发布时间 : 星期日 文章含有电子元件的安全电路和可编程电子安全相关系统型式试验要求更新完毕开始阅读62d8ebd67cd184254a3535a2
特种设备安全技术规范 TSG T7007-2016
表Q-8 SIL1要求的特定措施
序号 元器件和功能 要求注Q-5 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M1.1 A.3.1 M1.3 A.2.5 A.3.4 A.3.1 A.1.3 A.3.5 1 2 3 4 5 6 7 具有自检功能的单通道结构,或 具有比较功能的双通道或多通道结构 故障更正的硬件,或 M2.1 软件自检,或 M2.2 双通道结构的比较M2.4 器,或 M2.5 双通道结构的软件相 互比较 下面的措施仅针对单不正确的信息修改,例 通道结构: 不变如,所有的1位或2位故 一位冗余(奇偶校验的存障,以及部分3位和多位M3.5 位),或 储区 故障应当最迟在电梯下 具有一字冗余的块安一次运行之前被检测到 M3.1 全 在寻址、写入、存储和下面的措施仅针对单 读出期间的全局性故通道结构: 可变障,以及所有1位、2位具有多位冗余的字保M3.2 的存故障,部分3位和多位故存,或 储区 障应当最迟在电梯下一通过测试模式检测静M4.1 次运行之前被检测到 态或动态故障 I/O单元和I/O线上的静态故障和包括干扰以及数据流中的随代码安全,或 M5.4 通讯机和系统故障应当最迟测试模式 M5.5 连接在电梯下一次运行之前的接被检测到 口 用于处理单元的时钟发生器故障,如频率改变具备独立时钟基准的M6.1 时钟 或停顿,应当最迟在电看门狗,或 梯下一次运行之前被检相互监控功能 M6.2 测到 安全相关功能错误的程程序 序序列和不恰当的执行程序序列的时序和逻M7.1 序列 时序最迟应在下次运行辑监视的组合 前被检测到 结构应当是一旦检测到任何一个随机故障,则结构 系统就应当进入一个安全状态 处理单元中能导致错误结果的故障应当能被检处理 测出来。 单元 如果这样的故障会导致危险状态,那么系统应当进入一个安全状态 A.5.5 A.4.3 A.5.6 A.5.2 A.6.2 A.6.1 A.9.4 A.9.4 - 123 -
TSG T7007-2016 特种设备安全技术规范
注Q-6:检测出故障之后,电梯、自动扶梯和自动人行道应当维持在某一安全状态。
表Q-9 SIL2要求的特定措施
序号 元器件和功能 要求注Q-6 措施 具有自检和监控功能的单通道结构,或 具有比较功能的双通道或多通道结构 表GB/T Q-12 20438.7-2006 条款号 条款号 M1.2 A.3.3 M1.3 A.2.5 1 结构应当是在考虑了系统反应时间的前提下,结构 一旦检测到任何一个随机故障,则系统就应当进入一个安全状态 处理单元中能导致错误结果的故障应当在考虑了系统反应时间的前提处理 下能被检测出来。 单元 如果这样的故障会导致危险状态,那么系统应当进入一个安全状态 2 3 4 5 可更正故障的硬件,和 单通道结构的有硬件支持的软件自检,或 双通道结构的比较器,或 双通道结构的软件相互比较 不正确的信息修改,例下面的措施仅针对单如,所有的1位或2位故通道结构: 不变障,以及部分3位和多位具有一字冗余的块安的存故障应当在考虑了系统全,或 储区 反应时间的前提下被检具有多位冗余的字保测到。 存 在寻址、写入、存储和下面的措施仅针对单读出期间的全局性故通道结构: 可变障,以及所有1位、2位具有多位冗余的字保的存故障,部分3位和多位故存,或 储区 障应当在考虑了系统反通过测试模式检测静应时间的前提下被检测态或动态故障 到 I/O单元和I/O线上的静态故障和包括干扰以及数据流中的随代码安全,或 通讯机和系统故障应当最迟测试模式 连接在电梯下一次运行之前的接被检测到注Q-7 口 M2.1 M2.3 M2.4 M2.5 M3.1 M3.2 A.3.4 A.3.3 A.1.3 A.3.5 A.4.3 A.5.6 M3.2 M4.1 A.5.6 A.5.2 M5.4 M5.5 A.6.2 A.6.1 - 124 -
