中文版-)鐵路應用-通信、信號和過程控制系統(tǒng)-信號的安全相關電子_第1頁
中文版-)鐵路應用-通信、信號和過程控制系統(tǒng)-信號的安全相關電子_第2頁
中文版-)鐵路應用-通信、信號和過程控制系統(tǒng)-信號的安全相關電子_第3頁
中文版-)鐵路應用-通信、信號和過程控制系統(tǒng)-信號的安全相關電子_第4頁
中文版-)鐵路應用-通信、信號和過程控制系統(tǒng)-信號的安全相關電子_第5頁
已閱讀5頁,還剩48頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、中文版-)鐵路應用-通信、信號 和過程控制系統(tǒng)-信號的安全相 關電子作者:日期:中文版)鐵路應用_通信、信號和過程控制系統(tǒng)_信號的安全相關電子.txt27 信念的力量在于 即使身處逆境,亦能幫助你鼓起前進的船帆;信念的魅力在于即使遇到險運,亦能召喚你鼓 起生活的勇氣;信念的偉大在于即使遭遇不幸,亦能促使你保持崇高的心靈。本文由lizf0710 貢獻doc 文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT,或下載源文件到本機查看。EN 50129:2003英國標準BS EN 50129:2003鐵路應用-鐵路應用-通信,信號和過程控制系統(tǒng)-通信,信號和過程控制系統(tǒng)-信號的 安全相關電子系統(tǒng)信

2、號的安全相關電子系統(tǒng)1EN 50129:2003國家前言該英國標準是EN50129 : 2003 的官方英文標準它代替了 被撤回 的DD ENV50129:1999標準.GEL/9技術委員會委托英國參與了它的準備,鐵路電子技術應用組織即 GEL/9/1子委員會,信號和通信,職責是:-幫助調查人理解文章;-提出可 靠的歐洲委員會的要求來分析或者提出改進意見,并保證英國的利益;-關注相關的國際和歐洲發(fā)展,并在英國發(fā)布它們;一系列的組織給子委員會提出的意見可在它的秘書處獲得.交叉的參考 本英國標準應用國際的或者歐洲的關于本文件的出版物,它可能在”國際標準相 應的索引"部分的BSI目錄中找到

3、,或者是使用BSI電子目錄的或者英國標準在線的”查找"工具.它的出版并不意味著包括一個合同所有必要條款,英國標準的使用者有責任正確使用該標準.依從一個歐洲標準并不是指本人免除法律責任.依從一個歐洲標準并不是指本人免除法律責任總共的頁數 該文檔包括前封面,內前封面,EN名稱頁,2到94頁和內后封面和后封頁. 在文檔最終出版后,BSI的版權日期在文檔中指出.出版后的修訂 修訂次數 日期 內容2EN 50129:2003英文版本鐵路應用-鐵路應用-通信,信號和過程控制系統(tǒng)-通信,信號和過程控制系 統(tǒng)-信號的安全相關電子系統(tǒng)信號的安全相關電子系統(tǒng)這個歐洲標準在 2000-11-01 被CEN

4、ELEC提出,CENELEC的成員應該遵守 CEN/CENELEC 國際標準,它規(guī)定了該歐洲標準在無修改的情況下作為國際標準的一些情況.最新的目錄和關于國際標準的相關參考數目可以在中心秘書處或者任何CENECEC的成員那里獲得.這個歐洲標準有三個官方版本(英,法,德).CENECEC的成員可將一種版本譯為他們的語言,并且通知中心秘書處,這樣有作為官方版本的同樣地位.CENELEC歐洲電工標準協(xié)會3EN 50129:2003前言 本歐洲標準由SC9XA準備,屬于技術委員會 CENECEC TC 9X鐵路電子和電子 設 備的通信,信號和處理系統(tǒng).屬于正式文件文本的草稿在2002-11-01 作為E

5、N50128由CENECEC提出 .這個歐洲標準取代了ENV50129:1998這個歐洲標準是在 CENELEC的授權下通過歐洲委員會和歐洲自由貿易組織,96/48/EC 指示的本質要求來準備的.下面是確定的日期,-通過國際標準的出版或批注 ,這個標準作為國際標準來實施的最近日期2003-12-01 -與這個標準沖突的國際標準排斥在外的最近日期2005-11-01 標注"標準化”的附件是標準的一部分 標注"非標準”的附件僅供參考.該標準中,附件A,B,C 是標準化的,附件D,E是非標準化的4EN 50129:2003內容引言 .51范圍 .7 2 合乎規(guī)范的參考 .73 定

6、義 .8 3.1定義.93.2 參考 .9 4標準的整體框架 . .115安全接受和承認的條件 .125.1 安全情形 .12 5.2質量管理根據.12 5.3安全管理根據 .12 5.4功能和技術安全根據.125.5 安全接受和承認 .12附件A(規(guī)范)安全完善度等級 13A.1 弓丨言 .13 A. 2 安全要求 .13A. 3安全完善度 A. 4安全完善度要求分配A. 5安全完善度等級附件B(規(guī)范)詳細的技術要求B.1引言B.2正確的功能操作的保證B.3錯誤的影響B(tài).4對外部影響的操作 B.5有關安全應用的條件B.6安全質量測試 附件C(規(guī)范)硬件組成錯誤模式的鑒定C.1引言C.2常規(guī)程

7、序C.3完整電路程序(包括微處理器)C.4固有的物理性質組成程序C.5有關組成錯誤模式的常規(guī)信息C.6附帶的常規(guī)信息,有關固有物理性質的組成C.7有關固有物理性質的組成的特殊信息附件D(情報)補充技術信息77 D.1引言 77D.2 完成物理內在獨立性.77D.3 完成物理外在獨立性.78D.4單個錯誤分析方法的例子.79D.5 多個錯誤分析方法 .80附件E(情報)為系統(tǒng)錯誤和控制隨機及系統(tǒng)錯誤,為與安全相關的電子系統(tǒng)傳輸信號 制定了技巧和方法 855EN 50129:2003參考書目 941 CENELEC鐵路應用標準的主要范圍.82EN50129 的結構.153 安全事例結構.174系統(tǒng)

