BS EN 50129( 中文版 )鐵路應(yīng)用-通信、信號(hào)和過(guò)程控制系統(tǒng)-信號(hào)的安全相關(guān)電子系統(tǒng)

EN EN50129：2003 PAGEPAGE10英國(guó)標(biāo)準(zhǔn) BSEN50129:2003鐵路應(yīng)用－通信、信號(hào)和過(guò)程控制系統(tǒng)－信號(hào)的安全相關(guān)電子系統(tǒng)國(guó)家前言該英國(guó)標(biāo)準(zhǔn)是 EN50129：2003的官方英文標(biāo)準(zhǔn)。它代替了被撤回的 ENV50129：1999標(biāo)準(zhǔn)。GEL/9技術(shù)委員會(huì)委托英國(guó)參與了它的準(zhǔn)備，鐵路電子技術(shù)應(yīng)用組織即GEL/9/1子委員會(huì)，信號(hào)和通信，職責(zé)是：－幫助調(diào)查人理解文章；－提出可靠的歐洲委員會(huì)的要求來(lái)分析或者提出改進(jìn)意見(jiàn)，并保證英國(guó)的利益；－關(guān)注相關(guān)的國(guó)際和歐洲發(fā)展，并在英國(guó)發(fā)布它們；一系列的組織給子委員會(huì)提出的意見(jiàn)可在它的秘書(shū)處獲得。交叉的參考本英國(guó)標(biāo)準(zhǔn)應(yīng)用國(guó)際的或者歐洲的關(guān)于本文件的出版物，它可能在“國(guó)際標(biāo)準(zhǔn)相BSIBSI“查找”工具。使用該標(biāo)準(zhǔn)。依從一個(gè)歐洲標(biāo)準(zhǔn)并不是指本人免除法律責(zé)任?？偣驳捻?yè)數(shù)該文檔包括前封面，內(nèi)前封面，EN名稱頁(yè)，2到94頁(yè)和內(nèi)后封面和后封頁(yè)。在文檔最終出版后，BSI的版權(quán)日期在文檔中指出。出版后的修訂修訂次數(shù)修訂次數(shù)日期內(nèi)容英文版本鐵路應(yīng)用－通信、信號(hào)和過(guò)程控制系統(tǒng)－信號(hào)的安全相關(guān)電子系統(tǒng)2000－11－01CENELEC提出，CENELECCEN/CENELEC些情況。最新的目錄和關(guān)于國(guó)際標(biāo)準(zhǔn)的相關(guān)參考數(shù)目可以在中心秘書(shū)處或者任何CENECEC的成員那里獲得。這個(gè)歐洲標(biāo)準(zhǔn)有三個(gè)官方版本（英，法，德。CENECEC譯為他們的語(yǔ)言，并且通知中心秘書(shū)處，這樣有作為官方版本的同樣地位。CENELEC歐洲電工標(biāo)準(zhǔn)協(xié)會(huì)前言SC9XACENECECTC9X設(shè)備的通信，信號(hào)和處理系統(tǒng)。屬于正式文件文本的草稿在2002－11－01作為EN50128由CENECEC提出。這個(gè)歐洲標(biāo)準(zhǔn)取代了ENV50129：1998這個(gè)歐洲標(biāo)準(zhǔn)是在 CENELEC的授權(quán)下通過(guò)歐洲委員會(huì)和歐洲自由貿(mào)易組織、96/48/EC指示的本質(zhì)要求來(lái)準(zhǔn)備的。下面是確定的日期，－通過(guò)國(guó)際標(biāo)準(zhǔn)的出版或批注，這個(gè)標(biāo)準(zhǔn)作為國(guó)際標(biāo)準(zhǔn)來(lái)實(shí)施的最近日期2003－12－01－與這個(gè)標(biāo)準(zhǔn)沖突的國(guó)際標(biāo)準(zhǔn)排斥在外的最近日期 2005－11－01標(biāo)注“標(biāo)準(zhǔn)化”的附件是標(biāo)準(zhǔn)的一部分標(biāo)注“非標(biāo)準(zhǔn)”的附件僅供參考。該標(biāo)準(zhǔn)中，附件A，B，C是標(biāo)準(zhǔn)化的，附件D，E是非標(biāo)準(zhǔn)化的內(nèi)容引言 5范圍 7合乎規(guī)范的參考 7定義 8定義 9參考 9標(biāo)準(zhǔn)的整體框架 11安全接受和承認(rèn)的條件 12安全情形 12質(zhì)量管理根據(jù) 12安全管理根據(jù) 12功能和技術(shù)安全根據(jù) 12安全接受和承認(rèn) 12附件A（規(guī)范）安全完善度等級(jí) 13A.1引言 13A.2安全要求 13A.3安全完善度A.4安全完善度要求分配A.5安全完善度等級(jí)附件B（規(guī)范）詳細(xì)的技術(shù)要求引言正確的功能操作的保證錯(cuò)誤的影響對(duì)外部影響的操作有關(guān)安全應(yīng)用的條件安全質(zhì)量測(cè)試附件C（規(guī)范）硬件組成錯(cuò)誤模式的鑒定引言常規(guī)程序完整電路程序（包括微處理器）固有的物理性質(zhì)組成程序有關(guān)組成錯(cuò)誤模式的常規(guī)信息附帶的常規(guī)信息，有關(guān)固有物理性質(zhì)的組成有關(guān)固有物理性質(zhì)的組成的特殊信息附件D（情報(bào)）補(bǔ)充技術(shù)信息 77引言 77完成物理內(nèi)在獨(dú)立性 77完成物理外在獨(dú)立性 78單個(gè)錯(cuò)誤分析方法的例子 79多個(gè)錯(cuò)誤分析方法 80附件E(情報(bào))為系統(tǒng)錯(cuò)誤和控制隨機(jī)及系統(tǒng)錯(cuò)誤，為與安全相關(guān)的電子系統(tǒng)傳輸信制定了技巧和方法 85參考書(shū)目 941 CENELEC鐵路應(yīng)用標(biāo)準(zhǔn)的主要范圍 82 EN50129的結(jié)構(gòu) 15安全事例結(jié)構(gòu) 17系統(tǒng)生命周期舉例 19設(shè)計(jì)和系統(tǒng)生命周期有效部分舉例 21獨(dú)立性排列 22技術(shù)安全報(bào)告結(jié)構(gòu) 26安全性承諾和安全性批準(zhǔn)過(guò)程] 28安全性事例/安全性批準(zhǔn)間獨(dú)立性舉例 29A1安全要求和安全完整性 30A2全部過(guò)程回顧 32A3風(fēng)險(xiǎn)分析過(guò)程舉例 33A4有關(guān)系統(tǒng)界限危險(xiǎn)的定義 34A5危險(xiǎn)控制過(guò)程舉例 36A6解釋故障和補(bǔ)救次數(shù) 37A7由FTA處理的功能獨(dú)立性 38A8安全完整性水準(zhǔn)和技巧間的關(guān)系 40影響項(xiàng)目獨(dú)立性的因素 46檢測(cè)和否定單個(gè)錯(cuò)誤 49D.1錯(cuò)誤分析方法舉例 81A1安全完整性水準(zhǔn)表 41表C.1電阻器 61表C.2電容器 62表C.3電磁組件 63表C.4二極管 66表C.5晶體管 67表C.6控制整流器 69表C.7過(guò)負(fù)荷干擾抑制器 71表C.8光電子組件 72表C.9過(guò)濾器 73表C.10內(nèi)部組件 74表C.11－保險(xiǎn) 75表C.12－開(kāi)關(guān)和按鈕 75表C.13－電燈 75表C.14－電池 75表C.15－變送器/傳感器（不包括內(nèi)部電路） 76表C.16－集成電路 76表D.1－在大規(guī)模集成電路通過(guò)周期性在線測(cè)試的手段來(lái)檢測(cè)故障的措施的例子 表E.1－安全計(jì)劃和主動(dòng)的質(zhì)量保證 86表E.2－系統(tǒng)要求的技術(shù)規(guī)格 87表E.3－安全組織 87表E.4－系統(tǒng)/子系統(tǒng)/設(shè)備的建構(gòu) 88表E.5－設(shè)計(jì)特色 89表E.6－故障和危險(xiǎn)分析的方法 90表E.7－系統(tǒng)/子系統(tǒng)/設(shè)備的設(shè)計(jì)和研發(fā) 91表E.8－設(shè)計(jì)的階段性文檔 91表E.9－系統(tǒng)和產(chǎn)品設(shè)計(jì)的鑒定和確認(rèn) 92表E.10－應(yīng)用，運(yùn)行和維護(hù) 93前言本標(biāo)準(zhǔn)是鐵路信號(hào)領(lǐng)域內(nèi)定義電子安全系統(tǒng)認(rèn)可和支持要求的第一個(gè)歐洲標(biāo)準(zhǔn)。目前，國(guó)際上存在的語(yǔ)詞有關(guān)的只有國(guó)際鐵路聯(lián)合組織（UIC）提出的整體建議和一些國(guó)家提出的互不相同的建議。CENELEC標(biāo)準(zhǔn)上有要求。歐洲鐵路機(jī)構(gòu)和歐洲鐵路工業(yè)在發(fā)展一種基于一般標(biāo)準(zhǔn)并能夠相互兼容的鐵路此文件就電子系統(tǒng)在鐵路信號(hào)方面安全認(rèn)可與支持的歐洲通用的基礎(chǔ)。橫向認(rèn)可的目的在于一般的支持，不是特殊的應(yīng)用。當(dāng)它成為一個(gè)EN有關(guān)鐵路信號(hào)電子安全系統(tǒng)的歐洲攝取內(nèi)的獲得將會(huì)關(guān)系到這個(gè)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)包括主要部分（第一章到第五章）和附錄A，B，C，D，E。在此標(biāo)準(zhǔn)中主要部分和附錄A，B，C中定義的要求是規(guī)范的，而附錄D和E是非正式的。EN50126都是基于系統(tǒng)的生命周期和EN61508—1。在涉及到鐵路通信信號(hào)和外部系統(tǒng)時(shí)，EN61508—1EN50126/EN50128/EN50129EN61508—1是足夠的。命周期的安全檢測(cè)就是這樣被要求的。須的工作，因?yàn)檫@在不同環(huán)境下是不相同的。EN50128定義了包括可編程電子器件和軟件附加條件的安全系統(tǒng)。EN50159—1和EN50159—2定義了對(duì)安全數(shù)據(jù)通信的額外要求。范圍本標(biāo)準(zhǔn)適用與鐵路信號(hào)設(shè)備上用的電子安全系統(tǒng)（包括子系統(tǒng)和設(shè)備1CENELEC標(biāo)準(zhǔn)的關(guān)系。的安全要求。（有修改行為后來(lái)變化的結(jié)果，本安全標(biāo)準(zhǔn)就會(huì)停止使用。分類(lèi)、設(shè)計(jì)、建設(shè)、安裝、認(rèn)可、操作、維護(hù)和修改及擴(kuò)展等功能也適用與完整系統(tǒng)中的個(gè)人子系統(tǒng)和設(shè)備。附錄C包含了和電子硬件部分相關(guān)的程序。本標(biāo)準(zhǔn)又適用與一般的子系統(tǒng)和設(shè)備（獨(dú)立的使用和某種特殊的使用系統(tǒng)、子系統(tǒng)、設(shè)備上有特殊的使用。（例如在本標(biāo)準(zhǔn)之前已經(jīng)被接受的系子系統(tǒng)和設(shè)備。備（如：能源的供應(yīng)、調(diào)配等。即使在最小限度時(shí)，可根據(jù)顯示，設(shè)備或者依賴于安全或者依賴于與安全相關(guān)的這些功能。和安全，這一課題在其他的標(biāo)準(zhǔn)上有說(shuō)明。參考標(biāo)準(zhǔn)（改的部分。注意：附加的非正式的參考在目錄里。EN50121系列 鐵路應(yīng)用——電磁兼容EN50124—1 需求。EN50124—2 鐵路應(yīng)用——絕緣調(diào)配——第二部分：過(guò)電壓及其先觀保護(hù)。