电梯、自动扶梯和自动人行道安全相关的可编程电子系统的应用 第2部分：自动扶梯和自动人行道 （PESSRAE） GB/T 35850.2-2019

中华人民共和国国家标准

电梯、自动扶梯和自动人行道安全相关的可编程电子系统的应用

第2部分：自动扶梯和自动人行道

（PESSRAE）

GB/T 35850.2-2019

Programmable electronic systems in safety-related applications for lifts（elevators），escalators and moving walks Part 2： Escalators and moving walks（PESSRAE）

[ISO 8102-6：2019，Electrical requirements for lifts，escalators and moving walks Part 6：Programmable electronic systems in safety-related applications for escalators and moving walks（PESSRAE），MOD]

国家市场监督管理总局发布

中国国家标准化管理委员会发布

前言

GB/T 35850《电梯、自动扶梯和自动人行道安全相关的可编程电子系统的应用》拟由下列三个部分组成：

——第1部分：电梯（PESSRAL）；

——第2部分：自动扶梯和自动人行道（PESSRAE）；

——第3部分：PESSRAL和PESSRAE相关的可编程电子系统的生命周期指南（技术报告）。

本部分为GB/T 35850的第2部分。

本部分按照GB/T 1.1-2009给出的规则起草。

本部分使用重新起草法修改采用ISO 8102-6：2019《电梯、自动扶梯和自动人行道的电气要求 第6部分：自动扶梯和自动人行道安全相关的可编程电子系统的应用（PESSRAE）》。

本部分与ISO 8102-6：2019相比在结构上做了如下调整：

ISO 8102-6：2019中1.3的第2段对应本部分的1.4，并调整了第1章后续条的编号；

ISO 8102-6：2019的附录A对应本部分的附录C；

ISO 8102-6：2019的附录B对应本部分的附录A。

本部分与ISO 8102-6：2019的技术性差异及其原因如下：

——在1.4中，增加了“提供了应用PESSRAE的风险降低的决策表”；

——关于规范性引用文件，本部分做了具有技术性差异的调整，以适应我国的技术条件，调整的情况集中反映在第2章“规范性引用文件”中，具体调整如下：

·用等同采用国际标准的GB/T 20438.2代替了 IEC 61508-2；

·用等同采用国际标准的GB/T 20438.3代替了 IEC 61508-3；

·用等同采用国际标准的GB/T 20438.4代替了 IEC 61508-4；

·用等同采用国际标准的GB/T 20438.5代替了 IEC 61508-5；

·删除了ISO 22200；

·增加了GB/T 24808；

·用等同采用国际标准的GB 28526代替了IEC 62061；

——为了更好地对应GB 16899-2011中的表6以及EN 115-1：2017中的相关内容，本部分做了以下修改：

·在表1中，删除了ISO 8102-6：2019中的第17项、第19项、第20项、第21项、第23项、第24项，以便与GB 16899-2011及EN 115-1：2017一致；

·在表1中，增加了第20项和第21项，以便与EN 115-1：2017一致；

·在表1中，修改了ISO 8102-6：2019中的第6项安全功能的名称，并修改了第1项、第2项、第4项、第6项、第7项、第11项、第12项安全功能的功能描述，以便与有关国家标准保持一致；

·在表2中，删除了ISO 8102-6：2019中的第17项、第19项、第20项、第21项、第23项、第24项，以便与表1一致；

·在表2中，增加了第20项和第21项，以便与表1一致；

·在表2中，修改了ISO 8102-6：2019中的第6项安全功能的名称，以便与表1一致；

·在表2中，自动扶梯和自动人行道安全功能栏中的“检查附加制动器未释放”所对应的安全状态要求栏中的“切断驱动主机和工作制动器电源”由非SIL相关改为SIL相关，以便与相关标准一致；

·在表2的安全状态要求栏中，删除了SIL相关的“阻止其他的检修控制设备”“防止正常启动”，删除了非SIL相关的“切断驱动主机和工作制动器电源”“声音报警”，以便与相关标准一致；