8、生命周期舉例 .195設計和系統(tǒng)生命周期有效部分舉例 216 獨 立性排列227技術安全報告結構268安全性承諾和安全性批準過程289安全性事例/安全性批準間獨立性舉例 29A1 安 全 要 求 和 安 全 完 整性X .30 A 2 全部過程回顧32 A 3風險分析過程舉例33A 4有關系統(tǒng)界限危險的定義34A5危險控制過程舉例.36A 6解釋故障和補救次數37A 7由 FTA處理的功能獨立性38A 8安全完整性水準和技巧間的關系40B.1 影響項目獨立性的因素46B.2 檢測和否定單個錯誤49D.1錯誤分析方法舉例81A1安全完整性水準表.41 表 C.1 電阻器61表 C.2 電容器.6

9、2表 C.3 電磁組件.63 表 C.4二極管.66 表 C.5 晶體管.67表 C.6控制整流器.69表 C.7 過負荷干擾抑制器.71表 C.8 光電子組件.72表 C.9過濾器.73表 C.10內部組件.74表 C.11-保險75表 C.12-開關和按鈕75 表 C.13-電燈75表 C.14-電池 75表C.15-變送器/傳感器(不包括內部電路)76 表C.16-集成電路 76表D.1-在大規(guī)模集成電路通過周期性在線測試的手段來檢測故障的 措施的例 子 82表E.1-安全計劃和主動的質量保證.86表E.2-系統(tǒng)要求的技術規(guī)格87表E.3-安全組織 87表E.4-系統(tǒng)/子系統(tǒng)/設備的建8

10、8EN 50129:2003表E.5-設計特色 89表E.6-故障和危險分析的方法 90表E.7-系統(tǒng)/子系統(tǒng)/設備的設計和研發(fā)91表 E.8-設計的階段性文檔 91表E.9-系統(tǒng)和產品設計的鑒定和確認92表 E.10-應用,運行和維護 937EN 50129:2003前言本標準是鐵路信號領域內定義電子安全系統(tǒng)認可和支持要求的第一個歐洲標準目前,國際上存在的語詞有關的只有國際鐵路聯(lián)合組織(UIC)提出的整體建議和一些國家提出的互不相同的建議針對信號的電子安全系統(tǒng)包括硬件和軟件兩部分要安裝完整的安全系統(tǒng),必需 考慮系統(tǒng)整個生命周期中的兩個部分,即對硬件安全的要求和在標準上對整個系統(tǒng)定義的要求,期

11、于要求在CENELEC標準上有要求.歐洲鐵路機構和歐洲鐵路工業(yè)在發(fā)展一種基于 一般標準并能夠相互兼容的鐵路系統(tǒng)因此,對于系統(tǒng)安全支持方面和不同國家鐵路機構要求方面橫向認可是必須的此文件就電子系統(tǒng)在鐵路信號方面安全認可與支持的歐洲通用 的基礎橫向認可的目的在于一般的支持,不是特殊的應用當它成為一個 EN時公眾在 有關鐵路信號電子安全系統(tǒng)的歐洲攝取內的獲得將會關系到這個標準本標準包括主要部分(第一章到第五章)和附錄A,B,C,D,E.在此標準中 主要部分和附錄 A,B,C中定義的要求是 規(guī)范的,而附錄D和E是非正式的本標準和EN50126 (鐵路裝置RAMS)中相關的章節(jié)有 關聯(lián)本標準和EN501

12、26都是基于系統(tǒng)的生命周期和EN61508 1.在涉及到鐵路通信信號和外部系統(tǒng)時,EN61508-1被EN50126/ EN50128/ EN50129取代了 買組這些標準的要求將 來遵守 未評價的EN61508 1是足夠的因為標準是關于安全系統(tǒng)的支持所顯示出來的現(xiàn) 象,所以它使生命周期的行為特殊化,這些行為需要在認可階段之前完成,隨之而來的是額外的計劃行為對整個生命周期的安全檢測就是這樣被要求的本標準是關于顯現(xiàn)出來的現(xiàn)象,除了認為是合適的地方,它沒有規(guī)定誰將執(zhí)行必須的工作,因為這在不同環(huán)境下是不相同的 EN50128定義了包括可編程電子器件和軟件附加條件的安全系統(tǒng) EN50159 1和EN5

13、0159- 2定義了對安全數據通信的額外要求8EN 50129:20031 范圍本標準適用與鐵路信號設備上用的電子安全系統(tǒng)(包括子系統(tǒng)和設備)圖1表 示了本標準的范圍和它與其他CENELEC標準的關系本標準適用與所有的鐵路信號安全系統(tǒng),子系統(tǒng)及設備然而,EN50126中定義的事故分析和危險估計程序和本標準對于所有的鐵路信號 系統(tǒng),子系統(tǒng)及設備是必須的安全要求如果分析結果顯示 沒有安全要求(例如:這種情況下是不安全的),并且結論沒有修改行為后來變化的結果,本安全標準就會停止使用分類, 設計,建設,安裝,認可,操作,維護和修改及擴展等功能也適用與完整系統(tǒng)中的個人子系統(tǒng)和設備附錄C包含了和電子硬件部

14、分相關的程序本標準又適用與一般的子系統(tǒng)和設備(獨立的使用和某種特殊的使用),也可在 系統(tǒng),子系統(tǒng),設備上有特殊的使用本標準不適用與現(xiàn)存的系統(tǒng),子系統(tǒng)和設備(例如在本標準之前已經被接受的系統(tǒng),子系統(tǒng)和設備)然而,只要合乎實驗性,本標準也被用來修改或擴展現(xiàn)存的系統(tǒng),子系統(tǒng)和設備本標準主要用于鐵路信號傳輸設備的專門設計和加工的系統(tǒng),子系統(tǒng)及設備作為信號傳輸安全系統(tǒng)的一部分,如果現(xiàn)實允許,也可被用于真體的構思或一些工業(yè)設備(如:能源的供應,調配等)即使在最小限度時,可根據顯示,設備或者依賴于安全或者依賴于與安全相關的這些功能本標準適用于鐵路信號傳輸系統(tǒng)功能上的安全它不是處理個人的職業(yè)上的健康和安全,這

