GB／T 3836.36-2022  爆炸性环境 第36部分：控制防爆设备潜在点燃源的电气安全装置

5.2安全装置的安全特性

安全装置应为防爆设备提供适合于所需要的点燃风险降低的安全完整性。安全装置应接照表 市爆设备提供最小风险降低系数。

城镇建设标准表1降低点燃风险的安全装置的最小RRF

注1：常规预期情况包括预期条件，例如制动器高温、光源失效或熔断器断开。这种设备不能通过安全装置控制来 实现EPLGa或Da。 注2：对于EPLGc/Dc，风险降低系数提供了附加的保护，以确保点燃源在常规预期情况下保持不活跃。对于EPL Gb/Db，GB/T3836.1中的定义没有确定常规预期情况，但仍需考虑这些情况。因此，较高的RRF为控制这 种点燃源提供了附加的完整性。 注3：常规预期情况不包括正常运行期间的点燃源。提供了附加措施以避免这些常规预期情况成为有效点燃源（见 GB/T 3836.1中定义的 EPL Gc)。 正常运行期间的点燃源（例如火花触点或火花继电器）不应用安全装置控制，因为它们被视为不可 接受的风险。这种点燃源不能用安全装置控制。 如果在点燃时采用附加的风险降低措施，例如粉尘爆炸抑制系统，可降低表1中所示的RRF值。 在这种情况下，应验证附加RRF。 附录A和附录B中给出了使用表1的示例。

实现EPLGa或Da。 注2：对于EPLGc/Dc，风险降低系数提供了附加的保护，以确保点燃源在常规预期情况下保持不活跃。对于EPL Gb/Db，GB/T3836.1中的定义没有确定常规预期情况，但仍需考虑这些情况。因此，较高的RRF为控制这 种点燃源提供了附加的完整性。 注3：常规预期情况不包括正常运行期间的点燃源。提供了附加措施以避免这些常规预期情况成为有效点燃源（见 GB/T 3836.1 中定义的 EPL Gc)。 正常运行期间的点燃源（例如火花触点或火花继电器)不应用安全装置控制，因为它们被视为不可 接受的风险。这种点燃源不能用安全装置控制。 如果在点燃时采用附加的风险降低措施，例如粉尘爆炸抑制系统，可降低表1中所示的RRF值。 在这种情况下，应验证附加RRF。 附录A和附录B中给出了使用表1的示例，

不为控制特定设备而设计的安全装置可以独立评定。应在防爆设备的使用说明书中规定该关联安 全装置的安全完整性和其他技术参数以及对防爆设备的接口。 所要控制的设备和关联安全装置的组合被视为受控防爆设备（EEUC)，并应按照表1进行评定 参见A.2中的示例。

应在考虑到要控制的潜在点燃源的情况下规定安全装置。应确定安全装置的安全功能。

GB/T3836.36—2022

安全装置应设计成在规定的运行条件范围内可靠地提供安全功能。例如，在调试期间，可访问参数 的数量应最小化，并在参数设置后通过密码、跳线或开关等方式锁定。需考网络安全风险和防止外部 干扰，例如电磁兼容，

安全功能应根据需要使EEUC进人安全状态。应在使用说明书中针对点燃危险（例如温度）规） 制以防止点燃的参数的动作阅值（最大或最小）。需考虑相关安全参数的所有方面（例如测量范围 度和响应时间）。如果GB/T3836（所有部分）的相关标准要求安全系数，则需额外考虑这一点。

6.3达到安全完整性的要求

6.3.1简单安全装置

如果实现安全功能所需的元件满足以下要求，则安全装置可视为简单安全装置： a）所有组成元件的失效模式都已明确定义；和 b）能完全确定故障条件下元件的行为；和 c）有足够可靠的失效数据表明，检测到的和未检测到的危险失效与声明的失效率是相符的。 注1：简单安全装置的示例：带有分立触点的基本开关（例如机械运行的液位开关、浮子)、接近传感器、PT100或双 金属热操头。 注2：带有软件或微处理器控制的设备不视为简单安全装置。 简单安全装置可不必按照6.3.2进行完整评定。它能够按照其在失效模式和影响分析(FMEA)中 危险硬件失效率进行评定（见附录C)。 此外，宜提供系统能力评定。如果没有评定系统能力，则应记录理由

6.3.2复杂安全装置

.3.1中未涵盖的安全装置应被视 安全装置应设计成符合适用的功能安全标准。

应进行适当的功能试验，以确保安全功能在规定的运行条件范围内正确运行，并考虑制造公差范围 或可能影响安全系统性能的其他因素。

制造商应在说明书中规定所有必 ，使用户能够执行功能检验测试。见第9章。 的常带见做法

本文件不要求对安全装置进行特殊标志。 注1：其他标准（包括GB/T3836.1)可能需要安全装置的特殊标志。 注2.EEUC的标志依据GB/T3836.1

使用说明书应作为安全手册编制，包含GB/T3836（所有部分）中适用部分的信息以及使用安全 系统的其他必要信息，例如： 安全装置及其安全功能的描述； 相关安全参数，包括RRF和/或安全完整性[例如安全完整性等级（SIL)]和失效率； 一安装、校准、投用和使用的安全相关说明； 一电气接口参数（电压、电流、功率等）标称值，包括公差； 一关联的防爆型式（如果相关）； 一安全状态和断电条件； 一安全装置的接口； 环境和运行条件； 动作阅值（例如电气阅值、温度）； 安全功能的响应时间； 适用时，带有试验程序详细 使用寿仓

