中文版-)鐵路應(yīng)用-通信、信號和過程控制系統(tǒng)-信號的安全相關(guān)電子

1、中文版-）鐵路應(yīng)用-通信、信號 和過程控制系統(tǒng)-信號的安全相 關(guān)電子作者:日期:中文版）鐵路應(yīng)用_通信、信號和過程控制系統(tǒng)_信號的安全相關(guān)電子.txt27 信念的力量在于 即使身處逆境，亦能幫助你鼓起前進的船帆；信念的魅力在于即使遇到險運，亦能召喚你鼓 起生活的勇氣；信念的偉大在于即使遭遇不幸，亦能促使你保持崇高的心靈。本文由lizf0710 貢獻doc 文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT,或下載源文件到本機查看。EN 50129:2003英國標(biāo)準(zhǔn)BS EN 50129:2003鐵路應(yīng)用-鐵路應(yīng)用-通信,信號和過程控制系統(tǒng)-通信,信號和過程控制系統(tǒng)-信號的 安全相關(guān)電子系統(tǒng)信

2、號的安全相關(guān)電子系統(tǒng)1EN 50129:2003國家前言該英國標(biāo)準(zhǔn)是EN50129 : 2003 的官方英文標(biāo)準(zhǔn)它代替了 被撤回 的DD ENV50129:1999標(biāo)準(zhǔn).GEL/9技術(shù)委員會委托英國參與了它的準(zhǔn)備，鐵路電子技術(shù)應(yīng)用組織即 GEL/9/1子委員會，信號和通信,職責(zé)是：-幫助調(diào)查人理解文章；-提出可 靠的歐洲委員會的要求來分析或者提出改進意見，并保證英國的利益；-關(guān)注相關(guān)的國際和歐洲發(fā)展，并在英國發(fā)布它們；一系列的組織給子委員會提出的意見可在它的秘書處獲得.交叉的參考 本英國標(biāo)準(zhǔn)應(yīng)用國際的或者歐洲的關(guān)于本文件的出版物，它可能在”國際標(biāo)準(zhǔn)相 應(yīng)的索引"部分的BSI目錄中找到

3、，或者是使用BSI電子目錄的或者英國標(biāo)準(zhǔn)在線的”查找"工具.它的出版并不意味著包括一個合同所有必要條款,英國標(biāo)準(zhǔn)的使用者有責(zé)任正確使用該標(biāo)準(zhǔn).依從一個歐洲標(biāo)準(zhǔn)并不是指本人免除法律責(zé)任.依從一個歐洲標(biāo)準(zhǔn)并不是指本人免除法律責(zé)任總共的頁數(shù) 該文檔包括前封面，內(nèi)前封面,EN名稱頁,2到94頁和內(nèi)后封面和后封頁. 在文檔最終出版后,BSI的版權(quán)日期在文檔中指出.出版后的修訂 修訂次數(shù) 日期 內(nèi)容2EN 50129:2003英文版本鐵路應(yīng)用-鐵路應(yīng)用-通信,信號和過程控制系統(tǒng)-通信，信號和過程控制系 統(tǒng)-信號的安全相關(guān)電子系統(tǒng)信號的安全相關(guān)電子系統(tǒng)這個歐洲標(biāo)準(zhǔn)在 2000-11-01 被CEN

4、ELEC提出,CENELEC的成員應(yīng)該遵守 CEN/CENELEC 國際標(biāo)準(zhǔn)，它規(guī)定了該歐洲標(biāo)準(zhǔn)在無修改的情況下作為國際標(biāo)準(zhǔn)的一些情況.最新的目錄和關(guān)于國際標(biāo)準(zhǔn)的相關(guān)參考數(shù)目可以在中心秘書處或者任何CENECEC的成員那里獲得.這個歐洲標(biāo)準(zhǔn)有三個官方版本（英,法,德）.CENECEC的成員可將一種版本譯為他們的語言，并且通知中心秘書處，這樣有作為官方版本的同樣地位.CENELEC歐洲電工標(biāo)準(zhǔn)協(xié)會3EN 50129:2003前言 本歐洲標(biāo)準(zhǔn)由SC9XA準(zhǔn)備，屬于技術(shù)委員會 CENECEC TC 9X鐵路電子和電子 設(shè) 備的通信，信號和處理系統(tǒng).屬于正式文件文本的草稿在2002-11-01 作為E

5、N50128由CENECEC提出 .這個歐洲標(biāo)準(zhǔn)取代了ENV50129:1998這個歐洲標(biāo)準(zhǔn)是在 CENELEC的授權(quán)下通過歐洲委員會和歐洲自由貿(mào)易組織，96/48/EC 指示的本質(zhì)要求來準(zhǔn)備的.下面是確定的日期，-通過國際標(biāo)準(zhǔn)的出版或批注 ，這個標(biāo)準(zhǔn)作為國際標(biāo)準(zhǔn)來實施的最近日期2003-12-01 -與這個標(biāo)準(zhǔn)沖突的國際標(biāo)準(zhǔn)排斥在外的最近日期2005-11-01 標(biāo)注"標(biāo)準(zhǔn)化”的附件是標(biāo)準(zhǔn)的一部分 標(biāo)注"非標(biāo)準(zhǔn)”的附件僅供參考.該標(biāo)準(zhǔn)中，附件A,B,C 是標(biāo)準(zhǔn)化的，附件D,E是非標(biāo)準(zhǔn)化的4EN 50129:2003內(nèi)容引言 .51范圍 .7 2 合乎規(guī)范的參考 .73 定

6、義 .8 3.1定義.93.2 參考 .9 4標(biāo)準(zhǔn)的整體框架 . .115安全接受和承認(rèn)的條件 .125.1 安全情形 .12 5.2質(zhì)量管理根據(jù).12 5.3安全管理根據(jù) .12 5.4功能和技術(shù)安全根據(jù).125.5 安全接受和承認(rèn) .12附件A（規(guī)范）安全完善度等級 13A.1 弓丨言 .13 A. 2 安全要求 .13A. 3安全完善度 A. 4安全完善度要求分配A. 5安全完善度等級附件B（規(guī)范）詳細的技術(shù)要求B.1引言B.2正確的功能操作的保證B.3錯誤的影響B(tài).4對外部影響的操作 B.5有關(guān)安全應(yīng)用的條件B.6安全質(zhì)量測試 附件C（規(guī)范）硬件組成錯誤模式的鑒定C.1引言C.2常規(guī)程

7、序C.3完整電路程序（包括微處理器）C.4固有的物理性質(zhì)組成程序C.5有關(guān)組成錯誤模式的常規(guī)信息C.6附帶的常規(guī)信息,有關(guān)固有物理性質(zhì)的組成C.7有關(guān)固有物理性質(zhì)的組成的特殊信息附件D（情報）補充技術(shù)信息77 D.1引言 77D.2 完成物理內(nèi)在獨立性.77D.3 完成物理外在獨立性.78D.4單個錯誤分析方法的例子.79D.5 多個錯誤分析方法 .80附件E（情報）為系統(tǒng)錯誤和控制隨機及系統(tǒng)錯誤，為與安全相關(guān)的電子系統(tǒng)傳輸信號 制定了技巧和方法 855EN 50129:2003參考書目 941 CENELEC鐵路應(yīng)用標(biāo)準(zhǔn)的主要范圍.82EN50129 的結(jié)構(gòu).153 安全事例結(jié)構(gòu).174系統(tǒng)

