GBT 41257-2022 数字化车间功能安全要求.pdf
- 文档部分内容预览:
位对数字化车值生产制造过程及相天设备开展危险与风险分析,分析内容应包适但不限于 数字化车间工艺单元的危险识别与风险评估,安全功能识别,以及识别条件等; 数学化车间单体设备(如机器人、切削机床、压缩机、容器等)的危险识别与风险评估,安全功能 识别,以及识别条件等; 数字化车间工艺单元之间、单体设备之间、工艺单元与单体设备之间或者单体设备与人之间由 于彼此关联或影响,可能引发的危险的识别与风险评估,安全功能识别,以及识别条件等
分析结果应包括但不限于: 已识别的每个危险事件及其起因(包括人为错误)的描述:
事件的后果和可能性描述; 工况考虑; 风险降低要求的确定; 为降低风险所采取措施的描述或者引用; 在风险分析中对保护措施的可能的要求率和设备失效率等所作的假设,以及对操作约束或人 为干预的可信度的详细描述
应对数字化车间的控制层和执行层开展危险识别与风险评估,评估内容应包括但不限于: 控制系统、制造执行系统的自身失效或错误行为: 注1:包括控制系统各子系统或功能单元的失效或错误、子系统或功能单元之间不期望关联或作用、系统性失效或 错误等。 控制系统、制造执行系统的自身失效或错误行为可能带来的危险事件及其后果; 注2:有些情况下灌注桩标准规范范本,需要对危险事件的发生条件、发展过程、事件后果、及发生可能性等内容进行细化分析。 控制系统、制造执行系统的自身失效或错误行为的避免或控制措施分析; 注3:必要时进一步开展措施有效性分析,需要的外部保护功能分析等。 确定由安全相关系统实现的外部保护功能(若有); 控制系统、制造执行系统遭受外部信息安全攻击、合理可预见的误用或未经授权的行为等引起 的失效或错误行为分析,以及可能带来的危险事件及后果; 注4:必要时,进一步开展危险事件的发生条件、发展过程、事件后果及可能性分析, 针对控制系统、制造执行系统遭受外部信息安全攻击、合理可预见的误用或未经授权的行为等 引起的失效或错误,需要的风险防范措施分析等; 应在仿真、调试、运行、维护等生命周期各个环节考虑可能带来的危险与风险
分析结果应包括但不限于: 控制系统、制造执行系统的子系统或功能单元失效或错误行为描述,以及引发该失效或错误行 为的原因描述; 控制系统、制造执行系统的自身失效或错误行为可能带来的危险事件及其描述; 控制系统、制造执行系统的自身失效或错误行为的避免或控制措施描述 有关发生可能性的信息描述或引用; 由安全相关系统实现的保护功能描述; 分析评估过程中所作的假设描述; 系统状态、操作约束、人的行为等条件约束; 控制系统、制造执行系统的遭受外部信息安全攻击、合理可预见的误用或未经授权的行为可能 带来的危险事件及其描述; 控制系统、制造执行系统的遭受外部信息安全攻击、合理可预见的误用或未经授权的行为的避 免或控制措施描述。 注1:数字化车间危险与风险分析的方法和步骤,见附录A。 注2:对于遭受外部信息安全攻击、合理可预见的误用或未经授权的行为影响和防范的完整的分析需要开展信息 安全风险评估,参见GB/T41260一2022等相关标准
7数字化车间保护层评估
7.1数字化车间保护层
根据危险与风险分析的结果,提出数字化车间所需的保护层
主:数字化车间保护层的
危险与风险分析的结果,提出数字化车间所需的保护层。 致字化车间保护层的类型包括但不限于:安全相关系统、物理保护系统、车间应急响应等。
7.2制造过程和设备的保护层评估
基于E/E/PE技术的保护层功能,以及需要其提供的风险降低目标: 基于其他技术(如:液压、气动等)的保护层功能,以及需要其提供的风险降低目标; 其他风险降低措施的保护层功能,以及需要其提供的风险降低目标; 若存在多层保护,则各保护层之间的共用部分识别,并评估其所带来的风险降低损失; 若存在多层保护,则各保护层之间可能的共同原因或共同模式的失效,并评估其所带来的风险 降低损失; 基于E/E/PE技术的保护层运行模式,以及对应的目标失效量,相应的SIL要求
