标准搜索结果: 'GB/T 16855.2-2015'
标准编号 | GB/T 16855.2-2015 (GB/T16855.2-2015) | 中文名称 | 机械安全 控制系统安全相关部件 第2部分:确认 | 英文名称 | Safety of machinery -- Safety-related parts of control systems -- Part 2: Validation | 行业 | 国家标准 (推荐) | 中标分类 | J09 | 国际标准分类 | 13.110 | 字数估计 | 67,635 | 发布日期 | 2015-12-10 | 实施日期 | 2016-07-01 | 旧标准 (被替代) | GB/T 16855.2-2007 | 起草单位 | 如皋市包装食品机械有限公司、国家机床质量监督检验中心、南京理工大学、欧姆龙自动化(中国)有限公司、中机生产力促进中心、南京林业大学光机电仪工程研究所、皮尔磁工业自动化贸易(上海)有限公司、ABB(中国)有限公司、西门子(中国)有限公司 | 归口单位 | 全国机械安全标准化技术委员会(SAC/TC 208) | 标准依据 | 国家标准公告2015年第38号 | 提出机构 | 全国机械安全标准化技术委员会(SAC/TC 208) | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 16855.2-2015: 机械安全 控制系统安全相关部件 第2部分:确认
GB/T 16855.2-2015 英文名称: Safety of machinery -- Safety-related parts of control systems -- Part 2: Validation
ICS 13.110
J09
中华人民共和国国家标准
代替GB/T 16855.2-2007
机械安全 控制系统安全相关部件
第2部分:确认
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本部分规定了通过分析和测试确认以下参数时需遵循的程序和条件:
---规定的安全功能;
---按照GB/T 16855.1设计的控制系统安全相关部件(SRP/CS)达到的类别;
---按照GB/T 16855.1设计的控制系统安全相关部件(SRP/CS)达到的性能等级。
注:可编程电子系统(包括嵌入式软件)的附加要求在GB/T 16855.1-2008的4.6和GB/T 20438中给出。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15706-2012 机械安全 设计通则 风险评估与风险减小(ISO 12100:2010,IDT)
GB/T 16855.1-2008 机械安全 控制系统有关安全部件 第1部分:设计通则(ISO 13849-1:
2006,IDT)
3 术语和定义
GB/T 15706-2012和GB/T 16855.1-2008界定的术语和定义适用于本文件。
4.2 确认计划
确认计划应识别和描述对规定的安全功能及其类别和性能等级进行确认过程的要求。
确认计划还应识别用于确认规定安全功能、类别和性能等级的方法。适当时,应规定以下内容:
a) 识别技术规范文件;
b) 测试过程中的操作和环境条件;
c) 需要进行的分析和测试;
d) 适用的测试标准;
e) 确认过程中每一步骤的负责人或单位。
此前已按相同技术规范确认过的安全相关部件只需要引用此前的确认即可。
4.3 一般故障清单
确认过程包括考虑SRP/CS在所有考虑的故障条件下的性能。故障考虑的基础是附录A~附录D
中根据经验以表格形式给出的故障清单。这些表格包括:
---元件/组件,如导线/电缆(见附录D);
---故障,如导体间短路;
---允许的故障排除,考虑环境、操作和应用等因素;
---备注栏,给出故障排除的理由。
故障清单仅考虑永久性故障。
4.4 特殊故障清单
