1、量BICS 45.060 S 04 和国国家标准主t-、中华人民GB/T 28809-20 12/IEC 62425: 2007 轨道交通通信、信号和处理系统信号用安全相关电子系统Railway applications-Communication, signaling and processing systems Safety related electronic systems for signaling (IEC 62425: 2007 ,IDT) 2013-02-01实施2012-11-05发布发布中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会iE部/jgL副中华人民共
2、和国国家标准轨道交通通信、信号和处理系统信号用安全相关电子系统GB/T 28809-2012/IEC 62425: 2007 9号中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100013)北京市西城区三里河北街16号(100045) 网址总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销9峰开本880X1230 1/16 印张5字数145千字2013年3月第一版2013年3月第一次印刷9峰书号:155066 1-45972 定价66.00元如有印装差错由本社发行中心调换版权专有侵权必
3、究举报电话:(010)68510107GB/T 28809-20 12/IEC 62425: 2007 目次前言.皿引言.v 1 范围-2 规范性引用文件3 术语和缩略语23. 1 术语23.2 缩略语74 整体框架85 安全验收和审批条件-5. 1 安全论据5. 2 质量管理证据105.3 安全管理证据115.4 功能安全和技术安全证据155. 5 安全验收和审批17附录A(规范性附录)安全完整性等级mA.1 概要mA.2 安全需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 A.3 安全完整性. . . . . .
4、 . . . . . . . . . . . . . . . . . . . . . 21 A. 4 安全完整性需求的分配. . . . . . . . . . . . . . . . . . . . 21 A.5 安全完整性等级SIL. . . . . . . . . . . . . . . 28 附录B(规范性附录)技术需求31B.1 概要 n B.2 功能正确运行的保障(技术安全报告第2章) 31 B.3 故障的影响(技术安全报告第3章). . . . . . . . . . . . 33 B.4 外界影响下的运行(技术安全报告第4章) 37 B.5 安全相关应用条件(技术安全报告第5章
5、)B.6 安全合格测试(技术安全报告第6章) H 附录c(规范性附录)硬件元器件失效模式的识别. . . . . . . . . . . . 43 C.1 概要 u C.2 一般规程 U C.3 针对集成电路的规程(包括微处理器) u C.4 带内在物理特性元器件的规程 u C.5 元器件失效模式的通用说明 u C.6 带有内在物理特性元器件的附加通用说明. 44 C.7 带有内在物理特性元器件的特别说明 45 附录D(资料性附录)补充资料国GB/T 28809-20 12/IEC 62425: 2007 D.l 概要D.2 内部物理独立性的获得D.3 外部物理独立性的获得 60 D.4 单一
6、故障分析方法示例D.5 多重故障分析方法示例附录E(资料性附录)安全相关电子信号系统避免系统性故障以及控制随机故障和系统性故障的技术和措施. 参考文献H GB/T 28809-20 12/IEC 62425: 2007 前言本标准按照GB/T1. 1-2009给出的规则起草。本标准采用翻译法等同采用IEC62425: 2007(轨道交通通信、信号和处理系统信号传输用和安全性相关的电子系统。与本标准中规范性引用文件有一致性对应关系的我国文件如下:一-GB/T16935. 1 2008 低压系统内设备的绝缘配合第l部分:原理、要求和试验(lEC 60664-1: 2007 , IDT) ; GB/
7、T 16935.3-2005 低压系统内设备的绝缘配合第3部分:利用涂层、罐封和模压进行防污保护(lEC60664-3: 2003 , IDT) ; 一-GB/T16935.5-2008 低压系统内设备的绝缘配合第5部分:不超过2mm的电气间隙和爬电距离的确定方法(lEC60664-5: 2007 , IDT) ; GB/T 20438. 1-2006 电气/电子/可编程电子安全相关系统的功能安全第1部分:一般要求(lEC61508-1: 1998 , IDT); 一-GB/T21562-2008 轨道交通可靠性、可用性、可维修性和安全性规市及示例(lEC62278: 2002 , IDT);
