PESSRAE PESSRAL型式试验与现场检验(上海交大 胡晖)

产品概念
产品设计
验证与确认
功 能 安 全 管 理
型式试验内容——产品概念
安全要求规范（SRS） 安全确认计划 （V-V）
产品概念——安全要求规范
安全功能和 安全完整性等级 工作模式 故障响应时间 工作环境 电磁抗干扰
产品概念——安全功能
自动扶梯和自动人行道电气安全装置（或功能）
PESSRAE所检查的装置 检查超速并在速度超过名义速度1.2倍之前起作 用；向上运行时，检查非操纵逆转 最低安全完整性 等级（SIL） 2
产品设计—— FMEDA
元器件的失效率计算
元器 件 元器 件号 失效模式 失效模式 开路 C* 104 短路 数值随机变化 Tanα变化 开路 R* 1K 短路 数值随机变化 百分比 40 40 10 10 80 10 10 λTotal 诊断 状态 λS λSD 0 0 0 0 0 0 0 λsu 0.24 0 0.06 0.06 0.14 0 0.02 λDD 0 0.24 0 0 0 0.02 0 λD λDU 0 0 0 0 0 0 SN29500 0 SN29500 失效数 据来源
产品概念——软件安全要求规范 可编程电子硬件故障诊断 指令、传感器、执行器故障诊断 电源故障诊断 软件故障诊断
传感器 子系统
逻辑 子系统
输出 子系统
型式试验内容——产品设计
硬件设计 软件设计
产品设计——硬件设计
硬件系统结构设计详细描述； 电路板的布线图和布置说明； 故障(失效)模式、影响或诊断分析(FMEA或 FMEDA)； 随机硬件失效引起的安全功能失效的概率(PFH) 和子系统安全失效分数(SFF)分析和估算说明；
产品设计——硬件结构设计要求 产品设计中硬件结构的选取 ISO22201对系统结构的规定（与IEC61508不同）
SIL1 SIL2 SIL3 带自检的单通道结构，或 带比较的双通道或多通道结构 带自检和监视的单通道结构，或 带比较的双通道或多通道结构。 带比较的双通道或多通道结构
产品设计——硬件结构设计要求 带自检的单通道结构（SIL1） 单通道组成， 冗余输出确保安全切断 带自检和监视的单通道结构（SIL2） 单通道结构 独立的硬件监视单元 两个独立的切断路径(处理单元或监视装置） 带比较的双通道或多通道结构（SIL3） 双通道结构——安全功能在每个通道内独立地实现
*连续模式（每小时危险失效概率）
*每个安全功能的目标失效量占允许值的50%，另外的50%分配给执行机构
产品概念——安全功能
安全功能的故障响应时间
项次 1 2 3 安全功能 速度超过额定速度的120% 速度超过额定速度的140% 非操纵逆转 响应时间指标 <2s <2s 逆转距离小于400mm
产品概念——安全确认计划
现场检验——型式试验报告2 配置表1
硬件型号及版本 软件型号及版本 可编程电子器件类型 可编程电子器件型号 主参数 工作条件 工作电压 印刷电路板外壳防护等 级 ES.11/A V1.0版 ES11A B01版 MCU STM32F103VC -20℃~+65℃，湿度小于95%RH，无水珠凝结 AC220V 不小于IP5X
• 不可诊断危险失效λDU • 可诊断的危险失效λDD
产品设计—— FMEDA 失效率λ(t)
产品工作到t时刻时，单位时间的发生故障的概率。 对于电子类元器件，在正常工作期间，失效率为常数， 与时间无关。 由随机硬件失效造成的失效率数据来源： • 通用数据——失效率预计手册 • 具体数据——现场失效数据 试验室寿命试验数据
产品概念——安全功能 安全功能的详细描述
动作要求 项 次 安全功能 SIL 实现方案简述 正常 检修 模式 模式 安全状态方式 切断主 机及工 作制动 器电源 × 切断附 加制动 器电源 手动 复位
1
速度超过额定速 度的120% 速度超过额定速 度的140%
2
采用电子式接近式传感 器测量主机转速 采用电子式接近式传感 器测量主机转速 采用上下方向检测开关， 确定实际运行方向是否 和指令方向相同