如有必要,应创建一个特殊的产品相关故障清单,作为安全相关部件确认过程的参考文件。此清单
可以以附录中相应的一般故障清单为基础。
对于基于一般故障清单的特殊的产品相关故障清单,应规定以下内容:
a) 一般故障清单列出的故障;
b) 一般故障清单没有列出的其他相关故障(例如,共因失效);
c) 一般故障清单中列出的,并且在满足一般故障清单中给出的准则(见GB/T 16855.1-2008中
7.3)的前提下可能可以排除的故障;
特殊情况下,还应包括:
d) 一般故障清单不允许排除的,但给出了排除理由和原理(见GB/T 16855.1-2008中7.3)的其
他故障。
对于不是基于一般故障清单的故障清单,设计者应给出故障排除的原理。
4.5 确认信息
随着所采用的技术、待证实的类别和性能等级、系统设计原理以及SRP/CS对风险减小的作用的
变化,确认所需要的信息也将随之改变。在确认过程中应包括含有以下足够信息的文件,以证实安全相
关部件执行规定安全功能能达到所需的的性能等级和类别:
a) 每种安全功能所需特征的技术规范,以及其所需的类别和性能等级;
b) 图样和技术文件,例如,机械、液压和气动部件、印刷线路板、装配面板、内部布线、外壳、材料和
安装的图样和技术文件;
c) 带功能描述框的框图;
d) 电路图,包括接口/连接;
e) 电路图的功能描述;
f) 开关元件的时序图、安全相关的信号;
g) 已确认元件相关特性的描述;
h) 对于在g)中没有列出的安全相关部件,列出名称、额定值、允差、相关的操作力、型号规格、失
效率数据、元件制造商以及其他安全相关数据的元件清单;
i) 所有相关故障的分析(也可见4.3和4.4),例如:附录A~附录D的表格中列出的故障,包括所
有已排除故障的理由;
j) 被加工材料影响的分析;
k) 使用信息,如安装和操作手册/说明书。
4.6 确认记录
应记录通过分析和测试进行的确认。记录应反映各项安全要求的确认过程。如果以前的确认记录
有效,也可以引用。
对于确认过程中未通过确认的安全相关部件,确认记录应描述哪些组件没有通过分析/测试确认。
应确保在修改后所有安全相关部件均已重新确认。
5.2 分析方法
分析方法的选择取决于具体目标。目前有如下两种基本方法:
a) 自上而下(演绎)的方法,适合于确定可导致顶事件的起始事件,并通过起始事件的概率计算顶
事件的概率。该方法也可用于研究已识别的多重故障的因果关系。
示例:故障树分析(FTA,见GB/T 7829)和事件树分析(ETA)。
b) 自下而上(归纳)的方法,适合于研究已识别的单一故障的因果关系。
示例:失效模式和影响分析(FMEA,见GB/T 7826)和失效模式、影响及危害性分析(FMECA)。
6.3 更严格的要求
如果随行文件对SRP/CS提出的要求高于本部分规定的要求,则应采用更严格的要求。
注:如果控制系统不得不经受特别恶劣的工作条件时,如野蛮操作、湿度影响、水解、环境温度变化、化学制剂影响、
腐蚀、因靠近发射装置造成的高强度电磁场等,则可采用更严格的要求。
6.4 试验样品数量
除非另有规定,否则安全相关部件的测试应采用单个产品样品进行。
不应修改测试过程中的安全相关部件。
某些测试可使某些元件的性能发生永久的改变。如果元件的永久性改变使得安全相关部件不能满
足后续测试的要求时,应采用新的样品进行后续测试。
如果某一特定测试为破坏性试验,且通过对SRP/CS的部件进行单独测试可得到相同的结果,则
为了得到测试结果,可采用该部件的样品来代替安全相关部件进行测试。只有分析表明,对安全相关部
件的测试已足以证明执行安全功能的整个安全相关部件的安全性能,才能使用这种方法。
7 安全功能的安全要求规范的确认
在确认提供安全功能的SRP/CS或SRP/CS组合的设计之前,应先验证安全功能的安全要求规范
是否能确保其预定用途的一致性和完整性。
由于安全要求是其他活动的基础,因此在开始设计之前宜分析安全要求规范。
应确保对机器控制系统所有安全功能的要求都编制了文件。
为了确认这些规范,应采用相应措施防止系统性故障(错误、疏漏或不一致)。