8、生命周期舉例 .195設(shè)計和系統(tǒng)生命周期有效部分舉例 216 獨 立性排列227技術(shù)安全報告結(jié)構(gòu)268安全性承諾和安全性批準(zhǔn)過程289安全性事例/安全性批準(zhǔn)間獨立性舉例 29A1 安 全 要 求 和 安 全 完 整性X .30 A 2 全部過程回顧32 A 3風(fēng)險分析過程舉例33A 4有關(guān)系統(tǒng)界限危險的定義34A5危險控制過程舉例.36A 6解釋故障和補救次數(shù)37A 7由 FTA處理的功能獨立性38A 8安全完整性水準(zhǔn)和技巧間的關(guān)系40B.1 影響項目獨立性的因素46B.2 檢測和否定單個錯誤49D.1錯誤分析方法舉例81A1安全完整性水準(zhǔn)表.41 表 C.1 電阻器61表 C.2 電容器.6

9、2表 C.3 電磁組件.63 表 C.4二極管.66 表 C.5 晶體管.67表 C.6控制整流器.69表 C.7 過負荷干擾抑制器.71表 C.8 光電子組件.72表 C.9過濾器.73表 C.10內(nèi)部組件.74表 C.11-保險75表 C.12-開關(guān)和按鈕75 表 C.13-電燈75表 C.14-電池 75表C.15-變送器/傳感器（不包括內(nèi)部電路）76 表C.16-集成電路 76表D.1-在大規(guī)模集成電路通過周期性在線測試的手段來檢測故障的 措施的例 子 82表E.1-安全計劃和主動的質(zhì)量保證.86表E.2-系統(tǒng)要求的技術(shù)規(guī)格87表E.3-安全組織 87表E.4-系統(tǒng)/子系統(tǒng)/設(shè)備的建8

10、8EN 50129:2003表E.5-設(shè)計特色 89表E.6-故障和危險分析的方法 90表E.7-系統(tǒng)/子系統(tǒng)/設(shè)備的設(shè)計和研發(fā)91表 E.8-設(shè)計的階段性文檔 91表E.9-系統(tǒng)和產(chǎn)品設(shè)計的鑒定和確認(rèn)92表 E.10-應(yīng)用，運行和維護 937EN 50129:2003前言本標(biāo)準(zhǔn)是鐵路信號領(lǐng)域內(nèi)定義電子安全系統(tǒng)認(rèn)可和支持要求的第一個歐洲標(biāo)準(zhǔn)目前,國際上存在的語詞有關(guān)的只有國際鐵路聯(lián)合組織（UIC）提出的整體建議和一些國家提出的互不相同的建議針對信號的電子安全系統(tǒng)包括硬件和軟件兩部分要安裝完整的安全系統(tǒng)，必需 考慮系統(tǒng)整個生命周期中的兩個部分，即對硬件安全的要求和在標(biāo)準(zhǔn)上對整個系統(tǒng)定義的要求,期

11、于要求在CENELEC標(biāo)準(zhǔn)上有要求.歐洲鐵路機構(gòu)和歐洲鐵路工業(yè)在發(fā)展一種基于 一般標(biāo)準(zhǔn)并能夠相互兼容的鐵路系統(tǒng)因此，對于系統(tǒng)安全支持方面和不同國家鐵路機構(gòu)要求方面橫向認(rèn)可是必須的此文件就電子系統(tǒng)在鐵路信號方面安全認(rèn)可與支持的歐洲通用 的基礎(chǔ)橫向認(rèn)可的目的在于一般的支持，不是特殊的應(yīng)用當(dāng)它成為一個 EN時公眾在 有關(guān)鐵路信號電子安全系統(tǒng)的歐洲攝取內(nèi)的獲得將會關(guān)系到這個標(biāo)準(zhǔn)本標(biāo)準(zhǔn)包括主要部分（第一章到第五章）和附錄A,B,C,D,E.在此標(biāo)準(zhǔn)中 主要部分和附錄 A,B,C中定義的要求是 規(guī)范的，而附錄D和E是非正式的本標(biāo)準(zhǔn)和EN50126 （鐵路裝置RAMS）中相關(guān)的章節(jié)有 關(guān)聯(lián)本標(biāo)準(zhǔn)和EN501

12、26都是基于系統(tǒng)的生命周期和EN61508 1.在涉及到鐵路通信信號和外部系統(tǒng)時，EN61508-1被EN50126/ EN50128/ EN50129取代了 買組這些標(biāo)準(zhǔn)的要求將 來遵守 未評價的EN61508 1是足夠的因為標(biāo)準(zhǔn)是關(guān)于安全系統(tǒng)的支持所顯示出來的現(xiàn) 象，所以它使生命周期的行為特殊化，這些行為需要在認(rèn)可階段之前完成，隨之而來的是額外的計劃行為對整個生命周期的安全檢測就是這樣被要求的本標(biāo)準(zhǔn)是關(guān)于顯現(xiàn)出來的現(xiàn)象，除了認(rèn)為是合適的地方，它沒有規(guī)定誰將執(zhí)行必須的工作，因為這在不同環(huán)境下是不相同的 EN50128定義了包括可編程電子器件和軟件附加條件的安全系統(tǒng) EN50159 1和EN5

13、0159- 2定義了對安全數(shù)據(jù)通信的額外要求8EN 50129:20031 范圍本標(biāo)準(zhǔn)適用與鐵路信號設(shè)備上用的電子安全系統(tǒng)（包括子系統(tǒng)和設(shè)備）圖1表 示了本標(biāo)準(zhǔn)的范圍和它與其他CENELEC標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)適用與所有的鐵路信號安全系統(tǒng)，子系統(tǒng)及設(shè)備然而,EN50126中定義的事故分析和危險估計程序和本標(biāo)準(zhǔn)對于所有的鐵路信號 系統(tǒng)，子系統(tǒng)及設(shè)備是必須的安全要求如果分析結(jié)果顯示 沒有安全要求（例如:這種情況下是不安全的），并且結(jié)論沒有修改行為后來變化的結(jié)果，本安全標(biāo)準(zhǔn)就會停止使用分類, 設(shè)計,建設(shè)，安裝,認(rèn)可,操作,維護和修改及擴展等功能也適用與完整系統(tǒng)中的個人子系統(tǒng)和設(shè)備附錄C包含了和電子硬件部

14、分相關(guān)的程序本標(biāo)準(zhǔn)又適用與一般的子系統(tǒng)和設(shè)備（獨立的使用和某種特殊的使用），也可在 系統(tǒng)，子系統(tǒng)，設(shè)備上有特殊的使用本標(biāo)準(zhǔn)不適用與現(xiàn)存的系統(tǒng)，子系統(tǒng)和設(shè)備（例如在本標(biāo)準(zhǔn)之前已經(jīng)被接受的系統(tǒng)，子系統(tǒng)和設(shè)備）然而,只要合乎實驗性，本標(biāo)準(zhǔn)也被用來修改或擴展現(xiàn)存的系統(tǒng)，子系統(tǒng)和設(shè)備本標(biāo)準(zhǔn)主要用于鐵路信號傳輸設(shè)備的專門設(shè)計和加工的系統(tǒng)，子系統(tǒng)及設(shè)備作為信號傳輸安全系統(tǒng)的一部分,如果現(xiàn)實允許，也可被用于真體的構(gòu)思或一些工業(yè)設(shè)備（如:能源的供應(yīng)，調(diào)配等）即使在最小限度時，可根據(jù)顯示，設(shè)備或者依賴于安全或者依賴于與安全相關(guān)的這些功能本標(biāo)準(zhǔn)適用于鐵路信號傳輸系統(tǒng)功能上的安全它不是處理個人的職業(yè)上的健康和安全，這

