1 范围

1.1 GB/T 35850的本部分适用于可编程电子系统被用于执行自动扶梯和自动人行道电气安全功能时以及自动扶梯和自动人行道规范、标准中所定义的自动扶梯和自动人行道安全功能应用PESSRAE时。

1.2 本部分也适用于新的或与本部分描述有差异的PESSRAE。

1.3 如果电气安全装置符合本部分和其他相关标准的所有要求，则不必考虑其失效的可能性。

1.4 本部分：

      a）使用了安全完整性等级（SIL）来规定用PESSRAE实现安全功能的目标失效量；

      b) 规定了达到某一功能的安全完整性的要求，但没有规定实施和保持该要求的责任主体（如：设计者、制造商、供应商或业主等）；

      c) 应用于自动扶梯和自动人行道的可编程电子系统（PE系统），符合自动扶梯和自动人行道相关标准（如：GB16899等）的最低要求；

      d) 明确了与GB/T 20438以及GB/T 24808之间的关系；

      e) 说明了自动扶梯和自动人行道安全功能与其安全状态条件之间的关系；

      f) 适用于软件和硬件设计的阶段和活动，但不包括设计之后的阶段和活动（如：采购与制造等）；

      g) 要求PESSRAE制造商提供说明书，向实施该自动扶梯和自动人行道组装、连接、调试、维护的组织详细说明如何保持PESSRAE的完整性；

      h) 规定了与软硬件安全确认相关的要求；

      i) 为具体的自动扶梯和自动人行道安全功能规定了安全完整性等级；

      j) 规定了达到特定的安全完整性等级所需要的技术和措施；

      k) 提供了应用PESSRAE的风险降低的决策表；

      1) 规定了要求的PESSRAE最高安全完整性等级为SIL3，最低安全完整性等级为SIL1。

1.5 本部分不包含：

      a）PE系统装置自身产生的危险，如电击等。

      b) 失效安全的概念。在失效模式定义良好且复杂度相对较低的情况下失效安全可能是有价值的，因为本部分范围内的PESSRAE复杂度很高，所以失效安全概念在此是不合适的。

      c) 对自动扶梯和自动人行道安全功能中的PESSRAE的完整运用所必需的其他相关要求，如：系统集成规范，温度和湿度，机械结构，开关、执行器件、传感器的安装和标识等。

      d) 由恶意或未授权行为引起的，涉及安全威胁的可预见的误操作。需要考虑某一安全威胁分析时，如果重新评估了特定的SIL，可以使用本部分。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 20438.1-2017 电气/电子/可编程电子安全相关系统的功能安全 第1部分：一般要求(IEC 61508-1:2010,IDT)

      GB/T 20438.2 电气/电子/可编程电子安全相关系统的功能安全 第2部分：电气/电子/可编程电子安全相关系统的要求（GB/T 20438.2-2017，IEC 61508-2：2010，IDT）

      GB/T 20438.3 电气/电子/可编程电子安全相关系统的功能安全 第3部分：软件要求(GB/T 20438.3-2017,IEC 61508-3:2010,IDT)

      GB/T 20438.4 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略语(GB/T 20438.4-2017,IEC 61508-4:2010,IDT)

      GB/T 20438.5 电气/电子/可编程电子安全相关系统的功能安全 第5部分：确定安全完整性等级的方法示例（GB/T 20438.5-2017，IEC 61508-5：2010，IDT）

      GB/T 24808 电磁兼容性 电梯、自动扶梯和自动人行道的产品系列标准 抗扰度

      GB 28526 机械电气安全 安全相关电气、电子和可编程电子控制系统的功能安全（GB 28526-2012,IEC 62061:2005,IDT)

3 术语和定义

      GB/T 20438.4 界定的以及下列术语和定义适用于本文件。

3.1

      非SIL相关安全状态要求 non-SIL-relevant safe-state requirement

      对某个SIL相关安全功能的动作作出响应，而执行该响应的功能无SIL要求。

      注：参见图4和表2。

3.2

      可编程电子 programmable electronic;PE

      以计算机技术为基础，可以由硬件、软件及其输入和（或）输出单元构成。

      注：本术语包括以一个或多个中央处理器（CPU）及相关的存储器等为基础的微电子装置。例如：下列均是可编程电子装置：

      ——微处理器；

      ——微控制器；

      ——可编程控制器：

      ——现场可编程门阵列（FPGA）；

      ——专用集成电路（ASIC）；

      ——可编程逻辑控制器（PLC）；

      ——其他以计算机为基础的装置（如：智能传感器、智能变送器、智能执行器等）。

3.3

      可编程电子系统 programmable electronic system

      PE系统 PE system

      基于一个或多个可编程电子装置的控制、保护或监视的系统，包括系统中所有组件，如电源、传感器和其他输入装置、数据总线和其他通信路径、执行装置和其他输出装置。

      注1：参见图1。

      注2：PE系统可执行满足SIL．要求或非SIL要求的功能。功能的SIL．分级只需考虑PE系统中执行SIL．相关功能要求的部分。

      注3：图1中所示的可编程电子在中心位置，但是可以设置于PE系统的多个位置。

      说明：

      1——PE系统的范围；

      2——输入接口（如：A/D转换器）；

      3——输入装置（如：传感器）；

      4——通信：

      5——可编程电子（PE）；

      6——输出接口（如：D/A转换器）；

      7——输出装置/终端组件（如：执行装置）。

图1 基本的PE系统结构

3.4

      自动扶梯和自动人行道安全相关的可编程电子系统 programmable electronic systems in safety-re-lated applications for escalators and moving walks;PESSRAE

      基于软件的PE系统在自动扶梯和自动人行道安全相关系统中的应用。

3.5

      检验测试 proof test

      周期性的测试，用以检测安全相关系统中危险的隐性失效，在必要时通过维修，把系统复原到“新的”状态或实际上接近这种状态。

      注1：在本部分中使用“检验测试”，但要注意到同义的术语“周期性测试”。

      注2：检验测试的有效性取决于失效覆盖和维修的有效性。在实践中除了低复杂E/E/PE安全相关系统外，100％的隐性失效的检测很难达到，这宜是目标。至少，所有要执行的安全功能，按E/E/PE安全相关系统安全要求规范进行检查。如果使用分离通道，则对每个通道分别进行检验测试。对于复杂的组件，可能需进行分析，以证明在E/E/PE安全相关系统整体生命周期期间，未被检验测试检测出的隐性危险失效概率可忽略不计。

      注3：检验测试需要一定时间完成。在此时间内E/E/PE安全相关系统可能被部分或全部限制。在测试过程中，仅当EUC已停机或E/E/PE安全相关系统仍能保持在要求时的动作能力，检验测试持续时间可忽略不计。

      注4：在检验测试期间，E/E/PE安全相关系统可能部分或全部不能响应动作要求。仅在维修时EUC已停机或使用其他等效的风险措施来代替时，MTTR对于SIL的计算可以忽略。

      注5：维修（包括更换）可认为是把系统复原到“新的”。

3.6

      安全回路 safety circuit

      所有安全装置的组合，完成自动扶梯和自动人行道的一组或所有安全功能。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。