GBT 28809-2012 轨道交通 通信、信号和处理系统 信号用安全相关电子系统

中华人民共和国国家质量监督检验检疫总局I Ⅲ V 1 2 2 2 7 8 9 95.2质量管理证据 5.3安全管理证据 5.4功能安全和技术安全证据 5.5安全验收和审批 附录A(规范性附录)安全完整性等级 A.2安全需求 28附录B(规范性附录)技术需求 B.1概要 B.4外界影响下的运行(技术安全报告第4章) B.5安全相关应用条件(技术安全报告第5章) B.6安全合格测试(技术安全报告第6章) 附录C(规范性附录)硬件元器件失效模式的 43C.1概要 43C.2一般规程 43 44 44 45附录D(资料性附录)补充资料 ⅡD.1概要 D.2内部物理独立性的获得 D.3外部物理独立性的获得 D.5多重故障分析方法示例 附录E(资料性附录)安全相关电子信号系统避免系统性故障以及控制随机故障和系统性故障的技术和措施 参考文献 ⅢGB/T28809—2012/IEC——GB/T16935.1—2008低压系统内设备的绝缘配合第1部分：原理、要求和试验—GB/T16935.5—2008低压系统内设备的绝缘配合第5部分：不超过2mm的电气间隙和——GB/T20438.1—2006电气/电子/可编程电子安全相关系统的功能安全 —GB/T24338.1—2009轨道交通电磁兼容第1部分：总则(IEC62236-1:2003,IDT); GB/T24338.3—2009轨道交通电磁兼容第3-1部分：机车车辆列车和整车 GB/T24338.5—2009轨道交通电磁兼容第4部分：信号和通信设备的发射与抗扰度 -GB/T24338.6—2009轨道交通电磁兼容第5部分：地面供电装置和设备的发射与抗扰 -GB/T24339.2—2009轨道交通通信、信号和处理系统第2 轨道交通通信、信号和处理系统控制和防护系统软件(IEC62279: 第2章规范性引用文件中，EN50124、EN50125、EN50155已按IECTC9和CENELECEN50124-1、IEC62498-1V1GB/T28809—2012/IEC轨道交通通信、信号和处理系统(软件)2GB/T28809—2012/IECIEC60571铁路机车用电子设备(Railwayapplications—ElectronicequipmentusedonrollingIEC60664(所有部分)低压系统内设备的绝缘配合(Insulationcoordinationforequipment(FunctionalsafetyofelectrGeneralrequirements)IEC62236(所有部分)铁路应用电磁兼容性(Railwayapplications—Electromagneticcompati-tions—Specificationanddemonstrationofreliability,availability,maintainabilityandsafety(RAMS)]IEC62280-1铁路设施通信、信号和处理系统第1部分：在封闭的传输系统中有关通信安全(Railwayapplications—CommunicatIEC62280-2铁路设施通信、信号和处理系统第2部分：在开放的传输系统中有关通信安全(Railwayapplications-Communication,signallIEC62497-1铁路设施绝缘配合第1部分：基本要求所有电气和电IEC62498-1轨道交通设备环境条件第1部分：机车车辆车载设备(Railwayapplications—IEC62498-3轨道交通设备环境条件第3部分：信号设备和通信设备(Railwayapplications一3456GB/T28809—2012/IEC7DC:直流(directcurrent)EMC:电磁兼容性(electromagnetESD:静电放电(electrosta8SIL:安全完整性等级(SafetyintegriTHR:容许危害率(tolerablehazaUIC:国际铁路联盟(InternationalUnionofRailways)附录A(规范性附录)定义了安全完整性等级的解释和用法。附录B(规范性附录)包括了安全相关系统/子系统/设备详细的技术需求。附录C(规范性附录)包括了识别硬件可信失效模式的规程和信息。附录D(资料性附录)包括了补充的技术信息。附录E(资料性附录)包括了各种安全完整性等级中使用的技术和方法表格。