D-CEA 0060-2022 電梯和自動扶梯、自動人行道功能安全現(xiàn)場總線技術(shù)基本要求

ICS91.140.90

CCSQ78

中國電梯協(xié)會標(biāo)準(zhǔn)

D/CEA0060—2022

電梯和自動扶梯、自動人行道功能安全現(xiàn)場

總線技術(shù)基本要求

Basicrequirementsoffunctionalsafetyfieldbusestechnologyforelevators，escalatorsandmoving

walks

（征求意見稿）

20XX-XX-XX發(fā)布20XX-XX-XX實施

中國電梯協(xié)會發(fā)布

D/CEA0060—2022

電梯和自動扶梯、自動人行道功能安全現(xiàn)場總線技術(shù)基本要求

1范圍

本文件適用于使用了安全總線技術(shù)的乘客電梯、載貨電梯、自動扶梯和自動人行道的可編程電子安

全系統(tǒng)，其他類型電梯的可編程電子安全系統(tǒng)可參照本文件要求進(jìn)行設(shè)計。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T7588.1電梯制造與安裝安全規(guī)范第1部分：乘客電梯和載貨電梯

GB/T7588.2電梯制造與安裝安全規(guī)范第2部分：電梯部件的設(shè)計原則、計算和檢驗

GB16899自動扶梯和自動人行道制造與安裝安全規(guī)范

GB/T20438.1電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求

GB/T20438.2電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全

相關(guān)系統(tǒng)的要求

GB/T20438.3電氣/電子/可編電子安全相關(guān)系統(tǒng)的功能安全第3部分:軟件要求

GB/T20438.4電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語

GB/T20438.5電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分:確定安全完整性等級的方法

示例

GB/T20438.6電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第6部:GBT20438.2和GBT20438.3

的應(yīng)用指南

GB/T20438.7電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述

GB/T24807電磁兼容電梯、自動扶梯和自動人行道的產(chǎn)品系列標(biāo)準(zhǔn)發(fā)射（GB/T24807－2009，EN

12015:2004，IDT）

GB/T24808電磁兼容電梯、自動扶梯和自動人行道的產(chǎn)品系列標(biāo)準(zhǔn)抗擾度（GB/T24808－2009，

EN12016:2004，IDT）

GB/T34040-2017工業(yè)通信網(wǎng)絡(luò)-行規(guī)-第3部分：功能安全現(xiàn)場總線-通用規(guī)則和行規(guī)定義

GB/T35850.1電梯、自動扶梯和自動人行道安全相關(guān)的可編程電子系統(tǒng)的應(yīng)用第1部分：電梯

(PESSRAL)

GB/T35850.2電梯、自動扶梯和自動人行道安全相關(guān)的可編程電子系統(tǒng)的應(yīng)用第2部分：自動扶梯

和自動人行道(PESSRAE)

TSGT7007電梯型式試驗規(guī)則

IEC61784-3:2021工業(yè)通信網(wǎng)絡(luò)-行規(guī)-第3部分：功能安全現(xiàn)場總線-通用規(guī)則和行規(guī)定義(Industrial

communicationnetworks–Profiles–Part3:Functionalsafetyfieldbuses–Generalrulesandprofile

definitions)

1

D/CEA0060—2022

3術(shù)語和定義

3.1術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1.1

功能安全通信行規(guī)functionalsafetycommunicationprofile

FSCP

實現(xiàn)安全通信層的技術(shù)規(guī)格書。

3.1.2

現(xiàn)場總線fieldbus

基于串行數(shù)據(jù)傳輸并應(yīng)用在工業(yè)自動化或過程控制中的通信系統(tǒng)。

3.1.3

現(xiàn)場總線系統(tǒng)fieldbussystem

使用現(xiàn)場總線連接設(shè)備的系統(tǒng)。

3.1.4

功能安全現(xiàn)場總線functionalsafetyfieldbuses

本文件重點關(guān)注基于現(xiàn)場總線的功能安全通信系統(tǒng)的使用。圖1給出了一個功能安全現(xiàn)場總線示例。

當(dāng)使用基于IEC61158的現(xiàn)場總線結(jié)構(gòu)而不改變每個通信層定義時，按照GB/T20438要求實現(xiàn)安

全數(shù)據(jù)傳輸?shù)乃斜匾胧?，都?yīng)由一個附加的“安全通信層（SCL）”執(zhí)行。安全通信層位置見圖1。

安全通信層(SCL)

