英國標(biāo)準(zhǔn).doc
《英國標(biāo)準(zhǔn).doc》由會(huì)員分享,可在線閱讀,更多相關(guān)《英國標(biāo)準(zhǔn).doc(69頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
英國標(biāo)準(zhǔn) BS EN 50129:2003 鐵路應(yīng)用- 通信、信號(hào)和過程控制系統(tǒng)- 信號(hào)的安全相關(guān)電子系統(tǒng) 國家前言 該英國標(biāo)準(zhǔn)是EN50129:2003的官方英文標(biāo)準(zhǔn)。它代替了被撤回的DD ENV50129:1999標(biāo)準(zhǔn)。 GEL/9技術(shù)委員會(huì)委托英國參與了它的準(zhǔn)備,鐵路電子技術(shù)應(yīng)用組織即GEL/9/1子委員會(huì),信號(hào)和通信,職責(zé)是: -幫助調(diào)查人理解文章; -提出可靠的歐洲委員會(huì)的要求來分析或者提出改進(jìn)意見,并保證英國的利益; -關(guān)注相關(guān)的國際和歐洲發(fā)展,并在英國發(fā)布它們; 一系列的組織給子委員會(huì)提出的意見可在它的秘書處獲得。 交叉的參考 本英國標(biāo)準(zhǔn)應(yīng)用國際的或者歐洲的關(guān)于本文件的出版物,它可能在“國際標(biāo)準(zhǔn)相應(yīng)的索引”部分的BSI目錄中找到,或者是使用BSI電子目錄的或者英國標(biāo)準(zhǔn)在線的“查找”工具。 它的出版并不意味著包括一個(gè)合同所有必要條款,英國標(biāo)準(zhǔn)的使用者有責(zé)任正確使用該標(biāo)準(zhǔn)。 依從一個(gè)歐洲標(biāo)準(zhǔn)并不是指本人免除法律責(zé)任。 總共的頁數(shù) 該文檔包括前封面,內(nèi)前封面,EN名稱頁,2到94頁和內(nèi)后封面和后封頁。 在文檔最終出版后,BSI的版權(quán)日期在文檔中指出。 出版后的修訂 修訂次數(shù) 日期 內(nèi)容 英文版本 鐵路應(yīng)用- 通信、信號(hào)和過程控制系統(tǒng)- 信號(hào)的安全相關(guān)電子系統(tǒng) 這個(gè)歐洲標(biāo)準(zhǔn)在2000-11-01被CENELEC提出,CENELEC 的成員應(yīng)該遵守CEN/CENELEC國際標(biāo)準(zhǔn),它規(guī)定了該歐洲標(biāo)準(zhǔn)在無修改的情況下作為國際標(biāo)準(zhǔn)的一些情況。 最新的目錄和關(guān)于國際標(biāo)準(zhǔn)的相關(guān)參考數(shù)目可以在中心秘書處或者任何CENECEC的成員那里獲得。 這個(gè)歐洲標(biāo)準(zhǔn)有三個(gè)官方版本(英,法,德)。CENECEC的成員可將一種版本譯為他們的語言,并且通知中心秘書處,這樣有作為官方版本的同樣地位。 CENELEC 歐洲電工標(biāo)準(zhǔn)協(xié)會(huì) 前言 本歐洲標(biāo)準(zhǔn)由SC9XA準(zhǔn)備,屬于技術(shù)委員會(huì)CENECEC TC 9X 鐵路電子和電子設(shè)備的通信,信號(hào)和處理系統(tǒng)。 屬于正式文件文本的草稿在2002-11-01作為EN50128由CENECEC提出。 這個(gè)歐洲標(biāo)準(zhǔn)取代了ENV50129:1998 這個(gè)歐洲標(biāo)準(zhǔn)是在CENELEC的授權(quán)下通過歐洲委員會(huì)和歐洲自由貿(mào)易組織、96/48/EC指示的本質(zhì)要求來準(zhǔn)備的。 下面是確定的日期, -通過國際標(biāo)準(zhǔn)的出版或批注,這個(gè)標(biāo)準(zhǔn)作為國際標(biāo)準(zhǔn)來實(shí)施的最近日期 2003-12-01 -與這個(gè)標(biāo)準(zhǔn)沖突的國際標(biāo)準(zhǔn)排斥在外的最近日期 2005-11-01 標(biāo)注“標(biāo)準(zhǔn)化”的附件是標(biāo)準(zhǔn)的一部分 標(biāo)注“非標(biāo)準(zhǔn)”的附件僅供參考。 該標(biāo)準(zhǔn)中,附件A,B,C是標(biāo)準(zhǔn)化的,附件D,E是非標(biāo)準(zhǔn)化的 內(nèi)容 引言……………………………………………..…………………………………..5 1范圍…………………………………………………….…………………..…….7 2合乎規(guī)范的參考…………………………………..…….…….………………….7 3定義…………………………………………………………..…………………..8 3.1定義……………………………………………………..……………….……..9 3.2參考………………………………………………………...…………………..9 4標(biāo)準(zhǔn)的整體框架…………………………………………….….………………..11 5安全接受和承認(rèn)的條件…………………………………...…..……….….……..12 5.1安全情形…………………………………………………………....……….…12 5.2質(zhì)量管理根據(jù)………………………………………………………………….12 5.3安全管理根據(jù)………………………………………………………………….12 5.4功能和技術(shù)安全根據(jù)………………………………………………………….12 5.5安全接受和承認(rèn)……………………………………………………………….12 附件A(規(guī)范)安全完善度等級(jí)…………………………………………………13 A.1引言…………………………………………………………………………….13 A. 2安全要求………………………………………………………….………….13 A. 3安全完善度 A. 4安全完善度要求分配 A. 5安全完善度等級(jí) 附件B(規(guī)范)詳細(xì)的技術(shù)要求 B.1引言 B.2 正確的功能操作的保證 B.3錯(cuò)誤的影響 B.4對(duì)外部影響的操作 B.5有關(guān)安全應(yīng)用的條件 B.6安全質(zhì)量測(cè)試 附件C(規(guī)范)硬件組成錯(cuò)誤模式的鑒定 C.1引言 C.2常規(guī)程序 C.3完整電路程序(包括微處理器) C.4固有的物理性質(zhì)組成程序 C.5有關(guān)組成錯(cuò)誤模式的常規(guī)信息 C.6附帶的常規(guī)信息,有關(guān)固有物理性質(zhì)的組成 C.7有關(guān)固有物理性質(zhì)的組成的特殊信息 附件D(情報(bào))補(bǔ)充技術(shù)信息………………………………………77 D.1引言…………………………………………………….…………77 D.2完成物理內(nèi)在獨(dú)立性…………………………………..…….…..77 D.3 完成物理外在獨(dú)立性……….. …..….…………………………..78 D.4單個(gè)錯(cuò)誤分析方法的例子………………………….….