TB-T 3482-2017 铁路车站计算机联锁安全原则

ICS 45. 020 S 62 TB 中华人民共和国铁道行业标准 TB/T 3482—2017 铁路车站计算机联锁安全原则信息服务平台 Computer based interigcking safety principles 2017-09-29 发布 2018-04-01实施玉家铁路局发布行业标准信息服务平台 TB/T 3482—2017 目前言 1 范围 2 规范性引用文件 3 术语和定义 4 总则 5 系统及硬件 6 软件 7 通信接口 8 继电接口 6 电子执行单元 10其他要求永准信息服务平台附录A（规范性附录）主要危害、安空功能和安全相关操作 TB/T 34822017 前言本标准按照GB/T1.1一2009给出的规则起草。本标准由北京全路通信信号研究设计院集团有限公司归口。本标准起草单位：北京全路通信信号研究设计院集团有限公司、中国铁道科学研究院通信信号研究所、北京交大微联科技有限公司、卡斯柯信号有限公司。本标准主要起草人：邱兆阳、张利峰、韩安平、黄翌虹、张松涛、季志均、张程。行业标准信息服务平台 Ⅱ TB/T3482—2017 铁路车站计算机联锁安全原则 1范围本标准规定了计算机联锁系统设备功能安全的原则要求，包括总则、系统及硬件、软件、通信接口、继电接口、电子执行单元及其他要求。本标准适用于计算机联锁系统的研究、设计、制造。 2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T24339.1轨道交通通信、信号和处理系统第1部分：封闭式传输系统中的安全相关通信(GB/T24339.1--20C.9,IFC62280-1:2002,IDT) GB/T24339.2轨道交通通信、信号和处理系统第2部分：开放式传输系统中的安全相关通信(GB/T24339.2—2009,IEC622$02:2002,IDT) GB/T28808—2012轨道交通通信、信号和处理系统恰息服务平台控制和防护系统软件（IEC62279，IDT） GB/T28809一2012轨道交通通信信号和处理系统信号用安全相关电子系统（IEC62425， IDT) TB/T3027钅铁路车站计算机联锁技术条件 3术语和定义下列术语和定义适用于本文件。 3. 1 危险侧输出 dangersideoutput 联锁计算机产生危及行车安全的输出。［TB/T3027—2015，定义3.6] 3. 2 危害hazard 可能导致事故的一种状况。［GB/T28809—2012,定义3.1.20] 3. 3 非置信non-trusted 没有专门的安全性预防措施。［GB/T24339.1—2009，定义3.7] 3.4 安全相关操作safetyrelated operation 在人机对话层进行的某些操作，联锁的防护功能不存在或者减弱，错误进行安全相关操作，会危及行车安全。进行这些操作时，操作员需要对安全负责。 3.5 安全功能 safety function 1 TB/T3482—2017 计算机联锁设备中，失效会导致危险侧输出的功能， 3. 6 随机故障randomfault 无法预测其发生的故障。［GB/T28809—2012,定义3.1.37]］ 3.7 安全完整性safety integrity 在所有规定的条件和规定的运行环境下以及规定的时间内，安全相关系统完成指定的安全功能的能力。［GB/T28809—2012,定义3.1.48] 3.8 故障一安全fail-safe 结合在产品设计内的一种观念，即发生失效事件时产品导向或维持在安全状态。［GB/T28809—2012,定义3.1.15] 3. 9 组合式故障一安：全，composite fail-safe 每个安全相关功能至少新个对象来执行，各对象之间应相互独立，以避免共因失效。只有当必要数量的对象取得一致时，才元许选行非限制行为。应能检测出一个对象中的危害故障并在足够短的时间内加以拒绝，以避免第二个对象发生相同的故障。 