1 范圍

1.1 GB/T 35850的本部分適用于可編程電子系統(tǒng)被用于執(zhí)行自動扶梯和自動人行道電氣安全功能時以及自動扶梯和自動人行道規(guī)范、標準中所定義的自動扶梯和自動人行道安全功能應(yīng)用PESSRAE時。

1.2 本部分也適用于新的或與本部分描述有差異的PESSRAE。

1.3 如果電氣安全裝置符合本部分和其他相關(guān)標準的所有要求，則不必考慮其失效的可能性。

1.4 本部分：

      a）使用了安全完整性等級（SIL）來規(guī)定用PESSRAE實現(xiàn)安全功能的目標失效量；

      b) 規(guī)定了達到某一功能的安全完整性的要求，但沒有規(guī)定實施和保持該要求的責(zé)任主體（如：設(shè)計者、制造商、供應(yīng)商或業(yè)主等）；

      c) 應(yīng)用于自動扶梯和自動人行道的可編程電子系統(tǒng)（PE系統(tǒng)），符合自動扶梯和自動人行道相關(guān)標準（如：GB16899等）的最低要求；

      d) 明確了與GB/T 20438以及GB/T 24808之間的關(guān)系；

      e) 說明了自動扶梯和自動人行道安全功能與其安全狀態(tài)條件之間的關(guān)系；

      f) 適用于軟件和硬件設(shè)計的階段和活動，但不包括設(shè)計之后的階段和活動（如：采購與制造等）；

      g) 要求PESSRAE制造商提供說明書，向?qū)嵤┰撟詣臃鎏莺妥詣尤诵械澜M裝、連接、調(diào)試、維護的組織詳細說明如何保持PESSRAE的完整性；

      h) 規(guī)定了與軟硬件安全確認相關(guān)的要求；

      i) 為具體的自動扶梯和自動人行道安全功能規(guī)定了安全完整性等級；

      j) 規(guī)定了達到特定的安全完整性等級所需要的技術(shù)和措施；

      k) 提供了應(yīng)用PESSRAE的風(fēng)險降低的決策表；

      1) 規(guī)定了要求的PESSRAE最高安全完整性等級為SIL3，最低安全完整性等級為SIL1。

1.5 本部分不包含：

      a）PE系統(tǒng)裝置自身產(chǎn)生的危險，如電擊等。

      b) 失效安全的概念。在失效模式定義良好且復(fù)雜度相對較低的情況下失效安全可能是有價值的，因為本部分范圍內(nèi)的PESSRAE復(fù)雜度很高，所以失效安全概念在此是不合適的。

      c) 對自動扶梯和自動人行道安全功能中的PESSRAE的完整運用所必需的其他相關(guān)要求，如：系統(tǒng)集成規(guī)范，溫度和濕度，機械結(jié)構(gòu)，開關(guān)、執(zhí)行器件、傳感器的安裝和標識等。

      d) 由惡意或未授權(quán)行為引起的，涉及安全威脅的可預(yù)見的誤操作。需要考慮某一安全威脅分析時，如果重新評估了特定的SIL，可以使用本部分。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 20438.1-2017 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求(IEC 61508-1:2010,IDT)

      GB/T 20438.2 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求（GB/T 20438.2-2017，IEC 61508-2：2010，IDT）

      GB/T 20438.3 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分：軟件要求(GB/T 20438.3-2017,IEC 61508-3:2010,IDT)

      GB/T 20438.4 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分：定義和縮略語(GB/T 20438.4-2017,IEC 61508-4:2010,IDT)

      GB/T 20438.5 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第5部分：確定安全完整性等級的方法示例（GB/T 20438.5-2017，IEC 61508-5：2010，IDT）

      GB/T 24808 電磁兼容性 電梯、自動扶梯和自動人行道的產(chǎn)品系列標準 抗擾度

      GB 28526 機械電氣安全 安全相關(guān)電氣、電子和可編程電子控制系統(tǒng)的功能安全（GB 28526-2012,IEC 62061:2005,IDT)

