含有电子元件的安全电路和可编程电子安全相关系统型式试验要求

见注(类安全相关子系统的结构约束B < 60% 60% -- <90% 90% -- <99% 99% ≥ - 119 -

TSG T7007-2016 特种设备安全技术规范

不允许 SIL1 SIL2 SIL3 SIL1 SIL2 SIL3 SIL2 SIL3 未定义 未定义 未定义

注Q-2：满足下列条件，其部件被要求达到安全功能的一个子系统可视为A类安全相关子系统： (1) 所有组成部件的失效模式都被很好地定义；并且 (2) 故障状况下子系统的行为能够完全确定；并且

(3) 通过现场经验获得充足而可靠的数据，可显示出满足所声明的检测到的和未检测到的危险失效的失效率。

注Q-3：满足下列条件，其部件被要求达到安全功能的一个子系统可视为B类安全相关子系统： (1) 至少一个组成部件的失效模式未被很好地定义；或 (2) 故障状况下子系统的行为不能完全确定；或

(3) 通过现场经验获得的可靠的数据不够充分，不足以显示出满足所声明的检测到的和未检测到的危险失效的失效率。

类。类的条件，那么这个子系统应被视为B如果子系统中只要有一个组成部件满足BQ5.2.3 可编程系统安全完整性等级的目标失效量

PESSRAL或PESSRAE安全功能的安全完整性等级分为3个等级，SIL3为安全完整性最高等级，SIL1为最低等级。

PESSRAL或PESSRAE安全功能的安全完整性等级应该符合下列要求： (1)按照高要求或连续操作模式来进行安全完整性等级设计和确认； (2)不同安全完整性等级，随机硬件失效引起的安全功能失效的概率---每小时危险失效概率( PFH )，应该满足表Q-4的规定。

表Q-4 可编程系统(PESSRAL或PESSRAE)安全功能的安全完整性等级的目标失效量 安全完整性等级 ( SIL ) 每小时危险失效概率( PFH ) 3 2 1 -8-7 --- < 10 10≥ ≥ 10 --- < 10 -7-6-6-5 --- < 10≥ 10 可编程系统设计和实现的通用措施Q5.2.4 与软件设计相关的避免和检测故障与硬件设计相关的避免和检测故障的通用措施，设计和实现过程的通用措施应符合Q-6规定的要求；的通用措施应该分别符合表Q-5和表 表Q-7规定的要求。 Q-5 与硬件设计相关的避免和检测故障的通用措施表 序号 对象 措施 GB/T 20438.7-2006 条款号 1 2 处理单元 元器件选择 使用看门狗 A.9 清单(使用的元器件仅在规格说明范围内) - 120 -

特种设备安全技术规范 TSG T7007-2016

3 4 5 6 7 8 9 单元和通讯I/O 接口 电源 可变的存储区 可变的存储区 可变的存储区 不变的存储区 不变的存储区 电源失效或重启时进入已定义的安全状态 过电压或欠电压时进入已定义的安全关闭 状态 仅使用固态存储器 启动过程中对可变数据存储的读写测试 A.8.2 可使用远程)(如统计数据仅对资料性数据 访问 无论是系统自动改变不可能改变程序代码， 还是远程介入改变 启动过程中对程序代码存储器和固定数据 A.4.2 方法至少等同于和数校验存储器进行测试， GB/T 20438.7-2006 条款号 B.3.4/C.2.1 C.2.9/C.2.7 / Q-6 与软件设计相关的避免和检测故障的通用措施表 序号 对象 措施 1 2 3 4 5 6 7 8 9 结构 启动过程 中断 中断 掉电 内存管理 程序 程序 程序 例根据技术水平(见GB/T 20438.3)的程序结构(如模块化、数据操作、接口定义) 启动过程中必须保持电梯处于安全状态 仅当所有可能的中断次序可预限制中断的使用： C.2.6.5 测时才能使用中断嵌套 除非与其他程序序列中断过程不得触发看门狗， A.9.4 组合 比如数不允许有掉电过程，为了安全相关功能， / 据的保存过程 或软件中带有适当反馈过程的堆栈管理硬件和/ C.2.6.4/ C.5.4 如通过限制循多重循环时间短于系统反应时间， / 环次数或检查执行时间 如果使用的编程语言没有数组指针偏移量检查， C.2.6.C 包括 如除以零、溢出、变量范围(被定义的异常操作 / 出现时强制系统进入预定的安全状态)检查等 10 程序 11 程序 不使用递归编程，除非在使用良好的标准库中、C.2.6.7 或在高水平语言编译器在被认可的操作系统中、内存管理单元应为独立的任中。对于这些例外， 务提供独立的堆栈并控制它 程序库接口和操作系统的文档至少和用户程序 / 本身一样详尽 - 121 -

