EN50129鐵路安全電子系統(tǒng)

1、21歐洲扶珞標(biāo)準(zhǔn)EN5OI29：鐵路安全電子系道評(píng).前言I掾淮簡(jiǎn)介2本標(biāo)準(zhǔn)的適用范圍、3規(guī)范的:參老丈瞅4定義5歐洲標(biāo)準(zhǔn)的整體榷架6安全性驗(yàn)收條件*6.1安全性例證6.2盛盤管理的依據(jù)6.3安全性管理依據(jù)6.3.1引音、6J.2安全性牛633安全性組織6、3.4安全性計(jì)劃635危險(xiǎn)日志6.6安全性需求說(shuō)明637系統(tǒng)/子系統(tǒng)及設(shè)備設(shè)計(jì)一6,3.8安全性復(fù)審S39安全性監(jiān)證和確認(rèn)6.3.10安全性例證6.3.I系統(tǒng)/子系統(tǒng)/設(shè)備的玄接6312操作和維護(hù)&-J更換和處置6.4功能安全性和技術(shù)安全性的依撼6.5安全性臉收和認(rèn)證65引言652安全性認(rèn)話過(guò)程一6.5.3安今性認(rèn)址后的處理654安全性認(rèn)證之

2、閭的蔽賴性附圖：1CEKELEC安全性標(biāo)準(zhǔn)的施團(tuán)2本標(biāo)準(zhǔn)(EN50J29)的結(jié)構(gòu).2.安全性例證附結(jié)構(gòu)4系統(tǒng)生命同期實(shí)例3445SS910W1111111112121212121213131315E5151616171819205安全性生命周期實(shí)例TOC o 1-5 h z安全性生命周期與系統(tǒng)生命周期的關(guān)系十-22安全性生侖周期開發(fā)階段的實(shí)例乃&安全性組織實(shí)例-24*他立注安排冥例“汁0,技天安全性報(bào)告結(jié)構(gòu)-”安全性認(rèn)證過(guò)程一27安全性認(rèn)證之間的依敕性實(shí)例-28附錄戌（規(guī)范要求安全皆龜鼠等紙卻AJ虧丨言-302安士烷需求亠303安全性寄善度“30A.4安全性完善度等級(jí)-315安全性完善度等級(jí)的

3、配置站附圏：1安全性需求和安全杵完替度制I丸2気全性完義鼠等纏“35A3危險(xiǎn)測(cè)失效率的導(dǎo)出實(shí)例36附錄B（規(guī)范要求）：附郵技術(shù)裳求一371引言39B2硬保正確的功能操作*39B2J系統(tǒng)結(jié)構(gòu)描謎-一-392.2援口定義-一-旳23寒統(tǒng)需求說(shuō)明的實(shí)現(xiàn)”二402.4安全性需求說(shuō)明的實(shí)現(xiàn)-41B.2.5保跡正確的硬件設(shè)計(jì)-_4126特殊環(huán)境案杵的實(shí)現(xiàn)412.7慄證正確的軟件功能42B3故障的影嗯423.1單故障一42B.3.2部件的獨(dú)立性43B33單故障的暴薔44B.3.4故障暴露后的捲施（包括安全狀態(tài)的保持）44B.3.5黑故障45B.3.6系統(tǒng)故障的防護(hù)45B.4外舞干找下的運(yùn)行45B.4.1氣候

4、條件*45B.4.2機(jī)械條件46B.4.3更嚴(yán)格的備仲46B.4.4海拔條件46BA5固定裝置的電.吒條件46BA6車載裝置的電氣條件47B.A.7非袪:登錄的訪護(hù)47B.5安金性柜關(guān)韻應(yīng)用條件48BJ1子系統(tǒng)/設(shè)備的配置及系統(tǒng)的崖立48B5.2操柞和維護(hù)：49B.5.3運(yùn)行安全性監(jiān)測(cè)-.51.B.?4更換與處置-51B.6合格測(cè)試51B.6.1般合格測(cè)試一51B.62安全性的合格測(cè)試一51BJ影聃部件獨(dú)立注的干擾一亠52IB2單故障的暴露53附錄C（規(guī)范要求）:硬件元器件失效摸式的識(shí)別54/C.1引需55C2般步驟553集成電路的識(shí)別過(guò)程（包括微處理器！554具備丙有物理特性的元器件的識(shí)別過(guò)

5、程巧G5關(guān)于元器件矢效模武的一般說(shuō)明-充C6關(guān)于貝備固有物理垮性的元器件前附加說(shuō)明567關(guān)于具備固有物理峙性的元界泮的特別說(shuō)明5?.附表：Itn亠-n-d%*-1-r-厶一L.622電客623電磁元件-634二板管；64C.5品體管65C.6刃控整流器67C.7電蒲抑制器6SC.8光電器牛-*C.9濾讖器:丄上；69C.IQ互連裝置70C.11熔建“7C-12jf-,-71C.13燈71C.14電辿71C.15變頻器/傳感踞72U応集成電路72附錄鞏供參琴“卜善,rh1KM亠a_-,-,11J=-!_.,=-_173D1引言74D2內(nèi)部獨(dú)立性的獲得742.1級(jí)獨(dú)立性74IV8686D22二級(jí)獨(dú)

6、立性75TOC o 1-5 h zD3外部獨(dú)立性的茯得754種單故障暴露方法的實(shí)例-76D5-種多故障分析方法的實(shí)例77DW附加環(huán)境無(wú)件78D61氣候條件736.2更嚴(yán)格的條件78I附圖：1二取二結(jié)構(gòu)和三取二結(jié)構(gòu)80D2三取三結(jié)構(gòu)81D丁四取四結(jié)構(gòu)S24一種故障分析方法的實(shí)例83I.附表；1大規(guī)模集成電路的放障暴露措施:84附錄E（供參考）:蠶考文獻(xiàn)i：-本文件是由CENELEC下厲SC9XA委員會(huì)安全電子系統(tǒng)、工作小結(jié)WGA2.編寫碁工作小爼或員名電瘵在卞固列出、標(biāo)準(zhǔn)的草案現(xiàn)已握交給CENELEC成員討論具有相同未專的國(guó)家標(biāo)準(zhǔn)但心p）蚤遲將于J995年公布與鑼標(biāo)灌相抵鼬的國(guó)家標(biāo):注義現(xiàn)程（d

7、.u,v.j蔣同期應(yīng)涓，半文件是鐵路領(lǐng)域第一個(gè)走義安全電子系統(tǒng)認(rèn)可條件的歐洲檢準(zhǔn)匚迄今為止.有關(guān)這方面的已有支件僅眼于各西的推薦性文本利國(guó)際鐵路聯(lián)盟）的一般建議J鐵路安仝電子慕統(tǒng)包牯硬晉和軟件兩個(gè)方面、，若妾求安裝完整的安全系統(tǒng)，上述兩方甌在整牛生命周期內(nèi)都必須晉慮.本標(biāo)準(zhǔn)定文了安全硬伴的要找和整于系統(tǒng)的要執(zhí)其它方面的賽求在栢左的CNHLEC標(biāo)淮里給出歐洲鐵路當(dāng)局粒歐刪鐵路行業(yè)的目標(biāo)規(guī)娶訐發(fā)臺(tái)于井同標(biāo)準(zhǔn)的幕容的鐵賂系統(tǒng)鞫逍歐洲列車控制系統(tǒng)的基燃是所有由不同國(guó)家的不同鐵路工業(yè)公司開發(fā)的涉及，賓全性的組件均基于同一個(gè)生歐洲標(biāo)淮定義的安全性要求訂因此，不同國(guó)家的詵路當(dāng).-M有必要對(duì)子系統(tǒng)和設(shè)備賓施安

8、金性認(rèn)證的交殳驗(yàn)收。本文件即可作為鐵路.應(yīng)用電子系統(tǒng)安全性驗(yàn)收和認(rèn)證的共同基礎(chǔ)口系統(tǒng)安全性交叉驗(yàn)收是面向一級(jí)認(rèn)證.，而不是面朋粒果應(yīng)屈的現(xiàn)行的國(guó)家法迄的有關(guān)方衙仍需要協(xié)調(diào).販提罠的這個(gè)標(biāo)進(jìn)即述作為.安全電孑鐵路系統(tǒng)的怫澗苦。員貴安全性認(rèn)證的官方證節(jié)將:確保國(guó)筲鐵路和私營(yíng)諛路是采用同一標(biāo)準(zhǔn)的歐共體內(nèi)部脊關(guān)銚略.應(yīng)用的安全電于系統(tǒng)的宮方也將:參考此標(biāo)進(jìn)進(jìn)金本標(biāo)準(zhǔn)由至體部步（Y章）和僭錄B.C,.D和E組成百本標(biāo)準(zhǔn)主體部分一、和附存X；飛C廠出的要求靈規(guī)范的而附錄D科啟是供參毒的工作組WGA1的以下成員參抑了本標(biāo)喘的制定工作：-姓名工作單位國(guó)家MtAAM代SNCF法國(guó)MrWBolunAlcatt奧地