15、一課題在其他的標(biāo)準(zhǔn)上有說明2 參考標(biāo)準(zhǔn)歐洲標(biāo)準(zhǔn)參考了其他出版物里的更新后未更新的部分這些標(biāo)準(zhǔn)參考在本文適當(dāng) 的地方被應(yīng)用，下面列出了被參考的出版物 對于更新過的參考，后來的修訂當(dāng)需要 的時候也被歐 洲標(biāo)準(zhǔn)引用沒有更新過的參考，出版物最新的版本有所提及 （包括修 改的部分）9EN 50129:2003注意：附加的非正式的參考在目錄里 EN50121 系列EN50124 1需求.EN50124 2EN50125-1 備 EN50125 3 EN 50126 和說明 EN 50128 EN 50155 EN 50159 1 鐵路應(yīng)用 通信，用于鐵路控制和系統(tǒng)保護的信號處理系統(tǒng)鐵路應(yīng)用一一電氣設(shè)備在r

16、ollingstock上的應(yīng)用鐵路應(yīng)用一一通信,信號處理系統(tǒng)一一第一部分：在閉環(huán)傳輸系統(tǒng)中與安全相關(guān)的通信EN 50159 2鐵路應(yīng)用一一通信,信號處理系統(tǒng)一一第二部分：在開環(huán)傳輸系統(tǒng) 中與安全相關(guān)的通信 EN 61508 1電氣，電子，可編程的安全電氣設(shè)備系統(tǒng)一一第一 部分：主要需求(IEC61508) IEC 60664 系列 在低電壓系統(tǒng)的絕緣調(diào)配鐵路應(yīng)用一一環(huán)境 需求一一第三部分：信號傳輸與通信設(shè)備鐵路應(yīng)用一一可靠性，可用性，可維護性和安全性 (RAMS規(guī)范 鐵路應(yīng)用一一絕緣調(diào)配一一第二部分：過電壓及其先觀保護鐵路應(yīng)用一一環(huán)境需求第一部分：board rolling stock上的設(shè)

17、鐵路應(yīng)用電磁兼容鐵路應(yīng)用絕緣調(diào)配第一部分：電力電子設(shè)備絕緣的基本3 定義和縮略詞3.1定義在本標(biāo)準(zhǔn)中下面的定義將被用到 3.1.1 故障 系列故障 3.1.2 評估 分析設(shè)計部門和產(chǎn)業(yè)部門生產(chǎn)的產(chǎn)品是否滿足規(guī)定的要求，并形成一套判別產(chǎn)品是否按其預(yù)定功能進行工作這個過程稱為評估10導(dǎo)致死亡，受傷，系統(tǒng)或設(shè)備損失或者破壞環(huán)境的無意中的故障或一EN 50129:20033.1.3 授權(quán)書 按規(guī)定使用產(chǎn)品的正式許諾.3.1.4 可用性 一個產(chǎn)品在給定一段時間，在一定條件下按要求實現(xiàn)功能的能力，以及在所需求的外部資源被提供的前提下，其在給定的一段時間執(zhí)行的能力 3.1.5 可能 可能發(fā)生的.3.1.6

18、偶然性分析 分析一種專門的危害 存在的原因.3.1.7普通一偶然故障一些具有獨立功能的設(shè)備失效.普通一3.1.8 結(jié)果分析 分析在一個危害發(fā)生后，可能出現(xiàn)的情況.3.1.9 圖表 表明硬件的結(jié)構(gòu)和相互聯(lián)系以及 系統(tǒng)軟件的功能.3.1.10橫向認(rèn)可 一個產(chǎn)品被一個權(quán)威乃至相關(guān)歐洲標(biāo)準(zhǔn)認(rèn)可并且被最高權(quán)威認(rèn)可，這樣一種程度3.1.11 設(shè)計 計方法.3.1.12設(shè)計權(quán)威 此體系負責(zé)開發(fā)一套設(shè)計方法的公式去執(zhí)行規(guī)定的需求并遇見隨這是一種為了將規(guī)定需求通過分析和轉(zhuǎn)換，使其滿足可靠性要求的設(shè)后的發(fā)展，使一個系統(tǒng)在預(yù)定的環(huán)境中工作3.1.13 發(fā)送3.1.14 設(shè)備3.1.15 誤差這是一種用多種互不相同的

19、方法來實現(xiàn)全部或部分特殊要求的方式起作用的物理裝置 與預(yù)先設(shè)計結(jié)果相偏離，并會導(dǎo)致系統(tǒng)發(fā)生副作用或失效 .這個概念是包含在一個產(chǎn)品的設(shè)計當(dāng)中，如產(chǎn)品看似處于安全3.1.16失效一安全 失效一狀態(tài)，但實際上已經(jīng)失效了 . 3.1.17 失效 偏離系統(tǒng)規(guī)定的行為，是系統(tǒng)錯誤或誤差導(dǎo)致 的結(jié)果.3.1.18錯誤一種非常規(guī)導(dǎo)致系統(tǒng)失效的條件，一個錯誤是隨即的或有規(guī)律發(fā)生的.3.1.19錯誤發(fā)現(xiàn)時間 從錯誤發(fā)生的一瞬間到被發(fā)現(xiàn)為止的異端時間3.1.20功能 一個產(chǎn)品執(zhí)行其規(guī)程的行為模型3.1.21 危害 導(dǎo)致事故的情況 3.1.22危害分析 堅定危害分析及其產(chǎn)生原因，以及違反法制危害可能發(fā)生的要求和在一

20、定程度上危害所造成的后果3.1.23 危害記錄 一個包含所有安全管理活動，危害堅定，決策生成的文檔，用于存 檔和參考3.1.24認(rèn)為錯誤 導(dǎo)致系統(tǒng)發(fā)生副作用的人的行為(失誤)3.1.25 執(zhí)行為了將規(guī)定的設(shè)計轉(zhuǎn)化為物理的實現(xiàn)而進行的活動11EN 50129:20033.1.26 獨立（功能）由于機械具有的多功能而影響到正確操作 ，從而導(dǎo)致系統(tǒng)故障獨立（功能）或突發(fā)故障的機械裝置中寄托出來 3.1.27 獨立（人工）獨立（人工）3.1.28 獨立（物理）獨立（物理）從需要相同智力，商業(yè)或管理試題中解脫出來.從由于多功能而影響正確 操作幾導(dǎo)致系統(tǒng)，副系統(tǒng)，設(shè)備發(fā)生突發(fā)故障的機械裝置中解脫出來.3.

