《铁路信号安全电子系统应遵循的一般原则及安全性判定精编版》由会员分享,可在线阅读,更多相关《铁路信号安全电子系统应遵循的一般原则及安全性判定精编版(11页珍藏版)》请在金锄头文库上搜索。
1、精品资料推荐一 铁路信号安全电子系统应遵循的一般原则及安全性判定1. 系统整体上必须具有足够高的可靠性,并按照安全性完善度等级的划分原则,确定系统整体和各局部的安全性等级,采用与该等级相适应的技术来制作硬件和软件。对于安全性完善度为最高等级系统以及即使不是最高等级系统的生命攸关功能的实现必须符合“故障安全”的设计原则。2. 系统的整个生命周期自始至终必须处在严格的质量保障体系的监管之下。质量管理也包括在对安全性完善度的考察范围之内。3. 系统的行、调车指挥功能和安全功能很难截然分开,因此在需求规格说明中,表述一个功能时,应该同时指出在实现该功能时需要防范的风险。凡是已经列入需求规格说明书的安全
2、性要求可以视为基本需求的内容。没有同时表述的安全性要求,除了相关技术标准已有明确规定以外,需要单独编制安全性需求说明书。4. 系统验收时,对涉及安全性要求的验收依据,除了需求规格说明书之外,还包括相关的技术或管理标准、规范中载明的和蕴涵的安全性内容。5. 合理地评价系统的安全性往往要求对系统的安全性进行某种定量估计。一个具体铁路信号安全电子系统是否需要给出定量的安全性指标,取决于铁路主管部门根据管理的需要决定。如果提出某一安全性定量指标,就必须指出赖以获得该指标的模型在什么条件下是适用的和在什么范围内是有意义的。对于所有基于统计试验的安全性概率估计,由于安全性试验可能得到的数据样本很少,因此,
3、在提出估计值时必须同时给出置信度和置信区间才是有意义的。6. 安全性完善度是从技术和管理上保障安全的概念。用安全性完善度衡量系统的安全性,主要通过验证所有安全性问题的完善处理技术是否得到采用,质量管理措施是否落实来实施。安全性完善度也可以有条件地进行量化,代表技术上和管理上的完善性,它是对统计试验数据依赖较小的一种评价方法。7. 系统的安全性不能完全依赖故障检测,故障检测对某些意外出现的故障状态有漏检的可能。有些故障在检测之后并不一定立刻能消除故障的影响。当出现这种情况时,不能确定的状态也应归在危险状态的范畴内。8. 系统中应特别注意电气和非电气环境因素的影响,以保证规定的功能都能安全地实现。
4、 9. 系统中除了安全性以外,关于可靠性、可用性和可维修性的术语遵循通用的电子或机械领域的定义。二 铁路信号系统的安全性完善度通常分为五级:1. “最高级”也称“级”。所指对象对铁路运输而言其整体功能是“生命攸关的”、对安全是“苛求的(critical)”、设计必须是“故障-安全”的;2. “高级”也称“级”。所指对象对铁路运输而言其部分功能是“生命攸关的”、对安全也是“苛求的”、安全性设计应该是“高完善度的”;3. “中级”也称“级”。所指对象对铁路运输而言其功能是“不可缺少的(essential)”、是“涉及安全的involved)”;、安全性设计应该是“中完善度的”;4. “低级”也称“
5、级”。所指对象在铁路运输而言其功能也是“不可缺少的”、也是“涉及安全的”、但安全性设计可以是“低完善度的”;5. “零级”。它对铁路运输而言其功能不是“不可缺少的”、但和安全性是“不相关的(non-safety-related)”、没有安全性的设计要求。 凡是新开发的铁路信号产品要根据技术安全性要求提出单独的、足以证实这些要求的技术安全性报告。三 正常条件下的功能安全性要求正常条件下的功能安全性是指系统没有发生故障也不存在误操作等危害源的情况下,系统按规定保障铁路安全运行的能力。对于已有专门技术标准的各类信号设备应严格遵循这些标准的要求。对于没有标准可遵循的设备,必须提出功能和技术安全性报告。