9、利MrKDolchAlcatel-SEL德國(guó)MrCEdwardsRailtrack英國(guó)MrAEx已rSiemensIntegraVerkelustechrtik瑞士MrRoshiFs.意大利MrTGw】聊編輯）WestinghouseSig詢5英國(guó)MrYGruereC.STranspoilL法國(guó)MrBGuieu牡CIaI.呷om法國(guó)i：-或歆該設(shè)備卞恆賴于安全性：或務(wù)對(duì)那些同安金性相瓷的功能而盲、該設(shè)備是可靠的本標(biāo)準(zhǔn)可作為控制和防護(hù)系統(tǒng)的力能安全性標(biāo)準(zhǔn),但它不涉及職業(yè)健康和個(gè)人I安全性罔題，然而，正如附件B25:BA7和5中所提到的盡管它們趙過(guò)了本標(biāo)準(zhǔn)的范圍.但關(guān)于個(gè)人健慮和安全方面的厝慮確實(shí)

10、應(yīng)包含亍系級(jí)7子系統(tǒng)/設(shè)答的安全性例迂中：3.規(guī)范的參考文獻(xiàn)本歐洲標(biāo)準(zhǔn)引用了部分注明或耒注明日期的案考文獻(xiàn)和其它一些出版物中的條款-這址規(guī)范的參考文猷將在適豈的時(shí)候弓!冃，與之相當(dāng)?shù)某霭嫖飳⒃谙旅媪谐?注：其它的參葦文獻(xiàn)包括在陸件E：參考文時(shí)沖ISO9001:】994QunlitySystems:ModelforQnudiLyAssuranceindesign.deveJopnacntjproduction,installationandservicing.EN22247：1992Complete,filledtransportpackages:Methodfurdeterminationof

11、Jhresistancetofixedlowfrequencyvibration.FN22248：1992Complete,filledtransportpackagesMethodfordctCEntinationofresistance!uverticalimpactbydroppingEls50121-4：R.fiilwayApplications：Ekctro-magneticcompatibility(EMC)】equia.emntsforSipj.?allingandit11communicationsENRailway-Appi4canons:msuiAtionco-ordina

12、ilcm,-.EM50126-2:RailwayApplications：ThespecificationanddemonstrationofReliability,Availability;MaintainabilkyandSafety-Part?Safely,EN50128:Rai1wayAppIications:Software.for.rGonkeLmd_priLecnonsystems.EN50155-1:RaihvayApplications:Electronicequipmentusedojirail-vehiclesEN50155-2：RailwayApplications:E

13、lectronicequipmentusedinfixedvehicles.IEC721:Ctassificatiunofenvironmentalconditions.4.定義本標(biāo)堆使用了以下定義：I應(yīng)收(acceptance):最終用戶所提供的產(chǎn)品情況.驗(yàn)ftil(aCptanceprocess)：完成驗(yàn)收的一系列步驟=#i事故(accident)-導(dǎo)致人員傷亡系統(tǒng)或裝置損毀或危害抨境的一起萼外事件或系列事件：r：認(rèn)證(approval)由必要的管理機(jī)構(gòu)提鐵迪當(dāng)產(chǎn)品滿足一系列預(yù)定樂(lè)件時(shí)的茂品.狀呪。II評(píng)怙(驅(qū)哪毗訊):用亍確定設(shè)計(jì)機(jī)掏和確認(rèn)員斯完成妁產(chǎn)品是否符合規(guī)定的更議和判走產(chǎn)品姥否達(dá)

14、到預(yù)霸目的的分析過(guò)程。評(píng)(assessor)載指定作評(píng)估工作的人或代理人亠撓權(quán)純畑rizEion)：在規(guī)定的使帛約束下，對(duì)使用菓產(chǎn)辭的正式許可“計(jì)何性gggy垂統(tǒng)在視定的條件下，狂規(guī)老的吋熬卓在鐐定的時(shí)凰溝完茨必要功能的能力可能(can)-表示可能性:.共摸故障mmom咖氐爲(wèi)uR：獨(dú)立起因而結(jié)栗思同的故障元器4(campon!nt)：見(jiàn)單元=結(jié)構(gòu)(configursitiun)系統(tǒng)軼硬件的構(gòu)造和內(nèi)部聯(lián)系交又騷收住02氓領(lǐng)如!礙:已宙一廉權(quán)威機(jī)鶴帳掘相疸的毆關(guān)標(biāo)準(zhǔn)驗(yàn)收的產(chǎn)品、可由其它機(jī)構(gòu)直接接受而不需再次評(píng)估,設(shè)計(jì)(design)規(guī)定元器件及它們之間的聯(lián)系廟使產(chǎn)品符合規(guī)定的要求而進(jìn)行的產(chǎn)品制造之

15、前的工作口設(shè)計(jì)機(jī)(designauthority)按符合設(shè)計(jì)需求說(shuō)明書的設(shè)計(jì)方案執(zhí)行.并對(duì)進(jìn)一步的幵發(fā)和系統(tǒng)安裝工作負(fù)有相應(yīng)責(zé)衽的機(jī)構(gòu)r；.設(shè)計(jì)熱心翹命)：由設(shè)計(jì)瓠佝捅定的T戰(zhàn)多人他們對(duì)需球規(guī)桁進(jìn)笛分栃并轉(zhuǎn)化為可接受的満足必突的安金性完善度等綾的設(shè)計(jì)方案彳八*楫片-性宙認(rèn)除心：侵全部或部分需鞭規(guī)茗轉(zhuǎn)化為互冷依強(qiáng)的或互不相勵(lì)的方式的方法。-元(element):披確定為一個(gè)基本單元或構(gòu)成部件的產(chǎn)甜的部分，元累可衙叮繁門_滾備(equipment):一牛勁能機(jī)械部件&錯(cuò)誤律存葉：與正確的功能相背離,并有可能導(dǎo)致束預(yù)料到的系統(tǒng)行為或系統(tǒng)先效n故障-安全(faiHafe)-是產(chǎn)品設(shè)計(jì)時(shí)引人的一種擬念,

16、就是產(chǎn)品發(fā)生失效時(shí).可以尋向或保持在安全狀態(tài).(failure)：與規(guī)定的性能相背離。失做是系統(tǒng)出錯(cuò)或系統(tǒng)故障的表現(xiàn)審裁障(伽嘰：導(dǎo)玫執(zhí)行單元執(zhí)行必姜功能的能力減購(gòu)荃圣喪失犒一種環(huán)正常的秋態(tài)，故障可能是隨機(jī)的也可能是有規(guī)律的衣故障暴露時(shí)間(fauJtisdosuretime)：從故障發(fā)生時(shí)起到檢測(cè)到故障所經(jīng)過(guò)的時(shí)間間隔。功能單元(functionalUDit)：能完成規(guī)定的目的的一個(gè)軟件、硬件或軟硬件實(shí)休。危險(xiǎn)(hazard)-可能導(dǎo)致事故的一種狀況1I. #危險(xiǎn)分折(hard旳創(chuàng)卩血)：對(duì)一個(gè)產(chǎn)品或產(chǎn)品的使用可能導(dǎo)致的危臉的識(shí)別過(guò)程危險(xiǎn)日忐(hazardlog):對(duì)所有安全性管理行為，危險(xiǎn)識(shí)

17、別作出決定并采取措施等過(guò)程進(jìn)行記錄的文件人為錯(cuò)誤(humanerror):導(dǎo)致未預(yù)料的系統(tǒng)行為失效的人的錯(cuò)漠行為。獨(dú)立性(對(duì)人)(independente(human)與智力、裔業(yè)和(或)管理無(wú)關(guān)獨(dú)立性(對(duì)工藝Xindependceftechnkal)：與那些影響各部分的正確工作的機(jī)械裝置無(wú)關(guān)*部件(item):需要考花的元素?？删S堆如血掃問(wèn)陰切：產(chǎn)品在給定條件下保持或恢復(fù)到能夠完成必要的功能I的能力*維護(hù)(maintenance):部件保持或恢復(fù)到可執(zhí)行必要的功能的狀態(tài)的技術(shù)(包括監(jiān)督行為)苗組合。IM以(m叭)：表明許可的p避錯(cuò)(negation):在危險(xiǎn)側(cè)故腎撿出之后強(qiáng)制傑持在安全狀態(tài)產(chǎn)

