1、 EN 50129:20031英国标准 BS EN50129:2003 铁路应用通信、信号和过程控制系统信号的安全相关电子系统 EN 50129:20032国家前言该英国标准是 EN50129:2003 的官方英文标准。它代替了被撤回的 DD ENV50129: 1999 标准。GEL/9 技术委员会委托英国参与了它的准备,铁路电子技术应用组织即GEL/9/1 子委员会,信号和通信,职责是:帮助调查人理解文章;提出可靠的欧洲委员会的要求来分析或者提出改进意见,并保证英国的利益;关注相关的国际和欧洲发展,并在英国发布它们;一系列的组织给子委员会提出的意见可在它的秘书处获得。交叉的参考本英国标准应
2、用国际的或者欧洲的关于本文件的出版物,它可能在“国际标准相应的索引”部分的 BSI 目录中找到,或者是使用 BSI 电子目录的或者英国标准在线的“查找”工具。它的出版并不意味着包括一个合同所有必要条款,英国标准的使用者有责任正确使用该标准。依从一个欧洲标准并不是指本人免除法律责任。总共的页数该文档包括前封面,内前封面,EN 名称页,2 到 94 页和内后封面和后封页。在文档最终出版后,BSI 的版权日期在文档中指出。出版后的修订修订次数 日期 内容EN 50129:20033英文版本铁路应用通信、信号和过程控制系统信号的安全相关电子系统 这个欧洲标准在 20001101 被 CENELEC 提
3、出, CENELEC 的成员应该遵守CEN/CENELEC 国际标准,它规定了该欧洲标准在无修改的情况下作为国际标准的一些情况。最新的目录和关于国际标准的相关参考数目可以在中心秘书处或者任何CENECEC 的成员那里获得。这个欧洲标准有三个官方版本(英,法,德) 。CENECEC 的成员可将一种版本译为他们的语言,并且通知中心秘书处,这样有作为官方版本的同样地位。CENELEC欧洲电工标准协会EN 50129:20034前言本欧洲标准由 SC9XA 准备,属于技术委员会 CENECEC TC 9X 铁路电子和电子设备的通信,信号和处理系统。属于正式文件文本的草稿在 20021101 作为 EN
4、50128 由 CENECEC 提出。这个欧洲标准取代了 ENV50129:1998这个欧洲标准是在 CENELEC 的授权下通过欧洲委员会和欧洲自由贸易组织、96/48/EC 指示的本质要求来准备的。下面是确定的日期,通过国际标准的出版或批注,这个标准作为国际标准来实施的最近日期 20031201与这个标准冲突的国际标准排斥在外的最近日期 20051101标注“标准化”的附件是标准的一部分标注“非标准”的附件仅供参考。该标准中,附件 A,B,C 是标准化的,附件 D,E 是非标准化的EN 50129:20035内容引言51 范围.7 2 合乎规范的参考.73 定义83.1 定义.93.2 参
5、考.94 标准的整体框架.115 安全接受和承认的条件.125.1 安全情形.125.2 质量管理根据.125.3 安全管理根据.125.4 功能和技术安全根据.125.5 安全接受和承认.12附件 A(规范)安全完善度等级13A.1 引言.13A. 2 安全要求.13A. 3 安全完善度A. 4 安全完善度要求分配A. 5 安全完善度等级附件 B(规范)详细的技术要求B1 引言B2 正确的功能操作的保证B3 错误的影响B4 对外部影响的操作B5 有关安全应用的条件B6 安全质量测试附件 C(规范)硬件组成错误模式的鉴定C1 引言C2 常规程序C3 完整电路程序(包括微处理器)C4 固有的物理
6、性质组成程序C5 有关组成错误模式的常规信息C6 附带的常规信息,有关固有物理性质的组成C7 有关固有物理性质的组成的特殊信息附件 D(情报)补充技术信息77D.1 引言.77 D.2 完成物理内在独立性.77D.3 完成物理外在独立性 .78D.4 单个错误分析方法的例子.79D.5 多个错误分析方法.80附件 E(情报)为系统错误和控制随机及系统错误,为与安全相关的电子系统传输信号制定了技巧和方法85EN 50129:20036参考书目941 CENELEC 铁路应用标准的主要范围82 EN50129 的结构153 安全事例结构174 系统生命周期举例195 设计和系统生命周期有效部分举例
