内容发布更新时间 : 2024/5/6 12:43:51星期一 下面是文章的全部内容请认真阅读。

特种设备安全技术规范 TSG T7007-2016

序号 元器件和功能 要求注Q-6 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M6.1 M6.2 A.9.4 6 7 用于处理单元的时钟发生器故障，如频率改变时钟 或停顿，应当在考虑了系统反应时间的前提下被检测到 安全相关功能错误的程序序列和不恰当的执行程序 时序应当在考虑了系统序列 反应时间的前提下被检测到 具备独立时钟基准的看门狗，或 相互监控功能 程序序列的时序和逻辑监视的组合 M7.1 A.9.4 注Q-7：检测出故障之后，电梯、自动扶梯和自动人行道应当维持在某一安全状态。 注Q-8：这不适用于驱动装置，如安全回路中的安全继电器或类似的电气方式。

表Q-10 SIL3要求的特定措施

序号 元器件和功能 要求注Q-8 结构应当是在考虑了系统反应时间的前提下，一旦检测到任何一个随机故障，则系统就应当进入一个安全状态 处理单元中能导致错误结果的故障应当在考虑了系统反应时间的前提下能被检测出来。 如果这样的故障会导致危险状态，那么系统应当进入一个安全状态 不正确的信息修改，例如，所有的1位或多位故障应当在考虑了系统反应时间的前提下被检测到 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M1.3 A.2.5 1 结构 具有比较功能的双通道或多通道结构 2 处理 单元 双通道结构的比较器，或 双通道结构的软件相互比较 M2.4 M2.5 A.1.3 A.3.5 3 不变的存储区 有复制块的块安全过程，或 具有多字冗余的块安全 M3.3 A.4.5 M3.4 A.4.4 - 125 -

TSG T7007-2016 特种设备安全技术规范

序号 元器件和功能 要求注Q-8 措施 表GB/T Q-12 20438.7-2006 条款号 条款号 M4.2 M4.3 A.5.7 A.5.3 4 5 6 7 在寻址、写入、存储和读出期间的全局性故可变障，以及所有静态位故的存障和动态耦合应当在考储区 虑了系统反应时间的前提下被检测到 I/O单元和I/O线上的静态故障和包括干扰以及数据流中的随通讯机和系统故障应当在考连接虑了系统反应时间的前的接提下被检测到注Q-9 口 用于处理单元的时钟发生器故障，如频率改变时钟 或停顿，应当在考虑了系统反应时间的前提下被检测到 安全相关功能错误的程序序列和不恰当的执行程序 时序应当在考虑了系统序列 反应时间的前提下被检测到 有复制块的块安全过程，或 监视检查例如Galpat法 多通道并行输入，和 多通道并行输出，或 输出读回，或 代码安全，或 测试模式 M5.1 M5.3 M5.2 M5.4 M5.5 A.6.5 A6.3 A.6.4 A.6.2 A.6.1 具备独立时钟基准的看门狗，或 相互监控功能 M6.1 M6.2 A.9.4 程序序列的时序和逻辑监视的组合 M7.1 A.9.4 注Q-9：检测出故障之后，电梯应当维持在某一安全状态。 注Q-10：这不适用于驱动装置，如安全链中的安全继电器或类似的电气方式。

表Q-11 不同SIL要求特定措施的失效控制的可用措施描述

元器序件和号 功能 措施描述 项目及编号 描述 1 即使结构由单通道组成，也应提供冗余的输出途径以确保安全关机。自检(周期性的)以一定的时间间隔(该间隔以M1.1 应用而定)在PESSRAL或PESSRAE的子单元内执行。这些检结构 具有自检功能查(如CPU 或存储器检查)被设计用以检测独立于数据流的单通道结构 的潜在故障。 检测到故障后，系统应进入某一安全状态。 - 126 -

特种设备安全技术规范 TSG T7007-2016

M1.2 具有自检和监控功能的单通道结构 M1.3 具有比较功能的双通道或多通道结构 一个带自检和监控的单通道结构由单独的硬件监控单元组成，该单元不依赖于具体应用，周期性地从系统接受自检过程产生的数据。如有错误数据，系统应进入某一安全状态。 应至少有两种独立的关机途径，使得关机可由处理器自身或监控单元实现。 双通道安全相关设计由两个独立的无反馈功能单元组成。规定的功能在每个通道内被独立地处理。对于一个专为安全装置的功能设计的双通道PESSRAL或PESSRAE，各通道的设计在软硬件方面可以完全相同。若双通道PESSRAL或PESSRAE 用于复杂的解决方案(如多个安全功能的组合)和过程或条件不是明确可证实的场合，应当考虑对软硬件的差异性设计。 该结构具有比较与安全功能相关的内部信号(如总线比较)和/或输出信号的功能，以帮助故障检测。 应至少有两种独立的关机途径，使得关机可由通道本身或比较器实现。比较本身也应遵守故障识别。 2 M2.1 这样的单元可使用专门的故障识别或故障更正电路技术可更正故障的实现。对于简单结构，这些技术是被熟知的。 硬件 用于安全相关应用的处理器单元的所有功能都应进行周M2.2 期性测试。 软件自检 这些测试可与子部件(如存储器、I/O 等)的测试组合在一起。 M2.3 一个专用的硬件设施用于支持自检功能的故障检测。如，有硬件支持的一个检查特定位组合模式的周期性输出的监控单元。 软件自检 处理 M2.4 单元 双通道结构的 比较器 a)使用硬件单元循环地或连续地对两个处理器的信号进行比较。比较器可以是一个外部的检测单元或被设计为一个自监控设备；或者 b)使用处理器对两个通道的信号进行比较。比较器可以是M2.5 一个外部的检测单元或被设计为一个自监控设备。 带硬件比较器双通道结构的软件相互比较 的双通道 使用两个冗余处理器，二者相互交换与安全相关的数据。每个处理器内都对数据进行比较。 - 127 -

