中文版)铁路应用通信信号和过程控制系统信号的安全相关电子.docx

《中文版)铁路应用通信信号和过程控制系统信号的安全相关电子.docx》由会员分享，可在线阅读，更多相关《中文版)铁路应用通信信号和过程控制系统信号的安全相关电子.docx（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中文版）铁路应用通信信号和过程控制系统信号的安全相关电子doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或者下载源文件到本机查看。EN 50129:2003英国标准BS EN 50129:2003铁路应用-铁路应用-通信，信号与过程操纵系统-通信，信号与过程操纵系统-信号的 安全有关电子系统信号的安全有关电子系统1EN 50129:2003国家前言该英国标准是EN50129 : 2003的官方英文标准.它代替了 被撤回的DD ENV50129:1999标准.GEL/9技术委员会委托英国参与了它的准备,铁路电 子技术应用组织即GEL/9/1子委员会，信号与通信，职责是：-帮助调查人懂

2、得文章；-提出可 靠的欧洲委员会的要求来分析或者者提出改进意见,并保证英国的利益；-关注有关的国际与 欧洲进展，并在英国公布它们；一系列的组织给子委员会提出的意见可在它的秘书处获得. 交叉的参考木英国标准应用国际的或者者欧洲的关于本文件的出版物，它可能在国际标准 相应的索引部分的BSI目录中找到，或者者是使用BSI电子目录的或者者英国标准在 线的查找工具.它的出版并不意味着包含一个合同所有必要条款，英国标准的使用者有 责任正确使用该标准.依从一个欧洲标准并不是指本人免除法律责任.依从一个欧洲标准 并不是指本人免除法律责任.总共的页数该文档包含前封面，内前封面,EN名称页,2到94页与内后封面与

3、后封页. 在文档最终出版后,BSI的版权日期在文档中指出.出版后的修订修订次数日期内容2EN 50129:2003英文版本铁路应用-铁路应用-通信，信号与过程操纵系统-通信，信号与过程操纵系 统-信号的安全有关电子系统信号的安全有关电子系统这个欧洲标准在2000-11-01被CENELEC提出，CENELEC的成员应该遵守CEN/CENELEC 国际标准，它规定了该欧洲标准在无修改的情况下作为国际标准的一些情况.最新的目录 与关于国际标准的有关参考数目能够在中心秘书处或者者任何CENECEC的成员那里获得. 这个欧洲标准有三个官方版本（英，法，德）.CENECEC的成员可将一种版本译为他们的语

4、言， 同时通知中心秘书处，这样有作为官方版本的同样地位.CENELEC欧洲电工标准协会3EN 50129:2003前言本欧洲标准由SC9XA准备，属于技术委员会CENECEC TC 9X铁路电子与电子设 备的通信，信号与处理系统.属于正式文件文本的草稿在2002-11-01作为EN50128由 CENECEC提出.这个欧洲标准取代了 ENV50129:1998这个欧洲标准是在CENELEC的授权下 通过欧洲委员会与欧洲自由贸易组织，96/48/EC指示的本质要求来准备的.下面是确定的 日期，-通过国际标准的出版或者批注，这个标准作为国际标准来实施的最近日期 2003-12-01 -与这个标准冲

5、突的国际标准排斥在外的最近日期2005-11-01标注”标准化的 附件是标准的一部分标注非标准”的附件仅供参考.该标准中，附件A, B, C是标准化的，附 的安全完整性水准相一致，能够参照图6与表9,关于每一种安全完整性水准的核对与证实 的技术/方法的指导.依照安全局的见解，评估员应该是供应方组织或者是顾客组织的成员， 但在这些情 况下，评估员应该是1.经安全局授权的2.从项目团队中完全独立出来的3.与 安全局完全沟通的5. 3.10安全推断使得系统/子系统/仪器设备满足安全同意所规定的条件的措施应该以安全案例的形 式出现在结构完整的安全推断文挡中，参照5.1中所解释的.系统/子系统仪器设备的

6、移交 5. 3.11系统子系统/仪器设备的移交子系统在将系统/子系统/仪器设备移交给铁路当局 之前，应该满足5.5中规定的安全接受与安全论证条件，同时同时递交安全案例与安全评估 报告.5. 3. 12运行与保护随着移交的进行，我们还应该附加安全计划与技术安全报告（安全案例的一部分）的第 五部分所规定的手续，支持系统与安全监管.在系统运行的过程中，人们可能会提出各类理由 而要求对系统做出改动.当然这些理由不一定安全，我们务必通过索引一些安全文档的有关 部分来评估一下这些要求改变的请求对安全方面的影响.当这些20EN 50129:2003要求改变的请求会引起一些变动，同时这些变动又将影响此系统或者

