GB/T 41118-2021 机械安全 安全控制系统设计指南.pdf

GB/T 41118-2021 机械安全 安全控制系统设计指南.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:2.6 M
标准类别:机械标准
资源ID:338863
下载资源

标准规范下载简介

GB/T 41118-2021 机械安全 安全控制系统设计指南.pdf

共因失效(CCF)为元余安全控制系统两个通道都发生的因相同原因造成的相关危险失效。在实现

GB/T 411182021

PL≥PL的基础上,且采用类别2、类别3和类别4的构架下,宜采取措施防止共因失效。GB/T16855.1一 2018的附录F给出了一个包含8种重要防范措施的检查清单。这8种措施分别被赋予了5~25不等 的分值: a) 不同通道的信号路径之间的物理隔离(15分); b) 技术相异,通道的设计结构或物理原理相异(20分); 防止可能发生的过电压、过电流、过压力、过热等(15分)以及采用经验证的元件(5分); d 开发过程中进行失效模式和影响分析,识别可能发生的共因失效(5分); e) 就CCF及如何避免对设计者/维护者进行培训(5分); 防止污染(机械或流体系统)以及电磁干扰(电气系统)触发共因失效(25分): g 防止不利环境条件触发共因失效(10分)。 对于以上每种措施土方路基试验段施工组织设计,只能得满分或零分。如果只是部分满足某种措施,则该措施的得分为零。 足够防止CCF的措施要求最低得分为65分

7.3.7故障考虑和故障排除

宜考虑以下的故障判别准则: a) 如果由于一个故障的结果而导致更多元件失效,则第一个故障和随后发生的所有故障宜一起 视为单一故障; b) 由共同原因造成的两个或两个以上单独的故障宜视为单一故障,即通常所说的共因失效; C 由各自原因同时发生的两个或多个故障被认为是极不可能的,因此无需考虑; d) 在技术上不大可能发生的某些故障; 普遍认可的、独立于所考虑的应用的技术经验; 与应用和特定危险有关的技术要求

7.4开发安全相关软件

安全软件包括安全相关应用软件(SRASW)及安全相关嵌人式软件(SRESW)。在安全控制系统设 计中,通常是进行安全相关应用软件(SRASW)的开发。 对于安全控制系统中的安全相关应用软件(SRASW)的开发,一般要求参照“V”模型。如图 所示。

GB/T 41118—2021

图5安全相关软件开发用简化V模型

在开发安全相关应用软件(SRASW)的过程中,安全设计说明可视为安全功能规范 宜严格参照安全设计说明,进行系统、模块设计及程序编写。宜将安全相关应用程序和非安全相关 应用程序分开编写。 编写安全相关应用程序时,为了避免错误,需要考虑以下儿个方面: 宜采用经过认证的编程软件; 使用经认证的编程软件编写安全相关程序时,宜采用编程软件中经认证的安全软件功能块,如 急停、安全联锁、安全光幕、安全速度监控等; 采用经认证的安全软件功能块时,功能块的配置需满足PL; 避免采用任何非安全相关信号旁路安全相关信号: 代码宜清晰易懂,便于后期的测试和无故障修改, 安全相关软件设计完成后,宜安排非本项目开发人员通过软件仿真执行测试工作。测试完成后,需 险证安全相关应用软件(SRASW)满足安全相关软件规范。

7.5验证安全功能的PL

对于每种单独的安全功能,有关的SRP/CS的PL宜与PL,匹配。因此,需要将此PL与PL,进行 比较。如果某项安全功能实现的PL小于PL,则需要采用GB/T16855.1一2018的图3中描述的迭代 过程进行设计改进(如使用MTTF,更优的其他元件),直到满足PL≥PL

验证和确认行为要求提供详细的文件资料。这些文件资料已经在开发过程中形成,根据所用技术

GB/T41118202

不同会有差别。宜充分考虑以下内容: a 提出对安全功能以及执行这些安全功能的安全控制系统全部要求的规范文件、性能指标、全部 操作模式的列表、全面的功能描述、过程描述; 适用标准的工作和环境条件,以及预定应用涉及的强度(额定数据); 安全控制系统的设计描述(包括所采用机、电气、电子、液压和气动元件的细节)、布线图以及 接头和接口描述、电路图、装配图、元件的技术数据和额定数据,适用的数据表; 所有相关故障的分析,如以FMEA(失效模式和影响分析)形式,并引用涉及的故障列表; e) 确定PL的数据(量化文件); 全部软件文件; g 设计和实施遵循的质量保证准则,如模拟和数字电路设计准则、编程指南; h 已经完成测试的元件、模块或安全控制系统的测试证书。 文件资料宜完整,内容不相互抵触,结构具有逻辑性,容易理解,能够验证