TSG T7007-2016 特种设备安全技术规范

M3.1 1字冗余的块安全过程(如ROM中的一个字宽的签名结构) M3.2 具有多位冗余的字保存(如，修正的海明码) 不变的存储区M3.3 3 (ROM, 有复制块的块EPROM 安全过程 等) 在本测试中，ROM 的内容被特定的算法压缩为至少一个存储字。该算法，如循环冗余校验(CRC)，可使用硬件或软件实现。 存储器每个字被扩展若干冗余位以形成一个海明距离至少为4 的修正的海明码。每次读一个字时，通过校验冗余位可以确定是否发生了错误。如发现有差异，系统应进入某一安全状态。 地址空间被分为两个存储器。第一个存储器以正常方式工作，第二个存储器包含同样的信息并同第一个并行存取。比较两者的输出，当检测到差异时就认为出现故障。为检测特定类型的位错误，应在两个存储器中的一个存储取反后的数据，读取的时候再次取反。在软件过程中，应用程序对两个存储区域的内容进行循环比较。 M3.4 本程序使用CRC算法来计算一个签名，而结果值至少有两具有多字冗余个字长。扩展的签名像单字情况中那样被存储、重新计算的块安全过程 和比较。当有差异时就产生一条错误消息。 M3.5 1位冗余的字保存(如带奇偶校验位的ROM监控) M4.1 通过测试模式检测静态和动态错误，如RAM 测试“漫步路径”法 M4.2 有复制块的块安全过程，如带硬件或软件比较的双RAM 存储器的每个字都扩展1 位(奇偶校验位)，此位给每个字补齐偶数个或奇数个逻辑1。每次读数据字时都检验奇偶性，如发现1 的个数有错时，就产生一条错误信息。奇偶校验的选择，应使得在失效事件中，无论是0 字(全0)还是1 字(全1)都是不适宜的，此时该字也不是有效代码。当数据字和它的地址连起来计算奇偶性时，奇偶校验也可用来检测寻址失效。 用一个统一不变的位流初始化要测试的存储区。第一个单元被反向并检查其余的存储区以确保背景是正确的。此后第一单元再次反向从而使它回复到初始值，对下面的单元也重复整个操作过程。在反向的背景预分配情况下执行“漂移位模型”的第二次运行。如有差异，系统应进入一个安全状态。 地址空间被分为两个存储器。第一个存储器以正常方式工作，第二个存储器包含同样的信息并同第一个并行存取。比较两者的输出，当检测到差异时就认为出现故障。为检测特定类型的位错误，应在两个存储器中的一个存储取反后的数据，读取的时候再次取反。在软件过程中，应用程序对两个存储区域的内容进行循环比较。 可变4 的存储区 - 128 -

特种设备安全技术规范 TSG T7007-2016

I/O单元和包括5 通讯连接的接口 a) “Galpat”RAM 检查法：在将一个取反的要素写入标准预分配的存储空间中，并检查所有剩余单元以确保他们内容的正确。每读取一个剩余单元后，都检查一次被取反的单元。每个单元重复这样的操作。在存储空间预分配与第一轮相反的值后执行第二轮。出现差异就认为存在故障。或者 M4.3 b)透明的“Galpat”测试：首先，使用软件或者软硬件一对静态和动态起形成一个关于被测试存储区容量的“签名”，并将其存故障的监视检入寄存器中。这与Galpat 测试中的内存预分配是一致的。查，如Galpat这个内容现在被反向写入测试单元中，并检查剩余单元中法 的内容。每次读取一个剩余单元后也读取该反向单元的内容。由于剩余单元的内容是未知的，他们的内容不能被逐一地测试，而是再次形成一个签名。第一个单元的第一次运行之后，该单元的内容反转数次后(例如，内容再次为真)又启动第二次运行。这样，存储器的原始内容被重建了。按同样的方法测试所选存储范围内的所有单元。如果出现差异就认为存在故障。 M5.1 这是一种依赖于数据流的独立的输入比较，以确保符合定多通道并行输义的偏差范围(时间值)。 入 M5.2 这是一种依赖于数据流的具有独立输入的输出比较，以确输出读回(输保符合定义的偏差范围(时间值)。故障并不总是和输出缺出监控) 陷有关。 M5.3 一种依赖于数据流的输出冗余。直接通过技术处理或通过多通道并行输外部比较器识别故障。 出 M5.4 代码安全 M5.5 测试模式(模型) M6.1 具备独立时钟基准的看门狗 M6.2 相互监控 M7.1 程序序列的时序和逻辑监视的组合 本程序保护输入和输出信息免受随机故障和系统故障的影响。它通过信息冗余和/或时间冗余实现了依赖于数据流的输入和输出单元的故障识别。 这是一种不依赖于数据流的输入和输出单元的循环测试，用定义的测试模式来比较观测值和对应的预计值。测试模式信息、测试模式接收和测试模式评价必须是相互独立的。应假定所有可能的输入模式是经过测试的。 具有单独时基的硬件定时器被程序的正确操作触发。 具有单独时基的硬件定时器被其他处理器程序的正确操作触发。 仅当各程序部分的时序执行正确时，一个时基的程序序列监控设施才会被重新触发。 6 时钟 7 程序 序列 - 129 -