機械安全 安全控制系統(tǒng) 第1部分：設(shè)計通則 征求意見稿

I V 9 4.1機器的風險評估和風險減小過程 4.2對風險減小的作用 4.6采用子系統(tǒng)實現(xiàn)安全功能 5.1安全功能識別和總體描述 6.2實現(xiàn)總的安全功能性能等級的子系統(tǒng)組合 6.3基于軟件的手動參數(shù)化 7.2有限可變語言（LVL）及全可變語言（FVL） VI 9 表6每個通道的平均危險失效間隔時間（MTTFD） 表A.1基于五個因素確定參數(shù)P 表C.3二極管、功率半導體和集成電路 表E.1診斷覆蓋率（DC）的估計 表J.1軟件安全生命周期內(nèi)的活動和文件 表M.1適用于典型機械安全功能的文件示例及其部分特性 表M.2對部分安全功能和安全相關(guān)參數(shù)提出要求的文件示例 表N.4確認接線及硬件輸入/輸出信號 表N.8軟件代碼審查文件 表O.1設(shè)備類型的特性值 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件是GB/T16855《機械安全）；）；——細化了人類工效學方面的設(shè)計要求（見第9章，2018年版的4.8——增加了抗電磁干擾能力的信息（見附錄L）；）；——增加了避免安全相關(guān)軟件系統(tǒng)性失效的措——增加了控制系統(tǒng)元件或部件的安全相關(guān)值（見附錄O）。本文件使用翻譯法等同采用ISO13849-1:2023《機械安全安全控制系統(tǒng)第1部分：設(shè)計通則》——……本文件由全國機械安全標準化技術(shù)委員會（SAC/TC208）提出并歸口?！狦B/T16855.1－1997、GB/T16855.1－2005、GB/T16855.1－20V），），對于在C類標準的范圍內(nèi)，且已按照C類標準設(shè)計和制造的機考慮某些機械（如移動式機械）是否有特殊要求，但本文件盡可能做到適用于跨行業(yè)使用，且作為C類標本文件的目的是在控制系統(tǒng)的設(shè)計和評估中給出對所涉及的控制系統(tǒng)的指南，并為制修訂B2類或C按本質(zhì)安全設(shè)計措施、安全防護和/或補充風險減小措施、使用信息的順序采取風險減小措施，實的設(shè)計和評價。本文件的范圍只包括安全相否是X注：基于GB/T35081—2018中的圖2。注3：圖1給出了SRP/CS對GB/T15706—2012的風險減小過程第2步的貢獻。SRP/CS通過執(zhí)行安全功能措施的組合。安全控制系統(tǒng)在預期條件下執(zhí)行安全功能的能力分為5級，稱之為價準則的主觀性，不同的風險估計方法之間存在差異。與附錄A相比，C類標準能夠針對特定機器給出功能安全考慮執(zhí)行安全功能的組件/元件的失效特征。對于每種安全功能，其失效特征）；）；1本文件適用于包括子系統(tǒng)在內(nèi)的用于高需求和連續(xù)操作模式的SRP/CS，不管其采用何種技術(shù)和能注1：低需求操作模式見3.1.44和GB本文件未規(guī)定特定應用的安全功能或所需性注2：本文件規(guī)定SRP/CS設(shè)計方法時未考慮某些機械（如移動式機械）的特殊要求。此類特殊要求由C類標準考慮。本文件未規(guī)定物理安全、IT安全和網(wǎng)絡(luò)安全等方面的具體措施。注3：物理安全、IT安全和網(wǎng)絡(luò)安全等問題會影響安全功能。更多信息見ISO/TR22100-4和IEC/TR6GB/T15706－2012機械安全設(shè)計通則風險評估與風險減?。↖SO161508-3:2010，IDT）GB/T42598－2023機械安全使用說明書起草通則（ISO20607:2019，IDT）IEC62061:2021機械安全安全相關(guān)控制系統(tǒng)的功能安全（Safetyofmachinery—IEC62046:2018機械安全檢測人體存在的保護設(shè)備應用（Safetyofmachinery—Applicationofprotectiveequipmentt3.1.12注：執(zhí)行安全功能的控制系統(tǒng)，以安全輸入被觸發(fā)為起始點（例如：位置開關(guān)的致動凸輪和3.1.2機器控制系統(tǒng)machinecon注：機器控制系統(tǒng)可使用任何技術(shù)或不同技術(shù)的組合（例如：電氣/電子的、液壓的、3.1.3SRS包含安全控制系統(tǒng)從安全功能特性（功能要求）和所需性能等級（P3.1.43.1.5用于規(guī)定安全控制系統(tǒng)（SRP/CS3.1.1）在預期條件下執(zhí)行安全功能（3.1.27）的離散等級。注：性能等級概述見6.1。3.1.6每種安全功能（3.1.27）為達到所需的風險（3.1.19注：更多信息見5.3和圖A.1。3.1.7SIL注：本文件只考慮了SIL1~SIL3。3.1.833.1.93.1.103.1.11采取糾正性維護措施前一直持續(xù)存在的產(chǎn)品故障3.1.12a)安全功能被要求時（需求模式）無法運行或者造成安全功能失敗（連續(xù)模式從而使機3.1.13CCF注：共因失效與共模失效不同（見GB/T15706—2012，3.36）。3.1.14——安全要求規(guī)范（SRS3.1.33.1.1543.1.163.1.17——意外出現(xiàn)的危險（例如：爆炸、意外啟動引起的擠壓危險、破碎引起的拋射、加速/減速引起的墜落）。3.1.18注：這類暴露可能立即或在一定時間之后對人員產(chǎn)生傷害（3.1.17）。3.1.193.1.20采取風險減小措施（保護措施3.1.22）之注：見圖3。3.1.213.1.22保護措施protectivemeasu示例：本質(zhì)安全設(shè)計、保護措施、個體防護裝備、3.1.2353.1.243.1.253.1.26可合理預見的誤用reasonableforesee3.1.273.1.28注：子功能由控制系統(tǒng)安全相關(guān)部分的子系統(tǒng)（3.1.45）實施。另見IEC61800-5-2:2016。GB/T12668.502-20133.1.29注：實現(xiàn)診斷的方法包括：真實性檢查（3.1.52）、直接/間接/交叉監(jiān)控（3.1.30見附錄E3.1.30對冗余子系統(tǒng)（3.1.45）兩個通道（3.1.31可編程電子系統(tǒng)programmablee器和其他輸入裝置、數(shù)據(jù)總線和其他通信路徑，以及執(zhí)行器及其他3.1.32平均危險失效間隔時間meantimetodangeMTTFD注：如果產(chǎn)品的無危險失效前運行時間呈指），3.1.33平均失效間隔時間meantimebet6MTBF3.1.34RDF3.1.35注：診斷覆蓋率的適用對象可以是整個安全相關(guān)系統(tǒng)或其部件。例如：診斷覆蓋率可適用于傳感器和/或邏輯系統(tǒng)3.1.36TM3.1.37SRP/CS中檢測故障（3.1.8）的測試3.1.383.1.39LVL能夠通過組合預定義和專用的庫函數(shù)來實現(xiàn)安全要求規(guī)范（SRS3.1.33.1.40FVL3.1.417安全相關(guān)應用軟件safety-relatedSRASW3.1.42安全相關(guān)嵌入式軟件safety-relatSRESW注：嵌入式軟件也稱作固件或系統(tǒng)軟件。