8、 GB/T 24338. 1-2009轨道交通电磁兼容第1部分:总则(IEC62236-1: 2003 , IDT) ; GB/T 24338. 3-2009 轨道交通电磁兼容第3-1部分:机车车辆列车和整车(IEC 62236-3-1: 2003 , IDT) ; 一-GB/T24338.4一2009轨道交通电磁兼容第3-2部分:机车车辆设备(lEC62236-3-2: 2003 , MOD) ; GB/T 24338. 5-2009 轨道交通电磁兼容第4部分:信号和通信设备的发射与抗扰度(lEC 62236-4: 2003 , IDT) ; -GB/T 24338. 6-2009 轨道交通
9、电磁兼容第5部分:地面供电装置和设备的发射与抗扰度(IEC62236-5: 2003 , IDT) ; 一-GB/T24339. 1-2009 轨道交通通信、信号和处理系统第1部分:封闭式传输系统中的安全相关通信(IEC62280-1: 2002 , IDT) ; GB/T 24339. 2-2009 轨道交通通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信(IEC62280-2: 2002 , IDT) ; 一-GB/T25119-2010 轨道交通机车车辆电子装置(lEC60571: 2006 , MOD); GB/T 28808-2012 轨道交通通信、信号和处理系统控制和防
10、护系统软件(IEC62279: 2002 , IDT)。本标准做了下列编辑性修改:一一-第2章规范性引用文件删除了IEC62236-4,因为之前已有IEC62236(所有部分)列项,包含了IEC62236-4; 一一第2章规范性引用文件中,EN50124、EN50125、EN50155已按IECTC9和CENELECTC9X合作战略转化为IEC60571,全文用IEC60571替换EN50155、IEC62497-1代替EN 50124-1、IEC62498-1代替EN50125-1、IEC62498-3代替EN50125-3; 5.1下增加下一级编号,以符合中文编排习惯;附录E中引用表E.1
11、表E.10语句删除了表编号后的表标题,简化阅读。E GB/T 28809-20 12/IEC 62425: 2007 N 本标准由中华人民共和国铁道部提出。本标准由全国牵引电气设备与系统标准化技术委员会(SAC/TC278)归口。本标准主要起草单位:同济大学、铁道部标准计量研究所。本标准参加起草单位:株洲|南车时代电气股份有限公司、北京全路通信信号研究设计院。本标准主要起草人:徐中伟、孙超、王奇。本标准参加起草人:范样成、严云升、赵天时、陈邦兴、黄银霞、呼爱蝉、师进。GB/T 28809-20 12/IEC 62425: 2007 引安全相关电子信号系统包括硬件和软件两方面。为安装完整的安全相
12、关系统,在系统整个生命周期中,这两个方面都应加以考虑。在本标准中定义了安全相关硬件和整个系统的需求,其他需求在相关的IEC标准中定义。相互认可是面向通用的而不是面向特定应用的审批。由于本标准涉及安全相关系统验收的相关证据,这些证据包括:在验收阶段之前所应完成的生命周期活动;在验收阶段之后还需要执行的附加的有计划的活动。因此需要证明在整个生命周期中安全性是得到满足的。本标准关注的是提交何种证据。除确认为适合之外,本标准不规定由谁来执行必要的工作,因为在不同的环境下情况不一样。对于包含可编程电子设备的安全相关系统,软件的附加条件都定义在IEC62279中。对于安全相关数据通信的附加需求定义在IEC
13、62280中。V 1 范围IEC 62280-1 IEC 62280-2 (通信)GjT 28809-20 12jIEC 62425: 2007 轨道交通通信、信号和处理系统信号用安全相关电子系统IEC 62279 (软件)J IEC 62425 (系统安全性)图1轨道交通主要标准的应用范围IEC 62278 (RAMS) 1 GS/T 28809一2012月EC62425: 2007 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。注:其他资料性参考资料见参考文献。I
14、EC 60571 铁路机车用电子设备(Railwayapplications-Electronic equipment used on rolling stock) IEC 60664(所有部分)低压系统内设备的绝缘配合CInsulation coordination for equipment within low-voltage systems) IEC 61508-1 电气、电子、程序可控的电子安全相关系统的功能性安全第1部分:一般要求CFunctional safety of electrical/ electronic/ programmable electronic safety-
