英國標準.doc
《英國標準.doc》由會員分享,可在線閱讀,更多相關《英國標準.doc(69頁珍藏版)》請在裝配圖網(wǎng)上搜索。
英國標準 BS EN 50129:2003 鐵路應用- 通信、信號和過程控制系統(tǒng)- 信號的安全相關電子系統(tǒng) 國家前言 該英國標準是EN50129:2003的官方英文標準。它代替了被撤回的DD ENV50129:1999標準。 GEL/9技術委員會委托英國參與了它的準備,鐵路電子技術應用組織即GEL/9/1子委員會,信號和通信,職責是: -幫助調(diào)查人理解文章; -提出可靠的歐洲委員會的要求來分析或者提出改進意見,并保證英國的利益; -關注相關的國際和歐洲發(fā)展,并在英國發(fā)布它們; 一系列的組織給子委員會提出的意見可在它的秘書處獲得。 交叉的參考 本英國標準應用國際的或者歐洲的關于本文件的出版物,它可能在“國際標準相應的索引”部分的BSI目錄中找到,或者是使用BSI電子目錄的或者英國標準在線的“查找”工具。 它的出版并不意味著包括一個合同所有必要條款,英國標準的使用者有責任正確使用該標準。 依從一個歐洲標準并不是指本人免除法律責任。 總共的頁數(shù) 該文檔包括前封面,內(nèi)前封面,EN名稱頁,2到94頁和內(nèi)后封面和后封頁。 在文檔最終出版后,BSI的版權日期在文檔中指出。 出版后的修訂 修訂次數(shù) 日期 內(nèi)容 英文版本 鐵路應用- 通信、信號和過程控制系統(tǒng)- 信號的安全相關電子系統(tǒng) 這個歐洲標準在2000-11-01被CENELEC提出,CENELEC 的成員應該遵守CEN/CENELEC國際標準,它規(guī)定了該歐洲標準在無修改的情況下作為國際標準的一些情況。 最新的目錄和關于國際標準的相關參考數(shù)目可以在中心秘書處或者任何CENECEC的成員那里獲得。 這個歐洲標準有三個官方版本(英,法,德)。CENECEC的成員可將一種版本譯為他們的語言,并且通知中心秘書處,這樣有作為官方版本的同樣地位。 CENELEC 歐洲電工標準協(xié)會 前言 本歐洲標準由SC9XA準備,屬于技術委員會CENECEC TC 9X 鐵路電子和電子設備的通信,信號和處理系統(tǒng)。 屬于正式文件文本的草稿在2002-11-01作為EN50128由CENECEC提出。 這個歐洲標準取代了ENV50129:1998 這個歐洲標準是在CENELEC的授權下通過歐洲委員會和歐洲自由貿(mào)易組織、96/48/EC指示的本質(zhì)要求來準備的。 下面是確定的日期, -通過國際標準的出版或批注,這個標準作為國際標準來實施的最近日期 2003-12-01 -與這個標準沖突的國際標準排斥在外的最近日期 2005-11-01 標注“標準化”的附件是標準的一部分 標注“非標準”的附件僅供參考。 該標準中,附件A,B,C是標準化的,附件D,E是非標準化的 內(nèi)容 引言……………………………………………..…………………………………..5 1范圍…………………………………………………….…………………..…….7 2合乎規(guī)范的參考…………………………………..…….…….………………….7 3定義…………………………………………………………..…………………..8 3.1定義……………………………………………………..……………….……..9 3.2參考………………………………………………………...…………………..9 4標準的整體框架…………………………………………….….………………..11 5安全接受和承認的條件…………………………………...…..……….….……..12 5.1安全情形…………………………………………………………....……….…12 5.2質(zhì)量管理根據(jù)………………………………………………………………….12 5.3安全管理根據(jù)………………………………………………………………….12 5.4功能和技術安全根據(jù)………………………………………………………….12 5.5安全接受和承認……………………………………………………………….12 附件A(規(guī)范)安全完善度等級…………………………………………………13 A.1引言…………………………………………………………………………….13 A. 2安全要求………………………………………………………….………….13 A. 3安全完善度 A. 4安全完善度要求分配 A. 5安全完善度等級 附件B(規(guī)范)詳細的技術要求 B.1引言 B.2 正確的功能操作的保證 B.3錯誤的影響 B.4對外部影響的操作 B.5有關安全應用的條件 B.6安全質(zhì)量測試 附件C(規(guī)范)硬件組成錯誤模式的鑒定 C.1引言 C.2常規(guī)程序 C.3完整電路程序(包括微處理器) C.4固有的物理性質(zhì)組成程序 C.5有關組成錯誤模式的常規(guī)信息 C.6附帶的常規(guī)信息,有關固有物理性質(zhì)的組成 C.7有關固有物理性質(zhì)的組成的特殊信息 附件D(情報)補充技術信息………………………………………77 D.1引言…………………………………………………….…………77 D.2完成物理內(nèi)在獨立性…………………………………..…….…..77 D.3 完成物理外在獨立性……….. …..….…………………………..78 D.4單個錯誤分析方法的例子………………………….….