参考文献包括了本标准编制过程中参考的相图2归纳了本标准结构。95.1.1第1部分系统(或子系统/设备)的定义5.1.2第2部分质量管理报告5.1.3第3部分安全管理报告5.1.4第4部分技术安全报告5.1.5第5部分相关安全论据GB/T28809—2012/IEC5.2质量管理证据安全验收首先应满足的条件是在系统/子系统/设备的整个生命周期内，其质量一直并将继续受有效的质量管理体系控制。对此证明的文档性证据由质量管理报告提供，其构成了安全论据的第2部分。质量管理体系的目的是在系统生命周期中的每个阶段减少人为错误的发生频率，进而降低系统/子系统/设备中的系统性故障风险。质量管理体系应适用于IEC62278中定义的系统/子系统/设备生命周期。图4为源于IEC62278定义的系统生命周期一个示例。 符合质量管理需求对安全完整性等级1～等级4是强制性的(见附录A中安全完整性等级说明)。但所提供证据的深度和支撑文档的广度应仔细核实并与系统/子系统/设备的安全完整性等级相适应(参见表E.1和表E.8给出的每一安全完整性等级所需证据的指南)。安全完整性等级0(非安全相关系统定义和应用条件2风险分析3系统需求4系统需求分配5设计和实现69系统确认(包括安全验收和试运行)系统验收10性能监控12运行和维护11修改和更新13重新应用生命周期(见注)停用及处置安全验收应满足的第二个条件是系统/子系统/设备的安全一直并将继续由一个有效的且与GB/T28809—2012/IEC使用安全管理流程对安全完整性等级1~等级4是强制性的(见附录A中安全完整性等级说明)。GB/T28809—2012/IEC62425:2SIL3和SIL4项目经理SIL1和SIL2或 在生命周期的开始前期应制定一个安全计划。该计划应确定安全管理结构、整个生命周期的安全相关活动和审批的里程碑，并应包含以适当间隔对安全计划进行复查的需求。当对原系统/子系统/设适当阶段对其对安全的影响进行评估。对每个安全完整性等级的安全计划指导参见表E.1。安全计划应包括一个确定最终安全论据具体结构和主要部分的GB/T28809—2012/IEC —由安全主管部门授权；——2.1系统结构描述(见B.2.1并参见表E.4);GB/T28809—2012/IEC 3.5多故障的影响(见B.3.5):——3.6系统性故障的防护(见B.3.6)。GB/T28809—2012/IEC6两部分的结构应遵循5.1和图3的要求。—安全需求规范；●第5部分：相关安全论据(如果适用);●第6部分：结论。只要安全验收的条件均已得到满足(如由安全论据所示，并取决于独立的安全评估结果),那么系统/子系统/设备可以获得相关安全主管部门的安全审批。审批可能会受到评估员所附加的(临时或永对于一个通用产品(独立于应用)和通用应用(即一类应用),由一个安全主管部门的安全审批可以所有种类的安全论据的安全审批流程的说明如图8所示。(应用的种类)特定应用第1部分...第3部分...第4部分...第6部分…..第1部分..第2部分.....第4部分...第5部分...第6部分...第1部分...第3部分...第4部分...第5部分...第6部分..物理实现第1部分…..第3部分.…第5部分...第6部分....产品安全审批应用安全审批相互认可相互认可系统BGB/T28809—2012/IEC安全需求GB/T28809—2012/IEC62425:2A.3安全完整性安全完整性关系到一个安全相关系统实现其所需安全功能的能力。安全完整性越高，它在执行所安全完整性包括(见图A.1)系统失效完整性和随机失效完整性。系统失效完整性是安全完整性的不可量化部分，并且与危害的系统性故障(硬件或软件)有关。系统性故障是在系统/子系统/设备生命周期的各种阶段中由人为错误导致的。 通过5.2和5.3中规定的质量管理和安全管理条件来达到系统失效完整性。在5.4规定的技术安全性条件里包含了防止系统性故障的技术措施。整性等级可以看作系统在实现规定的完整性等级时达到的恰当的可信水准(参见附录E)。随机失效完整性是安全完整性中与危害随机故障(特别是随机硬件故障)相关的部分。随机硬件故在5.4规定的技术安全性条件中包含了随机失效完整性的实现。随机失效完整性应利用概率计算进行定量评估。这都建立在硬件元器件失效率、失效模式和随机硬件失效的出现次数等已知数据的基础上。对于具备内在物理特性的元器件(见附录C),通常假定危害失效率为零。尽管可能存在危害失效的残余风险，但可以按5.4和B.3.6所述加以防护。