英国标准.doc

英国标准 BS EN50129:2003 铁路应用通信、信号和过程控制系统信号的安全相关电子系统 国家前言该英国标准是EN50129：2003的官方英文标准。它代替了被撤回的DD ENV50129：1999标准。GEL/9技术委员会委托英国参与了它的准备，铁路电子技术应用组织即GEL/9/1子委员会，信号和通信，职责是：帮助调查人理解文章；提出可靠的欧洲委员会的要求来分析或者提出改进意见，并保证英国的利益；关注相关的国际和欧洲发展，并在英国发布它们；一系列的组织给子委员会提出的意见可在它的秘书处获得。交叉的参考本英国标准应用国际的或者欧洲的关于本文件的出版物，它可能在“国际标准相应的索引”部分的BSI目录中找到，或者是使用BSI电子目录的或者英国标准在线的“查找”工具。它的出版并不意味着包括一个合同所有必要条款，英国标准的使用者有责任正确使用该标准。依从一个欧洲标准并不是指本人免除法律责任。总共的页数该文档包括前封面，内前封面，EN名称页，2到94页和内后封面和后封页。在文档最终出版后，BSI的版权日期在文档中指出。出版后的修订修订次数日期内容英文版本铁路应用通信、信号和过程控制系统信号的安全相关电子系统 这个欧洲标准在20001101被CENELEC提出，CENELEC 的成员应该遵守CEN/CENELEC国际标准，它规定了该欧洲标准在无修改的情况下作为国际标准的一些情况。最新的目录和关于国际标准的相关参考数目可以在中心秘书处或者任何CENECEC的成员那里获得。这个欧洲标准有三个官方版本（英，法，德）。CENECEC的成员可将一种版本译为他们的语言，并且通知中心秘书处，这样有作为官方版本的同样地位。CENELEC欧洲电工标准协会前言本欧洲标准由SC9XA准备，属于技术委员会CENECEC TC 9X 铁路电子和电子设备的通信，信号和处理系统。属于正式文件文本的草稿在20021101作为EN50128由CENECEC提出。这个欧洲标准取代了ENV50129：1998这个欧洲标准是在CENELEC的授权下通过欧洲委员会和欧洲自由贸易组织、96/48/EC指示的本质要求来准备的。下面是确定的日期，通过国际标准的出版或批注，这个标准作为国际标准来实施的最近日期 20031201与这个标准冲突的国际标准排斥在外的最近日期 20051101标注“标准化”的附件是标准的一部分标注“非标准”的附件仅供参考。该标准中，附件A，B，C是标准化的，附件D，E是非标准化的 内容引言.51范围.7 2合乎规范的参考.73定义.83.1定义.93.2参考.94标准的整体框架.115安全接受和承认的条件.125.1安全情形.125.2质量管理根据.125.3安全管理根据.125.4功能和技术安全根据.125.5安全接受和承认.12附件A（规范）安全完善度等级13A.1引言.13A. 2安全要求.13A. 3安全完善度A. 4安全完善度要求分配A. 5安全完善度等级附件B（规范）详细的技术要求B1引言B2 正确的功能操作的保证B3错误的影响B4对外部影响的操作B5有关安全应用的条件B6安全质量测试附件C（规范）硬件组成错误模式的鉴定C1引言C2常规程序C3完整电路程序（包括微处理器）C4固有的物理性质组成程序C5有关组成错误模式的常规信息C6附带的常规信息，有关固有物理性质的组成C7有关固有物理性质的组成的特殊信息附件D（情报）补充技术信息77D.1引言.77 D.2完成物理内在独立性.77D.3 完成物理外在独立性. .78D.4单个错误分析方法的例子.79D.5多个错误分析方法.80附件E(情报)为系统错误和控制随机及系统错误，为与安全相关的电子系统传输信号制定了技巧和方法85参考书目941 CENELEC铁路应用标准的主要范围.82 EN50129的结构.153 安全事例结构.174 系统生命周期举例.195 设计和系统生命周期有效部分举例216 独立性排列227 技术安全报告结构268 安全性承诺和安全性批准过程.289 安全性事例/安全性批准间独立性举例29A1安全要求和安全完整性.30A 2 全部过程回顾32A 3 风险分析过程举例33A 4 有关系统界限危险的定义34A5 危险控制过程举例.36A 6 解释故障和补救次数37A 7 由FTA处理的功能独立性.38A 8 安全完整性水准和技巧间的关系40B.1 影响项目独立性的因素46B.2 检测和否定单个错误49D.1 错误分析方法举例81A1 安全完整性水准表.41表C.1 电阻器61表C.2电容器.62表C.3电磁组件.63表C.4二极管.66表C.5晶体管.67表C.6控制整流器.69表C.7过负荷干扰抑制器.71表C.8光电子组件.72表C.9过滤器.73表C.10内部组件.74表C.11保险75表C.12开关和按钮75表C.13电灯75表C.14电池75表C.15变送器/传感器（不包括内部电路）76表C.16集成电路76表D.1在大规模集成电路通过周期性在线测试的手段来检测故障的措施的例子82表E.1安全计划和主动的质量保证.86表E.2系统要求的技术规格87表E.3安全组织87表E.4系统/子系统/设备的建构88表E.5设计特色89表E.6故障和危险分析的方法90表E.7系统/子系统/设备的设计和研发91表E.8设计的阶段性文档91表E.9系统和产品设计的鉴定和确认92表E.10应用，运行和维护93前言本标准是铁路信号领域内定义电子安全系统认可和支持要求的第一个欧洲标准。