中文版-)铁路应用-通信、信号和过程控制系统-信号的安全相关电子

1、中文版-）铁路应用-通信、信号 和过程控制系统-信号的安全相 关电子作者:日期:中文版）铁路应用_通信、信号和过程控制系统_信号的安全相关电子.txt27 信念的力量在于 即使身处逆境，亦能帮助你鼓起前进的船帆；信念的魅力在于即使遇到险运，亦能召唤你鼓 起生活的勇气；信念的伟大在于即使遭遇不幸，亦能促使你保持崇高的心灵。本文由lizf0710 贡献doc 文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。EN 50129:2003英国标准BS EN 50129:2003铁路应用-铁路应用-通信,信号和过程控制系统-通信,信号和过程控制系统-信号的 安全相关电子系统信

2、号的安全相关电子系统1EN 50129:2003国家前言该英国标准是EN50129 : 2003 的官方英文标准它代替了 被撤回 的DD ENV50129:1999标准.GEL/9技术委员会委托英国参与了它的准备，铁路电子技术应用组织即 GEL/9/1子委员会，信号和通信,职责是：-帮助调查人理解文章；-提出可 靠的欧洲委员会的要求来分析或者提出改进意见，并保证英国的利益；-关注相关的国际和欧洲发展，并在英国发布它们；一系列的组织给子委员会提出的意见可在它的秘书处获得.交叉的参考 本英国标准应用国际的或者欧洲的关于本文件的出版物，它可能在”国际标准相 应的索引"部分的BSI目录中找到

3、，或者是使用BSI电子目录的或者英国标准在线的”查找"工具.它的出版并不意味着包括一个合同所有必要条款,英国标准的使用者有责任正确使用该标准.依从一个欧洲标准并不是指本人免除法律责任.依从一个欧洲标准并不是指本人免除法律责任总共的页数 该文档包括前封面，内前封面,EN名称页,2到94页和内后封面和后封页. 在文档最终出版后,BSI的版权日期在文档中指出.出版后的修订 修订次数 日期 内容2EN 50129:2003英文版本铁路应用-铁路应用-通信,信号和过程控制系统-通信，信号和过程控制系 统-信号的安全相关电子系统信号的安全相关电子系统这个欧洲标准在 2000-11-01 被CEN

4、ELEC提出,CENELEC的成员应该遵守 CEN/CENELEC 国际标准，它规定了该欧洲标准在无修改的情况下作为国际标准的一些情况.最新的目录和关于国际标准的相关参考数目可以在中心秘书处或者任何CENECEC的成员那里获得.这个欧洲标准有三个官方版本（英,法,德）.CENECEC的成员可将一种版本译为他们的语言，并且通知中心秘书处，这样有作为官方版本的同样地位.CENELEC欧洲电工标准协会3EN 50129:2003前言 本欧洲标准由SC9XA准备，属于技术委员会 CENECEC TC 9X铁路电子和电子 设 备的通信，信号和处理系统.属于正式文件文本的草稿在2002-11-01 作为E

5、N50128由CENECEC提出 .这个欧洲标准取代了ENV50129:1998这个欧洲标准是在 CENELEC的授权下通过欧洲委员会和欧洲自由贸易组织，96/48/EC 指示的本质要求来准备的.下面是确定的日期，-通过国际标准的出版或批注 ，这个标准作为国际标准来实施的最近日期2003-12-01 -与这个标准冲突的国际标准排斥在外的最近日期2005-11-01 标注"标准化”的附件是标准的一部分 标注"非标准”的附件仅供参考.该标准中，附件A,B,C 是标准化的，附件D,E是非标准化的4EN 50129:2003内容引言 .51范围 .7 2 合乎规范的参考 .73 定

6、义 .8 3.1定义.93.2 参考 .9 4标准的整体框架 . .115安全接受和承认的条件 .125.1 安全情形 .12 5.2质量管理根据.12 5.3安全管理根据 .12 5.4功能和技术安全根据.125.5 安全接受和承认 .12附件A（规范）安全完善度等级 13A.1 弓丨言 .13 A. 2 安全要求 .13A. 3安全完善度 A. 4安全完善度要求分配A. 5安全完善度等级附件B（规范）详细的技术要求B.1引言B.2正确的功能操作的保证B.3错误的影响B.4对外部影响的操作 B.5有关安全应用的条件B.6安全质量测试 附件C（规范）硬件组成错误模式的鉴定C.1引言C.2常规程

7、序C.3完整电路程序（包括微处理器）C.4固有的物理性质组成程序C.5有关组成错误模式的常规信息C.6附带的常规信息,有关固有物理性质的组成C.7有关固有物理性质的组成的特殊信息附件D（情报）补充技术信息77 D.1引言 77D.2 完成物理内在独立性.77D.3 完成物理外在独立性.78D.4单个错误分析方法的例子.79D.5 多个错误分析方法 .80附件E（情报）为系统错误和控制随机及系统错误，为与安全相关的电子系统传输信号 制定了技巧和方法 855EN 50129:2003参考书目 941 CENELEC铁路应用标准的主要范围.82EN50129 的结构.153 安全事例结构.174系统