見全可變語言（FVL3.1.40）。3.1.43高需求或連續(xù)模式highdeman3.1.44一種運行模式，在該模式下，要求SRP/CS注：本文件未討論低需求模式。更多細節(jié)見第1章。3.1.45SRP/CS經(jīng)一級分解后得到的實體，其危險失效（3.1注2：一個子系統(tǒng)可以是一個或若干個SRP/CS的組成部分，例如同一接觸器組合可用于檢測到危險區(qū)內(nèi)有人時以及3.1.463.1.473.1.48注1：針對每種特定的操作模式都實施了相關(guān)的安全功能（3.1.27）和83.1.49經(jīng)驗證的安全原則well-triedsafetyprinciple注3：GB/T16855.2-2018中的3.1.50經(jīng)驗證的元件well-triedsafetyc注：具體要求見6.1.11，公認的經(jīng)驗證元件清單見GB/T13.1.51采用受控或系統(tǒng)性方式執(zhí)行軟件和/或操作硬件，以證明具備所要求的行為，同時沒有不需要的行3.1.523.1.533.1.543.1.553.1.5693.1.573.1.58每小時平均危險失效頻率averagefrequena、b、c、d、eB、1、2、3、4B10DDCavgλDM~NlowPLlowTM4.1機器的風險評估和風險減小過程GB/T15706—2012給出了風險評估和風險減小過程，見圖2。注2：更多信息，見GB/T35081—2018。本文件不是是否否是是否是是否是否是是是否否是是否是是否?否注3：特殊情況下，本文件也可適用于圖2中的第3步。如顯示和報警4.2對風險減小的作用注：關(guān)于風險減小的更多信息見GB/T157是否?類別（6.1.3）?MTTFD（6.1.4）?DC（6.1.5）?CCF（6.1.6）?系統(tǒng)性失效（6.1.7）?經(jīng)驗證的安全原則（3.1.49）?經(jīng)驗證的元件（3.1.50）?軟件（第7章和附錄I）否否否4.4方法abcdePFH＜10-7注：可認為此處的PFH值與IEC62061:2021和GB/T20438規(guī)定的PF子系統(tǒng)（見5.5）應采用SRP/CS相同的過程按照第5章~第13章進行評估。每一種安全功能所實現(xiàn)的4.5所需的信息——每種安全功能的詳細描述，包括其對風險減小的作用（見5.2——確定每種安全功能的所需性能等級（PLr見5.34.6采用子系統(tǒng)實現(xiàn)安全功能——采用以前已按照本文件、IEC62061:2021、GB/T20438或其他有關(guān)新的子系統(tǒng)5.1安全功能識別和總體描述可按照GB/T15706—2012中6.2.11編寫安全功5.2安全要求規(guī)范5.2.1通用要求一般要求SRS提供了從按照GB/T15706—2012進行的風險評估和風險減小過程向按照本文件進行的SRP/CS設(shè)計和評價過程過渡的必要信息，尤其是這兩個過程由不同的人）；）；編寫安全要求規(guī)范（SRS）的必要信息應向安全控制系統(tǒng)設(shè)計者提供以下信息，以便編制SRS：a)風險減小措施依賴安全控制系統(tǒng)執(zhí)行安全功能時，每種特定危險關(guān)聯(lián)的機器或機器部件的風安全要求規(guī)范（SRS）中所有安全功能的規(guī)范i)失去動力時的機器行為（見必要按照系統(tǒng)要求進行加固（如動力組件）。一種設(shè)計方案是在氣缸上增加一個單向閥或增加機）；注：在采用持續(xù)人員檢測防止危險狀況發(fā)生典型安全功能及其特征和安全相關(guān)參數(shù)見.2特定安全功能的要求概述安全相關(guān)停止功能根據(jù)風險評估結(jié)果，安全相關(guān)停止功能可通過GB/T5226.手動復位功能示例：一種解決方法是采用順序復位。復位功能由位于危險區(qū)內(nèi)的第一個裝置結(jié)置）的第二個裝置觸發(fā)。該復位程序可在控制系統(tǒng)收到單獨的啟動指令前較短時間內(nèi)完成。如果無法從重新啟動功能置應符合GB/T15706－2012中如果聯(lián)鎖防護裝置的監(jiān)控不能優(yōu)先于自動流程控制，則操作者調(diào)整工件時可能存在機器意外重啟的裝置再次關(guān)閉，且維護人員已離開危險區(qū)域之前，不宜允許自動重啟。控制系統(tǒng)提供的防止意外啟動的作用（見GB/T本地控制功能——從多個控制站（本地或遠程）觸發(fā)指令不應造成危險狀況。選用本地控制默停功能默停是指由機器安全控制系統(tǒng)臨時自動停止某項安全功能。該功能用于下列情況允許人員或物料默停功能不應自動觸發(fā)并終止。這可以通過恰當選型和定位的傳感器或者來自機器控制系統(tǒng)的信號實現(xiàn)。如果信號、順序或者默停傳感器或信號的同步不正確默停的實施應符合GB/T29483—202X的要求。另見表M.1。安全相關(guān)參數(shù)如果可編程或可配置電子系統(tǒng)中安全相關(guān)數(shù)據(jù)手動輸入錯誤能夠?qū)е挛ｋU狀況，則應提供數(shù)據(jù)檢查措施，如檢查極限值的格式和/或邏輯輸入值。更多要求見6.3和表M.2。能量源的波動、喪失和恢復系統(tǒng)其他部件保持安全狀態(tài)的輸出信號。另見表M.2。操作模式選擇要求c)從一種操作模式轉(zhuǎn)換到另一種操作模式時，應激活所選擇操作模式需要的安全功能和/或機器的設(shè)計應考慮在機器上執(zhí)行的維修任務(wù)并為維修任務(wù)提供安全功能。安全功能規(guī)范應考慮每5.2.3最小化廢棄安全功能的動機5.2.4遠程訪問5.3確定各安全功能的所需性能等級（PLr）應確定和記錄選取的每種安全功能的所需性能等級（PLr）。所需性能等級的確定應以風險評估結(jié)還應考慮是否涉及疊加危險。進一步的指南見A.3。5.4審查安全要求規(guī)范（SRS）開始設(shè)計前應對照風險評估驗證SRS。審查應確保所有安全功能都有規(guī)范，能夠?qū)崿F(xiàn)機器預定的風應按照10.1.1的要求確認SRS。）；SRP/CS的構(gòu)成可包括統(tǒng)——輸入（如限位開關(guān)、傳感器、AOPD子系統(tǒng)1、子系統(tǒng)4和子系統(tǒng)6——邏輯/處理（子系統(tǒng)2和子系統(tǒng)5——輸出/功率控制組件（如閥門、接觸器、變流器、制動器子系統(tǒng)3和子系統(tǒng)5）；運動的繼電器）的“智能”傳感器單元（如光幕、激光掃描儀）應為執(zhí)行安全功能的每個子系統(tǒng)和/或子系統(tǒng)組合確定性能等級。子系統(tǒng)的PL應通過對以下方面的——經(jīng)驗證的元件（GB/T16855.2—2015中表A.3)評估在故障條件下所需的行為是否得到）；注4：對于任何類型的系統(tǒng)（如復雜結(jié)構(gòu)有幾種方法可以估計PL的定量方面，如馬爾科夫模型、廣義隨機pe6.1中給出了子系統(tǒng)的PL評估要求。6.1.8（圖12）和6.1.9給出了子系統(tǒng)PL評估的簡化方法，該方法使用了附錄B至附錄H、附錄J、附錄K和附錄L中給出的流程。