特种设备安全技术规范 TSG T7007-2016
序号 元器件和功能 要求注Q-6 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M6.1 M6.2 A.9.4 6 7 用于处理单元的时钟发生器故障,如频率改变时钟 或停顿,应当在考虑了系统反应时间的前提下被检测到 安全相关功能错误的程序序列和不恰当的执行程序 时序应当在考虑了系统序列 反应时间的前提下被检测到 具备独立时钟基准的看门狗,或 相互监控功能 程序序列的时序和逻辑监视的组合 M7.1 A.9.4 注Q-7:检测出故障之后,电梯、自动扶梯和自动人行道应当维持在某一安全状态。 注Q-8:这不适用于驱动装置,如安全回路中的安全继电器或类似的电气方式。
表Q-10 SIL3要求的特定措施
序号 元器件和功能 要求注Q-8 结构应当是在考虑了系统反应时间的前提下,一旦检测到任何一个随机故障,则系统就应当进入一个安全状态 处理单元中能导致错误结果的故障应当在考虑了系统反应时间的前提下能被检测出来。 如果这样的故障会导致危险状态,那么系统应当进入一个安全状态 不正确的信息修改,例如,所有的1位或多位故障应当在考虑了系统反应时间的前提下被检测到 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M1.3 A.2.5 1 结构 具有比较功能的双通道或多通道结构 2 处理 单元 双通道结构的比较器,或 双通道结构的软件相互比较 M2.4 M2.5 A.1.3 A.3.5 3 不变的存储区 有复制块的块安全过程,或 具有多字冗余的块安全 M3.3 A.4.5 M3.4 A.4.4 - 125 -
TSG T7007-2016 特种设备安全技术规范
序号 元器件和功能 要求注Q-8 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M4.2 M4.3 A.5.7 A.5.3 4 5 6 7 在寻址、写入、存储和读出期间的全局性故可变障,以及所有静态位故的存障和动态耦合应当在考储区 虑了系统反应时间的前提下被检测到 I/O单元和I/O线上的静态故障和包括干扰以及数据流中的随通讯机和系统故障应当在考连接虑了系统反应时间的前的接提下被检测到注Q-9 口 用于处理单元的时钟发生器故障,如频率改变时钟 或停顿,应当在考虑了系统反应时间的前提下被检测到 安全相关功能错误的程序序列和不恰当的执行程序 时序应当在考虑了系统序列 反应时间的前提下被检测到 有复制块的块安全过程,或 监视检查例如Galpat法 多通道并行输入,和 多通道并行输出,或 输出读回,或 代码安全,或 测试模式 M5.1 M5.3 M5.2 M5.4 M5.5 A.6.5 A6.3 A.6.4 A.6.2 A.6.1 具备独立时钟基准的看门狗,或 相互监控功能 M6.1 M6.2 A.9.4 程序序列的时序和逻辑监视的组合 M7.1 A.9.4 注Q-9:检测出故障之后,电梯应当维持在某一安全状态。 注Q-10:这不适用于驱动装置,如安全链中的安全继电器或类似的电气方式。
表Q-11 不同SIL要求特定措施的失效控制的可用措施描述
元器序件和号 功能 措施描述 项目及编号 描述 1 即使结构由单通道组成,也应提供冗余的输出途径以确保安全关机。自检(周期性的)以一定的时间间隔(该间隔以M1.1 应用而定)在PESSRAL或PESSRAE的子单元内执行。这些检结构 具有自检功能查(如CPU 或存储器检查)被设计用以检测独立于数据流的单通道结构 的潜在故障。 检测到故障后,系统应进入某一安全状态。 - 126 -