7、216 独立性排列227 技术安全报告结构268 安全性承诺和安全性批准过程.289 安全性事例/安全性批准间独立性举例29A1 安全要求和安全完整性.30A 2 全部过程回顾32A 3 风险分析过程举例33A 4 有关系统界限危险的定义34A5 危险控制过程举例.36A 6 解释故障和补救次数37A 7 由 FTA 处理的功能独立性.38A 8 安全完整性水准和技巧间的关系40B.1 影响项目独立性的因素46B.2 检测和否定单个错误49D.1 错误分析方法举例81A1 安全完整性水准表.41表 C.1 电阻器61表 C.2 电容器.62表 C.3 电磁组件.63表 C.4 二极管.66表
8、C.5 晶体管.67表 C.6 控制整流器.69表 C.7 过负荷干扰抑制器.71表 C.8 光电子组件.72表 C.9 过滤器.73表 C.10 内部组件74表 C.11保险75表 C.12开关和按钮75表 C.13电灯75表 C.14电池75表 C.15变送器/传感器(不包括内部电路)76表 C.16集成电路76表 D.1在大规模集成电路通过周期性在线测试的手段来检测故障的措施的例子82表 E.1安全计划和主动的质量保证.86表 E.2系统要求的技术规格87表 E.3安全组织87表 E.4系统/子系统/设备的建构88EN 50129:20037表 E.5设计特色89表 E.6故障和危险分析
9、的方法90表 E.7系统/子系统/设备的设计和研发91表 E.8设计的阶段性文档91表 E.9系统和产品设计的鉴定和确认92表 E.10应用,运行和维护93EN 50129:20038前言本标准是铁路信号领域内定义电子安全系统认可和支持要求的第一个欧洲标准。目前,国际上存在的语词有关的只有国际铁路联合组织(UIC )提出的整体建议和一些国家提出的互不相同的建议。针对信号的电子安全系统包括硬件和软件两部分。要安装完整的安全系统,必需考虑系统整个生命周期中的两个部分,即对硬件安全的要求和在标准上对整个系统定义的要求,期于要求在 CENELEC 标准上有要求。欧洲铁路机构和欧洲铁路工业在发展一种基于
10、一般标准并能够相互兼容的铁路系统。因此,对于系统安全支持方面和不同国家铁路机构要求方面横向认可是必须的。此文件就电子系统在铁路信号方面安全认可与支持的欧洲通用的基础。横向认可的目的在于一般的支持,不是特殊的应用。当它成为一个 EN 时公众在有关铁路信号电子安全系统的欧洲摄取内的获得将会关系到这个标准。本标准包括主要部分(第一章到第五章)和附录 A,B ,C,D ,E 。在此标准中主要部分和附录 A,B,C 中定义的要求是规范的,而附录 D 和 E 是非正式的。本标准和 EN50126(铁路装置 RAMS)中相关的章节有关联。本标准和EN50126 都是基于系统的生命周期和 EN615081。在
11、涉及到铁路通信信号和外部系统时,EN615081 被 EN50126/ EN50128/ EN50129 取代了。买组这些标准的要求将来遵守未评价的 EN615081 是足够的。因为标准是关于安全系统的支持所显示出来的现象,所以它使生命周期的行为特殊化,这些行为需要在认可阶段之前完成,随之而来的是额外的计划行为。对整个生命周期的安全检测就是这样被要求的。本标准是关于显现出来的现象,除了认为是合适的地方,它没有规定谁将执行必须的工作,因为这在不同环境下是不相同的。EN50128 定义了包括可编程电子器件和软件附加条件的安全系统。EN501591 和 EN501592 定义了对安全数据通信的额外要
