每種安全功能的所需性能等級(jí)（PLr見5.34.6采用子系統(tǒng)實(shí)現(xiàn)安全功能——采用以前已按照本文件、IEC62061:2021、GB/T20438或其他有關(guān)新的子系統(tǒng)5.1安全功能識(shí)別和總體描述可按照GB/T15706—2012中6.2.11編寫安全功5.2安全要求規(guī)范5.2.1通用要求一般要求SRS提供了從按照GB/T15706—2012進(jìn)行的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減小過程向按照本文件進(jìn)行的SRP/CS設(shè)計(jì)和評(píng)價(jià)過程過渡的必要信息，尤其是這兩個(gè)過程由不同的人）；）；編寫安全要求規(guī)范（SRS）的必要信息應(yīng)向安全控制系統(tǒng)設(shè)計(jì)者提供以下信息，以便編制SRS：a)風(fēng)險(xiǎn)減小措施依賴安全控制系統(tǒng)執(zhí)行安全功能時(shí)，每種特定危險(xiǎn)關(guān)聯(lián)的機(jī)器或機(jī)器部件的風(fēng)安全要求規(guī)范（SRS）中所有安全功能的規(guī)范i)失去動(dòng)力時(shí)的機(jī)器行為（見必要按照系統(tǒng)要求進(jìn)行加固（如動(dòng)力組件）。一種設(shè)計(jì)方案是在氣缸上增加一個(gè)單向閥或增加機(jī)）；注：在采用持續(xù)人員檢測(cè)防止危險(xiǎn)狀況發(fā)生典型安全功能及其特征和安全相關(guān)參數(shù)見.2特定安全功能的要求概述安全相關(guān)停止功能根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，安全相關(guān)停止功能可通過GB/T5226.手動(dòng)復(fù)位功能示例：一種解決方法是采用順序復(fù)位。復(fù)位功能由位于危險(xiǎn)區(qū)內(nèi)的第一個(gè)裝置結(jié)置）的第二個(gè)裝置觸發(fā)。該復(fù)位程序可在控制系統(tǒng)收到單獨(dú)的啟動(dòng)指令前較短時(shí)間內(nèi)完成。如果無(wú)法從重新啟動(dòng)功能置應(yīng)符合GB/T15706－2012中如果聯(lián)鎖防護(hù)裝置的監(jiān)控不能優(yōu)先于自動(dòng)流程控制，則操作者調(diào)整工件時(shí)可能存在機(jī)器意外重啟的裝置再次關(guān)閉，且維護(hù)人員已離開危險(xiǎn)區(qū)域之前，不宜允許自動(dòng)重啟?？刂葡到y(tǒng)提供的防止意外啟動(dòng)的作用（見GB/T本地控制功能——從多個(gè)控制站（本地或遠(yuǎn)程）觸發(fā)指令不應(yīng)造成危險(xiǎn)狀況。選用本地控制默停功能默停是指由機(jī)器安全控制系統(tǒng)臨時(shí)自動(dòng)停止某項(xiàng)安全功能。該功能用于下列情況允許人員或物料默停功能不應(yīng)自動(dòng)觸發(fā)并終止。這可以通過恰當(dāng)選型和定位的傳感器或者來(lái)自機(jī)器控制系統(tǒng)的信號(hào)實(shí)現(xiàn)。如果信號(hào)、順序或者默停傳感器或信號(hào)的同步不正確默停的實(shí)施應(yīng)符合GB/T29483—202X的要求。另見表M.1。安全相關(guān)參數(shù)如果可編程或可配置電子系統(tǒng)中安全相關(guān)數(shù)據(jù)手動(dòng)輸入錯(cuò)誤能夠?qū)е挛ｋU(xiǎn)狀況，則應(yīng)提供數(shù)據(jù)檢查措施，如檢查極限值的格式和/或邏輯輸入值。更多要求見6.3和表M.2。能量源的波動(dòng)、喪失和恢復(fù)系統(tǒng)其他部件保持安全狀態(tài)的輸出信號(hào)。另見表M.2。操作模式選擇要求c)從一種操作模式轉(zhuǎn)換到另一種操作模式時(shí)，應(yīng)激活所選擇操作模式需要的安全功能和/或機(jī)器的設(shè)計(jì)應(yīng)考慮在機(jī)器上執(zhí)行的維修任務(wù)并為維修任務(wù)提供安全功能。安全功能規(guī)范應(yīng)考慮每5.2.3最小化廢棄安全功能的動(dòng)機(jī)5.2.4遠(yuǎn)程訪問5.3確定各安全功能的所需性能等級(jí)（PLr）應(yīng)確定和記錄選取的每種安全功能的所需性能等級(jí)（PLr）。所需性能等級(jí)的確定應(yīng)以風(fēng)險(xiǎn)評(píng)估結(jié)還應(yīng)考慮是否涉及疊加危險(xiǎn)。進(jìn)一步的指南見A.3。5.4審查安全要求規(guī)范（SRS）開始設(shè)計(jì)前應(yīng)對(duì)照風(fēng)險(xiǎn)評(píng)估驗(yàn)證SRS。審查應(yīng)確保所有安全功能都有規(guī)范，能夠?qū)崿F(xiàn)機(jī)器預(yù)定的風(fēng)應(yīng)按照10.1.1的要求確認(rèn)SRS。）；SRP/CS的構(gòu)成可包括統(tǒng)——輸入（如限位開關(guān)、傳感器、AOPD子系統(tǒng)1、子系統(tǒng)4和子系統(tǒng)6——邏輯/處理（子系統(tǒng)2和子系統(tǒng)5——輸出/功率控制組件（如閥門、接觸器、變流器、制動(dòng)器子系統(tǒng)3和子系統(tǒng)5）；運(yùn)動(dòng)的繼電器）的“智能”傳感器單元（如光幕、激光掃描儀）應(yīng)為執(zhí)行安全功能的每個(gè)子系統(tǒng)和/或子系統(tǒng)組合確定性能等級(jí)。子系統(tǒng)的PL應(yīng)通過對(duì)以下方面的——經(jīng)驗(yàn)證的元件（GB/T16855.2—2015中表A.3)評(píng)估在故障條件下所需的行為是否得到）；注4：對(duì)于任何類型的系統(tǒng)（如復(fù)雜結(jié)構(gòu)有幾種方法可以估計(jì)PL的定量方面，如馬爾科夫模型、廣義隨機(jī)pe6.1中給出了子系統(tǒng)的PL評(píng)估要求。6.1.8（圖12）和6.1.9給出了子系統(tǒng)PL評(píng)估的簡(jiǎn)化方法，該方法使用了附錄B至附錄H、附錄J、附錄K和附錄L中給出的流程。子系統(tǒng)組合的PL評(píng)估見6.2。應(yīng)按照本文件的要求和指導(dǎo)實(shí)現(xiàn)PL的定性方面和避免系統(tǒng)性失效。系統(tǒng)性失效見6.1.7和附錄G。如果產(chǎn)品的具體標(biāo)準(zhǔn)，如針對(duì)電敏感防護(hù)設(shè)備（ESPE）的GB/T19436或針對(duì)壓力敏感防護(hù)設(shè)備的GB/T17454，規(guī)定了避免或控制系統(tǒng)性或隨機(jī)性失效的要求，則此類子系統(tǒng)除滿足本文件規(guī)定的要求——在組件層面上減小影響安全功能的失效概率。例如，通過選擇經(jīng)驗(yàn)證的組件或安全原則，或兩者兼具，以最小化或排除致命——改進(jìn)子系統(tǒng)的架構(gòu)以避免故障的危險(xiǎn)影響。有的故障可能需要檢測(cè)，因此有必要采包括容錯(cuò)和故障檢測(cè)在內(nèi)的結(jié)構(gòu)是決定PL的重要參數(shù)。架構(gòu)約束限制了類別B、類別1和類別2的最大可實(shí)現(xiàn)PL。