電梯、自動扶梯和自動人行道安全相關的可編程電子系統(tǒng)的應用

第2部分：自動扶梯和自動人行道（PESSRAE）

1范圍

1.1本部分適用于自動扶梯和自動人行道，當可編程電子系統(tǒng)被用于執(zhí)行自動扶梯和自動人行道電氣安全

功能時，應采用本部分。當自動扶梯和自動人行道規(guī)范、標準中所定義的自動扶梯和自動人行道安全功能

應用PESSRAE時，應引用本部分。

1.2本部分也可應用于新的或與本部分描述有差異的PESSRAE。

1.3如果電氣安全裝置符合本部分和其他相關標準的所有要求，則不必考慮其失效的可能性。

1.4本部分：

a）使用了安全完整性等級（SIL）來規(guī)定用PESSRAE實現(xiàn)安全功能的目標失效量；

b）規(guī)定了達到某一功能的安全完整性的要求，但沒有規(guī)定實施和保持該要求的責任主體（如：設計者、

制造商、供應商或業(yè)主等）；

c）應用于自動扶梯和自動人行道的可編程電子系統(tǒng)（PEsystem），符合自動扶梯和自動人行道相關

標準（如：GB16899等）的最低要求；

d）明確了與GB/T20438以及GB/T24808之間的關系；

f）適用于軟件和硬件設計的階段和活動，但不包括設計之后的階段和活動，如：采購與制造等；

g）要求PESSRAE制造商提供說明書，向?qū)嵤┰撟詣臃鎏莺妥詣尤诵械澜M裝、連接、調(diào)試、維護的組織

詳細說明如何保持PESSRAE的完整性；

h）規(guī)定了與軟硬件安全確認相關的要求；

i）為具體的自動扶梯和自動人行道安全功能規(guī)定了安全完整性等級；

j）規(guī)定了達到特定的安全完整性等級所需要的技術和措施；

k）提供了應用PESSRAE的風險降低的決策表；

l）規(guī)定了要求的PESSRAE最高安全完整性等級為SIL3，最低安全完整性等級為SIL1。

1.5本部分不包含：

a）PEsystem裝置自身產(chǎn)生的危險，如電擊等；

b）失效安全的概念。在失效模式定義良好且復雜度相對較低的情況下失效安全可能是有價值的，因為

本部分范圍內(nèi)的PESSRAE復雜度很高，所以失效安全概念在此是不合適的；

c）對自動扶梯和自動人行道安全功能中的PESSRAE的完整運用所必需的其他相關要求，如：系統(tǒng)集成

規(guī)范，溫度和濕度，機械結構，開關、執(zhí)行器件、傳感器的安裝和標識等。這些要求應符合相關自動扶梯

和自動人行道標準；

d）由惡意或未授權行為引起的，涉及安全威脅的可預見的誤操作。需要考慮某一安全威脅分析時，如

果重新評估了特定的SIL，可以使用本部分。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T20438.1電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第1部分：一般要求（GB/T20438.1

—2006，IEC61508-1:1998，IDT）

GB/T20438.2電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安

全相關系統(tǒng)的要求（GB/T20438.2—2006，IEC61508-2:2000，IDT）

5

GB/T20438.3電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第3部分：軟件要求（GB/T20438.3

—2006，IEC61508-3:1998，IDT）

GB/T20438.4電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第4部分：定義和縮略語（GB/T

20438.4—2006，IEC61508-4:1998，IDT）

GB/T20438.5電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第5部分：確定安全完整性等級的方

