GBT 28809-2012 軌道交通 通信、信號(hào)和處理系統(tǒng) 信號(hào)用安全相關(guān)電子系統(tǒng)

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局I Ⅲ V 1 2 2 2 7 8 9 95.2質(zhì)量管理證據(jù) 5.3安全管理證據(jù) 5.4功能安全和技術(shù)安全證據(jù) 5.5安全驗(yàn)收和審批 附錄A(規(guī)范性附錄)安全完整性等級(jí) A.2安全需求 28附錄B(規(guī)范性附錄)技術(shù)需求 B.1概要 B.4外界影響下的運(yùn)行(技術(shù)安全報(bào)告第4章) B.5安全相關(guān)應(yīng)用條件(技術(shù)安全報(bào)告第5章) B.6安全合格測(cè)試(技術(shù)安全報(bào)告第6章) 附錄C(規(guī)范性附錄)硬件元器件失效模式的 43C.1概要 43C.2一般規(guī)程 43 44 44 45附錄D(資料性附錄)補(bǔ)充資料 ⅡD.1概要 D.2內(nèi)部物理獨(dú)立性的獲得 D.3外部物理獨(dú)立性的獲得 D.5多重故障分析方法示例 附錄E(資料性附錄)安全相關(guān)電子信號(hào)系統(tǒng)避免系統(tǒng)性故障以及控制隨機(jī)故障和系統(tǒng)性故障的技術(shù)和措施 參考文獻(xiàn) ⅢGB/T28809—2012/IEC——GB/T16935.1—2008低壓系統(tǒng)內(nèi)設(shè)備的絕緣配合第1部分：原理、要求和試驗(yàn)—GB/T16935.5—2008低壓系統(tǒng)內(nèi)設(shè)備的絕緣配合第5部分：不超過(guò)2mm的電氣間隙和——GB/T20438.1—2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 —GB/T24338.1—2009軌道交通電磁兼容第1部分：總則(IEC62236-1:2003,IDT); GB/T24338.3—2009軌道交通電磁兼容第3-1部分：機(jī)車(chē)車(chē)輛列車(chē)和整車(chē) GB/T24338.5—2009軌道交通電磁兼容第4部分：信號(hào)和通信設(shè)備的發(fā)射與抗擾度 -GB/T24338.6—2009軌道交通電磁兼容第5部分：地面供電裝置和設(shè)備的發(fā)射與抗擾 -GB/T24339.2—2009軌道交通通信、信號(hào)和處理系統(tǒng)第2 軌道交通通信、信號(hào)和處理系統(tǒng)控制和防護(hù)系統(tǒng)軟件(IEC62279: 第2章規(guī)范性引用文件中，EN50124、EN50125、EN50155已按IECTC9和CENELECEN50124-1、IEC62498-1V1GB/T28809—2012/IEC軌道交通通信、信號(hào)和處理系統(tǒng)(軟件)2GB/T28809—2012/IECIEC60571鐵路機(jī)車(chē)用電子設(shè)備(Railwayapplications—ElectronicequipmentusedonrollingIEC60664(所有部分)低壓系統(tǒng)內(nèi)設(shè)備的絕緣配合(Insulationcoordinationforequipment(FunctionalsafetyofelectrGeneralrequirements)IEC62236(所有部分)鐵路應(yīng)用電磁兼容性(Railwayapplications—Electromagneticcompati-tions—Specificationanddemonstrationofreliability,availability,maintainabilityandsafety(RAMS)]IEC62280-1鐵路設(shè)施通信、信號(hào)和處理系統(tǒng)第1部分：在封閉的傳輸系統(tǒng)中有關(guān)通信安全(Railwayapplications—CommunicatIEC62280-2鐵路設(shè)施通信、信號(hào)和處理系統(tǒng)第2部分：在開(kāi)放的傳輸系統(tǒng)中有關(guān)通信安全(Railwayapplications-Communication,signallIEC62497-1鐵路設(shè)施絕緣配合第1部分：基本要求所有電氣和電IEC62498-1軌道交通設(shè)備環(huán)境條件第1部分：機(jī)車(chē)車(chē)輛車(chē)載設(shè)備(Railwayapplications—IEC62498-3軌道交通設(shè)備環(huán)境條件第3部分：信號(hào)設(shè)備和通信設(shè)備(Railwayapplications一3456GB/T28809—2012/IEC7DC:直流(directcurrent)EMC:電磁兼容性(electromagnetESD:靜電放電(electrosta8SIL:安全完整性等級(jí)(SafetyintegriTHR:容許危害率(tolerablehazaUIC:國(guó)際鐵路聯(lián)盟(InternationalUnionofRailways)附錄A(規(guī)范性附錄)定義了安全完整性等級(jí)的解釋和用法。附錄B(規(guī)范性附錄)包括了安全相關(guān)系統(tǒng)/子系統(tǒng)/設(shè)備詳細(xì)的技術(shù)需求。附錄C(規(guī)范性附錄)包括了識(shí)別硬件可信失效模式的規(guī)程和信息。附錄D(資料性附錄)包括了補(bǔ)充的技術(shù)信息。附錄E(資料性附錄)包括了各種安全完整性等級(jí)中使用的技術(shù)和方法表格。參考文獻(xiàn)包括了本標(biāo)準(zhǔn)編制過(guò)程中參考的相圖2歸納了本標(biāo)準(zhǔn)結(jié)構(gòu)。95.1.1第1部分系統(tǒng)(或子系統(tǒng)/設(shè)備)的定義5.1.2第2部分質(zhì)量管理報(bào)告5.1.3第3部分安全管理報(bào)告5.1.4第4部分技術(shù)安全報(bào)告5.1.5第5部分相關(guān)安全論據(jù)GB/T28809—2012/IEC5.2質(zhì)量管理證據(jù)安全驗(yàn)收首先應(yīng)滿足的條件是在系統(tǒng)/子系統(tǒng)/設(shè)備的整個(gè)生命周期內(nèi)，其質(zhì)量一直并將繼續(xù)受有效的質(zhì)量管理體系控制。對(duì)此證明的文檔性證據(jù)由質(zhì)量管理報(bào)告提供，其構(gòu)成了安全論據(jù)的第2部分。質(zhì)量管理體系的目的是在系統(tǒng)生命周期中的每個(gè)階段減少人為錯(cuò)誤的發(fā)生頻率，進(jìn)而降低系統(tǒng)/子系統(tǒng)/設(shè)備中的系統(tǒng)性故障風(fēng)險(xiǎn)。質(zhì)量管理體系應(yīng)適用于IEC62278中定義的系統(tǒng)/子系統(tǒng)/設(shè)備生命周期。