BS EN 50129( 中文版 )鐵路應用-通信、信號和過程控制系統(tǒng)-信號的安全相關電子系統(tǒng)

EN EN50129：2003 PAGEPAGE10英國標準 BSEN50129:2003鐵路應用－通信、信號和過程控制系統(tǒng)－信號的安全相關電子系統(tǒng)國家前言該英國標準是 EN50129：2003的官方英文標準。它代替了被撤回的 ENV50129：1999標準。GEL/9技術委員會委托英國參與了它的準備，鐵路電子技術應用組織即GEL/9/1子委員會，信號和通信，職責是：－幫助調查人理解文章；－提出可靠的歐洲委員會的要求來分析或者提出改進意見，并保證英國的利益；－關注相關的國際和歐洲發(fā)展，并在英國發(fā)布它們；一系列的組織給子委員會提出的意見可在它的秘書處獲得。交叉的參考本英國標準應用國際的或者歐洲的關于本文件的出版物，它可能在“國際標準相BSIBSI“查找”工具。使用該標準。依從一個歐洲標準并不是指本人免除法律責任?？偣驳捻摂?shù)該文檔包括前封面，內前封面，EN名稱頁，2到94頁和內后封面和后封頁。在文檔最終出版后，BSI的版權日期在文檔中指出。出版后的修訂修訂次數(shù)修訂次數(shù)日期內容英文版本鐵路應用－通信、信號和過程控制系統(tǒng)－信號的安全相關電子系統(tǒng)2000－11－01CENELEC提出，CENELECCEN/CENELEC些情況。最新的目錄和關于國際標準的相關參考數(shù)目可以在中心秘書處或者任何CENECEC的成員那里獲得。這個歐洲標準有三個官方版本（英，法，德。CENECEC譯為他們的語言，并且通知中心秘書處，這樣有作為官方版本的同樣地位。CENELEC歐洲電工標準協(xié)會前言SC9XACENECECTC9X設備的通信，信號和處理系統(tǒng)。屬于正式文件文本的草稿在2002－11－01作為EN50128由CENECEC提出。這個歐洲標準取代了ENV50129：1998這個歐洲標準是在 CENELEC的授權下通過歐洲委員會和歐洲自由貿易組織、96/48/EC指示的本質要求來準備的。下面是確定的日期，－通過國際標準的出版或批注，這個標準作為國際標準來實施的最近日期2003－12－01－與這個標準沖突的國際標準排斥在外的最近日期 2005－11－01標注“標準化”的附件是標準的一部分標注“非標準”的附件僅供參考。該標準中，附件A，B，C是標準化的，附件D，E是非標準化的內容引言 5范圍 7合乎規(guī)范的參考 7定義 8定義 9參考 9標準的整體框架 11安全接受和承認的條件 12安全情形 12質量管理根據(jù) 12安全管理根據(jù) 12功能和技術安全根據(jù) 12安全接受和承認 12附件A（規(guī)范）安全完善度等級 13A.1引言 13A.2安全要求 13A.3安全完善度A.4安全完善度要求分配A.5安全完善度等級附件B（規(guī)范）詳細的技術要求引言正確的功能操作的保證錯誤的影響對外部影響的操作有關安全應用的條件安全質量測試附件C（規(guī)范）硬件組成錯誤模式的鑒定引言常規(guī)程序完整電路程序（包括微處理器）固有的物理性質組成程序有關組成錯誤模式的常規(guī)信息附帶的常規(guī)信息，有關固有物理性質的組成有關固有物理性質的組成的特殊信息附件D（情報）補充技術信息 77引言 77完成物理內在獨立性 77完成物理外在獨立性 78單個錯誤分析方法的例子 79多個錯誤分析方法 80附件E(情報)為系統(tǒng)錯誤和控制隨機及系統(tǒng)錯誤，為與安全相關的電子系統(tǒng)傳輸信制定了技巧和方法 85參考書目 941 CENELEC鐵路應用標準的主要范圍 82 EN50129的結構 15安全事例結構 17系統(tǒng)生命周期舉例 19設計和系統(tǒng)生命周期有效部分舉例 21獨立性排列 22技術安全報告結構 26安全性承諾和安全性批準過程] 28安全性事例/安全性批準間獨立性舉例 29A1安全要求和安全完整性 30A2全部過程回顧 32A3風險分析過程舉例 33A4有關系統(tǒng)界限危險的定義 34A5危險控制過程舉例 36A6解釋故障和補救次數(shù) 37A7由FTA處理的功能獨立性 38A8安全完整性水準和技巧間的關系 40影響項目獨立性的因素 46檢測和否定單個錯誤 49D.1錯誤分析方法舉例 81A1安全完整性水準表 41表C.1電阻器 61表C.2電容器 62表C.3電磁組件 63表C.4二極管 66表C.5晶體管 67表C.6控制整流器 69表C.7過負荷干擾抑制器 71表C.8光電子組件 72表C.9過濾器 73表C.10內部組件 74表C.11－保險 75表C.12－開關和按鈕 75表C.13－電燈 75表C.14－電池 75表C.15－變送器/傳感器（不包括內部電路） 76表C.16－集成電路 76表D.1－在大規(guī)模集成電路通過周期性在線測試的手段來檢測故障的措施的例子 表E.1－安全計劃和主動的質量保證 86表E.2－系統(tǒng)要求的技術規(guī)格 87表E.3－安全組織 87表E.4－系統(tǒng)/子系統(tǒng)/設備的建構 88表E.5－設計特色 89表E.6－故障和危險分析的方法 90表E.7－系統(tǒng)/子系統(tǒng)/設備的設計和研發(fā) 91表E.8－設計的階段性文檔 91表E.9－系統(tǒng)和產品設計的鑒定和確認 92表E.10－應用，運行和維護 93前言本標準是鐵路信號領域內定義電子安全系統(tǒng)認可和支持要求的第一個歐洲標準。目前，國際上存在的語詞有關的只有國際鐵路聯(lián)合組織（UIC）提出的整體建議和一些國家提出的互不相同的建議。CENELEC標準上有要求。歐洲鐵路機構和歐洲鐵路工業(yè)在發(fā)展一種基于一般標準并能夠相互兼容的鐵路此文件就電子系統(tǒng)在鐵路信號方面安全認可與支持的歐洲通用的基礎。橫向認可的目的在于一般的支持，不是特殊的應用。當它成為一個EN有關鐵路信號電子安全系統(tǒng)的歐洲攝取內的獲得將會關系到這個標準。本標準包括主要部分（第一章到第五章）和附錄A，B，C，D，E。在此標準中主要部分和附錄A，B，C中定義的要求是規(guī)范的，而附錄D和E是非正式的。EN50126都是基于系統(tǒng)的生命周期和EN61508—1。在涉及到鐵路通信信號和外部系統(tǒng)時，EN61508—1EN50126/EN50128/EN50129EN61508—1是足夠的。命周期的安全檢測就是這樣被要求的。須的工作，因為這在不同環(huán)境下是不相同的。EN50128定義了包括可編程電子器件和軟件附加條件的安全系統(tǒng)。EN50159—1和EN50159—2定義了對安全數(shù)據(jù)通信的額外要求。范圍本標準適用與鐵路信號設備上用的電子安全系統(tǒng)（包括子系統(tǒng)和設備1CENELEC標準的關系。的安全要求。（有修改行為后來變化的結果，本安全標準就會停止使用。分類、設計、建設、安裝、認可、操作、維護和修改及擴展等功能也適用與完整系統(tǒng)中的個人子系統(tǒng)和設備。附錄C包含了和電子硬件部分相關的程序。本標準又適用與一般的子系統(tǒng)和設備（獨立的使用和某種特殊的使用系統(tǒng)、子系統(tǒng)、設備上有特殊的使用。（例如在本標準之前已經(jīng)被接受的系子系統(tǒng)和設備。備（如：能源的供應、調配等。即使在最小限度時，可根據(jù)顯示，設備或者依賴于安全或者依賴于與安全相關的這些功能。和安全，這一課題在其他的標準上有說明。參考標準（改的部分。注意：附加的非正式的參考在目錄里。EN50121系列 鐵路應用——電磁兼容EN50124—1 需求。EN50124—2 鐵路應用——絕緣調配——第二部分：過電壓及其先觀保護。EN50125—1 鐵路應用——環(huán)境需求——第一部分：boardrollingstock上的備。EN50125—3 鐵路應用——環(huán)境需求——第三部分：信號傳輸與通信設備。