18、品(product):元素按定方武組合.井相互聯(lián)系而形成一個(gè)満足規(guī)定要求的系統(tǒng)/子系統(tǒng)或設(shè)備#.工程安全管理員(pjcct：safetymanager)對(duì)特定的王.裡安全性處理負(fù)有相應(yīng)責(zé)任的人蠻此理幾一,:(quality)：對(duì)產(chǎn)品屬性的使用感覺(jué)鐵路管理機(jī)構(gòu)(railwayauthority):對(duì)安全、經(jīng)濟(jì)、有效地運(yùn)行鐵路負(fù)有全部責(zé)任的官方實(shí)休隨機(jī)失效完善度(randomfailureintegrity):系統(tǒng)與危險(xiǎn)側(cè)隨機(jī)故障無(wú)關(guān)的稈度a隨機(jī)故障(randomfault):故障的發(fā)生基于概率論和以前的擁作“冗余(redundancy):在一個(gè)或更多元素失效肘.為了獲得或保持可用性而釆用的個(gè)或參

19、個(gè)附血元素.元素個(gè)數(shù)通常是確定的。可靠性(reliability)-設(shè)備在規(guī)定的條件下在規(guī)定的時(shí)間內(nèi)執(zhí)行必要功能的能修復(fù)(repair)：使累統(tǒng)/子系統(tǒng)或設(shè)備恢復(fù)到可用狀態(tài)的方法。鳳險(xiǎn)(risk)：一個(gè)特定的危險(xiǎn)事件的頻率、槪率和后果的組合。安全狀態(tài)(safestate)：持續(xù)保持安全性的弒態(tài)安全性(safety)：無(wú)不可接受的鳳險(xiǎn)等級(jí)。安全性評(píng)估辭tyassessment)：于確定設(shè)計(jì)羋鉀確認(rèn)員所完成的產(chǎn)品是替符合規(guī)定的安全性要求和判定產(chǎn)晶疑否符合預(yù)走目的b珂析過(guò)律啟丨安全性評(píng)依員(safety-assessor)被指定進(jìn)行安全性評(píng)估工作的人或代理人“安全性管理機(jī)構(gòu)(3疏tyauthorit

20、y):對(duì)葆證一個(gè)安僉系統(tǒng)適合工作并符合有關(guān)法令、規(guī)章制度負(fù)有責(zé)任的實(shí)體。安全性例證(昭fHy明呦:表明產(chǎn)品符合規(guī)定的安全性要求的證明文件。安金性臨界(safcritical-對(duì)安全性擔(dān)負(fù)有道接責(zé)任“安全性臨界系統(tǒng)伽fetycriticalsyskm)：自身能夠達(dá)到完成安全性功誥所需的安全性等勰的系統(tǒng)=安士性完善度等級(jí)伽性tyititegriiylevd)：分Z等，分別定義了技術(shù)和方法.軒為荻得相應(yīng)的完善度提供依據(jù)匚安全性涉及(safetyinvolved)-紂安全性負(fù)有非直接貴任安全性生命周期(stylife-cyde):安全性栢關(guān)系統(tǒng)中與殺統(tǒng)生命周期一起拭行的一系列附加的行為C安全性管理ma

21、nagement)：保證安全性趕理正確實(shí)現(xiàn)的管理萍系=安全性計(jì)劃(safetypbn):實(shí)現(xiàn)項(xiàng)目安全性要求的實(shí)行細(xì)節(jié).安全性處理&血ryprocess):為保證產(chǎn)晶的所有安全性要求得以明確和滴足的一系列過(guò)程-、7安金性相關(guān)(safetyrelated：負(fù)有安全性責(zé)任。-必須侶血11)：耒陰是強(qiáng)制的.應(yīng)當(dāng)皿旳盯；麥明是著薦時(shí).$.信號(hào)殺統(tǒng)凹汨systeirj):鐵路上用于轅制和防護(hù)列車謹(jǐn)行的特定系統(tǒng)。應(yīng)力分布(srressprofit)：產(chǎn)品在一完成必須的功魁時(shí)能夠忍受的外界于擾的程度和數(shù)曇-子系統(tǒng)(sub-system*能気成一定功能的系統(tǒng)的組成部分。.丟統(tǒng)(syst)-根據(jù)設(shè)計(jì)互相作用的子系

22、統(tǒng)或元索的集合“系統(tǒng)失效完善度(systematicfailureintegrity):系統(tǒng)脫離不明危險(xiǎn)測(cè)及其起因的稈度J系統(tǒng)生命周期lifc-cyck):從系統(tǒng)形成開始到系統(tǒng)因不再適用而退役的時(shí)期內(nèi)所發(fā)主的一系列行為#技術(shù)安全性報(bào)吿(technicalsafetyreport):安全設(shè)計(jì)一個(gè)系統(tǒng)，子系統(tǒng)或設(shè)備的文獻(xiàn)性技術(shù)依據(jù)測(cè)試員(tester)設(shè)計(jì)機(jī)構(gòu)指定的來(lái)規(guī)定和執(zhí)行必要的測(cè)試以確保一項(xiàng)設(shè)計(jì)的實(shí)現(xiàn)是正礁的并且符合所有的測(cè)試和驗(yàn)收標(biāo)準(zhǔn)的人員。確認(rèn)fvalidaHon)：通過(guò)測(cè)試和分折，表明產(chǎn)晶符舍觀定的要求的各個(gè)方面的廠珥證明行為.I確認(rèn)員（validntur）2被指定.來(lái)作萌認(rèn)工）乍的人

23、或代理人c驗(yàn)（verification）：通過(guò)測(cè)試和分析，表明系統(tǒng)生命周期的各階段的輸岀符合前階段的要求的一種決定性行為驗(yàn)證員（verifier）:指定來(lái)作驗(yàn)證工柞的人或代理人匚気歐洲標(biāo)準(zhǔn)的整體框架本歐洲祐準(zhǔn)（EM50129）的第六部分要求有一個(gè)系統(tǒng)性的文特工作，以作為：-質(zhì)量管理的依據(jù)I-安全性管理的依據(jù)F-攻能安全性和技術(shù)安全性的依據(jù)丄-安全性驗(yàn)收和認(rèn)證附件A（規(guī)范耍求）：定義丁安金性完善度等級(jí)的說(shuō)明和使用.附件比規(guī)范寮求）：包括安全系統(tǒng)/子系統(tǒng)/設(shè)備的附加技術(shù)要求.牌佇c（規(guī)范要求）；包括硬件元器件可能的矢效模式的識(shí)別過(guò)程和借息“南件D（供參考）：包括了補(bǔ)充的技術(shù)信息附件衛(wèi)（供參考）:包

24、括了準(zhǔn)備這份標(biāo)進(jìn)期間查.閱的參壽文獻(xiàn)本極準(zhǔn)的結(jié)構(gòu)槪括左圖2中。6.安全杵驗(yàn)收務(wù)件6.1安全性例證.本樞準(zhǔn)定義了使得一個(gè)鐵路安全屯子系統(tǒng)/子系統(tǒng)或設(shè)備在應(yīng)用中足夠安全而必須満足的條件資全性驗(yàn)收條件在本標(biāo)準(zhǔn)以下三令標(biāo)題后列出J標(biāo)題名為：-*62質(zhì)量管理的依據(jù)；氐3安全性管理依據(jù)；6.4功能安全性和技術(shù)安全性的依據(jù)。所有這些條件在安全系統(tǒng)械認(rèn)為足夠安全之前.在設(shè)備.級(jí)、子系統(tǒng)級(jí)、祭統(tǒng)級(jí)都必須滿足。,表明這些條件已經(jīng)滿足的文件依據(jù)必頻包括在一個(gè)結(jié)構(gòu)化的安全性證明文檔.中,即安全性例證瀉,安全性例證是整體文檔依據(jù)的一個(gè)組成部分，將提交給有關(guān)I的管理機(jī)構(gòu)以獲得對(duì)某一產(chǎn)品一般應(yīng)用和特殊應(yīng)用的安全性認(rèn)證，有關(guān)

25、安全性認(rèn)證處理的說(shuō)明參看本標(biāo)準(zhǔn)的6.5節(jié)。安全性例i正包捱系統(tǒng)、子系統(tǒng)或設(shè)備成文的安全性依據(jù)，結(jié)構(gòu)如下廠甲分里必即明確定義資全性例證所矗明的版紜號(hào)和修改的情況第部分：系統(tǒng)或子系統(tǒng)的定義往這|一涉及的系統(tǒng)/子系統(tǒng)或設(shè)備，第二部分：質(zhì)量管理報(bào)吿.這一部分必須包括質(zhì)量管理的依據(jù)，在卒標(biāo)餐6.2節(jié)里說(shuō)蹈第三部分：安全性管理報(bào)告.這一部分包括安全性管理的隔在本標(biāo)準(zhǔn)的T百.3節(jié)中說(shuō)服，第四部分:技術(shù)安全性報(bào)告.這一部分包括功能妄全股和技術(shù)安全性訕衣?lián)?，在本棕?zhǔn)吐4節(jié)里說(shuō)明第五部分：相關(guān)妄全性例證.這一部分必須色括主耍的炙全性例證所依翰的仕何子系統(tǒng)裁設(shè)備的安全惟例證這部分也必?zé)┱撟C每卒和關(guān)子系統(tǒng)/設(shè)備的安全

