| 标准编号 | GB/T 12668.502-2013 (GB/T12668.502-2013) | | 中文名称 | 调速电气传动系统 第5-2部分:安全要求 功能 | | 英文名称 | Adjustable speed electrical power drive systems -- Part 5-2: Safety requirements -- Functional | | 行业 | 国家标准 (推荐) | | 中标分类 | K62 | | 国际标准分类 | 29.020 | | 字数估计 | 54,572 | | 引用标准 | GB/T 20438.1-2006; GB/T 20438.2-2006; GB/T 20438.3-2006; GB/T 20438.6-2006; GB/T 20438.7-2006; IEC 60204-1; IEC 61508-1; IEC 61508-2; IEC 61508-3; IEC 61508-4; IEC 61508-5; IEC 61508-6; IEC 61508-7; IEC 61800-1; IEC 61800-2; IEC 61800-3; IEC 61800-4; IEC | | 采用标准 | IEC 61800-5-2-2007, IDT | | 标准依据 | 国家标准公告2013年第22号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | GB/T 12668的本部分规定了从功能安全方面考虑, 对电气传动系统(安全相关)[PDS(SR)]的设计开发、集成和验证, 详述了要求, 给出了建议。本部分适用于《调速电气传动系统》中其他涉及调速电气传动系统的标准。本部分仅当PDS(SR)的功能安全被认定和PDS(SR)以高要求或连续模式(见3.10)操作时适用。对于低要求应用, 见IEC 61508。本部分是一个产品标准, 阐述了有关IEC 61508结构体系中PDS(SR)安全相关考虑, 介绍了PDS(SR)做为安全相关子系统的要求。本部分意在促进PDS(SR | GB/T 12668.502-2013
Adjustable speed electrical power drive systems - Part 5-2: Safety requirements - Functional
ICS 29.020
K62
中华人民共和国国家标准
调速电气传动系统 第5-2部分:安全要求 功能
(IEC 61800-5-2:2007,IDT)
2013-11-12发布
2014-08-07实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 2
3 术语和定义 3
4 特定的安全功能 7
4.1 总则 7
4.2 安全功能 7
5 功能安全的管理 9
5.1 目的 9
5.2 PDS(SR)开发生命周期 9
5.3 功能安全计划 10
5.4 PDS(SR)的安全要求说明(SRS) 11
6 PDS(SR)设计与开发的要求 13
6.1 一般要求 13
6.2 PDS(SR)的设计要求 14
6.3 故障检测行为 20
6.4 数据通讯附加要求 21
6.5 PDS(SR)的集成和试验要求 21
7 使用信息 22
7.1 PDS(SR)安全使用信息及说明 22
8 验证和确认 23
8.1 总则 23
8.2 验证 23
8.3 确认 23
8.4 文件 24
9 试验要求 24
9.1 试验计划 24
9.2 试验文件 24
10 修改 24
10.1 目的 24
10.2 要求 24
附录A(资料性附录) 顺序任务表 26
附录B(资料性附录) 确定PFH的示例 29
附录C(资料性附录) 适用的失效率数据库 38
附录D(资料性附录) 故障表和故障排除 40
参考文献 49
前言
GB/T 12668《调速电气传动系统》分为以下几个部分:
---第1部分:一般要求 低压直流调速电气传动系统额定值的规定;
---第2部分:一般要求 低压交流变频电气传动系统额定值的规定;
---第3部分:电磁兼容性要求及其特定的试验方法;
---第4部分:一般要求 交流电压1000V以上但不超过35kV的交流调速电气传动系统额定
值的规定;
---第5部分:安全要求;
---第6部分:确定负载工作制类型和相应电流额定值的导则;
---第7部分:电气传动系统的通用接口和使用规范;
---第8部分:电源接口电压的规范。