EN50126 鐵路應用——可靠性、可用性、可維護性和安全性規(guī)和說明。EN50128 鐵路應用——通信、用于鐵路控制和系統(tǒng)保護的信號處理系統(tǒng)EN50155 rollingstock上的應用。EN50159—1 中與安全相關的通信EN50159—2 中與安全相關的通信EN61508—1 （IEC61508）IEC60664系列 在低電壓系統(tǒng)的絕緣調配。定義和縮略詞定義在本標準中下面的定義將被用到。故障 導致死亡、受傷、系統(tǒng)或設備損失或者破壞環(huán)境的無意中的故障或系列故障。評估 分析設計部門和產業(yè)部門生產的產品是否滿足規(guī)定的要求，并形成一判別產品是否按其預定功能進行工作，這個過程稱為評估。授權書按規(guī)定使用產品的正式許諾?？捎眯栽谒枨蟮耐獠抠Y源被提供的前提下，其在給定的一段時間執(zhí)行的能力?？赡?可能發(fā)生的。偶然性分析分析一種專門的危害存在的原因。普通—偶然故障一些具有獨立功能的設備失效。結果分析分析在一個危害發(fā)生后，可能出現(xiàn)的情況。圖表 表明硬件的結構和相互聯(lián)系以及系統(tǒng)軟件的功能。橫向認可這樣一種程度設計 這是一種為了將規(guī)定需求通過分析和轉換，使其滿足可靠性要求的計方法。設計權威 此體系負責開發(fā)一套設計方法的公式去執(zhí)行規(guī)定的需求并遇見后的發(fā)展，使一個系統(tǒng)在預定的環(huán)境中工作發(fā)送 這是一種用多種互不相同的方法來實現(xiàn)全部或部分特殊要求的方式設備 起作用的物理裝置誤差 與預先設計結果相偏離，并會導致系統(tǒng)發(fā)生副作用或失效。失效—安全 這個概念是包含在一個產品的設計當中，如產品看似處于安狀態(tài)，但實際上已經(jīng)失效了。失效 偏離系統(tǒng)規(guī)定的行為，是系統(tǒng)錯誤或誤差導致的結果。錯誤 一種非常規(guī)導致系統(tǒng)失效的條件，一個錯誤是隨即的或有規(guī)律發(fā)生的。錯誤發(fā)現(xiàn)時間 從錯誤發(fā)生的一瞬間到被發(fā)現(xiàn)為止的異端時間功能 一個產品執(zhí)行其規(guī)程的行為模型危害 導致事故的情況危害分析 堅定危害分析及其產生原因以及違反法制危害可能發(fā)生的要求在一定程度上危害所造成的后果危害記錄 一個包含所有安全管理活動危害堅定決策生成的文檔用于檔和參考認為錯誤 導致系統(tǒng)發(fā)生副作用的人的行為（失誤）執(zhí)行 為了將規(guī)定的設計轉化為物理的實現(xiàn)而進行的活動獨（功能） 由于機械具有的多功能而影響到正確操作從而導致系統(tǒng)故或突發(fā)故障的機械裝置中寄托出來。獨立（人工） 從需要相同智力、商業(yè)或管理試題中解脫出來。獨立（物理） 從由于多功能而影響正確操作幾導致系統(tǒng)、副系統(tǒng)、設發(fā)生突發(fā)故障的機械裝置中解脫出來。個體風險 一個僅僅有關獨立個體的風險。維護性 對于給定一種積極的維護行為，其在給頂使用條件的項目中的可性，可以在相關條件和使用相關程序和資源的間隙中進行。維護 所有技術和管理行為的綜合包括監(jiān)督行為企圖保持一個項目或將存儲，是一種可以表現(xiàn)其需求功能的狀態(tài)?？尚行?可執(zhí)行性。負面性 當發(fā)現(xiàn)一個危險的錯誤而破壞安全的狀態(tài)。負面時間 從一個危險錯誤的發(fā)生到結束整個安全狀態(tài)被破壞的時間跨度。生產 與形成滿足規(guī)定需求的一種方法相互關聯(lián)的元件組裝。質量 使用者對于一個產品屬性的看法。鐵路權威 通過安全操作鐵路系統(tǒng)而形成的完整的安全權威體系。突發(fā)故障強度 一個系統(tǒng)能承受危險的突發(fā)故障的限度。突發(fā)故障 無法預見發(fā)生的故障?？煽啃?提供一種或多種通常是相同的措施，來提供對故障的承受?？煽啃?一套裝置在給定條件下和規(guī)定時間內執(zhí)行特定功能的能力。修理 將系統(tǒng)、副系統(tǒng)及設備在失效后恢復即定狀態(tài)的重建方法。風險 發(fā)生特定危害的頻率、可能性及后果的集合體。安全狀態(tài) 一種持續(xù)安全的狀態(tài)。安全度 不發(fā)生一定程度上的重大風險。安全度認可最后一個使用者對產品安全狀態(tài)的認可安全度規(guī)定 當產品已經(jīng)執(zhí)行一系列先決條件后必須對安全狀態(tài)進行權威定。安全度權威 負責對與系統(tǒng)相關的安全操作發(fā)表授權。安全庫 報名產品遵從規(guī)定安全需要的文檔。安全度 在運行的各個階段各種操作環(huán)境及所有的狀態(tài)條件下，安全相關系統(tǒng)達到安全功能的能力。安全度標準 在考慮系統(tǒng)錯誤的前提下，一個表明系統(tǒng)自我滿足規(guī)定安全能的數(shù)字。安全度生命周期對于安全有關的系統(tǒng)的生命周期中執(zhí)行的一系列動作安全度管理 確保過程被安全執(zhí)行的結構。安全計劃 如何達到工程的安全需求的執(zhí)行細節(jié)。安全流程 對于一個產品所有安全要求進行鑒定和滿足的一系列步驟。相關安全度 對安全度負責。命令強制執(zhí)行的。建議 被提議的。信號系統(tǒng) 由于鐵路控制和保護火車正確運行的專門的一類系統(tǒng)。壓力承受 當一個產品執(zhí)行特定功能時所承受的大量外部影響的程度。副系統(tǒng) 系統(tǒng)中執(zhí)行特殊功能的一部分。系統(tǒng) 通過設計，使一系列副系統(tǒng)相互作用而組成的。系統(tǒng)失效度 系統(tǒng)從危害性誤差和原因中恢復的能力。系統(tǒng)錯誤生的錯誤。系統(tǒng)生命周期 從一個系統(tǒng)開始構造到該系統(tǒng)失效這段時期內進行的一系活動。技術安全報告 對系統(tǒng)、副系統(tǒng)及設備設計的安全進行論證的報告。有效性 一系列通過測試和分析來表明產品滿足各方面安全規(guī)范的行為。鑒定 一種通過分析和測試在系統(tǒng)生命周期的每一個階段對所分析和測的階段滿足前一階段的輸出，和該階段按規(guī)定輸出進行堅定的行為?？s略詞下面是該標準中用到的縮略詞:AC 交流電ATP 列車自動保護CENELEC 歐洲電氣標準委員會CCF 常見故障原因DC 直流電EMC 電磁相容性EMI 電磁干擾EN 歐洲標準ESD 靜電釋放FET 場效應管FMEA 故障建模和分析FR 故障率FTA 故障樹分析H 危害HW 硬件IEC 國際電工技術委員會IRSE 鐵路信號工程機構ISO 國際標準組織RAMS 可靠性、可行性、維護性和安全性SCR 可控硅校驗器SDR 安全下降率SDT 安全下降時間SIL 安全度標準SW 軟件THR 危害可承受度UIC 國際鐵路聯(lián)盟VDR 電壓電阻器該標準所有框架歐洲標準中第五條款要求采用一個有規(guī)律的、有文擋的-質量管理記錄-安全管理記錄-功能和技術安全記錄-規(guī)定安全度附錄A 定義安全度標準的使用和結實。附錄B 包含安全相關的系統(tǒng)、副系統(tǒng)及設備的技術細節(jié)要求附錄C 包含堅定可修復硬件故障的步驟和信息的方法。附錄D 包含附加的技術信息。附錄E 包含用于安全度各個標準的技術、方法目錄。目錄 包含在執(zhí)行著套標準期間所需查詢文檔的說明為保證安全所允許的條件安全情況預期目的可以被足夠安全的應用。在該標準中有關的部分是以.下三個標題為基礎的，分別稱為：-5.2質量管理記錄-5.3安全管理記錄-5.4功能和技術安全記錄在與安全有關的系統(tǒng)可以足夠安全的被使用之前，所有這些條件都應達到系統(tǒng)、副系統(tǒng)及設備要求的水平。已經(jīng)與這些條件相符合的文檔記錄應當被包含進一個安全堅定文檔，即安全庫。安全庫組成所有遵從相關安全權威的文檔記錄的一個部分，為了得到一個一般產品，一組應用或一個特殊應用的安全要求規(guī)范。