中华人民共和国国家标准
代替GB16655—1996
(ISO11161:2007,IDT)
20081029发布20091001实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
前 言
本标准的第4章~第10章为强制性的,其余为推荐性的。
本标准等同采用国际标准ISO11161:2007《机械安全 集成制造系统 基本要求》(英文版)。
本标准结构和内容与ISO11161:2007一致,但按照我国标准的编写规则对国际标准做了编辑性修
改,与ISO11161:2007相比主要有以下几点不同:
———用“本标准”代替了“本国际标准”;
———取消了国际标准的前言,重新按照我国国家标准的要求起草了前言;
———修改了第2章中规范性引用文件的导语,第2章中引用的相关国际标准和区域标准已转化成
我国国家标准的,均直接引用相应的国家标准;
———本标准其他章节中出现的国际标准已转化为国家标准的,将其编号改为国家标准编号,并将相
应的国际标准版本号放在国家标准编号后的括弧内,便于使用和查阅,未转化的国际标准
保留。
本标准代替GB16655—1996《工业自动化系统 集成制造系统安全的基本要求》。
本标准对GB16655—1996作了如下修改:
———标准的属性由全文强制性改为条文强制性;
———更新了规范性引用文件;
———删除了“屏障、示警屏障、控制停机、握持运行控制装置、限位装置、闭锁、操作停机、悬挂式操作
盒、任务程序、跳闸装置和非控制停机”共11个术语及其定义;
———增加了“探测区域、急停、伤害、集成者、操作者、保护措施、控制范围、供应商、任务区、用户”共
10个术语;
———术语“使能装置”改为“使动装置”;
———将第4章“安全对策”分为第4章“风险评价和减小风险的策略”、第5章“风险评价”和第6章
“减小风险”三章;
———增加了第7章“任务区”的内容;
———将第5章“控制系统安全性能设计要求”、第6章“系统的设计和安全防护”、第7章“培训、安
装、交付试车及功能测试”和第8章“使用和注意事项”整合为第8章“安全防护和控制范围”、
第9章“使用信息”和第10章“设计方面需做的确认”;
———增加了资料性附录B、附录C和附录D。
本标准的附录A、附录B、附录C和附录D为资料性附录。
本标准由中国机械工业联合会提出。
本标准由全国工业自动化系统与集成标准化技术委员会(SAC/TC159)归口。
本标准负责起草单位:北京机械工业自动化研究所。
本标准参加起草单位:机械科学研究总院中机生产力促进中心。
本标准主要起草人:张晓飞、高雪芹、李勤、宁燕、付大为、富锐。
本标准所代替标准的历次版本发布情况为:
———GB16655—1996。
Ⅲ
引 言
机械安全标准的结构如下:
a) A类标准(基础安全标准),规定了适用于所有机械的基本概念、设计原则和一般特征。
b) B类标准(通用安全标准),规定了机械的一种安全特征或者使用范围较宽的一类安全防护
措施。
———B1类,特定的安全特征(如安全距离、表面温度、噪音)标准;
———B2类,安全防护装置(如双手操纵装置、联锁装置、压力感应装置、防护装置)标准。
c) C类标准(机器安全标准),规定了特定机器或者机组的详细安全要求。
按照GB/T15706.1中的规定,本标准属于B1类通用安全标准。
集成制造系统(IMS,见3.1)在尺寸和复杂性方面有很大的区别,并且能将涉及各种专门技能及知
识的不同技术结合起来。
宜把集成制造系统看成一部全新的整机,而不是各部件的简单组合。集成者(见3.10)需要与那些
仅熟悉系统部件的部门合作。IMS的部件需要经常手动调整的场合,例如:检查、维修、设置,停止整个
IMS系统是不切实际和没有必要的。本标准给出了保证执行这些任务的人员的安全要求。这些任务
涉及的安全防护与“任务区”的概念和使用有关。
本标准的目的是说明怎样应用GB/T15706.1—2007、GB/T15706.2—2007和GB/T16856.1—
2008规定的要求。
图1给出了集成制造系统的一般结构。
附录A给出了集成制造系统的一些示例。
Ⅳ
说明:
1———控制器; 6———危险区B;
2———手控盒;7———危险区C;
3———安全防护区域;8———废料和消耗品流;
4———局部控制器;9———原材料流;
5———危险区A;10———成品。
图1 集成制造系统的结构
Ⅴ
机械安全 集成制造系统 基本要求
1 范围
本标准规定了集成制造系统(IMS)的安全要求,这些系统将两台以上互联的机器集成为一体,以实
现特定的应用,例如:零件的加工或装配。本标准给出了这类IMS(IMS的基本结构见图1)安全设计、
安全防护和使用信息的要求和建议。
注1:在本标准中,“系统”是指集成制造系统。
注2:在本标准中,“机器”是指集成制造系统的组成机器和关联设备。
本标准不包括单台机器和设备的安全要求,这些要求可在这些机器和设备的专门标准中给出。本
标准仅涉及对机器和部件的互连安全至关重要的内容。在集成制造系统中的机器和设备分离或独立工
作的场合,当安全防护装置对生产模式的保护效果被抑制或暂停时,则可采用这些机器和设备的相关安
全标准。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的{zx1}版本。凡是不注日期的引用文件,其{zx1}版本适用于本标准。
GB/T8196—2003 机械安全 防护装置 固定式和活动式防护装置设计与制造一般要求(ISO14120:2002,MOD)
GB/T15706.1—2007 机械安全 基本概念与设计通则 第1部分:基本术语和方法(ISO121001:2003,IDT)
GB/T15706.2—2007 机械安全 基本概念与设计通则 第2部分:技术原则(ISO121002:
2003,IDT)
GB16754—2008 机械安全 急停 设计原则(ISO13850:2006,IDT)