7、有关系统或者周围 环境的安全时，我们应该运用安全生命周期的正确部分以确保所实施的改变能够降低安全 水准.参照表E. 10对每一种安全完整性水准在应用，运行与保护方面的指导.5. 3.13停用 设备并加以处理在系统运行周期的最后阶段，我们务必停止使用该设备同时进行最后的清理，这些 操作 务必与安全计划与技术安全报告（安全案例的一部分）的第五部分所规定的操作相一致.5.4功能与技术措施除了满足5.2与5.3中提到的质量与安全管理的措施之外，要使系 统/子系统/仪器设备的预期应用能被安全的同意，那么还要满足这第三个条件，也就是功能与技术安全 措施,这其中包含为了满足设计的安全要求所提到的技术措施，这

8、一措施应该在安全技术报 告中记录下来，即是系统/子系统/仪器设备的安全案例的第四部分，参照5.1技术安全报 告对与安全完整性水准的1到4来说是强制执行的（参照安全完整性水准的附录A），然 而这些信息的深度与做支持文献的广度，关于认真检查下的系统/子系统/仪器设备的安全完 整性水准应该是相吻合的，关于安全完整性水准为0的请求是不在安全标准范围之内的. 技术安全报告应该对技术原则做出解释,这些技术原则确保了技术的安全性，包括所有支持 的措施（如设计原理与计算，具体测试与结果及安全分析）我们对技术安全报告做了如下标题: 第一部分概述这部分将概述此设计，包含对安全所依靠的技术安全原理的概要，与根据标

9、准使系统/子系统/仪器设备安全内容得到扩展.这部分也将提到作为设计的技术安全基础的 标准（及他们的颁布）假如对己经投入运行的或者标准生产的或者在进展的完成阶段时的仪 器设备进行变动或者增加.作为一个例外，被用作原始设计标准的颁布能够作为一个基础，这 些已经在原始设备的论证中被同意了，这些在下列情况下可能会得到应用.即当考虑到新标 准的颁布实施可能要求对己经存在设备的进一步改动或者者可能招致变化所带来的不合理 的高费用时.下列将给出关于以上陈述的理由.21EN 50129:2003第二部分确保正确的功能操作根据特殊规定的操作与安全的要求，这部分将演示在 无故障的正常情况下（即不存在故障）对系统/

10、子系统/仪器设备进行正确操作的必要措施. 包含下列方面，在B.2中有更全面的说明2. 1 2. 2 2. 3 2. 4 2. 5 2. 6系统结构的描述（参考 B. 2.1与表E. 4）相互交叉操作的定义（参考B. 2. 2）系统需求的实施（参照B. 2. 3）安全需 求的实施（参照B. 2. 4）确保正确的硬件功能（参照B. 2. 5）确保正确的软件功能（参照 B. 2. 6）第三部分故障的影响这部分将描述系统/子系统/仪器设备继续满足特定的安全需求. 包含在随机硬件故障下数量上能达到一定的安全目标.另外,尽管在5.2与5.3中规定了 质量与安全管理过程，但系统故障仍存在.这 部分将描述采取

11、一些技术措施使将来风险降低 到一个可同意的水准.这部分也将说明在安全完整性水准低于整个系统的也包含水准为0 的任何一个系统/子系统/仪器设备产生的故障，将不可能降低整个系统的安全性.这部分将 包含下列题目，中有更全面的需求描述.E.5表E.6中也有所提及. B.3表3. 1 3. 2 3. 3 3.4 3.5 3.6单一故障的影响（参照B. 3. 1）项目独立性（参照B. 3. 2）单一故障检测（参照 B.3.3）检测后应采取的措施（参照B. 3. 4）多个故障的影响（参照B. 3. 5）防御系统故障（参 照B. 3. 6）额外影响的操作第四部分这部分将描述遇到在系统需求中所提到的额外影响时系

12、统/子系统/仪器设备1.继续履 行它的具体操作需求2.继续履行它的具体安全需求（包含存在故障情况下）安全案例只有在 额外影响的特定范围内是有效的，正如在系统需求中所定义的.在这些限定之外不能确保安 全，除非实施额外的特殊措施用来支持特定的额外操作22EN 50129:2003的方法将得到解释与判定.更全面的信息可参照B.4第五部分有关安全的应用条件 这部分将强调在系统/子系统/仪器设备的应用中应遵循的法则，条件与限定.这也包含一 些有关的子系统与仪器设备的安全案例中所包含的应用条件更全面的信息可参照B.5,同时 在表E. 10中也有所指导第六部分安全资格审查这部分将演示在安全资格审查的操作条件