安全完整性需求和安全完整性等级的分配分别在A.4和A.5中描述。A.4安全完整性需求的分配应系统地运用确定轨道交通信号设备安全完整性需求(要考虑信号系统的运行环境和结构设计)的这一方法的核心是明确定义运行环境和信号系统的界面。从安全的观点来看，这一界面是由一系列系统内的危害和与之关联的容许危害率定义。需要指出的是这一方法的目标不是限制供应商和轨道 安全主管部图A.2总流程示意图需要重点指出的是，容许危害率是关于系统失效完整性和随机失效完整性的目标度量。普遍认为仅在考虑随机失效完整性时，容许危害率才可以量化。在确定系统完整性需求是否满足时，将采用定性度量和评判。这些主要由安全完整性等级(以及由安全完整性等级导出的度量方法)所涵盖。安全主管部门应对风险分析和危害控制进行审批。A.4.1风险分析图A.3给出了一个风险分析流程示例。以下的子条款更详细地阐述了流程步骤。规范率风险分析流程示例—识别与系统相关的危害。造成人员伤害或环境破坏的不利条件。对危害的系统化识别通常包含两个阶段：危害识别的经验阶段和创造阶段相互补充，增强了已覆盖潜在的危害空间和已识别所有重大危害的置信度。着危害识别和原因分析应在系统研发的几个细节层次重复进行。如图A.4所示，在系统层面一个危害产生的原因可认为是子系统级的一个危害(针对子系统边界)。因此这一定义给出了一个结构化和层次化危害分析和危害跟踪的方法。危害(系统级)事故k原因事故1系统边界结果子系统边界原因—-定义风险容许准则；被现有功能所涵盖，要么对新的潜在危害重新进行风险分析以便进一步处理(若新的潜在危害要求系统/子系统以外增加附加功能或采用危害降低措施);危害控制流程在图A.5中描述。子系统元素和FR在原因分析的第一阶段，将每个危害的容许危害率分配到一个功能级(系统功能)。然后利用SIL表将一个功能的容许危害率转变成该功能的SIL。实现此功能的子系统的安全完整性等级则被定义在这一功能级。立即基于规定的THR分配SIL。一个子系统(即设备组合)可能实现一些安全相关功能，每个安全相关功能可能需要不同的安全完足最高的SIL,要么能提供它们的独立性证明。在两种情况下都应执行共因失效分析。马尔可夫模型等。当需要对象与对象间的独立性时，要极为谨慎下方面的充分独立性(见B.3.2和B.3.6):——流程上A.4.2.2.1物理独立性为了对随机效应进行可信的带与门的故障树计算，满足物理独立性是绝对必要的。因此在任何情物理独立性的条件参见D.2和D.3。安全论据的一个子章节也对对象与对象间的独立性进行明确说明。拒绝GB/T28809—2012/IEC62425:2A.4.2.2.2功能独立性功能独立性蕴涵不会由于系统性故障或随机故障造成一系列功能同时失效。因此，为了表明功能当应用故障树对系统功能进行分析时，比如判定功能A和功能B哪一个在安全完整性需求分配流图A.7FTA功能独立性处理关系A.4.2.2.3流程独立性产品和系统通常可看作为生命周期早期内在活动过程的结果。这些活动过程贯穿于生命周期的概认为产品或系统在其应用环境中安全等级要求越高则需要更健壮的和系统化的生命周期流程。此外，益于提高产品和系统的总的安全完整性。高安全完整性等级(SIL)需要更高的流程和人力资源的独立性以保证避免或减少系统错误。研发流程应满足需求的SIL,并确保研发团队在人员和组织机构上有足够的独立性以便进一步最大程度地减少系统错误。对于软件的指导见IEC62279。——新技术具有巨大的潜在新危害(缺少经验);——由于缺少恰当/合适的规范而产生的设计危系统整体性能造成影响或对人员造成伤害的潜在的系统级危害时，供应商应向轨道交通主管部门进行安全完整性被分为4个独立的等级。等级4为安全完整性最高等级，等级1为最低等级，等级0用于表明无安全性需求。安全完整性等级是对诸如质量和安全管理以及技术安全条件这类要素的定性与系统相关的危害是以它们在系统生命周期的风险分析阶段所得到的潜在后果来识别和评估的，如A.4.1所述。这一活动(自顶向下)可获得对于每个危害的容许危害率。然而供应商可能是以自底GB/T28809—2012/IEC安全完整性安全完整性安全定量指标质量管理条件一没有明确的需求一条件技术安全条件GB/T28809—2012/IEC62425:2SIL表可用于安全相关功能或执行一个或多个这些功能的子系统。如果遵循这些安全完整性等级SIL表用于根据容许危害率确定需求的安全完整性等级。