EN 13849详解

蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-12006CODE蒂森克虏伯扶梯、机场系统PERicky机械安全、控制系统有关安全部件第一部分：设计通则蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKrupp机械安全标准分类•A类标准：（基础安全标准）适用于所有机械的基本概念、设计原则和一般特征•B类标准：（通用安全标准）涉及机械的一种安全特征或使用范围较宽的的一类安全防护装置：B1类：特定的安全特征（如安全距离、表面温度、噪声等）标准B2类：安全装置（双手操作器、连锁装置、防护装置）标准•C类标准：（机器安全标准）对一种特定的机器或一组机器规定出详细的安全要求标准•该标准属于B1类标准蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•1.控制系统有关安全部件Safety-relatedpartofacontrolsystemSRP/CS控制系统中响应有关安全输入信号并产生安全输出信号的部件。（1：控制系统有关安全部件的组成：以有关安全信号被触发为起点，以控制元件的动力输出为终点2：如果监测系统用于诊断，也可以认为他们是SRP/CS）•2.类别categoryCat.SRP/CS在防止故障能力以及故障条件下后续行为方面的分类，它通过部件的结构布置、故障检测和部件的可靠性来达到。•3.故障Fault产品不能执行所需功能的状态，预防性维修或其他计划性活动或缺乏外部资源的情况除外。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•4.失效Failure产品执行所要求的功能能力的终止。a:失效后产品就有故障b:失效时事件，而故障是状态c:该定义的概念不适用于仅有软件组成的产品•5.危险失效dangerousfailure使SRP/SC处于潜在的危险状态或丧失功能状态的失效。**潜在是否成为事实取决于系统的通道机构，冗余系统中危险硬件失效不太可能导致全面的危险状态或功能丧失状态。•6.共因失效commoncausefailureCCF同一事件引起的不同产品的失效；这些失效相互之间没有因果关系。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•7.系统失效Systematicfailure原因确定的失效，只有对设计或制造过程、操作过程、文档或其他相关因素进行修改后才能排除这种失效。a:没有修正的矫正性维护通常不能消除失效原因。b:系统失效可以通过模拟失效原因引起•8.抑制mutingSRP/CS安全功能暂时的自动暂停•9.手动复位manualreset重新启动机器前，SRP/CS中用于手动恢一种或多种安全功能的功能。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•10.伤害harm对健康产生的生理上的损伤或危害。•11.危险hazard潜在的伤害源•12.危险状态hazardoussituation指人员暴露于具有至少一种危险的环境，这类暴露可能会立即或在一定时间之后对人员产生伤害•13.风险risk伤害发生概率和伤害发生的严重程度的综合•14.遗留风险residualrisk采取保护措施之后仍然存在的风险。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•15.风险评价Riskassessment包括风险分析和风险评定在内的全过程。•16.风险分析Riskanalysis机器限制的确定，危险的识别和风险的评估组合•17.风险评定riskevaluation以风险分析为基础，判断是否以达到减小风险的目标•18.机器的预定使用intendeduseofamachine按照使用说明书提供的信息使用机器•19.可预见的误用reasonablyforeseeablemistuse不是按设计者预定的方法而是按照容易预见的人的习惯来使用机器蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•20.安全功能safetyfunction其失效后会立即造成风险增加的机器功能•21.监测monitoring部件或元件执行其功能的能力下降或过程条件的改变使风险增加时，保证触发保护措施的安全功能。•22.可编程电子系统ProgrammableelectronicsystemPES以基于一个或多个可编程电子装置的控制防护或监视系统，包括系统中所有的部件如电源、传感器和其他输入装置，接触器及其他输出装置。•23.性能等级PerformancelevelPL在可预期的条件下，用于规定控制系统有关安全部件执行安全功能的离散等级。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义24.所需的性能等级requiredperformancelevel每种安全功能为达到所需的风险减小所应用的性能等级•25.平均危险失效时间meantimetodangerousfailureMTTFd预期的危险失效平均时间•26.诊断覆盖率DiagnosticCoverage诊断有效性的度量，它可以是诊断的危险失效的失效率与所有的危险失效的失效率之间的比率。**潜在是否成为事实取决于系统的通道机构，冗余系统中危险硬件失效不太可能导致全面的危险状态或功能丧失状态。•27.保护措施Protectivemeasure用于达到风险减小的措施。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•28.任务时间missiontimeTmSRP/CS预定使用的时间周期•29.