架構(gòu)約束見.2至6.1.36.1.2性能等級(jí)（PL）和安全完整性等級(jí)（SIL）之間的關(guān)系IEC62061:2021使用SIL進(jìn)行設(shè)計(jì)。根據(jù)GB/T20438或IEC62061:2021設(shè)計(jì)的子系統(tǒng)可以使用，但應(yīng)限應(yīng)按6.2組合。PL和SIL之間的關(guān)系見表4。表4性能等級(jí)（PL）與安全完整性等級(jí)（SIL）之間的關(guān)系ab1c1d2e36.1.3架構(gòu)——類別及其與每個(gè)通道MTTFD、平均診斷覆蓋率和共因失效（CCF）的關(guān)系根據(jù)本文件設(shè)計(jì)的子系統(tǒng)應(yīng)符合中規(guī)定的類別之一的要求。類別是實(shí)現(xiàn)特定PL的基礎(chǔ)，描述了基于6.1.1中設(shè)計(jì)考慮的子系統(tǒng)在抵御故障方面的所需行為。抗故障能力。在類別2、類別3和類別4中，主要通過改善容錯(cuò)能力或診斷措施，或兩者兼具，以改善性能。在類別2中，是通過定期檢查指定的子功能是否被正確執(zhí)行（無(wú)故障）來(lái)實(shí)現(xiàn)的。在類別3和4中，當(dāng)考慮部件的失效原因時(shí)，有可能排除某些MTTFDDCavgB)無(wú)1)高無(wú)2)低~高3)低~高4)高注：全部要求見。b）所需性能等級(jí)（PLrf）平均危險(xiǎn)失效間隔時(shí)間（MTTFD），類別B子系統(tǒng)至少應(yīng)根據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)、構(gòu)造、選擇、裝配和組合，并將基本的安全原則（見——其他相關(guān)的外部影響，例如：機(jī)械振動(dòng)、類別B可實(shí)現(xiàn)的PL最大值為PLb。標(biāo)引序號(hào)說明：類別1除應(yīng)滿足與.2對(duì)類別B的相同要求外，還應(yīng)滿足以下要求。類別1的子系統(tǒng)應(yīng)采用符合6.1.11的經(jīng)驗(yàn)證的組件和經(jīng)驗(yàn)證的安全原則來(lái)設(shè)計(jì)和構(gòu)造（見3.1.49和注1：類別1架構(gòu)中沒有診斷覆蓋率（DCavg＝無(wú)）。在這種結(jié)構(gòu)），類別1可實(shí)現(xiàn)的最大PL為PLc。注2：故障的發(fā)生可導(dǎo)致安全功能的喪失。然而，類別1中單個(gè)通道的MTTFD比類別B中的標(biāo)引序號(hào)說明：類別2除應(yīng)滿足與.2對(duì)類別B的相同要求外，還應(yīng)遵循3.1.49和GB/T16855.2的"經(jīng)驗(yàn)證的——如果檢測(cè)到故障，產(chǎn)生觸發(fā)適當(dāng)控制動(dòng)作的），測(cè)試，并且檢測(cè)故障和使機(jī)器處于非危險(xiǎn)情況（通常為使機(jī)器停止）的總時(shí)間決于所所需性能等級(jí)（PLr）。應(yīng)采取防止功能通道和測(cè)試通道CC類別2可實(shí)現(xiàn)的最大PL為PLd。注3：類別2功能有效性的支持原理是所采用的技術(shù)措施，以及測(cè)試率的選擇和測(cè)試設(shè)備標(biāo)引序號(hào)說明：類別3除應(yīng)滿足與.2對(duì)類別B的相同要求外，還應(yīng)遵循3.1.49和GB/T16855.2的“經(jīng)驗(yàn)證的類別3可實(shí)現(xiàn)的最大PL為PLe。類別3的子系統(tǒng)設(shè)計(jì)應(yīng)使得任何單一故障都不會(huì)導(dǎo)致子功能喪失。只要合理可行，單一故標(biāo)引序號(hào)說明：類別4除應(yīng)滿足與.2對(duì)類別B的相同要求外，還應(yīng)遵循3.1.49和GB/T16855.2的“經(jīng)驗(yàn)證的——單一故障在下一次要求安全功能時(shí)或之前被檢測(cè)到，例如：在開關(guān)接通時(shí)束時(shí)立即檢測(cè)。但是如果無(wú)法進(jìn)行這種檢測(cè)，那么未發(fā)現(xiàn)的故障的整個(gè)子系統(tǒng)的平均診斷覆蓋率（DCavg）應(yīng)為高。每個(gè)冗余通道的MTTFD應(yīng)為高。應(yīng)采取防止CCF的措注3：類別3和類別4之間僅有的差別是類別4中的DCavg更高，并且標(biāo)引序號(hào)說明：用于監(jiān)控的實(shí)線代表DC，該DC大于類別3中指定6.1.4平均危險(xiǎn)失效間隔時(shí)間（MTTFD）注2：關(guān)于現(xiàn)場(chǎng)數(shù)據(jù)的更多信息，見GB/T20438.7-2017附錄C給出了如何計(jì)算或評(píng)估單個(gè)組件的MTTFD值的實(shí)用指南。附件D描述了如何從中推導(dǎo)出每個(gè)通表6每個(gè)通道的平均危險(xiǎn)失效間隔時(shí)間（MTTFD）低中高中，子系統(tǒng)每個(gè)通道的MTTFD值預(yù)期不能小6.1.5診斷覆蓋率（DC）4中應(yīng)考慮DC?！痞薉total——全部危險(xiǎn)失效的失效率之和。DC應(yīng)基于故障模式和影響分析（FMEA見GB/T7826或通過使用基于E.1和表E.1的DC簡(jiǎn)化估注1：對(duì)于DC的估計(jì)，在大多數(shù)情況下，可以使用FMEA（見GB/T7826和EN50495:2010的慮所有相關(guān)的故障和/或失效模式。也可見GB/T16855.2—2015的EDC的值分4級(jí)給出，見表7。表7診斷覆蓋率（DC）無(wú)低中高注1：對(duì)于包含幾個(gè)部件的子系統(tǒng)，圖5、第7章和E.2中采用了DC的平均值6.1.6共因失效（CCF）對(duì)于類別2、類別3和類別4的子系統(tǒng)，應(yīng)考慮具有共同原因的兩個(gè)或多個(gè)獨(dú)立故障的概率。在類別2中，CCF指的是功能通道和測(cè)試通道中的共因失效。在類別3和類別4中，CCF指的是兩個(gè)功能通道中的6.1.7系統(tǒng)性失效——環(huán)境壓力影響（例如，溫度，振動(dòng)及EMI抗擾度應(yīng)編制功能安全計(jì)劃記錄為實(shí)現(xiàn)SRP/CS所要求的功能安全而必須進(jìn)行的活動(dòng)。編制功能安全計(jì)劃6.1.8估計(jì)子系統(tǒng)性能等級(jí)的簡(jiǎn)化本章描述了基于指定架構(gòu)估計(jì)一個(gè)子系統(tǒng)PL的簡(jiǎn)化程序。其他架構(gòu)可以被映射到這些指定的架構(gòu)指定架構(gòu)以模塊圖表示，并在中的每個(gè)類別說明中列出。關(guān)于模塊法和安全相關(guān)模塊圖的信息在和附錄B中給出。也可見IEC61708:20），注：任務(wù)時(shí)間（TM）假定為20年，此期間的組件可靠性可以通過恒定原因造成的實(shí)際的任務(wù)時(shí)間可能少于20年，宜記錄。也可見附錄C.4。該方法考慮把類別作為具有規(guī)定DCavg的架構(gòu)。每個(gè)子系統(tǒng)的PL取決于架構(gòu)、每個(gè)通道的MTTFD以及DCavg。（低、中、高可選擇用來(lái)實(shí)現(xiàn)所需的PL。在使用圖12的簡(jiǎn)化方法（代表了基于6.1.3中指定架構(gòu)的不同馬爾可夫模型的結(jié)果）之前，應(yīng)確定12提供了一個(gè)確定子系統(tǒng)實(shí)現(xiàn)的PL的圖形化方法。