………...79 D.5多個(gè)錯(cuò)誤分析方法……………………………………………….80 附件E(情報(bào))為系統(tǒng)錯(cuò)誤和控制隨機(jī)及系統(tǒng)錯(cuò)誤,為與安全相關(guān)的電子系統(tǒng)傳輸信號(hào)制定了技巧和方法………………………………………………85 參考書目………………………………………………………………94 1 CENELEC鐵路應(yīng)用標(biāo)準(zhǔn)的主要范圍…………………………..8 2 EN50129的結(jié)構(gòu)…………………………………………………..15 3 安全事例結(jié)構(gòu)……………………………………………………..17 4 系統(tǒng)生命周期舉例………………………………………………..19 5 設(shè)計(jì)和系統(tǒng)生命周期有效部分舉例………………………………21 6 獨(dú)立性排列…………………………………………………………22 7 技術(shù)安全報(bào)告結(jié)構(gòu)…………………………………………………26 8 安全性承諾和安全性批準(zhǔn)過程]…………………………………...28 9 安全性事例/安全性批準(zhǔn)間獨(dú)立性舉例……………………………29 A1安全要求和安全完整性…………………………………………….30 A 2 全部過程回顧………………………………………………………32 A 3 風(fēng)險(xiǎn)分析過程舉例…………………………………………………33 A 4 有關(guān)系統(tǒng)界限危險(xiǎn)的定義…………………………………………34 A5 危險(xiǎn)控制過程舉例………………………………………………….36 A 6 解釋故障和補(bǔ)救次數(shù)………………………………………………37 A 7 由FTA處理的功能獨(dú)立性………………………………………...38 A 8 安全完整性水準(zhǔn)和技巧間的關(guān)系…………………………………40 B.1 影響項(xiàng)目獨(dú)立性的因素……………………………………………46 B.2 檢測(cè)和否定單個(gè)錯(cuò)誤………………………………………………49 D.1 錯(cuò)誤分析方法舉例…………………………………………………81 A1 安全完整性水準(zhǔn)表………………………………………………….41 表C.1 電阻器………………………………………………………………61 表C.2電容器……………………………………………………………….62 表C.3電磁組件…………………………………………………………….63 表C.4二極管……………………………………………………………….66 表C.5晶體管……………………………………………………………….67 表C.6控制整流器………………………………………………………….69 表C.7過負(fù)荷干擾抑制器………………………………………………….71 表C.8光電子組件………………………………………………………….72 表C.9過濾器……………………………………………………………….73 表C.10內(nèi)部組件…………………………………………………………..74 表C.11-保險(xiǎn)………………………………………………………………75 表C.12-開關(guān)和按鈕………………………………………………………75 表C.13-電燈………………………………………………………………75 表C.14-電池………………………………………………………………75 表C.15-變送器/傳感器(不包括內(nèi)部電路)……………………………76 表C.16-集成電路…………………………………………………………76 表D.1-在大規(guī)模集成電路通過周期性在線測(cè)試的手段來檢測(cè)故障的 措施的例子…………………………………………………………………82 表E.1-安全計(jì)劃和主動(dòng)的質(zhì)量保證…………………………………….86 表E.2-系統(tǒng)要求的技術(shù)規(guī)格………………………………………………87 表E.3-安全組織……………………………………………………………87 表E.4-系統(tǒng)/子系統(tǒng)/設(shè)備的建構(gòu)…………………………………………88 表E.5-設(shè)計(jì)特色……………………………………………………………89 表E.6-故障和危險(xiǎn)分析的方法……………………………………………90 表E.7-系統(tǒng)/子系統(tǒng)/設(shè)備的設(shè)計(jì)和研發(fā)…………………………………91 表E.8-設(shè)計(jì)的階段性文檔…………………………………………………91 表E.9-系統(tǒng)和產(chǎn)品設(shè)計(jì)的鑒定和確認(rèn)……………………………………92 表E.10-應(yīng)用,運(yùn)行和維護(hù)…………………………………………………93 前言 本標(biāo)準(zhǔn)是鐵路信號(hào)領(lǐng)域內(nèi)定義電子安全系統(tǒng)認(rèn)可和支持要求的第一個(gè)歐洲標(biāo)準(zhǔn)。目前,國際上存在的語詞有關(guān)的只有國際鐵路聯(lián)合組織(UIC)提出的整體建議和一些國家提出的互不相同的建議。 針對(duì)信號(hào)的電子安全系統(tǒng)包括硬件和軟件兩部分。要安裝完整的安全系統(tǒng),必需考慮系統(tǒng)整個(gè)生命周期中的兩個(gè)部分,即對(duì)硬件安全的要求和在標(biāo)準(zhǔn)上對(duì)整個(gè)系統(tǒng)定義的要求,期于要求在CENELEC標(biāo)準(zhǔn)上有要求。 歐洲鐵路機(jī)構(gòu)和歐洲鐵路工業(yè)在發(fā)展一種基于一般標(biāo)準(zhǔn)并能夠相互兼容的鐵路系統(tǒng)。因此,對(duì)于系統(tǒng)安全支持方面和不同國家鐵路機(jī)構(gòu)要求方面橫向認(rèn)可是必須的。此文件就電子系統(tǒng)在鐵路信號(hào)方面安全認(rèn)可與支持的歐洲通用的基礎(chǔ)。 橫向認(rèn)可的目的在于一般的支持,不是特殊的應(yīng)用。當(dāng)它成為一個(gè)EN時(shí)公眾在有關(guān)鐵路信號(hào)電子安全系統(tǒng)的歐洲攝取內(nèi)的獲得將會(huì)關(guān)系到這個(gè)標(biāo)準(zhǔn)。 本標(biāo)準(zhǔn)包括主要部分(第一章到第五章)和附錄A,B,C,D,E。在此標(biāo)準(zhǔn)中主要部分和附錄A,B,C中定義的要求是規(guī)范的,而附錄D和E是非正式的。 本標(biāo)準(zhǔn)和EN50126(鐵路裝置RAMS)中相關(guān)的章節(jié)有關(guān)聯(lián)。本標(biāo)準(zhǔn)和EN50126都是基于系統(tǒng)的生命周期和EN61508—1。在涉及到鐵路通信信號(hào)和外部系統(tǒng)時(shí),EN61508—1被EN50126/ EN50128/ EN50129取代了。買組這些標(biāo)準(zhǔn)的要求將來遵守未評(píng)價(jià)的EN61508—1是足夠的。 因?yàn)闃?biāo)準(zhǔn)是關(guān)于安全系統(tǒng)的支持所顯示出來的現(xiàn)象,所以它使生命周期的行為特殊化,這些行為需要在認(rèn)可階段之前完成,隨之而來的是額外的計(jì)劃行為。對(duì)整個(gè)生命周期的安全檢測(cè)就是這樣被要求的。 本標(biāo)準(zhǔn)是關(guān)于顯現(xiàn)出來的現(xiàn)象,除了認(rèn)為是合適的地方,它沒有規(guī)定誰將執(zhí)行必須的工作,因?yàn)檫@在不同環(huán)境下是不相同的。 EN50128定義了包括可編程電子器件和軟件附加條件的安全系統(tǒng)。 EN50159—1和EN50159—2定義了對(duì)安全數(shù)據(jù)通信的額外要求。 1 范圍 本標(biāo)準(zhǔn)適用與鐵路信號(hào)設(shè)備上用的電子安全系統(tǒng)(包括子系統(tǒng)和設(shè)備)。圖1表示了本標(biāo)準(zhǔn)的范圍和它與其他CENELEC標(biāo)準(zhǔn)的關(guān)系。 本標(biāo)準(zhǔn)適用與所有的鐵路信號(hào)安全系統(tǒng)、子系統(tǒng)及設(shè)備。然而,EN50126中定義的事故分析和危險(xiǎn)估計(jì)程序和本標(biāo)準(zhǔn)對(duì)于所有的鐵路信號(hào)系統(tǒng)、子系統(tǒng)及設(shè)備是必須的安全要求。 如果分析結(jié)果顯示 沒有安全要求(例如:這種情況下是不安全的),并且結(jié)論沒有修改行為后來變化的結(jié)果,本安全標(biāo)準(zhǔn)就會(huì)停止使用。 分類、設(shè)計(jì)、建設(shè)、安裝、認(rèn)可、操作、維護(hù)和修改及擴(kuò)展等功能也適用與完整系統(tǒng)中的個(gè)人子系統(tǒng)和設(shè)備。附錄C包含了和電子硬件部分相關(guān)的程序。 本標(biāo)準(zhǔn)又適用與一般的子系統(tǒng)和設(shè)備(獨(dú)立的使用和某種特殊的使用),也可在系統(tǒng)、子系統(tǒng)、設(shè)備上有特殊的使用。 