可以通过审查和检查SRP/CS的安全要求和设计规范来完成确认,特别是证明已考虑了以下各个
方面:
---预定用途的要求和安全需求;
---操作条件和环境条件,以及可能的人为错误(如误用)。
如果产品标准规定了设计SRP/CS的安全要求(如适用于集成制造系统的GB 16655或适用于双
手操纵装置的GB/T 19671),也应考虑这些标准。
8 安全功能的确认
安全功能的确认应证明提供安全功能的SRP/CS或SRP/CS组合符合所规定的特征。
注1:不存在硬件故障时,设计和集成阶段造成的错误(如对安全功能特征错误的理解、逻辑设计错误、硬件装配错
误、软件代码输入错误等)导致的系统性故障可使安全功能丧失。这些系统性故障中的一部分将在设计阶段
暴露出来,而其他系统性故障将在确认过程暴露,或者还是没有被发现。此外,确认过程也可能发生错误(如
没有检查到某些特性)。
应采用以下列出的相应措施确认安全功能的规定特征:
---图表功能分析、软件审查(见9.5);
注2:如果机器的安全功能很复杂或数量众多,分析能够减少所需功能试验的数量。
---模拟;
---检查安装在机器上的硬件元件,以及相关软件的详细资料,以确定其与文件的一致性(如制造、
类型、版本);
---在机器所有操作模式下对安全功能进行功能测试,以确定其是否满足规定特征(某些典型安全
功能的技术规范,见GB/T 16855.1-2008中第5章),功能测试应保证在整个范围内实现了
所有安全相关的输出,并按照技术规范的要求响应安全相关输入,测试案例通常来源于技术规
范,但某些案例也有可能来源于对图表或软件的分析;
---进行延伸功能测试,以检查是否存在来自输入端的可预见的异常信号或信号组合,包括动力中
断和恢复,以及不正确的操作;
---检查操作者-SRP/CS界面是否符合人类工效学原则(见GB/T 16855.1-2008中4.8)。
注3:防止系统性失效的其他措施在9.4中给出(如多样性、通过自动测试检测失效),这些措施也有助于检测功能
故障。
9 性能等级和类别的确认
9.1 分析和测试
对于提供安全功能的SRP/CS或SRP/CS组合,其确认应证明满足了安全要求规范中的所需的性
能等级(PLr)和类别。原则上,这需要采用电路图进行失效分析(见第5章),并且在失效分析无法得到
结果时,应:
---在实际电路上进行故障插入试验,并对实际元件进行故障触发试验,尤其是系统中对失效分析
所获得的结果存在疑问的元件(见第6章);
---模拟控制系统发生故障时的工况,如采用硬件和/或软件模型。
在某些应用中,可能有必要把相连的安全相关部件分为几个功能组,并对这些功能组及其接口进行
故障模拟试验。
通过测试进行确认时,根据实际情况,试验宜包括以下内容:
---对产品样品进行故障插入试验;
---对硬件模型进行故障插入试验;
---故障的软件模拟;
---子系统失效,如动力源。
将故障插入到系统的准确时刻非常关键。应通过分析确定故障插入的最坏影响,并在此关键时刻
插入故障。
9.5 安全相关软件的确认
安全相关嵌入式软件(SRESW)和安全相关应用软件(SRASW)的确认应包括:
---软件在目标硬件上执行时规定的功能动作和性能准则(如定时性能);
---验证采用软件措施是否足以达到安全功能规定的PLr;
---软件开发过程中为避免系统性软件故障所采取的措施和行动。
首先应检查是否对安全相关软件的技术规范和设计文件进行文件编制,并审查这些文件的完整性,
且不存在错误理解、疏漏或矛盾。
已确认过的单独软件功能不需要再次确认,但是,如果针对具体项目而将这里多个此类安全功能块
组合在一起时,则应确认最终的总体安全功能。
应检查软件的文件,以确定是否按照简化的V模型(GB/T 16855.1-2008中图6)采取足够的措施
和行动来防止系统性软件故障。
应检查针对软件采取的符合GB/T 16855.1-2008中4.6.2(针对SRESW)和4.6.3(针对SRASW)
的措施是否得到正确实施,这些措施取决于需要达到的PL。
如果其后对安全相关软件进......
|