15、一課題在其他的標準上有說明2 參考標準歐洲標準參考了其他出版物里的更新后未更新的部分這些標準參考在本文適當 的地方被應用,下面列出了被參考的出版物 對于更新過的參考,后來的修訂當需要 的時候也被歐 洲標準引用沒有更新過的參考,出版物最新的版本有所提及 (包括修 改的部分)9EN 50129:2003注意:附加的非正式的參考在目錄里 EN50121 系列EN50124 1需求.EN50124 2EN50125-1 備 EN50125 3 EN 50126 和說明 EN 50128 EN 50155 EN 50159 1 鐵路應用 通信,用于鐵路控制和系統(tǒng)保護的信號處理系統(tǒng)鐵路應用一一電氣設備在r

16、ollingstock上的應用鐵路應用一一通信,信號處理系統(tǒng)一一第一部分:在閉環(huán)傳輸系統(tǒng)中與安全相關的通信EN 50159 2鐵路應用一一通信,信號處理系統(tǒng)一一第二部分:在開環(huán)傳輸系統(tǒng) 中與安全相關的通信 EN 61508 1電氣,電子,可編程的安全電氣設備系統(tǒng)一一第一 部分:主要需求(IEC61508) IEC 60664 系列 在低電壓系統(tǒng)的絕緣調配鐵路應用一一環(huán)境 需求一一第三部分:信號傳輸與通信設備鐵路應用一一可靠性,可用性,可維護性和安全性 (RAMS規(guī)范 鐵路應用一一絕緣調配一一第二部分:過電壓及其先觀保護鐵路應用一一環(huán)境需求第一部分:board rolling stock上的設

17、鐵路應用電磁兼容鐵路應用絕緣調配第一部分:電力電子設備絕緣的基本3 定義和縮略詞3.1定義在本標準中下面的定義將被用到 3.1.1 故障 系列故障 3.1.2 評估 分析設計部門和產業(yè)部門生產的產品是否滿足規(guī)定的要求,并形成一套判別產品是否按其預定功能進行工作這個過程稱為評估10導致死亡,受傷,系統(tǒng)或設備損失或者破壞環(huán)境的無意中的故障或一EN 50129:20033.1.3 授權書 按規(guī)定使用產品的正式許諾.3.1.4 可用性 一個產品在給定一段時間,在一定條件下按要求實現(xiàn)功能的能力,以及在所需求的外部資源被提供的前提下,其在給定的一段時間執(zhí)行的能力 3.1.5 可能 可能發(fā)生的.3.1.6

18、偶然性分析 分析一種專門的危害 存在的原因.3.1.7普通一偶然故障一些具有獨立功能的設備失效.普通一3.1.8 結果分析 分析在一個危害發(fā)生后,可能出現(xiàn)的情況.3.1.9 圖表 表明硬件的結構和相互聯(lián)系以及 系統(tǒng)軟件的功能.3.1.10橫向認可 一個產品被一個權威乃至相關歐洲標準認可并且被最高權威認可,這樣一種程度3.1.11 設計 計方法.3.1.12設計權威 此體系負責開發(fā)一套設計方法的公式去執(zhí)行規(guī)定的需求并遇見隨這是一種為了將規(guī)定需求通過分析和轉換,使其滿足可靠性要求的設后的發(fā)展,使一個系統(tǒng)在預定的環(huán)境中工作3.1.13 發(fā)送3.1.14 設備3.1.15 誤差這是一種用多種互不相同的

19、方法來實現(xiàn)全部或部分特殊要求的方式起作用的物理裝置 與預先設計結果相偏離,并會導致系統(tǒng)發(fā)生副作用或失效 .這個概念是包含在一個產品的設計當中,如產品看似處于安全3.1.16失效一安全 失效一狀態(tài),但實際上已經失效了 . 3.1.17 失效 偏離系統(tǒng)規(guī)定的行為,是系統(tǒng)錯誤或誤差導致 的結果.3.1.18錯誤一種非常規(guī)導致系統(tǒng)失效的條件,一個錯誤是隨即的或有規(guī)律發(fā)生的.3.1.19錯誤發(fā)現(xiàn)時間 從錯誤發(fā)生的一瞬間到被發(fā)現(xiàn)為止的異端時間3.1.20功能 一個產品執(zhí)行其規(guī)程的行為模型3.1.21 危害 導致事故的情況 3.1.22危害分析 堅定危害分析及其產生原因,以及違反法制危害可能發(fā)生的要求和在一

20、定程度上危害所造成的后果3.1.23 危害記錄 一個包含所有安全管理活動,危害堅定,決策生成的文檔,用于存 檔和參考3.1.24認為錯誤 導致系統(tǒng)發(fā)生副作用的人的行為(失誤)3.1.25 執(zhí)行為了將規(guī)定的設計轉化為物理的實現(xiàn)而進行的活動11EN 50129:20033.1.26 獨立(功能)由于機械具有的多功能而影響到正確操作 ,從而導致系統(tǒng)故障獨立(功能)或突發(fā)故障的機械裝置中寄托出來 3.1.27 獨立(人工)獨立(人工)3.1.28 獨立(物理)獨立(物理)從需要相同智力,商業(yè)或管理試題中解脫出來.從由于多功能而影響正確 操作幾導致系統(tǒng),副系統(tǒng),設備發(fā)生突發(fā)故障的機械裝置中解脫出來.3.

