50129铁路应用-通信、信号、处理系统-信号用安全相关电子系统.doc

.EN50129:2003铁路应用-通信、信号、处理系统-信号用安全相关电子系统Railway applications - Communication, signaling andprocessing systems - Safety related electronic systems for signalling欧洲标准EN 50129:2003具有英国国家标准的地位.英文版铁路应用通信、信号、处理系统安全相关信号电子系统这个欧洲标准是2002-12-01由CENELEC审核的。CENELEC成员应遵守CEN/CENELEC内部规章，以保证给这个欧洲标准提供一个CEN/CENELEC规定的国家标准的条件状况，且提供的状况丝毫不能和规章中的有异。这种国家标准相关的最新列表和参考书目可以向中央秘书处或任何CEN/CENELEC的成员索取。此欧洲标准存在三种官方版本：英语、德语、法语。任何的由履行了职责的CEN/CENELEC成员翻译成本国语言，并且知会了中央秘书处的任何语言版本都与官方版本有着同等地位。CENELEC成员包括以下国家的电子技术委员会：奥地利、比利时、捷克、丹麦、芬兰、法国、德国、希腊、匈牙利、冰岛、爱尔兰、意大利、卢森堡、马耳他、荷兰、挪威、葡萄牙、斯洛伐克、西班牙、瑞典、瑞士及英国。CENELEC：欧洲电气化标准委员会中央秘书处地址：rue de Stassart 35, B - 1050 Brussels序本欧洲标准是由CENELEC TC 9X技术委员会（铁路电气与电子应用）下的SC 9XA（通信、信号及处理系统）起草的。文本草稿于2002-12-01提交正式投票并由CENELEC批准为EN 50129。本欧洲标准替代了ENV 50129:1998。此标准是由欧洲委员会和欧洲自由贸易协会指定CENELEC起草的，并且支持96/48/EC指示的本质要求。下面的日期是确定的：EN通过各国家签字的形式被发布为统一的国家标准的最终截至日期（简称dop 即发布日期）：2003-12-01各国与EN相冲突的标准被撤销的最终截至日期（简称dow 即撤销日期）：2005-12-01指定为“规范性”的附录是作为标准中的一部分。指定为“资料性”的附录仅作为参考信息给出。在本标准中，附录A、B、C都是“规范性”的，附录D、E是“资料性”的。目录页码前 言.11 范 围.22 规范性引用文件.23 定义和缩略语.33.1 定 义.33.2 缩略语.64 本标准的整体框架.75 安全验收和审批条件 .85.1 安全例证. .85.2 质量管理证据 .105.3 安全管理证据 .125.4 功能安全和技术安全证据.155.5 安全验收和审批.17附录 A (规范性) 安全完整性等级.20A.1 引 言.20A.2 安全需求 . .20A.3 安全完整性.20A.4 安全完整性需求的分配.21A.5 安全完整性等级 SIL.28附录 B (规范性) 详细技术需求 .31B.1 引 言.31B.2 功能正确运行的保证.31B.3 故障的影响.33B.4 外界干扰下的运行 .38B.5 安全相关应用条件.39B.6 安全合格测试.41附录 C (规范性) 硬件元器件失效模式的识别 .43C.1 引 言.43C.2 一般程序 .43C.3 针对集成电路的程序 (包括微处理器) .43C.4 带有固有物理特性的元器件的程序.43C.5 元器件失效模式的概要说明.44C.6 带有固有物理特性元器件的附加通用说明 .44C.7 带有固有物理特性的元器件的特别说明.44附录 D (资料性) 补充技术信息.62D.1 引 言.62D.2 物理的内部独立性的获得 .62D.3 物理的外部独立性的获得 .63D.4 一种单故障分析方法实例.63D.5一种多重故障分析方法实例.64附录 E (资料性) 安全相关电子信号系统避免系统故障以及控制随机和系统故障的技术和措施 .69参考书目.75图 1 -主要 CENELEC 铁路应用标准的范围 .2图 2 - EN 50129结构. .8图 3 - 安全例证结构 .9图 4 - 系统生命周期举例子 .11图 5 - 系统生命周期设计和验证部分举例 .12图 6 - 不同角色的独立性安排.13图 7 - 技术安全报告结构 .16图 8 - 安全验收和批准过程.18图 9 - 安全例证和安全批准之间依赖性的实例.19图 