GB 28526-2012 机械电气安全.安全相关电气、电子和可编程电子控制系统的功能安全.pdf

1、ICS 29.020 K 09 G国中华人民主K/、不H国国家才示2住GB 28526-20 12/IEC 62061 : 2005 机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全Electrical safety of machinery-Functional safety of safety-related electrical , electronic and programmable electronic control systems (IEC 62061: 2005 , Safety of machinery-Functional safety of safety-r

2、elated electrical , electronic and programmable electronic control systems , IDT) 2012-06-29发布2013-05-01实施.移柿伪码富，m.-It;.-怀吼:飞-,-0:(1豆员必川悦耳中华人民共和国同家质量监督检验检疫总局中国国家标准化管理委员会发布中华人民共和国国家标准机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全GB 28526-2012/IEC 62061: 2005 9唔中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100013)北京市西城区三里河北街16号(100045)

3、网址总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销长开本880X12301/16 印张5字数145千字2012年12月第一版2012年12月第一次印刷9峰书号:155066 1-45582 定价66.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107GB 28526-2012/IEC 62061: 2005 目次前言.v 引言.凹1 范围-2 规范性引用文件3 术语和定义、缩略语33.1 按字母顺序排列的定义表.3.2 术语和定义43.3 缩写114

4、 功能安全管理124. 1 目的四4.2 要求125 安全相关控制功能规范要求(SRCF)135.1 目的135.2 SRCF要求规范6 安全相关电气控制系统设计与整合(SRECS) 14 6. 1 目的146. 2 一般要求6. 3 检测SRECS故障时的行为(SRECS的)要求156.4 SRECS系统安全完整性要求166. 5 安全相关电气控制系统选择176. 6 安全相关电气控制系统(SRECS)设计和开发 17 6. 7 子系统实现216.8 实现诊断功能326.9 SRECS硬件实现6. 10 软件安全要求规范336.11 软件设计和开发346.四安全相关电气控制系统集成和测试39

5、6.13 SRECS安装407 SRECS使用信息407.1 目的407.2 安装、使用与维护文件408 安全相关电气控制系统确认u8.1 目的418. 2 一般要求418.3 SRECS系统安全完整性确认uGB 28526-2012/IEC 62061: 2005 9 修改429. 1 目的429.2 修改程序429. 3 配置管理程序GM 文件附录A(资料性附录)SIL分配46附录B(资料性附录)安全相关电气控制系统(SRECS)设计示例使用条款5，6的概念和要求. 52 附录C(资料性附录)嵌入式软件设计和开发指南. 附录D(资料性附录)电气/电子部件的失效模式63附录E(资料性附录)按

6、照GB/T17799. 2-2003用于工业环境的SRECS电磁现象(EM)和提高的抗扰度水平67附录F(资料性附录)共同原因失效(CCF)敏感度评估方法69HUQunuqJA哇。oodQdnunhut1i?undndqJA吐EdEdnb-v119oiuqL】qf】qu9qJA丛ZA哇口UEUEUEUCUEDEDEUEd构士口qLFJF 系素体口一兀j 统U构JU系uuuuuuuuuu压士口、c、，QLFJFU呼曰系叫山)的UUHUuuuu的体UU框关地IRU扫口zr泪呗忖期航阻关MM宜川和以归iMM旧相捆兢程怡相制刑二叫自要什块流.例祖训我如据全程能作数示肺如阳刚有过安流功. 工参式.也咙块

7、发余示示一厅一矿的的形语明构闹到嵌拍到um模开冗表表表表程估程术兑结协m内叫一阳能和成辑辑辑辑过评过的技块MV(，一叶功计解逻逻逻逻配险配解例要能自统S阳回川设的设分ABCD分风分分示F功臼系统S川m始就瞅兢兢稍稍皿肝吼叫叫MW州虹口们可向肝皿盯子子功子子子子-1i11/-C飞11qLUA丛ARUb勺00123456789AAA且旦旦旦且且且B.图图图图图图图图图图图图图图图图图图图图表1IEC 62061和ISO13849-1建议应用市围(修订中)明表2本标准概述和目标E GB 28526-2012/IEC 62061: 2005 表3安全完整性等级:SRCF目标失效值14表4本例使用的子系