12、求。EN 50129:200391 范围本标准适用与铁路信号设备上用的电子安全系统(包括子系统和设备) 。图 1 表示了本标准的范围和它与其他 CENELEC 标准的关系。本标准适用与所有的铁路信号安全系统、子系统及设备。然而,EN50126 中定义的事故分析和危险估计程序和本标准对于所有的铁路信号系统、子系统及设备是必须的安全要求。如果分析结果显示 没有安全要求(例如:这种情况下是不安全的) ,并且结论没有修改行为后来变化的结果,本安全标准就会停止使用。分类、设计、建设、安装、认可、操作、维护和修改及扩展等功能也适用与完整系统中的个人子系统和设备。附录 C 包含了和电子硬件部分相关的程序。本
13、标准又适用与一般的子系统和设备(独立的使用和某种特殊的使用) ,也可在系统、子系统、设备上有特殊的使用。本标准不适用与现存的系统、子系统和设备(例如在本标准之前已经被接受的系统、子系统和设备)然而,只要合乎实验性,本标准也被用来修改或扩展现存的系统、子系统和设备。本标准主要用于铁路信号传输设备的专门设计和加工的系统、子系统及设备。作为信号传输安全系统的一部分,如果现实允许,也可被用于真体的构思或一些工业设备(如:能源的供应、调配等) 。即使在最小限度时,可根据显示,设备或者依赖于安全或者依赖于与安全相关的这些功能。本标准适用于铁路信号传输系统功能上的安全。它不是处理个人的职业上的健康和安全,这
14、一课题在其他的标准上有说明。2 参考标准欧洲标准参考了其他出版物里的更新后未更新的部分。这些标准参考在本文适当的地方被应用,下面列出了被参考的出版物。对于更新过的参考,后来的修订当需要的时候也被欧洲标准引用。没有更新过的参考,出版物最新的版本有所提及(包括修改的部分) 。EN 50129:200310注意:附加的非正式的参考在目录里。EN50121 系列 铁路应用电磁兼容EN501241 铁路应用绝缘调配第一部分:电力电子设备绝缘的基本需求。EN501242 铁路应用绝缘调配第二部分:过电压及其先观保护。EN501251 铁路应用环境需求第一部分:board rolling stock 上的设
15、备。EN501253 铁路应用环境需求第三部分:信号传输与通信设备。EN 50126 铁路应用可靠性、可用性、可维护性和安全性( RAMS)规范和说明。EN 50128 铁路应用通信、用于铁路控制和系统保护的信号处理系统EN 50155 铁路应用电气设备在 rolling stock 上的应用。EN 501591 铁路应用通信、信号处理系统第一部分:在闭环传输系统中与安全相关的通信EN 501592 铁路应用通信、信号处理系统第二部分:在开环传输系统中与安全相关的通信EN 615081 电气、电子、可编程的安全电气设备系统第一部分:主要需求(IEC61508)IEC 60664 系列 在低电压
16、系统的绝缘调配。3 定义和缩略词3.1 定义 在本标准中下面的定义将被用到。3.1.1 故障 导致死亡、受伤、系统或设备损失或者破坏环境的无意中的故障或一系列故障。EN 50129:2003113.1.2 评估 分析设计部门和产业部门生产的产品是否满足规定的要求,并形成一套判别产品是否按其预定功能进行工作,这个过程称为评估。3.1.3 授权书 按规定使用产品的正式许诺。3.1.4 可用性 一个产品在给定一段时间,在一定条件下按要求实现功能的能力,以及在所需求的外部资源被提供的前提下,其在给定的一段时间执行的能力。3.1.5 可能 可能发生的。3.1.6 偶然性分析 分析一种专门的危害存在的原因
17、。3.1.7 普通偶然故障 一些具有独立功能的设备失效。3.1.8 结果分析 分析在一个危害发生后,可能出现的情况。3.1.9 图表 表明硬件的结构和相互联系以及系统软件的功能。3.1.10 横向认可 一个产品被一个权威乃至相关欧洲标准认可并且被最高权威认可,这样一种程度3.1.11 设计 这是一种为了将规定需求通过分析和转换,使其满足可靠性要求的设计方法。3.1.12 设计权威 此体系负责开发一套设计方法的公式去执行规定的需求并遇见随后的发展,使一个系统在预定的环境中工作3.1.13 发送 这是一种用多种互不相同的方法来实现全部或部分特殊要求的方式3.1.14 设备 起作用的物理装置3.1.
