TB/T 3482-2017
基本信息
标准号: TB/T 3482-2017
中文名称:铁路车站计算机联锁安全原则
标准类别:铁路运输行业标准(TB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:13414694
标准分类号
关联标准
出版信息
相关单位信息
标准简介
TB/T 3482-2017.Computer based interlocking safety principles.
1范围
TB/T 3482规定了计算机联锁系统设备功能安全的原则要求,包括总则、系统及硬件、软件、通信接口、继电接口、电子执行单元及其他要求。
TB/T 3482适用于计算机联锁系统的研究、设计、制造。
2规范性引用文件
下列文件对于本文件的应明间必不可少的凡是注目期的引用文件 ,仅注日期的版本适用于本文件。凡是不注日期的引用文的,力最新版本(包括所有的修改单,适用于本文件。
GB/T24339.1轨道交调通信、信号和处理系统第1 部分:封阳式传输系统中的安全相关通信(GB/T 24339.1-200.4662280-1 :2002 JIDT)
GB/T 24339.2装进通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信( CB/T 24339.2-2004C 62280-2 2002 .IDT)
GB/T 28808- 2012 道交通通信信号和处理系统 控制和防护系统软件( IEC 62279 ,IDT)
GB/T 28089 2012道交通通信信号和处理系统 信号用安全相关电子系统( IEC 62425 ,IDT)
TB/T 3027铁 格车计算机联锁技术条件
3术语和定义
下列术语和定义适用开本文件。
3.1危险侧输出dangerside output
联锁计算机产生危及行车安全的输出
[TB/T 3027- -2015,定
3.2危害hazard
可能导致事故的一种状况
[GB/T 28809- 2012,定义3.1.20
3.3非置信non-trusted
没有专门的安全性预防措施。
[GB/T 24339. 1- 2009,定义3.7]
1范围
TB/T 3482规定了计算机联锁系统设备功能安全的原则要求,包括总则、系统及硬件、软件、通信接口、继电接口、电子执行单元及其他要求。
TB/T 3482适用于计算机联锁系统的研究、设计、制造。
2规范性引用文件
下列文件对于本文件的应明间必不可少的凡是注目期的引用文件 ,仅注日期的版本适用于本文件。凡是不注日期的引用文的,力最新版本(包括所有的修改单,适用于本文件。
GB/T24339.1轨道交调通信、信号和处理系统第1 部分:封阳式传输系统中的安全相关通信(GB/T 24339.1-200.4662280-1 :2002 JIDT)
GB/T 24339.2装进通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信( CB/T 24339.2-2004C 62280-2 2002 .IDT)
GB/T 28808- 2012 道交通通信信号和处理系统 控制和防护系统软件( IEC 62279 ,IDT)
GB/T 28089 2012道交通通信信号和处理系统 信号用安全相关电子系统( IEC 62425 ,IDT)
TB/T 3027铁 格车计算机联锁技术条件
3术语和定义
下列术语和定义适用开本文件。
3.1危险侧输出dangerside output
联锁计算机产生危及行车安全的输出
[TB/T 3027- -2015,定
3.2危害hazard
可能导致事故的一种状况
[GB/T 28809- 2012,定义3.1.20
3.3非置信non-trusted
没有专门的安全性预防措施。
[GB/T 24339. 1- 2009,定义3.7]
标准图片预览
标准内容
ICS45.020
中华人民共和国铁道行业标准
TB/T3482-2017
铁路车站计算机联锁安全原则
Computer based interlocking safety principles2017-09-29发布
国家铁路局
2018-04-01实施
规范性引用文件
术语和定义
系统及硬件
通信接口
继电接口
电子执行单元
其他要求
附录A(规范性附录)
主要危害、安全功能和安全相关操作TB/T3482—2017
TB/T3482-2017
本标准按照GB/T1.1-2009给出的规则起草。本标准由北京全路通信信号研究设计院集团有限公司归口。本标准起草单位:北京全路通信信号研究设计院集团有限公司中国铁道科学研究院通信信号研究所、北京交大微联科技有限公司、卡斯柯信号有限公司。本标准主要起草人:邱兆阳、张利峰、韩安平、黄翌虹、张松涛、季志均、张程。1范围
铁路车站计算机联锁安全原则
TB/T3482—2017
本标准规定了计算机联锁系统设备功能安全的原则要求,包括总则、系统及硬件、软件、通信接口、继电接口、电子执行单元及其他要求。本标准适用于计算机联锁系统的研究设计、制造。HQUSE
规范性引用文件
