路径: 主页 > GB/T > 第123页 > GB/T 35850.1-2018 | 标准编号 | GB/T 35850.1-2018 (GB/T35850.1-2018) | | 中文名称 | 电梯、自动扶梯和自动人行道安全相关的可编程电子系统的应用 第1部分:电梯(PESSRAL) | | 英文名称 | Programmable electronic systems in safety-related applications for lifts (elevators), escalators and moving walks -- Part 1: Lifts (elevators) (PESSRAL) | | 行业 | 国家标准 (推荐) | | 中标分类 | Q78 | | 国际标准分类 | 91.140.90 | | 字数估计 | 38,379 | | 发布日期 | 2018-02-06 | | 实施日期 | 2018-09-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 35850.1-2018
ICS 91.140.90
Q78
中华人民共和国国家标准
电梯、自动扶梯和自动人行道
安全相关的可编程电子系统的应用
第1部分:电梯(PESSRAL)
(ISO 22201-1:2017,MOD)
2018-02-06发布
2018-09-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 符号与缩略语 5
5 要求 6
5.1 总则 6
5.2 扩展应用 6
5.3 安全功能的SIL要求 6
5.4 SIL相关和非SIL相关安全状态要求 8
5.5 SIL符合性验证的实现和证明 14
附录 A(规范性附录) 实现、验证和保持SIL符合性的技术和措施 15
附录B(资料性附录) 适用的电梯规范和标准 28
附录C(资料性附录) 风险降低决策表的示例 30
参考文献 31
前言
GB/T 35850《电梯、自动扶梯和自动人行道安全相关的可编程电子系统的应用》拟由下列几部分
组成:
---第1部分:电梯(PESSRAL);
---第2部分:自动扶梯和自动人行道;
---第3部分:PESSRAL和PESSRAE相关的可编程电子系统的生命周期指南(技术报告)。
本部分为GB/T 35850的第1部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分使用重新起草法修改采用ISO 22201-1:2017《电梯、自动扶梯和自动人行道安全相关的可编
程电子系统的应用 第1部分:电梯(PESSRAL)》。
本部分与ISO 22201-1:2017的技术性差异及其原因如下:
---关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情
况集中反映在第2章“规范性引用文件”中,具体调整如下:
● 用GB/T 4721、GB/T 4723、GB/T 4724、GB/T 4725代替了IEC 61249(所有部分);
● 用修改采用国际标准的GB 4943(所有部分)代替了IEC 60950(所有部分);
● 用GB/T 16261代替了IEC 62326-1;
● 用等同采用国际标准的GB/T 20438.1代替了IEC 61508-1;
● 用等同采用国际标准的GB/T 20438.2代替了IEC 61508-2;
● 用等同采用国际标准的GB/T 20438.3代替了IEC 61508-3;
● 用等同采用国际标准的GB/T 20438.5代替了IEC 61508-5;
● 用等同采用国际标准的GB/T 20438.6代替了IEC 61508-6;
● 用等同采用国际标准的GB/T 20438.7代替了IEC 61508-7;
● 用等同采用国际标准的GB/T 24808代替了ISO 22200。
---基于 GB 7588-2003+XG1-2015中的表 A.1和 GB 21240-2007中的表 A.1,并参考
EN81-20:2014,本部分做了以下修改:
● 在术语与定义中,删除了3.1和3.2,因为表1中相关内容已删除;
