1、蒂森克虏伯扶梯公司ENCODE教材机械安全标准分类机械安全标准分类 A 类标准:类标准:(基础安全标准)(基础安全标准)适用于所有机械的基本概念、设计原则和一般特征适用于所有机械的基本概念、设计原则和一般特征 B 类标准类标准:(通用安全标准)(通用安全标准)涉及机械的一种安全特征或使用范围较宽的的一类安全防护装涉及机械的一种安全特征或使用范围较宽的的一类安全防护装置:置:B1类:类:特定的安全特征(如安全距离、表面温度、噪声等)特定的安全特征(如安全距离、表面温度、噪声等)标准标准 B2类:安全装置(双手操作器、连锁装置、防护装置)标准类:安全装置(双手操作器、连锁装置、防护装置)标准 C类
2、标准:类标准:(机器安全标准)(机器安全标准)对一种特定的机器或一组机器规定出详细的安全要求标准对一种特定的机器或一组机器规定出详细的安全要求标准 该标准属于该标准属于 B1 类标准类标准EN 13849-1 术语和定义术语和定义 1.控制系统有关安全部件控制系统有关安全部件 Safety-related part of a control system SRP/CS 控制系统中响应有关安全输入信号并产生安全输出信号的部件。(1:控制系统有关安全部件的组成:以有关安全信号被触发为起点,以控制元件的动力输出为终点 2:如果监测系统用于诊断,也可以认为他们是SRP/CS)2.类别类别 catego
3、ry Cat.SRP/CS在防止故障能力以及故障条件下后续行为方面的分类,它通过部件的结构布置、故障检测和部件的可靠性来达到。3.故障故障 Fault 产品不能执行所需功能的状态,预防性维修或其他计划性活动或缺乏外部资源的情况除外。EN 13849-1 术语和定义术语和定义 4.失效失效Failure 产品执行所要求的功能能力的终止。a:失效后产品就有故障 b:失效时事件,而故障是状态 c:该定义的概念不适用于仅有软件组成的产品 5.危险失效危险失效 dangerous failure 使SRP/SC处于潜在的危险状态或丧失功能状态的失效。*潜在是否成为事实取决于系统的通道机构,冗余系统中危险
4、硬件失效不太可能导致全面的危险状态或功能丧失状态。6.共因失效共因失效 common cause failure CCF 同一事件引起的不同产品的失效;这些失效相互之间没有因果关系。EN 13849-1 术语和定义术语和定义 7.系统失效系统失效 Systematic failure 原因确定的失效,只有对设计或制造过程、操作过程、文档或其他相关因素进行修改后才能排除这种失效。a:没有修正的矫正性维护通常不能消除失效原因。b:系统失效可以通过模拟失效原因引起 8.抑制抑制 muting SRP/CS安全功能暂时的自动暂停 9.手动复位手动复位 manual reset 重新启动机器前,SRP/
5、CS中用于手动恢一种或多种安全功能的功能。EN 13849-1 术语和定义术语和定义 10.伤害伤害 harm 对健康产生的生理上的损伤或危害。11.危险危险 hazard 潜在的伤害源 12.危险状态危险状态 hazardous situation 指人员暴露于具有至少一种危险的环境,这类暴露可能会立即或在一定时间之后对人员产生伤害 13.风险风险 risk 伤害发生概率和伤害发生的严重程度的综合 14.遗留风险遗留风险 residual risk 采取保护措施之后仍然存在的风险。EN 13849-1 术语和定义术语和定义 15.风险评价风险评价 Risk assessment 包括风险分析
6、和风险评定在内的全过程。16.风险分析风险分析 Risk analysis 机器限制的确定,危险的识别和风险的评估组合 17.风险评定风险评定 risk evaluation 以风险分析为基础,判断是否以达到减小风险的目标 18.机器的预定使用机器的预定使用 intended use of a machine 按照使用说明书提供的信息使用机器 19.可预见的误用可预见的误用 reasonably foreseeable mistuse 不是按设计者预定的方法而是按照容易预见的人的习惯来使用机器EN 13849-1 术语和定义术语和定义 20.安全功能安全功能 safety function 其