本標(biāo)準(zhǔn)不適用與現(xiàn)存的系統(tǒng)、子系統(tǒng)和設(shè)備(例如在本標(biāo)準(zhǔn)之前已經(jīng)被接受的系統(tǒng)、子系統(tǒng)和設(shè)備)然而,只要合乎實(shí)驗(yàn)性,本標(biāo)準(zhǔn)也被用來修改或擴(kuò)展現(xiàn)存的系統(tǒng)、子系統(tǒng)和設(shè)備。 本標(biāo)準(zhǔn)主要用于鐵路信號(hào)傳輸設(shè)備的專門設(shè)計(jì)和加工的系統(tǒng)、子系統(tǒng)及設(shè)備。作為信號(hào)傳輸安全系統(tǒng)的一部分,如果現(xiàn)實(shí)允許,也可被用于真體的構(gòu)思或一些工業(yè)設(shè)備(如:能源的供應(yīng)、調(diào)配等)。即使在最小限度時(shí),可根據(jù)顯示,設(shè)備或者依賴于安全或者依賴于與安全相關(guān)的這些功能。 本標(biāo)準(zhǔn)適用于鐵路信號(hào)傳輸系統(tǒng)功能上的安全。它不是處理個(gè)人的職業(yè)上的健康和安全,這一課題在其他的標(biāo)準(zhǔn)上有說明。 2 參考標(biāo)準(zhǔn) 歐洲標(biāo)準(zhǔn)參考了其他出版物里的更新后未更新的部分。這些標(biāo)準(zhǔn)參考在本文適當(dāng)?shù)牡胤奖粦?yīng)用,下面列出了被參考的出版物。對(duì)于更新過的參考,后來的修訂當(dāng)需要的時(shí)候也被歐洲標(biāo)準(zhǔn)引用。沒有更新過的參考,出版物最新的版本有所提及(包括修改的部分)。 注意:附加的非正式的參考在目錄里。 EN50121系列 鐵路應(yīng)用——電磁兼容 EN50124—1 鐵路應(yīng)用——絕緣調(diào)配——第一部分:電力電子設(shè)備絕緣的基本需求。 EN50124—2 鐵路應(yīng)用——絕緣調(diào)配——第二部分:過電壓及其先觀保護(hù)。 EN50125—1 鐵路應(yīng)用——環(huán)境需求——第一部分:board rolling stock上的設(shè)備。 EN50125—3 鐵路應(yīng)用——環(huán)境需求——第三部分:信號(hào)傳輸與通信設(shè)備。 EN 50126 鐵路應(yīng)用——可靠性、可用性、可維護(hù)性和安全性(RAMS)規(guī)范和說明。 EN 50128 鐵路應(yīng)用——通信、用于鐵路控制和系統(tǒng)保護(hù)的信號(hào)處理系統(tǒng) EN 50155 鐵路應(yīng)用——電氣設(shè)備在rolling stock上的應(yīng)用。 EN 50159—1 鐵路應(yīng)用——通信、信號(hào)處理系統(tǒng)——第一部分:在閉環(huán)傳輸系統(tǒng)中與安全相關(guān)的通信 EN 50159—2 鐵路應(yīng)用——通信、信號(hào)處理系統(tǒng)——第二部分:在開環(huán)傳輸系統(tǒng)中與安全相關(guān)的通信 EN 61508—1 電氣、電子、可編程的安全電氣設(shè)備系統(tǒng)——第一部分:主要需求(IEC61508) IEC 60664 系列 在低電壓系統(tǒng)的絕緣調(diào)配。 3 定義和縮略詞 3.1 定義 在本標(biāo)準(zhǔn)中下面的定義將被用到。 3.1.1 故障 導(dǎo)致死亡、受傷、系統(tǒng)或設(shè)備損失或者破壞環(huán)境的無意中的故障或一系列故障。 3.1.2評(píng)估 分析設(shè)計(jì)部門和產(chǎn)業(yè)部門生產(chǎn)的產(chǎn)品是否滿足規(guī)定的要求,并形成一套判別產(chǎn)品是否按其預(yù)定功能進(jìn)行工作,這個(gè)過程稱為評(píng)估。 3.1.3 授權(quán)書 按規(guī)定使用產(chǎn)品的正式許諾。 3.1.4 可用性 一個(gè)產(chǎn)品在給定一段時(shí)間,在一定條件下按要求實(shí)現(xiàn)功能的能力,以及在所需求的外部資源被提供的前提下,其在給定的一段時(shí)間執(zhí)行的能力。 3.1.5 可能 可能發(fā)生的。 3.1.6 偶然性分析 分析一種專門的危害存在的原因。 3.1.7 普通—偶然故障 一些具有獨(dú)立功能的設(shè)備失效。 3.1.8 結(jié)果分析 分析在一個(gè)危害發(fā)生后,可能出現(xiàn)的情況。 3.1.9 圖表 表明硬件的結(jié)構(gòu)和相互聯(lián)系以及系統(tǒng)軟件的功能。 3.1.10橫向認(rèn)可 一個(gè)產(chǎn)品被一個(gè)權(quán)威乃至相關(guān)歐洲標(biāo)準(zhǔn)認(rèn)可并且被最高權(quán)威認(rèn)可,這樣一種程度 3.1.11設(shè)計(jì) 這是一種為了將規(guī)定需求通過分析和轉(zhuǎn)換,使其滿足可靠性要求的設(shè)計(jì)方法。 3.1.12設(shè)計(jì)權(quán)威 此體系負(fù)責(zé)開發(fā)一套設(shè)計(jì)方法的公式去執(zhí)行規(guī)定的需求并遇見隨后的發(fā)展,使一個(gè)系統(tǒng)在預(yù)定的環(huán)境中工作 3.1.13發(fā)送 這是一種用多種互不相同的方法來實(shí)現(xiàn)全部或部分特殊要求的方式 3.1.14設(shè)備 起作用的物理裝置 3.1.15誤差 與預(yù)先設(shè)計(jì)結(jié)果相偏離,并會(huì)導(dǎo)致系統(tǒng)發(fā)生副作用或失效。 3.1.16失效—安全 這個(gè)概念是包含在一個(gè)產(chǎn)品的設(shè)計(jì)當(dāng)中,如產(chǎn)品看似處于安全狀態(tài),但實(shí)際上已經(jīng)失效了。 3.1.17 失效 偏離系統(tǒng)規(guī)定的行為,是系統(tǒng)錯(cuò)誤或誤差導(dǎo)致的結(jié)果。 3.1.18 錯(cuò)誤 一種非常規(guī)導(dǎo)致系統(tǒng)失效的條件,一個(gè)錯(cuò)誤是隨即的或有規(guī)律發(fā)生的。 3.1.19 錯(cuò)誤發(fā)現(xiàn)時(shí)間 從錯(cuò)誤發(fā)生的一瞬間到被發(fā)現(xiàn)為止的異端時(shí)間 3.1.20 功能 一個(gè)產(chǎn)品執(zhí)行其規(guī)程的行為模型 3.1.21 危害 導(dǎo)致事故的情況 3.1.22 危害分析 堅(jiān)定危害分析及其產(chǎn)生原因,以及違反法制危害可能發(fā)生的要求和在一定程度上危害所造成的后果 3.1.23 危害記錄 一個(gè)包含所有安全管理活動(dòng)、危害堅(jiān)定、決策生成的文檔,用于存檔和參考 3.1.24 認(rèn)為錯(cuò)誤 導(dǎo)致系統(tǒng)發(fā)生副作用的人的行為(失誤) 3.1.25 執(zhí)行 為了將規(guī)定的設(shè)計(jì)轉(zhuǎn)化為物理的實(shí)現(xiàn)而進(jìn)行的活動(dòng) 3.1.26 獨(dú)立(功能) 由于機(jī)械具有的多功能而影響到正確操作,從而導(dǎo)致系統(tǒng)故障或突發(fā)故障的機(jī)械裝置中寄托出來。 3.1.27 獨(dú)立(人工) 從需要相同智力、商業(yè)或管理試題中解脫出來。 3.1.28 獨(dú)立(物理) 從由于多功能而影響正確 操作幾導(dǎo)致系統(tǒng)、副系統(tǒng)、設(shè)備發(fā)生突發(fā)故障的機(jī)械裝置中解脫出來。 3.1.29 個(gè)體風(fēng)險(xiǎn) 一個(gè)僅僅有關(guān)獨(dú)立個(gè)體的風(fēng)險(xiǎn)。 3.1.30 維護(hù)性 對(duì)于給定一種積極的維護(hù)行為,其在給頂使用條件的項(xiàng)目中的可行性,可以在相關(guān)條件和使用相關(guān)程序和資源的間隙中進(jìn)行。 3.1.31 維護(hù) 所有技術(shù)和管理行為的綜合,包括監(jiān)督行為,企圖保持一個(gè)項(xiàng)目或?qū)⑵浯鎯?chǔ),是一種可以表現(xiàn)其需求功能的狀態(tài)。 