子系統(tǒng)組合的PL評估見6.2。應按照本文件的要求和指導實現(xiàn)PL的定性方面和避免系統(tǒng)性失效。系統(tǒng)性失效見6.1.7和附錄G。如果產(chǎn)品的具體標準，如針對電敏感防護設(shè)備（ESPE）的GB/T19436或針對壓力敏感防護設(shè)備的GB/T17454，規(guī)定了避免或控制系統(tǒng)性或隨機性失效的要求，則此類子系統(tǒng)除滿足本文件規(guī)定的要求——在組件層面上減小影響安全功能的失效概率。例如，通過選擇經(jīng)驗證的組件或安全原則，或兩者兼具，以最小化或排除致命——改進子系統(tǒng)的架構(gòu)以避免故障的危險影響。有的故障可能需要檢測，因此有必要采包括容錯和故障檢測在內(nèi)的結(jié)構(gòu)是決定PL的重要參數(shù)。架構(gòu)約束限制了類別B、類別1和類別2的最大可實現(xiàn)PL。架構(gòu)約束見.2至6.1.36.1.2性能等級（PL）和安全完整性等級（SIL）之間的關(guān)系IEC62061:2021使用SIL進行設(shè)計。根據(jù)GB/T20438或IEC62061:2021設(shè)計的子系統(tǒng)可以使用，但應限應按6.2組合。PL和SIL之間的關(guān)系見表4。表4性能等級（PL）與安全完整性等級（SIL）之間的關(guān)系ab1c1d2e36.1.3架構(gòu)——類別及其與每個通道MTTFD、平均診斷覆蓋率和共因失效（CCF）的關(guān)系根據(jù)本文件設(shè)計的子系統(tǒng)應符合中規(guī)定的類別之一的要求。類別是實現(xiàn)特定PL的基礎(chǔ)，描述了基于6.1.1中設(shè)計考慮的子系統(tǒng)在抵御故障方面的所需行為。抗故障能力。在類別2、類別3和類別4中，主要通過改善容錯能力或診斷措施，或兩者兼具，以改善性能。在類別2中，是通過定期檢查指定的子功能是否被正確執(zhí)行（無故障）來實現(xiàn)的。在類別3和4中，當考慮部件的失效原因時，有可能排除某些MTTFDDCavgB)無1)高無2)低~高3)低~高4)高注：全部要求見。b）所需性能等級（PLrf）平均危險失效間隔時間（MTTFD），類別B子系統(tǒng)至少應根據(jù)相關(guān)標準進行設(shè)計、構(gòu)造、選擇、裝配和組合，并將基本的安全原則（見——其他相關(guān)的外部影響，例如：機械振動、類別B可實現(xiàn)的PL最大值為PLb。標引序號說明：類別1除應滿足與.2對類別B的相同要求外，還應滿足以下要求。類別1的子系統(tǒng)應采用符合6.1.11的經(jīng)驗證的組件和經(jīng)驗證的安全原則來設(shè)計和構(gòu)造（見3.1.49和注1：類別1架構(gòu)中沒有診斷覆蓋率（DCavg＝無）。在這種結(jié)構(gòu)），類別1可實現(xiàn)的最大PL為PLc。注2：故障的發(fā)生可導致安全功能的喪失。然而，類別1中單個通道的MTTFD比類別B中的標引序號說明：類別2除應滿足與.2對類別B的相同要求外，還應遵循3.1.49和GB/T16855.2的"經(jīng)驗證的——如果檢測到故障，產(chǎn)生觸發(fā)適當控制動作的），測試，并且檢測故障和使機器處于非危險情況（通常為使機器停止）的總時間決于所所需性能等級（PLr）。應采取防止功能通道和測試通道CC類別2可實現(xiàn)的最大PL為PLd。注3：類別2功能有效性的支持原理是所采用的技術(shù)措施，以及測試率的選擇和測試設(shè)備標引序號說明：類別3除應滿足與.2對類別B的相同要求外，還應遵循3.1.49和GB/T16855.2的“經(jīng)驗證的類別3可實現(xiàn)的最大PL為PLe。類別3的子系統(tǒng)設(shè)計應使得任何單一故障都不會導致子功能喪失。只要合理可行，單一故標引序號說明：類別4除應滿足與.2對類別B的相同要求外，還應遵循3.1.49和GB/T16855.2的“經(jīng)驗證的——單一故障在下一次要求安全功能時或之前被檢測到，例如：在開關(guān)接通時束時立即檢測。但是如果無法進行這種檢測，那么未發(fā)現(xiàn)的故障的整個子系統(tǒng)的平均診斷覆蓋率（DCavg）應為高。每個冗余通道的MTTFD應為高。應采取防止CCF的措注3：類別3和類別4之間僅有的差別是類別4中的DCavg更高，并且標引序號說明：用于監(jiān)控的實線代表DC，該DC大于類別3中指定6.1.4平均危險失效間隔時間（MTTFD）注2：關(guān)于現(xiàn)場數(shù)據(jù)的更多信息，見GB/T20438.7-2017附錄C給出了如何計算或評估單個組件的MTTFD值的實用指南。附件D描述了如何從中推導出每個通表6每個通道的平均危險失效間隔時間（MTTFD）低中高中，子系統(tǒng)每個通道的MTTFD值預期不能小6.1.5診斷覆蓋率（DC）4中應考慮DC?！痞薉total——全部危險失效的失效率之和。DC應基于故障模式和影響分析（FMEA見GB/T7826或通過使用基于E.1和表E.1的DC簡化估注1：對于DC的估計，在大多數(shù)情況下，可以使用FMEA（見GB/T7826和EN50495:2010的慮所有相關(guān)的故障和/或失效模式。也可見GB/T16855.2—2015的EDC的值分4級給出，見表7。表7診斷覆蓋率（DC）無低中高注1：對于包含幾個部件的子系統(tǒng)，圖5、第7章和E.2中采用了DC的平均值6.1.6共因失效（CCF）對于類別2、類別3和類別4的子系統(tǒng)，應考慮具有共同原因的兩個或多個獨立故障的概率。在類別2中，CCF指的是功能通道和測試通道中的共因失效。在類別3和類別4中，CCF指的是兩個功能通道中的6.1.7系統(tǒng)性失效——環(huán)境壓力影響（例如，溫度，振動及EMI抗擾度應編制功能安全計劃記錄為實現(xiàn)SRP/CS所要求的功能安全而必須進行的活動。編制功能安全計劃6.1.8估計子系統(tǒng)性能等級的簡化本章描述了基于指定架構(gòu)估計一個子系統(tǒng)PL的簡化程序。其他架構(gòu)可以被映射到這些指定的架構(gòu)指定架構(gòu)以模塊圖表示，并在中的每個類別說明中列出。關(guān)于模塊法和安全相關(guān)模塊圖的信息在和附錄B中給出。也可見IEC61708:20），注：任務(wù)時間（TM）假定為20年，此期間的組件可靠性可以通過恒定原因造成的實際的任務(wù)時間可能少于20年，宜記錄。也可見附錄C.4。該方法考慮把類別作為具有規(guī)定DCavg的架構(gòu)。每個子系統(tǒng)的PL取決于架構(gòu)、每個通道的MTTFD以及DCavg。（低、中、高可選擇用來實現(xiàn)所需的PL。在使用圖12的簡化方法（代表了基于6.1.3中指定架構(gòu)的不同馬爾可夫模型的結(jié)果）之前，應確定12提供了一個確定子系統(tǒng)實現(xiàn)的PL的圖形化方法。類別（包括CCF）和DCavg的組合決定了要選擇圖12的哪一列。根據(jù)每個通道的MTTFD，應在相關(guān)柱狀圖的三個不同陰影區(qū)域中的精確值對PL進行更精確的數(shù)字選擇，見附件估計子系統(tǒng)性能等級的該簡化程序的詳細示=======無無低中低中高——每個通道的MTTFD值為低；概述系統(tǒng)，這些子系統(tǒng)沒有可靠性數(shù)據(jù)，也不能應用C.2中給出的良好工程實踐方法。