26、性例證甲說(shuō)明的所有安定世根關(guān)的應(yīng)用條詐：或者，完全滿足主安全性例證.或:酉逐歩滿足主安全性例證的安全相先便用條件，TOC o 1-5 h z第六部分：結(jié)論.邊部廿對(duì)前面安全住例證部侖所引岀的依攜如識(shí)霧括井討論相應(yīng)系統(tǒng)/子系統(tǒng)/設(shè)備是足夠安全的并與規(guī)定的使用冬件相一致.安全性例證的結(jié)構(gòu)如圖3所示&2質(zhì)量管理的依據(jù)：I安澄性驗(yàn)肢必須瀧足的第-令條件是系統(tǒng)子寒統(tǒng)或設(shè)備在整個(gè)生命周期中受控于而旦必須持綾受把于一個(gè)相效的管理過(guò)鋰在展量管理報(bào)吿中宓須提供相應(yīng)的文檔:以作證明-即住亡性例證的第二部分煩量管理過(guò)程的目的是為了減少生命周期內(nèi)的各階段的人為錯(cuò)溟、羞由此來(lái)減少系匏子系綻或設(shè)備的故障風(fēng)險(xiǎn).這些必要條件

27、必須由一牛質(zhì)量體系來(lái)滿足，這個(gè)質(zhì)童體系與ISO9血】：質(zhì)童休系廠在設(shè)計(jì),開投、主產(chǎn)、安姿和服務(wù)申的質(zhì)量保證模蟄相一毀另外時(shí)質(zhì)量管理負(fù)資的公目或其它組織必殛已獲得ISO90Q1的證書.質(zhì)量體系必須在系統(tǒng)仔系或設(shè)備的整個(gè)生命周期內(nèi)適咼這些在ENSOULS；“鐵路可靠性、可用性、可維性和安全性施規(guī)范和論證一第二部分:宏全性叫中作了定尤一份系統(tǒng)生命周期圖例（摘自EN50126-2）復(fù)制在本標(biāo)準(zhǔn)的圈4中.注;以下是必須受質(zhì)賞體系控制并包播在質(zhì)量管理報(bào)告中的內(nèi)容（基于ISO：9001）.1-亠組紜結(jié)構(gòu)；質(zhì)量計(jì)劉和步驟;-需求規(guī)格;JF設(shè)計(jì)控制；設(shè)計(jì)檢騙和復(fù)審：J-應(yīng)用工稅：-征購(gòu)和主產(chǎn)-F產(chǎn)品的識(shí)別與跟蹤

28、能力；-F裝卸與貯存；筮資和測(cè)試；-不一致及其更正；-包裝和輸送；-安裝和委托；+_操作與堆護(hù)；-質(zhì)屋監(jiān)督和反饋；-文件和記錄；-結(jié)構(gòu)管理/變動(dòng)控制；-人員能力與培訓(xùn);-質(zhì)量復(fù)審勻眼蹌；-更換和處鬣庇質(zhì)量管理報(bào)吿中不需包括大量的詳細(xì)依據(jù)和支持文獻(xiàn)，而貝需給出主要的參.考文.：.為與質(zhì)眾管理的要求相-致，必須完全邃守安全注的完善度等級(jí)44録（參看附件a；宥關(guān)安全性的完善度等級(jí)的說(shuō)明n但是所列液據(jù)的廣度和支持文件的范n經(jīng)仔細(xì)研兗調(diào)整-與系統(tǒng)/子系統(tǒng)/設(shè)備安全炷完善康等級(jí)相匹配。安全性的完善播等級(jí)0（即與安全性無(wú)關(guān)的要咸已超出了本標(biāo)準(zhǔn)的范圍。r63安全性管理依據(jù)63,1引言安全性驗(yàn)收所必須禍足的第二

29、個(gè)條件是:系統(tǒng),子系統(tǒng)或設(shè)備的安全性必須由而且必須持續(xù)地由一個(gè)有效的安全性管理方式來(lái)管理.如同EN50126-2:鐵路可靠性、可用性、可維性和安全性的規(guī)范和論證第二部分：安全性”中所解釋的那樣口這些加理的目的是為了進(jìn)一步減少系統(tǒng)生命周期內(nèi)與安全性相關(guān)的人為錯(cuò)誤的發(fā)生。并由此減少安全性相關(guān)系統(tǒng)的故障的殘瞥風(fēng)險(xiǎn)口安全性處理的要求簡(jiǎn)要概括在下面目勺圖&土2和6.3,3中，安全性管理報(bào)告戶必須提供用于表闕所有元素在整個(gè)生命周期內(nèi)的安全性處理的書面證明。這些內(nèi)容統(tǒng)成了安全性例證的第3部分“在安全性簣理報(bào)告中不需要包括大董的詳細(xì)依據(jù)和支持文獻(xiàn)，而只筲提供主要的I1iE0參考文猷對(duì)于包站軟件的子系統(tǒng)或設(shè)備，

30、必須包括或參考軟件評(píng)估報(bào)告，規(guī)EN50128:“鐵路控制科防護(hù)系統(tǒng)軟件中所規(guī)定的那樣.安全性處理的疫用必須完全遵從安全性完善度等級(jí)1-4級(jí)的內(nèi)容,（參看附件A安全性完善度等級(jí)的說(shuō)明）.但是所列出的依據(jù)的廣度與支持文獻(xiàn)的范圍需最據(jù)系銃/子系統(tǒng)或設(shè)備的安令性完善度等細(xì)了細(xì)調(diào)整.禿善度籌級(jí)0（與安全性無(wú)關(guān)）的要求不厲莎標(biāo)準(zhǔn)的范圍.注：為了識(shí)別每一特走條件下:聽(tīng)需要的空全性完善度籌級(jí)，對(duì)于每個(gè)例證，KX50126-2中定文的危險(xiǎn)分折和鳳險(xiǎn)評(píng)估都是必要的.這也包括了經(jīng)分釬和評(píng)估確定安全性完善度等級(jí)為零的情況但一旦得出這個(gè)結(jié)論（即與安今性無(wú)關(guān)h.安全性標(biāo)準(zhǔn)將不再卮用.&3二安全性生命周期如0126-2所說(shuō)

31、陰的，安空性處理必須由與構(gòu)成安全性生命周期的大量行為和階段組成.一簡(jiǎn)安全性生命周期圖及其與系統(tǒng)呈命周期的關(guān)系圏（均摘肯EN50126）M制在本標(biāo)準(zhǔn)的圏5和圖5中.生命周期的開發(fā)階段可以看作一個(gè)自頂向-下階段緊跟著t自康向上階段（即”形周期），以圖？為例圖&U安全性組織-:幾如ENM皿總中所述，安全性處淫必須程-嚴(yán)相應(yīng)的安全丸構(gòu)控即下，緒適當(dāng).的人員分茁概走常丘務(wù)來(lái)完施一亍安全性織紜踴慮牆齢礎(chǔ)12花便本濟(jì)準(zhǔn)的請(qǐng)$丁乂員隹農(nóng):苞吿枝癡由李莎旃虛的經(jīng)驗(yàn)和適當(dāng)頁(yè)館盛詼估菊逅證都必頃按亦丸I綸2中所說(shuō)明的進(jìn)行./?他悪求（42卿ISWA.e訂劃一”一=Ef.安裝1-rvh.驗(yàn)收J(rèn)一“-#確認(rèn)返回生命砂圖

32、4系統(tǒng)生命周期實(shí)例（摘自EN501262）圏5安全注主命匿期的實(shí)恢摘自EN501262)團(tuán)7安全性生命周期開發(fā)階段的實(shí)例252524252524坯8員閨宕安全阻勰實(shí)例（摘自EN50t262）PM=項(xiàng)目經(jīng)遡DES=設(shè)計(jì)音VER=驗(yàn)證員.VAL工確認(rèn)員assr=評(píng)估員SJ-L=安全性完善度等級(jí)注；j衛(wèi)EgSJL0J.SILI利2圖9獨(dú)立性安排實(shí)例262624第召章：合格泌試第5章：安全財(cái)殺的應(yīng)用條件屛章：分卜界干sm河乍!希章：如影1向第2章：確保正確的加瞬作第1章：引W11,1i.厶圖技術(shù)安會(huì)由艮皆結(jié)恂272724獨(dú)立應(yīng)用分類應(yīng)用特殊應(yīng)用272724272724圖11安全性認(rèn)證過(guò)裡I24系統(tǒng)A系

33、統(tǒng)B特殊應(yīng)用設(shè)備_J-aa_J_設(shè)備設(shè)備電一1Cd乂III.1-1I一般產(chǎn)品圖12安全性認(rèn)證之間的依賴性實(shí)例24附件A（規(guī)范要求）：TOC o 1-5 h z安全性完善度等級(jí)亠r29AJ弓i言”30A.2安全性需求-30A.3安全性完善度一一30A.A安全性完巻度常級(jí)“-31A.5安全性完彗度等級(jí)的配簽33附圖：A.1安全性需求和安全性完善度S4A.2完全性完善度尊級(jí)35A3危險(xiǎn)側(cè)失效率的導(dǎo)出實(shí)例3624丸1引言本附件定義丁應(yīng)用亍鐵路的安全性姐關(guān)系統(tǒng)的安全性完禪度等級(jí)及它的說(shuō)豹和使用.每個(gè)特定的應(yīng)用于鐵路的實(shí)際的安全注完善度尊級(jí)和定量的安全江指標(biāo)由祐應(yīng)的鐵路管理機(jī)構(gòu)負(fù)貴.在帝標(biāo)準(zhǔn)中未加罡義A.