完成验证之后,宜对SRP/CS的设计进行确认,确认每个安全功能的要求均得到满足,对不满足要 求的安全功能,则按照图1进行送代设计,直至完成所有安全控制系统中所有安全功能的确认, 确认工作宜由独立于安全控制系统设计工作的人员来完成。确认包括分析,以及必要时按确认计 划进行的测试。分析和测试之间的平衡取决于使用的技术。以下对确认程序一些最重要的内容进行了 简要的说明。 注:确认的详细要求见GB/T16855.2

宜通过分析对安全控制系统进行评价。分析的目的是为了通过审查文件或适当时可采用分析工 具,如静态和动态软件分析工具或FMEA工具来确定是否满足规定的要求。 MTTFD、DC以及CCF可以通过所提供的文件进行评价。

如果仅通过分析进行评价还不够,则需要进行测试来证明能够满足要求。测试宜系统规划并合理 实施,通常与实际开发过程同步,如原型阶段、功能模型阶段或软件/代码阶段。 测试所采用的配置宜尽可能接近预定使用的配置。 进行测试的环境条件宜事先确定, 测试可手动完成,也可以自动完成

所有分析和测试宜形成文件并记录最终结果(合格或不合格)。 如果安全控制系统规范规定的要求未全部满足,此时需要返回设计和实施过程的适当阶段。否则, 则宜结束确认过程,评价是否已经对全部安全功能进行分析。如果全部分析过,则按照 GB/T16855.1一2018完成安全控制系统的评估。否则.继续对仍未完成确认的安全功能进行测试。

GB/T 41118—2021

附录A (资料性) 压力机安全控制系统设计及验证示例

使用限制:压力机由接受过专业培训的操作人员,每天16h进行持续生产操作。由专业的维修人 员进行日常保养和维修。操作人员仅使用双手模式进行生产,但维修人员根据具体的问题,会使用寸动 模式、连续模式等其他操作模式。每一小时需要进入到压机背后,进行取废料及润滑操作,操作时间为 min 空间限制:滑块行程为800mm,合模力为250t,每次循环时间大约为8s。操作人员需要手动将原 料放置在模具上,并按下双手按钮启动压机。完成冲压作业后,操作人员需要手动将加工完成的工件 取出。

由于滑块的上下移动产生的模具夹紧点,造成的上肢挤压危险

由于滑块的上下移动产生对人员双手造成的挤压危险,最严重时可能造成操作员手臂截肢甚至是 死亡,并且人员在16h内会持续暴露在该风险之下。因此,在不使用任何防护措施的情况下,该风险是 不可接受的,

需考虑通过安全防护,如联锁装置、安全光幕和双手操纵装置作为安全功能进行风险减小

A.3规定安全功能特征

在危险区增加一个带有安全联锁的活动式防护装置,确保活动式防护装置打开时,危险运动停止 在上料部位增加安全光幕,确保人员在危险区域内的时候,安全光幕被触发。增加双手操纵装置,确保 背块下落时,操作人员的双手不在危险区域内, 本示例仅对联锁装置的安全功能加以分析

A.4确定所需性能等级(PL)

根据图2,确定S、F、P的值,以确定PLr a)S一伤害的严重程度。 滑块的下落会对操作人员造成骨折甚至死亡的伤害,取值S2。 b F一一暴露于危险的频率和时间。 人员累积的暴露时间为64min(4min/h),超过总运行时间的1/20(48min),取值F2 c)P一一规避危险或限制伤害的可能性。 滑块运动速度较快,惯性较大,因此发生危险情况时操作人员较难以回避,取值P2。 根据图2,得出实现该联锁功能的安全控制系统的所需性能等级PL,三e。