13、下的一些成功的例子.可参照B.6技木安全结 构可参照图7 5. 5安全同意与论证这部分定义了与安全有关的电子系统/子系统/仪器设备 的安全同意与论证部分.除了认为是合适的地方，其他地方并没有特殊强调应该由谁在每个 阶段来做这项工作，由于它是随着环境的变化而变化的.5.5. 1概述正如5.1所提到的.为了保证与安全有关的铁路信号电子系统/子系统/仪器设备安全 所务必满足的三个条件如下：1.质量管理措施2.安全管理措施3.功能与技术安全措施 这三个条件已经在5.2与5.3与5.4中提到正如5.1与图3所显示的，安全案例中应 包含质量管理措施,安全管理措施与功能技术安全措施能够考虑安全案例的如下三种

14、不一 致的分类：1.通常的产品安全案例（独立应用）通常产品可用做各类不一致的独立应用2. 通常的应用安全案例（应用分类）有相同功能的通常的应用能够划分为一类3.特殊的应用 安全案例（特殊应用）特殊的应用只能用做一种特殊的装置有必要告诉大家的就是关于每一 种特定的应用，不管是环境的条件还是应用的23EN 50129:2003内容与通常的应用条件相兼容这一点是必要的（参照5. 5. 4）在以上三种分类中，安全案 例与获得安全论证程序的结构基本上是相同的.然而，关于特定的应用也有附加因素:在这种 分类中，关于系统的应用设计与它的实际操作需要独立的安全论证（比如:生产，安装，测试与 用于操作与保护的设

15、施），基于此，关于特定应用的安全案例应该分成下列两部分：1.应用设 计安全案例:这包含特定应用的理论设计的安全措施2.实际操作安全案例:这包含特定应用 的实际操作的安全措施这两部分结构可见5.1与图3 5. 5.2安全论证过程在考虑安全论 证的操作之前，应该做出一份系统/子系统/仪器设备的独立的安全评估报告与安全案例.这 样做是为了进一步确保能达到安全的必要水准，且将结果记录在安全评估报告中.这份报告 应该对安全评估员决定如何设计才能使系统/子系统/仪器设备（硬件与软件）满足特定要求 的做法进行解释，同时强调对系统/子系统/仪器设备的操作而言的一些附加条件.像 EN50126中所提到的安全评估

16、的深度与对其操作的独立性的限度都是基于风险分类的结果 之上的.为了增加可信度，安全评估员可能要求进行特定的测试.整个文档的措施应该包含：1. 系统（子系统/仪器设备）需求；2.安全要求；3.安全案例包含：第一部分：系统/子系统/仪器设备的规定第二部分:质量管理报告（质量管理措施）第三 部分:安全管理报告（安全管理措施）第四部分:技术安全报告（功能/技术安全措施）第五部 分:有关的安全案例（假如可能的话）第六部分:结论4.安全评估报告；根据安全案例中提 到的满足安全同意的所有条件，同时依照独立的安全评估结果.系统/子系统/仪器设备依 法得到有关安全局的论证.安全评估人员对论证可24EN 5012

17、9:2003能会强制执行一些额外条件（暂时的或者永久的）关于通常性产品（即应用的独立性）与 通常性应用（即应用的等级分类）被一个安全局同意的安全论证与可能被其他安全局所同意 （即相互同意），当然对于特定的应用而言是不可能的.图8显示了针对三种不一致的安全 案例的安全论证过程5. 5.3安全论证完成之后当系统/子系统/仪器设备完成安全论证之后, 我们应该对接下来的任何改动都要加以操纵，能够利用马上作为新的设计的相同的质量管理, 安全管理与功能/技术安全标准来对其加以操纵.所有有关文档包含安全案例,都应该及时更 新或者由额外文档来加以补充，同时提交这种改动的设计去论证.一旦将完成的系统/子系统 /

18、仪器设备交付使用，那么在技术安全报告（安全案例的一部分）的第五部分与安全计划中 规定的正确的手续，支持系统与安全监管就应该使用，以确保在它的整个工作生命中的安全 操作，这些操作包含运行，保护，变动，扩展与最终的停止使用，这些行为由原始设计所运用的 同样的质量管理,安全管理与技术安全标准来操纵.包含安全案例在内的所有有关文档都应 该及时更新，同时把有变动或者扩展的设计递交上去加以论证.5. 5.4安全论证之间的附属 地在5.1中提到过，系统的安全案例依靠其他子系统或者仪器设备的安全案例.在这种情 况下，就是说假如没有先前有关子系统/仪器设备的安全论证，就不可能有主干系统的安全论 证.假如已经完成