EN50125—1 鐵路應(yīng)用——環(huán)境需求——第一部分：boardrollingstock上的備。EN50125—3 鐵路應(yīng)用——環(huán)境需求——第三部分：信號(hào)傳輸與通信設(shè)備。EN50126 鐵路應(yīng)用——可靠性、可用性、可維護(hù)性和安全性規(guī)和說(shuō)明。EN50128 鐵路應(yīng)用——通信、用于鐵路控制和系統(tǒng)保護(hù)的信號(hào)處理系統(tǒng)EN50155 rollingstock上的應(yīng)用。EN50159—1 中與安全相關(guān)的通信EN50159—2 中與安全相關(guān)的通信EN61508—1 （IEC61508）IEC60664系列 在低電壓系統(tǒng)的絕緣調(diào)配。定義和縮略詞定義在本標(biāo)準(zhǔn)中下面的定義將被用到。故障 導(dǎo)致死亡、受傷、系統(tǒng)或設(shè)備損失或者破壞環(huán)境的無(wú)意中的故障或系列故障。評(píng)估 分析設(shè)計(jì)部門(mén)和產(chǎn)業(yè)部門(mén)生產(chǎn)的產(chǎn)品是否滿足規(guī)定的要求，并形成一判別產(chǎn)品是否按其預(yù)定功能進(jìn)行工作，這個(gè)過(guò)程稱為評(píng)估。授權(quán)書(shū)按規(guī)定使用產(chǎn)品的正式許諾?？捎眯栽谒枨蟮耐獠抠Y源被提供的前提下，其在給定的一段時(shí)間執(zhí)行的能力?？赡?可能發(fā)生的。偶然性分析分析一種專門(mén)的危害存在的原因。普通—偶然故障一些具有獨(dú)立功能的設(shè)備失效。結(jié)果分析分析在一個(gè)危害發(fā)生后，可能出現(xiàn)的情況。圖表 表明硬件的結(jié)構(gòu)和相互聯(lián)系以及系統(tǒng)軟件的功能。橫向認(rèn)可這樣一種程度設(shè)計(jì) 這是一種為了將規(guī)定需求通過(guò)分析和轉(zhuǎn)換，使其滿足可靠性要求的計(jì)方法。設(shè)計(jì)權(quán)威 此體系負(fù)責(zé)開(kāi)發(fā)一套設(shè)計(jì)方法的公式去執(zhí)行規(guī)定的需求并遇見(jiàn)后的發(fā)展，使一個(gè)系統(tǒng)在預(yù)定的環(huán)境中工作發(fā)送 這是一種用多種互不相同的方法來(lái)實(shí)現(xiàn)全部或部分特殊要求的方式設(shè)備 起作用的物理裝置誤差 與預(yù)先設(shè)計(jì)結(jié)果相偏離，并會(huì)導(dǎo)致系統(tǒng)發(fā)生副作用或失效。失效—安全 這個(gè)概念是包含在一個(gè)產(chǎn)品的設(shè)計(jì)當(dāng)中，如產(chǎn)品看似處于安狀態(tài)，但實(shí)際上已經(jīng)失效了。失效 偏離系統(tǒng)規(guī)定的行為，是系統(tǒng)錯(cuò)誤或誤差導(dǎo)致的結(jié)果。錯(cuò)誤 一種非常規(guī)導(dǎo)致系統(tǒng)失效的條件，一個(gè)錯(cuò)誤是隨即的或有規(guī)律發(fā)生的。錯(cuò)誤發(fā)現(xiàn)時(shí)間 從錯(cuò)誤發(fā)生的一瞬間到被發(fā)現(xiàn)為止的異端時(shí)間功能 一個(gè)產(chǎn)品執(zhí)行其規(guī)程的行為模型危害 導(dǎo)致事故的情況危害分析 堅(jiān)定危害分析及其產(chǎn)生原因以及違反法制危害可能發(fā)生的要求在一定程度上危害所造成的后果危害記錄 一個(gè)包含所有安全管理活動(dòng)危害堅(jiān)定決策生成的文檔用于檔和參考認(rèn)為錯(cuò)誤 導(dǎo)致系統(tǒng)發(fā)生副作用的人的行為（失誤）執(zhí)行 為了將規(guī)定的設(shè)計(jì)轉(zhuǎn)化為物理的實(shí)現(xiàn)而進(jìn)行的活動(dòng)獨(dú)（功能） 由于機(jī)械具有的多功能而影響到正確操作從而導(dǎo)致系統(tǒng)故或突發(fā)故障的機(jī)械裝置中寄托出來(lái)。獨(dú)立（人工） 從需要相同智力、商業(yè)或管理試題中解脫出來(lái)。獨(dú)立（物理） 從由于多功能而影響正確操作幾導(dǎo)致系統(tǒng)、副系統(tǒng)、設(shè)發(fā)生突發(fā)故障的機(jī)械裝置中解脫出來(lái)。個(gè)體風(fēng)險(xiǎn) 一個(gè)僅僅有關(guān)獨(dú)立個(gè)體的風(fēng)險(xiǎn)。維護(hù)性 對(duì)于給定一種積極的維護(hù)行為，其在給頂使用條件的項(xiàng)目中的可性，可以在相關(guān)條件和使用相關(guān)程序和資源的間隙中進(jìn)行。維護(hù) 所有技術(shù)和管理行為的綜合包括監(jiān)督行為企圖保持一個(gè)項(xiàng)目或?qū)⒋鎯?chǔ)，是一種可以表現(xiàn)其需求功能的狀態(tài)?？尚行?可執(zhí)行性。負(fù)面性 當(dāng)發(fā)現(xiàn)一個(gè)危險(xiǎn)的錯(cuò)誤而破壞安全的狀態(tài)。負(fù)面時(shí)間 從一個(gè)危險(xiǎn)錯(cuò)誤的發(fā)生到結(jié)束整個(gè)安全狀態(tài)被破壞的時(shí)間跨度。生產(chǎn) 與形成滿足規(guī)定需求的一種方法相互關(guān)聯(lián)的元件組裝。質(zhì)量 使用者對(duì)于一個(gè)產(chǎn)品屬性的看法。鐵路權(quán)威 通過(guò)安全操作鐵路系統(tǒng)而形成的完整的安全權(quán)威體系。突發(fā)故障強(qiáng)度 一個(gè)系統(tǒng)能承受危險(xiǎn)的突發(fā)故障的限度。突發(fā)故障 無(wú)法預(yù)見(jiàn)發(fā)生的故障?？煽啃?提供一種或多種通常是相同的措施，來(lái)提供對(duì)故障的承受?？煽啃?一套裝置在給定條件下和規(guī)定時(shí)間內(nèi)執(zhí)行特定功能的能力。修理 將系統(tǒng)、副系統(tǒng)及設(shè)備在失效后恢復(fù)即定狀態(tài)的重建方法。風(fēng)險(xiǎn) 發(fā)生特定危害的頻率、可能性及后果的集合體。安全狀態(tài) 一種持續(xù)安全的狀態(tài)。安全度 不發(fā)生一定程度上的重大風(fēng)險(xiǎn)。安全度認(rèn)可最后一個(gè)使用者對(duì)產(chǎn)品安全狀態(tài)的認(rèn)可安全度規(guī)定 當(dāng)產(chǎn)品已經(jīng)執(zhí)行一系列先決條件后必須對(duì)安全狀態(tài)進(jìn)行權(quán)威定。安全度權(quán)威 負(fù)責(zé)對(duì)與系統(tǒng)相關(guān)的安全操作發(fā)表授權(quán)。安全庫(kù) 報(bào)名產(chǎn)品遵從規(guī)定安全需要的文檔。安全度 在運(yùn)行的各個(gè)階段各種操作環(huán)境及所有的狀態(tài)條件下，安全相關(guān)系統(tǒng)達(dá)到安全功能的能力。安全度標(biāo)準(zhǔn) 在考慮系統(tǒng)錯(cuò)誤的前提下，一個(gè)表明系統(tǒng)自我滿足規(guī)定安全能的數(shù)字。安全度生命周期對(duì)于安全有關(guān)的系統(tǒng)的生命周期中執(zhí)行的一系列動(dòng)作安全度管理 確保過(guò)程被安全執(zhí)行的結(jié)構(gòu)。安全計(jì)劃 如何達(dá)到工程的安全需求的執(zhí)行細(xì)節(jié)。安全流程 對(duì)于一個(gè)產(chǎn)品所有安全要求進(jìn)行鑒定和滿足的一系列步驟。相關(guān)安全度 對(duì)安全度負(fù)責(zé)。命令強(qiáng)制執(zhí)行的。建議 被提議的。信號(hào)系統(tǒng) 由于鐵路控制和保護(hù)火車(chē)正確運(yùn)行的專門(mén)的一類(lèi)系統(tǒng)。壓力承受 當(dāng)一個(gè)產(chǎn)品執(zhí)行特定功能時(shí)所承受的大量外部影響的程度。副系統(tǒng) 系統(tǒng)中執(zhí)行特殊功能的一部分。系統(tǒng) 通過(guò)設(shè)計(jì)，使一系列副系統(tǒng)相互作用而組成的。系統(tǒng)失效度 系統(tǒng)從危害性誤差和原因中恢復(fù)的能力。系統(tǒng)錯(cuò)誤生的錯(cuò)誤。系統(tǒng)生命周期 從一個(gè)系統(tǒng)開(kāi)始構(gòu)造到該系統(tǒng)失效這段時(shí)期內(nèi)進(jìn)行的一系活動(dòng)。技術(shù)安全報(bào)告 對(duì)系統(tǒng)、副系統(tǒng)及設(shè)備設(shè)計(jì)的安全進(jìn)行論證的報(bào)告。有效性 一系列通過(guò)測(cè)試和分析來(lái)表明產(chǎn)品滿足各方面安全規(guī)范的行為。鑒定 一種通過(guò)分析和測(cè)試在系統(tǒng)生命周期的每一個(gè)階段對(duì)所分析和測(cè)的階段滿足前一階段的輸出，和該階段按規(guī)定輸出進(jìn)行堅(jiān)定的行為。縮略詞下面是該標(biāo)準(zhǔn)中用到的縮略詞:AC 交流電ATP 列車(chē)自動(dòng)保護(hù)CENELEC 歐洲電氣標(biāo)準(zhǔn)委員會(huì)CCF 常見(jiàn)故障原因DC 直流電EMC 電磁相容性EMI 電磁干擾EN 歐洲標(biāo)準(zhǔn)ESD 靜電釋放FET 場(chǎng)效應(yīng)管FMEA 故障建模和分析FR 故障率FTA 故障樹(shù)分析H 危害HW 硬件IEC 國(guó)際電工技術(shù)委員會(huì)IRSE 鐵路信號(hào)工程機(jī)構(gòu)ISO 國(guó)際標(biāo)準(zhǔn)組織RAMS 可靠性、可行性、維護(hù)性和安全性SCR 可控硅校驗(yàn)器SDR 安全下降率SDT 安全下降時(shí)間SIL 安全度標(biāo)準(zhǔn)SW 軟件THR 危害可承受度UIC 國(guó)際鐵路聯(lián)盟VDR 電壓電阻器該標(biāo)準(zhǔn)所有框架歐洲標(biāo)準(zhǔn)中第五條款要求采用一個(gè)有規(guī)律的、有文擋的-質(zhì)量管理記錄-安全管理記錄-功能和技術(shù)安全記錄-規(guī)定安全度附錄A 定義安全度標(biāo)準(zhǔn)的使用和結(jié)實(shí)。附錄B 包含安全相關(guān)的系統(tǒng)、副系統(tǒng)及設(shè)備的技術(shù)細(xì)節(jié)要求附錄C 包含堅(jiān)定可修復(fù)硬件故障的步驟和信息的方法。附錄D 包含附加的技術(shù)信息。附錄E 包含用于安全度各個(gè)標(biāo)準(zhǔn)的技術(shù)、方法目錄。目錄 包含在執(zhí)行著套標(biāo)準(zhǔn)期間所需查詢文檔的說(shuō)明為保證安全所允許的條件安全情況預(yù)期目的可以被足夠安全的應(yīng)用。在該標(biāo)準(zhǔn)中有關(guān)的部分是以.下三個(gè)標(biāo)題為基礎(chǔ)的，分別稱為：-5.2質(zhì)量管理記錄-5.3安全管理記錄-5.4功能和技術(shù)安全記錄在與安全有關(guān)的系統(tǒng)可以足夠安全的被使用之前，所有這些條件都應(yīng)達(dá)到系統(tǒng)、副系統(tǒng)及設(shè)備要求的水平。