英国标准 (1),英国标准105部分混凝土流动性测试

('英国标准BSEN50129:2003铁路应用－通信、信号和过程控制系统－信号的安全相关电子系统国家前言该英国标准是EN50129：2003的官方英文标准。它代替了被撤回的DDENV50129：1999标准。GEL/9技术委员会委托英国参与了它的准备，铁路电子技术应用组织即GEL/9/1子委员会，信号和通信，职责是：－帮助调查人理解文章；－提出可靠的欧洲委员会的要求来分析或者提出改进意见，并保证英国的利益；－关注相关的国际和欧洲发展，并在英国发布它们；一系列的组织给子委员会提出的意见可在它的秘书处获得。交叉的参考本英国标准应用国际的或者欧洲的关于本文件的出版物，它可能在“国际标准相应的索引”部分的BSI目录中找到，或者是使用BSI电子目录的或者英国标准在线的“查找”工具。它的出版并不意味着包括一个合同所有必要条款，英国标准的使用者有责任正确使用该标准。依从一个欧洲标准并不是指本人免除法律责任。总共的页数该文档包括前封面，内前封面，EN名称页，2到94页和内后封面和后封页。在文档最终出版后，BSI的版权日期在文档中指出。出版后的修订修订次数日期内容英文版本铁路应用－通信、信号和过程控制系统－信号的安全相关电子系统这个欧洲标准在2000－11－01被CENELEC提出，CENELEC的成员应该遵守CEN/CENELEC国际标准，它规定了该欧洲标准在无修改的情况下作为国际标准的一些情况。最新的目录和关于国际标准的相关参考数目可以在中心秘书处或者任何CENECEC的成员那里获得。这个欧洲标准有三个官方版本（英，法，德）。CENECEC的成员可将一种版本译为他们的语言，并且通知中心秘书处，这样有作为官方版本的同样地位。CENELEC欧洲电工标准协会前言本欧洲标准由SC9XA准备，属于技术委员会CENECECTC9X铁路电子和电子设备的通信，信号和处理系统。属于正式文件文本的草稿在2002－11－01作为EN50128由CENECEC提出。这个欧洲标准取代了ENV50129：1998这个欧洲标准是在CENELEC的授权下通过欧洲委员会和欧洲自由贸易组织、96/48/EC指示的本质要求来准备的。下面是确定的日期，－通过国际标准的出版或批注，这个标准作为国际标准来实施的最近日期2003－12－01－与这个标准冲突的国际标准排斥在外的最近日期2005－11－01标注“标准化”的附件是标准的一部分标注“非标准”的附件仅供参考。该标准中，附件A，B，C是标准化的，附件D，E是非标准化的内容引言……………………………………………..…………………………………..51范围…………………………………………………….…………………..…….72合乎规范的参考…………………………………..…….…….………………….73定义…………………………………………………………..…………………..83.1定义……………………………………………………..……………….……..93.2参考………………………………………………………...…………………..94标准的整体框架…………………………………………….….………………..115安全接受和承认的条件…………………………………...…..……….….……..125.1安全情形…………………………………………………………....……….…125.2质量管理根据………………………………………………………………….125.3安全管理根据………………………………………………………………….125.4功能和技术安全根据………………………………………………………….125.5安全接受和承认……………………………………………………………….12附件A（规范）安全完善度等级…………………………………………………13A.1引言…………………………………………………………………………….13A.2安全要求………………………………………………………….………….13A.3安全完善度A.4安全完善度要求分配A.5安全完善度等级附件B（规范）详细的技术要求B．1引言B．2正确的功能操作的保证B．3错误的影响B．4对外部影响的操作B．5有关安全应用的条件B．6安全质量测试附件C（规范）硬件组成错误模式的鉴定C．1引言C．2常规程序C．3完整电路程序（包括微处理器）C．4固有的物理性质组成程序C．5有关组成错误模式的常规信息C．6附带的常规信息，有关固有物理性质的组成C．7有关固有物理性质的组成的特殊信息附件D（情报）补充技术信息………………………………………77D.1引言…………………………………………………….…………77D.2完成物理内在独立性…………………………………..…….…..77D.3完成物理外在独立性………..…..….…………………………..78D.4单个错误分析方法的例子………………………….….………...79D.5多个错误分析方法……………………………………………….80附件E(情报)为系统错误和控制随机及系统错误，为与安全相关的电子系统传输信号制定了技巧和方法………………………………………………85参考书目………………………………………………………………941CENELEC铁路应用标准的主要范围…………………………..82EN50129的结构…………………………………………………..153安全事例结构……………………………………………………..174系统生命周期举例………………………………………………..195设计和系统生命周期有效部分举例………………………………216独立性排列…………………………………………………………227技术安全报告结构…………………………………………………268安全性承诺和安全性批准过程]…………………………………...289安全性事例/安全性批准间独立性举例……………………………29A1安全要求和安全完整性…………………………………………….30A2全部过程回顾………………………………………………………32A3风险分析过程举例…………………………………………………33A4有关系统界限危险的定义…………………………………………34A5危险控制过程举例………………………………………………….36A6解释故障和补救次数………………………………………………37A7由FTA处理的功能独立性………………………………………...38A8安全完整性水准和技巧间的关系…………………………………40B.1影响项目独立性的因素……………………………………………46B.2检测和否定单个错误………………………………………………49D.1错误分析方法举例…………………………………………………81A1安全完整性水准表………………………………………………….41表C.1电阻器………………………………………………………………61表C.2电容器……………………………………………………………….62表C.3电磁组件…………………………………………………………….63表C.4二极管……………………………………………………………….66表C.5晶体管……………………………………………………………….67表C.6控制整流器………………………………………………………….69表C.7过负荷干扰抑制器………………………………………………….71表C.8光电子组件………………………………………………………….72表C.9过滤器……………………………………………………………….73表C.10内部组件…………………………………………………………..74表C.11－保险………………………………………………………………75表C.12－开关和按钮………………………………………………………75表C.13－电灯………………………………………………………………75表C.14－电池………………………………………………………………75表C.15－变送器/传感器（不包括内部电路）……………………………76表C.16－集成电路…………………………………………………………76表D.1－在大规模集成电路通过周期性在线测试的手段来检测故障的措施的例子…………………………………………………………………82表E.1－安全计划和主动的质量保证…………………………………….86表E.2－系统要求的技术规格………………………………………………87表E.3－安全组织……………………………………………………………87表E.4－系统/子系统/设备的建构…………………………………………88表E.5－设计特色……………………………………………………………89表E.6－故障和危险分析的方法……………………………………………90表E.7－系统/子系统/设备的设计和研发…………………………………91表E.8－设计的阶段性文档…………………………………………………91表E.9－系统和产品设计的鉴定和确认……………………………………92表E.10－应用，运行和维护…………………………………………………93前言本标准是铁路信号领域内定义电子安全系统认可和支持要求的第一个欧洲标准。目前，国际上存在的语词有关的只有国际铁路联合组织（UIC）提出的整体建议和一些国家提出的互不相同的建议。针对信号的电子安全系统包括硬件和软件两部分。要安装完整的安全系统，必需考虑系统整个生命周期中的两个部分，即对硬件安全的要求和在标准上对整个系统定义的要求，期于要求在CENELEC标准上有要求。欧洲铁路机构和欧洲铁路工业在发展一种基于一般标准并能够相互兼容的铁路系统。因此，对于系统安全支持方面和不同国家铁路机构要求方面横向认可是必须的此文件就电子系统在铁路信号方面安全认可与支持的欧洲通用的基础。横向认可的目的在于一般的支持，不是特殊的应用。当它成为一个EN时公众在有关铁路信号电子安全系统的欧洲摄取内的获得将会关系到这个标准。本标准包括主要部分（第一章到第五章）和附录A，B，C，D，E。在此标准中主要部分和附录A，B，C中定义的要求是规范的，而附录D和E是非正式的。本标准和EN50126（铁路装置RAMS）中相关的章节有关联。本标准和EN50126都是基于系统的生命周期和EN61508—1。在涉及到铁路通信信号和外部系统时，EN61508—1被EN50126/EN50128/EN50129取代了。买组这些标准的要求将来遵守未评价的EN61508—1是足够的。因为标准是关于安全系统的支持所显示出来的现象，所以它使生命周期的行为特殊化，这些行为需要在认可阶段之前完成，随之而来的是额外的计划行为。对整个生命周期的安全检测就是这样被要求的。本标准是关于显现出来的现象，除了认为是合适的地方，它没有规定谁将执行必须的工作，因为这在不同环境下是不相同的。EN50128定义了包括可编程电子器件和软件附加条件的安全系统。EN50159—1和EN50159—2定义了对安全数据通信的额外要求。1范围本标准适用与铁路信号设备上用的电子安全系统（包括子系统和设备）。图1表示了本标准的范围和它与其他CENELEC标准的关系。本标准适用与所有的铁路信号安全系统、子系统及设备。然而，EN50126中定义的事故分析和危险估计程序和本标准对于所有的铁路信号系统、子系统及设备是必须的安全要求。如果分析结果显示没有安全要求（例如：这种情况下是不安全的），并且结论没有修改行为后来变化的结果，本安全标准就会停止使用。分类、设计、建设、安装、认可、操作、维护和修改及扩展等功能也适用与完整系统中的个人子系统和设备。附录C包含了和电子硬件部分相关的程序。本标准又适用与一般的子系统和设备（独立的使用和某种特殊的使用），也可在系统、子系统、设备上有特殊的使用。本标准不适用与现存的系统、子系统和设备（例如在本标准之前已经被接受的系统、子系统和设备）然而，只要合乎实验性，本标准也被用来修改或扩展现存的系统子系统和设备。本标准主要用于铁路信号传输设备的专门设计和加工的系统、子系统及设备。作为信号传输安全系统的一部分，如果现实允许，也可被用于真体的构思或一些工业设备（如：能源的供应、调配等）。即使在最小限度时，可根据显示，设备或者依赖于安全或者依赖于与安全相关的这些功能。本标准适用于铁路信号传输系统功能上的安全。它不是处理个人的职业上的健康和安全，这一课题在其他的标准上有说明。