3.10 反应式故障一安全reactivefail-safe 允许一个安全相关功能由单个对象执行，前提是通过以速的危害故障检测和拒绝来确保它的安全操作。尽管只由一个对象实施实际的安全相关功能，但检查/测试，检则功能应被看作为第二对象。检查/测试/检测功能应是独立的，以避免共因失效。 3. 11 内在式故障一安全inherentfail-safe 允许一个安全相关功能由单个对象执行，前提是假定对象的所有可信失效模式均为非危害的。 4总则 4.1计算机联锁设备在无故障时、故障时以及受规定的外界环境影响时，系统应满足规定的安全要求。 4.2计算机联锁设备在发生故障时，应使其处于受控的，可预知和预先定义好的状态。 4.3计算机联锁设备发生任何单一随机故障时应确保满足规定的容许危害率，发生可识别的单一随机硬件故障时，不应导致危险侧输出。被证明其影响可以忽略的故障可以不予考虑。 4.4只要可行，应将计算机联锁的安全相关功能与非安全相关功能清晰地分离开，由不同的子系统各自执行；否则子系统所有相关的软硬件部分都应被视为安全相关的，除非能够表明这些未分离的安全相关功能和非安全相关功能的实现是充分独立的，即非安全相关功能的失效不会引起安全相关功能的危险失效。 4.5计算机联锁与其他系统的接口不应降低自身的安全完整性。 4.6计算机联锁的设计变更、数据制作、测试、安装、运营维护过程的活动不应降低其安全完整性。 4.7计算机联锁实现安全性要求时，应同时满足可用性要求。 4.8计算机联锁设备在规定的使用条件及运行环境下和预期寿命阶段内，每安全功能每小时容许危害率应小于1×10-8。 2 TB/T34822017 4.9计算机联锁安全功能的安全完整性应符合GB/T28809一2012规定的安全完整性等级4级（SIL4)的要求。 4.10计算机联锁应对表A.1的危害进行防护，并实现表A.2中的安全功能。 4.11计算危害发生率时，只计算计算机联锁设备本身的失效。 4.12对于每小时容许失效危害率大于1×10-5的功能，虽然没有直接的安全完整性要求，同样对安全性提升有很大的帮助，只要合理可行，应通过这些功能为安全功能提供二次防护，以减轻安全功能失效后果的严重性，如人机对话层的报警和提示。 5系统及硬件 5.1总体要求 5.1.1计算机联锁系统划分为联锁运算层、执行表示层和人机对话层 5.1.2计算机联锁应在系统规定的时间内完成安全功能和故障检测。 5.1.3计算机联锁上电后执行安全功能之前，应进行自检并在整个工作期间内进行周期性的自检。原则实现： b）反应式故障一安全： c）内在式故障一安全。并强制进人安全状态以实现规定的量化安垒自标。一在组合式故障一安全条件下，上述要求意味看位在足矿的时间内检出第一个故障，并强制达到安全状态，以确保在检测和拒绝期间出现第二个故障的风险小于规定的概率指标。在反应式故障一安全条件下，上述要求意味着检测和拒绝所需最大时间不应超出规定的有潜在危害的瞬间输出持续时间限制。检测出第一个故障并进入安全状态后，后续故障不能使系统退出安全状态。允许的修复时间内，如果故障进一步发生，系统应具有保持在安全状态的能力。 5.1.6应及时检测可能直接造成危害或与继发故障组合后造成危害的多重故障，并强制达到一个安全状态。这一时间应足够短以满足规定的安全指标。应进行共因失效分析以确保多重故障只在多个随机单一故障组合情况下发生，而不是一个共因故障的结果。 5.1.7对安全性有影响的设备，错误的插入或替换不应导致危险侧输出。包含软件的设备应采取校验措施，降低版本不匹配带来的安全风险。 5.1.9实现安全功能的电路部件应尽可能降额（元器件使用中承受的应力低于其额定值）使用。 a) 调整设备以及调节装置； b）卸下元件和装置； c）不正确地装配设备； d）没有按照建议进行维护。 5.1.11计算机联锁内部的各安全单元间通信故障时，应及时将相关信息处理为安全侧。由于通信故障导致的错误数据漏检率应满足相应安全功能要求。 5.1.12计算机联锁内部的各部件应有正确地址标识，避免信息传输对象错误，发现冲突或重复地址标识时，应及时采取安全措施。 5.1.13计算机联锁各层间应保持独立性，任何一层的故障不应对其他层的安全性造成影响，并不应 3