·在表2中，第3项、第5项、第14项的安全状态要求增加了“手动复位”，以便与相关标准一致；

·在表2中，修改了R注释的内容，以便与相关标准一致。

本部分与ISO 8102-6：2019相比还做了下列编辑性修改：

——修改了本部分的名称，以便与系列标准GB/T 35850.1-2018统一；

——在表1中，将ISO 8102-6：2019表1中的第26项内容改为了表注，以便与表2相对应；

——调整了表1和表2中的自动扶梯和自动人行道安全功能的序号，以及表2中的R注释的序号，以便于应用；

——增加了资料性附录B；

——删除了部分参考文献。

本部分由全国电梯标准化技术委员会（SAC/TC 196）提出并归口。

本部分起草单位：上海新时达电气股份有限公司、上海市特种设备监督检验技术研究院、中国建筑科学研究院有限公司建筑机械化研究分院、迅达（中国）电梯有限公司、上海三菱电梯有限公司、通力电梯有限公司、奥的斯机电电梯有限公司、奥的斯电梯（中国）有限公司、广东省特种设备检测研究院、苏州江南嘉捷电梯有限公司、康力电梯股份有限公司、中国软件评测中心、日立电梯（广州）自动扶梯有限公司、蒂森克虏伯扶梯（中国）有限公司、东芝电梯（中国）有限公司、永大电梯设备（中国）有限公司、江苏省特种设备安全监督检验研究院苏州分院、苏州汇川技术有限公司、苏州帝奥电梯有限公司、广州广日电梯工业有限公司、菱王电梯股份有限公司、巨人通力电梯有限公司、东南电梯股份有限公司、昆山通祐电梯有限公司、苏州莱茵电梯股份有限公司、广东寰宇电子科技股份有限公司、森赫电梯股份有限公司、宁波力隆机电股份有限公司。

本部分主要起草人：孙恩涛、陈曼雯、薛季爱、陈凤旺、沙建红、高乾、张方东、温爱民、郭华嘉、黄绍伦、赵碧涛、孟庆东、郭永振、李淼、黄成建、张志高、周根富、李杰锋、孙强、唐林钟、许磊、刘向民、胡平、丁建新、王明福、张逢博、马飞辉、李仁、彭年俊。

引言

近年来包含电气、电子组件的系统在很多领域被用于执行安全功能。以计算机为基础的系统，一般被划归为可编程电子系统（PE系统），在很多领域越来越多地被应用于执行安全功能。安全有效地利用计算机系统技术，关键在于决策者在做安全方面的决策时需要有充分的指导。大多数情况下，安全性由依靠多领域技术（如机械、液压、气动、电气、电子、可编程电子等）的多个保护系统共同完成。因此任何安全策略不仅要考虑独立系统内的所有组件（如传感器、控制设备和执行器件），而且还要考虑所有用来构成完整安全相关系统的安全相关组件。

本部分阐述了对用于执行自动扶梯和自动人行道安全功能的由可编程电子部件和可编程电子系统（PE系统）组成的系统的具体要求。本部分的目的在于对自动扶梯和自动人行道安全相关的可编程电子系统（PESSRAE）的技术一致性、性能要求和合理性作出具体规定。

风险分析、术语名词和技术解决方案主要参考了GB/T 20438系列标准。对表1中每项安全功能的风险分析确定了PESSRAE的电气安全功能的等级划分。表1和表2对每个电气安全功能分别给出了安全完整性等级和功能性要求。