15、relat巳dsystems-Part 1: G巳neralrequirements) IEC 62236C所有部分)铁路应用电磁兼容性CRailway applications-Electromagnetic compati bility) IEC 62278 轨道交通可靠性、可用性、可维修性和安全性CRAMS)规范及示例Railwayapplica tions-Specification and demonstration of rel胁山ty,a盯vaila拍bil让山lit叮y,ma创I川IIEC 62279铁路设施通信、信号和处理系统铁路控制和保果护系统用软件CRailwayappl
16、ications Communications , signalling and processing systems-Software for railway control and protection systems) IEC 62280-1 铁路设施通信、信号和处理系统第1部分:在封闭的传输系统中有关通信安全CRailway applications-Communication, signalling and processing systems-Part 1: Safety-related communication in closed transmission systems) I
17、EC 62280-2 铁路设施通信、信号和处理系统第2部分:在开放的传输系统中有关通信安全CRailway applications-Communication, signalling and processing systems-Part 2: Safety-related communication in open transmission systems) IEC 62497-1 铁路设施绝缘配合第1部分:基本要求所有电气和电子设备的间隙及漏电距离(Railway applications-Insulation coordination-Part 1: Basic requirement
18、s-Clearances and creepage distances for all electrical and electronic巳quipment)IEC 62498-1 轨道交通设备环境条件第1部分:机车车辆车载设备(Railwayapplications Environmental conditions for equipment-Part 1: Equipment on board rolling stock) IEC 62498-3 轨道交通设备环境条件第3部分:信号设备和通信设备(Railwayapplications Environmental conditions fo
19、r equipment-Part 3: Equipment for signalling and telecommunications) 3 术语和缩略语3. 1 术语下列术语和定义适用于本文件。3. 1. 1 事故accident 导致死亡、伤害、系统或服务丧失或者环境破坏的一个或一系列非预期事件。3. 1.2 评估assessment 确定设计机构和确认员所完成的产品是否符合规定的要求和判定产品是否达到预期目的的分析2 GB/T 28809-20 12/IEC 62425: 2007 过程。3. 1.3 许可authorisation 正式允许在特定应用约束下使用某产品。3. 1. 4 可
20、用性availability 在要求的外部资源得到保证的前提下,产品在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。3. 1. 5 原因分析causal analysis 分析特定危害出现的原因。3. 1. 6 共因失效common-cause failure 造成原本相互独立的对象同时失效的一种失效。3. 1. 7 后果分析consequence analysis 对危害发生后可能出现的事件的分析。3. 1. 8 配置configuration 针对具体应用,系统中硬件和软件的结构和互联。3. 1. 9 相互认可cross-acceptance 指产品所达到的一种状态,在
21、此状态下该产品已被某机构按相关国际标准所接受,并可无需进一步评估就可被另一机构所接受。3. 1. 10 设计design 对指定需求进行分析并转化为具有规定的安全完整性的设计方案的活动。3. 1. 11 设计机构design authority 负责形成实现指定需求的设计方案,并监控后续开发和系统在指定环境技入运行情况的实体。3. 1. 12 多样性diversity 利用多种独立的和不同的方式实现全部或部分指定需求的方法。3. 1. 13 设备equipment 具备功能的物理对象。3. 1. 14 错误error 可能导致非预期的系统行为或失效的与期望设计之间的偏差。3. 1. 15 故障
