EN 50128-2001通信、信号和处理系统
RAMS在城市轨道交通牵引系统设计中的应用
RAMS在城市轨道交通牵引系统设计中的应用摘要:RAMS属于一种管理手段,主要是指城市轨道交通牵引系统运行的几大特征管理,如可靠性、可用性、可维修性和安全性等,其管理效果对于整个城市轨道交通牵引系统的运行具有重要影响。
为确保牵引系统运行的稳定性以及安全性,RAMS的应用需要注重灵活性以及其作用的充分发挥性,此次论文是对RAMS在城轨交通牵引系统设计中的应用进行了探讨。
关键词:RAMS;城市轨道交通;牵引系统;系统设计受科学技术以及经济发展的影响,现如今,我国的城市轨道交通事业发展趋势良好,牵引系统的设计与应用较为成熟,尤其是RAMS的应用方面,因RAMS应用对于牵引系统的设计具有重要影响,所以在产品全寿命阶段十分重视RAMS的应用问题。
此外,RAMS属于产品的一种属性,具有衡量牵引系统综合性能的作用,可在一定程度上提高城轨牵引系统运行的稳定性,为系统的设计提供相关性能参数作参考。
一、城市轨道交通牵引系统设计中RAMS应用概述(一)RAMS定义RAMS实则是四个英文单词的缩写,其分别代表四个词语,即可靠性(Reliability)、可用性(Availability)、可维修性(Maintainability)以及安全性(Safety)等,代表着城市轨道交通牵引系统的运行特征,它在牵引系统设计中的应用,还需要借助其他技术以及设备的支持,其作用方可获得充分发挥[1]。
(二)RAMS标准与要素我国现行的RAMS标准主要参照《GB/T 21562轨道交通-可靠性、可用性、可维修性和安全性规范及示例》。
同时,在轨道交通领域,牵引系统设计中RAMS 的应用需要遵循以下标准,《EN 50128铁路应用通信、信号和处理系统铁路控制和防护系统软件》以及《EN 50129铁路应用通信、信号和过程控制系统信号的安全相关电子系统》等,具体标准介绍见下图1所示。
图1牵引系统RAMS标准RAMS在牵引系统设计当中的应用要素主要分为三个方面,分别是运营过程中强加于系统的失效,源自于生命周期内任何阶段系统内部失效,以及系统维修中强加于系统的失效等,具体失效关系见下图2所示。
RAMS工程可靠性、可用性、可维性、安全性计划
RAMS工程可靠性计划修订历史目录1 说明 (4)1.1 背景 (4)1.2 参考标准 (4)1.3 缩写 (4)2目的 (4)3范围 (4)4系统保证组织架构和责任 (5)4.1 组织架构 (5)4.2 职能 (5)4.2.1项目经理 (5)4.2.2RAMS工程师 (5)4.2.3设计团队 (5)4.3 与设计工作的整合 (5)5安全程序 (6)5.1初步设计阶段 (6)5.1.1RAMS计划 (6)5.1.2初步危害分析(PHA) (6)5.2详细设计阶段 (6)5.2.1系统危害分析(SHA) (6)5.2.2故障模式、影响及危险分析(FMECA) (7)5.3 样机测试阶段 (7)5.3.1先前分析的更新 (7)5.4 试验操作与运行阶段 (7)5.4.1故障报告与纠正措施系统(FRACAS) (7)6RAM程序 (8)6.1初步设计阶段 (8)6.1.1RAMS计划 (8)6.1.2可靠性预计 (8)6.2详细设计阶段 (8)6.2.1故障模式、影响及危险分析(FMECA) (8)6.2.2全寿命周期成本分析(LCC) (8)6.3样机测试阶段 (8)6.3.1先前分析的更新 (8)6.4试验操作与运行阶段 (8)6.4.1故障报告与纠正措施系统 (8)6.4.2可靠性和维修性指标验证 (8)7RAMS审核 (8)8系统保证文件提交时间表 (9)附件一初步危害分析及系统危害分析模板 (1)附件二风险矩阵 (2)附件三 FMECA模板 (4)1 说明1.1背景按照地铁项目中,针对空调系统提出的空调机组技术条件,本文件详述了RAMS的方法,以确保空调系统在可靠性,维修性,可用性和安全性方面满足合同的规范和标准的要求。
1.2参考标准1.3缩写2目的RAMS计划的目的是说明如何计划、管理及监控整体系统安全性、可靠性、可用性及可维护性(RAMS)要求;确保能有效地在设计、开发、生产、测试和初步运营阶段中落实相关RAMS目标。
欧洲安全标准
欧洲安全标准
欧洲的安全标准有很多,以下是一些常见的标准和准则:
1. ITSEC:Information Technology Security Evaluation Criteria,即欧洲的安全评价标准,是英国、法国、德国和荷兰制定的IT安全评估准则。
2. EN 50128:铁路应用:通信、信号和处理系统:铁路控制和防护系统的软件。
3. EN 50129:铁路应用:通信、信号和处理系统:铁路控制和防护系统的电磁兼容性。
4. EN 61508:电气/电子/可编程电子安全相关系统的功能安全。
5. EN 62305:闪电防护。
6. EN 62279:过程工业领域安全仪表系统的功能安全。
7. EN 61439:有轨电车和无轨电车系统,以及安装在车辆上的设备。
8. EN 62040:电动汽车传导充电用充电站。
9. EN 60204:机械安全 - 机器的机械传动部件。
10. EN 60945:船舶和海洋结构物上的电气设备。
以上内容仅供参考,如果需要更详细的信息,建议咨询相关领域的专家或查阅相关文献资料。
关于50128的理解(2008)
需求(requirement)与需求规约(requirement specification) -- 需求(requirement)定义 A requirement is a statement that has been constructed to describe a necessary functional capability ,performance parameter, or other property of the intended product (or item). 一个需求是一个“将要予以构造”的陈述,描述了待开发产 品 (或项)在功能方面必要的能力、性能参数或其它特性。
EN50128-关注为提供满足安全完整性要求的软件而需要 使用的一些方法. 注:software safety integrity level classification number which determines the techniques and measures that have to be applied in order to reduce residual software faults to an appropriate level. 确定要应用的技术和措施的分类数,其目的是减少残存 软件故障,使其保持在一个适当的水平. 这些标准均是对其相应的’关注’,提出了一些需求!
欧洲标准在计算机联锁产品验证与确认的研究与应用
• 117•城市轨道交通迅猛发展,对计算机联锁技术的安全性和可靠性提出了更高的要求。
开发出符合欧洲铁路信号标准EN5012X系列的计算机联锁产品,并通过第三方独立认证成为大势所趋。
本文对EN50126,EN50128和EN50159对测试验证方面的要求进行深入研究,并结合公司的计算机联锁产品,对EN5012X系列标准在计算机联锁产品开发过程中的应用做了深入的探讨和说明。
信号系统在控制列车高速运行上起着越来越重要的作用,城市轨道交通的安全和可靠的运行在一定程度上取决于信号系统的安全性和可靠性的高低。
众多乘客的安全出行和信号系统的安全可靠性紧密的连接在一起。
计算机联锁产品作为行车指挥控制自动化系统的主要组成部分,将领先的通信技术和计算机技术相结合,以提高运输效率和保障行车安全。
国内城市轨道交通的快速发展,对计算机联锁系统提出更高的要求。
为满足严苛的安全和可靠性要求,需要对欧洲电气标准化委员会(CENELEC)针对信号系统的行业标准,即EN5012X标准进行研究,并进一步的结合公司的计算机联锁系统的特点,研究和开发出一套符合欧标的联锁产品开发流程。
其中在开发流程中,测试与验证阶段的应用将是本文介绍的重点部分。
本文将从人员独立性、验证、测试确认等方面进行介绍,如何确保计算机联锁产品的测试验证和确认过程符合标准中对SIL4级产品的要求并顺利通过第三方安全认证。
1 CENELEC标准介绍上世纪90年代,以IEC61508《电气/电子/可编程电子安全系统的功能安全》为基础,附加列车安全控制系统的技术条件,欧洲电气标准化委员会(CENELEC)下属的SC9XA委员会制定了一系列以计算机控制的信号系统作为对象的铁路信号标准EN5012X。
主要由以下几个有关铁路信号的安全标准,相应的标准关系如图1所示。