19、对通常产品或者通常应用的安全论证，那么这将可能指导一种特定应用的 安全论证,没有必要对每一种应用都重复这种通常性的论证过程.图9就显示了这种安全论 证之间的附属地.一种基于说明有目的的特定的应用的安全案例是与那些特定安全论证的实 施在技术上是等价的.对这种特定应用有必要采取新的安全论证.确保在附属地的如下做法 是必要的.即每一个安全案例的技术报告中提到的与安全有关的实施条件都要以高水准的安 全案例来完成，否则提早进入以高水准的有安全应用条件进行执行.25EN 50129:2003附录A安全完整性水准A. 1概述附录对安全要求，安全完整性与有关安全系统在铁路中应用的安全完整性水准的 起源，分配与

20、执行都作了全面的描述.对每种特定的铁路应用，以同意的安全目标的形 式出现的容许危险率是有关铁路当局的责任.该标准未对其进行定义.EN50126中规定了安 全管理过程A.2安全要求下列两部分提到了系统要求（或者正确的子系统/仪器设备）（参照图A. 1）: 1.不涉及安全的要求（包含实际的功能要求）；2.涉及到安全的要求；涉及到安全的要求我 们常常称之为安全要求，这些可能包含在独立的安全的具体要求中.我们把安全要求氛围 如下两部分：1.安全功能要求；2.安全完整性要求；安全功能要求实际上是系统/子系统/ 仪器设备的.与安全有关的功能所要执行的要求.安全完整性要求定义了对每一种与安全有 关的功能的安

21、全完整性水准.A.3安全完整性水准（SIL）安全完整性水准关系到安全有关系统性能的安全完整性要能完 成规定的安全功能.安全完整性越高,他行使规定的安全功能的不成功率就越低.安全完整性有两部分构成（参照图A. 1）: 系统故障完整性26EN 50129:2003随机故障完整性要充分实现安全完整性，就务必满足上述两条件.注：由环境条件 （如：电磁兼容性与随机故障完整性.系统故障完整性是安全完整性中不可量化的部分，同 时它还关系到危险的系统错误（硬件或者软件），在系统子系统设备生命周期的各类状态 中，系统错误都是由人的 错误引起的.比如：一规格说明错误一设计错误一制造错误一安 装错误一造作错误一维修

22、错误一校正错误系统故障完整性由质量管理与安全管理条件完 成，这些条件在5.2与5.3的标准中有全面说明.防御系统错误技术包含在技术安全条件 中，这些条件在5.4的标准中有全面说明.由于不可能用定量的方法评估系统故障完整 性,SIL应用于成组方法，工具，与技巧，一旦被有效利用，就可认为在实现一个己规定完整性 标准的系统方面提供了适当的可靠度（参考附录E）.随机故障完整性是安全完整性的一部 分,关系到危险随机错误，特别是随机硬件错误，这种错误是由硬件构成部分的有限可靠性引 起的.技术安全条件中随机故障完整性的解决方案的标准具体在5.4中有说明.利用概率 分析，我们就可对随机故障完整性进行量化评估.

23、概率分析要以熟悉硬件构成部分的故障率 与类型与随机硬件故障出现的次数为前提.尽管危险故障依然存在而且应该按照5.4与 B. 3. 6中的标准御防，但我们还是假设具有固有物理性能（参考附件C）的组件的危险故障 概率为零.安全完整性条件与安全标准的分配在A.4与A.5种分别叙述.温度振动等）引 起的故障包含系统故障完整性27EN 50129:2003A.4安全完整性要求的分配考虑到信号系统的运行环境与建筑设计，鉴定铁路信号装备的 安全完整性要求的一套方法马上系统化应用.这种方法的核心是明确界定了运行环境与信号系统的界限， 从安全观出发，这个界限是通过系统内一系列危险与有关的容许危险率（TIIR）来

24、定义的.我们 注意到，这种方法的意图不是限制了供应方与铁路局双方的合作，而是划清了责任与界面. 从这个界面出发分析步骤如下：1.至上而下的分析明确了危险与有关风险可能产生的结果.2. 至下而上的分析明确了产生危险的原因.全部过程包含风险分析与危险操纵，参考图A. 2. 风险分析产生了危险操纵过程中的THR,图A.2略重要的是,注意到THR是关于系统故障完整性与随机故障完整性的目标量.仅仅关于随 机故障完整性是容许的，它可能量化，定性方法与评估关于推断系统完整性的条件是必要 的.这个要紧由SIL给出（同时这个方法来源于安全完整性）安全局要赞同风险分析与危险 操纵.注:在某些情况下，这些步骤不完全