3.1.32 可行性 可執(zhí)行性。 3.1.33 負(fù)面性 當(dāng)發(fā)現(xiàn)一個(gè)危險(xiǎn)的錯(cuò)誤而破壞安全的狀態(tài)。 3.1.34 負(fù)面時(shí)間 從一個(gè)危險(xiǎn)錯(cuò)誤的發(fā)生到結(jié)束,整個(gè)安全狀態(tài)被破壞的時(shí)間跨度。 3.1.35 生產(chǎn) 與形成滿足規(guī)定需求的一種方法相互關(guān)聯(lián)的元件組裝。 3.1.36 質(zhì)量 使用者對(duì)于一個(gè)產(chǎn)品屬性的看法。 3.1.37 鐵路權(quán)威 通過安全操作鐵路系統(tǒng)而形成的完整的安全權(quán)威體系。 3.1.38 突發(fā)故障強(qiáng)度 一個(gè)系統(tǒng)能承受危險(xiǎn)的突發(fā)故障的限度。 3.1.39 突發(fā)故障 無法預(yù)見發(fā)生的故障。 3.1.40 可靠性 提供一種或多種通常是相同的措施,來提供對(duì)故障的承受。 3.1.41可靠性 一套裝置在給定條件下和規(guī)定時(shí)間內(nèi)執(zhí)行特定功能的能力。 3.1.42 修理 將系統(tǒng)、副系統(tǒng)及設(shè)備在失效后恢復(fù)即定狀態(tài)的重建方法。 3.1.43 風(fēng)險(xiǎn) 發(fā)生特定危害的頻率、可能性及后果的集合體。 3.1.44 安全狀態(tài) 一種持續(xù)安全的狀態(tài)。 3.1.45 安全度 不發(fā)生一定程度上的重大風(fēng)險(xiǎn)。 3.1.46 安全度認(rèn)可 最后一個(gè)使用者對(duì)產(chǎn)品安全狀態(tài)的認(rèn)可 3.1.47安全度規(guī)定 當(dāng)產(chǎn)品已經(jīng)執(zhí)行一系列先決條件后必須對(duì)安全狀態(tài)進(jìn)行權(quán)威認(rèn)定。 3.1.48 安全度權(quán)威 負(fù)責(zé)對(duì)與系統(tǒng)相關(guān)的安全操作發(fā)表授權(quán)。 3.1.49 安全庫 報(bào)名產(chǎn)品遵從規(guī)定安全需要的文檔。 3.1.50 安全度 在運(yùn)行的各個(gè)階段各種操作環(huán)境及所有的狀態(tài)條件下,安全相關(guān)系 統(tǒng)達(dá)到安全功能的能力。 3.1.51安全度標(biāo)準(zhǔn) 在考慮系統(tǒng)錯(cuò)誤的前提下,一個(gè)表明系統(tǒng)自我滿足規(guī)定安全功能的數(shù)字。 3.1.52 安全度生命周期 對(duì)于安全有關(guān)的系統(tǒng)的生命周期中執(zhí)行的一系列動(dòng)作 3.1.53 安全度管理 確保過程被安全執(zhí)行的結(jié)構(gòu)。 3.1.54 安全計(jì)劃 如何達(dá)到工程的安全需求的執(zhí)行細(xì)節(jié)。 3.1.55 安全流程 對(duì)于一個(gè)產(chǎn)品所有安全要求進(jìn)行鑒定和滿足的一系列步驟。 3.1.56 相關(guān)安全度 對(duì)安全度負(fù)責(zé)。 3.1.57 命令 強(qiáng)制執(zhí)行的。 3.1.58 建議 被提議的。 3.1.59 信號(hào)系統(tǒng) 由于鐵路控制和保護(hù)火車正確運(yùn)行的專門的一類系統(tǒng)。 3.1.60 壓力承受 當(dāng)一個(gè)產(chǎn)品執(zhí)行特定功能時(shí)所承受的大量外部影響的程度。 3.1.61 副系統(tǒng) 系統(tǒng)中執(zhí)行特殊功能的一部分。 3.1.62 系統(tǒng) 通過設(shè)計(jì),使一系列副系統(tǒng)相互作用而組成的。 3.1.63系統(tǒng)失效度 系統(tǒng)從危害性誤差和原因中恢復(fù)的能力。 3.1.64系統(tǒng)錯(cuò)誤 對(duì)于一個(gè)系統(tǒng),在規(guī)范、設(shè)計(jì)、組構(gòu)、安裝、執(zhí)行或維護(hù)中內(nèi)部發(fā)生的錯(cuò)誤。 3.1.65系統(tǒng)生命周期 從一個(gè)系統(tǒng)開始構(gòu)造到該系統(tǒng)失效這段時(shí)期內(nèi)進(jìn)行的一系列活動(dòng)。 3.1.66 技術(shù)安全報(bào)告 對(duì)系統(tǒng)、副系統(tǒng)及設(shè)備設(shè)計(jì)的安全進(jìn)行論證的報(bào)告。 3.1.67 有效性 一系列通過測(cè)試和分析來表明產(chǎn)品滿足各方面安全規(guī)范的行為。 3.1.68 鑒定 一種通過分析和測(cè)試,在系統(tǒng)生命周期的每一個(gè)階段,對(duì)所分析和測(cè)試的階段滿足前一階段的輸出,和該階段按規(guī)定輸出進(jìn)行堅(jiān)定的行為。 3.2 縮略詞 下面是該標(biāo)準(zhǔn)中用到的縮略詞: 3.2.1 AC 交流電 3.2.2 ATP 列車自動(dòng)保護(hù) 3.2.3 CENELEC 歐洲電氣標(biāo)準(zhǔn)委員會(huì) 3.2.4 CCF 常見故障原因 3.2.5 DC 直流電 3.2.6 EMC 電磁相容性 3.2.7 EMI 電磁干擾 3.2.8 EN 歐洲標(biāo)準(zhǔn) 3.2.9 ESD 靜電釋放 3.2.10 FET 場(chǎng)效應(yīng)管 3.2.11 FMEA 故障建模和分析 3.2.12 FR 故障率 3.2.13 FTA 故障樹分析 3.2.14 H 危害 3.2.15 HW 硬件 3.2.16 IEC 國際電工技術(shù)委員會(huì) 3.2.17 IRSE 鐵路信號(hào)工程機(jī)構(gòu) 3.2.18 ISO 國際標(biāo)準(zhǔn)組織 3.2.19 RAMS 可靠性、可行性、維護(hù)性和安全性 3.2.20 SCR 可控硅校驗(yàn)器 3.2.21 SDR 安全下降率 3.2.22 SDT 安全下降時(shí)間 3.2.23 SIL 安全度標(biāo)準(zhǔn) 3.2.24 SW 軟件 3.2.25 THR 危害可承受度 3.2.26 UIC 國際鐵路聯(lián)盟 3.2.27 VDR 電壓電阻器 4 該標(biāo)準(zhǔn)所有框架 歐洲標(biāo)準(zhǔn)中第五條款要求采用一個(gè)有規(guī)律的、有文擋的 -質(zhì)量管理記錄 -安全管理記錄 -功能和技術(shù)安全記錄 -規(guī)定安全度 附錄A 定義安全度標(biāo)準(zhǔn)的使用和結(jié)實(shí)。 附錄B 包含安全相關(guān) 的系統(tǒng)、副系統(tǒng)及設(shè)備的技術(shù)細(xì)節(jié)要求。 附錄C 包含堅(jiān)定可修復(fù)硬件故障的步驟和信息的方法。 附錄D 包含附加的技術(shù)信息。 附錄E 包含用于安全度各個(gè)標(biāo)準(zhǔn)的技術(shù)、方法目錄。 目錄 包含在執(zhí)行著套標(biāo)準(zhǔn)期間所需查詢文檔的說明。 5 為保證安全所允許的條件 5.1 安全情況 該標(biāo)準(zhǔn)定義的條件應(yīng)滿足為保證與安全有關(guān)的電氣鐵路系統(tǒng)、副系統(tǒng)及設(shè)備按其預(yù)期目的可以被足夠安全的應(yīng)用。 在該標(biāo)準(zhǔn)中有關(guān)的部分是以.下三個(gè)標(biāo)題為基礎(chǔ)的,分別稱為: -5.2質(zhì)量管理記錄 -5.3安全管理記錄 -5.4功能和技術(shù)安全記錄 在與安全有關(guān)的系統(tǒng)可以足夠安全的被使用之前,所有這些條件都應(yīng)達(dá)到系統(tǒng)、副系統(tǒng)及設(shè)備要求的水平。 已經(jīng)與這些條件相符合的文檔記錄應(yīng)當(dāng)被包含進(jìn)一個(gè)安全堅(jiān)定文檔,即安全庫。安全庫組成所有遵從相關(guān)安全權(quán)威的文檔記錄的一個(gè)部分,為了得到一個(gè)一般產(chǎn)品,一組應(yīng)用或一個(gè)特殊應(yīng)用的安全要求規(guī)范。對(duì)于安全規(guī)范過程的解釋,見該標(biāo)準(zhǔn)的5.5部分。 