1 范围

      本标准规定了服务机器人控制系统功能安全评估要求及流程、危害识别和风险评估、功能安全管理、安全相关控制功能（以下简称SRCF）规范要求、SRCS的要求、SRCS的设计与整合以及检验和确认、服务机器人自身或以协同方式共同工作的机器人组的危害直接引起的风险的特征等内容。确立了涉及预期降低直接接近服务机器人或直接使用服务机器人而造成的人身伤害或财产损害的风险的功能安全等内容。

      本标准适用于以单独和（或）组合的方式使用的服务机器人相关控制系统的功能安全，以协同方式共同工作的服务机器人群组的功能安全评估可参照此标准。

      本标准不适用于需要或要求由其他标准或法规为保护人身免遭危害、财产危害所提出的全部要求（例如：防护、非电气联锁或非电气控制），电气控制设备自身引起的电气危害（例如：电击，见GB 5226.1）。

      注：各类型的服务机器人都需要满足其特殊的要求，以提供充分的安全。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB 4943.1 信息技术设备 安全 第1部分：通用要求

      GB/T 5226.1 机械电气安全 机械电气设备 第1部分：通用技术条件

      GB/T 15706-2012 机械安全 设计通则 风险评估与风险减小

      GB/T 15969.3 可编程序控制器 第3部分：编程语言

      GB/T 16754 机械安全 急停 设计原则

      GB/T 16855.1-2018 机械安全 控制系统有关安全部件 第1部分：设计通则

      GB/T 16855.2 机械安全 控制系统安全相关部件 第2部分：确认

      GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分：软件要求

      GB/T 23821 机械安全 防止上下肢触及危险区的安全距离

      GB 28526-2012 机械电气安全 安全相关电气、电子和可编程电子控制系统的功能安全

      GB/T 37242 机器人噪声试验方法

      GB/T 37283 服务机器人 电磁兼容 通用标准 抗扰度要求和限值

      GB/T 37284 服务机器人 电磁兼容 通用标准 发射要求和限值

      ISO 13482：2014 机器人和机器人设备 个人护理机器人的安全要求（Robots and robotic de-vices-Safety requirements for personal care robots)

      ISO 13857 机械安全 防止上下肢触及危险区的安全距离（Safety of machinery-Safety distances toprevent hazard zones being reached by upper and lower linbs)

      IEC 60529 外壳防护等级（IP代码）［Degrees of protection provided by enclosures （IP Code）］

3 术语、定义和缩略语

3.1 术语和定义

      下列术语和定义适用于本文件。

3.1.1

      服务机器人 sevice robot

      除工业自动化应用外，能为人类或设备完成有用任务的机器人。

      注1：工业自动化应用包括（但不限于）制造、检验、包装和装配。

      注2：用于生产线的关节机器人是工业机器人，而类似的关节机器人用于供餐的就是服务机器人。

      ［GB/T 12643-2013，定义2.10］

3.1.2

      安全相关控制系统 safety-related control system

      其失效可能导致风险立即增加的控制系统。

      注：SRCS包括由电气、电子、可编程电子控制电路等组成的全部控制系统，其失效可能导致功能安全的降低或丧失。

3.1.3

      服务机器人功能安全 service robot functional safety

      服务机器人控制系统的安全部分，取决于SRCS的正确功能、其他技术安全相关系统和外部风险降低设施。

      注1：改写GB/T 20438.4-2017，定义3.1.12。

      注2：仅考虑服务机器人系统中取决于SRCS正确功能的功能安全。

      注3：ISO/IEC定义安全为免除不能接受的风险。

3.1.4

      风险 risk

      伤害发生概率和伤害发生严重程度的组合。

      ［GB/T 15706-2012，定义3.12］

3.1.5

      安全功能 safety function

      其失效会立即造成风险增加的机器功能。

      ［GB/T 15706-2012，定义3.30］

      注：GB/T 15706-2012中3.28.1～3.28.9给出了保护装置的示例。

3.1.6

      安全相关控制功能 safety-related control function

      由具有规定的完整性等级的SRCS执行的控制功能，预期用于保持机器的安全状况或防止风险立即增加。

3.1.7

      SRCS诊断功能 SRCS diagnostic function

      预期用于检测SRCS故障，并在检测出故障时产生特定输出信息或动作的功能。

      注：该功能预期用于检测可能导致SRCF危险失效并引发特定故障反应功能。

3.1.8

      SRCS故障反应功能 SRCS fault reaction function

      当SRCS范围内的故障被SRCS诊断功能检测出时，所触发的功能。

3.1.9

      安全完整性等级 safety integrity level

      一种离散的等级，用于规定分配给SRCS的SRCF的安全完整性要求。

      注1：改写GB/T 20438.4-2017，定义3.5.8。

      注2：有三种可能的等级，SILA为最高，SIL1为最低。

3.1.10

      每小时危险失效概率 probability of dangerous failure per hour

      1小时内危险失效平均概率。

      注：PFH，不应与要求失效概率（(PFp)相混淆。

3.1.11

      目标失效值 target failure value

      预期要达到的PFPFHp，为满足规定的安全完整性要求。

      注1：改写GB/T 20438.4-2017，定义3.5.17。

      注2：目标失效值以每小时危险失效概率的术语定义。

3.1.12

      平均危险失效时间 mean time to dangerous failure

      预期的危险失效平均时间。

3.1.13

      诊断覆盖率 diagnostic coverage

      进行自动诊断试验操作而导致危险硬件失效概率的降低。

      注1：改写GB/T 20438.4-2017，定义3.8.6．

      注2：诊断覆盖率（DC）可用下列公式计算：

DC = ∑λ_DD/λ_Dtotal

      式中：

      λ_DD——检测到的危险硬件失效比率；

      λ_Dtotal——总的危险硬件失效比率。

3.1.14

      失效 failure

      SRCS、子系统或子系统元素执行要求功能的能力的终止。

      注1：改写GB/T 20438.4-2017，定义3.6.4；GB/T 15706-2012，定义3.34。

      注2：失效是随机的（硬件）或系统的（硬件或软件）。

3.1.15

      危险失效 dangerous failure

      使SRCS、子系统或子系统元素处于潜在危险或非功能状态的失效。

      注1：改写GB/T 20438.4-2017，定义3.6.7。

      注2：潜在是否变成事实取决系统的通道结构，例如：在为提高安全性的多通道系统中，危险硬件失效很少会导致整体危险或非功能状态。

      注3：在多通道子系统中，该子系统危险失效概率可能比构成子系统的通道的危险失效率低。而SRCS的危险失效概率不会比构成SRCS的任何子系统的危险失效概率低（这出自本标准子系统的特别定义）。

      注4：危险失效通常导致执行SRCF出现失效或潜在失效。

3.1.16

      安全失效 safe failure

      SRCS，SRCS子系统或SRCS子系统元素不引起潜在的危险失效。

      注1：改写GB/T 20438.4-2017，定义3.6.8。

      注2：安全失效不会导致执行SRCF出现失效或潜在失效。

3.1.17

      共因失效 common cause failure

      一种失效，为一个或多个事件导致的结果，在多通道（冗余结构）子系统中引起两个或多个单独通道同时失效，从而导致SRCF失效。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。