发布日期:2023-03-26 12:34 浏览次数:
本部分规定了通过分析和测试确认以下参数时需遵循的程序和条件:
——规定的安全功能;
——按照GB/T 16855.1设计的控制系统安全相关部件(SRP/CS)达到的类别;
——按照GB/T 16855.1设计的控制系统安全相关部件(SRP/CS)达到的性能等级。
注:可编程电子系统(包括嵌入式软件)的附加要求在GB/T 16855.1-2008的4.6和GB/T 20438中给出。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15706-2012 机械安全 设计通则 风险评估与风险减小(ISO 12100:2010,IDT)
GB/T 16855.1-2008 机械安全 控制系统有关安全部件 第1部分:设计通则(ISO 13849-1:2006,IDT)
GB/T 15706-2012和GB/T 16855.1-2008界定的术语和定义适用于本文件。
4.1 确认原则
确认过程的目的是为了确定SRP/CS的设计是否支持机械的所有安全要求规范。
确认应证明每个SRP/CS满足GB/T 16855.1的要求,特别是:
a)设计原理提出的,由该部件所提供的安全功能的规定安全特性。
b)规定的性能等级的要求(见GB/T 16855.1-2008中4.5):
1)规定的类别的要求(见GB/T 16855.1-2008中6.2);
2)控制和避免系统性失效的措施(见GB/T 16855.1-2008中附录G);
3)适用时,软件的要求(见GB/T 16855.1-2008中4.6);
4)在预期环境条件下执行安全功能的能力。
c)操作者界面的人类工效学设计,例如,不会因此诱使操作者采用危险的操作方式,如废弃SRP/CS(见GB/T 16855.1-2008中4.8)。
宜由独立于SRP/CS设计的人员进行确认。
注:“独立人员”并不意味着需要第三方测试。
确认包括分析确认(见第5章),以及按照确认计划在可预见的条件下进行的功能测试(见第6章)。图1给出了确认过程。分析与测试之间的平衡取决于安全相关部件所采用的技术和所需的性能等级。
对于2类、3类和4类,安全功能的确认还应包括故障条件下的测试。
宜尽可能早地启动分析工作,并与设计过程同时进行,以便能尽早在问题还相对容易解决的时候解决,即在“安全功能的设计和技术实现”和“评估性能等级PL”这两步之间(GB/T 16855.1-2008中图3第四个方框与第五个方框之间)。部分分析工作有必要推迟到设计完成后进行。
由于控制系统的规模、复杂性或者集成到(机器的)控制系统中产生的效果,在必要时,宜作如下的专门安排:
——在集成前单独对SRP/CS进行确认,包括模拟相应的输入和输出信号;
——确认安全相关部件与控制系统内其余部分的集成效果。
图1 确认过程
图1中的“修改设计”是指设计过程。如果无法成功完成确认,则有必要改变设计。然后,还宜对修改后的安全相关部件重新进行确认。宜重复此过程,直到所有安全功能的安全相关部件均已成功完成确认。
4.2 确认计划
确认计划应识别和描述对规定的安全功能及其类别和性能等级进行确认过程的要求。
确认计划还应识别用于确认规定安全功能、类别和性能等级的方法。适当时,应规定以下内容:
a)识别技术规范文件;
b)测试过程中的操作和环境条件;
c)需要进行的分析和测试;
d)适用的测试标准:
e)确认过程中每一步骤的负责人或单位。
此前已按相同技术规范确认过的安全相关部件只需要引用此前的确认即可。
4.3 一般故障清单
确认过程包括考虑SRP/CS在所有考虑的故障条件下的性能。故障考虑的基础是附录A~附录D中根据经验以表格形式给出的故障清单。这些表格包括:
——元件/组件,如导线/电缆(见附录D);
——故障,如导体间短路;
——允许的故障排除,考虑环境、操作和应用等因素;
——备注栏,给出故障排除的理由。
故障清单仅考虑永久性故障。
4.4 特殊故障清单
如有必要,应创建一个特殊的产品相关故障清单,作为安全相关部件确认过程的参考文件。此清单可以以附录中相应的一般故障清单为基础。
对于基于一般故障清单的特殊的产品相关故障清单,应规定以下内容:
a)一般故障清单列出的故障;
b)一般故障清单没有列出的其他相关故障(例如,共因失效);
c)一般故障清单中列出的,并且在满足一般故障清单中给出的准则(见GB/T 16855.1-2008中7.3)的前提下可能可以排除的故障;
特殊情况下,还应包括:
d)一般故障清单不允许排除的,但给出了排除理由和原理(见GB/T 16855.1-2008中7.3)的其他故障。
对于不是基于一般故障清单的故障清单,设计者应给出故障排除的原理。
4.5 确认信息
随着所采用的技术、待证实的类别和性能等级、系统设计原理以及SRP/CS对风险减小的作用的变化,确认所需要的信息也将随之改变。在确认过程中应包括含有以下足够信息的文件,以证实安全相关部件执行规定安全功能能达到所需的的性能等级和类别:
a)每种安全功能所需特征的技术规范,以及其所需的类别和性能等级;
b)图样和技术文件,例如,机械、液压和气动部件、印刷线路板、装配面板、内部布线、外壳、材料和安装的图样和技术文件;
c)带功能描述框的框图;
d) 电路图,包括接口/连接;
e) 电路图的功能描述;
f)开关元件的时序图、安全相关的信号;
g)已确认元件相关特性的描述;
h)对于在 g)g)中没有列出的安全相关部件,列出名称、额定值、允差、相关的操作力、型号规格、失效率数据、元件制造商以及其他安全相关数据的元件清单;
i)所有相关故障的分析(也可见4.3和4.4),例如:附录 A~附录D的表格中列出的故障,包括所有已排除故障的理由;
j)被加工材料影响的分析;
k)使用信息,如安装和操作手册/说明书。
如果软件与安全功能相关,则软件的文件应包括:
——明确无误的技术规范,并规定软件需要达到的安全性能;
——软件的设计能达到所需的性能等级的证据(见9.5);
——用于证明达到了所需的性能等级的试验的细节(尤其是试验报告)。
注:软件的要求见GB/T 16855.1-2008中4.6.2和4.6.3。
应提供如何确定性能等级以及每小时危险失效平均概率的信息。可量化因素的文件应包括:
——安全相关的模块图(见GB/T 16855.1-2008中附录B)或者指定结构(见GB/T 16855.1-2008中6.2);
——MTTF.、DC...以及CCF的确定;
——类别的确定(见表1)。
应提供关于SRP/CS系统方面的文件信息。
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