安全庫包含系統(tǒng)、副系統(tǒng)及設(shè)備的安全文檔記錄,可以分為如下結(jié)構(gòu): 第一部分 系統(tǒng)(或副系統(tǒng)及設(shè)備)定義 應(yīng)明確定義或表明安全庫所指的系統(tǒng)、副系統(tǒng)及設(shè)備,包括類型編號(hào)、所有需求的修改權(quán)限、設(shè)計(jì)和應(yīng)用性的文檔。 第二部分 質(zhì)量管理報(bào)告 該部分包括質(zhì)量管理記錄,如該標(biāo)準(zhǔn)中5.2部分提到的 第三部分 安全管理報(bào)告 該部分包括安全管理記錄,如該標(biāo)準(zhǔn)中5.3部分提到的 第四部分 技術(shù)安全報(bào)告 該部分包括功能和技術(shù)安全的記錄,如該標(biāo)準(zhǔn)中5.4部分提到的 第五部分 相關(guān)安全庫 該部分包括與安全庫所依靠的所有副系統(tǒng)及設(shè)備有關(guān)的安全庫 同時(shí)應(yīng)該表明所有與安全有關(guān)的應(yīng)用條件都應(yīng)規(guī)定每一個(gè)相關(guān)的副系統(tǒng)及設(shè)備的安全庫要么是在主安全庫中執(zhí)行,要么在主安全庫中與安全庫有關(guān)的應(yīng)用條件下執(zhí)行。 第六部分 結(jié)論 該部分應(yīng)簡要概括在安全庫先前部分的記錄,并討論相關(guān)系統(tǒng)、副系統(tǒng)及設(shè)備是否足夠的安全,是否遵從專業(yè)的應(yīng)用條件。 安全庫的結(jié)構(gòu)用圖表3說明。 明確規(guī)定大量細(xì)節(jié)的記錄和輔助類文檔不需要包含進(jìn)安全庫和它的子庫,也不需要提供明確的用于此類文檔的解釋,同時(shí)也不需要提供基本概念的應(yīng)用和所采用的途徑。 5.2 質(zhì)量管理記錄 安全規(guī)范的第一個(gè)條件就是系統(tǒng)、副系統(tǒng)及設(shè)備的質(zhì)量應(yīng)得到保證,并且還應(yīng)在其整個(gè)生命周期中被一套有效的質(zhì)量管理系統(tǒng)控制。文檔記錄是該要求在質(zhì)量管理報(bào)告中的表現(xiàn),它形成了安全庫中的第二個(gè)部分。 質(zhì)量管理系統(tǒng)目的是使在系統(tǒng)生命周期的每個(gè)階段的人為故障最小化,同時(shí)也減小系統(tǒng)、副系統(tǒng)及設(shè)備中系統(tǒng)故障的發(fā)生。 質(zhì)量管理系統(tǒng)應(yīng)當(dāng)在系統(tǒng)、副系統(tǒng)及設(shè)備整個(gè)生命周期中應(yīng)用,如定義的EN50126。 一個(gè)系統(tǒng)生命周期的例子(在EN50126標(biāo)準(zhǔn)下),由該標(biāo)準(zhǔn)的圖表4描述 EN50129:2003 注釋:下面是一個(gè)有關(guān)質(zhì)量管理體系和質(zhì)量管理報(bào)告所包括的幾個(gè)方面的例子。 ——組織的結(jié)構(gòu) ——質(zhì)量計(jì)劃和步驟 ——需求說明書 ——控制設(shè)計(jì) ——檢查和復(fù)查設(shè)計(jì) ——工程應(yīng)用 ——采購和制造 ——產(chǎn)品鑒定和跟蹤 ——管理和存儲(chǔ) ——檢查 ——不一致性和正確的行動(dòng) ——包裝和發(fā)送 ——安裝和授權(quán) ——操作和維護(hù) ——質(zhì)量管理和售后服務(wù) ——文檔和記錄 ——配置的管理或更改控制 ——操縱指導(dǎo) ——質(zhì)量審計(jì)和使用情況調(diào)查 ——運(yùn)行狀況 遵從質(zhì)量管理的要求是保證1到4完全安全水平所必需的(見兼并A中對(duì)完全安全水平的解釋)。然而,記錄的深度和輔助類文檔的擴(kuò)展應(yīng)適應(yīng)系統(tǒng)、副系統(tǒng)及設(shè)備的完全安全水平(見表格E.1和表格E.8中對(duì)每個(gè)完全安全水平所需記錄的結(jié)實(shí))。完全安全0水平(不安全)的要求不在該安全標(biāo)準(zhǔn)所探索的范圍。 5.3 安全管理措施 5.3.1 概述 為了保證安全相關(guān)的鐵路信號(hào)電子系統(tǒng)/子系統(tǒng)/設(shè)備安全所必須滿足的條件之二是安全管理措施,他應(yīng)該與EN50126中所到的可靠性、可用性、可維護(hù)性和安全性的管理過程相一致,目的是進(jìn)一步減少和安全相關(guān)的認(rèn)為失誤。進(jìn)而減少系統(tǒng)故障風(fēng)險(xiǎn)。下面5.3.2到5.3.13就簡要的介紹了安全管理過程因素。 在安全管理報(bào)告中將提到有關(guān)安全管理過程中的各素都遵從生命周期概念的書面證據(jù),即是安全案例的第三部分,這其中不包含大量的詳細(xì)的證據(jù)和提供的文獻(xiàn),只是一些簡單的索引。 安全管理措施的運(yùn)用對(duì)于安全完整性水準(zhǔn)的1到4來說是強(qiáng)制性的。(參考安全完整性水準(zhǔn)的解釋附錄A)然而,所提供的證據(jù)的深度和所支持文獻(xiàn)的廣度對(duì)于安全的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)來說應(yīng)該是合適的。安全完整性水準(zhǔn)為0的(認(rèn)為不安全)是不符合安全標(biāo)準(zhǔn)的。 為了證實(shí)安全完整性所提到的標(biāo)準(zhǔn)對(duì)每一種特殊的情形都是適用的。那么在EN50126中定義的危害分析和風(fēng)險(xiǎn)評(píng)估過程都是必要的。這也包括那些分析和評(píng)估認(rèn)為安全完整性水準(zhǔn)認(rèn)為是0的情況。然而,一旦得出這樣的結(jié)論,(也就是說這種情況是不安全的),那么,這種安全標(biāo)準(zhǔn)就不再適用。 5.3.2 安全的生命周期 這種安全管理過程包括很多階段和行為,因此形成了安全生命周期。這應(yīng)該與EN50126 中提到的系統(tǒng)生命周期相一致,即是圖4所顯示標(biāo)準(zhǔn)的一種復(fù)制。系統(tǒng)生命周期的設(shè)計(jì)和有效性部分可以看作是“頂部——底部”和“底部——頂部”兩個(gè)階段。(也就是V形)如圖5所示。 5.3.3 安全機(jī)構(gòu) 安全管理過程應(yīng)該在安全機(jī)構(gòu)的有效指導(dǎo)下執(zhí)行。安全機(jī)構(gòu)應(yīng)該任用那些被指任為扮演特殊角色的有能力的人來組成。對(duì)這些人進(jìn)行包括技術(shù)知識(shí),認(rèn)證,相關(guān)經(jīng)驗(yàn)和正確的訓(xùn)練的能力的評(píng)估和記錄應(yīng)該根據(jù)大意公認(rèn)的標(biāo)準(zhǔn)來執(zhí)行。對(duì)于所有安全完整性水準(zhǔn)的所要求的安全機(jī)構(gòu)知道下的不同角色之間應(yīng)該有一個(gè)相互獨(dú)立的度,正如圖6和表E.3所示。 5.3.4 安全計(jì)劃 在生命周期的開始應(yīng)該指定一個(gè)安全計(jì)劃,這個(gè)計(jì)劃應(yīng)該體現(xiàn)整個(gè)生命周期安全管理的結(jié)構(gòu),安全相關(guān)的活動(dòng)和論證的轉(zhuǎn)折點(diǎn)。還包括每隔一定間隔進(jìn)行安全計(jì)劃復(fù)查的要求。如果對(duì)原始系統(tǒng)/子系統(tǒng)/儀器設(shè)備進(jìn)行一系列的改動(dòng)或增加的話,我們就應(yīng)該及時(shí)更新或復(fù)查安全計(jì)劃。如果有類似這樣的變動(dòng),那么在生命周期的恰當(dāng)?shù)奈恢脤?duì)變動(dòng)所引起的包括硬件和軟件安全方面的影響就應(yīng)該被重新評(píng)估。 參照表E.1?對(duì)于每一個(gè)安全完整性水準(zhǔn)安全計(jì)劃所作的指導(dǎo) 安全計(jì)劃應(yīng)該處理系統(tǒng)/子系統(tǒng)/儀器設(shè)備的各個(gè)方面,包括硬件和軟件。