因此若一个功能F的容许危害率用一种表A.1SIL表安全完整性等级4321若一个功能对于容许危害率需求超过10-⁹/h,应通过以下方法之一来处理：——若能把功能分解为独立的子功能，容许危害率则可在那些子功能间分解并给每个子功能分配SIL表是依据IEC61508-1构造的。如5.4中所述，系统/子系统/设备设计的安全技术证据应在技术安全报告(其构成了安全论据的第4部分)中给出。报告应按以下标题组织：——第1章：概要；——第2章：功能正确运行的保障；——第6章：安全合格证明测试。每一章都已在5.4中简要涉及。对于技术安全报告的第2章～第6章的详细需求包含在B.2~技术安全报告对于安全完整性等级1～4是强制性的(见附录A对安全完整性等级的解释)。然而，信息的深度和支持文档的广度应适合于需审查的系统/子系统/设备的安全完整性等级。安全完整性等级0的需求不在本安全标准范围内。技术安全报告的结构见图7。B.2功能正确运行的保障(技术安全报告第2章)一些细节方面在下文中讨论，使用与5.4一致的标题。应包含对系统/子系统/设备设计的总体描述。总体描述应有足够的深度以便能清晰地理解系统所B.2.2.1人机接口a)操作员应描述操作人员和工程人员操作系统/子系统/设备的机制。应描述工程人员为专门轨道交通应用配置系统/子系统/设备的处理过程。 应描述维护人员在不同级别的维护过程中使用的接口机制，包括任何辅助设备的使用。更多详细信息包含在B.5.2中。B.2.2.2系统接口a)内部接口应定义系统/子系统/设备内部各对象之间的功能接口和物理接口。 b)外部接口应定义系统/子系统/设备与外部各对象之间的功能接口和物理接口。B.2.3系统需求规范的实现应论证在系统/子系统/设备需求规范里规定的运行功能需求是如何通过设计来实现的。应包括所有相关的证据材料(或给出参考索引)。B.2.4安全需求规范的实现应论证规定的安全功能需求是如何通过设计来实现的。包括所有相关的证据材料(或给出参考索B.2.5硬件功能正确性的保障应描述系统/子系统/设备的硬件结构，解释设计是如何达到所需的完整性。包括需求规范和其他相关标准所拟定的以下几方面：GB/T28809—2012/IEC62425:2——可靠性这里对安全性的考虑只限于无故障条件，因为故障的影响已在其他地方考应满足IEC62279的需求。—响应时间；B.3故障的影响(技术安全报告第3章)本章论证在发生随机硬件故障直至可能的系统性故障时，系统/子系统/设备持续满足规定的安全需求的能力。应考虑的细节方面在下面B.3.1～B.3.6详细给出，使用与5.4一致的标题。B.3.1单一故障影响(参见表E.4)在发生单个随机故障时应确保系统/子系统/设备满足规定的容许危害率。当可识别的任何一种单一随机硬件故障发生时，应保证SIL3和S共因失效。只有当必要数量的对象取得一致时，才允许进行非限制行为。应能检测出一个对b)反应式故障-安全这种技术允许一个安全相关功能由单个对象执行，前提是通过快速的危害故障检测和拒绝来确保它的安全操作(例如通过编码，多路计算和比较，或通过连续的测试)。尽管只由一个对象实施实际的安全相关功能，但检查/测试/检测功能应被看作为第二对象。检查/测试/检测c)内在式故障-安全这种技术允许一个安全相关功能由单个对象执行，前提是假定对象的所有可信失效模式均为非危害的。任何被声明为不可信的失效模式(例如，因为内在的物理特性)应使用附录C定义的规程来进行评定。内在式故障-安全也可用在组合式和反应式故障-安全系统的某些功能无论使用哪种技术或其组合，都应使用适当的结构分析方法来证明机失效模式是非危害的。分析过程中考虑的元器件失效模式应使用附录C定义的规程来失效分析应是定性的，并且当可以得到可信的数据时进行定量化。随机硬件失效率或元器件的失效概率如有可能应基于现场数据。分析应证明失效模式之间元器件失效率分配的合理性。在包括多个对象并且各对象同时出错可能导致危害的系统中，各对象间的独立性是单一故障安全性的强制性先决条件。为确保这种独立性，应实施适当的规则或指导方针。采取的措施应在系统的整图B.1给出了两个工作对象组成的系统中各种类型的影响。该图可以扩展到多个工作对象组成——类型A内部物理影响——类型B内部功能影响各对象之间的功能影响是基于物理连接的，应采取措施防止内部功能影响。应通过内部功能独立性方法来实现(对类型B影响的防护)。——类型C外部物理影响外部功能影响能导致各对象之间丧失功能独立性，应采取措施避免外部功能影响。应通过外部功能独立性方法来实现(对类型D影响的防护)。