25、独立，危险操纵能引起具有更多安全性能的系统发 生变化.图A.2中重叠箭头说明了这一点.因此，在这些情况下，全部过程是有关的.A. 4. 1风险分析图A.3给出了一个风险分析过程的例子.下面的分析更全面地解释了这个概念.图A. 3略系统定义与危险鉴定下列是铁路局的责任：定义系统（技术实现的独立 性）鉴定与系统有关的危险危险鉴定涉及系统分析，要紧有产品，加工过程，或者确定那些可 能出现在整个生28EN 50129:2003命周期中的不利条件等.这些不利条件可能存在对人体有伤害的隐患或者对环境的破坏. 鉴定系统危险通常包含两个阶段：个经验阶段（挖掘过去的经历，如清单）个创新 阶段（前瞻性预测，如集思

26、广益，建构假设分析研究）危险鉴定的经验阶段与创新阶段相互补 充，增强了置信度，从而潜在的危险区被发现，同时所有的危险信号被确认.注:产生大量的 不现实的琐碎的或者不准确的定义危险的方法是资源的浪费，同时也会产生误导或者枉然的 风险评估，除了大量的任务，还涉及到很多人员，责任，与设备，多达几百个错误是不合理的， 也说明了设计与研究行为的不足之处.这种危险取决于系统定义特别是系统界限，系统界限 给出了关于系统与子系统的分级结构.也意味着在系统研制过程的不一致阶段，要重复利 用危险鉴定与偶然性分析.图A.4说明，系统层的危险是由子系统层引起的（关于子系统界 限）.因此这个定义能使一个分级结构接近危险

27、分析与危险线.图A.4略为了更进一步确保风险评估的任务更多的集中在信号危险方面，这种危险应以己认识 到的风险标准来排序.A. 4. 1.2结果分析，结果分析，风险评估与THR的分配下列是铁路局的责任：一分析后果及缺失一定义风险容许标准一得出容许风险度 一确保风险结果是能够同意的（关于合理的风险容许标准）考虑到风险容许标准，唯一的要 求是得出THR结论.尽管风险容许标准不是由这个标准制定的,但取决于国内与欧洲立法要 求.分析方法是：一明确的评估风险结果（个体）一与目前系统的性能或者己认可的技术 条例或者通过统计与分析的方法相比较得出THR.29EN 50129:2003-假如在他们定义了一系列危

28、险与THR的情况下，那么就能从可供选择的定性方法 中得出T11R.注意这个方法给铁路局一定的自由，能够根据他们的特殊要求从任意角度定义 危险与相应的THR,然而铁路局能够确定非常普遍的高水平目标，与在安全方面非常具体的 目标.A. 4. 2危险操纵危险操纵涉及实施规定的THR与安全有关功能的管理.假如没有THR 的出现，那么要么由供应方提供符合铁路局意愿的系统，要么由铁路局与供应方一起合作确 定要求.危险操纵是由在大量实践活动中偶然性分析构成的，总结如下：一在没有定义THR 的情况下,定义与己有的危险概念有关的安全假设与系统功能；一在定义了 THR的情况下, 在结构（技术方法）满足安全性要求的

29、前提下定义系统结构与分配系统功能；一确定子系统 的安全完整性要求；一完成安全要求细则；一分析系统/子系统要满足的条件；一通过设 计与核实过程确定由潜在的新危险引起的系统/子系统设计，要么通过已有的功能确保发现 潜在的新危险，假如潜在的新危险需要额外的功能或者系统/子系统以外的缓解部分,就要把 潜在危险转换到风险分析中进一步研究解决.一确定设备的可靠性要求.危险操纵过程见 图A. 5.注:一个结构良好的危险操纵包含一个毫无疑问的技术安全报告的各各有关部分， 在这种情况卜，参考技术安全报告中的危险操纵就足够了. A. 4. 2. 1偶然性分析偶然性分析 有两个典型状态：在偶然性分析的第一个阶段，每

30、种功能都有一个THR（系统功能），每种功 能的THR能够用SIL表转化成SIL,在这个功能标准上，为子系统所要执行的功能定义了 SIL.30EN 50129:2003假如铁路局已定义了有关安全功能的危险与THR,那么偶然性分析的第一个阶段无效， 同时安全完整性在THR基础上立即被分配.一个子系统及组合装置要能完成很多安全功能， 每种功能需要不一致的安全标准，在这种情况下，子系统将能满足所有规定的SIL.假如每种 功能都能满足最高标准的SIL,或者者假如能独立运行,那么得到满足规定的SIL的子系统. 在这种情况下，一个普遍的故障原因分析将出台.在偶然性分析的第二个阶段，子系统的危 险率进一步分为