類別（包括CCF）和DCavg的組合決定了要選擇圖12的哪一列。根據(jù)每個(gè)通道的MTTFD，應(yīng)在相關(guān)柱狀圖的三個(gè)不同陰影區(qū)域中的精確值對(duì)PL進(jìn)行更精確的數(shù)字選擇，見附件估計(jì)子系統(tǒng)性能等級(jí)的該簡(jiǎn)化程序的詳細(xì)示=======無(wú)無(wú)低中低中高——每個(gè)通道的MTTFD值為低；概述系統(tǒng)，這些子系統(tǒng)沒有可靠性數(shù)據(jù)，也不能應(yīng)用C.2中給出的良好工程實(shí)踐方法。在這種情況下，機(jī)器制造商可以使用~中描述的替代程序來(lái)評(píng)估PL，前提條件在沒有MTTFD數(shù)據(jù)的情況下，安全相關(guān)性能等級(jí)（PL）可以通作為最壞的假設(shè)，T10D值限制為10年。對(duì)于經(jīng)驗(yàn)證的組件，可以接受T10D為20年的假設(shè)。在這個(gè)過關(guān)于DCavg和CCF以及系統(tǒng)性問題等（見6.1.3）B—5.0×10-6b1—1.7×10-6c21.7×10-6c32.9×10-7d44.7×10-8ea除MTTFD外，還應(yīng)滿足6.1.3.b這里提到的可實(shí)現(xiàn)的PL只包括可量化的方面。還應(yīng)滿足非量化方面的附加要求，如系統(tǒng)性失效和軟件（見6.1——對(duì)于類別B、類別2和類別3，每個(gè)通——對(duì)于類別1，因?yàn)槭褂媒?jīng)驗(yàn)證的組件，可以采用通道對(duì)于類別2和類別3，應(yīng)考慮共因失效和DC。對(duì)于類別2和類別3，D在設(shè)計(jì)安全子系統(tǒng)時(shí)應(yīng)評(píng)估故障及其影響。應(yīng)考慮其故障可能導(dǎo)致子系統(tǒng)的某個(gè)功能通道中的安注：執(zhí)行安全功能不直接需要但起支持作用的元件（如濾波元件、過電壓保護(hù)），通常不會(huì)影響通道的M應(yīng)采用一種方法來(lái)評(píng)估組件可能的故障或失效的影響，或兩者兼具的影響，如FMEA（見IEC60812），b)與具體應(yīng)用無(wú)關(guān)的普遍接受的技術(shù)注：見GB/T20438.2-2017中7.4.10“經(jīng)使用證明”。6.2實(shí)現(xiàn)總的安全功能性能等級(jí)的子系6.2.1概述SRP/CS可以使用子系統(tǒng)的組合來(lái)實(shí)現(xiàn)，總的P的高需求或連續(xù)模式的先前已確認(rèn)的子系統(tǒng)，可以按照6.1.2和6.2.2將SIL關(guān)聯(lián)至PL。根據(jù)GB/T20438系列或IEC62061:2021以及上述限制計(jì)算的PF并不是都能從按照IEC62061:20216.2.2PFH值已知這些子系統(tǒng)以串聯(lián)組合的方式運(yùn)行，作為一個(gè)整體執(zhí)行某個(gè)安全功能。每個(gè)SBi都已經(jīng)評(píng)估了PLi。這種——參與執(zhí)行安全功能的單個(gè)子系統(tǒng)的最低PL值，以及——根據(jù)表2查出的與組合SRP/CS的PFH相對(duì)應(yīng)的PL。注：此方法的示例見附錄H。6.2.3PFH值未知如果所有單個(gè)SBi的PFH值未知，那么作為6.2.2的替代方案，執(zhí)行安全功能的SRP/CS的PL可以根據(jù)a）識(shí)別所有子系統(tǒng)中最低的PL：此為PLlPLlowNlowa>3ab>2abc>2bcd>3cde>3de注：本表格基于和PL之間存在對(duì)數(shù)關(guān)系的PFH范圍（見表2）。6.3.1概述6.3僅規(guī)定了基于軟件的手動(dòng)參數(shù)化。該參數(shù)化由授權(quán)人員執(zhí)行和示例：具有集成子功能的變頻器可以通過基于PC的配置工具進(jìn)行參數(shù)化以設(shè)置速度限基于軟件的手動(dòng)參數(shù)化要求的目的是保證安全功能或子功能指定的安全相關(guān)參數(shù)正確地傳輸?shù)綀?zhí)假定不會(huì)出現(xiàn)6.3.2中所列的影響或其他任何可合理預(yù)見的影響導(dǎo)致的危險(xiǎn)失效。當(dāng)使用預(yù)先設(shè)計(jì)的工如果安全相關(guān)子系統(tǒng)或SRP/CS不能通過基于軟件6.3.2安全相關(guān)參數(shù)的影響因素——在沒有通知參數(shù)化負(fù)責(zé)人的情況下，參數(shù)化過程中全部或部分參數(shù)沒有使用預(yù)先設(shè)計(jì)的具備基于軟件手動(dòng)參數(shù)化能力的SRP/CS或子系統(tǒng)，目的是防止6.3.2中所列的影響根據(jù)本文件設(shè)計(jì)具備基于軟件手動(dòng)參數(shù)化能力的SRP/CS或子系統(tǒng)時(shí)，不應(yīng)出現(xiàn)上述影響或其他任——通過修改參數(shù)重新傳輸給參數(shù)化工具的方式，或——以及隨后的確認(rèn)，例如，由合適的熟練人員和通過參數(shù)化工具自動(dòng)檢查。在確認(rèn)更改之注：參數(shù)化軟件工具使用非專用于此目的的設(shè)備（例如個(gè)人電腦或同等設(shè)注：使用非專用于此目的的設(shè)備（例如個(gè)人電腦或同等設(shè)備）進(jìn)行參基于軟件的手動(dòng)參數(shù)化應(yīng)使用SRP/CS或相關(guān)子系統(tǒng)的制造商或供應(yīng)商提供的專用參數(shù)化工具，并）；盡管人工智能（AI）可用于SRP/CS，但本文件不涉及注2：附錄N概述了使用LVL實(shí)現(xiàn)SRA7.2有限可變語(yǔ)言（LVL）及全可變語(yǔ)言（FVL）7.2.1有限可變語(yǔ)言（LVL））：7.2.2全可變語(yǔ)言（FVL）7.2.3使用有限可變語(yǔ)言（LVL）或者全可變語(yǔ)言（FVL）的決策通常，軟件可以由LVL或FVL編寫。SRP/CS的設(shè)計(jì)者應(yīng)根據(jù)圖15決定編程語(yǔ)言采用FVL還是LVL。是是否是否否是否否是是否是7.3安全相關(guān)嵌入式軟件（SRESW）7.3.1安全相關(guān)嵌入式軟件（SRESW）設(shè)計(jì)d)控制系統(tǒng)性失效，例如程序順序監(jiān)控，數(shù)據(jù)通訊過程中的PLr為e的元件的SRESW應(yīng)符合GB/T20438.3—2017的第7章相異性技術(shù)時(shí)，對(duì)于類別3或類別4子系統(tǒng)的雙通道，上述PLr為c或d的額外措施可以實(shí)現(xiàn)PLr注：采用多樣化設(shè)計(jì)及編碼的SRESW，對(duì)于類別3或類別4的子系統(tǒng)，或者類別27.3.2嵌入式軟件不可訪問時(shí)的替當(dāng)SRP/CS設(shè)計(jì)者無(wú)法訪問嵌入式軟件時(shí)7.4安全相關(guān)應(yīng)用軟件（SRASW）軟件安全生命周期（見7.1）同樣適用于S采用LVL編寫且符合以下要求的SRASW可以實(shí)現(xiàn)PLa~PLe。