《英國標(biāo)準(zhǔn).doc》由會員分享，可在線閱讀，更多相關(guān)《英國標(biāo)準(zhǔn).doc（69頁珍藏版）》請在裝配圖網(wǎng)上搜索。

英國標(biāo)準(zhǔn) BS EN 50129:2003 鐵路應(yīng)用－ 通信、信號和過程控制系統(tǒng)－ 信號的安全相關(guān)電子系統(tǒng) 國家前言 該英國標(biāo)準(zhǔn)是EN50129：2003的官方英文標(biāo)準(zhǔn)。它代替了被撤回的DD ENV50129：1999標(biāo)準(zhǔn)。 GEL/9技術(shù)委員會委托英國參與了它的準(zhǔn)備，鐵路電子技術(shù)應(yīng)用組織即GEL/9/1子委員會，信號和通信，職責(zé)是： －幫助調(diào)查人理解文章； －提出可靠的歐洲委員會的要求來分析或者提出改進意見，并保證英國的利益； －關(guān)注相關(guān)的國際和歐洲發(fā)展，并在英國發(fā)布它們； 一系列的組織給子委員會提出的意見可在它的秘書處獲得。 交叉的參考 本英國標(biāo)準(zhǔn)應(yīng)用國際的或者歐洲的關(guān)于本文件的出版物，它可能在“國際標(biāo)準(zhǔn)相應(yīng)的索引”部分的BSI目錄中找到，或者是使用BSI電子目錄的或者英國標(biāo)準(zhǔn)在線的“查找”工具。 它的出版并不意味著包括一個合同所有必要條款，英國標(biāo)準(zhǔn)的使用者有責(zé)任正確使用該標(biāo)準(zhǔn)。 依從一個歐洲標(biāo)準(zhǔn)并不是指本人免除法律責(zé)任。 總共的頁數(shù) 該文檔包括前封面，內(nèi)前封面，EN名稱頁，2到94頁和內(nèi)后封面和后封頁。 在文檔最終出版后，BSI的版權(quán)日期在文檔中指出。 出版后的修訂 修訂次數(shù) 日期 內(nèi)容 英文版本 鐵路應(yīng)用－ 通信、信號和過程控制系統(tǒng)－ 信號的安全相關(guān)電子系統(tǒng) 這個歐洲標(biāo)準(zhǔn)在2000－11－01被CENELEC提出，CENELEC 的成員應(yīng)該遵守CEN/CENELEC國際標(biāo)準(zhǔn)，它規(guī)定了該歐洲標(biāo)準(zhǔn)在無修改的情況下作為國際標(biāo)準(zhǔn)的一些情況。 最新的目錄和關(guān)于國際標(biāo)準(zhǔn)的相關(guān)參考數(shù)目可以在中心秘書處或者任何CENECEC的成員那里獲得。 這個歐洲標(biāo)準(zhǔn)有三個官方版本（英，法，德）。CENECEC的成員可將一種版本譯為他們的語言，并且通知中心秘書處，這樣有作為官方版本的同樣地位。 CENELEC 歐洲電工標(biāo)準(zhǔn)協(xié)會 前言 本歐洲標(biāo)準(zhǔn)由SC9XA準(zhǔn)備，屬于技術(shù)委員會CENECEC TC 9X 鐵路電子和電子設(shè)備的通信，信號和處理系統(tǒng)。 屬于正式文件文本的草稿在2002－11－01作為EN50128由CENECEC提出。 這個歐洲標(biāo)準(zhǔn)取代了ENV50129：1998 這個歐洲標(biāo)準(zhǔn)是在CENELEC的授權(quán)下通過歐洲委員會和歐洲自由貿(mào)易組織、96/48/EC指示的本質(zhì)要求來準(zhǔn)備的。 下面是確定的日期， －通過國際標(biāo)準(zhǔn)的出版或批注，這個標(biāo)準(zhǔn)作為國際標(biāo)準(zhǔn)來實施的最近日期 2003－12－01 －與這個標(biāo)準(zhǔn)沖突的國際標(biāo)準(zhǔn)排斥在外的最近日期 2005－11－01 標(biāo)注“標(biāo)準(zhǔn)化”的附件是標(biāo)準(zhǔn)的一部分 標(biāo)注“非標(biāo)準(zhǔn)”的附件僅供參考。 該標(biāo)準(zhǔn)中，附件A，B，C是標(biāo)準(zhǔn)化的，附件D，E是非標(biāo)準(zhǔn)化的 內(nèi)容 引言……………………………………………..…………………………………..5 1范圍…………………………………………………….…………………..…….7 2合乎規(guī)范的參考…………………………………..…….…….………………….7 3定義…………………………………………………………..…………………..8 3.1定義……………………………………………………..……………….……..9 3.2參考………………………………………………………...…………………..9 4標(biāo)準(zhǔn)的整體框架…………………………………………….….………………..11 5安全接受和承認(rèn)的條件…………………………………...…..……….….……..12 5.1安全情形…………………………………………………………....……….…12 5.2質(zhì)量管理根據(jù)………………………………………………………………….12 5.3安全管理根據(jù)………………………………………………………………….12 5.4功能和技術(shù)安全根據(jù)………………………………………………………….12 5.5安全接受和承認(rèn)……………………………………………………………….12 附件A（規(guī)范）安全完善度等級…………………………………………………13 A.1引言…………………………………………………………………………….13 A. 2安全要求………………………………………………………….………….13 A. 3安全完善度 A. 4安全完善度要求分配 A. 5安全完善度等級 附件B（規(guī)范）詳細(xì)的技術(shù)要求 B．1引言 B．2 正確的功能操作的保證 B．3錯誤的影響 B．4對外部影響的操作 B．5有關(guān)安全應(yīng)用的條件 B．6安全質(zhì)量測試 附件C（規(guī)范）硬件組成錯誤模式的鑒定 C．1引言 C．2常規(guī)程序 C．3完整電路程序（包括微處理器） C．4固有的物理性質(zhì)組成程序 C．5有關(guān)組成錯誤模式的常規(guī)信息 C．6附帶的常規(guī)信息，有關(guān)固有物理性質(zhì)的組成 C．7有關(guān)固有物理性質(zhì)的組成的特殊信息 附件D（情報）補充技術(shù)信息………………………………………77 D.1引言…………………………………………………….…………77 D.2完成物理內(nèi)在獨立性…………………………………..…….…..77 D.3 完成物理外在獨立性……….. …..….…………………………..78 D.4單個錯誤分析方法的例子………………………….….