GB/T16855.1—2008 机械安全 控制系统有关安全部件 第1部分:设计通则(ISO138491:
2006,IDT)
GB/T16855.2—2007 机械安全 控制系统有关安全部件 第2部分:确认(ISO138492:2003,
IDT)
GB/T16856.1—2008 机械安全 风险评价 第1部分:原则(ISO141211:2007,IDT)
GB17888.1—2008 机械安全 进入机械的固定设施 第1部分:进入两级平面之间的固定设施
的选择(ISO141221:2001,IDT)
GB17888.2—2008 机械安全 进入机械的固定设施 第2部分:工作平台和通道(ISO141222:
2001,IDT)
GB17888.3—2008 机械安全 进入机械的固定设施 第3部分:楼梯、阶梯和护栏(ISO14122
3:2001,IDT)
GB17888.4—2008 机械安全 进入机械的固定设施 第4部分:固定式直梯(ISO141224:
2004,IDT)
IEC602041:2005 机械安全 机械电气设备 第1部分:通用技术条件
IEC62061:2005 机械安全 有关安全的电气、电子、可编程电子控制系统的功能安全
1
IEC/TS62046:2004 机械安全 探测人员存在的保护设备的应用
3 术语和定义
下列术语和定义适用于本标准。
3.1
集成制造系统 犻狀狋犲犵狉犪狋犲犱犿犪狀狌犳犪犮狋狌狉犻狀犵狊狔狊狋犲犿
犐犕犛
为了制造、处理、移动或包装零部件或组件,由原材料处理系统连接,并由控制器(即IMS控制器)
实现互连,采用协同方式工作的一组机器。
注:可参见附录A。
3.2
探测区域 犱犲狋犲犮狋犻狅狀狕狅狀犲
电子传感保护装置(ESPE)能够探测指定试件的区域。
[IEC/TS62046:2004,3.1.3]
3.3
急停 犲犿犲狉犵犲狀犮狔狊狋狅狆
该功能:
———防止发生或减少对人员存在的危险以及对机械或加工过程的破坏;
———由单人触发。
注:GB16754—2008给出了详细规定。
[GB/T15706.1—2007,3.37]
3.4
使动装置 犲狀犪犫犾犻狀犵犱犲狏犻犮犲
与启动控制一起使用并且只有连续操动时才能使机器运行的附加手动操作装置。
注:IEC602041:2005中的9.2.5.8给出了使动装置的规定。
[GB/T15706.1—2007,3.26.2]
3.5
防护装置 犵狌犪狉犱
机器的组成部分,用于提供保护的物理屏障。
注1:防护装置可以:
———单独使用。对于活动式防护装置,只有当其“闭合”时才有效;对于固定式防护装置,只有当其处于“锁定
位置”才有效。
———与带或不带防护锁的联锁装置结合使用。在这种情况下,无论防护装置处于什么位置都能起到防护
作用。
注2:根据设计,防护装置可以称作外壳、护罩、盖、屏、门和封闭式装置。
注3:防护装置的类型及其要求,见GB/T15706.2—2007中的5.3.2和GB/T8196—2003。
[GB/T15706.1—2007,3.25]
3.6
伤害 犺犪狉犿
对健康产生的生理上的损伤或危害。
[GB/T15706.1—2007,3.5]
3.7
危险 犺犪狕犪狉犱
潜在的伤害源。
2
注1:“危险”一词可由其起源(例如:机械危险和电气危险),或其潜在伤害的性质(例如:电击危险、切割危险、中毒
危险和火灾危险)进行限定。
注2:本定义中的危险包括:
———在机器的预定使用期间,始终存在的危险(例如:危险运动部件的运动、焊接过程中产生的电弧、不健康
的姿势、噪声排放、高温);
———意外出现的危险(例如:爆炸、意外启动引起的挤压危险、泄漏引起的喷射、加速/减速引起的坠落)。
[GB/T15706.1—2007,3.6]
3.8
危险区 犺犪狕犪狉犱狕狅狀犲/犱犪狀犵犲狉狕狅狀犲
使人员暴露于危险的机械内部和/或其周围的任何空间。
[GB/T15706.1—2007,3.10]
3.9
危险状态 犺犪狕犪狉犱狅狌狊狊犻狋狌犪狋犻狅狀
指人员暴露于具有至少一种危险的环境。这类暴露可能会立即或在一定时间之后对人员产生
伤害。
[GB/T15706.1—2007,3.9]
3.10
集成者 犻狀狋犲犵狉犪狋狅狉
设计、提供、制造或装配集成制造系统的实体,该实体负责安全策略,包括保护措施、控制界面以及
控制系统的互连。
注:集成者可能是制造者、装配人员、工程公司或用户。
3.11
联锁装置 犻狀狋犲狉犾狅犮犽犻狀犵犱犲狏犻犮犲
联锁 interlock
用于防止危险机器功能在特定条件下(通常是指只要防护装置未关闭)运行的机械、电气或者其他
类型的装置。
[GB/T15706.1—2007,3.26.1]
3.12
局部控制 犾狅犮犪犾犮狅狀狋狉狅犾
只能在任务区进行控制的一种状态。
3.13
抑制 犿狌狋犻狀犵
由控制系统有关安全部件实现的安全功能的自动暂停。
[GB/T16855.1—2008,3.1.8]
3.14
操作者 狅狆犲狉犪狋狅狉
被派以安装、使用、调整、维护、清洗、修理或运输机械任务的人员。
3.15
保护措施 狆狉狅狋犲犮狋犻狏犲犿犲犪狊狌狉犲
用于达到风险减小的措施。这些措施是由下列人员实施的:
———设计者(本质安全设计、安全防护和附加防护措施、使用信息);
———使用者(组织方面:安全工作程序、监督、工作许可制度;附加安全防护装置的提供和使用;个人
3
防护装置的使用;培训)。
[GB/T15706.1—2007,3.18]
3.16
保护装置 狆狉狅狋犲犮狋犻狏犲犱犲狏犻犮犲
防护装置以外的安全装置。
[GB/T15706.1—2007,3.26]
3.17
风险 狉犻狊犽
伤害发生概率和伤害发生的严重程度的综合。
[GB/T15706.1—2007,3.11]
3.18
安全防护装置 狊犪犳犲犵狌犪狉犱
防护装置或保护装置。
[GB/T15706.1—2007,3.24]
3.19
