中文版 )铁路应用_通信、信号和过程控制系统_信号的安全相关电子

1、.中文版 )铁路应用_通信、信号和过程控制系统_信号的安全相关电子.txt27信念的力量在于即使身处逆境，亦能帮助你鼓起前进的船帆；信念的魅力在于即使遇到险运，亦能召唤你鼓起生活的勇气；信念的伟大在于即使遭遇不幸，亦能促使你保持崇高的心灵。 本文由lizf0710贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 EN 50129:2003 英国标准 BS EN 50129:2003 铁路应用- 铁路应用- 通信,信号和过程控制系统- 通信,信号和过程控制系统- 信号的安全相关电子系统 信号的安全相关电子系统 1 EN 50129:2003 国家前言 该

2、 英 国 标 准 是 EN50129 : 2003 的 官 方 英 文 标 准 . 它 代 替 了 被 撤 回 的 DD ENV50129:1999 标准. GEL/9 技术委员会委托英国参与了它的准备,铁路电子技术应用组织即 GEL/9/1 子委员会,信号和通信,职责是: -帮助调查人理解文章; -提出可靠的欧洲委员会的要求来分析或者提出改进意见,并保证英国的利益; -关注相关的国际和欧洲发展,并在英国发布它们; 一系列的组织给子委员会提出的意见可在它的秘书处获得. 交叉的参考 本英国标准应用国际的或者欧洲的关于本文件的出版物,它可能在国际标准相 应的索引 部分的 BSI 目录中找到, 或者

3、是使用 BSI 电子目录的或者英国标准在线的 查找工具. 它的出版并不意味着包括一个合同所有必要条款, 英国标准的使用者有责任正确 使用该标准. 依从一个欧洲标准并不是指本人免除法律责任. 依从一个欧洲标准并不是指本人免除法律责任. 总共的页数 该文档包括前封面,内前封面,EN 名称页,2 到 94 页和内后封面和后封页. 在文档最终出版后,BSI 的版权日期在文档中指出. 出版后的修订 修订次数 日期 内容 2 EN 50129:2003 英文版本 铁路应用- 铁路应用- 通信,信号和过程控制系统- 通信,信号和过程控制系统- 信号的安全相关电子系统 信号的安全相关电子系统 这个欧洲标准在

4、2000-11-01 被 CENELEC 提出,CENELEC 的成员应该遵守 CEN/CENELEC 国际标准, 它规定了该欧洲标准在无修改的情况下作为国际标准的一 些情况. 最新的目录和关于国际标准的相关参考数目可以在中心秘书处或者任何 CENECEC 的成员那里获得. 这个欧洲标准有三个官方版本(英,法,德) .CENECEC 的成员可将一种版本 译为他们的语言,并且通知中心秘书处,这样有作为官方版本的同样地位. CENELEC 欧洲电工标准协会 3 EN 50129:2003 前言 本欧洲标准由 SC9XA 准备, 属于技术委员会 CENECEC TC 9X 铁路电子和电子 设备的通信

5、,信号和处理系统. 属于正式文件文本的草稿在 2002-11-01 作为 EN50128 由 CENECEC 提出. 这个欧洲标准取代了 ENV50129:1998 这个欧洲标准是在 CENELEC 的授权下通过欧洲委员会和欧洲自由贸易组织, 96/48/EC 指示的本质要求来准备的. 下面是确定的日期, -通过国际标准的出版或批注,这个标准作为国际标准来实施的最近日期 2003-12-01 -与这个标准冲突的国际标准排斥在外的最近日期 2005-11-01 标注标准化的附件是标准的一部分 标注非标准的附件仅供参考. 该标准中,附件 A,B,C 是标准化的,附件 D,E 是非标准化的 4 EN

6、 50129:2003 内容 引言.5 1 范围.7 2 合乎规范的参考.7 3 定义.8 3.1 定义.9 3.2 参考.9 4 标准的整体框架.11 5 安全接受和承认的条件.12 5.1 安全情形.12 5.2 质量管理根据.12 5.3 安全管理根据.12 5.4 功能和技术安全根据.12 5.5 安全接受和承认.12 附件 A(规范)安全完善度等级13 A.1 引言.13 A. 2 安全要求.13 A. 3 安全完善度 A. 4 安全完善度要求分配 A. 5 安全完善度等级 附件 B(规范)详细的技术要求 B.1 引言 B.2 正确的功能操作的保证 B.3 错误的影响 B.4 对外部

7、影响的操作 B.5 有关安全应用的条件 B.6 安全质量测试 附件 C(规范)硬件组成错误模式的鉴定 C.1 引言 C.2 常规程序 C.3 完整电路程序(包括微处理器) C.4 固有的物理性质组成程序 C.5 有关组成错误模式的常规信息 C.6 附带的常规信息,有关固有物理性质的组成 C.7 有关固有物理性质的组成的特殊信息 附件 D(情报)补充技术信息77 D.1 引言.77 D.2 完成物理内在独立性.77 D.3 完成物理外在独立性. .78 D.4 单个错误分析方法的例子.79 D.5 多个错误分析方法.80 附件 E(情报)为系统错误和控制随机及系统错误,为与安全相关的电子系统传输

