GBT 35850.1-2018 电梯、自动扶梯和自动人行道安全相关的可编程电子系统的应用 第1部分:电梯(PESSRAL).pdf
- 文档部分内容预览:
GBT 35850.1-2018 电梯、自动扶梯和自动人行道安全相关的可编程电子系统的应用 第1部分:电梯(PESSRAL).pdf
5.1.1表1列出了安全功能名称和对该安全功能SIL相关部分的SIL要求。当安全功能未动作时,允 许电梯不中断运行。 5.1.2表2列出了表1中安全功能动作后的安全状态要求。安全功能动作后,使电梯转人表2中的安 全状态。 5.1.3为了达到安全状态而不致发生危险,PESSRAL应考虑电梯响应安全功能的时间以及检测到内 部故障必要的时间。实现内部故障检测的方法应考虑SIL所要求的系统响应时间(参见示例)。 示例:如果一个双通道系统在必要的系统响应时间内通过数据比较检测到一个内部故障,则可变内存区检测不必在 系统响应时间内完成,因为安全完整性由双通道设计来保证
5.1.1表1列出了安全功能名称和对该安全功能SIL相关部分的SIL要求。当安全功能未动作时,允
5.2.2~5.2.4中列举的要求用于确认电梯安全功能的SIL和安全状态 安全生产标准,这些电梯安全功能是新的 同于5.3和5.4提出的要求
通定PESSRAL的SIL的
5.2.3.1用于确定电梯安全相关功能的PEsystem的目标失效量的要求不应低于SIL1,也不应高于 SIL3。如果某目标失效量的要求高于SIL3,则应考虑重新设计系统,使其所需的目标失效量满足SIL3 成低于SIL3的规定。如果要求的SIL低于SIL1,可使用非SIL的PEsVstem,但其不应归类于PESS RAL。即使将PESSRAL应用于低于SIL1要求的安全功能中,其SIL也不应低于SIL1 5.2.3.2在电梯行业内SIL4的单个安全功能的应用不是典型的需求。应避免这种应用,因为在安全装 置的整个生命周期中,达到和保持这样的高等级是困难的。如果分析结果要求某个电梯安全功能为 SIL4或更高,应考虑对过程设计作出改变,如采用本质安全设计措施或增加额外层面的保护。这些改 进有可能降低对电梯安全功能的SIL要求。如果仍不能降低安全完整性等级,则应将该安全功能的目 标失效量分散给多个充分独立的、实践应用验证过的低于或等于SIL3的PESSRAL
5.2.4安全状态要求
对于新的或不同于5.3和5.4规定的电梯安全功能,设计者可按照表2所描述的类似方式 状态要求。
5.3安全功能的 SIL 要求
电梯的安全功能所需要的SIL参见表1和表B.1
GB/T35850.12018
表1安全功能的SIL要求
相关和非SIL相关安全状
GB/T35850.12018
GB/T35850.1—2018表2(续)安全状态要求切切阻限切转换到检修限制轿限需忽忽阻阻阻阻止(防)阻允许按给定速度曲线启动和/或停止启用信号装置止(防止)电梯)制电梯运行断换制手心略(检)心略(检)止(防)止止止(防)断到紧急轿动防路接触厢防厢查轿门查层门关闭止)门的自动操作止)对接操你止止)防沉降功止)轿内检修操作速向位/操电度紧急中范作动运行个白动运行(R14)围的线万关闭电向和/或锁作动圈操和运能(仅液压电梯)供作移序号电梯安全功能(装置)行电电池动紧)路止SIL相关非SIL相关16检查无锁门扇的关闭位置R1517检查轿门的关闭位置R15O检查轿厢安全窗和轿厢安全门18的锁紧状况19轿顶停止装置20检查轿厢或对重的提升0O检查钢丝绳或链条的异常相对21伸长(使用两根钢丝绳或链条时)检查强制式电梯和液压电梯的22Q钢丝绳或链条的松弛23检查防跳装置24检查补偿绳的张紧025检查轿厢安全钳的动作26检查超速27检查限速器的复位28检查限速器绳的张紧29检查安全绳的断裂或松弛030检查触发杠杆的收回位置R10R1131检查棘爪装置的收回位置R10R11采用具有耗能型缓冲装置的棘32爪装置的电梯,检查缓冲装置恢R10R11复至其正常的伸出位置10
GB/T35850.12018