型式试验内容——验证与确认
型式试验内容——验证与确认
软件测试 硬件测试 集成测试
验证与确认——软件测试
代码测试 软件模块测试 软件集成测试
验证与确认——代码测试
编码规则检查 MISRA-C:2004 ——C语言编程规范
验证与确认——代码测试
验证与确认——软件模块测试 模块测试 —— 白盒测试 边界值分析
系统组成
电动机测速传感器1个、非操纵逆转检测开关2个、扶手带测速传感器2个， 梯级缺失检测传感器2个，工作制动器检测开关2个、附加制动器检测开 关1个、开关电源1个，ESSRFG印刷电路板1块（须安装在外壳防护等 级不小于IP5X的保护罩壳内）
现场检验——型式试验报告1 配置表2
主要部件清单：输入子系统 1 2 3 4 5 6 1 1 电动机测速传感器1个：奥托尼克斯（Autonics） PR18-8DP 扶手带测速传感器2个：奥托尼克斯（Autonics）PR18-8DP 梯级缺失检测传感器2个：倍加福 NBN40-L2-E2-V1 非操纵逆转检测开关2个：欧姆龙 D4N-1131 工作制动器检测开关2个：欧姆龙 D4N-1162 附加制动器检测开关1个：欧姆龙 D4N-1162 主要部件清单：电源 开关电源：联美兰达（Lambda） SWS50-24 主要部件清单：输出子系统 安全继电器：欧姆龙 G7SA-3A1B-24V（4个）
现场检验——型式试验报告1 配置表3
主要部件清单：逻辑子系统 1 2 3 4 5 6 7 8 微处理器：MEGAWIN MPC82G516AP（2个） 晶振： HC-49S 20MHZ（2个） 电源芯片：LM2575S-5（1个） 电源滤波器：无 光耦： TLP181（21个） EEPROM： 无 TVS管：力特康可 SMBJ6.5CA（2个）、力特康可SMBJ11CA(AZ)（2个） 印刷电路基板： 建滔电子材料（江阴）有限公司 覆铜箔环氧玻璃布层压板
×
×
×
2
2
×
×
×
×
×
3
非操纵逆转
2
×
×
×
×
×
产品概念——安全功能 安全功能的目标失效量
项次 1 2 3 安全功能 速度超过额定速度的 120% 速度超过额定速度的 140% 非操纵逆转 SIL 2 2 2 目标失效量* ≥0.5*10-7~ ＜0.5*10-6 ≥0.5*10-7~ ＜0.5*10-6 ≥0.5*10-7~ ＜0.5*10-6 操作模式 连续模式 连续模式 连续模式
现场检验——型式试验报告2 安全功能及其完整性等级
安全功能 1 2 3 4 5 6 7 8 检查超速并在速度超过名义速度1.2倍之前起作用 检查非操纵逆转运行 检查制停距离是否超过最大允许制停距离1.2倍 检查附加制动器的动作 检查梯级或踏板的缺失，应防止进入梳齿板 检查扶手带速度偏离梯级、踏板或胶带实际速度大于15%且持续时间大于15s 检查工作制动器的打开 检查桁架区域检修盖板的打开或楼层板的打开或移走 安全完整性等级 SIL2 SIL2 SIL2 SIL2 SIL2 SIL2 SIL2 SIL2
0.60 SU 0.60 DD 0.60 SU 0.60 SU 0.178 SU 0.178 DD 0.178 SU
产品设计—— FMEDA
诊断覆盖率 安全失效分数
产品设计—— FMEDA 结构约束
产品设计—— FMEDA
速度超过额定速度的120% ——可靠性框图
产品设计—— FMEDA
速度超过额定速度的120% ——子系统安全参数
产品概念——安全功能 安全功能的详细描述
安全功能 安全功能要求描述
1、自动扶梯或自动人行道在运行中；若速度超过额 速度超过额定速度 定速度的120%，应立即停止； 的120% 2、该故障需手动复位后方可解除。 1、自动扶梯或自动人行道在运行中；若速度超过额 速度超过额定速度 定速度的140%，若该扶梯有附加制动器，附加制动 器立即动作，同时扶梯立即停止运行； 的140% 2、该故障需手动复位后方可解除。 非操纵逆转 1、自动扶梯或自动人行道在运行中；若改变规定运 行方向时，若该扶梯附附加制动器，附加制动器立 即动作，同时扶梯立即停止运行; 2、该故障需手动复位后方可解除。