對于安全規(guī)范過程的解釋，見該標準的5.5部分。安全庫包含系統(tǒng)、副系統(tǒng)及設備的安全文檔記錄，可以分為如下結構：第一部分系統(tǒng)（或副系統(tǒng)及設備）定義的修改權限、設計和應用性的文檔。5.2第三部分安全管理報告5.3第四部分技術安全報告該部分包括功能和技術安全的記錄，如該標準中5.4部分提到的第五部分相關安全庫該部分包括與安全庫所依靠的所有副系統(tǒng)及設備有關的安全庫同時應該表明所有與安全有關的應用條件都應規(guī)定每一個相關的副系統(tǒng)及設備的安第六部分結論否足夠的安全，是否遵從專業(yè)的應用條件。安全庫的結構用圖表3說明。徑。質量管理記錄告中的表現(xiàn)，它形成了安全庫中的第二個部分。小系統(tǒng)、副系統(tǒng)及設備中系統(tǒng)故障的發(fā)生。EN50126一個系統(tǒng)生命周期的例子（EN50126標準下4描述EN50129：2003注釋：下面是一個有關質量管理體系和質量管理報告所包括的幾個方面的例子?！M織的結構——質量計劃和步驟——需求說明書——控制設計——檢查和復查設計——工程應用——采購和制造——產品鑒定和跟蹤——管理和存儲——檢查——不一致性和正確的行動——包裝和發(fā)送——安裝和授權——操作和維護——質量管理和售后服務——文檔和記錄——配置的管理或更改控制——操縱指導——質量審計和使用情況調查——運行狀況14完全安全水平所必需的（A安全水平的解釋。然而，記錄的深度和輔助類文檔的擴展應適應系統(tǒng)、副系統(tǒng)及設備的完全安全水平(E.1E.8中對每個完全安全水平所需記錄的結實)0水平（不安全）的要求不在該安全標準所探索的范圍。安全管理措施概述為了保證安全相關的鐵路信號電子系統(tǒng)/子系統(tǒng)/設備安全所必須滿足的條件之二EN501265.3.25.3.13就簡要的介紹了安全管理過程因素。在安全管理報告中將提到有關安全管理過程中的各素都遵從生命周期概念的書只是一些簡單的索引。14（的系統(tǒng)/子系統(tǒng)/儀器設備的安全完整性水準來說應該是合適的。安全完整性水準為的（認為不安全）是不符合安全標準的。為了證實安全完整性所提到的標準對每一種特殊的情形都是適用的。那么在EN501260（況是不安全的，那么，這種安全標準就不再適用。安全的生命周期這種安全管理過程包括很多階段和行為，因此形成了安全生命周期。這應該與EN501264所顯示標準的一種復制。系統(tǒng)生（V形）5所示。安全機構6E.3所示。安全計劃查的要求。如果對原始系統(tǒng)/子系統(tǒng)/儀器設備進行一系列的改動或增加的話，我們就置對變動所引起的包括硬件和軟件安全方面的影響就應該被重新評估。參照表E.1對于每一個安全完整性水準安全計劃所作的指導安全計劃應該處理系統(tǒng)/子系統(tǒng)/儀器設備的各個方面，包括硬件和軟件。對于軟件的各個方面問題在EN50128中已經(jīng)論述過。安全計劃應該包括安全案例計劃，他將體現(xiàn)最終安全案例的預期結構和重要內容。危害日志EN50126所解釋如果對系統(tǒng)，子系統(tǒng)或儀器設備有任何修改和變動，危害日志都應該被升級。安全要求對每一種系統(tǒng)/子系統(tǒng)/儀器設備的特定的安全要求包括功能安全要求和安全完整EN50126提到的這幾個方面完成：危害標識和分析風險評估和分類安全完整性水準的分配附錄A中包括了一些鐵路電子系統(tǒng)的安全完整水準的信息。/子系統(tǒng)/E.2對與每一條安全完整性水準在系統(tǒng)需求方面的指導。系統(tǒng)/子系統(tǒng)/儀器設備的設計生命周期的這一階段應該做這樣一種設計，此設計將完成特定的操作和安全要求，我們將運用頂部——底部的這樣的一套方法且有嚴格的控制和復查文檔。/嚴格的管理。標準EN50128中也有所提及。表E.7準來說系統(tǒng)/子系統(tǒng)/儀器設備在設計和進展方面的指導。安全復查在生命周期的適當階段應該做一下安全復查，這些復查應該在安全計劃中明確規(guī)定，在復查同時要記錄結果，如果對系統(tǒng)，子系統(tǒng)或器設備有任何改動或擴展，那么我們都應該對其進行復查。安全核對和證實/子系統(tǒng)/儀器設備是與原始的安全性的具體要求相對應的。析，在接下來的而已系列的對系統(tǒng)/子系統(tǒng)/以上操作。對核對人和確認人來說，獨立的必要性的度應該與仔細檢查下的系統(tǒng)/子系統(tǒng)/儀69的核對和證實的技術/方法的指導。況下，評估員應該是經(jīng)安全局授權的從項目團隊中完全獨立出來的與安全局完全溝通的安全判斷使得系統(tǒng)/子系統(tǒng)/儀器設備滿足安全接受所規(guī)定的條件的措施應該以一安全案例的形式出現(xiàn)在結構完整的安全判斷文擋中，參照5.1中所解釋的。系統(tǒng)/子系統(tǒng)儀器設備的移交在將系統(tǒng)/子系統(tǒng)/儀器設備移交給鐵路當局之前，應該滿足5.5中規(guī)定的安全接受和安全論證條件，并且同時遞交安全案例和安全評估報告。運行和維護（安全案例的一部分全水準。參照表E.10對每一種安全完整性水準在應用，運行和維護方面的指導。停用設備并加以處理（安全案例的一部分相一致。功能和技術措施5.25.3/子系統(tǒng)//子系統(tǒng)/14（參照安全完整性子系統(tǒng)/0求是不在安全標準范圍之內的。技術安全報告應該對技術原則做出解釋，這些技術原則確保了技術的安全性，包括所有支持的措施（如設計原理和計算，具體測試和結果及安全分析）我們對技術安全報告做了如下標題第一部分 概述這部分將概述此設計，包括對安全所依賴的技術安全原理的概要，以及根據(jù)標準使系統(tǒng)/子系統(tǒng)/儀器設備安全內容得到擴展。這部分也將提到作為設計的技術安全基礎的標準（及他們的頒布）如果對已經(jīng)投入運行的或標準生產的或在發(fā)展的完成階段時的儀器設備進行變動或增加。作為一個例外，被用作原始設計標準的頒布可以作為一個基礎，這些已經(jīng)在原始設備的論證中被接受了，這些在以下情況下可能會得到應用。即當考慮到新標準的頒布實施可能要求對已經(jīng)存在設備的進一步改動或者可能招致變化所帶來的不合理的高費用時。以下將給出對于以上陳述的理由。第二部分 確保正確的功能操作根據(jù)特殊規(guī)定的操作和安全的要求，這一部分將演示在無故障的正常情況下（即不存在故障）對系統(tǒng)/子系統(tǒng)/儀器設備進行正確操作的必要措施。包括以下方面，在B.2中有更詳細的說明系統(tǒng)結構的描述(B.2.1E.4)相互交叉操作的定義(B.2.2)系統(tǒng)需求的實施(B.2.3)安全需求的實施(B.2.4)確保正確的硬件功能(B.2.5)確保正確的軟件功能(B.2.6)第三部分 故障的影響這部分將描述系統(tǒng)/子系統(tǒng)/儀器設備繼續(xù)滿足特定的安全需求。包括在隨機硬件故障下數(shù)量上能達到一定的安全目標。5.25.3部分將描述采取一些技術措施使將來風險降低到一個可接受的水準。這部分也將說明在安全完整性水準低于整個系統(tǒng)的也包括水準為0系統(tǒng)/子系統(tǒng)/儀器設備產生的故障，將不會降低整個系統(tǒng)的安全性。E.5E.6中也有所提及。單一故障的影響(B.3.1)項目獨立性(B.3.2)單一故障檢測(B.3.3)檢測后應采取的措施(B.3.4)多個故障的影響(B.3.5)防御系統(tǒng)故障(參照第四部分 額外影響的操作這部分將描述遇到在系統(tǒng)需求中所提到的額外影響時系統(tǒng)/子系統(tǒng)/儀器設備繼續(xù)履行它的具體操作需求繼續(xù)履行它的具體安全需求（包括存在故障情況下）在這些限定之外不能確保安全，除非實施額外的特殊措施用來支持特定的額外操作的方法將得到解釋和判定。