圖4為源于IEC62278定義的系統(tǒng)生命周期一個(gè)示例。 符合質(zhì)量管理需求對(duì)安全完整性等級(jí)1～等級(jí)4是強(qiáng)制性的(見(jiàn)附錄A中安全完整性等級(jí)說(shuō)明)。但所提供證據(jù)的深度和支撐文檔的廣度應(yīng)仔細(xì)核實(shí)并與系統(tǒng)/子系統(tǒng)/設(shè)備的安全完整性等級(jí)相適應(yīng)(參見(jiàn)表E.1和表E.8給出的每一安全完整性等級(jí)所需證據(jù)的指南)。安全完整性等級(jí)0(非安全相關(guān)系統(tǒng)定義和應(yīng)用條件2風(fēng)險(xiǎn)分析3系統(tǒng)需求4系統(tǒng)需求分配5設(shè)計(jì)和實(shí)現(xiàn)69系統(tǒng)確認(rèn)(包括安全驗(yàn)收和試運(yùn)行)系統(tǒng)驗(yàn)收10性能監(jiān)控12運(yùn)行和維護(hù)11修改和更新13重新應(yīng)用生命周期(見(jiàn)注)停用及處置安全驗(yàn)收應(yīng)滿足的第二個(gè)條件是系統(tǒng)/子系統(tǒng)/設(shè)備的安全一直并將繼續(xù)由一個(gè)有效的且與GB/T28809—2012/IEC使用安全管理流程對(duì)安全完整性等級(jí)1~等級(jí)4是強(qiáng)制性的(見(jiàn)附錄A中安全完整性等級(jí)說(shuō)明)。GB/T28809—2012/IEC62425:2SIL3和SIL4項(xiàng)目經(jīng)理SIL1和SIL2或 在生命周期的開(kāi)始前期應(yīng)制定一個(gè)安全計(jì)劃。該計(jì)劃應(yīng)確定安全管理結(jié)構(gòu)、整個(gè)生命周期的安全相關(guān)活動(dòng)和審批的里程碑，并應(yīng)包含以適當(dāng)間隔對(duì)安全計(jì)劃進(jìn)行復(fù)查的需求。當(dāng)對(duì)原系統(tǒng)/子系統(tǒng)/設(shè)適當(dāng)階段對(duì)其對(duì)安全的影響進(jìn)行評(píng)估。對(duì)每個(gè)安全完整性等級(jí)的安全計(jì)劃指導(dǎo)參見(jiàn)表E.1。安全計(jì)劃應(yīng)包括一個(gè)確定最終安全論據(jù)具體結(jié)構(gòu)和主要部分的GB/T28809—2012/IEC —由安全主管部門(mén)授權(quán)；——2.1系統(tǒng)結(jié)構(gòu)描述(見(jiàn)B.2.1并參見(jiàn)表E.4);GB/T28809—2012/IEC 3.5多故障的影響(見(jiàn)B.3.5):——3.6系統(tǒng)性故障的防護(hù)(見(jiàn)B.3.6)。GB/T28809—2012/IEC6兩部分的結(jié)構(gòu)應(yīng)遵循5.1和圖3的要求?！踩枨笠?guī)范；●第5部分：相關(guān)安全論據(jù)(如果適用);●第6部分：結(jié)論。只要安全驗(yàn)收的條件均已得到滿足(如由安全論據(jù)所示，并取決于獨(dú)立的安全評(píng)估結(jié)果),那么系統(tǒng)/子系統(tǒng)/設(shè)備可以獲得相關(guān)安全主管部門(mén)的安全審批。審批可能會(huì)受到評(píng)估員所附加的(臨時(shí)或永對(duì)于一個(gè)通用產(chǎn)品(獨(dú)立于應(yīng)用)和通用應(yīng)用(即一類(lèi)應(yīng)用),由一個(gè)安全主管部門(mén)的安全審批可以所有種類(lèi)的安全論據(jù)的安全審批流程的說(shuō)明如圖8所示。(應(yīng)用的種類(lèi))特定應(yīng)用第1部分...第3部分...第4部分...第6部分…..第1部分..第2部分.....第4部分...第5部分...第6部分...第1部分...第3部分...第4部分...第5部分...第6部分..物理實(shí)現(xiàn)第1部分…..第3部分.…第5部分...第6部分....產(chǎn)品安全審批應(yīng)用安全審批相互認(rèn)可相互認(rèn)可系統(tǒng)BGB/T28809—2012/IEC安全需求GB/T28809—2012/IEC62425:2A.3安全完整性安全完整性關(guān)系到一個(gè)安全相關(guān)系統(tǒng)實(shí)現(xiàn)其所需安全功能的能力。安全完整性越高，它在執(zhí)行所安全完整性包括(見(jiàn)圖A.1)系統(tǒng)失效完整性和隨機(jī)失效完整性。系統(tǒng)失效完整性是安全完整性的不可量化部分，并且與危害的系統(tǒng)性故障(硬件或軟件)有關(guān)。系統(tǒng)性故障是在系統(tǒng)/子系統(tǒng)/設(shè)備生命周期的各種階段中由人為錯(cuò)誤導(dǎo)致的。 通過(guò)5.2和5.3中規(guī)定的質(zhì)量管理和安全管理?xiàng)l件來(lái)達(dá)到系統(tǒng)失效完整性。在5.4規(guī)定的技術(shù)安全性條件里包含了防止系統(tǒng)性故障的技術(shù)措施。整性等級(jí)可以看作系統(tǒng)在實(shí)現(xiàn)規(guī)定的完整性等級(jí)時(shí)達(dá)到的恰當(dāng)?shù)目尚潘疁?zhǔn)(參見(jiàn)附錄E)。隨機(jī)失效完整性是安全完整性中與危害隨機(jī)故障(特別是隨機(jī)硬件故障)相關(guān)的部分。隨機(jī)硬件故在5.4規(guī)定的技術(shù)安全性條件中包含了隨機(jī)失效完整性的實(shí)現(xiàn)。隨機(jī)失效完整性應(yīng)利用概率計(jì)算進(jìn)行定量評(píng)估。這都建立在硬件元器件失效率、失效模式和隨機(jī)硬件失效的出現(xiàn)次數(shù)等已知數(shù)據(jù)的基礎(chǔ)上。對(duì)于具備內(nèi)在物理特性的元器件(見(jiàn)附錄C),通常假定危害失效率為零。盡管可能存在危害失效的殘余風(fēng)險(xiǎn)，但可以按5.4和B.3.6所述加以防護(hù)。安全完整性需求和安全完整性等級(jí)的分配分別在A.4和A.5中描述。A.4安全完整性需求的分配應(yīng)系統(tǒng)地運(yùn)用確定軌道交通信號(hào)設(shè)備安全完整性需求(要考慮信號(hào)系統(tǒng)的運(yùn)行環(huán)境和結(jié)構(gòu)設(shè)計(jì))的這一方法的核心是明確定義運(yùn)行環(huán)境和信號(hào)系統(tǒng)的界面。從安全的觀點(diǎn)來(lái)看，這一界面是由一系列系統(tǒng)內(nèi)的危害和與之關(guān)聯(lián)的容許危害率定義。需要指出的是這一方法的目標(biāo)不是限制供應(yīng)商和軌道 安全主管部圖A.2總流程示意圖需要重點(diǎn)指出的是，容許危害率是關(guān)于系統(tǒng)失效完整性和隨機(jī)失效完整性的目標(biāo)度量。