18、15 误差 与预先设计结果相偏离,并会导致系统发生副作用或失效。3.1.16 失效安全 这个概念是包含在一个产品的设计当中,如产品看似处于安全状态,但实际上已经失效了。3.1.17 失效 偏离系统规定的行为,是系统错误或误差导致的结果。3.1.18 错误 一种非常规导致系统失效的条件,一个错误是随即的或有规律发生的。3.1.19 错误发现时间 从错误发生的一瞬间到被发现为止的异端时间3.1.20 功能 一个产品执行其规程的行为模型3.1.21 危害 导致事故的情况3.1.22 危害分析 坚定危害分析及其产生原因,以及违反法制危害可能发生的要求和在一定程度上危害所造成的后果3.1.23 危害记录
19、 一个包含所有安全管理活动、危害坚定、决策生成的文档,用于EN 50129:200312存档和参考3.1.24 认为错误 导致系统发生副作用的人的行为(失误)3.1.25 执行 为了将规定的设计转化为物理的实现而进行的活动3.1.26 独立(功能) 由于机械具有的多功能而影响到正确操作,从而导致系统故障或突发故障的机械装置中寄托出来。3.1.27 独立(人工) 从需要相同智力、商业或管理试题中解脱出来。3.1.28 独立(物理) 从由于多功能而影响正确 操作几导致系统、副系统、设备发生突发故障的机械装置中解脱出来。3.1.29 个体风险 一个仅仅有关独立个体的风险。3.1.30 维护性 对于给
20、定一种积极的维护行为,其在给顶使用条件的项目中的可行性,可以在相关条件和使用相关程序和资源的间隙中进行。3.1.31 维护 所有技术和管理行为的综合,包括监督行为,企图保持一个项目或将其存储,是一种可以表现其需求功能的状态。3.1.32 可行性 可执行性。3.1.33 负面性 当发现一个危险的错误而破坏安全的状态。3.1.34 负面时间 从一个危险错误的发生到结束,整个安全状态被破坏的时间跨度。3.1.35 生产 与形成满足规定需求的一种方法相互关联的元件组装。3.1.36 质量 使用者对于一个产品属性的看法。3.1.37 铁路权威 通过安全操作铁路系统而形成的完整的安全权威体系。3.1.38
21、 突发故障强度 一个系统能承受危险的突发故障的限度。3.1.39 突发故障 无法预见发生的故障。3.1.40 可靠性 提供一种或多种通常是相同的措施,来提供对故障的承受。3.1.41 可靠性 一套装置在给定条件下和规定时间内执行特定功能的能力。3.1.42 修理 将系统、副系统及设备在失效后恢复即定状态的重建方法。3.1.43 风险 发生特定危害的频率、可能性及后果的集合体。3.1.44 安全状态 一种持续安全的状态。3.1.45 安全度 不发生一定程度上的重大风险。3.1.46 安全度认可 最后一个使用者对产品安全状态的认可3.1.47 安全度规定 当产品已经执行一系列先决条件后必须对安全状
22、态进行权威认EN 50129:200313定。3.1.48 安全度权威 负责对与系统相关的安全操作发表授权。3.1.49 安全库 报名产品遵从规定安全需要的文档。3.1.50 安全度 在运行的各个阶段各种操作环境及所有的状态条件下,安全相关系统达到安全功能的能力。3.1.51 安全度标准 在考虑系统错误的前提下,一个表明系统自我满足规定安全功能的数字。3.1.52 安全度生命周期 对于安全有关的系统的生命周期中执行的一系列动作3.1.53 安全度管理 确保过程被安全执行的结构。3.1.54 安全计划 如何达到工程的安全需求的执行细节。3.1.55 安全流程 对于一个产品所有安全要求进行鉴定和满