更詳細的信息可參照B.4第五部分 有關安全的應用條件這部分將強調在系統(tǒng)/子系統(tǒng)/也包括一些相關的子系統(tǒng)和儀器設備的安全案例中所包含的應用條件更詳細的信息可參照B.5，同時在表E.10中也有所指第六部分 安全資格審查這部分將演示在安全資格審查的操作條件下的一些成功的例子?？蓞⒄誃.6技術安全結構可參照圖7安全接受和論證這部分定義了與安全相關的電子系統(tǒng)/子系統(tǒng)/儀器設備的安全接受和論證部分。除了認為是合適的地方，其他地方并沒有特殊強調應該由誰在每個階段來做這項工作，因為它是隨著環(huán)境的變化而變化的。概述正如5.1所提到的。為了保證與安全相關的鐵路信號電子系統(tǒng)/子系統(tǒng)/儀器設備安全所必須滿足的三個條件如下：質量管理措施安全管理措施功能和技術安全措施這三個條件已經(jīng)在5.2和5.3和5.4中提到正如5.1和圖3所顯示的，安全案例中應包括質量管理措施，安全管理措施和功能技術安全措施可以考慮安全案例的如下三種不同的分類：一般的產品安全案例（獨立應用）一般的應用安全案例（應用分類）有相同功能的一般的應用可以劃分為一類特殊的應用安全案例（特殊應用）有必要告訴大家的就是對于每一種特定的應用，無論是環(huán)境的條件還是應用的內容與一般的應用條件相兼容這一點是必要的（參照5.5.4）在以上三種分類中，安全案例和獲得安全論證程序的結構基本上是相同的。然而，對于特定的應用也有附加因素：在這種分類中，對于系統(tǒng)的應用設計和它的實際操作需要獨立的安全論證(例如：生產，安裝，測試和用于操作和維護的設施)，基于此，對于特定應用的安全案例應該分成以下兩部分：應用設計安全案例：這包括特定應用的理論設計的安全措施5.13安全論證過程在考慮安全論證的操作之前，應該做出一份系統(tǒng)/子系統(tǒng)/儀器設備的獨立的安子系統(tǒng)/儀器設備（硬件和軟件）滿足特定要求的做法進行解釋，同時強調對系統(tǒng)子系統(tǒng)/儀器設備的操作而言的一些附加條件。像EN50126中所提到的安全評估的深度和對其操作的獨立性的限度都是基于風險分類的結果之上的。為了增加可信度，安全評估員可能要求進行特定的測試。整個文檔的措施應該包括：系統(tǒng)（子系統(tǒng)/儀器設備）需求；安全要求；安全案例 包括：第一部分：系統(tǒng)/子系統(tǒng)/儀器設備的規(guī)定第二部分：質量管理報告（質量管理措施第三部分：安全管理報告（安全管理措施第四部分：技術安全報告（功能/技術安全措施第五部分：相關的安全案例（如果可能的話）第六部分：結論安全評估報告；/子系統(tǒng)/能會強制執(zhí)行一些額外條件（暫時的或永久的）對于一般性產品（即應用的獨立性）和一般性應用（即應用的等級分類）被（即相互接受于特定的應用而言是不可能的。圖8顯示了針對三種不同的安全案例的安全論證過程安全論證完成之后當系統(tǒng)/子系統(tǒng)/新或由額外文檔來加以補充，并且提交這種改動的設計去論證。一旦將完成的系統(tǒng)/子系統(tǒng)/（案例的一部分）的第五部分和安全計劃中規(guī)定的正確的手續(xù)，支持系統(tǒng)和安全監(jiān)管就應該使用，以確保在它的整個工作生命中的安全操作，這些操作包括運行，維護，變動，擴展和最終的停止使用，這些行為由原始設計所運用的同樣的質量管理，安全管理和技術安全標準來控制。包括安全案例在內的所有相關文檔都應該及時更新，并且把有變動或擴展的設計遞交上去加以論證。安全論證之間的附屬地5.1/儀器設備的安全論證，就不會有主干系統(tǒng)的安全論證。如果已經(jīng)完成對一般產品或一般應用的安全論證，那么這將可能指導一種特定應用的安全論證，沒有必要對每一種應用都重復這種一般性的論證過程。圖9就顯示了這種安全論證之間的附屬地。一種基于說明有目的的特定的應用的安全案例是與那些特定安全論證的實施在技術上是等價的。對這種特定應用有必要采取新的安全論證。確保在附屬地的如下做法是必要的。即每一個安全案例的技術報告中提到的與安全相關的實施條件都要以高水準的安全案例來完成，否則提前進入以高水準的有安全應用條件進行執(zhí)行。附錄A安全完整性水準概述起源，分配和執(zhí)行都作了詳細的描述。當局的責任。該標準未對其進行定義。EN50126中規(guī)定了安全管理過程安全要求以下兩部分提到了系統(tǒng)要求（或正確的子系統(tǒng)/儀器設備）(參照圖A.1):不涉及安全的要求（包括實際的功能要求；涉及到安全的要求；要求中。我們把安全要求氛圍如下兩部分：安全功能要求；安全完整性要求；安全功能要求實際上是系統(tǒng)/子系統(tǒng)/儀器設備的與安全相關的功能所要執(zhí)行的要求。安全完整性要求定義了對每一種與安全相關的功能的安全完整性水準。安全完整性水準(SIL)高，他行使規(guī)定的安全功能的不成功率就越低。安全完整性有兩部分構成（參照圖A.：——系統(tǒng)故障完整性——隨機故障完整性要充分實現(xiàn)安全完整性，就必須滿足上述兩條件。注：由環(huán)境條件（如：電磁兼容性溫度 振動等）引起的故障包括系統(tǒng)故障完整和隨機故障完整性。（硬件或軟件子系統(tǒng)\錯誤引起的。例如:—規(guī)格說明錯誤—設計錯誤—制造錯誤—安裝錯誤—造作錯誤—維修錯誤—校正錯誤5.25.3詳細說明。防御系統(tǒng)錯誤技術包含在技術安全條件中，這些條件在5.4的標準中有詳細說明。。錯誤，這種錯誤是由硬件組成部分的有限可靠性引起的。技術安全條件中隨機故障完整性的解決方案的標準具體在5.4中有說明。5.4B.3.6（C）的組件的危險故障概率為零。安全完整性條件和安全標準的分配在A.4和A.5種分別敘述。安全完整性要求的分配一套方法即將系統(tǒng)化應用。這種方法的意圖不是限制了供應方和鐵路局雙方的合作，而是劃清了責任和界面。從這個界面出發(fā)分析步驟如下：至上而下的分析明確了危險和相關風險可能產生的結果。至下而上的分析明確了產生危險的原因。全部過程包括風險分析和危險控制，參考圖A.2。風險分析產生了危險控制過程中的THR。圖A.2略THRSIL給出（并且這個方法來源于安全完整性。安全局要贊同風險分析和危險控制。A.2相關的。風險分析圖A.3給出了一個風險分析過程的例子。下面的分析更詳細地解釋了這個概念。圖A.3略以下是鐵路局的責任：定義系統(tǒng)（技術實現(xiàn)的獨立性）鑒定與系統(tǒng)有關的危險危險鑒定涉及系統(tǒng)分析，主要有產品，加工過程，或確定那些可能出現(xiàn)在整個生命周期中的不利條件等。這些不利條件可能存在對人體有傷害的隱患或對環(huán)境的破壞。鑒定系統(tǒng)危險一般包括兩個階段：一個經(jīng)驗階段（挖掘過去的經(jīng)歷，如清單）—個創(chuàng)新階段（前瞻性預測，如集思廣益，建構假設分析研究）發(fā)現(xiàn)，并且所有的危險信號被確認。備，多達幾百個錯誤是不合理的，也表明了設計和研究行為的不足之處。A.4表明，系統(tǒng)層的危險是由子系統(tǒng)層引起的（關于子系統(tǒng)界限。因此這個定義能使一個分級結構接近危險分析和危險線。圖A.4略認識到的風險標準來排序。THR以下是鐵路局的責任:分析后果及損失定義風險容許標準得出容許風險度確保風險結果是可以接受的（關于合理的風險容許標準）考慮到風險容許標準，唯一的要求是得出THR結論。盡管風險容許標準不是由這個標準制定的，但取決于國內和歐洲立法要求。分析方法是：明確的評估風險結果（個體）和目前系統(tǒng)的性能或已認可的技術條例或通過統(tǒng)計和分析的方法相比較得出THR。THRTHR。險和相應的THR，然而鐵路局可以確定非常普遍的高水平目標，以及在安全方面非常具體的目標。危險控制危險控制涉及實施規(guī)定的THR和安全相關功能的管理。如果沒有THR的出現(xiàn)，那么要么由供應方提供符合鐵路局意愿的系統(tǒng)，要么由鐵路局和供應方一起合作確定要求。