22、安全fail-safe 结合在产品设计内的一种观念,即发生失效事件时产品导向或维持在安全状态。3 GB/T 28809一2012/IEC 62425: 2007 3. 1. 16 失效failure 与规定的系统行为产生偏差。失效是系统错误或故障的结果。3. 1. 17 故障fault 一种能导致系统错误或失效的不正常状态,故障可是系统性的或随机性的。3. 1. 18 故障检测时间fault detection time 从故障开始出现到检测出故障存在的时间间隔。3. 1. 19 功能function 产品实现其目的所采用的升功或活动的方式。二. . 反;二气、危害. . 可能导危害分识别危害
23、jF分析,原因,刊可将危害发生的可能性和后果减小到容许等级的过袖。Y3. 1.22 危害日志hzard log 对安全管理活动、危害识别、决策制定和采用方案进行记录或给出索引的生档。3. 1. 23 人为错误hutnan error 引发非期堪的最统行为/失效的人的动作失误)。;现叫AOTJi/ 312规定时变为附加活动j fffri;岳irf!出士;1桥附日白叫马独立性(人员)independence (human) 不属于同一技术、商业或管理实体。3. 1. 27 独立性(物理)independence (physicaD 不存在任何机制会由于随机失效而影响多个系统/子系统/设备正确运行。
24、3. 1. 28 个体凤险individual risk 只与单一个体相关的风险。3. 1. 29 可维护性maintainability 在规定的条件下,使用定义的规程和资源进行维护时,对于给定使用条件下的产品在规定的时间区间内,能完成指定的实际维护工作的能力。4 GB/T 28809-2012/IEC 62425 :2007 3. 1. 30 维护maintenance 为保持或恢复产品处于能执行规定功能的状态所进行的所有技术和管理工作,包括监督活动。3. 1.31 拒绝negation 当检测到有危害的故障后强制到安全状态。3. 1. 32 拒绝时间negation time 从检测出故
25、障存在到强制为安全状态的时间间隔。3. 1. 33 产晶product 按照规定需求互连以称3. 1. 34 质量quality 3. 1. 35 轨道交通主管$丁ailway authority / / / / 八承担轨清交、统安全运营并对安全主管部口负责的机构。3. 1. 36厅川随机失效完姓生性raI创E毗nfa巾系统避免有危害的随扭桩蝴F故故障刷的等韧级。/ f ,JFJ / / p d d, i/ 3. 1.41 凤险risk 危害事件发生的频度或概率与其后果的组合。3. 1. 42 安全状态safe state 继续保持安全的状况。3. 1. 43 安全性safety 免除危害的不
26、可接受等级的风险。5 GB/T 28809-20 12/IEC 62425: 2007 3. 1. 44 安全验收safety acceptance 最终用户给出的产品的安全状态。3. 1. 45 安全审批safety approval 当产品满足一系列预期的需求后,由必要的主管部门指定的产品安全状态。3. 1. 46 安全主管部门safety authority 许可安全相关系统运行的机构。3.1.47 安全论据safety case 论述产品符合规定安全需求的证明文档。3. 1. 48 安全完整性safety integrity 在所有规定的条件和规定的运行环境下以及规定的时间内,安全相关
27、系统完成指定的安全功能的能力。3.1.49 安全完整性等级safety integrity level 表示针对系统失效时某系统仍可满足指定安全功能所要求的置信度等级的数值。3. 1. 50 安全生命周期safety life-cycle 与安全相关系统的系统生命周期共同实施的一系列附加活动。3. 1.51 安全管理safety management 保证安全过程正确实施的管理组织。3. 1. 52 安全计划safety plan 实施项目安全需求的细则。3. 1. 53 安全过程safety process 为能识别和满足产品全部安全需求所遵循的一系列规程。3. 1. 54 安全相关safe
28、ty-related 对安全负有责任。3. 1. 55 信号系统signaling system 轨道交通中用于控制和防护列车运行的专用系统。3. 1. 56 应力分布stress profile 产品正常执行它所需的功能时抵抗外部影响的程度和数量。3. 1. 57 子系统sub-system 系统中完成特定功能的部分。6 、-GB/T 28809一2012/IEC 62425: 2007 3. 1. 58 系统system 按设计有交互作用的子系统集合。3. 1. 59 系统失效完整性systematic failure integrity 系统避免无法识别的危害错误及其原因影响的等级。3.
