铁路信号安全电子系统应遵循的一般原则及安全性判定

1、.：.；一 铁路信号平安电子系统应遵照的普通原那么及平安性断定系统整体上必需具有足够高的可靠性，并按照平安性完善度等级的划分原那么,确定系统整体和各部分的平安性等级，采用与该等级相顺应的技术来制造硬件和软件。对于平安性完善度为最高等级系统以及即使不是最高等级系统的生命攸关功能的实现必需符合“缺点平安的设计原那么。系统的整个生命周期自始至终必需处在严厉的质量保证体系的监管之下。质量管理也包括在对平安性完善度的调查范围之内。系统的行、调车指挥功能和平安功能很难截然分开，因此在需求规格阐明中，表述一个功能时，应该同时指出在实现该功能时需求防备的风险。凡是曾经列入需求规格阐明书的平安性要求可以视为根本

2、需求的内容。没有同时表述的平安性要求，除了相关技术规范已有明确规定以外，需求单独编制平安性需求阐明书。系统验收时，对涉及平安性要求的验收根据，除了需求规格阐明书之外，还包括相关的技术或管理规范、规范中载明的和蕴涵的平安性内容。合理地评价系统的平安性往往要求对系统的平安性进展某种定量估计。一个详细铁路信号平安电子系统能否需求给出定量的平安性目的，取决于铁路主管部门根据管理的需求决议。假设提出某一平安性定量目的，就必需指出赖以获得该目的的模型在什么条件下是适用的和在什么范围内是有意义的。对于一切基于统计实验的平安性概率估计，由于平安性实验能够得到的数据样本很少，因此，在提出估计值时必需同时给出置信

3、度和置信区间才是有意义的。平安性完善度是从技术和管理上保证平安的概念。用平安性完善度衡量系统的平安性，主要经过验证一切平安性问题的完善处置技术能否得到采用，质量管理措施能否落实来实施。平安性完善度也可以有条件地进展量化，代表技术上和管理上的完善性，它是对统计实验数据依赖较小的一种评价方法。系统的平安性不能完全依赖缺点检测，缺点检测对某些不测出现的缺点形状有漏检的能够。有些缺点在检测之后并不一定立刻能消除缺点的影响。当出现这种情况时，不能确定的形状也应归在危险形状的范畴内。系统中应特别留意电气和非电气环境要素的影响，以保证规定的功能都能平安地实现。 系统中除了平安性以外，关于可靠性、可用性和可维

4、修性的术语遵照通用的电子或机械领域的定义。二 铁路信号系统的平安性完善度通常分为五级：“最高级也称“级。所指对象对铁路运输而言其整体功能是“生命攸关的、对平安是“苛求的critical、设计必需是“缺点-平安的；“高级也称“级。所指对象对铁路运输而言其部分功能是“生命攸关的、对平安也是“苛求的、平安性设计应该是“高完善度的；“中级也称“级。所指对象对铁路运输而言其功能是“不可短少的essential、是“涉及平安的involved；、平安性设计应该是“中完善度的；“低级也称“级。所指对象在铁路运输而言其功能也是“不可短少的、也是“涉及平安的、但平安性设计可以是“低完善度的；“零级。它对铁路运输

5、而言其功能不是“不可短少的、但和平安性是“不相关的non-safety-related、没有平安性的设计要求。 凡是新开发的铁路信号产品要根据技术平安性要求提出单独的、足以证明这些要求的。三 正常条件下的功能平安性要求正常条件下的功能平安性是指系统没有发生缺点也不存在误操作等危害源的情况下，系统按规定保证铁路平安运转的才干。对于已有专门技术规范的各类信号设备应严厉遵照这些规范的要求。对于没有规范可遵照的设备，必需提出功能和技术平安性报告。 功能和技术平安性报告必需是完好的，包括在内的一切平安性完善度等级的要求。必需解释确保平安设计的技术原那么并包括一切技术支持根据。在正常条件下，保证系统正确运

6、转的的技术平安性报告应包括：. 系统构造描画。. 接口定义包括人机接口和系统接口的定义。人机接口又分为操作人员的人机接口和为维护人员的人机接口；系统接口又分内部接口和外部接口。. 系统需求的实现。详细阐明系统需求的功能经过设计满足的根据：设计原理和计算、测试阐明和测试结果等。d. 系统运转特定环境。指通风、温度、湿度、电磁干扰屏蔽等。e. 保证正确的硬件功能。阐明硬件设计平安性完善度等级，可靠性、可用性等。f. 保证正确的软件功能。阐明软件设计平安性完善度等级。提出软件可用性报告和测试报告，其中包括硬件和软件之间的相关性、相互作用的顺序、呼应时间、自测试例行规程、形状监视、数据采集约束等。g.