………...79 D.5多個錯誤分析方法……………………………………………….80 附件E(情報)為系統(tǒng)錯誤和控制隨機及系統(tǒng)錯誤，為與安全相關(guān)的電子系統(tǒng)傳輸信號制定了技巧和方法………………………………………………85 參考書目………………………………………………………………94 1 CENELEC鐵路應(yīng)用標(biāo)準(zhǔn)的主要范圍…………………………..8 2 EN50129的結(jié)構(gòu)…………………………………………………..15 3 安全事例結(jié)構(gòu)……………………………………………………..17 4 系統(tǒng)生命周期舉例………………………………………………..19 5 設(shè)計和系統(tǒng)生命周期有效部分舉例………………………………21 6 獨立性排列…………………………………………………………22 7 技術(shù)安全報告結(jié)構(gòu)…………………………………………………26 8 安全性承諾和安全性批準(zhǔn)過程]…………………………………...28 9 安全性事例/安全性批準(zhǔn)間獨立性舉例……………………………29 A1安全要求和安全完整性…………………………………………….30 A 2 全部過程回顧………………………………………………………32 A 3 風(fēng)險分析過程舉例…………………………………………………33 A 4 有關(guān)系統(tǒng)界限危險的定義…………………………………………34 A5 危險控制過程舉例………………………………………………….36 A 6 解釋故障和補救次數(shù)………………………………………………37 A 7 由FTA處理的功能獨立性………………………………………...38 A 8 安全完整性水準(zhǔn)和技巧間的關(guān)系…………………………………40 B.1 影響項目獨立性的因素……………………………………………46 B.2 檢測和否定單個錯誤………………………………………………49 D.1 錯誤分析方法舉例…………………………………………………81 A1 安全完整性水準(zhǔn)表………………………………………………….41 表C.1 電阻器………………………………………………………………61 表C.2電容器……………………………………………………………….62 表C.3電磁組件…………………………………………………………….63 表C.4二極管……………………………………………………………….66 表C.5晶體管……………………………………………………………….67 表C.6控制整流器………………………………………………………….69 表C.7過負(fù)荷干擾抑制器………………………………………………….71 表C.8光電子組件………………………………………………………….72 表C.9過濾器……………………………………………………………….73 表C.10內(nèi)部組件…………………………………………………………..74 表C.11－保險………………………………………………………………75 表C.12－開關(guān)和按鈕………………………………………………………75 表C.13－電燈………………………………………………………………75 表C.14－電池………………………………………………………………75 表C.15－變送器/傳感器（不包括內(nèi)部電路）……………………………76 表C.16－集成電路…………………………………………………………76 表D.1－在大規(guī)模集成電路通過周期性在線測試的手段來檢測故障的 措施的例子…………………………………………………………………82 表E.1－安全計劃和主動的質(zhì)量保證…………………………………….86 表E.2－系統(tǒng)要求的技術(shù)規(guī)格………………………………………………87 表E.3－安全組織……………………………………………………………87 表E.4－系統(tǒng)/子系統(tǒng)/設(shè)備的建構(gòu)…………………………………………88 表E.5－設(shè)計特色……………………………………………………………89 表E.6－故障和危險分析的方法……………………………………………90 表E.7－系統(tǒng)/子系統(tǒng)/設(shè)備的設(shè)計和研發(fā)…………………………………91 表E.8－設(shè)計的階段性文檔…………………………………………………91 表E.9－系統(tǒng)和產(chǎn)品設(shè)計的鑒定和確認(rèn)……………………………………92 表E.10－應(yīng)用，運行和維護…………………………………………………93 前言 本標(biāo)準(zhǔn)是鐵路信號領(lǐng)域內(nèi)定義電子安全系統(tǒng)認(rèn)可和支持要求的第一個歐洲標(biāo)準(zhǔn)。目前，國際上存在的語詞有關(guān)的只有國際鐵路聯(lián)合組織（UIC）提出的整體建議和一些國家提出的互不相同的建議。 針對信號的電子安全系統(tǒng)包括硬件和軟件兩部分。要安裝完整的安全系統(tǒng)，必需考慮系統(tǒng)整個生命周期中的兩個部分，即對硬件安全的要求和在標(biāo)準(zhǔn)上對整個系統(tǒng)定義的要求，期于要求在CENELEC標(biāo)準(zhǔn)上有要求。 歐洲鐵路機構(gòu)和歐洲鐵路工業(yè)在發(fā)展一種基于一般標(biāo)準(zhǔn)并能夠相互兼容的鐵路系統(tǒng)。因此，對于系統(tǒng)安全支持方面和不同國家鐵路機構(gòu)要求方面橫向認(rèn)可是必須的。此文件就電子系統(tǒng)在鐵路信號方面安全認(rèn)可與支持的歐洲通用的基礎(chǔ)。 橫向認(rèn)可的目的在于一般的支持，不是特殊的應(yīng)用。當(dāng)它成為一個EN時公眾在有關(guān)鐵路信號電子安全系統(tǒng)的歐洲攝取內(nèi)的獲得將會關(guān)系到這個標(biāo)準(zhǔn)。 本標(biāo)準(zhǔn)包括主要部分（第一章到第五章）和附錄A，B，C，D，E。在此標(biāo)準(zhǔn)中主要部分和附錄A，B，C中定義的要求是規(guī)范的，而附錄D和E是非正式的。 本標(biāo)準(zhǔn)和EN50126（鐵路裝置RAMS）中相關(guān)的章節(jié)有關(guān)聯(lián)。本標(biāo)準(zhǔn)和EN50126都是基于系統(tǒng)的生命周期和EN61508—1。在涉及到鐵路通信信號和外部系統(tǒng)時，EN61508—1被EN50126/ EN50128/ EN50129取代了。買組這些標(biāo)準(zhǔn)的要求將來遵守未評價的EN61508—1是足夠的。 因為標(biāo)準(zhǔn)是關(guān)于安全系統(tǒng)的支持所顯示出來的現(xiàn)象，所以它使生命周期的行為特殊化，這些行為需要在認(rèn)可階段之前完成，隨之而來的是額外的計劃行為。對整個生命周期的安全檢測就是這樣被要求的。 本標(biāo)準(zhǔn)是關(guān)于顯現(xiàn)出來的現(xiàn)象，除了認(rèn)為是合適的地方，它沒有規(guī)定誰將執(zhí)行必須的工作，因為這在不同環(huán)境下是不相同的。 EN50128定義了包括可編程電子器件和軟件附加條件的安全系統(tǒng)。 EN50159—1和EN50159—2定義了對安全數(shù)據(jù)通信的額外要求。 1 范圍 本標(biāo)準(zhǔn)適用與鐵路信號設(shè)備上用的電子安全系統(tǒng)（包括子系統(tǒng)和設(shè)備）。圖1表示了本標(biāo)準(zhǔn)的范圍和它與其他CENELEC標(biāo)準(zhǔn)的關(guān)系。 本標(biāo)準(zhǔn)適用與所有的鐵路信號安全系統(tǒng)、子系統(tǒng)及設(shè)備。然而，EN50126中定義的事故分析和危險估計程序和本標(biāo)準(zhǔn)對于所有的鐵路信號系統(tǒng)、子系統(tǒng)及設(shè)備是必須的安全要求。 