6、 功能和技术安全性报告必须是完整的,包括在内的所有安全性完善度等级的要求。必须解释确保安全设计的技术原则并包括所有技术支持依据。在正常条件下,保证系统正确运行的的技术安全性报告应包括:. 系统结构描述。. 接口定义包括人机接口和系统接口的定义。人机接口又分为操作人员的人机接口和为维护人员的人机接口;系统接口又分内部接口和外部接口。. 系统需求的实现。具体说明系统需求的功能通过设计满足的依据:设计原理和计算、测试说明和测试结果等。d. 系统运行特定环境。指通风、温度、湿度、电磁干扰屏蔽等。e. 保证正确的硬件功能。说明硬件设计安全性完善度等级,可靠性、可用性等。f. 保证正确的软件功能。说明软件
7、设计安全性完善度等级。提出软件可用性报告和测试报告,其中包括硬件和软件之间的相关性、相互作用的顺序、响应时间、自测试例行规程、状态监督、数据采集约束等。g. 外界干扰下的运行。存在特定的外界干扰下满足功能需求和安全性需求的能力。对安全性苛求系统,在设计中应提出在超出规定限制的外界干扰条件下保持安全工作的原则意见。h. 与安全性相关的应用条件;尽管本标准侧重于系统/子系统/设备的功能安全性,但也应考虑操纵和维护人员的健康和安全,主要有:生产、安装、测试和交付使用中的防护措施;系统常规操作规程、诊断故障和进行维护的规则和方法、电磁伤害的预防;辅助设备和工具等的安全性验证。四 软件设计技术要求在不牺
8、牲可维护性的前提下,在结构设计时就应控制软件的规模和复杂性。应选择一套和安全性完善度相适应的编程语言和编译工具。翻译器或编译器应是成熟的、已经获得承认的并能出示国家或国际“认证证书”的,否则需要一个详细报告说明它能满足安全性的要求。在软件设计时就应确定软件的测试方法。1 软件集成技术要求软件集成是一个逐步将软件单元、模块合成软件系统的过程。目的是在整个系统集成和测试之前充分地证明模块接口和装配的正确性。软件模块测试结果应记录在软件模块测试报告中。软件集成和测试可在目标机或仿真目标机上进行。但是,如果软件集成测试在仿真目标机上进行,在目标机上应进行补充附加测试来证实软件集成测试活动的有效性。软件
9、集成计划中应确定软件模块的集成方式,应写明:集成层面的划分;测试案例和测试数据;要执行的测试类型;测试环境、工具、配置和程序;判断测试是否实现了测试目标。产生的软件集成报告应给出测试结果及是否满足软件集成计划的结论。如果集成失败,则要记录失败的原因。在软件集成期间,对软件的任何修改或变动都要进行影响分析并进行必要的重新验证活动。2 软件安全性测试软件安全性测试因目的不同分为:由生产方自行在开发各阶段实施的测试;由规定部门(第三方)实施的测试,包括用于认证的测试、验收测试、设计资质检验的测试和各种委托的测试。测试方法可选择白箱测试或黑箱测试。由第三方和用户进行的测试可以只采用黑箱测试方法。3 软
10、件安全性技术审查主要是对软件生命周期中涉及安全性相关文档的完整性、正确性和可追溯性所进行的审查。软件生命周期的文档要求见附录E。审查的内容有:安全性需求说明书对系统安全需求的识别;软件体系结构设计对安全性需求规格说明的覆盖;软、硬件集成报告对集成计划的覆盖;安全测试报告对安全性测试计划的覆盖等。五 信息传输安全性技术要求安全信息传输需要远远高于用于一般目的的信息传输系统所需要的差错防护机制。专用的铁路安全信息传输系统通常应是一个封闭的传输系统。为实现在铁路信号工作条件下的安全信息传输安全性,需要了解传输差错发生的条件和失效的形态。安全信息传输要求在错误发生时,传输系统必须按照“故障安全”原则转