………...79 D.5多個錯誤分析方法……………………………………………….80 附件E(情報)為系統(tǒng)錯誤和控制隨機及系統(tǒng)錯誤,為與安全相關的電子系統(tǒng)傳輸信號制定了技巧和方法………………………………………………85 參考書目………………………………………………………………94 1 CENELEC鐵路應用標準的主要范圍…………………………..8 2 EN50129的結構…………………………………………………..15 3 安全事例結構……………………………………………………..17 4 系統(tǒng)生命周期舉例………………………………………………..19 5 設計和系統(tǒng)生命周期有效部分舉例………………………………21 6 獨立性排列…………………………………………………………22 7 技術安全報告結構…………………………………………………26 8 安全性承諾和安全性批準過程]…………………………………...28 9 安全性事例/安全性批準間獨立性舉例……………………………29 A1安全要求和安全完整性…………………………………………….30 A 2 全部過程回顧………………………………………………………32 A 3 風險分析過程舉例…………………………………………………33 A 4 有關系統(tǒng)界限危險的定義…………………………………………34 A5 危險控制過程舉例………………………………………………….36 A 6 解釋故障和補救次數(shù)………………………………………………37 A 7 由FTA處理的功能獨立性………………………………………...38 A 8 安全完整性水準和技巧間的關系…………………………………40 B.1 影響項目獨立性的因素……………………………………………46 B.2 檢測和否定單個錯誤………………………………………………49 D.1 錯誤分析方法舉例…………………………………………………81 A1 安全完整性水準表………………………………………………….41 表C.1 電阻器………………………………………………………………61 表C.2電容器……………………………………………………………….62 表C.3電磁組件…………………………………………………………….63 表C.4二極管……………………………………………………………….66 表C.5晶體管……………………………………………………………….67 表C.6控制整流器………………………………………………………….69 表C.7過負荷干擾抑制器………………………………………………….71 表C.8光電子組件………………………………………………………….72 表C.9過濾器……………………………………………………………….73 表C.10內(nèi)部組件…………………………………………………………..74 表C.11-保險………………………………………………………………75 表C.12-開關和按鈕………………………………………………………75 表C.13-電燈………………………………………………………………75 表C.14-電池………………………………………………………………75 表C.15-變送器/傳感器(不包括內(nèi)部電路)……………………………76 表C.16-集成電路…………………………………………………………76 表D.1-在大規(guī)模集成電路通過周期性在線測試的手段來檢測故障的 措施的例子…………………………………………………………………82 表E.1-安全計劃和主動的質(zhì)量保證…………………………………….86 表E.2-系統(tǒng)要求的技術規(guī)格………………………………………………87 表E.3-安全組織……………………………………………………………87 表E.4-系統(tǒng)/子系統(tǒng)/設備的建構…………………………………………88 表E.5-設計特色……………………………………………………………89 表E.6-故障和危險分析的方法……………………………………………90 表E.7-系統(tǒng)/子系統(tǒng)/設備的設計和研發(fā)…………………………………91 表E.8-設計的階段性文檔…………………………………………………91 表E.9-系統(tǒng)和產(chǎn)品設計的鑒定和確認……………………………………92 表E.10-應用,運行和維護…………………………………………………93 前言 本標準是鐵路信號領域內(nèi)定義電子安全系統(tǒng)認可和支持要求的第一個歐洲標準。目前,國際上存在的語詞有關的只有國際鐵路聯(lián)合組織(UIC)提出的整體建議和一些國家提出的互不相同的建議。 針對信號的電子安全系統(tǒng)包括硬件和軟件兩部分。要安裝完整的安全系統(tǒng),必需考慮系統(tǒng)整個生命周期中的兩個部分,即對硬件安全的要求和在標準上對整個系統(tǒng)定義的要求,期于要求在CENELEC標準上有要求。 歐洲鐵路機構和歐洲鐵路工業(yè)在發(fā)展一種基于一般標準并能夠相互兼容的鐵路系統(tǒng)。因此,對于系統(tǒng)安全支持方面和不同國家鐵路機構要求方面橫向認可是必須的。此文件就電子系統(tǒng)在鐵路信號方面安全認可與支持的歐洲通用的基礎。 橫向認可的目的在于一般的支持,不是特殊的應用。當它成為一個EN時公眾在有關鐵路信號電子安全系統(tǒng)的歐洲攝取內(nèi)的獲得將會關系到這個標準。 本標準包括主要部分(第一章到第五章)和附錄A,B,C,D,E。在此標準中主要部分和附錄A,B,C中定義的要求是規(guī)范的,而附錄D和E是非正式的。 本標準和EN50126(鐵路裝置RAMS)中相關的章節(jié)有關聯(lián)。本標準和EN50126都是基于系統(tǒng)的生命周期和EN61508—1。在涉及到鐵路通信信號和外部系統(tǒng)時,EN61508—1被EN50126/ EN50128/ EN50129取代了。買組這些標準的要求將來遵守未評價的EN61508—1是足夠的。 因為標準是關于安全系統(tǒng)的支持所顯示出來的現(xiàn)象,所以它使生命周期的行為特殊化,這些行為需要在認可階段之前完成,隨之而來的是額外的計劃行為。對整個生命周期的安全檢測就是這樣被要求的。 本標準是關于顯現(xiàn)出來的現(xiàn)象,除了認為是合適的地方,它沒有規(guī)定誰將執(zhí)行必須的工作,因為這在不同環(huán)境下是不相同的。 EN50128定義了包括可編程電子器件和軟件附加條件的安全系統(tǒng)。 EN50159—1和EN50159—2定義了對安全數(shù)據(jù)通信的額外要求。 1 范圍 本標準適用與鐵路信號設備上用的電子安全系統(tǒng)(包括子系統(tǒng)和設備)。圖1表示了本標準的范圍和它與其他CENELEC標準的關系。 本標準適用與所有的鐵路信號安全系統(tǒng)、子系統(tǒng)及設備。