若SRASW采用FVL編寫，應(yīng)采用SRESW的要如果一個(gè)元件中部分SRASW（如因更改）會(huì)影響多個(gè)具有不同PL的安全功能，則應(yīng)采用最高PL相關(guān)2)只要合理可行，宜使用經(jīng)確認(rèn)的功能塊庫(kù)——無(wú)論是由工具制造商提供的安全相關(guān)功能），3)宜使用適合于模塊化方法的合理LVL子集（見7.2.1如符合2)模塊化及結(jié)構(gòu)化編程，主要應(yīng)用經(jīng)確認(rèn)的安全相關(guān)功能塊庫(kù)或其他模塊化結(jié)構(gòu)衍生的功4)功能塊內(nèi)代碼執(zhí)行只能有一個(gè)入口和一個(gè)出口；）；2)不應(yīng)存在可能導(dǎo)致安全相關(guān)信號(hào)完整性降級(jí)的非安全相關(guān)數(shù)據(jù)和安全相關(guān)數(shù)據(jù)的邏輯組）；8驗(yàn)證實(shí)現(xiàn)的性能等級(jí)作為安全功能一部分，不同子系統(tǒng)的PL應(yīng)高于或等于該安全功能所需性能等級(jí)（PLr）（見5.3和9人類工效學(xué)方面的設(shè)計(jì)操作者與SRP/CS之間的接口的設(shè)計(jì)和實(shí)現(xiàn)應(yīng)盡可能減少機(jī)器所有預(yù)定使用和可合理預(yù)見的誤用過人類工效學(xué)原則的安全要求應(yīng)符合GB/T15706－2012中的6.2.8。注：人類工效學(xué)原則旨在提高控制系統(tǒng)的易用性，以消除廢棄動(dòng)機(jī)或避免機(jī)器意外誤用。人類工效學(xué)的指南見確認(rèn)過程的目的是為了確定SRP/CS滿足按第5章和第7章要求創(chuàng)建的總體SRS。SRP/CS的確認(rèn)包括對(duì)SRP/CS的檢查（例如通過分析）和測(cè)試，以確保其達(dá)到SRS中規(guī)定的要求（根注3：在相對(duì)容易的時(shí)候盡早解決問題，即在）：?系統(tǒng)結(jié)構(gòu)；）（是否是否否是~~此清單可以基于GB/T16855.2—2015附錄中的通用故障清單或通過產(chǎn)品觀察發(fā)現(xiàn)的（重復(fù)出現(xiàn)的）故對(duì)于基于通用故障清單的特定產(chǎn)品故障清單,應(yīng)規(guī)定以下內(nèi)容:）；如果軟件與安全功能相關(guān),則軟件的文件應(yīng)包括:——軟件的設(shè)計(jì)能實(shí)現(xiàn)所需的PL的證據(jù)（見10.6.3）；示例2：FMEA（見GB/T7826）和失效模式、影響與危害性分析（Fc)應(yīng)將測(cè)試記錄和測(cè)試計(jì)劃進(jìn)行對(duì)比，以確保實(shí)現(xiàn)實(shí)際應(yīng)用時(shí),應(yīng)向SRP/CS施加各種組合的輸入信號(hào)完成安全功能的測(cè)試確認(rèn)。應(yīng)將輸出端的最終通過測(cè)試進(jìn)行確認(rèn)的過程中,測(cè)量精度應(yīng)與測(cè)試相適應(yīng)。一般情況下,應(yīng)保證溫度的測(cè)量精度在如果對(duì)SRP/CS的要求比本文檔規(guī)定的注：根據(jù)風(fēng)險(xiǎn)評(píng)估，如果控制系統(tǒng)不得不經(jīng)受特別惡劣的工作條件時(shí)，如野蠻操作、濕度影響、羥基某些測(cè)試可使某些元件的性能發(fā)生永久改變。如果元件的永久性改變使得安全相關(guān)部件不能滿足如果某一特定測(cè)試為破壞性測(cè)試,且通過對(duì)SRP/CS的部件進(jìn)行單獨(dú)測(cè)試可得到相同的結(jié)果，則為功能測(cè)試應(yīng)確保在整個(gè)范圍內(nèi)實(shí)現(xiàn)了所有安全相關(guān)的輸出，并按照技術(shù)規(guī)范的要求響應(yīng)安全注：如果機(jī)器的安全功能很復(fù)雜或數(shù)量眾多，——檢查安裝在機(jī)器上的硬件元件，以及相關(guān)軟件的詳細(xì)資料，以確定其與文——檢查SRP/CS操作界面是否符合人類工效學(xué)原則。B1234XXXXXXXXXXXXXXXXXXXX—X————XXXX—XXXXXXXXX——X————XXXDCavg——XXX——XXXXXXXX———XX————XXXXXXX—XXX——系統(tǒng)完整性（見附錄G、第7章、CCF）。當(dāng)故障排除聲明表明特殊元件不影響通道MTTFD值時(shí)，則應(yīng)檢查故障排除的合理注：能夠故障排除意味著元件的MTTFD無(wú)限大；因此，該元應(yīng)確認(rèn)是否采用了足夠的措施來(lái)防止共因失效（例通常，對(duì)于電子元件MTTFD的計(jì)算，環(huán)境誤等）可導(dǎo)致系統(tǒng)性故障。部分錯(cuò)誤在設(shè)計(jì)階）；——驗(yàn)證采用軟件措施是否足以實(shí)現(xiàn)安全功能規(guī)定的PLr；——通過檢查記錄證據(jù)，驗(yàn)證軟件開發(fā)過程中為避免系統(tǒng)性軟件故障所采取的），注1：小型程序可利用軟件的文件（控制流程圖、模塊或塊的源代碼、I/O或變量分配表、對(duì)照表）通——模擬事先通過分析方法確定的故障以及預(yù)期響應(yīng)的測(cè)試項(xiàng)目，其目的是為應(yīng)檢查針對(duì)軟件實(shí)施、配置和變更管理所采取的符合第7章要求的措施是否得到正確實(shí)施，這些措——檢查/驗(yàn)證根據(jù)子系統(tǒng)的PFH和PL/SIL評(píng)估得到的PL是否正確（見7.2），1)維護(hù)手冊(cè)的內(nèi)容是否完整[包括程序、需要的工具、檢查的頻率、更換）；注：超過規(guī)定的使用壽命或測(cè)試間隔，可導(dǎo)——需要維護(hù)的指示（如振動(dòng)增加），理想情況下自動(dòng)生成警告信號(hào)（如壽命）；）；注：通常，設(shè)計(jì)文檔預(yù)期用于制造商內(nèi)部，或在分包商（如外部系統(tǒng)設(shè)計(jì)師、認(rèn)證機(jī)SRP/CS的使用信息應(yīng)符合GB/TXXXXX—XXXX或IEC/IEEE82079-1:2019，包括預(yù)期目標(biāo)群體的相關(guān)應(yīng)提供各安全功能的類別和性能等級(jí)的如下具體信息（見5.3——性能等級(jí)：a、b、c、d或e；——與安全功能相關(guān)的SRP/CS或每個(gè)相關(guān)子系統(tǒng)的PFH。提醒維護(hù)人員注意哪些零件對(duì)安全至關(guān)重要，只能更換為原始零件或滿足相同安全要求的零m)在任務(wù)時(shí)間周期結(jié)束時(shí)或之前更換部件注1：更多信息見GB/T42598—2023和IEC60204-1:2016+AMD1:2021中的17A.1概述）；附錄A是關(guān)于SRP/CS對(duì)風(fēng)險(xiǎn)減小的作用。本章給出的方法建立在風(fēng)險(xiǎn)參數(shù)估這種PLr估計(jì)方法不是強(qiáng)制性的。這是一種常規(guī)方法，假定發(fā)生危險(xiǎn)事件的概率為100%。如果發(fā)生這種情況下，實(shí)施這些措施后再選取圖A.1中——暴露于危險(xiǎn)的頻率和/或時(shí)間（FA.3.1傷害嚴(yán)重度S1和S2決定取S1還是S2時(shí)，宜考慮事故的通常后果以及正常的康復(fù)過程。例如：無(wú)并發(fā)癥的擦傷和/或劃注：嚴(yán)重或輕微傷害評(píng)估指南另見GB/T16856。