8、统1和子系统2的特性(见6.6.3.3注) n 表5子系统体系结构限制:使用本子系统的SRCF可能要求的最大SIL. 表6体系结构限制:分类相关的SILCL 26 表7危险失效概率表8SRECS的信息和文件u表A.1严重程度CSe)分类.48 表A.2暴露的频率CFr)和持续时间分级表A.3概率CPr)分类表A.4避免或限制伤害的概率(Av)等级50表A.5用于决定伤害概率级别的参数CCI)50表A.6日L分配短阵表D.1电气/电子部件失效模式率示例m表E.1SRECS的电磁现象但M)和提高的抗扰度67表E.2RF场试验选择频率68表E.3传导RF场选择频率68表F.1CCF评估准则表F.2C

9、CF因素(卢)评估70旧旧GB 28526-2012jIEC 62061:2005 前言本标准的5、6.4、6.6.3、6.10、6.12为强制性，其余为推荐性条款。本标准按照GBjT1. 1-2009给出的规则起草。本标准使用翻译法等同采用IEC62061: 2005(机械安全安全相关电气、电子和可编程电子控制系统安全功能。本标准作了下列编辑性修改:-一一标准名称改为机械电气安全安全相关电气、电子和可编程电子控制系统安全功能); 一一一删除国际标准前言。本标准由中国机械工业联合会提出。本标准由全国工业机械电气系统标准化技术委员会CSACjTC231)归口。本标准负责起草单位:国家机床质量监督

10、检验中心、中国科学院沈阳计算技术研究所有限公司。本标准参加起草单位:固高科技(深圳1)有限公司、北京凯恩帝数控技术有限责任公司、济南凌康数控技术有限公司、苏州市华测检测技术有限公司、浙江凯达机床集团有限公司。本标准主要起草人:黄祖广、尹震宇、赵钦志、杨京彦、黄麟、于东、龚小云、张承瑞、杨洪丽、朱平、何宇军、胡毅。V GB 28526-2012/IEC 62061:2005 sl 由于自动化的结果，要求增加生产、降低操作人员体力，机械安全相关电气控制系统(以下简称SRECS)在实现整个机械安全方面发挥日益重要的作用。此外，SRECS自身日益采用复杂的电子技术。在没有标准之前，人们不太情愿接受SR

11、ECS的安全相关功能来处理重大机器危险，因为这类技术的性能存在不确定性。本标准为机械设计师、控制系统制造商和集成厂商和规范涉及的其他人员、SRECS的设计和确认人员使用。它为达到所需的性能陈述方法和规定要求。本标准阐述了1EC61508框架内机器领域的具体应用。它主要为了完善在发生重大机器危险(见IS0 12100-1第3.8项)情况下执行安全相关电气控制系统的规范。本标准提供机器SRECS机械部分特有的功能安全框架。它只包括安全生命周期中从安全要求配置到安全确认过程之间的相关方面。各项要求提供了安全使用机器的SRECS的相关信息，它与SRECS寿命的后阶段有关。当SRECS用作安全评估的一部

12、分时，在很多情况下，可以达到降低机器风险的目的。典型的案例是联锁防护装置的使用，当它被打开，意味着危险区域被访问时，使主动向电气控制系统发出信号，停止危险的机器操作。同样，在自动化操作中，通常用来实现机器加工正确操作的电气控制系统，经常可以通过减少控制系统失效直接造成的危险，以达到安全。本标准提供下列方法和要求:指定由SRECS执行的各个安全相关控制功能要求的安全完整性等级;使SRECS设计适合指定的安全相关控制功能;设计的集成安全相关子系统符合IS013849; 确认SRECS。本标准预期用于IS012100-1描述的降低系统风险的框架范围内，并根据IS014121(EN 1050)描述的原

