GB/T 41118-2021 机械安全 安全控制系统设计指南.pdf

  • GB/T 41118-2021  机械安全 安全控制系统设计指南.pdf为pdf格式
  • 文件大小:2.6 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2022-01-29
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • GB/T 41118-2021  机械安全 安全控制系统设计指南

    6.5编制安全需求说明

    图2用于确定安全功能PL,的风险图

    编制安全需求说明是安全控制系统设计的必要步骤。安全需求说明宜通过文档的方式,识别出实 现安全功能的各个安全控制子系统,并对相应的安全功能加以阐述。安全需求说明宜详细说明机器安 全控制系统中包含的各个安全功能,包括每个安全功能需要达到的PL、实现每个安全功能所需的安全 控制子系统(包括相关的输人、逻辑和输出)以及各安全控制子系统之间的逻辑关系。 安全需求说明宜包含以下内容: a)文档状态: 1)文档编号; 2)模板版本管理; 3)项目版本管理; 5 b) 术语; ) 安全控制系统设计责任约定; d 系统概览: 安全功能定义; 2) 功能名称; 3)功能描述;

    编制安全需求说明是安全控制系统设 全功能的各个安全控制子系统,并对相 制系统中包含的各个安全功能,包括每 子系统(包括相关的输人、逻辑和输出) 安全需求说明宜包含以下内容: a)文档状态: 1)文档编号; 2)模板版本管理; 3)项目版本管理; SZAC 术语; 安全控制系统设计责任约定; d) 系统概览: 1) 安全功能定义; 功能名称; 3)功能描述:

    地下室标准规范范本GB/T 41118—2021

    4)涉及的安全控制子系统; 5)所需性能等级; 6)信号处理(如果存在)。 在编制安全需求说明时,即使用于实现安全功能的安全控制子系统都相同,这些安全功能也宜分开 定义。因为,其中的逻辑处理可能不同,例如一个安全功能需要断电延时切断执行机构,而另一个则需 要瞬时切断执行机构。与之相类似,如果使用相同的逻辑实现不同的安全功能,也宜将安全功能分开描 述。因为用于实现安全功能的安全控制子系统可能不同,从而导致安全功能可靠性存在差异。 安全控制系统软件、硬件设计以及安全功能验证等后续步骤均需根据安全需求说明的内容实施

    一且定义了确切的安全功能、所要求的风险减小以及PL:,宜确定执行安全功能的安全相关部件 如选择安全光幕作为输人子系统、安全可编程控制器作为逻辑/处理子系统、接触器作为输出/动力子系 统以及相互连接方式 典型安全控制系统如图3所示

    图3实现安全功能的典型安全控制系统示意图

    进一步的安全控制系统设计包括定性设计和定量设计两方面。在定性设计阶段,主要考虑安全控 制系统的架构类别。系统架构类别共有5种(由低到高分为B、1、2、3和4),架构的类别越高,则安全控 制系统越容易实现更高的性能等级。在定量设计阶段,需分别考虑元器件的平均危险失效间隔时间 MTTFp)、平均诊断覆盖率(DCavg)以及系统共因失效三个因素。此外,还宜采取合理措施避免系统性 夫效。如果安全控制系统包含软件设计,则还宜遵循安全相关软件设计规范, 宜确定控制系统中实现安全功能的所有安全相关部件,将其纳入安全控制系统之中,并在安全设计 兑明中明确安全功能。 基于确定的安全功能以及PLr,选择安全相关部件,构成安全控制系统,通常需要考虑以下因素: 安全功能实现的途径,如:

    GB/T41118202

    ·实现安全联锁输人,可以采用机械式、非接触式、RFID等; · 实现逻辑控制,可以采用安全继电器、安全可编程控制器等: 实现输出控制,可以采用阀、伺服控制器等。 安全相关部件的安全特性,宜考虑: ·部件可以实现的PL; 部件可以构建的类别。 确定所有安全相关部件后,可以考虑以下因素评估安全控制系统的性能等级PL: 系统架构类别; MTTFD; DC; CCF; 系统性失效; 安全相关部件的软件(如果有); 预期环境条件下,执行安全功能的能力。 根据上述因素进行系统设计后,可确定实际系统的PL。对于每个安全功能,宜评估实际PL是否 到或超过PL。若是,则说明该安全功能设计达到要求。反之,则需重新考虑上述设计因素,需改进 计以达到要求

    7.2编制安全设计说明

    且限循安生而求玩明狮安生皮玩明。 的时厅式,识别出实现安生刃脂 的安全控制子系统在设计时需考虑的内容,包括: 每个安全功能中涉及的安全相关部件的品牌型号、数量; 安全相关部件符合的标准; 安全相关部件的参数(MTTFD、B10D、PFH等); 一安全相关部件初始状态; 安全相关部件电气编号; 安全功能的触发频率; 各安全控制子系统之间的逻辑关系(包括反馈、复位、延时、监控阈值等信息)。 安全设计说明可以独立于安全需求说明,也可以与安全需求说明相互补充并且整合在一个文档 之中。

    每一个安全功能可通过儿个安全控制子系统的组合来实现:输人子系统、逻辑/处理子系统、输出 动力子系统。硬件系统设计的主要目标是确定每个安全功能的实际PL,以判断是否达到PLr。由于 PL对应每小时危险失效概率(PFHp),因此,确定每一个安全功能的安全控制系统的每小时危险失效 概率PFHD,是完成硬件系统设计的主要目标。 常规的安全控制系统有输人子系统(输人装置,“I")、逻辑/处理子系统(逻辑,“L”)和输出/动力子 系统(输出装置,“O")三部分组成(见图3)。有两种方式可以获得各个子系统的PFHD: 一一安全相关部件的生产厂家提供,如制造商一般可以提供安全继电器的PFHp值; 一通过确定类别、MTTFp和DCag后,根据GB/T16855.1一2018的表K.1得出。 宜以子系统为单位,分别确定各个子系统的PFHD,再进行累加,得出整个安全控制系统的PFHD

    GB/T 411182021

    如图4所示,一个安全功能由N 各自的PL,即为PFHpN。所有实现这个安全功能的安全控制子系统的PFHpv的总和,即为此安全功 能的总的PFH,,然后根据GB/T16855.1 1一2018的表K.1,即可以得出对应的PL

    7.3.2指定架构/类别

    图4实现总PL的安全控制子系统组合

    安全控制系统的架构决定其容错能力 他所有可量化指标的基础,以此得到安全控制系统 的PL。类别是指将安全控制系统按照其故障耐受能力及故障条件下的后续行为,以部件的可靠性和/ 或结构布置为基础进行的分类。评价由安全控制系统达到的PL的简化程序见表3。故障耐受能力越 高,风险减小的可能性越大。类别与五种基本架构形式之间存在对应关系,称为指定架构

    宜按照输入子系统(输入装置,“I")、逻辑/处理子系统(逻辑,“L”)和输出/动力子系统(输出装置, “O")进行“垂直"划分进行架构和类别的设计。 GB/T16855.1—2018定义了五种架构作为类别。GB/T16855.1—2018采用对平均危险失效间隔 时间(MTTFp)、平均诊断覆盖率(DCavg)以及防止共因失效(CCF)能力的量化要求对此前的类别定义 进行补充, 基于所需性能等级PL,,可以根据表3进行指定架构的预设,如: 一PL=a或b,类别选择B; 一PL.=c,类别宜选择1或2,但对类别1有高的可靠性要求; PL,=d,类别宜选择3; PL,=e,类别宜选择4。 以上选择仅通过简化程序给出预期的指定架构。结合对应MTTFp及DCavg,可进行安全相关部件 的选择。但是,最终所实现的PL还需要通过计算PFHp所得出。 类别B为基本类别,所有其他类别都需要满足类别B的要求。类别B和类别1主要通过选择和使 用合适的元件实现故障耐受能力。发生一个故障就可使安全功能失效。由于使用了特殊元件和经验证 的安全原则,类别1的抗共因失效能力要高于类别B

