EN50129基础培训

2015/10/26EN50129概览安保中心邱兆阳EN501292015/10/262015/10/263安排1)EN50129与其他标准的关系2)EN50129的适用性3)EN50129内容概览4)EN50129使用5)问题和讨论目的了解EN501209EN50129的常见概念EN50129在项目中的基本应用一些关联标准介绍2015/10/262015/10/265安排1)EN50129与其他标准的关系2)EN50129的适用性3)EN50129内容概览4)EN50129使用5)问题和讨论CENELEC欧洲电工标准化委员会法文缩写名为CENELEC2015/10/26与其他标准的关系2015/10/26EN50129SystemSafety&HardwareIEC61508MÜ8004OthersEN50126RAMSEN50128SoftwareSignallingEN50128和IEC61508的同异相同点基于风险的方法安全生命周期概念安全目标方法SIL的定义不同点•EN面向铁路•EN覆盖RAM/SAFETY•EN没有低要求操作模式•IEC没有安全例证2015/10/262015/10/269安排1)EN50129与其他标准的关系2)EN50129的适用性3)EN50129内容概览4)EN50129使用5)问题和讨论适用性本标准适用于所有安全个关轨道交通信号系统/子系统/设备。本标准不适用于既有系统/子系统/设备（即在本标准创建之前它们已被接受）。但只要合理并符合实际，对既有系统/子系统/设备的变更与扩展推荐采用本标准。2015/10/262015/10/2611安排1)EN50129与其他标准的关系2)EN50129的适用性3)EN50129内容概览4)EN50129使用5)问题和讨论EN50129标准结构2015/10/26EN5129目录2015/10/26EN5129目录2015/10/26EN5129目录2015/10/262015/10/2616安排1)系统安全标准历史2)EN50129与其他标准的关系3)EN50129的适用性4)EN50129内容概览5)EN50129使用6)问题和讨论标准的使用规范性附录•给出标准正文的附加或补充条款•需要遵守资料性附录•给出有助于理解或使用标准的附加信息•一般需要遵守•通常是作为最佳实践提出•采用或未采用应给出说明2015/10/26系统/产品的层次•一般产品（GenericProduct-GP）•一般应用（GenericApplication-GA）•特定应用（SpecificApplication-SA）2015/10/26关系2015/10/26危害（Hazard）：可能导致事故的一种状况安全完整性2015/10/26安全完整性：在所有规定的条件和规定的运行环境下以及规定的时间内，安全相关系统完成指定安全功能的能力。安全完整性2015/10/26系统失效完整性：系统避免无法识别的危害错误及其原因影响的等级。安全完整性2015/10/26随机失效完整性：系统避免有危害的随机故障的等级。安全完整性等级SIL(A.5)安全完整性分为4个独立的等级：等级4为安全完整性最高等级等级1为最低等级，等级0用于表明无安全性需求。安全完整性等级是对诸如质量和安全管理以及技术安全条件这类要素的定性评价。2015/10/26安全完整性等级SIL(A.5)安全完整性等级（safetyintegritylevel）:表示针对系统失效时某系统仍可满足指定安全功能所要求的置信度等级的数值2015/10/26安全目标(safetytarget)针对每一特定轨道交通应用，由相关轨道交通主管部门负责给出容许危害率（THR）的安全目标，本标准不予定义。（A.1）THR(tolerablehazardrate):容许危害率容许危害率是关于系统（systematic）失效完整性和随机失效完整性的目标度量。普遍认为仅在考虑随机失效完整性时，容许危害失效率才可以量化。容许危害率依据风险容许准则导出。本标准不定义风险容许准则，它是依照国家立法需求而定。2015/10/26安全目标举例《铁路车站计算机联锁技术条件》几点说明：系统级的危害是在系统边界发生的定义容许危害率，是不是需要针对危害？接下来看ETCS中对容许危害率的定义。2015/10/26安全目标举例SUBSET091《SafetyRequirementsfortheTechnicalInteroperabilityofETCSinLevels1&2》4.2.1.8对核心危害的规定：ThustheCoreHazardforthereferencearchitectureisdefinedasExceedanceofthesafespeed/distanceasadvisedtoETCS.2015/10/26安全目标举例ETCS系统THR规定：ThemaximumallowedrateofoccurrenceforthecorehazardhasbeendefinedbytheRailways-andapprovedbytheNationalSafetyAuthorities1-asbeing2.0*10-9/hour/train.ThisisthemaximumTolerableHazardRate(THR)forETCS,denotedasTHRETCS.2015/10/26安全目标举例轨旁设备THR规定：ThehazardratefortheETCStracksidesystem,lessthosepartsformingpartofthetransmissionsystem,shallbeshownnottoexceedTHRTrackside=0.67*10-9dangerousfailures/hour2015/10/26SIL与安全目标的关系（A5.2）SIL?THR?2015/10/26SIL与安全目标的关系（A5.2）由于无法对系统性故障进行量化，安全完整性等级被用作为匹配定性方法（避免系统失效）和定量方法（控制随机失效）的手段。