2参考标准欧洲标准参考了其他出版物里的更新后未更新的部分。这些标准参考在本文适当的地方被应用，下面列出了被参考的出版物。对于更新过的参考，后来的修订当需要的时候也被欧洲标准引用。没有更新过的参考，出版物最新的版本有所提及（包括修改的部分）。注意：附加的非正式的参考在目录里。EN50121系列铁路应用——电磁兼容EN50124—1铁路应用——绝缘调配——第一部分：电力电子设备绝缘的基本需求。EN50124—2铁路应用——绝缘调配——第二部分：过电压及其先观保护。EN50125—1铁路应用——环境需求——第一部分：boardrollingstock上的设备。EN50125—3铁路应用——环境需求——第三部分：信号传输与通信设备。EN50126铁路应用——可靠性、可用性、可维护性和安全性（RAMS）规范和说明。EN50128铁路应用——通信、用于铁路控制和系统保护的信号处理系统EN50155铁路应用——电气设备在rollingstock上的应用。EN50159—1铁路应用——通信、信号处理系统——第一部分：在闭环传输系统中与安全相关的通信EN50159—2铁路应用——通信、信号处理系统——第二部分：在开环传输系统中与安全相关的通信EN61508—1电气、电子、可编程的安全电气设备系统——第一部分：主要需求（IEC61508）IEC60664系列在低电压系统的绝缘调配。3定义和缩略词3.1定义在本标准中下面的定义将被用到。3.1.1故障导致死亡、受伤、系统或设备损失或者破坏环境的无意中的故障或一系列故障。3.1.2评估分析设计部门和产业部门生产的产品是否满足规定的要求，并形成一套判别产品是否按其预定功能进行工作，这个过程称为评估。3.1.3授权书按规定使用产品的正式许诺。3.1.4可用性一个产品在给定一段时间，在一定条件下按要求实现功能的能力，以及在所需求的外部资源被提供的前提下，其在给定的一段时间执行的能力。3.1.5可能可能发生的。3.1.6偶然性分析分析一种专门的危害存在的原因。3.1.7普通—偶然故障一些具有独立功能的设备失效。3.1.8结果分析分析在一个危害发生后，可能出现的情况。3.1.9图表表明硬件的结构和相互联系以及系统软件的功能。3.1.10横向认可一个产品被一个权威乃至相关欧洲标准认可并且被最高权威认可，这样一种程度3.1.11设计这是一种为了将规定需求通过分析和转换，使其满足可靠性要求的设计方法。3.1.12设计权威此体系负责开发一套设计方法的公式去执行规定的需求并遇见随后的发展，使一个系统在预定的环境中工作3.1.13发送这是一种用多种互不相同的方法来实现全部或部分特殊要求的方式3.1.14设备起作用的物理装置3.1.15误差与预先设计结果相偏离，并会导致系统发生副作用或失效。3.1.16失效—安全这个概念是包含在一个产品的设计当中，如产品看似处于安全状态，但实际上已经失效了。3.1.17失效偏离系统规定的行为，是系统错误或误差导致的结果。3.1.18错误一种非常规导致系统失效的条件，一个错误是随即的或有规律发生的。3.1.19错误发现时间从错误发生的一瞬间到被发现为止的异端时间3.1.20功能一个产品执行其规程的行为模型3.1.21危害导致事故的情况3.1.22危害分析坚定危害分析及其产生原因，以及违反法制危害可能发生的要求和在一定程度上危害所造成的后果3.1.23危害记录一个包含所有安全管理活动、危害坚定、决策生成的文档，用于存档和参考3.1.24认为错误导致系统发生副作用的人的行为（失误）3.1.25执行为了将规定的设计转化为物理的实现而进行的活动3.1.26独立（功能）由于机械具有的多功能而影响到正确操作，从而导致系统故障或突发故障的机械装置中寄托出来。3.1.27独立（人工）从需要相同智力、商业或管理试题中解脱出来。3.1.28独立（物理）从由于多功能而影响正确操作几导致系统、副系统、设备发生突发故障的机械装置中解脱出来。3.1.29个体风险一个仅仅有关独立个体的风险。3.1.30维护性对于给定一种积极的维护行为，其在给顶使用条件的项目中的可行性，可以在相关条件和使用相关程序和资源的间隙中进行。3.1.31维护所有技术和管理行为的综合，包括监督行为，企图保持一个项目或将其存储，是一种可以表现其需求功能的状态。3.1.32可行性可执行性。3.1.33负面性当发现一个危险的错误而破坏安全的状态。3.1.34负面时间从一个危险错误的发生到结束，整个安全状态被破坏的时间跨度。3.1.35生产与形成满足规定需求的一种方法相互关联的元件组装。3.1.36质量使用者对于一个产品属性的看法。3.1.37铁路权威通过安全操作铁路系统而形成的完整的安全权威体系。3.1.38突发故障强度一个系统能承受危险的突发故障的限度。3.1.39突发故障无法预见发生的故障。3.1.40可靠性提供一种或多种通常是相同的措施，来提供对故障的承受。3.1.41可靠性一套装置在给定条件下和规定时间内执行特定功能的能力。3.1.42修理将系统、副系统及设备在失效后恢复即定状态的重建方法。3.1.43风险发生特定危害的频率、可能性及后果的集合体。3.1.44安全状态一种持续安全的状态。3.1.45安全度不发生一定程度上的重大风险。3.1.46安全度认可最后一个使用者对产品安全状态的认可3.1.47安全度规定当产品已经执行一系列先决条件后必须对安全状态进行权威认定。3.1.48安全度权威负责对与系统相关的安全操作发表授权。3.1.49安全库报名产品遵从规定安全需要的文档。3.1.50安全度在运行的各个阶段各种操作环境及所有的状态条件下，安全相关系统达到安全功能的能力。3.1.51安全度标准在考虑系统错误的前提下，一个表明系统自我满足规定安全功能的数字。3.1.52安全度生命周期对于安全有关的系统的生命周期中执行的一系列动作3.1.53安全度管理确保过程被安全执行的结构。3.1.54安全计划如何达到工程的安全需求的执行细节。3.1.55安全流程对于一个产品所有安全要求进行鉴定和满足的一系列步骤。3.1.56相关安全度对安全度负责。3.1.57命令强制执行的。3.1.58建议被提议的。3.1.59信号系统由于铁路控制和保护火车正确运行的专门的一类系统。3.1.60压力承受当一个产品执行特定功能时所承受的大量外部影响的程度。3.1.61副系统系统中执行特殊功能的一部分。3.1.62系统通过设计，使一系列副系统相互作用而组成的。3.1.63系统失效度系统从危害性误差和原因中恢复的能力。3.1.64系统错误对于一个系统，在规范、设计、组构、安装、执行或维护中内部发生的错误。3.1.65系统生命周期从一个系统开始构造到该系统失效这段时期内进行的一系列活动。3.1.66技术安全报告对系统、副系统及设备设计的安全进行论证的报告。3.1.67有效性一系列通过测试和分析来表明产品满足各方面安全规范的行为。3.1.68鉴定一种通过分析和测试，在系统生命周期的每一个阶段，对所分析和测试的阶段满足前一阶段的输出，和该阶段按规定输出进行坚定的行为。3.2缩略词下面是该标准中用到的缩略词:3.2.1AC交流电3.2.2ATP列车自动保护3.2.3CENELEC欧洲电气标准委员会3.2.4CCF常见故障原因3.2.5DC直流电3.2.6EMC电磁相容性3.2.7EMI电磁干扰3.2.8EN欧洲标准3.2.9ESD静电释放3.2.10FET场效应管3.2.11FMEA故障建模和分析3.2.12FR故障率3.2.13FTA故障树分析3.2.14H危害3.2.15HW硬件3.2.16IEC国际电工技术委员会3.2.17IRSE铁路信号工程机构3.2.18ISO国际标准组织3.2.19RAMS可靠性、可行性、维护性和安全性3.2.20SCR可控硅校验器3.2.21SDR安全下降率3.2.22SDT安全下降时间3.2.23SIL安全度标准3.2.24SW软件3.2.25THR危害可承受度3.2.26UIC国际铁路联盟3.2.27VDR电压电阻器4该标准所有框架欧洲标准中第五条款要求采用一个有规律的、有文挡的-质量管理记录-安全管理记录-功能和技术安全记录-规定安全度附录A定义安全度标准的使用和结实。附录B包含安全相关的系统、副系统及设备的技术细节要求。附录C包含坚定可修复硬件故障的步骤和信息的方法。附录D包含附加的技术信息。附录E包含用于安全度各个标准的技术、方法目录。目录包含在执行着套标准期间所需查询文档的说明。5为保证安全所允许的条件5.1安全情况该标准定义的条件应满足为保证与安全有关的电气铁路系统、副系统及设备按其预期目的可以被足够安全的应用。在该标准中有关的部分是以.下三个标题为基础的，分别称为：-5.2质量管理记录-5.3安全管理记录-5.4功能和技术安全记录在与安全有关的系统可以足够安全的被使用之前，所有这些条件都应达到系统、副系统及设备要求的水平。已经与这些条件相符合的文档记录应当被包含进一个安全坚定文档，即安全库。安全库组成所有遵从相关安全权威的文档记录的一个部分，为了得到一个一般产品，一组应用或一个特殊应用的安全要求规范。对于安全规范过程的解释，见该标准的5.5部分。安全库包含系统、副系统及设备的安全文档记录，可以分为如下结构：第一部分系统（或副系统及设备）定义应明确定义或表明安全库所指的系统、副系统及设备，包括类型编号、所有需求的修改权限、设计和应用性的文档。第二部分质量管理报告该部分包括质量管理记录，如该标准中5.2部分提到的第三部分安全管理报告该部分包括安全管理记录，如该标准中5.3部分提到的第四部分技术安全报告该部分包括功能和技术安全的记录，如该标准中5.4部分提到的第五部分相关安全库该部分包括与安全库所依靠的所有副系统及设备有关的安全库同时应该表明所有与安全有关的应用条件都应规定每一个相关的副系统及设备的安全库要么是在主安全库中执行，要么在主安全库中与安全库有关的应用条件下执行。第六部分结论该部分应简要概括在安全库先前部分的记录，并讨论相关系统、副系统及设备是否足够的安全，是否遵从专业的应用条件。安全库的结构用图表3说明。明确规定大量细节的记录和辅助类文档不需要包含进安全库和它的子库，也不需要提供明确的用于此类文档的解释，同时也不需要提供基本概念的应用和所采用的途径。5.2质量管理记录安全规范的第一个条件就是系统、副系统及设备的质量应得到保证，并且还应在其整个生命周期中被一套有效的质量管理系统控制。文档记录是该要求在质量管理报告中的表现，它形成了安全库中的第二个部分。质量管理系统目的是使在系统生命周期的每个阶段的人为故障最小化，同时也减小系统、副系统及设备中系统故障的发生。质量管理系统应当在系统、副系统及设备整个生命周期中应用，如定义的EN50126。一个系统生命周期的例子（在EN50126标准下），由该标准的图表4描述EN50129：2003注释：下面是一个有关质量管理体系和质量管理报告所包括的几个方面的例子。——组织的结构——质量计划和步骤——需求说明书——控制设计——检查和复查设计——工程应用——采购和制造——产品鉴定和跟踪——管理和存储——检查——不一致性和正确的行动——包装和发送——安装和授权——操作和维护——质量管理和售后服务——文档和记录——配置的管理或更改控制——操纵指导——质量审计和使用情况调查——运行状况遵从质量管理的要求是保证1到4完全安全水平所必需的（见兼并A中对完全安全水平的解释）。然而，记录的深度和辅助类文档的扩展应适应系统、副系统及设备的完全安全水平(见表格E.1和表格E.8中对每个完全安全水平所需记录的结实)。完全安全0水平（不安全）的要求不在该安全标准所探索的范围。5.3安全管理措施5.3.1概述为了保证安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件之二是安全管理措施，他应该与EN50126中所到的可靠性、可用性、可维护性和安全性的管理过程相一致，目的是进一步减少和安全相关的认为失误。进而减少系统故障风险。下面5.3.2到5.3.13就简要的介绍了安全管理过程因素。在安全管理报告中将提到有关安全管理过程中的各素都遵从生命周期概念的书面证据，即是安全案例的第三部分，这其中不包含大量的详细的证据和提供的文献，只是一些简单的索引。