已經(jīng)與這些條件相符合的文檔記錄應(yīng)當(dāng)被包含進(jìn)一個(gè)安全堅(jiān)定文檔，即安全庫(kù)。安全庫(kù)組成所有遵從相關(guān)安全權(quán)威的文檔記錄的一個(gè)部分，為了得到一個(gè)一般產(chǎn)品，一組應(yīng)用或一個(gè)特殊應(yīng)用的安全要求規(guī)范。對(duì)于安全規(guī)范過(guò)程的解釋，見(jiàn)該標(biāo)準(zhǔn)的5.5部分。安全庫(kù)包含系統(tǒng)、副系統(tǒng)及設(shè)備的安全文檔記錄，可以分為如下結(jié)構(gòu)：第一部分系統(tǒng)（或副系統(tǒng)及設(shè)備）定義的修改權(quán)限、設(shè)計(jì)和應(yīng)用性的文檔。5.2第三部分安全管理報(bào)告5.3第四部分技術(shù)安全報(bào)告該部分包括功能和技術(shù)安全的記錄，如該標(biāo)準(zhǔn)中5.4部分提到的第五部分相關(guān)安全庫(kù)該部分包括與安全庫(kù)所依靠的所有副系統(tǒng)及設(shè)備有關(guān)的安全庫(kù)同時(shí)應(yīng)該表明所有與安全有關(guān)的應(yīng)用條件都應(yīng)規(guī)定每一個(gè)相關(guān)的副系統(tǒng)及設(shè)備的安第六部分結(jié)論否足夠的安全，是否遵從專業(yè)的應(yīng)用條件。安全庫(kù)的結(jié)構(gòu)用圖表3說(shuō)明。徑。質(zhì)量管理記錄告中的表現(xiàn)，它形成了安全庫(kù)中的第二個(gè)部分。小系統(tǒng)、副系統(tǒng)及設(shè)備中系統(tǒng)故障的發(fā)生。EN50126一個(gè)系統(tǒng)生命周期的例子（EN50126標(biāo)準(zhǔn)下4描述EN50129：2003注釋：下面是一個(gè)有關(guān)質(zhì)量管理體系和質(zhì)量管理報(bào)告所包括的幾個(gè)方面的例子?！M織的結(jié)構(gòu)——質(zhì)量計(jì)劃和步驟——需求說(shuō)明書(shū)——控制設(shè)計(jì)——檢查和復(fù)查設(shè)計(jì)——工程應(yīng)用——采購(gòu)和制造——產(chǎn)品鑒定和跟蹤——管理和存儲(chǔ)——檢查——不一致性和正確的行動(dòng)——包裝和發(fā)送——安裝和授權(quán)——操作和維護(hù)——質(zhì)量管理和售后服務(wù)——文檔和記錄——配置的管理或更改控制——操縱指導(dǎo)——質(zhì)量審計(jì)和使用情況調(diào)查——運(yùn)行狀況14完全安全水平所必需的（A安全水平的解釋。然而，記錄的深度和輔助類(lèi)文檔的擴(kuò)展應(yīng)適應(yīng)系統(tǒng)、副系統(tǒng)及設(shè)備的完全安全水平(E.1E.8中對(duì)每個(gè)完全安全水平所需記錄的結(jié)實(shí))0水平（不安全）的要求不在該安全標(biāo)準(zhǔn)所探索的范圍。安全管理措施概述為了保證安全相關(guān)的鐵路信號(hào)電子系統(tǒng)/子系統(tǒng)/設(shè)備安全所必須滿足的條件之二EN501265.3.25.3.13就簡(jiǎn)要的介紹了安全管理過(guò)程因素。在安全管理報(bào)告中將提到有關(guān)安全管理過(guò)程中的各素都遵從生命周期概念的書(shū)只是一些簡(jiǎn)單的索引。14（的系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全完整性水準(zhǔn)來(lái)說(shuō)應(yīng)該是合適的。安全完整性水準(zhǔn)為的（認(rèn)為不安全）是不符合安全標(biāo)準(zhǔn)的。為了證實(shí)安全完整性所提到的標(biāo)準(zhǔn)對(duì)每一種特殊的情形都是適用的。那么在EN501260（況是不安全的，那么，這種安全標(biāo)準(zhǔn)就不再適用。安全的生命周期這種安全管理過(guò)程包括很多階段和行為，因此形成了安全生命周期。這應(yīng)該與EN501264所顯示標(biāo)準(zhǔn)的一種復(fù)制。系統(tǒng)生（V形）5所示。安全機(jī)構(gòu)6E.3所示。安全計(jì)劃查的要求。如果對(duì)原始系統(tǒng)/子系統(tǒng)/儀器設(shè)備進(jìn)行一系列的改動(dòng)或增加的話，我們就置對(duì)變動(dòng)所引起的包括硬件和軟件安全方面的影響就應(yīng)該被重新評(píng)估。參照表E.1對(duì)于每一個(gè)安全完整性水準(zhǔn)安全計(jì)劃所作的指導(dǎo)安全計(jì)劃應(yīng)該處理系統(tǒng)/子系統(tǒng)/儀器設(shè)備的各個(gè)方面，包括硬件和軟件。對(duì)于軟件的各個(gè)方面問(wèn)題在EN50128中已經(jīng)論述過(guò)。安全計(jì)劃應(yīng)該包括安全案例計(jì)劃，他將體現(xiàn)最終安全案例的預(yù)期結(jié)構(gòu)和重要內(nèi)容。危害日志EN50126所解釋如果對(duì)系統(tǒng)，子系統(tǒng)或儀器設(shè)備有任何修改和變動(dòng)，危害日志都應(yīng)該被升級(jí)。安全要求對(duì)每一種系統(tǒng)/子系統(tǒng)/儀器設(shè)備的特定的安全要求包括功能安全要求和安全完整EN50126提到的這幾個(gè)方面完成：危害標(biāo)識(shí)和分析風(fēng)險(xiǎn)評(píng)估和分類(lèi)安全完整性水準(zhǔn)的分配附錄A中包括了一些鐵路電子系統(tǒng)的安全完整水準(zhǔn)的信息。/子系統(tǒng)/E.2對(duì)與每一條安全完整性水準(zhǔn)在系統(tǒng)需求方面的指導(dǎo)。系統(tǒng)/子系統(tǒng)/儀器設(shè)備的設(shè)計(jì)生命周期的這一階段應(yīng)該做這樣一種設(shè)計(jì)，此設(shè)計(jì)將完成特定的操作和安全要求，我們將運(yùn)用頂部——底部的這樣的一套方法且有嚴(yán)格的控制和復(fù)查文檔。/嚴(yán)格的管理。標(biāo)準(zhǔn)EN50128中也有所提及。表E.7準(zhǔn)來(lái)說(shuō)系統(tǒng)/子系統(tǒng)/儀器設(shè)備在設(shè)計(jì)和進(jìn)展方面的指導(dǎo)。安全復(fù)查在生命周期的適當(dāng)階段應(yīng)該做一下安全復(fù)查，這些復(fù)查應(yīng)該在安全計(jì)劃中明確規(guī)定，在復(fù)查同時(shí)要記錄結(jié)果，如果對(duì)系統(tǒng)，子系統(tǒng)或器設(shè)備有任何改動(dòng)或擴(kuò)展，那么我們都應(yīng)該對(duì)其進(jìn)行復(fù)查。安全核對(duì)和證實(shí)/子系統(tǒng)/儀器設(shè)備是與原始的安全性的具體要求相對(duì)應(yīng)的。析，在接下來(lái)的而已系列的對(duì)系統(tǒng)/子系統(tǒng)/以上操作。對(duì)核對(duì)人和確認(rèn)人來(lái)說(shuō)，獨(dú)立的必要性的度應(yīng)該與仔細(xì)檢查下的系統(tǒng)/子系統(tǒng)/儀69的核對(duì)和證實(shí)的技術(shù)/方法的指導(dǎo)。況下，評(píng)估員應(yīng)該是經(jīng)安全局授權(quán)的從項(xiàng)目團(tuán)隊(duì)中完全獨(dú)立出來(lái)的與安全局完全溝通的安全判斷使得系統(tǒng)/子系統(tǒng)/儀器設(shè)備滿足安全接受所規(guī)定的條件的措施應(yīng)該以一安全案例的形式出現(xiàn)在結(jié)構(gòu)完整的安全判斷文擋中，參照5.1中所解釋的。系統(tǒng)/子系統(tǒng)儀器設(shè)備的移交在將系統(tǒng)/子系統(tǒng)/儀器設(shè)備移交給鐵路當(dāng)局之前，應(yīng)該滿足5.5中規(guī)定的安全接受和安全論證條件，并且同時(shí)遞交安全案例和安全評(píng)估報(bào)告。運(yùn)行和維護(hù)（安全案例的一部分全水準(zhǔn)。參照表E.10對(duì)每一種安全完整性水準(zhǔn)在應(yīng)用，運(yùn)行和維護(hù)方面的指導(dǎo)。停用設(shè)備并加以處理（安全案例的一部分相一致。功能和技術(shù)措施5.25.3/子系統(tǒng)//子系統(tǒng)/14（參照安全完整性子系統(tǒng)/0求是不在安全標(biāo)準(zhǔn)范圍之內(nèi)的。技術(shù)安全報(bào)告應(yīng)該對(duì)技術(shù)原則做出解釋，這些技術(shù)原則確保了技術(shù)的安全性，包括所有支持的措施（如設(shè)計(jì)原理和計(jì)算，具體測(cè)試和結(jié)果及安全分析）我們對(duì)技術(shù)安全報(bào)告做了如下標(biāo)題第一部分 概述這部分將概述此設(shè)計(jì)，包括對(duì)安全所依賴的技術(shù)安全原理的概要，以及根據(jù)標(biāo)準(zhǔn)使系統(tǒng)/子系統(tǒng)/儀器設(shè)備安全內(nèi)容得到擴(kuò)展。這部分也將提到作為設(shè)計(jì)的技術(shù)安全基礎(chǔ)的標(biāo)準(zhǔn)（及他們的頒布）如果對(duì)已經(jīng)投入運(yùn)行的或標(biāo)準(zhǔn)生產(chǎn)的或在發(fā)展的完成階段時(shí)的儀器設(shè)備進(jìn)行變動(dòng)或增加。作為一個(gè)例外，被用作原始設(shè)計(jì)標(biāo)準(zhǔn)的頒布可以作為一個(gè)基礎(chǔ)，這些已經(jīng)在原始設(shè)備的論證中被接受了，這些在以下情況下可能會(huì)得到應(yīng)用。即當(dāng)考慮到新標(biāo)準(zhǔn)的頒布實(shí)施可能要求對(duì)已經(jīng)存在設(shè)備的進(jìn)一步改動(dòng)或者可能招致變化所帶來(lái)的不合理的高費(fèi)用時(shí)。以下將給出對(duì)于以上陳述的理由。第二部分 確保正確的功能操作根據(jù)特殊規(guī)定的操作和安全的要求，這一部分將演示在無(wú)故障的正常情況下（即不存在故障）對(duì)系統(tǒng)/子系統(tǒng)/儀器設(shè)備進(jìn)行正確操作的必要措施。包括以下方面，在B.2中有更詳細(xì)的說(shuō)明系統(tǒng)結(jié)構(gòu)的描述(B.2.1E.4)相互交叉操作的定義(B.2.2)系統(tǒng)需求的實(shí)施(B.2.3)安全需求的實(shí)施(B.2.4)確保正確的硬件功能(B.2.5)確保正確的軟件功能(B.2.6)第三部分 故障的影響這部分將描述系統(tǒng)/子系統(tǒng)/儀器設(shè)備繼續(xù)滿足特定的安全需求。包括在隨機(jī)硬件故障下數(shù)量上能達(dá)到一定的安全目標(biāo)。5.25.3部分將描述采取一些技術(shù)措施使將來(lái)風(fēng)險(xiǎn)降低到一個(gè)可接受的水準(zhǔn)。這部分也將說(shuō)明在安全完整性水準(zhǔn)低于整個(gè)系統(tǒng)的也包括水準(zhǔn)為0系統(tǒng)/子系統(tǒng)/儀器設(shè)備產(chǎn)生的故障，將不會(huì)降低整個(gè)系統(tǒng)的安全性。E.5E.6中也有所提及。