21、1.29個體風險3.1.30 維護性 一個僅僅有關獨立個體的風險.對于給定一種積極的維護行為,其在給頂使用條件的項目中的可行性,可以在相關條件和使用相關程序和資源的間隙中進行.3.1.31 維護 所有技術和管理行為的綜合,包括監(jiān)督行為,企圖保持一個項目或將其存儲,是一種可以表現(xiàn)其需求功能的狀態(tài).3.1.32可行性 可執(zhí)行性.3.1.33負面性 當發(fā)現(xiàn)一個危險的錯誤而破壞安全的狀態(tài).3.1.34負面時間負面時間3.1.35 生產3.1.36 質量 從一個危險錯誤的發(fā)生到結束,整個安全狀態(tài)被破壞的時間跨度.與形成滿足規(guī)定需求的一種方法相互關聯(lián)的元件組裝.使用者對于一個產品屬性的看法通過安全操作鐵路

22、系統(tǒng)而形成的完整的安全權威體系.一個系統(tǒng)能承受危險的突發(fā)故障的限度.3.1.37 鐵路權威3.1.38 突發(fā)故障強度3.1.39 突發(fā)故障無法預見發(fā)生的故障.3.1.40可靠性 提供一種或多種通常是相同的措施,來提供對故障的承受.3.1.41 可靠性一套裝置在給定條件下和規(guī)定時間內執(zhí)行特定功能的能力.3.1.42 修理3.1.43 風險將系統(tǒng),副系統(tǒng)及設備在失效后恢復即定狀態(tài)的重建方法.發(fā)生特定危害的頻率,可能性及后果的集合體.一種持續(xù)安全的狀態(tài).不發(fā)生一定程度上的重大風險 .3.1.44安全狀態(tài)3.1.45 安全度3.1.46 安全度認可最后一個使用者對產品安全狀態(tài)的認可3.1.47安全度規(guī)

23、定定.3.1.48安全度權威負責對與系統(tǒng)相關的安全操作發(fā)表授權.當產品已經執(zhí)行一系列先決條件后必須對安全狀態(tài)進行權威認3.1.49 安全庫 報名產品遵從規(guī)定安全需要的文檔.3.1.50 安全度 在運行的各個階段各種操作環(huán)境及所有的狀態(tài)條件下,安全相關系12EN 50129:2003統(tǒng)達到安全功能的能力.3.1.51安全度標準 能的數字.3.1.52安全度生命周期對于安全有關的系統(tǒng)的生命周期中執(zhí)行的一系列動作3.1.53安全度管理3.1.54 安全計劃 確保過程被安全執(zhí)行的結構.如何達到工程的安全需求的執(zhí)行細節(jié) .在考慮系統(tǒng)錯誤的前提下 一個表明系統(tǒng)自我滿足規(guī)定安全功3.1.55 安全流程對于一

24、個產品所有安全要求進行鑒定和滿足的一系列步驟3.1.56 相關安全度 對安全度負責.3.1.57命令 強制執(zhí)行的.3.1.58建議 被提議的.3.1.59信號系統(tǒng)由于鐵路控制和保護火車正確運行的專門的一類系統(tǒng).3.1.60 壓力承受當一個產品執(zhí)行特定功能時所承受的大量外部影響的程度3.1.61 副系統(tǒng) 系統(tǒng)中執(zhí)行特殊功能的一部分.3.1.62 系統(tǒng) 通過設計,使一系列副系統(tǒng)相互作用而組成的.3.1.63 系統(tǒng)失效度系統(tǒng)從危害性誤差和原因中恢復的能力.3.1.64系統(tǒng)錯誤 對于一個系統(tǒng),在規(guī)范,設計,組構,安裝,執(zhí)行或維護中內部發(fā)生的錯誤.3.1.65系統(tǒng)生命周期 活動.3.1.66技術安全報告

25、對系統(tǒng),副系統(tǒng)及設備設計的安全進行論證的報告.3.1.67 有效性 一系列通過測試和分析來表明產品滿足各方面安全規(guī)范的行為.3.1.68鑒定一種通過分析和測試,在系統(tǒng)生命周期的每一個階段,對所分析和測試的階段滿足前一階段的輸出,和該階段按規(guī)定輸出進行堅定的行為從一個系統(tǒng)開始構造到該系統(tǒng)失效這段時期內進行的一系列3.2縮略詞下面是該標準中用到的縮略詞:3.2.1 322 AC ATP 交流電 列車自動保護13EN 50129:20033.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10 3.2.11 3.2.12 3.2.13 3.2.143.2.15

26、 3.2.16 3.2.17 3.2.18 3.2.19 3.2.20 3.2.213.2.22 3.2.23 3.2.24 3.2.25 3.2.263.2.27CENELEC CCF DC EMC EMI EN ESD FET FMEA FR FTA H HW IEC IRSE ISO RAMS SCR SDR SDT SIL SW THR UIC VDR歐洲電氣標準委員會常見故障原因 直流電電磁相容性電磁干擾歐洲標準靜電釋放場效應管故障建模和分析故障率故障樹 分析 危害 硬件 國際電工技術委員會鐵路信號工程機構國際標準組織 可靠性,可行性,維護性和安全性可控硅校驗器安全下降率安全下降時間

27、安全度標準軟件危害可承受度 國際鐵路聯(lián)盟 電壓電阻器4該標準所有框架歐洲標準中第五條款要求采用一個有規(guī)律的,有文擋的-質量管理記錄14EN 50129:2003-安全管理記錄-功能和技術安全記錄-規(guī)定安全度附錄A定義安全度標準的使用和結實.附錄B包含安全相關的系統(tǒng),副系統(tǒng)及設備的技術細節(jié)要求.附錄C包含堅定可修復硬件故障的步驟和信息的方法.附錄D包含附加的技術信息.附錄E目錄 包含用于安全度各個標準的技術,方法目錄.包含在執(zhí)行著套標準期間所需查詢文檔的說明.5為保證安全所允許的條件5.1安全情況該標準定義的條件應滿足為保證與安全有關的電氣鐵路系統(tǒng),副系統(tǒng)及設備按其 預期目的可以被足夠安全的應用