23、足的一系列步骤。3.1.56 相关安全度 对安全度负责。3.1.57 命令 强制执行的。3.1.58 建议 被提议的。3.1.59 信号系统 由于铁路控制和保护火车正确运行的专门的一类系统。3.1.60 压力承受 当一个产品执行特定功能时所承受的大量外部影响的程度。3.1.61 副系统 系统中执行特殊功能的一部分。3.1.62 系统 通过设计,使一系列副系统相互作用而组成的。3.1.63 系统失效度 系统从危害性误差和原因中恢复的能力。3.1.64 系统错误 对于一个系统,在规范、设计、组构、安装、执行或维护中内部发生的错误。3.1.65 系统生命周期 从一个系统开始构造到该系统失效这段时期内
24、进行的一系列活动。3.1.66 技术安全报告 对系统、副系统及设备设计的安全进行论证的报告。3.1.67 有效性 一系列通过测试和分析来表明产品满足各方面安全规范的行为。3.1.68 鉴定 一种通过分析和测试,在系统生命周期的每一个阶段,对所分析和测试的阶段满足前一阶段的输出,和该阶段按规定输出进行坚定的行为。3.2 缩略词EN 50129:200314下面是该标准中用到的缩略词:3.2.1 AC 交流电3.2.2 ATP 列车自动保护3.2.3 CENELEC 欧洲电气标准委员会3.2.4 CCF 常见故障原因3.2.5 DC 直流电3.2.6 EMC 电磁相容性3.2.7 EMI 电磁干扰
25、3.2.8 EN 欧洲标准3.2.9 ESD 静电释放3.2.10 FET 场效应管3.2.11 FMEA 故障建模和分析3.2.12 FR 故障率3.2.13 FTA 故障树分析3.2.14 H 危害3.2.15 HW 硬件3.2.16 IEC 国际电工技术委员会3.2.17 IRSE 铁路信号工程机构3.2.18 ISO 国际标准组织3.2.19 RAMS 可靠性、可行性、维护性和安全性3.2.20 SCR 可控硅校验器3.2.21 SDR 安全下降率3.2.22 SDT 安全下降时间3.2.23 SIL 安全度标准3.2.24 SW 软件3.2.25 THR 危害可承受度3.2.26 U
26、IC 国际铁路联盟3.2.27 VDR 电压电阻器EN 50129:2003154 该标准所有框架欧洲标准中第五条款要求采用一个有规律的、有文挡的-质量管理记录-安全管理记录-功能和技术安全记录-规定安全度附录 A 定义安全度标准的使用和结实。附录 B 包含安全相关 的系统、副系统及设备的技术细节要求。附录 C 包含坚定可修复硬件故障的步骤和信息的方法。附录 D 包含附加的技术信息。附录 E 包含用于安全度各个标准的技术、方法目录。目录 包含在执行着套标准期间所需查询文档的说明。5 为保证安全所允许的条件5.1 安全情况该标准定义的条件应满足为保证与安全有关的电气铁路系统、副系统及设备按其预期
27、目的可以被足够安全的应用。在该标准中有关的部分是以.下三个标题为基础的,分别称为:-5.2 质量管理记录-5.3 安全管理记录-5.4 功能和技术安全记录在与安全有关的系统可以足够安全的被使用之前,所有这些条件都应达到系统、副系统及设备要求的水平。已经与这些条件相符合的文档记录应当被包含进一个安全坚定文档,即安全库。安全库组成所有遵从相关安全权威的文档记录的一个部分,为了得到一个一般产品,一组应用或一个特殊应用的安全要求规范。对于安全规范过程的解释,见该标准的5.5 部分。EN 50129:200316安全库包含系统、副系统及设备的安全文档记录,可以分为如下结构:第一部分 系统(或副系统及设备
28、)定义应明确定义或表明安全库所指的系统、副系统及设备,包括类型编号、所有需求的修改权限、设计和应用性的文档。第二部分 质量管理报告该部分包括质量管理记录,如该标准中 5.2 部分提到的第三部分 安全管理报告该部分包括安全管理记录,如该标准中 5.3 部分提到的第四部分 技术安全报告该部分包括功能和技术安全的记录,如该标准中 5.4 部分提到的第五部分 相关安全库该部分包括与安全库所依靠的所有副系统及设备有关的安全库同时应该表明所有与安全有关的应用条件都应规定每一个相关的副系统及设备的安全库要么是在主安全库中执行,要么在主安全库中与安全库有关的应用条件下执行。第六部分 结论该部分应简要概括在安全
