ICS 13.110 J 09
中华人民共和宝国家标准
GB/T 30175--2013/ISO/TR 23849:2010
机械安全 应用GB/T 16855.1 和 GB28526设计安全相关控制系统的指南
Safety of machinery-Guidance on the application of GB/T 16855.1 and
GB 28526 in the design of safety-related control systems
(ISO/TR 23849:2010,Guidance on the application of ISO 13849 and IEC 62061 in the design of safety-related control systems for machinery,IDT)
2014-10-01实施
2013-12-17发布
中华人民共和国国家质量监督检验检疫总局 发布
中国国家标准化管理委员会 GB/T 30175--2013/ISO/TR 23849 :2010
目 次
前言引言范围
II
1
概述标准的比较风险估计以及所要求性能的指定安全要求规范
2
3
Y
0
6 性能目标指定:PL 与 SIL
系统设计 7.1 使用GB28526和GB/T16855.1进行系统设计的-般要求·…. 7.2 PFH，与MTTF。的估计以及故障排除的使用 7.3 使用符合GB28526或GB/T16855.1的子系统或SRP/CS进行系统设计 7.4 使用按照其他标准设计的子系统或SRP/CS进行系统设计 8　示例
7
8.1 概述 8.2 设计和确认执行规定安全相关控制功能的安 相关控制系统的简化示例 8.3 结论参考文献
1 2 GB/T 30175--2013/ISO/TR 23849:2010
前言
本标准按照GB/T1.1　2009给出的规则起草本标准使用翻译法等同采用ISO/TR23849:2010《应用IS）13849-1和IEC62061设计机械安全
相关控制系统的指南》（英文版）。
本标准等同翻译IS0/TR23849:2010。为便于使用，本标准做了下列编辑性修改：
标准名称修改为《机械安全应用GB/T16855.1和GB28526设计安全相关控制系统的指南》；删除了国际标准的前言并按照我国标准的要求重新起草了前言； -对GB301752013引用的其他标准，用已被等同采用为我国的标准代替对应的国际标准，未
被等同采用为我国标准的直接引用国际标准。 本标准由全国机械安全标准化技术委员会（SAC/TC208)提出并归口。 本标准起草单位：苏州澳昆智能机器人技术有限公司、欧姆龙自动化（中国）有限公司、深圳市华测
检测有限公司、中机生产力促进中心、广西柳工机械股份有限公司、西门子（中国)有限公司、皮尔磁工业自动化贸易（上海）有限公司、国家机床质量监督检验中心、南京林业大学光机电仪工程研究所、罗克韦尔自动化(中国)有限公司。
本标准主要起草人：李政德、李立言、朱平、杨军、张天强、洪刚、罗广、褚卫中、王已妍、徐凯、黄之炯、 赵钦志、华、张晓飞、李勤、王学智、居莱华、李建友、程红兵、宁燕、刘治永、付卉青、戴群亮、王旭光。
1 GB/T 30175—2013/IS0/TR 23849:2010
引言
机械领域安全标准的结构如下： ·Λ类标准（基础安全标准） ·B类标准(通用安全标准） 规定能在较大范围应用的机械的一种安全特性或-类安全装置
给出能适用于机械的基本概念、设计原则和---般特性的标准；
的标准： 1）B1类标准 规定特定的安全特性（如安全距离、表面温度、噪声)的标准； 2）B2类标准 规定安全防护装置（如双手操纵装置、联锁装置、压敏装置、防护装置）的
标准。
·C类标准(机器安全标准） 对--种特定的机器或一组机器规定详细安全要求的标准。 根据GB/T15706,本标准属于B类标准。 本标准的首要目的是帮助GB28526和GB/T16855.1的使用者理解两项标准之间的关系，以使其
有信心根据其中一项标准设计安全相关的控制系统。
T GB/T 30175—2013/ISO/TR 23849:2010
机械安全应用GB/T 16855.1和 GB28526设计安全相关控制系统的指南
１范围
本标准规定了如何应用GB28526和GB/T16855.11设计安全相关控制系统的指南。 本标准适用于所有控制系统安全相关部件，无论其使用何种类型的能源，例如电力的、液压的、气动
的、机械的等。
2概述
2.1GB28526和GB/T16855.1均规定了安全相关控制系统在设计和使用方面的要求。这两项标准给出的方法虽然不同，但如果正确使用，都可以达到相似的风险减小水平。 2.2这两项标准都将所执行安全功能的安全相关控制系统根据每小时的危险失效概率进行分级。 GB/T16855.1分为五个性能等级（PL）：a、b、C、d和c，而GB28526则分为三个安全完整性等级（SIL)： 1、2 和 3。 2.3产品标准(C类标准）的技术委员会（TC)详细说明安全相关控制系统的安全要求，并建议这些技术委员会根据PL和 SIL明确安全系统的等级。 2.4机械设计者可根据具体的应用特点选择使用GB28526或GB/T16855.1。 2.5选择和使用哪-项标准可能需要通过以下因素来确定，例如：
-之前设计机械安全相关控制系统的知识和经验是基于GB/T16855.1-2005中给出的类别时，则使用GB/T16855.1·2008更合适； -安全相关控制系统不是基于电气技术时，则使用GB/T16855.1--2008更合适； ---客户需要以SIL说明机器安全相关控制系统的安全完整性时，使用GB28526更合适；
·机器安全相关控制系统用于过程工业等领域时，此时安全相关的系统（如符合GB/T21109的
-·.