危險控制是由在大量實踐活動中偶然性分析構成的，總結如下：在沒有定義THR能；THR（技術方法統(tǒng)結構和分配系統(tǒng)功能；確定子系統(tǒng)的安全完整性要求；完成安全要求細則；分析系統(tǒng)/子系統(tǒng)要滿足的條件；通過設計和核實過程確定由潛在的新危險引起的系統(tǒng)//以外的緩解部分，就要把潛在危險轉換到風險分析中進一步研究解決。A.5。注：一個結構良好的危險控制包括一個毫無疑問的技術安全報告的各各相關部分，在這種情況下，參考技術安全報告中的危險控制就足夠了。偶然性分析偶然性分析有兩個典型狀態(tài)：在偶然性分析的第一個階段，每種功能都有一個TH（系統(tǒng)功能THRSIL如果鐵路局已定義了有關安全功能的危險和THR，那么偶然性分析的第一個階段無效，并且安全完整性在THR基礎上立即被分配。一個子系統(tǒng)及組合裝置要能完成很多安全功能，每種功能需要不同的安全標準，在這種情況下，子系統(tǒng)將能滿足所有規(guī)定的SIL。如果每種功能都能滿足最高標準的SIL，或者如果能獨立運行，那么得到滿足規(guī)定的SIL的子系統(tǒng)。在這種情況下，一個普遍的故障原因分析將出臺。EN50128EN50128SILSIL是一樣的。（即功能故障獨立于系統(tǒng)和隨機錯誤，在第二階段，物理獨立性是充分的（即自系統(tǒng)的故障獨立于隨即錯誤圖A.5常見故障成因分析（CCF）當應用獨立主張（邏輯AND組合）時，得特別的慎重思考，應有充分的保證物理，功能，加工過程，關于子系統(tǒng)和系統(tǒng)間的獨立性（B.3.2B.3.。如果不能完整的完成獨立AND組合可以立即完成和檢測安全相關應用條例。A.4.2.2.1物理獨立性為了使具有隨機性影響的AND因此，在任意情況下，一個常見故障成因分析將必須假設獨立性。D.2D.3.A（告知性的D.2D.3.A子章節(jié)的安全情形也明確地解決了獨立性條例。AND組合對檢修率（或等效檢修次數(shù)）目出錯后，為了使這個項目恢復，至少同時要出現(xiàn)以下兩過程；一定要查出和否定錯誤（這意味著一定要進入一種安全狀態(tài)；一定要檢修和恢復項目。（錯誤發(fā)現(xiàn)、檢修、交換、檢查）圖A.6略ANDTHRTHR和查處率的基本公式：THRS=FRA/SDRA×FRB/SDRB×(SDRA+SDRB)SDRS=SDRA+SDRBFS代表潛在危險故障率。如果把周期性檢測次數(shù)作為查出次數(shù)，那么（A.1）為平均測試數(shù)T/2+negationtime=SDT=1/SDRANDB3.3的標準，一定要考慮安裝壽命。10000MTBF和每小時（時間）平均一次檢查時間的項目來看，那么平行系統(tǒng)（AND組合）2×10－8，1000小時平均檢測一次（如維修檢測MTBF10個要素之一，如果把一個項目中的平均檢測時間看成是他的壽命，那么結論將變得更加不重要。物理獨立性是最低的獨立標準，典型體現(xiàn)在組件標準上。如果確定物理獨立性，那么隨機完整性要求可以分到下一個較低標準中。A.4.2.2..2功能獨立性獨立性的情況下，隨機完整性和系統(tǒng)完整性要求將分到下一個低標準中。ABAND門很快提出了下面的安全相關應用條例：AB的實施將產生物理上的獨立利用檢測和否定時間為每一項估算和完成安全停止時間CCFA.7FACCF的一般方法。A.7略A.4.2.2.3過程獨立性身會出現(xiàn)錯誤，所以獨立性是常常想望的。SIL高的工藝精度和人力資源的獨立性來確保系統(tǒng)錯誤可接受或最小化。SILEN50128檢定和處理出現(xiàn)在設計中的新危險果系統(tǒng)和技術都是新的。新危害的出現(xiàn)有以下幾個方面：－新技術對新危害有很大的隱蔽性（缺乏經(jīng)驗；－新技術（如類似的數(shù)字技術）的引進引出了目前鐵路系統(tǒng)中的隱患；－新的設計危害歸咎于缺乏充足的/恰當?shù)募殑t說明；人員（工眾）產生新的危害；－設計錯誤可能產生新的危害，但這些錯誤與原有的已鑒定的錯誤相關。這些方面可能引起對環(huán)境和國家的危害，這些危害和已鑒定的危害一樣需要系統(tǒng)處理。恰當?shù)目山邮苈蕦γ恳环矫孢M行定性或定量的評估。注：可能至少用兩種不同的方法：THR安全情況應歸于這種危害；·如果不能接受，如果可能，供應方應重新設計他的產品/系統(tǒng)，如果不可能，為了使危險和相關的風險保持在一定的范圍內，應實施另外的保護措施；·如果能接受，那么鐵路局應負責定義新危害的THR，而供應方應提供和這個要求相符合的設計；例中。從每一個新危害中得到THR，并且這些THRS將產生新的要求。SIL普遍方面410SIL安全管理和技術安全條件的定性評估要求。的潛在后果，如圖A.4.1（至上而下）了每一種危害的THR，情形（沒有一種可用的風險分析結果，但是最后他將滿足規(guī)定的容許危險水準（應用安全條例，鐵路局/安全局對這個過程定論。THR統(tǒng)中。這些功能中的每一種有一個定性的安全目標和定量的安全目標，定性目標以SIL為形式，并且涉及到隨機故障完整性。SIL是一樣的，除非能證明子系統(tǒng)設備間的功能獨立性。SILA.8質量管理條件，安全管理條件，技術安全條件，量化安全目標。一個特殊量化目標的完成并不意味著對應的SIL的出臺。同樣，同樣與特殊的SILA.8成。理解這一點也是很重要的，然而為了完成如下章節(jié)中描述的鐵路安全性能，圖A.8說明。圖A.8略SIL（防御系統(tǒng)故障SILSIL（為避免系統(tǒng)故障）和定量法（隨機故障）匹配，因為用SIL量化系統(tǒng)故障是行不通的。像多其他故障一樣，這種權衡法用表格表示，由0,1,2,3,4五條SIL和相應的THRI-I0 4SIL表對于安全相關功能或子系統(tǒng)執(zhí)行一個或多個功能都是適用的。只要按照SIL所規(guī)定的方法和措施，當完成THR示范時，就沒有必要考慮系統(tǒng)故障。SILTHRSILFTHR，SIL量化要求超過10－9h－1程度的功能，可用以下方法處理：SILTHR；SIL4THR，要結合其它的技術或操作方法。注：與其他標準相比，這個標準中的SIL表只有一列頻率列表（原稱高需求或連續(xù)模式（原稱需求模式SIL所有需求的模式系統(tǒng)被建構為連續(xù)模式系統(tǒng)，EN61508-1SIL表已建好。附錄B（標準化）詳細的技術要求緒論5.4中已經(jīng)被說明。對系統(tǒng)/子系統(tǒng)/安全報告中提出（技術安全報告形成安全事件的第四部分。報告將緊隨在下列的標題后：第1部分緒論第2部分正確功能運轉保證第3部分故障影響第4部分有外部影響的運轉第5部分與安全有關系的應用條件第6部分安全條件測試這些中的每一部分已經(jīng)在標準的5.4中簡要地介紹了。對技術安全報告的第2-6節(jié)的更詳細的要求包含在B2-B6中。（參見附錄Ａ中對整體安全水平的解釋。然而，信息的深度和支持文檔的擴充應適于系統(tǒng)／子系統(tǒng)／設備的整體安全水平的詳細檢查之下。整體安全水平０的要求（沒有與安全有關的是在這個安全標準之外的。技術報告的結構標準的插圖７中。正確功能運轉保證（技術報告的第2部分）這部分關于系統(tǒng)／子系統(tǒng)／設備在無故障條件下的正確運行（障，與特殊的操作和安全要求一致。有些特殊的方面在下面，使用5.4的標題。系統(tǒng)建構的描述這包含系統(tǒng)/子系統(tǒng)/設備設計的普通描述，在足夠的深度來傳達對所使用的原理和技術的明確地理解。接口定義ａ)操作者這里將描述機械裝置是系統(tǒng)／子系統(tǒng)／設備通過工程操作人員操作的。例如:正常的條件下；報警響應；ｂ)配置這里將描述過程是通過工程人員實現(xiàn)的工程人員對特殊的鐵路或應用系統(tǒng)／系統(tǒng)／設備進行配置。 例如:軟件參數(shù)；硬件；安裝技巧程序ｃ) 維護各種水平的維護期間所使用的。更詳細的信息包含的B5.2中。ａ)內部接口這里定義內部條款到系統(tǒng)／子系統(tǒng)／設備之間的功能和物理接口。