21、1.29個體風(fēng)險3.1.30 維護性 一個僅僅有關(guān)獨立個體的風(fēng)險.對于給定一種積極的維護行為，其在給頂使用條件的項目中的可行性，可以在相關(guān)條件和使用相關(guān)程序和資源的間隙中進行.3.1.31 維護 所有技術(shù)和管理行為的綜合，包括監(jiān)督行為，企圖保持一個項目或?qū)⑵浯鎯?，是一種可以表現(xiàn)其需求功能的狀態(tài).3.1.32可行性 可執(zhí)行性.3.1.33負面性 當(dāng)發(fā)現(xiàn)一個危險的錯誤而破壞安全的狀態(tài).3.1.34負面時間負面時間3.1.35 生產(chǎn)3.1.36 質(zhì)量 從一個危險錯誤的發(fā)生到結(jié)束，整個安全狀態(tài)被破壞的時間跨度.與形成滿足規(guī)定需求的一種方法相互關(guān)聯(lián)的元件組裝.使用者對于一個產(chǎn)品屬性的看法通過安全操作鐵路

22、系統(tǒng)而形成的完整的安全權(quán)威體系.一個系統(tǒng)能承受危險的突發(fā)故障的限度.3.1.37 鐵路權(quán)威3.1.38 突發(fā)故障強度3.1.39 突發(fā)故障無法預(yù)見發(fā)生的故障.3.1.40可靠性 提供一種或多種通常是相同的措施，來提供對故障的承受.3.1.41 可靠性一套裝置在給定條件下和規(guī)定時間內(nèi)執(zhí)行特定功能的能力.3.1.42 修理3.1.43 風(fēng)險將系統(tǒng)，副系統(tǒng)及設(shè)備在失效后恢復(fù)即定狀態(tài)的重建方法.發(fā)生特定危害的頻率，可能性及后果的集合體.一種持續(xù)安全的狀態(tài).不發(fā)生一定程度上的重大風(fēng)險 .3.1.44安全狀態(tài)3.1.45 安全度3.1.46 安全度認(rèn)可最后一個使用者對產(chǎn)品安全狀態(tài)的認(rèn)可3.1.47安全度規(guī)

23、定定.3.1.48安全度權(quán)威負責(zé)對與系統(tǒng)相關(guān)的安全操作發(fā)表授權(quán).當(dāng)產(chǎn)品已經(jīng)執(zhí)行一系列先決條件后必須對安全狀態(tài)進行權(quán)威認(rèn)3.1.49 安全庫 報名產(chǎn)品遵從規(guī)定安全需要的文檔.3.1.50 安全度 在運行的各個階段各種操作環(huán)境及所有的狀態(tài)條件下，安全相關(guān)系12EN 50129:2003統(tǒng)達到安全功能的能力.3.1.51安全度標(biāo)準(zhǔn) 能的數(shù)字.3.1.52安全度生命周期對于安全有關(guān)的系統(tǒng)的生命周期中執(zhí)行的一系列動作3.1.53安全度管理3.1.54 安全計劃 確保過程被安全執(zhí)行的結(jié)構(gòu).如何達到工程的安全需求的執(zhí)行細節(jié) .在考慮系統(tǒng)錯誤的前提下 一個表明系統(tǒng)自我滿足規(guī)定安全功3.1.55 安全流程對于一

24、個產(chǎn)品所有安全要求進行鑒定和滿足的一系列步驟3.1.56 相關(guān)安全度 對安全度負責(zé).3.1.57命令 強制執(zhí)行的.3.1.58建議 被提議的.3.1.59信號系統(tǒng)由于鐵路控制和保護火車正確運行的專門的一類系統(tǒng).3.1.60 壓力承受當(dāng)一個產(chǎn)品執(zhí)行特定功能時所承受的大量外部影響的程度3.1.61 副系統(tǒng) 系統(tǒng)中執(zhí)行特殊功能的一部分.3.1.62 系統(tǒng) 通過設(shè)計，使一系列副系統(tǒng)相互作用而組成的.3.1.63 系統(tǒng)失效度系統(tǒng)從危害性誤差和原因中恢復(fù)的能力.3.1.64系統(tǒng)錯誤 對于一個系統(tǒng)，在規(guī)范，設(shè)計，組構(gòu)，安裝，執(zhí)行或維護中內(nèi)部發(fā)生的錯誤.3.1.65系統(tǒng)生命周期 活動.3.1.66技術(shù)安全報告

25、對系統(tǒng)，副系統(tǒng)及設(shè)備設(shè)計的安全進行論證的報告.3.1.67 有效性 一系列通過測試和分析來表明產(chǎn)品滿足各方面安全規(guī)范的行為.3.1.68鑒定一種通過分析和測試，在系統(tǒng)生命周期的每一個階段，對所分析和測試的階段滿足前一階段的輸出，和該階段按規(guī)定輸出進行堅定的行為從一個系統(tǒng)開始構(gòu)造到該系統(tǒng)失效這段時期內(nèi)進行的一系列3.2縮略詞下面是該標(biāo)準(zhǔn)中用到的縮略詞：3.2.1 322 AC ATP 交流電 列車自動保護13EN 50129:20033.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10 3.2.11 3.2.12 3.2.13 3.2.143.2.15

26、 3.2.16 3.2.17 3.2.18 3.2.19 3.2.20 3.2.213.2.22 3.2.23 3.2.24 3.2.25 3.2.263.2.27CENELEC CCF DC EMC EMI EN ESD FET FMEA FR FTA H HW IEC IRSE ISO RAMS SCR SDR SDT SIL SW THR UIC VDR歐洲電氣標(biāo)準(zhǔn)委員會常見故障原因 直流電電磁相容性電磁干擾歐洲標(biāo)準(zhǔn)靜電釋放場效應(yīng)管故障建模和分析故障率故障樹 分析 危害 硬件 國際電工技術(shù)委員會鐵路信號工程機構(gòu)國際標(biāo)準(zhǔn)組織 可靠性，可行性，維護性和安全性可控硅校驗器安全下降率安全下降時間

27、安全度標(biāo)準(zhǔn)軟件危害可承受度 國際鐵路聯(lián)盟 電壓電阻器4該標(biāo)準(zhǔn)所有框架歐洲標(biāo)準(zhǔn)中第五條款要求采用一個有規(guī)律的，有文擋的-質(zhì)量管理記錄14EN 50129:2003-安全管理記錄-功能和技術(shù)安全記錄-規(guī)定安全度附錄A定義安全度標(biāo)準(zhǔn)的使用和結(jié)實.附錄B包含安全相關(guān)的系統(tǒng)，副系統(tǒng)及設(shè)備的技術(shù)細節(jié)要求.附錄C包含堅定可修復(fù)硬件故障的步驟和信息的方法.附錄D包含附加的技術(shù)信息.附錄E目錄 包含用于安全度各個標(biāo)準(zhǔn)的技術(shù)，方法目錄.包含在執(zhí)行著套標(biāo)準(zhǔn)期間所需查詢文檔的說明.5為保證安全所允許的條件5.1安全情況該標(biāo)準(zhǔn)定義的條件應(yīng)滿足為保證與安全有關(guān)的電氣鐵路系統(tǒng)，副系統(tǒng)及設(shè)備按其 預(yù)期目的可以被足夠安全的應(yīng)用