8、生命周期举例 .195设计和系统生命周期有效部分举例 216 独 立性排列227技术安全报告结构268安全性承诺和安全性批准过程289安全性事例/安全性批准间独立性举例 29A1 安 全 要 求 和 安 全 完 整性X .30 A 2 全部过程回顾32 A 3风险分析过程举例33A 4有关系统界限危险的定义34A5危险控制过程举例.36A 6解释故障和补救次数37A 7由 FTA处理的功能独立性38A 8安全完整性水准和技巧间的关系40B.1 影响项目独立性的因素46B.2 检测和否定单个错误49D.1错误分析方法举例81A1安全完整性水准表.41 表 C.1 电阻器61表 C.2 电容器.6

9、2表 C.3 电磁组件.63 表 C.4二极管.66 表 C.5 晶体管.67表 C.6控制整流器.69表 C.7 过负荷干扰抑制器.71表 C.8 光电子组件.72表 C.9过滤器.73表 C.10内部组件.74表 C.11-保险75表 C.12-开关和按钮75 表 C.13-电灯75表 C.14-电池 75表C.15-变送器/传感器（不包括内部电路）76 表C.16-集成电路 76表D.1-在大规模集成电路通过周期性在线测试的手段来检测故障的 措施的例 子 82表E.1-安全计划和主动的质量保证.86表E.2-系统要求的技术规格87表E.3-安全组织 87表E.4-系统/子系统/设备的建8

10、8EN 50129:2003表E.5-设计特色 89表E.6-故障和危险分析的方法 90表E.7-系统/子系统/设备的设计和研发91表 E.8-设计的阶段性文档 91表E.9-系统和产品设计的鉴定和确认92表 E.10-应用，运行和维护 937EN 50129:2003前言本标准是铁路信号领域内定义电子安全系统认可和支持要求的第一个欧洲标准目前,国际上存在的语词有关的只有国际铁路联合组织（UIC）提出的整体建议和一些国家提出的互不相同的建议针对信号的电子安全系统包括硬件和软件两部分要安装完整的安全系统，必需 考虑系统整个生命周期中的两个部分，即对硬件安全的要求和在标准上对整个系统定义的要求,期

11、于要求在CENELEC标准上有要求.欧洲铁路机构和欧洲铁路工业在发展一种基于 一般标准并能够相互兼容的铁路系统因此，对于系统安全支持方面和不同国家铁路机构要求方面横向认可是必须的此文件就电子系统在铁路信号方面安全认可与支持的欧洲通用 的基础横向认可的目的在于一般的支持，不是特殊的应用当它成为一个 EN时公众在 有关铁路信号电子安全系统的欧洲摄取内的获得将会关系到这个标准本标准包括主要部分（第一章到第五章）和附录A,B,C,D,E.在此标准中 主要部分和附录 A,B,C中定义的要求是 规范的，而附录D和E是非正式的本标准和EN50126 （铁路装置RAMS）中相关的章节有 关联本标准和EN501

12、26都是基于系统的生命周期和EN61508 1.在涉及到铁路通信信号和外部系统时，EN61508-1被EN50126/ EN50128/ EN50129取代了 买组这些标准的要求将 来遵守 未评价的EN61508 1是足够的因为标准是关于安全系统的支持所显示出来的现 象，所以它使生命周期的行为特殊化，这些行为需要在认可阶段之前完成，随之而来的是额外的计划行为对整个生命周期的安全检测就是这样被要求的本标准是关于显现出来的现象，除了认为是合适的地方，它没有规定谁将执行必须的工作，因为这在不同环境下是不相同的 EN50128定义了包括可编程电子器件和软件附加条件的安全系统 EN50159 1和EN5

13、0159- 2定义了对安全数据通信的额外要求8EN 50129:20031 范围本标准适用与铁路信号设备上用的电子安全系统（包括子系统和设备）图1表 示了本标准的范围和它与其他CENELEC标准的关系本标准适用与所有的铁路信号安全系统，子系统及设备然而,EN50126中定义的事故分析和危险估计程序和本标准对于所有的铁路信号 系统，子系统及设备是必须的安全要求如果分析结果显示 没有安全要求（例如:这种情况下是不安全的），并且结论没有修改行为后来变化的结果，本安全标准就会停止使用分类, 设计,建设，安装,认可,操作,维护和修改及扩展等功能也适用与完整系统中的个人子系统和设备附录C包含了和电子硬件部

14、分相关的程序本标准又适用与一般的子系统和设备（独立的使用和某种特殊的使用），也可在 系统，子系统，设备上有特殊的使用本标准不适用与现存的系统，子系统和设备（例如在本标准之前已经被接受的系统，子系统和设备）然而,只要合乎实验性，本标准也被用来修改或扩展现存的系统，子系统和设备本标准主要用于铁路信号传输设备的专门设计和加工的系统，子系统及设备作为信号传输安全系统的一部分,如果现实允许，也可被用于真体的构思或一些工业设备（如:能源的供应，调配等）即使在最小限度时，可根据显示，设备或者依赖于安全或者依赖于与安全相关的这些功能本标准适用于铁路信号传输系统功能上的安全它不是处理个人的职业上的健康和安全，这