31、设备的故障率,但是有关物理性能或者执行功能,SIL仍然没变，因此，除了 EN50128列出的例外情况外，由EN50128定义的软件SIL与子系统的SIL是一样的.利用 任何一种方法都能运行分配过程,分配过程容许合理的逻辑组合出现，如可靠性框图，故障树, 二元结论图，马尔可夫模型.不管如何，当需要独立项目，应采取特殊方法.然而在偶然性分析 的第一阶段，独立性是必要的（即功能故障独立于系统与随机错误），在第二阶段，物理独立 性是充分的（即自系统的故障独立于随即错误），在偶然性分析中，假设经验证通过同时能为 执行过程产生有关的安全应用规律.图A.5 A. 4. 2. 2常见故障成因分析（CCF）常见

32、故障成 因分析（）当应用独立主张（逻辑AND组合）时，得特别的慎重思考，应有充分的保证一物 理，一功能，一加工过程，关于子系统与系统间的独立性（参照B. 3.2与B. 3. 6）.假如 不能完整的完成独立性，那么一定能够在一个恰当领域内仿效故障的普遍成因，另外，还可证 明，通过应用AND组合能够立即完成与检测安全有关应用条例.A. 4. 2. 2. 1物理独立性 为 了使具有随机性影响的AND门的故障树估算可靠，物理独立性是绝对必要的.因此,在任意 情况下，一个常见故障成因分析将务必假设独立性.在假设独立性的条件下，D.2与D. 3. A 子章节中能发现某些在（告知性的）章节，同时D.2与D.

33、 3. A子章节的安全情形也明确 地解决了独立性条例.注：很有必要简洁地看一看根据他们的故障率与检修率定义的两条检 修条款，同时再认真看一看AND组合对检修率（或者等效检修次数）的不一致解释.通常,一 个项31EN 50129:2003目出错后，为了使这个项目恢复，至少同时要出现下列两过程；定要查出与否定错 误（这意味着一定要进入一种安全状态）；定要检修与恢复项目.关于检修与恢复时间, 我们指查出后检修的逻辑时间，实际的检修时间（错误发现，检修，交换，检查）与恢复装置运 行的时间.然而，在可靠性方面，通常是察觉时间被忽略，这个时间在安全环节变得很重要，安 全性应用不可能依靠自身测试或者相似措施

34、，但是，查出与否定一定要独立的执行.在安全情 况下，应充分表达故障的查出与否定技巧.通常，假如采取其他措施，在安全环节，实际的检修 与恢复时间可被忽略，在这种情况下,来白可靠性分析的检修率可被认为是查出与否定时间， 这个时间定义为安全停机时间或者等效安全停机次数.图A.6略模仿AND门中的两条独立项目的构成，假设THR与查出率是常数，下列给出高效利用 系统的 THR 与查处率的基本公式：THRS=FRA/SDRAXFRB/SDRBX （SDRA+ SDRB） SDRS= SDRA+ SDRB这里FRS代表潜在危险故障率.假如把周期性检测次数作为查出次数，那么（A. 1）为 平均测试数T/2+n

35、egation time二SDT=1/SDR这意味着为了恰当地应用AND组合，每项应有 一个独立的故障检测与关闭机构，如有一项没有这些机构，那么根据B3.3的标准，一定要考 虑安装寿命.另一方面在设计中，这一点一定要考虑，事实上，选择参数的自由度就是系统的 可靠性.比如，就拿两个同样的具有10000小时的一个MTBF与每小时（忽略无效时间）平均 一次检查时间的项目来看，那么平行系统（逻辑故障中的AND组合）的故障率是每小时2X 10-8,假如一个项目1000小时平均检测一次（如维修检测），那么结果是每小时10-6,这 仅仅是比单一项目的MTBF更好的10个要素之一，假如把一个项目中的平均检测时

36、间看成 是他的寿命，那么结论将变得更加不重要.物理独立性是最低的独立标准，典型表达在组件标 准上.假如确定物理独立性，那么随机完整性要求能够分到下一个较低标准中.32EN 50129:2003A. 4. 2. 2. 2功能独立性 功能独立性是指，要么是系统错误，要么是随机错误，这两种错 误引起套功能同时出错，因此从这个角度看，为了表达这些功能是独立的，常见故障起因分 析是很 有必要的.在这个标准中，这就是所谓的有关功能性影响的独立性，只有假定了功能 独立性的情况下，随机完整性与系统完整性要求将分到下一个低标准中.说到A与B,在安 全完整性要求分配过程中，应用故障树分析系统功能是要紧情形，由于他

37、考虑到了应用AND 门很快提出了下面的安全有关应用条例：一A与B的实施将产生物理上的独立一利用检 测与否定时间为每一项估算与完成安全停止时间注:通常来讲，功能是不独立的，但能够划分 成受CCF影响的独立子功能与子功能，图A.7表示利用FA处理CCF的通常方法.图 A. 7略A. 4. 2. 2. 3过程独立性产品与系统通常以原有的性能结果出现在早期的生命周期中.从 广义上讲，这些情况是由概念，要求细则，系统设计，系统研制，核实与有效利用阶段构成的， 他们对产品的性能有很大的影响，产品或者系统在自身环境中的高临界度需要更高的强度 与较长的系统生命周期，这一点得到普遍认可.另外，由于在这些生命周期

