GB/T 16855.1-1997 机械安全 控制系统有关安全部件 第一部分 设计通则

ICS13.110

109溥H

中华人民共和国国家标准

GB/T16855.1一1997

机械安全控制系统有关安全部件

第一部分设计通则

Safetyofmachinery-Safetyrelatedpartsof

controlsystems-Partl:Generalprinciplesfordesign

1997一06一06发布1998一01一01实施

国家技术监督局发布

GB/T16856.1一1997

目次

前言··。··，，·································，···········，··························································……a

0引言··一1

I范围··········································‘··················“······························，，···········……1

2引用标准1

3定义，2

4总则··························……3

5安全功能特征·，··，，·，··············，，，，·.，··············，，·············。·····，··················，，··，······……7

6在故障情况下控制系统有关安全部件的设计·······，················································……9

7故障考虑························，···············。····························································……13

8鉴定··················13

9维修和检验·‘，····.，·····‘····，，，，·，·········‘·，·····.·，·····‘·“·，，，·，····························……14

I。使用信息················。············，，，··································································……14

附录A(提示的附录)设计过程中需考虑的一些重要问题···.·，···························，·········……16

附录B(提示的附录)类别的选择指南.·17

附录C(提示的附录)各种技术的一些重大故障和失效清单·········，··444·····一19

附录ll(提示的附录)机械的安全性、可靠性和可用性之间的关系····，·················，·········……20

GB/T16855.1一1997

前言

本标准等效采用欧洲标准(草案)PREN954-1:1994《机械安全控制系统有关部件—第1部分:设

计通则》,PREN954-1已于1996年10月批准为正式欧洲标准，在内容上没有改变。ISO门'C1”于1993

年就将PREN954-1:1992转为国际标准文件(ISO/TC199N45)，发至各成员国征求意见，准备转为国际

标准。为了加快我国的机械安全标准制定步伐，使之尽快与国际和国外先进标准接轨，经研究，先等效采

用该欧洲标准草案PREN954-1:1994制定国家标准，待正式国际标准出来后，若有变化，再进行修订。

本标准与PREN954-1:1994主要有以下两点不同:

1.将引用标准的导言按GB/T1.1-1993进行了修改，并将引用的有关欧洲标准和IEC标准凡有

对应国家标准的均改为相应的国标，而且取消了原标准中引用的一些欧洲标准草案。(prEN842,

prEN981,EN982,EN983,prEN999,prEN1037,prEN50100-1,prEN61310-3)，因为这些标准草案都还正

处在起草过程中，在EN954-1的条文中也没有具体出现过，故在本标准中未引用。

2.取消了提示的附录E“文献目录”。因为该“目录”所列的IEC和几个欧洲国家的有关可编程电子

系统的标准文件，我们国内都没有，即使列出也无处查找。“目录”中所列的有关质量保证体系的几个国

际标准，在本标准正文中都没有涉及到，不应作为本标准的参考文献。

附录A至附录D是提示的附录。

本标准自1998年1月1日开始实施。

本标准由中华人民共和国机械工业部提出。

本标准由全国机械安全标准化技术委员会归口。

本标准负责起草单位:机械科学研究院。

本标准的主要起草人:马贤智、李勤、张尔正、徐自芬、萧维、张铭续、王国扣。

中华人民共和国国家标准

机械安全控制系统有关安全部件

GB/T16855.1一1997

第一部分设计通则

Safetyofmachinery-Safetyrelatedpartsof

controlsystems--Partl:Generalprinciplesfordesign

0引言

机械控制系统中有些部件通常用于保证安全，这些部件称为有关安全部件，它们可由硬件和软件组

成，提供控制系统的安全功能。它们可以是控制系统的整体部分，或单独部分。

关于出现故障时控制系统有关安全部件的性能在本标准中被分为五种类别(B,1,2,3,4)，这些类

别宜用作参考点，不用作有关安全要求方面的某些顺序或层次。

这些类别可以用于:

—所有机械的控制系统，从简单的如小型炊事机械到复杂的制造设施如包装机械、印刷机械、压

力机等的控制系统。

一一防护装置的控制系统，如双手操纵装置、联锁装置、电敏防护装置(光电屏障)和压敏垫等。

类别的选择将取决于机器和防护措施所用的控制手段。

选择类别和设计控制系统有关安全部件时，设计者至少需要说明以下有关安全部件的信息:

—选择的类别;

—在机械防护措施中起作用的功能特征和确切部分;

—各种确切限制;

—考虑所有与安全有关的故障;

-一通过故障排除和采取措施可以排除而勿须考虑的与安全有关的故障;

-一有关可靠性参数，例如环境条件;