法示例（GB/T20438.5—2006，IEC61508-5:1998，IDT）

GB/T24808電磁兼容性電梯、自動扶梯和自動人行道的產(chǎn)品系列標準抗擾度（GB/T24808—2009，

ISO22200:2009，IDT）

GB28526機械電氣安全安全相關電氣、電子和可編程電子控制系統(tǒng)的功能安全（GB28526—2012，

IEC62061:2005，IDT）

3術語和定義

在GB/T20438.4中給出的術語和定義適用于本部分，但是本部分作出的定義應優(yōu)先于通用標準GB/T

20438。

3.1

非SIL相關安全狀態(tài)要求non-SIL-relevantsafe-staterequirement

對某個SIL相關安全功能的動作作出響應，而執(zhí)行該響應的功能無SIL要求。

注：參見圖4和表2。

3.2

可編程電子programmableelectronic

PE

以計算機技術為基礎，可以由硬件、軟件及其輸入和（或）輸出單元構成。

注：本術語包括以一個或多個中央處理器（CPU）及相關的存儲器等為基礎的微電子裝置。

舉例：下列均是可編程電子裝置：

—微處理器；

—微控制器；

—可編程控制器；

—現(xiàn)場可編程門陣列（FPGA）；

—專用集成電路（ASIC）；

—可編程邏輯控制器（PLC）；

—其他以計算機為基礎的裝置（智能傳感器、變送器、執(zhí)行器等）。

3.3

可編程電子系統(tǒng)programmableelectronicsystem

PEsystem

基于一個或多個可編程電子裝置的控制、保護或監(jiān)視的系統(tǒng)，包括系統(tǒng)中所有部件，如電源、傳感器

和其他輸入裝置、數(shù)據(jù)總線和其他通信路徑、執(zhí)行裝置和其他輸出裝置。

注1：參見圖1。

注2：PEsystem可執(zhí)行滿足SIL要求或非SIL要求的功能。功能的SIL分級只需考慮PEsystem中執(zhí)行SIL相關功能要求的

部分。

6

圖中：

1——PEsystem的范圍；

2——輸入接口（如A/D轉(zhuǎn)換器）；

3——輸入裝置（如傳感器）；

4——通訊；

5——可編程電子裝置（PE）；

6——輸出接口（如D/A轉(zhuǎn)換器）；

7——輸出裝置/終端元件（如執(zhí)行裝置）；

a圖中所示的可編程電子裝置在中心位置，但是它可以存在于PEsystem的多個位置。

圖1基本PEsystem結構

3.4

自動扶梯和自動人行道安全相關的可編程電子系統(tǒng)programmableelectronicsystemsin

safety-relatedapplicationsforescalatorsandmovingwalks

PESSRAE

基于軟件的PEsystem在自動扶梯和自動人行道安全相關系統(tǒng)中的應用。

3.5

檢驗測試prooftest

周期性測試，用以檢測安全相關系統(tǒng)中危險的隱性失效，在必要時通過維修，把系統(tǒng)復原到“新的”