1 范围

1.1  GB/T 35850的本部分适用于可编程电子系统被用于执行自动扶梯和自动人行道电气安全功能时以及自动扶梯和自动人行道规范、标准中所定义的自动扶梯和自动人行道安全功能应用PESSRAE时。

1.2  本部分也适用于新的或与本部分描述有差异的PESSRAE。

1.3  如果电气安全装置符合本部分和其他相关标准的所有要求，则不必考虑其失效的可能性。

1.4  本部分：

a）使用了安全完整性等级（SIL）来规定用PESSRAE实现安全功能的目标失效量；

b）规定了达到某一功能的安全完整性的要求，但没有规定实施和保持该要求的责任主体（如：设计者、制造商、供应商或业主等）；

c）应用于自动扶梯和自动人行道的可编程电子系统（PE系统），符合自动扶梯和自动人行道相关标准（如：GB 16899等）的最低要求；

d）明确了与GB/T 20438以及GB/T 24808之间的关系；

e）说明了自动扶梯和自动人行道安全功能与其安全状态条件之间的关系；

f）适用于软件和硬件设计的阶段和活动，但不包括设计之后的阶段和活动（如：采购与制造等）；

g）要求PESSRAE制造商提供说明书，向实施该自动扶梯和自动人行道组装、连接、调试、维护的组织详细说明如何保持PESSRAE的完整性；

h）规定了与软硬件安全确认相关的要求；

i）为具体的自动扶梯和自动人行道安全功能规定了安全完整性等级；

j）规定了达到特定的安全完整性等级所需要的技术和措施；

k）提供了应用PESSRAE的风险降低的决策表；

l）规定了要求的PESSRAE最高安全完整性等级为SIL3，最低安全完整性等级为SIL1。

1.5  本部分不包含：

a）PE系统装置自身产生的危险，如电击等。

b）失效安全的概念。在失效模式定义良好且复杂度相对较低的情况下失效安全可能是有价值的，因为本部分范围内的PESSRAE复杂度很高，所以失效安全概念在此是不合适的。

c）对自动扶梯和自动人行道安全功能中的PESSRAE的完整运用所必需的其他相关要求，如：系统集成规范，温度和湿度，机械结构，开关、执行器件、传感器的安装和标识等。

d）由恶意或未授权行为引起的，涉及安全威胁的可预见的误操作。需要考虑某一安全威胁分析时，如果重新评估了特定的SIL，可以使用本部分。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 20438.1-2017 电气/电子/可编程电子安全相关系统的功能安全 第1部分：一般要求（IEC 61508-1：2010，IDT）

GB/T 20438.2 电气/电子/可编程电子安全相关系统的功能安全 第2部分：电气/电子/可编程电子安全相关系统的要求（GB/T 20438.2-2017，IEC 61508-2：2010，IDT）

GB/T 20438.3 电气/电子/可编程电子安全相关系统的功能安全 第3部分：软件要求（GB/T 20438.3-2017，IEC 61508-3：2010，IDT）

GB/T 20438.4 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略语（GB/T 20438.4-2017，IEC 61508-4：2010，IDT）

GB/T 20438.5 电气/电子/可编程电子安全相关系统的功能安全 第5部分：确定安全完整性等级的方法示例（GB/T 20438.5-2017，IEC 61508-5：2010，IDT）

GB/T 24808 电磁兼容性 电梯、自动扶梯和自动人行道的产品系列标准 抗扰度

GB 28526 机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全（GB 28526-2012，IEC 62061：2005，IDT）

3 术语和定义

GB/T 20438.4界定的以及下列术语和定义适用于本文件。

3.1

非SIL相关安全状态要求 non-SIL-relevant safe-state requirement

对某个SIL相关安全功能的动作作出响应，而执行该响应的功能无SIL要求。

注：参见图4和表2。

3.2

可编程电子 programmable electronic；PE

以计算机技术为基础，可以由硬件、软件及其输入和（或）输出单元构成。

注：本术语包括以一个或多个中央处理器（CPU）及相关的存储器等为基础的微电子装置。

例如：下列均是可编程电子装置：

——微处理器；

——微控制器；

——可编程控制器；

——现场可编程门阵列（FPGA）；

——专用集成电路（ASIC）；

——可编程逻辑控制器（PLC）；

——其他以计算机为基础的装置（如：智能传感器、智能变送器、智能执行器等）。

3.3

可编程电子系统 programmable electronic system

PE  系统 PE system

基于一个或多个可编程电子装置的控制、保护或监视的系统，包括系统中所有组件，如电源、传感器和其他输入装置、数据总线和其他通信路径、执行装置和其他输出装置。

注1：参见图1。

注2：PE系统可执行满足SIL要求或非SIL要求的功能。功能的SIL分级只需考虑PE系统中执行SIL相关功能要求的部分。

注3：图1中所示的可编程电子在中心位置，但是可以设置于PE系统的多个位置。

说明：

1——PE系统的范围；

2——输入接口（如：A/D转换器）；

3——输入装置（如：传感器）；

4——通信；

5——可编程电子（PE）；

6——输出接口（如：D/A转换器）；

7——输出装置/终端组件（如：执行装置）。

图1 基本的PE系统结构

3.4

自动扶梯和自动人行道安全相关的可编程电子系统 programmable electronic systems in safety-related applications for escalators and moving walks；PESSRAE