15、一课题在其他的标准上有说明2 参考标准欧洲标准参考了其他出版物里的更新后未更新的部分这些标准参考在本文适当 的地方被应用，下面列出了被参考的出版物 对于更新过的参考，后来的修订当需要 的时候也被欧 洲标准引用没有更新过的参考，出版物最新的版本有所提及 （包括修 改的部分）9EN 50129:2003注意：附加的非正式的参考在目录里 EN50121 系列EN50124 1需求.EN50124 2EN50125-1 备 EN50125 3 EN 50126 和说明 EN 50128 EN 50155 EN 50159 1 铁路应用 通信，用于铁路控制和系统保护的信号处理系统铁路应用一一电气设备在r

16、ollingstock上的应用铁路应用一一通信,信号处理系统一一第一部分：在闭环传输系统中与安全相关的通信EN 50159 2铁路应用一一通信,信号处理系统一一第二部分：在开环传输系统 中与安全相关的通信 EN 61508 1电气，电子，可编程的安全电气设备系统一一第一 部分：主要需求(IEC61508) IEC 60664 系列 在低电压系统的绝缘调配铁路应用一一环境 需求一一第三部分：信号传输与通信设备铁路应用一一可靠性，可用性，可维护性和安全性 (RAMS规范 铁路应用一一绝缘调配一一第二部分：过电压及其先观保护铁路应用一一环境需求第一部分：board rolling stock上的设

17、铁路应用电磁兼容铁路应用绝缘调配第一部分：电力电子设备绝缘的基本3 定义和缩略词3.1定义在本标准中下面的定义将被用到 3.1.1 故障 系列故障 3.1.2 评估 分析设计部门和产业部门生产的产品是否满足规定的要求，并形成一套判别产品是否按其预定功能进行工作这个过程称为评估10导致死亡，受伤，系统或设备损失或者破坏环境的无意中的故障或一EN 50129:20033.1.3 授权书 按规定使用产品的正式许诺.3.1.4 可用性 一个产品在给定一段时间，在一定条件下按要求实现功能的能力，以及在所需求的外部资源被提供的前提下，其在给定的一段时间执行的能力 3.1.5 可能 可能发生的.3.1.6

18、偶然性分析 分析一种专门的危害 存在的原因.3.1.7普通一偶然故障一些具有独立功能的设备失效.普通一3.1.8 结果分析 分析在一个危害发生后，可能出现的情况.3.1.9 图表 表明硬件的结构和相互联系以及 系统软件的功能.3.1.10横向认可 一个产品被一个权威乃至相关欧洲标准认可并且被最高权威认可，这样一种程度3.1.11 设计 计方法.3.1.12设计权威 此体系负责开发一套设计方法的公式去执行规定的需求并遇见随这是一种为了将规定需求通过分析和转换，使其满足可靠性要求的设后的发展，使一个系统在预定的环境中工作3.1.13 发送3.1.14 设备3.1.15 误差这是一种用多种互不相同的

19、方法来实现全部或部分特殊要求的方式起作用的物理装置 与预先设计结果相偏离，并会导致系统发生副作用或失效 .这个概念是包含在一个产品的设计当中，如产品看似处于安全3.1.16失效一安全 失效一状态，但实际上已经失效了 . 3.1.17 失效 偏离系统规定的行为，是系统错误或误差导致 的结果.3.1.18错误一种非常规导致系统失效的条件，一个错误是随即的或有规律发生的.3.1.19错误发现时间 从错误发生的一瞬间到被发现为止的异端时间3.1.20功能 一个产品执行其规程的行为模型3.1.21 危害 导致事故的情况 3.1.22危害分析 坚定危害分析及其产生原因，以及违反法制危害可能发生的要求和在一

20、定程度上危害所造成的后果3.1.23 危害记录 一个包含所有安全管理活动，危害坚定，决策生成的文档，用于存 档和参考3.1.24认为错误 导致系统发生副作用的人的行为(失误)3.1.25 执行为了将规定的设计转化为物理的实现而进行的活动11EN 50129:20033.1.26 独立（功能）由于机械具有的多功能而影响到正确操作 ，从而导致系统故障独立（功能）或突发故障的机械装置中寄托出来 3.1.27 独立（人工）独立（人工）3.1.28 独立（物理）独立（物理）从需要相同智力，商业或管理试题中解脱出来.从由于多功能而影响正确 操作几导致系统，副系统，设备发生突发故障的机械装置中解脱出来.3.