GB/T 41118—2021A.5安全需求说明安全功能名称:联锁装置(控制滑块运动)。安全功能定义:安全防护装置,与活动式防护装置一同作为人员进人危险区域的保护措施,进行风险减小。安全功能描述:联锁装置,通常采用安全门开关,安装在安全门上。当安全门打开的时候,触发安全门开关,开关输出可靠信号至安全控制系统,确保压力机滑块停止运动。安全控制子系统:安全门开关为输人子系统,安全继电器为逻辑子系统,液压阀为输出子系统。根据A.4的评估,所需求性能等级:PL,=e。A.6安全设计说明压力机的安全设计说明示例见表A.1。表A.1安全设计说明内容示例电气品牌及子系统名称数量安全参数符合的标准备注标识符型号GB/T 14048.5,见GB/T16855.1—2018的B1B1oD =2 000 000安全门直接断开表C.1,位置开关输人开关B2B1oD=1 000 000GB/T 14048.5制造商给出B1oD本文件安全继PFH=GB/T 16855.1逻辑K1不做制造商给出PFHp电器2.31×1092018细化见GB/T16855.1—2018的YV1MTTF=150年GB/T 3766表C.1.液压元件输出液压阀YV2见GB/T16855.1—2018的MTTF=150年GB/T 3766表C.1.液压元件安全门开关B1和安全门开关B2被触发,安全继电器K1断开液压阀YV1,液压阀YV2,并监控这两个阀逻辑关系的阀芯位置。A.7指定构架/类别根据表3,如需要实现PL,=e,选择类别4作为系统构架。针对三个子系统的构架构建如下:a)采用两个物理上分离的安全开关B1和安全开关B2,采用双通道的方式由安全继电器K1监控,可以检测两个输人通道间的短路故障,电气回路图示例见图A.1;b)选择满足GB/T16855.1一2018的要求,可以实现类别4的安全继电器;c)输出采用液压阀YV1和液压阀YV2切断液压回路,阀芯位置信号反馈至安全继电器,液压回路图见图A.2。15

GB/T 41118—2021

图A.1电气回路图示例

图A.2液压回路图示例

A.8平均危险失效间隔时间(MTTF,

GB/T 411182021

按每年365个工作日、每天工作16h以及每次安全门打开1h的间隔时间,即:d。=365,h。=16, wl=3600,代入GB/T16855.1一2018的公式(C.2),计算得出n品=5840。 两个安全门开关的B10D值分别为2000000和1000000(见表A.1),代入GB/T16855.1一2018的 公式(C.1),计算输人子系统各个通道的MTTFp值分别为: MTTFD.BI=3424年,取最大值2500年; MTTFD.B2=1712年。 带直接断开操作的位置开关B1的电气触点可以进行故障排除, 根据GB/T16855.1一2018的公式(D.2),计算输人子系统的MTTFp.和MTTFp.0: MTTFD.1=2130 年; MTTFD.0=MTTFD.WV1= MTTFD.WV2=MTTFD.WV4=150年

按每年365个工作日、每天工作16h以及每次安全门打开1h的间隔时间,即:d。=365,h。=16, cle=3600,代人GB/T16855.1—2018的公式(C.2),计算得出np=5840。 两个安全门开关的B10p值分别为2000000和1000000(见表A.1),代入GB/T16855.1一2018的 公式(C.1),计算输人子系统各个通道的MTTFp值分别为: MTTFD.B1=3424年,取最大值2500年; MTTFD.B2=1 712 年。 带直接断开操作的位置开关B1的电气触点可以进行故障排除, 根据GB/T16855.1一2018的公式(D.2),计算输人子系统的MTTFp.和MTTFp.0: MTTFD.1=2130年; MTTFp.0 =MTTFp.wv1 = MTTFp.wv2 =MTTFp.wv4 =150 年。

A.9诊断覆盖率(DC)

针对输人子系统:双通道结构,且安全继电器K1对两个安全门开关状态的真实性监控,因此B1和 B2的DC值取99%。 针对输出子系统:液压阀取DC值99%的依据是K1对两个液压阀开关状态的直接监控 根据7.3.4中的公式(2),得出两个子系统的DC都是99%(“高”)

A.11防止共因失效(CCF)的措施

本示例采取的防止共因失效的措施包括: 隔离(15); 经验证元件(5); FMEA(5); 过电压保护等(15); 环境条件(25+10)

GB/T 41118—2021

根据7.3.6,采取的措施总计得分为75分,满足防止CCF的措施要求最低得分为65分的要求

A.12故障考虑和故障排除

安全联锁功能的输人子系统由两个独立的开关组成,从物理上确保开关本身故障不会导致安全功 能失效。 安全继电器分别采用两个安全触点分别控制两个液压阀,避免短路故障导致安全功能失效 考虑到液压管路泄漏导致的安全功能失效,宜在液压回路中采用防爆阀,并定期保养检查

