内容发布更新时间 : 2024/5/3 1:25:22星期一 下面是文章的全部内容请认真阅读。
特种设备安全技术规范 TSG T7007-2016
附件Q
含有电子元件的安全电路和可编程电子安全相关系统
型式试验要求
Q1 适用范围
本附件适用于曳引与强制驱动电梯、液压驱动电梯、其它类型电梯、自动扶梯和自动人行道电气安全装置(功能)的含有电子元件的安全电路(以下简称“安全电路”)和可编程电子安全相关系统(以下简称“可编程系统”)的型式试验。
Q2 引用标准
(1)GB 7588-2003《电梯制造与安装安全规范》(含第1号修改单); (2)GB 16899-2011《自动扶梯和自动人行道制造与安装安全规范》; (3)GB 21240-2007《液压电梯制造与安装安全规范》;
(4)GB 28526-2012《机械电气安全 安全相关电气电子和可编程电子控制系统的功能安全》;
(5) GB/T 20438.1-2006《电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求》;
(6) GB/T 20438.3-2006《电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求》;
(7) GB/T 20438.4-2006《GB/T 20438.4-2006 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略语》;
(8) GB/T 20438.7-2006《电气/电子/可编程电子安全相关系统的功能安全 第7部分:技术和措施概述》;
(9) GB/T 24808-2009《电磁兼容 电梯、自动扶梯和自动人行道的产品系列标准 抗扰度》。
Q3 名词术语
本附件采用Q2引用标准和本节确定的术语:
- 115 -
TSG T7007-2016 特种设备安全技术规范
Q3.1 可编程电子安全相关系统
用于安全应用的,基于可编程电子装置的用于控制、防护、监测的系统,包括系统中所有元素(例如电源、传感器和其他输入装置,数据高速公路和其他通信途径,以及执行器和其他输出装置)。
用于曳引与强制驱动电梯、液压驱动电梯、其它类型电梯的可编程电子安全相关系统简称PESSRAL。用于自动扶梯和自动人行道的可编程电子安全相关系统简称PESSRAE。
Q4 主要参数和配置的适用原则 Q4.1 主要参数变化和配置变化
安全电路和可编程系统的型式试验无适用要求。
注Q-1:对于已经取得型式试验合格证并在有效期内,安全电路和可编程系统的设
计和制造发生变更或变化的情况,申请单位应书面告知原型式试验机构,并提供相关技术文件资料,由原型式试验机构决定型式试验报告和型式试验合格证的有效性。
Q4.2 适用范围
Q4.2.1安全电路适用的参数范围和配置见表Q-1。
表Q-1 含有电子元件的安全电路产品适用参数范围和配置表
产品用途 型号规格 工作电压 工作条件
Q4.2.2 可编程系统适用的参数范围和配置见表Q-2。
表Q-2 可编程电子安全相关系统产品适用参数范围和配置表
产品用途 型号规格 工作电压 硬件版本 系统说明 - 116 -
电气安全装置(功能)种类和安全功能描述 V 对应安全功能的 安全完整性等级 结构类型 工作条件 软件版本 电气安全装置(功能)种类和安全功能描述 V 结构类型 污染等级 特种设备安全技术规范 TSG T7007-2016
Q5 技术资料要求与审查
型式试验机构应当对申请单位按照本节要求提交的技术资料进行审查,确认是否符合本规则和相关标准的要求。
Q5.1 技术资料要求 Q5.1.1 合格证明及说明书
(1)产品合格证(产品质量证明文件);
(2)对于安全电路,安装、调试、使用、维护说明书; (3)对于可编程系统,用户手册和安装调试维保手册。
用户手册包括产品介绍,使用条件、环境和寿命,对预期使用的限制, 输入输出规定,安全功能和安全状态;安装调试维保手册包括安装调试维保人员工作所需的信息,特别要求和/或预防措施,验证试验及例行保养的方法和周期、故障诊断和维修方法、恢复正常后的确认方法,报废与处理说明等。
Q5.1.2 主要结构参数技术资料
(1)电路板的类别、型号、工作电压和工作条件; (2)电气/电子元件清单(包括输入元件或单元); Q5.1.3 相关技术资料 Q5.1.3.1安全电路