在這種情況下，機器制造商可以使用~中描述的替代程序來評估PL，前提條件在沒有MTTFD數(shù)據(jù)的情況下，安全相關(guān)性能等級（PL）可以通作為最壞的假設(shè)，T10D值限制為10年。對于經(jīng)驗證的組件，可以接受T10D為20年的假設(shè)。在這個過關(guān)于DCavg和CCF以及系統(tǒng)性問題等（見6.1.3）B—5.0×10-6b1—1.7×10-6c21.7×10-6c32.9×10-7d44.7×10-8ea除MTTFD外，還應滿足6.1.3.b這里提到的可實現(xiàn)的PL只包括可量化的方面。還應滿足非量化方面的附加要求，如系統(tǒng)性失效和軟件（見6.1——對于類別B、類別2和類別3，每個通——對于類別1，因為使用經(jīng)驗證的組件，可以采用通道對于類別2和類別3，應考慮共因失效和DC。對于類別2和類別3，D在設(shè)計安全子系統(tǒng)時應評估故障及其影響。應考慮其故障可能導致子系統(tǒng)的某個功能通道中的安注：執(zhí)行安全功能不直接需要但起支持作用的元件（如濾波元件、過電壓保護），通常不會影響通道的M應采用一種方法來評估組件可能的故障或失效的影響，或兩者兼具的影響，如FMEA（見IEC60812），b)與具體應用無關(guān)的普遍接受的技術(shù)注：見GB/T20438.2-2017中7.4.10“經(jīng)使用證明”。6.2實現(xiàn)總的安全功能性能等級的子系6.2.1概述SRP/CS可以使用子系統(tǒng)的組合來實現(xiàn)，總的P的高需求或連續(xù)模式的先前已確認的子系統(tǒng)，可以按照6.1.2和6.2.2將SIL關(guān)聯(lián)至PL。根據(jù)GB/T20438系列或IEC62061:2021以及上述限制計算的PF并不是都能從按照IEC62061:20216.2.2PFH值已知這些子系統(tǒng)以串聯(lián)組合的方式運行，作為一個整體執(zhí)行某個安全功能。每個SBi都已經(jīng)評估了PLi。這種——參與執(zhí)行安全功能的單個子系統(tǒng)的最低PL值，以及——根據(jù)表2查出的與組合SRP/CS的PFH相對應的PL。注：此方法的示例見附錄H。6.2.3PFH值未知如果所有單個SBi的PFH值未知，那么作為6.2.2的替代方案，執(zhí)行安全功能的SRP/CS的PL可以根據(jù)a）識別所有子系統(tǒng)中最低的PL：此為PLlPLlowNlowa>3ab>2abc>2bcd>3cde>3de注：本表格基于和PL之間存在對數(shù)關(guān)系的PFH范圍（見表2）。6.3.1概述6.3僅規(guī)定了基于軟件的手動參數(shù)化。該參數(shù)化由授權(quán)人員執(zhí)行和示例：具有集成子功能的變頻器可以通過基于PC的配置工具進行參數(shù)化以設(shè)置速度限基于軟件的手動參數(shù)化要求的目的是保證安全功能或子功能指定的安全相關(guān)參數(shù)正確地傳輸?shù)綀?zhí)假定不會出現(xiàn)6.3.2中所列的影響或其他任何可合理預見的影響導致的危險失效。當使用預先設(shè)計的工如果安全相關(guān)子系統(tǒng)或SRP/CS不能通過基于軟件6.3.2安全相關(guān)參數(shù)的影響因素——在沒有通知參數(shù)化負責人的情況下，參數(shù)化過程中全部或部分參數(shù)沒有使用預先設(shè)計的具備基于軟件手動參數(shù)化能力的SRP/CS或子系統(tǒng)，目的是防止6.3.2中所列的影響根據(jù)本文件設(shè)計具備基于軟件手動參數(shù)化能力的SRP/CS或子系統(tǒng)時，不應出現(xiàn)上述影響或其他任——通過修改參數(shù)重新傳輸給參數(shù)化工具的方式，或——以及隨后的確認，例如，由合適的熟練人員和通過參數(shù)化工具自動檢查。在確認更改之注：參數(shù)化軟件工具使用非專用于此目的的設(shè)備（例如個人電腦或同等設(shè)注：使用非專用于此目的的設(shè)備（例如個人電腦或同等設(shè)備）進行參基于軟件的手動參數(shù)化應使用SRP/CS或相關(guān)子系統(tǒng)的制造商或供應商提供的專用參數(shù)化工具，并）；盡管人工智能（AI）可用于SRP/CS，但本文件不涉及注2：附錄N概述了使用LVL實現(xiàn)SRA7.2有限可變語言（LVL）及全可變語言（FVL）7.2.1有限可變語言（LVL））：7.2.2全可變語言（FVL）7.2.3使用有限可變語言（LVL）或者全可變語言（FVL）的決策通常，軟件可以由LVL或FVL編寫。SRP/CS的設(shè)計者應根據(jù)圖15決定編程語言采用FVL還是LVL。是是否是否否是否否是是否是7.3安全相關(guān)嵌入式軟件（SRESW）7.3.1安全相關(guān)嵌入式軟件（SRESW）設(shè)計d)控制系統(tǒng)性失效，例如程序順序監(jiān)控，數(shù)據(jù)通訊過程中的PLr為e的元件的SRESW應符合GB/T20438.3—2017的第7章相異性技術(shù)時，對于類別3或類別4子系統(tǒng)的雙通道，上述PLr為c或d的額外措施可以實現(xiàn)PLr注：采用多樣化設(shè)計及編碼的SRESW，對于類別3或類別4的子系統(tǒng)，或者類別27.3.2嵌入式軟件不可訪問時的替當SRP/CS設(shè)計者無法訪問嵌入式軟件時7.4安全相關(guān)應用軟件（SRASW）軟件安全生命周期（見7.1）同樣適用于S采用LVL編寫且符合以下要求的SRASW可以實現(xiàn)PLa~PLe。若SRASW采用FVL編寫，應采用SRESW的要如果一個元件中部分SRASW（如因更改）會影響多個具有不同PL的安全功能，則應采用最高PL相關(guān)2)只要合理可行，宜使用經(jīng)確認的功能塊庫——無論是由工具制造商提供的安全相關(guān)功能），3)宜使用適合于模塊化方法的合理LVL子集（見7.2.1如符合2)模塊化及結(jié)構(gòu)化編程，主要應用經(jīng)確認的安全相關(guān)功能塊庫或其他模塊化結(jié)構(gòu)衍生的功4)功能塊內(nèi)代碼執(zhí)行只能有一個入口和一個出口；）；2)不應存在可能導致安全相關(guān)信號完整性降級的非安全相關(guān)數(shù)據(jù)和安全相關(guān)數(shù)據(jù)的邏輯組）；8驗證實現(xiàn)的性能等級作為安全功能一部分，不同子系統(tǒng)的PL應高于或等于該安全功能所需性能等級（PLr）（見5.3和9人類工效學方面的設(shè)計操作者與SRP/CS之間的接口的設(shè)計和實現(xiàn)應盡可能減少機器所有預定使用和可合理預見的誤用過人類工效學原則的安全要求應符合GB/T15706－2012中的6.2.8。注：人類工效學原則旨在提高控制系統(tǒng)的易用性，以消除廢棄動機或避免機器意外誤用。人類工效學的指南見確認過程的目的是為了確定SRP/CS滿足按第5章和第7章要求創(chuàng)建的總體SRS。