含有电子元件安全电路和可编程电子安全相关系统型式试验要求.docx
《含有电子元件安全电路和可编程电子安全相关系统型式试验要求.docx》由会员分享,可在线阅读,更多相关《含有电子元件安全电路和可编程电子安全相关系统型式试验要求.docx(33页珍藏版)》请在冰豆网上搜索。
含有电子元件安全电路和可编程电子安全相关系统型式试验要求
附件Q
含有电子元件的安全电路和可编程电子安全相关系统
型式试验要求
Q1适用范围
本附件适用于曳引与强制驱动电梯、液压驱动电梯、其它类型电梯、自动扶梯和自动人行道电气安全装置(功能)的含有电子元件的安全电路(以下简称“安全电路”)和可编程电子安全相关系统(以下简称“可编程系统”)的型式试验。
Q2引用标准
(1)7588-2003《电梯制造与安装安全规范》(含第1号修改单);
(2)16899-2011《自动扶梯和自动人行道制造与安装安全规范》;
(3)21240-2007《液压电梯制造与安装安全规范》;
(4)28526-2012《机械电气安全安全相关电气电子和可编程电子控制系统的功能安全》;
(5)20438.1-2006《电气/电子/可编程电子安全相关系统的功能安全第1部分:
一般要求》;
(6)20438.3-2006《电气/电子/可编程电子安全相关系统的功能安全第3部分:
软件要求》;
(7)20438.4-2006《20438.4-2006电气/电子/可编程电子安全相关系统的功能安全第4部分:
定义和缩略语》;
(8)20438.7-2006《电气/电子/可编程电子安全相关系统的功能安全第7部分:
技术和措施概述》;
(9)24808-2009《电磁兼容电梯、自动扶梯和自动人行道的产品系列标准抗扰度》。
Q3名词术语
本附件采用Q2引用标准和本节确定的术语:
Q3.1可编程电子安全相关系统
用于安全应用的,基于可编程电子装置的用于控制、防护、监测的系统,包括系统中所有元素(例如电源、传感器和其他输入装置,数据高速公路和其他通信途径,以及执行器和其他输出装置)。
用于曳引与强制驱动电梯、液压驱动电梯、其它类型电梯的可编程电子安全相关系统简称。
用于自动扶梯和自动人行道的可编程电子安全相关系统简称。
Q4主要参数和配置的适用原则
Q4.1主要参数变化和配置变化
安全电路和可编程系统的型式试验无适用要求。
注1:
对于已经取得型式试验合格证并在有效期内,安全电路和可编程系统的设计和制造发生变更或变化的情况,申请单位应书面告知原型式试验机构,并提供相关技术文件资料,由原型式试验机构决定型式试验报告和型式试验合格证的有效性。
Q4.2适用范围
Q4.2.1安全电路适用的参数范围和配置见表1。
表1含有电子元件的安全电路产品适用参数范围和配置表
产品用途
电气安全装置(功能)种类和安全功能描述
型号规格
结构类型
工作电压
V
污染等级
工作条件
Q4.2.2可编程系统适用的参数范围和配置见表2。
表2可编程电子安全相关系统产品适用参数范围和配置表
产品用途
电气安全装置(功能)种类和安全功能描述
对应安全功能的安全完整性等级
型号规格
结构类型
工作电压
V
工作条件
硬件版本
软件版本
系统说明
Q5技术资料要求与审查
型式试验机构应当对申请单位按照本节要求提交的技术资料进行审查,确认是否符合本规则和相关标准的要求。
Q5.1技术资料要求
Q5.1.1合格证明及说明书
(1)产品合格证(产品质量证明文件);
(2)对于安全电路,安装、调试、使用、维护说明书;
(3)对于可编程系统,用户手册和安装调试维保手册。
用户手册包括产品介绍,使用条件、环境和寿命,对预期使用的限制,输入输出规定,安全功能和安全状态;
安装调试维保手册包括安装调试维保人员工作所需的信息,特别要求和/或预防措施,验证试验及例行保养的方法和周期、故障诊断和维修方法、恢复正常后的确认方法,报废与处理说明等。
Q5.1.2主要结构参数技术资料
(1)电路板的类别、型号、工作电压和工作条件;
(2)电气/电子元件清单(包括输入元件或单元);
Q5.1.3相关技术资料
Q5.1.3.1安全电路
(1)电路板的布线图和布置说明(应说明工作原理、输入、输出定义,电气间隙、爬电距离等);混合电路布线图和布置说明(应说明安全电路与其他控制电路的电气间隙,布线标志等);