28、.在該標準中有關的部分是以.下三個標題為基礎的,分別稱為:-5.2 質量管理記錄-5.3 安全管理記錄-5.4功能和技術安全記錄在與安全有關的系統(tǒng)可以足夠安全的被使用之前,所有這些條件都應達到系統(tǒng),副系統(tǒng)及設備要求的水平.已經與這些條件相符合的文檔記錄應當被包含進一個安全堅定文檔,即安全庫.安全庫組成所有遵從相關安全權威的文檔記錄的一個部分,為了得到一個一般產品,一組應用或一個特殊應用的安全要求規(guī)范.對于安全規(guī)范過程的解釋,見該標準的5.5部分.安全庫包含系統(tǒng),副系統(tǒng)及設備的安全文檔記錄,可以分為如下結構:系統(tǒng)(或副系統(tǒng)及設備)第一 部分 系統(tǒng)(或副系統(tǒng)及設備)定義 應明確定義或表明安全庫所指

29、的系統(tǒng),副系統(tǒng)及設備,包括類型編號,所有需求的修改權限,設計和應用性的文檔.15EN 50129:2003第二部分質量管理報告該部分包括質量管理記錄,如該標準中5.2部分提到的第三 部分安全管理報告該部分包括安全管理記錄,如該標準中5.3部分提到的第四部分技術安全報告該部分包括功能和技術安全的記錄,如該標準中5.4部分提到的第五部分相關安全庫 該部分包括與安全庫所依靠的所有副系統(tǒng)及設備有關的安全庫同時應該表明所有與安全有關的應用條件都應規(guī)定每一個相關的副系統(tǒng)及設備的安全庫要么是在主安全庫中執(zhí)行,要么在主安全庫中與安全庫有關的應用條件下執(zhí)行第六部分結論該部分應簡要概括在安全庫先前部分的記錄,并討

30、論相關系統(tǒng),副系統(tǒng)及設備是 否足夠的安全,是否遵從專業(yè)的 應用條件安全庫的結構用圖表3說明.明確規(guī)定大量細節(jié)的記錄和輔助類文檔不需要包含進安全庫和它的子庫,也不需要提供明確的用于此類文檔的解釋,同時也不需要提供基本概念的應用和所采用的途徑5.2 質量管理記錄安全規(guī)范的第一個條件就是系統(tǒng),副系統(tǒng)及設備的質量應得到保證,并且還應在其整個生命周期中被一套有效的質量管理系統(tǒng)控制文檔記錄是該要求在質量管理報 告中的表現(xiàn),它形成了安全庫中的第二個部分質量管理系統(tǒng)目的是使在系統(tǒng)生命周期的每個階段的人為故障最小化,同時也減小系統(tǒng),副系統(tǒng)及設備中系統(tǒng)故障的發(fā)生質量管理系統(tǒng)應當在系統(tǒng),副系統(tǒng)及設備整個生命周期中應

31、用,如定義的EN50126. 個系統(tǒng)生命周期的例子(在EN50126標準下),由該標準的圖表 4 描述EN50129:2003 注釋:下面是一 個有關質量管理體系和質量管理報告所包括的幾個方面的例子一一組織的結構一一質量計劃和步驟16EN 50129:2003需求說明書一一控制設計一一檢查和復查設計一一工程應用一一采購和制造產品鑒定和跟蹤一一管理和存儲 一一檢查 一一不一致性和正確的行動一一包裝和發(fā)送 一一安裝和授權一一操作和維護一一質量管理和售后服務一一文檔和記錄一一配置的管理或更改控制一一操縱指導一一質量審計和使用情況調查一一運行狀況遵從質量管理的要求是保證1到4完全安全水平所必需的(見兼

32、并A中對完全 安全水平的解釋)然 而,記錄的深度和輔助類文檔的擴展應適應系統(tǒng),副系統(tǒng)及設 備的完全安全水平(見表格E.1和表格E.8中對每個完全安全水平所需記錄的結實).完全安全0水平(不安全)的要求不在該安全標準所探索的范圍17EN 50129:20035.3安全管理措施5.3.1概述 為了保證安全相關的鐵路信號電子系統(tǒng)/子系統(tǒng)/設備安全所必須滿足的條件之二是安全管理措施,他應該與EN50126中所到的可靠性,可用性,可維護性和安全性的管理過程相一致,目的是進一步減少和安全相關的認為失誤.進而減少系統(tǒng)故障風險.下面5.3.2到5.3.13就簡要的介紹了安全管理過程因素.在安全管理報告中將提到

33、有關安全管理過程中的各素都遵從生命周期概念的書面證據,即是安全案例的第三部分,這其中不包含大量的詳細的證據和提供的文獻,只是一些簡單的索引.安全管理措施的運用對于安全完整 性水準的1到4來說是強制性的.(參考安全 完整性水準的解釋附錄A)然而,所提供的證據的深度和所支持文獻的廣度對于安全的系統(tǒng)/子系統(tǒng)/儀器設備的安全完整性水準來說應該是合適的.安全完整性水準為0的(認為不安全)是不符合安全標準的.為了證實安全完整性所提到的標準對每一種特殊的情形都是適用的.那么在EN50126中定義的危害分析和風險評估過程都是必要的.這也包括那些分析和評估認為安全完整性水準認為是0的情況.然而,一旦得出這樣的結

34、論,(也就是說這種情況是不安全的),那么,這種安全標準就不再適用5.3.2安全的生命周期這種安全管理過程包括很多階段和行為,因此形成了安全生命周期.這應該與EN50126中提到的系統(tǒng)生命周期相一致,即是圖4所顯示標準的一種復制系統(tǒng)生命周期的設計和有效性部分可以看作是”頂部一一底部”和"底部一一頂部”兩個階 段.(也就是V形)如圖5所示.5.3.3安全機構 安全管理過程應該在安全機構的有效指導下執(zhí)行安全機構應該任用那些被指任為扮演特殊角色的有能力的人來組成對這些人進行包括技術知識,認證,相關經驗 和正確的訓練的能力的評估和記錄應該根據大意公認的標準來執(zhí)行對于所有安全完整性水準的所要求的