A.3.2暴露于危險(xiǎn)的頻率和/或時(shí)間F1和F2率和持續(xù)時(shí)間。本文件中，假定對(duì)安全功能需求的頻率大于1次/年。如果沒有其他判定依據(jù)，當(dāng)頻率高于每15min1次時(shí)，宜選如果累積暴露時(shí)間不超過總運(yùn)行時(shí)間的1/20且頻率不高于每15min1次，宜選擇FA.3.3避免或限制傷害的可能性P1和P2露，還是只能通過技術(shù)手段（如指示器）來(lái)識(shí)別。影響選擇參數(shù)P的其他重要因素包括但不）；）；危險(xiǎn)事件發(fā)生時(shí)，只有確實(shí)存在避免或顯著減輕傷害的可能性才宜選擇P1，否則選擇P2。CBA——注：本表中給出的數(shù)據(jù)僅供參考，C類標(biāo)準(zhǔn)或具體機(jī)器應(yīng)用的a本文件3.1.55定義了經(jīng)過相關(guān)教育培參數(shù)“P”一個(gè)或以上“C”沒有“C”，三個(gè)或以上“B”沒有“C”、兩個(gè)“B”、其余“A”沒有“C”、一個(gè)或沒有“B”、其余“A”A.4疊加危險(xiǎn)進(jìn)行機(jī)器風(fēng)險(xiǎn)評(píng)估時(shí)，宜確定是否宜將危險(xiǎn)單獨(dú)考慮或組d)每個(gè)通道可由一個(gè)或多個(gè)模塊組成——并不強(qiáng)制要求在指定架構(gòu)中每e)子系統(tǒng)的每個(gè)硬件單元宜完全歸屬于一個(gè)模塊，以便可以通過該模由模塊法定義的模塊可在安全相關(guān)的模塊圖中用圖形方式表示子系統(tǒng)的邏輯結(jié)構(gòu)。對(duì)于這種圖形——在串聯(lián)模塊中，一個(gè)模塊的失效導(dǎo)致整個(gè)通道的失效（例如：如果子系統(tǒng)——在并聯(lián)模塊中，只有所有的通道發(fā)生危險(xiǎn)失效才導(dǎo)致子功能喪失（例如：）；示例見圖B.1。12——輸入裝置，例2——輸出裝置，例如：主1和O1——構(gòu)成了第一個(gè)通道（串聯(lián)）；），）；C.1概述的良好工程應(yīng)用實(shí)踐的基礎(chǔ)上；C.3中給出的方法適用于）；-d“額定載荷”或“小載荷”宜考慮GB/T16855.2－2015中描述的安全原則，比如超過額定工作電流。“C.3液壓元件表C.1）中基本安全原則和經(jīng)驗(yàn)證的安全原則制造的（元件數(shù)據(jù)表中確認(rèn)的）；職責(zé)相關(guān)的信息，以證明其針對(duì)液壓元件的實(shí)施和運(yùn)用符合GB/T16855.2－2015的表C.1和C.4氣動(dòng)、機(jī)械和機(jī)電元件的MTTFDC.4.1概述件發(fā)生失效時(shí)的平均周期數(shù)（B10）或直至10%的元件發(fā)生危險(xiǎn)假如滿足以下所有準(zhǔn)則，則可根據(jù)C.4.2估計(jì)運(yùn)用的元件滿足GB/T16855.2－2015中表A.1、表B.2或表D.2中經(jīng)驗(yàn)證C.4.2根據(jù)B10D計(jì)算元件的MTTFDMTTFD=·····································nop=·······························································?op——平均工作時(shí)間，單位為小時(shí)每天；tcycle——元件兩個(gè)相繼周期起始點(diǎn)（例如：閥的切換）之間的平均操作時(shí)間，單位為秒每周期；T10D=··················································B10D=········································································周期結(jié)束時(shí)或提前告知用戶更換元件。將元件的使用時(shí)間限制在T10D周期內(nèi)，可以保持安全功能的預(yù)C.4.3公式說明在本文件中，可靠性計(jì)算方法假定元件的失效為時(shí)間的指數(shù)分布：FD(t)＝1?e?λDt。對(duì)于非電子公式（C.6）考慮了在與B10D（周期）相對(duì)應(yīng)的T10D（年）后有10%的元件在假設(shè)的應(yīng)用中失效的恒=1?e?λDT10D＝10%，即：λD=····························MTTFD=·················································對(duì)于氣動(dòng)閥，制造商確定以6×107個(gè)周期的平nop2.53×106周期/年·············根據(jù)表C.5可給出該元件的MTTFD為“高”。對(duì)C.5.1概述件的MTTFD值。如果SRP/CS的設(shè)計(jì)者具有所用表C.2~表C.7中給出的值對(duì)于環(huán)境溫度為40℃時(shí)的電流和電壓的額定載荷有效。當(dāng)電子元件工作于因此，在“備注”欄中假設(shè)危險(xiǎn)失效的概率只有50%，這就意味著元件的MTTFD是給出的MTTF值的兩倍。C.5.2半導(dǎo)體-------C.5.3無(wú)源元件---------MTTFDi、MTTFDj是組成子功能的每個(gè)元件的MTTFD；第一個(gè)和是每個(gè)獨(dú)立元件的MTTFD相加之和；表D.1中的示例給出了該通道的MTTFD為22.4年，jMTTFDi1?MTTFDjn?MTTFDj122534445=633600周期/年）1———MTTFD＝1?∑(nj?MTTFDj)（年）MTTFD和B10D值將會(huì)產(chǎn)生的更好的結(jié)果，注3：當(dāng)MTTR（平均恢復(fù)時(shí)間）可以忽略不計(jì)時(shí)，可以認(rèn)為MTTF等——可以用公式（D.2）估算一個(gè)值來(lái)代替每個(gè)通道的MTTFD：MTTFDC1、MTTFDC2是兩個(gè)根據(jù)上面的公式，具有兩個(gè)通道并且每個(gè)通道具有不同的MTTFD值的冗余系統(tǒng)，可由每個(gè)通道中具有相同MTTFD值的冗余系統(tǒng)來(lái)代替。這個(gè)過程是為了正確使用圖12。DCa、b對(duì)輸入信號(hào)交叉監(jiān)控，有動(dòng)態(tài)測(cè)試，無(wú)短路檢測(cè)（用于多路對(duì)邏輯（L）中的輸入信號(hào)和中間結(jié)果進(jìn)行交叉軟件監(jiān)控、以及靜態(tài)故障和短路的檢測(cè)（用直接監(jiān)控（如控制閥的電氣位置監(jiān)控，通過機(jī)械連接注1：對(duì)于DC的附加估計(jì)，見GB/T20438.注2：對(duì)于給定DC范圍的措施（例如通過過程進(jìn)行故障檢測(cè)），考慮所有的危險(xiǎn)失效就能確定正確的DC值，然后決定對(duì)哪些危險(xiǎn)失效需要通過DC措施進(jìn)行檢測(cè)。如仍不確定，宜根據(jù)F注3：對(duì)于“通過過程進(jìn)行故障檢測(cè)”的DC措施，可將安全功能的要求注4：對(duì)于“對(duì)輸入或輸出信號(hào)的交叉監(jiān)控，無(wú)動(dòng)態(tài)測(cè)試”的DC措施，測(cè)試率的影響可以與以下被測(cè)元件的有效DCaDC措施可以組合使用以實(shí)現(xiàn)更高的DC。