导图社区 铁路标准-功能安全
- 40
- 0
- 0
- 举报
铁路标准-功能安全
这是一篇关于Railway Standard 铁路标准——keywor的思维导图,主要内容包括:standard file,noun,sum,参考文献。
编辑于2025-02-24 14:12:33- 功能安全
- 铁路标准
- IEC61508
- EN50128
- EN50129
- 相似推荐
- 大纲
Railway Standard 铁路标准 ——keyword:SIL、RAMS
standard file
EN
EN50159
EN50159-1-2001:《 轨 道 交 通 通 信 、 信 号 和 处 理 系 统 第 1 部 分 :封闭式传输系统中的安全相关通信》 (已废止)
EN50159-2-2001:《 轨 道 交 通 通 信 、 信 号 和 处 理 系 统 第 2 部 分 :开放式传输系统中的安全相关通信》 (已废止)
EN50159:Railway applications –Communication, signaling and processing systems – Safety-related communication in transmission systems-20100 《轨道交通通信、信号和处理系统 传输系统中的安全相关通信》 ——GB/T 24339.1
第1部分:封闭式传输系统中的安全相关通信
前言
引言
定义: 封闭式传输系统可连接设备的最大数量和拓扑是已知的。 传输系统物理特征:是固定的传输系统。
安全相关和非安全相关的设备都可以与传输系统连接
错误影响到安全相关通信时,需要: ——检查错误 ——启动一个安全反应
char
范围
规范性引用文件
术语和定义
参考结构
传输系统特征和安全规程之间的关系
功能完整性要求
安全完整性要求
安全规程要求
总则
安全相关设备间的通信
安全相关设备与非安全相关设备之间的通信
非安全相关设备间的通信
安全编码要求
总则
安全目标
安全编码的长度
附录A(资料性附录)安全编码的长度
第2部分:开放式传输系统中的安全相关通信
前言
引言
char
范围
规范性引用文件
术语和定义
参考结构
传输系统的威胁源
防护要求
总则
总体要求
具体防护
防护威胁措施的适用性
概述
威胁/防护矩阵
安全编码和加密技术的选择和使用
附录A(资料性附录)防护指南
附录B(资料性附录)参考文献
附录C(资料性附录)本部分使用指南
附录D(资料性附录)开放式传输系统的威胁
EN50126
EN50126-1999(已废止)
EN50126-2017:Railway applications – The Specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) 轨道交通——可靠性、可用性、可维修性和安全性规范及示例 ——GB/T 21562-2008 ——IEC 62278
EN50126-1-2017 《轨道交通可靠性、可用性、可维修性和安全性 (RAMS) 规范及示例 第 1 部分:通用RAMS 过程》
第 5 章明确了轨道交通 RAMS 的概念,指出 RAMS 各要素之间的关系和影响因素,提出了降低 RAMS 风险的策略
第 6 章规定了生命周期阶段的通用任务和RAMS 任务、风险评估、组织管理、文档要求、验证和确认以及独立安全评估的目标和活动
第 7 章规定了 RAMS 活动在每个生命周期阶段的目标、活动和交付物
第 8 章规定了安全论据的目的和内容。
附录 A 给 出 了 RAMS 规 划 示 例
附 录 B 给 出 了RAMS 参数示例
附录 C 给出了风险矩阵和风险接受准则
附录 D 给出了系统定义指南
EN50126-2-2017 《轨道交通可靠性、可用性、可维修性和安全性 (RAMS) 规范及示例 第 2 部分:安全系统方法/应用》
第 5 章规定了安全流程,包括风险评估、风险识别和控制、风险评估修订
第 6 章规定了安全演示和验收流程
第 7 章规定了生命周期阶段人员的职责和素质
第 8 章规定了风险评估的方法
第 9 章规定了系统安全要求规范以及功能安全、技术安全和应用条件安全的要求;
第 10 章规定了分配功能安全完整性要求和实现
第 11 章规定了框架和系统需求分配阶段,以及设计和实现阶段的安全性工作,包括因果分析、危险识别和共同原因分析。