普遍認(rèn)為僅在考慮隨機(jī)失效完整性時(shí)，容許危害率才可以量化。在確定系統(tǒng)完整性需求是否滿足時(shí)，將采用定性度量和評(píng)判。這些主要由安全完整性等級(jí)(以及由安全完整性等級(jí)導(dǎo)出的度量方法)所涵蓋。安全主管部門(mén)應(yīng)對(duì)風(fēng)險(xiǎn)分析和危害控制進(jìn)行審批。A.4.1風(fēng)險(xiǎn)分析圖A.3給出了一個(gè)風(fēng)險(xiǎn)分析流程示例。以下的子條款更詳細(xì)地闡述了流程步驟。規(guī)范率風(fēng)險(xiǎn)分析流程示例—識(shí)別與系統(tǒng)相關(guān)的危害。造成人員傷害或環(huán)境破壞的不利條件。對(duì)危害的系統(tǒng)化識(shí)別通常包含兩個(gè)階段：危害識(shí)別的經(jīng)驗(yàn)階段和創(chuàng)造階段相互補(bǔ)充，增強(qiáng)了已覆蓋潛在的危害空間和已識(shí)別所有重大危害的置信度。著危害識(shí)別和原因分析應(yīng)在系統(tǒng)研發(fā)的幾個(gè)細(xì)節(jié)層次重復(fù)進(jìn)行。如圖A.4所示，在系統(tǒng)層面一個(gè)危害產(chǎn)生的原因可認(rèn)為是子系統(tǒng)級(jí)的一個(gè)危害(針對(duì)子系統(tǒng)邊界)。因此這一定義給出了一個(gè)結(jié)構(gòu)化和層次化危害分析和危害跟蹤的方法。危害(系統(tǒng)級(jí))事故k原因事故1系統(tǒng)邊界結(jié)果子系統(tǒng)邊界原因—-定義風(fēng)險(xiǎn)容許準(zhǔn)則；被現(xiàn)有功能所涵蓋，要么對(duì)新的潛在危害重新進(jìn)行風(fēng)險(xiǎn)分析以便進(jìn)一步處理(若新的潛在危害要求系統(tǒng)/子系統(tǒng)以外增加附加功能或采用危害降低措施);危害控制流程在圖A.5中描述。子系統(tǒng)元素和FR在原因分析的第一階段，將每個(gè)危害的容許危害率分配到一個(gè)功能級(jí)(系統(tǒng)功能)。然后利用SIL表將一個(gè)功能的容許危害率轉(zhuǎn)變成該功能的SIL。實(shí)現(xiàn)此功能的子系統(tǒng)的安全完整性等級(jí)則被定義在這一功能級(jí)。立即基于規(guī)定的THR分配SIL。一個(gè)子系統(tǒng)(即設(shè)備組合)可能實(shí)現(xiàn)一些安全相關(guān)功能，每個(gè)安全相關(guān)功能可能需要不同的安全完足最高的SIL,要么能提供它們的獨(dú)立性證明。在兩種情況下都應(yīng)執(zhí)行共因失效分析。馬爾可夫模型等。當(dāng)需要對(duì)象與對(duì)象間的獨(dú)立性時(shí)，要極為謹(jǐn)慎下方面的充分獨(dú)立性(見(jiàn)B.3.2和B.3.6):——流程上A.4.2.2.1物理獨(dú)立性為了對(duì)隨機(jī)效應(yīng)進(jìn)行可信的帶與門(mén)的故障樹(shù)計(jì)算，滿足物理獨(dú)立性是絕對(duì)必要的。因此在任何情物理獨(dú)立性的條件參見(jiàn)D.2和D.3。安全論據(jù)的一個(gè)子章節(jié)也對(duì)對(duì)象與對(duì)象間的獨(dú)立性進(jìn)行明確說(shuō)明。拒絕GB/T28809—2012/IEC62425:2A.4.2.2.2功能獨(dú)立性功能獨(dú)立性蘊(yùn)涵不會(huì)由于系統(tǒng)性故障或隨機(jī)故障造成一系列功能同時(shí)失效。因此，為了表明功能當(dāng)應(yīng)用故障樹(shù)對(duì)系統(tǒng)功能進(jìn)行分析時(shí)，比如判定功能A和功能B哪一個(gè)在安全完整性需求分配流圖A.7FTA功能獨(dú)立性處理關(guān)系A(chǔ).4.2.2.3流程獨(dú)立性產(chǎn)品和系統(tǒng)通?？煽醋鳛樯芷谠缙趦?nèi)在活動(dòng)過(guò)程的結(jié)果。這些活動(dòng)過(guò)程貫穿于生命周期的概認(rèn)為產(chǎn)品或系統(tǒng)在其應(yīng)用環(huán)境中安全等級(jí)要求越高則需要更健壯的和系統(tǒng)化的生命周期流程。此外，益于提高產(chǎn)品和系統(tǒng)的總的安全完整性。高安全完整性等級(jí)(SIL)需要更高的流程和人力資源的獨(dú)立性以保證避免或減少系統(tǒng)錯(cuò)誤。研發(fā)流程應(yīng)滿足需求的SIL,并確保研發(fā)團(tuán)隊(duì)在人員和組織機(jī)構(gòu)上有足夠的獨(dú)立性以便進(jìn)一步最大程度地減少系統(tǒng)錯(cuò)誤。對(duì)于軟件的指導(dǎo)見(jiàn)IEC62279?！录夹g(shù)具有巨大的潛在新危害(缺少經(jīng)驗(yàn));——由于缺少恰當(dāng)/合適的規(guī)范而產(chǎn)生的設(shè)計(jì)危系統(tǒng)整體性能造成影響或?qū)θ藛T造成傷害的潛在的系統(tǒng)級(jí)危害時(shí)，供應(yīng)商應(yīng)向軌道交通主管部門(mén)進(jìn)行安全完整性被分為4個(gè)獨(dú)立的等級(jí)。等級(jí)4為安全完整性最高等級(jí)，等級(jí)1為最低等級(jí)，等級(jí)0用于表明無(wú)安全性需求。安全完整性等級(jí)是對(duì)諸如質(zhì)量和安全管理以及技術(shù)安全條件這類(lèi)要素的定性與系統(tǒng)相關(guān)的危害是以它們?cè)谙到y(tǒng)生命周期的風(fēng)險(xiǎn)分析階段所得到的潛在后果來(lái)識(shí)別和評(píng)估的，如A.4.1所述。這一活動(dòng)(自頂向下)可獲得對(duì)于每個(gè)危害的容許危害率。然而供應(yīng)商可能是以自底GB/T28809—2012/IEC安全完整性安全完整性安全定量指標(biāo)質(zhì)量管理?xiàng)l件一沒(méi)有明確的需求一條件技術(shù)安全條件GB/T28809—2012/IEC62425:2SIL表可用于安全相關(guān)功能或執(zhí)行一個(gè)或多個(gè)這些功能的子系統(tǒng)。如果遵循這些安全完整性等級(jí)SIL表用于根據(jù)容許危害率確定需求的安全完整性等級(jí)。因此若一個(gè)功能F的容許危害率用一種表A.1SIL表安全完整性等級(jí)4321若一個(gè)功能對(duì)于容許危害率需求超過(guò)10-?/h,應(yīng)通過(guò)以下方法之一來(lái)處理：——若能把功能分解為獨(dú)立的子功能，容許危害率則可在那些子功能間分解并給每個(gè)子功能分配SIL表是依據(jù)IEC61508-1構(gòu)造的。