GB/T35850.1—2018表2(续)安全状态要求切切阻限切转转限需忽忽阻阻阻阻止(阻允许按给定速度曲线启动和/或停止启止(防止)电梯)制电梯运行范围断断换到检修械换到紧急电动制轿制轿厢手动略(检查轿门关闭)略止止止止(防止)轿内检修操作用信号装置路接触复检(防止)门的自动操作防防防查层门关闭动止止止)防沉降功能(速向操位度对接操紧急电动器作动运行操件个方自动运行(R14)的线围供电电脑向的彩和/或燃和/或锁紧)作动运序号作移电梯安全功能(装置)行(仪液压电梯)动锁路紫)止SIL相关非SIL相关检查液压缸柱塞位置传递装置49的张紧(极限开关)50极限开关R16检查轿厢位置传递装置的张紧51(减速检查装置)检查轿厢位置传递装置的张紧52(平层、再平层和防沉降)53对接操作的行程限位装置R24R254对接操作R23R25R1将轿厢速度限制为:平层时最高0.8m/s,再平层时最高0.3m/sR2在目的层站的开锁区域忽略此项检查R3限制轿厢仅在开锁区域内运行R4轿厢速度不应超过0.63m/sR5仅能使用工具手动启用和复位R6轿门旁路操作时忽略此项检查R7层门旁路操作时忽略此项检查R8限定轿厢在端站限位内运行。液压电梯允许越过下极限R9当轿厢触及端站限位时,限定轿厢仅能向背离该端站的方向运行R10仅当向下运行时检查R11限制轿厢仅能向上运行12
GB/T35850.12018
5.5SIL符合性验证的实现和证明
5.5.3PESSRAL装置启用后的失电
.3.1对于不需要手动复位的功能,在电源恢复后应允许PESSRAL恢复正常工作模式,其输出状 由电源恢复后的输人条件决定。
规定了对实现、验证和保持PESSRAL的SIL符
.1.1用于满足本部分SIL要求的技术和措施
GB/T35850.12018
附录A (规范性附录) 实现、验证和保持SIL符合性的技术和措施
实现和证明PESSRAL的SIL符合性所需的技术和措施应满足以下任意一项 a)运用A.2规定的技术和措施: b)运用A.3规定的使用GB/T20438.2和GB/T20438.3的技术和措施
制造商应提供说明书。 在电梯正常运行中,无法进行PESSRAL的功能验证时,说明书应说明如何实施功能验证。说明书 还应提供下列活动的信息,以便这些活动能够安全有效地实施: a) 组装; b) 连接; ) 调试; d) 维护和修理; e) 识别、标记、标识、证书和清单; 功能验证的周期
A.1.2.1说明书中对维护和修理的一般要求
制造商提供的说明书应包含下列有关PESSRAL维护和修理的内容: a 用于培训维护人员的特别要求和/或注意事项,以使PESSRAL的所有功能运行维持在其相应 的SIL; b) 检验测试、预防性维护和故障维修的活动; C 用于维护的特定技术和措施; d) 维护活动的验证和文档要求; e) 维护活动的周期; f) 确保日常维护中所用的检测设备经正确地校验和维护; g PESSRAL发生故障或失效时所需进行的维护和修理活动,包括: 故障诊断和修理; 重新确认; 维护及故障的报告要求
A.1.3维护或可维护性的设计要求
PESSRAL的设计应允许端到端或分部测试 注:术语“端到端”是指从传感器端到进入安全状态。
当预计的计划检验时间间隔大于用以决定PESSRAL的SIL的检验测试时间间隔时,应对试验作 适当的规定。当需进行自动检验测试时,试验项目应成为SIL设计的必备部分,以测试未检测到的 失效。
A.1.4EMC抗扰度
对于SIL相关安全状态要求,PESSRAL应达到GB/T24808中规定的“安全电路”测试等级;对 SIL相关安全状态要求,应达到GB/T24808中的“一般功能电路”和“所有电路”测试等级。
A.2实现和验证SIL符合性的特定技术和措施
A.2.2.1印制电路板(PCB)
如满足下列条件,可不考虑短路的可能性: a)PCB的通用技术条件符合GB/T16261的要求; b) 基板的材料符合GB/T4721的要求,以及GB/T4723、GB/T4724和/或GB/T4725的要求; PCB的结构符合上述要求,而且各最小值根据GB/T16935.1一2008中的表,满足以下条件: 污染等级是3; 材料类别是Ⅲ; 非均匀电场。 不使用GB/T16935.1一2008的表F.4中“印制线路材料”栏。 对于250V的有效电压值,爬电距离为4mm,电气间隙为3mm。 对于其他电压值,应参考GB/T16935.1一2008。 如果PCB的防护等级不低于IP5X,或者材料有更高的质量,爬电距离可以减小到电气间隙值要 如:对于250V的有效电压值,爬电距离可以为3mm。对于至少有3层经预浸处理的聚酯胶片或
