ICS 35.240∙50
J 09
GB/T 34934—2017/IEC/TS 62513:2008
机械电气安全 安全相关设备中的 通信系统使用指南
EIeCtriCaI Safety Of machinery—GUidelineS for the USe Of COmmUniCation SyStemS in Safety-related applications
(IEC∕TS 62513:2008, Safety Of machinery—GUidelineS for the USe Of COmnlUniCatiOn SyStemS in Safety-related applications, IDT)
2017-11-01 发布
2018-05-01 实施
附录A (资料性附录)使用安全相关通信系统的SRECS的设计功能块的概念
学兔兔 www.bzfxw.com
本标准按照GB/T L1-2009和GB/T 20000.2-2009给出的规则起草.
本标准使用翻译法等同采用IEC 62513 = 20084机械安全安全相关设备中的通信系统使用指南》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
GB 5226J—2008 机械电气安全 机械电气设备 第1部分]通用技术条件(IEC 60204-1 s2005, IDT)
GB/T 20438(所有部分)电气/电子/可编程电子安全相关系统的功能安全UEC 61508(所有部 分)]
GB 28526-2012 机械电气安全安全相关电气,电子和可编程电子控制系统的功能安全 (IEC 62061: 20051IDT)
本标准做了下列编辑性修改*
——为了与其他相应的标准名称相协调,标准名称改为《机械电气安全安全相关设备中的通信系 统使用指南K
本标准由中国机械工业联合会提出,
本标准由全国工业机械电气系统标准化技术委员会(SAC/TC 231)归口。
本标准起草单位:中国科学院沈阳计算技术研究所有限公司、国家机床质暈监督检验中心•山东 大学•
本标椎主要起草人:尹震宇、黄祖广■薛瑞婿■于东、蒋峰、胡天亮、王芹。
本标准的制定用来确定通信系统的完整性•本标准为机械电气安全相关控制系统的设计与使用提 供指导•
本标准用于解决机械电气设备安全功能设计实现过程中,用于传输安全相关数据的串行数字通信 系统(通常称为现场总线)的问题•它为相关应用在系统设计■安装、调试、修改和维护过程中提供指导。
注:一个串行数字通信系统支持的最大从站数ft是确定的,并且其未经授权彷同的风险是可以忽略不计的*
本标准假设已经开发了 SRECS安全要求规范(SRS)t并且SRECS的设计包含安全相关通信系统。
本标准需要与IEC 62061 一起使用,
本标准不解决安全相关的通信系统本身的设计向题。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件•
IEC 60204-1机械安全机械电气设备第1部分'通用技术条件
IEC 61508(所有部分)电气/电子/可编程电子安全相关系统的功能安全
IEC 62061机械电气安全 安全相关电气■电子和可编程电子控制系统的功能安全
3术语和定义
下列术语和定义适用于本文件G
3 J
类别 CategOry
控制系统有关安全部件在防止故障能力以及故障条件下后续行为方面的分类,他通过部件的结构 布置、故障检测和(或)部件可靠性来达到。
ClSO 13849-It定义 3A.2J
3.2
通信系统 ColIUnUniCatioiI SySteln
设备(如传感器,执行器,机械控制装置等)间消息传输的硬件,软件及传播媒体的安排』
3.3
配置(参數设置)CoDfigUratiOn (ParanIeter SeUing)
系统操作需要的任何数据的设置和/或修改。
3,4
电磁干扰 el«CtrOnIQgnetic interference;EMl
干扰造成的电气电子设备,仪器和/或系统的性能下降,故障或失效∙
注* 一个典型的干扰为无线电频干扰,
容错 fault tolerance
在出现故障或失效时,SRECS,子系统或子系统元素继续执行要求功能的能力。
[IEC 62061,定义 3.2.31]
3.6
节点NOde
通信系统中由一个或多个功能单元互联的数据通道或者数据电路点,
3.7
操作模式 OPeEtiOn mode
操作的方法或方式.