21、1.29个体风险3.1.30 维护性 一个仅仅有关独立个体的风险.对于给定一种积极的维护行为，其在给顶使用条件的项目中的可行性，可以在相关条件和使用相关程序和资源的间隙中进行.3.1.31 维护 所有技术和管理行为的综合，包括监督行为，企图保持一个项目或将其存储，是一种可以表现其需求功能的状态.3.1.32可行性 可执行性.3.1.33负面性 当发现一个危险的错误而破坏安全的状态.3.1.34负面时间负面时间3.1.35 生产3.1.36 质量 从一个危险错误的发生到结束，整个安全状态被破坏的时间跨度.与形成满足规定需求的一种方法相互关联的元件组装.使用者对于一个产品属性的看法通过安全操作铁路

22、系统而形成的完整的安全权威体系.一个系统能承受危险的突发故障的限度.3.1.37 铁路权威3.1.38 突发故障强度3.1.39 突发故障无法预见发生的故障.3.1.40可靠性 提供一种或多种通常是相同的措施，来提供对故障的承受.3.1.41 可靠性一套装置在给定条件下和规定时间内执行特定功能的能力.3.1.42 修理3.1.43 风险将系统，副系统及设备在失效后恢复即定状态的重建方法.发生特定危害的频率，可能性及后果的集合体.一种持续安全的状态.不发生一定程度上的重大风险 .3.1.44安全状态3.1.45 安全度3.1.46 安全度认可最后一个使用者对产品安全状态的认可3.1.47安全度规

23、定定.3.1.48安全度权威负责对与系统相关的安全操作发表授权.当产品已经执行一系列先决条件后必须对安全状态进行权威认3.1.49 安全库 报名产品遵从规定安全需要的文档.3.1.50 安全度 在运行的各个阶段各种操作环境及所有的状态条件下，安全相关系12EN 50129:2003统达到安全功能的能力.3.1.51安全度标准 能的数字.3.1.52安全度生命周期对于安全有关的系统的生命周期中执行的一系列动作3.1.53安全度管理3.1.54 安全计划 确保过程被安全执行的结构.如何达到工程的安全需求的执行细节 .在考虑系统错误的前提下 一个表明系统自我满足规定安全功3.1.55 安全流程对于一

24、个产品所有安全要求进行鉴定和满足的一系列步骤3.1.56 相关安全度 对安全度负责.3.1.57命令 强制执行的.3.1.58建议 被提议的.3.1.59信号系统由于铁路控制和保护火车正确运行的专门的一类系统.3.1.60 压力承受当一个产品执行特定功能时所承受的大量外部影响的程度3.1.61 副系统 系统中执行特殊功能的一部分.3.1.62 系统 通过设计，使一系列副系统相互作用而组成的.3.1.63 系统失效度系统从危害性误差和原因中恢复的能力.3.1.64系统错误 对于一个系统，在规范，设计，组构，安装，执行或维护中内部发生的错误.3.1.65系统生命周期 活动.3.1.66技术安全报告

25、对系统，副系统及设备设计的安全进行论证的报告.3.1.67 有效性 一系列通过测试和分析来表明产品满足各方面安全规范的行为.3.1.68鉴定一种通过分析和测试，在系统生命周期的每一个阶段，对所分析和测试的阶段满足前一阶段的输出，和该阶段按规定输出进行坚定的行为从一个系统开始构造到该系统失效这段时期内进行的一系列3.2缩略词下面是该标准中用到的缩略词：3.2.1 322 AC ATP 交流电 列车自动保护13EN 50129:20033.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10 3.2.11 3.2.12 3.2.13 3.2.143.2.15

26、 3.2.16 3.2.17 3.2.18 3.2.19 3.2.20 3.2.213.2.22 3.2.23 3.2.24 3.2.25 3.2.263.2.27CENELEC CCF DC EMC EMI EN ESD FET FMEA FR FTA H HW IEC IRSE ISO RAMS SCR SDR SDT SIL SW THR UIC VDR欧洲电气标准委员会常见故障原因 直流电电磁相容性电磁干扰欧洲标准静电释放场效应管故障建模和分析故障率故障树 分析 危害 硬件 国际电工技术委员会铁路信号工程机构国际标准组织 可靠性，可行性，维护性和安全性可控硅校验器安全下降率安全下降时间

27、安全度标准软件危害可承受度 国际铁路联盟 电压电阻器4该标准所有框架欧洲标准中第五条款要求采用一个有规律的，有文挡的-质量管理记录14EN 50129:2003-安全管理记录-功能和技术安全记录-规定安全度附录A定义安全度标准的使用和结实.附录B包含安全相关的系统，副系统及设备的技术细节要求.附录C包含坚定可修复硬件故障的步骤和信息的方法.附录D包含附加的技术信息.附录E目录 包含用于安全度各个标准的技术，方法目录.包含在执行着套标准期间所需查询文档的说明.5为保证安全所允许的条件5.1安全情况该标准定义的条件应满足为保证与安全有关的电气铁路系统，副系统及设备按其 预期目的可以被足够安全的应用

28、.在该标准中有关的部分是以.下三个标题为基础的,分别称为：-5.2 质量管理记录-5.3 安全管理记录-5.4功能和技术安全记录在与安全有关的系统可以足够安全的被使用之前，所有这些条件都应达到系统，副系统及设备要求的水平.已经与这些条件相符合的文档记录应当被包含进一个安全坚定文档，即安全库.安全库组成所有遵从相关安全权威的文档记录的一个部分，为了得到一个一般产品，一组应用或一个特殊应用的安全要求规范.对于安全规范过程的解释，见该标准的5.5部分.安全库包含系统，副系统及设备的安全文档记录，可以分为如下结构：系统（或副系统及设备）第一 部分 系统（或副系统及设备）定义 应明确定义或表明安全库所指