日期的引用文件,仅注日期的版本适用于本文下列文件对于本文件的
不可小
凡是清
最新版本(包拍
适用卡本文件
的修改单
件。凡是不注日期的引用
第1部
分:封闲式传俞系统中的安全相关通GB/T24339.1
号和处理
信(CB/T24339.1—200
CB/T24339.2
信(CB/T24339.2
GB/T28808
GB/T28809
TB/T3027
术语和定义
下列术语和定
危险侧输出
62280-1
C62280-2
道交通
道交通
系统第2音分:开放式传输系统中的安全相关通育号和处理
2002DT
通信信号和处理系统 控制和防护系充软件(IEC62279.IDT)信、信号和处理系统信号用安全相关电子系统(IEC62425,IDT)通
计算机联锁支术条件
本文件。
dangersir
联锁计算机产生危
【TB/T3027-2015,定
危害hazard
output
安全的输生
可能导致事故的一种状
[GB/T28809—2012定义3
非置信
non-trusted
没有专门的安全性预防措施。
【GB/T24339,1—2009,定义3.7】3.4
安全相关操作safetyrelatedoperation在人机对话层进行的某些操作,联锁的防护功能不存在或者减弱,错误进行安全相关操作,会危及行车安全。进行这些操作时,操作员需要对安全负责。3.5
safety function
安全功能
计算机联锁设备中,失效会导致危险侧输出的功能。1
TB/T3482—2017
随机故障randomfault
无法预测其发生的故障。
[CB/T28809—2012.定义3.1.37]3.7
安全完整性safetyintegrity
在所有规定的条件和规定的运行环境下以及规定的时间内,安全相关系统完成指定的安全功能的能力。
【GB/T28809—2012.定义3.1.48】3.8
故障一安全fail-safe
结合在产品设计内的
[CB/T28809—2012,定义
组合式故障一安全
每个安全相关功能
要数量的对象取得
con osite fail-safe
两个对
蒙来执行,各对象之间应精
相互独立以避免共因失效。只有当必于充许进行
非限制行为应能检测
时间内加以拒绝,以
反应式故障
允许一个安全
操作。尽管只由
查/测试/检测功能
内在式故障
二个对象发生相同的故障
reactive fail safe
能由单个对
快训快
一个对象中的危害故障并在足够短的过快速的危害故障检测和重绝来确保它的安全实施实际的安全相关功能,但检查/测试/检测功能立被看作为第二对象。检立的,以避免
共国先效
nherent fai safe
美是由单个对像执行,前提是假定对象的所有可信生效模式均为非危害的。允许一个安全相
4总则
4.1计算机联锁设备
障时、故障时以及受规定的外是环境响时系统应满足规定的安全A
要求。
4.2计算机联锁设备在发
应使其处于受控的,可预知利预先定义好的状态。4.3计算机联锁设备发生任间单前机故障时应确保满足规定的容并危害率,发生可识别的单一随机硬件故障时,不应导致危险侧输被证明其影响可以忽略的故障可以不予考虑。4.4只要可行,应将计算机联锁的安全相关功能与非安全相关功能清晰地分离开,由不同的子系统各自执行:否则子系统所有相关的软硬件部分都应被视为安全相关的,除非能够表明这些未分离的安全相关功能和非安全相关功能的实现是充分独立的,即非安全相关功能的失效不会引起安全相关功能的危险失效。
4.5计算机联锁与其他系统的接口不应降低自身的安全完整性。4.6计算机联锁的设计变更、数据制作、测试、安装、运营维护过程的活动不应降低其安全完整性。4.7计算机联锁实现安全性要求时,应同时满足可用性要求。4.8计算机联锁设备在规定的使用条件及运行环境下和预期寿命阶段内,每安全功能每小时容许危害率应小于1×10。
4.9计算机联锁安全功能的安全完整性应符合CB/T28809-2012规定的安全完整性等级4级2
(SILA)的要求。
4.10计算机联锁应对表A.1的危害进行防护,并实现表A.2中的安全功能。4.11计算危害发生率时,只计算计算机联锁设备本身的失效TB/T3482-2017
4.12对于每小时容许失效危害率大于1×10的功能,虽然没有直接的安全完整性要求,同样对安全性提升有很大的帮助,只要合理可行,应通过这些功能为安全功能提供二次防护,以减轻安全功能失效后果的严重性,如人机对话层的报警和提示。5系统及硬件
5.1总体要求
5.1.1计算机联锁系统划分为联锁运牌层、执行表示层和人机对话层。5.1.2
定的时间内完成安全功能和故障检测计算机联锁应在系统规定
计算机联锁上电后执
在发生故障时,计算
原则实现:
组合式故障
反应式故障
内在式故障
自动进
成保持
状态。可以通过以下的一种或儿种设计独
与第二个故障组合可能导致危险侧输出时,应在足够复的时间内被检测到5.1.5第一个故障自
并强制进入安全状态
在组合式故障
安全状态,以确保在
在反应式故障
规定的量化安全目标。
条件下,上述要求意味者应在是够短的时间内检出第一拒绝期间出见第二个故障的风险小于规定的概率指标。个故障,并强制达到