评估结果应包括但不限于: 基于E/E/PE技术的保护层安全功能描述; 保护层运行模式; 保护层目标失效量; 保护层独立性描述,以及为保持独立性所需的条件或约束的描述; 为确定保护层的风险降低目标所做的假设,以及其置信度描述
7.3控制层和执行层的保护层评估
7.3.1.3对控制层和执行层遭受外部信 未经授权的行为影响的保护 层的设计,应开展评估,以确定保护层功能及需要的保护等级。具体参考工控信息安全相关标准规范
评估结果应包括但不限于: 基于E/E/PE技术的保护层安全功能描述; 保护层运行模式; 保护层目标失效量; 保护层独立性描述,以及为保持独立性所需的条件或约束的描述 为确定保护层的风险降低且标所做的假设,以及其置信度描述
应对分配给安全相关系统的安全功能进行详细的定义,包括: 各安全功能的描述; 各安全功能的操作频率; 各安全功能要求的响应时间; 安全功能应启动或禁用的工况(例如运行模式); 可能同时启动,造成冲突行为的功能之间的优先权问题; 安全功能对其他过程功能或控制功能的接口; 对故障反应功能以及操作的各种限制(如机器重新启动或者继续运转)等的描述,以防初始错 误即导致机器停止运行; 操作环境描述(例如温度、湿度、灰尘、化学物质、机械振动和震动); 测试以及各种相关设施(例如测试设备、测试接人端口); 相关机电设备的操作循环周期、工作循环周期及/或应用类型; 断电、急停、失控、非受控工况的功能描述
应对安全相关系统的安全功能明确风险降低目标。对E/E/PE安全相关系统的安全功能,还应 其安全完整性等级
8.2.2安全完整性等级
.2.2.1每个E/E/PE安全相关系统的安全功能的安全完整性等级要求应来自风险评估和保护层评 古,以确保完成必要的风险降低。 注1:安全完整性等级要求离散的分为四级,SIL4为最高安全完整性等级,SIL1为最低安全完整性等级, 注2:安全完整性等级要求的目标失效量,按照运行模式的不同,分为要求时的失效概率和每小时的危险失效率 注3:不同的行业有不同的安全完整性等级要求。 .2.2.2低要求运行模式下,分配给E/E/PE安全相关系统的每个安全功能的安全完整性要求应按照
GB/T41257—2022
完整性等级:在低要求运行模式下安全功能的且
8.2.2.3高要求或连续运行模式下,分配给E/E/PE安全相关系统的每个安全功能的安全完整性要求
8.2.2.3高要求或连续运行模式下,分配给E/E/PE安全相关系统的每个安全功能的安全完整性要求 应按照安全功能的每小时危险失效平均频率(PFH)作为目标失效量见表2,提出风险降低要求。
安全完整性等级:在高要求或连续运行模式下安全
8.2.3安全完整性考虑的几个方面
数字化车间安全相关系统的选择或设计(包括:整体硬件、软件体系结构、传感器、执行元件、可编程 电子器件、嵌入式软件、应用软件等),均应符合以下要求: a)硬件安全完整性要求,包括: 硬件安全完整性体系结构限制; 一危险随机硬件故障概率要求。 b)系统安全完整性要求,包括: 故障避免要求; 失效控制要求。 注:软件安全完整性作为系统性安全完整性的一部分考虑,
安全相关系统应与非安全相关系统独立设置。独立的内容包括: 控制单元独立; 现场检测单元独立; 现场执行单元独立; 联接和配线独立。
施,或采取措施来保证非安全功能的任何行为不会影响到安全功能的完整性 8.3.2.2当安全相关系统实现不同安全完整性等级的安全功能时,除非能表明较低安全完整性等级的 安全功能对较高安全完整性等级的安全功能没有负面影响,否则共享或共用硬件和软件应符合最高安 全完整性等级。