功能應(yīng)用層(FAL)

IEC61158

安全現(xiàn)場總線數(shù)據(jù)鏈路層(DLL)

現(xiàn)場總線

物理層(PhL)

圖1功能安全現(xiàn)場總線

3.1.5

時間戳timestamp

包含在報文中的時間信息。

3.1.6

絕對時間戳absolutetimestamp

參照一個全局時間的時間戳。該全局時間對于使用現(xiàn)場總線的一組設(shè)備是共用的。

[來源：IEC62280:2014，3.1.1，有修改]

3.1.7

相對時間戳relativetimestamp

參照一個實體本地時間的時間戳。

注：通常，與其他實體的時鐘無關(guān)系。

[來源：IEC62280:2014，3.1.43]

3.1.8

有源網(wǎng)絡(luò)元件activenetworkelement

包含允許網(wǎng)絡(luò)擴展的電有源和/或光有源組件的網(wǎng)絡(luò)元件。

示例：中繼器和交換機。

[來源：IEC61918:2013，3.1.2]

2

D/CEA0060—2022

3.1.9

可用性availability

自動系統(tǒng)在給定時間內(nèi)未出現(xiàn)任何令人不滿意的系統(tǒng)工況(如停產(chǎn))的概率。

3.1.10

比特錯誤概率biterrorprobability

一個給定比特接收不正確值的概率。

3.1.11

黑色通道blackchannel

包含一個或多個元件的確定的通信系統(tǒng)，這些元件無需證據(jù)證明其依據(jù)GB/T20438進(jìn)行設(shè)計

或驗證。

注：本定義將通道的通常含義擴展為包括了含有通道的系統(tǒng)。

3.1.12

白色通道whitechannel

確定的通信系統(tǒng)，其中所有相關(guān)硬件和軟件元件都依據(jù)GB/T20438進(jìn)行設(shè)計、實現(xiàn)和驗證。

注：該定義將通道的通常含義擴展為包括了含有通道的系統(tǒng)。

3.1.13

網(wǎng)橋bridge

在數(shù)據(jù)鏈路層連接多個網(wǎng)段的抽象設(shè)備。

3.1.14

通信通道communicationchannel

一個通信系統(tǒng)內(nèi)兩個終端之間的邏輯連接。

3.1.15

通信系統(tǒng)communicationsystem

由硬件、軟件和傳輸介質(zhì)組成，以允許將報文(GB/T9387.1應(yīng)用層)從一個應(yīng)用傳輸?shù)搅硪粋€

應(yīng)用。

3.1.16

連接connection

在同一或不同設(shè)備內(nèi)的兩個應(yīng)用對象間的邏輯綁定。

3.1.17

循環(huán)冗余校驗cyclicRedundancyCheck

CRC

<值>從一個數(shù)據(jù)塊導(dǎo)出的并與數(shù)據(jù)塊一起存儲或傳送的冗余數(shù)據(jù)，用以檢測數(shù)據(jù)訛誤。

<方法>用于計算該冗余數(shù)據(jù)的過程。

注1:本文件還使用術(shù)語“CRC代碼”“CRC簽名”，以及符號(如CRC1和CRC2)來意指冗余數(shù)據(jù)。

注2：見參考文獻(xiàn)[3]和[4]。

3.1.18

錯誤error

計算、觀測或測量的值或條件與真實、規(guī)定或理論上正確的值或條件間的差異。

[來源：IEC61508-4:2010，3.6.11]

注1:錯誤可能是由于硬件/軟件設(shè)計失誤，和/或由于電磁干擾和/或其他影響導(dǎo)致信息被破壞而引起的。

注2:錯誤并非一定導(dǎo)致失效或故障。

3

D/CEA0060—2022

3.1.19

顯式代碼explicitcode

在SPDU中實際傳輸?shù)挠糜诎踩胧┑拇a，該代碼對于發(fā)送方和接收方已知。

3.1.20

隱式代碼implicitcode

用于安全措施的代碼，不在SPDU內(nèi)傳輸?shù)前l(fā)送方和接受方均已知。

3.1.21

失效failure

功能單元執(zhí)行一個要求功能的能力的終止，或功能單元在任何非要求方式下的運行。

[來源：IEC61508-4:2010，3.6.4，有修改]