图例：=预期的连接=非预期的连接(可能由故障引起)--=独立(如果规定的措施能避免非预期的影响和连接)=前触点(常开触点)=两个前触点(两个非受限独立活动“与”应电压)对象X对象Y输出应在足够短的时间内被检测到并强制进入安全状态(例如：拒绝)以实现规定的量化安全目标。这应通过采用失效模式和影响分析方法(FMEA)和随机失效完整性的定量评估方法(见附录A.3)来加以GB/T28809—2012/IEC间隔时间。极端情况是系统安装后的生命时间。当设备处于储存时，它是维护人员定期测试的间隔时间。注2:在附录D.4中给出了一个实现这些需求的方法的示例。注：拒绝时间一般是自动或人为切断系统相应部分所用的时间。TTA中出检测出第一个故障并进入安全状态后，后续故障应不能使系统退出安全状态。仅在受控方式下并态。为实现规定的安全性指标允许的修复时间应足够短。应及时检测可能直接造成危害或与继发故障组合后造成危害的多重故障(例如两重或三重故障),并且强制达到一个安全状态。这一时间应足够短以满足规定的安全指标。应用恰当方法(如故障树分析法FTA)来证明多重故障的影响。同时给出在允许时间内完成多重故障检测和拒绝的技术及其支持应进行共因失效分析(CCF)以确保多重故障只在多个随机单一故障组合情况下发生，而不是一个除通过质量和安全管理技术(见5.2和5.3)来减少人为错误的概率之外，还应采取技术性措施，以B.4外界影响下的运行(技术安全报告第4章)应考虑的影响列在下面B.4.1～B.4.7里。应遵照IEC62498-1和IEC62498-3中列出的不同情B.4.1气候条件应确保在IEC62498-3规定的气候条件下达到国际标准所需的安全性。如果轨道交通主管部门规定的条件比设备能实现的条件更严格，供应商可以在用户同意的条件下增加适应气候条件的措施。B.4.2机械条件应确保在规定的机械环境条件下达到国际标准所需的安全性。应确保在实际的海拔高度下达到国际标准所需的安全性。B.4.4电气条件(非车载)应确保在规定的电气环境条件下达到国际标准所需的安全性。GB/T28809—2012/IECa)访问等级定义定操作，操作人员都需符合一定准则，这些准则包括以下几个方面： 针对设备的培训b)防护 d)封装 机械编码；B.4.7更严酷的条件必要时，应采取措施来满足轨道交通主管部门规定的更严酷的条件。 设备周围温度快速变化造成的凝露—由以下原因造成的严重空气污染：●腐蚀性化学制品；●硫化氢。 ●除草剂 B.5安全相关应用条件(技术安全报告第5章)——适合特定应用的可编程系统配置；——故障发现和维护的规则和方法；——系统操作规程—关于修改和最终停用的信息；下列B.5.1～B.5.3给出了一些应包括的特定主题。a)配置如果一个子系统或设备对每个特定应用都需进行配置，那么应规定配置工具和/或配置的b)系统建立应详述如何将子系统和设备构造成一个特定的信号系统。c)功能改变为了适应这些不同应用它是如何配置和设定的。任何与安全使用有关的限制与条件应加以明B.5.2运行与维护a)工作状态应对每个系统/子系统/设备的内在条件加以定义，从而为操作与维护人员在下述情形下提供描述系统/子系统/设备在上电后或者由于断电或其他原因造成系统关闭后的启动条件。2)正常运行如果设备或配置的系统/子系统/设备有一个切换到一个冷备或那么此切换例程应重述1)和2)里规定的条件，还要清楚规定设备对失效模块切换时的当一个系统/子系统/设备在因配置变化或终止试运行的预期关闭、或由于断电造成—安全方面b)维护分级——由用户实施的二线维护；——由制造商实施的二线维护。c)周期性维护d)维护辅助手段 B.5.3运行安全监控在系统生命周期的运行与维护期间，应对系统/子系统/设备工作状态进行监控以确保其性能与设 B.5.4停用和处置系统/子系统/设备最后在停用时所需的技术安全性预防措施和规程应成文。其中应考虑在不中断轨道交通运行的情况下可能进行分阶段更换设备停用后的最终处置的警告和指南也应包括在该文档内。B.6安全合格测试(技术安全报告第6章)本章应包括证明在运行条件下成功完成安全合格测试的证据。这些测试的目的是：——增强系统/子系统/设备能满足规定的运行需求的置信度；——增强已达到规定的可靠性和安全性指标的置信度；——在遵循所提供的适当预防和监测措施的情况下，允许系统/子系统/设备在最后安全审批之前安全合格测试的范围和持续时间应在轨道交通主管部门和安全主管部门间达成一致，并应在考虑GB/T28809—2012/IECC.1概要本附录包括确认硬件元器件可信失效模式的 C.2一般规程为了分析单一故障的后果(见B.3.1),有必要识别每个硬件元器件可信失效模式。