單一故障的影響(B.3.1)項(xiàng)目獨(dú)立性(B.3.2)單一故障檢測(cè)(B.3.3)檢測(cè)后應(yīng)采取的措施(B.3.4)多個(gè)故障的影響(B.3.5)防御系統(tǒng)故障(參照第四部分 額外影響的操作這部分將描述遇到在系統(tǒng)需求中所提到的額外影響時(shí)系統(tǒng)/子系統(tǒng)/儀器設(shè)備繼續(xù)履行它的具體操作需求繼續(xù)履行它的具體安全需求（包括存在故障情況下）在這些限定之外不能確保安全，除非實(shí)施額外的特殊措施用來(lái)支持特定的額外操作的方法將得到解釋和判定。更詳細(xì)的信息可參照B.4第五部分 有關(guān)安全的應(yīng)用條件這部分將強(qiáng)調(diào)在系統(tǒng)/子系統(tǒng)/也包括一些相關(guān)的子系統(tǒng)和儀器設(shè)備的安全案例中所包含的應(yīng)用條件更詳細(xì)的信息可參照B.5，同時(shí)在表E.10中也有所指第六部分 安全資格審查這部分將演示在安全資格審查的操作條件下的一些成功的例子。可參照B.6技術(shù)安全結(jié)構(gòu)可參照?qǐng)D7安全接受和論證這部分定義了與安全相關(guān)的電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備的安全接受和論證部分。除了認(rèn)為是合適的地方，其他地方并沒(méi)有特殊強(qiáng)調(diào)應(yīng)該由誰(shuí)在每個(gè)階段來(lái)做這項(xiàng)工作，因?yàn)樗请S著環(huán)境的變化而變化的。概述正如5.1所提到的。為了保證與安全相關(guān)的鐵路信號(hào)電子系統(tǒng)/子系統(tǒng)/儀器設(shè)備安全所必須滿足的三個(gè)條件如下：質(zhì)量管理措施安全管理措施功能和技術(shù)安全措施這三個(gè)條件已經(jīng)在5.2和5.3和5.4中提到正如5.1和圖3所顯示的，安全案例中應(yīng)包括質(zhì)量管理措施，安全管理措施和功能技術(shù)安全措施可以考慮安全案例的如下三種不同的分類(lèi)：一般的產(chǎn)品安全案例（獨(dú)立應(yīng)用）一般的應(yīng)用安全案例（應(yīng)用分類(lèi)）有相同功能的一般的應(yīng)用可以劃分為一類(lèi)特殊的應(yīng)用安全案例（特殊應(yīng)用）有必要告訴大家的就是對(duì)于每一種特定的應(yīng)用，無(wú)論是環(huán)境的條件還是應(yīng)用的內(nèi)容與一般的應(yīng)用條件相兼容這一點(diǎn)是必要的（參照5.5.4）在以上三種分類(lèi)中，安全案例和獲得安全論證程序的結(jié)構(gòu)基本上是相同的。然而，對(duì)于特定的應(yīng)用也有附加因素：在這種分類(lèi)中，對(duì)于系統(tǒng)的應(yīng)用設(shè)計(jì)和它的實(shí)際操作需要獨(dú)立的安全論證(例如：生產(chǎn)，安裝，測(cè)試和用于操作和維護(hù)的設(shè)施)，基于此，對(duì)于特定應(yīng)用的安全案例應(yīng)該分成以下兩部分：應(yīng)用設(shè)計(jì)安全案例：這包括特定應(yīng)用的理論設(shè)計(jì)的安全措施5.13安全論證過(guò)程在考慮安全論證的操作之前，應(yīng)該做出一份系統(tǒng)/子系統(tǒng)/儀器設(shè)備的獨(dú)立的安子系統(tǒng)/儀器設(shè)備（硬件和軟件）滿足特定要求的做法進(jìn)行解釋，同時(shí)強(qiáng)調(diào)對(duì)系統(tǒng)子系統(tǒng)/儀器設(shè)備的操作而言的一些附加條件。像EN50126中所提到的安全評(píng)估的深度和對(duì)其操作的獨(dú)立性的限度都是基于風(fēng)險(xiǎn)分類(lèi)的結(jié)果之上的。為了增加可信度，安全評(píng)估員可能要求進(jìn)行特定的測(cè)試。整個(gè)文檔的措施應(yīng)該包括：系統(tǒng)（子系統(tǒng)/儀器設(shè)備）需求；安全要求；安全案例 包括：第一部分：系統(tǒng)/子系統(tǒng)/儀器設(shè)備的規(guī)定第二部分：質(zhì)量管理報(bào)告（質(zhì)量管理措施第三部分：安全管理報(bào)告（安全管理措施第四部分：技術(shù)安全報(bào)告（功能/技術(shù)安全措施第五部分：相關(guān)的安全案例（如果可能的話）第六部分：結(jié)論安全評(píng)估報(bào)告；/子系統(tǒng)/能會(huì)強(qiáng)制執(zhí)行一些額外條件（暫時(shí)的或永久的）對(duì)于一般性產(chǎn)品（即應(yīng)用的獨(dú)立性）和一般性應(yīng)用（即應(yīng)用的等級(jí)分類(lèi)）被（即相互接受于特定的應(yīng)用而言是不可能的。圖8顯示了針對(duì)三種不同的安全案例的安全論證過(guò)程安全論證完成之后當(dāng)系統(tǒng)/子系統(tǒng)/新或由額外文檔來(lái)加以補(bǔ)充，并且提交這種改動(dòng)的設(shè)計(jì)去論證。一旦將完成的系統(tǒng)/子系統(tǒng)/（案例的一部分）的第五部分和安全計(jì)劃中規(guī)定的正確的手續(xù)，支持系統(tǒng)和安全監(jiān)管就應(yīng)該使用，以確保在它的整個(gè)工作生命中的安全操作，這些操作包括運(yùn)行，維護(hù)，變動(dòng)，擴(kuò)展和最終的停止使用，這些行為由原始設(shè)計(jì)所運(yùn)用的同樣的質(zhì)量管理，安全管理和技術(shù)安全標(biāo)準(zhǔn)來(lái)控制。包括安全案例在內(nèi)的所有相關(guān)文檔都應(yīng)該及時(shí)更新，并且把有變動(dòng)或擴(kuò)展的設(shè)計(jì)遞交上去加以論證。安全論證之間的附屬地5.1/儀器設(shè)備的安全論證，就不會(huì)有主干系統(tǒng)的安全論證。如果已經(jīng)完成對(duì)一般產(chǎn)品或一般應(yīng)用的安全論證，那么這將可能指導(dǎo)一種特定應(yīng)用的安全論證，沒(méi)有必要對(duì)每一種應(yīng)用都重復(fù)這種一般性的論證過(guò)程。圖9就顯示了這種安全論證之間的附屬地。一種基于說(shuō)明有目的的特定的應(yīng)用的安全案例是與那些特定安全論證的實(shí)施在技術(shù)上是等價(jià)的。對(duì)這種特定應(yīng)用有必要采取新的安全論證。確保在附屬地的如下做法是必要的。即每一個(gè)安全案例的技術(shù)報(bào)告中提到的與安全相關(guān)的實(shí)施條件都要以高水準(zhǔn)的安全案例來(lái)完成，否則提前進(jìn)入以高水準(zhǔn)的有安全應(yīng)用條件進(jìn)行執(zhí)行。附錄A安全完整性水準(zhǔn)概述起源，分配和執(zhí)行都作了詳細(xì)的描述。當(dāng)局的責(zé)任。該標(biāo)準(zhǔn)未對(duì)其進(jìn)行定義。EN50126中規(guī)定了安全管理過(guò)程安全要求以下兩部分提到了系統(tǒng)要求（或正確的子系統(tǒng)/儀器設(shè)備）(參照?qǐng)DA.1):不涉及安全的要求（包括實(shí)際的功能要求；涉及到安全的要求；要求中。我們把安全要求氛圍如下兩部分：安全功能要求；安全完整性要求；安全功能要求實(shí)際上是系統(tǒng)/子系統(tǒng)/儀器設(shè)備的與安全相關(guān)的功能所要執(zhí)行的要求。安全完整性要求定義了對(duì)每一種與安全相關(guān)的功能的安全完整性水準(zhǔn)。安全完整性水準(zhǔn)(SIL)高，他行使規(guī)定的安全功能的不成功率就越低。安全完整性有兩部分構(gòu)成（參照?qǐng)DA.：——系統(tǒng)故障完整性——隨機(jī)故障完整性要充分實(shí)現(xiàn)安全完整性，就必須滿足上述兩條件。注：由環(huán)境條件（如：電磁兼容性溫度 振動(dòng)等）引起的故障包括系統(tǒng)故障完整和隨機(jī)故障完整性。（硬件或軟件子系統(tǒng)\錯(cuò)誤引起的。例如:—規(guī)格說(shuō)明錯(cuò)誤—設(shè)計(jì)錯(cuò)誤—制造錯(cuò)誤—安裝錯(cuò)誤—造作錯(cuò)誤—維修錯(cuò)誤—校正錯(cuò)誤5.25.3詳細(xì)說(shuō)明。防御系統(tǒng)錯(cuò)誤技術(shù)包含在技術(shù)安全條件中，這些條件在5.4的標(biāo)準(zhǔn)中有詳細(xì)說(shuō)明。。錯(cuò)誤，這種錯(cuò)誤是由硬件組成部分的有限可靠性引起的。技術(shù)安全條件中隨機(jī)故障完整性的解決方案的標(biāo)準(zhǔn)具體在5.4中有說(shuō)明。5.4B.3.6（C）的組件的危險(xiǎn)故障概率為零。安全完整性條件和安全標(biāo)準(zhǔn)的分配在A.4和A.5種分別敘述。安全完整性要求的分配一套方法即將系統(tǒng)化應(yīng)用。這種方法的意圖不是限制了供應(yīng)方和鐵路局雙方的合作，而是劃清了責(zé)任和界面。從這個(gè)界面出發(fā)分析步驟如下：至上而下的分析明確了危險(xiǎn)和相關(guān)風(fēng)險(xiǎn)可能產(chǎn)生的結(jié)果。至下而上的分析明確了產(chǎn)生危險(xiǎn)的原因。全部過(guò)程包括風(fēng)險(xiǎn)分析和危險(xiǎn)控制，參考圖A.2。風(fēng)險(xiǎn)分析產(chǎn)生了危險(xiǎn)控制過(guò)程中的THR。圖A.2略THRSIL給出（并且這個(gè)方法來(lái)源于安全完整性。安全局要贊同風(fēng)險(xiǎn)分析和危險(xiǎn)控制。A.2相關(guān)的。風(fēng)險(xiǎn)分析圖A.3給出了一個(gè)風(fēng)險(xiǎn)分析過(guò)程的例子。下面的分析更詳細(xì)地解釋了這個(gè)概念。圖A.3略以下是鐵路局的責(zé)任：定義系統(tǒng)（技術(shù)實(shí)現(xiàn)的獨(dú)立性）鑒定與系統(tǒng)有關(guān)的危險(xiǎn)危險(xiǎn)鑒定涉及系統(tǒng)分析，主要有產(chǎn)品，加工過(guò)程，或確定那些可能出現(xiàn)在整個(gè)生命周期中的不利條件等。這些不利條件可能存在對(duì)人體有傷害的隱患或?qū)Νh(huán)境的破壞。鑒定系統(tǒng)危險(xiǎn)一般包括兩個(gè)階段：一個(gè)經(jīng)驗(yàn)階段（挖掘過(guò)去的經(jīng)歷，如清單）—個(gè)創(chuàng)新階段（前瞻性預(yù)測(cè)，如集思廣益，建構(gòu)假設(shè)分析研究）發(fā)現(xiàn)，并且所有的危險(xiǎn)信號(hào)被確認(rèn)。備，多達(dá)幾百個(gè)錯(cuò)誤是不合理的，也表明了設(shè)計(jì)和研究行為的不足之處。A.4表明，系統(tǒng)層的危險(xiǎn)是由子系統(tǒng)層引起的（關(guān)于子系統(tǒng)界限。因此這個(gè)定義能使一個(gè)分級(jí)結(jié)構(gòu)接近危險(xiǎn)分析和危險(xiǎn)線。圖A.4略認(rèn)識(shí)到的風(fēng)險(xiǎn)標(biāo)準(zhǔn)來(lái)排序。