29、的系统，副系统及设备，包括类型编号，所有需求的修改权限，设计和应用性的文档.15EN 50129:2003第二部分质量管理报告该部分包括质量管理记录，如该标准中5.2部分提到的第三 部分安全管理报告该部分包括安全管理记录，如该标准中5.3部分提到的第四部分技术安全报告该部分包括功能和技术安全的记录，如该标准中5.4部分提到的第五部分相关安全库 该部分包括与安全库所依靠的所有副系统及设备有关的安全库同时应该表明所有与安全有关的应用条件都应规定每一个相关的副系统及设备的安全库要么是在主安全库中执行，要么在主安全库中与安全库有关的应用条件下执行第六部分结论该部分应简要概括在安全库先前部分的记录，并讨

30、论相关系统，副系统及设备是 否足够的安全，是否遵从专业的 应用条件安全库的结构用图表3说明.明确规定大量细节的记录和辅助类文档不需要包含进安全库和它的子库，也不需要提供明确的用于此类文档的解释，同时也不需要提供基本概念的应用和所采用的途径5.2 质量管理记录安全规范的第一个条件就是系统，副系统及设备的质量应得到保证，并且还应在其整个生命周期中被一套有效的质量管理系统控制文档记录是该要求在质量管理报 告中的表现，它形成了安全库中的第二个部分质量管理系统目的是使在系统生命周期的每个阶段的人为故障最小化，同时也减小系统，副系统及设备中系统故障的发生质量管理系统应当在系统，副系统及设备整个生命周期中应

31、用，如定义的EN50126. 个系统生命周期的例子（在EN50126标准下），由该标准的图表 4 描述EN50129:2003 注释：下面是一 个有关质量管理体系和质量管理报告所包括的几个方面的例子一一组织的结构一一质量计划和步骤16EN 50129:2003需求说明书一一控制设计一一检查和复查设计一一工程应用一一采购和制造产品鉴定和跟踪一一管理和存储 一一检查 一一不一致性和正确的行动一一包装和发送 一一安装和授权一一操作和维护一一质量管理和售后服务一一文档和记录一一配置的管理或更改控制一一操纵指导一一质量审计和使用情况调查一一运行状况遵从质量管理的要求是保证1到4完全安全水平所必需的（见兼

32、并A中对完全 安全水平的解释）然 而，记录的深度和辅助类文档的扩展应适应系统，副系统及设 备的完全安全水平（见表格E.1和表格E.8中对每个完全安全水平所需记录的结实）.完全安全0水平（不安全）的要求不在该安全标准所探索的范围17EN 50129:20035.3安全管理措施5.3.1概述 为了保证安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件之二是安全管理措施，他应该与EN50126中所到的可靠性，可用性，可维护性和安全性的管理过程相一致，目的是进一步减少和安全相关的认为失误.进而减少系统故障风险.下面5.3.2到5.3.13就简要的介绍了安全管理过程因素.在安全管理报告中将提到

33、有关安全管理过程中的各素都遵从生命周期概念的书面证据，即是安全案例的第三部分，这其中不包含大量的详细的证据和提供的文献，只是一些简单的索引.安全管理措施的运用对于安全完整 性水准的1到4来说是强制性的.（参考安全 完整性水准的解释附录A）然而，所提供的证据的深度和所支持文献的广度对于安全的系统/子系统/仪器设备的安全完整性水准来说应该是合适的.安全完整性水准为0的（认为不安全）是不符合安全标准的.为了证实安全完整性所提到的标准对每一种特殊的情形都是适用的.那么在EN50126中定义的危害分析和风险评估过程都是必要的.这也包括那些分析和评估认为安全完整性水准认为是0的情况.然而，一旦得出这样的结

34、论，（也就是说这种情况是不安全的），那么，这种安全标准就不再适用5.3.2安全的生命周期这种安全管理过程包括很多阶段和行为，因此形成了安全生命周期.这应该与EN50126中提到的系统生命周期相一致，即是图4所显示标准的一种复制系统生命周期的设计和有效性部分可以看作是”顶部一一底部”和"底部一一顶部”两个阶 段.（也就是V形）如图5所示.5.3.3安全机构 安全管理过程应该在安全机构的有效指导下执行安全机构应该任用那些被指任为扮演特殊角色的有能力的人来组成对这些人进行包括技术知识，认证,相关经验 和正确的训练的能力的评估和记录应该根据大意公认的标准来执行对于所有安全完整性水准的所要求的

35、安全机构知道下的不同角色之间应该有一个相互独立 的度，正如图6和表E.3所示18EN 50129:20035.3.4安全计划在生命周期的开始应该指定一个安全计划，这个计划应该体现整个生命周期安全管理的结构，安全相关的活动和论证的转折点.还包括每隔一定间隔进行安全计划复查的要求.如果对原始系统/子系统/仪器设备进行一系列的改动或增加的话，我们就 应该及时更新或复查安全计划.如果有类似这样的变动，那么在生命周期的恰当的位置对变动所引起的包括硬件和软件安全方面的影响就应该被重新评估.参照表E.1对于每一个安全完整性水准安全计划所作的指导安全计划应该处理系统/子系统/仪器设备的各个方面，包括硬件和软件