13、则，同风险评估一起使用。安全完整性等级(SIL)分配的建议性方法在资料性附录A中提供。考虑到电气控制系统内随机故障或系统故障的概率和结果，给出了协调SRECS性能和预期风险降低的措施。图1显示本标准与其他相关标准的关系。表1对应用本标准和IS013849-1的修订版提出建议。IEC 62061和IS013849-1 (修订中)规定机械安全相关控制系统设计和实施的要求。在标准范围内，使用其中任何一个，可以推定满足相关基本安全要求。表1总结IEC62061和IS013849-1 (修订中)的范围。注:ISO 13849-1当前正由ISOTC 199和CEN.TC 114制定中。飞f-GB 2852

14、6-2012/IEC 62061: 2005 图1IEC 62061与其他有关标准的关系VII GB 28526-2012/IEC 62061: 2005 表1IEC 62061和ISO13849-1建议应用范围(修订中)执行安全相关控制功能的技术ISO 13849-1(修订中)IEC 62061 A 非电气，例如液压X 未包括在内B 机电，例如继电器或非复杂电子限指定结构(见注1)并达到PL=e所有结构并达到SIL3C 复杂电子，例如可编程限指定结构(见注1)并达到PL=d所有结构并达到SIL3D A与B组合限指定结构(见注1)并达到PL=eX见注3E C与B组合限指定结构(见注1)并达到P

15、L=d所有结构并达到SIL3F C与A组合，或C与A和B组合X见注2X见注3X表示该项目由本列标题所示的标准处理。注1:指定结构在ENISO 13849-1(修订版)附录B规定，提供性能等级量化的简化方法。注2:对于复杂电子:按照ENISO 13849-1 (修订版)使用指定的结构，达到PL=d或按照IEC62061的任何结构。注3:对于非电气技术，按照ENISO 13849-1(修订版)规定的部件作为子系统。VIH GB 28526-20 12/IEC. 62061 : 2005 机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全1 范围本标准对机械安全相关电气电子和可编程电子控制

16、系统(SRECS)的设计、集成和确认，规定要求和给出建议(见注1和注2)。本标准适用于单独的或组合的方式来使用的控制系统，以使工作时非便携式的机器执行安全相关控制功能，包括以协调方式共同工作的一组机器，而不适用于于提工作机器。注1:在本标准里，电气控制系统这一术语表示电气、电子和可编程电子(E/E/PE)控制系统，SRECS表示安全相关电气、电子和可编程电子控制系统。注2:在本标准里，假设复杂可编程电子子系统或子系统元素的设计符合IEC61508有关要求。本标准提供使用方法，而不是这类子系统和子系统元素作为SRECS的部件的开发。本标准是应用标准，不限制或阻碍技术进步。它不包括需要或要求由其他

17、标准或法规为保护人身免遭危险的所有要求(例如防护、非电气联锁或非电气控制)。各类型的机器都有独特的要求需要满足，以提供充分的安全。4 本标准:一一仅涉及预期降低直接接近机器或直接使用机器而造成的人身伤害或健康危害的风险的功能安全要求;一一限于机器自身或以协调方式共同工作的机器组的危险直接引起的风险;注3:降低由其他危险引起的风险的要求在有关领域的标准中提供。例如，机器是加工活动的一部分时，机械电气控制系统功能安全要求应满足其他要求(如GB/T2110的，只要有关加工安全。一一没有规定机械非电气(例如液压、气动)控制元素性能要求;注4:虽然本标准要求特别针对电气控制系统，但规定的框架和方法可以适

18、用于使用其他技术的控制系统的安全相关部件。一一不包括电气控制设备自身引起的电气危险(例如电击，见GB5226. 1)。本标准特定条款的目标见表2。表2本标准概述和目标条款目标功能安全管理为达到SRECS功能安全要求，规定必要的管理和技术活动5 建立程序，规定安全有关控制功能的要求。这些要求以功能要求规范和安全完整安全相关控制功能规范要求性要求规范的术语表述为满足功能安全要求，规定SRECS的选择准则和/或设计和实现方法。包括:6 选择系统结构;安全相关电气控制系统的设计选择安全相关硬件和软件;与整合设计硬件和软件;验证设计的硬件和软件满足功能安全要求1 -GB 28526-2012/IEC 6