安全仪表系统)是以SIL来规定特征的，则使用GB28526 更合适
3标准的比较
3.1根据以下几个方面比较GB/T16855.1和GB28526的技术要求：
-术语; 风险估计和性能分配；
-安全要求规范系统完整性要求; 诊断功能; -软件安全要求。
3.2此外，对根据这两项标准通过简化的数学公式如何确定危险失效概率（PFHr）和MTTFa进行了评价。
1）本标准考虑的是GB/T16855.1·2008，而不是已被其代替的GB/T16855.1·2005
1 GB/T 30175--2013/ISO/TR 23849:2010 3.3上述工作得出以下结论：
通过集成分别按照GB28526和GB/T16855.1设计的不复杂的安全相关的电气控制系统（SRECS)子系统或控制系统安全相关部件（SRP/CS），使用两项标准其中一项均可设计出达到功能安全可接受水平的安全相关控制系统。 通过集成按照GB/T20438设计的电气/电子/可编程电子子系统，这两项标准也可用于提供复杂SRECS和SRP/CS的设计方案。 目前机械行业的使用者均可利用这两项标准，并且经验表明将得到很大的好处。一定阶段内，这两项标准实际应用情况的反馈将推动与GB28526和GB/T16855.1等同的国际标准 IEC 62061和IS13849-1的合并。 目前还存在细节上的差异，一些概念（如功能安全管理)需要进一步研究，以达到各自设计方法和一些技术要求之间的平衡。
4风险估计以及所要求性能的指定
4.1已对确定具体安全功能SIL和/或PL，使用的方法进行比较，并且已明确每项标准的附录A中各自给出的方法之间存在很好的对应关系。 4.2不管使用了哪种方法，很重要的一点是注意确保对风险参数进行合适的判断，以确定可能适用于具体安全功能的SIL和/或PLr。通常，这种判断最好是使相关人员（如设计者、维护人员、操作者）共同参与，以确保正确理解机械上可能存在的危险。 4.3关于风险估计和性能确定过程的更多信息可参见GB/T15706和GB/T20438.5。
5安全要求规范
5.1GB/T16855.1和GB28526各自的方法在第一阶段均要求规定由安全相关控制系统执行的安全功能。 5.2宜对控制电路执行的每种安全功能进行评估，如使用GB/T16855.1的附录A或GB28526的附录A。宜确定需要机器每种特定的安全功能减小多少风险，然后确定执行安全功能的控制回路需要的等级。 5.3以PL和/或SIL规定的等级与具体的安全功能有关。 5.4下面给出了宜由产品标准(C类标准)给出的与安全功能相关的信息。
由控制电路执行的安全功能：安全功能的名称功能的描述符合 GB/T16855.1所需的性能等级:PL：a～c 和/或符合GB28526 所需的安全完整性等级：SIL.1～3
6性能目标指定:PL与 SII
表1给出了基于每小时平均危险失效概率的PL和 SIL之间的关系。然而，除了这些同样适用于安全相关控制系统的概率目标之外，两项标准都规定了其他要求（如系统安全完整性等级）。这些要求的严格程度与各自的PL 和 SII.有关。
2 GB/T 30175--2013/ISO/TR 23849 :2010
表 1基于每小时平均危险失效概率的 PL 和 SIL 之间的关系
性能等级（PL)
安全完整性等级（SIL) 无特殊的安全要求
每小时平均危险失效概率（1/h）
≥10s10- ≥3×101510: ≥10 6~～<3×10- ≥10-710 ≥10810-
a
d
2
7 系统设计
7.1 使用GB28526和GB/T16855.1进行系统设计的一般要求
在设计SRECS和 SRP/CS 时，宜考虑以下几个方面：
当在两项标准各自限定范围内使用时，可采用任意一项标准设计具有可接受安全功能的安全相关控制系统，用达到的SIL或PL表示。 根据GB/T16855.1相关的PL设计的不复杂安全相关部件可作为子系统集成到按照 GB28526设计的SRECS中。任何按照GB/T16855.1相关的PL设计的复杂安全相关部件可集成到按照GB/T16855.1设计的SRP/CS中，任何按照GB28526相关的SIL设计的不复杂子系统都可作为安全相关部件集成到按照 GB/T 16855.1设计的 SRP/CS组成中。 --根据GB/T20438相关的SIL设计的复杂子系统都可作为安全相关部件集成到按照 GB/T16855.1设计的SRP/CS中，或者作为子系统集成到按照GB28526设计的SRECS中。