EN50126铁路应用-可靠性、可用度、可维修性和安全性(RAMS)技术条件和证明EN50129铁路应用-通信、信号和处理系统-安全相关的铁路电子系统EN50128铁路应用-通信、信号和处理系统-铁路控制和防护电子系统的软件EN50159铁路应用-通信、信号和处理系统-安全相关的通信。
城市轨道交通信号系统ATS技术规范
城市轨道交通信号系统ATS技术规范城市轨道交通信号系统ATS技术规范Technical specification for ATS of signalsystem in urban rail transit城市轨道交通信号系统ATS技术规范前言本技术规范由中国交通运输协会城市轨道交通专业委员会提出。
本技术规范由卡斯柯信号有限公司负责起草。
本技术规范主要起草人:孙军峰、陈卫华、钱江、颜红慧。
第 1 页城市轨道交通信号系统ATS技术规范1 总则1.1 城市轨道交通是指在不同形式轨道上运行的城市公共交通工具,是城市中地铁、轻轨、单轨、磁浮等轨道交通的总称。
1.2 为统一城市轨道交通信号系统ATS的技术标准,提高城市轨道交通的效率和效益,推进城市轨道交通信号系统的国产化,制定本技术规范。
1.3 本技术规范适用于城市轨道交通固定闭塞、准移动闭塞、移动闭塞的ATS系统的产品研发及工程应用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方,研究是否可使用这些文件的最新版本。
凡是未标注日期的引用文件,其最新版本使用于本标准。
GB 50157地铁设计规范GB/T 12758-2004 城市轨道交通信号系统通用技术条件GB 2312-1980 信息交换用汉字编码字符集基本集GB/T 9813-2000 微型计算机通用规范GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求IEEE Std. 1474.1-2004, IEEE基于通信的列车控制(CBTC)系统的性能和功能要求IEEE Std. 1474.2-2003, IEEE基于通信的列车控制(CBTC)系统用户界面要求GB/T 21562-2008 轨道交通可靠性、可用性、可维护性和安全性规范及示例第 2 页城市轨道交通信号系统ATS技术规范(IEC 62278:2002,IDT)EN 50128-2001 铁路应用-通信、信号和处理系统-铁路控制和防护系统软件GB 50174-2008 电子信息系统机房设计规范3 术语和定义下列术语和定义适用于本标准。
EN50128基础培训.pdf
14
2015-10-26
四、生命周期和文档
文档要求
每一个文档都应有一个唯一的文档编号、以及定义好 的与其它文档之间的关系。 ——追溯前提
每一个文档都应包含并实现其上级(输入)文档的所 有相关要求。 ——追溯完整性
每一个文档的内容都不应与其上级(输入)文档相矛 盾。 ——追溯一致性
15
2015-10-26
19
2015-10-26
五、软件保障——软件测试
测试报告要求
测试报告应描述以下内容: 测试结论 测试覆盖率及测试完成程度 缺陷记录 每一个测试案例的测试结果记录 测试应可重复,如果可行,最好可以自动执行 测试脚本应被验证 所有测试涉及的项都应被记录(如被测对象、软硬件 配置、测试环境、对应的测试规范版本等) 测试人员姓名
8
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求?
Annex B:对关键软件角色和职责的要求
需求经理(REQ) 设计人员(DES) 实现人员(IMP) 测试人员(TST) 验证人员(VER) 集成人员(INT) 确认人员(VAL) 评估人员(ASR) 项目经理(PM) 配置经理(CM)
如果软件是由不同软件安全完整性等级的组件组成, 那么该软件的所有组件都应按最高软件安全完整性等 级的要求处理。
5
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求?
1.标准正文
目标 要求
6
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求?
2.标准附录
什么是软件安全完整性等级?