如5.4中所述，系統(tǒng)/子系統(tǒng)/設(shè)備設(shè)計(jì)的安全技術(shù)證據(jù)應(yīng)在技術(shù)安全報(bào)告(其構(gòu)成了安全論據(jù)的第4部分)中給出。報(bào)告應(yīng)按以下標(biāo)題組織：——第1章：概要；——第2章：功能正確運(yùn)行的保障；——第6章：安全合格證明測(cè)試。每一章都已在5.4中簡(jiǎn)要涉及。對(duì)于技術(shù)安全報(bào)告的第2章～第6章的詳細(xì)需求包含在B.2~技術(shù)安全報(bào)告對(duì)于安全完整性等級(jí)1～4是強(qiáng)制性的(見(jiàn)附錄A對(duì)安全完整性等級(jí)的解釋)。然而，信息的深度和支持文檔的廣度應(yīng)適合于需審查的系統(tǒng)/子系統(tǒng)/設(shè)備的安全完整性等級(jí)。安全完整性等級(jí)0的需求不在本安全標(biāo)準(zhǔn)范圍內(nèi)。技術(shù)安全報(bào)告的結(jié)構(gòu)見(jiàn)圖7。B.2功能正確運(yùn)行的保障(技術(shù)安全報(bào)告第2章)一些細(xì)節(jié)方面在下文中討論，使用與5.4一致的標(biāo)題。應(yīng)包含對(duì)系統(tǒng)/子系統(tǒng)/設(shè)備設(shè)計(jì)的總體描述?？傮w描述應(yīng)有足夠的深度以便能清晰地理解系統(tǒng)所B.2.2.1人機(jī)接口a)操作員應(yīng)描述操作人員和工程人員操作系統(tǒng)/子系統(tǒng)/設(shè)備的機(jī)制。應(yīng)描述工程人員為專門(mén)軌道交通應(yīng)用配置系統(tǒng)/子系統(tǒng)/設(shè)備的處理過(guò)程。 應(yīng)描述維護(hù)人員在不同級(jí)別的維護(hù)過(guò)程中使用的接口機(jī)制，包括任何輔助設(shè)備的使用。更多詳細(xì)信息包含在B.5.2中。B.2.2.2系統(tǒng)接口a)內(nèi)部接口應(yīng)定義系統(tǒng)/子系統(tǒng)/設(shè)備內(nèi)部各對(duì)象之間的功能接口和物理接口。 b)外部接口應(yīng)定義系統(tǒng)/子系統(tǒng)/設(shè)備與外部各對(duì)象之間的功能接口和物理接口。B.2.3系統(tǒng)需求規(guī)范的實(shí)現(xiàn)應(yīng)論證在系統(tǒng)/子系統(tǒng)/設(shè)備需求規(guī)范里規(guī)定的運(yùn)行功能需求是如何通過(guò)設(shè)計(jì)來(lái)實(shí)現(xiàn)的。應(yīng)包括所有相關(guān)的證據(jù)材料(或給出參考索引)。B.2.4安全需求規(guī)范的實(shí)現(xiàn)應(yīng)論證規(guī)定的安全功能需求是如何通過(guò)設(shè)計(jì)來(lái)實(shí)現(xiàn)的。包括所有相關(guān)的證據(jù)材料(或給出參考索B.2.5硬件功能正確性的保障應(yīng)描述系統(tǒng)/子系統(tǒng)/設(shè)備的硬件結(jié)構(gòu)，解釋設(shè)計(jì)是如何達(dá)到所需的完整性。包括需求規(guī)范和其他相關(guān)標(biāo)準(zhǔn)所擬定的以下幾方面：GB/T28809—2012/IEC62425:2——可靠性這里對(duì)安全性的考慮只限于無(wú)故障條件，因?yàn)楣收系挠绊懸言谄渌胤娇紤?yīng)滿足IEC62279的需求?！憫?yīng)時(shí)間；B.3故障的影響(技術(shù)安全報(bào)告第3章)本章論證在發(fā)生隨機(jī)硬件故障直至可能的系統(tǒng)性故障時(shí)，系統(tǒng)/子系統(tǒng)/設(shè)備持續(xù)滿足規(guī)定的安全需求的能力。應(yīng)考慮的細(xì)節(jié)方面在下面B.3.1～B.3.6詳細(xì)給出，使用與5.4一致的標(biāo)題。B.3.1單一故障影響(參見(jiàn)表E.4)在發(fā)生單個(gè)隨機(jī)故障時(shí)應(yīng)確保系統(tǒng)/子系統(tǒng)/設(shè)備滿足規(guī)定的容許危害率。當(dāng)可識(shí)別的任何一種單一隨機(jī)硬件故障發(fā)生時(shí)，應(yīng)保證SIL3和S共因失效。只有當(dāng)必要數(shù)量的對(duì)象取得一致時(shí)，才允許進(jìn)行非限制行為。應(yīng)能檢測(cè)出一個(gè)對(duì)b)反應(yīng)式故障-安全這種技術(shù)允許一個(gè)安全相關(guān)功能由單個(gè)對(duì)象執(zhí)行，前提是通過(guò)快速的危害故障檢測(cè)和拒絕來(lái)確保它的安全操作(例如通過(guò)編碼，多路計(jì)算和比較，或通過(guò)連續(xù)的測(cè)試)。盡管只由一個(gè)對(duì)象實(shí)施實(shí)際的安全相關(guān)功能，但檢查/測(cè)試/檢測(cè)功能應(yīng)被看作為第二對(duì)象。檢查/測(cè)試/檢測(cè)c)內(nèi)在式故障-安全這種技術(shù)允許一個(gè)安全相關(guān)功能由單個(gè)對(duì)象執(zhí)行，前提是假定對(duì)象的所有可信失效模式均為非危害的。任何被聲明為不可信的失效模式(例如，因?yàn)閮?nèi)在的物理特性)應(yīng)使用附錄C定義的規(guī)程來(lái)進(jìn)行評(píng)定。內(nèi)在式故障-安全也可用在組合式和反應(yīng)式故障-安全系統(tǒng)的某些功能無(wú)論使用哪種技術(shù)或其組合，都應(yīng)使用適當(dāng)?shù)慕Y(jié)構(gòu)分析方法來(lái)證明機(jī)失效模式是非危害的。分析過(guò)程中考慮的元器件失效模式應(yīng)使用附錄C定義的規(guī)程來(lái)失效分析應(yīng)是定性的，并且當(dāng)可以得到可信的數(shù)據(jù)時(shí)進(jìn)行定量化。隨機(jī)硬件失效率或元器件的失效概率如有可能應(yīng)基于現(xiàn)場(chǎng)數(shù)據(jù)。分析應(yīng)證明失效模式之間元器件失效率分配的合理性。在包括多個(gè)對(duì)象并且各對(duì)象同時(shí)出錯(cuò)可能導(dǎo)致危害的系統(tǒng)中，各對(duì)象間的獨(dú)立性是單一故障安全性的強(qiáng)制性先決條件。為確保這種獨(dú)立性，應(yīng)實(shí)施適當(dāng)?shù)囊?guī)則或指導(dǎo)方針。采取的措施應(yīng)在系統(tǒng)的整圖B.1給出了兩個(gè)工作對(duì)象組成的系統(tǒng)中各種類(lèi)型的影響。該圖可以擴(kuò)展到多個(gè)工作對(duì)象組成——類(lèi)型A內(nèi)部物理影響——類(lèi)型B內(nèi)部功能影響各對(duì)象之間的功能影響是基于物理連接的，應(yīng)采取措施防止內(nèi)部功能影響。