7.2PFH与 MTTFa的估计以及故障排除的使用 7.2.1 PFH, 与 MTTF 7.2.1.1GB/T16855.1中的MTTF。值只有在与不带诊断的单通道SRP/CS相关时，才是GB28526 中 PFHp的倒数。 7.2.1.2MTTFa是一个或多个组件和/或不考虑任何给定因素（如诊断和结构）的单通道的一个参数，而PFH，是考虑了多种因素（如诊断和依赖于设计构架的结构)的子系统的一个参数。 7.2.1.3GB/T 16855.1的附录K给出了按照类别和诊断覆盖率（DC)分类的不同结构的 SRP/CS的 MTTFa与 PFH，之间的关系。 7.2.1.4　对于符合GB/T16855.1的串联SRP/CS的组合，其PFHl，的估计也可按照GB28526中子系统的类似方式，即通过累加每个SRP/CS的PFH值（如来自GB/T16855.1的附录K中的值)来完成。 7.2.2故障排除的使用 7.2.2.1两项标准都允许故障排除，见GB28526的6.7.7和GB/T16855.1的7.3。对于要求达到SIL3 且不带硬件故障裕度的SRECSGB28526不允许故障排除。 7.2.2.2故障排除的正确性和有效性对于SRP/CS或SRECS 的预期寿命是非常重要的。
3 GB/T 30175—2013/ISO/TR 23849:2010 7.2.2.3通常，当 SRP/CS或SRECS执行的安全功能规定为PLc或SIL3时，单独依靠故障排除达到该性能等级是不正常的。这取决于所使用的技术和预定的使用环境。因此，在 PL或 SIL提高时，设计者需要特别注意故障排除的使用。 7.2.2.4设计SRP/C或SRECS时，为了达到PLc或SIL3，故障排除通常并不适用于机电位置开关和手动开关（如急停装置）的机械部分。可应用于特殊机械故障情况下（如磨损/腐蚀、破裂）的故障排除在 GB/T16855.2中给出。 7.2.2.5例如，由于通常不能对开关执行器损坏等故障进行故障排除，因此为了达到PLe或SIL3，已实现PLc或SIL3的门联锁系统需要的最低故障裕度为1（如两个常规的机械位置开关）。然而，在按照相关标准设计的控制板内，对线路短路等故障的排除可能是可接受的 7.2.2.6　更多关于使用故障排除的信息将在修订后的GB/T16855.2中给出。 7.3使用符合GB28526或GB/T16855.1的子系统或SRP/CS进行系统设计 7.3.1在任何情况下，按照GB/T16855.1或GB28526设计的子系统或SRP/CS，只有满足了所有系统级(相关的)标准的要求，才能声明符合相应的系统级标准。 7.3.2设计子系统或SRP/CS的部件时，应分别满足GB28526或GB/T16855.1。假如每项标准都得到完全满足，则应完全遵循这些标准。 7.3.3设计子系统或SRP/CS的部件时，不允许混合使用这两项标准的部分要求。 7.4使用按照其他标准设计的子系统或 SRP/CS 进行系统设计 7.4.1在设计过程中，可能需要选择满足其他标准的子系统，这些子系统符合相关产品标准以及 GB/T20438、GB28526或GB/T16855.1的中的任意一个，例如电敏防护装置。这类子系统的销售商宜提供必要的信息，以便于将这些系统集成到符合GB28526或GB/T16855.1的安全相关控制系统中。 7.4.2根据GB28526（也可见GB28526的6.7.3)和GB/T16855.1，满足GB/T20438的要求且已按照产品标准（如IEC61800-5-2)设计的子系统，如可调速电气传动系统，可用在安全相关控制系统中。 7.4.3根据GB28526，已按照其他标准设计标准设计的其他子系统满足GB28526,6.7.3的要求。
8 示例 8.1概述
以下示例假定已满足两项标准中的所有要求。示例只用于演示标准应用的特定方面。 8.2设计和确认执行规定安全相关控制功能的安全相关控制系统的简化示例 8.2.1这个简化示例用于演示如何使用符合GB28526和/或GB/T16855.1的子系统或SRP/CS。本示例基于..·种安全功能的执行，该安全功能是与活动式防护装置位置监控相连的安全相关停止功能，规定的安全完整性等级为SIL3/所需的性能等级为PL,c，见图1。