ICS29.020 J07
CE
中华人民共和国国家标准
GB/T34136—2017/IEC/TR62061-1:2010
机械电气安全GB28526和 GB/T16855.1用于机械安全相关控制系统设计的应用指南
Electrical safety of machinery---Guidance on the application of GB 28526 and GB/T 16855.1 in the design of safety-related control systems for machinery
(IEC/TR 62061-1:2010,Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery,IDT)
2018-02-01实施
2017-07-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
发布 GB/T34136—2017/IEC/TR62061-1:2010
前言
本标准按照GB/T1.1一2009给出的规则起草。 本标准使用翻译法等同采用IEC/TR62061-1：2010《ISO13849-1和IEC62061中用于机械的安全
相关控制系统设计的应用指南》（英文版）。
本标准做了下列编辑性修改：一为了与其他相应的标准名称相协调。标准名称改为《机械电气安全GB28526和GB/T16855.1
用于机械安全相关控制系统设计的应用指南》。 本标准由中国机械工业联合会提出。 本标准由全国工业机械电气系统标准化技术委员会（SAC/TC231）归口。 本标准负责起草单位：国家机床质量监督检验中心。 本标准参加起草单位：中国科学院沈阳计算技术研究所有限公司、山东大学。 本标准主要起草人：薛瑞娟、黄祖广、赵钦志、尹震宇、胡天亮、蒋、黄麟。
I GB/T34136—2017/IEC/TR62061-1:2010
机械电气安全GB28526和 GB/T16855.1用于机械安全相关控制系统设计的应用指南
1范围
本标准规定了GB28526和GB/T16855.1用于机械安全相关控制系统设计的应用指南。
2概述
2.1GB28526和GB/T16855.1均规定了机械安全相关控制系统设计和实施的相关要求。这两项标准规定的方法虽然不同，但正确使用时，均可降低风险至相应等级。 2.2这两项标准将所执行安全功能的安全相关控制系统，根据每小时的危险失效概率进行分级。 GB/T16855.1分为5个性能等级（PL》：a、b.C、d和e；而GB28526则分为3个安全完整性等级（SIL）： 1.2和3。 2.3产品标准（C类）技术委员会规定的安全相关控制系统的安全要求，建议这些技术委员会按照PL 和SIL所要求的置信度等级进行分类。 2.4机械设计人员可按照具体的应用特点选用GB28526或GB/T16855.1标准。 2.5选择和使用哪一项标准需要考虑以下因素确定，例如：
在机械安全相关控制系统设计中，以往的知识和经验是基于GB/T16855.1一2008描述的类别概念，则可能意味着使用GB/T16855.1一2008更合适；
一基于介质不是电气技术的安全相关控制系统，则使用GB/T16855.1更合适；一用户要求以术语SIL.证明机械安全相关控制系统的安全完整性等级时，则使用GB28526更
合适；机械安全相关控制系统用于例如过程工业领域时，当其他安全相关系统（例如符合GB/T21109 的安全仪表系统）以SIL表征，则使用GB28526更合适。
3标准对比
3.1GB/T16855.1和GB28526的技术要求对比如下：
一术语；
一风险评估和性能分配：一安全要求规范；一系统完整性要求；一诊断功能；一软件安全要求。
3.2此外，这两项标准均给出了用于评估的每小时危险失效概率（PFH）和平均失效间隔时间 CMTTFa）的简化数学公式。
1 GB/T341362017/IEC/TR62061-1:2010
3.3标准对比结论如下：
一通过集成按照GB28526或GB/T16855.1标准要求设计的非复杂的安全相关电气控制系统 (SRECS)的子系统或控制系统安全相关部件（SRP/CS），使用这两项标准中的任一项设计的安全相关控制系统均能送到可接受的功能安全等级：
一通过集成按照GB/T20438设计的电气/电子/可编程电子设备的子系统，这两项标准也可用
于为复杂的SRECS和SRP/CS提供设计的解决方法：一目前机械行业使用这两项标准是有意义的，经验表明使用者将受益。一段合理时期的实际应
用反馈，对于推动GB28526和GB/T16855.1这两项标准内容的合并是必需的；一由于细节上存在着差异，及某些概念（例如功能安全管理）需要进一步工作以建立各自设计方
法和一些技术要求之间的对应关系。
4风险评估和所需性能分配
4.1对具体安全功能分配SIL和/或PLr的方法进行比较。每个标准的附录A中客自提供的方法之间有很好的对应等级。 4.2无论使用哪种方法，注意确保对风险参数进行适当的判断，以确定能够适用于具体安全功能的 SIL和/或PLI。这种判断最好让相关人员（如设计、维护和操作人员）共同参与，以确保正确理解机械可能出现的危险。 4.3有关风险评估过程和性能目标分配的更多信息可见GB/T15706和GB/T20438.5
5 安全要求规范
5.1GB/T16855.1和GB28526各自的方法在第一阶段均要求安全功能由安全相关控制系统实现。 5.2对控制电路执行的每一项安全功能应进行评估，例如使用GB/T16855.1附录A或GB28526的附录A。宜确定每台机械的具体安全功能提供怎样的风险降低水平，依次确定执行该安全功能的控制电路所要求置信度等级。 5.3PL和/或SIL给定的置信度等级与具体的安全功能有关。 5.4以下显示的与安全功能相关信息宜由产品标准（C类）提供：
由控制电路要执行的安全功能：
安全功能的名称：一功能的描述；按GB/T16855.1要求的性能等级：PLa~e：或/和一一按GB28526要求的安全完整性等级：SIL1一3