目前，国际上存在的语词有关的只有国际铁路联合组织（UIC）提出的整体建议和一些国家提出的互不相同的建议。针对信号的电子安全系统包括硬件和软件两部分。要安装完整的安全系统，必需考虑系统整个生命周期中的两个部分，即对硬件安全的要求和在标准上对整个系统定义的要求，期于要求在CENELEC标准上有要求。欧洲铁路机构和欧洲铁路工业在发展一种基于一般标准并能够相互兼容的铁路系统。因此，对于系统安全支持方面和不同国家铁路机构要求方面横向认可是必须的。此文件就电子系统在铁路信号方面安全认可与支持的欧洲通用的基础。横向认可的目的在于一般的支持，不是特殊的应用。当它成为一个EN时公众在有关铁路信号电子安全系统的欧洲摄取内的获得将会关系到这个标准。本标准包括主要部分（第一章到第五章）和附录A，B，C，D，E。在此标准中主要部分和附录A，B，C中定义的要求是规范的，而附录D和E是非正式的。本标准和EN50126（铁路装置RAMS）中相关的章节有关联。本标准和EN50126都是基于系统的生命周期和EN615081。在涉及到铁路通信信号和外部系统时，EN615081被EN50126/ EN50128/ EN50129取代了。买组这些标准的要求将来遵守未评价的EN615081是足够的。因为标准是关于安全系统的支持所显示出来的现象，所以它使生命周期的行为特殊化，这些行为需要在认可阶段之前完成，随之而来的是额外的计划行为。对整个生命周期的安全检测就是这样被要求的。本标准是关于显现出来的现象，除了认为是合适的地方，它没有规定谁将执行必须的工作，因为这在不同环境下是不相同的。EN50128定义了包括可编程电子器件和软件附加条件的安全系统。EN501591和EN501592定义了对安全数据通信的额外要求。1 范围本标准适用与铁路信号设备上用的电子安全系统（包括子系统和设备）。图1表示了本标准的范围和它与其他CENELEC标准的关系。本标准适用与所有的铁路信号安全系统、子系统及设备。然而，EN50126中定义的事故分析和危险估计程序和本标准对于所有的铁路信号系统、子系统及设备是必须的安全要求。如果分析结果显示 没有安全要求（例如：这种情况下是不安全的），并且结论没有修改行为后来变化的结果，本安全标准就会停止使用。分类、设计、建设、安装、认可、操作、维护和修改及扩展等功能也适用与完整系统中的个人子系统和设备。附录C包含了和电子硬件部分相关的程序。本标准又适用与一般的子系统和设备（独立的使用和某种特殊的使用），也可在系统、子系统、设备上有特殊的使用。本标准不适用与现存的系统、子系统和设备（例如在本标准之前已经被接受的系统、子系统和设备）然而，只要合乎实验性，本标准也被用来修改或扩展现存的系统、子系统和设备。本标准主要用于铁路信号传输设备的专门设计和加工的系统、子系统及设备。作为信号传输安全系统的一部分，如果现实允许，也可被用于真体的构思或一些工业设备（如：能源的供应、调配等）。即使在最小限度时，可根据显示，设备或者依赖于安全或者依赖于与安全相关的这些功能。本标准适用于铁路信号传输系统功能上的安全。它不是处理个人的职业上的健康和安全，这一课题在其他的标准上有说明。2 参考标准欧洲标准参考了其他出版物里的更新后未更新的部分。这些标准参考在本文适当的地方被应用，下面列出了被参考的出版物。对于更新过的参考，后来的修订当需要的时候也被欧洲标准引用。没有更新过的参考，出版物最新的版本有所提及（包括修改的部分）。注意：附加的非正式的参考在目录里。EN50121系列 铁路应用电磁兼容EN501241 铁路应用绝缘调配第一部分：电力电子设备绝缘的基本需求。EN501242 铁路应用绝缘调配第二部分：过电压及其先观保护。EN501251 铁路应用环境需求第一部分：board rolling stock上的设备。EN501253 铁路应用环境需求第三部分：信号传输与通信设备。EN 50126 铁路应用可靠性、可用性、可维护性和安全性（RAMS）规范和说明。EN 50128 铁路应用通信、用于铁路控制和系统保护的信号处理系统EN 50155 铁路应用电气设备在rolling stock上的应用。