THR以下是鐵路局的責(zé)任:分析后果及損失定義風(fēng)險(xiǎn)容許標(biāo)準(zhǔn)得出容許風(fēng)險(xiǎn)度確保風(fēng)險(xiǎn)結(jié)果是可以接受的（關(guān)于合理的風(fēng)險(xiǎn)容許標(biāo)準(zhǔn)）考慮到風(fēng)險(xiǎn)容許標(biāo)準(zhǔn)，唯一的要求是得出THR結(jié)論。盡管風(fēng)險(xiǎn)容許標(biāo)準(zhǔn)不是由這個(gè)標(biāo)準(zhǔn)制定的，但取決于國(guó)內(nèi)和歐洲立法要求。分析方法是：明確的評(píng)估風(fēng)險(xiǎn)結(jié)果（個(gè)體）和目前系統(tǒng)的性能或已認(rèn)可的技術(shù)條例或通過(guò)統(tǒng)計(jì)和分析的方法相比較得出THR。THRTHR。險(xiǎn)和相應(yīng)的THR，然而鐵路局可以確定非常普遍的高水平目標(biāo)，以及在安全方面非常具體的目標(biāo)。危險(xiǎn)控制危險(xiǎn)控制涉及實(shí)施規(guī)定的THR和安全相關(guān)功能的管理。如果沒(méi)有THR的出現(xiàn)，那么要么由供應(yīng)方提供符合鐵路局意愿的系統(tǒng)，要么由鐵路局和供應(yīng)方一起合作確定要求。危險(xiǎn)控制是由在大量實(shí)踐活動(dòng)中偶然性分析構(gòu)成的，總結(jié)如下：在沒(méi)有定義THR能；THR（技術(shù)方法統(tǒng)結(jié)構(gòu)和分配系統(tǒng)功能；確定子系統(tǒng)的安全完整性要求；完成安全要求細(xì)則；分析系統(tǒng)/子系統(tǒng)要滿足的條件；通過(guò)設(shè)計(jì)和核實(shí)過(guò)程確定由潛在的新危險(xiǎn)引起的系統(tǒng)//以外的緩解部分，就要把潛在危險(xiǎn)轉(zhuǎn)換到風(fēng)險(xiǎn)分析中進(jìn)一步研究解決。A.5。注：一個(gè)結(jié)構(gòu)良好的危險(xiǎn)控制包括一個(gè)毫無(wú)疑問(wèn)的技術(shù)安全報(bào)告的各各相關(guān)部分，在這種情況下，參考技術(shù)安全報(bào)告中的危險(xiǎn)控制就足夠了。偶然性分析偶然性分析有兩個(gè)典型狀態(tài)：在偶然性分析的第一個(gè)階段，每種功能都有一個(gè)TH（系統(tǒng)功能THRSIL如果鐵路局已定義了有關(guān)安全功能的危險(xiǎn)和THR，那么偶然性分析的第一個(gè)階段無(wú)效，并且安全完整性在THR基礎(chǔ)上立即被分配。一個(gè)子系統(tǒng)及組合裝置要能完成很多安全功能，每種功能需要不同的安全標(biāo)準(zhǔn)，在這種情況下，子系統(tǒng)將能滿足所有規(guī)定的SIL。如果每種功能都能滿足最高標(biāo)準(zhǔn)的SIL，或者如果能獨(dú)立運(yùn)行，那么得到滿足規(guī)定的SIL的子系統(tǒng)。在這種情況下，一個(gè)普遍的故障原因分析將出臺(tái)。EN50128EN50128SILSIL是一樣的。（即功能故障獨(dú)立于系統(tǒng)和隨機(jī)錯(cuò)誤，在第二階段，物理獨(dú)立性是充分的（即自系統(tǒng)的故障獨(dú)立于隨即錯(cuò)誤圖A.5常見(jiàn)故障成因分析（CCF）當(dāng)應(yīng)用獨(dú)立主張（邏輯AND組合）時(shí)，得特別的慎重思考，應(yīng)有充分的保證物理，功能，加工過(guò)程，關(guān)于子系統(tǒng)和系統(tǒng)間的獨(dú)立性（B.3.2B.3.。如果不能完整的完成獨(dú)立AND組合可以立即完成和檢測(cè)安全相關(guān)應(yīng)用條例。A.4.2.2.1物理獨(dú)立性為了使具有隨機(jī)性影響的AND因此，在任意情況下，一個(gè)常見(jiàn)故障成因分析將必須假設(shè)獨(dú)立性。D.2D.3.A（告知性的D.2D.3.A子章節(jié)的安全情形也明確地解決了獨(dú)立性條例。AND組合對(duì)檢修率（或等效檢修次數(shù)）目出錯(cuò)后，為了使這個(gè)項(xiàng)目恢復(fù)，至少同時(shí)要出現(xiàn)以下兩過(guò)程；一定要查出和否定錯(cuò)誤（這意味著一定要進(jìn)入一種安全狀態(tài)；一定要檢修和恢復(fù)項(xiàng)目。（錯(cuò)誤發(fā)現(xiàn)、檢修、交換、檢查）圖A.6略ANDTHRTHR和查處率的基本公式：THRS=FRA/SDRA×FRB/SDRB×(SDRA+SDRB)SDRS=SDRA+SDRBFS代表潛在危險(xiǎn)故障率。如果把周期性檢測(cè)次數(shù)作為查出次數(shù)，那么（A.1）為平均測(cè)試數(shù)T/2+negationtime=SDT=1/SDRANDB3.3的標(biāo)準(zhǔn)，一定要考慮安裝壽命。10000MTBF和每小時(shí)（時(shí)間）平均一次檢查時(shí)間的項(xiàng)目來(lái)看，那么平行系統(tǒng)（AND組合）2×10－8，1000小時(shí)平均檢測(cè)一次（如維修檢測(cè)MTBF10個(gè)要素之一，如果把一個(gè)項(xiàng)目中的平均檢測(cè)時(shí)間看成是他的壽命，那么結(jié)論將變得更加不重要。物理獨(dú)立性是最低的獨(dú)立標(biāo)準(zhǔn)，典型體現(xiàn)在組件標(biāo)準(zhǔn)上。如果確定物理獨(dú)立性，那么隨機(jī)完整性要求可以分到下一個(gè)較低標(biāo)準(zhǔn)中。A.4.2.2..2功能獨(dú)立性獨(dú)立性的情況下，隨機(jī)完整性和系統(tǒng)完整性要求將分到下一個(gè)低標(biāo)準(zhǔn)中。ABAND門(mén)很快提出了下面的安全相關(guān)應(yīng)用條例：AB的實(shí)施將產(chǎn)生物理上的獨(dú)立利用檢測(cè)和否定時(shí)間為每一項(xiàng)估算和完成安全停止時(shí)間CCFA.7FACCF的一般方法。A.7略A.4.2.2.3過(guò)程獨(dú)立性身會(huì)出現(xiàn)錯(cuò)誤，所以獨(dú)立性是常常想望的。SIL高的工藝精度和人力資源的獨(dú)立性來(lái)確保系統(tǒng)錯(cuò)誤可接受或最小化。SILEN50128檢定和處理出現(xiàn)在設(shè)計(jì)中的新危險(xiǎn)果系統(tǒng)和技術(shù)都是新的。新危害的出現(xiàn)有以下幾個(gè)方面：－新技術(shù)對(duì)新危害有很大的隱蔽性（缺乏經(jīng)驗(yàn)；－新技術(shù)（如類(lèi)似的數(shù)字技術(shù)）的引進(jìn)引出了目前鐵路系統(tǒng)中的隱患；－新的設(shè)計(jì)危害歸咎于缺乏充足的/恰當(dāng)?shù)募?xì)則說(shuō)明；人員（工眾）產(chǎn)生新的危害；－設(shè)計(jì)錯(cuò)誤可能產(chǎn)生新的危害，但這些錯(cuò)誤與原有的已鑒定的錯(cuò)誤相關(guān)。這些方面可能引起對(duì)環(huán)境和國(guó)家的危害，這些危害和已鑒定的危害一樣需要系統(tǒng)處理。恰當(dāng)?shù)目山邮苈蕦?duì)每一方面進(jìn)行定性或定量的評(píng)估。注：可能至少用兩種不同的方法：THR安全情況應(yīng)歸于這種危害；·如果不能接受，如果可能，供應(yīng)方應(yīng)重新設(shè)計(jì)他的產(chǎn)品/系統(tǒng)，如果不可能，為了使危險(xiǎn)和相關(guān)的風(fēng)險(xiǎn)保持在一定的范圍內(nèi)，應(yīng)實(shí)施另外的保護(hù)措施；·如果能接受，那么鐵路局應(yīng)負(fù)責(zé)定義新危害的THR，而供應(yīng)方應(yīng)提供和這個(gè)要求相符合的設(shè)計(jì)；例中。從每一個(gè)新危害中得到THR，并且這些THRS將產(chǎn)生新的要求。SIL普遍方面410SIL安全管理和技術(shù)安全條件的定性評(píng)估要求。的潛在后果，如圖A.4.1（至上而下）了每一種危害的THR，情形（沒(méi)有一種可用的風(fēng)險(xiǎn)分析結(jié)果，但是最后他將滿足規(guī)定的容許危險(xiǎn)水準(zhǔn)（應(yīng)用安全條例，鐵路局/安全局對(duì)這個(gè)過(guò)程定論。THR統(tǒng)中。這些功能中的每一種有一個(gè)定性的安全目標(biāo)和定量的安全目標(biāo)，定性目標(biāo)以SIL為形式，并且涉及到隨機(jī)故障完整性。SIL是一樣的，除非能證明子系統(tǒng)設(shè)備間的功能獨(dú)立性。SILA.8質(zhì)量管理?xiàng)l件，安全管理?xiàng)l件，技術(shù)安全條件，量化安全目標(biāo)。一個(gè)特殊量化目標(biāo)的完成并不意味著對(duì)應(yīng)的SIL的出臺(tái)。同樣，同樣與特殊的SILA.8成。理解這一點(diǎn)也是很重要的，然而為了完成如下章節(jié)中描述的鐵路安全性能，圖A.8說(shuō)明。圖A.8略SIL（防御系統(tǒng)故障SILSIL（為避免系統(tǒng)故障）和定量法（隨機(jī)故障）匹配，因?yàn)橛肧IL量化系統(tǒng)故障是行不通的。像多其他故障一樣，這種權(quán)衡法用表格表示，由0,1,2,3,4五條SIL和相應(yīng)的THRI-I0 4SIL表對(duì)于安全相關(guān)功能或子系統(tǒng)執(zhí)行一個(gè)或多個(gè)功能都是適用的。只要按照SIL所規(guī)定的方法和措施，當(dāng)完成THR示范時(shí)，就沒(méi)有必要考慮系統(tǒng)故障。SILTHRSILFTHR，SIL量化要求超過(guò)10－9h－1程度的功能，可用以下方法處理：SILTHR；SIL4THR，要結(jié)合其它的技術(shù)或操作方法。注：與其他標(biāo)準(zhǔn)相比，這個(gè)標(biāo)準(zhǔn)中的SIL表只有一列頻率列表（原稱高需求或連續(xù)模式（原稱需求模式SIL所有需求的模式系統(tǒng)被建構(gòu)為連續(xù)模式系統(tǒng)，EN61508-1SIL表已建好。附錄B（標(biāo)準(zhǔn)化）詳細(xì)的技術(shù)要求緒論5.4中已經(jīng)被說(shuō)明。對(duì)系統(tǒng)/子系統(tǒng)/安全報(bào)告中提出（技術(shù)安全報(bào)告形成安全事件的第四部分。報(bào)告將緊隨在下列的標(biāo)題后：第1部分緒論第2部分正確功能運(yùn)轉(zhuǎn)保證第3部分故障影響第4部分有外部影響的運(yùn)轉(zhuǎn)第5部分與安全有關(guān)系的應(yīng)用條件第6部分安全條件測(cè)試這些中的每一部分已經(jīng)在標(biāo)準(zhǔn)的5.4中簡(jiǎn)要地介紹了。對(duì)技術(shù)安全報(bào)告的第2-6節(jié)的更詳細(xì)的要求包含在B2-B6中。（參見(jiàn)附錄Ａ中對(duì)整體安全水平的解釋。然而，信息的深度和支持文檔的擴(kuò)充應(yīng)適于系統(tǒng)／子系統(tǒng)／設(shè)備的整體安全水平的詳細(xì)檢查之下。整體安全水平０的要求（沒(méi)有與安全有關(guān)的是在這個(gè)安全標(biāo)準(zhǔn)之外的。技術(shù)報(bào)告的結(jié)構(gòu)標(biāo)準(zhǔn)的插圖７中。