    类别2、类别3和类别4主要通过结构措施实现更好的安全功能表现。类别2的安全功能表现通 常由技术检测设备(TE)通过自检定期自动检查。如果两次检测中间发生故障,安全功能就可能失败, 通过选择适当的测试间隔,应用类别2可实现合适的风险减小。类别3和类别4发生单一故障不会导 致安全功能丧失。类别4可自动检测到此类故障。在合理可行的情况下,类别3也能自动检测到此类 故障。另外,类别4还具备抵抗未检测故障累积的能力。 注:有关指定构架示意图和类别要求总结见GB/T16855.1一2018的6.2。

    3平均危险失效间隔时间(MTTF,)

    7.3.4诊断覆盖率(DC)

    对PL有重要影响的另一个变量是安全控制系统的(自我)检测和监控措施。例如,有效的检测可 以对元件的可靠性进行一定补偿。GB/T16855.1一2018采用诊断覆盖率DC来衡量检测质量。基准 量可以是一个元件、一个模块或者整个安全控制系统。对于整个安全控制系统,DC为平均诊断覆盖率 DCag。DC的值分4级,见表4。

    表4诊断覆盖率(DC)

    有两种方法可以计算DC,一种更精确,但更复杂;另一种则较简单。 精确但复杂的方法涉及失效模式和影响分析(FMEA),且以DC定义为基础。这种情况下,需要确 定各元件的可检测的危险(dd)失效类型和不可检测的危险(du)失效类型,以及它们占元件总失效率的 比例。最后,对这一比例进行求和并列式运算后,得出所考虑单元的DC值,见公式(1):

    ",^di Zr, A di DC ",A dr + Z",Adur Z",^d

    式中: 入d 一组成安全功能的每个元件的可检测的危险失效率; 入dui 组成安全功能的每个元件的不可检测的危险失效率; 入 组成安全功能的每个元件的危险失效率。

    GB/T 41118—2021

    DCag的计算宜采用第二种简单的方法,这种方法基于直接对元件或模块层的DC进行合理保守的 估算,然后再采用平均公式利用各DC值计算DCav。许多措施都可以按照典型标准措施进行分类 GB/T16855.1一2018的附录E列出了各类措施的DC估计值。这些数值采用有四个分值(0%、60% 90%和99%)组成的粗略系统进行分类。常用的DC估计如下: a)类别B和1的架构,DC为0; b)针对输人装置,采用双通道但无法检测到短路故障,DC为90%; c)针对输人装置,采用双通道可检测短路故障,DC为99%; d) 针对输出装置,如接触器,采用双通道且对接触器安全相关触点进行直接监控(通过机械连接 触点元件监控),DC为99%。 旦知道了所有元件的DC值,就可以采用近似计算公式(2)计算系统的DCag值。此公式适合用 于采用不同DC值的元余通道的子系统的DC估计