29、 1. 60 系统性故障systematic fault 在系统/子系统/设备的规范、设计、制造、安装、运行或维护阶段中内在的故障。3. 1. 61 系统生命周期system Iife-cycle 从构思系统开始到系统停用即系统不再使用为止这段时间内进行的一系列活动。3. 1. 62 技术安全报告technical safety report 系统/子系统/设备设计中的安全性技术证据文挡。3. 1. 63 确认validation 通过测试和分析,表明产品在各个方面符合规定需求的一种证明行为。3. 1. 64 验证verification 在生命周期的每个阶段,通过测试和分析,确定本阶段的需求
30、是否符合前一阶段的输出以及本阶段的输出是否实现了本阶段的需求的活动。3.2 缩略语下列缩略语适用于本文件。ATP:列车自动防护CAutomatic Train Protection) CENELEC:欧洲电工标准化委员会CEuropeanCommittee for Electrotechnical Standardisation) CCF:共因失效Ccommon-cause fail ure) DC:直流Cdirect c urren t) EMC:电磁兼容性Celectromagnetic compati bili ty) EM1:电磁干扰Celectromegnetic interfere
31、nce) EN:欧洲标准CEuropeanStandard) ESD:静电放电Celectrostatic discharge) FMEA:失效模式和影响分析CFailur巳Modesand Effects Analysis) FR:失效率CFailurerate) FTA:故障树分析CFaultTree Analysis) H:危害CHazard) HW:硬件CHardware)1EC:国际电工委员会CInternationalElectrotechnical Commission) 1RSE:铁路信号工程师学会CInstitutionof Railway Signal Engineers)
32、 1SO:国际标准化组织CInternationalStandards Organisation) RAMS:可靠性、可用性、可维护性和安全性Creliabili ty, availabili ty, maintaina bili ty and safety) SDR:安全君机率CSafedown rate) 7 国-GB/T 28809-20 12/IEC 62425: 2007 SDT:安全君机时间(Safedown time) SIL:安全完整性等级(Safetyintegrity LeveD SW:软件(software)THR:容许危害率(tolerablehazard rate)
33、UIC:国际铁路联盟CInternationalUnion of Railways) 4 整体框架8 第5章要求采用系统的、文档化的方法提供:/ 飞飞飞飞B.1 B.2 B.3 B.4 B.5 B.6 图2结构规范性GB/T 28809-20 12/IEC 62425: 2007 5 安全验收和审批条件5. 1 安全论据本标准定义了验收轨道交通安全相关电子系统/子系统/设备针对指定应用具有充分安全所应满足的条件。安全验收的条件在本标准中用以下三个标题提出:质量管理证据(见5.2) ; 安全管理证据(见5.3); 在主安全论据已实现;或者已结合到主安全论据的安全相关应用条件中。5. 1.6第6部
34、分结论本部分需要对安全论据前面部分提供的证据进行归纳总结,并阐述相关系统/子系统/设备针对指定的应用条件是充分安全的。安全论据的结构如图3所示。倘若己给出准确的参考索引并明确指出所使用的基本概念和方法,许多详细证据和支撑文档不必包含在主安全论据及其各部分之中。9 -GB/T 28809-20 12/IEC 62425: 2007 第6部分:结论第5部分.相关安全论据安全论据图3安全论据结构5.2 质量管理证据安全验收首先应满足的条件是在系统/子系统/设备的整个生命周期内,其质量一直并将继续受有效的质量管理体系控制。对此证明的文档性证据由质量管理报告提供,其构成了安全论据的第2部分。质量管理体系