如果分析結(jié)果顯示 沒有安全要求（例如：這種情況下是不安全的），并且結(jié)論沒有修改行為后來變化的結(jié)果，本安全標(biāo)準(zhǔn)就會停止使用。 分類、設(shè)計、建設(shè)、安裝、認(rèn)可、操作、維護和修改及擴展等功能也適用與完整系統(tǒng)中的個人子系統(tǒng)和設(shè)備。附錄C包含了和電子硬件部分相關(guān)的程序。 本標(biāo)準(zhǔn)又適用與一般的子系統(tǒng)和設(shè)備（獨立的使用和某種特殊的使用），也可在系統(tǒng)、子系統(tǒng)、設(shè)備上有特殊的使用。 本標(biāo)準(zhǔn)不適用與現(xiàn)存的系統(tǒng)、子系統(tǒng)和設(shè)備（例如在本標(biāo)準(zhǔn)之前已經(jīng)被接受的系統(tǒng)、子系統(tǒng)和設(shè)備）然而，只要合乎實驗性，本標(biāo)準(zhǔn)也被用來修改或擴展現(xiàn)存的系統(tǒng)、子系統(tǒng)和設(shè)備。 本標(biāo)準(zhǔn)主要用于鐵路信號傳輸設(shè)備的專門設(shè)計和加工的系統(tǒng)、子系統(tǒng)及設(shè)備。作為信號傳輸安全系統(tǒng)的一部分，如果現(xiàn)實允許，也可被用于真體的構(gòu)思或一些工業(yè)設(shè)備（如：能源的供應(yīng)、調(diào)配等）。即使在最小限度時，可根據(jù)顯示，設(shè)備或者依賴于安全或者依賴于與安全相關(guān)的這些功能。 本標(biāo)準(zhǔn)適用于鐵路信號傳輸系統(tǒng)功能上的安全。它不是處理個人的職業(yè)上的健康和安全，這一課題在其他的標(biāo)準(zhǔn)上有說明。 2 參考標(biāo)準(zhǔn) 歐洲標(biāo)準(zhǔn)參考了其他出版物里的更新后未更新的部分。這些標(biāo)準(zhǔn)參考在本文適當(dāng)?shù)牡胤奖粦?yīng)用，下面列出了被參考的出版物。對于更新過的參考，后來的修訂當(dāng)需要的時候也被歐洲標(biāo)準(zhǔn)引用。沒有更新過的參考，出版物最新的版本有所提及（包括修改的部分）。 注意：附加的非正式的參考在目錄里。 EN50121系列 鐵路應(yīng)用——電磁兼容 EN50124—1 鐵路應(yīng)用——絕緣調(diào)配——第一部分：電力電子設(shè)備絕緣的基本需求。 EN50124—2 鐵路應(yīng)用——絕緣調(diào)配——第二部分：過電壓及其先觀保護。 EN50125—1 鐵路應(yīng)用——環(huán)境需求——第一部分：board rolling stock上的設(shè)備。 EN50125—3 鐵路應(yīng)用——環(huán)境需求——第三部分：信號傳輸與通信設(shè)備。 EN 50126 鐵路應(yīng)用——可靠性、可用性、可維護性和安全性（RAMS）規(guī)范和說明。 EN 50128 鐵路應(yīng)用——通信、用于鐵路控制和系統(tǒng)保護的信號處理系統(tǒng) EN 50155 鐵路應(yīng)用——電氣設(shè)備在rolling stock上的應(yīng)用。 EN 50159—1 鐵路應(yīng)用——通信、信號處理系統(tǒng)——第一部分：在閉環(huán)傳輸系統(tǒng)中與安全相關(guān)的通信 EN 50159—2 鐵路應(yīng)用——通信、信號處理系統(tǒng)——第二部分：在開環(huán)傳輸系統(tǒng)中與安全相關(guān)的通信 EN 61508—1 電氣、電子、可編程的安全電氣設(shè)備系統(tǒng)——第一部分：主要需求（IEC61508） IEC 60664 系列 在低電壓系統(tǒng)的絕緣調(diào)配。 3 定義和縮略詞 3.1 定義 在本標(biāo)準(zhǔn)中下面的定義將被用到。 3.1.1 故障 導(dǎo)致死亡、受傷、系統(tǒng)或設(shè)備損失或者破壞環(huán)境的無意中的故障或一系列故障。 3.1.2評估 分析設(shè)計部門和產(chǎn)業(yè)部門生產(chǎn)的產(chǎn)品是否滿足規(guī)定的要求，并形成一套判別產(chǎn)品是否按其預(yù)定功能進行工作，這個過程稱為評估。 3.1.3 授權(quán)書 按規(guī)定使用產(chǎn)品的正式許諾。 3.1.4 可用性 一個產(chǎn)品在給定一段時間，在一定條件下按要求實現(xiàn)功能的能力，以及在所需求的外部資源被提供的前提下，其在給定的一段時間執(zhí)行的能力。 3.1.5 可能 可能發(fā)生的。 3.1.6 偶然性分析 分析一種專門的危害存在的原因。 3.1.7 普通—偶然故障 一些具有獨立功能的設(shè)備失效。 3.1.8 結(jié)果分析 分析在一個危害發(fā)生后，可能出現(xiàn)的情況。 3.1.9 圖表 表明硬件的結(jié)構(gòu)和相互聯(lián)系以及系統(tǒng)軟件的功能。 3.1.10橫向認(rèn)可 一個產(chǎn)品被一個權(quán)威乃至相關(guān)歐洲標(biāo)準(zhǔn)認(rèn)可并且被最高權(quán)威認(rèn)可，這樣一種程度 3.1.11設(shè)計 這是一種為了將規(guī)定需求通過分析和轉(zhuǎn)換，使其滿足可靠性要求的設(shè)計方法。 3.1.12設(shè)計權(quán)威 此體系負(fù)責(zé)開發(fā)一套設(shè)計方法的公式去執(zhí)行規(guī)定的需求并遇見隨后的發(fā)展，使一個系統(tǒng)在預(yù)定的環(huán)境中工作 3.1.13發(fā)送 這是一種用多種互不相同的方法來實現(xiàn)全部或部分特殊要求的方式 3.1.14設(shè)備 起作用的物理裝置 3.1.15誤差 與預(yù)先設(shè)計結(jié)果相偏離，并會導(dǎo)致系統(tǒng)發(fā)生副作用或失效。 3.1.16失效—安全 這個概念是包含在一個產(chǎn)品的設(shè)計當(dāng)中，如產(chǎn)品看似處于安全狀態(tài)，但實際上已經(jīng)失效了。 3.1.17 失效 偏離系統(tǒng)規(guī)定的行為，是系統(tǒng)錯誤或誤差導(dǎo)致的結(jié)果。 3.1.18 錯誤 一種非常規(guī)導(dǎo)致系統(tǒng)失效的條件，一個錯誤是隨即的或有規(guī)律發(fā)生的。 3.1.19 錯誤發(fā)現(xiàn)時間 從錯誤發(fā)生的一瞬間到被發(fā)現(xiàn)為止的異端時間 3.1.20 功能 一個產(chǎn)品執(zhí)行其規(guī)程的行為模型 3.1.21 危害 導(dǎo)致事故的情況 3.1.22 危害分析 堅定危害分析及其產(chǎn)生原因，以及違反法制危害可能發(fā)生的要求和在一定程度上危害所造成的后果 3.1.23 危害記錄 一個包含所有安全管理活動、危害堅定、決策生成的文檔，用于存檔和參考 3.1.24 認(rèn)為錯誤 導(dǎo)致系統(tǒng)發(fā)生副作用的人的行為（失誤） 3.1.25 執(zhí)行 為了將規(guī)定的設(shè)計轉(zhuǎn)化為物理的實現(xiàn)而進行的活動 3.1.26 獨立（功能） 由于機械具有的多功能而影響到正確操作，從而導(dǎo)致系統(tǒng)故障或突發(fā)故障的機械裝置中寄托出來。 