EN 501591 铁路应用通信、信号处理系统第一部分：在闭环传输系统中与安全相关的通信EN 501592 铁路应用通信、信号处理系统第二部分：在开环传输系统中与安全相关的通信EN 615081 电气、电子、可编程的安全电气设备系统第一部分：主要需求（IEC61508）IEC 60664 系列 在低电压系统的绝缘调配。3 定义和缩略词3.1 定义 在本标准中下面的定义将被用到。3.1.1 故障 导致死亡、受伤、系统或设备损失或者破坏环境的无意中的故障或一系列故障。3.1.2评估 分析设计部门和产业部门生产的产品是否满足规定的要求，并形成一套判别产品是否按其预定功能进行工作，这个过程称为评估。3.1.3 授权书 按规定使用产品的正式许诺。3.1.4 可用性 一个产品在给定一段时间，在一定条件下按要求实现功能的能力，以及在所需求的外部资源被提供的前提下，其在给定的一段时间执行的能力。3.1.5 可能 可能发生的。3.1.6 偶然性分析 分析一种专门的危害存在的原因。3.1.7 普通偶然故障 一些具有独立功能的设备失效。3.1.8 结果分析 分析在一个危害发生后，可能出现的情况。3.1.9 图表 表明硬件的结构和相互联系以及系统软件的功能。3.1.10横向认可 一个产品被一个权威乃至相关欧洲标准认可并且被最高权威认可，这样一种程度3.1.11设计 这是一种为了将规定需求通过分析和转换，使其满足可靠性要求的设计方法。3.1.12设计权威 此体系负责开发一套设计方法的公式去执行规定的需求并遇见随后的发展，使一个系统在预定的环境中工作3.1.13发送 这是一种用多种互不相同的方法来实现全部或部分特殊要求的方式3.1.14设备 起作用的物理装置3.1.15误差 与预先设计结果相偏离，并会导致系统发生副作用或失效。3.1.16失效安全 这个概念是包含在一个产品的设计当中，如产品看似处于安全状态，但实际上已经失效了。3.1.17 失效 偏离系统规定的行为，是系统错误或误差导致的结果。3.1.18 错误 一种非常规导致系统失效的条件，一个错误是随即的或有规律发生的。3.1.19 错误发现时间 从错误发生的一瞬间到被发现为止的异端时间3.1.20 功能 一个产品执行其规程的行为模型3.1.21 危害 导致事故的情况3.1.22 危害分析 坚定危害分析及其产生原因，以及违反法制危害可能发生的要求和在一定程度上危害所造成的后果3.1.23 危害记录 一个包含所有安全管理活动、危害坚定、决策生成的文档，用于存档和参考3.1.24 认为错误 导致系统发生副作用的人的行为（失误）3.1.25 执行 为了将规定的设计转化为物理的实现而进行的活动3.1.26 独立（功能） 由于机械具有的多功能而影响到正确操作，从而导致系统故障或突发故障的机械装置中寄托出来。3.1.27 独立（人工） 从需要相同智力、商业或管理试题中解脱出来。3.1.28 独立（物理） 从由于多功能而影响正确 操作几导致系统、副系统、设备发生突发故障的机械装置中解脱出来。3.1.29 个体风险 一个仅仅有关独立个体的风险。3.1.30 维护性 对于给定一种积极的维护行为，其在给顶使用条件的项目中的可行性，可以在相关条件和使用相关程序和资源的间隙中进行。3.1.31 维护 所有技术和管理行为的综合，包括监督行为，企图保持一个项目或将其存储，是一种可以表现其需求功能的状态。3.1.32 可行性 可执行性。3.1.33 负面性 当发现一个危险的错误而破坏安全的状态。3.1.34 负面时间 从一个危险错误的发生到结束，整个安全状态被破坏的时间跨度。3.1.35 生产 与形成满足规定需求的一种方法相互关联的元件组装。3.1.36 质量 使用者对于一个产品属性的看法。3.1.37 铁路权威 通过安全操作铁路系统而形成的完整的安全权威体系。3.1.38 突发故障强度 一个系统能承受危险的突发故障的限度。3.1.39 突发故障 无法预见发生的故障。3.1.40 可靠性 提供一种或多种通常是相同的措施，来提供对故障的承受。3.1.41可靠性 一套装置在给定条件下和规定时间内执行特定功能的能力。3.1.42 修理 将系统、副系统及设备在失效后恢复即定状态的重建方法。3.1.43 风险 发生特定危害的频率、可能性及后果的集合体。3.1.44 安全状态 一种持续安全的状态。3.1.45 安全度 不发生一定程度上的重大风险。3.1.46 安全度认可 最后一个使用者对产品安全状态的认可3.1.47安全度规定 当产品已经执行一系列先决条件后必须对安全状态进行权威认定。3.1.48 安全度权威 负责对与系统相关的安全操作发表授权。3.1.49 安全库 报名产品遵从规定安全需要的文档。