36、.对于软 件的各个方面问题在EN50128中已经论述过.安全计划应该包括安全案例计划他 将体现最终安全案例的预期结构和重要内容.5.3.5 危害日志 在整个生命周期过程中应该创建并维护一个危害日志，正如在EN50126所解释 的，它应该包括一系列公认的危害，还有对于每一种危害的风险分类和风险控制信息，如果对系统，子系统或仪器设备有任何修改和变动，危害日志都应该被升级.5.3.6安全要求 对每一种系统/子系统/仪器设备的特定的安全要求包括功能安全要求和安全完整性要求，这些要求应该在安全具体方面里面明确标识和记录，可以通过EN50126中 提到的这几个方面完成：1.危害标识和分析2.风险评估和 分

37、类3.安全完整性水准的分配附录A中包括了一些铁路电子系统的安全完整水准的信息.注：安全要求可能包括在系统/子系统/仪器设备功能要求中或可以被写作为独立的文档，参照表E.2对与每一条安全完整性水准在系统需求方面的指导.5.3.7 系统/子系统 仪器设备的设计系统子系统/仪器设备的设计子系统生命周期的这一阶段应该做这样一种设计，此设计将完成特定的操作和安全要求，我们将运用顶部一一底部的这样的一套方法且有严格的控制和复查文档.特定情况下，通过软件需求和软件/硬件整合而再现的软硬件之间的关系 应该得到 严格的管理.标准EN50128中也有所提及.表E.7给出了对每一种安全完整性水 准来说系统/子系统/

38、仪器设备在设计和进展方面的指导.19EN 50129:20035.3.8安全复查 在生命周期的适当阶段应该做一下安全复查，这些复查应该在安全计划中明确规定，在复查同时要记录结果，如果对系统，子系统或器设备有任何改动或扩展 ，那么 我们 都应该对其进行复查.5.3.9 安全核对和证实 安全计划应该包括或索引一些这样的计划，他们能核对生命周期的每一个阶段都 能满足在先前那些阶段中提到的具体的一些安全要求，并且能证实已经完趁个的系统 /子系统/仪器设备是与原始的安全性的具体要求相对应的.我们应该去完成这些步骤并且将其结果做一详细记录，包括正确的测试和安全分 析，在接下来的而已系列的对系统 /子系统/

39、仪器设备的变动和增加中应该正确的重复以上操作.对核对人和确认人来说，独立的必要性的度应该与仔细检查下的系统/子系统/仪器设备的安全完整性水准相一致，可以参照图6和表9,对于每一种安全完整性水准的核对和证实的技术/方法的指导依照安全局的见解，评估员应该是供应方组织或是顾客组织的成员，但在这些情况下,评估员应该是1.经安全局授权的2.从项目团队中完全独立出来的3.与安全局完全沟通的5.3.10安全判断使得系统/子系统/仪器设备满足安全接受所规定的条件的措施应该以一安全案例的形式出现在结构完整的安全判断文挡中，参照5.1中所解释的.系统/子系统 仪器设备的移交5.3.11系统 子系统/仪器设备的移交

40、子系统 在将系统/子系统/仪器设备移交给铁路当局之前,应该满足5.5中规定的安全接受和安全论证条件，并且同时递交安全案例和安全评估报告.5.3.12运行和维护随着移交的进行，我们还应该附加安全计划和技术安全报告（安全案例的一部分）的第五部分所规定的手续，支持系统和安全监管.在系统运行的过程中，人们可能会 提出各种理由 而要求对系统做出改动.当然这些理由不一定安全，我们必须通过索引一些安全文档的相关部分来评估一下这些要求改变的请求对安全方面的影响.当这些20EN 50129:2003要求改变的请求会引起一些变动，并且这些变动又将影响此系统或相关系统或周围环境的安全时，我们应该运用安全生命周期的正

41、确部分以确保所实施的改变可以降低安全水准.参照表E.10对每一种安全完整性水准在应用，运行和维护方面的指导.5.3.13 停用设备并加以处理在系统运行周期的最后阶段，我们必须停止使用该设备并且进行最后的清理，这些 操作必须与安全计划和技术安全报告（安全案例的一部分）的第五部分所规定的操作相一致.5.4功能和技术措施除了满足5.2和5.3中提到的质量和安全管理的措施之外，要使系统/子系统/仪器设备的预期应用能被安全的接受，那么还要满足这第三个条件，也就是功能和技术安全措施，这其中包括为了满足设计的安全要求所提到的技术措施，这一措施应该在安全技术报告中记录下来，即是系统/子系统/仪器设备的安全案例