SRP/CS的確認包括對SRP/CS的檢查（例如通過分析）和測試，以確保其達到SRS中規(guī)定的要求（根注3：在相對容易的時候盡早解決問題，即在）：?系統(tǒng)結(jié)構(gòu)；）（是否是否否是~~此清單可以基于GB/T16855.2—2015附錄中的通用故障清單或通過產(chǎn)品觀察發(fā)現(xiàn)的（重復出現(xiàn)的）故對于基于通用故障清單的特定產(chǎn)品故障清單,應規(guī)定以下內(nèi)容:）；如果軟件與安全功能相關(guān),則軟件的文件應包括:——軟件的設(shè)計能實現(xiàn)所需的PL的證據(jù)（見10.6.3）；示例2：FMEA（見GB/T7826）和失效模式、影響與危害性分析（Fc)應將測試記錄和測試計劃進行對比，以確保實現(xiàn)實際應用時,應向SRP/CS施加各種組合的輸入信號完成安全功能的測試確認。應將輸出端的最終通過測試進行確認的過程中,測量精度應與測試相適應。一般情況下,應保證溫度的測量精度在如果對SRP/CS的要求比本文檔規(guī)定的注：根據(jù)風險評估，如果控制系統(tǒng)不得不經(jīng)受特別惡劣的工作條件時，如野蠻操作、濕度影響、羥基某些測試可使某些元件的性能發(fā)生永久改變。如果元件的永久性改變使得安全相關(guān)部件不能滿足如果某一特定測試為破壞性測試,且通過對SRP/CS的部件進行單獨測試可得到相同的結(jié)果，則為功能測試應確保在整個范圍內(nèi)實現(xiàn)了所有安全相關(guān)的輸出，并按照技術(shù)規(guī)范的要求響應安全注：如果機器的安全功能很復雜或數(shù)量眾多，——檢查安裝在機器上的硬件元件，以及相關(guān)軟件的詳細資料，以確定其與文——檢查SRP/CS操作界面是否符合人類工效學原則。B1234XXXXXXXXXXXXXXXXXXXX—X————XXXX—XXXXXXXXX——X————XXXDCavg——XXX——XXXXXXXX———XX————XXXXXXX—XXX——系統(tǒng)完整性（見附錄G、第7章、CCF）。當故障排除聲明表明特殊元件不影響通道MTTFD值時，則應檢查故障排除的合理注：能夠故障排除意味著元件的MTTFD無限大；因此，該元應確認是否采用了足夠的措施來防止共因失效（例通常，對于電子元件MTTFD的計算，環(huán)境誤等）可導致系統(tǒng)性故障。部分錯誤在設(shè)計階）；——驗證采用軟件措施是否足以實現(xiàn)安全功能規(guī)定的PLr；——通過檢查記錄證據(jù)，驗證軟件開發(fā)過程中為避免系統(tǒng)性軟件故障所采取的），注1：小型程序可利用軟件的文件（控制流程圖、模塊或塊的源代碼、I/O或變量分配表、對照表）通——模擬事先通過分析方法確定的故障以及預期響應的測試項目，其目的是為應檢查針對軟件實施、配置和變更管理所采取的符合第7章要求的措施是否得到正確實施，這些措——檢查/驗證根據(jù)子系統(tǒng)的PFH和PL/SIL評估得到的PL是否正確（見7.2），1)維護手冊的內(nèi)容是否完整[包括程序、需要的工具、檢查的頻率、更換）；注：超過規(guī)定的使用壽命或測試間隔，可導——需要維護的指示（如振動增加），理想情況下自動生成警告信號（如壽命）；）；注：通常，設(shè)計文檔預期用于制造商內(nèi)部，或在分包商（如外部系統(tǒng)設(shè)計師、認證機SRP/CS的使用信息應符合GB/TXXXXX—XXXX或IEC/IEEE82079-1:2019，包括預期目標群體的相關(guān)應提供各安全功能的類別和性能等級的如下具體信息（見5.3——性能等級：a、b、c、d或e；——與安全功能相關(guān)的SRP/CS或每個相關(guān)子系統(tǒng)的PFH。提醒維護人員注意哪些零件對安全至關(guān)重要，只能更換為原始零件或滿足相同安全要求的零m)在任務(wù)時間周期結(jié)束時或之前更換部件注1：更多信息見GB/T42598—2023和IEC60204-1:2016+AMD1:2021中的17A.1概述）；附錄A是關(guān)于SRP/CS對風險減小的作用。本章給出的方法建立在風險參數(shù)估這種PLr估計方法不是強制性的。這是一種常規(guī)方法，假定發(fā)生危險事件的概率為100%。如果發(fā)生這種情況下，實施這些措施后再選取圖A.1中——暴露于危險的頻率和/或時間（FA.3.1傷害嚴重度S1和S2決定取S1還是S2時，宜考慮事故的通常后果以及正常的康復過程。例如：無并發(fā)癥的擦傷和/或劃注：嚴重或輕微傷害評估指南另見GB/T16856。A.3.2暴露于危險的頻率和/或時間F1和F2率和持續(xù)時間。本文件中，假定對安全功能需求的頻率大于1次/年。如果沒有其他判定依據(jù)，當頻率高于每15min1次時，宜選如果累積暴露時間不超過總運行時間的1/20且頻率不高于每15min1次，宜選擇FA.3.3避免或限制傷害的可能性P1和P2露，還是只能通過技術(shù)手段（如指示器）來識別。影響選擇參數(shù)P的其他重要因素包括但不）；）；危險事件發(fā)生時，只有確實存在避免或顯著減輕傷害的可能性才宜選擇P1，否則選擇P2。CBA——注：本表中給出的數(shù)據(jù)僅供參考，C類標準或具體機器應用的a本文件3.1.55定義了經(jīng)過相關(guān)教育培參數(shù)“P”一個或以上“C”沒有“C”，三個或以上“B”沒有“C”、兩個“B”、其余“A”沒有“C”、一個或沒有“B”、其余“A”A.4疊加危險進行機器風險評估時，宜確定是否宜將危險單獨考慮或組d)每個通道可由一個或多個模塊組成——并不強制要求在指定架構(gòu)中每e)子系統(tǒng)的每個硬件單元宜完全歸屬于一個模塊，以便可以通過該模由模塊法定義的模塊可在安全相關(guān)的模塊圖中用圖形方式表示子系統(tǒng)的邏輯結(jié)構(gòu)。對于這種圖形——在串聯(lián)模塊中，一個模塊的失效導致整個通道的失效（例如：如果子系統(tǒng)——在并聯(lián)模塊中，只有所有的通道發(fā)生危險失效才導致子功能喪失（例如：）；示例見圖B.1。12——輸入裝置，例2——輸出裝置，例如：主1和O1——構(gòu)成了第一個通道（串聯(lián)）；），）；C.1概述的良好工程應用實踐的基礎(chǔ)上；C.3中給出的方法適用于）；-d“額定載荷”或“小載荷”宜考慮GB/T16855.2－2015中描述的安全原則，比如超過額定工作電流?！癈.3液壓元件表C.1）中基本安全原則和經(jīng)驗證的安全原則制造的（元件數(shù)據(jù)表中確認的）；職責相關(guān)的信息，以證明其針對液壓元件的實施和運用符合GB/T16855.2－2015的表C.1和C.4氣動、機械和機電元件的MTTFDC.4.1概述件發(fā)生失效時的平均周期數(shù)（B10）或直至10%的元件發(fā)生危險假如滿足以下所有準則，則可根據(jù)C.4.2估計運用的元件滿足GB/T16855.2－2015中表A.1、表B.2或表D.2中經(jīng)驗證C.4.2根據(jù)B10D計算元件的MTTFDMTTFD=·····································nop=·······························································?op——平均工作時間，單位為小時每天；tcycle——元件兩個相繼周期起始點（例如：閥的切換）之間的平均操作時間，單位為秒每周期；T10D=··················································B10D=········································································周期結(jié)束時或提前告知用戶更換元件。