标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GBT 41257-2022 数字化车间功能安全要求.pdf位对数字化车值生产制造过程及相天设备开展危险与风险分析,分析内容应包适但不限于 数字化车间工艺单元的危险识别与风险评估,安全功能识别,以及识别条件等; 数学化车间单体设备(如机器人、切削机床、压缩机、容器等)的危险识别与风险评估,安全功能 识别,以及识别条件等; 数字化车间工艺单元之间、单体设备之间、工艺单元与单体设备之间或者单体设备与人之间由 于彼此关联或影响,可能引发的危险的识别与风险评估,安全功能识别,以及识别条件等
7数字化车间保护层评估
7.1数字化车间保护层
根据危险与风险分析的结果JTST 170-2-2012 港口建设项目安全预评价规范,提出数字化车间所需的保护层
主:数字化车间保护层的
危险与风险分析的结果,提出数字化车间所需的保护层。 致字化车间保护层的类型包括但不限于:安全相关系统、物理保护系统、车间应急响应等。
7.2制造过程和设备的保护层评估
基于E/E/PE技术的保护层功能,以及需要其提供的风险降低目标: 基于其他技术(如:液压、气动等)的保护层功能,以及需要其提供的风险降低目标; 其他风险降低措施的保护层功能,以及需要其提供的风险降低目标; 若存在多层保护,则各保护层之间的共用部分识别,并评估其所带来的风险降低损失; 若存在多层保护,则各保护层之间可能的共同原因或共同模式的失效,并评估其所带来的风险 降低损失; 基于E/E/PE技术的保护层运行模式,以及对应的目标失效量,相应的SIL要求
评估结果应包括但不限于: 基于E/E/PE技术的保护层安全功能描述; 保护层运行模式; 保护层目标失效量; 保护层独立性描述,以及为保持独立性所需的条件或约束的描述; 为确定保护层的风险降低目标所做的假设,以及其置信度描述
7.3控制层和执行层的保护层评估
7.3.1.3对控制层和执行层遭受外部信 未经授权的行为影响的保护 层的设计,应开展评估,以确定保护层功能及需要的保护等级。具体参考工控信息安全相关标准规范
评估结果应包括但不限于: 基于E/E/PE技术的保护层安全功能描述; 保护层运行模式; 保护层目标失效量; 保护层独立性描述,以及为保持独立性所需的条件或约束的描述 为确定保护层的风险降低且标所做的假设,以及其置信度描述
应对分配给安全相关系统的安全功能进行详细的定义,包括: 各安全功能的描述; 各安全功能的操作频率; 各安全功能要求的响应时间; 安全功能应启动或禁用的工况(例如运行模式); 可能同时启动,造成冲突行为的功能之间的优先权问题; 安全功能对其他过程功能或控制功能的接口; 对故障反应功能以及操作的各种限制(如机器重新启动或者继续运转)等的描述,以防初始错 误即导致机器停止运行; 操作环境描述(例如温度、湿度、灰尘、化学物质、机械振动和震动); 测试以及各种相关设施(例如测试设备、测试接人端口); 相关机电设备的操作循环周期、工作循环周期及/或应用类型; 断电、急停、失控、非受控工况的功能描述
应对安全相关系统的安全功能明确风险降低目标。对E/E/PE安全相关系统的安全功能,还应 其安全完整性等级
8.2.2安全完整性等级
.2.2.1每个E/E/PE安全相关系统的安全功能的安全完整性等级要求应来自风险评估和保护层评 古,以确保完成必要的风险降低。 注1:安全完整性等级要求离散的分为四级,SIL4为最高安全完整性等级,SIL1为最低安全完整性等级, 注2:安全完整性等级要求的目标失效量,按照运行模式的不同,分为要求时的失效概率和每小时的危险失效率 注3:不同的行业有不同的安全完整性等级要求。 .2.2.2低要求运行模式下,分配给E/E/PE安全相关系统的每个安全功能的安全完整性要求应按照
GB/T41257—2022
完整性等级:在低要求运行模式下安全功能的且
8.2.2.3高要求或连续运行模式下,分配给E/E/PE安全相关系统的每个安全功能的安全完整性要求
8.2.2.3高要求或连续运行模式下,分配给E/E/PE安全相关系统的每个安全功能的安全完整性要求 应按照安全功能的每小时危险失效平均频率(PFH)作为目标失效量见表2,提出风险降低要求。
安全完整性等级:在高要求或连续运行模式下安全
8.2.3安全完整性考虑的几个方面
数字化车间安全相关系统的选择或设计(包括:整体硬件、软件体系结构、传感器、执行元件、可编程 电子器件、嵌入式软件、应用软件等),均应符合以下要求: a)硬件安全完整性要求,包括: 硬件安全完整性体系结构限制; 一危险随机硬件故障概率要求。 b)系统安全完整性要求,包括: 故障避免要求; 失效控制要求。 注:软件安全完整性作为系统性安全完整性的一部分考虑,