34、2安全性需求（參見(jiàn)圖AJ）系統(tǒng)（或子系統(tǒng)/設(shè)備）的需求說(shuō)明可以分兩部分扯以瞻慮：-與安全生無(wú)關(guān)的要求（包搖操件功能要求）；-與安全性相關(guān)的要求.與空全性相關(guān)的要求通常稱為安全性需求，這些可以包含在一個(gè)獨(dú)立的安全性需求說(shuō)明里.安全住需求可以看作兩部分:-竟全性功能要求;-安全住完善度要求.賽全性訪能要求實(shí)際上就是系統(tǒng)、子系統(tǒng)或設(shè)備必須具備的芍安全性相關(guān)r|.的功能.安全性完善度要求定義了安全陰畤功能所需的安全柱完善度等級(jí).AJ安全性完善度（參看圖A.1）簣全性完善度與一個(gè)系統(tǒng)、子系統(tǒng)或設(shè)備達(dá)到它所需的安全特性的可能性有關(guān).一亍項(xiàng)目的安會(huì)悝的完善度越高,它在執(zhí)行所需曲安全性功能時(shí)失效的可能性越小下

35、面將規(guī)定一個(gè)整體的、定負(fù)的安全性完善度要求.安全:生完善度包括商個(gè)組成部分：-寒統(tǒng)失效完善度；隨機(jī)失效完善度.I要達(dá)到足夠的安全性完善度，必須滿足系統(tǒng)失效和隨機(jī)失效兩類失效完善度系統(tǒng)失效完善度是安全性完善度的不可定置部分，并且與危險(xiǎn)側(cè)系統(tǒng)故障（硬件或軟件）有朱.系統(tǒng)故障是在墓統(tǒng),子系統(tǒng)或設(shè)備主命周期的不同階段中，因人為的錯(cuò)溟而導(dǎo)致的.32323】例妳：-說(shuō)取書錯(cuò)課;-設(shè)汁錨謀；-元器件訣陷；-主產(chǎn)律逞;L-安裝錯(cuò)誤l-操作錯(cuò)溟；-維護(hù)錯(cuò)盪:修改錯(cuò)誤C系統(tǒng)失效完善度通過(guò)姦標(biāo)準(zhǔn)&2和6.3節(jié)里規(guī)定的質(zhì)量管理和安全性管理?xiàng)l件獲得*防止垂統(tǒng)故障的技術(shù)措施包含在本標(biāo)準(zhǔn)6,4節(jié)規(guī)定的技術(shù)安全性祭件里由于用

36、定量分析的方法不可誌對(duì)系統(tǒng)先效的完善度作出洋估/因而如本附件的人4韋所述俊用了安全性完善度等級(jí)，隨機(jī)失效完善度是導(dǎo)危險(xiǎn)側(cè)隨枇硬件故障相關(guān)的寶全性究善度隨機(jī)硬件故暉是硬件元器件的可皐性有眼的結(jié)果卩:.隨機(jī)先效完蓉度的獲取在本標(biāo)準(zhǔn)6.4節(jié)規(guī)定的技貳安全性條件毘說(shuō)明，隨機(jī)埃敷完善度的定量評(píng)信應(yīng)連過(guò)概率計(jì)算的方式來(lái)進(jìn)行所有這些都建立在硬件元器件失效率、失效模式和隨機(jī)硬件失效的出現(xiàn)次數(shù)等數(shù)據(jù)已知的.基瑚之上對(duì)于具備固有執(zhí)理待性的元器件（參看附件C），適常假定危險(xiǎn)側(cè)失效率為0*盡管可能存在危險(xiǎn)側(cè)失效的殘余鳳險(xiǎn)，但可以如本標(biāo)準(zhǔn)6A節(jié)和附件B.3.6所述加厲防護(hù)A.4安全性完善度尊級(jí)安全性完善度被規(guī)定為4個(gè)不

37、連續(xù)的等級(jí)口竽級(jí)4為安全性完善度的昴高等級(jí)*等級(jí)1是最低的，等級(jí)0用在表明無(wú)安全性娶求的地方卜安全性完善度等I級(jí)可以定性塑描述如下：安全性完善度等級(jí)描述語(yǔ)句何選）4最咼必需的關(guān)鍵的安全臨界的故障-安全3,X必需加關(guān)鍵的安全臨界的高完善度2中需蔓的主要的涉及安全性中完善度1低需要的主要的涉及安全性低完善度0無(wú)非必須次要的不涉及安全性無(wú)安全性等級(jí)E4都可以攤述為安全性相關(guān).任何給定條件下所需的安全性完善度等級(jí)應(yīng)當(dāng)建立在如EN仙込2所述的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)之上.I本標(biāo)準(zhǔn)定義的安全洼完善度等級(jí)與質(zhì)量管理、安會(huì)陛管理和技術(shù)安全住條件之尙的關(guān)系如圖A2所示，這張圖包括了按圖A.3所示方法推尋的定馨勺

38、賓全性捲樂(lè)這里只是起指辱作用，毎種特定應(yīng)用的實(shí)際的定量安全性指祈應(yīng)當(dāng)使用危險(xiǎn)分飾鳳險(xiǎn)諄怙過(guò)程得出，如E心0必所述（包蓿定握安全性指標(biāo)的見(jiàn)多實(shí)例認(rèn)識(shí)到妾達(dá)到一個(gè)特定的安全性完善度等級(jí)需滿足勢(shì)乩2所:示的所有因素是非常璽要的，.這些囚素是：-_質(zhì)愷管理?xiàng)l件;_安全性管理?xiàng)l件；技術(shù)安全性條評(píng)；-定量的安全性指標(biāo).完成一亍特定的定量安全性指標(biāo)就其自身而言并不意味著已達(dá)到栢應(yīng)的安全注完善度等級(jí)，同樣，完成與一亍特定的安全準(zhǔn)完善度等級(jí)相關(guān)的質(zhì)量管理、斎全性管理和技術(shù)安全性條件并不意味著達(dá)到相應(yīng)的定量安全拄指標(biāo)或安全性等級(jí)本身.要達(dá)到規(guī)定的安全住的完善度等級(jí)，A.2所示的所有因索都必須満足理解以下內(nèi)容也同拝

39、重要：當(dāng)圖乩2斯示的定量的安全性指標(biāo)是為完成如圖所示的鐵路安全生性能所必需時(shí)，不應(yīng)假設(shè)一個(gè)特定的安全柱功能只需一個(gè)子系統(tǒng)或設(shè)備就可以實(shí)現(xiàn)國(guó)際安會(huì)性標(biāo)準(zhǔn)和淮.則中關(guān)于定量安全性指標(biāo)的聲明必殖遵守。同時(shí)，如本附件A.5所述，在必要的時(shí)候所需的安全性指標(biāo)應(yīng)當(dāng)由功能、子系統(tǒng)或設(shè)備來(lái)共同完成。九5安全性完善度等級(jí)的配置當(dāng)一個(gè)系統(tǒng)所需的安全性程度由子系統(tǒng)的組合共同完成時(shí)，垂統(tǒng)的安全性完善度等級(jí)取決于每個(gè)子系統(tǒng)的安全性完善度等級(jí)這個(gè)原理也同樣適用于當(dāng)一個(gè)子系統(tǒng)由設(shè)備組成或設(shè)備由軟件和硬件所組成的情況左一般情況下它適用于所肅的功能安全性程度由較低安全性程度的功能禍組合來(lái)完成時(shí)的惰形n因此去這種情況.下，輔助元

40、素的安全性憲善度等級(jí)的配置是必寒的.以使通過(guò)它們的組合來(lái)完成所痔的龍捧安全性完善度等級(jí)燒提供詫K證騒來(lái)髓證這勲赤法可以從屋和變上蜒高安全性無(wú)論功能心上述的何神方式組合它們之間的獨(dú)立性（包括人和技術(shù)），例如是否使用功竈分類，均應(yīng)該說(shuō)明并驗(yàn)證以避免共複故障。34343】安仝性完善度要尖安全性功能蘿求系統(tǒng)失效完善度隨機(jī)失效完善度圏A.I安全性需求和安全性完善度 #3】假設(shè)容許的危險(xiǎn)先效率（毎小時(shí)）假定容許的主要快路事故每年在整個(gè)歐洲有一次取決于危驗(yàn)側(cè)技術(shù)失效110對(duì)于整個(gè)歐洲鐵路系統(tǒng)的技術(shù)裝置假定危險(xiǎn)側(cè)技術(shù)失效的1/10弓:起一次主要事故W3對(duì)于整個(gè)歐洲憐路藝統(tǒng)的技術(shù)裝置假定技術(shù)失數(shù)的W0是信號(hào)失.