8、信号 制定了技巧和方法85 5 EN 50129:2003 参考书目94 1 CENELEC 铁路应用标准的主要范围.8 2 EN50129 的结构.15 3 安全事例结构.17 4 系统生命周期举例.19 5 设计和系统生命周期有效部分举例21 6 独立性排列22 7 技术安全报告结构26 8 安全性承诺和安全性批准过程28 9 安全性事例/安全性批准间独立性举例29 A1 安全要求和安全完整性.30 A 2 全部过程回顾32 A 3 风险分析过程举例33 A 4 有关系统界限危险的定义34 A5 危险控制过程举例.36 A 6 解释故障和补救次数37 A 7 由 FTA 处理的功能独立性3

9、8 A 8 安全完整性水准和技巧间的关系40 B.1 影响项目独立性的因素46 B.2 检测和否定单个错误49 D.1 错误分析方法举例81 A1 安全完整性水准表.41 表 C.1 电阻器61 表 C.2 电容器.62 表 C.3 电磁组件.63 表 C.4 二极管.66 表 C.5 晶体管.67 表 C.6 控制整流器.69 表 C.7 过负荷干扰抑制器.71 表 C.8 光电子组件.72 表 C.9 过滤器.73 表 C.10 内部组件.74 表 C.11-保险75 表 C.12-开关和按钮75 表 C.13-电灯75 表 C.14-电池75 表 C.15-变送器/传感器(不包括内部电路

10、)76 表 C.16-集成电路76 表 D.1-在大规模集成电路通过周期性在线测试的手段来检测故障的 措施的例子82 表 E.1-安全计划和主动的质量保证.86 表 E.2-系统要求的技术规格87 表 E.3-安全组织87 表 E.4-系统/子系统/设备的建构88 6 EN 50129:2003 表 E.5-设计特色89 表 E.6-故障和危险分析的方法90 表 E.7-系统/子系统/设备的设计和研发91 表 E.8-设计的阶段性文档91 表 E.9-系统和产品设计的鉴定和确认92 表 E.10-应用,运行和维护93 7 EN 50129:2003 前言 本标准是铁路信号领域内定义电子安全系统

11、认可和支持要求的第一个欧洲标准. 目前,国际上存在的语词有关的只有国际铁路联合组织(UIC)提出的整体建议和一 些国家提出的互不相同的建议. 针对信号的电子安全系统包括硬件和软件两部分.要安装完整的安全系统,必需 考虑系统整个生命周期中的两个部分, 即对硬件安全的要求和在标准上对整个系统定 义的要求,期于要求在 CENELEC 标准上有要求. 欧洲铁路机构和欧洲铁路工业在发展一种基于一般标准并能够相互兼容的铁路 系统. 因此, 对于系统安全支持方面和不同国家铁路机构要求方面横向认可是必须的. 此文件就电子系统在铁路信号方面安全认可与支持的欧洲通用的基础. 横向认可的目的在于一般的支持,不是特殊

12、的应用.当它成为一个 EN 时公众在 有关铁路信号电子安全系统的欧洲摄取内的获得将会关系到这个标准. 本标准包括主要部分(第一章到第五章)和附录 A,B,C,D,E.在此标准中 主要部分和附录 A,B,C 中定义的要求是规范的,而附录 D 和 E 是非正式的. 本标准和 EN50126 (铁路装置 RAMS) 中相关的章节有关联. 本标准和 EN50126 都是基于系统的生命周期和 EN615081.在涉及到铁路通信信号和外部系统时, EN615081 被 EN50126/ EN50128/ EN50129 取代了.买组这些标准的要求将来遵守 未评价的 EN615081 是足够的. 因为标准是

13、关于安全系统的支持所显示出来的现象, 所以它使生命周期的行为特 殊化,这些行为需要在认可阶段之前完成,随之而来的是额外的计划行为.对整个生 命周期的安全检测就是这样被要求的. 本标准是关于显现出来的现象,除了认为是合适的地方,它没有规定谁将执行必 须的工作,因为这在不同环境下是不相同的. EN50128 定义了包括可编程电子器件和软件附加条件的安全系统. EN501591 和 EN501592 定义了对安全数据通信的额外要求. 8 EN 50129:2003 1 范围 本标准适用与铁路信号设备上用的电子安全系统(包括子系统和设备) .图 1 表 示了本标准的范围和它与其他 CENELEC 标准