3.1.50 安全度 在运行的各个阶段各种操作环境及所有的状态条件下，安全相关系统达到安全功能的能力。3.1.51安全度标准 在考虑系统错误的前提下，一个表明系统自我满足规定安全功能的数字。3.1.52 安全度生命周期 对于安全有关的系统的生命周期中执行的一系列动作3.1.53 安全度管理 确保过程被安全执行的结构。3.1.54 安全计划 如何达到工程的安全需求的执行细节。3.1.55 安全流程 对于一个产品所有安全要求进行鉴定和满足的一系列步骤。3.1.56 相关安全度 对安全度负责。3.1.57 命令 强制执行的。3.1.58 建议 被提议的。3.1.59 信号系统 由于铁路控制和保护火车正确运行的专门的一类系统。3.1.60 压力承受 当一个产品执行特定功能时所承受的大量外部影响的程度。3.1.61 副系统 系统中执行特殊功能的一部分。3.1.62 系统 通过设计，使一系列副系统相互作用而组成的。3.1.63系统失效度 系统从危害性误差和原因中恢复的能力。3.1.64系统错误 对于一个系统，在规范、设计、组构、安装、执行或维护中内部发生的错误。3.1.65系统生命周期 从一个系统开始构造到该系统失效这段时期内进行的一系列活动。3.1.66 技术安全报告 对系统、副系统及设备设计的安全进行论证的报告。3.1.67 有效性 一系列通过测试和分析来表明产品满足各方面安全规范的行为。3.1.68 鉴定 一种通过分析和测试，在系统生命周期的每一个阶段，对所分析和测试的阶段满足前一阶段的输出，和该阶段按规定输出进行坚定的行为。3.2 缩略词下面是该标准中用到的缩略词:3.2.1 AC 交流电3.2.2 ATP 列车自动保护3.2.3 CENELEC 欧洲电气标准委员会3.2.4 CCF 常见故障原因3.2.5 DC 直流电3.2.6 EMC 电磁相容性3.2.7 EMI 电磁干扰3.2.8 EN 欧洲标准3.2.9 ESD 静电释放3.2.10 FET 场效应管3.2.11 FMEA 故障建模和分析3.2.12 FR 故障率3.2.13 FTA 故障树分析3.2.14 H 危害3.2.15 HW 硬件3.2.16 IEC 国际电工技术委员会3.2.17 IRSE 铁路信号工程机构3.2.18 ISO 国际标准组织3.2.19 RAMS 可靠性、可行性、维护性和安全性3.2.20 SCR 可控硅校验器3.2.21 SDR 安全下降率3.2.22 SDT 安全下降时间3.2.23 SIL 安全度标准3.2.24 SW 软件3.2.25 THR 危害可承受度3.2.26 UIC 国际铁路联盟3.2.27 VDR 电压电阻器4 该标准所有框架欧洲标准中第五条款要求采用一个有规律的、有文挡的-质量管理记录-安全管理记录-功能和技术安全记录-规定安全度附录A 定义安全度标准的使用和结实。附录B 包含安全相关 的系统、副系统及设备的技术细节要求。附录C 包含坚定可修复硬件故障的步骤和信息的方法。附录D 包含附加的技术信息。附录E 包含用于安全度各个标准的技术、方法目录。目录 包含在执行着套标准期间所需查询文档的说明。5 为保证安全所允许的条件5.1 安全情况该标准定义的条件应满足为保证与安全有关的电气铁路系统、副系统及设备按其预期目的可以被足够安全的应用。在该标准中有关的部分是以.下三个标题为基础的，分别称为：-5.2质量管理记录-5.3安全管理记录-5.4功能和技术安全记录在与安全有关的系统可以足够安全的被使用之前，所有这些条件都应达到系统、副系统及设备要求的水平。已经与这些条件相符合的文档记录应当被包含进一个安全坚定文档，即安全库。安全库组成所有遵从相关安全权威的文档记录的一个部分，为了得到一个一般产品，一组应用或一个特殊应用的安全要求规范。对于安全规范过程的解释，见该标准的5.5部分。安全库包含系统、副系统及设备的安全文档记录，可以分为如下结构：第一部分 系统（或副系统及设备）定义应明确定义或表明安全库所指的系统、副系统及设备，包括类型编号、所有需求的修改权限、设计和应用性的文档。第二部分 质量管理报告该部分包括质量管理记录，如该标准中5.2部分提到的第三部分 安全管理报告该部分包括安全管理记录，如该标准中5.3部分提到的第四部分 技术安全报告该部分包括功能和技术安全的记录，如该标准中5.4部分提到的第五部分 相关安全库该部分包括与安全库所依靠的所有副系统及设备有关的安全库同时应该表明所有与安全有关的应用条件都应规定每一个相关的副系统及设备的安全库要么是在主安全库中执行，要么在主安全库中与安全库有关的应用条件下执行。第六部分 结论该部分应简要概括在安全库先前部分的记录，并讨论相关系统、副系统及设备是否足够的安全，是否遵从专业的应用条件。安全库的结构用图表3说明。