(2)安全功能、运行模式和安全状态实现方式等详细描述;
(3)故障(失效)模式、影响或诊断分析(或)。
Q5.1.3.2可编程系统
应提供能够说明产品符合表7“设计和实现过程通用措施”规定的管理文件、技术文件和相关资料。
Q5.1.3.2.1功能、环境和接口方面的应用评估
Q5.1.3.2.2安全管理文件资料
包括
产品改动,复制和更新,以及版本编号等管理规范。
Q5.1.3.2.3安全要求规范()和检查规范
Q5.1.3.2.4设计开发文件资料
包括以下内容:
(1)硬件、软件和系统结构设计和相互关系的详细描述;
(2)电路板的布线图和布置说明(应说明工作原理、输入、输出定义,电气间隙、爬电距离等);混合电路布线图和布置说明(应说明安全电路与其他控制电路的电气间隙,布线标志等);
(3)故障(失效)模式、影响或诊断分析(或);
(4)随机硬件失效引起的安全功能失效的概率()和子系统安全失效分数()分析和估算说明;
(5)功能和程序流程描述的软件说明(包括字组、模块、数据、变量和接口描述);
(6)软件流程图和软件源代码;
(7)编程软件的总体说明(例如编程规则,语言、编译器、模块);
(8)系统、硬件和软件的版本控制及其兼容性说明;
(9)设计开发过程中相关工作记录。
Q5.1.3.2.5检查、测试和确认文件资料
包括以下内容:
(1)设计、开发的检查报告;
(2)验证和确认计划;
(3)测试规范和测试记录(包括硬件及故障插入、软件编码规则、软件动态单元、软件模块、系统集成);
(4)制造单位的测试规范、测试报告和现场测试报告。
Q5.2技术资料审查
安全电路功能、运行模式和安全状态实现方式等详细描述和安全电路故障(失效)模式、影响或诊断分析(或)技术文件和资料应完整,产品设计和实现符合要求。
故障分析参考7588-2003§14.1.2.3安全电路的要求。
可编程系统产品设计、实现阶段的技术文件和资料应当完整,产品设计和实现符合下列要求。
Q5.2.1可编程系统安全功能的安全完整性
可编程系统安全功能的安全完整性等级()应该符合本规则附件G表3或本规则附件H表2中的规定。
当本规则附件G表3中规定的电气安全装置(功能)为保证安全而动作时,应防止驱动主机启动或立即使其停止运转,工作制动器的电源也应当被切断;当本规则附件H表2中规定的电气安全装置(功能)为保证安全而动作时,在按照16899-2011§5.12.2.4重新启动之前,驱动主机应不能启动或立即停止,工作制动器的电源也应当被切断。
安全功能的安全完整性包括系统安全完整性、硬件安全完整性和软件安全完整性。
对用于实现不同安全功能的可编程系统,除非有充分证据显示这些安全功能的实现之间是充分独立的,否则硬件和软件应作为具有最高安全完整性等级的安全功能来对待,对最高安全完整性等级的要求适用于所有这些部分。
对于或既执行安全功能又执行非安全功能的情况,除非有充分证据表明这两部分是充分独立的(即非安全功能的失效不会引起安全功能的危险失效),否则所有的软硬件都应该被视为与安全相关。
Q5.2.2可编程系统硬件安全完整性的结构约束
审查安全功能所声明的硬件最高安全完整性等级,包括:
硬件故障裕度()和执行该安全功能的子系统的安全失效分数()。
或硬件子系统安全完整性的结构约束应该符合表3的规定。
表3硬件子系统安全完整性的结构约束
安全失效分数()
硬件故障裕度()
0
1
2
A类安全相关子系统的结构约束(见注1)
<60%
1
2
3
60%<90%
2
3
未定义
90%<99%
3
未定义
未定义
≥99%
3
未定义
未定义
B类安全相关子系统的结构约束(见注2)
<60%
不允许
1
2
60%<90%
1
2
3
90%<99%
2
3
未定义
≥99%
3
未定义
未定义
注2:
满足下列条件,其部件被要求达到安全功能的一个子系统可视为A类安全相关子系统:
(1)所有组成部件的失效模式都被很好地定义;并且
(2)故障状况下子系统的行为能够完全确定;并且
(3)通过现场经验获得充足而可靠的数据,可显示出满足所声明的检测到的和未检测到的危险失效的失效率。
注3:
满足下列条件,其部件被要求达到安全功能的一个子系统可视为B类安全相关子系统:
(1)至少一个组成部件的失效模式未被很好地定义;或