14、的关系. 本标准适用与所有的铁路信号安全系统,子系统及设备.然而,EN50126 中定义 的事故分析和危险估计程序和本标准对于所有的铁路信号系统, 子系统及设备是必须 的安全要求. 如果分析结果显示 没有安全要求(例如:这种情况下是不安全的) ,并且结论没 有修改行为后来变化的结果,本安全标准就会停止使用. 分类,设计,建设,安装,认可,操作,维护和修改及扩展等功能也适用与完整 系统中的个人子系统和设备.附录 C 包含了和电子硬件部分相关的程序. 本标准又适用与一般的子系统和设备(独立的使用和某种特殊的使用) ,也可在 系统,子系统,设备上有特殊的使用.本标准不适用与现存的系统,子系统和设备(

15、例如在本标准之前已经被接受的系 统, 子系统和设备) 然而, 只要合乎实验性, 本标准也被用来修改或扩展现存的系统, 子系统和设备. 本标准主要用于铁路信号传输设备的专门设计和加工的系统,子系统及设备.作 为信号传输安全系统的一部分,如果现实允许,也可被用于真体的构思或一些工业设 备(如:能源的供应,调配等) .即使在最小限度时,可根据显示,设备或者依赖于 安全或者依赖于与安全相关的这些功能. 本标准适用于铁路信号传输系统功能上的安全. 它不是处理个人的职业上的健康 和安全,这一课题在其他的标准上有说明. 2 参考标准 欧洲标准参考了其他出版物里的更新后未更新的部分. 这些标准参考在本文适当

16、的地方被应用,下面列出了被参考的出版物.对于更新过的参考,后来的修订当需要 的时候也被欧洲标准引用.没有更新过的参考,出版物最新的版本有所提及(包括修 改的部分) . 9 EN 50129:2003 注意:附加的非正式的参考在目录里. EN50121 系列 EN501241 需求. EN501242 EN501251 备. EN501253 EN 50126 和说明. EN 50128 EN 50155 EN 501591 铁路应用通信,用于铁路控制和系统保护的信号处理系统 铁路应用电气设备在 rolling stock 上的应用. 铁路应用通信, 信号处理系统第一部分: 在闭环传输系统 中与

17、安全相关的通信 EN 501592 铁路应用通信, 信号处理系统第二部分: 在开环传输系统 中与安全相关的通信 EN 615081 电气,电子,可编程的安全电气设备系统第一部分:主要需求 (IEC61508) IEC 60664 系列 在低电压系统的绝缘调配. 铁路应用环境需求第三部分:信号传输与通信设备. 铁路应用可靠性,可用性,可维护性和安全性(RAMS)规范 铁路应用绝缘调配第二部分:过电压及其先观保护. 铁路应用环境需求第一部分:board rolling stock 上的设 铁路应用电磁兼容 铁路应用绝缘调配第一部分:电力电子设备绝缘的基本 3 定义和缩略词 3.1 定义 在本标准中

18、下面的定义将被用到. 3.1.1 故障 系列故障. 3.1.2 评估 分析设计部门和产业部门生产的产品是否满足规定的要求,并形成一套 判别产品是否按其预定功能进行工作,这个过程称为评估. 10 导致死亡,受伤,系统或设备损失或者破坏环境的无意中的故障或一 EN 50129:2003 3.1.3 授权书 按规定使用产品的正式许诺. 3.1.4 可用性 一个产品在给定一段时间,在一定条件下按要求实现功能的能力,以及 在所需求的外部资源被提供的前提下,其在给定的一段时间执行的能力. 3.1.5 可能 可能发生的. 3.1.6 偶然性分析 分析一种专门的危害存在的原因. 3.1.7 普通偶然故障 一些

19、具有独立功能的设备失效. 普通 3.1.8 结果分析 分析在一个危害发生后,可能出现的情况. 3.1.9 图表 表明硬件的结构和相互联系以及系统软件的功能. 3.1.10 横向认可 一个产品被一个权威乃至相关欧洲标准认可并且被最高权威认可, 这样一种程度 3.1.11 设计 计方法. 3.1.12 设计权威 此体系负责开发一套设计方法的公式去执行规定的需求并遇见随 这是一种为了将规定需求通过分析和转换,使其满足可靠性要求的设 后的发展,使一个系统在预定的环境中工作 3.1.13 发送 3.1.14 设备 3.1.15 误差 这是一种用多种互不相同的方法来实现全部或部分特殊要求的方式 起作用的物

20、理装置 与预先设计结果相偏离,并会导致系统发生副作用或失效. 这个概念是包含在一个产品的设计当中,如产品看似处于安全 3.1.16 失效安全 失效 状态,但实际上已经失效了. 3.1.17 失效 偏离系统规定的行为,是系统错误或误差导致的结果. 3.1.18 错误 一种非常规导致系统失效的条件,一个错误是随即的或有规律发生的. 3.1.19 错误发现时间 从错误发生的一瞬间到被发现为止的异端时间 3.1.20 功能 一个产品执行其规程的行为模型 3.1.21 危害 导致事故的情况 3.1.22 危害分析 坚定危害分析及其产生原因, 以及违反法制危害可能发生的要求和 在一定程度上危害所造成的后果