表C.1～表C.16包括的硬件元器件失效模式列表应作为设计和分析的基础，除非对任何改动已进行论证。应遵守C.5的一般说明。C.3针对集成电路的规程(包括微处理器)采用集成电路的设计需要特殊对待，因为很难预测设备可能存在的所有可信失效模式。对于可编是用自底向上的方法，如失效模式和影响分析，但是这种方法费时，并且可能会遗漏某些危害失效模b)或者，失效模式在外部被检测到并且在规定的时间内强制进入安全状态。在这种情况下，应进行定量分析以证明设计的正确，并应考虑全部元器件失效率下的危害失效模式的最不利的C.4带内在物理特性元器件的规程如果使用内在的故障-安全技术(见B.3.1),应对被认为不可信的任何元器件失效模式提供充足的GB/T28809—2012/IEC 超出元器件额定值(例如由于故障或过载)并非是失效模式出现的原因的证据：3)所列出的失效模式都可以是间歇性的。6)假定元器件是在公布的环境限制条件下运行。7)假定元器件是在公布的电气参数范围内运行。8)同一元器件引脚间的外部短路或漏泄不认为是元器件失效，合适的电气间隙和爬电距离见进行特别紧固7)除C.5中7)之外，应确保在公布的电气参数内有一定的余量，以防止元器件过载。C.7带有内在物理特性元器件的特别说明为了能论证表C.1～表C.16中(*)标识的失效模式是不可信的，下面说明提供其指南。10)器件应当没有空洞。电阻应限制在最低可能值(例如不超过10kΩ)。在元器件各引脚的插座/连接线之间的电气间隙和爬电距离至少应满足IEC62497-1的需求，以符合加强绝缘的需求。元器件应以胶合剂或瓷漆密封。在其他情形下，即使在最高温度下(包括故障条件)涂层也不应导电。物体应由即使在最高温度下(包括故障条件)也不导电的材料构成。线绕电阻的附加指南：——线绕电阻的线圈应只有一层；——线绕电阻绕线之间应通过涂层和/或物理分隔来防止短路。11)4端电阻应由以下方法构成：如果出现一个导致阻抗材料开路的故障，这个故障也应导致四个连接引脚中至少一个开路。电阻的外部电路应采用故障-安全的方法来揭露引脚的开路。使用了混合厚涂层技术的4端电阻示例见图C.1。图C.1使用了混合厚涂层技术的4端电阻示例12)两个引脚应独立地与元器件一边连接。13)一个简单的平行板电容器的电容计算见式C.1:式中：A——板公共面积：d——板间距离；Eo——自由空间介电常数；e,——相对介电常数(介电常数)。确认失效模式不可信需要论证上述参数均没有发生显著变化。电解电容由于不存在这种失效模式，因而不适合上述方法。14)电容的设计和构成应适应与最大工作电压(包括故障条件)相对应的高压应用环境。它应具GB/T28809—2012/IEC16)电气间隙和爬电距离应至少满足IEC62497-1的加强绝缘规定。——操作机制21)应选择不易熔接的接点材料。●磁性材料的选择；●外部磁场的防护。-—电特性：●绕线的缠绕质量●引脚的质量。●各部分的可靠紧固GB/T28809—2012/IEC-—光敏接收器。29)电气间隙和爬电距离至少应满足IEC62497-1的加强绝缘的需求。30)电气间隙和爬电距离至少应满足IEC62497-1的加强绝缘的需求。31)元器件应结构牢固。35)绝缘材料应当是稳定的。36)连接器应构造坚固。GB/T28809—2012/IEC39)应具备足够的绝缘性。()说明10)阻值增加阻值减小电阻材料的开路(”)说明11)()说明10)任一引脚电阻值的增加阻值的减小(·)说明10)同侧两引脚间的短路(”)说明12)a)各种类型的电容和可调电容(不包括4(*)说明14)容值增加(·)说明13)容值减小(·)说明13)并联电阻减小(*)说明14)串联电阻增大GB/T28809—2012/IEC62425:2容值增加(*)说明13)容值减小(·)说明13)并联电阻减小(*)说明14)串联电阻增大同侧两引脚间的短路(*)说明12)——匝之间；——层之间；——整个线图(·)说明15)(*)说明16)()说明17)线圈和磁芯之间的短路或绝缘降低(*)说明16)线圈电阻的增加电感值的增加(·)说明17)电感值的减少(*)说明17)任意线圈短路：——匝之间：——层之间；——整个线圈(·)说明15)(·)说明16)(·)说明16)线圈之间的短路或绝缘降低(*)说明16)线圈和磁芯之间的短路或绝缘降低(·)说明16)任意线圈电阻的增加任意