A.1 - 安全需求和安全完整性.20图 A.2 - 总流程概观. . .22图 A.3 - 风险分析流程举例.23图 A.4 - 关于系统边界危险的定义.24图 A.5 - 危险控制过程举例. .25图 A.6 - 故障和修复时间的解释 .26图 A.7 - FTA功能独立性处理关系.27图 A.8 - SIL与技术的关系. .29图 B.1 - 影响项独立性的干扰. .35图 B.2 - 单一故障的检测和否定 .37图 D.1 - 一种故障分析方法的实例 .66表 A.1 - SIL表.29表 C.1 - 电 阻 .48表 C.2 - 电 容.48表 C.3 - 电磁元件.49表 C.4 - 二极管 .51表 C.5 - 晶体管 .52表 C.6 - 可控整流器 .54表 C.7 - 浪涌抑制器.56表 C.8 - 光电器件.57表 C.9 - 滤波器 .58表 C.10 - 互连装置.59表 C.11 - 熔 丝 . .60表 C.12 - 开关和按钮.60表 C.13 - 灯. . .60表 C.14 - 电池 . . .60表 C.15 - 变频器/传感器 (不包括内部电子线路) .61表 C.16 - 集成电路. .61表 D.1 - n取2系统中，通过周期性在线测试，同时加以比较（软件或硬件）方式对大规模集成电路的故障加以暴露的措施.67表 E.1 - 安全计划和质量保证活动.70表 E.2 - 系统需求规格说明书.70表 E.3 - 安全组织.71表 E.4 - 系统/子系统/设备的结构 .71表 E.5 - 设计要点. .72表 E.6 - 失效和危险分析方法.73表 E.7 - 系统/子系统/设备的设计和开发.73表 E.8 - 设计阶段的文档.73表 E.9 - 系统和产品设计的确认和验证.74表 E.10 实施、运行和维护.74前 言本文件是第一个定义铁路信号领域安全相关电子系统验收和认可的需求的欧洲标准。在此之前，仅存在一些国家性的推荐文本和UIC（国际铁路联盟）的一般建议。信号安全相关电子系统包括硬件和软件两方面。为安装完整的安全相关系统，在系统整个生命周期中，两个方面都宜被考虑到。对安全相关硬件和整个系统的需求都定义在此标准中。其他的一些需求都定义在相关的CENELEC标准中。欧洲铁路主管部门和欧洲铁路工业的目的在于开发基于通用标准的相互兼容的铁路系统。因此各国铁路主管部门有必要对子系统和设备的安全审批进行交叉验收。本标准是铁路信号应用的电子系统安全性验收和审批的通用欧洲基础文档。交叉验收是面向通用的而不是面向特定应用的审批。在本文件变成EN之后，在欧洲共同体内部铁路信号应用的安全相关电子系统的公开采购也将参照本标准。本标准由正文（条款1到5）部分及附录A、B、C、D、E组成，正文部分和附录A、B、C是规范性的，而附录D、E是资料性的。本标准与EN50126：“铁路应用：可信性规范和示例可靠性、可用性、可维护性、安全性(RAMS)”相符合，并且使用了相关部分。本标准和EN 50126均基于系统生命周期且与EN 61508-1相一致，在铁路通信、信号及处理系统方面，EN 61508-1已被EN 50126/EN 50128/EN 50129系列标准所取代。满足这些标准中的需求已经能够充分保证满足与EN 61508-1的一致性，而不需要再进一步进行评估。由于本标准涉及到安全相关系统验收的相关证据。这些证据包括在验收阶段之前所应完成的生命周期活动；在验收阶段之后还需要执行的附加的有计划的活动。因此需要证明在整个生命周期中安全性是得到满足的。本标准关心的是提交何种证据。除了认为适合的地方，本标准不规定由谁来执行必要的工作，因为在不同的环境下情况不一样。对于包含可编程电子元件的安全相关系统，软件的附加条件都定义在EN 50128中。对于安全相关数据通信的附加需求定义在EN 50159-1 和EN 50159-2中。1. 范围本标准适用于铁路信号应用中的安全相关电子系统(包括子系统和设备)。本标准的范围以及与其它欧洲电工标准委员会(CENELEC)的标准关系如图1所示。本标准适用于所有安全相关的铁路信号系统/子系统/设备。但在EN50126和本标准中定义的危险分析和风险评估过程对于所有的铁路信号系统/子系统/设备来说是必要的，以便确定任何安全需求。如果分析表明无安全需求存在(也就是非安全相关的情况)，并且倘若此结论不随后续的变化序列而改变的话，那么可终止本安全性标准的应用。