28、.在該標(biāo)準(zhǔn)中有關(guān)的部分是以.下三個標(biāo)題為基礎(chǔ)的,分別稱為：-5.2 質(zhì)量管理記錄-5.3 安全管理記錄-5.4功能和技術(shù)安全記錄在與安全有關(guān)的系統(tǒng)可以足夠安全的被使用之前，所有這些條件都應(yīng)達到系統(tǒng)，副系統(tǒng)及設(shè)備要求的水平.已經(jīng)與這些條件相符合的文檔記錄應(yīng)當(dāng)被包含進一個安全堅定文檔，即安全庫.安全庫組成所有遵從相關(guān)安全權(quán)威的文檔記錄的一個部分，為了得到一個一般產(chǎn)品，一組應(yīng)用或一個特殊應(yīng)用的安全要求規(guī)范.對于安全規(guī)范過程的解釋，見該標(biāo)準(zhǔn)的5.5部分.安全庫包含系統(tǒng)，副系統(tǒng)及設(shè)備的安全文檔記錄，可以分為如下結(jié)構(gòu)：系統(tǒng)（或副系統(tǒng)及設(shè)備）第一 部分 系統(tǒng)（或副系統(tǒng)及設(shè)備）定義 應(yīng)明確定義或表明安全庫所指

29、的系統(tǒng)，副系統(tǒng)及設(shè)備，包括類型編號，所有需求的修改權(quán)限，設(shè)計和應(yīng)用性的文檔.15EN 50129:2003第二部分質(zhì)量管理報告該部分包括質(zhì)量管理記錄，如該標(biāo)準(zhǔn)中5.2部分提到的第三 部分安全管理報告該部分包括安全管理記錄，如該標(biāo)準(zhǔn)中5.3部分提到的第四部分技術(shù)安全報告該部分包括功能和技術(shù)安全的記錄，如該標(biāo)準(zhǔn)中5.4部分提到的第五部分相關(guān)安全庫 該部分包括與安全庫所依靠的所有副系統(tǒng)及設(shè)備有關(guān)的安全庫同時應(yīng)該表明所有與安全有關(guān)的應(yīng)用條件都應(yīng)規(guī)定每一個相關(guān)的副系統(tǒng)及設(shè)備的安全庫要么是在主安全庫中執(zhí)行，要么在主安全庫中與安全庫有關(guān)的應(yīng)用條件下執(zhí)行第六部分結(jié)論該部分應(yīng)簡要概括在安全庫先前部分的記錄，并討

30、論相關(guān)系統(tǒng)，副系統(tǒng)及設(shè)備是 否足夠的安全，是否遵從專業(yè)的 應(yīng)用條件安全庫的結(jié)構(gòu)用圖表3說明.明確規(guī)定大量細節(jié)的記錄和輔助類文檔不需要包含進安全庫和它的子庫，也不需要提供明確的用于此類文檔的解釋，同時也不需要提供基本概念的應(yīng)用和所采用的途徑5.2 質(zhì)量管理記錄安全規(guī)范的第一個條件就是系統(tǒng)，副系統(tǒng)及設(shè)備的質(zhì)量應(yīng)得到保證，并且還應(yīng)在其整個生命周期中被一套有效的質(zhì)量管理系統(tǒng)控制文檔記錄是該要求在質(zhì)量管理報 告中的表現(xiàn)，它形成了安全庫中的第二個部分質(zhì)量管理系統(tǒng)目的是使在系統(tǒng)生命周期的每個階段的人為故障最小化，同時也減小系統(tǒng)，副系統(tǒng)及設(shè)備中系統(tǒng)故障的發(fā)生質(zhì)量管理系統(tǒng)應(yīng)當(dāng)在系統(tǒng)，副系統(tǒng)及設(shè)備整個生命周期中應(yīng)

31、用，如定義的EN50126. 個系統(tǒng)生命周期的例子（在EN50126標(biāo)準(zhǔn)下），由該標(biāo)準(zhǔn)的圖表 4 描述EN50129:2003 注釋：下面是一 個有關(guān)質(zhì)量管理體系和質(zhì)量管理報告所包括的幾個方面的例子一一組織的結(jié)構(gòu)一一質(zhì)量計劃和步驟16EN 50129:2003需求說明書一一控制設(shè)計一一檢查和復(fù)查設(shè)計一一工程應(yīng)用一一采購和制造產(chǎn)品鑒定和跟蹤一一管理和存儲 一一檢查 一一不一致性和正確的行動一一包裝和發(fā)送 一一安裝和授權(quán)一一操作和維護一一質(zhì)量管理和售后服務(wù)一一文檔和記錄一一配置的管理或更改控制一一操縱指導(dǎo)一一質(zhì)量審計和使用情況調(diào)查一一運行狀況遵從質(zhì)量管理的要求是保證1到4完全安全水平所必需的（見兼

32、并A中對完全 安全水平的解釋）然 而，記錄的深度和輔助類文檔的擴展應(yīng)適應(yīng)系統(tǒng)，副系統(tǒng)及設(shè) 備的完全安全水平（見表格E.1和表格E.8中對每個完全安全水平所需記錄的結(jié)實）.完全安全0水平（不安全）的要求不在該安全標(biāo)準(zhǔn)所探索的范圍17EN 50129:20035.3安全管理措施5.3.1概述 為了保證安全相關(guān)的鐵路信號電子系統(tǒng)/子系統(tǒng)/設(shè)備安全所必須滿足的條件之二是安全管理措施，他應(yīng)該與EN50126中所到的可靠性，可用性，可維護性和安全性的管理過程相一致，目的是進一步減少和安全相關(guān)的認(rèn)為失誤.進而減少系統(tǒng)故障風(fēng)險.下面5.3.2到5.3.13就簡要的介紹了安全管理過程因素.在安全管理報告中將提到

33、有關(guān)安全管理過程中的各素都遵從生命周期概念的書面證據(jù)，即是安全案例的第三部分，這其中不包含大量的詳細的證據(jù)和提供的文獻，只是一些簡單的索引.安全管理措施的運用對于安全完整 性水準(zhǔn)的1到4來說是強制性的.（參考安全 完整性水準(zhǔn)的解釋附錄A）然而，所提供的證據(jù)的深度和所支持文獻的廣度對于安全的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)來說應(yīng)該是合適的.安全完整性水準(zhǔn)為0的（認(rèn)為不安全）是不符合安全標(biāo)準(zhǔn)的.為了證實安全完整性所提到的標(biāo)準(zhǔn)對每一種特殊的情形都是適用的.那么在EN50126中定義的危害分析和風(fēng)險評估過程都是必要的.這也包括那些分析和評估認(rèn)為安全完整性水準(zhǔn)認(rèn)為是0的情況.然而，一旦得出這樣的結(jié)

34、論，（也就是說這種情況是不安全的），那么，這種安全標(biāo)準(zhǔn)就不再適用5.3.2安全的生命周期這種安全管理過程包括很多階段和行為，因此形成了安全生命周期.這應(yīng)該與EN50126中提到的系統(tǒng)生命周期相一致，即是圖4所顯示標(biāo)準(zhǔn)的一種復(fù)制系統(tǒng)生命周期的設(shè)計和有效性部分可以看作是”頂部一一底部”和"底部一一頂部”兩個階 段.（也就是V形）如圖5所示.5.3.3安全機構(gòu) 安全管理過程應(yīng)該在安全機構(gòu)的有效指導(dǎo)下執(zhí)行安全機構(gòu)應(yīng)該任用那些被指任為扮演特殊角色的有能力的人來組成對這些人進行包括技術(shù)知識，認(rèn)證,相關(guān)經(jīng)驗 和正確的訓(xùn)練的能力的評估和記錄應(yīng)該根據(jù)大意公認(rèn)的標(biāo)準(zhǔn)來執(zhí)行對于所有安全完整性水準(zhǔn)的所要求的