(2)故障状况下子系统的行为不能完全确定;或
(3)通过现场经验获得的可靠的数据不够充分,不足以显示出满足所声明的检测到的和未检测到的危险失效的失效率。
如果子系统中只要有一个组成部件满足B类的条件,那么这个子系统应被视为B类。
Q5.2.3可编程系统安全完整性等级的目标失效量
或安全功能的安全完整性等级分为3个等级,3为安全完整性最高等级,1为最低等级。
或安全功能的安全完整性等级应该符合下列要求:
(1)按照高要求或连续操作模式来进行安全完整性等级设计和确认;
(2)不同安全完整性等级,随机硬件失效引起的安全功能失效的概率每小时危险失效概率(),应该满足表4的规定。
表4可编程系统(或)安全功能的安全完整性等级的目标失效量
安全完整性等级()
每小时危险失效概率()
3
≥10-8<10-7
2
≥10-7<10-6
1
≥10-6<10-5
Q5.2.4可编程系统设计和实现的通用措施
与硬件设计相关的避免和检测故障的通用措施,与软件设计相关的避免和检测故障的通用措施应该分别符合表5和表6规定的要求;设计和实现过程的通用措施应符合表7规定的要求。
表5与硬件设计相关的避免和检测故障的通用措施
序号
对象
措施
20438.7-2006条款号
1
处理单元
使用看门狗
A.9
2
元器件选择
使用的元器件仅在规格说明(清单)范围内
3
单元和通讯接口
电源失效或重启时进入已定义的安全状态
4
电源
过电压或欠电压时进入已定义的安全关闭状态
A.8.2
5
可变的存储区
仅使用固态存储器
6
可变的存储区
启动过程中对可变数据存储的读写测试
7
可变的存储区
仅对资料性数据(如统计数据)可使用远程访问
8
不变的存储区
不可能改变程序代码,无论是系统自动改变还是远程介入改变
9
不变的存储区
启动过程中对程序代码存储器和固定数据存储器进行测试,方法至少等同于和数校验
A.4.2
表6与软件设计相关的避免和检测故障的通用措施
序号
对象
措施
20438.7-2006条款号
1
结构
根据技术水平(见20438.3)的程序结构(例如模块化、数据操作、接口定义)
B.3.4.2.1
C.2.9.2.7
2
启动过程
启动过程中必须保持电梯处于安全状态
/
3
中断
限制中断的使用:
仅当所有可能的中断次序可预测时才能使用中断嵌套
C.2.6.5
4
中断
中断过程不得触发看门狗,除非与其他程序序列组合
A.9.4
5
掉电
为了安全相关功能,不允许有掉电过程,比如数据的保存过程
/
6
内存管理
硬件和/或软件中带有适当反馈过程的堆栈管理
2.6.4
C.5.4
7
程序
多重循环时间短于系统反应时间,如通过限制循环次数或检查执行时间
/
8
程序
数组指针偏移量检查,如果使用的编程语言没有包括
C.2.6
9
程序
被定义的异常操作(如除以零、溢出、变量范围检查等)出现时强制系统进入预定的安全状态
/
10
程序
不使用递归编程,除非在使用良好的标准库中、在被认可的操作系统中、或在高水平语言编译器中。
对于这些例外,内存管理单元应为独立的任务提供独立的堆栈并控制它
C.2.6.7
11
程序
程序库接口和操作系统的文档至少和用户程序本身一样详尽
/
12
程序
对与安全功能相关数据的合理性检查,如输入模式,输入范围,内部数据
C.2.5.3.1
13
程序
如果任一操作模式可因测试或者验证目的被运行,则直到该模式运行结束才能恢复电梯正常操作模式
20438.1-2006
7.7.2.1
14
通讯系统(外部和内部)
在执行安全功能的总线通讯系统内,发生通讯错误或与总线相关的故障后,应达到安全状态并考虑系统反应时间
A.7.9
15
总线系统
除启动过程外不得重新配置总线系统。
C.3.13
16
处理
除启动过程外不得重新配置线。
C.3.13
注4:
周期性地刷新总线系统不认为是重新配置。
注5:
周期性地刷新配置寄存器不认为是重新配置。
表7设计和实现过程的通用措施
序号
措施
20438.7-2006条款号
1
功能、环境和接口方面的应用评估
A.14/B.1
2
结构化的规范(安全要求规范)
B.2.1
3
规范的检查
B.2.6
4
相关设计文档以及:
-包括系统结构和硬件/软件的相互关系的功能描述
-包括功能和程序流程描述的软件文档
C.5.9
5
