TSG T7007-2016 特种设备安全技术规范
注Q-2:满足下列条件,其部件被要求达到安全功能的一个子系统可视为A类安全相关子系统:
(1) 所有组成部件的失效模式都被很好地定义;并且 (2) 故障状况下子系统的行为能够完全确定;并且
(3) 通过现场经验获得充足而可靠的数据,可显示出满足所声明的检测到的和未检测到的危险失效的失效率。
注Q-3:满足下列条件,其部件被要求达到安全功能的一个子系统可视为B类安全相关子系统:
(1) 至少一个组成部件的失效模式未被很好地定义;或 (2) 故障状况下子系统的行为不能完全确定;或
(3) 通过现场经验获得的可靠的数据不够充分,不足以显示出满足所声明的检测到的和未检测到的危险失效的失效率。
如果子系统中只要有一个组成部件满足B类的条件,那么这个子系统应被视为B类。
Q5.2.3 可编程系统安全完整性等级的目标失效量
PESSRAL或PESSRAE安全功能的安全完整性等级分为3个等级,SIL3为安全完整性最高等级,SIL1为最低等级。
PESSRAL或PESSRAE安全功能的安全完整性等级应该符合下列要求: (1)按照高要求或连续操作模式来进行安全完整性等级设计和确认;
(2)不同安全完整性等级,随机硬件失效引起的安全功能失效的概率---每小时危险失效概率( PFH ),应该满足表Q-4的规定。
表Q-4 可编程系统(PESSRAL或PESSRAE)安全功能的安全完整性等级的目标失效量
安全完整性等级 ( SIL ) 3 2 1 Q5.2.4 可编程系统设计和实现的通用措施 与硬件设计相关的避免和检测故障的通用措施,与软件设计相关的避免和检测故障的通用措施应该分别符合表Q-5和表Q-6规定的要求;设计和实现过程的通用措施应符合表Q-7规定的要求。
表Q-5 与硬件设计相关的避免和检测故障的通用措施
序号 1 2 对象 处理单元 元器件选择 使用看门狗 使用的元器件仅在规格说明(清单)范围内 措施 GB/T 20438.7-2006 条款号 A.9 每小时危险失效概率( PFH ) ≥ 10-8 --- < 10-7 ≥ 10-7 --- < 10-6 ≥ 10-6 --- < 10-5 - 120 -
特种设备安全技术规范 TSG T7007-2016
3 4 5 6 7 8 9 I/O单元和通讯接口 电源 可变的存储区 可变的存储区 可变的存储区 不变的存储区 不变的存储区 电源失效或重启时进入已定义的安全状态 过电压或欠电压时进入已定义的安全关闭状态 仅使用固态存储器 启动过程中对可变数据存储的读写测试 仅对资料性数据(如统计数据)可使用远程访问 不可能改变程序代码,无论是系统自动改变还是远程介入改变 启动过程中对程序代码存储器和固定数据存储器进行测试,方法至少等同于和数校验 A.8.2 A.4.2 表Q-6 与软件设计相关的避免和检测故障的通用措施
序号 对象 措施 根据技术水平(见GB/T 20438.3)的程序结构(例如模块化、数据操作、接口定义) 启动过程中必须保持电梯处于安全状态 限制中断的使用:仅当所有可能的中断次序可预测时才能使用中断嵌套 中断过程不得触发看门狗,除非与其他程序序列组合 为了安全相关功能,不允许有掉电过程,比如数据的保存过程 硬件和/或软件中带有适当反馈过程的堆栈管理 多重循环时间短于系统反应时间,如通过限制循环次数或检查执行时间 数组指针偏移量检查,如果使用的编程语言没有包括 被定义的异常操作(如除以零、溢出、变量范围检查等)出现时强制系统进入预定的安全状态 不使用递归编程,除非在使用良好的标准库中、在被认可的操作系统中、或在高水平语言编译器中。对于这些例外,内存管理单元应为独立的任务提供独立的堆栈并控制它 程序库接口和操作系统的文档至少和用户程序本身一样详尽 GB/T 20438.7-2006 条款号 B.3.4/C.2.1 C.2.9/C.2.7 / C.2.6.5 A.9.4 / C.2.6.4/ C.5.4 / C.2.6.C / 1 2 3 4 5 6 7 8 9 结构 启动过程 中断 中断 掉电 内存管理 程序 程序 程序 10 程序 C.2.6.7 11 程序 / - 121 -
TSG T7007-2016 特种设备安全技术规范
序号 12 13 对象 程序 措施 对与安全功能相关数据的合理性检查,如输入模式,输入范围,内部数据 GB/T 20438.7-2006 条款号 C.2.5/C.3.1 14 15 16 如果任一操作模式可因测试或者验证目的被运GB/T 程序 行,则直到该模式运行结束才能恢复电梯正常操20438.1-2006 作模式 7.7.2.1 在执行安全功能的总线通讯系统内,发生通讯错通讯系统(外误或与总线相关的故障后,应达到安全状态并考A.7/A.9 部和内部) 虑系统反应时间 总线系统 I/O处理 除启动过程外不得重新配置CPU总线系统。 除启动过程外不得重新配置I/O 线。 C.3.13 C.3.13 注Q-4:周期性地刷新CPU总线系统不认为是重新配置。 注Q-5:周期性地刷新I/O 配置寄存器不认为是重新配置。
