电梯型式试验规则要求

R1　适用范围

本附件适用于曳引与强制驱动电梯、液压驱动电梯、其它类型电梯、自动扶梯和自动人行道电气安全装置(功能)的含有电子元件的安全电路(以下简称“安全电路”)和可编程电子安全相关系统(以下简称“可编程系统”)的型式试验。

R2　引用标准

(1)GB 7588—2003《电梯制造与安装安全规范》(含第1号修改单)；

(2)GB 16899—2011《自动扶梯和自动人行道的制造与安装安全规范》；

(3)GB/T 20438.1—2006《电气/电子/可编程电子安全相关系统的功能安全　第1部分：一般要求》；

(4)GB/T 20438.3—2006《电气/电子/可编程电子安全相关系统的功能安全　第3部分：软件要求》；

(5)GB/T 20438.7—2006《电气/电子/可编程电子安全相关系统的功能安全　第7部分：技术和措施概述》；

(6)GB/T 24808—2009《电磁兼容　电梯、自动扶梯和自动人行道的产品系列标准　抗扰度》。

R3　名词术语

本附件采用R2引用标准和本章规定的术语。

R3.1　可编程电子安全相关系统

用于安全应用的，基于可编程电子装置的用于控制、防护、监测的系统，包括系统中所有元素(如电源、传感器和其他输入装置，数据高速公路和其他通信途径，以及执行器和其他输出装置)。

用于曳引与强制驱动电梯、液压驱动电梯、其它类型电梯的可编程电子安全相关系统简称PESSRAL。用于自动扶梯和自动人行道的可编程电子安全相关系统简称PESSRAE。

R4　主要参数和配置的适用原则

R4.1　主要参数和配置变化

安全电路和可编程系统的型式试验无适用要求。

注R-1：对于已经取得型式试验合格证并在有效期内，安全电路和可编程系统的设计和制造发生变更或者变化的情况，申请单位应当书面告知原型式试验机构，并提供相关技术资料，由原型式试验机构决定型式试验报告和型式试验合格证的有效性。

R4.2　适用范围

安全电路适用的参数范围和配置见表R-1。

表R-1　含有电子元件的安全电路产品适用参数范围和配置表

可编程系统适用的参数范围和配置见表R-2。

表R-2　可编程电子安全相关系统产品适用参数范围和配置表

R5　技术资料要求与审查

型式试验机构应当对申请单位按照本节要求提交的技术资料进行审查，确认是否符合本规则及相关标准的要求。

R5.1　技术资料要求

R5.1.1　合格证明及说明书

(1)产品质量合格证明文件，包括合格证(含数据报告)、产品质量证明书等；

(2)对于安全电路，安装、调试、使用、维护说明书；

(3)对于可编程系统，用户手册和安装调试维保手册。

用户手册包括产品介绍，使用条件、环境和寿命，对预期使用的限制，输入输出规定，安全功能和安全状态；安装调试维保手册包括安装调试维保人员工作所需的信息，特别要求和/或者预防措施，验证试验及例行保养的方法和周期、故障诊断和修理方法、恢复正常后的确认方法，报废与处理说明等。

R5.1.2　主要结构参数技术资料

(1)电路板的类别、型号、工作电压和工作条件；

(2)电气/电子元件清单(包括输入元件或者单元)。

R5.1.3　相关技术资料

R5.1.3.1　安全电路

(1)电路板的布线图和布置说明(应当说明工作原理、输入、输出定义，电气间隙、爬电距离等)；混合电路布线图和布置说明(应当说明安全电路与其他控制电路的电气间隙，布线标志等)；

(2)安全功能、运行模式和安全状态实现方式等详细描述；

(3)故障(失效)模式、影响或者诊断分析(FMEA或者FMEDA)。

R5.1.3.2　可编程系统

应当提供能够说明产品符合表R-7“设计和实现过程通用措施”规定的管理文件和相关资料。包括功能、环境和接口方面的应用评估，安全管理资料(含产品改动，复制和更新，以及版本编号等管理规范)，安全要求规范(SRS)和检查规范，设计开发资料。

其中，设计开发资料包括以下内容：

(1)硬件、软件和系统结构设计和相互关系的详细描述；

(2)电路板的布线图和布置说明(应当说明工作原理、输入、输出定义，电气间隙、爬电距离等)，混合电路布线图和布置说明(应当说明安全电路与其他控制电路的电气间隙，布线标志等)；