● 在表1中,删除了第1项、第3项、第6项、第8项、第10(a,b,c,i)项、第10(i).1项、第10
(a,d,g,h).2项、第10(e).3项、第26项、第34项、第35项、第37项、第43项、第45项、第
51项,以便与 GB 7588-2003+XG1-2015和 GB 21240-2007以及EN81-20:2014
一致;
● 在表1中,增加了下述电梯安全功能(装置):第1项底坑停止装置、第2项滑轮间停止装
置、第3项检查底坑梯子的存放位置、第4项检查通道门、安全门和检修门的关闭位置、第
6项检查机械装置的非工作位置(轿厢内或轿顶上的工作区域)、第19项轿顶停止装置、第
20项检查轿厢或对重的提升、第29项检查安全绳的断裂或松弛、第30项检查触发杠杆的
收回位置、第35项检测门开启情况下轿厢意外移动保护装置的动作、第42项检查与检修
运行配合使用的按钮、第45项检修运行停止装置、第46项电梯驱动主机上的停止装置、第
47项紧急和测试操作屏上的停止装置、第49项检查液压缸柱塞位置传递装置的张紧(极
限开关),以便与相关标准一致;
● 在表1中,把电梯安全功能(装置)第39项检查减行程缓冲器的减速状况的安全完整性等
级(SIL)由SIL2提高为SIL3,以便与相关标准一致;
● 在表2中,删除了第1项、第3项、第6项、第8项、第10(a,b,c,i)项、第10(i).1项、第10
(a,d,g,h).2项、第10(e).3项、第26项、第34项、第35项、第37项、第43项、第45项、第
51项,以便与 GB 7588-2003+XG1-2015和 GB 21240-2007以及EN81-20:2014
一致;
● 在表2中,增加了下述电梯安全功能(装置):第1项底坑停止装置、第2项滑轮间停止装
置、第3项检查底坑梯子的存放位置、第4项检查通道门、安全门和检修门的关闭位置、
第6项检查机械装置的非工作位置(轿厢内或轿顶上的工作区域)、第19项轿顶停止装
置、第20项检查轿厢或对重的提升、第29项检查安全绳的断裂或松弛、第30项检查触发
杠杆的收回位置、第35项检测门开启情况下轿厢意外移动保护装置的动作、第42项检查
与检修运行配合使用的按钮、第45项检修运行停止装置、第46项电梯驱动主机上的停止
装置、第47项紧急和测试操作屏上的停止装置、第49项检查液压缸柱塞位置传递装置的
张紧(极限开关)。同时增加了相应的安全状态要求;
● 在表2安全状态要求栏的第一列中,增加了强制式电梯,修改为“切断电机和制动器电源
(曳引式电梯、强制式电梯)”,以提高适用性;
● 在表2安全状态要求栏中,删除了“阻止(防止)井道进入操作”,以便与相关标准一致;
● 在表2安全状态要求栏中,增加了“转换到紧急电动运行操作”,以便与相关标准一致;
● 在表2中,删除了R1、R18、R19,因为其对应的电梯安全功能(装置)已删除;
● 在表2中,删除了R10、R20、R25,因为与我国的实际应用不符;
● 在表2中,修改了R17,改为R12:
当启用时,应允许下列一个或多个装置失效:
a) 用于检查绳或链松弛的电气安全装置(序号22);
b) 轿厢安全钳上的电气安全装置(序号25);
c) 超速的电气安全装置(序号26、序号27);
d) 轿厢上行超速保护装置上的电气安全装置(序号33);
e) 缓冲器上的电气安全装置(序号36);
f) 极限开关(序号50)。
● 在表2中,修改了R23,改为R15“平层和再平层与预备操作时,忽略此项检查”,以便与相
关标准一致;
● 在表2中,增加了R26“仅当机械装置处于非工作位置时,忽略此项检查”;
● 在表2中,增加了R27“轿厢速度不应超过0.3m/s”。
本部分与ISO 22201-1:2017相比还做了下列编辑性修改:
---删除了ISO 22201-1:2017引言中与本部分无关的内容,因为其存在与否对本部分的理解和使
用没有任何影响;
---对表1和表2中的电梯安全功能(装置)的序号进行了调整,对表2中的R注释的序号进行了
调整,以便于应用;
---删除了附录B(资料性附录)中表B.1中ASMEA17.1-2007/CSAB44-07和日本建筑法规相关
条款及内容,因为与我国的实际应用不符;