3.8
保护特低电压 ProteCted extra-low-VOItage ∣ PELV
由双重绝缘或其他更好绝缘方法保证的与危险电压鲍缘的接地电路,无论在正常情况下或者单一 故障情况下电压值都不允许超过GB/T 17045—2008中的规定.
[GB/T 17045—2008,定义 3.26]
3,9
验证测试 ProOfteSt
在SRECS系统及其子系统中,该试验可以检测其故障和降级,如必要,以便SRECS及其子系统可 以回复到“新”状况或尽量接近该状况。
ClEC 62061,定义 3237]
注:验证#1试是为了璐认SRECS处在指定的安全完整性条件下•
3J0
保护措施 PrOteCtiVe measure
用于达到风险减小的措施噂
——通过设计者实现:本质安全设计、安全防护和附加保护措施■使用信息.
——通过用户实现:组税(安全工作程序、监督、工作许可制度)、附加安全防护装置的提供和使用; 个人防护装置的使用十培训,
ClSO 13849-1,定义 34.27]
3,11
合理的可預见的误用 reasonably foreseeable misuse
不是按设计者预定的方法而是按照容易预见的人的习惯来使用机器5
[ISO 13849-1,定义 3.1.19]
3J2
安全功能 Safety function
其失效会立即造成风险増加的机器功能.
LlEC 62061,定义 3215 及 GB/T 15706—2012,定义 3.28]
注:这里的定义与IEC 61508-4和IS。13849-1中给出的不同.
3J3
安全功能要求规范 Safety functions requirements specification
一种技术规定,包括安全相关系统必须要执行的安全功能要求∙
ClEC 61503-41定义 3.5.9]
3J4
安全完整性 Safety integrity
在所有规定情况下tSRECS或其子系统执行所要求的安全相关控制功能的概率,
[IEC 62061»定义 3219]
注IJ安全完整性等级越高则项目执行所需安全相关控制功能失败的概率就越低.
注釦 安全完整性包括建件安全完整性和系统安全完整性(见IEC 6≡Q61中12,20及IEC 62061中3222).
3J5
蒙全完整性等级 Safety integrity IeVeI (SIL)
一种离散的等级(三种可能的等级之一),用于规定分配给SRECS安全相关控制功能的安全完整 性要求,在这里,安全完整性等级3是最高的,安全完整性等級1是最低的.
CIEC 62061,定义 32 23]
注,本标推不考虚安全完整性等级4,因为该等级与降低机械相关风险的要求无关.安全完整性等级4的相关要 求参考 IEC 615C8-1 和 JEC 61508-2.
3J6
安全相关的控剧功能 Safety-related ContrOI function;SRCF
由具有规定的完整性等级的SRECS执行的控制功能,预期用于保持及其的安全状况或防止风险 立即增加“
[IEC 6206If定义 3216]
3J7
安全相关电气控制系统 Safety-related electrical COntrOI SyStenI;SRECS
其失效可能导致风险立即增加的机械电气控制系统,
[IEC 6206It定义 32妇
3J8
安全要求规范 Safety requirmeπts SPeCifiCation
一种技术规定,包括安全相关系统必须要执行安全功能的所有要求.
注:规范分为安全功能要求规范和安全完整性等级要求规范•
[IEC 61508-4,定义 3.5.8]
3J9
安全特低电压 Safety extra-low-voltage (SELV)
由双重绝缘或其他更好绝缘方法保证的与危险电压绝缘的接地电路,无论在正常情况下或者单一 错误情况下电压都不允许超过GB/T 17045—2008中規定的过低电压.
[GB/T 17045—2008,定义 3.16]
3.20
安全失效分数 Safe failure fractioιI^SFF
不会导致危险失效的子系统整体失效率系数•
LIEC 6206】,定义 3242]
3.21
安全完整性等级要求限度(子系统)SIL ClaiIn Iilnit (for a SUbSySteliI)酒ILCL
可被称作SRECS子系统关于结构限制和系统安全完整性的最大SlLe
[IEC 6206Il定义 3∙2.24]
3∙22
子系统 SabSySteln
SRECS高层结构设计的实体,其中任何于系统的失效将导致安全相关控制功能失效。
注It完整的子系统可能由许多可识别的及单独的子系统单元枸成,一起分配到子系统执行功能块的作用.