29、库先前部分的记录,并讨论相关系统、副系统及设备是否足够的安全,是否遵从专业的应用条件。安全库的结构用图表 3 说明。明确规定大量细节的记录和辅助类文档不需要包含进安全库和它的子库,也不需要提供明确的用于此类文档的解释,同时也不需要提供基本概念的应用和所采用的途径。5.2 质量管理记录安全规范的第一个条件就是系统、副系统及设备的质量应得到保证,并且还应在其整个生命周期中被一套有效的质量管理系统控制。文档记录是该要求在质量管理报告中的表现,它形成了安全库中的第二个部分。质量管理系统目的是使在系统生命周期的每个阶段的人为故障最小化,同时也减小系统、副系统及设备中系统故障的发生。质量管理系统应当在系统
30、、副系统及设备整个生命周期中应用,如定义的EN 50129:200317EN50126。一个系统生命周期的例子(在 EN50126 标准下) ,由该标准的图表 4 描述EN50129:2003注释:下面是一个有关质量管理体系和质量管理报告所包括的几个方面的例子。组织的结构质量计划和步骤需求说明书控制设计检查和复查设计工程应用采购和制造产品鉴定和跟踪管理和存储检查不一致性和正确的行动包装和发送安装和授权操作和维护质量管理和售后服务文档和记录配置的管理或更改控制操纵指导质量审计和使用情况调查运行状况遵从质量管理的要求是保证 1 到 4 完全安全水平所必需的(见兼并 A 中对完全安全水平的解释) 。
31、然而,记录的深度和辅助类文档的扩展应适应系统、副系统及设备的完全安全水平(见表格 E.1 和表格 E.8 中对每个完全安全水平所需记录的结实)。完全安全 0 水平(不安全)的要求不在该安全标准所探索的范围。EN 50129:2003185.3 安全管理措施5.3.1 概述为了保证安全相关的铁路信号电子系统/子系统 /设备安全所必须满足的条件之二是安全管理措施,他应该与 EN50126 中所到的可靠性、可用性、可维护性和安全性的管理过程相一致,目的是进一步减少和安全相关的认为失误。进而减少系统故障风险。下面 5.3.2 到 5.3.13 就简要的介绍了安全管理过程因素。在安全管理报告中将提到有关
32、安全管理过程中的各素都遵从生命周期概念的书面证据,即是安全案例的第三部分,这其中不包含大量的详细的证据和提供的文献,只是一些简单的索引。安全管理措施的运用对于安全完整性水准的 1 到 4 来说是强制性的。 (参考安全完整性水准的解释附录 A)然而,所提供的证据的深度和所支持文献的广度对于安全的系统/子系统/仪器设备的安全完整性水准来说应该是合适的。安全完整性水准为0 的(认为不安全)是不符合安全标准的。为了证实安全完整性所提到的标准对每一种特殊的情形都是适用的。那么在EN50126 中定义的危害分析和风险评估过程都是必要的。这也包括那些分析和评估认为安全完整性水准认为是 0 的情况。然而,一旦
33、得出这样的结论, (也就是说这种情况是不安全的) ,那么,这种安全标准就不再适用。5.3.2 安全的生命周期这种安全管理过程包括很多阶段和行为,因此形成了安全生命周期。这应该与EN50126 中提到的系统生命周期相一致,即是图 4 所显示标准的一种复制。系统生命周期的设计和有效性部分可以看作是“顶部底部”和“底部顶部”两个阶段。 (也就是 V 形)如图 5 所示。5.3.3 安全机构EN 50129:200319安全管理过程应该在安全机构的有效指导下执行。安全机构应该任用那些被指任为扮演特殊角色的有能力的人来组成。对这些人进行包括技术知识,认证,相关经验和正确的训练的能力的评估和记录应该根据大