安全防护空间 狊犪犳犲犵狌犪狉犱犲犱狊狆犪犮犲
由保护措施所确定的空间,这些保护措施所防止的危险不会在该空间中发生。
3.20
安全防护 狊犪犳犲犵狌犪狉犱犻狀犵
使用安全防护装置保护人员的措施。这些保护措施使人员远离那些不能合理xx的危险或者通过
本质安全设计方法无法充分减小的风险。
注:GB/T15706.2—2007的第5章对安全保护措施进行了详细描述。
[GB/T15706.1—2007,3.20]
3.21
安全功能 狊犪犳犲狋狔犳狌狀犮狋犻狅狀
其失效后会立即造成风险增加的机器功能。
[GB/T15706.1—2007,3.28]
3.22
安全操作规程 狊犪犳犲狑狅狉犽犻狀犵狆狉狅犮犲犱狌狉犲
一种专门的规程,用以在执行指定任务时,减少遭受伤害的可能性。
3.23
控制范围 狊狆犪狀狅犳犮狅狀狋狉狅犾
在特定装置控制下,预先确定的IMS的工作区域。
3.24
供应商 狊狌狆狆犾犻犲狉
提供IMS整体或部分设备和服务的实体(例如:设计者、制造商、承包人、安装人员、集成者)。
注:用户可能也担当供应商的角色。
3.25
任务区 狋犪狊犽狕狅狀犲
在IMS中和/或周围预先确定的空间,在该空间中操作者进行操作。
注:可参见危险区和安全防护空间。
3.26
故障查找 狋狉狅狌犫犾犲狊犺狅狅狋犻狀犵/犳犪狌犾狋犳犻狀犱犻狀犵
系统地判断IMS或IMS的某个部分不能执行预定任务或功能的原因的一种工作。
4
3.27
用户 狌狊犲狉
使用和维护IMS的人员。
4 风险评价和减小风险的策略
4.1 总则
IMS的风险评价和减低风险策略应符合GB/T15706.1—2007、GB/T15706.2—2007和
GB/T16856.1—2008中的要求。
为充分减小风险,集成者应向机器及相关设备的用户和供应商(见附录B)咨询。集成者应考核技
术状况,并按照第9章的要求制定IMS的使用信息。
IMS的设计应便于进行安全的手动调节,包括维护。对于某些手动调节而言,停止整个IMS是不
切实际的,这种情况下,IMS应该把操作者能安全完成任务的区域隔离出来。
第5章用于进行风险评价,包括:
———IMS的技术规范(5.1);
———危险和危险状态的识别(5.2);
———风险评估(5.3);
———风险评定(5.4)。
第6章用于减小风险,包括:
———保护措施(6.1);
———保护措施的确认(6.2)。
IMS的风险评价和减小风险是按照以下步骤进行的一个迭代过程(见GB/T15706.1—2007中的
图2)。
4.2 犐犕犛的界限说明
为了充分进行风险评价,定义下列IMS基本参数:
———功能性;
———界限;
———IMS不同部分之间的接口。
见图2。
5
说明:
1———机器A—机器人; 3———机器C—物料处理系统(传送);
2———机器B—机床;4———IMS。
图2 犐犕犛的界限说明
4.3 任务的确定
集成者应确定可预见的任务(对于IMS的多重结构),并确定其布局和入口的相关要求。见图3。
说明:
1———任务1:工具更换;
2———任务2:清洗;
3———任务1和任务2的入口。
图3 任务的确定(要求、布局、入口)
4.4 危险状态的识别
IMS的风险评价应包括由以下原因引起的危险状态:
———组成IMS的机器与相关设备的集成;
———机器保护措施的任何更改;
———机器用途的改变。
见图4。
6
说明:
1———IMS;
2———危险区域。
图4 危险/危险区域以及相关危险状态的识别
4.5 风险评估和风险评定
集成者应对每个任务区内所识别出的每种危险和危险状态进行风险评估和评定。
4.6 减小风险
集成者应按照GB/T15706.1—2007中的各级保护措施xx危险或减小风险,步骤如下:
———通过设计排除危险;
———通过设计要求和确定出任务区减小风险;
———通过安全防护和补充措施减小风险,包括控制范围;
———通过提供使用信息减小风险(见第9章)。
见图5和图6。
说明:
1———任务区A;
2———任务区B。
图5 任务区的确定
7
说明:
1———光控范围;
2———联锁装置控制范围。
图6 包括控制范围在内的安全防护的确定
5 风险评价
5.1 犐犕犛的技术规范
5.1.1 界限
IMS的风险评价首先依据界限的技术规范,包括IMS用途的确定、空间要求和寿命(可参见
GB/T15706.1—2007中的5.2)。集成者应考虑:
a) 功能描述;
b) 包括入口和结构容量的布局;
c) 不同工作过程和手动操作之间交互作用的描述;
d) 工艺步骤的分析,包括手动交互操作;
e) 分界面的描述;
f) 工艺流程图;
g) 基础平面图;
h) 原料处理的平面图和空间;
i) 功能服务连接;
j) 相似操作或系统的有效事故记录;
k) 相似系统装配的分析;
l) 环境特征。
5.1.2 功能性
关于IMS功能性的说明应包括(但不局限于)以下几个方面:
a) 考虑到工作任务和IMS效能的生产率;
b) 自动化水平、技术和制造过程;
c) 模式[例如:手动模式、自动模式、与区域的整体或部分相关的模式、观测模式(可参见附录
D)];
d) 机器/IMS的多重结构要求;
注:当IMS部分不能使用或这部分作为单独机械使用时,多重结构(IMS内机械的设计重组和再分区)允许
另一部分IMS运行。多重结构也能提供额外的生产柔性(例如:同一时间产出的部件的数量和多样性)。
e) 控制功能,包括有关安全的控制功能(见8.8);
8
f) 控制范围;
g) 检查要求。
5.1.3 工作任务的确定
集成者应将IMS与人的交互作用分类并归档。IMS工作任务的技术规范应包括:
a) 将要完成的具体工作;
b) 工作任务的布局;
c) 人为干预的频率和持续时间,包括(但不限于)质量检查、预防性维护、故障修正;
d) 完成工作任务的安全防护装置的控制范围(例如:全速、减速、停止);
e) 工作任务所需的模式[例如:手动模式、自动模式、与特定功能或操作的区域或部分区域相关的