附录 A 提出了 ALARP、GAME、MEM 3 种风险接受准则
附录 B 提出了如何根据故障和事故统计信息派生 THR
附录 C 提出了 SIL 分配指南; 附录D 规定了安全目标分摊方法
附录 E 给出了风险量化中的常见错误
附录 F 给出了安全分析的技术和方法; 附录 G 规定了关键系统安全角色和责任。
GBT 21562
轨道交通 可靠性、可用性、可维修性和安全性规范及示例
第二部分:安全性的应用指南
第三部分:机车车辆RAM的应用指南
EN50128
EN50128-2001(已废止)
EN50128-2011:Railway applications – Communication, signaling and processing systems – Software for railway control and protection systems 轨道交通——通信、信号、处理系统——控制和防护系统软件 ——GB/T 28808
前言
引言
原则
功能步骤
char
一、 范围
二、 规范性引用文件
三、 术语和定义
四、 目标和一致性
五、 软件安全完整性等级
目标
定义软件的安全完整性等级的设置
六、 人员和人员职责
七、 生命周期和文档
目标
规划软件开发的阶段和活动
记录贯穿整个软件生命周期的所有与软件相关的信息
列了项目过程中涉及的相关文件
八、 软件需求规范
目标
描述一个文档,为满足所有系统需求,该文档根据软件安全完整性等级规定了一整套的软件需求,它是对每个软件工程师均适用的综合性文档。
用于描述软件需求测试规范
输入 | 输出文档
九、 软件结构
目标
导出软件结构,按照选定软件安全完整性等级的要求实现软件需求规范的需求
评审系统结构对软件的需求
确定和评价硬件/软件交互作用对安全性的重要性
如果之前没有定义设计方法,那么选择一种设计方法
十、 软件设计和实现
目标
设计和实现在软件需求规范和软件结构规范中既定软件安全完整性的软件
获得可分析、可测试、可验证和可维护的软件。此阶段还包括模块测试,由于验证和测试在确认过程中起关键作用,所以在设计和开发的过程中应特殊考虑验证和测试要求,以确保从一开始就使用目标系统及其软件易于测试。
在促进确认、验证、评估和维护的整个软件生命周期内,选择一套适合所要求的软件安全完整等级工具,包括语音和编辑器。
要求
10.4.4
追溯到软件结构的软件组件及其安全完整性等级
10.4.8
只要适用,就应适用自动化测试工具和集成开发工具。
10.4.9
选定的软件安全完整性等级的要求,所选程序设计语言应具有翻译器/编辑器,且该应具备下述条件
10.4.10
所选语言应满足以下要求
10.4.14
软件模块测试要求
十一、 软件验证和测试
目标
按照选定的软件安全完整性等级的要求,按本阶段提出的输入,测试并评价某一给定阶段的产品,以确保产品正确并与标准一致。
十二、 软件/硬件集成
目标
证明软件和硬件间正确地交互作用,完成它们预定的功能
组合软件与硬件并确保它们的相容性,以满足系统安全需求规范和设定的软件安全完整性等级的需求。
十三、 软件确认
目标
分析和测试已集成系统,以确保其符合软件需求规范,并注重安全完整性等级对功能和安全性的特定要求。
十四、 软件评估
目标:评价生命周期过程和形成的产品,以判定软件是否达到设定的软件安全完整性等级,及能否在预期应用中适用。
要求:评估员。。。
十五、 软件质量保证
目标
确定、监控所有保证软件达到要求的质量需采取的技术和管理活动,为有效开展验证和确认活动,需提供针对系统性故障所需的定性防护并形成审核记录。
十六、 软件维护
目标
确保软件要求执行,并在对软件自身作纠正,功能增强和修改时保持软件安全完整性等级和可信性
十七、 基于应用数据配置的系统
目标
轨道交通控制和防护系统的一个显著特征是需要为满足特定应用的需求设计装置。由应用数据配置的系统允许使用“型式审批”过的通过软件,每个装置的特定需求应被定义成数据(专用数据),这数据一般采取列表信息形式或采用由通用软件解释的专用语言
软件开发
软件需求规范阶段:应确定每个系统和子系统中哪些功能将使用应用数据,分配给每个子系统的系统安全完整性等级将决定系统所有装置的数据后续开发的应用标准。