安全管理措施的运用对于安全完整性水准的1到4来说是强制性的。（参考安全完整性水准的解释附录A）然而，所提供的证据的深度和所支持文献的广度对于安全的系统/子系统/仪器设备的安全完整性水准来说应该是合适的。安全完整性水准为0的（认为不安全）是不符合安全标准的。为了证实安全完整性所提到的标准对每一种特殊的情形都是适用的。那么在EN50126中定义的危害分析和风险评估过程都是必要的。这也包括那些分析和评估认为安全完整性水准认为是0的情况。然而，一旦得出这样的结论，（也就是说这种情况是不安全的），那么，这种安全标准就不再适用。5.3.2安全的生命周期这种安全管理过程包括很多阶段和行为，因此形成了安全生命周期。这应该与EN50126中提到的系统生命周期相一致，即是图4所显示标准的一种复制。系统生命周期的设计和有效性部分可以看作是“顶部——底部”和“底部——顶部”两个阶段。（也就是V形）如图5所示。5.3.3安全机构安全管理过程应该在安全机构的有效指导下执行。安全机构应该任用那些被指任为扮演特殊角色的有能力的人来组成。对这些人进行包括技术知识，认证，相关经验和正确的训练的能力的评估和记录应该根据大意公认的标准来执行。对于所有安全完整性水准的所要求的安全机构知道下的不同角色之间应该有一个相互独立的度，正如图6和表E.3所示。5.3.4安全计划在生命周期的开始应该指定一个安全计划，这个计划应该体现整个生命周期安全管理的结构，安全相关的活动和论证的转折点。还包括每隔一定间隔进行安全计划复查的要求。如果对原始系统/子系统/仪器设备进行一系列的改动或增加的话，我们就应该及时更新或复查安全计划。如果有类似这样的变动，那么在生命周期的恰当的位置对变动所引起的包括硬件和软件安全方面的影响就应该被重新评估。参照表E.1对于每一个安全完整性水准安全计划所作的指导安全计划应该处理系统/子系统/仪器设备的各个方面，包括硬件和软件。对于软件的各个方面问题在EN50128中已经论述过。安全计划应该包括安全案例计划，他将体现最终安全案例的预期结构和重要内容。5.3.5危害日志在整个生命周期过程中应该创建并维护一个危害日志，正如在EN50126所解释的，它应该包括一系列公认的危害，还有对于每一种危害的风险分类和风险控制信息，如果对系统，子系统或仪器设备有任何修改和变动，危害日志都应该被升级。5.3.6安全要求对每一种系统/子系统/仪器设备的特定的安全要求包括功能安全要求和安全完整性要求，这些要求应该在安全具体方面里面明确标识和记录，可以通过EN50126中提到的这几个方面完成：1．危害标识和分析2．风险评估和分类3．安全完整性水准的分配附录A中包括了一些铁路电子系统的安全完整水准的信息。注：安全要求可能包括在系统/子系统/仪器设备功能要求中或可以被写作为独立的文档，参照表E.2对与每一条安全完整性水准在系统需求方面的指导。5.3.7系统/子系统/仪器设备的设计生命周期的这一阶段应该做这样一种设计，此设计将完成特定的操作和安全要求，我们将运用顶部——底部的这样的一套方法且有严格的控制和复查文档。特定情况下，通过软件需求和软件/硬件整合而再现的软硬件之间的关系应该得到严格的管理。标准EN50128中也有所提及。表E.7给出了对每一种安全完整性水准来说系统/子系统/仪器设备在设计和进展方面的指导。5.3.8安全复查在生命周期的适当阶段应该做一下安全复查，这些复查应该在安全计划中明确规定，在复查同时要记录结果，如果对系统，子系统或器设备有任何改动或扩展，那么我们都应该对其进行复查。5.3.9安全核对和证实安全计划应该包括或索引一些这样的计划，他们能核对生命周期的每一个阶段都能满足在先前那些阶段中提到的具体的一些安全要求，并且能证实已经完趁个的系统/子系统/仪器设备是与原始的安全性的具体要求相对应的。我们应该去完成这些步骤并且将其结果做一详细记录，包括正确的测试和安全分析，在接下来的而已系列的对系统/子系统/仪器设备的变动和增加中应该正确的重复以上操作。对核对人和确认人来说，独立的必要性的度应该与仔细检查下的系统/子系统/仪器设备的安全完整性水准相一致，可以参照图6和表9，对于每一种安全完整性水准的核对和证实的技术/方法的指导。依照安全局的见解，评估员应该是供应方组织或是顾客组织的成员，但在这些情况下，评估员应该是1．经安全局授权的2．从项目团队中完全独立出来的3．与安全局完全沟通的5.3.10安全判断使得系统/子系统/仪器设备满足安全接受所规定的条件的措施应该以一安全案例的形式出现在结构完整的安全判断文挡中，参照5.1中所解释的。5.3.11系统/子系统/仪器设备的移交在将系统/子系统/仪器设备移交给铁路当局之前，应该满足5.5中规定的安全接受和安全论证条件，并且同时递交安全案例和安全评估报告。5.3.12运行和维护随着移交的进行，我们还应该附加安全计划和技术安全报告（安全案例的一部分）的第五部分所规定的手续，支持系统和安全监管。在系统运行的过程中，人们可能会提出各种理由而要求对系统做出改动。当然这些理由不一定安全，我们必须通过索引一些安全文档的相关部分来评估一下这些要求改变的请求对安全方面的影响。当这些要求改变的请求会引起一些变动，并且这些变动又将影响此系统或相关系统或周围环境的安全时，我们应该运用安全生命周期的正确部分以确保所实施的改变可以降低安全水准。参照表E.10对每一种安全完整性水准在应用，运行和维护方面的指导。5.3.13停用设备并加以处理在系统运行周期的最后阶段，我们必须停止使用该设备并且进行最后的清理，这些操作必须与安全计划和技术安全报告（安全案例的一部分）的第五部分所规定的操作相一致。5.4功能和技术措施除了满足5.2和5.3中提到的质量和安全管理的措施之外，要使系统/子系统/仪器设备的预期应用能被安全的接受，那么还要满足这第三个条件，也就是功能和技术安全措施，这其中包括为了满足设计的安全要求所提到的技术措施，这一措施应该在安全技术报告中记录下来，即是系统/子系统/仪器设备的安全案例的第四部分，参照5.1技术安全报告对与安全完整性水准的1到4来说是强制执行的（参照安全完整性水准的附录A），然而这些信息的深度和做支持文献的广度，对于仔细检查下的系统/子系统/仪器设备的安全完整性水准应该是相吻合的，对于安全完整性水准为0的请求是不在安全标准范围之内的。技术安全报告应该对技术原则做出解释，这些技术原则确保了技术的安全性，包括所有支持的措施（如设计原理和计算，具体测试和结果及安全分析）我们对技术安全报告做了如下标题：第一部分概述这部分将概述此设计，包括对安全所依赖的技术安全原理的概要，以及根据标准使系统/子系统/仪器设备安全内容得到扩展。这部分也将提到作为设计的技术安全基础的标准（及他们的颁布）如果对已经投入运行的或标准生产的或在发展的完成阶段时的仪器设备进行变动或增加。作为一个例外，被用作原始设计标准的颁布可以作为一个基础，这些已经在原始设备的论证中被接受了，这些在以下情况下可能会得到应用。即当考虑到新标准的颁布实施可能要求对已经存在设备的进一步改动或者可能招致变化所带来的不合理的高费用时。以下将给出对于以上陈述的理由。第二部分确保正确的功能操作根据特殊规定的操作和安全的要求，这一部分将演示在无故障的正常情况下（即不存在故障）对系统/子系统/仪器设备进行正确操作的必要措施。包括以下方面，在B.2中有更详细的说明2.1系统结构的描述(参考B.2.1和表E.4)2.2相互交叉操作的定义(参考B.2.2)2.3系统需求的实施(参照B.2.3)2.4安全需求的实施(参照B.2.4)2.5确保正确的硬件功能(参照B.2.5)2.6确保正确的软件功能(参照B.2.6)第三部分故障的影响这部分将描述系统/子系统/仪器设备继续满足特定的安全需求。包括在随机硬件故障下数量上能达到一定的安全目标。另外，尽管在5.2和5.3中规定了质量和安全管理过程，但系统故障仍存在。这部分将描述采取一些技术措施使将来风险降低到一个可接受的水准。这部分也将说明在安全完整性水准低于整个系统的也包括水准为0的任何一个系统/子系统/仪器设备产生的故障，将不会降低整个系统的安全性。这部分将包括以下题目，B.3中有更详细的需求描述。表E.5表E.6中也有所提及。3.1单一故障的影响(参照B.3.1)3.2项目独立性(参照B.3.2)3.3单一故障检测(参照B.3.3)3.4检测后应采取的措施(参照B.3.4)3.5多个故障的影响(参照B.3.5)3.6防御系统故障(参照B.3.6)第四部分额外影响的操作这部分将描述遇到在系统需求中所提到的额外影响时系统/子系统/仪器设备1．继续履行它的具体操作需求2．继续履行它的具体安全需求（包括存在故障情况下）安全案例只有在额外影响的特定范围内是有效的，正如在系统需求中所定义的。在这些限定之外不能确保安全，除非实施额外的特殊措施用来支持特定的额外操作的方法将得到解释和判定。更详细的信息可参照B.4第五部分有关安全的应用条件这部分将强调在系统/子系统/仪器设备的应用中应遵循的法则，条件和限定。这也包括一些相关的子系统和仪器设备的安全案例中所包含的应用条件更详细的信息可参照B.5，同时在表E.10中也有所指导第六部分安全资格审查这部分将演示在安全资格审查的操作条件下的一些成功的例子。可参照B.6技术安全结构可参照图75.5安全接受和论证这部分定义了与安全相关的电子系统/子系统/仪器设备的安全接受和论证部分。除了认为是合适的地方，其他地方并没有特殊强调应该由谁在每个阶段来做这项工作，因为它是随着环境的变化而变化的。5.5.1概述正如5.1所提到的。为了保证与安全相关的铁路信号电子系统/子系统/仪器设备安全所必须满足的三个条件如下：1.质量管理措施2.安全管理措施3.功能和技术安全措施这三个条件已经在5.2和5.3和5.4中提到正如5.1和图3所显示的，安全案例中应包括质量管理措施，安全管理措施和功能技术安全措施可以考虑安全案例的如下三种不同的分类：1.一般的产品安全案例（独立应用）一般产品可用做各种不同的独立应用2.一般的应用安全案例（应用分类）有相同功能的一般的应用可以划分为一类3.特殊的应用安全案例（特殊应用）特殊的应用只能用做一种特殊的装置有必要告诉大家的就是对于每一种特定的应用，无论是环境的条件还是应用的内容与一般的应用条件相兼容这一点是必要的（参照5.5.4）在以上三种分类中，安全案例和获得安全论证程序的结构基本上是相同的。然而，对于特定的应用也有附加因素：在这种分类中，对于系统的应用设计和它的实际操作需要独立的安全论证(例如：生产，安装，测试和用于操作和维护的设施)，基于此，对于特定应用的安全案例应该分成以下两部分：1．应用设计安全案例：这包括特定应用的理论设计的安全措施2．实际操作安全案例：这包括特定应用的实际操作的安全措施这两部分结构可见5.1和图35.5.2安全论证过程在考虑安全论证的操作之前，应该做出一份系统/子系统/仪器设备的独立的安全评估报告和安全案例。这样做是为了进一步确保能达到安全的必要水准，且将结果记录在安全评估报告中。这份报告应该对安全评估员决定如何设计才能使系统/子系统/仪器设备（硬件和软件）满足特定要求的做法进行解释，同时强调对系统/子系统/仪器设备的操作而言的一些附加条件。像EN50126中所提到的安全评估的深度和对其操作的独立性的限度都是基于风险分类的结果之上的。为了增加可信度，安全评估员可能要求进行特定的测试。整个文档的措施应该包括：1.系统（子系统/仪器设备）需求；2.安全要求；3.安全案例包括：第一部分：系统/子系统/仪器设备的规定第二部分：质量管理报告（质量管理措施）第三部分：安全管理报告（安全管理措施）第四部分：技术安全报告（功能/技术安全措施）第五部分：相关的安全案例（如果可能的话）第六部分：结论4.安全评估报告；根据安全案例中提到的满足安全接受的所有条件，并且依照独立的安全评估结果。系统/子系统/仪器设备依法得到相关安全局的论证。安全评估人员对论证可能会强制执行一些额外条件（暂时的或永久的）对于一般性产品（即应用的独立性）和一般性应用（即应用的等级分类）被一个安全局同意的安全论证和可能被其他安全局所接受（即相互接受），当然对于特定的应用而言是不可能的。