---在表B.1中增加了电梯安全功能对应 GB 7588-2003+XG1-2015、GB 21240-2007和
EN81-20:2014的条款号,以便于应用;
---在参考文献中,用国家标准代替了对应的国际文件,以便于应用。
本部分由全国电梯标准化技术委员会(SAC/TC196)提出并归口。
本部分起草单位:上海新时达电气股份有限公司、中国建筑科学研究院建筑机械化研究分院、奥的
斯机电电梯有限公司、上海三菱电梯有限公司、日立电梯(中国)有限公司、江南嘉捷电梯股份有限公司、
永大电梯设备(中国)有限公司、迅达(中国)电梯有限公司、通力电梯有限公司、上海交通大学、广东省特
种设备检测研究院、上海市特种设备监督检验技术研究院、奥的斯高速电梯(上海)有限公司、苏州汇川
技术有限公司、蒂森克虏伯电梯(上海)有限公司、广州广日电梯工业有限公司、康力电梯股份有限公司、
国家电梯质量监督检验中心、华升富士达电梯有限公司、东芝电梯(中国)有限公司、巨人通力电梯有限
公司、沈阳远大智能工业集团股份有限公司、苏州帝奥电梯有限公司、申龙电梯股份有限公司、东南电梯
股份有限公司、上海爱登堡电梯集团股份有限公司、森赫电梯股份有限公司、菱王电梯股份有限公司、苏
州莱茵电梯股份有限公司。
本部分主要起草人:王鹏、孙恩涛、陈凤旺、温爱民、翁彬、赖志鹏、赵碧涛、欧其斌、马光桦、王明凯、
胡晖、代清友、方良、刘同秋、袁华佑、张伟伦、张研、黄维纲、李新龙、李旭征、姜华、张新华、王福强、
唐林钟、唐志荣、蔡状、陈大华、茹晓英、江俊彪、黄波。
引 言
近年来包含电气、电子部件的系统在很多领域被用于执行安全功能。以计算机为基础的系统,一般
被划归为可编程电子系统(PEsystem),在很多领域越来越多地被应用于执行安全功能。安全有效地
利用计算机系统技术,关键在于决策者在做安全方面的决策时需要有充分的指导。大多数情况下,安全
性由依靠多领域技术(如机械、液压、气动、电气、电子、可编程电子等)的多个保护系统共同完成。因此
任何安全策略不仅必须考虑独立系统(如传感器、控制设备和执行器件)内的所有元器件,而且必须考虑
所有用来构成完整安全相关系统的安全相关子系统。
本部分阐述了对用于执行电梯安全功能的含有可编程电子部件的系统和可编程电子系统(PEsys-
tem)产品的具体要求。本部分的目的在于对电梯安全相关的可编程电子系统(PESSRAL)的技术一致
性、性能要求和合理性作出具体规定。
风险分析、术语名词和技术解决方案主要参考了GB/T 20438。对表1中每项安全功能的风险分析
确定了PESSRAL的电气安全功能的等级划分。表1和表2对每个电气安全功能分别给出了安全完整
性等级(SIL)和功能性要求。
电梯、自动扶梯和自动人行道
安全相关的可编程电子系统的应用
第1部分:电梯(PESSRAL)
1 范围
1.1 GB/T 35850的本部分适用于乘客电梯和载货电梯,当可编程电子系统被用于执行电梯电气安全
功能时,应采用本部分。当电梯规范、标准中所定义的电梯安全功能应用PESSRAL时,应引用本部分。
1.2 本部分也可应用于新的或与本部分描述有差异的PESSRAL。
1.3 如果电气安全装置符合本部分和其他相关标准的所有要求,则不必考虑其失效的可能性。
1.4 本部分:
a) 使用了安全完整性等级(SIL)来规定用PESSRAL实现安全功能的目标失效量;
b) 规定了达到某一功能的安全完整性的要求,但没有规定实施和保持该要求的责任主体(如:设
计者、制造商、供应商或业主等);
c) 应用于电梯的可编程电子系统(PEsystem),符合电梯相关标准(如:GB 7588等)的最低要求;
d) 明确了与GB/T 20438以及GB/T 24808之间的关系;
e) 说明了电梯安全功能与其安全状态条件之间的关系;
f) 适用于软件和相关硬件设计的阶段和活动,但不包括设计之后的阶段和活动,如:采购与制造;
g) 要求PESSRAL制造商提供说明书,向实施该电梯组装、连接、调试、维护的组织详细说明如何
保持PESSRAL的完整性;
h) 规定了与软硬件安全验证相关的要求;
i) 为具体的电梯安全功能规定了安全完整性等级;
j) 规定了达到特定的安全完整性等级所需要的技术和措施;
k) 提供了应用PESSRAL的风险降低的决策表;