b如果邏輯要求DC為中或高，則應(yīng)為每個(gè)可變內(nèi)存，不可變內(nèi)存和處理單元采取至少一種措施，以使每部分DC至DCa、b直接監(jiān)控（例如：控制閥的電氣位置監(jiān)控，通過機(jī)械連接啟動(dòng)自檢以檢測(cè)邏輯中部件的潛在故障（例如：程序和數(shù)據(jù)存儲(chǔ)在啟動(dòng)時(shí)，或在安全功能需要時(shí)，或在一個(gè)外部信號(hào)通過一個(gè)動(dòng)態(tài)原則（要求安全功能時(shí)，邏輯的所有元件需要按ON-OFF-ON），可變內(nèi)存：使用冗余數(shù)據(jù)進(jìn)行RAM測(cè)試，例如：標(biāo)記、標(biāo)志、注1：對(duì)于DC的附加估計(jì)，見GB/T20438.注2：對(duì)于給定DC范圍的措施（例如通過過程進(jìn)行故障檢測(cè)），考慮所有的危險(xiǎn)失效就能確定正確的DC值，然后決定對(duì)哪些危險(xiǎn)失效需要通過DC措施進(jìn)行檢測(cè)。如仍不確定，宜根據(jù)F注3：對(duì)于“通過過程進(jìn)行故障檢測(cè)”的DC措施，可將安全功能的要求注4：對(duì)于“對(duì)輸入或輸出信號(hào)的交叉監(jiān)控，無(wú)動(dòng)態(tài)測(cè)試”的DC措施，測(cè)試率的影響可以與以下被測(cè)元件的有效DCaDC措施可以組合使用以實(shí)現(xiàn)更高的DC。b如果邏輯要求DC為中或高，則應(yīng)為每個(gè)可變內(nèi)存，不可變內(nèi)存和處理單元采取至少一種措施，以使每部分DC至DCa、b可變內(nèi)存：RAM自檢（例如：“galpat”碼或“Abraham”碼）或處理單元：通過軟件自檢（見GB/T204處理單元：編碼處理（見GB/T204對(duì)輸出信號(hào)交叉監(jiān)控，有動(dòng)態(tài)測(cè)試，無(wú)短路檢測(cè)（用于多路對(duì)邏輯（L）中輸出信號(hào)和中間結(jié)果的交叉監(jiān)監(jiān)控、以及對(duì)靜態(tài)故障和短路的檢測(cè)（用于帶有邏輯和測(cè)試設(shè)備監(jiān)控的輸出冗余關(guān)斷路徑，見GB/T168注1：對(duì)于DC的附加估計(jì)，見GB/T20438.注2：對(duì)于給定DC范圍的措施（例如通過過程進(jìn)行故障檢測(cè)），考慮所有的危險(xiǎn)失效就能確定正確的DC值，然后決定對(duì)哪些危險(xiǎn)失效需要通過DC措施進(jìn)行檢測(cè)。如仍不確定，宜根據(jù)F注3：對(duì)于“通過過程進(jìn)行故障檢測(cè)”的DC措施，可將安全功能的要求注4：對(duì)于“對(duì)輸入或輸出信號(hào)的交叉監(jiān)控，無(wú)動(dòng)態(tài)測(cè)試”的DC措施，測(cè)試率的影響可以與以下被測(cè)元件的有效DCaDC措施可以組合使用以實(shí)現(xiàn)更高的DC。b如果邏輯要求DC為中或高，則應(yīng)為每個(gè)變量存儲(chǔ)器，常量存儲(chǔ)器和處理單元采取至少一種措施，以使每部分DC注：GB/T37157描述了如何采用漸進(jìn)表格法評(píng)估串聯(lián)的無(wú)電勢(shì)觸點(diǎn)聯(lián)鎖裝示例2：可能只有在安全相關(guān)元件參與生產(chǎn)過程的情況下，例如：將標(biāo)準(zhǔn)PLC或標(biāo)準(zhǔn)傳感和圖12來(lái)估計(jì)PL時(shí)，執(zhí)行安全功能的整個(gè)所有未經(jīng)故障排除的SRP/CS元件都宜考慮在內(nèi)并求和。每個(gè)模塊都考慮MTTFD和DC。本公式中的DCF.3中詳細(xì)描述了措施。對(duì)于每一項(xiàng)列出的措施，只有在措施得到充分實(shí)施的情況下，才能獲得滿如果元件采用的內(nèi)部措施未實(shí)現(xiàn)充分的過電壓保護(hù)和環(huán)境影響保護(hù)，宜在系統(tǒng)級(jí)使用外部保護(hù)元123—545556——可能合理地減少了造成CCF的典型原因。F.3.1分離/隔離）；f)印刷電路板上冗余通道之間足夠的間隙和爬電距離，也考慮到例如錫須的存在（見GB/TF.3.2相異）；——用兩個(gè)位置開關(guān)來(lái)檢測(cè)可移動(dòng)防護(hù)裝置（安全防護(hù)裝置）的打開。第一個(gè)位置開關(guān)在安）；d)不同的負(fù)載，例如：第一個(gè)通道中的觸點(diǎn)/閥在沒有負(fù)載的情況下切換，第二個(gè)通F.3.3設(shè)計(jì)/應(yīng)用/經(jīng)驗(yàn)注：注：SRP/CS的部件能夠承受和/或保護(hù)其免受過電壓或過電流的電位電平的影響。SW模式PSU（開關(guān)模式重要的是要考慮使用標(biāo)準(zhǔn)SW模式PSU時(shí)可能F.3.4評(píng)估/分析），F(xiàn).3.6環(huán)境2:2016、GB/T12668.502）防止污染和電磁干擾，以防止CCF。注1：這些EMI標(biāo)準(zhǔn)通常比標(biāo)準(zhǔn)元件（如通用PLCF.4防止共因失效（CCF）的措施和其他相關(guān)標(biāo)準(zhǔn)對(duì)于某些SRP/CS（子系統(tǒng)），并非表F.1中列出的所有防止CCF的措施都能適當(dāng)減少CCF影響，因?yàn)樽ⅲ耗承?biāo)準(zhǔn)（如GB/T29483或GB/T18831—2017）可能包括與系G.1概述）：理器的時(shí)鐘有故障，則存在有缺陷的程序順序（見GB/T20438.7－2017的A.9）。e)控制錯(cuò)誤的影響或由任何數(shù)據(jù)通信過程引起的其他影響的措施（見GB/T20438.2—2017的注：增加裕量的例子參考GB/T16855.2—2015的D.2。子系統(tǒng)的組合產(chǎn)生了一種安全功能，表現(xiàn)出符合第6章要求的不同類別和技術(shù)的組合。采用本文件）：——對(duì)于電子控制邏輯單元：類別3、PLd、PFH＝2.0×10安全性能等級(jí)，子系統(tǒng)的結(jié)構(gòu)采用冗余結(jié)構(gòu)，并采用幾種能檢測(cè)大）；）；）；）；全功能和確定PL的方法。本附錄給出了兩種控制回路的量化方式，迭代過程見圖4。護(hù)門聯(lián)鎖的相同安全功能的性能，但由于用途不同，PLr也不同。第一個(gè)示例由MTTFD為中和高的機(jī)電元注：對(duì)于示例B，風(fēng)險(xiǎn)評(píng)估已確定由故障（SW2、CC或PLC）導(dǎo)致電動(dòng)對(duì)于示例A，根據(jù)風(fēng)險(xiǎn)圖法確定下列風(fēng)險(xiǎn)參數(shù)（見圖A.1這些參數(shù)決定了所需性能等級(jí)為PLr首選類別的確定：通常，PLc可通過非?？煽康膯瓮ǖ老到y(tǒng)（類別1）、經(jīng)測(cè)試的單通道系統(tǒng)上述結(jié)論決定了所需性能等級(jí)為PLrd。首選類別的確定：通常，PLd可通過冗余架構(gòu)（類別——直接斷開。位置開關(guān)連接到接觸器式繼電器K1A，該接觸器式繼電器能切斷電動(dòng)機(jī)的電源。因此，這些SRP/CS的主——接觸器式繼電器K1A的B10D為高?？捎蓤DI.2中的安全相關(guān)模塊圖來(lái)表示SRP/CS。