图8显示了针对三种不同的安全案例的安全论证过程5.5.3安全论证完成之后当系统/子系统/仪器设备完成安全论证之后，我们应该对接下来的任何改动都要加以控制，可以利用即将作为新的设计的相同的质量管理，安全管理和功能/技术安全标准来对其加以控制。所有相关文档包括安全案例，都应该及时更新或由额外文档来加以补充，并且提交这种改动的设计去论证。一旦将完成的系统/子系统/仪器设备交付使用，那么在技术安全报告（安全案例的一部分）的第五部分和安全计划中规定的正确的手续，支持系统和安全监管就应该使用，以确保在它的整个工作生命中的安全操作，这些操作包括运行，维护，变动，扩展和最终的停止使用，这些行为由原始设计所运用的同样的质量管理，安全管理和技术安全标准来控制。包括安全案例在内的所有相关文档都应该及时更新，并且把有变动或扩展的设计递交上去加以论证。5.5.4安全论证之间的附属地在5.1中提到过，系统的安全案例依靠其他子系统或仪器设备的安全案例。在这种情况下，就是说如果没有先前相关子系统/仪器设备的安全论证，就不会有主干系统的安全论证。如果已经完成对一般产品或一般应用的安全论证，那么这将可能指导一种特定应用的安全论证，没有必要对每一种应用都重复这种一般性的论证过程。图9就显示了这种安全论证之间的附属地。一种基于说明有目的的特定的应用的安全案例是与那些特定安全论证的实施在技术上是等价的。对这种特定应用有必要采取新的安全论证。确保在附属地的如下做法是必要的。即每一个安全案例的技术报告中提到的与安全相关的实施条件都要以高水准的安全案例来完成，否则提前进入以高水准的有安全应用条件进行执行。附录A安全完整性水准A.1概述附录对安全要求，安全完整性和有关安全系统在铁路中应用的安全完整性水准的起源，分配和执行都作了详细的描述。对每种特定的铁路应用，以允许的安全目标的形式出现的容许危险率是有关铁路当局的责任。该标准未对其进行定义。EN50126中规定了安全管理过程A.2安全要求以下两部分提到了系统要求（或正确的子系统/仪器设备）(参照图A.1):1.不涉及安全的要求（包括实际的功能要求）；2.涉及到安全的要求；涉及到安全的要求我们常常称之为安全要求，这些可能包括在独立的安全的具体要求中。我们把安全要求氛围如下两部分：1.安全功能要求；2.安全完整性要求；安全功能要求实际上是系统/子系统/仪器设备的与安全相关的功能所要执行的要求。安全完整性要求定义了对每一种与安全相关的功能的安全完整性水准。A.3安全完整性水准(SIL)关系到安全相关系统性能的安全完整性要能完成规定的安全功能。安全完整性越高，他行使规定的安全功能的不成功率就越低。安全完整性有两部分构成（参照图A.1）：——系统故障完整性——随机故障完整性要充分实现安全完整性，就必须满足上述两条件。注：由环境条件（如：电磁兼容性温度振动等）引起的故障包括系统故障完整性和随机故障完整性。系统故障完整性是安全完整性中不可量化的部分，并且它还关系到危险的系统错误（硬件或软件），在系统\\子系统\\设备生命周期的各种状态中，系统错误都是由人的错误引起的。例如:—规格说明错误—设计错误—制造错误—安装错误—造作错误—维修错误—校正错误系统故障完整性由质量管理和安全管理条件完成，这些条件在5.2和5.3的标准中有详细说明。防御系统错误技术包含在技术安全条件中，这些条件在5.4的标准中有详细说明。因为不可能用定量的方法评估系统故障完整性，SIL应用于成组方法，工具，和技巧，一旦被有效利用，就可认为在实现一个已规定完整性标准的系统方面提供了适当的可靠度（参考附录E）。随机故障完整性是安全完整性的一部分，关系到危险随机错误，尤其是随机硬件错误，这种错误是由硬件组成部分的有限可靠性引起的。技术安全条件中随机故障完整性的解决方案的标准具体在5.4中有说明。利用概率分析，我们就可对随机故障完整性进行量化评估。概率分析要以了解硬件组成部分的故障率和类型以及随机硬件故障出现的次数为前提。尽管危险故障依然存在而且应该按照5.4和B.3.6中的标准御防，但我们还是假设具有固有物理性能（参考附件C）的组件的危险故障概率为零。安全完整性条件和安全标准的分配在A.4和A.5种分别叙述。A.4安全完整性要求的分配考虑到信号系统的运行环境和建筑设计，鉴定铁路信号装备的安全完整性要求的一套方法即将系统化应用。这种方法的核心是明确界定了运行环境和信号系统的界限，从安全观出发，这个界限是通过系统内一系列危险和相关的容许危险率（THR）来定义的。我们注意到这种方法的意图不是限制了供应方和铁路局双方的合作，而是划清了责任和界面。从这个界面出发分析步骤如下：1.至上而下的分析明确了危险和相关风险可能产生的结果。2.至下而上的分析明确了产生危险的原因。全部过程包括风险分析和危险控制，参考图A.2。风险分析产生了危险控制过程中的THR。图A.2略重要的是，注意到THR是关于系统故障完整性和随机故障完整性的目标量。仅仅关于随机故障完整性是容许的，它可能量化，定性方法和评估对于判断系统完整性的条件是必要的。这个主要由SIL给出（并且这个方法来源于安全完整性）。安全局要赞同风险分析和危险控制。注：在某些情况下，这些步骤不完全独立，危险控制能引起具有更多安全性能的系统发生变化。图A.2中重叠箭头表明了这一点。因此，在这些情况下，全部过程是相关的。A.4.1风险分析图A.3给出了一个风险分析过程的例子。下面的分析更详细地解释了这个概念。图A.3略A.4.1.1系统定义和危险鉴定以下是铁路局的责任：―定义系统（技术实现的独立性）—鉴定与系统有关的危险危险鉴定涉及系统分析，主要有产品，加工过程，或确定那些可能出现在整个生命周期中的不利条件等。这些不利条件可能存在对人体有伤害的隐患或对环境的破坏。鉴定系统危险一般包括两个阶段：—一个经验阶段（挖掘过去的经历，如清单）——个创新阶段（前瞻性预测，如集思广益，建构假设分析研究）危险鉴定的经验阶段和创新阶段相互补充，增强了置信度，从而潜在的危险区被发现，并且所有的危险信号被确认。注：产生大量的不现实的琐碎的或不准确的定义危险的方法是资源的浪费，同时也会产生误导或枉然的风险评估，除了大量的任务，还涉及到很多人员，责任，和设备，多达几百个错误是不合理的，也表明了设计和研究行为的不足之处。这种危险取决于系统定义尤其是系统界限，系统界限给出了关于系统和子系统的分级结构。也意味着在系统研制过程的不同阶段，要重复利用危险鉴定和偶然性分析。图A.4表明，系统层的危险是由子系统层引起的（关于子系统界限）。因此这个定义能使一个分级结构接近危险分析和危险线。图A.4略为了更进一步确保风险评估的任务更多的集中在信号危险方面，这种危险应以已认识到的风险标准来排序。A.4.1.2结果分析，风险评估和THR的分配以下是铁路局的责任:—分析后果及损失—定义风险容许标准—得出容许风险度—确保风险结果是可以接受的（关于合理的风险容许标准）考虑到风险容许标准，唯一的要求是得出THR结论。尽管风险容许标准不是由这个标准制定的，但取决于国内和欧洲立法要求。分析方法是：—明确的评估风险结果（个体）—和目前系统的性能或已认可的技术条例或通过统计和分析的方法相比较得出THR。—如果在他们定义了一系列危险和THR的情况下，那么就能从可供选择的定性方法中得出THR。注意这个方法给铁路局一定的自由，可以根据他们的特殊要求从任意角度定义危险和相应的THR，然而铁路局可以确定非常普遍的高水平目标，以及在安全方面非常具体的目标。A.4.2危险控制危险控制涉及实施规定的THR和安全相关功能的管理。如果没有THR的出现，那么要么由供应方提供符合铁路局意愿的系统，要么由铁路局和供应方一起合作确定要求。危险控制是由在大量实践活动中偶然性分析构成的，总结如下：—在没有定义THR的情况下，定义和已有的危险概念有关的安全假设和系统功能；—在定义了THR的情况下，在结构（技术方法）满足安全性要求的前提下定义系统结构和分配系统功能；—确定子系统的安全完整性要求；—完成安全要求细则；—分析系统/子系统要满足的条件；—通过设计和核实过程确定由潜在的新危险引起的系统/子系统设计，要么通过已有的功能确保发现潜在的新危险，如果潜在的新危险需要额外的功能或系统/子系统以外的缓解部分，就要把潜在危险转换到风险分析中进一步研究解决。—确定设备的可靠性要求。危险控制过程见图A.5。注：一个结构良好的危险控制包括一个毫无疑问的技术安全报告的各各相关部分，在这种情况下，参考技术安全报告中的危险控制就足够了。A.4.2.1偶然性分析偶然性分析有两个典型状态：在偶然性分析的第一个阶段，每种功能都有一个THR（系统功能），每种功能的THR可以用SIL表转化成SIL，在这个功能标准上，为子系统所要执行的功能定义了SIL。如果铁路局已定义了有关安全功能的危险和THR，那么偶然性分析的第一个阶段无效，并且安全完整性在THR基础上立即被分配。一个子系统及组合装置要能完成很多安全功能，每种功能需要不同的安全标准，在这种情况下，子系统将能满足所有规定的SIL。如果每种功能都能满足最高标准的SIL，或者如果能独立运行，那么得到满足规定的SIL的子系统。在这种情况下，一个普遍的故障原因分析将出台。在偶然性分析的第二个阶段，子系统的危险率进一步分为设备的故障率，但是有关物理性能或执行功能，SIL仍然没变，因此，除了EN50128列出的例外情况外，由EN50128定义的软件SIL和子系统的SIL是一样的。利用任何一种方法都能运行分配过程，分配过程容许合理的逻辑组合出现，如可靠性框图，故障树，二元结论图，马尔可夫模型。无论如何，当需要独立项目，应采取特殊方法。然而在偶然性分析的第一阶段，独立性是必要的（即功能故障独立于系统和随机错误），在第二阶段，物理独立性是充分的（即自系统的故障独立于随即错误），在偶然性分析中，假设经验证通过并且能为执行过程产生相关的安全应用规律。图A.5A.4.2.2常见故障成因分析（CCF）当应用独立主张（逻辑AND组合）时，得特别的慎重思考，应有充分的保证—物理，—功能，—加工过程，关于子系统和系统间的独立性（参照B.3.2和B.3.6）。如果不能完整的完成独立性，那么一定可以在一个恰当领域内仿效故障的普遍成因，另外，还可证明，通过应用AND组合可以立即完成和检测安全相关应用条例。A.4.2.2.1物理独立性为了使具有随机性影响的AND门的故障树估算可靠，物理独立性是绝对必要的。因此，在任意情况下，一个常见故障成因分析将必须假设独立性。在假设独立性的条件下，在D.2和D.3.A子章节中能发现某些（告知性的）章节，并且D.2和D.3.A子章节的安全情形也明确地解决了独立性条例。注：很有必要简洁地看一看根据他们的故障率和检修率定义的两条检修条款，同时再仔细看一看AND组合对检修率（或等效检修次数）的不同解释。通常，一个项目出错后，为了使这个项目恢复，至少同时要出现以下两过程；—一定要查出和否定错误（这意味着一定要进入一种安全状态）；—一定要检修和恢复项目。对于检修和恢复时间，我们指查出后检修的逻辑时间，实际的检修时间（错误发现、检修、交换、检查）和恢复装置运行的时间。然而，在可靠性方面，通常是察觉时间被忽略，这个时间在安全环节变得很重要，安全性应用不会依靠自身测试或相似措施，但是，查出和否定一定要独立的执行。在安全情况下，应充分体现故障的查出和否定技巧。通常，如果采取其他措施，在安全环节，实际的检修和恢复时间可被忽略，在这种情况下，来自可靠性分析的检修率可被认为是查出和否定时间，这个时间定义为安全停机时间或等效安全停机次数。图A.6略模仿AND门中的两条独立项目的组成，假设THR和查出率是常数，以下给出高效利用系统的THR和查处率的基本公式：THRS=FRA/SDRA×FRB/SDRB×(SDRA+SDRB)SDRS=SDRA+SDRB这里FR’S代表潜在危险故障率。如果把周期性检测次数作为查出次数，那么（A.1）为平均测试数T/2+negationtime=SDT=1/SDR这意味着为了恰当地应用AND组合，每项应有一个独立的故障检测和关闭机构，如有一项没有这些机构，那么根据B3.3的标准，一定要考虑安装寿命。另一方面在设计中，这一点一定要考虑，事实上，选择参数的自由度就是系统的可靠性。例如，就拿两个同样的具有10000小时的一个MTBF和每小时（忽略无效时间）平均一次检查时间的项目来看，那么平行系统（逻辑故障中的AND组合）的故障率是每小时2×10－8，如果一个项目1000小时平均检测一次（如维修检测），那么结果是每小时10－6，这仅仅是比单一项目的MTBF更好的10个要素之一，如果把一个项目中的平均检测时间看成是他的寿命，那么结论将变得更加不重要。