明确规定大量细节的记录和辅助类文档不需要包含进安全库和它的子库，也不需要提供明确的用于此类文档的解释，同时也不需要提供基本概念的应用和所采用的途径。5.2 质量管理记录安全规范的第一个条件就是系统、副系统及设备的质量应得到保证，并且还应在其整个生命周期中被一套有效的质量管理系统控制。文档记录是该要求在质量管理报告中的表现，它形成了安全库中的第二个部分。质量管理系统目的是使在系统生命周期的每个阶段的人为故障最小化，同时也减小系统、副系统及设备中系统故障的发生。质量管理系统应当在系统、副系统及设备整个生命周期中应用，如定义的EN50126。一个系统生命周期的例子（在EN50126标准下），由该标准的图表4描述EN50129：2003注释：下面是一个有关质量管理体系和质量管理报告所包括的几个方面的例子。组织的结构质量计划和步骤需求说明书控制设计检查和复查设计工程应用采购和制造产品鉴定和跟踪管理和存储检查不一致性和正确的行动包装和发送安装和授权操作和维护质量管理和售后服务文档和记录配置的管理或更改控制操纵指导质量审计和使用情况调查运行状况遵从质量管理的要求是保证1到4完全安全水平所必需的（见兼并A中对完全安全水平的解释）。然而，记录的深度和辅助类文档的扩展应适应系统、副系统及设备的完全安全水平(见表格E.1和表格E.8中对每个完全安全水平所需记录的结实)。完全安全0水平（不安全）的要求不在该安全标准所探索的范围。5.3 安全管理措施5.3.1 概述 为了保证安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件之二是安全管理措施，他应该与EN50126中所到的可靠性、可用性、可维护性和安全性的管理过程相一致，目的是进一步减少和安全相关的认为失误。进而减少系统故障风险。下面5.3.2到5.3.13就简要的介绍了安全管理过程因素。 在安全管理报告中将提到有关安全管理过程中的各素都遵从生命周期概念的书面证据，即是安全案例的第三部分，这其中不包含大量的详细的证据和提供的文献，只是一些简单的索引。 安全管理措施的运用对于安全完整性水准的1到4来说是强制性的。（参考安全完整性水准的解释附录A）然而，所提供的证据的深度和所支持文献的广度对于安全的系统/子系统/仪器设备的安全完整性水准来说应该是合适的。安全完整性水准为0的（认为不安全）是不符合安全标准的。 为了证实安全完整性所提到的标准对每一种特殊的情形都是适用的。那么在EN50126中定义的危害分析和风险评估过程都是必要的。这也包括那些分析和评估认为安全完整性水准认为是0的情况。然而，一旦得出这样的结论，（也就是说这种情况是不安全的），那么，这种安全标准就不再适用。5.3.2 安全的生命周期 这种安全管理过程包括很多阶段和行为，因此形成了安全生命周期。这应该与EN50126 中提到的系统生命周期相一致，即是图4所显示标准的一种复制。系统生命周期的设计和有效性部分可以看作是“顶部底部”和“底部顶部”两个阶段。（也就是V形）如图5所示。5.3.3 安全机构安全管理过程应该在安全机构的有效指导下执行。安全机构应该任用那些被指任为扮演特殊角色的有能力的人来组成。对这些人进行包括技术知识，认证，相关经验和正确的训练的能力的评估和记录应该根据大意公认的标准来执行。对于所有安全完整性水准的所要求的安全机构知道下的不同角色之间应该有一个相互独立的度，正如图6和表E.3所示。5.3.4 安全计划 在生命周期的开始应该指定一个安全计划，这个计划应该体现整个生命周期安全管理的结构，安全相关的活动和论证的转折点。还包括每隔一定间隔进行安全计划复查的要求。如果对原始系统/子系统/仪器设备进行一系列的改动或增加的话，我们就应该及时更新或复查安全计划。如果有类似这样的变动，那么在生命周期的恰当的位置对变动所引起的包括硬件和软件安全方面的影响就应该被重新评估。参照表E.1对于每一个安全完整性水准安全计划所作的指导 安全计划应该处理系统/子系统/仪器设备的各个方面，包括硬件和软件。对于软件的各个方面问题在EN50128中已经论述过。安全计划应该包括安全案例计划，他将体现最终安全案例的预期结构和重要内容。5.3.5 危害日志 在整个生命周期过程中应该创建并维护一个危害日志，正如在EN50126所解释的，它应该包括一系列公认的危害，还有对于每一种危害的风险分类和风险控制信息，如果对系统，子系统或仪器设备有任何修改和变动，危害日志都应该被升级。5.3.6 安全要求 对每一种系统/子系统/仪器设备的特定的安全要求包括功能安全要求和安全完整性要求，这些要求应该在安全具体方面里面明确标识和记录，可以通过EN50126中提到的这几个方面完成：1 危害标识和分析2 风险评估和分类3 安全完整性水准的分配附录A中包括了一些铁路电子系统的安全完整水准的信息。