狀態(tài)或?qū)嶋H上接近這種狀態(tài)。

注1：在本部分中使用“檢驗測試”，但要注意到同義的術語“周期性測試”。

注2：檢驗測試的有效性取決于失效覆蓋和維修的有效性。在實踐中除了簡單E/E/PE安全相關系統(tǒng)外，100%的隱性失效

的檢測很難達到，這是個目標。至少所有要執(zhí)行的安全功能按E/E/PE安全相關系統(tǒng)安全要求規(guī)范進行檢查。如果使用多個獨

立的通道，則對每個通道分別進行檢驗測試。對于復雜的部件，需進行分析，以證明在E/E/PE安全相關系統(tǒng)整體生命周期內(nèi)，

未被檢驗測試所檢測出的隱性危險失效的概率可忽略不計。

注3：檢驗測試需要一定時間完成。在此時間內(nèi)E/E/PE安全相關系統(tǒng)可能被部分或全部禁用。在測試過程中，僅當EUC已

停機或E/E/PE安全相關系統(tǒng)被測試的部分仍能在要求動作時保持有效，檢驗測試持續(xù)時間可以忽略。

注4：在檢驗測試期間，E/E/PE安全相關系統(tǒng)可能部分或全部不能響應動作要求。僅在修復過程中EUC停機或使用其他等

效的風險措施來代替時，用于SIL計算的MTTR可以忽略。

7

3.6

安全回路safetycircuit

所有安全裝置的組合，完成自動扶梯和自動人行道的一組或所有安全功能。

注：參見圖2。

圖中：

1——安全裝置1，功能1；

2——安全裝置2，功能2；

3——安全裝置n，功能n；

4——安全裝置（n+1），功能（n+1）；

a——一組或全部必要的自動扶梯和自動人行道安全功能（見表1）。

圖2安全回路

3.7

安全裝置safetydevice

安全相關系統(tǒng)的組成部分，包括必要的控制電路，用于獨立地實現(xiàn)自動扶梯和自動人行道安全功能，

可由PEsystem部件和非PEsystem部件組成。

注：參見圖3和表1。

圖中：

1——PEsystem部件；

2——非PEsystem部件。

圖3安全裝置

3.8

安全功能safetyfunction

針對特定的危險事件，為了達到或保持自動扶梯和自動人行道的安全狀態(tài)，由安全相關系統(tǒng)實現(xiàn)的功

能。

注1：參見表1。

注2：安全功能可包括非SIL相關安全狀態(tài)要求，參見表2。

8

3.9

安全相關系統(tǒng)safety-relatedsystem

執(zhí)行一個或多個安全功能的一個或多個安全裝置，可基于PE、電氣、電子和/或機械的自動扶梯和自動

人行道部件。

注：該術語包括執(zhí)行安全功能所需的全部硬件、軟件和支持服務（如電源等）。傳感器、其他輸入裝置、最終元件（執(zhí)

行器）和其他輸出裝置也包括在安全相關系統(tǒng)中。

3.10

安全完整性等級safetyintegritylevel

SIL

一種離散的等級（四種可能等級之一），用于規(guī)定分配給可編程電子安全相關系統(tǒng)的安全功能的安全

完整性要求。安全完整性等級4是最高的，安全完整性等級1是最低的。SIL表明了各種因素導致失效（隨機

硬件失效和系統(tǒng)性失效）的失效率，這些失效將導致不安全狀態(tài)，如：硬件失效，軟件導致的失效，電氣

干擾導致的失效。

注：對于本部分，SIL3為自動扶梯和自動人行道應用的最高安全完整性等級。

3.11

SIL相關安全狀態(tài)要求SIL-relevantsafe-staterequirement

安全相關系統(tǒng)的一部分，應符合安全功能所需的SIL。

注：參見圖4和表2。

圖中：

1——SIL相關安全狀態(tài)要求；

2——非SIL相關安全狀態(tài)要求。

圖4自動扶梯和自動人行道安全功能

3.12

系統(tǒng)響應時間systemreactiontime

為下列兩個數(shù)值之和：

a）從PESSRAE故障發(fā)生到開始對自動扶梯和自動人行道作出相應動作的時間；

b）自動扶梯和自動人行道響應上述動作以保持安全狀態(tài)所需的時間。

4符號與縮略語

EUC—受控設備

MTTR—平均修復時間

5要求

5.1總則

5.1.1表1列出了自動扶梯和自動人行道的安全功能（裝置）名稱、安全功能描述和對該安全功能所要求的

SIL。

9

5.1.2表2列出了表1中安全功能動作后的安全狀態(tài)要求。安全功能動作后，應使自動扶梯和自動人行道轉(zhuǎn)

入表2中的安全狀態(tài)。

5.1.3為了達到安全狀態(tài)而不致發(fā)生危險，PESSRAE應考慮自動扶梯和自動人行道響應安全功能的時間以

及檢測到內(nèi)部故障必要的時間。實現(xiàn)內(nèi)部故障檢測的方法應考慮SIL所要求的系統(tǒng)響應時間。

注：如果一個雙通道系統(tǒng)在必要的系統(tǒng)響應時間內(nèi)通過數(shù)據(jù)比較檢測到一個內(nèi)部故障，則可變內(nèi)存區(qū)檢測不必在系統(tǒng)響