注%该定义局限于IEC 61508-4的一般定义、按照设计相互作用的一组元素,可能包括相互作用的硬件、软件和 人,系统中的某一元素可以自成另外的系统,成为子系统,
注31这里的定义与通常表述的子系统(实体的任何细分部分)不同,本标准中使用的术语"子系统*具有强烈的术 语定义层次结构L子系统**是系统子部分的第一层次.从子系统中进一歩划分出来的子部分为“子系统单 元L
CIEC 62061,定义 3.2.5]
3.23
验证 validation
通过检査(如测试,分析)确认特定应用程序的功能安全要求得到满足,
[IEC 62061J定义 3.2.52,修订]
4J IEC 62061 的要求
IEC 62061要求每一个SRECS设计工程都应制定一个功能安全计划,形成文档,并在需要的时候 进行升级。计划应包括IEC 62061的第5章到第9章中指定的活动控制程序日
本标准加上IEC 62061中规定的功能安全管理要求都已经实施,应注意尤其是适用于与安全相关 的通信系统的项目•
特别适用于安全相关通信系统的相关活动主要包括,
a) 选择管理
——见6,2]
b) 安装管理
——见7Λt
C)配置和参数管理
——见7,2$
d>验证管理
—见第8章事
e)操作,维护和定期检査管理
——见第9章,
0修改管理
— 见IEC 62061的第9章.
图1给出了满足安全要求规范中要求的安全功能和安全完整性的SREcS的选择,设计和制造 过程.
住』安全要求JftIECSRS)的细节参考IEC 62061的5.2.
机春的危险分析和风险评估:
一危险识别,
一危险分析和
一伤害的等级和頻度识别
IEC 62061
第6章计划需求第7章
系统的安装
第
10
章
这 些 指 南 只 与 通 信 系 统 相 关
安全妄求規范,包括,
安全功饅,目标安全完整性等级, 維护規苑和响应时间等的插述
保护措Ifc的设计,
-目标安全完整性等級的设计, 一安全要求規范的准备
安全功能及架构I 通值系统最初的选择
通信系统及其架构的选择
分析8
一独立的组件,
一组件配量使用的架构
性能要求(包括配■和參败 败据),安装要求,调试要 求等
验证是否遵守了与危害,设计, 安装,测试,雉护过程,设计 改变控制和紧急状况计划有关 的文档
见IEC 62061的第9章
二否
注,参考本标准的参考文献,除非另有说明•
图1 SRECS的设计开发流程
6安全相关通信系统的规划
6.1系统设计
6.1.1分配到SRCF(S)和安全相关通信系统的安全完整性等级(SlL)
本标准假设SRECS安全要求规范已按照IEC 62061完成,同时安全相关的通信系统中的每一个安 全功能的安全完整性等级都已经确定。
安全相关通信系统的安全完整性等级限制应能满足安全相关控制功能的安全完整性等级要求。
注]附录A提供了基于功能模块概念的使用了安全相关通信系统的SRECS设计的概述.
6.1.2安全相关通信系统的配置和参敷
该部分技术内容在考虑中。
6.1.3响应时间和保护措施
包含安全相关通信系统的SREcS从输入到输出的最坏响应时间应该足够短,并能保证特定应用 的所有安全功能可以在SRS要求的时间内完成.在最坏响应时间内无法完成独立的安全功能(例如, 机械限制造成)的情况下,应采取其他措施(例如,附加的保护措施,选择能够提高可变响应时间的安全 相关通信系统)来满足SRS的相关要求。
图2给出了应考虑的可变系统响应时间的组成部分,他们应该考虑远程安全相关输入和远程安全 相关输出控制通信。
安全相关通信系统的响应时间定义为:
通信系统响应时间= TbUSI+ Tbus2;
值得注意的是TbUSI和Tbus2不独立于总线周期或一则消息时间,它们还包含重复,错误处理和 同步延时等,处理细节参考安全相关通信系统规范。
注*由于SRCF中的非同步过程也可能出现其他延时,在计算最差响应时间的时候应予以考虑.