正確功能運(yùn)轉(zhuǎn)保證（技術(shù)報(bào)告的第2部分）這部分關(guān)于系統(tǒng)／子系統(tǒng)／設(shè)備在無(wú)故障條件下的正確運(yùn)行（障，與特殊的操作和安全要求一致。有些特殊的方面在下面，使用5.4的標(biāo)題。系統(tǒng)建構(gòu)的描述這包含系統(tǒng)/子系統(tǒng)/設(shè)備設(shè)計(jì)的普通描述，在足夠的深度來(lái)傳達(dá)對(duì)所使用的原理和技術(shù)的明確地理解。接口定義ａ)操作者這里將描述機(jī)械裝置是系統(tǒng)／子系統(tǒng)／設(shè)備通過(guò)工程操作人員操作的。例如:正常的條件下；報(bào)警響應(yīng)；ｂ)配置這里將描述過(guò)程是通過(guò)工程人員實(shí)現(xiàn)的工程人員對(duì)特殊的鐵路或應(yīng)用系統(tǒng)／系統(tǒng)／設(shè)備進(jìn)行配置。 例如:軟件參數(shù)；硬件；安裝技巧程序ｃ) 維護(hù)各種水平的維護(hù)期間所使用的。更詳細(xì)的信息包含的B5.2中。ａ)內(nèi)部接口這里定義內(nèi)部條款到系統(tǒng)／子系統(tǒng)／設(shè)備之間的功能和物理接口。例如:電力的清潔和污染的區(qū)域；內(nèi)部的總線結(jié)構(gòu)；通信鏈接；監(jiān)控和改正的功能；ｂ)外部接口這里定義外部條款到系統(tǒng)／子系統(tǒng)／設(shè)備之間的功能和物理接口。例如:傳感器；執(zhí)行器；通信鏈接；檢測(cè)和監(jiān)測(cè)的規(guī)定；易擴(kuò)展性；系統(tǒng)要求規(guī)范的實(shí)行這部分論證在系統(tǒng)/子系統(tǒng)/現(xiàn)的。包括所有相關(guān)的論據(jù)（或涉及到的論據(jù)。例如:設(shè)計(jì)原理和計(jì)算；測(cè)試說(shuō)明和結(jié)果；確認(rèn)；安全要求規(guī)范的實(shí)行這部分論證特殊的安全功能的要求是如何通過(guò)設(shè)計(jì)實(shí)現(xiàn)的。包括所有相關(guān)的論據(jù)（或涉及到的論據(jù)。 例如設(shè)計(jì)原理和計(jì)算；測(cè)試說(shuō)明和結(jié)果；安全分析和結(jié)果；正確硬件功能的確信這部分描述系統(tǒng)/子系統(tǒng)/設(shè)備硬件搭建和解釋如何完成整體的設(shè)計(jì)要求，當(dāng)要求的規(guī)范和任何相關(guān)的標(biāo)準(zhǔn)被放棄時(shí)，限制可行性；易行性；可維護(hù)性；安全性；安全考慮對(duì)理想條件是有限的，因?yàn)楣收系挠绊懥碜魈幚?參見(jiàn)B.3)。正確軟件功能的確信EN50128這部分包括EN50128包括的所有文檔，特別是軟件的確認(rèn)報(bào)告和軟件的評(píng)估報(bào)告。另外，應(yīng)說(shuō)明軟件和硬件的相互作用注: 包括應(yīng)該引起注意的些特殊的主題軟件和硬件間的依賴關(guān)系；相互作用的秩序；自測(cè)程序；健康監(jiān)測(cè)；數(shù)據(jù)獲取技術(shù)；功能衰減；否定方法；故障的影響(也可參見(jiàn)表E.4的指導(dǎo))這部分涉及在隨機(jī)的硬件故障和合理的實(shí)際系統(tǒng)故障中系統(tǒng)/子系統(tǒng)/設(shè)備連續(xù)遇到特殊的安全要求時(shí)的應(yīng)對(duì)能力。被認(rèn)為特殊的要求將在B3.1到B3.6中描述，標(biāo)題的使用來(lái)自5.4。單個(gè)故障的影響(也可參見(jiàn)表E.4的指導(dǎo))確信系統(tǒng)/子系統(tǒng)/THRSIL3SIL4故障－安全的復(fù)合事件。故障－安全的再作用這種技術(shù)允許通過(guò)單一條款來(lái)執(zhí)行與安全有關(guān)的功能，通過(guò)迅速的發(fā)現(xiàn)和否定任何有危害的故障，提供它承擔(dān)的安全操作（較或者通過(guò)連續(xù)的測(cè)試/測(cè)試/發(fā)現(xiàn)的功能應(yīng)看作第二款，這一款將為了避免通常原因而被獨(dú)立。固有的故障－安全是沒(méi)有危害的。被聲明可信的任何故障模式（例如由于內(nèi)在的物理特性害的強(qiáng)行關(guān)閉。無(wú)論使用任何技術(shù)或復(fù)合的技術(shù)，沒(méi)有單個(gè)隨機(jī)硬件組成故障的保障是有危險(xiǎn)C中定義過(guò)的使用程序來(lái)證明。注: 將使用有由上而下的故障分析方法，如故障樹(shù)分析，這種方法被支持，果需要通過(guò)有由下而上的方法。如：故障模式和影響分析（參見(jiàn)表E。明。項(xiàng)目的獨(dú)立系統(tǒng)的整個(gè)生命周期將采取有效的措施。另外，系統(tǒng)/子系統(tǒng)/缺乏獨(dú)立性引起的潛在危險(xiǎn)結(jié)果。例如可能存在的系統(tǒng)設(shè)計(jì)錯(cuò)誤。在一個(gè)系統(tǒng)中各種影響的組合，例如，在圖B.1中兩執(zhí)行項(xiàng)目是象征行的，這個(gè)圖可以擴(kuò)展到由不只兩個(gè)項(xiàng)目組成的系統(tǒng)。（技術(shù)設(shè)備，運(yùn)行環(huán)境，故障和過(guò)壓）定義。在多種類(lèi)型的影響下獨(dú)立性將丟失，在下面的題目中解釋。類(lèi)型A內(nèi)部物理影響此，內(nèi)在的獨(dú)立性可以實(shí)現(xiàn)。注1 物理連接是項(xiàng)目間的任何媒介，例如:電連接電氣連接應(yīng)采取措施避免無(wú)意的內(nèi)在物理影響。注2 D.2包含一系列成功的內(nèi)在物理獨(dú)立的措施（保護(hù)類(lèi)型A的負(fù)面影響類(lèi)型B 內(nèi)部功能影響部功能獨(dú)立的手段來(lái)取得（B的負(fù)面影響）注3 內(nèi)部功能影響將允許在一個(gè)部件中的錯(cuò)誤信息對(duì)其他項(xiàng)目的影響類(lèi)型C外部物理影響外部物理影響可能引起系統(tǒng)間物理獨(dú)立性的丟失注4 這些原因可能導(dǎo)致，例如:－EMI,ESD的環(huán)境壓力，氣候，機(jī)械的化學(xué)的－電力供應(yīng)和－外部的輸入和輸出應(yīng)采取措施避免無(wú)意的外部物理影響，B.4包含對(duì)于被認(rèn)為是外部影響的要求注5 D.3包含一系列對(duì)于獲得外部物理影響的措施（保護(hù)類(lèi)型C負(fù)面影響。D外部功能影響響，這將通過(guò)外部功能獨(dú)立的手段獲得（D負(fù)面影響。注6 外部功能影響允許來(lái)自外部源的錯(cuò)誤信息對(duì)系統(tǒng)的影響？？？？？單故障的檢測(cè)（單故障（A.3）能性目標(biāo)小的多。對(duì)于瞬時(shí)的潛在危險(xiǎn)的條件下持續(xù)時(shí)間將不存在特殊的限制。這些故障－安全復(fù)合的反饋?zhàn)饔玫囊笤趫D.2中已指出。算中已被使用的信號(hào)源的基本失效率將會(huì)被識(shí)別。清楚的解釋性質(zhì)分析的方法。1通過(guò)設(shè)備自檢的情況，檢測(cè)故障的時(shí)間是內(nèi)部測(cè)試，或在通過(guò)自檢的情況下的維護(hù)在測(cè)試期間的時(shí)間間隔。注2完成這些要求的方法的例子包含在E.4中。伴隨著檢測(cè)的動(dòng)作（包括安全狀態(tài)的滯留）(參見(jiàn)表E.4)在檢測(cè)到第一個(gè)故障后，系統(tǒng)/子系統(tǒng)/設(shè)備會(huì)進(jìn)入或一直保持一個(gè)安全狀態(tài)。這（擔(dān)不是必須到。這段時(shí)間中混有檢測(cè)加否定的時(shí)間執(zhí)行特殊的安全目標(biāo)。注否定的時(shí)間通常是與關(guān)閉系統(tǒng)有關(guān)的部分的時(shí)間，自動(dòng)的或是人為的。這些要求在圖B.2中指出不被忽略，限制性的安全狀態(tài)忽略僅在一種控制方式下發(fā)生，改正程序。/系統(tǒng)/設(shè)備將保持在安全狀態(tài)。允許的延遲到修復(fù)會(huì)在足夠短的時(shí)間內(nèi)執(zhí)行特殊的安全目標(biāo)。多種故障的影響(見(jiàn)表E.4)一個(gè)多重的錯(cuò)誤（例如，兩重或三重的錯(cuò)誤）可能時(shí)錯(cuò)誤的，直接的，或是包含一個(gè)進(jìn)一步的錯(cuò)誤會(huì)被發(fā)現(xiàn)，同時(shí)二種安全狀態(tài)的執(zhí)行（例如，否定）在足夠短的時(shí)間內(nèi)完成特殊的安全目標(biāo)，一種合理的方法（例如，故障樹(shù)分析法）會(huì)被論證多重故障的影響上。在允許的時(shí)間內(nèi)獲得測(cè)試加否定的多重故障的技術(shù)會(huì)被展示，（包括，計(jì)算支持）注 完成這些要求的方法的例子包含在.4中。機(jī)的偶然復(fù)合下發(fā)生并且不作為普通故障的結(jié)果。系統(tǒng)故障的防衛(wèi)除了使人為故障盡可能的小的性質(zhì)和安全管理外（5.25.3）措施將用于可能又系統(tǒng)故障存在的地方,直到實(shí)現(xiàn)合理的操作來(lái)阻止一個(gè)無(wú)法預(yù)料的危險(xiǎn)的產(chǎn)生。例如全部系統(tǒng)的架構(gòu)可能做修改，甚至在子系統(tǒng)的一個(gè)危險(xiǎn)的故障事件中，或設(shè)備（清單）項(xiàng)目已經(jīng)被安全設(shè)計(jì)，不希望突發(fā)事件發(fā)生。在外不影響下的運(yùn)行（安全技術(shù)報(bào)告的第四部分）這部分使關(guān)于系統(tǒng)/子系統(tǒng)/設(shè)備正確安全的運(yùn)行和目標(biāo)對(duì)于特殊的外部影響的安全性?！罢_運(yùn)行”包括執(zhí)行運(yùn)行要求和安全要求。限制仍保持安全。B.4.1B.4.7EN50125-1EN50125-3出的對(duì)不同條件的評(píng)估將被遵守。需要考慮的事項(xiàng)將給出存儲(chǔ)和傳遞的效果。氣候條件EN50125-3中，在特殊的氣候條件下達(dá)到歐洲標(biāo)注要求的安全條件，如果鐵（比設(shè)備能夠完成度和全天候的措施。機(jī)械條件在特殊機(jī)械的條件下使確信安全的，能夠達(dá)到歐洲標(biāo)注要求的安全條件。高度在高度出現(xiàn)不斷變化時(shí)是安全的，能夠達(dá)到歐洲標(biāo)注要求的安全條件注 超出海平面1800M的高度，系統(tǒng)/子系統(tǒng)/設(shè)備無(wú)法正常工作。電氣條件（非機(jī)車(chē)）在特殊電氣條件的環(huán)境下，將能夠達(dá)到歐洲標(biāo)注要求的安全條件。注從EN50121-4和EN50124-1中引用的標(biāo)準(zhǔn)將作為基本條件使用。電氣條件（機(jī)車(chē)）機(jī)車(chē)在特殊電氣條件的環(huán)境下，將能夠達(dá)到歐洲標(biāo)注要求的安全條件。注 從EN50121-3和EN50124-1和EN50155中引用的標(biāo)準(zhǔn)將作為基本條件使用。防止未授權(quán)的訪問(wèn)定義訪問(wèn)等級(jí)技術(shù)學(xué)科技術(shù)等級(jí)特殊設(shè)備的培訓(xùn)保護(hù)談到上面的訪問(wèn)等級(jí)，這部分將定義如何實(shí)現(xiàn)保護(hù)。