—所采用的技术。

使用类别作为参考点和设计原理的说明是为了标准可以灵活应用，并为控制系统(和机器)有关安

全部件的设计和应用性能提供一个可以通过第三方或内部或独立试验机构进行评定的明确基准。

范围

本标准规定了控制系统有关安全部件安全要求和设计导则，并规定了这些部件的类别及其安全功

能特征。其中包括所有机械和有关防护装置的可编程系统。本标准适用于所有控制系统有关安全部件，

不管使用何种能量形式，如电的、液压的、气动的、机械的。本标准对在特定情况下采用哪些安全功能和

那种类别未具体规定。

本标准适用于所有专业用的和非专业用的机械。需要时，也可用于具有类似危险的在其他技术应用

场合使用的控制系统有关安全部件。

2引用标准

下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。本标准出版时，所示版本均为

国家技术监督局1997一06一06批准1998一01一01实施

GB/T16855.1一1997

有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB1251.1-89工作场所险情信号险情听觉信号

GB2421-89电工电子产品基本环境试验规程总则

GB4208-93外壳防护等级分类

GB4706.1-84家用和类似电气装置安全第1部分:一般要求

GB4798.10-84电工电子产品应用环境条件导言

GB/T5226.1-1996工业机器电气设备第1部分:通用技术条件

GB/T15706.1-1995机械安全基本概念与设计通则第1部分:基本术语方法学

GB/T15706.2-1995机械安全:基本概念与设计通则第2部分:技术原则与规范

GB/T16755-1997机械安全安全标准的起草与表述规则

GB16754-1997机械安全急停设计原则

GB/T16856-1997机械安全风险评价的原则

3定义

本标准除使用GB/T15706.1中给出的定义外，还采用下列定义。

3.1控制系统有关安全部件safetyrelatedpartofacontrolsystem

对应于来自受控设备(和/或来自操作者)的输人信号而产生有关安全输出信号的控制系统的一个

部件或分部件。控制系统组合的有关安全部件起始于有关安全信号被触发处，结束于动力控制元件的输

出处(见G&/T15706.1-1995的附录A),这也包括监控系统。

3.2类别category

根据其耐故障情况和随后在故障条件下的工况对控制系统有关安全部件的分类，这种分类是通过

它们的结构安排和(或)通过其可靠性达到的。

3.3控制系统安全性safetyofcontrolsystems

根据在故障情况下的工况所规定的类别的控制系统在给定时间内执行其功能的能力。

3.4控制系统可靠性reliabilityofcontrolsystems

在规定的条件下和规定时间内控制系统执行其规定功能的能力。

3.5故障fault

无能力执行所需功能的产品特征状态，不包括预防性维修或其他有计划的活动期间或由于缺乏外

部资源而无能力执行所需功能。

注

1故障通常是产品自身失效的结果，但它可以存在于没有失效之前。

2在实践中，故障和失效(见3.6)通常用作同义语

3.6失效failure

产品执行所需功能能力的终止。

注:

1失效后产品具有故障。

2“失效’，与“故障”的区别是，“失效”是一事件，而“故障”是一种状态

3所定义的这种概念不适用于只有软件构成的产品。

3.7安全功能safetyfunction

由输人信号触发的并通过控制系统有关安全部件处理的能使机器达到安全状态的一种功能。

3.8抑制muting

在机器以其他安全条件运转期间，由控制系统有关安全部件暂时自动中止一种或几种安全功能。

3.9手动重调manualreset

GB/'r16855.1一1997

控制系统有关安全部件内的一种功能，它可以在机器重新起动之前，由手动恢复给定的安全功能。

4总则

设计过程中的安全目标

提供安全功能的控制系统有关安全部件应设计得使遗留风险在以下情况下是可接受的:

在全部预定使用期间和可能预见的误用时;

出现故障时;

—整个机器在预定使用期间出现可预见的人为差错时。

4.2一般设计对策

设计者应根据对机器的风险评价，决定需要由控制系统有关安全部件的每一个部件减小风险的分

配见〔附录B(提示的附录)〕。这种分配不包括受控机器的全部风险，例如不考虑一台机械式压力机或洗

衣机的全部风险，而只考虑通过应用特定安全功能减小的那部分风险。通过使用压力机电感防护装置触

发的停机功能或洗衣机的锁门功能都是这种功能的例子。

主要目标是设计者应保证控制系统有关安全部件在内部失效或外部干扰的情况下，不产生会导致

高于可接受遗留风险的风险输出。这不是总能达到的，但设计者应将出现高于可接受风险的输出减至最

小，并且在这种情况下应提供其他安全措施。减小风险对策的分步示意图见GB/T15706.1-1995的第

5章。

设计者对有关安全部件选择的类别和其他特征(例如各部分的物理位置、隔离)将取决于该部件对

减小风险的作用和在设计与工艺中使用的技术。设计者应负责说明:

—哪些类别将被用作设计参考点;

—有关安全部件的确切起点和终点;