7、失效后会立即造成风险增加的机器功能 21.监测监测 monitoring 部件或元件执行其功能的能力下降或过程条件的改变使风险增加时,保证触发保护措施的安全功能。22.可编程电子系统可编程电子系统 Programmable electronic system PES 以基于一个或多个可编程电子装置的控制防护或监视系统,包括系统中所有的部件如电源、传感器和其他输入装置,接触器及其他输出装置。23.性能等级性能等级 Performance level PL 在可预期的条件下,用于规定控制系统有关安全部件执行安全功能的离散等级。EN 13849-1 术语和定义术语和定义 24.所需的性能等级所需的性
8、能等级 required performance level 每种安全功能为达到所需的风险减小所应用的性能等级 25.平均危险失效时间平均危险失效时间 mean time to dangerous failure MTTFd 预期的危险失效平均时间 26.诊断覆盖率诊断覆盖率 Diagnostic Coverage 诊断有效性的度量,它可以是诊断的危险失效的失效率与所有的危险失效的失效率之间的比率。*潜在是否成为事实取决于系统的通道机构,冗余系统中危险硬件失效不太可能导致全面的危险状态或功能丧失状态。27.保护措施保护措施 Protective measure 用于达到风险减小的措施。EN 1
9、3849-1 术语和定义术语和定义 28.任务时间任务时间 mission time Tm SRP/CS 预定使用的时间周期 29.检测频率检测频率 Test rate SRP/CS 中检测故障的自动检测频率,即诊断检测时间的倒数。30.要求频率要求频率 Demand rate 要求SRP/CS 进行有关安全动作的频率 31.维修频率维修频率 repair rate 从在线检测发现危险失效或系统出现明显故障到系统、部件维修或替换后重启动之间的时间间隔的倒数。EN 13849-1 术语和定义术语和定义 32.机器控制系统机器控制系统 machine control system 响应来自机器元件
10、、操作者、外部控制设备或他们的组合的输入信号,并产生输出信号使机器按预定方式工作的系统 33.安全完整等级安全完整等级 Safety integrity level SIL 一种离散的等级(四种可能之一),用于规定分配给E、E、PE 有关安全系统的安全功能的安全完整性要求,安全完整性等级4是最高的,安全完整性等级1是最低的。34.有限可变语言有限可变语言 Limited variability language LVL 能够结合定义和专用的库函数来实现安全要求规范的一种语言 例如:典型采用LVL 的有PLC等EN 13849-1 术语和定义术语和定义 35.全可变语言全可变语言 full va
11、riability language FVl 能够实现多种功能和应用的一种语言 例如:C、C+、汇编语言等 a:使用FVL的典型系统:嵌入式系统 b:在机械领域。FVL通常用在嵌入式软件中,很少用在应用软件中 36.应用软件应用软件 application software 由机器制造商完成的、面向应用的软件,通常包括逻辑序列、范围、表达式、它们控制着相应输入、输出计算和结果,以满足SPR/CS的要求 如:针对PBB 设计的PLC 程序、触摸屏程序等 37.嵌入式软件嵌入式软件 embedded software 固件:firmware 系统软件:system software 由控制器制造商