模式(例如:设置模式、编程、测试模式)];
f) 个人保护装备方面的需求(例如:手套、护目镜);
g) 辅助装备方面的需求(例如:手工工具、提升设备);
h) 与任务相关的人类工效学方面(例如:姿态、规模、尺寸、复杂性);
i) 与任务相关的环境问题(例如:新鲜空气、废气和通风、照明、噪声和振动、温度、湿度、固体废
物、液体废物);
j) 确定工作任务时,应考虑IMS的工作过程,包括可预见的误操作,比如:
1) 安装;
2) 示教和设置;
3) 生产(例如:操作者手动操作、加载工件、过程控制与监测);
4) 维护;
5) 修正、故障查找和故障后复位;
6) IMS的分解和处理。
集成者还应考虑与操作无直接关系的人员出现在现场的情况。
5.1.4 犐犕犛的空间要求
5.1.4.1 总则
集成者应规定IMS的空间要求,包括布局和通道的要求。
5.1.4.2 布局
IMS的布局设计应考虑:
a) 通道(即:进口和出口路线)和逃生路线;
b) 可预见的人为干预;
c) 工作任务;
d) 工作流程;
e) 安全防护装置的控制范围,该安全防护装置为完成5.1.3中确定的工作任务提供了安全入口;
f) 车辆和人员的通行。
IMS的布局应确保其对预期用途的兼容性。
5.1.5 犐犕犛的通道
应能方便安全地进入IMS,通道应包括:
———操作人员的通道;
———物料(例如:原料、部件、组件、产品以及废料)通道;
———移动设备(例如:铲车、手推车)通道;
———维护和调整的通道;
———进入工作站的通道。
注:可能需要在地面做出标志,尤其是使用移动设备和/或安装了能导致保护装置动作的地方。同时,建议考虑门
的旋转和方向。
9
通过路径和方式不应使操作者暴露于危险中,包括坠落危险。考虑到任务的频率和人类工效学方
面的因素,应提供进入IMS的固定设施。
平台、通道、楼梯、阶梯和固定式直梯应按照GB17888—2008的相应部分进行选择和设计。
5.2 危险和危险状态的识别
5.2.1 通则
按照5.1.1确定了IMS的界限并进行了初步布局后,集成者应对每项任务的危险和危险状态进行
识别,这些危险和危险状态与以下各项有关:
a) 实施干预的机器;
b) IMS内机器的位置,包括相邻区域的危险;
c) 进入IMS到达任务位置的路径。
5.2.2 机器及相关设备引起的危险和危险状态
本标准假定供应商交付的机器符合GB/T15706.1—2007和GB/T15706.2—2007以及其他关于
机器和相关设备安全标准的要求。在与IMS集成时集成者应确定供应商提供的保护措施是否有效,这
宜在咨询供应商时进行。对于每台机器,集成者应确认机器在IMS中集成后其使用条件与供应商的规
定是否一致。对任何差别都应进行风险评价,这些分析建议在咨询供应商时进行,例如:
a) 机器在IMS中所处的位置使机器暴露于供应商未预见的特殊环境条件下(例如:机器暴露于
供应商未预见的电磁场中);
b) 由于机器在IMS中的位置,供应商预见的干预可能无法进行(例如:由于传送带的存在,没有
进入机器的通道);
c) 供应商采取的保护措施不再有效(例如:由于楼梯的存在,使得通过楼梯即可进入危险区,因而
导致固定式防护装置的高度不满足要求);
d) 由于IMS的设计或使用,使得在组成IMS机器的使用信息中描述的减小残留风险措施无法
实施(例如:由于遮挡物的存在,不能使用警告标志;由于安装了其他机械,不能使用防护装
置)。
机器经过改良后(例如:为了能用机器人进行自动进料而拆除防护装置),集成者应确定是否产生新
的危险情况,这宜咨询供应商后实施。当设备要在IMS中集成时,集成者应确定是否已xx了所有的
危险情况,这宜咨询供应商后实施。
注:这类设备可能是机械系统的一个组件,例如包含驱动装置的传送带。传送带本身一般不会满足
GB/T15706.2—2007第4章中的全部要求,但可能适用于其他标准(例如:IEC602041:2005)。
5.2.3 由设备位置引起的危险状态
对于每台机械,集成者应评价是否由于IMS中机器的布置而引起新的危险状态,例如:
a) IMS中单台机器和设备之间的交互作用;
b) 靠近IMS中其他仍在运行部分的工作;
c) 在有跌落危险的高处工作;
d) 机器之间和/或区域之间的分界面;
e) 应用于IMS的分区制。
5.2.4 由工作路线引起的危险状态
应识别和评价每个任务区路线的危险状态。
5.3 风险评估
经危险识别后,应通过确定风险因素来对每种危险状态进行风险评估,风险因素源于以下因素的
组合:
a) 伤害的严重程度;
b) 出现伤害的可能性,这种可能性是以下因素作用的结果:
01
———人员暴露于危险中;
———出现危险事件;
———通过技术或人为手段避免或限制伤害的可能性。
5.4 风险评定
为了确定是否足够安全或需要进一步减小风险,应进行风险评定。
6 减小风险
6.1 保护措施
通过下列各级保护措施xx危险或减小风险:
a) IMS的设计要求和分区制(见第7章);
b) 安全防护和控制范围(见第8章);
c) 使用信息(见第9章)。
注:见图5和图6。
6.2 保护措施的确认
确认保护措施能足以减小风险。
7 任务区
7.1 总则
在减小风险过程中,本质安全设计措施是首要的也是xxx的,可通过适当选择IMS或其组成机
器的设计特点xx危险或降低风险来实现。
除GB/T15706.2—2007第4章中给出的措施外,为了xx或降低风险,还应采用以下的措施:
a) 修改IMS的技术规范或限定条件;
b) 为了抑制或减少危险状态更改或修改设备部件,或修改某些干预;
c) 修改布局(例如:设备布局、设备交互作用、通道和方式);
d) 限制干预;
e) 创建附加操作模式。
在采用其他保护措施之前,重复进行第5章和第6章的适用步骤。
IMS的设计应便于安全地手动干预,包括维护。对于某些手动干预,停止整个IMS是不切实际的。
在这种情况下,IMS应隔离出操作人员能安全完成任务的区域。