基于软件的PE系统在自动扶梯和自动人行道安全相关系统中的应用。

3.5

检验测试 proof test

周期性的测试，用以检测安全相关系统中危险的隐性失效，在必要时诵过维修，把系统复原到“新的”状态或实际上接近这种状态。

注1：在本部分中使用“检验测试”，但要注意到同义的术语“周期性测试”。

注2：检验测试的有效性取决于失效覆盖和维修的有效性。在实践中除了低复杂E/E/PE安全相关系统外，100％的隐性失效的检测很难达到，这宜是目标。至少，所有要执行的安全功能，按E/E/PE安全相关系统安全要求规范进行检查。如果使用分离通道，则对每个通道分别进行检验测试。对于复杂的组件，可能需进行分析，以证明在E/E/PE安全相关系统整体生命周期期间，未被检验测试检测出的隐性危险失效概率可忽略不计。

注3：检验测试需要一定时间完成。在此时间内E/E/PE安全相关系统可能被部分或全部限制。在测试过程中，仅当EUC已停机或E/E/PE安全相关系统仍能保持在要求时的动作能力，检验测试持续时间可忽略不计。

注4：在检验测试期间，E/E/PE安全相关系统可能部分或全部不能响应动作要求。仅在维修时EUC已停机或使用其他等效的风险措施来代替时，MTTR对于SIL的计算可以忽略。

注5：维修（包括更换）可认为是把系统复原到“新的”。

3.6

安全回路 safety circuit

所有安全装置的组合，完成自动扶梯和自动人行道的一组或所有安全功能。

注：参见图2。

说明：

1——安全装置1，功能1；

2——安全装置2，功能2；

3——安全装置n，功能n；

4——安全装置（n+1），功能（n+1）。

^a 一组或全部必要的自动扶梯和自动人行道安全功能（见表1）。

图2 安全回路

3.7

安全装置 safety device

安全相关系统的组成部分，包括必要的控制电路，用于独立地实现自动扶梯和自动人行道安全功能，可由PE系统组件和非PE系统组件组成。

注：参见图3和表1。

说明：

1——PE系统组件；

2——非PE系统组件。

图3 安全装置示意图

3.8

安全功能 safety function

针对特定的危险事件，为了达到或保持自动扶梯和自动人行道的安全状态，由安全相关系统实现的功能。

注1：参见表1。

注2：安全功能可包括非SIL相关安全状态要求，参见表2。

3.9

安全相关系统 safety-related system

执行一个或多个安全功能的一个或多个安全装置，可基于可编程电子、电气、电子和（或）机械的自动扶梯和自动人行道组件。

注：该术语包括执行安全功能所需的全部硬件、软件和支持服务（如：电源等）。传感器、其他输入装置、最终组件（执行器）和其他输出装置也包括在安全相关系统中。

3.10

安全完整性等级 safety integrity level；SIL

一种离散的等级，用于规定分配给可编程电子安全相关系统的安全功能的安全完整性要求。

注1：安全完整性等级有4个等级，SIL4是最高的，SIL1是最低的。

注2：对于本部分，SIL3为自动扶梯和自动人行道应用所要求的最高安全完整性等级。

注3：SIL表明了各种因素导致失效（随机硬件失效和系统性失效）的失效率，这些失效将导致不安全状态，如：硬件失效、软件导致的失效、电气干扰导致的失效。

3.11

SIL相关安全状态要求 SIL relevant safe-state requirement

安全相关系统的一部分，需要符合安全功能所需的SIL。

注：参见图4和表2。

说明：

1——SIL相关安全状态要求；

2——非SIL相关安全状态要求。

图4 自动扶梯和自动人行道安全功能示意图

3.12

系统响应时间 system reaction time

下列两个数值之和：

a）从PESSRAE故障发生到开始对自动扶梯和自动人行道作出相应动作的时间；

b）自动扶梯和自动人行道响应上述动作以保持安全状态所需的时间。

4 要求

4.1 总则

4.1.1  表1列出了自动扶梯和自动人行道的安全功能名称、安全功能描述和对该安全功能所要求的SIL。

4.1.2  表2列出了表1中安全功能动作后的安全状态要求。安全功能动作后，应使自动扶梯和自动人行道转入表2中的安全状态。

4.1.3  为了达到安全状态而不致发生危险，PESSRAE应考虑自动扶梯和自动人行道响应安全功能的时间以及检测到内部故障必要的时间。实现内部故障检测的方法应考虑SIL所要求的系统响应时间。