41、效對(duì)于整個(gè)歐洲鐵路信號(hào)裝置假定對(duì)不確定性和兀余的安全限度為10：11中對(duì)于整個(gè)歐洲鐵路信號(hào)裝置佩定整個(gè)歐洲電200個(gè)究整信號(hào)系統(tǒng)10-5恁個(gè)完整信號(hào)累統(tǒng):（如.主要亍線或區(qū)域）假定每個(gè)完整信號(hào)條統(tǒng)禺TC個(gè)子瞬.K-9総個(gè)償號(hào)子系統(tǒng).（如大型聯(lián)鎖）假定毎丁信號(hào)子寮撫有100個(gè)系統(tǒng)元素10心每平系統(tǒng)元素（如列車檢測(cè)，道茁控制，信號(hào)控制功能）假定每?jī)蓚€(gè)安全性完誓康等履之間的比率為100:11011對(duì)于S.I.L.4J10_（對(duì)于S.T.L.3）了10（對(duì)于S.I.L2）10_S對(duì)于S.I.L.1）每個(gè)系統(tǒng)元素圖AJ危險(xiǎn)側(cè)失效率的導(dǎo)出實(shí)例3-;3-;3】附件B（觀范耍求）：TOC o 1-5 h z附

42、in技術(shù)要飛-一=亠卵1弓i主-59E2巾気4梟.疋譙包勺功能f卡.-4-丁*-39B.2.1系gj：結(jié)彳勾汨j定-一_一一“39H.2.2接定叉39B.2.3衆(zhòng)統(tǒng)需求說(shuō)明日勺實(shí)現(xiàn)-4。B.2.4安全性需求說(shuō)明的實(shí)琉-弐13.2.5彳呆:疋疋,5y；l伴殳vH一4?B.2.6痔殊環(huán)境條伴的實(shí)現(xiàn)4iB.2.7保證正礎(chǔ)的軟件功能一42B.3故瑋已勺影目亠42B.3.1年障斗2B.32部件的獨(dú)立性-一”43B.3.3單故障的晟露-一44B3.4故障廉露后前攜施（包括安全狀慫的佚持一44B3.5多故障45且頭6瑕統(tǒng)故障的防護(hù)l45B.4外界干擾卩的運(yùn)行亠匚一“十.45.B.4.1氣候鈿牛45B.4.2

43、杞$更條件r.46B.43更嚴(yán)格的采件46B.4.4海拔條件一46B4J問(wèn)走裝置的電氣條件46B.4.6車載裝置的電氣條件47BA.7非法登錄的茴護(hù)一47B.5資全性相關(guān)的應(yīng)用條件48B.5J子系統(tǒng)/設(shè)備的配置及系統(tǒng)的建立48B.5.2換柞和維護(hù)49B.?運(yùn)行安全性監(jiān)測(cè)51H.5.4更換與處置/B.6合格測(cè)試幟】B.61一般合格測(cè)弍一“51B62安僉性飾合:様測(cè)試一-51 #3】附圖：B.1影響部件獨(dú)立性的干擾5；B2單故障的暴露533】B1引言如本標(biāo)準(zhǔn)6.4節(jié)所述，系統(tǒng)/子系統(tǒng)/設(shè)備設(shè)計(jì)的安全性技術(shù)依據(jù)應(yīng)在技術(shù)安全報(bào)吉（安全性例證的第4部分）中列出，報(bào)告應(yīng)按如下標(biāo)題安排；第1章弓希第2章確保

44、正確的功能操作;第3章故障的影響；第4章外界干擾下的運(yùn)行；第5草麥全性豹關(guān)的應(yīng)用條件；第6章合格測(cè)試-住本標(biāo)準(zhǔn)6.4節(jié)里簡(jiǎn)單地提到了以上各個(gè)標(biāo)題.更詳細(xì)的要求包括在本附件B.2和呂込章節(jié).技術(shù)安全性報(bào)吿的結(jié)拘列在本標(biāo)準(zhǔn)的圖10中.R2確保正確的功能操作（技術(shù)安全性報(bào)告第二章）這一章淡到系統(tǒng)/子系統(tǒng)7設(shè)備在無(wú)故障條件下（即無(wú)故障袴在）符合規(guī)定的操作翌求和安金性需求的正確操作”便用本標(biāo)準(zhǔn)6.4節(jié)的標(biāo)題，需要希慮以下方面.R2J系統(tǒng)結(jié)構(gòu)描述這節(jié)應(yīng)當(dāng)程繪對(duì)乘統(tǒng)汙茶釣設(shè)備藥淤計(jì)竟一毆措述，梗人門對(duì)它的痕廉籲您和技術(shù)有i個(gè)清晰的了解”IB22接口定文B22.1人機(jī)接口乩操作員這里應(yīng)當(dāng)播述將要扳操作人員和技

45、術(shù)人員集作的系統(tǒng)/子系統(tǒng)設(shè)備的機(jī)瑯例如：-在正常情況下；-對(duì)報(bào)警的響應(yīng)；-通過(guò)便用帚助円閥程.h配置這里應(yīng)當(dāng)描述工程人員為棊一鐵路應(yīng)用配置系統(tǒng)/子系統(tǒng)/設(shè)備時(shí)所進(jìn)行的處理.例如：-軟件參數(shù)的確定；-族線； 3】-安裝技忒；-步騙.:維護(hù)這里應(yīng)描述維護(hù)人員在不同級(jí)別的維護(hù)遣程中使用的接口的卡用燉程”包括任何輔助設(shè)備的使用.更詳細(xì)的信息電涪在本附件B.52T中”j口圧2衛(wèi)京系統(tǒng)接口乩內(nèi)部的應(yīng)定義垂統(tǒng)廳系統(tǒng)/設(shè)備內(nèi)部各部件之間的功能和物理接口.例如：-于浄區(qū)域和污垢區(qū)域；-內(nèi)部總線結(jié)構(gòu)；通信鏈路；-功能監(jiān)測(cè)和糾正；斷和狀態(tài)監(jiān)測(cè).H外部的應(yīng)定義系統(tǒng)/子系統(tǒng)/設(shè)備和外部各咅件之間的功能和物理接口.例如：

46、_傳感器；-傳動(dòng)裝置;-進(jìn)信鏈路;.“洌試和監(jiān)控臂施；-擴(kuò)馬便利性B22.3確認(rèn)/測(cè)試這果應(yīng)潔述技術(shù)人員所進(jìn)行的處瓊：作為系統(tǒng)/子黍統(tǒng)/設(shè)備的確認(rèn)和測(cè)試的i部分.例如：-步瑚-測(cè)試裝置；-摸擬裝匱;莎荒禹法毗3系統(tǒng)需求說(shuō)明的實(shí)現(xiàn)論證在系統(tǒng)/子系統(tǒng)了設(shè)備需求說(shuō)明里規(guī)定的操作功能需求是如何通過(guò)設(shè)計(jì)來(lái)滿足的應(yīng)包括（或指出）所有有關(guān)的依據(jù)例如：:奩計(jì)原理和計(jì)算；-測(cè)試說(shuō)明和結(jié)果.,IB24安全性需求說(shuō)明的實(shí)現(xiàn)論證規(guī)定的安全性功能需求是如何通過(guò)設(shè)計(jì)來(lái)實(shí)規(guī)皈應(yīng)包括（或指出）所有有關(guān)的依據(jù)例如：-設(shè)計(jì)原理和計(jì)算；-測(cè)試規(guī)范和結(jié)果；-“安全性分忻和結(jié)果.保證正確的硬件設(shè)計(jì)描述系統(tǒng)/子乘統(tǒng)/設(shè)備的硬件結(jié)構(gòu),解釋