12、提供的作为系统的一部分,并且机器的使用者无法修改的软件EN 13849-1 4 设计方面的考虑设计方面的考虑4.1.设计中的安全目标设计中的安全目标 SRP/CS 的设计和构造应充分考虑 风险评价和风险减小的各种情况还必须考虑所有预定使用和可预见的误用。EN 13849-1 4 设计方面的考虑设计方面的考虑4.2.风险减小策略风险减小策略机器的危险分析和风险减小过程要求通过以下措施逐步消除或减小危险通过设计消除危险或减小风险通过防护装置和可能的附加保护措施减小风险通过使用信息中关于遗留风险的规定减小风险EN 13849-1 4 设计方面的考虑设计方面的考虑4.2.2 控制系统对风险减小的作用控
13、制系统对风险减小的作用EN 13849-1 4 设计方面的考虑设计方面的考虑4.3.确定需要的性能等级确定需要的性能等级 PLr对于所选的由SRP/CS执行的安全功能,应确定和记录所需的性能等级(PLr),所需性能等级的确定取决于风险评价的结果,并参考了控制系统有关安全部件实现的风险减小量。SRP/CS 实现的风险减小总和越多,PLr 就越高。EN 13849-1 4 设计方面的考虑设计方面的考虑4.4.SRP/CS 的设计的设计 单一安全功能可以由一个或多个SRP/CS来实现,几种安全功能可能由一个或多个SRP/CS来共同实现。单个的SRP/CS 也有可能实现多种安全功能和标准控制功能 基本
14、SRP/CS 组成SRP/CSaSRP/CSbSRP/CSciabibc12ILOEN 13849-1 4 设计方面的考虑设计方面的考虑4.5.所需的性能等级所需的性能等级PL的估计与的估计与SIL的关系的关系 对所选的完成安全功能的那个SRP/CS或SRP/CS 的组合,都应完成其PL的估算。应通过估算一下的参数来确定SRP/CS的PL单个元件的MTTFdDCCCF结构安全功能在故障条件下的性能有关安全的软件系统性失效预期环境条件下,完成安全功能的能力EN 13849-1 4 设计方面的考虑设计方面的考虑评估过程的有关参数评估过程的有关参数u定量的参数(单个零件的MTTFd值、DC、CCF、
15、结构)u影响SRP/CS性能的不可计量的参数(故障条件下安全功能的性能、有关安全的软件、系统性失效以及环境条件等)注意:可定量的参数中,可靠性(MTTFd、结构)的影响随所采用的技术的变化而变化。任何类型的系统(如复杂结构)PL 的可计量参数有几种方法来估计,马尔可夫模型广义随机Petri网(GSPN)可靠性方框图EN 13849-1 4.5.1 性能等级性能等级PL与安全完整性的关系与安全完整性的关系SIL 可以使用失效模式及影响分析(FMEA)或类推的方法来估算DC。尽可能考虑所有相关的故障和(或)失效模式,对这所需的性能等级(PLr)检查执行安全功能的CRP/CS组合的PL.性能等级性能
16、等级PL与安全完整性的关系与安全完整性的关系SIL 性能等级PL安全完整性等级SILa无对应等级b1c2d3e4EN 13849-1 4 设计方面的考虑设计方面的考虑减小风险的保护措施减小风险的保护措施减小元件级的故障概率;目的是减小影响安全功能的故障或失效的可能性,可以通过增加元件的可靠性来说实现 如:选用经验证的零件和(或)应用经验验证的安全原则改善SRP/CS的结构,目的是避免故障的危险影响,一些故障是可以检测到的,而且需要冗余和(或)监测结构EN 13849-1 4 设计方面的考虑设计方面的考虑4.5.2 每个通道的平均危险失效时间(每个通道的平均危险失效时间(MTTFd)减小元件级的
17、故障概率;目的是减小影响安全功能的故障或失效的可能性,可以通过增加元件的可靠性来说实现 如:选用经验证的零件和(或)应用经验验证的安全原则改善SRP/CS的结构,目的是避免故障的危险影响,一些故障是可以检测到的,而且需要冗余和(或)监测结构每个通道的指标每个通道的范围低3年MTTFd10年中10年MTTFd30年高30年MTTFd100年EN 13849-1 4.5.3 诊断覆盖率诊断覆盖率(DC)可以使用失效模式及影响分析(FMEA)或类推的方法来估算DC。尽可能考虑所有相关的故障和(或)失效模式,对这所需的性能等级(PLr)检查执行安全功能的CRP/CS组合的PL.估计DC的简化方法见附录