    DCi DC2 DCN MTTFa MTTFz MTTFaN DCave MTTF. MTTF. +.+ MTTFaN

    求安全功能后检测执行的很快,并且能够在危险发生前达到安全状态,则检测频率没有任何要习 检测通道的MTTF,值不宜低于功能通道MTTF,值的一半

    Z.3.5 确定 PI

    确定类别、MTTF、DCa之后,可以确定安全控制系统中安全功能的PL。 实现安全功能的安全控制系统由不同的子系统组成。这些子系统采用不同的技术和/或实现不同 别/性能等级。不同的子系统可通过线性(串联)或余(并联)方式连接,实现安全控制系统中的安 动能。宜采用以下步骤进行PL的确定: a)按照输入系统、信号处理单元和输出系统进行分类,构成独立的子系统。 b)确定每一个子系统的PFHD: 一如子系统直接给出PFHp,可以直接使用,如安全光幕、安全可编程控制器; 对于未直接给出PFHp的子系统,宜根据每一个子系统类别、MTTFD、DCavg来确定该子 系统的PFHD。 c)将所有子系统的PFH数值相加,通过求和得出整体PL的相关数值,见公式(3): PFH=ZN,PFHD:=PFHpI+PFHp2 +.. +PFHDN .. (3 式中: 安全功能所使用子系统的数量; PFHoi一第i个子系统的平均每小时危险失效概率。 此处需特别注意子系统之间的接口: 所有连接(如导体或总线系统实现的数据通信)需已在某个子系统的PL中考虑,或者连 接故障已经排除或可以忽略不计: 串联布置的安全子系统接口宜兼容,即发出要求安全功能信号的子系统的各输出状态能 够触发下游子系统安全状态。 ) 根据GB/T16855.1一2018的表K.1,对照总的PFHp数值,确定对应的PL,即得出安全功能 的性能等级

    防止共因失效(CCF)的

    共因失效(CCF)为元余安全控制系统两个通道都发生的因相同原因造成的相关危险失效。在实现

    GB/T 411182021

    PL≥PL的基础上,且采用类别2、类别3和类别4的构架下,宜采取措施防止共因失效。GB/T16855.1一 2018的附录F给出了一个包含8种重要防范措施的检查清单。这8种措施分别被赋予了5~25不等 的分值: a) 不同通道的信号路径之间的物理隔离(15分); b) 技术相异,通道的设计结构或物理原理相异(20分); 防止可能发生的过电压、过电流、过压力、过热等(15分)以及采用经验证的元件(5分); d 开发过程中进行失效模式和影响分析,识别可能发生的共因失效(5分); e) 就CCF及如何避免对设计者/维护者进行培训(5分); 防止污染(机械或流体系统)以及电磁干扰(电气系统)触发共因失效(25分): g 防止不利环境条件触发共因失效(10分)。 对于以上每种措施,只能得满分或零分。如果只是部分满足某种措施,则该措施的得分为零。 足够防止CCF的措施要求最低得分为65分

    7.3.7故障考虑和故障排除

    宜考虑以下的故障判别准则: a) 如果由于一个故障的结果而导致更多元件失效,则第一个故障和随后发生的所有故障宜一起 视为单一故障; b) 由共同原因造成的两个或两个以上单独的故障宜视为单一故障,即通常所说的共因失效; C 由各自原因同时发生的两个或多个故障被认为是极不可能的,因此无需考虑; d) 在技术上不大可能发生的某些故障; 普遍认可的、独立于所考虑的应用的技术经验; 与应用和特定危险有关的技术要求

    7.4开发安全相关软件

    安全软件包括安全相关应用软件(SRASW)及安全相关嵌人式软件(SRESW)。在安全控制系统设 计中,通常是进行安全相关应用软件(SRASW)的开发。 对于安全控制系统中的安全相关应用软件(SRASW)的开发,一般要求参照“V”模型。如图 所示。

    GB/T 41118—2021

    图5安全相关软件开发用简化V模型

    在开发安全相关应用软件(SRASW)的过程中,安全设计说明可视为安全功能规范 宜严格参照安全设计说明,进行系统、模块设计及程序编写。宜将安全相关应用程序和非安全相关 应用程序分开编写。 编写安全相关应用程序时,为了避免错误,需要考虑以下儿个方面: 宜采用经过认证的编程软件; 使用经认证的编程软件编写安全相关程序时,宜采用编程软件中经认证的安全软件功能块,如 急停、安全联锁、安全光幕、安全速度监控等; 采用经认证的安全软件功能块时,功能块的配置需满足PL; 避免采用任何非安全相关信号旁路安全相关信号: 代码宜清晰易懂,便于后期的测试和无故障修改, 安全相关软件设计完成后,宜安排非本项目开发人员通过软件仿真执行测试工作。测试完成后,需 险证安全相关应用软件(SRASW)满足安全相关软件规范。

