TB_T 3482-2017铁路车站计算机联锁安全原则.pdf

ICS 45.020S 62TB中华人民共和国铁道行业标准TB/T 3482—2017铁路车站计算机联锁安全原则Computer based interlocking safety principles2017-09-29发布2018-04-01实施国家铁路局发布 TB/T 3482—2017目次前言I1范围2规范性引用文件3术语和定义-4总则5系统及硬件6软件·7通信接口.....t.....8继电接口9电子执行单元10其他要求附录A（规范性附录）主要危害、安全功能和安全相关操作：I TB/T 3482-2017前言本标准按照GB/T1.1-2009给出的规则起草。本标准由北京全路通信信号研究设计院集团有限公司归口。本标准起草单位：北京全路通信信号研究设计院集团有限公司、中国铁道科学研究院通信信号研究所、北京交大微联科技有限公司、卡斯柯信号有限公司。本标准主要起草人：邱兆阳、张利峰、韩安平、黄翌虹、张松涛、季志均、张程。I TB/T3482-2017铁路车站计算机联锁安全原则1范围本标准规定了计算机联锁系统设备功能安全的原则要求，包括总则、系统及硬件、软件、通信接口、继电接口、电子执行单元及其他要求。本标准适用于计算机联锁系统的研究、设计、制造。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。GB/T24339.1轨道交通通信、信号和处理系统第1部分：封闭式传输系统中的安全相关通信（GB/T24339.1—2009.IEC62280-1：2002.IDT）GB/T24339.2轨道交通通信、信号和处理系统第2部分：开放式传输系统中的安全相关通信（GB/T24339.2—2009,IEC62280-2：2002,IDT)GB/T28808一2012轨道交通通信、信号和处理系统控制和防护系统软件（IEC62279,IDT）CB/T28809一2012轨道交通通信、信号和处理系统信号用安全相关电子系统（IEC62425，IDT）TB/T3027铁路车站计算机联锁技术条件3术语和定义下列术语和定义适用于本文件。3. 1危险侧输出dangerside output联锁计算机产生危及行车安全的输出。［TB/T3027—2015，定义3.6]3. 2危害hazard可能导致事故的一种状况。［GB/T28809—2012,定义3.1.20]3. 3非置信non-trusted没有专门的安全性预防措施。[GB/T24339.1—2009,定义3.7]3. 4安全相关操作safetyrelated operation在人机对话层进行的某些操作，联锁的防护功能不存在或者减弱，错误进行安全相关操作，会危及行车安全。进行这些操作时，操作员需要对安全负责。3. 5安全功能safetyfunction计算机联锁设备中，失效会导致危险侧输出的功能。1 TB/T3482-20173. 6随机故障randomfault无法预测其发生的故障。[GB/T28809—2012,定义3.1.37]3.7安全完整性safetyintegrity在所有规定的条件和规定的运行环境下以及规定的时间内，安全相关系统完成指定的安全功能的能力。［[GB/T28809—2012,定义3.1.48]3.8故障一安全fail-safe结合在产品设计内的一种观念，即发生失效事件时产品导向或维持在安全状态。［GB/T28809—2012,定义3.1.15]3. 9组合式故障一安全compositefail-safe每个安全相关功能至少由两个对象来执行，各对象之间应相互独立，以避免共因失效。只有当必要数量的对象取得一致时，才允许进行非限制行为。应能检测出一个对象中的危害故障并在足够短的时间内加以拒绝，以避免第二个对象发生相同的故障。3.10反应式故障一安全reactivefail-safe充许一个安全相关功能由单个对象执行，前提是通过快速的危害故障检测和拒绝来确保它的安全操作。尽管只由一个对象实施实际的安全相关功能，但检查/测试/检测功能应被看作为第二对象。检查/测试/检测功能应是独立的，以避免共因失效。3.11内在式故障一安全inherentfail-safe允许一个安全相关功能由单个对象执行，前提是假定对象的所有可信失效模式均为非危害的。4总则4.1计算机联锁设备在无故障时、故障时以及受规定的外界环境影响时，系统应满足规定的安全要求。4.2计算机联锁设备在发生故障时，应使其处于受控的，可预知和预先定义好的状态。4.3计算机联锁设备发生任何单一随机故障时应确保满足规定的容许危害率，发生可识别的单一随机硬件故障时，不应导致危险侧输出。被证明其影响可以忽略的故障可以不予考虑