35、安全機構知道下的不同角色之間應該有一個相互獨立 的度,正如圖6和表E.3所示18EN 50129:20035.3.4安全計劃在生命周期的開始應該指定一個安全計劃,這個計劃應該體現(xiàn)整個生命周期安全管理的結構,安全相關的活動和論證的轉折點.還包括每隔一定間隔進行安全計劃復查的要求.如果對原始系統(tǒng)/子系統(tǒng)/儀器設備進行一系列的改動或增加的話,我們就 應該及時更新或復查安全計劃.如果有類似這樣的變動,那么在生命周期的恰當的位置對變動所引起的包括硬件和軟件安全方面的影響就應該被重新評估.參照表E.1對于每一個安全完整性水準安全計劃所作的指導安全計劃應該處理系統(tǒng)/子系統(tǒng)/儀器設備的各個方面,包括硬件和軟件

36、.對于軟 件的各個方面問題在EN50128中已經論述過.安全計劃應該包括安全案例計劃他 將體現(xiàn)最終安全案例的預期結構和重要內容.5.3.5 危害日志 在整個生命周期過程中應該創(chuàng)建并維護一個危害日志,正如在EN50126所解釋 的,它應該包括一系列公認的危害,還有對于每一種危害的風險分類和風險控制信息,如果對系統(tǒng),子系統(tǒng)或儀器設備有任何修改和變動,危害日志都應該被升級.5.3.6安全要求 對每一種系統(tǒng)/子系統(tǒng)/儀器設備的特定的安全要求包括功能安全要求和安全完整性要求,這些要求應該在安全具體方面里面明確標識和記錄,可以通過EN50126中 提到的這幾個方面完成:1.危害標識和分析2.風險評估和 分

37、類3.安全完整性水準的分配附錄A中包括了一些鐵路電子系統(tǒng)的安全完整水準的信息.注:安全要求可能包括在系統(tǒng)/子系統(tǒng)/儀器設備功能要求中或可以被寫作為獨立的文檔,參照表E.2對與每一條安全完整性水準在系統(tǒng)需求方面的指導.5.3.7 系統(tǒng)/子系統(tǒng) 儀器設備的設計系統(tǒng)子系統(tǒng)/儀器設備的設計子系統(tǒng)生命周期的這一階段應該做這樣一種設計,此設計將完成特定的操作和安全要求,我們將運用頂部一一底部的這樣的一套方法且有嚴格的控制和復查文檔.特定情況下,通過軟件需求和軟件/硬件整合而再現(xiàn)的軟硬件之間的關系 應該得到 嚴格的管理.標準EN50128中也有所提及.表E.7給出了對每一種安全完整性水 準來說系統(tǒng)/子系統(tǒng)/

38、儀器設備在設計和進展方面的指導.19EN 50129:20035.3.8安全復查 在生命周期的適當階段應該做一下安全復查,這些復查應該在安全計劃中明確規(guī)定,在復查同時要記錄結果,如果對系統(tǒng),子系統(tǒng)或器設備有任何改動或擴展 ,那么 我們 都應該對其進行復查.5.3.9 安全核對和證實 安全計劃應該包括或索引一些這樣的計劃,他們能核對生命周期的每一個階段都 能滿足在先前那些階段中提到的具體的一些安全要求,并且能證實已經完趁個的系統(tǒng) /子系統(tǒng)/儀器設備是與原始的安全性的具體要求相對應的.我們應該去完成這些步驟并且將其結果做一詳細記錄,包括正確的測試和安全分 析,在接下來的而已系列的對系統(tǒng) /子系統(tǒng)/

39、儀器設備的變動和增加中應該正確的重復以上操作.對核對人和確認人來說,獨立的必要性的度應該與仔細檢查下的系統(tǒng)/子系統(tǒng)/儀器設備的安全完整性水準相一致,可以參照圖6和表9,對于每一種安全完整性水準的核對和證實的技術/方法的指導依照安全局的見解,評估員應該是供應方組織或是顧客組織的成員,但在這些情況下,評估員應該是1.經安全局授權的2.從項目團隊中完全獨立出來的3.與安全局完全溝通的5.3.10安全判斷使得系統(tǒng)/子系統(tǒng)/儀器設備滿足安全接受所規(guī)定的條件的措施應該以一安全案例的形式出現(xiàn)在結構完整的安全判斷文擋中,參照5.1中所解釋的.系統(tǒng)/子系統(tǒng) 儀器設備的移交5.3.11系統(tǒng) 子系統(tǒng)/儀器設備的移交

40、子系統(tǒng) 在將系統(tǒng)/子系統(tǒng)/儀器設備移交給鐵路當局之前,應該滿足5.5中規(guī)定的安全接受和安全論證條件,并且同時遞交安全案例和安全評估報告.5.3.12運行和維護隨著移交的進行,我們還應該附加安全計劃和技術安全報告(安全案例的一部分)的第五部分所規(guī)定的手續(xù),支持系統(tǒng)和安全監(jiān)管.在系統(tǒng)運行的過程中,人們可能會 提出各種理由 而要求對系統(tǒng)做出改動.當然這些理由不一定安全,我們必須通過索引一些安全文檔的相關部分來評估一下這些要求改變的請求對安全方面的影響.當這些20EN 50129:2003要求改變的請求會引起一些變動,并且這些變動又將影響此系統(tǒng)或相關系統(tǒng)或周圍環(huán)境的安全時,我們應該運用安全生命周期的正

41、確部分以確保所實施的改變可以降低安全水準.參照表E.10對每一種安全完整性水準在應用,運行和維護方面的指導.5.3.13 停用設備并加以處理在系統(tǒng)運行周期的最后階段,我們必須停止使用該設備并且進行最后的清理,這些 操作必須與安全計劃和技術安全報告(安全案例的一部分)的第五部分所規(guī)定的操作相一致.5.4功能和技術措施除了滿足5.2和5.3中提到的質量和安全管理的措施之外,要使系統(tǒng)/子系統(tǒng)/儀器設備的預期應用能被安全的接受,那么還要滿足這第三個條件,也就是功能和技術安全措施,這其中包括為了滿足設計的安全要求所提到的技術措施,這一措施應該在安全技術報告中記錄下來,即是系統(tǒng)/子系統(tǒng)/儀器設備的安全案例