6性能目标分配：PL与SIL比较
表1给出了基于每小时平均危险失效概率的PL和SIL之间的关系。然而对于这些概率目标，两项标准还规定了其他要求（如系统安全完整性等），同样也适用于安全相关控制系统。这些要求的严酷等级与各自的PL和SIL有关。
2 GB/T34136—2017/IEC/TR 62061-1:2010
表1基于每小时平均危险失效概率的PL和SIL的关系
性能等级（PL）
每小时平均危险失效概率（1/h）
安全完整性等级（SIL）无特殊安全要求
10-5~<10-4 3X10-~10-5 10-5~<3X10- 10-1~<10-6 10-8~10-
a b C d e
1 1 2 3
7系统设计
7.1使用GB28526和GB/T16855.1进行系统设计的一般要求
当设计一个SRECS/SRP/CS时，应考虑下列方面：
当在各自限定范围内使用时，两标准的任一个都可用于设计具有合适功能安全的安全相关控制系统，用SIL或PL表示。 按照GB/T16855.1设计具有相关PL的非复杂的安全相关部件可以作为子系统集成到按照 GB28526设计的安全相关电气控制系统中。任何按照GB/T16855.1设计相关PL的复杂安全相关部件都可以集成到按照GB/T16855.1设计的控制系统的安全相关部件。 任何按照GB28526设计实现具有相关SIL的非复杂子系统都可以作为安全相关部件集成到按照GB/T16855.1设计的SRP/CS组合中。 一任何按照GB/T20438设计具有相关SIL的复杂子系统都可以作为安全相关部件集成到按照 GB/T16855.1设计的SRP/CS组合中，或者作为子系统集成到按照GB28526设计的
SRECS中。
7.2PFH和MTTFa的估计以及故障排除的使用 7.2.1 PFH和MTTFa 7.2.1.1GB/T16855.1中的MTTFa值与不带诊断的单通道SRP/CS相关时，只在这种情况下为 GB28526中PFHD的倒数。 7.2.1.2MTTFa是不考虑任何给定因素（如诊断或架构）的部件和/或单通道的参数，而PFHD是考虑了由设计结构决定的诊断和架构因素的子系统的参数。 7.2.1.3GB/T16855.1的附录K给出了以类别和诊断覆盖率分类的不同架构SRP/CS中MTTFa和 PFHp的关系。 7.2.1.4按照GB/T16855.1串联组合的SRP/CS的PFH的估计，可以采用GB28526中子系统使用的相似方法，以累加各SRP/CS的PFH值C例如源于GB/T16855.1的附录K>的方法计算。 7.2.2故障排除的使用 7.2.2.1两项标准都允许故障排除的使用，见GB28526的6.7.7和GB/T16855.1的7.3。GB28526 不允许SRECS在无硬件故障容错（在无硬件故障容错的情况下要求达到SIL3的情况下，使用故障排除。
3 GB/T34136—2017/IEC/TR62061-1:2010
7.2.2.2使用故障排除，重要的是对它们的正确判断和SRP/CS或SRECS预期生命周期有效。 7.2.2.3通常，通过SRP/CS或SRECS实现安全功能为PLe或SIL3等级的地方，不应仅单独依赖于故障排除获得这样的性能等级。这取决于采用的技术和预期操作的环境。因此，设计者使用故障排除来增加PL或SIL，需要额外小心 7.2.2.4在SRP/CS或SRECS设计中为达到PLe或SIL3，故障排除不适用于机电位置开关和手操作开关（例如，紧急停止装置）的机械部分。这些故障排除可以应用的特定机械故障条件（如：磨损/腐蚀：断裂）在GB/T16855.2-2007已经描述。 7.2.2.5例如，须达到PLe或SIL3的门联锁系统通常不通过排除故障（例如停止开关操动器）来判断，为了达到这样的性能等级，将需要合并一个最小故障容错1（例如两个传统的机械位置开关）。然而，排除按相关标准设计的控制面板内布线电路短路的故障是可以接受的。 7.2.2.6更多关于故障排除使用的信息见GB/T16855.2。 7.3使用符合GB28526或GB/T16855.1的子系统或SRP/CS的系统设计 7.3.1按照GB/T16855.1或GB28526设计的子系统或控制系统安全相关部分的所有情况，如果满足相关系统等级标准的所有要求，才能声称与系统等级标准一致。 7.3.2在子系统或控制系统安全相关部件部分的设计应满足相应的GB28526或GB/T16855.1要求。 允许符合一个以上充分满足这些标准的要求。 7.3.3当设计子系统或者控制系统安全相关部件部分时，不允许混合标准的要求。 7.4使用已由其他标准设计的子系统或SRP/CS进行系统设计 7.4.1在系统设计中，可以选择符合相关产品标准和GB/T20438、GB28526或GB/T16855.1的子系统（例如，电敏保护设备）。各种型号子系统的供应商，宜依照GB28526或GB/T16855.1提供便于将子系统整合到安全相关控制系统的必要信息。 7.4.2使用产品标准（例如GB/T12668.502一2013）设计的子系统（例如调速电气传动系统）实现了 GB/T20438的要求，可以用于依照GB28526（见GB28526中6.7.3）和GB/T16855.1设计的安全相关控制系统中。 7.4.3根据GB28526中的要求，使用其他标准设计的子系统要符合GB28526中6.7.3的规定。
8示例 8.1概述
以下示例假定已满足两项标准的所有要求。这个示例只是为了演示标准应用的特定方面。 8.2执行规定的安全相关控制功能的安全相关控制系统的设计和确认的简化示例 8.2.1这个简化的示例，意为演示符合GB28526和/或GB/T16855.1的子系统或SRP/CS在 SRECS/SRP/CS中的使用。这个示例是以实现安全功能为基础，是与活动式防护装置的位置监控关联的安全相关停止功能，并且规定了安全完整性等级SIL3或所需的性能等级PLre，如图1中所示。
中