对IMS层面,首要的问题是确定IMS的{zj0}故障维护(或隔离)任务区,使操作者能在该区域安全
地完成工作任务。当IMS其他部分继续自动运行时,这些任务区应处于安全状态(例如:停止,可参见
附录D)。
注:作业分区是形成适合自身功能的IMS的一种措施。这是指IMS能达到其生产水平的同时,工作人员在IMS
设计阶段所预见的条件下可安全地对IMS进行调整和维护。当这些要求满足时,应防止工作人员采用非预定
的操作模式和干预技术。
7.2 确定
确定任务区是一个递推的过程,它由以下几个步骤组成:
a) 确定任务:要求、位置、入口;
b) 确定危险/危险区以及相关的危险状态(见图4和GB/T15706.1—2007中的第4章);
c) 确定任务区。
在布局上应识别出以下几个方面:
———工作地点;
———通过IMS到达维修点或工作地点的路线;
11
———为了安全地进行干预而需要停止的IMS部件,以及可能还在继续工作的IMS的其余部件;
———一旦停止则使得IMS其余部件停止工作且立即会影响生产水平的那些IMS部件;
———允许在安全条件下完成预定的调整、维护、维修、清洗、保养以及其他任务的方法;
———在IMS设计阶段规定的条件下进行这些操作时,允许整个IMS执行其功能(例如:达到生产
水平)的方法。
注:见图5。
7.3 设计
为了确定任务区,并全面了解预定任务区对IMS功能特性的影响,应对IMS的布局进行分析。
任务区可包括:
a) 一台或多台机器和/或设备;
b) IMS内部或周围工作人员可完成任务的空间;
c) 前往任务位置的路径。
每个任务区的设计应便于操作者识别:
———任务区的范围;
———与任务区相关的设备;
———各种控制和保护装置(例如:保护装置、保护装置的复位、使动装置、急停、控制站、分离方式)的
控制范围;
———与其他任务区的连接区域;
———工作任务地点和执行任务的路线。
7.4 功能分析
作为递推过程的一部分,集成者应分析设计是否满足功能要求,如果不满足,则应:
a) 修改IMS布局、功能性和/或界限;
b) 替换和/或更改设备,以减小与干预有关的风险;
c) 确定新的进入路径和方式;
d) 修改进行干预的方法。
8 安全防护和控制范围
8.1 任务区的安全防护
8.1.1 总则
对于本质安全设计措施不能充分减小风险的任务区,应提供安全防护装置。安全防护装置的设计
应允许在任务区可以安全地实施干预。
8.1.2 任务区的分界面
危险发生在任务区之间的分界面处时,应进行适当的安全防护。任务区之间的分界面与下列因素
有关:
a) 物料从一个任务区向邻近任务区的流动;
b) 一个任务区通向邻近任务区的路径。
8.1.3 进入路径分界面的安全防护
当危险(风险评价过程中所识别出来的危险)发生在进入路径分界面处时,应提供适当的安全防护
装置。
8.1.4 物流之间分界面的安全防护
应进行特殊的安全防护,以
a) 防止操作者从任务区进入邻近任务区;或
b) 使邻近任务区的危险在操作者进入之前转为安全状态。
21
物料流入或流出任务区可触发保护装置,使系统抑制或闭锁(见8.7)。
8.2 控制范围
8.2.1 总则
与任务区相关的各种控制和保护装置的控制范围,应根据风险评价和所有相关的C类标准确定,
并考虑:
a) 集成制造系统的物理布局;
b) 自身的生产流程;
c) 完成任务必需的入口。
8.2.2 具有控制范围的装置
以下每种装置都应有已规定的控制范围:
a) 急停装置;
b) 使动装置;
c) 门联锁装置;
d) 现场传感装置;
e) 分离工具;
f) 局部控制模式。
注:一种装置的控制范围可与其他装置的控制范围组合(例如:急停装置的控制范围包含两个门联锁装置的控制范
围)。可见附录C中如何实现安全功能控制范围的示例。
8.3 电气设备的要求
集成制造系统的电气设备应符合IEC602041:2005的要求,并兼顾设备供应商的说明书和建议。
注:对于在厂房中的设备安装本身而言,可采用国家标准相关的要求。
8.4 模式
8.4.1 总则
应提供5.2.3中给出的保证任务安全执行的模式。
要求手动干预的任务应尽可能在安全防护空间外部完成。如果不可行,应提供适当的模式。
至少应提供以下两种模式:
———自动模式;
———手动模式(例如:设置、编程、测试)。
注1:这些模式可与整个IMS相关,或者可以是局部控制模式,只与任务区相关或只与该任务区内的某一个(些)机
器和/或设备相关。对于局部控制的情况,见8.8.3。
注2:举例来说,任务区可能由机器人、传送带和磨削机组成。其中每台机器可能配有适合自己的模式,这些模式
也可能互不相同。
8.4.2 模式选择
IMS有不同的控制模式时(例如:自动、设置、工艺过程改变、示教、故障查找、清洗、维护),应提供
模式选择装置。
模式选择应符合GB/T15706.2—2007中4.11.10的要求。
模式的选择应是一个有针对性的工作。应提供显示模式选择状态的输出信号。信号的应用和性能
应由风险评价确定。
对于选定的操作模式,应提供相应的标志(例如:模式选择器的位置、指示灯的规定、可见显示标
志)。
8.5 安全防护装置的选择
8.5.1 安全防护装置的选择和执行
安全防护装置应按照GB/T15706.2—2007中的5.2进行选择。安全防护装置的设计应允许在任
务区内安全地完成干预。
31
8.5.2 防护装置的设计要求
防护装置的设计和构成应符合GB/T8196—2003的要求。如果没有来自单台机器的要求或没有
进行风险评价,IMS应采用如下尺寸:
———对于人员无需进入的地方,固定式和活动式防护装置的高度不应低于1400mm;
———对于人员必需进入的地方(例如:上料和下料),固定式和活动式防护装置的高度不应低于
1000mm;
———防护装置与地板之间的间隙不应大于200mm。
8.6 安全防护装置暂停时的保护措施
8.6.1 总则
需要手动干预的任务应按如下要求完成:
a) 任务应在安全防护空间外完成,或者当IMS或IMS的部件处于停止状态时完成。
b) 当按照a)的要求行不通时,则应按照8.4.2提供合适的模式。应采用技术规定来限制对特定
模式的干预[例如:能锁定的选择器,开门所需的工具或钥匙(见附录D)]。
c) 当按照b)的要求行不通时,则应给操作者提供具有安全通道的安全位置,以便完成任务(例
如:在充分减小风险的条件下,在安全防护空间内可对加工过程进行观测)。
用手动选择来暂停安全防护装置,应由可锁定的选择装置或其他相当的保护措施(例如:密码、确定
的控制功能的访问代码)进行。
安全防护装置的暂停可能有时间限制。安全防护装置暂停时,控制系统应能防止从危险区或任务
区之外引发的危险。IMS自动模式应仅在相应安全防护装置起作用时才能从安全防护空间外部触发。
暂停功能发生故障时,应防止在排除故障之前再次出现暂停。
8.6.2 其他保护措施
安全防护装置暂停时,其他保护措施应能达到风险评价确定的必要的保护水平。其他保护措施
包括:
———要求持续动作的保护装置(例如:双手操纵、使动装置);
———减速;
———减小扭矩;
———识别并提供安全位置和安全入口以便查找并排除故障。
使动装置应采用3位置型(见IEC602041:2005中的9.2.5.8)。
注1:无使动装置情况下的安全减速度是假定操作人员能在低速移动时安全地离开。因此,根据风险评价,在某些
情况下,即使是安全的减速度(例如:狭窄的空间),可能也需要使动装置。
注2:例如,压力机的减速度小于10mm/s,机器人的减速度小于250mm/s,无剪切危险时的减速度小于
250mm/s,有剪切危险时的减速度小于33mm/s。
8.6.3 其他保护措施的确定
为了实现要求的任务区功能性而暂停安全防护装置时,对每种操作模式来说,至少应分析以下几种
情况:
a) 风险评价指明在保护措施暂停而无法完成干预时,应处于停止状态的设备或部件;
b) 可以进行干预时,宜处于停止状态的设备或部件;
c) 由操作人员直接控制的设备。
8.6.4 状态显示
应提供安全防护装置暂停时的状态显示。此外,为了给操作者提供有关安全防护装置暂停的信息,
应提供以下一种或两种信息:
a) 暂停时能引发危险的有关安全的功能、电路和驱动器的状态显示;
b) 基本要素状态的显示(例如:工作进程的状态、设备元件位置等参数、温度)。
41
8.6.5 自动操作设备安全防护装置的暂停
对于自动操作设备,集成者应进行风险评价,以识别安全防护装置暂停时的所有危险和危险状态,
并进行适当地防护。
8.7 抑制和闭锁
抑制和闭锁性能的设计应符合GB/T16855.1和/或IEC602041:2005的要求。抑制和闭锁的安
装宜符合IEC/TS62046:2004的要求。抑制和闭锁不应使操作者暴露于危险中(例如:机械的运动、热
表面、噪声、激光、辐射、毒气)。
抑制功能有关安全的部件发生故障时,应防止在故障排除之前再次发生抑制。
8.8 控制
8.8.1 总则
制定每种和安全相关的控制功能的功能要求规范及其安全完整性要求规范时,应使用以下信息:
a) 机器风险评价的结果,包括确定在降低风险过程所必需的所有安全功能。
b) 机器工作特点,包括:
1) 工作模式;
2) 循环时间;
3) 环境条件;
4) 人与机器的交互作用(例如:操作、设置、清洗)。
c) 有关安全的控制功能方面的所有信息,这些信息够影响有关安全的控制系统的设计,例如
包括:
1) 有关安全的控制功能预期实现或防止的机器行为的描述;
2) 有关安全的控制功能之间以及有关安全的控制功能和其他功能(机器内部或外部)之间的
所有接口;
3) 有关安全的控制功能要求的故障翻译功能。
8.8.2 犐犕犛控制系统
IMS控制系统的有关安全的控制功能应由减小风险的策略来确定,并且在适当情况下,这一(些)
功能的实施应符合GB/T16855.1—2008、GB/T16855.2—2007和/或IEC62061:2005的要求。
应通过风险评价确定采用适当的性能等级(依照GB/T16855.1—2008)或SIL(安全xx性等级)
(依照IEC62061:2005)。
8.8.3 局部控制
是否需要局部控制应根据IMS运行要求来确定。
当提供局部控制时,风险评价应确定是否需要附加保护措施。当提供局部控制时,IMS控制系统
应注意这种有局部防护的情况,并且不应超越局部控制。在局部控制期间,急停功能应继续保持有效。
用以选择或取消局部控制的工具,不应设置在安全防护空间内,而应设置在受控机器或部件附近。
8.9 安全防护装置范围的复位
应按照GB/T16855.1—2008进行手动复位。安全防护功能的复位自身不应触发任何危险情况。
如果在附加保护措施没有实施连续探测的情况下,能够经保护装置探测区域进入安全防护空间,则
安全防护功能的复位应只能由专用的手动装置实现。
复位启动器应位于危险区之外,并且只应在安全防护空间之外被启动。复位启动器应置于安全的
位置,而且应具有良好的能见度,以便检查危险区内是否有人员存在。
如果能见度不好,集成者应提供以下附加保护措施:
a) 确保没有操作人员在危险区的保护措施(例如:现场传感装置、专门复位系统或关键点捕获
系统)。
b) 如果a)不可行,则应提供警告信号,信号持续的时间应确保信号能被获知,以便:
51
———操作者能安全地撤出安全防护空间;或
———操作者能启动一种可停止复位过程的工具,并且防止在安全防护空间内重启。
c) a)和b)的组合。
注:实现专门复位的一种方法是采用第二复位启动器。这种情况下,由{dy}启动器与位于危险区外(靠近安全防护
装置)的第二复位启动器一起触发危险区内复位功能。实现这种复位过程,应在有关安全的控制部件接收到单
独的重启命令之前的限定时间内完成(见GB/T16855.1—2008)。
8.10 启动/重启
IMS或IMS部件的启动/重启应符合GB/T16855.1—2008中的要求。