對(duì)于軟件的各個(gè)方面問題在EN50128中已經(jīng)論述過。安全計(jì)劃應(yīng)該包括安全案例計(jì)劃,他將體現(xiàn)最終安全案例的預(yù)期結(jié)構(gòu)和重要內(nèi)容。 5.3.5 危害日志 在整個(gè)生命周期過程中應(yīng)該創(chuàng)建并維護(hù)一個(gè)危害日志,正如在EN50126所解釋的,它應(yīng)該包括一系列公認(rèn)的危害,還有對(duì)于每一種危害的風(fēng)險(xiǎn)分類和風(fēng)險(xiǎn)控制信息,如果對(duì)系統(tǒng),子系統(tǒng)或儀器設(shè)備有任何修改和變動(dòng),危害日志都應(yīng)該被升級(jí)。 5.3.6 安全要求 對(duì)每一種系統(tǒng)/子系統(tǒng)/儀器設(shè)備的特定的安全要求包括功能安全要求和安全完整性要求,這些要求應(yīng)該在安全具體方面里面明確標(biāo)識(shí)和記錄,可以通過EN50126中提到的這幾個(gè)方面完成: 1. 危害標(biāo)識(shí)和分析 2. 風(fēng)險(xiǎn)評(píng)估和分類 3. 安全完整性水準(zhǔn)的分配 附錄A中包括了一些鐵路電子系統(tǒng)的安全完整水準(zhǔn)的信息。 注:安全要求可能包括在系統(tǒng)/子系統(tǒng)/儀器設(shè)備功能要求中或可以被寫作為獨(dú)立的文檔,參照表E.2對(duì)與每一條安全完整性水準(zhǔn)在系統(tǒng)需求方面的指導(dǎo)。 5.3.7 系統(tǒng)/子系統(tǒng)/儀器設(shè)備的設(shè)計(jì) 生命周期的這一階段應(yīng)該做這樣一種設(shè)計(jì),此設(shè)計(jì)將完成特定的操作和安全要求,我們將運(yùn)用頂部——底部的這樣的一套方法且有嚴(yán)格的控制和復(fù)查文檔。特定情況下,通過軟件需求和軟件/硬件整合而再現(xiàn)的軟硬件之間的關(guān)系應(yīng)該得到嚴(yán)格的管理。標(biāo)準(zhǔn)EN50128中也有所提及。表E.7給出了對(duì)每一種安全完整性水準(zhǔn)來說系統(tǒng)/子系統(tǒng)/儀器設(shè)備在設(shè)計(jì)和進(jìn)展方面的指導(dǎo)。 5.3.8 安全復(fù)查 在生命周期的適當(dāng)階段應(yīng)該做一下安全復(fù)查,這些復(fù)查應(yīng)該在安全計(jì)劃中明確規(guī)定,在復(fù)查同時(shí)要記錄結(jié)果,如果對(duì)系統(tǒng),子系統(tǒng)或器設(shè)備有任何改動(dòng)或擴(kuò)展,那么我們都應(yīng)該對(duì)其進(jìn)行復(fù)查。 5.3.9 安全核對(duì)和證實(shí) 安全計(jì)劃應(yīng)該包括或索引一些這樣的計(jì)劃,他們能核對(duì)生命周期的每一個(gè)階段都能滿足在先前那些階段中提到的具體的一些安全要求,并且能證實(shí)已經(jīng)完趁個(gè)的系統(tǒng)/子系統(tǒng)/儀器設(shè)備是與原始的安全性的具體要求相對(duì)應(yīng)的。 我們應(yīng)該去完成這些步驟并且將其結(jié)果做一詳細(xì)記錄,包括正確的測(cè)試和安全分析,在接下來的而已系列的對(duì)系統(tǒng)/子系統(tǒng)/儀器設(shè)備的變動(dòng)和增加中應(yīng)該正確的重復(fù)以上操作。 對(duì)核對(duì)人和確認(rèn)人來說,獨(dú)立的必要性的度應(yīng)該與仔細(xì)檢查下的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)相一致,可以參照?qǐng)D6和表9,對(duì)于每一種安全完整性水準(zhǔn)的核對(duì)和證實(shí)的技術(shù)/方法的指導(dǎo)。 依照安全局的見解,評(píng)估員應(yīng)該是供應(yīng)方組織或是顧客組織的成員,但在這些情況下,評(píng)估員應(yīng)該是 1. 經(jīng)安全局授權(quán)的 2. 從項(xiàng)目團(tuán)隊(duì)中完全獨(dú)立出來的 3. 與安全局完全溝通的 5.3.10 安全判斷 使得系統(tǒng)/子系統(tǒng)/儀器設(shè)備滿足安全接受所規(guī)定的條件的措施應(yīng)該以一安全案例的形式出現(xiàn)在結(jié)構(gòu)完整的安全判斷文擋中,參照5.1中所解釋的。 5.3.11 系統(tǒng)/子系統(tǒng)/儀器設(shè)備的移交 在將系統(tǒng)/子系統(tǒng)/儀器設(shè)備移交給鐵路當(dāng)局之前,應(yīng)該滿足5.5中規(guī)定的安全接受和安全論證條件,并且同時(shí)遞交安全案例和安全評(píng)估報(bào)告。 5.3.12 運(yùn)行和維護(hù) 隨著移交的進(jìn)行,我們還應(yīng)該附加安全計(jì)劃和技術(shù)安全報(bào)告(安全案例的一部分)的第五部分所規(guī)定的手續(xù),支持系統(tǒng)和安全監(jiān)管。在系統(tǒng)運(yùn)行的過程中,人們可能會(huì)提出各種理由而要求對(duì)系統(tǒng)做出改動(dòng)。當(dāng)然這些理由不一定安全,我們必須通過索引一些安全文檔的相關(guān)部分來評(píng)估一下這些要求改變的請(qǐng)求對(duì)安全方面的影響。當(dāng)這些要求改變的請(qǐng)求會(huì)引起一些變動(dòng),并且這些變動(dòng)又將影響此系統(tǒng)或相關(guān)系統(tǒng)或周圍環(huán)境的安全時(shí),我們應(yīng)該運(yùn)用安全生命周期的正確部分以確保所實(shí)施的改變可以降低安全水準(zhǔn)。 參照表E.10對(duì)每一種安全完整性水準(zhǔn)在應(yīng)用,運(yùn)行和維護(hù)方面的指導(dǎo)。 5.3.13 停用設(shè)備并加以處理 在系統(tǒng)運(yùn)行周期的最后階段,我們必須停止使用該設(shè)備并且進(jìn)行最后的清理,這些操作必須與安全計(jì)劃和技術(shù)安全報(bào)告(安全案例的一部分)的第五部分所規(guī)定的操作相一致。 5.4 功能和技術(shù)措施 除了滿足5.2和5.3中提到的質(zhì)量和安全管理的措施之外,要使系統(tǒng)/子系統(tǒng)/儀器設(shè)備的預(yù)期應(yīng)用能被安全的接受,那么還要滿足這第三個(gè)條件,也就是功能和技術(shù)安全措施,這其中包括為了滿足設(shè)計(jì)的安全要求所提到的技術(shù)措施,這一措施應(yīng)該在安全技術(shù)報(bào)告中記錄下來,即是系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全案例的第四部分,參照5.1 技術(shù)安全報(bào)告對(duì)與安全完整性水準(zhǔn)的1到4來說是強(qiáng)制執(zhí)行的(參照安全完整性水準(zhǔn)的附錄A),然而這些信息的深度和做支持文獻(xiàn)的廣度,對(duì)于仔細(xì)檢查下的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)應(yīng)該是相吻合的,對(duì)于安全完整性水準(zhǔn)為0的請(qǐng)求是不在安全標(biāo)準(zhǔn)范圍之內(nèi)的。 技術(shù)安全報(bào)告應(yīng)該對(duì)技術(shù)原則做出解釋,這些技術(shù)原則確保了技術(shù)的安全性,包括所有支持的措施(如設(shè)計(jì)原理和計(jì)算,具體測(cè)試和結(jié)果及安全分析) 我們對(duì)技術(shù)安全報(bào)告做了如下標(biāo)題: 第一部分 概述 這部分將概述此設(shè)計(jì),包括對(duì)安全所依賴的技術(shù)安全原理的概要,以及根據(jù)標(biāo)準(zhǔn)使系統(tǒng)/子系統(tǒng)/儀器設(shè)備安全內(nèi)容得到擴(kuò)展。 這部分也將提到作為設(shè)計(jì)的技術(shù)安全基礎(chǔ)的標(biāo)準(zhǔn)(及他們的頒布)如果對(duì)已經(jīng)投入運(yùn)行的或標(biāo)準(zhǔn)生產(chǎn)的或在發(fā)展的完成階段時(shí)的儀器設(shè)備進(jìn)行變動(dòng)或增加。