软件设计阶段:应确定通用软件和应用数据之间的详细接口,除非这已在生命周期的早期阶段中得以规定,例如:要求使用现存的面向特定应用的语言的结果。
软件模块设计阶段:程序源代码和数据之间应实行严格的分离,及除非对软件和数据之间的已规定接口做了变动,否则可在不修改另一部分(数据或软件)时就对通用软件或数据进行重新编译和修改。类似地,待定应用数据宜和其他数据分开。
在软件维护阶段:修改控制规程应确保只有在确定被修改的通用软件和原数据相兼容或对数据已作必要的修订后,才能安全修改后的通用软件
在软件验证过程和软件确认阶段。。。
概要
软件安全路线图
开发生命周期1
开发生命周期2
附录A(规范性附录)技术和措施的选择和准则 —— char7~16的每个条款都有相关的条款表格来说明实现符合的方法
表A.1 生命周期和文档(第7章)
表A.1 软件需求规范(第8章)
表A.3 软件结构(第9章)
表A.4 软件设计和实施(第10章)
表A.5 验证和测试(第11章)
表A.6 软件/硬件集成(第12章)
表A.7 软件确认(第13章)
表A.8 需评估的条款
表A.9 软件评估(第14章)的评估技术
表A.10 软件质量保证
表A.11 软件维护
表A.12 第10章参考设计和编码标准
表A.13 第11章和第14章参考的动态分析和测试
表A.14 第10章、第12章、第13章和第14章参考的功能/黑箱测试
表A.15 第10章 参考的程序语言
表A.16 第13章 参考的建模(图)
表A.17 第10章、第12章和第13章参考的性能测试
表A.18 第8章和第10章参考的半形式化方法(图)
表A.19 第11章和第14章参考的半形式化方法
表A.20 第10章参考的模块化方法
附录B(资料性附录)技术参考资料
1||| 人工智能故障纠正
目标:借助引入方法和过程模型的组合以及某种在线安全性和可靠性分析,以便能用一种很灵活的方式应答可能的危害
2||| 可分析的程序
目标:以一种便于程序分析的方法来设计程序。程序行为在基于分析基础上一定是安全可测试的。
3||| 雪崩/过载测试
4||| 边界值分析
5||| 反向恢复
6||| 因果图
7||| 经认证的工具和经认证的翻译器
8||| 检查表
9||| 控制流分析
10||| 共因失效分析
11||| 数据流分析
12||| 数据流图
13||| 数据记录和分析
14||| 判定表
15||| 防御性编程
16||| 设计和编码标准
17||| 软件多样化
18||| 动态再配置
19||| 等价类和输入分区测试
20||| 差错检测码和纠正码
21||| 错误推测
22||| 错误播种
23||| 事件树分析
24||| Fagan(菲根)检查法
25||| 失效断言编程
26||| SEEA——软件错误影响分析
27||| 故障检测和诊断
28||| 故障树分析
29||| 有限状态机/状态转换图
30||| 形式化方法
CCS——通信系统的计算
附录NA(资料性附录)与规范性引用国际文件有关的我国文件
GB/T 28808-2021
1||| 前言
2||| 引言
软件承担的功能安全风险
3||| 范围
4||| 规范性引用文件
5||| 术语、定义和缩略语
6||| 目标、一致性和软件安全完整性等级
定义:
4.8 HR的技术要用上
7||| 软件管理和组织
规定了人员组织
生命周期和文档
子主题
8||| 软件保证
软件测试
软件验证
软件确认
软件评估
软件质量保证
9||| 通用软件开发
通用软件和生命周期和文档
软件需求
架构和设计
10||| 应用数据或算法的开发
11||| 软件部署和维护
12||| 附录
A(规范性)技术和措施的选择准则
B(资料性)技术的目标和描述
C(规范性)软件角色的职责和关键能力
D(资料性)文档控制概要)
EN50129
EN50129-2018:Railway applications – Communication, signaling and processing systems – Safety related electronic systems for signalling 轨道交通——通信、信号、处理系统——信号用安全相关电子系统 ——GB/T 28809
前言
引言
char
一、 范围
二、 规范性引用文件
三、 术语和缩略语
四、 整体框架
五、 安全验收和审批条件
1. 安全论据