21、 3.1.23 危害记录 一个包含所有安全管理活动,危害坚定,决策生成的文档,用于存 档和参考 3.1.24 认为错误 导致系统发生副作用的人的行为(失误) 3.1.25 执行 为了将规定的设计转化为物理的实现而进行的活动 11 EN 50129:2003 3.1.26 独立(功能) 由于机械具有的多功能而影响到正确操作,从而导致系统故障 独立(功能) 或突发故障的机械装置中寄托出来. 3.1.27 独立(人工) 独立(人工) 3.1.28 独立(物理) 独立(物理) 从需要相同智力,商业或管理试题中解脱出来. 从由于多功能而影响正确 操作几导致系统,副系统,设备 发生突发故障的机械装置中解脱

22、出来. 3.1.29 个体风险 3.1.30 维护性 一个仅仅有关独立个体的风险. 对于给定一种积极的维护行为,其在给顶使用条件的项目中的可行 性,可以在相关条件和使用相关程序和资源的间隙中进行. 3.1.31 维护 所有技术和管理行为的综合,包括监督行为,企图保持一个项目或将其 存储,是一种可以表现其需求功能的状态. 3.1.32 可行性 可执行性. 3.1.33 负面性 当发现一个危险的错误而破坏安全的状态. 3.1.34 负面时间 负面时间 3.1.35 生产 3.1.36 质量 从一个危险错误的发生到结束, 整个安全状态被破坏的时间跨度. 与形成满足规定需求的一种方法相互关联的元件组装

23、. 使用者对于一个产品属性的看法. 通过安全操作铁路系统而形成的完整的安全权威体系. 一个系统能承受危险的突发故障的限度. 3.1.37 铁路权威 3.1.38 突发故障强度 3.1.39 突发故障 无法预见发生的故障. 3.1.40 可靠性 提供一种或多种通常是相同的措施,来提供对故障的承受. 3.1.41 可靠性 一套装置在给定条件下和规定时间内执行特定功能的能力. 3.1.42 修理 3.1.43 风险 将系统,副系统及设备在失效后恢复即定状态的重建方法. 发生特定危害的频率,可能性及后果的集合体. 一种持续安全的状态. 不发生一定程度上的重大风险. 3.1.44 安全状态 3.1.45

24、 安全度 3.1.46 安全度认可 最后一个使用者对产品安全状态的认可 3.1.47 安全度规定 定. 3.1.48 安全度权威 负责对与系统相关的安全操作发表授权. 当产品已经执行一系列先决条件后必须对安全状态进行权威认 3.1.49 安全库 报名产品遵从规定安全需要的文档. 3.1.50 安全度 在运行的各个阶段各种操作环境及所有的状态条件下,安全相关系 12 EN 50129:2003 统达到安全功能的能力. 3.1.51 安全度标准 能的数字. 3.1.52 安全度生命周期 对于安全有关的系统的生命周期中执行的一系列动作 3.1.53 安全度管理 3.1.54 安全计划 确保过程被安全

25、执行的结构. 如何达到工程的安全需求的执行细节. 在考虑系统错误的前提下,一个表明系统自我满足规定安全功 3.1.55 安全流程 对于一个产品所有安全要求进行鉴定和满足的一系列步骤. 3.1.56 相关安全度 对安全度负责. 3.1.57 命令 强制执行的. 3.1.58 建议 被提议的. 3.1.59 信号系统 由于铁路控制和保护火车正确运行的专门的一类系统. 3.1.60 压力承受 当一个产品执行特定功能时所承受的大量外部影响的程度. 3.1.61 副系统 系统中执行特殊功能的一部分. 3.1.62 系统 通过设计,使一系列副系统相互作用而组成的. 3.1.63 系统失效度 系统从危害性误

26、差和原因中恢复的能力. 3.1.64 系统错误 对于一个系统,在规范,设计,组构,安装,执行或维护中内部发 生的错误. 3.1.65 系统生命周期 活动. 3.1.66 技术安全报告 对系统,副系统及设备设计的安全进行论证的报告. 3.1.67 有效性 一系列通过测试和分析来表明产品满足各方面安全规范的行为. 3.1.68 鉴定 一种通过分析和测试,在系统生命周期的每一个阶段,对所分析和测试 的阶段满足前一阶段的输出,和该阶段按规定输出进行坚定的行为. 从一个系统开始构造到该系统失效这段时期内进行的一系列 3.2 缩略词 下面是该标准中用到的缩略词: 3.2.1 3.2.2 AC ATP 交流

27、电 列车自动保护 13 EN 50129:2003 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10 3.2.11 3.2.12 3.2.13 3.2.14 3.2.15 3.2.16 3.2.17 3.2.18 3.2.19 3.2.20 3.2.21 3.2.22 3.2.23 3.2.24 3.2.25 3.2.26 3.2.27 CENELEC CCF DC EMC EMI EN ESD FET FMEA FR FTA H HW IEC IRSE ISO RAMS SCR SDR SDT SIL SW THR UIC VDR 欧洲电气标准