7、 外界干扰下的运转。存在特定的外界干扰下满足功能需求和平安性需求的才干。对平安性苛求系统，在设计中应提出在超出规定限制的外界干扰条件下坚持平安任务的原那么意见。h. 与平安性相关的运用条件；虽然本规范偏重于系统/子系统/设备的功能平安性，但也应思索支配和维护人员的安康和平安，主要有：消费、安装、测试和交付运用中的防护措施；系统常规操作规程、诊断缺点和进展维护的规那么和方法、电磁损伤的预防；辅助设备和工具等的平安性验证。四 软件设计技术要求在不牺牲可维护性的前提下，在构造设计时就应控制软件的规模和复杂性。应选择一套和平安性完善度相顺应的编程言语和编译工具。翻译器或编译器应是成熟的、曾经获得成认的

8、并能出示国家或国际“认证证书的，否那么需求一个详细报告阐明它能满足平安性的要求。在软件设计时就应确定软件的测试方法。1 软件集成技术要求软件集成是一个逐渐将软件单元、模块合成软件系统的过程。目的是在整个系统集成和测试之前充分地证明模块接口和装配的正确性。软件模块测试结果应记录在软件模块测试报告中。软件集成和测试可在目的机或仿真目的机上进展。但是，假设软件集成测试在仿真目的机上进展，在目的机上应进展补充附加测试来证明软件集成测试活动的有效性。软件集成方案中应确定软件模块的集成方式，应写明：集成层面的划分；测试案例和测试数据；要执行的测试类型；测试环境、工具、配置和程序；判别测试能否实现了测试目的

9、。产生的软件集成报告应给出测试结果及能否满足软件集成方案的结论。假设集成失败，那么要记录失败的缘由。在软件集成期间，对软件的任何修正或变动都要进展影响分析并进展必要的重新验证活动。2 软件平安性测试软件平安性测试因目的不同分为：由消费方自行在开发各阶段实施的测试；由规定部门第三方实施的测试，包括用于认证的测试、验收测试、设计资质检验的测试和各种委托的测试。测试方法可选择白箱测试或黑箱测试。由第三方和用户进展的测试可以只采用黑箱测试方法。3 软件平安性技术审查主要是对软件生命周期中涉及平安性相关文档的完好性、正确性和可追溯性所进展的审查。软件生命周期的文档要求见附录E。审查的内容有：平安性需求阐

10、明书对系统平安需求的识别；软件体系构造设计对平安性需求规格阐明的覆盖；软、硬件集成报告对集成方案的覆盖；平安测试报告对平安性测试方案的覆盖等。五 信息传输平安性技术要求平安信息传输需求远远高于用于普通目的的信息传输系统所需求的过失防护机制。公用的铁路平安信息传输系统通常应是一个封锁的传输系统。为实如今铁路信号任务条件下的平安信息传输平安性，需求了解传输过失发生的条件和失效的形状。平安信息传输要求在错误发生时，传输系统必需按照“缺点平安原那么转移到预定的平安形状。1概念化模型选取一个多层多级构造的概念模型见图1来阐明传输过程中不同成分之间的关系。在模型中，需求维护的信息处在“最高层上。大多数通用

11、数据传输系统的组织构造，都要使得每一层的设计和实现别分开来。低层普通对高层透明。图1 多层多级传输构造模型在平安信息多层传输衔接中，某一层没有发现的错误在高一层必需发现。任何一层的错误检测机制都要思索到其他层次的特性。每层都必需思索信息传输以及相应的错误和防护类型。在最低层信息以物理信号方式发送，中间层以数字信号发送，最高层以完好内容的信息发送。系统的每一个成分都会给信息传输带来延迟，尤其是存储器。延迟随成分不同各异。可接受的最大延迟取决于运用。系统中的不同层次都能够存在闭环。闭环中两个传输方向上传输部件间的物理衔接不一定要对等。2传输系统中的错误真实传输系统与理想平安性的接近程度可以用传输中