TSG T7007-2016 特种设备安全技术规范

序号 对象 措施 12 13 程序 程序 GB/T 20438.7-2006 条款号 如输入模对与安全功能相关数据的合理性检查， C.2.5/C.3.1 式，输入范围，内部数据 如果任一操作模式可因测试或者验证目的被运则直到该模式运行结束才能恢复电梯正常操行， 作模式 发生通讯错在执行安全功能的总线通讯系统内，误或与总线相关的故障后，应达到安全状态并考 虑系统反应时间 总线系统。 除启动过程外不得重新配置CPU 除启动过程外不得重新配置I/O 线。 GB/T 20438.1-2006 7.7.2.1 A.7/A.9 14 15 16 外通讯系统() 部和内部 总线系统 I/O处理 C.3.13 C.3.13 CPU总线系统不认为是重新配置。注Q-4：周期性地刷新 配置寄存器不认为是重新配置。Q-5注：周期性地刷新I/O

设计和实现过程的通用措施表Q-7 序号 措施 1 2 3 4 功能、环境和接口方面的应用评估 ) (安全要求规范结构化的规范 规范的检查 相关设计文档以及：-包括系统结构和硬件/软件的相互关系的功能描述 -包括功能和程序流程描述的软件文档 设计、开发的检查报告 GB/T 20438.7-2006 条款号 A.14 / B.1 B.2.1 B.2.6 C.5.9 5 6 7 8 B.3.7/B.3.8,C5.16 方法的可靠性失效分析。例如失效模式和影响分析(FMEA) B.6.6 检查 制造商的测试规范、测试报告和现场测试报告 B.6.1 指导文档，包括对预期使用的限制 B.4.1 9 10 产品有改动，复制和更新以上所提及的措施 执行硬件和软件的版本控制及其兼容性 C.5.23 C.5.24 要求的设计和实现的特定措施 Q5.2.5 可编程系统SIL要求的特定SIL3；；Q-8SIL2要求的特定措施见表Q-9要求的特定措施见表表SIL1 Q-11SILQ-10措施见表；不同要求特定措施的失效控制的可用措施描述见表。- 122 -

特种设备安全技术规范 TSG T7007-2016

表Q-8 SIL1要求的特定措施 Q-5 序 元器措施 表GB/T 号 件和注要求 Q-12 20438.7-2006 功能 条款号 条款号 1 结构 结构应当是一旦检测到具有自检功能的单通 M1.1 A.3.1 A.2.5 任何一个随机故障，则道结构，或具有比较M1.3 系统就应当进入一个安功能的双通道或多通全状态 道结构 2 处理 处理单元中能导致错误故障更正的硬件，或 M2.1 A.3.4 A.3.1 单元 结果的故障应当能被检软件自检，或双通道M2.2 A.1.3 A.3.5 测出来。 如果这样的故结构的比较 器，或M2.4 障会导致危险状态，那双通道结构的软件相 M2.5 么系统应当进入一个安互比较 全状态 3 不变不正确的信息修改，例下面的措施仅针对单 M3.5 A.5.5 的存 位故如，所有的1位或2通道结构：奇偶校验M3.1 A.4.3 储区 以及部分3位和多位障，一位冗余( )，或位故障应当最迟在电梯下具有一字冗余的块安 一次运行之前被检测到 全 4 可变的存 储区 在寻址、写入、存储和读出期间的全局性故2障，以及所有1位、位位和多位故故障，部分3障应当最迟在电梯下一次运行之前被检测到 5 单I/O线上的静态故障和I/O元和干扰以及数据流中的随包括机和系统故障应当最迟通讯在电梯下一次运行之前 连接被检测到 的接 口 下面的措施仅针对单 M3.2 A.5.6 通道结构： 具有多M4.1 A.5.2 位冗余的字保存，或 通过测试模式检测静 态或动态故障 代码安全，或 测试模式 M5.4 M5.5 A.6.2 A.6.1