———实施手动启动/重启,应要求通过安全防护空间外的控制站采取预定动作来实现,并且IMS部
件的安全防护措施需就位且正常运转,同时要求所有有关安全的功能均已复位。
———启动器所处的位置应使工作人员清晰无障碍地看到安全防护空间。如果无法清楚地看到,则
应提供相应方法,以确保所有人员均已离开该区域,或提供附加保护措施(例如:现场感应装
置)。
当风险评价要求采用视觉或听觉警示装置时,应满足以下所有要求:
a) 启动/重启功能的运行应立即触发警示装置;
b) 在预定警示过程结束前,应连续触发警示装置;
c) 警示过程结束时,启动/重启功能应已完成;
d) 应在安全防护空间内提供防止启动/重启的工具,其操作级别应高于所有安全防护装置复位
和IMS或部分IMS的启动/重启功能;
e) 考虑到在安全防护空间内需要完成的任务,应有足够的警示持续时间,以允许操作者触发上述
工具或安全地退出安全防护空间。
注1:足够的时间可能包括从任务中撤离的时间,再加上退出或触发工具的时间。
注2:周期触发的要求可见GB/T15706.2—2007中的5.2.5.3或5.3.2.5。
8.11 急停
急停应符合IEC602041:2005和GB16754—2008的要求。急停的控制范围应符合8.2的要求。
集成者对IMS的设计和构建,应使得急停不仅能停止组成IMS的机器,而且能停止所有上位设备
和/或下位设备(如果这些设备的连续运行是危险的)。某区域的急停装置启动后,该区域与系统其他区
域之间的衔接处不应存在危险。
IMS所有急停装置都应具有相同的控制范围,或者应能清晰地辨别出控制范围。
一个任务区的所有急停装置应具有相同的控制范围。控制范围可能包括多重区域。
启动急停后不应产生附加危险。
在安全防护暂停时能手动干预的场合,急停装置应位于任务区内,且易于接近。
8.12 撤离和救援被困人员的措施
撤离和救援被困人员的规定应符合GB/T15706.2—2007中5.5.3的要求。
9 使用信息
9.1 总则
使用信息应符合GB/T15706.2—2007中第6章的要求。
集成者应提供IMS的技术文件和概述,包括(但不限于):
a) IMS的功能性。
b) 对IMS预定使用和使用限制的描述。
c) 对以下各项的描述和/或图示:
1) IMS布局;
61
2) 设备位置和方向;
3) 任务区及相关遗留风险;
4) 各种安全控制功能和保护装置的控制范围(例如:保护装置的复位、使动装置、急停、控制
站、切断装置);
5) 保护装置安装后的安全距离以及停止时间的详细资料;
6) 工作任务和任务区,完成任务的位置和路线;
7) 保护措施;
8) 效用;
9) 物料流。
d) 与IMS各组成机器和相关设备有关的文件。
e) 对最初提供给IMS各组成机器的保护措施的修改。
另外,集成者应从供应商处获得必需的信息,并把这些信息按照逻辑性加入到使用说明书中。
注:技术文件见IEC602041:2005中的9.2.5.8。
9.2 标志
IMS应按照GB/T15706.2—2007中的6.4进行标记。
10 设计方面需做的确认
10.1 确认设计满足要求
作为递推过程的一部分,集成者应确定设计是否满足要求。如果不满足要求,则集成者应:
a) 修改IMS布局、功能性和/或界限;
b) 更换和/或修改设备,以降低与干预有关的风险;
c) 确定新的进入路线和方式;
d) 修改完成干预的方式。
10.2 确认保护措施
集成者应确认所选的和采用的保护措施能充分减小风险。
71
附 录 犃
(资料性附录)
集成制造系统(犐犕犛)的示例
集成制造系统可由如图A.1中所示的机器和机器部件构成。
图A.2给出了集成制造系统的几种类型的图示化,并且以框图的形式给出了结果。
a)机床、拣选机b)带控制系统的机器人c)无任何控制系统的传送带
图犃.1 犐犕犛机器和机器部件的示例
a)例1 汽车工业生产线(每种机器由不同的供应商提供)
b)例2 带机器人的自动进料磨削机
图犃.2 犐犕犛示例
81
c)例3 加工和IMS部件分布
说明:
安全防护空间
数据连接
烍
烌
烎
生产流程
系统集成的附加值
图犃.2(续)
91
附 录 犅
(资料性附录)
集成制造系统(犐犕犛)的示例集成者、用户和供应商之间的信息流
表B.1给出了集成者、用户和供应商之间的信息流示例。表B.1并没有列出所有的项目和子
项目。
表犅.1 集成者、用户和供应商之间的信息流
与安全集成有关的任务信息流项 目子 项 目
IMS功能性U>I>SIMS性能
有效性
可维护性
IMS限制和约束
U>I>SIMS约束
批量修改、变换数
产品特征
操作员知识和资格
环境
有效的表面和区域
生产组织
S>I技术子系统数据
性能
接口
噪声等级/振动
废物、报废品
排放物
危险识别
S>II>SU>I
与IMS结构相关的危险—
风险评价S>I>U与IMS结构相关的风险遗留风险
说明:
I=集成者;U=用户;S=供应商。
02
附 录 犆
(资料性附录)
犐犕犛内控制范围的示例
下列各图给出了IMS安全系统的控制范围如何实现的示例。
图C.1给出了由5台机器及物料处理系统组成的IMS。此IMS只有一个区域。本例中与控制范
围有关的装置为门联锁装置、急停按钮和复位按钮。这些装置的控制范围为整个区域。打开任何一道
门或启动任何急停装置都会触发5台机器和物料处理系统(传送带)的停止命令。按下任一复位按钮就
可复位整个IMS的安全系统。
说明:
1———门联锁装置; 4———安全防护边界;
2———复位;5———入口关闭;
3———急停;6———入口打开。
图犆.1 由5台机器和物料处理系统组成的犐犕犛
图C.2给出了和图C.1中相同的IMS,只是IMS分为了两个区域(A区和B区)。A区包括A区
域内的设备和物料处理设备(传送带)。B区包括B区域内的设备以及物料处理设备(传送带)。每个区
域都有门联锁装置、急停和复位装置。入口5的门联锁装置、急停和复位装置的控制范围是A区。入