3.1.27 獨立（人工） 從需要相同智力、商業(yè)或管理試題中解脫出來。 3.1.28 獨立（物理） 從由于多功能而影響正確 操作幾導(dǎo)致系統(tǒng)、副系統(tǒng)、設(shè)備發(fā)生突發(fā)故障的機械裝置中解脫出來。 3.1.29 個體風(fēng)險 一個僅僅有關(guān)獨立個體的風(fēng)險。 3.1.30 維護性 對于給定一種積極的維護行為，其在給頂使用條件的項目中的可行性，可以在相關(guān)條件和使用相關(guān)程序和資源的間隙中進行。 3.1.31 維護 所有技術(shù)和管理行為的綜合，包括監(jiān)督行為，企圖保持一個項目或?qū)⑵浯鎯Γ且环N可以表現(xiàn)其需求功能的狀態(tài)。 3.1.32 可行性 可執(zhí)行性。 3.1.33 負(fù)面性 當(dāng)發(fā)現(xiàn)一個危險的錯誤而破壞安全的狀態(tài)。 3.1.34 負(fù)面時間 從一個危險錯誤的發(fā)生到結(jié)束，整個安全狀態(tài)被破壞的時間跨度。 3.1.35 生產(chǎn) 與形成滿足規(guī)定需求的一種方法相互關(guān)聯(lián)的元件組裝。 3.1.36 質(zhì)量 使用者對于一個產(chǎn)品屬性的看法。 3.1.37 鐵路權(quán)威 通過安全操作鐵路系統(tǒng)而形成的完整的安全權(quán)威體系。 3.1.38 突發(fā)故障強度 一個系統(tǒng)能承受危險的突發(fā)故障的限度。 3.1.39 突發(fā)故障 無法預(yù)見發(fā)生的故障。 3.1.40 可靠性 提供一種或多種通常是相同的措施，來提供對故障的承受。 3.1.41可靠性 一套裝置在給定條件下和規(guī)定時間內(nèi)執(zhí)行特定功能的能力。 3.1.42 修理 將系統(tǒng)、副系統(tǒng)及設(shè)備在失效后恢復(fù)即定狀態(tài)的重建方法。 3.1.43 風(fēng)險 發(fā)生特定危害的頻率、可能性及后果的集合體。 3.1.44 安全狀態(tài) 一種持續(xù)安全的狀態(tài)。 3.1.45 安全度 不發(fā)生一定程度上的重大風(fēng)險。 3.1.46 安全度認(rèn)可 最后一個使用者對產(chǎn)品安全狀態(tài)的認(rèn)可 3.1.47安全度規(guī)定 當(dāng)產(chǎn)品已經(jīng)執(zhí)行一系列先決條件后必須對安全狀態(tài)進行權(quán)威認(rèn)定。 3.1.48 安全度權(quán)威 負(fù)責(zé)對與系統(tǒng)相關(guān)的安全操作發(fā)表授權(quán)。 3.1.49 安全庫 報名產(chǎn)品遵從規(guī)定安全需要的文檔。 3.1.50 安全度 在運行的各個階段各種操作環(huán)境及所有的狀態(tài)條件下，安全相關(guān)系 統(tǒng)達到安全功能的能力。 3.1.51安全度標(biāo)準(zhǔn) 在考慮系統(tǒng)錯誤的前提下，一個表明系統(tǒng)自我滿足規(guī)定安全功能的數(shù)字。 3.1.52 安全度生命周期 對于安全有關(guān)的系統(tǒng)的生命周期中執(zhí)行的一系列動作 3.1.53 安全度管理 確保過程被安全執(zhí)行的結(jié)構(gòu)。 3.1.54 安全計劃 如何達到工程的安全需求的執(zhí)行細(xì)節(jié)。 3.1.55 安全流程 對于一個產(chǎn)品所有安全要求進行鑒定和滿足的一系列步驟。 3.1.56 相關(guān)安全度 對安全度負(fù)責(zé)。 3.1.57 命令 強制執(zhí)行的。 3.1.58 建議 被提議的。 3.1.59 信號系統(tǒng) 由于鐵路控制和保護火車正確運行的專門的一類系統(tǒng)。 3.1.60 壓力承受 當(dāng)一個產(chǎn)品執(zhí)行特定功能時所承受的大量外部影響的程度。 3.1.61 副系統(tǒng) 系統(tǒng)中執(zhí)行特殊功能的一部分。 3.1.62 系統(tǒng) 通過設(shè)計，使一系列副系統(tǒng)相互作用而組成的。 3.1.63系統(tǒng)失效度 系統(tǒng)從危害性誤差和原因中恢復(fù)的能力。 3.1.64系統(tǒng)錯誤 對于一個系統(tǒng)，在規(guī)范、設(shè)計、組構(gòu)、安裝、執(zhí)行或維護中內(nèi)部發(fā)生的錯誤。 3.1.65系統(tǒng)生命周期 從一個系統(tǒng)開始構(gòu)造到該系統(tǒng)失效這段時期內(nèi)進行的一系列活動。 3.1.66 技術(shù)安全報告 對系統(tǒng)、副系統(tǒng)及設(shè)備設(shè)計的安全進行論證的報告。 3.1.67 有效性 一系列通過測試和分析來表明產(chǎn)品滿足各方面安全規(guī)范的行為。 3.1.68 鑒定 一種通過分析和測試，在系統(tǒng)生命周期的每一個階段，對所分析和測試的階段滿足前一階段的輸出，和該階段按規(guī)定輸出進行堅定的行為。 3.2 縮略詞 下面是該標(biāo)準(zhǔn)中用到的縮略詞: 3.2.1 AC 交流電 3.2.2 ATP 列車自動保護 3.2.3 CENELEC 歐洲電氣標(biāo)準(zhǔn)委員會 3.2.4 CCF 常見故障原因 3.2.5 DC 直流電 3.2.6 EMC 電磁相容性 3.2.7 EMI 電磁干擾 3.2.8 EN 歐洲標(biāo)準(zhǔn) 3.2.9 ESD 靜電釋放 3.2.10 FET 場效應(yīng)管 3.2.11 FMEA 故障建模和分析 3.2.12 FR 故障率 3.2.13 FTA 故障樹分析 3.2.14 H 危害 3.2.15 HW 硬件 3.2.16 IEC 國際電工技術(shù)委員會 3.2.17 IRSE 鐵路信號工程機構(gòu) 3.2.18 ISO 國際標(biāo)準(zhǔn)組織 3.2.19 RAMS 可靠性、可行性、維護性和安全性 3.2.20 SCR 可控硅校驗器 3.2.21 SDR 安全下降率 3.2.22 SDT 安全下降時間 3.2.23 SIL 安全度標(biāo)準(zhǔn) 3.2.24 SW 軟件 3.2.25 THR 危害可承受度 3.2.26 UIC 國際鐵路聯(lián)盟 3.2.27 VDR 電壓電阻器 4 該標(biāo)準(zhǔn)所有框架 歐洲標(biāo)準(zhǔn)中第五條款要求采用一個有規(guī)律的、有文擋的 -質(zhì)量管理記錄 -安全管理記錄 -功能和技術(shù)安全記錄 -規(guī)定安全度 附錄A 定義安全度標(biāo)準(zhǔn)的使用和結(jié)實。 附錄B 包含安全相關(guān) 的系統(tǒng)、副系統(tǒng)及設(shè)備的技術(shù)細(xì)節(jié)要求。 附錄C 包含堅定可修復(fù)硬件故障的步驟和信息的方法。 附錄D 包含附加的技術(shù)信息。 附錄E 包含用于安全度各個標(biāo)準(zhǔn)的技術(shù)、方法目錄。 目錄 包含在執(zhí)行著套標(biāo)準(zhǔn)期間所需查詢文檔的說明。 5 為保證安全所允許的條件 5.1 安全情況 該標(biāo)準(zhǔn)定義的條件應(yīng)滿足為保證與安全有關(guān)的電氣鐵路系統(tǒng)、副系統(tǒng)及設(shè)備按其預(yù)期目的可以被足夠安全的應(yīng)用。 