38、中，系统本身会出 现错误，因此独立性是常常想望的.用比较的方法，功能与物理性能是对应的，人力资源与生 命周期过程的独立性与多样性注定要为产品与系统促成较高的全面的安全完整性，因此，较 高的SIL要求较高的工艺精度与人力资源的独立性来确保系统错误可同意或者最小化.研 制过程完成规定的SIL与确保研发过程中有足够的组织与个人独立性，是为了更进一步使 系统错误最小化.至于跟软件问题相一致的索引（引言）参照EN50128. A. 4. 3检定与处理出 现在设计中的新危险信号系统的实现可能导致不可预测或者难以预料的对人有潜在危害性能，特别是如果 系统与技术都是新的新危害的出现有下列几个方面：-新技术对新

39、危害有很大的隐蔽性（缺 乏经验）；-新技术（如类似的数字技术）的引进引出了目前铁路系统中的隐患；33EN 50129:2003-新的设计危害归咎于缺乏充足的/恰当的细则说明；-目前铁路系统中专用的操作模式 不合适，同时可能对操作者，维修者或者其他工作人员（工众）产生新的危害；-设计错误可能 产生新的危害，但这些错误与原有的己鉴定的错误有关.这些方面可能引起对环境与国家的 危害，这些危害与己鉴定的危害一样需要系统处理.鉴定，处理与解决出现在一个系统的设 计或者应用过程中的新危险与风险分析阶段是一样的.一旦鉴定，将由供应方向铁路局慎重 说明具有对整个系统性能有潜在影响的或者对人有危害的系统危害程度

40、取决于己发觉的风 险，这些情况需要用预测的观点与恰当的可同意率对每一方面进行定性或者定量的评估. 注:可能至少用两种不一致的方法：-新的危害与已鉴定的危害有关是有可能的:在这种情况 下，供应方应确信由这两种危害相结合产生的危险率仍然与由铁路局决定的THR是相习惯 的.危害标志与安全情况应归于这种危害；假如不能同意，假如可能，供应方应重新设计他的 产品/系统,假如不可能，为了使危险与有关的风险保持在一定的范围内，应实施另外的保护 措施；假如能同意，那么铁路局应负责定义新危害的THR,而供应方应提供与这个要求相符 合的设计；对这两种情形，关于这种危害一旦得出结论，每件事应记录在危害口志与安全事 例

41、中.从每一个新危害中得到THR,同时这些THRS将产生新的要求.A.5SILA. 5. 1普遍方面安全完整性被具体为四种截然分立标准中的一种.标准4有最高的安 全完整性标准，标准1有最低的.标准0用于说明没有安全性的要求.一个SIL应提出诸 如质量安全管理与技术安全条件的定性评估要求.鉴定与评估了与系统有关的危害，至于 这些危害在系统生命周期风险分析过程中的潜在后果，如图A. 4.1所述.这项T.作产生（至 上而下）了每一种危害的THR,然34EN 50129:2003而，供应方将开始用至上而下的设计方式研制通常的产品，甚至满足通常产品的安全情 形（没有一种可用的风险分析结果），但是最后他将满

42、足规定的容许危险水准（应 用安全条 例），铁路局/安全局对这个过程定论.下一个阶段是系统要求与系统要求阶段的划分.THR 被分别分到系统功能与子系 统中.这些功能中的每一种有一个定性的安全目标与定量的安 全目标，定性目标以S1L为形式，同时涉及到随机故障完整性.在一个系统内与安全有关的 功能由子系统来完成,SIL被分为安全有关功能与子系统执行这些功能的结果.但是无法更 进一步.子系统中部分设备的SIL与子系统的是一样的,除非能证明子系统设备间的功能独 立性.重要的是,意识到SIL的具体实现需要与图A.8中的所有要素相一致，名义上：-质 量管理条件，-安全管理条件，-技术安全条件，-量化安全目标

43、.一个特殊量化目标的完 成并不意味着对应的SIL的出台.同样，同样与特殊的SIL有关的质量管理，安全管理与技 术安全条件的实施并不意味着对应的量化安全目标或者安全标准本身的完成.为了履行全面 的安全完整性，图A.8中的所有要素务必完成.懂得这一点也是很重要的，然而为了完成如 下章节中描述的铁路安全性能，图A.8中的量化安全目标都是必要的.由单一子系统或者设 备务必完成的特殊功能安全目标无法假设,这里必要的安全目标将由组合功能，子系统或者 设备实现,这一点有附加说明.图A.8略A. 5.2 SIL与安全目标的关系 这个标准的产生以假设为基础，假设安全性既取决于所 采取的措施足以避免错误或者错误可