8.4.1在能容许单一硬件故障的任何子系统中,检测到危险故障时(利用诊断测试、检验测试或任何其 他办法)应导致执行一个规定动作,以达到或保持安全状态;或隔离故障部分以使得在修复故障部分的 同时继续过程机器的安全运行。如果故障部分的修复不能在计算硬件随机失效概率中设定的MRT内 完成,则会产生一个规定的动作以达到或保持某个安全状态。 3.4.2在子系统没有容错能力的场合,当在子系统中检测到危险故障时(利用诊断测试、检验测试或任 可其他办法),则应导致一个规定动作,以达到或保持某种安全状态。如:导致机器的运行停止,且机器 的正常操作(如重新启动机器)将不能进行,直到该故障已经修复或校正。
3.5.1控制层应满足GB/T20438.1、GB/T20438.2、GB/T20438.3中关手E/E/PE安全相关系统及 其子系统的设计和集成的相关要求。 8.5.2应采取措施,实现对包括检测、控制、执行设备的安全相关信息的采集
3.5.1控制层应满足GB/T20438.1、GB/T20438.2、GB/T20438.3中关手E/E/PE安全相关系统及
控制层应满足GB/T20438.1、GB/T :20438.2、GB/T20438.3中关于E/E/PE安全相关系统 系统的设计和集成的相关要求 2应采取措施,实现对包括检测、控制、执行设备的安全相关信息的采集
9.1.1应在数字化车间的执行层中建立一个功能安全管理信息系统,作为数学化车间生产安全管理的 构成部分。 注:功能安全管理信息系统将功能安全管理流程从以人工干预为核心转变为以自动化、信息化处理为核心,并与执 行层其他功能模块进行必要信息交互,自动化执行或主动指导功能安全相关业务,提高企业安全等级 9.1.2功能安全管理信息系统应基于企业业务流程和功能安全管理规范,针对企业资产、人员、环境等 的安全需求构建
9.1.1应在数字化车间的执行层中建立一个功能安全管理信息系统,作为数字化车间生产安全管理的 构成部分。 注:功能安全管理信息系统将功能安全管理流程从以人工干预为核心转变为以自动化、信息化处理为核心,并与执 行层其他功能模块进行必要信息交互,自动化执行或主动指导功能安全相关业务,提高企业安全等级 9.1.2功能安全管理信息系统应基于企业业务流程和功能安全管理规范,针对企业资产、人员、环境等 的安全需求构建
9.2.1.1功能安全管理信息系统应能实时采集功能安全状态数据,提供功能安全监测和风险预警,提高
9.2.2危险与风险管理功能
对于不同的过程风险进行实时有效监控,并与预设的标准值进行比对,实现超限报警、反馈调节
9.2.3保护层管理功能
对数字化车间各类关键保护层进行实时 险的危险场景进行关联,建立过禾 程残余风险的实时动态变化情况。
9.2.4安全相关系统管理功能
9.2.4.1安全完整性状态监测子功能
安全完整性状态监测子巧
9.2.4.2检测和维护子功能
系统不同安全等级条件下的周期性维护、状态维护或故障检修维护的提醒(报警)及调度功能;建立维护 事件或问题的历史信息库,以支持故障诊断
2.4.3变更管理子功能
跟踪并指导安全相关系统的变更活动;建立变更活动历史信息库,支持变更追溯;实现变更状态提 醒,其他功能模块相关信息应随变更同步更新,可视需要采用实时同步或定期同步的方式
应对数学化车间功能安全相关的数据要素进行采集,并以计算机可识别的形式存储、调用、处理和 展示,以适应数字化车间建设需要。 注:数字化车间功能安全相关的数据要素包括但不限于, 危险信息。危险类别、危险区域、危险原因、危险事件、可能的伤害等, 风险信息。风险等级、风险后果等级、发生可能性或可能性等级等。 保护层信息。保护层名称、编号、功能描述、其他相关保护等。 安全功能信息。功能编号、功能描述、工作状态等 安全完整性信息。目标失效量、安全完整性等级、检验测试周期等。 一一安全系统构成。传感器、控制器、执行机构等构成系统的设备;各设备的数量、结构方式(元余、热备、表决 等)、逻辑关系。 安全仪表设备信息。设备名称、编号、厂家、生产日期、性能参数等。 安全相关设备失效信息。平均失效率、故障记录等, 维检修信息。维检修周期、维检修内容、维检修规程、维检修时间等。 管理信息。人员管理、维检修作业管理等 人员信息。姓名、工作编号、岗位、资质等