(3)故障(失效)模式、影响或者诊断分析(FMEA或者FMEDA)；

(4)随机硬件失效引起的安全功能失效的概率(PFH)和子系统安全失效分数(SFF)分析和估算说明；

(5)功能和程序流程描述的软件说明(包括字组、模块、数据、变量和接口描述)；

(6)软件流程图和软件源代码；

(7)编程软件的总体说明(如编程规则，语言、编译器、模块)；

(8)系统、硬件和软件的版本控制及其兼容性说明；

(9)设计开发过程中相关工作记录。

R5.1.3.3　检查、测试和确认资料

包括以下内容：

(1)设计、开发的检查报告；

(2)验证和确认计划；

(3)测试规范和测试记录(包括硬件及故障插入、软件编码规则、软件动态单元、软件模块、系统集成)；

(4)制造单位的测试规范、测试报告和现场测试报告。

R5.2　技术资料审查

安全电路功能、运行模式和安全状态实现方式等详细描述和安全电路故障(失效)模式、影响或者诊断分析(FMEA或者FMEDA)技术资料和资料应当完整，产品设计和实现符合要求。故障分析参考GB 7588中14.1.2.3安全电路的要求。

可编程系统产品设计、实现阶段的技术资料和资料应当完整，产品设计和实现符合以下要求。

R5.2.1　可编程系统安全功能的安全完整性

可编程系统安全功能的安全完整性等级(SIL)应当符合本规则附件H表H-3或者附件J表J-2中的规定。

当本规则附件H表H-3中规定的电气安全装置(功能)为保证安全而动作时，应当防止驱动主机启动或者立即使其停止运转，工作制动器的电源也应当被切断；当本规则附件J表J-2中规定的电气安全装置(功能)为保证安全而动作时，在按照GB 16899中5.12.2.4重新启动之前，驱动主机应当不能启动或者立即停止，工作制动器的电源也应当被切断。

安全功能的安全完整性包括系统安全完整性、硬件安全完整性和软件安全完整性。

对用于实现不同安全功能的可编程系统，除非有充分证据显示这些安全功能的实现之间是充分独立的，否则硬件和软件应当作为具有最高安全完整性等级的安全功能来对待，对最高安全完整性等级的要求适用于所有这些部分。

对于PESSRAL或者PESSRAE既执行安全功能又执行非安全功能的情况，除非有充分证据表明这两部分是充分独立的(即非安全功能的失效不会引起安全功能的危险失效)，否则所有的软硬件都应当被视为与安全相关。

R5.2.2　可编程系统硬件安全完整性的结构约束

审查安全功能所声明的硬件最高安全完整性等级，包括：硬件故障裕度(HFT)和执行该安全功能的子系统的安全失效分数(SFF)。

PESSRAL或者PESSRAE硬件子系统安全完整性的结构约束应当符合表R-3的规定。

表R-3　硬件子系统安全完整性的结构约束

注R-2：符合以下条件，其部件被要求达到安全功能的一个子系统可以视为A类安全相关子系统：

(1)所有组成部件的失效模式都被很好地定义；

(2)故障状况下子系统的行为能够完全确定；

(3)通过现场经验获得充足而可靠的数据，可显示出符合所声明的检测到的和未检测到的危险失效的失效率。

注R-3：符合下列之一的条件，其部件被要求达到安全功能的一个子系统可以视为B类安全相关子系统：

(1)至少一个组成部件的失效模式未被很好地定义；

(2)故障状况下子系统的行为不能完全确定；

(3)通过现场经验获得的可靠的数据不够充分，不足以显示出符合所声明的检测到的和未检测到的危险失效的失效率。

如果子系统中只要有一个组成部件符合B类的条件，那么这个子系统应当被视为B类。(www.xing528.com)

R5.2.3　可编程系统安全完整性等级的目标失效量

PESSRAL或者PESSRAE安全功能的安全完整性等级分为3个等级，SIL3为安全完整性最高等级，SIL1为最低等级。

PESSRAL或者PESSRAE安全功能的安全完整性等级应当符合以下要求：

(1)按照高要求或者连续操作模式来进行安全完整性等级设计和确认；

(2)不同安全完整性等级，随机硬件失效引起的安全功能失效的概率——每小时危险失效概率(PFH)，应当符合表R-4的规定。

表R-4　可编程系统(PESSRAL或者PESSRAE)安全功能的　安全完整性等级的目标失效量

R5.2.4　可编程系统设计和实现的通用措施

与硬件设计相关的避免和检测故障的通用措施，与软件设计相关的避免和检测故障的通用措施应当分别符合表R-5和表R-6规定的要求；设计和实现过程的通用措施应当符合表R-7规定的要求。

表R-5　与硬件设计相关的避免和检测故障的通用措施

表R-6　与软件设计相关的避免和检测故障的通用措施

注R-4：周期性地刷新CPU总线系统不认为是重新配置。
注R-5：周期性地刷新I/O 配置寄存器不认为是重新配置。

表R-7　设计和实现过程的通用措施

R5.2.5　可编程系统SIL要求的设计和实现的特定措施

SIL1要求的特定措施见表R-8；SIL2要求的特定措施见表R-9；SIL3要求的特定措施见表R-10；不同SIL要求特定措施的失效控制的可以用措施描述见表R-11。