28、委员会 常见故障原因 直流电 电磁相容性 电磁干扰 欧洲标准 静电释放 场效应管 故障建模和分析 故障率 故障树分析 危害 硬件 国际电工技术委员会 铁路信号工程机构 国际标准组织 可靠性,可行性,维护性和安全性 可控硅校验器 安全下降率 安全下降时间 安全度标准 软件 危害可承受度 国际铁路联盟 电压电阻器 4 该标准所有框架 欧洲标准中第五条款要求采用一个有规律的,有文挡的 -质量管理记录 14 EN 50129:2003 -安全管理记录 -功能和技术安全记录 -规定安全度 附录 A 定义安全度标准的使用和结实. 附录 B 包含安全相关 的系统,副系统及设备的技术细节要求. 附录 C 包含

29、坚定可修复硬件故障的步骤和信息的方法. 附录 D 包含附加的技术信息. 附录 E 目录 包含用于安全度各个标准的技术,方法目录. 包含在执行着套标准期间所需查询文档的说明. 5 为保证安全所允许的条件 5.1 安全情况 该标准定义的条件应满足为保证与安全有关的电气铁路系统, 副系统及设备按其 预期目的可以被足够安全的应用. 在该标准中有关的部分是以.下三个标题为基础的,分别称为: -5.2 质量管理记录 -5.3 安全管理记录 -5.4 功能和技术安全记录 在与安全有关的系统可以足够安全的被使用之前,所有这些条件都应达到系统, 副系统及设备要求的水平. 已经与这些条件相符合的文档记录应当被包含

30、进一个安全坚定文档,即安全库. 安全库组成所有遵从相关安全权威的文档记录的一个部分,为了得到一个一般产品, 一组应用或一个特殊应用的安全要求规范.对于安全规范过程的解释,见该标准的 5.5 部分. 安全库包含系统,副系统及设备的安全文档记录,可以分为如下结构: 系统(或副系统及设备) 第一部分 系统(或副系统及设备)定义 应明确定义或表明安全库所指的系统,副系统及设备,包括类型编号,所有需求 的修改权限,设计和应用性的文档. 15 EN 50129:2003 第二部分 质量管理报告 该部分包括质量管理记录,如该标准中 5.2 部分提到的 第三部分 安全管理报告 该部分包括安全管理记录,如该标准

31、中 5.3 部分提到的 第四部分 技术安全报告 该部分包括功能和技术安全的记录,如该标准中 5.4 部分提到的 第五部分 相关安全库 该部分包括与安全库所依靠的所有副系统及设备有关的安全库 同时应该表明所有与安全有关的应用条件都应规定每一个相关的副系统及设备的安 全库要么是在主安全库中执行,要么在主安全库中与安全库有关的应用条件下执行. 第六部分 结论 该部分应简要概括在安全库先前部分的记录,并讨论相关系统,副系统及设备是 否足够的安全,是否遵从专业的应用条件. 安全库的结构用图表 3 说明. 明确规定大量细节的记录和辅助类文档不需要包含进安全库和它的子库, 也不需 要提供明确的用于此类文档的

32、解释, 同时也不需要提供基本概念的应用和所采用的途 径. 5.2 质量管理记录 安全规范的第一个条件就是系统,副系统及设备的质量应得到保证,并且还应在 其整个生命周期中被一套有效的质量管理系统控制. 文档记录是该要求在质量管理报 告中的表现,它形成了安全库中的第二个部分. 质量管理系统目的是使在系统生命周期的每个阶段的人为故障最小化, 同时也减 小系统,副系统及设备中系统故障的发生. 质量管理系统应当在系统,副系统及设备整个生命周期中应用,如定义的 EN50126. 一个系统生命周期的例子(在 EN50126 标准下) ,由该标准的图表 4 描述 EN50129:2003 注释:下面是一个有关

33、质量管理体系和质量管理报告所包括的几个方面的例子. 组织的结构 质量计划和步骤 16 EN 50129:2003 需求说明书 控制设计 检查和复查设计 工程应用 采购和制造 产品鉴定和跟踪 管理和存储 检查 不一致性和正确的行动 包装和发送 安装和授权 操作和维护 质量管理和售后服务 文档和记录 配置的管理或更改控制 操纵指导 质量审计和使用情况调查 运行状况 遵从质量管理的要求是保证 1 到 4 完全安全水平所必需的(见兼并 A 中对完全 安全水平的解释) .然而,记录的深度和辅助类文档的扩展应适应系统,副系统及设 备的完全安全水平(见表格 E.1 和表格 E.8 中对每个完全安全水平所需记