GB/T3836.362022

本附录给出的示例说明了按照表1 降低防爆设备风险的原则。 这些示例并不宜代表实际的应用细节 文件应用原则的说明

A.2带表面温度控制的防爆设备

对于给定的容差为士10%的EEUC电源电压，规定温度组别的防爆设备被认证为EPLGb或 而，在常规预期情况下，电源电压的容差可能高达20%。安全评定结果是由表面温度高于规定 起的可能点燃源。

按照GB/T3836.15，在此应用中使用防爆设备是不被允许的。当电压高于认证容差时，表面 升高并可能成为点燃源

图A.1限制温升的安全装置

传感器与逻辑控制单元之间以及EEUC与执行机构之间的连接也需要符合GB/T3836（所有部 分）的相关防爆要求。逻辑控制单元和执行机构不必符合GB/T3836（所有部分）的相关防爆要求。

A.3Exeb电机热保护用电流型安全装置

发生变化，从而增加电动机从电源中获得的功率，在严重情况 下，电机可能会堵转。这不是电机故障，是电机应用中的一种预期情况。 对于符合GB/T3836.3的Exeb电机，电机内部部件的温升按照由给定电机的te时间设定的规定 值进行了限制，以使在堵转条件下不能超过te参数。te参数也确定了其他过载条件所需的限值。

在过载和堵转条件下，电机电流增大将导致温度升高，超过电机的温度组别的正常允许温度。

这可通过使用位于危险场所外的电流相关过载保护装置进行控制（见图A.2）。 安全功能是监测电机电流，并使用过载保护装置断开电机，该过载保护装置能够在堵转条件下在 e时间内动作，并满足其他过载条件下所需的响应。作为防爆设备的电机只有在预期故障期间才有 个残余点燃源，对应用在要求EPLGb的场所中，表1给出了RRF=10

通过点燃控制和爆炸缓解来降低风险（斗式提

在堵转和过载条件下限制电机温升的过载保折

斗式提升机由于设备内部的粉尘和存在大量潜在点燃源而被认为是可能产生爆炸的设备。要控制 的设备是用于处理可能形成可燃性粉尘的物料的斗式提升机。物料被送人提升机的底部，在那里被集 中并铲进桶里。料斗与提升每个料斗的链条或皮带相连，当料斗转过顶部滚筒时，料斗中物料分人出口 斜槽。 斗式提升机内部的溢出、研磨和落料，意味着提升机使用时，提升机外壳内的空气中始终存在可燃 性粉尘。内部可划分为20区（EPLDa）。 运行原理如图A.3所示。

A.4.2点燃危险评定

图A.3斗式提升机原理

点燃危险评定可确定斗式提升机总成内的几个可能的点燃源。可能包括： 皮带在顶部或底部滚筒上的偏移，这可能导致皮带或料斗与壳体侧面摩擦，导致火花或热 表面； 料斗从皮带或链条上移开，导致料斗与外壳摩擦，产生火花或热表面； 底部装载区域出现堵塞，导致皮带在滚筒上滑动或研磨材料，导致表面发热； 其他可能导致火花或热表面的机械故障。

A.4.3防点燃安全控制

传感器以及总成顶部和底部的铲斗定位传感器。这些功能可以通过连接到合适的控制系统的通用传感 器进行管理。 对任何故障进行检测以停止斗式提升机，从而防止潜在的点燃源激活。 为防止点燃而增加的控制装置如图A.4所示。

图A.4用于爆炸危险探测的斗式提升机传感器

于爆炸危险探测的斗式提

表1宜对控制措施采用大于100的最小风险降低系数。进一步的分析甚至可能建议需要更高 可靠性。但是，这可能实际上不可行，并且可能存在传感器无法控制的其他点燃风险

A.4.4具有爆炸缓解的安全控制

通过增加措施来缓解爆炸，能够修改风险降低系数。在这个示例中，可以增加抑爆设备以在点燃之 后抑制爆炸。抑制可以将最大爆炸压力降低到斗式提升机外壳的耐压能力范围内，可以使用其他装置 来防止爆炸传播到工厂的其他区域。 包括爆炸缓解在内的控制组合如图A.5所示