基于这样一个假设：安全依赖于一些用于避免或容许故障的恰当措施（用于防护系统性故障）和用于控制随机故障的措施。2015/10/26SIL与安全目标的关系（A5.2）SIL表可用于安全相关功能或执行一个或多个这些功能的子系统。如果遵循这此些安全完整性等级所需的措施和方法，当证明满足容许危害率时无须考虑系统性失效。2015/10/26SIL与安全目标的关系（A5.2）SIL表用于根据容许危害率确定需求的安全完整性等级。TheSILtableidentifiestherequiredSILforthesafety-relatedfunctionfromtheTHR.若一个功能F的容许危害率用一种定量方法获得，安全完整性等级可按表A.1确定。2015/10/2650129-2003英文版2015/10/26SIL？SIL应用的问题SIL必须和功能相对应不能由SIL导出THRSIL是要求失效防护功能达到的等级指标简单的满足某个SIL需求并不意味着相关功能是安全的。2015/10/26SIL1/2和SIL3/42015/10/26SIL1/2和SIL3/42015/10/26安全三要素人员资质和能力安全计划中安全组织独立性要求附录E中人员资质要求过程和技术附录EB3.2故障影响安全计划中的要求质量保障计划的要做，要做好2015/10/26系统生命周期2015/10/26系统生命周期2015/10/26系统生命周期应用-验证确认2015/10/26生命周期目的生命周期管理理解EN50129生命周期的目的制定安全保障计划合理制定项目生命周期合理安排每个生命周期阶段的安全保障工作执行安全保障计划每个生命周期进行回顾（如有必要）调整下阶段的工作返回前面阶段2015/10/26生命周期与平时工作的对应2015/10/26生命周期与平时工作的对应2015/10/26项目相关文件2015/10/26系统定义安全计划系统需求接口需求安全需求系统测试规范危害日志风险分析报告系统结构设计故障模式和影响分析（FMEA）故障树分析（FTA）可靠性预计子系统设计系统测试型式试验技术安全报告（TSR）安全管理报告（SMR）质量管理报告安全相关应用条件运行维护手册系统定义对以下内容进行定义系统边界系统主要功能系统运行环境适用的标准规范与EN50129对应SC的第一部分进行PHA基础识别系统边界危害（表E.6失效和危害分析方法）2015/10/26安全计划（5.3.4）包括以下内容在生命周期的开始前期制订确定安全管理结构、整个生命周期的安全相关活动对安全计划进行复查的需求安全计划应包括硬件和软件两方面安全论据的编写计划定义安全组织，独立性安全验证和确认与EN50129对应在安全管理报告（SMR）中记录安全计划的执行情况。安全组织要求附录E技术措施选择2015/10/26安全计划（5.3.4）-续满足表E.1的要求2015/10/26安全计划（5.3.4）-续2-安全组织2015/10/26安全计划（5.3.4）-续2-安全组织2满足表E.3要求2015/10/26系统需求规范包括以下内容：系统功能系统接口系统工作模式系统工作环境与EN50129对应根据系统需求规范编写系统测试规范根据系统需求规范进行SHATSR中系统需求规范的实现2015/10/26系统需求规范-满足表E.22015/10/26安全需求规范安全需求（A5.2）与安全相关的需求通常称为安全需求安全需求可以单独编写成文件安全功能需求就是系统/子系统/设备应具备的与安全相关的实际功能安全完整性需求定义了每一安全相关功能的SIL2015/10/26安全需求规范（5.3.6）应包括：每个系统/子系统/设备的特定安全需求，包括安全功能和安全完整性来自于危害识别和分析，风险评估和分类，安全完整性等级分配也应遵守表E.2的要求。与EN50129对应与危害日志对应编写相应的测试规范TSR中安全需求规范的实现2015/10/26系统测试规范应包括：测试环境测试策略测试用例与EN50129对应根据系统需求规范编写TSR中系统需求规范的实现（B2.3）TSR中安全需求规范的实现（B2.4）2015/10/26风险分析（A.4.1）风险（Risk）:危害事件发生的频度或概率与其后果的组合风险分析在系统生命周期的各个阶段进行2015/10/26危害日志（5.3.5）-Hazardlog对安全管理活动、危害识别、决策制订和采用方案进行记录或给出索引的文档。（3.1.21）要求：应创建并在整个安全生命周期内维护危害日志危害日志包括一个已识别危害的清单，以及与每个危害关联的风险分类和风险控制信息。危害日志应随系统/子系统/设备的更新而更新与EN50129对应与安全需求规范对应A4.1风险分析中，危害日志记录危害识别结果2015/10/26危害日志-例子2015/10/26危险源编号HazardID危险源描述HazardDescription原因描述Causation后果描述Consequence风险区域（识减缓/消除措施MitigationorElimination相关安全需求RelativeSafetyRequirement安全相关应用条件SafetyRelatedApplicationConditionHZ/CBI/DS6/SW/002进路错误解锁1.轨道电路瞬时分路不良；2.轨道电路停电恢复、站内轨道电路的室内断路器或轨道发送或接受设备断路再恢复、异物侵限电路动作后恢复造成冲撞，人员伤亡R1已锁闭的进路不应因下列原因错误解锁：轨道电路瞬时分路不良（延时3s之内）；轨道电路停电恢复、站内轨道电路的室内断路器或轨道发送或接受设SRS_29-R轨道电路停电、站内轨道电路的室内断路器或轨道发送或接受设备断路、异物侵限电路动作应使轨道停电继电器落下SRAC/DS6/014系统结构设计要求：自顶向下的分层设计将系