同样需要注意的是TbUSI与Tbus2没有直接关联。这两个参数的值可以相等也可以不同,它们依 赖于上行或下行设备,以及影响响应时间的通信设置。
符合响应时间的要求是必要的。它应该被检査。在设计中应该考虑一个足够的差额以便允许指定 响应时间内的可预见的变化,主要包括可预见的修改造成的变化。
6.1.4故障检测和报警指示
SRECS的错误信息应能够通过通信系统进行传输。建议进行集中故障监测,以便在更短的时间内 排除故障。
故障的集中监测:
——任何与故障相关的信息都要发送到主站;
——主站要处理这些信息;
——故障信息要以易于定位和分析的方式表达。
也可以采用其他形式的故障监测(例如,分布式)。
报警指示要比其他指示拥有更高的优先级,并应在设计中注重人体工程学原理。报警指示应不影 响安全功能的执行。
6.1.5 SRECS失效情况下的功能安全保证
包含安全相关通信系统的SREcS应考虑出现故障的情况。处理这类错误的策略应在设计阶段 考虑.
SRECS中安全相关通信系统的选择与集成应考虑以下步骤:
——应用范围应包括可预见的错误;
——故障,和
——在机器按要求操作条件下可预见的人为错误。
故障实例如下:
—各种开关和传感器的错误输入;
—各种开关和传感器的错误输入;
——网络输出错误情况下的驱动器操作,
——网络失效情况下节点的输入输出J
——主站故障情况下的输入输出,等.
在这些通信故障条件下,与SRS相关的SRECS的行为应该在早先阶段进行评估,同时系统应设计 有应对这些故障的策略(故障响应功能)。
6.2安全相关通信系统的选择标准
6.2.1架构与应用领域
为特定应用选择合适的安全相关通信系统,因为不同的安全相关通信系统拥有不同的数据传输 能力。
选择安全相关通信系统时,应至少考虑以下:
——最大响应时间;
——实现安全相关控制功能所需要的节点数量,和
——应用领域;
—传输速度;
—传输距离:
—一供将来使用的备用节点。
注:上述因素没有按照优先级顺序罗列.
6.2.2最大响应时间
在任何情况下,设计中都不能超过SRCF要求的响应时间(例如,包括传输错误和电磁干扰对安全 相关通信系统的影响)。安全相关通信系统的最大响应时间与系统设计和应用特点相关。
注:安全相关通信系统的最大响应时间等同于IEC 61784-3中给出的现场总线安全响应时间.
影响最大响应时间的因素主要包括(不限于)以下因素:
——安全输入设备的延时(包含输入延时).
——安全通信的时间延时;
——安全控制的处理时间;
——安全输岀设备的延时3
——通信系统在故障情况下的行为。
另外,以下因素也应予以考虑:
—网络上连接的节点数量8
——主机控制器的逻辑处理时间J
——从站控制器的处理时间(开/关时间,等)3
——网络设置,例如重试次数;
—中继器延时(如果适用的话),
——非同步/同步通信,
——设备的响应时间。
为确保选择能够满足SRS要求的最大响应时间的安全相关通信系统,最大响应时间应在安装前按 照安全相关通信系统的说明书进行计算。
系统(包括网络或节点)的任何修改都要重新对系统响应时间的影响做评估。
6.2.3传输距离,传输速度和节点个数
传输距离和传输速度应按照供应商提供的系统使用的线缆的型号和长度的说明进行设置。依据系 统节点数检査特定安全相关通信系统最大响应时间的变化。需要考虑满足安全相关控制功能的节点数 的前提下,设计合适的响应时间。
在提供多种传输速度的安全相关通信系统中,最大传输距离取决于设定的传输速度。要注意的是 高传输速度对应较短的传输距离。
安全相关通信系统的选择应考虑环境条件影响,如,环境温度,振动,冲击和电磁干扰。为了避免发 生故障(如输出信号的衰退),对布线的抗干扰的一般原则为:分离通信电缆和电力电缆(见IEC 60204-I)O
对于环境需求,要考虑制造商提供的要求。
注 1 :见 IEC 60204-1,IEC 62061 和 IEC 61131-2.