應時間內(nèi)完成，因為安全完整性由雙通道設計來保證。

5.2擴展應用

5.2.1總則

5.2.2到5.2.4中列舉的要求用于驗證自動扶梯和自動人行道安全功能的SIL和安全狀態(tài)，這些自動扶梯

和自動人行道安全功能是新的或不同于5.3和5.4提出的要求。

5.2.2風險評價

如果在5.3和/或5.4的要求中不能找到相應條款，應按照GB/T20438.5或GB28526的方法決定所需安全

完整性等級。對于新的PESSRAE功能和相應SIL，或與5.3和5.4要求不同的、修改的PESSRAE功能和/或SIL，

應使用同樣的方法建立理論依據(jù)。任何單一的潛在危險因素導致的最嚴重的程度，其平均目標失效量不應

超過5E-7次/年，參見附錄C。

5.2.3確定PESSRAE的SIL的限制

5.2.3.1用于確定自動扶梯和自動人行道安全相關功能的PEsystem的目標失效量的要求不應低于SIL1也不

應高于SIL3。如果某目標失效量的要求高于SIL3，則應考慮重新設計系統(tǒng)，使其所需的目標失效量滿足SIL3

或低于SIL3的規(guī)定。如果要求的SIL低于SIL1，可使用非SIL的PEsystem，但其不應歸類于PESSRAE。即使

將PESSRAE應用于低于SIL1要求的安全功能中，其SIL也不應低于SIL1。

5.2.3.2對于自動扶梯和自動人行道，SIL4的單個安全功能的應用不是典型的需求。應避免這種應用，因

為在安全裝置的整個生命周期中，達到和保持這樣的高等級是困難的。如果分析結果要求某個自動扶梯和

自動人行道安全功能為SIL4或更高，應考慮對過程設計作出改變，如采用本質(zhì)安全設計措施或增加額外層

面的保護。這些改進有可能降低對自動扶梯和自動人行道安全功能的SIL要求。如果仍不能降低安全完整性

等級，則應將該安全功能的目標失效量分散給多個充分獨立的、實踐應用驗證過的低于或等于SIL3的

PESSRAE。

5.2.4安全狀態(tài)要求

對于新的或不同于5.3和5.4規(guī)定的自動扶梯和自動人行道安全功能，設計者可按照表2所描述的類似方

式識別安全狀態(tài)要求。

5.3安全功能的SIL要求

自動扶梯和自動人行道的安全功能所需要的SIL參見表1，也參見表B.1。

10

表1安全功能的SIL要求

自動扶梯和自動人行道

序號功能描述SIL

安全功能（裝置）

1檢查超速檢測自動扶梯或自動人行道的超速2

2檢查非操縱逆轉(zhuǎn)當運行方向為上行時，檢測非操縱逆轉(zhuǎn)2

3檢查附加制動器的動作檢測附加制動器的動作1

4檢查梯級鏈斷裂檢測直接驅(qū)動梯級、踏板或膠帶的元件斷裂或過分伸長1

檢查驅(qū)動裝置與轉(zhuǎn)向裝置之間的

5檢測驅(qū)動裝置與轉(zhuǎn)向裝置之間的距離伸長或縮短1

距離伸長或縮短

6檢查梳齒板的位移檢測梯級、踏板或膠帶進入梳齒板處有異物夾住1

檢測多臺連續(xù)且無中間出口的自動扶梯或自動人行道

7檢查出口限制中的一臺停止運行或自動扶梯和自動人行道出口被建2

筑結構阻擋

8檢查扶手帶入口夾入異物檢測扶手帶入口有異物或者身體部位夾入1

9檢查梯級或踏板的下陷檢測梯級或踏板的向下移位2

10檢查梯級或踏板的缺失檢測梯級或踏板的缺失2

11檢查工作制動器未提起啟動后，檢測工作制動器未提起1

12檢查扶手帶速度偏差檢測扶手帶速度偏差1

檢測打開桁架區(qū)域的檢修蓋板和（或）移去或打開樓層

13檢查檢修蓋板和樓層板的打開1

板

檢測可拆卸的手動盤車裝置裝上驅(qū)動主機之前或裝上

14檢查手動盤車裝置1

時的動作

15檢查緊急停止開關的動作檢測緊急停止裝置的動作1

16檢查維護和修理用停止開關檢測維修區(qū)域的停止開關的動作2

17檢查檢修控制裝置上的停止開關檢測檢修控制裝置上的停止裝置的動作2