將元件的使用時間限制在T10D周期內(nèi)，可以保持安全功能的預C.4.3公式說明在本文件中，可靠性計算方法假定元件的失效為時間的指數(shù)分布：FD(t)＝1?e?λDt。對于非電子公式（C.6）考慮了在與B10D（周期）相對應的T10D（年）后有10%的元件在假設(shè)的應用中失效的恒=1?e?λDT10D＝10%，即：λD=····························MTTFD=·················································對于氣動閥，制造商確定以6×107個周期的平nop2.53×106周期/年·············根據(jù)表C.5可給出該元件的MTTFD為“高”。對C.5.1概述件的MTTFD值。如果SRP/CS的設(shè)計者具有所用表C.2~表C.7中給出的值對于環(huán)境溫度為40℃時的電流和電壓的額定載荷有效。當電子元件工作于因此，在“備注”欄中假設(shè)危險失效的概率只有50%，這就意味著元件的MTTFD是給出的MTTF值的兩倍。C.5.2半導體-------C.5.3無源元件---------MTTFDi、MTTFDj是組成子功能的每個元件的MTTFD；第一個和是每個獨立元件的MTTFD相加之和；表D.1中的示例給出了該通道的MTTFD為22.4年，jMTTFDi1?MTTFDjn?MTTFDj122534445=633600周期/年）1———MTTFD＝1?∑(nj?MTTFDj)（年）MTTFD和B10D值將會產(chǎn)生的更好的結(jié)果，注3：當MTTR（平均恢復時間）可以忽略不計時，可以認為MTTF等——可以用公式（D.2）估算一個值來代替每個通道的MTTFD：MTTFDC1、MTTFDC2是兩個根據(jù)上面的公式，具有兩個通道并且每個通道具有不同的MTTFD值的冗余系統(tǒng)，可由每個通道中具有相同MTTFD值的冗余系統(tǒng)來代替。這個過程是為了正確使用圖12。DCa、b對輸入信號交叉監(jiān)控，有動態(tài)測試，無短路檢測（用于多路對邏輯（L）中的輸入信號和中間結(jié)果進行交叉軟件監(jiān)控、以及靜態(tài)故障和短路的檢測（用直接監(jiān)控（如控制閥的電氣位置監(jiān)控，通過機械連接注1：對于DC的附加估計，見GB/T20438.注2：對于給定DC范圍的措施（例如通過過程進行故障檢測），考慮所有的危險失效就能確定正確的DC值，然后決定對哪些危險失效需要通過DC措施進行檢測。如仍不確定，宜根據(jù)F注3：對于“通過過程進行故障檢測”的DC措施，可將安全功能的要求注4：對于“對輸入或輸出信號的交叉監(jiān)控，無動態(tài)測試”的DC措施，測試率的影響可以與以下被測元件的有效DCaDC措施可以組合使用以實現(xiàn)更高的DC。b如果邏輯要求DC為中或高，則應為每個可變內(nèi)存，不可變內(nèi)存和處理單元采取至少一種措施，以使每部分DC至DCa、b直接監(jiān)控（例如：控制閥的電氣位置監(jiān)控，通過機械連接啟動自檢以檢測邏輯中部件的潛在故障（例如：程序和數(shù)據(jù)存儲在啟動時，或在安全功能需要時，或在一個外部信號通過一個動態(tài)原則（要求安全功能時，邏輯的所有元件需要按ON-OFF-ON），可變內(nèi)存：使用冗余數(shù)據(jù)進行RAM測試，例如：標記、標志、注1：對于DC的附加估計，見GB/T20438.注2：對于給定DC范圍的措施（例如通過過程進行故障檢測），考慮所有的危險失效就能確定正確的DC值，然后決定對哪些危險失效需要通過DC措施進行檢測。如仍不確定，宜根據(jù)F注3：對于“通過過程進行故障檢測”的DC措施，可將安全功能的要求注4：對于“對輸入或輸出信號的交叉監(jiān)控，無動態(tài)測試”的DC措施，測試率的影響可以與以下被測元件的有效DCaDC措施可以組合使用以實現(xiàn)更高的DC。b如果邏輯要求DC為中或高，則應為每個可變內(nèi)存，不可變內(nèi)存和處理單元采取至少一種措施，以使每部分DC至DCa、b可變內(nèi)存：RAM自檢（例如：“galpat”碼或“Abraham”碼）或處理單元：通過軟件自檢（見GB/T204處理單元：編碼處理（見GB/T204對輸出信號交叉監(jiān)控，有動態(tài)測試，無短路檢測（用于多路對邏輯（L）中輸出信號和中間結(jié)果的交叉監(jiān)監(jiān)控、以及對靜態(tài)故障和短路的檢測（用于帶有邏輯和測試設(shè)備監(jiān)控的輸出冗余關(guān)斷路徑，見GB/T168注1：對于DC的附加估計，見GB/T20438.注2：對于給定DC范圍的措施（例如通過過程進行故障檢測），考慮所有的危險失效就能確定正確的DC值，然后決定對哪些危險失效需要通過DC措施進行檢測。如仍不確定，宜根據(jù)F注3：對于“通過過程進行故障檢測”的DC措施，可將安全功能的要求注4：對于“對輸入或輸出信號的交叉監(jiān)控，無動態(tài)測試”的DC措施，測試率的影響可以與以下被測元件的有效DCaDC措施可以組合使用以實現(xiàn)更高的DC。b如果邏輯要求DC為中或高，則應為每個變量存儲器，常量存儲器和處理單元采取至少一種措施，以使每部分DC注：GB/T37157描述了如何采用漸進表格法評估串聯(lián)的無電勢觸點聯(lián)鎖裝示例2：可能只有在安全相關(guān)元件參與生產(chǎn)過程的情況下，例如：將標準PLC或標準傳感和圖12來估計PL時，執(zhí)行安全功能的整個所有未經(jīng)故障排除的SRP/CS元件都宜考慮在內(nèi)并求和。每個模塊都考慮MTTFD和DC。本公式中的DCF.3中詳細描述了措施。對于每一項列出的措施，只有在措施得到充分實施的情況下，才能獲得滿如果元件采用的內(nèi)部措施未實現(xiàn)充分的過電壓保護和環(huán)境影響保護，宜在系統(tǒng)級使用外部保護元123—545556——可能合理地減少了造成CCF的典型原因。F.3.1分離/隔離）；f)印刷電路板上冗余通道之間足夠的間隙和爬電距離，也考慮到例如錫須的存在（見GB/TF.3.2相異）；——用兩個位置開關(guān)來檢測可移動防護裝置（安全防護裝置）的打開。第一個位置開關(guān)在安）；d)不同的負載，例如：第一個通道中的觸點/閥在沒有負載的情況下切換，第二個通F.3.3設(shè)計/應用/經(jīng)驗注：注：SRP/CS的部件能夠承受和/或保護其免受過電壓或過電流的電位電平的影響。SW模式PSU（開關(guān)模式重要的是要考慮使用標準SW模式PSU時可能F.3.4評估/分析），F(xiàn).3.6環(huán)境2:2016、GB/T12668.502）防止污染和電磁干擾，以防止CCF。