l) 规定了要求的PESSRAL最高安全完整性等级为SIL3,最低安全完整性等级为SIL1。
1.5 本部分不包含:
a) PEsystem装置自身产生的危险,如电击;
b) 失效安全的概念,在失效模式定义良好和复杂度相对较低的情况下失效安全可能是有价值的。
因为本部分范围内的PESSRAL复杂度很高,所以失效安全概念在此是不合适的;
c) 对电梯安全功能中的PESSRAL的完整运用所必需的其他相关要求,如开关、执行器件和传感
器的机械结构、安装和标识等。这些要求应符合相关电梯标准;
d) 由恶意或未授权行为引起的,涉及安全威胁的可预见的误操作。需要考虑某一安全威胁分析
时,如果重新评估了特定的SIL,可以使用本部分。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 4721 印制电路用覆铜箔层压板通用规则
GB/T 4723 印制电路用覆铜箔酚醛纸层压板
GB/T 4724 印制电路用覆铜箔复合基层压板
GB/T 4725 印制电路用覆铜箔环氧玻璃布层压板
GB 4943(所有部分) 信息技术设备 安全[IEC 60950(所有部分)]
GB/T 16261 印制板总规范(GB/T 16261-1996,IEC/PQC88:1990,IDT)
GB/T 20438.1 电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求
(IEC 61508-1:1998,IDT)
GB/T 20438.2 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/可编程
电子安全相关系统的要求(GB/T 20438.2-2006,IEC 61508-2:2000,IDT)
GB/T 20438.3 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求
(GB/T 20438.3-2006,IEC 61508-3:1998,IDT)
GB/T 20438.5 电气/电子/可编程电子安全相关系统的功能安全 第5部分:确定安全完整性等
级的方法示例(GB/T 20438.5-2006,IEC 61508-5:1998,IDT)
GB/T 20438.6 电气/电子/可编程电子安全相关系统的功能安全 第6部分:GB/T 20438.2和
GB/T 20438.3的应用指南(GB/T 20438.6-2006,IEC 61508-6:2000,IDT)
GB/T 20438.7 电气/电子/可编程电子安全相关系统的功能安全 第7部分:技术与措施概述
(IEC 61508-7:1998,IDT)
GB/T 24808 电磁兼容性 电梯、自动扶梯和自动人行道产品标准 抗扰度(GB/T 24808-
2009,ISO 22200:2009,IDT)
IEC 61508-7:2010 电气/电子/可编程电子安全相关系统的功能安全 第7部分:技术与措施概
3 术语和定义
在GB/T 20438.4中给出的术语和定义适用于本文件,但是本文件作出的定义应优先于通用标准
GB/T 20438。
3.1
非SIL相关安全状态要求 non-SIL-relevantsafe-staterequirement
对某个SIL相关安全功能的动作作出响应,而执行该响应的功能无SIL要求。
注:参见图4和表2。
3.2
PE
以计算机技术为基础,可以由硬件、软件及其输入和(或)输出单元构成。
注:本术语包括以一个或多个中央处理器(CPU)及相关的存储器等为基础的微电子装置。举例:下列均是可编程
电子装置。
---微处理器;
---微控制器;
---可编程控制器;
---现场可编程门阵列(FPGA);
---专用集成电器(ASICs);
---可编程逻辑控制器(PLCs);和
---其他以计算机为基础的装置(智能传感器、变送器、执行器等)。
3.3
PEsystem
基于一个或多个可编程电子装置的控制、保护或监视的系统,包括系统中所有单元,如电源、传感器
和其他输入装置、数据总线和其他通信路径、执行装置和其他输出装置。
注1:参见图1。
注2:PEsystem可包括执行SIL要求和非SIL要求的单元。SIL分级仅对于执行SIL相关功能性要求的单元。