1||| 质量管理证据
2||| 安全管理证据
3||| 功能安全和技术安全证据
在下面的章节
2. 质量管理证据
3. 安全管理证据
安全生命周期
安全组织
安全计划
危害日志
安全需求规范
系统/子系统/设备的设计
安全评审
安全验证和确认
安全举证
系统/子系统/设备交付
运行和维护
系统停用和处置
4. 功能安全和技术安全证据
5. 安全验收和审批
附录A(规范性附录)安全完整性等级
概要
安全需求
安全完整性
安全完整性需求的分配
风险分析
系统定义和危害识别
后果分析、风险评估和容许危害率分配
危害控制
原因分析
共因失效分析
物理独立性
功能独立性
流程独立性
对由设计引入的新危害的识别与处理
安全完整性等级SIL
概要
SIL与安全目标的关系
附录B(规范性附录)技术需求
(1) 概要
(2) 功能正确运行的保障
(3) 故障的影响
(4) 外界影响下的运行
(5) 安全相关应用条件
(6) 安全合格测试
附录C(规范性附录)硬件元器件失效模式的识别
(1) 概要
(2) 一般规程
(3) 针对集成电路的规程(包含微处理器)
(4) 带内在物理特征元器件的规程
(5) 元器件失效模式的通用说明
(6) 带有内在物理特征元器件的附加通用说明
(7) 带有内在物理特征的元器件的特别说明
附录D(资料性附录)补充资料
概要
内部物理独立性的获得
主要独立性
次要独立性
外部物理独立性的获得
单一故障分析方法实例
多重故障分析方法实例
附录E =(资料性附录)安全相关电子信号系统避免系统性故障以及控制随机故障和系统性故障的技术和措施
表1:安全计划和质量保证活动
表2:系统需求规范
表3:安全组织
表4:系统/子系统/设备的结构
表5:设计要点
表6:失效和危害分析方法
表7:系统/子系统/设备的设计和开发
表8:设计阶段的文档
表9:系统和产品设计的验证和确认
表10:实时、运行和维护
参考文献
129规定的3种方式
组合式
采用组合式实现方式,每个安全相关功能应至少由两个项来执行。各项之间互相独立,避免共因失效,并且应该能检测出一个项中的危险故障并在足够的时间内加以拒绝,以避免第2个 项发生相同故障。组合式安全电路实现原理如图2所示。 组合式安全电路的本质是采用相异的冗余电路实现功能安全,消除电路单点故障。
反应式
采用反应式实现方式,这种技术允许一个安全功能由单个项执行,前提是通过快速的危险故障检测和拒绝来确保它的安全操作。虽 然只由一 个项来实施实际的安全功能,但检查/测试/检测功能应被看作第2项,并且两项之间相互独立,避免共因失效。反应式安全电路实现原理如图3所示。 反应式安全电路的本质是利用相异电路互相校验实现功能安全。
固有式
采用固有式实现方式,一个安全功能仅由单个项执行,且该项所有失效模式均为安全的。固有式安全电路实现原理如图4所示。固有式安全电路的本质是利用电路的独特性确保电路任何失效模式均导向安全,实现功能安全。
EN50657:铁路应用 机车车辆应用机车车辆上的软件-2017
IEC
IEC61508-2010系列标准: 《电气/电子/可编程电子安全相关系统的功能安全》 —— GB/T 20438
1. 一般要求
引言
范围
规范性引用文件
定义和缩略语
与GB/T20438的符合性
文档
功能安全管理
整体安全生命周期的要求
概述
概念
整体范围确定
危险与风险分析
整体安全要求
整体安全要求分配
2. 电气/电子/可编程电子安全相关系统的要求
3. 软件要求
4. 定义和缩略语
5. 确定安全完整性等级的方法示例
6. GB/T 20438.2和GB/T 20438.3的应用指南
7. 技术和措施概述
noun
风险 RISK
工业自动化的生产过程都或多或少的存在危险。工业设备(比如:一套液压系统、一套电气传动系统或一套气动控制系统)在运行过程中可能会发生故障而导致某些危险,这些危险可能会造成的伤害包括人的身体的损伤、健康状态的损害、财产的损失或者环境的破坏。 发生危险时可能会造成伤害,也可能不会造成伤害。当造成伤害时,有的情况下是一种轻度伤害,有的情况下是比较严重的伤害。我们把危险发生时,造成伤害的概率和伤害程度的组合,称为风险(Risk)。————https://zhuanlan.zhihu.com/p/452293478?utm_medium=social&utm_oi=1571785701376602112&utm_psn=1575625024437907456&utm_source=wechat_session