物理独立性是最低的独立标准，典型体现在组件标准上。如果确定物理独立性，那么随机完整性要求可以分到下一个较低标准中。A.4.2.2..2功能独立性功能独立性是指，要么是系统错误，要么是随机错误，这两种错误引起一套功能同时出错，因此从这个角度看，为了体现这些功能是独立的，常见故障起因分析是很有必要的。在这个标准中，这就是所谓的有关功能性影响的独立性，只有假定了功能独立性的情况下，随机完整性和系统完整性要求将分到下一个低标准中。说到A和B，在安全完整性要求分配过程中，应用故障树分析系统功能是主要情形，因为他考虑到了应用AND门很快提出了下面的安全相关应用条例：—A和B的实施将产生物理上的独立—利用检测和否定时间为每一项估算和完成安全停止时间注：一般来讲，功能是不独立的，但可以划分成受CCF影响的独立子功能和子功能，图A.7表示利用FA处理CCF的一般方法。图A.7略A.4.2.2.3过程独立性产品和系统通常以原有的性能结果出现在早期的生命周期中。从广义上讲，这些情况是由概念，要求细则，系统设计，系统研制，核实和有效利用阶段构成的，他们对产品的性能有很大的影响，产品或系统在自身环境中的高临界度需要更高的强度和较长的系统生命周期，这一点得到普遍认可。另外，由于在这些生命周期中，系统本身会出现错误，所以独立性是常常想望的。用比较的方法，功能和物理性能是对应的，人力资源和生命周期过程的独立性和多样性注定要为产品和系统促成较高的全面的安全完整性，因此，较高的SIL要求较高的工艺精度和人力资源的独立性来确保系统错误可接受或最小化。研制过程完成规定的SIL和确保研发过程中有足够的组织和个人独立性，是为了更进一步使系统错误最小化。至于跟软件问题相一致的索引（引言）参照EN50128。A.4.3检定和处理出现在设计中的新危险信号系统的实现可能导致不可预测或难以预料的对人有潜在危害性能，特别是如果系统和技术都是新的。新危害的出现有以下几个方面：－新技术对新危害有很大的隐蔽性（缺乏经验）；－新技术（如类似的数字技术）的引进引出了目前铁路系统中的隐患；－新的设计危害归咎于缺乏充足的/恰当的细则说明；－目前铁路系统中专用的操作模式不合适，并且可能对操作者，维修者或其他工作人员（工众）产生新的危害；－设计错误可能产生新的危害，但这些错误与原有的已鉴定的错误相关。这些方面可能引起对环境和国家的危害，这些危害和已鉴定的危害一样需要系统处理。鉴定、处理和解决出现在一个系统的设计或应用过程中的新危险和风险分析阶段是一样的。一旦鉴定，将由供应方向铁路局慎重说明具有对整个系统性能有潜在影响的或对人有危害的系统危害程度取决于已发觉的风险，这些情况需要用预测的观点和恰当的可接受率对每一方面进行定性或定量的评估。注：可能至少用两种不同的方法：－新的危害和已鉴定的危害相关是有可能的：在这种情况下，供应方应确信由这两种危害相结合产生的危险率仍然和由铁路局决定的THR是相适应的。危害标志和安全情况应归于这种危害；·如果不能接受，如果可能，供应方应重新设计他的产品/系统，如果不可能，为了使危险和相关的风险保持在一定的范围内，应实施另外的保护措施；·如果能接受，那么铁路局应负责定义新危害的THR，而供应方应提供和这个要求相符合的设计；·对这两种情形，关于这种危害一旦得出结论，每件事应记录在危害日志和安全事例中。从每一个新危害中得到THR，并且这些THRS将产生新的要求。A.5SILA.5.1普遍方面安全完整性被具体为四种截然分立标准中的一种。标准4有最高的安全完整性标准，标准1有最低的。标准0用于表明没有安全性的要求。一个SIL应提出诸如质量安全管理和技术安全条件的定性评估要求。鉴定和评估了和系统相关的危害，至于这些危害在系统生命周期风险分析过程中的潜在后果，如图A.4.1所述。这项工作产生（至上而下）了每一种危害的THR，然而，供应方将开始用至上而下的设计方式研制一般的产品，甚至满足一般产品的安全情形（没有一种可用的风险分析结果），但是最后他将满足规定的容许危险水准（应用安全条例），铁路局/安全局对这个过程定论。下一个阶段是系统要求和系统要求阶段的划分。THR被分别分到系统功能和子系统中。这些功能中的每一种有一个定性的安全目标和定量的安全目标，定性目标以SIL为形式，并且涉及到随机故障完整性。在一个系统内和安全相关的功能由子系统来完成，SIL被分为安全相关功能和子系统执行这些功能的结果。但是无法更进一步。子系统中部分设备的SIL和子系统的是一样的，除非能证明子系统设备间的功能独立性。重要的是，意识到SIL的具体实现需要和图A.8中的所有要素相一致，名义上：－质量管理条件，－安全管理条件，－技术安全条件，－量化安全目标。一个特殊量化目标的完成并不意味着对应的SIL的出台。同样，同样与特殊的SIL相关的质量管理，安全管理和技术安全条件的实施并不意味着对应的量化安全目标或安全标准本身的完成。为了履行详细的安全完整性，图A.8中的所有要素必须完成。理解这一点也是很重要的，然而为了完成如下章节中描述的铁路安全性能，图A.8中的量化安全目标都是必要的。由单一子系统或设备必须完成的特殊功能安全目标无法假设，这里必要的安全目标将由组合功能，子系统或设备实现，这一点有附加说明。图A.8略A.5.2SIL和安全目标的关系这个标准的产生以假设为基础，假设安全性既取决于所采取的措施足以避免错误或错误可接受（防御系统故障），也取决于采取一定的措施去控制随机故障。为了使一个系统的安全性能达到最佳状态，应权衡这两项故障预防措施所采用的措施，要完成这个就要用SIL的概念。SIL用来使定性法（为避免系统故障）和定量法（为控制随机故障）匹配，因为用SIL量化系统故障是行不通的。像多其他故障一样，这种权衡法用表格表示，由0,1,2,3,4五条SIL和相应的THRI0-I4。组成。SIL表对于安全相关功能或子系统执行一个或多个功能都是适用的。只要按照SIL所规定的方法和措施，当完成THR示范时，就没有必要考虑系统故障。SIL表从THR方面明确了安全相关功能所需要的SIL。因此如果用量化方法得到F功能THR，所规定的SIL将由下表决定。量化要求超过10－9h－1程度的功能，可用以下方法处理：－如果可以把这个功能分成独立的子功能，那么就能在子功能和分配在每一个子功能的SIL中划分THR；－如果这个功能不能划分，至少要实现SIL4所规定的措施和方法，而且为了完成必要的THR，要结合其它的技术或操作方法。注：与其他标准相比，这个标准中的SIL表只有一列频率列表（原称高需求或连续模式），并且没有一列故障概率（原称需求模式）。限定为单模的原因有一下几个方面：－SIL的确定尽量不要产生歧义，－所有需求的模式系统被建构为连续模式系统，－连续控制和传输信号系统明显是现代铁路系统信号应用的主要部分。考虑到EN61508-1SIL表已建好。附录B（标准化）详细的技术要求B.1绪论这一标准在5.4中已经被说明。对系统/子系统/设备设计的技术根据应该在技术安全报告中提出（技术安全报告形成安全事件的第四部分）。报告将紧随在下列的标题后：第1部分绪论第2部分正确功能运转保证第3部分故障影响第4部分有外部影响的运转第5部分与安全有关系的应用条件第6部分安全条件测试这些中的每一部分已经在标准的5.4中简要地介绍了。对技术安全报告的第2-6节的更详细的要求包含在B2-B6中。对整体安全水平１到４所包含的内容，技术安全报告是强制的（参见附录Ａ中对整体安全水平的解释）。然而，信息的深度和支持文档的扩充应适于系统／子系统／设备的整体安全水平的详细检查之下。整体安全水平０的要求（没有与安全有关的）是在这个安全标准之外的。技术报告的结构标准的插图７中。B.2正确功能运转保证（技术报告的第2部分）这部分关于系统／子系统／设备在无故障条件下的正确运行（也就是说没有故障），与特殊的操作和安全要求一致。有些特殊的方面在下面，使用5.4的标题。B.2.1系统建构的描述这包含系统/子系统/设备设计的普通描述，在足够的深度来传达对所使用的原理和技术的明确地理解。B.2.2接口定义B.2.2.1人－机接口ａ)操作者这里将描述机械装置是系统／子系统／设备通过工程操作人员操作的。例如:－正常的条件下；－报警响应；－帮助程序的使用；ｂ)配置这里将描述过程是通过工程人员实现的，工程人员对特殊的铁路或应用系统／子系统／设备进行配置。例如:－软件参数；－硬件；－安装技巧－程序ｃ)维护这部分描述装置的接口，包括所有使用的辅助设备，这些设备是维护人员在完成各种水平的维护期间所使用的。更详细的信息包含的B5.2中。B.2.2.2系统接口ａ)内部接口这里定义内部条款到系统／子系统／设备之间的功能和物理接口。例如:－电力的清洁和污染的区域；－内部的总线结构；－通信链接；－监控和改正的功能；－诊断和健康状态的监控；ｂ)外部接口这里定义外部条款到系统／子系统／设备之间的功能和物理接口。例如:－传感器；－执行器；－通信链接；－检测和监测的规定；－易扩展性；B.2.3系统要求规范的实行这部分论证在系统/子系统/设备中特殊的可操作性功能的要求是如何通过设计实现的。包括所有相关的论据（或涉及到的论据）。例如:－设计原理和计算；－测试说明和结果；－确认；B.2.4安全要求规范的实行这部分论证特殊的安全功能的要求是如何通过设计实现的。包括所有相关的论据（或涉及到的论据）。例如－设计原理和计算；－测试说明和结果；－安全分析和结果；B.2.5正确硬件功能的确信这部分描述系统/子系统/设备硬件搭建和解释如何完成整体的设计要求，当要求的规范和任何相关的标准被放弃时，限制－可行性；－易行性；－可维护性；－安全性；安全考虑对理想条件是有限的，因为故障的影响另作处理(参见B.3)。B.2.6正确软件功能的确信按照EN50128的要求。这部分包括EN50128包括的所有文档，特别是软件的确认报告和软件的评估报告。另外，应说明软件和硬件的相互作用。注:包括应该引起注意的些特殊的主题－软件和硬件间的依赖关系；－相互作用的秩序；－自测程序；－健康监测；－数据获取技术；－功能衰减；－否定方法；B.3故障的影响(也可参见表E.4的指导)这部分涉及在随机的硬件故障和合理的实际系统故障中系统/子系统/设备连续遇到特殊的安全要求时的应对能力。被认为特殊的要求将在B3.1到B3.6中描述，标题的使用来自5.4。B.3.1单个故障的影响(也可参见表E.4的指导)确信系统/子系统/设备在单个随机故障事件中遇到它的THR、是有必要的。确信SIL3和SIL4系统保持安全是必需的，在被认为可能的各种单个随机的硬件故障事件中。这些故障中已经论证可以忽略的影响应该忽略。被认为是故障－安全的原则可通过很多不同的方法来实现。1）故障－安全的复合伴随这项技术，每一与安全有关的功能至少被执行两项条款。为避免正常原因的故障这些条款之间相互独立。对改进仅需要接受的部件，非限制行行为是允许的。在一个部件中有危害的故障发现和否定，在足够的时间内避免在第二部件中的联合故障事件。2）故障－安全的再作用这种技术允许通过单一条款来执行与安全有关的功能，通过迅速的发现和否定任何有危害的故障，提供它承担的安全操作（例如，通过电码化，通过多路计算和比较或者通过连续的测试）。尽管仅有一条款执行与安全有关的功能，检查/测试/发现的功能应看作第二款，这一款将为了避免通常原因而被独立。3）固有的故障－安全这种技术和安全有关的功能通过单个部件来实现。提供部件所有的可的故障模式是没有危害的。被声明可信的任何故障模式（例如由于内在的物理特性）。在附录C中定义的使用程序来证明。在复合和反作用的故障－安全系统中，内在的故障－安全也可以作为确定的功能来使用，例如对确信部件间的独立性，或如果发现故障是有危害的强行关闭。无论使用任何技术或复合的技术，没有单个随机硬件组成故障的保障是有危险的，应该使用适当的结构的分析方法来论证。在分析中对于确信的故障模式的组成将在附录C中定义过的使用程序来证明。注:将使用有由上而下的故障分析方法，如故障树分析，这种方法被支持，如果需要通过有由下而上的方法。如：故障模式和影响分析。（参见表E6）。故障分析将被定性和定量，可靠的数据易得到。