注：如果双通道系统在必要的系统响应时间内通过数据比较检测到内部故障，则可变内存区检测可不在系统响应时间内完成，因为安全完整性由双通道设计来保证。

4.2 扩展应用

4.2.1  总则

4.2.2～4.2.4中列举的要求用于验证自动扶梯和自动人行道安全功能的SIL和安全状态，这些自动扶梯和自动人行道安全功能是新的或不同于4.3和4.4提出的要求的。

4.2.2  风险评价

如果在4.3和（或）4.4的要求中不能找到相应条款，应按照GB/T 20438.5或GB 28526的方法决定所需安全完整性等级。对于新的PESSRAE功能和相应SIL，或与4.3和4.4要求不同的、修改的PESSRAE功能和（或）SIL，应使用同样的方法建立理论依据。任何单一的潜在危险因素导致的最严重的程度，其平均目标失效量不应超过5×10^-7次/年，参见附录A。

4.2.3  确定PESSRAE的SIL的限制

用于确定自动扶梯和自动人行道安全相关功能的PE系统的目标失效量的要求不应低于SIL1，也不应高于SIL3。如果某目标失效量的要求高于SIL3，则应考虑重新设计系统，使其所需的目标失效量满足SIL3或低于SIL3的规定。如果要求的SIL低于SIL1，可使用非SIL要求的PE系统，但其不应归类于PESSRAE。即使将PESSRAE应用于低于SIL1要求的安全功能中，其SIL也不应低于SIL1。

对于自动扶梯和自动人行道，SIL4的单个安全功能的应用不是典型的需求。应避免这种应用，因为在安全装置的整个生命周期中，达到和保持这样的高等级是困难的。如果分析结果要求某个自动扶梯和自动人行道安全功能为SIL4或更高，应考虑对过程设计作出改变，如采用本质安全设计措施或增加额外层面的保护。这些改进有可能降低对自动扶梯和自动人行道安全功能的SIL要求。如果仍不能降低安全完整性等级，则应将该安全功能的目标失效量分散给多个充分独立的、实践应用验证过的低于或等于SIL3的PESSRAE。

4.2.4  安全状态要求

对于新的或不同于4.3和4.4规定的自动扶梯和自动人行道安全功能，设计者可按照表2所描述的类似方式识别安全状态要求。

4.3 安全功能的SIL要求

自动扶梯和自动人行道安全功能所需要的SIL见表1，也参见附录B。

4.4 SIL相关和非SIL相关安全状态要求

自动扶梯和自动人行道对表1中自动扶梯和自动人行道安全功能所需作出的响应，以及该功能动作导致的每个响应的SIL和非SIL相关要求，见表2。表2中标注“○”的表示当安全功能被触发或PESSRAE检测到内部故障条件时，该安全状态条件需作出的响应。表中未标注“○”而是使用了注解编号的，可查看相应编号所对应的注释以获取所需作出响应的更详细的说明。表中标注“—”的表示当安全功能被触发或PESSRAE检测到内部故障条件时，该安全状态条件不必作出的响应。

4.5 SIL符合性验证的实现和证明

4.5.1  总则

应按照本节要求验证PESSRAE的安全完整性等级。

4.5.2  实现和验证PE系统符合本部分规定的安全完整性等级所需的技术和措施

4.5.2.1  符合SIL1～SIL3的实现和验证所需的技术和措施见附录C。

4.5.2.2  如果在安全回路中，两个或两个以上的安全功能由共用的电路实现，则该共用电路的SIL应至少达到该电路所实现的自动扶梯和自动人行道安全功能中的最高SIL。

4.5.3  PESSRAE装置启用后的失电

4.5.3.1  对于不需要手动复位的功能，在电源恢复后可允许PESSRAE恢复正常工作模式，其输出状态应由电源恢复后的输入条件决定。

4.5.3.2  对于需要手动复位的功能（见表2），PESSRAE应恢复到其失电前的输出状态。

附录A 风险降低决策表的示例

表A.1给出PESSRAE应用的一个风险降低决策表的示例，相应的纠正措施列在表A.2。关于潜在的安全危险后果的定义如下：

a）灾难性的：在标准的范围内丧失所有的安全目标；

b）严重的：在标准的范围内永久性地失去部分安全目标；

c）轻微的：在标准的范围内临时性地失去部分安全目标；

d）可忽略的：在标准的范围内可忽略的或安全目标无任何损失。

附录B 自动扶梯和自动人行道适用的规范和标准

本部分中的自动扶梯和自动人行道安全功能参考了GB 16899-2011和EN 115-1：2017所定义的安全功能。为了便于对照和应用，表B.1给出了这些规范和标准与表1中的自动扶梯和自动人行道安全功能之间的关系。