19、2061: 2005 表2(续)条款目标规定提供SRECS使用信息的要求，这些资料随机器提供。包括:7 SRECS使用信息提供用户手册和程序;提供维修手册和程序规定适用于SRECS的确认流程的要求。包括对SRECS的检查和测试，确保其达8 安全相关电气控制系统的确认到安全要求规范中所述的要求。当修改SRECS时，规定修改程序的要求，包括:9 安全相关电气控制系统的修改Ix川完n成R任C何S修进改行后任，何修改前，做适当计划和验证./ 满足SRECS安全要求规范已j户/ 规范性引用文件/ 下列文件对于本文f牛的应用是必不可少的o凡是注日期的引用文件，仅、注日期的版本适用于本文件。凡是不注日期的引

20、用文件，其最新版本(包括所有的修改单适用于本文件。GB 5226. 1-2008 机械电气安全棍械电气设备、第1、部分z通用技术条件(1EC60204-1: 2005 , IDT) GB/T 15706. 1-2007 .机械安全基本概念与设计通则第l部分:基本术语和方法(ISO 12100-1;2003 , IDT) GB/T 15706.2-2007 机械安全基本榄念与设计通则，第2部分:技术原则(1SO12100-2: 2003 , IDT) GB/T 16855.1-2008 抗械安全2006 , IDT) GB/T 16855. Zc-20Qi 机械安全IDT) 、兰二GB/T 16

21、856. 1-2QG 机报安全GB/T 16856.2-2008 机械安全 . 2007 ,IDT) 控制系统有关安全部伺控制系统有关安全部件第2部分:确认(1S(Y13849-2: 2003 , 风险评价第1部分:原风险评价第2部分:实施曹南和方法举例(lSO/TR14121-2: GB/T 17799. 2-2003 电磁兼容通用标准工业环境中的抗扰度试验(lEC61000-6-2: 1999 , IDT) GB 18209.1-2010 机械电气安全指示、标志和操作第1部分:关于视觉、昕觉和触觉信号的要求(lEC61310-1: 2007 , IDT) GB 18209.2-2010机械

22、电气安全指示、标志和操作第2部分:标志要求(IEC61310-2:2007 , IDT) GB 18209.3-2010 机械电气安全指示、标志和操作第3部分:操动器的位置和操作的要求(lEC 61310-3: 2007 , IDT) GB/T 20438. 2-2006 电气/电子/可编程电子安全相关系统的功能安全第2部分:电气/电子/可编程电子安全相关系统的要求(lEC61508-2:2000 , IDT) GB/T 20438. 4-2006 电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略i吾(lEC61508-4:1998 , IDT) 2 、-一-一GB 28526

23、-2012/IEC 62061:2005 GB/T 21109. 1-2007 过程工业领域安全仪表系统的功能安全第1部分:框架、定义、系统、硬件和软件要求(lEC61511一1: 2003 , lDT) IEC 61508-3 电气/电子/可编程电子安全相关系统功能安全第3部分:软件要求(Functional safety of electrical/ electronic/ programmable electronic safety-related systems-Part 3: Software re quirements) 3 术语和定义、缩略语3. 1 按字母JII页序排列的定义表

24、术i吾定义编号应用软件application softwar少二三/ 问.46 体系结构限制arch阳tst号1号:/ j立飞 体系结构architectuu(/ # 飞、35共同原因失效c吵onc6se failure 3.2.43 复杂部件comA臼叫pon由E3.2.8 控制功能cotrol fuction 3.2. l4, 危险失效dangerolJ S failure J , 、3.2.40 , 要求demand J / / / 、3.2.2导/ 诊断覆盖率diagnostic coverage . 、3、2、38、f 电气控制系统elettrical contrl Rystem 3