這些保護(hù)措施將防止訪問(wèn)經(jīng)授權(quán)的人的意外訪問(wèn)未經(jīng)授權(quán)的人的有意訪問(wèn)外部條件這部分描述設(shè)備本身如何通過(guò)額外的手段來(lái)實(shí)現(xiàn)保護(hù)的。例如：房屋安全易接封裝這部分描述如何通過(guò)現(xiàn)有的設(shè)備實(shí)現(xiàn)保護(hù)。例如：包裝襯托紙封條電子譯碼機(jī)械譯碼固件更惡劣的環(huán)境在需要的地方，對(duì)處理額外的更惡劣的鐵路授權(quán)的特殊環(huán)境條款的形成。注下面是更惡劣環(huán)境的例子:－濃縮導(dǎo)致設(shè)備周?chē)臏囟妊杆僮兓瓙毫拥目諝馕廴净覊m煙水蒸氣有腐蝕性的化學(xué)物質(zhì)鹽硫酸鹽污染種類(lèi)和他們的關(guān)聯(lián)將被特殊定義－對(duì)戶外設(shè)備霧溫度的迅速變化化學(xué)影響如:油品有機(jī)物除草劑來(lái)自火或太陽(yáng)輻射的過(guò)分的熱動(dòng)作/植物，昆蟲(chóng)或動(dòng)物的進(jìn)入積塵（有益和無(wú)益）某些地區(qū)更極端的溫度限制與安全有關(guān)的應(yīng)用條件（技術(shù)報(bào)告的第五部分）這部分將定義規(guī)則、條件和與安全功能有關(guān)的限制，這種安全功能需要在系統(tǒng)/子系統(tǒng)/設(shè)備的應(yīng)用中觀察。需要考慮的一般題目，包括如下為適合特殊的應(yīng)用，系統(tǒng)程序的配置在生產(chǎn)、安裝、測(cè)試和交付使用中的預(yù)防對(duì)維護(hù)和故障探測(cè)的規(guī)則和方法對(duì)系統(tǒng)運(yùn)行的說(shuō)明安全警告和防范電磁兼容的防范（磁化系數(shù)和散熱）有關(guān)信息的修改和B.5.1B.5.3中子系統(tǒng)設(shè)備配置和系統(tǒng)搭鍵配置：置工具或程序被定義。例如：－程序化方法－版本控制－配置系統(tǒng)硬件要求－配置系統(tǒng)的軟件描述－軟件維護(hù)－確認(rèn)－仿真系統(tǒng)搭鍵這個(gè)文件將描述在特殊的信號(hào)系統(tǒng)中子系統(tǒng)和設(shè)備是如何搭鍵的。例如：－版本控制設(shè)置－應(yīng)用控制設(shè)置－接口設(shè)置－初始化設(shè)置－維護(hù)控制設(shè)置－生產(chǎn)和產(chǎn)品測(cè)試－常規(guī)系統(tǒng)測(cè)試－安裝、測(cè)試和驗(yàn)收功能的變更定和系統(tǒng)將完備指定。B.5.2.運(yùn)行和維護(hù)對(duì)在特殊的環(huán)境條件下確保系統(tǒng)/子系統(tǒng)/設(shè)備，持續(xù)安全和正常運(yùn)行的最小的必須維護(hù)將運(yùn)行和維護(hù)計(jì)劃形式寫(xiě)入文檔，包括如下方面：運(yùn)行狀態(tài)在每一系統(tǒng)/子系統(tǒng)/設(shè)備中存在的條件，將被定義在下列情形下對(duì)操作和維護(hù)，提供充分理解。開(kāi)始：這樣描述系統(tǒng)開(kāi)始條件，當(dāng)電源初始應(yīng)用似的子系統(tǒng)或設(shè)備條件，或是電源突然斷電引起的關(guān)閉或其他原因注：將定義這些內(nèi)容，例如：缺省條件安裝周期執(zhí)行自檢需要人為干涉轉(zhuǎn)入出條件異常事件的預(yù)防，例如：或非法進(jìn)入正常運(yùn)行一旦系統(tǒng)/子系統(tǒng)/循環(huán)次數(shù)空閑故障檢測(cè)安全改變?nèi)绻呀?jīng)配置好的設(shè)備或系統(tǒng)/子系統(tǒng)對(duì)于冷和熱，系統(tǒng)/a)b)被清楚的定義。關(guān)閉當(dāng)一個(gè)系統(tǒng)/子系統(tǒng)或設(shè)備的列表將因?yàn)橛幸獾呐渲酶淖兓驘o(wú)意的電源故障而關(guān)閉。然后，所有有關(guān)的條件將被定義例如－缺省條件降級(jí)條件安全方面程序維護(hù)等級(jí)這些將被定義為關(guān)于初級(jí)維護(hù)客戶中修廠商中修護(hù)和在工作環(huán)境中可能的裝置外的修理。維護(hù)周期在要求的維護(hù)周期描述中涉及到所有已經(jīng)形成的相關(guān)領(lǐng)域。例如：訓(xùn)練可達(dá)性模塊化互換性備件供應(yīng)備件儲(chǔ)備輔助維護(hù)對(duì)于每一等級(jí)的維護(hù)，對(duì)人員的有效的輔助維護(hù)將被定義注這些輔助的維護(hù)包括，例如：故障診斷故障信息的干擾故障的修復(fù)安全監(jiān)測(cè)的運(yùn)行在運(yùn)行和維護(hù)期間系統(tǒng)強(qiáng)調(diào)壽命周期。系統(tǒng)/子系統(tǒng)/設(shè)備的性能將被監(jiān)測(cè)來(lái)確保指標(biāo)達(dá)到設(shè)計(jì)要求，在使用期間對(duì)目前的環(huán)境保持有效注這將包括例如監(jiān)測(cè)與安全有關(guān)的性能而且與預(yù)計(jì)的性能比較提高安全與可靠性。報(bào)廢和處理當(dāng)系統(tǒng)/子系統(tǒng)/設(shè)備最后報(bào)廢時(shí)有必要將技術(shù)安全的預(yù)防和程序存檔，這將包括考慮到的所有可能的重置系統(tǒng)的同時(shí)保持鐵路持續(xù)運(yùn)行的重要說(shuō)明。適當(dāng)?shù)木婧驮O(shè)置最后報(bào)廢的處理說(shuō)明也將包括在內(nèi)。安全指標(biāo)的測(cè)試（技術(shù)報(bào)告的第6部分）這部分將包括在運(yùn)行情況下，對(duì)安全指標(biāo)測(cè)試成功完成論證。這些測(cè)試的目的是對(duì)獲得系統(tǒng)/子系統(tǒng)/設(shè)備完成特殊的運(yùn)行要求所增加的信心，對(duì)獲得已經(jīng)完成的特殊可靠性和安全目標(biāo)所增加的信心，在最終安全報(bào)告正式批準(zhǔn)前允許系統(tǒng)/子系統(tǒng)/預(yù)警和監(jiān)測(cè)注這些測(cè)試僅提供增加自信力，不是安全論證的唯一手段。要求系統(tǒng)/子系統(tǒng)/設(shè)備發(fā)生聯(lián)系的新穎和復(fù)雜的成分是正當(dāng)?shù)摹４?，適當(dāng)?shù)念A(yù)警，程序和提供的監(jiān)測(cè)來(lái)確保鐵路在測(cè)試期間是安全的。作為定義，安全指標(biāo)測(cè)試將在對(duì)安全有全部責(zé)任的商業(yè)運(yùn)行前完成。并且，在每一階段獲得什么樣的授權(quán)等級(jí)（臨時(shí)的或最終安全授權(quán)。結(jié)論全報(bào)告的這部分。C（標(biāo)準(zhǔn)化硬件元件故障模式的鑒定引言這個(gè)附錄包含對(duì)硬件部分的確定故障模式的辨別的程序和信息。注包括在這個(gè)附錄中的硬件部分故障模式來(lái)源與歐洲的實(shí)踐和下列參考源UIC（設(shè)備檢驗(yàn)公司）/ORE的報(bào)告A155/RP12，MIL－HDBK－338－1A；MU8004－可靠性分析中心報(bào)告FMD－91表中的信息可修改，如在C.2和C．５中解釋的，如果提供各種足夠的證據(jù)。一般過(guò)程（B.3.必須的。C.1C.6C.5中能看到一般的注釋。CENELEC程序。集成電路的規(guī)范（包括微處理器）設(shè)計(jì)采用特殊要求的集成電路，預(yù)測(cè)所有占用設(shè)備的確信故障模式是困難的，這對(duì)程序化設(shè)備特別真實(shí)，在設(shè)備范圍內(nèi)能觀察到的故障模式有特殊應(yīng)用。（一種被選方案將使用由下－上的方法，如故障模式和影響分析，但這種方法是費(fèi)時(shí)的并且有可能發(fā)生一定有危險(xiǎn)的故障模式被錯(cuò)過(guò)。作為評(píng)定和證明將在以后形成，來(lái)展現(xiàn)對(duì)每種危險(xiǎn)故障模式的鑒別。Aba)故障模式不能確信偶然發(fā)生，導(dǎo)致內(nèi)部軟件建構(gòu)或數(shù)據(jù)結(jié)構(gòu)b)故障率注：有此項(xiàng)目，如：智能傳感器，嵌入微處理器，如何用同一辦法估計(jì)這些條目作為整體電路的草圖。對(duì)固有物理特性成分的程序如果使固有的故障－安全技術(shù)，將提供認(rèn)為是確信的任何故障模式成分證明，這個(gè)證明包括，但不是必須限制的，下面的題目。－內(nèi)在物理特性的原理性解釋－服從認(rèn)可質(zhì)量標(biāo)準(zhǔn)的事件－特殊結(jié)構(gòu)成分的說(shuō)明－特殊襯托和安排或?qū)Τ煞值钠渌A(yù)警的說(shuō)明－故障模式不會(huì)偶然發(fā)生，當(dāng)超出成分此例結(jié)果出現(xiàn)，例如，由于故障或超負(fù)荷情況－測(cè)試結(jié)果用來(lái)論證在不利情況下成分的故障行為。（依靠物理測(cè)試，技術(shù)論證，或仿真）－對(duì)固有故障－安全提供組成上可靠的經(jīng)驗(yàn)如果提供滿意的論證，與故障模式有關(guān)系的成分可以從安全的分析中排除。如果件的執(zhí)行將包括在安全事件中提供的經(jīng)驗(yàn)指出，有些特別成分的故障模式更是有能力確信的論證；這些故障c.1c.16中通標(biāo)有*號(hào)指出，在c.6c.7關(guān)于元件故障模式的一般注釋c.1c.16包含硬件成分確信故障模式的列表在元件的邊界故障模式作為已證明的，不是由內(nèi)部物理引起的故障所有列出故障模式是間斷的通過(guò)環(huán)境影響引起的間歇故障，如各種溫度或機(jī)械壓力（準(zhǔn)）因此故障間歇率根據(jù)這些原因元件出版規(guī)范的容許量的變更不作故障考慮元件在它們公布的環(huán)境限制下運(yùn)行是假定的元件在它們公布的電測(cè)定下運(yùn)行。10）外部短路或不同元件間的漏電不認(rèn)為是元件的故障，對(duì)于適當(dāng)漏電和清除10置。安全依靠于清除和漏電距離，最小清除和漏電距離將根據(jù)應(yīng)用要求（EN.50124-1IEC60664將用來(lái)決定基于強(qiáng)絕緣的最小要求。這些要求將被接受或逐步加強(qiáng)或通過(guò)授權(quán)完成。附加一般注釋，有關(guān)內(nèi)部物理性質(zhì)的成分。C.4中C.1C.16通過(guò)（*）指出是那些更像確信有能力證明的故障模式C.1C.16C.17實(shí)與確信故障模式的合理性有關(guān)。C.55.6和5.7中有進(jìn)一步的注釋。C.55）之外，條件超過(guò)正常容許量的估計(jì)介紹。C.56）之外，有些對(duì)超出正常環(huán)境限制偏移的允許形成。在C.57）元件。未用未用C.7有關(guān)固有物理特性成分的特殊注釋遵循注釋提供的有關(guān)故障模式確定的可能論證的向?qū)?，在表C.1到C.16中標(biāo)有（*）主體部分沒(méi)有空的在元件的末端,頂點(diǎn)/連接線間清除和漏電距離將至少達(dá)到EN50124-1的要求，根據(jù)它對(duì)強(qiáng)絕緣的要求。繞線電阻的線圈僅有一層。元件將包上粘合劑和瓷釉繞線電阻改變間的短路將通過(guò)有外包的線避免，或通過(guò)線圈的物理分離。主體將用無(wú)益的材料建造,甚至在最高溫度(包括故障條件)外包裝將無(wú)益甚至在最高溫度電阻將限制在盡可能低的值(例如,不大于10K)4接線端的電阻將通過(guò)這樣的方法來(lái)建造,如果故障引起電阻材料出現(xiàn)干擾,4接線端電阻的干擾.對(duì)電阻的外部電路將揭露在故障安全模式下接線端的干擾.例如4接線端電阻使用一種混合的厚的層技術(shù).兩個(gè)接線端和每一側(cè)的元件獨(dú)立連接.C=在這兒,.A=金屬板的面積D=金屬板的距離