34、录的结实). 完全安全 0 水平(不安全)的要求不在该安全标准所探索的范围. 17 EN 50129:2003 5.3 安全管理措施 5.3.1 概述 为了保证安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件之二 是安全管理措施,他应该与 EN50126 中所到的可靠性,可用性,可维护性和安全性 的管理过程相一致,目的是进一步减少和安全相关的认为失误.进而减少系统故障风 险.下面 5.3.2 到 5.3.13 就简要的介绍了安全管理过程因素. 在安全管理报告中将提到有关安全管理过程中的各素都遵从生命周期概念的书 面证据,即是安全案例的第三部分,这其中不包含大量的详细的证据和提供的文

35、献, 只是一些简单的索引. 安全管理措施的运用对于安全完整性水准的 1 到 4 来说是强制性的. (参考安全 完整性水准的解释附录 A)然而,所提供的证据的深度和所支持文献的广度对于安全 的系统/子系统/仪器设备的安全完整性水准来说应该是合适的.安全完整性水准为 0 的(认为不安全)是不符合安全标准的. 为了证实安全完整性所提到的标准对每一种特殊的情形都是适用的.那么在 EN50126 中定义的危害分析和风险评估过程都是必要的. 这也包括那些分析和评估认 为安全完整性水准认为是 0 的情况.然而,一旦得出这样的结论, (也就是说这种情 况是不安全的) ,那么,这种安全标准就不再适用. 5.3.

36、2 安全的生命周期 这种安全管理过程包括很多阶段和行为,因此形成了安全生命周期.这应该与 EN50126 中提到的系统生命周期相一致,即是图 4 所显示标准的一种复制.系统生 命周期的设计和有效性部分可以看作是顶部底部和底部顶部两个阶 段. (也就是 V 形)如图 5 所示. 5.3.3 安全机构 安全管理过程应该在安全机构的有效指导下执行. 安全机构应该任用那些被指任 为扮演特殊角色的有能力的人来组成.对这些人进行包括技术知识,认证,相关经验 和正确的训练的能力的评估和记录应该根据大意公认的标准来执行. 对于所有安全完 整性水准的所要求的安全机构知道下的不同角色之间应该有一个相互独立的度,

37、正如 图 6 和表 E.3 所示. 18 EN 50129:2003 5.3.4 安全计划 在生命周期的开始应该指定一个安全计划, 这个计划应该体现整个生命周期安全 管理的结构,安全相关的活动和论证的转折点.还包括每隔一定间隔进行安全计划复 查的要求.如果对原始系统/子系统/仪器设备进行一系列的改动或增加的话,我们就 应该及时更新或复查安全计划.如果有类似这样的变动,那么在生命周期的恰当的位 置对变动所引起的包括硬件和软件安全方面的影响就应该被重新评估. 参照表 E.1 对于每一个安全完整性水准安全计划所作的指导 安全计划应该处理系统/子系统/仪器设备的各个方面,包括硬件和软件.对于软 件的各

38、个方面问题在 EN50128 中已经论述过.安全计划应该包括安全案例计划,他 将体现最终安全案例的预期结构和重要内容. 5.3.5 危害日志 在整个生命周期过程中应该创建并维护一个危害日志,正如在 EN50126 所解释 的, 它应该包括一系列公认的危害, 还有对于每一种危害的风险分类和风险控制信息, 如果对系统,子系统或仪器设备有任何修改和变动,危害日志都应该被升级. 5.3.6 安全要求 对每一种系统/子系统/仪器设备的特定的安全要求包括功能安全要求和安全完整 性要求,这些要求应该在安全具体方面里面明确标识和记录,可以通过 EN50126 中 提到的这几个方面完成: 1.危害标识和分析 2

39、.风险评估和分类 3.安全完整性水准的分配 附录 A 中包括了一些铁路电子系统的安全完整水准的信息. 注: 安全要求可能包括在系统/子系统/仪器设备功能要求中或可以被写作为独立的 文档,参照表 E.2 对与每一条安全完整性水准在系统需求方面的指导. 5.3.7 系统/子系统 仪器设备的设计 系统 子系统/仪器设备的设计 子系统 生命周期的这一阶段应该做这样一种设计,此设计将完成特定的操作和安全 要求,我们将运用顶部底部的这样的一套方法且有严格的控制和复查文档. 特定情况下,通过软件需求和软件/硬件整合而再现的软硬件之间的关系应该得到 严格的管理.标准 EN50128 中也有所提及.表 E.7

40、给出了对每一种安全完整性水 准来说系统/子系统/仪器设备在设计和进展方面的指导. 19 EN 50129:2003 5.3.8 安全复查 在生命周期的适当阶段应该做一下安全复查, 这些复查应该在安全计划中明确规 定,在复查同时要记录结果,如果对系统,子系统或器设备有任何改动或扩展,那么 我们都应该对其进行复查. 5.3.9 安全核对和证实 安全计划应该包括或索引一些这样的计划, 他们能核对生命周期的每一个阶段都 能满足在先前那些阶段中提到的具体的一些安全要求, 并且能证实已经完趁个的系统 /子系统/仪器设备是与原始的安全性的具体要求相对应的. 我们应该去完成这些步骤并且将其结果做一详细记录,