然而,EN50126中定義的事故分析和危險估計程序和本標準對于所有的鐵路信號系統(tǒng)、子系統(tǒng)及設備是必須的安全要求。 如果分析結果顯示 沒有安全要求(例如:這種情況下是不安全的),并且結論沒有修改行為后來變化的結果,本安全標準就會停止使用。 分類、設計、建設、安裝、認可、操作、維護和修改及擴展等功能也適用與完整系統(tǒng)中的個人子系統(tǒng)和設備。附錄C包含了和電子硬件部分相關的程序。 本標準又適用與一般的子系統(tǒng)和設備(獨立的使用和某種特殊的使用),也可在系統(tǒng)、子系統(tǒng)、設備上有特殊的使用。 本標準不適用與現(xiàn)存的系統(tǒng)、子系統(tǒng)和設備(例如在本標準之前已經(jīng)被接受的系統(tǒng)、子系統(tǒng)和設備)然而,只要合乎實驗性,本標準也被用來修改或擴展現(xiàn)存的系統(tǒng)、子系統(tǒng)和設備。 本標準主要用于鐵路信號傳輸設備的專門設計和加工的系統(tǒng)、子系統(tǒng)及設備。作為信號傳輸安全系統(tǒng)的一部分,如果現(xiàn)實允許,也可被用于真體的構思或一些工業(yè)設備(如:能源的供應、調(diào)配等)。即使在最小限度時,可根據(jù)顯示,設備或者依賴于安全或者依賴于與安全相關的這些功能。 本標準適用于鐵路信號傳輸系統(tǒng)功能上的安全。它不是處理個人的職業(yè)上的健康和安全,這一課題在其他的標準上有說明。 2 參考標準 歐洲標準參考了其他出版物里的更新后未更新的部分。這些標準參考在本文適當?shù)牡胤奖粦?,下面列出了被參考的出版物。對于更新過的參考,后來的修訂當需要的時候也被歐洲標準引用。沒有更新過的參考,出版物最新的版本有所提及(包括修改的部分)。 注意:附加的非正式的參考在目錄里。 EN50121系列 鐵路應用——電磁兼容 EN50124—1 鐵路應用——絕緣調(diào)配——第一部分:電力電子設備絕緣的基本需求。 EN50124—2 鐵路應用——絕緣調(diào)配——第二部分:過電壓及其先觀保護。 EN50125—1 鐵路應用——環(huán)境需求——第一部分:board rolling stock上的設備。 EN50125—3 鐵路應用——環(huán)境需求——第三部分:信號傳輸與通信設備。 EN 50126 鐵路應用——可靠性、可用性、可維護性和安全性(RAMS)規(guī)范和說明。 EN 50128 鐵路應用——通信、用于鐵路控制和系統(tǒng)保護的信號處理系統(tǒng) EN 50155 鐵路應用——電氣設備在rolling stock上的應用。 EN 50159—1 鐵路應用——通信、信號處理系統(tǒng)——第一部分:在閉環(huán)傳輸系統(tǒng)中與安全相關的通信 EN 50159—2 鐵路應用——通信、信號處理系統(tǒng)——第二部分:在開環(huán)傳輸系統(tǒng)中與安全相關的通信 EN 61508—1 電氣、電子、可編程的安全電氣設備系統(tǒng)——第一部分:主要需求(IEC61508) IEC 60664 系列 在低電壓系統(tǒng)的絕緣調(diào)配。 3 定義和縮略詞 3.1 定義 在本標準中下面的定義將被用到。 3.1.1 故障 導致死亡、受傷、系統(tǒng)或設備損失或者破壞環(huán)境的無意中的故障或一系列故障。 3.1.2評估 分析設計部門和產(chǎn)業(yè)部門生產(chǎn)的產(chǎn)品是否滿足規(guī)定的要求,并形成一套判別產(chǎn)品是否按其預定功能進行工作,這個過程稱為評估。 3.1.3 授權書 按規(guī)定使用產(chǎn)品的正式許諾。 3.1.4 可用性 一個產(chǎn)品在給定一段時間,在一定條件下按要求實現(xiàn)功能的能力,以及在所需求的外部資源被提供的前提下,其在給定的一段時間執(zhí)行的能力。 3.1.5 可能 可能發(fā)生的。 3.1.6 偶然性分析 分析一種專門的危害存在的原因。 3.1.7 普通—偶然故障 一些具有獨立功能的設備失效。 3.1.8 結果分析 分析在一個危害發(fā)生后,可能出現(xiàn)的情況。 3.1.9 圖表 表明硬件的結構和相互聯(lián)系以及系統(tǒng)軟件的功能。 3.1.10橫向認可 一個產(chǎn)品被一個權威乃至相關歐洲標準認可并且被最高權威認可,這樣一種程度 3.1.11設計 這是一種為了將規(guī)定需求通過分析和轉換,使其滿足可靠性要求的設計方法。 3.1.12設計權威 此體系負責開發(fā)一套設計方法的公式去執(zhí)行規(guī)定的需求并遇見隨后的發(fā)展,使一個系統(tǒng)在預定的環(huán)境中工作 3.1.13發(fā)送 這是一種用多種互不相同的方法來實現(xiàn)全部或部分特殊要求的方式 3.1.14設備 起作用的物理裝置 3.1.15誤差 與預先設計結果相偏離,并會導致系統(tǒng)發(fā)生副作用或失效。 3.1.16失效—安全 這個概念是包含在一個產(chǎn)品的設計當中,如產(chǎn)品看似處于安全狀態(tài),但實際上已經(jīng)失效了。 3.1.17 失效 偏離系統(tǒng)規(guī)定的行為,是系統(tǒng)錯誤或誤差導致的結果。 3.1.18 錯誤 一種非常規(guī)導致系統(tǒng)失效的條件,一個錯誤是隨即的或有規(guī)律發(fā)生的。 3.1.19 錯誤發(fā)現(xiàn)時間 從錯誤發(fā)生的一瞬間到被發(fā)現(xiàn)為止的異端時間 3.1.20 功能 一個產(chǎn)品執(zhí)行其規(guī)程的行為模型 3.1.21 危害 導致事故的情況 3.1.22 危害分析 堅定危害分析及其產(chǎn)生原因,以及違反法制危害可能發(fā)生的要求和在一定程度上危害所造成的后果 3.1.23 危害記錄 一個包含所有安全管理活動、危害堅定、決策生成的文檔,用于存檔和參考 3.1.24 認為錯誤 導致系統(tǒng)發(fā)生副作用的人的行為(失誤) 3.1.25 執(zhí)行 為了將規(guī)定的設計轉化為物理的實現(xiàn)而進行的活動 3.1.26 獨立(功能) 由于機械具有的多功能而影響到正確操作,從而導致系統(tǒng)故障或突發(fā)故障的機械裝置中寄托出來。 