作為一個(gè)例外,被用作原始設(shè)計(jì)標(biāo)準(zhǔn)的頒布可以作為一個(gè)基礎(chǔ),這些已經(jīng)在原始設(shè)備的論證中被接受了,這些在以下情況下可能會(huì)得到應(yīng)用。即當(dāng)考慮到新標(biāo)準(zhǔn)的頒布實(shí)施可能要求對(duì)已經(jīng)存在設(shè)備的進(jìn)一步改動(dòng)或者可能招致變化所帶來的不合理的高費(fèi)用時(shí)。以下將給出對(duì)于以上陳述的理由。 第二部分 確保正確的功能操作 根據(jù)特殊規(guī)定的操作和安全的要求,這一部分將演示在無故障的正常情況下(即不存在故障)對(duì)系統(tǒng)/子系統(tǒng)/儀器設(shè)備進(jìn)行正確操作的必要措施。 包括以下方面,在B.2中有更詳細(xì)的說明 2.1 系統(tǒng)結(jié)構(gòu)的描述(參考B.2.1和表E.4) 2.2 相互交叉操作的定義(參考B.2.2) 2.3 系統(tǒng)需求的實(shí)施(參照B.2.3) 2.4 安全需求的實(shí)施(參照B.2.4) 2.5 確保正確的硬件功能(參照B.2.5) 2.6 確保正確的軟件功能(參照B.2.6) 第三部分 故障的影響 這部分將描述系統(tǒng)/子系統(tǒng)/儀器設(shè)備繼續(xù)滿足特定的安全需求。包括在隨機(jī)硬件故障下數(shù)量上能達(dá)到一定的安全目標(biāo)。 另外,盡管在5.2和5.3中規(guī)定了質(zhì)量和安全管理過程,但系統(tǒng)故障仍存在。這部分將描述采取一些技術(shù)措施使將來風(fēng)險(xiǎn)降低到一個(gè)可接受的水準(zhǔn)。 這部分也將說明在安全完整性水準(zhǔn)低于整個(gè)系統(tǒng)的也包括水準(zhǔn)為0的任何一個(gè)系統(tǒng)/子系統(tǒng)/儀器設(shè)備產(chǎn)生的故障,將不會(huì)降低整個(gè)系統(tǒng)的安全性。 這部分將包括以下題目,B.3中有更詳細(xì)的需求描述。表E.5 表E.6中也有所提及。 3.1 單一故障的影響(參照B.3.1) 3.2 項(xiàng)目獨(dú)立性(參照B.3.2) 3.3 單一故障檢測(cè)(參照B.3.3) 3.4 檢測(cè)后應(yīng)采取的措施(參照B.3.4) 3.5 多個(gè)故障的影響(參照B.3.5) 3.6 防御系統(tǒng)故障(參照B.3.6) 第四部分 額外影響的操作 這部分將描述遇到在系統(tǒng)需求中所提到的額外影響時(shí)系統(tǒng)/子系統(tǒng)/儀器設(shè)備 1. 繼續(xù)履行它的具體操作需求 2. 繼續(xù)履行它的具體安全需求(包括存在故障情況下) 安全案例只有在額外影響的特定范圍內(nèi)是有效的,正如在系統(tǒng)需求中所定義的。在這些限定之外不能確保安全,除非實(shí)施額外的特殊措施用來支持特定的額外操作的方法將得到解釋和判定。 更詳細(xì)的信息可參照B.4 第五部分 有關(guān)安全的應(yīng)用條件 這部分將強(qiáng)調(diào)在系統(tǒng)/子系統(tǒng)/儀器設(shè)備的應(yīng)用中應(yīng)遵循的法則,條件和限定。這也包括一些相關(guān)的子系統(tǒng)和儀器設(shè)備的安全案例中所包含的應(yīng)用條件 更詳細(xì)的信息可參照B.5,同時(shí)在表E.10中也有所指導(dǎo) 第六部分 安全資格審查 這部分將演示在安全資格審查的操作條件下的一些成功的例子??蓞⒄誃.6 技術(shù)安全結(jié)構(gòu)可參照?qǐng)D7 5.5 安全接受和論證 這部分定義了與安全相關(guān)的電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全接受和論證部分。除了認(rèn)為是合適的地方,其他地方并沒有特殊強(qiáng)調(diào)應(yīng)該由誰在每個(gè)階段來做這項(xiàng)工作,因?yàn)樗请S著環(huán)境的變化而變化的。 5.5.1 概述 正如5.1所提到的。為了保證與安全相關(guān)的鐵路信號(hào)電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備安全所必須滿足的三個(gè)條件如下: 1. 質(zhì)量管理措施 2. 安全管理措施 3. 功能和技術(shù)安全措施 這三個(gè)條件已經(jīng)在5.2和5.3和5.4中提到 正如5.1和圖3所顯示的,安全案例中應(yīng)包括質(zhì)量管理措施,安全管理措施和功能技術(shù)安全措施 可以考慮安全案例的如下三種不同的分類: 1. 一般的產(chǎn)品安全案例(獨(dú)立應(yīng)用) 一般產(chǎn)品可用做各種不同的獨(dú)立應(yīng)用 2. 一般的應(yīng)用安全案例(應(yīng)用分類) 有相同功能的一般的應(yīng)用可以劃分為一類 3. 特殊的應(yīng)用安全案例(特殊應(yīng)用) 特殊的應(yīng)用只能用做一種特殊的裝置 有必要告訴大家的就是對(duì)于每一種特定的應(yīng)用,無論是環(huán)境的條件還是應(yīng)用的內(nèi)容與一般的應(yīng)用條件相兼容這一點(diǎn)是必要的(參照5.5.4) 在以上三種分類中,安全案例和獲得安全論證程序的結(jié)構(gòu)基本上是相同的。然而,對(duì)于特定的應(yīng)用也有附加因素:在這種分類中,對(duì)于系統(tǒng)的應(yīng)用設(shè)計(jì)和它的實(shí)際操作需要獨(dú)立的安全論證(例如:生產(chǎn),安裝,測(cè)試和用于操作和維護(hù)的設(shè)施),基于此,對(duì)于特定應(yīng)用的安全案例應(yīng)該分成以下兩部分: 1. 應(yīng)用設(shè)計(jì)安全案例:這包括特定應(yīng)用的理論設(shè)計(jì)的安全措施 2. 實(shí)際操作安全案例:這包括特定應(yīng)用的實(shí)際操作的安全措施 這兩部分結(jié)構(gòu)可見5.1和圖3 5.5.2 安全論證過程 在考慮安全論證的操作之前,應(yīng)該做出一份系統(tǒng)/子系統(tǒng)/儀器設(shè)備的獨(dú)立的安全評(píng)估報(bào)告和安全案例。這樣做是為了進(jìn)一步確保能達(dá)到安全的必要水準(zhǔn),且將結(jié)果記錄在安全評(píng)估報(bào)告中。這份報(bào)告應(yīng)該對(duì)安全評(píng)估員決定如何設(shè)計(jì)才能使系統(tǒng)/子系統(tǒng)/儀器設(shè)備(硬件和軟件)滿足特定要求的做法進(jìn)行解釋,同時(shí)強(qiáng)調(diào)對(duì)系統(tǒng)/子系統(tǒng)/儀器設(shè)備的操作而言的一些附加條件。 像EN50126中所提到的安全評(píng)估的深度和對(duì)其操作的獨(dú)立性的限度都是基于風(fēng)險(xiǎn)分類的結(jié)果之上的。 為了增加可信度,安全評(píng)估員可能要求進(jìn)行特定的測(cè)試。 整個(gè)文檔的措施應(yīng)該包括: 1. 系統(tǒng)(子系統(tǒng)/儀器設(shè)備)需求; 2. 安全要求; 3. 安全案例 包括: 第一部分:系統(tǒng)/子系統(tǒng)/儀器設(shè)備的規(guī)定 第二部分:質(zhì)量管理報(bào)告(質(zhì)量管理措施) 第三部分:安全管理報(bào)告(安全管理措施) 第四部分:技術(shù)安全報(bào)告(功能/技術(shù)安全措施) 第五部分:相關(guān)的安全案例(如果可能的話) 第六部分:結(jié)論 4. 安全評(píng)估報(bào)告; 根據(jù)安全案例中提到的滿足安全接受的所有條件,并且依照獨(dú)立的安全評(píng)估結(jié)果。系統(tǒng)/子系統(tǒng)/儀器設(shè)備依法得到相關(guān)安全局的論證。