注2:由于安全总统系统相关性能表现的多样性,设计者在设计中宜参考制造手册和环境条件以确保足够的安全 性能等级。
应对相关通信系统的安全管理设置进行检査,如多级密码。这些安全设置的管理应该有明确的 要求。
安全设置应按照制造商提供的安全相关通信系统的使用方法操作。
首先,系统的安装中要确保子系统以及子系统单元适用于安全相关通信系统。
注:见 IEC 62061 的 6.12.
选择线缆时应遵循以下几点:
——只有制造商建议的或者设计使用规定的线缆可以被使用;
——如果通信系统中包含安全相关和非安全相关的设备,则选用安全相关设备要求使用的电缆;
——使用的电缆类型应兼容该传输速度。安全相关通信系统需根据传输速度的不同要求使用不同 类型的电缆;
——使用的电缆类型应兼容该传输距离。安全相关通信系统需根据最大传输距离或者节点间距离 的不同要求使用不同类型的电缆;
——应检査不同电缆对应的不同传输数据错误率。
7.1.2.2 布线
布线时应遵循以下各点:
——电缆长度应该有足够的余量,以避免连接端子或/和连接器间的电缆无法承受拉力3
——检査布线屏蔽是否连接。在很多情况下,为降低外部干扰应采用屏蔽端接,处理过程需遵循指 导手册J
——布线不允许超过线缆制造商所允许的弧度。尤其是光纤应特别注意,因为当电缆超过了允许 的弧度就有可能导致通信失效;
——光纤的端头应按照线缆制造商的指导手册使用专用的工具进行;
——如果需要同时安装通信线缆,电力线缆以及交流I/O电缆,应使用独立的布线线路。各布线 之间的距离应遵循安全相关通信系统供应商的要求。这些处理是必要的降低外部干扰的 手段3
——每个设备应检査它对分支和多头电缆接线的兼容性3
——如果安全相关通信系统需要端接处理,那么端接处理应遵循供应商指导手册的要求。
7.1.2.3布线距离
以下各项应予以验证:
——节点之间的电缆长度和/或电缆的总长度要符合安全相关通信系统提供商提供的规范;
—一任何两节点间的电缆应小于规定所允许的最大连接长度。应该在布线工作完成以后对电缆长 度进行检査;
——电缆长度应该按照相应型号线缆的使用规范进行检査。
7.1.3电源的选择
供电单元应由安全相关通信系统供应商指定•在为安全相关通信系统选择供电单元时应考虑到电 压抖动的影响:
—一应检査I/O电源是否需要跟安全相关通信系统分开3
——在适用的情况下应遵循SELV或SELV的电源选择要求,包括永久或暂时连接到诊断和监测 •设备上的电源。
7.1.4环境条件
确保安装的环境条件符合规范值。如果有任何超过规范的情况,应在系统运行之前采取相应的应 对措施。
下列各项需要检査:
——如果温度或湿度超过了规范的限定值,应増加加热器或风扇等设备确保它们在规定值的范 围内;
——如果振动和冲击超过了网络部件的限定值,使用减震器等将它们降低至限定值范围内;
——如果设备安装在有灰尘的环境中,封闭式的控制面板外壳等保护措施应被采用;
注:如果加热器,风扇,减震器,防尘机箱等在实现安全完整性等级设计过程中是必须的,那么它应该被考虑成为符 合要求的SRCF的一部分.