3.1.27 獨立(人工) 從需要相同智力、商業(yè)或管理試題中解脫出來。 3.1.28 獨立(物理) 從由于多功能而影響正確 操作幾導致系統(tǒng)、副系統(tǒng)、設備發(fā)生突發(fā)故障的機械裝置中解脫出來。 3.1.29 個體風險 一個僅僅有關獨立個體的風險。 3.1.30 維護性 對于給定一種積極的維護行為,其在給頂使用條件的項目中的可行性,可以在相關條件和使用相關程序和資源的間隙中進行。 3.1.31 維護 所有技術和管理行為的綜合,包括監(jiān)督行為,企圖保持一個項目或將其存儲,是一種可以表現(xiàn)其需求功能的狀態(tài)。 3.1.32 可行性 可執(zhí)行性。 3.1.33 負面性 當發(fā)現(xiàn)一個危險的錯誤而破壞安全的狀態(tài)。 3.1.34 負面時間 從一個危險錯誤的發(fā)生到結束,整個安全狀態(tài)被破壞的時間跨度。 3.1.35 生產(chǎn) 與形成滿足規(guī)定需求的一種方法相互關聯(lián)的元件組裝。 3.1.36 質(zhì)量 使用者對于一個產(chǎn)品屬性的看法。 3.1.37 鐵路權威 通過安全操作鐵路系統(tǒng)而形成的完整的安全權威體系。 3.1.38 突發(fā)故障強度 一個系統(tǒng)能承受危險的突發(fā)故障的限度。 3.1.39 突發(fā)故障 無法預見發(fā)生的故障。 3.1.40 可靠性 提供一種或多種通常是相同的措施,來提供對故障的承受。 3.1.41可靠性 一套裝置在給定條件下和規(guī)定時間內(nèi)執(zhí)行特定功能的能力。 3.1.42 修理 將系統(tǒng)、副系統(tǒng)及設備在失效后恢復即定狀態(tài)的重建方法。 3.1.43 風險 發(fā)生特定危害的頻率、可能性及后果的集合體。 3.1.44 安全狀態(tài) 一種持續(xù)安全的狀態(tài)。 3.1.45 安全度 不發(fā)生一定程度上的重大風險。 3.1.46 安全度認可 最后一個使用者對產(chǎn)品安全狀態(tài)的認可 3.1.47安全度規(guī)定 當產(chǎn)品已經(jīng)執(zhí)行一系列先決條件后必須對安全狀態(tài)進行權威認定。 3.1.48 安全度權威 負責對與系統(tǒng)相關的安全操作發(fā)表授權。 3.1.49 安全庫 報名產(chǎn)品遵從規(guī)定安全需要的文檔。 3.1.50 安全度 在運行的各個階段各種操作環(huán)境及所有的狀態(tài)條件下,安全相關系 統(tǒng)達到安全功能的能力。 3.1.51安全度標準 在考慮系統(tǒng)錯誤的前提下,一個表明系統(tǒng)自我滿足規(guī)定安全功能的數(shù)字。 3.1.52 安全度生命周期 對于安全有關的系統(tǒng)的生命周期中執(zhí)行的一系列動作 3.1.53 安全度管理 確保過程被安全執(zhí)行的結構。 3.1.54 安全計劃 如何達到工程的安全需求的執(zhí)行細節(jié)。 3.1.55 安全流程 對于一個產(chǎn)品所有安全要求進行鑒定和滿足的一系列步驟。 3.1.56 相關安全度 對安全度負責。 3.1.57 命令 強制執(zhí)行的。 3.1.58 建議 被提議的。 3.1.59 信號系統(tǒng) 由于鐵路控制和保護火車正確運行的專門的一類系統(tǒng)。 3.1.60 壓力承受 當一個產(chǎn)品執(zhí)行特定功能時所承受的大量外部影響的程度。 3.1.61 副系統(tǒng) 系統(tǒng)中執(zhí)行特殊功能的一部分。 3.1.62 系統(tǒng) 通過設計,使一系列副系統(tǒng)相互作用而組成的。 3.1.63系統(tǒng)失效度 系統(tǒng)從危害性誤差和原因中恢復的能力。 3.1.64系統(tǒng)錯誤 對于一個系統(tǒng),在規(guī)范、設計、組構、安裝、執(zhí)行或維護中內(nèi)部發(fā)生的錯誤。 3.1.65系統(tǒng)生命周期 從一個系統(tǒng)開始構造到該系統(tǒng)失效這段時期內(nèi)進行的一系列活動。 3.1.66 技術安全報告 對系統(tǒng)、副系統(tǒng)及設備設計的安全進行論證的報告。 3.1.67 有效性 一系列通過測試和分析來表明產(chǎn)品滿足各方面安全規(guī)范的行為。 3.1.68 鑒定 一種通過分析和測試,在系統(tǒng)生命周期的每一個階段,對所分析和測試的階段滿足前一階段的輸出,和該階段按規(guī)定輸出進行堅定的行為。 3.2 縮略詞 下面是該標準中用到的縮略詞: 3.2.1 AC 交流電 3.2.2 ATP 列車自動保護 3.2.3 CENELEC 歐洲電氣標準委員會 3.2.4 CCF 常見故障原因 3.2.5 DC 直流電 3.2.6 EMC 電磁相容性 3.2.7 EMI 電磁干擾 3.2.8 EN 歐洲標準 3.2.9 ESD 靜電釋放 3.2.10 FET 場效應管 3.2.11 FMEA 故障建模和分析 3.2.12 FR 故障率 3.2.13 FTA 故障樹分析 3.2.14 H 危害 3.2.15 HW 硬件 3.2.16 IEC 國際電工技術委員會 3.2.17 IRSE 鐵路信號工程機構 3.2.18 ISO 國際標準組織 3.2.19 RAMS 可靠性、可行性、維護性和安全性 3.2.20 SCR 可控硅校驗器 3.2.21 SDR 安全下降率 3.2.22 SDT 安全下降時間 3.2.23 SIL 安全度標準 3.2.24 SW 軟件 3.2.25 THR 危害可承受度 3.2.26 UIC 國際鐵路聯(lián)盟 3.2.27 VDR 電壓電阻器 4 該標準所有框架 歐洲標準中第五條款要求采用一個有規(guī)律的、有文擋的 -質(zhì)量管理記錄 -安全管理記錄 -功能和技術安全記錄 -規(guī)定安全度 附錄A 定義安全度標準的使用和結實。 附錄B 包含安全相關 的系統(tǒng)、副系統(tǒng)及設備的技術細節(jié)要求。 附錄C 包含堅定可修復硬件故障的步驟和信息的方法。 