應(yīng)通過(guò)內(nèi)部功能獨(dú)立性方法來(lái)實(shí)現(xiàn)(對(duì)類(lèi)型B影響的防護(hù))?！?lèi)型C外部物理影響外部功能影響能導(dǎo)致各對(duì)象之間喪失功能獨(dú)立性，應(yīng)采取措施避免外部功能影響。應(yīng)通過(guò)外部功能獨(dú)立性方法來(lái)實(shí)現(xiàn)(對(duì)類(lèi)型D影響的防護(hù))。圖例：=預(yù)期的連接=非預(yù)期的連接(可能由故障引起)--=獨(dú)立(如果規(guī)定的措施能避免非預(yù)期的影響和連接)=前觸點(diǎn)(常開(kāi)觸點(diǎn))=兩個(gè)前觸點(diǎn)(兩個(gè)非受限獨(dú)立活動(dòng)“與”應(yīng)電壓)對(duì)象X對(duì)象Y輸出應(yīng)在足夠短的時(shí)間內(nèi)被檢測(cè)到并強(qiáng)制進(jìn)入安全狀態(tài)(例如：拒絕)以實(shí)現(xiàn)規(guī)定的量化安全目標(biāo)。這應(yīng)通過(guò)采用失效模式和影響分析方法(FMEA)和隨機(jī)失效完整性的定量評(píng)估方法(見(jiàn)附錄A.3)來(lái)加以GB/T28809—2012/IEC間隔時(shí)間。極端情況是系統(tǒng)安裝后的生命時(shí)間。當(dāng)設(shè)備處于儲(chǔ)存時(shí)，它是維護(hù)人員定期測(cè)試的間隔時(shí)間。注2:在附錄D.4中給出了一個(gè)實(shí)現(xiàn)這些需求的方法的示例。注：拒絕時(shí)間一般是自動(dòng)或人為切斷系統(tǒng)相應(yīng)部分所用的時(shí)間。TTA中出檢測(cè)出第一個(gè)故障并進(jìn)入安全狀態(tài)后，后續(xù)故障應(yīng)不能使系統(tǒng)退出安全狀態(tài)。僅在受控方式下并態(tài)。為實(shí)現(xiàn)規(guī)定的安全性指標(biāo)允許的修復(fù)時(shí)間應(yīng)足夠短。應(yīng)及時(shí)檢測(cè)可能直接造成危害或與繼發(fā)故障組合后造成危害的多重故障(例如兩重或三重故障),并且強(qiáng)制達(dá)到一個(gè)安全狀態(tài)。這一時(shí)間應(yīng)足夠短以滿足規(guī)定的安全指標(biāo)。應(yīng)用恰當(dāng)方法(如故障樹(shù)分析法FTA)來(lái)證明多重故障的影響。同時(shí)給出在允許時(shí)間內(nèi)完成多重故障檢測(cè)和拒絕的技術(shù)及其支持應(yīng)進(jìn)行共因失效分析(CCF)以確保多重故障只在多個(gè)隨機(jī)單一故障組合情況下發(fā)生，而不是一個(gè)除通過(guò)質(zhì)量和安全管理技術(shù)(見(jiàn)5.2和5.3)來(lái)減少人為錯(cuò)誤的概率之外，還應(yīng)采取技術(shù)性措施，以B.4外界影響下的運(yùn)行(技術(shù)安全報(bào)告第4章)應(yīng)考慮的影響列在下面B.4.1～B.4.7里。應(yīng)遵照IEC62498-1和IEC62498-3中列出的不同情B.4.1氣候條件應(yīng)確保在IEC62498-3規(guī)定的氣候條件下達(dá)到國(guó)際標(biāo)準(zhǔn)所需的安全性。如果軌道交通主管部門(mén)規(guī)定的條件比設(shè)備能實(shí)現(xiàn)的條件更嚴(yán)格，供應(yīng)商可以在用戶同意的條件下增加適應(yīng)氣候條件的措施。B.4.2機(jī)械條件應(yīng)確保在規(guī)定的機(jī)械環(huán)境條件下達(dá)到國(guó)際標(biāo)準(zhǔn)所需的安全性。應(yīng)確保在實(shí)際的海拔高度下達(dá)到國(guó)際標(biāo)準(zhǔn)所需的安全性。B.4.4電氣條件(非車(chē)載)應(yīng)確保在規(guī)定的電氣環(huán)境條件下達(dá)到國(guó)際標(biāo)準(zhǔn)所需的安全性。GB/T28809—2012/IECa)訪問(wèn)等級(jí)定義定操作，操作人員都需符合一定準(zhǔn)則，這些準(zhǔn)則包括以下幾個(gè)方面： 針對(duì)設(shè)備的培訓(xùn)b)防護(hù) d)封裝 機(jī)械編碼；B.4.7更嚴(yán)酷的條件必要時(shí)，應(yīng)采取措施來(lái)滿足軌道交通主管部門(mén)規(guī)定的更嚴(yán)酷的條件。 設(shè)備周?chē)鷾囟瓤焖僮兓斐傻哪丁梢韵略蛟斐傻膰?yán)重空氣污染：●腐蝕性化學(xué)制品；●硫化氫。 ●除草劑 B.5安全相關(guān)應(yīng)用條件(技術(shù)安全報(bào)告第5章)——適合特定應(yīng)用的可編程系統(tǒng)配置；——故障發(fā)現(xiàn)和維護(hù)的規(guī)則和方法；——系統(tǒng)操作規(guī)程—關(guān)于修改和最終停用的信息；下列B.5.1～B.5.3給出了一些應(yīng)包括的特定主題。a)配置如果一個(gè)子系統(tǒng)或設(shè)備對(duì)每個(gè)特定應(yīng)用都需進(jìn)行配置，那么應(yīng)規(guī)定配置工具和/或配置的b)系統(tǒng)建立應(yīng)詳述如何將子系統(tǒng)和設(shè)備構(gòu)造成一個(gè)特定的信號(hào)系統(tǒng)。c)功能改變?yōu)榱诉m應(yīng)這些不同應(yīng)用它是如何配置和設(shè)定的。任何與安全使用有關(guān)的限制與條件應(yīng)加以明B.5.2運(yùn)行與維護(hù)a)工作狀態(tài)應(yīng)對(duì)每個(gè)系統(tǒng)/子系統(tǒng)/設(shè)備的內(nèi)在條件加以定義，從而為操作與維護(hù)人員在下述情形下提供描述系統(tǒng)/子系統(tǒng)/設(shè)備在上電后或者由于斷電或其他原因造成系統(tǒng)關(guān)閉后的啟動(dòng)條件。2)正常運(yùn)行如果設(shè)備或配置的系統(tǒng)/子系統(tǒng)/設(shè)備有一個(gè)切換到一個(gè)冷備或那么此切換例程應(yīng)重述1)和2)里規(guī)定的條件，還要清楚規(guī)定設(shè)備對(duì)失效模塊切換時(shí)的當(dāng)一個(gè)系統(tǒng)/子系統(tǒng)/設(shè)備在因配置變化或終止試運(yùn)行的預(yù)期關(guān)閉、或由于斷電造成—安全方面b)維護(hù)分級(jí)——由用戶實(shí)施的二線維護(hù)；——由制造商實(shí)施的二線維護(hù)。c)周期性維護(hù)d)維護(hù)輔助手段 B.5.3運(yùn)行安全監(jiān)控在系統(tǒng)生命周期的運(yùn)行與維護(hù)期間，應(yīng)對(duì)系統(tǒng)/子系統(tǒng)/設(shè)備工作狀態(tài)進(jìn)行監(jiān)控以確保其性能與設(shè) B.5.4停用和處置系統(tǒng)/子系統(tǒng)/設(shè)備最后在停用時(shí)所需的技術(shù)安全性預(yù)防措施和規(guī)程應(yīng)成文。