18檢查檢修控制裝置的動作檢測檢修控制裝置的動作2

注：控制和操作電路的SIL不低于安全回路中的最高SIL。

5.4SIL相關和非SIL相關安全狀態(tài)要求

自動扶梯和自動人行道對表1中自動扶梯和自動人行道安全功能所需作出的響應，以及該功能動作導致

的每個響應的SIL和非SIL相關要求，參見表2。表2中標注“○”的表示當安全功能被觸發(fā)或PESSRAE檢測到

內(nèi)部故障條件時，該安全狀態(tài)條件需作出的響應。表中未標注“○”而是使用了注解編號的，可查看相應

編號所對應的注釋以獲取所需作出響應的更詳細的說明。表中標注“-”的表示當安全功能被觸發(fā)或PESSRAE

檢測到內(nèi)部故障條件時，該安全狀態(tài)條件不必作出的響應。

11

表2安全狀態(tài)要求

安全狀態(tài)要求

切阻手旁切

斷止動路斷

主任復安附

機何位全加

和其（R5功制

序

工他能動

自動扶梯和自動人行道安全功能（裝置）

作啟器

號）

制動電

動源

器

電

源

SIL相關非SIL相關

1檢查超速R1-○-R2

2檢查非操縱逆轉(zhuǎn)○-○-○

3檢查附加制動器的動作○----

4檢查梯級鏈斷裂○-○--

5檢查驅(qū)動裝置與轉(zhuǎn)向裝置之間的距離伸長或縮短○----

6檢查梳齒板的位移○----

7檢查出口限制○----

8檢查扶手帶入口夾入異物○----

9檢查梯級或踏板的下陷○-○--

10檢查梯級或踏板的缺失○-○--

11檢查工作制動器未提起○-○--

12檢查扶手帶速度偏差○----

13檢查檢修蓋板和樓層板的打開○----

14檢查手動盤車裝置○----

15檢查緊急停止開關的動作○----

16檢查維護和修理用停止開關○----

17檢查檢修控制裝置上的停止開關○----

18檢查檢修控制裝置的動作-R3-R4-

R1當速度超過名義速度的1.2倍之前起作用。

R2當速度超過名義速度的1.4倍之前起作用。

R3所有其他啟動，包括所有其他的檢修操作裝置。

當裝置連接時，下列保護可以無效：

1)出口限制；

2)梯級或踏板下陷；

3）梯級或踏板缺失；

R4

4）工作制動器未提起；

5）附加制動器未動作；

6）扶手帶速度；

7）檢修蓋板和樓層板的打開。

故障鎖定的手動復位：嚴格要求人工手動來復位安全功能，以啟動自動扶梯和自動人行道。使用鑰匙啟

R5動自動扶梯和自動人行道不是手動復位。

注：手動復位的要求不是一個SIL的功能，而是為了應對事件發(fā)生后可能產(chǎn)生的危險情況的功能。

12

5.5SIL符合性驗證的實現(xiàn)和證明

5.5.1總則

應按照本節(jié)要求驗證PESSRAE的安全完整性等級。

5.5.2實現(xiàn)和驗證PEsystem符合本部分規(guī)定的安全完整性等級所需的技術和措施

5.5.2.1符合SIL1到SIL3的實現(xiàn)和驗證所需的技術和措施見附錄A。

5.5.2.2如果在安全回路中，兩個或兩個以上的安全功能由共用的電路實現(xiàn)，則該共用電路的SIL應至少

達到該電路所實現(xiàn)的自動扶梯和自動人行道安全功能中的最高SIL。

5.5.3PESSRAE裝置啟用后的失電

5.5.3.1對于不需要手動復位的功能，在電源恢復后應允許PESSRAE恢復正常工作模式，其輸出狀態(tài)應由

電源恢復后的輸入條件決定。

5.5.3.2對于需要手動復位的功能（參見表2），PESSRAE應恢復到其失電前的輸出狀態(tài)。

13

附錄A

（規(guī)范性附錄）

實現(xiàn)、驗證和保持SIL符合性的技術和措施

A.1總則

本附錄規(guī)定了對實現(xiàn)、驗證和保持PESSRAE的SIL符合性的要求。