PESSRAE/PESSRAL的型 式试验与现场检验
上海交通大学电梯检测中心 胡晖
1
PESSRAE/PESSRAL的型式试验
PESSRAE/PESSRAL的现场检验
PESSRAE/PESSRAL的型式试验
概念 型式试验内容
GB/T 20438 标准——安全
允许风险
安 全
风 险
安 全 完 整 性
实现安全功能的概率
不存在不可接受的风险
* 避免失效
GB/T 20438 标准——全生命周期
概念设计 阶段
产品实现 阶段 应用运行 阶段
PESSRAE/PESSRAL界限 PESSRAE/PESSRAL ——电气安全装置（检测出危险，导入安全状态）
传感器 子系统
逻辑 子系统
输出 子系统
型式试验内容——试验流程
• 测试允许范围内的数据 • 测试不允许数据范围的数据 测试用例
控制流分析
• 验证一个模块中的所有分支和路径 • 验证所有的条件跳转和子程序调用
其他
• 针对中断和子程序调用，验证局部变量的完整性 • 对可检测故障的更正 • ......
验证与确认——软件模块测试
验证与确认——软件集成测试
没有硬件参与的软件集成 验证所有软件模块相互作用——实现预定功能
1oo1D：最高SIL2 1oo2：最高SIL3
产品设计——硬件结构设计要求
双通道结构 SIL2
产品设计——硬件结构设计要求
双通道结构 SIL3
产品设计—— FMEDA
故障(失效)模式、影响或诊断分析 可靠性分析， 电路机理分析， 每个元器件的每种失效模式及其失效率 获得功能安全相关参数
产品设计—— FMEDA 根据GB/T 20438划分随机故障 安全失效 危险失效
质量保证体系 项目人员与职责 各阶段采用的避免失误的措施
产品概念——项目人员与职责
序号 1 2 3 4 5 6
姓名
职责
资质 经过功能安全培训 TUV功能安全工程师
学历
备注
××× 项目经理 硬件设计 软件设计 系统集成 安全确认 ......
本科 在电梯安全领域工作×年
PESSRAE的现场检验
型式试验报告
功能测试
现场检功能 1 2 3 4 5 6 7 检查超速并在速度超过名义速度1.2倍之前起作用 检查非操纵逆转运行 检查制停距离是否超过最大允许制停距离1.2倍 检查附加制动器的动作 检查梯级或踏板的缺失，应防止进入梳齿板 检查扶手带速度偏离梯级、踏板或胶带实际速度大于15%且持续时间大于15s 检查工作制动器的打开 安全完整性等级 SIL2 SIL2 SIL2 SIL1 SIL2 SIL2 SIL1
测试用例
验证与确认——硬件测试
模块测试 故障插入测试
验证与确认——硬件测试 电源模块 输入模块 输出模块 逻辑模块 通讯模块......
验证与确认——集成测试
自学习功能 上电自检 功能测试 电源测试 环境测试 电磁兼容测试
试验中人为故障使安全功能动作，记录安全功能的响应时间。 测试工装
验证与确认——集成测试
现场检验——型式试验报告1 配置表
硬件型号及版本 软件型号及版本 可编程电子器件类型 可编程电子器件型号 主参数 工作条件 工作电压 印刷电路板外壳防护等 级 -10℃~+65℃，湿度小于95%RH，无水珠凝结 AC220V 不小于IP5X ESSRFG A2版 ESSRFG V1.0版 MCU MEGAWIN MPC82G516AP
产品设计—— FMEDA
产品设计—— FMEDA
速度超过额定速度的140%——可靠性框图
产品设计—— FMEDA
速度超过额定速度的140%——子系统安全参数
产品设计—— FMEDA
速度超过额定速度的140%——评估结果
产品设计——软件设计
避免系统故障的措施 功能和程序流程描述的软件说明(包括字组、模块、 数据、变量和接口描述)； 软件流程图和软件源代码； 编程软件的总体说明(例如编程规则，语言、编译器、 模块)； 系统、硬件和软件的版本控制及其兼容性说明；