附錄D 包含附加的技術信息。 附錄E 包含用于安全度各個標準的技術、方法目錄。 目錄 包含在執(zhí)行著套標準期間所需查詢文檔的說明。 5 為保證安全所允許的條件 5.1 安全情況 該標準定義的條件應滿足為保證與安全有關的電氣鐵路系統(tǒng)、副系統(tǒng)及設備按其預期目的可以被足夠安全的應用。 在該標準中有關的部分是以.下三個標題為基礎的,分別稱為: -5.2質(zhì)量管理記錄 -5.3安全管理記錄 -5.4功能和技術安全記錄 在與安全有關的系統(tǒng)可以足夠安全的被使用之前,所有這些條件都應達到系統(tǒng)、副系統(tǒng)及設備要求的水平。 已經(jīng)與這些條件相符合的文檔記錄應當被包含進一個安全堅定文檔,即安全庫。安全庫組成所有遵從相關安全權威的文檔記錄的一個部分,為了得到一個一般產(chǎn)品,一組應用或一個特殊應用的安全要求規(guī)范。對于安全規(guī)范過程的解釋,見該標準的5.5部分。 安全庫包含系統(tǒng)、副系統(tǒng)及設備的安全文檔記錄,可以分為如下結構: 第一部分 系統(tǒng)(或副系統(tǒng)及設備)定義 應明確定義或表明安全庫所指的系統(tǒng)、副系統(tǒng)及設備,包括類型編號、所有需求的修改權限、設計和應用性的文檔。 第二部分 質(zhì)量管理報告 該部分包括質(zhì)量管理記錄,如該標準中5.2部分提到的 第三部分 安全管理報告 該部分包括安全管理記錄,如該標準中5.3部分提到的 第四部分 技術安全報告 該部分包括功能和技術安全的記錄,如該標準中5.4部分提到的 第五部分 相關安全庫 該部分包括與安全庫所依靠的所有副系統(tǒng)及設備有關的安全庫 同時應該表明所有與安全有關的應用條件都應規(guī)定每一個相關的副系統(tǒng)及設備的安全庫要么是在主安全庫中執(zhí)行,要么在主安全庫中與安全庫有關的應用條件下執(zhí)行。 第六部分 結論 該部分應簡要概括在安全庫先前部分的記錄,并討論相關系統(tǒng)、副系統(tǒng)及設備是否足夠的安全,是否遵從專業(yè)的應用條件。 安全庫的結構用圖表3說明。 明確規(guī)定大量細節(jié)的記錄和輔助類文檔不需要包含進安全庫和它的子庫,也不需要提供明確的用于此類文檔的解釋,同時也不需要提供基本概念的應用和所采用的途徑。 5.2 質(zhì)量管理記錄 安全規(guī)范的第一個條件就是系統(tǒng)、副系統(tǒng)及設備的質(zhì)量應得到保證,并且還應在其整個生命周期中被一套有效的質(zhì)量管理系統(tǒng)控制。文檔記錄是該要求在質(zhì)量管理報告中的表現(xiàn),它形成了安全庫中的第二個部分。 質(zhì)量管理系統(tǒng)目的是使在系統(tǒng)生命周期的每個階段的人為故障最小化,同時也減小系統(tǒng)、副系統(tǒng)及設備中系統(tǒng)故障的發(fā)生。 質(zhì)量管理系統(tǒng)應當在系統(tǒng)、副系統(tǒng)及設備整個生命周期中應用,如定義的EN50126。 一個系統(tǒng)生命周期的例子(在EN50126標準下),由該標準的圖表4描述 EN50129:2003 注釋:下面是一個有關質(zhì)量管理體系和質(zhì)量管理報告所包括的幾個方面的例子。 ——組織的結構 ——質(zhì)量計劃和步驟 ——需求說明書 ——控制設計 ——檢查和復查設計 ——工程應用 ——采購和制造 ——產(chǎn)品鑒定和跟蹤 ——管理和存儲 ——檢查 ——不一致性和正確的行動 ——包裝和發(fā)送 ——安裝和授權 ——操作和維護 ——質(zhì)量管理和售后服務 ——文檔和記錄 ——配置的管理或更改控制 ——操縱指導 ——質(zhì)量審計和使用情況調(diào)查 ——運行狀況 遵從質(zhì)量管理的要求是保證1到4完全安全水平所必需的(見兼并A中對完全安全水平的解釋)。然而,記錄的深度和輔助類文檔的擴展應適應系統(tǒng)、副系統(tǒng)及設備的完全安全水平(見表格E.1和表格E.8中對每個完全安全水平所需記錄的結實)。完全安全0水平(不安全)的要求不在該安全標準所探索的范圍。 5.3 安全管理措施 5.3.1 概述 為了保證安全相關的鐵路信號電子系統(tǒng)/子系統(tǒng)/設備安全所必須滿足的條件之二是安全管理措施,他應該與EN50126中所到的可靠性、可用性、可維護性和安全性的管理過程相一致,目的是進一步減少和安全相關的認為失誤。進而減少系統(tǒng)故障風險。下面5.3.2到5.3.13就簡要的介紹了安全管理過程因素。 在安全管理報告中將提到有關安全管理過程中的各素都遵從生命周期概念的書面證據(jù),即是安全案例的第三部分,這其中不包含大量的詳細的證據(jù)和提供的文獻,只是一些簡單的索引。 安全管理措施的運用對于安全完整性水準的1到4來說是強制性的。(參考安全完整性水準的解釋附錄A)然而,所提供的證據(jù)的深度和所支持文獻的廣度對于安全的系統(tǒng)/子系統(tǒng)/儀器設備的安全完整性水準來說應該是合適的。安全完整性水準為0的(認為不安全)是不符合安全標準的。 為了證實安全完整性所提到的標準對每一種特殊的情形都是適用的。那么在EN50126中定義的危害分析和風險評估過程都是必要的。這也包括那些分析和評估認為安全完整性水準認為是0的情況。然而,一旦得出這樣的結論,(也就是說這種情況是不安全的),那么,這種安全標準就不再適用。 5.3.2 安全的生命周期 這種安全管理過程包括很多階段和行為,因此形成了安全生命周期。這應該與EN50126 中提到的系統(tǒng)生命周期相一致,即是圖4所顯示標準的一種復制。系統(tǒng)生命周期的設計和有效性部分可以看作是“頂部——底部”和“底部——頂部”兩個階段。(也就是V形)如圖5所示。 5.3.3 安全機構 安全管理過程應該在安全機構的有效指導下執(zhí)行。安全機構應該任用那些被指任為扮演特殊角色的有能力的人來組成。對這些人進行包括技術知識,認證,相關經(jīng)驗和正確的訓練的能力的評估和記錄應該根據(jù)大意公認的標準來執(zhí)行。對于所有安全完整性水準的所要求的安全機構知道下的不同角色之間應該有一個相互獨立的度,正如圖6和表E.3所示。 