表Q-7 设计和实现过程的通用措施
序号 1 2 3 4 5 6 7 8 9 10 措施 功能、环境和接口方面的应用评估 结构化的规范(安全要求规范) 规范的检查 相关设计文档以及: -包括系统结构和硬件/软件的相互关系的功能描述 -包括功能和程序流程描述的软件文档 设计、开发的检查报告 失效分析。例如失效模式和影响分析(FMEA)方法的可靠性检查 制造商的测试规范、测试报告和现场测试报告 指导文档,包括对预期使用的限制 产品有改动,复制和更新以上所提及的措施 执行硬件和软件的版本控制及其兼容性 GB/T 20438.7-2006 条款号 A.14 / B.1 B.2.1 B.2.6 C.5.9 B.3.7/B.3.8,C5.16 B.6.6 B.6.1 B.4.1 C.5.23 C.5.24 Q5.2.5 可编程系统SIL要求的设计和实现的特定措施 SIL1要求的特定措施见表表Q-8;SIL2要求的特定措施见表Q-9;SIL3要求的特定措施见表Q-10;不同SIL要求特定措施的失效控制的可用措施描述见表Q-11。 - 122 -
特种设备安全技术规范 TSG T7007-2016
表Q-8 SIL1要求的特定措施
序号 元器件和功能 要求注Q-5 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M1.1 A.3.1 M1.3 A.2.5 A.3.4 A.3.1 A.1.3 A.3.5 1 2 3 4 5 6 7 具有自检功能的单通道结构,或 具有比较功能的双通道或多通道结构 故障更正的硬件,或 M2.1 软件自检,或 M2.2 双通道结构的比较M2.4 器,或 M2.5 双通道结构的软件相 互比较 下面的措施仅针对单不正确的信息修改,例 通道结构: 不变如,所有的1位或2位故 一位冗余(奇偶校验的存障,以及部分3位和多位M3.5 位),或 储区 故障应当最迟在电梯下 具有一字冗余的块安一次运行之前被检测到 M3.1 全 在寻址、写入、存储和下面的措施仅针对单 读出期间的全局性故通道结构: 可变障,以及所有1位、2位具有多位冗余的字保M3.2 的存故障,部分3位和多位故存,或 储区 障应当最迟在电梯下一通过测试模式检测静M4.1 次运行之前被检测到 态或动态故障 I/O单元和I/O线上的静态故障和包括干扰以及数据流中的随代码安全,或 M5.4 通讯机和系统故障应当最迟测试模式 M5.5 连接在电梯下一次运行之前的接被检测到 口 用于处理单元的时钟发生器故障,如频率改变具备独立时钟基准的M6.1 时钟 或停顿,应当最迟在电看门狗,或 梯下一次运行之前被检相互监控功能 M6.2 测到 安全相关功能错误的程程序 序序列和不恰当的执行程序序列的时序和逻M7.1 序列 时序最迟应在下次运行辑监视的组合 前被检测到 结构应当是一旦检测到任何一个随机故障,则结构 系统就应当进入一个安全状态 处理单元中能导致错误结果的故障应当能被检处理 测出来。 单元 如果这样的故障会导致危险状态,那么系统应当进入一个安全状态 A.5.5 A.4.3 A.5.6 A.5.2 A.6.2 A.6.1 A.9.4 A.9.4 - 123 -
TSG T7007-2016 特种设备安全技术规范
注Q-6:检测出故障之后,电梯、自动扶梯和自动人行道应当维持在某一安全状态。
表Q-9 SIL2要求的特定措施
序号 元器件和功能 要求注Q-6 措施 具有自检和监控功能的单通道结构,或 具有比较功能的双通道或多通道结构 表GB/T Q-12 20438.7-2006 条款号 条款号 M1.2 A.3.3 M1.3 A.2.5 1 结构应当是在考虑了系统反应时间的前提下,结构 一旦检测到任何一个随机故障,则系统就应当进入一个安全状态 处理单元中能导致错误结果的故障应当在考虑了系统反应时间的前提处理 下能被检测出来。 单元 如果这样的故障会导致危险状态,那么系统应当进入一个安全状态 2 3 4 5 可更正故障的硬件,和 单通道结构的有硬件支持的软件自检,或 双通道结构的比较器,或 双通道结构的软件相互比较 不正确的信息修改,例下面的措施仅针对单如,所有的1位或2位故通道结构: 不变障,以及部分3位和多位具有一字冗余的块安的存故障应当在考虑了系统全,或 储区 反应时间的前提下被检具有多位冗余的字保测到。 存 在寻址、写入、存储和下面的措施仅针对单读出期间的全局性故通道结构: 可变障,以及所有1位、2位具有多位冗余的字保的存故障,部分3位和多位故存,或 储区 障应当在考虑了系统反通过测试模式检测静应时间的前提下被检测态或动态故障 到 I/O单元和I/O线上的静态故障和包括干扰以及数据流中的随代码安全,或 通讯机和系统故障应当最迟测试模式 连接在电梯下一次运行之前的接被检测到注Q-7 口 M2.1 M2.3 M2.4 M2.5 M3.1 M3.2 A.3.4 A.3.3 A.1.3 A.3.5 A.4.3 A.5.6 M3.2 M4.1 A.5.6 A.5.2 M5.4 M5.5 A.6.2 A.6.1 - 124 -