安全联锁功能的输人子系统由两个独立的开关组成,从物理上确保开关本身故障不会导致安全功 能失效。 安全继电器分别采用两个安全触点分别控制两个液压阀,避免短路故障导致安全功能失效 考虑到液压管路泄漏导致的安全功能失效,宜在液压回路中采用防爆阀,并定期保养检查

A.13验证安全功能的PL

安全设计所构成的安全控制系统的PL三e,满足

GB/T41118202

附 录 B (资料性) 木工圆锯机安全控制系统设计及验证示例

使用限制:该术工机械由接受过专业培训的操作人员,每大8h进行间款性的生产操作。由专业的 维修人员进行日常保养和维修。操作人员在每个操作循环前,需手动打开防护罩,手工控制木材上下料 进行切割,切割完成后将完成品取走。因此设备的主要仅有手动工作一种操作模式,根据加工零件的不 同,单个零件加工时间约0.5min~1min 空间限制:大锯片直径Φ40mm、大锯切厚度120mm、机床外形尺寸850mm×500mm× 786mm。电机功率3kW,主锯转数:4000r/min~6000r/min

当圆锯机在非工作状态时,锯片旋转造成的切割伤害

该风险是不可接受的。

为了防止人员在非操作时误触及旋转的锯片,需考虑通过安全防护,如联锁装置作为安全功能进 险减小。

B.3规定安全功能特征

为防正圆锯机处于非 成切割伤害。在大锯片处增加一个带有! 活动式防护装置,确保活动式防 转运动停止并刹车

B.4确定所需性能等级

安全功能名称:联锁装置(控制锯片) 安全功能定义:安全防护装置,与活动式防护装置一同作为人员进人危险区域的安全防护措施,进 行风险降低。 安全功能描述:联锁装置,通常采用安全开关,安装在活动式防护装置上。当活动式防护装置打开 的时候,触发联锁装置,开关输出可靠信号至相关控制系统,确保锯片停止运动。 安全控制子系统:位置开关为输入子系统,接触器为输出子系统。 根据B.4的评估,所需求性能等级:PL,C。

GB/T 41118—2021

GB/T 411182021

GB/T 411182021

机的全设计说明示例见表

表B.1安全设计说明内容示例

根据表3,如需要实现PL,三c,可以选择类别1作为系统构架。针对子系统的构架构建如下 采用一个工作在直接断开方式下的安全开关B1; 一输出采用一个接触器Q1切断锯片电机供电, 电气控制回路图示例见图B.1。 该设计遵守基本的安全原则,满足类别B架构的要求。采用断电安全原则作为基本安全原则,控 制回路的接地可以被认为是一个经验证的安全原则 位置开关B1是符合GB/T14048.5一2017中附录K的直接断开动作位置开关,因此可认为是经验 证的元件。当保护装置不在安全位置时,断开触点直接以机械方式切断电路, 接触器Q1符合GB/T16855.2一2015中表D.4的附加条件,是一个经验证的元件

B.8平均危险失效间隔时间(MTTF,)

图B.1电气控制回路图示例

按每年200个工作日、每天工作8h以及每次防护罩打开10min的间隔时间,即:d。=200,h= 8,teycle=600,根据GB/T16855.1—2018的公式(C.2),计算得到nap=9600。 位置开关的B10D值为2000000(见表B.1),代入GB/T16855.1一2018的公式(C.1),计算输入子系 统的MTTFD.B1: MTTFp.B=2083年

带直接断开操作的位置开关B1的电气触点可以进行故障排除 类似的,输出子系统的MTTFp.Q1=2083年

B.9诊断覆盖率(DC)的测试和检测措施

针对输人子系统:B1无故障监控功能,因此DCavg=0%。 针对输出子系统,Q1无故障监控功能,因此DC=0%

B.11防止共因失效(CCF)的措施

B.12故障考虑和故障排除

GB/T41118202

安装上采用位置开关进行位置监控。防护装置的稳定布置保证了位置开关的启动。位置开关白 元件受到保护,不会发生位移。仅使用刚性机械部件连接(在执行器和触点之间没有弹簧元件)。

B.13验证安全功能的PL

通过安全设计所构成的安全控制系统的PL三c,满足PL≥PL.