A.2.2.2共用硬件
如果PESSRAL和非安全相关系统共用了同一块PCB,应按下列要求隔离这两个系统: a 如果保护外壳的防护等级不高于IP4X,则其电气间隙不应小于3mm,爬电距离不应小于 4mm b)如果保护外壳的防护等级高于IP4X,则其爬电距离可降至3mm。 如果PESSRAL和非安全相关系统共用了同 一硬件,则该硬件应满足PESSRAL的要求
A.2.2.3其他要求
与硬件设计相关的避免和检测失效的通用措施见表A.1
A.2.5.1符合SIL1的特定措施见表A.4。
A.2.6符合性验证的测试程序
A.2.6.1一般规定
A.2.6.1.1本部分所规定的试验单位是一个经批准的机构。 A.2.6.1.2测试样品的选送应由实验室和申请人商定。申请人可以参加测试。 A.2.6.1.3除非有特殊规定,仪器的精确度应满足下列测量精度的要求: a) 质量、力、距离、速度:土1%; 加速度:±2%; c) 电压、电流:土5%; 温度:土5℃; e 记录仪器:应能检测到0.01s内变化的信号
A.2.6.2对印制电路板或其等效组件的规定
GB/T35850.12018
申请者应向实验室说明: 印制电路板裸板/印制电路板的标识; b)工作条件; c) 使用的元件清单; d) 印制电路板裸板/印制电路板布置图; e) 混合电路布置图及用于安全电路的布线标志: f) 功能描述; g) 布线图等电气数据,如果可能,还应有印制电路板裸板/印制电路板的输人输出定义; h) 与表A.3所列措施相关的文件和描述; i) 使用软件的总体描述,如:编程规则、语言、编译器、模块等; j) 功能描述,包括软件架构和硬/软件配合; k) 功能块、模块、数据、变量和接口的描述; 1) 软件清单
A.2.6.3功能和安全测试
除采用表A.1~表A.6中定义的措施进行验证外,还应确认: a) 软件设计和编码:使用例如形式化设计检查、范根(FAGAN)检查法或测试用例等方法检查 部代码语句:
b)软件和硬件检查:使用例如故障插人测试法等方法(基于GB/T20438.2和GB/T20438.7)来 验证表A.1和表A.2中所有措施及所选择的措施(如从表A.7中选择)
A.2.7可用措施描述
失效控制的可用措施描述见表A.7
表A.1避免和检测故障的通用措施一 一硬件设
表A.2避免和检测故障的通用措施一 一软件设计
GB/T35850.12018
表A.3设计和实现过程的通用措施
表A.4符合SIL1的特定措施
表A.6符合SIL3的特定措施
GB/T35850.12018
表A.7失效控制的可用措施描述
GB/T35850.1—2018表A.7(续)部件和功能「措施序号措施描述双通道结构的比较器描述:1比较器M2.4带硬件比较器的双通道:a)使用硬件单元循环地或持续地对两个处理单元的信号进行比较。比较器可以是一个外部验证过的单元或被设计为一个自监视装置;或处理单元使用处理单元对两个通道的信号进行比较。比较器可以是一个外部验证过的单元或被设计为一个自监视装置双通道的相互比较描述:M2.51比较器比较器使用两个允余处理单元,二者相互交换安全相关数据。每个处理单元内都对数据进行比较带单字余的块安全处理(如ROM中的一个字长的签名)描述:M3.1在该测试中,ROM的内容被特定算法压缩为至少一个存储字。该类算法,如循环完余校验(CRC),可使用软件或硬件实现带多位允余的字保存,如改进的海明码(hammingcode)描述:M3.2存储器的每个字被扩展若干余位以容纳一个海明距至少为4的改进的海明码。每读个字时,通过校验完余位可以确定是否发生了错误。若发现差异,系统应进人安全状态有复制块的块安全处理描述:地址空间被划分到两个存储器中。第一个存储器以正常方式工作,第二个存储器包含同不可变M3.3样的信息并同第一个并行存取。比较两者的输出,当检测到差异时就认为失效。