附录C 实现、验证和保持SIL符合性的技术和措施

C.1  总则

C.1.1  用于满足本部分SIL要求的技术和措施

实现和验证PESSRAE的SIL符合性所需的技术和措施应满足C.2中规定的技术和措施。

C.1.2  说明书

C.1.2.1  一般要求

制造商应提供说明书。

在自动扶梯和自动人行道正常运行中，无法进行PESSRAE的功能验证时，说明书应说明如何实施功能验证。说明书还应提供下列活动的信息，以便这些活动能够安全有效地实施：

a）组装；

b）连接；

c）调试；

d）维护和修理；

e）识别、标记、标识、证书和清单；

f）功能验证的周期。

C.1.2.2  说明书中对维护和修理的一般要求

制造商提供的说明书应包含下列有关PESSRAE维护和修理的内容：

a）用于培训维护人员的特别要求和/或注意事项，以使PESSRAE的所有功能运行维持在其相应的SIL；

b）检验测试、预防性维护和故障维修的活动；

c）用于维护的特定技术和措施；

d）维护活动的验证和文档要求；

e）维护活动的周期；

f）确保日常维护中所用的检测设备经正确地校验和维护；

g）PESSRAE发生故障或失效时所需进行的维护和修理活动，包括：

——故障诊断和修理；

——重新确认；

——维护及失效的报告要求。

C.1.3  维护或可维护性设计要求

PESSRAE的设计应允许端到端或分部测试。当预计的计划检验时间间隔大于用以保持PESSRAE的SIL的检验测试时间间隔时，应对试验作适当的规定。

注：“端到端”是指从传感器端到进入安全状态。当需进行自动检验测试时，试验项目是SIL设计的必备部分，以测试未检测到的失效。

C.1.4  EMC抗扰度

对于SIL相关安全状态要求，PESSRAE应达到GB/T 24808中规定的“安全电路”测试等级；对于非SIL相关安全状态要求，应达到GB/T 24808中的“所有电路”测试等级。

C.2  使用GB/T 20438.2和GB/T 20438.3实现和证明S1L符合性的技术和措施

C.2.1  一般要求

C.2.1.1  本节规定了应用GB/T 20438的要求，可用于实现和证明PESSRAE的SIL符合性。

C.2.1.2  对于本部分，SIL代表了对工作在低要求模式中装置的要求，以及安全功能在要求时的危险失效平均概率（见GB/T 20438.1-2017中的表2）。然而，若PESSRAE是以连续控制的方式来保持安全功能的，SIL应代表对工作在高要求模式中PESSRAE的要求，以及安全功能的每小时危险失效平均频率（见 GB/T 20438.1-2017中的表3）。

注：如果存在子系统输出状态的组合会直接导致危险事件的可能性，需将子系统中危险故障的检测视为工作在连续模式的安全功能。

C.2.1.3  用于执行非SIL相关要求的装置和软件不应用于实现PESSRAE的SIL相关要求，除非这些装置和软件已经包含在安全相关功能SIL的分级中。

C.2.1.4  在任何能容许单一故障的PESSRAE子系统中，一旦检测出危险故障（通过诊断测试、检验测试或任何其他方式），应进入表2中定义的安全状态。为了在同一子系统中可导致危险状况的第二个故障出现之前保持PESSRAE的完整性和安全状态条件，如果有必要，应采取手动复位使PESSRAE脱离安全状态条件。

如果上述动作依赖于对危险故障报警执行特定动作的操作人员或远程子系统，则报警本身应被视为该PESSRAE的SIL相关功能的一部分。

C.2.2  SIL符合性的实现

PESSRAE的SIL符合性的实现，应与GB/T 20438.2和GB/T 20438.3的原则和措施一致。

注：假如几个低SIL系统能达到足够等级的独立性，且在应用中被证实，则可用来满足一个更高SIL功能的需求。

参考文献

[1] GB 16899-2011 自动扶梯和自动人行道的制造与安装安全规范

[2] EN 115-1：2O17 Safety of escalators and moving walks-Part 1：Construction and installation