25、.2.3 嵌入式软件10m bedded software 、, / / 3.2.47 、, 失效failure J 3.2.3? 故障fault 飞3. 30 /户容错阳川斗30旷/二/全可变语言类型fud也rmbA诗句guage(FVL) J铲功能块funct川k、飞r二/一J卢/ 功能块元素f句un川n川l比C/ /f3/ .2.33 / 功能安全functional safety 3.2.9 硬件安全完整性hardware safety integrity 3.2.20 危险(来自机械的)hazard (from machinery) 3.2. 10 |危险状况hazardous si

26、tuation 3.2.11 高要求或连续模式high demand or continuous mode 3. 2. 27 有限可变语言类型limited variability language (L V L) 3.2.49 低复杂性部件low complexity component 3.2.7 低要求模式low demand mode 3.2.26 机械控制系统machine control system 3.2.2 3 GB 28526一2012jIEC62061: 2005 表(续)术语机械(机器)machinery (machine) 平均失效间隔时间Mean Time To F

27、ailure (MTTF) 每小时危险失效概率probability of dangerous failure per hour (PFHD) 验证试验proof test 防护措施protectlve measure 随机硬件失效random hardware failure 风险risk 安全失效safe fail ure 安全失效系数safe failure fraction 安全功能safety function 安全完整性safety integrity 安全完整性等级safety integrity level (SIL) 安全相关控制功能safety-related contro

28、l function (SRCF) 安全相关电气控制系统safety-related electric control system (SRECS) 安全相关软件safety-related software SIL要求限度SIL claim limit 软件安全完整性software safety integrity SRECS诊断功能SRECS diagnostic function SRECS故障反应功能SRECS fault reaction function 子系统subsystem 子系统元素subsystem element 系统失效systematic failure 系统安全

29、完整性systematic safety integrity 目标失效值target failure value 确认validation 验证verification 3.2 术语和定义下列术语和定义适用于本文件。3.2.1 机械machinery 机器machine 定义编号3.2.1 3.2.34 3.2.28 3. 2. 37 3. 2. 12 3.2.44 3.2.13 3.2.41 3.2.42 3.2.15 3.2.19 3.2.23 3.2.16 3.2.4 3.2.50 3.2.24 3.2.21 3.2.17 3.2.18 3.2.5 3.2.6 3.2.45 3.2.22

30、 3.2.29 3.2.52 3.2.51 由若干零、部件组合而成，其中至少有一个零件是可以运动的，并具有适当的机械操作执行机构、控制和动力电路等。它们的组合具有一定应用目的，如物料的加工、处理、搬运或包装等。机械这一术语也包括机器的组合，即将同一应用目的若干台机器安排、控制得如同一台完整机器那样发挥它们的功能。注1:在这用的组合这一术语在通常意义上不仅是电气部件的组合。注2:改写GB/T15706.1-2007，定义3.1。4 GB 28526-2012/IEC 62061:2005 3.2.2 机械控制系统machine control system 对来自于过程、其他机械元素、操作人员或

31、外部控制设备的输入作出响应，并且生成输出，使机械按照预定方式工作的系统。3. 2. 3 电气控制系统electrical control system 包括机械控制系统的所有电气、电子和可编程电子部件，用于提供操作控制、监控、联锁、通信、保护和安全相关控制功能。注:安全相关控制功能可以由执行非安全相关功能的机械控制系统的一个完整的或独立的部件执行。3.2.4 安全相关电气控制系统Safety-related electric control system SRECS 其失效可能导致风险立即增加的机械电气控制系统。注:SRECS包括由电源、电路和控制电路组成的全部电气控制系统，其失效可能导致功能