在該標(biāo)準(zhǔn)中有關(guān)的部分是以.下三個標(biāo)題為基礎(chǔ)的，分別稱為： -5.2質(zhì)量管理記錄 -5.3安全管理記錄 -5.4功能和技術(shù)安全記錄 在與安全有關(guān)的系統(tǒng)可以足夠安全的被使用之前，所有這些條件都應(yīng)達到系統(tǒng)、副系統(tǒng)及設(shè)備要求的水平。 已經(jīng)與這些條件相符合的文檔記錄應(yīng)當(dāng)被包含進一個安全堅定文檔，即安全庫。安全庫組成所有遵從相關(guān)安全權(quán)威的文檔記錄的一個部分，為了得到一個一般產(chǎn)品，一組應(yīng)用或一個特殊應(yīng)用的安全要求規(guī)范。對于安全規(guī)范過程的解釋，見該標(biāo)準(zhǔn)的5.5部分。 安全庫包含系統(tǒng)、副系統(tǒng)及設(shè)備的安全文檔記錄，可以分為如下結(jié)構(gòu)： 第一部分 系統(tǒng)（或副系統(tǒng)及設(shè)備）定義 應(yīng)明確定義或表明安全庫所指的系統(tǒng)、副系統(tǒng)及設(shè)備，包括類型編號、所有需求的修改權(quán)限、設(shè)計和應(yīng)用性的文檔。 第二部分 質(zhì)量管理報告 該部分包括質(zhì)量管理記錄，如該標(biāo)準(zhǔn)中5.2部分提到的 第三部分 安全管理報告 該部分包括安全管理記錄，如該標(biāo)準(zhǔn)中5.3部分提到的 第四部分 技術(shù)安全報告 該部分包括功能和技術(shù)安全的記錄，如該標(biāo)準(zhǔn)中5.4部分提到的 第五部分 相關(guān)安全庫 該部分包括與安全庫所依靠的所有副系統(tǒng)及設(shè)備有關(guān)的安全庫 同時應(yīng)該表明所有與安全有關(guān)的應(yīng)用條件都應(yīng)規(guī)定每一個相關(guān)的副系統(tǒng)及設(shè)備的安全庫要么是在主安全庫中執(zhí)行，要么在主安全庫中與安全庫有關(guān)的應(yīng)用條件下執(zhí)行。 第六部分 結(jié)論 該部分應(yīng)簡要概括在安全庫先前部分的記錄，并討論相關(guān)系統(tǒng)、副系統(tǒng)及設(shè)備是否足夠的安全，是否遵從專業(yè)的應(yīng)用條件。 安全庫的結(jié)構(gòu)用圖表3說明。 明確規(guī)定大量細(xì)節(jié)的記錄和輔助類文檔不需要包含進安全庫和它的子庫，也不需要提供明確的用于此類文檔的解釋，同時也不需要提供基本概念的應(yīng)用和所采用的途徑。 5.2 質(zhì)量管理記錄 安全規(guī)范的第一個條件就是系統(tǒng)、副系統(tǒng)及設(shè)備的質(zhì)量應(yīng)得到保證，并且還應(yīng)在其整個生命周期中被一套有效的質(zhì)量管理系統(tǒng)控制。文檔記錄是該要求在質(zhì)量管理報告中的表現(xiàn)，它形成了安全庫中的第二個部分。 質(zhì)量管理系統(tǒng)目的是使在系統(tǒng)生命周期的每個階段的人為故障最小化，同時也減小系統(tǒng)、副系統(tǒng)及設(shè)備中系統(tǒng)故障的發(fā)生。 質(zhì)量管理系統(tǒng)應(yīng)當(dāng)在系統(tǒng)、副系統(tǒng)及設(shè)備整個生命周期中應(yīng)用，如定義的EN50126。 一個系統(tǒng)生命周期的例子（在EN50126標(biāo)準(zhǔn)下），由該標(biāo)準(zhǔn)的圖表4描述 EN50129：2003 注釋：下面是一個有關(guān)質(zhì)量管理體系和質(zhì)量管理報告所包括的幾個方面的例子。 ——組織的結(jié)構(gòu) ——質(zhì)量計劃和步驟 ——需求說明書 ——控制設(shè)計 ——檢查和復(fù)查設(shè)計 ——工程應(yīng)用 ——采購和制造 ——產(chǎn)品鑒定和跟蹤 ——管理和存儲 ——檢查 ——不一致性和正確的行動 ——包裝和發(fā)送 ——安裝和授權(quán) ——操作和維護 ——質(zhì)量管理和售后服務(wù) ——文檔和記錄 ——配置的管理或更改控制 ——操縱指導(dǎo) ——質(zhì)量審計和使用情況調(diào)查 ——運行狀況 遵從質(zhì)量管理的要求是保證1到4完全安全水平所必需的（見兼并A中對完全安全水平的解釋）。然而，記錄的深度和輔助類文檔的擴展應(yīng)適應(yīng)系統(tǒng)、副系統(tǒng)及設(shè)備的完全安全水平(見表格E.1和表格E.8中對每個完全安全水平所需記錄的結(jié)實)。完全安全0水平（不安全）的要求不在該安全標(biāo)準(zhǔn)所探索的范圍。 5.3 安全管理措施 5.3.1 概述 為了保證安全相關(guān)的鐵路信號電子系統(tǒng)/子系統(tǒng)/設(shè)備安全所必須滿足的條件之二是安全管理措施，他應(yīng)該與EN50126中所到的可靠性、可用性、可維護性和安全性的管理過程相一致，目的是進一步減少和安全相關(guān)的認(rèn)為失誤。進而減少系統(tǒng)故障風(fēng)險。下面5.3.2到5.3.13就簡要的介紹了安全管理過程因素。 在安全管理報告中將提到有關(guān)安全管理過程中的各素都遵從生命周期概念的書面證據(jù)，即是安全案例的第三部分，這其中不包含大量的詳細(xì)的證據(jù)和提供的文獻，只是一些簡單的索引。 安全管理措施的運用對于安全完整性水準(zhǔn)的1到4來說是強制性的。（參考安全完整性水準(zhǔn)的解釋附錄A）然而，所提供的證據(jù)的深度和所支持文獻的廣度對于安全的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)來說應(yīng)該是合適的。安全完整性水準(zhǔn)為0的（認(rèn)為不安全）是不符合安全標(biāo)準(zhǔn)的。 為了證實安全完整性所提到的標(biāo)準(zhǔn)對每一種特殊的情形都是適用的。那么在EN50126中定義的危害分析和風(fēng)險評估過程都是必要的。這也包括那些分析和評估認(rèn)為安全完整性水準(zhǔn)認(rèn)為是0的情況。然而，一旦得出這樣的結(jié)論，（也就是說這種情況是不安全的），那么，這種安全標(biāo)準(zhǔn)就不再適用。 5.3.2 安全的生命周期 這種安全管理過程包括很多階段和行為，因此形成了安全生命周期。這應(yīng)該與EN50126 中提到的系統(tǒng)生命周期相一致，即是圖4所顯示標(biāo)準(zhǔn)的一種復(fù)制。系統(tǒng)生命周期的設(shè)計和有效性部分可以看作是“頂部——底部”和“底部——頂部”兩個階段。（也就是V形）如圖5所示。 5.3.3 安全機構(gòu) 安全管理過程應(yīng)該在安全機構(gòu)的有效指導(dǎo)下執(zhí)行。安全機構(gòu)應(yīng)該任用那些被指任為扮演特殊角色的有能力的人來組成。對這些人進行包括技術(shù)知識，認(rèn)證，相關(guān)經(jīng)驗和正確的訓(xùn)練的能力的評估和記錄應(yīng)該根據(jù)大意公認(rèn)的標(biāo)準(zhǔn)來執(zhí)行。對于所有安全完整性水準(zhǔn)的所要求的安全機構(gòu)知道下的不同角色之間應(yīng)該有一個相互獨立的度，正如圖6和表E.3所示。 