注：安全要求可能包括在系统/子系统/仪器设备功能要求中或可以被写作为独立的文档，参照表E.2对与每一条安全完整性水准在系统需求方面的指导。5.3.7 系统/子系统/仪器设备的设计生命周期的这一阶段应该做这样一种设计，此设计将完成特定的操作和安全要求，我们将运用顶部底部的这样的一套方法且有严格的控制和复查文档。特定情况下，通过软件需求和软件/硬件整合而再现的软硬件之间的关系应该得到严格的管理。标准EN50128中也有所提及。表E.7给出了对每一种安全完整性水准来说系统/子系统/仪器设备在设计和进展方面的指导。5.3.8 安全复查 在生命周期的适当阶段应该做一下安全复查，这些复查应该在安全计划中明确规定，在复查同时要记录结果，如果对系统，子系统或器设备有任何改动或扩展，那么我们都应该对其进行复查。5.3.9 安全核对和证实 安全计划应该包括或索引一些这样的计划，他们能核对生命周期的每一个阶段都能满足在先前那些阶段中提到的具体的一些安全要求，并且能证实已经完趁个的系统/子系统/仪器设备是与原始的安全性的具体要求相对应的。 我们应该去完成这些步骤并且将其结果做一详细记录，包括正确的测试和安全分析，在接下来的而已系列的对系统/子系统/仪器设备的变动和增加中应该正确的重复以上操作。 对核对人和确认人来说，独立的必要性的度应该与仔细检查下的系统/子系统/仪器设备的安全完整性水准相一致，可以参照图6和表9，对于每一种安全完整性水准的核对和证实的技术/方法的指导。 依照安全局的见解，评估员应该是供应方组织或是顾客组织的成员，但在这些情况下，评估员应该是1 经安全局授权的2 从项目团队中完全独立出来的3 与安全局完全沟通的5.3.10 安全判断 使得系统/子系统/仪器设备满足安全接受所规定的条件的措施应该以一安全案例的形式出现在结构完整的安全判断文挡中，参照5.1中所解释的。5.3.11 系统/子系统/仪器设备的移交 在将系统/子系统/仪器设备移交给铁路当局之前，应该满足5.5中规定的安全接受和安全论证条件，并且同时递交安全案例和安全评估报告。5.3.12 运行和维护 随着移交的进行，我们还应该附加安全计划和技术安全报告（安全案例的一部分）的第五部分所规定的手续，支持系统和安全监管。在系统运行的过程中，人们可能会提出各种理由而要求对系统做出改动。当然这些理由不一定安全，我们必须通过索引一些安全文档的相关部分来评估一下这些要求改变的请求对安全方面的影响。当这些要求改变的请求会引起一些变动，并且这些变动又将影响此系统或相关系统或周围环境的安全时，我们应该运用安全生命周期的正确部分以确保所实施的改变可以降低安全水准。 参照表E.10对每一种安全完整性水准在应用，运行和维护方面的指导。5.3.13 停用设备并加以处理 在系统运行周期的最后阶段，我们必须停止使用该设备并且进行最后的清理，这些操作必须与安全计划和技术安全报告（安全案例的一部分）的第五部分所规定的操作相一致。5.4 功能和技术措施除了满足5.2和5.3中提到的质量和安全管理的措施之外，要使系统/子系统/仪器设备的预期应用能被安全的接受，那么还要满足这第三个条件，也就是功能和技术安全措施，这其中包括为了满足设计的安全要求所提到的技术措施，这一措施应该在安全技术报告中记录下来，即是系统/子系统/仪器设备的安全案例的第四部分，参照5.1技术安全报告对与安全完整性水准的1到4来说是强制执行的（参照安全完整性水准的附录A），然而这些信息的深度和做支持文献的广度，对于仔细检查下的系统/子系统/仪器设备的安全完整性水准应该是相吻合的，对于安全完整性水准为0的请求是不在安全标准范围之内的。技术安全报告应该对技术原则做出解释，这些技术原则确保了技术的安全性，包括所有支持的措施（如设计原理和计算，具体测试和结果及安全分析）我们对技术安全报告做了如下标题：第一部分 概述这部分将概述此设计，包括对安全所依赖的技术安全原理的概要，以及根据标准使系统/子系统/仪器设备安全内容得到扩展。这部分也将提到作为设计的技术安全基础的标准（及他们的颁布）如果对已经投入运行的或标准生产的或在发展的完成阶段时的仪器设备进行变动或增加。作为一个例外，被用作原始设计标准的颁布可以作为一个基础，这些已经在原始设备的论证中被接受了，这些在以下情况下可能会得到应用。即当考虑到新标准的颁布实施可能要求对已经存在设备的进一步改动或者可能招致变化所带来的不合理的高费用时。以下将给出对于以上陈述的理由。第二部分 确保正确的功能操作根据特殊规定的操作和安全的要求，这一部分将演示在无故障的正常情况下（即不存在故障）对系统/子系统/仪器设备进行正确操作的必要措施。