口6和入口7的装置控制范围是B区。本例中,入口7打开,B区停止,A区连续运行。
12
说明:
1———门联锁装置; 6———入口关闭;
2———急停;7———入口打开;
3———复位;8———A区;
4———安全防护边界;9———B区。
5———入口关闭;
图犆.2 如图犆.1所示的犐犕犛(分为两个区)
图C.3是与图C.2中相同的IMS,只是多了一个C区,C区包括机器人部件固定装置和现场传感
装置。安全光幕和安全垫只与A区内的载荷固定装置和机器人连接,并非和A区的所有设备连接。A
区包括本区域内的设备和物料处理设备(传送带)。B区包括本区域内的设备和物料处理设备(传送带)。
说明:
1———门联锁装置; 7———入口关闭;
2———急停;8———A区;
3———复位;9———B区;
4———安全防护边界;10———C区;
5———入口关闭;11———为连续探测而安装的现场传感装置。
6———入口关闭;
图犆.3 如图犆.2所示的犐犕犛(犆区装有现场传感装置)
22
图C.4给出了和图C.2中相同的IMS,只是入口8允许从A区和B区之间进入,并且传送带有单
独的急停装置。入口8的门联锁装置的控制范围为A区和B区内的机器和机器人。入口5、入口6、
入口7和入口8相关装置的控制范围不包括物料处理设备(传送带)。
说明:
1———门联锁装置; 7———入口关闭;
2———急停;8———入口关闭;
3———复位;9———传送带急停装置;
4———安全防护边界;10———A区;
5———入口关闭;11———B区。
6———入口关闭;
图犆.4 如图犆.2所示的犐犕犛(入口8允许从犃区和犅区之间进入)
32
附 录 犇
(资料性附录)
对自动工序的临时监测
犇.1 总则
工序监测可理解为技术安全措施与安全行为要求的结合,通过限制速度、横跨路径以及从不必要的
活动中脱离,从而向操作者提供{zd0}可能的保护。
当保护措施减少以至需要采用备用措施时,建议进行自动工序的临时监测。技术安全措施的实施
方式,应能防止可预见的误操作。
建议集成者与未来用户之间以这种方式增强联系,以便能够分析操作者的行为要求,并把它们转化
为实际行动。
根据所采用的技术,如果对系统或系统部件自动工序的临时监测是必需的,或者在例外情况下,如
果由于人类工效学方面的原因,不适宜连续启动使动装置,则宜建立图D.1所示的概念。
42
图犇.1 工序监测中的安全防护
52
犇.2 有关工序监测的注释(见图犇.1)
a) 是否需要对工作过程进行“更近距离”的监测?C类标准中给出的相关操作模式是否能控制工
作过程?附加系统(如摄像机或结构噪声防护装置)是否有所帮助?
是否已进一步咨询未来用户?用户是否已充分解释(例如,由于公差变化较大的毛坯铸件的制
造、制造工艺的修正、激光加工的质量等因素)附加操作模式对预定生产是xx必需的?
b) 是否记录了咨询结果,尤其是附加操作模式的原因?与正常操作模式相比,采用附加操作模
式是否保持在预定使用范围所必需的范围内?
c) 应确切规定采用附加操作模式的IMS的预定使用,并且建议将这些预定使用包括在技术文件
中。对于危险分析和风险评价,安全策略(见第4章)宜包括预定使用。同时,特殊情况(人员
接近加工过程)宜予以考虑。
d) 通过设计避免危险是降低风险的{zj0}选择。由于实际中控制风险比较困难,因此宜优先考虑
减小风险的技术安全措施。一方面,技术措施宜能减小风险;另一方面,这些措施宜将附加操
作模式尽可能限制在最小范围内以避免误操作,例如,可通过以下方式实现:
1) 将安全速度限制和横跨路径仅规定在必需的等级;
2) 移动部件停止后对其进行手动重启;
3) 与不必要的操作模式中的这类危险运动(轴线方向)安全分离;
4) 防止自动更换工具;
5) 防止更换托板;
6) 防止高压下放入冷却润滑剂;
7) 人工确认冷却剂释放(伤害眼);
8) 紧急情况下的停止装置(急停)的易接近性;
9) 只有经过钥匙开关或密码等认可的入口。
e) 如果通过技术手段充分降低了风险,则可提供附加操作模式。
f) 应继续递推过程,直至用到所有的技术手段为止。
g) 如果第5点中提及的风险评价表明遗留风险是不可接受的,则建议集成者查看用户是否能通
过附加手段减小风险,例如:
1) 雇员特殊的资历;
2) 提供正规指令(书面证据);
3) 个人防护设备(例如:防护眼镜、防护鞋、穿戴合适的衣服);
4) 给IMS增加关于附加操作模式的操作手册。
如果集成者获知用户无法采用上述手段,则不宜提供IMS附加操作模式。
h) 如果操作者获知用户能够通过附加措施减小风险,则宜在集成者与用户之间的协议中记录这
些附加措施,并且宜作为操作手册的要求和IMS上的标志或警告信号包括在协议中。
i) 建议将与附加操作模式有关的所有信息记录在操作手册中:
1) 预定操作;
2) 可预见的误操作;
3) 操作和功能的描述;
4) 用户根据第7步和第8步采取的措施;
5) 关于维护和控制的其他要求。
62
参 考 文 献
[1] GB/T2893.1—2004 图形符号 安全色和安全标志 第1部分:工作场所和公共区域中安
全标志的设计原则(ISO38641:2002,MOD).
[2] GB/T12643—1997 工业机器人 词汇(eqvISO8373:1994).
[3] GB/T20850—2007 机械安全 机械安全标准的理解和使用指南1)(ISO/TR18569:2004,
IDT).
[4] ISO38642:2004 图形符号 安全色和安全标志 第2部分:产品安全标志的设计原则.
[5] ISO38643:2006 图形符号 安全色和安全标志 第3部分:安全标志中使用的图形符号
的设计原则.
[6] ISO6385:2004 工作系统设计的人类工效学原则.
[7] ISO102181:2006 工业环境机器人 安全要求 第1部分:机器人.1) GB/T20850—2007提供了有助于理解本标准的其他标准的信息。