11、移到预定的安全状态。1概念化模型选取一个多层(多级)结构的概念模型(见图1)来表明传输过程中不同成分之间的关系。在模型中,需要保护的信息处在“最高”层上。大多数通用数据传输系统的组织结构,都要使得每一层的设计和实现分离开来。低层一般对高层透明。图1 多层(多级)传输结构模型在安全信息多层传输连接中,某一层没有发现的错误在高一层必须发现。任何一层的错误检测机制都要考虑到其他层次的特性。每层都必须考虑信息传输以及相应的错误和防护类型。在最低层信息以物理信号方式发送,中间层以数字信号发送,最高层以完整内容的信息发送。系统的每一个成分都会给信息传输带来延迟,尤其是存储器。延迟随成分不同各异。可接受的最
12、大延迟取决于应用。系统中的不同层次都可能存在闭环。闭环中两个传输方向上传输部件间的物理连接不一定要对等。2传输系统中的错误真实传输系统与理想安全性的接近程度可以用传输中错误的漏检率来表示。需要通过分析判定系统是否能够防止突发、零星或系统错误。在错误率很高时需要采用特殊的防护策略。为了估计传输安全性仅考虑平均错误率是不够的,还要检测错误的时间分布。这就需要建立错误分布的数学模型和估计相关的分布参数。3错误源分类错误源主要分为系统内部和系统外部两大类。 系统内部错误源 系统自身错误(来自硬件成分或软件的缺陷以及噪声)在系统正常运行时也会起作用。它们的暴露通常呈随机或近似随机分布。源于硬件故障的错误
13、可能产生复杂的错误后果,它会使编码和信息重发措施的防护效力降低。由于错误产生是因为硬件故障,因此定量和定性分析可以采用故障模式影响分析方法(FMEA)。软件错误大多来自人为因素(设计、维护等),属于系统失效范围。 系统外部错误源外部错误源可分为环境和人因错误。所有系统都会受到外部影响,但受影响的程度很大一部分取决于传输的物理介质和设备特性。外部错误可能突然发生并通过系统部件加以放大。一些错误源(如公路上车辆点火塞放电噪声)会引发周期性分布的错误。由于牵涉到许多变化的因素,通用的电磁环境特性不能完全照搬使用。可以在现存的文献中从类似系统中找到有用的信息,也可以通过有效的测量来确定与某特定的或一类
14、相关系统的参数。 不同错误源影响的相关性不同错误源产生的影响不一定各自独立。导致噪音增加、阈值降低或带通改变的元器件故障、增益调整偏差等人因差错都会导致系统内部各成分间相关错误影响的加深。4与错误类型相关的概念化模型等级 系统内在错误及外部影响导致的错误最有可能在概念模型的低层发生。外部影响通常主要局限在物理连接中,但不能排除在较高层发生外部错误的可能。设备本身故障与模型的高层(协议、寻址、编码以及可能的调制和解调等)有关系。这类错误也会引入到物理连接中。5安全信息防护技术 防护应用层次a. 物理层:只考虑物理信号的模拟特性;b. 数据层:相关的保护技术主要集中在位(bit)模式上;c. 过程
15、层:信息保护主要体现在数字信息的相关模式上,不考虑位模式也不涉及信息的具体意义;d. 内容层:在检查正确性的时候要考虑传输编码被指派的信息在实际系统中的意义。 信息冗余与编码对“数据层”和“过程层”的信息保护主要依靠信息冗余技术。 信息重发是一种信息冗余也是一种检错技术,对关键数据采用信息重发,能够提高传输的安全性。重发技术常常被采用是因为它的检测器很容易按照“故障-安全”的要求来实现。使用纠错编码能够提高安全传输的可靠性和可用性。在选用纠错编码时要注意:传输连接中的故障必须能及时发现,如果这些故障被纠错机制掩盖而不能立即发现,造成不能及时维护反而降低了安全性水平;纠错器应该按“故障-安全”的要求设计。否则,在使用纠错编码传输的安全性苛求系统中,安全信息的传输还必须同时结合使用信息重发技术。(说明:采用纠错码和采用硬件冗余及多版软件在提高可靠性、安全性的机理上是一样的,所以不能绝对地说禁止使用纠错码。只要技术和经济上合理,不能排除使用的可能。)要注意检错码在解码器上也能纠正一些有小错误的信息。但在安全系统中不能依赖这个功能,因为该功能会增加错误漏检的概率。 过程数据保护在信息冗余的处理过程中,信息单元通常是多位的字,考虑的问题主要侧重于信息间的关系而不是单个信息中各个位之间的关系