47、設(shè)計(jì)如何淸足所需的完善度.包詰需玄說(shuō)明和其它有關(guān)的標(biāo)準(zhǔn)所擬定的以卜兀方匱-可靠性；-可用性；-可維性；-安全性.對(duì)安全性的考慮只限于無(wú)故陲條件，囚対故障的影響已在其它地方考慮處理（參看附件B.3節(jié)）本標(biāo)進(jìn)的范匿限于系瓷的功能安全禺但是人員健廉與硬件安全性方面包括岐隱條件也應(yīng)當(dāng)在這一章中解釋.例婦：.-擊.:耗臨靭質(zhì)；燜和火；-起璽與運(yùn)輸；放射;爆炸.施子系統(tǒng)或設(shè)備硯件應(yīng)當(dāng)按EN50124-1亙斯規(guī)定的經(jīng)緣配合要求來(lái)進(jìn)行啜計(jì)、實(shí)現(xiàn)和維護(hù).B26特定環(huán)境條件的實(shí)現(xiàn)這里論證往特定的環(huán)境條件下，設(shè)計(jì)應(yīng)能保證系統(tǒng)/子系統(tǒng)/設(shè)備的正確操作（包括提供的冗余），另夕卜那些為防護(hù)待定環(huán)境條件而提供的特殊防護(hù)應(yīng)當(dāng)

48、詳細(xì)描述.例如：-通風(fēng)；空調(diào)；-F電磁屏蔽.應(yīng)當(dāng)考慮到的環(huán)境條件在本附件.4中列出.A2A23】B27保證正確的軟件功能應(yīng)遵守EN5012S的說(shuō)明.在這章中應(yīng)當(dāng)包括或參照EN50128所需的所有文件尤其是軟件萌認(rèn)報(bào)告和軟GF乎估報(bào)告-衛(wèi)外，需說(shuō)明硬件與軟件之聞的相互作用.注：F面的標(biāo)題應(yīng)特別注意：-礎(chǔ)件與較件之間的依賴性；-作用順序；-響應(yīng)時(shí)間；亠-自測(cè)試?yán)蹋?狀態(tài)監(jiān)測(cè)；”-數(shù)據(jù)采集技術(shù)；-故障劣化；.-避錯(cuò)方法.LU故障的彫響（技術(shù)安全性報(bào)告第三章）本草討論系統(tǒng)子妾統(tǒng)/設(shè)備在發(fā)至隨機(jī)硬件故障或者系統(tǒng)故障時(shí)仍然滿足規(guī)定衛(wèi)安全性要求的能力.“應(yīng)考慮的特殊方叵奩后面1&3和B.3.6節(jié)有詳細(xì)的說(shuō)

49、明|并且便冃了本標(biāo)準(zhǔn)百4節(jié)的標(biāo)題”B.3J單故障系統(tǒng)丿子系統(tǒng)/設(shè)備在發(fā)生任何可能的單個(gè)隨機(jī)硬件故障時(shí)能夠保證安全是非常必要的.這個(gè)原則即所謂的枚障安全，可通過(guò)以下方式來(lái)做到:1）組合故障-安全（Compositefail-safety）使用這種技術(shù)時(shí),每個(gè)安全性相關(guān)功能必須至少由兩個(gè)部件來(lái)執(zhí)行每個(gè)部件應(yīng)當(dāng)獨(dú)立于其它的部件，以避免共模故障，只有當(dāng)大多數(shù)部件一致時(shí)，才允許進(jìn)行非限制性行為”12）反應(yīng)故障-安全（Reactivefail-safety）這種故瞳允許一個(gè)安全性梱關(guān)功能宙單部件來(lái)執(zhí)行，前提是由快速的披障檢測(cè)和對(duì)任何危險(xiǎn)失效進(jìn)行避錯(cuò)來(lái)保證它的安全操作（例如通過(guò)編碼，多版軟件比較，或通過(guò)連續(xù)

50、的測(cè)試）.盡管只有一個(gè)部件執(zhí)行實(shí)際的故障安全功能,檢查/測(cè)試/檢測(cè)功能應(yīng)被看作第二個(gè)部件.3）固有故離安全（Inherentfailsafcty）這種技術(shù)是在假定單丫部件所卑可信的失效模式均無(wú)危險(xiǎn)的情況下，允許一 3】個(gè)安奈注功能由一個(gè)筆獨(dú)部件來(lái)執(zhí)行.任何被稱為不可倍前失效模式呦因?yàn)楣逃械奈锢硖刈ⅲ?yīng)省便用附件C申白勺過(guò)程來(lái)證禺面冇故障喪全也可用在組合和反應(yīng)故障-安全系統(tǒng)的某些功能書例如，用來(lái)確謀部捋之間的獨(dú)立性或肴如鴉檢測(cè)列一牛危險(xiǎn)側(cè)失效時(shí)菲強(qiáng)制停止運(yùn)轉(zhuǎn).無(wú)詒使用哪種技術(shù)或多神技術(shù)的絹臺(tái),都應(yīng)滾用適當(dāng)?shù)慕Y(jié)構(gòu)分析方法來(lái)傑證尊化隨機(jī)硬件元器件的失效模式不會(huì)導(dǎo)玫危險(xiǎn).在分折過(guò)程中考慮的元吳件綱去效

51、硬武應(yīng)1吏用附件C定丈的步驥來(lái)誦認(rèn).注：應(yīng)使用一個(gè)“自頂向下”的夫效分折方法S如故障樹分析（PTA）,這禪耀論在必要時(shí)可補(bǔ)之以自底向上一的方法.如失效模式和彫響分析（JFMEAJ.當(dāng)可以得刮魂切的數(shù)據(jù)蚊故障分析應(yīng)定性定量迤進(jìn)行.隨機(jī)硬件失效率或元器件的失效率如有可程應(yīng)基于現(xiàn)場(chǎng)數(shù)據(jù).整午元器件的失效卒在它的失效:篠戒之間的分配應(yīng)在分析中加以調(diào)整.B3J部件的獨(dú)立性在包括莎個(gè)部件并且部件的同吋岀錯(cuò)可龍導(dǎo)致危臉的系統(tǒng)中部件間的獨(dú)立性是單放障安全性的先決條牛為誦保這種獨(dú)立岀應(yīng)提出相應(yīng)的規(guī)岡或性址另外系統(tǒng)仔系統(tǒng)/設(shè)備的設(shè)計(jì)應(yīng)盡壘滅小殘失迪立性的潛走危險(xiǎn)石黒;制如白系統(tǒng)設(shè)計(jì)蜒辭弓!起的獨(dú)立性喪失.由兩個(gè)工

52、作部件組成的荼統(tǒng)中;各沖類型的干擾由例圖:B1給出.這張圖可以擴(kuò)般到爭(zhēng)于兩亍工作部侍組成旳丟統(tǒng).J獨(dú)立性可能蟲于下列標(biāo)龜所述曲干擾而喪失:類型A：物理的內(nèi)部鬆響如皋一令系統(tǒng)內(nèi)部的部件之間不存在物理聯(lián)系,就不可能有物理或功能的影響、因此就獲得了內(nèi)部獨(dú)立性.注;物理聯(lián)系擡指兩個(gè)部件之間的伐何媒介.例如：電聯(lián)茶；-電磁耦合*應(yīng)釆用措施防止意外的物理內(nèi)部老響注：附件D2指出了物理內(nèi)部獨(dú)立性的實(shí)現(xiàn)措施（A類影響的防護(hù)）.類型R：功能的內(nèi)部影響部件之間的磋館聯(lián)系是建立在物理聯(lián)系之上的，應(yīng)采取措施防止功能的影響如一個(gè)部件里的枚障應(yīng)不危及另一部件），這些應(yīng)遇過(guò)功能的內(nèi)部獨(dú)立性方法來(lái)實(shí)現(xiàn)（13類影響的防護(hù)）類型

53、C：物理的外部影響一個(gè)物理的外部影響可能導(dǎo)致部件之間的物理獨(dú)立性的喪失.|,注：這主要取決于以下因素，例如:環(huán)境壓為如電滯干扌就ENS）,事般罰斷沁），氣饞機(jī)觸和化學(xué)囲衰；-電源；-一外部輸入和輸岀.應(yīng)采取措施防止無(wú)意的物理外部影響*注:附件D勺指岀了物理外部獨(dú)立性的實(shí)現(xiàn)攢施C類影晌的防護(hù)）.類型D：功能的外部影響功能的外部影響可需導(dǎo)致部件之閭的功能獨(dú)立性的喪矢應(yīng)釆取措話保證來(lái)自外部的故障信息不危及系統(tǒng).這些應(yīng)通過(guò)功能的外部獨(dú)立性旳方法宗實(shí)現(xiàn)（D類影響的防護(hù).B3.3單故障的暴露第-個(gè)故障（單故障）可能是危險(xiǎn)的，要么單獨(dú)出現(xiàn),要蟲緊接著發(fā)生第二個(gè)故障,I應(yīng)當(dāng)在一個(gè)足夠短的時(shí)間內(nèi)暴露（如被檢測(cè)到