安全相关系统应与非安全相关系统独立设置。独立的内容包括: 控制单元独立; 现场检测单元独立; 现场执行单元独立; 联接和配线独立。
施,或采取措施来保证非安全功能的任何行为不会影响到安全功能的完整性 8.3.2.2当安全相关系统实现不同安全完整性等级的安全功能时,除非能表明较低安全完整性等级的 安全功能对较高安全完整性等级的安全功能没有负面影响,否则共享或共用硬件和软件应符合最高安 全完整性等级。
8.4.1在能容许单一硬件故障的任何子系统中,检测到危险故障时(利用诊断测试、检验测试或任何其 他办法)应导致执行一个规定动作,以达到或保持安全状态;或隔离故障部分以使得在修复故障部分的 同时继续过程机器的安全运行。如果故障部分的修复不能在计算硬件随机失效概率中设定的MRT内 完成,则会产生一个规定的动作以达到或保持某个安全状态。 3.4.2在子系统没有容错能力的场合,当在子系统中检测到危险故障时(利用诊断测试、检验测试或任 可其他办法),则应导致一个规定动作,以达到或保持某种安全状态。如:导致机器的运行停止,且机器 的正常操作(如重新启动机器)将不能进行,直到该故障已经修复或校正。
3.5.1控制层应满足GB/T20438.1、GB/T20438.2、GB/T20438.3中关手E/E/PE安全相关系统及 其子系统的设计和集成的相关要求。 8.5.2应采取措施,实现对包括检测、控制、执行设备的安全相关信息的采集
3.5.1控制层应满足GB/T20438.1、GB/T20438.2、GB/T20438.3中关手E/E/PE安全相关系统及
控制层应满足GB/T20438.1、GB/T :20438.2、GB/T20438.3中关于E/E/PE安全相关系统 系统的设计和集成的相关要求 2应采取措施,实现对包括检测、控制、执行设备的安全相关信息的采集
9.1.1应在数字化车间的执行层中建立一个功能安全管理信息系统,作为数学化车间生产安全管理的 构成部分。 注:功能安全管理信息系统将功能安全管理流程从以人工干预为核心转变为以自动化、信息化处理为核心,并与执 行层其他功能模块进行必要信息交互,自动化执行或主动指导功能安全相关业务,提高企业安全等级 9.1.2功能安全管理信息系统应基于企业业务流程和功能安全管理规范,针对企业资产、人员、环境等 的安全需求构建
9.1.1应在数字化车间的执行层中建立一个功能安全管理信息系统,作为数字化车间生产安全管理的 构成部分。 注:功能安全管理信息系统将功能安全管理流程从以人工干预为核心转变为以自动化、信息化处理为核心,并与执 行层其他功能模块进行必要信息交互,自动化执行或主动指导功能安全相关业务,提高企业安全等级 9.1.2功能安全管理信息系统应基于企业业务流程和功能安全管理规范,针对企业资产、人员、环境等 的安全需求构建
9.2.1.1功能安全管理信息系统应能实时采集功能安全状态数据,提供功能安全监测和风险预警,提高
9.2.2危险与风险管理功能
对于不同的过程风险进行实时有效监控,并与预设的标准值进行比对,实现超限报警、反馈调节
9.2.3保护层管理功能
对数字化车间各类关键保护层进行实时 险的危险场景进行关联,建立过禾 程残余风险的实时动态变化情况。
9.2.4安全相关系统管理功能
9.2.4.1安全完整性状态监测子功能
安全完整性状态监测子巧
9.2.4.2检测和维护子功能
2.4.3变更管理子功能
跟踪并指导安全相关系统的变更活动;建立变更活动历史信息库,支持变更追溯;实现变更状态提 醒,其他功能模块相关信息应随变更同步更新,可视需要采用实时同步或定期同步的方式
知识类信息。过程设备失效数据库等 关系信息
知识类信息。过程设备失效数据库等 关系信息
[10. 1 一般要求
10.1.1应通过功能安全集成,形成功能安全信息物理系统。 10.1.2数字化车间的功能安全集成如图2所示,包括以下几方面: 人与安全相关系统互联时的人机接口: 安全相关系统与非安全相关系统互联时的现场设备通信接口: 功能安全管理信息系统与安全相关系统互联时的网络通信接口
.1应通过功能安全集成,形成功能安全信息物理系统, .2数字化车间的功能安全集成如图2所示,包括以下几方面: 人与安全相关系统互联时的人机接口; 安全相关系统与非安全相关系统互联时的现场设备通信接口; 功能安全管理信息系统与安全相关系统互联时的网络通信接口
[10.2. 1人员因素
图2数字化车间功能安全集成示意图
10.2.1.1 在考虑人员因素时,人机接口宜考虑以下几个方面: 可操作性; 可维护性; 可测试性。 10.2.1.2人机接口设计应遵循良好的人员操作惯例,并适合人员可接受的培训或认知水平 03择在和注问阳制
