EN50129基础培训.pdf

《EN50129基础培训.pdf》由会员分享，可在线阅读，更多相关《EN50129基础培训.pdf（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2015/10/26 EN50129 概览 安保中心 邱兆阳 EN50129 2015/10/26 2015/10/26 3 安排 1)EN50129与其他标准的关系 2)EN50129的适用性 3)EN50129内容概览 4)EN50129使用 5)问题和讨论 目的 了解EN501209 EN50129的常见概念 EN50129在项目中的基本应用 一些关联标准介绍 2015/10/26 2015/10/26 5 安排 1)EN50129与其他标准的关系 2)EN50129的适用性 3)EN50129内容概览 4)EN50129使用 5)问题和讨论 CENELEC 欧洲电工标准化委员会 法文缩

2、写名为CENELEC 2015/10/26 与其他标准的关系 2015/10/26 EN50129 System Safety&Hardware IEC61508 M8004 Others EN50126 RAMS EN50128 Software Signalling EN50128和IEC61508的同异 相同点 基于风险的方法 安全生命周期概念 安全目标方法 SIL的定义 不同点 EN面向铁路 EN覆盖RAM/SAFETY EN没有低要求操作模式 IEC没有安全例证 2015/10/26 2015/10/26 9 安排 1)EN50129与其他标准的关系 2)EN50129的适用性 3)

3、EN50129内容概览 4)EN50129使用 5)问题和讨论 适用性 本标准适用于所有安全个关轨道交通信号系统/子系统/设备。本标准不适用于既有系统/子系统/设备（即在本标准创建之前它们已被接受）。但只要合理并符合实际，对既有系统/子系统/设备的变更与扩展推荐采用本标准。2015/10/26 2015/10/26 11 安排 1)EN50129与其他标准的关系 2)EN50129的适用性 3)EN50129内容概览 4)EN50129使用 5)问题和讨论 EN50129标准结构 2015/10/26 EN5129目录 2015/10/26 EN5129目录 2015/10/26 EN5129

4、目录 2015/10/26 2015/10/26 16 安排 1)系统安全标准历史 2)EN50129与其他标准的关系 3)EN50129的适用性 4)EN50129内容概览 5)EN50129使用 6)问题和讨论 标准的使用 规范性附录 给出标准正文的附加或补充条款 需要遵守 资料性附录 给出有助于理解或使用标准的附加信息 一般需要遵守 通常是作为最佳实践提出 采用或未采用应给出说明 2015/10/26 系统/产品的层次 一般产品（Generic Product-GP）一般应用（Generic Application-GA）特定应用（Specific Application-SA）2015

5、/10/26 关系 2015/10/26 危危害（害（Hazard）：可能导致事故的一种状）：可能导致事故的一种状况况 安全完整性 2015/10/26 安全完整性：在所有规定的条件和规定的运行环境下以及安全完整性：在所有规定的条件和规定的运行环境下以及规定的时间内，安全相关系统完成指定安全功能的能力。规定的时间内，安全相关系统完成指定安全功能的能力。安全完整性 2015/10/26 系统失效完整性：系统避免无法识别的危害错误及其原因系统失效完整性：系统避免无法识别的危害错误及其原因影响的等级。影响的等级。安全完整性 2015/10/26 随机失效完整性：系统避免有危害的随机故障的等级。随机失

6、效完整性：系统避免有危害的随机故障的等级。安全完整性等级SIL(A.5)安全完整性分为4个独立的等级：等级4为安全完整性最高等级 等级1为最低等级，等级0用于表明无安全性需求。安全完整性等级是对诸如质量和安全管理以及技术安全条件这类要素的定性评价。2015/10/26 安全完整性等级SIL(A.5)安全完整性等级（safety integrity level）:表示针对系统失效时某系统仍可满足指定安全功能所要求的置信度等级的数值 2015/10/26 安全目标(safety target)针对每一特定轨道交通应用，由相关轨道交通主管部门负责给出容许危害率（THR）的安全目标，本标准不予定义。（

7、A.1）THR(tolerable hazard rate):容许危害率 容许危害率是关于系统（systematic）失效完整性和随机失效完整性的目标度量。普遍认为仅在考虑随机失效完整性时，容许危害失效率才可以量化。容许危害率依据风险容许准则导出。本标准不定义风险容许准则，它是依照国家立法需求而定。2015/10/26 安全目标举例 铁路车站计算机联锁技术条件 几点说明：系统级的危害是在系统边界发生的 定义容许危害率，是不是需要针对危害？接下来看ETCS中对容许危害率的定义。2015/10/26 安全目标举例 SUBSET 091 Safety Requirements for the Tec