条件下,上述要求意味着检测和拒绝所需最大时间不应超出规定的有潜在危P
害的瞬间输出持续时
检测出第一个故障
如果故障进一步发生
人安全状态
应具有保持
5.1.6应及时检测可能7
造成危害
后后续故障不能使系统退出安全状态。无许的修复时间内,或与继发故障组合后造成危害的多重故障,并且强制达到一个规定的安全指标,应进行共因失效量析以确保多重故障只在多以满足
安全状态。这一时间应足
个随机单一故障组合情己下生,而不三个共因故童的结果
对安全性有影响的
包含软件的设备应采取校
懂人或替换不应导致危验侧输出。错误的
验措施,降低版本不匹配带光金风
源的故障或干扰不应导致危侧输遇实现安全功能的电路bZxz.net
实现安全功能的电路部件能降额(元器件使用承受的力低于其额定值)使用。5.1.10
计算机联锁设计时应降低下列人为失误导致危险侧输出的可能性:调整设备以及调节装置;
卸下元件和装置;
不正确地装配设备:
没有按照建议进行维护。
计算机联锁内部的各安全单元间通信故障时,应及时将相关信息处理为安全侧。由于通信故5.1.11元
障导致的错误数据漏检率应满足相应安全功能要求。5.1.12计算机联锁内部的各部件应有正确地址标识,避免信息传输对象错误,发现冲突或重复地址标识时,应及时采取安全措施。5.1.13计算机联锁各层间应保持独立性,任何一层的故障不应对其他层的安全性造成影响,并不应降低整个系统的安全性。
TB/T3482-2017
计算机联锁内部各层安全侧定义如下:联锁运算层的安全侧定义为对外无发送数据,或发送预先定义的数据;执行表示层驱动单元安全侧定义为对外无输出或预先定义的输出:执行表示层采集单元安全侧定义为采集状态无效或预先定义的采集状态:人机对话层安全相关操作安全侧定义为操作不执行。计算机联锁与其他系统结合时安全侧定义如下:采用通信方式接口时,发送安全侧定义为对外无发送数据或发送预先定义的数据;采用通信方式接口时,接收安全侧定义为通信中断或预先定义的数据:采用继电方式接口时,输出安全侧定义为继电器落下:采用继电方式接口时,采集安全侧定义为接点断开或无效。5.2联锁运算层
数据。
联锁运算层应根据
保取安金措施
联锁运算层发生
5.2.3联锁运算层与
安全侧。
支行车
安全的战
应及时来
安垒设备失养
联系时,应及量将相关接收信息处理为层或其相连接的
5.2.4联锁运算层
启动复位在联锁软
许安全侧输出。
5.2.5联锁运算层
5.3执行表示层
5.3.1执行表示层
发生危及行车安全的
执行表示屋
行车安全的故障时
执行表示
执行表示层
检测电路宜
检测电路故障
牛(用于实现
关锁功能的软件产生运算输出前仅充靠性元余结构时,应防止由于元余单元输出不教导致危险。
单元应根据联锁运算层的命令进行输出,当该单元与联锁运算层失去联系或时,应及时导向安全侧。
单元应采集
十采取安全指
元加电启动
备款态信息并传送给联锁运算层,当证单元发生可能危及成专检用
路应满足队
下要求
环控制方
险侧采集
建立联系前输出应维持在安全侧。放障或输出故廉不能被及时发现,应《时采取安全措施:长期无
变化时可能产生的故障隐:
应避免检测对
检测电路的检测性
电路工作状态变化而降低造成故障累积。执行表示层输人输
寻址错误:
断路、混线和短路:
采取措施降低以下情况对安全性的影响:存在有害的潜在通路(是一个港在的电路路径或条件,在某种条件下,导致不希望的功能发生,或阻止希望的功能,它与组件失效无出关,而是设计者无意地设计进系统的一种潜在状态);
输人、输出电流和电压超出规定值:保护电路动作或故障时;
电源电压异常或波动超限:
软件运行停止。
执行表示层采取安全措施停止危险侧输出时,应采用基于故障安全的输出切断方式,主电路和5.3.6
检测电路的故障不应影响输出切断功能。执行表示层采用可靠性允余结构时,元余单元故障或失去同步时,不应产生危险侧输出。5.3.7
5.4人机对话层
TB/T3482-2017
5.4.1人机对话层进行安全相关操作应进行人工确认。安全相关操作在表A.3中规定。5.4.2
人机对话层与联锁运算层失去联系时,应有明确的提示。5.5通信前置机
设置通信前置机时,不应降低计算机联锁系统与其他安全系统通信的安全性。设置通信前置机时,通信前置机引人的额外延时不应对整个通信安全性产生影响。通信前置机承担安全功能时,应满足联锁运算层的安全设计原则和要求。6软件
总体要求
计算机联锁中承担安全
安全完整性等级应与系统的安全完整性等级一致,满足软件
GB/T28808—2012的要求。
用于实现安全功能
应由联
就行表
应采取技术措施!
下载多装中错导致危险侧输出。6.1.3
储过程号
报坏以及
软件修
应有措施防止
器等工具
产生危险测输品
应采取措施防
款件的
安全功能的
应对安全软件
时间排行
测,当软件运行时间不满足设定的范6.1.6
围时,应及时采取安
全软件任务执行顺序和执行次数错读产生危险侧输出。6.1.7
应采取措施
在安全软件
安全软件停
运行安全
件的安全完整性。
安全软件反
致危险侧输出。
软件监视递
监视软件保持独立性。
真漫扭监视软件应声被
后,应采取施防止中断意外响应导致危险侧输出目标系统中有其他软件同时运行时,应有措施防止其他软件失效破坏安全软#包括采购自
告施防止程厂
用软件和自行开发的既有软件。代码和静态数据(软件运行时数值不会改变的数据)晴变时导6.1.12
程序和配置数
离时应对配置数据的版本和适用性选行检查,对配置数据的正确性进行检查。该检查在程序载
应采取措施降
行时都应
安全软件应对来自外数据的
安全软件应采用防御化
计算机联锁对涉及安全
令/状态生成原则:并应尽可能地来全关键变量由于硬件故睡或软件意外或写时导致的风险。效性进行检查。
效能的全部安全关键变量的使用,都应遵循持续动态更新的命非限制性命今/状志信息“秋性有效”的使用及校验原则,特别是在跨模块尤其是跨边界模块的交中,避免非预期的保持带未的风险。6.1.17仿真软件(专门用于仿真测试的软件不控制现场设备,现场运行的软件应经过特殊操作才能进入仿真状态。
安全软件应制定相应编程语言的编程规范并严格执行,编程规范应针对铁路信号失效一安全6.1.18
要求及安全侧明确的特点,严格规定采用非限制性代码唯一的安全侧对应编码及判别原则。应依据系统安全侧的定义明确安全软件中安全相关数据、状态的安全侧。联锁运算层软件应采取措施防止以下情形对安全性的影响:6.1.19
联锁运算层可靠性几余单元间的输人不一致,如联锁双系输人数据不一致:联锁运算层可靠性几余单元间用于同步判断的条件不充分出现伪同步现象:联锁运算层可靠性余单元间故障传播。5
TB/T3482—2017
6.2联锁软件要求
6.2.1联锁软件初始化和非同步系切换时应采取安全锁闭措施。6.2.2联锁软件在命令不具备执行条件时,或命令执行后在规定的时间内未得到正确响应时,应及时采取措施防止危险侧输出。
6.2.3计算机联锁检测到非预期的驱采状态,影响安全时,应采取安全措施6.2.4联锁软件内部同一设备状态和运算结果,需要对外驱动以及给多个外部系统发送时,对外驱动以及给各系统发送的信息含义应一致。通信接口
SANOUSE
7.1总体要求
闭式传系统按CB/T24339
的要求采取防护措施,开放式传7.1.1在传输安全相关的信息
输系统按GB/T24339.2的要
手信息重复、描人、删除、重排序、损坏、延时他系统结合时,不
计算机联锁通过通信
和伪装等而产生危及行车
下要习
安全相关通信
充残留的教据错误率要低于规定值;前质量严
相柜关传输系
劣化时安
非置信传输
非置信传输
非置信传辅
率要低于
非置信传
由于报文
以下情况
于故障导效双向通信成单向通信时不应对全产生影响:时,安全相美传输系统残留的数据错误的报文拥举接收错误报文
人最大可能
中包含存储得时,在集介错误时间再次发送的安全服文不应被错误使用致等原因导致的长期级慢累积延时不应影响安全性。接收频率不
取必要的防护措施保证通信安全性:重度增加时:
传输系统
应用或传
输内粉
计算机联锁
致威胁种类
改变导致已
重信方式与
义,当通信故障时,须
对通信协议电
应用相关
含义。
使用固定周期信
行的风险分析不适用时
安全的通信信息应有明确的安全侧定仙中人系然培口时半
将接收数据导向预先定义的安全侧的时间内
包含对对方协议版本号的西配校验控制。为通信方式时,以下因素不应对安全性产生影响:信息的
全体信息掩盖的信
范序。
对经由不同通道传输成数用“逻辑或”的方式进行处理府,应确认这些数据具有相同的来自其他安全系统的通信数据,如果经安全校验后数据出现非预期或矛盾的结果,计算机联锁系统应采取安全措施。
7.2.4经由网络传输的信息与本地直接采集的信息组合使用时,应采取措施避免由于本地采集数据与网络采集数据延时不同导致的风险。8
继电接口
8.1计算机联锁以开关量采集或驱动方式与继电接口应符合故障一安全原则。使用具有机械或磁性保持的继电器,应采取措施降低直接使用其采集状态的风险。8.2
对计算机联锁控制的继电器,其他设备不宜同时控制。对计算机联锁控制的继电器,应采取措施降低其控制状态与控制预期不一致时的风险。TB/T3482-2017
8.5计算机联锁控制的继电器,其接点状态不直接回采时,宜通过其关联动作的继电器或其他方式确认其受控状态
8.6对计算机联锁控制的继电器,应采取措施降低驱动混线造成继电器误吸起的风险,如采用偏极继电器防护、输出采用双断方式、驱动电路串接防护继电器、对继电器的状态进行回采确认等。8.7应采取措施降低关键继电器采集混线带来的风险,如采用前后接点采集、双接点采集、条件串接采集等,并对采集结果加以校核:校核有误时应及时采取安全措施并报警。8.8计算机联锁的开关量采集和驱动电路接口电路,应采取措施降低以下情况对安全性的影响:采集或驱动电源通、断或波动:ay
采集或驱动回路上存在干扰时
采集或驱动回路短路、接地时
采集或驱动回路保护电
采集对象状态不稳定
用元余配
8.9计算机联锁采集和驱
置时,应
美状态
故障导致危险侧输出或危
电子执行单元
电子执行单元安
和要求。电子执行单
9.2电子执行单元
9.3电子执行单元
险侧输出,检测到上
9.4电子执行单元
9.5电子执行单元
性等级要
产生危及行
施避免由于余配置的并联工作和交叉永与联锁执行表示层相同
,应满足执行表示层的安全设计原则车安全的驱动和信息输!
运算层的联
全措施。
系中断时,应及时采取安
室外设备和
时应及时报
危险侧输出或危险侧
电子执行单元
其他要求
计算机联锁的配
等级要求相适应。
10.2计算机联锁应优先
结合电路的线缆发生断线
短路、接地
应用环境采用适当的防雷和电磁干扰的防护措施一处混线时,不应产生危
缆主的扰(分布电容、牵引电流等)不应使电子执行单元产生设备连接电
外信号设备行
集功能不应影响安全性。
应经过完整的测试和确认,配置数居的检查流程应与系统的安全完整性ENI
的模块,但应对模块的应用环境进行适用性分析。计算机联锁内部的硬
软件和数据变化时,应变更相位部分的版本号。HK
TB/T3482—2017
附录A
(规范性附录)
主要危害、安全功能和安全相关操作计算机联锁的主要危害和安全功能见表A.1和表A.2。安全相关操作见表A.3计算机联锁主要危害
错误开放信号或未及时关闭
错误转换道岔
进路错误解锁
道岔错误解锁
给结合电路发
全的条件
给其他系统
全的信息
进路功能
信号控制
道岔控制
道岔锁闭
延续进路
到发线出盆
平面潮放
上电锁闭
非进路调车
进路表示器
结合电路
信号系统接口
可能会
色装行车安
的可能会
对应安全功能
进路表示器
信号制非进路调车
道岔控制、到发线出岔、家合电路、非进路调车进路
续进路平面滑效到发线出盆
线出公电锁门、非进路调车、结合电路金流团,皇发
电锁固销合电
统接口
表A2计算机联锁安全功能
功能说明(对应TB)
进路锁闭,进路解锁
信号开放
进路选动
进路锁闭
进路锁闭
分歧道岔
信零美闭,点灯控制
带动,单独操纵
(3027的功能育分要安)
道岔总锁病
区段链闲,单独领闲,人工封
进路解债
项团和解锁
放进路
闭和解锁
雨和解锁
锁闭、解锁和信号开放、关闭
美开放和关闭
与区间网结合、场间联系、与机务段结、局部控制道岔、车站电码化、与灾害监控系统结合
与无线闭塞中心、列控中心的结合,计算机联锁系统之间的通信联系安全相关操作
引导总锁
上电解锁
披道解锁
人工解锁
区段故障解锁
引导信号
64D事故复原
表A.3安全相关操作(续)
非进路调车故障恢复
区间辅助改方操作
区间允许改方
关灯操作
非常站控
TB/T3482-2017
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国铁道行业标准
TB/T3482-2017
铁路车站计算机联锁安全原则
Computer based interlocking safety principles2017-09-29发布
国家铁路局
2018-04-01实施
规范性引用文件
术语和定义
系统及硬件
通信接口
继电接口
电子执行单元
其他要求
附录A(规范性附录)
主要危害、安全功能和安全相关操作TB/T3482—2017
TB/T3482-2017
本标准按照GB/T1.1-2009给出的规则起草。本标准由北京全路通信信号研究设计院集团有限公司归口。本标准起草单位:北京全路通信信号研究设计院集团有限公司中国铁道科学研究院通信信号研究所、北京交大微联科技有限公司、卡斯柯信号有限公司。本标准主要起草人:邱兆阳、张利峰、韩安平、黄翌虹、张松涛、季志均、张程。1范围
铁路车站计算机联锁安全原则
TB/T3482—2017
本标准规定了计算机联锁系统设备功能安全的原则要求,包括总则、系统及硬件、软件、通信接口、继电接口、电子执行单元及其他要求。本标准适用于计算机联锁系统的研究设计、制造。HQUSE
规范性引用文件
日期的引用文件,仅注日期的版本适用于本文下列文件对于本文件的
不可小
凡是清
最新版本(包拍
适用卡本文件
的修改单
件。凡是不注日期的引用
第1部
分:封闲式传俞系统中的安全相关通GB/T24339.1
号和处理
信(CB/T24339.1—200
CB/T24339.2
信(CB/T24339.2
GB/T28808
GB/T28809
TB/T3027
术语和定义
下列术语和定
危险侧输出
62280-1
C62280-2
道交通
道交通
系统第2音分:开放式传输系统中的安全相关通育号和处理
2002DT
通信信号和处理系统 控制和防护系充软件(IEC62279.IDT)信、信号和处理系统信号用安全相关电子系统(IEC62425,IDT)通
计算机联锁支术条件
本文件。
dangersir
联锁计算机产生危
【TB/T3027-2015,定
危害hazard
output
安全的输生
可能导致事故的一种状
[GB/T28809—2012定义3
非置信
non-trusted
没有专门的安全性预防措施。
【GB/T24339,1—2009,定义3.7】3.4
安全相关操作safetyrelatedoperation在人机对话层进行的某些操作,联锁的防护功能不存在或者减弱,错误进行安全相关操作,会危及行车安全。进行这些操作时,操作员需要对安全负责。3.5
safety function
安全功能
计算机联锁设备中,失效会导致危险侧输出的功能。1
TB/T3482—2017
随机故障randomfault
无法预测其发生的故障。
[CB/T28809—2012.定义3.1.37]3.7
安全完整性safetyintegrity
在所有规定的条件和规定的运行环境下以及规定的时间内,安全相关系统完成指定的安全功能的能力。
【GB/T28809—2012.定义3.1.48】3.8
故障一安全fail-safe
结合在产品设计内的
[CB/T28809—2012,定义
组合式故障一安全
每个安全相关功能
要数量的对象取得
con osite fail-safe
两个对
蒙来执行,各对象之间应精
相互独立以避免共因失效。只有当必于充许进行
非限制行为应能检测
时间内加以拒绝,以
反应式故障
允许一个安全
操作。尽管只由
查/测试/检测功能
内在式故障
二个对象发生相同的故障
reactive fail safe
能由单个对
快训快
一个对象中的危害故障并在足够短的过快速的危害故障检测和重绝来确保它的安全实施实际的安全相关功能,但检查/测试/检测功能立被看作为第二对象。检立的,以避免
共国先效
nherent fai safe
美是由单个对像执行,前提是假定对象的所有可信生效模式均为非危害的。允许一个安全相
4总则
4.1计算机联锁设备
障时、故障时以及受规定的外是环境响时系统应满足规定的安全A
要求。
4.2计算机联锁设备在发
应使其处于受控的,可预知利预先定义好的状态。4.3计算机联锁设备发生任间单前机故障时应确保满足规定的容并危害率,发生可识别的单一随机硬件故障时,不应导致危险侧输被证明其影响可以忽略的故障可以不予考虑。4.4只要可行,应将计算机联锁的安全相关功能与非安全相关功能清晰地分离开,由不同的子系统各自执行:否则子系统所有相关的软硬件部分都应被视为安全相关的,除非能够表明这些未分离的安全相关功能和非安全相关功能的实现是充分独立的,即非安全相关功能的失效不会引起安全相关功能的危险失效。
4.5计算机联锁与其他系统的接口不应降低自身的安全完整性。4.6计算机联锁的设计变更、数据制作、测试、安装、运营维护过程的活动不应降低其安全完整性。4.7计算机联锁实现安全性要求时,应同时满足可用性要求。4.8计算机联锁设备在规定的使用条件及运行环境下和预期寿命阶段内,每安全功能每小时容许危害率应小于1×10。
4.9计算机联锁安全功能的安全完整性应符合CB/T28809-2012规定的安全完整性等级4级2
(SILA)的要求。
4.10计算机联锁应对表A.1的危害进行防护,并实现表A.2中的安全功能。4.11计算危害发生率时,只计算计算机联锁设备本身的失效TB/T3482-2017
4.12对于每小时容许失效危害率大于1×10的功能,虽然没有直接的安全完整性要求,同样对安全性提升有很大的帮助,只要合理可行,应通过这些功能为安全功能提供二次防护,以减轻安全功能失效后果的严重性,如人机对话层的报警和提示。5系统及硬件
5.1总体要求
5.1.1计算机联锁系统划分为联锁运牌层、执行表示层和人机对话层。5.1.2
定的时间内完成安全功能和故障检测计算机联锁应在系统规定
计算机联锁上电后执
在发生故障时,计算
原则实现:
组合式故障
反应式故障
内在式故障
自动进
成保持
状态。可以通过以下的一种或儿种设计独
与第二个故障组合可能导致危险侧输出时,应在足够复的时间内被检测到5.1.5第一个故障自
并强制进入安全状态
在组合式故障
安全状态,以确保在
在反应式故障
规定的量化安全目标。
条件下,上述要求意味者应在是够短的时间内检出第一拒绝期间出见第二个故障的风险小于规定的概率指标。个故障,并强制达到
条件下,上述要求意味着检测和拒绝所需最大时间不应超出规定的有潜在危P
害的瞬间输出持续时
检测出第一个故障
如果故障进一步发生
人安全状态
应具有保持
5.1.6应及时检测可能7
造成危害
后后续故障不能使系统退出安全状态。无许的修复时间内,或与继发故障组合后造成危害的多重故障,并且强制达到一个规定的安全指标,应进行共因失效量析以确保多重故障只在多以满足
安全状态。这一时间应足
个随机单一故障组合情己下生,而不三个共因故童的结果
对安全性有影响的
包含软件的设备应采取校
懂人或替换不应导致危验侧输出。错误的
验措施,降低版本不匹配带光金风
源的故障或干扰不应导致危侧输遇实现安全功能的电路bZxz.net
实现安全功能的电路部件能降额(元器件使用承受的力低于其额定值)使用。5.1.10
计算机联锁设计时应降低下列人为失误导致危险侧输出的可能性:调整设备以及调节装置;
卸下元件和装置;
不正确地装配设备:
没有按照建议进行维护。
计算机联锁内部的各安全单元间通信故障时,应及时将相关信息处理为安全侧。由于通信故5.1.11元
障导致的错误数据漏检率应满足相应安全功能要求。5.1.12计算机联锁内部的各部件应有正确地址标识,避免信息传输对象错误,发现冲突或重复地址标识时,应及时采取安全措施。5.1.13计算机联锁各层间应保持独立性,任何一层的故障不应对其他层的安全性造成影响,并不应降低整个系统的安全性。
TB/T3482-2017
计算机联锁内部各层安全侧定义如下:联锁运算层的安全侧定义为对外无发送数据,或发送预先定义的数据;执行表示层驱动单元安全侧定义为对外无输出或预先定义的输出:执行表示层采集单元安全侧定义为采集状态无效或预先定义的采集状态:人机对话层安全相关操作安全侧定义为操作不执行。计算机联锁与其他系统结合时安全侧定义如下:采用通信方式接口时,发送安全侧定义为对外无发送数据或发送预先定义的数据;采用通信方式接口时,接收安全侧定义为通信中断或预先定义的数据:采用继电方式接口时,输出安全侧定义为继电器落下:采用继电方式接口时,采集安全侧定义为接点断开或无效。5.2联锁运算层
数据。
联锁运算层应根据
保取安金措施
联锁运算层发生
5.2.3联锁运算层与
安全侧。
支行车
安全的战
应及时来
安垒设备失养
联系时,应及量将相关接收信息处理为层或其相连接的
5.2.4联锁运算层
启动复位在联锁软
许安全侧输出。
5.2.5联锁运算层
5.3执行表示层
5.3.1执行表示层
发生危及行车安全的
执行表示屋
行车安全的故障时
执行表示
执行表示层
检测电路宜
检测电路故障
牛(用于实现
关锁功能的软件产生运算输出前仅充靠性元余结构时,应防止由于元余单元输出不教导致危险。
单元应根据联锁运算层的命令进行输出,当该单元与联锁运算层失去联系或时,应及时导向安全侧。
单元应采集
十采取安全指
元加电启动
备款态信息并传送给联锁运算层,当证单元发生可能危及成专检用
路应满足队
下要求
环控制方
险侧采集
建立联系前输出应维持在安全侧。放障或输出故廉不能被及时发现,应《时采取安全措施:长期无
变化时可能产生的故障隐:
应避免检测对
检测电路的检测性
电路工作状态变化而降低造成故障累积。执行表示层输人输
寻址错误:
断路、混线和短路:
采取措施降低以下情况对安全性的影响:存在有害的潜在通路(是一个港在的电路路径或条件,在某种条件下,导致不希望的功能发生,或阻止希望的功能,它与组件失效无出关,而是设计者无意地设计进系统的一种潜在状态);
输人、输出电流和电压超出规定值:保护电路动作或故障时;
电源电压异常或波动超限:
软件运行停止。
执行表示层采取安全措施停止危险侧输出时,应采用基于故障安全的输出切断方式,主电路和5.3.6
检测电路的故障不应影响输出切断功能。执行表示层采用可靠性允余结构时,元余单元故障或失去同步时,不应产生危险侧输出。5.3.7
5.4人机对话层
TB/T3482-2017
5.4.1人机对话层进行安全相关操作应进行人工确认。安全相关操作在表A.3中规定。5.4.2
人机对话层与联锁运算层失去联系时,应有明确的提示。5.5通信前置机
设置通信前置机时,不应降低计算机联锁系统与其他安全系统通信的安全性。设置通信前置机时,通信前置机引人的额外延时不应对整个通信安全性产生影响。通信前置机承担安全功能时,应满足联锁运算层的安全设计原则和要求。6软件
总体要求
计算机联锁中承担安全
安全完整性等级应与系统的安全完整性等级一致,满足软件
GB/T28808—2012的要求。
用于实现安全功能
应由联
就行表
应采取技术措施!
下载多装中错导致危险侧输出。6.1.3
储过程号
报坏以及
软件修
应有措施防止
器等工具
产生危险测输品
应采取措施防
款件的
安全功能的
应对安全软件
时间排行
测,当软件运行时间不满足设定的范6.1.6
围时,应及时采取安
全软件任务执行顺序和执行次数错读产生危险侧输出。6.1.7
应采取措施
在安全软件
安全软件停
运行安全
件的安全完整性。
安全软件反
致危险侧输出。
软件监视递
监视软件保持独立性。
真漫扭监视软件应声被
后,应采取施防止中断意外响应导致危险侧输出目标系统中有其他软件同时运行时,应有措施防止其他软件失效破坏安全软#包括采购自
告施防止程厂
用软件和自行开发的既有软件。代码和静态数据(软件运行时数值不会改变的数据)晴变时导6.1.12
程序和配置数
离时应对配置数据的版本和适用性选行检查,对配置数据的正确性进行检查。该检查在程序载
应采取措施降
行时都应
安全软件应对来自外数据的
安全软件应采用防御化
计算机联锁对涉及安全
令/状态生成原则:并应尽可能地来全关键变量由于硬件故睡或软件意外或写时导致的风险。效性进行检查。
效能的全部安全关键变量的使用,都应遵循持续动态更新的命非限制性命今/状志信息“秋性有效”的使用及校验原则,特别是在跨模块尤其是跨边界模块的交中,避免非预期的保持带未的风险。6.1.17仿真软件(专门用于仿真测试的软件不控制现场设备,现场运行的软件应经过特殊操作才能进入仿真状态。
安全软件应制定相应编程语言的编程规范并严格执行,编程规范应针对铁路信号失效一安全6.1.18
要求及安全侧明确的特点,严格规定采用非限制性代码唯一的安全侧对应编码及判别原则。应依据系统安全侧的定义明确安全软件中安全相关数据、状态的安全侧。联锁运算层软件应采取措施防止以下情形对安全性的影响:6.1.19
联锁运算层可靠性几余单元间的输人不一致,如联锁双系输人数据不一致:联锁运算层可靠性几余单元间用于同步判断的条件不充分出现伪同步现象:联锁运算层可靠性余单元间故障传播。5
TB/T3482—2017
6.2联锁软件要求
6.2.1联锁软件初始化和非同步系切换时应采取安全锁闭措施。6.2.2联锁软件在命令不具备执行条件时,或命令执行后在规定的时间内未得到正确响应时,应及时采取措施防止危险侧输出。
6.2.3计算机联锁检测到非预期的驱采状态,影响安全时,应采取安全措施6.2.4联锁软件内部同一设备状态和运算结果,需要对外驱动以及给多个外部系统发送时,对外驱动以及给各系统发送的信息含义应一致。通信接口
SANOUSE
7.1总体要求
闭式传系统按CB/T24339
的要求采取防护措施,开放式传7.1.1在传输安全相关的信息
输系统按GB/T24339.2的要
手信息重复、描人、删除、重排序、损坏、延时他系统结合时,不
计算机联锁通过通信
和伪装等而产生危及行车
下要习
安全相关通信
充残留的教据错误率要低于规定值;前质量严
相柜关传输系
劣化时安
非置信传输
非置信传输
非置信传辅
率要低于
非置信传
由于报文
以下情况
于故障导效双向通信成单向通信时不应对全产生影响:时,安全相美传输系统残留的数据错误的报文拥举接收错误报文
人最大可能
中包含存储得时,在集介错误时间再次发送的安全服文不应被错误使用致等原因导致的长期级慢累积延时不应影响安全性。接收频率不
取必要的防护措施保证通信安全性:重度增加时:
传输系统
应用或传
输内粉
计算机联锁
致威胁种类
改变导致已
重信方式与
义,当通信故障时,须
对通信协议电
应用相关
含义。
使用固定周期信
行的风险分析不适用时
安全的通信信息应有明确的安全侧定仙中人系然培口时半
将接收数据导向预先定义的安全侧的时间内
包含对对方协议版本号的西配校验控制。为通信方式时,以下因素不应对安全性产生影响:信息的
全体信息掩盖的信
范序。
对经由不同通道传输成数用“逻辑或”的方式进行处理府,应确认这些数据具有相同的来自其他安全系统的通信数据,如果经安全校验后数据出现非预期或矛盾的结果,计算机联锁系统应采取安全措施。
7.2.4经由网络传输的信息与本地直接采集的信息组合使用时,应采取措施避免由于本地采集数据与网络采集数据延时不同导致的风险。8
继电接口
8.1计算机联锁以开关量采集或驱动方式与继电接口应符合故障一安全原则。使用具有机械或磁性保持的继电器,应采取措施降低直接使用其采集状态的风险。8.2
对计算机联锁控制的继电器,其他设备不宜同时控制。对计算机联锁控制的继电器,应采取措施降低其控制状态与控制预期不一致时的风险。TB/T3482-2017
8.5计算机联锁控制的继电器,其接点状态不直接回采时,宜通过其关联动作的继电器或其他方式确认其受控状态
8.6对计算机联锁控制的继电器,应采取措施降低驱动混线造成继电器误吸起的风险,如采用偏极继电器防护、输出采用双断方式、驱动电路串接防护继电器、对继电器的状态进行回采确认等。8.7应采取措施降低关键继电器采集混线带来的风险,如采用前后接点采集、双接点采集、条件串接采集等,并对采集结果加以校核:校核有误时应及时采取安全措施并报警。8.8计算机联锁的开关量采集和驱动电路接口电路,应采取措施降低以下情况对安全性的影响:采集或驱动电源通、断或波动:ay
采集或驱动回路上存在干扰时
采集或驱动回路短路、接地时
采集或驱动回路保护电
采集对象状态不稳定
用元余配
8.9计算机联锁采集和驱
置时,应
美状态
故障导致危险侧输出或危
电子执行单元
电子执行单元安
和要求。电子执行单
9.2电子执行单元
9.3电子执行单元
险侧输出,检测到上
9.4电子执行单元
9.5电子执行单元
性等级要
产生危及行
施避免由于余配置的并联工作和交叉永与联锁执行表示层相同
,应满足执行表示层的安全设计原则车安全的驱动和信息输!
运算层的联
全措施。
系中断时,应及时采取安
室外设备和
时应及时报
危险侧输出或危险侧
电子执行单元
其他要求
计算机联锁的配
等级要求相适应。
10.2计算机联锁应优先
结合电路的线缆发生断线
短路、接地
应用环境采用适当的防雷和电磁干扰的防护措施一处混线时,不应产生危
缆主的扰(分布电容、牵引电流等)不应使电子执行单元产生设备连接电
外信号设备行
集功能不应影响安全性。
应经过完整的测试和确认,配置数居的检查流程应与系统的安全完整性ENI
的模块,但应对模块的应用环境进行适用性分析。计算机联锁内部的硬
软件和数据变化时,应变更相位部分的版本号。HK
TB/T3482—2017
附录A
(规范性附录)
主要危害、安全功能和安全相关操作计算机联锁的主要危害和安全功能见表A.1和表A.2。安全相关操作见表A.3计算机联锁主要危害
错误开放信号或未及时关闭
错误转换道岔
进路错误解锁
道岔错误解锁
给结合电路发
全的条件
给其他系统
全的信息
进路功能
信号控制
道岔控制
道岔锁闭
延续进路
到发线出盆
平面潮放
上电锁闭
非进路调车
进路表示器
结合电路
信号系统接口
可能会
色装行车安
的可能会
对应安全功能
进路表示器
信号制非进路调车
道岔控制、到发线出岔、家合电路、非进路调车进路
续进路平面滑效到发线出盆
线出公电锁门、非进路调车、结合电路金流团,皇发
电锁固销合电
统接口
表A2计算机联锁安全功能
功能说明(对应TB)
进路锁闭,进路解锁
信号开放
进路选动
进路锁闭
进路锁闭
分歧道岔
信零美闭,点灯控制
带动,单独操纵
(3027的功能育分要安)
道岔总锁病
区段链闲,单独领闲,人工封
进路解债
项团和解锁
放进路
闭和解锁
雨和解锁
锁闭、解锁和信号开放、关闭
美开放和关闭
与区间网结合、场间联系、与机务段结、局部控制道岔、车站电码化、与灾害监控系统结合
与无线闭塞中心、列控中心的结合,计算机联锁系统之间的通信联系安全相关操作
引导总锁
上电解锁
披道解锁
人工解锁
区段故障解锁
引导信号
64D事故复原
表A.3安全相关操作(续)
非进路调车故障恢复
区间辅助改方操作
区间允许改方
关灯操作
非常站控
TB/T3482-2017
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。