10.2.2操作和访问限制
10.2.2.1应单独设置操作接口和维护接口。 10.2.2.2 接口应具有锁定或关闭功能。如:正常运行过程中,应断开维护接口。 10.2.2.3应具有访问权限控制功能
10.2.2.1应单独设置操作接口和维护接口。
10.2.3 失效影响
接口的自身失效不应对安全相关系统执行安全功能产生不期望影响。
10.3现场设备通信接口要求
[10.3. 1安全性要求
10.3.1.1安全相关系统应能在不影响安全功能的情况下,与非安全相关系统进行通信。 10.3.1.2安全相关系统的安全通信接口,在逻辑上应独立于与非安全相关系统的通信接口。 10.3.1.3与安全相关系统连接的设备发生故障时,不应通过通信接口对安全相关系统产生不期望的 影响。
10.3.2安全性验证要求
应对现场设备通信接口和相关软件进行验证,包括: 一失效检测; 一数据确认
10.4网络通信接口要求
10.4.1 安全性要求
10.4.1.1功能安全管理信息系统应利用网络通信接口与安全相关系统进行通信。 0.4.1.2安全相关系统的网络通信接口和功能安全管理信息系统的网络通信接口应具有逻辑独立性。 0.4.1.3安全相关系统的设备或功能安全管理信息系统的网络通信接口发生故障,不应影响整个网络 正常通信。
10.4.2安全性验证要求
应对网络通信接口和相关软件进行验证,包括: 网络区域隔离; 网络报文的数据完整性
A.1进行危险与风险分析所需的信息
附 录 A (资料性) 数字化车间危险与风险分析方法和步骤
.1.1数字化车间的建设内容、设计图纸、平面布置、车间规划, A.1.2数字化车间的生产流程、生产工艺等,例如:加工、装配、标定、测试、检验等。 A.1.3指定的危险与风险分析的范围。 A.1.4危险与风险分析范围内的数字化车间的各独立功能区域,包括: 各独立功能区域内的数字化制造设备(如:数字化加工设备、数字化装配设备、数字化物流设 备、数字化检测设备、数字化辅助设备等)的功能、动作、操作以及使用限制,以确定正常使用和 合理可预见的误用; 各独立功能区域内的数字化制造设备(如:数字化加工设备、数字化装配设备、数字化物流设 备、数字化检测设备、数字化辅助设备等)的管理人员、操作人员、维护人员等相关人员; 各独立功能区域间的通信接口、通信内容、信息流向以及信息类型; 各独立功能区域的环境 A.1.5当前国内外数字化车间安全相关的法律、法规、标准以及其他相关文件
A.2数字化车间危险与风险分析的步骤
.2.1制定一套数字化车间危险与风险分析的规程。由数字化车间管理人员、工艺人员、操作人员、维 护人员组成的团队负责实施。必要时,可委托第三方实施, A.2.2数字化车间危险与风险分析的步骤.见图A.1
字化车间危险与风险分材
A.3数字化车间的危险识别
表A.1数字化车间中的典型危险
表A.1数字化车间中的典型危险(续)
4随着科学技术的发展、认知水平的提高以及实践经验的丰富,对数字化车间的危险识别能力、 要不断地完善和提高, 5危险识别的信息需数字化归档
A.4数字化车间的风险评估
A.5数字化车间的风险评定
B.1安全完整性等级 SII
附录B (资料性) 安全完整性等级(SIL)与性能等级(PL)之间的关系
安全完整性等级(SIL)与性能等级(PL)之间的关
安全完整性等级SIL是一种离散的等级(四种可能之 一),用于规定分配给E/E/PE风险降低措施 的安全完整性要求。SIL4 是最高的,SIL1 是最低的
在GB/T16855.1一2018中,性能等级PL为在可预期的条件下,用于规定SRP/CS执行风险降低 的离散等级。 对于所选的执行安全功能的每个SRP/CS和/或SRP/CS的组合,都应完成其PL的估计。可通过 计以下参数来确定SRP/CS的PL: 单个元件MTTF,的值; DC; CCF; 结构; 安全功能在故障条件下的表现; 安全相关软件; 系统性失效; 预期环境条件下RFJ 005-2011 人民防空医疗救护工程设计标准,执行安全功能的能力
在GB/T16855.1一2018中,性能等级PL为在可预期的条件下,用于规定SRP/CS执行风险降 散等级。 对于所选的执行安全功能的每个SRP/CS和/或SRP/CS的组合,都应完成其PL的估计。可通 以下参数来确定SRP/CS的PL: 一单个元件MTTE的值,
B3PL 和 SIL 之间的关
PL和SIL之间的关系,见表B.1
表 B.1 PL 和 SIL 之间的关系
GB/T 25102.12-2018 电声学 助听器 第12部分:电连接器系统的尺寸GB/T41257—2022