3 術(shù)語和定義

      GB/T 20438.4 界定的以及下列術(shù)語和定義適用于本文件。

3.1

      非SIL相關(guān)安全狀態(tài)要求 non-SIL-relevant safe-state requirement

      對某個SIL相關(guān)安全功能的動作作出響應(yīng)，而執(zhí)行該響應(yīng)的功能無SIL要求。

      注：參見圖4和表2。

3.2

      可編程電子 programmable electronic;PE

      以計算機技術(shù)為基礎(chǔ)，可以由硬件、軟件及其輸入和（或）輸出單元構(gòu)成。

      注：本術(shù)語包括以一個或多個中央處理器（CPU）及相關(guān)的存儲器等為基礎(chǔ)的微電子裝置。例如：下列均是可編程電子裝置：

      ——微處理器；

      ——微控制器；

      ——可編程控制器：

      ——現(xiàn)場可編程門陣列（FPGA）；

      ——專用集成電路（ASIC）；

      ——可編程邏輯控制器（PLC）；

      ——其他以計算機為基礎(chǔ)的裝置（如：智能傳感器、智能變送器、智能執(zhí)行器等）。

3.3

      可編程電子系統(tǒng) programmable electronic system

      PE系統(tǒng) PE system

      基于一個或多個可編程電子裝置的控制、保護或監(jiān)視的系統(tǒng)，包括系統(tǒng)中所有組件，如電源、傳感器和其他輸入裝置、數(shù)據(jù)總線和其他通信路徑、執(zhí)行裝置和其他輸出裝置。

      注1：參見圖1。

      注2：PE系統(tǒng)可執(zhí)行滿足SIL．要求或非SIL要求的功能。功能的SIL．分級只需考慮PE系統(tǒng)中執(zhí)行SIL．相關(guān)功能要求的部分。

      注3：圖1中所示的可編程電子在中心位置，但是可以設(shè)置于PE系統(tǒng)的多個位置。

      說明：

      1——PE系統(tǒng)的范圍；

      2——輸入接口（如：A/D轉(zhuǎn)換器）；

      3——輸入裝置（如：傳感器）；

      4——通信：

      5——可編程電子（PE）；

      6——輸出接口（如：D/A轉(zhuǎn)換器）；

      7——輸出裝置/終端組件（如：執(zhí)行裝置）。

圖1 基本的PE系統(tǒng)結(jié)構(gòu)

3.4

      自動扶梯和自動人行道安全相關(guān)的可編程電子系統(tǒng) programmable electronic systems in safety-re-lated applications for escalators and moving walks;PESSRAE

      基于軟件的PE系統(tǒng)在自動扶梯和自動人行道安全相關(guān)系統(tǒng)中的應(yīng)用。

3.5

      檢驗測試 proof test

      周期性的測試，用以檢測安全相關(guān)系統(tǒng)中危險的隱性失效，在必要時通過維修，把系統(tǒng)復(fù)原到“新的”狀態(tài)或?qū)嶋H上接近這種狀態(tài)。

      注1：在本部分中使用“檢驗測試”，但要注意到同義的術(shù)語“周期性測試”。

      注2：檢驗測試的有效性取決于失效覆蓋和維修的有效性。在實踐中除了低復(fù)雜E/E/PE安全相關(guān)系統(tǒng)外，100％的隱性失效的檢測很難達到，這宜是目標。至少，所有要執(zhí)行的安全功能，按E/E/PE安全相關(guān)系統(tǒng)安全要求規(guī)范進行檢查。如果使用分離通道，則對每個通道分別進行檢驗測試。對于復(fù)雜的組件，可能需進行分析，以證明在E/E/PE安全相關(guān)系統(tǒng)整體生命周期期間，未被檢驗測試檢測出的隱性危險失效概率可忽略不計。

      注3：檢驗測試需要一定時間完成。在此時間內(nèi)E/E/PE安全相關(guān)系統(tǒng)可能被部分或全部限制。在測試過程中，僅當EUC已停機或E/E/PE安全相關(guān)系統(tǒng)仍能保持在要求時的動作能力，檢驗測試持續(xù)時間可忽略不計。

      注4：在檢驗測試期間，E/E/PE安全相關(guān)系統(tǒng)可能部分或全部不能響應(yīng)動作要求。僅在維修時EUC已停機或使用其他等效的風(fēng)險措施來代替時，MTTR對于SIL的計算可以忽略。

      注5：維修（包括更換）可認為是把系統(tǒng)復(fù)原到“新的”。

3.6

      安全回路 safety circuit

      所有安全裝置的組合，完成自動扶梯和自動人行道的一組或所有安全功能。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。