应对数字化车间功能安全相关的数据要系进行采集,并以计算机可识别的形式存储、调用、处理和 以适应数字化车间建设需要。 注:数字化车间功能安全相关的数据要素包括但不限于。 危险信息。危险类别、危险区域、危险原因、危险事件、可能的伤害等。 风险信息。风险等级、风险后果等级、发生可能性或可能性等级等。 保护层信息。保护层名称、编号、功能描述、其他相关保护等、 安全功能信息。功能编号、功能描述、工作状态等 安全完整性信息。目标失效量、安全完整性等级、检验测试周期等。 一一安全系统构成。传感器、控制器、执行机构等构成系统的设备;各设备的数量、结构方式(元余、热备、表决 等)逻辑关系。 安全仪表设备信息。设备名称、编号、厂家、生产日期、性能参数等。 一安全相关设备失效信息。平均失效率、故障记录等 维检修信息。维检修周期、维检修内容、维检修规程、维检修时间等。 管理信息。人员管理、维检修作业管理等 人员信息。姓名、工作编号、岗位、资质等
知识类信息。过程设备失效数据库等 关系信息
知识类信息。过程设备失效数据库等 关系信息
[10. 1 一般要求
10.1.1应通过功能安全集成,形成功能安全信息物理系统。 10.1.2数字化车间的功能安全集成如图2所示,包括以下几方面: 人与安全相关系统互联时的人机接口: 安全相关系统与非安全相关系统互联时的现场设备通信接口: 功能安全管理信息系统与安全相关系统互联时的网络通信接口
.1应通过功能安全集成,形成功能安全信息物理系统, .2数字化车间的功能安全集成如图2所示,包括以下几方面: 人与安全相关系统互联时的人机接口; 安全相关系统与非安全相关系统互联时的现场设备通信接口; 功能安全管理信息系统与安全相关系统互联时的网络通信接口
[10.2. 1人员因素
图2数字化车间功能安全集成示意图
10.2.1.1 在考虑人员因素时,人机接口宜考虑以下几个方面: 可操作性; 可维护性; 可测试性。 10.2.1.2人机接口设计应遵循良好的人员操作惯例,并适合人员可接受的培训或认知水平 03择在和注问阳制
10.2.2操作和访问限制
10.2.2.1应单独设置操作接口和维护接口。 10.2.2.2 接口应具有锁定或关闭功能。如:正常运行过程中,应断开维护接口。 10.2.2.3应具有访问权限控制功能
10.2.2.1应单独设置操作接口和维护接口。
10.2.3 失效影响
接口的自身失效不应对安全相关系统执行安全功能产生不期望影响。
10.3现场设备通信接口要求
[10.3. 1安全性要求
10.3.1.1安全相关系统应能在不影响安全功能的情况下,与非安全相关系统进行通信。 10.3.1.2安全相关系统的安全通信接口,在逻辑上应独立于与非安全相关系统的通信接口。 10.3.1.3与安全相关系统连接的设备发生故障时,不应通过通信接口对安全相关系统产生不期望的 影响。
10.3.2安全性验证要求
应对现场设备通信接口和相关软件进行验证,包括: 一失效检测; 一数据确认
10.4网络通信接口要求
10.4.1 安全性要求
10.4.1.1功能安全管理信息系统应利用网络通信接口与安全相关系统进行通信。 0.4.1.2安全相关系统的网络通信接口和功能安全管理信息系统的网络通信接口应具有逻辑独立性。 0.4.1.3安全相关系统的设备或功能安全管理信息系统的网络通信接口发生故障,不应影响整个网络 正常通信。
10.4.2安全性验证要求
应对网络通信接口和相关软件进行验证,包括: 网络区域隔离; 网络报文的数据完整性
A.1进行危险与风险分析所需的信息
附 录 A (资料性) 数字化车间危险与风险分析方法和步骤