GB/T 41118—2021

附录C (资料性) 码垛机安全控制系统设计及验证示例

使用限制:该码垛机由接受过专业培训的操作人员,每天24h进行持续生产操作。由于生产过程 中的需求,操作人员需要偶尔进人码垛区域进行调节作业,整理箱子箱型或捡起掉落在地面的纸箱,但 人员进人时,需要打开维护门才能进人。正常每8h,需要进入危险区域2次,每次5min。正常生产 时,人员无需进人。 由专业的维修人员进行日常保养和维修。但维修人员进入危险区域前,会按照码垛机厂商的安全 兑明,对危险能源进行上锁挂牌,并针对存在重力坠落危险的机构使用安全插销进行机械方式锁定。 空间限制:码垛机在低位产 最高速度为300层/h

由于码垛机构上下移动,推板的前后移动,以及输送带运动产生的紧点和卷入点,造成的人员 身体的挤压或卷人危险

由于码垛机构上下移动产生对人员双手造成的挤压危险,最严重时可能造成操作员死亡,并且人 :4h就会进入码垛机内部,暴露在该风险之下,因此在不使用任何防护措施的情况下,该风险是 受的。

考虑通过安全防护,如固定式防护装置、联锁 装置和安全光幕作为安全功能进行风险减小。

C.3规定安全功能特征

在危险区域四周增加固定式防护,针对需要物料进出的位置,增加带有屏蔽功能的安全光幕,当物 料通过且正确触发屏蔽逻辑时,码垛机可保持运行状态,针对人员需要进入进行调节作业或维修的位 置,增加带有安全联锁的活动式防护,确保活动式防护打开时,危险运动停止。 本示例仅对联锁装置的安全功能加以分析

C.4确定所需性能等级

根据图2,确定S、F、P的值,以确定所需性能等级, a S一伤害的严重程度 码垛机结构的移动会对操作人员造成骨折,截肢甚至死亡的伤害,取值S2。 b)F一一暴露于危险的频率和时间。 人员累积的暴露时间每个班次为10min,低于每个班次的运行时间的1/20(24min),取 值F1。 c)P一一规避危险或限制伤害的可能性

根据图2,确定S、F、P的值,以确定所需性能等级, a S一伤害的严重程度 码垛机结构的移动会对操作人员造成骨折,截肢甚至死亡的伤害,取值S2。 b)F一一暴露于危险的频率和时间。 人员累积的暴露时间每个班次为10min,低于每个班次的运行时间的1/20(24min),取 值F1。 c)P一一规避危险或限制伤害的可能性

GB/T 411182021

鸣深机机构的运动速度 根据图3.得出实现该联锁功能

安全功能名称:联锁装置(控制码垛机构运动)。 安全功能定义:安全防护装置,与活动式防护装置一同作为人员进人危险区域的安全防护措施,进 行风险降低。 安全功能描述:联锁装置,通常采用安全门开关,安装在安全门上。当安全门打开的时候,触发安全 门开关,开关输出可靠信号至安全控制系统,确保码垛机构停止运动, 安全控制子系统:安全门开关为输人子系统,安全PLC为逻辑子系统,控制码垛机构动作的变频器 为输出子系统。 根据C.4的评估,所需求性能等级:PL,三d

码垛机的安全设计说明示例见表C.1

表C.1安全设计说明内容示例

根据表3,如果需要实现PL.三d,可选择类别3作为系统构架。针对三个子系统的构架构建如下 根据设备制造商手册,安全门开关B1采用RFID原理,其两个通道符合类别4的要求; 选择满足GB/T16855.1一2018的要求,可以实现类别4的安全PLC; 变频器的安全转矩关断功能符合GB/T16855.1一2018中类别3要求,并且该功能满足 GB/T12668.502 电气控制回路图示例见图C.1。

GB/T 411182021

图C.1电气回路图示例

DB11T1620-2019标准下载C.9防止共因失效(CCF)的措施

本示例采取的防止共因失效措施包括: 隔离(15); 经验证元件(5); FMEA(5); 过电压保护等(15); 环境条件(25+10)。 根据7.3.6,采取的措施总计得分为75分,满足防止CCF的措施要求最低得分为65分的要求

C.10故障考虑和故障排除

安全门开关牢固安装,确保联锁装置正确动作。安全门开关的供电导线可以单独敷设,也可以采用 防止机械损伤的保护措施。 安全PLC满足类别4和PL=e的所有要求。安全相关软件(SRASW)按照PL=d的要求和7.4的 兑明进行编程。安全PLC的每个输出都是由PLC的两个处理通道驱动。 针对伺服电机驱动的码垛机构,如存在重力坠落危险的,宜增加防坠落装置(如插销气缸),并定期 保养检查

C.11验证安全功能的

安全设计所构成的安全控制系统的PL三d,满足

泰达市民文化广场凤凰城公园工程施工组织设计GB/T41118202

©版权声明
相关文章