图A.5具有爆炸缓解的控制

危险场所中使用的设备的温度可能超过正常运行中气体的点燃温度，并且可能会在常规预期情 为活跃的点燃源。在这种情况下，提供补充气流以进行额外冷却

A.5.2点燃危险评定

点燃危险评定可识别可能与应用有关的一些条件，因此可能需要一些控制。在这方面，可以参考 GB/T3836.17中的一些原则作为指南。 与点燃危险相关的因素可能包括如下因素。 设备运行时通风系统的可靠性。 通风系统无法自动停止机器运行。 一可能需要保持提供的用于冷却的空气的低温。 在向机器供电之前，可能需要预先通风一段时间或多次换气。 可能需要对逃逸到危险场所（例如1区位置）的热颗粒的防护。 危险场所外的新鲜空气源和相关管道的完整性。例如，通过设计并保持送风管道中的正压力

根据可能导致高温的各种条件，可能需要一些安全功能和安全装置。按照表1，假设位置需要EPL Gb，则需要一个RRF=100。这些控制措施包括： 空气流量和压力传感装置。 一送风温度传感。 一自动定时装置，以确保外壳内的任何电气设备在外壳内的初始大气被完全置换至少10次之前 不通电，除非能够证明内部大气是非危险的。 一温度传感装置， 传感器和控制单元之间以及控制单元和执行机构之间的互连也需要符合GB/T3836（所有部分） 的相关防爆要求。

附录B （资料性） 安全电机温度（SMT)子功能用于变频供电电机

本附录是作为组合评定（见5.1)的电机、电机控制和安全装置互连的一个示例。为使用与电子电源 模块相关的电子和可编程功能（例如在变频器内）保护危险场所的电机提供了指导。这种具有控制功能 的电子电源模块被称为“成套传动模块”，将与其他控制和开关设备一起用于完整的电机系统，如图B.1 所示。 本附录描述了适用于可能是动力驱动系统一部分的安全电机温度（SMT)子功能的措施，以防止电 机因过载或故障而过热的风险。见GB/T12668.502。

图B.1电机系统概况

该安全装置是用于保护在爆炸性环境中运行的电机的安全相关系统或设备，用以降低可能在爆炸 性环境中运行的电机因过热而引起的点燃风险。本附录不包括火花等其他风险。 超出SMT安全子功能限值的结果是两个停止功能STO（断电）或SS1（控制减速至零速度，随后是 STO）中的一个。

B.2安全电机温度控制功能的可靠性

当SMT安全子功能用于避免受控设备（电机）成为爆炸性环境中的点燃源时，安全子功能的最 检降低系数(RRF)如表 B.1 所示。

表B.1SMT安全子功能风险降低系数（RRF）

在由变频器驱动运行时，温度过高的 表B.1所列的RRF系数发生变化。 安全电机温度功能的设置宜防止未经授权的修改。 注：本附录给出的指南用于组合评价的电机和变频器。最终用户按照这些指南选择电机保护装置不属于 GB/T3836.15的要求。

B.3无温度传感器的控制

当安全相关动力驱动系统的电机与CDM/BDM一起对一系列电机验证时，SMT安全子功能确保 电机即使没有内置温度传感器也不能达到高于温度组别的温度。 由SMT安全子功能控制的电机温度考虑了电机功率、速度范围、要求工作周期的扭矩和频率，并 得到验证和记录。示例见图B.2

B.4有温度传感器的控制

公路标准规范范本图B.2无温度传感器的控制

当安全相关动力驱动系统的电机未与CDM/BDM一起对监测和控制电机负载和工作周期进行测 试时，SMT安全子功能仅用于通过使用传感器探测来监测电机温度是否过高。 传感器嵌人电机绕组或其他位置，用于通过SMT安全子功能向CDM/BDM提供关于电机温度的 信息。示例见图B.3。

图B.3有温度传感器的控制

GB/T 3836.36—2022

简单安全装置的评定如下。

a）按照“简单安全装置”的定义对安全装置进行了验证（见6.3.1）。 b）石 确定了安全功能丧失的危险失效率入d。如果安全装置供应商未规定，可采用下列方法之一 按下列优先顺序确定危险失效率入d： 1）使用公认工业数据库中元件一般失效率的安全装置FMEA。 2）根据设备的平均失效间隔工作时间（MTBF)值进行的估算，得出保守值入a≤1/MTBF。 3） 由供应商或用户的现场反馈数据经验记录的失效统计。 如果需要，对偏离的运行和环境条件调整确定的失效率（例如按照GB/T7289）。 ） RRF能够按照表C.1由入。确定，检验测试间隔不超过2年。

a）按照“简单安全装置”的定义对安全装置进行了验证（见6.3.1）。 b） 确定了安全功能丧失的危险失效率入d。如果安全装置供应商未规定，可采用下列方法之一 按下列优先顺序确定危险失效率入d： 1）使用公认工业数据库中元件一般失效率的安全装置FMEA。 2）根据设备的平均失效间隔工作时间（MTBF)值进行的估算，得出保守值入a≤1/MTBF。 3） 由供应商或用户的现场反馈数据经验记录的失效统计。 如果需要，对偏离的运行和环境条件调整确定的失效率（例如按照GB/T7289）， ） RRF能够按照表C.1由入.确定，检验测试间隔不超过2年，

爱C.1入角钢标准，和RRE的关