包括以下方面，在B.2中有更详细的说明2.1 系统结构的描述(参考B.2.1和表E.4)2.2 相互交叉操作的定义(参考B.2.2)2.3 系统需求的实施(参照B.2.3)2.4 安全需求的实施(参照B.2.4)2.5 确保正确的硬件功能(参照B.2.5)2.6 确保正确的软件功能(参照B.2.6)第三部分 故障的影响 这部分将描述系统/子系统/仪器设备继续满足特定的安全需求。包括在随机硬件故障下数量上能达到一定的安全目标。 另外，尽管在5.2和5.3中规定了质量和安全管理过程，但系统故障仍存在。这部分将描述采取一些技术措施使将来风险降低到一个可接受的水准。 这部分也将说明在安全完整性水准低于整个系统的也包括水准为0的任何一个系统/子系统/仪器设备产生的故障，将不会降低整个系统的安全性。 这部分将包括以下题目，B.3中有更详细的需求描述。表E.5 表E.6中也有所提及。3.1 单一故障的影响(参照B.3.1)3.2 项目独立性(参照B.3.2)3.3 单一故障检测(参照B.3.3)3.4 检测后应采取的措施(参照B.3.4)3.5 多个故障的影响(参照B.3.5)3.6 防御系统故障(参照B.3.6)第四部分 额外影响的操作 这部分将描述遇到在系统需求中所提到的额外影响时系统/子系统/仪器设备1 继续履行它的具体操作需求2 继续履行它的具体安全需求（包括存在故障情况下）安全案例只有在额外影响的特定范围内是有效的，正如在系统需求中所定义的。在这些限定之外不能确保安全，除非实施额外的特殊措施用来支持特定的额外操作的方法将得到解释和判定。 更详细的信息可参照B.4第五部分 有关安全的应用条件 这部分将强调在系统/子系统/仪器设备的应用中应遵循的法则，条件和限定。这也包括一些相关的子系统和仪器设备的安全案例中所包含的应用条件 更详细的信息可参照B.5，同时在表E.10中也有所指导第六部分 安全资格审查 这部分将演示在安全资格审查的操作条件下的一些成功的例子。可参照B.6 技术安全结构可参照图75.5 安全接受和论证 这部分定义了与安全相关的电子系统/子系统/仪器设备的安全接受和论证部分。除了认为是合适的地方，其他地方并没有特殊强调应该由谁在每个阶段来做这项工作，因为它是随着环境的变化而变化的。5.5.1 概述 正如5.1所提到的。为了保证与安全相关的铁路信号电子系统/子系统/仪器设备安全所必须满足的三个条件如下：1. 质量管理措施2. 安全管理措施3. 功能和技术安全措施这三个条件已经在5.2和5.3和5.4中提到正如5.1和图3所显示的，安全案例中应包括质量管理措施，安全管理措施和功能技术安全措施 可以考虑安全案例的如下三种不同的分类：1. 一般的产品安全案例（独立应用）一般产品可用做各种不同的独立应用2. 一般的应用安全案例（应用分类） 有相同功能的一般的应用可以划分为一类3. 特殊的应用安全案例（特殊应用）特殊的应用只能用做一种特殊的装置有必要告诉大家的就是对于每一种特定的应用，无论是环境的条件还是应用的内容与一般的应用条件相兼容这一点是必要的（参照5.5.4）在以上三种分类中，安全案例和获得安全论证程序的结构基本上是相同的。然而，对于特定的应用也有附加因素：在这种分类中，对于系统的应用设计和它的实际操作需要独立的安全论证(例如：生产，安装，测试和用于操作和维护的设施)，基于此，对于特定应用的安全案例应该分成以下两部分：1 应用设计安全案例：这包括特定应用的理论设计的安全措施2 实际操作安全案例：这包括特定应用的实际操作的安全措施这两部分结构可见5.1和图35.5.2 安全论证过程在考虑安全论证的操作之前，应该做出一份系统/子系统/仪器设备的独立的安全评估报告和安全案例。这样做是为了进一步确保能达到安全的必要水准，且将结果记录在安全评估报告中。这份报告应该对安全评估员决定如何设计才能使系统/子系统/仪器设备（硬件和软件）满足特定要求的做法进行解释，同时强调对系统/子系统/仪器设备的操作而言的一些附加条件。像EN50126中所提到的安全评估的深度和对其操作的独立性的限度都是基于风险分类的结果之上的。为了增加可信度，安全评估员可能要求进行特定的测试。整个文档的措施应该包括：1. 系统（子系统/仪器设备）需求；2. 安全要求；3. 安全案例 包括：第一部分：系统/子系统/仪器设备的规定第二部分：质量管理报告（质量管理措施）第三部分：安全管理报告（安全管理措施）第四部分：技术安全报告（功能/技术安全措施）第五部分：相关的安全案例（如果可能的话）第六部分：结论4. 安全评估报告； 根据安全案例中提到的满足安全接受的所有条件，并且依照独立的安全评估结果。系统/子系统/仪器设备依法得到相关安全局的论证。安全评估人员对论证可能会强制执行一些额外条件（暂时的或永久的） 对于一般性产品（即应用的独立性）和一般性应用（即应用的等级分类）被一个安全局同意的安全论证和可能被其他安全局所接受（即相互接受），当然对于特定的应用而言是不可能的。 