44、同意（防御系统故障）也取决于采取一定的措施去操纵 随机故障.为了使，一个系统的安全性能达到最佳状态，应权衡这两项故障预防措施所使用 的措施，要完成这个就要用SIL的概念.S1L用来使定性法（为避免系统故障）与定量法（为 操纵35EN 50129:2003随机故障）匹配，由于用SIL量化系统故障是行不通的.像多其他故障一样，这种权衡 法用表格表示，由0, 1,2, 3,4五条SIL与相应的THRI0-I4.构成.SIL表关于安全有关功 能或者子系统执行一个或者多个功能都是适用的.只要按照SIL所规定的方法与措施，当完 成THR示范时，就没有必要考虑系统故障.SIL表从THR方面明确了安全有关功能

45、所需要 的SIL.因此假如用量化方法得到F功能THR,所规定的SIL将由卜.表决定.量化要求超过 10 h程度的功能，可用下列方法处理：-假如能够把这个功能分成独立的子功能，那么就能在 子功能与分配在每一个子功能的SIL中划分THR;-假如这个功能不能划分，至少要实现 SIL4所规定的措施与方法，而且为了完成必要的THR,要结合其它的技术或者操作方法.注: 与其他标准相比,这个标准中的SIL表只有一列频率列表（原称高需求或者连续模式）同时 没有一列故障概率，（原称需求模式）限定为单模的原因有一下几个方面：.- SIL的确定 尽量不要产生歧义，-所有需求的模式系统被建构为连续模式系统，-连续操纵

46、与传输信号 系统明显是现代铁路系统信号应用的要紧部分.考虑到EN61508-1SIL表己建好.-9 -136EN 50129:2003附录B（标准化）标准化）全面的技术要求B. 1绪论这一标准在5.4中己经被说明.对系统/子系统/设备设计的技术根据应该在技术 安全报告中提出（技术安全报告形成安全事件的第四部分）.报告将紧随在下列的标题 后：第1部分绪论第2部分正确功能运转保证第3部分故障影响第4部分有外部影响 的运转第5部分与安全有关系的应用条件第6部分安全条件测试这些中的每一部分己经 在标准的5.4中简要地介绍了.对技术安全报告的第2-6节的更全面的要求包含在B2-B6 中.对整体安全水平1

47、到4所包含的内容，技术安全报告是强制的（参见附录A中对整体安全 水平的解释）.然而，信息的深度与支持文档的扩充应适于系统/子系统/设备的整体安全水 平的全面检查之下.整体安全水平0的要求（没有与安全有关的）是在这个安全标准之外的. 技术报告的结构标准的插图7中.B.2正确功能运转保证（技术报告的第2部分）这部分关于系统/子系统/设备在无故障条 件下的正确运行（也就是说没有故障），与特殊的操作与安全要求一致.有些特殊的方面在下面，使用5.4的标题.37EN 50129:2003B. 2. 1系统建构的描述这包含系统/子系统/设备设计的普通描述，在足够的深度来传达对所使用的原理与技术 的明确地憧得

48、.B. 2.2接口定义B. 2. 2. 1人-机接口 a）操作者这里将描述机械装置是系统/子系统/设备通过工程操作 人员操作的.比如： 正常的条件下;报警响应；帮助程序的使用；b）配置这里将描述过程是通过工程人员实现的，工程人员对特殊的铁路或者应用系统/子系统/设备进行配置.软件参数；硬件；安装技巧程序比如：c）保护这部分描述装置的接口，包含所有使用的辅助设备，这些设备是保护人员在完成 各类水平的保护期间所使用的.更全面的信息包含的B5.2中.B. 2. 2. 2系统接LI a）内部接LI这里定义内部条款到系统/子系统/设备之间的功能与物 理接口.比如：电力的清洁与污染的区域；内部的总线结构；通信链接；监控与改正的功能；38EN 50129:2003诊断与健康状态的监控；b）外部接口这里定义外部条款到系统/子系统/设备之间的功能与物理接口.比如： 传感器；执行器；通信链接；检测与监测的规定；易扩展性；B. 2.3系统要求规范的实行这部分论证在系统/子系统/设备中特殊的可操作性功能的要求是如何通过设计实现的. 包含所有有关的论据（或者涉及到的论据）.比如：- -设计原理与计算；测试说明与结果； 确认；B. 2.4安全要求规范的实行这部分论证特殊的安全功能的要求是如何通过设计实现的.包含所有有关的论据（或者 涉及到的论据）比如设计原理与计算；测试说明与结果；安全分析