5.3.4 安全計劃 在生命周期的開始應該指定一個安全計劃,這個計劃應該體現(xiàn)整個生命周期安全管理的結構,安全相關的活動和論證的轉折點。還包括每隔一定間隔進行安全計劃復查的要求。如果對原始系統(tǒng)/子系統(tǒng)/儀器設備進行一系列的改動或增加的話,我們就應該及時更新或復查安全計劃。如果有類似這樣的變動,那么在生命周期的恰當?shù)奈恢脤ψ儎铀鸬陌ㄓ布蛙浖踩矫娴挠绊懢蛻摫恢匦略u估。 參照表E.1?對于每一個安全完整性水準安全計劃所作的指導 安全計劃應該處理系統(tǒng)/子系統(tǒng)/儀器設備的各個方面,包括硬件和軟件。對于軟件的各個方面問題在EN50128中已經(jīng)論述過。安全計劃應該包括安全案例計劃,他將體現(xiàn)最終安全案例的預期結構和重要內(nèi)容。 5.3.5 危害日志 在整個生命周期過程中應該創(chuàng)建并維護一個危害日志,正如在EN50126所解釋的,它應該包括一系列公認的危害,還有對于每一種危害的風險分類和風險控制信息,如果對系統(tǒng),子系統(tǒng)或儀器設備有任何修改和變動,危害日志都應該被升級。 5.3.6 安全要求 對每一種系統(tǒng)/子系統(tǒng)/儀器設備的特定的安全要求包括功能安全要求和安全完整性要求,這些要求應該在安全具體方面里面明確標識和記錄,可以通過EN50126中提到的這幾個方面完成: 1. 危害標識和分析 2. 風險評估和分類 3. 安全完整性水準的分配 附錄A中包括了一些鐵路電子系統(tǒng)的安全完整水準的信息。 注:安全要求可能包括在系統(tǒng)/子系統(tǒng)/儀器設備功能要求中或可以被寫作為獨立的文檔,參照表E.2對與每一條安全完整性水準在系統(tǒng)需求方面的指導。 5.3.7 系統(tǒng)/子系統(tǒng)/儀器設備的設計 生命周期的這一階段應該做這樣一種設計,此設計將完成特定的操作和安全要求,我們將運用頂部——底部的這樣的一套方法且有嚴格的控制和復查文檔。特定情況下,通過軟件需求和軟件/硬件整合而再現(xiàn)的軟硬件之間的關系應該得到嚴格的管理。標準EN50128中也有所提及。表E.7給出了對每一種安全完整性水準來說系統(tǒng)/子系統(tǒng)/儀器設備在設計和進展方面的指導。 5.3.8 安全復查 在生命周期的適當階段應該做一下安全復查,這些復查應該在安全計劃中明確規(guī)定,在復查同時要記錄結果,如果對系統(tǒng),子系統(tǒng)或器設備有任何改動或擴展,那么我們都應該對其進行復查。 5.3.9 安全核對和證實 安全計劃應該包括或索引一些這樣的計劃,他們能核對生命周期的每一個階段都能滿足在先前那些階段中提到的具體的一些安全要求,并且能證實已經(jīng)完趁個的系統(tǒng)/子系統(tǒng)/儀器設備是與原始的安全性的具體要求相對應的。 我們應該去完成這些步驟并且將其結果做一詳細記錄,包括正確的測試和安全分析,在接下來的而已系列的對系統(tǒng)/子系統(tǒng)/儀器設備的變動和增加中應該正確的重復以上操作。 對核對人和確認人來說,獨立的必要性的度應該與仔細檢查下的系統(tǒng)/子系統(tǒng)/儀器設備的安全完整性水準相一致,可以參照圖6和表9,對于每一種安全完整性水準的核對和證實的技術/方法的指導。 依照安全局的見解,評估員應該是供應方組織或是顧客組織的成員,但在這些情況下,評估員應該是 1. 經(jīng)安全局授權的 2. 從項目團隊中完全獨立出來的 3. 與安全局完全溝通的 5.3.10 安全判斷 使得系統(tǒng)/子系統(tǒng)/儀器設備滿足安全接受所規(guī)定的條件的措施應該以一安全案例的形式出現(xiàn)在結構完整的安全判斷文擋中,參照5.1中所解釋的。 5.3.11 系統(tǒng)/子系統(tǒng)/儀器設備的移交 在將系統(tǒng)/子系統(tǒng)/儀器設備移交給鐵路當局之前,應該滿足5.5中規(guī)定的安全接受和安全論證條件,并且同時遞交安全案例和安全評估報告。 5.3.12 運行和維護 隨著移交的進行,我們還應該附加安全計劃和技術安全報告(安全案例的一部分)的第五部分所規(guī)定的手續(xù),支持系統(tǒng)和安全監(jiān)管。在系統(tǒng)運行的過程中,人們可能會提出各種理由而要求對系統(tǒng)做出改動。當然這些理由不一定安全,我們必須通過索引一些安全文檔的相關部分來評估一下這些要求改變的請求對安全方面的影響。當這些要求改變的請求會引起一些變動,并且這些變動又將影響此系統(tǒng)或相關系統(tǒng)或周圍環(huán)境的安全時,我們應該運用安全生命周期的正確部分以確保所實施的改變可以降低安全水準。 參照表E.10對每一種安全完整性水準在應用,運行和維護方面的指導。 5.3.13 停用設備并加以處理 在系統(tǒng)運行周期的最后階段,我們必須停止使用該設備并且進行最后的清理,這些操作必須與安全計劃和技術安全報告(安全案例的一部分)的第五部分所規(guī)定的操作相一致。 5.4 功能和技術措施 除了滿足5.2和5.3中提到的質(zhì)量和安全管理的措施之外,要使系統(tǒng)/子系統(tǒng)/儀器設備的預期應用能被安全的接受,那么還要滿足這第三個條件,也就是功能和技術安全措施,這其中包括為了滿足設計的安全要求所提到的技術措施,這一措施應該在安全技術報告中記錄下來,即是系統(tǒng)/子系統(tǒng)/儀器設備的安全案例的第四部分,參照5.1 技術安全報告對與安全完整性水準的1到4來說是強制執(zhí)行的(參照安全完整性水準的附錄A),然而這些信息的深度和做支持文獻的廣度,對于仔細檢查下的系統(tǒng)/子系統(tǒng)/儀器設備的安全完整性水準應該是相吻合的,對于安全完整性水準為0的請求是不在安全標準范圍之內(nèi)的。 技術安全報告應該對技術原則做出解釋,這些技術原則確保了技術的安全性,包括所有支持的措施(如設計原理和計算,具體測試和結果及安全分析) 我們對技術安全報告做了如下標題: 第一部分 概述 這部分將概述此設計,包括對安全所依賴的技術安全原理的概要,以及根據(jù)標準使系統(tǒng)/子系統(tǒng)/儀器設備安全內(nèi)容得到擴展。 