    7.5验证安全功能的PL

    对于每种单独的安全功能,有关的SRP/CS的PL宜与PL,匹配。因此,需要将此PL与PL,进行 比较。如果某项安全功能实现的PL小于PL,则需要采用GB/T16855.1一2018的图3中描述的迭代 过程进行设计改进(如使用MTTF,更优的其他元件),直到满足PL≥PL

    验证和确认行为要求提供详细的文件资料。这些文件资料已经在开发过程中形成,根据所用技术

    GB/T41118202

    不同会有差别。宜充分考虑以下内容: a 提出对安全功能以及执行这些安全功能的安全控制系统全部要求的规范文件、性能指标、全部 操作模式的列表、全面的功能描述、过程描述; 适用标准的工作和环境条件,以及预定应用涉及的强度(额定数据); 安全控制系统的设计描述(包括所采用机、电气、电子、液压和气动元件的细节)、布线图以及 接头和接口描述、电路图、装配图、元件的技术数据和额定数据,适用的数据表; 所有相关故障的分析,如以FMEA(失效模式和影响分析)形式,并引用涉及的故障列表; e) 确定PL的数据(量化文件); 全部软件文件; g 设计和实施遵循的质量保证准则,如模拟和数字电路设计准则、编程指南; h 已经完成测试的元件、模块或安全控制系统的测试证书。 文件资料宜完整,内容不相互抵触,结构具有逻辑性,容易理解,能够验证

    完成验证之后,宜对SRP/CS的设计进行确认,确认每个安全功能的要求均得到满足,对不满足要 求的安全功能,则按照图1进行送代设计,直至完成所有安全控制系统中所有安全功能的确认, 确认工作宜由独立于安全控制系统设计工作的人员来完成。确认包括分析,以及必要时按确认计 划进行的测试。分析和测试之间的平衡取决于使用的技术。以下对确认程序一些最重要的内容进行了 简要的说明。 注:确认的详细要求见GB/T16855.2

    宜通过分析对安全控制系统进行评价。分析的目的是为了通过审查文件或适当时可采用分析工 具,如静态和动态软件分析工具或FMEA工具来确定是否满足规定的要求。 MTTFD、DC以及CCF可以通过所提供的文件进行评价。

    如果仅通过分析进行评价还不够,则需要进行测试来证明能够满足要求。测试宜系统规划并合理 实施,通常与实际开发过程同步,如原型阶段、功能模型阶段或软件/代码阶段。 测试所采用的配置宜尽可能接近预定使用的配置。 进行测试的环境条件宜事先确定, 测试可手动完成,也可以自动完成

    所有分析和测试宜形成文件并记录最终结果(合格或不合格)。 如果安全控制系统规范规定的要求未全部满足,此时需要返回设计和实施过程的适当阶段。否则, 则宜结束确认过程,评价是否已经对全部安全功能进行分析。如果全部分析过,则按照 GB/T16855.1一2018完成安全控制系统的评估。否则.继续对仍未完成确认的安全功能进行测试。

    GB/T 41118—2021

    附录A (资料性) 压力机安全控制系统设计及验证示例

    使用限制:压力机由接受过专业培训的操作人员,每天16h进行持续生产操作。由专业的维修人 员进行日常保养和维修。操作人员仅使用双手模式进行生产,但维修人员根据具体的问题,会使用寸动 模式、连续模式等其他操作模式。每一小时需要进入到压机背后,进行取废料及润滑操作,操作时间为 min 空间限制:滑块行程为800mm,合模力为250t,每次循环时间大约为8s。操作人员需要手动将原 料放置在模具上,并按下双手按钮启动压机。完成冲压作业后,操作人员需要手动将加工完成的工件 取出。

