ICS13.110 J 09
中华人民共和国国家标准
GB/T16855.2—2015/ISO13849-2:2012
代替GB/T16855.2—2007
机械安全 控制系统安全相关部件
第2部分：确认
Safety of machinery-Safety-related parts of control systems-
Part 2 : Validation
(ISO 13849-2:2012.IDT)
2015-12-10发布
2016-07-01实施
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
发布 GB/T16855.2—2015/ISO13849-2:2012
目 次
前言引言
I
范围规范性引用文件
2
3 术语和定义
确认过程 4.1 确认原则 4.2 确认计划 4.3 一般故障清单 4.4特殊故障清单 4.5 确认信息 4.6 确认记录 5 分析确认 5.1 一般要求 5.2 分析方法 6测试确认 6.1 一般要求 6.2 测量精度 6.3 更严格的要求 6.4 试验样品数量安全功能的安全要求规范的确认 8 安全功能的确认 9 性能等级和类别的确认 9.1 分析和测试 9.2 类别规范的确认 9.3 MTTFa、DCag和CCF的确认 9.4 与SRP/CS性能等级和类别相关的系统性失效防止措施的确认 9.5 安全相关软件的确认 9.6 性能等级的确认和验证 9.7 安全相关部件组合的确认· 10环境要求的确认 11 维护要求的确认 12技术文件和使用信息的确认附录A（资料性附录）机械系统的确认工具附录B（资料性附录） 气动系统的确认工具
7
10 10
11
11 12 12 13 16 GB/T16855.2—2015/ISO13849-2:2012
附录C（资料性附录）液压系统的确认工具附录D（资料性附录）电气系统的确认工具：附录E（资料性附录）故障特性确认及诊断措施示例参考文献
23 29 39
-
.-
.·.... 59
+++++++++++++++++ ............
.
Ⅱ GB/T16855.2—2015/ISO13849-2:2012
前言
GB/T16855《机械安全控制系统安全相关部件》由以下两部分组成：
第1部分：设计通则：第2部分：确认。
本部分为GB/T16855的第2部分。 本部分按照GB/T1.1一2009给出的规则起草。 本部分代替GB/T16855.2一2007《机械安全控制系统有关安全部件第2部分：确认》。与
GB/T16855.2一2007相比，除编辑性修改外主要技术变化如下：
在范围中增加了适用于对性能等级的确认（见第1章，2007年版的第1章）；一增加了安全功能的安全要求规范的确认（见第7章）；
一增加了性能等级及其相关参数（MTTFa、DCavg和CCF）安全相关软件的确认（见第9章，
2007年版的第1章）；一增加了技术文件和使用信息的确认（见第12章）一增加了故障特性确认及诊断措施示例（见附录E）。 本部分使用翻译法等同采用ISO13849-2：2012《机械安全控制系统安全相关部件第2部分：确
认》（英文版）。
本部分由全国机械安全标准化技术委员会（SAC/TC208）提出并归口。 本部分起草单位：如皋市包装食品机械有限公司、国家机床质量监督检验中心、南京理工大学、欧姆
龙自动化（中国）有限公司、中机生产力促进中心、南京林业大学光机电仪工程研究所、皮尔磁工业自动化贸易（上海）有限公司ABB（中国）有限公司西门子（中国）有限公司。
本部分主要起草人：史传明、居里、赵钦志，张晓飞、李勤、宁燕、居荣华、李立言、褚卫中，张天强
罗广、程红兵、刘英、陈能玉、黄之炯、张亚荣、宋小宁、吴健、王正、付卉青、刘治永、姜涛、于恒。
本部分所代替标准的历次版本发布情况为：
GB/T16855.2—2007。
Ⅲ GB/T16855.2—2015/ISO13849-2:2012
引言
机械领域安全标准的结构如下：
A类标准（基础安全标准），给出适用于所有机械的基本概念、设计原则和一般特征。 一B类标准（通用安全标准），涉及机械的一种安全特征或使用范围较宽的一类安全装置：
·B1类，特定的安全特征（如安全距离、表面温度、噪声）标准； ·B2类，安全装置（如双手操纵装置、联锁装置、压敏装置、防护装置）标准。 C类标准（产品安全标准）对一种特定的机器或一组机器规定出详细的安全要求的标准。
根据GB/T15706，本标准属于B1类标准。 C类标准可补充或修改本标准中的要求。 对于C类标准范围内的机器，如果已按照该标准设计与制造，则优先采用该C类标准中的要求本部分规定了控制系统安全相关部件的安全功能、类别和性能等级的确认过程。本部分认识到通