5.3.4 安全計劃 在生命周期的開始應(yīng)該指定一個安全計劃，這個計劃應(yīng)該體現(xiàn)整個生命周期安全管理的結(jié)構(gòu)，安全相關(guān)的活動和論證的轉(zhuǎn)折點。還包括每隔一定間隔進行安全計劃復(fù)查的要求。如果對原始系統(tǒng)/子系統(tǒng)/儀器設(shè)備進行一系列的改動或增加的話，我們就應(yīng)該及時更新或復(fù)查安全計劃。如果有類似這樣的變動，那么在生命周期的恰當(dāng)?shù)奈恢脤ψ儎铀鸬陌ㄓ布蛙浖踩矫娴挠绊懢蛻?yīng)該被重新評估。 參照表E.1?對于每一個安全完整性水準(zhǔn)安全計劃所作的指導(dǎo) 安全計劃應(yīng)該處理系統(tǒng)/子系統(tǒng)/儀器設(shè)備的各個方面，包括硬件和軟件。對于軟件的各個方面問題在EN50128中已經(jīng)論述過。安全計劃應(yīng)該包括安全案例計劃，他將體現(xiàn)最終安全案例的預(yù)期結(jié)構(gòu)和重要內(nèi)容。 5.3.5 危害日志 在整個生命周期過程中應(yīng)該創(chuàng)建并維護一個危害日志，正如在EN50126所解釋的，它應(yīng)該包括一系列公認(rèn)的危害，還有對于每一種危害的風(fēng)險分類和風(fēng)險控制信息，如果對系統(tǒng)，子系統(tǒng)或儀器設(shè)備有任何修改和變動，危害日志都應(yīng)該被升級。 5.3.6 安全要求 對每一種系統(tǒng)/子系統(tǒng)/儀器設(shè)備的特定的安全要求包括功能安全要求和安全完整性要求，這些要求應(yīng)該在安全具體方面里面明確標(biāo)識和記錄，可以通過EN50126中提到的這幾個方面完成： 1． 危害標(biāo)識和分析 2． 風(fēng)險評估和分類 3． 安全完整性水準(zhǔn)的分配 附錄A中包括了一些鐵路電子系統(tǒng)的安全完整水準(zhǔn)的信息。 注：安全要求可能包括在系統(tǒng)/子系統(tǒng)/儀器設(shè)備功能要求中或可以被寫作為獨立的文檔，參照表E.2對與每一條安全完整性水準(zhǔn)在系統(tǒng)需求方面的指導(dǎo)。 5.3.7 系統(tǒng)/子系統(tǒng)/儀器設(shè)備的設(shè)計 生命周期的這一階段應(yīng)該做這樣一種設(shè)計，此設(shè)計將完成特定的操作和安全要求，我們將運用頂部——底部的這樣的一套方法且有嚴(yán)格的控制和復(fù)查文檔。特定情況下，通過軟件需求和軟件/硬件整合而再現(xiàn)的軟硬件之間的關(guān)系應(yīng)該得到嚴(yán)格的管理。標(biāo)準(zhǔn)EN50128中也有所提及。表E.7給出了對每一種安全完整性水準(zhǔn)來說系統(tǒng)/子系統(tǒng)/儀器設(shè)備在設(shè)計和進展方面的指導(dǎo)。 5.3.8 安全復(fù)查 在生命周期的適當(dāng)階段應(yīng)該做一下安全復(fù)查，這些復(fù)查應(yīng)該在安全計劃中明確規(guī)定，在復(fù)查同時要記錄結(jié)果，如果對系統(tǒng)，子系統(tǒng)或器設(shè)備有任何改動或擴展，那么我們都應(yīng)該對其進行復(fù)查。 5.3.9 安全核對和證實 安全計劃應(yīng)該包括或索引一些這樣的計劃，他們能核對生命周期的每一個階段都能滿足在先前那些階段中提到的具體的一些安全要求，并且能證實已經(jīng)完趁個的系統(tǒng)/子系統(tǒng)/儀器設(shè)備是與原始的安全性的具體要求相對應(yīng)的。 我們應(yīng)該去完成這些步驟并且將其結(jié)果做一詳細(xì)記錄，包括正確的測試和安全分析，在接下來的而已系列的對系統(tǒng)/子系統(tǒng)/儀器設(shè)備的變動和增加中應(yīng)該正確的重復(fù)以上操作。 對核對人和確認(rèn)人來說，獨立的必要性的度應(yīng)該與仔細(xì)檢查下的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)相一致，可以參照圖6和表9，對于每一種安全完整性水準(zhǔn)的核對和證實的技術(shù)/方法的指導(dǎo)。 依照安全局的見解，評估員應(yīng)該是供應(yīng)方組織或是顧客組織的成員，但在這些情況下，評估員應(yīng)該是 1． 經(jīng)安全局授權(quán)的 2． 從項目團隊中完全獨立出來的 3． 與安全局完全溝通的 5.3.10 安全判斷 使得系統(tǒng)/子系統(tǒng)/儀器設(shè)備滿足安全接受所規(guī)定的條件的措施應(yīng)該以一安全案例的形式出現(xiàn)在結(jié)構(gòu)完整的安全判斷文擋中，參照5.1中所解釋的。 5.3.11 系統(tǒng)/子系統(tǒng)/儀器設(shè)備的移交 在將系統(tǒng)/子系統(tǒng)/儀器設(shè)備移交給鐵路當(dāng)局之前，應(yīng)該滿足5.5中規(guī)定的安全接受和安全論證條件，并且同時遞交安全案例和安全評估報告。 5.3.12 運行和維護 隨著移交的進行，我們還應(yīng)該附加安全計劃和技術(shù)安全報告（安全案例的一部分）的第五部分所規(guī)定的手續(xù)，支持系統(tǒng)和安全監(jiān)管。在系統(tǒng)運行的過程中，人們可能會提出各種理由而要求對系統(tǒng)做出改動。當(dāng)然這些理由不一定安全，我們必須通過索引一些安全文檔的相關(guān)部分來評估一下這些要求改變的請求對安全方面的影響。當(dāng)這些要求改變的請求會引起一些變動，并且這些變動又將影響此系統(tǒng)或相關(guān)系統(tǒng)或周圍環(huán)境的安全時，我們應(yīng)該運用安全生命周期的正確部分以確保所實施的改變可以降低安全水準(zhǔn)。 參照表E.10對每一種安全完整性水準(zhǔn)在應(yīng)用，運行和維護方面的指導(dǎo)。 5.3.13 停用設(shè)備并加以處理 在系統(tǒng)運行周期的最后階段，我們必須停止使用該設(shè)備并且進行最后的清理，這些操作必須與安全計劃和技術(shù)安全報告（安全案例的一部分）的第五部分所規(guī)定的操作相一致。 5.4 功能和技術(shù)措施 除了滿足5.2和5.3中提到的質(zhì)量和安全管理的措施之外，要使系統(tǒng)/子系統(tǒng)/儀器設(shè)備的預(yù)期應(yīng)用能被安全的接受，那么還要滿足這第三個條件，也就是功能和技術(shù)安全措施，這其中包括為了滿足設(shè)計的安全要求所提到的技術(shù)措施，這一措施應(yīng)該在安全技術(shù)報告中記錄下來，即是系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全案例的第四部分，參照5.1 技術(shù)安全報告對與安全完整性水準(zhǔn)的1到4來說是強制執(zhí)行的（參照安全完整性水準(zhǔn)的附錄A），然而這些信息的深度和做支持文獻的廣度，對于仔細(xì)檢查下的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)應(yīng)該是相吻合的，對于安全完整性水準(zhǔn)為0的請求是不在安全標(biāo)準(zhǔn)范圍之內(nèi)的。 