为检测某存储区些类型的位错误,应对其中的一个存储器中的数据取反后存储,读取时再次取反。在软件(ROM,执行过程中,应通过一个程序对两个存储区域的内容进行循环比较EPROM...)带多字允余的块安全处理描述:M3.4使用CRC算法来计算一个签名,而结果值至少有两个字长,扩展的签名如同单字的情况中被存储、重新计算和比较。当存储的和重新计算的签名之间有差异时就产生失效信息位完余的字保存(如带奇偶校验位的ROM监视)描述:把存储器的每个字都扩展一位(奇偶校验位),此位给每个字补齐偶数个或奇数个逻辑M3.5“1”。每次读数据学时检验它的奇偶性。若发现“1”的个数有错,产生失效信息。应这样选择偶或奇的奇偶性,使得在一次失效中,无论是0字(全0)还是1字(全1)都不是有效的,此时字也不是有效代码。当数据字和它的地址串联计算奇偶性时,奇偶校验也可用来检测寻址错误24
GB/T35850.12018
A.3使用GB/T20438.2和GB/T20438.3实现和验证SIL符合性的技术和措施
3使用GB/T20438.2和GB/T20438.3实现和验证SIL符合性的技术和措施
A.3规定了采用GB/T20438的要求,可用于实现和验证PESSRAL的SIL符合性。 A.3.1.1本部分中的SIL表示了对工作在低要求模式中装置的要求,以及在要求时执行安全功能的失 效概率(参见GB/T20438.1一2006的表2)。然而,PESSRAL是以持续控制的方式来保持安全功能 时,SIL应表示对工作在高要求模式中PESSRAL的要求,并应使用每小时危险失效概率(参见 GB/T20438.1—2006的表3)。 如果存在子系统输出状态的组合会直接导致危险事件的可能性,应将子系统中危险故障的检测视 为一个工作在连续模式的安全功能。 A.3.1.2用于执行非SIL相关要求的装置和软件不得用于实现PESSRAL的SIL相关要求,除非这些 装置和软件已经包含在安全相关功能SIL的分级中。 A.3.1.3在任何能容许单一故障的PESSRAL子系统中,一且检出一个危险故障(通过诊断测试、检验 测试或任何其他方式),应进人本部分表2中的安全状态。为了在同一子系统中可导致危险状况的第二 个故障出现之前保持PESSRAL的完整性和安全状态条件,如果有必要,应采取手动复位使PESSRAL 脱离安全状态条件。 如果上述动作依赖于对危险故障报警执行特定动作的操作人员或远程子系统,则报警本身应被认 为是该PESSRAL的SIL相关功能的一部分
A.3.2SIL符合性的实现
一致 /T20438.7,它包含了GB/T20438.2和GB/T20438.3相关的各种安全技术和措施的概述
GB/T35850.12018
注:假如若十个低安全完整性等级系统能达到足够等级的独立性,且在应用中被证明,则可用来满足一个更高安全 完整性等级功能的需求
A.3.3符合性的验证
附录B (资料性附录) 适用的电梯规范和标准 本部分中的电梯安全功能(装置)参考了GB7588—2003十XG1—2015、GB21240—2007和EN81 20:2014所定义的安全功能(装置)。为了便于对照和应用,表B.1给出了这些规范和标准与表1中的 电梯安全功能(装置)之间的关系。
本部分中的电梯安全功能(装置)参考了GB7588一2003十XG1一2015、GB21240一2007和EN 2014所定义的安全功能(装置)。为了便于对照和应用抗震标准规范范本,表B.1给出了这些规范和标准与表1中 弟安全功能(装置)之间的关系。
表B.1适用的电梯标准对照表
GB/T35850.12018
附录C (资料性附录) 风险降低决策表的示例 表C.1给出PESSRAL应用的一个风险降低决策表的示例,相应的纠正措施列在表C.2。 关于后果的定义如下: I灾难性的:在标准的范围内丧失所有的安全目标; Ⅱ严重的: 在标准的范围内永久性地失去部分安全目标; ⅢI轻微的: 在标准的范围内临时性地失去部分安全目标: IV可忽略的: 在标准的范围内可忽略的或安全目标无任何损失
表C.1风险降低决策表
表C.2纠正措施一 一风险降低的要求
建筑节能GB/T35850.12018
....- 电子标准
- 相关专题: 电梯