這部分也將提到作為設計的技術安全基礎的標準(及他們的頒布)如果對已經(jīng)投入運行的或標準生產(chǎn)的或在發(fā)展的完成階段時的儀器設備進行變動或增加。作為一個例外,被用作原始設計標準的頒布可以作為一個基礎,這些已經(jīng)在原始設備的論證中被接受了,這些在以下情況下可能會得到應用。即當考慮到新標準的頒布實施可能要求對已經(jīng)存在設備的進一步改動或者可能招致變化所帶來的不合理的高費用時。以下將給出對于以上陳述的理由。 第二部分 確保正確的功能操作 根據(jù)特殊規(guī)定的操作和安全的要求,這一部分將演示在無故障的正常情況下(即不存在故障)對系統(tǒng)/子系統(tǒng)/儀器設備進行正確操作的必要措施。 包括以下方面,在B.2中有更詳細的說明 2.1 系統(tǒng)結構的描述(參考B.2.1和表E.4) 2.2 相互交叉操作的定義(參考B.2.2) 2.3 系統(tǒng)需求的實施(參照B.2.3) 2.4 安全需求的實施(參照B.2.4) 2.5 確保正確的硬件功能(參照B.2.5) 2.6 確保正確的軟件功能(參照B.2.6) 第三部分 故障的影響 這部分將描述系統(tǒng)/子系統(tǒng)/儀器設備繼續(xù)滿足特定的安全需求。包括在隨機硬件故障下數(shù)量上能達到一定的安全目標。 另外,盡管在5.2和5.3中規(guī)定了質(zhì)量和安全管理過程,但系統(tǒng)故障仍存在。這部分將描述采取一些技術措施使將來風險降低到一個可接受的水準。 這部分也將說明在安全完整性水準低于整個系統(tǒng)的也包括水準為0的任何一個系統(tǒng)/子系統(tǒng)/儀器設備產(chǎn)生的故障,將不會降低整個系統(tǒng)的安全性。 這部分將包括以下題目,B.3中有更詳細的需求描述。表E.5 表E.6中也有所提及。 3.1 單一故障的影響(參照B.3.1) 3.2 項目獨立性(參照B.3.2) 3.3 單一故障檢測(參照B.3.3) 3.4 檢測后應采取的措施(參照B.3.4) 3.5 多個故障的影響(參照B.3.5) 3.6 防御系統(tǒng)故障(參照B.3.6) 第四部分 額外影響的操作 這部分將描述遇到在系統(tǒng)需求中所提到的額外影響時系統(tǒng)/子系統(tǒng)/儀器設備 1. 繼續(xù)履行它的具體操作需求 2. 繼續(xù)履行它的具體安全需求(包括存在故障情況下) 安全案例只有在額外影響的特定范圍內(nèi)是有效的,正如在系統(tǒng)需求中所定義的。在這些限定之外不能確保安全,除非實施額外的特殊措施用來支持特定的額外操作的方法將得到解釋和判定。 更詳細的信息可參照B.4 第五部分 有關安全的應用條件 這部分將強調(diào)在系統(tǒng)/子系統(tǒng)/儀器設備的應用中應遵循的法則,條件和限定。這也包括一些相關的子系統(tǒng)和儀器設備的安全案例中所包含的應用條件 更詳細的信息可參照B.5,同時在表E.10中也有所指導 第六部分 安全資格審查 這部分將演示在安全資格審查的操作條件下的一些成功的例子??蓞⒄誃.6 技術安全結構可參照圖7 5.5 安全接受和論證 這部分定義了與安全相關的電子系統(tǒng)/子系統(tǒng)/儀器設備的安全接受和論證部分。除了認為是合適的地方,其他地方并沒有特殊強調(diào)應該由誰在每個階段來做這項工作,因為它是隨著環(huán)境的變化而變化的。 5.5.1 概述 正如5.1所提到的。為了保證與安全相關的鐵路信號電子系統(tǒng)/子系統(tǒng)/儀器設備安全所必須滿足的三個條件如下: 1. 質(zhì)量管理措施 2. 安全管理措施 3. 功能和技術安全措施 這三個條件已經(jīng)在5.2和5.3和5.4中提到 正如5.1和圖3所顯示的,安全案例中應包括質(zhì)量管理措施,安全管理措施和功能技術安全措施 可以考慮安全案例的如下三種不同的分類: 1. 一般的產(chǎn)品安全案例(獨立應用) 一般產(chǎn)品可用做各種不同的獨立應用 2. 一般的應用安全案例(應用分類) 有相同功能的一般的應用可以劃分為一類 3. 特殊的應用安全案例(特殊應用) 特殊的應用只能用做一種特殊的裝置 有必要告訴大家的就是對于每一種特定的應用,無論是環(huán)境的條件還是應用的內(nèi)容與一般的應用條件相兼容這一點是必要的(參照5.5.4) 在以上三種分類中,安全案例和獲得安全論證程序的結構基本上是相同的。然而,對于特定的應用也有附加因素:在這種分類中,對于系統(tǒng)的應用設計和它的實際操作需要獨立的安全論證(例如:生產(chǎn),安裝,測試和用于操作和維護的設施),基于此,對于特定應用的安全案例應該分成以下兩部分: 1. 應用設計安全案例:這包括特定應用的理論設計的安全措施 2. 實際操作安全案例:這包括特定應用的實際操作的安全措施 這兩部分結構可見5.1和圖3 5.5.2 安全論證過程 在考慮安全論證的操作之前,應該做出一份系統(tǒng)/子系統(tǒng)/儀器設備的獨立的安全評估報告和安全案例。這樣做是為了進一步確保能達到安全的必要水準,且將結果記錄在安全評估報告中。這份報告應該對安全評估員決定如何設計才能使系統(tǒng)/子系統(tǒng)/儀器設備(硬件和軟件)滿足特定要求的做法進行解釋,同時強調(diào)對系統(tǒng)/子系統(tǒng)/儀器設備的操作而言的一些附加條件。 像EN50126中所提到的安全評估的深度和對其操作的獨立性的限度都是基于風險分類的結果之上的。 為了增加可信度,安全評估員可能要求進行特定的測試。 整個文檔的措施應該包括: 1. 系統(tǒng)(子系統(tǒng)/儀器設備)需求; 2. 安全要求; 3. 安全案例 包括: 第一部分:系統(tǒng)/子系統(tǒng)/儀器設備的規(guī)定 第二部分:質(zhì)量管理報告(質(zhì)量管理措施) 第三部分:安全管理報告(安全管理措施) 第四部分:技術安全報告(功能/技術安全措施) 第五部分:相關的安全案例(如果可能的話) 第六部分:結論 4. 安全評估報告; 根據(jù)安全案例中提到的滿足安全接受的所有條件,并且依照獨立的安全評估結果。系統(tǒng)/子系統(tǒng)/儀器設備依法得到相關安全局的論證。