随机硬件故障或故障组成的能力如可能将以这些数据为根据。故障模式间的全部故障率组成的分配将在分析中得到证明。B.3.2项目的独立在系统包含不只一个同时发生故障的部件是危险的，对于涉及单故障的安全系统而言部件间的独立性是必要前提。适当的规则和准则会被实行来保证这种独立性。对系统的整个生命周期将采取有效的措施。另外，系统/子系统/设备会安排最小化的由缺乏独立性引起的潜在危险结果。例如可能存在的系统设计错误。在一个系统中各种影响的组合，例如，在图B.1中两执行项目是象征行的，这个图可以扩展到由不只两个项目组成的系统。安全依靠于清除和漏电距离，最小清除和漏电距离将根据应用要求（包括，材料，技术设备，运行环境，故障和过压）定义。在多种类型的影响下独立性将丢失，在下面的题目中解释。类型A内部物理影响如果一个系统的内在项目间不存在物理连接，这里不仅没有物理和功能影响，因此，内在的独立性可以实现。注1物理连接是项目间的任何媒介，例如:－电连接－电气连接应采取措施避免无意的内在物理影响。注2D.2包含一系列成功的内在物理独立的措施（保护类型A的负面影响）类型B内部功能影响项目间的功能影响是基于物理连接，应采取措施避免内部功能影响，这将通过内部功能独立的手段来取得（保护类型B的负面影响）注3内部功能影响将允许在一个部件中的错误信息对其他项目的影响？？？类型C外部物理影响外部物理影响可能引起系统间物理独立性的丢失。注4这些原因可能导致，例如:－EMI,ESD的环境压力，气候，机械的化学的－电力供应和－外部的输入和输出应采取措施避免无意的外部物理影响，B.4包含对于被认为是外部影响的要求。注5D.3包含一系列对于获得外部物理影响的措施（保护类型C负面影响）。类型D外部功能影响外部功能影响可能引起部件间独立功能的丢失，应采取措施避免外部功能的影响，这将通过外部功能独立的手段获得（保护类型D负面影响）。注6外部功能影响允许来自外部源的错误信息对系统的影响？？？？？B.3.3单故障的检测第一个故障（单故障）可能是危险的故障，他被检测可能是独立的或与第二个故障混合，并且对完成特殊性质的安全目标在足够短的时间内来完成一个安全验证。它的验证将通过故障模式的复合影响分析以及整体随机故障的性质评价来完成。（参见A.3）在故障－安全复合的情况下，这种要求意味着第一个故障会被检测到同时执行安全验证。在足够短的时间内确信检测加否定的时间内第二个故障发生危险是比特殊可能性目标小的多。在故障－安全反馈的情况下，这种要求意味着从检测加否定的整体时间最大化，对于瞬时的潜在危险的条件下持续时间将不存在特殊的限制。这些故障－安全复合的反馈作用的要求在图.2中已指出。在允许的时间内获得检测加否定的故障鉴别技术会被公开，包括计算支持。在计算中已被使用的信号源的基本失效率将会被识别。清楚的解释性质分析的方法。注1通过设备自检的情况，检测故障的时间是内部测试，或在通过自检的情况下的内部维护。在特殊情况下，它是系统的工作时间，在设备的保管期间，它是通过个人维护在测试期间的时间间隔。注2完成这些要求的方法的例子包含在E.4中。B.3.4伴随着检测的动作（包括安全状态的滞留）(参见表E.4)在检测到第一个故障后，系统/子系统/设备会进入或一直保持一个安全状态。这种安全状态通常来说（担不是必须）更有受限制。这种安全状态在足够短的时间内达到。这段时间中混有检测加否定的时间执行特殊的安全目标。注否定的时间通常是与关闭系统有关的部分的时间，自动的或是人为的。这些要求在图B.2中指出在检测到第一个故障后，并且已经进入安全状态，超出安全状态的进一步错误将不被忽略，限制性的安全状态忽略仅在一种控制方式下发生，改正程序。如果在第一个错误发生以后的允许的德耽搁时间内发生进一步的错误，系统/子系统/设备将保持在安全状态。允许的延迟到修复会在足够短的时间内执行特殊的安全目标。B.3.5多种故障的影响(见表E.4)一个多重的错误（例如，两重或三重的错误）可能时错误的，直接的，或是包含一个进一步的错误会被发现，同时二种安全状态的执行（例如，否定）在足够短的时间内完成特殊的安全目标，一种合理的方法（例如，故障树分析法）会被论证多重故障的影响上。在允许的时间内获得测试加否定的多重故障的技术会被展示，（包括，计算支持）注完成这些要求的方法的例子包含在.4中。普通的故障原因分析将会被公布用来提供保证，这种保证仅是多重故障在单个随机的偶然复合下发生并且不作为普通故障的结果。B.3.6系统故障的防卫除了使人为故障尽可能的小的性质和安全管理外，（参见标准的5.2和5.3）技术措施将用于可能又系统故障存在的地方,直到实现合理的操作来阻止一个无法预料的危险的产生。例如全部系统的架构可能做修改，甚至在子系统的一个危险的故障事件中，或设备（清单）项目已经被安全设计，不希望突发事件发生。B.4在外不影响下的运行（安全技术报告的第四部分）这部分使关于系统/子系统/设备正确安全的运行和目标对于特殊的外部影响的安全性。“正确运行”包括执行运行要求和安全要求。直到运行正常，与安全有关的系统将被设计或甚至在外部影响的目标超出了特别限制仍保持安全。所应考虑到的影响在下面B.4.1到B.4.7列出。在EN50125-1和EN50125-3中列出的对不同条件的评估将被遵守。需要考虑的事项将给出存储和传递的效果。B.4.1气候条件在EN50125-3中，在特殊的气候条件下达到欧洲标注要求的安全条件，如果铁路的特别授权指定更严格的条件（比设备能够完成）能得到更多的支持，在顾客满意度和全天候的措施。B.4.2机械条件在特殊机械的条件下使确信安全的，能够达到欧洲标注要求的安全条件。B.4.3高度在高度出现不断变化时是安全的，能够达到欧洲标注要求的安全条件。注超出海平面1800M的高度，系统/子系统/设备无法正常工作。B.4.4电气条件（非机车）在特殊电气条件的环境下，将能够达到欧洲标注要求的安全条件。注从EN50121-4和EN50124-1中引用的标准将作为基本条件使用。B.4.5电气条件（机车）机车在特殊电气条件的环境下，将能够达到欧洲标注要求的安全条件。注从EN50121-3和EN50124-1和EN50155中引用的标准将作为基本条件使用。B.4.6防止未授权的访问1)定义访问等级访问等级定义访问者，访问原因，如何访问。因此，防止未授权的访问对于每次特别的运行下，由人执行的那些功能将遇到一定的技术要求。这些要求将被定义为关于：－技术学科－技术等级－特殊设备的培训2)保护谈到上面的访问等级，这部分将定义如何实现保护。这些保护措施将防止访问－经授权的人的意外访问－未经授权的人的有意访问3)外部条件这部分描述设备本身如何通过额外的手段来实现保护的。例如：－房屋－安全－易接4)封装这部分描述如何通过现有的设备实现保护。例如：－包装－衬托纸－封条－电子译码－机械译码－固件B.4.7更恶劣的环境在需要的地方，对处理额外的更恶劣的铁路授权的特殊环境条款的形成。注下面是更恶劣环境的例子:－浓缩导致设备周围的温度迅速变化－恶劣的空气污染\uf06c灰尘\uf06c烟\uf06c水蒸气\uf06c有腐蚀性的化学物质\uf06c盐\uf06c硫酸盐污染种类和他们的关联将被特殊定义－对户外设备\uf06c雾\uf06c温度的迅速变化－化学影响如:\uf06c油品\uf06c有机物\uf06c除草剂－来自火或太阳辐射的过分的热－动作/植物，昆虫或动物的进入－积尘（有益和无益）－某些地区更极端的温度限制B.5与安全有关的应用条件（技术报告的第五部分）这部分将定义规则、条件和与安全功能有关的限制，这种安全功能需要在系统/子系统/设备的应用中观察。需要考虑的一般题目，包括如下－为适合特殊的应用，系统程序的配置－在生产、安装、测试和交付使用中的预防－对维护和故障探测的规则和方法－对系统运行的说明—安全警告和防范—电磁兼容的防范（磁化系数和散热）—有关信息的修改和—支持设备的工具的安全证明，如：测试设备维护设备，修改工具。有些特殊的题目包括在B.5.1B.5.3中B.5.1子系统设备配置和系统搭键1）配置：如果是这样一个不得不对每一件特殊的应用配置的子系统或设备，然后任何的配置工具或程序被定义。例如：－程序化方法－版本控制－配置系统硬件要求－配置系统的软件描述－软件维护－确认－仿真2）系统搭键这个文件将描述在特殊的信号系统中子系统和设备是如何搭键的。例如：－版本控制设置－应用控制设置－接口设置－初始化设置－维护控制设置－生产和产品测试－常规系统测试－安装、测试和验收3）功能的变更如果一个子系统或设备是非常的设计，它对于在系统中的各种应用都能工作。然而，在遇到这些不同应用是如何配置和安装将也被写入文档。对于安全使用的任何限定和系统将完备指定。B.5.2.运行和维护对在特殊的环境条件下确保系统/子系统/设备，持续安全和正常运行的最小的必须维护将运行和维护计划形式写入文档，包括如下方面：1）运行状态在每一系统/子系统/设备中存在的条件，将被定义在下列情形下对操作和维护，提供充分理解。a）开始：这样描述系统开始条件，当电源初始应用似的子系统或设备条件，或是电源突然断电引起的关闭或其他原因注：将定义这些内容，例如：－缺省条件－安装周期－执行自检－需要人为干涉－转入出条件－异常事件的预防，例如：或非法进入b）正常运行一旦系统/子系统/设备已成功的安装完，正常运行期间的条件将被定义。例如－循环次数－空闲－故障检测c)安全改变如果已经配置好的设备或系统/子系统对于冷和热，系统/子系统会发生改变，然后在a)和b)中定义的条件对于安全改变将重新规定。设备对错误模式的变化的反应也被清楚的定义。d)关闭当一个系统/子系统或设备的列表将因为有意的配置改变或无意的电源故障而关闭。然后，所有有关的条件将被定义例如－缺省条件－降级条件－安全方面－程序2）维护等级这些将被定义为关于－初级维护－客户中修－厂商中修注“初级”是预防性的维护和就地实行故障检测处理。“中修”作为预防性的维护和在工作环境中可能的装置外的修理。3）维护周期在要求的维护周期描述中涉及到所有已经形成的相关领域。例如：－训练－可达性－模块化－互换性－备件供应－备件储备4）辅助维护对于每一等级的维护，对人员的有效的辅助维护将被定义注这些辅助的维护包括，例如：－故障诊断－故障信息的干扰－故障的修复B.5.3安全监测的运行在运行和维护期间系统强调寿命周期。系统/子系统/设备的性能将被监测来确保指标达到设计要求，在使用期间对目前的环境保持有效注这将包括例如－监测与安全有关的性能而且与预计的性能比较－监测与评估检测故障走势的故障报告，或能够改正的可能危险的故障，因而来提高安全与可靠性。B.5.4报废和处理当系统/子系统/设备最后报废时有必要将技术安全的预防和程序存档，这将包括考虑到的所有可能的重置系统的同时保持铁路持续运行的重要说明。适当的警告和设置最后报废的处理说明也将包括在内。B.6安全指标的测试（技术报告的第6部分）这部分将包括在运行情况下，对安全指标测试成功完成论证。这些测试的目的是－对获得系统/子系统/设备完成特殊的运行要求所增加的信心，－对获得已经完成的特殊可靠性和安全目标所增加的信心，－在最终安全报告正式批准前允许系统/子系统/设备投入运行，可以提供适当的预警和监测注这些测试仅提供增加自信力，不是安全论证的唯一手段。B.6.1要求安全性能测试的范围和持续时间将在铁路授权和安全授权之间被批准，将证明与系统/子系统/设备发生联系的新颖和复杂的成分是正当的。因为安全指标测试的完成是包含有安全事件，系统的安全不全是在测试期间。因此，适当的预警，程序和提供的监测来确保铁路在测试期间是安全的。作为定义，安全指标测试将在对安全有全部责任的商业运行前完成。将建立这样一个报告，它用来解释系统投入服务的时间，有无乘客，有无预警，并且，在每一阶段获得什么样的授权等级（临时的或最终安全授权）。B.6.2结论安全指标测试的说明包括测试产生的全部描述和得到的结论，这些将归入技术安全报告的这部分。附录C（标准化）硬件元件故障模式的鉴定C.1引言这个附录包含对硬件部分的确定故障模式的辨别的程序和信息。注包括在这个附录中的硬件部分故障模式来源与欧洲的实践和下列参考源－UIC（设备检验公司）/ORE的报告A155/RP12，－MIL－HDBK－338－1A；－德国联邦铁路MU8004－可靠性分析中心报告FMD－91表中的信息可修改，如在C.2和C．