注1：這些EMI標準通常比標準元件（如通用PLCF.4防止共因失效（CCF）的措施和其他相關(guān)標準對于某些SRP/CS（子系統(tǒng)），并非表F.1中列出的所有防止CCF的措施都能適當減少CCF影響，因為注：某些標準（如GB/T29483或GB/T18831—2017）可能包括與系G.1概述）：理器的時鐘有故障，則存在有缺陷的程序順序（見GB/T20438.7－2017的A.9）。e)控制錯誤的影響或由任何數(shù)據(jù)通信過程引起的其他影響的措施（見GB/T20438.2—2017的注：增加裕量的例子參考GB/T16855.2—2015的D.2。子系統(tǒng)的組合產(chǎn)生了一種安全功能，表現(xiàn)出符合第6章要求的不同類別和技術(shù)的組合。采用本文件）：——對于電子控制邏輯單元：類別3、PLd、PFH＝2.0×10安全性能等級，子系統(tǒng)的結(jié)構(gòu)采用冗余結(jié)構(gòu)，并采用幾種能檢測大）；）；）；）；全功能和確定PL的方法。本附錄給出了兩種控制回路的量化方式，迭代過程見圖4。護門聯(lián)鎖的相同安全功能的性能，但由于用途不同，PLr也不同。第一個示例由MTTFD為中和高的機電元注：對于示例B，風險評估已確定由故障（SW2、CC或PLC）導致電動對于示例A，根據(jù)風險圖法確定下列風險參數(shù)（見圖A.1這些參數(shù)決定了所需性能等級為PLr首選類別的確定：通常，PLc可通過非?？煽康膯瓮ǖ老到y(tǒng)（類別1）、經(jīng)測試的單通道系統(tǒng)上述結(jié)論決定了所需性能等級為PLrd。首選類別的確定：通常，PLd可通過冗余架構(gòu)（類別——直接斷開。位置開關(guān)連接到接觸器式繼電器K1A，該接觸器式繼電器能切斷電動機的電源。因此，這些SRP/CS的主——接觸器式繼電器K1A的B10D為高?？捎蓤DI.2中的安全相關(guān)模塊圖來表示SRP/CS?！狹TTFD接觸器式繼電器K1A和位置開關(guān)SW1A對于單個通道的MTTFD有影響。假定制造商給出的值為B10D,SW1A=采用C.4.2的方法，取220天/年、每天工作8h以及每次60min的周期時間，得出MTTFD,SW1A＝113636年，注：如果沒有關(guān)于SW1A或K1A的B10D信息，可根據(jù)C.2或C.4做出——T10DC.4.2給出的方法得出的T10D,SW1A為11364年，T10D,K1A為227年，兩者均超出20年的任務(wù)時間，因此不需控制回路A中未執(zhí)行診斷測試，即DC＝0或“無”,同時——CCF），），應用附錄K得出PFH為1.14×10-6/h和PLF1、P1和PLrc。Cs——停止功能（標準的Es——使能（標準的在本示例中，采用雙通道架構(gòu)實現(xiàn)冗余。與示例A一樣，第一個通道采用有直接斷開動作的位置開關(guān)SW1B，并以強制致動模式工作。這個位置開關(guān)與一個接觸器式繼電器K1B相連，該接觸器式繼電器可），SW1B——位置開關(guān)；PLC——可編程邏K1B——接觸器式繼電器；CC——換流器；SW2——位置開關(guān)；RS——旋——MTTFD位置開關(guān)SW1B和接觸器式繼電器K1B對于第一個通道的MTTFD,c1有影響。假定制造商給出的值為采用C.4.2的方法，取工作300天/年、每天工作16h以及每次4min的周期時間，得出MTTFD,SW1B＝2778年，采用D.1中的部件計數(shù)法得出第二個通道的M注：如果沒有關(guān)于SW1B、SW2或K1B的B10D信息，可根據(jù)C.2或C.4做出最壞情——T10D對于PL的估計，需要一個按照公式（I.4）計算得出平均DC值（DCavg）作為圖12中的輸入：DCavg67.9%····················——CCF1—2———一個功能通道使用機電元件，另一個功能通道3——在需要時使用外部保護元件提供系統(tǒng)級的額外54—無55—無56），——使用外部保護元件對系統(tǒng)級電磁干擾提供額外）；——信號線和電源線分開布線?！x擇兩個位置開關(guān)以經(jīng)受所有預期的環(huán)境影足夠防止CCF的措施要求最低得分為65。在示例B中，滿足類別3的特征，因為：任何部件中的單一故障不會導致安全功能的喪失；只要合理可圖12中的輸入數(shù)據(jù)為：通道的MTTFD為高（3），應用附錄K（用36年）得出PFH為5.16×10-7/h和PLd。本附錄介紹了用于實現(xiàn)PLrd的SRP/CS的SRE功率控制組功率控制組功率控制組）：——確定帶傳感器和功率控制元件的——將機器功能轉(zhuǎn)換為軟件功——包括軟件描述的軟件設(shè)計規(guī)范）；——軟件系統(tǒng)設(shè)計，包括將各種——計劃軟件系統(tǒng)設(shè)計的測試?！üδ軌K建模的軟件系統(tǒng)設(shè)計規(guī)范）；——審查活動的文件?！狹DS；——SSDS；——驗證測試結(jié)果?！猄DS；——測試活動的文件。注：每個測試計劃包括：J.3不同層面上軟件規(guī)范的驗證（即SDS、S5)宜使用單一種類數(shù)據(jù)類型的存儲地址，并以唯一的標簽加以?功能代碼內(nèi)——最大10個局部變量、最大20個布爾等式。4)每個值都宜與預期的預先設(shè)定的基準進行比較，以確保其有效性；5)宜檢查一個功能塊的輸入?yún)?shù)是否不6)每個故障代碼都宜是可查的，并能清楚地識別原始故障；7)宜通過注釋來描述故障檢測后的故障代碼和模年36.09×10-6b4.86×10-6b4.40×10-6b9.37×10-6b8.39×10-6b6.91×10-6b6.21×10-6b4.98×10-6b4.45×10-6b4.02×10-6b9.87×10-6b8.80×10-6b6.43×10-6b9.75×10-6b8.87×10-6b6.44×10-6b4.53×10-6b4.04×10-6b9.51×10-6b8.78×10-6b注1：如果類別2的要求率小于或等于測試率的1/25（見.4則表K.1所年6.34×10-6b4.76×10-6b4.23×10-6b4.53×10-6b4.21×10-6b年年年9.85×10-10e9.44×10-10e9.06×10-10e以下途徑（圖L.1）為SRP/CS或子系統(tǒng)的EM對于具有集成有源電子器件的機電部件，宜分析EMI對執(zhí)行安全功能的影響，并宜采取相關(guān)措施實如果用測試進行驗證，則宜確保安全功能得到執(zhí)行，并在EMI環(huán)境暴露足夠的時間，以證明其不敏傳感器和安全相關(guān)輸入/輸出信號使用屏蔽且接地的和/或絞合的線纜（電纜屏蔽層在靠近元件處安裝于屏蔽且等電位連接的機柜中或元件安裝于屏蔽且等PLrd或e，類別3或類別4，同一外殼中20c、dPLrd或e，類別3或類別4，不同通道（例如PLC和離散20c、dIEC60204-1:2016+AMD根據(jù)制造商的安裝說明適當?shù)貫榘踩嚓P(guān)輸入信號提供射頻濾波器、過壓和瞬態(tài)保（根據(jù)制造商的安裝說明或?qū)ｉT應用的）主IEC60204-1:2016+AMD1:2021附錄H中所述措施的應用和/或GB所有部件至少滿足EMI通用標準GB/T17799.2（制造商文件中提到）的要求EMI的風險分析（見表L.2中的示例）和風險評估的——電力電子設(shè)備和低功率電子設(shè)備的金屬——遵循制造商的說明；如果沒有可用的說明，功率元件和敏感元件之間的距離經(jīng)驗評估為低EMI影響的短距離內(nèi)使用屏蔽和等具有組件或系統(tǒng)級診斷功能的軟件/固件，例如通過真實性檢查、冗余情況下的數(shù)有經(jīng)驗或受過培訓（具有培訓文件，如培訓證書），理解EMI的原因和后特定功能安全系統(tǒng)設(shè)計的再用，該設(shè)計曾用于類似的電磁環(huán)境，并具有高可靠性，沒有已知的EMI符合GB/T19212.17要求的隔離變壓器產(chǎn)生的低壓交流或直流電源，和/或符合GB4943SRP/CS的通道1/2使用的冗余PLC采用c不合格?