1 范围

      GB/T 16855的本部分规定了包括软件设计在内的控制系统安全相关部件（SRP/CS）设计和集成的安全要求和指导原则。本部分规定了这些SRP/CS部件的特征，包括执行安全功能所需要的性能等级。本部分适用于所有种类机械上具有高要求和连续模式的SRP/CS，不管其采用何种技术和能量（电气、液压、气动、机械等）。

      本部分未规定特殊应用中的安全功能或性能等级。

      本部分给出了采用可编程电子系统的SRP/CS的具体要求。

      本部分未给出 SRP/CS的产品的具体设计要求，但可采用给出的类别或性能等级等原则。

      注1：SRP/CS的产品示例：继电器、电磁阀、位置开关、PLC、电机控制单元、双手操纵装置、压敏设备等。这类产品的设计需参考专门的标准，例如：GB/T 19671、GB/T 17454.1和GB/T 17454.2。

      注2：所需性能等级的定义见3.1.24。

      注3：本部分给出的关于可编程电子系统的要求与IEC62061中给出的机械安全相关的电气、电子和可编程控制系统的设计和开发方法是一致的。

      注4：用于 PL_r=e的元件的安全相关嵌入式软件见IEC 61508-3：1998中第7章。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 2900.13-2008 电工术语 可信性与服务质量［IEC 60050（191）：1990，IDT］

      GB/T 15706-2012 机械安全 设计通则 风险评估与风险减小（ISO 12100：2010，IDT）

      GB/T 16855.2-2015 机械安全 控制系统安全相关部件 第2部分：确认（ISO 13849-2：2012，IDT)

      GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分：软件要求(IEC 61508-3:2010,IDT)

      GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略语（IEC 61508-4：2010，IDT）

      ISO/TR 22100-2:2013 Safety of machinery-Relationship with ISO 12100-Part 2:How ISO 12100 relates to ISO 13849-1

      ISO/TR 23849 应用ISO 13849-1和IEC 62061设计机械的安全相关控制系统的指南（Guidanceon the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery)

      IEC 62061：2012 机械安全 安全相关电气、电子和可编程电子控制系统的功能安全（Safety ofmachinery-Functional safety of safety-related electrical,electronic and programmable electronic con-trol systems)

3 术语和定义、符号及缩略语

3.1 术语和定义

      GB/T 15706和GB/T 2900.13界定的以及下列术语和定义适用于本文件。

3.1.1

      控制系统安全相关部件 safety-related part of a control systesystem;SRP/CS

      控制系统中响应安全相关输入信号并产生安全相关输出信号的部件。

      注1：控制系统安全相关部件的组成，以安全相关的输入信号被触发为起始点（例如：致动凸轮和位置开关的滚轮等），以动力控制组件的输出（例如：接触器的主触点等）为终止点。

      注2：如果监控系统用于诊断，也可认为是SRRP/CS

3.1.2

      类别 category

      控制系统安全相关部件在防止故障能力以及故障条件下后续行为方面的分类，它通过部件的结构布置、故障检测和/或部件可靠性来达到。

3.1.3

      故障 fault

      产品不能完成要求的功能的状态。预防性维修或其他计划的行动或因缺乏外部资源的情况除外。

      注1：故障通常是产品自身失效后引起的，但即使失效未发生，故障也可能存在。

      注2：本部分中，“故障”是指随机故障。

      [GB/T 00.13-2008,191-05-01]

3.1.4

      失效 failure

      产品完成要求的功能的能力的中断。

      注1：失效后，产品处于故障状态。

      注2：“失效（failure）”与“故障（fault）”的区别在于-失效是一次事件，故障是一种状态。

      注3：这里定义的“失效”，不适用于仅由软件构成的产品。

      注4：本部分不包括只影响控制器进程的失效。

      [GB T 2900.13-2008，定义191-04-01]

3.1.5

      危险失效 dangerous failure

      使控制系统安全相关部件（SRRP/CS）有可能处于危险状态或功能丧失状态的失效。

      注1：这种可能性是否成为事实取决于系统的通道架构；冗余系统中，危险硬件失效不太可能导致全面的危险状态或功能丧失状态。

      注2：改写GB/T 20438.4-2017，定义3.6.7。

3.1.6

      共因失效 common cause failure；CCF

      由单一事件引发的不同产品的失效，这些失效不互为因果。

      注：共因失效不宜与共模失效（见GB/T 15706-2012，定义3.36）相混淆。

      ［GB/T 2900.13-2008，定义 191-04-23]

3.1.7

      系统性失效 systematic failure

      与某个原因必然有关的，只有通过修改设计或制造工艺、操作程序、文档或其他关联因素才能消除的失效。

      注1：仅作修复性维修而无修改措施通常不能消除这种失效原因。

      注2：这种失效可以通过模拟失效原因诱发。

      注3：以下情况中系统性失效的原因包括人为错误：

      ——安全要求规范；

      ——硬件的设计、制造、安装和操作；

      ——软件的设计和实施等。

      ［GB/T 2900.13-2008，定义191-04-19］

3.1.8

      抑制 muting

      由SRP/CS实现的安全功能临时性自动暂停。

3.1.9

      手动复位 manual reset

      重新启动机器前，控制系统安全相关部件（SRP/CS）中用作手动恢复一种或多种安全功能的功能。

3.1.10

      伤害 harm

      对健康产生的生理上的损伤或危害。

      ［GB/T 15706-2012，定义3.5］

3.1.11

      危险 hazard

      潜在的伤害源。

      注1：“危险”一词可由其起源（例如：机械危险和电气危险），或其潜在伤害的性质（例如：电击危险、切割危险、中毒危险和火灾危险）进行限定。

      注2：本定义中的危险包括：

      ——在机器的预定使用期间，始终存在的危险（例如：危险运动部件的运动、焊接过程中产生的电弧、不健康的姿势、噪声、高温）；

      ——或者意外出现的危险（例如：爆炸、意外启动引起的挤压危险，泄漏引起的喷射，加速/减速引起的坠落）。

      注3：改写GB/T 15706-2012，定义3.6。

3.1.12

      危险状况 hazardous situation

      人员暴露于具有至少一种危险的环境。

      注：这类暴露可能立即或在一定时间之后对人员产生伤害。

      ［GB/T 15706-2012，定义3.10］

3.1.13

      风险 risk

      伤害发生概率和伤害发生的严重程度的组合。

      ［GB/T 15706-2012，定义3.12］

3.1.14

      剩余风险 residuaI risk

      采取保护措施之后仍然存在的风险。

      注1：见图2。

      注2：改写GB/T 15706-2012，定义3.13。

3.1.15

      风险评估 risk assessment

      包括风险分析和风险评价在内的全过程。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。