注：失效可能是由一個錯誤(例如：硬件/軟件設(shè)計問題或報文被破壞)引起的。

3.1.22

故障fault

可引起功能單元執(zhí)行要求功能的能力降低或失去其能力的異常狀況。

注：IEC60050-191:1991，191-05-01定義“故障”是一種以無能力執(zhí)行要求功能為特征的狀態(tài)，不包括預(yù)防性維護(hù)或

其他按計劃行動期間的無能力或由于外部資源缺少而導(dǎo)致的無能力。

[來源：IEC61508-4:2010，3.6.1，有修改]

3.1.23

哈希函數(shù)hashfunction

一個(數(shù)學(xué))函數(shù)，將一大組(可能非常大)的數(shù)值映射為(通常)一個較小組的數(shù)值。

注1:哈希函數(shù)用于檢測數(shù)據(jù)訛誤。

注2:通用哈希函數(shù)包括奇偶校驗位、校驗和或CRC。

[來源：IEC/TR62210:2003，4.1.12，有修改]。

3.1.24

危險hazard

系統(tǒng)的一種狀態(tài)或一組條件。它與其他相關(guān)條件一起，將不可避免地對人身、財產(chǎn)或環(huán)境造成

傷害。

3.1.25

報文message

用于傳送信息的有序八位位組序列。

[來源：ISO/IEC2382-16:1996，16.02.01，有修改]

3.1.26

報文匯點messagesink

通信系統(tǒng)的一部分，被認(rèn)為在此接收報文。

[來源：ISO/IEC2382-16:1996，16.02.03]

3.1.27

報文源點messagesource

通信系統(tǒng)的一部分，被認(rèn)為在此產(chǎn)生報文。

[來源：ISO/IEC2382-16:1996，16.02.02]

3.1.28

假脫扣spurioustrip

無過程要求而由安全系統(tǒng)引起的脫扣。

3.1.29

4

D/CEA0060—2022

誤脫扣nuisancetrip

無有害影響的假脫扣。

注：在通信系統(tǒng)(如無線傳輸)內(nèi)可能出現(xiàn)內(nèi)部非正常錯誤。例如：由干擾導(dǎo)致過多次重試而引起的內(nèi)部非正常錯誤。

3.1.30

性能等級performancelevel

PL

離散等級，用于規(guī)定控制系統(tǒng)安全相關(guān)部分在可預(yù)見條件下執(zhí)行安全功能的能力。

[來源：ISO13849-1:2006，3.1.23]

3.1.31

冗余redundancy

存在一個以上的方法來執(zhí)行要求的功能或表達(dá)信息。

[來源：IEC61508-4:2010，3.4.6，有修改]

3.1.32

可靠性reliability

在給定條件下，對于給定時間間隔(t?，t?)，自動系統(tǒng)能夠執(zhí)行要求功能的概率。

注1:一般假設(shè)自動化系統(tǒng)在時間間隔開始時處于執(zhí)行該要求功能的狀態(tài)。

注2:術(shù)語“可靠性”也用于表示由該概率來量化的可靠性性能。

注3:在MTBF或MTTF時間段內(nèi)，自動系統(tǒng)在給定條件下執(zhí)行要求功能的概率是下降的。

注4:可靠性與可用性不同。

[來源：IECTR62059-11:2002，3.17，有修改]

3.1.33

殘余錯誤概率residualerrorprobability

RP

一個錯誤未被SCL安全措施檢測出的概率。

3.1.34

殘余錯誤率residualerrorrate

SCL安全措施未成功檢測出若干錯誤的統(tǒng)計率。

3.1.35

風(fēng)險risk

出現(xiàn)傷害的概率與該傷害嚴(yán)重性的組合。

注：更多討論參見IEC61508-5:2010的附錄A。

[來源：IEC61508-4:2010，3.1.6；ISO/IEC導(dǎo)則51:2014，3.9，有修改]