设计、开发的检查报告
B.3.7.3.85.16
6
失效分析。
例如失效模式和影响分析()方法的可靠性检查
B.6.6
7
制造商的测试规范、测试报告和现场测试报告
B.6.1
8
指导文档,包括对预期使用的限制
B.4.1
9
产品有改动,复制和更新以上所提及的措施
C.5.23
10
执行硬件和软件的版本控制及其兼容性
C.5.24
Q5.2.5可编程系统要求的设计和实现的特定措施
1要求的特定措施见表表8;2要求的特定措施见表9;3要求的特定措施见表10;不同要求特定措施的失效控制的可用措施描述见表11。
表81要求的特定措施
序号
元器件和功能
要求注5
措施
表12
条款号
20438.7-2006条款号
1
结构
结构应当是一旦检测到任何一个随机故障,则系统就应当进入一个安全状态
具有自检功能的单通道结构,或
具有比较功能的双通道或多通道结构
M1.1
M1.3
A.3.1
A.2.5
2
处理
单元
处理单元中能导致错误结果的故障应当能被检测出来。
如果这样的故障会导致危险状态,那么系统应当进入一个安全状态
故障更正的硬件,或
软件自检,或
双通道结构的比较器,或
双通道结构的软件相互比较
M2.1
M2.2
M2.4
M2.5
A.3.4
A.3.1
A.1.3
A.3.5
3
不变的存储区
不正确的信息修改,例如,所有的1位或2位故障,以及部分3位和多位故障应当最迟在电梯下一次运行之前被检测到
下面的措施仅针对单通道结构:
一位冗余(奇偶校验位),或
具有一字冗余的块安全
M3.5
M3.1
A.5.5
A.4.3
4
可变的存储区
在寻址、写入、存储和读出期间的全局性故障,以及所有1位、2位故障,部分3位和多位故障应当最迟在电梯下一次运行之前被检测到
下面的措施仅针对单通道结构:
具有多位冗余的字保存,或
通过测试模式检测静态或动态故障
M3.2
M4.1
A.5.6
A.5.2
5
单元和包括通讯连接的接口
线上的静态故障和干扰以及数据流中的随机和系统故障应当最迟在电梯下一次运行之前被检测到
代码安全,或
测试模式
M5.4
M5.5
A.6.2
A.6.1
6
时钟
用于处理单元的时钟发生器故障,如频率改变或停顿,应当最迟在电梯下一次运行之前被检测到
具备独立时钟基准的看门狗,或
相互监控功能
M6.1
M6.2
A.9.4
7
程序
序列
安全相关功能错误的程序序列和不恰当的执行时序最迟应在下次运行前被检测到
程序序列的时序和逻辑监视的组合
M7.1
A.9.4
注6:
检测出故障之后,电梯、自动扶梯和自动人行道应当维持在某一安全状态。
表92要求的特定措施
序号
元器件和功能
要求注6
措施
表12
条款号
20438.7-2006条款号
1
结构
结构应当是在考虑了系统反应时间的前提下,一旦检测到任何一个随机故障,则系统就应当进入一个安全状态
具有自检和监控功能的单通道结构,或
具有比较功能的双通道或多通道结构
M1.2
M1.3
A.3.3
A.2.5
2
处理
单元
处理单元中能导致错误结果的故障应当在考虑了系统反应时间的前提下能被检测出来。
如果这样的故障会导致危险状态,那么系统应当进入一个安全状态
可更正故障的硬件,和
单通道结构的有硬件支持的软件自检,或
双通道结构的比较器,或
双通道结构的软件相互比较
M2.1
M2.3
M2.4
M2.5
A.3.4
A.3.3
A.1.3
A.3.5
3
不变的存储区
不正确的信息修改,例如,所有的1位或2位故障,以及部分3位和多位故障应当在考虑了系统反应时间的前提下被检测到。
下面的措施仅针对单通道结构:
具有一字冗余的块安全,或
具有多位冗余的字保存
M3.1
M3.2
A.4.3
A.5.6
4
可变的存储区
在寻址、写入、存储和读出期间的全局性故障,以及所有1位、2位故障,部分3位和多位故障应当在考虑了系统反应时间的前提下被检测到
下面的措施仅针对单通道结构:
具有多位冗余的字保存,或
通过测试模式检测静态或动态故障
M3.2
M4.1
A.5.6
A.5.2
5
单元和包括通讯连接的接口
线上的静态故障和干扰以及数据流中的随机和系统故障应当最迟在电梯下一次运行之前被检测到注7
代码安全,或
测试模式
M5.4
M5.5
A.6.2
A.6.1
6
时钟