8、hnical Interoperability of ETCS in Levels 1&2 4.2.1.8对核心危害的规定：Thus the Core Hazard for the reference architecture is defined as Exceedance of the safe speed/distance as advised to ETCS.2015/10/26 安全目标举例 ETCS系统THR规定：The maximum allowed rate of occurrence for the core hazard has been defined by the Ra

9、ilways-and approved by the National Safety Authorities1-as being 2.0*10-9/hour/train.This is the maximum Tolerable Hazard Rate(THR)for ETCS,denoted as THRETCS.2015/10/26 安全目标举例 轨旁设备THR规定：The hazard rate for the ETCS trackside system,less those parts forming part of the transmission system,shall be s

10、hown not to exceed THRTrackside=0.67*10-9 dangerous failures/hour 2015/10/26 SIL与安全目标的关系（A5.2）SIL?THR?2015/10/26 SIL与安全目标的关系（A5.2）由于无法对系统性故障进行量化，安全完整性等级被用作为匹配定性方法（避免系统失效）和定量方法（控制随机失效）的手段。基于这样一个假设：安全依赖于一些用于避免或容许故障的恰当措施（用于防护系统性故障）和用于控制随机故障的措施。2015/10/26 SIL与安全目标的关系（A5.2）SIL表可用于安全相关功能或执行一个或多个这些功能的子系统。如

11、果遵循这此些安全完整性等级所需的措施和方法，当证明满足容许危害率时无须考虑系统性失效。2015/10/26 SIL与安全目标的关系（A5.2）SIL表用于根据容许危害率确定需求的安全完整性等级。The SIL table identifies the required SIL for the safety-related function from the THR.若一个功能F的容许危害率用一种定量方法获得，安全完整性等级可按表A.1确定。2015/10/26 50129-2003英文版 2015/10/26 SIL？SIL应用的问题 SIL必须和功能相对应 不能由SIL导出THR SIL是要

12、求失效防护功能达到的等级指标 简单的满足某个SIL需求并不意味着相关功能是安全的。2015/10/26 SIL1/2和SIL3/4 2015/10/26 SIL1/2和SIL3/4 2015/10/26 安全三要素 人员资质和能力 安全计划中安全组织 独立性要求 附录E中人员资质要求 过程和技术 附录E B3.2故障影响 安全计划中的要求 质量保障 计划的要做，要做好 2015/10/26 系统生命周期 2015/10/26 系统生命周期 2015/10/26 系统生命周期应用-验证确认 2015/10/26 生命周期目的 生命周期管理 理解EN50129生命周期的目的 制定安全保障计划 合理

13、制定项目生命周期 合理安排每个生命周期阶段的安全保障工作 执行安全保障计划 每个生命周期进行回顾（如有必要）调整下阶段的工作 返回前面阶段 2015/10/26 生命周期与平时工作的对应 2015/10/26 生命周期与平时工作的对应 2015/10/26 项目 相关文件 2015/10/26 系统定义 安全计划 系统需求 接口需求 安全需求 系统测试规范 危害日志 风险分析报告 系统结构设计 故障模式和影响分析（FMEA）故障树分析（FTA）可靠性预计 子系统设计 系统测试 型式试验 技术安全报告（TSR）安全管理报告（SMR）质量管理报告 安全相关应用条件 运行维护手册 系统定义 对以下内

14、容进行定义 系统边界 系统主要功能 系统运行环境 适用的标准规范 与EN50129对应 SC的第一部分 进行PHA基础 识别系统边界危害（表E.6 失效和危害分析方法）2015/10/26 安全计划（5.3.4）包括以下内容 在生命周期的开始前期制订 确定安全管理结构、整个生命周期的安全相关活动 对安全计划进行复查的需求 安全计划应包括硬件和软件两方面 安全论据的编写计划 定义安全组织，独立性 安全验证和确认 与EN50129对应 在安全管理报告（SMR）中记录安全计划的执行情况。安全组织要求 附录E技术措施选择 2015/10/26 安全计划（5.3.4）-续 满足表E.1的要求 2015/

15、10/26 安全计划（5.3.4）-续2-安全组织 2015/10/26 安全计划（5.3.4）-续2-安全组织2 满足表E.3要求 2015/10/26 系统需求规范 包括以下内容：系统功能 系统接口 系统工作模式 系统工作环境 与EN50129对应 根据 系统需求规范编写系统测试规范 根据 系统需求规范进行SHA TSR中系统需求规范的实现 2015/10/26 系统需求规范-满足表E.2 2015/10/26 安全需求规范 安全需求（A5.2）与安全相关的需求通常称为安全需求 安全需求可以单独编写成文件 安全功能需求就是系统/子系统/设备应具备的与安全相关的实际功能 安全完整性需求定义了