. Ad0。rd=允許的自由空間0r=電解常數(shù)作為確信的故障模式的證明要求,論證這些參數(shù)沒(méi)有一個(gè)能單獨(dú)改變.電解電容不適于排除這種故障模式。（包括故障情況Y級(jí)特點(diǎn)和自修復(fù)的性質(zhì)。15）安全固定。EN50124－1所有的線圈和接頭將安全固定。電源浪費(fèi)將被充分限制來(lái)阻止內(nèi)部炭化（包括故障情況）磁心將被建成，如在磁路能引起磁阻率下沒(méi)有信號(hào)變化。傳輸率依賴于每一線圈的線圈數(shù)和整體的磁力線耦合，因此，有必要達(dá)到注釋15，16，17）的要求。制線圈不確信的故障模式能引起安匝數(shù)的增加。20）所有部分的延時(shí)或機(jī)械開(kāi)關(guān)將被可靠的建造和安全固定，包括：機(jī)械的運(yùn)行接觸系統(tǒng)磁性電路（即便要）盤(pán)繞（即便要）EN50124－121）接觸物質(zhì)將選擇那些不能焊接的保接觸溫度不能達(dá)到發(fā)生焊接的值。22）繼電器參數(shù)的穩(wěn)定性將通過(guò)對(duì)下列事實(shí)的仔細(xì)注意來(lái)確保實(shí)現(xiàn)。－磁參數(shù)磁材料的選擇提供一個(gè)停止設(shè)備來(lái)避免磁路的永磁。防止外部的磁場(chǎng)。－電參數(shù)對(duì)線質(zhì)量和絕緣的選擇線圈盤(pán)繞的質(zhì)量接線端的質(zhì)量－機(jī)械參數(shù)材料的選擇與質(zhì)量所有部分的安全固定所有與安全有關(guān)的調(diào)節(jié)器的安全保持力。提供適當(dāng)?shù)姆聪蛄?，使用重力（補(bǔ)充，如需要通過(guò)線或刀片的彈性）運(yùn)行機(jī)械的設(shè)計(jì)和建造。如它不能變得阻塞，P－N結(jié)的極限電壓，如二極管或晶體管基極－發(fā)射級(jí)是這樣的功能。少數(shù)和多數(shù)電荷負(fù)載密度波特曼常數(shù)（k）（E）溫度（k）因此極限電壓依賴與P-N結(jié)的不可變參數(shù)和對(duì)給定溫度的參考。注意將花在避免兩個(gè)或更多二極管串聯(lián)連接的內(nèi)部組成元件。穿電壓高的電壓。25）傳感器的放大（或增益，感應(yīng)，發(fā)光二極管的光敏性或傳感器依賴于涂料的等級(jí)結(jié)點(diǎn)的厚度電荷負(fù)載工作時(shí)間這些參數(shù)將保持常數(shù)，在期望的電荷負(fù)載工作時(shí)間僅能隨時(shí)間減少。因此，擴(kuò)大/敏感性將保持常數(shù)，或可能減少，但不增加（對(duì)每一應(yīng)用調(diào)整）在通過(guò)污染的涂層引起的放大有很小可能存在增加。這能通過(guò)高質(zhì)量的產(chǎn)品和元件的封裝來(lái)避免，這種結(jié)果僅僅是對(duì)于導(dǎo)通電流的信號(hào)。這將在設(shè)計(jì)電路是避免。26）光發(fā)射是于電子和空穴在結(jié)合有關(guān)的物理性質(zhì)，電流再P－N結(jié)正向?qū)〞r(shí)，結(jié)電流流動(dòng)沒(méi)有意義，因此沒(méi)有光發(fā)射。如果P－N光發(fā)射器光介質(zhì)光敏接收器29)EN50124－1元件的結(jié)構(gòu)將是穩(wěn)定可靠的。元件的電源損失將被充分的限制以防止內(nèi)部碳化（包括故障情況）30EN50124－1輸入和輸出驅(qū)動(dòng)器/耦合元素將固定安全。元件將被可靠的構(gòu)成。共鳴器將被構(gòu)成和裝配以防止他們尺寸變化的影響。共鳴器將被一種他的尺寸不受溫度變化影響的材料構(gòu)成。共鳴器的材料將通過(guò)溫度的循環(huán)變化或是時(shí)間充分的預(yù)運(yùn)行來(lái)保持穩(wěn)定。傳輸率是元素驅(qū)動(dòng)/耦合與光纖質(zhì)量因數(shù)的效率的一個(gè)方面。元素驅(qū)動(dòng)/計(jì)和建造來(lái)防止在它們內(nèi)任何有意義的增加。33）共鳴器將被建造和裝配來(lái)獲取最大可能的質(zhì)量因數(shù)以至于沒(méi)有并發(fā)的證明能發(fā)生。共鳴器將被建造和裝配以防止任何機(jī)械裝置發(fā)生衰減。絕緣材料應(yīng)該穩(wěn)定。清除和漏電距離將至少達(dá)到EN50124－1對(duì)強(qiáng)絕緣的要求。36）連接器應(yīng)該可靠建造。連接器的所有部分應(yīng)該固定安全連接器的錯(cuò)誤方向或插錯(cuò)槽位將通過(guò)例如機(jī)械設(shè)計(jì)和機(jī)械開(kāi)關(guān)碼來(lái)防止。作為選擇，插錯(cuò)的影響將通過(guò)例如連接器開(kāi)關(guān)電子碼或分配唯一的地址/身份的手段來(lái)消除危險(xiǎn)。危險(xiǎn)應(yīng)該通過(guò)標(biāo)志警告和人員培訓(xùn)進(jìn)一步減少。對(duì)顯示屏的電連接將被安全可靠的固定。介紹

附錄D（信息的）補(bǔ)充技術(shù)信息本附錄提供了一些例子和指導(dǎo)來(lái)補(bǔ)充5.4和本標(biāo)準(zhǔn)附錄B所包含的技術(shù)要求.所給定的要求僅適用于SIL3或SIL4.機(jī)體內(nèi)部獨(dú)立的實(shí)現(xiàn)(以免受A類(lèi)影響的保護(hù),參考B3.2)主要獨(dú)立下面的措施提供了兩個(gè)部件(它們的并發(fā)故障可能是危險(xiǎn)的)之間的主要獨(dú)立()印刷電路板同一層的導(dǎo)線之間的絕緣。絕緣距離（漏電距離與余度）至少應(yīng)根據(jù)EN50124—1的強(qiáng)迫絕緣（采取措施絕緣）要求而定。多層印刷電路板的不同層之間的絕緣。同一電纜的絕緣電線之間的絕緣。同一變壓器的絕緣繞線之間的絕緣。變壓器內(nèi)部的最高溫度應(yīng)被限定（包括故障情況下，以避免碳化。opto-coupler內(nèi)部的絕緣部件之間的絕緣。opto-coupler內(nèi)部的最高溫度應(yīng)被限定（包括故障情況下2）避免通過(guò)內(nèi)部連接而造成無(wú)意影響的措施（內(nèi)部接口的保護(hù)）接口應(yīng)該利用具有內(nèi)在特性的裝置保護(hù)。避免通過(guò)電磁連接器造成的無(wú)意影響的措施。（避免內(nèi)部電磁相互作用的保護(hù)）電子網(wǎng)絡(luò)之間的電磁相互作用的預(yù)防如下：網(wǎng)絡(luò)的阻抗應(yīng)充分低，以避免相互作用，甚至萬(wàn)一出現(xiàn)故障。理論計(jì)算和或?qū)嶋H測(cè)量而證實(shí)它適用于正常的操作模式。若需要避免在出錯(cuò)時(shí)連接，應(yīng)采取附加措施（論計(jì)算和/或?qū)嶋H測(cè)量而證實(shí)。D2.2 次要獨(dú)立下面的措施提供了兩個(gè)部件(它們的并發(fā)故障可能沒(méi)有危險(xiǎn))之間的次要獨(dú)立mn系統(tǒng)中，每一個(gè)部件可以由許多獨(dú)立的元件組成。兩個(gè)部件()的獨(dú)立的實(shí)現(xiàn)根據(jù)D.2.1,要部件。每一主要部件可以有一或多個(gè)所謂的附加部件核查主要部件。在一個(gè)主要部件和附加部件之間的獨(dú)立程度可以低于D.2.1立。錯(cuò)誤而造成危險(xiǎn)之前被發(fā)現(xiàn)，那么主要部件與附加部件無(wú)關(guān)D.2.1的簡(jiǎn)化允許用于次要獨(dú)立：-絕緣距離（漏電距離和余度至少應(yīng)根據(jù)EN50124-1的基本絕緣要求而定。-保護(hù)裝置不要求內(nèi)在特性（僅在主要部件與附加部件之間的獨(dú)立可能會(huì)存在第二次故障時(shí)）-至少用于檢測(cè)電壓的供電網(wǎng)絡(luò)（附加部件）應(yīng)與本節(jié)所述的用于被檢測(cè)的主要部件的供電網(wǎng)絡(luò)相隔離。D3 機(jī)體外部獨(dú)立的實(shí)現(xiàn)（C下面提供了機(jī)體外部獨(dú)立的措施EN50121-4EMI/ESD干擾正確操作而造成的無(wú)意影響。應(yīng)正常地遵守規(guī)定的氣候條件，并采取措施降低系統(tǒng)超出規(guī)定氣候條件操作的危險(xiǎn)。避免由于機(jī)械壓力而干擾正確操作造成的無(wú)意影響：條件的情況下。EN50125-41和/EN50125-3。盡管在鐵路機(jī)關(guān)和供應(yīng)方所認(rèn)可的化學(xué)壓力條件下，應(yīng)采取措施保證可靠的正確操作。應(yīng)采取措施避免在不允許的供電電壓下的無(wú)意操作（供電電壓的保護(hù)）可能需要備用的電壓檢測(cè)人員。應(yīng)采取措施避免由于外部電壓通過(guò)輸入和輸出口干擾正確操作（外部接口的保護(hù)）成的無(wú)意的有害影響：（工作電壓和所有可能電線電纜上的EMI觸發(fā)電壓b)/接地/回路之間的余度應(yīng)根據(jù)EN50124-1中規(guī)定的診斷電壓而定。帶電元件和正確操作需要被保護(hù)的外露的導(dǎo)電元件 /接地/回路之間的漏電距離應(yīng)根EN50124-1和操作過(guò)程中最大的額定r.m.s電壓而定。對(duì)于靠距離絕緣來(lái)說(shuō)，較大的距離（余度和漏電距離）是關(guān)鍵D4 單個(gè)故障分析方法舉例（參考本標(biāo)準(zhǔn)B。3。3）—6條的內(nèi)容出自CENLECpaperCLC/SC9X（SE11CalculationwithMu8004formulas”.在各個(gè)部件中單個(gè)故障的detection-plus-negation時(shí)間T`a`，但不應(yīng)超出下值：T≤k/1000*aK=1 22系統(tǒng)K=0、5 3選2系統(tǒng)在上面第一條中所提及的故障率被定義為一取決于操作過(guò)程中的環(huán)境條件的那末可以采用此近似估計(jì)作為一參考。如果在一個(gè)系統(tǒng)內(nèi)，包含幾個(gè)部件（但不是所有的由兩個(gè)失效部件組合而成的）的子系有不同的故障檢查次數(shù)結(jié)果，最短的次數(shù)是關(guān)鍵。應(yīng)對(duì)所有部件進(jìn)行周期性的故障測(cè)試，對(duì)于所有對(duì)正確操作一定產(chǎn)生影響的故障，測(cè)試應(yīng)獨(dú)立進(jìn)行，并應(yīng)在小于T的時(shí)間內(nèi)完成。大規(guī)模集成電路中故障的檢查應(yīng)遵守表D.1。5）無(wú)缺點(diǎn)n2時(shí)間不應(yīng)超過(guò)第1）條允許的故障檢查時(shí)間的400fold.注2：此種情況假設(shè)：當(dāng)設(shè)備不供電時(shí)，電子元件的可靠性高于供電時(shí)的20倍。被取消的時(shí)間大于第1）/故