1范围
本部分提供了包括软件设计在内的控制系统有关安全部件(SRP/CS)设计和集成的安全要求和指导原则。对于这些SRP/CS的部件,本部分规定了包括执行安全功能所需的性能等级在内的特征。本部分适用于所有种类机械的SRP/CS,不管其采用的何种技术和能量(电,液压.气动,机械等)。本部分未规定特殊应用中的安全功能或性能等级。本部分提供了采用可编程电子系统的SRP/CS的具体要求。本部分未提供设计SRP/CS的部件的具体要求。然而,可使用已给出的原则﹐例如:类别或性能等级。注 1:SRP/CS的部件示例:继电器,电磁阀.位置开关,PLC,电动机控制单元,双手操纵装置,压敏设备等,对于这些产品的设计,重耍的是要参考特别适用的标准,例如:GB/T 19671.GB/T 17454.l和 GB/T 17454.2。注2:所需的性能等级的定义见3。1.24。注3;本部分提供的关于可编程电子系统的要求与IEC 6206l中给出的设计和开发机械有关安全的电气,电子和可编程控制系统的方法原理是一致的。注4:对于PL,=e的嵌人软件中的有关安全部件见GB/T 20438.3——200?中的第﹖章。注5:也可见表1。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的*新版木﹐凡是不注日期的引用文件,其*新版本适用于本部分。
GB/T 15706.1—2007机械安全基本概念与设计通则﹑第Ⅰ部分;基木术语和方法(ISO)12100-1:2003,1DT)
GB/T 15706.2—2007机械安全基本概念与设计通则第﹖部分;技术原则(ISO) 12100-1t2003.IDT)
GB/T 16855.2—2007机械安全﹐控制系统有关安全部件﹑第﹖部分:确认(IS(13849-2:2003,IDT)
GB/T 16856.1—2008机械安全﹑风险评价﹑第1部分:原则(ISO 14121-1:2007,IDT)
GB/T 20438.3—2006电气/电子/可编程电子安全相关系统的功能安全第3部分﹔软件要求(IEC 61508-3 ;1998.1DT)
GB/T 20438.4—2006电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语(IEC61508-4;1998,IDT)
IEC 60050-191,1990国际电工词汇第191章;可靠性与业务质量
3术语,定义.符号和缩写
GB/T 15706.1—2007,1EC 60050-191, 1990确立的以及下列术语和定义适用于本部分。
3.1.1
控制系统有关安全部件safety-related part of a control systemSRP/cs
控制系统中响应有关安全输人信号并产生有关安全输出信号的部件。
注l。控制系统有关安全部件的组成,以有关安全的输入信号被触发为起始点(例如;致动凸轮和位置开关滚轮等),
以控制元件的动力输出(例如:接触器的主触点等》为终止点。
往2:如果监测系统用于诊断,也可认为它们是 SRP/Cs.
3.1.2
类别categoryCat.
控制系统有关安全部件在防止故障能力以及故障条件下后续行为方面的分类,它通过部件的结构布置,故障检测和(或)部件可靠性来达到。
3.1.3
故障fault
产品不能执行所需功能的状态,预防性维修或其他计划性活动或缺乏外部资源的情况除外。注1,故障通常是产品本身失效后的状态,但也可能在失效前就存在。
CIEC6oO50-91 , 19So-05-01 ]
注2,木部分中“故障""意思是随机敌防。3.1.4
失效failure
产品执行所要求功能能力的终止。注1。失效后,产品就有故障。
注2"失效"是事件,区剧于作:为一种状态的“故障”。注3。定义的概念不使用与仅由软件组成的产品。
CIEC60O50-191 ,1ss0.04-01]
注4,本部分不包括只影响控制器进程的失效。3.1.5
危险失效dlangcrous failure
使控制系统有关安全部件(SRP/CS)处于潜在的危险状态或丧失功能状态的失效。
注1。潜在是否成为事实取决于系统的烂道结构w冗余系统中,危险硬件失效不太可能导致全面的危险状态或功能
丧失状态
注2:改自GE/T20438.4——2006中的定义3。6。7。3.1.6
共因失效common eause failureCCF
同一事件引起的不同产品的失效,这些失效相互之间没有因果关系。[IEC 60050-191-am1 : 1999.04-23]
注。共因失效不宣与共模失效相混淆(见GB/T 15706.1——2007.3。34)。3.1.7
系统失效systematic failure
原因确定的失效,只有对设计或制造过程,操作规程、文档或其他相关因素进行修改后,才有可能排除这种失效。
注1:没有修正的矫正性维护通常不能消除失效原因。注2。系统失效可通过模拟失效原因引起。