５中解释的，如果提供各种足够的证据。C.2一般过程对于分析单故障结果的目的（参见B.3.1），对鉴别每一硬件部分的可信故障模式都是必须的。表C.1到C.6包含硬件部分的故障模式列表，将作为设计和分析的标准，除非对所提供的任何变更都认为是正当的，在表C.5中能看到一般的注释。这个列表不是必须完成，任何认为是确信的附加故障模式都可以加到分析中，例如事件，附加故障模式将引起有关授权的注意，以至于列表在将来的数据中能得到扩展，依靠标准的CENELEC程序。C.3集成电路的规范（包括微处理器）设计采用特殊要求的集成电路，预测所有占用设备的确信故障模式是困难的，这对程序化设备特别真实，在设备范围内能观察到的故障模式有特殊应用。对特殊应用在由上－下的模式下，故障模式危险的鉴别是可推荐的，使用如故障树分析的技巧，（一种被选方案将使用由下－上的方法，如故障模式和影响分析，但这种方法是费时的并且有可能发生一定有危险的故障模式被错过）。作为评定和证明将在以后形成，来展现对每种危险故障模式的鉴别。A或ba)故障模式不能确信偶然发生，导致内部软件建构或数据结构b)故障模式将被外部检测和在要求的时间内加强安全状态既然这样，定量分析将被执行来证明设计是合理，因此产生一种悲观的观点。故障模式确信全部故障率注：有此项目，如：智能传感器，嵌入微处理器，如何用同一办法估计这些条目作为整体电路的草图。C.4对固有物理特性成分的程序如果使固有的故障－安全技术，将提供认为是确信的任何故障模式成分证明，这个证明包括，但不是必须限制的，下面的题目。－内在物理特性的原理性解释－服从认可质量标准的事件－特殊结构成分的说明－特殊衬托和安排或对成分的其它预警的说明－故障模式不会偶然发生，当超出成分此例结果出现，例如，由于故障或超负荷情况－测试结果用来论证在不利情况下成分的故障行为。（依靠物理测试，技术论证，或仿真）－对固有故障－安全提供组成上可靠的经验如果提供满意的论证，与故障模式有关系的成分可以从安全的分析中排除。如果以前已经提供的提供论证，重复是没有必要的；对设计到提供论证的报告要充分。然而；这个论证包括特殊条件（例如，特殊的衬托安排，或防止超负荷测阶段）这些条件的执行将包括在安全事件中提供的经验指出，有些特别成分的故障模式更是有能力确信的论证；这些故障模式在表c.1到c.16中通标有号指出，在c.6到c.7中聚集了有关向导的注释。其它成分的故障模式比有能力的确信的论证模式少的多。论证将提供给所有被以为是确信的故障模式的注释包括表中指出的那些。C.5关于元件故障模式的一般注释1）表c.1到c.16包含硬件成分确信故障模式的列表2）在元件的边界故障模式作为已证明的，不是由内部物理引起的故障3）所有列出故障模式是间断的4）通过环境影响引起的间歇故障，如各种温度或机械压力（参见相关的环境标准）因此故障间歇率根据这些原因5）元件出版规范的容许量的变更不作故障考虑6）元件在它们公布的环境限制下运行是假定的7)元件在它们公布的电测定下运行。8)外部短路或成分接线端间的漏电不认为是元件的故障，对于适当漏电和清除距离指注释10）9）外部短路或不同元件间的漏电不认为是元件的故障，对于适当漏电和清除距离指注释10）。稳定的衬托或特别加固将需要，如果环境条件改变元件的位置。10）安全依靠于清除和漏电距离，最小清除和漏电距离将根据应用要求（包括材料、执行、环境、和运行条件，故障条件，超负荷）。EN.50124-1或IEC60664将用来决定基于强绝缘的最小要求。这些要求将被接受或逐步加强或通过授权完成。C.6.附加一般注释，有关内部物理性质的成分。1）对任何作为确定元件故障模式的证明的程序和条件包括在C.4中2）在表C.1到C.16通过（）指出是那些更像确信有能力证明的故障模式3）在表C.1到C.16“注释ＸＹ”，在C.17关于有些事实查明向导注释，这些事实与确信故障模式的合理性有关。4）在C.5中一般注释也应用于带有固有物理特性的元件，在下面注释行5.6和5.7中有进一步的注释。5）在C.5除注释5）之外，条件超过正常容许量的估计介绍。6）在C.5除注释6）之外，有些对超出正常环境限制偏移的允许形成。7）在C.5除注释7）之外，在全部的电化率中确定一个极限，以至于超负荷保护元件。8）未用9）未用C.7有关固有物理特性成分的特殊注释遵循注释提供的有关故障模式确定的可能论证的向导，在表C.1到C.16中标有（）10）主体部分没有空的在元件的末端,顶点/连接线间清除和漏电距离将至少达到EN50124-1的要求，根据它对强绝缘的要求。绕线电阻的线圈仅有一层。元件将包上粘合剂和瓷釉绕线电阻改变间的短路将通过有外包的线避免，或通过线圈的物理分离。主体将用无益的材料建造,甚至在最高温度(包括故障条件)外包装将无益甚至在最高温度电阻将限制在尽可能低的值(例如,不大于10K)11)4接线端的电阻将通过这样的方法来建造,如果故障引起电阻材料出现干扰,这种故障至少也能引起4接线端电阻的干扰.对电阻的外部电路将揭露在故障安全模式下接线端的干扰.例如4接线端电阻使用一种混合的厚的层技术.12)两个接线端和每一侧的元件独立连接.13)简单并行金属板电容容量计算公式是C=在这儿,.A=金属板的面积D=金属板的距离=允许的自由空间=电解常数作为确信的故障模式的证明要求,论证这些参数没有一个能单独改变.电解电容不适于排除这种故障模式。14）电容量将被设计和建造针对高电压的应用，在关系到可能最大的运行电压（包括故障情况），在工作电源阻抗超出工作电压范围时它有Y级特点和自修复的性质。15）这里仅有一层线圈，通过绝缘体的凹槽的手段来分离，或线有强绝缘。线圈将被安全固定。16）清除和漏电距离将至少达到EN50124－1对强绝缘的要求。所有的线圈和接头将安全固定。电源浪费将被充分限制来阻止内部炭化（包括故障情况）17）磁心将被建成，如在磁路能引起磁阻率下没有信号变化。18）传输率依赖于每一线圈的线圈数和整体的磁力线耦合，因此，有必要达到注释15），16），17）的要求。19）感应和直流极限电压依赖于磁心物质的特性。因此，对论证这些磁心特性不能单独变化时有必要的。感应和直流极限电压依赖于每一线圈的线圈数目和整体的磁力线耦合。因此，传感器的输出和控制线圈的安匝数目有关，它需要论证，在与适当的驱动电路连接。控制线圈不确信的故障模式能引起安匝数的增加。20）所有部分的延时或机械开关将被可靠的建造和安全固定，包括：－机械的运行－接触系统－磁性电路（即便要）－盘绕（即便要）清除和漏电距离将至少达到EN50124－1对强绝缘的要求。21）接触物质将选择那些不能焊接的通过适当的机械设计和接触建造焊接的危险进一步减少，将限制最大电流，来确保接触温度不能达到发生焊接的值。22）继电器参数的稳定性将通过对下列事实的仔细注意来确保实现。－磁参数\uf06c磁材料的选择\uf06c提供一个停止设备来避免磁路的永磁。\uf06c防止外部的磁场。－电参数\uf06c对线质量和绝缘的选择\uf06c线圈盘绕的质量\uf06c接线端的质量－机械参数\uf06c材料的选择与质量\uf06c所有部分的安全固定\uf06c所有与安全有关的调节器的安全保持力。\uf06c提供适当的反向力，使用重力（补充，如需要通过线或刀片的弹性）\uf06c运行机械的设计和建造。如它不能变得阻塞，23）P－N结的极限电压，如二极管或晶体管基极－发射级是这样的功能。－少数和多数电荷负载密度－波特曼常数（k）－电荷（E）－温度（k）因此极限电压依赖与P-N结的不可变参数和对给定温度的参考。24）崩溃电压是通过两种可能的机制决定的。齐纳击穿和雪崩击穿，这些都依赖与不可变的二极管物理参数，因此，击穿电压对给定的温度是常量。注意将花在避免两个或更多二极管串联连接的内部组成元件。注意在击穿电压上下的电容电压的可能并联或串联电阻，但不同的电阻比电容的击穿电压高的电压。25）传感器的放大（或增益，感应），发光二极管的光敏性或传感器依赖于－涂料的等级－结点的厚度－电荷负载工作时间这些参数将保持常数，在期望的电荷负载工作时间仅能随时间减少。因此，扩大/敏感性将保持常数，或可能减少，但不增加（对每一应用调整）在通过污染的涂层引起的放大有很小可能存在增加。这能通过高质量的产品和元件的封装来避免，这种结果仅仅是对于导通电流的信号。这将在设计电路是避免。26）光发射是于电子和空穴在结合有关的物理性质，电流再P－N结正向导通时，结合率时正向电流的一种功能。因此，光发射再电流为常数时不会增加。在极限电压下，电流流动没有意义，因此没有光发射。27）如果P－N结时正向导通的，在击穿电压下这将没有电流流动。因此，没有光发射。在击穿电压以上，允许电流流动的机械装置时不同于正向导通的情况，这将不会导致光发射。28）对光耦合和独立的光纤系统，每一元素的故障模式都将被考虑到，等等。。－光发射器－光介质－光敏接收器29)清除和漏电距离将至少达到EN50124－1对强绝缘的要求。元件的结构将是稳定可靠的。元件的电源损失将被充分的限制以防止内部碳化（包括故障情况）30清除和漏电距离将至少达到EN50124－1对强绝缘的要求。输入和输出驱动器/耦合元素将固定安全。31）元件将被可靠的构成。共鸣器将被构成和装配以防止他们尺寸变化的影响。共鸣器将被一种他的尺寸不受温度变化影响的材料构成。共鸣器的材料将通过温度的循环变化或是时间充分的预运行来保持稳定。共鸣器的材料将不会过压，甚至在故障条件下。不会超出特别的弹性限制。32）传输率是元素驱动/耦合与光纤质量因数的效率的一个方面。元素驱动/耦合将设计和建造来防止在它们内任何有意义的增加。33）共鸣器将被建造和装配来获取最大可能的质量因数以至于没有并发的证明能发生。34）共鸣器将被建造和装配以防止任何机械装置发生衰减。35）绝缘材料应该稳定。清除和漏电距离将至少达到EN50124－1对强绝缘的要求。36）连接器应该可靠建造。连接器的所有部分应该固定安全37）连接器的错误方向或插错槽位将通过例如机械设计和机械开关码来防止。作为选择，插错的影响将通过例如连接器开关电子码或分配唯一的地址/身份的手段来消除危险。危险应该通过标志警告和人员培训进一步减少。38）显示屏应该可靠建造和保护过分的物理损坏。对显示屏的电连接将被安全可靠的固定。附录D（信息的）补充技术信息D.1介绍本附录提供了一些例子和指导来补充5.4和本标准附录B所包含的技术要求.所给定的要求仅适用于SIL3或SIL4.D.2机体内部独立的实现(以免受A类影响的保护,参考B3.2)D.2.1主要独立下面的措施提供了两个部件(它们的并发故障可能是危险的)之间的主要独立1)避免无意的流电连接的措施(内部流电绝缘的保护)a)印刷电路板同一层的导线之间的绝缘。绝缘距离（漏电距离与余度）至少应根据EN50124—1的强迫绝缘（采取措施绝缘）要求而定。b)多层印刷电路板的不同层之间的绝缘。c)同一电缆的绝缘电线之间的绝缘。d)同一变压器的绝缘绕线之间的绝缘。变压器内部的最高温度应被限定（包括故障情况下），以避免碳化。e)opto-coupler内部的绝缘部件之间的绝缘。opto-coupler内部的最高温度应被限定（包括故障情况下），以避免碳化。2）避免通过内部连接而造成无意影响的措施（内部接口的保护）接口应该利用具有内在特性的装置保护。3）避免通过电磁连接器造成的无意影响的措施。（避免内部电磁相互作用的保护）电子网络之间的电磁相互作用的预防如下：a)如果不同的部件集成在同一印刷电路板上，它们应由不同的供电网络供电，否则，基本网络的阻抗应充分低，以避免相互作用，甚至万一出现故障。b)如果同一板上的不同导线需要被保护以避免它们之间发生相互作用，那么必需要保持的相互独立的距离依赖于所使用的技术、连接器长度和连接器的机械装置。此距离应通过理论计算和/或实际测量而证实它适用于正常的操作模式。c)若需要避免在出错时连接，应采取附加措施（例如，屏蔽或距离加倍）。有效性应通过理论计算和/或实际测量而证实。D2.2次要独立下面的措施提供了两个部件(它们的并发故障可能没有危险)之间的次要独立1）在一m选n系统中，每一个部件可以由许多独立的元件组成。2）两个部件(它们的并发故障可能是危险的)的独立的实现根据D.2.1,这些部件将被称为主要部件。