41、包括正确的测试和安全分 析,在接下来的而已系列的对系统/子系统/仪器设备的变动和增加中应该正确的重复 以上操作. 对核对人和确认人来说,独立的必要性的度应该与仔细检查下的系统/子系统/仪 器设备的安全完整性水准相一致,可以参照图 6 和表 9,对于每一种安全完整性水准 的核对和证实的技术/方法的指导. 依照安全局的见解,评估员应该是供应方组织或是顾客组织的成员,但在这些情 况下,评估员应该是 1.经安全局授权的 2.从项目团队中完全独立出来的 3.与安全局完全沟通的 5.3.10 安全判断 使得系统/子系统/仪器设备满足安全接受所规定的条件的措施应该以一安全案例 的形式出现在结构完整的安全判断

42、文挡中,参照 5.1 中所解释的. 系统/子系统 仪器设备的移交 5.3.11 系统 子系统/仪器设备的移交 子系统 在将系统/子系统/仪器设备移交给铁路当局之前,应该满足 5.5 中规定的安全接 受和安全论证条件,并且同时递交安全案例和安全评估报告. 5.3.12 运行和维护 随着移交的进行, 我们还应该附加安全计划和技术安全报告 (安全案例的一部分) 的第五部分所规定的手续,支持系统和安全监管.在系统运行的过程中,人们可能会 提出各种理由而要求对系统做出改动.当然这些理由不一定安全,我们必须通过索引 一些安全文档的相关部分来评估一下这些要求改变的请求对安全方面的影响. 当这些 20 EN

43、50129:2003 要求改变的请求会引起一些变动, 并且这些变动又将影响此系统或相关系统或周围环 境的安全时, 我们应该运用安全生命周期的正确部分以确保所实施的改变可以降低安 全水准. 参照表 E.10 对每一种安全完整性水准在应用,运行和维护方面的指导. 5.3.13 停用设备并加以处理 在系统运行周期的最后阶段,我们必须停止使用该设备并且进行最后的清理,这些 操作必须与安全计划和技术安全报告(安全案例的一部分)的第五部分所规定的操作 相一致. 5.4 功能和技术措施 除了满足 5.2 和 5.3 中提到的质量和安全管理的措施之外, 要使系统/子系统/仪器 设备的预期应用能被安全的接受,那

44、么还要满足这第三个条件,也就是功能和技术安 全措施,这其中包括为了满足设计的安全要求所提到的技术措施,这一措施应该在安 全技术报告中记录下来, 即是系统/子系统/仪器设备的安全案例的第四部分, 参照 5.1 技术安全报告对与安全完整性水准的 1 到 4 来说是强制执行的(参照安全完整性 水准的附录 A) ,然而这些信息的深度和做支持文献的广度,对于仔细检查下的系统/ 子系统/仪器设备的安全完整性水准应该是相吻合的,对于安全完整性水准为 0 的请 求是不在安全标准范围之内的. 技术安全报告应该对技术原则做出解释,这些技术原则确保了技术的安全性,包 括所有支持的措施(如设计原理和计算,具体测试和结

45、果及安全分析) 我们对技术安全报告做了如下标题: 第一部分 概述 这部分将概述此设计,包括对安全所依赖的技术安全原理的概要,以及根据 标准使系统/子系统/仪器设备安全内容得到扩展. 这部分也将提到作为设计的技术安全基础的标准(及他们的颁布)如果对已经投 入运行的或标准生产的或在发展的完成阶段时的仪器设备进行变动或增加.作为 一个例外,被用作原始设计标准的颁布可以作为一个基础,这些已经在原始设备 的论证中被接受了,这些在以下情况下可能会得到应用.即当考虑到新标准的颁 布实施可能要求对已经存在设备的进一步改动或者可能招致变化所带来的不合理 的高费用时.以下将给出对于以上陈述的理由. 21 EN 5

46、0129:2003 第二部分 确保正确的功能操作 根据特殊规定的操作和安全的要求,这一部分将演示在无故障的正常情况下 (即不存在故障)对系统/子系统/仪器设备进行正确操作的必要措施. 包括以下方面,在 B.2 中有更详细的说明 2.1 2.2 2.3 2.4 2.5 2.6 系统结构的描述(参考 B.2.1 和表 E.4) 相互交叉操作的定义(参考 B.2.2) 系统需求的实施(参照 B.2.3) 安全需求的实施(参照 B.2.4) 确保正确的硬件功能(参照 B.2.5) 确保正确的软件功能(参照 B.2.6) 第三部分 故障的影响 这部分将描述系统/子系统/仪器设备继续满足特定的安全需求.包