3.1.36

安全通信層safetycommunicationlayer

SCL

在現(xiàn)場總線應(yīng)用層(FAL)之上的通信層，包括根據(jù)GB/T20438要求確保數(shù)據(jù)安全傳輸?shù)乃?/p>

要的附加措施。

3.1.37

安全連接safetyconnection

使用安全協(xié)議進(jìn)行通信事務(wù)處理的連接。

3.1.38

安全數(shù)據(jù)safetydata

使用安全協(xié)議在安全網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。

5

D/CEA0060—2022

注：安全通信層不能保證數(shù)據(jù)本身的安全性，只能保證數(shù)據(jù)被安全傳輸。

3.1.39

安全設(shè)備safetydevice

依據(jù)GB/T20438設(shè)計并實現(xiàn)功能安全通信行規(guī)的設(shè)備。

3.1.40

安全功能safetyfunction

由E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險降低措施所實現(xiàn)的功能，其目的在于當(dāng)發(fā)生特定危險事件

時，達(dá)到或保持EUC的安全狀態(tài)。

[來源：IEC61508-4:2010，定義3.5.1，有修改]

3.1.41

安全完整性等級safetyintegritylevel

SIL

與安全完整性值的范圍相對應(yīng)的離散等級(4種可能等級中的1種)。其中，安全完整性等級4為安

全完整性最高等級，安全完整性等級1為最低等級。

注1:在IEC61508-1:2010的表2和表3中規(guī)定了4種安全完整性等級的目標(biāo)失效措施(見IEC61508-4:2010中3.5.17)。

注2:安全完整性等級用于規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)的安全功能的安全完整性要求。

注3:SIL不是系統(tǒng)、子系統(tǒng)、元件或組件的屬性?！癝ILn安全相關(guān)系統(tǒng)”(n為1、2、3或4)的正確解釋是系統(tǒng)具有支持

安全完整性等級達(dá)到n的安全功能的潛在能力。

[來源：IEC61508-4:2010，定義3.5.8]

3.1.42

安全措施safetymeasure

用于控制可能的通信錯誤的措施，該措施的設(shè)計和實現(xiàn)符合GB/T20438要求。

注1:在實踐中，組合若干安全措施以達(dá)到所要求的安全完整性等級。

注2:通信錯誤和相關(guān)安全措施在5.3和5.4中詳細(xì)介紹。

3.1.43

安全PDUsafetyPDU

SPDU

通過安全通信通道傳輸?shù)腜DU。

注1:SPDU可能包含一個以上使用不同編碼結(jié)構(gòu)和哈希函數(shù)的安全數(shù)據(jù)的副本，以及附加的保護(hù)部分，如密鑰、序列

計數(shù)或時間戳機制。

注2:冗余SCL可能提供2種不同的SPDU版本以插入現(xiàn)場總線幀的各個字段。

3.1.44

安全相關(guān)應(yīng)用safety-relatedapplication

為滿足應(yīng)用的SIL要求，根據(jù)GB/T20438設(shè)計的程序。

3.1.45

安全相關(guān)系統(tǒng)safety-relatedsystem

根據(jù)GB/T20438執(zhí)行安全功能的系統(tǒng)。

3.2符號和縮略語

下列符號和縮略語適用于本文件。

BSC:二進(jìn)制對稱通道(BinarySymmetricChannel)

CP:通信行規(guī)(CommunicationProfile)[IEC61784-1]

CPF:通信行規(guī)族(CommunicationProfileFamily)[IEC61784-1]

6

D/CEA0060—2022

CRC:循環(huán)冗余校驗(CyclicRedundancyCheck)

DLL:數(shù)據(jù)鏈路層(DataLinkLayer)[GB/T9387.1]

EMC:電磁兼容性(ElectromagneticCompatibility)

EMI:電磁干擾(ElectromagneticInterference)

EUC:受控設(shè)備(EquipmentUnderControl)[IEC61508-4:2010]

E/E/PE:電氣/電子/可編程電子(Electrical/Electronic/ProgrammableElectronic)[IEC61508-4:2010]

FAL:現(xiàn)場總線應(yīng)用層(FieldbusApplicationLayer)[IEC61158-5]

FIT:失效時間(等于每小時10-9次失效)(FailureInTime(equals10-8failureperhour))

FS:功能安全(FunctionalSafety)

FSCP:功能安全通信行規(guī)(FunctionalSafetyCommunicationProfile)

IACS:工業(yè)自動化和控制系統(tǒng)(IndustrialAutomationandControlSystem)

MTBF:平均失效間隔時間(MeanTimeBetweenFailures)

MTTF:平均失效時間(MeanTimeToFailure)

NSR:非安全相關(guān)(NonSafetyRelated)

PDU:協(xié)議數(shù)據(jù)單元(ProtocolDataUnit)[GB/T9387.1]