35、安全機構(gòu)知道下的不同角色之間應(yīng)該有一個相互獨立 的度，正如圖6和表E.3所示18EN 50129:20035.3.4安全計劃在生命周期的開始應(yīng)該指定一個安全計劃，這個計劃應(yīng)該體現(xiàn)整個生命周期安全管理的結(jié)構(gòu)，安全相關(guān)的活動和論證的轉(zhuǎn)折點.還包括每隔一定間隔進行安全計劃復(fù)查的要求.如果對原始系統(tǒng)/子系統(tǒng)/儀器設(shè)備進行一系列的改動或增加的話，我們就 應(yīng)該及時更新或復(fù)查安全計劃.如果有類似這樣的變動，那么在生命周期的恰當(dāng)?shù)奈恢脤ψ儎铀鸬陌ㄓ布蛙浖踩矫娴挠绊懢蛻?yīng)該被重新評估.參照表E.1對于每一個安全完整性水準(zhǔn)安全計劃所作的指導(dǎo)安全計劃應(yīng)該處理系統(tǒng)/子系統(tǒng)/儀器設(shè)備的各個方面，包括硬件和軟件

36、.對于軟 件的各個方面問題在EN50128中已經(jīng)論述過.安全計劃應(yīng)該包括安全案例計劃他 將體現(xiàn)最終安全案例的預(yù)期結(jié)構(gòu)和重要內(nèi)容.5.3.5 危害日志 在整個生命周期過程中應(yīng)該創(chuàng)建并維護一個危害日志，正如在EN50126所解釋 的，它應(yīng)該包括一系列公認(rèn)的危害，還有對于每一種危害的風(fēng)險分類和風(fēng)險控制信息，如果對系統(tǒng)，子系統(tǒng)或儀器設(shè)備有任何修改和變動，危害日志都應(yīng)該被升級.5.3.6安全要求 對每一種系統(tǒng)/子系統(tǒng)/儀器設(shè)備的特定的安全要求包括功能安全要求和安全完整性要求，這些要求應(yīng)該在安全具體方面里面明確標(biāo)識和記錄，可以通過EN50126中 提到的這幾個方面完成：1.危害標(biāo)識和分析2.風(fēng)險評估和 分

37、類3.安全完整性水準(zhǔn)的分配附錄A中包括了一些鐵路電子系統(tǒng)的安全完整水準(zhǔn)的信息.注：安全要求可能包括在系統(tǒng)/子系統(tǒng)/儀器設(shè)備功能要求中或可以被寫作為獨立的文檔，參照表E.2對與每一條安全完整性水準(zhǔn)在系統(tǒng)需求方面的指導(dǎo).5.3.7 系統(tǒng)/子系統(tǒng) 儀器設(shè)備的設(shè)計系統(tǒng)子系統(tǒng)/儀器設(shè)備的設(shè)計子系統(tǒng)生命周期的這一階段應(yīng)該做這樣一種設(shè)計，此設(shè)計將完成特定的操作和安全要求，我們將運用頂部一一底部的這樣的一套方法且有嚴(yán)格的控制和復(fù)查文檔.特定情況下，通過軟件需求和軟件/硬件整合而再現(xiàn)的軟硬件之間的關(guān)系 應(yīng)該得到 嚴(yán)格的管理.標(biāo)準(zhǔn)EN50128中也有所提及.表E.7給出了對每一種安全完整性水 準(zhǔn)來說系統(tǒng)/子系統(tǒng)/

38、儀器設(shè)備在設(shè)計和進展方面的指導(dǎo).19EN 50129:20035.3.8安全復(fù)查 在生命周期的適當(dāng)階段應(yīng)該做一下安全復(fù)查，這些復(fù)查應(yīng)該在安全計劃中明確規(guī)定，在復(fù)查同時要記錄結(jié)果，如果對系統(tǒng)，子系統(tǒng)或器設(shè)備有任何改動或擴展 ，那么 我們 都應(yīng)該對其進行復(fù)查.5.3.9 安全核對和證實 安全計劃應(yīng)該包括或索引一些這樣的計劃，他們能核對生命周期的每一個階段都 能滿足在先前那些階段中提到的具體的一些安全要求，并且能證實已經(jīng)完趁個的系統(tǒng) /子系統(tǒng)/儀器設(shè)備是與原始的安全性的具體要求相對應(yīng)的.我們應(yīng)該去完成這些步驟并且將其結(jié)果做一詳細記錄，包括正確的測試和安全分 析，在接下來的而已系列的對系統(tǒng) /子系統(tǒng)/

39、儀器設(shè)備的變動和增加中應(yīng)該正確的重復(fù)以上操作.對核對人和確認(rèn)人來說，獨立的必要性的度應(yīng)該與仔細檢查下的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)相一致，可以參照圖6和表9,對于每一種安全完整性水準(zhǔn)的核對和證實的技術(shù)/方法的指導(dǎo)依照安全局的見解，評估員應(yīng)該是供應(yīng)方組織或是顧客組織的成員，但在這些情況下,評估員應(yīng)該是1.經(jīng)安全局授權(quán)的2.從項目團隊中完全獨立出來的3.與安全局完全溝通的5.3.10安全判斷使得系統(tǒng)/子系統(tǒng)/儀器設(shè)備滿足安全接受所規(guī)定的條件的措施應(yīng)該以一安全案例的形式出現(xiàn)在結(jié)構(gòu)完整的安全判斷文擋中，參照5.1中所解釋的.系統(tǒng)/子系統(tǒng) 儀器設(shè)備的移交5.3.11系統(tǒng) 子系統(tǒng)/儀器設(shè)備的移交

40、子系統(tǒng) 在將系統(tǒng)/子系統(tǒng)/儀器設(shè)備移交給鐵路當(dāng)局之前,應(yīng)該滿足5.5中規(guī)定的安全接受和安全論證條件，并且同時遞交安全案例和安全評估報告.5.3.12運行和維護隨著移交的進行，我們還應(yīng)該附加安全計劃和技術(shù)安全報告（安全案例的一部分）的第五部分所規(guī)定的手續(xù)，支持系統(tǒng)和安全監(jiān)管.在系統(tǒng)運行的過程中，人們可能會 提出各種理由 而要求對系統(tǒng)做出改動.當(dāng)然這些理由不一定安全，我們必須通過索引一些安全文檔的相關(guān)部分來評估一下這些要求改變的請求對安全方面的影響.當(dāng)這些20EN 50129:2003要求改變的請求會引起一些變動，并且這些變動又將影響此系統(tǒng)或相關(guān)系統(tǒng)或周圍環(huán)境的安全時，我們應(yīng)該運用安全生命周期的正

