Таблиця 9 — Загальні норми для уникнення збоїв. Система якості
№ |
Норми |
1 |
Аналіз небезпеки, визначання усіх видів небезпек, що стосуються спроектованого виробу |
2 |
Специфікація вимог, включаючи вимоги безпеки |
3 |
Перегляд усіх специфікацій |
4 |
Конструкторська документація згідно з вимогами F.6.1 і додатково: — опис функцій, зокрема архітектуру системи і взаємодія апаратури і програмного забезпечення; — переліки програмного забезпечення. |
5 |
Звіти з огляду конструкції |
6 |
Перевіряння надійності таким методом, як аналіз збою і його наслідків (FMEA) |
7 |
Специфікація випробовувань і звіти з випробовувань в лабораторії і в монтажній зоні |
8 |
Інструкція з експлуатації і обслуговування |
9 |
Повторення і коригування вищевказаних заходів, якщо виріб піддається змінам |
10 |
Впровадження контролю версій апаратури і програмного забезпечення і їхньої сумісності |
Додаткові норми
Додаткові норми, необхідні проти ризику класів 2, З і 4, приведені в таблиці 10, 11 і 12:
Таблиця 10 — Додаткові норми проти ризику класу 2
Компоненти і функції |
Вимоги |
Додаткові норми |
№ норми в додатку L |
Структура |
Структура повинна бути такою, щоб будь-який випадковий збій був виявлений і система переходила в безпечний стан |
Одноканальна структура з автотестом або дво- (чи більше) канальна структура з порівнянням |
М 1.1 М 1.3 |
Процесори |
Збої в процесорі, що можуть призводити до неправильних результатів, повинні бути виявлені. Якщо такий збій може призводити до небезпечної ситуації, система повинна переходити в безпечний стан |
Апаратура, що коригує збій, чи автотест за допомогою програмного забезпечення, чи компаратор для двоканальної структури, чи обопільне порівняння за допомогою програмного забезпечення для двоканальної структури |
М 2.1 М 2.2 М 2.4 М 2.5 |
Незмінні діапазони пам'яті |
Зміна неправильної інформації, тобто усі одно- і двобітові збої і деякі трибітові і багатобітові збої повинні бути виявлені до наступного прогону ліфта |
Наступні норми стосуються тільки одноканальної структури: однобітове резервування (парний біт), чи блокова безпека з резервуванням одного слова |
М 3.5 М3.1 |
Перемінні діапазони пам'яті |
Глобальні збої під час адресації, запису, збереження і зчитування, а також усі одно- і двобітові збої і деякі трибітові і багатобітові збої повинні бути виявлені до наступного прогону ліфта |
Наступні норми стосуються тільки одноканальної структури: економія слів за допомогою багатобіто вого резервування, чи перевірка через порівняння шаблону тесту зі статичними чи динамічними дефектами |
М 3.2 М 4.1 |
Блоки входів- виходів і інтерфейси |
Статичні збої і перехресний зв'язок на вхідних-вихідних лініях, а також випадкові і систематичні збої в потоці даних повинні бути виявлені до наступного прогону ліфта |
Кодова безпека, або шаблон тесту |
М 5.4 М 5.5 |
Кінець тблиці 10
Компоненти і функції |
Вимоги |
Додаткові норми |
№ норми в додатку L |
Тактовий сигнал |
Збої у виробленні тактових сигналів для процесорів, такі як зміна частоти або неполадки в устаткуванні, повинні бути виявлені до наступного прогону ліфта |
Сторожовий пристрій з окремою базою часу, або зворотний моніторинг |
М6.1 М 6.2 |
Послідовність програми |
Неправильна послідовність програми і неправильний час виконання функції безпеки повинні бути виявлені до наступного прогону ліфта |
Комбінація тимчасового і логнного моніторингу послідовності програми |
М 7.1 |