35、的目的是在系统生命周期中的每个阶段减少人为错误的发生频率,进而降低系统/子系统/设备中的系统性故障风险。质量管理体系应适用于IEC62278中定义的系统/子系统/设备生命周期。图4为源于IEC62278 定义的系统生命周期一个示例。注:受质量管理体系控制并由质量管理报告提供证据包括以下方面:组织结构;质量计划和规程;一一需求规范说明;一一-设计控制;一设计验证及评审;一一应用工程;-二采购和制造;一产品标识与可跟踪性;一提交与仓储;核查与测试;不一致性与纠正活动;包装与交付;一安装与试运行;)二运行和维护;-一质量监督与反馈;一文档和记录;-一配置管理/修改控制;-一人员资质与培训11;-一质
36、量审核及持续改进;一停用及处置。符合质量管理需求对安全完整性等级l等级4是强制性的(见附录A中安全完整性等级说明)。但所提供证据的深度和支撑文档的广度应仔细核实并与系统/子系统/设备的安全完整性等级相适应(参见表E.l和表E.8给出的每一安全完整性等级所需证据的指南)。安全完整性等级O(非安全相关G/T 28809-20 12/IEC 62425: 2007 的)的需求不在本安全标准范围之内。概念系统定义和应用条件2 风险分析3 二二工系统需求4 系统需求分配5 设计和实现6 制造7 二3安装8 系统确认(包括安全验9 收和试运行)系统验收10 性能监控12 运行和维护11 停用及处置14 注
37、:修改后进入哪个生命周期阶段与被修改的系统以及具体的改动有关。图4系统生命周期举例(来自IEC62278) 5.3 安全管理证据5.3. 1 概要修改和更新重新应用生命周期(见注)13 安全验收应满足的第二个条件是系统/子系统/设备的安全一直并将继续由一个有效的且与IEC 62278中规定的RAMS管理流程相一致的安全管理流程进行管理。其目的在于进一步降低生命周期中安全相关的人为错误的发生率,从而降低安全相关的系统性故障的残留风险。下面的5.3. 2 5. 3. 13简要介绍了安全管理流程的要素。证明整个生命周期中与安全管理流程所有要素相一致的文档化证据应在安全管理报告中提供,这形成了安全论据
38、的第三部分。倘若给出准确的参考索引,许多详细证据和支撑文挡不必包含在本部分之中。11 -GS/T 28809-20 12/IEC 62425: 2007 使用安全管理流程对安全完整性等级l等级4是强制性的(见附录A中安全完整性等级说明)。但所提供证据的深度和支撑文档的广度应仔细核实并与系统/子系统/设备的安全完整性等级相适应。安全完整性等级O(非安全相关的)的需求不在本安全标准范围之内。为识别每一种特定情况的安全完整性,lEC62278中定义的危害分析和风险评估在所有情形下都是必需的。这也包括经分析和评估显示安全完整性等级为0级的情况。但是一旦得出这样的结论(即,所处状态是非安全相关的),且维
39、持在等级0,本安全标准将不再适用。5.3.2 安全生命周期安全管理流程是由一些阶段和活动组成,将这些阶段和活动联系起来就形成安全生命周期。安全生命周期应与IEC62278中定义的系统生命周期扫一致系统生命周期见图4。系统生命周期的设计和确认部分可看成为一个自顶向W制半随一个自底向;它问(PV形酌,示例见图5。 I /j/ 川/j/yfJ卢卢卢试谢耐削叫+计柑柑协恻坦划咋i-一-_-_一-一一一一-,-,.、5.3.3 安全组织安全管理流程应在一个适合的安全组织的控制下执行,使用能胜任工作的人员并担任明确角色。对人员的能力要按公认的标准进行评估并形成文档,包括专业知识、资质、相关经验和适当的培训
40、。不同角色之间应有适当的独立性,如图6所示。表E.3给出了对于每一安全完整性等级所需要的安全组织的指导。12 、-一一一GB/T 28809-20 12/IEC 62425: 2007 aaZ IL I-elm-la-HHr 和qo IL P3 |验证员,确认员| 评估员| l SILO 注2一对于SILO,精当事个系统惊全!尹受到影响时评估者持四、二二二5.3.4 安全计划在生命周期的开始前期应制定一个安全计划。该计划应确定安全管理结构、整个生命周期的安全相关活动和审批的里程碑,并应包含以适当间隔对安全计划进行复查的需求。当对原系统/子系统/设备进行变更和扩展后,应对安全计划进行更新并进行复