34、意公认的标准来执行。对于所有安全完整性水准的所要求的安全机构知道下的不同角色之间应该有一个相互独立的度,正如图 6 和表 E.3 所示。5.3.4 安全计划在生命周期的开始应该指定一个安全计划,这个计划应该体现整个生命周期安全管理的结构,安全相关的活动和论证的转折点。还包括每隔一定间隔进行安全计划复查的要求。如果对原始系统/子系统/仪器设备进行一系列的改动或增加的话,我们就应该及时更新或复查安全计划。如果有类似这样的变动,那么在生命周期的恰当的位置对变动所引起的包括硬件和软件安全方面的影响就应该被重新评估。参照表 E.1 对于每一个安全完整性水准安全计划所作的指导安全计划应该处理系统/子系统/
35、仪器设备的各个方面,包括硬件和软件。对于软件的各个方面问题在 EN50128 中已经论述过。安全计划应该包括安全案例计划,他将体现最终安全案例的预期结构和重要内容。5.3.5 危害日志在整个生命周期过程中应该创建并维护一个危害日志,正如在 EN50126 所解释的,它应该包括一系列公认的危害,还有对于每一种危害的风险分类和风险控制信息,如果对系统,子系统或仪器设备有任何修改和变动,危害日志都应该被升级。5.3.6 安全要求对每一种系统/子系统/仪器设备的特定的安全要求包括功能安全要求和安全完整性要求,这些要求应该在安全具体方面里面明确标识和记录,可以通过 EN50126 中提到的这几个方面完成
36、:1危害标识和分析2风险评估和分类3安全完整性水准的分配附录 A 中包括了一些铁路电子系统的安全完整水准的信息。注:安全要求可能包括在系统/子系统/仪器设备功能要求中或可以被写作为独立的文档,参照表 E.2 对与每一条安全完整性水准在系统需求方面的指导。EN 50129:2003205.3.7 系统/子系统/仪器设备的设计生命周期的这一阶段应该做这样一种设计,此设计将完成特定的操作和安全要求,我们将运用顶部底部的这样的一套方法且有严格的控制和复查文档。特定情况下,通过软件需求和软件/硬件整合而再现的软硬件之间的关系应该得到严格的管理。标准 EN50128 中也有所提及。表 E.7 给出了对每一
37、种安全完整性水准来说系统/子系统/仪器设备在设计和进展方面的指导。5.3.8 安全复查在生命周期的适当阶段应该做一下安全复查,这些复查应该在安全计划中明确规定,在复查同时要记录结果,如果对系统,子系统或器设备有任何改动或扩展,那么我们都应该对其进行复查。5.3.9 安全核对和证实安全计划应该包括或索引一些这样的计划,他们能核对生命周期的每一个阶段都能满足在先前那些阶段中提到的具体的一些安全要求,并且能证实已经完趁个的系统/子系统/仪器设备是与原始的安全性的具体要求相对应的。我们应该去完成这些步骤并且将其结果做一详细记录,包括正确的测试和安全分析,在接下来的而已系列的对系统/子系统/仪器设备的变
38、动和增加中应该正确的重复以上操作。对核对人和确认人来说,独立的必要性的度应该与仔细检查下的系统/子系统/ 仪器设备的安全完整性水准相一致,可以参照图 6 和表 9,对于每一种安全完整性水准的核对和证实的技术/方法的指导。依照安全局的见解,评估员应该是供应方组织或是顾客组织的成员,但在这些情况下,评估员应该是1经安全局授权的2从项目团队中完全独立出来的3与安全局完全沟通的5.3.10 安全判断使得系统/子系统/仪器设备满足安全接受所规定的条件的措施应该以一安全案例的形式出现在结构完整的安全判断文挡中,参照 5.1 中所解释的。5.3.11 系统/子系统/仪器设备的移交在将系统/子系统/仪器设备移
39、交给铁路当局之前,应该满足 5.5 中规定的安全接EN 50129:200321受和安全论证条件,并且同时递交安全案例和安全评估报告。5.3.12 运行和维护随着移交的进行,我们还应该附加安全计划和技术安全报告(安全案例的一部分)的第五部分所规定的手续,支持系统和安全监管。在系统运行的过程中,人们可能会提出各种理由而要求对系统做出改动。当然这些理由不一定安全,我们必须通过索引一些安全文档的相关部分来评估一下这些要求改变的请求对安全方面的影响。当这些要求改变的请求会引起一些变动,并且这些变动又将影响此系统或相关系统或周围环境的安全时,我们应该运用安全生命周期的正确部分以确保所实施的改变可以降低安