42、的第四部分，参照5.1技术安全报 告对与安全完整性水准的1到4来说是强制执行的（参照安全完整性水准的附录A），然而这些信息的深度和做支持文献的广度，对于仔细检查下的系统/子系统/仪器设备的安全完整性水准应该是相吻合的，对于安全完整性水准为0的请求是不在安全标准范围之内的.技术安全报告应该对技术原则做出解释，这些技术原则确保了技术的安全性，包 括所有支持的措施（如设计原理和计算，具体测试和结果及安全分析）我们对技术安全报告做了如下标题第一部分概述这部分将概述此设计，包括对安全所依赖的技术安全原理的概要，以及根据标准使系统/子系统/仪器设备安全内容得到扩展.这部分也将提到作为设计的技术安全基础 的

43、标准（及他们的颁布）如果对已经投入运行的或标准生产的或在发展的完成阶段时的仪器 设备进行变动或增加.作为一个例外，被用作原始设计标准的颁布可以作为一个基础，这些已经在原始设备的论证中被接受了 ，这些在以下情况下可能会得到应用.即当考虑到新标准的颁布实施可能要求对已经存在设备的进一步改动或者可能招致变化所带来的不合理的高费用时.以下将给出对于以上陈述的理由.21EN 50129:2003第二部分确保正确的功能操作根据特殊规定的操作和安全的要求，这一部分将演示在无故障的正常情况下（即不存在故障）对系统/子系统/仪器设备进行正确操作的必要措施.包括以下方面，在B.2中有更详细的说明2.1 2.2 2

44、.3 2.4 2.5 2.6系统结构的描述（参考B.2.1和表E.4）相互交叉操作的定义（参考B.2.2） 系统需求的实施（参照B.2.3） 安全需 求的实施（参照B.2.4） 确保正确的硬件功能（参照B.2.5） 确保正确的软件功能（参照 B.2.6）第三部分 故障的影响这部分将描述系统/子系统/仪器设备继续满足特定的安全需求包括在随机硬件故障下数量上能达到一定的安全目标另外,尽管在5.2和5.3中规定了质量和安全管理过程，但系统故障仍存在.这部分将描述采取一些技术措施使将来风险降低 到一个可接受的水准.这部分也将说明在安全完整性水准低于整个系统的也包括水准为0的任何一个系统/子系统/仪器设

45、备产生的故障，将不会降低整个系统的安全性.这部分将包括以下题目，中有更详细的需求描述.E.5 表E.6中也有所提及.B.3表3.1 3.2 3.3 3.4 3.5 3.6单一故障的影响（参照B.3.1） 项目独立性（参照B.3.2）单一故障检测（参照B.3.3）检测后应采取的措施（参照B.3.4）多个故障的影响（参照B.3.5）防御系统故障（参照B.3.6）额外影响的操作第四部分这部分将描述遇到在系统需求中所提到的额外影响时系统/子系统/仪器设备1.继续履行它的具体操作需求2.继续履行它的具体安全需求（包括存在故障情况下）安全案例只有在额外影响的特定范围内是有效的，正如在系统需求中所定义的.在

46、这些限定之外不能确保安全,除非实施额外的特殊措施用来支持特定的额外操作22EN 50129:2003的方法将得到解释和判定.更详细的信息可参照B.4第五部分有关安全的应用条件这部分将强调在系统/子系统/仪器设备的应用中应遵循的法则，条件和限定.这 也包括一些相关的子系统和仪器设备的安全案例中所包含的应用条件更详细的信息可参照B.5，同时在表E.10中也有所指导第六部分安全资格审查这部分将演示在安全资格审查的操作条件下的一些成功的例子.可参照B.6技术安全结构可参照图7 5.5安全接受和论证这部分定义了与安全相关的电子系统/子系统/仪器设备的安全接受和论证部分.除了认为是合适的地方，其他地方并没

47、有特殊强调应该由谁在每个 阶段来做这项工作，因为它是随着环境的变化而变化的.5.5.1 概述正如5.1所提到的.为了保证与安全相关的铁路信号电子系统/子系统/仪器设备 安全所必须满足的三个条件如下：1.质量管理措施2.安全管理措施3.功能和技术安全措施这三个条件已经在5.2 和5.3 和5.4 中提到 正如5.1和图3所显示的，安全案例中应包括质量管理措施，安全管理措施和功能技术安全措施可以考虑安全案例的如下三种不同的分类：1.一般的产品安全案例（独立应用）一般产品可用做各种不同的独立应用2. 一般的应用安全案例（应用分类）有相同功能的一般的应用可以划分为一类3.特殊的应用安全案例（特殊应用）

48、特殊的应用只能用做一种特殊的装置有必要告诉大家的就是对于每一种特定的应用，无论是环境的条件还是应用的23EN 50129:2003内容与一般的应用条件相兼容这一点是必要的（参照5.5.4）在以上三种分类中，安全案例和获得安全论证程序的结构基本上是相同的.然而，对于特定的应用也有附加因素：在这种分类中，对于系统的应用设计和它的实际操作需要独立的安全论证（例如:生产，安装，测试和用于操作和维护的设施），基于此，对于特定应用的安全案例应该分成以下两部分：1.应用设计安全案例：这包括特定应用的理论设计的安全措施2.实际操作安全案例：这包括特定应用的实际操作的安全措施这两部分结构可见5.1和图3 5.5