18、E 指 标范 围无DC60%低60%DC90%中90%DC99%高DC 99%EN 13849-1 4.5.4 指定结构估算指定结构估算SRP/CS 的的PL 方法方法 指定结构以方框图表示 指定结构给出了每一类别的的系统结构的逻辑表示。指定结构是针对SRP/CS 组合而画的,起始于触发有关安全信号,终止于动力控制元件输出。指定结构可以用来描述系统中响应输入信号并产生有关安全输出信号的部件或子部件指定结构做了典型的假设指定结构做了典型的假设任务时间为20年在任务时间内失效率恒定对于类别2,需求比率试验比率的1%对于类别2,MTTFd TE大于MTTFd,1的一半。PL:性能水平 1:每个通道的
19、MTTFd=低 2:每个通道的MTTFd=中 3:每个通道的MTTFd=高 EN 13849-1 4.6 软件的安全要求软件的安全要求4.6.1 一般要求一般要求有关安全的嵌入式软件或应用软件的所有寿命周期内的活动,主要考虑避免软件寿命周期内出现的故障。要求的目标主要是:有易读性易理解可测试可维护EN 13849-1 4.6 估计又估计又SRP/CS达到达到PL的简单程序的简单程序类别B122334DC avg无无低中低中高每个通道的MTTFd低a不包含abbc不包含中B不包含bccd不包含高cccdddcEN 13849-1 4.6 软件安全寿命周期的软件安全寿命周期的V模型模型有关安全软件
20、的规范 确认 系统设计 综合测试 模块设计 模块测试 编码 确认安全功能规范经确认的软件 结果 确认EN 13849-1 4.6.2 有关安全的嵌入式软件(有关安全的嵌入式软件(SRESW)对于用于对于用于PLs为为ad的元件的的元件的SRESW,应采用以下的几种,应采用以下的几种方法方法对软件安全周期内的活动进行检验和确认(见V模型图)对技术规范和设计进行归档模块化和结构化设计和编码系统失效的控制使用基于软件方法用于控制随机的硬件失效时,正确执行检验功能测试(如黑盒测试)修改后,合适的软件安全寿命周期活动EN 13849-1 4.6.2 有关安全的嵌入式软件(有关安全的嵌入式软件(SRESW
21、)对于用于对于用于PLs为为c或或d的元件的的元件的SRESW,应采用以下的几,应采用以下的几种附加方法种附加方法对满足一定的计划管理和质量体系要求,(按标准执行)对软件安全寿命周期内所有的相关活动进行归档用以识别所有结构项目和与SRESW有关的释放文件的结构管理符合安全要求和设计的结构规范使用合适的编程语言和便于使用的基于计算机的工具模块化机构化编程,区别于非有关安全软件,具有充分定义接口的受限模块大小,采用设计和编码标准用控制流程分析。通过遍查/复查来验证编码扩展的功能测试。如灰盒测试、性能测试或仿真冲击分析依据修改后软件安全周期内适当的活动EN 13849-1 4.6.3 有关安全的应用
22、软件(有关安全的应用软件(SRASW)件安全寿命周期也适用于件安全寿命周期也适用于SRASW满足以下要求并且以LVL编写的SRASW,可使PL达到ae.如果SRASW以LVL编写,则需要满足用于SRESW的要求,且PL可达到ae.如果在一个元件中的SRASW的一部分影响到几种PL不同的安全功能,则应采用与最高PL有关的安全要求,用于PLr为ae的零件的SRESW,应采用以下基本措施对开关周期进行检查和确认对技术规范和设计进行归档模块化和结构化编程功能测试修改后适当的开发对用于PLr为ce的元件的SRESW。需要采用或推荐采用以下提高效率的附加措施。EN 13849-1 4.6.3 有关安全的应
23、用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 aa)应复查有关安全软件的技术规范,使寿命周期内涉及的所有人员可以得到该规范,且应包含以下内容1 具有要求的PL的安全功能依据相关的工作模式2 性能准则。如反应时间3 具有外部信号界面的硬件结构以及4 外部失效的探测和控制EN 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 bb)工具、库、和语言的选择1 可放心使用的合适工具,对于达到PL=e的一个元件及其工具,该工具应满足适当的安全标准;如果使用了带有不同的工具的两种不同零件,则可放心使用,采用的技术特征应能检