12、错误的漏检率来表示。需求经过分析断定系统能否可以防止突发、零星或系统错误。在错误率很高时需求采用特殊的防护战略。为了估计传输平安性仅思索平均错误率是不够的，还要检测错误的时间分布。这就需求建立错误分布的数学模型和估计相关的分布参数。3错误源分类错误源主要分为系统内部和系统外部两大类。系统内部错误源 系统本身错误硬件成分或软件的缺陷以及噪声在系统正常运转时也会起作用。它们的暴露通常呈随机或近似随机分布。源于硬件缺点的错误能够产生复杂的错误后果，它会使编码和信息重发措施的防护效能降低。由于错误产生是由于硬件缺点，因此定量和定性分析可以采用缺点方式影响分析方法FMEA。软件错误大多人为要素设计、维护

13、等，属于系统失效范围。系统外部错误源外部错误源可分为环境和人因错误。一切系统都会遭到外部影响，但受影响的程度很大一部分取决于传输的物理介质和设备特性。外部错误能够忽然发生并经过系统部件加以放大。一些错误源如公路上车辆点火塞放电噪声会引发周期性分布的错误。由于牵涉到许多变化的要素，通用的电磁环境特性不能完全照搬运用。可以在现存的文献中从类似系统中找到有用的信息，也可以经过有效的丈量来确定与某特定的或一类相关系统的参数。不同错误源影响的相关性不同错误源产生的影响不一定各自独立。导致噪音添加、阈值降低或带通改动的元器件缺点、增益调整偏向等人因过失都会导致系统内部各成分间相关错误影响的加深。4与错误类

14、型相关的概念化模型等级 系统内在错误及外部影响导致的错误最有能够在概念模型的低层发生。外部影响通常主要局限在物理衔接中，但不能排除在较高层发生外部错误的能够。设备本身缺点与模型的高层协议、寻址、编码以及能够的调制和解调等有关系。这类错误也会引入到物理衔接中。5平安信息防护技术防护运用层次a. 物理层：只思索物理信号的模拟特性；b. 数据层：相关的维护技术主要集中在位(bit)方式上；c. 过程层：信息维护主要表达在数字信息的相关方式上，不思索位方式也不涉及信息的详细意义；d. 内容层：在检查正确性的时候要思索传输编码被指派的信息在实践系统中的意义。信息冗余与编码对“数据层和“过程层的信息维护主

15、要依托信息冗余技术。 信息重发是一种信息冗余也是一种检错技术，对关键数据采用信息重发，可以提高传输的平安性。重发技术经常被采用是由于它的检测器很容易按照“缺点-平安的要求来实现。运用纠错编码可以提高平安传输的可靠性和可用性。在选用纠错编码时要留意：传输衔接中的缺点必需能及时发现，假设这些缺点被纠错机制掩盖而不能立刻发现，呵斥不能及时维护反而降低了平安性程度；纠错器应该按“缺点-平安的要求设计。否那么，在运用纠错编码传输的平安性苛求系统中，平安信息的传输还必需同时结合运用信息重发技术。阐明：采用纠错码和采用硬件冗余及多版软件在提高可靠性、平安性的机理上是一样的，所以不能绝对地说制止运用纠错码。只

16、需技术和经济上合理，不能排除运用的能够。要留意检错码在解码器上也能纠正一些有小错误的信息。但在平安系统中不能依赖这个功能，由于该功能会添加错误漏检的概率。过程数据维护在信息冗余的处置过程中，信息单元通常是多位的字，思索的问题主要偏重于信息间的关系而不是单个信息中各个位之间的关系。“协议是管理通讯参数之间关系的规那么。根据实现协议的电路或软件提供的数据维护，不仅要维护信息的内容，还要确保信息不采自错误的信源和被错误传输。信息过期也应予以防护。协议可以防护在系统低层引入的错误，但不能防护协议层本身由于硬件缺点所产生的错误。协议与建立的衔接以及信息传输有关。从平安的角度来看，对它们的审查与错误检测是