42、的第四部分,參照5.1技術安全報 告對與安全完整性水準的1到4來說是強制執(zhí)行的(參照安全完整性水準的附錄A),然而這些信息的深度和做支持文獻的廣度,對于仔細檢查下的系統(tǒng)/子系統(tǒng)/儀器設備的安全完整性水準應該是相吻合的,對于安全完整性水準為0的請求是不在安全標準范圍之內的.技術安全報告應該對技術原則做出解釋,這些技術原則確保了技術的安全性,包 括所有支持的措施(如設計原理和計算,具體測試和結果及安全分析)我們對技術安全報告做了如下標題第一部分概述這部分將概述此設計,包括對安全所依賴的技術安全原理的概要,以及根據標準使系統(tǒng)/子系統(tǒng)/儀器設備安全內容得到擴展.這部分也將提到作為設計的技術安全基礎 的

43、標準(及他們的頒布)如果對已經投入運行的或標準生產的或在發(fā)展的完成階段時的儀器 設備進行變動或增加.作為一個例外,被用作原始設計標準的頒布可以作為一個基礎,這些已經在原始設備的論證中被接受了 ,這些在以下情況下可能會得到應用.即當考慮到新標準的頒布實施可能要求對已經存在設備的進一步改動或者可能招致變化所帶來的不合理的高費用時.以下將給出對于以上陳述的理由.21EN 50129:2003第二部分確保正確的功能操作根據特殊規(guī)定的操作和安全的要求,這一部分將演示在無故障的正常情況下(即不存在故障)對系統(tǒng)/子系統(tǒng)/儀器設備進行正確操作的必要措施.包括以下方面,在B.2中有更詳細的說明2.1 2.2 2

44、.3 2.4 2.5 2.6系統(tǒng)結構的描述(參考B.2.1和表E.4)相互交叉操作的定義(參考B.2.2) 系統(tǒng)需求的實施(參照B.2.3) 安全需 求的實施(參照B.2.4) 確保正確的硬件功能(參照B.2.5) 確保正確的軟件功能(參照 B.2.6)第三部分 故障的影響這部分將描述系統(tǒng)/子系統(tǒng)/儀器設備繼續(xù)滿足特定的安全需求包括在隨機硬件故障下數量上能達到一定的安全目標另外,盡管在5.2和5.3中規(guī)定了質量和安全管理過程,但系統(tǒng)故障仍存在.這部分將描述采取一些技術措施使將來風險降低 到一個可接受的水準.這部分也將說明在安全完整性水準低于整個系統(tǒng)的也包括水準為0的任何一個系統(tǒng)/子系統(tǒng)/儀器設

45、備產生的故障,將不會降低整個系統(tǒng)的安全性.這部分將包括以下題目,中有更詳細的需求描述.E.5 表E.6中也有所提及.B.3表3.1 3.2 3.3 3.4 3.5 3.6單一故障的影響(參照B.3.1) 項目獨立性(參照B.3.2)單一故障檢測(參照B.3.3)檢測后應采取的措施(參照B.3.4)多個故障的影響(參照B.3.5)防御系統(tǒng)故障(參照B.3.6)額外影響的操作第四部分這部分將描述遇到在系統(tǒng)需求中所提到的額外影響時系統(tǒng)/子系統(tǒng)/儀器設備1.繼續(xù)履行它的具體操作需求2.繼續(xù)履行它的具體安全需求(包括存在故障情況下)安全案例只有在額外影響的特定范圍內是有效的,正如在系統(tǒng)需求中所定義的.在

46、這些限定之外不能確保安全,除非實施額外的特殊措施用來支持特定的額外操作22EN 50129:2003的方法將得到解釋和判定.更詳細的信息可參照B.4第五部分有關安全的應用條件這部分將強調在系統(tǒng)/子系統(tǒng)/儀器設備的應用中應遵循的法則,條件和限定.這 也包括一些相關的子系統(tǒng)和儀器設備的安全案例中所包含的應用條件更詳細的信息可參照B.5,同時在表E.10中也有所指導第六部分安全資格審查這部分將演示在安全資格審查的操作條件下的一些成功的例子.可參照B.6技術安全結構可參照圖7 5.5安全接受和論證這部分定義了與安全相關的電子系統(tǒng)/子系統(tǒng)/儀器設備的安全接受和論證部分.除了認為是合適的地方,其他地方并沒

47、有特殊強調應該由誰在每個 階段來做這項工作,因為它是隨著環(huán)境的變化而變化的.5.5.1 概述正如5.1所提到的.為了保證與安全相關的鐵路信號電子系統(tǒng)/子系統(tǒng)/儀器設備 安全所必須滿足的三個條件如下:1.質量管理措施2.安全管理措施3.功能和技術安全措施這三個條件已經在5.2 和5.3 和5.4 中提到 正如5.1和圖3所顯示的,安全案例中應包括質量管理措施,安全管理措施和功能技術安全措施可以考慮安全案例的如下三種不同的分類:1.一般的產品安全案例(獨立應用)一般產品可用做各種不同的獨立應用2. 一般的應用安全案例(應用分類)有相同功能的一般的應用可以劃分為一類3.特殊的應用安全案例(特殊應用)

48、特殊的應用只能用做一種特殊的裝置有必要告訴大家的就是對于每一種特定的應用,無論是環(huán)境的條件還是應用的23EN 50129:2003內容與一般的應用條件相兼容這一點是必要的(參照5.5.4)在以上三種分類中,安全案例和獲得安全論證程序的結構基本上是相同的.然而,對于特定的應用也有附加因素:在這種分類中,對于系統(tǒng)的應用設計和它的實際操作需要獨立的安全論證(例如:生產,安裝,測試和用于操作和維護的設施),基于此,對于特定應用的安全案例應該分成以下兩部分:1.應用設計安全案例:這包括特定應用的理論設計的安全措施2.實際操作安全案例:這包括特定應用的實際操作的安全措施這兩部分結構可見5.1和圖3 5.5