安全評估人員對論證可能會強制執(zhí)行一些額外條件(暫時的或永久的) 對于一般性產(chǎn)品(即應用的獨立性)和一般性應用(即應用的等級分類)被一個安全局同意的安全論證和可能被其他安全局所接受(即相互接受),當然對于特定的應用而言是不可能的。 圖8顯示了針對三種不同的安全案例的安全論證過程 5.5.3 安全論證完成之后 當系統(tǒng)/子系統(tǒng)/儀器設備完成安全論證之后,我們應該對接下來的任何改動都要加以控制,可以利用即將作為新的設計的相同的質(zhì)量管理,安全管理和功能/技術安全標準來對其加以控制。所有相關文檔包括安全案例,都應該及時更新或由額外文檔來加以補充,并且提交這種改動的設計去論證。 一旦將完成的系統(tǒng)/子系統(tǒng)/儀器設備交付使用,那么在技術安全報告(安全案例的一部分)的第五部分和安全計劃中規(guī)定的正確的手續(xù),支持系統(tǒng)和安全監(jiān)管就應該使用,以確保在它的整個工作生命中的安全操作,這些操作包括運行,維護,變動,擴展和最終的停止使用,這些行為由原始設計所運用的同樣的質(zhì)量管理,安全管理和技術安全標準來控制。 包括安全案例在內(nèi)的所有相關文檔都應該及時更新,并且把有變動或擴展的設計遞交上去加以論證。 5.5.4 安全論證之間的附屬地 在5.1中提到過,系統(tǒng)的安全案例依靠其他子系統(tǒng)或儀器設備的安全案例。在這種情況下,就是說如果沒有先前相關子系統(tǒng)/儀器設備的安全論證,就不會有主干系統(tǒng)的安全論證。 如果已經(jīng)完成對一般產(chǎn)品或一般應用的安全論證,那么這將可能指導一種特定應用的安全論證,沒有必要對每一種應用都重復這種一般性的論證過程。圖9就顯示了這種安全論證之間的附屬地。 一種基于說明有目的的特定的應用的安全案例是與那些特定安全論證的實施在技術上是等價的。對這種特定應用有必要采取新的安全論證。 確保在附屬地的如下做法是必要的。即每一個安全案例的技術報告中提到的與安全相關的實施條件都要以高水準的安全案例來完成,否則提前進入以高水準的有安全應用條件進行執(zhí)行。 附錄A 安全完整性水準 A.1 概述 附錄對安全要求,安全完整性和有關安全系統(tǒng)在鐵路中應用的安全完整性水準的起源,分配和執(zhí)行都作了詳細的描述。 對每種特定的鐵路應用,以允許的安全目標的形式出現(xiàn)的容許危險率是有關鐵路當局的責任。該標準未對其進行定義。 EN50126中規(guī)定了安全管理過程 A.2 安全要求 以下兩部分提到了系統(tǒng)要求(或正確的子系統(tǒng)/儀器設備)(參照圖A.1): 1. 不涉及安全的要求(包括實際的功能要求); 2. 涉及到安全的要求; 涉及到安全的要求我們常常稱之為安全要求,這些可能包括在獨立的安全的具體要求中。 我們把安全要求氛圍如下兩部分: 1. 安全功能要求; 2. 安全完整性要求; 安全功能要求實際上是系統(tǒng)/子系統(tǒng)/儀器設備的與安全相關的功能所要執(zhí)行的要求。 安全完整性要求定義了對每一種與安全相關的功能的安全完整性水準。 A.3 安全完整性水準(SIL) 關系到安全相關系統(tǒng)性能的安全完整性要能完成規(guī)定的安全功能。安全完整性越高,他行使規(guī)定的安全功能的不成功率就越低。安全完整性有兩部分構成(參照圖A.1): ——系統(tǒng)故障完整性 ——隨機故障完整性 要充分實現(xiàn)安全完整性,就必須滿足上述兩條件。 注:由環(huán)境條件(如:電磁兼容性 溫度 振動等)引起的故障包括系統(tǒng)故障完整性和隨機故障完整性。 系統(tǒng)故障完整性是安全完整性中不可量化的部分,并且它還關系到危險的系統(tǒng)錯誤(硬件或軟件),在系統(tǒng)\子系統(tǒng)\設備生命周期的各種狀態(tài)中,系統(tǒng)錯誤都是由人的錯誤引起的。例如: —規(guī)格說明錯誤 —設計錯誤 —制造錯誤 —安裝錯誤 —造作錯誤 —維修錯誤 —校正錯誤 系統(tǒng)故障完整性由質(zhì)量管理和安全管理條件完成,這些條件在5.2和5.3 的標準中有詳細說明。 防御系統(tǒng)錯誤技術包含在技術安全條件中,這些條件在5.4 的標準中有詳細說明。 因為不可能用定量的方法評估系統(tǒng)故障完整性,SIL應用于成組方法,工具,和技巧,一旦被有效利用,就可認為在實現(xiàn)一個已規(guī)定完整性標準的系統(tǒng)方面提供了適當?shù)目煽慷龋▍⒖几戒汦)。 隨機故障完整性是安全完整性的一部分,關系到危險隨機錯誤,尤其是隨機硬件錯誤,這種錯誤是由硬件組成部分的有限可靠性引起的。 技術安全條件中隨機故障完整性的解決方案的標準具體在5.4中有說明。 利用概率分析,我們就可對隨機故障完整性進行量化評估。概率分析要以了解硬件組成部分的故障率和類型以及隨機硬件故障出現(xiàn)的次數(shù)為前提。盡管危險故障依然存在而且應該按照5.4和B.3.6中的標準御防,但我們還是假設具有固有物理性能(參考附件C)的組件的危險故障概率為零。 安全完整性條件和安全標準的分配在A.4和A.5種分別敘述。 A.4 安全完整性要求的分配 考慮到信號系統(tǒng)的運行環(huán)境和建筑設計,鑒定鐵路信號裝備的安全完整性要求的一套方法即將系統(tǒng)化應用。 這種方法的核心是明確界定了運行環(huán)境和信號系統(tǒng)的界限,從安全觀出發(fā),這個界限是通過系統(tǒng)內(nèi)一系列危險和相關的容許危險率(THR)來定義的。我們注意到,這種方法的意圖不是限制了供應方和鐵路局雙方的合作,而是劃清了責任和界面。 從這個界面出發(fā)分析步驟如下: 1. 至上而下的分析明確了危險和相關風險可能產(chǎn)生的結果。 2. 至下而上的分析明確了產(chǎn)生危險的原因。 全部過程包括風險分析和- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 英國 標準
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://appdesigncorp.com/p-1574676.html