软件安全完整性等级是一组分级数字,它确定了软件 必须采用的技术和措施。
EN50128基础培训.
软件安全完整性等级是一组分级数字,它确定了软件 必须采用的技术和措施。 软件安全完整性等级分为SIL0~SIL4共5个等级。 软件失效导致的风险越高,软件安全完整性等级越高。
4
2015-10-26
二、软件安全完整性等级
如何确定软件安全完整性等级?
通常来说,软件安全完整性等级至少应等于系统安全 完整性等级。
23
2015-10-26
五、软件保障——变更控制
目标
确保软件在变更时仍能满足安全完整性和可靠性的要求。
要求
变更管理过程的相关要求: 问题报告和改正措施相关文档; 原因分析; 报告、追踪、解决问题的相关步骤; 变更影响分析; 再验证、再确认、再评估; ……
2015-10-26
24
第五部分,但要求各阶段的活动和 内容均能满足本标准的要求。
12
2015-10-26
四、生命周期和文档
13
2015-10-26
四、生命周期和文档
文档要求
Annex A.1
各阶段文档要求
14
2015-10-26
四、生命周期和文档
文档要求
每一个文档都应有一个唯一的文档编号、以及定义好 的与其它文档之间的关系。 ——追溯前提 每一个文档都应包含并实现其上级(输入)文档的所 有相关要求。 ——追溯完整性 每一个文档的内容都不应与其上级(输入)文档相矛 盾。 ——追溯一致性
EN 50128 铁路应用-通信、信号和处理系统 ——铁路控制和防护系统软件
报告人:周夏芳
2015-10-26
2015-10-26 1
内容安排
一、范围 二、软件安全完整性等级
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2
EN50128:2001
1 范围
1.1 本欧洲标准详细规定了铁路控制和防护设备用的可编程电子系统开发所需的程序和技术要求。 它适用于任何有
隐含安全性的领域。这些应用系统的范围涵盖了安全苛求系统,如安全信号,非安全苛求系统,如管理信息系统。这些 系统可能通过采用专用多处理器,可编程逻辑控制器,分布式多处理器系统,大规模集中处理器系统或者其它架构 来实现。 1.2 1.3 本欧洲标准专门应用于软件以及软件和系统之间的相互作用。 0级以上的软件安全完整性等级用于失效可引起失去生命的后果的系统。然而,从经济或环境因素方面考虑也
2001 -1 1-01
2003-1 1-01
本欧洲标准必须与 EN50126 铁路应用——可靠性,可用性,可维护性和安全性(RAMS) ;EN50129 铁路应用——信号 领域的安全相关电子系统同时阅读。 附件中指定的“规范性的”是本项标准主体的一部分。 附件中指定的“参考性的”只用于获得的信息。 本项标准中,附件 A 是规范性的而附件 B 是参考性的。
3
EN50128:2001
EN50129-1,铁路应用——通信,信号和处理系统 第二部分:开放传输系统中的安全通信; EN ISO 9001,质量体系——设计/开发,生产,安装和维护的质量保证模型;
EN ISO 9001-3,质量管理和质量保证标准——第三部分:ISO9001:1994在计算机软件的开发, 供应,安装和维护应用的指导。 3 定义
4
EN50128:2001
与期望的设计相背离,并有可能导致未预料到的系统行为或失效。 3.9 失效(failure) 与规定的系统行为相背离。失效是系统错误或故障的结果。 3.10 故障(fault) 一种能导致系统错误或失效的不正常情形,故障可以是系统性或随机性的。 3.11 避错(fault avoidance) 在系统设计和构造的过程中使用避免引入故障的设计技术。 3.12 容错(fault tolerance) 在出现有限数量的软硬件故障的情况下,系统能继续提供正确的规定服务的内嵌能力 3.13 固件(firmware) 指令和存储在一个功能独立主存储器(通常是ROM)中的相关数据的有序集合 3.14 通用软件(generic software) 通用软件是只要提供应用相关的数据就可以应用于多种系统装置的软件。 