——MTTFD接觸器式繼電器K1A和位置開關(guān)SW1A對(duì)于單個(gè)通道的MTTFD有影響。假定制造商給出的值為B10D,SW1A=采用C.4.2的方法，取220天/年、每天工作8h以及每次60min的周期時(shí)間，得出MTTFD,SW1A＝113636年，注：如果沒有關(guān)于SW1A或K1A的B10D信息，可根據(jù)C.2或C.4做出——T10DC.4.2給出的方法得出的T10D,SW1A為11364年，T10D,K1A為227年，兩者均超出20年的任務(wù)時(shí)間，因此不需控制回路A中未執(zhí)行診斷測(cè)試，即DC＝0或“無(wú)”,同時(shí)——CCF），），應(yīng)用附錄K得出PFH為1.14×10-6/h和PLF1、P1和PLrc。Cs——停止功能（標(biāo)準(zhǔn)的Es——使能（標(biāo)準(zhǔn)的在本示例中，采用雙通道架構(gòu)實(shí)現(xiàn)冗余。與示例A一樣，第一個(gè)通道采用有直接斷開動(dòng)作的位置開關(guān)SW1B，并以強(qiáng)制致動(dòng)模式工作。這個(gè)位置開關(guān)與一個(gè)接觸器式繼電器K1B相連，該接觸器式繼電器可），SW1B——位置開關(guān)；PLC——可編程邏K1B——接觸器式繼電器；CC——換流器；SW2——位置開關(guān)；RS——旋——MTTFD位置開關(guān)SW1B和接觸器式繼電器K1B對(duì)于第一個(gè)通道的MTTFD,c1有影響。假定制造商給出的值為采用C.4.2的方法，取工作300天/年、每天工作16h以及每次4min的周期時(shí)間，得出MTTFD,SW1B＝2778年，采用D.1中的部件計(jì)數(shù)法得出第二個(gè)通道的M注：如果沒有關(guān)于SW1B、SW2或K1B的B10D信息，可根據(jù)C.2或C.4做出最壞情——T10D對(duì)于PL的估計(jì)，需要一個(gè)按照公式（I.4）計(jì)算得出平均DC值（DCavg）作為圖12中的輸入：DCavg67.9%····················——CCF1—2———一個(gè)功能通道使用機(jī)電元件，另一個(gè)功能通道3——在需要時(shí)使用外部保護(hù)元件提供系統(tǒng)級(jí)的額外54—無(wú)55—無(wú)56），——使用外部保護(hù)元件對(duì)系統(tǒng)級(jí)電磁干擾提供額外）；——信號(hào)線和電源線分開布線。——選擇兩個(gè)位置開關(guān)以經(jīng)受所有預(yù)期的環(huán)境影足夠防止CCF的措施要求最低得分為65。在示例B中，滿足類別3的特征，因?yàn)椋喝魏尾考械膯我还收喜粫?huì)導(dǎo)致安全功能的喪失；只要合理可圖12中的輸入數(shù)據(jù)為：通道的MTTFD為高（3），應(yīng)用附錄K（用36年）得出PFH為5.16×10-7/h和PLd。本附錄介紹了用于實(shí)現(xiàn)PLrd的SRP/CS的SRE功率控制組功率控制組功率控制組）：——確定帶傳感器和功率控制元件的——將機(jī)器功能轉(zhuǎn)換為軟件功——包括軟件描述的軟件設(shè)計(jì)規(guī)范）；——軟件系統(tǒng)設(shè)計(jì)，包括將各種——計(jì)劃軟件系統(tǒng)設(shè)計(jì)的測(cè)試。——包括功能塊建模的軟件系統(tǒng)設(shè)計(jì)規(guī)范）；——審查活動(dòng)的文件?！狹DS；——SSDS；——驗(yàn)證測(cè)試結(jié)果?！猄DS；——測(cè)試活動(dòng)的文件。注：每個(gè)測(cè)試計(jì)劃包括：J.3不同層面上軟件規(guī)范的驗(yàn)證（即SDS、S5)宜使用單一種類數(shù)據(jù)類型的存儲(chǔ)地址，并以唯一的標(biāo)簽加以?功能代碼內(nèi)——最大10個(gè)局部變量、最大20個(gè)布爾等式。4)每個(gè)值都宜與預(yù)期的預(yù)先設(shè)定的基準(zhǔn)進(jìn)行比較，以確保其有效性；5)宜檢查一個(gè)功能塊的輸入?yún)?shù)是否不6)每個(gè)故障代碼都宜是可查的，并能清楚地識(shí)別原始故障；7)宜通過注釋來(lái)描述故障檢測(cè)后的故障代碼和模年36.09×10-6b4.86×10-6b4.40×10-6b9.37×10-6b8.39×10-6b6.91×10-6b6.21×10-6b4.98×10-6b4.45×10-6b4.02×10-6b9.87×10-6b8.80×10-6b6.43×10-6b9.75×10-6b8.87×10-6b6.44×10-6b4.53×10-6b4.04×10-6b9.51×10-6b8.78×10-6b注1：如果類別2的要求率小于或等于測(cè)試率的1/25（見.4則表K.1所年6.34×10-6b4.76×10-6b4.23×10-6b4.53×10-6b4.21×10-6b年年年9.85×10-10e9.44×10-10e9.06×10-10e以下途徑（圖L.1）為SRP/CS或子系統(tǒng)的EM對(duì)于具有集成有源電子器件的機(jī)電部件，宜分析EMI對(duì)執(zhí)行安全功能的影響，并宜采取相關(guān)措施實(shí)如果用測(cè)試進(jìn)行驗(yàn)證，則宜確保安全功能得到執(zhí)行，并在EMI環(huán)境暴露足夠的時(shí)間，以證明其不敏傳感器和安全相關(guān)輸入/輸出信號(hào)使用屏蔽且接地的和/或絞合的線纜（電纜屏蔽層在靠近元件處安裝于屏蔽且等電位連接的機(jī)柜中或元件安裝于屏蔽且等PLrd或e，類別3或類別4，同一外殼中20c、dPLrd或e，類別3或類別4，不同通道（例如PLC和離散20c、dIEC60204-1:2016+AMD根據(jù)制造商的安裝說明適當(dāng)?shù)貫榘踩嚓P(guān)輸入信號(hào)提供射頻濾波器、過壓和瞬態(tài)保（根據(jù)制造商的安裝說明或?qū)ｉT應(yīng)用的）主IEC60204-1:2016+AMD1:2021附錄H中所述措施的應(yīng)用和/或GB所有部件至少滿足EMI通用標(biāo)準(zhǔn)GB/T17799.2（制造商文件中提到）的要求EMI的風(fēng)險(xiǎn)分析（見表L.2中的示例）和風(fēng)險(xiǎn)評(píng)估的——電力電子設(shè)備和低功率電子設(shè)備的金屬——遵循制造商的說明；如果沒有可用的說明，功率元件和敏感元件之間的距離經(jīng)驗(yàn)評(píng)估為低EMI影響的短距離內(nèi)使用屏蔽和等具有組件或系統(tǒng)級(jí)診斷功能的軟件/固件，例如通過真實(shí)性檢查、冗余情況下的數(shù)有經(jīng)驗(yàn)或受過培訓(xùn)（具有培訓(xùn)文件，如培訓(xùn)證書），理解EMI的原因和后特定功能安全系統(tǒng)設(shè)計(jì)的再用，該設(shè)計(jì)曾用于類似的電磁環(huán)境，并具有高可靠性，沒有已知的EMI符合GB/T19212.17要求的隔離變壓器產(chǎn)生的低壓交流或直流電源，和/或符合GB4943SRP/CS的通道1/2使用的冗余PLC采用c不合格?選擇額外的措施或選擇上述途徑的一注：表L.1中的雙通道是指類別2的功能通道和測(cè)試通道，或類別3dPLC作為SRP/CS的一部分，其分?jǐn)?shù)只能在每個(gè)[hr]——強(qiáng)烈建議采取此措施。