可容忍风险:给定范围内的风险都是可以接收的
安全:不可接收风险的状态
SRAC(安全相关应用条件)
SRAC是指“安全相关应用条件” ,也叫做“导出风险” 。SRAC的概念是在CENELEC EN50129标准中定义的,它是项目的RAMS团队的任务,要开发适当的文档,交付给用户 。SRAC必须被视为与设备或安装转移相关的法律合同,它涉及到安全方面的含义。
例子:
一个SRAC的例子是,如果一个铁路信号系统的制造商提供了一个产品,它需要在特定的温度范围内工作,那么这个温度范围就是一个SRAC,用户必须保证在安装和使用该产品时遵守这个条件 1 。另一个SRAC的例子是,如果一个铁路车辆的制造商提供了一个产品,它需要与特定的轨道类型兼容,那么这个轨道类型就是一个SRAC,用户必须保证在运行该车辆时遵守这个条件。
功能安全(Functional Safety)
整体安全中与受控设备和受控设备控制系统相关的部分,它取决于电气/电子/可编程电子安全相关系统和其他风险降低措施正确执行其功能。——https://zhuanlan.zhihu.com/p/452293478?utm_medium=social&utm_oi=1571785701376602112&utm_psn=1575625024437907456&utm_source=wechat_session ( 理解为一个相对整体的概念)
安全功能(Safety Function)
针对特定的危险事件,为实现或保持受控设备的安全状态,由电气/电子/可编程电子安全相关系统或其他风险降低措施实现的功能;安全功能包括①在要求时执行的功能,作为一种主动行为规避风险(比如主动关闭电机);②采取预防行为的功能(比如防止电机误启动); —— ——https://zhuanlan.zhihu.com/p/452293478?utm_medium=social&utm_oi=1571785701376602112&utm_psn=1575625024437907456&utm_source=wechat_session
安全状态(Safe State)
达到安全时受控设备的状态 —— https://zhuanlan.zhihu.com/p/452293478?utm_medium=social&utm_oi=1571785701376602112&utm_psn=1575625024437907456&utm_source=wechat_session
安全相关系统(Safety-related System)
是指能满足如下两项要求的系统:①执行要求的安全功能足以实现或保持受控设备的安全状态;②自身或与其他电气/电子/可编程电子安全相关系统、其他风险降低措施一起,能够实现要求的安全功能所需的安全完整性;——https://zhuanlan.zhihu.com/p/452293478?utm_medium=social&utm_oi=1571785701376602112&utm_psn=1575625024437907456&utm_source=wechat_session
FEMA分析: 失效模式与影响分析(Failure Mode and Effects Analysis)
是一种对产品或过程中可能出现的失效模式进行分析,评估其风险等级,并采取预防措施的方法。FEMA分析可以提高产品或过程的质量和可靠性,降低故障的发生率和损失。
如何做FEMA分析
FEMA分析,即失效模式与影响分析,是一种系统化的活动,用于在产品设计阶段和过程设计阶段,对所有潜在的失效模式进行分析,并评估其可能的后果和风险等级,从而预先采取必要的措施,以提高产品或设备的质量和可靠性。FEMA分析通常遵循七步法,即4: 1. 确定分析范围和团队 2. 建立产品或过程结构 3. 确定失效模式和影响 4. 评估严重度、发生率和检测度 5. 计算风险优先数 6. 制定和执行改进措施 7. 评估改进效果
MTBF分析: 平均故障间隔时间(Mean Time Between Failures)
如何做MTBF分析
MTBF预测法:根据产品的设计参数和可靠性数据,利用数学模型或经验公式,预测产品的MTBF值。