过分析（见第5章）和测试（见第6章）的组合可实现控制系统安全相关部件的确认，并规定了试验的特殊环境条件。
本部分规定的大多数程序和条件都是基于一种假设，即采用了GB/T16855.1一2008中4.5.4规定的估计性能等级（PL）的简化程序。本部分没有给出采用其他程序（例如：马尔科夫建模）的指南，这种情况下，本部分的某些条款不再适用，并且有必要满足附加的要求。
无论控制系统安全相关部件采用了何种技术（电气液压气动、机械等），其设计通则（见
GB/T15706）的指南都在GB/T16855.1中给出。这包括一些典型安全功能的描述。所需的性能等级的确定，以及类别和性能等级的通用要求
本部分给出的一部分确认要求是通用性的，而其他确认要求则是专门针对所采用的技术类型。
IV GB/T16855.2—2015/ISO13849-2:2012
机械安全控制系统安全相关部件
第2部分：确认
1范围
本部分规定了通过分析和测试确认以下参数时需遵循的程序和条件：
规定的安全功能；按照GB/T16855.1设计的控制系统安全相关部件（SRP/CS)达到的类别；按照GB/T16855.1设计的控制系统安全相关部件（SRP/CS)达到的性能等级
注：可编程电子系统（包括嵌人式软件）的附加要求在GB/T16855.1一2008的4.6和GB/T20438中给出
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文
件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T15706一2012机械安全设计通则风险评估与风险减小（ISO12100：2010，IDT） GB/T16855.1一2008机械安全控制系统有关安全部件第1部分：设计通则（ISO13849-1：
2006.IDT)
3术语和定义
GB/T15706一2012和GB/T16855.1一2008界定的术语和定义适用于本文件。
4确认过程
4.1确认原则
确认过程的目的是为了确定SRP/CS的设计是否支持机械的所有安全要求规范。 确认应证明每个SRP/CS满足GB/T16855.1的要求，特别是： a）设计原理提出的，由该部件所提供的安全功能的规定安全特性。 b）规定的性能等级的要求（见GB/T16855.1一2008中4.5）：
1）规定的类别的要求（见GB/T16855.1一2008中6.2）； 2）控制和避免系统性失效的措施（见GB/T16855.1一2008中附录G）； 3）适用时，软件的要求（见GB/T16855.1一2008中4.6）： 4）在预期环境条件下执行安全功能的能力。
c）操作者界面的人类工效学设计，例如。不会因此诱使操作者采用危险的操作方式，如废弃
SRP/CS(见GB/T16855.1—2008中4.8）。 宜由独立于SRP/CS设计的人员进行确认。 注：“独立人员”并不意味着需要第三方测试确认包括分析确认（见第5章），以及按照确认计划在可预见的条件下进行的功能测试（见第6章）。
图1给出了确认过程。分析与测试之间的平衡取决于安全相关部件所采用的技术和所需的性能等级。
1 GB/T16855.2—2015/ISO13849-2:2012
对于2类3类和4类，安全功能的确认还应包括故障条件下的测试。
宜尽可能早地启动分析工作，并与设计过程同时进行，以便能尽早在问题还相对容易解决的时候解决，即在“安全功能的设计和技术实现”和“评估性能等级PL”这两步之间（GB/T16855.1一2008中图3 第四个方框与第五个方框之间）。部分分析工作有必要推迟到设计完成后进行。
由于控制系统的规模、复杂性或者集成到（机器的）控制系统中产生的效果。在必要时。宜作如下的专门安排：
在集成前单独对SRP/CS进行确认，包括模拟相应的输人和输出信号：确认安全相关部件与控制系统内其余部分的集成效果。
设计考虑
开始
- 文件
确认计划
确认原则
中
分析
故障清单
故障排除准则
分析是否足够？
测试
安全功能技术规范安全功能 PL和类别：
是是否属于2类、 3类或4类？
是否通过测试？
类别的确定： -MTTFaDC.CCF: 系统性故障：软件： -SRP/CS的PL的验证： SRP/CS的组合。
I是在故障条件下进行安全功能测试
I香修改设计
一确认记录
环境要求维护要求技术规范/使用者信息
是否
香
确认了所有的“ 安全功能？
是结束
图1确认过程
图1中的修改设计”是指设计过程。如果无法成功完成确认，则有必要改变设计。然后，还宜对修
改后的安全相关部件重新进行确认。宜重复此过程，直到所有安全功能的安全相关部件均已成功完成确认。 4.2 确认计划
确认计划应识别和描述对规定的安全功能及其类别和性能等级进行确认过程的要求
2