——如果适用,应采取电磁干扰防护措施,并通过检査确认电磁环境符合安全相关通信系统的限制 要求。
7.2设置
7.2.1系统设置
配置数据的设置和修改必须由负责系统的并具有足够培训和经验的人员操作。
系统配置可使用硬件和/或软件进行。需遵循安全相关通信系统制造商的操作手册操作。在安全 相关通信系统中,大部分的设置都是使用特定工具进行的。应特别注意配置数据的管理工作。为了防 止非授权人员对系统设置进行修改,系统配置的修改要通过密码进行保护。
责任人员应至少控制以下几项:
——密码;
—最新的配置数据。
使用特定的工具时,使用的数据(准备参数集)与安全相关的参数信息,如,识别参数设置的操作信 息,设置时间以及其他相关信息应被记录。
7.2.2操作设置
在供电之前,应确保以下各项已经为安全相关通信进行了设置。
—操作模式:
通过参考制造商的指导规范对模式进行修改。
——传输速度。
—节点数量。
有两种设置方法:使用安全相关通信系统的内置开关,使用特定的设置工具。每种方法都要在遵循 制造商提供的指导规范的前提下使用。
—有两种系统配置设置方法:硬件设置和软件设置。操作前,需事先査阅制造商提供的操作指导 规范手册并确保对功能模块的配置方法充分理解。
——存储在机器中的设置数据应对照制造商提供的操作指导规范手册对比验证。
—配置改变以后应进行功能测试。
这些是安全系统管理员的职责。
确保系统修改期间的设置改变一定不会引起危险。
8验证
8.1供电前的必要检査
以下各项为供电前需要进行的检査:
—应该使用适当的检测设备,检査安全相关通信系统的布线,例如,极性错误,短路以及由于使用 测试设备引发的接地故障;
——检査所有设备的接地线是否良好,
—一在给安全相关通信系统供电前应检査负载(机器驱动器)跟电源是独立的。
注:见IEC 62061的第9章.
8.2供电后的验证
以下是供电后应该检査的基本项,
——如果可能,应该监测安全相关通信系统的信号波形,以验证信号的干扰足够低;
—检査所有供电电压是否在允许的范围内3
——当通信系统的电源与控制系统的电源是独立的,上面提到的检査应该在两套电源上均分别 进行;
——参照指导手册检査各项指标以验证每个系统部件都可以供电启动。在该阶段,由于参数已经 完成设置,不需要其他额外的检査工作。
注:见IEC 62061的第9章.
8.3功能测试
在系统调试阶段,任何时候进行修改,都要对每个安全功能进行测试以验证它符合安全要求规范的 要求。
通信系统的行为应该在以下情况下按照安全要求规范进行检査:
——供电中断和恢复,
——布线中断;
——输入/输出故障;
——从站的替换3
——响应时间。
注,见IEC 62061的第9章.
验证过程中,设置参数、测试结果、版本信息以及其他相关信息都应该以基线的形式记录。当安全 相关通信系统修改时基线也应该进行升级。
注:见IEC 62061的第9章.
9文档
文档应该:
——准确,简明3
——使用人员容易理解;
——适用于文档的应用目的;
——可得到,可维护。
作为SRECS子系统的安全相关通信系统验证使用的文档应包括:
a9b)c)d)QDg)hD
安全要求规范,
系统规范(包括:系统配置,应用标准等);
系统管理计划;
硬件规范3
软件规范:
布线图;
硬件故障率和导致危险的硬件故障率估计;
测试计划和测试报告;
安装和操作指南;
j)基线。
如果安全相关设备、功能模块或软件工具在安全相关通信系统的使用符合IEC 61508的认证,那么
11
文档应包括认证信息。这点同样适用于系统的应用软件。配置工具的相关信息也应包含在文档中。
10.1责任人的任命
必须明确责任人负责的安全相关通信系统的维护工作。责任人需要负责安全相关通信系统的操 作、维护和维修。
安全相关通信系统的维护需要按照维护计划进行。维护计划应包含需要远程进行的安全相关通信 系统功能维护操作(如:定期检査和测试)。维护程序需要被记录。
用于维护工作或故障分析的测试程序应提前得到验证。
应注意系统修改计划和维护计划应该是独立的,因为它们的目标完全不同。
只要安全相关通信系统工作,周期性维护工作就应该执行。系统应该定期维护,以确保在系统工作 期间内保持安全要求规范规定的安全完整性级别。本章给出需要维护的一般项目。周期性维护工作应 该在不大于安全要求规范、维护计划或制造商提供的操作手册所给定的验证测试间隔时间内进行.