MTBF实测法:根据产品的实际运行数据,统计产品的故障次数和累计工作时间,计算产品的MTBF值。
MTBF实验法:根据产品的加速试验数据,利用加速模型和转换因子,推算产品的MTBF值。
概要
关系
FEMA分析是一种预防性的方法,它通过分析产品或过程中可能出现的失效模式,评估其风险等级,并采取预防措施,以提高产品或过程的质量和可靠性,降低故障的发生率和损失。
MTBF分析是一种评估性的方法,它通过统计产品或过程的故障数据,计算出平均故障间隔时间(Mean Time Between Failures),反映出产品或过程的可靠性水平和寿命。
FEMA分析和MTBF分析可以相互补充,FEMA分析可以帮助找出影响MTBF的主要因素,MTBF分析可以帮助验证FEMA分析的效果。
sum
RAMS: 可靠性reliability、 可用性avaliability、 可维护性main tainability、 安全性safety 规定了安全生命周期的各个阶段对RAMS的管理和要求。
例子
举例来说,如果要评估一个信号系统中心ATS上云的RAMS合规性,需要进行以下步骤: 分析信号系统中心ATS上云的目标和范围 确定信号系统中心ATS上云的RAMS需求和标准 评估信号系统中心ATS上云的风险和故障模式 设计信号系统中心ATS上云的安全措施和验证方法 实施信号系统中心ATS上云的安全测试和审查 编制信号系统中心ATS上云的RAMS报告和文件 这样就可以对信号系统中心ATS上云的可靠性、可用性、可维护性和安全性进行有效地评估。
过程
1||| 风险分析
分析方法
HAZOP分析方法
HAZOP(Hazard and Operability Analysis,危险与可操作性分析)是一种用于辨识设计缺陷、工艺过程危害及操作性问题的结构化分析方法1。该方法由生产管理、工艺、安全、设备、电气、仪表、环保、经济等方面的专家进行研究2。HAZOP分析包括识别偏离设计目的的潜在偏差,分析其可能的原因,并评估相应的结果2。 HAZOP分析的步骤通常包括: 确定HAZOP分析的范围和目标; 确定HAZOP分析的节点; 确定HAZOP分析的参数; 确定HAZOP分析的偏差类型; 确定HAZOP分析的原因; 确定HAZOP分析的后果; 确定HAZOP分析的措施。 HAZOP分析的参数通常包括: 流程参数:如流量、压力、温度、液位等; 物料参数:如物料性质、物料流量、物料浓度等; 设备参数:如设备类型、设备规格、设备材质等; 操作参数:如操作方式、操作顺序、操作频率等; 环境参数:如温度、湿度、气压等。
定性
FEMA方法
定量
分析类型
初步危害分析PHA
关注点是系统的设计意图
以HAZOP形式进行
系统危害分析SHA
分析了MGC系统定义中的功能及其失效模式来识别潜在的危害
采用FMEA的分析方法
接口危害分析IHA
分析了MGC系统定义中的接口及其失效模式来识别潜在的危害
采用FMEA的分析方法
OSHA
逐一分析了MGC的操作及维护工作来识别潜在的危害
采用FMEA的分析方法
环境因素的危害分析
分析得出“危害项”
采取对应的“减轻措施”
引出安全需求
2||| 指标 | 结论
可靠性reliability:可靠性指产品在规定条件下和规定时间内完成规定功能的能力。可靠性常用指标有故障率、平均故障间隔时间、可靠度等。
基于FMEA结果,仅限于对所识别对运营有影响的那些故障模式(因此计算的结果与SIL的不一致,这个会比SIL小)
可维护性main tainability:维修性指在规定的条件下和规定时间间隔内,按规定的程序和资源进行维修时能完成规定的维修工作的能力。维修性常用指标有平均修复时间MTTR等。
可用性avaliability:可用性指在要求的外部资源得到保证的前提下,产品在规定的条件下和规定的时间内处于可执行规定功能状态的能力。可用性常用指标有固有可用度等。
安全性safety:安全性指不发生不可接受的风险的特性,即不导致人员伤亡、危害健康及环境,以及不给设备和财产造成破坏或损伤的能力。安全性常用指标有平均事故率入sh。
使用FTA故障树分析方法,结合FEMA,得到功能故障率
RAMS和SIL的区别
RAMS和SIL之间有一定的联系,但也有不同之处。RAMS是一个更广泛、更综合的概念,而SIL是一个更具体、更量化的概念。RAMS包含了安全性这一方面,而SIL只关注了安全性这一方面。RAMS需要考虑系统在各种情况下的表现,而SIL只需要考虑系统在正常情况下或故障情况下的表现2。