本标准既适用于整体信号系统的规范、设计、建造、安装、验收、运行，维护和修改/扩展阶段，也适用于整体信号系统中的单个子系统和设备。附录C包括与电子硬件组件相关的程序。本标准适用于通用的(包括与应用类型无关的和专门应用类别的)子系统和设备，也适用于特定应用中的系统/子系统/设备。本标准不适用于已存在的系统/子系统/设备(即，在本标准创建之前它们已被接受了)。但是，只要合理和符合实际，对现存系统、子系统和设备的变更与扩展宜应用本标准。本标准主要适用于为铁路信号应用专门设计和制造的系统/子系统/设备。只要合理和符合实际，它也宜适用于那些作为安全相关信号系统组件的通用或工业设备(比如电源，调制解调器等)。至少，宜以下面的方式提供证据证明：或者：不依靠此设备来实现安全，或者：可依靠此设备来实现安全性相关功能。本标准适用于铁路信号系统的功能安全，它不涉及职业健康和个人安全问题，这方面问题由其他标准讨论。铁路系统铁路信号系统EN50126(RAMS)EN50159-1和-2(通信)EN50128(软件)EN50129(系统安全性)单独子系统单独设备元件图1 主要CENELEC铁路应用标准的范围 2. 规范性引用文件本欧洲标准综合了一些已发布的标注日期的和未标注日期的其它参考标准。文中引用这些参考标准的地方均予标注，并列在下面。对于标注日期的参考标准，其后续的修正或改版在本欧洲标准进行修改或改版时进行综合，对未标注日期的参考标准应用其最新发布版本。EN 50121(全部) 铁路应用系列 电磁兼容性EN 50124-1 铁路应用 - 绝缘配合 - 第一部分：基本需求 - 所有电气和电子设备的电气间隙和爬电距离EN 50124-2 铁路应用 - 绝缘配合 - 第二部分：过压和相关保护EN 50125-1 铁路应用 - 设备环境条件 - 第一部分：机车车辆车载设备EN 50125-3 铁路应用 - 设备环境条件- 第三部分：信号通信设备 EN 50126 铁路应用 - 可靠性、可用性、可维护性、安全性(RAMS)的规范和示例EN 50128 铁路应用 - 通信，信号和处理系统 - 铁路控制保护系统中的软件EN 50155 铁路应用 - 铁道车辆电子设备EN 50159-1铁路应用 - 通信，信号和处理系统 - 第一部分：封闭式传输系统中的安全通信EN 50159-2铁路应用 - 通信，信号和处理系统 - 第二部分：开放式传输系统中的安全通信EN 61508-1电气/电子/可编程电子安全相关系统 - 第一部分： 通用需求 (IEC 61508-1)IEC 60664(全部) 低电压系统设备的绝缘配合3 定义和缩略语3.1定义本标准应用到了以下定义：3.1.1事故 accident导致死亡、受伤、系统或服务损失或者环境破坏的一个或一系列非预期事件。3.1.2评估 assessment判定设计主管机构和确认人员是否确保产品满足规定需求的分析过程，并给出该产品是否适合指定用途的判断。3.1.3授权 authorisation在特定应用约束下使用某产品的正式许可。3.1.4 可用性 availability当所需外部资源均能满足的条件下，产品在规定的条件和规定的时刻或给定的时间间隔内能完成规定功能的能力。3.1.5可能 can表示可能性。3.1.6 原因分析 causal analysis分析特定危险出现的原因。3.1.7 共因失效 common-cause failuer造成原本相互独立的项同时失效的一种失效。3.1.8 后果分析 consequence analysis对危险发生后可能出现的事件的分析。3.1.9 配置 configuration针对具体应用，系统中硬件和软件的结构和互联。3.1.10 交叉验收 cross-acceptance指产品所达到的一种状态，在此状态下该产品已由某机构按相关欧洲标准所接受，并可无需进一步评估就可被另一机构所接受。3.1.11 设计 design对指定需求进行分析并转化为具有规定的安全完整性的设计方案的活动。3.1.12 设计机构 design authority负责形成实现指定需求的设计方案，并负责对后续开发和将系统在指定环境投入运行进行监督的机构。3.1.13 多样性 diversity利用多种独立和不同的方式实现全部或部分指定需求的方法。3.1.14 设备 equipment物理功能项。3.1.15 错误 error与期望的设计相背离，并有可能导致非预期的系统行为或失效。