表R-8　SIL1要求的特定措施

注R-6：检测出故障之后，电梯、自动扶梯和自动人行道应当维持在某一安全状态。
注R-7：措施中有若干项的，其中之一即可。
注R-8：该措施仅针对单通道结构。

表R-9　SIL2要求的特定措施

注R-9：不适用于驱动装置，如安全回路中的安全继电器或者类似的电气方式。

表R-10　SIL3要求的特定措施

注R-10：检测出故障之后，电梯应当维持在某一安全状态。
注R-11：这不适用于驱动装置，如安全链中的安全继电器或者类似的电气方式。

表R-11　不同SIL要求特定措施的失效控制的可用措施描述

表R-11(续)

表R-11(续)

表R-11(续)

R6　样品检查与试验

R6.1　样品要求

申请单位应当提供以下样品：

(1)一块印制电路板；

(2)一块印制电路裸板(不含电气元件)；

(3)非印制电路板方式的安全电路，应当假设为等效印制电路板的形式；

(4)安全电路或者可编程系统的输入元件或者输入单元。

必要时，申请单位还应当提供能够模拟安全电路和可编程系统正常工作的其他外围装置。

R6.2　安全电路功能检查

安全电路功能应当符合产品设计要求，其安全功能应当符合本附件的要求和产品安全要求规范。

对于具备轿厢意外移动保护装置检测子系统功能的，应当对其响应时间是否在限值之内进行10次测试。

R6.3　可编程系统的功能和安全检查

可编程系统功能应当符合产品设计要求，其安全功能应当符合本附件的要求和产品安全要求规范。

对于具备轿厢意外移动保护装置检测子系统功能的，应当对其响应时间是否在限值之内进行10次测试。

可编程系统安全检查，除了需要确认表R-5～表R-11所定义措施以外，还应当进行以下验证：

(1)软件设计与编码，审查软件的静态分析和动态分析报告，可靠性块图；

(2)软件与硬件检查，如利用故障插入测试等方法，对表R-5、表R-6所列各项措施及从表R-11等表中所选措施进行验证。

R6.4　温度和机械应力试验

用于曳引与强制驱动电梯、液压驱动电梯、其它类型电梯的安全电路或者可编程系统应当符合GB 7588中F6.3的规定；用于自动扶梯和自动人行道的安全电路或者可编程系统应当符合GB 16899中附录D.4和D.5的规定。

试验样品在试验中和试验后必须工作正常，不应当发生元件破损，不应当有不安全的反应和状态显示。试验后，电气间隙和爬电距离应当不小于最小允许值。如果试验样品除了安全电路或者可编程系统外，还包含其他控制电路，则这些控制电路也必须在试验中处于工作状态，但是其故障可以不考虑。

R6.5　电磁兼容(性)测试

可编程系统应当进行符合GB/T 24808规定的安全电路的电磁兼容(性)抗扰度测试，且均应当达到性能标准D，即PESSRAL或者PESSRAE按照设计连续运行，除非因故障进入安全模式，不允许有任何性能降低和功能损失。

R6.5.1　外壳端口

可编程系统存在外壳端口，应当按照GB/T 24808表1中“安全电路”的相关要求进行测试。

R6.5.2　信号和控制线端口

可编程系统存在信号和控制线端口，应当按照GB/T 24808表2中“安全电路” 的相关要求进行测试。

R6.5.3　直流电源输入输出端口

可编程系统存在额定电流小于或者等于100A的直流电源输入输出端口(不适用于连接到专用的非充电电源输入口)，应当按照GB/T 24808表4中“安全电路”的相关要求进行测试。

R6.5.4　交流电源输入输出端口

可编程系统存在每相额定电流≤100A的交流电源输入输出端口(不适用于连接到专用的非充电电源输入口)，应当按照GB/T 24808表6中“安全电路”的相关要求进行测试。

R6.5.5　可编程系统启用后的失电

对于不需要手动复位的功能，在电源恢复后可允许可编程系统恢复正常工作模式，其输出状态应当由电源恢复后的输入条件决定。

对于需要手动复位的功能，可编程系统应当恢复到其失电前的输出状态。

R6.6　铭牌

在安全电路和可编程系统(含其组件)上应当设有铭牌(可识别标志)，标明以下内容：

(1)产品型号；

(2)制造单位名称或者商标；

(3)产品编号或者制造批次号；

(4)制造日期。

R7　样品技术参数及配置

见表R-12、表R-13。

表R-12　含有电子元件的安全电路样品技术参数及配置表

表R-13　可编程电子安全相关系统样品技术参数及配置表