24、测可导致系统性错误(如:数据类型不匹配,意义不明确的动态存储地址,不完善的命令界面、递归、指针算法等)的条件,检测应主要在编译时间内而不能仅在运行时间内进行,工具宜加强语言子集和编码指南,或者至少督促或引导开发者们使用他们。2 只要合理可行,应采用经确认的功能模块FB库。无论是工具制造商提供的PB库(强烈推荐PL-e),还是符合本部分且用途已被确认的详细FB库。3 采用合理的适用于模块化方法的LVL子集,强烈推荐采用图示语言(如功能模块图、梯形图)EN 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 CC)软件设计的特征应该是:1:
25、半正式的方法描述数据和控制流,如:状态图或程序流程图。2:主要由源自有关安全的经确认的功能模块库的功能模块实现模块化 和结构化设计3:限制了编码大小的功能模块4:编码在功能模块内执行,功能模块宜有一个入口和出口点5:三个阶段的结构模型,输入 处理 输出6;在唯一一个程序位置安全输出的安排7:使用用于检测外部失效的技术和用于输入、处理、输出模块内置于安全状态的预防性编程技术。输入 处理 输出 EN 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 dd)当SRASW和非SRASW组合在一个元件中时:1:SRASW和非SRASW应在与有明
26、确定义的数据链接的不同功能块中编码。2:不应存在非有关安全数据和有关安全数据的逻辑组合。因为这可导致有关安全信号的完整性下降,如:结果控制有关安全信号的地方采用逻辑“非”组合有关安全和非有关安全的信号。EN 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 ee)软件执行编码:1:代码宜读、易懂及可测试。为此宜使用符号变量(代替显式硬件地址);2:应使用合理的或公认的编码指南3:宜使用应用层(预防性编程)可用的数据完整性和真实性检查(如:范围检查)4:代码宜接受仿真测试;5:PL=d 或 PL=e 时,宜通过控制和数据流分析检验。EN
27、 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 ff)测试:1:合适的确认方法是功能性行为哈性能准则(如时序性能)的黑盒子测试:2:PL=d 或 PL=e 时,推荐由分析边界值开始进行试验3:建议试验计划,且宜包括具有完成准则和所需工具的试验用例;4:I/O 测试应保证在SRASW内正确使用有关安全信号。EN 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 gg)文件:1:应对所有寿命周期和修改活动进行归档2:文件应完整、可用、易读和易懂;3:源文件正文中的代码文档应包
28、括具有合法实体的模块标题,功能和I/O描述,版本和所使用的库函数模块的版本,以及网络、声明及公告中足够的注释EN 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提高效率的措施 hh)验证:1:只对于专用代码才是必要的,对于经验证的库函数则不需要验证。2:复查、检查、遍查或其他合适的活动;提高效率的措施提高效率的措施 ii)结构管理:1:强烈建议建立程序和数据的备份,以识别和归档文件、软件模型、验证、确认结果以及与SRASW具体版本有关的工具结构。EN 13849-1 4.6.3 有关安全的应用软件(有关安全的应用软件(SRASW)提高效率的措施提