54、）并且強(qiáng)制達(dá)到一個(gè)安全狀態(tài)（如采取避蓿手段1以完成規(guī)定的安全性量化指標(biāo).有關(guān)于此的論證應(yīng)當(dāng)包含在故障摸式和影響分析中（PEMA），同時(shí)也應(yīng)包含在隨磯失效完善度的定量評(píng)怙中（參看附件3）在組合故障r安全情況斤這種要求意味君應(yīng)在足堵短的時(shí)間內(nèi)檢出第個(gè)故隋井強(qiáng)噺達(dá)列宗蜃狀軋而且在檢錯(cuò)井避錯(cuò)餉時(shí)間內(nèi)，.發(fā)主第二個(gè)故障的鳳臉小于規(guī)定的槪率指標(biāo).在反應(yīng)故障安全情況下.這種要求意眛著采用檢錯(cuò)并避錯(cuò)的時(shí)間不應(yīng)超出規(guī)定的不發(fā)世瞬間潛在危險(xiǎn)的時(shí)間.在圖B.2中,描述了組合和反應(yīng)故障-安全的要求在一定諂故障幕露時(shí)詞內(nèi)識(shí)別故障曲檢測(cè)技術(shù)，包括計(jì)算應(yīng)當(dāng)給出.在計(jì)算中桓用的基本失效率的數(shù)據(jù)的岀處（如頊件元器件的失效率）應(yīng)

55、當(dāng)是明確的，并且應(yīng)明確解釋定量分析方送注：故障暴靄H寸間是在設(shè)備進(jìn)行自檢情況下的測(cè)試時(shí)間或在人工檢測(cè)情況下的維I護(hù)時(shí)間”極端情況樂(lè)系統(tǒng)安裝的生命期.在設(shè)備存儲(chǔ)時(shí)是維護(hù)人員兩次定期測(cè)試之間的時(shí)間間隔.注:在附件D4中給出了7個(gè)接近達(dá)到這些荽求的例免II3.4故障暴露后的措施（包括安全狀態(tài)的保持）在第一個(gè)故障暴霜之后，系統(tǒng)/子系統(tǒng)/設(shè)備應(yīng)進(jìn)入或駅持在一牛安全狀態(tài)這亍 3】安令狀態(tài)通敝但不必）是更嚴(yán)格的.達(dá)到安全狀態(tài)的時(shí)聞必須足夠短.以使相應(yīng)的檢測(cè)并屏蔽時(shí)間滿足規(guī)定的安全陛指禰.注：避錯(cuò)時(shí)間通常被認(rèn)為是系統(tǒng)姐應(yīng)部分將要自動(dòng)或人為切斷的時(shí)間.在第一個(gè)故障棗露，并且已進(jìn)入安全性狀態(tài)之后，進(jìn)一步的甌障也不

56、應(yīng)退山安全狀態(tài).退出所限制的安全狀態(tài)只能在作為恢復(fù)過(guò)程的-部分的受控方式下發(fā)空在發(fā)生第一個(gè)故障之后的整個(gè)允許的修夏期內(nèi),如果進(jìn)一步發(fā)生故隨，系技子系統(tǒng)）設(shè)笹影當(dāng)保持庇安令狀態(tài)，可允許修復(fù)朋足夠短以滿是規(guī)左的安全繪忘.應(yīng)規(guī)宦設(shè)備退出運(yùn)行麗等待修復(fù)的允許時(shí)間.B.3拓多故障一個(gè)可能直接發(fā)主危險(xiǎn)或與進(jìn)一步的故障相組-合發(fā)生危險(xiǎn)的多故障（例如兩重或=重故障）i應(yīng)當(dāng)及區(qū)聶露（即撿測(cè)并且強(qiáng)制達(dá)到一個(gè)安全狀態(tài)即避錯(cuò)），這一時(shí)間應(yīng)足夠短丫以満足規(guī)定的安全性指標(biāo)應(yīng)便屈適當(dāng)?shù)姆结t(yī)如故障樹仆祈法（FTA）總認(rèn)證多故障的影響.同時(shí)給出在規(guī)宦吋間內(nèi)養(yǎng)成參故障檢測(cè)并屏蔽的技術(shù)*匕及相應(yīng)的計(jì)算.注：近似満足這些要求的實(shí)例包

57、括在附件D.5中應(yīng)進(jìn)行共模失效分桁（CMF）以保證多重故障只能在多個(gè)隨機(jī)單故障的組合情丘T發(fā)生而不是一個(gè)井模故障的結(jié)果.BJ.6系統(tǒng)故障的防護(hù),:除7迪過(guò)贋備初婪全柱晉理技術(shù)來(lái)縮小人為錐i吳陽(yáng)就率.勿1參看呆標(biāo)準(zhǔn)處節(jié)和&3節(jié)應(yīng)合理妄排技術(shù)安全性設(shè)計(jì)，說(shuō)使得即使存在一個(gè)危險(xiǎn)惻系統(tǒng)故障.也能防止它產(chǎn)生卒可接受的鳳險(xiǎn)例如：整個(gè)系統(tǒng)的結(jié)構(gòu)構(gòu)港得當(dāng)，氐使得-個(gè)經(jīng)過(guò)安全設(shè)計(jì)的子系統(tǒng)或設(shè)備部件在發(fā)生危險(xiǎn)側(cè)失效時(shí)1仍不會(huì)引發(fā)辜故B.4外界干擾下的運(yùn)行（技術(shù)安全性報(bào)告第4章）這一章討論系統(tǒng)/于系統(tǒng)段備在特定舸外界干擾下正確、安全地工譯的能力正常運(yùn)行”包活滿足操作爲(wèi)求和安全性需求芮個(gè)方面.為盡可能實(shí)用,安全性相關(guān)

58、系統(tǒng)應(yīng)設(shè)計(jì)成即疫在趨出規(guī)定限制的外界干擾條件T.系統(tǒng)仍能像持安全.應(yīng)考慮到的干擾列在后面B如至B4了里.B41氣候條件應(yīng)在規(guī)定的氣侯條濘下保證達(dá)到歐洲標(biāo)準(zhǔn)所需的安全性.如果鐵路管理機(jī)構(gòu)規(guī)定的條件比設(shè)備能滿足的條件更苛刻，洪方可以在用戶同意的條件下增加適應(yīng)氣候條件的措施.在朝下物理?xiàng)l件下：-J能挖制環(huán)境的建筑物.里；-不能栓制環(huán)境附$操縱臺(tái)或.建筑韌里；一室夕卜軌道上）；-車載裝置上;-在貯存中，應(yīng)考慮到下面兩個(gè)氣候因素：11潟度（最高和最低;-“相對(duì)濕度（最大和最小）,注：不同吻理?xiàng)l件下的推薦值包括在附件D61中.B.4J機(jī)械條件龐保旺在規(guī)定的機(jī)械環(huán)境條件下迖到歐洲標(biāo)準(zhǔn)所需的安全性.杳下面物理

59、條件下：:-在軌吐；軌旁；-車載裝置上；-在運(yùn)輸期間廠應(yīng)考慮下述因素：_震動(dòng)；沖怎-噪阿注：可取參考EN50I554TEN50155-2,EN22247和EN222駆里的數(shù)據(jù).3,43更嚴(yán)格的條件在必要的地方，應(yīng)采取措施來(lái)處理詵路管理機(jī)構(gòu)規(guī)定的更嚴(yán)格的條件*注：這種兼件的實(shí)例在醐牛DX申給岀.B44海拔條件應(yīng)保證在實(shí)際應(yīng)用苗海拔離度下達(dá)到歐洲標(biāo)準(zhǔn)所需的安全性，i注;系統(tǒng)/子系統(tǒng)/設(shè)備工作的高度在工常燈況下不超過(guò)海拔1800米.玖處電氣條件（固定裝置上）.應(yīng)保證在規(guī)定的電氣環(huán)境條件下達(dá)到歐列標(biāo)準(zhǔn)所需的安全性.考慮以下電氣條-供電-交.直流電翠;|.-電壓變化3】-敬率變化;-一擾功.-電磁T擾（

60、EMT）-系統(tǒng)受到的（婦敏感性;亠-奚統(tǒng)產(chǎn)龜射（如放射）:-悝導(dǎo)和（或）輻射.靜電移放（E5D）注：在EN5012I-4,EN501241和ENHWi至引用的值可作摺導(dǎo).B.4上電氣條件（車載裝置下應(yīng)保證車載裝置在規(guī)定屯氣劉牛卜達(dá)到歐洲標(biāo)準(zhǔn)所霊的安全注.注：應(yīng)使用EN50i2L4EN50124-1和ENH155-1里引用的值“B47非法登錄的防護(hù)注：盡管本標(biāo)準(zhǔn)的范鬧限制在系統(tǒng)、子系統(tǒng)和設(shè)備的功能安全性，但能夠?qū)ρb置進(jìn)行登錄的人員的健康和安全性乜應(yīng)加以考慮.】）登錄等級(jí)的定義寰晟等級(jí)定義誰(shuí)有奄最權(quán)，登錄的原固和如何蟹晁從麗預(yù)防菲法蚤錄.對(duì)于環(huán)特定操作，操作人員需要符合一定的規(guī)定，這些規(guī)定是關(guān)于：