A.1.1用于滿足本部分SIL要求的技術和措施

實現(xiàn)和驗證PESSRAE的SIL符合性所需的技術和措施應滿足A.2中規(guī)定的使用GB/T20438.2和GB/T

20438.3的技術和措施。

A.1.2說明書

制造商應提供說明書。

當PESSRAE的功能驗證無法在自動扶梯和自動人行道正常運行時進行，說明書應說明如何實施功能驗

證。說明書還應提供下列活動的信息，以便這些活動能夠安全有效地實施：

a)組裝；

b)連接；

c)調(diào)試；

d)維護和修理；

e)識別、標記、標識、證書和清單；

f)功能驗證的周期。

A.1.2.1說明書中對維護和修理的一般要求

制造商提供的說明書應包含下列有關PESSRAE維護和修理的內(nèi)容：

a)用于培訓維護人員的特別要求和/或注意事項，以使PESSRAE的所有功能運行維持在其相應的SIL；

b)檢驗測試、預防性維護和故障維修的活動；

c)用于維護的特定技術和措施；

d)維護活動的驗證和文檔要求；

e)維護活動的周期；

f)確保日常維護中所用的檢測設備經(jīng)正確地校驗和維護；

g)PESSRAE發(fā)生故障或失效時所需進行的維護和修理活動，包括：

——故障診斷和修理；

——重新確認；

——維護及失效的報告要求。

A.1.3維護或可維護性設計要求

PESSRAE的設計應當允許端到端或分部測試。當預計的計劃檢驗時間間隔大于用以保持PESSRAE的SIL的

檢驗測試時間間隔時，應對試驗作適當?shù)囊?guī)定。

注：“端到端”是指從傳感器端到進入安全狀態(tài)。當需進行自動檢驗測試時，試驗項目應當成為SIL設計的必備部分，以

測試未檢測到的失效。

A.1.4EMC抗擾度

對于SIL相關安全狀態(tài)要求，PESSRAE應達到GB/T24808中規(guī)定的“安全電路”測試等級；對于非SIL相

關安全狀態(tài)要求，應達到GB/T24808中的“所有電路”測試等級。

A.2使用GB/T20438.2和GB/T20438.3實現(xiàn)和證明SIL符合性的技術和措施

A.2.1一般要求

本節(jié)規(guī)定了應用GB/T20438的要求，可用于實現(xiàn)和證明PESSRAE的SIL符合性。

14

A.2.1.1對于本部分，SIL代表了對工作在低要求模式中裝置的要求，以及在要求時執(zhí)行安全功能的失效概

率（見GB/T20438.1-2006中的表2）。然而，PESSRAE是以持續(xù)控制的方式來保持安全功能的，SIL應代表

對工作在高要求模式中PESSRAE的要求，并使用每小時危險失效概率（見GB/T20438.1-2006中的表3）。

注：如果存在子系統(tǒng)輸出狀態(tài)的組合會直接導致危險事件的可能性，需將子系統(tǒng)中危險故障的檢測視為工作在連續(xù)模式

的安全功能。

A.2.1.2用于執(zhí)行非SIL相關要求的裝置和軟件不應用于實現(xiàn)PESSRAE的SIL相關要求，除非這些裝置和軟件

已經(jīng)包含在安全相關功能SIL的分級中。

A.2.1.3在任何能容許單一故障的PESSRAE子系統(tǒng)中，一旦檢測出危險故障（通過診斷測試、檢驗測試或任

何其他方式），應進入表2中定義的安全狀態(tài)。為了在同一子系統(tǒng)中可導致危險狀況的第二個故障出現(xiàn)之前

保持PESSRAE的完整性和安全狀態(tài)條件，如果有必要，應采取手動復位使PESSRAE脫離安全狀態(tài)條件。

如果上述動作依賴于對危險故障報警執(zhí)行特定動作的操作人員或遠程子系統(tǒng)，則報警本身應被視為該

PESSRAE的SIL相關功能的一部分。

A.2.2SIL符合性的實現(xiàn)