32、安全的降低或丧失。3.2.5 子系统subsystem SRECS高层结构设计的实体，其中任何子系统的失效将导致安全相关控制功能失效。注1:完整的子系统可能由许多可识别的及单独的子系统单元构成，一起分配到子系统执行功能块的作用。注2:该定义局限于GB/T20438. 4的一般定义:按照设计相互作用的一组元素，可能包括相互作用的硬件、软件和人。系统中的某一元素可以自成另外的系统，成为子系统。注3:在公开语言中，子系统可以指一个实体的任何细节部分。与此不同的是，本标准使用的术语子系统是术语学明确规定的层次范围内子系统是系统的第一级细分。由子系统进一步细分而产生的部分称为子系统元素。3.2.6 子系

33、统元素subsystem element 子系统的一部分，由单一元件或任何元件组构成。3.2.7 低复杂性元件low complexity component 该类元件:一一失效模式已很好确定;并且一一-故障情况下的行为能完全确定。注1:改写GB/T20438. 4-2006，定义3.4.4，注2:在故障条件下，低复杂性元件的行为可以通过分析和/或试验方法确定。注3:子系统或子系统元素包含一个或多个限位开关，可能通过插入其中的机电继电器操作，一个或多个触头切断电动机就是低复杂性元件的示例。3.2.8 复杂元件complex component 该类元件:一一失效模式没有很好确定;或故障情况下的

34、行为不能完全确定。3.2.9 功能安全functional safety 机械及机械控制系统的安全部分，取决于SRECS的正确功能、其他技术安全相关系统和外部风险降低设施。注1:改写GB/T20438.4-2006，定义3.1.9, 5 GB 28526一2012/IEC62061: 2005 注2:本标准只考虑机械应用中取决于SRECS正确功能的功能安全。注3:ISO/IEC指南51定义安全为免除不能接受的风险。3.2.10 危险(来自机器的)hazard 潜在的伤害身体或损害健康源。注1:改写GB/T15706.1-2007，定义3.60注2:危险这一术语可由其起源、或预计伤害的性质(如，

35、电击危险、挤压危险、切割危险、中毒危险、火灾危险)进行规定。3.2.11 危险状况hazardous situation 人注:陆寸VJ.JIJ. J_， v. J. !.Jvyy外J:.A.山J0 飞、 注:改写GB/1;1570(/.;I-2007，定义3.18。3.2.13 风险risk 伤害发生概率和伤害发生严重程度的统舍。GB/T 15706.1-2007，定义3.113，JJ 3.2.14 飞、 飞飞、 、控制功能control fu配ti6ll评估输入信息或信号并产生输出词、或功作的功能。3.2.15 、 / 安全功能safety function 其失效会立即造成风险增加的机器

36、功能。注:该定义不同于GB!;20438. 4和GB/T16855.1的定义。3.2.16、飞安全相关控制功能七号fety.;tedControl Function SRCF 二由具有规定的完整性等级的主iECS执行的控制功能，预期用于琛持机器的安全状况或防止风险立即增加。3.2.17 SRECS诊断功能SRECS diagnostic function 预期用于检测SRECS故障，并在检测出故障时产生特定输出信息或动作的功能。注:该功能预期用于检测可能导致SRCF危险失效并引发特定故障反应功能。3.2.18 SRECS故障反应功能SRECS fauIt reaction function 当

37、SRECS范围内的故障由SRECS诊断功能检测出时，引发该功能。3.2.19 安全完整性safety integrity 在所有规定情况下，SRECS或其子系统圆满执行所要求的安全相关控制功能的概率。注1:改写GB/T20438.4-2006，定义3.5.2。6 GB 28526-2012/IEC 62061: 2005 注2:项目的安全完整性等级越高，其未能执行所要求的安全相关控制功能的概率就越低。注3:安全完整性由硬件安全完整性(见3.2.20)和系统安全完整性(见3.2.22)组成。3.2.20 硬件安全完整性hardware safety integrity SRECS或其子系统安全完