用于处理单元的时钟发生器故障,如频率改变或停顿,应当在考虑了系统反应时间的前提下被检测到
具备独立时钟基准的看门狗,或
相互监控功能
M6.1
M6.2
A.9.4
7
程序
序列
安全相关功能错误的程序序列和不恰当的执行时序应当在考虑了系统反应时间的前提下被检测到
程序序列的时序和逻辑监视的组合
M7.1
A.9.4
注7:
检测出故障之后,电梯、自动扶梯和自动人行道应当维持在某一安全状态。
注8:
这不适用于驱动装置,如安全回路中的安全继电器或类似的电气方式。
表103要求的特定措施
序号
元器件和功能
要求注8
措施
表12
条款号
20438.7-2006条款号
1
结构
结构应当是在考虑了系统反应时间的前提下,一旦检测到任何一个随机故障,则系统就应当进入一个安全状态
具有比较功能的双通道或多通道结构
M1.3
A.2.5
2
处理
单元
处理单元中能导致错误结果的故障应当在考虑了系统反应时间的前提下能被检测出来。
如果这样的故障会导致危险状态,那么系统应当进入一个安全状态
双通道结构的比较器,或
双通道结构的软件相互比较
M2.4
M2.5
A.1.3
A.3.5
3
不变的存储区
不正确的信息修改,例如,所有的1位或多位故障应当在考虑了系统反应时间的前提下被检测到
有复制块的块安全过程,或
具有多字冗余的块安全
M3.3
M3.4
A.4.5
A.4.4
4
可变的存储区
在寻址、写入、存储和读出期间的全局性故障,以及所有静态位故障和动态耦合应当在考虑了系统反应时间的前提下被检测到
有复制块的块安全过程,或
监视检查例如法
M4.2
M4.3
A.5.7
A.5.3
5
单元和包括通讯连接的接口
线上的静态故障和干扰以及数据流中的随机和系统故障应当在考虑了系统反应时间的前提下被检测到注9
多通道并行输入,和
多通道并行输出,或
输出读回,或
代码安全,或
测试模式
M5.1
M5.3
M5.2
M5.4
M5.5
A.6.5
A6.3
A.6.4
A.6.2
A.6.1
6
时钟
用于处理单元的时钟发生器故障,如频率改变或停顿,应当在考虑了系统反应时间的前提下被检测到
具备独立时钟基准的看门狗,或
相互监控功能
M6.1
M6.2
A.9.4
7
程序
序列
安全相关功能错误的程序序列和不恰当的执行时序应当在考虑了系统反应时间的前提下被检测到
程序序列的时序和逻辑监视的组合
M7.1
A.9.4
注9:
检测出故障之后,电梯应当维持在某一安全状态。
注10:
这不适用于驱动装置,如安全链中的安全继电器或类似的电气方式。
表11不同要求特定措施的失效控制的可用措施描述
序号
元器件和功能
措施描述
项目及编号
描述
1
结构
M1.1
具有自检功能的单通道结构
即使结构由单通道组成,也应提供冗余的输出途径以确保安全关机。
自检(周期性的)以一定的时间间隔(该间隔以应用而定)在或的子单元内执行。
这些检查(如或存储器检查)被设计用以检测独立于数据流的潜在故障。
检测到故障后,系统应进入某一安全状态。
M1.2
具有自检和监控功能的单通道结构
一个带自检和监控的单通道结构由单独的硬件监控单元组成,该单元不依赖于具体应用,周期性地从系统接受自检过程产生的数据。
如有错误数据,系统应进入某一安全状态。
应至少有两种独立的关机途径,使得关机可由处理器自身或监控单元实现。
M1.3
具有比较功能的双通道或多通道结构
双通道安全相关设计由两个独立的无反馈功能单元组成。
规定的功能在每个通道内被独立地处理。
对于一个专为安全装置的功能设计的双通道或,各通道的设计在软硬件方面可以完全相同。
若双通道或用于复杂的解决方案(如多个安全功能的组合)和过程或条件不是明确可证实的场合,应当考虑对软硬件的差异性设计。
该结构具有比较与安全功能相关的内部信号(如总线比较)和/或输出信号的功能,以帮助故障检测。
应至少有两种独立的关机途径,使得关机可由通道本身或比较器实现。
比较本身也应遵守故障识别。
2
处理
单元
M2.1
可更正故障的硬件
这样的单元可使用专门的故障识别或故障更正电路技术实现。
对于简单结构,这些技术是被熟知的。
M2.2
软件自检
用于安全相关应用的处理器单元的所有功能都应进行周期性测试。
这些测试可与子部件(如存储器、等)的测试组合在一起。
M2.3
有硬件支持的软件自