检测频率TestrateSRP/CS中检测故障的自动检测频率，即诊断检测时间的倒数。•30.要求频率Demandrate要求SRP/CS进行有关安全动作的频率•31.维修频率repairrate从在线检测发现危险失效或系统出现明显故障到系统、部件维修或替换后重启动之间的时间间隔的倒数。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•32.机器控制系统machinecontrolsystem响应来自机器元件、操作者、外部控制设备或他们的组合的输入信号，并产生输出信号使机器按预定方式工作的系统•33.安全完整等级SafetyintegritylevelSIL一种离散的等级（四种可能之一），用于规定分配给E、E、PE有关安全系统的安全功能的安全完整性要求，安全完整性等级4是最高的，安全完整性等级1是最低的。•34.有限可变语言LimitedvariabilitylanguageLVL能够结合定义和专用的库函数来实现安全要求规范的一种语言例如：典型采用LVL的有PLC等蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1术语和定义•35.全可变语言fullvariabilitylanguageFVl能够实现多种功能和应用的一种语言例如：C、C++、汇编语言等a:使用FVL的典型系统：嵌入式系统b:在机械领域。FVL通常用在嵌入式软件中，很少用在应用软件中•36.应用软件applicationsoftware由机器制造商完成的、面向应用的软件，通常包括逻辑序列、范围、表达式、它们控制着相应输入、输出计算和结果，以满足SPR/CS的要求如：针对PBB设计的PLC程序、触摸屏程序等•37.嵌入式软件embeddedsoftware固件：firmware系统软件：systemsoftware由控制器制造商提供的作为系统的一部分，并且机器的使用者无法修改的软件蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•4.1.设计中的安全目标1.SRP/CS的设计和构造应充分考虑风险评价和风险减小的各种情况2.还必须考虑所有预定使用和可预见的误用。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•4.2.风险减小策略机器的危险分析和风险减小过程要求通过以下措施逐步消除或减小危险•通过设计消除危险或减小风险•通过防护装置和可能的附加保护措施减小风险•通过使用信息中关于遗留风险的规定减小风险蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•4.2..2控制系统对风险减小的作用蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•4.3.确定需要的性能等级PLr对于所选的由SRP/CS执行的安全功能，应确定和记录所需的性能等级（PLr），所需性能等级的确定取决于风险评价的结果，并参考了控制系统有关安全部件实现的风险减小量。SRP/CS实现的风险减小总和越多，PLr就越高。蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•4.4.SRP/CS的设计单一安全功能可以由一个或多个SRP/CS来实现，几种安全功能可能由一个或多个SRP/CS来共同实现。单个的SRP/CS也有可能实现多种安全功能和标准控制功能基本SRP/CS组成SRP/CSaSRP/CSbSRP/CSciabibc12ILO蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•4.5.所需的性能等级PL的估计与SIL的关系对所选的完成安全功能的那个SRP/CS或SRP/CS的组合，都应完成其PL的估算。应通过估算一下的参数来确定SRP/CS的PL单个元件的MTTFdDCCCF结构安全功能在故障条件下的性能有关安全的软件系统性失效预期环境条件下，完成安全功能的能力蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•评估过程的有关参数定量的参数（单个零件的MTTFd值、DC、CCF、结构）影响SRP/CS性能的不可计量的参数（故障条件下安全功能的性能、有关安全的软件、系统性失效以及环境条件等）注意：可定量的参数中，可靠性（MTTFd、结构）的影响随所采用的技术的变化而变化。任何类型的系统（如复杂结构）PL的可计量参数有几种方法来估计，马尔可夫模型广义随机Petri网（GSPN）可靠性方框图蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-1•4.5.1性能等级PL与安全完整性的关系SIL可以使用失效模式及影响分析（FMEA）或类推的方法来估算DC。尽可能考虑所有相关的故障和（或）失效模式，对这所需的性能等级（PLr）检查执行安全功能的CRP/CS组合的PL.性能等级PL与安全完整性的关系SIL性能等级PL安全完整性等级SILa无对应等级b1c2d3e4蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯机场系统（中山）有限公司ThyssenKruppEN13849-14设计方面的考虑•减小风险的保护措施1.减小元件级的故障概率；目的是减小影响安全功能的故障或失效的可能性，可以通过增加元件的可靠性来说实现如:选用经验证的零件和（或）应用经验验证的安全原则2.改善SRP/CS的结构，目的是避免故障的危险影响，一些故障是可以检测到的，而且需要冗余和（或）监测结构蒂森克虏伯扶梯（中国）有限公司蒂森克虏伯