例如:電力的清潔和污染的區(qū)域；內部的總線結構；通信鏈接；監(jiān)控和改正的功能；ｂ)外部接口這里定義外部條款到系統(tǒng)／子系統(tǒng)／設備之間的功能和物理接口。例如:傳感器；執(zhí)行器；通信鏈接；檢測和監(jiān)測的規(guī)定；易擴展性；系統(tǒng)要求規(guī)范的實行這部分論證在系統(tǒng)/子系統(tǒng)/現(xiàn)的。包括所有相關的論據(jù)（或涉及到的論據(jù)。例如:設計原理和計算；測試說明和結果；確認；安全要求規(guī)范的實行這部分論證特殊的安全功能的要求是如何通過設計實現(xiàn)的。包括所有相關的論據(jù)（或涉及到的論據(jù)。 例如設計原理和計算；測試說明和結果；安全分析和結果；正確硬件功能的確信這部分描述系統(tǒng)/子系統(tǒng)/設備硬件搭建和解釋如何完成整體的設計要求，當要求的規(guī)范和任何相關的標準被放棄時，限制可行性；易行性；可維護性；安全性；安全考慮對理想條件是有限的，因為故障的影響另作處理(參見B.3)。正確軟件功能的確信EN50128這部分包括EN50128包括的所有文檔，特別是軟件的確認報告和軟件的評估報告。另外，應說明軟件和硬件的相互作用注: 包括應該引起注意的些特殊的主題軟件和硬件間的依賴關系；相互作用的秩序；自測程序；健康監(jiān)測；數(shù)據(jù)獲取技術；功能衰減；否定方法；故障的影響(也可參見表E.4的指導)這部分涉及在隨機的硬件故障和合理的實際系統(tǒng)故障中系統(tǒng)/子系統(tǒng)/設備連續(xù)遇到特殊的安全要求時的應對能力。被認為特殊的要求將在B3.1到B3.6中描述，標題的使用來自5.4。單個故障的影響(也可參見表E.4的指導)確信系統(tǒng)/子系統(tǒng)/THRSIL3SIL4故障－安全的復合事件。故障－安全的再作用這種技術允許通過單一條款來執(zhí)行與安全有關的功能，通過迅速的發(fā)現(xiàn)和否定任何有危害的故障，提供它承擔的安全操作（較或者通過連續(xù)的測試/測試/發(fā)現(xiàn)的功能應看作第二款，這一款將為了避免通常原因而被獨立。固有的故障－安全是沒有危害的。被聲明可信的任何故障模式（例如由于內在的物理特性害的強行關閉。無論使用任何技術或復合的技術，沒有單個隨機硬件組成故障的保障是有危險C中定義過的使用程序來證明。注: 將使用有由上而下的故障分析方法，如故障樹分析，這種方法被支持，果需要通過有由下而上的方法。如：故障模式和影響分析（參見表E。明。項目的獨立系統(tǒng)的整個生命周期將采取有效的措施。另外，系統(tǒng)/子系統(tǒng)/缺乏獨立性引起的潛在危險結果。例如可能存在的系統(tǒng)設計錯誤。在一個系統(tǒng)中各種影響的組合，例如，在圖B.1中兩執(zhí)行項目是象征行的，這個圖可以擴展到由不只兩個項目組成的系統(tǒng)。（技術設備，運行環(huán)境，故障和過壓）定義。在多種類型的影響下獨立性將丟失，在下面的題目中解釋。類型A內部物理影響此，內在的獨立性可以實現(xiàn)。注1 物理連接是項目間的任何媒介，例如:電連接電氣連接應采取措施避免無意的內在物理影響。注2 D.2包含一系列成功的內在物理獨立的措施（保護類型A的負面影響類型B 內部功能影響部功能獨立的手段來取得（B的負面影響）注3 內部功能影響將允許在一個部件中的錯誤信息對其他項目的影響類型C外部物理影響外部物理影響可能引起系統(tǒng)間物理獨立性的丟失注4 這些原因可能導致，例如:－EMI,ESD的環(huán)境壓力，氣候，機械的化學的－電力供應和－外部的輸入和輸出應采取措施避免無意的外部物理影響，B.4包含對于被認為是外部影響的要求注5 D.3包含一系列對于獲得外部物理影響的措施（保護類型C負面影響。D外部功能影響響，這將通過外部功能獨立的手段獲得（D負面影響。注6 外部功能影響允許來自外部源的錯誤信息對系統(tǒng)的影響？？？？？單故障的檢測（單故障（A.3）能性目標小的多。對于瞬時的潛在危險的條件下持續(xù)時間將不存在特殊的限制。這些故障－安全復合的反饋作用的要求在圖.2中已指出。算中已被使用的信號源的基本失效率將會被識別。清楚的解釋性質分析的方法。1通過設備自檢的情況，檢測故障的時間是內部測試，或在通過自檢的情況下的維護在測試期間的時間間隔。注2完成這些要求的方法的例子包含在E.4中。伴隨著檢測的動作（包括安全狀態(tài)的滯留）(參見表E.4)在檢測到第一個故障后，系統(tǒng)/子系統(tǒng)/設備會進入或一直保持一個安全狀態(tài)。這（擔不是必須到。這段時間中混有檢測加否定的時間執(zhí)行特殊的安全目標。注否定的時間通常是與關閉系統(tǒng)有關的部分的時間，自動的或是人為的。這些要求在圖B.2中指出不被忽略，限制性的安全狀態(tài)忽略僅在一種控制方式下發(fā)生，改正程序。/系統(tǒng)/設備將保持在安全狀態(tài)。允許的延遲到修復會在足夠短的時間內執(zhí)行特殊的安全目標。多種故障的影響(見表E.4)一個多重的錯誤（例如，兩重或三重的錯誤）可能時錯誤的，直接的，或是包含一個進一步的錯誤會被發(fā)現(xiàn)，同時二種安全狀態(tài)的執(zhí)行（例如，否定）在足夠短的時間內完成特殊的安全目標，一種合理的方法（例如，故障樹分析法）會被論證多重故障的影響上。在允許的時間內獲得測試加否定的多重故障的技術會被展示，（包括，計算支持）注 完成這些要求的方法的例子包含在.4中。機的偶然復合下發(fā)生并且不作為普通故障的結果。系統(tǒng)故障的防衛(wèi)除了使人為故障盡可能的小的性質和安全管理外（5.25.3）措施將用于可能又系統(tǒng)故障存在的地方,直到實現(xiàn)合理的操作來阻止一個無法預料的危險的產生。例如全部系統(tǒng)的架構可能做修改，甚至在子系統(tǒng)的一個危險的故障事件中，或設備（清單）項目已經(jīng)被安全設計，不希望突發(fā)事件發(fā)生。在外不影響下的運行（安全技術報告的第四部分）這部分使關于系統(tǒng)/子系統(tǒng)/設備正確安全的運行和目標對于特殊的外部影響的安全性。“正確運行”包括執(zhí)行運行要求和安全要求。限制仍保持安全。B.4.1B.4.7EN50125-1EN50125-3出的對不同條件的評估將被遵守。需要考慮的事項將給出存儲和傳遞的效果。氣候條件EN50125-3中，在特殊的氣候條件下達到歐洲標注要求的安全條件，如果鐵（比設備能夠完成度和全天候的措施。機械條件在特殊機械的條件下使確信安全的，能夠達到歐洲標注要求的安全條件。高度在高度出現(xiàn)不斷變化時是安全的，能夠達到歐洲標注要求的安全條件注 超出海平面1800M的高度，系統(tǒng)/子系統(tǒng)/設備無法正常工作。電氣條件（非機車）在特殊電氣條件的環(huán)境下，將能夠達到歐洲標注要求的安全條件。注從EN50121-4和EN50124-1中引用的標準將作為基本條件使用。電氣條件（機車）機車在特殊電氣條件的環(huán)境下，將能夠達到歐洲標注要求的安全條件。注 從EN50121-3和EN50124-1和EN50155中引用的標準將作為基本條件使用。防止未授權的訪問定義訪問等級技術學科技術等級特殊設備的培訓保護談到上面的訪問等級，這部分將定義如何實現(xiàn)保護。這些保護措施將防止訪問經(jīng)授權的人的意外訪問未經(jīng)授權的人的有意訪問外部條件這部分描述設備本身如何通過額外的手段來實現(xiàn)保護的。例如：房屋安全易接封裝這部分描述如何通過現(xiàn)有的設備實現(xiàn)保護。例如：包裝襯托紙封條電子譯碼機械譯碼固件更惡劣的環(huán)境在需要的地方，對處理額外的更惡劣的鐵路授權的特殊環(huán)境條款的形成。