如果該措施適用但未實(shí)現(xiàn)，則應(yīng)提供詳細(xì)的理由，說明如何以等效方式實(shí)現(xiàn)EMI抗—————表M.1和表M.2中提到的大多數(shù)安全功能與電氣標(biāo)準(zhǔn)有關(guān)，當(dāng)使用其他技———GB/T5226.1—2019的9.——GB/T5226.1—2019的、10.9———GB/T5226.1—2019的5.3、6.GB/T5226.1—2019的9.———GB/T5226.1—2019的9.a對(duì)于補(bǔ)充性防護(hù)措施，見GB/T15706—2012?！狦B/T5226.1—2019的9.2.————a對(duì)于補(bǔ)充性防護(hù)措施，見GB/T15706—2012。表M.2對(duì)部分安全功能和安全相關(guān)參數(shù)提出要—GB/T19876—2012的3.2、A.GB/T5226.1—2019的7.1、復(fù)GB/T5226.1—2019的4.3、7.—GB/T5226.1—2019的10.3LVL的SRASW，表N.3宜用于FVL的SRESW和SRASW。B22333c2c3c3d2dd2ddeee——預(yù)評(píng)估平臺(tái)：硬件和內(nèi)部軟件（SRESW）是為安全應(yīng)用1具有驗(yàn)證及確認(rèn)活動(dòng)的開發(fā)生命周期，見圖14mmmm）；2—mmm3—mmm對(duì)于實(shí)現(xiàn)PLe的一個(gè)元件及其工具，該工具宜符合適用的安——宜采用可以檢測(cè)導(dǎo)致系統(tǒng)性錯(cuò)誤情況（如數(shù)據(jù)類—mmm檢查宜主要在編譯時(shí)間內(nèi)執(zhí)行而非僅在運(yùn)行時(shí)間內(nèi)執(zhí)行供的安全相關(guān)功能塊庫(kù)，還是經(jīng)應(yīng)用確認(rèn)且符合本文件的—rrr宜使用適合于模塊化方法的合理LVL子集，如公認(rèn)的GB/T154采用半形式化方法描述數(shù)據(jù)及控制流，如狀態(tài)圖—mmm模塊化及結(jié)構(gòu)化編程，主要應(yīng)用安全相關(guān)經(jīng)確認(rèn)的功能塊庫(kù)或三階段模型架構(gòu)：輸入?處理?輸出（見圖16附錄J）；使用檢測(cè)和控制硬件失效的技術(shù)，并在導(dǎo)致安全狀態(tài)的5—mmm不宜存在可能導(dǎo)致安全相關(guān)信號(hào)完整性降級(jí)的非安全數(shù)據(jù)的邏輯組合，如將安全相關(guān)及非安全相關(guān)信號(hào)采用邏6代碼宜具有可讀性、可理解性和可測(cè)試性，因此，）；—mmm宜使用應(yīng)用層（防御性編程）提供的數(shù)據(jù)完整性和真實(shí)—rrr——rr7—mmm—rrr——rr8—mmm源文本中的代碼文件宜包含帶有法人實(shí)體的模塊標(biāo)題、功9）：—mmm強(qiáng)烈推薦建立流程和數(shù)據(jù)備份，以確定和歸檔與特定—SRASW修改后宜進(jìn)行影響分析以確保規(guī)范。修改后宜進(jìn)注：修改不影響已投入使用的系統(tǒng)。—mmma如果使用了具有不同工具的兩個(gè)不同元件，基）：1mmmm技術(shù)規(guī)范及設(shè)計(jì)文件，例如軟件設(shè)計(jì)規(guī)范，SS模塊化及結(jié)構(gòu)化編程，例如功能上的分層及限制、清晰的程序結(jié)構(gòu)、控制系統(tǒng)性失效，例如程序順序監(jiān)控，控制數(shù)據(jù)通訊使用基于軟件的診斷措施用于控制隨機(jī)硬件失效時(shí)，驗(yàn)功能測(cè)試，例如黑盒測(cè)試根據(jù)輸入數(shù)據(jù)（有效、無(wú)效2與GB/T20438等文件中的工作流定義、責(zé)任、配置管理、—軟件安全生命周期中所有相關(guān)活動(dòng)的文件，例如審用于確定SRESW發(fā)布時(shí)所有相關(guān)配置項(xiàng)目及文件的配置單、模塊、設(shè)計(jì)文件、測(cè)試計(jì)劃、發(fā)布控制、歸檔、模塊化及結(jié)構(gòu)化編程、與非安全相關(guān)軟件分開、受限的模塊大小通過使用控制流分析的走查/審查進(jìn)行代碼驗(yàn)證。例如檢查錯(cuò)擴(kuò)展功能測(cè)試，如灰盒測(cè)試、性能測(cè)試或仿真。例如通PLre元件的SRESW宜符合GB/T20438.3—2017———）：N.2.1概述確認(rèn)的目的是確保軟件符合總體軟件要求（見V模型，圖14）。確認(rèn)以檢查（例如本示例中提出的確認(rèn)基于預(yù)評(píng)估的軟件模塊。確認(rèn)通過位于預(yù)評(píng)估軟件模塊的輸入點(diǎn)測(cè)試案例來(lái)N.2.3安全功能規(guī)范安全功能及互補(bǔ)性操作如下（見圖N.1）：4——M1：具有STO（安全轉(zhuǎn)矩關(guān)斷）的——聯(lián)鎖防護(hù)門GD1；——急停按鈕ES1：——K1的安全相關(guān)CPU；——允許功能安全相關(guān)通訊的現(xiàn)場(chǎng)總線（符合GB/T34040）；——安全相關(guān)變頻器T1（符合GB/T12668.502）用于電動(dòng)機(jī)M1；變頻器（驅(qū)動(dòng)器T1）根據(jù)GB/T12668.502提供集成的安全相關(guān)子功能STO（安全轉(zhuǎn)矩關(guān)注：通常，變頻器的參數(shù)化也在本文件和確認(rèn)過程的范圍內(nèi)，但在本例表N.4給出了執(zhí)行安全功能和補(bǔ)充功能的相關(guān)信號(hào)，宜根據(jù)硬件接線和軟件實(shí)現(xiàn)控制和測(cè)試這些功SF2：急停1通過變頻器（驅(qū)動(dòng)器T1）觸發(fā)電動(dòng)機(jī)M1的STO。IS_bGD1_1IS_bES1_1N.2.5應(yīng)用程序SF_GUARDSF_ESTOP圖N.6安全PLCK1中基于已預(yù)評(píng)估的軟件模塊（功能塊）的應(yīng)用程序N.2.6SRASW的確認(rèn)N.2.6.1概述表N.5列出了執(zhí)行FMEA的測(cè)試案例和聯(lián)鎖安全防護(hù)的測(cè)試。表N.5中的測(cè)試1是一個(gè)無(wú)故障插入的功個(gè)觸點(diǎn)上的常低電平信號(hào)。測(cè)試6和測(cè)試7模擬了兩個(gè)觸點(diǎn)在設(shè)定的差異時(shí)間外的信號(hào)變化。測(cè)試8模擬表N.5聯(lián)鎖安全防護(hù)的FEMA及測(cè)試IS_bGD1_1無(wú)號(hào)無(wú)無(wú)是1），2#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO3#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO4#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO5#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO6#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO7#bGD1_ERROR＝低電平變?yōu)?bGD1_ERROGD1關(guān)閉后SF_GUARD塊依然無(wú)法8表N.6列出了執(zhí)行FMEA的測(cè)試案例和急停