    由于滑块的上下移动产生的模具夹紧点,造成的上肢挤压危险

    由于滑块的上下移动产生对人员双手造成的挤压危险,最严重时可能造成操作员手臂截肢甚至是 死亡,并且人员在16h内会持续暴露在该风险之下。因此,在不使用任何防护措施的情况下,该风险是 不可接受的,

    需考虑通过安全防护,如联锁装置、安全光幕和双手操纵装置作为安全功能进行风险减小

    A.3规定安全功能特征

    在危险区增加一个带有安全联锁的活动式防护装置,确保活动式防护装置打开时,危险运动停止 在上料部位增加安全光幕,确保人员在危险区域内的时候,安全光幕被触发。增加双手操纵装置,确保 背块下落时,操作人员的双手不在危险区域内, 本示例仅对联锁装置的安全功能加以分析

    A.4确定所需性能等级(PL)

    根据图2,确定S、F、P的值,以确定PLr a)S一伤害的严重程度。 滑块的下落会对操作人员造成骨折甚至死亡的伤害,取值S2。 b F一一暴露于危险的频率和时间。 人员累积的暴露时间为64min(4min/h),超过总运行时间的1/20(48min),取值F2 c)P一一规避危险或限制伤害的可能性。 滑块运动速度较快,惯性较大,因此发生危险情况时操作人员较难以回避,取值P2。 根据图2,得出实现该联锁功能的安全控制系统的所需性能等级PL,三e。

    GB/T 41118—2021A.5安全需求说明安全功能名称:联锁装置(控制滑块运动)。安全功能定义:安全防护装置,与活动式防护装置一同作为人员进人危险区域的保护措施,进行风险减小。安全功能描述:联锁装置,通常采用安全门开关,安装在安全门上。当安全门打开的时候,触发安全门开关,开关输出可靠信号至安全控制系统,确保压力机滑块停止运动。安全控制子系统:安全门开关为输人子系统,安全继电器为逻辑子系统,液压阀为输出子系统。根据A.4的评估,所需求性能等级:PL,=e。A.6安全设计说明压力机的安全设计说明示例见表A.1。表A.1安全设计说明内容示例电气品牌及子系统名称数量安全参数符合的标准备注标识符型号GB/T 14048.5,见GB/T16855.1—2018的B1B1oD =2 000 000安全门直接断开表C.1,位置开关输人开关B2B1oD=1 000 000GB/T 14048.5制造商给出B1oD本文件安全继PFH=GB/T 16855.1逻辑K1不做制造商给出PFHp电器2.31×1092018细化见GB/T16855.1—2018的YV1MTTF=150年GB/T 3766表C.1.液压元件输出液压阀YV2见GB/T16855.1—2018的MTTF=150年GB/T 3766表C.1.液压元件安全门开关B1和安全门开关B2被触发,安全继电器K1断开液压阀YV1,液压阀YV2,并监控这两个阀逻辑关系的阀芯位置。A.7指定构架/类别根据表3,如需要实现PL,=e,选择类别4作为系统构架。针对三个子系统的构架构建如下:a)采用两个物理上分离的安全开关B1和安全开关B2,采用双通道的方式由安全继电器K1监控,可以检测两个输人通道间的短路故障,电气回路图示例见图A.1;b)选择满足GB/T16855.1一2018的要求,可以实现类别4的安全继电器;c)输出采用液压阀YV1和液压阀YV2切断液压回路,阀芯位置信号反馈至安全继电器,液压回路图见图A.2。15