本部分是GB/T 12668的第5-2部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分使用翻译法等同采用IEC 61800-5-2:2007《调速电气传动系统 第5-2部分:安全要求 功
能》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 20438(所有部分) 电气/电子/可编程电子安全相关系统的功能安全[IEC 61508(所有
部分)];
---GB/T 24339(所有部分) 轨道交通 通信、信号和处理系统 [IEC 62280(所有部分)]。
本部分做了如下编辑性修改:
---小数点符号用“.”代替“,”;
---对于无编号的列项,第一层次的列项之前用破折号;
---删除了国际标准的前言。
本部分由中国电器工业协会提出。
本部分由全国电力电子学标准化技术委员会(SAC/TC60)归口。
本部分起草单位:天津电气传动设计研究所、深圳市英威腾电气股份有限公司、上海澳通韦尔电力
电子有限公司、北京合康亿盛变频科技股份有限公司、希望森兰科技股份有限公司、北京利德华福电气
技术有限公司、深圳市库马克新技术股份有限公司、哈尔滨九州电气股份有限公司、山东新风光电子科
技发展有限公司、中冶赛迪电气技术有限公司、山东泰开自动化有限公司、广州智光电气股份有限公司、
上海雷诺尔科技股份有限公司、北京ABB电气传动系统有限公司、国家电控配电设备质量监督检验中
心、广东华拿东方能源有限公司。
本部分主要起草人:赵相宾、董桂敏、吴洪波、董瑞勇、蒲安康、杜心林、任光法、倚鹏、罗自勇、
丁兆国、赵树国、张胜民、李凯、许贤昶、陈国成、温湘宁、王书琴、苏勇华、柴青、董天舒。
调速电气传动系统
第5-2部分:安全要求
功能
1 范围
GB/T 12668的本部分规定了从功能安全方面考虑,对电气传动系统(安全相关)[PDS(SR)]的设
计开发、集成和验证,详述了要求,给出了建议。
本部分适用于《调速电气传动系统》中其他涉及调速电气传动系统的标准。
注1:术语 “集成”是对PDS(SR)本身而言,而不是并入安全相关应用。
本部分仅当PDS(SR)的功能安全被认定和PDS(SR)以高要求或连续模式(见3.10)操作时适用。
对于低要求应用,见IEC 61508。
本部分是一个产品标准,阐述了有关IEC 61508结构体系中PDS(SR)安全相关考虑,介绍了PDS
(SR)做为安全相关子系统的要求。本部分意在促进PDS(SR)的电气/电子/可编程电子元件(E/E/
PE)来实现PDS安全功能的安全特性。
PDS(SR)的制造商和供应商通过使用本部分规范性要求,向用户(控制系统集成商、成套装备设计
者等)展示他们设备的安全特性。通过运用IEC 61508的原理和在其相关领域中的实施(例如
IEC 61511、IEC 61513、IEC 62061)或ISO 13849,有助于将PDS(SR)纳入安全相关控制系统。
依照本部分满足IEC 61508中PDS(SR)所需的所有要求。
本部分不说明以下要求:
---特定应用的危险和风险分析;
---特定应用的安全功能的识别;
---安全完整性等级 (SIL)对那些安全功能的初始分配;
---除接口配置以外的传动设备;
---次生危害(例如生产和制造过程中的失效);
---在IEC 61800-5-1中包括的电气、热和能量的安全考虑;
---PDS(SR)生产过程;
---PDS(SR)信号和指令的有效性。
注2:PDS(SR)的功能安全要求随应用而定,并且必须视为设备整体风险评估的一部分。PDS(SR)供应商不对传动
设备负责的地方,装备设计者负责风险评估并且明确说明PDS(SR)的功能和安全整体要求。
注3:纵然恶意的行为能影响PDS(SR)的功能安全,本部分中不考虑担保问题。
本部分仅适用不大于SIL3的SIL的安全功能的PDS(SR)。
图1给出了本部分中所考虑的PDS(SR)的功能元件。
图1 PDS(SR)的功能元件
图1是PDS(SR)的逻辑表示,而不是物理描述。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20438.1-2006 电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求
(IEC 61508-1:1998,IDT)
GB/T 20438.2-2006 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/
可编程电子安全相关系统的要求(IEC 61508-2:2000,IDT)