47、括在随机硬件 故障下数量上能达到一定的安全目标. 另外,尽管在 5.2 和 5.3 中规定了质量和安全管理过程,但系统故障仍存在.这 部分将描述采取一些技术措施使将来风险降低到一个可接受的水准. 这部分也将说明在安全完整性水准低于整个系统的也包括水准为 0 的任何一个 系统/子系统/仪器设备产生的故障,将不会降低整个系统的安全性. 这部分将包括以下题目, 中有更详细的需求描述. E.5 表 E.6 中也有所提及. B.3 表 3.1 3.2 3.3 3.4 3.5 3.6 单一故障的影响(参照 B.3.1) 项目独立性(参照 B.3.2) 单一故障检测(参照 B.3.3) 检测后应采取的措施(

48、参照 B.3.4) 多个故障的影响(参照 B.3.5) 防御系统故障(参照 B.3.6) 额外影响的操作 第四部分 这部分将描述遇到在系统需求中所提到的额外影响时系统/子系统/仪器设备 1.继续履行它的具体操作需求 2.继续履行它的具体安全需求(包括存在故障情况下) 安全案例只有在额外影响的特定范围内是有效的, 正如在系统需求中所定义的. 在这些限定之外不能确保安全,除非实施额外的特殊措施用来支持特定的额外操作 22 EN 50129:2003 的方法将得到解释和判定. 更详细的信息可参照 B.4 第五部分 有关安全的应用条件 这部分将强调在系统/子系统/仪器设备的应用中应遵循的法则, 条件和

49、限定. 这 也包括一些相关的子系统和仪器设备的安全案例中所包含的应用条件 更详细的信息可参照 B.5,同时在表 E.10 中也有所指导 第六部分 安全资格审查 这部分将演示在安全资格审查的操作条件下的一些成功的例子.可参照 B.6 技术安全结构可参照图 7 5.5 安全接受和论证 这部分定义了与安全相关的电子系统/子系统/仪器设备的安全接受和论证部分. 除了认为是合适的地方,其他地方并没有特殊强调应该由谁在每个阶段来做这项工 作,因为它是随着环境的变化而变化的. 5.5.1 概述 正如 5.1 所提到的.为了保证与安全相关的铁路信号电子系统/子系统/仪器设备 安全所必须满足的三个条件如下: 1

50、. 质量管理措施 2. 安全管理措施 3. 功能和技术安全措施 这三个条件已经在 5.2 和 5.3 和 5.4 中提到 正如 5.1 和图 3 所显示的,安全案例中应包括质量管理措施,安全管理措施和功能 技术安全措施 可以考虑安全案例的如下三种不同的分类: 1. 一般的产品安全案例(独立应用) 一般产品可用做各种不同的独立应用 2. 一般的应用安全案例(应用分类) 有相同功能的一般的应用可以划分为一类 3. 特殊的应用安全案例(特殊应用) 特殊的应用只能用做一种特殊的装置 有必要告诉大家的就是对于每一种特定的应用,无论是环境的条件还是应用的 23 EN 50129:2003 内容与一般的应用

51、条件相兼容这一点是必要的(参照 5.5.4) 在以上三种分类中,安全案例和获得安全论证程序的结构基本上是相同的.然 而,对于特定的应用也有附加因素:在这种分类中,对于系统的应用设计和它的实 际操作需要独立的安全论证(例如:生产,安装,测试和用于操作和维护的设施), 基于此,对于特定应用的安全案例应该分成以下两部分: 1.应用设计安全案例:这包括特定应用的理论设计的安全措施 2.实际操作安全案例:这包括特定应用的实际操作的安全措施 这两部分结构可见 5.1 和图 3 5.5.2 安全论证过程 在考虑安全论证的操作之前,应该做出一份系统/子系统/仪器设备的独立的安 全评估报告和安全案例.这样做是为

52、了进一步确保能达到安全的必要水准,且将结 果记录在安全评估报告中.这份报告应该对安全评估员决定如何设计才能使系统/ 子系统/仪器设备(硬件和软件)满足特定要求的做法进行解释,同时强调对系统/ 子系统/仪器设备的操作而言的一些附加条件. 像 EN50126 中所提到的安全评估的深度和对其操作的独立性的限度都是基于 风险分类的结果之上的. 为了增加可信度,安全评估员可能要求进行特定的测试. 整个文档的措施应该包括: 1. 系统(子系统/仪器设备)需求; 2. 安全要求; 3. 安全案例 包括: 第一部分:系统/子系统/仪器设备的规定 第二部分:质量管理报告(质量管理措施) 第三部分:安全管理报告(安全管理措施) 第四部分:技术安全报告(功能/技术安全措施) 第五部分:相关的安全案例(如果可能的话) 第六部分:结论 4. 安全评估报告; 根据安全案例中提到的满足安全接受的所有条件, 并且依照独立的安全评估结 果. 系统/子系统/仪器设备依法得到相关安全局的论证. 安全评估人员对论证可 24 EN 50129:2003 能会强制执行一些额外条件(暂时的或永久的) 对于一般性产品(即应用的独立性)和一般性应用(即应用的等级分