    GB/T 41118—2021

    图A.1电气回路图示例

    图A.2液压回路图示例

    A.8平均危险失效间隔时间(MTTF,

    GB/T 411182021

    按每年365个工作日、每天工作16h以及每次安全门打开1h的间隔时间,即:d。=365,h。=16, wl=3600,代入GB/T16855.1一2018的公式(C.2),计算得出n品=5840。 两个安全门开关的B10D值分别为2000000和1000000(见表A.1),代入GB/T16855.1一2018的 公式(C.1),计算输人子系统各个通道的MTTFp值分别为: MTTFD.BI=3424年,取最大值2500年; MTTFD.B2=1712年。 带直接断开操作的位置开关B1的电气触点可以进行故障排除, 根据GB/T16855.1一2018的公式(D.2),计算输人子系统的MTTFp.和MTTFp.0: MTTFD.1=2130 年; MTTFD.0=MTTFD.WV1= MTTFD.WV2=MTTFD.WV4=150年

    按每年365个工作日、每天工作16h以及每次安全门打开1h的间隔时间,即:d。=365,h。=16, cle=3600,代人GB/T16855.1—2018的公式(C.2),计算得出np=5840。 两个安全门开关的B10p值分别为2000000和1000000(见表A.1),代入GB/T16855.1一2018的 公式(C.1),计算输人子系统各个通道的MTTFp值分别为: MTTFD.B1=3424年,取最大值2500年; MTTFD.B2=1 712 年。 带直接断开操作的位置开关B1的电气触点可以进行故障排除, 根据GB/T16855.1一2018的公式(D.2),计算输人子系统的MTTFp.和MTTFp.0: MTTFD.1=2130年; MTTFp.0 =MTTFp.wv1 = MTTFp.wv2 =MTTFp.wv4 =150 年。

    A.9诊断覆盖率(DC)

    针对输人子系统:双通道结构,且安全继电器K1对两个安全门开关状态的真实性监控,因此B1和 B2的DC值取99%。 针对输出子系统:液压阀取DC值99%的依据是K1对两个液压阀开关状态的直接监控 根据7.3.4中的公式(2),得出两个子系统的DC都是99%(“高”)

    A.11防止共因失效(CCF)的措施

    本示例采取的防止共因失效的措施包括: 隔离(15); 经验证元件(5); FMEA(5); 过电压保护等(15); 环境条件(25+10)

    GB/T 41118—2021

    根据7.3.6,采取的措施总计得分为75分,满足防止CCF的措施要求最低得分为65分的要求

    A.12故障考虑和故障排除

    安全联锁功能的输人子系统由两个独立的开关组成,从物理上确保开关本身故障不会导致安全功 能失效。 安全继电器分别采用两个安全触点分别控制两个液压阀,避免短路故障导致安全功能失效 考虑到液压管路泄漏导致的安全功能失效,宜在液压回路中采用防爆阀,并定期保养检查

    安全联锁功能的输人子系统由两个独立的开关组成,从物理上确保开关本身故障不会导致安全功 能失效。 安全继电器分别采用两个安全触点分别控制两个液压阀,避免短路故障导致安全功能失效 考虑到液压管路泄漏导致的安全功能失效,宜在液压回路中采用防爆阀,并定期保养检查

    A.13验证安全功能的PL

    安全设计所构成的安全控制系统的PL三e,满足

    GB/T41118202

    附 录 B (资料性) 木工圆锯机安全控制系统设计及验证示例

    使用限制:该术工机械由接受过专业培训的操作人员,每大8h进行间款性的生产操作。由专业的 维修人员进行日常保养和维修。操作人员在每个操作循环前,需手动打开防护罩,手工控制木材上下料 进行切割,切割完成后将完成品取走。因此设备的主要仅有手动工作一种操作模式,根据加工零件的不 同,单个零件加工时间约0.5min~1min 空间限制:大锯片直径Φ40mm、大锯切厚度120mm、机床外形尺寸850mm×500mm× 786mm。电机功率3kW,主锯转数:4000r/min~6000r/min