安全要求规范或制造商提供的指导规范中的所有验证测试项目都应可执行。在不替换设备的情况 下将安全相关通信系统重置以实现“设备更新”是不可能实现的,设计验证测试的间隔要特别注意考虑 安全相关通信系统中使用的设备的设计寿命大于20年。
在PFHD高度独立于验证测试的地方(如:测试没有被诊断系统发现的故障),验证测试间隔应在 安全相关通信系统预期使用范围内表现为现实可行的。
例如,一个小于10年的验证测试间隔对于很多机械应用都是不合理的,一般20年的验证测试间隔 比较合理。必须承认一些子系统或者子系统单元(如具有高占空比的机电元件)在验证测试间隔内需要 替换。
维护程序的结果需要被记录和保存。记录和保存应定义在维护计划中,任何基线的改动都应该被 记录.
11.1概要
应该对责任人员进行教育和培训,以确保胜任安全相关通信系统的安全操作的维护工作。需要进 行的培训项目在下面的子章节给出。
11.2范围
任何涉及安全相关通信系统操作的人员都应该加强安全教育和培训,如:操作人员,维护人员,程序 安装人员,以及他们的领导和管理员.
11.3继续教育和培训
应对所有涉及安全相关通信系统操作的人员进行周期性教育和培训。
适当的教育和培训应该被提供:
——当一个人被任命时J
——当一个安全相关通信系统被修改,和
——在由于事故导致系统要进行重启之前。
以下项目应包含在教育和培训课程中:
——与安全工作人员相关的规范和标准;
——保护措施的原则;
——安全相关设备及其功能;
——每个设备的操作流程S
——安全工作流程(正常操作的);
——紧急情况下的操作流程。
教育工作应该按照教育计划进行,同时记录应该在定义阶段被保存。
附录A (资料性附录) 使用安全相关通信系统的SRECS的设计 功能块的概念
安全相关通信系统只是一个具有SRECS的子系统。依据标准IEC 61508和IEC 62061,SRECS通 常包含图A.1中给出的部件。为替代常规布线使用了安全相关通信系统。SlLCL通常在安全相关通 信系统供应商提供的文档中指明。
安全相关控制功能
安全相关通信 安全相关通信
系统 系统
图A∙1 SRECS的组件
安全相关通信系统只是执行安全相关电气控制系统特定的部分安全功能。因此,还需要配合安装 传感器(如,防护门开关),执行器(如,接触器)以及必要的应用软件等。
安全相关通信系统的主要安全功能是在特定时间内特定完整性要求下,将安全相关数据从输入端 传输到输出端或执行相反过程。在这个实例中,安全相关通信系统中引入了简化的逻辑处理器示例。 这个设备可以是带有SRECS的单独设备或者安全输入输出设备的一部分。这取决于安全相关通信系 统的架构。
SRCF ------------------------
图A.2使用安全相关通信系统的SRECS
注:功能模块的实现通常需要详细的安全要求规范.同样,安全要求規范对子系统的功能模块的执行是必要的. 这些規范由安全相关通信系统提供商编写但是不包括这些指导范围.通常安全相关通信系统提供商会定义 能够通过修正安全相关通信系统和所使用设备的配置参数而达到最大SlLCL.