-—达到那种(些)类别设计的设计基本原理(例如考虑的故障、排除的故障)。

由控制系统有关安全部件减小的风险越大.需要那些部件具有的耐故障能力越高。这种能力(理解

为所需执行的功能)可通过可靠性值和耐故障结构部分地量化。可靠性和结构两者都影响有关安全部件

耐故障的这种能力。规定的耐故障性可通过规定元件可靠性水平和(或)采用改进的有关安全部件结构

来达到。可靠性和结构的作用可随所用的技术而变化。例如，在一种技术条件中，一种高可靠性的单通

通道有关安全部件，可能提供与在别的技术中故障容许的可靠性较低的结构具有同样的或更高的耐故

障性。

注1:有关安全部件耐故障性越高，不能执行所擂安全功能的棍率就越低。

可靠性和安全性不是同一概念(见3.3和3.4)。例如，在一个冗余的结构中，具有相对不可靠性元

件系统的安全性可能比具有较简单结构但具有较高可靠性元件系统的安全性更高。弄清这一概念很重

要，因为在有些应用场合，不管达到的可靠性如何，优先需要最高的安全性。例如，当失效的后果总是严

重的并且通常是不可挽回的时候。在这种应用场合，应根据风险评价，提供一种故障探测(一个周期允许

的故障)结构，这种结构能提供一次、两次或多次故障后所需的安全功能。

在安全性主要是通过改善系统结构获得的场合，对复杂结构本标准不要求计算可靠性值。在元件的

可靠性对安全性是重要的场合，对于简单结构(例如一个单通道)计算可靠性值对通过各有关安全部件

分担全部风险的减小是有用的。

注2:机械的安全性、可靠性和可用性之间的关系在附录D(提示的附录)中进一步讨论。

在低风险应用的情况下，避免故障的一些措施可能是合适的;对于高风险应用场合，要通过改善控

制系统有关安全部件的结构未提供避免、查明或容许故障的一些措施。实际措施包括冗余、多样性、监

控

所达到的控制系统有关安全部件的耐故障工况是一种多参量函数，包括:

—与执行安全功能有关的可靠性;

GB/T16855.1一1997

—控制系统的结构;

—有关安全文件的质量;

—规范的完善性;

—设计和维修;

—软件的质量和正确性;

-—功能试验的范围;

—受控机器或机器零件的工作特性。

这些参量可归咎于以下三个主要特征:

—硬件的可靠性—为避免故障的各元件可靠性水平;

—系统结构—为避免、容许或查明故障，对控制系统有关安全部件中各元件的配置;

—影响控制系统有关安全部件工况的不可能定量的一些定性特征。

4.3安全措施选择和设计的过程

本条规定了选择待提供的安全措施及随后设计控制系统有关安全部件的过程。重要的是判别控制

系统有关安全部件和非有关安全部件与机器的所有其他部件间的接口，以实现由有关安全部件减小风

险的作用。

因为减小机器风险可有多种方式，设计控制系统有关安全部件也可有很多方式，所以这种过程是反

复的。在程序的某一步所做的决定和(或)假设可能影响前一步的决定和(或)假设。这方面可通过某一

步程序的反馈进行核查。在鉴定阶段的这种核查对确保所达到的安全性能与在规范中所规定的相同是

重要的。

图1是该过程的说明。提醒设计者在设计进程中应考虑的一些重要方面以问题的形式给在附录A

(提示的附录)中。这些问题说明了在设计有关安全部件中应遵循的基本原理。对于每种应用场合不是

所有问题都适用，在有些应用场合还需要增加一些问题。

第1步:危险分析和风险评价

—根据GB/T15706.1和GB/T16856鉴别机器在各种运行模式期间和在其寿命期的每一阶段

所存在的各种危险。

—根据GB/T15706.1和GB/T16856评价由这些危险产生的风险和确定对那种应用场合合适

的风险减小。

第2步:确定减小风险的措施

一一在机器和(或)安全防护设施方面的设计措施都能起到减小风险的作用。作为设计措施组成部

分起作用的控制系统各部件或在安全防护装置的控制中起作用的控制系统部件都应视为控制系统有关

安全部件。

第3步:规定需由控制系统有关安全部件提供的安全要求。

—规定由控制系统提供的安全功能(见第5章和其他参考文件)。有些特性将出自于设计，有些出

自于使用的其他方法，还有些出自于控制系统的直接要求表1中列出了选择具体安全功能时均应包括

的、比较通用的各种安全功能和特性的参考资料来源。

—规定如何达到安全(如通过使用经过验证的元件和(或)通过使用故障探侧系统)和如何选择控

制系统有关安全部件内的每个零件和组件的类别(例如选择结构)。

第4步:设计

—根据第3步形成的规范和4.2中的一般设计对策，设计控制系统有关安全部件。列出所应包括

的为达到相应类别提供设计原理的各种设计特征。

—考虑可预见的故障(见第7章)验证每一阶段的设计。

注:验证是确定控制系统有关安全部件是否满足设计过程每个阶段全部规定要求的过程。

第5步:鉴定

GB/T16855.1一1997

对机器的危险分析

(GB/T15706.1和GB/T16856)

对机器的风险评价

(GB/T15706.1和GB/T16856)