3.15 实现人员(implementer) 由设计主管机构委派、具体实现特定设计的一个或更多人员 3.16 产品(product) 为满足特定需求,收集元素并进行互连以形成一个系统,子系统或者设备。本欧洲标准中,产品可被视为完全 由软件或者文档元素构成。 3.17 可编程逻辑控制器(PLC) 具备面向指令存储的用户可编程存储器、能实现轨定功能的固态控制系统。 3.18 可靠性(reliability) 设备在规定的条件下,在规定的时间内执行要求功能的能力。 3.19 需求可追溯性(requirement traceability) 需求可追溯性的目标是确保所有的需求能被证明已得到满足 3.20 风险(risk) 某特定危险事件的频率或概率和后果的组合。 3.21 安全性(safety) 无不可接受的风险等级。 3.22 安全主管机构(safety authority)
IVቤተ መጻሕፍቲ ባይዱ
EN50128:2001
引言
本标准是相关标准系列中的一部分。其他标准有 EN50126 铁路应用——可靠性,可用性,可维护性和安全性 (RAMS) ;EN50129 铁路应用——信号领域的安全相关电子系统。 EN50126 适用于大范围的系统问题, 而 EN50129 适用于整个铁路控制和防护系统中某单个系统的批准过程。本标准关注于需要使用的方法,以使软件能满足经全面 考虑后所分配到的安全完整性要求。 本标准从IEC/TC65第九工作组(WG9)早期工作中得到很多指导。WG9的工作形成了一个安全系统软件通用标 准,现在该标准是IEC61508的一部分。WG9工作的特别之处是包含了适用于非安全软件的软件安全完整性0级,以 及适用于安全相关和安全苛求软件的软件安全完整性1~4级。本标准也覆盖了所有五个软件安全完整性等级。 国际铁路信号工程师协会(IRSE)的工作也被考虑进来,特别是它关注相同课题的1号技术报告。 本欧洲标准的一个关键概念是软件安全完整性等级。软件失效后果的危险性的越大,软件安全完整性等级也就 越高。 本欧洲标准确定了从最低0级到最高4级的5个软件安全完整性等级的技术和措施。其中1~4这四个级别涉及安全 相关软件,0级涉及非安全相关软件。对0级进行标准化是为了让非安全相关系统软件向安全相关系统软件进行平滑 转变。附表给出了各个软件安全完整性等级和非安全相关等级要求的技术和措施。在这个版本中,1级和2级的技术 要求相同, 3级和4级的要求相同。 本欧洲标准没有给出某一风险应适用于哪个软件安全完整性等级的具体指导意见。 这个结论需要考虑许多因素包括应用的特性、其他系统承担的安全性功能范围和社会以及经济因素。 EN 50126 和EN 50129规定了分配给软件的安全性功能。 本欧洲标准规定了满足这些需求的必要措施。这个过程在图1作了说明。 EN50126和EN50129需采用系统性的方法,以: 1) 2) 3) 4) 5) 确定危险、风险和风险准则; 为满足风险准则,确定必要的风险降低; 为实现必要的风险降低,定义一个全面的系统安全性需求规格说明; 选择一个合适的系统体系结构; 规划、监督和控制那些把系统安全性需求规格说明变成安全性能(或安全完整性)已确认的安全相关系统 所必需的技术和管理活动。 在分解需求规格说明形成由安全相关系统和组件组成的设计说明时,需要进一步分配安全完整性等级,并最终 形成所需的软件安全完整性等级。
1
EN50128:2001
目前,无论是质量保证法(即避错措施)还是软件容错法的应用,都无法保证系统的绝对安全。尚未发现可以证 明一个较复杂的安全相关软件中不存在错误的方法,特别是规格说明和设计的错误。 以下规则应用于开发高安全完整性等级软件,但也不仅限于开发高安全完整性等级软件: 1) 2) 自顶向下的设计方法; 模块化;
3) 开发生命周期每一阶段的验证; 4) 5) 6) 7) 验证后的模块和模块库; 清晰的文档; 可审计的文档; 确认测试。