17、同样重要的。虽然已有许多协议，而且有一些曾经作为规范被接受如CCITT接口规范，这些协议也未必都能防护平安系统思索范围内的一切错误。采用规范协议的时候，需求添加附带的检查程序来提供所需的平安性。传输平安防护措施选择在传输系统不同层次上选择维护信息传输平安的措施。选择的目的是以最经济的方式确保传输系统的整体平安性。在很多情况下选择遭到与现有设备兼容性的限制，还遭到规范，尤其是CCITT规范的限制。由于思索的要素很多，对于防护的等级和方法不能够给出一个确定的选择规范。思索的主要原那么是不超出一切的选择约束，有关选择约束见附录F。引荐运用的综合防护方法引荐运用的综合方法见附录F。6接口平安性技术要求

18、在系统设计中，接口应尽能够简单，这有利可靠性、平安性验证和维护。6.1接口分类及要求1 人-机接口a. 该当详细描画系统的任务原理在正常条件下、在报警条件下的呼应、如何运用“协助 提示等。 b. 该当详细描画工程人员对某一个特定铁道路路或作业来配置系统时所进展的接口处置软件参数、硬件走线、安装技术、规程等。 c. 该当描画维护人员在不同等级的维护过程中运用的接口设备和辅助设备。2系统接口 a. 系统内部的接口。应定义系统内部成分之间的衔接功能和接口构造阐明电磁干净区域和污染区域、内部总线构造、通讯线路、功能监控和纠正、诊断和设备情况监控等。 b. 系统外部的接口。应定义系统和外部各设备之间的功

19、能和物理构造的接口如传感器、传动安装、通讯线路、测试和监控设以及扩展便利性等。3确认和测试 应描画由技术人员为系统确实认和测试所进展的处置。包括对规程、测试安装、模拟安装、分析方法等确实认和测试。6.2 接口平安性主要技术平安系统或系统的平安中心部分通常是一个冗余系统，需求为冗余系统提供多个接口或在一个接口上的多条途径来输入离散的信息。为了确保各冗余部件硬件和/或软件可以处置一样数据，可由以下方法实现：a凡串行接口均依赖编码来检查错误，但是要求各冗余子系统或冗余成分在正常时处置这些一样数据并保证产生一样输出。b在输出接口上经过一个“缺点平安的硬件及控制软件来表决、比较或检验，最终决议接受哪个冗

20、余子系统或冗余成分的输出，这个软件应保证这个过程的同步和正确，并定时或不延续地检验每一个冗余子系统或冗余成分的可用性。c采用必要的诊断、形状监测和功能监测等技术7非平安性系统的运用思索到本钱，可以运用一些较经济的非平安设计的通用产品。利用非平安传输系统实现平安信息传输构造框图见图3时，其要求的平安性应和运用通用的元器件构成平安系一致样。图3 利用非平安传输系统实现平安信息传输的构造框图7.1硬件冗余用计算机来实现通讯功能是传输系统高层目前通用的做法，设计应服从“缺点平安原那么。普通应采用冗余系统构造。7.2软件冗余的相异性对软件冗余有相异性要求。不能依托商用软件实现相异性来到达平安性的运用目的

21、。7.3 地理或空间相异性一样两点之间的信道上不同地理道路的信息传输称地理或空间相异性。相异性提供了一个有效的途径来防止外部引入的共模干扰和硬件缺点。这种相异性还可用来在无线电传输中防止信号间歇衰落。7.4 时辰相异性信息的反复发送是时辰相异性的一种方式。它的价值在于被引入的干扰或间歇性硬件缺点的影响在延续时间坐标上的时辰是不同的，因此便于进展比较和检测。7.5 信息冗余信息冗余有能够经过编码和过程检查发现传输设备缺点所引入的错误。8外界干扰下的系统运转 在出现外界干扰的环境条件下，系统应该继续满足规定的功能要求和平安性要求。运用环境指室内设备、室外地面设备、车载设备等运用环境的约束。应思索的

22、干扰环境条件主要有：气候条件、机械条件、海拔条件、电气条件、非法登录等。车载设备亦应保证在规定的电气条件下到达要求的平安性。环境条件详见附录G附录F(规范性附录)平安信息传输的技术要点F.1平安信息传输的技术要点1该当详细分析和充分了解传输系统构造，确认错误信息如何进入系统及在何处可以检测到错误信息。引荐用多层构造的概念模型见附录F-图F.2研讨系统。2防备错误方法的选择应思索传输系统特性及其组成部件物理传输媒介。传输媒介所在条件包括自然条件和设备缺点或错误调整、电磁干扰等条件。3无论采取什么维护措施也不能排除衔接中断出现的能够。当衔接失效超越规定时间，系统必需确保平安信息的接纳端能回到平安形