Таблиця 11 — Додаткові норми проти ризику класу З
Компоненти і функції |
Вимоги |
Додаткові норми |
№ норми в додатку L |
Структура |
Структура повинна бути такою, щоб будь-який випадковий збій був виявлений у межах часу реагування системи і система переходила в безпечний стан |
Одноканальна структура з автотестом, чи дво- (чи більше) канальна структура з порівнянням |
М 1.2 М 1.3 |
Процесори |
Збої у процесорі, що можуть призводити до неправильних результатів, повинні бути виявлені в межах часу реагування системи. Якщо такий збій може призводити до небезпечної ситуації, система повинна переходити в безпечний стан |
Апаратура, що коригує збій, або автотест за допомогою програмного забезпечення, чи компаратор для двоканальної структури, чи обопільне порівняння за допомогою програмного забезпечення для двоканальної структури |
М 2.1 М 2.3 М 2.4 М 2.5 |
Незмінні діапазони пам'яті |
Зміна неправильної інформації, тобто усі одно- і двобітові збої і деякі трибітові і багатобітові збої повинні бути виявлені в межах часу реагування системи |
Наступні норми стосуються тільки одноканальної структури: блочна безпека з резервуванням одного слова економія слів за допомогою багатобітового резервування |
М 3.1 М 3.2 |
Перемінні діапазони пам'яті |
Глобальні збої під час адресації, запису, збереження і зчитування, а також усі одно- і двобітові збої і деякі трибітові і багатобітові збої повинні бути виявлені в межах часу реагування системи |
Наступні норми стосуються тільки одноканальної структури: економія слів за допомогою багатобітового резервування, чи перевірка через порівняння шаблону зі статичними чи динамічними дефектами |
М 3.2 М 4.1 |
Блоки входів- виходів і інтерфейси |
Статичні збої і перехресний зв'язок на вхідних-вихідних лініях, а також випадкові і систематичні збої в потоці даних повинні бути виявлені в межах часу реагування системи |
Кодова безпека, чи шаблон тесту |
М 5.4 М 5.5 |
Тактовий сигнал |
Збої у виробленні тактових сигналів для процесорів, такі як зміна частоти або неполадки в устаткованні, повинні бути виявлені в межах часу реагування системи |
Сторожовий пристрій з окремою базою часу, чи зворотний моніторинг |
М6.1 М 6.2 |
Послідовність програми |
Неправильна послідовність програми і неправильний час виконання функції безпеки повинні бути виявлені в межах часу реагування системи |
Комбінація тимчасового і логічного моніторингу послідовності програми |
М 7.1 |
Таблиця 12 — Додаткові норми проти ризику класу 4
Компоненти і функції |
Вимоги |
Додаткові норми |
№ норми в додатку L |
Структура |
Структура повинна бути такою, щоб будь-який випадковий збій був виявлений у межах часу реагування системи і система переходила в безпечний стан |
Дво- (чи більше) канальна структура з порівнянням |
М 1.3 |
Процесори |
Збої в процесорі, що можуть призводити до неправильних результатів, повинні бути виявлені в межах часу реагування системи. Якщо такий збій може призводити до небезпечної ситуації, система повинна переходити в безпечний стан |
Компаратор для двоканальної структури, чи обопільне порівняння за допомогою програмного забезпечення для двоканальної структури |
М 2.4 М 2.5 |
Незмінні діапазони пам'яті |
Зміна неправильної інформації, тобто усі одно- і багатобітові збої повинні бути виявлені в межах часу реагування системи |
Процедура блочної безпеки з дублюванням блоку, чи блочна безпека з резервуванням одного слова |
М 3.3 М 3.4 |
Перемінні діапазони пам'яті |