.1.1数字化车间的建设内容、设计图纸、平面布置、车间规划, A.1.2数字化车间的生产流程、生产工艺等,例如:加工、装配、标定、测试、检验等。 A.1.3指定的危险与风险分析的范围。 A.1.4危险与风险分析范围内的数字化车间的各独立功能区域,包括: 各独立功能区域内的数字化制造设备(如:数字化加工设备、数字化装配设备、数字化物流设 备、数字化检测设备、数字化辅助设备等)的功能、动作、操作以及使用限制,以确定正常使用和 合理可预见的误用; 各独立功能区域内的数字化制造设备(如:数字化加工设备、数字化装配设备、数字化物流设 备、数字化检测设备、数字化辅助设备等)的管理人员、操作人员、维护人员等相关人员; 各独立功能区域间的通信接口、通信内容、信息流向以及信息类型; 各独立功能区域的环境 A.1.5当前国内外数字化车间安全相关的法律、法规、标准以及其他相关文件
A.2数字化车间危险与风险分析的步骤
.2.1制定一套数字化车间危险与风险分析的规程。由数字化车间管理人员、工艺人员、操作人员、维 护人员组成的团队负责实施。必要时,可委托第三方实施, A.2.2数字化车间危险与风险分析的步骤.见图A.1
字化车间危险与风险分材
A.3数字化车间的危险识别
表A.1数字化车间中的典型危险
表A.1数字化车间中的典型危险(续)
4随着科学技术的发展、认知水平的提高以及实践经验的丰富,对数字化车间的危险识别能力、 要不断地完善和提高, 5危险识别的信息需数字化归档
A.4数字化车间的风险评估
A.4.1对于数字化车间中每个确定的危险事件,需进行风险评估: a)评估数字化车间中的每个危险事件所伴随的潜在后果; b)评估数字化车间中的每个危险事件的发生率; c)根据a)、b),评估数字化车间中的每个危险事件的风险。可选用定性或定量的方法。 A.4.2风险评估之后,给出风险评估结果。 A.4.3风险评估的信息需数字化归档
A.5数字化车间的风险评定
A.5.1对于数字化车间中的每个确定的危险事件,需要根据企业自身的要求,确定其可容忍风险 A.5.2可容忍风险与风险评估结果进行比较,确定是否采用风险降低措施。 A.5.3选择适当的风险降低措施,包括:基于机械、液压、气动、电气/电子/可编程电子等技术的风险降 低措施。 A.5.4实施风险降低措施.最终达到可容忍风险的目标
5.1对于数字化车间中的每个确定的危险事件,需要根据企业自身的要求,确定其可容忍风险。 5.2可容忍风险与风险评估结果进行比较,确定是否采用风险降低措施。 5.3选择适当的风险降低措施,包括:基于机械、液压、气动、电气/电子/可编程电子等技术的风险 措施。 5.4实施风险降低措施,最终达到可容忍风险的目标
B.1安全完整性等级 SII
附录B (资料性) 安全完整性等级(SIL)与性能等级(PL)之间的关系
安全完整性等级(SIL)与性能等级(PL)之间的关
安全完整性等级SIL是一种离散的等级(四种可能之 一),用于规定分配给E/E/PE风险降低措施 的安全完整性要求。SIL4 是最高的,SIL1 是最低的
在GB/T16855.1一2018中,性能等级PL为在可预期的条件下,用于规定SRP/CS执行风险降低 的离散等级。 对于所选的执行安全功能的每个SRP/CS和/或SRP/CS的组合,都应完成其PL的估计。可通过 计以下参数来确定SRP/CS的PL: 单个元件MTTF,的值; DC; CCF; 结构; 安全功能在故障条件下的表现; 安全相关软件; 系统性失效; 预期环境条件下,执行安全功能的能力
在GB/T16855.1一2018中锻件标准,性能等级PL为在可预期的条件下,用于规定SRP/CS执行风险降 散等级。 对于所选的执行安全功能的每个SRP/CS和/或SRP/CS的组合,都应完成其PL的估计。可通 以下参数来确定SRP/CS的PL: 一单个元件MTTE的值,
B3PL 和 SIL 之间的关
PL和SIL之间的关系,见表B.1
表 B.1 PL 和 SIL 之间的关系
PL=a与SIL无对应的等级,主要用于轻微的风险减小,通常为可恢复的伤害。SIL4专门用于 业中可能的灾难事件。因此与SIL3对应的PL三e级为最高的等级
城镇建设标准GB/T41257—2022
....- 安全标准
- 相关专题: