BS EN 50129(中文版)

英国标准BS EN

50129:2003 铁路应用－

通信、信号和过程控制系统－

信号的安全相关电子系统

国家前言

该英国标准是EN50129：2003的官方英文标准。它代替了被撤回的DD ENV50129：1999标准。

GEL/9技术委员会委托英国参与了它的准备，铁路电子技术应用组织即GEL/9/1子委员会，信号和通信，职责是：

－帮助调查人理解文章；

－提出可靠的欧洲委员会的要求来分析或者提出改进意见，并保证英国的利益；

－关注相关的国际和欧洲发展，并在英国发布它们；

一系列的组织给子委员会提出的意见可在它的秘书处获得。

交叉的参考

本英国标准应用国际的或者欧洲的关于本文件的出版物，它可能在“国际标准相应的索引”部分的BSI目录中找到，或者是使用BSI电子目录的或者英国标准在线的“查找”工具。

它的出版并不意味着包括一个合同所有必要条款，英国标准的使用者有责任正确使用该标准。

依从一个欧洲标准并不是指本人免除法律责任。

总共的页数

该文档包括前封面，内前封面，EN名称页，2到94页和内后封面和后封页。

在文档最终出版后，BSI的版权日期在文档中指出。

出版后的修订

英文版本

铁路应用－

通信、信号和过程控制系统－

信号的安全相关电子系统

这个欧洲标准在2000－11－01被CENELEC提出，CENELEC 的成员应该遵守CEN/CENELEC国际标准，它规定了该欧洲标准在无修改的情况下作为国际标准的一些情况。

最新的目录和关于国际标准的相关参考数目可以在中心秘书处或者任何CENECEC的成员那里获得。

这个欧洲标准有三个官方版本（英，法，德）。CENECEC的成员可将一种版本译为他们的语言，并且通知中心秘书处，这样有作为官方版本的同样地位。

CENELEC

欧洲电工标准协会

前言

本欧洲标准由SC9XA准备，属于技术委员会CENECEC TC 9X 铁路电子和电子设备的通信，信号和处理系统。

属于正式文件文本的草稿在2002－11－01作为EN50128由CENECEC提出。

这个欧洲标准取代了ENV50129：1998

这个欧洲标准是在CENELEC的授权下通过欧洲委员会和欧洲自由贸易组织、96/48/EC指示的本质要求来准备的。

下面是确定的日期，

－通过国际标准的出版或批注，这个标准作为国际标准来实施的最近日期

2003－12－01

－与这个标准冲突的国际标准排斥在外的最近日期2005－11－01

标注“标准化”的附件是标准的一部分

标注“非标准”的附件仅供参考。

该标准中，附件A，B，C是标准化的，附件D，E是非标准化的

内容

引言 (5)

1范围 (7)

2合乎规范的参考 (7)

3定义 (8)

3.1定义 (9)

3.2参考 (9)

4标准的整体框架 (11)

5安全接受和承认的条件 (12)

5.1安全情形 (12)

5.2质量管理根据 (12)

5.3安全管理根据 (12)

5.4功能和技术安全根据 (12)

5.5安全接受和承认 (12)

附件A（规范）安全完善度等级 (13)

A.1引言 (13)

A.2安全要求 (13)

A.3安全完善度

A.4安全完善度要求分配

A.5安全完善度等级

附件B（规范）详细的技术要求

B．1引言

B．2 正确的功能操作的保证

B．3错误的影响

B．4对外部影响的操作

B．5有关安全应用的条件

B．6安全质量测试

附件C（规范）硬件组成错误模式的鉴定

C．1引言

C．2常规程序

C．3完整电路程序（包括微处理器）

C．4固有的物理性质组成程序

C．5有关组成错误模式的常规信息

C．6附带的常规信息，有关固有物理性质的组成

C．7有关固有物理性质的组成的特殊信息

附件D（情报）补充技术信息 (77)

D.1引言 (77)

D.2完成物理内在独立性 (77)

D.3 完成物理外在独立性........... .. (78)

D.4单个错误分析方法的例子 (79)

D.5多个错误分析方法 (80)

附件E(情报)为系统错误和控制随机及系统错误，为与安全相关的电子系统传输信号制定了技巧和方法 (85)

参考书目 (94)

1 CENELEC铁路应用标准的主要范围 (8)

2 EN50129的结构 (15)

3 安全事例结构 (17)

4 系统生命周期举例 (19)

5 设计和系统生命周期有效部分举例 (21)

6 独立性排列 (22)

7 技术安全报告结构 (26)

8 安全性承诺和安全性批准过程] (28)

9 安全性事例/安全性批准间独立性举例 (29)

A1安全要求和安全完整性 (30)

A 2 全部过程回顾 (32)

A 3 风险分析过程举例 (33)

A 4 有关系统界限危险的定义 (34)

A5 危险控制过程举例 (36)

A 6 解释故障和补救次数 (37)

A 7 由FTA处理的功能独立性 (38)

A 8 安全完整性水准和技巧间的关系 (40)

B.1 影响项目独立性的因素 (46)

B.2 检测和否定单个错误 (49)

D.1 错误分析方法举例 (81)

A1 安全完整性水准表 (41)

表C.1 电阻器 (61)

表C.2电容器 (62)

表C.3电磁组件 (63)

表C.4二极管 (66)

表C.5晶体管 (67)

表C.6控制整流器 (69)

表C.7过负荷干扰抑制器 (71)

表C.8光电子组件 (72)

表C.9过滤器 (73)

表C.10内部组件 (74)

表C.11－保险 (75)

表C.12－开关和按钮 (75)

表C.13－电灯 (75)

表C.14－电池 (75)

表C.15－变送器/传感器（不包括内部电路） (76)

表C.16－集成电路 (76)

表D.1－在大规模集成电路通过周期性在线测试的手段来检测故障的

措施的例子 (82)

表E.1－安全计划和主动的质量保证 (86)

表E.2－系统要求的技术规格 (87)

表E.3－安全组织 (87)

表E.4－系统/子系统/设备的建构 (88)

表E.5－设计特色 (89)

表E.6－故障和危险分析的方法 (90)

表E.7－系统/子系统/设备的设计和研发 (91)

表E.8－设计的阶段性文档 (91)

表E.9－系统和产品设计的鉴定和确认 (92)

表E.10－应用，运行和维护 (93)

前言

本标准是铁路信号领域内定义电子安全系统认可和支持要求的第一个欧洲标准。目前，国际上存在的语词有关的只有国际铁路联合组织（UIC）提出的整体建议和一些国家提出的互不相同的建议。

针对信号的电子安全系统包括硬件和软件两部分。要安装完整的安全系统，必需考虑系统整个生命周期中的两个部分，即对硬件安全的要求和在标准上对整个系统定义的要求，期于要求在CENELEC标准上有要求。

欧洲铁路机构和欧洲铁路工业在发展一种基于一般标准并能够相互兼容的铁路系统。因此，对于系统安全支持方面和不同国家铁路机构要求方面横向认可是必须的。此文件就电子系统在铁路信号方面安全认可与支持的欧洲通用的基础。

横向认可的目的在于一般的支持，不是特殊的应用。当它成为一个EN时公众在有关铁路信号电子安全系统的欧洲摄取内的获得将会关系到这个标准。

本标准包括主要部分（第一章到第五章）和附录A，B，C，D，E。在此标准中主要部分和附录A，B，C中定义的要求是规范的，而附录D和E是非正式的。

本标准和EN50126（铁路装置RAMS）中相关的章节有关联。本标准和EN50126都是基于系统的生命周期和EN61508—1。在涉及到铁路通信信号和外部系统时，EN61508—1被EN50126/ EN50128/ EN50129取代了。买组这些标准的要求将来遵守未评价的EN61508—1是足够的。

因为标准是关于安全系统的支持所显示出来的现象，所以它使生命周期的行为特殊化，这些行为需要在认可阶段之前完成，随之而来的是额外的计划行为。对整个生命周期的安全检测就是这样被要求的。

本标准是关于显现出来的现象，除了认为是合适的地方，它没有规定谁将执行必须的工作，因为这在不同环境下是不相同的。

EN50128定义了包括可编程电子器件和软件附加条件的安全系统。

EN50159—1和EN50159—2定义了对安全数据通信的额外要求。

1 范围

本标准适用与铁路信号设备上用的电子安全系统（包括子系统和设备）。图1表示了本标准的范围和它与其他CENELEC标准的关系。

本标准适用与所有的铁路信号安全系统、子系统及设备。然而，EN50126中定义的事故分析和危险估计程序和本标准对于所有的铁路信号系统、子系统及设备是必须的安全要求。

如果分析结果显示没有安全要求（例如：这种情况下是不安全的），并且结论没有修改行为后来变化的结果，本安全标准就会停止使用。

分类、设计、建设、安装、认可、操作、维护和修改及扩展等功能也适用与完整系统中的个人子系统和设备。附录C包含了和电子硬件部分相关的程序。

本标准又适用与一般的子系统和设备（独立的使用和某种特殊的使用），也可在系统、子系统、设备上有特殊的使用。

本标准不适用与现存的系统、子系统和设备（例如在本标准之前已经被接受的系统、子系统和设备）然而，只要合乎实验性，本标准也被用来修改或扩展现存的系统、子系统和设备。

本标准主要用于铁路信号传输设备的专门设计和加工的系统、子系统及设备。作为信号传输安全系统的一部分，如果现实允许，也可被用于真体的构思或一些工业设备（如：能源的供应、调配等）。即使在最小限度时，可根据显示，设备或者依赖于安全或者依赖于与安全相关的这些功能。

本标准适用于铁路信号传输系统功能上的安全。它不是处理个人的职业上的健康和安全，这一课题在其他的标准上有说明。

2 参考标准

欧洲标准参考了其他出版物里的更新后未更新的部分。这些标准参考在本文适当的地方被应用，下面列出了被参考的出版物。对于更新过的参考，后来的修订当需要的时候也被欧洲标准引用。没有更新过的参考，出版物最新的版本有所提及（包括修改的部分）。

注意：附加的非正式的参考在目录里。

EN50121系列铁路应用——电磁兼容

EN50124—1 铁路应用——绝缘调配——第一部分：电力电子设备绝缘的基本需求。

EN50124—2 铁路应用——绝缘调配——第二部分：过电压及其先观保护。EN50125—1 铁路应用——环境需求——第一部分：board rolling stock上的设备。

EN50125—3 铁路应用——环境需求——第三部分：信号传输与通信设备。EN 50126 铁路应用——可靠性、可用性、可维护性和安全性（RAMS）规范和说明。

EN 50128 铁路应用——通信、用于铁路控制和系统保护的信号处理系统EN 50155 铁路应用——电气设备在rolling stock上的应用。

EN 50159—1 铁路应用——通信、信号处理系统——第一部分：在闭环传输系统

中与安全相关的通信

EN 50159—2 铁路应用——通信、信号处理系统——第二部分：在开环传输系统

中与安全相关的通信

EN 61508—1 电气、电子、可编程的安全电气设备系统——第一部分：主要需求（IEC61508）

IEC 60664 系列在低电压系统的绝缘调配。

3定义和缩略词

3.1 定义

在本标准中下面的定义将被用到。

3.1.1 故障导致死亡、受伤、系统或设备损失或者破坏环境的无意中的故障或一系列故障。

3.1.2评估分析设计部门和产业部门生产的产品是否满足规定的要求，并形成一套判别产品是否按其预定功能进行工作，这个过程称为评估。

3.1.3 授权书按规定使用产品的正式许诺。

3.1.4 可用性一个产品在给定一段时间，在一定条件下按要求实现功能的能力，以及在所需求的外部资源被提供的前提下，其在给定的一段时间执行的能力。

3.1.5 可能可能发生的。

3.1.6 偶然性分析分析一种专门的危害存在的原因。

3.1.7 普通—偶然故障一些具有独立功能的设备失效。

3.1.8 结果分析分析在一个危害发生后，可能出现的情况。

3.1.9 图表表明硬件的结构和相互联系以及系统软件的功能。

3.1.10横向认可一个产品被一个权威乃至相关欧洲标准认可并且被最高权威认可，这样一种程度

3.1.11设计这是一种为了将规定需求通过分析和转换，使其满足可靠性要求的设计方法。

3.1.12设计权威此体系负责开发一套设计方法的公式去执行规定的需求并遇见随后的发展，使一个系统在预定的环境中工作

3.1.13发送这是一种用多种互不相同的方法来实现全部或部分特殊要求的方式3.1.14设备起作用的物理装置

3.1.15误差与预先设计结果相偏离，并会导致系统发生副作用或失效。

3.1.16失效—安全这个概念是包含在一个产品的设计当中，如产品看似处于安全状态，但实际上已经失效了。

3.1.17 失效偏离系统规定的行为，是系统错误或误差导致的结果。

3.1.18 错误一种非常规导致系统失效的条件，一个错误是随即的或有规律发生的。

3.1.19 错误发现时间从错误发生的一瞬间到被发现为止的异端时间

3.1.20 功能一个产品执行其规程的行为模型

3.1.21 危害导致事故的情况

3.1.22 危害分析坚定危害分析及其产生原因，以及违反法制危害可能发生的要求和在一定程度上危害所造成的后果

3.1.23 危害记录一个包含所有安全管理活动、危害坚定、决策生成的文档，用于存档和参考

3.1.24 认为错误导致系统发生副作用的人的行为（失误）

3.1.25 执行为了将规定的设计转化为物理的实现而进行的活动

3.1.26 独立（功能）由于机械具有的多功能而影响到正确操作，从而导致系统故障或突发故障的机械装置中寄托出来。

3.1.27 独立（人工）从需要相同智力、商业或管理试题中解脱出来。

3.1.28 独立（物理）从由于多功能而影响正确操作几导致系统、副系统、设备发生突发故障的机械装置中解脱出来。

3.1.29 个体风险一个仅仅有关独立个体的风险。

3.1.30 维护性对于给定一种积极的维护行为，其在给顶使用条件的项目中的可行性，可以在相关条件和使用相关程序和资源的间隙中进行。

3.1.31 维护所有技术和管理行为的综合，包括监督行为，企图保持一个项目或将其存储，是一种可以表现其需求功能的状态。

3.1.32 可行性可执行性。

3.1.33 负面性当发现一个危险的错误而破坏安全的状态。

3.1.34 负面时间从一个危险错误的发生到结束，整个安全状态被破坏的时间跨度。

3.1.35 生产与形成满足规定需求的一种方法相互关联的元件组装。

3.1.36 质量使用者对于一个产品属性的看法。

3.1.37 铁路权威通过安全操作铁路系统而形成的完整的安全权威体系。

3.1.38 突发故障强度一个系统能承受危险的突发故障的限度。

3.1.39 突发故障无法预见发生的故障。

3.1.40 可靠性提供一种或多种通常是相同的措施，来提供对故障的承受。

3.1.41可靠性一套装置在给定条件下和规定时间内执行特定功能的能力。

3.1.42 修理将系统、副系统及设备在失效后恢复即定状态的重建方法。

3.1.43 风险发生特定危害的频率、可能性及后果的集合体。

3.1.44 安全状态一种持续安全的状态。

3.1.45 安全度不发生一定程度上的重大风险。

3.1.46 安全度认可最后一个使用者对产品安全状态的认可

3.1.47安全度规定当产品已经执行一系列先决条件后必须对安全状态进行权威认定。

3.1.48 安全度权威负责对与系统相关的安全操作发表授权。

3.1.49 安全库报名产品遵从规定安全需要的文档。

3.1.50 安全度在运行的各个阶段各种操作环境及所有的状态条件下，安全相关系

统达到安全功能的能力。

3.1.51安全度标准在考虑系统错误的前提下，一个表明系统自我满足规定安全功能的数字。

3.1.52 安全度生命周期对于安全有关的系统的生命周期中执行的一系列动作

3.1.53 安全度管理确保过程被安全执行的结构。

3.1.54 安全计划如何达到工程的安全需求的执行细节。

3.1.55 安全流程对于一个产品所有安全要求进行鉴定和满足的一系列步骤。

3.1.56 相关安全度对安全度负责。

3.1.57 命令强制执行的。

3.1.58 建议被提议的。

3.1.59 信号系统由于铁路控制和保护火车正确运行的专门的一类系统。

3.1.60 压力承受当一个产品执行特定功能时所承受的大量外部影响的程度。

3.1.61 副系统系统中执行特殊功能的一部分。

3.1.62 系统通过设计，使一系列副系统相互作用而组成的。

3.1.63系统失效度系统从危害性误差和原因中恢复的能力。

3.1.64系统错误对于一个系统，在规范、设计、组构、安装、执行或维护中内部发生的错误。

3.1.65系统生命周期从一个系统开始构造到该系统失效这段时期内进行的一系列活动。

3.1.66 技术安全报告对系统、副系统及设备设计的安全进行论证的报告。

3.1.67 有效性一系列通过测试和分析来表明产品满足各方面安全规范的行为。3.1.68 鉴定一种通过分析和测试，在系统生命周期的每一个阶段，对所分析和测试的阶段满足前一阶段的输出，和该阶段按规定输出进行坚定的行为。

3.2 缩略词

下面是该标准中用到的缩略词:

3.2.1 AC 交流电

3.2.2 ATP 列车自动保护

3.2.3 CENELEC 欧洲电气标准委员会

3.2.4 CCF常见故障原因

3.2.5 DC 直流电

3.2.6 EMC 电磁相容性

3.2.7 EMI电磁干扰

3.2.8 EN 欧洲标准

3.2.9 ESD静电释放

3.2.10 FET 场效应管

3.2.11 FMEA 故障建模和分析

3.2.12 FR 故障率

3.2.13 FTA故障树分析

3.2.14 H 危害

3.2.15 HW 硬件

3.2.16 IEC国际电工技术委员会

3.2.17 IRSE 铁路信号工程机构

3.2.18 ISO国际标准组织

3.2.19 RAMS 可靠性、可行性、维护性和安全性

3.2.20 SCR可控硅校验器

3.2.21 SDR安全下降率

3.2.22 SDT安全下降时间

3.2.23 SIL 安全度标准

3.2.24 SW软件

3.2.25 THR危害可承受度

3.2.26 UIC 国际铁路联盟

3.2.27 VDR 电压电阻器

4该标准所有框架

欧洲标准中第五条款要求采用一个有规律的、有文挡的-质量管理记录

-安全管理记录

-功能和技术安全记录

-规定安全度

附录A定义安全度标准的使用和结实。

附录B 包含安全相关的系统、副系统及设备的技术细节要求。

附录C 包含坚定可修复硬件故障的步骤和信息的方法。

附录D包含附加的技术信息。

附录E 包含用于安全度各个标准的技术、方法目录。

目录包含在执行着套标准期间所需查询文档的说明。

5为保证安全所允许的条件

5.1 安全情况

该标准定义的条件应满足为保证与安全有关的电气铁路系统、副系统及设备按其预期目的可以被足够安全的应用。

在该标准中有关的部分是以.下三个标题为基础的，分别称为：

-5.2质量管理记录

-5.3安全管理记录

-5.4功能和技术安全记录

在与安全有关的系统可以足够安全的被使用之前，所有这些条件都应达到系统、副系统及设备要求的水平。

已经与这些条件相符合的文档记录应当被包含进一个安全坚定文档，即安全库。安全库组成所有遵从相关安全权威的文档记录的一个部分，为了得到一个一般产品，一组应用或一个特殊应用的安全要求规范。对于安全规范过程的解释，见该标准的5.5部分。

安全库包含系统、副系统及设备的安全文档记录，可以分为如下结构：

第一部分系统（或副系统及设备）定义

应明确定义或表明安全库所指的系统、副系统及设备，包括类型编号、所有需求的修改权限、设计和应用性的文档。

第二部分质量管理报告

该部分包括质量管理记录，如该标准中5.2部分提到的

第三部分安全管理报告

该部分包括安全管理记录，如该标准中5.3部分提到的

第四部分技术安全报告

该部分包括功能和技术安全的记录，如该标准中5.4部分提到的

第五部分相关安全库

该部分包括与安全库所依靠的所有副系统及设备有关的安全库

同时应该表明所有与安全有关的应用条件都应规定每一个相关的副系统及设备的安全库要么是在主安全库中执行，要么在主安全库中与安全库有关的应用条件下执行。第六部分结论

该部分应简要概括在安全库先前部分的记录，并讨论相关系统、副系统及设备是否足够的安全，是否遵从专业的应用条件。

安全库的结构用图表3说明。

明确规定大量细节的记录和辅助类文档不需要包含进安全库和它的子库，也不需要提供明确的用于此类文档的解释，同时也不需要提供基本概念的应用和所采用的途径。

5.2 质量管理记录

安全规范的第一个条件就是系统、副系统及设备的质量应得到保证，并且还应在其整个生命周期中被一套有效的质量管理系统控制。文档记录是该要求在质量管理报告中的表现，它形成了安全库中的第二个部分。

质量管理系统目的是使在系统生命周期的每个阶段的人为故障最小化，同时也减小系统、副系统及设备中系统故障的发生。

质量管理系统应当在系统、副系统及设备整个生命周期中应用，如定义的EN50126。

一个系统生命周期的例子（在EN50126标准下），由该标准的图表4描述

EN50129：2003

注释：下面是一个有关质量管理体系和质量管理报告所包括的几个方面的例子。——组织的结构

——质量计划和步骤

——需求说明书

——控制设计

——检查和复查设计

——工程应用

——采购和制造

——产品鉴定和跟踪

——管理和存储

——检查

——不一致性和正确的行动

——包装和发送

——安装和授权

——操作和维护

——质量管理和售后服务

——文档和记录

——配置的管理或更改控制

——操纵指导

——质量审计和使用情况调查

——运行状况

遵从质量管理的要求是保证1到4完全安全水平所必需的（见兼并A中对完全安全水平的解释）。然而，记录的深度和辅助类文档的扩展应适应系统、副系统及设备的完全安全水平(见表格E.1和表格E.8中对每个完全安全水平所需记录的结实)。完全安全0水平（不安全）的要求不在该安全标准所探索的范围。

5.3 安全管理措施

5.3.1 概述

为了保证安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件之二是安全管理措施，他应该与EN50126中所到的可靠性、可用性、可维护性和安全性的管理过程相一致，目的是进一步减少和安全相关的认为失误。进而减少系统故障风险。下面5.3.2到5.3.13就简要的介绍了安全管理过程因素。

在安全管理报告中将提到有关安全管理过程中的各素都遵从生命周期概念的书面证据，即是安全案例的第三部分，这其中不包含大量的详细的证据和提供的文献，只是一些简单的索引。

安全管理措施的运用对于安全完整性水准的1到4来说是强制性的。（参考安全完整性水准的解释附录A）然而，所提供的证据的深度和所支持文献的广度对于安全的系统/子系统/仪器设备的安全完整性水准来说应该是合适的。安全完整性水准为0的（认为不安全）是不符合安全标准的。

为了证实安全完整性所提到的标准对每一种特殊的情形都是适用的。那么在EN50126中定义的危害分析和风险评估过程都是必要的。这也包括那些分析和评估认为安全完整性水准认为是0的情况。然而，一旦得出这样的结论，（也就是说这种情况是不安全的），那么，这种安全标准就不再适用。

5.3.2安全的生命周期

这种安全管理过程包括很多阶段和行为，因此形成了安全生命周期。这应该与EN50126 中提到的系统生命周期相一致，即是图4所显示标准的一种复制。系统生命周期的设计和有效性部分可以看作是“顶部——底部”和“底部——顶部”两个阶段。（也就是V形）如图5所示。

5.3.3 安全机构

安全管理过程应该在安全机构的有效指导下执行。安全机构应该任用那些被指任为扮演特殊角色的有能力的人来组成。对这些人进行包括技术知识，认证，相关经验和正确的训练的能力的评估和记录应该根据大意公认的标准来执行。对于所有安全完整性水准的所要求的安全机构知道下的不同角色之间应该有一个相互独立的度，正如图6和表E.3所示。

在生命周期的开始应该指定一个安全计划，这个计划应该体现整个生命周期安全管理的结构，安全相关的活动和论证的转折点。还包括每隔一定间隔进行安全计划复查的要求。如果对原始系统/子系统/仪器设备进行一系列的改动或增加的话，我们就应该及时更新或复查安全计划。如果有类似这样的变动，那么在生命周期的恰当的位置对变动所引起的包括硬件和软件安全方面的影响就应该被重新评估。

参照表E.1 对于每一个安全完整性水准安全计划所作的指导

安全计划应该处理系统/子系统/仪器设备的各个方面，包括硬件和软件。对于软件的各个方面问题在EN50128中已经论述过。安全计划应该包括安全案例计划，他将体现最终安全案例的预期结构和重要内容。

5.3.5危害日志

在整个生命周期过程中应该创建并维护一个危害日志，正如在EN50126所解释的，它应该包括一系列公认的危害，还有对于每一种危害的风险分类和风险控制信息，如果对系统，子系统或仪器设备有任何修改和变动，危害日志都应该被升级。

5.3.6安全要求

对每一种系统/子系统/仪器设备的特定的安全要求包括功能安全要求和安全完整性要求，这些要求应该在安全具体方面里面明确标识和记录，可以通过EN50126中提到的这几个方面完成：

1．危害标识和分析

2．风险评估和分类

3．安全完整性水准的分配

附录A中包括了一些铁路电子系统的安全完整水准的信息。

注：安全要求可能包括在系统/子系统/仪器设备功能要求中或可以被写作为独立的文档，参照表E.2对与每一条安全完整性水准在系统需求方面的指导。

5.3.7系统/子系统/仪器设备的设计

生命周期的这一阶段应该做这样一种设计，此设计将完成特定的操作和安全要求，我们将运用顶部——底部的这样的一套方法且有严格的控制和复查文档。

特定情况下，通过软件需求和软件/硬件整合而再现的软硬件之间的关系应该得到严格的管理。标准EN50128中也有所提及。表E.7给出了对每一种安全完整性水准来说系统/子系统/仪器设备在设计和进展方面的指导。

在生命周期的适当阶段应该做一下安全复查，这些复查应该在安全计划中明确规定，在复查同时要记录结果，如果对系统，子系统或器设备有任何改动或扩展，那么我们都应该对其进行复查。

5.3.9安全核对和证实

安全计划应该包括或索引一些这样的计划，他们能核对生命周期的每一个阶段都能满足在先前那些阶段中提到的具体的一些安全要求，并且能证实已经完趁个的系统/子系统/仪器设备是与原始的安全性的具体要求相对应的。

我们应该去完成这些步骤并且将其结果做一详细记录，包括正确的测试和安全分析，在接下来的而已系列的对系统/子系统/仪器设备的变动和增加中应该正确的重复以上操作。

对核对人和确认人来说，独立的必要性的度应该与仔细检查下的系统/子系统/仪器设备的安全完整性水准相一致，可以参照图6和表9，对于每一种安全完整性水准的核对和证实的技术/方法的指导。

依照安全局的见解，评估员应该是供应方组织或是顾客组织的成员，但在这些情况下，评估员应该是

1．经安全局授权的

2．从项目团队中完全独立出来的

3．与安全局完全沟通的

5.3.10 安全判断

使得系统/子系统/仪器设备满足安全接受所规定的条件的措施应该以一安全案例的形式出现在结构完整的安全判断文挡中，参照5.1中所解释的。

5.3.11系统/子系统/仪器设备的移交

在将系统/子系统/仪器设备移交给铁路当局之前，应该满足5.5中规定的安全接受和安全论证条件，并且同时递交安全案例和安全评估报告。

5.3.12 运行和维护

随着移交的进行，我们还应该附加安全计划和技术安全报告（安全案例的一部分）的第五部分所规定的手续，支持系统和安全监管。在系统运行的过程中，人们可能会提出各种理由而要求对系统做出改动。当然这些理由不一定安全，我们必须通过索引一些安全文档的相关部分来评估一下这些要求改变的请求对安全方面的影响。当这些