41、確部分以確保所實施的改變可以降低安全水準(zhǔn).參照表E.10對每一種安全完整性水準(zhǔn)在應(yīng)用，運行和維護方面的指導(dǎo).5.3.13 停用設(shè)備并加以處理在系統(tǒng)運行周期的最后階段，我們必須停止使用該設(shè)備并且進行最后的清理，這些 操作必須與安全計劃和技術(shù)安全報告（安全案例的一部分）的第五部分所規(guī)定的操作相一致.5.4功能和技術(shù)措施除了滿足5.2和5.3中提到的質(zhì)量和安全管理的措施之外，要使系統(tǒng)/子系統(tǒng)/儀器設(shè)備的預(yù)期應(yīng)用能被安全的接受，那么還要滿足這第三個條件，也就是功能和技術(shù)安全措施，這其中包括為了滿足設(shè)計的安全要求所提到的技術(shù)措施，這一措施應(yīng)該在安全技術(shù)報告中記錄下來，即是系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全案例

42、的第四部分，參照5.1技術(shù)安全報 告對與安全完整性水準(zhǔn)的1到4來說是強制執(zhí)行的（參照安全完整性水準(zhǔn)的附錄A），然而這些信息的深度和做支持文獻的廣度，對于仔細檢查下的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)應(yīng)該是相吻合的，對于安全完整性水準(zhǔn)為0的請求是不在安全標(biāo)準(zhǔn)范圍之內(nèi)的.技術(shù)安全報告應(yīng)該對技術(shù)原則做出解釋，這些技術(shù)原則確保了技術(shù)的安全性，包 括所有支持的措施（如設(shè)計原理和計算，具體測試和結(jié)果及安全分析）我們對技術(shù)安全報告做了如下標(biāo)題第一部分概述這部分將概述此設(shè)計，包括對安全所依賴的技術(shù)安全原理的概要，以及根據(jù)標(biāo)準(zhǔn)使系統(tǒng)/子系統(tǒng)/儀器設(shè)備安全內(nèi)容得到擴展.這部分也將提到作為設(shè)計的技術(shù)安全基礎(chǔ) 的

43、標(biāo)準(zhǔn)（及他們的頒布）如果對已經(jīng)投入運行的或標(biāo)準(zhǔn)生產(chǎn)的或在發(fā)展的完成階段時的儀器 設(shè)備進行變動或增加.作為一個例外，被用作原始設(shè)計標(biāo)準(zhǔn)的頒布可以作為一個基礎(chǔ)，這些已經(jīng)在原始設(shè)備的論證中被接受了 ，這些在以下情況下可能會得到應(yīng)用.即當(dāng)考慮到新標(biāo)準(zhǔn)的頒布實施可能要求對已經(jīng)存在設(shè)備的進一步改動或者可能招致變化所帶來的不合理的高費用時.以下將給出對于以上陳述的理由.21EN 50129:2003第二部分確保正確的功能操作根據(jù)特殊規(guī)定的操作和安全的要求，這一部分將演示在無故障的正常情況下（即不存在故障）對系統(tǒng)/子系統(tǒng)/儀器設(shè)備進行正確操作的必要措施.包括以下方面，在B.2中有更詳細的說明2.1 2.2 2

44、.3 2.4 2.5 2.6系統(tǒng)結(jié)構(gòu)的描述（參考B.2.1和表E.4）相互交叉操作的定義（參考B.2.2） 系統(tǒng)需求的實施（參照B.2.3） 安全需 求的實施（參照B.2.4） 確保正確的硬件功能（參照B.2.5） 確保正確的軟件功能（參照 B.2.6）第三部分 故障的影響這部分將描述系統(tǒng)/子系統(tǒng)/儀器設(shè)備繼續(xù)滿足特定的安全需求包括在隨機硬件故障下數(shù)量上能達到一定的安全目標(biāo)另外,盡管在5.2和5.3中規(guī)定了質(zhì)量和安全管理過程，但系統(tǒng)故障仍存在.這部分將描述采取一些技術(shù)措施使將來風(fēng)險降低 到一個可接受的水準(zhǔn).這部分也將說明在安全完整性水準(zhǔn)低于整個系統(tǒng)的也包括水準(zhǔn)為0的任何一個系統(tǒng)/子系統(tǒng)/儀器設(shè)

45、備產(chǎn)生的故障，將不會降低整個系統(tǒng)的安全性.這部分將包括以下題目，中有更詳細的需求描述.E.5 表E.6中也有所提及.B.3表3.1 3.2 3.3 3.4 3.5 3.6單一故障的影響（參照B.3.1） 項目獨立性（參照B.3.2）單一故障檢測（參照B.3.3）檢測后應(yīng)采取的措施（參照B.3.4）多個故障的影響（參照B.3.5）防御系統(tǒng)故障（參照B.3.6）額外影響的操作第四部分這部分將描述遇到在系統(tǒng)需求中所提到的額外影響時系統(tǒng)/子系統(tǒng)/儀器設(shè)備1.繼續(xù)履行它的具體操作需求2.繼續(xù)履行它的具體安全需求（包括存在故障情況下）安全案例只有在額外影響的特定范圍內(nèi)是有效的，正如在系統(tǒng)需求中所定義的.在

46、這些限定之外不能確保安全,除非實施額外的特殊措施用來支持特定的額外操作22EN 50129:2003的方法將得到解釋和判定.更詳細的信息可參照B.4第五部分有關(guān)安全的應(yīng)用條件這部分將強調(diào)在系統(tǒng)/子系統(tǒng)/儀器設(shè)備的應(yīng)用中應(yīng)遵循的法則，條件和限定.這 也包括一些相關(guān)的子系統(tǒng)和儀器設(shè)備的安全案例中所包含的應(yīng)用條件更詳細的信息可參照B.5，同時在表E.10中也有所指導(dǎo)第六部分安全資格審查這部分將演示在安全資格審查的操作條件下的一些成功的例子.可參照B.6技術(shù)安全結(jié)構(gòu)可參照圖7 5.5安全接受和論證這部分定義了與安全相關(guān)的電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全接受和論證部分.除了認(rèn)為是合適的地方，其他地方并沒

47、有特殊強調(diào)應(yīng)該由誰在每個 階段來做這項工作，因為它是隨著環(huán)境的變化而變化的.5.5.1 概述正如5.1所提到的.為了保證與安全相關(guān)的鐵路信號電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備 安全所必須滿足的三個條件如下：1.質(zhì)量管理措施2.安全管理措施3.功能和技術(shù)安全措施這三個條件已經(jīng)在5.2 和5.3 和5.4 中提到 正如5.1和圖3所顯示的，安全案例中應(yīng)包括質(zhì)量管理措施，安全管理措施和功能技術(shù)安全措施可以考慮安全案例的如下三種不同的分類：1.一般的產(chǎn)品安全案例（獨立應(yīng)用）一般產(chǎn)品可用做各種不同的獨立應(yīng)用2. 一般的應(yīng)用安全案例（應(yīng)用分類）有相同功能的一般的應(yīng)用可以劃分為一類3.特殊的應(yīng)用安全案例（特殊應(yīng)用）

48、特殊的應(yīng)用只能用做一種特殊的裝置有必要告訴大家的就是對于每一種特定的應(yīng)用，無論是環(huán)境的條件還是應(yīng)用的23EN 50129:2003內(nèi)容與一般的應(yīng)用條件相兼容這一點是必要的（參照5.5.4）在以上三種分類中，安全案例和獲得安全論證程序的結(jié)構(gòu)基本上是相同的.然而，對于特定的應(yīng)用也有附加因素：在這種分類中，對于系統(tǒng)的應(yīng)用設(shè)計和它的實際操作需要獨立的安全論證（例如:生產(chǎn)，安裝，測試和用于操作和維護的設(shè)施），基于此，對于特定應(yīng)用的安全案例應(yīng)該分成以下兩部分：1.應(yīng)用設(shè)計安全案例：這包括特定應(yīng)用的理論設(shè)計的安全措施2.實際操作安全案例：這包括特定應(yīng)用的實際操作的安全措施這兩部分結(jié)構(gòu)可見5.1和圖3 5.5