技術(shù)安全報告應(yīng)該對技術(shù)原則做出解釋，這些技術(shù)原則確保了技術(shù)的安全性，包括所有支持的措施（如設(shè)計原理和計算，具體測試和結(jié)果及安全分析） 我們對技術(shù)安全報告做了如下標(biāo)題： 第一部分 概述 這部分將概述此設(shè)計，包括對安全所依賴的技術(shù)安全原理的概要，以及根據(jù)標(biāo)準(zhǔn)使系統(tǒng)/子系統(tǒng)/儀器設(shè)備安全內(nèi)容得到擴展。 這部分也將提到作為設(shè)計的技術(shù)安全基礎(chǔ)的標(biāo)準(zhǔn)（及他們的頒布）如果對已經(jīng)投入運行的或標(biāo)準(zhǔn)生產(chǎn)的或在發(fā)展的完成階段時的儀器設(shè)備進行變動或增加。作為一個例外，被用作原始設(shè)計標(biāo)準(zhǔn)的頒布可以作為一個基礎(chǔ)，這些已經(jīng)在原始設(shè)備的論證中被接受了，這些在以下情況下可能會得到應(yīng)用。即當(dāng)考慮到新標(biāo)準(zhǔn)的頒布實施可能要求對已經(jīng)存在設(shè)備的進一步改動或者可能招致變化所帶來的不合理的高費用時。以下將給出對于以上陳述的理由。 第二部分 確保正確的功能操作 根據(jù)特殊規(guī)定的操作和安全的要求，這一部分將演示在無故障的正常情況下（即不存在故障）對系統(tǒng)/子系統(tǒng)/儀器設(shè)備進行正確操作的必要措施。 包括以下方面，在B.2中有更詳細(xì)的說明 2.1 系統(tǒng)結(jié)構(gòu)的描述(參考B.2.1和表E.4) 2.2 相互交叉操作的定義(參考B.2.2) 2.3 系統(tǒng)需求的實施(參照B.2.3) 2.4 安全需求的實施(參照B.2.4) 2.5 確保正確的硬件功能(參照B.2.5) 2.6 確保正確的軟件功能(參照B.2.6) 第三部分 故障的影響 這部分將描述系統(tǒng)/子系統(tǒng)/儀器設(shè)備繼續(xù)滿足特定的安全需求。包括在隨機硬件故障下數(shù)量上能達到一定的安全目標(biāo)。 另外，盡管在5.2和5.3中規(guī)定了質(zhì)量和安全管理過程，但系統(tǒng)故障仍存在。這部分將描述采取一些技術(shù)措施使將來風(fēng)險降低到一個可接受的水準(zhǔn)。 這部分也將說明在安全完整性水準(zhǔn)低于整個系統(tǒng)的也包括水準(zhǔn)為0的任何一個系統(tǒng)/子系統(tǒng)/儀器設(shè)備產(chǎn)生的故障，將不會降低整個系統(tǒng)的安全性。 這部分將包括以下題目，B.3中有更詳細(xì)的需求描述。表E.5 表E.6中也有所提及。 3.1 單一故障的影響(參照B.3.1) 3.2 項目獨立性(參照B.3.2) 3.3 單一故障檢測(參照B.3.3) 3.4 檢測后應(yīng)采取的措施(參照B.3.4) 3.5 多個故障的影響(參照B.3.5) 3.6 防御系統(tǒng)故障(參照B.3.6) 第四部分 額外影響的操作 這部分將描述遇到在系統(tǒng)需求中所提到的額外影響時系統(tǒng)/子系統(tǒng)/儀器設(shè)備 1． 繼續(xù)履行它的具體操作需求 2． 繼續(xù)履行它的具體安全需求（包括存在故障情況下） 安全案例只有在額外影響的特定范圍內(nèi)是有效的，正如在系統(tǒng)需求中所定義的。在這些限定之外不能確保安全，除非實施額外的特殊措施用來支持特定的額外操作的方法將得到解釋和判定。 更詳細(xì)的信息可參照B.4 第五部分 有關(guān)安全的應(yīng)用條件 這部分將強調(diào)在系統(tǒng)/子系統(tǒng)/儀器設(shè)備的應(yīng)用中應(yīng)遵循的法則，條件和限定。這也包括一些相關(guān)的子系統(tǒng)和儀器設(shè)備的安全案例中所包含的應(yīng)用條件 更詳細(xì)的信息可參照B.5，同時在表E.10中也有所指導(dǎo) 第六部分 安全資格審查 這部分將演示在安全資格審查的操作條件下的一些成功的例子?？蓞⒄誃.6 技術(shù)安全結(jié)構(gòu)可參照圖7 5.5 安全接受和論證 這部分定義了與安全相關(guān)的電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全接受和論證部分。除了認(rèn)為是合適的地方，其他地方并沒有特殊強調(diào)應(yīng)該由誰在每個階段來做這項工作，因為它是隨著環(huán)境的變化而變化的。 5.5.1 概述 正如5.1所提到的。為了保證與安全相關(guān)的鐵路信號電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備安全所必須滿足的三個條件如下： 1. 質(zhì)量管理措施 2. 安全管理措施 3. 功能和技術(shù)安全措施 這三個條件已經(jīng)在5.2和5.3和5.4中提到 正如5.1和圖3所顯示的，安全案例中應(yīng)包括質(zhì)量管理措施，安全管理措施和功能技術(shù)安全措施 可以考慮安全案例的如下三種不同的分類： 1. 一般的產(chǎn)品安全案例（獨立應(yīng)用） 一般產(chǎn)品可用做各種不同的獨立應(yīng)用 2. 一般的應(yīng)用安全案例（應(yīng)用分類） 有相同功能的一般的應(yīng)用可以劃分為一類 3. 特殊的應(yīng)用安全案例（特殊應(yīng)用） 特殊的應(yīng)用只能用做一種特殊的裝置 有必要告訴大家的就是對于每一種特定的應(yīng)用，無論是環(huán)境的條件還是應(yīng)用的內(nèi)容與一般的應(yīng)用條件相兼容這一點是必要的（參照5.5.4） 在以上三種分類中，安全案例和獲得安全論證程序的結(jié)構(gòu)基本上是相同的。然而，對于特定的應(yīng)用也有附加因素：在這種分類中，對于系統(tǒng)的應(yīng)用設(shè)計和它的實際操作需要獨立的安全論證(例如：生產(chǎn)，安裝，測試和用于操作和維護的設(shè)施)，基于此，對于特定應(yīng)用的安全案例應(yīng)該分成以下兩部分： 1． 應(yīng)用設(shè)計安全案例：這包括特定應(yīng)用的理論設(shè)計的安全措施 2． 實際操作安全案例：這包括特定應(yīng)用的實際操作的安全措施 這兩部分結(jié)構(gòu)可見5.1和圖3 5.5.2 安全論證過程 在考慮安全論證的操作之前，應(yīng)該做出一份系統(tǒng)/子系統(tǒng)/儀器設(shè)備的獨立的安全評估報告和安全案例。這樣做是為了進一步確保能達到安全的必要水準(zhǔn)，且將結(jié)果記錄在安全評估報告中。這份報告應(yīng)該對安全評估員決定如何設(shè)計才能使系統(tǒng)/子系統(tǒng)/儀器設(shè)備（硬件和軟件）滿足特定要求的做法進行解釋，同時強調(diào)對系統(tǒng)/子系統(tǒng)/儀器設(shè)備的操作而言的一些附加條件。 像EN50126中所提到的安全評估的深度和對其操作的獨立性的限度都是基于風(fēng)險分類的結(jié)果之上的。 為了增加可信度，安全評估員可能要求進行特定的測試。 整個文檔的措施應(yīng)該包括： 1. 系統(tǒng)（子系統(tǒng)/儀器設(shè)備）需求； 2. 安全要求； 3. 