GB/T 20438.3-2006 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求
(IEC 61508-3:1998,IDT)
GB/T 20438.6-2006 电气/电子/可编程电子安全相关系统的功能安全 第 6 部分:
GB/T 20438.2和GB/T 20438.3的应用指南(IEC 61508-6:2000,IDT)
GB/T 20438.7-2006 电气/电子/可编程电子安全相关系统的功能安全 第7部分:技术和措施
概述(IEC 61508-7:2000,IDT)
IEC 60204-1 机械安全 机械电气设备 第1部分:通用技术条件(Safetyofmachinery-
IEC 61508-5 电气/电子/可编程电子安全相关系统的功能安全 第5部分:确定安全完整性等
IEC 61800-1 调速电气传动系统 第1部分:一般要求 低压直流调速电气传动系统 额定值的
IEC 61800-2 调速电气传动系统 第2部分:一般要求 低压交流变频电气传动系统额定值的规
IEC 61800-3 调速电气传动系统 第3部分:产品的电磁兼容性标准及其特定的试验方法(Ad-
IEC 61800-4 调速电气传动系统 第4部分:一般要求 交流电压1000V以上但不超过35kV
exceeding35kV)
IEC 61800-5-1:2003 调速电气传动系统 第5-1部分:安全要求 电气,热和能量(Adjustable
3 术语和定义
下列术语和定义适用于本文件。
注:定义按字母顺序排列,见表1。
表1 定义顺序表
术语编号 术语 术语编号 术语
3.1 共同原因失效 3.14 安全失效
3.2 危险失效 3.15 安全失效分数
3.3 诊断覆盖率 3.16 [PDS(SR)的]安全功能
3.4 诊断试验 3.17 安全完整性
3.5 故障反应功能 3.18 安全完整性等级
3.6 功能安全 3.19 安全相关系统
3.7 危险 3.20 安全要求规范
3.8 装置 3.21 安全完整性等级能力
3.9 运行时间 3.22 子系统
3.10 操作模式 3.23 系统性失效
3.11 电气传动系统(安全相关) 3.24 系统安全完整性
3.12 PFH 3.25 确认
3.13 检验试验 3.26 验证
3.1
共同原因失效 commoncausefailure
一种失效,它是一个或多个事件导致的结果,在多通道系统中引起两个或多个分离通道同时失效,
从而导致系统失效。
[GB/T 20438.4-2006,定义3.6.10]
3.2
危险失效 dangerousfailure
使安全相关系统处于潜在的危险或丧失功能状态的失效。
[GB/T 20438.4-2006,定义3.6.7]
3.3
诊断覆盖率 diagnosticcoverage;DC
进行自动诊断试验而导致的硬件危险失效概率的降低部分。
[GB/T 20438.4-2006,定义3.8.6]
注1:这也可表达为检测到的危险失效率的总和λDD与总的危险失效率的总和λD 的比值,即DC=∑λDD/∑λD;
注2:诊断覆盖率可能存在于整个或部分安全相关系统。例如,诊断覆盖率可能存在于传感器和/或逻辑系统和/或
终端元件。
3.4
诊断试验 diagnostictest
意在检测故障或危险并且当故障或危险检测到时产生特定输出信息或动作的试验。
3.5
当PDS(SR)内部可能引起安全功能损失的故障或失效被检测到的时候,此功能开启。此功能意在
维护装置的安全状况,防止装置出现危险情况。
3.6
功能安全 functionalsafety
与EUC(受控设备)和EUC控制系统有关的整体安全的组成部分,它取决于电气/电子/可编程电
子安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确行使。
[GB/T 20438.4-2006,定义3.1.9]
注:本部分仅考虑依PDS(SR)的正确工作而定的功能安全定义的那些方面。
3.7
危险 hazard
潜在的危害源。
[ISO/IEC 导则51:1999,定义3.5]
注1:该术语包括短时间内对人身的危险(例如,火和爆炸),也包括那些对人体健康有长期影响的危险(例如,有毒
物质的释放)。
注2:IEC 61508-4:1998的修改版定义危险情况为:一种形势,在其中人员、财产或环境暴露于一个或多个危险或危
险事件下。
3.8
装备 instalation
至少包括PDS(SR)和被传动设备两者的一台或数台设备。
3.9
运行时间 missiontime