其中應(yīng)考慮在不中斷軌道交通運(yùn)行的情況下可能進(jìn)行分階段更換設(shè)備停用后的最終處置的警告和指南也應(yīng)包括在該文檔內(nèi)。B.6安全合格測(cè)試(技術(shù)安全報(bào)告第6章)本章應(yīng)包括證明在運(yùn)行條件下成功完成安全合格測(cè)試的證據(jù)。這些測(cè)試的目的是：——增強(qiáng)系統(tǒng)/子系統(tǒng)/設(shè)備能滿足規(guī)定的運(yùn)行需求的置信度；——增強(qiáng)已達(dá)到規(guī)定的可靠性和安全性指標(biāo)的置信度；——在遵循所提供的適當(dāng)預(yù)防和監(jiān)測(cè)措施的情況下，允許系統(tǒng)/子系統(tǒng)/設(shè)備在最后安全審批之前安全合格測(cè)試的范圍和持續(xù)時(shí)間應(yīng)在軌道交通主管部門(mén)和安全主管部門(mén)間達(dá)成一致，并應(yīng)在考慮GB/T28809—2012/IECC.1概要本附錄包括確認(rèn)硬件元器件可信失效模式的 C.2一般規(guī)程為了分析單一故障的后果(見(jiàn)B.3.1),有必要識(shí)別每個(gè)硬件元器件可信失效模式。表C.1～表C.16包括的硬件元器件失效模式列表應(yīng)作為設(shè)計(jì)和分析的基礎(chǔ)，除非對(duì)任何改動(dòng)已進(jìn)行論證。應(yīng)遵守C.5的一般說(shuō)明。C.3針對(duì)集成電路的規(guī)程(包括微處理器)采用集成電路的設(shè)計(jì)需要特殊對(duì)待，因?yàn)楹茈y預(yù)測(cè)設(shè)備可能存在的所有可信失效模式。對(duì)于可編是用自底向上的方法，如失效模式和影響分析，但是這種方法費(fèi)時(shí)，并且可能會(huì)遺漏某些危害失效模b)或者，失效模式在外部被檢測(cè)到并且在規(guī)定的時(shí)間內(nèi)強(qiáng)制進(jìn)入安全狀態(tài)。在這種情況下，應(yīng)進(jìn)行定量分析以證明設(shè)計(jì)的正確，并應(yīng)考慮全部元器件失效率下的危害失效模式的最不利的C.4帶內(nèi)在物理特性元器件的規(guī)程如果使用內(nèi)在的故障-安全技術(shù)(見(jiàn)B.3.1),應(yīng)對(duì)被認(rèn)為不可信的任何元器件失效模式提供充足的GB/T28809—2012/IEC 超出元器件額定值(例如由于故障或過(guò)載)并非是失效模式出現(xiàn)的原因的證據(jù)：3)所列出的失效模式都可以是間歇性的。6)假定元器件是在公布的環(huán)境限制條件下運(yùn)行。7)假定元器件是在公布的電氣參數(shù)范圍內(nèi)運(yùn)行。8)同一元器件引腳間的外部短路或漏泄不認(rèn)為是元器件失效，合適的電氣間隙和爬電距離見(jiàn)進(jìn)行特別緊固7)除C.5中7)之外，應(yīng)確保在公布的電氣參數(shù)內(nèi)有一定的余量，以防止元器件過(guò)載。C.7帶有內(nèi)在物理特性元器件的特別說(shuō)明為了能論證表C.1～表C.16中(*)標(biāo)識(shí)的失效模式是不可信的，下面說(shuō)明提供其指南。10)器件應(yīng)當(dāng)沒(méi)有空洞。電阻應(yīng)限制在最低可能值(例如不超過(guò)10kΩ)。在元器件各引腳的插座/連接線之間的電氣間隙和爬電距離至少應(yīng)滿足IEC62497-1的需求，以符合加強(qiáng)絕緣的需求。元器件應(yīng)以膠合劑或瓷漆密封。在其他情形下，即使在最高溫度下(包括故障條件)涂層也不應(yīng)導(dǎo)電。物體應(yīng)由即使在最高溫度下(包括故障條件)也不導(dǎo)電的材料構(gòu)成。線繞電阻的附加指南：——線繞電阻的線圈應(yīng)只有一層；——線繞電阻繞線之間應(yīng)通過(guò)涂層和/或物理分隔來(lái)防止短路。11)4端電阻應(yīng)由以下方法構(gòu)成：如果出現(xiàn)一個(gè)導(dǎo)致阻抗材料開(kāi)路的故障，這個(gè)故障也應(yīng)導(dǎo)致四個(gè)連接引腳中至少一個(gè)開(kāi)路。電阻的外部電路應(yīng)采用故障-安全的方法來(lái)揭露引腳的開(kāi)路。使用了混合厚涂層技術(shù)的4端電阻示例見(jiàn)圖C.1。圖C.1使用了混合厚涂層技術(shù)的4端電阻示例12)兩個(gè)引腳應(yīng)獨(dú)立地與元器件一邊連接。13)一個(gè)簡(jiǎn)單的平行板電容器的電容計(jì)算見(jiàn)式C.1:式中：A——板公共面積：d——板間距離；Eo——自由空間介電常數(shù)；e,——相對(duì)介電常數(shù)(介電常數(shù))。確認(rèn)失效模式不可信需要論證上述參數(shù)均沒(méi)有發(fā)生顯著變化。電解電容由于不存在這種失效模式，因而不適合上述方法。14)電容的設(shè)計(jì)和構(gòu)成應(yīng)適應(yīng)與最大工作電壓(包括故障條件)相對(duì)應(yīng)的高壓應(yīng)用環(huán)境。它應(yīng)具GB/T28809—2012/IEC16)電氣間隙和爬電距離應(yīng)至少滿足IEC62497-1的加強(qiáng)絕緣規(guī)定。——操作機(jī)制21)應(yīng)選擇不易熔接的接點(diǎn)材料。●磁性材料的選擇；●外部磁場(chǎng)的防護(hù)。-—電特性：●繞線的纏繞質(zhì)量●引腳的質(zhì)量?！窀鞑糠值目煽烤o固GB/T28809—2012/IEC-—光敏接收器。29)電氣間隙和爬電距離至少應(yīng)滿足IEC62497-1的加強(qiáng)絕緣的需求。30)電氣間隙和爬電距離至少應(yīng)滿足IEC62497-1的加強(qiáng)絕緣的需求。31)元器件應(yīng)結(jié)構(gòu)牢固。35)絕緣材料應(yīng)當(dāng)是穩(wěn)定的。36)連接器應(yīng)構(gòu)造堅(jiān)固。GB/T28809—2012/IEC39)應(yīng)具備足夠的絕緣性。