40、全水准。参照表 E.10 对每一种安全完整性水准在应用,运行和维护方面的指导。5.3.13 停用设备并加以处理在系统运行周期的最后阶段,我们必须停止使用该设备并且进行最后的清理,这些操作必须与安全计划和技术安全报告(安全案例的一部分)的第五部分所规定的操作相一致。5.4 功能和技术措施除了满足 5.2 和 5.3 中提到的质量和安全管理的措施之外,要使系统/子系统/ 仪器设备的预期应用能被安全的接受,那么还要满足这第三个条件,也就是功能和技术安全措施,这其中包括为了满足设计的安全要求所提到的技术措施,这一措施应该在安全技术报告中记录下来,即是系统/子系统/仪器设备的安全案例的第四部分,参照 5
41、.1技术安全报告对与安全完整性水准的 1 到 4 来说是强制执行的(参照安全完整性水准的附录 A) ,然而这些信息的深度和做支持文献的广度,对于仔细检查下的系统/ 子系统/仪器设备的安全完整性水准应该是相吻合的,对于安全完整性水准为 0 的请求是不在安全标准范围之内的。技术安全报告应该对技术原则做出解释,这些技术原则确保了技术的安全性,包括所有支持的措施(如设计原理和计算,具体测试和结果及安全分析)我们对技术安全报告做了如下标题:第一部分 概述这部分将概述此设计,包括对安全所依赖的技术安全原理的概要,以及根据EN 50129:200322标准使系统/子系统/仪器设备安全内容得到扩展。这部分也将
42、提到作为设计的技术安全基础的标准(及他们的颁布)如果对已经投入运行的或标准生产的或在发展的完成阶段时的仪器设备进行变动或增加。作为一个例外,被用作原始设计标准的颁布可以作为一个基础,这些已经在原始设备的论证中被接受了,这些在以下情况下可能会得到应用。即当考虑到新标准的颁布实施可能要求对已经存在设备的进一步改动或者可能招致变化所带来的不合理的高费用时。以下将给出对于以上陈述的理由。第二部分 确保正确的功能操作根据特殊规定的操作和安全的要求,这一部分将演示在无故障的正常情况下(即不存在故障)对系统/子系统/仪器设备进行正确操作的必要措施。包括以下方面,在 B.2 中有更详细的说明2.1 系统结构的
43、描述(参考 B.2.1 和表 E.4)2.2 相互交叉操作的定义(参考 B.2.2)2.3 系统需求的实施(参照 B.2.3)2.4 安全需求的实施(参照 B.2.4)2.5 确保正确的硬件功能(参照 B.2.5)2.6 确保正确的软件功能(参照 B.2.6)第三部分 故障的影响这部分将描述系统/子系统/仪器设备继续满足特定的安全需求。包括在随机硬件故障下数量上能达到一定的安全目标。另外,尽管在 5.2 和 5.3 中规定了质量和安全管理过程,但系统故障仍存在。这部分将描述采取一些技术措施使将来风险降低到一个可接受的水准。这部分也将说明在安全完整性水准低于整个系统的也包括水准为 0 的任何一个系统/子系统/仪器设备产生的故障,将不会降低整个系统的安全性。这部分将包括以下题目,B.3 中有更详细的需求描述。表 E.5 表 E.6 中也有所提及。3.1 单一故障的影响(参照 B.3.1)3.2 项目独立性(参照 B.3.2)3.3 单一故障检测(参照 B.3.3)3.4 检测后应采取的措施(参照 B.3.4)EN 50129:2003233.5 多个故障的影响(参照 B.3.5)3.6 防御系统故障(参照 B.3.6)第四部分 额外影响的操作这部分将描述遇到在系统需求中所提到的额外影响时系统/子系统/ 仪器设备1继续履行它的具体操作需求2继续履行它的具体安全需求(包括存在故障