選擇額外的措施或選擇上述途徑的一注：表L.1中的雙通道是指類別2的功能通道和測試通道，或類別3dPLC作為SRP/CS的一部分，其分數(shù)只能在每個[hr]——強烈建議采取此措施。如果該措施適用但未實現(xiàn)，則應提供詳細的理由，說明如何以等效方式實現(xiàn)EMI抗—————表M.1和表M.2中提到的大多數(shù)安全功能與電氣標準有關(guān)，當使用其他技———GB/T5226.1—2019的9.——GB/T5226.1—2019的、10.9———GB/T5226.1—2019的5.3、6.GB/T5226.1—2019的9.———GB/T5226.1—2019的9.a對于補充性防護措施，見GB/T15706—2012。—GB/T5226.1—2019的9.2.————a對于補充性防護措施，見GB/T15706—2012。表M.2對部分安全功能和安全相關(guān)參數(shù)提出要—GB/T19876—2012的3.2、A.GB/T5226.1—2019的7.1、復GB/T5226.1—2019的4.3、7.—GB/T5226.1—2019的10.3LVL的SRASW，表N.3宜用于FVL的SRESW和SRASW。B22333c2c3c3d2dd2ddeee——預評估平臺：硬件和內(nèi)部軟件（SRESW）是為安全應用1具有驗證及確認活動的開發(fā)生命周期，見圖14mmmm）；2—mmm3—mmm對于實現(xiàn)PLe的一個元件及其工具，該工具宜符合適用的安——宜采用可以檢測導致系統(tǒng)性錯誤情況（如數(shù)據(jù)類—mmm檢查宜主要在編譯時間內(nèi)執(zhí)行而非僅在運行時間內(nèi)執(zhí)行供的安全相關(guān)功能塊庫，還是經(jīng)應用確認且符合本文件的—rrr宜使用適合于模塊化方法的合理LVL子集，如公認的GB/T154采用半形式化方法描述數(shù)據(jù)及控制流，如狀態(tài)圖—mmm模塊化及結(jié)構(gòu)化編程，主要應用安全相關(guān)經(jīng)確認的功能塊庫或三階段模型架構(gòu)：輸入?處理?輸出（見圖16附錄J）；使用檢測和控制硬件失效的技術(shù)，并在導致安全狀態(tài)的5—mmm不宜存在可能導致安全相關(guān)信號完整性降級的非安全數(shù)據(jù)的邏輯組合，如將安全相關(guān)及非安全相關(guān)信號采用邏6代碼宜具有可讀性、可理解性和可測試性，因此，）；—mmm宜使用應用層（防御性編程）提供的數(shù)據(jù)完整性和真實—rrr——rr7—mmm—rrr——rr8—mmm源文本中的代碼文件宜包含帶有法人實體的模塊標題、功9）：—mmm強烈推薦建立流程和數(shù)據(jù)備份，以確定和歸檔與特定—SRASW修改后宜進行影響分析以確保規(guī)范。修改后宜進注：修改不影響已投入使用的系統(tǒng)。—mmma如果使用了具有不同工具的兩個不同元件，基）：1mmmm技術(shù)規(guī)范及設(shè)計文件，例如軟件設(shè)計規(guī)范，SS模塊化及結(jié)構(gòu)化編程，例如功能上的分層及限制、清晰的程序結(jié)構(gòu)、控制系統(tǒng)性失效，例如程序順序監(jiān)控，控制數(shù)據(jù)通訊使用基于軟件的診斷措施用于控制隨機硬件失效時，驗功能測試，例如黑盒測試根據(jù)輸入數(shù)據(jù)（有效、無效2與GB/T20438等文件中的工作流定義、責任、配置管理、—軟件安全生命周期中所有相關(guān)活動的文件，例如審用于確定SRESW發(fā)布時所有相關(guān)配置項目及文件的配置單、模塊、設(shè)計文件、測試計劃、發(fā)布控制、歸檔、模塊化及結(jié)構(gòu)化編程、與非安全相關(guān)軟件分開、受限的模塊大小通過使用控制流分析的走查/審查進行代碼驗證。例如檢查錯擴展功能測試，如灰盒測試、性能測試或仿真。例如通PLre元件的SRESW宜符合GB/T20438.3—2017———）：N.2.1概述確認的目的是確保軟件符合總體軟件要求（見V模型，圖14）。確認以檢查（例如本示例中提出的確認基于預評估的軟件模塊。確認通過位于預評估軟件模塊的輸入點測試案例來N.2.3安全功能規(guī)范安全功能及互補性操作如下（見圖N.1）：4——M1：具有STO（安全轉(zhuǎn)矩關(guān)斷）的——聯(lián)鎖防護門GD1；——急停按鈕ES1：——K1的安全相關(guān)CPU；——允許功能安全相關(guān)通訊的現(xiàn)場總線（符合GB/T34040）；——安全相關(guān)變頻器T1（符合GB/T12668.502）用于電動機M1；變頻器（驅(qū)動器T1）根據(jù)GB/T12668.502提供集成的安全相關(guān)子功能STO（安全轉(zhuǎn)矩關(guān)注：通常，變頻器的參數(shù)化也在本文件和確認過程的范圍內(nèi)，但在本例表N.4給出了執(zhí)行安全功能和補充功能的相關(guān)信號，宜根據(jù)硬件接線和軟件實現(xiàn)控制和測試這些功SF2：急停1通過變頻器（驅(qū)動器T1）觸發(fā)電動機M1的STO。IS_bGD1_1IS_bES1_1N.2.5應用程序SF_GUARDSF_ESTOP圖N.6安全PLCK1中基于已預評估的軟件模塊（功能塊）的應用程序N.2.6SRASW的確認N.2.6.1概述表N.5列出了執(zhí)行FMEA的測試案例和聯(lián)鎖安全防護的測試。表N.5中的測試1是一個無故障插入的功個觸點上的常低電平信號。測試6和測試7模擬了兩個觸點在設(shè)定的差異時間外的信號變化。測試8模擬表N.5聯(lián)鎖安全防護的FEMA及測試IS_bGD1_1無號無無是1），2#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO3#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO4#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO5#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO6#bGD1_ERROR＝低電平變?yōu)?bGD1_ERRO7#bGD1_ERROR＝低電平變?yōu)?bGD1_ERROGD1關(guān)閉后SF_GUARD塊依然無法8表N.6列出了執(zhí)行FMEA的測試案例和急停