线圈感抗的增加(·)说明17)任意线圈感抗的减少(*)说明17)(*)说明18)e)磁放大器(饱和电抗或磁放大器)GB/T28809—2012/IEC表C.3(续)c)磁放大器(饱和电抗或磁放大器)交流线圈的短路：——匝之间——层之间；——整个线圈(·)说明15)(·)说明16)(”)说明16)——直流线圈与交流线圈之间；——任何线圈与磁芯之间(·)说明16)()说明16)交流线圈感抗的增加(·)说明17)交流线圈感抗的减少(*)说明17)饱和电抗值的增加()说明19)饱和电抗值的减小直流阈值电压的降低(”)说明19)——开接点之间；——线圈与线圈之间；——线圈与接点之间：——线圈与导体外壳之间；——接点与接点之间：——接点与导体外壳之间(·)说明20)(·)说明16)(·)说明20)(·)说明20)()说明21)接点电阻增加接点抖动时间增加吸合电流增加吸合电流减小()说明22)释放电流增加释放电流减小(·)说明22)吸合/释放比的变化(·)说明22)吸合时间增加吸合时间减小(·)说明22)释放时间增加(·)说明22)释放时间减小(*)说明22)(·)说明22)任何前接点闭合与任意后接点闭合同时发生(瞬间或持续)(·)说明22)GB/T28809—2012/IECa)普通二极管(电源、信号、开关)反向电流增加反向击穿电压减小导通状态的电压增加导通状态的电压减小阈值电压增加()说明23)阈值电压减小(*)说明23)b)齐纳二极管齐纳电压增加(*)说明24)齐纳电压减小(·)说明24)反向电流增加正向导通的电压增加正向导通的电压减小正向阈值电压增加(·)说明23)正向阈值电压减小()说明23)——集电极(C)——B、C之间；直流和/或交流放大系数的增加(*)说明25)直流和/或交流放大系数的减小基-射导通状态的电压增加基-射导通状态的电压减小阀值电压Vne的增加(”)说明23)阈值电压Ve的减小()说明23)击穿电压Vs,或Vca,或Vcr的减小漏泄电流Ics、Ig、Icx的增加——漏极(D) —s.D之间 —S、G之间；——S、G和D之间正向互导的增加(·)说明25)正向互导的减小栅极阈值电压的增加栅极阅值电压的减小基-射导通状态的电压减小——漏、源击穿电压；漏泄电流Ics,或Ips或Icp的增加表C.6可控整流器a)晶闸管(SCR)——阴极(D)——G、A之间；——A、C之间；(·)说明25)门触发电流和/或门触发电压的变化—阴阳之间正向阻断电压；-—MT2(第二载流端)——G、MT1之间；——G、MT2之间；——MT1、MT2之间；——MT1.G和MT2之间(')说明25)门触发电流和/或门触发电压的变化MT1-MT2最大额定不导通电压和/或最大栅极额定电压GB/T28809—2012/IEC62425:2a)压敏电阻(VDR)筘位电压的增加箱位电压的减小漏泄电流的增加击穿电压的增加(*)说明24)击穿电压的减小(·)说明24)漏泄电流的增加c)气体放电管击穿电压的增加击穿电压的减小漏泄电流的增加d)气隙放电管击穿电压的增加击穿电压的减小漏泄电流的增加表C.8光电器件光灵敏度的增加(*)说明25)光灵敏度的减小漏泄电流的增加光灵敏度的增加()说明25)光灵敏度的减小漏泄电流的增加c)发光二极管(LED)发光的增强(恒流下)(·)说明26)发光的减弱(恒流下)漏泄电流的增加阈值电压的增加(*)说明23)阈值电压的减小(*)说明23)(*)说明26)(·)说明27)短路或绝缘电阻的减少：——输入输出之间；——同一导体外壳中相邻系统之间(*)说明29)(·)说明29)电流传输比的增加(*)说明25)、26)电流传输比的减小品质因素的降低b)机械谐振器(音叉/舌簧/摆)短路或绝缘电阻的减少：——输入输出之间；输入或输出与导体外壳之间(·)说明30)(*)说明30)b)机械谐振器(音叉/舌簧/摆)(·)说明31)()说明32)、33)传输比的减小品质因素的增加(·)说明33)品质因素的降低(·)说明33)、34)一根线或多根线的开路或电阻增加不同线之间的短路或绝缘降低(*)说明35)—一个或多个接点；——接点与接点之间；——接点与外壳之间(*)说明35)、36)(·)说明35)、36)()说明37)一根线或多根线的开路或电阻增加屏蔽层开路或电阻增加(*)说明38)短路或绝缘电阻降低——导线和导线之间或多种组合的导线之间；—单导线或多导线与屏蔽层之间；——单导线或多导线或屏蔽层与外部导体之间(·)说明39)(*)说明39)多处开路与短路