41、查。如果做了这样的改动,那么要在生命周期的适当阶段对其对安全的影响进行评估。对每个安全完整性等级的安全计划指导参见表E.L安全计划应涉及系统/子系统/设备的所有方面,包括软硬件两部分。软件方面参考IEC62279 0 安全计划应包括一个确定最终安全论据具体结构和主要部分的安全论据计划。13 GB/T 28809-20 12/IEC 62425: 2007 5.3.5 危害日志如IEC62278中所述,应创建并在整个安全生命周期内维护危害日志。它应包括一个己识别危害的清单,以及与每个危害关联的风险分类和风险控制信息。在对系统/子系统/设备做出更改之后也应更新危害日志。5.3.6 安全需求规范每个
42、系统/子系统/设备的特定安全需求,包括安全功能和安全完整性,应在安全需求规范中加以确定并形成文档。这应通过以下在IEC62278中阐述的方法实现:-一危害识别和分析;一一风险评估和分类;安全完整性等级分配。附录A给出了一些轨道交通电子系统安全完整性的相关信息。注:安全需求规范可以是系统/子系统/设备功能需求规范的一部分,也可以写成单独文档。参见表E.2关于每个安全完整性等级的系统需求规范的指导。5.3.7 系统/子系统/设备的设计在生命周期的这一阶段要建立一个满足指定运营和安全需求的设计。应使用自顶向下、结构化的设计方法,并实施严格的控制和评审并形成文挡。特别地,对软件需求规范提出的软硬件的关
43、系以及软硬件集成应严格管理并遵循IEC622790表E.7针对每一安全完整性等级,对系统/子系统/设备的设计和开发给出指导。5.3.8 安全评审在生命周期的适当阶段应进行安全评审。在安全计划中应明确这些评审,评审结果应形成文档。系统/子系统/设备的任何变更和扩展也应进行评审。5.3.9 安全验证和确认安全计划应包含用于验证生命周期的每个阶段满足前一阶段所规定的安全需求的计划,以及用于确认所完成的系统/子系统/设备满足初始的安全需求规范的计划,或给出这些计划的参考索引。包括适当测试和安全分析在内的活动都应被执行并形成文档。如后续对系统/子系统/设备做出变更和扩展,应充分重复执行这些活动。验证员和
44、确认员所需的独立程度应与系统/子系统/设备的安全完整性等级需求一致,如图6所示。表E.9给出了每个安全完整性等级的验证和确认的技术和措施。根据安全主管部门的意见,评估员可以是供应商组织的一部分,也可以是用户组织的一部分。此时,评估员应:一一一由安全主管部门授权;一-完全独立于项目团队;直接向安全主管部门报告。5.3.10 安全举证系统/子系统/设备满足安全性验收条件的证据应在一个称之为安全论据的结构化安全性举证文档里列出,如5.1所阐述。14 GB/T 28809-20 12/IEC 62425: 2007 5.3.11 系统/子系统/设备交付系统/子系统/设备在向轨道交通主管部门交付之前,应
45、满足5.5定义的安全验收和安全审批条件,包括提交安全论据和安全评估报告。5.3.12 运行和维护交付之后,应符合在安全计划和技术安全报告第5章中所定义的规程、支持系统和安全监控的要求。在系统的运行生命过程中,会由于种种原因产生改动需求,这些改动并非都与安全相关。对每一改动需求对安全的影响都应依据安全文档的相关部分进行评估。在改动导致系统/关联系统/环境的安全会受影响时,安全生命周期的相应部分要重复操作以保证不降低安全等级。表E.10给出了每个安全完整性等级的应用、操作和维护的指导。5.3. 13 系统停用和处置在系统运行生命结束时,应按照安全计划和技术安全报告(安全论据的一部分)第5章所定义的方法进行停用和处置。5.4 功能安全和技术安全证据除了5.2、5.3描述的质量和安全管理证据外,为保证系统/子系统/设备针对指定应用的充分安全性得以验收,还应满足由设计安全的技术证据组成的第三个条件,并应包含在技术安全报告之中。由此形成了安全论据的第4部分,如5.1所述。对安全完整性等级1等级4,技术安全报告属强制性的(见附录A关于安全完整性等级的说明)。但其信息深度和支持文档的广度应仔细核实并与系统/子系统/设备的安全完整性等级相适应。安全完整