安全案例 包括： 第一部分：系統(tǒng)/子系統(tǒng)/儀器設(shè)備的規(guī)定 第二部分：質(zhì)量管理報告（質(zhì)量管理措施） 第三部分：安全管理報告（安全管理措施） 第四部分：技術(shù)安全報告（功能/技術(shù)安全措施） 第五部分：相關(guān)的安全案例（如果可能的話） 第六部分：結(jié)論 4. 安全評估報告； 根據(jù)安全案例中提到的滿足安全接受的所有條件，并且依照獨立的安全評估結(jié)果。系統(tǒng)/子系統(tǒng)/儀器設(shè)備依法得到相關(guān)安全局的論證。安全評估人員對論證可能會強制執(zhí)行一些額外條件（暫時的或永久的） 對于一般性產(chǎn)品（即應(yīng)用的獨立性）和一般性應(yīng)用（即應(yīng)用的等級分類）被一個安全局同意的安全論證和可能被其他安全局所接受（即相互接受），當(dāng)然對于特定的應(yīng)用而言是不可能的。 圖8顯示了針對三種不同的安全案例的安全論證過程 5.5.3 安全論證完成之后 當(dāng)系統(tǒng)/子系統(tǒng)/儀器設(shè)備完成安全論證之后，我們應(yīng)該對接下來的任何改動都要加以控制，可以利用即將作為新的設(shè)計的相同的質(zhì)量管理，安全管理和功能/技術(shù)安全標(biāo)準(zhǔn)來對其加以控制。所有相關(guān)文檔包括安全案例，都應(yīng)該及時更新或由額外文檔來加以補充，并且提交這種改動的設(shè)計去論證。 一旦將完成的系統(tǒng)/子系統(tǒng)/儀器設(shè)備交付使用，那么在技術(shù)安全報告（安全案例的一部分）的第五部分和安全計劃中規(guī)定的正確的手續(xù)，支持系統(tǒng)和安全監(jiān)管就應(yīng)該使用，以確保在它的整個工作生命中的安全操作，這些操作包括運行，維護，變動，擴展和最終的停止使用，這些行為由原始設(shè)計所運用的同樣的質(zhì)量管理，安全管理和技術(shù)安全標(biāo)準(zhǔn)來控制。 包括安全案例在內(nèi)的所有相關(guān)文檔都應(yīng)該及時更新，并且把有變動或擴展的設(shè)計遞交上去加以論證。 5.5.4 安全論證之間的附屬地 在5.1中提到過，系統(tǒng)的安全案例依靠其他子系統(tǒng)或儀器設(shè)備的安全案例。在這種情況下，就是說如果沒有先前相關(guān)子系統(tǒng)/儀器設(shè)備的安全論證，就不會有主干系統(tǒng)的安全論證。 如果已經(jīng)完成對一般產(chǎn)品或一般應(yīng)用的安全論證，那么這將可能指導(dǎo)一種特定應(yīng)用的安全論證，沒有必要對每一種應(yīng)用都重復(fù)這種一般性的論證過程。圖9就顯示了這種安全論證之間的附屬地。 一種基于說明有目的的特定的應(yīng)用的安全案例是與那些特定安全論證的實施在技術(shù)上是等價的。對這種特定應(yīng)用有必要采取新的安全論證。 確保在附屬地的如下做法是必要的。即每一個安全案例的技術(shù)報告中提到的與安全相關(guān)的實施條件都要以高水準(zhǔn)的安全案例來完成，否則提前進入以高水準(zhǔn)的有安全應(yīng)用條件進行執(zhí)行。 附錄A 安全完整性水準(zhǔn) A.1 概述 附錄對安全要求，安全完整性和有關(guān)安全系統(tǒng)在鐵路中應(yīng)用的安全完整性水準(zhǔn)的起源，分配和執(zhí)行都作了詳細(xì)的描述。 對每種特定的鐵路應(yīng)用，以允許的安全目標(biāo)的形式出現(xiàn)的容許危險率是有關(guān)鐵路當(dāng)局的責(zé)任。該標(biāo)準(zhǔn)未對其進行定義。 EN50126中規(guī)定了安全管理過程 A.2 安全要求 以下兩部分提到了系統(tǒng)要求（或正確的子系統(tǒng)/儀器設(shè)備）(參照圖A.1): 1. 不涉及安全的要求（包括實際的功能要求）； 2. 涉及到安全的要求； 涉及到安全的要求我們常常稱之為安全要求，這些可能包括在獨立的安全的具體要求中。 我們把安全要求氛圍如下兩部分： 1. 安全功能要求； 2. 安全完整性要求； 安全功能要求實際上是系統(tǒng)/子系統(tǒng)/儀器設(shè)備的與安全相關(guān)的功能所要執(zhí)行的要求。 安全完整性要求定義了對每一種與安全相關(guān)的功能的安全完整性水準(zhǔn)。 A.3 安全完整性水準(zhǔn)(SIL) 關(guān)系到安全相關(guān)系統(tǒng)性能的安全完整性要能完成規(guī)定的安全功能。安全完整性越高，他行使規(guī)定的安全功能的不成功率就越低。安全完整性有兩部分構(gòu)成（參照圖A.1）： ——系統(tǒng)故障完整性 ——隨機故障完整性 要充分實現(xiàn)安全完整性，就必須滿足上述兩條件。 注：由環(huán)境條件（如：電磁兼容性 溫度 振動等）引起的故障包括系統(tǒng)故障完整性和隨機故障完整性。 系統(tǒng)故障完整性是安全完整性中不可量化的部分，并且它還關(guān)系到危險的系統(tǒng)錯誤（硬件或軟件），在系統(tǒng)\子系統(tǒng)\設(shè)備生命周期的各種狀態(tài)中，系統(tǒng)錯誤都是由人的錯誤引起的。例如: —規(guī)格說明錯誤 —設(shè)計錯誤 —制造錯誤 —安裝錯誤 —造作錯誤 —維修錯誤 —校正錯誤 系統(tǒng)故障完整性由質(zhì)量管理和安全管理條件完成，這些條件在5.2和5.3 的標(biāo)準(zhǔn)中有詳細(xì)說明。 防御系統(tǒng)錯誤技術(shù)包含在技術(shù)安全條件中，這些條件在5.4 的標(biāo)準(zhǔn)中有詳細(xì)說明。 因為不可能用定量的方法評估系統(tǒng)故障完整性，SIL應(yīng)用于成組方法，工具，和技巧，一旦被有效利用，就可認(rèn)為在實現(xiàn)一個已規(guī)定完整性標(biāo)準(zhǔn)的系統(tǒng)方面提供了適當(dāng)?shù)目煽慷龋▍⒖几戒汦）。 隨機故障完整性是安全完整性的一部分，關(guān)系到危險隨機錯誤，尤其是隨機硬件錯誤，這種錯誤是由硬件組成部分的有限可靠性引起的。 技術(shù)安全條件中隨機故障完整性的解決方案的標(biāo)準(zhǔn)具體在5.4中有說明。 利用概率分析，我們就可對隨機故障完整性進行量化評估。概率分析要以了解硬件組成部分的故障率和類型以及隨機硬件故障出現(xiàn)的次數(shù)為前提。盡管危險故障依然存在而且應(yīng)該按照5.4和B.3.6中的標(biāo)準(zhǔn)御防，但我們還是假設(shè)具有固有物理性能（參考附件C）的組件的危險故障概率為零。 安全完整性條件和安全標(biāo)準(zhǔn)的分配在A.4和A.5種分別敘述。 A.4 安全完整性要求的分配 考慮到信號系統(tǒng)的運行環(huán)境和建筑設(shè)計，鑒定鐵路信號裝備的安全完整性要求的一套方法即將系統(tǒng)化應(yīng)用。 這種方法的核心是明確界定了運行環(huán)境和信號系統(tǒng)的界限，從安全觀出發(fā)，這個界限是通過系統(tǒng)內(nèi)一系列危險和相關(guān)的容許危險率（THR）來定義的。我們注意到，這種方法的意圖不是限制了供應(yīng)方和鐵路局雙方的合作，而是劃清了責(zé)任和界面。 從這個界面出發(fā)分析步驟如下： 1. 至上而下的分析明確了危險和相關(guān)風(fēng)險可能產(chǎn)生的結(jié)果。 2. 至下而上的分析明確了產(chǎn)生危險的原因。 全部過程包括風(fēng)險分析和