16、每一安全相关功能的SIL 2015/10/26 安全需求规范（5.3.6）应包括：每个系统/子系统/设备的特定安全需求，包括安全功能和安全完整性 来自于危害识别和分析，风险评估和分类，安全完整性等级分配 也应遵守表E.2的要求。与EN50129对应 与危害日志对应 编写相应的测试规范 TSR中安全需求规范的实现 2015/10/26 系统测试规范 应包括：测试环境 测试策略 测试用例 与EN50129对应 根据系统需求规范编写 TSR中系统需求规范的实现（B2.3）TSR中安全需求规范的实现（B2.4）2015/10/26 风险分析（A.4.1）风险（Risk）:危害事件发生的频度或概率与其后

17、果的组合 风险分析在系统生命周期的各个阶段进行 2015/10/26 危害日志（5.3.5）-Hazard log 对安全管理活动、危害识别、决策制订和采用方案进行记录或给出索引的文档。（3.1.21）要求：应创建并在整个安全生命周期内维护危害日志 危害日志包括一个已识别危害的清单，以及与每个危害关联的风险分类和风险控制信息。危害日志应随系统/子系统/设备的更新而更新 与EN50129对应 与安全需求规范对应 A4.1风险分析中，危害日志记录危害识别结果 2015/10/26 危害日志-例子 2015/10/26 危险源编号危险源编号Hazard ID危险源描述危险源描述Hazard Desc

18、ription原因描述原因描述Causation后果描述后果描述Consequence风险风险区域区域（识（识减缓减缓/消除措施消除措施Mitigation or Elimination相关安全需求相关安全需求Relative Safety Requirement安全相关应用条件安全相关应用条件Safety Related Application ConditionHZ/CBI/DS6/SW/002进路错误解锁1.轨道电路瞬时分路不良；2.轨道电路停电恢复、站内轨道电路的室内断路器或轨道发送或接受设备断路再恢复、异物侵限电路动作后恢复造成冲撞，人员伤亡R1已锁闭的进路不应因下列原因错误解锁：轨

19、道电路瞬时分路不良（延时3s之内）；轨道电路停电恢复、站内轨道电路的室内断路器或轨道发送或接受设SRS_29-R 轨道电路停电、站内轨道电路的室内断路器或轨道发送或接受设备断路、异物侵限电路动作应使轨道停电继电器落下 SRAC/DS6/014系统结构设计 要求：自顶向下的分层设计 将系统需求分配给各子系统/设备 区分安全和非安全相关子系统 进行安全性和可靠性冗余设计 与EN50129对应 TSR中的系统结构描述 TSR中故障影响，不同安全完整性等级的子系统/设备的故障不应降低个系统的安全性（5.3-C）2015/10/26 系统结构设计-附录要求 2015/10/26 常用的安全结构 2015

20、/10/26 设计要点 要求：单一故障影响(通过FTA/FMEA分析支持)单一故障检测(基于FMEA和定量分析)多重故障的影响(共模故障分析支持下的FTA)故障检测后的措施（包括安全状态的保持）外界影响下的运行 与EN50129对应 TSR第3章 故障的影响（B.3）单一故障分析方法示例（D.4）2015/10/26 设计要点-2 目的 设计的系统在正常条件下，故障条件下，受外界条件影响下时，满足安全目标要求。2015/10/26 设计要点-3-故障安全机制 组合式故障安全 反应式故障安全 内在式故障安全 2015/10/26 设计要点-组合式故障安全 每个安全相关功能由至少两个对象来执行。各

21、对象之间相互独立，以避免共因失效 只有当必要数理的对象取得一致时，才允许进行非限制行为 应能检测出一个对象中的危害故障并在足够短的时间内加以拒绝，以避免第二个对象发生相同故障。2015/10/26 设计要点-反应式故障安全 允许一个安全相关功能由单个对象执行 通过快速的危害故障检测和拒绝来确保它的安全操作 检测功能应被视为第二对象，并与控制功能独立，避免共因失效 2015/10/26 设计要点-内在式故障安全 允许一个安全相关功能由单 个对象执行 假定对象的所有可信失效模式均为非危害的 任何声明为不可信的失效模式应使用附录C定义的规程来进行评定。内存式故障安全可用在组合式故障安全和反应式故障安

22、全系统的某些功能中，如检测到一个危害故障时强制关闭的功能。2015/10/26 独立性 在声称具备独立性（逻辑“与”组合）时，应保证在子系统这间或系统功能之间存在以下方面的独立性（A 4.2.2）物理独立性：不存在任何机制会由于随机失效而影响多个系统/子系统/设备正确运行。功能独立性：不存在任何机制会由于系统失效或随机失效而影响多个功能的正确运行。流程独立性：人力资源和生命周期流程的独立性和多样性有益于提高产品和系统的总的安全完整性。高安全完整性等级需要更高的流程和人力资源的独立性以保证避免或减少系统错误。2015/10/26 故障检测时间 组合式故障安全VS反应式故障安全 2015/10/2