如果一个轨道交通系统需要进行SIL认证,那么它必须满足相应的RAMS要求,否则无法通过认证。因此,SIL认证RAMS不符合是不可以的。
安全完整性(Safety Integrity) —————————————————————— 指在规定的所有条件下,在规定的工作环境和持续时间内,一个安全相关系统达到的所有要求的安全功能的能力。安全完整性与安全相关系统达到要求的安全功能的能力有关,安全完整性要求越高,其无法执行要求的安全功能的几率就越低。
实现 | 包含部分 | 满足要素 —————— 目的是降低
结果导向:风险分析 | 安全分析: ———————————————— 对功能安全完整性进行划分功能模块,功能模块继续划分子部件或子模块,计算子部件或模块所要承担的安全风险,这里使用一个量化指标失效率。
硬件安全完整性(hardware safety integrity) —————————— 属于:随机安全完整性 —— "定量"量化 ———————————— 1. 表征系统失效 2. 系统失效是由于系统寿命周期活动中的误差导致的
量化指标 ———————— 安全相关产品的硬件从结构功能上来划分,又是由各子系统构成的。
硬件故障裕度(HFT) (针对子系统)
安全失效分数(safe failure fraction, SFF)(针对子系统)
危险失效概率(PFDavg/PFH)(针对每个安全功能)
从V模型的角度,展开安全产品系统以及硬件的方面的要求。包括安全需求规范、测试、架构设计、故障安全原则、常见诊断措施、降额设计、FMECA、RAM预计、PFH的计算等内容。
系统安全完整性(systematic safety integrity) —————————— 属于:系统安全完整性 —— "定性"量化 —————————— 1. 表征随机失效 2. 随机失效是由统计分布描述的原因造成的这会导致产品、系统或流程在特定的组合或特定的条件下失效。
定性 - 指标
由于无法对系统失效进行量化,因此安全完整性等级被用作匹配定性方法和定量方法的手段。 由此引入了THR概念,它是Tolerable Hazard的缩写,表示可容忍的危害发生的概率。THR的SIL的对应关系通过表1来确定。
硬件系统安全完整性
系统架构设计 —————————— 针对实现不同的安全完整性等级,对功能失效率的要求不同。
项目-过程管理 | 生命周期
需求规范
设计和开发
集成
运行和维护
确认
输出对应文件
软件系统安全完整性
从V模型的角度,详细展开安全软件开发需要执行的活动、技术方法和文档要求。
指标
THR(Tolerable Hazard Rate)可容忍的危险率
对于铁路运营方或铁路主管部门(railway duty holder)可承受的危害发生的概率,THR与危害发生后导致事故的严重度相关。——https://zhuanlan.zhihu.com/p/366210825?utm_medium=social&utm_oi=1571785701376602112&utm_psn=1575625540546789376&utm_source=wechat_session
TFFR(Tolerable Functional Failure Rate)可容忍的功能失效率
可承受的系统功能导向危险失效的概率。当危害THR使用系统的功能进行防护时,对应的功能失效概率称之为TFFR。——https://zhuanlan.zhihu.com/p/366210825?utm_medium=social&utm_oi=1571785701376602112&utm_psn=1575625540546789376&utm_source=wechat_session
THR是对运营商或部门而言的。 TFFR是对供应商做的“功能”而言。 ——————— 结合两个,TFFR是THR的子类,TFFR针对于功能。
区别
从系统失效和随机失效的角度说区别: 随机失效通常归因于可以被统计监控的事件,从而可以估算其发生的概率;系统失效通常归因于统计数据无效的事件,因此通常无法估计其发生的概率。
是风险评估的结果
50159
24339
part1
封闭式传输系统
part2
开放式传输系统
参考文献