每一主要部件可以有一或多个所谓的附加部件核查主要部件。3）在一个主要部件和附加部件之间的独立程度可以低于D.2.1所述，这种独立称为次要独立。4）如果主要部件与附加部件之间的所有可能的初次错误所造成的影响能在由于进一步的错误而造成危险之前被发现，那么主要部件与附加部件无关5）下面对D.2.1的简化允许用于次要独立：-绝缘距离（漏电距离和余度至少应根据EN50124-1的基本绝缘要求而定。-保护装置不要求内在特性（仅在主要部件与附加部件之间的独立可能会存在第二次故障时）-至少用于检测电压的供电网络（附加部件）应与本节所述的用于被检测的主要部件的供电网络相隔离。D3机体外部独立的实现（以免受C类影响的保护,参考B3.2）下面提供了机体外部独立的措施1）应根据EN50121-4采取措施以避免EMI/ESD干扰正确操作而造成的无意影响。2）应正常地遵守规定的气候条件，并采取措施降低系统超出规定气候条件操作的危险。3）避免由于机械压力而干扰正确操作造成的无意影响：a)应采取措施保证可靠的正确操作，即使在铁路机关和供应方之间被认可的机械压力条件的情况下。b)保护措施应遵守EN50125-41和/或EN50125-3。4）尽管在铁路机关和供应方所认可的化学压力条件下，应采取措施保证可靠的正确操作。5）应采取措施避免在不允许的供电电压下的无意操作：（供电电压的保护）a)危险情况可能发生之前，不允许的供电电压应通过电压检测器引发安全状态而显示。b)电压检测器在整个生命周期应正确操作，如果电压检测故障的发现是不可能的，就可能需要备用的电压检测人员。6）应采取措施避免由于外部电压通过输入和输出口干扰正确操作（外部接口的保护）所造成的无意的有害影响：a)恶劣条件下的外部电压应设定（工作电压和所有可能电线电缆上的EMI触发电压）。b)带电元件和外露的且正确操作需要被保护的导电元件/接地/回路之间的余度应根据EN50124-1中规定的诊断电压而定。c)带电元件和正确操作需要被保护的外露的导电元件/接地/回路之间的漏电距离应根据EN50124-1和操作过程中最大的额定r.m.s电压而定。d)对于靠距离绝缘来说，较大的距离（余度和漏电距离）是关键。D4单个故障分析方法举例（参考本标准B。3。3）注：下面1—6条的内容出自CENLECpaperCLC/SC9XA（SEC）114“CalculationwithMu8004formulas”.1）在各个部件中单个故障的detection-plus-negation时间T取决于并发故障可能有危险的部件的故障率的总数`a`，但不应超出下值：T≤k/1000aK=12选2系統K=0、53选2系统2）在上面第一条中所提及的故障率被定义为一取决于操作过程中的环境条件的重要估计函数。此重要估计依赖于应用。如果近似的估计对故障率有不利的影响那末可以采用此近似估计作为一参考。3）如果在一个系统内，包含几个部件（但不是所有的由两个失效部件组合而成的）的子系统或设备可能会发生危险，那么故障检查时间可以单独根据不同的组合决定。如果对于一个部件有不同的故障检查次数结果，最短的次数是关键。4）应对所有部件进行周期性的故障测试，对于所有对正确操作一定产生影响的故障，测试应独立进行，并应在小于T的时间内完成。大规模集成电路中故障的检查应遵守表D.1。5）如果一个无缺点的n选2系统不与电源相连，那么，故障检查可以被取消，取消故障的时间不应超过第1）条允许的故障检查时间的400fold.注2：此种情况假设：当设备不供电时，电子元件的可靠性高于供电时的20倍。6）被取消的时间大于第1）条所允许的时间的情况下，系统/子系统/设备可以仅在对多个故障检查完成以后重新投入使用。7）当单个部件完成与安全有关的功能时，一个错误方面失败的查找时间T是检查并且以安全方法对单个故障作出反应的最大总时间。查找时间不能超出任何危险条件下所允许的时间。为避免任何危险情况，允许的时间一定要小于所控制（利用单个部件系统控制）的设备需要的回应时间。8）回应时间取决于所控制的设备的种类，因而它依赖于应用。例如：T可以设定为：T≤100ms，如果所控制的设备是信号继电器。9）在时间T内，必须要发现第一次与安全有关的失误并且要作出安全回应。10）故障的周期试验应该在单个部件上完成，对影响正确操作的所有故障，试验应具有代表性，并且应在小于T的时间内完成。D．5多个故障的分析方法举例（参考B3、5）注：下面1-2条的内容出自CENLECpaperCLC/SC9XA（SEC）114“CalculationwithMu8004formulas”.1）两个故障（可能是危险的，并且如果伴随有第三个故障）a)如果在一个部件中对一个故障的及时detection-plus-negation是不可能的或是不适合的，那么，应考虑在另一个部件中进一步发生故障的发生机率。b)要保证两个部件所发生的同步故障无危险，亦即至少需要三个独立的部件，按只有三个部件的故障才可能有危险的方式连接起来，就像一个3选3系统。c)两个故障的detection-plus-negation时间取决于至少三个同步故障可能是危险的的部件的失效率总数`a`，但不能超出下值：T≤2/ad)在c)中所提及的故障率被定义为一取决于操作过程中的环境条件的重要估计函数,此重要估计依赖于应用。如果近似的估计对故障率有不利的影响，那末可以采用此近似估计作为一参考。e)如果在一个系统内，包含几个部件（但不是所有的由三个失效部件组合而成的）的子系统或设备可能会发生危险，那么故障检查时间可以单独根据不同的组合决定。如果对于两个部件有不同的故障检查次数结果，最短的次数是关键。2）三个故障（可能是危险的，并且如果伴随有第四次故障）a)如果在两个部件中对一个故障的及时detection-plus-negation是不可能的或是不适合的，那么，应考虑在另一个部件中第三次发生故障的发生机率。b)要保证三个部件所发生的同步故障无危险，亦即至少需要四个独立的部件，按只有四个部件的故障才可能有危险的方式连接起来，就像一个4选4系统。c)如果失败率`a`不超过下值，不要求采取措施对三个故障检查，在维修期内a≤d)失败率`a`是同步故障可能有危险的部件的失败率总数。（故障）3）和D、4中注释3一致，删除一安全回应一定不能发生进一步的错误。这仅仅以一控制方式作为纠正维护行为是可以允许的，当部件发生故障的部分掉线时，此行为必须执行。第80页表D。1---利用周期性的在线测试检查大规模集成电路故障的方法举例（适用于第二次故障可能发生之前第一次故障的独立检查）元件故障措施1CPU1．1寄存器任意，例如取决于数据位的组合的故障用所有可能的方式使用所有的寄存器（除初始化寄存器）开始一初始化寄存器后，要测试正确的初始化功能。高于8位的寄存器可以通过使用下面数据位的组合来测试：..5555….H0AAAA….H..3333….H9999….H0CCCC….H6666….H0000….H0FFFF….H0F0F0….H..0F0F….H在每一个在线测试周期，要用所有的数据位的组合进行专门的在线测试，此测试分配于几个测试时期（例如，使用一个随机数据发生器）。第82页元件故障措施1．2指令译码及执行1．3时钟1、4复位任意（例如影响寄存和存储的错误指令或错误执行）依赖于源或目的数据位组合的故障频率错误没有或自动复位使用每一类型的一个命令，用1、1提及的数据位组合测试。对所有情况，源，目的和地址位的值（包括安装程序计数器）进行试验，看是否所有可用的与系统相关的命令能执行的。是否所有可用的与系统相关的中断命令可被执行，是否与中断或中断条件有关。测试所有可用的与系统有关的命令，允许用RAM生成命令和跳转去执行命令。至少一个寄存器中的内容发生与执行有关的改变后，建议不仅要对涉及的寄存器内容核对，并且要对所有其它寄存器的内容核对。如果每一个计算通道使用独自的时钟发生器，在一个通道中的错误频率可以通过对比而发现。在多个故障情况下，需要使用专门的频率控制设备。如果每一计算通道使用独立的复位发生器，那么一个通道的错误复位可以通过对比而发现。在多个故障的情况下，需要有专门的正确启动设备。元件故障措施1．5电源错误的供电电压如果每一计算通道使用独立的供电设备，那末在一个通道中错误的供电电压可以通过对比而发现。在不时独立的供电设备供电或多个故障的情况下，有必要使用专门的电压控制设备。2存储器任何错误的阅读并且对比所有内容2．1ROM内容或地址和控制信号的错误译码2．2RAM任何读或写的内容和地址或控制信号的错误译码阅读并且对比所有内容。用1.1所提及的数据位的组合写/读/比较测试。测试所有单元是否是可寻址的（例如，通过对一个单元装进一个特殊的数据位组合数并读/对比相关芯片的所有其它单元）。通过对同一单元装入此倒置的特殊数据位的组合数再进行一次测试。对下一个单元用同样的方式进行测试，直到所有RAM芯片中的所有单元被测试完。最后所描述的试验也检查每一数据位对同一RAM电路中其它位的影响，此试验可以分配于几个在线测试周期完成。附录E（信息）为避免系统故障和对随机或系统故障的控制所采取的用于信号且与安全有关的电子系统的技术和方法安全完善等级被定义于子系统执行此功能的有用等级。本附录关系到为避免系统故障和控制随机或系统故障在不同的安全完善等级的建构、技术、和方法。因此下面的表描述了针对4个等级的各种技术/方法。在生命周期内列出所有的系统故障的原因是不可能的，因为系统故障在生命周期的不同阶段有不同的影响，并且方法也取决于应用，因而避免故障的量的分析是不可能的。根据系统生命周期和在EN50126中所描述并在本标准5。3中所提及的安全管理工序，在每一生命周期段要完成许多活动。在安全管理工序中描述的，此工序的目的是减少在生命周期内再发生与人为因素有关的安全事故，并因而减少与系统故障有关的未发现的安全冒险，这包括证明书和质量保证工序，此规程的要求列于表E-1—安全方案和质量保证活动（参考、2和5、3、4）下面1-4节在EN50126中有—第一节：概念—第二节：系统定义和应用条件—第三节：冒险分析—第四节：系统要求结果在系统要求规程中要有文件证明，（系统要求规程要考虑表E、2—系统要求规程中的技术/方法）。在安全方案准备其间，对安全管理组织要鉴定。支持的信息列于表E、3—安全组织在生命周期阶段设计和完成其间，系统建构的描述要有文件证明，考虑表E、4—系统/子系统/设备的建构（参考5、4）为避免并控制由于以下原因造成的故障：—任何未发现的设计故障—环境条件—误用或操作错误—软件中未发现的故障—人为因素设计特点的技术/措施在表E、5（设计特点）中列出。根据设计特点，对故障的影响的分析必须识别对硬件和软件使用RAMS分析和附录C中的失败模式的RAM和安全局限。识别和评估故障的影响的方法列于表E、6—失败和危害的分析方法（参考5、4）。无论是什么设计方法，它都有以下特点：-清楚准确的文件证明材料-清楚准确的功能表达-透明度，模块性，可追踪性-技术和与时间有关的信息-在证明和验证其间的可试验性技术/方法列于表E、7—系统/子系统/设备的设计和开发（参考5、3、7）。打算进行的设计要有说明书，参考表E、8—设计阶段的说明书（参考5、2）并验证技术/方法表E、9—系统和产品设计的证明和验证（参考5、3、9）。使用theHazardLog,建立一验证试验报告，包括：-试验规范的译本-使用的元件译本-使用的工具和设备-每一试验结果-预期结果和实际结果的不同之处-对不同之处的分析和作出的决定。-设计/开发阶段和安全情况下的结果将投入使用、运行和维护程序，这些程序要考虑表E、10中的技术/方法（参考5、4和解、3、12）“HR”此符号代表此方法或技术是为安全完善水平优先推荐的。如果没有运用此技术/方法，此基本原理要详细说明“R”此符号代表此方法或技术是为安全完善水平推荐的。“-”此符号代表此方法或技术是没被推荐或反对使用的。表E、1—安全方案制定和质量保证活动（参考5、2和解、3、4）技术/措施SIL1SIL2SIL3SIL41清单R：要进行的活动和要生产的部件的清单R：要进行的活动和要生产的部件的清单2任务审核RHR3文件主题的检查HR：铁路/安全机关与工厂之间认可的文件HR：所有文件4安全方案改变后的复查HR5每一安全生命周期阶段后的安全方案复查HROver，thankyou。',)