(1)电路板的布线图和布置说明(应说明工作原理、输入、输出定义,电气间隙、爬电距离等);混合电路布线图和布置说明(应说明安全电路与其他控制电路的电气间隙,布线标志等);
(2)安全功能、运行模式和安全状态实现方式等详细描述; (3)故障(失效)模式、影响或诊断分析(FMEA或FMEDA)。 Q5.1.3.2可编程系统
应提供能够说明产品符合表Q-7“设计和实现过程通用措施”规定的管理文件、技术文件和相关资料。
Q5.1.3.2.1 功能、环境和接口方面的应用评估 Q5.1.3.2.2 安全管理文件资料
包括产品改动,复制和更新,以及版本编号等管理规范。 Q5.1.3.2.3 安全要求规范(SRS)和检查规范
- 117 -
TSG T7007-2016 特种设备安全技术规范
Q5.1.3.2.4 设计开发文件资料 包括以下内容:
(1)硬件、软件和系统结构设计和相互关系的详细描述;
(2)电路板的布线图和布置说明(应说明工作原理、输入、输出定义,电气间隙、爬电距离等);混合电路布线图和布置说明(应说明安全电路与其他控制电路的电气间隙,布线标志等);
(3)故障(失效)模式、影响或诊断分析(FMEA或FMEDA);
(4)随机硬件失效引起的安全功能失效的概率(PFH)和子系统安全失效分数(SFF)分析和估算说明;
(5)功能和程序流程描述的软件说明(包括字组、模块、数据、变量和接口描述); (6)软件流程图和软件源代码;
(7)编程软件的总体说明(例如编程规则,语言、编译器、模块); (8)系统、硬件和软件的版本控制及其兼容性说明; (9)设计开发过程中相关工作记录。 Q5.1.3.2.5 检查、测试和确认文件资料 包括以下内容:
(1)设计、开发的检查报告; (2)验证和确认计划;
(3)测试规范和测试记录(包括硬件及故障插入、软件编码规则、软件动态单元、软件模块、系统集成);
(4)制造单位的测试规范、测试报告和现场测试报告。 Q5.2 技术资料审查
安全电路功能、运行模式和安全状态实现方式等详细描述和安全电路故障(失效)模式、影响或诊断分析(FMEA或FMEDA)技术文件和资料应完整,产品设计和实现符合要求。故障分析参考GB7588-2003 §14.1.2.3安全电路的要求。
可编程系统产品设计、实现阶段的技术文件和资料应当完整,产品设计和实现符合下列要求。
Q5.2.1 可编程系统安全功能的安全完整性
可编程系统安全功能的安全完整性等级(SIL)应该符合本规则附件G表G-3或本规则- 118 -
特种设备安全技术规范 TSG T7007-2016
附件H表H-2中的规定。
当本规则附件G表G-3中规定的电气安全装置(功能)为保证安全而动作时,应防止驱动主机启动或立即使其停止运转,工作制动器的电源也应当被切断;当本规则附件H表H-2中规定的电气安全装置(功能)为保证安全而动作时,在按照GB 16899-2011 §5.12.2.4重新启动之前,驱动主机应不能启动或立即停止,工作制动器的电源也应当被切断。
安全功能的安全完整性包括系统安全完整性、硬件安全完整性和软件安全完整性。 对用于实现不同安全功能的可编程系统,除非有充分证据显示这些安全功能的实现之间是充分独立的,否则硬件和软件应作为具有最高安全完整性等级的安全功能来对待,对最高安全完整性等级的要求适用于所有这些部分。
对于PESSRAL或PESSRAE既执行安全功能又执行非安全功能的情况,除非有充分证据表明这两部分是充分独立的(即非安全功能的失效不会引起安全功能的危险失效),否则所有的软硬件都应该被视为与安全相关。
Q5.2.2 可编程系统硬件安全完整性的结构约束
审查安全功能所声明的硬件最高安全完整性等级,包括:硬件故障裕度( HFT )和执行该安全功能的子系统的安全失效分数( SFF )。
PESSRAL或PESSRAE硬件子系统安全完整性的结构约束应该符合表Q-3的规定。
表Q-3 硬件子系统安全完整性的结构约束
安全失效分数( SFF ) 硬件故障裕度( HFT ) 0 SIL1 SIL2 SIL3 SIL3 不允许 SIL1 SIL2 SIL3 1 SIL2 SIL3 未定义 未定义 SIL1 SIL2 SIL3 未定义 2 SIL3 未定义 未定义 未定义 SIL2 SIL3 未定义 未定义 - 119 -
A类安全相关子系统的结构约束(见注Q-1) <60% 60% -- <90% 90% -- <99% ≥ 99% < 60% 60% -- <90% 90% -- <99% ≥ 99% B类安全相关子系统的结构约束(见注Q-2)