PESSRAE的SIL符合性的實現(xiàn)，應與GB/T20438.2和GB/T20438.3的原則和措施一致

注：假如幾個低SIL系統(tǒng)能達到足夠等級的獨立性，且在應用中被證實，則可用來滿足一個更高SIL功能的需求。

A.2.3符合性的驗證

本部分所規(guī)定的符合性驗證由經(jīng)批準的機構執(zhí)行，該機構同時承擔試驗和簽發(fā)合格證工作。

型式試驗申請應由部件制造商或其委托的代理商提出，并應提交給被認可的實驗室。

15

附錄B

（資料性附錄）

自動扶梯和自動人行道適用的規(guī)范和標準

本部分中的自動扶梯和自動人行道安全功能（裝置）參考了GB16899—2011和EN115-1:2017所定義的

安全功能（裝置）。為了便于對照和應用，表B.1給出了這些規(guī)范和標準與表1中的自動扶梯和自動人行道

安全功能（裝置）之間的關系。

表B.1適用的自動扶梯和自動人行道標準對照表

序號自動扶梯和自動人行道安全功能（裝置）GB16899-2011的條款號EN115-1:2017的條款號

1檢查超速5.4.2.3.15.12.2.7.2

2檢查非操縱逆轉(zhuǎn)5.4.2.3.25.12.2.7.3

3檢查附加制動器的動作5.4.2.2.45.12.2.7.4

4檢查梯級鏈斷裂5.4.3.35.12.2.7.5

檢查驅(qū)動裝置與轉(zhuǎn)向裝置之間的距離伸長或

55.4.3.35.12.2.7.6

縮短

6檢查梳齒板的位移5.7.3.2.65.12.2.7.7

7檢查出口限制A.2.65.12.2.7.8

8檢查扶手帶入口夾入異物5.6.4.35.12.2.7.9

9檢查梯級或踏板的下陷5.7.2.55.12.2.7.10

10檢查梯級或踏板的缺失5.3.65.12.2.7.11

11檢查工作制動器未提起5.4.2.1.15.12.2.7.12

12檢查扶手帶速度偏差5.6.15.12.2.7.13

13檢查檢修蓋板和樓層板的打開5.2.45.12.2.7.14

14檢查手動盤車裝置5.4.1.55.12.2.7.16

15檢查緊急停止開關的動作5.12.2.2.35.12.2.7.15

16檢查維護和修理用停止開關5.8.45.12.2.7.17

17檢查檢修控制裝置上的停止開關5.12.2.5.35.12.2.7.18

18檢查檢修控制裝置的動作5.12.2.5.45.12.3.13.4

16

附錄C

（資料性附錄）

風險降低決策表的示例

表C.1給出PESSRAE應用的一個風險降低決策表的示例，相應的糾正措施列在表C.2。關于后果的定義如

下：

Ⅰ災難性的：在標準的范圍內(nèi)喪失所有的安全目標；

Ⅱ嚴重的：在標準的范圍內(nèi)永久性地失去部分安全目標；

Ⅲ輕微的：在標準的范圍內(nèi)臨時性地失去部分安全目標；

Ⅳ可忽略的：在標準的范圍內(nèi)可忽略的或安全目標無任何損失。

表C.1風險降低決策表

后果的頻率(F)

潛在的安全危險后果

(次/年)

1234

范圍平均值

災難的嚴重的輕微的可忽略的

F≥0.010.01ⅠAⅡAⅢAⅣA

0.001≦F<0.010.005ⅠBⅡBⅢBⅣB

0.0001≦F<0.0010.0005ⅠCⅡCⅢCⅣC

0.00001≦F<0.00010.00005ⅠDⅡDⅢDⅣD

0.000001≦F<0.000010.000005ⅠEⅡEⅢEⅣE

F<0.0000014.16667E-7ⅠFⅡFⅢFⅣF

表C.2糾正措施－風險降低的要求

ⅠA，ⅠB，ⅠC，ⅠD，ⅠE，ⅡA，ⅡB，

應采取糾正措施減輕后果，且如果可以，消除風險。

ⅡC，ⅢA，ⅢB

ⅡD，ⅡE，ⅢC，ⅢD，ⅣA，ⅣB檢查并決定進一步地降低損失在技術上是否可行

ⅠF,ⅡF，ⅢE，ⅢF，ⅣC，ⅣD，ⅣE，

不需要任何措施

ⅣF

17

參考文獻

[1]GB16899—2011自動扶梯和自動人行道的制造與安裝安全規(guī)范

[2]EN115-1:2017Safetyofescalatorsandmovingwalks-Part1:Constructionandinstallation