在整个生命周期中规定的PDS(SR)的累积运行时间。
3.10
操作模式 modeofoperation
根据其要求产生的频率,安全相关系统被使用的方式。
注1:改写GB/T 20438.4-2006,定义3.5.12。
注2:IEC 61508中考虑了两种操作模式:
---低要求模式:在这种模式下,对一个安全相关系统提出操作要求的频率不大于每年一次和不大于2倍的
检验试验频率。
---高要求或连续模式:在这种模式下,对一个安全相关系统提出操作要求的频率大于每年一次或大于2倍
的检验试验频率。
低要求操作模式通常被认为与PDS(SR)应用无关。因此,在本部分中,仅考虑PDS(SR)s在高要求或连续模
式下操作。
注3:要求模式是指为了将装备转变成指定的状态,仅按要求执行的安全功能。
注4:连续模式是指连续工作的安全功能,例如,PDS(SR)连续地控制装备和它的功能的(危险)失效可能导致危险。
3.11
电气传动系统(安全相关) PDS(SR)
适用于安全相关应用的调速电气传动系统。
3.12
PFH
每小时危险随机硬件失效的概率。
注:在IEC 62061:2005中,使用缩写PFHD。
3.13
检验试验 prooftest
安全相关系统中进行周期试验检测故障,因此,如果必要,系统可恢复为“初始”的状态或实际上尽
可能的接近这种状态。
注:检验试验通常用于承担披露没有被诊断试验检测出的危险故障。检验试验的效果取决于系统修复得“初始”状
态的接近程度。为了使检验试验充分有效,有必要100%地检测所有危险故障。尽管在实际中,除了不太复杂
的系统,100%检测出来是不容易做到,但这应作为目标。
3.14
安全失效 safefailure
不可能使安全相关系统处于潜在的危险或丧失功能状态的失效。
[GB/T 20438.4-2006,定义3.6.8]
3.15
安全失效分数 safefailurefraction;SFF
子系统的平均安全失效率加检测到的平均危险失效率与子系统总平均失效率之比。
SFF=(∑λs+∑λDD)/(∑λs+∑λD)
注:见GB/T 20438.2-2006附录C。
3.16
[PDS(SR)的]安全功能 safetyfunction[ofaPDS(SR)]
由一个PDS(SR)整体或部分实现,具有特定安全性能的功能,以维持装备的安全状态或防止出现
在装备上的危险状态。
3.17
安全完整性 safetyintegrity
在规定的所有条件下,PDS(SR)令人满意的实现所要求的安全功能的概率。
注1:PDS(SR)的安全完整性等级越高,PDS(SR)不能实现所要求的安全功能的概率就越低。
注2:安全完整性同PDS(SR)所执行的每个安全功能可能不一样。
注3:改写GB/T 20438.4-2006,定义3.5.2。
3.18
一种离散的等级(四种可能等级之一),用于规定分配(整体或部分)给PDS(SR)的安全功能的安全
完整性要求。
注1:SIL4是安全完整性的最高水平,SIL1是安全完整性最低水平。
注2:本部分不考虑SIL4,因为通常它与 PDS(SR)s相关的风险降低要求不相关。适用于SIL4的要求,见
IEC 61508。
注3:改写GB/T 20438.4-2006,定义3.5.6。
3.19
安全相关系统 safety-relatedsystem
包括以下两种系统:
---执行达到或维持EUC的安全状态所需及必须的安全功能;和
---通过其自身,或其他电气/电子/可编程电子安全相关系统,或安全相关技术系统或外部风险降
低设施,来实现必须的安全功能所需的安全完整性。
3.20
包含必须由PDS(SR)执行的安全功能的所有要求的说明。
3.21
在系统安全完整性和硬件安全完整性结构约束方面,通过PDS(SR)的设计能实现的安全完整性等
级的最大值。
注:PDS(SR)预期执行的每一个指定的安全功能可与一个不同的SIL能力相联系。
3.22
子系统 subsystem
安全相关系统顶层结构设计的一部分,它的失效会导致安全功能的失效。
注1:PDS(SR)本身可以是一个子系统,也可以是由很多独立的子系统组成的,由这些子系统组成整体执行安全功
能。一个子系统可以有多个通道。
注2:PDS(SR)子系统可以是编码器、电源部分、控制部分(见图1)。
3.23
系统性失效 systematicfailure
原因确定的失效,只有对设计或制造过程、操作规程、文档或其他相关因素进行修改后,才有可能排
除这种失效。
注:人为错误引起的系统失效的例子有:
---安全要求规范;
---硬件的设计,制造,安装,操作;
---软......
|