49、.2安全论证过程在考虑安全论证的操作之前，应该做出一份系统/子系统/仪器设备的独立的安全评估报告和安全案例.这样做是为了进一步确保能达到安全的必要水准，且将结 果记录在安全评估报告中这份报告应该对安全评估员决定如何设计才能使系统/子系统/仪器设备（硬件和软件）满足特定要求的做法进行解释，同时强调对系统/子系统/仪器设备的操作而言的一些附加条件像EN50126中所提到的安全评估的深度和对其操作的独立性的限度都是基于风险分类的结果之上的为了增加可信度，安全评估员可能要求进行特定的测试整个文档的措施应该包括：1.系统（子系统/仪器设备）需求；2.安全要求；3.安全案例 包括：第一部分：系统/子系统/

50、仪器设备的规定第二部分：质量管理报告（质量管理措施）第三部分:安全管理报告（安全管理措施）第四部分：技术安全报告（功能/技术安全措施）第五部 分:相关的安全案例（如果可能的话）第六部分：结论4.安全评估报告；根据安全案例中提 到的满足安全接受的所有条件，并且依照独立的安全评估结果.系统/子系统/仪器设备依法得到相关安全局的论证.安全评估人员对论证可24EN 50129:2003能会强制执行一些额外条件（暂时的或永久的）对于一般性产品（即应用的独立性）和一般性应用（即应用的等级分类）被一个安全局同意的安全论证和可能被其他安全局所接受（即相互接受），当然对于特定的应用而言是不可能的图8显示了针对三

51、种不同的安全案例的安全论证过程5.5.3安全论证完成之后当系统/子系统/仪器设备完成安全论证之后，我们应该对接下来的任何改动都要加以控制，可以利用即将作为新的设计的相同的质量管理，安全管理和功 能/技术安全标准来对其加以控制.所有相关文档包括安全案例，都应该及时更新或由额外文档来加以补充，并且提交这种改动的设计去论证.一旦将完成的系统/子系统/仪器设备交付使用，那么在技术安全报告（安全案例的一部分）的第五部分和安全计划中规 定的正确的手续，支持系统和安全监管就应该使用，以确保在它的整个工作生命中的安全操作，这些操作包括运 行，维护，变动，扩展和最终的停止使用，这些行为由原始设计所运用的同 样的

52、质量管理，安全管理和技术安全标准来控制包括安全案例在内的所有相关文档都应该及时更新，并且把有变动或扩展的设计递交上去加以论证.5.5.4安全论证之间的附属地在5.1中提到过，系统的安全案例依靠其他子系统或仪器设备的安全案例.在这种情况下，就是说如果没有先前相关子系统/仪器设备的安全论证，就不会有主干系统的安全论证.如果已经完成对一般产品或一般应用的安全论证，那么这将可能指导一种特定应用的安全论证没有必要对每一种应用都重复这种一般性的论证过程.图9就显示了这种安全论证之间的附属地.一种基于说明有目的的特定的应用的安全案例是与那些特定安全论证的实施在技术上是等价的.对这种特定应用有必要采取新的安全

53、论证.确保在附属地的如下做法是必要的.即每一个安全案例的技术报告中提到的与安全相关的实施条件都要以高水准的安全案例来完成，否则提前进入以高水准的有安全应用条件进行执行.25EN 50129：2003附录A安全完整性水准A.1概述附录对安全要求，安全完整性和有关安全系统在铁路中应用的安全完整性水准的起源，分配和执行都作了详细的描述.对每种特定的铁路应用，以允许的安全目标的形式出现的容许危险率是有关铁路当局的责任.该标准未对其进行定义.EN50126中规定了安全管理过程A.2安全要求 以下两部分提到了系统要求（或正确的子系统/仪器设备）（参照图A.1）:1.不涉及安全的要求（包括实际的功能要求）；

54、2.涉及到安全的要求；涉及到安全的要求我们常常称之为安全要求#,这些可能包括在独立的安全的具体要求中我们把安全要求氛围如下两部分：1. 安全功能要求；2.安全完整性要求；安全功能要求实际上是系统/子系统/仪器设备的与安全相关的功能所要执行的要求安全完整性要求定义了对每一种与安全相匚关的功能的安全完整性水准A.3安全完整性水准（SIL）安全完整性水准关系到安全相关系统性能的安全完整性要能完 成规定的安全功能安全完整性越高，他行使规定的安全功能的不成功率就越低安全完整性有两部分构成（参照图A.1）:系统故障完整性26EN 50129:2003随机故障完整性要充分实现安全完整性，就必须满足上述两条件注:由环境条件（如:电磁兼容性和随机故障完整性系统故障完整性是安全完整性中不可量化的部分，并且它还关系到危险的系统错误（硬件或软件），在系统子系统设备生命周期的各种状态中，系统错误都是由人的错误引起的.例如：一规格说明错误一设计错误一制造错误一安装错误一造作错误 一维修错误 一校正错误 系统故障完整性由质量管