()說(shuō)明10)阻值增加阻值減小電阻材料的開(kāi)路(”)說(shuō)明11)()說(shuō)明10)任一引腳電阻值的增加阻值的減小(·)說(shuō)明10)同側(cè)兩引腳間的短路(”)說(shuō)明12)a)各種類(lèi)型的電容和可調(diào)電容(不包括4(*)說(shuō)明14)容值增加(·)說(shuō)明13)容值減小(·)說(shuō)明13)并聯(lián)電阻減小(*)說(shuō)明14)串聯(lián)電阻增大GB/T28809—2012/IEC62425:2容值增加(*)說(shuō)明13)容值減小(·)說(shuō)明13)并聯(lián)電阻減小(*)說(shuō)明14)串聯(lián)電阻增大同側(cè)兩引腳間的短路(*)說(shuō)明12)——匝之間；——層之間；——整個(gè)線圖(·)說(shuō)明15)(*)說(shuō)明16)()說(shuō)明17)線圈和磁芯之間的短路或絕緣降低(*)說(shuō)明16)線圈電阻的增加電感值的增加(·)說(shuō)明17)電感值的減少(*)說(shuō)明17)任意線圈短路：——匝之間：——層之間；——整個(gè)線圈(·)說(shuō)明15)(·)說(shuō)明16)(·)說(shuō)明16)線圈之間的短路或絕緣降低(*)說(shuō)明16)線圈和磁芯之間的短路或絕緣降低(·)說(shuō)明16)任意線圈電阻的增加任意線圈感抗的增加(·)說(shuō)明17)任意線圈感抗的減少(*)說(shuō)明17)(*)說(shuō)明18)e)磁放大器(飽和電抗或磁放大器)GB/T28809—2012/IEC表C.3(續(xù))c)磁放大器(飽和電抗或磁放大器)交流線圈的短路：——匝之間——層之間；——整個(gè)線圈(·)說(shuō)明15)(·)說(shuō)明16)(”)說(shuō)明16)——直流線圈與交流線圈之間；——任何線圈與磁芯之間(·)說(shuō)明16)()說(shuō)明16)交流線圈感抗的增加(·)說(shuō)明17)交流線圈感抗的減少(*)說(shuō)明17)飽和電抗值的增加()說(shuō)明19)飽和電抗值的減小直流閾值電壓的降低(”)說(shuō)明19)——開(kāi)接點(diǎn)之間；——線圈與線圈之間；——線圈與接點(diǎn)之間：——線圈與導(dǎo)體外殼之間；——接點(diǎn)與接點(diǎn)之間：——接點(diǎn)與導(dǎo)體外殼之間(·)說(shuō)明20)(·)說(shuō)明16)(·)說(shuō)明20)(·)說(shuō)明20)()說(shuō)明21)接點(diǎn)電阻增加接點(diǎn)抖動(dòng)時(shí)間增加吸合電流增加吸合電流減小()說(shuō)明22)釋放電流增加釋放電流減小(·)說(shuō)明22)吸合/釋放比的變化(·)說(shuō)明22)吸合時(shí)間增加吸合時(shí)間減小(·)說(shuō)明22)釋放時(shí)間增加(·)說(shuō)明22)釋放時(shí)間減小(*)說(shuō)明22)(·)說(shuō)明22)任何前接點(diǎn)閉合與任意后接點(diǎn)閉合同時(shí)發(fā)生(瞬間或持續(xù))(·)說(shuō)明22)GB/T28809—2012/IECa)普通二極管(電源、信號(hào)、開(kāi)關(guān))反向電流增加反向擊穿電壓減小導(dǎo)通狀態(tài)的電壓增加導(dǎo)通狀態(tài)的電壓減小閾值電壓增加()說(shuō)明23)閾值電壓減小(*)說(shuō)明23)b)齊納二極管齊納電壓增加(*)說(shuō)明24)齊納電壓減小(·)說(shuō)明24)反向電流增加正向?qū)ǖ碾妷涸黾诱驅(qū)ǖ碾妷簻p小正向閾值電壓增加(·)說(shuō)明23)正向閾值電壓減小()說(shuō)明23)——集電極(C)——B、C之間；直流和/或交流放大系數(shù)的增加(*)說(shuō)明25)直流和/或交流放大系數(shù)的減小基-射導(dǎo)通狀態(tài)的電壓增加基-射導(dǎo)通狀態(tài)的電壓減小閥值電壓Vne的增加(”)說(shuō)明23)閾值電壓Ve的減小()說(shuō)明23)擊穿電壓Vs,或Vca,或Vcr的減小漏泄電流Ics、Ig、Icx的增加——漏極(D) —s.D之間 —S、G之間；——S、G和D之間正向互導(dǎo)的增加(·)說(shuō)明25)正向互導(dǎo)的減小柵極閾值電壓的增加?xùn)艠O閱值電壓的減小基-射導(dǎo)通狀態(tài)的電壓減小——漏、源擊穿電壓；漏泄電流Ics,或Ips或Icp的增加表C.6可控整流器a)晶閘管(SCR)——陰極(D)——G、A之間；——A、C之間；(·)說(shuō)明25)門(mén)觸發(fā)電流和/或門(mén)觸發(fā)電壓的變化—陰陽(yáng)之間正向阻斷電壓；-—MT2(第二載流端)——G、MT1之間；——G、MT2之間；——MT1、MT2之間；——MT1.G和MT2之間(')說(shuō)明25)門(mén)觸發(fā)電流和/或門(mén)觸發(fā)電壓的變化MT1-MT2最大額定不導(dǎo)通電壓和/或最大柵極額定電壓GB/T28809—2012/IEC62425:2a)壓敏電阻(VDR)筘位電壓的增加箱位電壓的減小漏泄電流的增加擊穿電壓的增加(*)說(shuō)明24)擊穿電壓的減小(·)說(shuō)明24)漏泄電流的增加c)氣體放電管擊穿電壓的增加擊穿電壓的減小漏泄電流的增加d)氣隙放電管擊穿電壓的增加擊穿電壓的減小漏泄電流的增加表C.8光電器件光靈敏度的增加(*)說(shuō)明25)光靈敏度的減小漏泄電流的增加光靈敏度的增加()說(shuō)明25)光靈敏度的減小漏泄電流的增加c)發(fā)光二極管(LED)發(fā)光的增強(qiáng)(恒流下)(·)說(shuō)明26)發(fā)光的減弱(恒流下)漏泄電流的增加閾值電壓的增加(*)說(shuō)明23)閾值電壓的減小(*)說(shuō)明23)(*)說(shuō)明26)(·)說(shuō)明27)短路或絕緣電阻的減少：——輸入輸出之間；——同一導(dǎo)體外殼中相鄰系統(tǒng)之間(*)說(shuō)明29)(·)說(shuō)明29)電流傳輸比的增加(*)說(shuō)明25)、26)電流傳輸比的減小品質(zhì)因素的降低b)機(jī)械諧振器(音叉/舌簧/擺)短路或絕緣電阻的減少：——輸入輸出之間；輸入或輸出與導(dǎo)體外殼之間(·)說(shuō)明30)(*)說(shuō)明30)b)機(jī)械諧振器(音叉/舌簧/擺)(·)說(shuō)明31)()說(shuō)明32)、33)傳輸比的減小品質(zhì)因素的增加(·)說(shuō)明33)品質(zhì)因素的降低(·)說(shuō)明33)、34)一根線或多根線的開(kāi)路或電阻增加不同線之間的短路或絕緣降低(*)說(shuō)明35)—一個(gè)或多個(gè)接點(diǎn)；——接點(diǎn)與接點(diǎn)之間；——接點(diǎn)與外殼之間(*)說(shuō)明35)、36)(·)說(shuō)明35)、36)()說(shuō)明37)一根線或多根線的開(kāi)路或電阻增加屏蔽層開(kāi)路或電阻增加(*)說(shuō)明38)短路或絕緣電阻降低——導(dǎo)線和導(dǎo)線之間或多種組合的導(dǎo)線之間；—單導(dǎo)線或多導(dǎo)線與屏蔽層之間；——單導(dǎo)線或多導(dǎo)線或屏蔽層與外部導(dǎo)體之間(·)說(shuō)明39)(*)說(shuō)明39)多處開(kāi)路與短路(*)說(shuō)明39)電阻增加衰耗增加衰耗增加表C.11熔絲(*)說(shuō)明40)熔斷電流的增加(*)說(shuō)明40)熔斷時(shí)間的