铁路信号安全电子系统应遵循的一般原则及安全性判定.doc

一 铁路信号安全电子系统应遵循的一般原则及安全性判定 系统整体上必须具有足够高的可靠性，并按照安全性完善度等级的划分原则,确定系统整体和各局部的安全性等级，采用与该等级相适应的技术来制作硬件和软件。对于安全性完善度为最高等级系统以及即使不是最高等级系统的生命攸关功能的实现必须符合“故障－安全”的设计原则。 系统的整个生命周期自始至终必须处在严格的质量保障体系的监管之下。质量管理也包括在对安全性完善度的考察范围之内。 系统的行、调车指挥功能和安全功能很难截然分开，因此在需求规格说明中，表述一个功能时，应该同时指出在实现该功能时需要防范的风险。凡是已经列入需求规格说明书的安全性要求可以视为基本需求的内容。没有同时表述的安全性要求，除了相关技术标准已有明确规定以外，需要单独编制安全性需求说明书。 系统验收时，对涉及安全性要求的验收依据，除了需求规格说明书之外，还包括相关的技术或管理标准、规范中载明的和蕴涵的安全性内容。 合理地评价系统的安全性往往要求对系统的安全性进行某种定量估计。一个具体铁路信号安全电子系统是否需要给出定量的安全性指标，取决于铁路主管部门根据管理的需要决定。如果提出某一安全性定量指标，就必须指出赖以获得该指标的模型在什么条件下是适用的和在什么范围内是有意义的。对于所有基于统计试验的安全性概率估计，由于安全性试验可能得到的数据样本很少，因此，在提出估计值时必须同时给出置信度和置信区间才是有意义的。 安全性完善度是从技术和管理上保障安全的概念。用安全性完善度衡量系统的安全性，主要通过验证所有安全性问题的完善处理技术是否得到采用，质量管理措施是否落实来实施。安全性完善度也可以有条件地进行量化，代表技术上和管理上的完善性，它是对统计试验数据依赖较小的一种评价方法。 系统的安全性不能完全依赖故障检测，故障检测对某些意外出现的故障状态有漏检的可能。有些故障在检测之后并不一定立刻能消除故障的影响。当出现这种情况时，不能确定的状态也应归在危险状态的范畴内。　 系统中应特别注意电气和非电气环境因素的影响，以保证规定的功能都能安全地实现。 系统中除了安全性以外，关于可靠性、可用性和可维修性的术语遵循通用的电子或机械领域的定义。 二 铁路信号系统的安全性完善度通常分为五级： “最高级”也称“４级”。所指对象对铁路运输而言其整体功能是“生命攸关的”、对安全是“苛求的（critical）”、设计必须是“故障-安全”的； “高级”也称“３级”。所指对象对铁路运输而言其部分功能是“生命攸关的”、对安全也是“苛求的”、安全性设计应该是“高完善度的”； “中级”也称“２级”。所指对象对铁路运输而言其功能是“不可缺少的（essential）”、是“涉及安全的involved）”；、安全性设计应该是“中完善度的”； “低级”也称“１级”。所指对象在铁路运输而言其功能也是“不可缺少的”、也是“涉及安全的”、但安全性设计可以是“低完善度的”； “零级”。它对铁路运输而言其功能不是“不可缺少的”、但和安全性是“不相关的（non-safety-related）”、没有安全性的设计要求。 ※ 凡是新开发的铁路信号产品要根据技术安全性要求提出单独的、足以证实这些要求的《技术安全性报告》。 三 正常条件下的功能安全性要求 正常条件下的功能安全性是指系统没有发生故障也不存在误操作等危害源的情况下，系统按规定保障铁路安全运行的能力。对于已有专门技术标准的各类信号设备应严格遵循这些标准的要求。对于没有标准可遵循的设备，必须提出功能和技术安全性报告。 功能和技术安全性报告必须是完整的，包括１～４在内的所有安全性完善度等级的要求。必须解释确保安全设计的技术原则并包括所有技术支持依据。在正常条件下，保证系统正确运行的的技术安全性报告应包括： ａ. 系统结构描述。 ｂ. 接口定义包括人机接口和系统接口的定义。人机接口又分为操作人员的人机接口和为维护人员的人机接口；系统接口又分内部接口和外部接口。 ｃ. 系统需求的实现。具体说明系统需求的功能通过设计满足的依据：设计原理和计算、测试说明和测试结果等。 d. 系统运行特定环境。指通风、温度、湿度、电磁干扰屏蔽等。 e. 保证正确的硬件功能。说明硬件设计安全性完善度等级，可靠性、可用性等。　 f. 保证正确的软件功能。说明软件设计安全性完善度等级。提出软件可用性报告和测试报告，其中包括硬件和软件之间的相关性、相互作用的顺序、响应时间、自测试例行规程、状态监督、数据采集约束等。 g. 外界干扰下的运行。存在特定的外界干扰下满足功能需求和安全性需求的能力。对安全性苛求系统，在设计中应提出在超出规定限制的外界干扰条件下保持安全工作的原则意见。 h. 与安全性相关的应用条件； 尽管本标准侧重于系统/子系统/设备的功能安全性，但也应考虑