安全評(píng)估人員對(duì)論證可能會(huì)強(qiáng)制執(zhí)行一些額外條件(暫時(shí)的或永久的) 對(duì)于一般性產(chǎn)品(即應(yīng)用的獨(dú)立性)和一般性應(yīng)用(即應(yīng)用的等級(jí)分類)被一個(gè)安全局同意的安全論證和可能被其他安全局所接受(即相互接受),當(dāng)然對(duì)于特定的應(yīng)用而言是不可能的。 圖8顯示了針對(duì)三種不同的安全案例的安全論證過程 5.5.3 安全論證完成之后 當(dāng)系統(tǒng)/子系統(tǒng)/儀器設(shè)備完成安全論證之后,我們應(yīng)該對(duì)接下來的任何改動(dòng)都要加以控制,可以利用即將作為新的設(shè)計(jì)的相同的質(zhì)量管理,安全管理和功能/技術(shù)安全標(biāo)準(zhǔn)來對(duì)其加以控制。所有相關(guān)文檔包括安全案例,都應(yīng)該及時(shí)更新或由額外文檔來加以補(bǔ)充,并且提交這種改動(dòng)的設(shè)計(jì)去論證。 一旦將完成的系統(tǒng)/子系統(tǒng)/儀器設(shè)備交付使用,那么在技術(shù)安全報(bào)告(安全案例的一部分)的第五部分和安全計(jì)劃中規(guī)定的正確的手續(xù),支持系統(tǒng)和安全監(jiān)管就應(yīng)該使用,以確保在它的整個(gè)工作生命中的安全操作,這些操作包括運(yùn)行,維護(hù),變動(dòng),擴(kuò)展和最終的停止使用,這些行為由原始設(shè)計(jì)所運(yùn)用的同樣的質(zhì)量管理,安全管理和技術(shù)安全標(biāo)準(zhǔn)來控制。 包括安全案例在內(nèi)的所有相關(guān)文檔都應(yīng)該及時(shí)更新,并且把有變動(dòng)或擴(kuò)展的設(shè)計(jì)遞交上去加以論證。 5.5.4 安全論證之間的附屬地 在5.1中提到過,系統(tǒng)的安全案例依靠其他子系統(tǒng)或儀器設(shè)備的安全案例。在這種情況下,就是說如果沒有先前相關(guān)子系統(tǒng)/儀器設(shè)備的安全論證,就不會(huì)有主干系統(tǒng)的安全論證。 如果已經(jīng)完成對(duì)一般產(chǎn)品或一般應(yīng)用的安全論證,那么這將可能指導(dǎo)一種特定應(yīng)用的安全論證,沒有必要對(duì)每一種應(yīng)用都重復(fù)這種一般性的論證過程。圖9就顯示了這種安全論證之間的附屬地。 一種基于說明有目的的特定的應(yīng)用的安全案例是與那些特定安全論證的實(shí)施在技術(shù)上是等價(jià)的。對(duì)這種特定應(yīng)用有必要采取新的安全論證。 確保在附屬地的如下做法是必要的。即每一個(gè)安全案例的技術(shù)報(bào)告中提到的與安全相關(guān)的實(shí)施條件都要以高水準(zhǔn)的安全案例來完成,否則提前進(jìn)入以高水準(zhǔn)的有安全應(yīng)用條件進(jìn)行執(zhí)行。 附錄A 安全完整性水準(zhǔn) A.1 概述 附錄對(duì)安全要求,安全完整性和有關(guān)安全系統(tǒng)在鐵路中應(yīng)用的安全完整性水準(zhǔn)的起源,分配和執(zhí)行都作了詳細(xì)的描述。 對(duì)每種特定的鐵路應(yīng)用,以允許的安全目標(biāo)的形式出現(xiàn)的容許危險(xiǎn)率是有關(guān)鐵路當(dāng)局的責(zé)任。該標(biāo)準(zhǔn)未對(duì)其進(jìn)行定義。 EN50126中規(guī)定了安全管理過程 A.2 安全要求 以下兩部分提到了系統(tǒng)要求(或正確的子系統(tǒng)/儀器設(shè)備)(參照?qǐng)DA.1): 1. 不涉及安全的要求(包括實(shí)際的功能要求); 2. 涉及到安全的要求; 涉及到安全的要求我們常常稱之為安全要求,這些可能包括在獨(dú)立的安全的具體要求中。 我們把安全要求氛圍如下兩部分: 1. 安全功能要求; 2. 安全完整性要求; 安全功能要求實(shí)際上是系統(tǒng)/子系統(tǒng)/儀器設(shè)備的與安全相關(guān)的功能所要執(zhí)行的要求。 安全完整性要求定義了對(duì)每一種與安全相關(guān)的功能的安全完整性水準(zhǔn)。 A.3 安全完整性水準(zhǔn)(SIL) 關(guān)系到安全相關(guān)系統(tǒng)性能的安全完整性要能完成規(guī)定的安全功能。安全完整性越高,他行使規(guī)定的安全功能的不成功率就越低。安全完整性有兩部分構(gòu)成(參照?qǐng)DA.1): ——系統(tǒng)故障完整性 ——隨機(jī)故障完整性 要充分實(shí)現(xiàn)安全完整性,就必須滿足上述兩條件。 注:由環(huán)境條件(如:電磁兼容性 溫度 振動(dòng)等)引起的故障包括系統(tǒng)故障完整性和隨機(jī)故障完整性。 系統(tǒng)故障完整性是安全完整性中不可量化的部分,并且它還關(guān)系到危險(xiǎn)的系統(tǒng)錯(cuò)誤(硬件或軟件),在系統(tǒng)\子系統(tǒng)\設(shè)備生命周期的各種狀態(tài)中,系統(tǒng)錯(cuò)誤都是由人的錯(cuò)誤引起的。例如: —規(guī)格說明錯(cuò)誤 —設(shè)計(jì)錯(cuò)誤 —制造錯(cuò)誤 —安裝錯(cuò)誤 —造作錯(cuò)誤 —維修錯(cuò)誤 —校正錯(cuò)誤 系統(tǒng)故障完整性由質(zhì)量管理和安全管理?xiàng)l件完成,這些條件在5.2和5.3 的標(biāo)準(zhǔn)中有詳細(xì)說明。 防御系統(tǒng)錯(cuò)誤技術(shù)包含在技術(shù)安全條件中,這些條件在5.4 的標(biāo)準(zhǔn)中有詳細(xì)說明。 因?yàn)椴豢赡苡枚康姆椒ㄔu(píng)估系統(tǒng)故障完整性,SIL應(yīng)用于成組方法,工具,和技巧,一旦被有效利用,就可認(rèn)為在實(shí)現(xiàn)一個(gè)已規(guī)定完整性標(biāo)準(zhǔn)的系統(tǒng)方面提供了適當(dāng)?shù)目煽慷龋▍⒖几戒汦)。 隨機(jī)故障完整性是安全完整性的一部分,關(guān)系到危險(xiǎn)隨機(jī)錯(cuò)誤,尤其是隨機(jī)硬件錯(cuò)誤,這種錯(cuò)誤是由硬件組成部分的有限可靠性引起的。 技術(shù)安全條件中隨機(jī)故障完整性的解決方案的標(biāo)準(zhǔn)具體在5.4中有說明。 利用概率分析,我們就可對(duì)隨機(jī)故障完整性進(jìn)行量化評(píng)估。概率分析要以了解硬件組成部分的故障率和類型以及隨機(jī)硬件故障出現(xiàn)的次數(shù)為前提。盡管危險(xiǎn)故障依然存在而且應(yīng)該按照5.4和B.3.6中的標(biāo)準(zhǔn)御防,但我們還是假設(shè)具有固有物理性能(參考附件C)的組件的危險(xiǎn)故障概率為零。 安全完整性條件和安全標(biāo)準(zhǔn)的分配在A.4和A.5種分別敘述。 A.4 安全完整性要求的分配 考慮到信號(hào)系統(tǒng)的運(yùn)行環(huán)境和建筑設(shè)計(jì),鑒定鐵路信號(hào)裝備的安全完整性要求的一套方法即將系統(tǒng)化應(yīng)用。 這種方法的核心是明確界定了運(yùn)行環(huán)境和信號(hào)系統(tǒng)的界限,從安全觀出發(fā),這個(gè)界限是通過系統(tǒng)內(nèi)一系列危險(xiǎn)和相關(guān)的容許危險(xiǎn)率(THR)來定義的。我們注意到,這種方法的意圖不是限制了供應(yīng)方和鐵路局雙方的合作,而是劃清了責(zé)任和界面。 從這個(gè)界面出發(fā)分析步驟如下: 1. 至上而下的分析明確了危險(xiǎn)和相關(guān)風(fēng)險(xiǎn)可能產(chǎn)生的結(jié)果。 2. 至下而上的分析明確了產(chǎn)生危險(xiǎn)的原因。 全部過程包括風(fēng)險(xiǎn)分析和- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
5 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 英國 標(biāo)準(zhǔn)
鏈接地址:http://m.jqnhouse.com/p-1574676.html