安全传输功能模块确保安全相关数据从源节点到下游节点(如从发送器到接收器)的安全传输:它 可以分为两个附加功能模块:
——主安全传输功能模块;
—一从安全传输功能模块。
注:根据IEC 62061,一个功能模块只由单独的子系统(如,设备)执行.每个功能模块会在安全功能架构范围内分 配给一个子系统.许多功能模块可能分配给同一个子系统.每一个功能模块只能由一个单独的子系统执行.
通信系统通常使用主从设备。在一些系统中,这些设备被称为服务器端和客户端。同样,多主站通 信系统通常有一个安全相关消息发送单元和一个或多个安全相关消息接收单元。在本指南中假设使用 单主设备(服务器端)和多从设备(客户端)。
在此前提下,安全相关通信系统建立在以下两个子系统(设备)之上:
——安全相关从设备(如,输入,输出,输入和输出);
——安全相关主设备(如,安全相关控制器)。
虚逻
皆视
图
实视 图架 构
安全从站
安全主站
安全从站
功能模块: 一读安全败据 一安全传输从站
功能模块,
-逻辑处理
一安全传输主站
功能模块:
一与安全败据
一安全传•从站
SCLS :从站安全通信层
SCLM:主站安全通信层
每个子系统(设备)执行一个或多个功能模块。如图A.3所示,子系统安全相关外部设备和SCLS 都在一个安全相关从设备上执行。两个子系统可以是单独的设备(例如执行SCLS服务的芯片组和安 全输入设备)。
在安全相关通信系统中,传感器和执行器被安置到相应的输入输出设备中。这些设备可能本地或 者远程的连接到逻辑处理单元。典型的安全相关通信系统包含以下实例。
远程输入远程输出
远程输入本炮♦出
本地输入远程输出
远程输入远程輸出
远程輸入本地輸出
本地輸入远程輸出
图A.4典型安全相关通信系统的架构实例
A∙3 SRECS中PFHD的计算
SRECS中PFHD计算时需要考虑的到数值,通常由安全相关通信系统提供商为每个安全相关设 备提供。在大多数情况下,SRECS中PFHD为安全链(传感器一安全相关通信系统一逻辑处理器一执 行器)中每个设备的PFHD之和。
传感器部分的PFHD取决于设备的架构和参数(单/多传感器,有/没有测试脉冲,……)β这需要 在安全相关设备或通信系统提供商提供的使用手册中说明。
传感器和执行器与安全相关通信系统的连接是影响实现SRCF规定安全完整性等级的重要因素。 一定要着重考虑提供商提供的使用手册中的信息。
参考文献
[1] GB/T 157O6~2O12机械安全设计通则风险评估与风险减小
[2] GB/T 15969.2-2008可编程序控制器 第2部分:设备要求和测试
[3] GB/T 16855.1-2008机械安全控制系统有关安全部件第1部分:设计通则
[4] GB/T 17045—2008 电击防护装置和设备的通用部分(IEC 61140s2001, IDT)
[5] GB/T 24339.1-2009轨道交通 通信、信号和处理系统 第1部分:封闭式传输系统中的 安全相关通信
[6] GB/T 25105.3-2014工业通信网络现场总线规范类型10: PROFlNET IO规范第 3部分:PROFINET IO通信行规
[7] GB/T 26336-2010工业通信网络 工业环境中的通信网络安装
800CM“∞IΓ>Z9 SlyQ:M≥L Ozl 寸006 寸CnH≥0
中华人民共和国
国家标准
机械电气安全 安全相关设备中的
通值系统使用指南
GB/T 34934—2017/1EC/TS 62513,2008
中国标准出版社出版发行 北京市朝阳区和平里西街甲2号(100029) 北京市西城区三里河北街16号(100045)
总编室:(010)68533533 发行中心:(010)51780238 读者服务部s(010)68523946
中国标准出版社秦皇岛印刷厂印刷 各地新华书店经销
#
开本880X1230 1/16 印张1.5 字数38千字 2017年11月第一版2017年11月第一次印刷
•
书号:155066 • 1-57887 定价 24.00 元