1 范圍

1.1 GB/T 35850的本部分適用于可編程電子系統被用于執行自動扶梯和自動人行道電氣安全功能時以及自動扶梯和自動人行道規范、標準中所定義的自動扶梯和自動人行道安全功能應用PESSRAE時。

1.2 本部分也適用于新的或與本部分描述有差異的PESSRAE。

1.3 如果電氣安全裝置符合本部分和其他相關標準的所有要求，則不必考慮其失效的可能性。

1.4 本部分：

      a）使用了安全完整性等級（SIL）來規定用PESSRAE實現安全功能的目標失效量；

      b) 規定了達到某一功能的安全完整性的要求，但沒有規定實施和保持該要求的責任主體（如：設計者、制造商、供應商或業主等）；

      c) 應用于自動扶梯和自動人行道的可編程電子系統（PE系統），符合自動扶梯和自動人行道相關標準（如：GB16899等）的最低要求；

      d) 明確了與GB/T 20438以及GB/T 24808之間的關系；

      e) 說明了自動扶梯和自動人行道安全功能與其安全狀態條件之間的關系；

      f) 適用于軟件和硬件設計的階段和活動，但不包括設計之后的階段和活動（如：采購與制造等）；

      g) 要求PESSRAE制造商提供說明書，向實施該自動扶梯和自動人行道組裝、連接、調試、維護的組織詳細說明如何保持PESSRAE的完整性；

      h) 規定了與軟硬件安全確認相關的要求；

      i) 為具體的自動扶梯和自動人行道安全功能規定了安全完整性等級；

      j) 規定了達到特定的安全完整性等級所需要的技術和措施；

      k) 提供了應用PESSRAE的風險降低的決策表；

      1) 規定了要求的PESSRAE最高安全完整性等級為SIL3，最低安全完整性等級為SIL1。

1.5 本部分不包含：

      a）PE系統裝置自身產生的危險，如電擊等。

      b) 失效安全的概念。在失效模式定義良好且復雜度相對較低的情況下失效安全可能是有價值的，因為本部分范圍內的PESSRAE復雜度很高，所以失效安全概念在此是不合適的。

      c) 對自動扶梯和自動人行道安全功能中的PESSRAE的完整運用所必需的其他相關要求，如：系統集成規范，溫度和濕度，機械結構，開關、執行器件、傳感器的安裝和標識等。

      d) 由惡意或未授權行為引起的，涉及安全威脅的可預見的誤操作。需要考慮某一安全威脅分析時，如果重新評估了特定的SIL，可以使用本部分。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 20438.1-2017 電氣/電子/可編程電子安全相關系統的功能安全 第1部分：一般要求(IEC 61508-1:2010,IDT)

      GB/T 20438.2 電氣/電子/可編程電子安全相關系統的功能安全 第2部分：電氣/電子/可編程電子安全相關系統的要求（GB/T 20438.2-2017，IEC 61508-2：2010，IDT）

      GB/T 20438.3 電氣/電子/可編程電子安全相關系統的功能安全 第3部分：軟件要求(GB/T 20438.3-2017,IEC 61508-3:2010,IDT)

      GB/T 20438.4 電氣/電子/可編程電子安全相關系統的功能安全 第4部分：定義和縮略語(GB/T 20438.4-2017,IEC 61508-4:2010,IDT)

      GB/T 20438.5 電氣/電子/可編程電子安全相關系統的功能安全 第5部分：確定安全完整性等級的方法示例（GB/T 20438.5-2017，IEC 61508-5：2010，IDT）

      GB/T 24808 電磁兼容性 電梯、自動扶梯和自動人行道的產品系列標準 抗擾度

      GB 28526 機械電氣安全 安全相關電氣、電子和可編程電子控制系統的功能安全（GB 28526-2012,IEC 62061:2005,IDT)

3 術語和定義

      GB/T 20438.4 界定的以及下列術語和定義適用于本文件。

3.1

      非SIL相關安全狀態要求 non-SIL-relevant safe-state requirement

      對某個SIL相關安全功能的動作作出響應，而執行該響應的功能無SIL要求。

      注：參見圖4和表2。

3.2

      可編程電子 programmable electronic;PE

      以計算機技術為基礎，可以由硬件、軟件及其輸入和（或）輸出單元構成。

      注：本術語包括以一個或多個中央處理器（CPU）及相關的存儲器等為基礎的微電子裝置。例如：下列均是可編程電子裝置：

      ——微處理器；

      ——微控制器；

      ——可編程控制器：

      ——現場可編程門陣列（FPGA）；

      ——專用集成電路（ASIC）；

      ——可編程邏輯控制器（PLC）；

      ——其他以計算機為基礎的裝置（如：智能傳感器、智能變送器、智能執行器等）。

3.3

      可編程電子系統 programmable electronic system

      PE系統 PE system

      基于一個或多個可編程電子裝置的控制、保護或監視的系統，包括系統中所有組件，如電源、傳感器和其他輸入裝置、數據總線和其他通信路徑、執行裝置和其他輸出裝置。

      注1：參見圖1。

      注2：PE系統可執行滿足SIL．要求或非SIL要求的功能。功能的SIL．分級只需考慮PE系統中執行SIL．相關功能要求的部分。

      注3：圖1中所示的可編程電子在中心位置，但是可以設置于PE系統的多個位置。

      說明：

      1——PE系統的范圍；

      2——輸入接口（如：A/D轉換器）；

      3——輸入裝置（如：傳感器）；

      4——通信：

      5——可編程電子（PE）；

      6——輸出接口（如：D/A轉換器）；

      7——輸出裝置/終端組件（如：執行裝置）。

圖1 基本的PE系統結構

3.4

      自動扶梯和自動人行道安全相關的可編程電子系統 programmable electronic systems in safety-re-lated applications for escalators and moving walks;PESSRAE

      基于軟件的PE系統在自動扶梯和自動人行道安全相關系統中的應用。

3.5

      檢驗測試 proof test

      周期性的測試，用以檢測安全相關系統中危險的隱性失效，在必要時通過維修，把系統復原到“新的”狀態或實際上接近這種狀態。

      注1：在本部分中使用“檢驗測試”，但要注意到同義的術語“周期性測試”。

      注2：檢驗測試的有效性取決于失效覆蓋和維修的有效性。在實踐中除了低復雜E/E/PE安全相關系統外，100％的隱性失效的檢測很難達到，這宜是目標。至少，所有要執行的安全功能，按E/E/PE安全相關系統安全要求規范進行檢查。如果使用分離通道，則對每個通道分別進行檢驗測試。對于復雜的組件，可能需進行分析，以證明在E/E/PE安全相關系統整體生命周期期間，未被檢驗測試檢測出的隱性危險失效概率可忽略不計。

      注3：檢驗測試需要一定時間完成。在此時間內E/E/PE安全相關系統可能被部分或全部限制。在測試過程中，僅當EUC已停機或E/E/PE安全相關系統仍能保持在要求時的動作能力，檢驗測試持續時間可忽略不計。

      注4：在檢驗測試期間，E/E/PE安全相關系統可能部分或全部不能響應動作要求。僅在維修時EUC已停機或使用其他等效的風險措施來代替時，MTTR對于SIL的計算可以忽略。

      注5：維修（包括更換）可認為是把系統復原到“新的”。

3.6

      安全回路 safety circuit

      所有安全裝置的組合，完成自動扶梯和自動人行道的一組或所有安全功能。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。