:比特錯誤概率(Biterrorprobability)

PES:可編程電子系統(tǒng)(ProgrammableElectronicSystem)[1EC61508-4:2010]

PFD:要求時平均危險失效概率(AverageProbabilityofdangerousFailureonDemand)

[IEC61508-4:2010]

PFH:每小時平均危險失效頻率(Averagefrequencyofdangerousfailure[h-1]perhour)

[IEC61508-4:2010]

PhL:物理層(PhysicalLayer)[ISO13849-1]

PL:性能等級(PerformanceLevel)

PLC:可編程邏輯控制器(ProgrammableLogicController)

RP:殘余錯誤概率(ResidualErrorProbability)

SCL:安全通信層(SafetyCommunicationLayer)

SIL:安全完整性等級(SafetyIntegrityLevel)[IEC61508-4:2010]

SIS:安全儀表系統(tǒng)(SafetyInstrumentedSystems)

SL:信息安全等級(SecurityLevel)[IEC62443]

SMS:信息安全管理系統(tǒng)(SecurityManagementSystem)

SPDU:安全PDU(SafetyPDU)

SR:安全相關(guān)(SafetyRelated)

4基本要求

4.1基本概念

4.1.1安全功能分解

根據(jù)GB/T20438，風(fēng)險分析要定義安全功能。這些安全功能可以分解到對整個安全功能有影響的部

件(例如：傳感器-安全通信通道-PES-安全通信通道-執(zhí)行器)。

本文件中的通信系統(tǒng)本身執(zhí)行安全數(shù)據(jù)的傳輸。為簡化系統(tǒng)計算，推薦安全功能的安全通信通道

的一個邏輯連接占用目標(biāo)SIL的最大PFH比例不超過1%，為此，設(shè)計功能安全通信行規(guī)(見圖2)。

7

D/CEA0060—2022

安全功能

邏輯邏輯

連接連接

傳感器PES執(zhí)行器

≤1%≤1%

安全功能要求

PFH

圖2安全通信作為安全功能的一部分

4.1.2通信通道類型

本文件使用被稱為“黑色通道”或“白色通道”的概念，來定義用來傳輸安全數(shù)據(jù)的基礎(chǔ)現(xiàn)場總線的要

求。本文件規(guī)定使用黑色通道方法的功能安全通信行規(guī)。附錄A給出黑色通道和白色通道的概念。

在本文件中，安全通信通道被定義為從源點的安全通信層頂部開始，在匯點的安全通信層頂部結(jié)束

(見圖A.1)。黑色通道包括安全通信層之間的所有部分。

4.1.3安全功能響應(yīng)時間

安全功能響應(yīng)時間是指：當(dāng)安全功能通道中存在錯誤或失效時，從與現(xiàn)場總線連接的一個安全傳感

器（例如：電氣安全裝置）感知后，到安全執(zhí)行器（例如：制動器）進(jìn)入相應(yīng)安全狀態(tài)之前，最壞情況

下經(jīng)過的時間。

安全功能響應(yīng)時間的計算在功能安全通信行規(guī)中規(guī)定。

經(jīng)驗測量只能作為對最壞情況下計算的參考性檢查。

對安全功能的要求（執(zhí)行）是由模擬信號超過一個閾值或者數(shù)字信號發(fā)生狀態(tài)變化而引起的。

圖3給出了一個典型的構(gòu)成安全功能響應(yīng)時間的示例。

安全功能響應(yīng)時間

急停開輸入安全安全信號制動電制動器

PES

關(guān)動作處理傳輸傳輸輸出源切斷釋放

單個元件的安全功能響應(yīng)時間

圖3安全功能響應(yīng)時間組成部分示例

4.2總殘余錯誤率與SIL

依據(jù)本文件，功能安全通信系統(tǒng)應(yīng)提供殘余錯誤率。表1給出了殘余錯誤率與SIL之間的典型關(guān)

系，該關(guān)系基于假設(shè)：在功能安全通信系統(tǒng)中，安全功能的每個邏輯連接的貢獻(xiàn)不超過1%。

高需求模式系統(tǒng)都應(yīng)具有一個確定的安全功能響應(yīng)時間，因此，應(yīng)保證必要的SPDU采樣率。所

有情況下都應(yīng)提供特定SIL的PFH。

8

D/CEA0060—2022

表1SCL的每小時殘余錯誤率