49、.2安全論證過程在考慮安全論證的操作之前，應(yīng)該做出一份系統(tǒng)/子系統(tǒng)/儀器設(shè)備的獨立的安全評估報告和安全案例.這樣做是為了進一步確保能達到安全的必要水準(zhǔn)，且將結(jié) 果記錄在安全評估報告中這份報告應(yīng)該對安全評估員決定如何設(shè)計才能使系統(tǒng)/子系統(tǒng)/儀器設(shè)備（硬件和軟件）滿足特定要求的做法進行解釋，同時強調(diào)對系統(tǒng)/子系統(tǒng)/儀器設(shè)備的操作而言的一些附加條件像EN50126中所提到的安全評估的深度和對其操作的獨立性的限度都是基于風(fēng)險分類的結(jié)果之上的為了增加可信度，安全評估員可能要求進行特定的測試整個文檔的措施應(yīng)該包括：1.系統(tǒng)（子系統(tǒng)/儀器設(shè)備）需求；2.安全要求；3.安全案例 包括：第一部分：系統(tǒng)/子系統(tǒng)/

50、儀器設(shè)備的規(guī)定第二部分：質(zhì)量管理報告（質(zhì)量管理措施）第三部分:安全管理報告（安全管理措施）第四部分：技術(shù)安全報告（功能/技術(shù)安全措施）第五部 分:相關(guān)的安全案例（如果可能的話）第六部分：結(jié)論4.安全評估報告；根據(jù)安全案例中提 到的滿足安全接受的所有條件，并且依照獨立的安全評估結(jié)果.系統(tǒng)/子系統(tǒng)/儀器設(shè)備依法得到相關(guān)安全局的論證.安全評估人員對論證可24EN 50129:2003能會強制執(zhí)行一些額外條件（暫時的或永久的）對于一般性產(chǎn)品（即應(yīng)用的獨立性）和一般性應(yīng)用（即應(yīng)用的等級分類）被一個安全局同意的安全論證和可能被其他安全局所接受（即相互接受），當(dāng)然對于特定的應(yīng)用而言是不可能的圖8顯示了針對三

51、種不同的安全案例的安全論證過程5.5.3安全論證完成之后當(dāng)系統(tǒng)/子系統(tǒng)/儀器設(shè)備完成安全論證之后，我們應(yīng)該對接下來的任何改動都要加以控制，可以利用即將作為新的設(shè)計的相同的質(zhì)量管理，安全管理和功 能/技術(shù)安全標(biāo)準(zhǔn)來對其加以控制.所有相關(guān)文檔包括安全案例，都應(yīng)該及時更新或由額外文檔來加以補充，并且提交這種改動的設(shè)計去論證.一旦將完成的系統(tǒng)/子系統(tǒng)/儀器設(shè)備交付使用，那么在技術(shù)安全報告（安全案例的一部分）的第五部分和安全計劃中規(guī) 定的正確的手續(xù)，支持系統(tǒng)和安全監(jiān)管就應(yīng)該使用，以確保在它的整個工作生命中的安全操作，這些操作包括運 行，維護，變動，擴展和最終的停止使用，這些行為由原始設(shè)計所運用的同 樣的

52、質(zhì)量管理，安全管理和技術(shù)安全標(biāo)準(zhǔn)來控制包括安全案例在內(nèi)的所有相關(guān)文檔都應(yīng)該及時更新，并且把有變動或擴展的設(shè)計遞交上去加以論證.5.5.4安全論證之間的附屬地在5.1中提到過，系統(tǒng)的安全案例依靠其他子系統(tǒng)或儀器設(shè)備的安全案例.在這種情況下，就是說如果沒有先前相關(guān)子系統(tǒng)/儀器設(shè)備的安全論證，就不會有主干系統(tǒng)的安全論證.如果已經(jīng)完成對一般產(chǎn)品或一般應(yīng)用的安全論證，那么這將可能指導(dǎo)一種特定應(yīng)用的安全論證沒有必要對每一種應(yīng)用都重復(fù)這種一般性的論證過程.圖9就顯示了這種安全論證之間的附屬地.一種基于說明有目的的特定的應(yīng)用的安全案例是與那些特定安全論證的實施在技術(shù)上是等價的.對這種特定應(yīng)用有必要采取新的安全

53、論證.確保在附屬地的如下做法是必要的.即每一個安全案例的技術(shù)報告中提到的與安全相關(guān)的實施條件都要以高水準(zhǔn)的安全案例來完成，否則提前進入以高水準(zhǔn)的有安全應(yīng)用條件進行執(zhí)行.25EN 50129：2003附錄A安全完整性水準(zhǔn)A.1概述附錄對安全要求，安全完整性和有關(guān)安全系統(tǒng)在鐵路中應(yīng)用的安全完整性水準(zhǔn)的起源，分配和執(zhí)行都作了詳細的描述.對每種特定的鐵路應(yīng)用，以允許的安全目標(biāo)的形式出現(xiàn)的容許危險率是有關(guān)鐵路當(dāng)局的責(zé)任.該標(biāo)準(zhǔn)未對其進行定義.EN50126中規(guī)定了安全管理過程A.2安全要求 以下兩部分提到了系統(tǒng)要求（或正確的子系統(tǒng)/儀器設(shè)備）（參照圖A.1）:1.不涉及安全的要求（包括實際的功能要求）；

54、2.涉及到安全的要求；涉及到安全的要求我們常常稱之為安全要求#,這些可能包括在獨立的安全的具體要求中我們把安全要求氛圍如下兩部分：1. 安全功能要求；2.安全完整性要求；安全功能要求實際上是系統(tǒng)/子系統(tǒng)/儀器設(shè)備的與安全相關(guān)的功能所要執(zhí)行的要求安全完整性要求定義了對每一種與安全相匚關(guān)的功能的安全完整性水準(zhǔn)A.3安全完整性水準(zhǔn)（SIL）安全完整性水準(zhǔn)關(guān)系到安全相關(guān)系統(tǒng)性能的安全完整性要能完 成規(guī)定的安全功能安全完整性越高，他行使規(guī)定的安全功能的不成功率就越低安全完整性有兩部分構(gòu)成（參照圖A.1）:系統(tǒng)故障完整性26EN 50129:2003隨機故障完整性要充分實現(xiàn)安全完整性，就必須滿足上述兩條件注:由環(huán)境條件（如:電磁兼容性和隨機故障完整性系統(tǒng)故障完整性是安全完整性中不可量化的部分，并且它還關(guān)系到危險的系統(tǒng)錯誤（硬件或軟件），在系統(tǒng)子系統(tǒng)設(shè)備生命周期的各種狀態(tài)中，系統(tǒng)錯誤都是由人的錯誤引起的.例如：一規(guī)格說明錯誤一設(shè)計錯誤一制造錯誤一安裝錯誤一造作錯誤 一維修錯誤 一校正錯誤 系統(tǒng)故障完整性由質(zhì)量管