增加(*)說(shuō)明40)(·)說(shuō)明40)——開(kāi)接點(diǎn)間；——接點(diǎn)與接點(diǎn)間；——接點(diǎn)與導(dǎo)體外殼間(')說(shuō)明20)(·)說(shuō)明20)(·)說(shuō)明20)(·)說(shuō)明21)接點(diǎn)電容增加接點(diǎn)表C.13燈光強(qiáng)的減少——單個(gè)電池；——多個(gè)電池；電動(dòng)勢(shì)減少內(nèi)部電阻增加表C.15變送器/傳感器(不包括內(nèi)部電子線路)(*)說(shuō)明40)(·)說(shuō)明40)(*)說(shuō)明40)響應(yīng)時(shí)間過(guò)長(zhǎng)(*)說(shuō)明40)功能不正常(見(jiàn)附錄C.3)功能不正常(見(jiàn)附錄C.3)功能不正常(見(jiàn)附錄C.3)GB/T28809—2012/IEC61)印制電路板同一層上的線路之間的絕緣；2)多層印制板的不同層線路之間的絕緣；3)同一電纜中的絕緣導(dǎo)線之間的絕緣；4)同一變壓器的絕緣繞組之間的絕緣；5)光耦合器內(nèi)絕緣元件之間的絕緣；GB/T28809—2012/IEC電壓);GB/T28809—2012/IEC62425:24)對(duì)于絕緣尺度的規(guī)定，應(yīng)選擇比較大的距離(電氣間隙和爬電距離)。D.4單一故障分析方法示例a)根據(jù)同時(shí)失效可能導(dǎo)致危害的對(duì)象失效率總和“a”,相應(yīng)對(duì)象的單一故障檢測(cè)和拒絕時(shí)間tab)在a)里提到的失效率是應(yīng)力分布的一個(gè)函數(shù)，該應(yīng)力分布取決于運(yùn)行期間的環(huán)境條件。應(yīng)力分布依賴于應(yīng)用。如果對(duì)失效率具有不利影響，可以用一個(gè)簡(jiǎn)化的應(yīng)力分布作為基礎(chǔ)。故障檢測(cè)時(shí)間對(duì)于不同組合要分別確定。在這種情況下，如果一個(gè)對(duì)象有多個(gè)不同的故障檢d)應(yīng)對(duì)所有對(duì)象的故障進(jìn)行周期性測(cè)試，這些測(cè)試應(yīng)代表所有影響正確運(yùn)行的可信故障，并且完成測(cè)試時(shí)間應(yīng)小于t,;大規(guī)模集成電路的故障檢測(cè)應(yīng)符合表D.1。e)如果無(wú)故障的N取二系統(tǒng)(N=2或3)掉電，那么故障檢測(cè)可能被中斷。中斷的時(shí)間長(zhǎng)度應(yīng)不超過(guò)a)中允許的故障檢測(cè)時(shí)間值的400倍。f)當(dāng)故障檢測(cè)被中斷的時(shí)間比e)中的允許時(shí)間更長(zhǎng)時(shí)，系統(tǒng)/子系統(tǒng)/設(shè)備可能只有在完成多故注3:以下h)～k)的內(nèi)容是從意大利鐵路技術(shù)標(biāo)準(zhǔn)的安全性電子系統(tǒng)(IS353)中繼承而來(lái)。IS353遵守OREA155.3推薦。g)當(dāng)安全相關(guān)功能由單一部件執(zhí)行時(shí)，安全側(cè)失效暴露時(shí)間t是對(duì)單一故障進(jìn)行檢測(cè)和以安全方式來(lái)反應(yīng)的最大時(shí)間總和。暴露時(shí)間應(yīng)不超過(guò)任何危害條件持續(xù)時(shí)間的規(guī)定時(shí)限。為了避免所有危害條件，該持續(xù)時(shí)間應(yīng)小于所控制設(shè)備的所需響應(yīng)時(shí)間(取決于單一部件系統(tǒng))。且完成測(cè)試時(shí)間應(yīng)小于ta。D.5多重故障分析方法示例(如B.3.5)a)與第三個(gè)故障組合可能導(dǎo)致危害的雙故障：GB/T28809—2012/IEC否否是否否是否是否是否否是圖D.1故障分析方法的示例誤動(dòng)作1.1寄存器依賴性(模式敏感型故障)在各種可能模式里(數(shù)據(jù)位組合)使用所有寄存器(除預(yù)置寄存器)在初始化預(yù)置寄存器后(如中斷控制寄存器),功能進(jìn)行(例如用一個(gè)隨機(jī)數(shù)發(fā)生器)1.2指令解內(nèi)存的錯(cuò)誤指令譯碼或錯(cuò)誤指令執(zhí)行，取決于源和/或目標(biāo)數(shù)據(jù)位組合使用各種類(lèi)型的一條指令，用1.1里列出測(cè)試，判斷是否所有可用的系統(tǒng)指令是可執(zhí)行的不僅檢查相關(guān)的寄存器而且要檢查所有其他寄存器里的存貯信息1.3時(shí)鐘1.4復(fù)位附加或沒(méi)有復(fù)位1.5電源誤動(dòng)作的方式重復(fù)該過(guò)程，直到所有RAM芯片中響，這個(gè)測(cè)試可分作幾個(gè)在線測(cè)試周期完成GB/T28809—2012/IEC遵循IEC62278中階段1～4的描述： 階段3:風(fēng)險(xiǎn)分析： 設(shè)計(jì)和開(kāi)發(fā)階段的結(jié)果以及安全論據(jù)的結(jié)果將指導(dǎo)應(yīng)用、運(yùn)行和維護(hù)過(guò)程，這些過(guò)程應(yīng)參見(jiàn)表E.10(參見(jiàn)5.3.12和5.4)給出1.檢查清單R部門(mén)和企業(yè)協(xié)商一致的文檔4.安全計(jì)劃修改后的評(píng)審5.在安全生命周期每個(gè)階段后進(jìn)行安全計(jì)劃的評(píng)審1.區(qū)分安全相關(guān)系統(tǒng)和非安全R:明確定義安全相關(guān)系統(tǒng)和非安全相關(guān)系統(tǒng)之間的接口接口分析2.圖形描述(例如方框圖)3.結(jié)構(gòu)化的規(guī)范口進(jìn)行描述分，自動(dòng)一致性校核，精進(jìn)至功能級(jí)5.計(jì)算機(jī)輔助的規(guī)范工具7.危害日志HR:建立危害日志并在整個(gè)系統(tǒng)生命周期內(nèi)維護(hù)R注：因?yàn)闄z查清單或計(jì)算機(jī)輔助規(guī)范工具一般只說(shuō)明“做什么”(以備不遺漏某件事),而不能確保實(shí)際完成的質(zhì)量，因此它們應(yīng)和其他方法一起使用。GB/T28809—2012/IEC1.安全組織機(jī)構(gòu)員工的培訓(xùn)初始培訓(xùn)HR:在所有安全相關(guān)活動(dòng)中進(jìn)行重復(fù)培訓(xùn)3.安全組織中員工的資質(zhì)4.(見(jiàn)備注)注：安全活動(dòng)所涉及的人員應(yīng)能夠勝任這些工作(參見(jiàn)5.3.3)1.區(qū)分安全相關(guān)系統(tǒng)和非安全RR2.帶自檢和監(jiān)測(cè)的單電子結(jié)構(gòu)RR3.雙電子結(jié)構(gòu)RR一RR結(jié)構(gòu)RRRR結(jié)構(gòu)RR注：陰影部分中所有技術(shù)是可選擇的