23、6 设计要点-组合式故障安全 两个独立对象通过与门建模 危害率和检测率不随时间变化 FR:潜在危害失效率 T：平均检测时间 2015/10/26 附录E的要求 2015/10/26 附录E的要求 2015/10/26 故障模式和影响分析（FMEA）要求：自下而上的方法 功能分析 将系统分解到合适的程度以便于清楚地定义每个构件的功能 失效识别 识别硬件的失效模式 失效影响 在设备，子系统和系统层次评价失效影响 失效管理 决定探测失效的方法，设计减少失效的措施 与EN50129对应 每个硬件器件的可信故障模式基于附录C C.1-C.16的失效模式列表应作为设计和分析的基础 支持B.3中单一故障影响

24、和检测 子系统的FMEA支持可靠性预计的任务模型 2015/10/26 故障模式和影响分析（FMEA）2015/10/26 故障树分析（FTA）要求：自下而下的方法 确定导致顶事件发生逻辑上相关的一系列事件 可以进行多重故障分析 可以进行定性分析和定量分析 与EN50129对应 支持B 3.1中单一故障影响 支持B 3.5多重故障检测 为共因失效（CCF）分析提供与门素材 计算THR 2015/10/26 故障树分析（FTA）2015/10/26 可靠性预计 要求：计算所设计系统的可靠性指标（MTBF）计算所设计系统的平均维修时间(MTTR)找到可靠性薄弱环节 验证可靠性分配的结果 与EN50

25、129对应 B.2.5 硬件功能正确性的保障 B.3.4 故障检测后的措施：为实现规定的安全性指标允许的修复时间应足够短 2015/10/26 可靠性预计 2015/10/26 系统测试 要求：根据系统测试规范进行 基于良好定义的测试用例进行全面的功能测试 测试装置的独立性 与EN50129对应 B.2.3 系统需求规范的实现 B.2.4 安全需求规范的实现 2015/10/26 系统测试-附录E要求 2015/10/26 型式试验相关 要求：在受到系统需求规范中定义的外部影响的时候 继续实现其规定的运行需求 继续实现其规定的安全要求（包括故障条件）包括 气候条件，机械条件，海拨条件，电气条件

26、 更严酷的条件 与EN50129对应 B.4 外界影响下的运行 2015/10/26 型式试验相关-附录E要求 2015/10/26 安全论据（safety case）论述产品符合规定安全需求的证明文档（3.1.47）作为获得安全审批（safety approval 3.1.45）而向相关安全主管部门提交的文档化论据的一部分 2015/10/26 技术安全报告（TSR）技术安全报告是技术安全报告是 SIL 1 to 4 的强制性要求的强制性要求 在技术安全报告中记录安全设计的技术证据，包括设计原理，计算，测试的详细说明，测试结果以及安全分析 这部分安全案例应当包括:1.概要 2.功能正确运行的

27、保障 3.故障影响 4.外界影响下运行 5.安全相关应用条件 6.安全合格测试 2015/10/26 安全管理报告（SMR）使用安全使用安全管管理流程是理流程是SIL 1 to 4 的强制性要求的强制性要求 由有效的安全管理流程进行管理，目的在于进一步降低生命周期中安全相关的人为错误的发生率，从而降低安全相关系统性故障的残留风险。这部分安全案例应当包括:1.安全方针，目标和标准 2.安全生命周期 3.安全要求（安全功能和安全完整性）4.安全组织和职责 5.安全管理 6.软件保证(EN50128)2015/10/26 质量管理报告 符合质量管符合质量管理需求是理需求是SIL 1 to 4 的强制

28、性要求的强制性要求 质量管理体系的目的是在系统生命周期中的每个阶段减少人为错误发生频率，进而降低系统/子系统/设备中的系统性故障风险。质量管理报告中应包括 2015/10/26 安全相关应用条件（SRAC）明确安全使用系统明确安全使用系统/设备的规则，条件和限制设备的规则，条件和限制 应当考虑以下主题:2015/10/26 运行维护手册 为确保系统/子系统/设备在规定的环境条件下持续安全和正确地运行，应实施必要的最小维护，并形成操作和维护计划文档。2015/10/26 2015/10/26 89 安排 1)EN50129与其他标准的关系 2)EN50129的适用性 3)EN50129内容概览 4)EN50129使用 5)问题和讨论 结束 2015/10/26