说明:
1---PEsystem的范围;
2---输入接口(如A/D转换器);
3---输入装置(如传感器);
4---通讯;
5---可编程电子装置(PEs);
6---输出接口(如D/A转换器);
7---输出装置/终端元件(如执行装置)。
a 图中所示的可编程电子装置在中心位置,但是它可以存在于PEsystem的多个位置。
图1 基本PEsystem结构
3.4
forlifts
PESSRAL
基于软件的PEsystem在电梯安全相关系统中的应用。
3.5
检验测试 prooftest
周期性测试,用以检测安全相关系统中危险的隐性失效,在必要时通过维修,把系统复原到“新的”
状态或实际上接近这种状态。
注1:在本部分中使用“检验测试”,但要注意到同义的术语“周期性测试”。
注2:检验测试的有效性取决于失效覆盖和维修的有效性。在实践中除了简单E/E/PE安全相关系统外,100%的
隐性失效的检测很难达到,这是个目标。至少所有要执行的安全功能按E/E/PE安全相关系统安全要求规范
进行检查。如果使用多个独立的通道,则对每个通道分别进行检验测试。对于复杂的组件,需进行分析,以证
明在E/E/PE安全相关系统整体生命周期内,未被检验测试所检测出的隐性危险失效的概率可忽略不计。
注3:检验测试需要一定时间完成。在此时间内E/E/PE安全相关系统可能被部分或全部禁用。在测试过程中,仅
当EUC已停机或E/E/PE安全相关系统被测试的部分仍能在要求动作时保持有效,检验测试持续时间可以
忽略。
注4:在检验测试期间,E/E/PE安全相关系统可能部分或全部不能响应动作要求。仅在修复过程中EUC停机或
使用其他等效的风险措施来代替时,用于SIL计算的 MTTR可以忽略。
3.6
安全回路 safetychain
所有安全装置的组合,完成电梯的一组或所有安全功能。
注:参见图2。
说明:
1---安全装置1,功能1;
2---安全装置2,功能2;
3---安全装置n,功能n;
4---安全装置(n+1),功能(n+1)。
a 一组或全部必要的电梯安全功能(参见表1)。
图2 安全回路
3.7
安全装置 safetydevice
安全相关系统的组成部分,包括必要的控制电路,用于独立地实现一个电梯安全功能,可由PE单
元和非PE单元组成。
注:参见图3和表1。
说明:
1---PE单元;
2---非PE单元。
图3 安全装置
3.8
安全功能 safetyfunction
针对特定的危险事件,为了达到或保持电梯的安全状态,由安全相关系统实现的功能。
注1:参见表1。
注2:安全功能可包括非SIL相关安全状态要求,参见表2。
3.9
安全相关系统 safety-relatedsystem
执行一个或多个安全功能的一个或多个安全装置,可基于PE、电气、电子和/或机械的电梯部件。
3.10
安全完整性等级;SIL
一种离散的等级(四种可能等级之一),用于规定分配给可编程电子安全相关系统的安全功能的安
全完整性要求。安全完整性等级4是最高的,安全完整性等级1是最低的。
注1:SIL表明了各种因素导致失效(随机的硬件失效和系统性失效)的失效率,这些失效将导致不安全状态,如:硬
件失效,软件导致的失效,电气干扰导致的失效。
注2:对于本部分,SIL3为电梯应用的最高安全完整性等级。
3.11
SIL相关安全状态要求 SIL-relevantsafe-staterequirement
安全相关系统的一部分,应符合安全功能所需的SIL。
注:参见图4和表2。
说明:
1---SIL相关安全状态要求;
2---非SIL相关安全状态要求。
图4 电梯安全功能
3.12
系统响应时间 systemreactiontime
为下列两个数值之和:
a) 从PESSRAL故障发生到开始对电梯作出相应动作的时间;
b) 电梯响应上述动作以保持安全状态所需的时间。
4 符号与缩略语
下列符号与缩略语适用于本文件。
EUC---受控设备。
MTTR---平均修复时间。
PCB---印制电路板。
5 要求
5.1 总则
5.1.1 表1列出了安全功能名称和对该安全功能SIL相关部分的SIL要求。当安全功能未动作时,允
许电梯不中断运行。
5.1.2 表2列出了表1中安......
|