3.1.16 失效-安全 fail-safe结合在产品设计内的一种观念，即发生失效事件时产品导向或维持在安全状态。3.1.17 失效 failure与规定的系统行为相背离。失效是系统错误或故障的结果。3.1.18 故障 fault一种能导致系统错误的异常情况。故障可以是系统的或随机的。3.1.19 故障检测时间 fault detection time从故障开始出现到检测出故障存在的时间间隔。3.1.20 功能 function产品实现其目的所采用的行动或活动的方式。3.1.21 危险 hazard可能导致事故的一种状况。3.1.22 危险分析 hazard analysis识别危险并分析他们的原因，导出可将危险发生的可能性和后果减小到容许等级需求的过程。3.1.23 危险日志 hazard log对安全管理活动、危险识别、决策制定和采用方案进行记录或给出索引的文档。3.1.24 人为错误 human error引发非期望的系统行为/失效的人的动作（失误）。3.1.25 实现 implementation将规定需求转变为物理实现的活动。3.1.26 独立性(功能上) independence (functional)与由系统失效或随机失效影响多个功能正确运行的任何机制无关。3.1.27 独立性(人员) independence (human)不属于同一专业、商业或管理实体。3.1.28 独立性(物理上) independence (physical)与由随机失效影响多个系统/子系统/设备正确运行的任何机制无关。3.1.29 个体风险 individual risk只与单一个体相关的风险。3.1.30 可维护性 maintainability当维护是在规定条件、规定程序和资源下进行时，在规定的使用条件下设备能够在给定时间间隔内实施维护的概率。3.1.31 维护 maintenance所有使某个项维持在或恢复到能执行规定功能的状态的所有技术活动和管理活动包括监督活动。3.1.32 可以 may允许的。3.1.33 拒绝 negation当检测到危险故障后强制到安全状态。3.1.34 拒绝时间 negation time从检测出故障存在到强制为安全状态的时间间隔。3.1.35 产品 product按照规定需求互连以构成系统/子系统/设备的元素的集合。3.1.36 质量 quality产品属性的用户理解。3.1.37 铁路主管部门 railway authority对铁路安全系统运行的安全性权威全权负责的机构。3.1.38 随机失效完整性 random failure integrity系统避免随机危险故障的等级。3.1.39 随机故障 random fault无法预测其发生的故障。3.1.40 冗余 redundancy通过一个或多个额外的（通常是同等的）方法容错。3.1.41 可靠性 reliability在规定的条件下和在规定的时间内某个项执行规定功能的能力。3.1.42 修复 repair故障或失效之后对系统/子系统/设备重建所需状态的方法。3.1.43 风险 risk危险事件发生的频率或概率与其后果的组合。3.1.44 安全状态 safe state继续保持安全的状况。3.1.45 安全 safety不存在不可接受的风险等级。3.1.46 安全验收 safety acceptance最终用户给出的产品的安全状态。3.1.47 安全审批 safety approval当产品完成一系列预定的需求后，由必要的权威部门指定的产品安全状态。3.1.48 安全权威机构 safety authority负责授权安全相关系统运行的机构。3.1.49 安全例证 safety case论述产品符合规定安全需求的证明文挡。3.1.50 安全完整性 safety integrity在所有规定的条件和规定的运行环境下以及规定的时间内，安全相关系统完成指定的安全功能的能力。3.1.51 安全完整性等级 safety integrity level表示针对系统失效某系统仍可满足特定安全功能置信度等级需求的数值。3.1.52 安全生命周期 safety life-cycle与安全相关系统的系统生命周期共同实施的一系列附加活动。3.1.53 安全管理 safety management保证安全过程正确实施的管理结构。3.1.54 安全计划 safety plan实现项目安全需求的实施细则。3.1.55 安全过程 safety process为能鉴别和满足产品全部安全需求所遵循的一系列过程。3