Глобальні збої під час адресації, запису, збереження і зчитування, а також збої статичних бітів і динамічні з'єднання повинні бути виявлені в межах часу реагування системи |
Процедура блочної безпеки з дублюванням блоку, чи інспекційні перевірки типу «Гальпат» |
М4.2 М 4.3 |
Блоки входів виходів і інтерфейси |
Статичні збої і перехресний зв'язок на вхідних-вихідних лініях, а також випадкові і систематичні збої в потоці даних повинні бути виявлені в межах часу реагування системи |
Багатоканальний паралельний вхід і багатоканальний паралельний вихід, чи зчитування виходу, чи кодова безпека, чи шаблон тесту |
М 5.1 М 5.3 М 5.2 М 5.4 М 5.5 |
Тактовий сигнал |
Збої у подачі тактових сигналів для процесорів, такі як зміна частоти або неполадки в устаткуванні, повинні бути виявлені в межах часу реагування системи |
Сторожовий пристрій з окремою базою часу, чи зворотний моніторинг |
М6.1 М 6.2 |
Послідовність програми |
Неправильна послідовність програми і неправильний час виконання функції безпеки повинні бути виявлені в межах часу реагування системи |
Комбінація тимчасового і логічного моніторингу послідовності програми |
М7.1 |
Додаток А викласти в новій редакції:
ДОДАТОК А
(обов'язковий)
Таблиця А.1 — Перелік електричних пристроїв безпеки
Пункт |
Пристрої контролю |
Клас ризику* |
5.2.2.2.2 |
Контроль на зачинення інспекційних, аварійних дверей і інспекційних люків |
2 |
5.7.2.5 а) |
Пристрій зупинення в приямку |
2 |
6.4.5 |
Пристрій зупинення в блочному приміщенні |
2 |
7.7.3.1 |
Контроль на замикання дверей шахти: — автоматичні двері шахти відповідно до 7.7.4.2; — ручні двері шахти |
3 4 |
Кінець тблиці А.1
Пункт |
Пристрої контролю |
Клас ризику* |
7.7.4.1 |
Контроль на замикання дверей шахти |
4 |
7.7.Є.2 |
Контроль на зачинення стулок без замка |
4 |
8.9.2 |
Контроль на зачинення дверей кабіни |
4 |
8.12.4.2 |
Контроль на замикання аварійного люка і аварійних дверей у кабіні |
2 |
8.15Ь) |
Пристрій зупинення на даху кабіни |
4 |
9.3.3 |
Контроль на ненормальний відносний розтяг каната або ланцюга за двоканатної чи дволанцюгової підвіски |
1 |
9.8.8 |
Контроль на спрацьовування уловлювачів |
1 |
9.10.2.10.1 |
Виявлення перевищення швидкості |
1 |
9.10.2.10.2 |
Контроль на спрацьовування обмежувача швидкості |
4 |
9.10.2.10.3 |
Контроль на натяг каната обмежувача швидкості |
4 |
9.10.4.4 |
Контроль на натяг каната безпеки |
4 |
10.4.3.3 |
Контроль на повернення буферів з витягнутого положення в нормальне |
4 |
10.5.2.2 b) |
Контроль на напругу в пристрої зміни положення кабіни (кінцевий вимикачі) |
2 |
10.5.2.3 b) |
Контроль на натяг в пристрої для трансмісії у випадку позиції кабіни в непрямій дії ліфта (кінцевий вимикач) |
2 |
10.5.3.1 |
Кінцевий вимикач |
2 |
11.2.1 с) |
Контроль на замикання дверей кабіни |
3 |
12.13 |
Контроль для ослаблення каната чи ланцюга |
|
13.4.2 |
Керування ввідним пристрою за допомогою контактора ланцюга |
3 |
14.2.1.2 а) 2) |
Контроль на вирівнювання, повторне вирівнювання і проти сповзання |
3 |
14.2.1.2 а) 3) |
Контроль на напругу в пристрої зміни положення кабіни (вирівнювання, повторне вирівнювання і проти сповзання) |
3 |
14.2.1.3 с) |
Пристрій зупинення з операцією ревізії |
4 |
14.2.1.4 Ь) |
Обмеження руху кабіни за допомогою стискування |
3 |
14.2.1.4 і) |
Пристрій зупинення з операцією стикування |
3 |
*’ Цей стовпчик використовують тільки у разі використання програмувальних електронних систем. |