    当圆锯机在非工作状态时,锯片旋转造成的切割伤害

    该风险是不可接受的。

    为了防止人员在非操作时误触及旋转的锯片,需考虑通过安全防护,如联锁装置作为安全功能进 险减小。

    B.3规定安全功能特征

    为防正圆锯机处于非 成切割伤害。在大锯片处增加一个带有! 活动式防护装置,确保活动式防 转运动停止并刹车

    B.4确定所需性能等级

    安全功能名称:联锁装置(控制锯片) 安全功能定义:安全防护装置,与活动式防护装置一同作为人员进人危险区域的安全防护措施,进 行风险降低。 安全功能描述:联锁装置,通常采用安全开关,安装在活动式防护装置上。当活动式防护装置打开 的时候,触发联锁装置,开关输出可靠信号至相关控制系统,确保锯片停止运动。 安全控制子系统:位置开关为输入子系统,接触器为输出子系统。 根据B.4的评估,所需求性能等级:PL,C。

    GB/T 41118—2021

    GB/T 411182021

    GB/T 411182021

    机的全设计说明示例见表

    表B.1安全设计说明内容示例

    根据表3,如需要实现PL,三c,可以选择类别1作为系统构架。针对子系统的构架构建如下 采用一个工作在直接断开方式下的安全开关B1; 一输出采用一个接触器Q1切断锯片电机供电, 电气控制回路图示例见图B.1。 该设计遵守基本的安全原则,满足类别B架构的要求。采用断电安全原则作为基本安全原则,控 制回路的接地可以被认为是一个经验证的安全原则 位置开关B1是符合GB/T14048.5一2017中附录K的直接断开动作位置开关,因此可认为是经验 证的元件。当保护装置不在安全位置时,断开触点直接以机械方式切断电路, 接触器Q1符合GB/T16855.2一2015中表D.4的附加条件,是一个经验证的元件

    B.8平均危险失效间隔时间(MTTF,)

    图B.1电气控制回路图示例

    按每年200个工作日、每天工作8h以及每次防护罩打开10min的间隔时间,即:d。=200,h= 8,teycle=600,根据GB/T16855.1—2018的公式(C.2),计算得到nap=9600。 位置开关的B10D值为2000000(见表B.1),代入GB/T16855.1一2018的公式(C.1),计算输入子系 统的MTTFD.B1: MTTFp.B=2083年

    带直接断开操作的位置开关B1的电气触点可以进行故障排除 类似的,输出子系统的MTTFp.Q1=2083年

    B.9诊断覆盖率(DC)的测试和检测措施

    针对输人子系统:B1无故障监控功能,因此DCavg=0%。 针对输出子系统,Q1无故障监控功能,因此DC=0%

    B.11防止共因失效(CCF)的措施

    B.12故障考虑和故障排除

    GB/T41118202

    安装上采用位置开关进行位置监控。防护装置的稳定布置保证了位置开关的启动。位置开关白 元件受到保护垫圈标准,不会发生位移。仅使用刚性机械部件连接(在执行器和触点之间没有弹簧元件)。

    B.13验证安全功能的PL

    通过安全设计所构成的安全控制系统的PL三c,满足PL≥PL.

    GB/T 41118—2021

    卫生标准附录C (资料性) 码垛机安全控制系统设计及验证示例

    使用限制:该码垛机由接受过专业培训的操作人员,每天24h进行持续生产操作。由于生产过程 中的需求,操作人员需要偶尔进人码垛区域进行调节作业,整理箱子箱型或捡起掉落在地面的纸箱,但 人员进人时,需要打开维护门才能进人。正常每8h,需要进入危险区域2次,每次5min。正常生产 时,人员无需进人。 由专业的维修人员进行日常保养和维修。但维修人员进入危险区域前,会按照码垛机厂商的安全 兑明,对危险能源进行上锁挂牌,并针对存在重力坠落危险的机构使用安全插销进行机械方式锁定。 空间限制:码垛机在低位产 最高速度为300层/h

    ....
  • 机械标准 安全标准
  • 相关专题: 机械安全  

相关下载

常用软件