49、.2安全論證過程在考慮安全論證的操作之前,應該做出一份系統(tǒng)/子系統(tǒng)/儀器設備的獨立的安全評估報告和安全案例.這樣做是為了進一步確保能達到安全的必要水準,且將結 果記錄在安全評估報告中這份報告應該對安全評估員決定如何設計才能使系統(tǒng)/子系統(tǒng)/儀器設備(硬件和軟件)滿足特定要求的做法進行解釋,同時強調對系統(tǒng)/子系統(tǒng)/儀器設備的操作而言的一些附加條件像EN50126中所提到的安全評估的深度和對其操作的獨立性的限度都是基于風險分類的結果之上的為了增加可信度,安全評估員可能要求進行特定的測試整個文檔的措施應該包括:1.系統(tǒng)(子系統(tǒng)/儀器設備)需求;2.安全要求;3.安全案例 包括:第一部分:系統(tǒng)/子系統(tǒng)/

50、儀器設備的規(guī)定第二部分:質量管理報告(質量管理措施)第三部分:安全管理報告(安全管理措施)第四部分:技術安全報告(功能/技術安全措施)第五部 分:相關的安全案例(如果可能的話)第六部分:結論4.安全評估報告;根據安全案例中提 到的滿足安全接受的所有條件,并且依照獨立的安全評估結果.系統(tǒng)/子系統(tǒng)/儀器設備依法得到相關安全局的論證.安全評估人員對論證可24EN 50129:2003能會強制執(zhí)行一些額外條件(暫時的或永久的)對于一般性產品(即應用的獨立性)和一般性應用(即應用的等級分類)被一個安全局同意的安全論證和可能被其他安全局所接受(即相互接受),當然對于特定的應用而言是不可能的圖8顯示了針對三

51、種不同的安全案例的安全論證過程5.5.3安全論證完成之后當系統(tǒng)/子系統(tǒng)/儀器設備完成安全論證之后,我們應該對接下來的任何改動都要加以控制,可以利用即將作為新的設計的相同的質量管理,安全管理和功 能/技術安全標準來對其加以控制.所有相關文檔包括安全案例,都應該及時更新或由額外文檔來加以補充,并且提交這種改動的設計去論證.一旦將完成的系統(tǒng)/子系統(tǒng)/儀器設備交付使用,那么在技術安全報告(安全案例的一部分)的第五部分和安全計劃中規(guī) 定的正確的手續(xù),支持系統(tǒng)和安全監(jiān)管就應該使用,以確保在它的整個工作生命中的安全操作,這些操作包括運 行,維護,變動,擴展和最終的停止使用,這些行為由原始設計所運用的同 樣的

52、質量管理,安全管理和技術安全標準來控制包括安全案例在內的所有相關文檔都應該及時更新,并且把有變動或擴展的設計遞交上去加以論證.5.5.4安全論證之間的附屬地在5.1中提到過,系統(tǒng)的安全案例依靠其他子系統(tǒng)或儀器設備的安全案例.在這種情況下,就是說如果沒有先前相關子系統(tǒng)/儀器設備的安全論證,就不會有主干系統(tǒng)的安全論證.如果已經完成對一般產品或一般應用的安全論證,那么這將可能指導一種特定應用的安全論證沒有必要對每一種應用都重復這種一般性的論證過程.圖9就顯示了這種安全論證之間的附屬地.一種基于說明有目的的特定的應用的安全案例是與那些特定安全論證的實施在技術上是等價的.對這種特定應用有必要采取新的安全

53、論證.確保在附屬地的如下做法是必要的.即每一個安全案例的技術報告中提到的與安全相關的實施條件都要以高水準的安全案例來完成,否則提前進入以高水準的有安全應用條件進行執(zhí)行.25EN 50129:2003附錄A安全完整性水準A.1概述附錄對安全要求,安全完整性和有關安全系統(tǒng)在鐵路中應用的安全完整性水準的起源,分配和執(zhí)行都作了詳細的描述.對每種特定的鐵路應用,以允許的安全目標的形式出現(xiàn)的容許危險率是有關鐵路當局的責任.該標準未對其進行定義.EN50126中規(guī)定了安全管理過程A.2安全要求 以下兩部分提到了系統(tǒng)要求(或正確的子系統(tǒng)/儀器設備)(參照圖A.1):1.不涉及安全的要求(包括實際的功能要求);

54、2.涉及到安全的要求;涉及到安全的要求我們常常稱之為安全要求#,這些可能包括在獨立的安全的具體要求中我們把安全要求氛圍如下兩部分:1. 安全功能要求;2.安全完整性要求;安全功能要求實際上是系統(tǒng)/子系統(tǒng)/儀器設備的與安全相關的功能所要執(zhí)行的要求安全完整性要求定義了對每一種與安全相匚關的功能的安全完整性水準A.3安全完整性水準(SIL)安全完整性水準關系到安全相關系統(tǒng)性能的安全完整性要能完 成規(guī)定的安全功能安全完整性越高,他行使規(guī)定的安全功能的不成功率就越低安全完整性有兩部分構成(參照圖A.1):系統(tǒng)故障完整性26EN 50129:2003隨機故障完整性要充分實現(xiàn)安全完整性,就必須滿足上述兩條件注:由環(huán)境條件(如:電磁兼容性和隨機故障完整性系統(tǒng)故障完整性是安全完整性中不可量化的部分,并且它還關系到危險的系統(tǒng)錯誤(硬件或軟件),在系統(tǒng)子系統(tǒng)設備生命周期的各種狀態(tài)中,系統(tǒng)錯誤都是由人的錯誤引起的.例如:一規(guī)格說明錯誤一設計錯誤一制造錯誤一安裝錯誤一造作錯誤 一維修錯誤 一校正錯誤 系統(tǒng)故障完整性由質量管

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論