23、状。4有必要对系统及其组成部件做定性分析来评价它对错误的敏感性和出现缺点或软件错误时的能够后果。对传输信息潜在错误的定性和定量分析是设计或验证平安信息传输系统的一个先决条件。5为进展定性与定量平安性分析的仿真建模与技术必需整体合理，并只在规定的验证范围以内运用。6需求思索错误的分类和构造，它们取决于错误源和传输衔接的特性。当传输系统中存在存储器或其他复杂器件时，它们本身就会带来某种特定方式的随机错误。7电路中单个元件缺点可产生一类多位错误。8需求思索外部或内部干扰控制逻辑、选通、片选信号、地址或数据线等会导致信息的完全破坏。9只需能够都要对错误源及其对传输系统产生的后果做出评价。10当过失防护

24、成为平安信息维护的独一途径时，与通用通讯系统采用的传输维护相类似的技术可以采用，但需求用更高的电平来保证平安信息传输。11模拟系统的传输设备、滤波器和放大器必需按照“缺点-平安的原那么设计。12在错误检测上运用规范通讯技术，在多数情况下，比利用能量冗余的模拟的特殊硬件更为经济。13 当采用通用方式丈量系统的纠错才干时，在选择或验证错误检测技术之前，需求根据计算或仿真的需求给系统假设一个理想情况下的最坏错误分布。14当出现各种不利情况如缺点条件时，为了判别在设定的错误分布与经过随机采样期测到的分布之间能否存在显著不同，需求思索潜在错误源的物理特性。15码位或外部干扰带来的突发错误纠错码必需有不少

25、于6位的汉明间隔 。16采用信号质量检测技术可限制解码器出错的频度，从而减少错误的漏检概率。当错误率很大时，切断信道会导致错误漏检。17出于硬件缺点和软件错误同步失败、地址译码失败和信息传输延迟等缘由，引荐采用查字分析和标注信息日期。通常不引荐仅运用检错码来防止信息破坏。检错码不能作为传输信息防护的独一手段，它必需与其他技术高层协议与过程、硬件冗余或相异性等结合运用。18除非在高层小心防备，使不合理的纠错不被高层接受，否那么不能运用纠错码。19平安信息在网络中传输，假设此时网络中嵌入了纠错码，就需求检查错误纠错的过程，防止传输系统性能遭到破坏。20假设查到了一个错误，将信息重发恳求与采用完全汉

26、明间隔 的检错编码方法结合起来，可以更平安的实现纠错。21通用传输设备或系统也可用来传输平安信息。但要非常留意通用设备的设计和制造，还该当同时运用冗余和相异性等技术。22当运用非平安性公用设备传输平安信息的时候，留意不能由于这类设备的设计和制造的变卦而危及平安性。23即使在平安性公用系统中，也应思索运用规范协议和接口。24任何一个新设计的或修正正的传输系统，以及当忘中接入成员变化，特别在最大接入时的平安性必需严厉加以认证。25在平安传输系统的设计阶段就要思索平安性认证。26平安性验证中采用的任何假设都需求验证。27证明传输系统平安性的时候，必需在整个网络范围内进展检查。28不能仅仅经过实验的方

27、法来验证传输系统的平安性。由于错误漏检率整体上非常低，不破费非常长的测试时间，获得的测试结果从统计角度上说是没有意义的。29需求经过实验途径来支持其他验证方法，从而确保建模的完备性和准确性。30电磁环境大多受人类活动的影响而产生变化。当环境变化时，现存系统的平安性必需重新验证。31需求留意维护阶段的错误行为能够会导致传输信息紊乱。32传输信道中包含有存储器的时候，需求采用高层的处置确保数据有效性。F.2防护措施选择原那么1 传输信息容量：发送信道容量对信息冗余程度的限制。2 传输介质：传输介质的速率、通道容量以及接受干扰的特性对防护等级产生很大影响。3错误源：对防护方法的选择具有关键影响，错误源影响的大小随传输介质的类