29、高效率的措施 jj)修改SRASW后,应进行影响分析一保证规范性。修改后应执行合适的寿命周期内的活动,应控制修改访问权限且应归档修改历史。EN 13849-1 4.6.4 基于软件的参数化基于软件的参数化应考虑吧基于软件的有关安全参数参数化,位置软件安全应考虑吧基于软件的有关安全参数参数化,位置软件安全要求规范中要描述的要求规范中要描述的SRP/CS设计的一个有关方面,应采设计的一个有关方面,应采用用SPR/CS供应商提供的专门软件进行从那时化,该工具供应商提供的专门软件进行从那时化,该工具应有自己的标识(名称、版本等)且应防止未经授权的修应有自己的标识(名称、版本等)且应防止未经授权的修改,
30、例如采用密码。改,例如采用密码。应保持所有用于参数化的数据完整性,这应通过采取措施控制以下方面来达到:控制有效输入范围 传输前控制数据损坏 从参数传输进程中控制错误的影响 控制不完整参数传输的影响 控制参数化所用工具的硬件和软件故障和失效的影响EN 13849-1 4.6.4 基于软件的参数化基于软件的参数化参数化工具应满足对参数化工具应满足对SRP/CS的所有要求,或者也可用设的所有要求,或者也可用设定有关参数安全应使用的特别的程序,该程序应包括通过定有关参数安全应使用的特别的程序,该程序应包括通过以下两种方式之一来确认以下两种方式之一来确认SRP/CS的输入参数的输入参数1:修改后的参数重
31、新发送至参数化工具修改后的参数重新发送至参数化工具2:确认参数完整性的其他合适方式确认参数完整性的其他合适方式 在传输/转发过程中,用于编码/译码的软件模块以及用户用于有关安全的参数可视化的软件模块,应该至少在功能方面采用多样性以避免系统性失效EN 13849-1 4.7 检验达到的检验达到的PL是否满足是否满足PLr对于每种单独的安全功能,有关的对于每种单独的安全功能,有关的SRP/CS 的的PL应与对应与对应的所确定的所需要的性能等级(应的所确定的所需要的性能等级(PLr)匹配,如果情)匹配,如果情况并非如此,需要采用相应的描述中的迭代过程。况并非如此,需要采用相应的描述中的迭代过程。作为
32、安全功能一部分的不同作为安全功能一部分的不同SPR/CS,其,其PL应大于或等应大于或等于该安全功能所需的性能等级于该安全功能所需的性能等级PLrEN 13849-1 4.8 设计的人体工学方面设计的人体工学方面操作者与操作者与SPR/CS之间的界面的设计和实现应使得所用预之间的界面的设计和实现应使得所用预定使用和机器可预见的误用过程中没有人员有危险。(定使用和机器可预见的误用过程中没有人员有危险。(EN-614 ISO 9355-1/2/3 EN1005-3)人体工学原则的使用应使得机器和控制系统,包括有关的人体工学原则的使用应使得机器和控制系统,包括有关的安全部件都容易使用,从而使得操作者
33、不能尝试危险的动安全部件都容易使用,从而使得操作者不能尝试危险的动作。作。EN 13849-1 5 安全功能安全功能EN 13849-1 5 安全功能安全功能EN 13849-1 5 安全功能安全功能EN 13849-1 5 安全功能安全功能EN 13849-1 5.2 安全功能安全功能EN 13849-1 5.2 手动复位功能手动复位功能5.2.3 启动启动/重启动功能重启动功能5.2.4 局部控制功能局部控制功能5.2.6 响应时间响应时间/有关安全参数有关安全参数6 类别以及与类别以及与DCnm CCF和每个通道和每个通道MTTFd6.2 类别规范类别规范6.2.3 B 类类IL0iab
34、ibc6.2.4 1 类类6.2.4 1 类类0ILimimim:链接方式链接方式I :输入装置输入装置,如传感器等如传感器等L:逻辑模块逻辑模块O:输出装置,如主接触器等输出装置,如主接触器等6.2.5 2 类类6.2.5 2 类类OTE0ILimimTEimmim:链接方式链接方式I :输入装置输入装置,如传感器等如传感器等L:逻辑模块逻辑模块m:监测监测TE 试验设备试验设备OTE 试验设备的输出试验设备的输出6.2.6 3 类类6.2.6 3 类类im:链接方式链接方式I1/I2 :输入装置输入装置,如传感器等如传感器等L:逻辑模块逻辑模块m:监测监测C 交叉监测交叉监测O1/O2 输