注下面是更惡劣環(huán)境的例子:－濃縮導致設備周圍的溫度迅速變化－惡劣的空氣污染灰塵煙水蒸氣有腐蝕性的化學物質鹽硫酸鹽污染種類和他們的關聯(lián)將被特殊定義－對戶外設備霧溫度的迅速變化化學影響如:油品有機物除草劑來自火或太陽輻射的過分的熱動作/植物，昆蟲或動物的進入積塵（有益和無益）某些地區(qū)更極端的溫度限制與安全有關的應用條件（技術報告的第五部分）這部分將定義規(guī)則、條件和與安全功能有關的限制，這種安全功能需要在系統(tǒng)/子系統(tǒng)/設備的應用中觀察。需要考慮的一般題目，包括如下為適合特殊的應用，系統(tǒng)程序的配置在生產、安裝、測試和交付使用中的預防對維護和故障探測的規(guī)則和方法對系統(tǒng)運行的說明安全警告和防范電磁兼容的防范（磁化系數(shù)和散熱）有關信息的修改和B.5.1B.5.3中子系統(tǒng)設備配置和系統(tǒng)搭鍵配置：置工具或程序被定義。例如：－程序化方法－版本控制－配置系統(tǒng)硬件要求－配置系統(tǒng)的軟件描述－軟件維護－確認－仿真系統(tǒng)搭鍵這個文件將描述在特殊的信號系統(tǒng)中子系統(tǒng)和設備是如何搭鍵的。例如：－版本控制設置－應用控制設置－接口設置－初始化設置－維護控制設置－生產和產品測試－常規(guī)系統(tǒng)測試－安裝、測試和驗收功能的變更定和系統(tǒng)將完備指定。B.5.2.運行和維護對在特殊的環(huán)境條件下確保系統(tǒng)/子系統(tǒng)/設備，持續(xù)安全和正常運行的最小的必須維護將運行和維護計劃形式寫入文檔，包括如下方面：運行狀態(tài)在每一系統(tǒng)/子系統(tǒng)/設備中存在的條件，將被定義在下列情形下對操作和維護，提供充分理解。開始：這樣描述系統(tǒng)開始條件，當電源初始應用似的子系統(tǒng)或設備條件，或是電源突然斷電引起的關閉或其他原因注：將定義這些內容，例如：缺省條件安裝周期執(zhí)行自檢需要人為干涉轉入出條件異常事件的預防，例如：或非法進入正常運行一旦系統(tǒng)/子系統(tǒng)/循環(huán)次數(shù)空閑故障檢測安全改變如果已經(jīng)配置好的設備或系統(tǒng)/子系統(tǒng)對于冷和熱，系統(tǒng)/a)b)被清楚的定義。關閉當一個系統(tǒng)/子系統(tǒng)或設備的列表將因為有意的配置改變或無意的電源故障而關閉。然后，所有有關的條件將被定義例如－缺省條件降級條件安全方面程序維護等級這些將被定義為關于初級維護客戶中修廠商中修護和在工作環(huán)境中可能的裝置外的修理。維護周期在要求的維護周期描述中涉及到所有已經(jīng)形成的相關領域。例如：訓練可達性模塊化互換性備件供應備件儲備輔助維護對于每一等級的維護，對人員的有效的輔助維護將被定義注這些輔助的維護包括，例如：故障診斷故障信息的干擾故障的修復安全監(jiān)測的運行在運行和維護期間系統(tǒng)強調壽命周期。系統(tǒng)/子系統(tǒng)/設備的性能將被監(jiān)測來確保指標達到設計要求，在使用期間對目前的環(huán)境保持有效注這將包括例如監(jiān)測與安全有關的性能而且與預計的性能比較提高安全與可靠性。報廢和處理當系統(tǒng)/子系統(tǒng)/設備最后報廢時有必要將技術安全的預防和程序存檔，這將包括考慮到的所有可能的重置系統(tǒng)的同時保持鐵路持續(xù)運行的重要說明。適當?shù)木婧驮O置最后報廢的處理說明也將包括在內。安全指標的測試（技術報告的第6部分）這部分將包括在運行情況下，對安全指標測試成功完成論證。這些測試的目的是對獲得系統(tǒng)/子系統(tǒng)/設備完成特殊的運行要求所增加的信心，對獲得已經(jīng)完成的特殊可靠性和安全目標所增加的信心，在最終安全報告正式批準前允許系統(tǒng)/子系統(tǒng)/預警和監(jiān)測注這些測試僅提供增加自信力，不是安全論證的唯一手段。要求系統(tǒng)/子系統(tǒng)/設備發(fā)生聯(lián)系的新穎和復雜的成分是正當?shù)?。此，適當?shù)念A警，程序和提供的監(jiān)測來確保鐵路在測試期間是安全的。作為定義，安全指標測試將在對安全有全部責任的商業(yè)運行前完成。并且，在每一階段獲得什么樣的授權等級（臨時的或最終安全授權。結論全報告的這部分。C（標準化硬件元件故障模式的鑒定引言這個附錄包含對硬件部分的確定故障模式的辨別的程序和信息。注包括在這個附錄中的硬件部分故障模式來源與歐洲的實踐和下列參考源UIC（設備檢驗公司）/ORE的報告A155/RP12，MIL－HDBK－338－1A；MU8004－可靠性分析中心報告FMD－91表中的信息可修改，如在C.2和C．５中解釋的，如果提供各種足夠的證據(jù)。一般過程（B.3.必須的。C.1C.6C.5中能看到一般的注釋。CENELEC程序。集成電路的規(guī)范（包括微處理器）設計采用特殊要求的集成電路，預測所有占用設備的確信故障模式是困難的，這對程序化設備特別真實，在設備范圍內能觀察到的故障模式有特殊應用。（一種被選方案將使用由下－上的方法，如故障模式和影響分析，但這種方法是費時的并且有可能發(fā)生一定有危險的故障模式被錯過。作為評定和證明將在以后形成，來展現(xiàn)對每種危險故障模式的鑒別。Aba)故障模式不能確信偶然發(fā)生，導致內部軟件建構或數(shù)據(jù)結構b)故障率注：有此項目，如：智能傳感器，嵌入微處理器，如何用同一辦法估計這些條目作為整體電路的草圖。對固有物理特性成分的程序如果使固有的故障－安全技術，將提供認為是確信的任何故障模式成分證明，這個證明包括，但不是必須限制的，下面的題目。－內在物理特性的原理性解釋－服從認可質量標準的事件－特殊結構成分的說明－特殊襯托和安排或對成分的其它預警的說明－故障模式不會偶然發(fā)生，當超出成分此例結果出現(xiàn)，例如，由于故障或超負荷情況－測試結果用來論證在不利情況下成分的故障行為。（依靠物理測試，技術論證，或仿真）－對固有故障－安全提供組成上可靠的經(jīng)驗如果提供滿意的論證，與故障模式有關系的成分可以從安全的分析中排除。如果件的執(zhí)行將包括在安全事件中提供的經(jīng)驗指出，有些特別成分的故障模式更是有能力確信的論證；這些故障c.1c.16中通標有*號指出，在c.6c.7關于元件故障模式的一般注釋c.1c.16包含硬件成分確信故障模式的列表在元件的邊界故障模式作為已證明的，不是由內部物理引起的故障所有列出故障模式是間斷的通過環(huán)境影響引起的間歇故障，如各種溫度或機械壓力（準）因此故障間歇率根據(jù)這些原因元件出版規(guī)范的容許量的變更不作故障考慮元件在它們公布的環(huán)境限制下運行是假定的元件在它們公布的電測定下運行。10）外部短路或不同元件間的漏電不認為是元件的故障，對于適當漏電和清除10置。安全依靠于清除和漏電距離，最小清除和漏電距離將根據(jù)應用要求（EN.50124-1IEC60664將用來決定基于強絕緣的最小要求。這些要求將被接受或逐步加強或通過授權完成。附加一般注釋，有關內部物理性質的成分。C.4中C.1C.16通過（*）指出是那些更像確信有能力證明的故障模式C.1C.16C.17實與確信故障模式的合理性有關。C.55.6和5.7中有進一步的注釋。C.55）之外，條件超過正常容許量的估計介紹。C.56）之外，有些對超出正常環(huán)境限制偏移的允許形成。在C.57）元件。未用未用C.7有關固有物理特性成分的特殊注釋遵循注釋提供的有關故障模式確定的可能論證的向導，在表C.1到C.16中標有（*）主體部分沒有空的在元件的末端,頂點/連接線間清除和漏電距離將至少達到EN50124-1的要求，根據(jù)它對強絕緣的要求。繞線電阻的線圈僅有一層。元件將包上粘合劑和瓷釉繞線電阻改變間的短路將通過有外包的線避免，或通過線圈的物理分離。主體將用無益的材料建造,甚至在最高溫度(包括故障條件)外包裝將無益甚至在最高溫度電阻將限制在盡可能低的值(例如,不大于10K)4接線端的電阻將通過這樣的方法來建造,如果故障引起電阻材料出現(xiàn)干擾,4接線端電阻的干擾.對電阻的外部電路將揭露在故障安全模式下接線端的干擾.例如4接線端電阻使用一種混合的厚的層技術.兩個接線端和每一側的元件獨立連接.C=在這兒,.A=金屬板的面積D=金屬板的距離