[3]GB/T20438.6電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第6部分：GB/T20438.2和GB/T

20438.3的應用指南

[4]GB/T20438.7電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第7部分：技術與措施概述

18

ICS9114090

Q78

中華人民共和國國家標準

GB/T35850.2—201×

電梯、自動扶梯和自動人行道

安全相關的可編程電子系統(tǒng)的應用

第2部分：自動扶梯和自動人行道（PESSRAE）

Programmableelectronicsystemsinsafety-relatedapplicationsforlifts

(elevators),escalatorsandmovingwalks

Part2:Escalatorsandmovingwalks（PESSRAE）

(ISO22201-2:2013,MOD)

（征求意見稿）

（本稿完成日期：2018年3月9日）

請注意：

在提交反饋意見時,請將所知道的相關專利連同

支持性文件一并附上。

××××-××-××發(fā)布××××-××-××實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

電梯、自動扶梯和自動人行道安全相關的可編程電子系統(tǒng)的應用

第2部分：自動扶梯和自動人行道（PESSRAE）

1范圍

1.1本部分適用于自動扶梯和自動人行道，當可編程電子系統(tǒng)被用于執(zhí)行自動扶梯和自動人行道電氣安全

功能時，應采用本部分。當自動扶梯和自動人行道規(guī)范、標準中所定義的自動扶梯和自動人行道安全功能

應用PESSRAE時，應引用本部分。

1.2本部分也可應用于新的或與本部分描述有差異的PESSRAE。

1.3如果電氣安全裝置符合本部分和其他相關標準的所有要求，則不必考慮其失效的可能性。

1.4本部分：

a）使用了安全完整性等級（SIL）來規(guī)定用PESSRAE實現(xiàn)安全功能的目標失效量；

b）規(guī)定了達到某一功能的安全完整性的要求，但沒有規(guī)定實施和保持該要求的責任主體（如：設計者、

制造商、供應商或業(yè)主等）；

c）應用于自動扶梯和自動人行道的可編程電子系統(tǒng)（PEsystem），符合自動扶梯和自動人行道相關

標準（如：GB16899等）的最低要求；

d）明確了與GB/T20438以及GB/T24808之間的關系；

f）適用于軟件和硬件設計的階段和活動，但不包括設計之后的階段和活動，如：采購與制造等；

g）要求PESSRAE制造商提供說明書，向?qū)嵤┰撟詣臃鎏莺妥詣尤诵械澜M裝、連接、調(diào)試、維護的組織

詳細說明如何保持PESSRAE的完整性；

h）規(guī)定了與軟硬件安全確認相關的要求；

i）為具體的自動扶梯和自動人行道安全功能規(guī)定了安全完整性等級；

j）規(guī)定了達到特定的安全完整性等級所需要的技術和措施；

k）提供了應用PESSRAE的風險降低的決策表；

l）規(guī)定了要求的PESSRAE最高安全完整性等級為SIL3，最低安全完整性等級為SIL1。

1.5本部分不包含：

a）PEsystem裝置自身產(chǎn)生的危險，如電擊等；

b）失效安全的概念。在失效模式定義良好且復雜度相對較低的情況下失效安全可能是有價值的，因為

本部分范圍內(nèi)的PESSRAE復雜度很高，所以失效安全概念在此是不合適的；

c）對自動扶梯和自動人行道安全功能中的PESSRAE的完整運用所必需的其他相關要求，如：系統(tǒng)集成

規(guī)范，溫度和濕度，機械結構，開關、執(zhí)行器件、傳感器的安裝和標識等。這些要求應符合相關自動扶梯

和自動人行道標準；

d）由惡意或未授權行為引起的，涉及安全威脅的可預見的誤操作。需要考慮某一安全威脅分析時，如

果重新評估了特定的SIL，可以使用本部分。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T20438.1電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第1部分：一般要求（GB/T20438.1

—2006，IEC61508-1:1998，IDT）

GB/T20438.2電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安

全相關系統(tǒng)的要求（GB/T20438.2—2006，IEC61508-2:2000，IDT）