35、出装置输出装置,如接触器等如接触器等O201I1L1imimL2imCI2immm6.2.7 4 类类6.2.4 7 类类im:链接方式链接方式I1/I2 :输入装置输入装置,如传感器等如传感器等L:逻辑模块逻辑模块m:监测监测C 交叉监测交叉监测O1/O2 输出装置输出装置,如接触器等如接触器等O201I1L1imimL2imCI2immm6.3 用于实现全部用于实现全部PL的的SRP/CS组合组合6.3 用于实现全部用于实现全部PL的的SRP/CS组合组合7 故障考虑与故障排除故障考虑与故障排除89 故障考虑与故障排除故障考虑与故障排除10 故障考虑与故障排除故障考虑与故障排除11 使用信
36、息使用信息11 使用信息使用信息附件附件A 要求的性能等要求的性能等PLr的确认的确认附件附件A 要求的性能等要求的性能等PLr的确认的确认附件附件A 要求的性能等要求的性能等PLr的确认的确认附件附件A 要求的性能等要求的性能等PLr的确认的确认附件附件A 要求的性能等要求的性能等PLr的确认的确认附件附件B 模块法和有关安全的模块图模块法和有关安全的模块图附件附件B 模块法和有关安全的模块图模块法和有关安全的模块图附件附件B 模块法和有关安全的模块图模块法和有关安全的模块图附件附件C 单个元件单个元件MTTFd值的计算或估算值的计算或估算附件附件C 单个元件单个元件MTTFd值的计算或估算
37、值的计算或估算附件附件C 单个元件单个元件MTTFd值的计算或估算值的计算或估算附件附件C 单个元件单个元件MTTFd值的计算或估算值的计算或估算附件附件C 气动、机械和机电元件的气动、机械和机电元件的MTTFd附件附件C 气动、机械和机电元件的气动、机械和机电元件的MTTFd附件附件C 气动、机械和机电元件的气动、机械和机电元件的MTTFd附件附件C 气动、机械和机电元件的气动、机械和机电元件的MTTFd附件附件C 电气元件的电气元件的MTTFd数据数据附件附件C 电气元件的电气元件的MTTFd数据数据附件附件C 电气元件的电气元件的MTTFd数据数据附件附件C 电气元件的电气元件的MTTF
38、d数据数据附件附件C 电气元件的电气元件的MTTFd数据数据附件附件C 电气元件的电气元件的MTTFd数据数据附件附件D 估计每个通道的估计每个通道的 MTTFd 的简化方法的简化方法附件附件D 估计每个通道的估计每个通道的 MTTFd 的简化方法的简化方法附件附件D 估计每个通道的估计每个通道的 MTTFd 的简化方法的简化方法附件附件E对功能和模块的诊断覆盖率对功能和模块的诊断覆盖率DC的估计的估计附件附件E对功能和模块的诊断覆盖率对功能和模块的诊断覆盖率DC的估计的估计附件附件E对功能和模块的诊断覆盖率对功能和模块的诊断覆盖率DC的估计的估计附件附件E对功能和模块的诊断覆盖率对功能和模块
39、的诊断覆盖率DC的估计的估计附件附件E对功能和模块的诊断覆盖率对功能和模块的诊断覆盖率DC的估计的估计附件附件F共因失效共因失效 CCF 的估计的估计附件附件F共因失效共因失效 CCF 的估计的估计附件附件F共因失效共因失效 CCF 的估计的估计附件附件F共因失效共因失效 CCF 的估计的估计附件附件G系统性失效系统性失效附件附件G系统性失效系统性失效附件附件G系统性失效系统性失效附件附件G系统性失效系统性失效附件附件G系统性失效系统性失效附件附件G系统性失效系统性失效附件附件H控制系统有关安全部件组合的实例控制系统有关安全部件组合的实例附件附件H控制系统有关安全部件组合的实例控制系统有关安全部件组合的实例附件附件H控制系统有关安全部件组合的实例控制系统有关安全部件组合的实例附件附件H控制系统有关安全部件组合的实例控制系统有关安全部件组合的实例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件I示示 例例附件附件J软软 件件附件附件J软软 件件附件附件J软软 件件附件附件J软软 件件附件附件J软软 件件附件附件J软软 件件附件附件K