. Ad0。rd=允許的自由空間0r=電解常數(shù)作為確信的故障模式的證明要求,論證這些參數(shù)沒有一個能單獨改變.電解電容不適于排除這種故障模式。（包括故障情況Y級特點和自修復的性質。15）安全固定。EN50124－1所有的線圈和接頭將安全固定。電源浪費將被充分限制來阻止內部炭化（包括故障情況）磁心將被建成，如在磁路能引起磁阻率下沒有信號變化。傳輸率依賴于每一線圈的線圈數(shù)和整體的磁力線耦合，因此，有必要達到注釋15，16，17）的要求。制線圈不確信的故障模式能引起安匝數(shù)的增加。20）所有部分的延時或機械開關將被可靠的建造和安全固定，包括：機械的運行接觸系統(tǒng)磁性電路（即便要）盤繞（即便要）EN50124－121）接觸物質將選擇那些不能焊接的保接觸溫度不能達到發(fā)生焊接的值。22）繼電器參數(shù)的穩(wěn)定性將通過對下列事實的仔細注意來確保實現(xiàn)。－磁參數(shù)磁材料的選擇提供一個停止設備來避免磁路的永磁。防止外部的磁場。－電參數(shù)對線質量和絕緣的選擇線圈盤繞的質量接線端的質量－機械參數(shù)材料的選擇與質量所有部分的安全固定所有與安全有關的調節(jié)器的安全保持力。提供適當?shù)姆聪蛄?，使用重力（補充，如需要通過線或刀片的彈性）運行機械的設計和建造。如它不能變得阻塞，P－N結的極限電壓，如二極管或晶體管基極－發(fā)射級是這樣的功能。少數(shù)和多數(shù)電荷負載密度波特曼常數(shù)（k）（E）溫度（k）因此極限電壓依賴與P-N結的不可變參數(shù)和對給定溫度的參考。注意將花在避免兩個或更多二極管串聯(lián)連接的內部組成元件。穿電壓高的電壓。25）傳感器的放大（或增益，感應，發(fā)光二極管的光敏性或傳感器依賴于涂料的等級結點的厚度電荷負載工作時間這些參數(shù)將保持常數(shù)，在期望的電荷負載工作時間僅能隨時間減少。因此，擴大/敏感性將保持常數(shù)，或可能減少，但不增加（對每一應用調整）在通過污染的涂層引起的放大有很小可能存在增加。這能通過高質量的產品和元件的封裝來避免，這種結果僅僅是對于導通電流的信號。這將在設計電路是避免。26）光發(fā)射是于電子和空穴在結合有關的物理性質，電流再P－N結正向導通時，結電流流動沒有意義，因此沒有光發(fā)射。如果P－N光發(fā)射器光介質光敏接收器29)EN50124－1元件的結構將是穩(wěn)定可靠的。元件的電源損失將被充分的限制以防止內部碳化（包括故障情況）30EN50124－1輸入和輸出驅動器/耦合元素將固定安全。元件將被可靠的構成。共鳴器將被構成和裝配以防止他們尺寸變化的影響。共鳴器將被一種他的尺寸不受溫度變化影響的材料構成。共鳴器的材料將通過溫度的循環(huán)變化或是時間充分的預運行來保持穩(wěn)定。傳輸率是元素驅動/耦合與光纖質量因數(shù)的效率的一個方面。元素驅動/計和建造來防止在它們內任何有意義的增加。33）共鳴器將被建造和裝配來獲取最大可能的質量因數(shù)以至于沒有并發(fā)的證明能發(fā)生。共鳴器將被建造和裝配以防止任何機械裝置發(fā)生衰減。絕緣材料應該穩(wěn)定。清除和漏電距離將至少達到EN50124－1對強絕緣的要求。36）連接器應該可靠建造。連接器的所有部分應該固定安全連接器的錯誤方向或插錯槽位將通過例如機械設計和機械開關碼來防止。作為選擇，插錯的影響將通過例如連接器開關電子碼或分配唯一的地址/身份的手段來消除危險。危險應該通過標志警告和人員培訓進一步減少。對顯示屏的電連接將被安全可靠的固定。介紹

附錄D（信息的）補充技術信息本附錄提供了一些例子和指導來補充5.4和本標準附錄B所包含的技術要求.所給定的要求僅適用于SIL3或SIL4.機體內部獨立的實現(xiàn)(以免受A類影響的保護,參考B3.2)主要獨立下面的措施提供了兩個部件(它們的并發(fā)故障可能是危險的)之間的主要獨立()印刷電路板同一層的導線之間的絕緣。絕緣距離（漏電距離與余度）至少應根據(jù)EN50124—1的強迫絕緣（采取措施絕緣）要求而定。多層印刷電路板的不同層之間的絕緣。同一電纜的絕緣電線之間的絕緣。同一變壓器的絕緣繞線之間的絕緣。變壓器內部的最高溫度應被限定（包括故障情況下，以避免碳化。opto-coupler內部的絕緣部件之間的絕緣。opto-coupler內部的最高溫度應被限定（包括故障情況下2）避免通過內部連接而造成無意影響的措施（內部接口的保護）接口應該利用具有內在特性的裝置保護。避免通過電磁連接器造成的無意影響的措施。（避免內部電磁相互作用的保護）電子網(wǎng)絡之間的電磁相互作用的預防如下：網(wǎng)絡的阻抗應充分低，以避免相互作用，甚至萬一出現(xiàn)故障。理論計算和或實際測量而證實它適用于正常的操作模式。若需要避免在出錯時連接，應采取附加措施（論計算和/或實際測量而證實。D2.2 次要獨立下面的措施提供了兩個部件(它們的并發(fā)故障可能沒有危險)之間的次要獨立mn系統(tǒng)中，每一個部件可以由許多獨立的元件組成。兩個部件()的獨立的實現(xiàn)根據(jù)D.2.1,要部件。每一主要部件可以有一或多個所謂的附加部件核查主要部件。在一個主要部件和附加部件之間的獨立程度可以低于D.2.1立。錯誤而造成危險之前被發(fā)現(xiàn)，那么主要部件與附加部件無關D.2.1的簡化允許用于次要獨立：-絕緣距離（漏電距離和余度至少應根據(jù)EN50124-1的基本絕緣要求而定。-保護裝置不要求內在特性（僅在主要部件與附加部件之間的獨立可能會存在第二次故障時）-至少用于檢測電壓的供電網(wǎng)絡（附加部件）應與本節(jié)所述的用于被檢測的主要部件的供電網(wǎng)絡相隔離。D3 機體外部獨立的實現(xiàn)（C下面提供了機體外部獨立的措施EN50121-4EMI/ESD干擾正確操作而造成的無意影響。應正常地遵守規(guī)定的氣候條件，并采取措施降低系統(tǒng)超出規(guī)定氣候條件操作的危險。避免由于機械壓力而干擾正確操作造成的無意影響：條件的情況下。EN50125-41和/EN50125-3。盡管在鐵路機關和供應方所認可的化學壓力條件下，應采取措施保證可靠的正確操作。應采取措施避免在不允許的供電電壓下的無意操作（供電電壓的保護）可能需要備用的電壓檢測人員。應采取措施避免由于外部電壓通過輸入和輸出口干擾正確操作（外部接口的保護）成的無意的有害影響：（工作電壓和所有可能電線電纜上的EMI觸發(fā)電壓b)/接地/回路之間的余度應根據(jù)EN50124-1中規(guī)定的診斷電壓而定。帶電元件和正確操作需要被保護的外露的導電元件 /接地/回路之間的漏電距離應根EN50124-1和操作過程中最大的額定r.m.s電壓而定。對于靠距離絕緣來說，較大的距離（余度和漏電距離）是關鍵D4 單個故障分析方法舉例（參考本標準B。3。3）—6條的內容出自CENLECpaperCLC/SC9X（SE11CalculationwithMu8004formulas”.在各個部件中單個故障的detection-plus-negation時間T`a`，但不應超出下值：T≤k/1000*aK=1 22系統(tǒng)K=0、5 3選2系統(tǒng)在上面第一條中所提及的故障率被定義為一取決于操作過程中的環(huán)境條件的那末可以采用此近似估計作為一參考。如果在一個系統(tǒng)內，包含幾個部件（但不是所有的由兩個失效部件組合而成的）的子系有不同的故障檢查次數(shù)結果，最短的次數(shù)是關鍵。應對所有部件進行周期性的故障測試，對于所有對正確操作一定產生影響的故障，測試應獨立進行，并應在小于T的時間內完成。大規(guī)模集成電路中故障的檢查應遵守表D.1。5）無缺點n2時間不應超過第1）條允許的故障檢查時間的400fold.注2：此種情況假設：當設備不供電時，電子元件的可靠性高于供電時的20倍。被取消的時間大于第1）/故