(*)说明39)电阻增加衰耗增加衰耗增加表C.11熔丝(*)说明40)熔断电流的增加(*)说明40)熔断时间的增加(*)说明40)(·)说明40)——开接点间；——接点与接点间；——接点与导体外壳间(')说明20)(·)说明20)(·)说明20)(·)说明21)接点电容增加接点表C.13灯光强的减少——单个电池；——多个电池；电动势减少内部电阻增加表C.15变送器/传感器(不包括内部电子线路)(*)说明40)(·)说明40)(*)说明40)响应时间过长(*)说明40)功能不正常(见附录C.3)功能不正常(见附录C.3)功能不正常(见附录C.3)GB/T28809—2012/IEC61)印制电路板同一层上的线路之间的绝缘；2)多层印制板的不同层线路之间的绝缘；3)同一电缆中的绝缘导线之间的绝缘；4)同一变压器的绝缘绕组之间的绝缘；5)光耦合器内绝缘元件之间的绝缘；GB/T28809—2012/IEC电压);GB/T28809—2012/IEC62425:24)对于绝缘尺度的规定，应选择比较大的距离(电气间隙和爬电距离)。D.4单一故障分析方法示例a)根据同时失效可能导致危害的对象失效率总和“a”,相应对象的单一故障检测和拒绝时间tab)在a)里提到的失效率是应力分布的一个函数，该应力分布取决于运行期间的环境条件。应力分布依赖于应用。如果对失效率具有不利影响，可以用一个简化的应力分布作为基础。故障检测时间对于不同组合要分别确定。在这种情况下，如果一个对象有多个不同的故障检d)应对所有对象的故障进行周期性测试，这些测试应代表所有影响正确运行的可信故障，并且完成测试时间应小于t,;大规模集成电路的故障检测应符合表D.1。e)如果无故障的N取二系统(N=2或3)掉电，那么故障检测可能被中断。中断的时间长度应不超过a)中允许的故障检测时间值的400倍。f)当故障检测被中断的时间比e)中的允许时间更长时，系统/子系统/设备可能只有在完成多故注3:以下h)～k)的内容是从意大利铁路技术标准的安全性电子系统(IS353)中继承而来。IS353遵守OREA155.3推荐。g)当安全相关功能由单一部件执行时，安全侧失效暴露时间t是对单一故障进行检测和以安全方式来反应的最大时间总和。暴露时间应不超过任何危害条件持续时间的规定时限。为了避免所有危害条件，该持续时间应小于所控制设备的所需响应时间(取决于单一部件系统)。且完成测试时间应小于ta。D.5多重故障分析方法示例(如B.3.5)a)与第三个故障组合可能导致危害的双故障：GB/T28809—2012/IEC否否是否否是否是否是否否是图D.1故障分析方法的示例误动作1.1寄存器依赖性(模式敏感型故障)在各种可能模式里(数据位组合)使用所有寄存器(除预置寄存器)在初始化预置寄存器后(如中断控制寄存器),功能进行(例如用一个随机数发生器)1.2指令解内存的错误指令译码或错误指令执行，取决于源和/或目标数据位组合使用各种类型的一条指令，用1.1里列出测试，判断是否所有可用的系统指令是可执行的不仅检查相关的寄存器而且要检查所有其他寄存器里的存贮信息1.3时钟1.4复位附加或没有复位1.5电源误动作的方式重复该过程，直到所有RAM芯片中响，这个测试可分作几个在线测试周期完成GB/T28809—2012/IEC遵循IEC62278中阶段1～4的描述： 阶段3:风险分析： 设计和开发阶段的结果以及安全论据的结果将指导应用、运行和维护过程，这些过程应参见表E.10(参见5.3.12和5.4)给出1.检查清单R部门和企业协商一致的文档4.安全计划修改后的评审5.在安全生命周期每个阶段后进行安全计划的评审1.区分安全相关系统和非安全R:明确定义安全相关系统和非安全相关系统之间的接口接口分析2.图形描述(例如方框图)3.结构化的规范口进行描述分，自动一致性校核，精进至功能级5.计算机辅助的规范工具7.危害日志HR:建立危害日志并在整个系统生命周期内维护R注：因为检查清单或计算机辅助规范工具一般只说明“做什么”(以备不遗漏某件事),而不能确保实际完成的质量，因此它们应和其他方法一起使用。GB/T28809—2012/IEC1.安全组织机构员工的培训初始培训HR:在所有安全相关活动中进行重复培训3.安全组织中员工的资质4.(见备注)注：安全活动所涉及的人员应能够胜任这些工作(参见5.3.3)1.区分安全相关系统和非安全RR2.带自检和监测的单电子结构RR3.双电子结构RR一RR结构RRRR结构RR注：阴影部分中所有技术是可选择的