这些规则以及相关的其他规则必须正确应用。对于各个软件安全完整性等级,本标准均规定了说明这一点所需 的保证等级。 在得到或形成了系统安全性需求规格说明后,分配给软件的安全性功能和系统安全完整性等级就确定了,图2 给出了应用本欧标的功能步骤,如下所示: 1) 定义软件需求规格说明,同时考虑软件体系结构。软件体系结构是为软件和软件安全完整性等级开发基 本安全策略的架构。(条款5、8和9) 2) 根据软件质量保障计划、软件安全完整性等级和软件生命周期来设计、开发和测试软件。(条款10) 3) 在目标硬件上集成软件。(条款12) 4) 确认软件。(条款13) 5) 如果在运行过程中需要软件维护,那么可再适当运用本欧洲标准进行处理。(条款16) 许多活动都是在软件开发过程中交叉进行的,这其中包括验证(条款11),评估(条款14)和质量保障(条款15)。 给出了应用数据配置的系统的需求(条款17)。 给出了从事软件开发人员能力的需求。(条款7) 本标准没有硬性要求使用特定的软件开发生命周期,但是给出了一个推荐的生命周期及文档集。(条款7,图3 和图4) 表格针对5个软件安全完整性等级明确罗列了各种技术和措施。表格在附件A中给出。与表格对照的参考书目提 供了更多的信息,给出了每项技术和措施的简明描述。参考书目在附件B中给出。
以下定义适用于此欧洲标准.对于未定义的术语,按照优先顺序查阅以下参考文献。 EN ISO 8402,质量管理和质量保证——词汇表; IEC 60050-191,国际电工词汇第 191 章:服务可信性和质量; IEEE 610.12, IEEE标准软件工程术语词汇表; ISOIIEC 2382,信息技术词汇表; ISOIIEC 9126,信息技术-软件产品评估-质量特性以及其使用指导; 3.1 评估(assessment) 用于确定设计主管机构和确认员所完成的产品是否符合规定的要求和判定产品是否达到预期目的的分析过程。 3.2 评估员(assessor) 受委托执行评估的人员或者代理。 3.3 可用性(availability) 假定所需外部资源均能满足的条件下,产品在规定的条件下,在规定的时刻或在给定的时间间隔内完成要求功 能的能力。 3.4 商用软件(COTS software) 市场需求所定义、市场已存在且其目标满足性已得到广大商业用户证明的软件。 3.5 设计主管机构(design authority) 负责提出实现特定需求的设计方案,并监控后期的开发和系统在特定环境下工作的实体。 3.6 设计者(designer) 一个或多个由设计主管机构指派的人员,他们承担需求分析并将特定需求转化成可接受且有相应安全完整性的 设计方案。 3.7 元素(element) 被确认为基本单元和基本部件的某产品的一部分。一个元素可以是简单或者复杂的。 3.8 错误(error)
能采用高级别的安全完整性等级。 1.4 本欧洲标准适用于铁路控制和防护系统开发和实现的所有软件,包括: 应用程序设计; 操作系统; 支持工具; 固件。 应用程序设计包括高级程序设计,低级程序设计和专用程序设计(如:可编程逻辑控制器梯形逻辑)。 1.5 1.6 1.7 本欧洲标准还涉及了本标准的使用、商用软件和工具。 本欧洲标准还对应用数据配置的系统提出了要求。 本欧洲标准并不涉及商务问题,这些问题应为合同的基本部分被提出。但本欧洲标准中的所有条款在任何商务
EN50128:2001
EN 50128 : 2001
铁路应用——通信、信号和处理系统——铁路 控制和防护系统软件
2007.6
1
EN50128:2001
序言
本欧洲标准是SC 9XA,即通信,信号传输和处理系统技术委员会(CENELEC TC 9X)制订,铁路电气和电子 应用的标准。草案文本作为EN 50128正式提交投票并于2000-11-01获得CENELEC批准。 修改了下列日期 --欧盟各国必须通过认可或发布相同的国家标准来执行本欧洲标准的截止日期 --与本欧洲标准冲突的国家标准必须被废止的截止日期