38、整性的一部分，包含危险的随机硬件失效概率和结构限制两方面的要求。注:改写GB/T20438. 4-2006，定义3.5.5。3.2.21 软件安全完整性software safety integrity SRECS或其子系统的系统安全完整性部分，涉及软件在所有规定条件下，规定时间段内，在可编程电子系统中执行其安全相关控制功能的能力。/ 注2:软件安全完整性般不能精囊七。3.2.22 / /乞/ /- tegrity t全完整性的一部分，-2006，定义3.5.40注2:系统安全完整性通常不能精确量化。注3:系统安全完整性要求适用于SRECS或其子系统的硬件和钗件两方面。3.2.23 安全完整性

39、等级safety integrity levet SIL 一种离散的等级(三种可能的等级之-)，用苛规定分配给SRECS安全相关控制功能的安全完整性要求。在这里，安全完整性等级3是最高的，安全完整性等级I是最低的。注1，改写GBIT20438. 42006，定义3.5.6。本标准不丰厚SIL_4二通常不适合与机械相关联的风险降低要GB/t 2043&2 , 川、 3.2.25 气二要求demand 引起SRECS执行SRCF的事件。3.2.26 低要求模式low demand mode tem) 性的指操作模式，在该模式下，对SRECS提出操作要求的频率不大于每年一次或不大于两倍验证试验频率。

40、注:按照GB/T20438. 1和GB/T20438.2对于低要求操作模式设计的设备，在本标准中，不适合用做SRECS的一部分。低要求操作模式被认为与SRECS的机械应用无关。3.2.27 高要求或连续模式high demand or continuous mode 指操作模式，在该模式下，对SRECS提出操作要求频率大于每年一次，或大于两倍验证试验频率。注1:改写GB/T20438.4-2006，定义3.5.120注2:低要求操作模式被认为与SRECS的机械应用无关。所以，在本标准里，SRECS仅认为是工作在高要求或连-GB 28526-2012/IEC 62061: 2005 续模式。注3

41、:要求模式指为了使机器转换到规定状态，安全相关控制功能只根据请求(要求)执行。对安全相关控制功能提出要求前.SRECS不影响机械工作。注4:连续模式指安全相关控制功能永久(连续)执行。如SRECS连续控制机械和其功能会导致危险的(危险)失效。3.2.28 每小时危险失效概率probability of dangerous Failure per Hour PFHD I小时内危险失效平均概率。注:PFHo不应与要求失效概率CPFD)相混淆。3.2.29 目标失效值target failure value 预期要达到的PFHo，为满足规定的安全完整性要求。注1:改写GB/T20438.4-2006

42、.定义3.5.13。注2:目标失效值以每小时危险失效概率的术语定义。3.2.30 故障fault 指异常状态，该状态可能引起SRECS、子系统或子系统元素降低或丧失执行所要求功能的能力。注:改写GB/T20438.4-2006，定义3.6.103.2.31 容错fault tolerance 在出现故障或失效时，SRECS、子系统或子系统元素继续执行要求功能的能力。注:改写GB/T20438.4-2006.定义3.6.3。3.2.32 功能块function block SRCF最小的元素，其失效可以导致SRCF失效。注1:在本标准中.SRCFCF)可以被看作是功能块CFBl的逻辑与，如:F=

43、FBl与FB，与FBn注2:功能块这样定义与GB!T15969.3及其他标准所使用的不同。3.2.33 功能块元素function block element 功能块的一部分。3.2.34 平均失效间隔时间Mean Time To Failure MTTF 平均失效间隔时间期望。IEV 191-12-07，修改注:MTTF通常表示失效间隔时间的平均期望值。3.2.35 体系结构architecture SRECS中硬件和软件元素的具体配置。注:改写GB/T20438. 4-2006，定义3.3.5。3.2.36 8 体系结构限制architecture constraint 一套体系结构要求，用于限制可以乘坐子系统的SIL。注:体系结构限制的要求见6.7.60-GB 28526-2012/IEC 62061: 2005 3.2.37 验证试验proof test 在SRECS系统及其子系统中，该试验可以检测其故障和降级，如必要，以便SRECS及其子系