图8显示了针对三种不同的安全案例的安全论证过程5.5.3 安全论证完成之后 当系统/子系统/仪器设备完成安全论证之后，我们应该对接下来的任何改动都要加以控制，可以利用即将作为新的设计的相同的质量管理，安全管理和功能/技术安全标准来对其加以控制。所有相关文档包括安全案例，都应该及时更新或由额外文档来加以补充，并且提交这种改动的设计去论证。 一旦将完成的系统/子系统/仪器设备交付使用，那么在技术安全报告（安全案例的一部分）的第五部分和安全计划中规定的正确的手续，支持系统和安全监管就应该使用，以确保在它的整个工作生命中的安全操作，这些操作包括运行，维护，变动，扩展和最终的停止使用，这些行为由原始设计所运用的同样的质量管理，安全管理和技术安全标准来控制。 包括安全案例在内的所有相关文档都应该及时更新，并且把有变动或扩展的设计递交上去加以论证。5.5.4 安全论证之间的附属地 在5.1中提到过，系统的安全案例依靠其他子系统或仪器设备的安全案例。在这种情况下，就是说如果没有先前相关子系统/仪器设备的安全论证，就不会有主干系统的安全论证。 如果已经完成对一般产品或一般应用的安全论证，那么这将可能指导一种特定应用的安全论证，没有必要对每一种应用都重复这种一般性的论证过程。图9就显示了这种安全论证之间的附属地。 一种基于说明有目的的特定的应用的安全案例是与那些特定安全论证的实施在技术上是等价的。对这种特定应用有必要采取新的安全论证。确保在附属地的如下做法是必要的。即每一个安全案例的技术报告中提到的与安全相关的实施条件都要以高水准的安全案例来完成，否则提前进入以高水准的有安全应用条件进行执行。附录A安全完整性水准A.1 概述附录对安全要求，安全完整性和有关安全系统在铁路中应用的安全完整性水准的起源，分配和执行都作了详细的描述。 对每种特定的铁路应用，以允许的安全目标的形式出现的容许危险率是有关铁路当局的责任。该标准未对其进行定义。EN50126中规定了安全管理过程A.2 安全要求以下两部分提到了系统要求（或正确的子系统/仪器设备）(参照图A.1):1. 不涉及安全的要求（包括实际的功能要求）；2. 涉及到安全的要求；涉及到安全的要求我们常常称之为安全要求，这些可能包括在独立的安全的具体要求中。我们把安全要求氛围如下两部分：1. 安全功能要求；2. 安全完整性要求；安全功能要求实际上是系统/子系统/仪器设备的与安全相关的功能所要执行的要求。安全完整性要求定义了对每一种与安全相关的功能的安全完整性水准。A.3 安全完整性水准(SIL)关系到安全相关系统性能的安全完整性要能完成规定的安全功能。安全完整性越高，他行使规定的安全功能的不成功率就越低。安全完整性有两部分构成（参照图A.1）：系统故障完整性随机故障完整性要充分实现安全完整性，就必须满足上述两条件。注：由环境条件（如：电磁兼容性 温度 振动等）引起的故障包括系统故障完整性和随机故障完整性。系统故障完整性是安全完整性中不可量化的部分，并且它还关系到危险的系统错误（硬件或软件），在系统子系统设备生命周期的各种状态中，系统错误都是由人的错误引起的。例如:规格说明错误设计错误制造错误安装错误造作错误维修错误校正错误系统故障完整性由质量管理和安全管理条件完成，这些条件在5.2和5.3 的标准中有详细说明。防御系统错误技术包含在技术安全条件中，这些条件在5.4 的标准中有详细说明。因为不可能用定量的方法评估系统故障完整性，SIL应用于成组方法，工具，和技巧，一旦被有效利用，就可认为在实现一个已规定完整性标准的系统方面提供了适当的可靠度（参考附录E）。随机故障完整性是安全完整性的一部分，关系到危险随机错误，尤其是随机硬件错误，这种错误是由硬件组成部分的有限可靠性引起的。技术安全条件中随机故障完整性的解决方案的标准具体在5.4中有说明。利用概率分析，我们就可对随机故障完整性进行量化评估。概率分析要以了解硬件组成部分的故障率和类型以及随机硬件故障出现的次数为前提。尽管危险故障依然存在而且应该按照5.4和B.3.6中的标准御防，但我们还是假设具有固有物理性能（参考附件C）的组件的危险故障概率为零。安全完整性条件和安全标准的分配在A.4和A.5种分别叙述。A.4 安全完整性要求的分配考虑到信号系统的运行环境和建筑设计，鉴定铁路信号装备的安全完整性要求的一套方法即将系统化应用。这种方法的核心是明确界定了运行环境和信号系统的界限，从安全观出发，这个界限是通过系统内一系列危险和相关的容许危险率（THR）来定义的。我们注意到，这种方法的意图不是限制了供应方和铁路局双方的合作，而是划清了责任和界面。从这个界面出发分析步骤如下：1. 至上而下的分析明确了危险和相关风险可能产生的结果。2. 至下而上的分析明确了产生危险的原因。全部过程包括风险分析和